CN115549899B

CN115549899B - 基于加密三光子矩阵乘积态的两方量子密钥分发方法

Info

Publication number: CN115549899B
Application number: CN202211147884.4A
Authority: CN
Inventors: 赖红; 张超杰; 刘力源; 张啸天
Original assignee: Southwest University
Current assignee: Southwest University
Priority date: 2022-09-20
Filing date: 2022-09-20
Publication date: 2024-04-16
Anticipated expiration: 2042-09-20
Also published as: CN115549899A

Abstract

本发明涉及量子通信技术，具体为一种基于加密三光子矩阵乘积态的两方量子密钥分发方法，首先，第一通信方将预分发的3bit密钥对制备成三光子矩阵乘积态，并随机选择泡利矩阵对第二个光子进行加密；然后通过量子信道发送给第二通信方；接着，执行窃听检测，识别是否存在第三通信方的干扰，若干扰超过预设阈值，则通信结束；然后，第一通信方通过经典信道告知第二通信方所选择的泡利矩阵以及解密当前光子所对应的系数矩阵；第二通信方测量所接收的光子并基于对应的泡利矩阵和系数矩阵恢复得到第一通信方分发的3bit密钥对。其效果是：有效减少了发送的量子比特数和双方交换的经典比特数；提高量子比特效率，节省量子资源，并可抵御各种攻击。

Description

基于加密三光子矩阵乘积态的两方量子密钥分发方法

技术领域

本发明涉及量子通信技术领域，尤其涉及一种基于加密三光子矩阵乘积态的两方量子密钥分发方法。

背景技术

量子物理学的最新进展表明，量子纠缠成为在量子信道上实施量子密钥分发的最好方法。1991年，Ekert教授提出了基于纠缠的量子密钥分发(QKD)协议(简称Ekert91)。Ekert91协议的安全性是由著名的贝尔不等式保证的。1992年，Bennett，Brassard和Mermin等人修改了Ekert91协议(简称BBM92)。与Ekert91协议相比，BBM92协议的安全性不再依赖于贝尔不等式。相反，其安全性的评估类似于众所周知的BB84协议，即通过对比数据误码率的方式来判断窃听情况。这样的好处在于，Bell不等式的检验在实验实现上较为困难，而对比是否存在误码则要容易得多。

2002年，Long和Liu提出了一种QKD协议(简称LL02)，具体可参考：Long G L andLiu X S.Theoretically efficient high capacity quantum-key-distributionschemes.Physical Review A,2002,65:032302.

该协议采用了N个有序纠缠对，在LL02协议中，两个通信方(我们称他们为Alice和Bob)事先协商好使用四个Bell态|ψ^->_AB,|ψ⁺>_AB,|φ^->_AB,|φ⁺>_AB对二进制字符串00，01，10和11分别进行编码。接下来，Alice一次制备N个有序EPR(Einstein-Podolsky-Rosen)对，这些EPR对处于随机Bell态中的一个。Alice将这N个EPR对分为两组，并将第一组发送给Bob。当Bob收到Alice发送第一组序列后，Bob随机选择两组测量基(⊕或)用于第一组序列中的单光子测量。然后，Bob告诉Alice他测量了哪些光子以及它们的测量结果。然后，Alice对尚未发送的光子序列中对应的光子进行单光子测量，并将测量结果与Bob的测量结果进行比较，以分析错误率。如果错误率小于设定的阈值，Alice再将第二组光子序列发送给Bob。Bob将这两组光子序列集合结合起来执行贝尔测量，以便读出由Alice制备的EPR完全对应的量子态及其编码的二进制字符串。否则，Alice和Bob将丢弃这些EPR对。LL02协议的一个优点是它的性能优于Ekert91和BBM92协议。然而，它的缺点是需要抑制退相干效应，因为一组光子序列需要等待另一组光子序列的传输。基于LL02协议，更多基于EPR和GHZ(Greenberger-Horne-Zeilinger)态的QKD协议被提出。自从有这些协议的提出，基于纠缠态的QKD协议就一直是一个活跃的研究课题，包括其安全性分析和实验实现。

要在两方和三方QKD协议中生成相同的随机数，我们通常可以使用EPR对或GHZ态。但遗憾的是，在这些协议中，纠缠态系数的关系没有得到充分利用，传达密钥信息时所需要的量子资源相对较高。

发明内容

由于矩阵乘积态(MPS)提供了整个态的纠缠的完整描述，与描述纠缠“数量”的冯·诺依曼熵不同，MPS描述了态之间的特定纠缠关系，MPS是一类设计好的张量网络态，在量子信息处理中起着重要作用。由MPS精确表示的纠缠态可以通过其属性来表征。例如，给定纠缠态的所有系数显示在了MPS中，因此MPS就直接定义了相应光子之间的纠缠关系。这意味着我们可以使用三光子MPS来设计一个两方QKD协议。

有鉴于此，本发明提供一种基于加密三光子矩阵乘积态的两方量子密钥分发方法，解决的技术问题在于：如何在密钥分发过程中充分利用各个纠缠态的系数。

为了实现上述目的，本发明所采用的具体技术方案如下：

一种基于加密三光子矩阵乘积态的两方量子密钥分发方法，其关键在于，包括以下步骤：

S1：第一通信方将预分发的3bit密钥对制备成三光子矩阵乘积态，并随机选择泡利矩阵对第二个光子进行加密；然后通过量子信道将加密后的第二个光子发送给第二通信方；

S2：第一通信方和第二通信方执行窃听检测，识别是否存在第三通信方的干扰，若干扰超过预设阈值，则通信结束；

S3：第一通信方通过经典信道告知第二通信方在步骤S1中所选择的泡利矩阵以及解密当前光子所对应的系数矩阵；第二通信方测量所接收的光子并基于对应的泡利矩阵和系数矩阵恢复得到第一通信方分发的3bit密钥对。

可选地，第一通信方将预分发的密钥信息按照3bit密钥对进行分组，通过重复执行步骤S1-S3，第二通信方将每次恢复得到的3bit密钥对进行串联形成密钥信息。

可选地，第一通信方按照均匀分布选择|001>,|011>,|110>三种光子组合，并以的形式制备三光子矩阵乘积态，其中m＝1，2，…，n，n表示密钥信息中所含3bit密钥对的分组数量。

可选地，第一通信方制备的三光子矩阵乘积态表示为：

对应的系数矩阵为：

可选地，第二通信方按照以下方式恢复得到3bit密钥对K_AB，

其中：|0>和|1>对应为第二通信方所接收的光子测量结果，为解密当前光子所对应的系数矩阵。

可选地，在步骤S2中执行窃听检测时，第二通信方随机选择已接收到的光子，并从两个基B_z＝{|0>,|1>}，B_x＝{|+>,|->}中随机选择一个进行测量，且通过经典信道将选择的基和所选择的光子序号告知第一通信方，第一通信方选择该光子序号所对应的三光子矩阵乘积态中两个未发送的光子，并利用第二通信方选择的基进行测量，并将测量结果与第二通信方的测量结果进行比较，当错误率超过约定的阈值时，协议终止，其中

可选地，在步骤S3中，第二通信方利用基B_z＝{|0>,|1>}测量所接收的光子。

本发明提供的基于加密三光子矩阵乘积态的两方量子密钥分发方法，其显著效果在于：有效减少了发送的量子比特数和双方交换的经典比特数；提高了量子比特的效率；与基于三光子纠缠态的传统QKD相比，需要传输的纠缠光子数量及其测量值减半，节省了量子资源，同时也可以抵御各种现有的攻击。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是n个量子比特的多体量子态表示及其矩阵乘积态(MPS)表示；

图2是|ψ>的MPS不唯一特性示意图；

图3为本发明具体实施例的方法流程图。

具体实施方式

下面结合附图具体阐明本发明的实施方式，实施例的给出仅仅是为了说明目的，并不能理解为对本发明的限定，包括附图仅供参考和说明使用，不构成对本发明专利保护范围的限制，因为在不脱离本发明精神和范围基础上，可以对本发明进行许多改变。

为了更好的理解本发明的设计构思，下面先对相关的背景知识做简要介绍。

首先介绍多体态，矩阵乘积态(MPS)和泡利(Pauli)算子/矩阵的定义：

假设存在一个一维晶格系统，那么多体态的希尔伯特空间可以表示为n格希尔伯特空间的张量积：

其中每个子系统H_i，i＝1,2,···,n的维度是d。则与系统|ψ>相对应的希尔伯特空间H的维数为dⁿ，等价于：

#(|ψ>)～O(dⁿ) (2)

其中#表示算法复杂度。也就是说，表征系统所需的参数个数为dⁿ，呈指数级增长。等式(1)中描述的多体态可以写为：

其中是多体状态的系数，s_i，i＝1,2,···,n是物理指标，s_i∈{0,1}。

定义1：(多体量子态)n个量子比特的多体量子态表示定义为：

其中波函数ψ(s)是n个二元变量s_i∈{0,1}构成的复函数，其中s≡(s₁,…,s_n)。

MPS具有特定的纠缠结构，适用于描述量子多体系统的基态。这意味着通过小张量收缩得到的态可以准确地表示多体系统的基态和低激发态。这样极大地降低了希尔伯特空间的复杂性，即从指数级别降到了多项式级别，具体见图1。

定义2：(矩阵乘积态(MPS)多体态的MPS表示形式定义为：

这里含n个指标的系数(n阶张量)转化成了n个矩阵的乘积，其中分别是行向量和列向量，且这些矩阵的乘积是一个数。注意对应于多体态|ψ>的MPS表示不是唯一的，通过图2可以看出，同时还需要注意，给定截断维数χ，MPS的参数个数随n线性增加，结合图1可以看出，s_i，i＝1,2,…,n是物理指标，a_i,i＝1,2,…,n是虚拟指标，它确保MPS是多项式复杂度的，即：

#(MPS)～O(ndχ²) (6)

定义3：(泡利矩阵)泡利矩阵定义如下：

当泡利矩阵作用于态|0>和|1>时，结果如下：

基于上述背景知识的理解，本实施例提供一种基于加密三光子矩阵乘积态的两方量子密钥分发方法，如图3所示，包括步骤：

上述步骤仅仅针对3bit密钥对的分发过程做简要描述，实际应用中密钥信息通常包括多个bit的字符串，因此在具体实施时，第一通信方将预分发的密钥信息按照3bit密钥对进行分组，通过重复执行步骤S1-S3，第二通信方将每次恢复得到的3bit密钥对进行串联形成密钥信息。

在具体实施时，第一通信方简称Alice，第二通信方简称Bob，干扰方简称Eve；上述方法可以制定为专用协议，允许Alice和Bob使用加密的三光子MPS交换一个3比特的密钥，该协议由Alice通过使用Pauli矩阵加密三光子MPS来启动。接下来，她通过量子通道将第二个纠缠光子发送给Bob。Bob作为接收端，在确保量子信道不被窃听后，Bob用B_Z＝{|0>，|1>}测量光子，Alice通过一个安全的经典信道(即经过认证的广播信道)将使用的Pauli矩阵和MPS的系数矩阵中的第二个矩阵发送给Bob。Bob首先用从Alice接收到的Pauli矩阵解密测量的光子，然后他用从MPS接收到的MPS的系数矩阵中的第二个矩阵和他们之前的协议对密钥进行协商。

具体实施时，假设Alice选择以下三光子多态作为信号源：

注意，三种可能的结果组合001，011，110是均匀分布的，其中m＝1，2，…，n，n表示密钥信息中所含3bit密钥对的分组数量，在该通信中，Alice和Bob共享的多体态|Ψ>对应的MPS表示为：

在实际应用中，结合前文背景知识的描述，多体态|Ψ>的MPS表示法并不唯一，也可以选择其它表达形式。

结合本实施例所选择的表达形式，我们可以写出对应的系数矩阵为：

可以看出，光子1和2的纠缠有以下几种情况：

表示当光子1处于状态|0>，光子2也处于状态|0>时，对应的系数矩阵为

表示当光子1处于状态|0>，光子2处于状态|1>时，对应的系数矩阵为

表示当光子1处于状态|1>，光子2也处于状态1时，对应的系数矩阵为

观察等式(12)的第三项是根据前两项的状态展开写的，即：

换句话说，有以下三种情况：

表示如果光子1、2和3分别处于状态|0>、|0>和|1>，则对应的矩阵为

表示如果光子1、2和3分别处于状态|0>、|1>和|1>，则对应的矩阵为

表示如果光子1、2和3分别处于状态|1>、|1>和|0>，则对应的矩阵为

根据等式(12-14)可以看出，Alice和Bob仅通过第二个纠缠光子及其匹配矩阵就能恢复纠缠关系，即:

对于每个三光子MPS，Alice随机均匀选择的泡利矩阵I或X对等式(12)中MPS的第二个光子(记为2_m)进行加密。例如，对于|001>,Alice使用I将|0>加密为或者使用X将|0>加密为

对于每个三光子MPS，Alice保留光子1_m、3_m，并通过量子信道将加密光子2_m发送给Bob。

接下来，Bob和Alice执行窃听检测以识别Eve的可能干扰，在步骤S2中执行窃听检测时，Bob随机选择已接收到的光子，并从两个基B_z＝{|0>,|1>}，B_x＝{|+>,|->}中随机选择一个进行测量，且通过经典信道将选择的基和所选择的光子序号告知Alice，Alice选择该光子序号所对应的三光子矩阵乘积态中两个未发送的光子，并利用Bob选择的基进行测量，并将测量结果与Bob的测量结果进行比较，当错误率超过约定的阈值时，协议终止，其中

在窃听检测时，Bob可得到两种可能的结果，如果他选择基B_z，将得到对应{|0>,|1>}的结果如果他选择基B_x，将得到对应{|+>,|->}的结果m表示Bob所选择的光子序号，对应的，Alice对尚未发送的光子序列1_m、3_m中的相应光子进行测量，可以根据系统性能的要求约定预设阈值，通过对比分析测量所得的错误率，一旦超过预设阈值，则会中止协议以防止破坏密钥协议的攻击。

在窃听检测结束后，Bob用基B_z＝{|0>,|1>}测量所接收的光子，接下来，Alice告诉Bob她使用了哪些Pauli矩阵来加密的Bob手中对应的光子，以及等式(12)中MPS的解密光子对应的系数矩阵，这些信息通过认证的经典信道发送。最后，在执行纠错和隐私放大之后，Alice和Bob可以根据等式(15)得到共享密钥k_AB。

为了进一步理解本发明的显著效果，下面对各种性能做进一下说明：

由于我们假设Alice是可信的，那么她根据协议步骤制备一个初始的三光子MPS，MPS是理想的纠缠态。也就是说，Eve不能干扰Alice的环境。与BB84协议类似，测量基的随机选择允许Alice和Bob检测到Eve的窃听。注意，当Eve对三光子MPS的一个光子进行测量时，她必然会扰乱到三光子MPS中的其他光子。由于Eve不知道Alice和Bob所做的基选择，她的窃听会导致随机干扰，从而使Alice和Bob生成的最终数据不一致，具体分析如下：

(1)测量攻击

在这种攻击中，Eve对从Alice传输到Bob的纠缠光子进行测量。由于测量基是随机选择的，因此Eve选错基的概率为1/2。Eve能以1/2的概率猜出加密光子的基。因此，对于一个传输粒子，由干扰引起的错误率为显著高于实际量子信道的2％到8.9％的噪声率，这意味着将检测到该攻击。因此，我们的协议可以抵抗测量攻击。

(2)拦截-重发攻击

在这种攻击中，Eve在先拦截Alice传输给Bob的三光子MPS中的纠缠光子。Eve观察到Alice发送利用任意二维正交基{|ξ₀>，|ξ₁>}(B_z＝{|0>,|1>}或B_x＝{|+>，|->})制备的三光子MPS中的纠缠光子，并根据测量结果向Bob重新发送另一态处于B_z＝{|0>,|1>}或B_x＝{|+>,|->}的纠缠光子。首先，投影算子定义如下：

P(ξ₀)＝|ξ₀><ξ₀|,P(ξ₁)＝|ξ₁><ξ₁| (16)

接下来，考虑P(ξ₀)和P(ξ₁)的显式形式。SU(2)的任意旋转矩阵V(α，β，γ)可以表示如下：

其中0≤α＜4π，0≤β＜4π，0≤γ＜4π，σ_y,σ_z为Y和Z Pauli矩阵。因此，根据等式(17)和现有研究成果，P(ξ₀)和P(ξ₁)可以表示为以下形式：

当Eve用基|ξ₀>或|ξ₁>测量时，她认为Alice通过量子信道分别传输了一个密钥位‘0’或‘1’。

P_t定义为Eve对Alice发送的密钥比特做出准确猜测的概率，其中t基，t∈{x,y}由Alice和Bob共同选择。Q_t定义为Alice和Bob都使用t基通信时，没有检测到Eve入侵的概率。此外，P_t和Q_t的书写形式如下:

将公式(8)、(10)、(18)和(19)代入公式(20)可以得出：

这里，假定Eve选择对称性为P_x＝P_y的策略进行窃听。因此，得到sinα＝cosα，在一般情况下，将α值的范围视为α∈[0,2π)。因此，我们得到α＝π/4，5π/4。

当α＝π/4时，由式(21)可得：

一般β∈[0,2π)，可得：

当α＝5π/4时，由式(21)可得：

一般β∈[0,2π)，可得：根据上述分析，Eve的策略仅施加对称性P_x＝P_y。因此，Eve的最佳拦截-重发攻击由α＝π/4、β＝π/2和α＝5π/4、β＝3π/2提出。如果Eve发起最佳拦截-重发攻击，Eve正确猜测Alice发送的关键比特的概率接近0.8535，Alice和Bob未能检测到Eve恶意行为的概率为3/4＝0.75。当Bob测量来自Eve的伪造拦截粒子时，他会发现一些错误，错误率为1-0.8535ⁿ，Alice和Bob检测到Eve恶意行为的概率为1-0.75ⁿ。因此，我们的协议可以抵抗拦截-重发攻击。

(3)木马攻击

木马攻击一般可以分为两类：延迟光子攻击和不可见光子攻击。在我们的QKD协议中，Eve可以通过在传输的加密的MPS中的第二个光子序列中插入一系列间谍光子，她的目标是发现Alice和Bob之间分发的密钥。但是加密的光子序列2_m仅传输一次，因此Eve不可能从她的间谍中提取出MPS的信息的。因此，我们的QKD协议可以抵抗木马攻击。

(4)纠缠测量攻击

在这种攻击中，我们假设Eve通过将一个三光子MPS与一个辅助态|0_E>纠缠来制备一个新态。因此，新态是：

通过使用CNOT门，|Ψ′>成为四光子MPS，可以表示为

当Bob使用B_z基进行测量时，无法检测到攻击。我们传输的光子是加密的。这意味着即使Eve获得了加密的光子，如果不知道用于加密的矩阵，她也无法提取任何有用的信息。此外，当Bob检查是否成立时，可以立即发现纠缠窃听行为。这是因为对于每个l，以相等的概率取0或1。注意，对于|Ψ′>，关系成立(但对于就不成立)。因此，我们的协议可抵制纠缠测量攻击。

(5)效率比较

效率是QKD协议的一个关键特征，QKD效率的定义为其中a，b，c分别表示发送的量子比特数，双方交换的经典比特数和共享的经典比特数。我们的协议通过减少量子比特的消耗和双方交换经典比特的数量来实现高效率。很明显，我们的协议需要的量子比特数量比现有各种协议中的数要小得多，双方交换的经典比特数也是小得多。注意，我们只发送一个光子序列，而不是两个或多个光子序列。由于参数a、c包括需要发送的量子比特的数量和双方传输光子所交换的经典比特的数量。因此，我们协议的效率优于现有的工作，并节省了量子资源。

接下来比较我们协议和基于GHZ态QKD协议的参考文献[1,2,3]的量子比特效率(QE)，其中：

文献[1]:Xu G B,Wen Q Y,Gao F,et al.Novel multiparty quantum keyagreement protocol with GHZ states.Quantum Information Processing,2014,13(12):2587-2594.后文简称协议[1]；

文献[2]:Chang C H,Yang C W,Hwang T.Trojan horse attack free fault-tolerant quantum key distribution protocols using GHZ states.InternationalJournal of Theoretical Physics,2016,55(9):3993-4004.后文简称协议[2]；

文献[3]:Li L,Li Z.A verifiable multi-party quantum key distributionprotocol based on repetitive codes.Information Sciences,2022,585:232-245，后文简称协议[3]。

根据文献[2]，我们将效率定义为其中q_c和q_t分别为协议中共享的经典比特数和制备的光子总数。公平起见，我们假设在文献[1，2，3]和本协议中，窃听检测和木马攻击检测都消耗一半的传输光子。

在Xu等人的协议[1]中，为了编码L个经典密钥位，Alice制备p个三粒子GHZ态(即3p个量子比特)用于密钥生成，以及个量子比特用于窃听检测。因此，协议[1]中，QE为L/(3p(1+1/2))＝(2L)/(9p)。

在Chang等人的协议[2]中，为了编码2n个经典密钥比特，Alice制备了n个三粒子GHZ态(即3n个量子比特)用于密钥生成，以及n个诱骗态(即2n个量子比特)用于窃听者检测。Bob必须制备n个两粒子态(即2n个量子比特)以及n个诱骗态(即2n个量子比特)用于窃听检测。因此，在Chang等人的协议[2]中，QE为

在Li和Li的协议[3]中，为了编码mp个经典密钥比特，Alice制备了p组有序量子态序列，t个参与者使用的量子比特总数为3mpt。因此，在Li和Li的协议[3]中，QE为(mp)/(3mpt)＝1/(3t)。

在本协议中，为了编码3n个经典密钥位，Alice制备了n个三粒子GHZ态(即3n个量子比特)用于密钥生成，个量子比特用于窃听检测。因此，协议的QE为3n/3n(1+1/2)＝2/3。

具体对比关系详见表1，其中N_NPQ表示量子参与者的数量。

综上可以看出，本发明利用三光子矩阵乘积态(MPS)可描述态间特定纠缠关系的良好性质来设计一种两方QKD协议。与现有的协议相比，我们提出的协议具有以下优点：(1)减少了发送的量子比特数和双方交换的经典比特数；(2)提高了量子比特的效率；(3)与基于三光子纠缠态的传统QKD相比，需要传输的纠缠光子数量及其测量值减半，(4)节省了量子源。此外，我们提出的协议可以抵御各种现有的攻击。

表1 本协议与[1,2,3]中的协议性能比较

最后需要说明的是，上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.基于加密三光子矩阵乘积态的两方量子密钥分发方法，其特征在于，包括以下步骤：

S3：第一通信方通过经典信道告知第二通信方在步骤S1中所选择的泡利矩阵以及解密当前光子所对应的系数矩阵；第二通信方测量所接收的光子并基于对应的泡利矩阵和系数矩阵恢复得到第一通信方分发的3bit密钥对；

第一通信方按照均匀分布选择|001>,|011>,|110>三种光子组合，并以的形式制备三光子矩阵乘积态，其中m＝1，2，…，n，n表示密钥信息中所含3bit密钥对的分组数量；

第一通信方制备的三光子矩阵乘积态表示为：

对应的系数矩阵为：

第二通信方按照以下方式恢复得到3bit密钥对K_AB，

其中：|0>和|1>对应为第二通信方所接收的光子测量结果，为解密当前光子所对应的系数矩阵；

在步骤S2中执行窃听检测时，第二通信方随机选择已接收到的光子，并从两个基B_z＝{|0>,|1>}，B_x＝{|+>,|->}中随机选择一个进行测量，且通过经典信道将选择的基和所选择的光子序号告知第一通信方，第一通信方选择该光子序号所对应的三光子矩阵乘积态中两个未发送的光子，并利用第二通信方选择的基进行测量，并将测量结果与第二通信方的测量结果进行比较，当错误率超过约定的阈值时，协议终止，其中

在步骤S3中，第二通信方利用基B_z＝{|0>,|1>}测量所接收的光子。

2.根据权利要求1所述的两方量子密钥分发方法，其特征在于，第一通信方将预分发的密钥信息按照3bit密钥对进行分组，通过重复执行步骤S1-S3，第二通信方将每次恢复得到的3bit密钥对进行串联形成密钥信息。