基于d维单个量子态的半量子密钥分发方案

胡文文，周日贵

（1.上海海事大学信息工程学院,上海 201306；2.上海海事大学智能信息处理与量子智能计算研究中心,上海 201306）

1 引言

由于高性能量子计算机的研发和问世，基于计算复杂性为基础的经典密码体制不再具有可靠性，其安全性能被高效的量子算法攻破［1，2］.基于Heisenberg 测不准原理［3］和量子不可克隆定理［4］的基础，量子密码学可以确保量子通信过程的绝对安全性.例如，著名的首个量子密钥分发（Quantum Key Distribution，QKD）方案，即BB84协议［5］，以及基于量子力学的量子秘密共享方案［6］和量子投票表决方案［7］.传统的QKD 方案［5，8，9］要求通信双发都具有完全的量子能力，例如量子态的制备、存储、测量等复杂操作.然而，由于量子资源的昂贵性，在构建巨大的量子通信网络时要求所有通信方都具备完全的量子能力是不切实际的.

为克服上述困难，Boyer等［10］在2007年首次提出半量子密钥分发（Semi-Quantum Key Distribution，SQKD）方案，其中发送方Alice具备完全的量子能力（称为量子方），她可以制备任意单粒子的Z基量子态或X基量子态，以及执行单量子比特的Z（X）基测量操作.当接收到Alice 发送的量子比特时，接收方Bob 可以执行两种操作：（1）不对Alice 发送的量子比特实施任何操作并且将量子比特直接反射回发给Alice，称为CTRL 操作；（2）基于Z基测量Alice 发送的量子比特并且制备和其测量结果相同的量子态回发给Alice，称为SIFT 操作.可以看出，由于Bob 的量子能力是受限的，极大地降低了量子通信的代价，从而使得SQKD 方案比QKD 方案在量子通信中更加实用.随后2009 年，Boyer 等［11］提出一种新的基于随机化的SQKD方案.基于Boyer 等的开创性工作，一系列采用不用量子技术的SQKD 方案被提出来［12～26］.例如2009 年，Zou等提出5种采用少于4个量子态的SQKD方案［12］；Zhang等［13］提出在一个量子方的辅助下，多个经典方之间的SQKD 网络方案.2011 年，Wang 等［14］提出基于两粒子纠缠Bell 态的SQKD 方案.2014 年，Krawec 表明对于只使用单个量子比特的SQKD 方案［15］，Eve 双向信道的纠缠-测量攻击等价于一种受限的反向信道的纠缠-测量攻击；Yu 等［16］提出使用Bell 态而不需要使用经典认证信道的SQKD 方案.2015 年，Zou 等［17］提出经典方Bob不需要量子测量能力的SQKD方案；Krawec［18］提出基于网络中第三方量子服务器的两个经典方之间的SQKD方案.2018 年，Liu 等［22］提出基于网络中第三方量子服务器并且两个经典方不需要量子测量能力的SQKD 方案.2019 年，Wang 等［24］提出使用单量子比特非对称的SQKD 方案.最近，Ye等［25］提出利用单光子量子比特的极化偏振自由度和空间自由度同时编码信息的SQKD方案.

上述的SQKD 方案大多数是基于单量子比特资源实现的，并且所有的方案都是基于2维量子系统（qubit）设计的.与基于d维量子系统（qudit）设计的QKD 方案相比［27～30］，其量子信道可以容纳的信道噪音和单粒子可以传输的密钥信息均有所不足.针对上述问题，本文结合非对称方式的SQKD 方案可以显著提升方案效率和d维量子系统下的QKD 方案具有更优性能，提出了基于d维量子系统下单个量子态的非对称的SQKD 方案.该方案可以有效提升SQKD 方案的效率，单个量子态所传输的信息容量，以及量子信道中所能容纳的噪音.

2 提出的半量子密钥分发方案

在d维量子系统下，Z基和X基定义［31］如下：

提出的SQKD方案的具体步骤如下：

步骤1Alice 制备N个单粒子量子态，其中N=(λ+κ+τ)(1+δ).相关参数的含义为：（1）δ＞0 是一个固定的参数［10，11］；（2）λ表示CTRL dits 的数目；（3）(κ+τ)表示SIFT dits 的数目，其中κ表示INFO dits 的长度，τ表示TEST-Z dits的数目.

为方便起见，在文中SIFT dits 表示Bob 执行SIFT操作时对应的qudits 的测量结果，CTRL dits 表示执行CTRL操作时对应的qudits的测量结果.

步骤3Alice使用N个qudits的存储器存储Bob发送回来的qudits.

步骤4当Bob 确认Alice 收到他发送的最后一个qudit后，Bob公开他的比特序列b.

步骤5Alice 基于X基测量CTRL qudits.基于她的测量结果，Alice 检查CTRL dits 的误差.当CTRL qudits的测量结果不是量子态时，Alice认为出现误差.如果CTRL dits 的误差超过信道噪音决定的阈值PC，Alice和Bob终止协议.

步骤6Alice 采用Z基测量所有余下的qudits 并记录相应的测量结果.Alice从中随机地选择τ(1+δ)个测量结果作为TEST-Z dits.Alice 和Bob 检测TEST-Z dits 中误差.如果误差大于信道噪音决定的阈值PTZ，Alice和Bob终止协议.

步骤7Alice 和Bob 选择余下的SIFT dits（近似κ(1+δ)个dits）作为信息序列（INFO dits）.

步骤8Alice 和Bob 采用误差校正和隐私放大技术［32，33］从信息序列中提取出mdits 序列作为最终密钥序列.

值得注意的是，在本文方案中经典方Bob采用类似于文献［24，34］中的非对称方法执行CTRL和SIFT操作，并且假设当N足够大时，参数κ≫(λ+τ).此时，Alice发送的大部分qudits 用于生成信息序列（INFO dits），只有一小部分qudits用于检测方案的安全性，因此本方案效率可以达到近似100%.

3 安全性分析

3.1 截获-重发和测量-重发攻击

在提出的SQKD 方案中，由于在前向量子信道中，Alice 发送给Bob 的qudits 都是相同的量子态，并且不包含任何有关于密钥的信息.于是，当Eve 足够聪明时，Eve 采取的截获-重发和测量-重发攻击是不会攻击前向量子信道.因此，在本文中假设Eve采取的截获-重发和测量-重发攻击只针对反向量子信道，即Bob 给Alice发送的量子态.

3.1.1 截获-重发攻击

Eve 的截获-重发攻击可以描述为：Eve 拦截Bob 回发给Alice 的所有qudits，同时发送他自己制备的虚假qudits（假设随机制备于单粒子量子态j∈{0，1，…，d-1}）给Bob.于是，当Bob 公布他的序列b后，Eve 使用正确的测量基测量可以得到SIFT dits 的信息.然而，由于Eve 事先并不知道Bob 的序列b的任何信息，并且他随机制备的量子态和Bob 回发给Alice 的量子态必然存在不一致的情况，Eve 的攻击必然会在CTRL dits和TEST-Z dits中引入误差.具体分析如下：

基于上述分析可以看出，对于每个用于检测安全性的CRTL dit 和TEST-Z dit，Eve 的攻击都会以的概率引入误差.因此，本文提出的方案可以抵抗Eve 的截获-重发攻击.

3.1.2 测量-重发攻击

Eve 的测量-重发攻击可以描述为：Eve 拦截Bob 回发给Alice 的所有qudits 并且随机地选择Z基或X基测量，然后依据他的测量结果制备相应的量子态发送给Alice.然而，由于Eve 事先并不知道Bob 的序列b的任何信息，他随机选择的测量基是独立于Bob 的CTRL 操作和SIFT操作，Eve的攻击必然会在CTRL dits和TESTZ dits中引入误差.具体分析如下：

基于上述分析可以看出，对于每个用于检测安全性的CRTL dit 和TEST-Z dit，Eve 的攻击都会以的概率引入误差.因此，本文提出的方案可以抵抗Eve 的测量-重发攻击.

3.2 纠缠-测量攻击

Boyer 等［10，11］证明了他们提出的SQKD 方案是完全鲁棒性的，可以抵抗Eve 的纠缠-测量攻击.SQKD 方案的完全鲁棒性是指窃听者想要获取密钥的有关信息，他一定会在量子信道中引入误差，从而能够被通信双方检测到.同样，本文证明提出的方案是完全鲁棒性的，从而可以抵抗窃听者Eve的纠缠-测量攻击.

因为SQKD 方案采取双向量子信道的传输方式，所以Eve 的纠缠附加粒子攻击方式可以描述为(UF，UR)形式.本文提出的SQKD 方案过程和Eve 的纠缠-测量攻击策略具体如图1 所示，其中UF攻击作用于前向量子信道，UR攻击作用于反向量子信道.在Eve的攻击方案中，假设他的辅助粒子的初始态为类似地，本文用表示Bob 的初始量子态，用表示Alice 的初始量子态.

图1 本文方案中Eve的纠缠-测量攻击策略

如图1所示，Eve的反向信道攻击UR可以依赖于他的前向信道攻击UF，即前向攻击和反向攻击共享同一个辅助粒子，这可以通过文献［9］中定义的受控移位门RC实现，其算符表示如下：

（2）如果bi=1，则Alice 和Bob 的联合量子态可以表示为如下形式：

其中，ci是一个复数并且满足|ci|=1，并且Alice 和Bob复合量子态的密度矩阵形式表示如下：

证明因为Alice 只有在接收到Bob 发送的qudit后才发送下一个qudit，因此，所有她接收到的qudits 的密度矩阵可以描述为张量积形式，即ρA=

（1）当bi=0 时，即第i个qudit 是CTRL qudit.于是，如果，则Alice 会以不为零的概率检测到误差.

因此，基于引理1 可以知道，如果Eve 的攻击(UF，UR)没有在CTRL dits 和SIFT dits 中引入误差，则Alice和Bob复合的量子态满足如下形式：

证明因为Alice 只有在接收到Bob 发送的qudit后才发送下一个qudit，所以Eve 的攻击每次只能作用在单个qudit 上.为了方便分析，假设用表示Eve作用于第i个qudit上的攻击，并且只有在Alice接收到Bob发送的最后一个qudit之后，Bob才会公开他的比特序列b.因此，Eve 的攻击(UF，UR)是独立于比特序列b的.

定理1本文提出的SQKD 方案是完全鲁棒性的，即如果Eve 的攻击(UF，UR)在CTRL dits 和SIFT dits 中没有引入任何误差，Eve无法获取密钥的任何信息.

证明通过引理2 证明了本文提出的SQKD 方案是完全鲁棒性的.

3.3 特洛伊木马攻击

由于本文提出的SQKD 方案采用双向量子信道实现，如果在本文方案中Alice 和Bob 之间经量子信道传输的qudits 是基于单光子制备的，则为了避免Eve 的特洛伊木马攻击：经典方Bob 需要使用相应的波长滤波器［35］以抵抗不可见光子的特洛伊木马攻击，以及光子分数器抵抗延迟光子的特洛伊木马攻击［36］.

4 性能分析与比较

表1 给出了本文方案和两个类似的SQKD 方案［10，24］之间的分析和比较，包括量子系统的空间维度、Alice 制备的量子态类型、Bob 执行的操作类型、Alice 是否需要量子存储器和方案效率五个方面.类似于文献［24］中SQKD 方案定义的效率，本文提出的SQKD 方案的效率定义为在反向量子信道传输过程中（即Bob 给Alice 回发qudits 的过程），用于生成信息粒子（INFO dits）的qudits 数目与Bob 回发给Alice 的所有qudits 数目的比值，即qudit 效率.基于此，本文提出的SQKD 方案的效率计算如下：

其中，κ(1+δ)表示生成的INFO dits 的数目（即信息粒子数目），λ(1+δ)和τ(1+δ)分别表示生成的CTRL dits和TEST-Z dits 的数目，即用于量子信道安全性检测的粒子数目为(λ+τ)(1+δ).

如表1 所示，文献［10，24］中的SQKD 方案都是使用2 维量子系统，单个qubit 携带的信息容量为1 比特.本文提出的SQKD方案使用d维量子系统，单个qudit可以携带的信息容量为log2d比特.因此，当d的数值越大时，本文方案可以分发的密钥信息容量更大.例如，当d=8 时，尽管本文方案和文献［24］中方案的效率相等，但在量子方Alice发送相同粒子数的条件下，本文方案分发的密钥信息容量是文献［24］的3 倍.此外，相比于文献［10］，本文方案只需要使用单个量子态而不需要使用4 种不同的量子态，因此本文方案减少了量子方Alice制备的量子态类型.

表1 三种半量子密钥分发方案的比较

表2 给出了本文方案和两个高维量子系统下QKD方案［29，30］的分析和比较，包括量子系统的空间维度、量子信道、Alice 制备的量子态类型、Bob 的测量能力和方案效率五个方面.如表2 所示，本文方案和另外两种方案之间的区别在于文献［29，30］中的QKD 方案都是使用单向量子信道，即Bob 不需要通过量子信道向Alice发送量子态，而本文提出的方案使用双向量子信道，即Bob 在接收到Alice 发送的量子态之后需要通过反向信道给Alice 发送相应的量子态.正是因为如此，本文方案降低了Bob的量子测量能力，他只需要执行基于单个基底Z基的量子测量，而无需执行多个基底下量子态的测量操作.此外，相比于另外两种方案，本文方案明显减少了Alice制备的量子态类型.尽管文献［30］的QKD方案效率也可以达到近似100%，但是在该方案中Alice和Bob 需要使用少数额外的诱骗量子态序列来检测信道的安全性，以及执行复杂的量子操作：受控移位RC操作、量子傅里叶变换操作和量子逆傅里叶变换操作.相比之下，本文方案中信道的安全性检测更加简单，通信双方也无需执行其它复杂的量子操作.综上所述，相比于另外两种高维量子系统下的QKD 方案，虽然本文提出的SQKD 方案需要通过双向量子信道实现，但是本文方案极大地减少了通信方Alice 制备的量子态类型，降低了通信方Bob对量子态的测量能力，以及无需执行其它复杂的量子操作.

表2 三种高维量子系统下量子密钥分发方案的比较

在表2 中文献［29］中的基底Mi，i=0，1，2 中包含的4个量子态表示如下：

值得注意的是在量子密钥分发过程中，需要使用量子资源检测量子信道的安全性，以此来保证信道中信息传输的可靠性.因此，表1 中给出的SQKD 方案［10，24］的qubit 效率和表2 中给出的QKD 方案［29，30］的qudit 效率及本文SQKD 方案的qudit 效率都不能达到100%.当量子信道中传输的量子粒子数目非常大，但用于检测量子信道安全性的粒子数目只占很小的一部分时，SQKD 方案的qubit 效率［10，24］和QKD 方案的qudit效率［29，30］及本文SQKD 方案的qudit 效率都可以提升到近似100%.

此外，在本文提出的SQKD 方案中，由于通信的经典方Bob 采取非对称方式执行CTRL 和SIFT 操作，并且当信道中传输的qudit 数目N足够大时假设参数κ≫(λ+τ).于是，在生成的信息粒子数目和检测粒子数目都较少的情况下，可以假设κ＞λ+τ.此时，本文SQKD方案的qudit效率η0计算如下：

从上述分析可以看出，在信息粒子数目和检测粒子数目都较少的情况下，由于本文方案采取非对称的通信方式，所以提出的SQKD 方案的qudit 效率超过了50%.例如，假设Alice 给Bob 发送的qudit 数目N=1000时，Bob 从中随机选取10%的qudit 执行CTRL 操作，即λ(1+δ)=100，余下90%的qudit 执行SIFT 操作，即(κ+τ)(1+δ)=900，并且从SIFT qudit 中随机地选择10%的qudit 作为TEST-Z qudit，即τ(1+δ)=90.此时，本文方案的qudit效率η0=81%.

5 结束语

依据d维量子系统下单个量子态的叠加特性，本文提出了非对称的半量子密钥分发方案，突破了现有2维量子系统下的半量子密钥分发方案.在本文方案中，基于经典方Bob 执行非对称的CTRL 和SIFT 操作，方案效率可以达到近似100%.安全性分析表明该方案可以抵抗常见的截获-重发、测量-重发、纠缠-测量和特洛伊木马攻击.性能分析表明，随着维度d的增大，该方案可以传输的密钥信息容量会更大.方案的不足之处在于，由于半量子密钥分发方案使用双向量子信道，以及在d维量子系统下纠缠-测量攻击的复杂性，本文未能从信息理论层面上证明该方案的绝对安全性，以及计算通信过程中量子信道所能容纳的噪音上限.