量子密码学进展

 电话：010-58330898 手机：18501361766

微信：tech99999 邮箱：qianyanjun@techxcope.com

摘　要：量子密码学可以说是量子信息科学中发展最快的领域。在这篇综述中，我们对这一领域的最新进展，包括理论和实验两个方面进行了概述和最新的描述。我们首先回顾了基于离散变量系统的量子密钥分配协议。接下来，我们考虑了设备独立性、卫星挑战以及基于连续变量系统的高速率协议。然后，我们将讨论点对点私人通信的极限，以及量子中继器和网络如何克服这些限制。最后，我们将讨论量子密码学在标准量子密钥分配之外的一些应用， 包括量子数据锁定和量子数字签名。

关键词：量子学；密码；QKD；卫星通信；黑客攻击

0　引　言

1　量子密钥分配的基本概念

2　实验性DV-QKD协议

2.1　探测器技术

2.2　诱饵状态BB84

2.3　差分相移QKD

2.4　单向相干

2.5　DV MDI-QKD

2.6　高维 QKD

2.7　光子集成电路

量子信息是第二次量子革命背后的核心科学。这是基于量子力学最强大的特性和资源，如量子纠缠、隐形传态和不可克隆定理的新型技术的快速发展。在这种情况下，由于跨国公司参与了开发第一台大型量子计算机的竞争，因此量子计算最近获得了很大的发展。特别是，基于约瑟夫森结的超导芯片正在迅速增加其量子比特的数量，并且很快可能开始使用Shor算法对非平凡整数进行因式分解。Rivest-Shamir-Adleman（RSA）协议和其他公钥密码系统面临的威胁不仅来自量子计算，还来自数论的潜在进步。在这领域中，可以为经典图灵机找到一种有效的因式分解算法。

需要了解的一点是，当前经典密码系统的脆弱性不仅是对当前的潜在威胁，而且是对未来更为严重和现实的威胁。今天，窃听者可能截获他们无法解密的密码。然而，一旦技术上有足够大的量子计算机可用，他们就可以存储这些加密的通信并等待其解密。这意味着消息的机密性可能具有非常有限的生命周期。在Michele Mosca之后，我们可以写出一个简单的不等式。我们称x 为安全有效期，它是我们需要经典密码密钥来保证安全的时间长度。然后，我们称y为迁移时间，这是使用量子安全加密来适应当前经典基础设施所需的时间。最后，我们称z为崩塌时间，也就是建造一台大型量子计算机的时间。如果x+y＞z，那我们有理由为此而感到“担心”。

因此，显然有必要采取适当的对策。一种方法称为后量子密码学。这是对分解和其他量子算法具有鲁棒性的新型经典密码系统的发展。当然，这只是一种选择，不能完全解决问题。关键是可能存在尚未发现的量子算法，可能会轻易破坏新密码系统的安全性。换句话说，后量子密码技术可能仅提供该问题的部分和临时解决方案。相比之下，量子密钥分发（QKD）提供了最终的解决方案：通过诉诸坚不可摧的自然原则来恢复安全性和机密性。

尽管QKD为安全问题提供了最终的解决方案，但其在现实中很难实现，并且存在许多有待解决的开放性问题。一方面，完全独立于设备的QKD协议提供了最高级别的量子安全性，但它们的实现要求很高，并且具有极低的密钥速率。另一方面，更实际的QKD协议假设设备具有一定程度的可信性，这一假设允许它们实现合理的速率，但这也会导致危险的侧信道攻击。

除了在安全性和速率之间进行权衡之外，还有一个重要的权衡就是速率和距离。今天，我们知道存在一个基本限制，它限制了QKD的任何点对点的实现。给定具有传输率η的有损链路，双方分配的密钥容量不能超过信道的密钥容量-log2（1-η），也就是说，长距离使用的每个信道秘密比特的比例为1.44η。基于连续变量系统和高斯状态的QKD协议的理想实现可能接近这个容量，而基于离散变量的QKD协议由于附加因素而低于此容量。为了克服这一限制，实现QKD的长距离高速实现，我们需要发展量子中继器和量子网络。通过这种方式，我们可以实现更好的远程扩展，并通过使用更复杂的路由策略来进一步提高速率。量子中继器和安全QKD网络的研究是当今最热门的课题之一。

本文综述了量子密码学领域最重要和最新的进展，包括理论和实验两方面。在简要介绍了QKD协议的一般概念之后，我们将回顾基于离散和连续变量系统的主要QKD协议。我们将考虑标准QKD、设备独立QKD和测量设备独立QKD。我们将讨论主通信信道的各种安全级别，从渐近安全性证明到有限尺寸效应和可组合性方面的分析。我们还将简要回顾量子黑客攻击和侧信道攻击。然后，我们将介绍在探索QKD极限方面的最新进展。特别是，我们将讨论与量子信道最重要模型相关的密钥容量，我们可以通过这些模型实现点对点QKD协议，以及它们在量子中继器和网络中的扩展。最后，我们将讨论QKD以外的主题，包括量子数据锁定、量子随机数生成器和量子数字签名。

在我们的回顾中，我们既考虑离散变量系统，如有限维Hilbert空间中的量子比特或其他量子系统，也考虑连续变量系统，如由无限维Hilbert空间描述的电磁场的玻色子模式。关于这两个方面有很多评论和书籍。本文中将重复一些概念，但我们通常假设这些概念为基础知识。在这里，我们提到了适用于两种类型系统的一些常规方面。

一个通用的QKD协议可以分为两个主要部分：量子通信和经典后处理。在量子通信中，发送者（Alice）将随机经典变量α的实例编码为非正交量子态。这些状态通过一个量子信道被发送，窃听者（Eve）试图窃取编码信息。量子力学的线性特性使其无法进行完美的克隆，使得窃听者只能在干扰量子信号的同时获得部分信息。在通信信道的输出端，接收者（Bob）测量输入信号并获得随机经典变量β。在多次使用该信道后，Alice和Bob共享由两个相关变量α和β描述的原始数据。

远程用户使用部分原始数据来估计信道的参数，例如其透射率和噪声。为了评估从剩余数据中提取私有共享密钥的后处理量，此阶段的参数估计非常重要。根据这些信息，实际上执行了一个纠错阶段，允许检测和消除错误，然后是隐私放大阶段，将Eve窃听的信息减少到可以忽略不计的程度。

根据猜测的变量，我们可以进行直接调节或反向调节。在直接调节中，Bob对其结果进行后处理以推断Alice的编码。此过程通常通过从Alice到Bob的转发来辅助。相反，在反向调节中，是Alice对她的编码变量进行后处理，以推断Bob的结果。当然，可以更一般地考虑双向过程，其中密钥的提取由前向和反馈辅助，甚至可以与协议的各种通信回合交织。

有时，QKD协议以基于纠缠的表示形式确定。这意味着，Alice对状态输入集合的准备被纠缠状态AB代替，纠缠状态AB的一部分由Alice测量。A部分的测量具有有条件地准备B部分的状态的作用。

测量的结果与准备好的状态中编码的经典变量是一一对应的。此表示形式对于QKD协议的研究特别有用，因此它们的准备和度量公式被基于纠缠的公式代替，以评估安全性并推导出密钥率。

原始的BB84协议需要完美的单光子源，一次只能发射一个光子。众所周知，这些光源很难制造，因此它们已被相干状态源所代替，这些状态源被严重衰减到每个脉冲的光子的一小部分。但是，由于每个脉冲具有超过一个光子的可能性，因此这些来源导致了安全隐患，并且已经提出并证明了光子分裂攻击利用了安全证明中的错误假设。

如前所述，已经提出了一种严格的安全分析，其思想是估计后处理中安全信号的比率。对于实际光源，安全性分析中发现的界限并不严格，从而导致系统性能下降。为了解决这个问题，已经提出了几种具有不同编码方案的新颖协议，在以下各节中，我们将详细解释其实现的发展。尽管编码方案不同，但是所有DV QKD系统都具有共同的单光子检测器来检测到达状态。为了实现高密钥率，高计数率和低空载时间是必要的。

2.1　探测器技术

在接收器侧，分束器，干涉仪或类似设备对以各种自由度编码的信息进行解码。光学处理后，光子被单个光子检测器检测。

砷化铟镓（InGaAs）光电二极管通过在高于击穿电压的反向电压下工作时在光子吸收处产生强电子，从而检测单个光子。然而，强电流会导致带有缺陷的电子俘获。它们自发释放触发第二个脉冲，即所谓的后脉冲。抑制后脉冲的常用方法是门控。为了进一步抑制此后脉冲并允许超过1 GHz的门控频率，引入了一种自区分技术。APD在-30GHz的温度下工作，其门控频率为1.25GHz，获得100 MHz的计数率，检测效率为10.8％，后脉冲概率约为6％，暗计数率约为3 kHz。

为了实现更高的量子效率，尤其是更低的暗计数率，已经开发了超导纳米线单光子探测器（SNPD）。它们由一根几纳米厚、几百纳米宽、长数百微米的纳米线组成。它们以曲折结构紧凑地图案化，并填充了芯片上的正方形或圆形区域。将纳米线冷却至其超导临界温度下，然后施加恰好低于超导临界电流的偏置电流。入射光子破坏纳米线中的库珀对，从而将超导临界电流降低到偏置电流以下，从而产生可测量的电压脉冲。最近的发展表明，暗计数速率为0.1 Hz时，在0.8 K的温度下具有26 ps的低抖动和80％的量子效率。SNSPD已集成到光子电路中。

2.2　诱饵状态BB84

诱饵状态QKD极大地增加了衰减相干激光脉冲源的安全性和距离，并且与单光子源相比更加实用。第一个实现是在2006年以一个诱饵状态通过修改商用双向idQuantique 系统执行的。在具有相位编码的双向协议中，Bob将明亮的激光脉冲发送给Alice，后者将其衰减到单光子能级并施加相移后，将其返回Bob进行测量。在将脉冲发送回Bob之前，通过插入Alice电台的声光调制器将脉冲强度随机调制为信号状态或诱饵状态。不久之后，同一小组实施了带有额外真空状态的两个诱饵状态协议，以检测背景和暗计数检测概率。

2007年，三个小组同时报告了在单向QKD系统中演示两诱饵状态BB84的情况。在参考文献中，第一组采用相位编码技术，在实验室中利用光纤绕线轴实现了107km的安全密钥生成，在参数估计中加入了有限统计，密钥速率达到了12bit/s。用调幅器对重复频率为2.5MHz 的DFB半导体激光器产生的诱饵态脉冲进行调幅。为了检测，使用了单光子敏感的超导过渡边缘检测器。

第二组在加那利群岛La Palma和Tenerife之间的144 km自由空间链路上演示了两个诱饵状态QKD，衰减为35 dB。极化状态由BB84编码。发射器中使用了四个850nm 激光二极管，与相邻的二极管成45°角。其中一个以10MHz的时钟速率发射了2 ns的脉冲。高强度的诱饵状态是由两个同时发射脉冲的激光二极管随机产生的，而在真空状态下则没有脉冲产生。接收器使用偏振分束器和四个光电探测器进行偏振分析。实现了12.8bit/s的安全密钥率。

第三组使用偏振编码并演示了在102 km的光纤上生成密钥的过程。发射器由10个激光二极管组成，每个二极管在1550 nm的中心波长处产生1 ns的脉冲，重复频率为2.5MHz。利用四个半导体激光器分别产生信号和高强度诱饵态，利用偏振控制器将半导体激光器的输出偏振态转换为四个BB84态之一的偏振态。使用两个附加的激光二极管来校准以时分复用方式执行的两组偏振基础。使用多个分束器和偏振分束器的网络将10个激光二极管的输出路由到单根光纤。附加的密集波分复用滤波器可确保发出的光子的波长相等。接收器由两个单光子探测器和一个随机选择一个偏振基准的开关组成。

利用InGaAs光子检测（APD）的先进技术在2008年证明了以GHz为时钟的诱饵态QKD在自差分模式下运行。自差分电路可以检测到较小的电荷，从而减少了脉冲发生的可能性，并且减少了停滞时间。在1.036GHz时钟频率下演示的QKD系统基于实现 BB84 协议的相位编码系统，并使用由强度调制器产生的两个诱饵状态。使用色散位移单模光纤是因为对于65 km以上的通道，必须在标准SMF28单模光纤中补偿色散。

在标准BB84协议中，Bob有50％的时间错误地进行了度量。此外，在诱饵状态BB84中，比其他状态更频繁地发送具有更高强度的状态是有利的。为了提高可用的信号生成率，引入了一种具有不对称基选择和高度不平衡强度的有效版本，并报告了一种实现方法。证明了该协议对集体攻击的可组合安全性，并用数值优化技术改进了参数估计。基于相位编码的GHz系统实现了1.09mbit/s 的安全密钥速率，而标准协议在50km光纤长度上的安全密钥速率为0.63mbit/s。其实验实现如图1a所示。

图1　离散变量 QKD 的典型实验实现

针对一致攻击的可组合安全性是最近才实现的。参考文献中描述了一个实验，该实验使用改进的双向商业即插即用QKD系统进行了演示，其中还包括了不完善的状态生成。通过单向相位编码系统进一步证明了针对相干攻击的安全性。使用后一种系统，作者在超低损耗光纤（0.18 dB / km）中实现了240 km的距离。使用检测效率为10％的APD，热电冷却器在-60° C时达到了10个计数/ 秒的暗计数速率。

现行的421 km超低损耗光纤（0.17 dB / km）的距离记录是通过简化的BB84方案以一个诱饵状态实现的。距离记录是通过优化各个组件并简化协议来实现的。该系统的时钟频率为2.5 GHz，并使用了暗计数率低于0.3 Hz的高效超导检测器。该协议基于使用时区编码的三种状态的方案。以Z为基础生成了两个状态，分别在第一时间仓和第二时间仓产生一个弱相干脉冲。第三个状态，即以X为基础的状态，是两个时间仓中两个脉冲的叠加。Z基本状态用于估计向窃听者泄漏的信息，但X基本状态用于生成原始密钥。实验设置如图1b所示。

2.3　差分相移QKD

差分相移QKD将信息编码为两个连续脉冲的差分相移。2004年，第一个采用这种编码技术的QKD系统在20 km光纤上被报道。来自外腔激光器的连续波激光二极管在1GHz处进行强度调制，以雕刻 125 ps 长的脉冲。之后，使用相位调制器将每个脉冲的相位随机调制为0或π。衰减器将光束衰减至每个脉冲0.1个光子。在接收机侧，使用不平衡的Mach-Zehnder 干涉仪测量两个连续脉冲之间的差分相位。非平衡Mach-Zehnder干涉仪的两个输出由门控单光子探测器探测到。Mach-Zehnder干涉仪就像波导一样，臂长差可以通过热量控制。

在另一个实验中，使用70ps长的2GHz脉冲串，在10km以上实现了Mbit/s范围内的安全比特率。在非平衡Mach-Zehnder干涉仪后的接收器处，光子以非线性过程进行转换，并由硅光电二极管检测到，该光电二极管能够以低时序抖动实现10MHz的计数率。

使用2GHz正弦门控光电二极管可在100 km内实现24 kbit/s的高速率。采用基于分束器和两个法拉第反射镜以及超导探测器的不等臂迈克尔逊干涉仪，在标准电信光纤中的最大传输距离可以提高到260km。其实验实现如图1c所示。DPS-QKD协议已在东京QKD网络上进行了测试。

2.4　单向相干

2005年报道了COW协议的第一个原理实施证明。对1550 nm连续波激光束进行了强度调制，以产生量子或诱饵状态，并使用可变衰减器将光束衰减至单光子水平。通过两个连续的脉冲将位编码为到达时间：一个真空状态接着一个相干态代表比特0，一个相干态接着一个真空态代表比特1。诱饵状态由两个相干状态表示。在接收器一侧，光束被抽头耦合器分开。当通过单个光子检测器检测到高透射率的输出时，将抽头注入具有不对称臂的干涉仪中，该臂干扰了两个脉冲。干涉仪的一个输出由单个光子检测器测量，测量结果用于计算可见度以检查信道干扰。

在625MHz的高时钟速度下，建立了一个全自动系统，并在已部署的150多千米电信光纤中进行了演示。采用连续波分布式光纤电信激光二极管、10GHz铌酸锂强度调制器和帕尔贴冷却InGaAs光电二极管实现了短距离的高时钟速度。同步是通过第二根光纤将同步信道和经典信道的波分复用来实现的。采用超低损耗光纤和低噪声超导探测器，传输距离达到了250 千米。虽然之前的实现都使用渐进式安全证明，但在2014年描述的实现中，考虑了有限尺寸效应，在25km光纤上，使用门控InGaAs探测器和FPGAs中的关键蒸馏技术，达到了21kbit/s。在这里，仅使用一根单独的光纤对量子波和所有经典信道使用密集波分复用来测试COW QKD系统。

据报告，2015年实施相干单向协议的系统的传输距离达到307千米。新型自由运行的InGaAs / InP负反馈检测器在153K下运行，具有低背景噪声和低光纤损耗，以及一个新的可组合有限密钥大小的安全性分析使结果得以实现。实验实现如图1d所示。

2.5　DV MDI-QKD

DV MDI-QKD于2013年由三个小组首次进行实验演示。第一组在卡尔加里的三个位置之间实施了MDI-QKD，Alice与不受信任的中继Charlie之间的距离约为12千米，Bob与Charlie之间的距离约为6千米。Alice和Bob的发射器使用1552 nm的衰减脉冲激光以及强度和相位调制器，以2 MHz的速率生成了时域量子比特。通过在三个强度级别（真空度、诱饵状态级别和信号状态级别）之间进行选择，实现了诱饵状态协议。两个发送器都通过位于Charlie的主时钟进行同步，该主时钟通过另一条部署的光纤以光学方式发送到各个站。Charlie 收到光子后，通过在平衡的分束器处叠加脉冲并使用门控In-GaAs单光子探测器以10μs的空载时间检测输出，进行了贝尔状态测量。

第二组在实验室里实现了50千米以上的协议。他们实现了与卡尔加里实验相似的量子位时域编码方案，但是使用了四个诱饵强度级别，每个脉冲平均具有0、0.1、0.2和0.5个光子。脉冲激光通过不平衡的Mach-Zehnder干涉仪馈入，以产生两个时区脉冲。出于稳定性原因， 使用位于恒温容器中的三个幅度和一个相位调制器来实现对量子位和诱饵的编码。经过25 km的光纤传输后，不受信任的中继器Charlie进行了与上述相同的贝尔状态测量。所采用的光电探测器使用了上转换技术，其中周期性极化的非线性过程将1550nm光子转换为 862nm，暗计数率为1kHz。

第三组实现了基于偏振量子位的原理验证演示，并演示了两个受信任方和中继之间超过8.5km长的光纤链路的QKD。采用连续波激光脉冲，用振幅调制器雕刻激光脉冲。采用可变光衰减器选择诱饵状态电平，并用自动偏振控制器进行偏振编码。继电器由一个平衡分束器和两个偏振分束器组成。四个门控 InGaAs单光子探测器的暗计数概率为15 ppm，空载时间为10μs。

然后，使用衰减为0.16 dB/km的超低损耗光纤将MDI-QKD的距离增加到200 km和404 km。为了实现如此长的通信长度，对MDI-QKD协议进行了优化，以改善统计波动对关键安全参数估计的影响。该方案由四个诱饵状态组成，

在X 基上有三个级别，在Z基上只有一个级别。对每个密钥的概率进行了优化，以获取最大的密钥率。使用五个强度调制器和一个相位调制器来实现这些功能。接收器的实现方式与上述前两个实验相同。超导单光子探测器提高了量子效率和暗计数率。此外，为了达到404千米的传输距离，记录了3个月内时钟速率为75 MHz的成功传输。达到的密钥速率为每秒 3.2×位。此外，在零传输距离下，通过引入脉冲激光种子技术，在1Ghz重复频率下实现了不可分辨的激光脉冲，密钥速率达到了1.6Mbit/s。这种新技术将主激光脉冲作为种子注入从激光器中，在规定的时间内触发受激发射，产生了非常低的定时抖动，接近于变换有限的脉冲。

为了证明量子网络上的MDI-QKD在100千米以上的星型拓扑结构中的应用，使用了具有成本效益的可商购硬件来构建基于时空编码的强大MDI-QKD系统。在其他小组中，也已经实现了类似的即插即用系统，该系统具有时间轴或极化编码，并且具有不同级别的抗环境干扰能力。

2.6　高维 QKD

大多数离散变量（DV）QKD 方案将量子态编码为量子位。回溯到 21 世纪初，人们对发展DV-QKD方案产生了相当大的兴趣，这种方案将光子编码成 d ＞ 2 的高维基态。这种方案提供了在每个光子中编码多个比特信息的能力。这种方案并非没有缺点，每一模式的信息密度降低为（log2d）/d。尽管如此，高维 QKD（HD QKD）可以比其同类产品提供更明显的优势。

当此速率受发送器和接收器之间的带宽不匹配限制时，HD QKD可以提高有效密钥生成速率。当发射器被限制在低于可用接收器带宽的通量或单光子检测器被接收到的高光子通量饱和时，就会发生这种失配。尽管前者通常不会出现在衰减激光源上，但后者通常是由于检测器空载时间产生的。在超导纳米线单光子检测器（SNSPD）中，空载时间由恢复其超电流所需的时间决定，在此期间，纳米线对任何光子都不敏感。

图2　传统量子比特 DV-QKD 协议的密钥生成率与信道距离的代表性曲线图

图2所示为当前可实现的基于qubit的DV QKD密钥速率与距离的代表性曲线图。显然存在两种不同的机制：第一种机制表示正常操作，其中密钥速率与光纤中的透射率成比例，而光纤的透射率随距离呈指数衰减。在更远的距离处， 进入第二种机制，在这里接收到的光子速率与探测器的背景速率相当，掩盖了密钥生成方之间的任何相关性，并突然降低了密钥的速率。

然而，在短距离、低光子损耗的情况下，由于探测器的空载时间，密钥速率受到限制。在该机制下，QKD密钥速率最高，目前达到13.72Mb/s。为了进一步提高密钥速率，可以增加更多的检测器来分配初始强度。另一种策略是增加字母表的维数，以降低光子传输速率，直到探测器刚好低于饱和。到目前为止，已经研究了高维QKD的多个自由度，包括位置动量、时间谱和轨道角动量（OAM）。

Cerf等人进行了初步的安全分析。对于离散的大字母表，QKD表现出更好的抗噪声和抗丢失能力。具有离散量子态的HD QKD能够容忍错误率超过基于qubit协议的11％限制。然而， 该方案及其两个早期方案（一个使用OAM，另一个使用时间谱编码）很难被证明。有效地实现这两个自由度的方案需要单光子探测器。因此，开发 HD-QKD 方案的强烈愿望是能够仅使用少量单光子探测器测量高阶关联。

从连续变量（CV）QKD中借鉴技术并将其应用于时间光谱模式的一种探测器有效的时间方案证明了QKD操作具有极大的字母表，即每个光子超过10位。但是，当时没有针对集体或一致攻击的安全证据。时间和能量状态并非固有地离散，离散维基上的安全证明不能直接转移到这些连续基格式上。通过测量Alice和Bob的信息之间的协方差矩阵可以保证时间谱 HD-QKD 的安全性。

测量协方差矩阵涉及频率基的检测。对入射光的直接光谱检测可以使用单光子限制光谱仪。然而，所需数量的探测器将再次阻止达到较大维度。为了克服这些局限性，人们引入了新的技术，通过使用群速度色散、Franson干涉仪或一系列时变相移将光谱信息转换为时间信息。

时间谱编码的HD-QKD的发展，激发了探测光子的秘钥容量和密钥生成速率。此外，在两个不同城市之间进行的43千米的现场演示表明，最大密钥生成速率为1.2 Mbps。由于HD-QKD依赖于单光子的传输，因此它很容易受到光子数分裂攻击，因此这些演示使用了诱饵状态技术来弥补这个安全漏洞。最近，时间谱HD-QKD的安全性被扩展到包括可组合安全框架，该框架只考虑通过有限数量的测量估计参数时的统计波动。

基于OAM的高维QKD系统由于与自由空间QKD系统直接兼容而得到了迅速的发展。高维 OAM-QKD 在实现高密钥生成速率方面面临的主要挑战是编码和解码设备的切换速度相对较低。到目前为止，涉及SLM、DMD和q板的QKD演示需要大约1ms的时间来重新配置kHz范围内的QKD时钟速率。虽然q板可以通过电光调谐在GHz频率下运行，但这些还没有得到证实。一个吸引人的新方向是使用光子集成电路（PICs），它可以大大减少配置时间。热光调谐片上环形谐振器的开关时间为20μs。最近，使用 16×16 光学相位阵列实现了 OAM模式的精确控制，该阵列允许产生高保真度的 OAM 状态。此外，大规模的单芯片MEMS 驱动电路的开关时间为2.5μs，具有在 OAM 产生和控制方面的应用潜力。

HD-QKD使用一组共轭光子自由度（如时间—能量或OAM）来提高密钥生成率已经取得了成功。研究新的技术，包括小型化光子集成电路平台，同时操纵和检测多个自由度，可以大大增加维数，从而进一步提高密钥生成速率。此外，对自由度的选择和相互无偏基的选择进行更详细的研究，可以揭示出在不同的QKD设置下，哪种编码方式最可靠。由于高维QKD系统能够以与数据通信速率相当的速率生成密钥，因此有必要进一步研究与测量设备无关的配置中的HD-QKD。

2.7　光子集成电路

QKD设备比标准现成的电信设备有更高的要求。QKD发射机需要单光子源或弱相干源以极高的消光比进行调制，以实现低误差的QKD工作。此外，在接收器侧也需要量子限制检测器，例如单光子检测器或散粒噪声限制的零差检测器。光子集成电路（PICs）为将多个高速量子光子操作集成到一个紧凑的单片电路中提供了一个紧凑而稳定的平台。PICs允许实验人员以光刻精度在不同的材料平台上设计量子器件，以满足QKD器件的严格要求。通过PICs可以实现的复杂程度已经被证明能够实现更高的密钥速率的波长复用、灵活性的多协议操作以及针对信道中的定时和偏振漂移的额外监视和补偿功能。已开发出各种材料平台来构建高性能QKD器件。

有源III–V激光材料，例如磷化铟（InP），是QKD发射器的一个有前途的平台，因为可以使用增益激光介质来产生弱相干光。InP平台还具有使用晶格匹配 InP的其他三元和四元III-V半导体（例如 InGaAs、InGaAsP 或InAlAsP）建立量子阱结构的优势。在这些量子阱中，载流子（电子和空穴）被限制在所得的一维势阱中。向阱施加电场会改变载流子的能量，进而改变其吸收光谱和折射率的偏移。该过程称为量子限制斯塔克效应（QCSE），是平台中可用的最强电光调制。已证明使用QCSE进行强度和相位调制可在带宽≥40 GHz时实现超过50dB 的高消光比。

SiO2-Si3N4 TriPleX 技术记录了约dB/ cm的低损耗无源元件，这使其成为高速千兆赫兹时钟QKD操作中基于时间或基于相位的QKD接收器组件的有吸引力的平台。弱相干脉冲间隔约1 ns。低传播损耗与高干扰可见性和稳定性的结合，可使Bob保持低误码率QKD操作，而无需基于光纤或批量光学干涉仪通常需要的复杂稳定电路。但是，TriPleX平台仅依赖于热光相位调制，这对于高速QKD操作而言很慢。

硅光子技术最近已经成为量子通信的领先平台，并有望与现有的互补金属氧化物半导（CMOS）工艺实现高密度集成，从而实现光子和电子组件的单片集成。在没有自然的电光非线性的情况下，硅光子依靠缓慢的热光相位调制来实现高可见度的干扰。在p掺杂和n掺杂硅之间的本征区域内的载流子注入和耗尽提供了硅光子内部的高速调制，但是必须减轻与相位有关的损耗。近年来，基于MEMS的移相器在进一步小型化、降低功耗、实现千兆赫兹带宽的移相方面显示出了巨大的前景。

虽然硅光子平台内的完全集成光源的开发仍在进行中，但该平台已被证明能够高度适应上述活性III–V材料的异质键合。此外，超导纳米线单光子探测器（SNSPD）已被集成到硅光子平台中，这为可能的具有单光子计数能力的单片紧凑型QKD接收器铺平了道路。量子有限零差探测器也被证明在散粒噪声和电子噪声之间有足够大的噪声间隙，这对于CV-QKD应用而言是有效的。

最近的PIC QKD演示使用InP发送器来实现其功能，并使用TriPleX来实现其低损耗性能。该实验展示了PIC的灵活性，其灵活性能够使用同一芯片组以1 GHz的时钟速率演示多种时区编码协议。最近，硅光子中具有更小型化组件的时分和极化QKD发射机的最新演示暗示了与基于LiNbO3的调制器相比，现成的光纤组件可能具有更高的性能优势。最近证明了硅光子平台在43km城际光纤链路上使用偏振编码进行QKD操作的可能性，该链路通常被认为由于光纤偏振漂移而过于不稳定。该实验证明了密钥生成速率与时间间隔相当，但具有偏振稳定功能，见图3。

图3　基于PICs的QKD实验演示

PIC平台还提供了产生光量子源的新方法：单光子和纠缠光子源。虽然弱相干光当前是QKD 操作最流行的方法，但其泊松统计数据却产生了侧信道漏洞，必须通过诱饵状态方法将其关闭。具有真正单光子或纠缠光子的QKD可以避免此问题，而无须使用消耗随机位的诱饵状态协议。在InP平台中，可以从外延生长的量子点生成单光子，以在标准电信1550 nm窗口中发光。在硅光子学中，基于自发四波混频（SFWM）的单芯片纠缠对源已经被证明不需要任何片外滤波。

这些新颖的量子源中仍然存在的一项重要挑战是增加亮度，以使其足以用于千兆赫兹时钟的QKD操作。目前，即使在接近统一的收集效率下，这些量子源的输出通量也被限制在约10MHz。这些量子源通常使用相干激光泵浦。增加量子点源的泵浦功率会诱发多光子发射，从而降低单光子纯度。然而，激发的替代方案已显示出将多光子发射几率降低几个数量级的巨大希望。已证明增加纠缠的 SFWM 光源的泵浦功率会引起双光子吸收，从而使光源亮度饱和。

集成光子平台有望为构建QKD网络带来重大好处。设备的小型化以及高度可靠的制造工艺可以加快QKD在实际数据加密中的采用速度，尤其是在MDI配置中。在这种情况下，只有几个中央接收器节点需要具有超低温高效的SNSPD，而所有客户端都可以利用个人PIC在彼此之间生成密钥。该平台提供的光刻精度也有望为MDI QKD提供相同的集成光源。

总之，PIC为设计新器件提供了新的机会， 这些器件可以满足低错误QKD操作的需求。通过多个平台的异构集成对新设备物理特性进行研究，可以开发出性能更高的新型量子源和接收器。此外，PIC的相稳定平台还适合于高密度复用的QKD操作，这可以显著提高密钥生成速率。（此报告内容由编辑部翻译整理）

3.1　概述

QKD 所基于的量子通信协议非常适合在太空中应用。与地面单链路和网络有关的空间信道可能会在包括整个地球、其周围的卫星网络以及旨在与月球或其他行星之间更远距离链接的新颖而雄心勃勃的项目在内的许多场景中加以利用。在一个利用越来越多的安全通信手段的不断发展的社会背景下，空间有望在量子通信中发挥至关重要的作用，因为它正在为全球通信、导航和定位、时间分配、成像和传感服务而发挥着作用，这些都是由目前的几代卫星实现的。

3.2　卫星机会

QKD的扩展是在十多年以前的可行性研究中设计的，以确保长距离链路的安全，以连接跨越大型网络的节点，包括国家、大陆、行星和太空任务。最初结合尝试在新颖的空间环境中测试量子信息的基本原理和资源的实验，提出了对量子通信（QC）空间的扩展。其中一些是为国际空间站（ISS）开发有效载荷，其他则是服务独立卫星的。

这些建议得到了地面上长距离自由空间质量控制实验的早期证据的支持。以此方式证明， 大气路径的很大一部分不仅适合于经典的光通信，而且也适合于量子通信。的确，已经根据射束加宽和漂移，接收器处信号的衰落和闪烁与湍流水平，波长和链路长度的关系来评估了大气对信道性能的降低作用。但是，与传统的方法相比，在正确的波长、到达时间和方向上进行单光子判别以及有效抑制背景噪声的检测要求更高。

从2003年在Matera激光测距天文台开展实验活动开始，就有可能证明LEO卫星与地面之间可以适当实现单光子交换。在这种情况下，即使在轨道上没有活动光子源，也可以利用配备有光学反射器的卫星进行演示，并将一列具有校准能量的脉冲指向这些卫星，从而使被反向反射回地球发射器的收集部分是具有内容的相干状态。地面上合适的双向望远镜可以传输上行的脉冲序列和下行的单光子。

从一开始就考虑将空间QC应用于全球QKD，将其作为联合单独的基于光纤的地面链路网络的有效解决方案。实际上，可信卫星和两个地面终端之间的密钥交换可用于在两个终端之间生成安全密钥。尽管在改善地面安全通信方面有这些吸引人的机会，以及为空间使用而设想的其他机会，但在欧洲和美国，实现QKD卫星计划一直被搁置。更详细地说，中国和日本在他们的路线图中展示了太空QKD，其中包括为QC开发和发射卫星的雄心勃勃而且具体的计划。日本的SOTA卫星是在2014年发射的，中国的Micius卫星是在2015年发射的，下文将对此进行描述。使用非常紧凑的有效载荷作为纳米卫星的前景最近使欧洲的倡议望而却步，从而推动了高效率、小尺寸空间组件的发展。这一方向也将有利于地面量子密钥分发系统的实现，有助于在地面网络上实现紧凑节能的高性能小型器件。

3.3　轨道类型及应用

轨道终端提供的密钥交换类型随着轨道类型的变化而显著变化。光链路的损耗有相关的影响。虽然空间量子密钥分配装置的可能配置可以在空间终端和地面终端使用发射机，但大气的有害影响是不对称的。实际上，在上行链路中，与量子比特流相关联的波前相位在湍流大气中的传播发生在路径的开始处。这会导致波前相位的不均匀调制。随后的传播导致了卫星高度上的振幅调制，光束直径显著变宽，闪烁引起链路透射率的波动。相反，在下行链路中，量子比特序列的传播发生在真空中，仅在最后一部分被大气消耗，在最后10千米内空气密度呈指数级增加。在接收端的光束变宽主要是由于衍射，并且闪烁也减少了。

QKD协议的实际实现从来都不是完美的，协议的性能取决于安全证明和假设对实际设备的适用性，以及许多参数，包括后处理效率和每个阶段添加到信号中的噪声水平。从广义上讲，量子黑客攻击包括所有的攻击，这些攻击允许窃听者获得有关可信方之间发送的消息，而这些消息是基于安全证明假设的。由于安全证明是基于物理原理构建的，因此只有当安全证明所要求的一个或多个假设不成立时，才会出现这种情况。如果是这样的话，证明就不再有效了，Eve获得的信息可能比Alice和Bob认为的要多。这些假设包括Alice和Bob之间存在经过身份验证的通道、受信任设备的隔离以及设备按预期方式运行。

可信方设备中允许量子黑客攻击的可利用缺陷被称为侧信道。这些可能会以受信设备内的损耗形式出现，这些损耗有可能有助于Eve接收有关信号的信息，或者是设备内可能会受到Eve部分控制的附加噪声，从而影响关键数据。这些部分可控的损耗和噪声如果被忽略，将对QKD协议的安全构成威胁。量子黑客攻击通常具有以下目的：通过更改受信任方对通道属性的估计，直接获取有关密钥的信息或掩盖对协议的其他类型的攻击。为了恢复安全性， 受信任的各方可以将辅助渠道纳入其安全性分析中，以免低估Eve的信息，也可以修改其协议以包括对策。在本节中，我们将讨论一些常见的旁信道攻击，以及如何减轻其影响。显然， 量子黑客攻击研究是QKD实现的现实安全性的重要方面。这对于欧洲电信标准协会正在进行的QKD标准化工作至关重要。

4.1　QKD-DV 黑客协议

许多DV协议（例如BB84和B92）的安全性证明都假定使用单光子源。但是，实际的QKD实现通常使用强烈衰减的激光脉冲，而不是真正的单光子源，后者将发送带有多个光子的某些脉冲。这种脉冲的存在允许使用PNS攻击。这是Eve光束从主量子通道中分离出除一个光子之外的所有光子的地方。由于Bob期望接收到一个单光子脉冲，并且由于该脉冲将不受干扰，因此受信方将不会在线路上检测到任何其他错误。然后，Eve可以将她收到的光子存储在量子存储器中，直到完成所有经典通信为止。最后，她可以基于经典通信对存储的qubit进行集体测量，以获取有关密钥的信息，而无须向信任方透露她的存在。例如，在BB84中， 她将在经典通信完成后了解Alice使用的所有密钥，因此将能够获得有关多光子脉冲产生的所有关键位的全部信息。

4.1.1　PNS和基于强度的攻击

用来抵抗PNS攻击的一种方法是使用诱饵状态。例如，可以将BB84协议修改为带有诱饵状态的BB84。在此协议中，Alice用来自诱饵源的多光子脉冲随机替换其某些信号状态。Eve将无法区分来自诱饵源的诱饵脉冲和信号状态，

因此对两种类型的脉冲具有相同的作用。在后处理步骤中，Alice 将公开宣布哪些脉冲是诱饵脉冲。利用这些诱饵脉冲的产生率，受信方可以表征信道在多光子脉冲上的作用，因此可以检测到PNS攻击的存在。然后，他们可以相应地调整其密钥速率；如果无法分发密钥，则中止协议。

Alice来源的缺陷可能会导致可利用的侧信道，这会使Eve能够进行未发现的PNS攻击。Huang等人测试了一种通过使用不同的激光泵浦电流调制产生的脉冲强度的信号源，发现不同的泵浦电流会导致脉冲在不同的时间发送。这意味着强度设置的选择确定了在给定时间发送脉冲的可能性，因此，Eve有可能基于发送时间来区分诱饵状态和信号状态。Eve可以在她认为更可能是信号状态的情况下实施PNS攻击，而对她认为可能是诱饵状态的情况下不采取行动。这将使她的PNS攻击不被信任方注意。

Huang等还测试了使用外部强度调制器确定强度设置的信号源。他们发现，这种来源在强度设置和发送时间之间没有相关性，从而为基于此副信道的攻击提供了可能的对策。Alice的另一种选择是根据强度设置更改施加泵浦的时间，以补偿这种影响。Eve也许可以通过使用强光加热 Alice的光源来规避这一对策。Fei等发现，如果加热增益开关半导体激光器，则不同强度设置的脉冲时序会相对彼此偏移，因此，除非Alice知道时序已被更改，否则将不再能够补偿时序差异。他们还发现，加热增益介质会使脉冲之间的载流子密度下降到默认水平所花费的时间增加。这可能会导致脉冲之间不必要的关联，从而危及协议的安全性。

4.1.2　特洛伊木马攻击

可以用于DVQKD协议的另一种黑客攻击形式是特洛伊木马攻击（THA）。这包括各种不同类型的攻击，涉及将量子系统发送到一个或两个受信方的设备中以获取信息。例如，Vakhitov 等在BB84和B92中，曾考虑使用大光子脉冲来获取有关Alice选择基准和Bob选择基准的信息。通过主通道向可信设备发送光子脉冲，并对反射进行测量，从而获得信息。

考虑到量子比特通过相移进行编码的情况，如果Eve能够将她的脉冲通过Alice的相位调制器，那么测量得到的脉冲将提供有关信号状态的一些信息。这是可能的，因为Alice的相位调制器工作的时间是有限的，这给了Eve一个窗口，在这个窗口中她可以发送自己的脉冲，并进行类似的调制。Gisin等人详细描述了Eve通过反射测量获得关于基准选择信息的过程。

信息可以是部分的，只给出所使用的基础，也可以直接给出密钥位。即使在只能获得基址的情况下，协议的安全性仍然受到损害，因为Eve现在能够总是选择与Alice相同的度量基础来进行截获和重发攻击，在不引入任何错误的情况下获得关于密钥的完整信息。另外，Eve也可以定位Bob的设备。对于B92或SARG04，仅需了解Bob的测量基准即可获得有关钥匙的完整信息。

在BB84中，如果Eve能够确定Bob在信号状态到达他的设备之前将使用的测量基准，则她可以通过选择与Bob相同的基准来执行无法检测到的拦截并重新发送攻击。Vakhitov等还注意到，即使在测量信号状态后，Eve仅获得有关Bob基准的信息，这也可以帮助进行实际的PNS攻击，因为它减少了对量子存储器的需求。这对仅受物理定律限制的窃听者无济于事，但可以帮助使用当前技术的窃听者。

目前，该领域已经有多种防止THA的方法。Vakhitov等建议在量子通道和Alice的设置之间放置一个衰减器，同时积极监视Bob设置的传入光子数。Gisin等假设入射状态严重衰减，计算了由于THA引起的信息泄漏，并建议将相位随机化应用于任何向外泄漏的光子。Lucamarini等在特洛伊木马侧信道存在的情况下，通过特洛伊木马状态的输出光子数对参数进行计算，可以计算出具有和不具有诱饵状态的BB84的关键速率。然后，他们提出了一种通过特洛伊木马系统被动限制潜在信息泄漏的体系结构。

这是通过根据光纤的激光诱导损伤阈值（LIDT）查找最大入射光子数来完成的，可以将其视为光熔丝。LIDT是功率阈值，超过该功率阈值光纤将被损坏。每个光子的最小能量（仅取决于光子的频率）使用选择频率的光纤环路来限制。Eve脉冲的最大时间也是已知的，并受Alice的编码设备在信号之间复位所花费的时间限制。因此，每个脉冲的最大光子数可以是上限值。通过正确设置入射光子的衰减，Alice可以提高上限并减少由于任何THA造成的信息泄漏。

Jain等人考虑在低于信号脉冲的波长下使用THA，以降低被信任方检测的风险。这可能会降低主动监视传入的平均光子数的效率，因为检测器通常具有最敏感的频段，因此可能无法检测该频段之外的光子。由于材料的透射率取决于频率，因此它也可能导致被动衰减器对特洛伊木马状态的衰减降低。Sajeed等人对现有QKD实现中使用的设备进行了潜在THA波长以及信号状态所用波长的实验测量，发现新波长降低了Bob探测器中出现后脉冲的可能性，这可以提醒可信赖的用户攻击。相位调制器在新波长下效率较低，这是以增加衰减和降低可分辨性为代价的。Jain等人建议使用频谱过滤器来防止此类攻击。此外，Lucamarini等人提出的光纤环路有助于防止低波长的攻击。

Eve还可以使用THA瞄准强度调制器，Alice使用该强度调制器生成诱饵状态。如果Eve可以区分诱饵状态和信号状态，则可以通过忽略诱饵状态而仅攻击多光子信号状态来进行PNS攻击而不会被检测到。Tamaki等人在调制器的操作方面，创建了形式上的用于限制从强度调制器泄漏信息的形式。他们还发展了计算 THA 对相位调制器造成的信息泄漏的形式。利用这些数据，他们计算了不同类型的THA的BB84的密钥率。

Vinay等人扩展了Lucamarini等人的工作。并证明相干态是高斯态中最理想的特洛伊木马态，对于Eve来说，假设特洛伊模式衰减并且光子数量有限，它就可以对BB84进行攻击。基于对可分辨性的计算，在信号状态和特洛伊木马模式中添加热噪声可以有效抵抗THA，从而大大提高了给定输出光子数的密钥速率。然后，他们使用不同的光子数统计数据将THA攻击的可区分性提高了上限，从高斯状态的情况扩展到了更一般的可分离状态。

他们发现，可分离状态的上限高于参考文献中的上限。但是可以通过应用其热噪声防御措施将其降低到 Lucamarini界限以下。他们还建议在Alice的设备和主通道之间使用快门，并在编码设备和快门之间设置时间延迟，以此作为防御手段，以代替衰减器。这可以通过迫使特洛伊木马脉冲经过Alice的编码设备进行几次传输而起作用，这使Eve更难于准确确定编码相位。

4.1.3　Backflash攻击

Kurtsiefer 等人介绍的另一种类型的旁通道攻击是探测器 Backflash（反闪）攻击。基于光电二极管（APD）的检测器有时会在检测到脉冲时发光。这种逆光灯可以通过多种方式向Eve提供有关Bob测量结果的信息。逆光的偏振可以指示Bob系统通过了哪些组件，这可以告诉Eve它来自哪个探测器。此外，逆向光子的传播时间或与出射光的轮廓有关的路径相关的变化也可以为Eve提供此信息。这可以告诉Eve，Bob选择了哪个测量基准，对于某些探测器设置，甚至可以揭示Bob的测量结果。

Meda等人对两种商用InGaAs/InP APD进行了表征，发现可以检测到很大比例的逆光。Pinheiro等人通过表征商用Si APD来确定这项工作；他们还发现，反闪概率非常大，大于或等于0.065。这两篇论文都发现逆光是宽带的，因此可以使用光谱滤光片来减少。Pinheiro等人还对光电倍增管进行了表征，发现它的反闪概率要低得多。因此，他们建议在Bob的探测器中使用光电倍增管代替APD。

4.1.4　伪态与探测器效率失配

BB84的安全性基于Eve和Bob的独立基准选择。如果Eve能够利用Bob设备中的一些缺陷，让她影响Bob的基准，那么这种独立性将不再成立，并且协议的安全性可能会遭到破坏。Makarov等人提出了许多方案，可以允许窃听者控制或影响Bob的探测器基准或测量结果。这些方案使用伪造的状态。在这种情况下，Eve不会在非干扰信号状态的情况下尝试获取信息，而是发送一种状态，该状态旨在利用Bob的检测设备中的缺陷为他提供她希望Bob接收的结果。

提议的两个方案利用了Bob的被动基准选择。接收器实现可以使用分束器选择测量基准：这将使光子随机穿过或反射到另一条路径上。我们称此为被动基准选择，并将其与主动基准选择区分开。在这种选择中，Bob明确使用随机数生成器选择基准并相应地更改测量基准。如果使用的分束器是偏振相关的，则Eve可以调整她发送的脉冲的偏振，以使其成为选择的基准，从而允许她截取并重新发送信号，同时确保她和Bob始终选择相同的基准。

另一种方案将偏振片放在分束器前面。Makarov等人提出偏振镜的缺陷将使Eve在使用足够大的脉冲时仍能选择Bob的基准。他们还建议使用偏振加扰器作为对这两种方案的防御。Li 等人提出了一种类似的攻击方式，在这种攻击方式中，他们利用分束器的频率相关性，使他们更有可能选择Bob的基准。

Makarov等人提出了另外两种使用伪造状态的方案。一个人利用了Bob装置中无法解释的反射优势，这可以让Eve通过精确定时她的脉冲来选择Bob的基准，以使它们的一部分在正确的时间窗口内反射到选定基准的检测器中。这将要求Eve对Bob的设备进行很好的表征，并且由于未被反射的脉冲部分所引起的副作用而具有被检测到的风险。

如果Bob的检测器具有DEM，则如果给定值为0，则该参数具有某个参数值的光子更可能被检测器检测到，如果该值被检测到，则该检测器提供给定值1。但是请注意，实际上，光子将仅撞击其中一个检测器，具体取决于其编码的值。在袭击中，Eve拦截了Alice的状态并在某种程度上对其进行了测量。然后，她以相反的方式将状态发送给Bob，并选择了合适的时间，这样Bob可能不会收到任何结果，而只会收到一个错误，从而以增加损失为代价来降低Bob的错误率。

Lydersen等人演示了使用伪造状态攻击商业QKD系统的可能性。他们利用连续波激光器使检测器致盲，这是因为可以使APD以线性模式工作。在这种模式下，检测器不会记录单个光子。Eve发出脉冲来触发Bob的探测器，只有当Bob选择与Eve相同的基准时，它们才会给出结果。Lydersen等人表明APD也可以通过用强光加热而使其失明。Yuan等人认为，正确操作的APD很难保持线性模式，并且可以通过监视光电流来识别这种伪造状态的攻击。

Qi等人建议使用带有时间参数的DEM进行另一种攻击，他们将其称为时移攻击。在这种攻击中，Eve没有尝试测量信号状态，而只是改变了它进入Bob设备的时间，因此，如果Bob发生检测事件，则它更有可能是一个具体数值。例如，如果对应于结果0的检测器在某个给定时间比对应于结果1的检测器具有更高的效率，Eve就可以知道，如果脉冲的到达时间发生了偏移，使得脉冲到达检测器的时间为特定时间，并且其中一个检测器检测到了脉冲，结果很有可能是0而不是 1。DEM越大，Eve可以获取有关信息的可能性越大。这种攻击不会在生成的密钥位中引入任何错误。

实际上，不要求按时间对DEM进行参数化。检测器可能在极化、频率甚至空间上不匹配。Sajeed等人和Rau等人都表明，通过改变脉冲进入Bob设备的角度，可以改变检测器的相对灵敏度，因为入射角将决定光入射到检测器的角度，但是光的配置发生了微小变化。设置可能导致每个检测器的入射角不同。脉冲撞击检测器的角度决定了被脉冲撞击的检测器的表面积，从而决定了检测器的灵敏度。

针对使用DEM进行攻击的一种建议对策是让Bob使用四个检测器配置，每次将结果映射到随机分配的检测器。但是，如果该配置与Bob设备上的THA结合使用，则仍然容易受到时移攻击。对于Bob来说，这种THA很难抵御，并且通过添加硬件保护措施会使Bob的设备更加复杂，可能给Eve创造更多漏洞，因此，找到一种软件解决方案是人们所希望的。

Fei等人使用Koashi设计的证据，发现了存在DEM时针对非常广泛的攻击类别的密钥率公式。Lydersen等人稍微推广了这一证明。这两个公式都需要对DEM参数可能值上的检测器效率进行全面表征。这对于受信方可能很困难，尤其是因为它们可能并不总是知道检测器的哪些参数会引起DEM。Fei等人使用一种基于检测过程的新技术，将不存在DEM的情况和存在完整DEM的情况相结合，在存在DEM的情况下计算出带有诱饵状态的BB84的密钥率。然后，他们在这种情况下对QKD进行了数值模拟，发现DEM降低了安全密钥率。

4.2　CV-QKD 黑客攻击协议

DV和CV协议中使用的协议类型和设备类型之间的差异意味着，并非所有对DV系统的黑客攻击都直接适用于CV系统。有些漏洞（例如对本地振荡器的攻击）特定于CV协议，而某些漏洞（例如THA）类似于DV协议上使用的攻击。在执行CV-QKD时，一个重要的实际问题是所用设备的校准。必须确定散粒噪声，因为它会影响参数估计。如果执行不正确，可能会破坏CV QKD的安全性。在校准期间，应估计调制期间引入的相位噪声。通过在安全性分析中考虑到它，可以提高密钥率，因为调制器添加的相位噪声可以被视为可信噪声。

4.2.1　攻击本地振荡器

为了进行Alice信号状态的测量，Bob用LO干扰了它们。由于难以维持Alice的来源和Bob的LO之间的一致性，因此CV-QKD的实现通常会通过量子通道发送 LO。由于CV-QKD的安全性证明不能解决这个问题，因此留下了一些侧信道，Eve可以利用它们。Haseler等人表明，必须监视LO的强度，以防止Eve用压缩状态替换信号状态和LO，从而通过减少相对于受信方的错误来掩盖拦截并重新发送攻击。Huang和Ma等人根据分束器的波长依赖性提出了对本地振荡器的攻击。他们发现，通过利用Bob设备中分束器的波长依赖性，可以设计Bob的测量结果，同时阻止Bob准确确定LO强度。Huang等人提出了一种对策，在该对策中，随机地应用波长滤波器，并且监视应用和不应用波长滤波器之间的信道特性的任何差异。

Jouguet等人设计了对LO的另一次攻击。这种攻击利用了Bob的时钟由LO脉冲触发的事实。通过更改LO脉冲的形状，Eve可以延迟时钟触发的时间。这可能导致Bob错误地计算散粒噪声，从而使Eve可以进行拦截并重新发送未被发现的攻击。作为对策，Jouguet等人建议Bob应通过对信号随机施加强衰减来实时测量散粒噪声。Huang等人在此基础上进一步证明，利用分束器的波长相关性的攻击可被用来击败Bob实时测量散粒噪声的尝试。

但是，他们发现，通过将第三个衰减值添加到强衰减可以防止它们受到攻击。Xie等人还发现时钟信号中的抖动效应会导致散粒噪声的计算不正确。Zhao等人确定了极化攻击，窃听者攻击未测量的LO脉冲以控制和篡改协议的散粒噪声单元。

为了完全防止LO攻击，Qi和Soh等人提出并分析了Bob可以采用生成本地振荡器（LLO） 的方法。Alice定期发送相位参考脉冲，而Bob在后处理过程中对其结果施加相位旋转，以确保它们与Alice的光源同相。Marie等人为了减少相位噪声，对该方案进行了改进。Ren等人提出，如果受信任的各方假设相位噪声是受信任的，并且Eve无法使用，那么即使是LLO也可能容易受到黑客攻击。在这种情况下，Eve可以通过增加相位参考脉冲的强度来降低相位噪声，并通过增加对信号状态的攻击来补偿降低的相位噪声，从而使Bob测量的总噪声保持不变。

4.2.2　探测器饱和攻击

Qin等人考虑过对Bob零差探测器的饱和攻击。这种攻击利用了CV-QKD安全性证明假设入射光子正交与测量结果之间存在线性关系的事实，但实际上，零差探测器具有有限的线性范围。高于一定的正交值，零差检测器将饱和，这意味着无论正交值在阈值水平还是高于阈值水平，测量结果都是相同的。例如，100个散粒噪声的正交值可以给出与200个散粒噪声的正交值相同的测量结果。Qin等人考虑利用拦截和重发攻击，然后重新缩放和替换测量的状态。通过使Bob的测量结果与饱和区域部分重叠，Eve可以改变测量结果的分布，从而减少可信方的误差估计。

Qin等人还提出了一些对策，包括使用高斯选择滤波器来尝试确保用于生成密钥的测量结果落在检测器的线性范围内，以及使用 Bob 信号的随机衰减来测试测量结果是否与输入呈线性相关。Qin 等人扩展了他们之前的工作，考虑到一个稍微不同的攻击，其中使用非相干激光将 Bob 的测量结果转移到饱和范围。他们还通过实验证明了零差检测器的饱和，并对其攻击进行了数值模拟，以证明其可行性。

4.2.3　特洛伊木马攻击

CV协议也容易受到THA的攻击。通过将特洛伊木马状态发送到Alice的编码设备中，Eve可以尝试了解信号状态的调制方式，而不会干扰信号状态本身。Derkach等人将侧信道建模为Alice设备中的分束器，将调制后的信号状态耦合到真空状态。他们还考虑了允许Eve在检测之前将不受信任的噪声耦合到信号状态的侧信道。

然后，他们使用反向调节来计算相干状态协议和压缩状态协议的最终密钥率。Derkach等人根据对分束器输入真空状态的操纵，对发送器侧信道提出了一些改进对策。然后，他们考虑了两种类型的侧信道泄漏，扩展了他们的早期工作：信号状态调制后的泄漏和调制之前但信号状态受到挤压后的泄漏。他们允许每个侧信道采用多种泄漏模式。他们计算了这种类型的侧信道的直接和反向调节的密钥速率，并优化了后调制泄漏的压缩。

在Pereira等人的相干状态协议中，Eve被认为是对Alice的THA。在该协议中，Eve可以将具有有限平均光子数的特洛伊木马状态发送到 Alice 的接收器中。然后以类似于信号状态的方式调制此状态，并返回到Eve。计算出密钥率和安全性阈值，以进行反向调节。建议采取主动监视入射光的措施。Ma等人考虑双向协议中的THA，其中Eve根据Bob的信号状态向Alice的设备发送一个状态，然后测量该状态以获得Alice 应用的调制信息。他们建议使用主动监视来消除特洛伊木马状态。

来自受信任方设备的部分噪声可以假定为可信的，因此不受窃听者的控制。这种可信噪声可以是信号状态的噪声、调制器所加的噪声或检测的噪声。可信噪声对CV-QKD的影响随调节方向的不同而不同。协议参考端的可信噪声甚至有助于将Eve系统与可信方共享的信息分离。此外，尽管调解协议是可信的，但远程端的噪声可能对协议有害。

4.3　一般考虑

基于更改所用设备的属性，存在许多针对DV或CV协议的更一般的攻击。这些类型的攻击甚至可以用于特征明确的设备中来创建漏洞。Jain等人建议并通过实验测试了Eve在QKD协议的校准阶段可能执行的攻击。攻击针对系统，而Bob正在使用线长测量（LLM）校准检测器。这种类型的攻击取决于实现。在考虑的系统中，Jain等人发现通过改变Bob在LLM期间发送的校准脉冲的相位，可以感应DEM。这将使系统容易遭受其他类型的攻击，因为受信任的各方不会意识到Bob设备的校准错误。在此基础上，Fei等人发现通过在LLM过程中发送伪造的校准脉冲，很可能诱发DEM。Fei等人建议添加一个系统，使Bob可以在校准过程之后测试自己的设备是否存在校准错误。

即使实现是完美的，Eve也有可能通过使用激光破坏受信任方设备的组件来创建漏洞。Bugge 等人认为 Eve可以用激光破坏探测器或任何活动的监控设备等部件，从而使其他攻击得以实施。他们表明，APD可能会被强烈的激光破坏，降低它们的检测效率。这就给Eve制造了漏洞，而不需要她不断地确保探测器保持失效。更高的激光功率使APD完全不起作用；如果APD被用作监视设备，那么Eve可能会利用这一点。Makarov等人在一个商业系统上演示了这一点，然后展示了他们能够在一个空间过滤器上修复漏洞，这意味着保护空间DEM。Sun等人通过将连续波激光照射到Alice的增益介质上，使Eve能够控制Alice脉冲的相位。这可能为DV和CV系统中的其他攻击打开漏洞。Sun等人建议监视离开Alice光源的光线，并使用主动相位随机化。

4.4　作为解决方案的设备独立性

在概念上，与侧信道打交道的另一种方法是开发独立于设备的协议（DI-QKD），该协议可以防止许多侧信道攻击。QKD允许使用不受信任的设备。针对DV和CV案例都设计了实施DI-QKD 的方案。在可以信任源的情况下，可以采用与测量设备无关的QKD（MDIQKD）方案。这些方案也是针对DV和CV而设计。DI和MDI-QKD协议较难实现，因此与设备相关协议相比，其密钥率通常较低。尽管提高了安全性， 但它们都不能免受攻击。在所有协议中，都要求将Alice和Bob的设备与外界隔离。如果存在一个隐藏通道，使Eve可以访问测量结果，则密钥将不安全。MDI-QKD还容易受到源缺陷的影响，例如Sun等人先前提到的攻击。因此，设备独立性不能被视为解决侧信道问题的灵丹妙药。

在这篇综述中，我们介绍了量子密码学领域的基本概念和最新进展。我们将讨论的重点放在了QKD上，但也提出了一些超出密钥分发标准设置的发展。实际上，今天的量子密码学是一个大的总称，包括各个领域，其中一些在本文中未作介绍。例如，加密传输和比特承诺之类的密码原语，或包括可验证的量子计算及安全功能评估在内的安全计算主题。后量子密码学是一个有趣的领域，可以为安全性提供临时解决方案。然后，许多协议尚未得到处理，但值得一提，例如量子指纹识别、量子秘密共享、量子拜占庭协议和量子电子投票等。

尽管量子密码术无疑是迄今为止最成熟的量子技术，但理论和实验工作都面临着许多挑战和悬而未决的问题。仍然需要开发和实现更强大的QKD协议，这些协议能够以合理的高速率实现长距离传输。这似乎是开发基于实际量子中继器的QKD网络的问题。更加理想的任务是在这样的QKD网络中实现端到端原理，从而使中间节点通常不可靠且不受信任。时至今日， 这种想法似乎仅与直接或反向利用类似EPR的相关性有关。

理论上，有人致力于在DV和CV环境下建立一系列QKD协议的完全可组合的有限大小的安全性。如何确定几个基本量子信道的密钥容量，如热损耗信道和振幅阻尼信道，是一个有待解决的问题。虽然最近开发的模拟技术在许多情况下已经成功，但是实现这些信道的双向辅助能力可能需要开发一种全新的、不同的方法。

从实验上看，目前的研究正朝着许多方向发展，从光子集成电路到卫星量子通信，从更健壮的点到点协议到可信节点量子网络的实现，从基于量子比特的方法到更高维和连续变量系统。虽然光和电信频率对于量子通信来说是更为自然的，但是诸如太赫兹和微波这样的较长波长的短程应用可能还没有得到充分的发展。

在QKD被认为是一种完全安全的量子技术之前，需要仔细考虑一些漏洞。实际的威胁来自侧信道攻击，目前正在研究和开发针对一些最危险的量子攻击的对策。弱点可能来自检测器或随机数发生器的缺陷。因此，量子黑客攻击与对策是一个重要且不断发展的领域。

一般来说，对于量子密码和量子密钥分发的技术部署，我们将需要考虑其与当前经典基础设施的集成，并根据要达到的保密程度开发安全层，而保密程度又取决于利益相关者和涉及的业务类型。基于有界存储器和量子数据锁定的协议提供了一种临时的低水平的量子安全， 可能适用于个人通信。标准的QKD协议提供了更高级别的安全性，可能适用于金融交易。在QKD中，可以考虑不同的密钥速率，例如，针对单个、集体或完全一致的攻击。这些密钥率的选择也可能与要达到的特定安全级别有关。

对于政治或战略决策等应用，更高级别的安全性可能涉及使用DI-QKD，它对常规和侧信道攻击都更为健壮。随着量子密码学逐渐成为更广泛的技术产品，这些方面将变得越来越清楚。