葉萌, 徐立坤, 黃觀金, 李建輝, 劉云

(1 南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電有限公司信息通信分公司, 廣東 廣州 510700;2 安徽問(wèn)天量子科技股份有限公司, 安徽 蕪湖 241000)

0 引 言

量子密鑰分配協(xié)議(QKD)的目的是在合法的通信雙方Alice 和Bob 之間建立安全的密鑰,其最早是由Bennet 和Brassard[1]在1984 年提出來(lái)的,隨后Ekert[2]在1991 年提出了E91 協(xié)議,該協(xié)議基于量子糾纏。QKD 安全性的基礎(chǔ)是Alice 和Bob 對(duì)各自的實(shí)驗(yàn)設(shè)置有嚴(yán)格的要求,而實(shí)際系統(tǒng)中可能很難滿足這些條件。隨著研究的深入,近年來(lái)學(xué)術(shù)界提出了諸多針對(duì)實(shí)際QKD 系統(tǒng)的攻擊方案[3-11]。在這些攻擊方案中,竊聽者可以部分甚至完全地獲取到密鑰,因此實(shí)際QKD 系統(tǒng)的安全性問(wèn)題引起了廣泛關(guān)注。

為了解決器件非理想特性帶來(lái)的實(shí)際系統(tǒng)的安全漏洞,Barrett、Hardy和Kent[12]提出的BHK05 協(xié)議是最早被證明是安全的設(shè)備無(wú)關(guān)量子密鑰分配(DI-QKD)協(xié)議,其證明了即使竊聽者擁有無(wú)窮的計(jì)算能力和存儲(chǔ)能力,DI-QKD 協(xié)議針對(duì)于一般攻擊仍是安全的。但是,其安全性分析不能有效地計(jì)算安全密鑰率。隨后Pironio 等[13]基于Ekert 的原始思想,于2009 年提出了基于Bell 不等式的DI-QKD 協(xié)議。該協(xié)議可以看作是E91 協(xié)議的一種推廣,而E91 協(xié)議只是把Bell 測(cè)試作為一種估計(jì)Eve 竊聽程度的手段,沒(méi)有給出完整的通過(guò)Bell 不等式違背程度判斷安全性的量化標(biāo)準(zhǔn)。DI-QKD 協(xié)議在E91 協(xié)議的基礎(chǔ)上,提出利用CHSH 不等式來(lái)檢驗(yàn)安全性。能根據(jù)CHSH 不等式的違背程度量化估計(jì)出安全碼率,因此其安全性不依賴于量子設(shè)備的可靠性。DI-QKD 協(xié)議的安全性基于量子糾纏特性,不依賴于態(tài)制備和態(tài)測(cè)量的可靠性,而僅把態(tài)制備和態(tài)測(cè)量作為黑盒子處理,通過(guò)黑盒子輸入和輸出所得到的條件概率來(lái)判定雙方的量子關(guān)聯(lián)。由于安全性方面的巨大優(yōu)勢(shì),DI-QKD 協(xié)議近幾年來(lái)在理論和實(shí)驗(yàn)方面都取得了重要突破[14-16]。

DI-QKD 協(xié)議的安全性基于貝爾不等式的違反,當(dāng)貝爾不等式的違反值大于經(jīng)典值時(shí)才可以保證協(xié)議的安全性。與CHSH 不等式相比,α-CHSH 不等式更為普適,其應(yīng)用范圍更廣。本文基于α-CHSH 不等式,在比特翻轉(zhuǎn)信道模型下分析了DI-QKD 協(xié)議的安全性,進(jìn)而給出安全密鑰率與α-CHSH 不等式違反值之間的關(guān)系,為后續(xù)DI-QKD 協(xié)議構(gòu)造和實(shí)驗(yàn)實(shí)現(xiàn)打下基礎(chǔ)。

1 α-CHSH 不等式

Bell 不等式的提出起源于一個(gè)著名的爭(zhēng)論-EPR 悖論, 它是由Albert Einstein、Boris Podolsky 和Nathan Rosen 三人于1935 年提出[17], 其試圖揭示出量子力學(xué)缺少一些關(guān)于物理實(shí)在性的描述。針對(duì)EPR 悖論,物理學(xué)家提出了隱變量理論來(lái)解釋,即認(rèn)為這種表面上的非定域性是由一些不可知的隱變量造成的,若將那些額外的變量考慮進(jìn)去,那么整個(gè)量子系統(tǒng)就是確定和可預(yù)測(cè)的,測(cè)量結(jié)果也符合嚴(yán)格因果關(guān)系。為了驗(yàn)證這個(gè)理論,Bell 在1964 年設(shè)計(jì)了一個(gè)實(shí)驗(yàn)[18],如果隱變量理論成立,那么實(shí)驗(yàn)結(jié)果應(yīng)該滿足所謂的Bell 不等式。

用α-CHSH 不等式[19-21]設(shè)計(jì)構(gòu)造DI-QKD 協(xié)議,具體的α-CHSH 不等式為

式中A0和A1是發(fā)送端Alice 的測(cè)量算子,而B0和B1是接收端Bob 的測(cè)量算子,是在Alice 端的測(cè)量算子Ax和Bob 端的測(cè)量算子By下的期望值。該不等式可以理解為CHSH 不等式的更普適形式,當(dāng)α=1 時(shí)上述不等式退化為CHSH 不等式。 α-CHSH 的經(jīng)典界可以給出如下分析:

當(dāng)α=1 時(shí),上述不等式的界退化為Iα≤2。相應(yīng)地,α-CHSH 的量子界可以給出如下分析:

當(dāng)α=1 時(shí),(3)式的界退化為

在一般意義下,上述量子界的最大值可以通過(guò)以下的量子態(tài)制備形式和量子態(tài)測(cè)量形式得到

式中A0和A1是Alice 端輸入是0 和1 時(shí)的測(cè)量算子形式,而B0和B1是Bob 端輸入是0 和1 時(shí)的測(cè)量算子形式,相應(yīng)的μ1、μ2、μ3、μ4的取值可表示為

在上述量子態(tài)測(cè)量和量子態(tài)制備取值范圍下,可以得到量子界的最大值

2 基于α-CHSH 不等式的DI-QKD 協(xié)議

量子密鑰分配系統(tǒng)中的信道模型對(duì)協(xié)議的安全性分析至關(guān)重要,此處考慮的量子信道是比特反轉(zhuǎn)信道,當(dāng)信道中輸入的量子態(tài)為|w〉=α|0〉+β|1〉,該信道以1-p的概率原樣輸出|w〉=α|0〉+β|1〉,以p的概率對(duì)輸入的量子態(tài)做比特反轉(zhuǎn),演化符合

不妨假定一端的量子態(tài)在信道中經(jīng)歷了比特反轉(zhuǎn),也就是信道以1-p的概率原樣輸出最大糾纏態(tài),以p的概率對(duì)輸入的量子態(tài)做比特反轉(zhuǎn),演算符合

此時(shí)可以得到α-CHSH 不等式的違反值為

基于α-CHSH 不等式,可以通過(guò)以下步驟構(gòu)造DI-QKD 協(xié)議:1)Alice 和Bob 共享經(jīng)過(guò)信道演化后的量子態(tài);2)Alice 和Bob 從各自的測(cè)量值集中選擇一個(gè)進(jìn)行測(cè)量;3)Alice 和Bob 對(duì)所選擇的測(cè)量值檢驗(yàn)α-CHSH 不等式,并判斷是否違反了α-CHSH 不等式的經(jīng)典界限;4)如果不等式的值發(fā)生違反,計(jì)算密鑰率是否大于0;5)當(dāng)密鑰率的值大于0 時(shí),采用糾錯(cuò)、認(rèn)證和保密放大等得到最終的安全密鑰。

由上述步驟可以得到安全密鑰率

在文獻(xiàn)[19]中,可以得到竊聽者的不確定度為

相應(yīng)地,接收端Bob 的不確定度為H(A|B)=h(p),因此可以得到總的密鑰率為

當(dāng)α=1 時(shí),該密鑰率公式退化為

該密鑰率公式與原始CHSH 不等式的結(jié)論是一致的。

Fig.1 給出了不同α 取值的情況下,密鑰率與信道參數(shù)p的關(guān)系。

圖1 不同α 下,安全密匙R(shí) 隨信道參數(shù)p 的變化Fig.1 The secret key rate R versus channel parameter p with different α

3 結(jié) 論

分析了α-CHSH 不等式所能取得的經(jīng)典違反和量子違反的最大值,同時(shí)構(gòu)造了量子違反值可以取到最大時(shí)的量子態(tài)制備和測(cè)量的形式。基于α-CHSH 不等式進(jìn)一步構(gòu)造了DI-QKD 協(xié)議,并分析了該協(xié)議在比特反轉(zhuǎn)信道下的竊聽者信息量和誤碼率,最終得到了安全密鑰率公式,為后續(xù)DI-QKD 的構(gòu)造和實(shí)驗(yàn)實(shí)現(xiàn)打下了基礎(chǔ)。