李雪楊 昌 燕 張仕斌 代金鞘 鄭 濤

(成都信息工程大學網(wǎng)絡(luò)空間安全學院 四川 成都 610225)

0 引 言

量子秘密共享是量子密碼學的一個重要分支，它是經(jīng)典秘密共享和量子理論的結(jié)合，它使得秘密信息(經(jīng)典信息或量子編碼信息)通過量子操作分發(fā)、傳輸和恢復。量子秘密共享的安全性基于量子力學的基本原理，這使得量子秘密共享比傳統(tǒng)的秘密共享更為安全。

最早的量子秘密共享方案由Hillery等[1]提出，該方案采用Greenberger-Horne-Zeilinger(GHZ)糾纏態(tài)粒子完成了秘密共享。此后，越來越多的基于Bell糾纏態(tài)或多粒子糾纏態(tài)的量子秘密共享方案被提出[2-8]。然而，Bell態(tài)或多粒子糾纏態(tài)制備的困難性表明基于糾纏態(tài)的量子秘密共享方案在某些情況下是不值得的，畢竟實用性是量子信息論的重要追求，這些技術(shù)障礙使得此類量子秘密共享方案的實用性大大降低。對此，Guo等[9]提出一種無糾纏的量子秘密共享方案，該方案利用單粒子完成了經(jīng)典信息的秘密共享。Yan等[10]提出一種無糾纏的多方和多方之間的量子秘密共享方案，但隨后文獻[11]指出該方案在粒子傳輸上存在安全隱患，造成秘密信息泄露，并給出了相應改進措施。此類量子秘密共享方案雖然沒有采用糾纏態(tài)粒子的糾纏特性完成秘密共享，但很難保證粒子傳輸?shù)陌踩?。且現(xiàn)有的量子秘密共享協(xié)議大都要求通信雙方具有完備量子能力，成本和量子資源的限制嚴重阻礙了量子秘密共享實現(xiàn)商業(yè)化和大眾化。

半量子密碼通信是量子通信的一個研究分支，指具有完備量子能力和存在限制量子能力的通信者間的通信。它不要求通信雙方都具有完備的量子能力，卻又通過量子力學特性提升了通信過程的安全性，同時減少了對量子設(shè)備資源的依賴。Boyer等[12]提出了半量子協(xié)議的定義和應用思路，并基于半量子思想提出了第一個基于BB84的半量子密碼協(xié)議。此后，研究人員開始研究基于半量子思想的量子密碼協(xié)議，將半量子密碼概念應用于量子密鑰分發(fā)、量子直接通信、量子隱私比較、量子秘密共享等量子密碼學任務(wù)[13-16]。Li等[17]將半量子思想擴展到量子秘密共享，提出了兩個基于類GHZ態(tài)的半量子秘密共享方案。Wang等[18]提出了一種基于兩粒子糾纏態(tài)的半量子秘密共享方案。Li等[19]提出了一種兩粒子乘積態(tài)的半量子秘密共享方案，用|+〉|+〉態(tài)作為初始態(tài)，完成了三方秘密共享，這使得量子秘密共享方案更具有實用性且減少了量子資源的消耗。Xie等[20]提出了一種基于類GHZ態(tài)的半量子秘密共享協(xié)議；Ye等[21]提出了一種基于單光子的環(huán)形半量子秘密共享協(xié)議。可見，半量子通信是一種具有實踐意義的通信方案，它在保證通信安全性的同時大大減少了對量子資源的依賴。受半量子密碼啟發(fā)，本文提出一種基于單光子的多方半量子秘密共享方案，僅采用單粒子完成多方之間的秘密共享，且降低了對量子設(shè)備的依賴，便于在實踐中實施。

1 預備知識

1.1 量子秘密共享

量子秘密共享是經(jīng)典秘密共享與量子密碼的結(jié)合，它基于量子力學的特性來提升秘密共享的安全性。量子秘密共享中秘密分發(fā)者將經(jīng)典信息編碼拆分為量子態(tài)，參與者通過量子通信收到量子態(tài)后，通過量子操作恢復出秘密信息的一部分，每個參與者只能通過誠實合作才能恢復出原始秘密信息。

1.2 半量子密碼通信

半量子密碼通信指通信雙方中一方擁有完備量子能力(量子方)，另一方擁有受限的量子能力(經(jīng)典方)，規(guī)定經(jīng)典方只能進行如下操作：

(1)用Z基測量粒子；

(2)不測量粒子，將粒子直接反射給量子方；

(3)以Z基制備粒子發(fā)送給量子方；

(4)重新對收到的粒子序列進行排序。

半量子密碼通信不嚴格要求通信雙方具有完備量子能力，減少了對量子資源的依賴，卻又具備量子密碼的特性，提升了安全性。

2 方案設(shè)計

假設(shè)秘密分發(fā)者Alice準備和n個接收者Bobi完成長度為M的秘密信息共享。Alice擁有量子能力，而Bobi只擁有經(jīng)典能力。為完成與Bobi共享Alice密鑰的任務(wù)，本文采用單光子構(gòu)造了多方半量子秘密共享方案。

定義經(jīng)典方Bobi擁有的兩種操作：

(1)用Z基({|0〉,|1〉})測量收到的粒子，并制備一個相同量子態(tài)的新粒子發(fā)送給Alice(簡稱為MEASURE)。

(2)將粒子沒有干擾地返回給Alice(簡稱為REFLECT)。

方案具體步驟如下：

步驟1秘密分發(fā)者Alice制備一串長度為M+T的單光子序列|S〉，其中每個單光子|Si〉隨機處于四個量子態(tài){|0〉,|1〉,|+〉,|-〉}之一。

步驟2Alice將|S〉發(fā)送給接收方Bob1。Bob1收到來自Alice的所有粒子后，Bob1隨機的選擇M個粒子進行MEASURE，并對剩下的T個粒子進行REFLECT。Bob1將M個粒子的測量結(jié)果表示為經(jīng)典信息，記為KB1。

步驟3Alice確認收到Bob1的M+T個粒子后，Bob1向Alice公布他選擇MEASURE和選擇REFLECT的粒子的位置。

下面以Alice與Bob1、Bob2、Bob3、Bob4的秘密共享為例，舉例了M=10、T=5時的五方半量子秘密共享過程，KA=KB1XORKB2XORKB3XORKB4，其中MEASURE和REFLECT操作簡記為M和R：

Alice發(fā)送的粒子序列|S〉

|+-++1,-0+10,011+0〉

Bob1對接收粒子執(zhí)行的操作

MRMMR,MMMMR,MRRMM

Bob1的測量結(jié)果的經(jīng)典信息KB1

101,1011,010

Bob1發(fā)送以及反射給Alice的粒子序列

|1-011,10110,01110〉

Bob2對接收粒子執(zhí)行的操作

RMRRM,MMRRM,MMMMM

Bob2的測量結(jié)果的經(jīng)典信息KB2

11,000,01110

Bob2發(fā)送以及反射給Alice的粒子序列

|+1++1,00+10,01110〉

Bob3對接收粒子執(zhí)行的操作

MMRRM,MRRMM,RMMMM

Bob3的測量結(jié)果的經(jīng)典信息KB3

111,010,1100

Bob3發(fā)送以及反射給Alice的粒子序列

|11++1,00+10,01100〉

Bob4對接收粒子執(zhí)行的操作

RRMMM,MRMMM,RMMMR

Bob4的測量結(jié)果的經(jīng)典信息KB4

001,0010,111

Bob4發(fā)送以及反射給Alice的粒子序列

|+-001,00010,01110〉

Alice的秘密信息KA

1011101111

3 安全性分析

本方案可以有效抵御內(nèi)部參與者和外部攻擊，保證量子秘密信息共享的安全性。

3.1 內(nèi)部攻擊

任意內(nèi)部參與者Bobi無法通過截獲/重發(fā)攻擊來獲取利益。

假設(shè)Bobi截獲Alice發(fā)送給Bobj的粒子序列，然后Bobi制備一串新的長度為M+T的粒子序列發(fā)送給Bobj，如根據(jù)自己的利益制備由|0〉或|1〉構(gòu)成的粒子序列發(fā)送給Bobj。由于Bobi不知道Bobj選擇MEASURE和REFLECT的位置，Alice收到Bobj的粒子后，可以通過竊聽檢測發(fā)現(xiàn)異常，因為Bobi制備的粒子序列不與Alice制備的粒子序列相同，Alice可以通過檢查Bobj執(zhí)行REFLECT操作的粒子來發(fā)現(xiàn)異常。

任意內(nèi)部參與者Bobi無法通過測量/重發(fā)攻擊來竊取他人的測量結(jié)果的經(jīng)典信息KBj。

假設(shè)Bobi截獲并測量Bobj發(fā)送給Alice的粒子序列，并將測量后的粒子序列重新發(fā)送給Alice，企圖在Bobj公布選擇MEASURE和REFLECT的粒子的位置后確定KBj。但此前Bobi不知道Bobj選擇MEASURE和REFLECT的位置，因此Alice可以通過檢查Bobj執(zhí)行REFLECT操作的粒子來發(fā)現(xiàn)異常。

此外，任意內(nèi)部參與者Bobi無法通過猜測其他參與者測量結(jié)果的經(jīng)典信息推測出Alice的完整秘密信息KA。

長度為M的秘密信息KA由KB1，KB2，…,KBn按位異或得到。對于每一位異或值，假設(shè)Bobi有50%的概率猜對其他參與者測量結(jié)果的經(jīng)典信息的異或值，可以根據(jù)統(tǒng)計數(shù)據(jù)定量評估Bobi成功推斷整個消息秘密信息KA的概率Pinfer。

(1)

式中：k表示Bobi正確猜測的異或值的總數(shù)；M表示整個秘密信息KA的長度。概率Pinfer符合二項分布和二項式系數(shù)。

(2)

通過計算M=256、M=512、M=1 024、M=2 048時Bobi正確猜測異或值的數(shù)量k下的概率Pinfer可知，對于不同的M，Pinfer在區(qū)間(0,k)上存在它的最大值(Pmax(M=256)≈0.057 5，Pmax(M=512)≈0.040 7，Pmax(M=1 024)≈0.028 8，Pmax(M=2 048)≈1.480 4×10-102)，并且隨著M的增大而減小。因此任意內(nèi)部參與者Bobi無法通過猜測推測出完整秘密信息KA。

3.2 外部攻擊

外部竊聽者Eve或任意內(nèi)部參與者無法通過糾纏/測量攻擊來獲取利益。

假設(shè)攻擊者Eve截獲秘密共享過程中Alice發(fā)送給Bob的粒子串|S〉以及Bob執(zhí)行MEASURE和REFLECT操作后發(fā)送給Alice的粒子串|B〉，并通過單一操作矩陣運算E將新的輔助粒子e與|S〉或|Bi〉(|Si〉={|0〉、|1〉、|+〉、|-〉}，|Bi〉={|0〉、|1〉})纏繞在一起形成一個更大的希爾伯特空間，那么可能出現(xiàn)的4種系統(tǒng)態(tài)如下：

E?|0e〉=a|0e00〉+b|1e01〉

(3)

E?|1e〉=b′|0e10〉+a′|1e11〉

(4)

式中：a、a′、b、b′是概率幅度參數(shù)。

a′|e11〉)+|-〉(a|e00〉-b|e01〉+

b′|e10〉-a′|e11〉)]

(5)

a′|e11〉)+|-〉(a|e00〉-b|e01〉-

b′|e10〉+a′|e11〉)]

(6)

其中，E是Eve的單一操作矩陣，表示為：

(7)

由E運算符決定的四個{e00,e01,e10,e11}純狀態(tài)滿足歸一化條件：

(8)

因為EE*=1,a,b,a′,b′滿足以下關(guān)系：

|a|2+|b|2=1 |a′|2+|b′|2=1ab*=(a′)*b′

(9)

可以獲得結(jié)果：

|a|2=|a′|2|b|2=|b′|2

(10)

如果Eve的攻擊粒子處于糾纏態(tài)，這種竊聽者的干擾最終將不可避免地引入錯誤，Alice可以通過PE的概率在竊聽檢測過程中檢測到竊聽者的存在。

PE=|b|2=1-|a|2=|b′|2=1-|a′|2

(11)

如果Eve不想引入誤差，則總粒子必須與Eve的輔助粒子以直積態(tài)相關(guān)。然而，在直積態(tài)下，輔助粒子e與|Si〉粒子或|Bi〉粒子之間沒有任何相關(guān)性，因此Eve沒有得到任何有用信息，這證明了糾纏/測量攻擊是徒勞的。

4 結(jié) 語

本文分析了之前主要的基于糾纏態(tài)的量子秘密共享方案，以及半量子秘密共享方案，并提出一種基于單光子的多方半量子秘密共享方案。該方案僅采用單粒子完成了量子方與多個半量子方之間的秘密共享，可以應用在更貼近實際的量子通信網(wǎng)絡(luò)中，如Alice作為量子方，由網(wǎng)絡(luò)信息服務(wù)供應商來充當，Bobi等經(jīng)典方代表網(wǎng)絡(luò)中的普通客戶，達成安全可靠的多方秘密共享。

與以前的量子秘密共享方案不同，本文方案的優(yōu)點歸納如下：(1)本文秘密共享方案不依賴于糾纏態(tài)粒子，而是采用單粒子，在實際中具有更強的實用性。(2)本文協(xié)議不需要經(jīng)典方具備完備量子能力，降低了量子設(shè)備資源的需求。(3)本文完成了秘密分發(fā)者與多方間的秘密共享，而不僅限于三方間的秘密共享。安全性分析表明，本文方案能夠抵御內(nèi)部攻擊和外部糾纏攻擊，在當前技術(shù)下是安全可行的。