王 晨

(西安工程大學 計算機科學學院，陜西 西安 710048)

0 引 言

量子密碼學的一個重要分支是量子秘密共享(QSS)[1]。量子秘密共享將秘密分發(fā)給多個參與者，只有授權(quán)參與者共同合作才可以恢復(fù)初始秘密。1999年，Hillery等人[1]提出的Greenberger-Horne-Zeilinger(GHZ)態(tài)是第一個基于量子秘密共享方案；1999年，Gottesman等人[2]提出了量子秘密共享方案，秘密信息被劃分為n份，任意k份都可以用于恢復(fù)秘密，并且證明了閾值方案存在的限制是來自量子不可克隆定理；2000年，Gottesman[3]給出了量子秘密共享理論的一些重要結(jié)果，證明了具有一般訪問結(jié)構(gòu)的量子秘密共享方案存在的唯一限制是單調(diào)性和不可克隆定理；2001年，Tittel等人[4]提出了基于糾纏的量子秘密共享實驗方案，利用參量下轉(zhuǎn)換創(chuàng)建兩個糾纏光子，模擬三量子比特GHZ態(tài)[1]；2003年，Guo等人[5]提出了不使用糾纏態(tài)的量子秘密共享協(xié)議，其理論效率接近100%；2004年，Deng等人[6]提出了基于測量的量子秘密共享方案，根據(jù)測量結(jié)果形成的字符串的奇偶性，給出共享秘密信息的顯示表達式，該方案不僅可以保障協(xié)議的安全性，并且其效率漸近為100%；2005年，Ogawa等人[7]提出了新的量子秘密共享方案，參與者無法從自己的秘密中獲取任何量子秘密信息，該協(xié)議滿足了機密性；2014年，Liao等人[8]提出具有添加新代理的簡便方法，對撤銷的代理進行誠實性檢測；自此，其他量子秘密共享方案隨后被提出。

盡管在最近幾十年來出現(xiàn)了各種量子秘密共享協(xié)議，但是由于量子設(shè)備造價高昂，更可能的應(yīng)用場景是只有少數(shù)的公司和政府機構(gòu)能夠擁有量子計算機。因此，如何降低量子能力是一個值得研究的領(lǐng)域。為了減輕協(xié)議的量子負擔，2007年Boyer等人提出了半量子的想法[9]，在2009年，Boyer等人提出了半量子密鑰分發(fā)協(xié)議，該協(xié)議被證明對竊聽者是完全魯棒的，無論對手做什么操作均會被檢測到。這里的半量子環(huán)境是指，協(xié)議中部分參與者是量子方，具有無限量子能力；而另外一些參與方是經(jīng)典方僅需要有限的量子能力，只執(zhí)行以下幾種操作：(1)在Z基上測量量子比特；(2)在Z基上制備量子比特，{|0〉，|1〉}；(3)無干擾的反射量子比特；(4)通過不同的延遲線重新排列量子比特。隨后，半量子密碼協(xié)議得到了一定的發(fā)展。2010年，Li等人[10]提出了兩種使用最大糾纏GHZ態(tài)的半量子秘密共享協(xié)議；2012年，Wang等人[11]通過使用兩個粒子糾纏態(tài)進而提出了半量子秘密共享協(xié)議，經(jīng)典的參與者只能執(zhí)行制備粒子或者反射粒子的操作；2015年，Xie等人[12]提出了一種新的指定比特的半量子秘密共享協(xié)議，即量子參與者可以與經(jīng)典參與者共享特定的消息；2018年，Li等人[13]提出了有限資源內(nèi)的半量子秘密共享協(xié)議。

為了進一步減輕協(xié)議參與者的量子負擔，可以引入第三方進行量子計算等操作。2015年，Krawec[14]首次提出了仲裁半量子密鑰分發(fā)協(xié)議，兩個參與者在不可信量子第三方的協(xié)助下分發(fā)密鑰。2018年，Liu等人[15]提出了經(jīng)典方不需要測量能力的中介半量子密鑰分發(fā)協(xié)議。2019年，Tsai等人[16]提出了輕量級的量子密鑰分發(fā)協(xié)議，兩個參與者和第三方都是經(jīng)典用戶，使用單向傳輸策略，提出的協(xié)議更實用。2019年，Lin等人[17]提出了新的中介半量子密鑰分發(fā)協(xié)議，該協(xié)議允許兩個經(jīng)典參與者在不受信任的第三方幫助下共享秘密密鑰。受上述研究啟發(fā)[18-20]，文中提出了輕量級的仲裁量子秘密共享方案，即量子方(可信或者不可信的第三方)和經(jīng)典方的能力均是有限的，減少了量子開銷，使該協(xié)議更加易于實現(xiàn)。

1 協(xié)議描述

1.1 第三方可信的半量子秘密共享協(xié)議

本節(jié)介紹了中介可信的量子秘密共享協(xié)議，提出的協(xié)議允許參與者Alice(dealer)和n-1個經(jīng)典代理方Bob1,Bob2,…,Bobn-1在第三方TP的幫助下共享密鑰。TP是誠實的，即TP必須嚴格遵守協(xié)議的規(guī)則。關(guān)于參與者有限的量子能力的具體描述在表1中給出。假設(shè)參與秘密共享協(xié)議共有n個參與者，Alice(dealer)需要在可信第三方TP的幫助下共享密鑰K給n-1個參與者，協(xié)議的具體執(zhí)行內(nèi)容如下：

(1)TP隨機地制備δ個BB84粒子{|+〉,|-〉,|0〉,|1〉},并且發(fā)送給Alice(δ是一個固定參數(shù)，且δ遠大于n)。

(2)Alice收到TP發(fā)送的粒子序列后，隨機執(zhí)行以下兩種操作：

表1 有限量子能力的具體描述

①Alice以概率p對收到的粒子無干擾地反射給Bob1(CTRL)；

②Alice以概率1-p丟棄收到的粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob1(SIFT)。

(3)Bob1收到來自Alice發(fā)送的粒子后，隨機執(zhí)行以下兩種操作：

①反射：Bob1以概率p對收到的粒子無干擾地反射給TP(CTRL)。

②測量重發(fā)：Bob1以概率1-p對收到的粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

(4)TP接收到Bob1發(fā)送的粒子后，通知Alice和Bob1進行竊聽檢測。Alice和Bob1在公共信道公布在哪個粒子位置上執(zhí)行的CTRL操作，對Alice和Bob1都選擇執(zhí)行CTRL的粒子進行測量，TP測量結(jié)果應(yīng)和初始態(tài)一致，若錯誤率高于閾值，則終止協(xié)議并重新開始。

(5)在Bob1和Alice都選擇SIFT操作的位置，這些粒子(以概率(1-p)*(1-q))作為Alice共享給Bob1的密鑰K1的編碼量子比特({|0〉,|1〉,|1〉,…,|0〉}分別代表0,1比特)。

(6)同理，Alice和Bob2，…，Bobn-1在TP的幫助下共享密鑰K2…Kn-1，重復(fù)步驟1～5。最終，K=K1⊕K2⊕…⊕Kn-1作為所有參與者共享密鑰，只有所有的Bob共同合作才能恢復(fù)該密鑰。

1.2 中介不可信的半量子秘密共享協(xié)議

本節(jié)介紹了中介不可信的量子秘密共享協(xié)議，提出的協(xié)議中參與秘密共享協(xié)議的成員有Alice(dealer)、Bob和Charlie，三個參與者在TP的幫助下共享密鑰。TP是不可信的，即必須驗證TP的誠實性。關(guān)于參與者有限量子能力的具體描述在表2中給出。

假設(shè)Alice需要在不可信第三方幫助下共享密鑰K給Bob和Charlie，協(xié)議的具體內(nèi)容如下：

表2 有限量子能力的具體描述

(3)Bob和Charlie在收到Alice發(fā)送的量子序列后，隨機執(zhí)行兩種操作：

①CTRL：以概率p對收到的粒子無干擾地反射給TP；

②SIFT：以概率1-p對收到的粒子用Z基測量并隨機制備量子態(tài)發(fā)送給TP。

(4)TP收到來自Bob和Charlie的所有量子態(tài)并且按順序存儲，按照順序結(jié)合收到的粒子進行Bell測量，并且公布測量結(jié)果及初始態(tài)，Bob和Charlie計算選擇SIFT的初始態(tài)且檢測SIFT比特錯誤率。若Z-SIFT錯誤率高于預(yù)先設(shè)定的閾值PSIFT，那么中止協(xié)議。

(5)Alice公布插入竊聽檢測粒子的位置，Bob和Charlie公布執(zhí)行Z-SIFT操作的位置，TP對比Bob和Charlie選擇CTRL的量子態(tài)并且檢測CTRL比特錯誤率。若Z-SIFT錯誤率高于預(yù)先設(shè)定的閾值PCTRL，那么中止協(xié)議。

(6)Alice隨機選擇插入竊聽檢測粒子中的Z-SIFT比特為密鑰K1,K2，通知Bob和Charlie公布剩余誘騙粒子為自身Z-SIFT粒子的測量結(jié)果。若Z-SIFT錯誤率高于預(yù)先設(shè)定的閾值PTEST，那么協(xié)議中止。

(7)Bob和Charlie記錄未公布測量結(jié)果的Z-SIFT為K1,K2，最終K1⊕K2為共享密鑰，只有Bob和Charlie合作才能恢復(fù)密鑰。

1.3 中介可信的半量子秘密共享驗證

本節(jié)中，中介可信的量子秘密共享協(xié)議允許參與者Alice(dealer)和2個經(jīng)典代理方Bob1,Bob2在TP的幫助下共享密鑰。TP是誠實的，即TP必須嚴格遵守協(xié)議的規(guī)則。假設(shè)參與秘密共享協(xié)議共有3個參與者，Alice(dealer)需要在可信第三方(TP)的幫助下共享密鑰K給2個參與者，協(xié)議的具體執(zhí)行內(nèi)容如下：

(1)TP隨機地制備20個BB84粒子{|+〉,|0〉,|-〉,|1〉,|-〉,|+〉,|0〉,|1〉,|1〉,|+〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|+〉,|-〉,|1〉}并且發(fā)送給Alice。

(2)Alice收到TP發(fā)送的粒子序列后，執(zhí)行以下兩種操作：

①Alice對收到的粒子序列為奇數(shù)的粒子無干擾地反射給Bob1(CTRL)；

②Alice丟棄收到的其余粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob1(SIFT)。

操作后的粒子序列為{|+〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|1〉,|0〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|1〉,|-〉,|1〉}。

Bob1收到來自Alice發(fā)送的粒子后，執(zhí)行以下兩種操作：

①Bob1對收到的粒子序列為3的倍數(shù)的粒子無干擾地反射給TP(CTRL)；

②測量重發(fā)：Bob1對收到的其余粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|1〉,|1〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉}。

(3)TP接收到Bob1發(fā)送的粒子后，通知Alice和Bob1進行竊聽檢測。Alice和Bob1在公共信道公布在哪個粒子位置上執(zhí)行的CTRL操作，對Alice和Bob1都選擇執(zhí)行CTRL的粒子進行測量，TP的測量結(jié)果應(yīng)和初始態(tài)一致，最終檢測粒子序列為{|-〉,|1〉,|-〉}。

(4)在Bob1和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob1的密鑰K1的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|1〉,|1〉}。

(5)TP隨機地制備20個BB84粒子{|-〉,|0〉,|+〉,|0〉,|1〉,|+〉,|-〉,|1〉,|+〉,|0〉,|1〉,|+〉,|-〉,|0〉,|-〉,|0〉,|0〉,|-〉,|+〉,|0〉}并且發(fā)送給Alice。

(6)Alice收到TP發(fā)送的粒子序列后，執(zhí)行以下兩種操作：

①Alice對收到的粒子序列為奇數(shù)的粒子無干擾地反射給Bob2(CTRL)；

②Alice丟棄收到的其余粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob2(SIFT)。

操作后的粒子序列為{|-〉,|0〉,|+〉,|1〉,|1〉,|0〉,|-〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

Bob2收到來自Alice發(fā)送的粒子后，執(zhí)行以下兩種操作：

①Bob2對收到的粒子序列為3的倍數(shù)的粒子無干擾地反射給TP(CTRL)；

②測量重發(fā)：Bob2對收到的其余粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|+〉,|1〉,|1〉,|0〉,|1〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

(7)TP接收到Bob2發(fā)送的粒子后，通知Alice和Bob2進行竊聽檢測。Alice和Bob2在公共信道公布在哪個粒子位置上執(zhí)行的CTRL操作，對Alice和Bob2都選擇執(zhí)行CTRL的粒子進行測量，TP的測量結(jié)果應(yīng)和初始態(tài)一致，最終檢測粒子序列為{|+〉,|+〉,|-〉}。

(8)在Bob2和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob2的密鑰K2的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|0〉}。

(9)Alice和Bob1，Bob2在TP的幫助下共享密鑰K1,K2，最終，K=K1⊕K2作為所有參與者共享密鑰，最終共享密鑰為{|0〉,|0〉,|0〉,|0〉,|0〉,|1〉,|1〉}，只有Bob1和Bob2共同合作才能恢復(fù)該密鑰。

2 安全分析

2.1 特洛伊木馬攻擊

常見的木馬攻擊有兩種：延遲光子木馬攻擊和隱形光子竊聽。特洛伊木馬攻擊是一種常見的攻擊，外部攻擊者可能會將特洛伊木馬光子插入TP發(fā)送的量子比特中，嘗試通過特洛伊木馬光子獲得信息[21]。兩個協(xié)議中，參與者可以引入光波過濾器來檢測是否存在多光子信號，因而參與者收到的都是濾波器過濾后的具有合法波長的粒子，這樣可以抵抗來自Eve的隱形光子竊聽。

2.2 聯(lián)合攻擊

中介可信的半量子秘密共享協(xié)議中將證明一個或多個不誠實的參與者無法獲得最終密鑰[22-23]。在此，考慮最極端的情況，有一部分參與者是不誠實的，在這種情況下，不誠實方具有最大的權(quán)力。首先，若沒有Bob1的幫助下，Bob2…Bobn-1相互串通想獲得最終的密鑰。若是想知道Bob1的密鑰，只有檢測發(fā)送給Bob1的粒子，若是在Alice發(fā)送給Bob1的過程中，他們不知道具體的位置，協(xié)議繼續(xù)進行則成為攔截攻擊，TP會檢測出；其次，若是在Bob1發(fā)送給TP的過程中竊聽，則沒有意義。并且Bob2…Bobn-1可相互獨立，但是，這些信息仍然無法獲取。因此，協(xié)議可以抵抗內(nèi)部攻擊。

中介不可信的半量子秘密共享協(xié)議中，因為第三方、Alice、Bob和Charlie是互相檢驗誠實性，若一方不誠實，協(xié)議無法繼續(xù)進行，因此可發(fā)現(xiàn)潛在的聯(lián)合攻擊。

2.3 外部攻擊

3 結(jié)束語

和現(xiàn)有的協(xié)議相比較[24-25]：對于半量子環(huán)境，在測量重發(fā)和丟棄重發(fā)環(huán)境中設(shè)計該協(xié)議，協(xié)議中，參與方都是“經(jīng)典的”，經(jīng)典參與者具有相同的量子能力，包括用Z基測量量子比特，以Z基制備量子比特，和無干擾反射量子比特。在量子資源方面，現(xiàn)有的半量子秘密共享協(xié)議中，量子方需要無限的量子能力，來保持協(xié)議的正常進行，在該方案中，對于第三方TP的量子能力要求也是有限的，參與者只需生成Z基的單個光子。降低了量子TP的量子能力，不需要完全的量子能力，這些使該協(xié)議更加實用和輕便。文中在的第三方TP的幫助下，提出了一種輕量級仲裁量子秘密共享方案，允許經(jīng)典參與者在具有有限量子能力TP的幫助下共享密鑰，因為dealer只需要生成Z基量子位的能力，經(jīng)典參與者和TP的量子能力都是有限的，該協(xié)議節(jié)約了量子資源，提高了協(xié)議的實用性。盡管在半量子領(lǐng)域中共享密鑰的無條件安全性仍然很困難[26-29]，但是所提出的協(xié)議可免受各種眾所周知的攻擊。在這里，不增加TP量子能力的情況下，如何將參與者的能力降低也是一個有挑戰(zhàn)的問題，需要進一步研究。