CN105245331A

CN105245331A - 基于四粒子ghz态的两方量子密钥协商协议

Info

Publication number: CN105245331A
Application number: CN201510688232.5A
Authority: CN
Inventors: 何业锋
Original assignee: Xian University of Posts and Telecommunications
Current assignee: Xian University of Posts and Telecommunications
Priority date: 2015-10-21
Filing date: 2015-10-21
Publication date: 2016-01-13
Anticipated expiration: 2035-10-21
Also published as: CN105245331B

Abstract

本发明公开了一种基于四粒子GHZ态的两方量子密钥协商协议：步骤1：Alice和Bob随机生成各自的经典密钥并协商函数；步骤2：Alice选择n个四粒子的GHZ并分序列，将诱骗光子随机***三个序列发送给Bob；步骤3：Bob测量诱骗光子；Alice计算错误率；步骤4：Alice对序列中序号相同的每三个相应粒子执行两次CNOT操作；步骤5：Alice执行幺正变换得到新的序列，选出诱骗光子***序列发送给Bob；步骤6：Bob测量诱骗光子；Alice比较测量结果计算错误率；错误率低执行步骤7；否则返回步骤2；步骤7：Alice生成共享密钥；步骤8：Bob生成共享密钥。本发明能够抵抗已有的参与者攻击和外部攻击。同时，量子比特效率远远高于现有协议。

Description

基于四粒子GHZ态的两方量子密钥协商协议

技术领域

本发明属于量子通信领域，具体涉及一种量子密钥协商(Quantumkeyagreement)协议，特别是一种基于四粒子GHZ态的两方量子密钥协商协议。

背景技术

量子密码是通信和网络安全的新技术，它的安全性是由量子力学基本原理保证的。与传统密码大多是计算安全的不同，量子密码能实现无条件安全，由此吸引了大量关注。量子密钥协商(QKA)协议是量子密码的一个新的重要分支，它允许参与者通过公开的量子信道协商一个经典的共享秘密密钥，并且各个参与者的贡献是相同的，任何一个参与者或参与者构成的子集都不能独立的确定该共享密钥。利用量子密钥协商(QKA)协议建立的共享秘密密钥和一次一密的加密算法，通信双方能够实现无条件安全的保密通信。

现有大多数量子密钥协商协议是基于单粒子或Bell态，基于多粒子纠缠态的密钥协议屈指可数，而且它们或者不能抵抗特罗伊木马等外部攻击，是不安全的，或者量子比特率太低。

D.S.Shen，W.P.MaandL.L.Wang在论文“Two-partyquantumkeyagreementwithfour-qubitclusterstates”(QuantumInf.Process.2014:2313-2324)中利用四粒子的团簇态提出了一个双方QKA协议，此协议具有较高量子比特效率。协议的具体步骤是：第一，通信双方A和B各自生成一些四粒子的团簇态。通信方A(通信方B)将由团簇态中的第三个(第一个)粒子构成的序列***诱骗光子后发给通信方B(通信方A)，并保留且它粒子序列。第二，通信双方收到相应的粒子序列后，一起执行窃听监测。第三，通信双方就各自收到的粒子序列执行自己的幺正变换。然后***诱骗光子后将其互发给对方。第四，通信双方收到相应的粒子序列后，一起执行窃听监测。第五，通信方A(通信方B)对由团簇态中的第一个(第三个)粒子构成的序列执行各自的幺正变换。然后双方对各自的团簇态执行团簇基的测量，双方会得到相同的测量结果。根据编码和测量结果的对应即可得到共享的秘密密钥。该协议存在不足之处是：由于该协议是一个Ping-Pong协议，即同一个粒子在量子信道中被传输了一个来回，因此该协议无法抵抗不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。

W.Huang，Q.Su，X.Wu，Y.B.LiandY.Sun在论文“Quantumkeyagreementagainstcollectivedecoherence”(Int.J.Theor.Phys.2014:2891-2901)中利用四粒子的DF态提出了一个能免疫联合噪声的双方QKA协议。协议的具体步骤是：第一，通信方A生成两个随机比特串，一个作为共享密钥的个人贡献串，一个作为选择测量基的控制串。第二，通信方A根据个人贡献串和选择测量基的控制串准备一个四粒子的DF态的序列，并***诱骗光子后发给通信方B。第三，当通信方B收到四粒子的DF态的序列后，双方共同执行窃听监测。若通过检测，通信方B公布他的共享密钥的个人贡献串。第四，通信方A根据自己和通信方B的个人贡献串，可以计算双方的共享秘密密钥。第五，通信方A公开他的选择测量基的控制串。利用此控制串，通信方B可以测量所有DF态，根据测量结果可以得到通信方A的共享密钥的个人贡献串。因此，通信方B也能计算出双方的共享秘密密钥。该协议存在不足之处是：该协议的量子比特效率太低，它的量子比特效率仅为10％。

发明内容

针对上述现有技术中存在的缺陷或不足，本发明的目的在于，提供一种基于四粒子GHZ态的两方量子密钥协商。

为了实现上述任务，本发明采用如下技术方案予以解决：

一种基于四粒子GHZ态的两方量子密钥协商协议，具体包括如下步骤：

步骤1：Alice和Bob随机生成各自的2n比特的经典密钥K_A和K_B：并协商以下函数：

H (K_{A}, K_{B}) = (K_{A}^{1} | | K_{B}^{1}) | | (K_{A}^{2} | | K_{B}^{2}) | | ... | | (K_{A}^{n} | | K_{B}^{n});

步骤2：Alice随机从集合{|G₁>_abcd,|G₂>_abcd,|G₃>_abcd,|G₄>_abcd}中选择n个四粒子的GHZ，并将这n个四粒子的GHZ的所有粒子分成四个有序的序列S_a,S_b,S_c和S_d，其中序列S_a,S_b,S_c和S_d分别由每个GHZ态中的粒子a,b,c和d组成；Alice从集合{|0>,|1>,|+>,|->}中随机选出3m个诱骗光子，并且将这3m个诱骗光子随机***序列S_b,S_c和S_d，且每个序列中***m个诱骗光子，分别得到新的序列S′_b,S'_c和S'_d；Alice将序列S′_b,S'_c和S'_d发送给Bob，自己保留序列S_a；n，m均为大于1的正整数；

步骤3：当Bob收到序列S′_b,S'_c和S'_d后，通过经典认证信道告知Alice；Alice通过经典认证信道公布诱骗光子在序列S′_b,S'_c和S'_d中的位置与相应的测量基{|0>,|1>}或{|+>,|->}；Bob用正确的测量基去测量相应的诱骗光子，并将测量结果通过经典认证信道告诉Alice；Alice比较测量结果和诱骗光子的初始状态，并计算错误率；如果错误率低于设定的限门值，则执行步骤4；否则，返回步骤2；

步骤4：Alice对序列S_b,S_c和S_d中序号相同的每三个相应粒子执行两次CNOT操作；然后，Bob对序列S_c和S_d中序号相同的每两个粒子c,d执行基测量；根据测量结果，Bob得知序列S_a和S_b中的相应粒子a,b塌缩到哪个Bell态；Alice根据自己选择的n个GHZ态的初始态，可以确定粒子a和b塌缩到的状态，以及粒子c和d塌缩到的态；

步骤5：Alice根据经典密钥K_A对序列S_a中的第i(i＝1,2,...,n)个粒子执行幺正变换得到新的序列而幺正变换的下标i₁和i₂依次等于的两比特值；随后，Alice对序列执行一个置换运算Π_n，得到一个随机化的序列然后，Alice从集合{|0>,|1>,|+>,|->}中随机选出m个诱骗光子，并将这m个诱骗光子随机***序列得到新序列将序列发送给Bob；

步骤6：当Bob收到这序列后，通过经典认证信道告知Alice；Alice通过经典认证信道公布诱骗光子在序列中的位置与相应的测量基{|0>,|1>}或{|+>,|->}；Bob用正确的测量基去测量相应的诱骗光子，并将测量结果通过经典认证信道告诉Alice；Alice比较测量结果和诱骗光子的初始状态，并计算错误率；如果错误率低于设定的限门值，则执行步骤7；否则，返回步骤2；

步骤7：Bob将步骤4中得到的序列S_c和S_d中所有序号相同的两个粒子c,d的基测量结果利用下式转化成2n个经典比特：

|00>→00,|01>→01,|10>→10,|11>→11；

并将这2n个经典比特与密钥K_B进行异或运算，然后通过经典认证信道公布运算结果；

Alice根据步骤4中得到的序列S_c和S_d中的相应的两个粒子c,d的基测量结果计算Bob的密钥K_B；并根据密钥K_A和K_B，Alice计算双方的共享密钥：K＝H(K_A,K_B)。

步骤8：Alice公布步骤5采用的置换运算Π_n；Bob对序列执行相应的逆置换得到原始序列接着，Bob依次对序列和S_b中序号相同的两个粒子执行Bell测量；根据测量结果和相应的初始Bell态，Bob计算出K_A，从而生成共享密钥：K＝H(K_A,K_B)。

进一步的，所述步骤1中，

K_{A} = K_{A}^{1} | | K_{A}^{2} | | ... | | K_{A}^{n}, K_{B} = K_{B}^{1} | | K_{B}^{2} | | ... | | K_{B}^{n},

K_{A}^{i}, K_{B}^{i} &Element; {00, 01, 10, 11} (i = 1, 2, ..., n) .

进一步的，所述步骤2中，

| G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0000 > + | 1111 >)}_{a b c d}, - - - (1)

| G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0001 > - | 1110 >)}_{a b c d}, - - - (2)

| G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0101 > + | 1010 >)}_{a b c d}, - - - (3)

| G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0100 > - | 1011 >)}_{a b c d} . - - - (4) .

进一步的，所述步骤4中，对序列S_b,S_c和S_d中序号相同的每三个相应粒子执行两次CNOT操作具体是根据公式(5)－(8)进行处理；

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} + | 11 >_{a b}) &CircleTimes; | 00 >_{c d} = | φ^{+} >_{a b} | 00 >_{c d}, - - - (5)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} - | 11 >_{a b}) &CircleTimes; | 01 >_{c d} = | φ^{-} >_{a b} | 01 >_{c d} - - - (6)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} + | 10 >_{a b}) &CircleTimes; | 10 >_{c d} = | ψ^{+} >_{a b} | 10 >_{c d} - - - (7)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} - | 10 >_{a b}) &CircleTimes; | 11 >_{c d} = | ψ^{-} >_{a b} | 11 >_{c d} - - - (8)

进一步的，所述步骤4中

Z &CircleTimes; Z = {| 00 >, | 01 >, | 10 >, | 11 >} .

进一步的，所述步骤5中，所述幺正变换为U₀₀,U₀₁,U₁₀和U₁₁，U₀₀＝I＝|0><0|+|1><1|，U₀₁＝X＝|0><1|+|1><0|，U₁₀＝Z＝|0><0|-|1><1|和U₁₁＝iY＝|0><1|-|1><0|；{|0>,|1>}形成了Z基，{|+>,|->}形成了X基，其中，

| + > = 1 / \sqrt{2} (| 0 > + | 1 >), | - > = 1 / \sqrt{2} (| 0 > - | 1 >) .

进一步的，所述步骤3和步骤6中，限门值均取0.1～0.2。

本发明的有益效果：

本发明的基于四粒子GHZ态的两方量子密钥协商协议可确保通信双方公平地建立他们的之间的共享的经典密钥，利用该经典秘密密钥和一次一密的加密算法，通信双方可以实现无条件安全的保密通信。显然能够抵抗已有的参与者攻击和外部攻击。同时，由于该协议中的每个粒子仅被传输一次，因此攻击者也不能成功地执行特洛伊木马攻击。通过分析发现该协议不但在无噪声量子信道是安全的，而且它在量子噪声信道上也是安全的。另外，本发明的协议的量子比特效率远远高于现有协议。

具体实施方式

1、预备知识

首先，引入四个幺正变换U₀₀,U₀₁,U₁₀和U₁₁，即U₀₀＝I＝|0><0|+|1><1|，U₀₁＝X＝|0><1|+|1><0|，U₁₀＝Z＝|0><0|-|1><1|和U₁₁＝iY＝|0><1|-|1><0|。并且，{|0>,|1>}形成了Z基，{|+>,|->}形成了X基，其中，

| + > = 1 / \sqrt{2} (| 0 > + | 1 >), | - > = 1 / \sqrt{2} (| 0 > - | 1 >) .

四个Bell态定义如下：

| φ^{+} > = 1 / \sqrt{2} (| 00 > + | 11 >), | φ^{-} > = 1 / \sqrt{2} (| 00 > - | 11 >),

| ψ^{+} > = 1 / \sqrt{2} (| 01 > + | 10 >), | ψ^{-} > = 1 / \sqrt{2} (| 01 > - | 10 >),

它们形成了四维Hilbert空间的一组完全正交基。当一个幺正变换执行在一个Bell态的第一个粒子上时，这个Bell态将转化成另外一个Bell态。四个Bell态和四个幺正变换之间的关系如下：

在本发明的协议中使用如下的四个四粒子的GHZ态作为量子信源，即

| G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0000 > + | 1111 >)}_{a b c d}, - - - (1)

| G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0001 > - | 1110 >)}_{a b c d}, - - - (2)

| G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0101 > + | 1010 >)}_{a b c d}, - - - (3)

| G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0100 > - | 1011 >)}_{a b c d} . - - - (4)

当我们将粒子b作为控制量子比特，粒子c和d作为目标量子比特，分别对上述四个四粒子的GHZ态执行两次CNOT操作后，***分别变化如下：

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} + | 11 >_{a b}) &CircleTimes; | 00 >_{c d} = | φ^{+} >_{a b} | 00 >_{c d}, - - - (5)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} - | 11 >_{a b}) &CircleTimes; | 01 >_{c d} = | φ^{-} >_{a b} | 01 >_{c d} - - - (6)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} + | 10 >_{a b}) &CircleTimes; | 10 >_{c d} = | ψ^{+} >_{a b} | 10 >_{c d} - - - (7)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} - | 10 >_{a b}) &CircleTimes; | 11 >_{c d} = | ψ^{-} >_{a b} | 11 >_{c d} - - - (8)

显然，根据表达式可知执行两次CNOT操作后，上述的每一个四粒子的GHZ态都会塌缩到两个独立的没有纠缠的两粒子的量子态。

2、本发明的两方量子密钥协商协议

本发明的基于四粒子GHZ态的两方量子密钥协商协议，具体包括如下步骤：

步骤1：Alice和Bob根据下式，随机生成各自的2n比特的经典密钥：

K_{A} = K_{A}^{1} | | K_{A}^{2} | | ... | | K_{A}^{n}, K_{B} = K_{B}^{1} | | K_{B}^{2} | | ... | | K_{B}^{n},

其中

K_{A}^{i}, K_{B}^{i} &Element; {00, 01, 10, 11} (i = 1, 2, ..., n);

并协商以下函数：

H (K_{A}, K_{B}) = (K_{A}^{1} | | K_{B}^{1}) | | (K_{A}^{2} | | K_{B}^{2}) | | ... | | (K_{A}^{n} | | K_{B}^{n}) .

步骤2：Alice随机从集合{|G₁>_abcd,|G₂>_abcd,|G₃>_abcd，|G₄>_abcd}中选择n个四粒子的GHZ，并将这n个四粒子的GHZ的所有粒子分成四个有序的序列S_a,S_b,S_c和S_d，其中序列S_a,S_b,S_c和S_d分别由每个GHZ态中的粒子a,b,c和d组成；Alice从集合{|0>,|1>,|+>,|->}中随机选出3m个诱骗光子，并且将这3m个诱骗光子随机***序列S_b,S_c和S_d，且保证每个序列中***了m个诱骗光子，分别得到新的序列S′_b,S'_c和S'_d；Alice将序列S′_b,S'_c和S'_d发送给Bob，自己保留序列S_a；n，m均为大于1的正整数；

| G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0000 > + | 1111 >)}_{a b c d}, - - - (1)

| G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0001 > - | 1110 >)}_{a b c d}, - - - (2)

| G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0101 > + | 1010 >)}_{a b c d}, - - - (3)

| G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0100 > - | 1011 >)}_{a b c d} . - - - (4)

步骤4：Alice对序列S_b,S_c和S_d中序号相同的每三个粒子执行两次CNOT操作；然后，Bob对序列S_c和S_d中序号相同的每两个粒子c,d执行基测量；根据测量结果和公式(5)-(8)，Bob得知序列S_a和S_b中的相应粒子a,b塌缩到哪个Bell态；Alice根据自己选择的n个GHZ态的初始态，可确定粒子a和b塌缩到的状态，以及粒子c和d塌缩到的态；

上述对序列S_b,S_c和S_d中序号相同的每三个粒子执行两次CNOT操作具体是指：根据公式(5)－(8)进行处理，即以S_b中的粒子b作为控制量子比特，序列S_c和S_d中的粒子c,d作为目标量子比特，执行两次CNOT操作；

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} + | 11 >_{a b}) &CircleTimes; | 00 >_{c d} = | φ^{+} >_{a b} | 00 >_{c d}, - - - (5)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} - | 11 >_{a b}) &CircleTimes; | 01 >_{c d} = | φ^{-} >_{a b} | 01 >_{c d} - - - (6)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} + | 10 >_{a b}) &CircleTimes; | 10 >_{c d} = | ψ^{+} >_{a b} | 10 >_{c d} - - - (7)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} - | 10 >_{a b}) &CircleTimes; | 11 >_{c d} = | ψ^{-} >_{a b} | 11 >_{c d} - - - (8);

上述

Z &CircleTimes; Z = {| 00 >, | 01 >, | 10 >, | 11 >} .

步骤5：Alice根据经典密钥K_A对序列S_a中的第i(i＝1,2,...,n)个粒子执行幺正变换得到新的序列而幺正变换的下标i₁和i₂依次等于的两比特值；随后，Alice对序列执行一个置换运算Π_n(置换运算是指位置重排列)，得到一个随机化的序列然后，Alice从集合{|0>,|1>,|+>,|->}中随机选出m个诱骗光子，并将这m个诱骗光子随机***序列得到新序列将序列发送给Bob；

本发明中，四个幺正变换U₀₀,U₀₁,U₁₀和U₁₁，即U₀₀＝I＝|0><0|+|1><1|，U₀₁＝X＝|0><1|+|1><0|，U₁₀＝Z＝|0><0|-|1><1|和U₁₁＝iY＝|0><1|-|1><0|。并且，{|0>,|1>}形成了Z基，{|+>,|->}形成了X基，其中，

| + > = 1 / \sqrt{2} (| 0 > + | 1 >), | - > = 1 / \sqrt{2} (| 0 > - | 1 >) .

步骤3和步骤6中，限门值均取0.1～0.2。

|00>→00,|01>→01,|10>→10,|11>→11；

步骤8：Alice公布步骤5采用的置换运算Π_n；Bob对序列执行相应的逆置换得到原始序列接着，Bob依次对序列和S_b中序号相同的的两个相应的粒子执行Bell测量；根据测量结果和相应的初始Bell态，Bob计算出K_A，从而生成共享密钥：K＝H(K_A,K_B)。

4安全性和效率分析

一个安全的QKA协议不仅能抵抗外部攻击，而且也能抵抗参与者攻击。

4.1参与者攻击

下面，我们将说明一个不诚实的参与者不可能独自得到这个共享密钥。既然，Alice在她将编码后的消息量子比特发给Bob之后，才得到Bob的密钥K_B，因此，Alice无法根据自己的希望来调整她的秘密密钥K_A。如果Alice想在第七步修改序列的坐标，她的修改将导致粒子的纠缠交换以致于Bob的测量结果不再受Alice的控制。结果，Alice和Bob将生成不同的共享密钥。也就是说，Alice自己不能独自控制这个共享密钥。另一方面，延迟测量技术确保了Bob在他选布异或运算后的结果之前无法获知序列的实际顺序。因此Bob也不能根据Alice的密钥K_A来改变他的密钥K_B。所以，Alice和Bob都无法成功执行参与者攻击。

4.2外部攻击

假设Eve是一个想窃取共享密钥的窃听者，她攻击的可能方法有：特洛伊木马攻击、测量-重发攻击、截获-重发攻击和纠缠-测量攻击。

特洛伊木马攻击：在本协议中，由于量子信道中的每个光子仅被传输一次，因此Eve不能成功的执行不可见光子窃听(IPE)木马攻击和延迟光子木马攻击。

测量-重发攻击：Eve可以分别对序列S′_b,S'_c，S'_d以及中的粒子执行测量-重发攻击。然而，Eve的测量将会影响序列S′_b,S'_c，S'_d以及中的诱骗粒子的状态。在第二步和第五步的窃听检测中，Alice和Bob能以1-(3/4)^m(m表示用来检测这个攻击的诱骗粒子的数量)的概率发现Eve的攻击。

截获-重发攻击：若Eve执行截获-重发攻击，她首先截获序列S′_b,S'_c，S'_d或然后发送她的伪造序列给Bob。当协议结束后，她再对这四个序列中的粒子执行相应的测量。然而，Eve伪造的序列既不能通过第一次安全监测，也不能通过第二次安全监测。当m个诱骗粒子被用于监测这个窃听攻击时，两次安全监测的窃听检测率均为1-(1/2^m)。因此，Eve的截获-重发攻击也失败了。

纠缠-测量攻击：Eve也可以用自己预先准备的辅助粒子去纠缠这个传输粒子(序列S′_b,S'_c，S'_d或中的粒子)，然后将传输粒子再发给Bob。当协议结束后，她再测量相应的辅助粒子，从而提取关于密钥K_A的有用信息。然而，Eve在窃听检测前并不知道诱骗光子的位置，她的纠缠操作U肯定也会被执行到诱骗光子上。并且，诱骗态变成了如下的两粒子纠缠态：

U(|0>|E>)＝a|0>|e₀₀>+b|1>|e₀₁>，

U(|1>|E>)＝c|0>|e₁₀>+d|1>|e₁₁>，

\begin{matrix} U (| + > | E >) = \frac{1}{2} [| + > (a | e_{00} > +b | e_{01} > + c | e_{10} > + d | e_{11} >) \\ + | - > (a | e_{00} > - b | e_{01} > + c | e_{10} > - d | e_{11} >)] \end{matrix}

\begin{matrix} U (| - > | E >) = \frac{1}{2} [| + > (a | e_{00} > +b | e_{01} > - c | e_{10} > - d | e_{11} >) \\ + | - > (a | e_{00} > - b | e_{01} > - c | e_{10} > + d | e_{11} >)] \end{matrix}

其中|e₀₀>，|e₀₁>，|e₁₀>和|e₁₁>是由幺正变换U唯一确定的纯态，并且|a|²+|b|²＝1，|c|²+|d|²＝1。显然，CNOT变换是幺正变换U的特殊情况。如果Eve想在第二步或第五步通过窃听检测，Eve的幺正变换U必须满足条件b＝c＝0和a|e₀₀>＝d|e₁₁>。当等式a|e₀₀>＝d|e₁₁>成立时，Eve不能区分辅助光子a|e₀₀>和d|e₁₁>，从而Eve不能通过观察辅助光子获取密钥K_A的有用信息。然而，如果a|e₀₀>≠d|e₁₁>，Eve的攻击将干扰了诱骗态|+>和|->。因此，Eve的攻击将被Alice和Bob发现。每个诱骗光子的窃听检测率为：

\frac{1}{4} | b |^{2} + \frac{1}{4} | c |^{2} + \frac{1}{4} \times \frac{1}{4} \times (| a |^{2} + | b |^{2} + | c |^{2} + | d |^{2}) \times 2 = \frac{1}{4} (| b |^{2} + | c |^{2}) + \frac{1}{4} &GreaterEqual; \frac{1}{4} .

4.3量子噪声信道

在量子噪声信道中，由噪声引入的量子比特错误率(QBER)τ的取值范围近似在2％-8.9％，它依赖于信道的情况如距离等因素。如果Eve的攻击引入的量子比特错误率小于τ，那么她就能用噪声隐藏她的攻击行为。根据上述的安全性分析，这个协议中每个诱骗光子的窃听检测率至少为25％，它远大于τ。因此，选择合适的窃听检测限门值能确保这个协议在量子噪声信道上也是安全的。

根据上述分析，这个协议在无噪声量子信道和量子噪声信道上都是安全的。

5效率分析

对于一个QKA协议来说，Cabello量子比特效率被定义为：其中c表示协商的经典比特的数量，q表示协议中用到的量子比特的数量。因此，我们协议的量子比特效率为：其中n表示协议中四粒子GHZ态的数量，m表示传输的每个量子序列中诱骗光子的数量。令m＝n，我们有

Claims

1.一种基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，具体包括如下步骤：

H (K_{A}, K_{B}) = (K_{A}^{1} | | K_{B}^{1}) | | (K_{A}^{2} | | K_{B}^{2}) | | ... | | (K_{A}^{n} | | K_{B}^{n});

步骤2：Alice随机从集合{|G₁>_abcd,|G₂>_abcd,|G₃>_abcd,|G₄>_abcd}中选择n个四粒子的GHZ，并将这n个四粒子的GHZ的所有粒子分成四个有序的序列S_a,S_b,S_c和S_d，其中序列S_a,S_b,S_c和S_d分别由每个GHZ态中的粒子a,b,c和d组成；Alice从集合{|0>,|1>,|+>,|->}中随机选出3m个诱骗光子，并且将这3m个诱骗光子随机***序列S_b,S_c和S_d，且每个序列中***m个诱骗光子，分别得到新的序列S'_b,S'_c和S'_d；Alice将序列S'_b,S'_c和S'_d发送给Bob，自己保留序列S_a；n，m均为大于1的正整数；

步骤3：当Bob收到序列S'_b,S'_c和S'_d后，通过经典认证信道告知Alice；Alice通过经典认证信道公布诱骗光子在序列S'_b,S'_c和S'_d中的位置与相应的测量基{|0>,|1>}或{|+>,|->}；Bob用正确的测量基去测量相应的诱骗光子，并将测量结果通过经典认证信道告诉Alice；Alice比较测量结果和诱骗光子的初始状态，并计算错误率；如果错误率低于设定的限门值，则执行步骤4；否则，返回步骤2；

步骤5：Alice根据经典密钥K_A对序列S_a中的第i(i＝1,2,…,n)个粒子执行幺正变换得到新的序列而幺正变换的下标i₁和i₂依次等于的两比特值；随后，Alice对序列执行一个置换运算∏_n，得到一个随机化的序列然后，Alice从集合{|0>,|1>,|+>,|->}中随机选出m个诱骗光子，并将这m个诱骗光子随机***序列得到新序列将序列发送给Bob；

|00>→00,|01>→01,|10>→10,|11>→11；

步骤8：Alice公布步骤5采用的置换运算∏_n；Bob对序列执行相应的逆置换得到原始序列接着，Bob依次对序列和S_b中序号相同的两个粒子执行Bell测量；根据测量结果和相应的初始Bell态，Bob计算出K_A，从而生成共享密钥：K＝H(K_A,K_B)。

2.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤1中，

\begin{matrix} K_{A} = K_{A}^{1} | | K_{A}^{2} | | ... | | K_{A}^{n}, & K_{B} = K_{B}^{1} | | K_{B}^{2} | | ... | | K_{B}^{n} \end{matrix},

K_{A}^{i}, K_{B}^{i} &Element; {00, 01, 10, 11} (i = 1, 2, ..., n) .

3.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤2中，

| G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0000 > + | 1111 >)}_{a b c d}, - - - (1)

| G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0001 > - | 1110 >)}_{a b c d}, - - - (2)

| G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0101 > + | 1010 >)}_{a b c d}, - - - (3)

| G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} {(| 0100 > - | 1011 >)}_{a b c d} . - - - (4) .

4.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤4中，对序列S_b,S_c和S_d中序号相同的每三个相应粒子执行两次CNOT操作具体是根据公式(5)－(8)进行处理；

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{1} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} + | 11 >_{a b}) &CircleTimes; | 00 >_{c d} = | φ^{+} >_{a b} | 00 >_{c d}, - - - (5)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{2} >_{a b c d} = \frac{1}{\sqrt{2}} (| 00 >_{a b} - | 11 >_{a b}) &CircleTimes; | 01 >_{c d} = | φ^{-} >_{a b} | 01 >_{c d} - - - (6)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{3} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} + | 10 >_{a b}) &CircleTimes; | 10 >_{c d} = | ψ^{+} >_{a b} | 10 >_{c d} - - - (7)

U_{C N O T}^{b c} &CircleTimes; U_{C N O T}^{b d} | G_{4} >_{a b c d} = \frac{1}{\sqrt{2}} (| 01 >_{a b} - | 10 >_{a b}) &CircleTimes; | 11 >_{c d} = | ψ^{-} >_{a b} | 11 >_{c d} - - - (8) .

5.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤4中，

Z &CircleTimes; Z = {| 00 >, | 01 >, | 10 >, | 11 >} .

6.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤5中，所述幺正变换为U₀₀,U₀₁,U₁₀和U₁₁，U₀₀＝I＝|0><0|+|1><1|，U₀₁＝X＝|0><1|+|1><0|，U₁₀＝Z＝|0><0|-|1><1|和U₁₁＝iY＝|0><1|-|1><0|；{|0>,|1>}形成了Z基，{|+>,|->}形成了X基，其中，

| + > 1 / \sqrt{2} (| 0 > + | 1 >), | - > = 1 / \sqrt{2} (| 0 > - | 1 >) .

7.如权利要求1所述的基于四粒子GHZ态的两方量子密钥协商协议，其特征在于，所述步骤3和步骤6中，限门值均取0.1～0.2。