濮荣强①

（芜湖职业技术学院 信息与人工智能学院，安徽 芜湖 241003）

0 引言

量子密钥分发QKD（Quantum Key Distribution）采用单光子为信息飞行载体，单光子无静止质量、属自旋为1的玻色子，具有离散化、测不准和态叠加的量子化特征.

BB84协议（BB84 protocol）使Alice与Bob收发双方可共享安全密钥，QKD在通信中并不传输密文，而通过量子信道将密钥交换给通信双方协商［1］.因单光子不可分割性与量子态不可克隆性，骇客Eve对信道传输的单光子态进行任何观测都产生了使Alice与Bob可检测的比特误差率，因无法鉴别比特误差率究竟是Eve引入还是由信道噪声产生，从而把比特误差率归结信道上骇客Eve存在，只能促使Alice与Bob放弃了本次不安全的共享密钥，这样骇客Eve也无法从信道上获得双方本次共享的通信密钥.Alice和Bob再重传输，直至筛后的密钥传输比特容错率低于界限标准，则可在量子信道交换此共轭编码的通信密钥，从而保证经典信道上密文通信的绝对安全［2］.在引入单光子不可分割与量子态不可克隆的基础上，运用量子态具有波动、叠加、观测而瞬坍的本征属性，以单光子为信息载体，通过对BB84协议与贝尔不等式（Bell inequality）［3］的详尽地讨论，实现量子隐形传态（quantum teleportation）的密钥分发，从而保证经典信道上密文通信的无条件安全.同时凝炼量子密钥分发应用与量子纠缠的特征，总结广泛认可的量子通信发展路线.

1 量子态不可克隆性

经典态可确定、可观测、可复制，而量子态却有波动、叠加、观测而坍缩的本征属性.经典态可克隆但只能沿着时间箭头方向传播，量子态不可克隆却在时空中的任意两点存在纠缠［4］.

密度算符ρ^既是对量子态波函数推广也是对经典概率分布推广，经典保密通信是基于计算复杂性，如RSA公钥密码算法是目前网络上进行保密通信和数字签名应用最广泛的算法，其安全性基于数论中素数分解的困难程度，但是存在已被破译却没有被公开的隐患，而量子态的不可克隆性使Alice与Bob具有可检测的比特误差率能力，通过放弃不安全的共享密钥，使Eve无法从信道上获得双方共享、安全的通信密钥.

2 BB84协议与量子密钥分发

BB84协议属2点式通信架构：发送端Alice与接受端Bob.Alice采用2组互不正交的直基型偏振片+与斜基型偏振片×随机发送单光子态，Bob也同样采用2组互不正交的直基型偏振片与斜基型偏振片随机接收单光子态.QKD的系统结构如图1所示.

图1 QKD的系统结构

上路的量子信道负责实现交换量子密钥，上路的经典信道负责传输2组互不正交的偏振片基矢等信息.下路的经典信道负责传输数据密文.

量子信道部分：

（1）Alice随机选择2组偏振片，制备不同偏振的单光子态，将其随机发送给Bob；

（2）Bob也随机选择2组偏振片，接收Alice发送的单光子态.

经典信道部分：

（3）Alice和Bob在上路的经典信道上，比较在直基+、斜基×的各自采用排列顺序，然后保留同序基矢的数据，获得的数据即是筛后密钥；

（4）Alice和Bob再各自从筛后密钥中抽样小段数据在经典信道传输比较，当错误率超过界限即认为此次通信不安全，放弃该次通信产生的密钥，然后再进行抽样小段信息进行通信传输比较，直至筛后的密钥传输较满足容错率界限，再进行纠错和隐私放大后，使Alice和Bob在量子信道共享此段相同的安全通信密钥，采用BB84协议实现量子密钥分发的具体过程如下表1所示.

表1 BB84协议与量子密钥分发

由于密钥分发过程中，Alice和Bob所采用任何基矢都是随机且2组基矢属不可以彻底分辨的非正交态，如骇客Eve观测这些单量子态，因量子态不可克隆性，被观测的量子态产生了随机扰动，最终导致Alice和Bob先从筛后密钥中抽样小段数据，传输比较后超过容错率界限，认定经典信道上存在骇客Eve.

如经典信道上无窃听存在，可检测的误码率为0.经典信道上受Eve截取重发攻击时，当可检测的误码率超过阈值25%，表示信道中间存在Eve窃听.通过计算可证，Eve在窃听100比特后，不被发现的概率仅为3.2×10-13，何况现实通信的数据远不止100个比特.因此在量子密钥分发过程中，窃听者Eve无法做到既偷看又不留下痕迹，这样的误码痕迹保证无条件安全通信.

同步功能量子信道也提供皮秒级的高精度时间，保证量子密钥分发的正常工作，其把系统同步信号与单光子脉冲通过WDM进行波分复用，接收端进行同步信号解复、光电转换后，再作为单光子检测的触发脉冲［5］.系统同步如图2所示.

图2 量子密钥分发的同步系统

BB84协议的量子密钥分发采用单光子态传输，不需量子纠缠，但在光纤传输过程中，由于单光子脉冲功率极其微弱，也易受到来自信道的噪声干扰，而且信道传输损耗使单光子态的传输距离不可能无限发展.骇客Eve可冒充信道传输损耗进行光子数分离攻击PNS attack（Photon Number Splitting attack）.因此安全通信最终将依赖于量子中继实现量子通信.

中国科学技术大学建成了3节点量子电话网如图3所示，实线为光纤信道，虚线为经典信道.2条链路的量子信道光纤长度都在20 km左右，最终成码率均大于15 kbps，实现了“One Time Pad”的实时量子加密电话，使我国量子通信应用水平步入国际前列［6］.

图3 3节点量子电话网

3 复合系统的量子纠缠特征

在量子力学中，复合系统全部可能状态组成Hilbert空间，每个物理状态由该空间中的一个矢量描述，Hilbert空间在数学上是线性空间.因此在确定其基矢后，每个物理状态对应的矢量，可以表示为选定基矢量的线性叠加，系统的Hilbert维数为各子系统对应空间维数的乘积.

相关性是指A、B的合作度，如A、B行为总是相关的，那么相关性就是1.如A、B行为完全不相关，那么相关性就是0.记A在x方向和B在y方向上的相关性为Pxy，A在x方向和B在z方向上的相关性为Pxz，A在z方向和B在y方向上的相关性为Pzy，这里x、y、z不需要相互垂直，但A、B同方向上的属性总是相反；采用A、B定域性的相关度排列，推导出贝尔不等式：||Pxz-Pzy≤1+Pxy.但量子力学的实验［7-8］，证明A、B之间的非定域量子纠缠，突破贝尔不等式的限制，使量子世界不同于经典世界.

量子纠缠尽管脆弱也易由环境退相干，但其非定域的鬼魅似超距作用，可联系位于空间任何不同地点，实现密钥的共轭编码.

如每个子系统并不是完全独立的，状态会互相影响，从而整体系统可能的状态只占据Hilbert空间中的很小一部分，可使用纠缠熵反映量子复合系统之间的关联度［11］.

把校准的混合偏振态紫外激光，发射到I型偏硼酸钡（BBO）晶体，BBO本身有着极宽的透光范围、极低的吸收系数、较弱的压电振铃效应，通过自发参量下转换（SPDC），BBO释放一定数量、能量较低、彼此纠缠的红外光子［12］，如Alice和Bob在两端采用同样方式的偏振观测，两人的观测结果将会共轭相关：偏振相同或彼此垂直，因此Alice和Bob同获“一次一密”、随机序列的共轭编码密钥，如图4所示.

图4 量子纠缠产生的共轭编码

因光纤与大气里传输的纠缠光子很快衰减，只能实现有限传输，而光子在太空真空环境里传播几乎无损耗，可实现纠缠光子的长距离分发［15］，通过卫星帮助完成千公里级的纠缠分发和量子隐形传态，可实现全球化量子通信.

广泛认可的量子通信发展路线是，通过光纤实现城域范围内的量子通信网络，通过中继分段传输实现城际量子通信网络，通过卫星中转实现数千公里甚至是全球化的量子通信.

4 讨论

电子之间可相互作用，二路电流相交将短路为一体，使电线只传输单路电信号.而光子之间无相互作用，因此光波导可以同时传输多路不同光信号，使通信容量大大地增加.但是若要实现2个相聚遥远通信节点间的安全密钥共享，就需要安全的密钥传输方式，而量子密钥分发QKD作为目前最安全的密钥传输方式，可做到理论上的信息论安全.

在实现安全的量子通信的征程上，为克服出现的种种困难，从最早的BB84协议，到诱骗态量子密钥分发与可抵御量子黑客针对探测系统的任意攻击，与测量设备无关量子密钥分发（measurement-deviceindependent QKD，MDI-QKD）再到最近提出并得到实验证实的双场量子密钥分发协议（twin-field QKD，TF-QKD）.

第一代量子技术基于量子体系不连续特性，如激光、晶体管、电荷耦合器、磁共振成像的应用，而第二代量子技术则基于量子体系相干性和非定域性应用，如量子计算、量子通信及量子传感，因为在0.1～100 nm尺度势阱内，单电子存在量子波动相位φ，其传输过程可保持记忆即维持相干性，通过波动相位φ进行状态调控，可使1个量子比特同时具备2个信息比特，量子芯片里运动的电子数量远少于电子芯片，使量子芯片功耗大为降低、响应速度更高.

在量子计算里，Pauli矩阵扮演量子逻辑门作用、而Hadamard门可使1个信息比特产生1个量子比特，任何作用在量子比特的幺正变换，都可采用Hadamard门与相移门Rz(φ)实现.随着系列量子算法尤其是大数分解的Shor算法和量子搜索的Grover算法提出，尽管量子计算需苛刻的低温运行环境，但量子门的一次操作，可作用到状态空间全部基矢上，此巨大优势已不容置疑.目前从理论到实际应用，要想在现实条件下实现远距离、安全的量子通信，信道损耗和探测器噪声都制约着量子密钥分发的适用范围，量子存储、量子纠错仍不成熟，如何获得更高的密钥生成速率及更远的密钥传输距离，是亟待解决的难题.