量子通信现状与展望

吴华，王向斌，潘建伟



量子通信现状与展望

吴华，王向斌，潘建伟

1 引言

“最近的 16公里量子态隐形传输的成功试验表明，中国将有能力建立起卫星与地面的安全量子通信网络。”——美国《时代周刊》在“爆炸性新闻”栏目中以“中国量子科学的飞跃”为题，对2010年中国科技大学与清华大学合作完成的16公里量子态隐形传输试验进行了评论。相比于经典通信，量子通信究竟有哪些优势，有哪些应用，源于何种原理以及方法和技术手段等，无疑是大家所关心的。我们将在此介绍量子通信的基本概念与方法、技术现状，以及未来应用前景。

量子通信的基本思想主要由Bennett等于 20世纪80年代和90年代起相继提出，主要包括量子密钥分发（quantum key distribution，QKD）和量子态隐形传输（quantum teleportation）。量子密钥分发可以建立安全的通信密码，通过一次一密的加密方式可以实现点对点方式的安全经典通信。

这里的安全性是在数学上已经获得严格证明的安全性，这是经典通信迄今为止做不到的。现有的量子密钥分发技术可以实现百公里量级的量子密钥分发，辅以光开关等技术，还可以实现量子密钥分发网络。量子态隐形传输是基于量子纠缠态的分发与量子联合测量，实现量子态（量子信息）的空间转移而又不移动量子态的物理载体，这如同将密封信件内容从一个信封内转移到另一个信封内而又不移动任何信息载体自身。这在经典通信中是无法想象的事。基于量子态隐形传输技术和量子存储技术的量子中继器可以实现任意远距离的量子密钥分发及网络。

量子通信的实现基于量子态传输。为便于传输，现有的量子通信实验一般以光子为量子态载体，其表现形式即为光子态传输。量子信息的编码空间以光偏振为主。

如前所述，量子态隐形传输只是在空间转移量子信息（量子态），但并不转移量子信息的物理载体。若以光子为量子信息载体，量子态隐形传输就是把量子信息从一个光子上转移到远处另外一个光子上。这样的量子态隐形传输有一个明显的应用：在恶劣通道情况下，若直接传输光子本身进行量子通信，将会由于误码率过大而无从实现通信任务。而基于量子态隐形传输的量子通信由于无需传输光子本身，其通信质量不受物理通道影响。量子态隐形传输需要通信双方预先共享一个量子纠缠态（常用的两光子量子纠缠态又称纠缠光子对，或纠缠对）。为了预先共享纠缠对，需要预先进行纠缠对分发。实际上，纠缠分发本身也可以用来实现量子密钥分发。通信双方预先共享的纠缠对的质量取决于纠缠分发时的通道状况。用于各类噪声的存在，共享纠缠对一般是不理想的。Bennett等人的理论表明，通过对不理想纠缠对纯化可以获得高质量纠缠对。基于此可以实现高品质的量子态隐形传输。目前，量子态隐形传输、纠缠光子对分发，以及纠缠纯化都已经获得广泛实验研究。

基于 BB84协议的量子密钥分发无需共享纠缠对资源，只需要单光子态传输。目前真实系统没有理想单光子源，采用的是近似单光子源，即强度为单光子量级的弱激光源，后简称弱光。由于传输损耗，基于弱光传输的量子密钥分发安全距离受到严重限制。另一方面，窃听者可以冒充通道损耗进行光子分数攻击（photon nu mber splitting attack，PNS at tack）。文献分析表明，现有技术的安全距离实际上不到20 km。一个行之有效的办法是采用近年发展起来的诱骗态方法（decoy-state method），它虽然继续采用现有光源，但安全性等价于理想单光子源，距离与理想单光子源距离基本相同。

基于量子力学原理，单量子态信号不能被完全克隆放大，而通道损耗随距离呈指数增长。因此，不论光源与检测技术如何发展，单量子态的直接传输距离不可能无限发展。一般认为，其极限距离大概在数百公里量级。远程量子通信的最终实现将依赖于量子中继概念。其基本思想是： 在空间建立许多站点。各相邻站点间预先共享并存储量子纠缠对。采用量子态隐形传输技术可以实现量子纠缠转换，即增长量子纠缠对的空间分隔距离。如果预先将纠缠对布置在各相邻站点，纠缠转换操作后便可实现次近邻站点间的共享纠缠。继续操作下去，原则上可以实现在很远的两个站点间建立共享纠缠，即实现远距离量子通信。基于量子中继的量子通信距离没有原理上的限制。基于量子中继的远程量子保密通信，即便所有中继站都为敌方控制，终端间的通信依然是安全的。这是量子中继相比于经典中继（又称可信中继）的最大优势。

近年来，以BB84协议和量子态隐形传输为代表的量子通信理论与实验在以越来越快的速度朝实用化和商用化方向迅猛发展。

2 量子通信的基本原理

点对点保密通信最直接的办法是让通信双方先共享一串密码，然后以此密码通过一次一密的加密方式对通信内容加密、解密。Shannon 于1948年已经证明，若密码是安全的，则通信内容严格安全。现有的经典协议不能确保通信双方的共享密码的安全性。例如，使用秘密信道建立共同密码的方法。经典通信不存在可证实的绝对安全的秘密信道，因为窃听者原则上总可以做到获取“秘密通道”的信息（密码）而又不留痕迹。合法用户无从知晓通过

“秘密信道”发送的密钥有没有被窃听。建立密钥的另一种经典方法是基于对特定数学问题的复杂性假定。然而，现有的复杂性假定并未获得严格的数学证明，基于量子逻辑的大数分解算法却从理论上证明了经典RSA通信协议不安全。下面我们重点介绍量子密钥分发理论协议的安全性问题。

2.1 BB84协议及其安全性

相比于经典通信，量子通信的一个重大优势是可以实现严格数学证明下的安全性（绝对安全性）。为实现绝对安全的保密通信，Benett与Brassard于1984年提出了首个量子密钥分发协议，即著名的BB84协议。这种方案的安全性基于量子力学的两个基本原理：单光子的不可分割性和单光子量子态的测量塌缩性。

在BB84协议以及大多数量子信息处理中，以单量子态对应于经典二进制码（bit）。基本要求是所选择的量子系统有两个基本态。在BB84协议中水平或45°偏振对应于经典比特0；竖直或135°偏振对应于经典比特1. Alice向Bob发射一系列单光子偏振态。每个光子的偏振从水平、竖直、45°或135°中随机选出。或者说，Alice随机使用了两组基，我们称之为直角基（水平，竖直偏振）及斜角基（45°偏振或135°偏振）。对每个飞入光子，Bob随机选用直角或斜角基测量其偏振。Bob丢弃那些使用了错误基得到的测量结果。对于剩下的测量记录，随机抽取一部分与Alice对照，检验每组基下各态的误码率并丢弃这些公开宣布的用作检验的测量结果。再对剩余数据（我们称之为初始码）通过纠错，隐私放大而提炼出最终码。

光子总是以一个整体出现。半个光子的事件从来不会发生。BB84协议要求传输的单光子脉冲，原理上不允许窃听者通过分割光子并保留部分光子的办法进行窃听。窃听者要么获得完整光子，要么什么都没有获得。量子物理学把测量视为物理学过程的一部分。对一个量子体系观测，原则上会带来扰动。量子世界里不存在“静悄悄地偷看”，即观测而又不对被观测系统产生扰动。就是说，观测就会留下痕迹，这些构成量子密钥安全性的物理基础。

严格的安全性证明最早由Mayers于 1996年给出。Shor与Preskill于1999年给出了大为简化的证明，其主要结论是：任何窃听者对最终码的信息量大于 δ的概率小于ε，其中ε，δ为指数接近于零点小量，如 100亿分之一。最终码的产出率取决于通道误码率。就BB84方案而言量子密钥分发误码率上限值为11%。

虽然BB84方案已经被证明是绝对安全的，这并不意味着任何以该方案为基础的实验都是安全的。这是因为所进行的实验未必真正符合BB84安全性证明中所要求的前提条件。证明中假设了单光子源，由于技术难度极高，现有的实验多采用单一强度弱激光，即弱相干态光。其安全性上存在一定问题，下面我们做简要的介绍。

2.2 光子数分离攻击

如前所说，单光子的不可分割性是量子密码安全性的重要物理基础。然而，多光子脉冲不再拥有不可分割性。例如，一个包含两个光子的脉冲，原则上可以被分割为两个单光子脉冲，所以其安全性基础就不复存在了，就会遭受光子数分离攻击，下面我们来具体介绍下光子数分离攻击。由于量子 通信通道损耗率极大，对于100 km以上的距离，加上探测效率，整体效率将小于千分之一。根据理论证明，理想单光子源即便在高损耗通道下也是绝对安全的，可是实际系统使用的弱光在高损耗通道下则结果完全不同：窃听者可以冒充通道损耗通过光子数分离攻击而获得全部密码。弱相干态脉冲实际上是单光子与多光子脉冲的概率混合。即，在所发出的非真空脉冲中，有些是单光子的，有些是多光子的（2光子，3光子，…）。多光子脉冲即包含了多个全同偏振光子。窃听者可将其分离，自己留下一个，将剩余光子送到远程合法用户。对于这些多光子脉冲，窃听者可以拥有与合法用户完全一样的偏振光子而不对远程合法用户的光子偏振态造成任何扰动。即，对于多光子脉冲，窃听者可以拥有100%的信息而不被察觉。窃听者可以选择将所有单光子脉冲完全吸收而使得远程合法用户的所有比特皆由光源的多光子脉冲产生。窃听者的行为不会被合法用户察觉，因为窃听者可以对每个单独脉冲随时调整通道衰减系数，从而使得远程合法用户的探测器计数率等同于高损耗自然通道。

对于2005年以前的弱相干态密钥分发实验，窃听者可获取全部信息而不留下任何痕迹。事实上，量子密码发明者之一，Brassard等早在2000年就对弱相干态量子密码实验做出批评，Brassard等在其著名论文的摘要部分指出：“Existing experimental s chemes （based on weak pulses） currently do not offer unconditional security for the reported distances and signal strength”，即：“现有基于（相干态）弱脉冲的做法，据其所报告的距离及所采用的脉冲强度，并不提供绝对安全性。”Brassard的这一评论适用于2005年以前所有基于弱相干光的量子密钥分发实验。幸运的是，于2005年起发展起来的诱骗态量子密码理论，提供了一个基于弱相干光源的安全量子密钥分发方案。

2.3 侧信道攻击和木马攻击

尽管量子通信技术在理论上具有“无条件安全性”，但理论方案安全性和实际系统安全性这两个层面之间仍存在一条狭窄但分明的缝隙.利用量子保密通信系统器件的性能缺陷进行窃听，或者针对器件的弱点进行主动攻击都可能削弱甚至破坏量子保密通信系统的安全性。自2000年以来，随着量子通信技术的逐步实用化，实用系统中的安全攻防问题变得越来越重要，并引起研究者的高度重视。针对早期方案和实验技术中的安全性漏洞，已提出了大量的攻击方案，如伪装态攻击、相位重映射攻击、定时侧信道攻击、大脉冲攻击、光学部件高能破坏攻击等。这些攻击方案，统称为侧信道攻击和木马攻击。

“木马攻击”中的木马是指实际的量子保密通信系统其信号源、接收器以及其他部件有可能存在的某种弱点，针对这种弱点，可以设计攻击方案，主动诱使系统内部信息泄露。如果不弥补器件的弱点，这种攻击常常能有效地击破量子保密通信系统的安全性。比如说“大脉冲攻击”法，由于光学器件总会有一定反射能力。窃听者因此向光路中发射高亮度激光。对于某些量子保密通信系统的实现方案，被反射回来的光会被系统中的极化或相位调制器调制，这样，攻击者就得到了发射方信号态的极化或相位信息，而不会引入额外的干扰，也就不会被发现。再如“高能破坏攻击”使用高亮度激光击毁衰减器，破坏了弱相干光源，随后就可以使用“分束器攻击”或者“分离光子数攻击”窃取密钥。主动攻击法还有“伪装态攻击”“相位再映射攻击”等。而侧信道攻击法是指量子通信系统可能存在泄漏密钥信息的侧信道。侧信道攻击最出名的就是分离光子数攻击，此外，最近提出的针对有记忆的装置无关QKD系统的攻击就利用了经典协商信道的侧信道泄漏。

3 量子通信的基本方法

3.1 实用化点对点量子通信

该方法要求随机改变相干态脉冲强度而测出单光子计数率。以此为输入参数提炼出最终码。采用该法所得最终码，其安全性与用理想单光子源所获最终码等价。对于弱相干态光源所发射的脉冲，有一部分是多光子脉冲，一部分是单光子脉冲。诱骗态方法的主要功能是测算在接受端Bob的探测结果（初始码）中，有多少起源于发射端（Alice端）光源的单光子脉冲，多少起源于发射端的多光子脉冲。基于这个至关重要的参数，就可以提炼出安全的最终码，其安全性等同于只采用了由发射端单光子脉冲产生的那部分初始码而抛弃了多光子脉冲产生的那部分初始码。在安全性方面最后的效果就等同于使用了理想单光子源。

2003年，美国西北大学黄元瑛博士提出了在量子密码理论实用化上具有革命性的Decoy-State思想用以解决光子数分离攻击。可是黄的结果尚不能立即实用于现有真实系统，清华大学王向斌教授于2005年的理论研究表明，采用三强度随机切换的诱骗信号量子密码方案可以准确侦察出任何窃听行为，包括所谓的光子数分离攻击，并可立即实用于现有真实系统，其中包含通道噪声，大损耗等。三强度诱骗信号方法可以让合法用户计算出至关重要的参量：多光子脉冲份额的上限值。有此上限值，结合前人理论结果，便可以获得绝对安全的最终码。由该理论给出的关键计算公式，诱骗态方法具有了立即的实用价值。这也使得量子密钥分发有可能成为整个量子信息领域最先走入社会实用的分支。

诱骗态方法的首个实验由清华大学和中国科技大学等单位的联合团队完成，这也成为历史上首次超过100 km的安全量子密钥分发。同一时期的实验还有美国橡树岭国家实验室与美国国家标准局团队的合作实验、维也纳大学等单位的实验等。此后，中国科技大学结合光开关技术，把诱骗态方法用于量子网络，先后实现了3节点与5节点的量子网络安全通信。迄今为止，基于诱骗态方法的量子密钥分发已经至少获得世界主要研究机构近20个公开发表的在不同条件下的实验证实。尽管诱骗态方法未必就是唯一方法，由于其安全性和实用性，事实上，诱骗态方法已经成为当前量子密码走向实际应用的最重要方法。近年来，中国科学家们致力于参与这一主战场的研究，在实验与理论方面取得国际领先的广泛成果.自清华—中国科学技术大学联合团队2007年在国际上率先利用诱骗态手段实现了绝对安全距离超过一百公里的量子密钥分发以来，中国科技大学潘建伟小组又于2010年率先实现绝对安全距离达200 km的量子密钥分发，为目前国际上绝对安全量子密钥分发最远距离。他们还采用光开关技术，于2008年10月初完成了诱骗态量子密钥分发的“光量子电话网”（此前国内外其他小组的量子密码网络的实验因为没有采用诱骗态方法而不安全）。清华大学王向斌小组则通过系统化的理论研究已经证明即便光源强度有较大涨落诱骗态方法依然有效，给出了相关安全成码的计算公式。

3.2 量子网络通信

辅以光开关技术后，诱骗态方法还可用以实现量子通信网络。由于没有量子存储器，这种网络的量子密钥分发距离不能超越点对点的量子密钥分发距离。然而，网络上的任何两个用户可以通过光开关切换实现量子密钥分发。我国在2009年实现了3节点的链状量子通信网络，为世界上首个基于诱骗态方案的量子语音通信网络系统，实现了实时网络通话和三方对讲功能，演示了无条件安全的量子通信的可实用化。此成果很快被美国《Science》杂志以“量子电话”为题进行了报道，亦被欧洲物理学会《物理世界》以“中国诞生量子网络”为题做了专题报道。随后，又实现了 5节点城域量子通信网络，是国际上首个全通型的量子通信网络，各节点全部演示了安全的语音通信。值得指出的是，与欧洲SECOQC网络以及Tokyo QK D n etwork不同，这两个量子通信网络是基于诱骗态方案的成熟技术，追求并逐步实现满足信息论定义下严格安全性要求的实用性，而不是欧洲、美国和日本同行所做的多种技术的混合展示。我国此类小规模的演示性网络还有多节点的城域量子政务网。

3.2.1 3节点量子电话网

2008年10月，中国科学技术大学潘建伟组在合肥建成了一个基于可信中继方式的3节点量子电话网。采用相位编码的诱骗态BB84方案。

USTC和 Binhu以及USTC 和Xinglin之间各建成了一套诱骗态QKD。USTC 的节点同时充当了可信中继的角色。原则上，另两个节点也可以充当可信中继，进一步扩展网络。

两条链路的量子信道光纤长度都在20 k m左右，最终成码率均大于15 kbps。这个指标可以满足基于“One Time Pad” 的保密电话需求。

该网络在国际上第一个实现了实时量子加密电话应用的网络，时间上和SECOQC基本同步，性能指标也基本上相同。该网络的建成是量子通信一次最生动的应用展示，使我国量子通信的应用水平一下子步入国际前列，在世界上激起了很大的反响。

3.2.2 5节点量子电话网

2009年8月，中国科学技术大学潘建伟小组在合肥建成了一个星型 5节点全通量子电话网络。该网络节点最短通信距离约为17 km。该网络在通信距离为20 k m时，安全成码率最低，仍可达120 kbps。因此该网络可实现基于“One t ime pad”的安全保密电话功能。

该网络第一次实现了任意节点间实时互联互通的网络控制功能，对于量子通信网络组网技术的成熟具有重要意义。

3.3 量子纠缠与量子通信

作为量子信息处理上最重要的资源之一，量子纠缠在量子保密通信上的应用价值主要有两个方面：一是直接基于纠缠分发可以实现共享量子密钥，二是基于量子中继的远程量子通信的基础。传统的量子纠缠态是指一种两光子态的线性叠加态。

由于两个光子可以位于空间不同地点，纠缠光子对可以形成不同地域的非经典关联。这种关联性可以直接用于共享密钥。借助于不同地点预先共享纠缠光子对，可以实现量子态隐形传输。这也是基于量子中继的远程量子通信的基础技术。量子纠缠对还可用于一类容错量子保密通信中。

3.3.1 量子纠缠分发

所有基于纠缠的量子通信任务都需要通信双方预先共享量子纠缠态。因此，纠缠光子对分发技术是一切后续目标的基础。光子对在偏振空间的纠缠态由于检测方式简单和各种其他的易操作性，这种纠缠光子对具有特别重要的应用前景。近年来，这方面的实验研究十分活跃。维也纳小组于2003年完成了600 m距离的自由空间偏振纠缠分发。后来有其他欧美小组在光纤中实现了1 km的量子纠缠分发。我国科学家于2006年完成了13 km距离的自由空间偏振纠缠分发。其纠缠源来自基于BBO晶体的II型参量下转换。在经过滤波片后每秒约产出10000个纠缠对，波长为702.2 nm，后光路采用了大型望远镜系统进行接收探测。此实验结果一个标志性的意义在于首次证实光子纠缠对分发距离可以超过与大气层等效衰减的距离。这对尚在论证中的以卫星为中转站的洲际量子密钥分发的可行性无疑有着重要启示。除了自由空间外，纠缠光子对分发也在光纤中也成功实现了。现今实用中的偏振纠缠对主要依靠下转换方法产生。这是一种概率性纠缠源。研究表明，高品质确定性纠缠源是有可能的。

3.3.2 量子态隐形传输

量子态隐形传输就是把量子信息从一个光子上转移到远处另外一个光子上而不必传输光子本身。实现这一任务需要空间两处预先共享纠缠光子对，在实施隐形态传输时还需在一个端点进行 Bell测量，之后依据此测量结果对另一个端点的偏振光子进行适当操作。

首个量子态隐形传输于1997年底在奥地利 Zeilinger小组完成。这项工作由 Bouwmeester以及中国学者潘建伟等人基于下转换光子对以及分光镜的集体测量技术完成。这项工作引起了全世界的广泛关注，也使得全世界对量子信息的研究热潮空前高涨。之后，世界各国科学家对这一问题进行了更加广泛和深入的研究。其中，中国学者们在世界各地都取得了多项领先实验成果。他们于2003年首次在室内实现了基本四光子的量子态隐形传输试验，使得量子态隐形传输能应用在更加广泛的量 子通信和量子计算中。2004年，在首次实现五光子纠缠的基础上，又实现了一种更新颖的量子态隐形传输，即终端开放的量子态隐形传输，为后继分布式量子信息处理做出了贡献。2006年，首次实现了两光子复合系统的量子态隐形传输。此前，所有的量子态隐形传输实验都只能传输单个粒子的量子态，而实现复合系统量子态隐形传输一直是个巨大的实验难题。2010年，中国学者们在中国本土更实现了举世瞩目跨越长城的 16 km距离的量子态隐形传输。到2012年，中国科学家们在青海湖地区已经实现了百公里量级的量子态隐形传输和量子密钥分发，这也是迄今为止真正量子纠缠分发的最远距离。同 1997年首个实验的厘米量级相比，其进展在10多年前是根本不敢想象的。这一成果将对远距离量子通信的实现产生深远影响。

量子态隐形传输技术可直接用于纠缠转换。纠缠转换是量子中继的基本操作单元，是可以用来克服远距离量子通信中的光子数损耗的最终手段。

1998年，潘建伟等人首次实现了量子纠缠交换，使得没有经过任何相互作用的两个光子产生了量子纠缠。我们如果基于现有的远距离自由空间的量子传输技术，实现同等距离量级的纠缠转换，这将成为量子中继的重要基础。

3.3.3 量子纠缠纯化

纠缠是量子通信中的基本资源。然而，在纠缠分发过程中，由于通道噪声，远距离的共享纠缠光子对质量会有下降，从而影响量子通信任务的实现。纠缠对提纯理论结论是，只要初始共享的纠缠对噪声低于一定水平，就可以提炼出较少对的纯纠缠对，对纯纠缠对在两端进行同一基矢测量即可获得绝对安全的密码。最初的量子纠缠纯化方案需要用到受控非门，但精确的受控非门无法用现有技术实现。2001年，潘建伟等提出了无需受控非门的纠缠纯化理论方案，使得以现有技术实现纠缠纯化成为可能。2003年，他们利用该方案成功实现了对任意纠缠态的纠缠纯化，《Nature》杂志以封面论文的形式发表了该研究成果。

3.4 量子中继与远程量子通信及远程量子网络通信

目前采用诱骗态方法的最远实验距离是 200 km。尽管随着检测技术的提高，该距离还会进一步提高，但是，由于成码率随着距离呈指数衰减，而单量子态信号又不能在中途放大，因此，基于经典相干态光源的诱骗态方法很难直接完成全球化量子通信任务。

远程量子通信的最终实现将依赖于量子中继。其基本思想是：在空间建立许多站点。以量子纠缠分发技术先在各相邻站点间建立共享纠缠对，以量子存储技术将纠缠对储存。采用远距离自由空间传输技术实现量子纠缠转换，即增长量子纠缠对的空间分隔距离。如果预先将纠缠对布置在各相邻站点，纠缠转换操作后便可实现次近邻站点间的共享纠缠。继续操作下去，原则上可以实现在很远的两个站点间建立共享纠缠。即实现远距离量子通信。

量子中继与经典中继（俗称“可信中继”）在安全性上是完全不一样的。可信中继是通过中继把形成的密码“接力”下去。它要求所有中继站都是安全的。在通信双方跨越的中继站中只要有一个不安全，则通信内容完全不安全。而量子中继的中继站只转换纠缠却看不到密码。即便所有中继站都不安全，两个通信终端间形成的密钥及以此为基础的通信仍然绝对安全。

如前文所述，实现量子中继的几项基本技术组件，量子纠缠分发，量子纠缠转换已经获得10 k m量级的实现，这已经具备建立具有实际价值的量子中继站的要求。要实现有意义的量子中继，还需要能对量子纠缠态存储。这项要求具有巨大挑战性，实际上是量子中继的最关键技术。2007年，潘建伟小组提出了具有存储功能并且对信道长度抖动不敏感、误码率低的高效率量子中继器的理论方案；在此基础上，2008年，该小组利用冷原子气体在国际上首次实现了具有存储和读出功能的量子中继器，建立了由300 m光纤连接的两个冷原子系综之间的量子纠缠。这种冷原子系综之间的量子纠缠可以被读出并转化为光子纠缠，以进行进一步的传输和量子操作。《Nature》杂志发布了题为“量子推动”的新闻稿，称赞该工作“扫除了量子通信中的一大绊脚石”，并在网页上发布了题为“量子密码可以走远了”的报道。同年底，该成果入选欧洲物理学会评选的“The b est of 2008”。2009年，清华大学小组提出了改进的方案，使得容错量子中继操作甚至无需校验光。

3.5 自由空间量子通信

自由空间量子通信是解决光子数信道损耗问题的另一有效途径。研究表明，利用低轨卫星和自由空间纠缠光子分发，通过“量子信号从地面上发射并穿透大气层——卫星接收到量子信号并按需要将其转发到另一特定卫星——量子信号从该特定卫星上再次穿透大气层到达地球某个角落的指定接收地点”的方法，很有希望实现更远距离乃至全球化的量子通信。由于量子信号的携带者光子在外层空间传播时几乎没有损耗，如果能够在技术上实现纠缠光子在穿透整个大气层后仍然存活并保持其纠缠特性，人们就可以在卫星的帮助下实现全球化的量子通信。2005年的13 km自由空间量子纠缠和量子密钥分发，和2010年的16 km远距离自由空间量子态隐形传输实验，2013年实现的基于浮空平台，利用了多项自动跟踪扫描对准技术的量子密钥分发实验以及之前的量子纠缠实验为星地量子通信打下了重要基础。

4 关键技术

现有的量子保密通信的物理实现方式大多基于单光子水平的弱相干光和纠缠光通信。主要硬件技术包括弱相干光源和纠缠光源，传输与检测。在软体方面还包括最终码提炼（编码）技术。衡量系统先进性的主要指标是产生安全最终码的成码能力。系统每秒生成安全最终码正比于系统重复率与每脉冲成码率。而每脉冲成码率除了受到误码率和损耗率的影响外，还取决于提炼（编码）软体技术。可以从提高光源编码质量，通道传输，以及同步检测，探测器效率等方面来降低误码率。此外，对于无存储量子通信网络，以光开关为代表的弱光传输路径的有效控制也是关键技术之一。

基于量子中继器的未来远程量子网络的技术基础包括光存储和两光子态的联合测量。目前这两项 技术都已经在实验室中获得实现。然而，量子关键器件的研发，对量子通信网络实用化至关重要。其中，单光子探测系统是处于核心地位的量子关键器件，其参数指标直接制约着量子通信系统的性能，其性能提升对于量子通信系统起着基础性的作用，目前较为前沿的有高速诱骗态光源技术、基于周期极化铌酸锂波导的上转换探测器技术、高速近红外单光子探测技术等。

5 总结与展望

经典保密通信的安全性未获数学证明。借助量子特性可以实现严格数学证明的安全通信。虽然以弱相干态为源的现有系统对其所报告的密钥分发距离并不安全，但我们仍然有其他办法用现有技术实现绝对安全的量子密码系统，例如诱骗态方法、纠缠对分发方法等。就未来而言，理想单光子源或纠缠源技术的发展将会大大提高量子密码系统的效率与实用性能。有了量子纠缠方法，提炼、转换和存储为技术基础的量子中继技术将会最终实现任意远距离的安全量子通信及通信网络。由于篇幅有限，本文中有关量子通信的实现部分，仅选择了部分基于线性光学的方法。本文未涉及连续变量的量子通信，例如连续变量量子纠缠、连续变量量子隐型态传输、连续变量量子密钥分发等重要内容；也未包含在量子通信上有重要潜在应用价的量子存储、指示单光子源诱骗态方法等内容。

【作者单位：中国科学技术大学公共事务学院；清华大学物理系低微量子物理国家重点实验室；量子信息与量子科学前沿协同创新中心】

（摘自《中国科学：信息科学》2014年第3期）

责任编辑：吴晓丽