量子信息學(xué)導(dǎo)論 課件 第3、4章 量子信息論基礎(chǔ)、量子密碼術(shù)

第3章量子信息論基礎(chǔ)3.1熵與量子信息的測度3.2最大信息的獲取3.3量子無噪聲編碼定理3.4帶噪聲量子信道上的信息

信息論是通信的數(shù)學(xué)基礎(chǔ)，它通過數(shù)學(xué)描述與定量分析來研究通信系統(tǒng)的有效性、安全性和可靠性，包括信息的測度、信道的容量、信源和信道編碼理論等問題。經(jīng)典通信的基礎(chǔ)是香農(nóng)信息論，香農(nóng)信息論已發(fā)展得比較成熟；量子通信的數(shù)學(xué)基礎(chǔ)是量子信息論，而量子信息論還處在發(fā)展過程中。

3.1熵與量子信息的測度

熵的概念來自熱力學(xué)與統(tǒng)計(jì)物理學(xué)。熱力學(xué)中最重要的定理是熱力學(xué)第二定理，它指出任何一個(gè)孤立系統(tǒng)的熱力學(xué)過程總是向熵增加方向進(jìn)行。熵作為系統(tǒng)混亂度的量度，在統(tǒng)計(jì)物理中，近獨(dú)粒子系統(tǒng)的熵與粒子速度分布函數(shù)f(υ)的關(guān)系可表示為

3.1.1經(jīng)典香農(nóng)熵

香農(nóng)熵是經(jīng)典信息論中的基本概念。對于隨機(jī)變量X，它具有不確定性，可以取不同值：x1，x2，…xn。X的香農(nóng)熵即測到X的值之前關(guān)于X的不確定性的測度，也可以視為測到X值之后我們得到信息多少的一種平均測度。

定義3.1設(shè)對隨機(jī)變量X，測到其值為x1,x2,…xi，…，xn，概率分別為P1，P2，…，Pi，…，Pn，則與該概率分布相聯(lián)系的香農(nóng)熵定義為

其中Pi是測到xi的概率。

必須強(qiáng)調(diào)的是，這里對數(shù)是以2為底的，因此熵的單位是比特，且約定為01b0=0；另外，概率滿足

例如，投擲兩面均勻的硬幣，每面出現(xiàn)的概率為1/2，其相應(yīng)熵為

若投擲均勻的四面體，則熵為

一般地，如果隨機(jī)變量取兩個(gè)值，概率分別為p與1-p，則給出熵為

人們稱它為二元熵。

二元熵函數(shù)與概率P的關(guān)系如圖3.1所示?？梢钥闯觯?dāng)P=1/2時(shí)，H2(P)取最大值，為1。圖3.1二元熵函數(shù)與概率P的關(guān)系

二元熵為理解熵的一些性質(zhì)提供了一個(gè)容易掌握的實(shí)例。例如，可以用它來討論兩個(gè)概率分布混合時(shí)系統(tǒng)的行為。

設(shè)想Alice有兩個(gè)硬幣，一個(gè)是美元，另一個(gè)是人民幣，兩硬幣都不均勻，兩面出現(xiàn)的概率不是1/2，設(shè)美元正面出現(xiàn)的概率為PU，人民幣正面出現(xiàn)的概率為PC，假定Alice投美元的概率為Q，投人民幣的概率為1-Q，Alice告訴Bob正面或反面，平均而言Bob獲得多少信息？其獲得的信息會(huì)大于或等于單獨(dú)投美元和人民幣獲得的信息，數(shù)學(xué)表示為

定義3.2如果一個(gè)實(shí)函數(shù)f滿足以下關(guān)系：

其中，0≤P，x、y≤1，則稱函數(shù)具有凹性。

一般信息熵都具有凹性。若不等式(3.4)反過來，則稱函數(shù)f具有凸性。下面介紹有關(guān)熵的幾個(gè)重要概念，它涉及幾個(gè)概率分布關(guān)系。

1)相對熵

定義3.3對同一個(gè)隨機(jī)變量X有兩概率P(x)和Q(x)，P(x)到Q(x)的相對熵定義為

相對熵可以作為兩個(gè)分布間距離的一個(gè)度量?？梢宰C明相對熵滿足H[P(x)

Q(x)]≥0，即是非負(fù)的。

定理3.1設(shè)X是具有d個(gè)結(jié)果的隨機(jī)變量，則H(X)≤1bd，且當(dāng)X在d個(gè)結(jié)果上分布相同時(shí)取等號。

證明：設(shè)P(x)是X的一個(gè)具有d個(gè)結(jié)果的概率分布，令Q(x)＝1/d，則有

因?yàn)?/p>

即

2)聯(lián)合熵與條件熵

定義3.4設(shè)X和Y是兩個(gè)隨機(jī)變量，X和Y的聯(lián)合熵定義為

其中P(xy)是X取值x及y取值y同時(shí)發(fā)生的概率。

聯(lián)合熵是測量XY

整體不確定性的測度，若從該熵中減去Y

的熵就得到已知Y

條件下X的條件熵表示，即

它是在已知Y值條件下，平均而言對X值的不確定性的測度。

3)互信息

定義3.5將包含X信息的H(X)加上包含Y信息的H(Y)，再減去聯(lián)合信息H(XY)，就得到X和Y的共同信息H(X：Y)，稱為互信息，即有

將條件熵和互信息聯(lián)系起來有

各種熵之間的關(guān)系可以用一個(gè)圖形來表示，如圖3.2所示。此圖也稱為維恩圖，利用它可以幫助我們理解各種熵之間的關(guān)系，但此圖對量子熵不適用。

下面集中給出香農(nóng)熵的幾點(diǎn)性質(zhì)。

圖3.2互信息和各類熵之間的關(guān)系

3.1.2量子馮·諾依曼熵

將香農(nóng)經(jīng)典熵推廣到量子狀態(tài)，就是用密度算符代替熵中概率分布。

定義3.6若量子系統(tǒng)用密度算符ρ描述，相應(yīng)量子熵定義為

量子熵最早由馮·諾依曼引入，故又稱馮·諾依曼熵。若λn

是ρ的特征值，則馮·諾依曼熵又可以寫為

在具體計(jì)算中，式(3.16)用得多。例如：

定義3.7若ρ和σ是密度算符，ρ到σ的量子相對熵定義為

定義3.8若A、B組成復(fù)合系統(tǒng)，其密度矩陣為ρAB，定義A和B的聯(lián)合熵為

定義3.9在已知B條件下A的條件熵定義為

3.1.3馮·諾依曼熵的強(qiáng)次可加性

二量子系統(tǒng)的次可加性和三角不等式可以推廣到三量子系統(tǒng)，結(jié)果為強(qiáng)次可加性，它是量子信息論中重要的結(jié)論之一。

對任意的三量子系統(tǒng)A、B、C，以下不等式成立：

式(3.31)表示A、B兩系統(tǒng)的不確定性之和不大于AC和BC

兩聯(lián)合系統(tǒng)不確定性之和；式(3.32)表示

A、B、C三系統(tǒng)聯(lián)合不確定性加上B系統(tǒng)的不確定性小于等于AB和BC

聯(lián)合系統(tǒng)不確定性之和。這兩個(gè)結(jié)果要進(jìn)行嚴(yán)格證明是很困難的，下面給出一個(gè)簡單的論證。

3.2最大信息的獲取

設(shè)Alice有一個(gè)信源，按概率P1，P2，…，Pn產(chǎn)生隨機(jī)變量X的值，Alice選擇量子態(tài)ρｘ發(fā)給Bob，Bob對狀態(tài)進(jìn)行量子測量，結(jié)果為Y，然后根據(jù)測量結(jié)果Y給出X值的最好猜測——獲取的最大信息。

3.2.1

Holevo限

定理3.4設(shè)Alice以概率P1，P2，…，Pn制備量子態(tài)Px，其中x=1，2…，n，Bob進(jìn)行正定算符值測量，其POVM元為{Ey}={E1，…，EM}，測量結(jié)果為Y，Bob進(jìn)行任何此類測量所得信息上限為

式(3.41)右邊稱為Holevo限，有時(shí)記為χ。因此，Holevo限給出了可獲取信息的一個(gè)上限。

為聯(lián)合分布，則有

3.2.2Holevo限的應(yīng)用

利用混合量子狀態(tài)熵的上限定理

并聯(lián)合Holevo上限定理得

當(dāng)ρx對應(yīng)正交支集時(shí)取等號。

`圖3.3

Holevo限與θ/π的關(guān)系

3.3量子無噪聲編碼定理

3.3.1香農(nóng)無噪聲信道編碼定理

香農(nóng)無噪聲信道編碼定理量化了由經(jīng)典信源產(chǎn)生的信息在無損耗信道中其編碼壓縮的程度。經(jīng)典信源有多種模型，一個(gè)簡單有用的模型是隨機(jī)變量序列x1，x2，xn，構(gòu)成的源。隨機(jī)變量的值表示該源的輸出，設(shè)源持續(xù)發(fā)出隨機(jī)變量x1,x2,…xn，若各隨機(jī)變量彼此是獨(dú)立的，并且有相同的概率分布，則稱這樣的信源為IID信息源。

考慮二值IID源產(chǎn)生比特x1，x2，…xn，每比特以概率P出現(xiàn)0，而以概率(1-P)產(chǎn)生1。香農(nóng)定理的關(guān)鍵是把隨機(jī)變量

x1，x2，…xn的值x1的可能序列分為兩類，經(jīng)常出現(xiàn)的序列稱為典型序列，而很少出現(xiàn)的序列稱為非典型序列。利用IID源的獨(dú)立性假設(shè)，典型序列概率為

式(3.53)第一個(gè)等式來自獨(dú)立性假設(shè)，總概率為獨(dú)立概率之積；第二個(gè)等式來自同概率分布，每個(gè)取0的概率為P，而取0的個(gè)數(shù)為nP，取1的概率為1-P，其數(shù)目為(1-P)n。

兩邊取對數(shù)得

其中n是隨機(jī)變量數(shù)，也是比特?cái)?shù)。

H(X)=-P1b(1-P)1b(1-P)是二元熵，是每個(gè)隨機(jī)變量的熵，稱為信源的熵率，因此典型序列概率為P(x1,x2,…xn)≈2-nH(X)。由于典型序列總概率不會(huì)超過1，則典型序列個(gè)數(shù)最多為2nH(X)。

定義2.11對給定ε>0，若IID元產(chǎn)生的x1,x2,…xn序列概率滿足

則稱序列x1,x2,…xn為典型序列，有時(shí)也稱ε典型，序列數(shù)目為T(nε)。

為了引出香農(nóng)無噪聲信道編碼定理，先要證明典型序列定理，該定理的含義是：在隨機(jī)變量數(shù)n充分大時(shí)，信源輸出的大多數(shù)序列是典型序列。

定理3.5(典型序列定理)

(1)固定ε>0，對任意的δ>0和充分大的n，一個(gè)序列為ε典型的概率至少是1-δ，即

(2)對任意固定的

ε>0和δ>0及充分大的n，ε典型序列的數(shù)目T(nε)滿足：

定理3.6(香農(nóng)無噪聲信道編碼定理)設(shè){Xi}是一個(gè)具有熵率為H(X)的IID信源，R為編碼壓縮率。若R>

H(X)，則存在一種可靠的編碼壓縮方案，使編碼壓縮為新序列只

需nR比特表示；反之，若R<

H(X)，則不存在可靠的編碼壓縮方案。

所謂可靠編碼壓縮方案，是指通過解碼后可將壓縮后新序列以接近1的概率還原為原來的序列。

3.3.2量子舒馬赫無噪聲信道編碼定理

在量子信息論中將量子狀態(tài)視為信息，這是量子信息論概念上的突破。本節(jié)將定義量子信源，并研究該信源產(chǎn)生的信息——量子狀態(tài)在多大程度上可以被編碼壓縮。

圖3.4量子數(shù)據(jù)編碼壓縮

定理3.7(量子典型子空間定理)

(1)固定ε>0，對任意δ>0和充分大的n，有

(2)對任意固定的ε>0、δ>0和充分大的n，子空間的維數(shù)T(nε)滿足

證明由經(jīng)典典型序列定理類比得到

測試(3.63)可以直接從典型序列定理中的式(3.56)得到；典型序列的數(shù)目即為子空間的維數(shù)以及式(3.62)結(jié)論(3.64)可直接由典型序列定理中的式(3.57)得到。

有了典型子空間定理就不難得到量子無噪聲信道編碼定理，該定理也稱舒馬赫無噪聲信道編碼定理。

定理3.8(舒馬赫無噪聲信道編碼定理)

令{H，ρ}是IID量子信源，若R>S(ρ)，則對該源存在壓縮率為R的可靠編碼壓縮方案；若R>S(ρ)，則壓縮率為R的任何壓縮方案都是不可靠的。

3.4帶噪聲量子信道上的信息3.4.1帶噪聲經(jīng)典信道上的信息

噪聲是通信信道無法回避的問題，糾錯(cuò)碼可以用來對抗噪聲的影響。對一個(gè)特定的帶噪聲的信道，信息論的一個(gè)基本問題是要確定信道Ｎ可靠通信的最大傳送率，即信道的容量。香農(nóng)帶噪聲信道編碼定理是對這一問題最明確的回答。無論是量子的還是經(jīng)典的帶噪聲信道編碼的許多重要思想都可以通過研究二元對稱信道來了解。

所謂二元對稱信道是針對一個(gè)單比特信息的帶噪聲信道而言的，設(shè)想人們通過帶噪聲經(jīng)典信道從Alice發(fā)送一個(gè)比特給Bob，信道中由于噪聲作用使傳輸比特信息以概率P>0發(fā)生翻轉(zhuǎn)(如從0到1)，使比特?zé)o差錯(cuò)傳輸?shù)母怕蕿?-P，這樣的信道就稱為二元對稱信道，如圖3.5所示。

每次使用二元對稱信道可以可靠傳送多少信息，在使用糾錯(cuò)碼的情況下，通過論證其信息可以可靠傳輸?shù)淖畲蟊嚷蕿?-H(P)，其中H(P)是香農(nóng)熵，有關(guān)論證略。

圖3.5二元對稱信道

香農(nóng)帶噪聲信道編碼定理是將二元對稱信道的容量結(jié)果推廣到離散無記憶信道。信道無記憶是指每次使用信道時(shí)它的作用都相同,并且不同的使用之間是獨(dú)立的。離散無記憶信道具有有限的輸入字母表A和有限的輸出字母表Ｂ，對二元對稱信道，輸入字母和輸出字母表為A=B={0，1}。信道的作用將由條件概率P(y|x)來描述，它表示在給定輸入是x的條件下，從信道輸出不同y的概率，其中x

∈A，ｙ∈

B。條件概率滿足下列兩個(gè)條件：

經(jīng)典信息在帶噪聲信道中的傳送如圖3.6所示。N表示帶噪聲經(jīng)典信道，Alice從2nR個(gè)可能的消息中產(chǎn)生一個(gè)消息M并用映射(Map)Cn進(jìn)行編碼，即{1，2，…，2nR}→An；映射為Alice的每條消息分配一個(gè)輸入串，輸入串通過噪聲信道N以n次使用而傳給Bob，Bob對信道的輸出用映射Dn進(jìn)行編碼，即{Bn→1，2，…，2nR}；然后輸出映射的信號，每個(gè)可能輸出分配一個(gè)消息D(Y)。

圖3.6經(jīng)典信息在帶噪聲信道中的傳送

定義3.12對于給定的編碼／解碼對CnDn，差錯(cuò)概率定義為輸出消息Dn(Y)不等于消息Ｍ的最大概率，即

定義3.13如果編碼／解碼對

CnDn存在，且滿足n→∞時(shí)P(CnDn)→0，則稱相應(yīng)比率R是可達(dá)到的。一個(gè)給定的帶噪聲信道Ｎ的容量C(N)，定義為信道可達(dá)到的比率的上確界。

要通過計(jì)算P(CnDn)而給出信道容量C(N)顯然是很困難的，而香農(nóng)通過引入互信息回答了這個(gè)問題，這就是香農(nóng)帶噪聲信道編碼定理。

定理3.9(香農(nóng)帶噪聲信道編碼定理)

3.4.2帶噪聲量子信道上的經(jīng)典信息

假設(shè)Alice和Bob使用帶噪聲量子信道進(jìn)行通信，即Alice有某個(gè)消息M期望傳給Bob，她不用經(jīng)典算隨機(jī)數(shù)方法編碼，而是用量子狀態(tài)進(jìn)行編碼，并經(jīng)過帶噪聲量子信道傳送，人們期望得到計(jì)算帶噪聲量子信道上傳送經(jīng)典信息容量的方法。

考慮量子信道ε，Alice將消息利用量子態(tài)直積方式編碼ρ1

ρ2…，其中每個(gè)密度矩陣ρ1，ρ2,…都是信道ε的輸入，人們將帶有這個(gè)限制的容量稱為直積狀態(tài)容量，記為C(1)(ε)，表示輸入態(tài)中不使用糾纏態(tài)。有人認(rèn)為糾纏態(tài)不增加容量，但無證明，直積狀態(tài)容量的上限由HSW定理給出。

定理3.10(HSW定理)設(shè)ε是一個(gè)保跡的量子運(yùn)算，定義Holevo量

其中最大值是在所有輸入態(tài)ρj的全部系統(tǒng){

Pj

ρj}中取值，則χ(ε)是信道ε的直積狀態(tài)容量，即

C(1)(ε)是量子信道所能傳送的最大經(jīng)典信息容量。所取系綜包括d2個(gè)元，其中d是信道輸入的維數(shù)。定理2.10表示若Alice想從集合{1，2，…，3nR}中選取一個(gè)消息M發(fā)給Bob，她將消息利用ρM1

ρM2

…

ρMn編碼，其中比率R存在一個(gè)上限，由χ(ε)確定。

定理證明應(yīng)包括兩方面：

(1)證明對任何小于Holevo量χ(ε)

的比率R，總可以使用直積狀態(tài)進(jìn)行編碼，從而使信息能通過信道ε傳輸，證明略；

(2)證明另一方面，當(dāng)比率R大于Holevo限χ(ε)

時(shí)，Alice不可能通過信道ε以此比率向Bob發(fā)送信息。

下面證明第(2)點(diǎn)。

證明的策略是：設(shè)Alice均勻隨機(jī)從集合{1，2，…，2nR}中選取消息M，若其比率R大于定義的χ(ε)，則其平均出錯(cuò)概率必大于0，故最大出錯(cuò)概率也大于0，這是不行的。

設(shè)Alice把消息Ｍ編碼為ρM

=ρM1

ρM2

…

ρMn，而相應(yīng)輸出用σ代替ρ，Bob用正定算符值測定進(jìn)行解碼，并假定每個(gè)M包含一個(gè)EM，使得則平均差錯(cuò)概率為

對經(jīng)典信息，比率

R<1bd，其中d是信道輸入的維數(shù)，由于利用Holevo界可以論證n量子比特不能用于傳送多于n比特的經(jīng)典信息，因此{(lán)EM}中包含dn+1個(gè)元。

3.4.3帶噪聲量子信道上的量子信息

1.熵交換與量子費(fèi)諾不等式

我們將量子信源視為處于混合態(tài)ρ的系統(tǒng)與別的量子系統(tǒng)糾纏的量子系統(tǒng)，量子信息通過量子運(yùn)算ε傳輸?shù)目煽啃詼y量是糾纏保真度F(ρε)用Q表示ρ所在系統(tǒng)，R表示初始純化

Q的參考系統(tǒng)，這樣，糾纏保真度就是在系統(tǒng)Q上的ε作用下保持Q和R之間糾纏程度的一種測度。

量子運(yùn)算作用到量子系統(tǒng)Q的狀態(tài)ρ會(huì)引起多少噪聲，一個(gè)測度方法是擴(kuò)展到系統(tǒng)Q，它開始處在純態(tài)，在量子運(yùn)算i作用下變成混合態(tài)。定義運(yùn)算i在輸入ρ態(tài)上的熵交換為S(ρε)=S(R′Q′)，R′Q′是運(yùn)算的系統(tǒng)。對熵交換S(ρε)大小有一個(gè)上限，它由量子費(fèi)諾不等式給出。

定理3.11(量子費(fèi)諾不等式)令ρ為一量子狀態(tài)，ε為一個(gè)跡的量子運(yùn)算，相應(yīng)熵交換為

這個(gè)表達(dá)式稱為量子費(fèi)諾不等式，其中F(ρε)是糾纏保真度，H2(o)是二元香農(nóng)熵，d是Q的維數(shù)。

從量子費(fèi)諾不等式看出，如果一個(gè)過程的熵交換大，則這個(gè)過程的糾纏保真度就小，顯示R和Q之間糾纏沒得到很好的保持。對比經(jīng)典費(fèi)諾不等式，熵交換類似于經(jīng)典信息論中條件熵H(X|

Y)的作用。

2.量子數(shù)據(jù)處理不等式

回憶經(jīng)典數(shù)據(jù)處理不等式：對一個(gè)馬爾可夫鏈過程X→Y→Z，有

只有在Y恢復(fù)隨機(jī)變量X的概率為1時(shí)，式（3.78）才取等號。因此經(jīng)典數(shù)據(jù)處理不等式為糾纏的可能性提供了信息論方面的充要條件。

定義3.14對量子系統(tǒng)，考慮由于量子運(yùn)算ε1和ε2

描述的兩階的量子過程我們定義量子相干信息為

在量子信息論中，相干信息起著經(jīng)典信息論中互信息H（X:Y）的作用，我們利用它給出量子數(shù)據(jù)處理不等式。

定理3.12（量子數(shù)據(jù)處理不等式）

令ρ是一量子狀態(tài)，ε1和ε2是保跡的量子運(yùn)算，則有

只有能夠完全逆轉(zhuǎn)運(yùn)算ε1時(shí)第一個(gè)關(guān)系式才取得等號。完全逆轉(zhuǎn)將存在保跡逆運(yùn)算R，使得保真度F(ρRε1)＝１。

雖然相干信息類似于經(jīng)典的互信息，但類似于給出經(jīng)典互信息與經(jīng)典信道容量關(guān)系的香農(nóng)帶噪聲信息編碼定理，即量子帶噪聲信息編碼定理至今還未建立，量子運(yùn)算完全可逆要求ρ中每個(gè)狀態(tài)都有(

R·ε1)(|ψ〉〈ψ|)=|ψ〉〈ψ|。

3.量子單一界

對于有噪聲信道，可以通過量子糾錯(cuò)碼來減少噪聲，提高信息容量。量子單一界是給出量子糾錯(cuò)碼糾錯(cuò)能力的估界。

考慮nkd編碼，使用n量子比特對k量子比特進(jìn)行編碼，并糾正d-1量子比特上的錯(cuò)誤。經(jīng)典單一界給出的結(jié)果是

n-k≥d-1，量子單一界給出的為n-k≥2（d-1），這表明量子糾錯(cuò)比經(jīng)典糾錯(cuò)難。

第4章量子密碼術(shù)4.1密碼學(xué)與經(jīng)典加密

4.2量子密碼的概念和理論

4.3量子密鑰分配協(xié)議4.4量子密鑰分配協(xié)議仿真4.5量子密碼安全性分析4.6量子安全直接通信

量子加密是一種利用量子力學(xué)原理對信息進(jìn)行加密的信息安全技術(shù)，與已有的信息安全技術(shù)相比，它從物理機(jī)制上嚴(yán)格保證了加密過程的安全性。它是信息安全領(lǐng)域中的一項(xiàng)新的理論與技術(shù)。量子加密可以表現(xiàn)為兩種不同的形式。一種是量子密鑰分配過程：這是因?yàn)橄戕r(nóng)在信息論中已證明一次一密的絕對安全性，所以加密技術(shù)的安全性將完全依賴于密鑰分配的安全性。另一種則是從加密算法的本身出發(fā)實(shí)現(xiàn)量子加密。

因?yàn)榱孔用荑€分配具有可證明的安全性以及在分配過程中提供對外界干擾的檢測機(jī)制，從1984年首次提出開始，吸引了人們大量的關(guān)注。為了更好地理解量子密碼技術(shù)，本章從經(jīng)典加密開始，闡述量子密鑰分配協(xié)議，并給出量子密鑰分配協(xié)議的安全性證明，以及在現(xiàn)有計(jì)算機(jī)上仿真實(shí)現(xiàn)每種協(xié)議的過程和結(jié)果分析。

4.1密碼學(xué)與經(jīng)典加密

4.1.1密碼學(xué)的歷史自人類文明開始，通信的保密性就顯得很重要。大約公元400年前，古希臘國王Spartans就采用了名為SCYTALE的設(shè)備來加密，它是用在軍事指揮官間進(jìn)行通信的一根逐漸變小的短棒，上面包裹著的是含有消息的螺旋上升的細(xì)長的羊皮紙。短棒上縱長地寫著單詞，每個(gè)單詞都繞長條旋轉(zhuǎn)。在未繞時(shí)，消息上的字母顯得雜亂無章，羊皮紙就在這種狀態(tài)下傳送出去。接收者解開羊皮紙并把它繞在同樣形狀的細(xì)棒上，原來的消息就會(huì)顯示出來，如圖4.1所示。

圖4.4第一臺加密設(shè)備——SCYTALE

另據(jù)稱JulisCaesar在他的通信中用了一種簡單的字母替位方法。Caesar消息的每個(gè)字母都被它后面的三位字母所代替，即字母A被D代替，B被E代替等。

這兩個(gè)簡單的例子包含了密碼學(xué)中至今仍使用于加密的兩個(gè)基本思想：“換位”和“替換”。在換位(如SCYTALE)中，明文的字母(技術(shù)上要傳輸?shù)南?要經(jīng)過特別的改變以重新排列。在替代(如Caesar的密碼)中，明文的字母被其他的字母、數(shù)字或任意的符號所代替。通常這兩種技術(shù)可以結(jié)合起來使用。

總的來說，復(fù)雜的加密技術(shù)主要限于軍事領(lǐng)域。例如，第二次世界大戰(zhàn)期間德國的NIGMA和美國的M209。由于戰(zhàn)爭需要不得不研制電子工具來對付這些加密儀器，這就導(dǎo)致了第一臺數(shù)字計(jì)算機(jī)COLOSSYS的研制，于是現(xiàn)代密碼術(shù)隨著計(jì)算機(jī)科學(xué)的誕生而發(fā)展。正如R．L．Rivest(著名的公開密鑰密碼體制RSA的發(fā)現(xiàn)者之一)所指的那樣，密碼分析學(xué)是“計(jì)算機(jī)科學(xué)的產(chǎn)婆”。

4.1.2密碼學(xué)中的基本概念

人類希望把重要的信息通過某種變換轉(zhuǎn)換成秘密形式的信息。轉(zhuǎn)換方式可以分為兩大類：一類是隱寫術(shù)，隱蔽信息載體(信息)的存在，古代常用。另一種是編碼術(shù)，將載荷信息的信號進(jìn)行各種變換使它們不為非授權(quán)者所理解。在利用現(xiàn)代通信工具的條件下，隱寫術(shù)受到了很大的限制，但編碼術(shù)卻以計(jì)算機(jī)為工具取得了極大的發(fā)展。通常把對真實(shí)數(shù)據(jù)施加變換的過程稱為加密，用符號Ek表示，把加密前的真實(shí)數(shù)據(jù)稱為明文P，加密后輸出的數(shù)據(jù)稱為密文C。從密文恢復(fù)出明文的過程稱為解密Dk。加密實(shí)際上是明文到密文的函數(shù)變換，變換過程中使用的參數(shù)叫密鑰k。

完成加密和解密的算法稱為密碼體制。最初的密文的安全性依靠整個(gè)加密和解密過程的安全性。由于一次一密的絕對安全性，即使加密和解密的算法公開，也不危及密碼技術(shù)的安全性。如果求解一個(gè)問題需要一定量的計(jì)算，但環(huán)境所能提供的實(shí)際資源卻無法實(shí)現(xiàn)它，則這種問題在計(jì)算上是不可能實(shí)現(xiàn)的。如果一個(gè)密碼體制的破譯是在計(jì)算機(jī)上是不可能實(shí)現(xiàn)的，則該密碼體制在計(jì)算上是安全的?，F(xiàn)有的密碼體制可分為對稱(單密鑰)體制和非對稱(雙密鑰)體制。在對稱體制中，加密密鑰和解密密鑰相同或者很容易相互推導(dǎo)出。對稱密碼體制必須同時(shí)滿足保密性和真實(shí)性的全部要求。直到20世紀(jì)70年代中期，所有密碼體制都是對稱密碼體制。

因此，對稱(單密鑰)制通常叫傳統(tǒng)(或經(jīng)典)體制。最有代表性的傳統(tǒng)密碼體制是美國政府頒發(fā)的數(shù)據(jù)加密標(biāo)準(zhǔn)。非對稱(雙密鑰)密碼體制的加密密鑰和解密密鑰中至少有一個(gè)在計(jì)算上不可能被另一個(gè)導(dǎo)出。因此，在變換Ek或Dk中有一個(gè)可公開而不影響另一個(gè)的保密性。

密鑰分配仍是加密技術(shù)急需解決的問題。能否解決密鑰分配問題？問題的答案是“肯定”的。存在著兩種非?？尚械慕鉀Q方案，一個(gè)是從數(shù)學(xué)上解決，一個(gè)是從物理上解

決。教學(xué)方案就是公鑰密鑰算法，物理方案將是利用量子特性實(shí)現(xiàn)的量子密碼。

4.1.3經(jīng)典密碼存在的問題

1.Catch22問題

安全性是密碼學(xué)研究所追求的目標(biāo)，但是在保密通信中一直存在所謂的Catch22問題。該問題可描述如下：

在保密通信中，通信雙方Alice和Bob在進(jìn)行保密通信之前，他們首先需要獲取密鑰，即需要獲取密鑰的秘密通信，然而這種秘密通信的安全性得不到證明。更詳細(xì)地說，即使Alice和Bob的密鑰是通過某個(gè)安全信道獲得的，仍然沒有足夠的證據(jù)能夠說明他們所獲得的密鑰是安全的，沒有充分的理由能夠說明密鑰沒有遭到敵手Eve的截?fù)簟?/p>

2.經(jīng)典密碼學(xué)的解決方案

“一次一密”雖然被Shannon證明是絕對安全的，但是也不能克服Catch22問題。因?yàn)樵谶@種體制中通信者需要一個(gè)所謂的安全信道來獲取秘密密鑰，而在經(jīng)典密碼體制中通信者無法證明安全信道是否遭到敵手的攻擊。實(shí)際上，任何經(jīng)典的單鑰密碼體制都無法克服Catch22問題。

一種方案是現(xiàn)代密碼學(xué)中的公鑰密碼體制。這種密碼體制能在一定程度上繞過Catch22問題，但存在一些缺陷。對于公鑰密碼體制，不再需要合法通信者Alice和Bob通過安全信道交換密鑰。在保密通信的實(shí)現(xiàn)過程中，Alice和Bob各自產(chǎn)生自己的密鑰對EA、DA及EB、DB。然后他們秘密地保存各自的密鑰DA、DB，同時(shí)公開另一半密鑰EA、EB，這些密鑰對任何人都是公開的。密鑰對EA、DA及EB、DB不對稱，也就是說，由公開密鑰獲取秘密密鑰及其相反的過程的計(jì)算難度是不一樣的。

這種密碼體制的安全性依賴于相應(yīng)的數(shù)

學(xué)問題，例如RSA密碼體制基于大數(shù)質(zhì)因子分解的困難性，MerkleHellman背包體制及相關(guān)體制是基于子集問題的困難性，橢圓密碼體制基于代數(shù)曲線上的離散對數(shù)難解困難性，

MeEliece密碼體制基于代數(shù)編碼困難性，等等。雖然在公開密碼體制中通信者不需要安全信道，而且從理論上來說，由公開密鑰獲得秘密密鑰在計(jì)算上是不可能的，因此在公鑰密碼體制中Catch22問題似乎得到了解決，然而公鑰體制存在以下兩個(gè)不安全因素：

(1)公鑰體制是計(jì)算安全的。因?yàn)槟芙孬@到密文y的敵手能夠利用公開密鑰Ek依次加密每一明文，直到找到一個(gè)滿足y=Ek(x)的x為止，因此公鑰密碼體制永遠(yuǎn)不能提供無條件的安全性證明。所以從根本上來說，公鑰體制并沒有解決Catch22問題。特別是隨著數(shù)學(xué)和計(jì)算機(jī)技術(shù)的快速發(fā)展，很難保證密碼體制的安全性。例如，利用量子大數(shù)質(zhì)因子分解算法，當(dāng)量子計(jì)算機(jī)成為現(xiàn)實(shí)時(shí)，公鑰密碼體制將很容易破譯。

(２)在公鑰體制的實(shí)際應(yīng)用中，通信者的密鑰往往由密鑰管理中心管理，因此合法用戶進(jìn)行保密通信之前仍然需要同管理中心進(jìn)行保密通信，此時(shí)不能保證密鑰的保密通信是完全安全的?；谶@兩個(gè)原因，公鑰體制不能徹底解決Catch22問題。

量子密碼體制與經(jīng)典密碼體制相比，其優(yōu)點(diǎn)在于量子密碼體制提供了可證明的安全性和對外界干擾行為的檢測能力。由于量子密碼體制具有對外界干擾的檢測能力，它能解決經(jīng)典密碼體制中一個(gè)未能解決而又很重要的問題，即在進(jìn)行保密通信時(shí)能檢測敵手的存在與否。檢測的方法是：在獲取密鑰時(shí)利用量子力學(xué)原理對合法通信者間發(fā)送的量子態(tài)的擾動(dòng)情況進(jìn)行測試，具體做法依賴于相應(yīng)的量子密鑰分配協(xié)議。在后面的討論中將看到，Catch22問題在量子密碼術(shù)中得到了徹底的解決。這使得量子密碼術(shù)格外受到密碼學(xué)界和物理學(xué)界的重視。

4.2量子密碼的概念和理論4.2.1量子密碼原理

量子密碼學(xué)基于量子力學(xué)理論，它與經(jīng)典力學(xué)最重要的差別是互補(bǔ)性。海森堡測不準(zhǔn)原理指出量子態(tài)的測量必將引起原來量子態(tài)的擾動(dòng)，對一個(gè)量子系統(tǒng)的任何測量都不能獲取測量前該量子系統(tǒng)的全部信息。因此，當(dāng)竊聽者在一個(gè)量子通信信道上對傳輸?shù)牧孔討B(tài)進(jìn)行竊聽時(shí)，必將對原來的量子態(tài)造成不可避免的干擾，使得在量子通信信道兩端進(jìn)行合法通信的雙方的測量結(jié)果發(fā)生變化，從而提醒合法用戶竊聽者的存在。這種在通信雙方原先不共享秘密的情況下產(chǎn)生一個(gè)隨機(jī)安全密鑰的過程就是量子密鑰分配。這一性質(zhì)將使通信雙方無需事先交換密鑰即可進(jìn)行絕密通信，它是量子密碼的基礎(chǔ)。

而且由于B的測量已經(jīng)將粒子映射成新的量子態(tài)，在原理上已無法恢復(fù)出原來的量子態(tài)。同時(shí)，因?yàn)榱孔討B(tài)不可克隆原理，保證在不知道量子測量基矢條件下不能對量子態(tài)進(jìn)行有效的復(fù)制，所以B也不能通過復(fù)制接收粒子序列，以便進(jìn)行多次測量來獲取相關(guān)信息。

4.2.2量子密鑰分配

量子密鑰分配就是在合法用戶Alice和Bob間傳輸單個(gè)的或糾纏的量子對，而竊聽從物理學(xué)的角度來講是竊聽者在信息載體上進(jìn)行一系列測量。根據(jù)量子原理，竊聽者Eve進(jìn)行的測量不可避免地會(huì)改變量子的狀態(tài)，Alice和Bob在隨后進(jìn)行的公開通信中將會(huì)發(fā)現(xiàn)。因此量子密鑰分配的基本結(jié)構(gòu)將包含一個(gè)用于交換量子信息的量子通信，以及用于測試量子信息在量子通信中傳輸是否失真的公開信道。“公開信道”表示這類信道可以被任何人自由操縱，但是操縱不可改變通過該信道的任何信息。圖4.2描述了量子密鑰分配過程，其中Alice和Bob用兩個(gè)信道相連，一為量子信道，一為公開信道。

圖4.2

盡管量子密鑰分配過程具有可證明的安全性，然而在量子加密技術(shù)(QC)實(shí)用化過程中還存在一些問題，它主要表現(xiàn)在以下幾個(gè)方面。

第一個(gè)問題是不知道如何才能制造出純凈的單光子脈沖，這對于大多數(shù)的應(yīng)用(除了用糾纏光子對)都是很重要的。在實(shí)驗(yàn)中，通常用的是弱激光。對于這類光，脈沖里的光子數(shù)是服從泊松分布的隨機(jī)變量。這就意味著一些脈沖中沒有光子，一些則包含1、2個(gè)或更多。應(yīng)避免包含多于1個(gè)光子的脈沖，因?yàn)樗鼈兛赡苄孤缎畔⒔o竊聽者。為了使每個(gè)脈沖包含一個(gè)光子的概率盡可能的低，需要使用非常微弱的脈沖，這又會(huì)降低信噪比。

通常采用的值是平均每個(gè)脈沖含0.1個(gè)光子(也就是每10個(gè)脈沖中的1個(gè)脈沖包含1個(gè)光子)，脈沖包含超過1個(gè)光子的概率是5×10-3。這表明仍然存在0.5%的可用脈沖(至少有一個(gè)光子)包含2個(gè)或更多的光子，它們會(huì)泄露信息給竊聽者。

第二個(gè)問題也是更嚴(yán)重的問題，是不丟失量子信息就不能放大。因此，由于傳輸損失的緣故，量子加密只能在有限的距離內(nèi)進(jìn)行?，F(xiàn)有系統(tǒng)(基于硅纖維上的紅外線光子)的最小損耗大約是0.2dB/km。因此超過100km的量子加密系統(tǒng)(損失20dB，或傳輸率是0.01)在目前看來存在一定困難，大范圍的量子加密系統(tǒng)目前還不可能實(shí)現(xiàn)。

第三個(gè)問題是點(diǎn)對點(diǎn)交換很適應(yīng)，但對其他類型的網(wǎng)絡(luò)通信亟待研究，如何構(gòu)造量子網(wǎng)絡(luò)中的交換和中繼需要進(jìn)一步研究。

4.3量子密鑰分配協(xié)議

所謂量子密鑰管理，是指在發(fā)送方和接收方不共享任何信息的基礎(chǔ)上，利用量子態(tài)的物理特性完成雙方共享比特串的過程，其中不管竊聽者采用任何手段進(jìn)行竊聽，都不能截取共享比特串的任何有用信息。依賴于量子態(tài)的不同物理特性，量子密鑰分配協(xié)議存在著不同的分配方案，主要表現(xiàn)為兩大類：一類是基于非正交極化量子態(tài)的不可克隆原理的單粒子密鑰分配協(xié)議，常見的有基于四個(gè)量子態(tài)的BB84協(xié)議、基于兩個(gè)量子態(tài)的B92協(xié)議和基于六個(gè)量子態(tài)的5態(tài)協(xié)議；

另一類是依靠量子糾纏態(tài)特性的密鑰分配協(xié)議，如Ｅkert協(xié)議。和單粒子密鑰分配的協(xié)議相比，利用糾纏對的密鑰分配協(xié)議在量子態(tài)的存儲(chǔ)問題上也得到了測不準(zhǔn)原理的保護(hù)，在這一點(diǎn)上優(yōu)越于基于非正交量子態(tài)的密鑰分配方案。下面將分別闡述這幾種協(xié)議的具體實(shí)現(xiàn)過程。

4.3.1BB84協(xié)議

BB84協(xié)議是C．H．Bennett和G．Brassard于1984年在Wiesner的“共軛編碼”思想的啟發(fā)下提出的?，F(xiàn)以偏振光子為例，闡述量子密鑰分配(QKD)的基本原理。

圖4.3光子檢測器的建立

圖4.4基于單粒子密鑰分配的BB84示意圖

基于單粒子密鑰的協(xié)議過程可概括如下：

(1)量子傳輸。Alice隨機(jī)選擇單光子脈沖的極化態(tài)和基矢，將其發(fā)送給Bob。對于每個(gè)脈沖，Bob隨機(jī)選擇基矢測量，收到的比特串為原始密鑰。

(2)數(shù)據(jù)篩選。由于噪聲的作用，特別是Eve的作用，使光子態(tài)序列中光子的極化態(tài)發(fā)生變化。另外，Bob的接收器不可能百分之百得到正確的測量結(jié)果，所有那些在傳送中沒有收到的或測量失誤的比特?cái)?shù)，在Alice和Bob通過公開信道互通測量基矢比較后全部放棄，同時(shí)計(jì)算錯(cuò)誤率。最后保留所有相同基矢對應(yīng)的測量結(jié)果為篩選密鑰。

(3)數(shù)據(jù)糾錯(cuò)。由于Eve的作用，也不能保證篩選后Alice和Bob各自保存的比特串完全相同，解決問題最好的方法是進(jìn)行交互式的糾錯(cuò)算法，在糾錯(cuò)中計(jì)算錯(cuò)誤率和泄露出的信息量。

(4)計(jì)算壓縮參數(shù)。綜合計(jì)算出的錯(cuò)誤率、糾錯(cuò)時(shí)泄露給Eve的信息、信源的特性以及安全要求等因素，在理論上可計(jì)算出壓縮參數(shù)τ，以便盡可能少地讓Eve獲取密鑰信息。

(5)保密加強(qiáng)。利用非量子力學(xué)的保密加強(qiáng)原理進(jìn)一步提高所得密鑰的安全性和保密性。通過保密加強(qiáng)算法使得密鑰的秘密性進(jìn)一步加強(qiáng)。通過身份認(rèn)證，得到具有足夠保密性的密鑰。

這種基于光子的偏振方案在自由空間里是很吸引人的，因?yàn)樵谧杂煽臻g里偏振態(tài)不會(huì)被破壞，但是在光纖上實(shí)現(xiàn)起來就復(fù)雜得多。因?yàn)樵诠饫w里去偏振效應(yīng)和隨機(jī)波動(dòng)的雙折射效應(yīng)同時(shí)存在，其中去偏振不是主要問題，可以采用大量的干涉源壓縮該效應(yīng)。然而克服雙折射效應(yīng)卻存在困難。靜止條件下雙折射波動(dòng)的時(shí)間規(guī)模很短(1小時(shí))，在已安裝的電纜上進(jìn)行的一項(xiàng)實(shí)驗(yàn)將觀察到更短的時(shí)間規(guī)模，這使得補(bǔ)償傳輸變得不可能。一個(gè)電子補(bǔ)償系統(tǒng)當(dāng)然可能連續(xù)跟蹤和糾正偏振態(tài)，但是它要求Alice和Bob之間有隊(duì)列程序。在此基礎(chǔ)上提出的相位編碼系統(tǒng)能夠克服這些問題。

4.3.2

B92協(xié)議

B92協(xié)議的安全性依賴于量子不可克隆原理，這與前面兩種協(xié)議是完全一致的。但測量方法有所改變，

B92協(xié)議采用POVM算子測量方法，而不是前面所用的投影測量。Alice選擇兩非正交量子態(tài)之一發(fā)送給Bob，例如：

Bob用POVM接收器測量Alice發(fā)送的光子，并譯碼得到相應(yīng)的比特串。

Bob通知Alice哪些時(shí)隙他可以確定測量結(jié)果正確(即選取的測量算符是E1或E2的時(shí)隙)，這些時(shí)隙對應(yīng)的比特作為Alice和Bob的初始密鑰。

Alice和Bob在初始密鑰中選取一部分進(jìn)行誤碼率檢測，依次來判定是否存在竊聽，決定是否交換密鑰。

4.3.3

6態(tài)協(xié)議

4.3.4Ekert協(xié)議

1992年，Ekert根據(jù)相關(guān)量子態(tài)提出了一種基于EPR關(guān)聯(lián)光子對的EPR量子密碼協(xié)議，稱之為Ekert協(xié)議。

Ekert協(xié)議的分配過程如下：仍然假設(shè)Alice和Bob是合法用戶而Eve為竊聽者。假設(shè)存在如下形式的EPR光子源，通過量子信道，沿著Z軸方向分別向Alice和Bob發(fā)送糾纏對中的兩個(gè)極化光子。

傳輸完成后，Alice和Bob在公開信道中公開宣布他們對每一對量子態(tài)進(jìn)行測量所用的坐標(biāo)，并把測量結(jié)果分為兩部分：第一部分為不同的坐標(biāo)，第二部分為相同的坐標(biāo)。首先，他們將那些一人和兩人都沒有記錄到的結(jié)果全部丟棄。接下來Alice和Bob只公開第一部分的結(jié)果，這樣他們可以根據(jù)式(4.9)確定S的值，如果沒有直接或間接干擾，合法用戶就可以確定他們得到的第二部分測量結(jié)果沒有被干擾，可以轉(zhuǎn)化成一個(gè)秘密比特串，即密鑰。

4.4量子密鑰分配協(xié)議仿真

4.4.1仿真算法的設(shè)計(jì)

由量子密鑰分配協(xié)議可知，要用經(jīng)典計(jì)算機(jī)來仿真量子密鑰分配過程，關(guān)鍵問題是Alice如何制備攜帶比特信息的極化量子態(tài)，而Bob又如何來測量這些隨機(jī)發(fā)送的量子態(tài)。通過分析一個(gè)極化量子態(tài)，可以確定它完全取決于極化基和隨機(jī)的比特值，這在經(jīng)典計(jì)算機(jī)上可以采用兩個(gè)變量來描述，其中一個(gè)表示極化基(⊕、

或⊙)，一個(gè)表示比特值(0或1)。

由于協(xié)議中極化量子態(tài)的極化基和比特值是隨機(jī)選擇的，因此在經(jīng)典計(jì)算機(jī)中這些變量的具體取值就可以通過偽隨機(jī)數(shù)產(chǎn)生器產(chǎn)生。仿真量子密鑰分配協(xié)議的另一個(gè)關(guān)鍵技術(shù)量子態(tài)的測量。在BB84協(xié)議和6態(tài)協(xié)議中使用的是投影測量方法：當(dāng)量子信道不存在Eve干擾時(shí)，Alice和Bob將獲取相同的量子態(tài)。當(dāng)他們使用相同的極化基時(shí)，他們測量得到的比特值將完全相同，將Alice的極化基和比特值復(fù)制給Bob。當(dāng)他們使用不同的極化基時(shí)，他們測量得到的比特值間沒有相關(guān)性，將使用偽隨機(jī)數(shù)產(chǎn)生器產(chǎn)生一個(gè)隨機(jī)值賦給Bob；當(dāng)信道存在Eve干擾時(shí)，Bob從密鑰分配過程獲取的任何比特值都將取決于Eve的重發(fā)量子態(tài)。

當(dāng)Bob選用的測量基與Eve發(fā)送的極化基相同時(shí)，將Eve的比特值賦值Bob，否則產(chǎn)生一個(gè)隨機(jī)值賦給Bob。在這種情況下，Alice和Bob盡管可能使用相同的極化基，獲得的量子態(tài)卻可能不相同，得到的比特值可能相同也可能不同，不同的結(jié)果便產(chǎn)生了密鑰分配的誤碼率。在B92協(xié)議中，Bob的測量方法有所改變，當(dāng)他使用E1算子測量，而Alice又剛好發(fā)送|u0〉量子態(tài)時(shí)，或者Bob使用E2測量算子，而Alice發(fā)送|u1〉時(shí)，Alice和Bob得到的結(jié)果應(yīng)當(dāng)完全相同，可以將Alice的比特值賦值給Bob。但當(dāng)Bob使用E3測量算子時(shí)，不管Alice發(fā)送的是|u0〉還是|u1〉量子態(tài)，Bob得到的結(jié)果與Alice發(fā)送的比特值沒有相關(guān)性，可以通過隨機(jī)發(fā)生器產(chǎn)生一個(gè)隨機(jī)數(shù)賦值給Bob。

值得說明的是，在這個(gè)模型中，僅僅假設(shè)Alice和Bob是通過理想量子信道發(fā)送和接收量子態(tài)的。當(dāng)他們使用相同的發(fā)送極化基和測量極化基時(shí)，兩者比特值不相同的原因完全是由于Eve的干擾所引起的。得到篩選密鑰后，Alice和Bob隨機(jī)地從篩選密鑰中選擇一些比特值作為測試位，估算所得的篩選密鑰的誤碼率。如果這個(gè)誤碼率大于相應(yīng)密鑰分配的安全標(biāo)準(zhǔn)，則認(rèn)為信道是不安全的。因?yàn)樾诺烙懈`聽者存在，他們將放棄這次密鑰的分配；反之，他們將這個(gè)剩余的篩選密鑰通過糾錯(cuò)算法獲取一個(gè)共享的比特串。

至于Ekert協(xié)議，由于它所依據(jù)的量子特性不同于上述三種單粒子密鑰分配過程，所以在仿真時(shí)算法設(shè)計(jì)上將有所不同。在該協(xié)議中最重要的步驟是糾纏量子態(tài)的制備。由于糾纏特性很難闡述，更不用說在經(jīng)典計(jì)算機(jī)上來描述表示。然而在Ekert協(xié)議中，準(zhǔn)備好的糾纏對在發(fā)送給Alice和Bob時(shí)都將被測量，在測量時(shí)，根據(jù)原來準(zhǔn)備的糾纏對特性，Alice和Bob的測量結(jié)果間必存在關(guān)聯(lián)，所以可以將量子糾纏對的制備與Alice和Bob的測量同時(shí)在經(jīng)典計(jì)算機(jī)上進(jìn)行描述。在Eve沒有干擾的情況下，若量子糾纏對為下式的形式：

4.4.2BB84協(xié)議仿真及結(jié)果分析

BB84協(xié)議的計(jì)算機(jī)仿真按照該協(xié)議的步驟來模擬，同時(shí)給出了一些參數(shù)的控制功能。Eve的干擾考慮兩種情況：一是沒有竊聽，Alice和Bob安全地通信；二是Eve安全竊聽，Alice發(fā)送給Bob的信息全部被Eve截獲，然后Eve再發(fā)送給Bob，即Eve采取截獲／重發(fā)方式竊聽。

1.BB84協(xié)議仿真

根據(jù)BB84協(xié)議，在參考BB84簡單模型的基礎(chǔ)上，現(xiàn)將該量子密鑰分配協(xié)議的計(jì)算機(jī)仿真總體設(shè)計(jì)分為五個(gè)部分：第一部分是Alice量子態(tài)的制備，第二部分是Eve的竊聽，第三部分是Bob的測量，第四部分是誤碼率的估算，第五部分判斷是否交換密鑰。圖4.5是該量子密鑰分配協(xié)議仿真系統(tǒng)程序的流程圖。

圖4.5

BB84協(xié)議仿真程序流程圖

第一部分是Alice量子態(tài)的制備。Alice首先隨機(jī)地選取發(fā)送基序列，然后根據(jù)發(fā)送基序列將要發(fā)送的0、1比特序列轉(zhuǎn)換成光子，完成該功能，其轉(zhuǎn)換規(guī)則如下：

程序中光子的偏振態(tài)用向量{基，ket[bit]{來描述，“基”對應(yīng)于發(fā)送時(shí)所選的發(fā)送基“RectilinearBasis(垂直水平正交基)”或“DiagonalBasis(45°傾斜正交基)”，“ket[bit]”對應(yīng)于右矢ket[0]或ket[1]。這里用圖示的形式來描述Alice的發(fā)送過程，如圖4.6所示。

圖4.6

Alice

制備的極化光子序列

此時(shí)存在兩種情況：一是Eve完全竊聽，她隨機(jī)地選取檢測用的基序列，截獲并測量Alice發(fā)送給Bob的光子，得到自己的比特序列，然后再將自己的比特序列如同Alice一樣轉(zhuǎn)換成光子，發(fā)送給Bob。另一種是Eve沒有竊聽，這時(shí)相當(dāng)于Eve是透明的，她直接將截獲的光子發(fā)送給Bob(雖然量子態(tài)是不可克隆的，但在程序?qū)崿F(xiàn)時(shí)可以通過Eve復(fù)制Alice極化態(tài)的方式來模擬Eve沒有竊聽的情況，這樣使得Eve有竊聽和Eve沒有竊聽兩種情況統(tǒng)一起來，使程序簡單化)。

第二部分：對于Eve有竊聽的情況，截獲重發(fā)過程圖形化的描述如圖4.7所示。當(dāng)Eve選擇的測量基與Alice發(fā)送基相同時(shí)，可得到相同的比特值，其轉(zhuǎn)換規(guī)則如式(4.13)所示。對于竊聽的情況，此處不再描述，Eve應(yīng)該完全與Alice發(fā)送的消息序列相同。

圖4.7

Eve竊聽后得到的消息序列

第三部分是Bob的測量。Bob首先隨機(jī)地選取測量用的基，然后Bob根據(jù)這些基和接收到的光子，進(jìn)行譯碼得到自己的比特序列。Bob操作圖形化的描述如圖4.8所示。圖4.8Bob測量后得到的消息序列

第四部分是對密鑰分配過程的誤碼率的估測。比較Alice和Bob的基，他們相同的基所對應(yīng)的比特就是初始密鑰，然后在獲得的初始密鑰中隨機(jī)地選取一部分進(jìn)行比較，計(jì)算出其誤碼率?？赏ㄟ^圖4.9所示的圖形化方式來描述這個(gè)測試過程。圖4.9

第五部分是決定Alice和Bob是否交換密鑰。根據(jù)第四部分給出的誤碼率來判斷這次密鑰交換是否成功。為了簡單起見，現(xiàn)僅考慮無噪聲量子傳輸信道的情況，即沒有竊聽時(shí)，Alice和Bob的誤碼率為0，只要有竊聽，誤碼率就大于0。所以如果誤碼率大于0，則此次密鑰分配失敗，不交換密鑰。如果誤碼率不大于0，則此次密鑰分配成功。圖４.10是一次成功的密鑰分配，獲得的交換密鑰為：{{{1}，{0}，{0}，{0}，{1}}，{{1}，{0}，{0}，{0}，{1}}}。前一部分是Alice的最終密鑰，最后一部分是Bob的最終密鑰。圖4.10依據(jù)BB84協(xié)議Alice與Bob共同獲取安全密鑰的密鑰分配過程

2.關(guān)于誤碼率和發(fā)送光子數(shù)的討論

上面的仿真是根據(jù)誤碼率判定傳輸過程是否存在竊聽，同時(shí)是以誤碼率是否大于0作為判斷標(biāo)準(zhǔn)的，即是在一種理想的、無干擾的系統(tǒng)中得出的判定標(biāo)準(zhǔn)。在實(shí)際的通信系統(tǒng)中，傳輸過程不可能做到無干擾，這時(shí)，即使Eve沒有竊聽，在Bob選對基的情況下，由于量子信道及系統(tǒng)的其他部分的干擾，Bob譯碼得到的比特也有可能出錯(cuò)。在這里將考慮不同允許誤碼率情況，Alice和Bob為了獲得有效密鑰，Alice至少發(fā)送多少量子比特的問題。

首先，給出一個(gè)假設(shè)，在密鑰分配的最后，Alice和Bob至少獲得5個(gè)(或以上)的比特才算是有效密鑰。在這個(gè)假設(shè)的基礎(chǔ)上，可以作為另一個(gè)假設(shè)，在進(jìn)行誤碼率估算時(shí)，將測試用的比特?cái)?shù)固定為10，這樣可以簡化問題，同時(shí)簡化仿真程序。

在上面兩個(gè)假設(shè)的基礎(chǔ)上，進(jìn)行不同誤碼率下的BB84協(xié)議仿真，具體步驟如下：

(1)將誤碼率判定標(biāo)準(zhǔn)定為0.01×i(i=1)，即估測誤碼率大于0.01時(shí)，認(rèn)為存在竊聽。

(2)將Alice要發(fā)送的比特?cái)?shù)的初始值設(shè)定為15(其中5個(gè)是密鑰長度，10個(gè)是測試位長度)，進(jìn)行一次密鑰分配。

(3)如果不能產(chǎn)生有效密鑰，即密鑰分配失敗，則將需要發(fā)送的粒子數(shù)加1，再進(jìn)行一次密鑰分配。

(4)如果不能產(chǎn)生有效密鑰，則不斷重復(fù)步驟(3)，直至得到一次有效密鑰為止，并返回此時(shí)所需要的粒子數(shù)值。

(5)重復(fù)步驟(2)得到步驟(4)100次，得到100個(gè)需要的粒子數(shù)值，算出這些值的平均值，就是對于允許誤碼率為0.01時(shí)Alice所需發(fā)送的比特?cái)?shù)。

(6)改變i的值(i=0，1，2，…，25)，重復(fù)步驟(2)~(5)，可以得出26種允許誤碼率情況下Alice所需發(fā)送的比特?cái)?shù)。

現(xiàn)以15個(gè)比特作為密鑰分配的初始值，根據(jù)26個(gè)坐標(biāo)點(diǎn)可以描繪出Alice所需發(fā)送比特?cái)?shù)和誤碼率的關(guān)系曲線，如圖4.11所示。

圖4.11

Alice所需發(fā)送比特?cái)?shù)和誤碼率的關(guān)系

從圖4.11所示的曲線可以看出，隨著允許誤碼率的增加，Alice所發(fā)送的比特?cái)?shù)總體上是減小的，這與理論分析結(jié)果相符合。注意曲線在p=0.1處有一個(gè)很大的下降趨勢，在0≤p

≤0.1的范圍內(nèi)，Alice所需要的發(fā)送比特?cái)?shù)基本保持一致，在34~36之間擺動(dòng)，而在0.1≤

p≤0.25的范圍內(nèi)曲線有一個(gè)下降的趨勢。

使用同樣的算法，進(jìn)一步將每一種誤碼率作1000次有效密鑰分配，得到圖4.12所示的曲線。我們發(fā)現(xiàn)在p=0.1處的這個(gè)躍變不是一個(gè)巧合，它是由協(xié)議本身決定的。下面將對此作一簡單解釋。

圖4.12

Alice所需發(fā)送比特?cái)?shù)和誤碼率的關(guān)系統(tǒng)計(jì)平均曲線

4.4.6

6態(tài)協(xié)議仿真及結(jié)果分析

1.

6態(tài)協(xié)議仿真

6態(tài)算法的計(jì)算機(jī)仿真程序在主干程序上和BB84的一樣，也分為五個(gè)部分：第一部分是Alice的操作，第二部分是Eve的操作，第三部分是Bob的操作，第四部分是誤碼率的估算，第五部分決定是否交換密鑰。在具體實(shí)現(xiàn)時(shí)有點(diǎn)差異，表現(xiàn)為以下幾個(gè)方面：

(1)測試位數(shù)的估算。因?yàn)锽B84協(xié)議在完全隨機(jī)的條件下，Bob能獲取75%的Alice發(fā)送的比特串，而在6態(tài)協(xié)議中，這個(gè)比例下降為66.7%

(2)由于極化基在仿真中表述為一個(gè)隨機(jī)數(shù)，BB84協(xié)議和6態(tài)協(xié)議在隨機(jī)數(shù)的選取上存在差異，BB84協(xié)議要求兩種極化基出現(xiàn)的概率都為0.5，而6態(tài)協(xié)議需要控制在1/3左右。

(3)比特串與極化光子的映射中要加入基于極化基☉部分。

整個(gè)6態(tài)協(xié)議的仿真結(jié)果如圖4.13

~圖4.15所示。該實(shí)例中由于竊聽者Eve的干擾，使得信道不再安全，Alice和Bob將放棄這次密鑰分配，如圖4.16所示。

圖4.13Alice制備極化光子序列圖4.14Bob進(jìn)行測量獲得消息序列

圖4.15Alice和Bob通過公共信道進(jìn)行測試

圖4.16依據(jù)6態(tài)協(xié)議Alice與Bob放棄這次密鑰分配

2.關(guān)于誤碼率和發(fā)送光子數(shù)的討論

在上面的仿真中，根據(jù)誤碼率判定傳輸過程是否存在竊聽時(shí)，是以誤碼率是否大于0作為標(biāo)準(zhǔn)的，即是在一種理想的、無干擾的系統(tǒng)中得出的判斷標(biāo)準(zhǔn)。在實(shí)際的通信系統(tǒng)中，不可能做到無干擾。這時(shí)，即使Eve沒有竊聽，在Bob選對基的情況下，由于量子信道及系統(tǒng)其他部分的干擾，Bob譯碼出的比特也有可能出錯(cuò)。和BB84協(xié)議一樣，討論不同允許誤碼率的情況下，Alice和Bob為了獲得有效密鑰，6態(tài)協(xié)議中Alice至少要發(fā)送多少比特。

仿真的程序思路和BB84協(xié)議一樣，將允許誤碼率分為26個(gè)點(diǎn)，仿真實(shí)現(xiàn)后，根據(jù)26個(gè)坐標(biāo)點(diǎn)可以描繪出Alice所需發(fā)送比特?cái)?shù)和誤碼率的關(guān)系曲線，如圖4.17所示。

圖4.17

6態(tài)協(xié)議Alice所需發(fā)送比特?cái)?shù)和誤碼率的關(guān)系曲線

從圖4.17所示的曲線可以看出，隨著誤碼率的增加，Alice所發(fā)送的比特?cái)?shù)總體上是減小的，和理論上分析的結(jié)果大致符合。在0≤p<0.1范圍內(nèi)，Alice所需發(fā)送的比特?cái)?shù)基本保持一致，在60~62之間擺動(dòng)；而在0.1<ｐ≤0.25范圍內(nèi)曲線有一個(gè)下降的趨勢。6態(tài)協(xié)議中Alice所需的粒子數(shù)大于BB84協(xié)議的粒子數(shù)，這是因?yàn)?態(tài)協(xié)議的效率低于BB84協(xié)議的緣故。

4.4.4B92協(xié)議仿真及結(jié)果分析

B92協(xié)議的計(jì)算機(jī)仿真大體上和BB84協(xié)議一樣，主要是在譯碼的檢測方法上有所不同。BB84協(xié)議和6態(tài)算法的譯碼檢測都是采用投影測量，而B92協(xié)議采用ＰＯＶＭ測量，因此仿真程序的算法實(shí)現(xiàn)上存在不同。

B92協(xié)議中首先要給出發(fā)送用的兩個(gè)態(tài)|ψ1〉和|ψ2〉及測量用的三個(gè)算子E1、E2、E3，總過程和BB84及6態(tài)協(xié)議一樣，也分為五個(gè)部分。

第一部分是Alice的操作仿真，如圖4.18所示。

圖4.18

B92協(xié)議中Alice制備極化光子

第二部分是Eve的操作仿真，此時(shí)使用POVM算子測量，測量的規(guī)則如下：

(1)用算子E1(Ⅰ)測量，如果結(jié)果為0，那么譯碼為0，否則譯碼為1；

(2)用算子E2(Ⅱ)測量，如果結(jié)果為0，那么譯碼為1，否則譯碼為0；

(3)用算子E3(Ⅲ)測量，得不到準(zhǔn)確的譯碼，隨機(jī)選取0、1作為譯碼輸出，獲得如圖4.19所示的結(jié)果。

圖4.19

Eve通過POVM測量算符進(jìn)行竊聽

如果Eve存在竊聽，則Eve將根據(jù)測量后的結(jié)果重新產(chǎn)生新的量子態(tài)發(fā)送給Bob；如果Eve不存在，則這一步驟將Alice的結(jié)果復(fù)制給Bob，這使得仿真程序能夠同時(shí)實(shí)現(xiàn)有竊聽和沒有竊聽兩種情況。

第三部分是Bob的測量仿真，遵循

POVM測量規(guī)則，獲得如圖4.20所示的結(jié)果。

4.20

Bob通過POVM測量算符獲取的消息序列

第四部分是對整個(gè)密鑰分配過程中的誤碼率的估測。查看Bob選取的算子，只有當(dāng)算子為E1(Ⅰ)或E2(Ⅱ)時(shí)，Bob才能準(zhǔn)確地譯碼，此時(shí)所對應(yīng)的比特就是初始密鑰，然后在獲得的初始密鑰中隨機(jī)地選擇一部分進(jìn)行比較，計(jì)算誤碼率，如圖4.21所示。

圖4.21

Alice與Bob間通過公共信道進(jìn)行測試

第五部分是決定Alice和Bob是否交換密鑰，根據(jù)第四部分給出的誤碼來判斷這次密鑰交換是否成功。為了簡單起見，現(xiàn)只考慮無噪聲量子傳輸信道的情況。如果誤碼率大于0，則認(rèn)為此次密鑰分配失敗，不交換密鑰。如果誤碼率不大于0，則此次密鑰分配成功。在Eve沒有竊聽的情況下，得到如圖4.22所示的結(jié)果。其交換密鑰為{{{1}，{0}，{1}，{0}，{0}，{1}，{0}，{1}}，{{1}，{0}，{1}，{0}，{0}，{1}，{0}，{1}}}，前一部分是Alice的最終密鑰，后一部分是Bob的最終密鑰。

圖4.22

Alice和Bob間在B92協(xié)議下獲取安全的密鑰

4.4.5幾種量子加密算法的比較分析

以上幾小節(jié)分別描述了對BB84協(xié)議及B92協(xié)議的計(jì)算機(jī)仿真程序，本小節(jié)將以上的一些仿真結(jié)果和理論上的結(jié)論進(jìn)行比較，觀察它和理論是否符合，并且將各種算法進(jìn)行比較，觀察其保密效果。

為了比較不同量子密鑰分配協(xié)議的安全性，應(yīng)該研究各種竊聽方式。這里，只集中考慮“不連續(xù)攻擊”竊聽方式，也稱為截取/重發(fā)竊聽方式。

對于6態(tài)系統(tǒng)，它有三個(gè)發(fā)送基，歸為一個(gè)3維系統(tǒng)。同樣的，BB84協(xié)議可以歸為一個(gè)2維系統(tǒng)。理論上，可以給出Alice和Eve的互信息量與誤碼率的函數(shù)關(guān)系。

通過編程，可獲得6態(tài)系統(tǒng)及4態(tài)系統(tǒng)中Alice和Bob間以及Alice和Eve間的互信息與干擾程度間的關(guān)系理論曲線，如圖4.23所示。在仿真程序中考慮Eve不同竊聽程度情況下，即竊聽Alice發(fā)送信息的{10%，20%，30%，…，100%}，Eve從密鑰分配中獲取的信息與它引起干擾間的關(guān)系。為了消除每次密鑰分配過程中隨機(jī)數(shù)產(chǎn)生的影響，對每一種情況，進(jìn)行100次的密鑰分配，統(tǒng)計(jì)出每一次的Alice和Eve的互信息量與誤碼率，然后在統(tǒng)計(jì)上給出他們在某個(gè)誤碼率下的Alice和Eve的互信息量。這樣，就可以給出10種誤碼率下的互信息量，再將這些{誤碼率，互信息量}的點(diǎn)在坐標(biāo)空間中連起來，可以得到實(shí)驗(yàn)的互信息量和誤碼率的關(guān)系圖，如圖4.24所示。

圖4.23理論上Alice和Eve的互信息量與干擾程度間的關(guān)系圖

圖4.24實(shí)驗(yàn)中Alice和Eve互信息量與干擾程度間的關(guān)系曲線

對于系統(tǒng)的安全性而言，Alice和Eve之間的互信息量越小，安全性就越高。從上面兩圖(即圖4.23和圖4.24)可以得出三種算法的安全性。結(jié)合前面幾小節(jié)中誤碼率和發(fā)送光子數(shù)的討論，可以給出三種系統(tǒng)的密鑰傳輸?shù)男?，如?.2所示。

可以看出，安全性和效率兩個(gè)方面是互補(bǔ)的，一方面的提高是以另一方面的降低為代價(jià)的，這和經(jīng)典信息論中的結(jié)論是一致的。除此之外，這三種密鑰分配協(xié)議都是以單粒子的極化量子態(tài)特性為基礎(chǔ)，因而在仿真程序設(shè)計(jì)中具有很大的相似性。

4.5量子密碼安全性分析

在理想的情況下量子密鑰分配協(xié)議具有可證明的安全性。單粒子密鑰分配協(xié)議的安全性依賴處于非正交量子態(tài)的不可克隆原理，然而，兩個(gè)非正交量子態(tài)可通過概率克隆機(jī)進(jìn)行概率克隆，這與保證單粒子密鑰分配協(xié)議安全性的不可克隆原理相矛盾，直接威脅著單粒子密鑰分配協(xié)議的安全性。

4.5.2

Ekert協(xié)議安全性證明

4.6量子安全直接通信

量子加密依賴于量子密鑰的建立，一旦建立了密鑰，借鑒經(jīng)典通信方法，通信雙方就可以安全地傳輸信息而不會(huì)泄露信息的內(nèi)容。在基于安全量子密鑰的量子通信基礎(chǔ)上，人們又提出了量子安全直接通信，為量子加密提供了另一種途徑。

通常把通信雙方以量子態(tài)為信息載體，利用量子力學(xué)原理和各種量子特性，通過量子信道傳輸，在通信雙方之間安全地、無泄漏地直接傳輸有效信息，特別是機(jī)密信息的方法，稱為量子安全直接通信。量子安全直接通信的概念是2003年提出的。在此之前，Berge等人提出了確定的安全通信，Bostrom和Felbinger于2002年提出了一個(gè)安全直接通信模型。在此基礎(chǔ)上，Deng等人提出了量子安全直接通信的理論模型。

量子安全直接通信作為一個(gè)安全的直接通信方式，它應(yīng)該具有直接通信與安全通信這兩大特點(diǎn)，因而它需要滿足兩個(gè)基本要求：

①作為合法的接收者Bob，當(dāng)他接收到作為信息載體的量子態(tài)后，應(yīng)該能直接讀出發(fā)送者Alice發(fā)來的機(jī)密信息，表現(xiàn)為對于攜帶機(jī)密信息的量子比特，Bob不需要與發(fā)送者Alice交換另外的經(jīng)典輔助信息；

②即使竊聽者Eve監(jiān)聽量子信道，她也得不到任何機(jī)密信息，即她得到的只是一個(gè)隨機(jī)的測量結(jié)果。

回顧QKD，我們發(fā)現(xiàn)它之所以是一種安全的產(chǎn)生密鑰的方式，其本質(zhì)在于通信的雙方Alice和Bob能夠判斷是否有人竊聽量子信道，而不是竊聽者Eve不能監(jiān)聽量子信道。事實(shí)上，竊聽者是否監(jiān)聽量子信道不是量子力學(xué)原理所能束縛的，量子力學(xué)原理只能保證竊聽者不能得到量子信號的完備信息，使竊聽行為會(huì)在接受者Bob的測量結(jié)果中有所表現(xiàn)，即會(huì)留下痕跡。由此Alice和Bob可以判斷他們通過量子信道傳輸?shù)玫降牧孔訑?shù)據(jù)是否可以用于經(jīng)典的一次一密。

QKD正是利用了這一特點(diǎn)來達(dá)到安全分配密鑰的目的。而QKD的安全性分析是一種基于概率統(tǒng)計(jì)理論的分析，為此，通信雙方需要做隨機(jī)采樣統(tǒng)計(jì)分析。QKD的另一個(gè)特征在于Alice和Bob如果發(fā)現(xiàn)有人監(jiān)聽量子信道，那么他們可以拋棄經(jīng)常傳輸?shù)慕Y(jié)果，從頭開始傳輸量子比特，直到他們得到?jīng)]有人竊聽量子信道的傳輸結(jié)果，這樣他們不會(huì)泄露機(jī)密信息。

既然量子安全直接通信傳輸?shù)氖菣C(jī)密信息本身Alice和Bob就不能簡單地采用當(dāng)發(fā)現(xiàn)有人竊聽時(shí)拋棄傳輸結(jié)果的辦法來保障機(jī)密信息不會(huì)泄露給Eve。由此，量子安全直接通信(QSDC)的要求要比QKD更高，使Alice和Bob必須在機(jī)密信息泄露前就能判斷竊聽者