石润华，于辉，柯唯阳，徐小桐

（华北电力大学控制与计算机工程学院，北京 102206）

0 引言

投票是日常生活中一项重要活动，重要事项表决以及选举都采取投票制。纸质投票因受时间地点限制，不适用于大规模投票场景。电子投票因具有高效性和便捷性，逐渐取代了纸质投票，成为表决的主流方式。电子投票[1]利用互联网传输经典密码学算法加密后的投票信息，目前提出的电子投票协议大多基于盲签名[2]和组签名[3]技术。最著名的电子投票协议是Fujioka 等[4]提出的FOO（Fujioka Okamoto Ohta）算法，它是一种基于盲签名、比特承诺技术以及数字签名技术的电子投票协议。然而，这些电子投票协议的共同特点是安全性基于未被证明的假设，因此只能保证计算安全。

随着量子通信和量子计算机的发展，计算速度越来越快，求解数学困难性问题的复杂性大幅降低，从而对经典密码学的安全构成了威胁，量子密码学[5]也因此得到越来越多的关注。量子投票[6]利用量子密码学对投票信息进行编码，其安全性受量子力学原理保证，理论上具有无条件的安全性，并且可以检测信道中的窃听行为。Hillery 等[7]对投票进行分类，提出了移动式投票和分配式投票2 种投票模式。Vaccaro 等[8]提出了比较投票，根据2 个人的投票来判断他们的操作是否相同。在比较投票和移动式投票的基础上，匿名投票被提出[9]。在其研究基础上，许多学者都提出自己的量子投票方案[10-12]。

具有一票否决功能的投票协议是指：若有至少一个投票者反对，决议被否决，但任何投票者都无法知道谁投了反对票，从而保护了投票者的隐私。该投票场景主要用于防止少数服从多数，经典电子投票领域已产生许多研究成果。Kiayias 等[13]提出了一种基于DDH（decisional Diffie-Hellman）假设和零知识证明的投票方案。仲红等[14]提出了一种半诚实模型下的电子投票方案，主要利用多精度运算和安全多方求和。杨志勇等[15]提出了一种不需要可信第三方的基于安全多方求和的一票否决方案。延吉红等[16]提出了一种安全高效的投票方案，使当串谋人数小于n–1 时，方案满足完全保密性。此外，在经典密码算法的基础上出现了安全性更高的量子一票否决协议。Rahaman 等[17]提出了一种多粒子GHZ（Greenberger-Horne-Zeilinger）态先验纠缠的量子匿名一票否决（QAOV,quantum anonymous one-vote veto）协议，该协议以泄露部分投票隐私为代价，当偶数票同意或者奇数票反对即可实现投票结果，然而，由于多粒子GHZ 态制备困难，其可实现性不好。Wu 等[18]提出了一种基于量子位和Pauli 运算Z 和X 的量子匿名一票否决协议，使用的量子资源和量子操作较简单。然而，该协议利用一个半诚实的服务器作为投票管理中心来制备量子态和生成并分发子秘密（即子密钥），辅助投票者完成投票过程，因此服务器的不诚实行为可能窃取投票者的隐私信息，实际上该协议需要可信的第三方。总之，现有投票协议主要存在以下挑战。

1)所用量子资源为多粒子纠缠态，且需要进行高维空间的量子测量，操作困难，协议的可实现性差。

2)投票者需要制备量子资源，增加了投票者的负担。

3)以泄露部分投票隐私为代价实现投票结果。

4)存在可信第三方，但在现实中完全可信的第三方是很难找到的。

此外，随着Google 量子霸权[19]的验证（即针对特定问题的计算能力超越经典超级计算机，又称“量子优越性”），现在的量子计算设备计算速度越来越快，但因其昂贵的计算成本而未得到普及。另一方面，各种量子云平台的出现（如IBM 量子实验）使普通用户也可以执行量子计算。鉴于此，本文引入诚实且好奇的量子云，设计量子安全多方析取协议，其中量子云制备所需量子资源和实施所有量子测量，从而使其他参与者的量子处理能力达到最小要求，仅需执行简单的单光子操作（Pauli 算子和Hadamard gate 操作）；并将此协议用于解决一票否决投票问题，提出了基于量子云的量子匿名一票否决（QAOVC,quantum anonymous one-vote veto with a quantum cloud）协议。进一步地，进行去中心化处理，本文提出一种不需要第三方协助的量子匿名一票否决协议。协议均以BB84 态单光子[20]为量子资源，并进行简单的单光子操作和单光子测量。协议不仅满足匿名性、合法性、可验证性等较完备的投票安全属性，且耗费量子资源少，量子操作及测量的复杂性低，具有更好的可实现性。

1 预备知识

本节主要介绍单光子操作：Pauli 算子和Hadamard gate 操作。

1.1 Pauli 算子

Pauli 算子可以看作二维Hilbert 空间上的2 个基向量的外积算子[21]，本文所用到的UY算子外积为，其密度矩阵如式(1)所示，UY算子对基底进行变换如式(2)所示。

1.2 Hadamard gate 操作

Hadamard gate 操作（简称H门操作）的密度矩阵如式(3)所示，其效果是对量子比特的状态做基底的变换，进行基底间相互转换，变换过程如式(4)所示。

此外，H和UY变换还满足如下性质。

2 量子安全多方析取协议

随着量子计算的发展，量子设备的计算能力越来越强，但由于其成本昂贵，并未得到普及。为此，本文引入了量子云，提出了一个可行的量子安全多方析取（QSMD,quantum security multiparty disjunction）协议，使参与者仅需执行简单的单光子操作，降低了参与者的负担。

2.1 协议模型

定义1QSMD 协议。假设协议中有m个参与者P1,P2,…,Pm，每个参与者Pi有一个秘密输入xi(xi∈{0,1})。执行QSMD 协议后，输出结果为x1∨x2∨…∨xm（此处“∨”表示逻辑或，0∨0=0，0∨1=1，1∨0=1，1∨1=1）。此外，协议满足以下安全目标。

1)正确性。如果所有参与者都诚实地执行协议，则最后的结果x1∨x2∨…∨xm是正确的。

2)公平性。每个参与者都是平等的，都能以同等概率得到结果x1∨x2∨…∨xm。

3)隐私性。除参与者Pi外，没有任何参与者能知道其秘密输入xi。

在协议中，量子云制备单光子并对其进行测量，其他参与者只需执行简单的单光子操作。此外，假设协议中所有参与者都是诚实且好奇的，即每个参与者都诚实地执行协议，但是对其他参与者的秘密信息xi感兴趣，类似于经典的半诚实模型。假设参与者Pi和Pi+1（i=1,2,…,m；Pm+1代表量子云）之间存在量子认证通道，且实现环境是无噪声、无粒子丢失和设备性能完美的。最后量子云负责输出结果。符号定义如表1 所示。

表1 符号定义

2.2 协议描述

步骤 1所有参与者Pi(i=1,2,…,m)共同确认小整数k（例如，k=10，其错误的概率为δ≈），它与成功得到结果x1∨x2∨…∨xm的概率有关。

步骤2每个参与者Pi生成自己的秘密信息xi(xi∈{0,1},i=1,2,…,m)，并根据秘密信息xi生成一个长度为k且满足xi=Xi[1]∨Xi[2]∨…∨Xi[k]的随机私密数组Xi(Xi[j]∈{0,1},1≤j≤k)。

步骤3每个参与者Pi随机生成2 个长度为t(t=2(k+q))的数组Ri和Si(Ri[j]∈R{0,1}且Si[j]∈R{0,1}，1≤j≤t)。

步骤4量子云制备t个BB84 态的单光子ph1,ph2,…,pht(phj∈{0,1,+,−},j=1,2,…,t)并记录其初始状态，然后，将单光子通过认证的量子通道发送给参与者P1。

步骤5参与者P1执行以下步骤。

步骤6参与者P1通过认证的量子通道将t个单光子发送给P2。

步骤7参与者P2收到P1发送的单光子后，根据S2[j]和R2[j]对其进行相应操作，随后将单光子通过认证的量子通道发送给P3。收发单光子过程执行m次，最后Pm将单光子发回量子云。

得到上一参与者发送的单光子后，参与者Pi执行以下步骤。

步骤8量子云收到单光子后，对每个单光子以初始基进行测量并记录。

步骤9后处理。

1)每个参与者Pi公开它的数组Si[j](j=1,2,…,t)。

2)所有参与者Pi选出满足有效条件=0的j。根据预备知识可知，满足有效条件的第j个单光子phj的基不变。

3)所有参与者保存满足有效条件的事件j，其余的事件丢弃（概率约为）。

4)约有k+q（约为）个有效事件，所有参与者随机选择k个事件用来传递信息，其余q个事件则用来进行窃听检测。

5)对于q个用于检测窃听的事件，所有参与者要求量子云公开相应检测光子的初始态和测量结果，继而所有参与者也公开对应的数组Ri[j]。通过所有公开信息可以确定是否存在不诚实行为或窃听者。经过有效条件的判定，若用于窃听检测的单光子phj与初始状态匹配，则继续执行下一步；否则认为存在窃听，放弃QSMD 协议的执行。

例如，假设第j个单光子phj是一个窃听检测事件，如果满足=0，那么这个单光子的测量结果应该与初始状态相同；否则，与初始状态不同。

步骤10假设用来计算最后结果的k个编码事件与t个单光子中第g1,g2,…,gk个事件相对应，每个参与者Pi计算且公开

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

步骤11量子云计算X＊[gj](j=1,2,…,k）

量子云执行以下操作。

3 基于量子云的量子匿名一票否决协议

本节将QSMD 协议用于解决一票否决场景下的投票问题，增加了对投票者的身份认证和对投票信息的承诺，使投票协议满足合法性及可验证性，提出了QAOVC 协议。

3.1 协议模型

假定协议中m个投票者 Alice1,Alice2,…,Alicem对决议进行投票，每个投票者Alicei对决议的秘密选票xi可用0 或1 表示，其中，0 表示支持决议，1 表示反对决议。执行QAOVC 协议后，投票结果为w=x1∨x2∨…∨xm（0 表示决议通过，1 表示决议被否决）。QAOVC 协议除了满足安全多方析取协议的安全假设以及安全目标外，还满足可验证性，即任意一个投反对票的投票者都可以验证他的选票是否被正确计算在内。QAOVC 协议模型框架如图1 所示，其中，表示投票者Alicei对单光子phj进行的单光子操作。投票协议包含以下两类参与者。

图1 QAOVC 协议模型框架

1)量子云Cloud。半诚实的参与者，假定其不与其他投票者串谋，主要负责验证投票者身份、制备并测量BB84 态单光子、统计选票结果并公布，保存投票者投票信息的承诺值。

2)投票者Alice。半诚实的投票者，负责对决议进行表决，具有一票否决的权利。

3.2 协议描述

3.2.1 初始化阶段

步骤1所有投票者Alicei(i=1,2,…,m)共同确认整数k，生成自己的秘密选票xi以及对应的随机私密数组Xi，随机生成2 个长度为t的数组Ri和Si，其中t=2(h+k+q)。

步骤2量子云事先准备一组长度为h的身份认证信息 IDi[j](i=1,2,…,m;j=1,2,…,h)，并将身份认证结果保存在数组 result[j](j=1,2,…,h)中,且满足式(8)；然后利用面对面或其他安全的方式，如QKD（quantum key distribution），为每个投票者Alicei分配一个身份认证信息数组 IDi[j]。

步骤3每个投票者Alicei随机选择一个整数ri∈{0,1}并计算ci=H(ri⊕H(ri⊕xi))，其中H为安全的哈希函数；然后投票者Alicei将ci通过经典信道发送给量子云，即投票者Alicei将秘密选票xi承诺给量子云，但是量子云在不知道ri的情况下是不能解密出秘密选票的。

3.2.2 量子执行阶段

按照2.2 节的步骤 4～步骤 8 制备t个单光子并执行。

3.2.3 经典后处理阶段

执行2.2 节的后处理阶段，选出h+k+q（约为）个有效事件，所有投票者随机选择h个事件用来验证身份，k个事件用来传递信息，其余q个事件则用来进行窃听检测。

3.2.4 身份认证及窃听检测阶段

步骤1假设用来认证身份的h个事件与t个单光子中的第l1,l2,…,lh个单光子相对应，每个投票者Alicei计算

其中，j∈{1,2,…,h}且lj∈{1,2,…,t}，计算完成后投票者将Yi[lj]公开。

步骤2量子云计算Y[lj](j=1,2,…,h)如下

量子云执行以下操作。

若身份认证成功则继续执行下一步，否则放弃此次投票。

步骤3对于q个用于窃听检测的事件，所有投票者公开对应的数组Ri[j]。量子云通过所有公开信息可以确定是否存在不诚实行为或者窃听。经过有效条件的判定，若用于窃听检测的单光子phj与初始状态匹配，则继续执行下一步；否则认为存在窃听，放弃此次投票。

例如，假设第j个单光子phj是一个窃听检测事件，如果满足=0，那么这个单光子的测量结果应该与初始状态相同；否则，与初始状态不同。

3.2.5 投票及计票阶段

假设用来计算最后结果的k个编码事件与t个单光子中第g1,g2,…,gk个事件相对应，每个投票者计算且公开

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

量子云计算X＊[gj](j=1,2,…,k)，即

量子云执行以下操作。

若有投票者投反对票，则量子云的计算结果应为1，表示决议被否决；否则决议通过。

3.2.6 验证阶段

假设投票者Alicei投了反对票，而量子云公布的投票结果为通过时，则投票者Alicei可以使用量子匿名通信技术[22-24]广播中断信号，并向量子云公开随机数ri，对初始化阶段存放在量子云的承诺信息ci进行验证。若经验证投票结果正确，则投票结束；否则，量子云对投票结果进行改正。

4 量子匿名一票否决协议

量子云负责验证身份、收集选票、制备并测量单光子、公布结果的工作，中心化程度非常高，存在较高的安全威胁，也存在单点失效的风险。实际上，即使量子云不可信，也得不到投票者的任何隐私信息。所以，可以去掉量子云，将它的工作平摊给每个投票者，以达到去中心化的目的。本节提出了一种不需要第三方协助的QAOV 协议。

4.1 协议模型

本节提出的QAOV 协议同样满足QAOVC 的安全目标以及安全假设，在执行完QAOV 协议后，投票结果依然为x1∨x2∨…∨xm，只是将量子云的工作平摊给每个投票者，并且引入区块链保存投票者的承诺。QAOV 协议模型如图2 所示。协议主要包含以下参与者。

图2 QAOV 协议模型

1)投票者Alice。半诚实的投票者，负责对决议进行表决，制备单光子并测量。

2)区块链。保存承诺值。

4.2 协议描述

4.2.1 初始化阶段

步骤1所有投票者Alicei共同确认整数k。

步骤2所有投票者通过面对面或其他安全的方式（如QKD）事先准备一组长度为h的身份认证信息 IDi[j]，并将身份认证结果保存在数组result[j]中；然后为每个投票者Alicei分配一个身份认证信息 IDi[j]。

步骤3每个投票者Alicei确定自己的秘密选票xi及其对应的随机私密数组Xi，生成随机秘密数组Ri和Si。

步骤4每个投票者Alicei随机选择一个整数ri∈{0,1}并计算ci=H(ri⊕H(ri⊕xi))；然后将ci保存到区块链。即投票者Alicei将秘密选票xi承诺给区块链，但是区块链在不知道ri的情况下是不能解密出投票信息的。

4.2.2 量子执行阶段

记录量子执行轮数d=1（1≤d≤，假设k+q+h为m的整数倍），每个投票者Alicei制备一个BB84 态的单光子 phm(d−1)+i并记录其初始状态，根据Si[m(d−1)+i]和Ri[m(d−1)+i]对单光子执行相应的单光子操作；然后通过认证的量子通道将单光子发送给 Alicei+1。

Alicei+1收到单光子后，对其执行相应的单光子操作，然后通过认证的量子通道将单光子发送给Alicei+2。每个单光子的收发过程都执行m次，最后将单光子发回其制备者手中，用初始基进行测量并记录，至此，第一轮量子执行结束，进入下一轮，共需执行轮。第j个单光子的量子执行阶段如图3 所示。

图3 第j 个单光子的量子执行阶段

4.2.3 经典后处理阶段

与3.2.3 节一致，所有投票者随机选出h+k+q个有效事件。

4.2.4 身份认证及窃听检测阶段

步骤1假设用来认证身份的h个事件与t个单光子中的第l1,l2,…,lh个单光子相对应，每个投票者Alicei计算Yi[lj](j∈{1,2,…,h})并公开。

步骤2制备第lj个单光子的投票者计算Y[lj]并进行身份认证，若身份认证成功，则继续进行下一步；否则，放弃此次投票。

步骤3窃听检测，过程与3.2.4 节步骤3 的检测程序相同。

4.2.5 投票及计票阶段

假设用来计算最后结果的k个编码事件与t个单光子中第g1,g2,…,gk个相对应，每个投票者Alicei计算并公开，制备第gj个单光子的投票者计算X＊[gj](j=1,2,…,k)以及w。若w=1，则决议被否决；否则，决议通过。

4.2.6 验证阶段

假设投票者Alicei投了反对票，公布的投票结果为通过，则投票者Alicei可以使用量子匿名通信技术广播中断信号，并对区块链公开随机数ri，对初始化阶段存放在区块链的承诺信息ci进行验证。若经验证投票结果正确，则投票结束；否则，对投票结果进行改正。

5 分析与实验

本节首先分析了量子安全多方析取协议的正确性，并证明当所有的参与者都诚实执行协议时，所述协议是无条件安全的；其次，分析了投票方案所满足的安全属性；最后，将所提协议与其他协议从量子资源、通信复杂度以及效率等方面做对比，并使用IBM Qiskit 对所述协议进行仿真实验，实验结果表明，所提协议具有正确性。

5.1 正确性

本文提出的QAOVC 协议和QAOV 协议的正确性是由QSMD 协议的正确性保证的，以下将对QSMD 协议的正确性进行分析。

定理1假设有m个输入，其中1 的个数为p(p≤m)，如果p=0或1，协议正确执行；如果p≥2，则可能输出错误结果0，其概率为δ≈（当k足够大时可忽略不计）。

证明

1)假设量子云生成的单光子phj的初始态为，执行协议后发送回量子云的状态为，可表示为

从式(2)和式(14)可知，对于有效事件，最终状态与初始状态的基相同，如果UY变换执行偶数次，则除了多一个全局相位因子外其状态不变；否则，状态改变，但维持同一个基。

从式(11)和式(12)易得

2)进一步考虑以下几种情况，m个输入x1,x2,…,xm，其中1 的个数为p

情况1p=0

所有Xi[j]均为0，即w==0。计算结果表示输出正确，与假设符合，所以结果正确。

情况2p=1

假设任意一个参与者Pi的输入为1，即≠0，且至少存在一个j使w==1。计算结果与假设符合，所以结果正确。

情况3p=2

显然，当k足够大时，δ≈0。例如，k=6 时，δ=0.015 78；k=10时，δ=0.000 98。

情况4p=3

假设有这样的k行（对应j=1,2,…,k）和p列（对应p个数组Xi），其中每列至少有一个1 且每行有0 个1 或者2 个1，w==0，然而，x1∨x2∨…∨xm=1，所以通过1 在每行可能的位置，可以推断出协议错误的概率满足以下条件

当k足够大时，δ≈0。例如，k=6 时，δ=0.016 38；k=10时，δ< 0.000 98。

依次类推，可得p取其他值的情况，即

5.2 安全性

本文提出的QAOVC 协议和QAOV 协议的安全性主要是由QSMD 协议的安全性保证的，所以，在定理2中将证明QSMD协议在半诚实模型下是无条件安全的。

定理2若所有参与者都诚实执行协议时，则所述协议是无条件安全的。

证明单光子在量子认证通道传递信息时，根据随机数组Ri和Si执行单光子操作来进行加密，此时数组未公开是私密数组。如果输入态和输出态都是混合态，则本文提出的量子投票协议是无条件安全的。不失一般性，以第j个随机的单光子phj为例，其输入态为

在执行完相应操作后，输出态为

由式(21)可知，输出态为最大混合态，所有参与者都不能得到除自己以外其他参与者所选择的秘密信息，因此该协议使用的量子完备加密是信息理论安全的。

在执行完q个单光子的窃听检测后，每个投票者Pi公开Ri[lj]，它是随机且私密的，显然这是经典的一次一密[25]。

综上所述，量子完备加密[26]和一次一密保证了在半诚实模型下协议是无条件安全的。然而，一个不诚实的参与者Pi−1可能会与参与者Pi+1联合窃取Pi的秘密信息，分析如下。

不诚实参与者Pi−1在收到t个单光子后，制备t个贝尔态粒子，并将光子b发送给Pi，自己保留光子a。参与者Pi收到光子b后对其进行变换如下

参与者Pi+1收到单光子b后，由于与Pi−1联合窃听，他将单光子发送给Pi−1，对2 个光子(a,b)进行贝尔态测量即可推测出Pi的私密数据（如果测量结果为，则Ri[j]=0且Si[j]=0）。所以，为了抵抗这种攻击，用q个单光子进行窃听检测，显然，它可以保证所有参与者的诚实性，且可抵抗外部窃听者，这类似于QKD[27]中的诱骗态。

根据上面的分析可知，如果各方都诚实地执行协议，就会正确地输出最终的结果。在所提协议中，所有参与者都是完全对等的且执行相同的程序。因此，所提QSMD 协议可以实现公平性。此外，与大多数现有的量子安全多方计算一样，所提QSMD 协议需要经过认证的量子信道，可以保证量子资源和参与者身份的真实性。原则上可以将量子认证技术[28]和经典认证技术[29]结合起来，在量子信道中实现各种认证。

5.3 投票协议满足的安全属性

本文提出的QAOVC 协议和QAOV 协议均满足以下安全属性。

5.3.1 匿名性

在QAOVC 协议中，所有投票者都可得到一个唯一的ID，身份认证成功后即可使用匿名ID 进行投票，因此投票者的真实身份不能被除自己以外的任何投票者知道（注意，验证者仅验证所有投票者合法或存在不合法的投票者）。此外，在上述2 个协议中只公布决议通过与否（即投票的最终结果），无法知道是谁投了反对票以及投反对票的人数，在QAOVC 协议中，结果由量子云计算后公布；在QAOV 协议中，所有投票者共同计算投票结果，因此所提协议满足匿名性。

5.3.2 合法性

在投票协议中，需要核实投票者身份信息，只有合法投票者才能够进行投票。在QAOVC 协议中，初始化阶段，每个投票者都可得到量子云准备的身份认证信息，并将其异或的正确结果保存在数组result 中；身份认证阶段，会对投票者的合法性进行验证，只有当所有投票者的身份认证信息异或的结果与事先保存在数组result 中的结果符合时，才能进行投票。在QAOV 协议中，所有投票者通过面对面或其他安全的方式（例如QKD）准备一组身份认证信息，并将结果保存，同样对身份认证信息进行核实，身份合法即可投票。

5.3.3 公平性

各投票者都是等价的，在投票前任何投票者都不能获取部分投票记录或其他投票者的有用信息，且他们以同等的概率得到投票结果。本文所提协议中，投票者利用量子完备加密对量子资源进行编码，即根据随机数组Ri和Si执行单光子操作来进行加密，并通过后选择的方式选出满足有效条件的单光子用于对投票信息的编码，且在协议中传递投票信息的单光子处于最大混合态，因此投票信息不会泄露给其他投票者。在QAOVC 协议中，投票信息在量子云计算后进行公布，且假定量子云不与其他投票者串谋，从而避免了投票信息的泄露；在QAOV 协议中，每个投票者均需制备相同个数的单光子，并对传递的信息进行统计后公开，计算并公布投票结果过程需投票者共同执行。因此，协议具有公平性。

5.3.4 可验证性

任意一个投反对票的投票者都可以验证他的选票是否被正确计算。根据5.1 节的正确性分析，如果每个参与者都诚实地执行协议，则投票结果正确；当投票结果错误时，任何投反对票的投票者均可中断协议，对结果进行验证。在QAOVC 协议中，投票者需向量子云公布随机数ri，对存放在量子云的承诺信息ci进行验证；在QAOV 协议中，投票者需向区块链公开随机数ri，对存放在区块链的承诺信息ci进行验证。实际上，当所有投票者均同意决议时，可验证性被隐藏，为解决这种情况，可引入可信第三方来监督量子云（区块链）。

5.4 通信性能比较

根据前文分析易得，所提协议具有较完备的安全属性，本节将从量子资源、通信复杂度以及效率等方面与其他协议进行对比分析。假设m个投票者，对n个决议进行表决，所提协议中每对一个决议进行表决，量子云需制备t(t=2(h+k+q))个单光子，其中k个用来传递投票信息，总共传递 2n(h+k+q)个单光子，通信复杂度为O(kn)，效率为η=。所提协议与其他协议的比较如表2 所示。

由表2 易得，所提协议使用的量子资源较易制备，同时使用的量子操作较为简单，具有良好的可行性。此外，本文提出的QAOVC 协议引入了第三方量子云作为投票中心，负责制备投票所需量子资源，并计算最终投票结果，且投票者仅需执行简单的单光子操作，降低了投票者负担；QAOV 协议在QAOVC 协议的基础上进行去中心化处理，将量子云的工作平摊给投票者，投票结果由所有投票者共同计算，避免了QAOVC 协议单点失效的风险，具有更好的安全性和隐私性。

表2 所提协议与其他协议的比较

5.5 仿真实验

为了更好地理解，在IBM Qiskit 平台对所提QSMD 协议进行仿真实验，假设参与者的人数m=6，量子云制备 6 个单光子，分别为，具体线路如图4 所示。在IBM Qiskit 上仿真1 024 次后，用初始基对单光子进行测量，经典测量结果为010100，概率为100%。显然，实验结果与公式推导结果一致。综上所述，所提协议是正确的。

图4 具体线路

k取不同值时错误率与输入中1 的个数p的关系如图5 所示。在模拟实验中，假设有10 个参与方，对每个k共同计算QSMD 协议60 000 次，每次输入都是随机的。从图5 可以看出，错误率主要取决于p≥2 时k的取值，当k=10 时，错误率近似等于0。总之，仿真实验验证了所提QSMD协议的正确性和可行性。

图5 k 取不同值时错误率与p 的关系

所提协议中没有考虑量子噪声和光子损失，与已有抗噪容错的量子协议类似，可以在实际应用中增加单光子的数量t，并采用量子容错（例如decoherence-free states）或经典的纠错技术来避免这些问题。此外，当参与者相距较远时，可以在每一方部署一个量子中继器，用基于隐形传态的方式转发未知状态的光子。

综上所述，所提协议具有较好的可行性。

6 结束语

本文首先设计了一个新颖的量子安全多方计算基础协议，即量子安全多方析取协议，进一步提出了一种基于BB84 态的有量子云协助的匿名一票否决协议。该协议以单光子作为量子资源，投票者只需进行简单的单光子操作，且使用的量子资源更少，具有良好的可行性。在所述协议中，利用量子完备加密与经典一次一密结合保证了协议的无条件安全，且满足较为完备的投票安全属性。在此基础上进行去中心化处理，提出了一种不需要第三方协助的量子匿名投票一票否决协议。相较于现有的量子一票否决协议，所提协议降低了投票者的负担，同时不泄露投反对票的总人数，更好地保护了投票者的隐私。所提协议使用单光子作为量子资源，然而现有技术水平无法制备完美的单光子，为此可使用弱相干脉冲代替所述协议中的单光子，使协议具有更好的可行性。

此外，作为一个基础协议，量子安全多方析取协议可应用于安全计算布尔函数或其他更复杂的安全多方计算任务中。