《空间量子密钥分发（QKD）系统技术要求》

23.4通信双方使用空间信道传送量子态的量子密钥分发技术。描述本规范所涉及的缩略语内容。QKDQuantumKeyDistribution量子密钥分发NRBGNon-DeterministicRandomBitGenerator非确定性随机比特发生器PATPointing,AcquisitionandTracking瞄准、捕获、跟踪QBERQuantumbiterrorrate量子比特错误率DV-QKDDiscrete-VariableQuantumKeyDistribution离散变量量子密钥分发CV-QKDContinuous-VariableQuantumKeyDistribution连续变量量子密钥分发PM-QKDPrepare-and-MeasureQuantumKeyDistribution制备和测量量子密钥分发对基、纠错、安全增强等环节，生成收发双方一致的共享密钥，并向密钥管理器提供安全密钥输出，实现空间信道中通信双方，或空间平台与地面节点间的密钥安全分发。空间QKD系统QKD模块外部接口的通用描述如图1所示，该外部架构参考了GB/T47679.1-2026标准中的相关规定。空间QKD系统QKD模块的对外接口包括，用于发送或接收经典信息与量子信息、连接量子信道与经典信道的接口，用于支持操作者控制和管理QKD模块功能的接口（即控制和管理接口），以及QKD模块与外部密钥管3保障信息在交互和留存过程中的机密性。同时它也可完成身份认证、完整性校验等工作，防范非法访问与数QKD的功能能通过不同类型的协议实现，并可依据不同角度进行分类。本文件参考了GB/T47679.1-2026中对QKD协议的分类方法。基于QKD协议的结构进行分类，可分为制备-测量QKD（PM-QKD）协议和测量设备无关的QKD（MDI-QKD）协议，在制备-测量QKD（PM-QKD）协议中，发送方制备量子态后，通过量子信道发送给目标接收方，接收方对接收到的量子态进行测量后获得原始密钥数据。测量设备无关的QKD（MDI-QKD）协议接收方对这些量子态进行联合测量。基于纠缠的QKD协议有两个接收方和一个发送方，每个接收方通过量子收方对各自接收到的部分进行测量从而生成原始密钥数据。结构，如图2所示。空间QKD系统由空间QKD发送模块和空间QKD接收模块两部分组成，通过量子信道和经典信道实现双向交互，构成完整的密钥分发链路。该架构延用了GB/T47679.1-2026中的要求，增加了空间QKD系统的专用部件。空间QKD发送模块由系统控（非确定性随机比特发生器）及隔离器等组成。空间QKD接收模块由系统控制和管理部件、同步信号接收器、信道建立和维持部件、密钥管理部件、后处理部件、探测器、解码器、NRBG及隔离器等组成。其中空间QKD4发送模块一般位于卫星QKD系统，空间QKD接收模块一般位于地面站QKD系统。图1中虚线标注的模块部分是可选的，深色器件是量子光学器件。量子态制备、量子态传输、量子态测量、对基、纠错、安全增强功能。a)量子态制备功能是指发送模块的信号源生成量子态作为信息的载体，并通过编码器将量子态随机加载在对应的光信号上的功能。量子态可由偏振、相位、时间、自旋、动量等物理量表征。b)量子态传输功能是指发送模块将加载了信息的量子态发送给接收模块的功能。c)量子态测量功能是指接收模块对发送模块发来的已加载了信息的量子态进行测量的功能。d)对基功能是指发送模块与接收模块进行基矢比对，双方只保留收发两端所使用相同基矢的数据。e)纠错功能是指对发送模块与接收模块筛选后密钥中的量子比特误码进行纠正。f)安全增强功能是指发送模块与接收模块对纠错后密钥进行数学处理，从中提取产生共享密钥。g)空间量子密钥分发系统应实现空间信道建立和维持的功能，通过空间信道完成量子信号、同步信号、经典协商信道的传递，支撑上述量子密钥分发协议在空间条件下顺利完成。性能要求，所有指标要求应适配QKD协议的执行要求。系统的单轨成码量和密钥生成速率应满足用户应用需求。空间QKD系统主要参数详细见表1。参数名称参数值产生的共享密钥的随机性/应遵循GB/T32915-2026的要求共享密钥一致性/发送端和接收端产生的共享密钥应一致本文件针对上文中描述的典型空间PM-QKD系统内部功能元素的通用结构中的重要组部件，进行技术要求规范，未涉及组部件应辅助QKD模块实现QKD系统功能。一个典型的PM-QKD，即诱骗态BB84协议及其流程见附8.1.1信号源光源生成作为量子密钥分发协议中的量子态信号的光信号。光源模块可包含强度调制器件实现诱骗态调制,光源的重复频率和波长可根据系统使用场景确定。光源性能要求见表2。5参数名称参数值平均光子数/<1重复频率偏差/波长偏移8.1.2非确定性随机比特发生器制信号。随机数发生器应符合密码行业相关认证要求，应通过密码产品随机数检测，具体要求见GB/T非确定性随机比特发生器性能要求见表3。参数名称参数值随机数生成速率Mbit/s大于2倍的信号重复频率/满足GB/T32915-2026要求8.1.3编码器参数名称参数值调制频率/不小于光源重频编码准确度/不小于99%8.1.4同步信号发射器同步信号发射器在空间QKD发送端系统时钟控制下产生用于传输同步时钟信息的光信号,可采用多种实现8.1.5信道建立和维持部件空间QKD系统的信道建立和维持部件应实现空间链路的建立和维护，支撑空间QKD流程。该部件可包含用光路以及大量光学电子学设备，本文档不对具体某些组件的性能参数进行要求，而是对整个信道建立和维持发送模块的信道建立和维持部件的主要性能参数见表5。参数名称参数值量子态保真度跟瞄精度不大于0.2倍的量子光信号发散角量子光信号发散角68.2.1解码器空间QKD接收模块使用解码器件解调由发送端发出的经过编码的量子光信号。解调方式取决于具体的QKD协议和编码方案，包括但不限于：相位、偏振、时间等等。量子态解调模块参数见表6。参数名称参数值解码保真度8.2.2非确定性随机比特发生器空间QKD接收模块的非确定性随机比特发生器为可选配置,在测量基矢主动选择模式下,生成随机数作为具体要求见GB/T32915-2016。8.2.3探测器空间QKD接收模块可使用若干个探测器,对解调后光信号进行探测,通过确定与测量基矢相对应的探测器中的探测响应事件及其响应时间,完成量子光信号的测量。探测器参数见表7。参数名称参数值探测效率8.2.4同步信号接收器（可选）8.2.5信道建立和维持部件空间QKD接收模块的信道建立和维持部件包含用于平行光接收的接收望远镜组件，瞄准捕获跟踪（PAT）学设备，此处我们不对具体某些组件的性能参数进行要求，而是对整个接收光学模块的性能参数进行要求。接收模块的信道建立和维持部件的主要性能参数见表8。参数名称参数值接收光学模块跟瞄精度不大于0.2倍的量子光信号接收视场接收光学模块量子光信号接收视场8.3.1系统控制和管理部件7——操作者识别/认证；——与安全相关的信息的访问控制，可依赖基础操作系统使之生效；管理部件的所有配置应允许该模块生成安全的共享密钥。——与遥测遥控设备数据上行与下行交互。8.3.2密钥管理部件密钥管理部件应实现空间QKD系统QKD模块与密钥模块内部的密钥的密钥管理功能。其中，密钥输出和输入接口可采用多种实现方案。密钥管理部件应符合密码产品类标准的相关技术要求。具体而言，密钥管理部件应实现：——将生成的共享密钥的部分密钥材料，从QKD模块上传至密钥管理器；——可选择从外部密钥管理器下载预共享密钥，该预共享密钥用于初始QKD会话的QKD认证；——存储预共享密钥以及生成的共享密钥用于消息认证的部分；——保障密钥上传、下载过程的保密性和完整性；——对不再需要的密钥材料进行安全销毁；——密钥需离线加密存储，严控访问权限并定期轮换，严防泄露与篡改。8.3.3后处理部件81984年，CharlesH.Bennett和GillesBrassard提出了历史上第一个量子密钥分发协议，这就是BB84协议。目前为止，在所有对量子密钥分发协议的研究中，关于BB84协议的研究是最为深入和广泛的。在密码学领域，被研究的深入程度和时间长短，是衡量一个密码协议安全性能的重要指标。在这一层面，BB84协议标准BB84协议要求发送端使用单光子源进行量子态的制备，然而，目前的单光子源技术尚不成熟，实数分离攻击（PNS）的风险，并因此导致安全成码率的下降。这使得QKD的信息论安全性在标准的BB84协议中完全受到损害。为了解决这一难题，诱骗态BB84协议被提出。通过在光源发射的信号态中随机加入一些诱骗态，来监测系统是否受到窃听攻击。诱骗态和信号态除了强度不同，即平均光子数不同，其他属性是完全相同的。这意味着窃听方在进行光子数测量之后，无法判断所得到的光子数态来自于哪一个强度的光源，在发动光子数分离攻击时，不可避免的会影响接收端探测的计数率和误码率的分布，发送端和接收端就可以通过诱骗态协议发现窃听方的存在，从而保证了QKD系统的源端安全性。图A.1诱骗态BB84协议的流程量子态制备指的是发送端制备量子态作为密钥信息的载体，并且将其随机加载在对应光脉冲上，即进行编码。主要包括基的制备、态的制备和光强的制备，以及脉冲信号的时域、频域一致性。发送端和接收端选择二维希尔伯特空间中两组标准正交基，且这两备的两组基称为测量基。每组基包含两个正交的量子态，即发送端应制备四种量子态，量子态可以由偏振、相位、自旋、时间、动量来表示。以诱骗态协议中常使用的三态协议为例，量子态具有三种不同强度，可分9别作为信号态、诱骗态和真空态，信号态和诱骗态除了平均光子数之外是完全相同的。除此之外，各种量子态之间在其他测量属性上也有要求。量子态传输指的是发送端将加载了含有密钥信息的量子态的脉冲信号通过光纤或自由空间等量子信道发送给接收端，并记录所发光脉冲的光强制备信息和编码信息。量子态测量包括量子态的解码和量子态信息的探测。解码过程指的是接收端随机选择一个测量基对发送端发来的加载了信息的量子态进行解调。探测过程指的是接收端通过单光子探测器对作为量子信息载体的单个光子进行探测，将探测到的量子态信息转换成经典比特信息，得到原始密钥。协议后处理包括对基、参数估计、纠错和安全增强。对基指的是发送端和接收端通过经典信道将量子态制备时用的编码基与解码时用的测量基进行比对。比对结果一致的，双方保留，生成筛选后密钥，比对结果为不一致的，双方丢弃该原始密钥。参数估计指的是发送端和接收端根据筛选后密钥，计算量子比特误码率统计，并进行系统安全性判定。若QBER越限，则判定系统不安全，丢弃筛选后密钥，终止协议流程。纠错指的是发送端和接收端纠正两端筛选后密钥中的量子比特误码，获得一致的密钥，即纠错后密钥。安全增强指的是发送端与接收端估算压缩比，对纠错后密钥进行杂凑，获得最终密钥。BB84协议要求发送端采用单光子源作为光源。目前实际QKD系统主要采用弱相干光作为发送端的光源。GLLP分析框架针对弱相干光源得出的重要结论是：只有单光子脉冲信号才能够产生安全密钥。因此，如何根据实验数据准确估计出其中单光子成分的贡献，是计算安全密钥率的核心问题，诱骗态协议的提出解决了这一问题，促进了QKD系统的实用化发展。接收端对不同强度的光脉冲都执行相同的探测。在完成探测后，发送端会宣布其使用每个脉冲的强度，接收端可以根据不同的光脉冲强度设置，将探测结果进行分类统计，得到不同光强下的探测计数率和误码率。一)(1__η)nY0——探测器的背景噪声计数率，主要包括SPD的暗计数和其他背景噪声。η——信道透过率和探测效率的总和。e0——探测器背景噪声引入的额外的误码率，即真空态误码率，通常认为趋于0.5。ed——光子进入错误探测器的概率，是接收端对n光子态的探测误码率的另一来源。式（B.3）和式（B.4）表示的物理量是可以在QKD过程中直接得到的。同时，由式（B.1）和式（B.2）可以看出，计数率和误码率只依赖于光子数n，而不依赖于量子态来源于哪个强度分布。根据这个特性，我们可以求解不同强度下的探测结果组成的方程组，得到单光子态脉冲的计数率Q1和误码率e1。诱骗态，二者满足μ<v；⑴为真空态，强度为0。在引入诱骗态协议后，QKfEμH2Eμ}（B.5）q——基矢筛选效率，通常取值为0.5。μ——信号态的平均光子数。Y1——单光子态的计数率，计算公式见式（B.6）。H2(x)——二值香农熵函数。f(Eμ)——误码率为Eμ时的纠错效率。其中，单光子计数率的下限和误码率的上限分别为安全增强过程中，发送端和接收端结合对基过程和纠错过程中得到的参数，对纠错后密钥进行杂凑，将其输出为长度为l的最终密钥。这些计算所需的参数，由系统关键参数的设计值和在形成长度为N（安全增强密钥长度）的纠错后密钥期间的实时统计值组成。安全密钥长度l的计算公式由式（B.8）~式（B.11）给出。s（B.9）pμ、pμ、p0——信号态、诱骗态和真空态脉冲产生概率的设计值;pμ_pub——信号态筛选后密钥中用于参数估计的公开比例的设计值;nleak——纠错过程公开的信号态筛选后密钥数量的统计值;Mμ、Mv、M0——一次保密放大周期内信号态、诱骗态和真空态脉冲生成的筛选后密钥数量的统计值；v——一次保密放大周期内信号态和诱骗态筛选后密钥中错误比特数量的统计值。由上述系统设计值和实时统计值，可以计算得到QKD系统控制处理模块协议后处理相关的关键参数：信号态误码率，诱骗态误码率，纠错处理效率，接收端对信号态的探测率，接收端对诱骗态的探测率，接收端对真空态的响应率，安全增强过程中的压缩比，单次密钥成码率。需