王永利 徐秋亮

1(山東大學(xué)數(shù)學(xué)學(xué)院 濟南 250100) 2(山東大學(xué)軟件學(xué)院 濟南 250101)

量子計算與量子密碼是基于量子力學(xué)機制的信息處理技術(shù)，被認為是下一代計算與信息安全的核心，已成為時代發(fā)展的需要，被世界各國寄予厚望.

其實，將量子效應(yīng)應(yīng)用到信息技術(shù)領(lǐng)域的思想，早在20世紀60年代末就開始出現(xiàn)了.1969年，哥倫比亞大學(xué)的Wiesner[1]在他的論文“Conjugate Coding”中提出了利用量子力學(xué)的不確定性原理制造不可偽造的量子鈔票的思想.由于當(dāng)時技術(shù)的限制，該思想沒有被人們接受.10年后，Wiesner又與IBM公司的研究人員Bennett提及了這一思想，引起了Bennett的注意.在1982年的美密會上發(fā)表的論文中，Bennett和加拿大Montreal大學(xué)的Brassard利用量子比特的儲存來實現(xiàn)量子密碼并提出量子公鑰密碼算法.此后不久，他們意識到量子比特的傳輸比量子比特的儲存更便于實現(xiàn)和利用，基于該出發(fā)點，1984年他們提出了著名的量子密鑰分發(fā)的概念[2]，并構(gòu)造了現(xiàn)在被稱為BB84協(xié)議的密鑰分發(fā)協(xié)議.BB84協(xié)議的提出標志著量子密碼學(xué)研究的真正開始.

1994年，Shor[3]提出了著名的量子整數(shù)分解算法，該算法使用量子計算機可以在多項式時間內(nèi)找到大整數(shù)的因子.Shor算法的核心是利用量子Fourier變換求函數(shù)周期，這一算法不僅對大整數(shù)分解有效，對求解離散對數(shù)也有同樣的效果.Shor算法的出現(xiàn)，讓人們對量子計算的優(yōu)越性有了新的認識，具有里程碑意義.后來，Grover[4]提出了一種量子搜索算法，可以對無結(jié)構(gòu)數(shù)據(jù)的搜索加速，它雖然不像Shor算法那樣具有指數(shù)級加速效果，但也大大提升了搜索速度.這些量子算法的出現(xiàn)，不僅展現(xiàn)了量子計算的威力，同時也對現(xiàn)有基于大整數(shù)分解和離散對數(shù)等數(shù)學(xué)困難問題的密碼體制造成很大的威脅，使得人們意識到后量子密碼學(xué)研究的必要性.

經(jīng)過近半個世紀的研究與發(fā)展，量子計算與量子密碼不但在理論上形成了自身的框架體系，在技術(shù)上也取得了突破性進展.國際上許多大學(xué)和科研單位紛紛成立了從事量子計算和量子密碼研究的機構(gòu).除了這些研究機構(gòu)外，國際上也開始出現(xiàn)了專門從事研發(fā)量子密碼技術(shù)產(chǎn)品、量子通信技術(shù)產(chǎn)品和量子計算機的公司，如早期瑞士的ID Quantique公司、美國的MagiQ公司，后來加拿大的D-Wave，現(xiàn)在的IBM公司、Google公司等.特別是在量子計算機研發(fā)方面，2019年1月，IBM在消費電子展(CES)上展示了世界首款商業(yè)化量子計算機IBM Q System One，同年10月Google制造的一臺“Sycamore”量子計算機聲稱超越了傳統(tǒng)計算機實現(xiàn)量子霸權(quán)，2020年6月，Honeywell公司發(fā)布了聲稱是世界最強的量子計算機，量子體積(quantum volume)達到64.雖然這些產(chǎn)品更多的是只有實驗研究價值，距離真正的量子計算還有很大的距離，但這已經(jīng)邁出了向量子時代前進關(guān)鍵的一步，正如萊特兄弟第一架飛機的意義，因此很有必要對量子計算和量子密碼的發(fā)展進行梳理.

本文對量子力學(xué)的數(shù)學(xué)框架、基本概念和原理、量子計算基本思想、量子密碼研究進展及主要思想等方面作了總結(jié).

1 量子力學(xué)的數(shù)學(xué)框架[5]

量子力學(xué)理論給出了研究物理系統(tǒng)規(guī)律的數(shù)學(xué)框架，通過這個框架，物理世界和量子力學(xué)的數(shù)學(xué)描述得以聯(lián)系起來.量子力學(xué)所描述的微觀世界，與人們熟悉的宏觀世界有很大的不同，從而顯得奇妙而神秘，但如果將其放在量子力學(xué)的數(shù)學(xué)視角下，則不過是普通的Hilbert空間向量的運算與變換.本節(jié)對量子力學(xué)的基本數(shù)學(xué)框架進行簡要介紹.

一個孤立的物理系統(tǒng)對應(yīng)一個復(fù)Hilbert空間，該空間稱為系統(tǒng)的狀態(tài)空間，系統(tǒng)的狀態(tài)由Hilbert空間中的向量描述，為了描述和運算方便，一般用英國理論物理學(xué)家狄拉克引入的狄拉克符號表示，如|φ〉.這里需要注意的是，該數(shù)學(xué)描述并沒有給出Hilbert空間的具體形式.

孤立物理系統(tǒng)的狀態(tài)隨時間的變化由Hilbert空間中的酉變換描述，如果系統(tǒng)在t1時的狀態(tài)為|φ1〉，t2時變?yōu)閨φ2〉，則存在一個僅與t1和t2有關(guān)的酉變換U，使得|φ2〉=U|φ1〉.同樣需要注意的是這一數(shù)學(xué)描述沒有給出酉變換的具體形式.

復(fù)合物理系統(tǒng)使用張量積描述，即復(fù)合系統(tǒng)的狀態(tài)空間表示為各分系統(tǒng)狀態(tài)空間的張量積.這一描述也提供了用分系統(tǒng)構(gòu)造復(fù)合系統(tǒng)的方法.

2 基本概念和原理[5]

2.1 量子比特

在復(fù)合量子比特中，如果其狀態(tài)向量不能表示為各量子比特狀態(tài)向量的直積形式，則稱該系統(tǒng)處于糾纏態(tài).通俗來講，處于糾纏態(tài)的系統(tǒng)，各子系統(tǒng)狀態(tài)不能分開.糾纏態(tài)在量子計算與量子信息中起著重要作用，常用的糾纏態(tài)有兩粒子糾纏的Bell態(tài)、三粒子糾纏的GHZ態(tài)等.

2.2 態(tài)疊加原理

在量子計算中，一般會使用計算基的疊加態(tài)，由于酉算子是線性算子，酉算子在疊加態(tài)上的作用，相當(dāng)于在各計算基上作用的疊加，從而獲得真正意義上的并行計算能力.

2.3 不確定性原理

不確定性原理是量子系統(tǒng)的內(nèi)在屬性，與測量設(shè)備的精度以及測量設(shè)備對系統(tǒng)的擾動無關(guān).原理指出:如果2個力學(xué)量所對應(yīng)的算符不對易，則不能同時確定這2個力學(xué)量.如在測量光子偏振狀態(tài)的過程中，線偏振狀態(tài)和圓偏振狀態(tài)不能同時確定，這也是BB84協(xié)議工作的理論基礎(chǔ).

更一般地，測量一個量子態(tài)時，能否獲得精確測量結(jié)果依賴于該量子態(tài)是否為測量算符對應(yīng)的本征態(tài)，如果該狀態(tài)是測量算符對應(yīng)的本征態(tài)，則可得到精確測量結(jié)果，否則，無法得到精確測量結(jié)果.

2.4 未知量子態(tài)不可克隆

1982年Wootters和Zurek[6]首次提出了著名的量子不可克隆定理:在量子力學(xué)中，不存在一個對未知量子態(tài)精確復(fù)制的物理過程，即未知量子態(tài)不可能精確復(fù)制，使得每個復(fù)制比特和初始量子比特完全相同.1986年，Yuen[7]推廣了量子不可克隆定理，指出表示克隆過程的酉變換使得2個量子態(tài)被克隆，當(dāng)且僅當(dāng)它們相互正交，即非正交態(tài)不可克隆.

未知量子態(tài)的不可克隆性，雖然對量子計算中比特復(fù)制造成一定困難，但對量子密碼學(xué)中安全體制的設(shè)計提供了重要保障.

2.5 非正交量子態(tài)不可區(qū)分

對于2個非正交量子態(tài)，沒有一個物理過程可對其進行完美區(qū)分.這是由未知量子態(tài)的不可克隆性決定的.例如，對于2個量子比特，如果它們是非正交的，則任何操作或測量都不能將它們完美區(qū)分開來，總是會產(chǎn)生一些錯誤的結(jié)果.

同不可克隆性一樣，非正交量子態(tài)的不可區(qū)分性給量子計算帶來了很多困難，但在量子密碼學(xué)中的應(yīng)用，有著舉足輕重的價值.

3 量子計算基本思想[5]

量子計算通過量子邏輯門和連線構(gòu)造量子線路實現(xiàn).量子邏輯門在數(shù)學(xué)上由復(fù)Hilbert空間的酉變換描述.1985年，Deutsch[8]引入了量子線路模型.1995年，Barenco，Bennett和Cleve等人[9]證明了單量子比特門和受控非門(controlled-NOT, CNOT)的通用性，為量子線路模型提供了完善的理論保證.

酉變換是可逆的，即量子邏輯門是可逆的，然而經(jīng)典邏輯門大多不可逆，這些不可逆的經(jīng)典邏輯門沒有對應(yīng)的量子邏輯門，所以不能用量子線路直接模擬經(jīng)典線路.幸運的是我們可以用可逆的Toffoli門實現(xiàn)經(jīng)典邏輯門，從而等價地構(gòu)造經(jīng)典線路.Toffoli門是可逆門，可以用量子邏輯門實現(xiàn)，從而使得量子線路可以間接模擬經(jīng)典線路，在量子線路上實現(xiàn)任何經(jīng)典計算.

量子計算中，常用的量子邏輯門有Pauli-X門、Pauli-Y門、Pauli-Z門、Hadamard門、相位門、受控門、交換門等.

量子態(tài)的疊加性決定量子計算具有并行性的特征，它可以同時計算一個函數(shù)在許多點處的函數(shù)值，使得量子計算的能力從本質(zhì)上超越經(jīng)典計算的能力.然而由于量子測量的特點，無法直接從疊加態(tài)中直接抽取信息，大大限制了量子計算的能力.雖然如此，還是可以通過巧妙的設(shè)計，有效利用量子計算的優(yōu)越性，為計算問題加速，這也是量子算法設(shè)計的一個重要特點.從早期的Deutsh-Jozsa算法[10]和Simon算法[11]開始，出現(xiàn)了許多量子算法，其中最具有里程碑意義的是Shor算法[3]和Grover算法[4]，它們分別使用了量子Fourier變換和量子搜索，本節(jié)對其思想進行簡要介紹.

3.1 量子Fourier變換

其中j1j2…jn是j的二進制表示，0.j1…jn為二進制小數(shù).

上述變換可通過圖1所示量子線路實現(xiàn).

Fig. 1 The circuit of quantum Fourier transform圖1 量子Fourier變換線路

通過量子Fourier變換可以實現(xiàn)相位估計，設(shè)|u〉是酉算子U的特征值為e2πiφ的一個本征態(tài)，則可大概率得到φ的指定精度的近似值.相位估計是眾多量子算法的關(guān)鍵部分，結(jié)合經(jīng)典算法，可以有效解決求階、求周期問題，更一般地，可有效解決隱含子群問題.Deutsch-Jozsa算法、Shor大整數(shù)分解算法、求離散對數(shù)等都是隱含子群問題的特例.目前大整數(shù)分解和求離散對數(shù)在經(jīng)典計算機上還沒有有效的求解方法，通過量子Fourier變換，在量子計算機上可有效求解，這也體現(xiàn)了量子計算較之經(jīng)典計算的優(yōu)越性.

3.2 量子搜索

算法中使用了稱為Grover迭代的算子，Grover迭代可表示為(2|ψ〉〈ψ|-I)O，其中|ψ〉=H?n|0〉，O為識別搜索問題解的Oracle.直觀上看，Grover迭代實現(xiàn)了由初始量子態(tài)和搜索問題解組成的均勻疊加態(tài)張成的二維空間中的一個旋轉(zhuǎn)，如圖2所示.

Fig. 2 The geometric intuitive of a Grover iterative圖2 Grover迭代幾何直觀

4 量子密碼研究進展及主要思想

BB84協(xié)議提出后，量子密碼學(xué)正式登上歷史的舞臺.量子密碼學(xué)以量子密鑰分發(fā)為核心，對應(yīng)于經(jīng)典密碼學(xué)領(lǐng)域的其他研究分支也得到了廣泛關(guān)注，并形成各個不同的研究分支.本文對量子密鑰分發(fā)、量子加密、量子簽名和其他研究領(lǐng)域這4個方面的主要思想及進展情況進行介紹.

4.1 量子密鑰分發(fā)

密鑰分發(fā)用來在通信雙方(Alice和Bob)安全分發(fā)一個密鑰，后續(xù)可以用該密鑰安全通信.BB84協(xié)議是第一個量子密鑰分發(fā)協(xié)議，被研究的最多，也最具代表性，在量子密碼研究中占有重要地位，我們在此以Bennett和Brassard提出的原始協(xié)議為基礎(chǔ)對其進行介紹.

BB84協(xié)議使用光子作為量子態(tài)的載體，使用2組偏振基編碼數(shù)據(jù).一種為線偏振基(記為“+”)，水平偏振狀態(tài)記為|?〉，垂直偏振狀態(tài)記為|〉；另一種為圓偏振基(記為“○”)，左旋偏振狀態(tài)記為|〉，右旋偏振狀態(tài)記為|〉.在這2組基下，比特“0”分別被編碼為|?〉和|〉，比特“1”分別被編碼為|〉和|〉.描述光子線偏振和圓偏振的力學(xué)量算符不可對易，由Heisenberg不確定性原理，這2種偏振狀態(tài)無法被同時確定.

BB84協(xié)議需要一條量子信道和一條經(jīng)典信道.量子信道可以是光纖或自由空間，經(jīng)典信道為普通的公共信道，安全性不需考慮.這2種信道都允許第三方(Eve)監(jiān)聽.

BB84協(xié)議工作的過程如下：

1) Alice對于某個安全參數(shù)n，隨機選擇稍多于4n個比特，對每個比特隨機選取線偏振基或圓偏振基進行編碼，并將編碼后的光子序列通過量子信道發(fā)送給Bob；

2) Bob收到光子序列后，隨機選取線偏振基和圓偏振基對光子序列進行測量；

3) Bob與Alice通過經(jīng)典信道聯(lián)系，對比他們所選擇的基序列，舍棄選擇不同基的比特，一般而言，他們將得到稍多于2n個比特；

4) Alice選擇n個比特與Bob對比檢查是否有第三方監(jiān)聽，如果錯誤率超過某一個閾值，則放棄本次協(xié)議(監(jiān)聽會造成對量子態(tài)的干擾，從而顯著增大錯誤率)；

5) Alice和Bob對剩下的n個比特執(zhí)行密鑰糾錯和安全性增強，得到最終的密鑰.

BB84協(xié)議的工作過程可用圖3所示的例子直觀描述：

Fig. 3 The process of BB84 protocol圖3 BB84協(xié)議的工作過程

在BB84協(xié)議工作的過程中，Bob收到Alice發(fā)送的光子序列后，并不知道Alice編碼這些光子所用的基，他在隨機選擇測量基時，有12的概率和Alice使用的基相同，因此在作基比對后，他們能得到大概原始比特數(shù)一半的比特形成的序列，在這個比特序列中，由于設(shè)備、環(huán)境等因素的影響，會出現(xiàn)一定的錯誤，記錯誤率為ξ0.如果協(xié)議過程中存在Eve監(jiān)聽，Eve截獲Alice發(fā)送的光子序列后，受未知量子態(tài)不可克隆原理的限制，他無法對光子序列進行復(fù)制，為了獲取信息，Eve必須在原始光子序列上測量.然而，Eve也不知道Alice編碼光子所用的基，他只能隨機選擇測量基，在測量的過程中必然會對光子產(chǎn)生擾動，使得在Alice和Bob作比特比對時，得到的錯誤率超過ξ0，由此可以發(fā)現(xiàn)監(jiān)聽.

Alice和Bob在比特比對后，需要對剩下的比特序列糾錯，其基本思想是將這些比特序列分為若干區(qū)，對每個區(qū)進行奇偶校驗，如果校驗通過，則放棄一個比特后保留該區(qū)，如果校驗不通過，則放棄整個區(qū)，經(jīng)過若干次重復(fù)，可確保他們有非常高的概率持有相同的比特序列.糾錯后，Alice和Bob對共享比特序列進行安全性增強，如隨機選擇Hash函數(shù)對其進行壓縮，得到最終的共享密鑰.

不同于經(jīng)典密碼學(xué)的安全性基于數(shù)學(xué)困難問題，BB84的安全性基于量子不可克隆和不確定性原理等物理學(xué)定律，它提供了無條件安全性，Shor和Preskill[12]于2000年對其進行了證明，確認了這是一個可證安全的密鑰分配方案，符合現(xiàn)代密碼學(xué)設(shè)計的基本要求.

1992年，Bennett[15]獨立提出一個量子密碼分發(fā)協(xié)議，稱為B92協(xié)議.其工作原理與BB84協(xié)議類似，但不同于BB84使用了4種量子態(tài)，B92只使用了|〉和|〉這2種量子態(tài).Bob隨機選擇線偏振基或圓偏振基進行測量，如果測得|?〉或|〉，則可以肯定Alice發(fā)送的是|〉或|〉，否則Bob不能確定Alice發(fā)送的量子比特.隨后Bob告訴Alice在哪些量子比特上得到確定的結(jié)果，并對相應(yīng)的測量基進行編碼(如線偏振基編為“0”，圓偏振基編為“1”)，得到共享密鑰.同年，Bennett等人[16]結(jié)合糾纏態(tài)和BB84的思想，提出了BBM92協(xié)議，該協(xié)議也使用糾纏量子比特對，但與E91協(xié)議使用Bell不等式檢驗判斷監(jiān)聽的方法不同，BBM92協(xié)議使用和BB84協(xié)議類似的方法確定監(jiān)聽是否存在.此外他們還證明了BBM92協(xié)議與BB84協(xié)議本質(zhì)上的等價性.

BB84協(xié)議中使用單光子作為量子比特，然而在實際系統(tǒng)中，理想的單光子很難制備，一般通過對光源發(fā)出的激光進行衰減，產(chǎn)生弱相干光代替單光子，這就會產(chǎn)生多光子脈沖，使協(xié)議容易受到光子數(shù)分離攻擊[17].鑒于此，2003年，Hwang[18]提出了誘騙態(tài)思想，2005年，Lo等人[19]和Wang[20]分別獨立地提出了誘騙態(tài)協(xié)議，通過在光信號中混入誘騙態(tài)，Bob可以通過測量統(tǒng)計結(jié)果的異常發(fā)現(xiàn)第三方監(jiān)聽.誘騙態(tài)協(xié)議的提出，有力地推進了量子密鑰分發(fā)由理論到實際應(yīng)用的進程.

在實際應(yīng)用過程中，上述量子密鑰分發(fā)協(xié)議還有很多問題，它們一般依賴于理想狀態(tài)的設(shè)備，這在現(xiàn)實中很難實現(xiàn)，因此人們開始考慮在協(xié)議層面避免對理想設(shè)備的過度依賴.2007年，Acín等人[21]提出了設(shè)備獨立的QKD協(xié)議(DI-QKD)，它通過檢測Bell不等式不成立來保證協(xié)議的安全，不依賴于設(shè)備細節(jié)，甚至在敵手提供設(shè)備的情況下也可以安全執(zhí)行協(xié)議.然而，DI-QKD協(xié)議對探測設(shè)備的效率要求很高，大大降低了協(xié)議的實用性.2012年，Lo等人[22]提出了測量設(shè)備獨立的QKD協(xié)議(MDI-QKD)，不僅可以徹底抵御探測器端的攻擊，還大大提高了協(xié)議執(zhí)行的效率，此后人們對MDI-QKD又做了許多研究[23-26].2014年，Lim等人[27]提出了探測設(shè)備獨立的QKD協(xié)議(DDI-QKD)，進一步提高了效率，該協(xié)議不是完全的測量設(shè)備無關(guān)協(xié)議，但可天然抵抗時移攻擊[28].2016年，Boaron[29]對DDI-QKD的安全性作了理論分析，解釋了其依賴的安全假設(shè)，并說明了與MDI-QKD協(xié)議不等價.2018年，Lucamarini等人[30]提出了雙場量子密鑰分發(fā)協(xié)議(TF-QKD)，在保證密鑰安全的前提下突破了成碼率和傳輸距離極限，引起很大轟動.

除了在理論研究方面取得引人矚目成果外，量子密鑰分發(fā)協(xié)議在具體實現(xiàn)方面也取得了許多成果，如基于光纖的長距離傳輸方案[31-32]和基于自由空間的傳輸方案[33-34]等.可以說，在量子密碼學(xué)領(lǐng)域，量子密鑰分發(fā)是被研究的最廣泛、最深刻的一個方向，但仍存在許多問題與挑戰(zhàn)，尤其是在具體的實現(xiàn)過程中，在密鑰生成效率、傳輸距離、抗噪聲、抗設(shè)備缺陷等方面，還有很多的工作要做.

4.2 量子加密

1) 量子一次一密

1917年，Vernam[35]提出了一種完善保密的加密方法，稱為“一次一密”(one-time pad).與之對應(yīng)，量子密碼學(xué)也有量子“一次一密”算法.根據(jù)明文、密鑰和密文分別是經(jīng)典比特還是量子比特，量子“一次一密”算法主要有3種類型.

① 使用2位經(jīng)典比特加密一位量子比特明文，得到一位量子比特密文.該算法由Boykin和Roychowdhury[36]提出.算法中加密過程為：|c〉=XαZβ|m〉，其中|m〉為明文文比特，|c〉為密文比特，α,β∈{0,1}是兩比特密鑰，X為Pauli-X門，Z為Pauli-Z門.解密是加密的逆過程：|m〉=ZβXα|c〉.

② 超密編碼.由Bennett和Wiesner[37]首先提出.超密編碼開始需要通信雙方Alice和Bob共享一對處于糾纏態(tài)的量子比特，如Bell態(tài).Alice對自己手中的量子比特作Pauli門操作或不作任何操作后，將其發(fā)送給Bob，Bob通過對這一對糾纏比特作合適測量，可得到Alice想要發(fā)送的2位經(jīng)典比特明文.超密編碼可以看作是使用一位量子比特作為密鑰，加密2位經(jīng)典比特明文，得到一位量子比特密文.

③ 量子隱形傳態(tài)[38].開始時Alice和Bob共享一個EPR對，每人擁有EPR對的一個量子比特.Alice將待發(fā)送的量子態(tài)|φ〉與自己手中的一半EPR對作聯(lián)合測量，得到兩比特的經(jīng)典信息，然后其發(fā)給Bob，Bob可以根據(jù)這兩比特信息對自己的一半EPR對作相應(yīng)測量，得到|φ〉.Gisin等人[39]將其視為明文、密鑰和密文都是量子比特的一次一密.

量子一次一密在構(gòu)造量子簽名等其他密碼學(xué)應(yīng)用時，有著廣泛的應(yīng)用.

2) 量子公鑰加密

2000年，Okamoto等人[40]在美密會上首先提出了量子公鑰加密方案.方案中，消息的發(fā)送方、接收方以及敵手都被抽象成量子多項式時間圖靈機，并且在量子計算模型下構(gòu)造了量子單向陷門函數(shù).在這之后，多種多樣的量子公鑰密碼方案被提出.2003年，Yang[41]提出了一個基于經(jīng)典NP完全問題的量子公鑰加密方案.2008年，Nikolopoulos[42]基于量子比特旋轉(zhuǎn)變換提出了一個公鑰加密方案.2009年，Gao等人[43]使用對稱密鑰構(gòu)造了量子公鑰加密方案.2012年，Liang等人[44]提出了一個信息論安全的加密方案.2014年，Zheng等人[45]提出了面向比特的概率型量子公鑰加密方案.2015年，Vlachou等人[46]提出了基于量子隨機游走的方案.2017年，Wu等人[47]提出了基于Bell態(tài)的公鑰加密方案.

下面基于Nikolopoulos的方案，以加密一個比特為例，簡要說明量子公鑰加密的原理.

① 密鑰生成.隨機選取正整數(shù)n?1，隨機選取s∈Z2n，將|0〉繞y軸旋轉(zhuǎn)sθn后得到|φs〉=Ry(sθn)|0〉，其中θn=2π2n，y軸垂直紙面向外，如圖4所示.私鑰為(n,s)，公鑰為|φs〉.

Fig. 4 |0〉 rotates sθnaround y-axis圖4 |0〉繞y軸旋轉(zhuǎn)sθn

② 加密.設(shè)m∈{0,1}為明文，將|φs〉繞y軸轉(zhuǎn)mπ得密文|c〉=Ry(mπ)|φs〉=Ry(sθn+mπ mod 2π)|0〉.

③ 解密.將|c〉繞y軸旋轉(zhuǎn)-sθn得到狀態(tài)

在基{|0〉,|1〉}下進行測量，然后根據(jù)測量結(jié)果恢復(fù)明文m.

在該公鑰加密方案中，私鑰為經(jīng)典數(shù)據(jù)，公鑰為量子數(shù)據(jù)，方案通過量子比特旋轉(zhuǎn)變換，將經(jīng)典比特加密為量子比特.

3) 量子同態(tài)加密

2012年，Rohde等人[48]使用玻色子采樣和量子行走模型實現(xiàn)了有限的量子同態(tài)加密.2015年，Liang[49]基于通用量子線路，構(gòu)造了量子全同態(tài)加密方案，該方案中可以對加密數(shù)據(jù)執(zhí)行任意量子變換.2015美密會上，Broadbent和Jeffery[50]基于經(jīng)典FHE的存在提出了2種QHE方案.他們提供了2種不同的方法來完成具有有限數(shù)量的非Clifford門線路的同態(tài)加密，還提出了QFHE及其安全性的正式定義.2016年，Dulek等人[51]擴展了這項工作，以便有效地評估任意多項式大小的線路，并提供了一種新的緊湊型QHE方案.2017年，Ouyang等人[52]提出了一種(n,n)閾值秘密共享方案，該方案允許對共享秘密上的量子線路進行評估而無需對其進行解碼.此外還有一些其他的量子同態(tài)加密方案[53-55].

4.3 量子簽名

量子簽名是量子密碼學(xué)的一個重要分支，在2001年由Gottesman等人[56]首次提出，它通過量子力學(xué)原理保證數(shù)據(jù)簽名的安全性.同經(jīng)典簽名一樣，其安全性需要滿足3個屬性：

1) 不可偽造.沒有人能偽造一個合法的簽名.

2) 不可否認.簽名者不能對自己的簽名否認.

3) 可公開驗證.接收到消息的任何人均可通過公鑰驗證消息簽名的合法性.

人們最開始研究的量子簽名是依賴于仲裁的，第一個具體方案由Zeng等人[57]在2002年提出，此后Curty等人[58]、Zou等人[59]、Gao等人[60]利用經(jīng)典簽名協(xié)議的分析方法，給出了該方案的一些安全漏洞.2009年，Li等人[61]提出了基于Bell態(tài)的仲裁量子簽名.2015年，Li和Shi[62]提出了基于CNOT鏈加密的仲裁量子簽名.2018年，F(xiàn)eng等人[63]提出了基于連續(xù)變量量子態(tài)的仲裁量子簽名.

以簽名一個量子比特為例，簡要介紹基于Bell態(tài)的仲裁量子簽名的思想.

3) 驗證.Bob在收到Alice的消息|p〉和簽名s后，用kB將其加密得yB=EnckB(|p〉,s),并發(fā)送給仲裁.仲裁收到y(tǒng)B后，用kB解密得|p〉和s，再用kA解密s得|r′〉和MA，然后比較|r′〉和|r〉=EnckA(|p〉)得

近年來，除了普通量子簽名外，人們還對量子盲簽名、量子群簽名、量子代理簽名等分支進行了大量研究，取得了豐碩成果.

量子盲簽名是一種特殊的簽名，簽名前先將消息盲化，簽名者對盲化的消息進行簽名，最后消息擁有者對簽字除去盲因子，得到簽名者關(guān)于原消息的簽名.盲簽名要求簽名有可驗證性、不可偽造性、不可否認性和盲性，即可驗證去掉盲化因子的原消息簽名，盲簽名不能被偽造，簽名者不能否認簽名和簽名者不知道所簽署消息的內(nèi)容.量子盲簽名的研究成果主要有文獻[64-70].

量子群簽名允許群體中任意一個成員可以以匿名的方式代表整個群體對消息進行簽名，并可以被公開驗證.群簽名要求可驗證性、匿名性、不可偽造性、不可否認性和可追蹤性，即消息接收者可以驗證簽名的有效性，但不能確定是哪個成員簽署了消息，簽名不能被偽造，簽名者不能否認簽名，有爭議時管理員可揭示簽名者的身份.量子群簽名的研究成果主要有文獻[71-75].

量子代理簽名允許原始簽名人將其簽名權(quán)委托給代理簽名人，代理簽名人可以代表原始簽名人進行簽名.代理簽名要求可驗證性、不可偽造性、不可否認性、可區(qū)分性和可注銷性，即簽名的有效性可被驗證，代理簽名人和原始簽名人都不能冒充對方偽造簽名，也不能否認代簽和委托，代理簽名中包含代理簽名人和原始簽名人的信息，與普通簽名可區(qū)分，原始簽名人可注銷代理簽名人的簽名權(quán).量子代理簽名的研究成果主要有文獻[76-80].

4.4 其他研究領(lǐng)域

目前，量子密碼以量子密鑰分發(fā)為主要研究方向，加密、簽名等也有不同程度的研究，而在其他密碼學(xué)領(lǐng)域也有著一定的研究，形成了不同的研究分支.主要有量子秘密共享[81-85]、量子比特承諾[86-90]、量子不經(jīng)意傳輸[91-95]、量子安全直接通信[96-100]、量子隱私查詢[101-105]、量子身份認證[106-110]等，但總體來說還處于起步階段.

5 面臨的問題與挑戰(zhàn)

量子計算由于其真正意義上的并行計算機制，可以進行指數(shù)級加速，大大超越經(jīng)典計算的能力.然而，由于量子態(tài)制備、從量子態(tài)中提取信息等受客觀規(guī)律的限制，量子計算的廣泛應(yīng)用受到很大影響.想要有效發(fā)揮量子計算的威力，需要非常巧妙的設(shè)計硬件和軟件.量子世界遵循的規(guī)律與經(jīng)典世界有很大的不同，由于人們在日常生活中對經(jīng)典世界的習(xí)慣，在利用量子規(guī)律時思維容易受到限制，這也是在量子計算研究中普遍存在的困難，是真正能體現(xiàn)量子計算優(yōu)越性的算法少之又少的原因之一.如何設(shè)計好的硬件和軟件，充分利用量子計算的能力，是廣大科研工作者面臨的重要挑戰(zhàn)之一.

基于量子力學(xué)機制，量子密碼學(xué)有著先天的優(yōu)勢.從理論上來講，量子密碼學(xué)有著無條件安全性的特點，這是信息安全領(lǐng)域理想的目標之一.然而在實際應(yīng)用時，由于設(shè)備缺陷、噪聲影響等因素，還存在許多安全問題，需要人們從理論和實踐2個層面去解決.此外在效率、易用性、健壯性等方面也存在諸多問題有待解決.在量子密碼學(xué)安全方案設(shè)計方面，同經(jīng)典密碼一樣，由于很難窮舉所有攻擊方式，僅進行啟發(fā)式分析是遠遠不夠的，必須考慮可證安全理論.量子力學(xué)有其獨特的機制，如量子糾纏、未知量子態(tài)不可克隆等，利用這些特有的機制設(shè)計與經(jīng)典密碼學(xué)中沒有顯式對應(yīng)的安全應(yīng)用，也是一個重要的方向.同量子計算一樣，由于受經(jīng)典思維方式的影響，這一方面的工作也面臨重要挑戰(zhàn).

6 結(jié)束語

本文簡單介紹了量子計算及其主要算法的基本數(shù)學(xué)思想，并對基于量子力學(xué)機制的量子密碼學(xué)的發(fā)展狀況做了簡要介紹.量子密鑰分發(fā)是被研究的最深入的一個領(lǐng)域，無論是從理論上還是實踐上，都取得了豐碩的研究成果，并開始進入商用階段.其他量子密碼學(xué)研究領(lǐng)域也取得了許多成果.未來的時代也許是屬于量子的，量子計算及量子密碼學(xué)的研究是為人們進入量子時代的必要準備，雖面臨重重挑戰(zhàn)，但已指明了方向.