量子：基于EPR块对的两步量子直接通信

学习论文：

题目：Two-step quantum direct communication protocol using the Einstein-Podolsky-Rosen pair block

作者：Fu-Guo Deng,Gui Lu Long and Xiao-Shu Liu

原文

摘要

　　提出了一种基于EPR块对的量子安全直接通信的协议，使用一组EPR对序列作为直接发送秘密消息的数据块。这组N个EPR集合被分为两个粒子序列，即校验序列和消息编码序列。在发送（传输）校验序列后，通信双方通过随机选择的两组基来测量一部分随机选择的粒子来检查是否被监听。在确保量子信道的安全性后，发送者Alice将秘密信息直接编码成消息编码序列，并发送给Bob。通过将校验序列和消息编码序列组合到一起，Bob就能直接读出被编码的消息。该方案是安全的，因为窃听者不能同时获得两个序列。我们也在有噪音的信道中去讨论此事。

介绍

　　密码学的目标是确保秘密消息只对通信的两个授权方是可理解的，且在传输过程中不应该被改变。到目前为止，人们相信唯一被证明安全的密码系统是一次一密方案，其中密钥和消息是一样长的。两个相距较远的粒子想要通信（互相发送秘密消息）必须首先分发密钥。但是很难通过经典信道去安全分发密钥。量子密钥分发（QKD）是利用量子力学原理进行密钥分发的方法，是唯一验证安全的密钥分发协议。

　　自从Bennett和Brassard在1984年提出了标准量子密钥分发协议（BB84），量子密钥分发引起人们广泛关注，并得到迅速发展。现在有很多理论上的量子密钥分发方案，例如，文献[1-18]。它们可以归于两种类型中的一种，即非确定性的和确定性的。非确定性方案的特点是发送者Alice随机选择两组测量基（MBs）【至少有两组非正交基】去产生两种正交态并发送给Bob。然后Bob从两组基中随机选择一组基来测量状态，Bob和Alice只有一定的概率会选择相同的基。因此在它们交换经典信息之前，Alice无法确认Bob可以接受哪个比特值。较为典型的方案是BB84协议、Ekert91协议、BBM92协议等。相反，在确定性方案中，Alice和 Bob选择相同的正交基去测量，所以若量子信道不收干扰，则它们可以确定得到相同的结果，这类典型的协议如文献[5,6,8,10,13]中给出的。

　　这与密钥分发的目的是在双方之间建立一个公共随机秘钥不同之处是，安全直接通信是在没有事先建立随机密钥对对其消息加密的情况下直接通信重要的消息，因此对安全直接通信提出了更好的要求。作为一种安全直接通信，它必须满足两个要求，首先，秘密信息应该由Bob在接收量子态时直接读出，并在量子比特传输后不需要额外的经典信息。其次，即使窃听者可能窃听信道，已经在量子态中编码的秘密信息也不会泄漏。也就是说，不仅可以检测到监听者，还可以识别出无用的信息，由于经典信息可以完全复制，则直接通过经典信道传输秘密信息是不可能的。但当量子力学进入通信领域时，就会发生改变。

　　最近Beige等人提出了一种量子安全直接通信的方案（QSDC）[19]，在该方案中，只有在传输了每个量子比特的附加经典信息之后，才能读取该消息。Bostrom和Felbingeer提出了ping-pong-QSDC方案[20]。若使用理想量子信道，则密钥分发是安全的，直接秘密通信也是安全的。然而，正如Wojcik[21]所说，若是在一个有噪音的量子信道中，它是不安全的，部分可能会泄露给窃听者Eve，特别是在有噪音的量子信道中，Eve可以使用截取、重发策略去窃取一些秘密信息，最后即使Bob和Alice发现也是通信结束后了。此外，携带信息的是有限的，一个纠缠的EPR对只能携带一位经典信息。

　　本文，我们将介绍一种具有EPR对的QSDC方案，它推广了文献[1]中的密钥分发基本思想，我们将证明它是安全的，具有高容量的，我们也在有损量子信道中谈论此问题。

方案

一个EPR对是四个贝尔态之一：

　　这里的|0>和|1>是光子偏振算符 的上下本征态，我们对单个光子的状态测量时，若我们知道第一个光子的测量结果，贝尔态就会坍塌，另外一个粒子的状态就会确定。比如，我们测量来于贝尔态 的光子A的状态，测量结果为|0>，则光子B的状态就会塌陷到量子态|1>。

　　在参考文献[1]中的QKD协议中，是准备了N个有序EPR对，每个EPR对对应四个随机的Bell态，并分为两个序列。Alice将第一个序列发送给Bob，然后分别测量手里的光子序列。之后对第一个序列的传输安全性分析，若确保信道是安全的，Alice将第二个序列发送给Bob，然后Bob用Bell基对N个EPR对测量，然后读出贝尔态。然后执行第二次窃听检查。通过分析错误率，就可以确定是否安全得创建了原始密钥。在该协议中，传输是以N个EPR对批次完成。分组传输协议的优点是，我们可以通过测量第一步中的一些光子来检查传输的安全性，在第一步中，Alice和Bob手中都有一个粒子序列。一旦量子信道的安全性得到保证，意味着窃听者没有获得第一个粒子序列，无论对第二个粒子序列做什么，都不会泄漏消息。

　　因为这种特性，为了实现安全直接通信，这种两步QSDC协议可以修改。如图1，首先给出QSDC协议的具体步骤：

1、Alice和Bob协定，四个Bell基中任意一个都可以携带两个量子比特的经典信息，并将分别编码为00，01，10，11

2、Alice准备N个EPR序列在态中取，用 表示N对，其中下标表示对的序列号，C和M表示两个粒子。

3、Alice从每个EPR对中选取一个粒子组成有序的EPR序列，如 ，叫做校验序列或者C序列

剩下的EPR对中的粒子组成另外一个EPR序列，即，叫做消息编码序列或者M序列

4、Alice将C序列发给Bob，以下步骤是检查是否被窃听：

A、Bob从C序列中随机选择一些粒子，并告诉Alice他的选择

B、Bob从两组测量基中随机选择一组，比如 去测量粒子

C、Bob告诉Alice他为每个粒子选择了哪个测量基，以及测量结果

D、Alice使用与Bob相同的测量基去测量M序列中的相应粒子，并与Bob的结果进行核对；若不在窃听，他们测量的结果是相反的，即Alice得到|0>，则Bob一定得到|1>。这是第一次窃听检查，之后，若误码率很小，Alice和Bob可以说，线路中无窃听，Alice和Bob继续执行5，否则，丢弃出传输并终止通信。

5、Alice将消息编码到M序列上，并发送给Bob，在发送之前，Alice需对EPR对进行编码，为防止这次传输被窃听，Alice在M序列上做了个smalltrick，即在M序列中随机选择一些粒子，并随机对他们执行四种操作中的一种，这些粒子数量不必很大，只要能提供错误率分析。只有Alice知道这些所选粒子的位置，且完全保密，剩下的M序列中的粒子直接用于携带秘密信息。

　　为了加强信息编码，我们使用Bennett和Wiesner的密集编码方案，其中信息通过对单个量子比特的局部操作在EPR对上进行编码。这里我们将秘密编码的思想推广到安全直接通信上，与密集编码不同的是，在该协议中，EPR对中的两个粒子分两步从Alice发送到Bob，EPR对的传输是分块进行的。显然，Alice对它的每个粒子进行四个么正运算(U0、U1、U2和U3)之一操作：

并将分别编码为00，01，10，11

6、在M序列传输后，Alice告诉Bob采样对的位置以及对它们进行的运算类型。Bob同时对C和M序列执行Bell基测量。通过检查Alice选择的采样对，他将估计得到M序列传输中错误率。事实上，在第二次传输中，Eve只能干扰传输，不能窃取信息，因为它只能从EPR对中获得一个粒子。

7、如果采样对的错误率相当低，则Alice和Bob可以信任该过程，并使用纠错方法纠正秘密消息中的错误。否则，Alice和Bob将放弃传输并重新开始。

8、Alice和Bob对他们的结果进行纠错。这一过程与QKD中的完全相同。然而，为了保持消息的完整性，应该使用保留校正码位，例如CASCADE[23]。

如上所述，Alice和Bob可以确保C序列的安全性，如果Eve窃听，就会被发现。有趣的是，Eve无法读出EPR对中的信息，即使她捕获了两个序列中的一个，因为没有人能单独从EPR对中的一个粒子中读取信息。这样，秘密信息就不会泄露给Eve了，它是安全的。此外，该协议的容量很高，因为每个EPR对携带两个比特的经典信息。

QSDC方案的安全性

　　我们的QSDC协议是基于EPR对的，因此安全性证明类似于文献[20，24，25]中的纠缠粒子。我们的QSDC协议的安全性证明是基于C序列传输的安全性。如果Alice和Bob在C序列的传输中检测不到窃听者Eve，EVE可以很容易地捕获每对EPR对中的两个粒子，并对其进行贝尔基测量，从而读出秘密信息。

　　我们的QSDC协议中C序列的传输和安全检查类似于BBM92 QKD协议[3]，其中EPR对中的一个粒子被发送给Alice，另一个粒子被发送给Bob。在这里，M序列粒子被安全地保留在Alice的位置。在检查窃听之前，Eve无法访问M序列粒子。因此，C序列的传输安全性简单地降低到BBM92QKD协议的安全性。文献[24]给出了BBM92在理想状态下的安全性证明,并结合实际情况在参考文献[25]中给出了详细的说明。因此，我们的QSDC协议是安全的。

　　现在，让我们给出为什么选择两组测量基来检查C序列的传输安全性的原因。根据Stinessping膨胀定理，由于Eve只能在Alice和Bob之间的量子通道上窃听，所以它的窃听可以通过一个么正操作来实现，比如，在更大的Hilbert空间上的 ，。

　　复合系统Alice、Bob和Eve的状态为：

其中描述Eve的探测状态， 和分别是Alice和Bob在每个EPR对中的单粒子态。如参考文献[24]所示，Eve窃听状态的条件是：

 

也就是说，Eve的窃听可以用下面表示：

由于必须是幺的，所以复数必须满足：

我们得到以下关系：

对于Alice和Bob来说，Eve窃听的行为会带来误码率：

　　如果Eve只能捕获每个EPR对中的一个粒子，它就得不到任何信息。Eve窃取信息的方法是假装Bob接收C序列，然后向Bob发送一个假序列。如果Alice和Bob发现不了Eve，Eve就会截取M序列，并读出EPR对中的信息。也就是说，只有当Alice和Bob确定没有窃听者监视量子通道时，他们才会发送M序列。

　　我们可以计算出Eve能最大限度地获得的信息。当C序列粒子到达Bob时，它的约化密度矩阵为：

也就是说，Bob的粒子可以处于状态，概率相等为1/2

与参考文献[20]相似，

首先假设Alice手中粒子的量子态是 ，即Alice用单光子探测器对她手中的粒子进行测量，状态是 。然后，由Bob的光子和Eve的窃听组成的系统的状态可以用下面的公式来描述：

在分别用概率p0、p1、p2和p3对么正运算U0、U1、U2和U3进行编码之后，状态为：

它可以用正交基重写。

这里

Eve可以得到的信息等于Neumann熵上，即:

其中的特征值，它们是:

　　如果这四个操作以相等的概率分布，即，则EVE可以从每个EPR对获得1比特的信息,错误率是0。事实上，Eve窃取信息的简单方法是，Eve用测量每个光子，Alice和Bob没有发现Eve，即使Eve不能读出EPR对中的相位信息，她也能分辨出每个比特的值。也就是说，她可以区分运算。这是参考文献[20]中编码的固有限制。

　　当然，上述证明和讨论都是基于理想条件，没有考虑传输过程中的噪声。实际上，在低噪声信道中，粒子损失很小，而Eve的窃取会增加误码率或信号损失，所以如果Alice和Bob进行第一次窃听检查，并对误码率和效率进行分析，则C序列的安全性是有保证的。相反，如果量子信道损耗足够高，就会出现两个问题。第一个问题是C序列传输的安全性，这需要Alice和Bob安全地共享纠缠态序列。另一个是M序列的丢失，如果没有测量，Bob无法确定他是否收到C序列中的粒子，而Alice是要M序列中所有粒子进行编码。这样，如果Eve捕获了C序列中的一些粒子，并用不会增加所有光子损耗效率的一种更好的量子信道将其他粒子发送给Bob，那么她的窃听就不会被检测到。Eve截取M序列并进行Bell基测量，然后获得一些秘密信息。这是危险的，不安全地共享EPR对序列。为了避免对C序列的攻击，并安全地共享EPR对序列，Bob可以先对他第一个收到的粒子进行量子纠缠交换[26]，然后得到纠缠C序列的一个子集，称为 序列。如果确实有粒子，则交换成功，否则交换失败。这里的交换操作用作于检测粒子存在。然后Bob随机选择。Alice只在M序列的子集上编码，M序列上对应于，Bob可以成功进行量子纠缠交换。通过这两个过程，Alice和Bob可以真实地共享EPR对的子序列，即使在高损耗的量子信道中也可以检测到Eve的行为。在实际应用中，像在经典通信中广泛使用的那样，使用冗余的一些编码是必要的。例如，可以使用几个比特来编码单个比特，例如使用Calderbank-ShorSteane编码方法[27]。这样，Alice和Bob必须为相关的结果支付大量的资源。

 图1.QSDC协议图解

　　Alice准备了处于相同量子态的有序N个EPR对，并将它们分成两对粒子序列。Alice首先将一个序列发送给Bob，通过随机选择测量基选择一部分粒子进行测量，以检查窃听情况。如果量子线路是安全的，Alice使用四个么正运算(秘密消息)对另外的一个EPR对进行编码，并将第二个序列发送给Bob。

实施问题

　　在我们的方案中，我们需要存储一段时间的粒子检查序列，以便进行窃听检查，并等待M序列的到来。这是为提高安全性和效率而付出的代价。在这里，我们提出两种方法来实现这一点。一种是使用光存储装置，另一种是使用光学延迟。

　　实验已经证明，光可以和它们的量子态一起储存[28,29]。利用电磁感应透明技术，可以将C序列光子存储一段时间，完成对M序列的窃听检查和传输。目前，该技术可能还不够成熟，不足以实现所提出的QSDC方案。然而，由于它可能是唯一的光存储设备，以及它在量子计算中的作用，进一步发展这项技术是非常迫切的。

　　另一种实现方式是使用光学延迟。这是一项发展良好的技术，在实验上是可行的。我们可以产生时间有序的EPR对序列，而不是同时在空间中产生有序的EPR对序列。如图2所示，在Alice端产生了EPR对序列，C序列中的逐个通过上行通道发送给Bob，相应的M序列通过下行通道被发送给Bob，然而，M序列在进入不安全信道之前在Alice端被延迟t时间，当C序列到达Bob时，Bob随机选择一些光子进行窃听检查。他用 和 基中随机测量那些选择的光子，并公开宣布这些选择的光子的位置、测量基和测量结果。在听到这些结果后，Alice使用与Bob相同的测量基对M序列中的相应光子进行测量，如果误码率低于预定阈值，她得出结论认为量子信道是安全的，并对M序列粒子执行幺正操作进行编码。在M序列传输过程中，使用一些随机选择的光子来检查传输误码率，在这些选择的采样光子中，应从四个操作中随机选择来运算。因此，在Bob收到采样的光子对并在C序列中与他们对应的光子组合后，他可以使用Bell基测量恢复这些操作。这些采样对将给出第二次传输的误码率估计，并且该误码率将在稍后的纠错处理中用作参数。

　　一个非常重要的量是延迟t，它取决于Alice和Bob之间的距离、每个块中的数目N、以及每单位时间传输的光子数f。为简单起见，我们忽略窃听检查测量和编码操作所花费的时间。然后t必须足够长，光子才能传给Bob，Bob进行测量并将结果告诉Alice，然后将M序列粒子发送给Bob。因此，光子从Alice到Bob的传播周期必须是这个周期的三倍。如果必须对N对块这样做，则必须增加额外的时间N/f。因此，延迟应该是：

其中L是Alice和Bob之间的距离，c是量子信道中的光速。完整的贝尔基测量要求也很高，最近已经在参考文献[30]中证明了。

图2.使用光学延迟的QSDC方案示例。

SR1、SR2、SR3、SR4表示光延迟；CE1、CE2用于描述检测窃听的流程；CM根据秘密消息对消息序列进行编码。

讨论和总结

　　该方案更类似于量子密钥分发协议。事实上，在Bob收到校验序列后，Alice和Bob可以通过使用从中随机选择一个基来测量它们的粒子来建立共同的一次性密钥对，这是Ekert91[2]QKD和BBM92[3]QKD协议的变体。然后，可以使用该一次性密钥对秘密消息进行编码，并通过经典信道进行传输。量子直接通信和量子密钥分配方案的重要区别在于，在量子直接通信方案中，没有建立经典密钥，而是共享EPR对充当秘钥的角色。随着高效的EPR源和贝尔态测量策略的发展，量子直接通信可能会变得更容易实现，并在一些具体的应用中受到青睐。

　　综上所述，本文提出了一种新的QSDC方案，该方案可以在量子信道上安全地直接对秘密信息进行编码。在该方案中，纠缠粒子块被分为两个序列，即校验序列和消息编码序列。它们分两步从Alice送到Bob手中。校验序列的安全传输保证了安全性。此外，该方案充分利用了EPR对中的两个量子比特。并提出了具体的实验方案。该方案在理想无噪声信道下是完全安全的，在有噪声信道下是有条件安全的。

参考

1、原文：Two-step quantum direct communication protocol using the Einstein-Podolsky-Rosen pair block