经典量子密钥分发 (QKD) 协议介绍 (1)

$$\newcommand{\ket}[1]{\left|#1\right\rangle} \newcommand{\bra}[1]{\left\langle#1\right|}$$

BB84 协议是 1984 年 Charles H. Bennett 和 Gilles Brassard 提出的 QKD 协议 [1]，也是第一个 QKD 协议。

BB84 协议中发送方随机发送两组非正交基矢下的单光子，接收方随机选择基矢进行测量，理想情况下在二者使用相同基矢时，双方将会得到安全且一致的密钥。BB84 协议需要两组非正交基矢编码，在偏振编码下可以选择水平竖直基矢（通常记为 $Z$ 基矢），包含 $\ket{H}$ 和 $\ket{V}$ 两个偏振态，和对角基矢（通常记为 $X$ 基矢），包含 $\ket{\pm}=(\ket{H}\pm\ket{V})/2$ 两个偏振态。这样四个态通常被称为 BB84 态。

BB84 协议基本运行流程如下（见图一）：Alice 从四个 BB84 态中随机选择一个制备单光子量子态，然后通过一个量子信道发送给 Bob。Bob 接收到 Alice 发来的量子态后，从 $Z$ 和 $X$ 基矢中随机选择一个进行测量，并记录下测量结果。然后 Alice 和 Bob 通过公开认证信道比对编码基矢和测量基矢，保留下相同基矢部分的编码比特和测量结果，由此得到一串原始密钥。

假设没有窃听者 Eve 攻击，信道没有干扰，探测器没有暗计数的理想情形下，Alice 和 Bob 的这串原始密钥将是完全相同的。实际情况下，受到信道噪声，探测器暗计数及 Eve 可能的窃听等因素的影响，Alice 和 Bob 的原始密钥中存在一定的误码。

Alice 和 Bob 可以通过随机公开部分比特抽样得到对误码率的估计。如果误码率超出一定的理论阈值，则抛弃这一串原始密钥重新进行以上过程；否则通过纠错和隐私放大等数据后处理过程得到一串安全密钥。纠错可以将含有误码的原始密钥纠正为完全相同的密钥串，而隐私放大则通过压缩密钥串的长度使得 Eve 获得的密钥的信息量降低到充分小。

BB84 协议的安全性在于采用了两组非正交的基矢进行编码，Eve 无法在不带来扰动的情况下完美区分这两组非正交量子态。根据量子不可克隆定理可知窃听者无法对未知的量子态进行完美的克隆，因此窃听者亦无法通过克隆操作进行窃听。

根据量子不确定性原理，窃听者的的窃听操作会对原量子态造成扰动，合法的通信双方可以通过互相比对信息（如检验误码率是否超过理论阈值）来检验是否存在窃听者。

虽然直观上来看 BB84 协议应该是安全的，但在很长的一段时间内，BB84 协议一直没有得到严格的安全性证明。在 1999 年，Lo 和 Chau 通过将 BB84 协议等价于一个纠缠提纯协议的方法证明了 BB84 协议的安全性 [2]。但该证明过程中需要用到量子计算机，在当前条件下还并不现实。之后在 2000 年， Shor 和 Preskill 将 CSS 量子纠错码用于纠缠提纯提出了一种更简洁的证明方法，并且去掉了对量子计算机的依赖 [3]。

后来，Lo 等人的研究进一步证明了比特错误纠错和相位错误纠错可以分开实现 [4]。比特错误纠错可以等价于经典的纠错过程，而相位错误纠错可以通过隐私放大技术来实现，从而基于现有技术就可以实现安全密钥的提取。

参考文献

[1] C. H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, Proceedings of IEEE International Conference on Computer System and Signal Processing 175. (1984).
[2] H.-K. Lo and H. F. Chau, Unconditional Security of Quantum Key Distribution over Arbitrarily Long Distances, Science 283, 2050 (1999).
[3] P. W. Shor and J. Preskill, Simple Proof of Security of the BB84 Quantum Key Distribution Protocol, Phys. Rev. Lett. 85, 441 (2000).
[4] H.-K. Lo, Method for decoupling error correction from privacy amplification, New J. Phys. 5, 36 (2003).