CN106712945B - 一种基于Bell态的量子秘密共享方法 - Google Patents

Abstract

本发明公开了一种基于Bell态的量子秘密共享方法，其特征是存在一个秘密分发者，以及n个参与者，秘密分发者把一个随机的秘密分发给n个参与者，其中每个参与者获得一个子秘密，当n个参与者把他们所有的子秘密堆积在一起时就能恢复出原始分享的秘密，而少于n个参与者则得不到任何有关分享的秘密的信息。本发明能有效地解决现有量子秘密分享过程中检测参与者欺诈及通道安全复杂且效率低等问题，同时能节约经典和量子资源，降低操作复杂性并保证更高的量子效率。

Description

一种基于Bell态的量子秘密共享方法

技术领域

本发明属于安全多方计算及现代密码学应用领域，具体地说是一种基于Bell态的量子秘密共享方法。

背景技术

秘密共享在安全多方计算和现代密码学起到基础性作用，是安全多方计算中重要的原子协议。秘密共享方案通常由两个算法构成：秘密份额的分配算法和秘密的恢复算法。在秘密份额分配算法中，分发者将秘密分割成若干份额，并在一组参与者中进行分配，使得每一个参与者得到其中的一个秘密份额。在秘密的恢复算法中，只有一些特定的参与者子集(授权子集)才能恢复秘密，其他非授权子集不能恢复秘密，甚至得不到关于秘密的任何有用信息。

经典秘密共享方案最早由Blakley和Shamir于1979年分别提出，之后很多经典秘密共享方案相继被提出。经典秘密共享方案多数是基于经典的计算复杂性难题而设计的，而这些基于计算复杂性的困难问题对于量子计算机而言将变得不再困难。也就是说很多经典秘密共享方案不能抵抗量子计算机的攻击。随着量子计算和量子通信的快速发展，相应地出现了量子秘密共享。Hillery在1999年第一次提出量子秘密共享，之后在理论上和实验上有许多对于量子秘密共享的研究。这些量子秘密共享方案可分为两类，一类是只分配经典秘密信息或者只分配量子信息，另一类同时分配经典信息和量子信息。

然而已有很多量子秘密共享方案仅仅提供一种理论上可能的方案，基于现有实验技术条件很难实现，例如：利用N粒子的最大纠缠态作为量子资源，需要对N量子比特实施复杂的量子酉变换，需要在N维希尔伯特(Hilbert)空间实施投影测量或冯·诺依曼(vonNeumann)测量等。而一些实验上可行的量子秘密共享方案又因效率低，或者存在一些安全隐患得不到认可，例如：需要在参与者处存储量子资源，或对测量的次数和测量的难度要求很高，或不能抵抗参与者的合谋攻击等。实际上，已有的量子秘密共享方案很少综合考虑量子和经典资源耗费、存储代价、操作复杂性、安全以及实用性等诸多方面，因此实用性不强。此外，计算和通信开销较大，操作较复杂，安全性和隐私保护的程度不够高。特别地，每次通信发送方和接送方都需要检测量子通道的安全性以及是否存在参与者的欺诈，所以安全性检测的次数通常较大，因而效率较低。

发明内容

本发明的目的在于解决现有的量子秘密共享方案中存在的不足，提供一种资源节约、操作简单、实用、高效、安全的量子秘密共享方法，以期能节约经典和量子资源耗费，减少存储代价，降低操作复杂性，减少参与者欺诈及量子通道安全性检测的次数，保证更高的量子效率，从而能实现更加实用、安全、高效的量子秘密共享方案。

本发明为解决技术问题所采用如下的技术方案是：

本发明一种基于Bell态的量子秘密共享方法的特点是包括：一个秘密分发者Alice，以及n个参与者P₁,P₂,...,P_i,...,P_n；P_i表示第i个参与者；1≤i≤n；所述量子秘密共享方法是按如下步骤进行：

步骤一、所述秘密分发者Alice利用量子方法，将一个随机的2N比特的秘密K_A分发给所述n个参与者P₁,P₂,...,P_i,...,P_n，任意第i个参与者P_i获取所述秘密K_A的第i个子秘密K_i：

步骤1.1、所述秘密分发者Alice制备N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)，其中，(h_r,t_r)表示第r个EPR粒子对，1≤r≤N+m；且第r个EPR粒子对(h_r,t_r)随机处于四个Bell态之一；

所述秘密分发者Alice记录每个EPR粒子对的初始状态；

步骤1.2、所述秘密分发者Alice将所述N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)分成两个粒子序列，包括：S_h＝{h₁,h₂,…,h_r，…,h_N+m}和S_t＝{t₁,t₂,…,t_r，…,t_N+m}；

所述秘密分发者Alice将粒子序列S_h秘密保存，把另一个粒子序列S_t通过量子通道发送给任意第i个参与者P_i；

步骤1.3、所述第i个参与者P_i对所接收到的粒子序列S_t中的每个粒子执行一个随机的单粒子酉操作，从而形成第i个参与者P_i的初始子秘密SK_i，并得到变换后的粒子序列S′_t；

步骤1.4、所述第i个参与者P_i选取任意第j个参与者P_j并将变换后的粒子序列S′_t通过量子通道发给所述第j个参与者P_j，i≠j；同时，所述第i个参与者P_i向所述秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

步骤1.5、所述第j个参与者P_j接收到所述变换后的粒子序列S′_t后，判断是否是第一次接收到粒子序列，若是，则执行步骤1.6；否则，随机执行步骤1.7或步骤1.8；

步骤1.6、所述第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的初始子秘密SK_j，并得到再次变换后的粒子序列S″_t；所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给所述第l个参与者P_l，l≠j；同时，所述第j个参与者P_j向所述秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

步骤1.7、所述第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的中间子秘密SK′_j，并得到再次变换后的粒子序列S″_t；由所述初始子秘密SK_j和中间子秘密SK′_j进行异或运算，得到所述第j个参与者P_j的更新后的初始子秘密所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给所述第l个参与者P_l，l≠j；

步骤1.8、所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S′_t通过量子通道发给所述第l个参与者P_l，l≠j；

步骤1.9、所述第l个参与者P_l根据步骤1.5执行，直至所述秘密分发者Alice收到所有的n个参与者P₁,P₂,...,P_i,...,P_n的1比特的反馈信息；

步骤1.10、所述秘密分发者Alice广播经典信息，通知当前参与者将所拥有的粒子序列通过量子通道送回所述秘密分发者Alice；

步骤1.11、所述秘密分发者Alice收到所述粒子序列后，从N+m个EPR粒子对中随机选出m个EPR粒子对，用于进行安全检测；若安全检测结果为安全，则执行步骤1.12；否则，停止量子秘密共享；

步骤1.12：所述秘密分发者Alice对剩余的N个EPR粒子对进行Bell基测量，得到测量结果；并根据所述测量结果和所记录每个EPR粒子对的初始状态，得到所述2N比特的秘密K_A；

步骤1.13：根据用于安全检测的m个EPR粒子对的公开信息，所述第i个参与者P_i根据自身初始子秘密SK_i或更新后的初始子秘密得到最终的第i个子秘密K_i；

步骤二、所述n个参与者P₁,P₂,...,P_i,...,P_n利用式(1)合作恢复出所述2N比特的秘密K_A：

本发明所述的基于Bell态的量子秘密共享方法的特点也在于，所述安全检测是按如下步骤执行：

步骤a、所述秘密分发者Alice对所选出m个EPR粒子对进行Bell基测量，并记录测量结果；

步骤b、所述秘密分发者Alice公开m个EPR粒子对在所述粒子序列中相应的位置；

步骤c、每个参与者也公开对粒子序列中相应位置上的粒子所执行的单粒子酉操作；

步骤d、所述秘密分发者Alice根据所述m个EPR粒子对的初始状态、所述测量结果以及公开的单粒子酉操作信息判断比特误码率是否低于通信信道的安全阈值，若低于，则表示各参与者诚实执行协议且通信信道是安全的，否则表示有参与者不诚实执行协议或通信信道不安全。

与已有技术相比，本发明的有益效果体现在：

1、本发明通过采用Bell态的粒子对作为量子资源，秘密分发者制备处于Bell态的粒子对序列，把其中一个粒子序列发给参与者，各参与者执行本地的单粒子酉操作，最后再把变换后的粒子序列发回给分发者，从而实现了量子秘密共享，克服了现有技术中量子和经典资源耗费高，存储代价大，操作复杂且效率低等问题，降低了实现的复杂度。

2、本发明中采用超密编码方法，即发送一个单量子比特，可达到传送两比特的经典消息。对应本发明中，对单粒子的一个酉操作可编码为一个两比特的子秘密，单粒子酉操作实现容易，操作简单，降低了计算复杂度。

3、本发明中只需要分发者存储量子资源及执行Bell基测量，各个参与者不需要存储和测量，所以降低了存储代价以及测量的次数和测量的难度。

4、本发明只需要执行一次安全性检测，而且用于安全检测的粒子不需要单独制备，降低了安全性检测的次数和难度。

5、本发明中各个参与者随机选择下一个参与者并把粒子序列发送给所选择的参与者，而且各参与者的子秘密随机动态更新，从而能够抵抗其他参与者的合谋攻击。

6、本发明中除了用于安全检测的粒子外，一个Bell态的粒子对可产生两比特的经典秘密信息，因此量子比特的效率高。并且每个参与者只需反馈1比特的经典信息，所以本方案的总体效率也很高。

具体实施方式

本实施例中，一种基于Bell态的量子秘密共享方法，是存在一个秘密分发者Alice，以及n个参与者P₁,P₂,...,P_i,...,P_n；P_i表示第i个参与者；1≤i≤n；秘密分发者Alic把一个随机的秘密分发给n个参与者，其中每个参与者获得一个子秘密，当n个参与者把他们所有的子秘密堆积在一起时就能恢复出原始分享的秘密，而少于n个参与者则得不到任何有关分享的秘密的信息。本发明采用Bell态作为量子资源，其中每个Bell态中的一个粒子存储在秘密分发者的量子寄存器中，而另一个粒子以一种随机的顺序传送至每一个参与者，进而每个参与者对接收到的每一个粒子执行一个单粒子酉操作。最后当所有的粒子传回至秘密分发者时，秘密分发者Alic再对两个纠缠的粒子对实施Bell基测量。根据初始制备的Bell态以及最终的测量结果，秘密分发者得到分享的秘密，具体的说，该量子秘密共享方法是按如下步骤进行：

步骤一、秘密分发者Alice利用量子方法，将一个随机的2N比特的秘密K_A分发给n个参与者P₁,P₂,...,P_i,...,P_n，任意第i个参与者P_i获取秘密K_A的第i个子秘密K_i：

步骤1.1、秘密分发者Alice制备N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)，其中，(h_r,t_r)表示第r个EPR粒子对，1≤r≤N+m；且第r个EPR粒子对(h_r,t_r)随机处于四个Bell态之一；

四个Bell态定义如下：

秘密分发者Alice记录每个EPR粒子对的初始状态；

步骤1.2、秘密分发者Alice将N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)分成两个粒子序列，包括：S_h＝{h₁,h₂,…,h_r，…,h_N+m}和S_t＝{t₁,t₂,…,t_r，…,t_N+m}；

秘密分发者Alice将粒子序列S_h秘密保存，把另一个粒子序列S_t通过量子通道发送给任意第i个参与者P_i；

步骤1.3、第i个参与者P_i对所接收到的粒子序列S_t中的每个粒子执行一个随机的单粒子酉操作，从而形成第i个参与者P_i的初始子秘密SK_i，并得到变换后的粒子序列S′_t；

所实施的单粒子酉操作是随机的从四个泡利操作{I,σ_z,σ_x,iσ_y}中选取。根据所实施的酉操作，定义每个粒子的初始子秘密：若实施的是I，则初始子秘密为00；若实施的是σ_z，则初始子秘密为01；若实施的是σ_x，则初始子秘密为10；若实施的是iσ_y，则初始子秘密为11。

第i个参与者P_i的初始子秘密SK_i是他对粒子序列S_t中所有粒子变换后所得到的所有粒子的初始子秘密按顺序构成的比特串。

步骤1.4、第i个参与者P_i选取任意第j个参与者P_j并将变换后的粒子序列S′_t通过量子通道发给第j个参与者P_j，i≠j；同时，第i个参与者P_i向秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

步骤1.5、第j个参与者P_j接收到变换后的粒子序列S′_t后，判断是否是第一次接收到粒子序列，若是，则执行步骤1.6；否则，随机执行步骤1.7或步骤1.8；

步骤1.6、第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的初始子秘密SK_j，并得到再次变换后的粒子序列S″_t；第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给第l个参与者P_l，l≠j；同时，第j个参与者P_j向秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

所实施的单粒子酉操作是随机的从四个泡利操作{I,σ_z,σ_x,iσ_y}中选取。根据所实施的酉操作，定义每个粒子的初始子秘密，其定义和步骤1.3中一致。

第j个参与者P_j的初始子秘密SK_j是他对粒子序列S′_t中所有粒子变换后所得到的所有粒子的初始子秘密按顺序构成的比特串。

步骤1.7、第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的中间子秘密SK′_j，并得到再次变换后的粒子序列S″_t；由初始子秘密SK_j和中间子秘密SK′_j进行异或运算，得到第j个参与者P_j的更新后的初始子秘密第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给第l个参与者P_l，l≠j；

所实施的单粒子酉操作和以上步骤一样，是随机的从四个泡利操作{I,σ_z,σ_x,iσ_y}中选取。根据所实施的酉操作，定义每个粒子的中间子秘密和每个粒子的初始子秘密，其定义与以上步骤一致。第j个参与者P_j的中间子秘密SK′_j是他得到的所有粒子的中间子秘密按顺序构成的比特串。

第j个参与者P_j更新后的初始子秘密为：

步骤1.8、第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S′_t通过量子通道发给第l个参与者P_l，l≠j；

步骤1.9、第l个参与者P_l根据步骤1.5执行，直至秘密分发者Alice收到所有的n个参与者P₁,P₂,...,P_i,...,P_n的1比特的反馈信息；

步骤1.10、秘密分发者Alice广播经典信息，通知当前参与者将所拥有的粒子序列S_t*通过量子通道送回秘密分发者Alice；

步骤1.11、秘密分发者Alice收到粒子序列后，从N+m个EPR粒子对中随机选出m个EPR粒子对，用于进行安全检测；若安全检测结果为安全，则执行步骤1.12；否则，停止量子秘密共享；

具体的说，安全检测是按如下步骤进行：

步骤a、秘密分发者Alice对所选出m个EPR粒子对进行Bell基测量，并记录测量结果；

步骤b、秘密分发者Alice公开m个EPR粒子对在粒子序列中相应的位置；

步骤c、每个参与者也公开对粒子序列中相应位置上的粒子所执行的单粒子酉操作；

步骤d、秘密分发者Alice根据m个EPR粒子对的初始状态、测量结果以及公开的单粒子酉操作信息判断比特误码率是否低于通信信道的安全阈值，若低于，则表示各参与者诚实执行协议且通信信道是安全的，否则表示有参与者不诚实执行协议或通信信道不安全。

步骤1.12、秘密分发者Alice对剩余的N个EPR粒子对进行Bell基测量，得到测量结果；并根据测量结果和所记录每个EPR粒子对的初始状态，得到2N比特的秘密K_A；

根据所记录的每个EPR粒子对的初始状态，定义第r(1≤r≤N)个粒子对的初始秘密：若Bell态为|φ⁺>，则初始秘密为00；若Bell态为|φ^->，则初始秘密为01；若Bell态为|ψ⁺>，则初始秘密为10；若Bell态为|ψ^->，则初始秘密为11。秘密分发者Alice的初始秘密是所有剩余的N个粒子对的初始秘密按顺序构成的比特串。

根据测量结果，定义第r(1≤r≤N)个粒子对的最终秘密，其定义同上。秘密分发者Alice的最终秘密是所有剩余的N个粒子对的最终秘密按顺序构成的比特串。

秘密分发者Alice的2N比特的秘密K_A由Alice的初始秘密和最终秘密进行异或运算得到。

步骤1.13、根据用于安全检测的m个EPR粒子对的公开信息，第i个参与者P_i根据自身初始子秘密SK_i或更新后的初始子秘密得到最终的第i个子秘密K_i；1≤i≤n；

第i个参与者P_i的子秘密K_i是除去用于安全检测的m个粒子，剩余的N个粒子的初始子秘密或更新后的初始子秘密。

步骤二、n个参与者P₁,P₂,...,P_i,...,P_n利用式(6)合作恢复出2N比特的秘密K_A：

上述基于Bell态的量子秘密共享方法，其正确性证明如下：

对两比特二进制串xy和i_kj_k(k＝1,2,...,n)，其中x,y,i_k,j_k∈{0,1}：

定义四个Bell态{|φ⁺>,|φ^->,|ψ⁺>,|ψ^->}为|R_x,y>(x,y∈{0,1})，具体表示为：|R_0,0>＝|φ⁺>；|R_0,1>＝|φ^->；|R_1,0>＝|ψ⁺>；|R_1,1>＝|ψ^->。可以看出两比特二进制串xy的值对应着Alice的第r(r＝1,2,...,N)个粒子对的初始秘密。

定义四个单粒子酉操作{I,σ_z,σ_x,iσ_y}为U_i,j(i,j∈{0,1})，具体表示为：U_0,0＝I；U_0,1＝σ_z；U_1,0＝σ_x；U_1,1＝iσ_y。可以看出两比特二进制串ij的值对应着第l(l＝1,2,...,n)个参与者P_l的第r(r＝1,2,...,N)个粒子的初始子秘密。

因为，

其中i_k,j_k∈{0,1}(k＝1,2,...,n)。

有：

对应到本方法中，即秘密分发者Alice的每个EPR粒子对初始秘密和最终秘密的异或，等于各参与者对应位置的粒子的子秘密的异或。而秘密分发者Alice的初始秘密是所有的EPR粒子对的初始秘密按顺序构成的比特串，最终秘密是所有的变换后的EPR粒子对的最终秘密按顺序构成的比特串，秘密分发者Alice的初始秘密和最终秘密的异或运算得到他的2N比特的秘密K_A。各个参与者的子秘密是所有粒子的子秘密按顺序构成的比特串。所以，进一步可得到：

本发明基于Bell态的量子秘密共享方法的安全性基于量子力学基本原理，具体分析如下：

相对于外部窃听者，不诚实的参与者更具有优势，因为参与者可以合法的知道部分信息，而且为了避免引起错误，可能在安全性检测阶段撒谎。因此，量子秘密共享方案的主要安全目标是防止不诚实的参与者欺骗。本方案是(n,n)门限的量子秘密共享，因此只需证明至多n-1个参与者不能恢复出分发者的秘密，则说明本方案是安全的。

首先证明任何参与者共谋不能获知其他参与者的酉操作信息，即不能获知其他参与者的子秘密。每个参与者执行的酉操作是随机的从四个泡利操作{I,σ_z,σ_x,iσ_y}中选取的，如果此参与者执行这四个泡利操作之一于单粒子上，如这里|α|²+|β|²＝1，他将得到以下四个量子态：

可以看出这四个量子态不完全正交。根据量子力学基本原理，非正交状态不能可靠区分。并且本方案是让参与者发送粒子序列给下一个随机的参与者，使得参与者不知道他和谁共谋，所以也就不能获知其他参与者的酉操作。同理，外部窃听者不能获知各参与者的子秘密。

接下来证明任意少于n个参与者不能恢复出分发者的秘密。不失一般性，假定n-1个参与者合谋以试图恢复出分发者的秘密。由于分发者的秘密是由各个参与者的子秘密通过异或操作来恢复的，所以任意n-1个参与者，在不知道剩余一个参与者的子秘密的情况下，不能恢复出分发者的秘密。如果任意的n-1个参与者想要恢复出分发者的秘密，他们必须有能力知道分发者的初始秘密和最终秘密，即必须知道初始的Bell态和最终的Bell态。由于分发者只发送EPR对的一个粒子序列给参与者，所以此n-1个参与者不能获知初始的Bell态。并且只对EPR对的一个粒子序列做酉操作，所以此n-1个参与者不能获知最终的Bell态。所以此n-1个参与者不能获知分发者的秘密。

假设有一个不诚实的参与者，当分发者发送给其他参与者粒子序列时他可以截取，然后重发一些由他自己制备的假的粒子序列给其他参与者(也就是截取-重放攻击)。在本方案中，分发者和所有的参与者建立共享秘密之前要执行一个安全性检测程序。即分发者随机选取m个EPR对作为安全性检测的粒子对，要发送的粒子序列中相应的m个位置的粒子是安全性检测粒子，各个参与者依次执行酉操作于上，发回给分发者后，分发者执行Bell基测量，根据测量结果，初始的Bell态以及这些酉操作即可判定是否存在欺骗。如果不诚实的参与者执行截取-重放攻击，他不知道安全性检测粒子的位置，也不知这些粒子的状态，因为初始EPR对是随机的从{|φ⁺>,|φ^->,|ψ⁺>,|ψ^->}中选取，因此欺骗不被检测到的概率为(1/4)^m。

另外，想要获取分发者的秘密，此n-1个参与者剩下能做的是发送假的检测信息或对每个粒子纠缠一个辅助粒子，但这两种做法都会在安全性检测程序中被检测到。先分析第一个做法，发送假的检测信息给分发者。也就是说此n-1个参与者公开的不是正确的酉操作，而是其他的酉操作。但由于这些参与者不知道用于安全性检测粒子的位置，当他们公开的是假的酉操作时，分发者根据用于安全性检测位置的EPR对的初始态和测量结果，结合这些酉操作就可以检测出欺骗。另一种做法是对每个粒子纠缠一个辅助粒子，不失一般性，假定其中的一个不诚实参与者制备一个辅助粒子，并且可以通过一个酉操作U使得他的辅助粒子和他实际收到的粒子纠缠，表示如下：

其中是Bell态，即属于{|φ⁺>,|φ^->,|ψ⁺>,|ψ^->}，|ε>是辅助粒子的初始态，|ε₁>和|ε₂>是经过酉操作U后的辅助粒子的状态。为了在之后的安全性检测中不引起错误，U必须满足：或可以看出要想在安全性检测中不引起错误，辅助粒子和真实收到的粒子态必须是直积态。所以这种攻击也是无效的。

综上所述，本方案有效地解决了现有量子秘密分享过程中检测参与者欺诈及通道安全复杂且效率低等问题，同时节约了经典和量子资源，降低了操作复杂性并保证更高的量子效率。

Claims (2)

1.一种基于Bell态的量子秘密共享方法，其特征是包括：一个秘密分发者Alice，以及n个参与者P₁,P₂,...,P_i,...,P_n；P_i表示第i个参与者；1≤i≤n；所述量子秘密共享方法是按如下步骤进行：

步骤一、所述秘密分发者Alice利用量子方法，将一个随机的2N比特的秘密K_A分发给所述n个参与者P₁,P₂,...,P_i,...,P_n，任意第i个参与者P_i获取所述秘密K_A的第i个子秘密K_i：

步骤1.1、所述秘密分发者Alice制备N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)，其中，(h_r,t_r)表示第r个EPR粒子对，1≤r≤N+m；且第r个EPR粒子对(h_r,t_r)随机处于四个Bell态之一；

所述秘密分发者Alice记录每个EPR粒子对的初始状态；

步骤1.2、所述秘密分发者Alice将所述N+m个EPR粒子对(h₁,t₁),(h₂,t₂)，…，(h_r,t_r)，…，(h_N+m,t_N+m)分成两个粒子序列，包括：S_h＝{h₁,h₂,…,h_r，…,h_N+m}和S_t＝{t₁,t₂,…,t_r，…,t_N+m}；

所述秘密分发者Alice将粒子序列S_h秘密保存，把另一个粒子序列S_t通过量子通道发送给任意第i个参与者P_i；

步骤1.3、所述第i个参与者P_i对所接收到的粒子序列S_t中的每个粒子执行一个随机的单粒子酉操作，从而形成第i个参与者P_i的初始子秘密SK_i，并得到变换后的粒子序列S′_t；

步骤1.4、所述第i个参与者P_i选取任意第j个参与者P_j并将变换后的粒子序列S′_t通过量子通道发给所述第j个参与者P_j，i≠j；同时，所述第i个参与者P_i向所述秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

步骤1.5、所述第j个参与者P_j接收到所述变换后的粒子序列S′_t后，判断是否是第一次接收到粒子序列，若是，则执行步骤1.6；否则，随机执行步骤1.7或步骤1.8；

步骤1.6、所述第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的初始子秘密SK_j，并得到再次变换后的粒子序列S″_t；所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给所述第l个参与者P_l，l≠j；同时，所述第j个参与者P_j向所述秘密分发者Alice通过经典信道返回1比特的反馈信息，表明已获得相应的初始子秘密；

步骤1.7、所述第j个参与者P_j对所接收到的粒子序列S′_t中的每个粒子执行一个随机的单粒子酉操作；从而形成第j个参与者P_j的中间子秘密SK′_j，并得到再次变换后的粒子序列S″_t；由所述初始子秘密SK_j和中间子秘密SK_j′进行异或运算，得到所述第j个参与者P_j的更新后的初始子秘密所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S″_t通过量子通道发给所述第l个参与者P_l，l≠j；

步骤1.8、所述第j个参与者P_j选取任意第l个参与者P_l并将变换后的粒子序列S′_t通过量子通道发给所述第l个参与者P_l，l≠j；

步骤1.9、所述第l个参与者P_l根据步骤1.5执行，直至所述秘密分发者Alice收到所有的n个参与者P₁,P₂,...,P_i,...,P_n的1比特的反馈信息；

步骤1.10、所述秘密分发者Alice广播经典信息，通知当前参与者将所拥有的粒子序列通过量子通道送回所述秘密分发者Alice；

步骤1.11、所述秘密分发者Alice收到所述粒子序列后，从N+m个EPR粒子对中随机选出m个EPR粒子对，用于进行安全检测；若安全检测结果为安全，则执行步骤1.12；否则，停止量子秘密共享；

步骤1.12：所述秘密分发者Alice对剩余的N个EPR粒子对进行Bell基测量，得到测量结果；并根据所述测量结果和所记录每个EPR粒子对的初始状态，得到所述2N比特的秘密K_A；

步骤1.13：根据用于安全检测的m个EPR粒子对的公开信息，所述第i个参与者P_i根据自身初始子秘密SK_i或更新后的初始子秘密得到最终的第i个子秘密K_i；

步骤二、所述n个参与者P₁,P₂,...,P_i,...,P_n利用式(1)合作恢复出所述2N比特的秘密K_A：

<mrow> <msub> <mi>K</mi> <mi>A</mi> </msub> <mo>=</mo> <msub> <mi>K</mi> <mn>1</mn> </msub> <mo>&amp;CirclePlus;</mo> <msub> <mi>K</mi> <mn>2</mn> </msub> <mo>&amp;CirclePlus;</mo> <mo>...</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>K</mi> <mi>i</mi> </msub> <mo>&amp;CirclePlus;</mo> <mo>...</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>K</mi> <mi>n</mi> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> <mo>.</mo> </mrow>

2.根据权利要求1所述的基于Bell态的量子秘密共享方法，其特征是，所述安全检测是按如下步骤执行：

步骤a、所述秘密分发者Alice对所选出m个EPR粒子对进行Bell基测量，并记录测量结果；

步骤b、所述秘密分发者Alice公开m个EPR粒子对在所述粒子序列中相应的位置；

步骤c、每个参与者也公开对粒子序列中相应位置上的粒子所执行的单粒子酉操作；

步骤d、所述秘密分发者Alice根据所述m个EPR粒子对的初始状态、所述测量结果以及公开的单粒子酉操作信息判断比特误码率是否低于通信信道的安全阈值，若低于，则表示各参与者诚实执行协议且通信信道是安全的，否则表示有参与者不诚实执行协议或通信信道不安全。