基于高维单粒子态的双向半量子安全直接通信协议*

龚黎华 陈振泳 徐良超 周南润

(南昌大学电子信息工程系，南昌 330031)

1 引言

量子通信协议主要包括量子隐形传态 (quantum teleportation)[1-3]、量子密钥分配(quantum key distribution，QKD)[4-6]、量子签名[7，8]、量子身份认证(quantum identity authentication，QIA)[9]、量子秘密比较(quantum private comparison，QPC)[10，11]以及量子安全直接通信(quantum secure direct communication，QSDC) 等.近年量子芯片[12，13]的快速发展，有助于降低量子通信的成本.

量子安全直接通信在量子信息技术中扮演着重要的角色.不同于量子密钥分配传输随机数，量子安全直接通信无需密钥，可以利用量子信道直接传输秘密信息.2002 年，Long 和Liu[14]利用Einstein-Podolsky-Rosen (EPR)态的纠缠特性，设计了第一个量子安全直接通信协议，Boström 和Felbinger[15]基于EPR 对的纠缠特性提出了著名的乒乓协议(ping-pong protocol，PPP).2003 年，以EPR 对为信息载体，Deng 等[16]提出了一个“两步”QSDC 协议.2004 年，Deng 和Long[17]基于量子一次一密技术设计了一个QSDC 协议.2005 年，Wang 等[18]基于高维量子超密编码构建了一个QSDC 协议.2011 年，Shi 等[19]利用三维超纠缠性质设计了一个QSDC 协议.2017 年，Zheng 和Long[20]基于Cluster态提出了一个信道容量可控的QSDC 方案.2018年，Chen 等[21]利用Bell 态的超纠缠特性构建了一个“三步”三方QSDC 协议.2019 年，Gao 等[22]提出了测量设备无关的远程QSDC 协议.2020 年，Zhou等[23]提出了与设备无关的QSDC 协议.2022 年，利用Bell 态的超纠缠特性，Sheng 等[24]构建了一个“一步”QSDC 协议.QSDC 的物理可实现性逐渐被实验所验证.2016 年，Hu 等[25]实现了基于单光子的QSDC 实验.2017 年，Zhang 等[26]借助量子寄存器实验实现了“两步”QSDC 协议，同年，Zhu等[27]实现了长距离QSDC 实验.2021 年，Qi 等[28]实现了15 个用户之间的QSDC 网络.

通常，量子通信协议要求每一位参与者都具备完整的量子能力，即参与者具备在量子比特或量子系统上进行量子操作的全部能力.然而，并不是每位参与者都能负担的起昂贵的量子设备.Boyer 等[29]最早提出了半量子的概念，半量子意味着量子方拥有完整的量子能力，而经典方不需具备完整的量子能力，或者说经典方只能用一组固定的基{|0〉，|1〉}处理量子信息.Zhou 等[30]指出半量子也可以保证量子中心与无量子能力的用户之间的通信安全.半量子技术在量子通信的各个方向上都得到了应用，例如:半量子密钥分配(semi-quantum key distribution，SQKD)[31，32]、半量子身份认证(semi-quantum identity authentication，SQIA)[33]、半量子秘密比较(semi-quantum private comparison，SQPC)[34，35]以及半量子安全直接通信(semi-quantum secure direct communication，SQSDC)等.

半量子安全直接通信结合量子安全直接通信和半量子的思想，为资源受限的经典方和具备完整量子能力的量子方之间提供了直接传输秘密信息的可靠方式.SQSDC 的提出不仅有利于提高量子通信协议的可实现性，而且有利于减少量子通信中设备资源的消耗.

2014 年，Zou 等[36]讨论了半量子安全直接通信，结合一次一密技术提出了一个基于单光子的“三步”SQSDC 协议.随后，Gu 等[37]对该“三步”SQSDC 协议进行改进，设计了一个可以抵御双重C-NOT 攻击的SQSDC 协议.2017 年，Zhang 等[38]利用EPR 对的纠缠特性和诱骗态思想，提出了一个全新的SQSDC 协议.2018 年，Xie 等[39]将量子方和经典方的职责互换，以 Bell 态为信息载体设计了一个信息发送者为量子方的SQSDC 协议.2019 年，Sun 等[40]通过引入新的编码手段提出了两个基于Bell 态的高效SQSDC 协议.2020 年，Rong等[41]利用Bell 态纠缠特性，设计了一种多参与方的SQSDC 协议.

然而，现有的半量子安全直接通信协议只使用二维量子态作为信息的载体，并要求经典方具备量子态测量能力.为了突破低维量子态的限制，提高信息传输效率、减少量子资源的消耗和降低协议的实现难度，本文基于高维单粒子态设计了一个双向SQSDC 协议.

2 高维单粒子态

d维量子系统中的Z基和X基的定义和分别为

其中⊕为模d加.Ye 等[42]指出当对Z基粒子|k〉执行幺正操作Um时，它的量子态将会变成|k ⊕m〉，而当对基粒子进行幺正操作Um时其状态不会改变.

3 协议描述

在无噪声、无失真的理想环境中，拥有完整量子能力的量子方Alice 和能力受限的经典方Bob(无需具备量子态测量能力)之间基于高维单粒子态的双向半量子安全直接通信协议的具体步骤如下:

步骤1Alice 随机制 备 4n个Z基粒子 和n个基粒子，n为Alice 和Bob 在一次通信过程中需传输的秘密信息长度.Alice 将X基粒子随机插入基粒子序列中得到序列ST，并将其发送给Bob.

步骤2Bob 收到序列ST后，对粒子随机执行CTRL 或幺正操作Um并记录m的值得到序列ST1.Bob 通过不同的延时线对所有粒子进行重新排序得到序列，并将其返还Alice.根据粒子的原始状态和Bob 的操作，可将所得的粒子归为四类，如表1 所列.

表1 操作后粒子的分类Table 1.Classification of the particles after operation.

步骤3Alice 收到序列后，公布原始序列中基粒子的位置.Bob 公布序列的正确顺序和对每个粒子执行的操作，并随机公布一半对基粒子执行的幺正操作信息.Alice 恢复粒子序列的正确顺序，并按照粒子发送时的基测量粒子，结果如表2 所列.Alice 比对每个收到粒子的测量结果和预期结果，计算误码率.若误码率高于预设的阈值，则说明窃听存在，终止本次协议，否则Alice 将剩余未公布幺正操作的-U粒子作为媒介粒子(媒介粒子组成的序列记为Sm)，并通过比对测量结果读出媒介粒子Sm的幺正操作信息m.

表2 Alice 的窃听检测策略Table 2.Eavesdropping detection strategy for Alice.

步骤4根据自己的秘密信息ma和Bob 的幺正操作信息m，Alice 计算Ma=m ⊕ma.Alice根据Ma制备n个基粒子得到序列SC，并将之发送给Bob.

步骤5根据自己的秘密信息mb和幺正操作信息m，Bob 计算Mb=m ⊕mb.在收到序列SC后，Bob 根据Mb对粒子执行幺正操作UMb得到序列SC1，并将其返还Alice.

步骤6Alice 收到序列SC1后，用基对其进行测量，并公布测量结果M=Ma⊕Mb.

步骤7根据测量结果M=Ma⊕mb⊕m(M=Mb⊕ma⊕m)，Alice (Bob)获得Bob (Alice)的秘密信息mb=M ⊖Ma⊖m(ma=M ⊖Mb⊖m)，其中⊖为模d减.

步骤8Alice(Bob)利用哈希函数h() 分别计算出秘密信息ma(mb)的哈希值h(ma) (h(mb))和收到秘 密信息()的哈希值h() (h()).Alice 和Bob 分别公布自己秘密信息的哈希值.如果h()=h(mb) (h()=h(ma))，则Alice(Bob)收到的秘密信息准确无误.否则，收到的秘密信息有误，Alice 和Bob 将丢弃收到的秘密信息并重新执行协议.

4 安全性分析

4.1 截获重发攻击

Eve 截获并用提前制备的欺诈粒子替换Alice发送给Bob 的每个粒子，并在Bob 将粒子返回给Alice 时再次截获粒子.通过测量欺诈粒子并比对测量结果与欺诈粒子的原始状态，Eve 试图获取Bob 的操作信息，并通过执行与Bob 相同的操作以窃听秘密信息.在截获重发攻击中，Eve 可以选择Z基粒子或基粒子作为欺诈粒子，具体情况如下:

1) Eve 选择基粒子作为欺诈粒子

表3 Eve 的截获重发攻击Table 3.Intercept-resend attack by Eve.

2) Eve 选择基粒子作为欺诈粒子

在截获Alice 传来的粒子后，Eve 将提前制备的基粒子发送给Bob.Bob 对收到的粒子只能执行CTRL 或幺正操作Um.这两种操作都无法改变基粒子的状态.当Eve 对返回的基粒子进行基测量时，所有基粒子都维持原始状态.Eve无法从中获得Bob 的操作信息，只能对截获的粒子进行随机操作并将其返还Alice.这会增大误码率进而被Alice 发现.

4.2 测量重发攻击

在测量重发攻击中，Eve 截获并测量每一个由Alice 发送给Bob 的粒子，并制备与测量结果相同状态的新粒子发送给Bob.在Bob 将粒子返回给Alice 时，Eve 再次截获并用与之前相同的基测量粒子，试图获取秘密信息.在发送基粒子时，Alice在其中混入了基粒子作为诱骗态，因此Eve 在对截获的粒子进行测量时，必须使用和两种测量基测量粒子.然而，Eve 无法准确区分每个粒子所属的基，只能随机选择测量基.当测量基与Alice发送的粒子不匹配时，Eve 的窃听行为将大概率被Alice 发现.为了更清晰地展示Eve 的攻击对整个通信过程的影响，表4 列出了窃听者和合法参与者在执行不同操作后产生的结果.

表4 Eve 的测量重发攻击Table 4.Measurement-resend attack by Eve.

1) Alice 发送的 是基粒子 而Eve 选择基进行测量

Eve 选择的测量基与Alice 发送粒子的基相同，且Bob 的操作不会改变粒子的基.当Alice 测量返回的粒子时，无法发现Eve 的窃听.

Eve 的基测量使得Alice 发送的粒子坍缩为基粒子.Bob 的操作不会改变粒子的基，因此返回给Alice 的粒子仍然为基.当Bob 选择执行CTRL 操作时，Alice 将以概率 (d-1)/d发现Eve的窃听.当Bob 选择执行幺正操作Um时，因为Bob 只公布一半的-U粒子，Alice 将以概率(d-1)/2d发现Eve 的窃听.

Eve 的基测量使得Alice 发送的粒子坍缩为基粒子.Bob 的操作不会改变粒子的基，因此返回给Alice 的粒子仍然为基.Alice 将以概率(d-1)/d发现Eve 的窃听.

Eve 选择的测量基与Alice 发送粒子的基相同，且Bob 的操作不会改变粒子的基.当Alice 对返回的粒子进行测量时，无法发现Eve 的窃听.

图1 窃听检测概率Fig.1.Eavesdropping detection probability.

4.3 纠缠测量攻击

Eve 在Alice 发送粒子给Bob 时，对每一粒子执行幺正操作UE，将制备的辅助粒子|ε〉与Alice的粒子纠缠在一起，测量辅助粒子可以提取有用信息.当Eve 对基粒子执行幺正操作UE时可得

Bob 的两个操作都无法改变基粒子的状态，基粒子在Eve 执行UE和UG后可以表示为

结合(9)式和(10)式可得

F-1为量子傅里叶逆变换.为了避免被Alice 发现，Eve 必须使Alice 的测量结果与发送的粒子态相同，即|Fy〉 必须等于|Fk〉 .由此可得

由(11)式及(12)式，可得

由(13)式可知，Eve 无法区分辅助态|ε00〉，|ε11〉，···，|εd-1，d-1〉，即无法获得Alice 和Bob 的秘密信息.因此，本协议可以抵抗纠缠攻击.

4.4 篡改攻击

显然，如果Bob 选择执行CTRL 操作，Alice 会发现粒子的测量结果与预期结果不同.如果Bob 选择执行Um操作并且公布相应的m值，Alice 的测量 结果将为|k ⊕n ⊕m〉而非预期的|k ⊕m〉.如 果Bob 选择执行Um操作而未公布相应的m值，则被篡改的粒子将作为媒介粒子.Alice 获取的媒介粒子信息为n⊕m将不同于Bob 的m，当协议进行到差错检测步骤时，Alice 通过哈希函数获得的秘密信息检测值将与Bob 的不同，参与者将发现秘密信息被篡改.因此，无论Eve 的篡改攻击发生在协议中的哪一种粒子上，都无法在不被发现的情况下篡改秘密信息.因此，本协议可以抵抗篡改攻击.

5 效率分析

量子通信协议的效率计算式为[43]

其中bs，qt，qs分别表示传递秘密信息的数量，协议使用的量子比特总数和协议中所需经典比特数量.本协议中Alice 共制备了 6n个d维单粒子态而Bob在整个通信进程中未制备任何量子态，即qt=6n.Alice 和Bob 在译码阶段共使用了n个经典比特读取彼此的秘密信息，即qs=n.在一次通信进程中，Alice 和Bob 分别向对方传递了n个d维单粒子态的秘密信息，即bs=2n.因此本协 议的效率 为.本协议以d维单粒子为信息的传输载体，每一个单粒子可以传输 log2d比特的秘密信息.图2 为维数与单粒子传输秘密信息量的关系，易知，随着维数d的不断增加，单粒子可以传输更多的秘密信息.

图2 单粒子传输秘密信息-维数Fig.2.Single particle transport secret information -dimension.

现有的SQSDC 协议通常是基于低维单粒子态或低维纠缠态，每个粒子只能编码1 比特的秘密信息，秘密信息的传输效率不高，本文首次基于高维量子态实现SQSDC 协议，当维数足够大时，将明显提高秘密信息的传输效率.现有的SQSDC 协议中一般要求经典方具备量子态测量能力，本协议中经典方无需具备量子测量能力，这降低了协议的实现难度.此外，本协议是一个双向通信协议，在一次通信进程中两个参与者都可以同时发送和接收秘密信息.本协议与一些现有SQSDC 协议的详细比较如表5 所列.与现有的SQSDC 协议相比，本文协议具有更高的秘密信息传输效率.

表5 本协议与现有经典SQSDC 协议的比较Table 5.Comparison of the proposed protocol with existing classical SQSDC protocols.

6 总结

本文提出的基于高维单粒子态的双向半量子安全直接通信协议中的合法参与者为量子方Alice和经典方Bob，每个参与者既是秘密信息发送方，又是秘密信息接收方.本文协议中的经典方Bob 无需具备量子态测量能力，这降低了协议对于量子设备的需求.安全性分析表明，本文协议可以抵抗测量重发攻击、截获重发攻击和纠缠测量攻击等常见攻击手段.此外，每个d维粒子可以编码 log2d比特的秘密信息而每个二维量子比特只能编码1 比特的秘密信息，因此，与基于二维量子比特的单向半量子安全通信协议相比，当d足够大时本协议具有更高的秘密信息传输效率.