量子密钥分发:从BB84到TF-QKD
基于双场量子密钥分发协议(TF-QKD),中国科学家在实验室内首次将光纤量子密钥分发的安全成码距离推至500公里以上,创造了光纤量子密钥分发的新纪录,并且在超过500公里的光纤成码率打破了传统无中继量子密钥分发所限定的绝对成码率极限。相关研究成果发表在Physical Review Letters(并被选为“编辑推荐”文章)和Nature Photonics上。
通信对于现代社会的意义不言而喻。在通信世界里,信息的安全性总是首位的。为了保证信息的安全,人们在将信息传递给接收者之前,利用密钥对其进行加密,而后接收者基于密钥对加密信息进行解密。
可见,信息的安全性依赖于密钥的安全性。若要实现两个相聚遥远的通信节点间的安全密钥共享,就需要一种安全的密钥传输方式,而量子密钥分发(quantum key distribution,QKD)作为目前最安全的密钥传输方式,可做到理论上的信息论安全。
从理论到实际应用,要想在现实条件下实现远距离、安全的量子通信,会面临很多挑战。信道损耗和探测器噪声,制约着量子密钥分发的适用范围,如何获得更高的成码率(密钥生成速率)以及更远的密钥传输距离,是目前亟待进一步解决的难题。在实现安全、实用的量子通信的征程上,为了克服出现的种种困难,各种理论构想和实验方案被不断提出:从最早的BB84协议,到诱骗态量子密钥分发(decoy-state QKD)和测量设备无关量子密钥分发(measurement-device-independent QKD,MDI-QKD),再到最近两年提出并得到实验证实的双场量子密钥分发协议(twin-field QKD,TF-QKD)。
量子密钥分发和BB84协议
什么是量子密钥分发?
所谓的量子密钥分发,实际上是一种利用量子系统作为信息载体进行传输,进而提取共享安全密钥的保密通信方式,比如采用单光子作为载体,发送端加载编码信息、接收端探测解码信息,进而提取共享安全密钥。
量子力学基本原理保证了通信的安全性。例如基于海森堡测不准原理,攻击者无法精确测量量子态,任何测量的窃听行为都必然导致不可避免的系统扰动,从而被QKD用户发现攻击痕迹。
BB84协议
量子密钥分发的第一个协议——BB84协议是美国物理学家Charles H.Bennett和加拿大密码学家Gilles Brassard在1984年提出的,BB84得名于两人姓的首字母和提出年份。BB84协议属于两点式通信架构,即一个发送端(Alice),一个测量端(Bob),如图1所示,Alice在单光子的偏振维度上,选用两组非正交基矢以及每组基矢下两个正交偏振态(直角基矢下的H偏振,V偏振,以及斜角基矢下的+45o偏振,-45o偏振)。根据0和1经典二进制比特信息随机数,Alice将光源编码成相应偏振的单光子量子态——H偏振态及-45o偏振态代表经典比特信息0,V偏振态及+45o偏振态代表经典比特信息1,进行传输,同时Bob也随机地选用直角基矢以及斜角基矢之一进行测量并记录结果。
当实验进行一段时间后,Alice和Bob在一个认证的公共信道上公布所选用的基矢信息,然后各自保留所选的相同基矢下的信息即可获得筛后密钥,再各自从筛后密钥中抽样一段进行信息比对一致性,当错误率超过一定界限即认为此次通信不安全,放弃该次通信产生的密钥,然后再进行下一次通信,直至筛后密钥比对的结果满足错误率要求,最后再进行数据后处理(纠错和隐私放大等)使Alice和Bob共享一段相同的安全密钥。由于密钥分发过程中,Alice和Bob所选用的基矢是随机的,且两组基矢是非正交的,入侵者若要窃听,就需要对这些未知的单量子态进行测量,因为测不准原理,被测量的量子态必然会产生随机的测量结果,最终导致Alice和Bob筛后密钥比对的结果错误率提高,从而使入侵者被发现。
图1 BB84量子密钥分发协议
量子力学基本原理保证了BB84协议具有信息理论安全性,但由于现实中实验器件的不完美性,使得真实系统的量子密钥分发可能会存在一些安全性隐患。幸运的是,在全球学术界三十余年的共同努力下,目前,结合“测量器件无关量子密钥分发”协议和经过精确标定、自主可控光源的量子通信系统已经可以提供现实条件下的安全性(详见“量子信息和量子技术白皮书(合肥宣言) ”)。
测量设备无关量子密钥分发
协议原理及安全性
测量设备无关量子密钥分发(MDIQKD)协议由Hoi-Kwong Lo教授等人于2012年提出。为介绍MDIQKD协议的思想,首先介绍BBM92协议。BB84协议提出者Bennett和Brassard以及康奈尔大学的Mermin利用纠缠源结合BB84协议的思想的简洁性,提出了BBM92协议,并证明本质上和BB84协议等价。
BBM92协议中,第三方Charlie的纠缠源产生的纠缠光子对分发给Alice和Bob测量,Alice和Bob的测量方式采用和BB84协议相同的测量方式。在经典通信部分,Alice和Bob公布他们所用的测量基矢,保留基矢相同的测量结果为筛后密钥,再经过数据后处理将筛后密钥中的误码和Eve的信息都去掉,得到完全一致的一串安全密钥。BBM92协议和标准BB84协议不同之处在于其安全性并不依赖于第三方Charlie的纠缠源,也即纠缠源在产生、传输过程中Eve的任何操作都不会影响到BBM92协议最后产生密钥的安全性。
相比而言,MDIQKD协议则是将BBM92的执行过程进行“时间反演”。具体地,Alice和Bob作为光源,按照BB84协议相同的编码方案制备量子态,然后发送给中间第三方Charlie。Charlie将Alice和Bob发送过来的2个光子进行干涉,通过基于双光子干涉和符合探测操作,得到后选择出来的纠缠光子对。类比BBM92协议,MDIQKD的安全性并不依赖第三方Charlie通过符合测量得到的“纠缠源”,从而MDIQKD协议的安全性不依赖于Charlie的测量设备,是测量设备无关的。
图2 基于纠缠分发的BBM92协议(左)和MDIQKD协议(右)
通信架构
测量设备无关量子密钥分发属于三点式通信架构,如图3(a)所示,Alice和Bob作为两个发送端,Charlie作为接收测量端,Alice和Bob根据Charlie公布的测量结果来共享一段相同的安全密钥,整个过程Charlie的测量结果不会影响到通信的安全性,即所谓的测量设备无关。
真实的实验环境中,测量设备无关量子密钥分发方案的安全性是目前远距离量子密钥分发实验里最高的,曾一度也是光纤量子密钥分发实验中传输距离最远的——404公里。直到2018年Hugo Zbinden团队利用诱骗态BB84量子密钥分发方案实现了421公里的光纤传输距离才打破这一纪录,但真实实验环境中BB84量子密钥分发方案的安全性无法做到与测量设备无关。因此,综合真实环境里的安全性以及传输距离,测量设备无关量子密钥分发是目前最优的远距离光纤量子密钥分发方案。
线性成码极限
传统的测量设备无关量子密钥分发采用双光子符合事件作为有效探测事件,即接收方Charlie每产生一次用来成码的有效探测需要消耗两个光子,其安全成码率随着信道衰减线性下降,因此在无量子中继的情形下,传统测量设备无关量子密钥分发的安全成码率是无法突破线性成码极限的。
图3 (a)传统测量设备无关量子密钥分发;(b)双场量子密钥分发
量子密钥分发面临的难点
尽管量子密钥分发已取得众多重要研究成果,但目前仍然面临两大难题,即如何获得更高的成码率(密钥生成速率)以及更远的密钥传输距离。
在成码率方面,东芝欧研所A. J. Shields团队于2014年在50公里光纤距离下获得1.2 Mbps的成码率。
在传输距离方面,中国科学技术大学潘建伟团队于2017年基于墨子号量子科学实验卫星实现了1200公里自由空间的量子密钥分发,日内瓦大学Hugo Zbinden团队于2018年实现了421公里光纤的量子密钥分发。
即便如此,这些量子密钥分发的理论和实验工作,依然都没有突破无中继情形下量子密钥分发成码率-距离的极限——接收设备不产生任何探测噪声时该距离下的成码率。而且,上述实际量子密钥分发系统还会进一步限制在成码率-距离的极限之内,因为测量设备都会存在一定噪声,噪声会降低传输的成码率。随着传输距离越来越长,信道衰减越来越大,测量设备所能测量到的信号计数也越来越少,而测量设备产生的噪声在信号中占比也越来越大,当噪声占比超过一定界线,传输过程便不能生成密钥。
可信中继和量子中继
远距离光纤量子通信过程中,信道传递的量子态会随着通信距离的增加呈指数减少,极大地限制了量子通信的有效传输距离。若设置量子通信网络中继站,将一段长距离光纤信道分割成多段距离比较短的信道,可使得量子信号不再随距离的增加而指数衰减,从而扩展量子通信的距离。实现量子通信网络中继站的方式,我们通常有两种选择——可信中继和量子中继。
可信中继是严密监控下的数据中转站,可信中继首先采用内部的量子密钥分发设备,分别与连接可信中继的两方单独进行量子密钥分发,产生各自密钥,然后进行密钥中转,实现两方之间的密钥共享。那么,在这种情况下两方所共享的密钥数据,中继站也是知道的。因此,可信中继需要通过传统的安全保障来确保其密钥数据在站点内的安全性。
而量子中继是让发送方和接收方通过它建立关联,但中继站本身并不知道具体的编解码值的信息。因此,量子中继器不存在数据泄露的问题。即使有内鬼,最糟也只是让量子中继不能运行,但不能窃取到数据。量子中继需要用到量子存储器存储一些对窃听者无用的中间量子态,然而,目前的量子存储性能有限,实现实用化量子中继器还需假以时日。
突破无量子中继的线性成码极限
那么无量子中继的线性成码极限是否就真的无法突破了呢?答案是否定的。如果我们能做到每次用来成码的有效探测所消耗的光子数比传统测量设备无关量子密钥分发更少,那么我们就可以在相同的信道损耗下获得比传统测量设备无关量子密钥分发更多的有效探测,从而获得比线性成码极限更高的成码率。这就是我们接下来要说的双场量子密钥分发协议。
双场量子密钥分发
所谓的双场量子密钥分发,即利用单光子干涉后的探测作为有效探测事件的测量设备无关量子密钥分发,仅需单个探测器响应,而不需要传统测量设备无关量子密钥分发的双光子符合所需的两个探测器同时响应。当干涉之后的两个探测器之一响应的时候,Alice和Bob的编码相位呈正关联或反关联关系,但是Charlie无法知道Alice和Bob的编码是0或者1,因此该协议的安全性和传统测量设备无关量子密钥分发的安全性一样,都是测量设备无关的。如图3(b)所示,接收方Charlie每产生一次用来成码的有效探测只需要消耗一个光子,是传统测量设备无关量子密钥分发探测消耗的双光子的一半,且该光子仅经历单边信道,衰减是信道总衰减的平方根,从而安全成码率提升至随信道衰减的平方根下降,因此在长距离传输情形下,双场量子密钥分发较传统测量设备无关量子密钥分发具有更高的成码率以及更远的成码距离,甚至可以在无量子中继的情形下轻松突破量子密钥分发的成码率线性极限。
技术难点与实验实现
我们已经了解到,双场量子密钥分发的核心是利用单光子干涉。与此同时,将单光子干涉结果作为有效探测,也使得双场量子密钥分发实施起来十分困难。要在Charlie实现稳定的单光子干涉,首先需要将Alice和Bob两个远程独立激光器的波长锁定为一致,以消除Alice和Bob激光器波长不同所引起的相位差,其次需要通过单光子探测结果实现长距离光纤链路相对相位快速漂移的精准估计。
如此一来,与传统相位编码的测量设备无关量子密钥分发相比较,双场量子密钥分发的发送方在编码时序上需要增加附加相位参考光脉冲,且接收方需要根据附加相位参考光脉冲的干涉结果,来评估传输过程中长距离光纤链路引入的相对相位快速漂移。如图4所示,双场量子密钥分发在编码时序上,除了原本信息编码的量子光区间(脉冲强度为单光子水平),还增加了强的参考光区间(强光脉冲)——用于光纤链路相对相位快速漂移的精准估计,以及单光子探测器经历强光后的恢复时间(不发光)。此外,由于增加了强的相位参考光脉冲,双场量子密钥分发实验的单光子探测器需要同时满足高计数率、高效率及超低暗计数。
图4 双场量子密钥分发编码时序
光纤量子密钥分发的新纪录
中国科学技术大学潘建伟实验小组分别基于清华大学王向斌提出的“发送-不发送”的双场量子密钥分发协议和马雄峰提出的相位匹配双场量子密钥分发协议,发展时频传输技术和激光注入锁定技术,将两个独立的远程激光器的波长锁定为相同,以及利用附加相位参考光来估计光纤的相对相位快速漂移并进行相位后处理。同时结合中国科学院上海微系统与信息技术研究所研制的高计数率、低噪声单光子探测器,最终在实验室内首次将光纤量子密钥分发的安全成码距离推至500公里以上,创造了光纤量子密钥分发的新纪录,并且在超过500公里的光纤成码率打破了传统无量子中继量子密钥分发所限定的绝对成码率极限,即超过了理想的探测装置(探测器效率为100%)下的无量子中继量子密钥分发成码极限。
在未来,科学家们还会将双场量子密钥分发应用于实地,实现城际之间安全的光纤量子密钥分发,并且如果将双场量子密钥分实验系统的重复频率进一步升级至京沪干线等远距离量子通信网络中采用的1GHz,在300公里处,成码率可达5kbps,这将大量减少骨干光纤量子通信网络中的可信中继数量,大幅提升光纤量子保密通信网络的安全性。
(责任编辑:刘嘉诚)
(版权说明,转载自:墨子沙龙公众号)
