夏红红，汪学明，杨万鑫

(贵州大学 计算机科学与技术学院，贵州 贵阳 550025)

0 引 言

随着科技的发展，在最初的经典密码学基础上，产生了量子密码，由于量子密码的安全性是由量子力学的基本原理做铺垫，成功解决了NP和RSA等问题。秘密共享则是量子密码学的一个方向。量子秘密共享的思想是：假设秘密发送者需要传递秘密信息给其他参与者，而仅仅一个或者部分参与者是恢复不了的，需要所有的参与者一起合作，才可以恢复。任何非法参与者与窃听者都不能重构出原始量子态，从一定程度上保证了秘密的安全性和完整性。

1979年Shamir和Blakley提出了秘密共享的概念，他们的方案分别基于拉格朗日内插多项式和摄影几何理论，由于基于插值多项式的方案实现简单代价小而得到了大量研究[1-2]。1994年，J.He和E.Dawson提出多方秘密共享的概念[3]；秦素娟提出了一种基于Bell态纠缠交换的协议，参与方的量子信道构成一个环,通过在环上添加或删除节点可以构造任意多方协议,并且对其他参与方没有任何影响[4]；2010年，符力平提出了基于重复使用W态的量子秘密共享来发送经典信息的方案，降低了信息被窃取或联手欺骗的可能性[5]。2013年，钱晓婕将无纠缠动态的量子秘密共享的思想具体应用到数字签名中去，免去了量子的制备，同时达到了与量子纠缠态相当的无条件安全的效果[6]。2015年，吴君钦等人提出了使用GHZ的三粒子纠缠态作为量子信道来实现三个未知量子纠缠态的秘密共享方案[7]。2016年，张建中等人提出了两种基于四粒子纠缠态的量子秘密共享方案，通过分析表明，提出的方案是高效且安全可靠的[8]。2018年，高明提出了量子多方秘密共享方案，使得所有的对称纠缠态都可以通过隐形传态来完成秘密共享协议[9]。2019年，张国帅适应任意类型EPR通道的单量子比特隐形传送通用线路,并推广到任意N比特量子隐形传送通用线路。

此后，经过多年的研究，量子秘密共享方案相继被提出[10-16]。这些方案主要是从秘密参与者手持1个粒子出发的。实际上，秘密重构者在某些情况下也会持有两个粒子。其中一个粒子参与Bell测量，而另一个粒子则根据最后的测量结果进行相应的幺正变换即可恢复秘密，不需要依靠其他参与者幺正变换即可恢复出秘密。在其他代理相互合作的情况下，秘密量子态也不会转移到其他的粒子上去，从一定程度上减小了欺骗的概率。秘密重构者的粒子除了进行幺正变换，还参与了Bell测量，保证了一定的安全性。

1 预备知识

1.1 幺正变换与量子逻辑门

幺正变换可分为以下操作：

(1)恒等操作：I，它保持量子比特状态不变，相对应的矩阵为：

(2)非门操作σ，进行非操作，对应矩阵为：

(3)Z门σ，对量子比特进行相位转换，相对应的矩阵为：

(4)Y门σy，对量子比特做比特翻转，且相位调整π/2，相对应的矩阵为：

1.2 Bell态与Bell测量

具体的Bell态有4个基底，可表示为：

2 四、五参与者量子秘密共享方案

2.1 四参与者量子秘密共享方案

假设由Alex、Bess、Candy、Charlie来进行量子秘密的共享，其中Alex是发送秘密消息者，其余三人是代理人。现在Alex准备发送给其中一人一个未知的单量子态：

|φ〉n=α|0〉n+β|1〉n

(1)

其中，α和β满足|α|2+|β|2=1，且Bess、Candy、Del都不知道α和β的值。由于设定了其中的秘密重构者拥有两粒子，所以Alex、Bess、Candy、Del共享的是五粒子态：

|11111〉)12345

(2)

量子态消息与1到5粒子组成系统状态直积可表示为：

|00110〉+|11001〉+|11111〉)12345

(3)

如果要达到重构出秘密的目的，则需利用两次Bell测量最终剩余单量子态。因为每次Bell测量会“消去”两个粒子。两次Bell测量消去四个粒子。在秘密重构者的两个粒子中，一个粒子参与Bell测量，剩余一个参与者对自己所持有的粒子进行X基测量，将最后的测量结果告知秘密重构者，重构者的另一个粒子进行幺正变换即可。首先把Alex的粒子1与n粒子进行Bell测量，得到:

β|1001〉+β|1111〉)2345

(4)

β|1001〉-β|1111〉)2345

(5)

β|0000〉+β|0110〉)2345

(6)

β|0000〉-β|0110〉)2345

(7)

2.1.1 Bess为秘密重构者

Bess作为秘密重构者时，Bess拥有两个粒子，粒子2和粒子3。需保留2粒子，将自己的3粒子与Charlie的5粒子进行Bell测量，最后Candy对持有的粒子4进行X基测量即可。把结果告诉Bess，Bess利用手中的2粒子进行相应幺正变换重构出秘密，见表1。

表1 四参与者量子秘密共享Bess重构秘密结果汇总

(8)

2.1.2 Candy作为秘密重构者

Candy作为秘密重构者时，Candy拥有两个粒子，粒子2和粒子5。需保留2粒子，将自己持有的粒子5与Charlie的粒子3进行Bell测量，最后Bess对粒子4进行X基测量，将测量结果公布给Candy，Candy利用手中的2粒子进行相应幺正变换重构出秘密。当Bess作为秘密重构者时进行的是粒子3和粒子5，现在Candy也是。因此，对于2.1.2情况的讨论，可参照2.1.1。

2.1.3 Charlie作为秘密重构者

Charlie作为秘密重构者时，Charlie拥有两个粒子，粒子4和粒子5。需保留5粒子，将自己的4粒子与Bess的2粒子进行Bell测量，最后Candy对持有的粒子3进行用X基测量持有的粒子3，把结果告诉Charlie，Charlie对持有的5粒子进行相应的幺正变换即可重构出原始消息，见表2。

表2 四参与者量子秘密共享Del重构秘密结果汇总

2.2 五参与者量子秘密共享方案

设Alex需要传递的未知单量子态为：

|φ〉m=α|0〉m+β|1〉m

(10)

由于设定了其中的秘密重构者拥有两粒子，所以Alex、Bess、Candy、Del、Bob共享一个六粒子态未知量子与1到6粒子组成系统状态直积为：

|001001〉+|001111〉+|000100〉+

|110000〉+|110110〉+|111111〉+

|111011〉)123456

(11)

2.2.1 Candy为秘密重构者

而此五参与者方案由于是六粒子结构，实际上无需X单基测量，每次Bell测量会“消去”两个粒子，因此方案需要进行三次的Bell测量。Candy拥有两个粒子，粒子5和2，粒子2与其余粒子3,4,6进行Bell测量，最后剩余的单量子态经过相应的幺正变换就能得到Alex发送的未知态。

Candy为秘密重构者时，设三次测量结果均为|φ+〉，则三次Bell测量过程为：

|00100〉)+β(|10000〉+|10110〉+

|11111〉+|11011〉)]23456

(12)

β|111〉+β|101〉)345

(13)

(14)

(15)

(16)

(17)

最后将测量结果告诉Candy，Candy进行相应的幺正变换重构出秘密，见表3。

2.2.2 Del为重构者

Del拥有两个粒子，粒子5和4，粒子4与其余粒子2,3,6进行Bell测量,Candy进行Bell测量的粒子组合是(2，3，4，6)，现在Del进行Bell测量的粒子组合是(4，2，3，6),Bell测量具有无序性，所以他们测量的结果是一样的。对于其他重构者,重构者的两粒子需要有2,3,4,6的其中一个粒子即可，剩余的一个粒子进行相应的幺正变换即可恢复初始秘密。

表3 五参与者量子秘密共享Candy重构秘密结果汇总

2.3 方案总结

该方案秘密重构者持有两个粒子的情况，这样一来，其中一个粒子参与Bell测量，而另一个粒子则根据最后的测量结果进行相应的幺正变换即可恢复秘密。不需要依靠其他参与者幺正变换即可恢复秘密。也不用担心参与者数目的增多有所影响，已有文章解决了n个代理的方案。实际上，秘密重构者持有两个粒子，实际上就是参与者的情况。假设有n个参与者，在这种情况下就变成了n+1个参与者的情况，唯一不同之处就是可以参与了Bell测量。而其他参与者进行幺正变换，那么秘密量子态就会转移到其他的量子上去，很容易受到欺骗。而秘密重构者自己幺正变换，秘密量子态还是在自己这里，不会转移。

整个过程是基于量子秘密共享、Bell测量、幺正变换、单粒子测量等的幺正变换，使量子态在粒子间相互转换来重构秘密，具备正确性。

当重构者手持两个粒子时，一样可以扩展为n参与者方案，仍然是在对称纠缠信道的基础上，由于重构者多了一个粒子，所以变为n+1，两者只是奇偶性的差别。如现方案的四参与者的步骤，实际上就是原方案的五参与者的步骤。

2.4 安全性分析

上述方案采取了量子隐形传输的方式，即秘密量子态在传输过程中不会被任何参与方所知，大大地提高了秘密重构的安全性。方案中无粒子损耗，利用率得到了提高,理论上成功率高达100%。该方案从外部攻击和内部攻击两个方面进行分析。

2.4.1 外部攻击

对于外部攻击者Eve来说，由于对消息一无所知，常常采用的攻击方式是可复制或者截取重发。由量子不可克隆原理可知，不可能克隆一个未知的量子状态，所以复制无作用。由Heisenberg测不准原理可知，通信过程也会受到相应影响。

窃听者Eve在其中引入一个辅助粒子，无论Eve是否获取到秘密信息，都可以被发现。这个粒子会影响原来方案的步骤，由于多了一个粒子，会使得所需要的Bell态测量的次数异常，甚至秘密无法被重构。即使没有给量子系统引入任何错误，仍然不会影响原有的未知单粒子态和纠缠粒子复合系统的状态直积。

假设Eve纠缠的辅助粒子为|0〉e，若假设测量结果为〈φ+|γ〉23456，则剩余粒子所组合的态变为：

(α|000〉+α|010〉+β|111〉+β|101〉)345⊗|0〉e=(α|0000〉+α|0100〉+β|1110〉+β|1010〉)345e

对粒子3和粒子4作Bell测量，若测量结果为|φ+〉34，则剩余粒子将会塌缩到(α|0〉+β|1〉)5|0〉e，可以看出Eve并未获取到任何有用的信息。

同样假设Eve纠缠的辅助粒子为|1〉e，则剩余粒子所组合的态变为：

(α|000〉+α|010〉+β|111〉+β|101〉)345⊗|1〉e=(α|000〉+α|010〉+β|111〉+β|101〉)345e

同样的对粒子3和粒子4作Bell测量，若测量结果为|ψ-〉34，则剩余粒子将会塌缩到(α|0〉-β|1〉)5|0〉e，Eve仍然未获取到任何有用的信息。

2.4.2 内部攻击

假设Candy是不诚实的一方，Candy通过拦截Alex发送给Bess的信道粒子，将自己准备的纠缠粒子发送给Bess。如果Bess为秘密重构者，最后将测量结果一比对，存在窃听的行为。由于Bess无法知道Candy的信息，他每次猜中的概率为50%。次数越多，概率越小。过程中因增加误码率而被中断通信。相反Candy为秘密重构者，由于Bess的粒子发生了替换，他和其他参与者的粒子发生Bell测量，最后重构的秘密与秘密发送者的秘密一比对，也会存在窃听的行为。此外，对参与者和秘密发送方进行认证，并安全地检测通信之间的量子信道，也能识别出是假冒的。所以一方不诚实者获取不了未知粒子信息。

假设Candy和Bess合作，Candy截获发送给Del的粒子。将自己准备好的粒子发送给Del，如果Del为秘密重构者，重构的秘密会与发送者的不同，或者通过信道安全性的检测也可以发现有盗听者的存在。这些不诚实方想通过欺骗、合作的方式来获取秘密，然而不管怎样他们都不会知道合法秘密重构者手里的粒子的量子态，他们对所拥有的粒子信息的窃取也只能相应猜测，存在概率误差。实际上，方案的粒子数越多，内部窃听成功的概率越低。所以两个不诚实者获取不了未知粒子信息。

事实上，选取数目较多的参与者有助于提高方案的安全性，但是由于数目增多，方案的操作也会增多，效率会因此下降，它们之间有个均衡的关系，这里不做讨论。

事实上，只要秘密重构者坚守自己的操作，不让自己的粒子参与Bell测量，那么其他欺骗者们也就无法重构出秘密。

另外，该方案完全采用量子隐形传输的方式，秘密量子态不会直接被传输，在整个重构秘密和秘密共享过程中，任意一个参与者都无从获知秘密量子真正的量子态。而在某些非量子隐形传输方案中，在秘密分发者都允许的情况下，最后秘密重构者可以将自己所重构的秘密公布出来进行相应的对比验证即可。

3 结束语

考虑了秘密重构者持有两个粒子的情况，这样一来，其中一个粒子参与Bell测量，而另一个粒子则根据最后的测量结果进行相应的幺正变换即可恢复秘密。不需要依靠其他参与者幺正变换，只需要单纯的Bell测量、X基测量即可恢复秘密，在其他代理相互合作的情况下，秘密量子态也不会转移到其他粒子上去，在一定程度上减小了欺骗的概率。接下来将研究秘密量子态从单到多的转换，最终在量子秘密共享中更好地运用。