基于9維量子系統(tǒng)上的秘密共享方案

郝 娜，李志慧，白海艷

陜西師范大學(xué) 數(shù)學(xué)與信息科學(xué)學(xué)院，西安 710119

1 引言

秘密共享是密碼學(xué)中的一個重要研究內(nèi)容，它是指在參與者中共享秘密份額，只有授權(quán)集才能重構(gòu)秘密，非授權(quán)集得不到秘密的任何消息。在一個量子秘密共享方案中，秘密是基于量子特性被分發(fā)和重構(gòu)的，相對于經(jīng)典秘密共享方案，量子秘密共享方案因其量子理論基礎(chǔ)而更加安全。目前，量子秘密共享的研究主要集中在利用量子方法在通信者之間共享經(jīng)典密鑰的(N,N)方案。自從1998年Hillery等人參照經(jīng)典秘密共享體制提出量子秘密共享的概念，并利用Green-Horne-Zeilinger（GHZ）三重態(tài)的量子關(guān)聯(lián)性設(shè)計了一個量子秘密共享方案[1]之后，量子秘密共享引起了人們的興趣，一系列量子秘密共享方案被提出[2-8]。

無偏基是許多量子信息處理過程中的重要工具。關(guān)于無偏基已有許多研究[9-14]。已有文獻證明素數(shù)冪維復(fù)空間Cd上無偏基的最大數(shù)目為d+1[9]。Tavakoli等人在文獻[14]中利用奇素數(shù)維量子系統(tǒng)上的無偏基的循環(huán)性質(zhì)以及酉矩陣有關(guān)理論，給出了一個量子秘密共享方案。文獻[9]借助素有限域理論將奇素數(shù)維量子系統(tǒng)上的無偏基用素有限域中的元素表示。當(dāng)量子系統(tǒng)維數(shù)d為偶數(shù)時，該系統(tǒng)上的無偏基可以利用奇素數(shù)維上無偏基的情況類似討論，這樣當(dāng)d≤8時，d維量子系統(tǒng)上的無偏基均已構(gòu)造。本文給出9維量子系統(tǒng)上的無偏基以及酉矩陣，基于這些無偏基和酉矩陣的性質(zhì)，構(gòu)造9維量子系統(tǒng)上的秘密共享方案，并討論方案的安全性。

2 無偏基及相關(guān)性質(zhì)

其中，i,j=1,2,…,d，稱這兩組基B0和B1是相互無偏的；兩兩相互無偏的一組標(biāo)準(zhǔn)正交基{B0,B1,…,Bm}稱作相互無偏基集。

Wootters等人指出所有素數(shù)和素數(shù)冪維系統(tǒng)(d=pn,p≠2)的無偏基的個數(shù)為d+1個，并利用有限域的理論給出了這d+1個無偏基的具體形式[9]。設(shè) p是一個奇素數(shù)，在有限域Fpn（n是自然數(shù)）上，令：

當(dāng) j∈Fpn時，由式（2）給出的基組為：

…

當(dāng) j=m,m∈Fpn時

…

當(dāng) j=d時，令：

稱由式（3）定義的這組基為計算基，對應(yīng)的基記為Vd=

由于F9為F3的二次擴域，令 f(x)=x2+x+2為F3上二次不可約多項式，令θ為 f(x)的一個根，則有：

設(shè)g:F9→Z9是有限域F9到剩余類環(huán)Z9的一個映射，定義：易證g為一一映射，即F9中的元素與Z9中的元素一一對應(yīng)。

引理在有限域F9上，由式（2）定義的無偏基的上標(biāo)和下標(biāo)有以下性質(zhì)：

例1 當(dāng)l=θ+2,j∈F9時

進一步，在有限域F9上，令S={A1,A2,B1,B2}，其中：

定理1在有限域F9上，由式（2）定義的無偏基有以下性質(zhì)：

（1）當(dāng)l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，

（3）當(dāng)j∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，

證明當(dāng)l∈{0,1,θ,θ+1,2θ,2θ+1}時：

因此，當(dāng)l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，同理可得：

注1由定理1可得：

3 酉矩陣的構(gòu)造

本文構(gòu)造有限域F9上的酉矩陣，使其在集合M上是封閉的。

定理2 設(shè)對于 ?α,β∈F9：

α,β

證明由于Ai,Bi,i=1,2，均為酉矩陣，易證Uα,β為酉矩陣。

設(shè) l=k1+k2θ,j=k3+k4θ α =x1+y1θ, β =x2+y2θ

則l+α=(k1+x1)+(k2+y1)θ j+β=(k3+x2)+(k4+y2)θ

由定理1，得：

所以：

4 (N,N)門限方案

文獻[14]給出了奇素數(shù)維上的秘密共享方案，本節(jié)考慮9維量子系統(tǒng)上的情形。設(shè)R1為分發(fā)者，R2,R3,…,RN+1為參與者。

4.1 準(zhǔn)備階段

4.2 分發(fā)階段

（1）R1隨機選定相互獨立的 α1,β1∈F9，則 α1=其中，那么，用作用，將作用后的量子態(tài)記為，并將傳給R2。

（2）R2隨機選定相互獨立的 α2,β2∈F9，則 α2=，其中，那么，用 U作用，將α2,β2作用后的量子態(tài)記為，并將傳給R3。

（3）R3隨機選定相互獨立的 α3,β3∈F9，則 α3=，其中，那么，用作用，將作用后的量子態(tài)記為，并將傳給R4。

（4）重復(fù)此過程直到 RN+1得到量子態(tài)RN+1將傳給R1。

4.3 測量階段

R1隨機選擇J∈F9，用基測量量子態(tài)，若測量結(jié)果為，標(biāo)記h,h∈F9。

4.4 檢測階段

在隨機的輪中，參與者Rk,k=2,3,…,N+1公布他們選擇的βk,R1不公布任何數(shù)據(jù)，R1私下計算下式是否成立：

若上式成立，則該輪有效，否則，放棄該輪。

為了檢查安全性，只需讓參與者 Rk,k=2,3,…,N+1公開他們選擇的αk,R1計算下式是否成立：

若成立，則安全；否則，該輪就是不安全的，存在竊聽或欺騙。

4.5 恢復(fù)階段

Rk,k=2,3,…,N+1共享他們的αk，得到密鑰：

注2該方案之所以可以運行，是因為：

分析：當(dāng)選擇的 J∈F9不滿足式（5）測量量子態(tài)時就會塌縮為別的量子態(tài)，后邊的計算就沒有意義了，也即該輪為無效輪；當(dāng)選擇的J∈F9滿足式（5）時就可以準(zhǔn)確測量，又F9含有9個元素，因此準(zhǔn)確測量的概率為1/9，即該輪有效的概率為1/9；若該輪測量有效，假設(shè)不存在欺騙或竊聽，則準(zhǔn)確測量之后，式（6）一定滿足，因此式（6）可以用來判斷安全性；每執(zhí)行一輪有效安全的上述協(xié)議，就會產(chǎn)生一個密鑰，當(dāng)多次執(zhí)行上述協(xié)議就會得到密鑰流s1,s2,…,可用于秘密共享。因此，可以由式（5）和式（6）判別該方案的有效性和安全性。

5 安全性分析

本文從以下兩方面來討論該方案的安全性。

5.1 外部攻擊

類似Bennett-Brassard協(xié)議（簡稱BB84協(xié)議）中兩方量子密鑰分發(fā)（Quantum Key Distribution，QKD）情形的攻擊：對于更多一般的竊聽攻擊，在Rk→Rk+1的量子傳輸中，可以將R1,R2,…,Rk視為一塊，有效地表示為單一團體，把Rk+1,…,RN+1,R1視為測量團體，因此竊聽攻擊就被簡化為之前遇到的BB84中兩方QKD的情形，可以類似地探討，很顯然是安全的。

通過酉門的攻擊：還有一種可以選擇的欺騙是Eve給參與者Rk的酉門再發(fā)送一個量子底特或一個多體量子底特脈沖，以便于她可以以某種方法通過酉門達到竊聽，而不是截獲協(xié)議中的量子態(tài)。當(dāng)βk被公開之后，她就可以知道真正的酉陣，就可知道αk。然而，如果Rk確定了他的酉門的出口處量子測量的次數(shù)，這種攻擊是很容易被檢測的。

糾纏測量攻擊：在傳輸量子態(tài)的過程中，假定Eve使用酉算子UE糾纏輔助粒子，并通過測量輔助粒子以竊取秘密信息。假設(shè)Eve的輔助粒子是，且有如下形式：l∈F9)是通過酉算子UE決定的純態(tài)，且

為了避免竊聽檢測，Eve必須設(shè)置akl=0，其中k≠l且k,l∈F9。因此方程（7）和方程（8）可簡化為：

在方程（11）中，容易看出，如果Eve想要避免竊聽檢測，那么她并不能對整個量子秘密共享系統(tǒng)產(chǎn)生影響，并且從輔助粒子中也得不到有效信息。因此，糾纏測量攻擊是無效的。

特洛伊木馬攻擊：若量子秘密共享（Quantum Secret Sharing，QSS）方案中使用的粒子是光子，則所提出的協(xié)議對于以下兩種特洛伊木馬攻擊可能是不安全的：延時光子攻擊和不可見光子攻擊。為了阻止延時光子攻擊，參與者必須有能力區(qū)分是否存在多光子信號，即必須能夠區(qū)分所接收到的光子是單光子和多光子。光子數(shù)分裂（Photon Number Splitting，PNS）技術(shù)可以實現(xiàn)這一要求。參與者將隨機選擇收到的光子信號的一部分作為樣本信號，并用PNS技術(shù)來區(qū)分每個樣子信號。隨后，他們?nèi)我膺x擇一般基測量兩個信號。如果多光子率太高，傳送過程應(yīng)該停止并重新開始。為了阻止不可見光子攻擊，參與者需在設(shè)備上增加濾鏡。而濾鏡只允許光子信號的波長接近于操作粒子的波長的光子進入。故攻擊者的不可見光子將會被隔離。

5.2 內(nèi)部攻擊

在秘密共享中，須承認參與者子集密謀欺騙的可能性。在最壞的情形下，只有分發(fā)者R1和一個參與者是誠實的，剩下的N-1個參與者是密謀方。這里針對一些特殊的陰謀攻擊進行分析。

在文獻[15-16]中，竊聽攻擊使用量子記憶和輔助量子態(tài)糾纏測量系統(tǒng)，這種攻擊在文獻[17]中被證明會導(dǎo)致安全性問題。然而，文獻[16]中的攻擊不僅需要第一個參與者進行欺騙，還需要最后一個參與者也是騙子。這在本文中永遠不會發(fā)生，因為R1是第一個也是最后一個參與者是誠實的。而且，文獻[16]中的竊聽攻擊需要知道β1和J，這是不可能的，因為R1從未公開任何數(shù)據(jù)。

更一般的，騙子可以使用一些基于糾纏一個輔助量子態(tài)或在量子記憶中儲存協(xié)議量子比特或產(chǎn)生一個新的糾纏態(tài)的攻擊，在協(xié)議循環(huán)中，一個子系統(tǒng)可以進一步通信。不過他們不能獲利，原因是缺乏分發(fā)者R1公布數(shù)據(jù)，導(dǎo)致騙子有效可用的量子比特都在混合狀態(tài)，而沒有給出一個可能結(jié)果的可觀測量。而且，如果騙子聯(lián)合他們在誠實參與者上做的竊聽攻擊，根據(jù)上一節(jié)的論證，他們將在協(xié)議的檢測階段被檢測到。

為方便理解上述方案，舉例如下。

例2假設(shè)N=3，考慮一個(3,3)方案。

（1）準(zhǔn)備階段

分發(fā)者R1準(zhǔn)備量子態(tài)：

（2）分發(fā)階段

① R1隨機選定 α1,β1∈F9，令 α1=1+θ,β1=θ 。因此，x11=1,y11=1,x12=0,y12=1。

② R2隨機選定 α2,β2∈F9,令 α2=θ,β2=1。因此，x21=0,y21=1,x22=1,y22=0。

③ R3隨機選定 α3,β3∈F9,令 α3=θ,β3=θ。因此，x31=0,y31=1,x32=0,y32=1。

④ R4隨機選定 α4,β4∈F9,令 α4=θ+2,β4=θ+1。因此，x41=2,y41=1,x42=1,y42=1。

（3）測量階段

（4）檢測階段

R2、R3、R4公布他們的 β2、β3、β4，R1檢查式（5）是否成立：

因此本輪有效。之后R1檢查式（6）是否成立：

因此本輪安全。

（5）恢復(fù)階段

Rk,k=2,3,4共享他們的αk，得到密鑰：

因此本輪生成的密鑰為s=2。

6 結(jié)束語

本文首先介紹了文獻[9]基于有限域理論在奇素數(shù)冪維系統(tǒng)上無偏基的構(gòu)造方法；其次針對具體的非素有限域F9給出了關(guān)于這些無偏基的性質(zhì)，并基于這些性質(zhì)構(gòu)造了酉矩陣，進而提出了一個量子秘密共享方案。本文方案構(gòu)造了一個只涉及一個qudit的單粒子量子協(xié)議，雖然該協(xié)議沒有考慮可能的復(fù)雜攻擊，但能抵御標(biāo)準(zhǔn)的攻擊。它相比別的方案在可擴展性上展現(xiàn)了很大的優(yōu)點，對于任意多個參與者N，都可以利用該方法實現(xiàn)一個9維量子系統(tǒng)上的(N,N)門限方案。另一方面，相比文獻[14]，將素有限域維量子系統(tǒng)推廣到了非素有限域F9上，對文獻[14]進行了完善。在未來的工作中會繼續(xù)深入研究非素有限域上的量子秘密共享方案，以便就量子秘密共享協(xié)議的設(shè)計提出更加系統(tǒng)的理論基礎(chǔ)。