龔黎華 陳振泳 徐良超 周南潤

(南昌大學(xué)電子信息工程系，南昌 330031)

1 引言

量子通信協(xié)議主要包括量子隱形傳態(tài) (quantum teleportation)[1-3]、量子密鑰分配(quantum key distribution，QKD)[4-6]、量子簽名[7，8]、量子身份認(rèn)證(quantum identity authentication，QIA)[9]、量子秘密比較(quantum private comparison，QPC)[10，11]以及量子安全直接通信(quantum secure direct communication，QSDC) 等.近年量子芯片[12，13]的快速發(fā)展，有助于降低量子通信的成本.

量子安全直接通信在量子信息技術(shù)中扮演著重要的角色.不同于量子密鑰分配傳輸隨機(jī)數(shù)，量子安全直接通信無需密鑰，可以利用量子信道直接傳輸秘密信息.2002 年，Long 和Liu[14]利用Einstein-Podolsky-Rosen (EPR)態(tài)的糾纏特性，設(shè)計了第一個量子安全直接通信協(xié)議，Bostr?m 和Felbinger[15]基于EPR 對的糾纏特性提出了著名的乒乓協(xié)議(ping-pong protocol，PPP).2003 年，以EPR 對為信息載體，Deng 等[16]提出了一個“兩步”QSDC 協(xié)議.2004 年，Deng 和Long[17]基于量子一次一密技術(shù)設(shè)計了一個QSDC 協(xié)議.2005 年，Wang 等[18]基于高維量子超密編碼構(gòu)建了一個QSDC 協(xié)議.2011 年，Shi 等[19]利用三維超糾纏性質(zhì)設(shè)計了一個QSDC 協(xié)議.2017 年，Zheng 和Long[20]基于Cluster態(tài)提出了一個信道容量可控的QSDC 方案.2018年，Chen 等[21]利用Bell 態(tài)的超糾纏特性構(gòu)建了一個“三步”三方QSDC 協(xié)議.2019 年，Gao 等[22]提出了測量設(shè)備無關(guān)的遠(yuǎn)程QSDC 協(xié)議.2020 年，Zhou等[23]提出了與設(shè)備無關(guān)的QSDC 協(xié)議.2022 年，利用Bell 態(tài)的超糾纏特性，Sheng 等[24]構(gòu)建了一個“一步”QSDC 協(xié)議.QSDC 的物理可實現(xiàn)性逐漸被實驗所驗證.2016 年，Hu 等[25]實現(xiàn)了基于單光子的QSDC 實驗.2017 年，Zhang 等[26]借助量子寄存器實驗實現(xiàn)了“兩步”QSDC 協(xié)議，同年，Zhu等[27]實現(xiàn)了長距離QSDC 實驗.2021 年，Qi 等[28]實現(xiàn)了15 個用戶之間的QSDC 網(wǎng)絡(luò).

通常，量子通信協(xié)議要求每一位參與者都具備完整的量子能力，即參與者具備在量子比特或量子系統(tǒng)上進(jìn)行量子操作的全部能力.然而，并不是每位參與者都能負(fù)擔(dān)的起昂貴的量子設(shè)備.Boyer 等[29]最早提出了半量子的概念，半量子意味著量子方擁有完整的量子能力，而經(jīng)典方不需具備完整的量子能力，或者說經(jīng)典方只能用一組固定的基{|0〉，|1〉}處理量子信息.Zhou 等[30]指出半量子也可以保證量子中心與無量子能力的用戶之間的通信安全.半量子技術(shù)在量子通信的各個方向上都得到了應(yīng)用，例如:半量子密鑰分配(semi-quantum key distribution，SQKD)[31，32]、半量子身份認(rèn)證(semi-quantum identity authentication，SQIA)[33]、半量子秘密比較(semi-quantum private comparison，SQPC)[34，35]以及半量子安全直接通信(semi-quantum secure direct communication，SQSDC)等.

半量子安全直接通信結(jié)合量子安全直接通信和半量子的思想，為資源受限的經(jīng)典方和具備完整量子能力的量子方之間提供了直接傳輸秘密信息的可靠方式.SQSDC 的提出不僅有利于提高量子通信協(xié)議的可實現(xiàn)性，而且有利于減少量子通信中設(shè)備資源的消耗.

2014 年，Zou 等[36]討論了半量子安全直接通信，結(jié)合一次一密技術(shù)提出了一個基于單光子的“三步”SQSDC 協(xié)議.隨后，Gu 等[37]對該“三步”SQSDC 協(xié)議進(jìn)行改進(jìn)，設(shè)計了一個可以抵御雙重C-NOT 攻擊的SQSDC 協(xié)議.2017 年，Zhang 等[38]利用EPR 對的糾纏特性和誘騙態(tài)思想，提出了一個全新的SQSDC 協(xié)議.2018 年，Xie 等[39]將量子方和經(jīng)典方的職責(zé)互換，以 Bell 態(tài)為信息載體設(shè)計了一個信息發(fā)送者為量子方的SQSDC 協(xié)議.2019 年，Sun 等[40]通過引入新的編碼手段提出了兩個基于Bell 態(tài)的高效SQSDC 協(xié)議.2020 年，Rong等[41]利用Bell 態(tài)糾纏特性，設(shè)計了一種多參與方的SQSDC 協(xié)議.

然而，現(xiàn)有的半量子安全直接通信協(xié)議只使用二維量子態(tài)作為信息的載體，并要求經(jīng)典方具備量子態(tài)測量能力.為了突破低維量子態(tài)的限制，提高信息傳輸效率、減少量子資源的消耗和降低協(xié)議的實現(xiàn)難度，本文基于高維單粒子態(tài)設(shè)計了一個雙向SQSDC 協(xié)議.

2 高維單粒子態(tài)

d維量子系統(tǒng)中的Z基和X基的定義和分別為

其中⊕為模d加.Ye 等[42]指出當(dāng)對Z基粒子|k〉執(zhí)行幺正操作Um時，它的量子態(tài)將會變成|k ⊕m〉，而當(dāng)對基粒子進(jìn)行幺正操作Um時其狀態(tài)不會改變.

3 協(xié)議描述

在無噪聲、無失真的理想環(huán)境中，擁有完整量子能力的量子方Alice 和能力受限的經(jīng)典方Bob(無需具備量子態(tài)測量能力)之間基于高維單粒子態(tài)的雙向半量子安全直接通信協(xié)議的具體步驟如下:

步驟1Alice 隨機(jī)制 備 4n個Z基粒子 和n個基粒子，n為Alice 和Bob 在一次通信過程中需傳輸?shù)拿孛苄畔㈤L度.Alice 將X基粒子隨機(jī)插入基粒子序列中得到序列ST，并將其發(fā)送給Bob.

步驟2Bob 收到序列ST后，對粒子隨機(jī)執(zhí)行CTRL 或幺正操作Um并記錄m的值得到序列ST1.Bob 通過不同的延時線對所有粒子進(jìn)行重新排序得到序列，并將其返還Alice.根據(jù)粒子的原始狀態(tài)和Bob 的操作，可將所得的粒子歸為四類，如表1 所列.

表1 操作后粒子的分類Table 1.Classification of the particles after operation.

步驟3Alice 收到序列后，公布原始序列中基粒子的位置.Bob 公布序列的正確順序和對每個粒子執(zhí)行的操作，并隨機(jī)公布一半對基粒子執(zhí)行的幺正操作信息.Alice 恢復(fù)粒子序列的正確順序，并按照粒子發(fā)送時的基測量粒子，結(jié)果如表2 所列.Alice 比對每個收到粒子的測量結(jié)果和預(yù)期結(jié)果，計算誤碼率.若誤碼率高于預(yù)設(shè)的閾值，則說明竊聽存在，終止本次協(xié)議，否則Alice 將剩余未公布幺正操作的-U粒子作為媒介粒子(媒介粒子組成的序列記為Sm)，并通過比對測量結(jié)果讀出媒介粒子Sm的幺正操作信息m.

表2 Alice 的竊聽檢測策略Table 2.Eavesdropping detection strategy for Alice.

步驟4根據(jù)自己的秘密信息ma和Bob 的幺正操作信息m，Alice 計算Ma=m ⊕ma.Alice根據(jù)Ma制備n個基粒子得到序列SC，并將之發(fā)送給Bob.

步驟5根據(jù)自己的秘密信息mb和幺正操作信息m，Bob 計算Mb=m ⊕mb.在收到序列SC后，Bob 根據(jù)Mb對粒子執(zhí)行幺正操作UMb得到序列SC1，并將其返還Alice.

步驟6Alice 收到序列SC1后，用基對其進(jìn)行測量，并公布測量結(jié)果M=Ma⊕Mb.

步驟7根據(jù)測量結(jié)果M=Ma⊕mb⊕m(M=Mb⊕ma⊕m)，Alice (Bob)獲得Bob (Alice)的秘密信息mb=M ?Ma?m(ma=M ?Mb?m)，其中?為模d減.

步驟8Alice(Bob)利用哈希函數(shù)h() 分別計算出秘密信息ma(mb)的哈希值h(ma) (h(mb))和收到秘 密信息()的哈希值h() (h()).Alice 和Bob 分別公布自己秘密信息的哈希值.如果h()=h(mb) (h()=h(ma))，則Alice(Bob)收到的秘密信息準(zhǔn)確無誤.否則，收到的秘密信息有誤，Alice 和Bob 將丟棄收到的秘密信息并重新執(zhí)行協(xié)議.

4 安全性分析

4.1 截獲重發(fā)攻擊

Eve 截獲并用提前制備的欺詐粒子替換Alice發(fā)送給Bob 的每個粒子，并在Bob 將粒子返回給Alice 時再次截獲粒子.通過測量欺詐粒子并比對測量結(jié)果與欺詐粒子的原始狀態(tài)，Eve 試圖獲取Bob 的操作信息，并通過執(zhí)行與Bob 相同的操作以竊聽秘密信息.在截獲重發(fā)攻擊中，Eve 可以選擇Z基粒子或基粒子作為欺詐粒子，具體情況如下:

1) Eve 選擇基粒子作為欺詐粒子

表3 Eve 的截獲重發(fā)攻擊Table 3.Intercept-resend attack by Eve.

2) Eve 選擇基粒子作為欺詐粒子

在截獲Alice 傳來的粒子后，Eve 將提前制備的基粒子發(fā)送給Bob.Bob 對收到的粒子只能執(zhí)行CTRL 或幺正操作Um.這兩種操作都無法改變基粒子的狀態(tài).當(dāng)Eve 對返回的基粒子進(jìn)行基測量時，所有基粒子都維持原始狀態(tài).Eve無法從中獲得Bob 的操作信息，只能對截獲的粒子進(jìn)行隨機(jī)操作并將其返還Alice.這會增大誤碼率進(jìn)而被Alice 發(fā)現(xiàn).

4.2 測量重發(fā)攻擊

在測量重發(fā)攻擊中，Eve 截獲并測量每一個由Alice 發(fā)送給Bob 的粒子，并制備與測量結(jié)果相同狀態(tài)的新粒子發(fā)送給Bob.在Bob 將粒子返回給Alice 時，Eve 再次截獲并用與之前相同的基測量粒子，試圖獲取秘密信息.在發(fā)送基粒子時，Alice在其中混入了基粒子作為誘騙態(tài)，因此Eve 在對截獲的粒子進(jìn)行測量時，必須使用和兩種測量基測量粒子.然而，Eve 無法準(zhǔn)確區(qū)分每個粒子所屬的基，只能隨機(jī)選擇測量基.當(dāng)測量基與Alice發(fā)送的粒子不匹配時，Eve 的竊聽行為將大概率被Alice 發(fā)現(xiàn).為了更清晰地展示Eve 的攻擊對整個通信過程的影響，表4 列出了竊聽者和合法參與者在執(zhí)行不同操作后產(chǎn)生的結(jié)果.

表4 Eve 的測量重發(fā)攻擊Table 4.Measurement-resend attack by Eve.

1) Alice 發(fā)送的 是基粒子 而Eve 選擇基進(jìn)行測量

Eve 選擇的測量基與Alice 發(fā)送粒子的基相同，且Bob 的操作不會改變粒子的基.當(dāng)Alice 測量返回的粒子時，無法發(fā)現(xiàn)Eve 的竊聽.

Eve 的基測量使得Alice 發(fā)送的粒子坍縮為基粒子.Bob 的操作不會改變粒子的基，因此返回給Alice 的粒子仍然為基.當(dāng)Bob 選擇執(zhí)行CTRL 操作時，Alice 將以概率 (d-1)/d發(fā)現(xiàn)Eve的竊聽.當(dāng)Bob 選擇執(zhí)行幺正操作Um時，因為Bob 只公布一半的-U粒子，Alice 將以概率(d-1)/2d發(fā)現(xiàn)Eve 的竊聽.

Eve 的基測量使得Alice 發(fā)送的粒子坍縮為基粒子.Bob 的操作不會改變粒子的基，因此返回給Alice 的粒子仍然為基.Alice 將以概率(d-1)/d發(fā)現(xiàn)Eve 的竊聽.

Eve 選擇的測量基與Alice 發(fā)送粒子的基相同，且Bob 的操作不會改變粒子的基.當(dāng)Alice 對返回的粒子進(jìn)行測量時，無法發(fā)現(xiàn)Eve 的竊聽.

圖1 竊聽檢測概率Fig.1.Eavesdropping detection probability.

4.3 糾纏測量攻擊

Eve 在Alice 發(fā)送粒子給Bob 時，對每一粒子執(zhí)行幺正操作UE，將制備的輔助粒子|ε〉與Alice的粒子糾纏在一起，測量輔助粒子可以提取有用信息.當(dāng)Eve 對基粒子執(zhí)行幺正操作UE時可得

Bob 的兩個操作都無法改變基粒子的狀態(tài)，基粒子在Eve 執(zhí)行UE和UG后可以表示為

結(jié)合(9)式和(10)式可得

F-1為量子傅里葉逆變換.為了避免被Alice 發(fā)現(xiàn)，Eve 必須使Alice 的測量結(jié)果與發(fā)送的粒子態(tài)相同，即|Fy〉 必須等于|Fk〉 .由此可得

由(11)式及(12)式，可得

由(13)式可知，Eve 無法區(qū)分輔助態(tài)|ε00〉，|ε11〉，···，|εd-1，d-1〉，即無法獲得Alice 和Bob 的秘密信息.因此，本協(xié)議可以抵抗糾纏攻擊.

4.4 篡改攻擊

顯然，如果Bob 選擇執(zhí)行CTRL 操作，Alice 會發(fā)現(xiàn)粒子的測量結(jié)果與預(yù)期結(jié)果不同.如果Bob 選擇執(zhí)行Um操作并且公布相應(yīng)的m值，Alice 的測量 結(jié)果將為|k ⊕n ⊕m〉而非預(yù)期的|k ⊕m〉.如 果Bob 選擇執(zhí)行Um操作而未公布相應(yīng)的m值，則被篡改的粒子將作為媒介粒子.Alice 獲取的媒介粒子信息為n⊕m將不同于Bob 的m，當(dāng)協(xié)議進(jìn)行到差錯檢測步驟時，Alice 通過哈希函數(shù)獲得的秘密信息檢測值將與Bob 的不同，參與者將發(fā)現(xiàn)秘密信息被篡改.因此，無論Eve 的篡改攻擊發(fā)生在協(xié)議中的哪一種粒子上，都無法在不被發(fā)現(xiàn)的情況下篡改秘密信息.因此，本協(xié)議可以抵抗篡改攻擊.

5 效率分析

量子通信協(xié)議的效率計算式為[43]

其中bs，qt，qs分別表示傳遞秘密信息的數(shù)量，協(xié)議使用的量子比特總數(shù)和協(xié)議中所需經(jīng)典比特數(shù)量.本協(xié)議中Alice 共制備了 6n個d維單粒子態(tài)而Bob在整個通信進(jìn)程中未制備任何量子態(tài)，即qt=6n.Alice 和Bob 在譯碼階段共使用了n個經(jīng)典比特讀取彼此的秘密信息，即qs=n.在一次通信進(jìn)程中，Alice 和Bob 分別向?qū)Ψ絺鬟f了n個d維單粒子態(tài)的秘密信息，即bs=2n.因此本協(xié) 議的效率 為.本協(xié)議以d維單粒子為信息的傳輸載體，每一個單粒子可以傳輸 log2d比特的秘密信息.圖2 為維數(shù)與單粒子傳輸秘密信息量的關(guān)系，易知，隨著維數(shù)d的不斷增加，單粒子可以傳輸更多的秘密信息.

圖2 單粒子傳輸秘密信息-維數(shù)Fig.2.Single particle transport secret information -dimension.

現(xiàn)有的SQSDC 協(xié)議通常是基于低維單粒子態(tài)或低維糾纏態(tài)，每個粒子只能編碼1 比特的秘密信息，秘密信息的傳輸效率不高，本文首次基于高維量子態(tài)實現(xiàn)SQSDC 協(xié)議，當(dāng)維數(shù)足夠大時，將明顯提高秘密信息的傳輸效率.現(xiàn)有的SQSDC 協(xié)議中一般要求經(jīng)典方具備量子態(tài)測量能力，本協(xié)議中經(jīng)典方無需具備量子測量能力，這降低了協(xié)議的實現(xiàn)難度.此外，本協(xié)議是一個雙向通信協(xié)議，在一次通信進(jìn)程中兩個參與者都可以同時發(fā)送和接收秘密信息.本協(xié)議與一些現(xiàn)有SQSDC 協(xié)議的詳細(xì)比較如表5 所列.與現(xiàn)有的SQSDC 協(xié)議相比，本文協(xié)議具有更高的秘密信息傳輸效率.

表5 本協(xié)議與現(xiàn)有經(jīng)典SQSDC 協(xié)議的比較Table 5.Comparison of the proposed protocol with existing classical SQSDC protocols.

6 總結(jié)

本文提出的基于高維單粒子態(tài)的雙向半量子安全直接通信協(xié)議中的合法參與者為量子方Alice和經(jīng)典方Bob，每個參與者既是秘密信息發(fā)送方，又是秘密信息接收方.本文協(xié)議中的經(jīng)典方Bob 無需具備量子態(tài)測量能力，這降低了協(xié)議對于量子設(shè)備的需求.安全性分析表明，本文協(xié)議可以抵抗測量重發(fā)攻擊、截獲重發(fā)攻擊和糾纏測量攻擊等常見攻擊手段.此外，每個d維粒子可以編碼 log2d比特的秘密信息而每個二維量子比特只能編碼1 比特的秘密信息，因此，與基于二維量子比特的單向半量子安全通信協(xié)議相比，當(dāng)d足夠大時本協(xié)議具有更高的秘密信息傳輸效率.