（计算机软件与理论专业论文）多维空间量子密钥分配协议的研究.pdf

摘要 i 多维空间量子密钥分配协议的研究多维空间量子密钥分配协议的研究 作者简介：刘国民，男，1980 年 5 月生，师从成都理工大学揭金良教授，2010年 05 月毕业于成都理工大学计算机软件与理论专业，获得工学硕士学位。 摘 要 量子密码是密码学与量子力学相结合的交叉学科，是一个具有重要意义的研究课题。量子系统具有独特属性:测不准性和不可克隆性。这使得任何对量子密码体系中的量子载体进行窃听的行为都将会对量子态引入干扰，从而保证了量子密码具有无条件的安全性。研究和实验表明，量子密码很可能发展为下一代密码技术的重要力量。 本论文主要研究了量子密码协议的设计与分析，包括密钥分发、身份认证、秘密共享和安全直接通信等内容，取得了若干研究成果。具体如下： 本文在量子密码学的物理、数学以及信息论进行介绍的基础上，分析主要的协议和常用的攻击方法，根据基于纠缠态的量子密钥协议在产生源不完善的情况下 pns 攻击也无效的原理，提出了一般性的基于纠缠和纠缠交换的量子密钥分发协议，并利用 bell 测量基 |+ ， | ， |+ ， | 进行窃听检测，对基于纠缠和纠缠交换量子密钥分配协议进行了安全性证明，论证该协议可以抵御“截获-重发”攻击和附加粒子纠缠攻击；在纠缠和纠缠交换理论基础上，改进了随机抽样定理，将单个样本抽样推广为多个样本抽样，并基于此设计了四维 hilbert 空间上的密钥分配协议，用 |0 ， |1 2和 | + ， | 2进行测量，经典的信息调和与保密放大可以在不损害无条件安全性的前提下取代量子纠错过程，从而保证了该协议的无条件安全性；最后将类四粒子纠缠态用于量子密钥分配协议，本协议将四个粒子的传输分成两步，协议的提出表明类纠缠态可以抵御“截获-重发”攻击和附加粒子纠缠攻击。 关键词关键词：量子密码学 纠缠和纠缠交换 量子密钥分配协议 abstract ii abstract quantum cryptography ， which is a cross-discipline subject combining cryptography with quantum mechanics, has become a very significant issue; quantum system has some unique attributes: the heisenberg uncertainty principle and no-cloning theorem. hence, eavesdropping on quantum carrier in quantum cryptography system may disturb the quantum state, which ensures the unconditional security of quantum cryptography. it is implied by the research both in theory and in experiment that quantum cryptography would grow up in the next generation of technologies in cryptography. the contributions of this dissertation are mainly on the design and analysis of the protocols of quantum cryptography, including quantum key distribution (qkd) quantum identity verification (qiv), quantum secret sharing (qss) and quantum secure direct communication (qsdc). the details are as follows: based on the introduction of quantum cryptographys basic knowledge including physics, mathematics system and information theory, the mainly protocols and frequently-used attacks are analyzed. because the pns attack is invalid to quantum key distribution based on entanglement swapping even the pulse source is not perfect, we propose a general quantum key distribution based on quantum entanglement and entanglement swapping, and using bell-state measurement |+ ， | ， |+ ， | to detect errors, prove the security of this protocols which can resist the intercept - resend attack or additional particle entanglement attack. this dissertation improves random sampling tests from a single-sample method to the multiple-sample one, and designs a new quantum key distribution on 4-dimensional hilbert space which makes use of |0 ， |1 2和 | + ， | 2to measure. classical information reconciliation and privacy amplification can replace the quantum error-correcting without damaging unconditional security in order to ensure the security. at last four-qubit type entangled states is used in quantum key distribution where the transmission of four qubits is divided into two steps. this protocol is proposed to provedtype entangled states can resist different attacks such as intercept - resend attack or additional particle entanglement attack. abstract iii keywords: quantum cryptography quantum entanglement and entanglement swapping quantum key distribution protocol. 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知， 除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得 成都理工大学 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解 成都理工大学 有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权 成都理工大学 可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后适用本授权书） 学位论文作者签名： 学位论文作者导师签名： 年 月 日第 1 章 绪论 1 第第 1 1 章章 绪论绪论 1.1 研究背景研究背景 随着科学技术的发展，信息交流己经深入到社会生活的各个角落，各种通信手段形成一张大网， 将人们紧密联系在一起。 人们对信息交流的依赖性越来越强，对信息交流的安全性要求也越来越高， 经典密码体制(即现行密码体制)主要包括对称密码体制和公钥密码体制两类，它们在应用中有各自的特点，但大多数经典密码协议的安全性是建立在计算复杂性基础上的。也就是说，窃听者要想破译一个密码系统，需要在有限的时间(即秘密消息的有效期)内解决某个计算难题。而根据计算复杂性假设，这种任务通常在当前人们的计算能力下很难实现。这正是经典密码体制的安全性基础。但是，随着人们计算能力的飞速提高和各种先进算法(包括经典算法和量子算法)的提出，这种密码体制的安全性受到了严峻挑战。以 1994年 p.w.shor 提出的量子并行算法为例，它能在多项式时间内解决大数因子分解难题。一旦这种算法能够在量子计算机上付诸实施，现行很多基于此类难题的公钥密码体制将毫无安全性可言。量子运算的并行性必将赋予未来的量子计算机超乎想象的计算潜能。 量子力学的蓬勃发展给现行的密码体制带来挑战的同时，人们也发现了一种基于物理理论的崭新的信息保密方法量子密码学，理论上讲，这种保密机制可以从根本上保证信息的安全。量子密码是密码学与量子力学相结合的产物，不同于以数学为基础的经典密码体制，其安全性由量子力学基本原理保证，与攻击者的计算能力无关。根据量子力学性质，窃听者对量子密码系统中的量子载体的窃听必然会对量子态引入干扰，于是被合法通信者所发现。合法通信者能够发现潜在的窃听，这是量子密码安全性的本质。因此，量子密码具有得天独厚的优势并逐渐成为密码新技术中的一个重要研究分支。目前量子密码系统还没有真正达到使用阶段。其原因有二：一是量子密码系统造价较高，二是普通用户对安全性的要求较低，使用高安全性密码系统的需求不大。但是量子计算技术一旦取得突破性进展，经典密码体制可能随之崩溃，量子密码系统的用户将更加广泛，其市场前景和经济效益都将非常可观。目前来看，量子密码是量子信息处理中最接近实用的一门技术，也是量子信息研究中要解决的关键问题之一。因为在将来，要对付拥有量子计算能力的密码破译者，量子密码体制可能是唯一的选择。 成都理工大学硕士学位论文 2 1.2 研究目的和意义研究目的和意义 量子密码在理论上具有无条件安全性，它的出现引起了国际密码学界和物理学界的高度重视。目前关于量子密码的研究主要集中在量子密钥分发 (quantum key distribution，简记为 qkd)、量子身份认证 (quantum identity verification，简记为 qiv)、 量子秘密共享 (quantum secret sharing， 简记为 qss)及量子安全直接通信 (quantum secure direct communication， 简记为 qsdc)等方向， 包括理论研究和实验工作12。 其中量子密钥分配(qkd)是量子密码研究的重要课题。量子密钥分配技术，是以单个量子态作为信息的载体，不同的量子态代表不同的密钥，然后利用通信网络发送给接收者。这里所说的量子态，是对物质状态的一种数学描述，现实世界的物质都可以用量子态来描述，例如原子、分子等等。我们只要把它形象地理解为一种粒子的状态就可以了，量子态常见的表达形式有|、|等等。不同的状态表示了不同的编码，例如|可以代表 0，|可以代表 1。发送者选择不同的量子态发送给接收者，就可实现密钥的传递，从而用量子态编码密钥来保证密钥分发的安全性， 进一步提高密码系统的安全性。 1984 年,bennett 和 brassard 经过研究,提出了著名的量子密钥分配协议(bb84 协议)，在一个量子密钥分发（qkd）协议中， 两个合法的参与者 alice 和 bob 通过不安全的量子信道和经典信道，协商获得无条件安全的密钥，密钥的安全性是基于量子不可克隆原理。 随着量子通信的不断发展,出现了一些长距离的 qkd 实验， 这些实验将光子作为信息载体，光纤作为量子信道,实现长距离的量子密钥分发10。然而，理论上无条件安全的 qkd 协议在实际应用中总是存在着一些安全的问题。 利用这些安全的漏洞，人们提出了一些攻击策略，如光子数分裂( pns)攻击等。这就使得 qkd 协议的安全传输距离受到很大的限制。量子纠缠，量子不可克隆和量子叠加等性质有助于构建无条件安全的量子密码协议，但又反过来限制了量子密码协议的设计，如量子消息认证和数字签名等。因此,充分利用量子力学与经典密码体制对量子密钥的分发协议的研究和不断完善将推动量子密码学的快速发展。 1.3 国内外研究现状国内外研究现状 量子密码学建立在量子力学的基础上，不依托任何计算复杂性假设，是物理定律的直接应用。 美国科学家 wiesner 首先将量子物理用于密码学的研究之中， 他于 1969 年提出可利用单量子态制造不可伪造的“电子钞票”，但是由于技术条件的限制并没有引起重视。 bennett 和 brassard 于 1984 年发表了著名的论文， 提出了第一个量子第 1 章 绪论 3 密码学协议bb84 量子密钥分配协议，将量子力学引入实际应用，从此量子信息论正式拉开了帷幕。1991 年，a.k.ekert 又利用量子力学中最奇妙的性质纠缠， 设计了基于 bell 态的 e91 协议。 1992 年，bennett 又提出基于非正交态的 b92 协议和基于 bell 态的 bbm92 协议。 由于正交态可以被任意克隆而不被察觉， 人们普遍认为正交态不能用于分配密钥。然而 1995 年 l.goldenberg 和 l.vaidman 基于正交量子态提出一种密钥分发协议。这是一种全新的 qkd 方案，我们称之为正交态协议。以上协议主要是按照载体粒子的正交性来分类的。除此之外，还有多种利用其它物理性质来实现的密钥分发协议，如基于纠缠交换、连续变量量子态的协议等。二十多年来，人们致力于利用不同的量子物理性质来实现 qkd、使设计的 qkd 具有更高的效率、使 qkd 更易于被目前的实验技术所实现等研究方向，设计了许多各具特色的方案。 随着理论的不断完善，量子密码技术在实验上也取得了很大进展。1989 年，ibm 公司和 montreal 大学合作完成了第一个量子密码实验， 在相距 30 公分的收发两端实现了对秘密随机比特串的认证。1995 年，瑞士日内瓦大学在日内瓦湖底铺设的 23 公里长的民用光缆中进行了实地演示，误码率仅为 3.4%。2002 年，德国慕尼黑大学和英国军方下属的研究机构合作，在德国和奥地利边境相距 23.4 公里的楚格峰和卡尔文德尔峰之间用激光成功传输了光子密钥。2004 年 6 月 3 日，世界上第一个量子密码通信网络在美国马萨诸塞州剑桥城正式投入运行。据最新报道，由多个研究小组合作的自由空间量子密钥分发实验顺利完成，分发距离达 144公里。这种远距离自由空间 qkd 实验的成功，意味着人们可以通过卫星和不同地面站点间的 qkd 实现地球上任意距离的两点间的密钥分发， 进而使真正意义上的全球量子密钥分发成为可能14。 在国内， 中科院物理所于 1995 年首次对 bb84 方案做了演示性实验。 2000 年，中科院物理所与研究生院合作， 在 850 纳米的单模光纤中完成了 1.1 公里的量子密码通信演示性实验。2004 年，中国科技大学潘建伟教授等成功完成了五粒子纠缠态以及终端开放的量子隐形传态实验。2005 年，该小组又利用一个超稳定高强度的四光子纠缠态光子源实现了一些己有的 qss 方案，最终以仅仅 0.35%的误码率在通信者之间共享了 87666 比特的经典密钥。最近，潘建伟小组又首次完成了六粒子纠缠态的制备。2004 年 8 月底，郭光灿教授带领的小组在北京和天津之间完成了 120 多公里的 qkd 实验。同一年，该实验室又将光纤中进行的 qkd 传输距离突破到 160 公里。由于现有的大多数实验方案在实际实现中都很难达到其理论上的安全性，h.k.lo，x.ma 和 k.chen 提出在实验中利用 deeoy 态进行窃听检测来增强安全性的方法，随后这种方法在实验中被广泛应用16。 成都理工大学硕士学位论文 4 1.4 论文的组织结构论文的组织结构 本论文的组织结构安排如下： 第一章即本章，讲述课题的研发背景，现状以及研发价值，并对本论文的内容安排进行了介绍。 第二章介绍量子密码学的物理基础，包括量子力学的五大假设、量子测量、量子纠缠、海森堡测不准原理及不可克隆原理；量子力学的数学体系，状态空间和演化规律；最后是量子密码学的信息论基础，包括 shannon 熵，von neumann熵及 holevo 限。 第三章介绍了量子密钥分配的主要协议，如 bb84、b92、epr 协议以及量子秘密共享协议和量子安全直接通信协议4； 阐述了针对量子通信或量子密钥分配协议的主要攻击方法，并对相关协议作了安全性分析。 第四章从量子密钥分配协议的提出-证明-应用过程出发， 介绍了光子数分裂攻击、纠错和保密放大并提出基于纠缠态的 4 维 hilbert 空间的量子密钥分配协议，并对其进行安全性分析；利用四粒子类纠缠态的特性将其用于量子密钥分配协议中，对安全性进行了论证。 第五章是总结，主要总结了本课题的具体工作与成果，并对以后要进行的工作提出了具体的建议和展望。 第 2 章 量子密码学基础 5 第第 2 2 章章 量子密码学基础量子密码学基础 随着时代的发展，信息学逐渐溶入了人们的生活。量子密码学是指利用量子的力学基本特征来实现对信息的保护。伴随着这一学科的深入发展，人们以量子力学基本原理为基础，通过量子纠缠、量子并行论和量子不可克隆原理等，进行编码和计算，最终组织信息的传输。量子密码学的发展不仅改变了人们对传统密码的认识观念，而且势必给人们的生产生活带来重大影响和变革。这一章里，我们重点介绍量子的物理学特征、 量子力学的数学体系、 量子密码学的信息基础21。 2.1 量子量子密码的物理密码的物理学基础学基础 2.1.1 量子力学的量子力学的五大五大假设假设 量子力学(quantum mechanics)是研究微观粒子的运动变化规律的物理学分支，它的全部内容都建立在五个基本假设之上。主要研究原子、分子、原子核和基本粒子的结构及性质，量子力学同相对论一起构成了现代物理学的理论基础。量子力学的五大假设联系着真实的物理世界与量子力学的数学体系19。这五个假设分别是： （1）微观量子系统的单粒子空间运动状态由一个复函数 来描述。 这条假设隐含了 hilbert 空间的概念， 且隐含的指出了系统态由 hilbert 空间中的矢量描写。 （2）微观体系的运动状态波函数随时间变化的规律遵从 schrodinger(薛定谔)方程： = (2-1) 式中 是系统的哈密顿量算符，在势场v r ,t 中，哈密顿算符为： h = h22m2+ v r ,t (2-2) （3） 微观量子系统的每一个力学量对应 hilbert 空间的一个线性厄米算子，力学量的取值是相应算符的本征值。即测量一个力学量所测得的结果只能是与该力成都理工大学硕士学位论文 6 学量对应的算符的本征值之一。 （4） 测量与塌缩： 测量力学量 a 的可能值谱就是算子a 的本征值谱。 对处于|态的系统多次测量力学量 a，所得平均值是/ ，期中： | = ci|ii ,ci= i (2-3) （5）交换系统内任两个全同粒子，不改变系统状态，这两个粒子是对称的或反对称的，即全同性原理。 2.1.2 量子测量量子测量 要想从量子系统中获取必要信息，就一定要对系统进行测量。量子测量正是对量子的一种特殊的操作方式。与经典物理学不同，量子系统并不独立于观测系统，对量子系统的任何测量必将导致量子系统变化。量子力学第四条假设中涉及到了量子的测量， 是测量的理论基础。 量子测量包括投影测量、 一般测量和 povm测量29 （1）von neumann 测量，又称正交投影测量：是量子测量假设的一类特殊测量。 一个投影测量是由一个观测量 m 描述，即一个被测空间上的厄米特算子。观测量的谱分解是： m = mpmm (2-4) 其中pm是特征值为 m 的特征向量在 m 特征空间的投影算子。特征值 m 与所有可能的测量结果相对应。测量态 | 之后，可得到测量结果为 m 的概率是： p m = pm (2-5) 测量之后该状态改变为： pm | p m (2-6) 显然，投影测量的平均值很容易计算。由概率论知识可得到测量结果的平均值为： e m = mpm= m pm mm= mpmm = m (2-7) 第 2 章 量子密码学基础 7 这个公式能够简化许多计算，非常有用。结果通常缩写为 m = m 。 （2）一般测量：测量由一组测量算子 mm 来进行描述。这些测量算子作用在被测量系统的状态空间上，我们通过下标 m 表示测量结果，举例说明：量子系统的原始状态为 | ，通过 mm 进行测量后，测量结果为 m 的可能性为： pr m = mmmm (2-8) 被测量算子 mm 作用后，量子系统的态转变为： mm| mmmm (2-9) 由上式可见，测量算子 mm 是满足完备性方程的： mmmmm= i (2-10) 通过完备性方程，我们可以得到最后的测量结果， pr m m= mmmm = im (2-11) 由上述公式可以看出，投影测量是一般测量的一种特殊情况，这种测量不要求测量算子满足完备性方程。投影算子是厄米特算子。 （3）povm（positive operator valued measure）测量，又称正定测量：是利用数学上的一个工具 povm 即正算子值测量来实现的一种量子测量方法。这种方法不关心测量后量子系统所处的状态，而只关心量子测量的统计结果。它是在子系统上实现的测量，事实上测量时正交投影是属于大系统的相互正交态，但并不能证明量子在子系统的空间中也是下交的。即 povm 测量并不一定是正交投影。povm 是 von neumann 正交投影理论的一个推广。 假设有测量算子 mm， 则mm作用在一个状态为 | 的量子系统上时， 得到结果m 的可能性概率为：pm= mmmm 。如果我们定义： em= mmmm (2-12) 成都理工大学硕士学位论文 8 则通过初等线性代数和量子测量假设可以得出em是一个正定算子。它即满足方程 e m = im， 而且也满足方程pm= em 。 因而不同的测量结果概率是由算子集 em 所决定的，即与测量结果所关联的 povm 分量。由此我们可以得出如下 povm 定义所满足的算子集 em : a:算子em必然是正定的： em 0 b:满足完备性方程 e m = im，也即表示概率和值为 1 。 2.1.3 量子纠缠量子纠缠 量子纠缠（quantum entanglement），又被译为量子缠结，它是一种量子力学现象，是量子系统内部各个子系统之间的关联属性。简单的说就是对一个子系统的测量结果将决定其它子系统的状态。纠缠的本质就是一种相干叠加，它在量子计算与量子通信中都扮演着非常重要的作用。量子纠缠也曾一度引发经典力学的争议，而量子力学为非定域理论也逐渐被人们所接受。 在此我们举一个简单的例子来说明量子纠缠不同于经典物理之处，具有纠缠特性的成员系统，例如两粒电子，一粒放在地球，另一粒被送至月球，虽然两者之间相隔如此遥远，但他们仍保持特别的关联性；当其中一粒被测量从而发生状态改变时，另一粒的状态也会随之发生相应的变化，这一用经典物理学难以解释的特性被用于量子密码的防监听设计，也有人称之为“鬼魅似的远距离作用”。 多体系的量子态的最普遍形式是纠缠态，与纠缠态相对应的就是可分离态，对二比特体系纯态波函数 | ab hab，如果存在 | a ha， | b hb，使得 | ab= | a | b,则称此二粒子态为直积态或可分离态。 此时描写复合系统态的密度矩阵不能表示成： ab= pii |i abab i| ， pi 0, pmi= 1 (2-13) 的形式。如果复合系统处于一个纯态，我们可以将系统分成两个子系统，表示成： | = mm |m a |m b , m 0, m= 1m (2-14) 其中 |m a， |m b分别对应子系统密度算子对同一本征值m的本征矢。 当复合系统处于纯态 | 时， 此时， 如果m=2， 则这个纯态就称为纠缠纯态；如果m=1， 即 | = | a | b， 则称 | 为直积态或者可分离态。 例如复合系统，第 2 章 量子密码学基础 9 | =1 2 |00 + |10 =1 2 |0 + |1 |0 ，就是一个可分离态。当复合系统处于 | ab，纠缠纯态时， 各个子系统都处在由密度算子a= trb | abab | 所描述的混合态。 处于纠缠态的各子系之间，在测量中表现出超空间的、非定域的强联系，这种联系用经典力学是不能解释的。例如：两个光子，每个都可以有两个状态，整个体系有 |01 、 |10 、 |11 和 |00 四种不同的状态，这四种状态中，每个光子都处于一种独立状态，两个光子没有关联。但整个体系还可以处于一种纠缠态： |ab =1 2 |01 + |10 。此时对第一个光子进行测量，当它处于 |1 时，另一个光子必然处于 |0 ，反之亦然。我们对两个自旋 1/2 的电子处在纠缠态 |ab =1 2 | a | b+ | a | b ， | 表示自旋向上， | 表示自旋向下的双电子体系的自旋态。分别进行测量时也可得到类似的结果，进一步说，这种纠缠产生之后，即使两系统分开很远的距离，对其中一个系统的作用（例如测量）也必须会改变另一个系统的状态，这就是量子力学的非定域性。 2.1.4 量子态叠加原理量子态叠加原理（principle of superposition） 量子态与经典物理态不同， 这主要体现在叠加上。可以把经典物理态看做量子态的一个子集，也可以说经典物理态是量子态的一类特例。几率的叠加是经典物理的叠加特点， 而几率幅的叠加是量子物理的叠加本质， 这种本质是线性叠加，叠加后形成一个新态，具有新的特性。测量经典物理态，我们通常可以得到一个确定的结果；但是对量子态的测量，结果并不是完全确定的，有些结果可能只是既定结果的概率分布。 量子态叠加原理如下： 如果 | n 是某一量子系统可能态的描述，则线性叠加态： | = c1 1 + c2 2 + +cn1 n1 + cn n = ci| i ni (2-15) 也是这一量子系统的可能态。 下面我们以一个量子位(qubit)， 即一个双态量子系统为例来进一步说明量子态叠加。在二维 hilbert 空间中，两个相互独立的量子态可分别表示为| 1 和| 0 。这两个独立的量子态互相正交归一，可以表示为 |0 = 10 和 |1 = 01 。则上式可化简为： 成都理工大学硕士学位论文 10 | = c1 1 + c2 0 (2-16) 其中，c1和c2是复数，并且 c1 2+ c2 2=1，如果对系统进行测量将以 c1 2的概率测得| 1 ，以 c2 2的概率测得| 0 。 2.1.5 海森堡海森堡测不准原理测不准原理 海森堡测不准原理 （heisenberg uncertainty principle） ， 也译为不确定性原理，是德国物理学家 heisenberg 在 1927 年提出的。一个微观粒子的物理量 q 和 p（这里 q 和 p 是泛指的物理量，如方位角与动量矩，或者位置和动量等），则 q 和 p不可能同时具有确定的数值，其中的一个量越确定，则另一个量就越不确定。以 q 和 p分别表示测量误差，则： q p h4 (2-17) 其中 h = 6.626 1034j s 是普朗克常数， 它反映了微观粒子运动的基本规律，是量子力学的基本原理。在量子体系中，粒子具有波粒二象性，杨氏双缝实验中波动性和粒子性只能观测之一充分证明了这一点。 在量子体系中，海森堡测不准原理可以进一步表述，假定在同一个态 | ,p 和q 分别表示量子体系中的两个不对易的力学量。那么 p 和 q 不能同时取得确定值。p 和 q 满足如下关系： q p q,p 2 (2-18) 其中， q表示对 q 测量的标准偏差 p表示对 p 测量的标准偏差， q,p = qp pq。 海森堡测不准原理为我们描述了两个不对易物理量在测量时的相互影响，这在量子通信中起着十分得要的作用，也是量子密码学中检测窃听存在的一个重要理论依据。 2.1.6 bell 不等式不等式 bell 不等式起因于 epr 论证和玻姆理论1。 曾被称之为“科学的最深远的发现”之一，是约翰 贝尔在 1964 年提出的。对于一个处于 epr 态（即纠缠态）的两粒子的量子系统2，粒子的状态是不确定的。根据局域性假设，如果两个粒子分离的第 2 章 量子密码学基础 11 足够远，对一个粒子的测量是不会影响到另外一个粒子的状态的。然而由量子力学知识可知，对其中一个粒子的测量必然会导致塌缩效应，也就是另一个粒子的状态发生改变。这首先违背局域性假设，因此争论不休。bell 不等式就是在定域性和实在性的双重假设下，对于两个分隔的粒子同时被测量时其结果的可能关联程度建立了一个严格的限制，通过对这个体系的联合测量，可以确定双方正误。基于隐参数和定域实在论的任何理论都会使不等式成立而量子力学的预言却应当破坏这个不等式。 bell 不等式成为检验量子非局域性的定量标准， 其后进行的多次实验都表明了量子力学的正确性。现在，很容易用实验来验证谁是谁非，迄今为止所做的十多个实验全都不反对量子力学，但都明显破坏 bell 不等式，也即反对定域实在论的隐参数理论。就是说，迄今为止实验认为隐参数是不存在的，量子力学的理论描述是完备的。 2.1.7 不可克隆原理不可克隆原理 量子不可克隆原理（noncloning theorem），是量子物理的一个重要结论，即不可能构造一个能够完全复制任意量子比特，而不对原始量子比特产生干扰的系统。量子力学的线性特征是这个原理的根本原因。也是量子态不同于经典态的一个重要性质。同时也是量子密码无条件安全的一个重要原理。该原理包括下面三个定理： 定理一 如果 | 和 | 是不同的两个非正交态，那么不存在一个物理过程可以做出 | 和 | 两者的完全拷贝。 证明： 已知 | | ， 且 | 0， 假设存在这样一个物理过程， 能够做出 | 和 | 的完全拷贝，即存在这样一个幺正演化过程，使： u | |0 = | | ，u | |0 = | | (2-19) 由量子系统动力学算子 u 的幺正性，通过上式可得： | = | | ， | 1 | = 0 (2-20) 所以 | = 0 或者 | = 1， | = 0证明 | 和 | 正交，即 | = 0， | = 1表明 | = | ，这与已知矛盾，通过反证法证得定理。 以上定理表明，不可能做出完全拷贝的两个非正交态的量子。在基于两个非对易可观测量的量子密钥分配方案中，随机传送的正是非正交量子态，由于非正交态的不可克隆性，才保证窃听者不能通过克隆信号窃取密钥。 定理二 一个未知的量子态不能被完全拷贝。 成都理工大学硕士学位论文 12 证明： 已知 | 是一个未知的量子态，如果存在一个物理过程能够完全拷贝这个量子态，则： u | |0 = | | (2-21) 这个物理过程必定不依赖于 | 态本身的信息，从而和 | 态本身无关，对于任意态态 | | 应有： u | |0 = | | (2-22) 从而对于 | = | + | 有： u | |0 = u | + | |0 = | | + | | = | | (2-23) 这已经不是态 | 的拷贝，因此这样的物理过程不可能存在。 量子态不可克隆定理否定了精确复制未知量子态的可能性。但是，不保证复制必定成功的“概率量子克隆”仍然是可能的。郭光灿等人证明，两个非正交态通过适当设计的幺正演化和测量过程结合，可以以不等于零的概率产生输入态的精确复制。也有 a.k.pati 等人利用量子力学的线性证明，任意未知量子态拷贝的完全删除也是不可能的。这些结果都深刻揭示了量子信息不同寻常的特性。 定理三 要获得编码在非正交量子态中的信息，而不扰动这些态是不可能的。 证明： 记两个非正交态 | 和 | 且 | 0，其所属的空间为 h，我们希望区分 | 和 | ，以获得编码信息，这就需要测量 | 和 | 。必然意味着需要把某种测量装置和 h 空间接通，演化整个系统到一个新态，其中测量装置的状态是我们能够区分的，包括测量仪器和被测系统在内的总系是个孤立系，这个演过程是幺正的。设测量装置态矢空间为he，如果测量过程不扰动态 | 和 | ，当测量态 | 时有 u | |0(e) = | |e(e) (2-24) 其中 |0(e) 是测量仪器初态，而 |e(e) 是测量仪器末态。测量态 | 时有 u | |e(e) = | |f(e) (2-25) 第 2 章 量子密码学基础 13 由于 u 的幺正性，有 | = 0 e | 0 e = e e | f e = | e e |f e (2-26) 化简上式得： | 1 e e |f e = 0 (2-27) 由于 | 0，所以 e e |f e = 1 (2-28) 由此推出 |e(e) = |f(e) (2-29) 这表明如果不扰动 | 和 | ，测量仪器两个末态 |e(e) 和 |f(e) 是不可区分的。 这个定理表明，用非正交量子态编码的经典信息是不能用任何测量方法完全提取出来的。 2.2 量子力学的数学体系量子力学的数学体系 量子力学可以被看成是个数学框架来为物理定律的发展服务，当然组成这个数学框架的基础是物理学的本质属性，作为一个科研工作者我们不能够认为量子力学是这些数学框架的附属品，恰恰相反，这些数学框架之所以能够描述量子力学是因为经过前辈科学家大量的科学猜测， 验证， 推翻， 重新猜测， 重复验证 的过程得出的结论，其间走过的曲折道路是难以想象的复杂，直到形成今天这个完善的可以用数学工具描述的物理学体系，描述的对象是量子的运动规律5。 成都理工大学硕士学位论文 14 2.2.1 状态空间状态空间 任何孤立的物理系统是一个带内积的复矢量空间，也就是一个 hilbert 空间，称为状态空间。这样的系统可以用状态空间上的矢量完全描述。 同经典牛顿力学中描述物体通常以质点作为描述对象一样，量子力学也同样以量子作为最基本的单位。然而状态空间没有给出一个具体的量子状态的描述，也没有说明状态空间到底是什么。这是因为各种物理系统太过复杂，很多（如光量子，离子阱等）都能展示量子属性，但却有不同的表现形式，很难能对每一种都给出明确的定义，比如一个光子可以被当作一个量子比特，一个电子或中子同样也可以被当作一个量子比特，但前提是它们都处在一个孤立的系统。对我们来说，量子系统的最基本规则已经能够满足对密码学研究的需要了，只要在满足量子力学基本原理的前提下给出一个合理的描述，在实际的物理学应用中就能够找到合适的量子系统作为状态空间来实现15。 定义 2.2.1：设为复数域 c 上的线性空间，若从到 c 上定义了一个函数 , ，对任意的 x,y,z，满足 (1)对称性： x,y = y,x ， y,x 表示 x,y 的共轭复数。 (2)线性：对任意复数 a，b 有如下关系： ax + by,z = a x,z + b y,z 。 (3)半正定性： x,x 0，当且仅当 x 是零元素时， x,x = 0。 则称 , 为中的内积，定义了内积的空间。 定义 2.2.2：完备的内积空间称为 hilbert 空间。 最简单的量子力学系统就是上面提到的一个量子比特，它的属性是下面研究的最重要模型。一个量子比特定义为一个二维线性空间上的向量，是这样一个集合，对于任意的 x，x = , t， 2+ 2= 1， , c 并且具有零元素 = 0,0 t，容易验证关于二维向量加法构成一个交换群，并满足结合律，交换律，任意元素都有逆元 x，令xx = 。同样任意实数与中的元素形成的数积都能够满足数乘结合律和数乘分配律，构成了一个线性空间。习惯上，用狄拉克(dirac)符号 | 表示中的元素。 下面定义上的内积， |x = x1,x2 t， |y = y1,y2 t 的内积为： x|y = |x |y = x1 y1+ x2 y2 (2-30) |x 表示 |x 的共轭转置， 用 x| 表示。 容易验证使用 , 作为内积运算的空间，第 2 章 量子密码学基础 15 不但构成一个内积空间而且也是一个 hilbert 空间。 让我们找两个二维状态空间的标准正交基来表示该空间上的所有矢量。令 |0 = 1,0 t， |1 = 1,0 t (2-31) 那么，这个状态空间上任意的状态矢量都可以表示成为： | = a |0 + b |1 (2-32) 这里 a 和 b 是复数。并要求|a|2+ |b|2= 1，即状态空间上的矢量满足归一化条件。用 | 表示| 的共轭转置，即： | = a 0| + b 1| (2-33) 所以归一化条件也可以表示为 | = 1。 此时， 处在 |0 , |1 的叠加状态，不能够确定地分辨| 到底处在哪种状态。可以这样理解，| 处在 |0 , |1 的概率分别为|a|2和|b|2，所以 a 和 b 也被称为概率幅(probability amplitude)。 同样可以将任意量子比特用 bloch 球面上的点表示： | = cos2 |0 + eisin2 |1 (2-34) 图图 2-1 量子比特 bloch 球面表示 为了描述更一般的量子状态，一个处在 |i 的叠加量子状态可以用其线性组合表示为： z x y | |0 |1 成都理工大学硕士学位论文 16 i |i i (2-35) 其中 |i|2= 1i即处在 |i 的概率为|i|2。这可以从向量空间上的线性特性，以及归一化条件中得到解释。注意经典物理学中没有相应的参照对象。 2.2.2 演化规律演化规律 一个封闭的量子系统的演化过程可以用一个酉(unitary)变换来描述。 也就是说，系统的一个状态在 t 时刻处在| ，在 t时刻处在| ，| 和| 的关系由一个酉变换 u 联系： | = u| (2-36) 这里，u 仅和时刻 t 与 t有关。酉变换 u 与其共轭转置矩阵u满足uu = i，i是单位矩阵。 至于为什么量子系统要被酉变换演化，可以从线性空间的完备性上得到答案,转换后的系统| 依然是量子状态，必要条件就是满足归一化条件： | = uu = 1 uu = i (2-37) 下面是最基本的酉变换，四个 pauli 矩阵： i = 1001 ，x = 0110 ，z = 1001 ，y = ixz = 0ii0 。 hadam ard 变换：h =1 2 1111 。其中：i 为恒等算子，使得量子比特不发生变化；x 为比特翻转算子，实现量子态的翻转；将| 0 转换为| 1 ，| 1 转换为| 0 ；z是相位翻转算子，实现量子态的相移，当量子态为| 0 时，该量子态不变，当量子态为| 1 时变为| 1 。y 是比特-相位翻转算子，同时实现量子态的比特翻转和相位翻转。这是以后经常用到的几个酉变换。 第 2 章 量子密码学基础 17 2.2.3 复合系统复合系统 复合量子系统的状态空间是其子状态空间的张量积(tensor products)。若对子状态空间编号 1 到 n，系统 i 的状态被置为| i ，则整个系统的总状态表示为| 1 | 2 | n 。张量积是将向量空间合在一起，构成更大的向量空间。设 v 是一个 m n的矩阵，w 是一个p q的矩阵，则a b是 mp nq的矩阵。矩阵元素是 a 的元素和 b 的元素的张量积的线性组合。前面介绍的单量子比特系统可构造复合系统。 例如， 由两个量子比特组成的一个量子系统， 是一个四维 hilbert空间， |00 、 |01 、 |10 、 |11 构成该系统的一组完备正交基17。 对复合系统研究过程中，约化密度算子和 schmidt 分解是经常用到的工具。下面对这两种工具做简要介绍。 一个复合系统的约化密度算子与系统的密度算子有关， 假设物理系统a和b，状态由密度算子ab描述，则 a 的约化密度算子定义为 a= trb(ab) (2-38) 其中trb()是一个算子映射，称为在系统 b 上的偏迹。偏迹定义为 trb( |a1 a2 | |b1 b2 |)= |a1 a2 |tr( |b1 b2 |) (2-39) 其中 |a1 和 |a2 是状态空间 a 中的两个向量， |b1 和 |b2 是状态空间 b 中的两个向量。 schmidt 分解主要用于安全性分析。 设| 是复合系统 ab 的一个纯态，则存在系统 a 的标准正交基|ia 和系统 b 的标准正交基|ib ，使得 | = ii |ia ib | (2-40) 其中i是满足 i2i=1 的非负实数，称为 schmidt 系数。 根据 schmidt 分解，可将复合量子态分成两种，分别是纠缠态和直积态。若两个子系统构成的复合系统纯态| 的 schmidt 分解中含有两项或两项以上，则称| 是一个纠缠态。反之，若 schmidt 分解中只有一项，即 | = | 1 | 2 (2-41) 就称| 是一个直积态。 成都理工大学硕士学位论文 18 根据以上的内容，则知道 00 、 01 、| 10 、| 11 这四个态都是直积态。对于两量子比特系统的另一组完备正交基， | 00 | 11 2 ， | 01 | 10 2 ，这四个态的 schmidt 分解都含有两项，因此它们是纠缠态。这四个纠缠态在量子密码方案中经常被使用到，通常称为 bell 态，或 einstein-podolsky-rosen(简记为 epr)对。 2.3 量子密码的信量子密码的信息论基础息论基础 2.3.1 shannon 熵熵 定理 2.3.1 设x = 1,2,i,n是一组互相独立的事件集合，第 i 个事件i 发生的概率为pi 0 pi= p(xi) 1, pi= 1i ,事件i的自信息量i(i) =logpi，集合 x 中各事件自信息量的统计平均值为： h x = p i i i = p i ni=1ni=1logpi (2-42) 定义为集合 x 的 shannon 熵(信息熵)18。 熵函数平均地描述了集合 x 中每个事件的不确定性程度。 熵函数具有非负性，即h(x) 0;熵函数具有凸性，即熵函数 h(x)是概率矢量空间上的凸函数。 定理 2.3.2 集合x = 1,2,i,m和集合y = 1,2,i,n的联合集 xy 的熵为集合 x