基于量子行走的量子秘密共享方案

李雪楊，昌 燕，張仕斌，代金鞘，鄭 濤

(成都信息工程大學 網絡空間安全學院，四川 成都 610225)

0 引 言

量子秘密共享(QSS)是經典秘密共享和量子理論的結合[1-9]，它使得秘密信息(經典信息或量子編碼信息)通過量子操作分發、傳輸和恢復。QSS的安全性基于量子力學的基本原理，這使得QSS比傳統的秘密共享更安全。最早的QSS方案由Hillery等在1999年提出[10]，他們采用(Greenberger-Horne-Zeilinger，GHZ)糾纏態完成了秘密共享。此后，越來越多的基于Bell糾纏態或多粒子糾纏態的QSS方案被提出[11-13]。然而，利用Bell態或多粒子糾纏態的糾纏特性來完成粒子隱形傳態，實現秘密共享方案，糾纏態的制備需要消耗較多資源，且在現有技術下不易制備和測量，這些技術障礙使得此類QSS方案的實用性大大降低。對此，郭國平、郭光燦提出一種無糾纏的QSS方案[14]，通過基于密鑰的秘密共享完成經典信息的秘密共享，此后，閆鳳利等提出一種無糾纏的多方和多方之間的QSS方案[15]，但隨后文獻[16]指出該方案在粒子傳輸上存在安全隱患，造成秘密信息泄露，并給出了相應改進措施。此類QSS方案雖然沒有采用糾纏態粒子的糾纏特性完成秘密共享，但很難保證粒子傳輸的安全性。

量子行走的概念最早在1993年被Aharonov等提出[17]，它起初是用于研究量子擴散現象，是經典隨機行走的量子模擬。隨后，Ambainis等提出了線性量子行走模型[18]，并被Aharonov等提升為圖上的量子行走模型[19]。此后，人們提出了許多關于量子行走的研究[20-23]。最近，量子行走已被證明是量子信息處理任務中的一種有前景的資源，它可以用來實現門集，已在許多物理系統中制造。

由于量子行走可以使粒子間產生糾纏關系，我們提出一種不依賴于初始糾纏態粒子制備且更為有效的QSS方案。在我們的方案中，我們采用量子行走系統使得單粒子在量子行走過程中自發產生糾纏，這使得我們的方案不需要制備初始糾纏態粒子，只需要制備單粒子，而單粒子在現有技術下更容易生成和測量。此外，我們利用編碼規則將秘密信息編碼為量子態，并采用兩步量子行走系統完成粒子的隱形傳態，確保了粒子在通訊過程中的安全性。

1 基礎理論

1.1 線性量子行走

量子行走是以量子作為載體對經典隨機行走進行的模擬，它可以根據量子的測不準性來模擬混沌非線性的動態行走行為，建立加密的量子傳輸通道。

量子行走發生在一個復合的希爾伯特空間中，由兩個主要的量子空間組成，分別是位置空間和硬幣空間，表示為

H=Hp?Hc

(1)

其中，Hp表示位置空間 {n,n∈Z}，Hc表示硬幣空間，即量子行走的硬幣方向 {|0〉,|1〉}。

量子行走的每個步驟W(l)可以描述為等式

W(l)=E(l)·(I?C)

(2)

其中，E(l)=S?|0〉〈0|+S??|1〉〈1|，S為移位運算符，S=∑n|n+1〉〈n|，I是Pauli操作符σI，C是硬幣操作符，當硬幣操作符為 |0〉 態時，它使硬幣粒子從 |n〉 態移動到 |n+1〉 態，當硬幣操作符為 |1〉 態時，它使得硬幣粒子向后移動到 |n-1〉 態。

1.2 兩步量子行走的隱形傳態系統

通過兩步量子行走，移位算子可以帶來位置空間和硬幣空間之間的糾纏。因此，我們可以將這種糾纏資源用于粒子的隱形傳態。具體的講，我們選擇以兩個硬幣為基礎的量子行走系統，通過選擇合適的初始態和匹配的測量基，我們可以在雙方間成功地隱形傳態任何未知量子比特，這使得粒子的隱形傳態不再依賴于制備初始糾纏態粒子。

假設Alice想給Bob隱形傳態未知量子態 |φ〉=α|0〉+β|1〉，其中 |α|2+|β|2=1。為了完成隱形傳態，Alice需要準備兩個粒子，A1和Ap，A1是Alice需要要隱形傳態的未知量子比特，它也被記為coin1，Ap的粒子態是位置空間的態。同樣，Bob準備粒子B，它也被記為coin2。Ap和B的初始態都為 |0〉。經過兩步量子行走，粒子A1能完成與粒子B間的隱形傳態。

第一步量子行走W(1)為

W(1)=E(1)·(Ap?C1?A1)

(3)

其中

E(1)=S?|0〉1〈0|?B+S??|1〉1〈1|?B

(4)

在式(3)和式(4)中，C1表示coin1-A1的操作符，我們的協議選擇Pauli操作I作為C1操作符。

第二步量子行走W(2)為

W(2)=E(2)·(Ip1?H?B)

(5)

其中

E(2)=S?|0〉2〈0|+S??|1〉2〈1|

(6)

式中：H表示對coin2-B粒子執行Hadamard操作。如果采用的B粒子的初始態為 |+〉 態，這個操作符應被替換為I操作。

然后，Alice將A1粒子和Ap粒子的測量結果λ1和λ2告知Bob，Bob根據λ1和λ2以及表1對B粒子做出相應的Pauli恢復操作，完成B粒子關于A1粒子的隱形傳態。

我們詳細的推導下兩步量子行走過程W(1)和W(2)

W(1)=E(1)·(Ap?C1?A1)=
(|1〉p〈0|?|0〉1〈0|+|-1〉p〈0|?|1〉1〈1|)?|0〉2·
(|0〉p?(a|0〉+b|1〉)1)=
(a|100〉+b|-110〉)p12

(7)

通過分析計算，可以發現，經過W(1)，Ap粒子和A1粒子間產生了糾纏關系，它們的復合態從 (a|0〉+b|1〉)1?|0〉p變為了 (a|10〉+b|-11〉)p1。

(8)

現在，A1和B也處于糾纏態了，當Alice測量粒子A1時，根據量子力學理論，粒子Ap和B將坍縮到相應的狀態

(9)

然后Alice用Q基測量Ap粒子，粒子B也會坍縮到相應的狀態

(10)

(11)

最后，Alice將測量結果告知Bob。根據這些測量結果，Bob在粒子B上執行相應的Pauli操作以恢復未知的量子態。測量結果與Pauli操作之間的關系見表1。

表1 測量結果與Pauli操作間的關系

其中，4種Pauli操作表示為

σI=|0〉〈0|+|1〉〈1|

(12)

σZ=|0〉〈0|-|1〉〈1|

(13)

σX=|0〉〈1|+|1〉〈0|

(14)

σZX=|0〉〈1|-|1〉〈0|

(15)

以上表明，量子行走可以用于粒子的隱形傳態而不依賴于初始階段制備糾纏粒子，且硬幣狀態具有的不可預測的混沌非線性動態行為使得量子行走在理論上具有產生隨機空間以抵抗暴力攻擊的能力，進而可以研究基于兩步量子行走的隱形傳態系統在量子秘密共享中的應用。因此，我們提出了一種基于量子行走的量子秘密共享方案。

2 基于量子行走的量子秘密共享方案

協議包括秘密分發者Alice，參與者Bob，Charlie。協議分為粒子準備階段，秘密信息編碼階段，秘密信息分發階段，以及秘密信息恢復階段。Alcie根據規則將需要分享的秘密信息編碼為量子態，并將編碼粒子拆分為兩部分，然后通過量子行走系統將兩條加密信息分別隱形傳態給Bob，Charlie。在進行竊聽檢測后，Bob和Charlie根據 Alice 公布的結果測量手中的粒子串，完成隱形傳態。此后，Bob和Charlie能夠通過合作解密Alice的秘密信息。詳細方案如下。

2.1 粒子準備階段

在粒子準備階段，Alice，Bob，Charlie準備一些粒子用于量子行走系統的隱形傳態。Alice準備粒子串Ap用于量子行走系統的隱形傳態，其中Ap=|010203…0n〉。Bob準備初始態為 |0〉 粒子串Bp用于完成與Alice的子秘密信息的隱形傳態，其中Bp=|010203…0n〉。Charlie和Bob一樣，他準備初始態為 |0〉 粒子串Cp用于完成與Alice的子秘密信息的隱形傳態，其中Cp=|010203…0n〉。

2.2 秘密信息編碼階段

在秘密信息編碼階段，Alice生成一串n比特的二進制隨機序列L，然后她根據L將n比特的原始信息M編碼為兩粒子比特串 {|b1c1〉,|b2c2〉,|b3c3〉…|bncn〉}，編碼規則見表2。

表2 字符串L,M以及 |bc〉 的相應位值

表2的含義是兩粒子比特串 |bc〉 的測量基由L確定，而它們的特征向量由M確定。這意味著當L為0時，|bici〉 的測量基為Z基；當L為1時，|bici〉 的測量基為X基；|bi〉XOR|ci〉 的結果等于Mi。這里 |+〉=1/2(|0〉+|1〉)，|-〉=1/2(|0〉-|1〉)。

然后，Alice按序抽取 |b〉 粒子生成B=|b1b2b3…bn〉，按序抽取 |c〉 粒子生成C=|c1c2c3…cn〉。例如，如果L是0110，M是1011，兩粒子比特串 |bc〉 可以生成為 {|01〉,|- -〉,|+ -〉,|10〉}，進而B=|0- +1〉，C=|1- -0〉。只有制備者Alice確切地知道她制備的兩粒子比特 |bici〉，B串或C串不能獨自地推斷出M的信息。此時，秘密信息的編碼完成。

2.3 秘密信息分發階段

在秘密信息分發階段，Alice通過量子行走系統，將M的子秘密信息B隱形傳態給Bob，子秘密信息C隱形傳態給Charlie。

(1)Alice隨機的在B中插入k比特的誘騙粒子用于竊聽檢測。通過量子行走系統，Alice將插入誘騙粒子的信息BK隱形傳態給Bob，其中BK={b1,b2,b3…bn+k}。我們以bi粒子的隱形傳態為例。此前，Alice已經準備了初始態為 |0〉 的粒子Api用于量子行走系統的隱形傳態，Alice將bi作為量子行走系統中需要被隱形傳態的粒子，其中bi=α|0〉+β|1〉，|α|2+|β|2=1。Bob已在粒子準備階段準備了量子比特串Bp，他將粒子Bpi作為量子行走系統中的接收粒子，Bpi處于 |0〉 態?，F在，整個量子行走系統的初始狀態可以寫為

|Φ〉=Api?bi?Bpi=
|0〉p?(α|0〉+β|1〉)1?|0〉2

(16)

經過第一步量子行走W(1)之后，整個系統態變為

|Φ〉(1)=(α|100〉+β|-110〉)p12

(17)

經過第二步量子行走W(2)之后，整個系統態變為

|Φ〉(2)=(α|200〉+α|001〉+β|010〉+β|-211〉)p12

(18)

(3)Alice將λ1序列和λ2序列公布給Bob，Bob結合表1 對粒子Bp做Pauli恢復操作來獲得目標態。此后，Bob完成了來自于Alice的未知粒子的隱形傳態，Bpi粒子的態轉化為了BKi粒子的態。

(4)在Bob聲稱收到所有粒子后，Alice開始進行竊聽檢測。Alice宣布誘餌粒子的位置和測量基，Bob選擇合適的測量基來測量每個誘餌粒子，Alice根據Bob的測量結果，她可以評估粒子傳輸過程中的錯誤率。如果錯誤率超過指定的閾值ε，則他們終止該通信，然后從頭開始重復該方案，直到錯誤率可接受為止。否則，Alice繼續進行秘密信息分發。

(5)Bob丟棄粒子串Bp中的k比特誘騙粒子獲得n比特量子秘密信息Mb。

(6)Alice同樣使用量子行走系統將加入k比特誘騙粒子的子秘密信息CK隱形傳態給Charlie，本次，Alice分別用γ1和γ2表示測量基X和Q的測量結果序列。

(7)Alice將γ1序列和γ2序列公布給Charlie，Charlie結合表1對粒子Cp做Pauli恢復操作來獲得目標態。此后，Charlie完成了來自于Alice的未知粒子的隱形傳態，Cpi粒子的態轉化為了CKi粒子的態。

(8)在Charlie聲稱收到所有粒子后，Alice開始進行竊聽檢測。Alice宣布誘餌粒子的位置和測量基，Charlie選擇合適的測量基來測量每個誘餌粒子，Alice根據Charlie的測量結果，她可以評估粒子傳輸過程中的錯誤率。如果錯誤率超過指定的閾值ε，則他們終止該通信，Alice從頭開始重復該方案。

(9)Charlie丟棄粒子串Cp中的k比特誘騙粒子獲得n比特量子秘密信息Mc。此時，Alice通過量子行走系統完成她與Bob、Charlie的子秘密信息的隱形傳態。

2.4 秘密信息恢復階段

(1)通過量子行走系統，Bob手中持有長度為n比特的量子秘密信息Mb，Charlie手中持有長度為n比特的量子秘密信息Mc。Alice向Bob和Charlie公布決定兩個粒子串測量基的字符串L。

(2)Bob和Charlie根據Alice公布的字符串L選擇測量基Z或X測量手中的量子秘密信息Mb和Mc，即，在L的位值為0的情況下采用Z基測量，在L的位值是1情況下采用X基測量。Mb和Mc的測量結果分別記為Rb和Rc。

(3)Bob和Charlie可以通過合作，根據MbXORMc恢復出Alice的原始秘密信息M。

3 安全性分析

本方案可以有效抵御內部參與者攻擊和外部攻擊，保證秘密共享過程的安全性。

(1)內部攻擊

Bob無法通過猜測Charlie手中粒子串Mc的測量結果推斷Alice的原始信息M，因為只有Alice確切知道她準備的那對粒子 |bici〉。我們假設Bob有50%的概率猜對另一個粒子ci，可以根據統計數據定量評估Bob成功推斷整個消息M的概率Pi

(19)

其中，k表示被正確猜測的粒子總數，N表示整個信息M的長度。概率Pi符合二項分布和二項式系數

(20)

通過計算N=100，N=500，N=1000時正確猜測的粒子數k下成功推斷整個消息的概率Pi，可知對于不同的N，Pi在區間(0,k)上存在它的最大值 (Pmax(N=100)≈0.0918，Pmax(N=500)≈0.0412，Pmax(N=1000)≈0.0291)，并且隨著N的增大而減小。因此，可以得出結論，編碼方案可以有效地完成秘密信息編碼，Bob無法通過猜測成功推斷出原始信息M。

(2)外部攻擊

第一種：截獲/重發攻擊。外部攻擊者Eve或者任何參與者無法通過截獲/重發攻擊有效竊取秘密信息，因為我們在粒子的量子行走過程中添加了誘騙粒子用于避免此類攻擊。假設Eve截獲量子行走系統中Bob的接收粒子串Bp，然后將另一串粒子序列重新發送給接收方。由于Eve對誘騙粒子的位置和測量基一無所知，接收方會獲得不相關的測量結果，這使得粒子傳輸過程中的錯誤率增加，導致該對話終止。因此，Eve的截獲/重發攻擊對該方案無效。

第二種：糾纏攻擊。外部攻擊者Eve或者任何參與者也無法通過糾纏攻擊來獲取信息，因為信息在量子信道中傳輸時，信息被編碼為粒子序列并用離散時間量子行走系統加密。假設Eve為獲取隱形傳態中接收粒子的信息，截獲量子行走系統中Charlie的接收粒子串Cp，并用新的粒子e與Cpi纏繞在一起形成一個更大的希爾伯特空間，其中Cpi={|0〉、|1〉、|+〉、|-〉}

E?|0e〉=a|0e00〉+b|1e01〉

(21)

E?|1e〉=b′|0e10〉+a′|1e11〉

(22)

(23)

(24)

其中，E是Eve的單一操作矩陣，表示為

(25)

由E運算符決定的4個 {e00,e01,e10,e11} 純狀態滿足歸一化條件

(26)

因為EE*=1，a，b，a′，b′滿足以下關系

|a|2+|b|2=1,|a′|2+|b′|2=1,ab*=(a′)*b′

(27)

我們可以獲得結果

|a|2=|a′|2,|b|2=|b′|2

(28)

如果Eve的攻擊粒子處于糾纏態，這種竊聽者的干擾將不可避免地引入錯誤，我們可以以PE的概率檢測到竊聽者的存在

PE=|b|2=1-|a|2=|b′|2=1-|a′|2

(29)

如果Eve不想引入誤差，則總粒子必須與Eve的輔助粒子以直積態相關。然而，在直積態下，輔助粒子e與Cpi粒子之間沒有任何相關性，因此Eve沒有得到任何有用信息，這說明了糾纏攻擊是徒勞的。

4 結束語

在本文中，我們分析了之前主要的基于糾纏態的量子秘密共享方案，以及無糾纏的量子秘密共享方案，并提出了一種基于量子行走的量子秘密共享方案，該方案在初始粒子準備階段僅采用單粒子并通過量子行走系統完成粒子態的隱形傳態。

與以前的量子秘密共享方案不同，我們的方案的優點歸納如下。第一，我們的方案在初始粒子的制備中不需要制備糾纏態粒子，而是采用單粒子，糾纏態粒子制備的困難性可以表明基于糾纏態的量子秘密共享方案在某些情況下是不值得的，畢竟實用性是量子信息論的重要追求。第二，秘密分發者的原始信息被巧妙拆分為子秘密信息并編碼為量子態，沒有人可以從子集中推斷出原始信息。第三，方案的量子通信過程是通過量子行走完成，單粒子在兩步量子行走過程中自發地產生糾纏，從而實現了單粒子態的隱形傳態，無論是在量子計算還是量子模擬，現已有很多量子行走實驗被成功實現，量子行走是量子通信中所需要的。此外，最后的安全性分析表明，基于量子行走的加密量子隱形傳態系統，根據其固有的不可預測的混沌非線性動態行為，使得我們的方案能夠抵御內部攻擊和外部糾纏攻擊，在當前技術下是安全可行的。