带有用于窃听器检测的量子位内和之间干涉的两非正交状态量子密码学方法及设备

摘要

使用两个非正交状态实现安全量子密码系统的设备和方法。对于每一量子位，发送器站在两个非正交量子状态之一制备一个量子系统，以时间基编码位值。然后使用量子位内部和之间的干涉揭示窃听企图。使用证据状态帮助揭示穿越量子系统分离进行的攻击。

说明书

技术领域

本发明一般涉及量子密码学领域，并具体涉及允许两个用户交换位序列并确认其保密的设备和方法。

背景技术

如果两个用户拥有共享的随机保密信息(以下称为“密钥”)，他们以可证实的安全性能够实现以下两个密码学目标：1)使得他们的消息对于窃听者不能理解，以及2)区分出合法的消息与伪造的和改动的消息。一次填充密码算法实现了第一个目标，而Wegman-Carter鉴别实现了第二个目标。遗憾的是这两个密码学方案消耗密钥资料而使其不适于使用。这样对于希望保护他们以这些密码技术之一或两者交换的消息的双方，必须发明一种方法以便交换最新的密钥资料。一种可能性是一方生成密钥并在其到达第二方之前刻录在物理介质上(盘，cd-rom，rom)。这一方法的问题是密钥的安全性与这样的事实相关，即在其整个生命期，从其产生到其使用，直到最终放弃都要受到保护。此外，这是不实际的并很繁琐。

因为这些困难，在许多应用中，人们另外诉诸纯粹的数学方法允许双方同意通过非安全通信信道共享机密。遗憾的是，所有这类对于密钥协议的数学方法依靠的是未证实的假设，诸如分解大整数成因式的困难。这样它们的安全性只是有条件的，并且是有问题的。进一步的数学上的发展可能会证明它们完全是不安全的。

量子密码术(QC)是这样一种方法，其允许在远程的两方，即发送器与接收器之间，以可证实的绝对安全性交换保密密钥。该方法的说明可在Nicolas Gisin，Grégoire Ribordy，Wofgang Tittel，and HugoZbinden，“Quantum Cryptography”，Rev.of Mod.Phys.74，(2002)中找到，其内容在此结合以资对比。一方-发送器关于量子系统诸如光子，通过在对应的的量子态制备这一量子系统，对密钥的每一二进制数字或位的值编码。携有密钥位的量子系统称为量子位(qubit)。量子位通过量子信道诸如光学滤波器向另一方即接收器发送，其进行量子测量以确定每一量子位是在什么量子态制备的。这些测量结果被记录并用来产生密钥。这一方法的安全性来源于以下著名的事实，即未知量子系统的量子态的测量引起这一系统的修改。这意味着在量子信道上的间谍窃听在不向发送器与接收器之间被交换的密钥引入差错情形下，不能获得关于密钥的信息。换言之，QC的安全性是因为量子力学的非克隆理论：间谍不能复制被传送的量子系统并向接收器转发完好的拷贝。

有几种QC协议。这些协议描述了在量子系统上如何使用量子态组对位值编码，及发送器和接收器如何协同产生保密的密钥。这些协议最常使用的，也是第一个要提及的，是由Charles Bennett和GillesBrassard在Proceedings IEEE Int.Conf.On Computers，Systems andSignal Processing，Bangalore，India(IEEE，New York，1984)，pp.175-179中公开的所谓Bennett-Brassard 84协议(BB84)，其内容在此结合以资参考。发送器对他想发送的每一位在两个水平的量子系统上编码，以制备量子位。每一量子位可或者作为σ_x(|+x＞对“0”编码及|-x＞对“1”编码)的本征态，或者作为σ_y(|+y＞或|-y＞，使用相同的惯例)的本征态制备。可以说位是以两个不兼容的基被编码的。对于每一位，发送器使用一个适当的随机数产生器产生信息的两个随机位，它们用来确定位值(一个随机位)和基信息(一个随机位)。每一量子位通过量子信道被发送到接收器，接收器以这两个基之一对其进行分析，即测量σ_x或σ_y。接收器使用适当的随机数产生器产生确定测量基(基信息)的信息的随机位。对每一量子位，测量基础是被随机选择的。在交换大量的量子系统之后，发送器和接收器进行称为基调和的过程。发送器通过普通的或公共通信信道向接收器通知其中制备了每一量子位的基x或y(σ_x或σ_y的本征态)。当接收器使用了与发送器用于这一测量相同的基时，他知道他已测量的位值必定是由发送器发送过来的位值。他公开指出这一条件对哪些量子位被满足。对应的的位构成所谓原始密钥。使用了错误的基的测量被简单地抛弃。在没有间谍的情形下，被共享的位的顺序是没有错误的。虽然想获得关于被交换的量子位顺序的某些信息的间谍，能够在几种攻击之间选择，但量子物理的定律保证了他不能在密钥中不引入可觉察的微扰之下这样作。BB84协议的安全性依赖于这样的事实，即由发送器发送的量子位是在属于不兼容基的量子态制备的。对于给定的量子位，这就使得窃听者不能有绝对把握确定其量子态。更一般来说，BB84协议属于一类协议，其中在至少两个不兼容的基中至少使用两个量子态。

实际上，人们不得不使用不完美的设备，这意味着在位序列中存在某些错误，即使窃听者与量子位没有相互作用。为了仍然允许产生保密密钥，协议的基协调部分补以其它步骤。这整个的过程称为密钥精化(distillation)。发送器和接收器检验关于位顺序样本的微扰程度，这也称为量子位错率(QBER)，以便评估传输的保密性。如果这一差错率不很大，则不妨碍安全密钥的精化，区别于原始密钥也称为精化的密钥。在两方采用把窃听者能够获得的信息量降低到任意低水平的所谓秘密放大算法之前，确实能够纠正差错。

已提出几种其它的量子密码协议。在1992年，Charles Bennett在Phys.Rev.Lett.68，3121(1992)中证明，在两个非正交状态之一足以制备量子位，并公开了所谓B92协议，该文献内容在此结合以资参考。这种情形下，发送器重复发送非正交的两个纯状态|u₁＞或|u₂＞之一的量子位。接收器不能在它们之间作出明确的区分。然而他能够进行一个广义的测量，这也称为正算子值测量，其有时不能给出答案，但在所有其它时候可给出正确的答案(形式上这一测量是一组两个射影算子P₁＝1-|u₂＞＜u₂|或P₂＝1-|u₁＞＜u₁|)。关于量子位这一测量的结果用来产生密钥位。只需要两个状态这一事实意味着，这一协议实际中比较容易实现。然而重要的是要意识到，窃听者还可能进行广义的测量。当他获得一个答案时，他能够因此转发一个制备好的量子位，而当结果是非决定性的时就不进行。这一攻击在实际的设备中特别有力，其中因为量子信道的衰减和有限的检测器效率，接收器预期只检测由发送器发送的量子位的一小部分。然而当使用混合状态ρ₁和ρ₂而非纯状态|u₁＞或|u₂＞时，实际中就是这种状态，通过保证选择的混合状态ρ₁和ρ₂跨过希尔伯特空间的两个非交子空间，能够挫败这一攻击。这允许接收器找出两个算子P₁和P₂，使得P₁消灭ρ₂而P₂消灭ρ₁，但任何状态都不会被两个算子消灭。这可保证，如果窃听者发送空状态而非混合状态ρ₁和ρ₂之一，则接收器仍然能够记录确定性的测量结果，其引入有非零概率的差错。当考虑大量的量子位时，这一非零概率产生可测量的差错率。

在过去十年，使用光子作为量子位及光学滤波器作为量子信道，已实现了几种QC设备的验证。对于实际使用的这些验证，尽管有当前的技术限制，重要的是它们简单，并如果可能允许高速率的密钥交换。这一考虑影响着QC设备和其在其中制备量子位的量子态组的选择。尽管电磁场的极化状态代表着为实现QC自然的候选，但当光纤携带量子位时实际中它们难以使用。光纤通常确实引起极化状态的转换。反之，定时信息特别稳定并能够用来实现简单的QC设备。在Physical Review A 70，042306(2004)中Debuisschert等人已提出一族时间编码协议，该文献在此结合以资参考。这些协议最简单的协议中，发送器对每一位发送一个单个的光子脉冲。位值之一，比如“0”通过一个非延迟的脉冲编码，而“1”由一个延迟脉冲编码。延迟值小于脉冲持续时间。接收器相对于基准时间测量光子到达时间，并定义三组事件。第一组事件包含检测只能来自非延迟脉冲并被计数为“0”值位。第二组包含检测只能来自延迟脉冲并被计数为“1”值位。最后，第三组包含检测既来自非延迟又来自延迟的脉冲。它们对应于非确定的结果并被抛弃。接收器有时还向干涉仪发送脉冲，以对它们的持续时间进行干涉测量。这一协议的安全性来自这样的事实，即只要窃听者获得确定的结果，则他必定猜测向接收器转发什么状态并具有引入差错的非零概率。脉冲持续时间的干涉测量防止了窃听者发送大大短于原始脉冲的脉冲，强制接收器的测量结果。使用两个附加的不携带信息的延迟脉冲，对窃听者强加附加的对称抑制，这防止他利用量子信道衰减。

虽然原始的QC提议要求使用单个的光子作为量子位对密钥编码，但它们的产生是困难的且良好的单光子源也不存在。而是因为简单的考虑，许多的实现依赖于发送器与接收器之间弱相干状态的交换，作为对理想量子位的逼近。相干状态由光子状态的相干重叠组成。换言之，在相干状态内部不同的光子状态成分之间存在一种固定的相位关系。为了描述这种状态，只要知道其振幅和全程相位即可。相干状态当其振幅小时被称为是弱的。弱相干状态可通过衰减激光脉冲产生。

在实际实现中使用弱相干状态而不是单个光子这一事实意味着，窃听者可以进行一种非常有力的攻击，称为光子数分割(PNS)攻击。窃听者进行量子非破坏性测量，以测量每一弱脉冲中存在的光子数。当脉冲恰好只包含一个光子时，窃听者阻挡该光子。当脉冲包含两个光子时，窃听者提取一个光子并将其存储在量子存储器中，同时向接收器转发另一光子。在协议的基协调步骤之后，窃听者最后测量他已存储的光子的量子状态。在这一阶段，窃听者知道他必须进行哪种测量，以便获得关于已由发送器发送的量子状态的完全的信息。因为有被阻挡的部分脉冲，可通过降低接收器检测速率揭示其存在，为了隐藏其存在，窃听者可使用优秀的无损信道-记住在QC中窃听者是由物理学而不是技术限制的-向接收器转发他从其去除了一个光子的多光子脉冲。PNS攻击在实际中是特别有力的，其中接收器预期只检测一小部分光子，因为量子信道衰减和有限的检测器效率。因而对于QC设备和协议重要的是阻止这些攻击。

已经提出几种方法降低窃听者进行PNS攻击的可能性。HwangW.Y.在Physical Review Letters 91，057901(2003)中，Hwang X.B.在Physical Review Letters 94，230503(2005)中，以及Lo H.K.等人在Physical Review Letters 94，230504(2005)中已提出使用引诱状态，这些文献在此结合以资参考。已提出对PNS攻击有弹性的新的协议。在H.Takesue等人标题为“在105km光纤上差分相移量子密钥分布的实验”，quant-oh/0507110中，其内容在此结合以资参考。Takesue等人提出这样一种协议，其使用在无限流中持续时间为t并以时间T分开的两个相邻弱相干状态之间的二进制相位差对位值编码，其中t小于T。在这流中，相邻的弱相干状态认为是相位相干的。接收器进行干涉测量以确定这一差分相位差，并从而建立位值。这一协议的安全性来自这样的事实，即对应于每一差分相位值的两个量子状态是非正交的。试图测量位值的窃听者有时获得不确定的结果。这些情形下，他必须猜测要转发哪个状态并以非零概率引入差错。如果当他获得一个不确定结果时他选择不向接收器转发任何东西，则他抑制了对相邻弱相干状态的干扰，这引起有非零概率的差错。在这协议中，关于各弱相干状态的PNS攻击明显是无用的，因为位值是按相邻状态之间的相位差编码的。一个有效的PNS攻击将必须测量在两个相邻弱相干状态中的光子数。然而这将破坏与其它相邻状态的相位相干，并引入有非零概率的差错。

发明内容

提供了一种设备和方法，用于在发送器和接收器之间交换位序列，又称为原始密钥，并允许发送器和接收器估计窃听者能够获得的关于原始密钥的最大信息量。随后这一原始密钥通过一适当的密钥精化过程可被精化为一个安全的密钥。

该方法包括几个步骤。在第一步骤，该方法通过一个发送器发送由量子位源产生的量子位流，流中两个相邻的量子位具有固定的相位关系，且其中每一量子位在两个量子状态之一制备，其中量子状态是非正交的。在第二步骤中，该方法通过接收器对某些量子位进行第一类测量，一个正的算子值测量，以确定它们通过发送器在什么量子状态制备的。在第三步骤中，该方法通过接收器对量子位对进行第二类测量，以估计它们之间现有相位关系的相干程度。在第四步骤，该方法通过接收器通知什么量子位产生了正算子值测量的确定的结果，使得它们能够对原始密钥有贡献。在第六步骤，该方法通过传统信道的通信以及发送器与接收器之间的协作，评估流的量子位之间的相干程度，以估计窃听者关于原始密钥的信息量。

这一量子密码设备和方法的第一个优点在于，它们可简单地实现。这一简单性源于这样的事实，即量子位只需在两个非正交状态制备。此外，该设备和方法允许使用量子位值的时间编码。位值之一通过在两个时间箱的第一个中制备由非空弱相干状态组成的量子位而被编码，同时保持第二个时间箱为空，每一个时间箱比它们之间时间短。其它位值关于空和非空时间箱被交换的量子位编码。此外，由发送器发送的两个量子位必须有固定的相位关系(它们必须是相位相干的)。这种情形下，允许在两个状态之间进行区分的优化的正算子值测量之一，涉及以光子计数检测器测量光子到达的时间。这一测量的进行非常简单。此外，这些状态对量子信道中的环境干扰是非常鲁棒性的。例如极化波动不会诱导差错。最后，这一简单性还意味着，即使使用现有的技术也能够进行高速率密钥交换。通过由接收器所作的两个量子位的两个时间箱之间相位相干的相干估计，监视窃听。

这一量子密码设备和方法的第二个优点在于，它们对于PNS攻击是鲁棒性的。这一属性来自这样的事实，即由窃听者去除量子位结果是明显的扰动。如果量子位之一被去除且接收器试图测量这一特定量子位与另一量子位的相干性，则测量所得结果将以非零概率指出这一去除。

附图说明

从以下参照附图的说明，本发明其它的目的和优点将明显可见，其中通过说明和示例，公开了本发明的实施例。

附图的简要说明

图1是密钥分布过程的高级流程图。

图2是本发明设备的示意图。

图3是由发送器产生的量子位流的图示。

图4发送器源的实施例的示意图。

图5是表示在正交空间中由发送器产生的非正交状态的图示。

图6是接收器的光子系统的示意图。

图7的图示表示在接收器的光学子系统的相干测量器输出端口之一中的量子系统，及由窃听者去除和交换这些量子系统之一的值的效果。

具体实施方式

现在参见图1和2，提供了方法10和设备12，用于在发送器站14和接收器站16之间交换关于图3中所示量子系统(即量子位)20的流22被编码的符号序列，用来传送原始密钥(数据串，诸如101100101001111001001010...01010100)，并允许发送器站和接收器站估计窃听者24可能已获得关于原始密钥的最大信息量。这一原始密钥随后可通过适当的业内已知的密钥精化过程被精化为一安全密钥(比粗数据串较少数字的精化数据串，诸如10011000...1100)。

发送器站14和接收器站16通过量子信道26和传统的信道30连接。符号值通过在特定的量子状态也称为数据状态制备量子系统而被编码。以下在发送器站14和接收器站16之间被交换的量子系统称为量子位，不论所使用的符号的符号集大小如何。

所使用的量子状态是非正交的。这意味着，根据量子物理定律，制备量子位部分忽略的状态不能以100％的概率对其确定。可能作的最好的是进行广义测量，这给出概率p＜1的确定的结果和概率1-p的非确定结果。这样接收器站16只能确定状态的一部分-且也是符号一部分-由发送器站14发送的。对于窃听者24也是这样。当获得一个非确定的结果时，窃听者24将有选择，或者猜测发送的是什么状态，或者不发送任何东西。

如果窃听者24猜测他所发送的状态，他将在通过测量流22的量子位20所产生的符号20序列中引入有非零概率的差错。发送器站14和接收器站16在所谓密钥精化阶段能够协作检测出这些差错。如果窃听者24只是选择不发送任何东西代替非确定结果，则情形变得更为困难。确实不能区分这些情形与量子位由有损耗的量子信道吸收的情形。这样就必须添加一种机制，以允许发送器和接收器站14和16注意这类攻击。为实现这一点，发送器站14保证其位置在量子位流22中充分靠近的流22的两个量子位20之间存在相干相位关系。这时接收器将有时通过进行适当的测量(例如相干测量)，检验两个随机选择的量子系统之间仍然存在相干相位关系。量子位20的去除或相位关系的破坏将产生显著的非零概率的干扰。

遗憾的是，窃听者24仍然有另外的可能。他能够穿越两个量子位之间的分离，进行用来编码符号值的量子性质的相干测量。使用这种攻击，他将不破坏量子位之间的相干，这就不会触发警报，同时获得几乎全部的信息。这样必须添加一种机制，允许发送器和接收器站14和16注意到这类攻击。为实现这一点，发送器站14在数据状态制备的某些量子位之间，插入在称为证据状态的一种状态中制备的量子系统，它与数据状态不正交并且不是这些状态的叠加。在证据状态中制备的这些量子系统以下也将称为量子位。这时至少存在一种测量，允许当在证据状态进行时确定这一状态是否已受到测量，当施加到在数据状态制备的量子位20时其允许确定这一数据状态是什么。这时接收器站16能够对某些量子位20随机进行这一测量。这些量子位20的某些将在证据状态制备，并这样将允许对穿越量子位分离的攻击的识别。

总之，本发明的方法10和设备12基于三个原理：首先使用在非正交状态制备的量子位20，并刻画与邻近的相干相位关系；其次，检验关于仍然存在相干相位关系的某些量子位对；第三，使用在所谓证据状态制备的量子位，帮助揭示穿越量子系统分离进行的攻击。以下将展示本发明的方法10和设备12的一个实施例，其使用符号值的时间编码，并使用电磁场在时间箱(time bin)中脉动弱相干状态。

参见图2，设备12的一个实施例包括由量子信道26和传统信道连接的一个发送器站14和一个接收器站16。量子信道26例如可以是专用的光纤，或波长分割多路复用光学通信系统中的信道。传统通信信道30例如可以是因特网或携带明亮光脉冲的第二光纤。

发送器站14包括一个由处理单元36控制的量子位源34。处理单元36例如可以是一计算机，其具有存储器，输入/输出端口，管理输入、存储器和关于它的操作的中央处理器，以产生所需的输出，以及数据传送和通信机制，允许与设备的其它组件通信。量子位源34通过传送线路40连接到处理单元36。这一传送线路40例如可以由携带电子信号的导线或电缆制成。随机数产生器42连接到处理单元36。

现在参见图4，量子位源34包括一个光源44，其由一光学通路46连接到振幅调制器48。光源44例如可由模式锁定的激光器或连续波激光器制成。源34还可以包括一个可变光学衰减器50，通过一个光学通路52连接到振幅调制器46，以调节量子位20总振幅。光学通路46和52例如可包括光纤或自由空间光纤通路。量子位源34的输出连接到量子信道26，使得发送的光投入到量子信道。

再来参见图3，这一源34产生量子位20的一个流22。每一量子位20，在持续时间的时间箱60和62中，由电磁场的一对脉动的弱相干状态56例如衰减的激光脉冲的对54组成。在给定的量子位20中，时间箱60和62的中心由时间T1分离，t小于T1。量子位20的第二脉动弱相干状态72与随后的量子位20的第一脉动弱相干状态66的中心分离时间T2，t小于T2。原则上，T1不需要等于T2。然而为了简单起见，以下我们将认为T1＝T2＝T。携带“0”位值的量子位74由在第一时间箱60中非空弱相干状态71，其平均包含μ个光子，μ的选择要保证协议的安全性，以及在第二时间箱62中空的(μ＝0)弱相干状态72组成。类似地，携带“1”位值的量子位76由量子位76的第一时间箱60中的空的(μ＝0)弱相干状态66，和量子位76的第二时间箱62中非空弱相干状态64组成，其平均包含μ个光子，μ的选择要保证协议的安全性。注意，尽管图3只示出量子位74的第一时间箱60和第二时间箱62这一事实，但流72的每一量子位都具有第一时间箱60和第二时间箱62。

现在参见图5，其中示出对于两个时间箱60和62的正交空间，对应于量子位20的两个值每一个的量子状态重叠，因而是非正交的。

在正式的记法中，量子位q可写为|q＞＝|β；α＞。方程式的第二个“右矢”中每一位置代表一个模式。以上所描述的状态对应于时间编码。这种情形下，每一模式是非重叠的时间箱。字母α和β指示每一时间箱中相干状态的振幅。在这一记法中，可以通过|α²|在第一时间中并通过|β²|在第二时间中计算光子的平均数。这样0的量子位值记为|0＞＝|0；α＞，而1的量子位值记为|1＞＝|α；0＞，其中非空弱相干状态中平均光子数目μ等于|α²|。

量子位源34还可产生称为证据状态80的序列|d＞＝|δ₂；δ₁＞。其由非空弱相干状态82和84组成，在第一和第二时间箱中分别有平均光子数|δ₁²|和|δ₂²|。引诱序列80不对位值编码，但用来防止一定的窃听者攻击。

源34一个重要的性质在于，两个相邻的弱相干状态，不论是在特定量子位20的两个时间箱60或62中，还是邻近量子位的时间位62或86，必定有一个固定相位关系。同样地，可以说流22中的相邻的弱相干状态必须是相位相干的。箭头88和89表示相邻弱相干状态，例如66和72或71和72之间固定的相位关系。这意味着，两个这种弱相干状态如果重叠则相干干扰。可通过从连续波激光束使用振幅调制器48切割出脉冲，产生呈现这种相位相干的脉动弱相干状态的流22。

对于流22的每一量子位20，发送器站14的处理单元36使用由随机数产生器42提供的随机数，选择在量子信道26上应当发送“0”-量子位，“1”-量子位或证据状态80。对于每一量子位20，处理单元36记录该选择。对于每一可能性的各概率不必是相等的。它们的选择要使密钥交换速率最大化。

现在参见图2，接收器16包括一个光学子系统90和一个处理单元92。处理单元92例如可以是一个计算机，其具有存储器，输入/输出端口，中央处理器，它管理输入，存储器和在其上的操作，以产生所需的输出，以及允许与设备其它组件通信的数据传送和通信机制。光学子系统90通过传送线路94连接到处理单元92。这一传送线路94例如可以包括携带电子信号的导线或电缆。

现在参见图6，光学子系统90具有一切换装置96，其带有至少一个输入端口98和至少两个输出端口100及102。这一装置96例如可以是带有适当的反射/传送率的耦合器。它还可以是一个由处理单元92随机触发的光学开关。切换装置96的输入端口98连接到量子信道26。其第一个输出端口100连接到位值测量装置106的一个检测器单元104，它用来进行时间基的测量。第二输出端口102连接到线路监视装置114的不平衡干涉仪112的输入端口110。切换装置96的作用是使用光学通路116或118把进入的量子位20或者指向位值测量装置106，或者指向线路监视装置114。光学通路116和118例如可包括光纤或自由空间光通路。干涉仪112例如可以是包含时间延迟T的不平衡Mach-Zehnder干涉仪。其作用是重叠或者来自单个量子位(71和72)或者来自两个相邻量子位(66和72)的相邻弱相干状态。当重叠的状态71和72来自单个量子位74的两个时间箱60和62时，这可称为内部重叠，其作用是检验内部量子位的相干。当它们来自相邻量子位例如66和72时，可称为交叉重叠，其作用是检验内部量子位相干。两个检测器单元120和122连接到干涉仪112的输出端口124和126。当非空弱相干状态出现在两个相邻脉冲中时，这一干涉仪112的非平衡被调节，以便在连接到一个检测器单元120或122例如检测器单元122的输出端口124或126之一中产生破坏性的干涉。这就是对于证据状态80的情形(因为内部重叠)并在“1”-量子位后随“0”-量子位的情形下(因为交叉重叠)。检测器单元104，120和122例如由光子计数检测器构成，其定时分辨率小于T，足以允许它们在由源34产生的量子状态20的两个时间箱例如60或62之间辨别。这些光子计数检测器104，120和122例如可包括盖革模式下的雪崩光电二极管，或采用非线性过程的装置，以便上转换输入信号。检测器单元104，120和122由传送线路124连接到处理单元92。这些传送线路124例如可由携带电子信号的导线或电缆构成。

位值测量装置106包括检测器单元104，允许一个光子在到达第一时间箱60或第二时间箱62之间区别。这意味着要进行正算子值测量，以便在非正交状态之间区分。由于每量子位20的平均光子数低，位值测量装置106有时不能记录在时间箱60或62中的检测。当这发生时，测量是非确定的。当检测器单元104记录到一个检测时，它由处理单元92记录。

线路监视装置114使得能够监视两个不同量子位74或76(量子位之间相干)或证据状态80内(量子位内部相干)相邻时间箱60或62的相邻弱相干状态66和72之间的相位相干程度。两个弱相干状态通过干涉仪112重叠，且干涉被记录。

现在参见图7，在左侧可以看到，如果量子位值n和n+1的子序列为“11”或“00”，则记录干涉时间窗口中计数的概率对于两个检测器单元122和120都是非零的。当非空弱相干状态与空状态重叠，不发生干涉，且光子概率地选择干涉仪的输出端口124或126。如果该子序列为“10”，则检测器单元122和120应当不记录干涉窗口中的计数，因为两个贡献是空的。最后如果子序列为“01”，因为破坏性干涉，检测器单元122也应当不记录计数，而检测器单元120具有记录计数的非零概率。

现在看中心列，可以看到，在“01”序列情形下并如果窃听者去除量子位之一，则它破坏了干涉。然后检测器单元122记录有非零概率的干涉时间窗口中的计数。这些计数以下称为警告计数。这意味着要去除一定量子位20的窃听者24，例如当他获得一个不确定结果时，将引起明显的干扰。明显地，如果窃听者24为防止这些非干扰事件出现而阻挡所有量子位20，他就中断了通信，这将由发送器和接收器注意到。

看右侧的列，看到一个量子位值的交换将类似地引起在干涉时间窗口中计数，其中没有预期的。将随机猜测未知量子位值的窃听者24，会以50％的概率选择错误的值。在这些情形下，他将有非零的概率引入警告计数。注意，这种由窃听者24的干涉也将诱导在位值测量装置106中被检测的序列中有非零概率的错误。

最后，跨越两个弱相干状态例如属于单个量子位例如74的71和72的量子非破坏测量，破坏与相邻弱相干状态的相位相干，并于是当被攻击的量子位的一个弱相干状态与相邻的量子位的一个弱相干状态重叠时，将诱导有非零概率的警告计数。类似地，对两个弱相干状态，例如属于两个不同量子位76和74的66和72的量子非破坏测量，将破坏这两个弱相干状态与它们各自量子位的第二弱相干状态的相位相干。于是当对证据状态进行攻击时，也将诱导警告计数。如果量子非破坏攻击覆盖多于两个弱相干状态，相位相干将类似地被破坏，并诱导警告计数。检测器单元120和122的检测由处理单元92记录。

在大量量子位20交换之后，接收器站16通过传统信道30公开通知，在该情形下他在他的位值测量装置106中获得了确定的结果。发送器站14检验并通知接收器站16什么情形对应于证据状态80及什么情形不对应。对应于证据状态的情形被抛弃，因为它们对于符号值不编码。其它的情形被添加到原始密钥。接收器站16还通过传统信道30通知发送器站14，在什么情形下他在线路监视装置114的检测单元120和122记录检测。发送器站14在所发送的量子位20的列表中检验这些检测是否预期的或是否不是。警告计数的出现概率允许发送器站14和接收器站16降低窃听进行的强度，并于是降低窃听者24能够获得的关于密钥的信息量。这一估计允许他们把密钥精化过程的步骤充分参数化，例如包括纠错及秘密放大，这从原始密钥产生安全的最终密钥。

在设备12的另一实施例中，设备12的发送器站14与接收器站16分开装但与之一同使用。

再次参见图1，本发明的密钥交换方法10包括以下步骤。

在第一步骤130，发送器站14使用其量子位源34产生量子位20，并将其向接收器站16通过量子信道26发送。

在第二步骤132，量子位20通过切换装置96(图6中所示)，其中或者指向位值测量装置106，或者指向线路监视装置114，其中对各每一量子位流进行相关的测量。

在第一可替代子步骤134a，对于因而由切换装置96指向位值测量装置106的量子位20，测量光子到达的时间。

在第二可替代子步骤134b，以干涉方式测量由切换装置96因而指向线路监视装置114的量子位20的内部-量子位相位相干或相邻量子位之间的量子位之间的相位相干。子步骤134和134b是相互排斥的。

在第四步骤136，测量的输出由接收器站16的处理单元92记录。

在第五步骤138，方法10进行一个回路，重复先前方法步骤130，132，134a，134b和136，直到足够数目量子位20的流22已被交换。

在第六步骤140，一旦足够数目量子位20已被交换，发送器站14和接收器站16交换相关信息，以便通过估计来自步骤134b的测量的输出的内部和相互量子位相位相干程度，评估交换期间窃听的强度。发送器站14和接收器站16还合作确定在步骤134a进行的哪一个测量产生了原始密钥位。

原始密钥以及窃听者可能已获得的关于这一原始密钥的信息的估计，构成了密钥交换方法10的产品。

这一量子密码设备12和方法10的一种优点是实现起来简单。这一简单来自这样的事实，即量子位20必须只在两个非正交状态制备。

设备12和方法10的另一优点是允许使用量子位20的值的时间编码。通过制备一个量子位，例如由两个时箱60的第一个中的非空弱相干状态71组成的74，编码一个位值，同时保持第二时间箱62为空，每一时间箱短于他们之间的时间。其它位值关于量子位例如76被编码，其中空的和非空的时间箱被交换。这种情形下，允许在两个状态之间区分的优化的正算子值测量之一，涉及使用光子计数检测器测量光子到达的时间。这一测量可特别简单地进行。

此外另一优点是，所使用的状态对量子信道26中的环境干扰是特别鲁棒的。例如极化波动不会诱导差错。

另一优点是，本发明的简单意味着即使使用现有的技术，也能够进行高速率密钥交换。

这一量子密码设备12和方法10的另一优点在于，他们对窃听是鲁棒的，通过某量子位例如74内的两个时间箱例如60和62之间，以及某些量子位对76和74之间的两个时间箱例如86和62的相位相干的干涉仪评估，窃听被监视。特别地，这一设备12和方法10对PNS攻击是非常鲁棒的。这一属性源于这样的事实，即由窃听者24进行的量子位20的去除结果是明显的扰动。如果量子位20之一被去除，且接收器站16试图测量这一特定量子位与另一个的相互的相干，测量输出将以非零概率指示这一去除。

在这里所述的本发明的实施例中可以有各种变化和修改。虽然已展示并描述了本发明一定的示例性实施例，在以上的公开中预期会有范围广泛的修改，变化，和替换。在明显情形下，会采用本发明的明显特性，而没有对应的使用其它特性。因而应当理解，以上的描述应被广义地解释，并理解为只是通过示例和例子的方式给出的，本发明的精神和范围只以所附权利要求为限。