从BB84协议到量子互联网--量子通信为什么会改写“安全”这件事

Source

偷看必留痕:从BB84协议到量子互联网,量子通信为什么会改写“安全”这件事

——从一次海边相遇,到量子信息科学的诞生

量子密码学的伟大,不在于它把“加密算法”做得更复杂,
而在于它第一次把“物理定律”本身变成了安全性的来源。
在经典世界里,窃听者可以复制;在量子世界里,窃听者必须留下痕迹。

引子:为什么今天还要重讲BB84协议

在这里插入图片描述
在这里插入图片描述

2026 年 3 月,ACM 宣布将 2025 年 A.M. 图灵奖授予 Charles H. Bennett 和 Gilles Brassard,理由是他们“奠定了量子信息科学基础,并改变了安全通信与计算的面貌”。这件事的意义,并不仅仅是给两位杰出科学家补上一枚迟来的奖章;更重要的是,它等于由计算机科学共同体正式承认:量子信息科学已经不是物理学边缘的奇思妙想,而是计算、通信与安全三者重新缝合之后诞生的新范式。 (计算机协会)

这份认可之所以重要,是因为在很长时间里,人们谈论量子力学时想到的往往是“不确定性”“测量坍缩”“纠缠”“非定域性”这些让工程师头疼、让哲学家兴奋的词。但 Bennett 和 Brassard 做了一件极其反直觉、却改变了整个领域方向的事情:他们没有把这些量子效应当作噪声和麻烦去回避,而是反过来问——既然量子系统不能被无痕偷看,那能不能把“不能无痕窃听”本身变成协议设计的核心? 这个问题一旦成立,密码学的地基就不再只是数学,而开始部分建立在物理事实上。(IBM Research)
在这里插入图片描述

今天回头看,BB84的意义远不止“第一篇量子密码论文”。它更像是一个历史分叉点:在它之前,安全主要是计算复杂性问题;在它之后,安全第一次被严肃地理解为一个信息—物理联合问题。而从 BB84 向后延伸,我们会一路走到量子隐形传态、量子中继器、量子网络,最后抵达一个更大的问题:如果信息本身是物理的,那么互联网会不会也必须被重新定义?

这篇文章想做的,就是把这条逻辑链条完整掰开:
从“一次一密”的困境讲起,讲到Wiesner的共轭编码,讲到BB84协议如何利用非正交量子态建立安全密钥,讲到安全证明为什么成立,讲到量子通信和量子互联网到底在传什么、不能传什么,以及它和后量子密码学到底是什么关系。你会看到,量子通信最迷人的地方,不是“神秘”,而是它把原本看似抽象的量子规律,变成了可以落地的协议设计语言。✨

一、经典密码学的老问题:为什么“一次一密”反而逼出了量子密码学

量子密码学不是凭空长出来的。它首先是经典密码学长期无解的一处裂缝被放大后的结果。

在经典密码学里,最令人神往的方案之一是 一次一密(One-Time Pad, OTP)。香农已经证明,只要满足三个条件:

  1. 密钥完全随机;
  2. 密钥长度不短于明文;
  3. 每个密钥只使用一次;

那么这个系统就能达到信息论安全。这意味着,对窃听者来说,密文在统计上不泄露关于明文的任何信息。不是“很难破解”,而是“根本无从推出”。这是一种近乎完美的安全。问题恰恰也出在这里:越完美的安全,越难获得它的前提。

一次一密的命门并不在加密阶段,而在密钥分发阶段。Alice 和 Bob 如果原本就有一条安全通道来交换与消息等长、完全随机、只用一次的密钥,那他们事实上已经解决了最难的问题;剩下的加密反而变得简单。可如果他们没有这条安全通道,就会立刻掉进一个循环论证:

  • 想安全传输密钥,得先有一个更早的密钥;
  • 没有更早的密钥,只能通过普通信道发送;
  • 普通信道一旦可被窃听,密钥就会泄露;
  • 密钥一旦泄露,一次一密再完美也没用。

这就是经典密码学的“密钥分发悖论”:理论上最完美的安全,需要现实中最不可得的前提。

公钥密码学在 20 世纪 70 年代给出了一条新的路:不再要求双方事先共享秘密,而是依赖某些数学问题在计算上难以求解,例如大整数分解和离散对数。它极大提升了互联网的可扩展性,也造就了现代安全协议栈。但它始终有一个隐含前提:攻击者缺乏足够强的算法和计算能力。 只要这个前提成立,系统就安全;一旦这个前提动摇,安全性就会瞬间从“可靠”变成“过时”。

也就是说,经典密码学的两条主路其实各有代价:

  • 一次一密:安全性最强,但密钥分发几乎无法扩展;
  • 公钥密码:扩展性最好,但安全性建立在“困难问题仍然困难”的假设上。

量子密码学之所以重要,正是因为它试图把这两条路的优点拼接起来:在不预共享长密钥的前提下,实现接近一次一密那样的信息论安全。 这不是对经典密码学的简单补充,而是在问一个更深的问题:
有没有可能,安全密钥的建立本身,不再依赖“一个窃听者算不算得出来”,而是依赖“一个窃听者敢不敢碰、碰了会不会留下痕迹”?
BB84 的回答是:可以。(IBM Research)

二、思想种子:Wiesner 为什么是“量子密码学真正的先声”

如果说 Bennett 和 Brassard 把量子密码学变成了一套协议,那么最早埋下种子的,往往被认为是 Stephen Wiesner

Wiesner 在 20 世纪 60 年代末、70 年代初就提出了一组远远超前于时代的想法,其中最核心的概念是 Conjugate Coding(共轭编码)。这篇工作后来发表于 1983 年的 SIGACT News,但在思想上它早已完成了一次关键跃迁:量子测量带来的限制,不只是“你不能做什么”,它还意味着“你可以借此设计经典系统做不到的编码与验证机制”。 (MPIWG)

Wiesner 的思路非常漂亮。经典比特的读取方式基本是兼容的:你想读多少次都行,读完还能复制,复制后还能继续读。可量子态不是这样。假设同一个量子载体可以在两组互不兼容的基中编码信息,比如偏振光子的直线偏振基和对角偏振基,那么接收者如果不知道发送者用了哪组基,就无法同时无损地读取全部信息。你选对基,能读出有意义的结果;你选错基,不但读错了,还会扰动原态,使另一个“隐藏信息通道”被破坏。

这件事的深层含义是:量子态可以把“读取权”本身编码进去。
这和经典信息完全不同。在经典信息里,内容与读取方式是解耦的;在量子信息里,内容和读取操作往往是耦合的。你怎么问,决定了你能得到什么,也决定了系统会不会因此改变。

Wiesner 最著名的设想之一是“量子钞票”:发行方在纸币中嵌入若干按随机基制备的量子态,只有知道这些制备基的中央机构才能验证真伪。伪造者即便拿到纸币,也无法在不知道基的情况下无损测量并复制这些量子态,因此无法伪造。后来大家意识到,这个方案虽然作为货币系统在工程上并不现实,却在概念上完成了一件伟大的事:它第一次把不可伪造性不可克隆性/测量扰动直接连接在了一起。(MPIWG)

更重要的是,Wiesner 其实已经把一个后来反复出现的结构说清楚了:
当信息载体是量子态时,“知道什么”和“能做什么”之间的关系会被物理定律重新书写。

这正是后来的量子密码、量子认证、量子货币、量子隐写、甚至某些量子复杂性结果的共同起点。换句话说,Wiesner 的贡献不只是“提出了一个早期点子”,而是第一次把量子力学中的“不兼容测量”转译成了信息访问控制机制。这一步非常根本。

三、那次著名的海边相遇:BB84 不是灵光一闪,而是一次跨学科接线

关于 BB84 的诞生,后来流传最广的故事,是 Bennett 和 Brassard 在 1979 年波多黎各圣胡安的一次会议期间、在海里游泳时展开了第一次深入交流。IBM 和 ACM 的回顾都提到,这次偶遇后来演化成长期合作:Bennett 向 Brassard 讲述了 Wiesner 的量子钞票构想,而 Brassard 立刻意识到,如果把这个想法从“防伪”转向“通信中的密钥建立”,事情可能会完全不一样。 (IBM Research)

这段历史之所以迷人,不只是因为它有传奇色彩,而是因为它几乎象征了量子信息科学的出生方式:
一个物理学家带着“量子态受测量约束”的直觉,
一个计算机科学家带着“协议、对手模型、公开讨论、攻击面”的训练,
两者碰到一起,才真正把“物理现象”变成“通信协议”。

在 1982 年前后,Bennett、Brassard 与 Wiesner 已经有合作论文;到 1984 年,Bennett 和 Brassard 提出了后来被称为 BB84 的协议,即 Quantum cryptography: Public key distribution and coin tossing。标题中的 “public key distribution” 容易让今天的读者误会,但它真正想表达的是:双方无需预共享秘密,就可以通过量子与经典信道结合,建立一段后续可用作密钥的共享随机串。(IBM)

BB84 的原创性不在“用了量子”这么简单,而在于它把几个此前散落的概念统一成了一套闭环:

  1. 发送方用非正交量子态编码随机比特;
  2. 接收方在随机基中测量;
  3. 双方通过公开经典信道只比较“用了哪组基”,不泄露比特值;
  4. 抽样估计误码率,从而判断是否发生窃听;
  5. 在允许存在噪声和部分信息泄露的情况下,再通过纠错和隐私放大提炼出最终密钥。

你会发现,这里面没有任何一步是“魔法”。它全部是物理约束和协议编排共同作用的结果。正因如此,BB84 不是一篇“把量子术语堆到密码学上”的论文,而是第一套真正让量子效应在安全性上发挥决定性作用的通信机制。它是一个协议设计上的范式转移。(IBM Research)

四、量子密码学真正站得住的三根柱子

如果把 BB84 的安全直觉压缩成底层原则,其实主要依赖三件事:
测量扰动、非正交态不可完美区分、不可克隆。

这三件事彼此关联,但各自扮演着不同角色。

4.1 测量扰动:量子读取不是旁观,而是介入

在经典世界里,“偷看”通常可以被抽象成一次被动读取:文件还在那里,内容没变,系统状态不需要因此改变。量子系统则不然。对未知量子态进行测量,本质上是让测量装置与系统发生耦合;如果测量基不匹配,输出不仅可能是随机的,系统本身也会被投影到新的状态上。

BB84 原始论文和后续安全证明都利用了这一点:窃听者如果不知道发送方选用了哪组基,就不能在不引起扰动的前提下获知全部信息。换句话说,量子窃听的代价不是“更费算力”,而是必须支付可观测的痕迹成本。(IBM Research)

这是一个很深的分水岭。经典密码学把安全建立在“别人很难算”;量子密码学先天允许你建立在“别人一碰就露馅”。

4.2 非正交态不可被完美区分:不知道基,就别想准确读取

BB84协议用到的四个态通常写成:

  • ∣ 0 ⟩ , ∣ 1 ⟩ |0\rangle, |1\rangle ∣0,∣1 —— 计算基(Z 基)
  • ∣ + ⟩ , ∣ − ⟩ |+\rangle, |-\rangle +, —— 对角基(X 基),其中
    ∣ + ⟩ = ( ∣ 0 ⟩ + ∣ 1 ⟩ ) / 2 |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2} +=(∣0+∣1⟩)/2 ,
    ∣ − ⟩ = ( ∣ 0 ⟩ − ∣ 1 ⟩ ) / 2 |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2} =(∣0∣1⟩)/2

关键点不在“有四个态”,而在这些态里存在非正交对。非正交意味着:不存在一个测量,能在单次操作中完美区分所有候选态而不出错。对 Eve 来说,这就像面对一组被刻意设计过的信号:她如果不知道发送者使用了哪套坐标系,就没有办法在不冒险的情况下把每个态都准确读出来。

也因此,BB84 的精髓并不是“量子比经典更强大”这种笼统说法,而是:
协议利用了非正交态集合,使得“信息获取”和“状态保真”之间出现无法两全的张力。

4.3 不可克隆定理:不能像经典监听那样先复制一份再慢慢看

1982 年,Wootters 和 Zurek 提出的不可克隆定理成为量子信息科学最基础的结论之一。它表明:任意未知量子态都不能被一个通用装置完美复制。 对经典安全直觉来说,这一点的震撼非常大,因为大多数经典监听模型都默认攻击者可以“复制流量,再离线分析”。而在量子信道里,这条路被从原理上封死了。(Nature)

于是,Eve 的典型选项只剩下几种:

  • 直接测量:会引入扰动;
  • 部分耦合探测:会在信息与误码之间做权衡;
  • 试图延迟、缓存、复杂联合攻击:最终仍受安全证明约束。

无论她多聪明、算力多强,都不能简单地把量子态“完整拷贝一份”然后躲到一边慢慢解。这一点决定了量子信道与经典信道的威胁模型有本质差异。

五、BB84 协议到底在干什么:它不是“发秘密”,而是在制造共享随机性

很多初学者第一次接触 BB84 时会有个误解:Alice 好像在“通过光子给 Bob 发送机密内容”。其实不是。
BB84 的第一目标不是传输业务消息,而是建立共享密钥。
消息本身往往是后续再用这段密钥通过一次一密或其他对称加密方式发送的。

5.1 准备阶段:Alice 先制造两个随机序列

Alice 做两次随机选择:

  • 一串随机比特 b i ∈ 0 , 1 b_i\in{0,1} bi0,1
  • 一串随机基 a i ∈ Z , X a_i\in{Z,X} aiZ,X

然后按照规则把每个比特编码成相应量子态:

  • a i = Z a_i=Z ai=Z,则0编成 ∣ 0 ⟩ |0\rangle ∣0,1 编成 ∣ 1 ⟩ |1\rangle ∣1
  • a i = X a_i=X ai=X,则0编成 ∣ + ⟩ |+\rangle +,1 编成 ∣ − ⟩ |-\rangle

也就是说,Alice 发送的不是“0 和 1”,而是“在不同测量坐标系下对应 0 和 1 的量子态”。

5.2 接收阶段:Bob 也随机选基测量

Bob 并不知道 Alice 选了 Z 还是 X,于是只能自己也随机选一个基去测量每个到达的光子:

  • 如果 Bob 选对了基,那么在理想情况下,他会得到 Alice 的原始比特;
  • 如果 Bob 选错了基,那么他的结果是随机的,且这个随机值对原始比特没有可靠信息含义。

这一步非常重要,因为它说明:协议本身就是故意允许大量“无效测量”的。
在经典通信工程里,你会尽量追求每个符号都有效;
在 BB84 里,你反而接受一半左右的测量天然作废,因为正是这种“错基即随机”的结构,让窃听检测成为可能。

5.3 筛选阶段:公开讨论“基”,不公开讨论“值”

Alice 和 Bob 接下来通过一条公开但经过身份认证的经典信道沟通。注意,这条经典信道可以被 Eve 听见,但不能允许 Eve 冒充 Alice 或 Bob。

他们公开比较每个位置上各自用的是哪组基,却不公布具体比特值。凡是基一致的位置保留下来,基不一致的位置丢弃。保留下来的这部分串称为 筛后密钥(sifted key)。

如果没有窃听、且设备理想,那么这段筛后密钥在理论上应高度一致;如果有窃听或显著噪声,误码率就会上升。

从信息论角度看,这一步做了两件事:

  1. 把“测量是否有意义”从量子阶段延后到经典阶段判断;
  2. 通过基的公开比较,把原先不确定的观测结果筛成一段具有共享相关性的随机串。

5.4 检测阶段:抽样公开,估计误码率

Alice 和 Bob 再从筛后密钥里随机抽取一部分位置,公开其比特值进行比对,用来估计 QBER(Quantum Bit Error Rate,量子比特误码率)。

  • 如果误码率太高,说明存在显著窃听或系统失真,本轮协议作废;
  • 如果误码率低于可接受阈值,说明仍有机会通过后续经典处理提炼出安全密钥。

这一步看上去像“牺牲一部分密钥换安全判断”,本质上其实是在做统计推断:
Alice 和 Bob 不需要知道 Eve 做了什么,只需要检测“系统总体是否还像未被偷看时那样”。量子密码的优雅就在这里——它不需要神探式追踪攻击手法,而是让攻击行为在统计上自行显影。

5.5 提炼阶段:纠错与隐私放大

通过抽样只能得到一个结论:当前信道里的错误水平是否可接受。但剩余未公开的筛后密钥中,Alice 和 Bob 之间仍可能存在少量不一致;与此同时,Eve 即便没被完全排除,也可能从噪声、器件缺陷、探测信息中掌握了部分知识。

因此还需要两步后处理:

纠错(Information Reconciliation)

Alice 和 Bob 在经典信道上交换辅助信息,纠正双方密钥中的差异。
这一步会泄露一些信息给 Eve,因此泄露量必须被精确记账。

隐私放大(Privacy Amplification)

双方再对纠错后的共享串应用公开选定的哈希压缩,把可能被 Eve 掌握的那部分相关性“压没”。
结果是:最终密钥更短,但可证明更安全。

Shor 与 Preskill 在 2000 年给出的著名证明,正是把 BB84 与纠缠净化和 CSS 码联系起来,从而说明:只要误码率处于允许范围内,Alice 和 Bob 就能从原始相关数据中提炼出安全密钥,而且这种安全性并不依赖于攻击者的算力受限。(arXiv)

六、为什么“截获—重发”会暴露:25% 误码率是怎么来的

最经典的解释,是让 Eve 采用最直观的攻击:intercept-resend(截获—重发)

Eve 对 Alice 发来的每个量子态都先截下来,再自己随机选一个基去测量,测完后按测得结果重新制备一个新态发给 Bob。表面上看,她似乎复制了经典监听的套路:先看,再转发。但因为量子态无法完美复制,这个过程一定会出问题。

我们来算一下在理想 BB84 中她会造成多大误码。

情形分解

  1. Alice 与 Bob 的基相同
    只有这些位置最终会进入筛后密钥,所以我们只关注这部分。

  2. Eve 猜对基
    概率是 (1/2)。
    她得到正确比特,并重发正确态。Bob 若用与 Alice 相同的基测量,不会额外引入错误。

  3. Eve 猜错基
    概率也是 (1/2)。
    她测量得到一个随机结果,并据此重发。此时 Bob 即便使用与 Alice 一样的正确基测量,也只有 (1/2) 的概率得到 Alice 原本的比特。

于是,在所有最终保留下来的位置中,Eve引入误码的平均概率为:

1 2 × 1 2 = 1 4 = 0.25 \frac{1}{2}\times\frac{1}{2}= \frac{1}{4}=0.25% 21×21=41=0.25

这个 25% 很关键。它说明量子窃听不是抽象的、模糊的“可能被发现”,而是有一个非常具体的统计足迹。Alice 和 Bob 不需要逐位锁定哪些比特被偷看,只要做随机抽样,就能高概率发现系统已偏离正常分布。

当然,现实中的 Eve 不会傻到只会做截获—重发。她可以进行更复杂的个体攻击、相干攻击、设备相关攻击,甚至利用光源和探测器的物理缺陷绕过理想模型。但 BB84 最早打动整个学界的,恰恰就是这个简单模型已经足以说明一件事:
在量子世界里,“偷看而不留痕”不再是默认能力,而变成了必须被物理学禁止的高难操作。

七、从“直觉安全”到“可证明安全”:Shor–Preskill 证明为什么是里程碑

任何伟大的协议,最终都要从“听起来合理”走向“形式上站得住”。
BB84 也一样。

早期人们已经能直觉理解它为什么有安全性:非正交态、测量扰动、抽样检测,这些都很漂亮。但要真正把它变成现代密码学意义上的协议,还需要回答更难的问题:

  • 如果 Eve 不按位单独攻击,而是做联合攻击怎么办?
  • 如果她有无限算力怎么办?
  • 如果她把整个量子态集合保存起来,等 Alice 和 Bob 公开基后再统一处理怎么办?
  • 只看平均误码率,真的足以保证最终密钥安全吗?

2000 年,Peter Shor 和 John Preskill 给出了后来最广为流传的 BB84 简洁安全证明。他们证明的关键策略,不是直接在“准备—测量”版本的 BB84 上死磕,而是先构造一个与之等价的基于纠缠净化的协议,再证明后者安全,最后把安全性映射回原始 BB84。(arXiv)

这一步极其聪明。它告诉我们一个深刻事实:

BB84 看起来像在“发送随机光子”,但从更高一层看,它其实等价于在尝试建立和净化共享纠缠。

这意味着,量子密钥分发与量子纠错、纠缠净化、CSS 码等量子信息理论核心主题天然相连。QKD 不再只是“一个巧妙的密码学协议”,而是量子信息科学中多个基本结构的交汇点。

Shor–Preskill 证明的哲学意义甚至比技术细节更重要。它让人们真正看清楚:
BB84 的安全,不是“窃听会有点影响,所以大概安全”;而是可以被归约到一整套严格的量子信息理论框架中。

也正因为有了这些工作,量子密钥分发才逐渐摆脱“科幻协议”的印象,进入可验证、可工程化、可标准化的阶段。

八、量子密码为什么叫“信息论安全”,它和传统密码到底差在哪

量子密码最常被引用的一句话是:
它的安全性来自物理定律,而非计算困难性。

这句话很常见,但也最容易被说得空洞。我们把它说透一点。

8.1 传统公钥密码的安全逻辑

以 RSA 为例,它的安全性并不是数学上“绝对不可能被破解”,而是我们目前没有已知的高效算法去分解足够大的整数。换句话说,RSA 的安全依赖于两层假设:

  1. 某个数学问题很难;
  2. 敌手缺乏足够强的计算能力与算法突破。

这个模型在经典互联网时代非常成功,但它从来都是条件性的安全,而不是绝对性的安全。

8.2 QKD 的安全逻辑

QKD 的目标不是“让 Eve 算不出来”,而是“即使 Eve 算得再快,只要她试图获取足够多的信息,就一定在量子态上留下可检测扰动”。这让安全性的重心从复杂性理论转向了统计物理可验证性。

ETSI 对 QKD 的表述很直接:QKD 提供的数字密钥共享方式,不依赖于计算复杂性,因此不会因为算法改进、算力提升或量子计算机的出现而自动失效。Shor–Preskill 的证明也明确体现了这种思路。(ETSI)

8.3 这并不意味着 QKD “万能”

说 QKD 具备信息论安全,不等于说“装上量子设备,一切网络安全问题都解决了”。它只是在一个非常具体的问题上给出了非常强的保证:
在协议假设满足时,双方可以建立一段可证明安全的共享密钥。

它不自动解决:

  • 终端是否被木马入侵;
  • 身份认证是否可靠;
  • 实现是否有边信道;
  • 设备是否符合安全模型;
  • 业务系统是否正确使用了生成出的密钥。

所以,量子密码的革命性是真实的,但它的边界也必须说清楚。真正成熟的理解不是“它无敌”,而是“它在自己的问题域里强得惊人”。

九、量子通信不等于“量子加密电话”:QKD只是第一层

在中文语境里,“量子通信”常常被宣传成某种笼统的超安全通信技术,仿佛任何通过量子设备传输的东西都带有神秘增益。严格地说,这种说法并不准确。

量子通信研究的对象,不只是密钥,也不只是加密。
它更根本地研究:如何利用量子态、量子信道和纠缠,在分离节点之间传输量子信息或建立量子相关性。QKD 只是其中最成熟、最早产业化的一层,而不是全部。Kimble 在《Nature》上的经典综述《The quantum internet》中把这个目标概括得很清楚:量子网络需要在节点与信道之间实现量子相干性和纠缠的生成、分发、转换与利用。(Nature)

如果做一个分层理解,大致可以分成三层。

第一层:量子密钥分发(QKD)

目标是建立共享经典密钥。
输出是经典比特串,但建立过程依赖量子态传输。

第二层:量子态传输

目标不再只是共享随机密钥,而是把一个未知量子态从一个节点可靠地“转移”到另一个节点。这里的代表协议就是量子隐形传态。

第三层:量子网络 / 量子互联网

目标是把多个量子节点互联,让纠缠能在网络范围内分发和复用,从而支持分布式量子计算、远程量子传感、网络化量子安全协议等更高层功能。

也就是说,QKD 对量子通信的地位,有点像电子邮件对互联网的地位:它很重要,是早期最实用的应用之一,但绝不是互联网本身。

十、量子隐形传态:它传送的不是“东西”,而是量子态的结构

在这里插入图片描述

1993 年,Bennett、Brassard 与合作者提出了量子隐形传态(Quantum Teleportation)协议。这个结果后来几乎成为量子信息科学最具公众传播力的概念之一,但同时也是被误解最严重的概念之一。(APS Link)

10.1 协议到底做了什么

所谓隐形传态,并不是把一个粒子实体从 A 地“瞬移”到 B 地,而是把一个未知量子态从 Alice 处转移到 Bob 处。它需要三个资源:

  1. Alice 和 Bob 预先共享一对纠缠粒子;
  2. Alice 手上有待传送的未知量子态;
  3. Alice 把自己测量得到的两个经典比特通过普通经典信道发给 Bob。

Bob 收到这两个经典比特后,对自己持有的纠缠粒子做相应校正操作,就能在本地重建原始量子态。

这里最精彩的一点是:原态在 Alice 侧会被测量所销毁,Bob 侧得到的是唯一的重建副本。这和不可克隆定理完全一致。

10.2 为什么它不是超光速通信

很多科普会说“纠缠让信息瞬间到达远方”,这非常容易误导。
隐形传态严格不能超光速,原因很简单:
Bob 只有在收到 Alice 发来的那两个经典比特后,才知道该做什么校正操作。没有这两个比特,他手上的粒子处于一个对他来说无意义的混合状态,无法恢复原始量子态。
因此,纠缠提供的是非经典相关性资源,经典信道提供的是可操作的控制信息,两者缺一不可。(APS Link)

10.3 为什么隐形传态对量子互联网很重要

因为一旦你接受“量子态不能像经典包一样随意复制和转发”,那么网络设计就必须换脑子。
经典互联网靠“复制、缓存、转发、重传”维持鲁棒性;
量子网络不能简单照搬这套机制。
隐形传态提供了一种绕开直接物理搬运的方式:通过预共享纠缠与局域操作,把量子态在网络中迁移。它几乎是未来量子网络路由与远程量子计算协作的基础语言之一。

十一、为什么量子网络不能像经典网络那样“加个中继器就行”

如果只在一段光纤里传单光子,距离一长就会遇到损耗。经典通信遇到损耗时,可以加中继站做放大、再生、纠错。但量子通信不能直接照抄,因为经典中继默认你能读出信号、复制、放大、再发;而量子态恰恰不允许这种通用操作。

这就是为什么 量子中继器(quantum repeater)会成为量子互联网路线图的关键概念。

1998 年,Briegel、Dür、Cirac 和 Zoller 提出了量子中继器框架。他们指出,在噪声信道中,误差概率会随距离指数恶化;要克服这一点,不能靠经典式放大,而要靠分段建立纠缠、纠缠净化、纠缠交换来逐步把远距离节点连接起来。(APS Link)

11.1 量子中继器的三个核心动作

分段纠缠分发

先在相邻短链路之间建立较高质量的纠缠,而不是试图一口气跨越超长距离。

纠缠净化

短链路中的纠缠对并不完美,需要通过局域操作和经典通信,从多对低保真纠缠中提炼出更高保真的少数纠缠对。

纠缠交换

当A–B和B–C两段都已建立纠缠后,可在B点做联合测量,把两段纠缠“接起来”,从而在 A 和 C 之间产生远程纠缠。

这一整套思想的本质是:
经典网络靠信号再生维持长距离;
量子网络靠相关性拼接维持长距离。

11.2 Kimble所说的“量子互联网”到底是什么

Kimble的《The quantum internet》之所以经典,是因为它把目标说得非常工程化:
量子网络不是抽象地“让量子设备联网”,而是要构建由量子节点量子信道组成的系统,使其能够产生、存储、分发并消费量子纠缠,从而支持通信、计算与计量三大类应用。(Nature)

这意味着未来的“量子互联网”并不只是“更安全的互联网”这么简单。它可能是:

  • 多个量子处理器之间的分布式计算骨干;
  • 超高精度时钟/传感器网络的同步基础;
  • 基于纠缠资源的安全协议平台;
  • 支持远程量子态访问与测量的实验基础设施。

所以,从 BB84协议走到量子互联网,并不是一条“从密码走向更大密码”的路,而是一条“从安全协议走向全新网络架构”的路。

十二、QKD的现实世界:理论安全不等于工程自动安全

说到这里,最容易被夸大的地方也出现了。
QKD的理论地位非常高,但理论可证明安全绝不等于现实设备天然安全

这是量子密码学进入工程阶段后必须面对的成人礼。

12.1 理想模型和真实设备之间有缝

理论上的 BB84 往往假设:

  • 理想单光子源;
  • 理想探测器;
  • 精确受控的编码与测量;
  • 无额外边信道泄露;
  • 经典信道已认证。

现实系统里,这些条件都可能被破坏。比如实际光源常常不是完美单光子源,探测器有死时间、暗计数、效率不匹配,器件还会受到外部光照与时序操控影响。

12.2 探测器致盲等攻击提醒了整个领域

过去十多年里,关于 QKD 实现漏洞的研究反复说明:攻击者不一定非要“挑战量子力学”,她也可以从实现层入手。例如针对单光子探测器的操控与致盲类攻击,就表明某些商业或实验系统可能因为器件工作区间和控制逻辑问题而暴露额外风险。近年的研究仍持续把“探测器操纵”列为量子通信实现中的主要担忧之一,同时也发展出更强的监测、自检和协议级缓解方法。(美国物理联合会出版物)

这件事的启示非常大:
QKD的对手模型不能只写在论文里,也必须写进器件和系统工程里。

12.3 为什么会出现 MDI-QKD、DI-QKD

正因为设备实现太重要,学界发展出一系列更强模型。

  • MDI-QKD(Measurement-Device-Independent QKD)
    通过重新设计协议,把最危险的测量端从“必须信任”变成“可以不信任”,从而规避大量探测器侧攻击面。

  • DI-QKD(Device-Independent QKD)
    更进一步,试图仅通过观测到的 Bell 非定域关联来保证安全,而不依赖设备内部实现细节的精确可信建模。
    这一路线在理论上极具吸引力,但实验要求也更高。2023 年的综述明确指出,DI-QKD 已有原理性进展,但距离高性能、实用化仍面临噪声容忍、速率和工程集成等挑战。(Quantum)

这说明量子密码学并不是一个“1984 年就结束”的故事。恰恰相反,它的学术生命力很大一部分来自于:
每当你把某个理想假设拿掉,就会生长出一个新的研究分支。

十三、还差最后一块拼图:QKD 解决了密钥分发,但没替你完成认证

这是讨论QKD时最容易被忽略、也最必须强调的一点。

BB84和多数QKD协议都默认存在一条公开但已认证的经典信道
“公开”意味着 Eve 能听见;
“已认证”意味着 Eve 不能冒充 Alice 或 Bob 篡改消息身份。

为什么认证如此关键?因为如果经典信道不认证,Eve 完全可以做中间人攻击

  • 对 Alice 假装自己是 Bob;
  • 对 Bob 假装自己是 Alice;
  • 分别与两边独立运行 QKD;
  • 最后两边各自都以为建立了安全密钥,实际上密钥都经过了 Eve。

换句话说,QKD 解决的是密钥建立的保密性问题,但不自动解决通信对象身份真实性问题。认证仍然是整个系统的前置条件。

这也是为什么现实系统常常采用两种方式之一:

  1. 用少量预共享认证密钥启动 QKD,然后再用新生成的 QKD 密钥去更新认证材料;
  2. 使用传统公钥或后量子签名方案来做身份认证,再用 QKD 做高强度密钥协商。

所以,真正成熟的系统观应该是:
QKD 是安全架构中的一层,不是整个安全架构本身。

十四、QKD 和后量子密码学(PQC)到底是什么关系:不是对手,更像两条路线

近几年,一个常见问题是:既然量子计算机会威胁 RSA/ECC,那未来到底应该押注 QKD 还是 PQC(后量子密码学)

最容易犯的错误,就是把它们看成二选一。其实它们更像两条不同哲学的路线。

14.1 PQC 的路线:尽量不改变互联网的物理基础

PQC 的核心思路是:
既然传统公钥算法可能被量子计算攻击,那就换一批目前看来能抗量子攻击的数学难题,例如格、哈希、编码、多变量结构等。

它最大的优势是:
可以在现有经典网络与软件栈上部署。
不需要给每条链路铺量子信道,不需要单光子器件,不需要量子探测模块。迁移成本主要体现在协议、软件、硬件加速和标准兼容性上。

NIST 在 2024 年发布了首批 3 个最终版 PQC 标准,并明确建议组织应开始迁移至这些量子抗性方案。NIST 后续页面也持续强调:现在就该开始实施迁移,而不是等“量子计算机真的来了”再动手。(nist.gov)

14.2 QKD 的路线:改变物理层,把安全根基下沉到量子定律

QKD 的优势是安全根源更“硬”:
在协议假设成立时,它追求的是信息论安全,而不是依赖某一数学问题暂时难解。

但它的代价也很明显:

  • 需要专用硬件;
  • 需要量子信道;
  • 网络部署复杂;
  • 成本高;
  • 工程维护要求高;
  • 在大规模泛互联网环境中不如软件算法灵活。

14.3 未来大概率不是“谁淘汰谁”,而是分层混合

从现实判断看,未来很多年更可能形成的是:

  • PQC 大范围铺底:覆盖浏览器、TLS、VPN、邮件、云、身份系统、软件签名等大多数通用基础设施;
  • QKD 定点补强:用于高价值、超长期保密、链路可控、预算充足的场景,如政府、国防、关键金融干线、核心数据中心互联等。

这不是谁更“高级”的问题,而是谁更适合哪个层次的威胁模型与成本结构。
QKD 不会把整个互联网一夜改写;
PQC 也不会把“物理层可验证安全”这个方向变得不重要。
更合理的判断是:PQC 解决普适迁移,QKD 提供高价值补强。

十五、量子互联网到底会改变什么:它不只是更安全,而是可能改变“网络资源”的定义

如果我们把眼光从“加密”往上移一级,会发现量子互联网真正革命性的地方,可能甚至不在安全,而在网络资源的定义发生了改变

经典网络中的资源是:

  • 带宽;
  • 时延;
  • 丢包率;
  • 存储;
  • 计算;
  • 路由可达性。

量子网络中的资源则会额外出现:

  • 可分发纠缠的保真度;
  • 纠缠建立速率;
  • 量子存储时间;
  • 量子转接成功率;
  • 节点间量子态映射效率;
  • 经典控制面与量子数据面的协同时延。

这意味着未来量子网络的协议栈,不会只是“给 IP 套一层量子壳”。它可能需要全新的抽象层:

  • 如何调度纠缠资源;
  • 如何定义量子链路质量;
  • 如何在有退相干限制的前提下做路径选择;
  • 如何在经典控制消息与量子操作间维持时序一致性;
  • 如何在分布式量子计算中把网络错误与本地门错误一起建模。

Kimble 之所以强调“quantum nodes and channels”,就是因为量子互联网本质上不是一个单纯的通信系统,而是一个通信—计算—计量融合系统。(Nature)

从这个角度看,BB84 的历史地位就更清楚了:它虽然只解决了“分发密钥”这个相对狭窄的问题,但它第一次让人们意识到,量子态和纠缠可以被视为一种可工程化、可调度、可消费的通信资源。
一旦这个观念成立,量子网络的未来就已经在逻辑上被打开了。

十六、几个最常见的误解,顺手一次性澄清掉

误解一:量子通信就是“绝对安全”

不对。
更准确的说法是:在协议假设成立、器件实现受控、认证机制完备时,QKD 可以提供非常强、甚至信息论层面的密钥建立安全。
但系统安全依然受实现、认证、终端和运维影响。(美国物理联合会出版物)

误解二:量子隐形传态是超光速

不对。
纠缠不是可单独利用的超光速信道;隐形传态必须依赖经典通信完成重构,因此不违反相对论。(APS Link)

误解三:量子互联网就是“把今天的互联网换成量子版”

也不对。
它更可能是一个叠加在现有网络之上的新层次基础设施,专门为纠缠分发、量子态转移和分布式量子任务服务,而不是简单复刻 HTTP、TCP、IP 的经典架构。(Nature)

误解四:既然后量子密码能软件升级,QKD就没价值了

也不对。
PQC与QKD解决的是不同假设下的安全问题。PQC更适合大规模迁移;QKD更适合少量高价值链路上的极强安全需求。(nist.gov)

十七、如果把整件事压缩成一句话:BB84 到底伟大在哪

如果必须只保留一句最“漫画式”的理解,那我会这样说:

在经典世界里,秘密像一封可以被悄悄复印的信;
在量子世界里,秘密更像一个会记录拆封痕迹的信封。
BB84 的伟大,在于它第一次把“拆封必留痕”写成了一套通信协议。

这句话看似是比喻,其实已经概括了整个量子密码学的核心转向:

  • 安全不再只靠难题;
  • 对手不再默认可以无痕复制;
  • 物理规律第一次直接参与协议正确性与安全性证明;
  • “信息是什么”这个问题,开始不能脱离“信息由什么物理系统承载”来讨论。

这也是为什么 Bennett 和 Brassard 的图灵奖意义如此深。ACM 奖励的并不仅仅是一篇 1984 年的协议论文,而是在奖励一种全新的知识结构:
把量子力学中的限制,转化为信息处理中的能力。 (awards.acm.org)

结语:从 BB84到量子互联网,安全第一次真正变成“物理问题”

回看这段历史,会发现它非常像科学史中最经典的那种范式转移。

最开始,人们觉得量子力学给信息处理带来的主要是麻烦:
不确定、易扰动、不能复制、纠缠诡异。

后来,Wiesner 先看见:这些“麻烦”也许可以拿来编码。
再后来,Bennett 与 Brassard 更进一步看见:这些“麻烦”不只是编码问题,更是安全机制
再往后,量子隐形传态告诉我们:量子态本身可以作为网络中的可转移对象;
量子中继器和量子互联网告诉我们:纠缠甚至可以成为一种网络资源。

于是,一个更大的图景就出现了:

  • 在经典计算机科学里,安全主要是数学问题;
  • 在量子信息科学里,安全同时也是物理问题;
  • 在未来的量子网络里,通信、计算、计量与安全可能不再分属不同学科,而会在同一套基础资源上重新汇合。

所以,BB84的真正历史地位,并不只是“最早的量子密钥分发协议”。
它更像是这样一个时刻:
人类第一次认真意识到,信息并不是漂浮在物理世界之外的抽象符号;信息的可能性边界,直接写在自然定律里。

这也是量子信息科学最迷人的地方。
它不是用量子给经典世界做一层装饰,而是在提醒我们:
当你重新理解“信息是什么”,你就会重新理解“计算是什么”“安全是什么”“网络又是什么”。🌌

参考资料

  1. ACM, 2025 A.M. Turing Award / press release on Charles H. Bennett and Gilles Brassard. (计算机协会)
  2. IBM Research, Quantum cryptography: Public key distribution and coin tossing. (IBM Research)
  3. Shor, P. W., & Preskill, J. (2000), Simple Proof of Security of the BB84 Quantum Key Distribution Protocol. (arXiv)
  4. Wiesner, S., Conjugate Coding;及相关历史回顾。 (MPIWG)
  5. Wootters, W. K., & Zurek, W. H. (1982), A single quantum cannot be cloned. (Nature)
  6. Bennett et al. (1993), Teleporting an unknown quantum state via dual classical and Einstein-Podolsky-Rosen channels. (APS Link)
  7. Kimble, H. J. (2008), The quantum internet. (Nature)
  8. Briegel, H.-J., Dür, W., Cirac, J. I., & Zoller, P. (1998), Quantum Repeaters. (APS Link)
  9. ETSI, Quantum Key Distribution group / standardization overview. (ETSI)
  10. NIST, Post-Quantum Cryptography standards and migration guidance. (nist.gov)