刘国民 刘松梅

1，成都理工大学信息工程学院 610059

2，成都石室锦城外国语学校 610059

基于纠缠交换的量子密钥分发方案

刘国民1刘松梅2

1，成都理工大学信息工程学院 610059

2，成都石室锦城外国语学校 610059

基于纠缠交换提出了一种不需要交替测量和旋转Bell态的密钥分发协议。该协议具有较高的效率，具有良好的安全性。

量子密码；纠缠交换；密钥分发

量子密码安全性由量子不可克隆定理和测不准原理所保证[1]。量子密码主要包括量子密钥分配[2]、量子数据加密、量子秘密共享等方面。作为一种重要的资源，纠缠被广泛应用于量子信息处理中，包括量子通信、量子密码和量子计算。纠缠交换（Entanglement Swapping，简写为ES）是纠缠态的一种很好的属性，即通过合适的Bell测量纠缠可以在不同粒子之间进行转移。ES在量子密码中有很多应用。文献[3]介绍了一种不同交替变换测量基的方案。本文提出一种基于ES的密钥分发方案，它不需要交替变换测量基，也不需要旋转Bell态。利用随机分组(RG)技术来保证其在独立攻击(individual attack)下的安全性，最后给出结论。

1、协议描述

假设Alice和Bob是密钥协商的双方，协议由以下几步组成：

（s1）准备粒子。Ali ce产生一组EPR纠缠对，它们的状态均为

Alice保留每一对中的一个粒子，另一个发给Bob。

（s 2）检测窃听。

（1）收到Alice发来的粒子后，Bob随机选出一组粒子，并两两做Bell测量。

（2）测量后Bob把他所测量粒子的序列号和测量结果告诉Alice。

（3）Alice根据这些序列号对自己手中相应的粒子（两两）做Bell测量，并把所得结果与Bob的结果相比较。例如，考虑Bob测量的一对粒子，其序列号分别为x和y。则Alice也用Bell基对手中的第x个和第y个粒子进行测量，并比较两个测量结果。如果这些粒子没有被窃听，Alice和Bob将得到相同的结果。于是Alice可以根据错误率的大小来判断是否存在窃听。如果信道中没有窃听，Alice和Bob继续进行下面的步骤。

（s3）得到密钥。Bob对他剩下的粒子两两做Bell测量。Bob记录所有这些粒子对的序列号并把这些序列号告诉Alice。然后Alice用Bell基测量她手中相应的粒子。如上所述，他们将得到相同的测量结果。这样，Alice和Bob可以根据这些测量结果得到原始密钥(raw key)。

2、安全性分析

一般情况下，Eve有两种常见的窃听策略。一种称为“截获-重发”攻击，即Eve截取合法粒子并用假冒粒子替换掉。Eve产生同样的EPR粒子对并从每对中选出一个发送给Bob，这样她可以像Alice在第三步中那样判断出Bob的测量结果。但这种情况下Alice的粒子和假冒粒子间没有关联，当Alice和Bob在检测窃听时他们会得到随机的测量结果。假设用S对粒子来检测窃听，他们得到相同结果的概率仅为(1/4)s。也就是说，当s足够大时，Eve将会以很高的概率被检测到。所以这种窃听策略很容易被检测到。

Eve的第二种窃听策略是把附加粒子纠缠进Alice和Bob所用的2粒子态中，并在接下来的某个时间通过测量此附加粒子来得到关于Bob测量结果的信息。这种攻击测量看起来比第一种策略威胁更大。但实际上，这种策略对本协议来说是无效的，证明如下。

假设将被Alice和Bob做ES的任意两对EPR粒子，例如和，其中粒子1，3和粒子2，4分别属于Alice和Bob。当Alice和Bob对这些粒子做Bell测量时，测量结果的边缘概率统计与测量顺序无关。假设Alice先于Bob进行测量，粒子2，4将被投影到一个Bell态。由于Eve的介入，这两个粒子将与Eve的附加粒子纠缠在一起，因此态变成一个混合态ρ。Bob可以从ρ中提取到的信息量受Holevo量x(ρ)限制。用IEve表示Eve可以提取到的信息量，则有IEve＜x(P)(很明显，Eve可以得到的关于Bob的测量结果的信息量必然不大于Bob)。由

可知S（ρ）是χ(ρ)的上届。“保真度越高意味着熵越低”。假设

从以上关系可以看出，当d=0即Eve不引入任何错误时，她将得不到任何信息，这与前面的分析相一致。当ɣ＞0时，Eve可以得到Bob的部分信息，但此时她必须面对一个非零的概率d=ɣ被检测到。当ɣ=3/ 4时，有S(ρmax)=2,这意味着Eve有机会窃听到Bob的所有信息。但是这种情况下，对于每个用于检测窃听的ES，检测概率不小于3/4。例如，如果Eve截获所有粒子并用自己产生的EPR粒子代替它们发送给Bob，她将得到关于Bob的密钥的所有信息，同时平均对每个ES引入3/4的错误率。

综上所述，本协议可以抵抗有附加粒子的窃听。

3、结论

本文基于ES提出了一种能够达到最高效率的密钥分配方案。它对于文献[4]中攻击方法的安全性由RG技术来保证，而不再依靠随机选取测量基或旋转Bell态。此外，此技术还带来另外一个好处，即不必把初始Bell态随机化，这使得我们的协议只需要较少的Bell测量。

另一方面，必须承认本协议有一个缺点，即它利用一串纠缠态而不是一个单个量子系统来分发密钥。但是，这个缺点并不严重。许多QKD方案都以这种方式工作，例如著名的E91协议。

[1] B.Schneier.Applied cryptography: protocols, algorithms, and source code in C, Second Edition. (Wiley,1996).吴世忠，祝世雄，张文政等译.应用密码学：协议、算法与C源程序. 北京:机械工业出版社.2000).

[2] X.Y.Wang, D.G.Feng, X.J.Lai, et al. Collisions for hash functions MD4, MD5,HAVAL-128and RIPEMD. http://eprint.iacr.org/2004/199(2004).

[3] C.H.Bennett, G.Brassard, and N.D.Mermin. Quantum cryptography without Bell Theorem. Physical Review Letters 68(1992)557.

[4] Y.S.Zhang, C.F.Li, and G.C.Guo. Comment on“quantum key distribution withour alternative measurements” [Phys.Rev. A 61,052312(2000)]. Physical Review A 63(2001)036301.

[5] A.Cabello. Quantum key distribution without alternative measurements. Physical Review A 61(2000)052312

刘国民，硕士研究生，研究方向：信息安全。