郝 娜，李志慧，白海艷

陜西師范大學(xué) 數(shù)學(xué)與信息科學(xué)學(xué)院，西安 710119

1 引言

秘密共享是密碼學(xué)中的一個(gè)重要研究內(nèi)容，它是指在參與者中共享秘密份額，只有授權(quán)集才能重構(gòu)秘密，非授權(quán)集得不到秘密的任何消息。在一個(gè)量子秘密共享方案中，秘密是基于量子特性被分發(fā)和重構(gòu)的，相對(duì)于經(jīng)典秘密共享方案，量子秘密共享方案因其量子理論基礎(chǔ)而更加安全。目前，量子秘密共享的研究主要集中在利用量子方法在通信者之間共享經(jīng)典密鑰的(N,N)方案。自從1998年Hillery等人參照經(jīng)典秘密共享體制提出量子秘密共享的概念，并利用Green-Horne-Zeilinger（GHZ）三重態(tài)的量子關(guān)聯(lián)性設(shè)計(jì)了一個(gè)量子秘密共享方案[1]之后，量子秘密共享引起了人們的興趣，一系列量子秘密共享方案被提出[2-8]。

無偏基是許多量子信息處理過程中的重要工具。關(guān)于無偏基已有許多研究[9-14]。已有文獻(xiàn)證明素?cái)?shù)冪維復(fù)空間Cd上無偏基的最大數(shù)目為d+1[9]。Tavakoli等人在文獻(xiàn)[14]中利用奇素?cái)?shù)維量子系統(tǒng)上的無偏基的循環(huán)性質(zhì)以及酉矩陣有關(guān)理論，給出了一個(gè)量子秘密共享方案。文獻(xiàn)[9]借助素有限域理論將奇素?cái)?shù)維量子系統(tǒng)上的無偏基用素有限域中的元素表示。當(dāng)量子系統(tǒng)維數(shù)d為偶數(shù)時(shí)，該系統(tǒng)上的無偏基可以利用奇素?cái)?shù)維上無偏基的情況類似討論，這樣當(dāng)d≤8時(shí)，d維量子系統(tǒng)上的無偏基均已構(gòu)造。本文給出9維量子系統(tǒng)上的無偏基以及酉矩陣，基于這些無偏基和酉矩陣的性質(zhì)，構(gòu)造9維量子系統(tǒng)上的秘密共享方案，并討論方案的安全性。

2 無偏基及相關(guān)性質(zhì)

其中，i,j=1,2,…,d，稱這兩組基B0和B1是相互無偏的；兩兩相互無偏的一組標(biāo)準(zhǔn)正交基{B0,B1,…,Bm}稱作相互無偏基集。

Wootters等人指出所有素?cái)?shù)和素?cái)?shù)冪維系統(tǒng)(d=pn,p≠2)的無偏基的個(gè)數(shù)為d+1個(gè)，并利用有限域的理論給出了這d+1個(gè)無偏基的具體形式[9]。設(shè) p是一個(gè)奇素?cái)?shù)，在有限域Fpn（n是自然數(shù)）上，令：

當(dāng) j∈Fpn時(shí)，由式（2）給出的基組為：

…

當(dāng) j=m,m∈Fpn時(shí)

…

當(dāng) j=d時(shí)，令：

稱由式（3）定義的這組基為計(jì)算基，對(duì)應(yīng)的基記為Vd=

由于F9為F3的二次擴(kuò)域，令 f(x)=x2+x+2為F3上二次不可約多項(xiàng)式，令θ為 f(x)的一個(gè)根，則有：

設(shè)g:F9→Z9是有限域F9到剩余類環(huán)Z9的一個(gè)映射，定義：易證g為一一映射，即F9中的元素與Z9中的元素一一對(duì)應(yīng)。

引理在有限域F9上，由式（2）定義的無偏基的上標(biāo)和下標(biāo)有以下性質(zhì)：

例1 當(dāng)l=θ+2,j∈F9時(shí)

進(jìn)一步，在有限域F9上，令S={A1,A2,B1,B2}，其中：

定理1在有限域F9上，由式（2）定義的無偏基有以下性質(zhì)：

（1）當(dāng)l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時(shí)，

（3）當(dāng)j∈{0 ,1,θ,θ+1,2θ,2θ+1} 時(shí)，

證明當(dāng)l∈{0,1,θ,θ+1,2θ,2θ+1}時(shí)：

因此，當(dāng)l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時(shí)，同理可得：

注1由定理1可得：

3 酉矩陣的構(gòu)造

本文構(gòu)造有限域F9上的酉矩陣，使其在集合M上是封閉的。

定理2 設(shè)對(duì)于 ?α,β∈F9：

α,β

證明由于Ai,Bi,i=1,2，均為酉矩陣，易證Uα,β為酉矩陣。

設(shè) l=k1+k2θ,j=k3+k4θ α =x1+y1θ, β =x2+y2θ

則l+α=(k1+x1)+(k2+y1)θ j+β=(k3+x2)+(k4+y2)θ

由定理1，得：

所以：

4 (N,N)門限方案

文獻(xiàn)[14]給出了奇素?cái)?shù)維上的秘密共享方案，本節(jié)考慮9維量子系統(tǒng)上的情形。設(shè)R1為分發(fā)者，R2,R3,…,RN+1為參與者。

4.1 準(zhǔn)備階段

4.2 分發(fā)階段

（1）R1隨機(jī)選定相互獨(dú)立的 α1,β1∈F9，則 α1=其中，那么，用作用，將作用后的量子態(tài)記為，并將傳給R2。

（2）R2隨機(jī)選定相互獨(dú)立的 α2,β2∈F9，則 α2=，其中，那么，用 U作用，將α2,β2作用后的量子態(tài)記為，并將傳給R3。

（3）R3隨機(jī)選定相互獨(dú)立的 α3,β3∈F9，則 α3=，其中，那么，用作用，將作用后的量子態(tài)記為，并將傳給R4。

（4）重復(fù)此過程直到 RN+1得到量子態(tài)RN+1將傳給R1。

4.3 測(cè)量階段

R1隨機(jī)選擇J∈F9，用基測(cè)量量子態(tài)，若測(cè)量結(jié)果為，標(biāo)記h,h∈F9。

4.4 檢測(cè)階段

在隨機(jī)的輪中，參與者Rk,k=2,3,…,N+1公布他們選擇的βk,R1不公布任何數(shù)據(jù)，R1私下計(jì)算下式是否成立：

若上式成立，則該輪有效，否則，放棄該輪。

為了檢查安全性，只需讓參與者 Rk,k=2,3,…,N+1公開他們選擇的αk,R1計(jì)算下式是否成立：

若成立，則安全；否則，該輪就是不安全的，存在竊聽或欺騙。

4.5 恢復(fù)階段

Rk,k=2,3,…,N+1共享他們的αk，得到密鑰：

注2該方案之所以可以運(yùn)行，是因?yàn)椋?/p>

分析：當(dāng)選擇的 J∈F9不滿足式（5）測(cè)量量子態(tài)時(shí)就會(huì)塌縮為別的量子態(tài)，后邊的計(jì)算就沒有意義了，也即該輪為無效輪；當(dāng)選擇的J∈F9滿足式（5）時(shí)就可以準(zhǔn)確測(cè)量，又F9含有9個(gè)元素，因此準(zhǔn)確測(cè)量的概率為1/9，即該輪有效的概率為1/9；若該輪測(cè)量有效，假設(shè)不存在欺騙或竊聽，則準(zhǔn)確測(cè)量之后，式（6）一定滿足，因此式（6）可以用來判斷安全性；每執(zhí)行一輪有效安全的上述協(xié)議，就會(huì)產(chǎn)生一個(gè)密鑰，當(dāng)多次執(zhí)行上述協(xié)議就會(huì)得到密鑰流s1,s2,…,可用于秘密共享。因此，可以由式（5）和式（6）判別該方案的有效性和安全性。

5 安全性分析

本文從以下兩方面來討論該方案的安全性。

5.1 外部攻擊

類似Bennett-Brassard協(xié)議（簡稱BB84協(xié)議）中兩方量子密鑰分發(fā)（Quantum Key Distribution，QKD）情形的攻擊：對(duì)于更多一般的竊聽攻擊，在Rk→Rk+1的量子傳輸中，可以將R1,R2,…,Rk視為一塊，有效地表示為單一團(tuán)體，把Rk+1,…,RN+1,R1視為測(cè)量團(tuán)體，因此竊聽攻擊就被簡化為之前遇到的BB84中兩方QKD的情形，可以類似地探討，很顯然是安全的。

通過酉門的攻擊：還有一種可以選擇的欺騙是Eve給參與者Rk的酉門再發(fā)送一個(gè)量子底特或一個(gè)多體量子底特脈沖，以便于她可以以某種方法通過酉門達(dá)到竊聽，而不是截獲協(xié)議中的量子態(tài)。當(dāng)βk被公開之后，她就可以知道真正的酉陣，就可知道αk。然而，如果Rk確定了他的酉門的出口處量子測(cè)量的次數(shù)，這種攻擊是很容易被檢測(cè)的。

糾纏測(cè)量攻擊：在傳輸量子態(tài)的過程中，假定Eve使用酉算子UE糾纏輔助粒子，并通過測(cè)量輔助粒子以竊取秘密信息。假設(shè)Eve的輔助粒子是，且有如下形式：l∈F9)是通過酉算子UE決定的純態(tài)，且

為了避免竊聽檢測(cè)，Eve必須設(shè)置akl=0，其中k≠l且k,l∈F9。因此方程（7）和方程（8）可簡化為：

在方程（11）中，容易看出，如果Eve想要避免竊聽檢測(cè)，那么她并不能對(duì)整個(gè)量子秘密共享系統(tǒng)產(chǎn)生影響，并且從輔助粒子中也得不到有效信息。因此，糾纏測(cè)量攻擊是無效的。

特洛伊木馬攻擊：若量子秘密共享（Quantum Secret Sharing，QSS）方案中使用的粒子是光子，則所提出的協(xié)議對(duì)于以下兩種特洛伊木馬攻擊可能是不安全的：延時(shí)光子攻擊和不可見光子攻擊。為了阻止延時(shí)光子攻擊，參與者必須有能力區(qū)分是否存在多光子信號(hào)，即必須能夠區(qū)分所接收到的光子是單光子和多光子。光子數(shù)分裂（Photon Number Splitting，PNS）技術(shù)可以實(shí)現(xiàn)這一要求。參與者將隨機(jī)選擇收到的光子信號(hào)的一部分作為樣本信號(hào)，并用PNS技術(shù)來區(qū)分每個(gè)樣子信號(hào)。隨后，他們?nèi)我膺x擇一般基測(cè)量兩個(gè)信號(hào)。如果多光子率太高，傳送過程應(yīng)該停止并重新開始。為了阻止不可見光子攻擊，參與者需在設(shè)備上增加濾鏡。而濾鏡只允許光子信號(hào)的波長接近于操作粒子的波長的光子進(jìn)入。故攻擊者的不可見光子將會(huì)被隔離。

5.2 內(nèi)部攻擊

在秘密共享中，須承認(rèn)參與者子集密謀欺騙的可能性。在最壞的情形下，只有分發(fā)者R1和一個(gè)參與者是誠實(shí)的，剩下的N-1個(gè)參與者是密謀方。這里針對(duì)一些特殊的陰謀攻擊進(jìn)行分析。

在文獻(xiàn)[15-16]中，竊聽攻擊使用量子記憶和輔助量子態(tài)糾纏測(cè)量系統(tǒng)，這種攻擊在文獻(xiàn)[17]中被證明會(huì)導(dǎo)致安全性問題。然而，文獻(xiàn)[16]中的攻擊不僅需要第一個(gè)參與者進(jìn)行欺騙，還需要最后一個(gè)參與者也是騙子。這在本文中永遠(yuǎn)不會(huì)發(fā)生，因?yàn)镽1是第一個(gè)也是最后一個(gè)參與者是誠實(shí)的。而且，文獻(xiàn)[16]中的竊聽攻擊需要知道β1和J，這是不可能的，因?yàn)镽1從未公開任何數(shù)據(jù)。

更一般的，騙子可以使用一些基于糾纏一個(gè)輔助量子態(tài)或在量子記憶中儲(chǔ)存協(xié)議量子比特或產(chǎn)生一個(gè)新的糾纏態(tài)的攻擊，在協(xié)議循環(huán)中，一個(gè)子系統(tǒng)可以進(jìn)一步通信。不過他們不能獲利，原因是缺乏分發(fā)者R1公布數(shù)據(jù)，導(dǎo)致騙子有效可用的量子比特都在混合狀態(tài)，而沒有給出一個(gè)可能結(jié)果的可觀測(cè)量。而且，如果騙子聯(lián)合他們?cè)谡\實(shí)參與者上做的竊聽攻擊，根據(jù)上一節(jié)的論證，他們將在協(xié)議的檢測(cè)階段被檢測(cè)到。

為方便理解上述方案，舉例如下。

例2假設(shè)N=3，考慮一個(gè)(3,3)方案。

（1）準(zhǔn)備階段

分發(fā)者R1準(zhǔn)備量子態(tài)：

（2）分發(fā)階段

① R1隨機(jī)選定 α1,β1∈F9，令 α1=1+θ,β1=θ 。因此，x11=1,y11=1,x12=0,y12=1。

② R2隨機(jī)選定 α2,β2∈F9,令 α2=θ,β2=1。因此，x21=0,y21=1,x22=1,y22=0。

③ R3隨機(jī)選定 α3,β3∈F9,令 α3=θ,β3=θ。因此，x31=0,y31=1,x32=0,y32=1。

④ R4隨機(jī)選定 α4,β4∈F9,令 α4=θ+2,β4=θ+1。因此，x41=2,y41=1,x42=1,y42=1。

（3）測(cè)量階段

（4）檢測(cè)階段

R2、R3、R4公布他們的 β2、β3、β4，R1檢查式（5）是否成立：

因此本輪有效。之后R1檢查式（6）是否成立：

因此本輪安全。

（5）恢復(fù)階段

Rk,k=2,3,4共享他們的αk，得到密鑰：

因此本輪生成的密鑰為s=2。

6 結(jié)束語

本文首先介紹了文獻(xiàn)[9]基于有限域理論在奇素?cái)?shù)冪維系統(tǒng)上無偏基的構(gòu)造方法；其次針對(duì)具體的非素有限域F9給出了關(guān)于這些無偏基的性質(zhì)，并基于這些性質(zhì)構(gòu)造了酉矩陣，進(jìn)而提出了一個(gè)量子秘密共享方案。本文方案構(gòu)造了一個(gè)只涉及一個(gè)qudit的單粒子量子協(xié)議，雖然該協(xié)議沒有考慮可能的復(fù)雜攻擊，但能抵御標(biāo)準(zhǔn)的攻擊。它相比別的方案在可擴(kuò)展性上展現(xiàn)了很大的優(yōu)點(diǎn)，對(duì)于任意多個(gè)參與者N，都可以利用該方法實(shí)現(xiàn)一個(gè)9維量子系統(tǒng)上的(N,N)門限方案。另一方面，相比文獻(xiàn)[14]，將素有限域維量子系統(tǒng)推廣到了非素有限域F9上，對(duì)文獻(xiàn)[14]進(jìn)行了完善。在未來的工作中會(huì)繼續(xù)深入研究非素有限域上的量子秘密共享方案，以便就量子秘密共享協(xié)議的設(shè)計(jì)提出更加系統(tǒng)的理論基礎(chǔ)。