基于六量子態(tài)的高容量量子秘密共享方案

許 娟 陳漢武 劉志昊 袁家斌

(1南京航空航天大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院，南京210016)

(2東南大學(xué)計算機(jī)科學(xué)與工程學(xué)院，南京210096)

由于具有理論上的無條件安全性和竊聽的可檢測性，量子保密通信成為計算機(jī)科學(xué)和物理領(lǐng)域的一個重要研究方向.量子保密通信中研究最早、最成熟的是量子密鑰分配(quantum key distribution，QKD)［1］.隨后，學(xué)者們開始研究如何利用量子特性實現(xiàn)多方之間共享經(jīng)典密鑰［2-10］，即量子秘密共享 (quantum secret sharing，QSS).QSS可分為共享經(jīng)典信息和共享量子信息兩大類.

最初的QSS方案是基于多粒子糾纏態(tài)的［2］，但其制備較為困難［11］.因此，研究者們提出了基于單粒子態(tài)的多方 QSS 方案［3-6，9，10］，且大多借鑒了經(jīng)典秘密共享中逐位異或的思想［3-5］.文獻(xiàn)［3］介紹了一種直接對量子密鑰分配中的量子比特進(jìn)行編碼實現(xiàn)秘密共享的方案，制備方發(fā)送N個單光子給n位接收方，接收方測量之后將結(jié)果逐位異或，得到要共享的經(jīng)典密鑰;如果忽略用于檢測的光子，則制備方和接收方之間共享了N/n bit經(jīng)典信息.文獻(xiàn)［4-5］所提方案同樣只能共享N/n bit經(jīng)典信息.為了提高一方到多方QSS方案的量子比特容量，本文提出了一種基于六量子態(tài)的新方案，摒棄了對量子測量結(jié)果逐位異或的方法，具有容量高、所需量子資源少的優(yōu)點.在該方案中，發(fā)送方負(fù)責(zé)對單光子進(jìn)行制備和測量，n位接收方僅需要進(jìn)行本地的酉操作，因而特別適用于發(fā)送方的設(shè)備條件遠(yuǎn)超過接收方的情況.

1 一方到多方QSS方案

假設(shè)發(fā)送方Alice要將一個二進(jìn)制秘密A0=發(fā)送給Bob 1，Bob 2，…，Bob n(n≥2)，并希望只有n位Bob一起合作時才能得到這個秘密，任意m位Bob(m＜n)不能得到該秘密.基于六量子態(tài)的高容量QSS方案示意圖見圖1.圖中，Ai為二進(jìn)制串;Bi為三進(jìn)制串;A0為要共享的秘密.

圖1 基于六量子態(tài)的高容量QSS方案示意圖

所提方案的具體步驟如下.

顯然，每個光子為如下6個態(tài)之一:

隨后，Alice隨機(jī)地插入足夠的m0+M0個誘騙光子，這些誘騙光子隨機(jī)處于6個態(tài)之一.最后，Alice將N+m0+M0個光子在公開的量子信道上傳送給Bob 1.

表1 U1和U2的作用

②Bob 1聲明接收到所有光子信號之后，Alice公布其中m0個誘騙光子的位置.然后，Bob 1對這些位置上的光子首先使用一個特殊的過濾器來避免不可見光子進(jìn)入操作系統(tǒng)，再用一個半透半反的光子數(shù)分裂器來分裂每一個信號.如果在一個信號中探測到多個光子，則Bob 1宣布終止本次秘密共享過程，否則Bob 1隨機(jī)地使用X基、Y基或Z基對分裂后的信號進(jìn)行測量，并將測量結(jié)果告訴Alice，同時丟棄這m0個誘騙光子.Alice分析測量基選擇正確的那些測量結(jié)果的錯誤率，如果錯誤率高于某個閾值，則Alice宣布取消此次通信;否則，Bob 1產(chǎn)生隨機(jī)的二進(jìn)制串和三進(jìn)制串Bob 1根據(jù)的取值(0或1)，對第k個光子進(jìn)行I或σz操作，再根據(jù)的取值(0，1 或 2)，對第k個光子進(jìn)行U0，U1或U2操作.最后，Bob 1隨機(jī)地插入足夠的m1個誘騙光子，這些誘騙光子隨機(jī)處于式(2)所示的6個態(tài)之一.

③Bob i(2≤i≤n)聲明接收到所有光子信號后，Bob(i－1)公布誘騙光子的位置.然后，Bob i執(zhí)行與步驟②相同的操作，此時Bob i將誘騙光子的測量結(jié)果發(fā)給Bob(i－1)，而不是Alice，由Bob(i－1)進(jìn)行錯誤率分析.這一過程由Bob i(2≤i≤n)依次執(zhí)行，共執(zhí)行n－1次.

④Bob n將N+mn+M0個光子發(fā)送給Alice.Alice聲明收到所有光子后，Bob n公布誘騙光子的位置.然后，Alice對這些位置上的光子隨機(jī)地使用X基、Y基或Z基進(jìn)行測量，并將測量結(jié)果告訴Bob n，同時丟棄這mn個誘騙光子.Bob n分析測量基選擇正確的那些測量結(jié)果的錯誤率，如果錯誤率高于某一閾值，則Bob n宣布取消此次通信;否則，所有Bob公開宣布的值.

⑦Alice公布最初插入的M0個誘騙光子的位置.Alice和所有Bob比對這些位置上得到的初始秘密值，如果錯誤率高于某一閾值，則丟棄該秘密;否則，剩下的二進(jìn)制串即為要共享的秘密.

2 安全性分析

盡管理論上量子保密通信可以達(dá)到無條件安全，但是如果量子通信方案考慮不周或設(shè)備存在隱患，則通信過程和機(jī)密數(shù)據(jù)仍有可能被某些巧妙的量子攻擊方法成功竊聽而不被發(fā)現(xiàn).因此，對于QSS方案來說，保證安全性是首要目標(biāo).

在本文方案中，Alice和Bob 1，Bob(i－1)和Bob i(2≤i≤n)，Bob n和Alice之間的通信過程與BB84 QKD方案類似［1］，相當(dāng)于獨立的n+1個BB84 QKD過程.BB84協(xié)議被證明是無條件安全的［12］，故本文方案理論上也是安全的.下面針對幾種常見的量子攻擊方法進(jìn)行進(jìn)一步的安全性分析.

1)不可見光子攻擊［13］.竊聽者Eve選擇一些對發(fā)送方和接收方所用單光子探測器不敏感的光子，獲得通信者的編碼信息.在本文方案的步驟②和③中使用了特殊的濾光器來避免不可見光子進(jìn)入接收方的操作系統(tǒng)，如果Eve的竊聽光子沒有被濾光器過濾掉，則將被接收方的光子探測裝置探測到.

2)特洛伊木馬攻擊［14］.Bob i將一個多光子信號序列而不是單光子序列發(fā)送給Bob(i+1)，以通過多個光子副本得到Bob(i+1)的編碼信息.本文方案在步驟②和③中使用了一個半透半反光子數(shù)分裂器來檢測是否存在特洛伊木馬攻擊.如果在多個單光子探測器上同時發(fā)現(xiàn)有光子存在，則存在該攻擊.

3)截獲-重發(fā)和篡改攻擊.在 Alice，Bob 1，Bob 2，…，Bob n將光子序列分別發(fā)送給Bob 1，Bob 2，…，Bob n，Alice的過程中，竊聽者Eve截獲光子序列，并重發(fā)一串光子給接收方;或者Eve直接對截獲的光子進(jìn)行篡改.顯然，在本方案的步驟②～④中，發(fā)送方和接收方通過比對誘騙光子的測量結(jié)果來防止這2種攻擊.

4)謊報攻擊.Bob i謊報自己的Ai和Bi，以使其他Bob不能獲得秘密信息而僅有自己能獲得.在步驟⑦中，通過樣本檢測可以防止這種謊報攻擊.

5)單光子攻擊［15］.Bob n從Bob(n－1)處得到N+mn－1+M0個光子，并通過誘騙光子比對后，保留剩下的N+M0個光子序列，然后根據(jù)隨機(jī)產(chǎn)生的An'和Bn'制備一個含有N+M0個光子的序列，并將發(fā)給 Alice;假設(shè)所有Bob按順序公布Bi，則Bob n公布自己的三進(jìn)制串，然后按照的結(jié)果去測量，以獲得并躲過安全檢測.顯然，單光子攻擊對本文方案是不適用的.這是因為Alice首先對光子進(jìn)行了操作，A0和B0對于Bob n來說是無法獲得的，即不能根據(jù)確定正確的測量基，故Bob n也就無法獲得的值.

3 適用性分析

目前，制備糾纏態(tài)的效率較低，制備成本較高［11］，從而制備量子資源的代價遠(yuǎn)遠(yuǎn)大于制備經(jīng)典資源的代價.一些多方QSS方案利用測量量子位后將結(jié)果逐位異或的思想［3-5］，假設(shè)制備方制備了N個單光子，并將其發(fā)送給n位接收方，忽略用于檢測的光子，則制備方和接收方之間僅能共享N/n bit的經(jīng)典信息.而本文方案不需要將量子比特的測量結(jié)果進(jìn)行逐位異或.發(fā)送方Alice只需將量子比特的測量結(jié)果與自己的二進(jìn)制串A0對應(yīng)位的值進(jìn)行異或，并公布該值;接收方只需將Alice公布的值和各自的二進(jìn)制串Ai(1≤i≤n)對應(yīng)位的值進(jìn)行異或，即可獲得要共享的秘密.在文獻(xiàn)［6］中，定義量子比特容量為制備1個量子比特能共享的經(jīng)典比特位數(shù)(忽略用于檢測的量子比特)，即

式中，qp為制備的量子數(shù);bs為雙方共享的經(jīng)典比特數(shù);0＜ cq≤1.文獻(xiàn)［3-5］中，對于 QSS協(xié)議，cq=1/n;本文方案中，cq=1.量子比特容量可以用于衡量一個QSS方案需要量子資源的相對量.量子比特容量越大，所需的量子資源越少.由于量子資源的制備代價比經(jīng)典資源的制備代價高，因此一個方案的量子比特容量越大，制備成本就越低，也就越實用.

本文方案的另一個特點是，制備和測量全部由Alice來完成，所有Bob僅需進(jìn)行本地的酉操作即可.因此，本文方案對接收方的設(shè)備要求較低，特別適用于Alice的設(shè)備條件遠(yuǎn)遠(yuǎn)超過所有Bob的情況.

4 結(jié)語

本文提出了一種基于六量子態(tài)的高容量QSS方案.在該方案中，發(fā)送方Alice首先制備一串態(tài)為的單光子，根據(jù)要共享的秘密進(jìn)行特定的酉操作以及一次隨機(jī)的酉操作，然后將光子序列發(fā)送給Bob 1.所有Bob依次進(jìn)行隨機(jī)酉操作后，由Bob n將光子序列返回給Alice.Alice根據(jù)Bob提供的信息，使用正確的測量基對光子進(jìn)行測量，并公布與測量結(jié)果有關(guān)的信息.所有Bob通過該信息和各自的酉操作即可獲得要共享的秘密.本文方案可抵御常見的不可見光子、特洛伊木馬、截獲-重發(fā)、篡改、謊報等攻擊，具有較好的安全性.理論分析結(jié)果表明，該方案的量子比特容量比已有的類似方案高，因此所需量子資源相對較少，實現(xiàn)代價較低.另外，本文方案中接收方所需的操作較簡單，特別適用于發(fā)送方設(shè)備條件遠(yuǎn)超過接收方的情況.

References)

［1］Bennett C H，Brassard G.Quantum cryptography:public key distribution and coin tossing［C］//Proceedings of IEEE International Conference on Computers，Systems and Signal Processing.Bangalore，India，1984:175-179.

［2］Karlsson A，Koashi M，Imoto N.Quantum entanglement for secret sharing and secret splitting［J］.Physical Review A，1999，59(1):162-168.

［3］Guo G，Guo G.Quantum secret sharing without entanglement［J］.Physics Letters A，2003，310(4):247-251.

［4］Yan F L，Gao T.Quantum secret sharing between multiparty and multiparty without entanglement［J］.Physical Review A，2005，72(1):012304.

［5］Gao T，Yan F L，Li Y C.Quantum secret sharing between m-party and n-party with six states［J］.Science in China Series G，2009，52(8):1191-1202.

［6］Xu J，Chen H，Liu W，et al.An efficient quantum secret sharing scheme based on orthogonal product states［C］//Proceeding of 2010 IEEE Congress on Evolutionary Computation.Barcelona，Spain，2010:949-952.

［7］Shi R H，Huang L S，Yang W，et al.Asymmetric multi-party quantum state sharing of an arbitrary m-qubit state［J］.Quantum Information Processing，2011，10(1):53-61.

［8］Liu Z H，Chen H W，Xu J，et al.High-dimensional deterministic multiparty quantum secret sharing without unitary operations［J］.Quantum Information Processing，2012，11(6):1785-1795.

［9］Xu J，Chen H W，Liu Z H，et al.Quantum secret sharing without exclusive OR of qubits'measuring results［C］//Proceedings of 2012 IEEE Congress on Evolutionary Computation.Brisbane，Australia，2012:613-616.

［10］Xu J，Yuan J B.Improvement and extension of quantum secret sharing using orthogonal product states［J］.International Journal of Quantum Information，2014，12(1):1450008.

［11］Wagenknecht C，Li C M，Reingruber A，et al.Experimentaldemonstration ofa heralded entanglement source［J］.Nature Photonics，2010，4:549-552.

［12］Shor P W，Preskill J.Simple proof of security of the BB84 quantum key distribution protocol［J］.Physical Review Letters，2000，85(2):441-444.

［13］Cai Q.Eavesdropping on the two-way quantum communication protocols with invisible photons［J］.Physics Letters A，2006，351(1):23-25.

［14］Deng F G，Li X H，Zhou H Y，et al.Erratum:improving the security of multiparty quantum secret sharing against Trojan Horse attack(Phys.Rev.A 72，044302(2005))［J］.Physical Review A，2006，73(4):049901.

［15］Li C M，Chang C C，Hwang T.Comment on“quantum secret sharing between multiparty and multiparty without entanglement”［J］.Physical Review A，2006，73(1):016301.