一种测量与设备无关的量子密钥分发系统及方法与流程

本发明涉及量子信息技术领域，尤其涉及一种测量与设备无关的量子密钥分发系统及方法。

背景技术：

量子密钥分发(QKD)技术是一种基于量子力学的技术。该技术为两个合法用户：Alice和Bob提供了一种即使在有窃听者Eve存在的情况下依然可以安全共享密钥的方法。在成功共享密钥之后，两个用户可以用该共享密钥对自身要传递的信息进行加密，从而实现安全通信。

在量子密钥分发技术中，BB84协议是最著名、被使用最广泛的量子密钥分发协议。在该协议中，通过光的偏振对光子进行编码，光子以等概率随机编码在水平竖直偏振基(即Z基，也称为直测量基)或正负45度偏振基(即X基，也称为斜测量基)上。Alice随机产生一串0、1比特的数串，当她选择在Z基下进行编码时，Alice将0编码成|0>，将1编码成|1>；当在X基下进行编码时，Alice则将0编码成：而将1编码成：然后，Alice将编码后的光子通过量子信道发送给Bob，Bob以等概率使用X基或Z基测量由Alice发出的光子，之后Alice和Bob在被鉴定的经典信道中公布自己编码和测量选择的基，筛选出他们选择相同的基进行编码和测量的数据。这个协议的安全性是基于非正交的态之间无法通过测量完全分辨，因此，在理论上，量子密钥分发技术提供了基于物理定律的无条件安全。

然而，在实际应用中，光学量子密钥分发系统使用的是弱相干光源，并不能做到传统量子密钥分发协议中单光子光源的要求，多光子的成分会导致密钥的安全性的降低，针对这一现象的攻击有光子数分裂攻击(Photon Number Splitting Attack)。为了解决这一问题，提出了诱骗态量子密钥分发协议。在该协议中，通过对不同强度的光子进行编码，对一些关键的参数给出了更好的估计，从而更好地分析出量子密钥的安全性，提高了成码率。然而，探测器端也同样存着安全隐患，也出现了很多针对探测器端的攻击，例如，时移攻击(Time shift attack)，致盲攻击(blinding attack)等，从而很难保证信息的安全。

为了解决这一问题，提出了测量与设备无关的量子密钥分发协议(MDIQKD)。该协议的安全性不再依赖于探测器端的任何假设，解决了探测器端的安全隐患，提供了无条件的安全。该协议中包含两个用户(例如，Alice和Bob)，以及并不受信任的中继(Charlie)。这里的Charlie甚至可能是窃听者。用户向中继以一定概率发送BB84协议中的四个态，在中继处进行贝尔态测量，并对外公布测量是否成功，以及测量结果；对测量结果进行分析，根据误码率使用纠错(Error correction)保证他们共享的密钥完全相同，使用隐私放大的方法(Privacy amplification)，减少密钥的长度，从而将窃听者知道的信息清除掉之后即可得到不基于测量设备的安全密钥。

测量与设备无关的量子密钥分发协议以及诱骗态技术很好地解决了探测器端和源处的安全隐患。在现有技术中的上述协议中，使用了Z基的两个基矢编码|0>、|1>以及X基的两个基矢编码|+>、|－>。两个基矢光强的选择是对称的，而且两个基矢都发送诱骗态以及信号态的光子。以一般的最常用的空态+弱诱骗态(vacuum+weak decoy)为例,空态不需要激光器，每个基矢都有信号态和弱诱骗态两种光强，而每个基矢下又都需要两个激光器去发送不同的编码，所以总共需要2×2×2＝8个激光器。因此，在实际应用的MDIQKD系统中，使用的激光器的数量比较多，而激光器的数量也增加了设备的成本，同时增加了操作上的难度。

技术实现要素：

有鉴于此，本发明提供了一种测量与设备无关的量子密钥分发系统及方法，可以在不降低量子密钥分发系统的性能的同时，减少所使用的激光器的数目，从而大大减少了设备成本，降低了设备复杂性，更节省用户端设备的空间。

本发明的技术方案具体是这样实现的：

一种测量与设备无关的量子密钥分发系统，该系统包括：第一方装置、第二方装置和第三方装置；

所述第一方装置、第二方装置和第三方装置通过传输信道连接；

所述第一方装置和第二方装置均包括：、控制器、处理器和多个激光器；

所述多个激光器，分别用于制备与信号测量基的两个本征态分别对应的信号态、与信号测量基的两个本征态分别对应的两个诱骗态以及与诱骗测量基的两个本征态分别对应的两个诱骗态；

所述控制器，用于根据预设的选择概率从诱骗测量基和信号测量基中选择一种测量基，并根据所选择的测量基以及预设的发送概率选择与所选择的测量基对应的激光器所制备的信号态或诱骗态，并将所选择的信号态或诱骗态发送给第三方装置；

所述处理器，用于根据接收到的测量结果，进行密钥后处理，得到安全的密钥；

所述第三方装置，用于对收到的量子态进行贝尔态测量，得到测量结果并向所述第一装置和第二方装置公布该测量结果。

较佳的，所述处理器，还用于通过公共信道对比第一方装置和第二方装置在发送各个量子态时所使用的测量基，并保留使用了相同测量基的量子态，抛弃使用了不同测量基的量子态，得到测量数据结果；对所保留的测量数据结果根据贝尔态测量结果判断是否需要进行比特位反转操作，并将处理后的测量数据结果作为原始密钥；从原始密钥中挑选出一部分数据进行量子误码率检测，当检测结果不超过预设的量子比特误码率阈值时，对剩余的原始密钥实施纠错与隐私放大，将最后得到的密钥作为最后的密钥。

较佳的，所述第一方装置和第二方装置均包括3个激光器：第一激光器、第二激光器和第三激光器；

所述第一激光器，用于制备与信号测量基的两个本征态分别对应的信号态；

所述第二激光器，用于制备与信号测量基的两个本征态分别对应的两个诱骗态；

所述第三激光器，用于制备与诱骗测量基的两个本征态分别对应的两个诱骗态。

较佳的，所述第一方装置和第二方装置均包括6个激光器：激光器一、激光器二、激光器三、激光器四、激光器五和激光器六；

所述激光器一，用于制备与信号测量基的第一本征态对应的信号态；

所述激光器二，用于制备与信号测量基的第二本征态对应的信号态；

所述激光器三，用于制备与信号测量基的第一本征态对应的诱骗态；

所述激光器四，用于制备与信号测量基的第二本征态对应的诱骗态

所述激光器五，用于制备与诱骗测量基的第一本征态对应的诱骗态；

所述激光器六，用于制备与诱骗测量基的第二本征态对应的诱骗态。

较佳的，所述传输信道为光纤或自由空间。

本发明中还提供了一种测量与设备无关的量子密钥分发方法，该方法包括如下步骤：

从两种测量基中选择任意一种测量基作为诱骗测量基，将另外一种测量基作为信号测量基；其中，所述信号测量基用于制备与所述信号测量基的两个本征态分别对应的两个信号态或与所述信号测量基的两个本征态分别对应的两个诱骗态；所述诱骗测量基用于制备与所述诱骗测量基的两个本征态分别对应的两个诱骗态；

第一方装置和第二方装置分别根据预设的选择概率从所述两种测量基中选择一种测量基；根据所选择的测量基以及预设的发送概率制备所选择的测量基对应的信号态或诱骗态，并将所制备的信号态或诱骗态发送给第三方装置；

第三方装置对收到的量子态进行贝尔态测量，得到测量结果并向第一装置和第二方装置公布该测量结果；

第一方装置和第二方装置根据所公布的测量结果，进行密钥后处理，得到安全的密钥。

较佳的，所述两种测量基为Z基和X基；

其中，X基为诱骗测量基，Z基为信号测量基；或者，Z基为诱骗测量基，X基为信号测量基。

较佳的，所述进行密钥后处理，得到安全的密钥包括：

第一方装置和第二方装置分别根据所公布的测量结果，从所发送的量子态中选择出能产生贝尔态的量子态并保留，而将未被选择的量子态抛弃；

第一方装置和第二方装置通过公共信道对比第一方装置和第二方装置在发送各个量子态时所使用的测量基，并保留使用了相同测量基的量子态，抛弃使用了不同测量基的量子态，得到测量数据结果；

第一方装置和第二方装置中的任意一方对所保留的测量数据结果根据贝尔态测量结果判断是否需要进行比特位反转操作，并将处理后的测量数据结果作为原始密钥；

第一方装置和第二方装置从原始密钥中挑选出一部分数据进行量子误码率检测，当检测结果不超过预设的量子比特误码率阈值时，继续执行下一步操作；否则，放弃此次所获取的原始密钥；

第一方装置和第二方装置对剩余的原始密钥实施纠错与隐私放大，将最后得到的密钥作为最后的密钥。

较佳的，当需要进行比特位反转操作时，第一方装置和第二方装置中的任意一方对所保留的量子态进行一个比特位反转操作，并将反转后的量子态所代表的数据结果作为原始密钥。

由上述技术方案可见，在本发明的测量与设备无关的量子密钥分发系统及方法中，使用了两种测量基，并从两种测量基中选择了一种测量基作为信号测量基，而将另外一组作为诱骗测量基，并且在使用诱骗测量基发送量子态时，仅发送与所述诱骗测量基的本征态对应的诱骗态，而不发送所述诱骗测量基的本征态对应的信号态，因此在本发明的技术方案中，仅需使用两种测量基中的6种量子态(而不是全部的8种量子态)即可实现量子密钥的安全分发，从而可以在不降低量子密钥分发系统的性能的同时，减少所使用的激光器的数目，从而大大减少了设备成本，降低了设备复杂性，更节省用户端设备的空间。

附图说明

图1为本发明实施例中的测量与设备无关的量子密钥分发系统的结构示意图。

图2为本发明实施例中的测量与设备无关的量子密钥分发方法的流程示意图。

具体实施方式

为使本发明的技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本发明作进一步详细的说明。

图1为本发明实施例中的测量与设备无关的量子密钥分发系统的结构示意图。如图1所示，本发明实施例中的测量与设备无关的量子密钥分发系统包括：第一方装置11、第二方装置12和第三方装置13；

所述第一方装置11、第二方装置12和第三方装置13通过传输信道14连接；

所述第一方装置11和第二方装置12均包括：多个激光器111、控制器112和处理器113；

所述多个激光器111，分别用于制备与信号测量基的两个本征态分别对应的信号态、与信号测量基的两个本征态分别对应的两个诱骗态以及与诱骗测量基的两个本征态分别对应的两个诱骗态；

所述控制器112，用于根据预设的选择概率从诱骗测量基和信号测量基中选择一种测量基，并根据所选择的测量基以及预设的发送概率选择与所选择的测量基对应的激光器所制备的信号态或诱骗态，并将所选择的信号态或诱骗态发送给第三方装置；

所述处理器113，用于根据接收到的测量结果，进行密钥后处理，得到安全的密钥；

所述第三方装置13，用于对收到的量子态进行贝尔态测量，得到测量结果并向所述第一装置和第二方装置公布该测量结果。

较佳的，在本发明的一个具体实施例中：

所述处理器113，还用于通过公共信道对比第一方装置和第二方装置在发送各个量子态时所使用的测量基，并保留使用了相同测量基的量子态，抛弃使用了不同测量基的量子态，得到测量数据结果；对所保留的测量数据结果根据贝尔态测量结果判断是否需要进行比特位反转操作，并将处理后的测量数据结果作为原始密钥；从原始密钥中挑选出一部分数据进行量子误码率检测，当检测结果不超过预设的量子比特误码率阈值时，对剩余的原始密钥实施纠错与隐私放大，将最后得到的密钥作为最后的密钥。

在本发明的技术方案中，所述多个激光器可以是3个激光器，也可以是6个激光器。

例如，较佳的，在本发明的一个具体实施例中，所述第一方装置11和第二方装置12均包括3个激光器：第一激光器、第二激光器和第三激光器；

所述第一激光器，用于制备与信号测量基的两个本征态分别对应的信号态；

所述第二激光器，用于制备与信号测量基的两个本征态分别对应的两个诱骗态；

所述第三激光器，用于制备与诱骗测量基的两个本征态分别对应的两个诱骗态。

在上述的具体实施例中，每个激光器可以制备两种不同的量子态。

另外，较佳的，在本发明的另一个具体实施例中，所述第一方装置11和第二方装置12均包括6个激光器：激光器一、激光器二、激光器三、激光器四、激光器五和激光器六；

所述激光器一，用于制备与信号测量基的第一本征态对应的信号态；

所述激光器二，用于制备与信号测量基的第二本征态对应的信号态；

所述激光器三，用于制备与信号测量基的第一本征态对应的诱骗态；

所述激光器四，用于制备与信号测量基的第二本征态对应的诱骗态

所述激光器五，用于制备与诱骗测量基的第一本征态对应的诱骗态；

所述激光器六，用于制备与诱骗测量基的第二本征态对应的诱骗态。

在上述的具体实施例中，每个激光器均可以制备一种量子态，因此，6个激光器分别制备6种不同的量子态。

通过上述的测量与设备无关的量子密钥分发系统，即可使用两种测量基中的6种量子态完成量子密钥的分发。

较佳的，在本发明的具体实施例中，所述传输信道13为光纤或自由空间。

另外，本发明中还提出了一种测量与设备无关的量子密钥分发方法。

图2为本发明实施例中的测量与设备无关的量子密钥分发方法的流程示意图。如图2所示，本发明实施例中的测量与设备无关的量子密钥分发方法包括：

步骤21，从两种测量基中选择任意一种测量基作为诱骗测量基，将另外一种测量基作为信号测量基。其中，所述信号测量基用于制备与所述信号测量基的两个本征态分别对应的两个信号态或与所述信号测量基的两个本征态分别对应的两个诱骗态；所述诱骗测量基则仅用于制备与所述诱骗测量基的两个本征态分别对应的两个诱骗态。

在本发明的技术方案中，可以先预先选择两种测量基。

例如，较佳的，在本发明的具体实施例中，可以预先选择Z基和X基这两种测量基。

在选择了两种测量基之后，即可从上述两种测量基中选择任意一种测量基作为信号测量基，并将另一种测量基作为诱骗测量基。

例如，较佳的，在本发明的具体实施例中，如果预先选择的两种测量基为X和Z两种测量基，则可以根据实际应用情况的需要，预先将X基作为诱骗测量基，而将Z基作为信号测量基。

当然，在本发明的技术方案中，也可以将Z基作为诱骗测量基，而将X基作为信号测量基。

例如，以将X基作为诱骗测量基，而将Z基作为信号测量基为例：

当使用X基作为诱骗测量基时，则可使用X基制备强度为v₁的第一类诱骗态：“|+>decoy”或“|－>decoy”，其中，|+>decoy为与X基的本征态|+>对应的诱骗态，|－>decoy为与X基的本征态|－>对应的诱骗态；

当使用Z基作为信号测量基时，则可使用Z基制备Z基的两个本征态对应的信号态：|0>和|1>，还可以制备强度为v₂的第二类诱骗态：“|0>decoy”和“|1>decoy”，其中，|0>decoy为与|0>对应的诱骗态，|1>decoy为与|1>对应的诱骗态。

因此，在上述的较佳实施例中，仅需使用如下的6种量子态：

|+>decoy、|－>decoy、|0>decoy、|1>decoy、|0>和|1>。

同理，如果将Z基作为诱骗测量基，而将X基作为信号测量基，则仅需使用如下的6种量子态：

|0>decoy、|1>decoy、|+>decoy、|－>decoy、|+>和|－>。

也就是说，在本发明的技术方案中，所述信号测量基可以用于制备信号态(即该信号测量基的本征态对应的信号态)和诱骗态，而所述诱骗测量基则只用于制备诱骗态，而并不用于制备信号态(即该诱骗测量基的本征态对应的信号态)，因此可以减少所使用的量子态的数量，从而可以减少所使用的激光器的数量。

步骤22，第一方装置和第二方装置分别根据预设的选择概率从所述两种测量基中选择一种测量基；根据所选择的测量基以及预设的发送概率制备所选择的测量基对应的信号态或诱骗态，并将所制备的信号态或诱骗态发送给第三方装置。

在本步骤中，第一方装置和第二方装置将首先选择一种测量基，然后分别根据所选择的测量基随机生成相应的量子态，随后将所生成的量子态发送给第三方装置。

例如，较佳的，在本发明的具体实施例中，如果在步骤21中所使用的两种测量基为X基和Z基两种测量基，且将X基作为诱骗测量基，而将Z基作为信号测量基，那么在本步骤中，第一方装置和第二方装置可以先根据预设的概率从X基和Z基中选择一种测量基，然后在根据所选择的测量基随机生成相应的量子态并向第三方装置发送该量子态。

例如，当所选择的测量基为X基(即诱骗测量基)时，则第一方装置和第二方装置将使用诱骗测量基随机制备强度为v₁的与所述诱骗测量基的本征态对应的诱骗态，即使用X基随机制备强度为v₁的|+>decoy或|－>decoy，并将所制备的诱骗态发送给第三方装置；

当所选择的测量基为Z基(即信号测量基)时，第一方装置和第二方装置将使用信号测量基随机制备强度为μ的所述信号测量基的本征态对应的信号态或强度为v₂的与所述信号测量基的本征态对应的诱骗态，即使用Z基随机制备如下4种量子态中的一种量子态：|0>、|1>、|0>decoy、|1>decoy；其中，信号态|0>或|1>的强度为μ，诱骗态|0>decoy或|1>decoy的强度为v₂；然后，将所制备的信号态或诱骗态发送给第三方装置。

也就是说，当所选择的测量基为X基时，第一方装置和第二方装置将随机地向第三方装置发送如下2种量子态中的一种量子态：|+>decoy或|－>decoy；

而当所选择的测量基为Z基时，第一方装置和第二方装置将随机地向第三方装置发送如下4种量子态中的一种量子态：|0>、|1>、|0>decoy、|1>decoy。

另外，在本发明的技术方案中，第一方装置和第二方装置在使用上述两种测量基发送量子态时，可以先根据预设的选择概率从两种测量基中选择一种测量基，然后再根据所选择的测量基以及预设的发送概率发送相应的信号态或诱骗态。

在本发明的技术方案中，可以根据实际应用情况的需要，预先设置上述的“选择概率”：p_x：p_z。其中，p_x和p_z分别表示选择各组测量基的概率。例如，当预先选择的两组测量基为X基和Z基时，p_x和p_z可以分别表示从两组测量基中选择X基和Z基的概率。

上述p_x和p_z的值可以根据实际应用情况的需要预先设置。例如，可以预先将p_x和p_z的值设置为：p_x：p_z＝1:1，当然，也可以设置成其它的最优值。。

例如，较佳的，在本发明的具体实施例中，所述第一方装置和第二方装置根据预设的选择概率从所述两种测量基中选择一种测量基可以是：

所述第一方装置和第二方装置均随机从所述两种测量基中选择一种测量基。

此时，相当于第一方装置和第二方装置均以1/2的选择概率从所述两种测量基中选择一种测量基。

其它的“预设的选择概率”的情况与此类似，在此不再赘述。

另外，在本发明的技术方案中，也可以根据实际应用情况的需要，预先设置上述的“发送概率”：p_s：p_d。其中，p_s和p_d分别表示选择信号态和诱骗态的概率。例如，当所选择的测量基为信号测量基时，将以p_s的概率发送所述信号测量基的任意一个本征态对应的信号态，以p_d的概率发送所述信号测量基的与本征态对应的任意一个诱骗态。

上述p_s和p_d的值可以根据实际应用情况的需要预先设置。例如，可以预先将p_s和p_d的值设置为：p_s：p_d＝1:1，当然，也可以设置成其它的最优值。

另外，在本发明的较佳实施例中，在设置上述发送概率时，可以使得p_s>p_d，即以较大的概率发送信号态，而以较小的概率发送诱骗态。原因在于：信号测量基是用来产生密钥的，因此发送信号态的概率应该大一些。当然，发送诱骗态的概率也不能太小，太小的话误差较大，也会影响结果，因此在实际应用过程中，可以对上述p_s和p_d的比例根据实际的参数中进行优化。

另外，在本发明的技术方案中，还可以根据实际应用情况的需要，预先设置上述的v₁、v₂和u的取值，在此也不再赘述。

步骤23，第三方装置对收到的量子态进行贝尔态测量，得到测量结果并向第一装置和第二方装置公布该测量结果。

在本步骤中，第三方装置将对从第一方装置和第二方装置接收到的量子态进行贝尔态测量，并得到测量结果。例如，如果测量后成功得到一个贝尔态，则认为此次测量成功；如果没有得到贝尔态，则认为此次测量失败。在得到测量结果后，第三方装置将该测量结果公布，相当于将测量结果告知第一方装置和第二方装置。

步骤24，第一方装置和第二方装置根据所公布的测量结果，进行密钥后处理，得到安全的密钥。

在本步骤中，由于第一方装置和第二方装置已经知道了第三方装置公布的测量结果，因此第一方装置和第二方装置可根据第三方装置公布的测量结果，进行密钥后处理，得到安全的密钥。

在本发明的技术方案中，可以使用常用的测量与设备无关的量子密钥分发协议中的密钥后处理流程，从而得到安全的密钥。

例如，具体来说，较佳的，在本发明的具体实施例中，所述进行密钥后处理，得到安全的密钥可以包括如下的步骤：

步骤31，第一方装置和第二方装置分别根据所公布的测量结果，从所发送的量子态中选择出能产生贝尔态的量子态并保留，而将未被选择的量子态抛弃；

步骤32，第一方装置和第二方装置通过公共信道对比第一方装置和第二方装置在发送各个量子态时所使用的测量基，并保留使用了相同测量基的量子态，抛弃使用了不同测量基的量子态，得到测量数据结果；

步骤33，第一方装置和第二方装置中的任意一方对所保留的测量数据结果根据贝尔态测量结果判断是否需要进行比特位反转操作，并将处理后的测量数据结果作为原始密钥。

在本发明的技术方案中，需要根据贝尔态测量结果是投影到哪个态，来确定是否需要进行比特反转。因此，将据贝尔态测量结果判断是否进行一个比特位反转操作，然后再将处理后的测量数据结果作为原始密钥。

另外，较佳的，在本发明的具体实施例中，当需要进行比特位反转操作时，第一方装置和第二方装置中的任意一方对所保留的量子态进行一个比特位反转操作，并将反转后的量子态所代表的数据结果作为原始密钥。

步骤34，第一方装置和第二方装置从原始密钥中挑选出一部分数据进行量子误码率检测，当检测结果不超过预设的量子比特误码率阈值时，继续执行下一步操作(即执行步骤35)；否则，放弃此次所获取的原始密钥；

步骤35，第一方装置和第二方装置对剩余的原始密钥实施纠错与隐私放大，将最后得到的密钥作为最后的密钥。

由于实际应用情况的不完美，第一方装置和第二方装置所共享的密钥在实际应用情况中可能不完全一致，因此需要对共享的密钥进行纠错，从而保证所共享的密钥在实际中完全一致。

在本发明的技术方案中，可以使用常用的纠错方法对所接收到的原始密钥信息进行纠错，从而得到纠错后的密钥信息，因此，具体的纠错方法在此不再赘述。

另外，在本发明的技术方案中，还可以使用常用的隐私放大方法对纠错后的密钥信息进行隐私放大，从而得到最终的密钥，因此，具体的隐私放大方法在此不再赘述。

通过上述的步骤31～35，第一方装置和第二方装置即可得到最后的共享一致并且安全的密钥。

综上所述，在本发明的技术方案中，使用了两种测量基，并从两种测量基中选择了一种测量基作为信号测量基，而将另外一组作为诱骗测量基，并且在使用诱骗测量基发送量子态时，仅发送与所述诱骗测量基的本征态对应的诱骗态，而不发送所述诱骗测量基的本征态对应的信号态，因此在本发明的技术方案中，仅需使用两种测量基中的6种量子态(而不是全部的8种量子态)即可实现量子密钥的安全分发，从而可以在不降低量子密钥分发系统的性能的同时，减少所使用的激光器的数目，从而大大减少了设备成本，降低了设备复杂性，更节省用户端设备的空间。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。