清华大学副教授马雄峰：量子密钥分发网络优化及安全性

来源：AI TIME 论道

本文约5300字，建议阅读9分钟

本文介绍了量子密钥分发的概念，对比了量子密钥分发网络的基本结构，并阐述了对未来发展的期望。

2020年9月25-26日，2020年中国科技峰会系列活动青年科学家沙龙将迎来新的一期—“人工智能学术生态与产业创新”。本次活动由中国科学技术协会主办，清华大学计算机系、AI TIME、智谱·AI承办。

2017年，量子科学实验卫星“墨子号”在国际上首次成功实现从卫星到地面的量子密钥分发和从地面到卫星的量子隐形传态，两项成果在线发表在国际权威学术期刊《自然》杂志上，为我国在未来继续引领世界量子通信技术发展和空间尺度量子物理基本问题检验前沿研究奠定了坚实的科学与技术基础。

“京沪干线”项目于2013年7月立项，于2017年8月底在合肥完成了全网技术验收，2017年9月29日正式开通。“京沪干线”全线路密钥率大于20千比特/秒（kbps），可满足上万用户的密钥分发业务需求，已实现北京、上海、济南、合肥、乌鲁木齐南山地面站和奥地利科学院6个节点间的洲际量子通信视频会议。

2020年9月25日上午，大会邀请到清华大学交叉信息研究院马雄峰副教授做了名为《量子密钥分发网络优化及安全性》的主题演讲。

在演讲中，马雄峰老师介绍了量子密钥分发的概念，指出目前世界各地都在大力发展量子网络的研究，而我国也展开了“京沪干线”和“墨子号”的科研和工程项目；之后对比了量子密钥分发网络的基本结构，并阐述了对未来发展的期望。

马雄峰，主要从事量子信息和量子光学的研究，特别是在量子密码学，量子随机性，量子关联，量子计算等领域。2003年北大物理本科毕业之后到多伦多大学攻读博士学位，2008年获博士学位后到滑铁卢量子计算中心从事博士后工作，2011年到多伦多大学博士后，同年到利兹大学访问学者，2012年到清华大学交叉信息研究院任教，入选青年千人计划。

本文是我们对报告主要内容的简单整理：

一、背景

当前的量子通讯主要是在处理密码学的问题。密码学一个很重要的用途就是通讯，例如上图的Alice和Bob之间，他们希望能够在通讯过程当中，确保信件的内容不被别人知道。密码学有一个很重要的概念是密钥，密钥在上图中是由Alice和Bob两个人共享的。

密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。

对称密钥加密：信息的发送方和接收方使用同一个密钥去加密和解密数据。

非对称密钥加密系统：它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。

一般来讲密钥必须是随机的，即除通讯双方外的人不能预见这个密钥。当你拥有一个密钥的时候，就相当于你的密码，如果这个密码能够被别人猜到，那么这个密码就是无效的。一般很多时候对称密码系统需要有同样的密钥，而这个密钥要保证通讯保密。那在这个过程中提及到量子密码或者量子通讯就是指如何分发上述的密钥。

采用量子力学的手段来分发密钥，这种技术的安全性在理论上是有保障的。这是因为此类技术基于量子力学实现，不假设任何计算的复杂度。即便如此，量子密码是不能够替代当前的密码学的密码系统的，其可以视作当前密码系统的补充。特别是在传统密码中的公钥系统，这是互联网的基础。就目前情况来看在量子计算机普及之前，量子力学对于公钥系统没有什么影响。此外，量子通讯也不能替代当前的通讯，也不是意味着量子通讯要比如今的通讯快。就目前的应用来看，量子通讯和量子密钥都是用来处理密钥分发，属于同一个概念。

量子密钥分发（quantum key distribution，QKD）：是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密消息。

量子密钥分发的一个最重要的，也是最独特的性质是：如果有第三方试图窃听密码，则通信的双方便会察觉。这种性质基于量子力学的基本原理：任何对量子系统的测量都会对系统产生干扰。第三方试图窃听密码，必须用某种方式测量它，而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息，通信系统便可以检测是否存在窃听。当窃听低于一定标准，一个有安全保障的密钥就可以产生了。

量子密钥分发的安全性基于量子力学的基本原理，而传统密码学是基于某些数学算法的计算复杂度。传统密码学无法察觉窃听，也就无法保证密钥的安全性。

量子密钥分发只用于产生和分发密钥，并没有传输任何实质的消息。密钥可用于某些加密算法来加密消息，加密过的消息可以在标准信道中传输。

公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥)，其中的一个向外界公开，称为公钥；另一个自己保留，称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据，必须用另一个密钥解密。

二、发展现状

上图是一个比较早的量子密码系统，这是马老师读PHD的时候照的照片。量子密码系统在那个时候就已经在市场上流通，其体积比普通的电脑机箱稍微大一点，看起来并不是很大，接近二十年前已经有产品卖。

今天所有的密码系统都是在一个机箱上面，所有的产品现在做的非常成熟，整个领域非常实用。

由整个量子密码构成的通讯网络，在过去十几年一直是有，比如美国、日本。日本密钥落地以后还跟手机连在一起，可以做无线通讯。欧洲也有一个规模很大的网络系统。此外瑞士十几年前已经用量子密码的手段来保障选举系统安全性。日内瓦那边整块有一个网络主要是支持银行系统。此外还有南非、澳洲等国家。可以看到很多国家都在积极发展量子密码网络系统。

国内在这方面的发展也不错，有一个比较大的项目是京沪干线，我们先通过铺设光纤把大城市连起来，大城市里面又采用城域网络连起来，这个干线连接了四个区域网络，北京、济南、河北和上海，后面还会铺更多的网络。这样连起来之后，保证北京和上海之间，任何两个节点之间可以做一个安全的密钥分发。这个项目在16年年底已经完成，到目前为止一直持续运营。有一些银行或者是政府等其他的机构用这些密钥，并且系统比较稳定，经过这么长时间的运营，基本没有出现过问题。

当面对更远的距离，如果直接用光纤铺过去会消耗非常大的财力物力，所以一般采用量子卫星作为传输。墨子号是四年前发射，成功的完成了三大目标。整个大的框架基于京沪干线的网络搭建完成，当要连接更远的地区，比如说到乌鲁木齐，如果光纤铺设会产生巨大的费用，所以直接通过卫星来连接。特别是在有些情况下，光纤铺设是不可能的方案，比如位于国外的大使馆，对方国家不可能允许你铺设量子通讯设备，这个时候有可能做到的就是卫星。

此外我国有众多数据中心，数据之间都有灾备，海量数据如果泄露会造成严重的影响，这就需要通过干线把所有数据中心连起来，形成几横几纵的网络结构，保障整个通讯的安全。

灾难备援:是指利用科学的技术手段和方法，提前建立系统化的数据应急方式，以应对灾难的发生。其内容包括数据备份和系统备份，业务连续规划、人员架构、通信保障、危机公关，灾难恢复规划、灾难恢复预案、业务恢复预案、紧急事件响应、第三方合作机构和供应链危机管理等等。

未来用卫星把整个国家连接起来，全球连接起来，这样做的好处在于，当我国的货船到了国外，做远洋航线，或者国际公司比如华为在非洲需要通讯，都可以通过卫星传输。这是发展现状，目前整体发展偏工程化。相比于图像识别，量子通讯在现实通信网络模型中主要作用于用户层下方。

三、量子密钥分发网络中的实际任务

上图是一个量子密钥分发网络结构。观察这个网络结构，最上面的笑脸是用户层，用户使用加密通讯时调用下面的密钥管理层，这一层负责密钥管理或者去除过期密钥，当密钥被消耗的时候，下一层的QKD就开始密钥分发，补充消耗。这就是上一部分说到的作用于用户层下面。这个过程与当前的网络结构运行方式相差并不是很大。现行的网络运行流程，除去涉及的点不一样，就是发送一个请求，即发一个包出去，从这里面发到接收的用户，这个网络要经过很多节点，每个节点要检测当前网络有没有赋予流量，或者有没有丢包现象。类似这些问题是整个网络的学科当中涉及到的很多问题，当把经典的网络问题转换一下就变成量子网络的问题，这个结构套用到有些地方还是很好用的。

早在上世纪四十年代，著名的信息论鼻祖香农采用信息论严格证明，如果密钥长度与明文长度一样长，而且用过后不再重复使用，则这种密文是绝对无法破译的，俗称为“一次一密”。“一次一密”要大量消耗“密钥”，需要双方不断地更新密码本，而“密码本”的传送（称为“密钥分发”）本质上是不安全的。采用不安全的密钥来实施“一次一密”加密仍然是不安全的。而量子密钥分发则能保证这个过程的安全性。

量子密钥分发的过程大致如下：单个光子通常作为偏振或相位自由度的量子比特，可以把欲传递的0，1随机数编码到这个量子叠加态上，比如，事先约定，光子的圆偏振代表1，线偏振代表0。光源发出一个光子，甲方随机地将每个光子分别制备成圆偏振态或线偏振态，然后发给合法用户乙方，乙方接收到光子，为确认它的偏振态（即0或1），便随机地采用圆偏光或线偏光的检偏器测量。

如果有窃听者在此过程中企图骗取这个密钥，他有两种策略：一是将甲发来的量子比特克隆后发给乙方。但量子不可克隆性确保窃听者无法克隆出正确的量子比特序列，因而也无法获得最终的密钥。另一种是窃听者随机地选择检偏器，测量每个量子比特所编码的随机数，然后将测量后的量子比特冒充甲方的量子比特发送给乙方。按照量子力学的假定，测量必然会干扰量子态，因此这个“冒充”的量子比特与原始的量子比特可能不一样，这将导致甲乙双方最终形成的随机数序列出现误差，他们经由随机比对，只要发现误码率异常地高，便知有窃听者存在。

在现实生活中量子网络会遇到很多的问题，例如延迟、可靠性、可扩展性、成本、安全、密钥消耗等。这里举个例子，比如一个网络里面如果不是最高级别的安全，一般会有一个可信的中继，一是可以降低成本，距离短一些，点对点的连接会少一些。还有很重要的点，未来在国家这个层面面对网络还是需要一定的监管，完全端对端的安全会有缺少监控的问题。在一般的民用情况下，这些问题都比较普遍。现在合肥的网络有46个节点，还有济南的50多个节点。这种规模的节点数还好一点，未来会达到几百个节点。那么问题来了，你在一个网络里，不可能保证这一百多个节点都是安全，这是一个不合理的假设。假定有些节点出现了安全问题，比如被监听或泄露。那么网络必须有一个保障，不能一个节点不安全，整个网络都受到威胁。

现在来研究一个问题，当面对随机的一个网络结构时，中间哪些节点出现问题，其余两个节点就没办法做安全通讯，或者反过来说，应该用什么样的协议，使得网络能够容忍更多的节点不安全的情况下还能做安全通讯。

观察上面两种网络结构，一种是Backbone形式，有一条主链，即一条线，用户都是在主节点周边。一种是Star—type，有个主节点位于中心，剩余的节点都通过主节点。这是比较简单的问题，像Star—type，如果中间这个节点怀了，整个网络就面临威胁。当然如果旁边两个节点不安全了，另外两个还是可以做安全通讯。发生故障的节点不一样，不同的拓扑结构对节点容忍度不一样。

现在有一个问题，怎么样做这个密钥分发，才能保证能够容忍尽量多的不安全节点。另外一个问题，在什么样的情况下，哪些节点一起故障了，就不安全。当然上述这个图画的特别简单，比较容易理解，但是如果这个拓扑结构非常复杂，一般情况下很难找到。如果没有学过拓扑学，cut就是一种定义，一刀切下来把这个网络一分为二，如果两个人分居两端，这样的情况下它是不安全。而且我们提出另外一种协议，除非形成一个切断，它都可以是安全的。这个涉及如何形成这个协议的问题。还有另外一个问题，量子密钥比较珍贵，花费较多，如何保障有几个节点不会用的特别多，一定的密钥传输速度如何能够支撑最多的通讯，这是另外一个问题。这里面涉及到很多网络优化问题，现在很多网络优化问题能够用机器学习等方法来解决。

四、结论与展望

刚才提到的重要应用除了量子密钥分发还有一个是量子随机数，这个应用也非常广。当然如果形成一个网络，有很多网络问题需要解决。

平时我们在计算机程序上使用的随机数都是伪随机数，它们是用特定的算法生成的，本质上可以预测，因此是伪随机数。

真随机数指的是随机数的样本不可重复，无法预测，具有真正的随机性。因为经典的宏观世界本质上是可以预测的，真随机数的产生只能通过量子物理来实现，例如核裂变，单光子随机数等等。量子物理之所以能产生真正的随机数，是因为它利用了量子态的叠加性，当测量的时候，量子态会随机坍缩到一个确定的态。这种坍缩是一类真正的随机，任何理论都无法预测，因此由量子物理产生的随机数是真随机数。

真随机数是量子保密通讯的基础。不管是我们的量子通讯线路“京沪干线”，还是量子科学实验卫星“墨子号”，不同中继站之间的保密通讯的基本上都是通过交换随机数完成的，因此随机数的安全是整个量子网络安全的基础。

未来会更复杂一些，刚才说的量子密钥分发网络跟经典的网络没有太大区别，密钥本身已经是经典的“一次一密”，整个网络处理跟经典本身没有太大区别。但是在未来，可能节点本身是量子的，它的量子节点之间是有纠缠。这个网络的复杂程度会比刚才高非常多的量级，我花了很大的精力在做量子网络研究，比如量子纠缠的结构，这在今天也是很模糊的。有些研究在结构复杂到一定的程度之后，简单的解析已经很困难。这个时候要借助计算机，甚至借助各种各样的技术手段，或者机器学习等手段。整个量子网络这一块是非常有趣的，把一个实用和很基础的物理问题连起来的点。

编辑：于腾凯

校对：王欣