龙桂鲁 潘栋

(1.清华大学低维量子物理国家重点实验室，北京 100084；2.北京量子信息科学研究院，北京 100193)

0 引言

在当今的信息化时代，网络空间已成为国家继陆、海、空、天外的第五疆域，网络安全关乎国计民生。发展保密通信技术，使信息能安全地传送到目的地，对保障网络安全具有重要意义。

经典保密通信是通过对信息进行数学加密来保证安全的，比如一次一密方案(One-Time-Pad)，它是用与消息长度等长的完全随机密钥加密待传明文，密钥只使用一次。只要保证了密钥的安全性，无论使用什么样的强大计算工具也无法破解。一次一密加密方案具有完美的安全性，但对密钥资源消耗巨大，一旦密钥使用完毕，就无法继续保密通信，因此该方案虽很安全，但实际上很少使用。现在广泛使用的经典密码体系是建立在难以破解的数学问题基础上的，分为对称密码和非对称密码两大类。非对称密码又叫做公钥密码，如大整数因子分解的RSA[1]加密体系。随着现代计算机计算能力的不断提高，尤其未来量子计算机的发展，其安全性受到了极大的挑战。很多研究已经证明，量子计算机使得现在广泛使用的公钥密码体系(如RSA和椭圆函数方法)完全失效，对称密码的安全性也被降低，如高级加密标准(Advanced Encryption Standard，AES)密码的长度需要加倍才能获得同样的安全性。

寻找可以抵抗量子计算攻击的安全传输技术成为人们亟待解决的问题。一方面，经典密码学发展了新的密码方案，叫作抗量子密码。以美国国家标准局为主导征集抗量子密码候选方案的行动到2020年7月已经进入到第三轮，一旦确定最终方案，将推广使用。抗量子密码是对现有密码体系的发展，与互联网的许多业务兼容，相比其他密码体系更经济，因此受到欧美各国的重视。但是，像其他基于数学问题的密码体系一样，其绝对安全性没有得到严格证明，只是能确定到现在为止，尚未有公开的破译方法，但也应考虑到未来被破译的可能。就如负责抗量子密码项目的密码专家Dustin Moody所说，为预防将来有人破译一种抗量子密码，现在候选抗量子密码可采用多种方法，以便在其中的一种被破译以后，还有其他方案可以使用。另一方面，现代量子力学的发展为信息的安全传输提供了一种全新的工具，即量子保密通信。量子保密通信是利用量子态来进行密钥的协商和信息传输的，利用量子原理发现窃听，从而使得窃听者不能获得信息，来保证信息的安全。

通信理论中的“通信”指的是确定信息的传输，而量子通信的“通信”不是这样意义上的通信。量子通信泛指那些通过移动量子态实现信号、信息或量子态的传输和转移的量子技术，包括量子密钥分发(Quantum Key Distribution，QKD)、量子安全直接通信(Quantum Secure Direct Communication，QSDC)、量子秘密共享(Quantum Secret Sharing，QSS)等[2-3]。量子通信的安全性是由量子力学中的“不确定性原理”“量子不可复制定理”“量子纠缠”“测量塌缩”等来保证的。通信方能在通信过程中及时地发现窃听者，从而排除窃听或者阻止信息的泄露，实现通信的安全。

量子安全直接通信(简称量子直接通信或量子直通)是在量子信道直接传输机密信息的量子保密通信技术，改变了历史上保密通信中加密与通信分离的双信道结构[3]，建立了只用一条量子信道的全新保密通信框架。量子直通是通信理论意义上的通信，它将香农理论保证的噪声信道下的可靠通信，发展为在既有噪声又有窃听信道下的可靠和安全通信。经过20多年的发展，量子直通已经逐渐为通信界所接受。例如，2021年由国内外50名著名经典通信专家发表的6G白皮书[4]，肯定了量子直接通信在6G通信中具有巨大潜力。

本文将从量子直接通信的基本原理开始，介绍近年来量子直接通信的发展脉络及其从理论走向实用化的关键技术进展，最后对其未来的发展进行展望。

1 量子直接通信原理

2000年，清华大学龙桂鲁和刘晓曙提出了第一个QSDC协议[5]。该协议描述了如何使Bell态[6-7]将事先确定的密钥信息从Alice(信息发送方)传送给Bob(信息接收方)，具体步骤如下。

(1)Alice和Bob事先约定4个Bell态编码2 bit信息的机制，4个Bell态分别是：

(1)

(2)

(3)

(4)

它们分别编码信息比特00，01，10，11。按照上述对应机制，Alice根据待传输的信息制备一个纠缠光子序列，再随机选取部分用于检测的纠缠对，插入到上述纠缠光子对之中，构成如图1所示序列：[(P1(1),P1(2)), (P2(1),P2(2)), … , (Pi(1),Pi(2)),…, (PN(1),PN(2))]。

图1 高效QSDC协议步骤示意图[4]

(2)Alice从每一个Bell态中拿出一个光子组成一个光子序列[P1(1),P2(1), … ,Pi(1), … ,PN(1)]，那么每一个Bell态中的另一个光子将组成序列[P1(2),P2(2), … ,Pi(2), … ,PN(2)]。Alice将光子序列[P1(2),P2(2), … ,Pi(2), … ,PN(2)]发送给Bob。

(3)待Bob接收到Alice发送来的光子序列后，通过经典信道告知Alice他已经收到了光子序列。Alice对用于检测的光子对的标记为1的粒子Pi(1)进行测量，测量基矢为σz或σx，得到的测量结果将是0或1。Alice告诉Bob所进行检测测量的光子对的序列位置。

(4)Bob测量自己手中相对应的光子。例如，在图1中，Alice随机选中P1(2)进行了测量，那么Bob会对P1(1)进行测量。通信双方比对测量结果，判断是否存在窃听。

(5)如果通信双方确定不存在窃听，Alice将手中剩下的光子序列发送给Bob。

(6)Bob在接收到Alice第二次发送来的光子序列后，便拥有了Bell态的两个光子。Bob对对应的纠缠光子进行联合Bell基测量，读取Alice传送的信息和余下的检测信息。

(7)Alice公布余下的检测对的位置和纠缠对的状态，Bob对手中的相应结果进行检测，检查通信的可靠性。如果误码率低于一定阈值，剩下的联合Bell基测量结果将是被成功传送的信息。

这一协议常被称为高效协议，是一个将信息编码在纠缠对量子态的两步直接通信方案，具有容量大、效率高的优点，其效率比E91协议的效率高一倍[7-8]。

2 量子直接通信技术研究进展

2.1 量子直接通信的发展阶段

如表1所示，量子直接通信自2000年被提出后，经历了4个发展阶段：2000—2004年，提出概念与建立理论；2005—2015年，发展协议与应用探索；2016—2019年，原理验证与样机制备；2020年至今，产品研制与推进实用。

表1 量子直接通信研究发展阶段

图2 量子直接通信样机

量子直接通信的理论是由我国学者原创，早期的研究都是在理论方面，主要是提出基于不同形式的量子态载体的量子直接通信协议，以及发展量子直接通信的不同用途，如身份认证、直接秘密共享。目前，国内外学者都努力在这一领域提出具有自主知识产权的理论方案，占据创新制高点。受限于篇幅，本文主要选择表1中的代表性工作来凸显量子直接通信研究的发展脉络。上述发展阶段是宏观划分而得，近年来量子直接通信的发展呈现出理论与实验并重的趋势。2018年，清华大学周增荣、牛鹏皓等人[25-26]分别提出了与测量设备无关的量子直接通信方案，关闭了量子直接通信系统有关实际探测器的安全性漏洞，提升了量子直接通信的安全性。2020年，南京邮电大学周澜等人[27]提出与设备无关的量子直接通信协议，进一步消除了量子直接通信系统有关所有实际器件的安全性漏洞。2020年，清华大学潘栋等人[28]实现了自由空间单光子量子直接通信，同时还发现了双光子态对DL04协议[9]的安全容量有贡献。

2.2 实用化量子直接通信技术

在2016年以前，量子直接通信的研究主要集中在理论方面，缺少实验研究。造成这种现象的原因在于：原始量子安全直接通信使用块传输技术，实验上难以实现；信息直接编码在量子态上，损耗和噪声不利于信息的传输。块传输是指以一定数量的光量子为单位进行传输并在传输过程中抽样检测以保证信息的安全性，若确认安全再继续进行协议的下一步骤。在块传输中需要使用量子存储器，在等待抽样光子的安全性检测结果时，大量剩余的光子需要储存在量子存储器中，这对量子存储器件的性能有很高的要求。因此，块传输技术的实现限制了量子直接通信技术从理论走上实用化。2006年，Alessandro Cerè等人[29]通过实验实现了LM05协议[29-30]，该协议等价于不使用块传输技术的DL04协议，即DL04协议中每个块中的单光子数量N=1。量子直接通信的通信载体为光子，光子在光纤信道中传输时呈指数级衰减，并且要历经往返传输，损耗极大。信道损耗和噪声带来的信息丢失和失真问题也是量子直接通信技术走上实用化面临的难题。

如图3所示，文献[19][31]基于Wyner搭线信道理论[32]，定量地给出了量子直接通信的安全容量，其值为：

图3 搭线信道模型[31]

Cs=max{CM-CW, 0}

(5)

其中CM是主信道容量，CW是搭线信道容量。当安全容量Cs>0时，存在一种编码方法以小于或等于安全容量的编码效率实现信息的安全可靠传输。

戚若阳等人[19]给出了基于通用哈希函数族的安全编码方法。这一编码方法用于初代量子直接通信样机。Alice将待传明文消息m经预处理层进行反向通用哈希函数族处理，得到序列u。u进入纠错码编码器后生成待传码字c，纠错码编码器基于低密度奇偶校验码(Low Density Parity Check，LDPC)设计，对抗信道噪声的不利影响。Bob端接收到码字后进入到对应的纠错译码器和预处理层，最后得到明文消息。预处理层用来保障信息的安全性，而纠错码层的目的是保障信息的可靠传输。

为了解决量子直接通信中的块传输技术需要高性能量子存储器件的问题，孙臻等人[20-21]发展了无量子存储编码方案(见图4)。Alice对待传明文进行一次一密加密得到密文，然后再将密文编码成码字，码字信息将被调制到量子态上传送给Bob。Bob进行解调、解码和解密得到明文消息。通信双方从码字中提取用于下一次加密的密钥。在上述通信过程中，编码效率和从码字中提取密钥的长度由信道安全容量决定。因一次一密加密对密钥资源的消耗非常大，所以在通信开始时若密钥池中没有足够的密钥，那么Alice先传输随机数，双方先进行密钥分发。在原始量子直接通信协议中，为了确保明文信息在窃听检测前不泄露而需要使用块传输技术。无量子存储编码方案实现了密文传送和密钥分发[21,33]的同时进行。在此方案中，密文比特可以通过量子态逐一地进行传送，不再要求量子态的块传输，信息的安全性将由一次一密加密来保障。

图4 无量子存储编码方案

在如图3所示量子直接通信中，Eve的能力仅受限于量子力学原理，因此在计算搭线信道容量时，搭线信道的接收率被假定为1，即Eve可截获所有量子信号。由于器件和信道带来的损耗，主信道的接收率非常小。以50 km商用光纤(损耗0.2 dB/km)和探测效率为10%的单光子探测器组成的系统为例，主信道的接收率为0.01[24]。主信道的接收率远小于搭线信道的接收率，致使量子直接通信的安全容量极小。2021年，清华大学、北京量子信息科学研究院龙桂鲁和张浩然提出了提升量子直接通信的使用掩蔽增加容量(Increase Capacity Using Masking，INCUM)的容量扩大技术[24]，将搭线信道接收率压低至与主信道接收率完全相同，大大增加了安全容量和传输距离。其具体做法很简单，Alice先使用本地随机数序列对已编码待传消息的光子进行“遮掩”，即按照随机数序列对已编码待传消息的光子再进行一次编码操作，之后将光子传送给Bob。由于光子的丢失，Bob只能接收到一小部分光子。Bob在接收到光子后即公布已接收到的光子的位置。按照Bob公布的位置，Alice公布这些光子对应的本地随机数序列的相应随机数，Bob由此可以继续按照以前的程序解码传输的信息。INCUM技术切断了丢失的光子与Bob接收到的光子之间的联系，并且丢失光子上的信息被Alice使用本地随机数完全“遮掩”，致使Eve无法从丢失的光子获取有效信息，因此窃听者所能进行窃听的光子就是Bob接受的光子，窃听者的接受率和Bob的接受率完全一样了。

3 结束语

本文介绍了量子直接通信的原理，回顾了量子直接通信提出以来的4个发展阶段，介绍了近年来量子直接通信由理论走向实用化过程中所突破的技术难点，包括定量安全分析、高损信道编码、量子存储替代、容量增大技术，克服了损耗和噪声对信号的干扰，极大地提升了通信速率。量子直接通信将基于香农信息论的噪声信道下可靠经典通信发展成了更高层面的噪声和窃听信道下安全和可靠通信，是维纳搭线信道理论的具体实现[33]。量子直接通信将量子通信从QKD的感知窃听发展成为既感知窃听又阻止窃听。目前，量子直接通信技术已具备实用化技术基础，今后发展实用化长距离量子直接通信，推动其标准的制定和典型应用场景的建设是量子直接通信技术重要的发展方向。期待不久的将来可组建量子直接通信局域网、量子直接通信城际网，发展卫星量子直接通信网，并最终建成通达全球的全球量子网络，实现互联网从电子时代向量子时代的跨越。