基于BB84 態的量子匿名一票否決協議

石潤華，于輝，柯唯陽，徐小桐

（華北電力大學控制與計算機工程學院，北京 102206）

0 引言

投票是日常生活中一項重要活動，重要事項表決以及選舉都采取投票制。紙質投票因受時間地點限制，不適用于大規模投票場景。電子投票因具有高效性和便捷性，逐漸取代了紙質投票，成為表決的主流方式。電子投票[1]利用互聯網傳輸經典密碼學算法加密后的投票信息，目前提出的電子投票協議大多基于盲簽名[2]和組簽名[3]技術。最著名的電子投票協議是Fujioka 等[4]提出的FOO（Fujioka Okamoto Ohta）算法，它是一種基于盲簽名、比特承諾技術以及數字簽名技術的電子投票協議。然而，這些電子投票協議的共同特點是安全性基于未被證明的假設，因此只能保證計算安全。

隨著量子通信和量子計算機的發展，計算速度越來越快，求解數學困難性問題的復雜性大幅降低，從而對經典密碼學的安全構成了威脅，量子密碼學[5]也因此得到越來越多的關注。量子投票[6]利用量子密碼學對投票信息進行編碼，其安全性受量子力學原理保證，理論上具有無條件的安全性，并且可以檢測信道中的竊聽行為。Hillery 等[7]對投票進行分類，提出了移動式投票和分配式投票2 種投票模式。Vaccaro 等[8]提出了比較投票，根據2 個人的投票來判斷他們的操作是否相同。在比較投票和移動式投票的基礎上，匿名投票被提出[9]。在其研究基礎上，許多學者都提出自己的量子投票方案[10-12]。

具有一票否決功能的投票協議是指：若有至少一個投票者反對，決議被否決，但任何投票者都無法知道誰投了反對票，從而保護了投票者的隱私。該投票場景主要用于防止少數服從多數，經典電子投票領域已產生許多研究成果。Kiayias 等[13]提出了一種基于DDH（decisional Diffie-Hellman）假設和零知識證明的投票方案。仲紅等[14]提出了一種半誠實模型下的電子投票方案，主要利用多精度運算和安全多方求和。楊志勇等[15]提出了一種不需要可信第三方的基于安全多方求和的一票否決方案。延吉紅等[16]提出了一種安全高效的投票方案，使當串謀人數小于n–1 時，方案滿足完全保密性。此外，在經典密碼算法的基礎上出現了安全性更高的量子一票否決協議。Rahaman 等[17]提出了一種多粒子GHZ（Greenberger-Horne-Zeilinger）態先驗糾纏的量子匿名一票否決（QAOV,quantum anonymous one-vote veto）協議，該協議以泄露部分投票隱私為代價，當偶數票同意或者奇數票反對即可實現投票結果，然而，由于多粒子GHZ 態制備困難，其可實現性不好。Wu 等[18]提出了一種基于量子位和Pauli 運算Z 和X 的量子匿名一票否決協議，使用的量子資源和量子操作較簡單。然而，該協議利用一個半誠實的服務器作為投票管理中心來制備量子態和生成并分發子秘密（即子密鑰），輔助投票者完成投票過程，因此服務器的不誠實行為可能竊取投票者的隱私信息，實際上該協議需要可信的第三方。總之，現有投票協議主要存在以下挑戰。

1)所用量子資源為多粒子糾纏態，且需要進行高維空間的量子測量，操作困難，協議的可實現性差。

2)投票者需要制備量子資源，增加了投票者的負擔。

3)以泄露部分投票隱私為代價實現投票結果。

4)存在可信第三方，但在現實中完全可信的第三方是很難找到的。

此外，隨著Google 量子霸權[19]的驗證（即針對特定問題的計算能力超越經典超級計算機，又稱“量子優越性”），現在的量子計算設備計算速度越來越快，但因其昂貴的計算成本而未得到普及。另一方面，各種量子云平臺的出現（如IBM 量子實驗）使普通用戶也可以執行量子計算。鑒于此，本文引入誠實且好奇的量子云，設計量子安全多方析取協議，其中量子云制備所需量子資源和實施所有量子測量，從而使其他參與者的量子處理能力達到最小要求，僅需執行簡單的單光子操作（Pauli 算子和Hadamard gate 操作）；并將此協議用于解決一票否決投票問題，提出了基于量子云的量子匿名一票否決（QAOVC,quantum anonymous one-vote veto with a quantum cloud）協議。進一步地，進行去中心化處理，本文提出一種不需要第三方協助的量子匿名一票否決協議。協議均以BB84 態單光子[20]為量子資源，并進行簡單的單光子操作和單光子測量。協議不僅滿足匿名性、合法性、可驗證性等較完備的投票安全屬性，且耗費量子資源少，量子操作及測量的復雜性低，具有更好的可實現性。

1 預備知識

本節主要介紹單光子操作：Pauli 算子和Hadamard gate 操作。

1.1 Pauli 算子

Pauli 算子可以看作二維Hilbert 空間上的2 個基向量的外積算子[21]，本文所用到的UY算子外積為，其密度矩陣如式(1)所示，UY算子對基底進行變換如式(2)所示。

1.2 Hadamard gate 操作

Hadamard gate 操作（簡稱H門操作）的密度矩陣如式(3)所示，其效果是對量子比特的狀態做基底的變換，進行基底間相互轉換，變換過程如式(4)所示。

此外，H和UY變換還滿足如下性質。

2 量子安全多方析取協議

隨著量子計算的發展，量子設備的計算能力越來越強，但由于其成本昂貴，并未得到普及。為此，本文引入了量子云，提出了一個可行的量子安全多方析取（QSMD,quantum security multiparty disjunction）協議，使參與者僅需執行簡單的單光子操作，降低了參與者的負擔。

2.1 協議模型

定義1QSMD 協議。假設協議中有m個參與者P1,P2,…,Pm，每個參與者Pi有一個秘密輸入xi(xi∈{0,1})。執行QSMD 協議后，輸出結果為x1∨x2∨…∨xm（此處“∨”表示邏輯或，0∨0=0，0∨1=1，1∨0=1，1∨1=1）。此外，協議滿足以下安全目標。

1)正確性。如果所有參與者都誠實地執行協議，則最后的結果x1∨x2∨…∨xm是正確的。

2)公平性。每個參與者都是平等的，都能以同等概率得到結果x1∨x2∨…∨xm。

3)隱私性。除參與者Pi外，沒有任何參與者能知道其秘密輸入xi。

在協議中，量子云制備單光子并對其進行測量，其他參與者只需執行簡單的單光子操作。此外，假設協議中所有參與者都是誠實且好奇的，即每個參與者都誠實地執行協議，但是對其他參與者的秘密信息xi感興趣，類似于經典的半誠實模型。假設參與者Pi和Pi+1（i=1,2,…,m；Pm+1代表量子云）之間存在量子認證通道，且實現環境是無噪聲、無粒子丟失和設備性能完美的。最后量子云負責輸出結果。符號定義如表1 所示。

表1 符號定義

2.2 協議描述

步驟 1所有參與者Pi(i=1,2,…,m)共同確認小整數k（例如，k=10，其錯誤的概率為δ≈），它與成功得到結果x1∨x2∨…∨xm的概率有關。

步驟2每個參與者Pi生成自己的秘密信息xi(xi∈{0,1},i=1,2,…,m)，并根據秘密信息xi生成一個長度為k且滿足xi=Xi[1]∨Xi[2]∨…∨Xi[k]的隨機私密數組Xi(Xi[j]∈{0,1},1≤j≤k)。

步驟3每個參與者Pi隨機生成2 個長度為t(t=2(k+q))的數組Ri和Si(Ri[j]∈R{0,1}且Si[j]∈R{0,1}，1≤j≤t)。

步驟4量子云制備t個BB84 態的單光子ph1,ph2,…,pht(phj∈{0,1,+,?},j=1,2,…,t)并記錄其初始狀態，然后，將單光子通過認證的量子通道發送給參與者P1。

步驟5參與者P1執行以下步驟。

步驟6參與者P1通過認證的量子通道將t個單光子發送給P2。

步驟7參與者P2收到P1發送的單光子后，根據S2[j]和R2[j]對其進行相應操作，隨后將單光子通過認證的量子通道發送給P3。收發單光子過程執行m次，最后Pm將單光子發回量子云。

得到上一參與者發送的單光子后，參與者Pi執行以下步驟。

步驟8量子云收到單光子后，對每個單光子以初始基進行測量并記錄。

步驟9后處理。

1)每個參與者Pi公開它的數組Si[j](j=1,2,…,t)。

2)所有參與者Pi選出滿足有效條件=0的j。根據預備知識可知，滿足有效條件的第j個單光子phj的基不變。

3)所有參與者保存滿足有效條件的事件j，其余的事件丟棄（概率約為）。

4)約有k+q（約為）個有效事件，所有參與者隨機選擇k個事件用來傳遞信息，其余q個事件則用來進行竊聽檢測。

5)對于q個用于檢測竊聽的事件，所有參與者要求量子云公開相應檢測光子的初始態和測量結果，繼而所有參與者也公開對應的數組Ri[j]。通過所有公開信息可以確定是否存在不誠實行為或竊聽者。經過有效條件的判定，若用于竊聽檢測的單光子phj與初始狀態匹配，則繼續執行下一步；否則認為存在竊聽，放棄QSMD 協議的執行。

例如，假設第j個單光子phj是一個竊聽檢測事件，如果滿足=0，那么這個單光子的測量結果應該與初始狀態相同；否則，與初始狀態不同。

步驟10假設用來計算最后結果的k個編碼事件與t個單光子中第g1,g2,…,gk個事件相對應，每個參與者Pi計算且公開

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

步驟11量子云計算X＊[gj](j=1,2,…,k）

量子云執行以下操作。

3 基于量子云的量子匿名一票否決協議

本節將QSMD 協議用于解決一票否決場景下的投票問題，增加了對投票者的身份認證和對投票信息的承諾，使投票協議滿足合法性及可驗證性，提出了QAOVC 協議。

3.1 協議模型

假定協議中m個投票者 Alice1,Alice2,…,Alicem對決議進行投票，每個投票者Alicei對決議的秘密選票xi可用0 或1 表示，其中，0 表示支持決議，1 表示反對決議。執行QAOVC 協議后，投票結果為w=x1∨x2∨…∨xm（0 表示決議通過，1 表示決議被否決）。QAOVC 協議除了滿足安全多方析取協議的安全假設以及安全目標外，還滿足可驗證性，即任意一個投反對票的投票者都可以驗證他的選票是否被正確計算在內。QAOVC 協議模型框架如圖1 所示，其中，表示投票者Alicei對單光子phj進行的單光子操作。投票協議包含以下兩類參與者。

圖1 QAOVC 協議模型框架

1)量子云Cloud。半誠實的參與者，假定其不與其他投票者串謀，主要負責驗證投票者身份、制備并測量BB84 態單光子、統計選票結果并公布，保存投票者投票信息的承諾值。

2)投票者Alice。半誠實的投票者，負責對決議進行表決，具有一票否決的權利。

3.2 協議描述

3.2.1 初始化階段

步驟1所有投票者Alicei(i=1,2,…,m)共同確認整數k，生成自己的秘密選票xi以及對應的隨機私密數組Xi，隨機生成2 個長度為t的數組Ri和Si，其中t=2(h+k+q)。

步驟2量子云事先準備一組長度為h的身份認證信息 IDi[j](i=1,2,…,m;j=1,2,…,h)，并將身份認證結果保存在數組 result[j](j=1,2,…,h)中,且滿足式(8)；然后利用面對面或其他安全的方式，如QKD（quantum key distribution），為每個投票者Alicei分配一個身份認證信息數組 IDi[j]。

步驟3每個投票者Alicei隨機選擇一個整數ri∈{0,1}并計算ci=H(ri⊕H(ri⊕xi))，其中H為安全的哈希函數；然后投票者Alicei將ci通過經典信道發送給量子云，即投票者Alicei將秘密選票xi承諾給量子云，但是量子云在不知道ri的情況下是不能解密出秘密選票的。

3.2.2 量子執行階段

按照2.2 節的步驟 4～步驟 8 制備t個單光子并執行。

3.2.3 經典后處理階段

執行2.2 節的后處理階段，選出h+k+q（約為）個有效事件，所有投票者隨機選擇h個事件用來驗證身份，k個事件用來傳遞信息，其余q個事件則用來進行竊聽檢測。

3.2.4 身份認證及竊聽檢測階段

步驟1假設用來認證身份的h個事件與t個單光子中的第l1,l2,…,lh個單光子相對應，每個投票者Alicei計算

其中，j∈{1,2,…,h}且lj∈{1,2,…,t}，計算完成后投票者將Yi[lj]公開。

步驟2量子云計算Y[lj](j=1,2,…,h)如下

量子云執行以下操作。

若身份認證成功則繼續執行下一步，否則放棄此次投票。

步驟3對于q個用于竊聽檢測的事件，所有投票者公開對應的數組Ri[j]。量子云通過所有公開信息可以確定是否存在不誠實行為或者竊聽。經過有效條件的判定，若用于竊聽檢測的單光子phj與初始狀態匹配，則繼續執行下一步；否則認為存在竊聽，放棄此次投票。

例如，假設第j個單光子phj是一個竊聽檢測事件，如果滿足=0，那么這個單光子的測量結果應該與初始狀態相同；否則，與初始狀態不同。

3.2.5 投票及計票階段

假設用來計算最后結果的k個編碼事件與t個單光子中第g1,g2,…,gk個事件相對應，每個投票者計算且公開

其中，gj∈{1,2,…,t}，j∈{1,2,…,k}。

量子云計算X＊[gj](j=1,2,…,k)，即

量子云執行以下操作。

若有投票者投反對票，則量子云的計算結果應為1，表示決議被否決；否則決議通過。

3.2.6 驗證階段

假設投票者Alicei投了反對票，而量子云公布的投票結果為通過時，則投票者Alicei可以使用量子匿名通信技術[22-24]廣播中斷信號，并向量子云公開隨機數ri，對初始化階段存放在量子云的承諾信息ci進行驗證。若經驗證投票結果正確，則投票結束；否則，量子云對投票結果進行改正。

4 量子匿名一票否決協議

量子云負責驗證身份、收集選票、制備并測量單光子、公布結果的工作，中心化程度非常高，存在較高的安全威脅，也存在單點失效的風險。實際上，即使量子云不可信，也得不到投票者的任何隱私信息。所以，可以去掉量子云，將它的工作平攤給每個投票者，以達到去中心化的目的。本節提出了一種不需要第三方協助的QAOV 協議。

4.1 協議模型

本節提出的QAOV 協議同樣滿足QAOVC 的安全目標以及安全假設，在執行完QAOV 協議后，投票結果依然為x1∨x2∨…∨xm，只是將量子云的工作平攤給每個投票者，并且引入區塊鏈保存投票者的承諾。QAOV 協議模型如圖2 所示。協議主要包含以下參與者。

圖2 QAOV 協議模型

1)投票者Alice。半誠實的投票者，負責對決議進行表決，制備單光子并測量。

2)區塊鏈。保存承諾值。

4.2 協議描述

4.2.1 初始化階段

步驟1所有投票者Alicei共同確認整數k。

步驟2所有投票者通過面對面或其他安全的方式（如QKD）事先準備一組長度為h的身份認證信息 IDi[j]，并將身份認證結果保存在數組result[j]中；然后為每個投票者Alicei分配一個身份認證信息 IDi[j]。

步驟3每個投票者Alicei確定自己的秘密選票xi及其對應的隨機私密數組Xi，生成隨機秘密數組Ri和Si。

步驟4每個投票者Alicei隨機選擇一個整數ri∈{0,1}并計算ci=H(ri⊕H(ri⊕xi))；然后將ci保存到區塊鏈。即投票者Alicei將秘密選票xi承諾給區塊鏈，但是區塊鏈在不知道ri的情況下是不能解密出投票信息的。

4.2.2 量子執行階段

記錄量子執行輪數d=1（1≤d≤，假設k+q+h為m的整數倍），每個投票者Alicei制備一個BB84 態的單光子 phm(d?1)+i并記錄其初始狀態，根據Si[m(d?1)+i]和Ri[m(d?1)+i]對單光子執行相應的單光子操作；然后通過認證的量子通道將單光子發送給 Alicei+1。

Alicei+1收到單光子后，對其執行相應的單光子操作，然后通過認證的量子通道將單光子發送給Alicei+2。每個單光子的收發過程都執行m次，最后將單光子發回其制備者手中，用初始基進行測量并記錄，至此，第一輪量子執行結束，進入下一輪，共需執行輪。第j個單光子的量子執行階段如圖3 所示。

圖3 第j 個單光子的量子執行階段

4.2.3 經典后處理階段

與3.2.3 節一致，所有投票者隨機選出h+k+q個有效事件。

4.2.4 身份認證及竊聽檢測階段

步驟1假設用來認證身份的h個事件與t個單光子中的第l1,l2,…,lh個單光子相對應，每個投票者Alicei計算Yi[lj](j∈{1,2,…,h})并公開。

步驟2制備第lj個單光子的投票者計算Y[lj]并進行身份認證，若身份認證成功，則繼續進行下一步；否則，放棄此次投票。

步驟3竊聽檢測，過程與3.2.4 節步驟3 的檢測程序相同。

4.2.5 投票及計票階段

假設用來計算最后結果的k個編碼事件與t個單光子中第g1,g2,…,gk個相對應，每個投票者Alicei計算并公開，制備第gj個單光子的投票者計算X＊[gj](j=1,2,…,k)以及w。若w=1，則決議被否決；否則，決議通過。

4.2.6 驗證階段

假設投票者Alicei投了反對票，公布的投票結果為通過，則投票者Alicei可以使用量子匿名通信技術廣播中斷信號，并對區塊鏈公開隨機數ri，對初始化階段存放在區塊鏈的承諾信息ci進行驗證。若經驗證投票結果正確，則投票結束；否則，對投票結果進行改正。

5 分析與實驗

本節首先分析了量子安全多方析取協議的正確性，并證明當所有的參與者都誠實執行協議時，所述協議是無條件安全的；其次，分析了投票方案所滿足的安全屬性；最后，將所提協議與其他協議從量子資源、通信復雜度以及效率等方面做對比，并使用IBM Qiskit 對所述協議進行仿真實驗，實驗結果表明，所提協議具有正確性。

5.1 正確性

本文提出的QAOVC 協議和QAOV 協議的正確性是由QSMD 協議的正確性保證的，以下將對QSMD 協議的正確性進行分析。

定理1假設有m個輸入，其中1 的個數為p(p≤m)，如果p=0或1，協議正確執行；如果p≥2，則可能輸出錯誤結果0，其概率為δ≈（當k足夠大時可忽略不計）。

證明

1)假設量子云生成的單光子phj的初始態為，執行協議后發送回量子云的狀態為，可表示為

從式(2)和式(14)可知，對于有效事件，最終狀態與初始狀態的基相同，如果UY變換執行偶數次，則除了多一個全局相位因子外其狀態不變；否則，狀態改變，但維持同一個基。

從式(11)和式(12)易得

2)進一步考慮以下幾種情況，m個輸入x1,x2,…,xm，其中1 的個數為p

情況1p=0

所有Xi[j]均為0，即w==0。計算結果表示輸出正確，與假設符合，所以結果正確。

情況2p=1

假設任意一個參與者Pi的輸入為1，即≠0，且至少存在一個j使w==1。計算結果與假設符合，所以結果正確。

情況3p=2

顯然，當k足夠大時，δ≈0。例如，k=6 時，δ=0.015 78；k=10時，δ=0.000 98。

情況4p=3

假設有這樣的k行（對應j=1,2,…,k）和p列（對應p個數組Xi），其中每列至少有一個1 且每行有0 個1 或者2 個1，w==0，然而，x1∨x2∨…∨xm=1，所以通過1 在每行可能的位置，可以推斷出協議錯誤的概率滿足以下條件

當k足夠大時，δ≈0。例如，k=6 時，δ=0.016 38；k=10時，δ< 0.000 98。

依次類推，可得p取其他值的情況，即

5.2 安全性

本文提出的QAOVC 協議和QAOV 協議的安全性主要是由QSMD 協議的安全性保證的，所以，在定理2中將證明QSMD協議在半誠實模型下是無條件安全的。

定理2若所有參與者都誠實執行協議時，則所述協議是無條件安全的。

證明單光子在量子認證通道傳遞信息時，根據隨機數組Ri和Si執行單光子操作來進行加密，此時數組未公開是私密數組。如果輸入態和輸出態都是混合態，則本文提出的量子投票協議是無條件安全的。不失一般性，以第j個隨機的單光子phj為例，其輸入態為

在執行完相應操作后，輸出態為

由式(21)可知，輸出態為最大混合態，所有參與者都不能得到除自己以外其他參與者所選擇的秘密信息，因此該協議使用的量子完備加密是信息理論安全的。

在執行完q個單光子的竊聽檢測后，每個投票者Pi公開Ri[lj]，它是隨機且私密的，顯然這是經典的一次一密[25]。

綜上所述，量子完備加密[26]和一次一密保證了在半誠實模型下協議是無條件安全的。然而，一個不誠實的參與者Pi?1可能會與參與者Pi+1聯合竊取Pi的秘密信息，分析如下。

不誠實參與者Pi?1在收到t個單光子后，制備t個貝爾態粒子，并將光子b發送給Pi，自己保留光子a。參與者Pi收到光子b后對其進行變換如下

參與者Pi+1收到單光子b后，由于與Pi?1聯合竊聽，他將單光子發送給Pi?1，對2 個光子(a,b)進行貝爾態測量即可推測出Pi的私密數據（如果測量結果為，則Ri[j]=0且Si[j]=0）。所以，為了抵抗這種攻擊，用q個單光子進行竊聽檢測，顯然，它可以保證所有參與者的誠實性，且可抵抗外部竊聽者，這類似于QKD[27]中的誘騙態。

根據上面的分析可知，如果各方都誠實地執行協議，就會正確地輸出最終的結果。在所提協議中，所有參與者都是完全對等的且執行相同的程序。因此，所提QSMD 協議可以實現公平性。此外，與大多數現有的量子安全多方計算一樣，所提QSMD 協議需要經過認證的量子信道，可以保證量子資源和參與者身份的真實性。原則上可以將量子認證技術[28]和經典認證技術[29]結合起來，在量子信道中實現各種認證。

5.3 投票協議滿足的安全屬性

本文提出的QAOVC 協議和QAOV 協議均滿足以下安全屬性。

5.3.1 匿名性

在QAOVC 協議中，所有投票者都可得到一個唯一的ID，身份認證成功后即可使用匿名ID 進行投票，因此投票者的真實身份不能被除自己以外的任何投票者知道（注意，驗證者僅驗證所有投票者合法或存在不合法的投票者）。此外，在上述2 個協議中只公布決議通過與否（即投票的最終結果），無法知道是誰投了反對票以及投反對票的人數，在QAOVC 協議中，結果由量子云計算后公布；在QAOV 協議中，所有投票者共同計算投票結果，因此所提協議滿足匿名性。

5.3.2 合法性

在投票協議中，需要核實投票者身份信息，只有合法投票者才能夠進行投票。在QAOVC 協議中，初始化階段，每個投票者都可得到量子云準備的身份認證信息，并將其異或的正確結果保存在數組result 中；身份認證階段，會對投票者的合法性進行驗證，只有當所有投票者的身份認證信息異或的結果與事先保存在數組result 中的結果符合時，才能進行投票。在QAOV 協議中，所有投票者通過面對面或其他安全的方式（例如QKD）準備一組身份認證信息，并將結果保存，同樣對身份認證信息進行核實，身份合法即可投票。

5.3.3 公平性

各投票者都是等價的，在投票前任何投票者都不能獲取部分投票記錄或其他投票者的有用信息，且他們以同等的概率得到投票結果。本文所提協議中，投票者利用量子完備加密對量子資源進行編碼，即根據隨機數組Ri和Si執行單光子操作來進行加密，并通過后選擇的方式選出滿足有效條件的單光子用于對投票信息的編碼，且在協議中傳遞投票信息的單光子處于最大混合態，因此投票信息不會泄露給其他投票者。在QAOVC 協議中，投票信息在量子云計算后進行公布，且假定量子云不與其他投票者串謀，從而避免了投票信息的泄露；在QAOV 協議中，每個投票者均需制備相同個數的單光子，并對傳遞的信息進行統計后公開，計算并公布投票結果過程需投票者共同執行。因此，協議具有公平性。

5.3.4 可驗證性

任意一個投反對票的投票者都可以驗證他的選票是否被正確計算。根據5.1 節的正確性分析，如果每個參與者都誠實地執行協議，則投票結果正確；當投票結果錯誤時，任何投反對票的投票者均可中斷協議，對結果進行驗證。在QAOVC 協議中，投票者需向量子云公布隨機數ri，對存放在量子云的承諾信息ci進行驗證；在QAOV 協議中，投票者需向區塊鏈公開隨機數ri，對存放在區塊鏈的承諾信息ci進行驗證。實際上，當所有投票者均同意決議時，可驗證性被隱藏，為解決這種情況，可引入可信第三方來監督量子云（區塊鏈）。

5.4 通信性能比較

根據前文分析易得，所提協議具有較完備的安全屬性，本節將從量子資源、通信復雜度以及效率等方面與其他協議進行對比分析。假設m個投票者，對n個決議進行表決，所提協議中每對一個決議進行表決，量子云需制備t(t=2(h+k+q))個單光子，其中k個用來傳遞投票信息，總共傳遞 2n(h+k+q)個單光子，通信復雜度為O(kn)，效率為η=。所提協議與其他協議的比較如表2 所示。

由表2 易得，所提協議使用的量子資源較易制備，同時使用的量子操作較為簡單，具有良好的可行性。此外，本文提出的QAOVC 協議引入了第三方量子云作為投票中心，負責制備投票所需量子資源，并計算最終投票結果，且投票者僅需執行簡單的單光子操作，降低了投票者負擔；QAOV 協議在QAOVC 協議的基礎上進行去中心化處理，將量子云的工作平攤給投票者，投票結果由所有投票者共同計算，避免了QAOVC 協議單點失效的風險，具有更好的安全性和隱私性。

表2 所提協議與其他協議的比較

5.5 仿真實驗

為了更好地理解，在IBM Qiskit 平臺對所提QSMD 協議進行仿真實驗，假設參與者的人數m=6，量子云制備 6 個單光子，分別為，具體線路如圖4 所示。在IBM Qiskit 上仿真1 024 次后，用初始基對單光子進行測量，經典測量結果為010100，概率為100%。顯然，實驗結果與公式推導結果一致。綜上所述，所提協議是正確的。

圖4 具體線路

k取不同值時錯誤率與輸入中1 的個數p的關系如圖5 所示。在模擬實驗中，假設有10 個參與方，對每個k共同計算QSMD 協議60 000 次，每次輸入都是隨機的。從圖5 可以看出，錯誤率主要取決于p≥2 時k的取值，當k=10 時，錯誤率近似等于0。總之，仿真實驗驗證了所提QSMD協議的正確性和可行性。

圖5 k 取不同值時錯誤率與p 的關系

所提協議中沒有考慮量子噪聲和光子損失，與已有抗噪容錯的量子協議類似，可以在實際應用中增加單光子的數量t，并采用量子容錯（例如decoherence-free states）或經典的糾錯技術來避免這些問題。此外，當參與者相距較遠時，可以在每一方部署一個量子中繼器，用基于隱形傳態的方式轉發未知狀態的光子。

綜上所述，所提協議具有較好的可行性。

6 結束語

本文首先設計了一個新穎的量子安全多方計算基礎協議，即量子安全多方析取協議，進一步提出了一種基于BB84 態的有量子云協助的匿名一票否決協議。該協議以單光子作為量子資源，投票者只需進行簡單的單光子操作，且使用的量子資源更少，具有良好的可行性。在所述協議中，利用量子完備加密與經典一次一密結合保證了協議的無條件安全，且滿足較為完備的投票安全屬性。在此基礎上進行去中心化處理，提出了一種不需要第三方協助的量子匿名投票一票否決協議。相較于現有的量子一票否決協議，所提協議降低了投票者的負擔，同時不泄露投反對票的總人數，更好地保護了投票者的隱私。所提協議使用單光子作為量子資源，然而現有技術水平無法制備完美的單光子，為此可使用弱相干脈沖代替所述協議中的單光子，使協議具有更好的可行性。

此外，作為一個基礎協議，量子安全多方析取協議可應用于安全計算布爾函數或其他更復雜的安全多方計算任務中。