基于孪生双场量子密钥分发协议(TF-QKD),中国科学家在实验室内首次将光纤量子密钥分发的安全成码距离推至500公里以上,创造了光纤量子密钥分发的新纪录,并且在超过500公里的光纤成码率打破了传统无中继量子密钥分发所限定的绝对成码率极限。相关研究成果发表在Physical Review Letters(并被选为“编辑推荐”文章)和Nature Photonics上。

作者 | 陈玖鹏

编辑 | 王佳

通信对于现代社会的意义不言而喻。在通信世界里,信息的安全性总是首位的。为了保证信息的安全,人们在将信息传递给接收者之前,利用密钥对其进行加密,而后接收者基于密钥对加密信息进行解密。

可见,信息的安全性依赖于密钥的安全性。若要实现两个相聚遥远的通信节点间的安全密钥共享,就需要一种密钥的安全传输方式,而量子密钥分发(quantum key distribution,QKD)作为目前最安全的密钥传输方式,可做到理论上的无条件安全。

从理论到实际应用,要想在现实条件下,实现远距离、安全的量子通信,还面临着很多挑战。信道损耗和探测器噪声,制约着量子密钥分发的适用范围,如何获得更高的成码率(密钥生成速率)以及更远的密钥传输距离,是目前亟待解决的难题。在实现安全、实用的量子通信的征程上,为了克服出现的种种困难,各种理论构想和实验方案被不断提出:从最早的BB84协议,到测量设备无关量子密钥分发(measurement-device-independentQKD,MDI-QK);从中继站到最近两年提出并得到实验证实的孪生双场量子密钥分发协议(twin-field quantum key distribution,TF-QKD)。

量子密钥分发和BB84协议

什么是量子密钥分发?

所谓的量子密钥分发,实际上是一种信息物理层加密的保密通信方式,所谓的信息物理层加密也就是通信过程中对携带信息的载体进行加密,这区别于传统的保密通信,后者是对信息本身进行加密传输。

以光纤中量子密钥分发和经典光纤加密通信为例来说明。两种通信方式都是将经典0和1二进制比特信息以加密的方式传输出去,且携带0和1二进制比特信息的载体都是光脉冲,所不同的是,量子密钥分发采用的是单光子脉冲——即每脉冲包含的光子个数在单个光子水平,而经典光纤保密通信采用的是强光脉冲。此外,量子密钥分发的加密是对单光子脉冲本身进行加密,而经典光纤保密通信的加密是对传输的0和1二进制比特信息进行加密。因此,光纤中量子密钥分发可视作在通信光纤两端,利用单光子量子脉冲的发送和接收设备来替代光模块,以实现信息物理层加密的保密通信。

在量子密钥分发过程中,任何针对密钥的窃听,都需要对单光子脉冲构成的量子态进行测量,但根据量子力学不可克隆原理,任何测量都会改变量子态本身,造成高误码率,从而使窃听者被发现。

BB84协议

量子密钥分发的第一个协议——BB84协议是美国物理学家Charles H. Bennett和加拿大密码学家GillesBrassard在1984年提出的,BB84得名于两人姓的首字母和提出年份。BB84协议属于两点式通信架构,即一个发送端(Alice),一个测量端(Bob),如图1所示,Alice在单光子的偏振维度上,选用两组非正交的四个基矢(H偏振,V偏振以及+偏振,-偏振)分别将0和1经典二进制比特信息随机加密成不同偏振的单光子量子态——H偏振态及-偏振态代表经典比特信息0,V偏振态及+偏振态代表经典比特信息1,进行传输,同时Bob也随机地选用H和V偏正以及+和-偏振两组基矢进行测量并记录结果。当实验进行一段时间后,Alice和Bob在一个认证的公共信道上公布所选用的基矢信息,然后各自保留所选的相同基矢组下的信息即可获得粗的密码,再各自从粗码中选取一段进行信息比对,当错误率超过一定界限即认为此次通信不安全,放弃该次通信产生的密钥,然后再进行下一次通信,直至粗码比对的结果满足错误率要求,最后再进行数据后处理(纠错和隐私放大等)使Alice和Bob共享一段相同的安全密钥。由于密钥分发过程中,Alice和Bob所选用的基矢是随机的,且两组基矢是非正交的,入侵者若要窃听,就需要对这些未知的单量子态进行测量,如此势必会使被测量的量子态本身发生改变,最终导致Alice和Bob粗码比对的结果错误率提高,从而使入侵者被发现。

图1.  BB84量子密钥分发协议

尽管BB84协议由量子力学基本原理保证,在信息理论上具有绝对的安全性,但由于现实中实验器件的不完美性,使得真实系统的量子密钥分发会存在一些安全性漏洞,曾一度阻碍着量子密钥分发的实用化,这其中包括基于源端(发送方)攻击的安全性漏洞,也有基于测量端(接收方)攻击的安全性漏洞。量子密钥分发系统的安全性和实用化,这矛盾的双方看似不可协调。实际上,系统的源端的攻击相对比较少而且容易应对和检测,安全性问题主要集中在测量设备端,很多致命的攻击都是针对探测设备进行的。幸运的是,加拿大的 Hoi-Kwong Lo 教授于 2012 年提出的测量设备无关的量子密钥分发协议很好地关闭了测量端的所有漏洞,自动对探测端量子黑客攻击免疫。

测量设备无关量子密钥分发

通信架构

测量设备无关量子密钥分发属于三点式通信架构,如图2(a)所示,Alice和Bob作为两个发送端,Charlie作为接收测量端,Alice和Bob根据Charlie公布的测量结果来共享一段相同的安全密钥,整个过程Charlie的测量结果不会影响到通信的安全性,即所谓的测量设备无关。

真实的实验环境中,测量设备无关量子密钥分发方案的安全性是目前远距离量子密钥分发实验里最高的,曾一度也是光纤量子密钥分发实验中传输距离最远的——404公里。直到2018年Hugo Zbinden团队利用BB84量子密钥分发方案实现了421公里的光纤传输距离才打破这一纪录,但真实实验环境中BB84量子密钥分发方案的安全性无法做到与测量设备无关。因此,综合真实环境里的安全性以及传输距离,测量设备无关量子密钥分发是目前最优的远距离光纤量子密钥分发方案。

线性成码极限

传统的测量设备无关量子密钥分发采用双光子符合事件作为有效探测事件,即接收方Charlie每产生一次用来成码的有效探测需要消耗两个光子,其安全成码率随着信道衰减线性下降,因此在无量子中继的情形下,传统测量设备无关量子密钥分发的安全成码率是无法突破线性成码极限的。

图2.(a)传统测量设备无关量子密钥分发;(b)双场量子密钥分发

量子密钥分发面临的难点

尽管量子密钥分发已取得众多重要研究成果,但目前仍然面临两大难题,即如何获得更高的成码率(密钥生成速率)以及更远的密钥传输距离。

在成码率方面,东芝欧研所A. J. Shields团队于2014年在50公里光纤距离下获得1.2 Mbps的成码率。

在传输距离方面,中国科学技术大学潘建伟团队于2017年基于墨子号量子科学实验卫星实现了1200公里自由空间的量子密钥分发,日内瓦大学HugoZbinden团队于2018年实现了421公里光纤的量子密钥分发。

即便如此,这些量子密钥分发的理论和实验工作,依然都没有突破无中继情形下量子密钥分发成码率-距离的极限——接收设备不产生任何探测噪声时该距离下的成码率。然而,实际的量子密钥分发系统测量设备都会存在一定噪声,噪声会降低传输的成码率。随着传输距离越来越长,信道衰减越来越大,测量设备所能测量到的信号计数也越来越少,而测量设备产生的噪声在信号中占比也越来越大,当噪声占比超过一定界线,传输过程便不能生成密钥。

可信中继和量子中继

远距离光纤量子通信过程中,信道传递的量子态会随着通信距离的增加呈指数减少,极大地限制了量子通信的有效传输距离。若设置量子通信网络中继站,将一段长距离光纤信道分割成多段距离比较短的信道,可使得量子信号不再随距离的增加而指数衰减,从而扩展量子通信的距离。实现量子通信网络中继站的方式,我们通常有两种选择——可信中继和量子中继

所谓的可信中继,其实就是严密监控下的传统中继站,这个中继站在按照传统的方式储存数据,比如说用磁盘。发送方和接收方知道的所有数据,中继站也都知道。可信中继明显的缺点就是数据储存在中继站,为了保证其安全,就需要通过人力来确保中继站是在严密监控下的。

量子中继是让发送方和接收方通过它建立连接,但中继站本身并不存储数据。发送方和接收方知道的数据,中继站并不知道。因此,量子中继器不存在数据泄露的问题。即使有内鬼,最糟也只是让量子中继不能运行,但不能偷到数据。量子中继需要用到量子存储器存储一些对窃听者无用的中间量子态,然而,目前的量子存储性能有限,实现实用化量子中继器还需假以时日。

突破无量子中继的线性成码极限

那么无量子中继的线性成码极限是否就真的无法突破了呢?答案是否定的。如果我们能做到每次用来成码的有效探测所消耗的光子数比传统测量设备无关量子密钥分发更少,那么我们就可以在相同的信道损耗下获得比传统测量设备无关量子密钥分发更多的有效探测,从而获得比线性成码极限更高的成码率。这就是我们接下来要说的孪生双场量子密钥分发方案。

孪生双场量子密钥分发

所谓的孪生双场量子密钥分发,即利用单光子干涉作为有效探测事件的测量设备无关量子密钥分发,如图2(b)所示:

图2.(a)传统测量设备无关量子密钥分发;(b)双场量子密钥分发

接收方Charlie每产生一次用来成码的有效探测只需要消耗一个光子,比传统测量设备无关量子密钥分发探测消耗的光子少一个,从而使其安全成码率提升至随信道衰减的平方根下降,因此在长距离传输情形下,孪生双场量子密钥分发较传统测量设备无关量子密钥分发具有更高的成码率以及更远的成码距离,甚至可以在无量子中继的情形下轻松突破量子密钥分发的成码率线性极限。

技术难点与实验实现

我们已经了解到,孪生双场量子密钥分发的核心是利用单光子干涉。与此同时,将单光子干涉结果作为有效探测,也使得孪生双场量子密钥分发实施起来十分困难。要在Charlie实现稳定的单光子干涉,首先需要将Alice和Bob两个远程独立激光器的波长锁定为一致,以消除Alice和Bob激光器波长不同所引起的相位差,其次需要通过单光子探测结果实现长距离光纤链路相对相位快速漂移的精准估计。

如此一来,与传统相位编码的测量设备无关量子密钥分发相比较,孪生双场量子密钥分发的发送方在编码时序上需要增加附加相位参考光脉冲,且接收方需要根据附加相位参考光脉冲的干涉结果,来评估传输过程中长距离光纤链路引入的相对相位快速漂移。如图3所示,孪生双场量子密钥分发在编码时序上,除了原本信息编码的量子光区间(脉冲强度为单光子水平),还增加了强的参考光区间(强光脉冲)——用于光纤链路相对相位快速漂移的精准估计,以及单光子探测器经历强光后的恢复时间(不发光)。此外,由于增加了强的相位参考光脉冲,孪生双场量子密钥分发实验的单光子探测器需要同时满足高计数率、高效率及超低暗计数。

图3. PM-QKD编码时序

光纤量子密钥分发的新纪录

中国科学技术大学潘建伟实验小组分别基于清华大学王向斌提出的“发送-不发送”的孪生双场量子密钥分发协议和马雄峰提出的相位匹配孪生双场量子密钥分发协议,发展时频传输技术和激光注入锁定技术,将两个独立的远程激光器的波长锁定为相同,以及利用附加相位参考光来估计光纤的相对相位快速漂移并进行相位后处理。同时结合中国科学院上海微系统与信息技术研究所研制的高计数率、低噪声单光子探测器,最终在实验室内首次将光纤量子密钥分发的安全成码距离推至500公里以上,创造了光纤量子密钥分发的新纪录,并且在超过500公里的光纤成码率打破了传统无中继量子密钥分发所限定的绝对成码率极限,即超过了理想的探测装置(探测器效率为100%)下的无中继量子密钥分发成码极限。

在未来,科学家们还会将孪生双场量子密钥分发应用于实地,实现城际之间安全的光纤量子密钥分发,并且如果将孪生双场量子密钥分实验系统的重复频率进一步升级至京沪干线等远距离量子通信网络中采用的1GHz,在300公里处,成码率可达5kbps,这将大量减少骨干光纤量子通信网络中的可信中继数量,大幅提升光纤量子保密通信网络的安全性。

声明:本文来自墨子沙龙,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。