步的,所述步骤8中,
[0025] 本发明的有益效果:
[0026] 本发明的基于GHZ态的量子密钥协商协议能够确保通信双方公平地建立他们的 之间的共享的经典秘密密钥。利用该经典密钥和一次一密的加密算法,通信双方能够实现 无条件安全的保密通信,不仅能抵抗已有的参与者攻击和外部攻击,且能抵抗特洛伊木马 攻击。此外,在无噪声量子信道和量子噪声信道上都是安全的。并且,本发明的协议的量子 比特效率要高于现有安全的基于多粒子纠缠态的量子密钥协商协议。
【具体实施方式】
[0027] 1、预备知识
[0028] 首先,引入四个幺正变换UQQ,UQ1,U1Q和 Un,即 Uqq= I = |0>〈0| + |1>〈1|,UQ1=X = ?χι| + |i>〈o|,u10= Z= |〇>〈〇|-|IXiI 和U11= iY= |〇>〈11-|1>〈〇|。并且,{|〇>,11>} 形成z基,{|+>,|->}形成X基,其中
[0029] 四个Bell态定义如下:
[0032] 它们形成了四维Hilbert空间的一组完全正交基。当一个幺正变换 ? =? 4 =1)执行在一个Bell态的第二个粒子上时,这个Bell态将转化成另外一个 Bell态。四个Bell态和四个么正变换之间的关系如下表所示:
[0035] GHZ态是三粒子的最大纠缠态,它们形成八维Hilbert空间的一组完全正交基。本 发明中使用如下的一个GHZ态作为量子信源,即
[0037] 根据表达式可知,若对GHZ态I η >123的粒子1和2执行Bell测量,对粒子3执行 X基测量,则系统以1/2的概率塌缩到态I巾+>12|+>3和I Φ >12|->。
[0038] 2、本发明的基于GHZ态的量子密钥协商协议
[0039] 本发明的基于GHZ态的量子密钥协商协议,具体包括如下步骤:
[0040] 步骤I :A1 ice和Bob随机生成各自的2n比特的经典密钥,记为
[0042] 其中 e i〇(),OIJ(),l IS (? = 1,2-,
[0043] 步骤2 :Alice准备n个GHZ态I n >123,并将这n个GHZ态I n >123的所有粒子分成 三个有序的序列S1, SjPS3,其中,序列S1Q = 1,2, 3)由每个GHZ态I n>123的第i个粒子 组成;Alice从集合{|0>,|1>,|+>,|->}中随机选出m个的诱骗光子,并将m个诱骗光子随 机插入序列S3得到新的序列S' 3;Alice将序列S' 3发送给Bob,自己保留序列S JP S 2; n和m均为大于1的正整数;例如,n = 64。
[0044] 本发明中使用如下的一个GHZ态作为量子信源,即
[0046] 步骤3 :Bob收到序列V 3后,通过经典认证信道告知Alice ;Alice通过经典认证 信道公布诱骗光子在序列S' 3中的位置与相应的测量基{|0>,|1>}或{|+>,|->} ;Bob用 正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信道告诉Alice ;Alice 比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低于规定的限门值,则执 行步骤4;否则,返回步骤2;
[0047] 步骤4 :A1 ice对序列SjP S 2中的序号相同的两个粒子执行Bell测量;Bob去掉 序列S' 3中的诱骗光子得到序列S 3,并对序列S3中的粒子执行X基测量;根据GHZ态的测 量相关性,Alice和Bob分别根据自己的测量结果得到对方的测量结果;
[0048] 所述的GHZ态的测量相关性是指下式:
[0050] 根据表达式可知,若对GHZ态I η >123的粒子1和2执行Bell测量,对粒子3执行 X基测量,则系统以1/2的概率塌缩到态I巾+>12|+>3和I Φ >12|_>。其中X基为{|+>,|->},
[0051] 步骤5 :Alice根据经典密钥Ka对序列S 2中的第i (i = 1,2,…,n)个粒子执行幺 正变换,得到新的序列A幺正变换的下标^和i 2依次等于A; (/ = 1,2,…』)的 两比特值;随后,Alice对序列S1执行一个置换运算Π n(置换运算是指位置重排列),得到 一个随机化的序列客;然后,Alice从集合{|0>,|1>,|+>,|->}中随机选出2m个诱骗光子, 并将其中m个诱骗光子随机插入序列式,得到新序列属%将余下的m个诱骗光子随机插入 序列;得到新序列笔;将序列充'和C发送给Bob ;
[0052] 本发明中,四个么正变换为 U。。,U01, U1。和 U n,!I。。= I= |ο〉〈ο| + |ι〉〈ι|,υ01=χ =OxiMixoUu10= ζ = |〇>〈〇|-| lxiI 和U11= iY = |oxi|-| lxoI ;并且,{|〇>,11>} 形成z基,{|+>,|->}形成X基,其中:
[0053] 步骤6 :当Bob收到这两个序列笔'和后,通过经典认证信道告知Alice ;A1 ice 通过经典认证信道公布诱骗光子在序列文和序列C中的位置与相应的测量基{|〇>,I ι>} 或{|+>,|->} ;Bob用正确的测量基去测量相应的诱骗光子,并将测量结果通过经典认证信 道告诉Alice ;Alice比较测量结果和诱骗光子的初始状态,并计算错误率;如果错误率低 于预先规定的限门值,则执行步骤7 ;否则,返回步骤2 ;
[0054] 步骤3和步骤6中,限门值均取0. 1~0. 2。
[0055] 步骤7 :Bob通过经典认证信道公布密钥KB;Alice根据密钥K A和密钥K 8计算双方 的共享密钥:
[0057] 步骤8 :Alice公布步骤5采用的置换运算nn;Bob根据置换运算,对序列5^执行 逆置换运算得到原始序列S1;接着,Bob依次对序列S JP笔中相同序号的每两个粒子执行 Bell测量,并根据测量结果和相应的初始Bell态计算Ka,然后生成共享密钥:
[0059] 3、安全性分析
[0060] -个安全的QKA协议不仅能抵抗外部攻击,也要能抵抗参与者攻击。
[0061] (1)参与者攻击
[0062] 下面,我们将说明一个不诚实的参与者不可能独自得到这个共享密钥。既然, Alice在将编码后的消息量子比特发给Bob之后,才得到Bob公开的密钥Kb,因此,Alice无 法根据自己的希望来调整她的秘密密钥Ka。如果Alice想在第七步修改序列文和式的坐 标,她的修改将导致粒子的纠缠交换以致于Bob的测量结果不再受Alice的控制。结果, Alice和Bob将生成不同的共享密钥。也就是说,Alice自己不能独自控制这个共享密钥。 另一方面,延迟测量技术确保了 Bob在他选布密钥Kb之前无法获知序列文的实际顺序。因 此Bob也不能根据Alice的密钥Ka来改变他的密钥K B。所以,Alice和Bob都无法成功执 行参与者攻击。
[0063] (2)外部攻击
[0064] 假设Eve是一个想窃取共享密钥的窃听者,她攻击的可能方法有:特洛伊木马攻 击、测量-重发攻击、截获-重发攻击和纠缠-测量攻击。
[0065] 特洛伊木马攻击:在本协议中,由于量子信道中的每个光子仅被传输一次,因此 Eve不能成功的执行不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。
[0066] 测量-重发攻击:Eve可以分别对序列S' 3以及和5*2中的粒子执行测量-重 发攻击。然而,Eve的测量将会影响序列S' 3以及芩和$中的诱骗粒子的状态。在第二 步和第五步的窃听检测中,Alice和Bob能以l-(3/4)m(m表示用来检测这个攻击的诱骗粒 子的数量)的概率发现Eve的攻击。
[0067] 截获-重发攻击:若Eve执行截获-重发攻击,她首先截