量子秘密共享基础

1998年，Hillery等人参照经典秘密共享理论提出了量子秘密共享的概念，并利用GHZ 三重态的量子关联性设计了一个量子秘密共享方案。此后，量子秘密共享引起了人们的广泛兴趣，利用两粒子纠缠态的性质、量子纠缠码的特征、量子计算以及连续变量量子比特的性质等量子属性，人们设计了一系列量子秘密共享方案。2001年，瑞士日内瓦大学首次在实验上验证了基于GHZ三重态的量子秘密共享方案。但是，已提出的量子秘密共享体制还存在许多问题，如方案的多次使用问题、用户的增减问题等。

本章介绍量子秘密共享的基本概念，量子秘密分拆与量子秘密共享方案，以及量子秘密共享的应用等几个方面的基本理论和技术。

基本概念

在某些场合，为了让多人承担保护秘密消息的风险，或者加强对某个秘密信息的保密强度，需要多个参与者共同参与保护秘密信息。例如，导弹的控制与发射、重要场所的通行、遗嘱的生效等都必须由两个或多人同时参与才能生效，也就是需要将秘密分给多人共同管理。这种情况可通过将秘密信息拆分成若干个部分并由若干个参与者共同管理的方式实现，这种保护信息的方式称为秘密共享。秘密共享的本质在于将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。可见，秘密共享的秘密拆分方式和恢复方式是设计秘密共享方案的关键。

1977年，Sykes提出了秘密分拆（secret split）的概念，其基本思想是将一个秘密消息划分成若干个碎片，每一片本身并不代表什么，只有当这些碎片全部合在一起时才能重构该消息。1979年，Shamir和Blakley各自独立地提出秘密共享的概念，并且提出了他们的秘密共享体制，即LaGrange内插多项式体制和矢量体制。秘密共享概念的提出为将秘密分给多个参与者共同管理提供了可能。当前这类体制的应用日趋广泛，特别是自1994年美国政府颁布了秘密托管加密标准（EES）后，秘密共享体制又成为了秘密托管软件实现研究的一个重要基础。另外，秘密共享在多方计算中具有重要的应用，而多方计算是分布式系统的重要计算模式，随着互联网络和自组织网络技术的进展，基于分布式系统的密码得到了快速发展。

定义6.1.1 设m，n是正整数，且m＜n。将秘密S在一组参与者P中进行分配，如果n个参与者按如下方式共享秘密信息S：任意m个参与者可以协同恢复S，但任意少于m 个参与者都不能恢复该消息。这种密码系统称为秘密共享体制。秘密共享体制亦成为（m，n）门限方案。

设秘密消息的持有者为Trent，简称为T，相应的各信息份额的持有者表示为P。不妨设T∉P，定义6.1.1可等价为

H（S∣P i

1,…，P i

m

）=0 (6.1.1)

H（S∣P i

1，…，P i

n

）=H（S） (6.1.2)

式中P i

j

∈P，1≤j≤m，1≤≤m－1，H（X）和H（X∣Y）分别为熵函数和条件熵函数。

与其他信息保护方式一样，秘密共享体制可采用不同的方式实现。以数学为基数的秘密共享体制可称为经典秘密共享体制，这种秘密共享体制以数学原理为基数，借助数学难题保证安全性。自Shamir提出秘密共享体制后，经典秘密共享体制得到了人们的重视，已提出了很多方案，如无仲裁参与的秘密共享体制、不泄露分享秘密的秘密共享体制、可证实秘密共享体制等。以量子物理为基础的秘密共享体制称为量子秘密共享体制，量子秘密共享体制以量子物理为基础实现，借助量子物理规律保证安全性。目前，量子秘密共享体制主要有离散变量和连续变量两种实现方式。需要指出的是，不管以何种方式实现，各种秘密共享体制的目的都是一样的。