基于9維量子系統上的秘密共享方案

郝 娜，李志慧，白海艷

陜西師范大學 數學與信息科學學院，西安 710119

1 引言

秘密共享是密碼學中的一個重要研究內容，它是指在參與者中共享秘密份額，只有授權集才能重構秘密，非授權集得不到秘密的任何消息。在一個量子秘密共享方案中，秘密是基于量子特性被分發和重構的，相對于經典秘密共享方案，量子秘密共享方案因其量子理論基礎而更加安全。目前，量子秘密共享的研究主要集中在利用量子方法在通信者之間共享經典密鑰的(N,N)方案。自從1998年Hillery等人參照經典秘密共享體制提出量子秘密共享的概念，并利用Green-Horne-Zeilinger（GHZ）三重態的量子關聯性設計了一個量子秘密共享方案[1]之后，量子秘密共享引起了人們的興趣，一系列量子秘密共享方案被提出[2-8]。

無偏基是許多量子信息處理過程中的重要工具。關于無偏基已有許多研究[9-14]。已有文獻證明素數冪維復空間Cd上無偏基的最大數目為d+1[9]。Tavakoli等人在文獻[14]中利用奇素數維量子系統上的無偏基的循環性質以及酉矩陣有關理論，給出了一個量子秘密共享方案。文獻[9]借助素有限域理論將奇素數維量子系統上的無偏基用素有限域中的元素表示。當量子系統維數d為偶數時，該系統上的無偏基可以利用奇素數維上無偏基的情況類似討論，這樣當d≤8時，d維量子系統上的無偏基均已構造。本文給出9維量子系統上的無偏基以及酉矩陣，基于這些無偏基和酉矩陣的性質，構造9維量子系統上的秘密共享方案，并討論方案的安全性。

2 無偏基及相關性質

其中，i,j=1,2,…,d，稱這兩組基B0和B1是相互無偏的；兩兩相互無偏的一組標準正交基{B0,B1,…,Bm}稱作相互無偏基集。

Wootters等人指出所有素數和素數冪維系統(d=pn,p≠2)的無偏基的個數為d+1個，并利用有限域的理論給出了這d+1個無偏基的具體形式[9]。設 p是一個奇素數，在有限域Fpn（n是自然數）上，令：

當 j∈Fpn時，由式（2）給出的基組為：

…

當 j=m,m∈Fpn時

…

當 j=d時，令：

稱由式（3）定義的這組基為計算基，對應的基記為Vd=

由于F9為F3的二次擴域，令 f(x)=x2+x+2為F3上二次不可約多項式，令θ為 f(x)的一個根，則有：

設g:F9→Z9是有限域F9到剩余類環Z9的一個映射，定義：易證g為一一映射，即F9中的元素與Z9中的元素一一對應。

引理在有限域F9上，由式（2）定義的無偏基的上標和下標有以下性質：

例1 當l=θ+2,j∈F9時

進一步，在有限域F9上，令S={A1,A2,B1,B2}，其中：

定理1在有限域F9上，由式（2）定義的無偏基有以下性質：

（1）當l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，

（3）當j∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，

證明當l∈{0,1,θ,θ+1,2θ,2θ+1}時：

因此，當l∈{0 ,1,θ,θ+1,2θ,2θ+1} 時，同理可得：

注1由定理1可得：

3 酉矩陣的構造

本文構造有限域F9上的酉矩陣，使其在集合M上是封閉的。

定理2 設對于 ?α,β∈F9：

α,β

證明由于Ai,Bi,i=1,2，均為酉矩陣，易證Uα,β為酉矩陣。

設 l=k1+k2θ,j=k3+k4θ α =x1+y1θ, β =x2+y2θ

則l+α=(k1+x1)+(k2+y1)θ j+β=(k3+x2)+(k4+y2)θ

由定理1，得：

所以：

4 (N,N)門限方案

文獻[14]給出了奇素數維上的秘密共享方案，本節考慮9維量子系統上的情形。設R1為分發者，R2,R3,…,RN+1為參與者。

4.1 準備階段

4.2 分發階段

（1）R1隨機選定相互獨立的 α1,β1∈F9，則 α1=其中，那么，用作用，將作用后的量子態記為，并將傳給R2。

（2）R2隨機選定相互獨立的 α2,β2∈F9，則 α2=，其中，那么，用 U作用，將α2,β2作用后的量子態記為，并將傳給R3。

（3）R3隨機選定相互獨立的 α3,β3∈F9，則 α3=，其中，那么，用作用，將作用后的量子態記為，并將傳給R4。

（4）重復此過程直到 RN+1得到量子態RN+1將傳給R1。

4.3 測量階段

R1隨機選擇J∈F9，用基測量量子態，若測量結果為，標記h,h∈F9。

4.4 檢測階段

在隨機的輪中，參與者Rk,k=2,3,…,N+1公布他們選擇的βk,R1不公布任何數據，R1私下計算下式是否成立：

若上式成立，則該輪有效，否則，放棄該輪。

為了檢查安全性，只需讓參與者 Rk,k=2,3,…,N+1公開他們選擇的αk,R1計算下式是否成立：

若成立，則安全；否則，該輪就是不安全的，存在竊聽或欺騙。

4.5 恢復階段

Rk,k=2,3,…,N+1共享他們的αk，得到密鑰：

注2該方案之所以可以運行，是因為：

分析：當選擇的 J∈F9不滿足式（5）測量量子態時就會塌縮為別的量子態，后邊的計算就沒有意義了，也即該輪為無效輪；當選擇的J∈F9滿足式（5）時就可以準確測量，又F9含有9個元素，因此準確測量的概率為1/9，即該輪有效的概率為1/9；若該輪測量有效，假設不存在欺騙或竊聽，則準確測量之后，式（6）一定滿足，因此式（6）可以用來判斷安全性；每執行一輪有效安全的上述協議，就會產生一個密鑰，當多次執行上述協議就會得到密鑰流s1,s2,…,可用于秘密共享。因此，可以由式（5）和式（6）判別該方案的有效性和安全性。

5 安全性分析

本文從以下兩方面來討論該方案的安全性。

5.1 外部攻擊

類似Bennett-Brassard協議（簡稱BB84協議）中兩方量子密鑰分發（Quantum Key Distribution，QKD）情形的攻擊：對于更多一般的竊聽攻擊，在Rk→Rk+1的量子傳輸中，可以將R1,R2,…,Rk視為一塊，有效地表示為單一團體，把Rk+1,…,RN+1,R1視為測量團體，因此竊聽攻擊就被簡化為之前遇到的BB84中兩方QKD的情形，可以類似地探討，很顯然是安全的。

通過酉門的攻擊：還有一種可以選擇的欺騙是Eve給參與者Rk的酉門再發送一個量子底特或一個多體量子底特脈沖，以便于她可以以某種方法通過酉門達到竊聽，而不是截獲協議中的量子態。當βk被公開之后，她就可以知道真正的酉陣，就可知道αk。然而，如果Rk確定了他的酉門的出口處量子測量的次數，這種攻擊是很容易被檢測的。

糾纏測量攻擊：在傳輸量子態的過程中，假定Eve使用酉算子UE糾纏輔助粒子，并通過測量輔助粒子以竊取秘密信息。假設Eve的輔助粒子是，且有如下形式：l∈F9)是通過酉算子UE決定的純態，且

為了避免竊聽檢測，Eve必須設置akl=0，其中k≠l且k,l∈F9。因此方程（7）和方程（8）可簡化為：

在方程（11）中，容易看出，如果Eve想要避免竊聽檢測，那么她并不能對整個量子秘密共享系統產生影響，并且從輔助粒子中也得不到有效信息。因此，糾纏測量攻擊是無效的。

特洛伊木馬攻擊：若量子秘密共享（Quantum Secret Sharing，QSS）方案中使用的粒子是光子，則所提出的協議對于以下兩種特洛伊木馬攻擊可能是不安全的：延時光子攻擊和不可見光子攻擊。為了阻止延時光子攻擊，參與者必須有能力區分是否存在多光子信號，即必須能夠區分所接收到的光子是單光子和多光子。光子數分裂（Photon Number Splitting，PNS）技術可以實現這一要求。參與者將隨機選擇收到的光子信號的一部分作為樣本信號，并用PNS技術來區分每個樣子信號。隨后，他們任意選擇一般基測量兩個信號。如果多光子率太高，傳送過程應該停止并重新開始。為了阻止不可見光子攻擊，參與者需在設備上增加濾鏡。而濾鏡只允許光子信號的波長接近于操作粒子的波長的光子進入。故攻擊者的不可見光子將會被隔離。

5.2 內部攻擊

在秘密共享中，須承認參與者子集密謀欺騙的可能性。在最壞的情形下，只有分發者R1和一個參與者是誠實的，剩下的N-1個參與者是密謀方。這里針對一些特殊的陰謀攻擊進行分析。

在文獻[15-16]中，竊聽攻擊使用量子記憶和輔助量子態糾纏測量系統，這種攻擊在文獻[17]中被證明會導致安全性問題。然而，文獻[16]中的攻擊不僅需要第一個參與者進行欺騙，還需要最后一個參與者也是騙子。這在本文中永遠不會發生，因為R1是第一個也是最后一個參與者是誠實的。而且，文獻[16]中的竊聽攻擊需要知道β1和J，這是不可能的，因為R1從未公開任何數據。

更一般的，騙子可以使用一些基于糾纏一個輔助量子態或在量子記憶中儲存協議量子比特或產生一個新的糾纏態的攻擊，在協議循環中，一個子系統可以進一步通信。不過他們不能獲利，原因是缺乏分發者R1公布數據，導致騙子有效可用的量子比特都在混合狀態，而沒有給出一個可能結果的可觀測量。而且，如果騙子聯合他們在誠實參與者上做的竊聽攻擊，根據上一節的論證，他們將在協議的檢測階段被檢測到。

為方便理解上述方案，舉例如下。

例2假設N=3，考慮一個(3,3)方案。

（1）準備階段

分發者R1準備量子態：

（2）分發階段

① R1隨機選定 α1,β1∈F9，令 α1=1+θ,β1=θ 。因此，x11=1,y11=1,x12=0,y12=1。

② R2隨機選定 α2,β2∈F9,令 α2=θ,β2=1。因此，x21=0,y21=1,x22=1,y22=0。

③ R3隨機選定 α3,β3∈F9,令 α3=θ,β3=θ。因此，x31=0,y31=1,x32=0,y32=1。

④ R4隨機選定 α4,β4∈F9,令 α4=θ+2,β4=θ+1。因此，x41=2,y41=1,x42=1,y42=1。

（3）測量階段

（4）檢測階段

R2、R3、R4公布他們的 β2、β3、β4，R1檢查式（5）是否成立：

因此本輪有效。之后R1檢查式（6）是否成立：

因此本輪安全。

（5）恢復階段

Rk,k=2,3,4共享他們的αk，得到密鑰：

因此本輪生成的密鑰為s=2。

6 結束語

本文首先介紹了文獻[9]基于有限域理論在奇素數冪維系統上無偏基的構造方法；其次針對具體的非素有限域F9給出了關于這些無偏基的性質，并基于這些性質構造了酉矩陣，進而提出了一個量子秘密共享方案。本文方案構造了一個只涉及一個qudit的單粒子量子協議，雖然該協議沒有考慮可能的復雜攻擊，但能抵御標準的攻擊。它相比別的方案在可擴展性上展現了很大的優點，對于任意多個參與者N，都可以利用該方法實現一個9維量子系統上的(N,N)門限方案。另一方面，相比文獻[14]，將素有限域維量子系統推廣到了非素有限域F9上，對文獻[14]進行了完善。在未來的工作中會繼續深入研究非素有限域上的量子秘密共享方案，以便就量子秘密共享協議的設計提出更加系統的理論基礎。