1 引言

信息安全的核心是保密通信。“一次一密”是绝对安全的保密通信^[1]，其实现的关键在于高速密钥安全分发。随着计算机算力的不断提升，基于数学算法的密钥分发在原理上始终存在着被破解的安全隐患。物理层的密钥分发具有更高的安全性，如量子密钥分发^[2-3]、基于光纤激光器的密钥分发^[4]、基于信道噪声的密钥分发^[5]等。然而，受密钥分发机制或物理熵源带宽的限制，上述物理层密钥分发速率仅为bit/s至kbit/s量级，难以满足高速通信的速率需求。

研究发现，半导体激光器在外部扰动下可产生宽带混沌激光，其输出光强具有大幅度随机起伏特征，可产生速率在Gbit/s～Tbit/s量级的高速物理随机数^[6-7]。此外，参数匹配的激光器可实现混沌同步^[8-10]，通过对混沌同步波形量化可产生相关的高速物理密钥^[11]。因此，利用混沌激光作为物理熵源，并结合混沌同步，有望实现高速物理密钥分发。Uchida教授团队提出并实验验证了基于光反馈激光器相移键控混沌同步的密钥分发方案，实现了速率约180 kbit/s的密钥分发^[12-13]。需要指出的是，光反馈激光器构成闭环结构，其反馈光路的随机相移键控导致激光器需要长时间振荡才可以再次实现混沌同步——同步恢复时间达数十纳秒，限制了密钥分发速率。国内学者在基于混沌同步的密钥分发速率提升方面开展了一些探索性的研究，例如：江宁教授课题组提出了基于动态不可预测后处理^[14]、交替步进算法后处理^[15]、垂直腔面发射激光器动态随机偏振同步的密钥分发方案^[16]；项水英教授课题组提出一种基于带宽增强混沌同步的密钥分发方案^[17]。值得注意的是，上述方案均利用混沌激光器驱动响应激光器构建混沌同步——驱动信号与响应信号之间存在残余相关性。基于该相关性，窃听者可直接通过驱动信号获取部分相关密钥，导致密钥分发安全性有所降低。此外，程孟凡教授课题组和张耀辉研究员课题组分别探索了基于模/数混合混沌同步与半导体超晶格混沌同步的密钥分发方案^[18-19]。

本文提出一种基于对称相移键控混沌同步的高速密钥安全分发方案。在该方案中，混沌驱动信号经过非平衡马赫-曾德尔(M-Z)干涉仪产生基于延时自干涉的非线性变换，降低了驱动信号与响应信号之间的相关性，从而提高密钥分发的安全性。此外，响应激光器无外腔反馈，构成开环结构，可缩短混沌同步恢复时间，从而提高密钥分发速率。基于上述优点，通过数值模拟实现了速率为1.28 Gbit/s的高速密钥安全分发。

2 方案与理论模型

图1为所提密钥分发方案示意图。镜面(M)和光反馈驱动激光器(DFB-D)输出的混沌信号经耦合器(FC)分成两路，对称地经过两个非平衡M-Z干涉仪[延迟线(ODL)的长度相同]，并注入到通信双方(Alice和Bob)的响应激光器(DFB-A和DFB-B)。利用随机比特发生器(RBG)产生的随机码键控相位调制器(PM)：当双方相位相同时，DFB-A和DFB-B输出的混沌信号可实现混沌同步；反之，则不同步。上述混沌信号经光电探测器(PD)探测与双阈值量化(quantization)产生随机密钥，并与相位键控参数一同存储到记录器(recorder)中。通过交换、对比，筛选出相位键控参数相同时的随机密钥作为一致密钥，实现密钥分发。

图 1. 所提密钥分发方案示意图

Fig. 1. Schematic of proposed key distribution scheme

下载图片 查看所有图片

利用Lang-Kobayashi速率方程^[20]建立密钥分发系统模型，并由四阶Runge-Kutta算法进行求解，即 dEDdt＝12(1＋iα)[g(ND－N0)1＋ε|ED|2－τp－1]ED＋KfτinED(t－τf)＋FD，(1)dEA，Bdt＝12(1＋iα)[g(NA，B－N0)1＋ε|EA，B|2－τp−1]EA，B＋Kjτini2ED(t－τj，1)exp(－iωDτj，1＋iΔωt)＋Kjτini2ED(t－τj，2)exp(－iωDτj，2－iPA，BϕA，B＋iΔωt)＋FA，B，(2)dND，A，Bdt＝ID，A，BqV－ND，A，Bτn－g(ND，A，B－N0)1＋ε|ED，A，B|2ED，A，B2，(3)式中：E为电场复振幅；N为载流子密度；D代表驱动激光器DFB-D，A和B分别代表响应激光器DFB-A和DFB-B；K_f表示光反馈强度，其定义为激光器反馈光与输出光的功率比；τ_f表示反馈延迟时间；τ_j，1和τ_j，2分别表示M-Z干涉仪两臂的传输延时；P_A，B∈{0，1}表示通信双方的随机键控参数；ϕ_A，B表示相位调制器的键控相位，相位差Δϕ＝|ϕ_A-ϕ_B|；K_j表示光注入强度，其定义为驱动激光器注入光与响应激光器输出光的功率比；Δω＝ω_A，B-ω_D表示驱动激光器与响应激光器的角频率失谐，其中ω_A，B，D表示静态激光器的角频率；FD，A，B＝2βND，A，BχD，A，B表示激光器自发辐射产生的Langevin噪声，其中β为自发辐射因子，χ_D，A，B为服从标准正态分布的独立随机变量。(1)式等号右侧第二项表示镜面光反馈电场，第二项表示经过非平衡M-Z干涉仪的混沌驱动信号。

激光器的参数设置如下：透明载流子密度N₀＝1×10^-6μm^-3，载流子寿命τ_n＝2.3 ns，光子寿命τ_p＝1.6 ps，微分增益系数g＝6×10^-3μm³·ns^-1，线宽增强因子α＝6，增益饱和因子ε＝1×10^-5μm³，自发辐射因子β＝1.0×10^-3，激光器腔内往返时间τ_in＝7.3 ps，有源区体积V＝100 μm³。角频率ω_D＝1.22×10¹⁵ rad/s，角频率失谐Δω＝0 GHz，阈值电流I_th＝9.8 mA，偏置电流 I_D＝2.5I_th,I_A，B＝1.2I_th，反馈强度K_f＝0.03，注入强度K_j＝0.2，反馈时延τ_f＝3 ns。M-Z干涉仪两臂的传输延时分别为：τ_j，1＝1 ns，τ_j，2＝2 ns。

3 结果与讨论

3.1 M-Z干涉仪非线性变换、驱动与响应相关性

首先，分析非平衡M-Z干涉仪对混沌驱动信号的非线性变换的影响。图2所示为混沌驱动信号经过M-Z干涉仪前、后的时序、频谱与互相关曲线，此时M-Z干涉仪两臂延时分别为τ_j，1＝1 ns，τ_j，2＝2 ns。通过对比图2(a)、(c)的时序可以发现，混沌信号经过M-Z干涉仪前、后的时域波形存在明显差异，且后者时域振荡明显加快。这主要是因为混沌激光相位动态频谱的低频分量分布比较均匀，延时自干涉会将混沌激光的相位动态转化为强度动态，从而使输出的强度频谱表现出与相位频谱相似的特征，使强度频谱低频抬起，并引入新的高频分量，从而展宽频谱，如图2(b)、(d)的频谱所示。基于上述延迟自干涉非线性变换，经过M-Z干涉仪前、后混沌信号的相关性C仅为0.15，如图2(e)所示。

图 2. 混沌驱动信号经过M-Z干涉仪(MZI)前、后的时序、频谱、互相关曲线。(a)(c)时序；(b)(d)频谱；(e)互相关曲线

Fig. 2. Time series, RF spectra, and cross correlation curve of chaotic driving signal before and after passing through the M-Z interferometer. (a)(c) Time series; (b)(d) RF spectra; (e) cross correlation curve

下载图片 查看所有图片

接下来，分析M-Z干涉仪的非线性变换对驱动与响应相关性的影响。图3(a)中，注入强度K_j＝0.2，为了便于比较，将驱动激光器DFB-D输出混沌信号的时序和无M-Z干涉仪时响应激光器DFB-A输出混沌信号的时序进行了垂直平移。从图3(a)可以定性看出：在无M-Z干涉仪的条件下，驱动与响应混沌时序具有较高的相似性；而在有M-Z干涉仪的条件下，驱动与响应混沌时序存在明显差异。进一步的定量分析结果如图3(b)所示：无M-Z干涉仪时，驱动与响应混沌时序的互相关系数高达0.82；有M-Z干涉仪时，互相关系数仅为0.25。上述结果表明，基于M-Z干涉仪的非线性变换，DFB-D与DFB-A输出混沌信号之间的相关性得到了有效抑制，避免了窃听者直接通过驱动信号获取同步混沌信号产生相关密钥，提高了密钥分发系统的安全性。

图 3. K_j＝0.2时，有、无M-Z干涉仪时的混沌时序及互相关曲线。(a)DFB-D的混沌时序和有/无M-Z干涉仪时DFB-A的混沌时序；(b)无M-Z干涉仪时DFB-D与DFB-A混沌时序的互相关曲线；(c)有M-Z干涉仪时DFB-D与DFB-A混沌时序的互相关曲线

Fig. 3. Time series and cross correlation curves with and without M-Z interferometer under K_j＝0.2. (a) Time series of DFB-D and DFB-A with or without M-Z interferometer; (b) cross correlation curve of chaotic signals from DFB-D and DFB-A without M-Z interferometer; (c) cross correlation curve of chaotic signals from DFB-D and DFB-A with M-Z interferometer

下载图片 查看所有图片

3.2 相移键控混沌同步

通信双方通过键控相位调制器实现相移键控混沌同步：双方相位差Δϕ＝0时，时序如图4(a)所示，此时DFB-A与DFB-B的混沌信号高度相似，对应的关联点如图4(b)所示，互相关系数可达0.99；当双方相位差Δϕ＝π时，时序如图4(c)所示，此时DFB-A与DFB-B的混沌信号有明显区别，对应的关联点如图4(d)所示，互相关系数为0.12。上述结果表明：当通信双方的键控相位相同时，DFB-A与DFB-B的混沌信号可以实现高质量混沌同步；当键控相位不同时，DFB-A与DFB-B的混沌信号无法实现同步。

图 4. DFB-A和DFB-B的时序与关联点图。(a)(b)相位差Δϕ＝0；(c)(d)相位差Δϕ＝π

Fig. 4. Time series and scatter plots of DFB-A and DFB-B. (a)(b) Phase difference Δϕ＝0; (c)(d) phase difference Δϕ＝π

下载图片 查看所有图片

图5所示为相移键控码和响应激光器DFB-A/DFB-B输出信号之间的短时互相关曲线。键控码的速率为100 Mbit/s，短时互相关窗口为2 ns，滑动步进为0.1 ns。从图5可以看出：当通信双方键控相位相同时，可以实现互相关系数达0.99的高质量混沌同步；当键控相位不同时，互相关系数减小至0.3左右，无法实现同步。图5中黑色箭头所示区间为混沌同步恢复时间——键控相位由不同变为相同时，混沌同步系数增至0.80时所用的时间^[21]。该同步恢复时间为1.8 ns，明显低于闭环同步系统的同步恢复时间～68 ns^[13]。本方案中同步恢复时间降低的原因在于响应激光器采用了开环结构，避免了闭环结构中混沌再同步时反馈外腔的多次振荡^[22]，使响应激光器在更短的时间内实现混沌再同步。

图 5. 相移键控码和DFB-A/DFB-B输出信号之间的短时互相关曲线。(a)相移键控码；(b)短时互相关曲线

Fig. 5. Phase-shift-keying code and short-time cross correlation curve between DFB-A and DFB-B. (a) Phase-shift-keying code; (b) short-time cross correlation curve

下载图片 查看所有图片

此外，为了评估缩短混沌同步恢复时间的稳定性，统计了5000个同步恢复时间，并绘制出图6所示的概率分布图。可以看到，同步恢复时间为1.8 ns的数据占比最高，且同步恢复时间在2.0 ns以内的数据占比超过90%，这表明开环结构在缩短混沌同步恢复时间方面具有较高的稳定性。

图 6. 同步恢复时间的概率统计分布

Fig. 6. Probability distribution of chaos synchronization recovery time

下载图片 查看所有图片

3.3 密钥分发

合法通信方使用双阈值量化^[13]方法对混沌信号进行量化，从而产生随机密钥，然后交换键控参数并对比筛选出参数相同(即键控相位相同)时对应的随机密钥作为一致密钥，实现密钥分发。在双阈值量化方案中，设置上、下阈值(V_＋与V_-)，当采样点的幅值高于V_＋和低于V_-时，分别量化为1和0；当采样点的幅值处于上、下阈值之间或恰好落于阈值V_＋与V_-上时，则舍弃该采样点。与传统的单阈值量化相比，双阈值量化可以降低分发密钥的误码率(BER)，这是因为量化过程中舍弃了受噪声影响的部分混沌信号。

研究了相位参数失配和响应激光器内部参数失配对混沌同步以及不同保留率下密钥分发误码率的影响，在相同条件下，每个误码率测量5次。需要指出的是，保留率R＝1.0和R<1.0分别表示单阈值量化与双阈值量化。图7(a)表示DFB-A与DFB-B的混沌同步质量随相位参数失配的变化——固定Alice相位并改变Bob相位，实现键控失配。从图7(a)可以看到，随着相位失配的增大，混沌同步质量逐渐降低。随着同步质量的下降，对应的误码率增大，如图7(b)所示。此外，在固定的相位失配条件下，误码率随着保留率的减小而降低：当R＝1.0时，误码率高于3.8×10^-3，即高于前向纠错(FEC)阈值；减小保留率至R＝0.5，误码率可降低至FEC阈值以下，对应相位的失配范围为-0.05π～0.05π；继续减小保留率至R＝0.2，误码率低于FEC阈值的相位失配范围增大至-0.10π～0.10π。

图 7. 参数失配对混沌同步与误码率的影响。相位参数失配对(a)混沌同步性和(b)误码率的影响；(c)内部参数失配对混沌同步性的影响；保留率分别为(d)R＝1.0、(e)R＝0.5、(f)R＝0.2时，内部参数失配对误码率影响

Fig. 7. Influence of parameter mismatch on chaos synchronization and bit error rate (BER). Influence of phase parameter mismatch on (a) chaotic synchronization and (b) BER; (c) influence of intrinsic parameter mismatch on chaotic synchronization; influence of intrinsic parameter mismatch on BER under (d) R＝1.0, (e) R＝0.5, and (f) R＝0.2

下载图片 查看所有图片

图7(c)～(f)所示为响应激光器内部参数(N₀、τ_p、τ_n、g、α)失配对混沌同步状态及不同保留率生成密钥误码率的影响。固定DFB-A的内部参数不变，改变DFB-B的内部参数，实现内部参数失配。从图7(c)可以观察到，随着内部参数失配的增大，混沌信号的同步质量逐渐下降。图7(d)所示为保留率R＝1.0时，误码率随内部参数失配的变化情况——误码率随着参数失配的增大而增大，即使在零失配的情况下误码率仍为10^-2量级。这与本课题组之前的实验结果^[11]一致，即对混沌同步时序进行单阈值量化得到误码率为7×10^-2的密钥。图7(e)所示为保留率R＝0.5时，内部参数失配在-8%～10%范围内，对应的误码率低于FEC阈值。如图7(f)所示，继续降低保留率至R＝0.2，在FEC阈值以下的内部参数失配范围继续增大到-14%～18%。上述结果表明，通过合理选择双阈值量化的保留率并控制参数失配范围，可以得到误码率低于FEC阈值的密钥分发。需要注意的是，为了保证分发密钥的随机性，每次量化过程中需要调节上下阈值使密钥中0和1的占比分别为50%左右。

进一步分析密钥分发的速率，计算公式为 v＝0.5×R×r×F，(4)式中：R表示双阈值量化保留率；F表示在混沌时序中提取密钥的降采样速率；r表示有效同步时间比例，r＝(τ_c-τ_r)/τ_c，其中τ_c为键控码长，τ_r为同步恢复时间。有效同步时间比例r＝(10 ns-1.8 ns)/10 ns＝0.82，降采样速率F＝6.25 GSa/s——由响应激光器输出混沌信号的相关时间(约0.16 ns)决定，保留率R＝0.5(对应的误码率为3.8×10^-3)。通过计算得到，在误码率为3.8×10^-3的条件下，密钥分发速率v为1.28 Gbit/s。需要注意的是，为了消除混沌信号模拟带宽限制所导致的连续采样点间的相关性，降采样过程是必要的，这进一步保证了分发密钥的随机性。

最后，分析了在有/无M-Z干涉仪时，窃听者直接截取混沌驱动信号并在不同保留率下量化产生密钥的误码率，结果如图8所示。可以看到：对于无M-Z干涉仪的情况，窃听者通过降低双阈值量化保留率可以获得较低误码率的密钥：当保留率降低至约0.27时，误码率可降低至FEC阈值之下。原因在于驱动与响应之间具有较高的相关性[～0.82；如图3(b)所示]。此时，窃听者通过混沌驱动信号可以获取与合法用户高度相关的密钥。相比之下，对于有M-Z干涉仪的情况，无论保留率如何改变，误码率总是高于无M-Z干涉仪的情况，并且误码率均大于10^-1。这是因为M-Z干涉仪在混沌驱动信号的非线性变换中降低了驱动与响应之间的相关性[～0.25; 如图3(c)所示]，窃听者即使量化混沌驱动信号，也无法获取高度相关密钥，从而保证了密钥分发的安全性。

图 8. 有、无M-Z干涉仪时，窃听者直接量化混沌驱动信号产生密钥的误码率

Fig. 8. BER as a function of retained ratio when eavesdropper intercepts and quantizes the chaotic drive signal from key distribution system with and without M-Z interferometer

下载图片 查看所有图片

4 结论

提出一种基于对称相移键控混沌同步的高速密钥安全分发方案。利用非平衡M-Z干涉仪的延时自干涉对混沌驱动信号进行非线性变换，将驱动信号与响应信号之间的相关性降低至0.25，避免窃听者直接从混沌驱动信号中获取部分相关密钥，从而提高密钥分发的安全性；利用无外腔反馈的共驱半导体激光器构成开环混沌同步结构，避免了闭环结构中混沌信号在反馈外腔的多次振荡，缩短混沌同步恢复时间至1.8 ns，从而提高密钥分发速率。数值模拟研究了相移键控混沌同步，混沌同步恢复时间稳定性、相位参数失配和激光器内部参数失配对混沌同步质量与密钥分发误码率的影响，评估了密钥分发的误码率与安全性。最终，在误码率为3.8×10^-3时，实现了速率为 1.28 Gbit/s的高速密钥安全分发。