钟纪锋

(集美大学 航海学院，福建 厦门，361021)

当今社会人们信息交互量越来越大，信息传输安全和可靠性问题也同时摆在了人们的面前，建立安全可靠的通信网络越来越迫切。人们开展安全通信研究的主要目的就是让发送信息的一方将秘密信息安全、高效地传送给信息接收方。发送信息的一方利用密钥对需要传送的信息进行加密，信息接收方对接收的秘密信息进行解密，是目前安全通信领域常用的一种方式。用于解决目前经典通信系统的安全性问题的密钥体系一般都是基于数学问题的求解困难性导致计算机需要非常长的时间才能破译密钥这一原理，然而随着量子信息理论的快速发展，对基于经典密钥体系的通信安全在理论上面临非常大的挑战。量子密钥体系的安全性是基于量子物理的不可克隆定理、非正交状态不可区分定理，以及量子纠缠等相关特性，而不是数学问题的求解困难性，在理论上即使计算能力再强的窃听者也不能破译量子密钥，这样就可以保证量子密钥的安全。BENNETT和BRASSARD[1]在1984年提出了著名的“BB84”量子密钥分发协议之后，近年来越来越多的科研人员开始研究量子密钥分发协议理论，并且取得了很多研究成果，很多量子密钥分发方案相继提出来[2-11]，比如文献[12-16]中提出的密钥分发方案均较为高效。为了合法用户之间密钥的安全分发，伪装者窃听不能破译信息，一些基于验证的量子密钥分发方案也被提出。

为了验证通信双方的身份，本文将提出一种基于身份验证的量子密钥分发方案，该方案利用了量子纠缠交换的特殊物理性质，需要进行通信的二者在验证双方的合法性同时，可以检测量子信道的安全性，无需传送量子比特、交换经典信息或执行酉操作，通信双方即可利用纠缠交换的性质进行贝尔测量即可生成安全的密钥，且每两对纠缠粒子就可以生成密钥的2个量子比特位。本文将对所提出的量子密钥分发方案的安全性进行详细分析并计算密钥生成效率。

1 EPR对间的纠缠交换

纠缠交换是可以将原本没有直接相互作用的两个量子系统产生纠缠的物理特性。由于纠缠交换有着特殊的性质，因此其在量子通信中起着特别重要的作用。EPR对是处于最大纠缠态的双量子系统，它处于下列四种状态中的一种：

(1)

(2)

(3)

(4)

上面的|0〉和|1〉分别是一个光子的水平偏振态和垂直偏振态，每种状态亦称为贝尔态，{|φ+〉,|φ-〉,|ψ+〉,|ψ-〉}构成双量子位系统的一个完备正交基，用这组完备正交基来测量双量子比特系统的量子状态则称为贝尔测量。

假定需要进行通信的二者Alice和Bob共享两个贝尔态|φ+〉12和|φ+〉34，且Alice拥有粒子1和3，Bob拥有粒子2和4。|φ+〉12和|φ+〉34的张量积态可表示为

(5)

也就是说，如果Alice对粒子1和3进行贝尔测量，则Alice将以等概率得到|φ+〉，|φ-〉，|ψ+〉或|ψ-〉，若Bob对粒子2和4进行贝尔测量将获得和Alice相同的结果，使得原本不纠缠的粒子对(1，3)、(2，4)分别纠缠，这种现象称为纠缠交换。由于贝尔态有四种，总的纠缠交换公式共有16个，本文将用到公式(5)提出量子密钥分发方案。

2 量子密钥分发方案

假设通信的二者Alice和Bob秘密共享一个初始密钥K，及一个单向hash函数h:{0,1}*→{0,1}2S，其中*表示任意长度，S为常数。Alice和Bob分别计算出hash值h(K‖r)，其中r表示Alice和Bob已经同步过的随机数。然后，Alice和Bob将hash值分成等长的两部分：HKA和HKB，并将它们保密。

3 身份验证

1)Alice和Bob各自制备N个EPR粒子对，使每对粒子的初始状态为|φ+〉。Alice和Bob将所有EPR对分别组成粒子对序列[P1(1,2),P2(1,2),…,Pi(1,2),…,PN(1,2)]和[P1(3,4),P2(3,4),…,Pi(3,4),…,PN(3,4)]，其中Pi(1,2)和Pi(3,4)分别表示有序粒子对中Alice和Bob制备的第i个EPR对，1和2粒子由Alice制备，3和4粒子由Bob制备。Alice将所有的1粒子和2粒子分别组成有序粒子序列P1和P2，Bob将所有的3粒子和4粒子分别组成粒子序列P3和P4。

2)Alice自己保留粒子序列P1，同时把粒子序列P2传送给Bob，Bob向Alice确认收到粒子序列P2。Bob将粒子序列P3传送给Alice，同时保留粒子序列P4，Alice向Bob确认收到粒子序列P3。

3)Alice和Bob分别从制备的EPR对序列中随机选出S个EPR对，作为检测样本EPR对，并分别向对方公开这些EPR对的位置。对于原本由Alice制备的样本EPR对，Alice和Bob约定由HKA决定测量基，即若HKA=0，Alice和Bob选择Z基{|0〉,|1〉}进行测量，否则Alice和Bob选择X基{|+〉,|-〉}进行测量，测量完成后，Bob将测量结果告知Alice，Alice比较二者的测量结果，进而计算量子比特误码率。在理想情况下，由公式(5)可知，Alice和Bob的测量结果应该一致。如果错误率低于某个阈值，Alice则可认为Bob为合法用户，且量子信道安全。对于原本由Bob制备的样本EPR对，Alice和Bob约定由HKB决定测量基。用类似的方法，Bob来检测Alice是否是合法用户且量子信道是否安全。如果Alice和Bob可以确定对方为合法用户且量子信道安全，则继续执行下一步，否则放弃本次通信。

4)Alice和Bob确定对方为合法用户及量子信道安全之后，Alice拥有粒子序列P1和P3，Bob拥有粒子序列P2和P4。Alice和Bob抛弃P1，P2，P3和P4中的样本粒子从而得到新的对应的粒子序列P′1，P′2，P′3和P′4，记P′i(j)为序列P′i中第j个粒子。Alice对序列P′1和P′3中每个粒子对(P′1(j),P′3(j))进行贝尔测量，Bob对序列P′2和P′3中相应粒子对(P′2(j),P′4(j))进行贝尔测量，并分别保密各自的结果。根据公式(5)可知，Alice和Bob分别能随机得到四种不同的测量结果，且Alice和Bob测量结果相同，于是，Alice和Bob可以根据如下规则生成密钥。

|φ+〉→00,|ψ+〉→01,|ψ-〉→10,|φ-〉→11。

(6)

在生成初始的量子密钥之后，Alice和Bob对所生成的量子密钥进行信息调和和保密增强从而得到安全可靠的私钥。

从以上量子密钥分发的方案可以知道，在传输序列安全送至合法用户的情况下，Alice和Bob无需再传送任何量子比特，也不需要交换经典信息及执行酉操作，根据纠缠交换的性质，利用贝尔测量即可生成密钥；且根据密码生成规则可知，每2个EPR对可以生成密钥的2个量子比特位。

4 安全性分析

由于在密钥生成过程中，不再需要传输任何量子比特，量子协议的安全性是基于量子信道的安全性和用户的合法性为前提。换句话表述，如果量子信道是安全的而且用户是合法的，那么生成的密钥就是安全的。在下面分析中，敌对者假设为Eve。另外，由于Eve只能访问P2序列和P3序列，故不失一般性，分析Eve攻击P2序列的情况，对于Eve窃听P4的情况也是相类似的。

伪装者Eve可能伪装Bob接收Alice传送的粒子序列P2，同时伪装Alice制备伪装序列传送给Bob来和Alice与Bob进行通信而不让Alice或Bob知晓。Alice将粒子序列P2传出后在Bob未收到该序列前并不会公开检测样本粒子的为位置，并且伪装者Eve并不知道Alice和Bob共享的初始密钥K，甚至不知道Alice和Bob所使用的hash函数具体是什么，伪装者也就无法获得验证码HKA，不知如何测量传输序列P2也就无法制备伪装序列。否则，伪装者必然引起较高的错误率，从而被发现。

Eve也许纯粹破坏传输序列的状态来干扰Alice和Bob的通信却不发现。类似地，仅对Eve试图破坏P2粒子传输的情形。Eve试图寻找一个酉算子作用于序列P2粒子来破坏其状态，再将P2传送给Bob，使得Bob仅通过Z基测量检测粒子不能发现此种攻击。众所周知，任何单粒子酉算子U都可以表示成I，σx，σy，σz的线性组合，即

U=aI+bσx+cσy+dσz

(7)

从而对某个EPR对而言， Eve破坏攻击后其状态为

Υ=a|φ+〉+b|ψ+〉+ic|ψ-〉+d|φ-〉

(8)

由于Eve不知道验证码HKA，也就不知道Bob对序列P2中的检测样本粒子进行何种测量。当HKA=0时，Eve要使破坏活动不被发现，根据公式(8)，必须使得b=0，c=0；当HKA=1时，根据公式(8)，Eve必须使得c=0，d=0。结果两种情况可知，如果要使其破坏活动不被发觉，Eve仅能进行I操作；否则Eve将被发现。

(9)

(10)

其中|a00|2+|a01|2=1，|a10|2+|a11|2=1，|e00〉、|e01〉、|e10〉和|e11〉为辅助探针e可能的量子态。Eve纠缠攻击后，相对应的1粒子、2粒子和探针e组成的系统总状态(|Ξ〉)为：

当HKA=0时，Eve要使纠缠攻击不被发现，根据公式(11)，必须使得

(12)

当HKA=1时，Eve要使纠缠攻击不被发现，根据公式(11)，必须使得

(13)

结合公式(12)和(13)可知，如Eve的纠缠攻击在两种情况下均不产生错误，则有a00|e00〉E=a11|e11〉E。不妨设设a00|e00〉E=a11|e11〉E=a|e′〉E。从而有：

(14)

因此，Alice和Bob能有效防止Eve的此种攻击。

从上述密钥分发方案可知，在传输序列安全送至合法用户的情况下，Alice和Bob无需再传送任何量子比特，只需要进过贝尔测量即可获得密钥，没有量子比特和经典信息的传输，此时是完全安全的。

综上所述，所提量子密钥分发方案能有效防止各种已知攻击，是安全的。

5 效率分析与比较

2000年，CABELLO[17]提出了量子密钥分发协议的效率计算公式，用来评估量子资源的有效利用率ε。

(15)

其中bs为产生的经典密钥总比特数，qt为所消耗的量子比数、bt为发送方和接收方互相交换的总经典比特数。由于用于检测量子信道安全所耗费的量子比特和交换的经典信息一般可认为为固定值，一般不予考虑。从所提方案可知，除了在用户相互验证阶段需要交换少量的经典信息和耗费少量的量子资源外，在量子密钥生成阶段完全不需要传送任何量子比特和交换任何经典信息，且每两个量子纠缠粒子对可以生成2比特量子密钥，即bs=2，qt=4，bt=0，因此在不考虑少量用于量子检测而消耗的量子比特和交换的经典信息的情况下，所提出量子密钥分发方案效率为50%。

将文中的结果与文献[18]和[19]中基于纠缠交换的量子密钥分发协议效率进行对比。在文献[18]中，所提量子密钥分发协议有bs=2，qt=2，bt=4，故它的效率为33.3%。本文所提方案效率是它的1.5倍。文中所提量子密钥分发协议的效率与文献[19]所提量子密码分发协议相比，虽然具有相同效率，但是文中所提量子密钥分发方案中包含了验证通信双方身份的过程，这样可以有效地防止伪装攻击，而文献[19]所提量子密钥分发协议，并不能防止伪装攻击。综上所述，本文所提量子密钥分发协议既具有较高的效率又具有较好的安全性。

6 结束语

本文基于一种新的身份验证方法和量子纠缠交换性质，提出了一种量子密钥在合法授权用户之间分发的新方案。基于hash函数提出了一种身份验证方案，通过详细分析可知，本文提出的方案能完成合法用户的相互验证，同时，可以检测量子信道的安全。本文所提出的方案中，通信双方均需要各自准备一种纠缠贝尔态资源，通信双方分别传送纠缠贝尔态的一半粒子给对方，通过纠缠交换和贝尔测量将原来本没有相互作用的双量子系统关联起来，并利用这种特殊的关联特性使每两对纠缠粒子生成2比特的密钥。另外，无需交换任何经典信息且不要执行酉操作，只需进行贝尔测量即可生成密钥。根据Cabello提出的效率计算公式可算得所提方案的效率约为50%。