1、 VI 缩略语汇总缩略语汇总 QKD（quantum key distribution）量子密钥分发 DVQKD（discrete variable quantum key distribution）离散变量量子密钥分发 CVQKD（continuous variable quantum key distribution）连续变量量子密钥分发 TOE（target of evaluation）评估对象 TDC（time digital convertor）时间数字转换器 PNS（photon-number splitting）光子数分离 COW（coherent one way）相干单路协议

2、USD（unambiguous-state-discrimination）非混态区分 VOA（Variable Optical Attenuator）可调光衰减器 APD（avalanche photodiode）雪崩光电探测器 TEC（Thermo Electric Cooler）半导体制冷器 SPD（single photon detector）单光子探测器 OTDR（optical time-domain reflectometer）光时域反射仪 QBER（quantum bit error rate）量子比特错误率 QKD 安全攻击防御方案分析和分级评估研究报告 1 一、量子密钥分发安

3、全框架（一）（一）量子密钥分发理论安全性证明量子密钥分发理论安全性证明 任何一个 QKD 协议的安全性都是有一定前提假设的，一个设计良好的 QKD 协议，在其所列前提假设下可以从理论上证明其无条件安全性。但在实际系统中运行时，这些前提假设并不一定都可以完美满足。因此，实际系统的安全性并不完全等价于对协议设计时的理论安全性。为了构建实际系统的安全性架构，本小节将先对QKD的理论安全性证明的做一个简单回顾。在 DV-QKD 的理论安全性证明研究方面。自 QKD 协议提出后1，研究者就对其安全性开展了研究。早在 1996 年 D.Mayers 就给出了离散变量BB84协议的安全性证明，但该证明过于抽

4、象，不易理解。随后 H.K.Lo 和 H.F.Chau 在 1999 年基于纠缠提取的思想给出了 BB84 协议的安全性证明2。Lo-Chau 的证明具有较为直观的物理图像，但该证明要求 Alice 和 Bob 具有量子计算机，并能够对光信号进行量子逻辑操作，而这在现有技术条件下是无法实现的。2000 年时，P.W.Shor 和 J.Preskill 指出基于经典纠错和保密放大过程也可以证明BB84 协议的无条件安全3，这就为 QKD 的应用打开了大门。相比于 Lo-Chau 的安全性证明，Shor-Preskill 的最大改进在于，他们证明了 Alice 和 Bob 可以先对他们所共享的混合

5、纠缠态进行测量，并分别得到比特错误率（对应于 Alice 和 Bob 都采用 Z 基测量时的误码率）和相位错误率（对应于 Alice 和 Bob 都采用 X 基测量时的误码率），QKD 安全攻击防御方案分析和分级评估研究报告 2 然后 Alice 和 Bob 可以采用经典纠错来纠正比特错误，然后用私密放大哈希函数来纠正相位错误，从而提取出安全的密钥。在 Shor和 Preskill给出安全性证明后，BB84 协议在理想情况下的安全性证明基本完成。不过这些安全性证明存在潜在的假设条件，那就是 Alice 和 Bob 的设备应该是理想的。但是对于实际 QKD 系统而言，这一点很难得到保证。因此，这

6、种理论和实际的偏差就可能给实际 QKD 系统带来潜在的安全性威胁。不过最初人们并没有意识到该问题的严重性，直到 2000 年 G.Brassard 等指出实际系统所采用的弱相干光有可能导致光子数分离（Photon-number-splitting,PNS）攻击4，从而严重影响 QKD 在长距离下的安全性，人们才开始关注这一问题。随后 D.Gottesman 等人基于某些假设条件分别给出了实际非理想设备下 QKD 的安全性证明，其中最著名的结论就是 Gottesman-Lo-Ltkenhaus-Preskill 四人在 2004 年给出的安全性分析5。他们在该分析中给出了著名的 GLLP 密钥率