宋秀麗 李 闖

①(重慶郵電大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 重慶 400065)

②(重慶郵電大學(xué)網(wǎng)絡(luò)空間安全與信息法學(xué)院 重慶 400065)

1 引言

量子秘密共享(Quantum Secret Sharing,QSS)是量子密碼學(xué)的一個(gè)重要研究子領(lǐng)域，它將1個(gè)量子(經(jīng)典)秘密分成多個(gè)份額，并將其分配給多個(gè)參與者，每個(gè)參與者擁有1個(gè)份額，只有多個(gè)參與者相互協(xié)作才能正確恢復(fù)出原始的秘密值。1999年，Hillery等人[1]發(fā)現(xiàn)對(duì)Greenberger-Horne-Zeilinger態(tài)的粒子執(zhí)行測(cè)量，所得的結(jié)果具有關(guān)聯(lián)性，基于這一性質(zhì)，他們提出了首個(gè)QSS方案。此后，糾纏態(tài)測(cè)量結(jié)果的關(guān)聯(lián)性引起了學(xué)者的廣泛關(guān)注，一些基于糾纏態(tài)的QSS方案相繼出現(xiàn)[1-4]，例如Karlsson等人[2]基于二粒子糾纏態(tài)的測(cè)量關(guān)聯(lián)性提出了QSS方案，并討論了如何抵抗外部攻擊者的竊聽攻擊或參與者的內(nèi)部攻擊。

上述QSS方案都是基于糾纏態(tài)的非局域性設(shè)計(jì)的，后來一些學(xué)者基于經(jīng)典通信和局域測(cè)量(Local Operations and Classical Communications,LOCC)將正交乘積基(Orthogonal Product Basis,OPB)中量子態(tài)完全區(qū)分開，提出了許多基于LOCC的正交乘積態(tài)QSS方案[5-7]，這些方案避免了量子態(tài)糾纏的開銷。除了基于LOCC的正交乘積態(tài)可作為量子資源態(tài)之外，Bennett等人[8]構(gòu)建的非局域性正交乘積基量子態(tài)也可以作為量子資源態(tài)，其只有全局測(cè)量才能被區(qū)分。2002年，Walgate等人[9]對(duì)文獻(xiàn)[8]中構(gòu)建的9個(gè)正交乘積態(tài)給出了簡(jiǎn)單的局域不可區(qū)分的證明。之后一些學(xué)者研究了一般的非局域性正交乘積基的構(gòu)造及其證明[10,11]，例如，2021年，Xu等人[11]給出高維非局域性O(shè)PB的最小化構(gòu)造，并證明了Cd ?Cd系統(tǒng)中至少有 2d-4個(gè)正交乘積態(tài)是不能被局域區(qū)分的。目前，非局域性O(shè)PB量子態(tài)已經(jīng)應(yīng)用于量子秘密共享和量子簽名等領(lǐng)域[12,13]。其中，2022年，F(xiàn)u等人[13]基于非局域性O(shè)PB態(tài)提出了一種多方QSS方案，該方案的量子網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都擁有1個(gè)OPB態(tài)序列，用于共享秘密值，導(dǎo)致其量子資源開銷較大。

上述QSS方案中參與者人數(shù)是固定的，有一個(gè)參與者缺席將導(dǎo)致秘密共享不能成功，動(dòng)態(tài)量子秘密共享[14-18]能有效解決這一問題。2013年，Hsu等人[14]基于Bell態(tài)糾纏交換提出了一個(gè)動(dòng)態(tài)QSS方案，可以在不改變秘密的情況下，實(shí)現(xiàn)參與者加入或退出。Wang等人[15]指出文獻(xiàn)[14]中兩個(gè)不誠實(shí)參與者使用Bell態(tài)替換攻擊能竊取到分發(fā)者的秘密。2018年，Du等人[16]提出了可動(dòng)態(tài)更新秘密和參與者份額的QSS方案，但是文獻(xiàn)[17]指出該方案也不能抵抗合謀攻擊。為了增強(qiáng)動(dòng)態(tài)QSS方案的安全性，Li等人[18]提出了基于Bell態(tài)的動(dòng)態(tài)QSS方案，該方案不僅能抵抗合謀攻擊，并且考慮了參與者欺騙攻擊的問題。

在基于非局域性O(shè)PB態(tài)的QSS方案中，當(dāng)參與者人數(shù)增加時(shí)，量子資源開銷較大；現(xiàn)有大多數(shù)動(dòng)態(tài)QSS方案中使用糾纏態(tài)共享秘密，量子資源制備的難度較大，并且這些方案的安全性有待提升，鑒于以上兩種QSS方案的局限性，本文以非局域性正交乘積態(tài)作為量子資源態(tài)，提出了一種多方參與者可動(dòng)態(tài)加入或退出的量子秘密共享方案。與其他相似的QSS方案相比，提出的方案具有以下優(yōu)勢(shì)：

(1) 非局域性O(shè)PB態(tài)作為量子資源態(tài)，不僅量子資源開銷較低，而且其非局域性在量子信息傳輸中擁有較好的安全性；

(2) 根據(jù)平方和定理將秘密進(jìn)行分發(fā)和重構(gòu)，可實(shí)現(xiàn)參與者人數(shù)的增加與減少，有較好的靈活性；

(3) 依據(jù)Rabin密碼思想設(shè)計(jì)驗(yàn)證機(jī)制，測(cè)量結(jié)果驗(yàn)證過程具有強(qiáng)安全性。

2 預(yù)備知識(shí)

2.1 平方和定理

在整數(shù)域 Zp中，p是一個(gè)無平方因子數(shù)，對(duì)于任意整數(shù)r ∈Zp，它可以表示成n ≥2個(gè)整數(shù){r1,r2,...,rn}∈的平方數(shù)之和[19]

2.2 d維酉算子

定義1(d維Pauli算子)在d維量子空間中，通用的Pauli算子定義為，其中t ∈{0,1,...,d-1}，⊕是模d加法。

定義2(d維拉格朗日酉算子)由定義1可知，所有的通用酉算子集合 {U(0),U(1),...,U(d-1)}構(gòu)成了一個(gè)有限循環(huán)矩陣群。以此循環(huán)矩陣群為基礎(chǔ)，可構(gòu)造一個(gè)如式(2)所示的拉格朗日酉算子[20]

其中ω=。酉算子U(t)與M(θ)滿足如式(3)的交換和結(jié)合性質(zhì)

定義3(d維 F變換及逆變換 F?)d維(d是奇數(shù))希爾伯特空間中，定義F變換為

將其作用在 |k〉(k ∈{0,1,...,d-1}) 上， |k〉演變成。并且， 變換的逆變換 定義為FF?

將F?算子作用量子態(tài)(|k〉+|k ⊕1〉)，其演變?yōu)椋?其 中k ∈{0,1,...,d-1}。

2.3 d維正交乘積態(tài)

在Cd ?Cd(d為奇數(shù))系統(tǒng)中，最小化不可局域區(qū)分的正交乘積基[11]包含 2d-4個(gè)元素，它們表示為

其中 |j±(j+1)〉=(|j〉±|j+1〉)。特別的，將酉變換U(k)?Ok,k ∈{0,1,...,d-2}作用在量子態(tài)|〉 上，演變過程如式(7)，其中，如果k=1(mod2) ，酉算子Ok=U(1) ；如果k=0(mod2)，Ok為單位門I

3 基于非局域性正交乘積態(tài)的動(dòng)態(tài)量子秘密共享方案

作為秘密序列的分發(fā)者，Alice在參與者集合B ={Bob1,Bob2,···,Bobl}中分發(fā)秘密值，且她從集合B中選取任意一個(gè)參與者Bobl作為半可信的驗(yàn)證者，Bobl的職責(zé)是聯(lián)合Alice對(duì)測(cè)量結(jié)果進(jìn)行驗(yàn)證。本文所提方案主體上包括份額分發(fā)階段、粒子制備階段、秘密重構(gòu)階段和測(cè)量結(jié)果驗(yàn)證4個(gè)階段。如果有其他參與者想要加入或退出秘密共享方案，則執(zhí)行后續(xù)的參與者加入與退出過程。

3.1 份額分發(fā)階段

Alice選擇一個(gè)合適的有限域 GF(d)，其中d是兩個(gè)素?cái)?shù)d1,d2的乘積。Alice生成一個(gè)秘密值序列T={T1,T2,...,Tn}， 其中 {Tj ∈GF(d)|j=1,2,...,n}。以序列T為基礎(chǔ)，Alice根據(jù)等式(1)構(gòu)建l×n矩陣

參與者Bobi(i=1,2,...,l)收到份額向量后，他們與Alice共同協(xié)商一個(gè)隨機(jī)數(shù)b∈Zn用于向量移位。

3.2 粒子制備階段

步驟1 Alice從集合{?,?,ψ}中 隨機(jī)選取n個(gè)粒子對(duì)，將這些粒子對(duì)的第1個(gè)粒子組成信息粒子序列PS={|p1〉S,|p2〉S,...,|pn〉S}，第2個(gè)粒子組成信息粒子序列QS={|q1〉S,|q2〉S,...,|qn〉S}，然后根據(jù)序列A={A1,A2,...,An} ，對(duì)序列PS中粒子|pj〉S(j=1,2,...,n)執(zhí) 行酉算子M(ωj)得 到 |pj〉0=M(ωj)|pj〉S，參數(shù)ωj=π(2d-Aj′)/d,j′=1+((j+b-1)modn)，對(duì)應(yīng)于圖1 的步驟①。隨后，A l i c e 從集合{Ψ±,Φ±} 中任意選取v個(gè)粒子對(duì)作為誘騙粒子插入到 序 列P0={|p1〉0,|p2〉0,...,|pn〉0}得 到 新 的 序 列，當(dāng)Alice記錄序列Pˉ0中誘騙粒子的位置和初始態(tài)之后，她將序列發(fā)送給參與者Bob1。

圖1 方案主體流程圖

3.3 秘密重構(gòu)階段

步驟2 Bob1收到序列后，Alice告知Bob1在中誘騙粒子對(duì)的位置和初始態(tài)，Bob1根據(jù)收到的位置信息，使用OPB基測(cè)量每對(duì)誘騙粒子。然后，Bob1將得到的測(cè)量結(jié)果與Alice告知的初始態(tài)進(jìn)行比較。如果錯(cuò)誤率高于閾值(一般選取2%～8%)，將會(huì)放棄本輪操作，開始新一輪協(xié)議；否則Bob1恢復(fù)出序列P0并執(zhí)行步驟3。

步驟3 Bob1使用份額向量m1中的元素m1,j(j=1,2,...,n) 分別對(duì)相應(yīng)的粒子 |pj〉0執(zhí)行酉算子U(m) 得到U(m)|pj〉0，然后根據(jù)m1的第j′個(gè)元素m1,j′計(jì)算θ1,j=πm1,j′/d,j′=1+((b+j-1)酉算子M(θ1,j) ，得到|pj〉1=M(θ1,j)U(m)|pj〉0，modn) 。接著，Bob1對(duì)U(m)|pj〉0執(zhí)行拉格朗日對(duì)應(yīng)于圖1的步驟②。當(dāng)P0中的所有粒子變換完畢，得到序列P1={|p1〉1,|p2〉1,...,|pn〉1}。

最后，Bob1從集合 {Ψ±,Φ±} 中隨機(jī)選擇v對(duì)誘騙粒子，將誘騙粒子插入到序列P1中得到一個(gè)新的序列，并將其發(fā)送給下一個(gè)參與者Bob2。

步驟4 參與者Bob2收到序列Pˉ1之后，執(zhí)行類似于Bob1的步驟2和3?；謴?fù)出序列P1之后，Bob2首先使用隱私份額向量m2中的每一個(gè)元素m2,j(j=1,2,...,n) 分 別 對(duì) 相 應(yīng) 的 粒 子 |pj〉1執(zhí) 行U(m) 得 到U(m)|pj〉1，然 后根據(jù)m2中元 素m2,j′計(jì) 算 角 度θ2,j=πm2,j′/d，其 中j′=1+((b+j-1)modn) ，再次對(duì)U(m)|pj〉0執(zhí)行拉格朗日酉算 子M(θ2,j) ，得 到 |pj〉2=M(θ2,j)U(m)|pj〉1，對(duì)應(yīng)于圖1的步驟③。當(dāng)序列P1中所有粒子變換完畢，得到序列P2={|p1〉2,|p2〉2,...,|pn〉2}。

最后，Bob2以誘騙粒子的傳輸模式將序列P2發(fā)送給參與者Bob3。其他參與者Bobi(i=3,4,...,l)執(zhí)行類似于Bob2的操作步驟，直到最后一個(gè)參與者Bobl執(zhí)行完酉變換得到序列Pl，對(duì)應(yīng)圖1的步驟④。

步驟5 當(dāng)所有參與者執(zhí)行完自己的操作步驟之后，Alice將序列QS和向量E以誘騙粒子的模式發(fā)送給參與者Bobl，并且告知Bobl粒子對(duì)|pj,qj〉S(j=1,2,...,n) 的 制備時(shí)初態(tài)。Bobl根據(jù)向量E中元素Ej(j=1,2,...,n)對(duì)QS中粒子 |qj〉S執(zhí)行Oracle算子OEj得到OEj|qj〉S( 如果Ej=1， 則OEj為酉算子U(1)；如果Ej=0 ，則OEj為單位門I)，將這個(gè)過程記為O變換，對(duì)應(yīng)于圖1的步驟⑤。當(dāng)序列QS中的n個(gè)粒子執(zhí)行完畢，得到一個(gè)新的序列Ql={|q1〉l,|q2〉l,...,|qn〉l}。

步驟6 當(dāng)Alice選取的粒子對(duì)|pj,qj〉S(j ∈{1,2,...,n})為 |ψ〉 時(shí)，B o bl對(duì) |pj,qj〉l執(zhí) 行(F ?F?U(d-1)) 變換得到 |pj,qj〉；當(dāng)Alice選取的粒子對(duì)屬于 {|〉,|〉} 時(shí)，Bobl對(duì) |pj,qj〉l不執(zhí)行任何變換。當(dāng)所有粒子對(duì)變換完成，Bobl得到新的粒子對(duì)序列{P′,Q′}={|p1,q1〉,|p2,q2〉...,|pn,qn〉時(shí)，將該過程記為F變換。

步驟7 Bobl使用OPB基對(duì)序列 {P′,Q′}中的n個(gè)粒子對(duì)執(zhí)行測(cè)量操作，其中每個(gè)粒子對(duì)的量子態(tài)是集合 {|〉|〉,...,|?〉}中的一個(gè)元素，對(duì)應(yīng)于 圖1 的 步 驟⑥。 量 子 態(tài) 集 合{|〉|〉,...,|?〉}與 經(jīng)典整數(shù)集合 {0,1,...,d-2}之間的編碼關(guān)系為：{ |〉→0;|〉→1;...;|?〉→(d-2)}。那么，Bobl根據(jù)每個(gè)粒子對(duì)的量子態(tài)得到對(duì)應(yīng)的整數(shù)，記為 {R1,R2,...,Rn}。

3.4 測(cè)量結(jié)果驗(yàn)證階段

步驟8 針對(duì)測(cè)量結(jié)果Rj(j=1,2,...,n)，如果它不是 GF(d)中的平方剩余數(shù)，那么Bobl認(rèn)為被測(cè)量的粒子對(duì)是不合法的，本次秘密共享協(xié)議中存在不誠實(shí)的參與者，放棄本次協(xié)議；否則對(duì)于合法的測(cè)量結(jié)果Rj，Bobl根據(jù){r2≡Rj(modd1),r2≡Rj(modd2)} 計(jì)算出4個(gè)平方根rj,1,rj,2,rj,3,rj,4。然后，Bobl從平方根之中隨機(jī)選取一個(gè)元素rj,τ(τ ∈{1,2,3,4}) ，并使用安全單向函數(shù)H計(jì)算哈希值Hj=H(IDl||rj,τ×ml,j) ， IDl是Bobl的公開身份信息。最后，Bobl通過經(jīng)典安全信道將{Hj|j=1,2,...,n}發(fā)送給Alice。

步驟9 Alice收到Bobl的{Hj|j=1,2,...,n}后，根據(jù)Bobl的份額向量中元素ml,j和 IDl，以及的平方根向量tj=(tj,1,tj,2,tj,3,tj,4)(Tj在tj中序號(hào)為Ij ∈{1,2,3,4} )，分別 計(jì)算{H=H(IDl||tj,u×ml.j)|u=1,2,3,4} ， 并將它們與Hj分別進(jìn)行比對(duì)，如果有一個(gè)(u ∈{1,2,3,4})與Hj相等，則認(rèn)為測(cè)量結(jié)果Rj驗(yàn)證成功；反之，則告知Bobl本次秘密共享中存在不誠實(shí)的參與者，放棄本次協(xié)議。直到所有測(cè)量結(jié)果Rj被驗(yàn)證成功后，Alice將Tj(j=1,2,...,n)在tj中的序號(hào)Ij作為標(biāo)識(shí)信息通過經(jīng)典安全信道發(fā)送給Bobl，此時(shí)Bobl確定Rj的平方根rj,Ij為秘密值Tj，最后將秘密序列T在參與者之間共享。對(duì)應(yīng)圖1的步驟⑦。

3.5 參與者加入與退出過程

如果有其他t位參與者Bobl+1, Bobl+2, ···, Bobl+t想要加入到秘密共享過程之中，同時(shí)有一位參與者Bobk(k ∈{1,2,...,l})想要退出秘密共享過程，則他們執(zhí)行以下操作：

參與者Bobk根據(jù)份額向量mk=(mk,1,mk,2,...,mk,n) 重新計(jì)算一個(gè)新的t×n矩陣

4 正確性證明

定理1若粒子對(duì)的初態(tài)為 |〉，先對(duì)其執(zhí)行U(k)?Ok,k ∈{0,1,...,d-2}變換，然后再執(zhí)行變換 (F ?F?U(d-1)) 得到量子態(tài)|〉。

證明對(duì)于初態(tài) |ψ〉=|0〉?|0+1〉，對(duì)其執(zhí)行U(k)?Ok變換，其中，若k=1(mod2)，則酉算子Ok為U(1)， |ψ〉 演變?yōu)?|ψ〉′=(|k〉?|1+2〉)；若k=0(mod2) ，則Ok為 單 位 門I， |ψ〉演 變 為(|k〉?|0+1〉)。 然后，對(duì) |ψ〉′執(zhí) 行(F ?F?U(d-1))變換將演變?yōu)閨〉′′=(F ?F?U(d-1))|ψ〉′

引理1在份額重構(gòu)階段，如果參與者Bobi(i=1,2,...,l) 對(duì) 序 列P0中 每 一 個(gè) 粒 子|pj〉0(j=1,2,...,n) 依次執(zhí)行酉算子M(θi,j)U(m)，當(dāng)所有參與者執(zhí)行完畢，Bobl對(duì)序列QS中粒子 |qj〉S執(zhí)行OEj變換，得到 |pj,qj〉l。Bobl對(duì)粒子對(duì) |pj,qj〉l執(zhí)行F變換后，Bobl使用OPB基測(cè)量序列 {P′,Q′}得到測(cè)量結(jié)果 {R1,R2,...,Rn}。當(dāng)所有測(cè)量結(jié)果通過驗(yàn)證后，所有參與者能共享正確的秘密值序列T={T1,T2,...,Tn}。

證明針對(duì)序列P0中的任意一個(gè)粒子|pj〉0(j=1,2,...,n) ，如果參與者Bobi(i=1,2,...,l)對(duì)其依次執(zhí)行酉算子M(θi,j)U(m2i,j)，當(dāng)所有參與者執(zhí)行完畢之后，那么該粒子將演變?yōu)?/p>

由式(3)可知，通用酉算子U與拉格朗日酉算子M滿足交換性質(zhì)，因此式(11)可改寫為

其 中，j′=1+((b+j-1)modn) 。 由 于|pj〉0=M(ωj)|pj〉S，混 淆 角度ωj=π(2d-Aj′)/d，其 中，那么式(12)可改寫為

當(dāng)Bobl對(duì)序列QS中的粒子|qj〉S(j=(1,2,...,n))執(zhí)行OEj操作之后，粒子對(duì) |pj〉l ?|qj〉S演變?yōu)?/p>

5 安全性分析

5.1 抗共享秘密的泄露攻擊

在測(cè)量結(jié)果驗(yàn)證階段，對(duì)于驗(yàn)證者Bobl的每一個(gè)測(cè)量結(jié)果Rj(j=1,2,...,n) ， Bobl從Rj的4個(gè)平方根rj,1,rj,2,rj,3,rj,4中 隨機(jī)選取元素rj,τ(τ ∈{1,2,3,4})，計(jì)算Hj=H(IDl||rj,τ×ml,j)并通過經(jīng)典信道將其發(fā)送給Alice。假設(shè)外部攻擊者Eve截獲了哈希值Hj，并想從Hj中獲取有效信息。如果Eve使用碰撞攻擊推測(cè)出 IDl||rj,τ×ml,j，雖然 IDl是公開信息，但Eve并不知道Bobl的隱私份額向量ml，且rj,τ對(duì)于她而言是未知的，那么Eve從碰撞攻擊中不能獲取到任何有用的信息。

5.2 抗截獲-重放攻擊性

假設(shè)存在一個(gè)攻擊者Eve，具有僅僅受限于量子力學(xué)原理的強(qiáng)大的計(jì)算能力，并且可以截獲量子信道的粒子或重放偽造的粒子，并試圖從截獲的粒子中獲得有效的信息。在秘密重構(gòu)階段，假設(shè)Eve截獲了從Alice或Bobi(i ∈{1,2,...,l-1})傳輸給下一個(gè)參與者的序列，并試圖傳輸偽造序列P給下一個(gè)參與者以逃過Alice或Bobi對(duì)量子信道的竊聽檢測(cè)。因?yàn)樾蛄蠵ˉi中包含v個(gè)誘騙粒子對(duì)，且這些誘騙粒子對(duì)是局域不可完美區(qū)分的，如果Eve想要正確測(cè)量出這些誘騙粒子對(duì)的量子態(tài)，前提是她知道每個(gè)誘騙粒子對(duì)在Pˉi中的位置并且使用正確的OPB基測(cè)量，然而Eve對(duì)誘騙粒子對(duì)的位置是未知的。如果Eve從截獲的粒子中隨機(jī)選擇一個(gè)粒子，這個(gè)粒子是誘騙粒子的概率是 2v/(n+2v)，從剩下的誘騙粒子中找到與之配對(duì)粒子的概率為1 /(2v-1)，那么這一誘騙粒子對(duì)被成功找出的概率為。對(duì)于v個(gè)誘騙粒子對(duì)，那么E v e 錯(cuò)誤地找出這些誘騙粒子對(duì)的概率為。若誘騙粒子對(duì)數(shù)目v越來越大，Pe接近于1，Eve使用OPB基測(cè)量誘騙粒子引入錯(cuò)誤的概率接近于1，那么偽造的序列P與原序列Pˉi不同的概率接近于1，Bobi+1在3.3節(jié)步驟3中能檢測(cè)到該錯(cuò)誤。因此，本方案能抵抗截獲-重放攻擊。

5.3 抗糾纏-測(cè)量攻擊性

在糾纏-測(cè)量攻擊中，攻擊者Eve截獲分發(fā)者Alice或參與者Bobi傳輸?shù)男蛄?i=0,1,...,l-1)中的粒子，執(zhí)行酉操作UE將自己制備的附加粒子|ψ〉與截獲的粒子糾纏起來，并試圖通過測(cè)量附加粒子獲取有效信息。為了不失一般性，假設(shè)酉操作UE滿足式(15)

由式(17)可知，誘騙粒子與附加粒子并沒有發(fā)生糾纏，因此當(dāng)Eve測(cè)量附加粒子時(shí)，不能獲得任何有用的信息。類似的，對(duì)于屬于正交基{σ0=|0〉,=|t±(t+1)〉|t=1,3,...,d-2}的 誘 騙 粒 子，Eve也執(zhí)行酉操作UE將制備的附加粒子 |ψ〉與此誘騙粒子糾纏起來，如果Eve想要避開竊聽檢測(cè)，根據(jù)誘騙粒子只能出現(xiàn)的測(cè)量結(jié)果，附加粒子與誘騙粒子并不會(huì)產(chǎn)生糾纏關(guān)系，同理可證明，此時(shí)Eve也不能獲取任何有用的信息。因此，本方案可以抵抗糾纏-測(cè)量攻擊。

5.4 抗欺騙攻擊性

在秘密重構(gòu)階段，假設(shè)不誠實(shí)參與者Bobr(r ∈{1,2,...,l-1}) 在 對(duì) 序 列Pr-1中 粒 子|pj〉r-1(j=1,2,...,n)執(zhí) 行U(m)和M(θr,j)的過程中，使用虛假值r,j(j ∈{1,2,...,n}) 替 換真實(shí)的份額值mr,j，其他參與者都誠實(shí)地執(zhí)行3.3節(jié)步驟4，Bobl執(zhí)行完 步 驟5 后，序 列 {Ql,Pl} 中 第j和k(=1+(jb-1(modn)))個(gè)粒子對(duì)演變成

5.5 抗合謀攻擊性

合謀攻擊是指存在多個(gè)不誠實(shí)參與者聯(lián)合起來想獲取其他誠實(shí)參與者的份額值，目的是不需要這些誠實(shí)參與者參與就能恢復(fù)出秘密值。對(duì)于合謀攻擊，本節(jié)考慮以下兩種假設(shè)。

假設(shè)1Bobi-1(i ∈{2,3,···,l-2})和Bobi+1的合謀攻擊。

假設(shè)2Bob1和Bobl的合謀攻擊。

5.6 抗光學(xué)器件的非理想特性攻擊

以上理論安全分析是建立在量子態(tài)制備和測(cè)量是完美的前提假設(shè)，現(xiàn)有的光學(xué)器件中存在不滿足理論安全的非理想特性。針對(duì)實(shí)際系統(tǒng)中的弱相干光源引起的光子數(shù)分流攻擊，本方案使用與信息粒子具有不可區(qū)分性的OPB粒子作為誘騙態(tài)，這些誘騙態(tài)的平均光子數(shù)與信息粒子的平均光子數(shù)不同，通信雙方在對(duì)量子信道的安全檢測(cè)中，通過比較誘騙態(tài)的響應(yīng)比脈沖可以判斷是否存在光子數(shù)分流攻擊。在量子信道中，攻擊者Eve可能發(fā)起的兩種特洛伊木馬攻擊：不可見光子攻擊和延遲光子攻擊。針對(duì)不可見光子攻擊，本方案中每個(gè)參與者可以在接收量子態(tài)序列之前添加濾波器，只允許接近合法波長(zhǎng)的光子通過，這樣不可見光子就會(huì)被過濾掉。針對(duì)延遲光子攻擊，本方案中參與者在接收到通過濾波器的粒子序列之后，可以選取部分光子進(jìn)行多光子率檢測(cè)，通過觀察多光子率是否超出閾值達(dá)到檢測(cè)延遲光子攻擊行為的目的。

6 性能分析

本節(jié)首先將本文方案與其他OPB態(tài)QSS方案(文獻(xiàn)[7,13])從信息粒子類型、粒子數(shù)量、計(jì)算消耗等5個(gè)方面進(jìn)行比較，比較結(jié)果如表1所示。為了便于比較，這里規(guī)定各方案的屬性，l是多方參與者的人數(shù)，本方案每次共享1個(gè)d進(jìn)制秘密，文獻(xiàn)[7,13]中共享長(zhǎng)度為的二進(jìn)制秘密序列。

表1 相似方案的性能比較

從表1可以得出，文獻(xiàn)[7]是基于3維OPB態(tài)的兩方QSS方案，參與者人數(shù)受到正交乘積態(tài)中粒子數(shù)量限制，在拓展至更高維量子系統(tǒng)以及多個(gè)參與者的秘密共享場(chǎng)景下存在較大局限性；文獻(xiàn)[13]使用2維多粒子OPB態(tài)拓展了參與者的人數(shù)，每個(gè)參與者都擁有1個(gè)OPB態(tài)，量子資源開銷較大。本方案使用d維OPB態(tài)拓展了正交乘積態(tài)QSS方案的量子維度，參與者人數(shù)可以動(dòng)態(tài)調(diào)整，并且降低了參與者人數(shù)拓展時(shí)產(chǎn)生的量子資源開銷，具有更好的靈活性和通用性。

其次，本節(jié)將本文方案與其他動(dòng)態(tài)QSS方案(文獻(xiàn)[16,18,21])主要從抗截獲-重放攻擊性、抗糾纏-測(cè)量攻擊性、抗合謀攻擊性等5個(gè)方面進(jìn)行比較和分析，比較結(jié)果如表2所示。在表2中，文獻(xiàn)[18,21]和提出的方案能抵抗截獲-重放攻擊；在文獻(xiàn)[17]指出，文獻(xiàn)[16]中只需要兩個(gè)參與者就能獲取到分發(fā)者的秘密，因此不能抵抗合謀攻擊；與其他相似方案相比，只有文獻(xiàn)[18]和本方案考慮了內(nèi)部參與者參與欺騙的安全問題，文獻(xiàn)[18]中分發(fā)者將秘密S的哈希值H(S)編碼在Bell態(tài)粒子中并發(fā)送給最后一個(gè)參與者，如果存在不誠實(shí)參與者Bobm使用虛假值R代替真實(shí)份額值Rm參與秘密重構(gòu)，最后一個(gè)參與者測(cè)量粒子得到u1=S+(R-Rm)+和并將u1和u2在參與者之間公布，此時(shí)Bobm計(jì)算u2-u1=H(S)-S，其中 {H(S),S}∈GF(d)。在安全性不依賴于d是大整數(shù)的情況下，Bobm使用窮舉攻擊能以一定概率推測(cè)出秘密值，那么該驗(yàn)證過程會(huì)泄露秘密值；本方案在粒子測(cè)量階段得到秘密的平方剩余，由于平方剩余與其平方根是一對(duì)多映射，隨機(jī)選取一個(gè)平方根實(shí)現(xiàn)對(duì)平方剩余的驗(yàn)證，驗(yàn)證過程中不會(huì)泄露有效信息，防止了秘密值的泄露。從分析可知，與其他相似方案相比，本方案的安全性能最優(yōu)。

表2 相似動(dòng)態(tài)QSS方案的安全性比較

7 結(jié)束語

本文提出基于非局域性正交乘積態(tài)的動(dòng)態(tài)量子秘密共享方案。本文使用非局域性O(shè)PB態(tài)攜帶信息，并借鑒Rabin密碼思想設(shè)計(jì)驗(yàn)證機(jī)制，保證了秘密共享和驗(yàn)證過程具有較好的安全性。相對(duì)于現(xiàn)有基于OPB態(tài)QSS方案，本方案拓展了量子空間的維度，并且參與者人數(shù)動(dòng)態(tài)增減，具有更好的靈活性和通用性；與相似的動(dòng)態(tài)QSS方案相比，本方案具有更好的安全性。下一步工作是使用新的非局域性正交乘積態(tài)，進(jìn)一步降低基于正交乘積態(tài)的QSS方案的量子資源開銷。