基于孪生双场量子密钥分发协议（TF-QKD），中国科学家在实验室内首次将光纤量子密钥分发的安全成码距离推至500公里以上，创造了光纤量子密钥分发的新纪录，并且在超过500公里的光纤成码率打破了传统无中继量子密钥分发所限定的绝对成码率极限。相关研究成果发表在Physical Review Letters（并被选为“编辑推荐”文章）和Nature Photonics上。

作者 | 陈玖鹏

编辑 | 王佳

通信对于现代社会的意义不言而喻。在通信世界里，信息的安全性总是首位的。为了保证信息的安全，人们在将信息传递给接收者之前，利用密钥对其进行加密，而后接收者基于密钥对加密信息进行解密。

可见，信息的安全性依赖于密钥的安全性。若要实现两个相聚遥远的通信节点间的安全密钥共享，就需要一种密钥的安全传输方式，而量子密钥分发（quantum key distribution，QKD）作为目前最安全的密钥传输方式，可做到理论上的无条件安全。

从理论到实际应用，要想在现实条件下，实现远距离、安全的量子通信，还面临着很多挑战。信道损耗和探测器噪声，制约着量子密钥分发的适用范围，如何获得更高的成码率（密钥生成速率）以及更远的密钥传输距离，是目前亟待解决的难题。在实现安全、实用的量子通信的征程上，为了克服出现的种种困难，各种理论构想和实验方案被不断提出：从最早的BB84协议，到测量设备无关量子密钥分发（measurement-device-independentQKD，MDI-QK）；从中继站到最近两年提出并得到实验证实的孪生双场量子密钥分发协议（twin-field quantum key distribution，TF-QKD）。

量子密钥分发和BB84协议

什么是量子密钥分发？

所谓的量子密钥分发，实际上是一种信息物理层加密的保密通信方式，所谓的信息物理层加密也就是通信过程中对携带信息的载体进行加密，这区别于传统的保密通信，后者是对信息本身进行加密传输。

以光纤中量子密钥分发和经典光纤加密通信为例来说明。两种通信方式都是将经典0和1二进制比特信息以加密的方式传输出去，且携带0和1二进制比特信息的载体都是光脉冲，所不同的是，量子密钥分发采用的是单光子脉冲——即每脉冲包含的光子个数在单个光子水平，而经典光纤保密通信采用的是强光脉冲。此外，量子密钥分发的加密是对单光子脉冲本身进行加密，而经典光纤保密通信的加密是对传输的0和1二进制比特信息进行加密。因此，光纤中量子密钥分发可视作在通信光纤两端，利用单光子量子脉冲的发送和接收设备来替代光模块，以实现信息物理层加密的保密通信。

在量子密钥分发过程中，任何针对密钥的窃听，都需要对单光子脉冲构成的量子态进行测量，但根据量子力学不可克隆原理，任何测量都会改变量子态本身，造成高误码率，从而使窃听者被发现。

BB84协议

量子密钥分发的第一个协议——BB84协议是美国物理学家Charles H. Bennett和加拿大密码学家GillesBrassard在1984年提出的，BB84得名于两人姓的首字母和提出年份。BB84协议属于两点式通信架构，即一个发送端（Alice），一个测量端（Bob），如图1所示，Alice在单光子的偏振维度上，选用两组非正交的四个基矢（H偏振，V偏振以及＋偏振，－偏振）分别将0和1经典二进制比特信息随机加密成不同偏振的单光子量子态——H偏振态及－偏振态代表经典比特信息0，V偏振态及＋偏振态代表经典比特信息1，进行传输，同时Bob也随机地选用H和V偏正以及＋和－偏振两组基矢进行测量并记录结果。当实验进行一段时间后，Alice和Bob在一个认证的公共信道上公布所选用的基矢信息，然后各自保留所选的相同基矢组下的信息即可获得粗的密码，再各自从粗码中选取一段进行信息比对，当错误率超过一定界限即认为此次通信不安全，放弃该次通信产生的密钥，然后再进行下一次通信，直至粗码比对的结果满足错误率要求，最后再进行数据后处理（纠错和隐私放大等）使Alice和Bob共享一段相同的安全密钥。由于密钥分发过程中，Alice和Bob所选用的基矢是随机的，且两组基矢是非正交的，入侵者若要窃听，就需要对这些未知的单量子态进行测量，如此势必会使被测量的量子态本身发生改变，最终导致Alice和Bob粗码比对的结果错误率提高，从而使入侵者被发现。

图1. BB84量子密钥分发协议

尽管BB84协议由量子力学基本原理保证，在信息理论上具有绝对的安全性，但由于现实中实验器件的不完美性，使得真实系统的量子密钥分发会存在一些安全性漏洞，曾一度阻碍着量子密钥分发的实用化，这其中包括基于源端（发送方）攻击的安全性漏洞，也有基于测量端（接收方）攻击的安全性漏洞。量子密钥分发系统的安全性和实用化，这矛盾的双方看似不可协调。实际上，系统的源端的攻击相对比较少而且容易应对和检测，安全性问题主要集中在测量设备端，很多致命的攻击都是针对探测设备进行的。幸运的是，加拿大的 Hoi-Kwong Lo 教授于 2012 年提出的测量设备无关的量子密钥分发协议很好地关闭了测量端的所有漏洞，自动对探测端量子黑客攻击免疫。

测量设备无关量子密钥分发

通信架构

测量设备无关量子密钥分发属于三点式通信架构，如图2（a）所示，Alice和Bob作为两个发送端，Charlie作为接收测量端，Alice和Bob根据Charlie公布的测量结果来共享一段相同的安全密钥，整个过程Charlie的测量结果不会影响到通信的安全性，即所谓的测量设备无关。

真实的实验环境中，测量设备无关量子密钥分发方案的安全性是目前远距离量子密钥分发实验里最高的，曾一度也是光纤量子密钥分发实验中传输距离最远的——404公里。直到2018年Hugo Zbinden团队利用BB84量子密钥分发方案实现了421公里的光纤传输距离才打破这一纪录，但真实实验环境中BB84量子密钥分发方案的安全性无法做到与测量设备无关。因此，综合真实环境里的安全性以及传输距离，测量设备无关量子密钥分发是目前最优的远距离光纤量子密钥分发方案。

线性成码极限

传统的测量设备无关量子密钥分发采用双光子符合事件作为有效探测事件，即接收方Charlie每产生一次用来成码的有效探测需要消耗两个光子，其安全成码率随着信道衰减线性下降，因此在无量子中继的情形下，传统测量设备无关量子密钥分发的安全成码率是无法突破线性成码极限的。

图2.（a）传统测量设备无关量子密钥分发；（b）双场量子密钥分发

量子密钥分发面临的难点

尽管量子密钥分发已取得众多重要研究成果，但目前仍然面临两大难题，即如何获得更高的成码率（密钥生成速率）以及更远的密钥传输距离。

在成码率方面，东芝欧研所A. J. Shields团队于2014年在50公里光纤距离下获得1.2 Mbps的成码率。

在传输距离方面，中国科学技术大学潘建伟团队于2017年基于墨子号量子科学实验卫星实现了1200公里自由空间的量子密钥分发，日内瓦大学HugoZbinden团队于2018年实现了421公里光纤的量子密钥分发。

即便如此，这些量子密钥分发的理论和实验工作，依然都没有突破无中继情形下量子密钥分发成码率-距离的极限——接收设备不产生任何探测噪声时该距离下的成码率。然而，实际的量子密钥分发系统测量设备都会存在一定噪声，噪声会降低传输的成码率。随着传输距离越来越长，信道衰减越来越大，测量设备所能测量到的信号计数也越来越少，而测量设备产生的噪声在信号中占比也越来越大，当噪声占比超过一定界线，传输过程便不能生成密钥。

（未完待续：可信中继和量子中继、突破无量子中继的线性成码极限）

关于“墨子沙龙”*

墨子沙龙是由中国科学技术大学上海研究院主办、上海市浦东新区科学技术协会及中国科大新创校友基金会协办的公益性大型科普论坛。沙龙的科普对象为对科学有浓厚兴趣、热爱科普的普通民众，力图打造具有中学生学力便可以了解当下全球最尖端科学资讯的科普讲坛。