王向斌

（1. 清華大學物理系，北京 100084；2.濟南量子技術研究院，濟南370102）

一、前言

“量子通信”一詞來自于Quantum Communication的直譯。作為量子信息科學的重要分支，量子通信是利用量子比特作為信息載體來進行信息交互的通信技術，可在確保信息安全、增大信息傳輸容量等方面突破經(jīng)典信息技術的極限。正如郭光燦等[1]在其論文《兩種典型的量子通信技術》中所指出的那樣，量子通信有兩種最典型的應用，一種是量子密鑰分發(fā)，另一種是量子隱形傳態(tài)。

量子隱形傳態(tài)是分布式量子信息處理網(wǎng)絡的基本單元，比如，未來量子計算機之間的通信，很可能就是基于量子隱形傳態(tài)。從其一般形式來看，被傳的態(tài)也可以是糾纏態(tài)，因此量子隱形傳態(tài)也包含了量子糾纏轉(zhuǎn)移，它是量子中繼的基礎。清華大學姚期智院士和中國科學技術大學潘建偉院士進一步指出，除了上述兩個最典型的應用之外，量子通信還包括量子密集編碼、量子通信復雜度等方向[2,3]。受篇幅所限，下文著重介紹量子密鑰分發(fā)（量子密碼）。

二、量子密鑰分發(fā)簡介

量子密鑰分發(fā)可以讓空間分離的用戶共享無條件安全的密鑰，這是經(jīng)典通信無法完成的任務，因此量子密鑰分發(fā)始終是量子通信的重要方向。正因為這一國際學術界的廣泛共識，包括2010年沃爾夫物理學獎獲得者Anton Zeilinger教授等在內(nèi)的眾多國際學者就將量子密鑰分發(fā)稱為量子通信[4] ；美國物理學會的學科分類系統(tǒng)PhySH將量子密碼作為量子通信條目下的一個子條目；歐盟最新發(fā)布的量子技術旗艦計劃《量子宣言》，更是將以量子密鑰分發(fā)為核心的量子保密通信作為量子通信領域未來的主要發(fā)展方向。特別地，由于量子密鑰分發(fā)是最先實用化的量子信息技術，因此人們提到量子通信時往往特指量子密鑰分發(fā)。

現(xiàn)有實際量子密碼（量子密鑰分發(fā)）系統(tǒng)主要采用BB84協(xié)議，由Bennett和Brassard于1984年提出[5] 。與經(jīng)典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學的基本原理。即便竊聽者控制了通道線路，只要竊聽者不能攻入合法用戶實驗室內(nèi)部，量子密鑰分發(fā)技術就能讓空間分離的用戶共享安全的密鑰。學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數(shù)學證明的安全性，但是有下列假設前提：①竊聽者不能攻入用戶實驗室內(nèi)部；②依賴的基礎是量子物理學原理，即要求竊聽者不能擁有違反量子物理學原理的技術，但是可以擁有任何不違反量子物理學原理的技術，例如計算能力任意強大的計算機，包括量子計算機。量子密碼的這種安全性，與計算復雜度無關，因此不論對手擁有多大的計算能力，其安全性都不會受到影響。

BB84協(xié)議需要4種不同的單光子態(tài)，例如水平、豎直、45°和135°的單光子偏振狀態(tài)。在協(xié)議提出時，并沒有安全性證明，只有直觀的量子力學依據(jù)。例如一個未知的單量子態(tài)不可克隆，對量子態(tài)的觀測原則上必然帶來擾動等。簡單地說，當時的直觀依據(jù)就是：任何竊聽者無法做到既能觀測合法用戶發(fā)射的量子態(tài)又不留下任何痕跡。但是，在很長一段時間內(nèi)都沒有嚴格的基于定量分析的安全性證明。例如許多人建議使用BB84協(xié)議建立安全密鑰，若噪聲太大就放棄（噪聲可能是竊聽行為的痕跡），若噪聲太小就保留或使用，但是卻給不出“大”和“小”的標準。

三、嚴格安全性證明

20世紀90年代后期至2000年，安全性證明獲得突破，BB84協(xié)議的嚴格安全性證明被 Lo、Shor、Mayers等人完成[6～8] 。他們的證明結(jié)果，大體可以表述為：BB84協(xié)議，如果按照其所述的方法提煉最終碼（ final key），獲得的最終碼總是安全的。這個安全性證明要求在協(xié)議執(zhí)行過程中，用戶需要檢驗誤碼率，而誤碼率數(shù)據(jù)僅僅是用戶自己對量子態(tài)的檢測結(jié)果，無需監(jiān)控通道鏈路。他們給出了最終碼的成碼率公式。根據(jù)這個公式，誤碼率高于一定值時就自動沒有最終碼產(chǎn)出。有了這個結(jié)論后，生成安全密鑰只需要按照規(guī)定的程序提煉最終碼，若能提煉出則總是安全的，而無需單獨進行安全性判斷決定是否放棄實驗。這個安全性證明需要的條件就是BB84協(xié)議自身的條件：假定用戶能生成BB84協(xié)議所要求的單量子態(tài)，假定竊聽者不能攻入用戶實驗室內(nèi)部并且只能擁有量子物理學原理允許的技術手段。在這些前提下，Mayers等人的安全性證明是完全成立的。嚴格證明的安全性究竟有多安全呢？其結(jié)論大體上可以表述為：我們有很大的概率（例如(1-2-50)×100%這么大的概率）確定，按規(guī)定程序提煉出的最終碼可能的信息泄露量小于一個很小值（例如2-50×100%）。當然，這里的“很大概率”和“很小值”，用戶可以自行設定，設定的級別越高，則提煉出最終碼的成碼率也就越低。

后來，量子密鑰分發(fā)逐步走向?qū)嵱没芯浚霈F(xiàn)了一些威脅安全的攻擊[9,10] ，這并不表示上述安全性證明有問題，而是因為實際量子密鑰分發(fā)系統(tǒng)并不完全符合上述（理想）BB84協(xié)議條件。2000年后，又有多項直接面向?qū)嶋H系統(tǒng)的安全性證明理論突破[11～21] ，實際系統(tǒng)量子密鑰分發(fā)的安全性已經(jīng)在越來越廣泛的條件下得以實現(xiàn)。

四、現(xiàn)實條件安全性證明

（一）現(xiàn)實條件下的安全性一：非理想單光子源與光子數(shù)分離攻擊

實際BB84系統(tǒng)面臨的一個特別嚴重的問題是光子數(shù)分離攻擊（photon number splitting attack，簡稱PNS attack）[9]。產(chǎn)生BB84態(tài)需要理想單光子源，然而，適用于量子密鑰分發(fā)的理想單光子源至今仍不存在。實際應用中使用的是非理想單光子源，最典型的是弱相干態(tài)光源。雖然弱相干態(tài)光源大多數(shù)情況下發(fā)射的是單光子，但仍然存在一定的概率，每次會發(fā)射兩個甚至多個相同量子態(tài)的光子。而通道存在損耗，距離越遠損耗越大。假設竊聽者擁有物理學原理所允許的一切能力，例如擁有無損耗或低損耗通道。竊聽者可以將單光子事件全部阻隔，而在光源同時發(fā)射出兩個光子的時候保留其中一個，將另一個（以無損耗或低損耗通道）發(fā)送給接收方，從而完全掌握通信雙方的密鑰，這就是“光子數(shù)分離攻擊”。只要通道損耗達到一定程度，竊聽者便不會因其實施光子數(shù)分離攻擊而暴露自己的存在，因為其總可以用通道損耗掩蓋自己的攻擊行為。有人估算過，以當時最好的技術，考慮到光子數(shù)分離攻擊，實際安全距離最多不超過20 km，而且這還只是上界值，是指超過了完全不安全，未超過也不一定安全。光子數(shù)分離攻擊無需竊聽者攻擊實驗室內(nèi)部。竊聽者的光子數(shù)分離攻擊原則上可以在實驗室外部通道鏈路上的任何地方實施。若不采用新的理論方法，用戶將不得不監(jiān)控整個通道鏈路以防止光子數(shù)分離攻擊，而這將使量子密鑰分發(fā)失去其原本最大的優(yōu)勢賣點。換句話說，那其實就不是量子密鑰分發(fā)了。事實上，在這個問題解決之前，一些知名量子通信實驗小組甚至不做量子密鑰分發(fā)實驗。由韓國學者黃元瑛、清華大學王向斌和多倫多大學羅開廣等人提出的誘騙態(tài)方法，終于解決了這個問題——即利用非理想單光子源，例如弱相干光源，同樣可以獲得與理想單光子源等價的安全性，從理論方法創(chuàng)新上把量子通信的安全距離大幅度提高到百千米以上[11～13]。2006年，潘建偉率領的中國科技大學等單位的聯(lián)合團隊以及美國Los-Alamos國家實驗室-NIST聯(lián)合實驗組同時利用誘騙態(tài)方案，將光纖量子通信的安全距離首次提高到100 km，解決了光源不完美帶來的安全隱患。當時《Physical Review Letters》雜志罕見地在同一期上，發(fā)表了3篇關于同一主題的獨立實驗論文[14～16] ：采用誘騙態(tài)方法實施量子密鑰分發(fā)。后來，中國科技大學等單位的科研團隊甚至把其安全距離拓展到200 km以上。

（二）現(xiàn)實條件下的安全性二：探測器攻擊

實際系統(tǒng)量子密鑰分發(fā)另一個可能存在的安全隱患集中在終端上。終端攻擊本質(zhì)上不屬于BB84協(xié)議的安全性定義范圍。如同所有經(jīng)典密碼體制一樣，用戶需要對終端設備進行有效管理和監(jiān)控。量子密鑰分發(fā)中對終端的攻擊，主要是指探測器攻擊，假定竊聽者能控制實驗室內(nèi)部探測器效率。代表性的具體攻擊辦法是，如同Lydersen等[10] 的實驗那樣，輸入強光將探測器“致盲”，即改變探測器的工作狀態(tài)，使得探測器只對他想要探測到的狀態(tài)有響應，或者完全控制每臺探測器的瞬時效率，從而完全掌握密鑰而不被察覺。當然，針對這個攻擊，可以采用監(jiān)控方法防止。因為竊聽者需要改變實驗室內(nèi)部探測器的屬性，用戶在這里的監(jiān)控范圍只限于實驗室內(nèi)部的探測器，而無需監(jiān)控整個通道鏈路。

盡管如此，研究者還是會擔心由于探測器缺陷而引發(fā)更深層的安全性問題。例如如何完全確保監(jiān)控成功，如何確保使用進口探測器的安全性等。2012 年，Lo 等 [17] 提出了“測量器件無關的（MDI）”量子密鑰分發(fā)方案，徹底解決了探測器攻擊問題?？梢宰C明，該方法可以抵御任何針對探測器的攻擊，包括所有已知的和未知的針對探測器的攻擊。該方法無需監(jiān)控探測器。甚至，類似于量子中繼那樣，即便讓敵人控制探測器也不影響結(jié)果的安全性。 另外，該方法本身也建議結(jié)合誘騙態(tài)方法，使得量子密鑰方法在既不使用理想單光子源又不使用理想探測器的情況下其安全性同使用了理想器件等價。2013年，潘建偉團隊首次實現(xiàn)了（帶誘騙態(tài)方法的）MDI量子密鑰分發(fā)，后又實現(xiàn)了200 km量子MDI量子密鑰分發(fā)[22,23] 。至此，該方法面臨的主要科學問題變成了如何獲得有實際意義的成碼率。清華大學王向斌小組提出了4強度優(yōu)化理論方法，大幅提高了MDI方法的實際工作效率[20] 。采用此方法，中國科學家聯(lián)合團隊將MDI量子密鑰分發(fā)的距離突破至404 km [21] ，并將成碼率提高兩個數(shù)量級，大大推動了MDI量子密鑰分發(fā)的實用化。此項結(jié)果還表明，在通道損耗高達63 dB的情況下，仍然可以得到安全的量子密鑰。這表明，這一方法只用現(xiàn)有的非理想光源在已經(jīng)超越了原始BB84協(xié)議使用理想光源的距離[21] 。計算表明，在63 dB損耗下，原始BB84協(xié)議即便采用理想單光子源也不能生成密鑰。

實際系統(tǒng)雖存在各類缺陷，但是在理論和實驗科學家的努力之下，其安全性正在逼近理想系統(tǒng)。這種逼近，只要能達到一個合理的程度，實際量子密鑰分發(fā)系統(tǒng)就能體現(xiàn)出其獨特的安全價值。

五、Ekert91協(xié)議及其安全性

一直以來，量子密鑰分發(fā)的主流方法就是BB84協(xié)議+誘騙態(tài)方法，或者BB84協(xié)議+誘騙態(tài)方法+MDI方法。中國科學家量子密鑰分發(fā)的實踐活動也多采用這樣的主流方法。當然，在此方法之外，還存在別的方法，例如1991年Ekert [22]提出的基于貝爾不等式驗證的協(xié)議（后被稱之為Ekert91協(xié)議）。此方法建議在糾纏分發(fā)的基礎上通過驗證貝爾不等式的破壞來確認量子密鑰分發(fā)的安全性。如果實驗損耗小于一定值,則可以無漏洞地證實貝爾不等式是否被打破，從而獲得安全密鑰。考慮到探測器攻擊，例如Lyderson等人的探測器攻擊方法[10] ，或者后來的各類變種方法，例如Gerhardt等人在文獻[23] 中提出的攻擊方法。若只用Ekert91原協(xié)議而不輔以其他手段，則需要總損耗（含通道鏈路損耗和探測器件損耗）小于17%即1 dB才能確保密鑰的安全性。但這種安全性條件只是Ekert91原協(xié)議的安全性條件，不是其他協(xié)議，比如BB84協(xié)議的安全性條件。中國科技大學等單位的實驗基于BB84協(xié)議，誘騙態(tài)方法和MDI方法，所得到的量子密鑰分發(fā)結(jié)果的安全性無需遵守Ekert91協(xié)議所要求的條件。事實上，404 km MDI量子密鑰分發(fā)實驗本身已經(jīng)證明了其所用的協(xié)議和方法在總損耗大于60 dB的情況下仍然可以安全成碼。MDI方法可以抵御任何針對探測器的攻擊，也就是說，已有的MDI量子密鑰分發(fā)實驗，可以抵御所有類型的探測器攻擊，不但包括Lyderson等人的探測器攻擊方法[10]，也包括后來的各類變種方法，例如Gerhardt等人的那種攻擊。其實Gerhardt等人的攻擊方法[23] 只是這類探測器攻擊方法中的一個，但是它既不是第一個，也不是影響力最大的一個。在量子通信領域人所共知的最早的也是最有代表性的是早在2010年就已經(jīng)發(fā)表的Lyderson等人的探測器攻擊方法[10]。而MDI量子密鑰分發(fā)正是在這個背景下產(chǎn)生的能抵御任何針對探測器攻擊的方法。

BB84協(xié)議與Ekert91協(xié)議的安全性對損耗的要求差別看似很大，其實差別并沒有那么大。我們的實驗并非孤立使用BB84協(xié)議，還使用了誘騙態(tài)方法和MDI方法。同樣，如果對Ekert91協(xié)議輔以其他方法，例如，在接收端實驗室入口實施光子數(shù)無損檢測，能夠判斷具體哪些時間窗口有光子打入，那就可以只計入那些有光子打入的事件對應的測量數(shù)據(jù)從而使安全性條件從總損耗小于1 dB變成只需要探測器損耗小于1 dB而不論外部通道鏈路損耗有多大。這樣的條件改變對安全距離其實已經(jīng)基本沒有限制了。同BB84+MDI量子密鑰分發(fā)相比，執(zhí)行遠距離Ekert91協(xié)議要用到極高難度的實驗技術（例如無損光子檢測）。這是因為對于Ekert91協(xié)議，獲得安全密鑰也同時意味著完成了無漏洞貝爾不等式實驗，而對于BB84+MDI量子密鑰分發(fā)，獲得安全密鑰并不能給出對貝爾不等式的任何結(jié)果。

盡管Ekert91協(xié)議在量子信息領域以及后來在此基礎上形成的“器件無關的（DI）”量子密鑰分發(fā)[24,25] 有其獨到之處，但目前此方法對實驗條件要求極為苛刻。而事實上，現(xiàn)有的主流方法，BB84協(xié)議+誘騙態(tài)和MDI方法，已在現(xiàn)實條件下有效地保證了量子通信的安全性。當然，這個方法只能用來生成安全密鑰，卻不能用來證實貝爾不等式破壞，因為它從不需要糾纏態(tài)。

六、安全距離的不受限拓展

由于量子通信信號無法放大，前述各種方法在實用化中安全距離受到限制[26～29]。要突破這個瓶頸，需要有新的技術突破。一種方法是衛(wèi)星量子通信。中國科學院團隊利用墨子號科學實驗衛(wèi)星，于2016年采用誘騙態(tài)方法，成功實現(xiàn)了星地量子密鑰分發(fā)，實現(xiàn)了上千千米量子密鑰分發(fā)[30～32]。另一種方法是基于量子中繼，原則上距離不受限制。量子中繼只負責遠距離量子通道的建立，本身并不涉及密鑰的任何信息，因此中繼站點的安全也不需要人為保護（如果以量子中繼的觀點看MDI量子密鑰分發(fā)的測量中間站，就很容易理解為什么這個方法能夠抵御對探測器的任意攻擊，甚至探測器有敵人控制也不影響密鑰安全性）。原則上，即使量子中繼器被敵方控制，只要能夠在遙遠兩地建立起量子糾纏或者建立起適當?shù)年P聯(lián)數(shù)據(jù)（虛糾纏），就可以實現(xiàn)安全的量子密鑰分發(fā)。如同量子密碼理論的奠基人Gilles Brassard和Artur Ekert所指出的：這將最終實現(xiàn)所有密碼學者夢想數(shù)千年之久的“圣杯”。中國科學家已經(jīng)在量子中繼的核心——量子存儲器上獲得了世界上綜合性能最好的效果[26] 。

七、結(jié)語

正如諸多國際評論所述，事實表明，過去的十多年里，中國科學家已經(jīng)在量子通信方面取得了巨大成就。在實用化量子保密通信研發(fā)上創(chuàng)造了大批世界首次突破和世界記錄，逐漸逼近理想系統(tǒng)，建立了真實系統(tǒng)的安全性，也無可爭議地處于世界領先地位。