网络安全宣传周｜从理论到实用的量子密钥分发

摘要：互联网在带来便利的同时，也引发了系列网络安全问题。从个人信息泄露到网络诈骗，从恶意软件攻击到数据滥用，各类风险威胁着我们的权益与安全。量子通信作为原理上不可窃听，不可破译的新型信息安全手段，为未来自主可控的信息安全生态提供了重要保障。

2025年国家网络安全宣传周

9月15日-9月21日

互联网在带来便利的同时，也引发了系列网络安全问题。从个人信息泄露到网络诈骗，从恶意软件攻击到数据滥用，各类风险威胁着我们的权益与安全。量子通信作为原理上不可窃听，不可破译的新型信息安全手段，为未来自主可控的信息安全生态提供了重要保障。

“网络安全为人民，网络安全靠人民”。时值2025年国家网络安全宣传周，国盾量子精选系列量子通信科普文章，与您共同关注网络安全，以高水平安全守护高质量发展。

我们为何需要量子密钥分发?

（1）信息安全的根基：

密钥安全

数据无处不在的时代，我们每时每刻都在发送和接收信息——短信、视频会议、网购支付、企业或政务数据传输……这些信息在传输过程中都必须加密，以防被黑客或其他未授权者窃听。而加密的根本基础在于“密钥”：发送方用密钥对信息加密，接收方用密钥解密。如果密钥被窃取，即使加密算法再复杂，也无法保障信息安全。

传统方式分发密钥（如RSA或Diffie-Hellman协议）依赖数学难题的复杂性，如大整数分解或椭圆曲线离散对数问题。这些问题对当前的经典计算机来说很难破解，因此支撑了现代密码体系的安全。随着量子计算的发展，这些难题可能在不远的将来被高效解决。届时，这种分发密钥方法的安全性将失去基础。

（2）量子密钥分发的不同：

不可窃听、不可破译

量子密钥分发（Quantum Key Distribution, QKD）是一种从根本上不同的密钥分发方式。它并不依赖数学假设，而是直接建立在量子力学的基本规律之上。只要系统遵循物理规律、协议正确执行，即使攻击者拥有无限计算能力，也无法在窃取密钥时不被察觉。

QKD的安全性依赖于两个核心的量子特性：

测不准原理：对量子态的测量会不可避免地扰动它。一旦有人“偷偷”测量光子，就会改变它的状态；

不可克隆定理：未知的量子态无法被精确复制，因此攻击者不能备份光子用于后续破解。

这意味着，任何窃听行为都会留下可观测的痕迹。通信双方可通过检测这些异常来丢弃受污染的数据，从而确保最终生成的密钥是安全的——这正是QKD具备“信息论安全”的核心所在。

（3）QKD如何工作

QKD的目标是在通信双方（通常称为Alice和Bob）之间传输一串真正随机且保密的0和1。为实现这一点，发送方使用的是单个光子来编码每一位比特，而不是电子信号或多光子脉冲。

为什么必须使用单光子？这是因为不可克隆定理只在单光子层面才能成立。若一次发送多个相同光子，攻击者可以窃取其中一部分而不影响剩余的光子到达接收端。就像一封信被复印多份后发送，窃听者可以轻松获取其中一份而不被发现。而若每次只发出一个光子，则攻击者既不能复制，又无法“看一眼再放回去”，测不准原理保证了其无法悄无声息地干扰通信。光子的量子态可以通过多种方式编码，例如：

偏振编码：偏振态0°、45°代表0，90°、135°代表1；

相位编码：相位差0°代表0，180°代表1；

时间编码：在不同时间窗口发射光子代表不同比特值。

以经典的BB84协议为例，Alice会随机选择编码方式准备光子，Bob则随机选择测量方式接收。通过后续的协商和比对，双方可以得到一串共享的随机密钥，并检查是否有窃听行为（通过误码率检测）。

（4）如何突破QKD的传输距离？

尽管QKD在理论上极其安全，但在现实应用中，它面临最大的技术瓶颈之一就是传输距离受限。

这是因为光子通常通过光纤传输，而光纤中不可避免存在传输损耗——每走一公里就有一部分光子被吸收或散射。例如在典型通信光纤中，每公里损耗约0.2dB，100公里后能成功传输的光子比例不到1%。QKD依赖的是单光子级别的传输，每一个光子的丢失都意味着一次密钥传输失败。

此外，密钥生成速率会随光子损耗呈指数级下降。在实际应用中，传统的QKD协议通常在200至300公里范围外就难以维持可用的密钥速率。

那么，为什么不能像经典通信那样使用“中继放大器”？原因在于，传统中继器需要对信号进行测量和重发，但测量会破坏量子态，而重发则违背不可克隆定理。也就是说，经典中继不适用于量子通信，因为一旦中继节点测量了光子，量子密钥的保密性就丧失了。

虽然理论上可以通过构建“量子中继器”来实现安全的量子级接力，但这需要极其复杂的技术，如量子存储、量子纠错和纠缠交换等，目前仍处于早期实验阶段，尚难大规模应用。

为在不依赖量子中继的情况下延长QKD的传输距离，科学家们提出一种结构更巧妙、效率更高的协议：Twin-Field QKD（TF-QKD）。它的出现极大拓展了QKD的应用边界。

突破距离限制的利器：

TF-QKD 协议

（1）干涉测量架构的引入

TF-QKD即双场QKD协议，最早由Lucamarini等人于2018年提出，是一种特别设计，能够突破传统QKD距离瓶颈的协议。其核心思想是：通信双方不再直接彼此发送光子，而是各自将准备好的量子态发送至一个中间节点（Charlie）进行干涉测量。Charlie负责测量光子的干涉结果，并将其结果公之于众。这一结构带来两大关键好处：

中间节点（也即Charlie）可以是不可信的，甚至就是窃听者Eve；

QKD的通信距离能够得到显著提升。

（2）TF-QKD如何实现安全通信

在传统QKD中，如果中继节点被攻破，通信安全就无法保证。而TF-QKD则是一种测量设备无关（MDI）协议，通信双方即使通过一个不可信的第三方节点，也能完成安全的密钥分发。

打个比方，这个过程类似于Alice和Bob拥有两套难以从外观分辨出来的锁与钥。Alice持有钥匙而Bob拿着锁。其中，名为1的钥匙能打开名为1的锁，名为0的钥匙能打开名为0的锁。Alice随机从她所拥有的两把钥匙中挑选一把给Charlie，Bob同样随机挑选一个锁给Charlie，Charlie要做的测量则相当于是尝试用Alice的钥匙去开Bob的锁。测量的结果无非两种，能打开和不能打开。如果能打开，Alice和Bob就知道他们选的是对应的锁与钥，那他们就只要把各自锁与钥的名字留下作为密钥就行；如果不能打开，Alice（Bob）就知道对方选择了另一把锁（钥匙），只要选取自己手中的另一把钥匙（锁）的名字作为密钥，二者同样能共享相同的密钥，从而完成密钥分发的过程。Charlie只知道是否匹配，却无法推断出钥匙和锁的具体内容，因此不会泄露任何信息。

这种架构不仅解决了对中继设备信任的问题，还能有效抵御“探测器攻击”等现实安全威胁。

（3）为什么TF-QKD能显著延长距离

在传统QKD中，Alice与Bob必须将锁和钥匙都完整地寄送给对方，任何一方传输失败都将导致密钥生成失败。其损耗是双边传输损耗的叠加，密钥生成速率随距离呈指数衰减。而在TF-QKD中，只要Alice或Bob中有一把锁或钥匙成功到达Charlie，就有可能结合测量结果生成密钥。其损耗主要取决于单边传输，使得密钥生成速率大大提升。因此，TF-QKD可实现远超传统QKD的安全通信距离。

（4）TF-QKD的实现难点：

相干性和探测器

TF-QKD虽然原理巧妙，但实现上存在两个重大挑战。

高相干性干涉：TF-QKD的核心操作是干涉测量——也就是让来自Alice和Bob的两个光信号在Charlie处进行相干叠加。为了实现高质量的干涉，这两个光信号必须在频率、相位、时间等维度上几乎完全一致，否则干涉图样会模糊，密钥错误率就会上升。但Alice和Bob使用的光源是彼此独立的激光器。要让这两束光“像一个人发出来的”一样整齐，需要将它们的频率锁定在极高精度上，并且在传输过程中抵消光纤带来的相位漂移。这需要超稳激光器和精密的反馈控制系统，通常只在实验室环境中才能实现。

高灵敏度探测：TF-QKD中为了保证单光子级别的安全性，发出的光信号极其微弱，达到“每个脉冲中平均不到一个光子”的水平。这就要求接收端（Charlie）具备极其灵敏的单光子探测器。最常用的是超导纳米线探测器（SNSPD），但这种探测器需要极低温环境（-270°C）才能运行，价格昂贵、体积庞大，难以部署在真实网络环境中。

因此，尽管TF-QKD理论上具备显著优势，并且已有多个TF-QKD的成功实验（有的甚至达到了1000公里），其部署一直受限于这些工程瓶颈。

重要突破：高实用性TF-QKD，首次在商用光纤网络中实用部署

2025年，英国Toshiba研究团队在《Nature》杂志上发表的一项成果首次打破了这一局限。他们在德国的一段254公里商用光纤链路上，成功实现了实用化TF-QKD系统，密钥速率达每秒110比特，并且不依赖超导探测器，只使用常温APD探测器。这标志着TF-QKD迈出了走出实验室的关键一步。

（1）创新一：离带相位稳定技术

该系统采用了一种关键技术：离带相位稳定（off-band phase stabilization）。所谓“离带”，是指他们将用于传送参考相位的强光信号与用于传送密钥的量子信号设计成不同的波长。这两个波长虽然不完全相同，但足够接近，可以认为它们在传输过程中受到几乎相同的光纤相位扰动。

这样设计的优势是：

可以用独立探测器分别处理参考光和信号光，避免相互干扰；

有效规避了APD对强参考光的余辉影响，使得非低温APD探测器也能稳定运行。

整个过程可以简单理解为：发送端利用中央节点提供的光学频率基准，将激光器锁定在相同频率上；接收端再通过实时监测参考光的干涉结果来估计当前光纤系统的相位扰动，并通过反馈调节系统（如相位调制器、光纤拉伸器）进行纠正，从而让真正的密钥信号保持稳定的相干性。这套机制在实验中实现了干涉可见度高达97%的稳定运行，证明其在真实网络中的鲁棒性。

（2）创新二：使用APD替代SNSPD

另一个至关重要的突破是——他们并没有使用昂贵且难以部署的超导单光子探测器（SNSPD），而是采用了商业化的雪崩光电二极管（APD），这在以往的TF-QKD实验中几乎是不可想象的。

APD的优点是显而易见的：

成本低廉：一个APD系统价格在几千美元量级，而SNSPD往往需要十万美元以上；

体积小、无需深冷：APD只需热电制冷至约-30°C，就能正常工作，适合部署在标准机房环境。

但APD的劣势同样明显，包括：

探测效率较低（约10–20%，SNSPD可达80%以上）；

暗计数率较高（几百Hz vs SNSPD的几Hz）；

容易受到强光产生余辉干扰。

过去正是因为后一点，APD无法用于TF-QKD等相干性要求极高的协议。但这项工作通过离带相位稳定技术有效规避了APD的余辉问题，使得APD不仅“能用”，而且“用得好”。这是TF-QKD真正走向工程可实现、网络可部署的关键转折点。

这项工作具有多项先进意义：

实用性强：首次在商用网络中使用商用激光器与探测器完成长距离TF-QKD；