孫添資 劉世民 肖海龍 張 影 馮 寶

1(國網(wǎng)內(nèi)蒙古東部電力有限公司信息通信分公司 內(nèi)蒙古 呼和浩特 010010) 2(南京南瑞國盾量子技術(shù)有限公司 江蘇 南京 211000) 3(南瑞集團(tuán)有限公司(國網(wǎng)電力科學(xué)研究院有限公司) 江蘇 南京 211000)

0 引 言

量子信息作為物理學(xué)和信息學(xué)的交叉學(xué)科，在過去近50年內(nèi)取得了迅猛的發(fā)展。其中量子算法、量子密鑰分配、量子糾錯碼等都取得了突破性的成果[1-5]，并且對一些傳統(tǒng)的信息技術(shù)產(chǎn)生了巨大的沖擊。例如Shor在1994年提出的因子分解算法[2]，在時間效率上相比較于經(jīng)典算法有著指數(shù)級的加速，從而對經(jīng)典的公鑰密碼體制產(chǎn)生了巨大威脅。經(jīng)典信息論已經(jīng)證明，采用一次一密的加密方案，能夠?qū)崿F(xiàn)絕對的安全性[6-7]。該方案的關(guān)鍵在于密鑰傳輸?shù)陌踩?。量子密鑰分配(Quantum Key Distribution,QKD)以量子力學(xué)的基本理論為依據(jù)[8-9]，其中最為著名的協(xié)議由Bennett和Brassard于1984年提出[10](后被稱為BB84協(xié)議) ,理論上可以證明在該協(xié)議中密鑰的分配過程具有無條件的安全性[11-12]。QKD協(xié)議的唯一要求是量子比特在信道上傳輸?shù)腻e誤率低于某個閾值，然而在真實(shí)的量子信息傳輸過程中，量子比特并非處于完全孤立的量子系統(tǒng)中，會無可避免地受到噪聲干擾從而產(chǎn)生錯誤[13-14]，使得量子比特傳輸?shù)腻e誤率大幅提高。其后果是通信雙方誤認(rèn)為有竊聽者的存在[15]，從而使得協(xié)議終止，或者雙方的最終密鑰不一致。量子糾錯碼的作用就是降低量子比特傳輸?shù)腻e誤率[16]，與經(jīng)典糾錯碼類似，量子糾錯碼通過引入冗余信息，使得編碼具有一定的糾錯能力[17]。量子糾錯碼的構(gòu)造方法也是近年來的熱點(diǎn)問題[18-20]，目前常用的構(gòu)造方法之一是Calderbank-Shor-Steane(CSS)糾錯碼[21-22]，該方法能夠根據(jù)經(jīng)典的線性碼構(gòu)造出相應(yīng)的量子糾錯碼。

本文首先介紹量子CSS糾錯碼以及BB84協(xié)議的相關(guān)理論，之后介紹一種簡單的[7,1]CSS糾錯碼的構(gòu)造方法，并在此基礎(chǔ)上提出一種基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議。該方案能夠提高含噪聲量子信道中量子密鑰傳輸?shù)男省?/p>

1 CSS糾錯碼及BB84協(xié)議

1.1 CSS糾錯碼

在介紹量子CSS糾錯碼之前，先介紹量子碼和量子錯誤的基本概念。一個[n,k]量子碼Q是Hilbert空間(C2)?n=C2n的一個2k(0≤k≤n)維子空間，其中n稱為Q的碼長。量子錯誤是Hilbert空間C2n中的一個酉算子，它使得量子態(tài)發(fā)生改變，由于量子錯誤為連續(xù)錯誤，因此相應(yīng)酉算子的形式有無窮多種可能。根據(jù)Shor和Steane的簡化模型，對于一個量子錯誤，只需考慮在每個量子比特上獨(dú)立作用的錯誤算子。作用于單個量子比特的酉算子可以表示為以下4個Pauli矩陣的線性組合形式。

(1)

式中：σx表示比特翻轉(zhuǎn)的錯誤算子;σz是表示相位翻轉(zhuǎn)的錯誤算子;σy表示同時發(fā)生比特翻轉(zhuǎn)和相位翻轉(zhuǎn)的錯誤算子(σy=iσxσz);I表示不發(fā)生錯誤的算子。對于一個量子碼，如果其能夠糾正比特翻轉(zhuǎn)和相位翻轉(zhuǎn)這兩種錯誤，那么就能糾正任何一種錯誤[16]。

(2)

式中：“+”表示模2加。不難得出量子態(tài)|x+C2〉僅取決于x屬于C2的哪一個陪集，對于C1中的兩個不同碼字x和y，如果兩者屬于同一個陪集，〈x+C2|y+C2〉=1；如果兩者屬于不同的陪集，〈x+C2|y+C2〉=0。因此所有的|x+C2〉是一組標(biāo)準(zhǔn)正交向量，它們生成的向量空間稱為量子碼CSS(C1,C2)。C1中C2的陪集數(shù)量為|C1|/|C2|=2k1-k2，即共有2k1-k2種不同的量子態(tài)|x+C2〉，因此CSS(C1,C2)是[n,k1-k2]的量子碼。

使用CSS(C1,C2)進(jìn)行量子糾錯的原理如下。分別用長度為n的向量e1和e2表示比特翻轉(zhuǎn)錯誤和相位翻轉(zhuǎn)錯誤，假設(shè)初始量子態(tài)如式(2)所示，則發(fā)生錯誤后的量子態(tài)為：

(3)

為了檢測比特翻轉(zhuǎn)錯誤e1，引入處于全0狀態(tài)的長為n-k1的輔助量子比特串。設(shè)C1的校驗(yàn)矩陣為H1，則可以通過使用完全由受控非門(如圖1所示)組成的量子線路實(shí)現(xiàn)如下變換：

(4)

圖1 受控非門

通過測量輔助量子比特串可以得到結(jié)果H1e1。由于C1能夠糾正最多t比特的錯誤，因此由H1e1可以推斷出不超過t量子比特的比特翻轉(zhuǎn)錯誤e1，之后對發(fā)生錯誤的量子比特使用非門糾正錯誤。在糾正比特翻轉(zhuǎn)錯誤后，對每個量子比特使用Hadamard門，可以得到量子態(tài)：

(5)

1.2 BB84協(xié)議

Bennett等[5]于1984年提出了一種量子密鑰分配協(xié)議，即BB84協(xié)議。協(xié)議中使用了兩種不同的基{|0〉,|1〉}和{|+〉,|-〉}，其中|+〉和|-〉按式(6)定義。

(6)

BB84協(xié)議中|0〉和|+〉代表經(jīng)典比特0；|1〉和|-〉代表經(jīng)典比特1，其具體流程如下[1]：

(1) Alice隨機(jī)生成一個長度為(4+δ)n的比特串a(chǎn)。

(2) Alice隨機(jī)生成一個長度為(4+δ)n的比特串b。如果b中某一位的比特是0，則將a中相應(yīng)位置的比特制備為|0〉或|1〉；如果b中某一位的比特是1，則將a中相應(yīng)位置的比特制備為|+〉或|-〉。

(3) Alice將制備的量子比特串發(fā)送給Bob。

(4) Bob收到長度為(4+δ)n的量子比特串，隨機(jī)生成一個長度為(4+δ)n的比特串b′。如果b′中某一位的比特是0，則用{|0〉,|1〉}基測量相應(yīng)位置的量子比特；如果b′中某一位的比特是1，則用{|+〉,|-〉}基測量相應(yīng)位置的量子比特。最后得到長度為(4+δ)n的比特串a(chǎn)′。

(5) Alice和Bob分別公布比特串b和b′的值。

(6) Alice和Bob對比b和b′，根據(jù)相同比特的位置保留a和a′中相應(yīng)的比特。如果留下多于2n個比特(高概率)，則保留前2n個比特；否則協(xié)議終止。

(7) Alice選擇2n個比特中的n個作為校驗(yàn)比特，并告訴Bob選擇的結(jié)果。

(8) Alice和Bob公布并比較校驗(yàn)比特的值，如果不同比特的數(shù)量多于可接受的值，則協(xié)議終止。

(9) Alice和Bob利用剩下的n個比特獲得m個比特的共享密鑰。

2 本文協(xié)議構(gòu)建

2.1 [7,1]CSS糾錯碼的構(gòu)造

(7)

以矩陣H為校驗(yàn)矩陣定義的線性碼C是[7,4]碼，其生成矩陣為：

(8)

以GT為校驗(yàn)矩陣定義的線性碼為C⊥，不難驗(yàn)證C⊥?C。因此，只要令C1≡C,C2≡C⊥，那么便滿足了CSS糾錯碼的構(gòu)造條件。由于C1和C2分別為[7,4]線性碼和[7,3]線性碼，因此可以根據(jù)式(2)構(gòu)造[7,1]量子碼CSS(C1,C2)：

(9)

(10)

按照以上方式構(gòu)造的CSS糾錯碼又稱為Steane碼[1,23]。根據(jù)Hamming碼的性質(zhì)，C1和C2的最小距離均為3，從而能夠糾正單個比特的錯誤，因此由它們構(gòu)造的量子碼CSS(C1,C2)能夠糾正單個量子比特上的錯誤。

2.2 量子密鑰分配協(xié)議

BB84協(xié)議中Alice向Bob發(fā)送的量子比特未進(jìn)行糾錯編碼，因此在含噪聲信道中的傳輸效率低。如果使用[7,1]CSS糾錯碼將要發(fā)送的每個量子比特編碼成相應(yīng)的量子比特串，則可減小信道噪聲的干擾。將|+〉CSS和|-〉CSS定義為：

(11)

在新的協(xié)議中，Alice向Bob發(fā)送的量子比特串由若干個長度為7的量子比特子串組成，每個量子比特子串的狀態(tài)為{|0〉CSS,|1〉CSS,|+〉CSS,|-〉CSS}中的一種。將{|0〉CSS,|1〉CSS}擴(kuò)充成一組標(biāo)準(zhǔn)正交基，記為{|0〉CSS,|1〉CSS}+；將{|+〉CSS,|1〉CSS}擴(kuò)充成一組標(biāo)準(zhǔn)正交基，記為{|+〉CSS,|-〉CSS}+。易知若對量子比特子串在{|0〉CSS,|1〉CSS}+基下進(jìn)行測量，則可嚴(yán)格區(qū)分狀態(tài)|0〉CSS和|1〉CSS；若對量子比特子串在{|+〉CSS,|-〉CSS}+基下進(jìn)行測量，則可嚴(yán)格區(qū)分狀態(tài)|+〉CSS和|-〉CSS。

在以上定義的基礎(chǔ)上，可以得到一種基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議。該協(xié)議中|0〉CSS和|1〉CSS代表經(jīng)典比特0；|1〉CSS和|-〉CSS代表經(jīng)典比特1，其具體流程如下：

(1) Alice隨機(jī)生成一個長度為(4+δ)n的比特串a(chǎn)。

(2) Alice隨機(jī)生成一個長度為(4+δ)n的比特串b。如果b中某一位的比特是0，則將a中相應(yīng)位置的比特制備為{|0〉CSS,|1〉CSS}；如果b中某一位的比特是1，則將a中相應(yīng)位置的比特制備為{|+〉CSS,|-〉CSS}。

(3) Alice將制備的量子比特串發(fā)送給Bob。

(4) Bob收到量子比特串，先對每個量子比特子串進(jìn)行量子糾錯，然后隨機(jī)生成一個長度為(4+δ)n的比特串b′。如果b′中某一位的比特是0，則用{|0〉CSS,|1〉CSS}+基測量相應(yīng)位置的量子比特子串；如果b′中某一位的比特是1，則用{|+〉CSS,|-〉CSS}+基測量相應(yīng)位置的量子比特子串，最后通過譯碼得到長度為(4+δ)n的比特串a(chǎn)′。

(5) Alice和Bob分別公布比特串b和b′的值。

(6) Alice和Bob對比b和b′，根據(jù)相同比特的位置保留a和a′中相應(yīng)的比特，如果留下多于2n個比特(高概率)，則保留前2n個比特，否則協(xié)議終止。

(7) Alice選擇2n個比特中的n個作為校驗(yàn)比特子串，并告訴Bob選擇的結(jié)果。

(8) Alice和Bob公布并比較校驗(yàn)比特的值，如果不同比特的數(shù)量多于可接受的值，則協(xié)議終止。

(9) Alice和Bob利用剩下的n個比特獲得m個比特的共享密鑰。

為了驗(yàn)證上述協(xié)議的安全性，假設(shè)在密鑰分配過程中存在竊聽者Eve。Eve要想進(jìn)行竊聽，必須對量子比特進(jìn)行測量。由于未知的量子態(tài)不可克隆，Eve只能對Alice發(fā)送的量子比特進(jìn)行測量而無法進(jìn)行大量備份。Alice發(fā)送的每個量子比特子串處于狀態(tài)|0〉CSS、|1〉CSS、|+〉CSS、|-〉CSS中的一種，由于這四個狀態(tài)并非兩兩正交，且Alice并未公布其在步驟(2)中隨機(jī)生成的比特串b，如果Eve使用了不同的基進(jìn)行測量，將有概率獲得錯誤的結(jié)果。為了計(jì)算此時獲得錯誤結(jié)果的概率，假設(shè)Alice發(fā)送的量子比特子串為|0〉CSS，而Eve使用的測量基為{|+〉CSS,|-〉CSS}+，則Eve能獲得正確結(jié)果的概率為：

(12)

即有一半的概率得到錯誤的結(jié)果，此時量子比特子串|0〉CSS的狀態(tài)也必定發(fā)生改變。

綜上，Eve無法確定自己測量結(jié)果的正確性，并且以很高的概率改變了Alice發(fā)送的量子比特子串的狀態(tài)。這種改變可能導(dǎo)致Alice和Bob的校驗(yàn)比特產(chǎn)生差異，從而使他們發(fā)現(xiàn)竊聽者的存在。

2.3 對比與分析

為了說明基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議相對于BB84協(xié)議的改進(jìn)，下面通過理論分析與數(shù)值仿真來對比兩者密鑰傳輸?shù)腻e誤率。由于相位翻轉(zhuǎn)錯誤可以通過Hadamard門轉(zhuǎn)化為比特翻轉(zhuǎn)錯誤，因此下面僅考慮信道中的比特翻轉(zhuǎn)錯誤。假設(shè)信道中量子比特翻轉(zhuǎn)的概率為ε，若采用BB84協(xié)議，易知傳輸錯誤率為e=ε。若使用2.2節(jié)介紹的基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議，設(shè)一個量子比特子串中有i個量子比特發(fā)生錯誤的概率為Pi(0≤i≤7)，則：

(13)

由于每個量子比特子串可以糾正最多一個量子比特的錯誤，因此傳輸錯誤率等于量子比特子串中有2個及以上的量子比特發(fā)生錯誤的概率，即：

e′=1-P0-P1=1-(1-ε)7-7ε(1-ε)6

(14)

對于上述兩種量子密鑰分配協(xié)議，繪制密鑰傳輸錯誤率與信道中量子比特翻轉(zhuǎn)概率的關(guān)系曲線，如圖2所示。

圖2 兩種量子密鑰分配協(xié)議中傳輸錯誤率與量子比特翻轉(zhuǎn)概率關(guān)系曲線

可以看出，當(dāng)量子比特的翻轉(zhuǎn)概率在0到0.05之間時，使用基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議時的密鑰傳輸錯誤率低于使用BB84協(xié)議時的密鑰傳輸錯誤率。這意味著當(dāng)量子信道受噪聲干擾且干擾程度在一定范圍之內(nèi)時，基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議能夠以更高的可靠性進(jìn)行密鑰傳輸。

3 結(jié) 語

糾錯碼不論在經(jīng)典通信還是量子通信中都有廣泛的應(yīng)用，在提高通信可靠性上有著不可比擬的重要作用。本文利用CSS糾錯碼糾正量子錯誤的能力，對BB84協(xié)議進(jìn)行了改進(jìn)，提出了一種基于[7,1]CSS糾錯碼的量子密鑰分配協(xié)議，在保持密鑰分配安全性的同時使得密鑰在含噪聲量子信道中的傳輸效率得到了提高。現(xiàn)有的量子密碼協(xié)議均涉及量子比特的傳輸，因此都需要考慮信道噪聲的問題，將量子糾錯碼融入量子密碼協(xié)議的設(shè)計(jì)中是將來的一個研究方向。