高　明　汪學(xué)明

(貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院　貴州 貴陽 550025)

0　引　言

在網(wǎng)絡(luò)通信廣泛普及的今天，如何將密鑰合理生成并安全分配到通信雙方已經(jīng)成為網(wǎng)絡(luò)安全的一個重要保障環(huán)節(jié)。自1984年第一個量子密鑰分配協(xié)議BB84誕生以來[1-2]，基于量子物理原理的量子密鑰分配協(xié)議已經(jīng)被人們廣泛研究起來，甚至已經(jīng)憑借自身的優(yōu)勢在某些領(lǐng)域取代了經(jīng)典密碼體制而得到了應(yīng)用[3-5]。三大協(xié)議之后的量子密鑰分配協(xié)議最初是基于粒子的糾纏交換[6]來實現(xiàn)的，Vaidman等[7]于1996年率先提出了相應(yīng)的協(xié)議，但由于其效率較低，人們又將研究焦點轉(zhuǎn)為基于三重最大糾纏態(tài)GHZ態(tài)的量子密鑰分配協(xié)議[8]：利用不同的測量基(X基與Z基)產(chǎn)生不同的結(jié)果，再根據(jù)轉(zhuǎn)換關(guān)系在通信雙方生成一致的二進制數(shù)字串。雖然利用GHZ態(tài)的量子密鑰分配協(xié)議效率較高，但是由于GHZ態(tài)的粒子損失魯棒性較差[9]，在失去一個粒子的時候，剩余的兩個粒子將不會糾纏下去，因此它也是非常脆弱的。于是人們又利用另一種三粒子糾纏態(tài)W態(tài)[10]和CH-BELL不等式[11]來設(shè)計密鑰分配協(xié)議，把三粒子分給通信雙方和第三方，經(jīng)過相應(yīng)轉(zhuǎn)換得出密鑰。在先前的眾多協(xié)議中，有的基于W態(tài)的密鑰分配方案的效率較低，僅有25%[12]；另外，陶源等[13]提出的基于W態(tài)的方案需要第三方來協(xié)助完成方案，從而加大了方案的復(fù)雜及危險性；在曹博[14]等提出的任意兩用戶的量子密鑰分配協(xié)議中，制作的糾纏態(tài)GHZ態(tài)，在損失粒子之后相比W態(tài)而言不易保持較好的糾纏特性，且所需可信第三方CA做大量制備工作，難以保證協(xié)議速率；2013年劉林曜等[15]提出的通過Bell測量的密鑰分配協(xié)議，前提是必須通信雙方事先共同擁有一個密鑰，這些無疑限制了方案的普及應(yīng)用。以上這些方案都有待改進。

本文提出了一種基于四粒子W態(tài)的量子密鑰分配協(xié)議，借助量子W態(tài)在失去粒子后所擁有的較強魯棒性的特點完成信道的檢測和密鑰的生成。通過使用不同測量基對粒子進行測量，將用于信道檢測和生成密鑰的粒子區(qū)分開來，然后利用Bell測量，使通信雙方手中的EPR對里的粒子產(chǎn)生相應(yīng)的關(guān)系，再經(jīng)過與運算得到相應(yīng)的密鑰。另外，前后兩次的檢測信道，讓通信雙方能夠在Eve存在的情況下安全地進行密鑰的分配，且在Eve介入方案時能夠及時察覺并終止通話。此協(xié)議無需第三方的協(xié)助，也不必讓通信雙方事先擁有共同的密鑰，且除了用于信道檢測外的粒子外，其余粒子都參與了最后密鑰的生成，粒子的利用率較高。最后對協(xié)議進行了安全性分析。

1　基礎(chǔ)知識

1.1　量子密碼

Hilbert空間：每一個孤立的物理系統(tǒng)都有著相應(yīng)的狀態(tài)空間，并且它們是有著緊密聯(lián)系的，我們稱這個狀態(tài)空間為Hilbert空間。此外，整個物理系統(tǒng)均由相應(yīng)的狀態(tài)向量(即來描述系統(tǒng)狀態(tài)空間的單位向量)來描述。

Dirac符號：量子力學(xué)中稱量子的狀態(tài)為量子態(tài)，它是由Hilbert空間中的矢量來表示的，每個矢量的標準符號記為|φ>，φ表示該向量的符號，|>是Dirac符號，表示符號中的對象是一個向量。|>是右態(tài)矢，<|是左態(tài)矢。|φ> 與<φ|互為共軛。量子比特有兩個可能的狀態(tài)，分別為|0>和|1>，此外在疊加態(tài)中，量子態(tài)也可能處于|0>和|1>之間。

糾纏態(tài)：假設(shè)系統(tǒng)M和N構(gòu)成一個復(fù)合系統(tǒng)，但這個復(fù)合系統(tǒng)的狀態(tài)無法用這兩個子系統(tǒng)的狀態(tài)直積來表示，即|ψ>MN≠|(zhì)φ>M?|φ>N，則稱為糾纏態(tài)。對其中一個系統(tǒng)的測量將影響到另一個系統(tǒng)的狀態(tài)。

量子糾纏：則是描述微觀粒子間的一個物理現(xiàn)象，處于糾纏下的粒子，其信息大多數(shù)都包含在它們之間的相互關(guān)系上；無論他們距離有多遠，只要其中的某個粒子被測量而確定了結(jié)果，那么其他粒子會立即自動地塌縮到相應(yīng)的狀態(tài)。

EPR對：

該系統(tǒng)中，若1粒子的狀態(tài)處于|0>1，則2粒子的狀態(tài)則為|1>2，反之亦然，各有50%的概率。但是如果此系統(tǒng)被測量了，那么這種關(guān)系就不復(fù)存在了。

1.2　GHZ態(tài)、W態(tài)及其魯棒性

GHZ態(tài)和W態(tài)均是一種粒子的糾纏狀態(tài)的描述，根據(jù)粒子數(shù)目的不同有著不同的表達形式。

三粒子GHZ態(tài)的表達形式如公式所示：

(1)

最常見的是三粒子W態(tài)標準形式：

(2)

文獻[14]根據(jù)系數(shù)對測量結(jié)果的影響，將其轉(zhuǎn)化為適用于量子密碼體制的一般形式：

(3)

由此可知，四粒子W態(tài)的一般形式為：

|0001>)1234

(4)

GHZ態(tài)在被測量一個粒子后，另外的粒子會立刻塌縮到各自的單粒子態(tài)，如1粒子的測量結(jié)果為|0>1，那么2、3粒子均會塌縮到單量子態(tài)|0>而不會再有任何的糾纏；W態(tài)被測量一個粒子后，如果結(jié)果為|0>，那么另外兩個粒子會塌縮到|01>+|10>，依舊是糾纏態(tài)，因此它具有更強的魯棒性。

1.3　W態(tài)系數(shù)的選取

三粒子W態(tài)的標準形式為1.2節(jié)中的公式所示：

(2)

式中：a、b、c均大于0，且d=1-a-b-c。

根據(jù)文獻[14]的方法，把式(2)、式3粒子在Bell基下展開：

(5)

|0>1|ψ+>23]

(6)

簡化之后即為:

(7)

當粒子1測量結(jié)果為|0>1時，2、3粒子Bell基測量結(jié)果為|ψ+>23；當粒子1測量結(jié)果為|1>1時，2、3粒子Bell基測量結(jié)果將等可能的得到|φ+>23和|φ->23。

2　四粒子W態(tài)的量子密鑰分配協(xié)議

協(xié)議由信道檢測以及密鑰生成分配兩部分組成。假設(shè)量子密鑰分配雙方是Alex和Bess，Alex手中有n組四粒子W態(tài)：

(8)

2.1　信道檢測階段

(1) 若Alex與Bess間需要分配密鑰進行通信，則Alex首先將序列中所有的粒子1和粒子2發(fā)送給Bess。

(2) 而后Bess隨機選取大部分粒子對，用Z基來測量這些序列中的粒子1；采用X基檢測結(jié)果，若為|1>1，則剩余三粒子狀態(tài)為|000>234；若為|0>1，則剩余三粒子狀態(tài)為三粒子W態(tài)：

(9)

用X基測量剩余的粒子對中的粒子1和2，而后Bess將測量基及其對應(yīng)的測量位置信息發(fā)送給Alex。

(3) Alex根據(jù)被Bess用X基測量的粒子1、2的序列的信息測量自己手中位置相對應(yīng)的部分3、4粒子，然后根據(jù)結(jié)果計算錯誤的概率，若超過一定的門限值，那么就證明有人對信道進行了監(jiān)聽。若信道安全，則將信道安全的信息反饋給Bess。

(4) Bess隨后對在(2)中被測量過得那些粒子序號所對應(yīng)的2粒子進行單粒子Von-Neumann測量，如果測量結(jié)果為|1>，則與其對應(yīng)的3、4粒子為正相關(guān)；若為|0>，則與其對應(yīng)的3、4粒子呈負相關(guān)。隨后Bess將測量結(jié)果為|1>的粒子位置及結(jié)果發(fā)送給Alex。

(5) Alex隨后檢測這些未知的粒子，根據(jù)結(jié)果計算錯誤幾率，看是否超過了一定的門限值，若超過，證明信道存在監(jiān)聽；若未超過，則說明信道安全。

2.2　密鑰生成與分配階段

(1) Alex將手中的所有3粒子發(fā)送給Bess。

(2) Bess在收到粒子3序列后，選出與信道檢測階段用X基測量粒子1序號相對應(yīng)的那部分3粒子，進行Z基檢測，將結(jié)果發(fā)送給Alex。

(3) 隨后Alex測量自己手中相對應(yīng)的4粒子，并根據(jù)結(jié)果計算錯誤幾率，若超過一定的門限值，則證明信道剛剛可能處于被監(jiān)聽狀態(tài)，中斷此次會話，具體情況如表1所示。

表1　Bess用Z基檢測粒子3及此時Alex手中粒子4對應(yīng)狀態(tài)

(4) 若信道安全，Bess把其余的3粒子與自身的m個EPR對中的粒子5進行Bell測量，隨后粒子4與粒子6就會產(chǎn)生一定的塌縮，具體結(jié)果如表2所示。雙方可以事先約定，如果結(jié)果為|φ±>46，則編號為1，如果結(jié)果為|ψ±>46，則編號為0，以此形成一個二進制數(shù)字串，組成相應(yīng)的密鑰。Bess根據(jù)自己測量的3、5粒子的結(jié)果形成一個二進制數(shù)字串，設(shè)為K1，進而再用Z基對相應(yīng)的6粒子進行測量，若結(jié)果為|0>4，則記為0；若結(jié)果為|1>4，則記為1，以此形成另一個二進制數(shù)字串S1。隨后Bess把S1通過經(jīng)典信道發(fā)送給Alex。

表2　Bess選用的EPR對及Bell測量后4、6粒子塌縮的相應(yīng)結(jié)果

(5) Alex收到后，用Z基檢測手中的4粒子，同樣的,若結(jié)果為|0>4，則記為0；若結(jié)果為|1>4，則記為1，生成二進制數(shù)字串S2。隨后S1和S2進行“與”運算，得出K2。如無信道干擾或者竊聽外，K1=K2。

(6) 而后Alex和Bess經(jīng)過數(shù)據(jù)糾錯和保密加強等，完成密鑰的最終生成。

3　安全性及效率分析

假設(shè)會竊聽和攻擊此次通信的一方為Eve，它的目的就是在Alex和Bess均無察覺下竊取此次通信生成的密鑰。

3.1　Eve截取粒子

首先在通信雙方的信道檢測階段，此時Eve無論是截取1、2粒子還是3、4粒子，均無法取得最終的密鑰，因為這些粒子只是起到了檢測信道的作用，而不會對最終密鑰的生成有任何貢獻或產(chǎn)生任何影響。相反，此時截斷并竊取這些粒子只會讓Alex測得的錯誤率高于門限值，從而暴露自己的攻擊，以至于通信雙方會放棄此次通信。

在密鑰生成階段，Eve截取了Alex發(fā)送的3粒子序列，由于其內(nèi)包含檢測信道和生成密鑰的兩部分3粒子，因此Eve將很難在沒有信息的情況下，分辨并提取出生成密鑰的那部分3粒子。如果它對此進行了測量，必然會被發(fā)現(xiàn)。

3.2　Eve替換粒子

如果Eve在信道檢測階段得到了某些信息，使得它能夠把截取的3粒子序列中的粒子按不同作用區(qū)分開來，這樣它就會把用于檢測信道的那部分粒子原封不動地轉(zhuǎn)發(fā)給Bess。但是為了避免被發(fā)現(xiàn)，他并未測量那些用來生成密鑰的粒子，而只是用自己生成的單粒子序列E：

λ>E=α|0>E+β|1>E

(10)

式中：滿足|α|2+|β|2=1，代替3粒子發(fā)送給了Bess。那么接下來按照步驟，Bess會把粒子5和粒子E進行Bell測量，過程如公式所示：

|θ>56E=(|01>+|10>)56?(|0>+|1>)E=

(|00>+|01>)5E|1>6+(|10>+|11>)5E|0>6=

(|φ+>5E+|φ->5E)|1>6+(|ψ+>5E+|ψ->5E)|1>6+

(|φ+>5E-|φ->5E)|0>6+(|ψ+>5E-|ψ->5E)|0>6

(11)

由此可見，如果Bess測得的結(jié)果為|φ+>5E，那么Bess手中的6粒子各有50%幾率塌縮到|0>6或|1>6，造成塌縮結(jié)果與Bell測量結(jié)果的不唯一匹配，進而產(chǎn)生的二進制數(shù)字串S1中的0或者1與K1中的0、1不對應(yīng)，Eve無法獲取準確密鑰。

若Eve用自己生成的EPR對里面的粒子E替代粒子3發(fā)送給Bess，那么Bess將對粒子E和粒子5進行Bell測量。此時Bess手中的粒子6和Alex手中的粒子4并未發(fā)生任何的糾纏，因此Alex與Bess在一個粒子上產(chǎn)生一致的密鑰二進制數(shù)字的可能性僅為1/2。這樣設(shè)密鑰有p位，Alex與Bess所生成密鑰一致的可能性為(1/2)p，p越大，概率越小。這樣在密鑰數(shù)據(jù)糾錯階段，雙方會發(fā)現(xiàn)密鑰的差異很大，因而就會放棄此次生成的密鑰。Eve也不會獲取任何的通信利益。

3.3　Eve截取二進制數(shù)字串

如果Eve截取了Bess發(fā)送的S1并將之復(fù)制轉(zhuǎn)發(fā)給了Alex，由于Eve并沒有相應(yīng)的粒子4在手，因此此時Eve的手中只有一串自己無法利用的無意義數(shù)字串，他無法根據(jù)數(shù)字串的內(nèi)容進行操作以得出最后的密鑰。

綜上所述，本協(xié)議方案能幫助通信雙方在不會被第三方秘密竊取的情況下安全地生成密鑰。

3.4　效率分析

基于四粒子W態(tài)的密鑰分配協(xié)議只包含兩個通信方，無需第三方介入?yún)f(xié)議，在提高協(xié)議安全性的同時亦減少了協(xié)議的復(fù)雜性。W態(tài)的較強魯棒性使得粒子在有粒子損失的情況下能夠保持較好的糾纏特性。協(xié)議無需通信雙方事先擁有相同的密鑰，使協(xié)議易于實現(xiàn)和應(yīng)用。另外，協(xié)議的粒子利用率遠遠高于25%，較之前的協(xié)議有明顯提升。

在粒子利用率方面，協(xié)議的參與方Bess的粒子均參與了密鑰的生成，利用率是100%。由于在W態(tài)中，測量的粒子狀態(tài)為|0>才會使其他粒子繼續(xù)處于糾纏態(tài)中，以進行密鑰的生成：用X基檢測四粒子W態(tài)中的粒子，結(jié)果為|0>的概率為75%；在三粒子W態(tài)中粒子塌縮到|0>的概率為66.7%。因此理論上協(xié)議發(fā)起方Alex平均兩個四粒子W態(tài)得到一比特密鑰。但協(xié)議還需在信道檢測階段用Z基測量部分粒子，這部分不會參與最后密鑰的生成，因此實際的粒子利用率略低于50%，但卻要高于先前的25%。

4　結(jié)　語

本文基于魯棒性較強的量子的四粒子W態(tài)，將信道檢測以及密鑰生成兩部分融合到一個量子態(tài)中去，在區(qū)分開粒子的同時又在傳輸中把它們混合在一起，有著較好的防竊聽效果。而Bell測量則可使通信雙方生成一致的密鑰。此外，粒子的利用率較先前協(xié)議有了明顯提高，不會造成粒子成本的過度浪費。通過安全性的分析證明，該協(xié)議能夠有效地抵抗Eve的竊取攻擊，即Eve不會在通信雙方毫無察覺的情況下獲取密鑰。接下來將進行提高粒子利用率的研究，使粒子利用率進一步提高。

[1] 李培培,譚曉青.基于可重用的不對稱三粒子糾纏態(tài)的量子秘密共享[J].計算機應(yīng)用研究,2016,33(4):1120-1123.

[2] 雷奇,尚濤,劉建偉.基于隨機預(yù)言模型的量子仲裁簽名方案安全性分析[J].密碼學(xué)報,2016(6):619-628.

[3] 崔明路,王治強,劉薇.一種星地量子密鑰通信仿真平臺[J].中國科學(xué)院大學(xué)學(xué)報, 2011, 28(2):241-245.

[4] Russell J. Application of quantum key distribution[C]// Military Communications Conference, 2008. Milcom. IEEE, 2008:1-6.

[5] Broadbent A, Schaffner C. Quantum cryptography beyond quantum key distribution[J]. Designs, Codes and Cryptography, 2016, 78(1):351-382.

[6] Pljonkin A, Rumyantsev K. Quantum-cryptographic network[C]// East-West Design & Test Symposium. IEEE, 2017:1-4.

[7] Lo H K, Curty M, Tamaki K. Secure quantum key distribution[J]. Nature Photonics, 2014, 8(8): 595-604.

[8] 周南潤, 宋漢沖, 龔黎華,等. 基于GHZ態(tài)的三方量子確定性密鑰分配協(xié)議[J]. 物理學(xué)報, 2012, 61(21):214203-214203.

[9] 楊新元,馬智,呂欣.基于W態(tài)的量子安全直接通信協(xié)議[J].計算機科學(xué), 2009, 36(10):68-71.

[10] 胡杏, 郁季軍, 寧小玲,等. 基于三粒子W態(tài)的身份認證[J]. 光學(xué)學(xué)報, 2009, 29(6):1680-1683.

[11] Cabello A. Erratum: Bell’s theorem with and without inequalities for the three-qubit Greenberger-Horne-Zeilinger and W, states [Phys. Rev. A 65, 032108 (2002)][J]. Physical Review A, 2012, 85(2):93-95.

[12] 楊宇光, 溫巧燕, 朱甫臣. 基于W態(tài)的量子密鑰分配和秘密共享[J]. 北京郵電大學(xué)學(xué)報, 2006, 29(3):40-43.

[13] 陶原,潘煒,羅斌,等.基于W態(tài)的網(wǎng)絡(luò)中任意兩個用戶間量子密鑰分配方案[J]. 電子與信息學(xué)報, 2008, 30(11):2588-2591.

[14] 曹博, 張盛, 王劍. 網(wǎng)絡(luò)中任意兩用戶量子密鑰分配協(xié)議[C]// Asia-Pacific Conference on Information Theory. 2010.

[15] 劉林曜, 胡孟軍, 呂洪君,等. 基于任意Bell態(tài)的量子密鑰分配[J]. 量子電子學(xué)報, 2013, 30(4):439-444.