拨开云雾看量子通信：从量子密码到隐形传态

出品  光子盒研究院

2013年爆发的“棱镜门”事件给全世界的网络通信安全敲响了警钟。美国针对中国进行的监听和窃密行径，涉及范围包括中国政府和国家领导人、中资企业、科研机构乃至普通网民和手机用户等等，监听和窃密的广度和深度出乎很多人的意料。

从那以后，中国相继成立了国家安全委员会和中央网络安全和信息化小组，并且加快了研究量子通信的脚步。潘建伟在采访中表示，斯诺登披露的美国国家安全局（NSA）的窃听行为导致中国投入大量资金开发更安全的通信。

现在我们都知道了，量子通信是目前世界公认的最安全的通信。那么，如何实现通信的绝对安全？这一切要从量子密码说起。

无法破译的一次一密

在密码学中，需要秘密传递的文字被称为明文，将明文用某种方法改造后的文字叫作密文。将明文变成密文的过程叫加密，与之相反的过程则被称为解密。加密和解密时使用的规则被称为密钥。

它的基本原理是采用密钥K₁（0，1的随机数列）通过加密算法将甲方要发送的信息（明文）变换成密文，在公开信道上发送到合法用户乙方处，乙方采用密钥K₂从密文中提取所要的明文。

如果甲乙双方采用相同的密钥（即K₁=K₂），则称为对称密码或私密密码。如果K₁≠K₂，则称为非对称密码或公开密码，其中K₁是公开的密钥，K₂只为乙方私人拥有。

例如，Alice和Bob分居两地，Alice经常给Bob送去贵重礼物，她通常将礼物锁在箱子里寄给Bob，又通过某种方式将钥匙传递给Bob。这样，Bob收到箱子后就可以用钥匙将锁打开、得到礼物。

假设箱子非常牢固，要想盗取礼物的唯一方式就是获取钥匙。也就是说，Alice所寄物品的安全性将完全取决于传递钥匙的安全性。

如何传递钥匙？有人建议Alice花钱雇用一个可靠的人专门为他们传递钥匙。但也不是什么好办法，毕竟信使未必可靠，信使送钥匙时可能会受到攻击，甚至信使本人就是叛徒。

还有人建议，两个人预先为这把锁定制两把一样的钥匙就可以了，钥匙只有Alice和Bob有，别人没有，无法偷走礼物。不过，这种办法只能采用一两次，如果久而久之总是用同一把锁、同样的钥匙的话，显然是不安全的，小偷接触锁的机会多了，可以想办法复制钥匙。

这时候还有一种办法：Bob自己打造一套锁和钥匙。他将这把打开了的锁寄给Alice，配套钥匙则由自己保管。Alice没有钥匙，但可以很方便地用这个锁将箱子锁上，然后寄给Bob。最后，Bob用自己保存的钥匙打开箱子，得到礼物。这样，不用运送钥匙，也能安全地寄送礼物了。

通过信使运送钥匙的方法，对应于现代通信中的对称加密技术，而寄送一把打开的锁，自己保留钥匙的方法则对应于非对称加密技术。

对称加密技术中，信息的发出方和接收方共享同样的密钥，解密算法是加密算法的逆算法。这种方法简单、技术成熟，但由于需要通过另一条信道传递密钥，所以难以保证信息的安全传递——一旦密钥被拦截，信息内容就暴露了。由此才发展出了非对称加密技术。

非对称加密技术，每个人在接收信息之前，都会产生自己的一对密钥，包含一个公钥和私钥。在上述例子中，打开的锁是公钥，钥匙是私钥。公钥用于加密，私钥用于解密。加密算法是公开的，解密算法是保密的。加密解密不对称，发送方与接收方也不对称。

非对称密钥中的公钥是公开传输的，任何人都能得到，但私钥只为接收方私人拥有。在密文传递的路径中，即使有第三方截获密文，他也无法解密，因为他没有相应的私钥。

这时候，要想破译密文就必须从公开的公钥入手。但非对称加密是一种正向操作容易、逆向操作非常困难的算法。从私钥的算法可以轻易得到公钥，而有了公钥却极难得到私钥。目前常用的RSA密码系统的作用即在于此。

理论上，RSA密码也不是完美的。虽说经典计算机破解高位数的RSA密码非常困难，但是只要给够时间，最终还是能够破解成功。更可怕的是，Shor算法通过量子计算机可以轻而易举破解RSA密码。尽管量子计算道阻且长，但是并不妨碍我们未雨绸缪。

那么，有没有一种绝对安全的密码？确实有！早在上世纪40年代，著名的信息论鼻祖香农（Claude Shannon）采用信息论证明，如果密钥长度与明文长度一样长，而且用过后不再重复使用，则这种密文是绝对无法破译的，俗称为“一次一密”。

在上述例子中，Alice和Bob事先各有一把相同的钥匙，但如果每次都是同一把锁、同一把钥匙，显然是不安全的。这时候，如果每次都用不同的锁、不同的钥匙，安全性将大大提高。

关于这个问题，100多年前的人们就已经想到了。一次一密密码（one-time pad）最早是由Major Joseph Mauborgne和AT&T公司的Gilbert Vernam在1917年发明的。双方的密钥是随机变化的，每次通讯双方传递的明文都使用同一条临时随机密钥和对称算法进行加密后方可在线路上传递。

因为密钥一次一变，且无法猜测，这就保证了线路传递数据的绝对安全。即使拥有再强大的破解计算能力，在没有密钥的前提下对线路截取的密文也是无能为力的。

那么为何这种“一次一密”的密码迄今未被广泛推广使用呢？主要原因是，“一次一密”要大量消耗“密钥”，需要甲乙双方不断地更新密码本，而“密码本”的传送（即密钥分配）本质上是不安全的。

例如，早先一次一密密码的实现，需要通讯双方保存一个相同的密码集，每个密码集中拥有N条随机密钥，每次通讯顺序使用其中的密钥。双方的密码集中相同序号的密钥必须是完全一样的，否则密文无法被正确还原。所以一旦其中一个密码集泄露，这套加密系统自然就被破解了。这就导致密码集的维护成本极高，且存在安全风险。

也就是说，采用不安全的密钥来实施“一次一密”加密仍是不安全的。那么是否有什么办法可以确保密钥分配是安全的？有，这就是“量子密钥分配”（Quantum Key Distribution）。

真正的“量子通信”

量子密钥分配（QKD）应用到量子力学的基本特性（如量子不可克隆性，量子不确定性等）来确保任何企图窃取传送中的密钥都会被合法用户所发现，这是QKD相比传统密钥分配的独特优势，后者原则上难于判断手头的“密码本”是否已被窃听者复制过。

QKD的另一个优点是无需保存“密码本”，只是在双方需要实施保密通信时，实时地进行量子密钥分配，然后使用这个被确认是安全的密钥实现“一次一密”的经典保密通信，这样可避开保存密码本的安全隐患。

量子密钥分发，其目的是在两个分离的通信双方之间建立起完全安全的密钥传输通道。它的最原始的思想可追溯到1970年，哥伦比亚大学的Stephen Wiesner首次提出了共轭编码的概念并发明了无法伪造的“量子货币”（Quantum Money）方案。

量子货币是一种不可复制、不可篡改的交易系统，其原理是光子的偏振和不可克隆。但这个想法在当时听起来太过匪夷所思，Wiesner的论文被多本科学期刊拒绝刊登，直到1983年。

1984年，IBM的Charles Bennett和蒙特利尔大学的Gilles Brassard了解到Wiesner的想法后，将“量子货币”概念与通信中的私钥密码技术结合，提出了第一个实用型量子密钥分配系统——BB84方案，正式标志量子保密通信的诞生。

BB84方案的基本原理是，收发双方的信息内容是可以被编译成光子偏振的，Alice利用随机偏振发送信息，Bob发现并记录下信息。然后，Alice在公频告知Bob偏振频率，双方按照正确的偏振比对选择的信息部分。

如下图所示，Alice有四种偏振片，包括水平和垂直方向（组成一组正交基）、－45°和+45°方向（组成一组正交基），因此可以制备四种不同偏振方向的光量子。

与此同时，Bob有两种测量基，第一种可以接收和测量水平或垂直方向的光量子，判断是0还是1；同理第二种能接收和测量-45°或+45°的光量子，判断是0还是1。

这就好比有两种产生和检测量子比特0和1的机器，一种机器呈“+”形状，为直线机，另一种呈“×”形状，为对角机。在测量的时候，我们只能随机选择直线机和对角机中的一个来看光子是否通过。所以，测得的结果的准确率应该是选对的50%，再加上选错的一半中仍有一半的概率正确（25%），最后得到75%。

然后，就可以建造一个基于QKD的量子保密通信系统了。如下图所示，其中上路负责密钥分配，下路负责传输加解密数据。在上路中，量子信道负责传输量子密钥，而经典信道负责传输测量基等额外需要的信息。其中，经典通道是指无线电或互联网等常用的信息发送通道。

现在我们就来看看，Alice发送了0和1组成的信息串之后，Bob这方接收的情况。

首先，Bob收到一串由量子比特构成的信息后，将每一个量子比特随机地放进两种检测机中的一种，并将记录下来的测量结果和自己选择的检测机器顺序，都从经典通道发回给Alice。

然后，Alice通过比较Bob接收到的和她自己发送时的数据，算出Bob测量结果的正确率。如果这个数值大约是75%，说明信息没有被窃听。于是，Alice就把原来数据中Bob用对了机器的那些量子比特的序号挑选出来并通过经典通道发送给鲍勃，这些量子比特就作为通信的密钥。

然而，如果量子比特在传输中途被窃听了的话，这个量子比特就因为被窃听者测量过而改变状态了。因此，窃听者的存在将给Bob得到的最后结果引入误差。这样，Alice比对自己与Bob的数据之后，发现正确率偏离了75%，就能知道有窃听者存在，她便会丢弃这次传输的数据不用，而立即换用另一个量子通道。

BB84方案应用了量子通道，但传输的仍是经典信息，而真正的“量子通信”是将信息编码在量子比特上，在量子通道上将量子比特从甲方传给乙方，直接实现信息的传递。

比如在经典通信中，Alice将需要传输的文件经过扫描后得到的信息，通过经典通道传送给Bob，后者用另一张纸将图像打印出来。然而，Alice不可能用这种方式将一个量子态传输给Bob。因为要传输就必须要测量，但量子态一经测量便发生坍缩，不再是原来的量子态了。

那么，如何在不引起坍缩的情况下，将一个量子态传输出去呢？

于是1993年，Bennett、Brassard等六人联合发表的论文提出了隐形传态协议（teleportation protocol），利用两个经典比特信道和一个缠绕比特实现了一个量子比特的传输。

这个传输过程利用的是量子纠缠态。先是制备两个有纠缠的量子（粒子）对A和B，Alice和Bob各持一个。然后，Alice对需要传送的量子态X和她手中的A做“贝尔测量”。贝尔测量是一种特殊的测量，要让两个粒子陷入纠缠。测量后，X的量子态坍缩了，但它的状态信息隐藏在A中，使A也发生变化（但并非坍缩）。

因为A和B互相纠缠，A的变化立即影响B，让B也发生变化。不过这个时候Bob还不能观察B，直到从经典通道得到Alice传来的信息。

Alice将测量结果（即A发生的变化）告诉鲍勃，然后，Bob对B进行相应的变换处理，就能使B成为和原来的X一模一样的量子态。这个传输过程完成之后，虽然X坍缩了，但X所有的信息都传输到了B上，因而称之为“隐形传态”。

以上两个协议的提出奠定了整个量子信息理论的基础，随后20多年里，量子通信开始受到各国的重视并快速进入应用阶段。

量子通信的商用化

量子通信什么时候实现商用化？这个问题不能一概而论。因为量子隐形传态（QT）商用化的难度要远远超过量子密钥分发（QKD），前者传输的是量子比特（信息），后者传输的是密钥而非信息。

1997年，奥地利Zeilinger小组首次成功实现了量子隐形传态通信；同年，还在奥地利留学的潘建伟和荷兰学者波密斯特等人合作，首次实现了未知量子态的远程传输。

2004年，潘建伟小组在国际上首次实现五光子纠缠和终端开放的量子态隐形传输，此后又首次实现6光子、8光子纠缠态；2011年，在国际上首次成功实现了百公里量级的自由空间量子隐形传态和纠缠分发，解决了通讯卫星的远距离信息传输问题。

近年来，QT研究在空、天、地等平台上积极开展实验探索。2017年，中科大基于“墨子号”卫星，实现星地之间QT传输，低轨卫星与地面站采用上行链路实现量子态信息传输，最远传输距离达到1400公里，成为目前QT自由空间传输距离的最远记录。

2018年，欧盟量子旗舰计划成立量子互联网联盟（QIA），采用囚禁离子和光子波长转换技术探索实现量子隐形传态和量子存储中继，计划在荷兰四城市之间建立全球首个光纤QT实验网络，基于纠缠交换实现量子态信息的直接传输和多点组网。

2019年，南京大学报道了基于无人机开展空地量子纠缠分发和测量实验，无人机携带光学发射机载荷，完成与地面接收站点之间200米距离的量子纠缠分发测量。

然而，QT研究目前仍主要局限在各种平台和环境条件下的实验探索，包括高品质纠缠制备、量子态存储中继和高效率量子态检测等关键技术瓶颈尚未突破，距离实用化仍有较大距离。

相比QT，QKD实现商用化的可能性更大。1993年，英国研究小组首先在光纤中使用相位编码的方法实现了BB84方案，通信传输距离达10km。随后20多年里，QKD的实验研究不断突破传输距离和密钥成码率的记录。

2018年，东芝欧研所报道新型相位随机化双光场编码和传输实验，实现550公里超低损耗光纤传输距离记录，其中的双光场中心测量节点可以作为量子中继的一种替代方案。

同年，中科大和奥地利科学院联合报道了基于“墨子号”卫星实现7600公里距离的洲际QKD和量子保密通信，在可用时间窗口内，基于卫星中继的密钥传输平均速率~3kbps，在两地QKD密钥累积一定数量之后，可以用于进行图片和视频会议等应用的加密传输。

随着QKD技术进入实用化阶段，并不断开展试点应用和网络建设，进一步提升其实用化和商用化水平成为科研机构和产业链上下游关注和技术演进的主要方向。

QKD实用化技术演进的主要方向包括基于光子集成（PIC）技术提升收发机的集成度，采用连续变量（CV）QKD技术开展实验和商用设备开发，以及开展QKD与现有光通信网络的共纤传输和融合组网等。

目前，实现量子密钥分发有两种形式：离散变量量子密钥分发（DV-QKD）和连续变量量子密钥分发（CV-QKD），其中CV-QKD技术出现时间相对较晚，但凭借其先天优势，近十几年来得到了迅速的发展。

1999年，澳大利亚科学家Ralph首次提出CV-QKD的想法。CV-QKD技术编码信息在光场的正则分量上，系统只需要普通的相干激光器、平衡零差检测器，成本低、实用性强，且在同等条件下其输出的密钥率远高于DV-QKD技术，与传统光通信网络融合性高。

但是目前CV-QKD技术在安全传输距离方面还不如DV-QKD技术。因此，DV-QKD技术和CV-QKD技术各有其应用侧重方向，可以形成很好的互补关系，具备了构建商业化系统的条件。

近年来，基于QKD的量子保密通信在全球范围内进一步开展了试点应用和网络建设，欧盟量子旗舰计划项目支持西班牙和法国等地运营商，开展QKD实验网络建设。韩国的运营商通过收购瑞士IDQ股权等方式，也开始介入QKD技术领域，并承建了韩国首尔地区的QKD实验网络。

我国量子保密通信的网络建设和示范应用发展较为迅速，近年来，潘建伟团队及其产业公司开展了“京沪干线”和国家广域量子保密通信骨干网络建设一期工程等QKD项目。郭光灿团队联合相关企业建设了从合肥到芜湖的“合巢芜城际量子密码通信网络”，以及从南京到苏州总长近600公里的“宁苏量子干线”。

商用化进程方面，CV-QKD技术在北大、北邮、上海交大和山西大学等高校和研究机构中取得大量研究成果。上海循态量子、北京启科量子、北京中创为量子和广东国腾量子等公司加入QKD设备供应商行列，同时传统通信设备行业中的华为和烽火等设备供应商，也开始关注基于CV-QKD等技术的商用化设备。

但值得一提的是，QKD还只是量子保密通信系统的一个环节，量子保密通信系统整体满足信息论可证明安全性需要QKD、一次一密加密和安全身份认证三个环节，缺一不可。

目前QKD商用系统在现网光纤中的密钥生成速率约为数十kbit/s量级，对于现有信息通信网络中的高速业务，难以采用一次一密加密，需与传统对称加密算法相结合，由QKD提供对称加密密钥。这样一来，由于存在密钥的重复使用，并不满足一次一密的要求。

量子通信的研究已有30多年历程，目前达到的实际水平是：在百公里范围的城域网，量子密码体系可以做到密钥分配在现有技术保证的各种攻击下是安全的，安全密钥生成率在25公里可确保高清视频“一次一密”，在100公里内能确保音频、文字、图片等的“一次一密”。

如果超过城域范围，就无法确保其安全性了。长距离的QKD网络需要借助“可信中继节点”技术，进行逐段密钥分发，密钥落地存储和中继。密钥一旦落地存储，就不再具备量子态和由量子力学保证的信息论安全性。

因此，远程量子保密通信只有采用“量子中继”才能确保其安全性，而“量子中继”的研制受到可实用的量子存储器和确定性纠缠光子源的限制，目前仍然处于基础研究阶段。

从城域网到广域网，从量子密码到隐形传态，任重且道远。

-End-

1930年秋，第六届索尔维会议在布鲁塞尔召开。早有准备的爱因斯坦在会上向玻尔提出了他的著名的思想实验——“光子盒”，公众号名称正源于此。