量子密钥分配中的量子态经典顺序重排加密方法

专利名称：量子密钥分配中的量子态经典顺序重排加密方法
技术领域：
量子密钥分配中的量子态经典顺序重排加密方法属于量子保密通信技术领域。
历史上，首先想到将量子力学用于密码学的是美国科学家威斯纳。威斯纳于1970年提出，可以利用单量子态制造不可伪造的“电子钞票”。实现这个设想的最大困难是需要长时间保存单量子态，在目前的技术条件下做到这一点是很困难的。随后，IBM公司的贝内特(CharlesH.Bennett)和蒙特利尔(加拿大)大学的布拉萨德(Gilles Brassard)在研究中发现，单量子态虽然不好长时间保存但可以用于传输信息。1984年，他们提出了第一个量子密钥分配方案，通常称为BB84量子密钥分配方案，简称BB84方案。1992年，贝内特(Charles H.Bennett)又提出一种更简单、效率减半的方案，通常简称B92方案。这两种量子密钥分配方案都是基于一组或几组正交或非正交的单量子态。1991年，英国牛津大学的Ekert提出了一种基于两粒子纠缠态(即纠缠粒子对，通常称为Einstein-Podolsky-Rosen对，简称EPR对)的量子密钥分配方案，通常称之为Ekert91方案。目前已经存在的量子密钥分配方案大约有几十种。从各方案的量子态特征来看，可以分为单粒子量子态方案与多粒子系统量子态方案；前者主要是用单粒子来当作量子信息传输的载体，如单原子、单光子等，利用它们不同的量子态来传输不同的密码信息；后者以多粒子系统的各量子态来传输密码信息，其典型的代表如双光子纠缠态(如EPR对)、三光子纠缠态(如Greenberger-Horne-Zeilinger态，简称GHZ态)，当然也包括最近发展起来的多粒子直积态(粒子数大于3)等。
随着技术的发展，量子纠缠态在量子信息中扮演着越来越重要的角色，不仅在量子计算中有着广泛的应用，在量子密码通信中同样倍受青睐。在量子力学中，由多个子系统组成的复合系统的一个纯态如果不能写成两个子系统的直积态，那么这个态就称为纠缠态。如在量子信息中常见的基于两粒子纠缠的四种贝尔基态(Bell states，或Bell bases)用量子力学语言表示如下|ψ-⟩AB=12(|0⟩A|1⟩B-|1⟩A|0⟩B)---(1)]]>|ψ+⟩AB=12(|0⟩A|1⟩B+|1⟩A|0⟩B)---(2)]]>|φ-⟩AB=12(|0⟩A|0⟩B-|1⟩A|1⟩B)---(3)]]>|φ+⟩AB=12(|0⟩A|0⟩B+|1⟩A|1⟩B)---(4)]]>这四种量子态就是典型的两粒子纠缠态(最大纠缠态)。其中的下指标A和B分别表示纠缠的一对粒子A和B，如两个纠缠的光子，两个纠缠的电子或两个纠缠的原子等等。|0>和|1>是二能级体系的两个状态，用矩阵语言描述为|0⟩=10,]]>|1⟩=01.]]>处于纠缠态的粒子之间具有很好的相干性和非局域性。以偏振的双光子纠缠态为例，假设公式(1)～(4)中的|0>和|1>分别代表光子的量子态为水平和垂直偏振(或称“极化”)，则纠缠粒子之间的相干性体现在对粒子的量子态进行测量得到的测量结果上。如果我们对|ψ-⟩AB=12(|0⟩A|1⟩B-|1⟩A|0⟩B)]]>态中的A光子进行测量，根据量子力学的原理，每一次得到的测量结果是确定的，但并不唯一，即每一次的测量结果或者是|0>或者是|1>，且两种结果以相等的几率出现。如果我们在测量完A光子的量子态之后再去测量B光子(在A和B光子维持相干时间内，即退相干前进行测量。)，我们会发现对这两个光子量子态测量的结果具有很好的相干性，即如果对A光子测量的结果为|0>，则B光子的测量结果必然为|1>；同样如果对A光子测量的结果为|1>，则B光子的测量结果必然为|0>。用量子力学的语言描述为对处于|ψ-⟩AB=12(|0⟩A|1⟩B-|1⟩A|0⟩B)]]>纠缠态的AB光子对中的A光子进行测量，如果得到的测量结果为|0>A，则原来的由两光子组成的复合体系的量子态(或称波函数)塌缩到|0>A|1>B态，此时无论我们是否测量B光子，其量子态必然为|1>B；同理，如果对A光子测量得到的测量结果为|1>A，则原来的由两光子组成的复合体系的量子态(或称波函数)塌缩到|1>A|0>B态，此时无论我们是否测量B光子，其量子态必然为|0>B。根据量子力学原理，这种相干性是不随空间距离的长短而改变，即使这两个纠缠光子一个在地球上，另一个在月球上，其相干性依然存在；即只要它们存在着纠缠，它们的测量结果的相干性就会存在，这就是量子力学中的非局域性。
值得强调的是对于处于某一纠缠态的粒子体系，如果对其中一个粒子做局域操作，只有对体系的所有粒子做联合测量才能读出操作信息。我们以量子力学中对纠缠的两粒子体系常用的四个么正操作为例加以说明如下。
量子力学中常用的由两粒子组成的纠缠体系的量子态为四个贝尔基态(Bell state)，表示式见公式(1)～(4)。四个贝尔基之间可以通过量子力学中的四个局域么正操作来相互转化。四个局域操作用量子力学语言分别表示如下U0=I2⊗I2=1001⊗1001=1000010000100001---(5)]]>U1=I2⊗σx=1001⊗0110=0100100000010010---(6)]]>U2=I2⊗(iσy)=1001⊗01-10=0100-1000000100-10---(7)]]>U3=I2⊗σz=1001⊗100-1=10000-1000010000-1---(8)]]>其中I2是2×2的单位矩阵，σx，σy，σz是量子力学中的泡利矩阵(Pauli matrices)。根据量子力学的原理，四个么正操作U0～U3作用在四个贝尔基|ψ+>、|ψ->、|φ+>和|φ->上得到的结果分别是U0|ψ±>＝|ψ±>，U0|φ±>＝|φ±>；U1|ψ±>＝|φ±>，U1|φ±>＝|ψ±>；U2|ψ±>＝|φ>，U2|φ±>＝|ψ>；U3|ψ±>＝|ψ>，U3|φ±>＝|φ>。
即U0作用在四个贝尔基上不改变它们的状态。U1作用在四个贝尔基上使得B粒子对应的状态由原来的|0>变到|1>，由原来的|1>变到|0>，即翻转B粒子原来的状态。U2的作用不仅翻转B粒子原来的状态并改变A和B粒子之间的相位，即原来相位为正的状态变为相位为负的状态，相位为负的状态变为相位为正的状态，实现相位翻转。U3的作用只是实现相位翻转。
由于I2是单位矩阵，它的作用相当于保持A粒子的量子态不变。四个么正操作只是对B粒子做了局域操作，但改变了AB粒子组成的体系的量子态。也就是说，只要对B粒子做局域操作，无论A粒子处于什么位置，哪怕是在月球上，处于纠缠的AB粒子体系的量子态都会发生改变。因此在量子密码通信中，通信双方可以通过对手中的一个粒子做局域操作来改变整个纠缠粒子体系的量子态。同时，如果对AB纠缠粒子体系中的一个粒子，如B粒子进行测量，无论原来AB纠缠粒子体系处于四个贝尔基态中的哪一个量子态，B粒子都等几率地处于|0>和|1>，即各有50％的几率。也就是说，对其中一个粒子的量子态进行测量，得不到有关纠缠粒子体系量子态的信息，也就读不出么正操作的信息。
纠缠态的相干性和非局域性在目前的量子密码通信中被广泛应用，大大地推动了量子信息的发展。最近的二十年里，量子密钥分配在实验上取得了很大进展，同时也走向了实用化。英国国防研究部于1993年首先在光纤中用相位编码的方式实现了BB84方案，光纤传输长度达到了10公里。到1995年，他们的实验在光纤中的传输距离达到了30公里。瑞士日内瓦大学在1993年用偏振的光子实现了BB84方案，他们使用的光子波长为1.3μm，在光纤中的传输距离为1.1公里，误码率仅为0.54％，并于1995年在日内瓦湖底铺设的23公里长的民用光通信光缆中进行了实地表演，误码率为3.4％。1997年，他们利用法拉第镜抑制了光纤中的双折射等影响传输距离的一些主要因素，同时使使用的方便性大大提高，被称为“即插即用”的量子密钥分配方案。2002年，他们又用“即插即用”方案在光纤中成功地进行了67公里的量子密码传输。1998年，美国洛斯阿拉莫斯(Los Alamos)国家实验室在自由空间里进行的量子密钥分配的传输距离达到了1公里；2000年，在自由空间中的距离达到了1.6公里；2002年，在自由空间中的距离达到了10公里。而真正影响地面与低轨道卫星之间的量子密码通信的环境因素主要是地面以上大约2公里的大气层。洛斯阿拉莫斯在自由空间中的量子密码通信实验结果说明到目前为此已经扫平了地面与低轨道卫星之间的量子密码通信的主要障碍。目前他们正在为地面与低轨道卫星之间的量子密码通信试验做准备。相信不久的将来地面与低轨道卫星之间的量子密码通信就会取得成功。
迄今为止，量子密码通信已经成为一项比较成熟的技术；量子密码通信设备在国外已有正式产品，量子密码通信研究也得到了世界各国的大力支持和广泛关注。
下面我们简要地介绍量子密钥分配(或称之为量子密码通信)的基本思想。对于基于单量子态的量子密钥分配的物理原理，我们以偏振的单光子量子态作为量子信号源以BB84方案为例进行说明，对于其它的量子信号源，其原理是类似的；对于基于多粒子系统量子态的量子密钥分配方案，随后我们以双光子纠缠态(即EPR对)为例进行简要说明其物理原理。
设我们用方解石来区分水平与垂直方向偏振的光子，如图1所示。图1(a)表示沿水平方向偏振的光子垂直方解石表面入射通过方解石后传播方向不变。图1(b)表示沿垂直方向偏振的光子垂直方解石表面入射通过方解石后传播方向发生偏转，即出射光子相对于入射的光子在传播方向上发生一定的向下平移。图1(c)表示斜向45°方向偏振的光子垂直方解石表面入射通过方解石后，光子的传播方向可能发生偏转，也可能不发生偏转，二者的发生几率各占50％。由于图1所示放置的方解石对于水平和垂直偏振方向的光子通过后方向是否发生偏转是完全确定的，即水平偏振不偏转，垂直偏振发生偏转，我们将这样的测量装置称为水平垂直测量基，简称为水平垂直基，用符号“”标识，简记为基。如果我们把方解石沿光子水平偏振方向和传播方向组成的平面旋转45°，这样的装置我们称之为45°与135°基，用符号标识，简记为基。因为我们用基去测量45°或135°方向偏振的光子可以得到一个完全确定的结果，即45°方向偏振的光子通过后不发生偏转，135°方向偏振的光子通过后发生偏转。用基去测量45°或135°方向偏振的光子，以及用基去测量水平或垂直方向偏振的光子均无法事先得到确定的结果，即是否偏转是完全随机的。
在BB84量子密钥分配方案中，通信双方，即发送方Alice和接收方Bob事先约定他们选择基或基来测量偏振方向分别为水平或垂直、45°或135°方向的光子，如图2所示。在图2中，我们把45°与135°测量基称之为叉号基(cross-basis)，用符号表示；把水平(即0°)和垂直(即90°)测量基称之为加号基(plus-basis)，用符号表示。该方案把水平方向H和45°方向L偏振的光子量子态编码为二进制的“0”，把垂直方向V和135°方向R偏振的光子量子态编码为“1”，如图2所示，这种编码方式把两种不同的量子态编成了一种码，故我们称之为简并编码。
Alice每次以相等的概率使用两组基(或)来发送一个二进制位0或1表示的量子态。她(发送方Alice)是这样实现量子态的制备的用单光子源产生单光子，Alice用测量装置(如一定放置方式的方解石)来测量光子，如果能够测到一个测量值，根据量子力学原理，它必然是测量基的本征值；测量后，光子的量子态就塌缩到测量到的本征值对应的本征态。这样，Alice通过选择不同的测量基来得到不同的量子态。
在BB84方案中，Alice每一次都通过随机地选择两组测量基中的一种来选择发送不同的量子态。Bob用与Alice一样的测量装置来处理Alice发送给他的光量子，即接收到Alice发来的光子后，也随机地选择两组基(和)中的一种进行测量。由于这两组基和的量子力学算子不相容(即不对易)，所以根据量子力学中的海森堡测不准关系，无论是通信的接收者Bob还是窃听者Eve，都无法以大于75％(12×1+12×12=34)]]>的概率准确地测量到Alice发送的二进制位。因为如图1所示，用方解石测量光子的偏振方向时，假设Alice发送的是一个水平方向偏振的光子量子态(代表二进制中的“0”)，Bob随机地选择或基进行测量(即各占一半的几率)。当使用基测量时能完全确定地得到“0”(因为测量结果在测量前就是确定的)；当使用基测量时，随机地得到“0”或“1”，即各占50％。综合两种情况，Bob有75％的几率得到Alice发送的二进制位“0”。对于其它的偏振状态也是一样。
测量后，Bob通过经典信道(可以窃听但不能更改在其中传输的信息)告诉Alice他对哪一些光子选择了基进行测量，哪一些选择了基进行测量。然后Alice告诉Bob哪一些光子他们使用的是同一组基，哪一些光子他们使用了不同的基，但不公布光子的偏振状态，即不公布他们的结果具体是“0”还是“1”。由于使用不同的基时Alice和Bob没有办法确定他们每一次得到的结果是否一致，即有50％的几率一致，有50％的几率不一致，因此他们扔掉使用不同的基得到的结果。在无噪声无窃听的理想情况下，Bob选择与Alice相同的基得到的测量结果应与Alice发送的结果完全一致，因此他们保留他们都使用相同的基得到的结果。
由于Bob有50％的几率选择的基与Alice一样，这样在理想情况下，Alice发送给Bob的结果中有50％的二进制数可以用作裸码(raw key，没有经过筛选、纠错和机密性放大处理的二进制随机数字串)。通常情况下，Alice和Bob从他们选择相同的基得到的结果S中随机地选择一小部分结果s1(足够用于出错率的分析)通过经典信道进行比对，如果比对的结果中出错率比事先设计的出错率阈值低，那么他们的密钥传输过程可以认为是安全的。他们扔掉用于比对的那一部分结果，余下的结果S-s1可以当作筛选码(sifted key，仅剔除用于比对的结果)。如果在比对的结果中出错率比阈值莫名其妙地大很多，他们就废弃已传输的结果。用非物理的办法检查线路安全，并排除窃听者的破坏；然后重新开始传输密钥串。
在得到筛选码后，Alice和Bob可以通过纠错和机密性放大技术，纠正筛选码中的错误，并删除一些可能泄漏的信息，这样他们就得到了既准确又安全可靠的密钥串。
在量子密码通信中，纠错和机密性放大技术与公知的经典通信中的技术可以是相同的。
出错率的分析原理大体如下在有Eve窃听的情况下，假设Eve以p的几率随机地选择两组基中的一种进行窃听，那么在Bob与Alice使用相同的基得到的结果中就会有 的几率出错。如果Eve全程窃听Alice与Bob的量子密钥传输过程，那么就会引起25％的出错率(加上噪声等其它因素出错率超过25％)。如果Eve以适当的几率p去窃听，只要p不是很小，则她的窃听引起的出错率就不可忽视，这样在出错率分析中就不难发现。如果p很小，那么Alice和Bob泄漏给Eve的密钥信息也很少，这时Alice和Bob通过公知的机密性放大技术将泄漏的信息缩少，甚至可以减少到零。
以上是历史上第一个量子密钥分配方案的物理原理。
下面我们以极化双光子最大纠缠态为例说明基于多粒子纠缠态的量子密钥分配的物理原理。
如前所述，在量子信息中常见的基于两粒子纠缠的四种贝尔基态(Bell states，或Bellbases)用量子力学语言表示如下|ψ-⟩AB=12(|0⟩A|1⟩B-|1⟩A|0⟩B)---(1)]]>|ψ+⟩AB=12(|0⟩A|1⟩B+|1⟩A|0⟩B)---(2)]]>|φ-⟩AB=12(|0⟩A|0⟩B-|1⟩A|1⟩B)---(3)]]>|φ+⟩AB=12(|0⟩A|0⟩B+|1⟩A|1⟩B)---(4)]]>其中的|0>和|1>分别代表光子的量子态为水平和垂直偏振(或称“极化”)，下标A和B分别表示纠缠的一对光子A和B。
如前所述，处于纠缠态的光子之间具有很好的相干性和非局域性等量子特性。正基于此，人们提出了几种用纠缠光子对作为信息载体的量子密钥分配方案，主要有(1)1992年，美国的贝内特(Charles H.Bennett)和威斯纳(Stephen J.Wiesner)提出的对纠缠粒子对(EPR对)进行局域操作的量子密钥分配方案，不妨称为BW92方案。
(2)2002年，清华大学的龙桂鲁和刘晓曙提出的基于N个EPR对传输的量子密钥分配方案，不妨称为LL02方案。
BW92方案的原理大体为量子密钥分配的接收方Bob制备一系列的EPR对。对于每一个EPR对，Bob将其中的一个光子，譬如一对AB双光子中的A，发给密码传输的发送者Alice，保留另一个光子B；Alice对自己接收到的每一个光子进行四种局域操作(U0，U1，U2和U3)中的一种局域操作，然后发送给Bob；Bob接收到Alice发来的光子后，将之与原来保留的对应光子一起做双粒子联合测量，即贝尔基(Bell base)测量。从测量的结果就可以读出Alice所做的操作，从而也就得到了Alice发送过来的信息。当然，为了防止有人盗取信息，Alice和Bob必须对他们之间传输的少部分光子做塌缩测量。其原理大体为首先Alice对Bob发送来的一系列光子随机地选择一少部分进行单光子测量，然后告诉Bob她对哪一些光子进行了测量并告知测量结果，Bob对他保留的相应的光子也进行单光子测量，并根据纠缠光子对的相干性即可判断是否有人伪装Bob给Alice发送假的光子来窃取信息。这是第一次做窃听检测。同时，Bob对Alice发回来的粒子与自己保留的粒子做完贝尔基(Bell base)测量之后，从测量结果中随机地挑出一少部分结果告知Alice，Alice将之与自己所做的操作比较，通过出错率的分析来判断在通信过程中是否存在窃听。这就是第二次窃听检测。通过两次窃听检测，Alice和Bob可以确保密钥传输的安全性。其中出错率分析的原理与基于单粒子量子态的BB84方案是一致的。
LL02方案的原理大体如下通信的发送者Alice制备N个EPR对，并将这N个EPR对分成两个序列，即从每一个EPR对中拿出一个光子依次组成一个序列，不妨记为序列sA；另一个光子依次组成另一个相应的序列，不妨记为sB，示意图见图3。Alice先将序列sA一次性地发送给Bob，Bob接到光子序列sA之后将之储存起来，然后随机地选择一少部分进行单光子塌缩测量，类似于方案(1)，Bob告诉Alice他对哪一些光子进行了塌缩测量并告知测量结果；Alice对还没有发送的光子序列sB中对应的光子进行单光子塌缩测量，并将测量结果与Bob的测量结果进行比较，分析出错率。如果出错率比阈值大，Alice和Bob放弃原来的传输结果，并抛弃原来制备的N个EPR对，检查原因，重新开始传输新的EPR对。如果出错率比阈值小，Alice将光子序列sB(扣除已进行测量的光子)发送给Bob，Bob将之与sA(扣除已进行测量的光子)联合做贝尔基(Bell base)测量，从而读出Alice制备的EPR对的量子态。同理Alice和Bob对传输的结果做出错率分析，如果出错率比阈值大，Alice和Bob放弃原来的N个EPR对的传输结果，重新开始传输。如果出错率比阈值小，Alice和Bob对得到的结果进行纠错和机密性放大处理即可得到一串密钥。
在此之前，基于纠缠粒子的量子密钥分配方案多是采用了塌缩检测的手段来保证通信的安全性。而基于塌缩检测的方案实际上等效于将纠缠粒子体系分成两个序列，分两次传输。由于在量子密钥分配中，通常通信双方不能直接让处于纠缠态的两粒子同时在量子信道中传输，以防止窃听者俘获处于纠缠的两粒子并做贝尔基联合测量来读取其中的信息。因而一个粒子序列需等待另一个粒子序列传输完再进行传输。这样就需要比较长的等待时间。
本发明充分利用了只有处于纠缠的粒子才具有很好的相干性的量子特性，用经典顺序重排加密方法来人为地改变纠缠体系粒子的传输顺序，达到直接传输所有粒子的目的。为此通信双方采用先调整在量子信道中传输的两纠缠粒子的对应关系，使窃听者无法判断哪两个粒子是组成纠缠体系的粒子，即具有量子相干性。如前所述，处于纠缠态的一对粒子之间具有很好的相干性和非局域性。但对于两个纠缠粒子对之间的两个粒子，它们之间并没有很好的相干性和非局域性。根据量子力学原理，它们等几率的处于四个直接态 中的一个。其中的下标1和2分别表示两个粒子来自第一对纠缠粒子对(EPR对)和第二对纠缠粒子对(EPR对)。同时，两个粒子的直积态用量子力学语言可以写成四个贝尔基态的线性叠加态，即|0⟩A|0⟩B=12[12(|0⟩A|0⟩B+|1⟩A|1⟩B)+12(|0⟩A|0⟩B-|1⟩A|1⟩B)]]]>=12[|φ+⟩AB+|φ-⟩AB]---(9)]]>|1⟩A|1⟩B=12[12(|0⟩A|0⟩B+|1⟩A|1⟩B)-12(|0⟩A|0⟩B-|1⟩A|1⟩B)]]]>=12[|φ+⟩AB-|φ-⟩AB]---(10)]]>|0⟩A|1⟩B=12[12(|0⟩A|1⟩B+|1⟩A|0⟩B)+12(|0⟩A|1⟩B-|1⟩A|0⟩B)]]]>=12[|ψ+⟩AB+|ψ-⟩AB]---(11)]]>|1⟩A|0⟩B=12[12(|0⟩A|1⟩B+|1⟩A|0⟩B)-12(|0⟩A|1⟩B-|1⟩A|0⟩B)]]]>=12[|ψ+⟩AB-|ψ-⟩AB]---(12)]]>根据量子力学态叠加原理，如果对两粒子的直积态|0⟩A1|0⟩B2,|1⟩A1|1⟩B2,|0⟩A1|1⟩B2]]>和 做贝尔基测量，将以同等的几率得到两个贝尔基中的一个。也就是说窃听者Eve如果对来自两对EPR对的两个非相干粒子做贝尔基联合测量，她将等几率地得到四个贝尔基态中的一个，且每一次测量的结果是完全随机的。窃听后，Eve如果根据自己的测量结果伪装成Alice发送一对纠缠粒子给Bob，则她的窃听行为在Alice和Bob的最后比对结果中引起的出错率为75％。这样，Eve的窃听行为很容易被发现。
对于Alice和Bob来说，为了使他们的结果一致，他们可以采用一串随机码也称控制码来控制通信双方的每一组贝尔基态各粒子发送顺序的排列方式来直接传输贝尔基态，这是其它基于贝尔基态的量子密钥分配方案所不能完成的事情。控制码对于通信双方而言是事先建立的一串二进制数字串，而对于Eve来说是一串完全未知的密钥。由于窃听者Eve无法破译通信双方Alice和Bob用于控制测量基的控制码，因而控制码可以重复使用。
本发明的特征在于它是一种主要利用量子力学中的不可克隆原理以及纠缠粒子之间的相干性、非局域性的量子特性，对量子密钥的产生过程进行加密，在保证安全的情况下，同时传输纠缠体系的全部粒子，以增大传输距离，简化通信过程的方法；它是借助于分别位于发送者Alice端、接受者Bob端的以下系统实现的通过控制码进行同步控制的控制系统，经过上、下量子信道间相互连接的发送系统和接收系统，与该发送系统相连的传输顺序重排加密系统以及与该接收系统相连的传输顺序重排解密系统，经经典信道以分组进行检测窃听、纠错、机密性放大的数据处理系统以及位于发送者Alice端的具有量子相干性的光子源或量子信号源；它依次含有以下步骤(1).给出一串用二进制数表示的长度为2Nk的控制码及其重复使用次数T；传输的每一数据组中纠缠粒子(EPR)对的个数B，且B＞1；m种传输顺序重排加密方式E＝E0，E1，…，Em-1；对应的m种传输顺序解密方式E′＝E′0，E′1，…，E′m-1；在控制码中用来区分m种加密/解密方式的二进制数的位数W；与m种传输顺序重排加密(或解密)方式对应的每一种加密(或解密)方式要传输的EPR对数据组的组数M＝M0，M1，…，Mm-1；分组处理数据时的分组数g，以及每一组数据的长度Dv(v＝1，2，…，g)；抽样出错率阈值em；(2).Alice根据控制码中每W位二进制数的数值来确定选择传输顺序重排加密方式E0、E1、…、或Em-1并分别传输M0、M1、…、或Mm-1组EPR对数据组，同时对各EPR对的量子态及发送顺序进行记录；(3).Bob根据控制码中每W位二进制数的数值来确定选择传输顺序重排解密方式E′0、E′1、…、或E′m-1接收M0、M1、…、或Mm-1组EPR对数据组，并对每一对EPR对做贝尔基测量，同时记录测量结果及接收顺序；(4).控制码使用完后，Alice和Bob按给定次数T重复使用原来的控制码；(5).对记录下的测量结果进行编码对四个贝尔基态|ψ+>、|ψ->、|φ+>和|φ->进行编码；(6).Bob告诉Alice哪一些测量没有计数，双方去掉没有计数的测量结果，余下的测量结果记为Su，u＝1，2，…，h；(7).双方按设定的分组数g和分组方式对Su进行分组；(8).Alice和Bob从每一组数据里随机地挑出适量的结果通过经典信道进行比对，判断每一组数据的出错率；(8.1).若没有一组数据的抽样出错率比阈值高，则密钥传输是安全的，随后Alice和Bob按公知方式做纠错和机密性放大处理，从而得到密钥；
(8.2).若有一些数据组的随机抽样出错率比阈值高，Alice和Bob先对相应的数据组增加随机抽样分析；若依然存在较高的出错率，则Alice和Bob扔弃得到的传输结果和原来的控制码；用非物理的办法检查线路安全，并排除窃听者的破坏；然后产生新的控制码，并使用新的控制码从头开始重复密钥的传输过程。
所述的由Alice和Bob事先确定的传输顺序加密/解密方式的个数m为1<m≤PBB=B×(B-1)×(B-2)×···×1.]]>在所述的B＝4，m＝4，w＝2，E＝E0、E1、E2、E3，E′＝E′0、E′1、E′2、E′3时，控制码是用相同的装置随机选择四种加密/解密方式传输EPR对而产生的。
在所述的量子密钥传输中，Alice先将每一组要传输的纠缠粒子对分成两个序列，即从每一个纠缠粒子对中挑出一个粒子组成一个序列，经上信道传输；另一个粒子组成另一个序列，经下信道传输。
所述的下信道传输是用使依次通过下信道的各粒子分别对应于由多路选择开关形成的各组开关状态来传输的。
所述的可重复使用的控制码，当一种控制码只控制一组纠缠粒子对数据组时，每一个控制码分别对应于不同的顺序重排加密/解密方式。
所述的可重复使用的控制码，当一种控制码控制多个纠缠粒子数据组时，其中每一个控制码分别对应于各个纠缠粒子数据组的同一个顺序重排加密/解密方式，即相同的控制码用相同的顺序加密/解密方式来控制与控制码对应的多组纠缠粒子对数据组。
所述的控制码通常在200比特以上。
实验证明它在保证安全传输的情况下，同时传输纠缠粒子体系的所有粒子，使基于纠缠对的密钥分配方案达到了最大容量的编码；在与传统方法相同的相干时间内，增加了传输距离，简化了通信过程。
在量子密钥分配时，Alice和Bob事先确定一些对纠缠粒子体系中粒子传输顺序的重排方式，即传输顺序加密方式及对应的解密方式。譬如我们以每一数据组中纠缠对的数目B＝4为例进行原理说明，对于B取其它值的情况原理是相同的。如图5(a)所示，用实线连接的两个粒子是处于纠缠的双光子，即同属于一个EPR对。对于4对纠缠光子，传输顺序的重排方式有P44=4×3×2×1=24]]>种。假设Alice和Bob从24种重排方式中挑选出了4种顺序重排方式用于传输每一组EPR对(即4个EPR对)，如图5(a)所示，分别记为E0，E1，E2和E3。他们用控制码中的2比特二进制数的数值来控制4种传输顺序重排方式的选择。譬如如果控制码2比特二进制数为00，他们选择第一种重排方式，即E0；如果是01，10，11，他们就分别选择第二、三、四种重排方式，即E1、E2、E3。这四种传输顺序加密方式可以用图6所示的原理图来实现。图中的圆圈表示一个信号传输时间间隔。在量子密钥传输中，Alice先将每一组待传输的纠缠对分成两个序列，即从每一纠缠对中挑出一个粒子组成一个序列，另一个粒子组成另外一个序列。Alice让第一个序列经上信道传输，另一个序列经下信道传输。譬如对于传输顺序加密方式E0，Alice将三个选择开关(switch1，switch2，switch3)分别置于(up，up，down)来让每一组经下信道传输的四个粒子通过。其中的up和down分别表示开关选择向上或向下。而对于传输顺序加密方式E1，Alice让每一组经下信道传输的四个粒子依次通过，并对四个粒子依次将三个选择开关(switch1，switch2，switch3)分别置于如下状态(down，up，down)，(up，down，up)，(up，down，down)，(up，down，up)。同理可以将三个选择开关置于不同的状态来实现加密方式E2和E3。即E2为(up，down，down)，(up，down，down)，(down，up，up)，(down，up，up)；E3为(down，down，down)，(down，up，down)，(up，down，up)，(up，up，up)。在纠缠粒子达到通信的接收者Bob时，他也可以用与Alice相同的装置通过控制三个选择开关的状态来解密Alice的加密传送方式。对于图4以4对EPR对为一组的顺序重排加密E0，E1，E2和E3，Bob对应的解密方式碰巧与Alice的加密方式是一样的，分别记为E′0，E′1，E′2和E′3，如图5(b)所示。Bob通过对Alice的加密方式进行解密，恢复每一组EPR对的正常顺序。然后Bob对每一个纠缠对做贝尔基测量读出Alice传送的经典信息，即可得到Alice传递的量子密码(裸码)。
由于窃听者Eve不知道控制码，因而她就不知道Alice和Bob采用的是哪一种重排方式。这样对应每一组EPR对的传输，Eve只能猜测Alice和Bob选择的重排方式。其结果等效于Eve随机地选择一种重排解密方式去窃听。如果碰巧她选择到正确的重排方式，她的窃听在Alice和Bob的测量结果中不引起出错率，这种巧合的几率为 除此之外，Eve有 的几率选择其它的三种重排方式，都将得到一个随机的结果；而她的窃听使得接收者Bob的测量结果变得随机，即有 的几率出错。这样，Eve的窃听在Alice和Bob的测量结果中引起的出错率为34×34=916=56.25%]]>Alice和Bob通过比对一少部分抽样结果很容易检测出窃听来。
每一个EPR对可以携带2比特的信息，譬如Alice和Bob可以将四个贝尔基态|ψ+>、|ψ->、|φ+>和|φ->编码为00、11、01和10，这是基于EPR对的量子密钥分配方案中最大容量的编码。他们通过重复使用控制码来控制传输顺序加密方式，由此达到同时传输纠缠粒子系统中的所有粒子的目的。
控制码的产生方式有很多种，Alice和Bob可以使用本发明中的装置生成。为此，他们可以各自随机地选择四种加密(或解密)方式中的一种来加密(或解密)每一组纠缠粒子。类似BB84方案的办法，在传输完一定数量的纠缠粒子后，Alice告诉Bob她每一组纠缠粒子使用的加密方式，他们保留他们使用对应加密/解密方式的那一些组纠缠粒子对，并做出错率分析和纠错处理以及机密性放大来得到一串保密的控制码。
现在以B＝4为例，按步骤说明如下(1).给出一串用二进制数表示的长度为2Nk的控制码及其重复使用次数T；传输的每一组EPR对的个数为B＝4；W＝2；M0，M1，M2和M3为当控制码中2比特二进制数的数值是“00”，“01”，“10”和“11”时，用第一、二、三、四种传输顺序重排加密方式E0、E1、E2、E3传输的EPR对数据组的组数；分组处理数据时的分组数g，每一组数据的长度Dv(v＝1，2，…，g)；抽样出错率阈值em；(2).Alice根据控制码每2位二进制数的数值是“00”、“01”、“10”还是“11”来分别利用传输顺序重排加密方式E0、E1、E2或E3来分别传输M0、M1、M2或M3组EPR对数据组，同时对每一EPR对的量子态及发送顺序进行记录；(3).Bob根据控制码每2位二进制数是“00”、“01”、“10”还是“11”来分别利用传输顺序重排解密方式E′0，E′1，E′2和E′3来接收M0、M1、M2或M3组EPR对数据组，并对每一对EPR对做贝尔基测量，同时记录测量结果及接收顺序；(4).控制码使用完后，Alice和Bob按给定次数T重复使用原来的控制码；(5).对记录下的测量结果进行编码将四个贝尔基态|ψ+>、|ψ->、|φ+>和|φ->编码为00、11、01和10；(6).Bob告诉Alice哪一些测量没有计数，双方去掉没有计数的测量结果，余下的测量结果记为Su，u＝1，2，…，h；(7).双方按设定的分组数g和分组方式对Su进行分组；(8).Alice和Bob从每一组数据里随机地挑出适量的结果通过经典信道进行比对，判断每一组数据的出错率；(8.1).若没有一组数据的抽样出错率比阈值em高，则密钥传输是安全的，随后Alice和Bob按公知方式做纠错和机密性放大处理，从而得到密钥；(8.2).若有一些数据组的随机抽样出错率比阈值高，Alice和Bob先对相应的数据组增加随机抽样分析；若依然存在较高的出错率，则Alice和Bob扔弃得到的传输结果和原来的控制码用非物理的办法检查线路安全，并排除窃听者的破坏然后产生新的控制码，并使用新的控制码从头开始重复密钥的传输过程。
以下再结合附图对各个步骤进行说明请见图4，本发明基于两粒子纠缠体系时采用两个量子信道传输量子信号，即上信道和下信道。每一对两粒子纠缠体系的两个粒子分别经两个量子信道传输。由于在量子密钥分配中，通信双方通常不能直接让处于纠缠态的两粒子同时在量子信道中传输，以防止窃听者Eve俘获处于纠缠的两粒子并做贝尔基联合测量来读取其中的信息，然后假扮Alice给Bob发EPR对而不被发现。在本发明中，我们利用了只有处于纠缠的粒子才具有很好的相干性的量子特性设计了一个巧妙的方法来直接传输纠缠的粒子对，即用经典顺序重排加密方法来人为地改变纠缠体系粒子的传输顺序，达到直接传输所有粒子的目的。为此通信双方采用先调整在量子信道中传输的两纠缠粒子的对应关系，使窃听者无法判断哪两个粒子是组成纠缠体系的粒子，即具有量子相干性。对于发送者Alice来说，她采用的系统我们称之为顺序重排加密系统对于接收者Bob来说，他采用的系统称之为顺序重排解密系统。
在通信前，Alice和Bob事先确定一些传输顺序重排加密/解密方式。如图5所示，作为本发明的一个特例，在每4对EPR对为一个数据组的传输中，他们可以从P44=4×3×2×1=24]]>种加密/解密方式中挑选4种加密和解密方式，分别见图5(a)和图5(b)。当然，对于每一个数据组所含EPR对的对数B＞1的情况，Alice和Bob事先确定的传输顺序加密/解密方式的个数m可以是1<m≤PBB=B×(B-1)×(B-2)×···×1]]>中的任意一个数，其原理与B＝4并从中挑出4种加密/解密方式(m＝4)来用于传输量子密钥是一样的。
对于图5所示的特例，加密和解密方式的实现原理碰巧是一样的，实现原理图请见图6。图中的选择开关(switch1，switch2和switch3)是通过控制指令来选择通道的开关，在目前已有非常成熟的技术。对于四种加密(解密)方式E0，E1，E2和E3(E′0，E′1，E′2和E′3)，Alice(Bob)可以通过选择三个选择开关的状态来实现。图6中的圆圈表示一个相同的时间间隔，即信号发送的时间间隔。譬如对于加密方式E1，对于每一组量子数据的传输，Alice让经上信道传输的四个粒子依次经过3个信号时间间隔的延迟；对于经下信道依次传输的四个粒子将三个选择开关分别置于(down，up，down)，(up，down，up)，(up，down，down)，(up，down，up)状态，让它们经过不同的时间延迟来改变4个粒子的先后传输顺序，达到实现加密方式E1的目的。其中down和up分别表示将选择开关置于上端和下端。在四种不同的开关状态组合中，每一种组合表示依次经下信道传输的四个粒子中对应地传输一个粒子需要将三个选择开关置于的状态。譬如第一种组合(down，up，down)表示传输4个粒子中的第一个粒子需要将三个选择开关置于的状态组合。对于其它加密方式原理是类似的。接收者Bob接收到Alice发来的量子信号后，可以做Alice对应的操作，恢复纠缠粒子原本的对应顺序，并做贝尔基测量。通过这种传输顺序的加密/解密，Alice和Bob就可以实现让纠缠体系的所有粒子同时在量子信道里传输，节省了其它基于纠缠粒子的量子密钥分配方案所需要的较长的等待时间。同时量子信号发送的时间间隔是相同的，这样就简化了通信过程。
请见图7、图8。为了使Alice和Bob在通信中能选择适配的加密/解密方式，他们选择一串可以重复使用的控制码来控制他们的加密/解密方式的选择。这样他们之间传输的量子信息在无噪声无窃听的情况下能完全保持一致，节省了不必要的损耗。在图7中，Alice和Bob都根据控制码的每2比特二进制数来选择加密/解密方式。这里的加密/解密方式以及对应的控制码只要求他们事先约定即可，并没有其它特殊的规定。譬如图中00，01，10和11分别用来选择E0，E1，E2和E3解密方式，当然对应的解密方式就只能分别是E′0，E′1，E′2和E′3。
图8其实质是用控制码对多组EPR对数据组进行控制。相对于控制码00的EPR对数据组的组数为M0，相对于01，10和11的EPR对数据组的组数分别为M1，M2和M3。对于同一个控制码，在它控制下的多组数据组中的各组数据可以使用相同的加密/解密方式，也可以使用不同的加密/解密方式。作为一个特例，在图8中，取M0＝M1＝M2＝M3＝4，且为在相同的控制码下的各组数据组选择了相同的加密/解密方式来进行原理说明。对于其它的情况，只要通信双方事先约定即可，其原理是一样的。值得强调的是虽然对于每一种控制码，加密/解密方式是事先已经确定的，但在每一组纠缠粒子中各纠缠对的量子态是完全随机的。这样窃听者Eve无法破译Alice和Bob的控制码，因而控制码可以重复使用。
对于重复使用的控制码，其生成的方式很多，如通信双方事先可以约定一串适当长度的二进制随机串，也可以用本发明中同样的装置通过随机地选择加密/解密方式来产生控制码，其原理与BB84类似。当然，Alice和Bob还可以用其它量子密钥分配方案产生控制码。控制码由于可以重复使用，原理上不需要很长。但为了防止偶然巧合情况下Eve选择的解密方式与Bob一致，控制码应该选择适当的长度。当控制码的长度为2Nk时，Eve凑巧选择的基都与Alice一样的几率为(14)Nk=(12)2Nk,]]>当2Nk＞200时，这种巧合的几率几乎等于零。
再见图9、图10。通信双方Alice和Bob通过控制码进行同步控制。M0，M1，M2，M3分别为控制码是“00”，“01”，“10”，“11”时待传的纠缠粒子对数据组的组数。即在分组传输中的四种重排方式对应的数据组的组数分别为M0，M1，M2和M3。M0，M1，M2和M3可以相等，也可以不等；可以等于1，也可以大于1。当然它们不宜太大，以避免检测不出在某一段时间内是否有人窃听。设控制码Kc的长度为2Nk，即控制码Kc各位置对应的二进制数为Kci，i＝1，2，3，…，2Nk。控制码重复使用次数T。重复使用控制码的每2比特为一控制单位的二进制序列为Ki(i＝1，2，3，…，TNk)，显然Ki＝Kc2j-1Kc2j，j＝i mod Nk，即j等于i对Nk求余。如图10中的K1＝10，K2＝01，…，K9＝10，K10＝01，…。Alice和Bob通过一个触发信号来使控制系统同步控制Alice的调制系统和Bob的测量系统。
在记录测量结果后，Alice和Bob用事先约定的编码方式对结果进行编码，如他们可以事先约定将四个贝尔基态|ψ+>、|ψ->、|φ+>和|φ->编码为00、11、01和10。当然也可以对应其它的编码方式，如|ψ+>、|ψ->、|φ+>和|φ->编码为01、10、00和11等等。
再见图11。在对记录的结果进行分组处理时，分组的方法只要事先通信双方约定即可。如以控制码的长度对结果数据进行分组，或对使用相同的控制码进行分组等。其目的在于能更容易地检测窃听者Eve。对于每一组数据，其抽样数据的长度所占的比例可以很小，但相对长度不能太小，接收者需在每一组数据的各个位置上随机地进行抽样(不同时取相邻位置的两个二进制数)。出错率阈值em应根据实际环境来设计。出错率阈值就是在实际量子密钥传输过程中，可以被认为传输过程是安全的情况下数据传输的最大出错率。也就是说，数据传输的出错率大于出错率阈值就不能肯定传输过程是安全的；当然，出错率比阈值大很多时，通常可以肯定是存在有人窃听。公知的数据纠错处理和公知的机密性放大处理是指跟经典通信中一样的数据处理方法，同时这一些处理过程可以是公开的。在进行数据比对后，通信双方应扔到已经使用过的控制码，下一次量子密钥传输过程必需使用新的控制码。
需要补充说明的是，虽然我们在


中是以极化纠缠光子对(EPR对)作为信号源来说明本发明的原理，对于其它具有量子相干信的信号源本发明的原理是一致的，即本发明适用于所有的具有相干性的量子信号源。
权利要求
1.量子密钥分配中的量子态经典顺序重排加密方法，其特征在于它是一种主要利用量子力学中的不可克隆原理以及纠缠粒子之间的相干性、非局域性的量子特性，对量子密钥的产生过程进行加密，在保证安全的情况下，同时传输纠缠体系的全部粒子，以增大传输距离，简化通信过程的方法；它是借助于分别位于发送者Alice端、接受者Bob端的以下系统实现的通过控制码进行同步控制的控制系统，经过上、下量子信道间相互连接的发送系统和接收系统，与该发送系统相连的传输顺序重排加密系统以及与该接收系统相连的传输顺序重排解密系统，经经典信道以分组进行检测窃听、纠错、机密性放大的数据处理系统以及位于发送者Alice端的具有量子相干性的光子源或量子信号源；它依次含有以下步骤(1).给出一串用二进制数表示的长度为2Nk的控制码及其重复使用次数T；传输的每一数据组中纠缠粒子(EPR)对的个数B，且B＞1；m种传输顺序重排加密方式E＝E0，E1，…，Em-1；对应的m种传输顺序解密方式E′＝E′0，E′1，…，E′m-1；在控制码中用来区分m种加密/解密方式的二进制数的位数W；与m种传输顺序重排加密(或解密)方式对应的每一种加密(或解密)方式要传输的EPR对数据组的组数M＝M0，M1，…，Mm-1；分组处理数据时的分组数g，以及每一组数据的长度Dv(v＝1，2，…，g)；抽样出错率阈值em；(2).Alice根据控制码中每W位二进制数的数值来确定选择传输顺序重排加密方式E0、E1、…、或Em-1并分别传输M0、M1、…、或Mm-1组EpR对数据组，同时对各EPR对的量子态及发送顺序进行记录；(3).Bob根据控制码中每W位二进制数的数值来确定选择传输顺序重排解密方式E′0、E′1、…、或E′m-1接收M0、M1、…、或Mm-1组EPR对数据组，并对每一对EPR对做贝尔基测量，同时记录测量结果及接收顺序；(4).控制码使用完后，Alice和Bob按给定次数T重复使用原来的控制码；(5).对记录下的测量结果进行编码对四个贝尔基态|ψ+>、|ψ->、|φ+>和|φ->进行编码；(6).Bob告诉Alice哪一些测量没有计数，双方去掉没有计数的测量结果，余下的测量结果记为Su，u＝1，2，…，h；(7).双方按设定的分组数g和分组方式对Su进行分组；(8).Alice和Bob从每一组数据里随机地挑出适量的结果通过经典信道进行比对，判断每一组数据的出错率；(8.1).若没有一组数据的抽样出错率比阈值高，则密钥传输是安全的，随后Alice和Bob按公知方式做纠错和机密性放大处理，从而得到密钥；(8.2).若有一些数据组的随机抽样出错率比阈值高，Alice和Bob先对相应的数据组增加随机抽样分析；若依然存在较高的出错率，则Alice和Bob扔弃得到的传输结果和原来的控制码；用非物理的办法检查线路安全，并排除窃听者的破坏；然后产生新的控制码，并使用新的控制码从头开始重复密钥的传输过程。
2.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于所述的由Alice和Bob事先确定的传输顺序加密/解密方式的个数m为1<m≤PBB=B×(B-1)×(B-2)×···×1.]]>
3.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于在所述的B＝4，m＝4，w＝2，E＝E0、E1、E2、E3，E′＝E′0、E′1、E′2、E′3时，控制码是用相同的装置随机选择四种加密/解密方式传输EPR对而产生的。
4.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于在所述的量子密钥传输中，Alice先将每一组要传输的纠缠粒子对分成两个序列，即从每一个纠缠粒子对中挑出一个粒子组成一个序列，经上信道传输；另一个粒子组成另一个序列，经下信道传输。
5.根据权利要求4所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于所述的下信道传输是用使依次通过下信道的各粒子分别对应于由多路选择开关形成的各组开关状态来传输的。
6.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于所述的可重复使用的控制码，当一种控制码只控制一组纠缠粒子对数据组时，每一个控制码分别对应于不同的顺序重排加密/解密方式。
7.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于所述的可重复使用的控制码，当一种控制码控制多个纠缠粒子数据组时，其中每一个控制码分别对应于各个纠缠粒子数据组的同一个顺序重排加密/解密方式，即相同的控制码用相同的顺序加密/解密方式来控制与控制码对应的多组纠缠粒子对数据组。
8.根据权利要求1所述的量子密钥分配中的量子态经典顺序重排加密方法，其特征在于所述的控制码通常在200比特以上。
全文摘要
量子密钥分配中的量子态经典顺序重排加密方法属于量子密码通信技术领域，其特征在于它是一种主要利用量子力学中的不可克隆原理和纠缠粒子之间的相干性、非局域性的量子特性，对量子密钥的产生过程进行加密，在保证安全的情况下，同时传输纠缠体系的全部粒子，以增大传输距离，简化通信过程的方法；它是借助于分别位于发送者、接收者端的用控制码来控制的控制系统，经上、下信道相连的发送、接收系统，相应的传输顺序重排加、解密系统，经经典信道相连的数据处理系统及量子相干的信号源实现的。它使基于纠缠对的量子密钥分配方案达到了最大容量的编码，通信过程更简单；且在同等的相干时间，它比传统方法的传输距离长一些。
文档编号H04K1/00GK1477809SQ0314639
公开日2004年2月25日 申请日期2003年7月11日 优先权日2003年7月11日
发明者邓富国, 龙桂鲁 申请人:清华大学