404公里！量子密鑰分發的最遠光纖傳輸距離

　　隨著量子通信科學實驗衛星「墨子」的發射升空，「量子通信」的名字可謂是家喻戶曉。對這種絕對保密通信方式，人們充滿了好奇，也產生了不少疑問。比如，它的傳輸效率夠高嗎？它可以傳得足夠遠嗎？如果它的中繼站被襲擊，還能保證安全嗎？總之可以概括為：量子通訊真的好使嗎？

　　如果你認為這些問題只是外行人說的外行話，那就大錯特錯了，在量子通信邁向實用化的路上，這幾個問題還真是不容小覷的攔路虎，科研人員需要一個一個地解決才行。

　　如同萊特兄弟的飛機並不能把你從紐約帶到東京，量子通信要真正「用著好使」，就必須加強以下三點：增加安全通信距離、提高安全成碼率、提高現實系統的安全性。

　　理論上說，量子密鑰分發（quantum key distribution，即QKD）可以確保分隔兩地的用戶安全交換密鑰，但是實際上，我們的器件並不是那麼完美，從而給攻擊者留下了一些可能的漏洞。比如，理論上要求光源發射單光子，因為單光子的量子狀態不可複製、不可竊聽。但實際上我們一般採用的是弱相干光子源[2]，這就產生了光源不完美的漏洞。再弱的相干光都存在多光子成分，可能發出兩個或更多光子。針對弱相干光的這一特點，攻擊者可以採取所謂的PNS（photon-number splitting）攻擊，簡單地說，可以理解為：在光源發射方發出多光子後，攻擊者竊取一個光子，剩餘光子傳給接收者。如果攻擊者與接收者進行相同基矢測量，就能獲得與接收者相同的信息，也就是竊取信息。另外，攻擊者也有可能攻擊探測器，比如利用強光改變探測器的光子探測模式、利用不同探測值測量時間不同竊取或控制測量值等，導致探測器只看到攻擊方想讓你看到的信號。為了克服這些漏洞，科研人員想了很多方案改進技術。

　　解決光源漏洞的問題

　　2003年，韓國學者Won-Young Hwang提出了誘騙態量子密鑰分發的基本方法[3]。這一方法怎麼解決光源不完美的漏洞呢？清華大學物理系的王向斌教授從事量子信息研究多年。他曾經做過一個有趣的比喻：有一口井，大家都想喝到其中甘甜的井水，但是不幸的是，這井裡混合了一種毒液，必須把毒液蒸餾掉才能盡情飲用健康的井水。那麼問題來了：蒸餾掉多少合適呢？如果對毒液的百分比估計過大，會白白蒸餾掉很多健康的井水；如果蒸餾的過少，毒液沒去乾淨，人喝了會致命。所以問題的關鍵歸結到了正確估計健康井水百分比的下限。在密鑰分配中，單光子響應就是研究人員需要的「甘甜的井水」，多光子響應就是「致命的毒液」，研究人員必須估計一下單光子計數率的下限和誤碼率的上限，並且在考慮統計漲落的情況下儘可能的接近真實值。

　　2004年，加拿大圓周理論研究所的D。 Gottesman等人詳盡分析了各種不完備情況下量子密鑰分發的安全成碼率。這篇被稱作GLLP（GLLP為四位作者D。 Gottesman， H。 K。 Lo， N。 Lütkenhaus，和J。 Preskill的姓氏首字母縮寫）的文章成為了量子密鑰分發安全性分析的里程碑[4]。它專門分析了標記單光子源對成碼率的影響。常用的弱相干光可以看做一種標記單光子源，對誘騙態量子密鑰分發的成碼率估計就是以GLLP為基礎。誘騙態協議的過程大致是：發送方隨機調製幾種不同光強的強度態（一般是信號態、誘騙態、真空態），根據GLLP分析，利用不同強度光源被探測到的概率和探測為錯誤的概率都一樣這條性質，聯立方程組，便可得出單光子計數率的下限和誤碼率的上限，也就知道該「蒸餾」掉多少「致命的毒液」了。

　　2005年，王向斌教授和加拿大多倫多大學的羅開廣、馬雄峰、陳凱等人分別獨立提出了一個誘騙態量子密鑰分發方案，使其可以很好地用於實際系統，後來的兩年，中國、美國、奧地利的幾個小組都對誘騙態量子密鑰分發進行了完善，光源的漏洞問題得到了很好解決。

　　理論上說，除了多光子成分問題，光源的漏洞還有其他方面，比如態的製備並不完美，所以誘騙態方案並沒有完全堵上光源方面漏洞。不過，這些漏洞從實際的角度上來說，可以通過對光源的精確標定來規避。

　　堵住探測器的漏洞

　　光源的漏洞堵上了，那麼探測器漏洞的問題應該如何解決呢？

　　2012年，加拿大的Hoi-Kwong Lo教授提出了「測量設備無關的量子密鑰分發」（The measurement-device-independent QKD， 簡稱MDIQKD），並且由科大的潘建偉小組、張強、陳騰雲等與清華大學馬雄峰等組成的聯合研究小組，利用與美國斯坦福大學聯合開發的高效低雜訊上轉換單光子探測器，於2013年在世界上首次實現了MDIQKD，關閉了所有探測器件漏洞，這也入選了美國物理學會年度重要進展。

　　這是一種能夠對探測器端攻擊進行免疫的法寶，它巧妙地利用了時間反演，可以說是逆向思維的成功案例。

　　我們知道，BB84協議的提出者Bennett和Brassard以及康奈爾大學的Mermin在原本BB84協議思想和測量方式的基礎上，利用糾纏資源，提出了新的BBM92協議，它與BB84協議等價。傳統的BBM92協議是利用一個糾纏源向分隔兩地的接收端（研究人員稱兩個接收端分別為Alice和Bob）發送一對糾纏光子對，這樣，兩地共享一對糾纏光子，然後進行測量。但是恐怖的是，Alice和Bob這兩個探測器如果不安全了、被敵人控制了怎麼辦？那時候研究人員只能看到敵人想讓我們看到的信息，或者乾脆信息泄露（與針對光源漏洞的攻擊實現難度較大不同，有些針對探測器漏洞的攻擊方案已經成功進行了實驗演示）。

　　可是沒關係，科學家有辦法——可以反著來啊。研究人員乾脆把Alice和Bob作為光源，它們各發送一個光子給第三方Charlie（光子按BB84編碼方案，用2組非正交基矢進行製備，Charlie可能是忠實的第三方，也可能已經是心懷叵測的攻擊者），Charlie對兩個光子進行Bell態測量，得到一個可能的Bell態，Charlie公布這個結果，據此，Alice和Bob相應地共享一對糾纏光子。

　　讀者朋友可能要問了，Charlie作為探測器，一旦被攻擊了，敵人不還是能知道發送的信息嗎？這就要說到這個協議的巧妙之處了。Alice或Bob除了擁有一套用來發送光子的系統，還有一套虛擬系統，這兩個系統之間存在糾纏。Alice將光子發送出去的時候，並不知道自己發出去的是什麼態，只是把虛擬系統進行保存，直到Charlie宣布了Bell測量結果，Alice再去測量虛擬系統，從而知曉剛才自己發送的光子態。自始至終，Charlie啥信息也得不到。

　　傳得更多、更遠

　　現在，光源的安全漏洞被基本解決、探測器的安全漏洞都被完全堵住，接下來的任務無非是：增加安全通信距離、提高安全成碼率。換句話說，解決相同信息量傳得更遠、相同距離信息更多的問題。

　　說到這，不得不提光纖量子通信的歷史。世界上第一個量子通信實驗是在自由空間[6]做的，但是自由空間有建築物阻擋，光很難按我們需要的路線行走。隨著光纖技術的發展，瑞士日內瓦的科學家1993年開始用光纖來做量子通信實驗。從此，量子通信開始了光纖和自由空間兩條腿走路的歷史。2005年之前，研究人員利用光纖只能實現50-70公里通信，且存在安全漏洞，並不實用；2005年之後的各種進展，如上所述，關閉了光源和探測器的漏洞，優化了通信方案，誘騙態方案的量子通信可以做到百公里送幾千比特/秒的信息傳輸效率（並未用上MDI方案，並不絕對安全），這個效率意味著可以打電話了，人們看到了實用化的希望。

　　由於單光子不可分割、不可複製，不能像傳統通信那樣進行複製放大，所以百公里幾乎已成量子通信的極限（之前MDIQKD最長距離記錄為200公里，由中國科學技術大學潘建偉團隊在2014年實現，該實驗在100公里處只能獲得每秒鐘幾個比特的安全密鑰，且較大的統計漲落使得必須要一個很大的數據量才能獲得有限密鑰，這些都限制了它的實際應用）。如果每百公里設置一個中繼站，又必須保證中繼站足夠可信、不被攻擊，還是沒有充分發揮量子通信的保密優點。

　　歷史一再告訴我們，極限，就是用來突破的。

　　近日，中國科學技術大學的潘建偉及其同事張強、陳騰雲等人，清華大學王向斌以及中科院上海微系統所、濟南量子技術研究院等單位科研人員合作，首次報道了404公里光纖的量子密鑰分發實驗記錄，這項工作不僅是MDIQKD，同時也是所有類型的QKD的最新光纖安全傳輸記錄。

　　他們是怎麼做到的呢？

　　近年來，人們一直試圖通過參數的優化提高安全成碼率和傳輸距離，但事實證明，對於長距離MDIQKD，統計漲落將嚴重影響效率，僅僅憑藉參數的優化難以實現大的飛躍。為了根本上解決這個問題，王向斌小組提出了誘騙態的一個升級版——最優化4強度誘騙態方案。與傳統的誘騙態方案里發送方發送一個真空態、一個誘騙態、一個信號態不同，這種最優化4強度誘騙態方案里，發送方Alice或Bob各包含四個光源，分別發送一個真空態、兩個誘騙態和一個信號態。在分析統計漲落的時候對不同光源進行聯合考慮，並且計算成碼率時，整體考慮單光子對的產率和相位錯誤率最壞的情況，再通過優化光強及其對應的概率分布，提高了單光子計數率的下限、降低了誤碼率的上限，使得它們更接近真實值，也就是說，在保證「蒸餾」掉「致命的毒液」同時，保留了更多「甘甜的井水」。

　　實驗效果究竟如何呢？

　　我們先來看看102公里處的情況，在這個距離上，實驗獲得的成碼率比先前實驗在100公里處的成碼率高了兩個數量級，同時，數據積累的時間和總數據量都有了2-3個數量級的改善，非常之高效。此外值得一提的是，在不考慮漲落下，該實驗102公里處的安全成碼率接近3千比特/秒，也就是說足以保證一次一密加密的語音通話。

　　在更長的距離上表現如何呢？對於標準光纖，實驗將安全密鑰傳輸距離拓展到了311公里，要知道，同樣的裝置、同樣的條件，傳統的BB84協議即使不考慮統計漲落、即使使用理想單光子源，也不可能在這麼長的距離下安全成碼。

　　實驗人員測試了不同距離下的成碼錶現，發現在207公里處，獲得了9.55比特/秒的安全成碼率，這比之前的實驗在相同傳輸距離和相同數據積累時間下提高了超過500倍，其中，50倍的提高來源於四強度誘騙方案，另外的10倍來源於裝置的改進和數據分析方法調整。

　　但是，311公里這個史無前例的傳輸距離還是不能讓科研人員滿足。

　　他們又用上了康寧公司的超低損耗光纖將量子密鑰分發的光纖安全傳輸記錄刷新至404公里！這一成果是一項兼顧了安全和實用的遠距離量子通信方案，被美國《物理評論快報》選為編輯推薦。該實驗打破了BB84協議下單光子源的傳輸極限，是量子密鑰分發的最遠傳輸記錄，《物理評論快報》的審稿人評價說。

　　接下來，科研人員希望在一兩百公里的距離上，實現更高的成碼率，有更高的信息傳輸效率，配合中繼站和衛星，實現全球化量子通信。

　　感謝中國科大博士尹華磊、碩士生鄒密對本文的貢獻。

　　製版編輯：姚蘭婷

　　參考文獻：

　　[1]該工作是目前已報道所有類型的量子密鑰分發（QKD）的最新安全傳輸記錄，「墨子號」量子衛星有望在自由空間取得更長距離的量子密鑰，但該工作仍將保持著量子密鑰分發光纖傳輸最長記錄。

　　[2]為激光衰減後的光源，其量子態為相干態，光子數分布服從泊松分布。

　　[3] W。 Y。 Hwang， Phys。 Rev。 Lett。 91， 057901 （2003）

　　[4] D。 Gottesman， H。 K。 Lo， N。 Lütkenhaus， J。 Preskill， Quant。 Info。 Comp。 4， 325（2004）

　　[5]湯艷琳，中國科學技術大學博士學位論文《實際量子密鑰分發系統的安全性的實驗研究》，（2005）

　　[6]自由空間意指空氣、外空間、真空或其它類似的空間。