黄志洵

(中国传媒大学信息工程学院，北京100024)

1 引言

量子通信(quantum communication，QC)是否在科学原理上可信、在工程技术上可行、在实践中可用？这已成为科技界专家乃至广大公众关心和热议的问题。多年来，笔者作为微波工程教授和“电磁场与微波技术”专业方向的博士生导师，关切的范围早已超越微波而进入光的领域，并密切注视量子理论与应用技术的发展。量子信息学(quantum information technology，QIT)的3个主要研究方向(量子通信、量子雷达、量子计算)，我对前两者都有浓厚兴趣，也写过文章表达自己的观点[1-3]。2018年6月6日《科技日报》在头版发表文章指出，中国科学发展的短板是缺乏质疑；号召有关领域的专家能站出来，(对QC)提出质疑或回应质疑。因此笔者再写此文，将一得之见贡献给读者。

众所周知，要谈QC就要谈纠缠态(quantum entangled state)，而这概念发源于1935年的EPR论文[4]。正是在该文中Einstein仔细叙述了他基于相对论理念而提出的局域实在论(theory of local reality)，实际上也表达了他对量子力学(quantum mechanics，QM)的不满。EPR论文强调物质和客观世界独立于任何科学测量而存在，而且物质实体之间的相互影响都是在时空局域的，不可能有超距作用的物理现象发生，不可能超过光速。……然而，QC技术后来竟然在EPR思想相反的物理基础(即QM)上发展起来，其进展堪称蓬勃。那么，人们自然会问：是EPR正确还是QM正确？QC的可信度如何？对于这些问题，笔者在[3]中已有清晰的陈述。简言之，该文肯定了自己对QM的信任，认为它作为QC的物理基础没有问题；承认研究QC的必要性，但反对说它“无条件安全”。对于愿意研读本文的读者，建议把文献[3]找来先行阅读。

2 现代通信技术的安全性要求

然而，近年来量子计算(quantum computation)的发展造成了新的局面。在量子状态下，微粒可进入叠加态，意思是说可同时处于0、1两种状态下。因此量子计算机的可计算数为2N(N是量子比特的位数)。也就是说，如用量子叠加态处理信息，量子比特数为N的存储器可存储2N个数，或者说1次量子运算即可处理高达2N个输入数字。1994年P.Shor[7]提出了在量子计算机上实现素数分解的有效算法，可在几分之1秒内实现1000位数的因式分解。因此RSA体系的1024位密钥在今后会被量子计算机破解，这只是时间早晚的问题。正是在这种背景下，量子通信发展起来。……笔者认为，它指的不是仅靠量子技术的帮助下在通信装备上所作的改进，而是基于一种全新的原理。因此，不是可以随便就说某国(或某单位、某人)实现了量子通信。另外，它必须是保密性极好、安全性极高的通讯方式，否则就没有存在的价值。因此，我们其实只应认同词组quantum secure communication(QSC)，即量子保密通信。只是为了省事，才简称其为quantum communication(QC)，也就是量子通信。其根本目标是为了应对几年后目前的密码技术可能被量子计算机攻破的形势。

3 量子通信的定义及几个主要方法

虽然关于QC的正面宣传材料非常多，有关文献(论文、书)也很不少，但笔者感觉对于“什么是量子通信”这样的基本问题，似乎仍然缺少严格定义，从而造成了人们的疑问。例如有一种说法是：所谓“量子通信工程”主要是基于光子偏振态的量子密钥分发，搞的是量子加密而非量子通信。那么到底什么是量子通信？

表1 量子通信的3种基本方式

许多材料的叙述都把QC归结为两个要点：一是利用量子态加载信息，二是使用量子力学原理保障通信安全(防止窃密)。这样说显得过于简单，我们挑选QC的主要方式作具体分析。表1是笔者选出的3种方式；2017年杨璐等[8]的论文显示，表1中的量子隐形传态通信(QCUQT)虽列为一种方式，但它并不比量子密钥分发(QKD)更有优势。在笔者的印象中，虽然量子隐形传态(quantum teleportation)在科学实验领域常常耸人听闻，但并不是一种较成熟的公共通信方式(仍处在设计和讨论实现方案阶段)。因此，以后我们略去不谈。

量子密钥分发(QKD)既是最早的、也是最常用的QC通信方式。表1中已给出了QKD通信方法的原理，以及其保障安全的方法；对此可以作更通俗的解释——假设Alice(发送方)要与Bob(接收方)通信，Alice发出一个一个的光子，依靠光子极化状态以加载密钥信息；假设Eve企图窃听，这是一定会被发现的，复制和测量都会被察觉。一方面，Heisenberg不确定性原理造成Eve在不知Alice编码基情况下无法准确测量获得量子态的信息；另一方面，Wootters量子态不可克隆定理使Eve不能复制1份量子态在得知编码基后作测量，故Eve必有明显的误码。总之，Alice和Bob都会知道通信被窃听；这时即废掉原有密钥，双方另用新密钥。……由于仍然需要使用经典通道传送信息，这种QKD确实是一种量子加密技术，不象是量子通信。

但还有另一种方式：量子安全直接通信(QSDC)；从表1所述情况看，它才是真正的量子通信，因为它根本不用经典信道。因此必须承认真正的量子通信是存在的，而QSDC无论从学理上或实际应用上看都有特别重要的意义。只是由于通常用QKD作为QC的代表，引起质疑是不奇怪的。

4 量子通信发展过程简述

QC对光子特性的利用，从极化(偏振)、相位、自旋方向下手均可，即有多个自由度可资利用。1984年C.Bennett和G.Brassard[9]提出利用光子偏振态以传送信息的量子密钥分发方案(BB84协议)，成为量子通信发展的开端。因此，所谓量子通信，至今只有34年历史。为什么说它是QC的开端？因为它是利用量子态来协商临时密钥，把密码以密钥形式分配给收发方。BB84采用4个量子态作为信息载体，它们分属2组共轭基，每组内的两个态互相正交。发送者先随机选择一串二进制bit(如1001110101)，再随机选择转化为光子偏振态时的基(垂直的或斜的)；接收者对收到的每个光子随机测量其偏振态并转换为二进制bit；收发端协商后保存的结果，进行协商后得到安全密钥(例如1101)。1989年Bennett小组用实验实现了在自由空间的QKD，虽然传输距离只有32cm，传输速率只有10b/s，但这是世界上最早的量子信息传输实验；因此BB84是有历史意义的。但是很显然，BB84中没有应用纠缠态概念。

1991年，英国牛津大学的A.Ekert[10]发表论文“Quantum cryptography on Bell’s theory”，最先按照EPR光子对的纠缠性质构建bit串，形成真正的量子比特串。这个量子密钥分发协议被称为E91协议，它比BB84协议前进了一步。

通常在QC文献中会提出BB84是“无条件安全”，其理由可转述如下：在收发方采用单光子的状态作为信息载体来建立密钥。由于窃听者不能分割和复制单光子，只能截取单光子后测量其状态，然后根据测量结果发送一个相同状态的光子给接收方，以期窃听不被觉察。但测量会对光子的状态产生扰动，其发送给接收方的光子的状态与原始状态不同，故发送方和接收方可探测到窃听行为，因而保证了QKD的无条件安全。……然而对BB84的安全性一直存在质疑，例如它要求使用理想的单光子源；但这种源并不存在，可能用超弱激光脉冲来代替。这种脉冲中包含的光子数如大于1，就会构成安全隐患。总之，单光子源非理想对BB84的价值影响较大，说它“无条件安全”是靠不住的。

表2给出我们搜集整理的1991～2005年间的QC实验情况，可以看出在11例中只有2例是在自由空间进行实验的。表1说明西方科学界对进行QC实验很积极，中国其实只是跟进。到2005年，在国际上已有3个国家的研究组声称可将QC距离用QKD方式达到百公里级通信距离。

表2主要是使用BB84协议的。前已述及，由于没有理想单光子源，而弱相干光源造成多光子状况，因而有Brassard自己指出的“分离光子数攻击”——Eve从多光子中截取1个以窃取密钥。计算表明在距离超过10km时已是非安全的，所谓百公里级QC没有多大意义了。

表2 1991至2005年间的QC实验

续表

QC实验中都是用激光作强力衰减后而获得近似单光子源，而这种极弱光源的光子数仍服从Poisson分布，这就造成了被窃听的隐患。由于实际上没有真正的单光子源，Alice处可能存在多光子。Eve可以监测所有脉冲的光子数，从多个光子中留下1个保存起来，其余光子仍到达Bob处。Eve一方面监听Alice与Bob的通信，然后测量所保存的光子；并形成光子数目分割(PNS)攻击。……解决之道，或是研制理想单光子源(这非常难)，或是构思设计新方法。

QC的固有弱点是它依赖于激光。激光被调到超低超度时还会有别的现象——意外地复制光子。第一个光子可被加密，但第二个不能。因此，在BB84、E91阶段就急于说“绝对安全”，很不合适。

2002～2005年间出现了诱骗态QKD[11-14]——利用信道的随机性，产生一个只有收发双方知道的密码；为了防止窃听，在发射时再插入一些诱骗码。使Alice有一个信号源S和一个诱骗源S′，信号源的平均光子数N

自2004～2005年以后，各国研究者纷纷采用诱骗态原理建立QC系统，利用相干激光光源就可以得到和理想单光子源几乎一样的安全性和效率。因此，笔者认为2005年才是有实用意义的QC技术的起始(元)年，故真正的发展迄今只有13年。表3是2004年以后的几个国家的QC实验实例，其中有2006年美国Los Alamos实验室的工作，使用了诱骗态方法，采用相位编码，但增加了模式控制以随机产生信号脉冲、诱骗脉冲、空脉冲；通信距离107km。2007年至2009年间国内也有多个实验报道，例如2007年清华大学与中科大联合团队用光纤系统实现诱骗态量子密钥分发，采用极化编码，通信距离102km。因此，到2006年至2007年，百公里级QC实验的成功较为可信了。

总之，基本的QKD技术可分为两大类：①基于单光子的制备—测量(prepare- measurement)类型；②基于量子纠缠类型。在表3中，有*标记者为类型②，其余均为类型①。

在研究诱骗态技术的同时，另一项技术——量子安全直接通信(quantum secure direct communication，QSDC)发展起来，时在2003～2007年[17-20]。在这个方案中，接收者收到传输的所有量子态后可直接读出保密信息；由于量子数据以块状传输，发送者、接收者可做抽样分析，以此判断安全性。这种直接的信息传输没有加密、解密过程，我们已在表1中简述其原理。虽然应用纠缠光子对可实现QSDC，但也可以依靠单光子。对前一种情况，直接用纠缠态作信息的安全传输，不是生成密钥。它依靠光子对承载信息，还要有量子存储器，实现比较困难，因此一直未有实验。2017年10月，清华大学研究团队发表“长距离QSDC实验”论文[21]，报道了实现的较长距离(现时0.5km、预期几十km)的首个光纤实验，用于信息编码的双极化纠缠的量子态精确度(quantum state fidelity)为91%及88%。用基于光纤的光通信波段量子光源，并利用光纤做量子存储器，第一次对这个协议进行了原理论证。光纤传输距离达到500米，说“长距离”是针对以前基于单光子的QSDC实验而讲的。这在国际上是最先实现光纤传输的QSDC实验。但这只是以实验实现Bell态的区分，从而论证了系统的编解码功能，没有对Bell态进行动态调控。论文中量子态的fidelity是指Bell态传输后保持在特定态的可信度，即Bell态测量的成功几率。90%左右是这类Bell态测量的一般水平；当然若从通信角度，它对应的误码率太大。因此，这只是个论证性实验。笔者认为此实验很重要，是在使用纠缠光子对的条件下验证了QSDC协议的可行性。

表3 2004年以后的几个国外QC实验实例

现在把本节内容作一小结。量子通信有两大类型：①基于单光子的制备—测量型的QC系统；这又分为用自由空间作量子信道的(1989年美国IBM公司的最早系统，传输距离只有0.32m)和用光纤做量子信道的(1993年英国国防部的系统即此)两种。②基于纠缠型的QC系统；也分为用自由空间作量子信道的(2007年奥、德的QKD传输距离达144km)和用光纤做量子信道的(2009年奥地利的系统即此)。量子信道完成量子态的传播，实际应用较多的是光纤量子信道。……对于QC实验，目前较成功的也是两类：(a)同时使用纠缠态和诱骗态的QKD系统；(b)同时使用纠缠态和诱骗态的QSDC系统；相信它们能较好地在实际中应用。是否“无条件安全”？仍然不能那么说。

5 使用卫星的量子通信

上节内容主要讲使用光纤的QC技术，但对光纤量子信道有更多的问题需要考虑。突出的事情是光纤对量子信号的损耗的作用，以及光纤色散等效应的影响，会造成信号消失、量子比特消相干，从而限制了量子通信距离。由于单量子态不能放大，用光纤传输时通信距离受损耗限制，现在最高纪录是400km。因此，基于卫星平台的自由空间量子信道似乎更好，这也被称为大气信道。

中国研究人员决心走使用卫星之路，其基本考虑有两点[22]：①在同样距离下光子在光纤中的损耗远高于自由空间的损耗。光子在自由空间的损耗主要来自光斑的发散、大气对光子的吸收和散射，远小于光纤；②受到地面条件限制，很多地方无法铺设量子通信的专用光纤，因此要建设广域量子通信网络，必需依赖卫星的中转。2011年“量子科学实验卫星”课题在中科院立项，参加者有多个科研单位(表4)；这是需要许多科技工作者参加才能完成的任务。

表4 量子科学实验卫星研制分工(2011～2016年)

“墨子号”2016年8月16日发射升空，它有星载诱骗态量子光源。它的预定任务是，在高精度捕获、跟踪、瞄准系统的辅助下建立地面与卫星之间超远距离的量子信道，实现卫星地面之间的诱骗态量子密钥分发，开展“无条件安全”的星地量子保密通信实验。其量子密钥初始码产生率约为10kbps。

2018年3月出版的《前沿科学》杂志说，在2017年底科技部主持了一个评比(选出“2017年中国科学十大进展”)，名列第一的是“实现星地千公里级量子纠缠和密钥分发及隐形传态”。在对成果的陈述中，提到“实现了空间大尺度上的量子力学非局域性检验”，“实现了千公里级量子密钥分发和地星量子隐形传态”，“突破了抗强度涨落诱骗态量子光源”，“突破了空间长寿命低噪声单光子检测”等。这样的成果陈述似乎未强调“无条件安全”。

那么真实情况究竟如何？中科大团队有一段话是这样的：“星地之间大部分路程接近真空，光子的损耗率要比在地面光纤中小得多，理论上将是构建实用化全球量子保密通信网络最可行方案。但潘建伟也曾吐露难处：‘有时候想，也许我们的项目将会崩溃，从不工作。卫星飞得那么快(v≌8km/s)，还会遇到大气湍流等问题——单光子光束会受到严重影响。此外，必须克服来自太阳光、月球和城市光的噪声影响，这是比我们的单光子强得多的背景噪声。”研究团队每晚只有5分钟的时间窗口，此时卫星轨道高度大约500公里，其信号能够同时被两个地面站接收。在卫星发射伊始，就已经能够实现每秒进行一次量子纠缠。潘还说，目前主要的挑战是，如何在白天(光量子非常多的情况下)分辨并接收量子卫星的信号，以实现量子通信”(以上引文中着重点为笔者所加)。

从这些话我们看出以下几点：①对卫星通信而言，两个单光子组成的光子对，基本上只能在黑暗的夜晚执行QC任务；②即使在夜晚能工作的时间也很短，例如只有5min；③量子纠缠并非任何时刻都能实现，而要取决于人员的操作；④由于背景噪声的干扰，单光子光束的工作在白天会有很大困难。……

情况既然如此，笔者觉得问题就大了。通信必须先有可靠性，即收发方作稳定持续的信息交换；然后才考虑安全性，即这种信息交换会不会被人窃听。如保证不了可靠地通信，讨论安全与否就没有意义。我们不知道后来是怎样解决的，看到的只是正面报道；例如在卫星发射1年后中国科学院的科学家们说：“一年里我们在构建‘量子网络’之路上迈出了三大步：实现了从卫星到地面1200公里距离的量子密钥分发；从地面到卫星的量子隐形传态；以及进行量子保密视频通话的第一组实验。得益于此，我们将通信质量提高到光纤通信的20倍。”中科院称，墨子号已第一次用于实际通信。中科院院长白春礼与奥地利科学院院长Zeilinger进行了世界首次洲际量子保密视频通话。这次通话使用的量子密钥先通过京沪干线北京控制中心与墨子号卫星河北兴隆地面站连接，然后通过墨子号进入奥地利地面站。京沪干线是一条连接北京、上海并贯穿济南和合肥的量子通信骨干网络。拥有量子通信地面站的维也纳和格拉茨之间也有类似的网络。这些网络和墨子号帮助在北京和维也纳之间建立了连接，从而实现两位科学家的量子保密视频通话。

另外，在2018年春季有新闻报道说：“2017年9月29日世界首条量子保密通信干线(京沪干线)开通。同日，它与墨子号卫星链接，形成了洲际量子保密通信线路。”2018年1月有报道说：研究人员对照片进行量子加密后，将它们成功地在北京和维也纳之间进行了传输，传输距离达到7600km；接下来，两座城市的研究人员又举行了历时75分钟的视频会议，也是通过量子密钥进行加密。传统的密码系统是利用两个极大的质数相乘产生的积来加密，这会花费很多时间并耗费太多计算机处理能力。量子系统是通过将数据交流仅限于两方——发送方和接收方，而采用了更简单的方法，纠缠光子被发送到两个事先用特定偏振态进行编码的站点。卫星利用测量偏振态创造安全密钥，站点可利用安全密钥加密或解密数据。这在技术上是不可破解的，因为使用者可以很快察觉到第三方的出现：任何窃听者不改变它、甚至是不摧毁它就无法看到这些光子。也就是说，量子力学的原理使得传输在不被发送者或接收者发现的情况下被截获是不可能的。

这样的报道可能是过于乐观了；潘建伟是“墨子号”卫星项目的首席科学家，我们仍然想知道他怎么说。在2016年的某次采访中，有关文章说[23]：

“墨子号量子通信卫星作为天地一体化的空间中转站，承担着发射和传输光信号的重要任务。如何保证距离地球表面数百公里的光信号能够顺利被地面光学天线接收，潘建伟形象化地解释道，这其中涉及到的关键性实验技术的难度就好比是‘针尖对麦芒’一样。他说，由于卫星发射的光信号是极其微弱的单光子级别，在由空间向地面传输的过程中会受到许多因素的干扰，比如星光、灯光等都将成为干扰信号传输的背景噪声。此外，卫星的运动速度很快，地面的光学天线必须时刻紧跟卫星的节奏才有可能实现信号的准确接收。所以，在墨子号量子通信卫星的设计过程中，不仅要克服各种噪声的干扰保证信号源的稳定，同时还要实现与地面光学天线的准确对接。尽管是如同针尖对麦芒般苛刻的实验条件，但是在我国科学家的不懈努力下，如此困难的技术难题也依然得到了解决。”

在2016年潘先生撰写的文章中则说[24]：“当然，若要实现高效的全球化量子通信，还要进一步跨越一系列难关。由于单颗卫星无法直接覆盖全球，实现全球化量子通信还需要卫星组网，这就不可避免地有星地通道暴露在太阳光的强烈背景下。量子通信的传输载体是单光子，能量是非常微弱的，而太阳光含有大量的光子，每次探测能进入到探测器内部的大概有1018个光子。这相当于要从1018个光子捕捉到其中想要的那一个，技术难度可想而知。这需要选择在太阳辐射相对较弱的波段进行量子通信，同时还要发展对应波长的频率转换技术和高效的单光子探测技术等。另外，卫星组网还需要发展卫星之间的量子通信，由于卫星间的距离往往比较远，还需进一步提升跟瞄的精度。”

这些说法比较具体明确，但尚不能消除笔者对于“使用卫星的QC技术能否保证持续稳定的通信”的怀疑。例如，要从1018个光子中捕捉到其中想要的那一个，不是技术难度大，而是根本不可能。即使把这个数字降为108个，实际上仍是不可能。

6 量子通信与单光子技术

光子是一种非常特殊的微观粒子[25-29]。由于在QC中使用单光子技术，整个情况更为复杂。众所周知光子不是一个物质粒子，在本质上是能量子。这来源于光子的原始定义[25]，其基础是Planck的量子理论(1900年)和Einstein用光子假说对光电效应所做解释(1905年)。对这个能量子怎么看？物理学家们一直都十分为难，Einstein本人甚至说“历经50年思考”也不能使自己明白光子到底是什么[26]。必须承认光子不是经典的东西，例如它决非一个圆形的刚性球；虽然人类很容易在脑海中这样想象光子，但它是错误的。实际上，没有人能给出光子的具体形象。

但光子并非只存在于数学方程式中，许多实验已证明其真实性，并且在科学实验中已广泛使用光子。然而又没有办法真实地掌握和掌控光子本身，因而只好通过光脉冲(即在时间轴上实际显示其强度和宽度的光信号)，来体现对光子的掌控。

这种作法带来了新的困难——对光脉冲与光子关系的把握。通常，1个光脉冲中包含有多个(或很多个)光子。那么可否把事情简单化——使1个光脉冲就包含(或说代表)1个光子？从理论上讲不是没有可能，实际上却极其困难；人们就把这种情况称为理想单光子源(perfect source of single photon)，并成为实际运用(例如量子通信QC)时追求的目标。很显然，技术应用中的源都是近似单光子源；这时1个光脉冲可能包含多个光子(多光子脉冲)，极端情况下也可能没有光子(空脉冲)，这是实验者都要努力避免的情况。

QC中诱骗态的提出正是因为单光子源非理想所造成，由此可看出：要讨论QC的安全性，就必须考虑源的质量。有一个有用的概念——可预报单光子源，大意是说先产生相关联的双光子(这在技术上比较成熟)，然后由对1路光子的探测预报另一路单光子的存在。这方面的理论研究表明，其安全通信距离可能接近于用理想单光子源时的水平。此外，研究也证明诱骗态QKD的使用使系统的性能提高。有文献甚至说，在没有理想单光子源条件下，采用诱骗态QKD可实现绝对安全通信，其距离相当于采用理想单光子源时的情况。……另外，为了可预报单光子源的研究，清华大学于2003年制成了最早的微结构光纤(MSF)[30]，并利用其本征双折射效应直接产生偏振纠缠双光子，在此基础上可以开发可预报单光子源，在保证单光子输出的基础上有效地避免空脉冲。

总之，可预报单光子源与弱相干光这两种光源的诱骗态量子密钥分发都可以更好地估计出单光子的通过率和错误率：所以都可以提高安全通信距离。但这些都是技术层面的问题；我们更关心的是，在QC技术中尤其是在使用卫星的情况下，究竟能否成功地运用单光子？为了使认识深刻化，仍然先以光纤系统作为讨论的基础。

对单光子而言，可以依靠偏振或相位或频率的改变来携带量子信息；也就是对单光子作量子编码(quantum encoding)。因而信道中传播的是量子态的变化。这并不意味着仅有1个光子(only one photon)，因为那样的信息比特能量水平非常低。对这个问题笔者曾与李志远研究员讨论，他用email回复说：

“量子通信特指量子保密通信，即量子密钥通过量子通道传输，而信息通过普通信道(如光纤)传输。量子密钥由一系列单光子构成，对其量子态比如水平和垂直偏振进行合适的调制，形成量子密钥。如果在传输的过程中遭到窃听，其密钥串的状态(即某个单量子的状态)一定会发生改变，可以被检测出来。

现在来看量子通信的实际技术瓶颈，先对比经典的光纤通信。数字信息是由一个个的比特组成，每个比特在光纤通信系统里面由一个激光脉冲代表，由半导体激光器(通常为面垂直发射激光器VESEL)阵列发射，经过主动调制(构建脉冲激光器)或者被动调制(对连续激光经过调制)的方式耦合进入光纤。对于一个pJ的1.55um激光脉冲而言，其包含108个光子；而对于一个fJ的激光脉冲而言，其包含105个光子。这么高能量水平的信息比特，很容易在光纤传输(存在低水平但是不为零的损耗)中保持其信息的完整性。另外，激光脉冲被高性能光电探测器(比如III-V族半导体)接收变成光电流脉冲信号(即光信息比特转换为电信息比特)后，虽然现有的光电探测器接收效率远低于100%的水平，加上探测器自身的散粒噪声和热噪声等，但是激光脉冲比特的能量水平保证其在光电转换过程中维持极高的信噪比，从而保持信息的完整性和可靠性。

再看量子通信；由于携带信息的是经过量子编码的单光子，其能量是普通光纤通信的信息比特的10-5水平；但在传输信道以及半导体光电探测器方面和光纤通讯共用技术平台，单光子通信不可能保持信息传输及转换的完整性，通俗地说，发送方的信息比特串(01011011…，)是不可能(或者说概率极低)在接收方变成(01011011…)的。虽然量子通信研究人员没有很清楚地公布其编码方式，我估计要很多单光子在一起才构成一个信息比特。

从以上简单对比可以看出，所谓的量子通信或者单光子通信在实际上存在巨大的技术困难。要想达到理想的单光子量子比特的编码、传输和接收完整性和可靠性，现有的技术能力是完全做不到的。至于其他的衍生品，如量子雷达，物理上讲也是不可能的。当然，如果信息比特是由许多单光子(如一万个光子)构成的，那么就是偷换概念了。”(着重号均为笔者所加)。

李志远先生的分析非常精辟，并且深入浅出、通俗易懂。2017年中国科学院曾发布一个新闻稿，其中有一段话说：“传统公钥加密通常依赖特定数学函数的求解难度。相比之下，量子密钥分发采用处于叠加态的单光子来确保相互远离的各方之间的无条件安全。”中文表达语“单光子”容易引起误会(以为只有1个光子)，如用英文表达(single photons)就很清楚——原来是多个单光子，在QKD中一个一个地发送(见表1)。不过我们不清楚究竟要用多少个单光子(李志远也不清楚，104个是举例而言)。至于信道的依托，为了持续稳定的通信，应当是光纤系统较为可靠。卫星系统能否在白天通信？令人怀疑。

7 挖掘单光子应用潜力的研究进展

前述内容使我们认识到在QC的发展中研究和运用单光子技术的重要性。实际上，谁都不可能在没有学会产生和操控单光子时奢谈掌握了QC技术。本节介绍两个研究方向——弥补光子丢失的探索和超级纠缠态的理论与实验，其意义是进一步彰显单光子研究对提高QIT能力的积极作用，是光子的应用潜力不断被挖掘出来的见证。

2018年1月5日英国《每日邮报》报道说，澳大利亚Grifes大学量子动力学研究中心的研究人员把重点放在解决下述问题上——在光子传输过程中通过吸收或分发而丢失光子，则可能威胁到通信系统的安全性。随着量子信道的长度增加，顺利通过通信连接的光子越来越少，因为不存在完全透明的物质，吸收和分发会对其造成影响。这对于现有量子非局域性验证技术来说是一个问题。每丢失一个光子，就使窃听者通过模拟量子纠缠攻破网络安全设置变得更容易。解决的办法是，挑选在高损耗信道幸存的光子，将它们通过量子隐形传送传输到另一个“干净的”量子信道。为了完成量子隐形传送，研究人员额外增加了成对的高质量光子。必须高效率发送和探测这些高质量光子，使其能够弥补光子丢失。在工作中，研究人员使用了与美国国家标准与技术研究所联合开发的光子源和探测技术。

1997年P.Kwait[31]提出超级纠缠态(hyper-entangled state，HES)的概念。当一个光子对在超过单自由度(one degree of freedom)上呈现纠缠时，就发生了超级纠缠现象，而超纠缠光子对(hyper-entangled photon pairs)可携带更多信息。

我们知道，实际的单光子通信利用了光的特性——偏振(极化)作用，即随着其电场的空间变化，单个光子在某一时刻必须有两种极化状态之一(0或1)。简单的光学设备就能“读出”单个光子的这种极化属性，因此，在最通常的情况下，一个光子可以编码入1 bit信息。不过，科学家可以利用非线性的量子纠缠态来实现量子密集编码，增加单个光子携带的内容，从而实现单光子携带1.585bit。

2005年至2008年，美国科学家J.Barreiro等[32，33]打破单光子携带信息量纪录。Barreiro等人采用新方法——两个光子不仅拥有自旋纠缠，而且被赋予了轨道角动量，这让它以螺旋状轨迹运动。虽然该过程并没有额外编码什么信息(携带信息的依然是极化方向)，但这一光子“扭曲”能够让接受端梳理出密集编码方式中的4种状态。结果每个光子携带了1.63bit，增加了3%。增量虽不大，但从理论上说，最大可能的信息量是单光子携带2bit，故还可提高。

清华大学黄翊东团队近年来在hyper entanglement方面开展了研究[34]。众所周知纠缠光子对是QIT技术(包括量子通信、量子雷达、量子计算)的重要信号源。文献[35]说，可以用一定方法造成超级纠缠光子对，例如使用硅微环腔(silicon micro-ring cavity)，以及4波混频(four wave mixing)法，就可以产生这样的光子对。文献[35]则从理论和实验上进一步作阐述；这些工作都是使用光纤的。

8 量子通信是否能做到“无条件安全”

现在我们要面对最困难也最有分歧的问题了——QC技术是否真的“无条件安全”？尽管有许多质疑，但QC业界人士至今并不改口。例如2018年邓富国等[35]在论文中说：“量子通信将更早地全面进入人类生活，提供绝对安全的机密通信方式。”早在2013年，国内《量子通信》一书就说“量子通信技术具有的高速、超大容量和无条件安全使其具有无与伦比的发展潜力和应用前景”[36](以上引文中的着重点均为笔者所加)。如果在2013年说“无条件安全”、“无与伦比”尚情有可原，到2018年仍说“绝对安全”就很值得商榷了。

2018年6月8日出现的文章“质疑量子通信，对弥补‘中国科学精神短板’是好事”，其中有一段话引起笔者注意：“一位著名院士在两会上说，经过10-15年的时间，量子通信工程将走进千家万户。他同时又在许多场合表示过量子通信‘无条件安全’。这些话合在一起不符合常识，因为任何国家都不会允许—种‘无条件保密’的技术进入千家万户，这显然会被反政府、恐怖分子利用，构成对国家安全的挑战。公众甚至媒体对这样的说法感到疑惑是正常的。”对此笔者有如下理解和想象——假定有一伙恐怖份子阴谋作个大案，他们分散各处通过通信制定计划协调行动；由于使用了“绝对安全”的QC技术，公安人员虽有线索但却不能监听到真正有用的信息，以致阴谋得逞。这样一来，先进的QC技术竟成了坏人的帮凶。

我们必须单独考虑“无条件安全”的可能性问题。通常的正面宣传是这样说：量子不可复制的特性，是量子通信安全性的根本来源。窃听者如果想拦截量子信号，就要对其进行测量，而这将破坏携带密钥信息的量子态，从而被发现。因此这种不可窃听不可复制的信息传输方式，可以保证信息传输的绝对安全。这是唯一一种从物理上保证信息安全的方式，和过去以计算复杂性为基础的传统密码通信相比要高明得多。

另—种说法则为：在量子通信过程中，量子被测量时会发生状态的突变，通信双方一旦发现状态有变就会停止通信，因此窃听确实会阻挠通信。但这并不等于量子通信没有用。首先，这种敌对的阻挠是一次性的：其次，跟安全但可能被阻挠的量子通信比较的对象，应该是畅通但可能泄密的传统通信。与通信被阻断相比，泄密更不可取。尤其是在安全性因素压倒一切的特殊需求中，量子通信的地位无可替代。

这两种说法大同小异，但这只是“你搞窃听我们会知道，就暂不通信了”；而不是“你根本窃听不了我们持续不断的通讯。”这两者显然是不同的。……如前所述，诱骗态的发明和使用本身就是对“无条件安全”说法的否定。另外，理想化单光子源也根本做不出来。所谓“QC从原理上天然地无法窃听”的说法，其实与QC技术发展的实践并不相符。笔者认为，我们现在只能从下述观点中两者择一：

——承认QC在构成原理上有天然优势；但认定在技术上无法保证绝对的反窃听，因而不追求无条件安全；但认为可做改进可能性的努力。(此为较乐观的看法)。

——认为无论从原理上讲，或从技术上讲，QC都不可能是绝对安全的；故其相对于传统通信的优势尚待证明。对它的工程开发，可能成功，也可能失败。(此为较悲观的看法)。

那么，在涉及通信安全问题上，量子通信科学家目前的动向是什么？2018年邓富国等[35]的论文可以给出回答，该文论述了QC如何做光量子态避错传输及容错传输的问题。文章说，通常将可能对量子系统造成扰动的外界因素统称为噪声，噪声造成量子态出错(error)。为减少或消除错误，人们提出了一些有效的对抗噪声的方法。处理噪声影响首先要确定出错位置，发现错误；随后对于不能或不易纠正的错误采用避错方式抛弃出错样本，对于可以纠正的错误进行纠正修复。此外还有一类方法可以通过设计使错误自动抵消，实现容错通信。文章还论述了有代表性的对抗噪声的理论方案。论文没有说已对方案进行实验，给人的印象是QC业界科学家实际上认为通信安全问题并未解决，还有很长的路要走。……因此，对于QC的“天然安全性”的说辞，媒体和科学期刊都不要再重复了！

还应指出，中国的研究团队已诚实地承认，墨子号卫星同地球之间的联系仍非绝对安全。正如他们的论文所说，缺陷在于卫星本身。只有通信方相信没有怀有恶意的宇航员秘密闯入卫星，从源头读量子密钥，这个系统才没有问题。

9 结束语

在物理学的多个学科中，量子力学(QM)被认为是最难懂的。长期以来QM被看成象牙塔中的学问，现在突然来到了广大公众身边。对于QC，人们在脑海中大致形成了如下的层次——首先认为我们已习惯于享受方便快捷的通讯，主要使用光纤系统和卫星系统；但传统通信的保密性不够好，因此科学界又献出了新技术——量子通信(QC)。这个QC仍要利用过去的工具(光纤和卫星)，但它的新颖之处在于用量子方法实施通信，从而受到量子力学和物理定律的保护。因而现在人类有了理想的通信方式，大家只要和过去一样等着享用就可以了。

这种看法是天真的；但是，有的国际名刊也这样说，只是多用了一些专业性词语。2018年1月19日出版的《Phys.Rev.Lett.》刊登论文，重点叙述了中国在量子加密技术方面的突破。文章说，从历史上看，密码技术的每次进步都已经被破解技术的进步所打败。量子密钥分发终结了这场战斗；就像现代计算机中用以打开加密文件的密码一样，量子密钥也是一些长字符串，但它们被编码在量子粒子的物理状态中。这意味着它们不仅受到计算机极限的保护，同时还受到物理学定律的保护。现在，量子密钥可以通过卫星传输，对相隔万里的城市间发送的信息进行加密。

这种说法似是而非，掩盖了真实情况下的逻辑矛盾。首先，PRL刊物所讲的只是量子加密，但什么是量子通信？它没有说。其次，PRL当然知道诱骗态的发明和使用，那么一种“天然保密”的通信方式为何要这么麻烦，岂非多此一举？再次，用卫星传输电磁波是很方便的，已成功运用了很多年；但现在是用卫星传送单光子串序列(series of single photons)；正如本文所述，能否在白天进行持续稳定通信都还不敢肯定(这是QC的短板之一)，怎么就这么方便地联络“相隔万里的城市”了？考虑问题时的简单化、理想化令人吃惊，而且发生在像PRL这样的名刊上。

笔者这样说并非否定发展QC的辛劳与成绩。从本文内容可以看出，QC的发展经历了漫长的过程。经过多国科学家的巨大努力，才达到今天的研究规模。QM经过90年的锤炼，虽然不能说它完全没有问题，但其基本物理思想是正确的；它终于走出象牙塔而与信息科学相结合，是一件大好事。把量子纠缠态当作一种资源加以利用，也是极聪明的一着好棋。总之，QC有可靠的物理基础，多国科学家献身于此无可指责。然而，说量子通信无条件安全则与事实不符。

回顾QC技术的整体发展并作深入思考后，笔者得出的结论如下：

(1)量子通信是量子力学与传统通信相结合的产物，是独特的、非常值得研究的新通讯方式；但其安全性、保密性究竟如何，还有待实验证明和应用考核。任何技术均不能说自己能保证无条件的通信安全，QC亦不例外。

(2)在现时不能丢掉传统密码技术；不仅不能抛弃，还应继续深入研究，持续为用户提供安全保障。未来或许由传统密码技术和量子加密技术共同担负保障通信安全。

(3)对传统通信系统和量子通信系统，应从各方面作全面比较，看两者的通信距离、通信速率、误码率，以及经济性、适用性等方面的情况，才能令人信服。又例如传统密码系统可以保证信道安全，但不能保证信源安全；而量子加密也不能解决信源安全的问题。

(4)使用卫星的QC技术能否保证持续稳定的通信(特别在白天)？仍是一个令人担心的问题，至今尚缺乏清晰的理解。单光子产生技术和在科学实验中的运用都是真实的，不必怀疑；但它能否在重要的工程技术中担任可靠的角色，不能肯定。

※ ※ ※

致谢：在撰写本文过程中，笔者曾与几位专家(清华大学冯正和教授及张巍研究员、中科院物理所李志远研究员)讨论，获得有益的启发，谨此致谢！