今日荐文的作者为西南通信研究所,保密通信重点实验室专家樊矾、魏世海、杨杰、黄伟、徐兵杰。本篇节选自论文《量子保密通信技术综述》,发表于《中国电子科学研究院学报》第13卷第3期。

摘 要量子保密通信是利用量子力学基本原理和"一次一密"加密体制来实现信息安全传递的一种全新的保密通信方法。量子保密通信技术由于具备无条件安全性,因而具有极高的军事价值和商业价值,得到各国政府及相关研究机构的广泛关注,并在近年来取得了突破性进展。本文简述了量子保密通信的基本原理和研究意义;综述了国内外量子保密通信的发展现状和技术水平;同时还进一步分析了量子保密通信技术未来发展趋势并探讨了其重点突破方向,最后对该技术进行展望并提出一些建议。

关键词: 量子保密通信;量子密钥分发;实用化

量子通信(Quantum Communication)是利用物理实体粒子(如光子、原子、分子、离子)的某个物理量的量子态作为信息编码的载体,通过量子信道将该量子态进行传输到达传递信息目的,是量子信息科学的重要研究分支。其核心在于以量子态来编码信息并传输,其通信过程服从量子不确定性原理、量子相干叠加和量子非定域性等量子力学的基本物理原理。量子通信主要包含量子密码(Quantum Cryptography)、量子隐形传态(Quantum Teleportation)、量子密集编码(Quantum Dense Coding)、量子信息论等研究分支。

目前,量子密集编码技术处于基础研究阶段,实验条件尚不成熟;量子隐形传态技术近期取得突破性进展,但离实用尚有距离;量子密码发展最为成熟,正迅速走向实用化。
量子密码,也被称为量子保密通信技术,其包含量子密钥分发(QKD)、量子安全直接通信(QSDC)、量子秘密共享(QSS)、量子认证(QA)、量子公钥加密(QPKC),量子保密查询等研究方向。其中,QKD技术在理论和实验上发展最完善,是当前最重要、最主流的量子保密通信技术。

限于篇幅,本文主要关注的是量子通信技术中发展最成熟的量子保密通信技术,文章重点论述了最接近实用化的量子密钥分发技术(QKD),下文中以QKD技术代指量子密钥分发技术。

1.发展背景

首先,量子算法及量子计算硬件技术快速发展,在可预见的未来会对以ECC/RSA为代表的现行主流公钥密码机制构成威胁。

  • 第一、量子算法不断进步,为密码破解技术提供了更有力、甚至致命的攻击方法。Grover量子算法能将搜索时间降为平方根时间,对私钥、公钥密码算法而言,等价安全密钥长度将减小一半; Shor量子算法能够在多项式时间内分解大整数和求解离散对数问题,该项研究可对应用RSA,DSA以及ECC算法的公钥密码体制的安全性产生巨大威胁。
  • 第二、量子计算硬件技术进展迅速,在可预见的未来将对现有密码体制构成挑战。2016年8月,谷歌公司实现了9量子比特通用超导量子计算机,随后公布了“量子霸权”(Quantum Supremacy)计划,拟在5年左右时间内实现50量子比特的量子计算机,量子计算不再遥不可及。2016年,NIST官方文件指出,量子计算机可能在15年左右时间内对现行公钥密码体制产生威胁。

其次,量子计算机一旦问世,将对现有信息安全体系产生巨大冲击。

  • 第一、威胁网络空间公钥认证体系:基于公钥体制的身份认证体系完全打破,敌手可假冒合法设备进入通信系统,获取或假冒合法用户进行通信。

  • 第二、威胁基于公钥保护的授权密钥下发:一旦被破译,通信设备脱离管理,敌手将直接对就绪态的设备进行授启,进入工作态,危及整个系统的安全。

  • 第三、威胁基于公钥保护的会话密钥协商:敌手可获取双方协商密钥,从而获取通信内容。

总之,一旦量子计算机投入使用,敌手可以假冒任意设备攻入我方通信系统,也可以任意获取我方保密通信内容,对我方通信系统造成毁灭性灾难,在外交、军事中获取绝对优势。为此,必须引入能抵御量子计算的新型密码机制以确保我方保密通信系统的安全性。

目前,有两条技术途径可抵御量子计算威胁——一个是基于量子物理的量子保密通信技术,其中主要以QKD(量子密钥分发)技术为代表;一个是基于数学困难问题的抗量子密码(PQC)方案,以基于格、多变量、哈希等数学困难问题的新型公钥密码算法为代表。

QKD技术的目标是在通信双方之间建立实时的、可证安全的密钥,其结合“一次一密”能实现无条件安全的保密通信,克服了经典加密技术内在的安全隐患,在有高安全需求的如国防、金融、政务、能源、商业等应用领域可以从根本上解决其信息保密传输的问题。美、欧、加、澳、日、中等国家高度重视QKD技术研究,投入了大量研发力量,使得该技术是当今国际上量子信息科学的一个极其重要的研究热点,该技术极有可能推动信息产业的一次重大技术革命。

2.量子保密通信技术发展里历史及现状

QKD技术发展至今可大体划分为三个阶段:理论奠基阶段(1984-1995),理论与实验独立发展阶段(1995-2000),理论与实验融合及应用探索阶段(2000-2010),网络化及应用推广阶段(2005—至今)。

早期研究中,QKD技术研究主要围绕两个核心:

  • (1)QKD协议设计及其理论安全性证明;

  • (2)实际QKD系统的实用性和安全性。

本文围绕这两个核心分别论述各发展阶段的里程碑事件。

2.1  理论奠基阶段(1984-1995)

此阶段,QKD的基本理论框架和基本协议被提出。1984年,美国IBM研究院的C. H. Bennett和加拿大蒙特利尔大学的G. Brassard首次提出完整的QKD协议,指出其安全性基于不确定性原理和不可克隆定理,该协议时至今日依然是最主流的QKD协议之一。1989年,C. H. Bennett等首次实验实现上述协议,通信距离30cm。1991年,英国牛津大学的A. Ekert提出了基于纠缠光子对的QKD协议,开启了基于纠缠光子对进行密钥分发的先河。上述两个协议即著名的BB84和E91协议,这两个协议的提出标志着量子通信技术的诞生。1992年,C. H. Bennett等指出基于纠缠态的(Entanglement-Based,E-B)QKD协议等价于基于制备和测量的(Prepare and Measure,P&M)QKD协议,即E91协议在安全性上等价于BB84协议。同年,C. H. Bennett提出基于两个非正交量子态的B92协议。随后,C. H. Bennett等发明了私钥放大思想,严格证明如何通过经典后处理方法剔除部分安全的密钥中窃听者所获知的信息。至此,QKD技术的核心协议及理论框架基本成型。可以看出,QKD技术早期的重要思想和基本框架主要由欧美国家提出。

2.2  理论与实验独立发展阶段(1995-2000)

此阶段,QKD在实验技术和理论安全性分析两方面分别取得了显着进展,但理论研究还不能完全解决实验问题。

实验方面,从实验室内光纤演示验证系统,到户外商用光纤网络及自由空间实际运行,QKD硬件实现和系统方案日趋成熟,实用性逐渐加强。尤其是瑞士日内瓦大学Gisin小组提出的双路“即插即用”QKD系统,能自动补偿色散,稳定性高误码率低,通信距离达67km,是国际上第一套商用QKD系统。2000年,基于纠缠光子的长距离QKD系统被首次实验实现。理论方面,新的协议不断被提出(如六态协议),BB84协议的理论无条件安全性证明取得突破性进展。1996年,Mayers基于不确定性原理首次严格证明了BB84协议的安全性,然而该理论在数学上非常复杂,物理上不直观,未被主流学界广泛接受。之后,纠缠提纯协议(Entanglement Distillation Protocol,EDP)理论迅速发展,物理学家将之应用到BB84协议的安全性证明,QKD技术的量子关联(纠缠)物理本质也越来越清晰。1999年,加拿大多伦多大学的 H. K. Lo利用纠缠态设计了一个非常接近于BB84协议的EDP协议,并证明了其无条件安全性。然而,该协议需要通信双方具备量子计算机和量子存储,不完全等价于BB84协议。2000年,美国的Shor和Preskill进一步提出了基于CSS量子纠错码的纠缠提纯协议,去除了对量子计算机和量子存储的要求,并严格证明其安全性等价于理想BB84协议,物理意义清晰直观,是集大成之作。至此,BB84协议安全性已经从原理上被严格证明,得到了学术界普遍认可。

然而,本阶段内理论研究和实验探索间存在较大的不匹配:Shor-Preskill理论证明了在具有理想的单光子源和量子比特探测器条件下,BB84协议QKD系统具有无条件安全性;而在实际物理条件下,用于QKD系统的单光子源和单光子探测器均为非理想器件,无法满足该协议的理论前提。因此,Shor-Preskill理论不直接适用于实际QKD系统的安全性分析,无法完全保证实际物理系统安全。

2.3  理论与实验融合及应用探索阶段(2000-2010)

此阶段,人们开始重视实际QKD系统的实际安全性问题,严格论证了实际非理想QKD系统的安全性;相关硬件技术(尤其是单光子探测器技术)飞速进展,大大提升了QKD系统的安全码率和通信距离;同时,QKD组网技术逐步得到发展,实用性进一步增强。

尽管理想BB84协议的无条件安全性已经被证明,但实际QKD系统中非理想物理器件所引入的安全漏洞将严重威胁整个系统的安全性。例如理想BB84协议采用单光子作为光源,而实际QKD系统通常采用强衰减激光脉冲作为光源,其有一定概率发送多光子信号。针对此漏洞,窃听者可以采用光子数分离(Photon Number Splitting,PNS)攻击完全获取加载于多光子信号的信息而不引起误码。2003年,Gottesman,Lo,Lükenhaus,Preskill(简称GLLP)基于EDP思想严格证明了非理想光源和探测器条件下BB84协议QKD系统的安全性,给出了实际系统安全码率量化表达式。结果表明,PNS攻击严重限制了实际QKD系统的安全码率和传输距离,QKD系统安全码率量级为O(η2)(η为系统总损耗),最远通信距离约40km。为抵御PNS攻击,提高实际QKD系统的性能,研究者从软件和硬件两个层面上解决问题:

  • 软件层面上对BB84协议的基比对过程稍加修改,提出SARG04协议,SARG04协议下QKD系统安全码率量级为O(η3/2),该协议被实际应用于ID Quantique公司商用产品;

  • 硬件层面上采用诱骗态来检测窃听者的PNS攻击,诱骗态协议下QKD系统安全码率量级为O(η),通信距离超过百公里,打开了QKD技术走向实用化的大门。

诱骗态协议是目前最主流QKD协议,是近十年来QKD技术研究的最重要进展之一。此外,瑞士的Renner从信息论角度出发严格证明了实际BB84协议QKD系统的无条件安全性;日本的Koashi利用不确定性原理和互补性原理同样证明了实际BB84协议QKD系统的无条件安全性并且给出了量化的安全码率;上述结果与GLLP理论相吻合。至此,实际QKD系统安全性问题基本解决。

图1  QKD主要协议种类

目前为止,所有研究工作都围绕BB84、B92、诱骗态等协议展开,上述协议被称为离散变量协议(或单光子协议)。2000年以后,几种重要的新型QKD协议被提出(见图1):连续变量(Continuous Variable,CV)QKD协议,分布相位参考(Distributed Phase Reference,DPR)QKD协议,设备无关(Device Independent,DI)QKD协议,其相关研究如下:

  • CV-QKD协议中密钥加载于量子态的正交分量X和P,采用零差探测或外差探测来提取信息,在通信速率和系统成本上具有潜在优势;其典型代表GG02协议的理论无条件安全性已被严格证明。此类协议的安全码率受系统噪声和纠错算法效率影响较大。目前CV-QKD系统实验最远传输距离达150km,系统性能有待提高。

  • DI-QKD协议的安全性不依赖于对实际系统非理想器件的模型假设,仅依赖于Bell不等式检验。其安全性所需要的假设最少,相对于离散变量和连续变量QKD的安全性层级更高,该协议在联合攻击(collective attack)下的安全性已经被严格证明。但此类协议对系统探测端效率要求很高,目前不具有实用性,是当前QKD理论研究热点。2012年,加拿大多伦多大学H. K. Lo首次提出了测量设备无关(Measurement Device Independent, MDI)协议,该协议解决了探测段的安全隐患,同时具备较高的实用性,是近年来最受关注的协议。

  • DPR-QKD协议实用性最佳,其设备最简单且与现有光纤网络兼容性好,相关实验研究进展很快,最远传输距离达250km,系统最高工作频率达10GHz,但此类协议的尚未完全安全性证明。

2.4 网络化应用推广阶段(2005-至今)

随着点对点QKD理论和实验技术走向成熟,人们开始探索QKD组网技术。各国纷纷组建一些小规模的量QKD实验网络,QKD技术组网的可行性得到了验证。

  • 2005年,在美国DARPA支持下,世界上第一个QKD网络由美国雷神公司和波士顿大学建成;2008年,欧盟通过“基于量子密码的全球保密通信网络”(SECOQC)项目成功搭建了7节点QKD通信演示验证网络;

  • 2009年,以日本国家情报通信研究机构(NICT)为总体,联合了日本NTT、NEC和三菱电机三家巨头,并邀请了东芝欧洲有限公司、瑞士的ID Quantique公司和奥地利的All Vienna共同建成了东京六节点城域量子通信网络“Tokyo QKD Network”,该网络集中展现了欧洲和日本的最新技术;

  • 另外在2013年斯洛登的维基解密中指出,早在2010年美国的洛斯阿拉莫斯国家实验室就秘密构建了城域的QKD网络并一直在运行;我国在QKD组网技术探索方面走在了世界的前列,先后在芜湖、合肥、济南、北京等建设了QKD城域网。国庆60周年之际,实时语音加密量子通信热线有力的保障了国庆阅兵重大活动。
  • 2016年,2000公里级的量子保密通信“京沪干线”建设完成,世界首颗量子保密通信实验卫星发射成功(如图2),标志着广域QKD组网能力基本具备。

图2  中国量子保密通信广域实验网

经过上述三个发展阶段,QKD技术安全性、关键技术、网络应用上基本成熟。从技术指标上来讲,点到点无中继最远可到达400公里的传输距离,在50公里通信距离条件下安全码率最高可达1Mb/s,城域的QKD网络其支撑节点数目可达数十个之多。国内外产业界涌现出一批研发及销售QKD产品的厂商,其中又以:瑞士ID Quantique ,法国 Smart Quantum ,中国国盾、问天等公司为代表。经过长期的发展,推进QKD技术的实用化,解决实际QKD系统的安全性、实用性及大规模QKD组网等应用问题已成为本领域当前研究的热点。

3.量子保密通信技术中短期发展趋势

经过三十年的发展,QKD通信距离从最初的30cm发展到400km,系统工作频率从kHz发展到GHz,稳定性和实际安全性等问题也都逐渐得到解决。目前技术指标是在50km(100km)传输距离下密钥分发速率可达1Mbps(10kbps)。而QKD电话网、QKD城域网、QKD广域网的建成,无不得益于QKD技术的新突破。目前,国内外的QKD技术都已进入实用化工程研究和应用推广阶段,推动QKD与实际应用融合从而提升通信安全保障水平是可行的,时机已经成熟。现阶段本领域技术发展趋势及发展重点是:

(1)发展国产化、高性能光量子核心器件,是我国摆脱国外制约、自主发展的关键,也是保障量子系统安全性的前提。例如量子光源(单光子源、诱骗态光源、纠缠光源等)、量子探测器(例如单光子探测器、平衡零差探测器等)、量子真随机数发生器。

(2)研制远距离、高码率、高稳定、高安全的QKD系统。在“十二五”基础上,大大提升QKD系统(单光子、连续变量、测量设备无关等技术)的成熟度、稳定性、集成化等实用性能指标。此外,加强与传统光通信基础设施兼容性技术研究。最终目标是使QKD系统具备低成本量产能力,同时广泛适用于光纤通信网络。

(3)进一步完善、丰富QKD网络技术(包括底层物理技术、密钥及网络管理技术等),大大提升城域、广域QKD网络的安全性、可靠性、可扩展性、与传统基础设施兼容性等性能,是实现全球化覆盖、极限安全性的必要条件。

(4)紧密结合典型应用,深入研究QKD的典型应用环境适应、典型应用模式融合(例如党政、金融、电力等特殊实用环境下的定制化解决方案),是QKD技术“落地”的必经之路。

(5)加速研究QKD技术的标准化,构建QKD技术标准体系并与传统通信行业技术、信息化技术、信息服务等标准体系的对接,完成QKD技术标准在行业中的推广,指导适应行业特点的产品开发、服务体系建设,支撑行业应用推广以及相关应用标准研究。QKD技术标准化和应用推广是推动QKD技术产业化的重要步骤,对于深入发挥QKD技术的安全防护作用,升级信息通信网络的安全保障能力具有重要意义。

(6)研究抗量子攻击密码算法(PQC),及其与QKD技术的结合应用,二者是量子计算时代信息安全的基石,需要充分融合应用。

上述关键问题是QKD技术实用化的瓶颈问题,也是本领域的技术发展主流方向,更是未来技术发展重点。

4.量子保密通信技术中短期突破点

下面详细分析QKD技术中短期可能取得的突破点。

(1)高安全、高速、长距离、高稳定的实用化QKD技术

当前主流商用QKD系统的工作频率是50MHz,在50公里通信距离下安全码率为kb/s量级,最远传输距离为100km左右,不能满足实际应用需求。当前本领域重要研究方向是研制高速、长距离、稳定的QKD系统。为实现上述目标,需要自主研制关键量子器件——高速量子随机数发生器、高速单光子源、高速高效率低噪声的单光子探测器等。依托于上述关键器件,研制高性能QKD系统产品。近期技术发展趋势是推出1~10GHz高速实用化商用QKD系统。此外,研制可集成化的QKD芯片也是一个发展趋势。

近年来,连续变量QKD协议、测量设备无关协议等在理论和实验技术进展迅速,具有光明的发展前景,需要进一步加大投入。

(2)QKD技术的标准化和应用推广

未来几年本领域将开展涵盖器件、系统、网络、安全等层面的QKD技术标准体系的构建,指导QKD技术创新产业链的发展,确保量QKD技术产品的安全可靠。

实现国防、金融、电力和政务等行业领域具有重大意义的应用推广,支撑下一代国家信息安全生态系统的建设。

(3)量子存储及中继技术

当前光纤QKD点到点通信距离最远400公里左右,不能满足实际应用中上千公里通信的应用需求。采用量子中继技术理论上能有效延长系统通信距离,然而量子中继技术需要用到量子存储、纠缠提纯和交换等技术,现有技术条件下难度较大。目前,世界各国的研究者正在从事相关关键技术研究。中国在此方向有一定优势,预期未来10年内会有较大的技术突破。突破量子中继技术能一举解决量子通信中的通信距离问题,有望取代可信中继,推动QKD技术的实用化。

(4)大规模QKD网络及应用

随着中小规模QKD网络的成功运行,大规模QKD网络及应用探索研究已被提上日程。2012年,中国建设完成合肥城域量子保密通信试验示范网,该网络包含46个节点,在合肥市区多个政府部门、金融机构和科研院校得以应用。2016年,由中科院、中科大为总体单位,连接北京、济南、合肥、上海,全长2000余公里的量子保密通信骨干线路项目“京沪干线”正式建成,实现了大尺度QKD技术的试验验证。未来十年,大规模组网技术将进一步成熟,网络容量达到万用户以上量级,网络涵盖范围将达到万公里量级,实现广域QKD网络。

(5)星地及星间QKD实验

随着大规模QKD组网技术的成熟,下一步需要解决全国乃至全球范围内QKD组网问题。目前的较为可行技术方案是通过卫星作为中继进行互联,欧盟、中国、日本、加拿大和新加坡等国家皆在进行星地的QKD技术研究。在2016,中科院牵头研制的 “墨子号”卫星成功上天,在国际上首次实现了星地QKD实验研制,通过卫星这一天基平台和地面千公里级的光纤网络,我国广域QKD网络已初具雏形。

可以预见的下一个十年,人们一旦突破了外太空的星间量子通信、全天候的空间量子通信以及星载量子存储等面向下一代的量子通信关键技术,通过多颗卫星直接实现全球化量子通信、通过星间量子中继实现高效的全球化量子纠缠分发等目标也将得以实现。同时,量子力学的非局域性、相对论效应、量子引力等许多物理学基本问题也能够通过更大尺度的量子传输实验平台取得更多进展。

5.发展建议

(1)密切跟踪国际量子计算技术进展

“QKD技术何时实用化?”是本领域最关心的问题之一,各专家学者众说纷纭。这个问题的答案很大程度上取决于量子计算技术发展水平。QKD技术之所以如此重要,其根本原因是量子计算技术对现有的经典密码技术造成强力冲击,而QKD技术可抵御量子计算。一旦敌国量子计算技术在密码破译方面取得重大进展,则我国不得不用QKD以及量子保密通信技术,该技术自然必须走向实际应用。根据国内外专家预测,量子计算可能在15年左右时间对现行公钥密码构成威胁,因而发展QKD技术刻不容缓。

(2)加强基础投入和自主研发

尽管从QKD系统性能指标以及QKD网络规模而言,中国达到了世界领先水平。但是,中国的QKD技术研究在以下方面有所欠缺。首先,主流QKD协议及其安全性分析理论几乎都是国外完成的,重要的QKD系统体系架构和技术方案也主要是由国外完成的,国外在相关技术专利和知识产权方面占据优势。中国的整体学术影响力相对不足,专利数量和质量偏低,近年来上述状况有所改善。其次,从硬件技术上来讲,核心的高速单光子探测器等主要核心器件仍然依赖于进口。要真正解决上述问题,需要高度重视基础前沿研究,重视基础元器件和关键技术的自主研发,重视知识产权和技术创新。

(3)加强校企合作和市场推广

中国的QKD技术研究团队绝大多数集中或依托于高校。而在国外,大型商用公司早已介入相关研究。国际IT巨头如:IBM、Philips、AT&T、HP、西门子、NEC、日立、NTT、DoCoMo等大公司都对量子通信技术投入巨资,开展技术研发和产业化运作。其中,瑞士Id Quantique公司、美国MagiQ公司以及澳大利亚Quintessence Labs公司等已向市场推出量子密码商用产品。目前,量子通信技术正处于实用化攻关时期,中国相关企业和工业部门应适时介入该技术领域。

QKD技术不仅能满足国防、党政等国家级保密通信的战略需求,也可用于金融、互联网等复杂行业,同时也能适用于重要能源供给基础设施的安全通信保障和安全监控等。相关企事业单位应结合高校的科学研究基础,找准实际应用切入点,有针对性的开发专用化产品,加大市场推广。

(参考文献略)

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。