量子加密通信

量子通信是什么？

2016年8月16日凌晨1时40分，在一片震耳欲聋的轰鸣声中，一架长征二号丁运载火箭正喷出闪亮的火舌，从酒泉...

2016年8月16日凌晨1时40分，在一片震耳欲聋的轰鸣声中，一架长征二号丁运载火箭正喷出闪亮的火舌，从酒泉卫星发射中心的发射塔架上一飞冲天。

这意味着由我国科学家自主研制的世界首颗量子科学实验卫星“墨子号”在酒泉卫星发射中心成功发射，除了用这枚卫星进行一些科学实验外，还将在世界上首次实现卫星和地面之间的量子通信。这也将是跨度最大、史上最安全的通信网络。

提到“量子”一词，大多数人想到的可能是玄之又玄的量子物理，以及爱因斯坦那句著名的“上帝不掷骰子”的断言。在我们的过往印象中，量子物理经常与“不确定性”、“测不准”等词汇联系在一起，然而我们又知道，通信最重要的就是稳定、安全、可靠。那么，量子与通信，表面上互相矛盾的两个东西是如何联系到一起的呢？要了解这一点，我们还是先从传统通信为什么需要“量子”说起吧。

传统通信的局限性

众所周知，密码这东西现在已经充斥了我们的生活。像网购转账、登陆微信，甚至在我们看不见的信息传输途中，都需要用到密码，因为它能保证通信和交易的安全。不过，有了加密，就有破解密码的人，这对死敌的角力始终贯穿在我们整个通信的历史中。尤其在战争年代，解密的成功与否甚至足以影响最终的战局。在二战期间，美军正是因为破解了日军电报的加密方式，从而掌握日军高层的行踪，最终成功击杀了其海军总司令山本五十六，为太平洋战争的获胜奠定了基础。除此之外，直接窃听和截获信息也是很常见的泄密方式。如电影《窃听风云》讲述的正是通过窃听他人通信而发生的一系列故事。

人们一直在想，是否存在一种安全传输信息的方法呢？我们可以总结一下，“使通信保密”的思路其实有两种。一种是物理加密，比如在A和B之间拉一条专线，专线中间布满岗哨，任何想截获信息的间谍必须在光缆上做手脚才能窃听，而这必然会被哨兵拿下。在这种确保安全的信道中，我们甚至无需对信息加密，直接用明文交换信息就可以了。但是，用物理隔离的方法终究不现实，它的效率低，成本高，距离有限，只有少数重要且有条件的岗位才用得起这种方式。

另一种是信息加密，就是把封装信息加上密码后通过公共信道传递，这相当于把它放在一个带锁的小箱子里进行运输，沿途就算被人截留了也没关系，因为只有对面拿到钥匙的人才能打开箱子，从而获取信息，这种做法就是我们目前常用的传统加密方式。

只是现有的密码体系还是通过增加计算复杂性来保证安全。例如应用最广泛的密码算法RSA，用的是两个非常大的质数的乘积来建立密钥。众所周知，对于两个大质数乘积进行因式分解，除暴力穷举外并无更好的方式。资料显示，用现有最快的传统计算机对一个500位的RSA密钥进行穷举破解，耗时将达到百亿年——几乎等于不可破解。

但从理论上讲，只要有足够先进的计算机，任何有限长度的密码都可以被破译。随着计算机技术更新迭代，接下来可能出现更快更强的计算机，比如研发中的量子计算机等。在那时候，如果无法升级出对应的加密方式，那么原有的密码将不再安全，金融系统和个人隐私等领域都将彻底陷入混乱。

面对未来可能出现的困境，人们需要找出新的加密手段。此时，量子物理的发展为人们带来了新的思路。

从量子货币到量子保密通信

20世纪初，量子物理学取得了长足发展。在物理学家不断刷新对量子力学认知的同时，当时的密码学家忽然意识到一个问题：利用量子不可分割、不可复制的特性，人类是否有可能发展出一种永不陷落的安全体系？

20世纪60年代末，美国哥伦比亚大学的斯蒂芬·威斯纳（Stephen Wiesner）提出了在今天看来仍十分超前的量子货币概念。量子货币的理论基础是“海森堡不确定性原理”及其推论“不可克隆定理”。用通俗的话解释，他打算在钞票上放置“囚禁”光子的装置，通过检测光子独一无二的偏振方向来验证钞票真伪。这种做法在理论上确实可以制造出不可伪造的钞票，然而它的缺点也一目了然——验证真伪所需要付出的代价太高，成本比钞票本身的面额还大得多。威斯纳的想法最终被认定为过于超前，多家学术期刊拒绝了他的论文。

但威斯纳的大学同学，在IBM公司托马斯·J·梅森实验室工作的查尔斯·本内特（Charles Bennett）很欣赏这一设计，并在此基础上，本内特于1984年提出了利用光子偏振态编码传送密钥信息的量子密钥分发协议——BB84协议。自此，量子密码开始受到学术界的高度关注。1993年，本内特等6位科学家发表题为《经由经典和EPR通道传送未知量子态》的论文，正式提出“量子隐形传态”构想。这一构想被认为是量子通信的基础。

前面说到，量子有两项特性，一个是不可分割，一个是不可复制。本内特指出，因为光量子具有不可分割性，所以在单光子发射的情况下，窃听者不可能采用将光子分成两半，一半用于获得密钥，一半传输给接收方的方式来避免被发现。与此同时，因为光量子是无法准确被测量的，所以不能被窃听者复制。换句话说，窃听者无法通过准确测量光子，克隆出一个一模一样的量子来获取信息。也就是说，在量子通信的范畴内，只要窃听者窃取信息就必定会被发现，这是它相较传统通信技术的一大改变。

1997年，奥地利科学家安东·蔡林格（Anton Zeilinger）在室内首次完成了量子隐形传态的原理性实验验证，成为量子信息实验领域的经典之作。当时，中科院院士、中国科学技术大学教授潘建伟正在奥地利留学，跟随导师蔡林格参与了整个实验。回国后，潘建伟在中国科学技术大学组建了量子信息实验室，经十余年耕耘，目前，潘建伟团队已成为世界范围内量子信息实验领域的领头羊。这次上天的“墨子号”卫星正是这个团队的最新杰作。

量子通信是如何实现的？

说了这么多，那么量子通信到底是如何实现的呢？在解释前，我们首先要清楚两个概念。

第一个概念是光的偏振。我们知道光具有波动性，也就是光在传播过程中，是一边振动，一边往前走，振动可以是空间内垂直于传播方向的任意方向。但是我们可以在中途加一个偏光器，让振动方向垂直偏光器的光才能通过。这样一来，通过的光亮度会大大减弱，从而减少眼睛的负担，这个技术在太阳眼镜、电脑显示器和照相机中都有应用。

第二个概念是基底，就是空间维度的轴。在二维空间上，它是X和Y，在三维空间则是X、Y、Z这三轴。让我们试着在脑内构建两个不同的基底，一个是水平X轴、垂直Y轴的水平垂直基底，另一个是倾斜45°，呈X形状的斜45°基底。我们把这两组基底想象成偏振器，那么当一束光通过某个基底后，只有这个方向偏振的光子被保留下来，也就是说这个光子的偏振状态是唯一的。好比一根绳子穿过篱笆，抓住一头上下甩动，篱笆对于绳子就像“透明”的，不会干扰绳子摆动，但如果你左右摆动，绳子的波就被篱笆阻挡了。

明确了这两个概念后，我们来看如何实现从A到B的密钥传输。

首先，发信人A用水平垂直基底和斜45°基底对光子进行制备，并对制备后的偏振状态进行赋值。比如分别把他们在X轴偏振的光子记为1，Y轴偏振的记为0。也就是说，从水平垂直基底上筛出的光子，如果偏振状态表现出是0°，则代表二进制数1；如果是90°，则代表二进制数0。另一种基底也是同样道理。

之后，A随机选择一批具有一定偏振状态的光子，通过正常的信道逐个发送给收信人B。此时，光子的赋值可以记作一个长度为N的二进制串。B在接收到A的光子后，随机选择一种基底进行测量。如果B和A选择的是一样的基底，那么测出来的结果就会跟A的赋值一样。如果选错了基底，光子就会无法通过，从而呈现出完全随机的表现。因为只有0和1这两种赋值，所以在这种情况下，错误率是50%。