CN1204710C - 经典信号同步延时的复合量子密钥分发系统及其实现方法 - Google Patents

Abstract

本发明涉及的是基于真空光速是极限信号速度这一狭义相对论基本结果提出的复合量子密钥分发系统的QKD双速协议，本发明的研究结果证明了这一协议的安全性与原BB84协议的安全性相同；研究结果还表明，本发明的双速协议在提高系统密钥生成效率的同时降低了窃听者Eve可能得到的信息量；本发明所述的双速协议由于打破了公开讨论之前Bob和Eve的对等地位，使QKD在概念上发生了明显的变化，使协议基的选择空间有了本质性的扩充。本发明提出了任意基协议、四组基协议和十组基协议，并证明这些协议使EVE所能获得的信息量较通常的BB84协议更少。

Description

经典信号同步延时的复合量子密钥分发系统及其实现方法

发明领域

本发明涉及量子信息技术中的量子密码术。具体的讲，本发明提出了复合量子密钥分发(QKD)系统及其实现方法，本发明在提高密钥生成效率的同时提高量子密钥分发系统的安全性，并极大地扩充协议基选择范围；本发明的物理基础是真空光速为极限信号速度这一狭义相对论基本结果。

背景技术

众所周知，QKD安全性的基础是量子随机性和未知量子态的不可克隆定理；在BB84协议中，当Eve(窃听者)不知道Alice(发送者)选取的是哪组基时，它无法准确地测量Alice所发送的每一个光子的极化状态。在四态BB84协议中，Eve选择到正确测量基的概率是 在六态扩展BB84协议中，Eve选基正确的概率只有

Eve不能正确选择测量基使它无法准确判断Alice所发送的光子的极化状态，因而它补发给Bob(接受者)的光子会以 的概率在Bob处引起可察觉的错误。

这一结果保证了Alice和Bob之间所生成的密钥序列的安全性。

显然，在BB84协议中，在与Alice公开讨论之前，Bob与Eve的地位是相同的，由于Bob不能在测量前知道Alice选定的发送基是哪一组，他的测量效率也只能是(四态)或 (六态)。

正是由于这个原因，BB84类协议不适合自由地选取更多的基以提高系统的安全性。

双速协议的缺点是显然的：协议所需的经典信道不能使用最为方便的光纤信道，考虑到目前自由空间光通信的巨大进展，尤其是密集频分复用技术和自由空间光信息传输的自适应技术的进展，本发明提出的方案是有可能在多样化的应用环境中找到自己的位置的。

发明内容

在本发明中，所述的缩略词QKD是英文词组Quantum Key Distribution(量子密钥分发)的缩写；

在本发明中，同时也按照本领域之习用，将ALICE定义为“密钥发送者”；将BOB定义为“密钥接收者”；将EVE定义为“窃听者”。

本发明的主要目的在于提出一种经典信号同步延时的复合量子密钥分发系统(QKD)。

本发明的另一个目的在于提出一种用于所述复合量子密钥分发系统(QKD)的双速协议。

本发明讨论并提出了经典信号同步延时的复合QKD系统及其双速协议的基本内容和安全性问题，证明了这一协议的安全性与传统的BB84协议安全性等价，而安全密钥的生成效率则高于扩展BB84协议三倍以上。

更进一步，本发明所述的这一协议使QKD在概念上发生了明显的变化，Bob与Eve的地位在Alice和Bob公开讨论之前就已经完全不同，这使得Alice和Bob可以随意选定发送和测量的基，而Eve却完全无法有效利用这一信息。

本发明的另一个优点是自由空间的经典信道可以合理地被看作是抗干扰信道，从而避免了需要量子认证这一难题，使得本发明首次提供了一种可达数十公里范围的具有无条件安全性的量子密钥分发方案。而现有技术的自由空间QKD方案的有效范围目前仅为若干公里，光纤QKD方案由于至今未能发现有效的量子认证方案而只能算作具有无条件安全性的量子密钥扩展。

本发明的这种方式为设计更有效、安全的QKD系统提供了可能。

基于现有技术所述的双速BB84协议的解释，由于光纤QKD系统是目前看来唯一有实用意义的QKD系统，而光纤中光信号的传递速度只有 倍光速，本发明的研究人员提出了下述双速QKD(BB84)协议：

1.Alice选择一组协议基，并在t＝0时刻随机选择处于某一容许态的光子发送给Bob；

2.Alice在t＝τ时刻公开宣布此光子处于哪一组基上，此经典信息以光速c沿公开信道传向Bob。当经典信道为直线时，延时τ须满足 $\mathrm{\τ}=\frac{1}{c}[n_g(l+l_b)-d],---\left(1\right)$ 其中c为真空光速，n_g为光纤纤芯的群速度折射率，l为从Alice到Bob安全区边缘的光纤长度，l_b为Bob在安全区内预留的光纤长度，d为Alice到Bob的距离；

3.Bob接收到Alice的经典信息后选择正确的测量基测量Alice所发送的光子的极化状态；

4.Bob公布哪些光子检测到了；

5.Bob公布部分测量结果，Alice据此判断Eve是否存在；

6.Alice和Bob将剩余的比特作为原始密钥。

本发明所述的双速协议的安全性判定，显然，只须证明Eve的在线测量不能利用Alice公开发布的经典信息，就可知此协议的安全性与传统BB84协议的安全性相同。

以Alice所处位置为坐标原点，Alice到Bob的方向为x轴方向，可知不论Alice和Bob之间的光纤链路怎样弯曲，量子信号S_q的速度(v_g)在x轴正向的投影始终小于v_g，因而小于c。当Alice的经典信号S_c发出后，其在x轴上的投影x_c以光速c前进(假设经典信道是直的)，因此在整个传输过程中S_c都是在追赶S_q。由(1)式可知，只有当S_q进入Bob的安全区后S_c才能追上S_q，所以在Bob的安全区之外，S_c始终落后于S_q，因而只要光纤传输线是坐标x的单值函数，就有x_c＜x_q，其中x_q是量子信号在x轴上的投影。因此我们知道，Eve若要利用S_c测量S_q，就必须滞留S_q。另一方面，Eve若要使自己的窃听不被察觉，又必须在测量之后补发S_q，而且使Bob能在原定时刻接收到它。可是，我们已知以光速c沿直线传向Bob的S_c要到Bob的安全区之内才能追赶上S_q，即S_q到达Bob安全区边缘的时刻要早于S_c。显然，Eve无论如何也不能在利用S_q进行测量之后又能使补发的S_q比S_c更早进入Bob的安全区以使S_q和S_c在Bob处有正确的时间差，所以我们知道，用经典信道发送延时为τ的信号S_c是安全的，双速协议的安全性与原BB84协议相同。公式(1)只适用于经典信道为直线的情形，当经典信道弯曲时，只需增大l_b，满足 ${\mathrm{\Δl}}_b=\frac{1}{3}\mathrm{\Δd},$ 其中Δd是经典信道由于弯曲而增加的长度，即可保证系统的安全性。如果计及大气中的光速略小于狭义相对论的极限信号速度，也可通过略微加长l_b以确保系统的安全性。

本发明所述的双速协议中协议基的选取如下，本发明所述的双速协议可以采用原BB84协议的两组基，也可以采用扩展BB84协议的三组基，原则上这一协议对基的选取没有限制。

本发明在这里所述的“没有限制“的意义是：1.基的数目不受严格的限制，多选几组基不会降低密钥生成效率；2.基与基之间的关系不受限制，不必要求不同基之间相互共轭。因此可以说，本发明提出的复合量子密钥分发系统及其双速协议为QKD系统的协议设计提供了充分的自由。

在采用BB84协议的两组基时，双速协议的密钥生成效率是原BB84协议的两倍；采用扩展BB84协议的三组基时，双速协议效率是扩展BB84协议效率的三倍。在上述两种情形Eve可能得到的平均信息量仍然分别是 和

表面看来，只要我们增加协议采用的相互共轭基的数目，就可以在不降低密钥生成效率的同时有效地降低Eve的窃听效率，遗憾的是，描述光子极化状态的两两共轭的基最多只能有三组。下面我们给出这一证明。

首先来看两组正交基相互共轭的条件。不失一般性，设两组正交基分别为

第一组基可用第二组基表示为

$e_0^1=A_1{e}_0^2+B_1{e}_1^2,---\left(3a\right)$

$e_1^1=A_2{e}_0^2+B_2{e}_1^2.---\left(3b\right)$

由(2)、(3)式可得

$A_1=\cos {\mathrm{\θ}}_1\cos {\mathrm{\θ}}_2+\sin {\mathrm{\θ}}_1\sin {\mathrm{\θ}}_2{e}^{i({\mathrm{\φ}}_1-{\mathrm{\φ}}_2)},---\left(4a\right)$

$B_1=\cos {\mathrm{\θ}}_1\sin {\mathrm{\θ}}_2-\sin {\mathrm{\θ}}_1\cos {\mathrm{\θ}}_2{e}^{i({\mathrm{\φ}}_1-{\mathrm{\φ}}_1)},---\left(4b\right)$

和

$A_2=\sin {\mathrm{\θ}}_1\cos {\mathrm{\θ}}_2-\cos {\mathrm{\θ}}_1\sin {\mathrm{\θ}}_2{e}^{i({\mathrm{\φ}}_1-{\mathrm{\φ}}_2)},---\left(4c\right)$

$B_2=\sin {\mathrm{\θ}}_1\sin {\mathrm{\θ}}_2+\cos {\mathrm{\θ}}_1\cos {\mathrm{\θ}}_2{e}^{i({\mathrm{\φ}}_1-{\mathrm{\φ}}_2)}.---\left(4d\right)$

两组基共轭的含义是|A₁|²＝|B₁|²，|A₂|²＝|B₂|²，由此可得两组基共轭的条件：

tg2θ₁tg2θ₂＝-sec(φ₁-φ₂).    (5)

现在用反证法证明不能有三组以上的基两两共轭。设有四组基两两共轭，则由(5)式有

tg2θ_itg2θ_j＝-sec(φ_i-φ_j)，1≤i＜j≤4.    (6)

记tg2θ_i＝t_i，cos(φ_i-φ_j)＝-c_ij，由(6)式可得

$\frac{C_{23}}{C_{34}{C}_{24}}=t_4^2=\frac{C_{13}}{C_{14}{C}_{34}},---\left(7a\right)$

$\frac{C_{12}}{C_{13}{C}_{23}}=t_3^2=\frac{C_{24}}{C_{23}{C}_{14}}---\left(7b\right)$

$\frac{C_{13}}{C_{12}{C}_{23}}=t_2^2=\frac{C_{14}}{C_{12}{C}_{24}}---\left(7c\right)$

$\frac{C_{34}}{C_{13}{C}_{14}}=t_1^2=\frac{C_{23}}{C_{12}{C}_{13}}.---\left(7d\right)$

由上述诸式可得

C₂₃C₁₄＝C₁₃C₂₄，                            (8a)

C₁₃C₂₄＝C₁₂C₃₄.                          (8b)

由(8a)式有

cos(φ₁+φ₃-φ₂-φ₄)＝cos(φ₂+φ₃-φ₁-φ₄)

从而有

sin(φ₃-φ₄)sin(φ₁-φ₂)＝0.             (9a)

由(8b)式有

cos(φ₃+φ₄-φ₁-φ₂)＝cos(φ₂+φ₄-φ₁-φ₃)，

从而有

sin(φ₄-φ₁)sin(φ₃-φ₂)＝0              (9b)

由(9a)式和(9b)式知φ₁、φ₂、φ₃和φ₄中至少有三个相等或相差π的整数倍。

由于本发明的研究人员证论的前提是φ_i各不相同，相差π的偶数倍没有意义，因此只能是三个角两两相差π的奇数倍。由于三个角度两两相差π的奇数倍是不可能的，所以知上述论证的前提不能成立，即不可能有四组基两两共轭。

在Poincaré球上可推出共轭条件(5)将导致s₁s₁′+s₂s₂′+s₃s₃′＝0，即相互共轭的两组基所对应的两条直径相互垂直。由于在三维空间中最多只能有三条直径两两垂直，可知最多只能选出三组基相互共轭。

根据上述论证可知，如果协议基限于取共轭的正交基，则双速协议以选取扩展BB84协议的三组共轭基为优。

下面讨论本发明所述的协议更具特色的情形：协议基不完全是共轭基的情形。

                          实施例一

本实施例讨论的是协议基不完全是共轭基的情形，具体如下：

由于双速协议在增加协议基数目时不会降低密钥生成效率，本发明的研究人员首先来考虑一种极端的情形，假设Alice和Bob事先并不约定协议基是什么，Alice随机选取Poincaré球面上一点S发送给Bob，并在延时τ之后用经典信道公布S所在直径。由于Bob是依据经典信号S_c进行测量的，因此能准确知道Alice发送的是S还是-S。

而Eve与Bob完全不同，由于Alice的S点是随机选取的，所以Eve的窃听策略无论怎样其平均效果都相当于随便选取一条不动的直径进行测量。本发明的研究人员假定她选的是(±1，0，0)，则Alice发送的光子的极化状态S在Eve选定的测量基上可一般性地表达为(cosθ，sinθe^iφ)，Eve判断正确的概率为cos²θ，这里限定 $0<\mathrm{\&theta;}<\frac{\mathrm{\&pi;}}{4},$ 这是因为Eve可以在收到S_c之后再判断自己的测量结果是倾向于S还是倾向于-S。从Poincaré球上看就是Eve可以认定自己的测量基直径与Alice的发送基直径夹角小于 此时如果取Alice/Eve平均交互信息量为

$I^{\mathrm{AE}}=1+\frac{4}{\mathrm{\&pi;}}\underset{0}{\overset{\mathrm{\&pi;}/4}{\&Integral;}}({\cos }^2\mathrm{\&theta;}{\log }_2{\cos }^2\mathrm{\&theta;}+{\sin }^2\mathrm{\&theta;}{\log }_2{\sin }^2\mathrm{\&theta;})\mathrm{d\&theta;}---\left(10\right)$

由

$\underset{0}{\overset{\mathrm{\&pi;}/4}{\&Integral;}}{\cos }^2\mathrm{\&theta;}{\log }_2{\cos }^2\mathrm{\&theta;d\&theta;}=\frac{1}{4\ln 2}(-1-\ln 2+\frac{\mathrm{\&pi;}}{2}-\mathrm{\&pi;}\ln 2+2G)---\left(11a\right)$

$\underset{0}{\overset{\mathrm{\&pi;}/4}{\&Integral;}}{\sin }^2{\mathrm{\&theta;}\log }_2{\sin }^2\mathrm{\&theta;d\&theta;}=\frac{1}{4\ln 2}(-1-\ln 2+\frac{\mathrm{\&pi;}}{2}-\mathrm{\&pi;}\ln 2-2G)---\left(11b\right)$

其中G是由完全椭圆积分

$K\left(k\right)=\underset{0}{\overset{\mathrm{\&pi;}/2}{\&Integral;}}\frac{\mathrm{da}}{\sqrt{1-k^2{\sin }^2\mathrm{\&alpha;}}}---\left(12a\right)$

定义的Catalan常数，

$G=\frac{1}{2}\underset{0}{\overset{1}{\&Integral;}}K\left(k\right)\mathrm{dk}=\underset{m=0}{\overset{\&infin;}{\mathrm{\&Sigma;}}}\frac{{(-1)}^m}{{(2m+1)}^2}=0.9160---\left(12b\right)$

可得

I^AE＝0.4423           (13)

这一结果似乎表明随机选基发送要比选三组共轭基来发送 $(I^{\mathrm{AE}}=\frac{1}{3})$ 使Eve获得更大的信息量，这是不确切的；原因是(10)式暗含了Alice在参数θ上均匀取点而不考虑参数φ的变化这一假定；这相当于假定Eve选定的窃听直径与Alice的选基方案相关，而这是Eve无法做到的。如果我们积分时在Poincaré球面上均匀取点，结果就会有很大的不同。

下面考虑在Poincaré球面上均匀取基时Alice/Eve的交互信息量。为利用通常选取的描述光子极化的球坐标^[8]

s₁＝s₀cos2χcos2ψ，    (14a)

s₂＝s₀cos2χsin2ψ，    (14b)

s₃＝s₀sin2χ.           (14c)

其中s₀为光场强度，χ为椭圆率，ψ为椭圆取向角，我们可以不失一般性地考虑光子极化态在基{|L>，|R>}上的分解。这在表面上是假定Eve取{|L>，|R>}为固定窃听基，但由于积分遍及整个球面，结果与窃听基选取无关，积分值反映的是Alice在Poincaré球面上随机选取发送基而Eve在Poincaré球面上随机选取窃听基时Alice/Eve的平均交互信息量。一般的发送态(cosO，sinθe^iφ)在{|L>，|R>}上的分解为

其中

$A=\frac{1}{\sqrt{2}}(\cos \mathrm{\&theta;}+\sin \mathrm{\&theta;}{e}^{i(\mathrm{\&phi;}-\frac{\mathrm{\&pi;}}{2})}),---\left(16a\right)$

$B=\frac{1}{\sqrt{2}}(\cos \mathrm{\&theta;}-\sin \mathrm{\&theta;}{e}^{i(\mathrm{\&phi;}-\frac{\mathrm{\&pi;}}{2})}),---\left(16b\right)$

可得

${\left|A\right|}^2=\frac{1}{2}(1+\sin 2\mathrm{\&theta;}\sin \mathrm{\&phi;}).---\left(17\right)$

不失一般性，取s₀＝1，则有^[8]

s₃＝2a₁a₂sinδ＝sin2θsinφ    (18)

由(14c)式和(17)式可得

${\left|A\right|}^2=\frac{1}{2}(1+\sin 2\mathrm{\&chi;}).---\left(19\right)$

故知Eve的窃听效率为

${\mathrm{\&eta;}}_{\mathrm{\&Sigma;}}=\frac{1}{2}(1+\sin 2\mathrm{\&chi;}).---\left(20\right)$

Alice/Eve的平均交互信息量为

$I_{\mathrm{\&Sigma;}}^{\mathrm{AE}}=1+\frac{1}{2\mathrm{\&pi;}}\underset{0}{\overset{\mathrm{\&pi;}/2}{\&Integral;}}d\left(2\mathrm{\&psi;}\right)\underset{0}{\overset{\mathrm{\&pi;}/2}{\&Integral;}}d\left(2\mathrm{\&chi;}\right)({\mathrm{\&eta;}}_{\mathrm{\&Sigma;}}{\log }_2{\mathrm{\&eta;}}_{\mathrm{\&Sigma;}}+(1-{\mathrm{\&eta;}}_{\mathrm{\&Sigma;}}){\log }_2(1-{\mathrm{\&eta;}}_{\mathrm{\&Sigma;}}))\cos 2\mathrm{\&chi;},---\left(21\right)$

积分，得

$I_{\mathrm{\&Sigma;}}^{\mathrm{AE}}=1-\frac{1}{2}{\log }_{2}e=0.2787.---\left(22\right)$

由此知Alice在Poincaré球面上随机选基将使Eve获得较扩展BB84协议更小的信息量，即采用这种选基方式的双速协议较扩展BB84协议更安全。

因此，本发明所述的双速协议可以比扩展BB84协议更安全。从上述分析中可以引出一个问题：将(21)式积分变量2χ换为 $\mathrm{\&alpha;}=\frac{\mathrm{\&pi;}}{2}-2\mathrm{\&chi;}$ 时，

(21)式变为：

$I_{\mathrm{\&Sigma;}}^{\mathrm{AE}}=1+\underset{0}{\overset{\mathrm{\&pi;}/2}{\&Integral;}}\mathrm{d\&alpha;}({\cos }^2\mathrm{\&alpha;}{\log }_2{\cos }^2\mathrm{\&alpha;}+{\sin }^2\mathrm{\&alpha;}{\log }_2{\sin }^2\mathrm{\&alpha;})\sin \mathrm{\&alpha;},---\left(23a\right)$

而(10)式可化为：

$I^{\mathrm{AE}}=1+\frac{2}{\mathrm{\&pi;}}\underset{0}{\overset{\mathrm{\&pi;}/2}{\&Integral;}}\mathrm{d\&theta;}({\cos }^2\mathrm{\&theta;}{\log }_2{\cos }^2\mathrm{\&theta;}+{\sin }^2\mathrm{\&theta;}{\log }_2{\sin }^2\mathrm{\&theta;}),---\left(23a\right)$

比较(23a)式和(23b)式，可知I^AE和I_∑ ^AE的区别就在于积分平均时的权重不同，这其实反映的是两种随机选基方案的基选取概率依参数(θ，φ)的分布不同。我们要问的问题是：就不同的选基方案，即积分平均时的不同权重而言，能否证明I_∑ ^AE是最小的？即：是否Poincaré球面上的均匀取点方案是最优的？，请参见实施例2。

                               实施例二

本实施例讨论的是四组基协议，本实施例考虑一个具体的四组基双速协议，本发明的研究人员取协议的四组基为Poincaré球面的内接立方体的四条对角线所对应的四条直径。由于这四条直径互相并不垂直，这是一个协议基为非共轭基的双速协议。这一协议的P基窃听，即以四条对角线之一为窃听基的窃听，对于其它三条对角线上的态有相同的窃听效率：

${\mathrm{\&eta;}}_P={\cos }^2\mathrm{\&theta;}=\frac{1}{2}(s_1{s}_1^{\&prime;}+s_2{s}_2^{\&prime;}+s_3{s}_3^{\&prime;}+1)=\frac{2}{3},---\left(24\right)$

因此

所以此协议在P基攻击下的Alice/Eve平均交互信息量为

小于扩展BB84协议的I_P ^AE。由于三组基协议和四组基协议同样需要2比特的S_c，只要给出四组基协议易于操作的物理实现方案，这一协议是有实用意义的。

这一协议还有两种Breidbart基窃听方式。其一是取固定的窃听基为平行于立方体某一边的一条直径，窃听效率为

${\mathrm{\&eta;}}_B=\frac{1}{2}(1+\cos \mathrm{\&alpha;})=\frac{1}{2}(1+\frac{1}{\sqrt{3}}),---\left(27\right)$

Alice/Eve平均交互信息量为

$I_{4B}^{\mathrm{AE}}=1+{\mathrm{\&eta;}}_B{\log }_2{\mathrm{\&eta;}}_B+(1-{\mathrm{\&eta;}}_B){\log }_2(1-{\mathrm{\&eta;}}_B)=0.2560.---\left(28\right)$

其二是随机取某两组基对应直径的角分线为窃听基，共有六种等价取法。可以证明另外两条直径与窃听基所在直径垂直，对交互信息量没有贡献。相邻直径上的态的窃听效率为

${\mathrm{\&eta;}}_{B^{\&prime;}}=\frac{1}{2}(1+\cos {\mathrm{\&alpha;}}^{\&prime;})=\frac{1}{2}(1+\sqrt{\frac{2}{3}})=0.9082,---\left(29\right)$

$I_{{4B}^{\&prime;}}^{\mathrm{AE}}=\frac{1}{2}[1+{\mathrm{\&eta;}}_{B^{\&prime;}}\mathrm{lo}{g}_2{\mathrm{\&eta;}}_{B^{\&prime;}}+(1-{\mathrm{\&eta;}}_B){\log }_2(1-{\mathrm{\&eta;}}_B)]=0.2788.---\left(30\right)$

由(26)、(28)和(30)各式知不考虑纠错过程对I_4X ^AE的影响时，四组基双速协议的窃听策略以P基窃听为优。如果考虑纠错过程，各I_4X ^AE会发生不同的变化。首先看I_4P ^AE。

选对基的情形不在Bob处引起错误；

选错基的情形在Bob处引起错误的概率为 ${2\mathrm{\&eta;}}_P(1-{\mathrm{\&eta;}}_P)=\frac{4}{9},$ Eve与Bob同为正确的概率为 ${\mathrm{\&eta;}}_P^2=\frac{4}{9}.$ Eve手中选错基的比特在纠错后正确率为

平均起来Alice/Eve的有效交互信息量为

对于固定窃听基的B窃听，类似可得

下面来看随机选取六个窃听基之一的窃听方式：B′窃听。对于与窃听基共轭的两组基上的态，Eve引起的错误率为

对于与窃听基相邻的两组基上的态，Eve引起的错误率为2η_B′(1-η_B′)＝0.1667。对于后者，Eve与Bob同为正确的概率为 ${\mathrm{\&eta;}}_{B^{\&prime;}}^2=0.8248,$ 因此纠错后Eve手中比特的正确率为

(η_B′)_有效＝0.9898，    (35)

总计起来B′攻击下Eve获得的有效信息量为

由(32)、(34)和(36)各式可知，在Alice和Bob使用标准纠错手续公开纠错之后，Eve获得的有效信息量以采用B基窃听时为最大。

综上所述可知，利用标准纠错手续公开纠错后Eve的信息量以B窃听为最大；如果能排除Eve的B窃听，就可以使秘密性增强算法的强度下降40％，从而较大幅度地提高安全密钥的生成效率。因此如何设计协议基的选取和公开讨论方案以便更有效地排除B窃听就是一个需要进一步研究的问题，参见实施例3。

                             实施例三

本实施例具体涉及十组基协议，即，考虑取下述十组基的双速QKD协议：不但取实施例二中讨论的四组基协议中的四组基为协议基，而且取实施例二中讨论的第二类Breidbart基攻击中的六组随机选取的Breidbart窃听基也为协议基。从Poincaré球面的内接立方体上看，这十组基对应于过立方体中心的四条长为 倍边长的对角线所在直径和六条平行于长为

倍边长的对角棱中点连线的直径。下面考虑此方案在P基攻击下的Alice/Eve平均交互信息量。

Eve选择的窃听基与Alice选择的发送基的关系可分成三种情形：

1.同在 线所对应的四组基内；

2.同在 线所对应的六组基内；

3.一在四组基内，一在六组基内。对于情形“1”，由上述讨论可知Alice/Eve交互信息量为0.3113[见(26)式]；对于情形“2”，可以看出六组基中有一组基与窃听基垂直，对I^AE无贡献；另外四组基的窃听效率为 $\frac{1}{2}(1+\cos \frac{\mathrm{\&pi;}}{3})=\frac{3}{4},$ 相应的I^AE为0.1888，故得情形“2”的Alice/Eve平均交互信息量为 $\frac{1}{6}+\frac{4}{6}\&times;0.1888=0.2925;$ 对于情形“3”，即Eve选择的窃听基和Alice选择的发送基一个属于 线对应的六组基之一，一个属于

线对应的四组基之一，可以证明：

(1)每一条 线与两条不相邻的 线互相垂直；

(2)每一条

线与三条不相邻的

线互相垂直；

(3)发送基与窃听基相邻时窃听效率为0.9082[见(29)式]。

由此可得Alice/Eve平均交互信息量为0.2788。综上所述可知，本节提出的十组基协议在P基窃听下Eve可能获得的平均交互信息量为

$I_{10P}^{\mathrm{AE}}=0.3113\&times;{\left(\frac{2}{5}\right)}^2+0.2925\&times;{\left(\frac{3}{5}\right)}^2+0.2788\&times;2\&times;\frac{2}{5}\&times;\frac{3}{5}$

$=0.2890.---\left(37\right)$

由(37)式可知，在P基窃听下当不考虑纠错过程对Eve获得的信息量的影响时，十组基双速QKD协议明显较扩展BB84协议更为安全。十组基协议在各种B基窃听下的安全性以及纠错过程对Eve信息量的影响有待分析。

本发明的技术特征是：

1、量子信道在光纤纤芯，经典信道在自由空间；

2、每一个经典信号与相应的一个量子信号之间有一个适当的延时，保证接收者BOB可以利用经典信号测量相应的量子信号；

本发明的优点：

1、提高密钥生成效率至100％；

2、协议基可以任意选择，其明显的作用之一是提高了系统的抗攻击能力；

3、量子信道在光纤纤芯，可以远距离传送，而经典信道在自由空间，可以看作是抗干扰(unjammable)信道，从而解决了QKD最基本的困难，使得防止中间介入攻击的量子认证在本系统中没有必要。

综上所述可知，本发明提出的基于真空光速为极限信号速度这一狭义相对论基本假设的光纤QKD系统双速协议在提高密钥生成效率的同时提高了系统的安全性，光纤QKD系统双速协议使QKD协议设计的选择空间有了本质性的扩充，尤其是双速协议在一开始就使得Bob与Eve的地位完全不同，从而为今后基于理论和实践的各种原因设计有效、安全的系统提供了更多的可能。

Claims (6)

1、一种经典信号同步延时的复合量子密钥分发系统，其特征在于：所述的一种复合量子密钥分发系统的量子信道在光纤纤芯，而经典信道在自由空间，每一个经典信号与相应的一个量子信号之间有一个适当的延时τ。

$\mathrm{\&tau;}=\frac{1}{c}[n_g(l+l_b)-d]$

其中c为真空光速，n_g为光纤芯的群速度折射率，l为从发送者到接收者安全区边缘的光纤长度，l_b为接收者在安全区内预留的光纤长度，d为发送者到接收者的距离，保证接收者可以利用经典信号测量相应的量子信号。

2、一种经典信号同步延时的复合量子密钥分发系统的实现方法，其特征在于：所述的方法是采用双速协议，使得发送者和接收者可以随意选定发送和测量的基，而窃听者却完全无法有效利用这一信息，具体步骤如下：

(1)、发送者选择一组协议基，并在t＝0时刻随机选择处于某一容许态的光子发送给接收者；

(2)、发送者在t＝τ时刻公开宣布此光子处于哪一组基上，此经典信息以光速c沿公开信道传向接收者。当经典信道为直线时，延时τ须满足

$\mathrm{\&tau;}=\frac{1}{c}[n_g(l+l_b)-d]----\left(1\right)$

其中c为真空光速，n_g为光纤芯的群速度折射率，l为从发送者到接收者安全区边缘的光纤长度，l_b为接收者在安全区内预留的光纤长度，d为发送者到接收者的距离，保证接收者可以利用经典信号测量相应的量子信号。

(3)、接收者接收到发送者的经典信息后选择正确的测量基测量发送者所发送的光子的极化状态；

(4)、接收者公布哪些光子检测到了；

(5)、接收者公布部分测量结果，发送者据此判断窃听者是否存在；

(6)、发送者和接收者将剩余的比特作为原始密钥。

3、根据权利要求2所述的一种经典信号同步延时的复合量子密钥分发系统的实现方法，其特征在于：采用原BB84协议的两组基，或者采用扩展BB84协议的三组基，在采用BB84协议的两组基时，双速协议的密钥生成效率是原BB84协议的两倍；采用扩展BB84协议的三组基时，双速协议效率是扩展BB84协议效率的三倍；在上述两种情形窃听者可能得到的平均信息量仍然分别是1/2和1/3。

4、根据权利要求2所述的一种经典信号同步延时的复合量子密钥分发系统的实现方法，其特征在于：协议基是完全任意的共轭基，具体如下：

假设发送者和接收者事先并不约定协议基是什么，发送者随机选取Poincare球面上一点S发送给接收者，并在延时τ之后用经典信道公布S所在直径。

5、根据权利要求2所述的一种经典信号同步延时的复合量子密钥分发系统的实现方法，其特征在于：采用四组基，所述的四组基为Poincare球面的内接立方体的四条对角线所对应的四条直径。

6、根据权利要求2所述的一种经典信号同步延时的复合量子密钥分发系统的实现方法，其特征在于：采用十组基，即，取四组基协议中的四组基为协议基，还取Breidbart基攻击中的六组随机选取的Breidbart窃听基也为协议基，从Poincare球面的内接立方体上看，这十组基对应于过立方体中心的四条长为

倍边长的对角线所在直径和六条平行于长为 倍边长的对角棱中点连线的直径。