404公里!量子密钥分发的最远光纤传输距离
编者按:
近日,中国科学技术大学的潘建伟及其同事张强、陈腾云等人,清华大学王向斌以及中科院上海微系统所、济南量子技术研究院等单位科研人员合作,首次报道了404公里光纤的量子密钥分发实验记录,这项工作不仅是测量设备无关的量子密钥分发,同时也是所有类型的量子密钥分发的最新光纤安全传输记录[1]。该工作于2016年11月2日发表在美国《物理评论快报》(Physical Review Letters)。“该实验为远距离城市间安全的量子通信铺就了道路”,《物理评论快报》的编辑推荐语写道。
撰文 | 林梅
责编 | 陈晓雪
● ● ●
随着量子通信科学实验卫星“墨子”的发射升空,“量子通信”的名字可谓是家喻户晓。对这种绝对保密通信方式,人们充满了好奇,也产生了不少疑问。比如,它的传输效率够高吗?它可以传得足够远吗?如果它的中继站被袭击,还能保证安全吗?总之可以概括为:量子通讯真的好使吗?
如果你认为这些问题只是外行人说的外行话,那就大错特错了,在量子通信迈向实用化的路上,这几个问题还真是不容小觑的拦路虎,科研人员需要一个一个地解决才行。
如同莱特兄弟的飞机并不能把你从纽约带到东京,量子通信要真正“用着好使”,就必须加强以下三点:增加安全通信距离、提高安全成码率、提高现实系统的安全性。
理论上说,量子密钥分发(quantum key distribution,即QKD)可以确保分隔两地的用户安全交换密钥,但是实际上,我们的器件并不是那么完美,从而给攻击者留下了一些可能的漏洞。比如,理论上要求光源发射单光子,因为单光子的量子状态不可复制、不可窃听。但实际上我们一般采用的是弱相干光子源[2],这就产生了光源不完美的漏洞。再弱的相干光都存在多光子成分,可能发出两个或更多光子。针对弱相干光的这一特点,攻击者可以采取所谓的PNS(photon-number splitting)攻击,简单地说,可以理解为:在光源发射方发出多光子后,攻击者窃取一个光子,剩余光子传给接收者。如果攻击者与接收者进行相同基矢测量,就能获得与接收者相同的信息,也就是窃取信息。另外,攻击者也有可能攻击探测器,比如利用强光改变探测器的光子探测模式、利用不同探测值测量时间不同窃取或控制测量值等,导致探测器只看到攻击方想让你看到的信号。为了克服这些漏洞,科研人员想了很多方案改进技术。
解决光源漏洞的问题
2003年,韩国学者Won-Young Hwang提出了诱骗态量子密钥分发的基本方法[3]。这一方法怎么解决光源不完美的漏洞呢?清华大学物理系的王向斌教授从事量子信息研究多年。他曾经做过一个有趣的比喻:有一口井,大家都想喝到其中甘甜的井水,但是不幸的是,这井里混合了一种毒液,必须把毒液蒸馏掉才能尽情饮用健康的井水。那么问题来了:蒸馏掉多少合适呢?如果对毒液的百分比估计过大,会白白蒸馏掉很多健康的井水;如果蒸馏的过少,毒液没去干净,人喝了会致命。所以问题的关键归结到了正确估计健康井水百分比的下限。在密钥分配中,单光子响应就是研究人员需要的“甘甜的井水”,多光子响应就是“致命的毒液”,研究人员必须估计一下单光子计数率的下限和误码率的上限,并且在考虑统计涨落的情况下尽可能的接近真实值。
2004年,加拿大圆周理论研究所的D. Gottesman等人详尽分析了各种不完备情况下量子密钥分发的安全成码率。这篇被称作GLLP(GLLP为四位作者D. Gottesman, H. K. Lo, N. Lütkenhaus,和J. Preskill的姓氏首字母缩写)的文章成为了量子密钥分发安全性分析的里程碑[4]。它专门分析了标记单光子源对成码率的影响。常用的弱相干光可以看做一种标记单光子源,对诱骗态量子密钥分发的成码率估计就是以GLLP为基础。诱骗态协议的过程大致是:发送方随机调制几种不同光强的强度态(一般是信号态、诱骗态、真空态),根据GLLP分析,利用不同强度光源被探测到的概率和探测为错误的概率都一样这条性质,联立方程组,便可得出单光子计数率的下限和误码率的上限,也就知道该“蒸馏”掉多少“致命的毒液”了。
2005年,王向斌教授和加拿大多伦多大学的罗开广、马雄峰、陈凯等人分别独立提出了一个诱骗态量子密钥分发方案,使其可以很好地用于实际系统,后来的两年,中国、美国、奥地利的几个小组都对诱骗态量子密钥分发进行了完善,光源的漏洞问题得到了很好解决。
理论上说,除了多光子成分问题,光源的漏洞还有其他方面,比如态的制备并不完美,所以诱骗态方案并没有完全堵上光源方面漏洞。不过,这些漏洞从实际的角度上来说,可以通过对光源的精确标定来规避。
堵住探测器的漏洞
光源的漏洞堵上了,那么探测器漏洞的问题应该如何解决呢?
2012年,加拿大的Hoi-Kwong Lo教授提出了“测量设备无关的量子密钥分发”(The measurement-device-independent QKD, 简称MDIQKD),并且由科大的潘建伟小组、张强、陈腾云等与清华大学马雄峰等组成的联合研究小组,利用与美国斯坦福大学联合开发的高效低噪声上转换单光子探测器,于2013年在世界上首次实现了MDIQKD,关闭了所有探测器件漏洞,这也入选了美国物理学会年度重要进展。
这是一种能够对探测器端攻击进行免疫的法宝,它巧妙地利用了时间反演,可以说是逆向思维的成功案例。
我们知道,BB84协议的提出者Bennett和Brassard以及康奈尔大学的Mermin在原本BB84协议思想和测量方式的基础上,利用纠缠资源,提出了新的BBM92协议,它与BB84协议等价。传统的BBM92协议是利用一个纠缠源向分隔两地的接收端(研究人员称两个接收端分别为Alice和Bob)发送一对纠缠光子对,这样,两地共享一对纠缠光子,然后进行测量。但是恐怖的是,Alice和Bob这两个探测器如果不安全了、被敌人控制了怎么办?那时候研究人员只能看到敌人想让我们看到的信息,或者干脆信息泄露(与针对光源漏洞的攻击实现难度较大不同,有些针对探测器漏洞的攻击方案已经成功进行了实验演示)。
可是没关系,科学家有办法——可以反着来啊。研究人员干脆把Alice和Bob作为光源,它们各发送一个光子给第三方Charlie(光子按BB84编码方案,用2组非正交基矢进行制备,Charlie可能是忠实的第三方,也可能已经是心怀叵测的攻击者),Charlie对两个光子进行Bell态测量,得到一个可能的Bell态,Charlie公布这个结果,据此,Alice和Bob相应地共享一对纠缠光子。
► 图1 基于EPR分发的BBN92协议和基于时间反演EPR分发的MDIQKD协议。[5]
读者朋友可能要问了,Charlie作为探测器,一旦被攻击了,敌人不还是能知道发送的信息吗?这就要说到这个协议的巧妙之处了。Alice或Bob除了拥有一套用来发送光子的系统,还有一套虚拟系统,这两个系统之间存在纠缠。Alice将光子发送出去的时候,并不知道自己发出去的是什么态,只是把虚拟系统进行保存,直到Charlie宣布了Bell测量结果,Alice再去测量虚拟系统,从而知晓刚才自己发送的光子态。自始至终,Charlie啥信息也得不到。
传得更多、更远
现在,光源的安全漏洞被基本解决、探测器的安全漏洞都被完全堵住,接下来的任务无非是:增加安全通信距离、提高安全成码率。换句话说,解决相同信息量传得更远、相同距离信息更多的问题。
说到这,不得不提光纤量子通信的历史。世界上第一个量子通信实验是在自由空间[6]做的,但是自由空间有建筑物阻挡,光很难按我们需要的路线行走。随着光纤技术的发展,瑞士日内瓦的科学家1993年开始用光纤来做量子通信实验。从此,量子通信开始了光纤和自由空间两条腿走路的历史。2005年之前,研究人员利用光纤只能实现50-70公里通信,且存在安全漏洞,并不实用;2005年之后的各种进展,如上所述,关闭了光源和探测器的漏洞,优化了通信方案,诱骗态方案的量子通信可以做到百公里送几千比特/秒的信息传输效率(并未用上MDI方案,并不绝对安全),这个效率意味着可以打电话了,人们看到了实用化的希望。
由于单光子不可分割、不可复制,不能像传统通信那样进行复制放大,所以百公里几乎已成量子通信的极限(之前MDIQKD最长距离记录为200公里,由中国科学技术大学潘建伟团队在2014年实现,该实验在100公里处只能获得每秒钟几个比特的安全密钥,且较大的统计涨落使得必须要一个很大的数据量才能获得有限密钥,这些都限制了它的实际应用)。如果每百公里设置一个中继站,又必须保证中继站足够可信、不被攻击,还是没有充分发挥量子通信的保密优点。
历史一再告诉我们,极限,就是用来突破的。
近日,中国科学技术大学的潘建伟及其同事张强、陈腾云等人,清华大学王向斌以及中科院上海微系统所、济南量子技术研究院等单位科研人员合作,首次报道了404公里光纤的量子密钥分发实验记录,这项工作不仅是MDIQKD,同时也是所有类型的QKD的最新光纤安全传输记录。
他们是怎么做到的呢?
►图2 MDIQKD系统的实验装置图
近年来,人们一直试图通过参数的优化提高安全成码率和传输距离,但事实证明,对于长距离MDIQKD,统计涨落将严重影响效率,仅仅凭借参数的优化难以实现大的飞跃。为了根本上解决这个问题,王向斌小组提出了诱骗态的一个升级版——最优化4强度诱骗态方案。与传统的诱骗态方案里发送方发送一个真空态、一个诱骗态、一个信号态不同,这种最优化4强度诱骗态方案里,发送方Alice或Bob各包含四个光源,分别发送一个真空态、两个诱骗态和一个信号态。在分析统计涨落的时候对不同光源进行联合考虑,并且计算成码率时,整体考虑单光子对的产率和相位错误率最坏的情况,再通过优化光强及其对应的概率分布,提高了单光子计数率的下限、降低了误码率的上限,使得它们更接近真实值,也就是说,在保证“蒸馏”掉“致命的毒液”同时,保留了更多“甘甜的井水”。
实验效果究竟如何呢?
我们先来看看102公里处的情况,在这个距离上,实验获得的成码率比先前实验在100公里处的成码率高了两个数量级,同时,数据积累的时间和总数据量都有了2-3个数量级的改善,非常之高效。此外值得一提的是,在不考虑涨落下,该实验102公里处的安全成码率接近3千比特/秒,也就是说足以保证一次一密加密的语音通话。
在更长的距离上表现如何呢?对于标准光纤,实验将安全密钥传输距离拓展到了311公里,要知道,同样的装置、同样的条件,传统的BB84协议即使不考虑统计涨落、即使使用理想单光子源,也不可能在这么长的距离下安全成码。
实验人员测试了不同距离下的成码表现,发现在207公里处,获得了9.55比特/秒的安全成码率,这比之前的实验在相同传输距离和相同数据积累时间下提高了超过500倍,其中,50倍的提高来源于四强度诱骗方案,另外的10倍来源于装置的改进和数据分析方法调整。
但是,311公里这个史无前例的传输距离还是不能让科研人员满足。
他们又用上了康宁公司的超低损耗光纤将量子密钥分发的光纤安全传输记录刷新至404公里!这一成果是一项兼顾了安全和实用的远距离量子通信方案,被美国《物理评论快报》选为编辑推荐。该实验打破了BB84协议下单光子源的传输极限,是量子密钥分发的最远传输记录,《物理评论快报》的审稿人评价说。
接下来,科研人员希望在一两百公里的距离上,实现更高的成码率,有更高的信息传输效率,配合中继站和卫星,实现全球化量子通信。
感谢中国科大博士尹华磊、硕士生邹密对本文的贡献。
制版编辑:姚兰婷
参考文献:
[1]该工作是目前已报道所有类型的量子密钥分发(QKD)的最新安全传输记录,“墨子号”量子卫星有望在自由空间取得更长距离的量子密钥,但该工作仍将保持着量子密钥分发光纤传输最长记录。
[2]为激光衰减后的光源,其量子态为相干态,光子数分布服从泊松分布。
[3] W. Y. Hwang, Phys. Rev. Lett. 91, 057901 (2003)
[4] D. Gottesman, H. K. Lo, N. Lütkenhaus, J. Preskill, Quant. Info. Comp. 4, 325(2004)
[5]汤艳琳,中国科学技术大学博士学位论文《实际量子密钥分发系统的安全性的实验研究》,(2005)
[6]自由空间意指空气、外空间、真空或其它类似的空间。