基于单光子的多方半量子秘密共享方案

李雪杨 昌 燕 张仕斌 代金鞘 郑 涛

(成都信息工程大学网络空间安全学院 四川 成都 610225)

0 引 言

量子秘密共享是量子密码学的一个重要分支，它是经典秘密共享和量子理论的结合，它使得秘密信息(经典信息或量子编码信息)通过量子操作分发、传输和恢复。量子秘密共享的安全性基于量子力学的基本原理，这使得量子秘密共享比传统的秘密共享更为安全。

最早的量子秘密共享方案由Hillery等[1]提出，该方案采用Greenberger-Horne-Zeilinger(GHZ)纠缠态粒子完成了秘密共享。此后，越来越多的基于Bell纠缠态或多粒子纠缠态的量子秘密共享方案被提出[2-8]。然而，Bell态或多粒子纠缠态制备的困难性表明基于纠缠态的量子秘密共享方案在某些情况下是不值得的，毕竟实用性是量子信息论的重要追求，这些技术障碍使得此类量子秘密共享方案的实用性大大降低。对此，Guo等[9]提出一种无纠缠的量子秘密共享方案，该方案利用单粒子完成了经典信息的秘密共享。Yan等[10]提出一种无纠缠的多方和多方之间的量子秘密共享方案，但随后文献[11]指出该方案在粒子传输上存在安全隐患，造成秘密信息泄露，并给出了相应改进措施。此类量子秘密共享方案虽然没有采用纠缠态粒子的纠缠特性完成秘密共享，但很难保证粒子传输的安全性。且现有的量子秘密共享协议大都要求通信双方具有完备量子能力，成本和量子资源的限制严重阻碍了量子秘密共享实现商业化和大众化。

半量子密码通信是量子通信的一个研究分支，指具有完备量子能力和存在限制量子能力的通信者间的通信。它不要求通信双方都具有完备的量子能力，却又通过量子力学特性提升了通信过程的安全性，同时减少了对量子设备资源的依赖。Boyer等[12]提出了半量子协议的定义和应用思路，并基于半量子思想提出了第一个基于BB84的半量子密码协议。此后，研究人员开始研究基于半量子思想的量子密码协议，将半量子密码概念应用于量子密钥分发、量子直接通信、量子隐私比较、量子秘密共享等量子密码学任务[13-16]。Li等[17]将半量子思想扩展到量子秘密共享，提出了两个基于类GHZ态的半量子秘密共享方案。Wang等[18]提出了一种基于两粒子纠缠态的半量子秘密共享方案。Li等[19]提出了一种两粒子乘积态的半量子秘密共享方案，用|+〉|+〉态作为初始态，完成了三方秘密共享，这使得量子秘密共享方案更具有实用性且减少了量子资源的消耗。Xie等[20]提出了一种基于类GHZ态的半量子秘密共享协议；Ye等[21]提出了一种基于单光子的环形半量子秘密共享协议。可见，半量子通信是一种具有实践意义的通信方案，它在保证通信安全性的同时大大减少了对量子资源的依赖。受半量子密码启发，本文提出一种基于单光子的多方半量子秘密共享方案，仅采用单粒子完成多方之间的秘密共享，且降低了对量子设备的依赖，便于在实践中实施。

1 预备知识

1.1 量子秘密共享

量子秘密共享是经典秘密共享与量子密码的结合，它基于量子力学的特性来提升秘密共享的安全性。量子秘密共享中秘密分发者将经典信息编码拆分为量子态，参与者通过量子通信收到量子态后，通过量子操作恢复出秘密信息的一部分，每个参与者只能通过诚实合作才能恢复出原始秘密信息。

1.2 半量子密码通信

半量子密码通信指通信双方中一方拥有完备量子能力(量子方)，另一方拥有受限的量子能力(经典方)，规定经典方只能进行如下操作：

(1)用Z基测量粒子；

(2)不测量粒子，将粒子直接反射给量子方；

(3)以Z基制备粒子发送给量子方；

(4)重新对收到的粒子序列进行排序。

半量子密码通信不严格要求通信双方具有完备量子能力，减少了对量子资源的依赖，却又具备量子密码的特性，提升了安全性。

2 方案设计

假设秘密分发者Alice准备和n个接收者Bobi完成长度为M的秘密信息共享。Alice拥有量子能力，而Bobi只拥有经典能力。为完成与Bobi共享Alice密钥的任务，本文采用单光子构造了多方半量子秘密共享方案。

定义经典方Bobi拥有的两种操作：

(1)用Z基({|0〉,|1〉})测量收到的粒子，并制备一个相同量子态的新粒子发送给Alice(简称为MEASURE)。

(2)将粒子没有干扰地返回给Alice(简称为REFLECT)。

方案具体步骤如下：

步骤1秘密分发者Alice制备一串长度为M+T的单光子序列|S〉，其中每个单光子|Si〉随机处于四个量子态{|0〉,|1〉,|+〉,|-〉}之一。

步骤2Alice将|S〉发送给接收方Bob1。Bob1收到来自Alice的所有粒子后，Bob1随机的选择M个粒子进行MEASURE，并对剩下的T个粒子进行REFLECT。Bob1将M个粒子的测量结果表示为经典信息，记为KB1。

步骤3Alice确认收到Bob1的M+T个粒子后，Bob1向Alice公布他选择MEASURE和选择REFLECT的粒子的位置。

下面以Alice与Bob1、Bob2、Bob3、Bob4的秘密共享为例，举例了M=10、T=5时的五方半量子秘密共享过程，KA=KB1XORKB2XORKB3XORKB4，其中MEASURE和REFLECT操作简记为M和R：

Alice发送的粒子序列|S〉

|+-++1,-0+10,011+0〉

Bob1对接收粒子执行的操作

MRMMR,MMMMR,MRRMM

Bob1的测量结果的经典信息KB1

101,1011,010

Bob1发送以及反射给Alice的粒子序列

|1-011,10110,01110〉

Bob2对接收粒子执行的操作

RMRRM,MMRRM,MMMMM

Bob2的测量结果的经典信息KB2

11,000,01110

Bob2发送以及反射给Alice的粒子序列

|+1++1,00+10,01110〉

Bob3对接收粒子执行的操作

MMRRM,MRRMM,RMMMM

Bob3的测量结果的经典信息KB3

111,010,1100

Bob3发送以及反射给Alice的粒子序列

|11++1,00+10,01100〉

Bob4对接收粒子执行的操作

RRMMM,MRMMM,RMMMR

Bob4的测量结果的经典信息KB4

001,0010,111

Bob4发送以及反射给Alice的粒子序列

|+-001,00010,01110〉

Alice的秘密信息KA

1011101111

3 安全性分析

本方案可以有效抵御内部参与者和外部攻击，保证量子秘密信息共享的安全性。

3.1 内部攻击

任意内部参与者Bobi无法通过截获/重发攻击来获取利益。

假设Bobi截获Alice发送给Bobj的粒子序列，然后Bobi制备一串新的长度为M+T的粒子序列发送给Bobj，如根据自己的利益制备由|0〉或|1〉构成的粒子序列发送给Bobj。由于Bobi不知道Bobj选择MEASURE和REFLECT的位置，Alice收到Bobj的粒子后，可以通过窃听检测发现异常，因为Bobi制备的粒子序列不与Alice制备的粒子序列相同，Alice可以通过检查Bobj执行REFLECT操作的粒子来发现异常。

任意内部参与者Bobi无法通过测量/重发攻击来窃取他人的测量结果的经典信息KBj。

假设Bobi截获并测量Bobj发送给Alice的粒子序列，并将测量后的粒子序列重新发送给Alice，企图在Bobj公布选择MEASURE和REFLECT的粒子的位置后确定KBj。但此前Bobi不知道Bobj选择MEASURE和REFLECT的位置，因此Alice可以通过检查Bobj执行REFLECT操作的粒子来发现异常。

此外，任意内部参与者Bobi无法通过猜测其他参与者测量结果的经典信息推测出Alice的完整秘密信息KA。

长度为M的秘密信息KA由KB1，KB2，…,KBn按位异或得到。对于每一位异或值，假设Bobi有50%的概率猜对其他参与者测量结果的经典信息的异或值，可以根据统计数据定量评估Bobi成功推断整个消息秘密信息KA的概率Pinfer。

(1)

式中：k表示Bobi正确猜测的异或值的总数；M表示整个秘密信息KA的长度。概率Pinfer符合二项分布和二项式系数。

(2)

通过计算M=256、M=512、M=1 024、M=2 048时Bobi正确猜测异或值的数量k下的概率Pinfer可知，对于不同的M，Pinfer在区间(0,k)上存在它的最大值(Pmax(M=256)≈0.057 5，Pmax(M=512)≈0.040 7，Pmax(M=1 024)≈0.028 8，Pmax(M=2 048)≈1.480 4×10-102)，并且随着M的增大而减小。因此任意内部参与者Bobi无法通过猜测推测出完整秘密信息KA。

3.2 外部攻击

外部窃听者Eve或任意内部参与者无法通过纠缠/测量攻击来获取利益。

假设攻击者Eve截获秘密共享过程中Alice发送给Bob的粒子串|S〉以及Bob执行MEASURE和REFLECT操作后发送给Alice的粒子串|B〉，并通过单一操作矩阵运算E将新的辅助粒子e与|S〉或|Bi〉(|Si〉={|0〉、|1〉、|+〉、|-〉}，|Bi〉={|0〉、|1〉})缠绕在一起形成一个更大的希尔伯特空间，那么可能出现的4种系统态如下：

E⊗|0e〉=a|0e00〉+b|1e01〉

(3)

E⊗|1e〉=b′|0e10〉+a′|1e11〉

(4)

式中：a、a′、b、b′是概率幅度参数。

a′|e11〉)+|-〉(a|e00〉-b|e01〉+

b′|e10〉-a′|e11〉)]

(5)

a′|e11〉)+|-〉(a|e00〉-b|e01〉-

b′|e10〉+a′|e11〉)]

(6)

其中，E是Eve的单一操作矩阵，表示为：

(7)

由E运算符决定的四个{e00,e01,e10,e11}纯状态满足归一化条件：

(8)

因为EE*=1,a,b,a′,b′满足以下关系：

|a|2+|b|2=1 |a′|2+|b′|2=1ab*=(a′)*b′

(9)

可以获得结果：

|a|2=|a′|2|b|2=|b′|2

(10)

如果Eve的攻击粒子处于纠缠态，这种窃听者的干扰最终将不可避免地引入错误，Alice可以通过PE的概率在窃听检测过程中检测到窃听者的存在。

PE=|b|2=1-|a|2=|b′|2=1-|a′|2

(11)

如果Eve不想引入误差，则总粒子必须与Eve的辅助粒子以直积态相关。然而，在直积态下，辅助粒子e与|Si〉粒子或|Bi〉粒子之间没有任何相关性，因此Eve没有得到任何有用信息，这证明了纠缠/测量攻击是徒劳的。

4 结 语

本文分析了之前主要的基于纠缠态的量子秘密共享方案，以及半量子秘密共享方案，并提出一种基于单光子的多方半量子秘密共享方案。该方案仅采用单粒子完成了量子方与多个半量子方之间的秘密共享，可以应用在更贴近实际的量子通信网络中，如Alice作为量子方，由网络信息服务供应商来充当，Bobi等经典方代表网络中的普通客户，达成安全可靠的多方秘密共享。

与以前的量子秘密共享方案不同，本文方案的优点归纳如下：(1)本文秘密共享方案不依赖于纠缠态粒子，而是采用单粒子，在实际中具有更强的实用性。(2)本文协议不需要经典方具备完备量子能力，降低了量子设备资源的需求。(3)本文完成了秘密分发者与多方间的秘密共享，而不仅限于三方间的秘密共享。安全性分析表明，本文方案能够抵御内部攻击和外部纠缠攻击，在当前技术下是安全可行的。