量子通信

1 量子态不可克隆定理 2

1.1 量子态不可克隆定理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.2 量子态普适克隆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.3 量子概率克隆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 量子态区分 4

2.1 无歧义区分 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2 最小错误区分 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 香农完善保密定理 5

3.1 香农完善保密定理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3.2 Vernam 码 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

4 量子密钥分发 5

4.1 EPR 协议 (E91) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

4.2 BB84 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

4.3 B92 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

4.4 正交态量子密钥分发 GV95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

4.5 诱骗态量子密钥分发 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 量子态不可克隆定理

1.1 量子态不可克隆定理

对于任意未知量子态 |𝜓⟩

𝐴

, 和一个 |0⟩

𝐵

的标准态, 不存在一个酉变换 𝑈, 使得

𝑈(|𝜓⟩

𝐴

⊗ |0⟩

𝐵

) = |𝜓⟩

𝐴

⊗ |𝜓⟩

𝐵

证明它只需要考虑两个不同的量子态 |𝜓⟩

𝐴

和 |𝜙⟩

𝐴

, 如果存在这样的酉变换 𝑈, 那么

𝑈(|𝜓⟩

𝐴

⊗ |0⟩

𝐵

) = |𝜓⟩

𝐴

⊗ |𝜓⟩

𝐵

𝑈(|𝜙⟩

𝐴

⊗ |0⟩

𝐵

) = |𝜙⟩

𝐴

⊗ |𝜙⟩

𝐵

计算内积, 由于 𝑈 是酉变换, 因而 𝑈

†

𝑈 = 𝐼, 那么

⟨𝜓|

𝐴

⊗ ⟨0|

𝐵

𝑈

†

𝑈|𝜙⟩

𝐴

⊗ |0⟩

𝐵

= ⟨𝜓|𝜙⟩

𝐴

酉变换 𝑈 应当保持内积, 将上式代入, 得到

⟨𝜓|𝜙⟩

𝐴

= (⟨𝜓|𝜙⟩

𝐴

)

那么 ⟨𝜓|𝜙⟩

𝐴

要么为 0, 要么为正负 1, 也就是说两个量子态要么正交, 要么相等或者相反. 也就是说, 不存

在一个酉变换能够克隆任意未知量子态, 除非未知量子态所有可能取值都两两正交

1.2 量子态普适克隆

量子态不可克隆定理仅限制了完美克隆, 但是近似克隆是能够实现的. 为了配平概率, 需要引入一个辅助

比特 𝑀, 并希望误差是对称的

𝑈(|00⟩

𝐴𝐵

⊗ |0⟩

𝑀

) = 𝑐|00⟩

𝐴𝐵

⊗ |0⟩

𝑀

+ 𝑠(|01⟩

𝐴𝐵

+ |10⟩

𝐴𝐵

) ⊗ |1⟩

𝑀

𝑈(|11⟩

𝐴𝐵

⊗ |0⟩

𝑀

) = 𝑐|11⟩

𝐴𝐵

⊗ |1⟩

𝑀

+ 𝑠(|01⟩

𝐴𝐵

+ |10⟩

𝐴𝐵

) ⊗ |0⟩

𝑀

𝑈 的保内积性质要求

𝑐

+ 2𝑠

= 1

若输入态为 |𝜓⟩

𝐴

= 𝛼|0⟩

𝐴

+ 𝛽|1⟩

𝐴

, 那么输出态为

𝛼



𝑐|00⟩

𝐴𝐵

⊗ |0⟩

𝑀

+ 𝑠(|01⟩

𝐴𝐵

+ |10⟩

𝐴𝐵

) ⊗ |1⟩

𝑀



+ 𝛽



𝑐|11⟩

𝐴𝐵

⊗ |1⟩

𝑀

+ 𝑠(|01⟩

𝐴𝐵

+ |10⟩

𝐴𝐵

) ⊗ |0⟩

𝑀



在克隆之后, 如果只考虑 𝐴, 希望它的状态不变, 仅仅是引入了各向同性噪声, 即

𝜌

′

𝐴

= 𝜂

𝜓

⟩ ⟨

𝜓

𝐴

+ (1 − 𝜂)

𝐼

稍微计算密度矩阵

𝜌

′

𝐴



|𝛼|

𝑐

+ 𝑠

2𝛼𝛽

∗

𝑐𝑠

2𝛼

∗

𝛽𝑐𝑠 |𝛽|

𝑐

+ 𝑠



而输入的密度矩阵为

𝜓

⟩ ⟨

𝜓

𝐴



|𝛼|

𝛼𝛽

∗

𝛼

∗

𝛽 |𝛽|



对比即可得到

𝑐 = 2𝑠, 𝜂 = 𝑐

结合归一化条件, 可解得

𝑐 =

√

, 𝑠 =

√

此时有保真度

𝐹 = ⟨𝜓|𝜌

′

𝐴

|𝜓⟩ =

由于在所有项中 𝐴 和 𝐵 完全对称, 因此 𝐵 也有完全相同的保真度. 这一构造称为 Bužek-Hillery 量子

克隆机, 它是 1 → 2 的最优普适量子克隆机. 事实上对于 𝑁 → 𝑀 的普适量子克隆机, 最优保真度为

𝐹

𝑁 →𝑀

𝑀 𝑁 + 𝑀 + 𝑁

𝑀 (𝑁 + 2)

如果比特的维数为 𝑑, 那么最优保真度为

𝐹

𝑁 →𝑀

𝑁 (𝑑 − 1) + 𝑀 (𝑁 + 1)

𝑀 (𝑁 + 𝑑)

1.3 量子概率克隆

量子克隆定理限制了对于任意未知量子态的克隆, 但是如果量子态来自于一个已知的线性无关集合, 并允

许克隆失败, 那么可以实现完美克隆. 假定有两个 𝑚 维系统 𝐴 和 𝐵, 以及一个 𝑛 维辅助系统 𝑀, 希望实

现

𝑈|𝜓

𝑖

⟩

𝐴

|0⟩

𝐵

|0⟩

𝑀

√

𝑟

𝑖

|𝜓

𝑖

⟩

𝐴

|𝜓

𝑖

⟩

𝐵

|0⟩

𝑀

𝑛−1



𝑗=1

𝑐

𝑖 𝑗

|Φ

𝑗

𝐴𝐵

⟩|𝑗⟩

𝑀

其中 {|𝜓

𝑖

⟩} 是线性无关的量子态集合, 𝑟

𝑖

为克隆成功概率, {|𝑗⟩

𝑀

} 为辅助系统的正交归一基. 在克隆完成

后测量辅助系统, 如果测量结果为 |0⟩

𝑀

, 则克隆成功. 再挑一个

𝜓

𝑘

⟩

𝐴

, 分别计算左右内积, 𝑈 的保内积性

质要求

⟨𝜓

𝑖

|𝜓

𝑘

⟩ =

√

𝑟

𝑖

𝑟

𝑘

⟨𝜓

𝑖

|𝜓

𝑘

⟩

𝑛−1



𝑗=1

𝑐

𝑖 𝑗

𝑐

∗

𝑘 𝑗

如果记

𝑋

(1)

𝑖𝑘

= ⟨𝜓

𝑖

|𝜓

𝑘

⟩, 𝑋

(2)

𝑖𝑘

= ⟨𝜓

𝑖

|𝜓

𝑘

⟩

, 𝐶

𝑖𝑘

= 𝑐

𝑖𝑘

, 𝑅

𝑖𝑘

= 𝑟

𝑖

𝑟

𝑘

那么上式可以写成矩阵形式

𝑋

(1)

√

𝑅𝑋

(2)

√

𝑅 + 𝐶𝐶

†

由于 𝐶𝐶

†

为半正定矩阵, 因而方程有解的充分必要条件为

𝑋

(1)

−

√

𝑅𝑋

(2)

√

𝑅 ≥ 0

如果各个量子态线性无关, 则 𝑋

(1)

和 𝑋

(2)

均为正定矩阵, 因而只要 𝑟

𝑖

足够小, 上式总能成立. 线性无关

的量子态集合总是可以被概率克隆的

2 量子态区分

2.1 无歧义区分

如果有一个量子态

𝜓

⟩

, 它可能是 {|𝜓

𝑖

⟩} 中的某一个, 那么允许有一定概率的失败, 但是不允许错误识别,

那么称之为无歧义区分

无歧义区分等价于可以克隆出无限多份

1. 如果可以无歧义区分, 那么就可以准确知道是哪一个态, 因而可以制备出任意多份

2. 如果可以克隆出无限多份, 那么就可以通过无穷多次测量来准确知道是哪一个态

因此无歧义区分与无穷克隆等价. 克隆出两份的条件为

𝑋

(1)

−

√

𝑅𝑋

(2)

√

𝑅 ≥ 0

其中的 𝑋

(2)

来自于克隆成功的项, 显然如果克隆无穷多, 对应的项为 𝑋

(∞)

. 由于 𝑋 实际上是各个量子态

的内积

𝑋

𝑖𝑘

= ⟨𝜓

𝑖

|𝜓

𝑘

⟩

对角元为 1, 非对角元的模长小于 1, 因而

lim

𝑛→∞

𝑋

(𝑛)

= 𝐼

因此无歧义区分的充分必要条件为

𝑋

(1)

− 𝑅 ≥ 0

其中 𝑅 为无歧义区分的概率. 在两态区分中, 设两态分别为 |𝜓

⟩ 和 |𝜓

⟩, 则

𝑋

(1)



1 𝑥

𝑥

∗



, 𝑥 = ⟨𝜓

|𝜓

⟩

那么



1 −𝑟

𝑥

∗

1 −𝑟



≥ 0

正定矩阵的行列式非负, 因而

(1 −𝑟

)(1 −𝑟

) − |𝑥|

≥ 0

假定两态出现的概率为 𝑝

和 𝑝

, 那么无歧义区分的成功概率为

𝑃 = 𝑝

𝑟

+ 𝑝

𝑟

≤ 1 − 2

√

𝑝

|⟨𝜓

|𝜓

⟩|

2.2 最小错误区分

对应于普适克隆, 允许有一定概率识别错误, 希望最小化错误概率. 此时需要一系列的 POVM 元素 {𝐸

𝑖

它们满足完备关系



𝑖

𝐸

𝑖

= 𝐼

假定量子态集合为 {𝜌

𝑖

}, 那么将态 𝜌

𝑖

识别正确的概率为

𝑃 =



𝑖

𝑝

𝑖

Tr(𝜌

𝑖

𝐸

𝑖

)

设 𝜌

𝑖

出现的概率为 𝑝

𝑖

, 那么希望成功概率最大, 就要最大化

max

{𝐸

𝑖

}



𝑖

𝑝

𝑖

Tr(𝜌

𝑖

𝐸

𝑖

)

这是一个最优化稳态

3 香农完善保密定理

3.1 香农完善保密定理

香农认为, 如果已知密文, 明文的的概率分布不变, 那么加密系统就是绝对安全的. 在绝对安全的加密系

统中, 密钥的数量必不可能小于明文的数量. 这是为了确保一个密文可以由所有的明文加密得到. 在密钥

数量与明文和密文数量相等时, 安全的充要条件为

1. 一次一密: 每一个明文-密文都只对应唯一的密钥

2. 密钥均匀分布: 每一个密钥出现的概率相等

3.2 Vernam 码

在 Vernam 码加密方案中, 明文和密钥长度相同. 假设明文为 𝐴, 密钥为 𝐶, 那么可以用二进制异或加密

𝐵 = 𝐴 ⊕ 𝐶

解密时再进行一次异或

𝐴 = 𝐵 ⊕ 𝐶

在通信开始前, 需要通过安全信道将密钥 𝐶 传输给接收方

4 量子密钥分发

4.1 EPR 协议 (E91)

EPR 协议基于量子纠缠态. 假定有一个第三方给了 Alice 和 Bob 一堆纠缠态对, 每一对都是贝尔态

|Ψ

−

⟩ =

|01⟩ − |10⟩

√

Alice 选择 0

◦

, 45

◦

, 90

◦

的测量方向

𝐴

⟩

𝑒

𝑖0

◦

⟩

, 𝐴

⟩

𝑒

𝑖45

◦

⟩

, 𝐴

⟩

𝑒

𝑖90

◦

⟩

Bob 选择 45

◦

, 90

◦

, 135

◦

的测量方向

𝐵

⟩

+ 𝑒

𝑖45

◦

⟩

, 𝐵

⟩

+ 𝑒

𝑖90

◦

⟩

, 𝐵

⟩

+ 𝑒

𝑖135

◦

⟩

Alice 和 Bob 分别对各自的粒子进行测量, 并告知对方选择的基矢. 基矢相同的选择为

(𝐴

, 𝐵

), (𝐴

, 𝐵

)

测量结果完全反相关, 可以用来生成密钥. 基矢不同的测量结果用来计算 CHSH 不等式

𝑆 = 𝐸 (𝐴

, 𝐵

) − 𝐸 (𝐴

, 𝐵

) + 𝐸 (𝐴

, 𝐵

) + 𝐸 (𝐴

, 𝐵

)

其中 𝐸 (𝐴

𝑖

, 𝐵

𝑗

) 为测量结果的相关函数

𝐸 (𝐴

𝑖

, 𝐵

𝑗

) = 𝑃

(𝐴

𝑖

, 𝐵

𝑗

) + 𝑃

(𝐴

𝑖

, 𝐵

𝑗

) − 𝑃

(𝐴

𝑖

, 𝐵

𝑗

) − 𝑃

(𝐴

𝑖

, 𝐵

𝑗

)

其中 𝑃

𝑎𝑏

(𝐴

𝑖

, 𝐵

𝑗

) 等于在测量基矢 𝐴

𝑖

和 𝐵

𝑗

下, Alice 测量结果为 𝑎, Bob 测量结果为 𝑏 的概率. CHSH 不

等式要求

𝑆 = 2

√

如果存在窃听者, 那么纠缠关联会被破坏, 进而导致 𝑆 → 2, 从而被发现

4.2 BB84 协议

BB84 协议基于一个二能级通信比特. 测量这个比特可以选择两组基矢

{|0⟩, |1⟩}, {|+⟩, |−⟩}

其中

|+⟩ =

|0⟩ + |1⟩

√

, |−⟩ =

|0⟩ − |1⟩

√

注意到如果选错了基矢, 那么测量结果是完全随机的

|⟨0|+⟩|

= |⟨1|+⟩|

= |⟨0|−⟩|

= |⟨1|−⟩|

对于通信双方 Alice 和 Bob, 首先 Alice 随机选择下面的比特发送一串给 Bob

|0⟩, |1⟩, |+⟩, |−⟩

假设比特序列为

𝜓

, 𝜓

, . . . , 𝜓

𝑁

Bob 在接收到比特后, 随机地选择下面的两组基矢进行测量

{|0⟩, |1⟩}, {|+⟩, |−⟩}

假设 Bob 选择的基矢序列为

𝑆

, 𝑆

, . . . , 𝑆

𝑁

那么就会得到测量结果

𝑆

(𝜓

), 𝑆

(𝜓

), 𝑆

(𝜓

), . . . , 𝑆

𝑁

(𝜓

𝑁

)

随后 Alice 通过经典信道将自己选择的基矢序列发送给 Bob, Bob 挑出那些基矢选择正确的比特, 形成一

个 0 − 1 序列, 这就是他们共享的密钥. 由于每次选择基矢的概率为 1/2, 因而平均下来, 他们能够共享的

密钥长度约为 𝑁/2

最后, Bob 随机选择一部分密钥, 将其发送给 Alice, 对比测量结果是否一致, 若有错误, 则说明通信过程

中存在窃听者

1. 窃听者无法无失败地完美克隆每一个量子比特, 一旦尝试克隆, 就会导致 Bob 测量结果的错误

2. 窃听者收到了比特后, 并不知道 Alice 选择的基矢, 因而只能随机选择基矢进行测量, 显然有一半的

概率选错基矢, 进而导致 Bob 测量结果错误

3. 基矢的选择与比特的测量结果无关, 因而窃听者得知了基矢信息, 也无法推断出比特的测量结果

为了得到具体的密钥, 窃听者必须对比特进行测量, 进而导致通信双方测量结果的错误, 从而被发现

4.3 B92 协议

B92 仅使用两个非正交态进行量子密钥分发. Alice 随机选择下面的两个量子态发送给 Bob

|0⟩, |+⟩

Bob 随机选择下面的两组基矢进行测量

{|0⟩, |1⟩}, {|+⟩, |−⟩}

如果 Bob 测量结果为 |1⟩, 则可以确定 Alice 发送的态为 |+⟩; 如果测量结果为 |−⟩, 则可以确定 Alice 发

送的态为 |0⟩. 否则测量结果为不确定态, 丢弃该比特, 剩余的比特用来生成密钥. 由于 Bob 选择正确基

矢的概率为 1/2, 在基矢选择正确的情况下, Bob 测量出确定态的概率也是 1/2, 因而他们能够共享的密钥

长度为 𝑁/4

最后, Bob 随机选择一部分密钥, 将其发送给 Alice, 对比测量结果是否一致, 若有错误, 则说明通信过程

中存在窃听者

事实上 B92 协议并不完全安全,

由于两个量子态线性无关

因而可以被概率性克隆

. 窃听者可以克隆比

特, 并将失败的比特阻断掉. 在 Alice 和 Bob 看来, 信道的损耗变大了, 但是并不会引入错误. 对于 BB84

协议, 四个量子态线型相关, 无法被克隆, 因而不存在类似的攻击

4.4 正交态量子密钥分发 GV95

GV95 协议使用两个正交态编码比特, 从而避免了 BB84 损失一半密钥的问题. GV95 协议引入了两个子

系统

H = H

⊗ H

Alice 使用下面的两个正交态编码比特

|𝜓

⟩ =

√

(|1⟩

|0⟩

+ |0⟩

|1⟩

), |𝜓

⟩ =

√

(|1⟩

|0⟩

− |0⟩

|1⟩

)

这两个状态正交, 因此 Bob 可以通过测量无歧义地区分它们. 为了防止窃听者的攻击, GV95 协议要求

Alice 在 Bob 确认收到后再继续

1. Alice 随机选择比特 0 或 1, 子系统 H

发送给 Bob

2. 在子系统 H

到达后, 再发送子系统 H

3. Bob 在收到两个子系统后进行测量, 得到比特值

这保证了窃听者无法同时获得两个子系统的信息. 注意到无论是 |𝜓

⟩ 还是 |𝜓

⟩, 单个子系统的密度矩阵

均为完全混态

𝜌

= 𝜌

|0⟩⟨0| +

|1⟩⟨1|

具体的信息被编码在两个子系统的相对相位中, 只需要保证窃听者无法同时获得两个子系统即可

4.5 诱骗态量子密钥分发

由于单光子源难以实现, 在密钥分发时, 往往会存在多光子脉冲. 窃听者可以

1. 对于所有的单光子脉冲, 直接阻断

2. 对于多光子脉冲, 分离出一个光子保存, 其余光子发送给 Bob

3. 在 Alice 和 Bob 公开基矢信息后, 使用保存的光子进行测量, 从而获得密钥信息

为了防止这种攻击, Alice 在发送比特时, 会刻意在发送某些比特时拧大激光器, 使得多光子脉冲的概率增

大. 这些比特称为诱骗态, 由于窃听者扔掉了所有的单光子脉冲, 因此诱骗态成功发送的概率会大幅增加.

原本的通信流程变为

1. Alice 随机选择比特 0 或 1, 并随机选择是否发送诱骗态

2. Bob 随机选择基矢进行测量, 并记录测量结果

3. Alice 通过经典信道将自己选择的基矢序列和诱骗态信息发送给 Bob

4. Bob 计算诱骗态和非诱骗态的成功接收概率, 当存在窃听者时, 诱骗态的成功接收概率会大幅增加

5. 后续的密钥生成与错误检测同 BB84 协议

窃听者在攻击时无从得知哪些是诱骗态, 从而能够被发现