基于d維單個量子態(tài)的半量子密鑰分發(fā)方案

胡文文，周日貴

（1.上海海事大學(xué)信息工程學(xué)院,上海 201306；2.上海海事大學(xué)智能信息處理與量子智能計算研究中心,上海 201306）

1 引言

由于高性能量子計算機的研發(fā)和問世，基于計算復(fù)雜性為基礎(chǔ)的經(jīng)典密碼體制不再具有可靠性，其安全性能被高效的量子算法攻破［1，2］.基于Heisenberg 測不準(zhǔn)原理［3］和量子不可克隆定理［4］的基礎(chǔ)，量子密碼學(xué)可以確保量子通信過程的絕對安全性.例如，著名的首個量子密鑰分發(fā)（Quantum Key Distribution，QKD）方案，即BB84協(xié)議［5］，以及基于量子力學(xué)的量子秘密共享方案［6］和量子投票表決方案［7］.傳統(tǒng)的QKD 方案［5，8，9］要求通信雙發(fā)都具有完全的量子能力，例如量子態(tài)的制備、存儲、測量等復(fù)雜操作.然而，由于量子資源的昂貴性，在構(gòu)建巨大的量子通信網(wǎng)絡(luò)時要求所有通信方都具備完全的量子能力是不切實際的.

為克服上述困難，Boyer等［10］在2007年首次提出半量子密鑰分發(fā)（Semi-Quantum Key Distribution，SQKD）方案，其中發(fā)送方Alice具備完全的量子能力（稱為量子方），她可以制備任意單粒子的Z基量子態(tài)或X基量子態(tài)，以及執(zhí)行單量子比特的Z（X）基測量操作.當(dāng)接收到Alice 發(fā)送的量子比特時，接收方Bob 可以執(zhí)行兩種操作：（1）不對Alice 發(fā)送的量子比特實施任何操作并且將量子比特直接反射回發(fā)給Alice，稱為CTRL 操作；（2）基于Z基測量Alice 發(fā)送的量子比特并且制備和其測量結(jié)果相同的量子態(tài)回發(fā)給Alice，稱為SIFT 操作.可以看出，由于Bob 的量子能力是受限的，極大地降低了量子通信的代價，從而使得SQKD 方案比QKD 方案在量子通信中更加實用.隨后2009 年，Boyer 等［11］提出一種新的基于隨機化的SQKD方案.基于Boyer 等的開創(chuàng)性工作，一系列采用不用量子技術(shù)的SQKD 方案被提出來［12～26］.例如2009 年，Zou等提出5種采用少于4個量子態(tài)的SQKD方案［12］；Zhang等［13］提出在一個量子方的輔助下，多個經(jīng)典方之間的SQKD 網(wǎng)絡(luò)方案.2011 年，Wang 等［14］提出基于兩粒子糾纏Bell 態(tài)的SQKD 方案.2014 年，Krawec 表明對于只使用單個量子比特的SQKD 方案［15］，Eve 雙向信道的糾纏-測量攻擊等價于一種受限的反向信道的糾纏-測量攻擊；Yu 等［16］提出使用Bell 態(tài)而不需要使用經(jīng)典認(rèn)證信道的SQKD 方案.2015 年，Zou 等［17］提出經(jīng)典方Bob不需要量子測量能力的SQKD方案；Krawec［18］提出基于網(wǎng)絡(luò)中第三方量子服務(wù)器的兩個經(jīng)典方之間的SQKD方案.2018 年，Liu 等［22］提出基于網(wǎng)絡(luò)中第三方量子服務(wù)器并且兩個經(jīng)典方不需要量子測量能力的SQKD 方案.2019 年，Wang 等［24］提出使用單量子比特非對稱的SQKD 方案.最近，Ye等［25］提出利用單光子量子比特的極化偏振自由度和空間自由度同時編碼信息的SQKD方案.

上述的SQKD 方案大多數(shù)是基于單量子比特資源實現(xiàn)的，并且所有的方案都是基于2維量子系統(tǒng)（qubit）設(shè)計的.與基于d維量子系統(tǒng)（qudit）設(shè)計的QKD 方案相比［27～30］，其量子信道可以容納的信道噪音和單粒子可以傳輸?shù)拿荑€信息均有所不足.針對上述問題，本文結(jié)合非對稱方式的SQKD 方案可以顯著提升方案效率和d維量子系統(tǒng)下的QKD 方案具有更優(yōu)性能，提出了基于d維量子系統(tǒng)下單個量子態(tài)的非對稱的SQKD 方案.該方案可以有效提升SQKD 方案的效率，單個量子態(tài)所傳輸?shù)男畔⑷萘?，以及量子信道中所能容納的噪音.

2 提出的半量子密鑰分發(fā)方案

在d維量子系統(tǒng)下，Z基和X基定義［31］如下：

提出的SQKD方案的具體步驟如下：

步驟1Alice 制備N個單粒子量子態(tài)，其中N=(λ+κ+τ)(1+δ).相關(guān)參數(shù)的含義為：（1）δ＞0 是一個固定的參數(shù)［10，11］；（2）λ表示CTRL dits 的數(shù)目；（3）(κ+τ)表示SIFT dits 的數(shù)目，其中κ表示INFO dits 的長度，τ表示TEST-Z dits的數(shù)目.

為方便起見，在文中SIFT dits 表示Bob 執(zhí)行SIFT操作時對應(yīng)的qudits 的測量結(jié)果，CTRL dits 表示執(zhí)行CTRL操作時對應(yīng)的qudits的測量結(jié)果.

步驟3Alice使用N個qudits的存儲器存儲Bob發(fā)送回來的qudits.

步驟4當(dāng)Bob 確認(rèn)Alice 收到他發(fā)送的最后一個qudit后，Bob公開他的比特序列b.

步驟5Alice 基于X基測量CTRL qudits.基于她的測量結(jié)果，Alice 檢查CTRL dits 的誤差.當(dāng)CTRL qudits的測量結(jié)果不是量子態(tài)時，Alice認(rèn)為出現(xiàn)誤差.如果CTRL dits 的誤差超過信道噪音決定的閾值PC，Alice和Bob終止協(xié)議.

步驟6Alice 采用Z基測量所有余下的qudits 并記錄相應(yīng)的測量結(jié)果.Alice從中隨機地選擇τ(1+δ)個測量結(jié)果作為TEST-Z dits.Alice 和Bob 檢測TEST-Z dits 中誤差.如果誤差大于信道噪音決定的閾值PTZ，Alice和Bob終止協(xié)議.

步驟7Alice 和Bob 選擇余下的SIFT dits（近似κ(1+δ)個dits）作為信息序列（INFO dits）.

步驟8Alice 和Bob 采用誤差校正和隱私放大技術(shù)［32，33］從信息序列中提取出mdits 序列作為最終密鑰序列.

值得注意的是，在本文方案中經(jīng)典方Bob采用類似于文獻(xiàn)［24，34］中的非對稱方法執(zhí)行CTRL和SIFT操作，并且假設(shè)當(dāng)N足夠大時，參數(shù)κ?(λ+τ).此時，Alice發(fā)送的大部分qudits 用于生成信息序列（INFO dits），只有一小部分qudits用于檢測方案的安全性，因此本方案效率可以達(dá)到近似100%.

3 安全性分析

3.1 截獲-重發(fā)和測量-重發(fā)攻擊

在提出的SQKD 方案中，由于在前向量子信道中，Alice 發(fā)送給Bob 的qudits 都是相同的量子態(tài)，并且不包含任何有關(guān)于密鑰的信息.于是，當(dāng)Eve 足夠聰明時，Eve 采取的截獲-重發(fā)和測量-重發(fā)攻擊是不會攻擊前向量子信道.因此，在本文中假設(shè)Eve采取的截獲-重發(fā)和測量-重發(fā)攻擊只針對反向量子信道，即Bob 給Alice發(fā)送的量子態(tài).

3.1.1 截獲-重發(fā)攻擊

Eve 的截獲-重發(fā)攻擊可以描述為：Eve 攔截Bob 回發(fā)給Alice 的所有qudits，同時發(fā)送他自己制備的虛假qudits（假設(shè)隨機制備于單粒子量子態(tài)j∈{0，1，…，d-1}）給Bob.于是，當(dāng)Bob 公布他的序列b后，Eve 使用正確的測量基測量可以得到SIFT dits 的信息.然而，由于Eve 事先并不知道Bob 的序列b的任何信息，并且他隨機制備的量子態(tài)和Bob 回發(fā)給Alice 的量子態(tài)必然存在不一致的情況，Eve 的攻擊必然會在CTRL dits和TEST-Z dits中引入誤差.具體分析如下：

基于上述分析可以看出，對于每個用于檢測安全性的CRTL dit 和TEST-Z dit，Eve 的攻擊都會以的概率引入誤差.因此，本文提出的方案可以抵抗Eve 的截獲-重發(fā)攻擊.

3.1.2 測量-重發(fā)攻擊

Eve 的測量-重發(fā)攻擊可以描述為：Eve 攔截Bob 回發(fā)給Alice 的所有qudits 并且隨機地選擇Z基或X基測量，然后依據(jù)他的測量結(jié)果制備相應(yīng)的量子態(tài)發(fā)送給Alice.然而，由于Eve 事先并不知道Bob 的序列b的任何信息，他隨機選擇的測量基是獨立于Bob 的CTRL 操作和SIFT操作，Eve的攻擊必然會在CTRL dits和TESTZ dits中引入誤差.具體分析如下：

基于上述分析可以看出，對于每個用于檢測安全性的CRTL dit 和TEST-Z dit，Eve 的攻擊都會以的概率引入誤差.因此，本文提出的方案可以抵抗Eve 的測量-重發(fā)攻擊.

3.2 糾纏-測量攻擊

Boyer 等［10，11］證明了他們提出的SQKD 方案是完全魯棒性的，可以抵抗Eve 的糾纏-測量攻擊.SQKD 方案的完全魯棒性是指竊聽者想要獲取密鑰的有關(guān)信息，他一定會在量子信道中引入誤差，從而能夠被通信雙方檢測到.同樣，本文證明提出的方案是完全魯棒性的，從而可以抵抗竊聽者Eve的糾纏-測量攻擊.

因為SQKD 方案采取雙向量子信道的傳輸方式，所以Eve 的糾纏附加粒子攻擊方式可以描述為(UF，UR)形式.本文提出的SQKD 方案過程和Eve 的糾纏-測量攻擊策略具體如圖1 所示，其中UF攻擊作用于前向量子信道，UR攻擊作用于反向量子信道.在Eve的攻擊方案中，假設(shè)他的輔助粒子的初始態(tài)為類似地，本文用表示Bob 的初始量子態(tài)，用表示Alice 的初始量子態(tài).

圖1 本文方案中Eve的糾纏-測量攻擊策略

如圖1所示，Eve的反向信道攻擊UR可以依賴于他的前向信道攻擊UF，即前向攻擊和反向攻擊共享同一個輔助粒子，這可以通過文獻(xiàn)［9］中定義的受控移位門RC實現(xiàn)，其算符表示如下：

（2）如果bi=1，則Alice 和Bob 的聯(lián)合量子態(tài)可以表示為如下形式：

其中，ci是一個復(fù)數(shù)并且滿足|ci|=1，并且Alice 和Bob復(fù)合量子態(tài)的密度矩陣形式表示如下：

證明因為Alice 只有在接收到Bob 發(fā)送的qudit后才發(fā)送下一個qudit，因此，所有她接收到的qudits 的密度矩陣可以描述為張量積形式，即ρA=

（1）當(dāng)bi=0 時，即第i個qudit 是CTRL qudit.于是，如果，則Alice 會以不為零的概率檢測到誤差.

因此，基于引理1 可以知道，如果Eve 的攻擊(UF，UR)沒有在CTRL dits 和SIFT dits 中引入誤差，則Alice和Bob復(fù)合的量子態(tài)滿足如下形式：

證明因為Alice 只有在接收到Bob 發(fā)送的qudit后才發(fā)送下一個qudit，所以Eve 的攻擊每次只能作用在單個qudit 上.為了方便分析，假設(shè)用表示Eve作用于第i個qudit上的攻擊，并且只有在Alice接收到Bob發(fā)送的最后一個qudit之后，Bob才會公開他的比特序列b.因此，Eve 的攻擊(UF，UR)是獨立于比特序列b的.

定理1本文提出的SQKD 方案是完全魯棒性的，即如果Eve 的攻擊(UF，UR)在CTRL dits 和SIFT dits 中沒有引入任何誤差，Eve無法獲取密鑰的任何信息.

證明通過引理2 證明了本文提出的SQKD 方案是完全魯棒性的.

3.3 特洛伊木馬攻擊

由于本文提出的SQKD 方案采用雙向量子信道實現(xiàn)，如果在本文方案中Alice 和Bob 之間經(jīng)量子信道傳輸?shù)膓udits 是基于單光子制備的，則為了避免Eve 的特洛伊木馬攻擊：經(jīng)典方Bob 需要使用相應(yīng)的波長濾波器［35］以抵抗不可見光子的特洛伊木馬攻擊，以及光子分?jǐn)?shù)器抵抗延遲光子的特洛伊木馬攻擊［36］.

4 性能分析與比較

表1 給出了本文方案和兩個類似的SQKD 方案［10，24］之間的分析和比較，包括量子系統(tǒng)的空間維度、Alice 制備的量子態(tài)類型、Bob 執(zhí)行的操作類型、Alice 是否需要量子存儲器和方案效率五個方面.類似于文獻(xiàn)［24］中SQKD 方案定義的效率，本文提出的SQKD 方案的效率定義為在反向量子信道傳輸過程中（即Bob 給Alice 回發(fā)qudits 的過程），用于生成信息粒子（INFO dits）的qudits 數(shù)目與Bob 回發(fā)給Alice 的所有qudits 數(shù)目的比值，即qudit 效率.基于此，本文提出的SQKD 方案的效率計算如下：

其中，κ(1+δ)表示生成的INFO dits 的數(shù)目（即信息粒子數(shù)目），λ(1+δ)和τ(1+δ)分別表示生成的CTRL dits和TEST-Z dits 的數(shù)目，即用于量子信道安全性檢測的粒子數(shù)目為(λ+τ)(1+δ).

如表1 所示，文獻(xiàn)［10，24］中的SQKD 方案都是使用2 維量子系統(tǒng)，單個qubit 攜帶的信息容量為1 比特.本文提出的SQKD方案使用d維量子系統(tǒng)，單個qudit可以攜帶的信息容量為log2d比特.因此，當(dāng)d的數(shù)值越大時，本文方案可以分發(fā)的密鑰信息容量更大.例如，當(dāng)d=8 時，盡管本文方案和文獻(xiàn)［24］中方案的效率相等，但在量子方Alice發(fā)送相同粒子數(shù)的條件下，本文方案分發(fā)的密鑰信息容量是文獻(xiàn)［24］的3 倍.此外，相比于文獻(xiàn)［10］，本文方案只需要使用單個量子態(tài)而不需要使用4 種不同的量子態(tài)，因此本文方案減少了量子方Alice制備的量子態(tài)類型.

表1 三種半量子密鑰分發(fā)方案的比較

表2 給出了本文方案和兩個高維量子系統(tǒng)下QKD方案［29，30］的分析和比較，包括量子系統(tǒng)的空間維度、量子信道、Alice 制備的量子態(tài)類型、Bob 的測量能力和方案效率五個方面.如表2 所示，本文方案和另外兩種方案之間的區(qū)別在于文獻(xiàn)［29，30］中的QKD 方案都是使用單向量子信道，即Bob 不需要通過量子信道向Alice發(fā)送量子態(tài)，而本文提出的方案使用雙向量子信道，即Bob 在接收到Alice 發(fā)送的量子態(tài)之后需要通過反向信道給Alice 發(fā)送相應(yīng)的量子態(tài).正是因為如此，本文方案降低了Bob的量子測量能力，他只需要執(zhí)行基于單個基底Z基的量子測量，而無需執(zhí)行多個基底下量子態(tài)的測量操作.此外，相比于另外兩種方案，本文方案明顯減少了Alice制備的量子態(tài)類型.盡管文獻(xiàn)［30］的QKD方案效率也可以達(dá)到近似100%，但是在該方案中Alice和Bob 需要使用少數(shù)額外的誘騙量子態(tài)序列來檢測信道的安全性，以及執(zhí)行復(fù)雜的量子操作：受控移位RC操作、量子傅里葉變換操作和量子逆傅里葉變換操作.相比之下，本文方案中信道的安全性檢測更加簡單，通信雙方也無需執(zhí)行其它復(fù)雜的量子操作.綜上所述，相比于另外兩種高維量子系統(tǒng)下的QKD 方案，雖然本文提出的SQKD 方案需要通過雙向量子信道實現(xiàn)，但是本文方案極大地減少了通信方Alice 制備的量子態(tài)類型，降低了通信方Bob對量子態(tài)的測量能力，以及無需執(zhí)行其它復(fù)雜的量子操作.

表2 三種高維量子系統(tǒng)下量子密鑰分發(fā)方案的比較

在表2 中文獻(xiàn)［29］中的基底Mi，i=0，1，2 中包含的4個量子態(tài)表示如下：

值得注意的是在量子密鑰分發(fā)過程中，需要使用量子資源檢測量子信道的安全性，以此來保證信道中信息傳輸?shù)目煽啃?因此，表1 中給出的SQKD 方案［10，24］的qubit 效率和表2 中給出的QKD 方案［29，30］的qudit 效率及本文SQKD 方案的qudit 效率都不能達(dá)到100%.當(dāng)量子信道中傳輸?shù)牧孔恿Ｗ訑?shù)目非常大，但用于檢測量子信道安全性的粒子數(shù)目只占很小的一部分時，SQKD 方案的qubit 效率［10，24］和QKD 方案的qudit效率［29，30］及本文SQKD 方案的qudit 效率都可以提升到近似100%.

此外，在本文提出的SQKD 方案中，由于通信的經(jīng)典方Bob 采取非對稱方式執(zhí)行CTRL 和SIFT 操作，并且當(dāng)信道中傳輸?shù)膓udit 數(shù)目N足夠大時假設(shè)參數(shù)κ?(λ+τ).于是，在生成的信息粒子數(shù)目和檢測粒子數(shù)目都較少的情況下，可以假設(shè)κ＞λ+τ.此時，本文SQKD方案的qudit效率η0計算如下：

從上述分析可以看出，在信息粒子數(shù)目和檢測粒子數(shù)目都較少的情況下，由于本文方案采取非對稱的通信方式，所以提出的SQKD 方案的qudit 效率超過了50%.例如，假設(shè)Alice 給Bob 發(fā)送的qudit 數(shù)目N=1000時，Bob 從中隨機選取10%的qudit 執(zhí)行CTRL 操作，即λ(1+δ)=100，余下90%的qudit 執(zhí)行SIFT 操作，即(κ+τ)(1+δ)=900，并且從SIFT qudit 中隨機地選擇10%的qudit 作為TEST-Z qudit，即τ(1+δ)=90.此時，本文方案的qudit效率η0=81%.

5 結(jié)束語

依據(jù)d維量子系統(tǒng)下單個量子態(tài)的疊加特性，本文提出了非對稱的半量子密鑰分發(fā)方案，突破了現(xiàn)有2維量子系統(tǒng)下的半量子密鑰分發(fā)方案.在本文方案中，基于經(jīng)典方Bob 執(zhí)行非對稱的CTRL 和SIFT 操作，方案效率可以達(dá)到近似100%.安全性分析表明該方案可以抵抗常見的截獲-重發(fā)、測量-重發(fā)、糾纏-測量和特洛伊木馬攻擊.性能分析表明，隨著維度d的增大，該方案可以傳輸?shù)拿荑€信息容量會更大.方案的不足之處在于，由于半量子密鑰分發(fā)方案使用雙向量子信道，以及在d維量子系統(tǒng)下糾纏-測量攻擊的復(fù)雜性，本文未能從信息理論層面上證明該方案的絕對安全性，以及計算通信過程中量子信道所能容納的噪音上限.