量子密鑰分發(fā)：從BB84到TF-QKD

基于雙場量子密鑰分發(fā)協(xié)議（TF-QKD），中國科學(xué)家在實驗室內(nèi)首次將光纖量子密鑰分發(fā)的安全成碼距離推至500公里以上，創(chuàng)造了光纖量子密鑰分發(fā)的新紀錄，并且在超過500公里的光纖成碼率打破了傳統(tǒng)無中繼量子密鑰分發(fā)所限定的絕對成碼率極限。相關(guān)研究成果發(fā)表在Physical Review Letters（并被選為“編輯推薦”文章）和Nature Photonics上。

通信對于現(xiàn)代社會的意義不言而喻。在通信世界里，信息的安全性總是首位的。為了保證信息的安全，人們在將信息傳遞給接收者之前，利用密鑰對其進行加密，而后接收者基于密鑰對加密信息進行解密。

可見，信息的安全性依賴于密鑰的安全性。若要實現(xiàn)兩個相聚遙遠的通信節(jié)點間的安全密鑰共享，就需要一種安全的密鑰傳輸方式，而量子密鑰分發(fā)（quantum key distribution，QKD）作為目前最安全的密鑰傳輸方式，可做到理論上的信息論安全。

從理論到實際應(yīng)用，要想在現(xiàn)實條件下實現(xiàn)遠距離、安全的量子通信，會面臨很多挑戰(zhàn)。信道損耗和探測器噪聲，制約著量子密鑰分發(fā)的適用范圍，如何獲得更高的成碼率（密鑰生成速率）以及更遠的密鑰傳輸距離，是目前亟待進一步解決的難題。在實現(xiàn)安全、實用的量子通信的征程上，為了克服出現(xiàn)的種種困難，各種理論構(gòu)想和實驗方案被不斷提出：從最早的BB84協(xié)議，到誘騙態(tài)量子密鑰分發(fā)(decoy-state QKD)和測量設(shè)備無關(guān)量子密鑰分發(fā)（measurement-device-independent QKD，MDI-QKD），再到最近兩年提出并得到實驗證實的雙場量子密鑰分發(fā)協(xié)議（twin-field QKD，TF-QKD）。

量子密鑰分發(fā)和BB84協(xié)議

什么是量子密鑰分發(fā)？

所謂的量子密鑰分發(fā)，實際上是一種利用量子系統(tǒng)作為信息載體進行傳輸，進而提取共享安全密鑰的保密通信方式，比如采用單光子作為載體，發(fā)送端加載編碼信息、接收端探測解碼信息，進而提取共享安全密鑰。

量子力學(xué)基本原理保證了通信的安全性。例如基于海森堡測不準原理，攻擊者無法精確測量量子態(tài)，任何測量的竊聽行為都必然導(dǎo)致不可避免的系統(tǒng)擾動，從而被QKD用戶發(fā)現(xiàn)攻擊痕跡。

BB84協(xié)議

量子密鑰分發(fā)的第一個協(xié)議——BB84協(xié)議是美國物理學(xué)家Charles H.Bennett和加拿大密碼學(xué)家Gilles Brassard在1984年提出的，BB84得名于兩人姓的首字母和提出年份。BB84協(xié)議屬于兩點式通信架構(gòu)，即一個發(fā)送端（Alice），一個測量端（Bob），如圖1所示，Alice在單光子的偏振維度上，選用兩組非正交基矢以及每組基矢下兩個正交偏振態(tài)（直角基矢下的H偏振，V偏振，以及斜角基矢下的＋45o偏振，－45o偏振）。根據(jù)0和1經(jīng)典二進制比特信息隨機數(shù)，Alice將光源編碼成相應(yīng)偏振的單光子量子態(tài)——H偏振態(tài)及－45o偏振態(tài)代表經(jīng)典比特信息0，V偏振態(tài)及＋45o偏振態(tài)代表經(jīng)典比特信息1，進行傳輸，同時Bob也隨機地選用直角基矢以及斜角基矢之一進行測量并記錄結(jié)果。

當實驗進行一段時間后，Alice和Bob在一個認證的公共信道上公布所選用的基矢信息，然后各自保留所選的相同基矢下的信息即可獲得篩后密鑰，再各自從篩后密鑰中抽樣一段進行信息比對一致性，當錯誤率超過一定界限即認為此次通信不安全，放棄該次通信產(chǎn)生的密鑰，然后再進行下一次通信，直至篩后密鑰比對的結(jié)果滿足錯誤率要求，最后再進行數(shù)據(jù)后處理（糾錯和隱私放大等）使Alice和Bob共享一段相同的安全密鑰。由于密鑰分發(fā)過程中，Alice和Bob所選用的基矢是隨機的，且兩組基矢是非正交的，入侵者若要竊聽，就需要對這些未知的單量子態(tài)進行測量，因為測不準原理，被測量的量子態(tài)必然會產(chǎn)生隨機的測量結(jié)果，最終導(dǎo)致Alice和Bob篩后密鑰比對的結(jié)果錯誤率提高，從而使入侵者被發(fā)現(xiàn)。

圖1    BB84量子密鑰分發(fā)協(xié)議

量子力學(xué)基本原理保證了BB84協(xié)議具有信息理論安全性，但由于現(xiàn)實中實驗器件的不完美性，使得真實系統(tǒng)的量子密鑰分發(fā)可能會存在一些安全性隱患。幸運的是，在全球?qū)W術(shù)界三十余年的共同努力下，目前，結(jié)合“測量器件無關(guān)量子密鑰分發(fā)”協(xié)議和經(jīng)過精確標定、自主可控光源的量子通信系統(tǒng)已經(jīng)可以提供現(xiàn)實條件下的安全性（詳見“量子信息和量子技術(shù)白皮書（合肥宣言） ”）。

測量設(shè)備無關(guān)量子密鑰分發(fā)

協(xié)議原理及安全性

測量設(shè)備無關(guān)量子密鑰分發(fā)（MDIQKD）協(xié)議由Hoi-Kwong Lo教授等人于2012年提出。為介紹MDIQKD協(xié)議的思想，首先介紹BBM92協(xié)議。BB84協(xié)議提出者Bennett和Brassard以及康奈爾大學(xué)的Mermin利用糾纏源結(jié)合BB84協(xié)議的思想的簡潔性，提出了BBM92協(xié)議，并證明本質(zhì)上和BB84協(xié)議等價。

BBM92協(xié)議中，第三方Charlie的糾纏源產(chǎn)生的糾纏光子對分發(fā)給Alice和Bob測量，Alice和Bob的測量方式采用和BB84協(xié)議相同的測量方式。在經(jīng)典通信部分，Alice和Bob公布他們所用的測量基矢，保留基矢相同的測量結(jié)果為篩后密鑰，再經(jīng)過數(shù)據(jù)后處理將篩后密鑰中的誤碼和Eve的信息都去掉，得到完全一致的一串安全密鑰。BBM92協(xié)議和標準BB84協(xié)議不同之處在于其安全性并不依賴于第三方Charlie的糾纏源，也即糾纏源在產(chǎn)生、傳輸過程中Eve的任何操作都不會影響到BBM92協(xié)議最后產(chǎn)生密鑰的安全性。

相比而言，MDIQKD協(xié)議則是將BBM92的執(zhí)行過程進行“時間反演”。具體地，Alice和Bob作為光源，按照BB84協(xié)議相同的編碼方案制備量子態(tài)，然后發(fā)送給中間第三方Charlie。Charlie將Alice和Bob發(fā)送過來的2個光子進行干涉，通過基于雙光子干涉和符合探測操作，得到后選擇出來的糾纏光子對。類比BBM92協(xié)議，MDIQKD的安全性并不依賴第三方Charlie通過符合測量得到的“糾纏源”，從而MDIQKD協(xié)議的安全性不依賴于Charlie的測量設(shè)備，是測量設(shè)備無關(guān)的。

圖2    基于糾纏分發(fā)的BBM92協(xié)議（左）和MDIQKD協(xié)議（右）

通信架構(gòu)

測量設(shè)備無關(guān)量子密鑰分發(fā)屬于三點式通信架構(gòu)，如圖3（a）所示，Alice和Bob作為兩個發(fā)送端，Charlie作為接收測量端，Alice和Bob根據(jù)Charlie公布的測量結(jié)果來共享一段相同的安全密鑰，整個過程Charlie的測量結(jié)果不會影響到通信的安全性，即所謂的測量設(shè)備無關(guān)。

真實的實驗環(huán)境中，測量設(shè)備無關(guān)量子密鑰分發(fā)方案的安全性是目前遠距離量子密鑰分發(fā)實驗里最高的，曾一度也是光纖量子密鑰分發(fā)實驗中傳輸距離最遠的——404公里。直到2018年Hugo Zbinden團隊利用誘騙態(tài)BB84量子密鑰分發(fā)方案實現(xiàn)了421公里的光纖傳輸距離才打破這一紀錄，但真實實驗環(huán)境中BB84量子密鑰分發(fā)方案的安全性無法做到與測量設(shè)備無關(guān)。因此，綜合真實環(huán)境里的安全性以及傳輸距離，測量設(shè)備無關(guān)量子密鑰分發(fā)是目前最優(yōu)的遠距離光纖量子密鑰分發(fā)方案。

線性成碼極限

傳統(tǒng)的測量設(shè)備無關(guān)量子密鑰分發(fā)采用雙光子符合事件作為有效探測事件，即接收方Charlie每產(chǎn)生一次用來成碼的有效探測需要消耗兩個光子，其安全成碼率隨著信道衰減線性下降，因此在無量子中繼的情形下，傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)的安全成碼率是無法突破線性成碼極限的。

圖3     (a)傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)；(b)雙場量子密鑰分發(fā)

量子密鑰分發(fā)面臨的難點

盡管量子密鑰分發(fā)已取得眾多重要研究成果，但目前仍然面臨兩大難題，即如何獲得更高的成碼率（密鑰生成速率）以及更遠的密鑰傳輸距離。

在成碼率方面，東芝歐研所A. J. Shields團隊于2014年在50公里光纖距離下獲得1.2 Mbps的成碼率。

在傳輸距離方面，中國科學(xué)技術(shù)大學(xué)潘建偉團隊于2017年基于墨子號量子科學(xué)實驗衛(wèi)星實現(xiàn)了1200公里自由空間的量子密鑰分發(fā)，日內(nèi)瓦大學(xué)Hugo Zbinden團隊于2018年實現(xiàn)了421公里光纖的量子密鑰分發(fā)。

即便如此，這些量子密鑰分發(fā)的理論和實驗工作，依然都沒有突破無中繼情形下量子密鑰分發(fā)成碼率-距離的極限——接收設(shè)備不產(chǎn)生任何探測噪聲時該距離下的成碼率。而且，上述實際量子密鑰分發(fā)系統(tǒng)還會進一步限制在成碼率-距離的極限之內(nèi)，因為測量設(shè)備都會存在一定噪聲，噪聲會降低傳輸?shù)某纱a率。隨著傳輸距離越來越長，信道衰減越來越大，測量設(shè)備所能測量到的信號計數(shù)也越來越少，而測量設(shè)備產(chǎn)生的噪聲在信號中占比也越來越大，當噪聲占比超過一定界線，傳輸過程便不能生成密鑰。

可信中繼和量子中繼

遠距離光纖量子通信過程中，信道傳遞的量子態(tài)會隨著通信距離的增加呈指數(shù)減少，極大地限制了量子通信的有效傳輸距離。若設(shè)置量子通信網(wǎng)絡(luò)中繼站，將一段長距離光纖信道分割成多段距離比較短的信道，可使得量子信號不再隨距離的增加而指數(shù)衰減，從而擴展量子通信的距離。實現(xiàn)量子通信網(wǎng)絡(luò)中繼站的方式，我們通常有兩種選擇——可信中繼和量子中繼。

可信中繼是嚴密監(jiān)控下的數(shù)據(jù)中轉(zhuǎn)站，可信中繼首先采用內(nèi)部的量子密鑰分發(fā)設(shè)備，分別與連接可信中繼的兩方單獨進行量子密鑰分發(fā)，產(chǎn)生各自密鑰，然后進行密鑰中轉(zhuǎn)，實現(xiàn)兩方之間的密鑰共享。那么，在這種情況下兩方所共享的密鑰數(shù)據(jù)，中繼站也是知道的。因此，可信中繼需要通過傳統(tǒng)的安全保障來確保其密鑰數(shù)據(jù)在站點內(nèi)的安全性。

而量子中繼是讓發(fā)送方和接收方通過它建立關(guān)聯(lián)，但中繼站本身并不知道具體的編解碼值的信息。因此，量子中繼器不存在數(shù)據(jù)泄露的問題。即使有內(nèi)鬼，最糟也只是讓量子中繼不能運行，但不能竊取到數(shù)據(jù)。量子中繼需要用到量子存儲器存儲一些對竊聽者無用的中間量子態(tài)，然而，目前的量子存儲性能有限，實現(xiàn)實用化量子中繼器還需假以時日。

突破無量子中繼的線性成碼極限

那么無量子中繼的線性成碼極限是否就真的無法突破了呢？答案是否定的。如果我們能做到每次用來成碼的有效探測所消耗的光子數(shù)比傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)更少，那么我們就可以在相同的信道損耗下獲得比傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)更多的有效探測，從而獲得比線性成碼極限更高的成碼率。這就是我們接下來要說的雙場量子密鑰分發(fā)協(xié)議。

雙場量子密鑰分發(fā)

所謂的雙場量子密鑰分發(fā)，即利用單光子干涉后的探測作為有效探測事件的測量設(shè)備無關(guān)量子密鑰分發(fā)，僅需單個探測器響應(yīng)，而不需要傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)的雙光子符合所需的兩個探測器同時響應(yīng)。當干涉之后的兩個探測器之一響應(yīng)的時候，Alice和Bob的編碼相位呈正關(guān)聯(lián)或反關(guān)聯(lián)關(guān)系，但是Charlie無法知道Alice和Bob的編碼是0或者1，因此該協(xié)議的安全性和傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)的安全性一樣，都是測量設(shè)備無關(guān)的。如圖3（b）所示，接收方Charlie每產(chǎn)生一次用來成碼的有效探測只需要消耗一個光子，是傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)探測消耗的雙光子的一半，且該光子僅經(jīng)歷單邊信道，衰減是信道總衰減的平方根，從而安全成碼率提升至隨信道衰減的平方根下降，因此在長距離傳輸情形下，雙場量子密鑰分發(fā)較傳統(tǒng)測量設(shè)備無關(guān)量子密鑰分發(fā)具有更高的成碼率以及更遠的成碼距離，甚至可以在無量子中繼的情形下輕松突破量子密鑰分發(fā)的成碼率線性極限。

技術(shù)難點與實驗實現(xiàn)

我們已經(jīng)了解到，雙場量子密鑰分發(fā)的核心是利用單光子干涉。與此同時，將單光子干涉結(jié)果作為有效探測，也使得雙場量子密鑰分發(fā)實施起來十分困難。要在Charlie實現(xiàn)穩(wěn)定的單光子干涉，首先需要將Alice和Bob兩個遠程獨立激光器的波長鎖定為一致，以消除Alice和Bob激光器波長不同所引起的相位差，其次需要通過單光子探測結(jié)果實現(xiàn)長距離光纖鏈路相對相位快速漂移的精準估計。

如此一來，與傳統(tǒng)相位編碼的測量設(shè)備無關(guān)量子密鑰分發(fā)相比較，雙場量子密鑰分發(fā)的發(fā)送方在編碼時序上需要增加附加相位參考光脈沖，且接收方需要根據(jù)附加相位參考光脈沖的干涉結(jié)果，來評估傳輸過程中長距離光纖鏈路引入的相對相位快速漂移。如圖4所示，雙場量子密鑰分發(fā)在編碼時序上，除了原本信息編碼的量子光區(qū)間（脈沖強度為單光子水平），還增加了強的參考光區(qū)間（強光脈沖）——用于光纖鏈路相對相位快速漂移的精準估計，以及單光子探測器經(jīng)歷強光后的恢復(fù)時間（不發(fā)光）。此外，由于增加了強的相位參考光脈沖，雙場量子密鑰分發(fā)實驗的單光子探測器需要同時滿足高計數(shù)率、高效率及超低暗計數(shù)。

圖4    雙場量子密鑰分發(fā)編碼時序

光纖量子密鑰分發(fā)的新紀錄

中國科學(xué)技術(shù)大學(xué)潘建偉實驗小組分別基于清華大學(xué)王向斌提出的“發(fā)送-不發(fā)送”的雙場量子密鑰分發(fā)協(xié)議和馬雄峰提出的相位匹配雙場量子密鑰分發(fā)協(xié)議，發(fā)展時頻傳輸技術(shù)和激光注入鎖定技術(shù)，將兩個獨立的遠程激光器的波長鎖定為相同，以及利用附加相位參考光來估計光纖的相對相位快速漂移并進行相位后處理。同時結(jié)合中國科學(xué)院上海微系統(tǒng)與信息技術(shù)研究所研制的高計數(shù)率、低噪聲單光子探測器，最終在實驗室內(nèi)首次將光纖量子密鑰分發(fā)的安全成碼距離推至500公里以上，創(chuàng)造了光纖量子密鑰分發(fā)的新紀錄，并且在超過500公里的光纖成碼率打破了傳統(tǒng)無量子中繼量子密鑰分發(fā)所限定的絕對成碼率極限，即超過了理想的探測裝置（探測器效率為100%）下的無量子中繼量子密鑰分發(fā)成碼極限。

在未來，科學(xué)家們還會將雙場量子密鑰分發(fā)應(yīng)用于實地，實現(xiàn)城際之間安全的光纖量子密鑰分發(fā)，并且如果將雙場量子密鑰分實驗系統(tǒng)的重復(fù)頻率進一步升級至京滬干線等遠距離量子通信網(wǎng)絡(luò)中采用的1GHz，在300公里處，成碼率可達5kbps，這將大量減少骨干光纖量子通信網(wǎng)絡(luò)中的可信中繼數(shù)量，大幅提升光纖量子保密通信網(wǎng)絡(luò)的安全性。

（責任編輯：劉嘉誠）

（版權(quán)說明，轉(zhuǎn)載自：墨子沙龍公眾號）