安全性是量子通信的最大优点之一，根据量子力学原理，合法的通信双方可以有效探测到窃听者的存在，从而保证了通信的安全性^[1]。量子安全直接通信(QSDC)作为量子通信中的一个分支，近年来引起了很多学者的关注^[1-15]。量子安全直接通信的最大特点是利用量子不可克隆原理、量子测不准原理以及纠缠粒子的关联性和非定域等，在量子信道中直接传递秘密信息^[1]。“高效两步量子安全直接通信协议”是第一个量子安全直接通信协议^[2]。文献[3]提出了基于密集编码的两步量子安全直接通信方案，并对量子安全直接通信方案的标准进行了讨论。文献[4]提出了利用量子远程传态进行量子直接通信的方案。文献[5]提出了多方控制的量子安全直接通信协议(CQSDC)，在该协议中，发送方利用单光子通过量子信道向接收方发送秘密信息，而接收方只有经过控制方的同意后才能恢复秘密信息。文献[6]对文献[5]的“多方控制的量子安全直接通信协议”进行了安全性分析，并基于隐形传态思想提出了一种伪信号替换攻击方法，指出利用该攻击方法，接受者可以不经过控制方的同意就能获得秘密消息。文献[7]提出了一种新的基于GHZ态的CQSDC协议，该协议取得了较高的编码容量。文献[8]对文献[7]的基于GHZ态的CQSDC协议进行了安全性分析，提出在double-CNOT攻击下，接受者无需控制者的同意就可非法获得33.3%的秘密信息。文献[9]将蜜罐思想引入量子安全直接通信，提出了用三粒子GHZ扩展态作为蜜罐，进行量子信道的安全检测，得到了每量子位58%的窃听探测率。本文将蜜罐思想引入基于GHZ态的受控的量子安全直接通信(DCQSDC)中，用三粒子W态的每个粒子作为蜜罐窃听检测粒子，可以得到每量子位64%的窃听检测率，同时也有效防止了double-CNOT攻击。

1 协议描述

假设Bob是控制者，Alice是发送者，Charlie是接收者。

1.1 制备阶段

Bob和Alice制备用于传送秘密信息的三粒子GHZ态串和用于探测信道安全性的蜜罐三粒子W态串，制备过程有4个步骤。

1) Bob制备一个含有N个三粒子GHZ态$\left| \psi \right\rangle = \frac{1}{{\sqrt 2 }}{{\rm{(}}\left| {{\rm{000}}} \right\rangle {\rm{ + }}\left| {{\rm{111}}} \right\rangle {\rm{)}}_{{\rm{123}}}}$的有序序列，用于传送秘密信息。N个有序的三粒子GHZ态序列可以表示为：$\{ [{P_1}(1),{P_1}(2),{P_1}(3)],$$[{P_2}(1),{P_2}(2),{P_2}(3)],$$[{P_n}(1),{P_n}(2),$${P_n}(3)]\} $。其中${P_n}(1)$表示第n个GHZ态的第1个粒子，${P_n}(2)$表示第n个GHZ态的第2个粒子，${P_n}(3)$表示第n个GHZ态的第3个粒子。由$\{ {P_1}(1),{P_2}(1), \cdots ,{P_n}(1)\} $构成的序列称为${S_1}$；$\{ {P_1}(2),{P_2}(2), \cdots ,{P_n}(2)\} $构成的序列称为${S_2}$；$\{ {P_1}(3),{P_2}(3), \cdots ,{P_n}(3)\} $构成的序列称为${S_3}$。

2) Bob制备一个含有M个三粒子W态${\left| \psi \right\rangle _{\rm{w}}} = \frac{1}{{\sqrt 3 }}{{\rm{(}}\left| {{\rm{000}}} \right\rangle {\rm{ + }}\left| {{\rm{110}}} \right\rangle {\rm{ + }}\left| {{\rm{001}}} \right\rangle {\rm{)}}_{{\rm{123}}}}$的有序序列作为蜜罐粒子序列，探测Bob给Alice发送信息时是否被窃听。其中每个W态的3个粒子称为一组，用${D_{{\rm{B}}{{\rm{A}}_i}}}$表示，$i = 1,2, \cdots ,M$，而组${D_{{\rm{B}}{{\rm{A}}_i}}}$中的3个粒子分别用${D_{{\rm{B}}{{\rm{A}}_{i{\rm{1}}}}}},$ ${D_{{\rm{B}}{{\rm{A}}_{i{\rm{2}}}}}},{D_{{\rm{B}}{{\rm{A}}_{i{\rm{3}}}}}}$表示，由${D_{{\rm{B}}{{\rm{A}}_i}}}$构成的序列表示为${D_{{\rm{BA}}}}$。

3) 按照2)中的办法，Bob制备探测其给Charlie发送信息时，是否有窃听的蜜罐粒子序列${D_{{\rm{BC}}}}$。

4) 按照2)中的办法，Alice制备探测其给Charlie发送信息时，是否有窃听的蜜罐粒子序列${D_{{\rm{AC}}}}$。

1.2 发送及窃听探测阶段

1) Bob对${S_2}$序列中的每个粒子随机进行${\rm{pauli\{ }}I{\rm{,}}{\sigma _z},{\sigma _x}{\sigma _{iy}}\} $操作，得到${S_2}^\prime $，Bob把${D_{{\rm{BA}}}}$序列中每个组的粒子随机插入到${S_1}$和${S_2}^\prime $序列，构成新的序列${S_1}^\prime $和${S_2}^{\prime \prime }$。如可以像下面这样插入：

${S_1}$序列${P_1}(1),{P_2}(1), \cdots ,{P_n}(1)$；

${S_1}^\prime $序列${P_1}(1),{D_{{\rm{B}}{{\rm{A}}_{{\rm{11}}}}}},{P_2}(1),{D_{{\rm{B}}{{\rm{A}}_{{\rm{13}}}}}}, \cdots ,{P_n}(1){D_{{\rm{B}}{{\rm{A}}_{1i}}}}$。

将${S_1}^\prime $和${S_2}^{\prime \prime }$发送给Alice。Bob通过经典信道告诉Alice蜜罐粒子的插入位置。

2) Alice收到Bob发送的粒子序列后按照Bob告诉的插入位置抽取出蜜罐粒子，并组装成${D_{{\rm{B}}{{\rm{A}}_i}}}$组，对每个${D_{{\rm{B}}{{\rm{A}}_i}}}$组进行W态${\left| \psi \right\rangle _{\rm{w}}} = \frac{1}{{\sqrt 3 }}{\rm{(}}\left| {{\rm{100}}} \right\rangle {\rm{ + }}$ $\left| {{\rm{010}}} \right\rangle {\rm{ + }}\left| {{\rm{001}}} \right\rangle {{\rm{)}}_{{\rm{123}}}}$检测，若测量结果是该W态，则表示没有窃听，否则有窃听。若无窃听，Alice丢弃蜜罐粒子，恢复${S_1}$和${S_2}^\prime $序列，进入下一步。

3) Bob把${D_{{\rm{BC}}}}$序列中每个组的粒子随机插入到${S_3}$序列，构成新的序列${S_3}^\prime $，发送给Charlie。其中插入蜜罐粒子的方式与1)中类似，Charlie通过与2)中类似的方法检测是否有窃听。若无窃听Alice丢弃蜜罐粒子，恢复${S_3}$序列，进入下一步。

4) Alice把其要传送给Charlie的信息，通过对${S_1}$序列和${S_2}^\prime $序列进行8个pauli-pairs操作：

$\begin{array}{*{20}{c}} {\{ {U_1} = {\sigma _z} \otimes {\sigma _z},{U_2} = I \otimes {\sigma _z},{U_3} = i{\sigma _y} \otimes {\sigma _z},}\\ {{U_4} = {\sigma _x} \otimes {\sigma _z},}\\ {\{ {U_5} = I \otimes {\sigma _x},{U_6} = {\sigma _x} \otimes {\sigma _z},{U_7} = {\sigma _x} \otimes {\sigma _x},}\\ {{U_4} = i{\sigma _y} \otimes {\sigma _x}\} } \end{array}$

进行编码，形成编码序列${C_1}$和${C_2}^\prime $。假设${U_1}$: 000，${U_2}$: 001，${U_3}$: 010，${U_4}$: 011，${U_5}$: 100，${U_6}$: 101，${U_7}$: 110，${U_8}$: 111。Alice把${D_{{\rm{AC}}}}$序列中每个组的粒子随机插入到${C_1}$和${C_2}^\prime $序列，发送给Charlie。其中插入蜜罐粒子的方式与1)中类似，Charlie通过与2)中类似的方法检测是否有窃听，若无窃听，Charlie丢弃蜜罐粒子，恢复${C_1}$和${C_2}^\prime $进入下一步。

5) Bob通过经典信道把对进行的pauli操作告诉Charlie，Charlie用相应的pauli操作对${C_2}^\prime $进行操作得到${C_2}$。Charlie对${C_1}$、${C_2}$、${S_3}$进行GHZ测量，通过与原始状态比较，得到Alice对${S_1}$和${S_2}^\prime $所做的操作，从而得到Alice发送给他的信息。

2 安全性分析 2.1 每个量子位的窃听探测率分析

当Bob把混有蜜罐粒子的粒子序列发送给Alice时，假设窃听者Eve在信道中窃听，由于他并不清楚窃听到的粒子是否蜜罐粒子，因此只能对所有粒子进行相同的攻击操作，假设Eve施与粒子的攻击操作为$E$，经过Eve的攻击操作后原来状态为$\left| 0 \right\rangle $的粒子变为$\left| {0'} \right\rangle $=$E \otimes \left| {0x} \right\rangle $=$\alpha \left| {0{x_0}} \right\rangle + \beta \left| {1{x_1}} \right\rangle $；原来状态为$\left| 1 \right\rangle $的粒子变为$\left| {1'} \right\rangle $=$E \otimes \left| {1x} \right\rangle $= $m\left| {0{y_0}} \right\rangle + n\left| {1{y_1}} \right\rangle $；其中$|\alpha {|^2} + |\beta {|^2} = 1$，$|m{|^2} + |n{|^2} = 1$。被Eve攻击后，联合系统的状态变为：

$\begin{array}{*{20}{c}} {{{\left| \psi \right\rangle }_{{\rm{Eve}}}} = E \otimes E \otimes E\left[ {\frac{1}{{\sqrt 3 }}(\left| {1x0x0x} \right\rangle + \left| {0x1x0x} \right\rangle + } \right.}\\ {\left. {\left| {0x0x1x} \right\rangle )} \right] = \frac{1}{{\sqrt 3 }}[(m\left| {0{y_0}} \right\rangle + n\left| {1{y_1}} \right\rangle ) \otimes (\alpha \left| {0{x_0}} \right\rangle + }\\ {\beta \left| {1{x_1}} \right\rangle ) \otimes (\alpha \left| {0{x_0}} \right\rangle + \beta \left| {1{x_1}} \right\rangle ) + (\alpha \left| {0{x_0}} \right\rangle + }\\ {\beta \left| {1{x_1}} \right\rangle ) \otimes (m\left| {0{y_0}} \right\rangle + n\left| {1{y_1}} \right\rangle ) \otimes (\alpha \left| {0{x_0}} \right\rangle + \beta \left| {1{x_1}} \right\rangle ) + }\\ {(\alpha \left| {0{x_0}} \right\rangle + \beta \left| {1{x_1}} \right\rangle ) \otimes (\alpha \left| {0{x_0}} \right\rangle + \beta \left| {1{x_1}} \right\rangle ) \otimes (m\left| {0{y_0}} \right\rangle + }\\ {n\left| {1{y_1}} \right\rangle )] = \frac{1}{{\sqrt 3 }}({\alpha ^2}m\left| {0{y_0}0{x_0}0{x_0}} \right\rangle + m\alpha \beta \left| {0{y_0}0{x_0}1{x_1}} \right\rangle + }\\ {m\beta \alpha \left| {0{y_0}1{x_1}0{x_0}} \right\rangle + m{\beta ^2}\left| {1{y_1}1{x_1}1{x_1}} \right\rangle + }\\ {n{\alpha ^2}\left| {1{y_1}0{x_0}0{x_0}} \right\rangle + \beta n\alpha \left| {1{y_1}0{x_0}1{x_1}} \right\rangle + }\\ {m\beta \alpha \left| {1{y_1}1{x_1}0{x_0}} \right\rangle + n{\beta ^2}\left| {1{y_1}1{x_1}1{x_1}} \right\rangle + }\\ {m{\alpha ^2}\left| {0{x_0}0{y_0}0{x_0}} \right\rangle + {\alpha ^2}n\left| {0{x_0}1{y_1}0{x_0}} \right\rangle + }\\ {\beta m\alpha \left| {1{x_1}0{y_0}0{x_0}} \right\rangle + n\alpha \beta \left| {1{x_1}1{y_1}0{x_0}} \right\rangle + }\\ {\alpha m\beta \left| {0{x_0}0{y_0}1{x_1}} \right\rangle + \alpha n\beta \left| {0{x_0}1{y_1}1{x_1}} \right\rangle + }\\ {{\beta ^2}m\left| {1{x_1}0{y_0}1{x_1}} \right\rangle + {\beta ^2}n\left| {1{x_1}1{y_1}1{x_1}} \right\rangle + }\\ {{\alpha ^2}m\left| {0{x_0}0{x_0}0{y_0}} \right\rangle + \alpha \beta m\left| {0{x_0}1{x_1}0{y_0}} \right\rangle + }\\ {\alpha \beta m\left| {1{x_1}0{x_0}0{y_0}} \right\rangle + {\beta ^2}m\left| {1{x_1}1{x_1}0{y_0}} \right\rangle + }\\ {{\alpha ^2}n\left| {0{x_0}0{x_0}1{y_1}} \right\rangle + \alpha \beta n\left| {0{x_0}1{x_1}1{y_1}} \right\rangle + }\\ {\alpha \beta n\left| {1{x_1}0{x_0}1{y_1}} \right\rangle + {\beta ^2}n\left| {1{x_1}1{x_1}1{y_1}} \right\rangle )} \end{array}$

Alice正确测量每一位蜜罐粒子的概率即每一位没有窃听的概率为：

$p(\left| {{\psi _E}} \right\rangle ) = \frac{1}{3}(3|n{\alpha ^2}{|^2} + 6|\alpha \beta m{|^2})$

令$|\alpha {|^2} = a$，$|\beta {|^2} = b$，$|m{|^2} = s$，$|n{|^2} = t$，则，$p(\left| {{\psi _E}} \right\rangle ) = \frac{1}{3}(3t{a^2} + 6abs)$。由于$a + b = 1$，$s + t = 1$，$ p(\left| {{\psi _E}} \right\rangle ) = \frac{1}{3}(3t{a^2} + 6a - 6at - 6{a^2} - 6{a^2}t)$。

每一位被Eve窃听且被探测到的概率的下界为：

${d_{{\rm{low}}}} = 1 - p(\left| {{\psi _E}} \right\rangle ) = 1 - \frac{1}{3}(3t{a^2} + 6a - 6at - 6{a^2} - 6{a^2}t)$

可以认为二进制信道的香农熵即为一位量子位所表示的二进制信息所包含的最大信息量。若Bob发送给Alice的粒子处于$|0\rangle $态，则该$|0\rangle $态量子态所包含的最大信息量为：

${I_{|0\rangle }} = - a{\log _2}a - (1 - a){\log _2}(1 - a) = H(a)$

若Bob发送给Alice的粒子处于$\left| 1 \right\rangle $态，则该$\left| 1 \right\rangle $态量子态所包含的最大信息量为：

${I_{|1\rangle }} = - n{\log _2}n - (1 - n){\log _2}(1 - n) = H(n)$

由于Bob发送给Alice的粒子被检测处于$\left| 0 \right\rangle $态和$\left| 1 \right\rangle $态的概率相同，都为0.5，因此可取$a = h$。则对于一个量子位，Eve可以窃听到的总信息量为：

$ I = {I_{|0\rangle }} + {I_{|1\rangle }} = \frac{1}{2}[H(a) + H(h)] = H(a) $

此时：

$p(\left| {{\psi _E}} \right\rangle ) = 2a - 2{a^2} - {a^3}\\{d_{{\rm{low}}}} = 1 - 2a - 2{a^2} - {a^3}$

由此可以求得，当$I = 1$时，${d_{{\rm{low}}}} = $0.64。即当Eve想要窃听一位量子位上所携带的全部信息时，被探测到的概率至少为64%。

文献[9]中利用扩展三粒子GHZ态作为蜜罐进行窃听探测，得到的每位量子位上全部信息被窃听且被探测到的概率至少为58%，而本文中利用三粒子W态得到的每位量子位上全部信息被窃听且被探测到的概率至少为64%。

2.2 double-CNOT攻击

文献[8]中基于GHZ态的受控量子安全直接通信协议中存在double-CNOT攻击，即Charlie利用自己是合法通信者的身份窃听到Alice在对粒子1和粒子2编码前粒子1和粒子2的关系，因此Charlie可以在没有经过控制者Bob的同意下得到33.3%的秘密信息。本文的方案中，Bob在给Alice发送粒子序列之前分别对粒子序列${S_1}$和${S_2}$进行了随机插入蜜罐粒子和随机pauli操作，因此如果Charlie能够窃听到发送前的粒子对状态，但由于发送前的粒子中插入了蜜罐序列，Charlie得到的发送前的粒子位与Alice接收后并去除蜜罐粒子后剩余的粒子位不是一一对应。因此，在没有Bob同意的情况下Charlie无法得到秘密信息。本文方案中每一次粒子序列发送时都伴随有蜜罐粒子，而且每一量子位被探测到的概率至少为64%，因此Charlie如要窃听，很容易被发现。

3 结论

DCQSDC协议中利用三粒子W态中的每个粒子作为蜜罐粒子来探测窃听者，达到了每量子位64%的探测率，通过将这种蜜罐粒子引入到基于GHZ态的CQSDC协议中，有效防止了double-CNOT攻击。同时与文献[9]协议相比，DCQSDC协议中用三粒子W态蜜罐达到了比三粒子扩展GHZ态高8%的窃听检测率。