潘建伟团队国际上首次验证设备无关量子密钥分发

7月28日，国际顶刊《物理评论快报》（PRL）、《自然》（Natrue）上同时刊登三篇文章：《设备无关的量子密钥分发的光子演示》[1]、《贝尔定理证明的实验量子密钥分发》[2]、《面向远程用户的设备无关量子密钥分发系统》[3]。

量子密钥分发(QKD)的安全性通常依赖于用户设备根据安全证明中建立的安全模型被很好地表征。相比之下，一种基于纠缠的协议——设备无关量子密钥分发(DI-QKD)即使在不了解底层量子设备的情况下也能保证安全性。然而，DI-QKD的实现极具挑战性，很难用当前技术实现。

现在，三个团队分别从不同方面独立实验验证了DI-QKD。其中，中国科学技术大学潘建伟及其同事张强、徐飞虎等通过发展设备无关理论协议和构建高效率的光学量子纠缠系统，首次在国际上实验实现了DI-QKD的原理性演示，相关研究成果以编辑推荐的形式于7月28日在线发表在《物理评论快报》上。

设备无关量子密钥分发避开了其他量子加密技术的漏洞。即使用于创建、检测所需量子粒子的设备行为与预测不同，它们也能发挥作用。图片来源：中国科学技术大学

设备无关量子密钥分发（DI-QKD）

20世纪80年代，物理学家开始提出基于量子的加密方法，这些方法可以对数据进行篡改以保证其安全性。这些方法利用了量子系统的一个特殊性质：对系统的测量本质上改变了系统的属性。具体来说，这些协议会暴露出任何窃听者。然而，研究人员一直在努力构建能够完全按照协议规定工作的设备。

现在，来自中国、德国和英国的三个研究团队已经独立地进行了DI-QKD的原理验证实验，他们分别演示了DI-QKD的各个方面。在DI-QKD中，即使所使用的设备行为没有完全按照预测的行为，也可以保护信息的安全。参与了德国实验的新加坡国立大学学者Charles Lim表示[4]，这些演示是“网络安全的重大突破”。

在DI-QKD中，一个装置重复产生成对纠缠的量子粒子。Alice和Bob两方中每人从粒子对中各取出一个粒子；然后，Alice和Bob创建一个“密钥”——一串1和0，它们可以对信息进行编码和解码，部分是通过对其粒子的两个结果属性进行一系列测量来实现的。例如，如果粒子是一个光子，那么测量的属性可能是它的水平/垂直偏振；如果粒子是一个原子，测量的属性可能是原子的状态（基态/激发态）。由于对一个粒子的测量结果与其纠缠对应物的测量结果相关，因此Alice和Bob可以在一些后处理后生成一个单一的共享密钥。

当Alice和Bob进行这些测量时，他们使用基于称为“贝尔定理”的量子规则测试来间歇性地验证其通道的安全性。根据贝尔定理，如果两个粒子纠缠在一起，对这些粒子的测量必须表现出特定的统计相关性。在测试中，Alice和Bob使用一个测量的子集来生成密钥；然后，他们检查这些测量值是否遵循规定的统计学。如果存在不匹配，Alice和Bob就会知道他们的粒子不再纠缠，这表明他们再也不能保证通道的安全性。然后，他们就会放弃测量结果，并重新开始这个过程。

对于DI-QKD方法，Alice和Bob不需要有关产生粒子的设备信息，这意味着研究人员不需要对他们的装置进行建模，你可以把它们当作黑匣子。

因此，这些方法回避了其他量子加密协议的漏洞，其中一些协议甚至已经在商用技术中实现，例如瑞士公司ID Quantique提供的协议。2007年，瑞士政府使用ID Quantique的加密设备来确保其全国大选中的投票。但到2010年，两个研究团队已经成功地利用ID Quantique的设备操作与其理论描述之间的差异，攻破了该设备。例如，一个团队利用机器产生连续光子的时间间隙，在Alice或Bob都没有注意到的情况下拦截了一个加密密钥，而理论上要求连续光子的产生是没有延迟的。

虽然研究人员已经从数学上证明了DI-QKD的安全性，但中国科学技术大学教授张强说：

张强，中国科学技术大学教授

虽然这三个实验使用了类似的DI-QKD方法，但它们有明显的区别：中国的实验使用了纠缠光子、英国的实验使用了纠缠的锶离子；而德国的实验使用了纠缠的铷原子。

“每个实验都有自己的优势，”张强说，“例如，当使用原子和离子时，研究人员可以跟踪纠缠对中的两个粒子，他们没有办法跟踪两个纠缠的光子。当一对光子中的一个光子丢失时，这就提出了其他实验的安全性要求，我们的团队能够满足这些要求。然而，光子被用于许多现有的通信技术。例如，可能使用光子实现量子技术更容易、更快捷。”

英国的实验完成了整个DI-QKD协议，在大约8小时内生成了95000比特加密密钥。德国的实验在两天内产生了几千比特，足以满足一小部分密钥的需求；但由于时间限制，它没有完成密钥。中国的实验也没有产生一个完整的密钥，因为探测器无法跟踪足够多的纠缠光子对来完成这个任务。一旦他们提高了检测效率，该团队表示，他们的系统只需要几分钟就可以生成一个密钥。

中国团队：光子型DI-QKD实现≈87.5%的检测效率

实验示意图。（a）纠缠源，产生纠缠光子对。这一实验中的保真度达99.52±0.15%；（b）对Alice和Bob进行单光子偏振测量。

尽管在理论上效果很理想，但DI-QKD在当前技术中难以实现。特别是在光子实现中，对检测效率的要求远远超出了任何报告的与相关实验性能。在这一最新研究中，中国科大团队报告了基于渐近极限中的光子设置的DI-QKD的原理验证实验。在实验方面，团队开发了一种高质量的偏振纠缠光子源，可实现约87.5%的最新（预示）检测效率。

结果表明，测得的量子相关性足够强，并且可以确保在长达220m的光纤长度下仍然具有正密钥速率。实验中最新的光子平台可以在电信波长内以高速率产生纠缠光子，这对于长距离高速生成是理想的。

这些结果也是朝着全面演示光子型DI-QKD迈出的重要一步。

英国团队：理论证明了DI-QKD的加密安全性

基于捕获离子的DI-QKD

加密密钥交换协议传统上依赖于计算猜想，例如质因数分解以提供针对窃听攻击的安全性。值得注意的是，量子密钥分发协议（如Bennett-Brassard方案）提供了针对此类攻击的信息理论安全性，这是一种通过经典手段无法达到的、更强大的安全形式。

然而，迄今为止实现的量子协议受到一类新的攻击：这些攻击利用了实现的量子态或测量与其理论建模之间的不匹配。

因此，该团队实现了一个完整的DI-QKD协议：新的协议不受这些漏洞的影响，并遵循Ekert“贝尔定理”的开创性建议，使用纠缠来约束对手的信息。通过将理论发展与改进的光纤链路相结合，该团队在两个捕获离子量子比特之间产生纠缠，从而在8个小时的运行时间内创建的150万个贝尔对中获得了95628个具有设备无关安全性的密钥。此外，该团队采取了一些措施来确保窃听者无法访问有关测量结果的信息。

结果表明，在一般假设下可以证明DI-QKD的加密安全性，这为基于设备独立性原理的进一步量子信息应用铺平了道路。

德国团队：实现700米光纤长度的DI-QKD

德国团队提出了一个实验系统，可以在两个远程用户之间实现DI-QKD。该实验基于对位于相距400米的建筑物中的两个独立捕获的单个铷原子之间进行纠缠生成和分析。

DI-QKD方案示意图。Alice和Bob双方中的每一方都持有QKD设备，这些设备通过一个量子通道连接。设备接收输入X和Y，并分别输出A和B作为回应。为了运行该协议，每一方都需要一个可信的输入和一个可信的本地存储单元来存储输出和输入。此外，在后处理过程中，双方需要一个可信的认证公共通道来交换信息。

此次实验中的DI-QKD示意图。（a）Alice设备由单原子阱和贝尔态测量设施（BSM）组成。Bob使用第二个单原子阱以及分束器（BS）和单光子探测器（SPD）。（b）地图显示了慕尼黑两个实验室的位置。

这一安全密钥交换的结果为未来量子网络中量子安全通信的最终形式铺平了道路。

演示极具价值，实际应用仍需时间

在所有实验中，Alice或Bob的距离都远远小于一公里。中国团队相距20-220米、德国团队相距400米，而在英国团队仅相距2米。

没有参与这三项实验的西班牙光子科学研究所的Antonio Acín说：“由于距离限制，这些演示还没有表明DI-QKD可以成为一项实用的技术。”

参与德国实验的Charles Lim说：“为此，研究人员需要证明这些方法在千米及距离尺度上的可行性。他们还需要能够更快地生成密钥的方法。”

鉴于这些工程挑战，张强认为商用DI-QKD加密不太可能在短期内出现。但他仍然认为，新的演示很有价值。“这些实验表明，你可以使用一些你不信任的设备，仍然生成一个安全的密钥。”

参考链接：

[1]https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.129.050502

[2]https://www.nature.com/articles/s41586-022-04941-5

[3]https://www.nature.com/articles/s41586-022-04891-y

[4]https://physics.aps.org/articles/v15/116