秀尔算法

版权所有 (c) 2021 百度量子计算研究所，保留所有权利。

背景介绍

整数分解（Integer Factorization）指将一个正整数 $N$ 分解为若干更小（大于 $1$ 的）正整数的乘积，比如 $45=5\times 9$。若这些更小的整数均为素数，这种分解又称为素因数分解（Prime Factorization），比如 $45=3\times 3\times 5=3^2\times 5$。由

正整数的素因数分解唯一，继而正整数的素因数分解问题方才有意义。整数分解问题历史悠久，上述算数基本定理可考的证明最早可以追溯到古希腊数学家欧几里得的著作《几何原本》。

现代密码学中最重要的公开密钥密码体系（Public Key Cryptosystem）之一 RSA 便是基于素因数分解问题提出的，该公钥体系的安全性正是基于整数分解问题的困难性。目前已知的渐近运行时间最好的经典算法是普通数域筛选法（General Number Field Sieve${}^{\left[1\right]}$），其运行时间是

秀尔算法（Shor's Algorithm），是秀尔在 1994 年提出的量子算法${}^{\left[2\right]}$，可以在多项式时间

给出 $N$ 的一个整数分解。进而表明整数分解问题属于复杂度类 BQP，是量子计算机可以高效求解的一个问题。由于 RSA 密码体系的安全性依赖于整数分解问题的困难性，秀尔算法的提出使得这些密码体系在量子计算机面前不再安全。为了让更多的读者更好地了解量子算法特别是秀尔算法的魅力，我们将先介绍整体的算法流程与框架，再给出基于量易伏平台的具体用例，将更详细的技术细节后置于附录，以供想要深入研究的同学进一步学习。

章节目录

• 我们在第 2 段介绍秀尔算法的经典部分和一些需要引入的简单知识，并在算法 11 中给出完整的秀尔算法流程，大量的证明和细节留到第 6 段供感兴趣的读者深入阅读；

• 我们在第 3 段介绍秀尔算法的量子部分——量子求阶算法，部分证明也留到第 6 段再补充；

• 我们在第 4 段中使用量子编程平台量易伏给出两个例子——分解 $15$ 和 $63$，供读者自己体验一下量子编程的乐趣；

• 我们在第 6 段中补充定理的证明及算法的一些细节，不同部分需要的知识储备不尽相同，这里将其分为 5 个部分，供读者自行抉择：

  • 6.1 子段补充量子求阶算法中 $U_{a,N}$ 门的本征值本征向量相关内容，需要一点点线性代数的知识背景；
  • 6.2 子段补充量子求阶算法中连分数展开这一步骤的正确性的证明，不需要知识背景但证明略繁琐需要读者的耐心；
  • 6.3 子段补充量子求阶算法成功概率相关内容，需要一点点初等数论的知识背景；
  • 6.4 子段补充秀尔算法搜索 $a$ 具有“良性”的概率，更紧的下界需要一些抽象代数的知识背景；
  • 6.5 子段补充 $U_{a,N}$ 门的分解，这是物理实现必要的步骤，这里给出了参考文献供读者延伸阅读。

算法总览

阅读本节后续内容需要一些基本的数学背景知识如下：

1. 记整数集合为 $Z$，正整数集合为 $N^{\ast }$；
2. 给定整数 $N,a$，若 $N/a$ 也是整数，称 $a$ 整除（Divide） $N$，$a$ 是 $N$ 的 因数（Factor），记为 $a|N$；否则称 $a$ 不整除 $N$，记为 $a\nmid N$；$N$ 的平凡因数指 $\pm 1$ 和 $\pm N$；
3. 素数（Prime） 指没有非平凡因数的正整数，正 合数（Composite） 指既不是素数也不是 $1$ 的正整数；
4. 偶数必然有素因数 $2$，负数的因数与其相反数无异；
5. 两个整数的 最大公因数（Greatest Common Divisor） 定义为同时整除这两个整数的最大的正整数，记为 $gcd(\cdot ,\cdot )$，可以使用 欧几里得辗转相除法 高效计算；称最大公因数为 $1$ 的两个整数互素；
6. 给定整数 $a,b,N$，若 $N|(a-b)$，称 $a$ 与 $b$ 模 $N$ 同余，记为 $a\equiv b\left(\mathrm{mod}N\right)$；
7. 给定互素的整数 $a$ 和 $N$，若 $r$ 是使得 $a^r\equiv 1\left(\mathrm{mod}N\right)$ 的最小正整数，称 $r$ 为 $a$ 模 $N$ 的 阶，记为 $r=ord(a,N)$。

我们重申整数分解问题和素因数分解问题，并引入素数判定问题如下：

关于素数判定问题，目前已知的最好的经典算法是确定性的多项式时间算法—— AKS 素数测试算法${}^{[3,4]}$。

因为素数判定问题可以有效解决，所以这里关于整数分解和素因数分解的问题描述，便可改为更一般地表达，去掉输入为合数这一个条件。并且我们可以声明：素因数分解问题可以多项式归约到整数分解问题，也就是说如果存在求解整数分解问题的多项式时间算法，那么存在求解素因数分解问题的多项式时间算法：比如我们要求 $N$ 的素因数分解，通过整数分解算法找到了一个非平凡因子 $a$，那么 $N=a\times \left(\frac{N}{a}\right)$ 就是 $N$ 的一个整数分解。我们分别对 $a$ 和 $\frac{N}{a}$ 递归地做整数分解算法，直到每个因数都是素数（通过素数判定算法检验），整个过程就是一个素因数分解算法。这个素因数分解算法的复杂度为：$($ 素数判定的复杂度 $+$ 整数分解的复杂度 $)\times$ 迭代次数，这里迭代次数 $<N$ 的各素因数重数和的两倍 $<2{\log }_{2}N$，这里 $N$ 关于素因子 $p$ 的重数指使得 $p^m|N$ 的最大整数 $m$。故而上述归约是多项式归约。

故我们只需要考虑整数分解问题。

给定输入正整数 $N$ 后我们可以调用 AKS 素数测试算法，判断 $N$ 是否是素数，如果它是素数，返回 $\varnothing$ 表示 $N$ 没有非平凡因数。如果它不是素数，那么它一定是合数。有两类合数很容易地判断出来，同时也能找到其非平凡因数：偶数和整数幂。偶数的判定是简单的，我们用计算 $N/2$，若它是整数，$N$ 便有非平凡因数 $2$；否则 $N$ 就不是偶数，即奇数。

整数幂是指形如 $a^m$ 的一类合数，其中 $a$ 和 $m$ 是大于 $1$ 的整数，例如 $3^2$，$4^2$ 和 $6^6$ 等等。我们可以用以下算法判断正合数 $N$ 是不是整数幂：

for m in range(2, int(math.log(N,2)) + 1):
    a = int(N ** (1 / m))
    if N == a ** m
        return [a,m]
return False 

这里 int(N ** (1 / m)) 可以用数值方法计算，确保多项式时间内可以完成整数幂的判定。特别地，当已知 $N$ 是奇数时，int(math.log(N,2)) 可以改为 int(math.log(N,3))。如果 $N$ 是整数幂，算法 5 返回的因数 $a$ 便是 $N$ 的一个不平凡因数。

经过素数判定、偶数判定和整数幂判定之后，我们便可假设正整数 $N$ 是奇合数且不是整数幂，也就是说 $N$ 是至少包含两个不同的奇素因数的奇合数（否则 $N$ 是奇数且只含有一种素因数可以推出 $N$ 是某个素数的幂，与 $N$ 不是整数幂矛盾）。至此才进入狭义的整数分解问题：

对于这一问题有着非常多的经典求解办法，秀尔基于其中一种思路给出了量子版本的算法：基于量子求阶算法的整数分解算法。

我们再来回顾一下阶的概念：

如果我们知道整数 $a$ 和其模 $N$ 的阶 $r$，便有 $N|(a^r-1)$。若追加假设 $r$ 是偶数，那么由平方差公式有 $N|(a^{r/2}-1)(a^{r/2}+1)$，由阶定义中的最小性知 $N\nmid (a^{r/2}-1)$。若再追加假设 $N\nmid (a^{r/2}+1)$ 即 $a^{r/2}\equiv ̸-1\left(\mathrm{mod}N\right)$，有 $N\nmid (a^{r/2}\pm 1)$ 但 $N\mid (a^{r/2}-1)(a^{r/2}+1)$。故而 $gcd(N,a^{r/2}\pm 1)$ 均为 $N$ 的不平凡因数。更详细准确的证明可以参照下述定理 10。

这里的“良性”是为了简化表述给出的称谓，无通用正式的术语。我们依旧在不引发歧义时略去“模 $N$”以简化表述。

我们已经知道“良性”的 $a$ 及其阶 $r$ 可以诱导出 $N$ 的非平凡因子，但如何找到“良性”的 $a$ 和如何计算 $a$ 的阶都是尚未解决的问题。但是如果我们有对任意的 $a$ 和 $N$ 可以计算阶 $ord(a,N)$ 的算法，便可随机抽选整数 $a$，然后计算其阶 $r$，再判断 $a$ 是不是“良性”的，若其是“良性”的，便可返回 $gcd(N,a^{r/2}\pm 1)$ 为 $N$ 的不平凡因数；否则重新抽选 $a$，并重复上述流程。特别地，如果我们抽选到的 $a$ 与 $N$ 不互素，虽然 $a$ 的阶不存在，但 $ord(a,N)$ 已经是 $N$ 的一个非平凡因数了，此时也没必要进入求阶步骤了。

在例 9 中我们指出若 $a$ 模 $N$ 是“良性”的，其便能诱导 $N$ 的一个不平凡的分解，这里更准确地表述成定理如下：

秀尔算法是对整数分解问题的一个经典求解算法的量子改进：

1. 两者均将整数分解问题转化为求阶问题（Order-Finding）；
2. 秀尔在求阶问题上获得了突破，提出了量子求阶算法（Quantum Order-Finding Algorithm）；
3. 将量子求阶算法替换经典算法中求阶的步骤，便可得到量子版本的整数分解算法，即秀尔算法。

关于求阶这一步骤我们将在下一段中展开，这也是秀尔算法中唯一量子的部分。作为本段的最后，我们总结一下秀尔算法的流程如下：

关于秀尔算法复杂度的分析需要 6.3 子段分析算法 11 步骤 8 的成功概率，以及 6.4 子段分析算法 11 步骤 9 发生循环的概率作为支撑。

量子求阶算法

因为算法旨在求解 $a$ 模 $N$ 的阶 $ord(a,N)$，我们称其为量子求阶算法。考虑到

为周期函数，其（最小正）周期恰是 $ord(a,N)$，量子求阶算法可作为 量子周期求解算法（Period-Finding）的一个特例，这里 $x\text{mod}y:=x-y\lfloor x/y\rfloor \in \{0,\cdots ,y-1\}$ 是 $x$ 除以 $y$ 的余数。从本质上讲，量子相位估计算法也是量子周期求解算法的一个特例，但是从周期求解算法的方式来理解量子求阶算法和量子相位估计算法相对要困难一些，感兴趣的同学可以自行尝试了解${}^{\left[5\right]}$。

秀尔的量子求阶算法基于量子相位估计算法，将阶这一信息编码到某个量子门（或量子子电路）的本征相位上去，借由相位估计算法估计出该相位，进而可以恢复出阶的值。

将阶编码到本征相位

给定 $a\in \{2,\cdots ,N-1\}$ 与 $N$ 互素，现要求解 $a$ 模 $N$ 的阶 $r=ord(a,N)$。使用 $L=\lceil {\log }_2(N+1)\rceil$ 个量子比特来编码，设有量子门

我们可以计算（证明参见附录 6.1 子段。）

为了让读者们更清晰的看到 $U_{a,N}$ 及其性质，我们给出如下例子：

当我们对算符 $U_{a,N}$ 及其本征态 $|u_s⟩$ 执行量子相位估计算法时便可得到相位参数 $s/r$ 的一个估计，借助连分数展开算法便有概率恢复出其分母 $r$。

考虑到在 $r$ 未知的前提下，我们无法制备量子态 $|u_s⟩$，但我们有如下恒等式（证明参见附录 6.1 子段）：

当我们对算符 $U_{a,N}$ 及量子态 $|1⟩$ 执行量子相位估计算法时，可以得到相位参数 $\{s/r|s=0,1,\cdots ,r-1\}$ 的估计值的一个叠加态，记为混态 $\rho =\{1/r,|2^t\widetilde{s/r}⟩\}$（相位估计算法输出的是两个寄存器，当我们只关心辅助寄存器时，它的状态就是一个混态）。关于混态的系综表示可以参考 1.4 节，这里可以简单理解为对该叠加态的辅助寄存器进行测量时如同先以概率 $1/r$ 抽选到量子态 $|2^t\widetilde{s/r}⟩$，再对 $|2^t\widetilde{s/r}⟩$ 进行测量。这里相位估计算法的精度取 $2^{-2L-1}$，如果在辅助寄存器使用 $t=2L+1+\lceil {\log }_2(1+\frac{2}{ϵ{\pi }^2})\rceil$ 个量子比特，相位估计算法的成功概率不少于 $1-ϵ$（符号和理论的正确性参照 4.3 节）。

连分数展开解码相位为阶

当我们对辅助寄存器 $\rho$ 用计算基进行测量后，设测量结果为 $|m⟩$，我们有至少 $1-ϵ$ 的把握认为存在 $s$ 使得 $2^{-t}m$ 是 $s/r$ 的一个 $2^{-2L-1}$-估计。对 $2^{-t}m$ 做连分数展开，并依次计算其截断 $p/q$ 的分母 $q$，找到满足条件 $q<N$ 的最大分母 $q$。

这里举例演示一下连分数展开算法，更多细节参考篇末的附录 6.2 子段：

这里可以恢复出 $r$ 的概率 $\phi \left(r\right)/r$ 没有良好的下界，也就是说存在极端的情况 $\phi \left(r\right)/r$ 趋近于 $0$，为了提高恢复出 $r$ 的概率，目前最好的办法是执行两次求阶算法并计算分母的最小公倍数：

本定理的证明参阅附录 6.3 子段。

总结

本段的最后，我们再总结一下量子求阶算法，并将在下段给出两个具体的例子。

算法 18 步骤 4 的成功率不小于 $60.7\%\cdot (1-ϵ{)}^2$。特别地，取 $t=2L+1+3$ 时，$ϵ=2.895\%$，算法 18 步骤 4 的成功概率不小于 $57.3\%$，此时执行至多 $4$ 次步骤 4 可以使计算出 $ord(a,N)$ 的概率不少于 $96.6\%$ 。关于量子门 $U_{a,N}$ 的制备可以参阅附录 6.5 子段；更多的细节以及证明也请参考篇末的附录，其需要更多的数学背景知识。

简例与量易伏平台演示

在本小节中，我们使用量易伏平台来演示秀尔算法。 我们首先使用 QComposer 分解一个简单的例子——$15=3\times 5$，并给出对应电路图。然后考虑一个更复杂的例子——$63=3^2\times 7$，并给出基于混合语言编程的代码。

分解 $15$

依次做素数判定、偶数判定和整数幂判定，知 $15$ 满足狭义的整数分解的输入条件。 随机选取 $a\in [2,13]$ 得到 $a=2$（我们这里先随机拿到了 $9$ 和 $5$，为了更好地演示算法重新随机得到了这个值）。 验证知 $gcd(2,15)=1$，进入量子求阶算法求 $ord(2,15)$。（$gcd(9,15)=3$，$gcd(5,15)=5$ 均可经典地得到 $15$ 的分解。）

我们需要 $L=\lceil {\log }_2(15+1)\rceil =4$ 个量子比特来编码算符 $U_{2,15}$（本子段中也简记为 $U$）：

我们可以用如下电路实现 $C\left(U_{2,15}\right)$，第 $0$ 比特控制作用在第 $1,2,3,4$ 比特上的一个 $U_{2,15}$ 门的一种电路分解如下图 1 所示：

对应 OPENQASM 代码如下：

OPENQASM 2.0;
include "qelib1.inc";
qreg q[6];
creg c[6];
ccx q[0], q[4], q[1];
ccx q[0], q[4], q[2];
ccx q[0], q[4], q[3];
ccx q[0], q[3], q[4];
ccx q[0], q[4], q[3];
ccx q[0], q[2], q[3];
ccx q[0], q[3], q[2];
ccx q[0], q[1], q[2];
ccx q[0], q[2], q[1];

相位估计算法中还需要用到其它 $C\left(U_{2,15}^{2^j}\right)$门:

这里 ${\mathrm{CSWAP}}_{j,k,l}$ 为第 $j$ 比特为控制比特、以第 $k$ 和 $l$ 比特为受控比特的 $\mathrm{CSWAP}$ 门。 使用 $2L+1=9$ 个量子比特估计量子态 $|0001⟩$ 的相位，QComposer 中的电路如下图 2 所示（这里略去了可以忽略的 $I$ 门）：

其对应的 OPENQASM 代码如下：

OPENQASM 2.0;
include "qelib1.inc";
qreg q[13]; // q[0],...,q[8] 为辅助寄存器，q[9],...,q[12] 为工作寄存器
creg c[13];
x q[12]; // 制备初始状态|0>|1>，下面开始执行相位估计算法
h q[0];
h q[1];
h q[2];
h q[3];
h q[4];
h q[5];
h q[6];
h q[7];
h q[8]; // 相位估计的辅助步，对辅助寄存器取平均叠加完毕
ccx q[8], q[12], q[9];
ccx q[8], q[12], q[10];
ccx q[8], q[12], q[11];
ccx q[8], q[11], q[12];
ccx q[8], q[12], q[11];
ccx q[8], q[10], q[11];
ccx q[8], q[11], q[10];
ccx q[8], q[9], q[10];
ccx q[8], q[10], q[9]; // 上一注释至此实现了 C(U) 门，q[8] 控制工作寄存器
cswap q[7], q[9], q[11];
cswap q[7], q[10], q[12]; //上一注释至此实现了 C(U^2) 门，q[7] 控制工作寄存器
// 略去为 I 的其他 C(U^(2^j)) 门，准备开始对辅助寄存器做逆傅里叶变换
swap q[0], q[8];
swap q[1], q[7];
swap q[2], q[6];
swap q[3], q[5];
h q[8];
cu(0, 0, -pi/2) q[8], q[7];
h q[7];
cu(0, 0, -pi/4) q[8], q[6];
cu(0, 0, -pi/2) q[7], q[6];
h q[6];
cu(0, 0, -pi/8) q[8], q[5];
cu(0, 0, -pi/4) q[7], q[5];
cu(0, 0, -pi/2) q[6], q[5];
h q[5];
cu(0, 0, -pi/16) q[8], q[4];
cu(0, 0, -pi/8) q[7], q[4];
cu(0, 0, -pi/4) q[6], q[4];
cu(0, 0, -pi/2) q[5], q[4];
h q[4];
cu(0, 0, -pi/32) q[8], q[3];
cu(0, 0, -pi/16) q[7], q[3];
cu(0, 0, -pi/8) q[6], q[3];
cu(0, 0, -pi/4) q[5], q[3];
cu(0, 0, -pi/2) q[4], q[3];
h q[3];
cu(0, 0, -pi/64) q[8], q[2];
cu(0, 0, -pi/32) q[7], q[2];
cu(0, 0, -pi/16) q[6], q[2];
cu(0, 0, -pi/8) q[5], q[2];
cu(0, 0, -pi/4) q[4], q[2];
cu(0, 0, -pi/2) q[3], q[2];
h q[2];
cu(0, 0, -pi/128) q[8], q[1];
cu(0, 0, -pi/64) q[7], q[1];
cu(0, 0, -pi/32) q[6], q[1];
cu(0, 0, -pi/16) q[5], q[1];
cu(0, 0, -pi/8) q[4], q[1];
cu(0, 0, -pi/4) q[3], q[1];
cu(0, 0, -pi/2) q[2], q[1];
h q[1];
cu(0, 0, -pi/256) q[8], q[0];
cu(0, 0, -pi/128) q[7], q[0];
cu(0, 0, -pi/64) q[6], q[0];
cu(0, 0, -pi/32) q[5], q[0];
cu(0, 0, -pi/16) q[4], q[0];
cu(0, 0, -pi/8) q[3], q[0];
cu(0, 0, -pi/4) q[2], q[0];
cu(0, 0, -pi/2) q[1], q[0];
h q[0]; // 逆傅里叶变换结束，相位估计算法进入测量阶段
measure q[8] -> c[8];
measure q[7] -> c[7];
measure q[6] -> c[6];
measure q[5] -> c[5];
measure q[4] -> c[4];
measure q[3] -> c[3];
measure q[2] -> c[2];
measure q[1] -> c[1];
measure q[0] -> c[0];

某次运行结果如下：

{
    "000000011": 237,
    "000000010": 257,
    "000000000": 269,
    "000000001": 261
}

测量结果大约为等频率的 $|000000000⟩$，$|010000000⟩$，$|100000000⟩$ 和 $|110000000⟩$，分别对应真分数 $0$，$1/4$，$1/2$ 和 $3/4$。这里仅 $3/4$ 可以做连分数展开：

其第 $1$ 截断为 $1$。

故而每次相位估计算法有约 $1/2$ 的概率可以得到正确结果 $ord(2,15)=4$，两次实验有约 $3/4$ 的概率可以得到正确结果。 由 $2^{4/2}=4\equiv ̸-1\left(\mathrm{mod}15\right)$ 知 $15|(4-1)(4+1)$ 诱导了 $15$ 的一个不平凡的分解：

至此完成了秀尔算法分解 $15$ 的演示。

后话：代码演示中“略去为 $I$ 的其他 $C\left(U^{2^j}\right)$ 门”有循环论证之嫌，正确的演示应当将这些门逐个分解，而不是利用理论证明的方法计算得出 $C\left(U^{2^j}\right)=I$，在下一子段中，我们在演示 $63$ 的分解时避开了这一问题。

分解 $63$

在本子段中，我们基于混合语言编程给出秀尔算法的演示代码，推荐读者在本地使用 QCompute SDK 进行模拟实验。

选取 $a=2$，验证知 $gcd(2,63)=1$，进入量子求阶算法求 $ord(2,63)$。我们需要 $L=\lceil {\log }_2(63+1)\rceil =6$ 个量子比特来编码算符 $U_{2,63}$（本子段中也简记为 $U$），使用 $2L+1=13$ 个辅助量子比特来估计相位。考虑到 $j>0$ 时，

这里 $j\text{mod}2$ 表示 $j$ 除以 $2$ 的余数 $\in \{0,1\}$。故而我们只需要分解门 $C\left(U\right)$，$C\left(U^2\right)$ 和 $C\left(U^4\right)$（细节详见下述代码）。量易伏中的代码如下：

import numpy as np
from QCompute import *


# 初始化量子环境，选择使用本地自研模拟器
# 注：量易伏也支持云端模拟器和真机后端，访问 https://quantum-hub.baidu.com/ 获取更多信息。
env = QEnv()
env.backend(BackendName.LocalBaiduSim2)

pi = np.pi
L = 6  # 编码 U 门需要的量子比特数、工作寄存器的量子比特数
N = 3 * L + 1  # 算法需要使用的总量子比特数
t = 2 * L + 1  # 相位估计算法所需的辅助比特数、辅助寄存器的量子比特数

q = [env.Q[i] for i in range(0, N)]  # 量子比特的列表

X(q[N - 1])  # 在工作寄存器制备初始状态 |1>，下面开始执行相位估计算法

# 相位估计的第一步，对辅助寄存器取平均叠加完毕，下面开始将相位估计算法的转存步骤
for i in range(0, t):
    H(q[i])

# 实现门 C(U)，辅助寄存器的最后一个量子比特控制工作寄存器
CCX(q[2 * L], q[t + 5], q[t + 0])
CCX(q[2 * L], q[t + 5], q[t + 1])
CCX(q[2 * L], q[t + 5], q[t + 2])
CCX(q[2 * L], q[t + 5], q[t + 4])
CCX(q[2 * L], q[t + 5], q[t + 3])
CCX(q[2 * L], q[t + 4], q[t + 5])
CCX(q[2 * L], q[t + 5], q[t + 4])
CCX(q[2 * L], q[t + 3], q[t + 4])
CCX(q[2 * L], q[t + 4], q[t + 3])
CCX(q[2 * L], q[t + 2], q[t + 3])
CCX(q[2 * L], q[t + 3], q[t + 2])
CCX(q[2 * L], q[t + 1], q[t + 2])
CCX(q[2 * L], q[t + 2], q[t + 1])
CCX(q[2 * L], q[t + 0], q[t + 1])
CCX(q[2 * L], q[t + 1], q[t + 0])

# 依次作用其他 C(U^(2^j)) 门
s = 2 * L - 1
while s >= 0:
    if s % 2 == 1:
        CCX(q[s], q[t + 5], q[t + 1])
        CCX(q[s], q[t + 5], q[t + 3])
        CCX(q[s], q[t + 4], q[t + 0])
        CCX(q[s], q[t + 4], q[t + 2])
        CCX(q[s], q[t + 3], q[t + 5])
        CCX(q[s], q[t + 5], q[t + 3])
        CCX(q[s], q[t + 2], q[t + 4])
        CCX(q[s], q[t + 4], q[t + 2])
        CCX(q[s], q[t + 1], q[t + 3])
        CCX(q[s], q[t + 3], q[t + 1])
        CCX(q[s], q[t + 0], q[t + 2])
        CCX(q[s], q[t + 2], q[t + 0])  # 本条件下的门组合后即门 C(U^2)
    else:
        CCX(q[s], q[t + 5], q[t + 1])
        CCX(q[s], q[t + 5], q[t + 3])
        CCX(q[s], q[t + 4], q[t + 0])
        CCX(q[s], q[t + 4], q[t + 2])
        CCX(q[s], q[t + 3], q[t + 5])
        CCX(q[s], q[t + 3], q[t + 1])
        CCX(q[s], q[t + 5], q[t + 3])
        CCX(q[s], q[t + 2], q[t + 4])
        CCX(q[s], q[t + 2], q[t + 0])
        CCX(q[s], q[t + 4], q[t + 2])
        CCX(q[s], q[t + 1], q[t + 5])
        CCX(q[s], q[t + 5], q[t + 1])
        CCX(q[s], q[t + 0], q[t + 4])
        CCX(q[s], q[t + 4], q[t + 0])  # 本条件下的门组合后即门 C(U^4)

# 逆傅里叶变换中的 swap 步骤
for i in range(0, t // 2):
    SWAP(q[i], q[t - i - 1])

# 逆傅里叶变换中的控制旋转步骤
for i in range(0, t - 1):
    H(q[t - i - 1])
    for j in range(0, i + 1):
        CRZ(-pi / 2 ** (i - j + 1))(q[t - j - 1], q[t - i - 2])
        RZ(-pi / 2 ** (i - j + 2))(q[t - j - 1])
H(q[0])

# 完成逆傅里叶变换，完成相位估计算法，等待测量
MeasureZ(q[:L], range(0, L))  # 只测量辅助寄存器即前 L 个比特
env.commit(8192, downloadResult=False)