石潤華，于輝，柯唯陽，徐小桐

（華北電力大學(xué)控制與計(jì)算機(jī)工程學(xué)院，北京 102206）

0 引言

投票是日常生活中一項(xiàng)重要活動，重要事項(xiàng)表決以及選舉都采取投票制。紙質(zhì)投票因受時(shí)間地點(diǎn)限制，不適用于大規(guī)模投票場景。電子投票因具有高效性和便捷性，逐漸取代了紙質(zhì)投票，成為表決的主流方式。電子投票[1]利用互聯(lián)網(wǎng)傳輸經(jīng)典密碼學(xué)算法加密后的投票信息，目前提出的電子投票協(xié)議大多基于盲簽名[2]和組簽名[3]技術(shù)。最著名的電子投票協(xié)議是Fujioka 等[4]提出的FOO（Fujioka Okamoto Ohta）算法，它是一種基于盲簽名、比特承諾技術(shù)以及數(shù)字簽名技術(shù)的電子投票協(xié)議。然而，這些電子投票協(xié)議的共同特點(diǎn)是安全性基于未被證明的假設(shè)，因此只能保證計(jì)算安全。

隨著量子通信和量子計(jì)算機(jī)的發(fā)展，計(jì)算速度越來越快，求解數(shù)學(xué)困難性問題的復(fù)雜性大幅降低，從而對經(jīng)典密碼學(xué)的安全構(gòu)成了威脅，量子密碼學(xué)[5]也因此得到越來越多的關(guān)注。量子投票[6]利用量子密碼學(xué)對投票信息進(jìn)行編碼，其安全性受量子力學(xué)原理保證，理論上具有無條件的安全性，并且可以檢測信道中的竊聽行為。Hillery 等[7]對投票進(jìn)行分類，提出了移動式投票和分配式投票2 種投票模式。Vaccaro 等[8]提出了比較投票，根據(jù)2 個(gè)人的投票來判斷他們的操作是否相同。在比較投票和移動式投票的基礎(chǔ)上，匿名投票被提出[9]。在其研究基礎(chǔ)上，許多學(xué)者都提出自己的量子投票方案[10-12]。

具有一票否決功能的投票協(xié)議是指：若有至少一個(gè)投票者反對，決議被否決，但任何投票者都無法知道誰投了反對票，從而保護(hù)了投票者的隱私。該投票場景主要用于防止少數(shù)服從多數(shù)，經(jīng)典電子投票領(lǐng)域已產(chǎn)生許多研究成果。Kiayias 等[13]提出了一種基于DDH（decisional Diffie-Hellman）假設(shè)和零知識證明的投票方案。仲紅等[14]提出了一種半誠實(shí)模型下的電子投票方案，主要利用多精度運(yùn)算和安全多方求和。楊志勇等[15]提出了一種不需要可信第三方的基于安全多方求和的一票否決方案。延吉紅等[16]提出了一種安全高效的投票方案，使當(dāng)串謀人數(shù)小于n–1 時(shí)，方案滿足完全保密性。此外，在經(jīng)典密碼算法的基礎(chǔ)上出現(xiàn)了安全性更高的量子一票否決協(xié)議。Rahaman 等[17]提出了一種多粒子GHZ（Greenberger-Horne-Zeilinger）態(tài)先驗(yàn)糾纏的量子匿名一票否決（QAOV,quantum anonymous one-vote veto）協(xié)議，該協(xié)議以泄露部分投票隱私為代價(jià)，當(dāng)偶數(shù)票同意或者奇數(shù)票反對即可實(shí)現(xiàn)投票結(jié)果，然而，由于多粒子GHZ 態(tài)制備困難，其可實(shí)現(xiàn)性不好。Wu 等[18]提出了一種基于量子位和Pauli 運(yùn)算Z 和X 的量子匿名一票否決協(xié)議，使用的量子資源和量子操作較簡單。然而，該協(xié)議利用一個(gè)半誠實(shí)的服務(wù)器作為投票管理中心來制備量子態(tài)和生成并分發(fā)子秘密（即子密鑰），輔助投票者完成投票過程，因此服務(wù)器的不誠實(shí)行為可能竊取投票者的隱私信息，實(shí)際上該協(xié)議需要可信的第三方?？傊?，現(xiàn)有投票協(xié)議主要存在以下挑戰(zhàn)。

1)所用量子資源為多粒子糾纏態(tài)，且需要進(jìn)行高維空間的量子測量，操作困難，協(xié)議的可實(shí)現(xiàn)性差。

2)投票者需要制備量子資源，增加了投票者的負(fù)擔(dān)。

3)以泄露部分投票隱私為代價(jià)實(shí)現(xiàn)投票結(jié)果。

4)存在可信第三方，但在現(xiàn)實(shí)中完全可信的第三方是很難找到的。

此外，隨著Google 量子霸權(quán)[19]的驗(yàn)證（即針對特定問題的計(jì)算能力超越經(jīng)典超級計(jì)算機(jī)，又稱“量子優(yōu)越性”），現(xiàn)在的量子計(jì)算設(shè)備計(jì)算速度越來越快，但因其昂貴的計(jì)算成本而未得到普及。另一方面，各種量子云平臺的出現(xiàn)（如IBM 量子實(shí)驗(yàn)）使普通用戶也可以執(zhí)行量子計(jì)算。鑒于此，本文引入誠實(shí)且好奇的量子云，設(shè)計(jì)量子安全多方析取協(xié)議，其中量子云制備所需量子資源和實(shí)施所有量子測量，從而使其他參與者的量子處理能力達(dá)到最小要求，僅需執(zhí)行簡單的單光子操作（Pauli 算子和Hadamard gate 操作）；并將此協(xié)議用于解決一票否決投票問題，提出了基于量子云的量子匿名一票否決（QAOVC,quantum anonymous one-vote veto with a quantum cloud）協(xié)議。進(jìn)一步地，進(jìn)行去中心化處理，本文提出一種不需要第三方協(xié)助的量子匿名一票否決協(xié)議。協(xié)議均以BB84 態(tài)單光子[20]為量子資源，并進(jìn)行簡單的單光子操作和單光子測量。協(xié)議不僅滿足匿名性、合法性、可驗(yàn)證性等較完備的投票安全屬性，且耗費(fèi)量子資源少，量子操作及測量的復(fù)雜性低，具有更好的可實(shí)現(xiàn)性。

1 預(yù)備知識

本節(jié)主要介紹單光子操作：Pauli 算子和Hadamard gate 操作。

1.1 Pauli 算子

Pauli 算子可以看作二維Hilbert 空間上的2 個(gè)基向量的外積算子[21]，本文所用到的UY算子外積為，其密度矩陣如式(1)所示，UY算子對基底進(jìn)行變換如式(2)所示。

1.2 Hadamard gate 操作

Hadamard gate 操作（簡稱H門操作）的密度矩陣如式(3)所示，其效果是對量子比特的狀態(tài)做基底的變換，進(jìn)行基底間相互轉(zhuǎn)換，變換過程如式(4)所示。

此外，H和UY變換還滿足如下性質(zhì)。

2 量子安全多方析取協(xié)議

隨著量子計(jì)算的發(fā)展，量子設(shè)備的計(jì)算能力越來越強(qiáng)，但由于其成本昂貴，并未得到普及。為此，本文引入了量子云，提出了一個(gè)可行的量子安全多方析?。≦SMD,quantum security multiparty disjunction）協(xié)議，使參與者僅需執(zhí)行簡單的單光子操作，降低了參與者的負(fù)擔(dān)。

2.1 協(xié)議模型

定義1QSMD 協(xié)議。假設(shè)協(xié)議中有m個(gè)參與者P1,P2,…,Pm，每個(gè)參與者Pi有一個(gè)秘密輸入xi(xi∈{0,1})。執(zhí)行QSMD 協(xié)議后，輸出結(jié)果為x1∨x2∨…∨xm（此處“∨”表示邏輯或，0∨0=0，0∨1=1，1∨0=1，1∨1=1）。此外，協(xié)議滿足以下安全目標(biāo)。

1)正確性。如果所有參與者都誠實(shí)地執(zhí)行協(xié)議，則最后的結(jié)果x1∨x2∨…∨xm是正確的。

2)公平性。每個(gè)參與者都是平等的，都能以同等概率得到結(jié)果x1∨x2∨…∨xm。

3)隱私性。除參與者Pi外，沒有任何參與者能知道其秘密輸入xi。

在協(xié)議中，量子云制備單光子并對其進(jìn)行測量，其他參與者只需執(zhí)行簡單的單光子操作。此外，假設(shè)協(xié)議中所有參與者都是誠實(shí)且好奇的，即每個(gè)參與者都誠實(shí)地執(zhí)行協(xié)議，但是對其他參與者的秘密信息xi感興趣，類似于經(jīng)典的半誠實(shí)模型。假設(shè)參與者Pi和Pi+1（i=1,2,…,m；Pm+1代表量子云）之間存在量子認(rèn)證通道，且實(shí)現(xiàn)環(huán)境是無噪聲、無粒子丟失和設(shè)備性能完美的。最后量子云負(fù)責(zé)輸出結(jié)果。符號定義如表1 所示。

表1 符號定義

2.2 協(xié)議描述

步驟 1所有參與者Pi(i=1,2,…,m)共同確認(rèn)小整數(shù)k（例如，k=10，其錯誤的概率為δ≈），它與成功得到結(jié)果x1∨x2∨…∨xm的概率有關(guān)。

步驟2每個(gè)參與者Pi生成自己的秘密信息xi(xi∈{0,1},i=1,2,…,m)，并根據(jù)秘密信息xi生成一個(gè)長度為k且滿足xi=Xi[1]∨Xi[2]∨…∨Xi[k]的隨機(jī)私密數(shù)組Xi(Xi[j]∈{0,1},1≤j≤k)。

步驟3每個(gè)參與者Pi隨機(jī)生成2 個(gè)長度為t(t=2(k+q))的數(shù)組Ri和Si(Ri[j]∈R{0,1}且Si[j]∈R{0,1}，1≤j≤t)。

步驟4量子云制備t個(gè)BB84 態(tài)的單光子ph1,ph2,…,pht(phj∈{0,1,+,?},j=1,2,…,t)并記錄其初始狀態(tài)，然后，將單光子通過認(rèn)證的量子通道發(fā)送給參與者P1。

步驟5參與者P1執(zhí)行以下步驟。

步驟6參與者P1通過認(rèn)證的量子通道將t個(gè)單光子發(fā)送給P2。

步驟7參與者P2收到P1發(fā)送的單光子后，根據(jù)S2[j]和R2[j]對其進(jìn)行相應(yīng)操作，隨后將單光子通過認(rèn)證的量子通道發(fā)送給P3。收發(fā)單光子過程執(zhí)行m次，最后Pm將單光子發(fā)回量子云。

得到上一參與者發(fā)送的單光子后，參與者Pi執(zhí)行以下步驟。

步驟8量子云收到單光子后，對每個(gè)單光子以初始基進(jìn)行測量并記錄。

步驟9后處理。

1)每個(gè)參與者Pi公開它的數(shù)組Si[j](j=1,2,…,t)。

2)所有參與者Pi選出滿足有效條件=0的j。根據(jù)預(yù)備知識可知，滿足有效條件的第j個(gè)單光子phj的基不變。

3)所有參與者保存滿足有效條件的事件j，其余的事件丟棄（概率約為）。

4)約有k+q（約為）個(gè)有效事件，所有參與者隨機(jī)選擇k個(gè)事件用來傳遞信息，其余q個(gè)事件則用來進(jìn)行竊聽檢測。

5)對于q個(gè)用于檢測竊聽的事件，所有參與者要求量子云公開相應(yīng)檢測光子的初始態(tài)和測量結(jié)果，繼而所有參與者也公開對應(yīng)的數(shù)組Ri[j]。通過所有公開信息可以確定是否存在不誠實(shí)行為或竊聽者。經(jīng)過有效條件的判定，若用于竊聽檢測的單光子phj與初始狀態(tài)匹配，則繼續(xù)執(zhí)行下一步；否則認(rèn)為存在竊聽，放棄QSMD 協(xié)議的執(zhí)行。

例如，假設(shè)第j個(gè)單光子phj是一個(gè)竊聽檢測事件，如果滿足=0，那么這個(gè)單光子的測量結(jié)果應(yīng)該與初始狀態(tài)相同；否則，與初始狀態(tài)不同。

步驟10假設(shè)用來計(jì)算最后結(jié)果的k個(gè)編碼事件與t個(gè)單光子中第g1,g2,…,gk個(gè)事件相對應(yīng)，每個(gè)參與者Pi計(jì)算且公開

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

步驟11量子云計(jì)算X＊[gj](j=1,2,…,k）

量子云執(zhí)行以下操作。

3 基于量子云的量子匿名一票否決協(xié)議

本節(jié)將QSMD 協(xié)議用于解決一票否決場景下的投票問題，增加了對投票者的身份認(rèn)證和對投票信息的承諾，使投票協(xié)議滿足合法性及可驗(yàn)證性，提出了QAOVC 協(xié)議。

3.1 協(xié)議模型

假定協(xié)議中m個(gè)投票者 Alice1,Alice2,…,Alicem對決議進(jìn)行投票，每個(gè)投票者Alicei對決議的秘密選票xi可用0 或1 表示，其中，0 表示支持決議，1 表示反對決議。執(zhí)行QAOVC 協(xié)議后，投票結(jié)果為w=x1∨x2∨…∨xm（0 表示決議通過，1 表示決議被否決）。QAOVC 協(xié)議除了滿足安全多方析取協(xié)議的安全假設(shè)以及安全目標(biāo)外，還滿足可驗(yàn)證性，即任意一個(gè)投反對票的投票者都可以驗(yàn)證他的選票是否被正確計(jì)算在內(nèi)。QAOVC 協(xié)議模型框架如圖1 所示，其中，表示投票者Alicei對單光子phj進(jìn)行的單光子操作。投票協(xié)議包含以下兩類參與者。

圖1 QAOVC 協(xié)議模型框架

1)量子云Cloud。半誠實(shí)的參與者，假定其不與其他投票者串謀，主要負(fù)責(zé)驗(yàn)證投票者身份、制備并測量BB84 態(tài)單光子、統(tǒng)計(jì)選票結(jié)果并公布，保存投票者投票信息的承諾值。

2)投票者Alice。半誠實(shí)的投票者，負(fù)責(zé)對決議進(jìn)行表決，具有一票否決的權(quán)利。

3.2 協(xié)議描述

3.2.1 初始化階段

步驟1所有投票者Alicei(i=1,2,…,m)共同確認(rèn)整數(shù)k，生成自己的秘密選票xi以及對應(yīng)的隨機(jī)私密數(shù)組Xi，隨機(jī)生成2 個(gè)長度為t的數(shù)組Ri和Si，其中t=2(h+k+q)。

步驟2量子云事先準(zhǔn)備一組長度為h的身份認(rèn)證信息 IDi[j](i=1,2,…,m;j=1,2,…,h)，并將身份認(rèn)證結(jié)果保存在數(shù)組 result[j](j=1,2,…,h)中,且滿足式(8)；然后利用面對面或其他安全的方式，如QKD（quantum key distribution），為每個(gè)投票者Alicei分配一個(gè)身份認(rèn)證信息數(shù)組 IDi[j]。

步驟3每個(gè)投票者Alicei隨機(jī)選擇一個(gè)整數(shù)ri∈{0,1}并計(jì)算ci=H(ri⊕H(ri⊕xi))，其中H為安全的哈希函數(shù)；然后投票者Alicei將ci通過經(jīng)典信道發(fā)送給量子云，即投票者Alicei將秘密選票xi承諾給量子云，但是量子云在不知道ri的情況下是不能解密出秘密選票的。

3.2.2 量子執(zhí)行階段

按照2.2 節(jié)的步驟 4～步驟 8 制備t個(gè)單光子并執(zhí)行。

3.2.3 經(jīng)典后處理階段

執(zhí)行2.2 節(jié)的后處理階段，選出h+k+q（約為）個(gè)有效事件，所有投票者隨機(jī)選擇h個(gè)事件用來驗(yàn)證身份，k個(gè)事件用來傳遞信息，其余q個(gè)事件則用來進(jìn)行竊聽檢測。

3.2.4 身份認(rèn)證及竊聽檢測階段

步驟1假設(shè)用來認(rèn)證身份的h個(gè)事件與t個(gè)單光子中的第l1,l2,…,lh個(gè)單光子相對應(yīng)，每個(gè)投票者Alicei計(jì)算

其中，j∈{1,2,…,h}且lj∈{1,2,…,t}，計(jì)算完成后投票者將Yi[lj]公開。

步驟2量子云計(jì)算Y[lj](j=1,2,…,h)如下

量子云執(zhí)行以下操作。

若身份認(rèn)證成功則繼續(xù)執(zhí)行下一步，否則放棄此次投票。

步驟3對于q個(gè)用于竊聽檢測的事件，所有投票者公開對應(yīng)的數(shù)組Ri[j]。量子云通過所有公開信息可以確定是否存在不誠實(shí)行為或者竊聽。經(jīng)過有效條件的判定，若用于竊聽檢測的單光子phj與初始狀態(tài)匹配，則繼續(xù)執(zhí)行下一步；否則認(rèn)為存在竊聽，放棄此次投票。

例如，假設(shè)第j個(gè)單光子phj是一個(gè)竊聽檢測事件，如果滿足=0，那么這個(gè)單光子的測量結(jié)果應(yīng)該與初始狀態(tài)相同；否則，與初始狀態(tài)不同。

3.2.5 投票及計(jì)票階段

假設(shè)用來計(jì)算最后結(jié)果的k個(gè)編碼事件與t個(gè)單光子中第g1,g2,…,gk個(gè)事件相對應(yīng)，每個(gè)投票者計(jì)算且公開

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

量子云計(jì)算X＊[gj](j=1,2,…,k)，即

量子云執(zhí)行以下操作。

若有投票者投反對票，則量子云的計(jì)算結(jié)果應(yīng)為1，表示決議被否決；否則決議通過。

3.2.6 驗(yàn)證階段

假設(shè)投票者Alicei投了反對票，而量子云公布的投票結(jié)果為通過時(shí)，則投票者Alicei可以使用量子匿名通信技術(shù)[22-24]廣播中斷信號，并向量子云公開隨機(jī)數(shù)ri，對初始化階段存放在量子云的承諾信息ci進(jìn)行驗(yàn)證。若經(jīng)驗(yàn)證投票結(jié)果正確，則投票結(jié)束；否則，量子云對投票結(jié)果進(jìn)行改正。

4 量子匿名一票否決協(xié)議

量子云負(fù)責(zé)驗(yàn)證身份、收集選票、制備并測量單光子、公布結(jié)果的工作，中心化程度非常高，存在較高的安全威脅，也存在單點(diǎn)失效的風(fēng)險(xiǎn)。實(shí)際上，即使量子云不可信，也得不到投票者的任何隱私信息。所以，可以去掉量子云，將它的工作平攤給每個(gè)投票者，以達(dá)到去中心化的目的。本節(jié)提出了一種不需要第三方協(xié)助的QAOV 協(xié)議。

4.1 協(xié)議模型

本節(jié)提出的QAOV 協(xié)議同樣滿足QAOVC 的安全目標(biāo)以及安全假設(shè)，在執(zhí)行完QAOV 協(xié)議后，投票結(jié)果依然為x1∨x2∨…∨xm，只是將量子云的工作平攤給每個(gè)投票者，并且引入?yún)^(qū)塊鏈保存投票者的承諾。QAOV 協(xié)議模型如圖2 所示。協(xié)議主要包含以下參與者。

圖2 QAOV 協(xié)議模型

1)投票者Alice。半誠實(shí)的投票者，負(fù)責(zé)對決議進(jìn)行表決，制備單光子并測量。

2)區(qū)塊鏈。保存承諾值。

4.2 協(xié)議描述

4.2.1 初始化階段

步驟1所有投票者Alicei共同確認(rèn)整數(shù)k。

步驟2所有投票者通過面對面或其他安全的方式（如QKD）事先準(zhǔn)備一組長度為h的身份認(rèn)證信息 IDi[j]，并將身份認(rèn)證結(jié)果保存在數(shù)組result[j]中；然后為每個(gè)投票者Alicei分配一個(gè)身份認(rèn)證信息 IDi[j]。

步驟3每個(gè)投票者Alicei確定自己的秘密選票xi及其對應(yīng)的隨機(jī)私密數(shù)組Xi，生成隨機(jī)秘密數(shù)組Ri和Si。

步驟4每個(gè)投票者Alicei隨機(jī)選擇一個(gè)整數(shù)ri∈{0,1}并計(jì)算ci=H(ri⊕H(ri⊕xi))；然后將ci保存到區(qū)塊鏈。即投票者Alicei將秘密選票xi承諾給區(qū)塊鏈，但是區(qū)塊鏈在不知道ri的情況下是不能解密出投票信息的。

4.2.2 量子執(zhí)行階段

記錄量子執(zhí)行輪數(shù)d=1（1≤d≤，假設(shè)k+q+h為m的整數(shù)倍），每個(gè)投票者Alicei制備一個(gè)BB84 態(tài)的單光子 phm(d?1)+i并記錄其初始狀態(tài)，根據(jù)Si[m(d?1)+i]和Ri[m(d?1)+i]對單光子執(zhí)行相應(yīng)的單光子操作；然后通過認(rèn)證的量子通道將單光子發(fā)送給 Alicei+1。

Alicei+1收到單光子后，對其執(zhí)行相應(yīng)的單光子操作，然后通過認(rèn)證的量子通道將單光子發(fā)送給Alicei+2。每個(gè)單光子的收發(fā)過程都執(zhí)行m次，最后將單光子發(fā)回其制備者手中，用初始基進(jìn)行測量并記錄，至此，第一輪量子執(zhí)行結(jié)束，進(jìn)入下一輪，共需執(zhí)行輪。第j個(gè)單光子的量子執(zhí)行階段如圖3 所示。

圖3 第j 個(gè)單光子的量子執(zhí)行階段

4.2.3 經(jīng)典后處理階段

與3.2.3 節(jié)一致，所有投票者隨機(jī)選出h+k+q個(gè)有效事件。

4.2.4 身份認(rèn)證及竊聽檢測階段

步驟1假設(shè)用來認(rèn)證身份的h個(gè)事件與t個(gè)單光子中的第l1,l2,…,lh個(gè)單光子相對應(yīng)，每個(gè)投票者Alicei計(jì)算Yi[lj](j∈{1,2,…,h})并公開。

步驟2制備第lj個(gè)單光子的投票者計(jì)算Y[lj]并進(jìn)行身份認(rèn)證，若身份認(rèn)證成功，則繼續(xù)進(jìn)行下一步；否則，放棄此次投票。

步驟3竊聽檢測，過程與3.2.4 節(jié)步驟3 的檢測程序相同。

4.2.5 投票及計(jì)票階段

假設(shè)用來計(jì)算最后結(jié)果的k個(gè)編碼事件與t個(gè)單光子中第g1,g2,…,gk個(gè)相對應(yīng)，每個(gè)投票者Alicei計(jì)算并公開，制備第gj個(gè)單光子的投票者計(jì)算X＊[gj](j=1,2,…,k)以及w。若w=1，則決議被否決；否則，決議通過。

4.2.6 驗(yàn)證階段

假設(shè)投票者Alicei投了反對票，公布的投票結(jié)果為通過，則投票者Alicei可以使用量子匿名通信技術(shù)廣播中斷信號，并對區(qū)塊鏈公開隨機(jī)數(shù)ri，對初始化階段存放在區(qū)塊鏈的承諾信息ci進(jìn)行驗(yàn)證。若經(jīng)驗(yàn)證投票結(jié)果正確，則投票結(jié)束；否則，對投票結(jié)果進(jìn)行改正。

5 分析與實(shí)驗(yàn)

本節(jié)首先分析了量子安全多方析取協(xié)議的正確性，并證明當(dāng)所有的參與者都誠實(shí)執(zhí)行協(xié)議時(shí)，所述協(xié)議是無條件安全的；其次，分析了投票方案所滿足的安全屬性；最后，將所提協(xié)議與其他協(xié)議從量子資源、通信復(fù)雜度以及效率等方面做對比，并使用IBM Qiskit 對所述協(xié)議進(jìn)行仿真實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，所提協(xié)議具有正確性。

5.1 正確性

本文提出的QAOVC 協(xié)議和QAOV 協(xié)議的正確性是由QSMD 協(xié)議的正確性保證的，以下將對QSMD 協(xié)議的正確性進(jìn)行分析。

定理1假設(shè)有m個(gè)輸入，其中1 的個(gè)數(shù)為p(p≤m)，如果p=0或1，協(xié)議正確執(zhí)行；如果p≥2，則可能輸出錯誤結(jié)果0，其概率為δ≈（當(dāng)k足夠大時(shí)可忽略不計(jì)）。

證明

1)假設(shè)量子云生成的單光子phj的初始態(tài)為，執(zhí)行協(xié)議后發(fā)送回量子云的狀態(tài)為，可表示為

從式(2)和式(14)可知，對于有效事件，最終狀態(tài)與初始狀態(tài)的基相同，如果UY變換執(zhí)行偶數(shù)次，則除了多一個(gè)全局相位因子外其狀態(tài)不變；否則，狀態(tài)改變，但維持同一個(gè)基。

從式(11)和式(12)易得

2)進(jìn)一步考慮以下幾種情況，m個(gè)輸入x1,x2,…,xm，其中1 的個(gè)數(shù)為p

情況1p=0

所有Xi[j]均為0，即w==0。計(jì)算結(jié)果表示輸出正確，與假設(shè)符合，所以結(jié)果正確。

情況2p=1

假設(shè)任意一個(gè)參與者Pi的輸入為1，即≠0，且至少存在一個(gè)j使w==1。計(jì)算結(jié)果與假設(shè)符合，所以結(jié)果正確。

情況3p=2

顯然，當(dāng)k足夠大時(shí)，δ≈0。例如，k=6 時(shí)，δ=0.015 78；k=10時(shí)，δ=0.000 98。

情況4p=3

假設(shè)有這樣的k行（對應(yīng)j=1,2,…,k）和p列（對應(yīng)p個(gè)數(shù)組Xi），其中每列至少有一個(gè)1 且每行有0 個(gè)1 或者2 個(gè)1，w==0，然而，x1∨x2∨…∨xm=1，所以通過1 在每行可能的位置，可以推斷出協(xié)議錯誤的概率滿足以下條件

當(dāng)k足夠大時(shí)，δ≈0。例如，k=6 時(shí)，δ=0.016 38；k=10時(shí)，δ< 0.000 98。

依次類推，可得p取其他值的情況，即

5.2 安全性

本文提出的QAOVC 協(xié)議和QAOV 協(xié)議的安全性主要是由QSMD 協(xié)議的安全性保證的，所以，在定理2中將證明QSMD協(xié)議在半誠實(shí)模型下是無條件安全的。

定理2若所有參與者都誠實(shí)執(zhí)行協(xié)議時(shí)，則所述協(xié)議是無條件安全的。

證明單光子在量子認(rèn)證通道傳遞信息時(shí)，根據(jù)隨機(jī)數(shù)組Ri和Si執(zhí)行單光子操作來進(jìn)行加密，此時(shí)數(shù)組未公開是私密數(shù)組。如果輸入態(tài)和輸出態(tài)都是混合態(tài)，則本文提出的量子投票協(xié)議是無條件安全的。不失一般性，以第j個(gè)隨機(jī)的單光子phj為例，其輸入態(tài)為

在執(zhí)行完相應(yīng)操作后，輸出態(tài)為

由式(21)可知，輸出態(tài)為最大混合態(tài)，所有參與者都不能得到除自己以外其他參與者所選擇的秘密信息，因此該協(xié)議使用的量子完備加密是信息理論安全的。

在執(zhí)行完q個(gè)單光子的竊聽檢測后，每個(gè)投票者Pi公開Ri[lj]，它是隨機(jī)且私密的，顯然這是經(jīng)典的一次一密[25]。

綜上所述，量子完備加密[26]和一次一密保證了在半誠實(shí)模型下協(xié)議是無條件安全的。然而，一個(gè)不誠實(shí)的參與者Pi?1可能會與參與者Pi+1聯(lián)合竊取Pi的秘密信息，分析如下。

不誠實(shí)參與者Pi?1在收到t個(gè)單光子后，制備t個(gè)貝爾態(tài)粒子，并將光子b發(fā)送給Pi，自己保留光子a。參與者Pi收到光子b后對其進(jìn)行變換如下

參與者Pi+1收到單光子b后，由于與Pi?1聯(lián)合竊聽，他將單光子發(fā)送給Pi?1，對2 個(gè)光子(a,b)進(jìn)行貝爾態(tài)測量即可推測出Pi的私密數(shù)據(jù)（如果測量結(jié)果為，則Ri[j]=0且Si[j]=0）。所以，為了抵抗這種攻擊，用q個(gè)單光子進(jìn)行竊聽檢測，顯然，它可以保證所有參與者的誠實(shí)性，且可抵抗外部竊聽者，這類似于QKD[27]中的誘騙態(tài)。

根據(jù)上面的分析可知，如果各方都誠實(shí)地執(zhí)行協(xié)議，就會正確地輸出最終的結(jié)果。在所提協(xié)議中，所有參與者都是完全對等的且執(zhí)行相同的程序。因此，所提QSMD 協(xié)議可以實(shí)現(xiàn)公平性。此外，與大多數(shù)現(xiàn)有的量子安全多方計(jì)算一樣，所提QSMD 協(xié)議需要經(jīng)過認(rèn)證的量子信道，可以保證量子資源和參與者身份的真實(shí)性。原則上可以將量子認(rèn)證技術(shù)[28]和經(jīng)典認(rèn)證技術(shù)[29]結(jié)合起來，在量子信道中實(shí)現(xiàn)各種認(rèn)證。

5.3 投票協(xié)議滿足的安全屬性

本文提出的QAOVC 協(xié)議和QAOV 協(xié)議均滿足以下安全屬性。

5.3.1 匿名性

在QAOVC 協(xié)議中，所有投票者都可得到一個(gè)唯一的ID，身份認(rèn)證成功后即可使用匿名ID 進(jìn)行投票，因此投票者的真實(shí)身份不能被除自己以外的任何投票者知道（注意，驗(yàn)證者僅驗(yàn)證所有投票者合法或存在不合法的投票者）。此外，在上述2 個(gè)協(xié)議中只公布決議通過與否（即投票的最終結(jié)果），無法知道是誰投了反對票以及投反對票的人數(shù)，在QAOVC 協(xié)議中，結(jié)果由量子云計(jì)算后公布；在QAOV 協(xié)議中，所有投票者共同計(jì)算投票結(jié)果，因此所提協(xié)議滿足匿名性。

5.3.2 合法性

在投票協(xié)議中，需要核實(shí)投票者身份信息，只有合法投票者才能夠進(jìn)行投票。在QAOVC 協(xié)議中，初始化階段，每個(gè)投票者都可得到量子云準(zhǔn)備的身份認(rèn)證信息，并將其異或的正確結(jié)果保存在數(shù)組result 中；身份認(rèn)證階段，會對投票者的合法性進(jìn)行驗(yàn)證，只有當(dāng)所有投票者的身份認(rèn)證信息異或的結(jié)果與事先保存在數(shù)組result 中的結(jié)果符合時(shí)，才能進(jìn)行投票。在QAOV 協(xié)議中，所有投票者通過面對面或其他安全的方式（例如QKD）準(zhǔn)備一組身份認(rèn)證信息，并將結(jié)果保存，同樣對身份認(rèn)證信息進(jìn)行核實(shí)，身份合法即可投票。

5.3.3 公平性

各投票者都是等價(jià)的，在投票前任何投票者都不能獲取部分投票記錄或其他投票者的有用信息，且他們以同等的概率得到投票結(jié)果。本文所提協(xié)議中，投票者利用量子完備加密對量子資源進(jìn)行編碼，即根據(jù)隨機(jī)數(shù)組Ri和Si執(zhí)行單光子操作來進(jìn)行加密，并通過后選擇的方式選出滿足有效條件的單光子用于對投票信息的編碼，且在協(xié)議中傳遞投票信息的單光子處于最大混合態(tài)，因此投票信息不會泄露給其他投票者。在QAOVC 協(xié)議中，投票信息在量子云計(jì)算后進(jìn)行公布，且假定量子云不與其他投票者串謀，從而避免了投票信息的泄露；在QAOV 協(xié)議中，每個(gè)投票者均需制備相同個(gè)數(shù)的單光子，并對傳遞的信息進(jìn)行統(tǒng)計(jì)后公開，計(jì)算并公布投票結(jié)果過程需投票者共同執(zhí)行。因此，協(xié)議具有公平性。

5.3.4 可驗(yàn)證性

任意一個(gè)投反對票的投票者都可以驗(yàn)證他的選票是否被正確計(jì)算。根據(jù)5.1 節(jié)的正確性分析，如果每個(gè)參與者都誠實(shí)地執(zhí)行協(xié)議，則投票結(jié)果正確；當(dāng)投票結(jié)果錯誤時(shí)，任何投反對票的投票者均可中斷協(xié)議，對結(jié)果進(jìn)行驗(yàn)證。在QAOVC 協(xié)議中，投票者需向量子云公布隨機(jī)數(shù)ri，對存放在量子云的承諾信息ci進(jìn)行驗(yàn)證；在QAOV 協(xié)議中，投票者需向區(qū)塊鏈公開隨機(jī)數(shù)ri，對存放在區(qū)塊鏈的承諾信息ci進(jìn)行驗(yàn)證。實(shí)際上，當(dāng)所有投票者均同意決議時(shí)，可驗(yàn)證性被隱藏，為解決這種情況，可引入可信第三方來監(jiān)督量子云（區(qū)塊鏈）。

5.4 通信性能比較

根據(jù)前文分析易得，所提協(xié)議具有較完備的安全屬性，本節(jié)將從量子資源、通信復(fù)雜度以及效率等方面與其他協(xié)議進(jìn)行對比分析。假設(shè)m個(gè)投票者，對n個(gè)決議進(jìn)行表決，所提協(xié)議中每對一個(gè)決議進(jìn)行表決，量子云需制備t(t=2(h+k+q))個(gè)單光子，其中k個(gè)用來傳遞投票信息，總共傳遞 2n(h+k+q)個(gè)單光子，通信復(fù)雜度為O(kn)，效率為η=。所提協(xié)議與其他協(xié)議的比較如表2 所示。

由表2 易得，所提協(xié)議使用的量子資源較易制備，同時(shí)使用的量子操作較為簡單，具有良好的可行性。此外，本文提出的QAOVC 協(xié)議引入了第三方量子云作為投票中心，負(fù)責(zé)制備投票所需量子資源，并計(jì)算最終投票結(jié)果，且投票者僅需執(zhí)行簡單的單光子操作，降低了投票者負(fù)擔(dān)；QAOV 協(xié)議在QAOVC 協(xié)議的基礎(chǔ)上進(jìn)行去中心化處理，將量子云的工作平攤給投票者，投票結(jié)果由所有投票者共同計(jì)算，避免了QAOVC 協(xié)議單點(diǎn)失效的風(fēng)險(xiǎn)，具有更好的安全性和隱私性。

表2 所提協(xié)議與其他協(xié)議的比較

5.5 仿真實(shí)驗(yàn)

為了更好地理解，在IBM Qiskit 平臺對所提QSMD 協(xié)議進(jìn)行仿真實(shí)驗(yàn)，假設(shè)參與者的人數(shù)m=6，量子云制備 6 個(gè)單光子，分別為，具體線路如圖4 所示。在IBM Qiskit 上仿真1 024 次后，用初始基對單光子進(jìn)行測量，經(jīng)典測量結(jié)果為010100，概率為100%。顯然，實(shí)驗(yàn)結(jié)果與公式推導(dǎo)結(jié)果一致。綜上所述，所提協(xié)議是正確的。

圖4 具體線路

k取不同值時(shí)錯誤率與輸入中1 的個(gè)數(shù)p的關(guān)系如圖5 所示。在模擬實(shí)驗(yàn)中，假設(shè)有10 個(gè)參與方，對每個(gè)k共同計(jì)算QSMD 協(xié)議60 000 次，每次輸入都是隨機(jī)的。從圖5 可以看出，錯誤率主要取決于p≥2 時(shí)k的取值，當(dāng)k=10 時(shí)，錯誤率近似等于0。總之，仿真實(shí)驗(yàn)驗(yàn)證了所提QSMD協(xié)議的正確性和可行性。

圖5 k 取不同值時(shí)錯誤率與p 的關(guān)系

所提協(xié)議中沒有考慮量子噪聲和光子損失，與已有抗噪容錯的量子協(xié)議類似，可以在實(shí)際應(yīng)用中增加單光子的數(shù)量t，并采用量子容錯（例如decoherence-free states）或經(jīng)典的糾錯技術(shù)來避免這些問題。此外，當(dāng)參與者相距較遠(yuǎn)時(shí)，可以在每一方部署一個(gè)量子中繼器，用基于隱形傳態(tài)的方式轉(zhuǎn)發(fā)未知狀態(tài)的光子。

綜上所述，所提協(xié)議具有較好的可行性。

6 結(jié)束語

本文首先設(shè)計(jì)了一個(gè)新穎的量子安全多方計(jì)算基礎(chǔ)協(xié)議，即量子安全多方析取協(xié)議，進(jìn)一步提出了一種基于BB84 態(tài)的有量子云協(xié)助的匿名一票否決協(xié)議。該協(xié)議以單光子作為量子資源，投票者只需進(jìn)行簡單的單光子操作，且使用的量子資源更少，具有良好的可行性。在所述協(xié)議中，利用量子完備加密與經(jīng)典一次一密結(jié)合保證了協(xié)議的無條件安全，且滿足較為完備的投票安全屬性。在此基礎(chǔ)上進(jìn)行去中心化處理，提出了一種不需要第三方協(xié)助的量子匿名投票一票否決協(xié)議。相較于現(xiàn)有的量子一票否決協(xié)議，所提協(xié)議降低了投票者的負(fù)擔(dān)，同時(shí)不泄露投反對票的總?cè)藬?shù)，更好地保護(hù)了投票者的隱私。所提協(xié)議使用單光子作為量子資源，然而現(xiàn)有技術(shù)水平無法制備完美的單光子，為此可使用弱相干脈沖代替所述協(xié)議中的單光子，使協(xié)議具有更好的可行性。

此外，作為一個(gè)基礎(chǔ)協(xié)議，量子安全多方析取協(xié)議可應(yīng)用于安全計(jì)算布爾函數(shù)或其他更復(fù)雜的安全多方計(jì)算任務(wù)中。