許 娟 陳漢武 劉志昊 袁家斌

(1南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京210016)

(2東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，南京210096)

由于具有理論上的無(wú)條件安全性和竊聽(tīng)的可檢測(cè)性，量子保密通信成為計(jì)算機(jī)科學(xué)和物理領(lǐng)域的一個(gè)重要研究方向.量子保密通信中研究最早、最成熟的是量子密鑰分配(quantum key distribution，QKD)［1］.隨后，學(xué)者們開(kāi)始研究如何利用量子特性實(shí)現(xiàn)多方之間共享經(jīng)典密鑰［2-10］，即量子秘密共享 (quantum secret sharing，QSS).QSS可分為共享經(jīng)典信息和共享量子信息兩大類(lèi).

最初的QSS方案是基于多粒子糾纏態(tài)的［2］，但其制備較為困難［11］.因此，研究者們提出了基于單粒子態(tài)的多方 QSS 方案［3-6，9，10］，且大多借鑒了經(jīng)典秘密共享中逐位異或的思想［3-5］.文獻(xiàn)［3］介紹了一種直接對(duì)量子密鑰分配中的量子比特進(jìn)行編碼實(shí)現(xiàn)秘密共享的方案，制備方發(fā)送N個(gè)單光子給n位接收方，接收方測(cè)量之后將結(jié)果逐位異或，得到要共享的經(jīng)典密鑰;如果忽略用于檢測(cè)的光子，則制備方和接收方之間共享了N/n bit經(jīng)典信息.文獻(xiàn)［4-5］所提方案同樣只能共享N/n bit經(jīng)典信息.為了提高一方到多方QSS方案的量子比特容量，本文提出了一種基于六量子態(tài)的新方案，摒棄了對(duì)量子測(cè)量結(jié)果逐位異或的方法，具有容量高、所需量子資源少的優(yōu)點(diǎn).在該方案中，發(fā)送方負(fù)責(zé)對(duì)單光子進(jìn)行制備和測(cè)量，n位接收方僅需要進(jìn)行本地的酉操作，因而特別適用于發(fā)送方的設(shè)備條件遠(yuǎn)超過(guò)接收方的情況.

1 一方到多方QSS方案

假設(shè)發(fā)送方Alice要將一個(gè)二進(jìn)制秘密A0=發(fā)送給Bob 1，Bob 2，…，Bob n(n≥2)，并希望只有n位Bob一起合作時(shí)才能得到這個(gè)秘密，任意m位Bob(m＜n)不能得到該秘密.基于六量子態(tài)的高容量QSS方案示意圖見(jiàn)圖1.圖中，Ai為二進(jìn)制串;Bi為三進(jìn)制串;A0為要共享的秘密.

圖1 基于六量子態(tài)的高容量QSS方案示意圖

所提方案的具體步驟如下.

顯然，每個(gè)光子為如下6個(gè)態(tài)之一:

隨后，Alice隨機(jī)地插入足夠的m0+M0個(gè)誘騙光子，這些誘騙光子隨機(jī)處于6個(gè)態(tài)之一.最后，Alice將N+m0+M0個(gè)光子在公開(kāi)的量子信道上傳送給Bob 1.

表1 U1和U2的作用

②Bob 1聲明接收到所有光子信號(hào)之后，Alice公布其中m0個(gè)誘騙光子的位置.然后，Bob 1對(duì)這些位置上的光子首先使用一個(gè)特殊的過(guò)濾器來(lái)避免不可見(jiàn)光子進(jìn)入操作系統(tǒng)，再用一個(gè)半透半反的光子數(shù)分裂器來(lái)分裂每一個(gè)信號(hào).如果在一個(gè)信號(hào)中探測(cè)到多個(gè)光子，則Bob 1宣布終止本次秘密共享過(guò)程，否則Bob 1隨機(jī)地使用X基、Y基或Z基對(duì)分裂后的信號(hào)進(jìn)行測(cè)量，并將測(cè)量結(jié)果告訴Alice，同時(shí)丟棄這m0個(gè)誘騙光子.Alice分析測(cè)量基選擇正確的那些測(cè)量結(jié)果的錯(cuò)誤率，如果錯(cuò)誤率高于某個(gè)閾值，則Alice宣布取消此次通信;否則，Bob 1產(chǎn)生隨機(jī)的二進(jìn)制串和三進(jìn)制串Bob 1根據(jù)的取值(0或1)，對(duì)第k個(gè)光子進(jìn)行I或σz操作，再根據(jù)的取值(0，1 或 2)，對(duì)第k個(gè)光子進(jìn)行U0，U1或U2操作.最后，Bob 1隨機(jī)地插入足夠的m1個(gè)誘騙光子，這些誘騙光子隨機(jī)處于式(2)所示的6個(gè)態(tài)之一.

③Bob i(2≤i≤n)聲明接收到所有光子信號(hào)后，Bob(i－1)公布誘騙光子的位置.然后，Bob i執(zhí)行與步驟②相同的操作，此時(shí)Bob i將誘騙光子的測(cè)量結(jié)果發(fā)給Bob(i－1)，而不是Alice，由Bob(i－1)進(jìn)行錯(cuò)誤率分析.這一過(guò)程由Bob i(2≤i≤n)依次執(zhí)行，共執(zhí)行n－1次.

④Bob n將N+mn+M0個(gè)光子發(fā)送給Alice.Alice聲明收到所有光子后，Bob n公布誘騙光子的位置.然后，Alice對(duì)這些位置上的光子隨機(jī)地使用X基、Y基或Z基進(jìn)行測(cè)量，并將測(cè)量結(jié)果告訴Bob n，同時(shí)丟棄這mn個(gè)誘騙光子.Bob n分析測(cè)量基選擇正確的那些測(cè)量結(jié)果的錯(cuò)誤率，如果錯(cuò)誤率高于某一閾值，則Bob n宣布取消此次通信;否則，所有Bob公開(kāi)宣布的值.

⑦Alice公布最初插入的M0個(gè)誘騙光子的位置.Alice和所有Bob比對(duì)這些位置上得到的初始秘密值，如果錯(cuò)誤率高于某一閾值，則丟棄該秘密;否則，剩下的二進(jìn)制串即為要共享的秘密.

2 安全性分析

盡管理論上量子保密通信可以達(dá)到無(wú)條件安全，但是如果量子通信方案考慮不周或設(shè)備存在隱患，則通信過(guò)程和機(jī)密數(shù)據(jù)仍有可能被某些巧妙的量子攻擊方法成功竊聽(tīng)而不被發(fā)現(xiàn).因此，對(duì)于QSS方案來(lái)說(shuō)，保證安全性是首要目標(biāo).

在本文方案中，Alice和Bob 1，Bob(i－1)和Bob i(2≤i≤n)，Bob n和Alice之間的通信過(guò)程與BB84 QKD方案類(lèi)似［1］，相當(dāng)于獨(dú)立的n+1個(gè)BB84 QKD過(guò)程.BB84協(xié)議被證明是無(wú)條件安全的［12］，故本文方案理論上也是安全的.下面針對(duì)幾種常見(jiàn)的量子攻擊方法進(jìn)行進(jìn)一步的安全性分析.

1)不可見(jiàn)光子攻擊［13］.竊聽(tīng)者Eve選擇一些對(duì)發(fā)送方和接收方所用單光子探測(cè)器不敏感的光子，獲得通信者的編碼信息.在本文方案的步驟②和③中使用了特殊的濾光器來(lái)避免不可見(jiàn)光子進(jìn)入接收方的操作系統(tǒng)，如果Eve的竊聽(tīng)光子沒(méi)有被濾光器過(guò)濾掉，則將被接收方的光子探測(cè)裝置探測(cè)到.

2)特洛伊木馬攻擊［14］.Bob i將一個(gè)多光子信號(hào)序列而不是單光子序列發(fā)送給Bob(i+1)，以通過(guò)多個(gè)光子副本得到Bob(i+1)的編碼信息.本文方案在步驟②和③中使用了一個(gè)半透半反光子數(shù)分裂器來(lái)檢測(cè)是否存在特洛伊木馬攻擊.如果在多個(gè)單光子探測(cè)器上同時(shí)發(fā)現(xiàn)有光子存在，則存在該攻擊.

3)截獲-重發(fā)和篡改攻擊.在 Alice，Bob 1，Bob 2，…，Bob n將光子序列分別發(fā)送給Bob 1，Bob 2，…，Bob n，Alice的過(guò)程中，竊聽(tīng)者Eve截獲光子序列，并重發(fā)一串光子給接收方;或者Eve直接對(duì)截獲的光子進(jìn)行篡改.顯然，在本方案的步驟②～④中，發(fā)送方和接收方通過(guò)比對(duì)誘騙光子的測(cè)量結(jié)果來(lái)防止這2種攻擊.

4)謊報(bào)攻擊.Bob i謊報(bào)自己的Ai和Bi，以使其他Bob不能獲得秘密信息而僅有自己能獲得.在步驟⑦中，通過(guò)樣本檢測(cè)可以防止這種謊報(bào)攻擊.

5)單光子攻擊［15］.Bob n從Bob(n－1)處得到N+mn－1+M0個(gè)光子，并通過(guò)誘騙光子比對(duì)后，保留剩下的N+M0個(gè)光子序列，然后根據(jù)隨機(jī)產(chǎn)生的An'和Bn'制備一個(gè)含有N+M0個(gè)光子的序列，并將發(fā)給 Alice;假設(shè)所有Bob按順序公布Bi，則Bob n公布自己的三進(jìn)制串，然后按照的結(jié)果去測(cè)量，以獲得并躲過(guò)安全檢測(cè).顯然，單光子攻擊對(duì)本文方案是不適用的.這是因?yàn)锳lice首先對(duì)光子進(jìn)行了操作，A0和B0對(duì)于Bob n來(lái)說(shuō)是無(wú)法獲得的，即不能根據(jù)確定正確的測(cè)量基，故Bob n也就無(wú)法獲得的值.

3 適用性分析

目前，制備糾纏態(tài)的效率較低，制備成本較高［11］，從而制備量子資源的代價(jià)遠(yuǎn)遠(yuǎn)大于制備經(jīng)典資源的代價(jià).一些多方QSS方案利用測(cè)量量子位后將結(jié)果逐位異或的思想［3-5］，假設(shè)制備方制備了N個(gè)單光子，并將其發(fā)送給n位接收方，忽略用于檢測(cè)的光子，則制備方和接收方之間僅能共享N/n bit的經(jīng)典信息.而本文方案不需要將量子比特的測(cè)量結(jié)果進(jìn)行逐位異或.發(fā)送方Alice只需將量子比特的測(cè)量結(jié)果與自己的二進(jìn)制串A0對(duì)應(yīng)位的值進(jìn)行異或，并公布該值;接收方只需將Alice公布的值和各自的二進(jìn)制串Ai(1≤i≤n)對(duì)應(yīng)位的值進(jìn)行異或，即可獲得要共享的秘密.在文獻(xiàn)［6］中，定義量子比特容量為制備1個(gè)量子比特能共享的經(jīng)典比特位數(shù)(忽略用于檢測(cè)的量子比特)，即

式中，qp為制備的量子數(shù);bs為雙方共享的經(jīng)典比特?cái)?shù);0＜ cq≤1.文獻(xiàn)［3-5］中，對(duì)于 QSS協(xié)議，cq=1/n;本文方案中，cq=1.量子比特容量可以用于衡量一個(gè)QSS方案需要量子資源的相對(duì)量.量子比特容量越大，所需的量子資源越少.由于量子資源的制備代價(jià)比經(jīng)典資源的制備代價(jià)高，因此一個(gè)方案的量子比特容量越大，制備成本就越低，也就越實(shí)用.

本文方案的另一個(gè)特點(diǎn)是，制備和測(cè)量全部由Alice來(lái)完成，所有Bob僅需進(jìn)行本地的酉操作即可.因此，本文方案對(duì)接收方的設(shè)備要求較低，特別適用于Alice的設(shè)備條件遠(yuǎn)遠(yuǎn)超過(guò)所有Bob的情況.

4 結(jié)語(yǔ)

本文提出了一種基于六量子態(tài)的高容量QSS方案.在該方案中，發(fā)送方Alice首先制備一串態(tài)為的單光子，根據(jù)要共享的秘密進(jìn)行特定的酉操作以及一次隨機(jī)的酉操作，然后將光子序列發(fā)送給Bob 1.所有Bob依次進(jìn)行隨機(jī)酉操作后，由Bob n將光子序列返回給Alice.Alice根據(jù)Bob提供的信息，使用正確的測(cè)量基對(duì)光子進(jìn)行測(cè)量，并公布與測(cè)量結(jié)果有關(guān)的信息.所有Bob通過(guò)該信息和各自的酉操作即可獲得要共享的秘密.本文方案可抵御常見(jiàn)的不可見(jiàn)光子、特洛伊木馬、截獲-重發(fā)、篡改、謊報(bào)等攻擊，具有較好的安全性.理論分析結(jié)果表明，該方案的量子比特容量比已有的類(lèi)似方案高，因此所需量子資源相對(duì)較少，實(shí)現(xiàn)代價(jià)較低.另外，本文方案中接收方所需的操作較簡(jiǎn)單，特別適用于發(fā)送方設(shè)備條件遠(yuǎn)超過(guò)接收方的情況.

References)

［1］Bennett C H，Brassard G.Quantum cryptography:public key distribution and coin tossing［C］//Proceedings of IEEE International Conference on Computers，Systems and Signal Processing.Bangalore，India，1984:175-179.

［2］Karlsson A，Koashi M，Imoto N.Quantum entanglement for secret sharing and secret splitting［J］.Physical Review A，1999，59(1):162-168.

［3］Guo G，Guo G.Quantum secret sharing without entanglement［J］.Physics Letters A，2003，310(4):247-251.

［4］Yan F L，Gao T.Quantum secret sharing between multiparty and multiparty without entanglement［J］.Physical Review A，2005，72(1):012304.

［5］Gao T，Yan F L，Li Y C.Quantum secret sharing between m-party and n-party with six states［J］.Science in China Series G，2009，52(8):1191-1202.

［6］Xu J，Chen H，Liu W，et al.An efficient quantum secret sharing scheme based on orthogonal product states［C］//Proceeding of 2010 IEEE Congress on Evolutionary Computation.Barcelona，Spain，2010:949-952.

［7］Shi R H，Huang L S，Yang W，et al.Asymmetric multi-party quantum state sharing of an arbitrary m-qubit state［J］.Quantum Information Processing，2011，10(1):53-61.

［8］Liu Z H，Chen H W，Xu J，et al.High-dimensional deterministic multiparty quantum secret sharing without unitary operations［J］.Quantum Information Processing，2012，11(6):1785-1795.

［9］Xu J，Chen H W，Liu Z H，et al.Quantum secret sharing without exclusive OR of qubits'measuring results［C］//Proceedings of 2012 IEEE Congress on Evolutionary Computation.Brisbane，Australia，2012:613-616.

［10］Xu J，Yuan J B.Improvement and extension of quantum secret sharing using orthogonal product states［J］.International Journal of Quantum Information，2014，12(1):1450008.

［11］Wagenknecht C，Li C M，Reingruber A，et al.Experimentaldemonstration ofa heralded entanglement source［J］.Nature Photonics，2010，4:549-552.

［12］Shor P W，Preskill J.Simple proof of security of the BB84 quantum key distribution protocol［J］.Physical Review Letters，2000，85(2):441-444.

［13］Cai Q.Eavesdropping on the two-way quantum communication protocols with invisible photons［J］.Physics Letters A，2006，351(1):23-25.

［14］Deng F G，Li X H，Zhou H Y，et al.Erratum:improving the security of multiparty quantum secret sharing against Trojan Horse attack(Phys.Rev.A 72，044302(2005))［J］.Physical Review A，2006，73(4):049901.

［15］Li C M，Chang C C，Hwang T.Comment on“quantum secret sharing between multiparty and multiparty without entanglement”［J］.Physical Review A，2006，73(1):016301.