王向斌

（1. 清華大學(xué)物理系，北京 100084；2.濟(jì)南量子技術(shù)研究院，濟(jì)南370102）

一、前言

“量子通信”一詞來自于Quantum Communication的直譯。作為量子信息科學(xué)的重要分支，量子通信是利用量子比特作為信息載體來進(jìn)行信息交互的通信技術(shù)，可在確保信息安全、增大信息傳輸容量等方面突破經(jīng)典信息技術(shù)的極限。正如郭光燦等[1]在其論文《兩種典型的量子通信技術(shù)》中所指出的那樣，量子通信有兩種最典型的應(yīng)用，一種是量子密鑰分發(fā)，另一種是量子隱形傳態(tài)。

量子隱形傳態(tài)是分布式量子信息處理網(wǎng)絡(luò)的基本單元，比如，未來量子計(jì)算機(jī)之間的通信，很可能就是基于量子隱形傳態(tài)。從其一般形式來看，被傳的態(tài)也可以是糾纏態(tài)，因此量子隱形傳態(tài)也包含了量子糾纏轉(zhuǎn)移，它是量子中繼的基礎(chǔ)。清華大學(xué)姚期智院士和中國(guó)科學(xué)技術(shù)大學(xué)潘建偉院士進(jìn)一步指出，除了上述兩個(gè)最典型的應(yīng)用之外，量子通信還包括量子密集編碼、量子通信復(fù)雜度等方向[2,3]。受篇幅所限，下文著重介紹量子密鑰分發(fā)（量子密碼）。

二、量子密鑰分發(fā)簡(jiǎn)介

量子密鑰分發(fā)可以讓空間分離的用戶共享無條件安全的密鑰，這是經(jīng)典通信無法完成的任務(wù)，因此量子密鑰分發(fā)始終是量子通信的重要方向。正因?yàn)檫@一國(guó)際學(xué)術(shù)界的廣泛共識(shí)，包括2010年沃爾夫物理學(xué)獎(jiǎng)獲得者Anton Zeilinger教授等在內(nèi)的眾多國(guó)際學(xué)者就將量子密鑰分發(fā)稱為量子通信[4] ；美國(guó)物理學(xué)會(huì)的學(xué)科分類系統(tǒng)PhySH將量子密碼作為量子通信條目下的一個(gè)子條目；歐盟最新發(fā)布的量子技術(shù)旗艦計(jì)劃《量子宣言》，更是將以量子密鑰分發(fā)為核心的量子保密通信作為量子通信領(lǐng)域未來的主要發(fā)展方向。特別地，由于量子密鑰分發(fā)是最先實(shí)用化的量子信息技術(shù)，因此人們提到量子通信時(shí)往往特指量子密鑰分發(fā)。

現(xiàn)有實(shí)際量子密碼（量子密鑰分發(fā)）系統(tǒng)主要采用BB84協(xié)議，由Bennett和Brassard于1984年提出[5] 。與經(jīng)典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學(xué)的基本原理。即便竊聽者控制了通道線路，只要竊聽者不能攻入合法用戶實(shí)驗(yàn)室內(nèi)部，量子密鑰分發(fā)技術(shù)就能讓空間分離的用戶共享安全的密鑰。學(xué)界將這種安全性稱之為“無條件安全”或者“絕對(duì)安全”，它指的是有嚴(yán)格數(shù)學(xué)證明的安全性，但是有下列假設(shè)前提：①竊聽者不能攻入用戶實(shí)驗(yàn)室內(nèi)部；②依賴的基礎(chǔ)是量子物理學(xué)原理，即要求竊聽者不能擁有違反量子物理學(xué)原理的技術(shù)，但是可以擁有任何不違反量子物理學(xué)原理的技術(shù)，例如計(jì)算能力任意強(qiáng)大的計(jì)算機(jī)，包括量子計(jì)算機(jī)。量子密碼的這種安全性，與計(jì)算復(fù)雜度無關(guān)，因此不論對(duì)手擁有多大的計(jì)算能力，其安全性都不會(huì)受到影響。

BB84協(xié)議需要4種不同的單光子態(tài)，例如水平、豎直、45°和135°的單光子偏振狀態(tài)。在協(xié)議提出時(shí)，并沒有安全性證明，只有直觀的量子力學(xué)依據(jù)。例如一個(gè)未知的單量子態(tài)不可克隆，對(duì)量子態(tài)的觀測(cè)原則上必然帶來擾動(dòng)等。簡(jiǎn)單地說，當(dāng)時(shí)的直觀依據(jù)就是：任何竊聽者無法做到既能觀測(cè)合法用戶發(fā)射的量子態(tài)又不留下任何痕跡。但是，在很長(zhǎng)一段時(shí)間內(nèi)都沒有嚴(yán)格的基于定量分析的安全性證明。例如許多人建議使用BB84協(xié)議建立安全密鑰，若噪聲太大就放棄（噪聲可能是竊聽行為的痕跡），若噪聲太小就保留或使用，但是卻給不出“大”和“小”的標(biāo)準(zhǔn)。

三、嚴(yán)格安全性證明

20世紀(jì)90年代后期至2000年，安全性證明獲得突破，BB84協(xié)議的嚴(yán)格安全性證明被 Lo、Shor、Mayers等人完成[6～8] 。他們的證明結(jié)果，大體可以表述為：BB84協(xié)議，如果按照其所述的方法提煉最終碼（ final key），獲得的最終碼總是安全的。這個(gè)安全性證明要求在協(xié)議執(zhí)行過程中，用戶需要檢驗(yàn)誤碼率，而誤碼率數(shù)據(jù)僅僅是用戶自己對(duì)量子態(tài)的檢測(cè)結(jié)果，無需監(jiān)控通道鏈路。他們給出了最終碼的成碼率公式。根據(jù)這個(gè)公式，誤碼率高于一定值時(shí)就自動(dòng)沒有最終碼產(chǎn)出。有了這個(gè)結(jié)論后，生成安全密鑰只需要按照規(guī)定的程序提煉最終碼，若能提煉出則總是安全的，而無需單獨(dú)進(jìn)行安全性判斷決定是否放棄實(shí)驗(yàn)。這個(gè)安全性證明需要的條件就是BB84協(xié)議自身的條件：假定用戶能生成BB84協(xié)議所要求的單量子態(tài)，假定竊聽者不能攻入用戶實(shí)驗(yàn)室內(nèi)部并且只能擁有量子物理學(xué)原理允許的技術(shù)手段。在這些前提下，Mayers等人的安全性證明是完全成立的。嚴(yán)格證明的安全性究竟有多安全呢？其結(jié)論大體上可以表述為：我們有很大的概率（例如(1-2-50)×100%這么大的概率）確定，按規(guī)定程序提煉出的最終碼可能的信息泄露量小于一個(gè)很小值（例如2-50×100%）。當(dāng)然，這里的“很大概率”和“很小值”，用戶可以自行設(shè)定，設(shè)定的級(jí)別越高，則提煉出最終碼的成碼率也就越低。

后來，量子密鑰分發(fā)逐步走向?qū)嵱没芯?，出現(xiàn)了一些威脅安全的攻擊[9,10] ，這并不表示上述安全性證明有問題，而是因?yàn)閷?shí)際量子密鑰分發(fā)系統(tǒng)并不完全符合上述（理想）BB84協(xié)議條件。2000年后，又有多項(xiàng)直接面向?qū)嶋H系統(tǒng)的安全性證明理論突破[11～21] ，實(shí)際系統(tǒng)量子密鑰分發(fā)的安全性已經(jīng)在越來越廣泛的條件下得以實(shí)現(xiàn)。

四、現(xiàn)實(shí)條件安全性證明

（一）現(xiàn)實(shí)條件下的安全性一：非理想單光子源與光子數(shù)分離攻擊

實(shí)際BB84系統(tǒng)面臨的一個(gè)特別嚴(yán)重的問題是光子數(shù)分離攻擊（photon number splitting attack，簡(jiǎn)稱PNS attack）[9]。產(chǎn)生BB84態(tài)需要理想單光子源，然而，適用于量子密鑰分發(fā)的理想單光子源至今仍不存在。實(shí)際應(yīng)用中使用的是非理想單光子源，最典型的是弱相干態(tài)光源。雖然弱相干態(tài)光源大多數(shù)情況下發(fā)射的是單光子，但仍然存在一定的概率，每次會(huì)發(fā)射兩個(gè)甚至多個(gè)相同量子態(tài)的光子。而通道存在損耗，距離越遠(yuǎn)損耗越大。假設(shè)竊聽者擁有物理學(xué)原理所允許的一切能力，例如擁有無損耗或低損耗通道。竊聽者可以將單光子事件全部阻隔，而在光源同時(shí)發(fā)射出兩個(gè)光子的時(shí)候保留其中一個(gè)，將另一個(gè)（以無損耗或低損耗通道）發(fā)送給接收方，從而完全掌握通信雙方的密鑰，這就是“光子數(shù)分離攻擊”。只要通道損耗達(dá)到一定程度，竊聽者便不會(huì)因其實(shí)施光子數(shù)分離攻擊而暴露自己的存在，因?yàn)槠淇偪梢杂猛ǖ罁p耗掩蓋自己的攻擊行為。有人估算過，以當(dāng)時(shí)最好的技術(shù)，考慮到光子數(shù)分離攻擊，實(shí)際安全距離最多不超過20 km，而且這還只是上界值，是指超過了完全不安全，未超過也不一定安全。光子數(shù)分離攻擊無需竊聽者攻擊實(shí)驗(yàn)室內(nèi)部。竊聽者的光子數(shù)分離攻擊原則上可以在實(shí)驗(yàn)室外部通道鏈路上的任何地方實(shí)施。若不采用新的理論方法，用戶將不得不監(jiān)控整個(gè)通道鏈路以防止光子數(shù)分離攻擊，而這將使量子密鑰分發(fā)失去其原本最大的優(yōu)勢(shì)賣點(diǎn)。換句話說，那其實(shí)就不是量子密鑰分發(fā)了。事實(shí)上，在這個(gè)問題解決之前，一些知名量子通信實(shí)驗(yàn)小組甚至不做量子密鑰分發(fā)實(shí)驗(yàn)。由韓國(guó)學(xué)者黃元瑛、清華大學(xué)王向斌和多倫多大學(xué)羅開廣等人提出的誘騙態(tài)方法，終于解決了這個(gè)問題——即利用非理想單光子源，例如弱相干光源，同樣可以獲得與理想單光子源等價(jià)的安全性，從理論方法創(chuàng)新上把量子通信的安全距離大幅度提高到百千米以上[11～13]。2006年，潘建偉率領(lǐng)的中國(guó)科技大學(xué)等單位的聯(lián)合團(tuán)隊(duì)以及美國(guó)Los-Alamos國(guó)家實(shí)驗(yàn)室-NIST聯(lián)合實(shí)驗(yàn)組同時(shí)利用誘騙態(tài)方案，將光纖量子通信的安全距離首次提高到100 km，解決了光源不完美帶來的安全隱患。當(dāng)時(shí)《Physical Review Letters》雜志罕見地在同一期上，發(fā)表了3篇關(guān)于同一主題的獨(dú)立實(shí)驗(yàn)論文[14～16] ：采用誘騙態(tài)方法實(shí)施量子密鑰分發(fā)。后來，中國(guó)科技大學(xué)等單位的科研團(tuán)隊(duì)甚至把其安全距離拓展到200 km以上。

（二）現(xiàn)實(shí)條件下的安全性二：探測(cè)器攻擊

實(shí)際系統(tǒng)量子密鑰分發(fā)另一個(gè)可能存在的安全隱患集中在終端上。終端攻擊本質(zhì)上不屬于BB84協(xié)議的安全性定義范圍。如同所有經(jīng)典密碼體制一樣，用戶需要對(duì)終端設(shè)備進(jìn)行有效管理和監(jiān)控。量子密鑰分發(fā)中對(duì)終端的攻擊，主要是指探測(cè)器攻擊，假定竊聽者能控制實(shí)驗(yàn)室內(nèi)部探測(cè)器效率。代表性的具體攻擊辦法是，如同Lydersen等[10] 的實(shí)驗(yàn)?zāi)菢?，輸入?qiáng)光將探測(cè)器“致盲”，即改變探測(cè)器的工作狀態(tài)，使得探測(cè)器只對(duì)他想要探測(cè)到的狀態(tài)有響應(yīng)，或者完全控制每臺(tái)探測(cè)器的瞬時(shí)效率，從而完全掌握密鑰而不被察覺。當(dāng)然，針對(duì)這個(gè)攻擊，可以采用監(jiān)控方法防止。因?yàn)楦`聽者需要改變實(shí)驗(yàn)室內(nèi)部探測(cè)器的屬性，用戶在這里的監(jiān)控范圍只限于實(shí)驗(yàn)室內(nèi)部的探測(cè)器，而無需監(jiān)控整個(gè)通道鏈路。

盡管如此，研究者還是會(huì)擔(dān)心由于探測(cè)器缺陷而引發(fā)更深層的安全性問題。例如如何完全確保監(jiān)控成功，如何確保使用進(jìn)口探測(cè)器的安全性等。2012 年，Lo 等 [17] 提出了“測(cè)量器件無關(guān)的（MDI）”量子密鑰分發(fā)方案，徹底解決了探測(cè)器攻擊問題。可以證明，該方法可以抵御任何針對(duì)探測(cè)器的攻擊，包括所有已知的和未知的針對(duì)探測(cè)器的攻擊。該方法無需監(jiān)控探測(cè)器。甚至，類似于量子中繼那樣，即便讓敵人控制探測(cè)器也不影響結(jié)果的安全性。 另外，該方法本身也建議結(jié)合誘騙態(tài)方法，使得量子密鑰方法在既不使用理想單光子源又不使用理想探測(cè)器的情況下其安全性同使用了理想器件等價(jià)。2013年，潘建偉團(tuán)隊(duì)首次實(shí)現(xiàn)了（帶誘騙態(tài)方法的）MDI量子密鑰分發(fā)，后又實(shí)現(xiàn)了200 km量子MDI量子密鑰分發(fā)[22,23] 。至此，該方法面臨的主要科學(xué)問題變成了如何獲得有實(shí)際意義的成碼率。清華大學(xué)王向斌小組提出了4強(qiáng)度優(yōu)化理論方法，大幅提高了MDI方法的實(shí)際工作效率[20] 。采用此方法，中國(guó)科學(xué)家聯(lián)合團(tuán)隊(duì)將MDI量子密鑰分發(fā)的距離突破至404 km [21] ，并將成碼率提高兩個(gè)數(shù)量級(jí)，大大推動(dòng)了MDI量子密鑰分發(fā)的實(shí)用化。此項(xiàng)結(jié)果還表明，在通道損耗高達(dá)63 dB的情況下，仍然可以得到安全的量子密鑰。這表明，這一方法只用現(xiàn)有的非理想光源在已經(jīng)超越了原始BB84協(xié)議使用理想光源的距離[21] 。計(jì)算表明，在63 dB損耗下，原始BB84協(xié)議即便采用理想單光子源也不能生成密鑰。

實(shí)際系統(tǒng)雖存在各類缺陷，但是在理論和實(shí)驗(yàn)科學(xué)家的努力之下，其安全性正在逼近理想系統(tǒng)。這種逼近，只要能達(dá)到一個(gè)合理的程度，實(shí)際量子密鑰分發(fā)系統(tǒng)就能體現(xiàn)出其獨(dú)特的安全價(jià)值。

五、Ekert91協(xié)議及其安全性

一直以來，量子密鑰分發(fā)的主流方法就是BB84協(xié)議+誘騙態(tài)方法，或者BB84協(xié)議+誘騙態(tài)方法+MDI方法。中國(guó)科學(xué)家量子密鑰分發(fā)的實(shí)踐活動(dòng)也多采用這樣的主流方法。當(dāng)然，在此方法之外，還存在別的方法，例如1991年Ekert [22]提出的基于貝爾不等式驗(yàn)證的協(xié)議（后被稱之為Ekert91協(xié)議）。此方法建議在糾纏分發(fā)的基礎(chǔ)上通過驗(yàn)證貝爾不等式的破壞來確認(rèn)量子密鑰分發(fā)的安全性。如果實(shí)驗(yàn)損耗小于一定值,則可以無漏洞地證實(shí)貝爾不等式是否被打破，從而獲得安全密鑰?？紤]到探測(cè)器攻擊，例如Lyderson等人的探測(cè)器攻擊方法[10] ，或者后來的各類變種方法，例如Gerhardt等人在文獻(xiàn)[23] 中提出的攻擊方法。若只用Ekert91原協(xié)議而不輔以其他手段，則需要總損耗（含通道鏈路損耗和探測(cè)器件損耗）小于17%即1 dB才能確保密鑰的安全性。但這種安全性條件只是Ekert91原協(xié)議的安全性條件，不是其他協(xié)議，比如BB84協(xié)議的安全性條件。中國(guó)科技大學(xué)等單位的實(shí)驗(yàn)基于BB84協(xié)議，誘騙態(tài)方法和MDI方法，所得到的量子密鑰分發(fā)結(jié)果的安全性無需遵守Ekert91協(xié)議所要求的條件。事實(shí)上，404 km MDI量子密鑰分發(fā)實(shí)驗(yàn)本身已經(jīng)證明了其所用的協(xié)議和方法在總損耗大于60 dB的情況下仍然可以安全成碼。MDI方法可以抵御任何針對(duì)探測(cè)器的攻擊，也就是說，已有的MDI量子密鑰分發(fā)實(shí)驗(yàn)，可以抵御所有類型的探測(cè)器攻擊，不但包括Lyderson等人的探測(cè)器攻擊方法[10]，也包括后來的各類變種方法，例如Gerhardt等人的那種攻擊。其實(shí)Gerhardt等人的攻擊方法[23] 只是這類探測(cè)器攻擊方法中的一個(gè)，但是它既不是第一個(gè)，也不是影響力最大的一個(gè)。在量子通信領(lǐng)域人所共知的最早的也是最有代表性的是早在2010年就已經(jīng)發(fā)表的Lyderson等人的探測(cè)器攻擊方法[10]。而MDI量子密鑰分發(fā)正是在這個(gè)背景下產(chǎn)生的能抵御任何針對(duì)探測(cè)器攻擊的方法。

BB84協(xié)議與Ekert91協(xié)議的安全性對(duì)損耗的要求差別看似很大，其實(shí)差別并沒有那么大。我們的實(shí)驗(yàn)并非孤立使用BB84協(xié)議，還使用了誘騙態(tài)方法和MDI方法。同樣，如果對(duì)Ekert91協(xié)議輔以其他方法，例如，在接收端實(shí)驗(yàn)室入口實(shí)施光子數(shù)無損檢測(cè)，能夠判斷具體哪些時(shí)間窗口有光子打入，那就可以只計(jì)入那些有光子打入的事件對(duì)應(yīng)的測(cè)量數(shù)據(jù)從而使安全性條件從總損耗小于1 dB變成只需要探測(cè)器損耗小于1 dB而不論外部通道鏈路損耗有多大。這樣的條件改變對(duì)安全距離其實(shí)已經(jīng)基本沒有限制了。同BB84+MDI量子密鑰分發(fā)相比，執(zhí)行遠(yuǎn)距離Ekert91協(xié)議要用到極高難度的實(shí)驗(yàn)技術(shù)（例如無損光子檢測(cè)）。這是因?yàn)閷?duì)于Ekert91協(xié)議，獲得安全密鑰也同時(shí)意味著完成了無漏洞貝爾不等式實(shí)驗(yàn)，而對(duì)于BB84+MDI量子密鑰分發(fā)，獲得安全密鑰并不能給出對(duì)貝爾不等式的任何結(jié)果。

盡管Ekert91協(xié)議在量子信息領(lǐng)域以及后來在此基礎(chǔ)上形成的“器件無關(guān)的（DI）”量子密鑰分發(fā)[24,25] 有其獨(dú)到之處，但目前此方法對(duì)實(shí)驗(yàn)條件要求極為苛刻。而事實(shí)上，現(xiàn)有的主流方法，BB84協(xié)議+誘騙態(tài)和MDI方法，已在現(xiàn)實(shí)條件下有效地保證了量子通信的安全性。當(dāng)然，這個(gè)方法只能用來生成安全密鑰，卻不能用來證實(shí)貝爾不等式破壞，因?yàn)樗鼜牟恍枰m纏態(tài)。

六、安全距離的不受限拓展

由于量子通信信號(hào)無法放大，前述各種方法在實(shí)用化中安全距離受到限制[26～29]。要突破這個(gè)瓶頸，需要有新的技術(shù)突破。一種方法是衛(wèi)星量子通信。中國(guó)科學(xué)院團(tuán)隊(duì)利用墨子號(hào)科學(xué)實(shí)驗(yàn)衛(wèi)星，于2016年采用誘騙態(tài)方法，成功實(shí)現(xiàn)了星地量子密鑰分發(fā)，實(shí)現(xiàn)了上千千米量子密鑰分發(fā)[30～32]。另一種方法是基于量子中繼，原則上距離不受限制。量子中繼只負(fù)責(zé)遠(yuǎn)距離量子通道的建立，本身并不涉及密鑰的任何信息，因此中繼站點(diǎn)的安全也不需要人為保護(hù)（如果以量子中繼的觀點(diǎn)看MDI量子密鑰分發(fā)的測(cè)量中間站，就很容易理解為什么這個(gè)方法能夠抵御對(duì)探測(cè)器的任意攻擊，甚至探測(cè)器有敵人控制也不影響密鑰安全性）。原則上，即使量子中繼器被敵方控制，只要能夠在遙遠(yuǎn)兩地建立起量子糾纏或者建立起適當(dāng)?shù)年P(guān)聯(lián)數(shù)據(jù)（虛糾纏），就可以實(shí)現(xiàn)安全的量子密鑰分發(fā)。如同量子密碼理論的奠基人Gilles Brassard和Artur Ekert所指出的：這將最終實(shí)現(xiàn)所有密碼學(xué)者夢(mèng)想數(shù)千年之久的“圣杯”。中國(guó)科學(xué)家已經(jīng)在量子中繼的核心——量子存儲(chǔ)器上獲得了世界上綜合性能最好的效果[26] 。

七、結(jié)語

正如諸多國(guó)際評(píng)論所述，事實(shí)表明，過去的十多年里，中國(guó)科學(xué)家已經(jīng)在量子通信方面取得了巨大成就。在實(shí)用化量子保密通信研發(fā)上創(chuàng)造了大批世界首次突破和世界記錄，逐漸逼近理想系統(tǒng)，建立了真實(shí)系統(tǒng)的安全性，也無可爭(zhēng)議地處于世界領(lǐng)先地位。