背景技术
众所周知,量子密码是量子力学在密码领域的一个重要应用。不同于经典密码,量子密码利用量子力学的规律理论上可达到无条件安全性。至今,许多有趣和有用的分支已从量子密码诞生出来,如量子密钥分配(Quantum key distribution,QKD)[1-5]、量子安全直接通信(Quantum secure direct communication,QSDC)[6-13]、量子秘密共享(Quantumsecret sharing,QSS) [14-18]等。
安全多方计算(Secure multi-user computation,SMC)是经典密码学的一个重要话题。相应地,作为SMC在量子力学领域的对应物,量子安全多方计算 (Quantum securemulti-user computation,QSMC)在近年来也已经赢得越来越多的关注。量子隐私比较(Quantum private comparison,QPC),作为一种重要的QSMC,致力于利用量子信号的传送实现两个用户秘密的相等性比较而不泄露它们的真实内容。QPC在2009年被Yang和Wen[19]首次提出,在近年已经得到很大的发展以致于许多QPC方法已经通过利用不同的量子态被设计出来,如基于单光子的[20-22]、两粒子乘积态的[23-24]、Bell态的[19,21,25-33]、GHZ 态的[34-37]、W态的[33,38-39]、团簇态的[40-41]、χ型纠缠态的[42-44]、五粒子纠缠态的[45]、六粒子纠缠态的[46]和多级量子系统的[47-48]。Lo[49]指出,在两方情形下设计一个安全的相等性函数是不可能的,因此一些额外的假设,如一个TP,总是被QPC需要。在被重新检查后,很容易就可以发现以上所有 QPC方法[19-48]都需要所有用户具备量子能力。然而,在现实中有时这是不切实际的,因为并不是所有用户都能负担得起昂贵的量子资源和操作。
在2007年,利用著名的BB84方法[1],Boyer等[50]首次提出半量子的概念,意味着在一个量子密码方法中,没必要要求所有用户都具备量子能力。Boyer等 [50]的方法是一个带测量-重发特征的半量子密钥分配(Semi-quantum key distribution,SQKD)方法。在这个方法中,接收者Bob被受限而只能执行以下操作:①用固定的正交基{|0>,|1>}测量量子比特;②制备(新的)量子比特处于固定的正交基{|0>,|1>};③发送或返回量子比特而不受干扰。固定的正交基 {|0>,|1>}被认为是经典基,因为它不涉及任何量子叠加态。随后,在2009年, Boyer等[51]也利用单光子设计出一个带置乱特征的SQKD方法。在这个方法中,接收者Bob被受限而只能执行①、③和④(利用不同延迟线)对量子比特重新排序。文献[50-51]的SQKD方法被普遍认为是半量子密码领域最具代表性的先驱性工作。根据文献[50-51],只被允许执行①、②、③和④的用户被认为是经典的。
由于半量子的有趣性质,在被发明后,它被迅速地吸收进传统QKD、QSDC、 QSS、量子密钥协商(Quantum key agreement,QKA)、受控确定性安全量子通信(Controlleddeterministic secure quantum communication,CDSQC)和量子对话(Quantum dialogue,QD)以致于SQKD[50-67]、半量子安全直接通信 (Semi-quantum secure directcommunication,SQSDC)[54,68]、半量子秘密共享 (Semi-quantum secret sharing,SQSS)[69-73]、半量子密钥协商(Semi-quantum key agreement,SQKA)[74-75]、受控确定性安全半量子通信(Controlled deterministic secure semi-quantum communication,CDSSQC)[75]和半量子对话(Semi-quantum dialogue,SQD)[75-76]分别被产生出来。自然而然地,一个有趣的问题会显现出来:半量子的概念能否被吸收进传统QPC来实现半量子隐私比较(Semi-quantumprivate comparison,SQPC)?如果这个问题的答案是肯定的,在一个量子TP的帮助下实现两个经典用户之间秘密的相等性比较也许变成可能的。幸运地是,Chou等[77]和Thapliyala等[78]提出两个不同SQPC方法给了这个问题一个肯定的答案。可以发现,这两个SQPC方法采用Bell纠缠态作为初始制备量子资源且需要TP进行Bell态测量。而且,文献[77]的SQPC方法需采用量子纠缠交换。
基于以上分析,为了改进先前SQPC方法的性能,本发明致力于仅利用两粒子乘积态作为初始制备量子资源设计一个带测量-重发特征的SQPC方法。与先前的SQPC方法相比,本发明方法的优势在于它仅采用两粒子乘积态作为初始制备量子资源、只要求TP进行单光子测量以及不需要进行量子纠缠交换。
参考文献
[1]Bennett C H,Brassard G.Quantum cryptography:public-keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers, Systems and Signal Processing.Bangalore:IEEE Press,1984,175-179
[2]Ekert A K.Quantum cryptography based on Bell's theorem.Phys RevLett,1991, 67(6):661-663
[3]Bennett C H,Brassard G,Mermin N D.Quantum cryptography withoutBell theorem.Phys Rev Lett,1992,68:557-559
[4]Cabello A.Quantum key distribution in the Holevo limit.Phys RevLett,2000, 85:5635
[5]Zhang C M,Song X T,Treeviriyanupab P,et al..Delayed errorverification in quantum key distribution.Chin Sci Bull,2014,59(23):2825-2828
[6]Long G L,Liu X S.Theoretically efficient high-capacity quantum-key- distribution scheme.Phys Rev A,2002,65:032302
[7]Bostrom K,Felbinger T.Deterministic secure direct communicationusing entanglement.Phys Rev Lett,2002,89:187902
[8]Deng F G,Long G L,Liu X S.Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A,2003,68:042317
[9]Deng F G,Long G L.Secure direct communication with a quantum one-time pad. Phys Rev A,2004,69:052319
[10]Chen X B,Wen Q Y,Guo F Z,Sun Y,Xu G,Zhu F C.Controlled quantumsecure direct communication with W state.Int J Quant Inform,2008,6(4):899-906
[11]Gu B,Huang Y G,Fang X,Zhang C Y.A two-step quantum secuure directcommunication protocol with hyperentanglement.Chin Phys B,2011,20(10): 100309
[12]Liu D,Chen JL,Jiang W.High-capacity quantum secure directcommunication with single photons in both polarization and spatial-modedegrees of freedom.Int J Theor Phys,2012,51:2923-2929
[13]Chang Y,Xu C X,Zhang S B,et al..Controlled quantum secure directcommunication and authentication protocol based on five-particle clusterstate and quantum one-time pad.Chin Sci Bull,2014,59(21):2541-2546
[14]Hillery M,Buzek V,Berthiaume A.Quantum secret sharing.Phys Rev A,1999, 59:1829-1834
[15]Karlsson A,Koashi M,Imoto N.Quantum entanglement for secretsharing and secret splitting.Phys Rev A,1999,59:162-168
[16]Xiao L,Long G L,Deng F G,Pan J W.Efficient multiparty quantum-secret- sharing schemes.Phys Rev A,2004,69:052307
[17]Hao L,Li J L,Long G L.Eavesdropping in a quantum secret sharingprotocol based on Grover algorithm and its solution.Sci China Ser G-Phys MechAstron, 2010,53(3):491-495
[18]Hao L,Wang C,Long G L.Quantum secret sharing protocol with fourstate Grover algorithm and its proof-of-principle experimentaldemonstration.Opt Commun,2011,284:3639-3642
[19]Yang Y G,Wen Q Y.An efficient two-party quantum privatecomparison protocol with decoy photons and two-photon entanglement.J Phys A:Math and Theor,2009,42(5):055305
[20]Yang Y G,Gao W F,Wen Q Y.Secure quantum private comparison.PhysScr, 2009,80(6):065002
[21]Chen X B,Su Y,Niu X X,Yang Y X.Efficient and feasible quantumprivate comparison of equality against the collective amplitutude dampingnoise.Quantum Inf Process,2014,13(1):101-112
[22]Liu B,Gao F,Jia H Y,Huang W,Zhang W W,Wen Q Y.Efficient quantumprivate comparison employing single photons and collective detection.QuantumInf Process,2013,12(2):887-897
[23]Yang Y G,Xia J,Jia X,Shi L,Zhang H.New quantum private comparisonprotocol without entanglement.Int J Quant Inform,2012,10(6):1250065
[24]Ye T Y.Quantum private comparison via cavity QED.Commun TheorPhys, 2017,67(2):147-156
[25]Liu W,Wang Y B,Cui W.Quantum private comparison protocol based onBell entangled states.Commun Theor Phys,2012,57(4):583-588
[26]Zi W,Guo F Z,Luo Y,Cao S H,Wen Q Y.Quantum private comparisonprotocol with the random rotation.Int J Theor Phys,2013,52(9):3212-3219
[27]Tseng H Y,Lin J,Hwang T.New quantum private comparison protocolusing EPR pairs.Quantum Inf Process,2012,11(2):373-384
[28]Wang C,Xu G,Yang Y X.Cryptanalysis and improvements for thequantum private comparison protocol using EPR pairs.Int J Quant Inform,2013,11(4): 1350039
[29]Yang Y G,Xia J,Jia X,Zhang H.Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process,2013,12(2):877- 885
[30]Zhang W W,Zhang K J.Cryptanalysis and improvement of the quantumprivate comparison protocol with semi-honest third party.Quantum Inf Process,2013, 12(5):1981-1990
[31]Lin J,Yang C W,Hwang T.Quantum private comparison of equalityprotocol without a third party.Quantum Inf Process,2014,13(2):239-247
[32]Zhang B,Liu X T,Wang J,Tang C J.Cryptanalysis and improvement ofquantum private comparison of equality protocol without a third party.QuantumInf Process,2015,14(12):4593-4600
[33]Li J,Zhou H F,Jia L,Zhang T T.An efficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys,2014,53(7):2167-2176
[34]Chen X B,Xu G,Niu X X,Wen Q Y,Yang Y X.An efficient protocol forthe private comparison of equal information based on the triplet entangledstate and single-particle measurement.Opt Commun,2010,283(7):1561-1565
[35]Lin J,Tseng H Y,Hwang T.Intercept-resend attacks on Chen et al.′squantum private comparison protocol and the improvements.Opt Commun,2011,284(9): 2412-2414
[36]Liu W,Wang Y B.Quantum private comparison based on GHZ entangledstates. Int J Theor Phys,2012,51(11):3596-3604
[37]Chang Y J,Tsai C W,Hwang T.Multi-user private comparison protocolusing GHZ class states.Quantum Inf Process,2013,12(2):1077-1088
[38]Liu W,Wang Y B,Jiang Z T.An efficient protocol for the quantumprivate comparison of equality with W state.Opt Commun,2011,284(12):3160-3163
[39]Zhang W W,Li D,Li Y B.Quantum private comparison protocol with Wstates. Int J Theor Phys,2014,53(5):1723-1729
[40]Xu G A,Chen X B,Wei Z H,Li M J,Yang Y X.An efficient protocol forthe quantum private comparison of equality with a four-qubit clusterstate.Int J Quant Inform,2012,10(4):1250045
[41]Sun Z W,Long D Y.Quantum private comparison protocol based oncluster states.Int J Theor Phys,2013,52(1):212-218
[42]Liu W,Wang Y B,Jiang Z T,Cao Y Z.A protocol for the quantumprivate comparison of equality withχ-type state.Int J Theor Phys,2012,51(1):69-77
[43]Liu W,Wang Y B,Jiang Z T,Cao Y Z,Cui W.New quantum privatecomparison protocol usingχ-type state.Int J Theor Phys,2012,51(6):1953- 1960
[44]Lin S,Guo G D,Liu X F.Quantum private comparison of equality withχ-type entangled states.Int J Theor Phys,2013,52(11):4185-4194
[45]Ye T Y,Ji Z X.Two-party quantum private comparison with five-qubit entangled states.Int J Theor Phys,2017,56(5):1517-1529
[46]Ji Z X,Ye T Y.Quantum private comparison of equal informationbased on highly entangled six-qubit genuine state.Commun Theor Phys,2016,65(6):711- 715
[47]Liu W,Wang Y B,Wang X M.Multi-party quantum private comparisonprotocol using d-dimensional basis states without entanglement swapping.Int JTheor Phys,2014,53(4):1085-1091
[48]Wang Q L,Sun H X,Huang W.Multi-party quantum private comparisonprotocol with n-level entangled states.Quantum Inf Process,2014,13(11): 2375-2389
[49]Lo H K.Insecurity of quantum secure computations.Phys Rev A,1997,56(2): 1154-1162
[50]Boyer M,Kenigsberg D,Mor T.Quantum key distribution withclassical Bob. Phys Rev Lett,2007,99(14):140501
[51]Boyer M,Gelles R,Kenigsberg D,Mor T.Semiquantum keydistribution.Phys Rev A,2009,79(3):032341
[52]Lu H,Cai Q Y.Quantum key distribution with classical Alice.Int JQuant Inform,2008,6(6):1195-1202
[53]Zou X F,Qiu D W,LiL Z,Wu L H,Li L J.Semiquantum-key distributionusing less than four quantum states.Phys Rev A,2009,79(5):052312
[54]Sun Z W,Du R G,Long D Y.Quantum key distribution with limitedclassical Bob.Int J Quant Inform,2013,11(1):1350005
[55]Zou X F,Qiu D W,Zhang S Y,Mateus P.Semiquantum key distributionwithout invoking the classical party’s measurement capability.Quantum InfProcess,2015,14(8):2981-2996
[56]Zhang W,Qiu D W.A single-state semi-quantum key distributionprotocol and its security proof.2017,http://arxiv.org/pdf/quant-ph/161203087.pdf
[57]Krawec W O.Restricted attacks on semi-quantum key distributionprotocols. Quantum Inf Process,2014,13(11):2417-2436
[58]Krawec W O.Security of a semi-quantum protocol where reflectionscontribute to the secret key.Quaantum Inf Process,2016,15(5):2067-2090
[59]Boyer M,Mor T.Comment on“Semiquantum-key distribution using lessthan four quantum states”.Phys Rev A,2011,83(4):046301
[60]Zou X F,Qiu D W.Reply to“Comment on‘Semiquantum-key distributionusing less than four quantum states’”.Phys Rev A,2011,83(4):046302
[61]Wang J,Zhang S,Zhang Q,Tang C J.Semiquantum key distributionusing entangled states.Chin Phys Lett,2011,28(10):100301
[62]Krawec W O.Mediated semi-quantum key distribution.Phys Rev A,2015, 91(3):032323
[63]Boyer M,Katz M,Liss R,Mor T.A new and feasible protocol for semi-quantum key distribution.2017,http://arxiv.org/pdf/quant-ph/170107044.pdf
[64]Tan Y G,Lu H,Cai Q Y.Comment on“Quantum key distribution withclassical Bob”.Phys Rev Lett,2009,102(9):098901
[65]Zhang X Z,Gong W G,Tan Y G,Ren Z Z,Guo X T.Quantum keydistribution series network protocol with M-classical Bobs.Chin Phys B,2009,18(6):2143- 2148
[66]Krawec W O.Security proof of a semi-quantum key distributionprotocol.In: Proceedings of the 2015 IEEE International Symposium onInformation Theory (ISIT),Hong Kong:IEEE Press,2015,pp.686-690
[67]Zhang W,Qiu D W,Mateus P.Security of a single-state semi-quantumkey distribution protocol.2016,http://arxiv.org/pdf/quant-ph/161203170.pdf
[68]Zou X F,Qiu D W.Three-step semiquantum secure directcommunication protocol.Sci China-Phys Mech Astron,2014,57(9):1696-1702
[69]Li Q,Chan W H,Long D Y.Semiquantum secret sharing using entangledstates. Phys Rev A,2010,82(2):022303
[70]Wang J,Zhang S,Zhang Q,Tang C J.Semiquantum secret sharing usingtwo-particle entangled state.Int J Quant Inform,2012,10(5):1250050
[71]Li L Z,Qiu D W,Mateus P.Quantum secret sharing with classicalBobs.J Phys A:Math and Theor,2013,46(4):045304
[72]Xie C,Li L Z,Qiu D W.A novel semi-quantum secret sharing schemeof specific bits.Int J Theot Phys,2015,54(10):3819-3824
[73]Yang C W,Hwang T.Efficient key construction on semi-quantumsecret sharing protocols.Int J Quant Inform,2013,11(5):1350052
[74]Liu W J,Chen Z Y,Ji S,Wang H B,Zhang J.Multi-party semi-quantumkey agreement with delegating quantum computation.Int J Theor Phys,2017,56:3164-3174
[75]Shukla C,Thapliyal K,Pathak A.Semi-quantum communication:protocols for key agreement,controlled secure direct communication anddialogue.Quantum Inf Process,2017,16:295
[76]Ye T Y,Ye C Q.Semi-quantum dialogue based on single photons.Int JTheor Phys,2018,57(5),1440-1454
[77]Chou W H,Hwang T,Gu J.Semi-quantum private comparison protocolunder an almost-dishonest third party.http://arxiv.org/pdf/quant-ph/160707961.pdf
[78]Thapliyala K,Sharmab R D,Pathak A.Orthogonal-state-based andsemi- quantum protocols for quantum private comparison in noisy environment.http://arxiv.org/pdf/quant-ph/160800101.pdf
[79]Cai Q Y.EavesdroPping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A,2006,351(1-2):23-25
[80]Gisin N,Ribordy G,Tittel W,Zbinden H.Quantum cryptography.Rev ModPhys,2002,74(1):145-195
[81]Deng F G,Zhou P,Li X H,Li C Y,Zhou HY.Robustness oftwo-wayquantum communication protocols against Trojan horse attack.2005,http://arxiv.org/pdf/ quant-ph/0508168.pdf
[82]Li X H,Deng F G,Zhou H Y.Improving the security of secure directcommunication based on the secret transmitting order of particles.Phys Rev A,2006,74:054302
[83]Gao F,Qin S J,Wen Q Y,Zhu F C.A simple participant attack on theBradler-Dusek protocol.Quantum Inf Comput,2007,7:329
[84]Brunel C,Lounis B,Tamarat P,et al..Triggered source of singlephotons based on controlled single molecule fluorescence.Phys Rev Lett,1999,83:2722-2725
[85]Michler P,Kiraz A,Becher C,et al..A quantum dot single-photonturnstile device.Science,2000,290:2282-2285
[86]You L X,Shen X F,Yang X Y.Single photon response ofsuperconducting nanowire single photon detector.Chin Sci Bull,2010,55:441-445
具体实施方式
下面结合本发明的具体步骤对本发明的技术方案做进一步描述。
1半量子隐私比较方法
有两个经典用户,Bob和Charlie,每个人都拥有一个秘密。她们的秘密分别被表示为X和Y,其中和xj,yj∈{0,1}。她们想在一个量子TP的帮助下判定X和Y是否相等。Yang等[29]的半忠诚TP模型意味着TP被允许按照自己意愿错误行事但不能与用户合谋,被普遍认为是TP最合理的假设。本发明的方法自然而然就采用这个模型。
受文献[71]的SQSS方法的启发,本发明设计测量-重发SQPC方法如下所示。
S1)Bob(Charlie)将他的(她的)X(Y)的二进制表示划分为L组其中每组包含一个二进制比特。Bob和Charlie 利用文献[52]Lu和Cai提出的三方环形SQKD方法事先共享一个长度为L的密钥序列KBC。这里,是KBC的第i比特,其中以及i=1,2,...,L。
S2)TP制备N=8L(1+δ)个两粒子乘积态都处于|++>BC,其中δ是某个大于0的固定参数。这些两粒子乘积态被表示为 {(B1,C1),(B2,C2),…,(BN,CN)},其中字母B和C表示每个两粒子乘积态的两个粒子,下标指示两粒子乘积态的顺序。TP从每个两粒子乘积态中挑出粒子B和C 以分别形成序列SB和SC。也就是,SB={B1,B2,…,BN}和SC={C1,C2,…,CN}。最后,TP将序列SB发送给Bob,序列SC发送给Charlie。
S3)当每个粒子到达时,Bob随机选择将它直接返回给TP(这个行动被称为CTRL)或用σZ基测量它并将他发现的量子态重发给TP(这个行动被称为 SIFT)。类似地,当每个粒子到达时,Charlie随机选择进行CTRL或SIFT。
S4)TP告诉Bob和Charlie他已经收到粒子,并将收到的粒子用量子存储器保存起来。Bob和Charlie公布她们选择进行CRTL的粒子的位置。
S5)TP根据Bob和Charlie的选择对收到的粒子施加表1所示的相应操作。
(a)如果Bob和Charlie选择进行CTRL,TP执行OPERATION 1。在这种情形下,TP能检测出他与Bob之间的线路或他与Charlie之间的线路是否存在一个Eve。如果两条线路上都不存在Eve,在三个参与者的操作后,TP应当得到|++>BC;
(b)如果Bob选择进行CTRL以及Charlie选择进行SIFT,TP执行 OPERATION 2。在这种情形下,TP能检测出他与Bob之间的线路是否存在一个Eve。如果他与Bob之间的线路不存在Eve,在三个参与者的操作后,TP应当得到|+0>BC或|+1>BC;
(c)如果Bob选择进行SIFT以及Charlie选择进行CTRL,TP执行 OPERATION 3。在这种情形下,TP能检测出他与Charlie之间的线路是否存在一个Eve。如果他与Charlie之间的线路不存在Eve,在三个参与者的操作后, TP应当得到|0+>BC或|1+>BC;
(d)如果Bob和Charlie都选择进行SIFT,TP执行OPERATION 4。测量结果|0>对应经典比特0,测量结果|1>对应经典比特1。这些经典比特被称为SIFT 比特。如果两条线路上都不存在Eve,在三个参与者的操作后,她们的测量结果以及SIFT比特应当具有表2所示的关系。需要强调的是,TP的一对SIFT比特对应Bob的一个SIFT比特和Charlie的一个SIFT比特。
在每种情形下,大约有个两粒子乘积态被三个参与者操作。
S6)TP计算情形(a)、(b)和(c)的错误率。如果任何情形的错误率高于某个预定的阈值,通信将被终止;否则,通信将被继续。
S7)TP按如下所示计算情形(d)的错误率:他随机选择出L对SIFT比特作为TEST比特并宣布它们的位置。然后,他让Bob和Charlie公布她们相应SIFT 比特的值。在听到Bob和Charlie的宣布后,他通过将他自己SIFT比特对的值与Bob和Charlie相应SIFT比特的值进行比较计算出TEST比特的错误率。如果错误率高于某个预定的阈值,通信将被终止;否则,通信将被继续。另外,如果在步骤S7或S8没有足够的比特被操作,通信也将被终止;这种情况以指数小的概率发生。
S8)为了加密他(她)自己的秘密,Bob(Charlie)从剩余SIFT比特随机选出L个比特作为一次一密密钥。令表示Bob(Charlie)的第i比特一次一密密钥,其中i=1,2,...,L。Bob(Charlie)公布他(她)的一次一密密钥比特在剩余SIFT比特的位置。然后,Bob(Charlie)计算 这里,是模2加操作。最后,Bob(Charlie)向 TP公布RB(RC),其中值得强调的是,在听到Bob(Charlie)的一次一密密钥比特在剩余SIFT比特中的位置后,由于情形(d)的OPERATION 4,TP能知道MB(MC)的值。这里,
S9)对于i=1,2,...,L:TP计算如果Ri≠0, TP将得出X≠Y。否则,他将设置i=i+1并从这步骤的开始重复。如果他最后发现Ri=0对于所有的i都成立,他将得出X=Y。最后,TP告诉Bob和 Charlie X和Y的比较结果。
在本发明的方法中,TP需要制备两粒子乘积态和进行σZ基与σX基测量。因此,TP需具备量子能力。另一方面,Bob和Charlie都被限制而只能执行以下三种操作:1)用σZ基测量量子比特;2)制备(新的)量子比特处于σZ基;3) 发送或不带干扰地返回量子比特。因此,Bob和Charlie都没必要具备量子能力。可以得出结论,本发明的方法的确是个SQPC方法。
2输出正确性分析
在本发明的方法中,两个经典用户,Bob和Charlie,分别拥有和她们在一个半忠诚量子TP的帮助下比较和的相等性。显然,可以得出
根据式(1),Ri是和的异或值。如果Ri=0,将会有否则,将得到可以得出结论,本发明方法的输出是正确的。
3安全性分析
3.1外部攻击
这里根据本发明方法的每个步骤分析外部攻击。
步骤S2到步骤S7的方法过程类似于文献[71]的SQSS方法。一个外部窃听者Eve可能试图通过对传输的粒子发起一些著名的攻击,如截获-重发攻击、测量-重发攻击、纠缠-测量攻击和木马攻击,来得到关于Bob和Charlie的SIFT 比特的一些有用信息。
截获-重发攻击意味着Eve截获TP发送给Bob(Charlie)的粒子并将她自己制备的假粒子发送给Bob(Charlie)。对于这种攻击,由于两方面原因,Eve 将不可避免地被检测到:一方面,Eve不得不随机制备她自己的假粒子;另一方面,Bob和Charlie对操作的选择对于Eve来说是随机的。例如,假设Eve正好制备她自己的假粒子处于|+0>,然后将|+>和|0>分别发送给Bob和Charlie。在表1的情形(b)和(d),来自Eve的这种攻击不会引入错误。然而,在情形 (a),在Bob、Charlie和TP的操作后,|+0>以相等的概率被坍塌为|++>或|+->。这样,Eve将以50%的概率被TP检测到。在情形(c),在Bob、Charlie和TP 的操作后,|+0>以相等的概率被坍塌为|0+>、|0->、|1+>或|1->。这样,Eve 将以50%的概率被TP检测到。总之,Eve在这四种情形引入的平均错误率为 25%。需要指出的是,如果Eve碰巧制备所有粒子B和C处于|++>,她将不被检测到,因为她的假粒子与初始粒子状态相同。然而,这种情况只以的概率发生。如果N足够大,这个概率将趋近于0。退一步说,即使这种情况发生, Eve仍然得不到关于Bob和Charlie的SIFT比特的任何信息。
测量-重发攻击意味着Eve截获TP发送给Bob(Charlie)的粒子,随机用σZ基或σX基测量它们,并把测量后的量子态发送给Bob(Charlie)。对于这种攻击,由于以下两方面原因,Eve可能被检测到:一方面,Eve的测量可能会破坏粒子B和C的原始状态;另一方面,Bob和Charlie对操作的选择对于Eve来说是随机的。不是一般性,以Eve用σZ基测量粒子B和C的情况为例。然后,粒子B和C以相等的概率被坍塌为|00>、|01>、|10>或|11>。假设粒子B和C被坍塌为|01>。然后,Eve将|0>和|1>分别发送给Bob和Charlie。在表1的情形(d), Eve的这个攻击将不会引入错误。然而,在情形(a),在Bob、Charlie和TP 的操作后,|01>以相等的概率被坍塌为|++>、|+->、|-+>或|-->。这样,Eve 将以75%的概率被TP发现。在情形(b),在Bob、Charlie和TP的操作后,|01> 以相等的概率被坍塌为|+1>或|-1>。这样,Eve将以50%的概率被TP发现。在情形(c),在Bob、Charlie和TP的操作后,|01>以相等的概率被坍塌为|0+>或|0->。这样,Eve将以50%的概率被TP发现。总之,Eve在这种情况的四种情形引入的平均错误率为43.75%。需要指出的是,如果Eve碰巧用σX基测量所有粒子B和C,她将不被检测到,因为她的攻击不改变所有粒子B和C的初始状态。然而,这种情况只以的概率发生。如果N足够大,这个概率将趋近于0。退一步说,即使这种情况发生,Eve仍然得不到关于Bob和Charlie的SIFT 比特的任何信息。
Eve的纠缠-测量攻击可用两个酉操作UE和UF建模:UE攻击从TP到Bob 和Charlie的粒子,UF攻击从Bob和Charlie到TP的粒子,其中UE和UF共享一个初态为|0>E的探测空间。正如文献[50-51]所指出的,共享的探测粒子允许 Eve依靠UE取得的信息对返回的粒子进行攻击(如果Eve不利用这个事实,“共享的探测粒子”可简单地认为是两个独立的探测粒子构成的复合系统。)Eve 施加的使UF依赖于应用了UE后的测量的任何攻击可用带控制门的酉操作UE和 UF来执行。本发明方法执行中的Eve的纠缠-测量攻击可用图1[71]描述。文献 [71]的定理1和评论2给出Eve的探测粒子的最终态独立于Bob和Charlie的测量结果。然而,文献[71]中这个结论的证明是不够完整的。为了完整起见,在如下部分,本发明重写定理1并给出整个完整的证明。
定理1.假设Eve对从TP到Bob和Charlie以及返回绐TP的粒子施加攻击(UE,UF)。为了使这种攻击不在步骤S6和S7产生错误,Eve的探测粒子的最终态应当独立于Bob和Charlie的测量结果。这样,Eve得不到关于Bob和Charlie的SIFT比特的任何信息。
证明.在Eve攻击前,粒子B、C和E构成的复合系统的整体状态为|+>B|+>C|0>E。在Eve已经施加UE后,整体状态演化为
|ψ>=UE(|+>B|+>C|0>E)=|00>BC|E00>+|01>BC|E01>+|10>BC|E10>+|11>BC|E11>, (2)
其中|Eij>是Eve的探测粒子的非归一化状态。
当Bob和Charlie收到来自TP的粒子,她们选择进行CTRL或SIFT。在这之后,Eve对传送给TP的粒子施加UF。
(i)首先,考虑Bob和Charlie都选择进行SIFT的情形。这样,B+C+E的状态将会是其中x1,x2∈{0,1}。为了使Eve在步骤S7不被检测到,UF应当满足以下关系:
这意味着UF不能改变Bob和Charlie的操作后的B+C的状态。否则,Eve将以非零的概率被检测到。
(ii)其次,考虑Bob选择进行SIFT和Charlie选择进行CRTL的情形。这样,如果Bob的测量结果是|0>,B+C+E的状态将是|00>BC|E00>+|01>BC|E01>;如果Bob的测量结果是|1>,B+C+E 的状态将是|10>BC|E10>+|11>BC|E11>。
假设Bob的测量结果为|0>。在Eve对传送给TP的粒子施加UF后,由于式(3),B+C+E的状态演化为
UF(|00>BC|E00>+|01>BC|E01>)=|00>BC|F00>+|01>BC|F01>=|0>B(|0>C|F00>+|1>C|F01>)。 (4)
令|ψ0>=|0>C|F00>+|1>C|F01>。用替换|0>和用替换|1>可得到
为了使Eve在步骤S6不被检测到,TP测量被Charlie返回的粒子处于|->的概率应当为0。这样,可得到
|F00>=|F01>。 (6)
另一方面,假设Bob的测量结果为|1>。在Eve对传送给TP的粒子施加UF后,由于式(3), B+C+E的状态演化为
UF(|10>BC|E10>+|11>BC|E11>)=|10>BC|F10>+|11>BC|F11>=|1>B(|0>C|F10>+|1>C|F11>)。 (7)
令|ψ1>=|0>C|F10>+|1>C|F11>。用替换|0>和用替换|1>可得到
为了使Eve在步骤S6不被检测到,TP测量被Charlie返回的粒子处于|->的概率应当为0。这样,可得到
|F10>=|F11>。 (9)
(iii)第三,考虑Bob选择进行CTRL和Charlie选择进行SIFT的情形。这样,如果Charlie 的测量结果是|0>,B+C+E的状态将是|00>BC|E00>+|10>BC|E10>;如果Charlie的测量结果是|1>,B+C+E的状态将是|01>BC|E01>+|11>BC|E11>。
假设Charlie的测量结果为|0>。在Eve对传送给TP的粒子施加UF后,由于式(3),B+C+E 的状态演化为
UF(|00>BC|E00>+|10>BC|E10>)=|00>BC|F00>+|10>BC|F10>=|0>C(|0>B|F00>+|1>B|F10>)。 (10)
令|φ0>=|0>B|F00>+|1>B|F10>。用替换|0>和用替换|1>可得到
为了使Eve在步骤S6不被检测到,TP测量被Bob返回的粒子处于|->的概率应当为0。这样,可得到
|F00>=|F10>。 (12)
另一方面,假设Charlie的测量结果为|1>。在Eve对传送给TP的粒子施加UF后,由于式(3), B+C+E的状态演化为
UF(|01>BC|E01>+|11>BC|E11>)=|01>BC|F01>+|11>BC|F11>=|1>C(|0>B|F01>+|1>B|F11>)。 (13)
令|φ1>=|0>B|F01>+|1>B|F11>。用替换|0>和用替换|1>可得到
为了使Eve在步骤S6不被检测到,TP测量被Bob返回的粒子处于|->的概率应当为0。这样,可得到
|F01>=|F11>。 (15)
根据式(6)、(9)、(12)和(15),可有
|F00>=|F01>=|F10>=|F11>=|F>。 (16)
(iv)第四,考虑Bob和Charlie都选择进行CTRL的情形。这样,B+C+E的状态将是 |00>BC|E00>+|01>BC|E01>+|10>BC|E10>+|11>BC|E11>。
在Eve对传送给TP的粒子施加UF后,由于式(3),B+C+E的状态演化为
UF(|00>BC|E00>+|01>BC|E01>+|10>BC|E10>+|11>BC|E11>)=
|00>BC|F00>+|01>BC|F01>+|10>BC|F10>+|11>BC|F11>。 (17)
为了使Eve在步骤S6不被检测到,TP应当测量B+C的状态处于|++>。在将式(16)插入式(17) 后,可发现以下关系自然而然成立:
UF(|00>BC|E00>+|01>BC|E01>+|10>BC|E10>+|11>BC|E11>)=|++>BC|F>。 (18)
(v)将式(16)应用到式(3)、(4)、(7)、(10)和(13)后分别产生
UF(|00>BC|E00>+|01>BC|E01>)=|00>BC|F00>+|01>BC|F01>=|0+>BC|F>, (20)
UF(|10>BC|E10>+|11>BC|E11>)=|10>BC|F10>+|11>BC|F11>=|1+>BC|F>, (21)
UF(|00>BC|E00>+|10>BC|E10>)=|00>BC|F00>+|10>BC|F10>=|+0>BC|F>, (22)
UF(|01>BC|E01>+|11>BC|E11>)=|01>BC|F01>+|11>BC|F11>=|+1>BC|F>。 (23)
根据式(19-23)可得出结论,为了使Eve在步骤S6和S7不引入错误,Eve的探测粒子的最终态应当独立于Bob和Charlie的测量结果。因此,至此已经完整证明定理1。
另外,Eve可能利用本发明方法的来回粒子传送来发起木马攻击,包括不可见光子窃听攻击[79]和延迟光子木马攻击[80-81]。为了消除不可见光子窃听攻击的影响,Bob(Charlie)在处理前在他(她)的装置前插入一个过滤器来滤除带有不合理波长的光子信号[81-82]。为了检测延迟光子木马攻击,Bob(Charlie) 可使用一个光子数分离器(Photonnumber splitter,PNS)将每个样本量子信号分割成两份并用适当的测量基测量分割得到的信号。[81-82]如果多光子率高得不合理,这种攻击将被发现。
在步骤S8,Bob(Charlie)向TP公布RB(RC)。显然,在这步被和加密。然而,Eve对和一无所知。这样,即使她可能从Bob(Charlie)听到她仍然不能得到
在步骤S9,TP告诉Bob和Charlie X和Y的比较结果。然而,这无助于Eve 知道和
可以得出结论,本发明的方法能抵抗一个外部窃听者的攻击。
3.2参与者攻击
参与者攻击总是来自一个不忠诚参与者。正如Gao等[83]所指出的,它一般比外部攻击能量更大,应当更加被重视。在本发明的方法中,总共有两种情形的参与者攻击,即来自不忠诚Bob或Charlie的攻击和来自半忠诚TP的攻击。
情形1:不忠诚Bob或Charlie的攻击
在本发明的方法中,Bob的角色与Charlie的一样。不失一般性,假设Bob 为一个尽其所能去得到忠诚Charlie的SIFT比特的不忠诚用户。
不忠诚Bob可能对步骤S2和S3的传输粒子施加攻击。首先考虑Bob可能发起的特殊攻击。Bob可能干扰步骤S2从TP到Charlie的粒子或步骤S3从 Charlie到TP的粒子。如果Bob足够聪明,他将行动如下。(1)当他选择进行 CRTL,为了降低被TP发现的概率,他对从TP到Charlie和从Charlie到TP的粒子不做任何操作,因为不存在SIFT比特。(2)当他选择进行SIFT,为了得到Charlie的SIFT比特,他可能尝试以下三种方案:(i)他截获从TP到Charlie的粒子,用σZ基测量它们,将他发现的同样的量子态发送给Charlie并对从 Charlie到TP的粒子不做任何操作;(ii)他对从TP到Charlie的粒子不做任何操作,截获从Charlie到TP的粒子,用σZ基测量它们并将他发现的同样的量子态发送给TP;(iii)他截获从TP到Charlie的粒子,用他自己制备的处于σZ基的假粒子代替它们发送给Charlie并对从Charlie到TP的粒子不做任何操作。由于Charlie对操作的选择对于Bob来说是随机的,在这些方案中,Bob的干扰行为将被TP发现。例如假设Bob选择方案(i)。这样,如果Charlie选择进行SIFT, Bob将不会引入错误;但是如果Charlie选择进行CTRL,Bob将以50%的概率被发现。总之,当Bob选择方案(i)时,他引入的平均错误率为25%。
其次,像一个外部窃听者Eve,Bob可能发起可用两个酉操作UE和UF建模的纠缠-测量攻击,其中UE攻击从TP到他和Charlie的粒子,UF攻击从他和 Charlie到TP的粒子,UE和UF共享一个初态为|0>E的探测空间。这样,可从文献[71]的定理1直接得到如下定理2,意味着尽管Bob知道他自己对操作的选择以及他自己的测量结果,如果他逃脱了步骤S6和S7的安全检测,他将不能得到关于Charlie的SIFT比特的任何信息。
定理2.假设Bob对从TP到他和Charlie以及返回给TP的粒子施加攻击(UE,UF)。为了使这种攻击不在步骤S6和S7产生错误,Bob的探测粒子的最终态应当独立于Charlie的测量结果。这样,Bob得不到关于Charlie的SIFT比特的任何信息。
在步骤S8,当Charlie向TP公布RC,Bob也许听到RC。然而,对于 Bob来说是完全随机的。他唯一能做的就是随机地猜测它的值。既然被加密,他无法从提取
在步骤S9,Bob从TP听到X和Y的比较结果。他也无法得到
情形2:半忠诚TP的攻击
在本发明的方法中,TP被允许按照自己的意愿错误行事但不能与Bob和 Charlie中的任何一个共谋。
在步骤S8,TP从Bob(Charlie)听到RB(RC)。尽管TP通过OPERATION 4知道MB(MC)的值,他仍然无法从得到因为他没有机会知道
应当被强调的是,TP在步骤S9的计算后知道X和Y的比较结果。