具有主动监测功能的量子密钥分发系统的制作方法

本发明属于量子保密通信技术领域，具体涉及一种具有主动监测功能的量子密钥分发系统。

背景技术：

量子密钥分发(quantum key distribution,QKD)利用量子力学基本原理保证通信双方密钥的安全共享，理论上具有无条件安全性。但，QKD系统理想模型对器件和设备运转状态要求严苛，实际中难以达到，这些缺陷给现实的QKD系统造成了不可忽视的安全漏洞。针对QKD系统测量设备的安全漏洞，目前已有强光致盲攻击、探测器效率不匹配攻击、探测器死时间攻击、分束器波长攻击等攻击方案提出。

为了避开上述探测设备安全性问题带来的影响，测量设备无关量子密钥分发协议(MDIQKD)应运而生。在MDIQKD中光脉冲被发送至非可信任第三方进行Bell态测量，即无需再对探测设备进行任何安全性假设，即可有效免疫对探测设备的各种攻击。但，MDIQKD的有效执行需要实现高对比度的不同激光器之间的双光子干涉，否则将产生较大系统误码，这极大地降低了有效密钥的生成率。相较于普通的BB84协议，MDIQKD对参考系校准的要求变得相当复杂，这将严重影响复杂网络应用环境中有效密钥的生成能力和稳定性。

MDIQKD从协议层面提出了对测量设备攻击的对抗方案，从技术参数层面，目前也有一些具有针对性的对抗方案的提出。如专利申请号CN201310468640.0公开了一种量子密钥分发系统中抵御波长攻击的方法，其针对分束器波长攻击，通过在Bob端使用两级滤波手段分离出对信号光和同步光的伪装，并结合符合去除技术，对波长分离攻击进行了有效防御。文献《Quantum eavesdropping without interception:an attack exploiting the dead time of singlephoton detectors》提出了一种对抗探测器死时间攻击的方法。上述这些方法只是针对特定的单一攻击方式而提出，而不能防御QKD网络上可能出现的多种攻击方式。

在光纤QKD网络中，许多攻击方案是通过添加攻击光路或结合强光进行攻击，如在探测器效率不匹配攻击方案中，窃听者Eve借助高速光开关等调节光脉冲到达Bob端的时间来控制探测器的测量值；如在分束器波长攻击方案中，窃听者Eve借助模拟Bob端功能的测量设备，对光脉冲进行截获-重发攻击；如在强光致盲攻击方案中，窃听者Eve通过向探测器输入连续光消除其盖革模式使其退化至线性模式来实现攻击；又如在探测器死时间攻击方案中，窃听者Eve利用强脉冲与探测器死时间使特定探测器致盲，以控制Bob端探测器响应。但，这些攻击方案不可避免地会在系统原有光路中引入光衰减或反射事件。

对于光纤背向瑞利散射光和背向菲涅尔反射光两种背向传输光的监测技术可用于监测光纤链路上的光衰减状况，对衰减、反射等事件进行准确定位和预警。将背向传输光监测技术与QKD网络结合，可及时、准确地判断对测量设备的攻击是否存在，帮助系统实现对利用不完美测量设备攻击的主动、有效防御，保证了成码率高的诱骗态BB84协议可以提供较好的现实安全性的密钥，而不需要使用成码率极低的测量设备无关的量子密钥分发协议来实现。

现有的QKD系统如图1所示，Alice和Bob是QKD系统的两个合法用户。Alice是QKD系统的发送端，包括信号发送端主机(即发送端主机)、信号光源模块、同步光源模块、第一波分复用模块(WDM)。Bob是QKD系统的接收端，包括第二波分复用模块(WDM)、信号光接收模块、同步光接收模块、信号接收端主机(即接收端主机)。Alice和Bob之间联接光纤通道。信号光源模块在信号发射主机的控制下，发出相应的信号光，该光信号是已经经过编码的；同步光源模块在发送端主机的控制下也发射一个与该信号光的同步的光作为相应的同步光，其中，信号光和同步光的波长不同，具体分别由信号光源模块和同步光源模块本身决定。信号光和同步光输入到第一波分复用模块(WDM)中进行波分复用然后经由光纤通道到达Bob端。在Bob端，信号光和同步光输入到第二波分复用模块(WDM)，由第二波分复用模块(WDM)进行解波分复用后分开成信号光、同步光两个通道，信号光进入信号光接收模块，同步光进入同步光接收模块，同步光进入同步光接收模块后产生同步电信号到信号光接收模块和接收端主机，同步电信号用于同步发射与接收端之间的时序以及控制信号光接收模块内的门控单光子探测器光接收的门延时等。信号光接收模块根据同步电信号的时序恢复信号数据，将信号数据传输到接收端主机。发送端主机与接收端主机之间利用认证的经典通信进行基矢对比、纠错和隐私放大等数据后处理操作，最终得到安全密钥。

综上所述，现有技术存在如下问题：

1、QKD系统理想模型对器件和设备运转状态要求严苛，实际中难以达到此要求，目前存在许多针对这类漏洞的窃听方式。

2、测量设备无关量子密钥分发协议可以防御多种攻击，但是成码率低、稳定性差。

3、两级滤波分光等技术只能单独针对一种攻击行为做防御，不能防御QKD网络上可能出现的多种攻击方式。

技术实现要素：

为解决现有技术存在的上述问题，本发明公开了一种具有主动监测功能的量子密钥分发系统。

为达到上述目的，本发明采取如下技术方案：一种具有主动监测功能的量子密钥分发系统，包括发送端和接收端，所述发送端和接收端通过信道连接以进行量子密钥分发过程中的通信，所述的量子密钥分发系统还包括用于监测所述信道的损耗以监听所述信道上是否存在窃听者的监测单元，所述的监测单元包括探测光发生模块、探测光测量模块、判断模块，探测光发生模块向所述信道输入探测光；探测光测量模块，用于测量探测光信道中传输时预先设定的各个采样点处的背向传输光的强度值；判断模块，用于根据所述强度值的变化判断信道上是否存在窃听。

本发明中探测光测量模块包括数据采集模块和光电探测模块，背向传输光输入到光电探测模块后，光电探测模块将光信号转换成电信号，然后输入到数据采集模块，数据采集模块按照预设频率采集所述的电信号并数字化为强度值后发送给判断模块。

数据采集模块根据采样点之间的距离设定采样频率以保证每个采样点都能够得到相应的背向传输光强度值。采样点均匀分布也可以按照需要任意分布，且相邻两个采样点之间的距离也可以根据应用环境设定。本发明中优选采样点均匀分布。

本发明中探测光测量模块和探测光发射模块可以分别位于接收端和发送端，且为避免数据远程传输，探测光测量模块和判断模块位于同一端。此时，探测光测量模块测量到的应该为前向传输光的光强，此时只能检测到是否被窃听，无法进一步确定窃听点的位置。

本发明中判断模块可以采用微处理器实现，如单片机、DSP、FPGA等，只需满足一定的逻辑运算、数据处理要求即可，也可以通过PC机实现。

以所述信道上任意相邻的至少两个采样点作为一个监测区域，若该监测区域内存在任意两个采样点的强度差值大于预设的阈值时，则认为否存在窃听。

在实际应用时，可通过滑动窗口的方法实现，滑动时，设定窗口大小为至少两个采样点，滑动步进为一个采样点，每次滑动后的窗口即对应一个监测区域。

所述的阈值可根据实际应用情况以及相邻采样点之间的间隔设定。作为优选，当相邻两个采样点之间的距离为1m时，所述阈值为0.5dB～1dB。

作为优选，判断模块可以采用两点法、最小二乘法、Gabor变换法、小波变换法等经典算法根据得到的各个采样点处背向传输光强度值判断所述信道的损耗情况以判断是否被窃听以及窃听点的位置。

本发明中探测光测量模块和探测光发生模块为同一端(同在发送端一侧或同在接收端一侧)，此时，探测光测量模块接收到的是探测光在信道传输过程中的背向传输光(背向传输光包括背向瑞利散射光和背向菲涅尔反射光)，此时既可以监测是否有窃听，且进一步可以确定窃听的位置。

优选的，所述量子密钥分发系统还包括尾纤收容盘，用于探测光输出的尾纤输入所述尾纤收容盘中收容缠绕。进一步优选，尾纤收容盘内置有光纤匹配液，以吸收探测光，减少在尾纤收容盘的光纤端面处产生的背向菲涅尔反射光。根据探测光的波长选择合适的匹配液。探测光的输出尾纤为在系统接收端的一段不接任何设备的光纤，其作为探测光传输通道的尾部，探测光在此结束向前的传输。

作为一种实现方式，探测光发生模块包括：探测光源模块，用于发射探测光；路径选择模块，用于将所述探测光输入到所述信道，并将接收到的背向传输光输入到探测光测量模块。

路径选择模块可以直接与信道相连以接收背向传输光，也可以在二者之间增设其他光器件或光模块实现间接连接以接收背向传输光。

由于现有的量子密钥分发系统中，发送端包括波分复用器，以及用于产生信号光的信号光源模块和用于产生同步光的同步光源模块，同步光和信号光由波分复用器复用进入同一信道。为便于实现，本发明中将波分复用器改为三端口波分复用器，此时，所述波分复用器用于将信号光、同步光和来自于经过路径选择模块后的探测光进行波分复用后输入到所述信道中，还用于将信道中的背向传输光进行解复用后发送给路径选择模块。

为实现不同的功能且避免信号间的干扰，作为优选，所述信号光、同步光、探测光的波长不同。波分复用器将信道中的信号光、同步光和探测光传送至接收端不同的相应模块，且仅使探测光的背向传输光能够到达探测光测量模块被测量。探测光的重复频率根据信道长度决定，必须保证信道中只有一个光脉冲。

进一步优选，所述信号光、同步光和探测光的波长分别为1550nm、1570nm、1310nm。作为另外一种实现形式，发送端包括用于产生与信号光同步的同步光的同步光源模块，所述探测光发生模块包括一路径选择模块，所述路径选择模块用于将接收到的同步光作为探测光输入到所述信道中，还用于将接收到的背向传输光输入到探测光测量模块。

通过一同步光兼做探测光，不用另外设置光源产生探测光，有利于降低成本，提高集成度。

发送端还包括用于产生信号光的信号光源模块，以及用于将信号光、同步光进行波分复用后输入到所述信道的波分复用器；作为优选，所述路径选择模块设有三个端口，分别与同步光源模块、探测光测量模块和波分复用器连接，以用于将同步光源模块产生的同步光输入至波分复用器，将波分复用器输出的背向传输光输入到探测光测量模块。

所述信号光、同步光的波长分别采用1550nm、1570nm。在该实现形式下，进行量子密钥分发时同步光频率高，但是进行监测时，必须保证信道中仅有一个脉冲，因此，必须采用脉冲频率可调的同步光源发射模块，且该系统需要进行时分复用以工作在两种模式下，分别为密钥分发模式和监测模式，按照预设的时间间隔在以上两种工作模式下切换，且在切换工作模式时，需要调整同步光源模块的脉冲频率，使工作于密钥分发模式时，脉冲频率为与信号光对应的高频；工作在监测模式时，使信道上仅有一个光脉冲。

本发明中预设的时间间隔可以根据具体要求调整，在实际使用时还可以根据需要设为动态时间间隔。

本发明中路径选择模块可以通过光纤耦合器实现，此时，耦合器的分束比可以调节。作为优选，所述分束比为50/50。优选的，所述的路径选择模块基于光环形器实现。此时，返回的所有背向传输光均进入探测光测量模块，不会进入探测光源模块中。

未作特殊说明，本发明默认发送端和接收端均设一控制主机(分别为发送端主机和接收端主机)。发送端主机与信号光源模块和同步光源模块连接，信号光源模块在发送端主机的控制下发射信号光，同步光源模块在发送端主机的控制下发射一个与所述信号光同步的光作为同步光。此时，监测单元中的判断模块可以直接通过其所在端(发送端或接收端)的控制主机实现，进而不用单独设置，有利于降低成本。

本发明具有主动监测功能的量子密钥分发系统，其一，在QKD系统中加入对信道上窃听的监测单元，可以通过波分复用的方式与QKD系统同时工作，实时监测并发现攻击事件、实现主动防御。其二，可以利用QKD系统中的同步光作为监测单元的激光光源，通过时分复用的方式进行测量，即时发现攻击事件、实现主动防御。

本发明具有主动监测功能的量子密钥分发系统具有如下技术效果：

考虑实际情况，对QKD系统的多种攻击方式会改变光纤信道的光损耗分布情况，如在信道中某处引入异常的光衰减、光反射，通过在QKD系统中增加监测单元，可以监测到这些事件。QKD系统与监测单元工作在波分复用或者时分复用模式，实时、主动监测攻击事件；

在普通的QKD系统中加上信道窃听的监测单元后，可以主动发现信道光损耗异常的位置，即快速发现窃听者的位置，快速排除隐患。

附图说明

图1是现有QKD系统的结构框图。

图2是实施例1的结构框图。

图3(a)是通道安全的QKD系统的光路示意图。

图3(b)为图3(a)所示QKD系统的损耗曲线。

图4(a)是Eve1和Eve2对QKD系统进行攻击时的光路示意图。

图4(b)为图4(a)所示QKD系统的损耗曲线。

图5(a)是Eve对QKD系统进行攻击时的的光路图。

图5(b)是图5(a)所示QKD系统的损耗曲线。

图6是实施例2的结构框图。

具体实施方式

下面结合附图对本发明优选实施例作详细说明。

实施例1：

本实施例的QKD系统如图2所示，其包括发送端主机1、信号光源模块2、第一复用模块3、同步光源模块4、光纤耦合器5、探测光源模块6、数据采集模块7、光电探测模块8、信道(即光纤通道)9、第二复用模块10、尾纤收容盘11、信号光接收模块12、同步光接收模块13、接收端主机14，上述各模块均可以采用成熟的现有技术。

为便于理解，可进一步将上述模块归属至发送端(即Alice端)、接收端(即Bob端)和监测单元：发送端和通过信道(即光纤通道9)连接的接收端，二者作为量子秘钥分发过程的实现者完成量子密钥分发过程中的通信；监测单元，用于监测信道9的损耗以监听信道9是否存在窃听者。其中：

发送端包括发送端主机1、信号光源模块2、第一复用模块3、同步光源模块4；

接收端包括第二复用模块10、尾纤收容盘11、信号光接收模块12、同步光接收模块13、接收端主机14。

监测单元包括光纤耦合器5、探测光源模块6、数据采集模块7、光电探测模块8，其中，光纤耦合器5和探测光源模块6属于探测光发生模块，数据采集模块7和光电探测模块8属于探测光测量模块。探测光发生模块用于产生探测光并耦合至信道9中；探测光测量模块，用于接收探测光在信道9中传输时的背向传输光并测量信道上预先设定的各个采样点处的背向传输光的强度值。

本实施例中探测光发生模块和探测光测量模块均设置于发送端(即Alice端)。实际上监测单元还设有判断模块，用于根据测量到的与各个采样点相应的强度值变化判断信道是否存在窃听。本实施例中直接由发送端主机1实现。判断模块确定是否存在窃听的方法如下：以任意相邻的至少2个采样点作为一个监测区域，若监测区域内存在两个采样点对应的背向传输光强度值变化大于预设的阈值，则认为信道上存在窃听，并认为该监测区域为窃听点。本实施例中采样点均匀分布，且相邻采样点之间的距离为1m，预设阈值为0.5dB-1dB。

背向传输光输入到探测光测量模块中的光电探测模块后，光电探测模块将光信号转换成电信号，然后输入到数据采集模块，数据采集模块按照预设频率采集各个采样点对应的电信号并数字化为强度值后发送给判断模块。

数据采集模块根据采样点之间的距离设定采样频率以保证每个采样点都能够得到相应的背向传输光强度值。采样点均匀分布也可以按照需要任意分布，相邻两个采样点之间的距离可以根据应用环境设定。本发明中优选采样点均匀分布。

本实施例中采样点均匀分布在信道9上，当相邻两个采样点之间的距离为1m时，数据采集模块的采样频率为100MHz。

在本实施例中，发送端主机1和接收端主机14均可以选用PC机。下面详细描述本实施例的QKD系统的结构及工作原理。第一复用模块3和第二复用模块10可以基于波长复用实现，如1×3WDM器件，此时，通道9为单模单芯光纤，信号光、同步光、探测光经过复用后在同一根纤芯中传输。

第一复用模块3和第二复用模块10可以基于空间复用实现，如1×3的空分复用器件，此时，光纤通道是单模多芯光纤，信号光、同步光、探测光在同一根光纤中不同的纤芯中传输。

发送端主机1与信号光源模块2、同步光源模块4、探测光源模块6、数据采集模块7都相联，信号光源模块2、同步光源模块4都与第一复用模块3相联，数据采集模块7与光电探测模块8相联，光电探测模块8、探测光模块6都通过光纤耦合器5与第一复用模块3相联。第一复用模块3通过光纤通道9与第二复用模块10相联，第二复用模块10与信号光接收模块12、同步光接收模块13相联，信号光接收模块12、同步光接收模块13各自与接收端主机14相联，且信号光接收模块12与同步光接收模块13之间也相联。光纤耦合器5的分束比为50/50，其三个端口(一个总支端口与两个分束端口)中，两分束端分别于探测光源模块6、光电探测模块8相连，总支端口与第一复用模块3的一个输入端相连。

信号光源模块2在发送端主机1的控制下，发出相应的信号光，该光信号已经经过编码。同步光源模块4在发送端主机1的控制下也发射一个与该信号光的同步的光作为相应的同步光。探测光模块6在发送端主机1的控制下发射出探测光。其中，信号光、同步光、探测光的波长不同，具体分别由信号光源模块2、同步光源模块4、探测光源模块6本身决定。上述产生的信号光、同步光、探测光输入到第一复用模块3中进行复用，然后经由光纤通道9到达Bob端。

在Bob端，信号光、同步光和探测光输入到第二复用模块10，由第二复用模块10进行解复用后分开成信号光、同步光、探测光并分别输入相应的通道。探测光输出的尾纤输入到尾纤收容盘11中收容缠绕，尾纤收容盘11内置光纤匹配液，光纤尾端浸入匹配液中，以减少尾端菲涅尔反射。本实施例的光纤匹配液可以采用如美国Cargille laboratories公司提供的编号为0607的光纤匹配液。信号光进入信号光接收模块12，同步光进入同步光接收模块13，同步光进入同步光接收模块13后产生同步电信号到信号光接收模块12及接收端主机14，同步电信号用于同步发送端与接收端之间的时序以及控制信号光接收模块12内的门控单光子探测器光接收的门延时等。信号光接收模块12根据同步电信号的时序恢复信号数据，将信号数据传输到接收端主机14。发送端主机1与接收端主机14之间利用认证的经典通信进行基矢对比、纠错和隐私放大等数据后处理操作，最终得到安全密钥。前述关于QKD数据后处理的具体过程，可参考Christian Kollmitzer等编著的《Appliced Quantum Cryptography》一书中第三章节对于量子秘钥分发公共信道的介绍。

探测光源模块6产生的探测光在光纤通道9中传输时会产生与其波长相同的背向瑞利散射光，在光纤端面处还会产生背向菲涅尔反射光。两种背向传输光(背向瑞利散射光和背向菲涅尔反射光)携带光纤沿线各点的光衰减程度信息返回到第一复用模块3，由第一复用模块3解复用后输入到光纤耦合器5中，光纤耦合器5将背向传输光输入到光电探测模块8中，光电探测模块8将光信号转换成电信号，输入到数据采集模块7，数据采集模块7对电信号高速采集并数字化后输入到发送端主机1，其中，数据采集模块7采集的电信号强度对应光纤采样点处背向传输光的光功率，采样时间则对应光纤该点的位置，发送端主机1得到背向传输光的强度数据和光纤上采样位置数据，通过采用两点法、最小二乘法、Gabor变换法、小波变换法等经典算法进行处理，最终得出光纤通道9的损耗曲线。

当通道安全时，即图3(a)所示发送端Alice和接收端Bob之间的光纤通道之间不存在窃听者，此时，发送端主机1得到的损耗曲线如图3(b)所示，损耗曲线的横轴为采样点距离待测试光纤起点的距离，纵轴为该采样点处的背向传输光的强度(即信号强度)，除光纤尾端的菲涅反射外，损耗曲线上无其他异常的衰减和反射事件。

如图4(a)中Eve1和Eve2在光纤通道9上分别进行探测器效率不匹配攻击和分束器波长攻击，Eve1可通过插入高速光开关等器件调节信号光到达Bob的时间从而根据自己的意愿来控制Bob的测量值，但高速光开关等器件会在光路中引入插入损耗，体现为损耗曲线上的衰减事件；Eve2借助与Bob相似的测量器件对信号光进行截获测量并制备假态发送给Bob，以控制Bob的测量结果与Eve2一致，从而实现攻击，但Eve2的截获-重发攻击方式阻断了光在光纤通道9的传输，体现为损耗曲线上的反射事件。损耗曲线如图4(b)所示，损耗曲线出现阈值以上的衰减、反射事件时，认为可能存在窃听者。

如图5(a)所示，Eve可在光纤通道9中利用波分技术将探测光引出，使其在长度与传输损耗相近的另一根光纤中传输，即此时监测单元无法对光纤通道9探测光引出点之后的光纤路径进行监测，Eve可在此段信道上实施窃听。但实际发送端与接收端间光缆铺设路径非常复杂，且光纤在光缆内随套管以绞合形式存在而非直线布置，所以Eve很难精确掌握两地光纤的长度信息；现有的背向传输光监测技术已经可以实现m级光纤距离的测量，因此此种攻击方式虽不会在损耗曲线中引入异常的衰减、反射事件，相应的损耗曲线如图5(b)所示，但损耗曲线上光纤长度信息发生可见变化，同样会暴露窃听行为。

与现有QKD系统不同的是，本实施例在Alice端加入光纤耦合器5、探测光源模块6、数据采集模块7、光电探测模块8等，其实现了对光纤信道上窃听行为的监测功能，并且选用的第一复用模块3、第二复用模块10都采用了三端口复用模块。

第一复用模块3、第二复用模块10能实现光波长或光空间复用、解复用。采用光波长复用、解复用时，第一复用模块3、第二复用模块10为阵列光波导等WDM器件，光纤通道9是单模单芯光纤，信号光、同步光、探测光在同一根纤芯中传输；采用光空间复用、解复用时，第一复用模块3、第二复用模块10为空分复用器件，光纤通道9是单模多芯光纤，信号光、同步光、探测光在同一根光纤中不同的纤芯中传输。其中，空分复用器可选用THORLABS公司的1转7扇出光纤束；单模多芯光纤可选用OFS Labs公司的7芯多芯光纤。

在波分复用系统中为了实现各自不同的功能，信号光、同步光、探测光三种光信号使用了三种不同的光波长。在光纤通道9中，尤其当光纤通道9为一根单模单芯光纤时，还需考虑三种光波间的串扰问题。信号光是单光子量级的微弱光，同步光、探测光是经典的强光信号，特别是探测光可能会达到数十毫瓦。在光纤中，强光传输引起的拉曼散射具有很宽的光谱范围，当强光波长为1550nm时，其产生的拉曼散射光波长范围为1450～1650nm，若信号光波长在此范围内，将影响对信号光的探测，最终造成QKD误码率的上升。根据离探测光波长越远、拉曼散射光越弱的特点，信号光、同步光、探测光的波长分别采用1550nm、1570nm、1310nm。

如上所述，本实施例通过采用波分复用解复用技术，并选择三种合适的光波长，借助监测单元，QKD系统可实现在正常工作不受影响的情况下同时对抗多种方式的窃听。此时，监测单元可为QKD系统提供丰富的攻击预警信息，实现主动防御。

实施例2：

本实施例利用同步光模块的脉冲光作为探测光，参见图6，本实施例的具有主动监测功能的QKD系统包括发送端主机1、信号光源模块2、第一复用模块3、同步光源模块4、光纤耦合器5、数据采集模块7、光电探测模块8、光纤通道9、第二复用模块10、信号光接收模块12、同步光接收模块13、接收端主机14，发送端主机1与信号光源模块2、同步光源模块4、数据采集模块7都相联，信号光源模块2与第一复用模块3相联，数据采集模块7与光电探测模块8相联，同步光源模块4、光电探测模块8都通过光纤耦合器5与第一复用模块3相联。第一复用模块3通过光纤通道9与第二复用模块10相联，第二复用模块10与信号光接收模块12、同步光接收模块13相联，信号光接收模块12、同步光接收模块13各自与接收端主机14相联，且信号光接收模块12与同步光接收模块13之间也相联。

本实施例中，信号光与同步光的收发模块和收发过程与实施例1基本相同，可参考实施例1。本实施例与实施例1不同之处在于，本实施例的同步光源模块4除作为同步光源外，同时作为探测光源，具体如下：

探测光发生模块不设置探测光源模块，而复用同步光源模块，以同步光源模块发出的同步光兼做探测光，并进一步包括一路径选择模块，通过该路径选择模块将接收到的同步光作为探测光输入到信道中，并将接收到的背向传输光输入到探测光测量模块。本实施例的路径选择模块设有三个端口，分别与同步光源模块、探测光测量模块和波分复用器连接，以用于将同步光源模块产生的同步光输入至波分复用器，将波分复用器输出的背向传输光输入到探测光测量模块。优选的，本实施例中的路径选择模块基于光环形器实现。

相应的，第一复用模块3和第二复用模块10可以基于波长复用实现，如1×2的WDM器件，信号光、同步光(即探测光)经过复用后在同一根纤芯中传输。

作为另一种实现方式，第一复用模块3和第二复用模块10可以基于空间复用实现采用，如1×2的空分复用器件，此时，光纤通道是单模多芯光纤，信号光、同步光(或探测光)在同一根光纤中不同的纤芯中传输。

QKD系统与监测单元通过时分复用的方式进行，发送端主机1随机选择QKD或监测功能。当发送端主机1选择监测功能时，首先停止QKD功能，发送端主机1触发同步光源模块4发出符合背向传输光监测的激光，同时触发光电探测模块8和数据采集模块7。探测光经过光纤耦合器5、第一复用模块3、光纤通道9、第二复用模块10到达同步光接收模块13的输入端，经同步光接收模块13的反射，部分光返回第二复用模块10、光纤通道9、第一复用模块3、光纤耦合器5光路，此反射光即为同步光接收模块13处光纤端面的后向菲涅尔反射光。上述光路中同时有瑞利散射光从光纤各处返回。两种背向传输光输入到光电探测模块8中。此后光电探测模块8、数据采集模块7、发送端主机1实现了与实施例1相同的监测单元功能。最终在发送端主机1上得到光纤通道9的损耗曲线。根据损耗曲线上的衰减、反射事件，可以判断并定位窃听。

同步光与探测光的时分复用的方式虽然降低了QKD系统的成码率，但可以省去一个激光器，也不存在探测光对信号光的串扰问题。

本领域的普通技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。