2016年8月16日北京时间凌晨1点40分，全球首颗量子科学实验卫星“墨子号”在中国酒泉卫星发射中心成功发射，卫星由长征二号丁运载火箭送入太空，飞行了约十一分半后与火箭分离，顺利进入了太阳同步轨道。

本次发射是长征二号丁运载火箭的第29次成功发射，保持了迄今为止的100%成功率。

量子科学实验卫星是继暗物质粒子探测卫星“悟空”、微重力科学实验卫星“实践十号”后，我国空间科学先导专项中第3颗升空的卫星。

该卫星已被正式命名为“墨子”。成书于公元前400年左右的墨家著作《墨经》中就记载了关于小孔成像、凸面镜成像等实验总结的规律“光学八条”，代表了我国于近2500年前的战国初期在几何光学领域取得的显著成就。量子科学实验卫星将主要进行量子光通信实验，以墨子这位中华科学先贤为其命名可谓名至实归。

在中国科学院上海微小卫星工程中心，量子科学实验卫星副总设计师周依林（左三）与工作人员在量子卫星旁忙碌。图片来源：新华网

本次的量子实验卫星携带着四大任务：星地高速量子密钥分发的实验；广域量子通信网络实验任务；星地双向纠缠分发的实验；空间尺度量子隐形传态的实验，目标建立星地量子信道。

所有这些任务都是围绕着量子通讯这一核心命题进行的，而量子通讯相较于传统通讯到底有哪些优势，DT君将在下面给大家做一个非常详细的说明。

从机械转轮密码机问世到量子加密通信出现之前的时代统称为经典加密通信时代。

该时代的特点是：加密算法复杂，保护强度大大增加；加密和解密工作量很大，一般要依靠电子计算机；只能通过基于数学的密码分析学破解密文；一次一密方法保障密文绝对安全，但密钥安全分发困难。

量子加密技术出现后的时代称为量子加密通信时代。

该时代的特点是：加密算法非常复杂，保护强度极大提增加；加密和解密工作量很大，必须依靠量子信息处理技术；量子加密信息几乎不可能被窃取，更无从破解；量子密钥分发技术实现密钥安全分发。

经典加密技术在可预见的将来还将扮演重要角色。要充分理解量子加密通信技术的优势，就必须把目光投向历史的长河，对量子加密通信技术与经典加密通信技术进行比较。

在中国科学院上海微小卫星工程中心拍摄的量子卫星的星上单机。新华社记者 才扬摄

“经典加密通信——靠计算量保密” 

让我们请出3位在密码学和信息安全领域大名鼎鼎的虚拟人物——Alice、Bob和Eve，为大家直观演示经典加密通信的基本流程：

Alice手中有一段明文要发给Bob。她把明文用加密密钥加密，生成密文。然后把密文通过公开信道发送给Bob。Bob接到密文，用解密密钥将密文还原成明文。与此同时，Eve这个未授权获取这段明文信息的人也在公开信道上接收这段密文，并试图通过某种手段破解加密，获得明文。整个流程如图 1所示。通常假定加密算法是公开的，密文的安全取决于密钥而不是加密算法的保密性。而Alice和Bob使用的密钥是相同的，这种加密体制称为对称加密体制。

图 1加密通信流程

作为偷听者，Eve可以有2条途径来破解密文：

（1）通过对密文的分析来推断明文和密钥

首先回顾一下经典通信加密时代的最强加密方法：一次一密方法（one-time pad）。根据现有的资料，一次一密方法最早于1882年被美国人弗兰克·米勒（FrankMiller）提出。但一般认为它的正式发明需归功于美国陆军军官约瑟夫·马伯格（Joseph Mauborgne），他于1920年左右在对贝尔实验室工程师吉尔伯特·沃纳姆（Gilbert Vernam）发明的一台自动加密机进行分析时提出，如果在加密一条信息时，密钥满足以下3个条件：

• 密钥是完全随机的；

• 密钥的全部或任意一部分在使用过后永远不会被重复使用；

• 偷听者无法获得密钥，只能获得加密后的密文；

  
  

那么，无论偷听者如何对密文进行分析，也不可能将其破解。这就达到了密文的绝对安全。换句话说，只要加密体系不完全满足以上条件，那么至少在理论上，偷听者就可以通过分析密文获得明文和密钥。

然而，一次一密体制的绝对安全性要求付出昂贵的代价：首先，密钥的长度必须不小于明文的长度。在信息量很大时，生产完全随机的超长密钥要求的工作量相当惊人；其次；密钥本身必须安全送达Alice和Bob手中。这一般是通过可信第三方来完成。然而，如何保证第三方绝对不会泄露密钥？只依靠对称加密方案是很难办到的。

实际使用的对称加密体系几乎都在安全性上做出了程度不等的妥协，换取可接受的实现成本。

（2）在密钥分发过程中截获密钥

图 1中，考虑到偷听者Eve的存在，Alice和Bob使用的共同密钥显然不能通过公共信道传输，只能借助第三方来传递，然而，Eve仍可能渗透第三方获取密钥。所以密钥的交换长期以来是一个巨大的问题。

为了解决这个问题，1976年，斯坦福大学科学家威特菲尔德·迪夫（Whitfield Diffie）和马丁·海尔曼（Martin Hellman）共同提出了公钥密码方法。该方法可靠地解决了密钥安全交换问题，至少在被量子计算机碾压之前是这样。

使用公钥密码方法进行对称密钥交换的流程可以简单解释为：

• Alice生成一个公钥和一个私钥，并把公钥公开发布；

• Bob用Alice的公钥把对称密钥加密，并把密文通过公开信道发送给Alice；

• Alice用私钥解密Bob的密文，获得对称密钥；

• Bob和Alice使用对称密钥和对称加密方法进行通信。

公钥密码方法需要的计算量很大，因此一般用于分发对称加密所需的密钥，主要的信息交互还是要依靠对称加密方法。那么，用公钥密码方法加密一次一密通信所需的密码，就可以彻底解决密钥安全分发和通信加密难题，让偷听者Eve傻眼了吗？

很遗憾，公钥密码方法仍不是一种完美的解决方法。首先，该方法的安全性依赖于这样一个假设：基于经典计算机技术，没有足够的计算能力和对应的算法，能够在可接受的时间内，把1个数分解为2个大素数的乘积。但是，迄今为止没人能证明高效的分解算法不存在，因此公钥密码方法完全可能一夜之间过时。甚至不能排除高效分解算法已经被发明，但处于保密状态的可能性。

其次，至少在理论上，量子计算机已经能在可接受的时间内解决公钥密码方法所依仗的大数分解难题。1994年，贝尔实验室的数学家彼得·肖尔（Peter Shor）提出了一种基于量子计算机的大数分解算法，也被称为Shor算法。该算法是多项式复杂度算法，能够有效解决大数分解问题。而之前基于经典计算机的算法均为指数复杂度。Shor算法能够在分钟级的时间内完成1000位大数的分解。

因此，在量子计算机时代，经典通信加密技术的防线已经摇摇欲坠，唯一能筑起新防线的生力军，就是正在蓬勃发展的量子加密通信技术。

在中科院量子信息与量子科技前沿卓越创新中心内的量子模拟实验室拍摄的超冷原子光晶格平台的激光伺服系统。新华社记者才扬摄

“量子加密通信——从原理上消除问题 ” 

事实上，分析图 1的通信流程可以发现，如果偷听者Eve的偷听行为本身会在信息上留下痕迹，那么Alice和Bob就会察觉Eve的存在，从而令Eve的偷听企图泡汤。

经典数字信息是可以被完美复制的，因此这个想法在经典通信加密时代无法实现。然而，量子科学的研究却提供了这种察觉Eve存在的通信方式。光量子的基本特性之一是不可复制性，即对量子的测量和复制会改变被测量子的状态。基于此，科学家设计了两种量子加密通信手段——量子密钥分发和量子隐形传态。

利用光子极化的量子密钥分发过程可以简述如下：

（1）Alice生成一个由0和1组成的随机密钥序列；

（2）Alice为每个随机密钥值选择一个对应的极化方式。例如，“正规极化”包含0度极化和90度极化，随机密钥序列的“0”对应0度极化，“1”对应90度极化；“旋转极化”包括45度极化和135度极化，随机密钥序列的“0”对应45度极化，“1”对应135度极化；

（3）Alice根据随机密钥序列和选择的极化方式，生成对应极化方式的单光子序列，发送给Bob；

（4）Bob随机选择极化方式，对Alice发来的光子序列进行测量，获取其极化状态。如果Bob选择的极化方式和Alice选择的极化方式一致，那么测量获得的极化状态只有1种可能（Alice发送的极化）；若Bob选择的极化方式和Alice选择的极化方式不一致，那么测得的极化状态有2种可能，每种可能的出现概率为50%；

（5）Bob和Alice通过公开信道对照各自使用的极化方式，对于密钥序列中的某个值，如果Alice和Bob选择的极化方式一致，那么该密钥值留用。如果不一致，则抛弃该密钥值。最后剩下的就是二人最终使用的密钥序列。整个过程如表 1所示。

若存在偷听者Eve，他也必须和Bob一样，选择极化方式，测量光子的极化状态。然而，根据不可复制原理，他的偷听会有一定几率改变（到达Bob处的）光子的极化状态。这会导致Bob和Alice生成的最终密钥不符。只要Bob无法用Alice的密钥解密明文，他就会意识到Eve的存在。这时他可以取消通信，也可以重新交换密钥，直到Eve离开为止。总之无论如何，Eve的偷听企图是泡汤了。

表 1量子密钥交换举例

另外一种量子加密通信方式是量子隐形传态。它能把粒子A携带的量子信息传递到另一个粒子B上，且无需传递粒子B本身。量子隐形传态的基本过程是：

（1）让粒子1和粒子2进入纠缠态，然后粒子1留给Alice，粒子2给Bob；

（2）Alice有携带量子信息的粒子3。她对粒子1和粒子3同时测量，获得一个测量结果。Alice把这个测量结果通过公开信道发送给Bob；

（3）Bob根据测量结果，对粒子2进行逆运算，这时粒子2携带了粒子3上的量子信息。注意，根据量子不可复制原理，粒子3携带的量子信息会消失。

根据量子不可复制原理，偷听者Eve如果试图复制发给Bob的粒子2，那么粒子2的量子态将被破坏；如果Eve只偷听了Alice发出的测量结果，手头没有处于纠缠态的粒子2，他也无法完整复原信息。换句话说，Alice发送的的一部分信息包含在纠缠的量子中，另一部分包含在测量结果中。要复现量子信息，二者缺一不可。

就在不久前，量子加密通信技术又有新突破。经典的一次一密通信，密钥的长度要和加密信息的长度等同，而制造和安全分发对应于海量信息的超长随机密钥从来不是一件容易的事情。然而，用量子通信技术实现一次一密通信，密钥的长度可以显著小于信息本身的长度，这种对密钥的节省显然有助于降低一次一密通信实现的难度。前不久纽约罗切斯特大学由丹尼尔·鲁姆带领的研究团队成功进行了量子短密钥一次一密通信实验，DT君也作了相应的介绍。

“无线通信是短板 ” 

随着量子加密通信的发展，是不是Alice和Bob就可以过上快乐的生活，而偷听者Eve 只能干瞪眼？DT君认为需要理性看待这个问题。

目前来看，量子加密通信最大的缺憾是难以应用于无线通信领域。造成这一缺憾的原因在于：

首先，无论是量子密钥分发还是量子隐形传态，光子的顺利收发都是先决条件。而无线通信通常工作在微波波段，在这一波段，光子的能量太低，检测非常困难。

目前量子加密通信，若使用光纤，则一般使用以下3个波段：700-800纳米（可见光），1310纳米和1550纳米（红外）；若使用自由空间激光，则一般选择770纳米波长。然而，微波波段的波长范围为1米-1毫米，微波的波长是量子加密使用波长（1310纳米）的几十万倍左右。光子的能量和光子的波长成反比，因此，一个微波单光子的能量是一个红外单光子的几十万分之一。

任何光子探测器都会受到各种噪声的影响，如果要可靠提取信号，那么信号的功率必须显著高于噪声功率。即使在光子能量较强的红外波段，光子探测器的性能也是量子加密通信距离提高的主要瓶颈，遑论能量比红外光子弱的多的微波光子。

其次，无线广播时，任何用户对信号的接收，都不会改变其他用户即将接收到的信号。但是，对于量子密钥分发和量子隐形传态，如果也对多个用户进行无线广播，那么每个用户都在接收的同时破坏了量子态，改变了其他用户可能接收到的信息。量子态的不可复制性是一把双刃剑：一方面，它使得偷听者Eve能够被觉察到；另一方面，它也使得一对多的无线广播变得不可行，这时每个人对于其他人来说都是破坏量子态的Eve。

鉴于此，在可预见的将来，无线通信领域仍离不开经典加密技术。

即使有所不足，量子加密通信技术也堪称一场通信领域的技术革命。量子密钥分发实现了经典加密通信时代难以达到的密钥分发绝对安全性；量子隐形传态使得信息能够直接以量子态传输，而经典加密通信对此无能为力。在不久的未来，量子计算机将能够直接处理量子隐形传态网络传递的量子信息，一个崭新的量子互联网时代将不再是梦想。

背景1：是谁首先严格证明了一次一密方法的绝对安全性？

美国贝尔实验室数学家克劳德·香农（Claude Shannon）从数学上严格证明了一次一密方法的绝对安全性，并于1945年发表了有关的保密论文，该论文于1949年解密。不过，同一次一密体制的最先提出者一样，“香农首次从数学上严格证明一次一密体制绝对安全性”的结论近年来也受到了其他资料的挑战。

2006年，俄罗斯科学院为已故院士，前苏联信息论泰斗弗拉基米尔·库特尔尼科夫（Vladimir Kotelnikov）出版的纪念文集中指出，库特尔尼科夫在德国入侵苏联（1941年6月22日）的数天前，严格证明了一次一密体制的绝对安全性，并提交了保密报告。由于原始报告尚未解密，因此这一说法的准确性尚待考证。不过，库特尔尼科夫还在1933年发表了信号无损采样定理的论文，克劳德·香农1949年才发表相同工作的论文。考虑到库特尔尼科夫的实力，他在密码领域先拔头筹并非没有可能。

背景2：公钥密码方法的秘密发明

事实上，迪夫和海尔曼并不是公钥密码方法的真正发明人。两个英国情报机构的科研人员在1970-1974年提出和完善了公钥密码方法。然而，考虑到公钥密码方法的巨大价值，为了防止冷战对手知悉该方法，英国情报部门选择了保密，直到1997年，相关研究材料才得以解密。当然，他们的保密也只是把该方法的公布推迟了2年。

参考文献：

[1]     张文卓. 量子通信首次卫星实验 [J]. 科学世界, 2016, 08): 4-9.

[2]     WIKIPEDIA. Frank Miller (cryptography) .

[3]     WIKIPEDIA. One-time pad .

[4]     WIKIPEDIA. Joseph Mauborgne .

[5]     WIKIPEDIA. Gilbert Vernam .

[6]     DIFFIE W, HELLMAN M E. New directions incryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-54.

[7]     SHOR P W. Algorithms for quantumcomputation: discrete logarithms and factoring; proceedings of the Foundationsof Computer Science, 1994 Proceedings, Symposium on, F, 1994 [C].

[8]     印娟. 自由空间量子通信实验研究 [D]; 中国科学技术大学, 2009.

[9]     LUM D J, ALLMAN M S, GERRITS T, et al. AQuantum Enigma Machine: Experimentally Demonstrating Quantum Data Locking [J].2016,

[10]  DEEPTECH深科技. 《量子短密钥一次一密通讯系统首次试验成功》.

[11]  SHANNON C E. Communication Theory of SecrecySystems * [J]. Bell System Technical Journal, 1945, 28(4): 656 - 715.

[12]  MOLOTKOV S N. Quantum cryptography and V AKotel'nikov's one-time key and sampling theorems [J]. UFN, 2006, 49(7):777–88.

[13]  KOTELNIKOV V A. On the transmission capacityof the 'ether' and of cables in electrical communications [J].

[14]  SHANNON C E. Communication in the presence ofnoise [J]. Proceedings of the Ire, 1949, 86(1): 10-21.

深科技招聘自由撰稿人，要求

文笔好，懂科技，稿酬优

联系：deeptech@mittrchina.com

IEEE中国是DeepTech深科技的战略合作伙伴，想要获得最新的科技资讯和会议信息，敬请关注IEEE中国。