量子密碼協(xié)議研究現(xiàn)狀與未來發(fā)展

一、前言自古以來，信息交流便是人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠帧Ｐ畔鬟f的安全性是很多通信場景下的基本需求，在外交、軍事、經(jīng)濟(jì)等保密性較高的領(lǐng)域中更顯重要。密碼學(xué)是保障網(wǎng)絡(luò)與信息安全的理論基礎(chǔ)，各類密碼算法和協(xié)議在確保消息的機(jī)密性、完整性、不可否認(rèn)性以及身份認(rèn)證等方面發(fā)揮著重要作用。經(jīng)典密碼（指基于數(shù)學(xué)復(fù)雜性理論的數(shù)學(xué)密碼，與量子密碼相對應(yīng)）算法可大致分為對稱密碼、公鑰密碼兩類，各有優(yōu)點且應(yīng)用廣泛。然而在20世紀(jì)90年代Shor算法、Grover算法提出后，量子算法對當(dāng)前的密碼體制形成了嚴(yán)重的安全性威脅。如果有了通用的量子計算機(jī)，Shor算法可以輕松攻破基于整數(shù)分解、離散對數(shù)問題的多種公鑰密碼；Grover算法也將挑戰(zhàn)對稱密碼的安全性。因此，研究可以抵抗量子計算攻擊的新型密碼體制已經(jīng)成為密碼學(xué)領(lǐng)域的重大任務(wù)。有趣的是，量子科技在對密碼學(xué)的安全性形成威脅之際，也為抗量子計算攻擊提供了一種潛在方法（即量子密碼）。量子密碼是量子力學(xué)和密碼學(xué)相融合的產(chǎn)物，它采用量子態(tài)作為信息載體在用戶之間傳送信息。根據(jù)量子態(tài)的特性，在一個安全的量子密碼協(xié)議中通信雙方可以發(fā)現(xiàn)所有有效的竊聽/攻擊行為。可見，量子密碼的安全性不再基于數(shù)學(xué)問題的困難性，而是由量子力學(xué)基本原理所保證。一個設(shè)計精巧的量子密碼協(xié)議可以達(dá)到信息論安全。近年來，隨著量子信息技術(shù)的逐漸豐富與成熟，人們已經(jīng)提出了各類獨具特色的量子密碼協(xié)議。需要說明的是，經(jīng)典密碼通常在密碼算法的基礎(chǔ)上構(gòu)建可完成各種密碼學(xué)任務(wù)的協(xié)議，而量子密碼往往直接利用量子性質(zhì)來設(shè)計類似協(xié)議。因此，相比于算法，協(xié)議是量子密碼中的主要研究內(nèi)容。圖1量子密碼協(xié)議的研究意義注：木桶的容水量代表信息系統(tǒng)的安全性強(qiáng)度。量子密碼協(xié)議的研究意義可以參照木桶理論（見圖1）來表述。在經(jīng)典密碼中，組成木桶的木板代表各類經(jīng)典密碼算法和協(xié)議；而在量子密碼中，木板代表各類量子密碼協(xié)議。一方面，協(xié)議對量子密碼來說至關(guān)重要，所有密碼學(xué)任務(wù)都是通過相關(guān)協(xié)議來完成；另一方面，與經(jīng)典密碼算法和協(xié)議相比，量子密碼協(xié)議的安全性大大提高，可以對抗未來量子計算的攻擊。人們希望利用量子性質(zhì)能夠?qū)崿F(xiàn)各類密碼協(xié)議功能，進(jìn)而全面提升信息系統(tǒng)的安全性。本文針對量子密碼協(xié)議的發(fā)展動態(tài)和趨勢進(jìn)行研究。按照協(xié)議的不同功能，梳理6類主流量子密碼協(xié)議（見圖2）的發(fā)展現(xiàn)狀并分別分析實用化潛力及局限性；統(tǒng)籌考慮量子密碼整體的實際應(yīng)用需求，凝練領(lǐng)域未來亟待解決的關(guān)鍵科學(xué)問題并預(yù)判潛在的技術(shù)途徑，提出我國在本領(lǐng)域的技術(shù)發(fā)展建議，以期為量子密碼協(xié)議的深化研究提供基礎(chǔ)性參考。圖2幾類具有代表性的量子密碼協(xié)議二、量子密鑰分配協(xié)議量子密鑰分配（QKD）是一種通信雙方通過傳輸量子態(tài)來建立密鑰的協(xié)議，其目的是使通信雙方獲得一串只有他們兩個知道的密鑰（由經(jīng)典的隨機(jī)比特構(gòu)成，但由于是用量子方式建立的，因此也被稱為“量子密鑰”）。由于QKD和一次一密（OTP）加密算法均具有信息論安全性，將兩者結(jié)合使用就可以實現(xiàn)完美安全的保密通信。根據(jù)光源編碼空間的維度不同，QKD可以分為離散變量（DV）和連續(xù)變量（CV）兩類。QKD系統(tǒng)由發(fā)送端、接收端以及信道組成。QKD信道包括量子信道和經(jīng)典信道，分別用于傳輸量子和經(jīng)典消息。在量子密碼協(xié)議中，一般假設(shè)經(jīng)典通信是不可篡改的，這一點可以利用具有信息論安全性的經(jīng)典消息認(rèn)證碼來實現(xiàn)。此外，為了在有噪聲的現(xiàn)實情況下獲得信息論安全性，QKD一般包含糾錯和隱私放大的過程，前者用于糾正噪聲引起的密鑰錯誤，后者用于壓縮竊聽者在噪聲掩護(hù)下可能獲得的密鑰信息。1984年，IBM的Bennett和Montreal大學(xué)首次提出量子密碼的概念，并給出第一個QKD協(xié)議——BB84協(xié)議。經(jīng)過近四十年的發(fā)展歷程，人們基于不同量子力學(xué)特性提出了多種QKD協(xié)議，一些典型QKD協(xié)議的安全性也得到了嚴(yán)格證明，但實際上QKD系統(tǒng)中因為器件的不完美仍然存在一些安全性漏洞。設(shè)備無關(guān)（DI）QKD協(xié)議可從根本上消除這些漏洞。該類協(xié)議不需要假設(shè)QKD設(shè)備是完美的，它們甚至可以是不可信的。DI-QKD的安全性基于如下事實：量子過程和經(jīng)典過程對貝爾不等式的違背程度是不同的。通信雙方通過觀測輸入和輸出的經(jīng)典比特信息間的關(guān)聯(lián)關(guān)系，計算貝爾不等式的違背值，即可判斷設(shè)備的可信程度，并估計出竊聽者所能獲取的最大信息量。只要實驗中觀測到的違背值足夠大，則說明設(shè)備足夠可信，通信雙方進(jìn)而可以獲得信息論安全的密鑰。DI-QKD協(xié)議過程相當(dāng)于對其設(shè)備的可信性進(jìn)行了一次“自測試”，只有可信的設(shè)備才能通過測試，進(jìn)而讓通信雙方成功建立密鑰。此后，人們又提出了測量設(shè)備無關(guān)（MDI）QKD協(xié)議，它可以在測量設(shè)備不可信的情況下實現(xiàn)安全的密鑰分配，且實現(xiàn)難度較DI-QKD更低。QKD實用化研究也進(jìn)展快速。2021年，中國科學(xué)技術(shù)大學(xué)潘建偉團(tuán)隊演示了一個集成的空對地量子通信網(wǎng)絡(luò)?；凇澳犹枴绷孔有l(wèi)星，通過集成光纖和自由空間QKD鏈路，該QKD網(wǎng)絡(luò)中的任何用戶都可以與其他任何用戶進(jìn)行通信，總距離可達(dá)4600km。同年，中國科學(xué)技術(shù)大學(xué)封召等演示了10m水下信道基于偏振編碼的QKD實驗，安全密鑰生成率超過700kpbs。2022年，中國科學(xué)技術(shù)大學(xué)郭光燦團(tuán)隊實現(xiàn)833km光纖QKD，將無中繼QKD安全傳輸距離世界紀(jì)錄提升了200余km，向?qū)崿F(xiàn)1000km陸基量子保密通信邁出重要一步。綜上所述，QKD作為量子密碼領(lǐng)域研究最早、理論最成熟的部分。目前已有多個國家建立了基于QKD的通信網(wǎng)絡(luò)，如美國的DARPA、歐洲的SECOQC、日本的TokyoQKDNetwork、中國的京滬干線等。隨著“墨子號”量子衛(wèi)星的發(fā)射，京滬干線、滬杭干線的相繼落成，QKD已經(jīng)在一定程度上具備了走向?qū)嵱没臈l件。盡管如此，受技術(shù)條件限制，當(dāng)前的QKD系統(tǒng)在傳輸速率、傳輸距離兩個方面還不能滿足大規(guī)模應(yīng)用的需求。在具體應(yīng)用中，人們往往會選擇一些折衷方案。比如，針對密鑰生成速率低的問題，人們也常將QKD密鑰用于高級加密標(biāo)準(zhǔn)（AES）等加密算法中，這樣的保密通信就不再具有信息論安全性。再比如，針對傳輸距離近的問題，QKD網(wǎng)絡(luò)往往需要“可信中繼”（見圖3），即假設(shè)中繼是可信的（如果中繼節(jié)點不可信，它將輕易獲得用戶所分配的密鑰，進(jìn)而獲得后續(xù)用該密鑰加密的秘密消息），這也會在一定程度上損害QKD的安全性，并限制QKD的大規(guī)模應(yīng)用。圖3QKD的可信中繼方案中繼節(jié)點分別與通信雙方執(zhí)行QKD，并利用其與Bob的密鑰將其與Alice的密鑰加密傳輸給Bob，使得Alice和Bob可以遠(yuǎn)距離建立密鑰。當(dāng)然，除了這種可信中繼之外，人們也在研究“量子中繼”，它通過量子存儲、糾纏交換等技術(shù)來提高糾纏態(tài)分發(fā)的距離，進(jìn)而可以提升QKD的傳輸距離。這種中繼不會損害QKD的安全性，具有更好的應(yīng)用潛力，但相關(guān)技術(shù)還不夠成熟，目前還達(dá)不到實用化的程度。三、量子安全直接通信協(xié)議量子安全直接通信（QSDC）是一種收發(fā)雙方不需要建立密鑰而直接利用量子信道傳輸機(jī)密信息的保密通信技術(shù)。與傳輸隨機(jī)密鑰不同，由于要確保消息的完整性，利用量子態(tài)直接傳輸秘密消息將不利于協(xié)議過程中的竊聽檢測、糾錯、隱私放大等步驟的實施。QSDC協(xié)議通過分塊傳輸、量子隱私放大等技術(shù)來解決該問題，進(jìn)而可以實現(xiàn)直接傳輸秘密消息的功能。2000年，清華大學(xué)利用糾纏態(tài)的塊傳輸技術(shù)首次提出了一種量子保密通信模型用于傳輸機(jī)密信息。2004年，清華大學(xué)將非正交量子態(tài)塊傳輸和經(jīng)典OTP結(jié)合起來，提出了基于單光子的QSDC方案。與基于糾纏態(tài)的方案相比，單光子態(tài)的操控更容易實現(xiàn)。此后，QSDC這一通信模式成為國際量子保密通信的研究熱點。近年來，人們在QSDC的實現(xiàn)方面也取得了可喜的進(jìn)展。2016年，山西大學(xué)和清華大學(xué)聯(lián)合實驗演示了基于單光子的QSDC。2021年，上海交通大學(xué)、江西師范大學(xué)等利用QSDC原理，首次實現(xiàn)了網(wǎng)絡(luò)中15個用戶之間的安全通信，傳輸距離達(dá)40km。從目前的研究現(xiàn)狀來看，QSDC在技術(shù)上已經(jīng)接近實用化的程度。從功能上講，QSDC與QKD&OTP相同，都屬于保密通信的范疇。四、量子秘密共享協(xié)議秘密共享的基本思想是將秘密以適當(dāng)?shù)姆绞讲鸱?，拆分后的每一個份額由不同的參與者管理，使得單個參與者無法恢復(fù)秘密信息，而只有若干個參與者相互協(xié)作才能恢復(fù)。秘密共享的目的是防止秘密過于集中以實現(xiàn)分散風(fēng)險。最常見的秘密共享協(xié)議為（k,n）門限方案，即分發(fā)者把秘密消息加密成n份，分別發(fā)送給n個接收者，要求接收者中任意k個人合作都可以重構(gòu)出這條消息，而任何少于k個人的組合都得不到這條消息的任何信息。經(jīng)典密碼中，常見的秘密共享協(xié)議有基于多項式拉格朗日插值公式的Shamir門限方案、基于中國剩余定理的門限方案等。隨著量子密碼學(xué)的不斷發(fā)展，量子秘密共享（QSS）協(xié)議也引起了學(xué)者們的廣泛研究。1999年，三人利用GHZ態(tài)的糾纏特性提出了第一個QSS協(xié)議。后續(xù)學(xué)者們又利用不同的量子特性提出了多種QSS協(xié)議。在實驗實現(xiàn)方面，2014年，Bell等在線性光學(xué)裝置中利用光子實現(xiàn)了基于圖態(tài)的經(jīng)典信息和量子信息的秘密共享；2018年，周瑤瑤等實現(xiàn)了一種利用光場的多體束縛糾纏的QSS協(xié)議，可實現(xiàn)四個參與者之間的秘密共享。2021年，提出一種基于離散調(diào)制相干態(tài)的CV-QSS協(xié)議，該方案最大傳輸距離達(dá)到100km以上。從理論上看，QSS具有廣闊的研究前景，如對(k,n)門限方案的研究、對多方?多方秘密共享方案的研究、對理性秘密共享方案的研究等。然而，目前QSS協(xié)議仍不具有實際應(yīng)用價值。一是由于對QSS協(xié)議的研究大多著重于研究(n,n)門限方案，很難做到(k,n)門限秘密共享，使得QSS的應(yīng)用場景受限；二是QSS協(xié)議中糾錯與隱私放大方案匱乏，難以真正實現(xiàn)信息論安全。實際上，將QKD協(xié)議與經(jīng)典門限方案相結(jié)合就可實現(xiàn)信息論安全的秘密共享，更具有實際應(yīng)用價值。因此，QSS可以看作是QKD的一個直接應(yīng)用。五、量子身份認(rèn)證協(xié)議量子身份認(rèn)證（QIA）指在量子密碼協(xié)議中對參與者的身份進(jìn)行驗證，以防止攻擊者假冒參與者身份竊取信息。為了在QKD過程中實現(xiàn)信息論安全的身份認(rèn)證，人們提出了一系列的QIA協(xié)議。QIA協(xié)議大致可以分為兩類：共享經(jīng)典密鑰型、共享糾纏態(tài)型。在共享經(jīng)典密鑰型QIA協(xié)議中，通信雙方事先共享一個預(yù)定好的字符串，以此表明雙方身份。1999年，首次提出用經(jīng)典的消息認(rèn)證協(xié)議來認(rèn)證QKD中所傳遞的經(jīng)典信息。此后，也有方案利用該經(jīng)典密鑰來代表竊聽檢測粒子的位置和測量基，同樣也可以達(dá)到認(rèn)證雙方身份的功能。共享糾纏態(tài)型QIA協(xié)議指通信雙方共享一組糾纏態(tài)粒子，雙方各自擁有每對糾纏態(tài)粒子中的一個，對糾纏對進(jìn)行相應(yīng)的操作來互相表明身份。這種方法需要長時間存儲大量糾纏態(tài)粒子，不易實現(xiàn)。為了達(dá)到信息論安全，QIA協(xié)議中用戶事先共享的密鑰或糾纏態(tài)要確保在使用過程中不會被竊聽者所獲得，而且一般不能重復(fù)使用。此外，身份認(rèn)證一般應(yīng)與QKD等協(xié)議同時進(jìn)行，防止竊聽者跳過認(rèn)證階段直接進(jìn)行密鑰分發(fā)。不難看出，QIA的實現(xiàn)思路與經(jīng)典身份認(rèn)證是類似的，都是在不泄露身份密鑰的前提下向?qū)Ψ阶C明自己擁有該身份密鑰。區(qū)別在于，前者的身份密鑰既可以是經(jīng)典的，也可以是量子的，而后者是經(jīng)典的。然而從目前來看，QIA協(xié)議的實際應(yīng)用并不多。原因如下：QIA一般與實現(xiàn)其他密碼功能的量子密碼協(xié)議（如QKD）配套使用。而在絕大多數(shù)量子密碼協(xié)議中，經(jīng)典信道往往采用信息論安全的消息認(rèn)證碼（MAC）來確保消息的完整性。該技術(shù)不但可以保證經(jīng)典消息不被篡改，同時也可實現(xiàn)相互認(rèn)證身份的功能。因此，在量子密碼協(xié)議中通常不需要額外做身份認(rèn)證。六、量子數(shù)字簽名協(xié)議2001年，首次提出了量子數(shù)字簽名（QDS）的概念，并基于量子單向函數(shù)給出了第一個量子數(shù)字簽名協(xié)議。盡管該協(xié)議需要量子存儲、量子態(tài)交換比較測試和安全量子信道等較難實現(xiàn)的技術(shù)，但是由于其具有信息論安全的優(yōu)勢，引起了人們對QDS研究的濃厚興趣。不幸的是證明對量子消息進(jìn)行數(shù)字簽名不可行，即使計算安全也不可行。后續(xù)，人們嘗試弱化對QDS的一些要求，提出了仲裁量子簽名的概念。仲裁量子簽名需要在仲裁的幫助下才能完成對數(shù)字簽名的驗證，這與實際應(yīng)用的數(shù)字簽名有差別，但是它不僅可以簽名經(jīng)典消息，還可以簽名量子消息，引起了學(xué)者們的關(guān)注。同其他量子密碼協(xié)議一樣，實際應(yīng)用中攻擊者也會利用物理設(shè)備的不完美性對QDS協(xié)議進(jìn)行攻擊。為克服實際安全問題，人們提出了設(shè)備無關(guān)QDS協(xié)議。最近，為了進(jìn)一步提高QDS的實用性和安全性，人們提出了基于連續(xù)變量的QDS協(xié)議和基于誘騙態(tài)的QDS。同時，面向各種實際應(yīng)用場景，學(xué)者們提出了多種QDS協(xié)議，如提出了一種面向敏感數(shù)據(jù)訪問控制的QDS協(xié)議，Singh等利用QDS設(shè)計了一種安全區(qū)塊鏈交易協(xié)議。目前QDS主要集中在三方協(xié)議（即包括一個簽名者，一個接收者和一個驗證者）這種特殊情形，且驗證者需要事先共享驗證密鑰，無法達(dá)到經(jīng)典數(shù)字簽名中任意用戶都可驗簽的便利性需求。另外，QDS在實驗和實用化方面的成果還很少。總之，無論技術(shù)上還是理論上，QDS距離真正的實用化還有很大的距離，還仍需要繼續(xù)深入研究。七、量子兩方安全計算協(xié)議（一）量子比特承諾比特承諾最早由1995年圖靈獎得主提出，它可用于構(gòu)建零知識證明、可驗證秘密共享、擲幣等協(xié)議，是安全多方計算中最重要的基礎(chǔ)協(xié)議之一。人們期望通過量子途徑，探索實現(xiàn)信息論安全比特承諾的可行性。1997年，構(gòu)建了量子比特承諾協(xié)議的標(biāo)準(zhǔn)模型，并證明了無論在經(jīng)典環(huán)境下還是量子計算環(huán)境下，標(biāo)準(zhǔn)模型下的比特承諾協(xié)議都不能達(dá)到信息論安全。同年，獨立證明了該結(jié)論。這一結(jié)論被稱為no-go定理，成為阻礙量子比特承諾甚至其他量子兩方安全計算協(xié)議發(fā)展的一大障礙。后續(xù)，人們不斷嘗試放松條件的量子比特承諾（QBC）以規(guī)避no-go定理，比如有噪量子存儲模型和狹義相對論模型。在實驗方面，2012年，完成了有噪量子存儲模型下的QBC實驗。2013年和2014年，分別完成了狹義相對論模型下的QBC實驗。綜上所述，目前no-go定理的正確性得到了絕大多數(shù)學(xué)者的認(rèn)可，要想實現(xiàn)信息論安全的QBC還存在重要的理論障礙。而對于為了跨過no-go定理而提出的有噪量子存儲模型和狹義相對論模型，前者不能達(dá)到信息論安全，后者缺乏實用潛力。（二）量子擲幣擲幣是使互不信任、不在一起的雙方共同產(chǎn)生一個隨機(jī)比特，這個比特不能被某一方?jīng)Q定。根據(jù)擲幣協(xié)議的參與方對擲幣結(jié)果是否有固定的喜好，可將擲幣協(xié)議分為強(qiáng)擲幣協(xié)議和弱擲幣協(xié)議。如果不誠實方的攻擊不能使得任何一個擲幣結(jié)果出現(xiàn)概率超過p=1/2+ε，稱為強(qiáng)擲幣。若兩方的喜好結(jié)果不同，不誠實方的攻擊不能使得他喜好的擲幣結(jié)果出現(xiàn)概率超過p=1/2+ε，稱為弱擲幣。其中參數(shù)稱為某一方（或協(xié)議）的偏。ε度量了協(xié)議的安全性，其值越小協(xié)議越安全。ε應(yīng)該嚴(yán)格小于1/2以保證欺騙方不能完全控制擲幣結(jié)果。當(dāng)且僅當(dāng)雙方的偏相等時，稱擲幣協(xié)議是公平的。當(dāng)雙方的偏均為0時，稱擲幣協(xié)議是完美的。1984年首次提出了量子擲幣協(xié)議。但是10年后，證明了完美量子擲幣協(xié)議是不存在的，此后人們一直致力于研究具有更小偏的擲幣協(xié)議。證明任何強(qiáng)量子擲幣協(xié)議的偏不可能小于0.207。2007年證明量子弱擲幣的偏可以任意小。2009年，Berlin等提出并定義了容忍損失的量子擲幣協(xié)議并證明任意一方通過作弊獲得的偏為0.4。2010年證明容忍損失的量子擲幣協(xié)議的任意一方通過作弊獲得的偏最少為0.359。在實驗方面，2010年，實驗實現(xiàn)了偏為0.207的強(qiáng)量子擲幣協(xié)議；2020年，提出了一個只需要單光子和線性光學(xué)裝置的實用弱擲幣協(xié)議，其偏達(dá)到了0.207。目前，量子強(qiáng)擲幣協(xié)議的偏不可能小于0.207（即雙方欺騙成功概率可達(dá)到0.707），而且在有噪聲和損失的情況下，偏至少為0.35。此概率過大，導(dǎo)致量子擲幣協(xié)議并不實用。（三）量子不經(jīng)意傳輸不經(jīng)意傳輸（OT）協(xié)議作為一種保護(hù)隱私的通信協(xié)議，被廣泛應(yīng)用于安全多方計算、認(rèn)證協(xié)議等諸多隱私敏感的領(lǐng)域。類似于對其他密碼協(xié)議的研究，人們也希望利用量子技術(shù)來實現(xiàn)信息論安全的OT協(xié)議，即量子不經(jīng)意傳輸（QOT）。1988年提出了第一個QOT協(xié)議，該協(xié)議假定Bob無法將量子測量過程延遲。后續(xù)，學(xué)者們基于QBC提出了多種QOT協(xié)議，但隨著QBCno-go定理的提出，所有基于QBC的QOT協(xié)議不再安全。此后，人們不斷探索打破no-go定理的QOT。2002年提出以50%概率成功傳輸秘密消息的方案（稱為全或無OT），協(xié)議中Bob無法以100%概率得到某個秘密消息，從而回避了no-go定理的限制。2005年考慮三種特殊場景來嘗試跨過no-go定理，實現(xiàn)了基于BB84的全或無QOT和QBC協(xié)議。2016年利用時空約束提出了一種2取1QOT協(xié)議，隨后在2018年進(jìn)行了實驗驗證。目前2取1QOT協(xié)議最優(yōu)欺騙概率在參與方半誠實條件下可以達(dá)到。2021年，提出了一種在參與方不誠實時達(dá)到欺騙概率的2取1半隨機(jī)QOT協(xié)議。半隨機(jī)QOT協(xié)議的功能如下：Alice有兩個比特消息，協(xié)議結(jié)束時Bob隨機(jī)得到消息，且不能得到，Alice不能得到Bob的輸出消息。綜上所述，2取1QOT協(xié)議始終無法逾越no-go定理這座大山。而為了跨過no-go定理的限制，人們基于用戶技術(shù)條件受限的假設(shè)提出了多種協(xié)議，但它們往往不再是信息論安全的。此外，如何解決容忍量子信道噪聲的問題，也是QOT走向?qū)嶋H應(yīng)用所面臨的一大挑戰(zhàn)。因此QOT協(xié)議離真正投入使用還有很長的路要走。（四）量子保密查詢在很多場景下，人們不僅需要保護(hù)傳遞的信息不被外部攻擊者竊取，還需要保護(hù)通信雙方的隱私不被對方獲取。對稱私有信息檢索（SPIR）就是這樣一類密碼任務(wù)。本質(zhì)上，SPIR實現(xiàn)的是“多取一”的不經(jīng)意傳輸。根據(jù)no-go定理，理想的SPIR在量子密碼中不能實現(xiàn)。目前人們最為實際的做法是，將SPIR中的隱私要求放松到“欺騙敏感”的程度（即所有有效的欺騙行為都會有非零的概率被對方發(fā)現(xiàn)），這種協(xié)議通常被稱作量子保密查詢（QPQ）。QPQ對安全性要求如下：①數(shù)據(jù)庫擁有者Bob試圖獲取用戶Alice檢索地址的欺騙行為以非零概率被Alice發(fā)現(xiàn)；②用戶Alice除了獲得檢索的條目外，可以隨機(jī)獲得有限幾個數(shù)據(jù)庫條目。Alice額外得到的條目是隨機(jī)的，一般不是她需要的，而Bob通常不敢冒著被發(fā)現(xiàn)欺騙的危險去攻擊，因為一旦被發(fā)現(xiàn)將損害自己的聲譽(yù)，甚至可能會面臨十分嚴(yán)厲的懲罰。因此，這種安全性雖不理想但可以滿足應(yīng)用需求。2008年意大利學(xué)者提出了第一個QPQ協(xié)議（GLM協(xié)議）。該協(xié)議中，Bob將數(shù)據(jù)庫信息編碼到酉操作上，收到用戶Alice的查詢量子態(tài)后，他將該操作作用到查詢態(tài)上然后返回給Alice，Alice通過測量獲取想要的數(shù)據(jù)庫條目。這類將數(shù)據(jù)庫信息編碼到酉操作上的QPQ協(xié)議在理論上意義非凡，但實際上并不實用。一方面，將整個數(shù)據(jù)庫（尤其是當(dāng)數(shù)據(jù)庫規(guī)模較大時）編碼到酉操作上，該酉操作必然維數(shù)很大，在現(xiàn)有條件下難以實現(xiàn)。另一方面，這類協(xié)議不能容忍信道損失，即一旦存在信道損失的情形，將威脅到雙方的隱私。此外，在實際應(yīng)用中不完美的信號源，信道噪聲等也影響著協(xié)議的成功概率。為了解決這些問題，后續(xù)人們對QPQ協(xié)議做了大量研究。2011年，瑞士日內(nèi)瓦大學(xué)Jacobi等基于SARGQKD提出了一個QPQ協(xié)議（J協(xié)議）。它借助現(xiàn)有的QKD技術(shù)來實現(xiàn)，實現(xiàn)難度與數(shù)據(jù)庫規(guī)模無關(guān)，且能夠容忍信道損失，因此成為QKD之外實用潛力較為突出的一類密碼協(xié)議。協(xié)議中用戶可獲得的數(shù)據(jù)條目不能靈活調(diào)整，要么過多不利于保護(hù)數(shù)據(jù)庫安全性，要么過少導(dǎo)致失敗概率增大。2015年，基于環(huán)回差分相移QKD協(xié)議，劉斌等設(shè)計了一種QPQ協(xié)議，實現(xiàn)誠實用戶獲得的數(shù)據(jù)庫條目數(shù)始終是1，這保證了理想的數(shù)據(jù)庫安全性，并且方案失敗概率為0，意味著在忽略噪聲的情況下，協(xié)議總能成功執(zhí)行。此后，學(xué)者們發(fā)現(xiàn)了QPQ在實用中面臨的一些新問題，并逐一解決。魏春艷等提出窄移位疊加的技術(shù)，使得不僅能夠用于大數(shù)據(jù)庫查詢，而且在不完美光源下依然保持了理想的數(shù)據(jù)庫安全性和零失敗概率。在對抗信道噪聲方面，分別提出利用糾錯碼和校驗矩陣對QPQ原始密鑰進(jìn)行后處理。在應(yīng)用研究方面，2019年，提出了一種適用于量子無線網(wǎng)絡(luò)的QPQ方案，通過讓用戶節(jié)點和服務(wù)器節(jié)點之間預(yù)先共享糾纏態(tài)和引入多個協(xié)助第三方的方法實現(xiàn)任意用戶可向任意服務(wù)器進(jìn)行檢索的目標(biāo)。綜上，由于QPQ協(xié)議只需要使用與BB84協(xié)議相同的光源和探測器就可以實現(xiàn)，糾錯和隱私放大理論較完善，因而具有很好的實用化潛力。但是由于QPQ中兩方可以互相欺騙，要兼顧兩方利益，因此與QKD相比其具有更大的理論難度。一個具體表現(xiàn)就是，目前QPQ能容忍的錯誤率較低（典型參數(shù)下可容忍4%的錯誤率）。八、未來研究方向眾所周知，量子計算對現(xiàn)代密碼學(xué)的安全性形成了嚴(yán)峻挑戰(zhàn)。隨著QKD協(xié)議的提出并被證明具有信息論安全性，量子密碼逐漸成為可對抗量子計算攻擊的下一代密碼技術(shù)中的一個重要選項。在經(jīng)典密碼中，已經(jīng)存在成熟的算法和協(xié)議體系，比如用對稱或公鑰加密算法來保證消息的機(jī)密性、用消息認(rèn)證碼來保證消息的完整性來源可靠性、用數(shù)字簽名來保證消息的不可否認(rèn)性等，這些具備多種功能的成熟算法和協(xié)議構(gòu)成了一個完整的木桶（見圖1），可以確保一個信息系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全運(yùn)行。鑒于QKD的巨大安全性優(yōu)勢，學(xué)者們希望借鑒其思想，通過引入量子技術(shù)來全面提升各類密碼協(xié)議的安全性，并最終建成一個“信息論安全”的協(xié)議體系，也只有如此才能全面提升信息系統(tǒng)在未來量子計算時代的安全性。然而從較大規(guī)模的實驗進(jìn)展來看，目前達(dá)到實用化程度的量子密碼協(xié)議主要是QKD，也就是我們通常所說的“量子通信”?？傮w來說，量子密碼協(xié)議目前處于“QKD遙遙領(lǐng)先、其他協(xié)議有待突破”的不平衡狀態(tài)，其實也是一個“其他協(xié)議難以突破”的瓶頸狀態(tài)。因此，要想實現(xiàn)全面提升信息系統(tǒng)安全性的目標(biāo)，量子密碼協(xié)議研究還有很長的路要走。顯然，量子密碼協(xié)議領(lǐng)域未來還有諸多科學(xué)問題需要解決。比如在微觀層面，人們需要找到對抗信道噪聲影響的新理論，并尋找立足于量子密碼特點的新型密碼學(xué)任務(wù)；在宏觀層面，人們需要解決量子公鑰密碼難題；而在應(yīng)用層面，需要建立量子?經(jīng)典相結(jié)合的密碼新體系。下面分別闡述這幾個關(guān)鍵問題并討論解決這些問題的潛在技術(shù)途徑。（1）處理信道噪聲的新理論。在量子密碼協(xié)議中，竊聽或欺騙行為通常會給量子態(tài)帶來難以控制的干擾。針對這一特點，量子密碼協(xié)議都有檢測竊聽的步驟。它通常通過將量子態(tài)的測量結(jié)果與其預(yù)期狀態(tài)相比較，得到錯誤率，進(jìn)而判斷是否存在竊聽或欺騙行為。眾所周知，信道噪聲本身也會帶來一定的錯誤率，而攻擊者可以在噪聲的掩飾下獲得部分非法的秘密信息。因此，為了對抗信道噪聲，量子密碼協(xié)議都需要有一個經(jīng)典后處理的過程，目的是糾錯和壓縮攻擊者非法所得的信息量。這種后處理過程是嚴(yán)格證明量子密碼協(xié)議安全性的一個關(guān)鍵，也是相關(guān)研究的難點所在。針對不同協(xié)議的安全性要求，如何給出能夠妥善處理信道噪聲的新理論，是量子密碼協(xié)議走向?qū)嵱眠^程中急需解決的關(guān)鍵問題。（2）立足于量子密碼特點的新型密碼學(xué)任務(wù)。在量子密碼研究過程中，人們往往以經(jīng)典密碼協(xié)議的功能為目標(biāo)來設(shè)計量子協(xié)議。然而量子密碼和經(jīng)典密碼的安全性基礎(chǔ)有著本質(zhì)區(qū)別，量子密碼適合做的密碼學(xué)任務(wù)可能與經(jīng)典密碼有很大不同。這可能正是我們照搬經(jīng)典密碼協(xié)議目標(biāo)來設(shè)計量子密碼協(xié)議時遇到瓶頸的原因。因此，針對量子理論特點，嘗試改變經(jīng)典密碼協(xié)議的安全目標(biāo)（需確保仍有應(yīng)用價值），或者發(fā)掘新型的密碼學(xué)任務(wù)，是一種有望取得突破的研究思路。近年來取得成功的QPQ協(xié)議就是這方面的一個典型例子。它將經(jīng)典“多取一”不經(jīng)意傳輸?shù)陌踩阅繕?biāo)修改為“欺騙敏感”類型，既迎合了量子協(xié)議的特點，又符合實際應(yīng)用需求，已經(jīng)具備了很好的實用化潛力。（3）量子公鑰密碼模型。從應(yīng)用角度來說，量子密碼協(xié)議研究中急需解決兩個重要問題：數(shù)字簽名和兩方安全計算。前者在日常通信網(wǎng)絡(luò)中應(yīng)用廣泛、不可或缺，后者是構(gòu)建其他復(fù)雜密碼協(xié)議的基本組件，兩者都在密碼協(xié)議體系中占有重要地位。在經(jīng)典密碼中，數(shù)字簽名和兩方安全計算大多是借助公鑰密碼算法來實現(xiàn)。而目前人們還沒有找到有實用價值的量子公鑰密碼。實際上，量子密碼對“信息論安全”的追求與公鑰密碼“基于數(shù)學(xué)復(fù)雜性假設(shè)”的屬性相互矛盾，直接對照經(jīng)典公鑰密碼的設(shè)計方法來設(shè)計量子公鑰密碼很可能是行不通的。量子公鑰密碼，很可能是一種不同于經(jīng)典公鑰密碼、但能實現(xiàn)經(jīng)典公鑰密碼功能的全新模型。因此，如何獨辟蹊徑、用量子力學(xué)性質(zhì)來實現(xiàn)公鑰密碼的類似功能，成為解決上述兩個問題的重中之重。如上所述，量子密碼中不一定能像經(jīng)典密碼那樣，可以找到公鑰密碼并在此基礎(chǔ)上得到數(shù)字簽名和兩方安全計算方案。因此，分別設(shè)計具有實用化潛力的量子數(shù)字簽名協(xié)議、能跨過no-go定理的兩方安全計算協(xié)議也是一種解決思路。（4）量子?經(jīng)典相結(jié)合的密碼新體系。目前來看，量子密碼中一些典型協(xié)議發(fā)展遇到瓶頸，難以滿足全面提升信息系統(tǒng)安全性的應(yīng)用需求。涉及到相關(guān)功能的信息系統(tǒng)，只能用經(jīng)典密碼來保護(hù)其安全性。也就是說，系統(tǒng)整體使用量子?經(jīng)典相結(jié)合的密碼體制，比如密鑰分配用量子的，而數(shù)字簽名（因為沒有實用化的量子協(xié)議）用經(jīng)典的。此時如果簡單地將（當(dāng)前可用的）量子密碼協(xié)議與經(jīng)典密碼協(xié)議相結(jié)合使用，有可能會導(dǎo)致量子密碼的使用失去價值（比如對于上述具備了QKD功能的信息系統(tǒng)，具有量子計算能力的攻擊者仍然可以通過攻破經(jīng)典數(shù)字簽名來非法登錄系統(tǒng)、獲得密鑰或秘密消息）。針對這一現(xiàn)狀，圍繞當(dāng)前可用的量子密碼協(xié)議（如QKD和QPQ），專門設(shè)計與之相適配的經(jīng)典密碼協(xié)議，確保量子密碼協(xié)議的使用能夠帶來切實的、即便只是一定程度上的安全性優(yōu)勢，是一種可行的研究思路。這里有研究價值的問題包括：①利用當(dāng)前可用的量子密碼功能，能否給某些經(jīng)典密碼帶來本質(zhì)上的安全性提升？②如果可以，這種新的安全性如何定義？③公鑰密碼出現(xiàn)之前各項密碼學(xué)功能是如何實現(xiàn)的？這顯然對尚無公鑰密碼的量子密碼體制有重要的參考價值。④能否通過充分發(fā)掘可信第三方的功能，來協(xié)助解決數(shù)字簽名、兩方安全計算等量子密碼協(xié)議中的瓶頸問題？總之，如果在可預(yù)見的未來，量子密碼仍舊不能“獨自扛大梁”，那么退而求其次，研究它能給經(jīng)典密碼帶來什么提升和幫助是非常有現(xiàn)實意義的課題。九、對我國相關(guān)研究的建議如上所述，要想達(dá)到全面提升信息系統(tǒng)安全性的實用化目標(biāo)，量子密碼協(xié)議中還有諸多問題需要解決。盡管如此，量子密碼的獨特安全性令人著迷。在理論上，它將對密碼算法和協(xié)議的發(fā)展帶來全新的思想、有價值的啟發(fā)以及安全性上的實質(zhì)性提升；在應(yīng)用中，它至少可以實現(xiàn)一個具有有限功能的、在某些場景下有顯著優(yōu)勢的新體制，比如功能較少的專用網(wǎng)絡(luò)（“功能多”往往意味著需要使用非信息論安全的經(jīng)典密碼，而這些密碼的使用會限制信息系統(tǒng)整體的安全性，使之不能達(dá)到量子密碼所追求的“超高安全性”）。量子密碼本質(zhì)上屬于抗量子計算攻擊的密碼學(xué)研究領(lǐng)域。關(guān)于我國在該領(lǐng)域的后續(xù)研究，我們給出以下幾點建議。（一）量子密碼