量子密码学（Quantum 密码学）是将量子理论用于密码学领域的一门学科。它是以量子保密通信为核心内容，包括量子密钥分配、量子安全直接通信和量子密钥共享等，此外还包括量子掷币、量子比特承诺、量子身份认证等。

1969年，来自美国哥伦比亚大学的斯蒂芬·威斯纳（S.Wiesner）最先提出了共轭编码的概念，形成了量子密钥分法的基础。1979年~1982年，查尔斯·本尼特（C.H.Bennett）与吉勒·布拉萨德（Gilles Brassard）开始研究利用量子比特的储存来实现量子密码并提出公钥算法，1984年，他们提出了BB84协议。1991年，阿图尔·艾克特（ArturEckert）提出了E91协议。1995年安德鲁·姚（A.C.C.Yao）在假设安全比特承诺方案存在的条件下证明了BCJL方案的无条件安全性。

量子密码学的优势在于它可以长时间加密；能产生真正随机的密钥，保证密钥的安全传输等，这些是经典密码学是不可能完成的。量子密码术最常见的例子是量子密钥分发，其安全性建立在物理原理上，如量子不可克隆定理以及非正交量子态不可识别原理。窃听者如果想获取密钥的相关信息，需要对量子态进行识别，从而导致误码的产生。量子密钥分发在各方面得到广泛应用，如电力系统、量子科学实验卫星等。

将量子理论用于密码学领域，称为“量子密码学”。量子密码起初的主要目标是为了解决经典Vernam算法中的密钥管理问题，因此，量子密码的研究主要集中在量子密钥的分配方面。量子密码在其他方面，如量子数据加密、量子认证、量子安全多方协议、量子保密通信等方面也得到了迅速的发展，形成了系统的理论体系。作为一个密码学分支，量子密码的目标与密码学一样，都是为了保护信息，为信息安全提供保密性、认证性和完整性方面的方法与技术以及基本理论。

密码学是数据安全链中最重要的。 但是，人们不能保证加密密钥永远安全。使用经典密码学，无法保证加密超过30年。但某些信息可能会需要更长时间的保护。量子密码学有潜力比经典密码学更长时间地加密数据。例如，医疗保健行业大部分是使用电子病历系统存储和传输患者数据。而医疗记录需要保持100年或更长时间，量子密钥分发可以做到长时间保持医疗信息的安全。此外，量子密码学对政府和军队以及试图保护长期战略商业秘密的企业也有重要作用。而量子中继器也克服了量子信息在量子信道传输过程中的衰落，实现任意长距离的量子密钥分发。量子中继器将纠缠交换、纠缠纯化和量子存储器技术相结合，有效地拓展了量子信息的传输距离。

量子密码的最大优势在于能够产生真正随机的密钥，并且能够保证密钥的安全传输，从而实现真正意义上无条件安全的一次一密密码体制，这是在经典密码学中很难实现的。此外，经典密码是可以克隆的，所以不安全。而量子密码不可克隆，一旦克隆，它就被破坏掉了。

早在几千年前就有了密码学的雏形并在实践中得到应用和发展。但是，直到20世纪40年代密码学才具有系统的科学体系结构，因此，密码学是一门古老而年轻的科学。由于密码学在军事领域的特殊地位，古典密码的研究基本上是在一种封闭的状态下进行的，这种状况在某种程度上阻碍了密码学的进展。

随着电子技术的发展和计算机技术的成熟，密码学获得了飞速的发展。计算机的诞生对古典密码产生了很大冲击。同时，计算机的广泛应用和网络技术的发展使得密码学不再是军事领域的“自留地”。计算机科学的进步大大促进了密码学的变革。但是，计算机密码也存在一些问题，首先不能提供具有无条件安全的密码方案；其次，计算机密码的安全基础一计算复杂性也给计算机密码带来了一些缺陷。最后，量子计算机的迅速发展威胁计算机密码的安全性。安全性高而易于实现的密码系统是密码学的追逐目标之一，为了解决密码学中存在的问题，并促进密码学的发展，不同学科的学者和科学家积极探索实现信息保护的新机制和新方法。

1969年，来自美国哥伦比亚大学的斯蒂芬·威斯纳（S.Wiesner）最先提出了共轭编码的概念。 他在论文《共轭编码》中提出结合量子力学，可以完成两项经典密码学无法完成之事。一是量子支票；二是两条经典信息合成一条量子信息发送，接收者可选择接收一条，但不能同时提取两条信息。这两项都包含了量子密码的思想。这些思想形成了量子密钥分法的基础，开创了量子密码的新时代。但是该论文当初并不被人们接受，一再被科学期刊退稿。直到十几年后的1983年，他的论文才发表在Sigact News上。

1979 年，威斯纳在与他的朋友一IBM公司的研究人员查尔斯·本尼特（C.H.Bennett）的一次偶然的谈话中提及他十年前的思想，引起本尼特的注意。1979年在波多黎各举行的第20次IEEE计算机科学基础会议上，本尼特与蒙特利尔大学的密码学研究人员吉勒·布拉萨德（Gilles Brassard）讨论了威斯纳的思想，并发表了类似于威斯纳思想的一篇论文。最初本尼特和布拉萨德没能正确理解威斯纳的思想，在1982年的美洲密码学会议上发表的论文中，他们利用量子比特的储存来实现量子密码并提出公钥算法，而量子比特的储存在当时的技术上仍然是不可能实现的，因此没有引起人们的共识。不久，他们意识到在量子密码中量子比特的传输比量子比特的储存更重要。基于这个出发点，1984年，本尼特和布拉萨德提出了BB84协议。这是国际上首个量子密钥分发协议。该协议可有效提升通信系统的安全性，增加了安全通信的距离，减少了安全误码。

1991年，阿图尔·艾克特（Artur Eckert）提出了E91协议。该协议以EPR纠缠为基础，因此也称为EPR协议。协议是通过贝尔不等式对信道进行安全检测。1992年，本尼特又提出一种与BB84协议类似而更简单、但效率减半的方案，后来称之为B92协议。

布拉萨德和克雷普（Crépeau）首次研究了量子比特承诺问题，1993年布拉萨德等人做了进一步的研究，提出了一个两方量子比特承诺方案（BCJL方案），1995年安德鲁·姚（A.C.C.Yao）在假设安全比特承诺方案存在的条件下证明了BCJL方案的无条件安全性。从2000年开始，量子密码开始引起商家的重视，国际上相继成立了一些量子信息处理方面的公司，具有代表性的有美国的MagiQ公司、瑞士的id Quantique公司等。

研究表明，量子密码具有两个基本特征：无条件安全性和对窃听的可检测性。密码系统的无条件安全是指在攻击者具有无限计算资源的条件下仍不可能破译该密码系统。无条件安全又称为信息安全，其基础是信息理论，自然地，量子密码的信息安全基础是量子信息理论。对窃听者或其他各种扰动的可检测性是指通信中的两个用户之间的信道受到干扰时，通信者根据不确定性原理可以同步检测出这种干扰的存在与否。对扰动和窃听者行为的可检测性没有经典对应，是一种独特的量子效应，这种特性是保证量子密码具有无条件安全性的重要基础之一。这些特征依赖于量子系统的内禀属性：测不准性和不可克隆性。对扰动可检测性的物理基础是海森堡测不准原理；而无条件安全性的物理基础是量子不可克隆定理。前者保证了任何攻击行为都可能被检测出来，后者保证了量子密码系统的安全特性。

量子密码中的量子密钥分配（QKD）对应经典密码学中的密钥协商，其基本思想是首先将候选的经典密钥用非正交最子态（如光子不同的偏振态）进行编码，再将编码后的量子态通过量子信道（如光纤、自由空间）传送给接收者。接收者测量接收到的量子态，记录测量结果。随后，通信双方通过公开经典信道公布制备量子态的基矢，并对部分测量结果进行对比，若发现误码率高于某个阈值，则放弃所有的结果；若误码率小于设定的阈值，则把剩余的结果进行后处理，获得安全的密钥（密码本）。接下来，通信双方使用该密码本，进行保密通信。

量子密钥有多种分配方案，主要有三类：

在某些场合，为了让多人承担保护秘密消息的风险，或者加强对某个秘密信息的保密强度，需要多个参与者共同参与保护秘密信息。例如，导弹的控制与发射、重要场所的通行、遗嘱的生效等都必须由两人或多人同时参与才能生效，也就是需要将秘密分给多人共同管理。这种情况可通过将秘密信息拆分成若干个部分并由若干个参与者共同管理的方式实现，这种保护信息的方式称为秘密共享。秘密共享的本质在于将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。以量子物理为基础的秘密共享体制称为量子秘密共享体制，量子秘密共享体制以量子物理为基础实现，借助量子物理规律保证安全性。量子秘密共享体制主要有离散变量和连续变量两种实现方式。

量子密钥存储影响到量子密码的安全性，因此，量子密钥存储对量子密码也是很重要的。研究表明，量子密钥存储可以采用两种方式：一种是将量子比特编码成经典比特，然后按照经典密钥的存储方式保存密钥；还有一种是直接保存量子比特串，这种方法需要使用量子内存或量子寄存器。量子存储不仅在量子密码中很重要，而且也是实现量子计算机的重要基础。

量子密码安全协议是量子密码学的重要组成部分，其主要包括量子比特承诺、量子掷币协议、量子不经意传输、量子指纹、量子数据隐藏等。

掷币协议包括至少两个互不信任的用户，通信用户希望通过一个信息论信道（如电话、计算机网络）产生随机比特。给定一个安全的比特承诺协议，按照如下的方式很容易实现安全掷币协议。

1）Alice 向Bob承诺一个随机比特。

2）Bob 试图对此随机比特进行猜测。

3） Alice 向Bob公开她承诺的比特值。

4）若Bob的猜测正确，输出0，否则输出1。

为了做到公平，Alice必须在Bob猜测前将她掷币的结果送给Bob，且在得到Bob的猜测后不能重新掷币。而Bob必须在做猜测前不能得知Alice掷币的结果。经典密码中，根据上面的方式设计了很多公平掷币协议。通常若出现0和1的概率精确地等于1/2，这类协议称为理想掷币协议。若采用量子方式解决掷币问题，这种协议称为量子掷币协议。

比特（刨刀）是克劳德·香农信息理论中最基本的概念之一。比特最初是作为信息量的度量单位而引入的，由于二进制信息系统中表示信号两个状态的符号0和1在等概率出现时每一个符号均能提供1比特的信息量，于是比特的内涵被延伸：用于描述系统的可能状态。参照Shannon信息论中比特的概念，量子信息学中类比地提出了量子比特的概念。从物理上来说，量子比特就是量子态，因此，量子比特具有量子态的所有属性。

比特承诺是加密安全的前提。在比特承诺协议中，输入一个比特b，随后Bob请求获取这个比特值。无论何时请求，Bob都能得到这个比特值，但是，如果他不请求，他将获取不到任何与这个比特有关的信息。在经典加密技术中，比特承诺通过如下的方式实现：Alice将一个比特b写下放入一个严密的盒子中保存，她保管这个盒子的钥匙并把盒子给Bob看管。当Bob需要这个比特b的值时，Alice将钥匙给Bob。最重要的一点是Alice一旦确定b的值后，不能随意改变b的比特值，同时如果Bob没有钥匙也得不到任何有关b的信息。随着BB44等量子密钥分配协议的出现，利用量子态的物理特性实现比特承诺的方案也相继产生。与经典比特承诺不同，量子比特承诺不再需要第三方或者利用计算复杂度来保证比特承诺的约束力和隐蔽性。

如果Alice在承诺过程中选择b的概率分布而不是它的比特值，这样经典比特承诺将推广到量子比特承诺。如果世界上最孤独的鲸鱼不能改变这样的概率分布，那么在承诺后所得到的承诺是具有束缚性的；如果Bob没有Alice的帮助，获取不得任何有关b的信息，则这样的承诺是保密的。如果一个承诺既具有束缚性又具有隐蔽性，则是安全的。如果这个承诺对于不管是Alice还是Bob进行任何技术、无限计算能力进行欺骗它都是安全的，这样的承诺将具有绝对的安全性。

Brassard 和 Crépeau首次研究了量子比特承诺问题，后来Brassard等人做了进一步的研究提出了一个两方量子比特承诺方案（BCJL方案）。但随后Mayers发现了BCJL协议中存在一个小漏洞。Lo和CHAU也证明了这类量子比特承诺的不安全性，并推理出他们的证明方法与Mayers论证方法间的等同性。为了避免这类量子比特承诺的不安全性，提出了相对量子比特承诺协议，并简单地证明了它的安全性。与此同时，Yuen发表了一系列的文章，表明无条件安全的量 子比特承诺是可能的，提出利用匿名量子态和不可克隆原理实现绝对安全的量子比特承诺协议，并对它们的安全性进行全面的证明。Molokov等人进一步对相对量子比特承诺协议进行了修改，提出在一个噪声信道中进行量子比特承诺协议，并证实进行安全比特承诺的概率可任意地接近1。

在经典加密过程中，当通信的某一方想进入通信网络，首先必须输人自己的口令或其他字符来验证自己的身份，只有当输入的口令是完全正确的，才能进入通信网络，这个过程就称为身份认证。对于通信双方来说，为了验证彼此的身份，在通信之前首先要进行身份认证。

随着量子加密技术的出现以及它在通信中的应用，相应地出现了量子身份认证技术。量子认证就是利用量子的物理特性进行身份认证的过程。和经典身份认证不同，它的有效性不再利用单向函数的计算复杂性来保证。它的前提条件是在身份认证之前，通信双方首先要具有共同的比特串，通信双方可以通过这共享比特串和量子密钥分配过程实现类似于经典身份认证过程的量子身份认证。通过催化作用实现身份认证过程也是量子身份认证的一种途径。首先，通信的双方需拥有预先的催化剂（一种特殊的纠缠对）。证实者向检证者发送纠缠量子对一部分，然后他们可以将这部分纠缠量子态通过局部的量子运算和经典通信（LOCC）转化为一些特殊的状态（即催化态），当检证者把这些催化态发回时，证实者可以通过测量这些状态进行检证者的身份认证。

测量互补性是量子力学的一个基本原理，对非对易观测量同时测量结果的精确度给出了根本限制。在量子力学的发展过程中，人们注意到测量互补性与量子纠缠这一非定域量子态之间存在着紧密关系。特别地，量子纠缠的存在可以通过贝尔不等式违背——一种超越经典力学的非定域关联统计予以验证，且这一结论仅基于量子力学的正确性，不需要实验者对量子设备进行任何先验刻画或假设，因而也被称作是“设备无关”的。

单光子源是指同一时刻有且只有一个光子产生的光源。然而，还没有完美的单光子源，常见的量子通信实验均是通过激光衰减到单光子量级来实现的。

传统光通信每发送一比特信息需要传输一个光脉冲，这个脉冲中可能含有成千上万个光子，原则上从其中分出一路信号是完全可能的，而且可以做到不对光脉冲产生严重的影响，因而是可窃听的。在量子密钥分发中，总是用“一个”光子携带一个比特的信息，根据量子的不可分割性，这一个比特的信息也是不可分的，即不可能用分流信号的办法窃听。光子的多个物理量可以用来携带这一个比特的信息，例如偏振态和相位。

单光子探测器（SPD）是一种超低噪声器件，增强的灵敏度使其能够探测到光的最小能量量子光子。单光子探测器可以对单个光子进行探测和计数。单光子探测是一种极微弱光的探测，用于单光子探测的雪崩光电二极管称为单光子探测器，量子探测效率与器件设计结构和抗反射膜的设计优劣有关，在一定温度下，偏压越大，结区场强越强，触发雪崩的几率就越大。但同时噪声也随着偏压的升高而增大，暗计数也相应增大，所以偏压的取值是需要折中的，影响量子探测效率主要有以下四个因素：①光纤同APD有源区的耦合；②光子在InGaAs层吸收的几率；③光生载流子在倍增区触发一次雪崩的几率；④一定温度下的偏置电压。

量子物理学是关于微观粒子基本性质及其运动规律的理论。其基本观点是：粒子和波之间没有根本区别。粒子能够展示波的特征，而波也可以表现出像粒子一样的行为，这依赖于如何测量；某些现象和可测量值在本质上被量子化。它们只存在于一个个的台阶上（量子），而不像在经典物理学中那样是连续变化的。量子密码学是研究如何将量子物理学原理与密码学结合起来创造密码系统的学问。

随着量子技术研究的深入，密码学主要沿两个方向发展：第一个方向是量子密码学方向，研究利用量子特性设计加密功能；另一个方向是后量子公钥密码学。由于量子算法还不具有通用性，往往只对特定的数学问题相对传统密码算法有指数加速作用，而并不是对所有数学问题都有这种作用。因此人们期望设计出可对抗量子计算攻击的新型公钥算法，这些研究称为后量子密码学。

后量子密码学是专门研究能够抵抗量子计算机的加密算法，与量子密码学（如量子密码分配）不同的是，后量子密码学使用“经典”的密码系统，而不是量子系统，它的安全性来自无法在有限时间内被量子计算机有效解决的计算难题。

量子密钥分发在密码学研究中的理论安全性已经得到了诸多安全评估框架较为充分的证明，包括通用可组合安全性框架、抽象密码体系框架和认证密钥交换框架等。量子密钥分发软硬件产品已经通过了国家密码局的密码产品认证，部分相关量子安全产品研发公司甚至得到了量子密码产品市场营销资质。

相关研究将量子密钥分发（QKD）运用于电力系统，以解决传输链路安全的问题、保障信息传递的保密性。包括电力纵向加密认证装置、密钥生成控制服务器、经交换机、QKD系统，密钥生成控制服务器通过经典交抉机连接到QKD系统，每台电力纵向加密认证装置部署一台与之连接的QKD系统，QKD系统之间通过量子信道完成量子密钥分发，电力纵向加密认证装置之间通过经典信道通信，电力纵向加密认证装置中包括依序连接的量子密钥传输单元、量子密钥处理单元、电力通信数据加解密单元。在多用户应用场景下，所有的QKD系统均通过全通型光子交换机实现互连。此方法的优点在于：将量子通信技术应用于传统电力通信网络，大幅提高电力通信网络数据传输的安全性。

关于卫星的量子密钥分发：2017年，墨子号量子卫星发射成功，开启了地空量子通信实验的研究。“量子科学实验卫星”是一颗量子科学实验卫星，它位于低轨道，而且目前只能在黑夜通信。为了增加覆盖时间和区域，需要发射更多高轨道的卫星，以及在白天实现量子密钥分发。最终目标是，实现一个基于卫星星座的全球量子网络。

2016年，美国建设了全美首个量子互联网，从华盛顿哥伦比亚特区到波士顿沿美国东海岸总长805km。这是美国首个州际、商用量子密钥分发网络。2020年，东京NEC等公司演示了一种系统，该系统使用量子密码技术来加密和安全传输虚拟电子病历，还演示了该系统与高知健康科学中心之间的伪数据交叉引用。中国也在量子保密通信技术的研究上取得了重大进展。2017年，墨子号量子卫星发射成功，开启了地空量子通信实验的研究。同年，接收到了在距离地面1200km的卫星发射出来的光子。2021年，在量子科学实验卫星发射完成四年之后，中国构建了一条跨度在2000km以上由北京到上海市的量子通信网络。同年，中国还通过墨子量子卫星实现了北京与维也纳之间的视频通话，这是世界上首次应用量子技术实现跨国视频通信。

随着云计算和大数据技术的不断发展，大数据中心的安全性变得尤为重要，基于此研究人员提出一种基于量子密码和Grover搜索的数据中心安全认证方案。首先，构建一个多层安全管理模型，在用户读取数据时，将数据进行分组加密。然后，基于量子密码构建一种用户和数据中心之间的安全认证协议，保证两者之间的通信安全。利用量子Grover搜索算法来寻找密钥处理过程的最优参数，以最小化整个密钥管理的计算复杂度。分析表明，提出的安全认证方案具有较低的计算复杂度和较高的安全性能。

在互联网时代，机密信息通过不安全的渠道传输。随着量子计算领域的重大发展，机密信息需要无条件的安全。量子通信的主要挑战是密钥速率、距离、成本和QKD设备的大小。如果所有设备都是完美的（就技术和适当的协议操作而言），量子密钥分发协议被证明是安全的。在第一台物理量子计算机开发之后，量子密码学将成为未来经典密码学技术的替代者。量子密码学要想最终在各个领域得到应用，减少设备体积以及与其他设备集成是必然的趋势，如果能将量子密码系统集成在一个微小的芯片上是最理想不过的。