一文讀懂：什麼是量子密碼協議？

本文來自微信公眾號： 中國工程院院刊 （ID：CAE-Engineering） ，作者：張雪、高飛、秦素娟、張平（無線行動通訊專家，中國工程院院士），原文標題：《量子密碼協議研究現狀與未來發展丨中國工程科學》，頭圖來自：unsplash

量子密碼是密碼學的新方向，具備極高的安全性潛力，因此具有重要的研究價值。從應用角度來說，量子密碼並不能“獨挑大樑”，將它與經典密碼融合使用幾乎是必然的選擇。如何給資訊系統的整體安全性帶來提升，在使用時需要重點考量。由於目前實用化的量子密碼協議還很少，在應用中可以優先考慮功能較少的專用網路。以後隨著實用量子密碼協議和與之相適配的經典密碼技術日趨完善，量子密碼將擁有廣闊的應用空間。

中國工程院張平院士研究團隊在中國工程院院刊《中國工程科學》2022年第4期發表《量子密碼協議研究現狀與未來發展》一文。文章聚焦量子密碼近40年的發展歷程，梳理了量子金鑰分配、量子安全直接通訊、量子祕密共享、量子身份認證、量子兩方安全計算、量子保密查詢等量子密碼協議的研究進展和發展趨勢，凝練發展過程中面臨的技術與應用問題。

文章分析表明， 當前量子密碼協議研究處於“量子金鑰分配協議遙遙領先、其他協議有待突破”的不平衡狀態，也是“其他協議難以突破”的瓶頸狀態。 著眼未來應用，針對數字簽名、兩方安全計算問題的實用化量子協議是亟需解決的核心問題。為此建議，量子密碼與後量子密碼研究應同步開展，加強“量子科技”“密碼學”學科的交叉研究和人才培養，優化對相關基礎研究的考核評價機制。

一、前言

自古以來，資訊交流便是人們日常生活中不可或缺的一部分。資訊傳遞的安全性是很多通訊場景下的基本需求，在外交、軍事、經濟等保密性較高的領域中更顯重要。密碼學是保障網路與資訊保安的理論基礎，各類密碼演算法和協議在確保訊息的機密性、完整性、不可否認性以及身份認證等方面發揮著重要作用。經典密碼 （指基於數學複雜性理論的數學密碼，與量子密碼相對應） 演算法可大致分為對稱密碼、公鑰密碼兩類，各有優點且應用廣泛。然而在20世紀90年代Shor演算法、Grover演算法提出後，量子演算法對當前的密碼體制形成了嚴重的安全性威脅。如果有了通用的量子計算機，Shor演算法可以輕鬆攻破基於整數分解、離散對數問題的多種公鑰密碼；Grover演算法也將挑戰對稱密碼的安全性。因此，研究可以抵抗量子計算攻擊的新型密碼體制已經成為密碼學領域的重大任務。

有趣的是，量子科技在對密碼學的安全性形成威脅之際，也為抗量子計算攻擊提供了一種潛在方法 （即量子密碼） 。 量子密碼是量子力學和密碼學相融合的產物，它採用量子態作為資訊載體在使用者之間傳送資訊。 根據量子態的特性，在一個安全的量子密碼協議中通訊雙方可以發現所有有效的竊聽/攻擊行為。可見，量子密碼的安全性不再基於數學問題的困難性，而是由量子力學基本原理所保證。一個設計精巧的量子密碼協議可以達到資訊理論安全。

近年來，隨著量子資訊科技的逐漸豐富與成熟，人們已經提出了各類獨具特色的量子密碼協議。需要說明的是，經典密碼通常在密碼演算法的基礎上構建可完成各種密碼學任務的協議，而量子密碼往往直接利用量子性質來設計類似協議。 因此，相比於演算法，協議是量子密碼中的主要研究內容 。

圖1量子密碼協議的研究意義

注：木桶的容水量代表資訊系統的安全性強度。

量子密碼協議的研究意義可以參照木桶理論 （見圖1） 來表述。 在經典密碼中，組成木桶的木板代表各類經典密碼演算法和協議； 而在量子密碼中，木板代表各類量子密碼協議。 一方面，協議對量子密碼來說至關重要，所有密碼學任務都是通過相關協議來完成；另一方面，與經典密碼演算法和協議相比，量子密碼協議的安全性大大提高，可以對抗未來量子計算的攻擊。人們希望利用量子性質能夠實現各類密碼協議功能，進而全面提升資訊系統的安全性。

本文針對量子密碼協議的發展動態和趨勢進行研究。按照協議的不同功能，梳理6類主流量子密碼協議 （見圖2） 的發展現狀並分別分析實用化潛力及侷限性；統籌考慮量子密碼整體的實際應用需求，凝練領域未來亟待解決的關鍵科學問題並預判潛在的技術途徑，提出我國在本領域的技術發展建議，以期為量子密碼協議的深化研究提供基礎性參考。

圖2幾類具有代表性的量子密碼協議

二、量子金鑰分配協議

量子金鑰分配 （QKD） 是一種通訊雙方通過傳輸量子態來建立金鑰的協議，其目的是使通訊雙方獲得一串只有他們兩個知道的金鑰 （由經典的隨機位元構成，但由於是用量子方式建立的，因此也被稱為“量子金鑰”） 。由於QKD和一次一密 （OTP） 加密演算法均具有資訊理論安全性，將兩者結合使用就可以實現完美安全的保密通訊。

根據光源編碼空間的維度不同，QKD可以分為離散變數 （DV） 和連續變數 （CV） 兩類。QKD系統由傳送端、接收端以及通道組成。QKD通道包括量子通道和經典通道，分別用於傳輸量子和經典訊息。在量子密碼協議中，一般假設經典通訊是不可篡改的，這一點可以利用具有資訊理論安全性的經典訊息認證碼來實現。此外，為了在有噪聲的現實情況下獲得資訊理論安全性，QKD一般包含糾錯和隱私放大的過程，前者用於糾正噪聲引起的金鑰錯誤，後者用於壓縮竊聽者在噪聲掩護下可能獲得的金鑰資訊。

1984年，IBM的Bennett和Montreal大學的Brassard首次提出量子密碼的概念，並給出 第一個QKD協議——BB84協議 。經過近四十年的發展歷程，人們基於不同量子力學特性提出了多種QKD協議，一些典型QKD協議的安全性也得到了嚴格證明，但實際上QKD系統中因為器件的不完美仍然存在一些安全性漏洞。裝置無關 （DI） QKD協議可從根本上消除這些漏洞。該類協議不需要假設QKD裝置是完美的，它們甚至可以是不可信的。DI-QKD的安全性基於如下事實：量子過程和經典過程對貝爾不等式的違背程度是不同的。通訊雙方通過觀測輸入和輸出的經典位元資訊間的關聯關係，計算貝爾不等式的違背值，即可判斷裝置的可信程度，並估計出竊聽者所能獲取的最大資訊量。只要實驗中觀測到的違背值足夠大，則說明裝置足夠可信，通訊雙方進而可以獲得資訊理論安全的金鑰。DI-QKD協議過程相當於對其裝置的可信性進行了一次“自測試”，只有可信的裝置才能通過測試，進而讓通訊雙方成功建立金鑰。此後，人們又提出了測量裝置無關 （MDI） QKD協議，它可以在測量裝置不可信的情況下實現安全的金鑰分配，且實現難度較DI-QKD更低。

QKD實用化研究也進展快速。2021年，中國科學技術大學潘建偉團隊演示了一個整合的空對地量子通訊網路。基於“墨子號”量子衛星，通過整合光纖和自由空間QKD鏈路，該QKD網路中的任何使用者都可以與其他任何使用者進行通訊，總距離可達4600 km。同年，中國科學技術大學封召等演示了10 m水下通道基於偏振編碼的QKD實驗，安全金鑰生成率超過700 kpbs。2022年，中國科學技術大學郭光燦團隊實現833 km光纖QKD，將無中繼QKD安全傳輸距離世界紀錄提升了200餘 km，向實現1000 km陸基量子保密通訊邁出重要一步。

綜上所述，QKD作為量子密碼領域研究最早、理論最成熟的部分。目前已有多個國家建立了基於QKD的通訊網路，如美國的DARPA、歐洲的SECOQC、日本的Tokyo QKD Network、中國的京滬幹線等。隨著“墨子號”量子衛星的發射，京滬幹線、滬杭幹線的相繼落成，QKD已經在一定程度上具備了走向實用化的條件。儘管如此，受技術條件限制，當前的QKD系統在傳輸速率、傳輸距離兩個方面還不能滿足大規模應用的需求。在具體應用中，人們往往會選擇一些折衷方案。比如，針對金鑰生成速率低的問題，人們也常將QKD金鑰用於高階加密標準 （AES） 等加密演算法中，這樣的保密通訊就不再具有資訊理論安全性。再比如，針對傳輸距離近的問題，QKD網路往往需要“可信中繼” （見圖3） ，即假設中繼是可信的 （如果中繼節點不可信，它將輕易獲得使用者所分配的金鑰，進而獲得後續用該金鑰加密的祕密訊息） ，這也會在一定程度上損害QKD的安全性，並限制QKD的大規模應用。

圖3QKD的可信中繼方案

中繼節點分別與通訊雙方執行QKD，並利用其與Bob的金鑰將其與Alice的金鑰加密傳輸給Bob，使得Alice和Bob可以遠距離建立金鑰。當然，除了這種可信中繼之外，人們也在研究“量子中繼”，它通過量子儲存、糾纏交換等技術來提高糾纏態分發的距離，進而可以提升QKD的傳輸距離。這種中繼不會損害QKD的安全性，具有更好的應用潛力，但相關技術還不夠成熟，目前還達不到實用化的程度。

三、量子安全直接通訊協議

量子安全直接通訊 （QSDC） 是一種收發雙方不需要建立金鑰而直接利用量子通道傳輸機密資訊的保密通訊技術。 與傳輸隨機金鑰不同，由於要確保訊息的完整性，利用量子態直接傳輸祕密訊息將不利於協議過程中的竊聽檢測、糾錯、隱私放大等步驟的實施。QSDC協議通過分塊傳輸、量子隱私放大等技術來解決該問題，進而可以實現直接傳輸祕密訊息的功能。

2000年，清華大學龍桂魯和劉曉曙利用糾纏態的塊傳輸技術首次提出了一種量子保密通訊模型用於傳輸機密資訊。2004年，清華大學鄧富國和龍桂魯等將非正交量子態塊傳輸和經典OTP結合起來，提出了基於單光子的QSDC方案。與基於糾纏態的方案相比，單光子態的操控更容易實現。此後，QSDC這一通訊模式成為國際量子保密通訊的研究熱點。

近年來，人們在QSDC的實現方面也取得了可喜的進展。2016年，山西大學肖連團隊和清華大學龍桂魯團隊聯合實驗演示了基於單光子的QSDC。2021年，上海交通大學陳險峰、江西師範大學李淵華等利用QSDC原理，首次實現了網路中15個使用者之間的安全通訊，傳輸距離達40 km。

從目前的研究現狀來看，QSDC在技術上已經接近實用化的程度。從功能上講，QSDC與QKD & OTP相同，都屬於保密通訊的範疇。

四、量子祕密共享協議

祕密共享的基本思想是將祕密以適當的方式拆分，拆分後的每一個份額由不同的參與者管理，使得單個參與者無法恢復祕密資訊，而只有若干個參與者相互協作才能恢復。祕密共享的目的是防止祕密過於集中以實現分散風險。最常見的祕密共享協議為（ k ， n ）門限方案，即分發者把祕密訊息加密成 n 份，分別傳送給 n 個接收者，要求接收者中任意 k 個人合作都可以重構出這條訊息，而任何少於 k 個人的組合都得不到這條訊息的任何資訊。經典密碼中，常見的祕密共享協議有基於多項式拉格朗日插值公式的Shamir門限方案、基於中國剩餘定理的門限方案等。隨著量子密碼學的不斷髮展，量子祕密共享 （QSS） 協議也引起了學者們的廣泛研究。

1999年，Hillery、Buzek和Berthiaume三人利用GHZ態的糾纏特性提出了第一個QSS協議。後續學者們又利用不同的量子特性提出了多種QSS協議。

在實驗實現方面，2014年，Bell等線上性光學裝置中利用光子實現了基於圖態的經典資訊和量子資訊的祕密共享；2018年，周瑤瑤等實現了一種利用光場的多體束縛糾纏的QSS協議，可實現四個參與者之間的祕密共享。2021年，Liao等提出一種基於離散調製相干態的CV-QSS協議，該方案最大傳輸距離達到100 km以上。

從理論上看，QSS具有廣闊的研究前景，如對( k ， n )門限方案的研究、對多方 ‒ 多方祕密共享方案的研究、對理性祕密共享方案的研究等。然而，目前QSS協議仍不具有實際應用價值。一是由於對QSS協議的研究大多著重於研究( n ， n )門限方案，很難做到( k ， n )門限祕密共享，使得QSS的應用場景受限；二是QSS協議中糾錯與隱私放大方案匱乏，難以真正實現資訊理論安全。實際上，將QKD協議與經典門限方案相結合就可實現資訊理論安全的祕密共享，更具有實際應用價值。因此，QSS可以看作是QKD的一個直接應用。

五、量子身份認證協議

量子身份認證 （QIA） 指在量子密碼協議中對參與者的身份進行驗證，以防止攻擊者假冒參與者身份竊取資訊。 為了在QKD過程中實現資訊理論安全的身份認證，人們提出了一系列的QIA協議。QIA協議大致可以分為兩類：共享經典金鑰型、共享糾纏態型。

在共享經典金鑰型QIA協議中，通訊雙方事先共享一個預定好的字串，以此表明雙方身份。1999年，Dušek等首次提出用經典的訊息認證協議來認證QKD中所傳遞的經典資訊。此後，也有方案利用該經典金鑰來代表竊聽檢測粒子的位置和測量基，同樣也可以達到認證雙方身份的功能。

共享糾纏態型QIA協議指通訊雙方共享一組糾纏態粒子，雙方各自擁有每對糾纏態粒子中的一個，對糾纏對進行相應的操作來互相表明身份。這種方法需要長時間儲存大量糾纏態粒子，不易實現。

為了達到資訊理論安全，QIA協議中使用者事先共享的金鑰或糾纏態要確保在使用過程中不會被竊聽者所獲得，而且一般不能重複使用。此外，身份認證一般應與QKD等協議同時進行，防止竊聽者跳過認證階段直接進行金鑰分發。

不難看出，QIA的實現思路與經典身份認證是類似的，都是在不洩露身份金鑰的前提下向對方證明自己擁有該身份金鑰。 區別在於，前者的身份金鑰既可以是經典的，也可以是量子的，而後者是經典的。 然而從目前來看，QIA協議的實際應用並不多。原因如下：QIA一般與實現其他密碼功能的量子密碼協議 （如QKD） 配套使用。而在絕大多數量子密碼協議中，經典通道往往採用資訊理論安全的訊息認證碼 （MAC）來 確保訊息的完整性。該技術不但可以保證經典訊息不被篡改，同時也可實現相互認證身份的功能。因此，在量子密碼協議中通常不需要額外做身份認證。

六、量子數字簽名協議

2001年，Gottesman和Chuang首次提出了 量子數字簽名 （QDS） 的概念，並基於量子單向函式給出了第一個量子數字簽名協議。儘管該協議需要量子儲存、量子態交換比較測試和安全量子通道等較難實現的技術，但是由於其具有資訊理論安全的優勢，引起了人們對QDS研究的濃厚興趣。不幸的是Barnum等證明對量子訊息進行數字簽名不可行，即使計算安全也不可行。後續，人們嘗試弱化對QDS的一些要求，提出了仲裁量子簽名的概念。仲裁量子簽名需要在仲裁的幫助下才能完成對數字簽名的驗證，這與實際應用的數字簽名有差別，但是它不僅可以簽名經典訊息，還可以簽名量子訊息，引起了學者們的關注。

同其他量子密碼協議一樣，實際應用中攻擊者也會利用物理裝置的不完美性對QDS協議進行攻擊。為克服實際安全問題，人們提出了裝置無關QDS協議。最近，為了進一步提高QDS的實用性和安全性，人們提出了基於連續變數的QDS協議和基於誘騙態的QDS。同時，面向各種實際應用場景，學者們提出了多種QDS協議，如Qiu等提出了一種面向敏感資料訪問控制的QDS協議，Singh等利用QDS設計了一種安全區塊鏈交易協議。

目前QDS主要集中在三方協議 （即包括一個簽名者，一個接收者和一個驗證者） 這種特殊情形，且驗證者需要事先共享驗證金鑰，無法達到經典數字簽名中任意使用者都可驗籤的便利性需求。另外，QDS在實驗和實用化方面的成果還很少。總之，無論技術上還是理論上，QDS距離真正的實用化還有很大的距離，還仍需要繼續深入研究。

七、量子兩方安全計算協議

（一）量子位元承諾

位元承諾最早由1995年圖靈獎得主Blum提出，它可用於構建零知識證明、可驗證祕密共享、擲幣等協議，是安全多方計算中最重要的基礎協議之一。人們期望通過量子途徑，探索實現資訊理論安全位元承諾的可行性。

1997年，Lo和Chau構建了量子位元承諾協議的標準模型，並證明了無論在經典環境下還是量子計算環境下，標準模型下的位元承諾協議都不能達到資訊理論安全。同年，Mayers也獨立證明了該結論。這一結論被稱為no-go定理，成為阻礙量子位元承諾甚至其他量子兩方安全計算協議發展的一大障礙。後續，人們不斷嘗試放鬆條件的量子位元承諾 （QBC） 以規避no-go定理，比如有噪量子儲存模型和狹義相對論模型。

在實驗方面，2012年，Ng等完成了有噪量子儲存模型下的QBC實驗。2013年和2014年，Lunghi等和Liu等分別完成了狹義相對論模型下的QBC實驗。

綜上所述， 目前no-go定理的正確性得到了絕大多數學者的認可，要想實現資訊理論安全的QBC還存在重要的理論障礙 。而對於為了跨過no-go定理而提出的有噪量子儲存模型和狹義相對論模型，前者不能達到資訊理論安全，後者缺乏實用潛力。

（二）量子擲幣

擲幣是使互不信任、不在一起的雙方共同產生一個隨機位元，這個位元不能被某一方決定。根據擲幣協議的參與方對擲幣結果是否有固定的喜好，可將擲幣協議分為強擲幣協議和弱擲幣協議。如果不誠實方的攻擊不能使得任何一個擲幣結果出現概率超過 p =1/2+ ε ，稱為強擲幣。若兩方的喜好結果不同，不誠實方的攻擊不能使得他喜好的擲幣結果出現概率超過 p =1/2+ ε ，稱為弱擲幣。其中引數稱為某一方 （或協議） 的偏。 ε 度量了協議的安全性，其值越小協議越安全。 ε 應該嚴格小於1/2以保證欺騙方不能完全控制擲幣結果。當且僅當雙方的偏相等時，稱擲幣協議是公平的。當雙方的偏均為0時，稱擲幣協議是完美的。

1984年Bennett和Brassard首次提出了量子擲幣協議。但是10年後，Lo和Chau證明了完美量子擲幣協議是不存在的，此後人們一直致力於研究具有更小偏的擲幣協議。Kitaev證明任何強量子擲幣協議的偏不可能小於0.207。2007年Mochon證明量子弱擲幣的偏可以任意小。2009年，Berlin等提出並定義了容忍損失的量子擲幣協議並證明任意一方通過作弊獲得的偏為0.4。2010年Chailloux等證明容忍損失的量子擲幣協議的任意一方通過作弊獲得的偏最少為0.359。

在實驗方面，2010年，Chailloux等實驗實現了偏為0.207的強量子擲幣協議；2020年，Bozzio等提出了一個只需要單光子和線性光學裝置的實用弱擲幣協議，其偏達到了0.207。

目前，量子強擲幣協議的偏不可能小於0.207 （即雙方欺騙成功概率可達到0.707） ，而且在有噪聲和損失的情況下，偏至少為0.35。此概率過大，導致量子擲幣協議並不實用。

（三）量子不經意傳輸

不經意傳輸 （OT） 協議作為一種保護隱私的通訊協議，被廣泛應用於安全多方計算、認證協議等諸多隱私敏感的領域。 類似於對其他密碼協議的研究，人們也希望利用量子技術來實現資訊理論安全的OT協議，即 量子不經意傳輸 （QOT） 。

1988年Crépeau等提出了第一個QOT協議，該協議假定Bob無法將量子測量過程延遲。後續，學者們基於QBC提出了多種QOT協議，但隨著QBC no-go定理的提出，所有基於QBC的QOT協議不再安全。

此後，人們不斷探索打破no-go定理的QOT。2002年Shimizu等提出以50%概率成功傳輸祕密訊息的方案 （稱為全或無OT） ，協議中Bob無法以100%概率得到某個祕密訊息，從而回避了no-go定理的限制。2005年Damgard等考慮三種特殊場景來嘗試跨過no-go定理，實現了基於BB84的全或無QOT和QBC協議。2016年Pitalúa-García利用時空約束提出了一種2取1 QOT協議，隨後在2018年進行了實驗驗證。

綜上所述， 2取1 QOT協議始終無法逾越no-go定理這座大山 。而為了跨過no-go定理的限制，人們基於使用者技術條件受限的假設提出了多種協議，但它們往往不再是資訊理論安全的。此外，如何解決容忍量子通道噪聲的問題，也是QOT走向實際應用所面臨的一大挑戰。因此QOT協議離真正投入使用還有很長的路要走。

（四）量子保密查詢

在很多場景下，人們不僅需要保護傳遞的資訊不被外部攻擊者竊取，還需要保護通訊雙方的隱私不被對方獲取。對稱私有資訊檢索 （SPIR） 就是這樣一類密碼任務。本質上，SPIR實現的是“多取一”的不經意傳輸。根據no-go定理，理想的SPIR在量子密碼中不能實現。目前人們最為實際的做法是，將SPIR中的隱私要求放鬆到“欺騙敏感”的程度 （即所有有效的欺騙行為都會有非零的概率被對方發現） ，這種協議通常被稱作量子保密查詢 （QPQ） 。

QPQ對安全性要求如下：① 資料庫擁有者Bob試圖獲取使用者Alice檢索地址的欺騙行為以非零概率被Alice發現；② 使用者Alice除了獲得檢索的條目外，可以隨機獲得有限幾個資料庫條目。Alice額外得到的條目是隨機的，一般不是她需要的，而Bob通常不敢冒著被發現欺騙的危險去攻擊，因為一旦被發現將損害自己的聲譽，甚至可能會面臨十分嚴厲的懲罰。因此，這種安全性雖不理想但可以滿足應用需求。

2008年義大利學者Giovannetti等提出了第一個QPQ協議 （GLM協議） 。該協議中，Bob將資料庫資訊編碼到酉操作上，收到使用者Alice的查詢量子態後，他將該操作作用到查詢態上然後返回給Alice，Alice通過測量獲取想要的資料庫條目。這類將資料庫資訊編碼到酉操作上的QPQ協議在理論上意義非凡，但實際上並不實用。一方面，將整個資料庫 （尤其是當資料庫規模較大時） 編碼到酉操作上，該酉操作必然維數很大，在現有條件下難以實現。另一方面，這類協議不能容忍通道損失，即一旦存在通道損失的情形，將威脅到雙方的隱私。此外，在實際應用中不完美的訊號源，通道噪聲等也影響著協議的成功概率。為了解決這些問題，後續人們對QPQ協議做了大量研究。

2011年，瑞士日內瓦大學Jacobi等基於SARG QKD提出了一個QPQ協議 （J協議） 。它藉助現有的QKD技術來實現，實現難度與資料庫規模無關，且能夠容忍通道損失，因此成為QKD之外實用潛力較為突出的一類密碼協議。協議中使用者可獲得的資料條目不能靈活調整，要麼過多不利於保護資料庫安全性，要麼過少導致失敗概率增大。2015年，基於環回差分相移QKD協議，劉斌等設計了一種QPQ協議，實現誠實使用者獲得的資料庫條目數始終是1，這保證了理想的資料庫安全性，並且方案失敗概率為0，意味著在忽略噪聲的情況下，協議總能成功執行。

此後，學者們發現了QPQ在實用中面臨的一些新問題，並逐一解決。魏春豔等提出窄移位疊加的技術，使得不僅能夠用於大資料庫查詢，而且在不完美光源下依然保持了理想的資料庫安全性和零失敗概率。在對抗通道噪聲方面，Gao等和Chan等分別提出利用糾錯碼和校驗矩陣對QPQ原始金鑰進行後處理。在應用研究方面，2019年，陳秀波等提出了一種適用於量子無線網路的QPQ方案，通過讓使用者節點和伺服器節點之間預先共享糾纏態和引入多個協助第三方的方法實現任意使用者可向任意伺服器進行檢索的目標。

綜上，由於QPQ協議只需要使用與BB84協議相同的光源和探測器就可以實現，糾錯和隱私放大理論較完善，因而具有很好的實用化潛力。但是由於QPQ中兩方可以互相欺騙，要兼顧兩方利益，因此與QKD相比其具有更大的理論難度。一個具體表現就是，目前QPQ能容忍的錯誤率較低 （典型引數下可容忍4%的錯誤率） 。

八、未來研究方向

眾所周知，量子計算對現代密碼學的安全性形成了嚴峻挑戰。隨著QKD協議的提出並被證明具有資訊理論安全性，量子密碼逐漸成為可對抗量子計算攻擊的下一代密碼技術中的一個重要選項。

在經典密碼中，已經存在成熟的演算法和協議體系，比如用對稱或公鑰加密演算法來保證訊息的機密性、用訊息認證碼來保證訊息的完整性來源可靠性、用數字簽名來保證訊息的不可否認性等，這些具備多種功能的成熟演算法和協議構成了一個完整的木桶 （見圖1） ，可以確保一個資訊系統在複雜網路環境下的安全執行。

鑑於QKD的巨大安全性優勢，學者們希望借鑑其思想， 通過引入量子技術來全面提升各類密碼協議的安全性，並最終建成一個“資訊理論安全”的協議體系，也只有如此才能全面提升資訊系統在未來量子計算時代的安全性 。然而從較大規模的實驗進展來看，目前達到實用化程度的量子密碼協議主要是QKD，也就是我們通常所說的“量子通訊”。總體來說，量子密碼協議目前處於“QKD遙遙領先、其他協議有待突破”的不平衡狀態，其實也是一個“其他協議難以突破”的瓶頸狀態。因此，要想實現全面提升資訊系統安全性的目標，量子密碼協議研究還有很長的路要走。

顯然，量子密碼協議領域未來還有諸多科學問題需要解決。比如在微觀層面，人們需要找到對抗通道噪聲影響的新理論，並尋找立足於量子密碼特點的新型密碼學任務；在巨集觀層面，人們需要解決量子公鑰密碼難題；而在應用層面，需要建立量子 ‒ 經典相結合的密碼新體系。

下面分別闡述這幾個關鍵問題並討論解決這些問題的潛在技術途徑。

（1）處理通道噪聲的新理論。在量子密碼協議中，竊聽或欺騙行為通常會給量子態帶來難以控制的干擾。針對這一特點，量子密碼協議都有檢測竊聽的步驟。它通常通過將量子態的測量結果與其預期狀態相比較，得到錯誤率，進而判斷是否存在竊聽或欺騙行為。眾所周知，通道噪聲本身也會帶來一定的錯誤率，而攻擊者可以在噪聲的掩飾下獲得部分非法的祕密資訊。因此，為了對抗通道噪聲，量子密碼協議都需要有一個經典後處理的過程，目的是糾錯和壓縮攻擊者非法所得的資訊量。這種後處理過程是嚴格證明量子密碼協議安全性的一個關鍵，也是相關研究的難點所在。針對不同協議的安全性要求，如何給出能夠妥善處理通道噪聲的新理論，是量子密碼協議走向實用過程中急需解決的關鍵問題。

（2）立足於量子密碼特點的新型密碼學任務。在量子密碼研究過程中，人們往往以經典密碼協議的功能為目標來設計量子協議。然而量子密碼和經典密碼的安全性基礎有著本質區別，量子密碼適合做的密碼學任務可能與經典密碼有很大不同。這可能正是我們照搬經典密碼協議目標來設計量子密碼協議時遇到瓶頸的原因。因此，針對量子理論特點，嘗試改變經典密碼協議的安全目標 （需確保仍有應用價值） ，或者發掘新型的密碼學任務，是一種有望取得突破的研究思路。近年來取得成功的QPQ協議就是這方面的一個典型例子。它將經典“多取一”不經意傳輸的安全性目標修改為“欺騙敏感”型別，既迎合了量子協議的特點，又符合實際應用需求，已經具備了很好的實用化潛力。

（3）量子公鑰密碼模型。從應用角度來說，量子密碼協議研究中急需解決兩個重要問題：數字簽名和兩方安全計算。前者在日常通訊網路中應用廣泛、不可或缺，後者是構建其他複雜密碼協議的基本元件，兩者都在密碼協議體系中佔有重要地位。在經典密碼中，數字簽名和兩方安全計算大多是藉助公鑰密碼演算法來實現。而目前人們還沒有找到有實用價值的量子公鑰密碼。實際上，量子密碼對“資訊理論安全”的追求與公鑰密碼“基於數學複雜性假設”的屬性相互矛盾，直接對照經典公鑰密碼的設計方法來設計量子公鑰密碼很可能是行不通的。量子公鑰密碼，很可能是一種不同於經典公鑰密碼、但能實現經典公鑰密碼功能的全新模型。因此，如何獨闢蹊徑、用量子力學性質來實現公鑰密碼的類似功能，成為解決上述兩個問題的重中之重。

如上所述，量子密碼中不一定能像經典密碼那樣，可以找到公鑰密碼並在此基礎上得到數字簽名和兩方安全計算方案。因此，分別設計具有實用化潛力的量子數字簽名協議、能跨過no-go定理的兩方安全計算協議也是一種解決思路。

（4）量子 ‒ 經典相結合的密碼新體系。目前來看，量子密碼中一些典型協議發展遇到瓶頸，難以滿足全面提升資訊系統安全性的應用需求。涉及到相關功能的資訊系統，只能用經典密碼來保護其安全性。也就是說，系統整體使用量子 ‒ 經典相結合的密碼體制，比如金鑰分配用量子的，而數字簽名 （因為沒有實用化的量子協議） 用經典的。此時如果簡單地將 （當前可用的） 量子密碼協議與經典密碼協議相結合使用，有可能會導致量子密碼的使用失去價值 （比如對於上述具備了QKD功能的資訊系統，具有量子計算能力的攻擊者仍然可以通過攻破經典數字簽名來非法登入系統、獲得金鑰或祕密訊息） 。

針對這一現狀，圍繞當前可用的量子密碼協議 （如QKD和QPQ） ，專門設計與之相適配的經典密碼協議，確保量子密碼協議的使用能夠帶來切實的、即便只是一定程度上的安全性優勢，是一種可行的研究思路。

這裡有研究價值的問題包括：

① 利用當前可用的量子密碼功能，能否給某些經典密碼帶來本質上的安全性提升？

② 如果可以，這種新的安全性如何定義？

③ 公鑰密碼出現之前各項密碼學功能是如何實現的？這顯然對尚無公鑰密碼的量子密碼體制有重要的參考價值。

④ 能否通過充分發掘可信第三方的功能，來協助解決數字簽名、兩方安全計算等量子密碼協議中的瓶頸問題？

總之，如果在可預見的未來，量子密碼仍舊不能“獨自扛大樑”，那麼退而求其次，研究它能給經典密碼帶來什麼提升和幫助是非常有現實意義的課題。

九、對我國相關研究的建議

如上所述，要想達到全面提升資訊系統安全性的實用化目標，量子密碼協議中還有諸多問題需要解決。儘管如此，量子密碼的獨特安全性令人著迷。在理論上，它將對密碼演算法和協議的發展帶來全新的思想、有價值的啟發以及安全性上的實質性提升；在應用中，它至少可以實現一個具有有限功能的、在某些場景下有顯著優勢的新體制，比如功能較少的專用網路 （“功能多”往往意味著需要使用非資訊理論安全的經典密碼，而這些密碼的使用會限制資訊系統整體的安全性，使之不能達到量子密碼所追求的“超高安全性”） 。量子密碼本質上屬於抗量子計算攻擊的密碼學研究領域。關於我國在該領域的後續研究，我們給出以下幾點建議。

（一）量子密碼與後量子密碼研究應同步開展

基於目前量子計算還無法有效解決的數學難題 （比如格、多變數、Hash、編碼等問題） 可以設計公鑰密碼，這種密碼被稱作後量子密碼 （或抗量子密碼） 。儘管後量子密碼達不到資訊理論安全，但其抗量子計算攻擊的能力已經獲得了廣泛認可，並且具有相容性好、易實現等優點。因此，量子密碼和後量子密碼各具優勢，兩者都是抵抗量子計算攻擊的重要選項。鑑於目前人們對量子計算機的研製逐漸提速，應做好兩方面準備並確保研究的同步開展。

需要強調的是，儘管量子密碼目前的實用性還不完善，但其對密碼學理論發展的重要意義不容忽視。 量子密碼協議體系的研究是一個漫長的過程，不能因為技術成本高或者過分追求實用性的短視行為而荒廢。 一方面，隨著技術的不斷髮展，量子密碼裝置的成本必然會下降，而且技術的發展也可能會催生理論的突破 （比如量子通道噪聲降低之後，協議後處理的難度也會隨之大幅降低） 。另一方面，即便後量子密碼 （因為其實用性） 先走向應用，量子密碼在未來仍可能有用武之地，畢竟後者對抗量子計算攻擊的理論基礎更加堅固。

（二）加強“量子科技”和“密碼學”兩個學科的交叉研究和相關的人才培養

在量子密碼中，研究量子 ‒ 經典相結合的密碼新體系勢在必行；在後量子密碼中，研究可用於密碼分析的量子計算演算法也對評估其“量子安全性”至關重要。這兩個重要研究方向均需要對上述兩個學科都熟悉的專業人才。然而由於兩個學科相互獨立、專業性強，其交叉研究難度大、門檻高，符合上述要求的研究人員還很匱乏，使得我們的相關研究與國外相比還有不小的差距。因此，可以在政策上對相應的交叉研究和人才培養給予扶持。

（三）優化對相關基礎研究的考核評價機制

抗量子計算攻擊的密碼學領域目前還處於難度很大的理論攻堅階段，其突破需要相關學者具有敢啃“硬骨頭”、甘坐“冷板凳”的精神。當前考核評價機制中的一些急功近利之風 （如對短期成果、大專案等的追求） 不利於該領域的研究。因此，在“反五唯”的基礎上繼續優化對相關研究的考核評價機制，營造適合“圍繞一個問題長期潛心研究”的科研環境，對該領域的研究有很好的促進作用。

十、結語

本文調研分析了量子金鑰分配、量子安全直接通訊、量子祕密共享、量子身份認證、量子數字簽名、量子兩方安全計算等量子密碼協議的研究現狀，指出當前量子密碼協議尚處於“QKD遙遙領先、其他協議有待突破”的不平衡狀態，距離建立起成熟、實用的協議體系還有大量工作要做。在此基礎上，從微觀、巨集觀和應用角度給出了未來量子密碼領域需要解決的關鍵問題和相關研究建議。

量子密碼是密碼學的新方向，具備極高的安全性潛力，因此具有重要的研究價值。從應用角度來說，量子密碼並不能“獨挑大樑”，將它與經典密碼融合使用幾乎是必然的選擇。如何給資訊系統的整體安全性帶來提升，在使用時需要重點考量。由於目前實用化的量子密碼協議還很少，在應用中可以優先考慮功能較少的專用網路。以後隨著實用量子密碼協議和與之相適配的經典密碼技術日趨完善，量子密碼將可能有廣闊的應用空間。

來源： 量子密碼協議研究現狀與未來發展 [J].中國工程科學，2022，24(4):145-155.

本文來自微信公眾號： 中國工程院院刊 （ID：CAE-Engineering） ，作者：張雪、高飛、秦素娟、張平（無線行動通訊專家，中國工程院院士）