量子通信现状与展望.pdf

量子通信现状与展望.pdf

《量子通信现状与展望.pdf》由会员分享，可在线阅读，更多相关《量子通信现状与展望.pdf（16页珍藏版）》请在冰豆网上搜索。

量子信息专刊评述引用格式:

吴华,王向斌,潘建伟.量子通信现状与展望.中国科学:

信息科学,2014,44:

296311,doi:

10.1360/N112013-00120中国科学:

信息科学2014年第44卷第3期:

量子通信现状与展望吴华x,王向斌yz,潘建伟xzx中国科学技术大学公共事务学院,合肥230026y清华大学物理系低微量子物理国家重点实验室,北京100084z量子信息与量子科学前沿协同创新中心,合肥230026济南量子技术研究院,济南250101*通信作者.E-mail:

wang收稿日期:

20130806;接受日期:

20131216国家重点研究发展计划（批准号:

2007CB907900,2007CB807901）、国家自然科学基金（批准号:

60725416,11174177）、国家高技术研究发展计划（批准号:

2006AA01Z420,2011AA010800,2011AA010803）和山东万人计划项目资助摘要本文综述量子通信基本原理、方法、技术手段与应用.介绍量子保密通信基本协议和诱骗态方法,以及基于纠缠分发的量子通信,含基于纠缠光子对的量子保密通信、量子态隐性传输、纠缠光子对操控等.介绍量子通信的技术与应用现状并对未来发展方向做展望.关键词量子通信量子密钥分发BB84协议诱骗态方法量子隐形传态纠缠光子对操控量子网络1引言“最近的16公里量子态隐形传输的成功试验表明,中国将有能力建立起卫星与地面的安全量子通信网络.”美国时代周刊在“爆炸性新闻”栏目中以“中国量子科学的飞跃”为题,对2010年中国科技大学与清华大学合作完成的16公里量子态隐形传输试验进行了评论.相比于经典通信,量子通信究竟有哪些优势,有哪些应用,源于何种原理以及方法和技术手段等,无疑是大家所关心的.我们将在此介绍量子通信的基本概念与方法、技术现状,以及未来应用前景.量子通信的基本思想主要由Bennett等于20世纪80年代和90年代起相继提出,主要包括量子密钥分发（quantumkeydistribution,QKD）1和量子态隐形传输（quantumteleportation）2.量子密钥分发可以建立安全的通信密码,通过一次一密的加密方式可以实现点对点方式的安全经典通信.这里的安全性是在数学上已经获得严格证明的安全性,这是经典通信迄今为止做不到的.现有的量子密钥分发技术可以实现百公里量级的量子密钥分发3,辅以光开关等技术,还可以实现量子密钥分发网络4,5.量子态隐形传输是基于量子纠缠态的分发与量子联合测量,实现量子态（量子信息）的空间转移而又不移动量子态的物理载体,这如同将密封信件内容从一个信封内转移到另一个信封内而又不移动任何信息载体自身.这在经典通信中是无法想象的事.基于量子态隐形传输技术和量子存储技术的量子中继器可以实现任意远距离的量子密钥分发及网络.中国科学:

信息科学第44卷第3期图1单光子偏振Figure1Singlephotonpolarization量子通信的实现基于量子态传输.为便于传输,现有的量子通信实验一般以光子为量子态载体,其表现形式即为光子态传输.量子信息的编码空间以光偏振（见图1）为主.如前所述,量子态隐形传输只是在空间转移量子信息（量子态）,但并不转移量子信息的物理载体.若以光子为量子信息载体,量子态隐形传输就是把量子信息从一个光子上转移到远处另外一个光子上.这样的量子态隐形传输有一个明显的应用:

在恶劣通道情况下,若直接传输光子本身进行量子通信,将会由于误码率过大而无从实现通信任务.而基于量子态隐形传输的量子通信由于无需传输光子本身,其通信质量不受物理通道影响.量子态隐形传输需要通信双方预先共享一个量子纠缠态（常用的两光子量子纠缠态又称纠缠光子对,或纠缠对）.为了预先共享纠缠对,需要预先进行纠缠对分发.实际上,纠缠分发本身也可以用来实现量子密钥分发.通信双方预先共享的纠缠对的质量取决于纠缠分发时的通道状况.用于各类噪声的存在,共享纠缠对一般是不理想的.Bennett等人1,2的理论表明,通过对不理想纠缠对纯化可以获得高质量纠缠对.基于此可以实现高品质的量子态隐形传输.目前,量子态隐形传输6、纠缠光子对分发7,8,以及纠缠纯化9,10都已经获得广泛实验研究.基于BB84协议的量子密钥分发无需共享纠缠对资源,只需要单光子态传输.目前真实系统没有理想单光子源,采用的是近似单光子源,即强度为单光子量级的弱激光源,后简称弱光.由于传输损耗,基于弱光传输的量子密钥分发安全距离受到严重限制.另一方面,窃听者可以冒充通道损耗进行光子分数攻击（photonnumbersplittingattack,PNSattack）11,12.文献分析表明,现有技术的安全距离实际上不到20公里.一个行之有效的办法是采用近年发展起来的诱骗态方法（decoy-statemethod）1316,它虽然继续采用现有光源,但安全性等价于理想单光子源,距离与理想单光子源距离基本相同.基于量子力学原理,单量子态信号不能被完全克隆放大,而通道损耗随距离呈指数增长.因此,不论光源与检测技术如何发展,单量子态的直接传输距离不可能无限发展.一般认为,其极限距离大概在数百公里量级.远程量子通信的最终实现将依赖于量子中继概念.其基本思想是:

在空间建立许多站点.各相邻站点间预先共享并存储量子纠缠对.采用量子态隐形传输技术可以实现量子纠缠转换,即增长量子纠缠对的空间分隔距离.如果预先将纠缠对布置在各相邻站点,纠缠转换操作后便可实现次近邻站点间的共享纠缠.继续操作下去,原则上可以实现在很远的两个站点间建立共享纠缠,即实现远距离量子通信.基于量子中继17,18的量子通信距离没有原理上的限制.基于量子中继的远程量子保密通信,即便所有中继站都为敌方控制,终端间的通信依然是安全的.这是量子中继相比于经典中继（又称可信中继）的最大优势.297吴华等:

量子通信现状与展望图2量子密钥分发Figure2Quantumkeydistribution近年来,以BB84协议和量子态隐形传输为代表的量子通信理论与实验在以越来越快的速度朝实用化和商用化方向迅猛发展.2量子通信的基本原理点对点保密通信最直接的办法是让通信双方先共享一串密码,然后以此密码通过一次一密的加密方式对通信内容加密、解密.Shannon19于1948年已经证明,若密码是安全的,则通信内容严格安全.现有的经典协议不能确保通信双方的共享密码的安全性.例如,使用秘密信道建立共同密码的方法.经典通信不存在可证实的绝对安全的秘密信道,因为窃听者原则上总可以做到获取“秘密通道”的信息（密码）而又不留痕迹.合法用户无从知晓通过“秘密信道”发送的密钥有没有被窃听.建立密钥的另一种经典方法是基于对特定数学问题的复杂性假定.然而,现有的复杂性假定并未获得严格的数学证明,基于量子逻辑的大数分解算法20却从理论上证明了经典RSA通信协议不安全.下面我们重点介绍量子密钥分发理论协议的安全性问题.2.1BB84协议及其安全性相比于经典通信,量子通信的一个重大优势是可以实现严格数学证明下的安全性（绝对安全性）.为实现绝对安全的保密通信,Benett与Brassard于1984年提出了首个量子密钥分发协议1（见图2），即著名的BB84协议.这种方案的安全性基于量子力学的两个基本原理:

单光子的不可分割性和单光子量子态的测量塌缩性.在BB84协议以及大多数量子信息处理中,以单量子态对应于经典二进制码（bit）.基本要求是所选择的量子系统有两个基本态.在BB84协议中水平或45偏振对应于经典比特0;竖直或135偏振对应于经典比特1.Alice向Bob发射一系列单光子偏振态.每个光子的偏振从水平、竖直、45或135中随机选出.或者说,Alice随机使用了两组基,我们称之为直角基（水平,竖直偏振）及斜角基（45偏振或135偏振）.对每个飞入光子,Bob随机选用直角或斜角基测量其偏振.Bob丢弃那些使用了错误基得到的测量结果.对于剩下的测量记录,随机抽取一部分与Alice对照,检验每组基下各态的误码率并丢弃这些公开宣布的用作检验的测量结果.再对剩余数据（我们称之为初始码）通过纠错,隐私放大而提炼出最终码.298中国科学:

信息科学第44卷第3期图3光子数分离估计Figure3Photonnumbersplittingattack光子总是以一个整体出现.半个光子的事件从来不会发生.BB84协议要求传输的单光子脉冲,原理上不允许窃听者通过分割光子并保留部分光子的办法进行窃听.窃听者要么获得完整光子,要么什么都没有获得.量子物理学把测量视为物理学过程的一部分.对一个量子体系观测,原则上会带来扰动.量子世界里不存在“静悄悄地偷看”,即观测而又不对被观测系统产生扰动.就是说,观测就会留下痕迹,这些构成量子密钥安全性的物理基础.严格的安全性证明最早由Mayers21于1996年给出.Shor与Preskill22于1999年给出了大为简化的证明,其主要结论是:

任何窃听者对最终码的信息量大于的概率小于,其中,为指数接近于零点小量,如100亿分之一.最终码的产出率取决于通道误码率.就BB84方案而言量子密钥分发误码率上限值为11%.虽然BB84方案已经被证明是绝对安全的,这并不意味着任何以该方案为基础的实验都是安全的.这是因为所进行的实验未必真正符合BB84安全性证明中所要求的前提条件.证明中假设了单光子源,由于技术难度极高,现有的实验多采用单一强度弱激光,即弱相干态光.其安全性上存在一定问题,下面我们做简要的介绍.2.2光子数分离攻击如前所说,单光子的不可分割性是量子密码安全性的重要物理基础.然而,多光子脉冲不再拥有不可分割性.例如,一个包含两个光子的脉冲,原则上可以被分割为两个单光子脉冲,所以其安全性基础就不复存在了,就会遭受光子数分离攻击,下面我们来具体介绍下光子数分离攻击11,12.由于量子通信通道损耗率极大,对于100km以上的距离,加上探测效率,整体效率将小于千分之一.根据理论证明,理想单光子源即便在高损耗通道下也是绝对安全的,可是实际系统使用的弱光在高损耗通道下则结果完全不同:

窃听者可以冒充通道损耗通过光子数分离攻击而获得全部密码.如图3所示,为表述方便,我们以偏振空间为例.弱相干态脉冲实际上是单光子与多光子脉冲的概率混合.即,在所发出的非真空脉冲中,有些是单光子的,有些是多光子的（2光子,3光子,.）.多光子脉冲即包含了多个全同偏振光子.窃听者可将其分离,自己留下一个,将剩余光子送到远程合法用户.对于这些多光子脉冲,窃听者可以拥有与合法用户完全一样的偏振光子而不对远程合法用户的光子偏振态造成任何扰动.即,对于多光子脉冲,窃听者可以拥有100%的信息而不被察觉.窃听者可以选择将所有单光子脉冲完全吸收而使得远程合法用户的所有比特皆由光源的多光子脉冲产生.窃听者的行为不会被合法用户察觉,因为窃听者可以对每个单独脉冲随时调整通道衰减系数,从而使得远程合法用户的探测器计数率等同于高损耗自然通道.299吴华等:

量子通信现状与展望对于2005年以前的弱相干态密钥分发实验20,2327,窃听者可获取全部信息而不留下任何痕迹.事实上,量子密码发明者之一,Brassard等11,12早在2000年就对弱相干态量子密码实验做出批评,Brassard等在其著名论文的摘要部分指出:

“Existingexperimentalschemes（basedonweakpulses）currentlydonotofferunconditionalsecurityforthereporteddistancesandsignalstrength”,即:

“现有基于（相干态）弱脉冲的做法,据其所报告的距离及所采用的脉冲强度,并不提供绝对安全性.”Brassard的这一评论适用于2005年以前所有基于弱相干光的量子密钥分发实验20,2327.幸运的是,于2005年起发展起来的诱骗态量子密码理论,提供了一