林 崧,常 泓

（1.福建師范大學計算機與網(wǎng)絡空間安全學院,福建 福州 350007；2.福建師范大學數(shù)字福建環(huán)境監(jiān)測物聯(lián)網(wǎng)實驗室,福建 福州 350007；3.福建師范大學數(shù)字福建大數(shù)據(jù)安全技術研究所,福建 福州 350007）

安全多方計算（SMC）[1-2]使多個參與方能夠基于其私人輸入進行聯(lián)合計算，同時保持輸入的私密性.作為現(xiàn)代密碼學的一個重要分支，安全多方計算被廣泛應用于私人拍賣、無記名投票選舉、電子商務和數(shù)據(jù)挖掘等領域.經(jīng)典SMC 的安全性是基于計算復雜性的假設.然而，隨著量子算法的提出，它變得越來越脆弱，例如Grover 搜索算法[3]和Shor 搜索算法[4].與此同時，Bennett 等[5]在1984年提出了一個理論上無條件安全的密鑰分發(fā)協(xié)議，即著名的BB84 協(xié)議，這引起了人們將經(jīng)典密碼原語擴展到量子力學領域的興趣.最近，人們提出了各種量子安全多方計算協(xié)議，如量子私密查詢[6-9]，量子保密比較[10-14]，量子安全多方求和[15-21]等.

安全多方求和是現(xiàn)實生活中常見的安全任務，它是需要構建復雜安全系統(tǒng)的一個基礎原語協(xié)議.在一個簡單的安全多方求和方案中，有n參與者，每個參與者都有一個秘密數(shù)據(jù).他們希望在不泄露任何秘密輸入信息的情況下，正確計算這些輸入的總和.2007年，Vaccaro 等[15]提出了一種量子安全多方求和協(xié)議，用于實現(xiàn)匿名投票和調查的安全任務.在這個協(xié)議中，參與者向可信的計票員發(fā)送秘密消息，計票員計算并公布匯總結果.同年，Du等[16]設計了一個基于非正交單粒子的量子秘密求和協(xié)議，該協(xié)議允許參與者以串行方式將其私有數(shù)據(jù)累積到未知數(shù)，從而實現(xiàn)安全多方求和的目標.該協(xié)議能夠抵抗n-1參與者的共謀攻擊，并實現(xiàn)漸近安全.2018年，Yang 等[17]提出了一個基于量子傅里葉變換的安全多方量子求和協(xié)議.隨后，Zhang 等[18]利用隱形傳態(tài)設計了一個巧妙的量子安全多方量子求和協(xié)議.考慮參與者的實際情形，Sutradhar 等[20]于2020年結合著名的Shamir門限秘密共享，提出了一個（t,n）門限量子安全多方量子求和協(xié)議，實現(xiàn)部分參與者安全求和任務.在此基礎上，提出了一種基于糾纏交換的量子安全多方求和（QSMMS）協(xié)議.協(xié)議中，Bell態(tài)和cat態(tài)作為信號粒子在參與者之間傳輸，并根據(jù)這些糾纏粒子的相關性設計相應的竊聽檢測，進而確保了這些粒子傳輸?shù)陌踩?參與者的秘密數(shù)據(jù)通過糾纏交換進行嵌入到這些粒子中，并在第三方的幫助下獲得計算結果.在這里，要求第三方是半信任的，也就是說，她被允許行為不當，但不能與任何一方串通.

內容安排如下：第1節(jié)介紹了本文所涉及的一些預備知識.第2節(jié)對本文所提出的量子安全求和方協(xié)議進行描述，該協(xié)議的安全性分析將在第3節(jié)給出.第4節(jié)小結本文.

1 預備知識

在描述協(xié)議之前，先來介紹一下所用到的預備知識.在一個d級量子系統(tǒng)中，量子傅里葉變換是一種常用工具，可描述如下：

其中，ξ=所以，可直接構造兩個常見的相互無偏基，B1=,且除了F外，X和Z也是常見操作：

其中，符號⊕表示累加模d.d級Bell態(tài)是EPR對在d級量子系統(tǒng)中的推廣，可表示為以下形式：

除了Bell態(tài)，cat態(tài)是另一種更為普通的糾纏態(tài).一個d級n粒子cat態(tài)可描述為：

其中u1,u2,…,un∈D.在所提協(xié)議中，用到了一類特殊的cat態(tài)，即

對該量子態(tài)通過不同基進行測量，所得的測量結果具有一定的關聯(lián)性.利用該關聯(lián)性，通過簡單計算可得到以下結論.

定理1一個(n+1)-粒子態(tài)是態(tài)|Ψ(v,u,…,u)，當且僅當它滿足以下兩個條件時：

(R1)當B1基測量每個粒子時，n+1個測量結果滿足k0⊕u=k1=k2=···=kn;

(R2)當B2基測量每個粒子時，n+1個測量結果滿足k0⊕k1⊕k2⊕···⊕kn⊕v=0.

在接到編報實施方案的通知前，項目建管單位應與設計單位加強溝通協(xié)作，做好項目區(qū)的工程勘察、測量等基礎資料收集及實施方案編制的各項準備工作，一旦經(jīng)費落實，立即編制上報；提前做好自籌資金落實、群眾投工投勞組織協(xié)調和施工占地協(xié)調等各項準備工作，為項目順利實施創(chuàng)造條件。

糾纏交換[22]作為量子信息處理的一個重要的資源，在量子計算、量子隱性傳態(tài)、密集編碼和量子密碼等領域中得到廣泛的應用.它可使得從未直接發(fā)生相互作用的量子系統(tǒng)產生糾纏，利用糾纏交換可達到實現(xiàn)信息傳遞的目的.例如，在一個由1 個n-粒子cat 態(tài)|Ψ(v,u,…,u)和n個Bell 態(tài)|Φ(ri,wi)〉(i=1,2,…,n)構成的量子系統(tǒng)中，當對cat 態(tài)粒子和每個Bell 態(tài)的一個粒子進行Bell 態(tài)測量時，剩余的粒子會坍縮成某一特定的糾纏態(tài).具體來說，Bell態(tài)和cat態(tài)的糾纏交換的整個過程可以用下面的公式表示，

這里

其中符號?表示減法模d.

2 量子安全多方求和協(xié)議

在所提協(xié)議中，有n個相互不信任的參與者，標記為P1，P2，…，Pn，并且每個參與者Pi（i=1,2,…,n）都有一個私密數(shù)據(jù)集這里，可設…m}且d>sup{S}.在一個半可信的第三方（TP）的幫助下，P1，P2，…，Pn可利用下述步驟聯(lián)合計算總和并保持各自數(shù)據(jù)集Di的私密性.

1)每一方P（ii=1,2,…,n）都準備個L+σ個d級Bell態(tài)，其中，下標hji和表示一個糾纏對中兩個不同的qudits，且（jj=1,2,3,…,L+σ）表示糾纏對的順序.Pi從每個Bell 態(tài)中分別取出hji和tij粒子，形成兩個有序的粒子序列Hi=(h1i,h2i,…,hLi+σ)和Ti=(ti1,ti2,…,tiL+σ).TP制備L+nδ個d級cat 態(tài)并從每個cat 態(tài)|ψ(vj,uj,uj,…,uj)中取出sji形成n+1個有序序列S0=其中下標j=1,2,…,L+nδ表示粒子的順序.

2)TP保留粒子序列S0在自己手中，并將Si發(fā)送給Pi.同時，Pi發(fā)送粒子序列Ti給TP，并保留粒子序列Hi.以上粒子傳輸過程在圖1中展示.

圖1 TP和Pi的分發(fā)過程Fig.1 The particle transmission process between TP and each Pi

3)在TP和參與者都確認接收到粒子序列后，n+1方（TP和n個參與者）合作執(zhí)行以下兩個竊聽檢測.

檢測1首先，Pi從Si中隨機選擇δ個粒子作為樣本.對于每一個樣本粒子，Pi隨機選擇B1基或B2基對粒子進行測量.然后Pi要求TP 和其他n-1 個參與者對相應粒子用相同的基進行測量，之后，TP 宣布樣本粒子的初態(tài)和她的測量結果k0，然后，n-1 個參與者以隨機順序宣布他們的測量結果.根據(jù)公布的信息，Pi能檢查測量的結果是否滿足條件(R1)和(R2).用這種方式，Pi能計算出錯誤率.一旦錯誤率高于某一確定的閾值，將放棄協(xié)議.否則，將繼續(xù)執(zhí)行.

檢測2首先，TP 從每個Ti（i=1,2,…,n）中隨機選擇σ 個粒子作為樣本.對于每一個樣本粒子，TP 隨機選擇B1基或B2基對粒子進行測量.然后TP 要求Pi對相應粒子用相同的基進行測量，之后，Pi將他的測量結果告知TP.根據(jù)公布的信息，TP 能檢查測量的結果是否滿足條件(R1)和(R2).用這種方式，TP 能計算出錯誤率.一旦錯誤率高于某一確定的閾值，她將放棄協(xié)議.否則，將繼續(xù)執(zhí)行.

4)Pi（i=1,2,…,n）對他的私密數(shù)據(jù)集進行編碼.具體地說，Pi隨機產生一個變量rji，進而得到wji=這樣就使得xji=rij⊕wji.隨后，Pi對手中粒子串Hi的第j個粒子進行操作.這樣，該兩粒子糾纏態(tài)將從變?yōu)槿缓?，他對粒子sji和粒子hji進行Bell 態(tài)測量.假設該測量結果是，其中最后，Pi計算

并將該經(jīng)典信息告訴TP.

5)當所有參與者都執(zhí)行上述操作后，就發(fā)生糾纏交換，即TP 手中的對應粒子sj0和t1j,t2j,…tnj坍縮到某一個cat態(tài).這樣，TP對這些粒子進行測量，就可得到相應的測量結果.不妨設該態(tài)為那么因此，TP就可根據(jù)測量結果和經(jīng)典信息qji，推得求和結果，即

最后，TP公布該求和結果.

3 安全分析

在本節(jié)中，對所提協(xié)議的安全性進行分析.TP 和參與者之間的量子信道的安全性由竊聽檢測過程保證.因此，明顯地，直接竊取信息是不可行的.內部攻擊比外部攻擊更有力，故專注于內部攻擊.此外，TP不完全可信，也可能竊取秘密輸入.因此，本文將分別討論這兩種攻擊，即不誠實的參與者的攻擊和半可信的TP的攻擊.

3.1 不誠實的參與者的攻擊

此種攻擊中，設Pm(記為P*m)是不誠實的且想竊取多有或者部分有關Pl的私密數(shù)據(jù)的信息.他能執(zhí)行兩個常見攻擊策略中的一種去攻擊本章所提協(xié)議，具體描述如下.

Case1：截獲重發(fā)攻擊在步驟2)中，TP傳輸序列Sl給Pl，Pl傳輸序列Tl給TP.因此,P*m能利用這次機會去執(zhí)行他的攻擊.具體地，P*m制備幾個假粒子，并用這些假粒子代替信號粒子.我們先來分析TP 傳輸序列Si給Pi的情況.序列Sl包含了部分Pl的信息，當它在步驟2)中傳輸時，P*m攔截這個粒子序列.攔截后，P*m可通過測量得到在步驟4)中用于計算的u值.然而，這種行為在檢測1中會被發(fā)現(xiàn).因此，這個攻擊將會失敗.接下來，分析Pi傳輸序列Ti給TP 的情況.類似地，當序列Tl在步驟2)中傳輸時，P*m攔截并測量這個粒子序列.在那之后，P*m能獲得步驟4)的計算過程中wjl的值.然而，這種行為在檢測2 中會被發(fā)現(xiàn).因此，這個攻擊也將會失敗.結果，這個協(xié)議對于截獲重發(fā)攻擊是安全的.

Case2：糾纏附加粒子攻擊此種攻擊中，首先分析Pi傳輸序列Ti給TP 的情況.在Pl發(fā)送序列Tl給TP之前，P*m制備一個附加粒子并執(zhí)行一個確定的酉操作在這個附加粒子和序列Tl的傳輸粒子上，這將使得兩個粒子變?yōu)榧m纏態(tài).協(xié)議最后，他將利用這個附加粒子來竊聽Pl的所有或者部分信息.接下來，將說明即使他擁有無限的計算能力，由于技術受到量子力學定律的限制，在檢測2中不引入錯誤的情況下，P*m不能獲得任何關于Pl秘密輸入的信息.

Pm*對序列Tl中粒子tlj(粒子T)和糾纏附加粒子(粒子E)的最一般操作如下：

其中f∈D.態(tài)是由U唯一確定的純態(tài).從U的幺正性可得出如下條件：

其中f,f′∈D.當f≠f′(或f=f′)，δf,f′=0(或1).

在P*m執(zhí)行完U操作后，粒子H、T和E組成的粒子系統(tǒng)將變?yōu)槿缦聽顟B(tài)，

檢測2中，可從條件(R1)得到

根據(jù)公式(13～14)，可進一步得到

當Pi和TP用B2測量粒子時，系統(tǒng)的態(tài)可寫為：

從條件(R2)可得

通過計算可得

進而可推得

這樣，就成功推出Pm*成功竊聽的條件.當Pm*糾纏一個附加粒子在粒子T 上，f等于g的概率為當一個檢測序列有σ個粒子，f等于g的概率是當σ趨于無窮大，P*m成功竊聽的概率趨于0.P*m竊聽Sl的情況與上類似.

3.2 半可信的TP攻擊

現(xiàn)在，來簡要討論一下TP企圖竊聽私密數(shù)據(jù)的情況.在所提協(xié)議中，TP被允許自己行為不當，但不會與任何參與者合謀.為了得到參與者的有用信息.TP 必須獲取參與者的r和w粒子，而不向檢測中引入任何錯誤.如果TP 誠實的執(zhí)行協(xié)議，在糾纏交換前，她在步驟2)中通過測量可得到vj,uj和wji.在步驟4)中，糾纏交換后，由于Pi的公布，TP 可知即在步驟5)中，可測量得到和.當協(xié)議結束時，他就可知即使TP 知道如此多的信息，他也不能竊聽到rij⊕wji的值.如果TP 采取截獲重發(fā)攻擊和糾纏附加粒子攻擊，則分析結果與上節(jié)相同.

4 結語

提出了一個利用cat態(tài)和Bell態(tài)的糾纏交換來實現(xiàn)多方安全求和的量子協(xié)議.協(xié)議中，半可信第三方TP制備cat態(tài)并將這些信號粒子發(fā)送給每個參與者，每個參與者制備Bell態(tài)并將其中的一個粒子發(fā)給TP.然后，每個參與者通過對Bell態(tài)粒子進行相應的局域幺正操作，嵌入各自的私密數(shù)據(jù)，進而對手中的粒子的Bell基測量實現(xiàn)糾纏交換.最后，TP根據(jù)對手中cat態(tài)的測量結果和公開信息推得這些私密數(shù)據(jù)的異或和.通過對協(xié)議中的一些常見內部和外部攻擊下的分析，表明所提協(xié)議在理論上是安全的.同時，由于信號粒子在信道中僅進行一次單向傳輸，常見的物理攻擊，如木馬攻擊[20-21]，對所提協(xié)議也是無效的.雖然近年來量子技術取得長足的基本，但協(xié)議所涉及的d級cat態(tài)和d級Bell態(tài)的制備和測量在當前技術條件下仍然是困難的，特別是隨著d的增大和粒子數(shù)目的增多制備成功概率大大降低.因此，描述了一種理論上可行的量子安全多方求和協(xié)議，協(xié)議的實現(xiàn)還需要量子技術的進一步發(fā)展.