背景技术
量子密码学可以看作是量子力学和经典密码学的结合。经典密码的安全性依赖于解决数学问题的计算复杂性而量子密码的安全性是基于量子力学的基本原理。与经典密码相比,量子密码具有显著的安全性优势。自从1984年Bennett和Brassard提出第一个量子密钥分配方法[1]以来,许多量子密码方法被设计用于完成各种经典密码学难以处理的密码学任务,如量子密钥分发(Quantum key distribution,QKD)[1-7],量子安全直接通信(Quantum secure direct communication,QSDC)[8-10],量子秘密共享(Quantum secretsharing,QSS)[11-21],量子隐形传态[22-24]等。
安全多方计算(Secure multi-user computation,SMC)的目的是在不泄露每个参与者隐私内容的前提下利用分布式网络中不同参与者的隐私内容来计算某一函数,并且迄今为止已经在经典密码学中被深入研究。安全多方计算可应用于许多情况下,包括隐私比较、隐私竞价和拍卖、无记名投票选举、电子商务和数据挖掘等。隐私比较作为SMC的一个重要分支,是被Yao[25]在百万富翁问题中首次提出。在百万富翁问题中,两位百万富翁想在不知道对方的实际财产的情况下判断谁更富有。在这之后,Boudot等[26]提出一个判断两位百万富翁是否同样富有的隐私比较方法。然而,经典的隐私比较方法的安全性依赖于求解数学问题的计算复杂度,这对于并行量子计算所拥有的强大能力来说是脆弱的。
作为经典隐私比较在量子力学领域的扩展,量子隐私比较(Quantum privatecomparison,QPC)最早是在2009年由Yang和Wen[27]提出。近年来,QPC方法的设计和分析成功地引起了人们的广泛关注,许多QPC方法[27-44]已经被提出来。由于在两方方法中构建安全的相等函数是不可能的[45],所有前面的QPC方法[27-44]都需要TP的帮助。然而,所有这些方法[27-44]只能比较两方的秘密是否相等,而不是它们的大小关系。幸运地是,2012年,Lin等[46]成功地提出一个基于d级Bell态的比较大小关系的QPC方法。2013年,Guo等[47]成功提出一个基于d级Bell态纠缠交换的比较大小关系的QPC方法。2013年,Yu等[48]成功提出一个基于d级单光子的比较大小关系的QPC方法。
上述隐私比较方法只能比较两方的秘密。2013年,Chang等[49]提出基于多粒子GHZ类态的首个多方量子隐私比较(Multiparty quantum private comparison,MQPC)方法,该方法可以在一次执行过程中完成任意一对参与者秘密信息的相等性比较。此后,MQPC越来越受到关注,因此许多基于多级系统的MQPC方法[50-55]被设计出来。例如,2014年,Luo等[53]提出一种基于d维纠缠态的比较大小关系的MQPC方法;2015年,Huang等[54]提出一个MQPC方法,只执行一次,n个参与者就可以在几乎不忠诚TP的帮助下完成大小关系的比较;2017年,Hung等[55]提出一个在两个几乎不忠诚TP的帮助下适用于陌生人的只执行一次就能比较出隐私相等性的MQPC方法。
在以上分析的基础上,本发明提出一个基于d级单光子的适用于陌生人的MQPC方法,其中n个参与者在两个半忠诚TP的帮助下只执行一次本方法就能比较出她们秘密整数的大小关系。这里,每个TP都是半忠诚的,意味着她被允许按照自己意愿错误行事,但不允许与其他人合谋。本发明的MQPC方法适用于陌生人进行秘密信息大小关系的比较,因为每对参与者之间都不需要进行相互通信和预先共享密钥。
参考文献
[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE IntemationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175-179(1984)
[2]Ekert,A.K.:Quantum cryptography based on bells theorem.Phys RevLett 67(6),661-663(1991)
[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys Rev Lett 68(21),3121-3124(1992)
[4]Cabello,A.:Quantum key distribution in the Holevo limit.Phys RevLett 85(26),5635(2000)
[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys Rev Lett 91(5),057901(2003)
[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys Rev A 78(2),022321(2008)
[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et a1.:Delayed errorverification in quantum key distribution.Chin Sci Bull 59(23),2825-2828(2014)
[8]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A 68(4),042317(2003)
[9]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin Phys B 20(10),100309(2011)
[10]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys Lett A 358(4),256-258(2006)
[11]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys RevA 59(3),1829-1834(1999)
[12]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglementfor secretsharing and secret splitting.Phys Rev A 59(1),162-168(1999)
[13]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantum secret.PhysRev Lett 83(3),648-651(1999)
[14]Gottesman,D.:Theory of quantum secret sharing.Phys Rev A 61(4),042311(2000)
[15]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping.Phys Lett A 324(5),420-424(2004)
[16]Xiao,L.,Long,G.L.,Deng,F.G.,et al.:Efficient multiparty quantum-secret-sharing schemes.Phys Rev A 69(5),052307(2004)
[17]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys Lett A 340(1-4),43-50(2005)
[18]Wang,T.Y.,Wen,Q.Y.,Chen,X.B.,et al.:An efficient and securemultiparty quantum secret sharing scheme based on single photons.Opt Commun,281(24),6130-6134(2008)
[19]Guo,G.P.,Guo,G.C.:Quantum secret sharing withoutentanglement.Phys Lett A 310(4),247-251(2003)
[20]Markham,D.,Sanders,B.C.:Graph states for quantum secretsharing.Phys Rev A 78(4),042309(2008)
[21]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys Rev A 82(6),062315(2010)
[22]Bouwmeester,D.,Pan,J.W.,Mattle,K.,Eibl,M.,Weinfurter,H.,Zeilinger,A.:Experimental quantum teleportation.Nature 390(6660),575-579(1997)
[23]Zhang,Z.J.,Liu,Y,M.,Zhang,Z.Y.,Zhang,W.,Zhang,Z.J.:Many-agentcontrolled teleportation of multi-qubit quantum information via quantumentanglement swapping.Commun Theor Phys 44(5),847-849(2005)
[24]Yin,X.F.,Liu,Y.M.,Man,Z.Y.,Zhang,Z.J.:Perfect teleportation of anarbitrary three-qubit state with the highly entangled six-qubit genuinestate.Sci China Phys Mech Astron 53(11),2059-2063(2010)
[25]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rdIEEE Symposium on Foundations of Computer Science(FOCS’82),Washington,DC,p.160(1982)
[26]Boudot,F.,Schoenmakers,B.,Traor’e,J.:A fair and efficientsolution to the socialist millionaires’problem.Discret Appl Math 111(1-2),23-36(2001)
[27]Yang,Y.G.,Wen,Q.Y.:An efficient two-party quantum privatecomparison protocolwith decoy photons and two-photon entanglement.J Phys AMath Theor 42,055305(2009)
[28]Chen,X.B.,Xu,G.,Niu,X.X.,Wen,Q.Y.,Yang,Y.X.:An efficient protocolfor the private comparison of equal information based on the tripletentangled state and single-particle measurement.Opt Commun 283,1561(2010)
[29]Yang,Y.G.,Gao,W.F.,Wen,Q.Y.:Secure quantum privatecomparison.Phys Scr 80,065002(2009)
[30]Liu,W.,Wang,Y.B.,Cui,W.:Quantum private comparison protocol basedon Bell entangled states.Commun Theor Phys 57,583-588(2012)
[31]Tseng,H.Y.,Lin,J.,Hwang,T.:New quantum private comparisonprotocol using EPR pairs.Quantum Inf Process 11,373-384(2012)
[32]Yang,Y.G.,Xia,J.,Jia,X.,Shi,L.,Zhang,H.:New quantum privatecomparison protocol without entanglement.Int J Quantum Inf 10,1250065(2012)
[33]Zi,W.,Guo,F.Z.,Luo,Y.,Cao,S.H.,Wen,Q.Y.:Quantum privatecomparison protocol with the random rotation.Int J Theor Phys 52,3212-3219(2013)
[34]Liu,B.,Gao,F.,Jia,H.Y.,Huang,W.,Zhang,W.W.,Wen,Q.Y.:Efficientquantum private comparison employing single photons and collectivedetection.Quantum InfProcess 12,887-897(2013)
[35]Wang,C.,Xu,G.,Yang,Y.X.:Cryptanalysis and improvements for thequantum private comparison protocol using EPR pairs.Int J Quantum Inf 11,1350039(2013)
[36]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process 12,877-885(2013)
[37]Zhang,W.W.,Zhang,K.J.:Cryptanalysis and improvement of thequantum private comparison protocol with semi-honest third party.Quantum InfProcess 12,1981-1990(2013)
[38]Chen,X.B.,Su,Y.,Niu,X.X.,Yang,Y.X.:Efficient and feasible quantumprivate comparison of equality against the collective amplitude dampingnoise.Quantum InfProcess 13,101-112(2014)
[39]Li,J.,Zhou,H.F.,Jia,L.,Zhang,T.T.:An effficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys 53(7),2167-2176(2014)
[40]Liu,X.T.,Zhang,B.,Wang,J.,Tang,C.J.,Zhao,J.J.:Differential phaseshift quantum private comparison.Quantum InfProcess 13,71-84(2014)
[41]Sun,Z.W.,Long,D.Y.:Quantum private comparison protocolbased oncluster states.Int J Theor Phys 52,212-218(2013)
[42]Lin,S.,Guo,G.D.,Liu,X.F.:Quantum private comparison of equalitywith χ-type entangled states.Int J Theor Phys 52,4185-4194(2013)
[43]Zhang,W.W.,Li,D.,Li,Y.B.:Quantum private comparison protocol withW States.Int J Theor Phys 53(5),1723-1729(2014)
[44]Ji,Z.X.,Ye,T.Y.:Quantum private comparison of equal informationbased on highly entangled six-qubit genuine state.Commun Theor Phys 65,711-715(2016)
[45]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A 56(2),1154-1162(1997)
[46]Lin,S.,Sun,Y.,Liu,X.F.,Yao,Z.Q.:Quantum private comparisonprotocol with d-dimensional Bell states.Quantum InfProcess 12,559-568(2012)
[47]Guo,F.,Gao,F.,Qin,S.,Zhang,J.,Wen,Q.:Quantum private comparisonprotocolbased on entanglement swapping of d-level Bell states.Quantum InfProcess 12,2793-2802(2013)
[48]Yu,C.H.,Guo,G.D.,Lin,S.:Quantum private comparison with d-levelsingle-particle states.Phys Scr 88,065013(2013)
[49]Chang,Y.J.,Tsai,C.W.,Hwang,T.:Multi-user private comparisonprotocol using GHZ class states.Quantum Inf Process 12,1077-1088(2013)
[50]Liu,W.,Wang,Y.B.,Wang,X.M.:Multi-party quantum private comparisonprotocol using d dimensional basis states without entanglement swapping.Int JTheor Phys 53,1085-1091(2014)
[51]Wang,Q.L.,Sun,H.X.,Huang,W.:Multi-party quantum privatecomparison protocol with n-level entangled states.Quantum Inf Process 13,2375-2389(2014)
[52]Ji,Z.X.,Ye,T.Y.:Multi-party quantum private comparison based onthe entanglement swapping of d-level cat states and d-level Bellstates.Quantum Inf Process 16(7),177(2017)
[53]Luo,Q.B.,Yang,G.W,She,K.,Niu,W.N.,Wang,Y.Q.:Multi-party quantumprivate comparison protocol based on d-dimensional entangled states.QuantumInf Process.13,2343-2352(2014)
[54]Huang,S.L.,Hwang,T.,Gope,P.:Multi-party quantum privatecomparison with an almost-dishonest third party.Quantum InfProcess 14(11),4225-4235(2015)
[55]Hung,S.M.,Hwang,S.L.,Hwang,T.,Kao,S.H.:Multiparty quantum privatecomparison with almost dishonest third parties for strangers.Quantum InfProcess 16(2),36(2017)
[56]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett 22(5),1049(2005)
[57]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficientquantum cryptography network without entanglement and quantum memory.ChinPhys Lett 23(11),2896(2006)
[58]Shor,P.W.,Preskill,J.:Simple proof of security of the BB84quantumkey distribution protocol.Phys Rev Lett,2000,85(2):441
[59]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure direct communication via entanglement swapping.Chin Phys Lett,2007,24(1):19
[60]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectionalquantum di rect communication using a GHZ state.Chin Phys Lett,2013,30(4):040305
[61]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A,2006,351(1-2):23-25
[62]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168
[63]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order of particles.PhysRev A,2006,74:054302
[64]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.RevMod Phys,2002,74(1):145-195
[65]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput 7,329(2007)
[66]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys Lett A 360(6),748-750(2007)
[67]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participantattack on a kind of MQSS schemes based on entanglement swapping.Eur Phys J D56(3),445-448(2010)
[68]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A 76(6),062324(2007)
具体实施方式
下面结合本发明的具体步骤对本发明的技术方案做进一步描述。
1多方量子隐私比较方法
在一个d级量子系统中,单光子常见的一组测量基可以表示为:
T1={|j>},j∈{0,1,...,d-1}。 (1)
集合T1中的每个量子态与其他量子态都相互正交。集合T1中的量子态在被作用d级离散量子傅立叶变换F之后,将会转变成为另一组基
集合T2中的每个量子态与其他量子态都相互正交。集合T1和T2是两组相互共轭基。量子底特移位酉操作表示为
其中m∈{0,1,...,d-1}。
假设参与者Pi拥有秘密整数si,其中i=1,2,...,n。存在一个自然数r满足r>{si}max并且d≥2r-1。n个参与者在两个半忠诚TP(即TP1和TP2)的帮助下执行以下步骤来完成各自秘密大小关系的比较。TP1(TP2)是半忠诚的,意味着她可以按照自己的意愿错误行事但不能与其他任何人合谋。需要注意的是,这种半忠诚的TP属于文献[36]中TP的第二个半忠诚模型。此外,这里的“半忠诚”相当于文献[54]中的“几乎不诚实”。
本发明提出的基于d级单光子的适用于陌生人的多方量子隐私比较方法如下所示。
S1)TP1制备n个单光子|k1>,|k2>,...,|kn>。这些粒子是从集合T1中随机选择,同时需要确保ki满足等式ki+k′i=K,其中T1={|j>},j∈{0,1,...,d-1},ki∈{0,1,...,r-1},k′i∈{0,1,...,d-1},i=1,2,...,n并且K是一个常数。只有TP1知道K的值;
S2)TP1制备n组长度为l的诱骗光子,分别用G1,G2,...,Gn表示。这里,每个诱骗光子都是从集合T1和T2中随机选择,其中j∈{0,1,...,d-1}。然后,TP1随机地将粒子|ki>插入到诱骗光子Gi中构成新的序列G′i。最后,TP1将G′i分别发送给Pi,其中i=1,2,...,n。
S3)在确定Pi(i=1,2,...,n)收到所有的粒子后,TP1和Pi对传输的G′i进行安全检测。具体地说,TP1向Pi公布诱骗光子的位置和制备基;根据公布的信息,Pi使用正确的测量基去测量相应的诱骗光子,并将测量结果告诉TP1;TP1将测量结果与诱骗光子的初始状态进行比较以判断G′i的传输是否安全;如果是安全的,通信将进行下一步,否则通信将终止,并重新从步骤S1开始。
S4)将G′i(i=1,2,...,n)中的诱骗光子除去之后,Pi为了编码自己的秘密整数si,对粒子|ki>施加酉操作来得到|ki+si>。需要指出的是,ki+si<d。之后,Pi制备一个长度为l的诱骗光子序列G″i。同样地,每个诱骗光子都是从集合T1和T2中随机选择。然后,Pi将粒子|ki+si>随机地插入到序列G″i中构成一个新序列G″′i。最后,Pi将序列G″′i发送给TP2。
S5)在确定TP2收到所有的粒子后,Pi(i=1,2,...,n)和TP2对传输的G″′i进行安全检测。首先,Pi向TP2公布从集合T2中选择的诱骗光子的位置和制备基;根据公布的信息,TP2采用合适的测量基去测量相应的诱骗光子,并将测量结果告诉Pi;然后,Pi通过比较测量结果和诱骗光子的初始状态计算错误率;如果错误率高过阈值,通信将终止并重新从步骤S1开始;如果错误率低于阈值,通信进行下一步。
S6)TP2将序列G″′i(i=1,2,...,n)中所有从集合T2中选择的诱骗光子丢弃。对剩下的粒子,Pi向TP2公布从集合T1中选择的诱骗光子的位置和制备基;根据公布的信息,TP2用合适的测量基去测量相应的诱骗光子,并将结果告诉Pi;然后,Pi通过比较测量结果和诱骗光子的初始状态计算错误率;如果错误率高过阈值,通信将终止并重新从步骤S1开始;如果错误率低于阈值,通信进行下一步。
S7)Pi(i=1,2,...,n)向TP2公布粒子|ki+si>的位置。然后,TP2用正确的测量基去测量粒子|ki+si>并得到测量结果ki+si。之后,TP1通过经典信道向TP2公布k′1,k′2,...,k′n。TP2对ki+si和k′i进行求和计算得到Mi=ki+si+k′i。因为ki+k′i=K,所以不同Mi之间的大小关系等价于不同si之间的大小关系,这样TP2就知道不同si之间的大小关系。由于TP2不知道ki的值,所以无法知道si的真实值。最后,TP2通过经典信道公布不同Mi之间的大小关系。根据公布的信息,Pi可以知道她们各自秘密Si之间的大小关系。
以上是对本发明所提出的MQPC方法的描述。为了清晰起见,在忽略安全检测过程的前提下,本发明以TP1,Pi和TP2为例将方法的流程图描绘在图1中。
2安全性分析
这里分析本发明所提出的MQPC方法的安全性。分析结果表明,外部攻击对所提出的MQPC方法是无效的;任意一方参与者都不能获得其他参与者的秘密整数;而且半忠诚TP1和TP2都不能获得参与者的秘密整数。
2.1外部攻击
这里根据本发明方法的每个步骤分析外部攻击。
在步骤S1中,没有任何传输过程。因此,外部窃听者没有机会在这步发起攻击。
在步骤S2中,TP1将序列G′i发送给Pi;在步骤S4中,Pi将序列G″′i发送给TP2。这里,i=1,2,...,n。外部窃听者可在这两步中利用量子底特的传输来提取一些关于参与者秘密整数的有用信息。显然,这两步都使用诱骗光子技术[56,57]来保证粒子传输的安全性。
诱骗光子技术,可被认为是已被文献[58]证明是无条件安全的BB84协议[1]的窃听检测方法的一个变种。文献[59,60]已经验证了诱骗光子技术在两级量子系统中对截获-重发攻击、测量-重发攻击和纠缠-测量攻击的有效性。可直接得出,诱骗光子技术在d级量子系统中对这些著名的攻击也是有效的。因此,外部窃听者在不被步骤S3、S5和S6中的窃听检测过程检测到的情况下是无法提取到任何有关秘密整数的有用信息。
在步骤S7中,TP1通过经典信道向TP2公布k′1,k′2,...,k′n,并且TP2通过经典信道向Pi公布Mi(i=1,2,...,n)的大小关系。尽管外部窃听者可能听到k′1,k′2,...,k′n以及各个参与者秘密整数的大小关系,这些信息仍然无助于她获得参与者的秘密整数。
此外,应该强调的是,为了克服不可见光子窃听特洛伊木马攻击[61],Pi应该在她的设备前面插入一个过滤器来滤除带有非法波长的光子信号[62,63]。另外,为了抵抗延迟光子木马攻击,Pi应采用光子数分离器(PNS:50/50)将每个样本量子信号分成两部分,然后用适当的测量基测量经过PNS后的信号[62,63]。如果多光子率高得不合理,这种攻击就会被发现。
2.2参与者攻击
2007年,Gao等[65]首先指出,不忠诚参与者的攻击通常更加强大,应该引起更多关注。到目前为止,参与者攻击已经引起了量子密码领域的广泛关注[66-68]。在本发明的方法中,总共有三种情况的参与者攻击:来自一个或多个不忠诚参与者的攻击,来自半忠诚TP1的攻击以及来自半忠诚TP2的攻击。
情形1:来自一个或多个不忠诚参与者的攻击
在这种情况下应该考虑两种情形:不忠诚的一方想窃取其他各方的秘密整数以及两个或两个以上不忠诚方合谋窃取其他各方的秘密整数。
(a)来自一个不忠诚参与者的攻击
显然,在本发明提出的MQPC方法中,n个参与者的角色是相同的。不失一般性,假设P1是不忠诚的,想要窃取其他各方的秘密整数。
在本发明的方法中,TP1在步骤S2中将粒子传送给Pj(j=2,3,...,n),Pj在步骤S4将粒子传送给TP2。然而P1与Pj之间并没有粒子传送,因此P1完全独立于Pj。为了获得Pj的秘密整数,P1会尝试在步骤S2以及步骤S4粒子传送的过程进行攻击。由于P1完全独立于Pj,她本质上相当于一个外部窃听者。正如在上面2.1节中所分析的,如果她发动攻击,她将不可避免地被检测到,因为她不知道被传输的诱骗光子的位置和制备基。
此外,在步骤S7中,P1可能会从TP1公布的信息中得到k′1,k′2,...,k′n以及从TP2公布的信息中得到各方秘密的大小关系。然而,这些信息仍然无助于她获得其他参与者的秘密整数。
可得出结论,一个不忠诚的参与者不能获得其他各方的秘密整数。
(b)来自两个或两个以上不忠诚参与者的攻击
如果不忠诚参与者的人数是n-1,那么不忠诚参与者的攻击将会是最强大的。这里只考虑这种极端的情况。不失一般性,假设不忠诚的参与者为P1,P2,...,Pm-1,Pm+1,...,Pn,他们合谋去获取Pm的秘密整数。
显然,P1,P2,...,Pm-1,Pm+1,...,Pn完全独立于Pm。如果P1,P2,...,Pm-1,Pm+1,...,Pn想要在步骤S2TP1发送粒子给Pm或者步骤S4Pm发送粒子给TP2的过程中进行攻击,如2.1节所分析的那样,由于她们对所发送的诱骗光子的位置和制备基一无所知,她们将不可避免地被当成外部窃听者而被检测到。
此外,在步骤S7中,P1,P2,...,Pm-1,Pm+1,...,Pn可能会从TP1公布的信息中得到k′1,k′2,...,k′n以及从TP2公布的信息中得到各方秘密的大小关系。然而,这些信息仍然无助于她们获得Pm的秘密。
可得出结论,不忠诚P1,P2,...,Pm-1,Pm+1,...,Pn不能获得Pm的秘密整数。可直接得出,来自两个或两个以上不忠诚参与者的共谋攻击对于她们窃取其他参与者的秘密整数是无效的。
情形2:来自不忠诚TP1的攻击
在本发明的方法中,TP1不被允许与其他任何一方包括TP2合谋。因此,TP1不能从TP2中获得粒子|ki+si>(i=1,2,...,n)的状态。为了知道粒子|ki+si>的状态,TP1可能会在步骤S4截获Pi发送给TP2的粒子并用T1基去测量,然后将测量后的粒子发送给TP2。然而TP1的这种攻击很容易在步骤S5的安全检测中被发现,因为它改变了从集合T2中选择的诱骗光子的状态。可以得出,TP1根本不知道粒子|ki+si>的状态。
在步骤S1中,TP1知道粒子|k1>,|k2>,...,|kn>的状态以及k′1,k′2,...,k′n的值。在步骤S7,TP1可能会从TP2公布的信息中知道秘密整数的大小关系。但是,她仍然无法推断出Pi的秘密整数,因为她没有机会知道粒子|ki+si>的状态。
情形3:来自不忠诚TP2的攻击
在本发明的方法中,TP2不允许与其他任何一方包括TP1合谋。TP2的主要任务是测量粒子|ki+si>(i=1,2,...,n)的状态,对ki+si和k′i进行求和计算以及比较n个参与者秘密整数的大小关系。在步骤S7,TP2可知道粒子|ki+si>的状态。为了获得Pi的秘密整数,TP2需要知道粒子|ki>的状态。因此,TP2可能会在步骤S2截获TP1发送给Pi的粒子并用T1基去测量,然后将测量后的粒子发送给Pi。然而,他将无可避免地在步骤S3的安全检测中被发现,因为这种攻击改变了从集合T2中选择的诱骗光子的状态。因此,TP2没有机会获得粒子|ki>的状态。可以得出,TP2不知道Pi的秘密整数。