李雪楊，昌 燕，張仕斌，代金鞘，鄭 濤

(成都信息工程大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，四川 成都 610225)

0 引 言

量子秘密共享(QSS)是經(jīng)典秘密共享和量子理論的結(jié)合[1-9]，它使得秘密信息(經(jīng)典信息或量子編碼信息)通過量子操作分發(fā)、傳輸和恢復(fù)。QSS的安全性基于量子力學(xué)的基本原理，這使得QSS比傳統(tǒng)的秘密共享更安全。最早的QSS方案由Hillery等在1999年提出[10]，他們采用(Greenberger-Horne-Zeilinger，GHZ)糾纏態(tài)完成了秘密共享。此后，越來越多的基于Bell糾纏態(tài)或多粒子糾纏態(tài)的QSS方案被提出[11-13]。然而，利用Bell態(tài)或多粒子糾纏態(tài)的糾纏特性來完成粒子隱形傳態(tài)，實現(xiàn)秘密共享方案，糾纏態(tài)的制備需要消耗較多資源，且在現(xiàn)有技術(shù)下不易制備和測量，這些技術(shù)障礙使得此類QSS方案的實用性大大降低。對此，郭國平、郭光燦提出一種無糾纏的QSS方案[14]，通過基于密鑰的秘密共享完成經(jīng)典信息的秘密共享，此后，閆鳳利等提出一種無糾纏的多方和多方之間的QSS方案[15]，但隨后文獻(xiàn)[16]指出該方案在粒子傳輸上存在安全隱患，造成秘密信息泄露，并給出了相應(yīng)改進(jìn)措施。此類QSS方案雖然沒有采用糾纏態(tài)粒子的糾纏特性完成秘密共享，但很難保證粒子傳輸?shù)陌踩浴?/p>

量子行走的概念最早在1993年被Aharonov等提出[17]，它起初是用于研究量子擴散現(xiàn)象，是經(jīng)典隨機行走的量子模擬。隨后，Ambainis等提出了線性量子行走模型[18]，并被Aharonov等提升為圖上的量子行走模型[19]。此后，人們提出了許多關(guān)于量子行走的研究[20-23]。最近，量子行走已被證明是量子信息處理任務(wù)中的一種有前景的資源，它可以用來實現(xiàn)門集，已在許多物理系統(tǒng)中制造。

由于量子行走可以使粒子間產(chǎn)生糾纏關(guān)系，我們提出一種不依賴于初始糾纏態(tài)粒子制備且更為有效的QSS方案。在我們的方案中，我們采用量子行走系統(tǒng)使得單粒子在量子行走過程中自發(fā)產(chǎn)生糾纏，這使得我們的方案不需要制備初始糾纏態(tài)粒子，只需要制備單粒子，而單粒子在現(xiàn)有技術(shù)下更容易生成和測量。此外，我們利用編碼規(guī)則將秘密信息編碼為量子態(tài)，并采用兩步量子行走系統(tǒng)完成粒子的隱形傳態(tài)，確保了粒子在通訊過程中的安全性。

1 基礎(chǔ)理論

1.1 線性量子行走

量子行走是以量子作為載體對經(jīng)典隨機行走進(jìn)行的模擬，它可以根據(jù)量子的測不準(zhǔn)性來模擬混沌非線性的動態(tài)行走行為，建立加密的量子傳輸通道。

量子行走發(fā)生在一個復(fù)合的希爾伯特空間中，由兩個主要的量子空間組成，分別是位置空間和硬幣空間，表示為

H=Hp?Hc

(1)

其中，Hp表示位置空間 {n,n∈Z}，Hc表示硬幣空間，即量子行走的硬幣方向 {|0〉,|1〉}。

量子行走的每個步驟W(l)可以描述為等式

W(l)=E(l)·(I?C)

(2)

其中，E(l)=S?|0〉〈0|+S??|1〉〈1|，S為移位運算符，S=∑n|n+1〉〈n|，I是Pauli操作符σI，C是硬幣操作符，當(dāng)硬幣操作符為 |0〉 態(tài)時，它使硬幣粒子從 |n〉 態(tài)移動到 |n+1〉 態(tài)，當(dāng)硬幣操作符為 |1〉 態(tài)時，它使得硬幣粒子向后移動到 |n-1〉 態(tài)。

1.2 兩步量子行走的隱形傳態(tài)系統(tǒng)

通過兩步量子行走，移位算子可以帶來位置空間和硬幣空間之間的糾纏。因此，我們可以將這種糾纏資源用于粒子的隱形傳態(tài)。具體的講，我們選擇以兩個硬幣為基礎(chǔ)的量子行走系統(tǒng)，通過選擇合適的初始態(tài)和匹配的測量基，我們可以在雙方間成功地隱形傳態(tài)任何未知量子比特，這使得粒子的隱形傳態(tài)不再依賴于制備初始糾纏態(tài)粒子。

假設(shè)Alice想給Bob隱形傳態(tài)未知量子態(tài) |φ〉=α|0〉+β|1〉，其中 |α|2+|β|2=1。為了完成隱形傳態(tài)，Alice需要準(zhǔn)備兩個粒子，A1和Ap，A1是Alice需要要隱形傳態(tài)的未知量子比特，它也被記為coin1，Ap的粒子態(tài)是位置空間的態(tài)。同樣，Bob準(zhǔn)備粒子B，它也被記為coin2。Ap和B的初始態(tài)都為 |0〉。經(jīng)過兩步量子行走，粒子A1能完成與粒子B間的隱形傳態(tài)。

第一步量子行走W(1)為

W(1)=E(1)·(Ap?C1?A1)

(3)

其中

E(1)=S?|0〉1〈0|?B+S??|1〉1〈1|?B

(4)

在式(3)和式(4)中，C1表示coin1-A1的操作符，我們的協(xié)議選擇Pauli操作I作為C1操作符。

第二步量子行走W(2)為

W(2)=E(2)·(Ip1?H?B)

(5)

其中

E(2)=S?|0〉2〈0|+S??|1〉2〈1|

(6)

式中：H表示對coin2-B粒子執(zhí)行Hadamard操作。如果采用的B粒子的初始態(tài)為 |+〉 態(tài)，這個操作符應(yīng)被替換為I操作。

然后，Alice將A1粒子和Ap粒子的測量結(jié)果λ1和λ2告知Bob，Bob根據(jù)λ1和λ2以及表1對B粒子做出相應(yīng)的Pauli恢復(fù)操作，完成B粒子關(guān)于A1粒子的隱形傳態(tài)。

我們詳細(xì)的推導(dǎo)下兩步量子行走過程W(1)和W(2)

W(1)=E(1)·(Ap?C1?A1)=
(|1〉p〈0|?|0〉1〈0|+|-1〉p〈0|?|1〉1〈1|)?|0〉2·
(|0〉p?(a|0〉+b|1〉)1)=
(a|100〉+b|-110〉)p12

(7)

通過分析計算，可以發(fā)現(xiàn)，經(jīng)過W(1)，Ap粒子和A1粒子間產(chǎn)生了糾纏關(guān)系，它們的復(fù)合態(tài)從 (a|0〉+b|1〉)1?|0〉p變?yōu)榱?(a|10〉+b|-11〉)p1。

(8)

現(xiàn)在，A1和B也處于糾纏態(tài)了，當(dāng)Alice測量粒子A1時，根據(jù)量子力學(xué)理論，粒子Ap和B將坍縮到相應(yīng)的狀態(tài)

(9)

然后Alice用Q基測量Ap粒子，粒子B也會坍縮到相應(yīng)的狀態(tài)

(10)

(11)

最后，Alice將測量結(jié)果告知Bob。根據(jù)這些測量結(jié)果，Bob在粒子B上執(zhí)行相應(yīng)的Pauli操作以恢復(fù)未知的量子態(tài)。測量結(jié)果與Pauli操作之間的關(guān)系見表1。

表1 測量結(jié)果與Pauli操作間的關(guān)系

其中，4種Pauli操作表示為

σI=|0〉〈0|+|1〉〈1|

(12)

σZ=|0〉〈0|-|1〉〈1|

(13)

σX=|0〉〈1|+|1〉〈0|

(14)

σZX=|0〉〈1|-|1〉〈0|

(15)

以上表明，量子行走可以用于粒子的隱形傳態(tài)而不依賴于初始階段制備糾纏粒子，且硬幣狀態(tài)具有的不可預(yù)測的混沌非線性動態(tài)行為使得量子行走在理論上具有產(chǎn)生隨機空間以抵抗暴力攻擊的能力，進(jìn)而可以研究基于兩步量子行走的隱形傳態(tài)系統(tǒng)在量子秘密共享中的應(yīng)用。因此，我們提出了一種基于量子行走的量子秘密共享方案。

2 基于量子行走的量子秘密共享方案

協(xié)議包括秘密分發(fā)者Alice，參與者Bob，Charlie。協(xié)議分為粒子準(zhǔn)備階段，秘密信息編碼階段，秘密信息分發(fā)階段，以及秘密信息恢復(fù)階段。Alcie根據(jù)規(guī)則將需要分享的秘密信息編碼為量子態(tài)，并將編碼粒子拆分為兩部分，然后通過量子行走系統(tǒng)將兩條加密信息分別隱形傳態(tài)給Bob，Charlie。在進(jìn)行竊聽檢測后，Bob和Charlie根據(jù) Alice 公布的結(jié)果測量手中的粒子串，完成隱形傳態(tài)。此后，Bob和Charlie能夠通過合作解密Alice的秘密信息。詳細(xì)方案如下。

2.1 粒子準(zhǔn)備階段

在粒子準(zhǔn)備階段，Alice，Bob，Charlie準(zhǔn)備一些粒子用于量子行走系統(tǒng)的隱形傳態(tài)。Alice準(zhǔn)備粒子串Ap用于量子行走系統(tǒng)的隱形傳態(tài)，其中Ap=|010203…0n〉。Bob準(zhǔn)備初始態(tài)為 |0〉 粒子串Bp用于完成與Alice的子秘密信息的隱形傳態(tài)，其中Bp=|010203…0n〉。Charlie和Bob一樣，他準(zhǔn)備初始態(tài)為 |0〉 粒子串Cp用于完成與Alice的子秘密信息的隱形傳態(tài)，其中Cp=|010203…0n〉。

2.2 秘密信息編碼階段

在秘密信息編碼階段，Alice生成一串n比特的二進(jìn)制隨機序列L，然后她根據(jù)L將n比特的原始信息M編碼為兩粒子比特串 {|b1c1〉,|b2c2〉,|b3c3〉…|bncn〉}，編碼規(guī)則見表2。

表2 字符串L,M以及 |bc〉 的相應(yīng)位值

表2的含義是兩粒子比特串 |bc〉 的測量基由L確定，而它們的特征向量由M確定。這意味著當(dāng)L為0時，|bici〉 的測量基為Z基；當(dāng)L為1時，|bici〉 的測量基為X基；|bi〉XOR|ci〉 的結(jié)果等于Mi。這里 |+〉=1/2(|0〉+|1〉)，|-〉=1/2(|0〉-|1〉)。

然后，Alice按序抽取 |b〉 粒子生成B=|b1b2b3…bn〉，按序抽取 |c〉 粒子生成C=|c1c2c3…cn〉。例如，如果L是0110，M是1011，兩粒子比特串 |bc〉 可以生成為 {|01〉,|- -〉,|+ -〉,|10〉}，進(jìn)而B=|0- +1〉，C=|1- -0〉。只有制備者Alice確切地知道她制備的兩粒子比特 |bici〉，B串或C串不能獨自地推斷出M的信息。此時，秘密信息的編碼完成。

2.3 秘密信息分發(fā)階段

在秘密信息分發(fā)階段，Alice通過量子行走系統(tǒng)，將M的子秘密信息B隱形傳態(tài)給Bob，子秘密信息C隱形傳態(tài)給Charlie。

(1)Alice隨機的在B中插入k比特的誘騙粒子用于竊聽檢測。通過量子行走系統(tǒng)，Alice將插入誘騙粒子的信息BK隱形傳態(tài)給Bob，其中BK={b1,b2,b3…bn+k}。我們以bi粒子的隱形傳態(tài)為例。此前，Alice已經(jīng)準(zhǔn)備了初始態(tài)為 |0〉 的粒子Api用于量子行走系統(tǒng)的隱形傳態(tài)，Alice將bi作為量子行走系統(tǒng)中需要被隱形傳態(tài)的粒子，其中bi=α|0〉+β|1〉，|α|2+|β|2=1。Bob已在粒子準(zhǔn)備階段準(zhǔn)備了量子比特串Bp，他將粒子Bpi作為量子行走系統(tǒng)中的接收粒子，Bpi處于 |0〉 態(tài)?，F(xiàn)在，整個量子行走系統(tǒng)的初始狀態(tài)可以寫為

|Φ〉=Api?bi?Bpi=
|0〉p?(α|0〉+β|1〉)1?|0〉2

(16)

經(jīng)過第一步量子行走W(1)之后，整個系統(tǒng)態(tài)變?yōu)?/p>

|Φ〉(1)=(α|100〉+β|-110〉)p12

(17)

經(jīng)過第二步量子行走W(2)之后，整個系統(tǒng)態(tài)變?yōu)?/p>

|Φ〉(2)=(α|200〉+α|001〉+β|010〉+β|-211〉)p12

(18)

(3)Alice將λ1序列和λ2序列公布給Bob，Bob結(jié)合表1 對粒子Bp做Pauli恢復(fù)操作來獲得目標(biāo)態(tài)。此后，Bob完成了來自于Alice的未知粒子的隱形傳態(tài)，Bpi粒子的態(tài)轉(zhuǎn)化為了BKi粒子的態(tài)。

(4)在Bob聲稱收到所有粒子后，Alice開始進(jìn)行竊聽檢測。Alice宣布誘餌粒子的位置和測量基，Bob選擇合適的測量基來測量每個誘餌粒子，Alice根據(jù)Bob的測量結(jié)果，她可以評估粒子傳輸過程中的錯誤率。如果錯誤率超過指定的閾值ε，則他們終止該通信，然后從頭開始重復(fù)該方案，直到錯誤率可接受為止。否則，Alice繼續(xù)進(jìn)行秘密信息分發(fā)。

(5)Bob丟棄粒子串Bp中的k比特誘騙粒子獲得n比特量子秘密信息Mb。

(6)Alice同樣使用量子行走系統(tǒng)將加入k比特誘騙粒子的子秘密信息CK隱形傳態(tài)給Charlie，本次，Alice分別用γ1和γ2表示測量基X和Q的測量結(jié)果序列。

(7)Alice將γ1序列和γ2序列公布給Charlie，Charlie結(jié)合表1對粒子Cp做Pauli恢復(fù)操作來獲得目標(biāo)態(tài)。此后，Charlie完成了來自于Alice的未知粒子的隱形傳態(tài)，Cpi粒子的態(tài)轉(zhuǎn)化為了CKi粒子的態(tài)。

(8)在Charlie聲稱收到所有粒子后，Alice開始進(jìn)行竊聽檢測。Alice宣布誘餌粒子的位置和測量基，Charlie選擇合適的測量基來測量每個誘餌粒子，Alice根據(jù)Charlie的測量結(jié)果，她可以評估粒子傳輸過程中的錯誤率。如果錯誤率超過指定的閾值ε，則他們終止該通信，Alice從頭開始重復(fù)該方案。

(9)Charlie丟棄粒子串Cp中的k比特誘騙粒子獲得n比特量子秘密信息Mc。此時，Alice通過量子行走系統(tǒng)完成她與Bob、Charlie的子秘密信息的隱形傳態(tài)。

2.4 秘密信息恢復(fù)階段

(1)通過量子行走系統(tǒng)，Bob手中持有長度為n比特的量子秘密信息Mb，Charlie手中持有長度為n比特的量子秘密信息Mc。Alice向Bob和Charlie公布決定兩個粒子串測量基的字符串L。

(2)Bob和Charlie根據(jù)Alice公布的字符串L選擇測量基Z或X測量手中的量子秘密信息Mb和Mc，即，在L的位值為0的情況下采用Z基測量，在L的位值是1情況下采用X基測量。Mb和Mc的測量結(jié)果分別記為Rb和Rc。

(3)Bob和Charlie可以通過合作，根據(jù)MbXORMc恢復(fù)出Alice的原始秘密信息M。

3 安全性分析

本方案可以有效抵御內(nèi)部參與者攻擊和外部攻擊，保證秘密共享過程的安全性。

(1)內(nèi)部攻擊

Bob無法通過猜測Charlie手中粒子串Mc的測量結(jié)果推斷Alice的原始信息M，因為只有Alice確切知道她準(zhǔn)備的那對粒子 |bici〉。我們假設(shè)Bob有50%的概率猜對另一個粒子ci，可以根據(jù)統(tǒng)計數(shù)據(jù)定量評估Bob成功推斷整個消息M的概率Pi

(19)

其中，k表示被正確猜測的粒子總數(shù)，N表示整個信息M的長度。概率Pi符合二項分布和二項式系數(shù)

(20)

通過計算N=100，N=500，N=1000時正確猜測的粒子數(shù)k下成功推斷整個消息的概率Pi，可知對于不同的N，Pi在區(qū)間(0,k)上存在它的最大值 (Pmax(N=100)≈0.0918，Pmax(N=500)≈0.0412，Pmax(N=1000)≈0.0291)，并且隨著N的增大而減小。因此，可以得出結(jié)論，編碼方案可以有效地完成秘密信息編碼，Bob無法通過猜測成功推斷出原始信息M。

(2)外部攻擊

第一種：截獲/重發(fā)攻擊。外部攻擊者Eve或者任何參與者無法通過截獲/重發(fā)攻擊有效竊取秘密信息，因為我們在粒子的量子行走過程中添加了誘騙粒子用于避免此類攻擊。假設(shè)Eve截獲量子行走系統(tǒng)中Bob的接收粒子串Bp，然后將另一串粒子序列重新發(fā)送給接收方。由于Eve對誘騙粒子的位置和測量基一無所知，接收方會獲得不相關(guān)的測量結(jié)果，這使得粒子傳輸過程中的錯誤率增加，導(dǎo)致該對話終止。因此，Eve的截獲/重發(fā)攻擊對該方案無效。

第二種：糾纏攻擊。外部攻擊者Eve或者任何參與者也無法通過糾纏攻擊來獲取信息，因為信息在量子信道中傳輸時，信息被編碼為粒子序列并用離散時間量子行走系統(tǒng)加密。假設(shè)Eve為獲取隱形傳態(tài)中接收粒子的信息，截獲量子行走系統(tǒng)中Charlie的接收粒子串Cp，并用新的粒子e與Cpi纏繞在一起形成一個更大的希爾伯特空間，其中Cpi={|0〉、|1〉、|+〉、|-〉}

E?|0e〉=a|0e00〉+b|1e01〉

(21)

E?|1e〉=b′|0e10〉+a′|1e11〉

(22)

(23)

(24)

其中，E是Eve的單一操作矩陣，表示為

(25)

由E運算符決定的4個 {e00,e01,e10,e11} 純狀態(tài)滿足歸一化條件

(26)

因為EE*=1，a，b，a′，b′滿足以下關(guān)系

|a|2+|b|2=1,|a′|2+|b′|2=1,ab*=(a′)*b′

(27)

我們可以獲得結(jié)果

|a|2=|a′|2,|b|2=|b′|2

(28)

如果Eve的攻擊粒子處于糾纏態(tài)，這種竊聽者的干擾將不可避免地引入錯誤，我們可以以PE的概率檢測到竊聽者的存在

PE=|b|2=1-|a|2=|b′|2=1-|a′|2

(29)

如果Eve不想引入誤差，則總粒子必須與Eve的輔助粒子以直積態(tài)相關(guān)。然而，在直積態(tài)下，輔助粒子e與Cpi粒子之間沒有任何相關(guān)性，因此Eve沒有得到任何有用信息，這說明了糾纏攻擊是徒勞的。

4 結(jié)束語

在本文中，我們分析了之前主要的基于糾纏態(tài)的量子秘密共享方案，以及無糾纏的量子秘密共享方案，并提出了一種基于量子行走的量子秘密共享方案，該方案在初始粒子準(zhǔn)備階段僅采用單粒子并通過量子行走系統(tǒng)完成粒子態(tài)的隱形傳態(tài)。

與以前的量子秘密共享方案不同，我們的方案的優(yōu)點歸納如下。第一，我們的方案在初始粒子的制備中不需要制備糾纏態(tài)粒子，而是采用單粒子，糾纏態(tài)粒子制備的困難性可以表明基于糾纏態(tài)的量子秘密共享方案在某些情況下是不值得的，畢竟實用性是量子信息論的重要追求。第二，秘密分發(fā)者的原始信息被巧妙拆分為子秘密信息并編碼為量子態(tài)，沒有人可以從子集中推斷出原始信息。第三，方案的量子通信過程是通過量子行走完成，單粒子在兩步量子行走過程中自發(fā)地產(chǎn)生糾纏，從而實現(xiàn)了單粒子態(tài)的隱形傳態(tài)，無論是在量子計算還是量子模擬，現(xiàn)已有很多量子行走實驗被成功實現(xiàn)，量子行走是量子通信中所需要的。此外，最后的安全性分析表明，基于量子行走的加密量子隱形傳態(tài)系統(tǒng)，根據(jù)其固有的不可預(yù)測的混沌非線性動態(tài)行為，使得我們的方案能夠抵御內(nèi)部攻擊和外部糾纏攻擊，在當(dāng)前技術(shù)下是安全可行的。