（光学专业论文）光纤量子密钥分配关键技术研究.pdf

摘 要 - i - 摘摘 要要 几千年来，密码学一直在国防、军事、外交等领域发挥着重要作用。随着计算机和互联网技术的发展，密码学在我们的日常生活中也起到不可或缺的作用。密码学的基本目的就是使得通信双方能够通过不安全的信道安全地传送信息，这就有赖于通信双方使用的密码体制，现有的密码体制主要有两大类“对称密钥密码体制”和“公钥密码体制” 。量子计算机的提出和量子算法的出现，给这两种密码体制都带来了巨大的潜在安全威胁。 “一次一密”密码体制是密码学中惟一被证明安全的密码体制，但其却存在密钥分配的难题。量子密钥分配的出现无疑解决了这一难题。量子密钥分配以量子理论为基础，可以在不安全的公共信道上安全地实时分配密钥。因此，将量子密钥分配与一次一密相结合， 就可以完美地实现无条件安全的保密通信。 量子密钥分配自 1984 年提出以来，一直受到广泛关注，世界各国均投入大量人力物力进行研究，经过二十几年的发展，无论在理论还是在实验方面均取得了巨大的进展。目前，量子密钥分配正向实用化方向发展。本文以光纤量子密钥分配关键技术为主要研究内容，包括端到端量子密钥分配系统的高速远距离实现技术和量子密钥分配网络的组网技术， 主要研究成果分为以下六个方面： 1、 在标记单光子源诱骗态实验的基础上，分析光强波动这一实际问题，对比弱相干态光源和标记单光子源， 发现标记单光子源是一种好的诱骗态实验光源，它不仅有更长的安全传输距离，而且受光强波动的影响比弱相干态光源更小。 2、 在已有 faraday-michelson 干涉环量子密钥分配系统的基础上，改进系统结构，提出参数选择判据，将系统速率提高到 20mhz，并将其应用到实地量子密钥分配网络中。 3、 基于不等臂 faraday-michelson 干涉环结构，在实验室内用波形发生器、超导单光子探测器和时间数字转换器等仪器搭建出一套高速差分相位量子密钥分配系统，系统速率达到 2ghz，标准单模光纤传输距离长达 260 公里，信道衰减达 52.9db， 将国际量子密钥分配实验最大信道衰减提高一个数量级。 4、 提出用连续光进行量子密钥分配的方案。此方案在高速远距离量子密钥分配中有很大的优势，使用连续光后，发射端控制系统会变得简单，信号的光摘 要 - ii - 谱质量会更好，信道的色散展宽效应会大大减弱。然后，通过用连续光实现差分相位量子密钥分配对该方案进行了可行性检验。 5、 在芜湖电信光网络上设计和搭建出多层级量子政务网。该量子密钥分配网络有七个用户节点，其中五个在芜湖市的政府部门内。根据优先级，将全网用户分成两个层级骨干量子密钥分配网络和量子密钥分配子网， 其中骨干量子密钥分配网络是以量子路由器为核心构建的全时全通网络， 量子密钥分配子网是以程控量子交换机为核心构建的时分复用网络， 两个层级的量子密钥分配网络以可信任中继的方式融合在一起。 6、 提出波长节约型全时全通量子路由器方案，与之前我们小组提出的全时全通量子路由器相比，能节约 50%75%的波长资源。通过分析拓扑结构，发现波长节约型全时全通量子路由器对应的图论模型， 并提出两种简单易行的量子路由器内部连接方式。同时，在芜湖电信光网络上利用新的全时全通路由器搭建出波长节约型全时全通量子密钥分配网络， 该网络由五个节点组成，仅需两个波长进行路由， 线路链接的量子密钥分配系统速率 20mhz。 此外，还通过简化量子密钥分配网络，提出插入损耗和串扰的分析模型，对量子密钥分配网络进行性能分析。 关键词：关键词：量子密钥分配，量子密码，量子密钥分配网络，量子路由器 abstract - iii - abstract for thousands of years, cryptography always plays an important and unique role in defense, military, and diplomatic fields. with the development of computer and internet technology, cryptography also plays an indispensable role in our daily life. the basic purpose of cryptography is securely transmitting confidential information over an insecure channel, which depends on the apllied cryptosystem. there are two main cryptosystems, one is symmetric key cryptosystem, the other one is public cryptosystem. the idea of quantum computer and quantum algorithms bring tremendous potential threaten to these two cyptosytems. the only proved secure cryptosystem is one-time pad, but it has the problem of key distribution. quantum key distribution (qkd) can perfectly solve this problem. base on the quantum theory, qkd can make enables two participants to share secure keys over an insecure public channel in real time. therefore, combing qkd with the one-time pad cryptosystem, we can perfectly achieve unconditional secure communication. since 1984, qkd has attracted a widespread concern, and many countries have put a lot of effort into the qkd research field. after the past two decades of developments, qkd has achieved significant improvements, both in theory and in experiments. the current qkd research is towards practicability. during my ph.d period, key technologies of optical fiber qkd are the main research contents, including high-speed qkd system over long distance and networking technology of qkd network. the major results are outlined as follows: 1. based on the previous decoy state qkd experiment with the heralded single-photon source, we recalculated the secure rates in the case of intensity fluctuations. compared with the weak coherent source, we found that the heralded single-photon source was a good source for decoy state qkd, since it not only has larger upper bound of transmission distance, but also more robust against intensity fluctuations. 2. we improved the faraday-michelson qkd system, including the optical fiber system and the electronic control system. the speed of the improved qkd system increased to 20 mhz, and we applied the improved qkd system in the wavelength-saving qkd network. 3. based on the faraday-michelson interferometer, a differential phase shift (dps) qkd system with the pattern generator, the superconducting single photon detector abstract - iv - and the time-to-digit convertor was implemented. the clock rate of the system is 2 ghz, and the key was distributed over 260 km standard single mode fiber with 52.9 db channel loss, of which the loss is one order of magnitude larger than previous record. 4. a qkd protocol with continuous wave was proposed. qkd with continuous wave is not only a new idea, but also has practical values for high-speed, long-distance systems. with continuous wave, the qkd system becomes very simple, and has better signal quality in optical spectrum domain, and can greatly reduce the chromatic dispersion of optical fiber. then, the feasibility was tested by implementing the dps qkd with continuous wave. 5. a robust hierarchical metropolitan qkd network was designed and built on the commercial fiber network of china telecom corporation limited, in wuhu. there are seven nodes in the qkd network, and five of them are in the government department. according to the priority, the network was divided into two layers, the qkd backbone network and the qkd subnet. the qkd backbone network is a real-time full connectivity network with qkd router in the center, the qkd subnet is a time division multiplexing full connectivity with qkd switcher in the center. and the two layers blend together using the trusted delay way. 6. a wavelength-saving real-time full connectivity qkd router was proposed. compared with our previous real-time full connectivity qkd router, the new router can save 50% to 75% wavelength source. the corresponding graph model of the wavelength-saving qkd router was found, and two internal connection modes of the router were proposed. then we field tested the wavelength-saving qkd network over the commercial fiber network of china telecom corporation limited, in wuhu. the real-time full connectivity qkd network with five nodes was only supported by two wavelengths and the clock rate of the qkd link was 20 mhz. in addition, we proposed a simple corresponding mode to analysis the insertion loss and crosstalk of the qkd network. key words: quantum key distribution, quantum cryptography, quantum key distribution network, quantum key distribution router 中国科学技术大学学位论文原创性声明 本人声明所呈交的学位论文,是本人在导师指导下进行研究工作所取得的成果。除已特别加以标注和致谢的地方外，论文中不包含任何他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做的贡献均已在论文中作了明确的说明。 作者签名：_ 签字日期：_ 中国科学技术大学学位论文授权使用声明 作为申请学位的条件之一，学位论文著作权拥有者授权中国科学技术大学拥有学位论文的部分使用权，即：学校有权按有关规定向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅， 可以将学位论文编入 中国学位论文全文数据库等有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。本人提交的电子文档的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 公开 保密（_年） 作者签名：_ 导师签名：_ 签字日期：_ 签字日期：_ 第一章 绪论 - 1 - 第一章第一章 绪绪论论 没有什么比自然更具有创造性。 marcus tullius cicero 1.1 密码学简介 密码学的基本目的就是使得通信双方通过不安全的信道安全地传送信息，而窃听者却不能理解不安全信道中传送的内容1。通常称通信双方为 alice 和bob， 称他们的敌手窃听者为eve， alice要发送给bob的信息称为明文 （plaintext） 。为了安全保密地传送信息，alice 需要对明文进行加密（encrypt）处理，变成密文（ciphertext）在不安全的信道（unsecure channel，或者 public channel）上传送，而 bob 收到密文后对其进行解密（decrypt）处理，重新变回明文。对窃听者 eve 而言，她可以轻易获取不安全公开信道上的密文。 现有的密码体制主要有两大类“对称密钥密码体制”和“公钥密码体制”1。在对称密钥密码体制下，alice 和 bob 在传输密文前需要使用一个安全的私密信道（secure channel，或者 private channel）来共享密钥（key） ，如图 1.1 所示；而在公钥密码体制下，加解密双方使用不同的密钥完成加密和解密，双方不需预先共享相同的密钥，alice 先利用公钥加密规则发送密文 bob，bob 是惟一能用对应的私钥对密文进行解密的人。形象的比喻就是2，对称密钥密码体制就是把明文锁到一个盒子里， 锁是加解密算法， 锁的钥匙就是密钥，而被锁上的盒子就是密文，对称密钥密码体制要求 alice 和 bob 事先各有一把能打开锁的钥匙，窃听者 eve 要想拿到密钥就必须先拿到钥匙。公钥密码体制的工作模式完全不同，bob 会制造一批锁和一把能打开这批锁的钥匙，当 alice需要向 bob 发送秘密信息时，她先从 bob 那里领一把锁，将明文放入盒子，然后用这把锁将盒子加密， 与对称密钥密码体制不同的是， 这里锁就是加密密钥，由于没有钥匙，即使 alice 自己也无法将盒子打开，整个过程中，通信双方仅交换了锁，窃听者 eve 无法拿到钥匙打开盒子，整个过程中加密密钥（也就是锁）是公钥，而解密密钥（也就是钥匙）是私钥。 第一章 绪论 - 2 - 图图 1.1 对称密钥密码体制 des（data encryption standard）是美国国家标准局于 1976 年颁布的美国信息加密标准，是对称密钥密码体制的典型代表。它采用分组加密的方式，密钥长度为 64 位，明文也按 64 位来进行分组。例如，自动取款机使用的就是此种密码。2001 年，为了提高数据加密的安全性，des 的替代者 aes（advanced encryption standard）被美国国家标准局颁布，aes 具有 128 比特的分组长度，三种可选的密钥长度，即 128 比特、192 比特和 256 比特1。 rsa 公钥密码是 rivest、shamir 和 adleman 三人于 1977 年提出，是公钥密码体制的代表。rsa 公钥密码的安全性基于分解大整数的困难性，大数质因子分解属于 np 难解问题， 求解 np 问题需要的计算步数与问题的规模成指数关系增长，使得计算起来非常困难。例如，现在网络安全的基础就是此类公钥密码。从本质上讲，设计公钥密码就是寻找单向陷门函数y = f(x)，其特性就是由x 计算出 y 非常容易，而由 y 反推出 x 则非常困难，如果有辅助信息的帮助，就会使得从 y 反推出 x 变得很容易，所谓的陷门就是辅助信息。 上世纪 80 年代，deutsch 提出量子计算机的概念，而基于量子计算机提出的 shor 算法3和 grover 搜索算法4给密码学带来巨大的威胁。 1994 年， at&t贝尔实验室的 shor 提出一种在量子计算机上运行能质因数分解一个很大的数，这正是破解 rsa 公钥密码所需要的。例如，600 台计算机花了 17 年时间才能质因数分解一个 129 位的阿拉伯数字， 而 shor 算法则能在其几百万分之一的时间内对一个比它大一百万倍的数完成质因数分解1。1996 年，贝尔实验室的grover 提出了量子搜索算法，使得搜索时间从 n 量级缩减至n量级，利用该算法就可以大大缩减破解 des 密码所需要的时间。 例如假定电子计算机一秒内第一章 绪论 - 3 - 能搜索一百万个密钥，破解 des 密码需要一千年，而量子计算机运行 grover搜索算法破解 des 密码的时间会低于四分钟。 量子计算给密码学带来巨大威胁的同时，与量子计算同宗同源的量子密码却给密码学带来了新的曙光。量子理论给计算科学以启发，使之能破解几乎所有的密码，但同时她又带来了新的密码量子密码。 1.2 量子密码 量子密码（quantum cryptography）无疑是密码学中新的重要篇章5，其安全性是以量子理论为基础的。量子密码的起源要追溯到上世纪六十年代末，wiesner 提出可以用“量子货币”来防止伪造假币，虽然“量子货币”的想法太过于异想天开，但是却引起了 bennett 的兴趣，并与 brassard 在 1984 年提出量子密钥分配（quantum key distribution，简称 qkd）这一全新概念6。不仅如此，bennett 在研究生 smolin 的帮助下，经过一年多的努力，在 1989 年成功完成第一个量子密钥分配实验78，开创了量子密码实验的先河。之后，量子密码在理论和实验方面都得到了蓬勃发展（详见第二章和第四章） ：理论上 bb84协议的无条件安全性被完全证明91011、实用化的诱骗态协议121314提出等等， 实验方面量子密钥分配系统的速率达 10ghz1516和传输距离长达250 公里17，美国 darpa 量子密码网18、欧洲 secoqc 量子密码网19、中国北京四节点全通量子密码网20、中国芜湖多层级量子政务网21和日本东京量子密码网22等相继建成。 上世纪初，量子理论被提出并加以发展，其从本质上改变了我们认识世界的方式。在微观世界里，微观粒子不再拥有精确的位置和速度，一个观测者要想获得微观粒子的位置信息就必然会破坏其速度信息，反之亦然，这就是著名的 heisenberg 不确定原理。 这是对观测者的基本限制， 不是来自于技术的因素，而是来自于量子理论本身。在很长一段时间里，heisenberg 不确定原理都被视为是一个不好的限制5，直到量子密码的出现。 也是在上世纪，信息论的理论框架在 turing、von neumann、shannon 等伟大科学家的努力下被建立起来，尤其是 shannon 于 1949 发表的题为“communication theory of secrecy systems”的论文对密码学的研究产生了巨大影响。 “一次一密” （one-time pad）密码体制于 1917 年被 vernam 提出，要第一章 绪论 - 4 - 求用 n 比特的密钥真随机加密 n 比特的明文并且每个密钥只用一次，加解和解密算法就是简单的模 2 加运算， 其无条件安全性在 1949 年被 shannon 用信息论证明，也是目前唯一被证明安全的密码体制。尽管一次一密被证明安全，但该密码体制的问题也很明显， alice 和 bob 事先需要共享与明文等长的密钥， 并且密钥只能用一次，密钥分配的问题限制了一次一密密码体制的应用前。 量子密钥分配使得通信双方 alice 和 bob 能够通过不安全的信道共享实时地安全密钥。 密钥信息被单光子携带， 根据 heisenberg 不确定原理， 窃听者 eve不能获取光子的全部信息，她对光子的测量会破坏部分信息，最终会被 alice和 bob 发现，以此可以检测窃听者的存在。同时，量子密钥分配技术有效解决了一次一密密码体制的密钥分配问题，通过量子密钥分配与一次一密的有机结合，可以提供无条件安全的信息传输。 量子密码不仅仅包括量子密钥分配，还包括量子理论在密码学中的其他应用，如量子秘密共享等。量子理论在密码学中其他应用的相当大一部分需要量子计算机的问世，而量子计算机目前还处于研究阶段，离实用尚有较远距离，而量子密钥分配解决了密码学的核心问题密钥分配问题，其技术成熟度已达到实用的要求。本论文主要着眼于量子密钥分配技术的研究。 1.3 强大窃听者受到的量子理论限制 在量子密码的安全性分析中，对窃听者 eve 的能力作了无限强大的假定，她不仅可以拥有无限强大的计算能力，而且可以拥有无限强大的技术，其计算能力和技术能力远超过通信双方 alice 和 bob，例如，她可以拥有探测效率为100%的单光子探测器，可以存储无限长时间的量子存储器，可以毫无错误地进行量子态操作，可以拥有完全没有损耗的光纤信道。当然，alice 和 bob 使用的设备和设备执行的协议对 eve 是完全已知的。在对窃听者强大能力所作的假定方面，与以往密码学中密码体制所作的假定有了根本性的变化，例如公钥密码体制就是建立在算法复杂度的基础上的，其提供的安全性只能是计算安全性，无法提供无条件安全性，而某些密码设备甚至是建立在算法保密的基础上，一旦一台设备被窃听者获得，所有相关密码设备都丧失其保密效能。 虽然量子密码对窃听者的能力作了无限放大，但是强大的窃听者还是会受到限制，那就是不能超越量子理论23。 第一章 绪论 - 5 - （1）qubit 是最小携带量子信息的单元，不可再分。是最小携带量子信息的单元，不可再分。 在量子密钥分配过程中，携带信息的一个光子就是 qubit，当窃听者想要窃听时， 她不能像对待经典光、 电信号那样， 分出一小部分来获取信息， 这个 qubit要么被她拿走，要么被送到接收方 bob 那儿。 （2）未未知的量子态不能被完全克隆知的量子态不能被完全克隆24 假定窃听者 eve 有一台台普适的量子克隆机， 它必定能克隆两个正交的量子态?| 和?| （此处以光子的偏振态作为例子，?| 和?| 分别表示水平偏振态和竖直偏振态） ，有如下的克隆过程 ?|a0 ?|a0?| ?|ah ?| ?| ?|a0 ?|a0?| ?|av ?| ?| （1.1） 这里?|a0是量子克隆机的初始态，?|ah和?|av是量子克隆机的末态。由量子理论线性特征，对于叠加态?| + ?| ，克隆机就会有 ?|a0?|a0 (?| + ?| ) ?|ah ?| ?| + ?|av ?| ?| （1.2） 事实上我们想要的输出结果是 ?|a0 ?|a0(?| + ?| ) ?|a(?| + ?| )(?| + ?| ) = ?|a (2 ?| ?| + ?| ?| + 2?| ?| ) （1.3） 对比式（1.2）和式（1.3） ，二式矛盾，因此未知的量子态不能被完全克隆。 这就保证了窃听者 eve 不能完全克隆 alice 发送给 bob 的量子态。 （3）不存在测量操作能完全区分两个非正交态。）不存在测量操作能完全区分两个非正交态。 这和（2）本质是一样，只是换了一个表述方法而已2526。假定两个非正交态分别是?|和?|，非正交也就意味着|? 0，测量装置的初态?|a0，测量过程是一个幺正演化过程，那么有 u(?|a0?|) =?|a ?| u(?|a0?|) =?|a ?| （1.4） 这里?|a和?|a是测量装置的末态。幺正性就意味着有 ?|? = |?a?a?= a|?a?|? （1.5） 由于|? 0，那么只有a|?a?= 1，于是 |?a = |?a （1.6） 第一章 绪论 - 6 - 这就意味着测量两个非正交态后，测量装置的末态是相同的，无法从末态区分出两个非正交态，即不存在测量操作能完全区分两个非正交态。 （4）不能在不影响）不能在不影响量子态的前提下对其进行测量，除非量子态是该测量的本量子态的前提下对其进行测量，除非量子态是该测量的本征态。征态。 测量塌缩理论说，可观测的物理量都有一组对应的本征态，测量量子态，就是将量子态投影到这组本征态上，测量后的量子态以一定的概率塌缩到某个本征态上。如果量子态不是测量的本征态，就一定会改变量子态。 例如 bb84 量子密钥协议6中（详见第二章） ，alice 随机地选用+基制备水平偏振态?| 和竖直偏振态?| ，选用基制备右斜 45 度偏振态?| 和左斜 45度偏振态?| ， 窃听者不知道alice选用的基， 而量子态?| 、?| 与?| ，?| 之间是非正交，由（3）她不能区分这两组量子态，惟有随机地选择测量基，她有 50%的几率会选择+基测量右斜 45 度偏振态?| ，则有 +?| =12(?| +?| ) （1.7） 这就表示她会有50%几率将右斜45度偏振态?| 改变为水平偏振态?| ， 有50%的几率将右斜 45 度偏振态?| 改变为竖直偏振态?| 。 这样的后果就是破坏了原来的量子态，给 alice 和 bob 留下窃听操作的“痕迹” 。 1.4 论文主要内容 论文主要针对光纤量子密钥分配关键技术作的研究，包括端到端量子密钥分配系统的高速远距离技术与量子密钥分配网络的组网技术。 第二章介绍量子密钥分配的典型协议和系统，协议主要介绍著名的 bb84协议和实用的诱骗态方法，系统介绍了首个量子密钥分配系统、相位编码密钥分配系统和 10ghz 差分相位量子密钥分配系统。 第三章和第四章是论文的主体部分，重点介绍我们近年来在端对端量子密钥分配系统和量子密钥分配网络方面所做的工作。 在端对端量子密钥分配系统方面，自提出稳定的 faraday-michelson 干涉环结构以来，我们研究小组一直致力于量子密钥分配系统实用化的研究。为了解决相位漂移的问题，提出主动相位补偿的方案；为了提高安全传输距离，将诱骗态方法引入系统，还尝试了标记单光子源方案，对诱骗态标记单光子源方案第一章 绪论 - 7 - 中光强波动的实际问题也作了深入探讨；为了提高传输速度，改进了电子学控制系统，将速度提高到 20mhz，还尝试了差分相位量子密钥分配方案，进一步将速度提高到 2ghz，传输距离提高到 260 公里；此外还提出用连续光实现高速远距离量子密钥分配的方案，并对其进行了实验验证。 端对端量子密钥分配系统的研究是为量子密钥分配网络作铺垫，多个端对端量子密钥分配系统有机组合在一起就构成了量子密钥分配网络，这就涉及到量子密钥分配网络的组网技术。在量子密钥分配网络方面，我们小组提出的全时全通量子路由器已获国际专利， 并于 2007 年在北京网通实地光纤网络上搭建四节点量子密钥分配网络加以检验；在此基础上，我们又提出了波长节约型全时全通量子路由器的结构，节约 50%甚至是 75%的波长，并于 2009 年在芜湖电信实地光纤网络上搭建两波长五节点量子密钥分配网络加以检验，该波长节约型网路中量子密钥分配链路中使用的就是 20mhz 系统；此外，我们在 2009年搭建的芜湖多层级量子政务网，融合量子路由器、量子交换机和可信任中继等三种主流组网技术，通过和芜湖市政府合作，将量子密钥分配技术实用化的进程推进了一大步。 第五章是研究工作的总结， 并展望光纤量子密码技术研究方向未来的工作。 第一章 绪论 - 8 - 参考文献 1 stinson, d. r. 著，冯登国 译，密码学原理与实践（第二版） ，电子工业出版社 (2003). 2 莫小范，量子密码的实验研究，中国科学技术大学博士学位论文 (2006). 3 shor, p. w., algorithms for quantum computation: discrete logarithms and factoring, proceedings 35th ieee symposium on foundations of computer science, 20-22 (1994). 4 grover, l. k., a fast quantum mechanical algorithm for database search, proceedings of the twenty-eighth annual acm symposium on theory of computing 212-219 (1996). 5 assche, g. v., quantum cryptography and secret-key distillation, cambridge university press (2006). 6 bennett, c. h. and brassard, g., quantum cryptography: public key distribution and coin tossing, proceedings of ieee international conference of computers systems and signal processing, 175-179 (1984). 7 singh, s. 著，朱小篷，林金钟 译，密码故事：人类智力的另类较量，海南出版社 (2001). 8 bennett, c. h. et al. experimental quantum cryptography, journal of cryptolog, 5, 3-28 (1992). 9 lo, h. k. and chau, h. f., unconditional security of quantum key distribution over arbitrarily long distances, science, 283, 2050-2056 (1999). 10 shor, p. w. and preskill, j., simple proof of security of the bb84 quantum key distribution protocol, physical review letters, 85, 441-444 (2000). 11 gottesman, d. et al. security of quantum key distribution with imperfect devices, quantum information and computation, 4, 325-360 (2004). 12 hwang, w. y., quantum key distribution with high loss: toward global secure communication, physical review letters, 91, 057901 (2003). 13 wang, x. b., beating the photon-number-splitting attack in practical quantum cryptography, physical review letters, 94, 230503 (2005). 第一章 绪论 - 9 - 14 lo, h. k., ma, x. f. and chen, k., decoy state quantum key distribution, physical review letters, 94, 230504 (2005). 15 takesue, h., et al., 10-ghz clock differential phase shift quantum key distribution experiment, optics express, 14, 9522-9530 (2006). 16 takesue, h. et al., quantum key distribution over a 40-db channel loss using superconducting single-photon detectors, nature photonics, 1, 343-348 (2007). 17 stucki, d. et al., high rate, long-distance quantum key distribution over 250 km of ultra low loss fibres, new journal of physics, 11, 075003 (2009). 18 elliott, c. building the quantum network, new journal of physics, 4, 46.1-46.12 (2002). 19 peev, m. et al. the secoqc quantum key distribution network in vienna, new journal of physics, 11, 075001 (2009). 20 chen w. et al. field experiment on a star type metropolitan quantum key distribution network, ieee photonics technology letters, 21, 9-12 (2009). 21 xu, f. x. et al. field experiment on a robust hierarchical metropolitan quantum cryptography network, chinese science bulletin, 54, 2991-2997 (2009). 22 sasaki, m. et al. field test of quantum key distribution in the tokyo qkd network. eprint arxiv: quant-ph/1103.3566. 23 gisin, n. et al., quantum cryptography, reviews of modern physics, 74, 145-195 (2002). 24 wootters, w. k. and zurek, w. h., a single quantum cannot be cloned, nature, 299, 802-803 (1982). 25 preskill, j., quantum information and computation, california institute of technology (1998). 26 李承祖，量子通信和量子计算，国防科技大学出版社 (2000). 第二章 量子密钥分配典型协议和系统 - 11 - 第二章第二章 量子量子密钥分配典型密钥分配典型协议协议和系统和系统 本章主要介绍典型的量子密钥分配协议和典型的量子密钥分配系统。在量子密钥分配协议部分，重点介绍了 bb84 协议和诱骗态 bb84 协议，对 b92 协议、六态协议、e91 协议和差分相位协议也作了简要介绍，其他的典型协议如连续变量量子密钥分配协议由于本论文中后面没有涉及，所以并未作介绍。在量子密钥分配系统部分，介绍了首个量子密钥分配系统、相位编码量子密钥分配系统和 10ghz 差分相位量子密钥分配系统。 2.1 典型协议 2.1.1 bb84 协议 bb84 协议是由 bennett 和 brassard 在 1984 年提出的第一个量子密钥分配协议1。该协议用到四个偏振态，分属于两组非正交基，故也称四态协议。 在 bloch 球面上，共有三组非正交的基，每组基下的两个偏振态是正交的（如图 2.1 所示） 。六个偏振态分别是水平偏振态、竖直偏振态、右斜 45 度偏振态、左斜 45 度偏振态、右旋圆偏振态和左旋圆偏振态。 图图 2.1 bloch 球面上的六个偏振态 第二章 量子密钥分配典型协议和系统 - 12 - 在这里描述 bb84 协议时选用水平偏振态?| 、竖直偏振态?| 、右斜 45度偏振态?| 和左斜 45 度偏振态?| ，其中?| 和?| 同属于+基，?| 和?| 同属于基。两组基下偏振态的关系如下： ?| =12(?| +?| )?| =12(?| ?| )?| =12(?| +?| )?| =12(?| ?| ) （2.1） 四个态之间关系如下： ?| =?| = 0?| =?| =?| =?| = 1|?| |2= |?| |2= |?| |2= |?| |2=12 （2.2a） （2.2b） （2.2c） 式（2.2a）表示，同属于+基的水平偏振态?| 和竖直偏振态?| 相互正交，同属于 基的右斜 45 度偏振态?| 和左斜 45 度偏振态?| 相互正交；式（2.2b）表示四个态都是归一化的；式（2.2c）表示属于不同基的偏振态不正交，且均有12的叠交几率。 两组基+和 可以表示为 +=?| | +?| |?=?| | +?| |? （2.3） 如果用这两组基测量四个偏振态，会有如下的输出 +?| =?| +?| =?| +?| = (?| +?| )/2+?| = (?| ?| )/2?| =?| ?| =?| ?| = (?| +?| )/2?| = (?| ?| )/2 （2.4） 式（2.4）表示，水平偏振态?| 和竖直偏振态?| 是+基的两个本征态，右斜 45度偏振态?| 和左斜 45 度偏振态?| 是 基的两个本征态。 用+基测量?| 和?| 以及用 基测量?| 和?| 可以正确地测量出偏振态，而用基测量?| 和?| 以及用+基测量?| 和?| 则无法确定性地判定出输入的偏振态。 bb84 量子密钥分配协议的流程如下： 第二章 量子密钥分配典型协议和系统 - 13 - （1） 需要进行量子密钥分配的通信双方 alice 和 bob 通过相关协议进行身份认证，确定双方身份。 （2）发送方 alice 制备一系列的光子发送给接收方 bob，每个光子的偏振态独立随机地从水平偏振态?| 、竖直偏振态?| 、右斜 45 度偏振态?| 和左斜 45度偏振态?| 四个偏振态中选取，如果 alice 发送光子的偏振态为水平偏振态?| 或者竖直偏振态?| ，则称 alice 选择+基制备光子，如果 alice 发送光子的偏振态是右斜 45 度偏振态?| 或者左斜 45 度偏振态?| ， 则称 alice 选择基制备光子。 （3）接收方 bob 与 alice 完全独立地随机选取+基和 基测量 alice 发送过来光子的偏振态，并记录下测量到光子的位置信息。 （4）alice 和 bob 对基，即双方仅保留基相同（alice 制备基和 bob 测量基）并且 bob 测量到光子位置的光子偏振态信息，双方基不同时则直接抛弃相关信息。 （5）alice 和 bob 将保留的光子偏振态信息转换成相应的密钥比特信息，即步骤（3）中保留的光子偏振态按水平偏振态?| 和右斜 45 度偏振态?| 转换为比特“0” ，竖直偏振态?| 和左斜 45 度偏振态?| 转换为比特“1” 。 （6）alice 和 bob 通过经典公开信道对步骤（5）中获得的密钥比特进行处理，其过程主要分成纠错和保密放大来进行，纠错就是使得密钥比特一致，而保密放大（privacy amplification）就是将可能泄漏给窃听者的信息剔除掉。 上面步骤中的（1）常称为“前处理” ， （6）常称为“后处理” ，均是经典信息处理的过程，也是量子密钥分配必不可少的步骤。后面描述量子密钥分配协议和系统时将不再重复描述前处理和后处理部分。通常称步骤（5）获得的密钥比特为sifted key