量子通信的前沿、理論與實踐

發布時間：2019-12-30所屬分類：科技論文瀏覽：1次

摘 要： 摘要：量子通信是量子信息科學的重要分支，其中最重要的兩個應用是量子密鑰分發和量子隱形傳態。量子密鑰分發可為通信雙方提供無條件安全的密鑰分發方式，其理論安全性由量子力學規律保證。量子密鑰分發因其無條件安全的特點受到廣泛關注。本文通過對量子密

　　摘要：量子通信是量子信息科學的重要分支，其中最重要的兩個應用是量子密鑰分發和量子隱形傳態。量子密鑰分發可為通信雙方提供無條件安全的密鑰分發方式，其理論安全性由量子力學規律保證。量子密鑰分發因其無條件安全的特點受到廣泛關注。本文通過對量子密鑰分發的廣泛調研，系統地介紹了量子密鑰分發的主要內容、理論安全性證明現狀和實際安全性證明現狀，著重介紹了誘騙態方法和測量裝置無關的量子密鑰分發方案;同時針對量子密鑰分發在信道衰減嚴重時面臨的問題做了系統調研，介紹了目前學術界對該問題的主流解決方法，即量子中繼或衛星中繼;最后指出量子密鑰分發已經由理論模型發展到實際系統，為后續開展量子密鑰分發相關研究提供了有益參考。

　　關鍵詞：量子密鑰分發;無條件安全性;現實條件安全性;糾纏分發;量子中繼

　　一、前言

　　“量子通信”一詞來自于 Quantum Communication 的直譯。作為量子信息科學的重要分支，量子通信是利用量子比特作為信息載體來進行信息交互的通信技術，可在確保信息安全、增大信息傳輸容量等方面突破經典信息技術的極限。正如郭光燦等 [1] 在其論文《兩種典型的量子通信技術》中所指出的那樣，量子通信有兩種最典型的應用，一種是量子密鑰分發，另一種是量子隱形傳態。

　　量子隱形傳態是分布式量子信息處理網絡的基本單元，比如，未來量子計算機之間的通信，很可能就是基于量子隱形傳態。從其一般形式來看，被傳的態也可以是糾纏態，因此量子隱形傳態也包含了量子糾纏轉移，它是量子中繼的基礎。清華大學姚期智院士和中國科學技術大學潘建偉院士進一步指出，除了上述兩個最典型的應用之外，量子通信還包括量子密集編碼、量子通信復雜度等方向 [2,3]。受篇幅所限，下文著重介紹量子密鑰分發(量子密碼)。

　　二、量子密鑰分發簡介

　　量子密鑰分發可以讓空間分離的用戶共享無條件安全的密鑰，這是經典通信無法完成的任務，因此量子密鑰分發始終是量子通信的重要方向。正因為這一國際學術界的廣泛共識，包括 2010 年沃爾夫物理學獎獲得者 Anton Zeilinger 教授等在內的眾多國際學者就將量子密鑰分發稱為量子通信 [4] ;美國物理學會的學科分類系統 PhySH 將量子密碼作為量子通信條目下的一個子條目;歐盟最新發布的量子技術旗艦計劃《量子宣言》，更是將以量子密鑰分發為核心的量子保密通信作為量子通信領域未來的主要發展方向。特別地，由于量子密鑰分發是最先實用化的量子信息技術，因此人們提到量子通信時往往特指量子密鑰分發。

　　相關期刊推薦：《中國工程科學》(月刊)創刊于1999年，由中國工程院主管、中國工程院和高等教育出版社共同主辦。主要反映我國工程科技領域研究動向，記載我國工程科技領域學術成果，探討我國工程科技領域未來發展。雜志內容涉及國家重大工程技術項目、國家科技攻關項目和自然科學基金課題。有投稿需求的作者，可以直接與在線編輯聯系。

　　現有實際量子密碼(量子密鑰分發)系統主要采用 BB84 協議，由 Bennett 和 Brassard 于 1984 年提出 [5] 。與經典密碼體制不同，量子密鑰分發的安全性基于量子力學的基本原理。即便竊聽者控制了通道線路，只要竊聽者不能攻入合法用戶實驗室內部，量子密鑰分發技術就能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數學證明的安全性，但是有下列假設前提：①竊聽者不能攻入用戶實驗室內部;②依賴的基礎是量子物理學原理，即要求竊聽者不能擁有違反量子物理學原理的技術，但是可以擁有任何不違反量子物理學原理的技術，例如計算能力任意強大的計算機，包括量子計算機。量子密碼的這種安全性，與計算復雜度無關，因此不論對手擁有多大的計算能力，其安全性都不會受到影響。

　　BB84 協議需要 4 種不同的單光子態，例如水平、豎直、45°和 135°的單光子偏振狀態。在協議提出時，并沒有安全性證明，只有直觀的量子力學依據。例如一個未知的單量子態不可克隆，對量子態的觀測原則上必然帶來擾動等。簡單地說，當時的直觀依據就是：任何竊聽者無法做到既能觀測合法用戶發射的量子態又不留下任何痕跡。但是，在很長一段時間內都沒有嚴格的基于定量分析的安全性證明。例如許多人建議使用 BB84 協議建立安全密鑰，若噪聲太大就放棄(噪聲可能是竊聽行為的痕跡)，若噪聲太小就保留或使用，但是卻給不出“大”和“小”的標準。

　　三、嚴格安全性證明

　　20 世紀 90 年代后期至 2000 年，安全性證明獲得突破，BB84 協議的嚴格安全性證明被 Lo、Shor、 Mayers 等人完成 [6~8] 。他們的證明結果，大體可以表述為：BB84 協議，如果按照其所述的方法提煉最終碼(final key)，獲得的最終碼總是安全的。這個安全性證明要求在協議執行過程中，用戶需要檢驗誤碼率，而誤碼率數據僅僅是用戶自己對量子態的檢測結果，無需監控通道鏈路。他們給出了最終碼的成碼率公式。根據這個公式，誤碼率高于一定值時就自動沒有最終碼產出。有了這個結論后，生成安全密鑰只需要按照規定的程序提煉最終碼，若能提煉出則總是安全的，而無需單獨進行安全性判斷決定是否放棄實驗。這個安全性證明需要的條件就是 BB84 協議自身的條件：假定用戶能生成 BB84 協議所要求的單量子態，假定竊聽者不能攻入用戶實驗室內部并且只能擁有量子物理學原理允許的技術手段。在這些前提下，Mayers 等人的安全性證明是完全成立的。嚴格證明的安全性究竟有多安全呢?其結論大體上可以表述為：我們有很大的概率(例如 (1–2–50)×100% 這么大的概率)確定，按規定程序提煉出的最終碼可能的信息泄露量小于一個很小值(例如 2–50×100%)。當然，這里的“很大概率”和“很小值”，用戶可以自行設定，設定的級別越高，則提煉出最終碼的成碼率也就越低。

　　后來，量子密鑰分發逐步走向實用化研究，出現了一些威脅安全的攻擊 [9,10] ，這并不表示上述安全性證明有問題，而是因為實際量子密鑰分發系統并不完全符合上述(理想)BB84 協議條件。 2000 年后，又有多項直接面向實際系統的安全性證明理論突破 [11~21] ，實際系統量子密鑰分發的安全性已經在越來越廣泛的條件下得以實現。

　　四、現實條件安全性證明

　　(一)現實條件下的安全性一：非理想單光子源與光子數分離攻擊

　　實際 BB84 系統面臨的一個特別嚴重的問題是光子數分離攻擊(photon number splitting attack，簡稱 PNS attack)[9]。產生 BB84 態需要理想單光子源，然而，適用于量子密鑰分發的理想單光子源至今仍不存在。實際應用中使用的是非理想單光子源，最典型的是弱相干態光源。雖然弱相干態光源大多數情況下發射的是單光子，但仍然存在一定的概率，每次會發射兩個甚至多個相同量子態的光子。而通道存在損耗，距離越遠損耗越大。假設竊聽者擁有物理學原理所允許的一切能力，例如擁有無損耗或低損耗通道。竊聽者可以將單光子事件全部阻隔，而在光源同時發射出兩個光子的時候保留其中一個，將另一個(以無損耗或低損耗通道)發送給接收方，從而完全掌握通信雙方的密鑰，這就是“光子數分離攻擊”。只要通道損耗達到一定程度，竊聽者便不會因其實施光子數分離攻擊而暴露自己的存在，因為其總可以用通道損耗掩蓋自己的攻擊行為。有人估算過，以當時最好的技術，考慮到光子數分離攻擊，實際安全距離最多不超過 20 km，而且這還只是上界值，是指超過了完全不安全，未超過也不一定安全。光子數分離攻擊無需竊聽者攻擊實驗室內部。竊聽者的光子數分離攻擊原則上可以在實驗室外部通道鏈路上的任何地方實施。若不采用新的理論方法，用戶將不得不監控整個通道鏈路以防止光子數分離攻擊，而這將使量子密鑰分發失去其原本最大的優勢賣點。換句話說，那其實就不是量子密鑰分發了。事實上，在這個問題解決之前，一些知名量子通信實驗小組甚至不做量子密鑰分發實驗。由韓國學者黃元瑛、清華大學王向斌和多倫多大學羅開廣等人提出的誘騙態方法，終于解決了這個問題 —— 即利用非理想單光子源，例如弱相干光源，同樣可以獲得與理想單光子源等價的安全性，從理論方法創新上把量子通信的安全距離大幅度提高到百千米以上 [11~13]。2006 年，潘建偉率領的中國科技大學等單位的聯合團隊以及美國 Los-Alamos 國家實驗室 –NIST 聯合實驗組同時利用誘騙態方案，將光纖量子通信的安全距離首次提高到 100 km，解決了光源不完美帶來的安全隱患。當時《Physical Review Letters》雜志罕見地在同一期上，發表了 3 篇關于同一主題的獨立實驗論文 [14~16] ：采用誘騙態方法實施量子密鑰分發。后來，中國科技大學等單位的科研團隊甚至把其安全距離拓展到 200 km 以上。

　　(二)現實條件下的安全性二：探測器攻擊

　　實際系統量子密鑰分發另一個可能存在的安全隱患集中在終端上。終端攻擊本質上不屬于 BB84 協議的安全性定義范圍。如同所有經典密碼體制一樣，用戶需要對終端設備進行有效管理和監控。量子密鑰分發中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內部探測器效率。代表性的具體攻擊辦法是，如同 Lydersen 等 [10] 的實驗那樣，輸入強光將探測器“致盲”，即改變探測器的工作狀態，使得探測器只對他想要探測到的狀態有響應，或者完全控制每臺探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以采用監控方法防止。因為竊聽者需要改變實驗室內部探測器的屬性，用戶在這里的監控范圍只限于實驗室內部的探測器，而無需監控整個通道鏈路。

　　盡管如此，研究者還是會擔心由于探測器缺陷而引發更深層的安全性問題。例如如何完全確保監控成功，如何確保使用進口探測器的安全性等。 2012 年，Lo 等 [17] 提出了“測量器件無關的(MDI)” 量子密鑰分發方案，徹底解決了探測器攻擊問題�？梢宰C明，該方法可以抵御任何針對探測器的攻擊，包括所有已知的和未知的針對探測器的攻擊。該方法無需監控探測器。甚至，類似于量子中繼那樣，即便讓敵人控制探測器也不影響結果的安全性。 另外，該方法本身也建議結合誘騙態方法，使得量子密鑰方法在既不使用理想單光子源又不使用理想探測器的情況下其安全性同使用了理想器件等價。 2013 年，潘建偉團隊首次實現了(帶誘騙態方法的) MDI 量子密鑰分發，后又實現了 200 km 量子 MDI 量子密鑰分發 [22,23] 。至此，該方法面臨的主要科學問題變成了如何獲得有實際意義的成碼率。清華大學王向斌小組提出了 4 強度優化理論方法，大幅提高了 MDI 方法的實際工作效率 [20] 。采用此方法，中國科學家聯合團隊將 MDI 量子密鑰分發的距離突破至 404 km [21] ，并將成碼率提高兩個數量級，大大推動了 MDI 量子密鑰分發的實用化。此項結果還表明，在通道損耗高達 63 dB 的情況下，仍然可以得到安全的量子密鑰。這表明，這一方法只用現有的非理想光源在已經超越了原始 BB84 協議使用理想光源的距離 [21] 。計算表明，在 63 dB 損耗下，原始 BB84 協議即便采用理想單光子源也不能生成密鑰。

　　實際系統雖存在各類缺陷，但是在理論和實驗科學家的努力之下，其安全性正在逼近理想系統。這種逼近，只要能達到一個合理的程度，實際量子密鑰分發系統就能體現出其獨特的安全價值。

　　五、Ekert91 協議及其安全性

　　一直以來，量子密鑰分發的主流方法就是 BB84 協議 + 誘騙態方法，或者 BB84 協議 + 誘騙態方法 +MDI 方法。中國科學家量子密鑰分發的實踐活動也多采用這樣的主流方法。當然，在此方法之外，還存在別的方法，例如 1991 年 Ekert [22] 提出的基于貝爾不等式驗證的協議(后被稱之為 Ekert91 協議)。此方法建議在糾纏分發的基礎上通過驗證貝爾不等式的破壞來確認量子密鑰分發的安全性。如果實驗損耗小于一定值 , 則可以無漏洞地證實貝爾不等式是否被打破，從而獲得安全密鑰。考慮到探測器攻擊，例如 Lyderson 等人的探測器攻擊方法 [10] ，或者后來的各類變種方法，例如 Gerhardt 等人在文獻 [23] 中提出的攻擊方法。若只用 Ekert91 原協議而不輔以其他手段，則需要總損耗(含通道鏈路損耗和探測器件損耗)小于 17% 即 1 dB 才能確保密鑰的安全性。但這種安全性條件只是 Ekert91 原協議的安全性條件，不是其他協議，比如 BB84 協議的安全性條件。中國科技大學等單位的實驗基于 BB84 協議，誘騙態方法和 MDI 方法，所得到的量子密鑰分發結果的安全性無需遵守 Ekert91 協議所要求的條件。事實上，404 km MDI 量子密鑰分發實驗本身已經證明了其所用的協議和方法在總損耗大于 60 dB 的情況下仍然可以安全成碼。MDI 方法可以抵御任何針對探測器的攻擊，也就是說，已有的 MDI 量子密鑰分發實驗，可以抵御所有類型的探測器攻擊，不但包括 Lyderson 等人的探測器攻擊方法 [10]，也包括后來的各類變種方法，例如 Gerhardt 等人的那種攻擊。其實 Gerhardt 等人的攻擊方法 [23] 只是這類探測器攻擊方法中的一個，但是它既不是第一個，也不是影響力最大的一個。在量子通信領域人所共知的最早的也是最有代表性的是早在 2010 年就已經發表的 Lyderson 等人的探測器攻擊方法 [10]。而 MDI 量子密鑰分發正是在這個背景下產生的能抵御任何針對探測器攻擊的方法。

　　BB84 協議與 Ekert91 協議的安全性對損耗的要求差別看似很大，其實差別并沒有那么大。我們的實驗并非孤立使用 BB84 協議，還使用了誘騙態方法和 MDI 方法。同樣，如果對 Ekert91 協議輔以其他方法，例如，在接收端實驗室入口實施光子數無損檢測，能夠判斷具體哪些時間窗口有光子打入，那就可以只計入那些有光子打入的事件對應的測量數據從而使安全性條件從總損耗小于 1 dB 變成只需要探測器損耗小于 1 dB 而不論外部通道鏈路損耗有多大。這樣的條件改變對安全距離其實已經基本沒有限制了。同 BB84+MDI 量子密鑰分發相比，執行遠距離 Ekert91 協議要用到極高難度的實驗技術(例如無損光子檢測)。這是因為對于 Ekert91 協議，獲得安全密鑰也同時意味著完成了無漏洞貝爾不等式實驗，而對于 BB84+MDI 量子密鑰分發，獲得安全密鑰并不能給出對貝爾不等式的任何結果。

　　盡管 Ekert91 協議在量子信息領域以及后來在此基礎上形成的“器件無關的(DI)”量子密鑰分發 [24,25] 有其獨到之處，但目前此方法對實驗條件要求極為苛刻。而事實上，現有的主流方法，BB84 協議 + 誘騙態和 MDI 方法，已在現實條件下有效地保證了量子通信的安全性。當然，這個方法只能用來生成安全密鑰，卻不能用來證實貝爾不等式破壞，因為它從不需要糾纏態。

　　六、安全距離的不受限拓展

　　由于量子通信信號無法放大，前述各種方法在實用化中安全距離受到限制 [26~29]。要突破這個瓶頸，需要有新的技術突破。一種方法是衛星量子通信。中國科學院團隊利用墨子號科學實驗衛星，于 2016 年采用誘騙態方法，成功實現了星地量子密鑰分發，實現了上千千米量子密鑰分發 [30~32]。另一種方法是基于量子中繼，原則上距離不受限制。量子中繼只負責遠距離量子通道的建立，本身并不涉及密鑰的任何信息，因此中繼站點的安全也不需要人為保護(如果以量子中繼的觀點看 MDI 量子密鑰分發的測量中間站，就很容易理解為什么這個方法能夠抵御對探測器的任意攻擊，甚至探測器有敵人控制也不影響密鑰安全性)。原則上，即使量子中繼器被敵方控制，只要能夠在遙遠兩地建立起量子糾纏或者建立起適當的關聯數據(虛糾纏)，就可以實現安全的量子密鑰分發。如同量子密碼理論的奠基人 Gilles Brassard 和 Artur Ekert 所指出的：這將最終實現所有密碼學者夢想數千年之久的“圣杯”。中國科學家已經在量子中繼的核心——量子存儲器上獲得了世界上綜合性能最好的效果 [26] 。

　　七、結語

　　正如諸多國際評論所述，事實表明，過去的十多年里，中國科學家已經在量子通信方面取得了巨大成就。在實用化量子保密通信研發上創造了大批世界首次突破和世界記錄，逐漸逼近理想系統，建立了真實系統的安全性，也無可爭議地處于世界領先地位。