本發(fā)明屬于量子保密通信技術(shù)領(lǐng)域，具體涉及一種具有主動(dòng)監(jiān)測(cè)功能的量子密鑰分發(fā)系統(tǒng)。

背景技術(shù)：

量子密鑰分發(fā)(quantum key distribution,QKD)利用量子力學(xué)基本原理保證通信雙方密鑰的安全共享，理論上具有無條件安全性。但，QKD系統(tǒng)理想模型對(duì)器件和設(shè)備運(yùn)轉(zhuǎn)狀態(tài)要求嚴(yán)苛，實(shí)際中難以達(dá)到，這些缺陷給現(xiàn)實(shí)的QKD系統(tǒng)造成了不可忽視的安全漏洞。針對(duì)QKD系統(tǒng)測(cè)量設(shè)備的安全漏洞，目前已有強(qiáng)光致盲攻擊、探測(cè)器效率不匹配攻擊、探測(cè)器死時(shí)間攻擊、分束器波長攻擊等攻擊方案提出。

為了避開上述探測(cè)設(shè)備安全性問題帶來的影響，測(cè)量設(shè)備無關(guān)量子密鑰分發(fā)協(xié)議(MDIQKD)應(yīng)運(yùn)而生。在MDIQKD中光脈沖被發(fā)送至非可信任第三方進(jìn)行Bell態(tài)測(cè)量，即無需再對(duì)探測(cè)設(shè)備進(jìn)行任何安全性假設(shè)，即可有效免疫對(duì)探測(cè)設(shè)備的各種攻擊。但，MDIQKD的有效執(zhí)行需要實(shí)現(xiàn)高對(duì)比度的不同激光器之間的雙光子干涉，否則將產(chǎn)生較大系統(tǒng)誤碼，這極大地降低了有效密鑰的生成率。相較于普通的BB84協(xié)議，MDIQKD對(duì)參考系校準(zhǔn)的要求變得相當(dāng)復(fù)雜，這將嚴(yán)重影響復(fù)雜網(wǎng)絡(luò)應(yīng)用環(huán)境中有效密鑰的生成能力和穩(wěn)定性。

MDIQKD從協(xié)議層面提出了對(duì)測(cè)量設(shè)備攻擊的對(duì)抗方案，從技術(shù)參數(shù)層面，目前也有一些具有針對(duì)性的對(duì)抗方案的提出。如專利申請(qǐng)?zhí)朇N201310468640.0公開了一種量子密鑰分發(fā)系統(tǒng)中抵御波長攻擊的方法，其針對(duì)分束器波長攻擊，通過在Bob端使用兩級(jí)濾波手段分離出對(duì)信號(hào)光和同步光的偽裝，并結(jié)合符合去除技術(shù)，對(duì)波長分離攻擊進(jìn)行了有效防御。文獻(xiàn)《Quantum eavesdropping without interception:an attack exploiting the dead time of singlephoton detectors》提出了一種對(duì)抗探測(cè)器死時(shí)間攻擊的方法。上述這些方法只是針對(duì)特定的單一攻擊方式而提出，而不能防御QKD網(wǎng)絡(luò)上可能出現(xiàn)的多種攻擊方式。

在光纖QKD網(wǎng)絡(luò)中，許多攻擊方案是通過添加攻擊光路或結(jié)合強(qiáng)光進(jìn)行攻擊，如在探測(cè)器效率不匹配攻擊方案中，竊聽者Eve借助高速光開關(guān)等調(diào)節(jié)光脈沖到達(dá)Bob端的時(shí)間來控制探測(cè)器的測(cè)量值；如在分束器波長攻擊方案中，竊聽者Eve借助模擬Bob端功能的測(cè)量設(shè)備，對(duì)光脈沖進(jìn)行截獲-重發(fā)攻擊；如在強(qiáng)光致盲攻擊方案中，竊聽者Eve通過向探測(cè)器輸入連續(xù)光消除其蓋革模式使其退化至線性模式來實(shí)現(xiàn)攻擊；又如在探測(cè)器死時(shí)間攻擊方案中，竊聽者Eve利用強(qiáng)脈沖與探測(cè)器死時(shí)間使特定探測(cè)器致盲，以控制Bob端探測(cè)器響應(yīng)。但，這些攻擊方案不可避免地會(huì)在系統(tǒng)原有光路中引入光衰減或反射事件。

對(duì)于光纖背向瑞利散射光和背向菲涅爾反射光兩種背向傳輸光的監(jiān)測(cè)技術(shù)可用于監(jiān)測(cè)光纖鏈路上的光衰減狀況，對(duì)衰減、反射等事件進(jìn)行準(zhǔn)確定位和預(yù)警。將背向傳輸光監(jiān)測(cè)技術(shù)與QKD網(wǎng)絡(luò)結(jié)合，可及時(shí)、準(zhǔn)確地判斷對(duì)測(cè)量設(shè)備的攻擊是否存在，幫助系統(tǒng)實(shí)現(xiàn)對(duì)利用不完美測(cè)量設(shè)備攻擊的主動(dòng)、有效防御，保證了成碼率高的誘騙態(tài)BB84協(xié)議可以提供較好的現(xiàn)實(shí)安全性的密鑰，而不需要使用成碼率極低的測(cè)量設(shè)備無關(guān)的量子密鑰分發(fā)協(xié)議來實(shí)現(xiàn)。

現(xiàn)有的QKD系統(tǒng)如圖1所示，Alice和Bob是QKD系統(tǒng)的兩個(gè)合法用戶。Alice是QKD系統(tǒng)的發(fā)送端，包括信號(hào)發(fā)送端主機(jī)(即發(fā)送端主機(jī))、信號(hào)光源模塊、同步光源模塊、第一波分復(fù)用模塊(WDM)。Bob是QKD系統(tǒng)的接收端，包括第二波分復(fù)用模塊(WDM)、信號(hào)光接收模塊、同步光接收模塊、信號(hào)接收端主機(jī)(即接收端主機(jī))。Alice和Bob之間聯(lián)接光纖通道。信號(hào)光源模塊在信號(hào)發(fā)射主機(jī)的控制下，發(fā)出相應(yīng)的信號(hào)光，該光信號(hào)是已經(jīng)經(jīng)過編碼的；同步光源模塊在發(fā)送端主機(jī)的控制下也發(fā)射一個(gè)與該信號(hào)光的同步的光作為相應(yīng)的同步光，其中，信號(hào)光和同步光的波長不同，具體分別由信號(hào)光源模塊和同步光源模塊本身決定。信號(hào)光和同步光輸入到第一波分復(fù)用模塊(WDM)中進(jìn)行波分復(fù)用然后經(jīng)由光纖通道到達(dá)Bob端。在Bob端，信號(hào)光和同步光輸入到第二波分復(fù)用模塊(WDM)，由第二波分復(fù)用模塊(WDM)進(jìn)行解波分復(fù)用后分開成信號(hào)光、同步光兩個(gè)通道，信號(hào)光進(jìn)入信號(hào)光接收模塊，同步光進(jìn)入同步光接收模塊，同步光進(jìn)入同步光接收模塊后產(chǎn)生同步電信號(hào)到信號(hào)光接收模塊和接收端主機(jī)，同步電信號(hào)用于同步發(fā)射與接收端之間的時(shí)序以及控制信號(hào)光接收模塊內(nèi)的門控單光子探測(cè)器光接收的門延時(shí)等。信號(hào)光接收模塊根據(jù)同步電信號(hào)的時(shí)序恢復(fù)信號(hào)數(shù)據(jù)，將信號(hào)數(shù)據(jù)傳輸?shù)浇邮斩酥鳈C(jī)。發(fā)送端主機(jī)與接收端主機(jī)之間利用認(rèn)證的經(jīng)典通信進(jìn)行基矢對(duì)比、糾錯(cuò)和隱私放大等數(shù)據(jù)后處理操作，最終得到安全密鑰。

綜上所述，現(xiàn)有技術(shù)存在如下問題：

1、QKD系統(tǒng)理想模型對(duì)器件和設(shè)備運(yùn)轉(zhuǎn)狀態(tài)要求嚴(yán)苛，實(shí)際中難以達(dá)到此要求，目前存在許多針對(duì)這類漏洞的竊聽方式。

2、測(cè)量設(shè)備無關(guān)量子密鑰分發(fā)協(xié)議可以防御多種攻擊，但是成碼率低、穩(wěn)定性差。

3、兩級(jí)濾波分光等技術(shù)只能單獨(dú)針對(duì)一種攻擊行為做防御，不能防御QKD網(wǎng)絡(luò)上可能出現(xiàn)的多種攻擊方式。

技術(shù)實(shí)現(xiàn)要素：

為解決現(xiàn)有技術(shù)存在的上述問題，本發(fā)明公開了一種具有主動(dòng)監(jiān)測(cè)功能的量子密鑰分發(fā)系統(tǒng)。

為達(dá)到上述目的，本發(fā)明采取如下技術(shù)方案：一種具有主動(dòng)監(jiān)測(cè)功能的量子密鑰分發(fā)系統(tǒng)，包括發(fā)送端和接收端，所述發(fā)送端和接收端通過信道連接以進(jìn)行量子密鑰分發(fā)過程中的通信，所述的量子密鑰分發(fā)系統(tǒng)還包括用于監(jiān)測(cè)所述信道的損耗以監(jiān)聽所述信道上是否存在竊聽者的監(jiān)測(cè)單元，所述的監(jiān)測(cè)單元包括探測(cè)光發(fā)生模塊、探測(cè)光測(cè)量模塊、判斷模塊，探測(cè)光發(fā)生模塊向所述信道輸入探測(cè)光；探測(cè)光測(cè)量模塊，用于測(cè)量探測(cè)光信道中傳輸時(shí)預(yù)先設(shè)定的各個(gè)采樣點(diǎn)處的背向傳輸光的強(qiáng)度值；判斷模塊，用于根據(jù)所述強(qiáng)度值的變化判斷信道上是否存在竊聽。

本發(fā)明中探測(cè)光測(cè)量模塊包括數(shù)據(jù)采集模塊和光電探測(cè)模塊，背向傳輸光輸入到光電探測(cè)模塊后，光電探測(cè)模塊將光信號(hào)轉(zhuǎn)換成電信號(hào)，然后輸入到數(shù)據(jù)采集模塊，數(shù)據(jù)采集模塊按照預(yù)設(shè)頻率采集所述的電信號(hào)并數(shù)字化為強(qiáng)度值后發(fā)送給判斷模塊。

數(shù)據(jù)采集模塊根據(jù)采樣點(diǎn)之間的距離設(shè)定采樣頻率以保證每個(gè)采樣點(diǎn)都能夠得到相應(yīng)的背向傳輸光強(qiáng)度值。采樣點(diǎn)均勻分布也可以按照需要任意分布，且相鄰兩個(gè)采樣點(diǎn)之間的距離也可以根據(jù)應(yīng)用環(huán)境設(shè)定。本發(fā)明中優(yōu)選采樣點(diǎn)均勻分布。

本發(fā)明中探測(cè)光測(cè)量模塊和探測(cè)光發(fā)射模塊可以分別位于接收端和發(fā)送端，且為避免數(shù)據(jù)遠(yuǎn)程傳輸，探測(cè)光測(cè)量模塊和判斷模塊位于同一端。此時(shí)，探測(cè)光測(cè)量模塊測(cè)量到的應(yīng)該為前向傳輸光的光強(qiáng)，此時(shí)只能檢測(cè)到是否被竊聽，無法進(jìn)一步確定竊聽點(diǎn)的位置。

本發(fā)明中判斷模塊可以采用微處理器實(shí)現(xiàn)，如單片機(jī)、DSP、FPGA等，只需滿足一定的邏輯運(yùn)算、數(shù)據(jù)處理要求即可，也可以通過PC機(jī)實(shí)現(xiàn)。

以所述信道上任意相鄰的至少兩個(gè)采樣點(diǎn)作為一個(gè)監(jiān)測(cè)區(qū)域，若該監(jiān)測(cè)區(qū)域內(nèi)存在任意兩個(gè)采樣點(diǎn)的強(qiáng)度差值大于預(yù)設(shè)的閾值時(shí)，則認(rèn)為否存在竊聽。

在實(shí)際應(yīng)用時(shí)，可通過滑動(dòng)窗口的方法實(shí)現(xiàn)，滑動(dòng)時(shí)，設(shè)定窗口大小為至少兩個(gè)采樣點(diǎn)，滑動(dòng)步進(jìn)為一個(gè)采樣點(diǎn)，每次滑動(dòng)后的窗口即對(duì)應(yīng)一個(gè)監(jiān)測(cè)區(qū)域。

所述的閾值可根據(jù)實(shí)際應(yīng)用情況以及相鄰采樣點(diǎn)之間的間隔設(shè)定。作為優(yōu)選，當(dāng)相鄰兩個(gè)采樣點(diǎn)之間的距離為1m時(shí)，所述閾值為0.5dB～1dB。

作為優(yōu)選，判斷模塊可以采用兩點(diǎn)法、最小二乘法、Gabor變換法、小波變換法等經(jīng)典算法根據(jù)得到的各個(gè)采樣點(diǎn)處背向傳輸光強(qiáng)度值判斷所述信道的損耗情況以判斷是否被竊聽以及竊聽點(diǎn)的位置。

本發(fā)明中探測(cè)光測(cè)量模塊和探測(cè)光發(fā)生模塊為同一端(同在發(fā)送端一側(cè)或同在接收端一側(cè))，此時(shí)，探測(cè)光測(cè)量模塊接收到的是探測(cè)光在信道傳輸過程中的背向傳輸光(背向傳輸光包括背向瑞利散射光和背向菲涅爾反射光)，此時(shí)既可以監(jiān)測(cè)是否有竊聽，且進(jìn)一步可以確定竊聽的位置。

優(yōu)選的，所述量子密鑰分發(fā)系統(tǒng)還包括尾纖收容盤，用于探測(cè)光輸出的尾纖輸入所述尾纖收容盤中收容纏繞。進(jìn)一步優(yōu)選，尾纖收容盤內(nèi)置有光纖匹配液，以吸收探測(cè)光，減少在尾纖收容盤的光纖端面處產(chǎn)生的背向菲涅爾反射光。根據(jù)探測(cè)光的波長選擇合適的匹配液。探測(cè)光的輸出尾纖為在系統(tǒng)接收端的一段不接任何設(shè)備的光纖，其作為探測(cè)光傳輸通道的尾部，探測(cè)光在此結(jié)束向前的傳輸。

作為一種實(shí)現(xiàn)方式，探測(cè)光發(fā)生模塊包括：探測(cè)光源模塊，用于發(fā)射探測(cè)光；路徑選擇模塊，用于將所述探測(cè)光輸入到所述信道，并將接收到的背向傳輸光輸入到探測(cè)光測(cè)量模塊。

路徑選擇模塊可以直接與信道相連以接收背向傳輸光，也可以在二者之間增設(shè)其他光器件或光模塊實(shí)現(xiàn)間接連接以接收背向傳輸光。

由于現(xiàn)有的量子密鑰分發(fā)系統(tǒng)中，發(fā)送端包括波分復(fù)用器，以及用于產(chǎn)生信號(hào)光的信號(hào)光源模塊和用于產(chǎn)生同步光的同步光源模塊，同步光和信號(hào)光由波分復(fù)用器復(fù)用進(jìn)入同一信道。為便于實(shí)現(xiàn)，本發(fā)明中將波分復(fù)用器改為三端口波分復(fù)用器，此時(shí)，所述波分復(fù)用器用于將信號(hào)光、同步光和來自于經(jīng)過路徑選擇模塊后的探測(cè)光進(jìn)行波分復(fù)用后輸入到所述信道中，還用于將信道中的背向傳輸光進(jìn)行解復(fù)用后發(fā)送給路徑選擇模塊。

為實(shí)現(xiàn)不同的功能且避免信號(hào)間的干擾，作為優(yōu)選，所述信號(hào)光、同步光、探測(cè)光的波長不同。波分復(fù)用器將信道中的信號(hào)光、同步光和探測(cè)光傳送至接收端不同的相應(yīng)模塊，且僅使探測(cè)光的背向傳輸光能夠到達(dá)探測(cè)光測(cè)量模塊被測(cè)量。探測(cè)光的重復(fù)頻率根據(jù)信道長度決定，必須保證信道中只有一個(gè)光脈沖。

進(jìn)一步優(yōu)選，所述信號(hào)光、同步光和探測(cè)光的波長分別為1550nm、1570nm、1310nm。作為另外一種實(shí)現(xiàn)形式，發(fā)送端包括用于產(chǎn)生與信號(hào)光同步的同步光的同步光源模塊，所述探測(cè)光發(fā)生模塊包括一路徑選擇模塊，所述路徑選擇模塊用于將接收到的同步光作為探測(cè)光輸入到所述信道中，還用于將接收到的背向傳輸光輸入到探測(cè)光測(cè)量模塊。

通過一同步光兼做探測(cè)光，不用另外設(shè)置光源產(chǎn)生探測(cè)光，有利于降低成本，提高集成度。

發(fā)送端還包括用于產(chǎn)生信號(hào)光的信號(hào)光源模塊，以及用于將信號(hào)光、同步光進(jìn)行波分復(fù)用后輸入到所述信道的波分復(fù)用器；作為優(yōu)選，所述路徑選擇模塊設(shè)有三個(gè)端口，分別與同步光源模塊、探測(cè)光測(cè)量模塊和波分復(fù)用器連接，以用于將同步光源模塊產(chǎn)生的同步光輸入至波分復(fù)用器，將波分復(fù)用器輸出的背向傳輸光輸入到探測(cè)光測(cè)量模塊。

所述信號(hào)光、同步光的波長分別采用1550nm、1570nm。在該實(shí)現(xiàn)形式下，進(jìn)行量子密鑰分發(fā)時(shí)同步光頻率高，但是進(jìn)行監(jiān)測(cè)時(shí)，必須保證信道中僅有一個(gè)脈沖，因此，必須采用脈沖頻率可調(diào)的同步光源發(fā)射模塊，且該系統(tǒng)需要進(jìn)行時(shí)分復(fù)用以工作在兩種模式下，分別為密鑰分發(fā)模式和監(jiān)測(cè)模式，按照預(yù)設(shè)的時(shí)間間隔在以上兩種工作模式下切換，且在切換工作模式時(shí)，需要調(diào)整同步光源模塊的脈沖頻率，使工作于密鑰分發(fā)模式時(shí)，脈沖頻率為與信號(hào)光對(duì)應(yīng)的高頻；工作在監(jiān)測(cè)模式時(shí)，使信道上僅有一個(gè)光脈沖。

本發(fā)明中預(yù)設(shè)的時(shí)間間隔可以根據(jù)具體要求調(diào)整，在實(shí)際使用時(shí)還可以根據(jù)需要設(shè)為動(dòng)態(tài)時(shí)間間隔。

本發(fā)明中路徑選擇模塊可以通過光纖耦合器實(shí)現(xiàn)，此時(shí)，耦合器的分束比可以調(diào)節(jié)。作為優(yōu)選，所述分束比為50/50。優(yōu)選的，所述的路徑選擇模塊基于光環(huán)形器實(shí)現(xiàn)。此時(shí)，返回的所有背向傳輸光均進(jìn)入探測(cè)光測(cè)量模塊，不會(huì)進(jìn)入探測(cè)光源模塊中。

未作特殊說明，本發(fā)明默認(rèn)發(fā)送端和接收端均設(shè)一控制主機(jī)(分別為發(fā)送端主機(jī)和接收端主機(jī))。發(fā)送端主機(jī)與信號(hào)光源模塊和同步光源模塊連接，信號(hào)光源模塊在發(fā)送端主機(jī)的控制下發(fā)射信號(hào)光，同步光源模塊在發(fā)送端主機(jī)的控制下發(fā)射一個(gè)與所述信號(hào)光同步的光作為同步光。此時(shí)，監(jiān)測(cè)單元中的判斷模塊可以直接通過其所在端(發(fā)送端或接收端)的控制主機(jī)實(shí)現(xiàn)，進(jìn)而不用單獨(dú)設(shè)置，有利于降低成本。

本發(fā)明具有主動(dòng)監(jiān)測(cè)功能的量子密鑰分發(fā)系統(tǒng)，其一，在QKD系統(tǒng)中加入對(duì)信道上竊聽的監(jiān)測(cè)單元，可以通過波分復(fù)用的方式與QKD系統(tǒng)同時(shí)工作，實(shí)時(shí)監(jiān)測(cè)并發(fā)現(xiàn)攻擊事件、實(shí)現(xiàn)主動(dòng)防御。其二，可以利用QKD系統(tǒng)中的同步光作為監(jiān)測(cè)單元的激光光源，通過時(shí)分復(fù)用的方式進(jìn)行測(cè)量，即時(shí)發(fā)現(xiàn)攻擊事件、實(shí)現(xiàn)主動(dòng)防御。

本發(fā)明具有主動(dòng)監(jiān)測(cè)功能的量子密鑰分發(fā)系統(tǒng)具有如下技術(shù)效果：

考慮實(shí)際情況，對(duì)QKD系統(tǒng)的多種攻擊方式會(huì)改變光纖信道的光損耗分布情況，如在信道中某處引入異常的光衰減、光反射，通過在QKD系統(tǒng)中增加監(jiān)測(cè)單元，可以監(jiān)測(cè)到這些事件。QKD系統(tǒng)與監(jiān)測(cè)單元工作在波分復(fù)用或者時(shí)分復(fù)用模式，實(shí)時(shí)、主動(dòng)監(jiān)測(cè)攻擊事件；

在普通的QKD系統(tǒng)中加上信道竊聽的監(jiān)測(cè)單元后，可以主動(dòng)發(fā)現(xiàn)信道光損耗異常的位置，即快速發(fā)現(xiàn)竊聽者的位置，快速排除隱患。

附圖說明

圖1是現(xiàn)有QKD系統(tǒng)的結(jié)構(gòu)框圖。

圖2是實(shí)施例1的結(jié)構(gòu)框圖。

圖3(a)是通道安全的QKD系統(tǒng)的光路示意圖。

圖3(b)為圖3(a)所示QKD系統(tǒng)的損耗曲線。

圖4(a)是Eve1和Eve2對(duì)QKD系統(tǒng)進(jìn)行攻擊時(shí)的光路示意圖。

圖4(b)為圖4(a)所示QKD系統(tǒng)的損耗曲線。

圖5(a)是Eve對(duì)QKD系統(tǒng)進(jìn)行攻擊時(shí)的的光路圖。

圖5(b)是圖5(a)所示QKD系統(tǒng)的損耗曲線。

圖6是實(shí)施例2的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明優(yōu)選實(shí)施例作詳細(xì)說明。

實(shí)施例1：

本實(shí)施例的QKD系統(tǒng)如圖2所示，其包括發(fā)送端主機(jī)1、信號(hào)光源模塊2、第一復(fù)用模塊3、同步光源模塊4、光纖耦合器5、探測(cè)光源模塊6、數(shù)據(jù)采集模塊7、光電探測(cè)模塊8、信道(即光纖通道)9、第二復(fù)用模塊10、尾纖收容盤11、信號(hào)光接收模塊12、同步光接收模塊13、接收端主機(jī)14，上述各模塊均可以采用成熟的現(xiàn)有技術(shù)。

為便于理解，可進(jìn)一步將上述模塊歸屬至發(fā)送端(即Alice端)、接收端(即Bob端)和監(jiān)測(cè)單元：發(fā)送端和通過信道(即光纖通道9)連接的接收端，二者作為量子秘鑰分發(fā)過程的實(shí)現(xiàn)者完成量子密鑰分發(fā)過程中的通信；監(jiān)測(cè)單元，用于監(jiān)測(cè)信道9的損耗以監(jiān)聽信道9是否存在竊聽者。其中：

發(fā)送端包括發(fā)送端主機(jī)1、信號(hào)光源模塊2、第一復(fù)用模塊3、同步光源模塊4；

接收端包括第二復(fù)用模塊10、尾纖收容盤11、信號(hào)光接收模塊12、同步光接收模塊13、接收端主機(jī)14。

監(jiān)測(cè)單元包括光纖耦合器5、探測(cè)光源模塊6、數(shù)據(jù)采集模塊7、光電探測(cè)模塊8，其中，光纖耦合器5和探測(cè)光源模塊6屬于探測(cè)光發(fā)生模塊，數(shù)據(jù)采集模塊7和光電探測(cè)模塊8屬于探測(cè)光測(cè)量模塊。探測(cè)光發(fā)生模塊用于產(chǎn)生探測(cè)光并耦合至信道9中；探測(cè)光測(cè)量模塊，用于接收探測(cè)光在信道9中傳輸時(shí)的背向傳輸光并測(cè)量信道上預(yù)先設(shè)定的各個(gè)采樣點(diǎn)處的背向傳輸光的強(qiáng)度值。

本實(shí)施例中探測(cè)光發(fā)生模塊和探測(cè)光測(cè)量模塊均設(shè)置于發(fā)送端(即Alice端)。實(shí)際上監(jiān)測(cè)單元還設(shè)有判斷模塊，用于根據(jù)測(cè)量到的與各個(gè)采樣點(diǎn)相應(yīng)的強(qiáng)度值變化判斷信道是否存在竊聽。本實(shí)施例中直接由發(fā)送端主機(jī)1實(shí)現(xiàn)。判斷模塊確定是否存在竊聽的方法如下：以任意相鄰的至少2個(gè)采樣點(diǎn)作為一個(gè)監(jiān)測(cè)區(qū)域，若監(jiān)測(cè)區(qū)域內(nèi)存在兩個(gè)采樣點(diǎn)對(duì)應(yīng)的背向傳輸光強(qiáng)度值變化大于預(yù)設(shè)的閾值，則認(rèn)為信道上存在竊聽，并認(rèn)為該監(jiān)測(cè)區(qū)域?yàn)楦`聽點(diǎn)。本實(shí)施例中采樣點(diǎn)均勻分布，且相鄰采樣點(diǎn)之間的距離為1m，預(yù)設(shè)閾值為0.5dB-1dB。

背向傳輸光輸入到探測(cè)光測(cè)量模塊中的光電探測(cè)模塊后，光電探測(cè)模塊將光信號(hào)轉(zhuǎn)換成電信號(hào)，然后輸入到數(shù)據(jù)采集模塊，數(shù)據(jù)采集模塊按照預(yù)設(shè)頻率采集各個(gè)采樣點(diǎn)對(duì)應(yīng)的電信號(hào)并數(shù)字化為強(qiáng)度值后發(fā)送給判斷模塊。

數(shù)據(jù)采集模塊根據(jù)采樣點(diǎn)之間的距離設(shè)定采樣頻率以保證每個(gè)采樣點(diǎn)都能夠得到相應(yīng)的背向傳輸光強(qiáng)度值。采樣點(diǎn)均勻分布也可以按照需要任意分布，相鄰兩個(gè)采樣點(diǎn)之間的距離可以根據(jù)應(yīng)用環(huán)境設(shè)定。本發(fā)明中優(yōu)選采樣點(diǎn)均勻分布。

本實(shí)施例中采樣點(diǎn)均勻分布在信道9上，當(dāng)相鄰兩個(gè)采樣點(diǎn)之間的距離為1m時(shí)，數(shù)據(jù)采集模塊的采樣頻率為100MHz。

在本實(shí)施例中，發(fā)送端主機(jī)1和接收端主機(jī)14均可以選用PC機(jī)。下面詳細(xì)描述本實(shí)施例的QKD系統(tǒng)的結(jié)構(gòu)及工作原理。第一復(fù)用模塊3和第二復(fù)用模塊10可以基于波長復(fù)用實(shí)現(xiàn)，如1×3WDM器件，此時(shí)，通道9為單模單芯光纖，信號(hào)光、同步光、探測(cè)光經(jīng)過復(fù)用后在同一根纖芯中傳輸。

第一復(fù)用模塊3和第二復(fù)用模塊10可以基于空間復(fù)用實(shí)現(xiàn)，如1×3的空分復(fù)用器件，此時(shí)，光纖通道是單模多芯光纖，信號(hào)光、同步光、探測(cè)光在同一根光纖中不同的纖芯中傳輸。

發(fā)送端主機(jī)1與信號(hào)光源模塊2、同步光源模塊4、探測(cè)光源模塊6、數(shù)據(jù)采集模塊7都相聯(lián)，信號(hào)光源模塊2、同步光源模塊4都與第一復(fù)用模塊3相聯(lián)，數(shù)據(jù)采集模塊7與光電探測(cè)模塊8相聯(lián)，光電探測(cè)模塊8、探測(cè)光模塊6都通過光纖耦合器5與第一復(fù)用模塊3相聯(lián)。第一復(fù)用模塊3通過光纖通道9與第二復(fù)用模塊10相聯(lián)，第二復(fù)用模塊10與信號(hào)光接收模塊12、同步光接收模塊13相聯(lián)，信號(hào)光接收模塊12、同步光接收模塊13各自與接收端主機(jī)14相聯(lián)，且信號(hào)光接收模塊12與同步光接收模塊13之間也相聯(lián)。光纖耦合器5的分束比為50/50，其三個(gè)端口(一個(gè)總支端口與兩個(gè)分束端口)中，兩分束端分別于探測(cè)光源模塊6、光電探測(cè)模塊8相連，總支端口與第一復(fù)用模塊3的一個(gè)輸入端相連。

信號(hào)光源模塊2在發(fā)送端主機(jī)1的控制下，發(fā)出相應(yīng)的信號(hào)光，該光信號(hào)已經(jīng)經(jīng)過編碼。同步光源模塊4在發(fā)送端主機(jī)1的控制下也發(fā)射一個(gè)與該信號(hào)光的同步的光作為相應(yīng)的同步光。探測(cè)光模塊6在發(fā)送端主機(jī)1的控制下發(fā)射出探測(cè)光。其中，信號(hào)光、同步光、探測(cè)光的波長不同，具體分別由信號(hào)光源模塊2、同步光源模塊4、探測(cè)光源模塊6本身決定。上述產(chǎn)生的信號(hào)光、同步光、探測(cè)光輸入到第一復(fù)用模塊3中進(jìn)行復(fù)用，然后經(jīng)由光纖通道9到達(dá)Bob端。

在Bob端，信號(hào)光、同步光和探測(cè)光輸入到第二復(fù)用模塊10，由第二復(fù)用模塊10進(jìn)行解復(fù)用后分開成信號(hào)光、同步光、探測(cè)光并分別輸入相應(yīng)的通道。探測(cè)光輸出的尾纖輸入到尾纖收容盤11中收容纏繞，尾纖收容盤11內(nèi)置光纖匹配液，光纖尾端浸入匹配液中，以減少尾端菲涅爾反射。本實(shí)施例的光纖匹配液可以采用如美國Cargille laboratories公司提供的編號(hào)為0607的光纖匹配液。信號(hào)光進(jìn)入信號(hào)光接收模塊12，同步光進(jìn)入同步光接收模塊13，同步光進(jìn)入同步光接收模塊13后產(chǎn)生同步電信號(hào)到信號(hào)光接收模塊12及接收端主機(jī)14，同步電信號(hào)用于同步發(fā)送端與接收端之間的時(shí)序以及控制信號(hào)光接收模塊12內(nèi)的門控單光子探測(cè)器光接收的門延時(shí)等。信號(hào)光接收模塊12根據(jù)同步電信號(hào)的時(shí)序恢復(fù)信號(hào)數(shù)據(jù)，將信號(hào)數(shù)據(jù)傳輸?shù)浇邮斩酥鳈C(jī)14。發(fā)送端主機(jī)1與接收端主機(jī)14之間利用認(rèn)證的經(jīng)典通信進(jìn)行基矢對(duì)比、糾錯(cuò)和隱私放大等數(shù)據(jù)后處理操作，最終得到安全密鑰。前述關(guān)于QKD數(shù)據(jù)后處理的具體過程，可參考Christian Kollmitzer等編著的《Appliced Quantum Cryptography》一書中第三章節(jié)對(duì)于量子秘鑰分發(fā)公共信道的介紹。

探測(cè)光源模塊6產(chǎn)生的探測(cè)光在光纖通道9中傳輸時(shí)會(huì)產(chǎn)生與其波長相同的背向瑞利散射光，在光纖端面處還會(huì)產(chǎn)生背向菲涅爾反射光。兩種背向傳輸光(背向瑞利散射光和背向菲涅爾反射光)攜帶光纖沿線各點(diǎn)的光衰減程度信息返回到第一復(fù)用模塊3，由第一復(fù)用模塊3解復(fù)用后輸入到光纖耦合器5中，光纖耦合器5將背向傳輸光輸入到光電探測(cè)模塊8中，光電探測(cè)模塊8將光信號(hào)轉(zhuǎn)換成電信號(hào)，輸入到數(shù)據(jù)采集模塊7，數(shù)據(jù)采集模塊7對(duì)電信號(hào)高速采集并數(shù)字化后輸入到發(fā)送端主機(jī)1，其中，數(shù)據(jù)采集模塊7采集的電信號(hào)強(qiáng)度對(duì)應(yīng)光纖采樣點(diǎn)處背向傳輸光的光功率，采樣時(shí)間則對(duì)應(yīng)光纖該點(diǎn)的位置，發(fā)送端主機(jī)1得到背向傳輸光的強(qiáng)度數(shù)據(jù)和光纖上采樣位置數(shù)據(jù)，通過采用兩點(diǎn)法、最小二乘法、Gabor變換法、小波變換法等經(jīng)典算法進(jìn)行處理，最終得出光纖通道9的損耗曲線。

當(dāng)通道安全時(shí)，即圖3(a)所示發(fā)送端Alice和接收端Bob之間的光纖通道之間不存在竊聽者，此時(shí)，發(fā)送端主機(jī)1得到的損耗曲線如圖3(b)所示，損耗曲線的橫軸為采樣點(diǎn)距離待測(cè)試光纖起點(diǎn)的距離，縱軸為該采樣點(diǎn)處的背向傳輸光的強(qiáng)度(即信號(hào)強(qiáng)度)，除光纖尾端的菲涅反射外，損耗曲線上無其他異常的衰減和反射事件。

如圖4(a)中Eve1和Eve2在光纖通道9上分別進(jìn)行探測(cè)器效率不匹配攻擊和分束器波長攻擊，Eve1可通過插入高速光開關(guān)等器件調(diào)節(jié)信號(hào)光到達(dá)Bob的時(shí)間從而根據(jù)自己的意愿來控制Bob的測(cè)量值，但高速光開關(guān)等器件會(huì)在光路中引入插入損耗，體現(xiàn)為損耗曲線上的衰減事件；Eve2借助與Bob相似的測(cè)量器件對(duì)信號(hào)光進(jìn)行截獲測(cè)量并制備假態(tài)發(fā)送給Bob，以控制Bob的測(cè)量結(jié)果與Eve2一致，從而實(shí)現(xiàn)攻擊，但Eve2的截獲-重發(fā)攻擊方式阻斷了光在光纖通道9的傳輸，體現(xiàn)為損耗曲線上的反射事件。損耗曲線如圖4(b)所示，損耗曲線出現(xiàn)閾值以上的衰減、反射事件時(shí)，認(rèn)為可能存在竊聽者。

如圖5(a)所示，Eve可在光纖通道9中利用波分技術(shù)將探測(cè)光引出，使其在長度與傳輸損耗相近的另一根光纖中傳輸，即此時(shí)監(jiān)測(cè)單元無法對(duì)光纖通道9探測(cè)光引出點(diǎn)之后的光纖路徑進(jìn)行監(jiān)測(cè)，Eve可在此段信道上實(shí)施竊聽。但實(shí)際發(fā)送端與接收端間光纜鋪設(shè)路徑非常復(fù)雜，且光纖在光纜內(nèi)隨套管以絞合形式存在而非直線布置，所以Eve很難精確掌握兩地光纖的長度信息；現(xiàn)有的背向傳輸光監(jiān)測(cè)技術(shù)已經(jīng)可以實(shí)現(xiàn)m級(jí)光纖距離的測(cè)量，因此此種攻擊方式雖不會(huì)在損耗曲線中引入異常的衰減、反射事件，相應(yīng)的損耗曲線如圖5(b)所示，但損耗曲線上光纖長度信息發(fā)生可見變化，同樣會(huì)暴露竊聽行為。

與現(xiàn)有QKD系統(tǒng)不同的是，本實(shí)施例在Alice端加入光纖耦合器5、探測(cè)光源模塊6、數(shù)據(jù)采集模塊7、光電探測(cè)模塊8等，其實(shí)現(xiàn)了對(duì)光纖信道上竊聽行為的監(jiān)測(cè)功能，并且選用的第一復(fù)用模塊3、第二復(fù)用模塊10都采用了三端口復(fù)用模塊。

第一復(fù)用模塊3、第二復(fù)用模塊10能實(shí)現(xiàn)光波長或光空間復(fù)用、解復(fù)用。采用光波長復(fù)用、解復(fù)用時(shí)，第一復(fù)用模塊3、第二復(fù)用模塊10為陣列光波導(dǎo)等WDM器件，光纖通道9是單模單芯光纖，信號(hào)光、同步光、探測(cè)光在同一根纖芯中傳輸；采用光空間復(fù)用、解復(fù)用時(shí)，第一復(fù)用模塊3、第二復(fù)用模塊10為空分復(fù)用器件，光纖通道9是單模多芯光纖，信號(hào)光、同步光、探測(cè)光在同一根光纖中不同的纖芯中傳輸。其中，空分復(fù)用器可選用THORLABS公司的1轉(zhuǎn)7扇出光纖束；單模多芯光纖可選用OFS Labs公司的7芯多芯光纖。

在波分復(fù)用系統(tǒng)中為了實(shí)現(xiàn)各自不同的功能，信號(hào)光、同步光、探測(cè)光三種光信號(hào)使用了三種不同的光波長。在光纖通道9中，尤其當(dāng)光纖通道9為一根單模單芯光纖時(shí)，還需考慮三種光波間的串?dāng)_問題。信號(hào)光是單光子量級(jí)的微弱光，同步光、探測(cè)光是經(jīng)典的強(qiáng)光信號(hào)，特別是探測(cè)光可能會(huì)達(dá)到數(shù)十毫瓦。在光纖中，強(qiáng)光傳輸引起的拉曼散射具有很寬的光譜范圍，當(dāng)強(qiáng)光波長為1550nm時(shí)，其產(chǎn)生的拉曼散射光波長范圍為1450～1650nm，若信號(hào)光波長在此范圍內(nèi)，將影響對(duì)信號(hào)光的探測(cè)，最終造成QKD誤碼率的上升。根據(jù)離探測(cè)光波長越遠(yuǎn)、拉曼散射光越弱的特點(diǎn)，信號(hào)光、同步光、探測(cè)光的波長分別采用1550nm、1570nm、1310nm。

如上所述，本實(shí)施例通過采用波分復(fù)用解復(fù)用技術(shù)，并選擇三種合適的光波長，借助監(jiān)測(cè)單元，QKD系統(tǒng)可實(shí)現(xiàn)在正常工作不受影響的情況下同時(shí)對(duì)抗多種方式的竊聽。此時(shí)，監(jiān)測(cè)單元可為QKD系統(tǒng)提供豐富的攻擊預(yù)警信息，實(shí)現(xiàn)主動(dòng)防御。

實(shí)施例2：

本實(shí)施例利用同步光模塊的脈沖光作為探測(cè)光，參見圖6，本實(shí)施例的具有主動(dòng)監(jiān)測(cè)功能的QKD系統(tǒng)包括發(fā)送端主機(jī)1、信號(hào)光源模塊2、第一復(fù)用模塊3、同步光源模塊4、光纖耦合器5、數(shù)據(jù)采集模塊7、光電探測(cè)模塊8、光纖通道9、第二復(fù)用模塊10、信號(hào)光接收模塊12、同步光接收模塊13、接收端主機(jī)14，發(fā)送端主機(jī)1與信號(hào)光源模塊2、同步光源模塊4、數(shù)據(jù)采集模塊7都相聯(lián)，信號(hào)光源模塊2與第一復(fù)用模塊3相聯(lián)，數(shù)據(jù)采集模塊7與光電探測(cè)模塊8相聯(lián)，同步光源模塊4、光電探測(cè)模塊8都通過光纖耦合器5與第一復(fù)用模塊3相聯(lián)。第一復(fù)用模塊3通過光纖通道9與第二復(fù)用模塊10相聯(lián)，第二復(fù)用模塊10與信號(hào)光接收模塊12、同步光接收模塊13相聯(lián)，信號(hào)光接收模塊12、同步光接收模塊13各自與接收端主機(jī)14相聯(lián)，且信號(hào)光接收模塊12與同步光接收模塊13之間也相聯(lián)。

本實(shí)施例中，信號(hào)光與同步光的收發(fā)模塊和收發(fā)過程與實(shí)施例1基本相同，可參考實(shí)施例1。本實(shí)施例與實(shí)施例1不同之處在于，本實(shí)施例的同步光源模塊4除作為同步光源外，同時(shí)作為探測(cè)光源，具體如下：

探測(cè)光發(fā)生模塊不設(shè)置探測(cè)光源模塊，而復(fù)用同步光源模塊，以同步光源模塊發(fā)出的同步光兼做探測(cè)光，并進(jìn)一步包括一路徑選擇模塊，通過該路徑選擇模塊將接收到的同步光作為探測(cè)光輸入到信道中，并將接收到的背向傳輸光輸入到探測(cè)光測(cè)量模塊。本實(shí)施例的路徑選擇模塊設(shè)有三個(gè)端口，分別與同步光源模塊、探測(cè)光測(cè)量模塊和波分復(fù)用器連接，以用于將同步光源模塊產(chǎn)生的同步光輸入至波分復(fù)用器，將波分復(fù)用器輸出的背向傳輸光輸入到探測(cè)光測(cè)量模塊。優(yōu)選的，本實(shí)施例中的路徑選擇模塊基于光環(huán)形器實(shí)現(xiàn)。

相應(yīng)的，第一復(fù)用模塊3和第二復(fù)用模塊10可以基于波長復(fù)用實(shí)現(xiàn)，如1×2的WDM器件，信號(hào)光、同步光(即探測(cè)光)經(jīng)過復(fù)用后在同一根纖芯中傳輸。

作為另一種實(shí)現(xiàn)方式，第一復(fù)用模塊3和第二復(fù)用模塊10可以基于空間復(fù)用實(shí)現(xiàn)采用，如1×2的空分復(fù)用器件，此時(shí)，光纖通道是單模多芯光纖，信號(hào)光、同步光(或探測(cè)光)在同一根光纖中不同的纖芯中傳輸。

QKD系統(tǒng)與監(jiān)測(cè)單元通過時(shí)分復(fù)用的方式進(jìn)行，發(fā)送端主機(jī)1隨機(jī)選擇QKD或監(jiān)測(cè)功能。當(dāng)發(fā)送端主機(jī)1選擇監(jiān)測(cè)功能時(shí)，首先停止QKD功能，發(fā)送端主機(jī)1觸發(fā)同步光源模塊4發(fā)出符合背向傳輸光監(jiān)測(cè)的激光，同時(shí)觸發(fā)光電探測(cè)模塊8和數(shù)據(jù)采集模塊7。探測(cè)光經(jīng)過光纖耦合器5、第一復(fù)用模塊3、光纖通道9、第二復(fù)用模塊10到達(dá)同步光接收模塊13的輸入端，經(jīng)同步光接收模塊13的反射，部分光返回第二復(fù)用模塊10、光纖通道9、第一復(fù)用模塊3、光纖耦合器5光路，此反射光即為同步光接收模塊13處光纖端面的后向菲涅爾反射光。上述光路中同時(shí)有瑞利散射光從光纖各處返回。兩種背向傳輸光輸入到光電探測(cè)模塊8中。此后光電探測(cè)模塊8、數(shù)據(jù)采集模塊7、發(fā)送端主機(jī)1實(shí)現(xiàn)了與實(shí)施例1相同的監(jiān)測(cè)單元功能。最終在發(fā)送端主機(jī)1上得到光纖通道9的損耗曲線。根據(jù)損耗曲線上的衰減、反射事件，可以判斷并定位竊聽。

同步光與探測(cè)光的時(shí)分復(fù)用的方式雖然降低了QKD系統(tǒng)的成碼率，但可以省去一個(gè)激光器，也不存在探測(cè)光對(duì)信號(hào)光的串?dāng)_問題。

本領(lǐng)域的普通技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實(shí)施例的限制，上述實(shí)施例和說明書中描述的只是說明本發(fā)明原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。