量子密碼協議研究現狀與未來發展

張雪，高飛，秦素娟，張平

（網絡與交換技術國家重點實驗室（北京郵電大學），北京 100876）

一、前言

自古以來，信息交流便是人們日常生活中不可或缺的一部分。信息傳遞的安全性是很多通信場景下的基本需求，在外交、軍事、經濟等保密性較高的領域中更顯重要。密碼學是保障網絡與信息安全的理論基礎，各類密碼算法和協議在確保消息的機密性、完整性、不可否認性以及身份認證等方面發揮著重要作用。經典密碼（指基于數學復雜性理論的數學密碼，與量子密碼相對應）算法可大致分為對稱密碼、公鑰密碼兩類，各有優點且應用廣泛。然而在 20 世紀 90 年代 Shor 算法、Grover 算法提出后，量子算法對當前的密碼體制形成了嚴重的安全性威脅。如果有了通用的量子計算機，Shor算法可以輕松攻破基于整數分解、離散對數問題的多種公鑰密碼；Grover 算法也將挑戰對稱密碼的安全性。因此，研究可以抵抗量子計算攻擊的新型密碼體制已經成為密碼學領域的重大任務。

有趣的是，量子科技在對密碼學的安全性形成威脅之際，也為抗量子計算攻擊提供了一種潛在方法（即量子密碼）。量子密碼是量子力學和密碼學相融合的產物，它采用量子態作為信息載體在用戶之間傳送信息。根據量子態的特性，在一個安全的量子密碼協議中通信雙方可以發現所有有效的竊聽/攻擊行為。可見，量子密碼的安全性不再基于數學問題的困難性，而是由量子力學基本原理所保證。一個設計精巧的量子密碼協議可以達到信息論安全。近年來，隨著量子信息技術的逐漸豐富與成熟，人們已經提出了各類獨具特色的量子密碼協議。需要說明的是，經典密碼通常在密碼算法的基礎上構建可完成各種密碼學任務的協議，而量子密碼往往直接利用量子性質來設計類似協議。因此，相比于算法，協議是量子密碼中的主要研究內容。

量子密碼協議的研究意義可以參照木桶理論（見圖1）來表述。在經典密碼中，組成木桶的木板代表各類經典密碼算法和協議；而在量子密碼中，木板代表各類量子密碼協議。一方面，協議對量子密碼來說至關重要，所有密碼學任務都是通過相關協議來完成；另一方面，與經典密碼算法和協議相比，量子密碼協議的安全性大大提高，可以對抗未來量子計算的攻擊。人們希望利用量子性質能夠實現各類密碼協議功能，進而全面提升信息系統的安全性。

圖1 量子密碼協議的研究意義

本文針對量子密碼協議的發展動態和趨勢進行研究。按照協議的不同功能，梳理6類主流量子密碼協議（見圖2）的發展現狀并分別分析實用化潛力及局限性；統籌考慮量子密碼整體的實際應用需求，凝練領域未來亟待解決的關鍵科學問題并預判潛在的技術途徑，提出我國在本領域的技術發展建議，以期為量子密碼協議的深化研究提供基礎性參考。

圖2 幾類具有代表性的量子密碼協議

二、量子密鑰分配協議

量子密鑰分配（QKD）是一種通信雙方通過傳輸量子態來建立密鑰的協議，其目的是使通信雙方獲得一串只有他們兩個知道的密鑰（由經典的隨機比特構成，但由于是用量子方式建立的，因此也被稱為“量子密鑰”）。由于QKD和一次一密（OTP）加密算法均具有信息論安全性，將兩者結合使用就可以實現完美安全的保密通信。

根據光源編碼空間的維度不同，QKD 可以分為離散變量（DV）和連續變量（CV）兩類。QKD系統由發送端、接收端以及信道組成。QKD 信道包括量子信道和經典信道，分別用于傳輸量子和經典消息。在量子密碼協議中，一般假設經典通信是不可篡改的，這一點可以利用具有信息論安全性的經典消息認證碼來實現。此外，為了在有噪聲的現實情況下獲得信息論安全性，QKD 一般包含糾錯和隱私放大的過程，前者用于糾正噪聲引起的密鑰錯誤，后者用于壓縮竊聽者在噪聲掩護下可能獲得的密鑰信息。

1984 年 ， IBM 的 Bennett 和 Montreal 大 學 的Brassard 首次提出量子密碼的概念，并給出第一個QKD協議——BB84協議[1]。經過近四十年的發展歷程，人們基于不同量子力學特性提出了多種QKD協議，一些典型QKD協議的安全性也得到了嚴格證明，但實際上QKD系統中因為器件的不完美仍然存在一些安全性漏洞。設備無關（DI）QKD協議可從根本上消除這些漏洞[2,3]。該類協議不需要假設QKD 設備是完美的，它們甚至可以是不可信的。DI-QKD 的安全性基于如下事實：量子過程和經典過程對貝爾不等式的違背程度是不同的。通信雙方通過觀測輸入和輸出的經典比特信息間的關聯關系，計算貝爾不等式的違背值，即可判斷設備的可信程度，并估計出竊聽者所能獲取的最大信息量。只要實驗中觀測到的違背值足夠大，則說明設備足夠可信，通信雙方進而可以獲得信息論安全的密鑰。DI-QKD 協議過程相當于對其設備的可信性進行了一次“自測試”，只有可信的設備才能通過測試，進而讓通信雙方成功建立密鑰。此后，人們又提出了測量設備無關（MDI）QKD協議，它可以在測量設備不可信的情況下實現安全的密鑰分配[4,5]，且實現難度較DI-QKD更低。

QKD實用化研究也進展快速。2021年，中國科學技術大學潘建偉團隊演示了一個集成的空對地量子通信網絡。基于“墨子號”量子衛星，通過集成光纖和自由空間QKD鏈路，該QKD網絡中的任何用戶都可以與其他任何用戶進行通信，總距離可達4600 km[6]。同年，中國科學技術大學封召等演示了10 m 水下信道基于偏振編碼的QKD 實驗，安全密鑰生成率超過700 kpbs[7]。2022年，中國科學技術大學郭光燦團隊實現833 km 光纖QKD，將無中繼QKD 安全傳輸距離世界紀錄提升了200 余km，向實現1000 km陸基量子保密通信邁出重要一步[8]。

綜上所述，QKD作為量子密碼領域研究最早、理論最成熟的部分。目前已有多個國家建立了基于QKD的通信網絡，如美國的DARPA、歐洲的SECOQC、日本的Tokyo QKD Network、中國的京滬干線等。隨著“墨子號”量子衛星的發射，京滬干線、滬杭干線的相繼落成，QKD 已經在一定程度上具備了走向實用化的條件。盡管如此，受技術條件限制，當前的QKD 系統在傳輸速率、傳輸距離兩個方面還不能滿足大規模應用的需求。在具體應用中，人們往往會選擇一些折衷方案。比如，針對密鑰生成速率低的問題，人們也常將QKD 密鑰用于高級加密標準（AES）等加密算法中，這樣的保密通信就不再具有信息論安全性。再比如，針對傳輸距離近的問題，QKD網絡往往需要“可信中繼”（見圖3），即假設中繼是可信的（如果中繼節點不可信，它將輕易獲得用戶所分配的密鑰，進而獲得后續用該密鑰加密的秘密消息），這也會在一定程度上損害QKD的安全性，并限制QKD的大規模應用。

圖3 QKD的可信中繼方案

中繼節點分別與通信雙方執行QKD，并利用其與Bob 的密鑰將其與Alice 的密鑰加密傳輸給Bob，使得Alice 和Bob 可以遠距離建立密鑰。當然，除了這種可信中繼之外，人們也在研究“量子中繼”[9]，它通過量子存儲、糾纏交換等技術來提高糾纏態分發的距離，進而可以提升QKD 的傳輸距離。這種中繼不會損害QKD 的安全性，具有更好的應用潛力，但相關技術還不夠成熟，目前還達不到實用化的程度。

三、量子安全直接通信協議

量子安全直接通信（QSDC）是一種收發雙方不需要建立密鑰而直接利用量子信道傳輸機密信息的保密通信技術。與傳輸隨機密鑰不同，由于要確保消息的完整性，利用量子態直接傳輸秘密消息將不利于協議過程中的竊聽檢測、糾錯、隱私放大等步驟的實施。QSDC 協議通過分塊傳輸、量子隱私放大等技術來解決該問題，進而可以實現直接傳輸秘密消息的功能。

2000年，清華大學龍桂魯和劉曉曙利用糾纏態的塊傳輸技術首次提出了一種量子保密通信模型用于傳輸機密信息[10]。2004年，清華大學鄧富國和龍桂魯等將非正交量子態塊傳輸和經典OTP結合起來，提出了基于單光子的QSDC 方案[11]。與基于糾纏態的方案相比，單光子態的操控更容易實現。此后，QSDC 這一通信模式成為國際量子保密通信的研究熱點[12]。

近年來，人們在QSDC的實現方面也取得了可喜的進展。2016年，山西大學肖連團隊和清華大學龍桂魯團隊聯合實驗演示了基于單光子的QSDC[13]。2021年，上海交通大學陳險峰、江西師范大學李淵華等利用QSDC原理，首次實現了網絡中15個用戶之間的安全通信，傳輸距離達40 km[14]。

從目前的研究現狀來看，QSDC 在技術上已經接近實用化的程度。從功能上講，QSDC 與QKD&OTP相同，都屬于保密通信的范疇。

四、量子秘密共享協議

秘密共享的基本思想是將秘密以適當的方式拆分，拆分后的每一個份額由不同的參與者管理，使得單個參與者無法恢復秘密信息，而只有若干個參與者相互協作才能恢復。秘密共享的目的是防止秘密過于集中以實現分散風險。最常見的秘密共享協議為(k,n)門限方案，即分發者把秘密消息加密成n份，分別發送給n個接收者，要求接收者中任意k個人合作都可以重構出這條消息，而任何少于k個人的組合都得不到這條消息的任何信息。經典密碼中，常見的秘密共享協議有基于多項式拉格朗日插值公式的Shamir門限方案、基于中國剩余定理的門限方案等。隨著量子密碼學的不斷發展，量子秘密共享（QSS）協議也引起了學者們的廣泛研究。

1999 年，Hillery、Buzek 和 Berthiaume 三人利用GHZ 態的糾纏特性提出了第一個QSS 協議[15]。后續學者們又利用不同的量子特性提出了多種QSS協議[16]。

在實驗實現方面，2014年，Bell等在線性光學裝置中利用光子實現了基于圖態的經典信息和量子信息的秘密共享[17]；2018年，周瑤瑤等實現了一種利用光場的多體束縛糾纏的QSS協議，可實現四個參與者之間的秘密共享[18]。2021年，Liao等提出一種基于離散調制相干態的CV-QSS 協議，該方案最大傳輸距離達到100 km以上[19]。

從理論上看，QSS具有廣闊的研究前景，如對(k,n)門限方案的研究、對多方-多方秘密共享方案的研究、對理性秘密共享方案的研究等。然而，目前QSS 協議仍不具有實際應用價值。一是由于對QSS協議的研究大多著重于研究(n,n)門限方案，很難做到(k,n)門限秘密共享，使得QSS的應用場景受限；二是QSS協議中糾錯與隱私放大方案匱乏，難以真正實現信息論安全。實際上，將QKD 協議與經典門限方案相結合就可實現信息論安全的秘密共享，更具有實際應用價值。因此，QSS可以看作是QKD的一個直接應用。

五、量子身份認證協議

量子身份認證（QIA）指在量子密碼協議中對參與者的身份進行驗證，以防止攻擊者假冒參與者身份竊取信息。為了在QKD 過程中實現信息論安全的身份認證，人們提出了一系列的QIA 協議。QIA協議大致可以分為兩類：共享經典密鑰型、共享糾纏態型。

在共享經典密鑰型QIA協議中，通信雙方事先共享一個預定好的字符串，以此表明雙方身份。1999 年，Du?ek 等首次提出用經典的消息認證協議來認證QKD 中所傳遞的經典信息[20]。此后，也有方案利用該經典密鑰來代表竊聽檢測粒子的位置和測量基，同樣也可以達到認證雙方身份的功能。

共享糾纏態型QIA協議指通信雙方共享一組糾纏態粒子，雙方各自擁有每對糾纏態粒子中的一個，對糾纏對進行相應的操作來互相表明身份。這種方法需要長時間存儲大量糾纏態粒子，不易實現。

為了達到信息論安全，QIA協議中用戶事先共享的密鑰或糾纏態要確保在使用過程中不會被竊聽者所獲得，而且一般不能重復使用。此外，身份認證一般應與QKD 等協議同時進行，防止竊聽者跳過認證階段直接進行密鑰分發。

不難看出，QIA的實現思路與經典身份認證是類似的，都是在不泄露身份密鑰的前提下向對方證明自己擁有該身份密鑰。區別在于，前者的身份密鑰既可以是經典的，也可以是量子的，而后者是經典的。然而從目前來看，QIA協議的實際應用并不多。原因如下：QIA一般與實現其他密碼功能的量子密碼協議（如QKD）配套使用。而在絕大多數量子密碼協議中，經典信道往往采用信息論安全的消息認證碼（MAC）來確保消息的完整性。該技術不但可以保證經典消息不被篡改，同時也可實現相互認證身份的功能。因此，在量子密碼協議中通常不需要額外做身份認證。

六、量子數字簽名協議

2001 年，Gottesman 和 Chuang 首次提出了量子數字簽名（QDS）的概念，并基于量子單向函數給出了第一個量子數字簽名協議[21]。盡管該協議需要量子存儲、量子態交換比較測試和安全量子信道等較難實現的技術，但是由于其具有信息論安全的優勢，引起了人們對QDS研究的濃厚興趣。不幸的是Barnum等證明對量子消息進行數字簽名不可行，即使計算安全也不可行[22]。后續，人們嘗試弱化對QDS 的一些要求，提出了仲裁量子簽名的概念。仲裁量子簽名需要在仲裁的幫助下才能完成對數字簽名的驗證，這與實際應用的數字簽名有差別，但是它不僅可以簽名經典消息，還可以簽名量子消息，引起了學者們的關注。

同其他量子密碼協議一樣，實際應用中攻擊者也會利用物理設備的不完美性對QDS 協議進行攻擊。為克服實際安全問題，人們提出了設備無關QDS 協議[23]。最近，為了進一步提高QDS 的實用性和安全性，人們提出了基于連續變量的QDS協議和基于誘騙態的QDS [24,25]。同時，面向各種實際應用場景，學者們提出了多種QDS協議，如Qiu等提出了一種面向敏感數據訪問控制的QDS協議[26]，Singh 等利用QDS 設計了一種安全區塊鏈交易協議[27]。

目前QDS主要集中在三方協議（即包括一個簽名者，一個接收者和一個驗證者）這種特殊情形，且驗證者需要事先共享驗證密鑰，無法達到經典數字簽名中任意用戶都可驗簽的便利性需求。另外，QDS在實驗和實用化方面的成果還很少。總之，無論技術上還是理論上，QDS距離真正的實用化還有很大的距離，還仍需要繼續深入研究。

七、量子兩方安全計算協議

（一）量子比特承諾

比特承諾最早由1995 年圖靈獎得主Blum 提出，它可用于構建零知識證明、可驗證秘密共享、擲幣等協議，是安全多方計算中最重要的基礎協議之一。人們期望通過量子途徑，探索實現信息論安全比特承諾的可行性。

1997 年，Lo 和Chau 構建了量子比特承諾協議的標準模型，并證明了無論在經典環境下還是量子計算環境下，標準模型下的比特承諾協議都不能達到信息論安全[28]。同年，Mayers也獨立證明了該結論[29]。這一結論被稱為no-go 定理，成為阻礙量子比特承諾甚至其他量子兩方安全計算協議發展的一大障礙。后續，人們不斷嘗試放松條件的量子比特承諾（QBC）以規避no-go 定理，比如有噪量子存儲模型和狹義相對論模型。

在實驗方面，2012 年，Ng 等完成了有噪量子存儲模型下的QBC 實驗 [30]。2013 年和2014 年，Lunghi 等和Liu 等分別完成了狹義相對論模型下的QBC實驗[31,32]。

綜上所述，目前no-go 定理的正確性得到了絕大多數學者的認可，要想實現信息論安全的QBC還存在重要的理論障礙。而對于為了跨過no-go 定理而提出的有噪量子存儲模型和狹義相對論模型，前者不能達到信息論安全，后者缺乏實用潛力。

（二）量子擲幣

擲幣是使互不信任、不在一起的雙方共同產生一個隨機比特，這個比特不能被某一方決定。根據擲幣協議的參與方對擲幣結果是否有固定的喜好，可將擲幣協議分為強擲幣協議和弱擲幣協議。如果不誠實方的攻擊不能使得任何一個擲幣結果出現概率超過p=1/2+ε，稱為強擲幣。若兩方的喜好結果不同，不誠實方的攻擊不能使得他喜好的擲幣結果出現概率超過p=1/2+ε，稱為弱擲幣。其中參數ε稱為某一方（或協議）的偏。ε度量了協議的安全性，其值越小協議越安全。ε應該嚴格小于1/2以保證欺騙方不能完全控制擲幣結果。當且僅當雙方的偏相等時，稱擲幣協議是公平的。當雙方的偏均為0時，稱擲幣協議是完美的。

1984年Bennett和Brassard首次提出了量子擲幣協議[1]。但是10年后，Lo和Chau證明了完美量子擲幣協議是不存在的，此后人們一直致力于研究具有更小偏的擲幣協議。Kitaev證明任何強量子擲幣協議的偏不可能小于0.207。2007年Mochon證明量子弱擲幣的偏可以任意小[33]。2009年，Berlin等提出并定義了容忍損失的量子擲幣協議并證明任意一方通過作弊獲得的偏為0.4[34]。2010年Chailloux等證明容忍損失的量子擲幣協議的任意一方通過作弊獲得的偏最少為0.359[35]。

在實驗方面，2010年，Chailloux等實驗實現了偏為0.207的強量子擲幣協議[36]；2020年，Bozzio等提出了一個只需要單光子和線性光學裝置的實用弱擲幣協議，其偏達到了0.207[37]。

目前，量子強擲幣協議的偏不可能小于0.207（即雙方欺騙成功概率可達到0.707），而且在有噪聲和損失的情況下，偏至少為0.35[38]。此概率過大，導致量子擲幣協議并不實用。

（三）量子不經意傳輸

不經意傳輸（OT）協議作為一種保護隱私的通信協議，被廣泛應用于安全多方計算、認證協議等諸多隱私敏感的領域。類似于對其他密碼協議的研究，人們也希望利用量子技術來實現信息論安全的OT協議，即量子不經意傳輸（QOT）。

1988年Crépeau等提出了第一個QOT協議，該協議假定Bob 無法將量子測量過程延遲[39]。后續，學者們基于QBC 提出了多種QOT 協議，但隨著QBC no-go 定理的提出，所有基于QBC 的QOT協議不再安全。

此后，人們不斷探索打破no-go 定理的QOT。2002 年Shimizu 等提出以50%概率成功傳輸秘密消息的方案（稱為全或無OT），協議中Bob 無法以100%概率得到某個秘密消息，從而回避了no-go定理的限制[40]。2005年Damgard等考慮三種特殊場景來嘗試跨過no-go定理，實現了基于BB84的全或無 QOT 和 QBC 協議 [41]。2016 年 Pitalúa-García 利用時空約束提出了一種2 取1 QOT 協議，隨后在2018年進行了實驗驗證[42]。

目前2 取1 QOT 協議最優欺騙概率在參與方半誠實條件下可以達到2 3[43]。2021年，Amiri等提出了一種在參與方不誠實時達到欺騙概率2 3的2取1半隨機QOT協議[44]。半隨機QOT協議的功能如下：Alice 有兩個比特消息x0、x1，協議結束時Bob隨機得到消息(b,xb)，且不能得到xbˉ，Alice 不能得到Bob的輸出消息(b,xb)。

綜上所述，2取1 QOT協議始終無法逾越no-go定理這座大山。而為了跨過no-go 定理的限制，人們基于用戶技術條件受限的假設提出了多種協議，但它們往往不再是信息論安全的。此外，如何解決容忍量子信道噪聲的問題，也是QOT 走向實際應用所面臨的一大挑戰。因此QOT 協議離真正投入使用還有很長的路要走。

（四）量子保密查詢

在很多場景下，人們不僅需要保護傳遞的信息不被外部攻擊者竊取，還需要保護通信雙方的隱私不被對方獲取。對稱私有信息檢索（SPIR）就是這樣一類密碼任務。本質上，SPIR 實現的是“多取一”的不經意傳輸。根據no-go 定理，理想的SPIR在量子密碼中不能實現。目前人們最為實際的做法是，將SPIR 中的隱私要求放松到“欺騙敏感”的程度（即所有有效的欺騙行為都會有非零的概率被對方發現），這種協議通常被稱作量子保密查詢（QPQ）[45]。

QPQ對安全性要求如下：①數據庫擁有者Bob試圖獲取用戶Alice 檢索地址的欺騙行為以非零概率被Alice發現；②用戶Alice除了獲得檢索的條目外，可以隨機獲得有限幾個數據庫條目。Alice 額外得到的條目是隨機的，一般不是她需要的，而Bob通常不敢冒著被發現欺騙的危險去攻擊，因為一旦被發現將損害自己的聲譽，甚至可能會面臨十分嚴厲的懲罰。因此，這種安全性雖不理想但可以滿足應用需求。

2008年意大利學者Giovannetti等提出了第一個QPQ 協議（GLM 協議）[46]。該協議中，Bob 將數據庫信息編碼到酉操作上，收到用戶Alice 的查詢量子態后，他將該操作作用到查詢態上然后返回給Alice，Alice 通過測量獲取想要的數據庫條目。這類將數據庫信息編碼到酉操作上的QPQ協議在理論上意義非凡，但實際上并不實用。一方面，將整個數據庫（尤其是當數據庫規模較大時）編碼到酉操作上，該酉操作必然維數很大，在現有條件下難以實現。另一方面，這類協議不能容忍信道損失，即一旦存在信道損失的情形，將威脅到雙方的隱私。此外，在實際應用中不完美的信號源，信道噪聲等也影響著協議的成功概率。為了解決這些問題，后續人們對QPQ協議做了大量研究。

2011 年，瑞士日內瓦大學Jacobi 等基于SARG QKD[47]提出了一個QPQ協議（J協議）[48]。它借助現有的QKD 技術來實現，實現難度與數據庫規模無關，且能夠容忍信道損失，因此成為QKD 之外實用潛力較為突出的一類密碼協議。協議中用戶可獲得的數據條目不能靈活調整，要么過多不利于保護數據庫安全性，要么過少導致失敗概率增大。2015 年，基于環回差分相移QKD 協議，劉斌等設計了一種QPQ協議，實現誠實用戶獲得的數據庫條目數始終是1，這保證了理想的數據庫安全性，并且方案失敗概率為0，意味著在忽略噪聲的情況下，協議總能成功執行[49]。

此后，學者們發現了QPQ在實用中面臨的一些新問題，并逐一解決。魏春艷等提出窄移位疊加的技術，使得不僅能夠用于大數據庫查詢，而且在不完美光源下依然保持了理想的數據庫安全性和零失敗概率[50]。在對抗信道噪聲方面，Gao 等[51]和Chan等[52]分別提出利用糾錯碼和校驗矩陣對QPQ原始密鑰進行后處理。在應用研究方面，2019 年，陳秀波等提出了一種適用于量子無線網絡的QPQ方案，通過讓用戶節點和服務器節點之間預先共享糾纏態和引入多個協助第三方的方法實現任意用戶可向任意服務器進行檢索的目標[53]。

綜上，由于QPQ 協議只需要使用與BB84 協議相同的光源和探測器就可以實現，糾錯和隱私放大理論較完善，因而具有很好的實用化潛力。但是由于QPQ中兩方可以互相欺騙，要兼顧兩方利益，因此與QKD 相比其具有更大的理論難度。一個具體表現就是，目前QPQ能容忍的錯誤率較低（典型參數下可容忍4%的錯誤率[54]）。

八、未來研究方向

眾所周知，量子計算對現代密碼學的安全性形成了嚴峻挑戰。隨著QKD 協議的提出并被證明具有信息論安全性，量子密碼逐漸成為可對抗量子計算攻擊的下一代密碼技術中的一個重要選項。

在經典密碼中，已經存在成熟的算法和協議體系，比如用對稱或公鑰加密算法來保證消息的機密性、用消息認證碼來保證消息的完整性來源可靠性、用數字簽名來保證消息的不可否認性等，這些具備多種功能的成熟算法和協議構成了一個完整的木桶（見圖1），可以確保一個信息系統在復雜網絡環境下的安全運行。

鑒于QKD 的巨大安全性優勢，學者們希望借鑒其思想，通過引入量子技術來全面提升各類密碼協議的安全性，并最終建成一個“信息論安全”的協議體系，也只有如此才能全面提升信息系統在未來量子計算時代的安全性。然而從較大規模的實驗進展來看，目前達到實用化程度的量子密碼協議主要是QKD，也就是我們通常所說的“量子通信”。總體來說，量子密碼協議目前處于“QKD 遙遙領先、其他協議有待突破”的不平衡狀態，其實也是一個“其他協議難以突破”的瓶頸狀態。因此，要想實現全面提升信息系統安全性的目標，量子密碼協議研究還有很長的路要走。

顯然，量子密碼協議領域未來還有諸多科學問題需要解決。比如在微觀層面，人們需要找到對抗信道噪聲影響的新理論，并尋找立足于量子密碼特點的新型密碼學任務；在宏觀層面，人們需要解決量子公鑰密碼難題；而在應用層面，需要建立量子-經典相結合的密碼新體系。下面分別闡述這幾個關鍵問題并討論解決這些問題的潛在技術途徑。

（1）處理信道噪聲的新理論。在量子密碼協議中，竊聽或欺騙行為通常會給量子態帶來難以控制的干擾。針對這一特點，量子密碼協議都有檢測竊聽的步驟。它通常通過將量子態的測量結果與其預期狀態相比較，得到錯誤率，進而判斷是否存在竊聽或欺騙行為。眾所周知，信道噪聲本身也會帶來一定的錯誤率，而攻擊者可以在噪聲的掩飾下獲得部分非法的秘密信息。因此，為了對抗信道噪聲，量子密碼協議都需要有一個經典后處理的過程，目的是糾錯和壓縮攻擊者非法所得的信息量。這種后處理過程是嚴格證明量子密碼協議安全性的一個關鍵，也是相關研究的難點所在。針對不同協議的安全性要求，如何給出能夠妥善處理信道噪聲的新理論，是量子密碼協議走向實用過程中急需解決的關鍵問題。

（2）立足于量子密碼特點的新型密碼學任務。在量子密碼研究過程中，人們往往以經典密碼協議的功能為目標來設計量子協議。然而量子密碼和經典密碼的安全性基礎有著本質區別，量子密碼適合做的密碼學任務可能與經典密碼有很大不同。這可能正是我們照搬經典密碼協議目標來設計量子密碼協議時遇到瓶頸的原因。因此，針對量子理論特點，嘗試改變經典密碼協議的安全目標（需確保仍有應用價值），或者發掘新型的密碼學任務，是一種有望取得突破的研究思路。近年來取得成功的QPQ 協議就是這方面的一個典型例子。它將經典“多取一”不經意傳輸的安全性目標修改為“欺騙敏感”類型，既迎合了量子協議的特點，又符合實際應用需求，已經具備了很好的實用化潛力。

（3）量子公鑰密碼模型。從應用角度來說，量子密碼協議研究中急需解決兩個重要問題：數字簽名和兩方安全計算。前者在日常通信網絡中應用廣泛、不可或缺，后者是構建其他復雜密碼協議的基本組件，兩者都在密碼協議體系中占有重要地位。在經典密碼中，數字簽名和兩方安全計算大多是借助公鑰密碼算法來實現。而目前人們還沒有找到有實用價值的量子公鑰密碼。實際上，量子密碼對“信息論安全”的追求與公鑰密碼“基于數學復雜性假設”的屬性相互矛盾，直接對照經典公鑰密碼的設計方法來設計量子公鑰密碼很可能是行不通的。量子公鑰密碼，很可能是一種不同于經典公鑰密碼、但能實現經典公鑰密碼功能的全新模型。因此，如何獨辟蹊徑、用量子力學性質來實現公鑰密碼的類似功能，成為解決上述兩個問題的重中之重。

如上所述，量子密碼中不一定能像經典密碼那樣，可以找到公鑰密碼并在此基礎上得到數字簽名和兩方安全計算方案。因此，分別設計具有實用化潛力的量子數字簽名協議、能跨過no-go定理的兩方安全計算協議也是一種解決思路。

（4）量子-經典相結合的密碼新體系。目前來看，量子密碼中一些典型協議發展遇到瓶頸，難以滿足全面提升信息系統安全性的應用需求。涉及到相關功能的信息系統，只能用經典密碼來保護其安全性。也就是說，系統整體使用量子-經典相結合的密碼體制，比如密鑰分配用量子的，而數字簽名（因為沒有實用化的量子協議）用經典的。此時如果簡單地將（當前可用的）量子密碼協議與經典密碼協議相結合使用，有可能會導致量子密碼的使用失去價值（比如對于上述具備了QKD 功能的信息系統，具有量子計算能力的攻擊者仍然可以通過攻破經典數字簽名來非法登錄系統、獲得密鑰或秘密消息）。針對這一現狀，圍繞當前可用的量子密碼協議（如QKD和QPQ），專門設計與之相適配的經典密碼協議，確保量子密碼協議的使用能夠帶來切實的、即便只是一定程度上的安全性優勢，是一種可行的研究思路。這里有研究價值的問題包括：①利用當前可用的量子密碼功能，能否給某些經典密碼帶來本質上的安全性提升？②如果可以，這種新的安全性如何定義？③公鑰密碼出現之前各項密碼學功能是如何實現的？這顯然對尚無公鑰密碼的量子密碼體制有重要的參考價值。④能否通過充分發掘可信第三方的功能，來協助解決數字簽名、兩方安全計算等量子密碼協議中的瓶頸問題？總之，如果在可預見的未來，量子密碼仍舊不能“獨自扛大梁”，那么退而求其次，研究它能給經典密碼帶來什么提升和幫助是非常有現實意義的課題。

九、對我國相關研究的建議

如上所述，要想達到全面提升信息系統安全性的實用化目標，量子密碼協議中還有諸多問題需要解決。盡管如此，量子密碼的獨特安全性令人著迷。在理論上，它將對密碼算法和協議的發展帶來全新的思想、有價值的啟發以及安全性上的實質性提升；在應用中，它至少可以實現一個具有有限功能的、在某些場景下有顯著優勢的新體制，比如功能較少的專用網絡（“功能多”往往意味著需要使用非信息論安全的經典密碼，而這些密碼的使用會限制信息系統整體的安全性，使之不能達到量子密碼所追求的“超高安全性”）。量子密碼本質上屬于抗量子計算攻擊的密碼學研究領域。關于我國在該領域的后續研究，我們給出以下幾點建議。

（一）量子密碼與后量子密碼研究應同步開展

基于目前量子計算還無法有效解決的數學難題（比如格、多變量、Hash、編碼等問題）可以設計公鑰密碼，這種密碼被稱作后量子密碼（或抗量子密碼）。盡管后量子密碼達不到信息論安全，但其抗量子計算攻擊的能力已經獲得了廣泛認可，并且具有兼容性好、易實現等優點。因此，量子密碼和后量子密碼各具優勢，兩者都是抵抗量子計算攻擊的重要選項。鑒于目前人們對量子計算機的研制逐漸提速，應做好兩方面準備并確保研究的同步開展。

需要強調的是，盡管量子密碼目前的實用性還不完善，但其對密碼學理論發展的重要意義不容忽視。量子密碼協議體系的研究是一個漫長的過程，不能因為技術成本高或者過分追求實用性的短視行為而荒廢。一方面，隨著技術的不斷發展，量子密碼設備的成本必然會下降，而且技術的發展也可能會催生理論的突破（比如量子信道噪聲降低之后，協議后處理的難度也會隨之大幅降低）。另一方面，即便后量子密碼（因為其實用性）先走向應用，量子密碼在未來仍可能有用武之地，畢竟后者對抗量子計算攻擊的理論基礎更加堅固。

（二）加強“量子科技”和“密碼學”兩個學科的交叉研究和相關的人才培養

在量子密碼中，研究量子-經典相結合的密碼新體系勢在必行；在后量子密碼中，研究可用于密碼分析的量子計算算法也對評估其“量子安全性”至關重要。這兩個重要研究方向均需要對上述兩個學科都熟悉的專業人才。然而由于兩個學科相互獨立、專業性強，其交叉研究難度大、門檻高，符合上述要求的研究人員還很匱乏，使得我們的相關研究與國外相比還有不小的差距。因此，可以在政策上對相應的交叉研究和人才培養給予扶持。

（三）優化對相關基礎研究的考核評價機制

抗量子計算攻擊的密碼學領域目前還處于難度很大的理論攻堅階段，其突破需要相關學者具有敢啃“硬骨頭”、甘坐“冷板凳”的精神。當前考核評價機制中的一些急功近利之風（如對短期成果、大項目等的追求）不利于該領域的研究。因此，在“反五唯”的基礎上繼續優化對相關研究的考核評價機制，營造適合“圍繞一個問題長期潛心研究”的科研環境，對該領域的研究有很好的促進作用。

十、結語

本文調研分析了量子密鑰分配、量子安全直接通信、量子秘密共享、量子身份認證、量子數字簽名、量子兩方安全計算等量子密碼協議的研究現狀，指出當前量子密碼協議尚處于“QKD 遙遙領先、其他協議有待突破”的不平衡狀態，距離建立起成熟、實用的協議體系還有大量工作要做。在此基礎上，從微觀、宏觀和應用角度給出了未來量子密碼領域需要解決的關鍵問題和相關研究建議。

量子密碼是密碼學的新方向，具備極高的安全性潛力，因此具有重要的研究價值。從應用角度來說，量子密碼并不能“獨挑大梁”，將它與經典密碼融合使用幾乎是必然的選擇。如何給信息系統的整體安全性帶來提升，在使用時需要重點考量。由于目前實用化的量子密碼協議還很少，在應用中可以優先考慮功能較少的專用網絡。以后隨著實用量子密碼協議和與之相適配的經典密碼技術日趨完善，量子密碼將可能有廣闊的應用空間。

致謝

感謝李永梅、郭明超、蔡曉秋、李靜、魏春艷、吳圣堯、魏東梅等課題組成員對本文撰寫的大力協助。