基于n级单粒子的环型多方量子隐私比较方法
技术领域
本发明涉及量子密码学领域。本发明设计一种基于n级单粒子的环型多方量子隐私比较方法,在一个第三方的帮助下实现n个参与者秘密相等性的比较。
背景技术
传统密码学的安全性依赖于数学问题的计算复杂性,易受具有强大计算能力的量子并行计算的影响。幸运地是,Bennett和Brassard[1]在1984年提出的量子密码基于量子力学原理可以实现无条件安全性。量子密码引起了广泛的关注,并建立了许多有趣的分支,如量子密钥分发(Quantum key distribution,QKD)[1-7],量子安全直接通信(Quantumsecure direct communication,QSDC)[8-11],量子秘密共享(Quantum secret sharing,QSS)[12-18]等。
隐私比较方法可以追溯到Yao[19]提出的百万富翁问题。在百万富翁问题中,两位百万富翁想要在不了解彼此实际财产的情况下判断谁更富有。之后,Boudot等[20]提出了一个判断两位百万富翁是否同样富有的隐私比较方法。不幸地是,Lo[21]指出,在两方隐私比较中构建一个安全的相等函数是不可能的。因此,需要考虑引入一些额外的假设,例如第三方(Third party,TP),来实现隐私比较。
量子隐私比较(Quantum private comparison,QPC),可以看作经典隐私比较在量子力学领域的扩展,最初由Yang和Wen[22]提出。QPC的目标是通过利用量子力学的原理来判断来自不同方的隐私输入是否相等,并且它们的真实内容不会被泄露出去。近年来,QPC方法的设计和分析成功引起了人们的广泛关注。因此,许多两方QPC方法[22-35]已经被提出来。
但是,上述QPC方法仅适用于两方的隐私比较。幸运地是,在2013年,Chang[36]等首次提出基于多粒子GHZ类态的多方量子隐私比较(Multiparty quantum privatecomparison,MQPC)方法,可以只执行一次方法就完成任意一对参与者之间秘密相等性的比较。在这之后,许多基于多级系统的MQPC方法[37-42]被构建出来。例如,Liu等[37]在2014年提出一个基于d级基态的不需要纠缠交换的MQPC方法;在2017年,Ji和Ye[39]提出一个基于d级Bell态和d级Cat态纠缠交换的MQPC方法。
基于上述分析,本发明提出一种新颖的基于n级单粒子的环型MQPC方法。本发明的方法以环型方式传输粒子,并且在半忠诚TP的帮助下可以只执行一次方法就实现n个参与者秘密相等性的比较。这里,TP是半忠诚的,意味着她被允许按照自己意愿错误行事,但不允许与其他任何人勾结。
参考文献
[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175-179(1984)
[2]Ekert,A.K.:Quantum cryptography based on bells theorem.Phys RevLett 67(6),661-663(1991)
[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys Rev Lett 68(21),3121-3124(1992)
[4]Cabello,A.:Quantum key distribution in the Holevo limit.Phys RevLett 85(26),5635(2000)
[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys Rev Lett 91(5),057901(2003)
[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys Rev A 78(2),022321(2008)
[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et al.:Delayed errorverification in quantum key distribution.Chin Sci Bull 59(23),2825-2828(2014)
[8]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A 68(4),042317(2003)
[9]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin Phys B 20(10),100309(2011)
[10]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys Lett A 358(4),256-258(2006)
[11]Chong,S.K.,Hwang,T.:The enhancement of three-party simultaneousquantum secure direct communication scheme with EPR pairs.Opt Commun 284(1),515-518(2011)
[12]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys RevA 59(3),1829-1834(1999)
[13]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secretsharing and secret splitting.Phys Rev A 59(1),162-168(1999)
[14]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantum secret.PhysRev Lett 83(3),648-651(1999)
[15]Gottesman,D.:Theory of quantum secret sharing.Phys Rev A 61(4),042311(2000)
[16]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping.Phys Lett A 324(5),420-424(2004)
[17]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys Lett A 340(1-4),43-50(2005)
[18]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys Rev A 82(6),062315(2010)
[19]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rdIEEE Symposium on Foundations of Computer Science (FOCS’82),Washington,DC,p.160(1982)
[20]Boudot,F.,Schoenmakers,B.,Traore,J.:A fair and efficient solutionto the socialist millionaires’problem.Discret Appl Math 111(1-2),23-36(2001)
[21]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A 56(2),1154-1162(1997)
[22]Yang,Y.G.,Wen,Q.Y.:An efficient two-party quantum privatecomparison protocol with decoy photons and two-photon entanglement.J Phys AMath Theor 42,055305(2009)
[23]Chen,X.B.,Xu,G.,Niu,X.X.,Wen,Q.Y.,Yang,Y.X.:An efficient protocolfor the private comparison of equal information based on the tripletentangled state and single-particle measurement.Opt Commun 283,1561(2010)
[24]Tseng,H.Y.,Lin,J.,Hwang,T.:New quantum private comparisonprotocol using EPR pairs.Quantum Inf Process 11,373-384(2012)
[25]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process 12,877-885(2013)
[26]Chen,X.B.,Su,Y.,Niu,X.X.,Yang,Y.X.:Efficient and feasible quantumprivate comparison of equality against the collective amplitude dampingnoise.Quantum Inf Process 13,101-112(2014)
[27]Zi,W.,Guo,F.Z.,Luo,Y.,Cao,S.H.,Wen,Q.Y.:Quantum privatecomparison protocol with the random rotation.Int J Theor Phys 52,3212-3219(2013)
[28]Liu,W.,Wang,Y.B.,Cui,W.:Quantum private comparison protocol basedon Bell entangled states.Commun Theor Phys 57,583-588(2012)
[29]Li,J.,Zhou,H.F.,Jia,L.,Zhang,T.T.:An efficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys 53(7),2167-2176(2014)
[30]Liu,X.T.,Zhang,B.,Wang,J.,Tang,C.J.,Zhao,J.J.:Differential phaseshift quantum private comparison.Quantum Inf Process 13,71-84(2014)
[31]Sun,Z.W.,Long,D.Y.:Quantum private comparison protocol based oncluster states.Int J Theor Phys 52,212-218(2013)
[32]Lin,S.,Guo,G.D.,Liu,X.F.:Quantum private comparison of equalitywithχ-type entangled states.Int J Theor Phys 52,4185-4194 (2013)
[33]Zhang,W.W.,Li,D.,Li,Y.B.:Quantum private comparison protocol withW States.Int J Theor Phys 53(5),1723-1729(2014)
[34]Wang,C.,Xu,G.,Yang,Y.X.:Cryptanalysis and improvements for thequantum private comparison protocol using EPR pairs.Int J Quantum Inf 11,1350039(2013)
[35]Ji,Z.X.,Ye,T.Y.:Quantum private comparison of equal informationbased on highly entangled six-qubit genuine state.Commun Theor Phys 65,711-715(2016)
[36]Chang,Y.J.,Tsai,C.W.,Hwang,T.:Multi-user private comparisonprotocol using GHZ class states.Quantum Inf Process 12,1077-1088(2013)
[37]Liu,W.,Wang,Y.B.,Wang,X.M.:Multi-party quantum private comparisonprotocol usingddimensional basis states without entanglement swapping.Int JTheor Phys 53,1085-1091(2014)
[38]Wang,Q.L.,Sun,H.X.,Huang,W.:Multi-party quantum privatecomparison protocol withn-level entangled states.Quantum Inf Process 13,2375-2389(2014)
[39]Ji,Z.X.,Ye,T.Y.:Multi-party quantum private comparison based onthe entanglement swapping ofd-level cat states andd-level Bell states.QuantumInf Process 16(7),177(2017)
[40]Luo,Q.B.,Yang,G.W,She,K.,Niu,W.N.,Wang,Y.Q.:Multi-party quantumprivate comparison protocol based ond-dimensional entangled states.QuantumInf Process 13,2343-2352(2014)
[41]Huang,S.L.,Hwang,T.,Gope,P.:Multi-party quantum privatecomparison with an almost-dishonest third party.Quantum Inf Process 14(11),4225-4235(2015)
[42]Hung,S.M.,Hwang,S.L.,Hwang,T.,Kao,S.H.:Multiparty quantum privatecomparison with almost dishonest third parties for strangers.Quantum InfProcess 16(2),36(2017)
[43]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett 22(5),1049(2005)
[44]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficientquantum cryptography network without entanglement and quantum memory.ChinPhys Lett 23(11),2896(2006)
[45]Shor,P.W.,Preskill,J.:Simple proof of security of the BB84quantum key distribution protocol.Phys Rev Lett 2000,85(2):441
[46]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure directcommunication via entanglement swapping.Chin Phys Lett 2007,24(1):19
[47]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectionalquantum direct communication using a GHZ state.Chin Phys Lett 2013,30(4):040305
[48]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A 2006,351(1-2):23-25
[49]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168
[50]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order of particles.PhysRev A 2006,74:054302
[51]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.RevMod Phys 2002,74(1):145-195
[52]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput 7,329(2007)
[53]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys Lett A 360(6),748-750(2007)
[54]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participantattack on a kind of MQSS schemes based on entanglement swapping.Eur Phys J D56(3),445-448(2010)
[55]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A 76(6),062324(2007)
发明内容
本发明设计一种基于n级单粒子的环型多方量子隐私比较方法,在一个TP的帮助下实现n个参与者秘密相等性的比较。
一种基于n级单粒子的环型多方量子隐私比较方法,共包括以下四个步骤:
S1)第三方P
0和P
i(i=1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Q
i,其中
以及l=1,2,…,L。P
0制备L个单粒子|k
1>,|k
2>,…,|k
L>,这些粒子是从集合T
1中随机选择并构成粒子序列H。与此同时,P
0制备L个单粒子F|k
1>,F|k
2>,…,F|k
L>,这些粒子是从集合T
2中随机选择并构成粒子序列V。这里,k
l∈{0,1,…,n-1},l=1,2,…,L。然后,P
0将粒子|k
l>和F|k
l>分别从序列H和序列V中挑选出来,构成粒子组(|k
l>,F|k
l>),用
表示。在每组
中,粒子|k
l>和F|k
l>的位置是随机的,只有P
0知道它们的位置。在这之后,P
0制备2L个诱骗光子,每个诱骗光子都是从集合T
1和T
2中随机选择。P
0将诱骗光子随机插入到
中,构成新的序列S
0。最后,P
0将序列S
0发送给P
1。
S2)对于i=1,2,…,n:
在Pi确认收到来自Pi-1发送过来的粒子后,Pi和Pi-1对传输的序列Si-1进行安全检测。首先Pi-1宣布来自集合T2中诱骗光子的位置和制备基;根据公布的信息,Pi用T2基去测量相应位置上的粒子并将测量结果告诉Pi-1;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pi-1可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,Pi-1告诉Pi来自集合T1中诱骗光子的位置和制备基。然后,Pi用T1基去测量相应位置上的粒子并将测量结果告诉Pi-1;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pi-1可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信继续进行。
将序列S
i-1中的诱骗光子移除之后,为了编码她的二进制秘密
P
i对粒子组
中两个粒子
和F|k
l>施加量子底特移位操作
来编码自己的秘密。需要注意的是,只有P
i和P
0知道
的真实值,其他任何人都不知道。这里,
l=1,2,…,L。经过移位操作之后,粒子
的状态将会被转变成为
而根据定理1,粒子F|k
l>的状态将不会被改变,其中定理1是指量子底特移位操作U
m作用在粒子F|k>上将不会改变其状态,k∈{0,1,…,n-1}。序列
在经过P
i的编码操作之后变为
然后,P
i制备2L个诱骗光子,每一个诱骗光子都是从集合T
1和T
2中随机选择。P
i将这些诱骗光子随机插入到
中构成新的序列S
i。最后,P
i将序列S
i发送给P
i+1。需要指出的是,P
n将序列S
n发送给P
0。
S3)在P0确认收到来自Pn发送过来的粒子后,Pn和P0对传输序列Sn进行安全检测。首先,Pn宣布来自集合T2的诱骗光子所对应的位置和制备基;根据公布的信息,P0用T2基去测量相应位置上的粒子并将测量结果发送给Pn;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pn可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,Pn告诉P0来自集合T1中诱骗光子的位置和制备基。然后,P0用T1基去测量相应位置上的粒子并将测量结果发送给Pn;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pn可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信继续进行。
P0将序列Sn中的诱骗光子移除。P0知道剩余粒子所对应的测量基,因为Pi(i=1,2,…,n)并没有改变P0所制备的初始粒子的顺序,只是对粒子进行量子底特移位操作来编码自己的秘密而已。P0用T2基对来自集合T2的粒子进行测量,并将测量结果与相应的初始制备状态进行比较;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信将进行下一步。
S4)P
0用T
1基去测量粒子
并得到测量值
需要指出的是,P
0知道
的值,这里,l=1,2,…,L。然后,P
0计算
和
对于l=1,2,…,L,如果Dl=0都成立,P0可以得出P1,P2,…,Pn的秘密相等;否则,她将得出P1,P2,…,Pn的秘密不相等。最后,P0通过经典信道向P1,P2,…,Pn公布比较结果。
具体实施方式
下面结合本发明的具体步骤对本发明的技术方案做进一步描述。
1多方量子隐私比较方法
在一个n级量子系统中,单粒子的一组常见的测量基可以表示为:
T1={|k>},k∈{0,1,…,n-1}。 (1)
集合T1中的每个量子态都两两相互正交。集合T1中的量子态经过n级离散量子傅立叶变换F之后,将会转变成为另一组基
其中,
集合T
2中的每个量子态也都两两相互正交。集合T
1和T
2是两组相互共轭基。量子底特移位操作表示为
其中m={0,1,…,n-1},符号
表示模n加法。容易验证,量子底特移位操作U
m作用在粒子|k>之后,粒子状态将会转变为
定理1.量子底特移位操作Um作用在粒子F|k>上将不会改变其状态。
证明:(i)量子底特移位操作U1作用在粒子F|k>上,粒子状态将会变为
用t(t∈{1,2,…,n-1})替换r+1,式(4)将会转变为
(ii)显然,量子底特移位操作Um的效果等价于操作U1m次。
因此,可以从式(5)得到
UmF|k>=ω-mkF|k>。 (6)
可以得出结论,在忽略全局因子ω-mk的情况下,量子底特移位操作Um不会改变粒子F|k>的状态。
现在,对本发明的方法进行一个明确的描述。假设有n个参与者P
1,P
2,…,P
n,每个参与者P
i(i=1,2,…,n)的秘密用x
i表示。x
i的二进制表示为
即
其中
并且l=1,2,…,L。她们在半忠诚TP的帮助下比较她们秘密的相等性。TP是半忠诚的,意味着她被允许按照自己意愿错误行事,但不允许与其他任何人勾结。需要注意的是,这种半忠诚的TP属于文献[25]中TP的第二种半忠诚模型。
本发明设计的基于n级单粒子的环型多方量子隐私比较方法包括以下四个步骤。
S1)第三方P
0和P
i(i=1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Q
i,其中
以及l=1,2,…,L。P
0制备L个单粒子|k
1>,|k
2>,…,|k
L>,这些粒子是从集合T
1中随机选择并构成粒子序列H。与此同时,P
0制备L个单粒子F|k
1>,F|k
2>,…,F|k
L>,这些粒子是从集合T
2中随机选择并构成粒子序列V。这里,k
l∈{0,1,…,n-1},l=1,2,…,L。然后,P
0将粒子|k
l>和F|k
l>分别从序列H和序列V中挑选出来,构成粒子组(|k
l>,F|k
l>),用
表示。在每组
中,粒子|k
l>和F|k
l>的位置是随机的,只有P
0知道它们的位置。在这之后,P
0制备2L个诱骗光子,每个诱骗光子都是从集合T
1和T
2中随机选择。P
0将诱骗光子随机插入到
中,构成新的序列S
0。最后,P
0将序列S
0发送给P
1。
S2)对于i=1,2,…,n:
在Pi确认收到来自Pi-1发送过来的粒子后,Pi和Pi-1对传输的序列Si-1进行安全检测。首先Pi-1宣布来自集合T2中诱骗光子的位置和制备基;根据公布的信息,Pi用T2基去测量相应位置上的粒子并将测量结果告诉Pi-1;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pi-1可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,Pi-1告诉Pi来自集合T1中诱骗光子的位置和制备基。然后,Pi用T1基去测量相应位置上的粒子并将测量结果告诉Pi-1;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pi-1可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信继续进行。
将序列S
i-1中的诱骗光子移除之后,为了编码她的二进制秘密
P
i对粒子组
中两个粒子
和F|k
l>施加量子底特移位操作
来编码自己的秘密。需要注意的是,只有P
i和P
0知道
的真实值,其他任何人都不知道。这里,
l=1,2,…,L。经过移位操作之后,粒子
的状态将会被转变成为
而根据定理1,粒子F|k
l>的状态将不会被改变。序列
在经过P
i的编码操作之后变为
然后,P
i制备2L个诱骗光子,每一个诱骗光子都是从集合T
1和T
2中随机选择。P
i将这些诱骗光子随机插入到
中构成新的序列S
i。最后,P
i将序列S
i发送给P
i+1。需要指出的是,P
n将序列S
n发送给P
0。
S3)在P0确认收到来自Pn发送过来的粒子后,Pn和P0对传输序列Sn进行安全检测。首先,Pn宣布来自集合T2的诱骗光子所对应的位置和制备基;根据公布的信息,P0用T2基去测量相应位置上的粒子并将测量结果发送给Pn;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pn可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,Pn告诉P0来自集合T1中诱骗光子的位置和制备基。然后,P0用T1基去测量相应位置上的粒子并将测量结果发送给Pn;通过比较诱骗光子的测量结果和相应粒子的初始制备态,Pn可以计算错误率;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信继续进行。
P0将序列Sn中的诱骗光子移除。P0知道剩余粒子所对应的测量基,因为Pi(i=1,2,…,n)并没有改变P0所制备的初始粒子的顺序,只是对粒子进行量子底特移位操作来编码自己的秘密而已。P0用T2基对来自集合T2的粒子进行测量,并将测量结果与相应的初始制备状态进行比较;如果错误率超过阈值,通信将会被终止并重新从步骤S1开始,否则,通信将进行下一步。
S4)P
0用T
1基去测量粒子
并得到测量值
需要指出的是,P
0知道
的值,这里,l=1,2,…,L。然后,P
0计算
对于l=1,2,…,L,如果Dl=0都成立,P0可以得出P1,P2,…,Pn的秘密相等;否则,她将得出P1,P2,…,Pn的秘密不相等。最后,P0通过经典信道向P1,P2,…,Pn公布比较结果。
2协议分析
这里将对本发明方法的输出结果正确性和安全性进行分析。首先证明本发明方法的输出结果是正确的;其次,论证外部攻击和参与者攻击对于本发明方法是无效的。
2.1输出结果的正确性
假设有n个参与者P
1,P
2,…,P
n,每个参与者P
i(i=1,2,…,n)各自拥有秘密x
i。x
i所对应的二进制为
即
其中
并且l=1,2,…,L。这里,以x
i中的第l个比特,即
为例进行说明本方法输出结果的正确性。对于i=1,2,…,n,P
i通过施加量子底特移位操作
在粒子
上来编码自己的秘密
在所有参与者对粒子|k
l>进行编码操作之后,粒子|k
l>的最终状态将转变为
然后,P
0用T
1基去测量粒子并得到
的值。在这之后,P
0计算D
l。根据式(8),显然,当且仅当
时,才会有D
l=0;否则,D
l≠0。最后,P
0向P
1,P
2,…,P
n公布比较结果。
基于上述分析,可以知道,当且仅当D1=D2=…=DL=0时,x1=x2=…=xn;否则,x1,x2,…,xn不完全相等。现在可以得出结论,本发明方法输出的比较结果是正确的。
2.2安全性
2.2.1外部攻击
这里分析外部攻击者窃取n个参与者秘密的可能性。
在本发明的方法中,粒子在步骤S1和S2中通过量子信道进行传输。外部窃听者可能会在这些粒子的传输过程中发起一些著名的攻击(例如截获-重发攻击,测量-重发攻击以及纠缠-测量攻击)来获取关于参与者秘密的有用信息。然而,这些步骤都采用诱骗光子技术[43,44]来保证粒子传输的安全性。诱骗光子技术,可以被认为是已被文献[45]证明是无条件安全的BB84方法[1]的窃听检查方法的一种变体。文献[46,47]已经验证了诱骗光子技术在二级量子系统中对截获-重发攻击、测量-重发攻击和纠缠-测量攻击的有效性。显然,在n级量子系统中,诱骗光子技术对于这些著名的攻击也是有效的。因此,外部窃听者在不被步骤S2和S3的窃听检测过程发现的情况下,是无法获得有关参与者秘密的有用信息。
在步骤S4中,P0宣布比较结果。既使外部窃听者知道比较结果,也无助于她获取参与者的秘密。
此外,需要指出的是,为了抵抗不可见光子的特洛伊木马攻击[48],接收者应该在她的设备前面插入一个过滤器来滤除非法波长的光子信号[49,50]。另外,为了抵抗延迟光子木马攻击[49,51],接收者应采用光子数分离器(PNS:50/50)将每个样本量子信号分成两部分,然后用适当的测量基测量经过PNS后的信号[49,50]。如果多光子率高得不合理,这种攻击就会被发现。
2.2.2参与者攻击
在2007年,Gao等[52]首次指出,不忠诚参与者的攻击通常更强大,应该更加被关注。此后,这种攻击被称为参与者攻击,并引起了人们对量子密码学中密码分析的浓厚兴趣[53-55]。这里考虑两种参与者攻击情况。首先分析一个或多个不忠诚参与者的攻击;其次,分析来自半忠诚P0的参与者攻击。
情形1:来自一个或多个不忠诚参与者的攻击
这种情况应该考虑以下两种情形:不忠诚的一方想窃取其他各方的秘密,以及两个或两个以上不忠诚参与者合谋窃取其他参与者的秘密。
(a)来自一个不忠诚参与者的攻击
在本发明的方法中,Pi(i=1,2,…,n)接收来自Pi-1的粒子,以及发送粒子给Pi+1。需要注意的是,Pn是将粒子发送给P0。不失一般性,在这种情形下,假设只有P2是不忠诚的,她想要窃取其他参与者的秘密。
首先,考虑P
2想要窃取P
1秘密的情况。在P
1和P
2进行窃听检测之后,为了窃取P
1的秘密,P
2先移除诱骗光子,然后对剩下的粒子
(l=1,2,…,L)以及F|k
l>用T
1基进行测量。然而,P
2仍然得不到
因为:一方面,她不知道粒子
和F|k
l>的原始顺序;另一方面,她仍然不知道k
l以及
的值。更为严重得是,她将无可避免地在步骤S3的窃听检测中被P
2发现,因为她的攻击改变了粒子F|k
l>的状态。因此,P
2不能获得P
1的秘密。
然后,考虑P2想要窃取P3秘密的情况。为了获得P3的秘密,P2可能采取以下攻击手段:P2用T1基制备假粒子,并用这些假粒子代替那些来自P1的粒子发送给P3。在P3编码好自己秘密之后,P2截获P3发送给P4的粒子,并用T1基测量这些粒子,然后将测量后的粒子发送给P4。然而,P2仍然不能得到P3的秘密,因为她不知道她制备的假粒子在P3发送给P4的粒子序列中的位置。更为严重得是,由于她的这种攻击无可避免地改变了P3制备的来自集合T2的诱骗光子的状态,她将会在P3和P4进行窃听检测时被发现。因此,P2不能获得P3的秘密。
最后,考虑P2想要窃取Pj(j≠1,j≠3)秘密的情况。在本发明的方法中,P2与Pj之间并没有任何粒子传输。为了获得Pj的秘密,P2可能会对Pj与Pj+1之间传输的粒子进行攻击。在这种情况下,她本质上相当于一个外部窃听者。正如在2.2.1小节中所分析的,如果她发动攻击,她将不可避免地被发现,因为她不知道传输粒子中Pj所制备的诱骗光子的位置和制备基。因此,P2不能获得Pj的秘密。
可以得出结论,一个不忠诚参与者无法获得其他参与者的秘密。
(b)来自两个或两个以上不忠诚参与者的攻击
当不忠诚参与者的数量是n-1时,来自两个或更多个不忠诚参与者的攻击的极端情况将出现。在这种极端情况下,联合在一起的不忠诚参与者的能力是最强大的。
首先,考虑不忠诚参与者P
2,P
3,…,P
n相互勾结在一起去窃取忠诚参与者P
1的秘密的情况。在与P
1进行窃听检测之后,为了获得P
1的秘密,她们首先移除诱骗光子,然后对剩余的粒子
(l=1,2,…,L)以及F|k
l>用T
1基进行测量。然而,她们仍然得不到
因为她们不知道粒子
和F|k
l>的原始顺序以及k
l和
的值。并且,由于她们的这种攻击改变了粒子F|k
l>的状态,将无可避免地在步骤S3的窃听检测中被P
0发现。因此,P
2,P
3,…,P
n不能获得P
1的秘密。
然后,考虑不忠诚参与者P1,P2,…,Pn-1相互勾结在一起去窃取忠诚参与者Pn的秘密的情况。在这种情况下,P1,P2,…,Pn-1首先用T1基制备假粒子,并用这些假粒子代替来自P0的粒子发送给Pn。在Pn编码好自己秘密之后,她们截获Pn发送给P0的粒子,并用T1基测量这些粒子,然后将测量后的粒子发送给P0。然而,她们仍然不能得到Pn的秘密,因为她们不知道她们制备的假粒子在Pn发送给P0的粒子序列中的位置。更为严重的是,由于她们的这种攻击无可避免地改变了Pn制备的来自集合T2的诱骗光子的状态,她们将会在Pn和P0进行窃听检测时被发现。因此,P1,P2,…,Pn-1不能获得Pn的秘密。
最后,考虑不忠诚参与者P
1,…,P
m-1,P
m+1,…,P
n相互勾结在一起去窃取忠诚参与者P
m秘密的情况。这里,m=2,3,…,n-1。在这种情况下,她们首先用T
1基制备假粒子,并用这些假粒子代替来自P
0的粒子发送给P
m。在P
m编码好自己秘密之后,P
m将编码好的粒子与诱骗光子一起发送给P
m+1。在窃听检测之后,她们移除诱骗光子,用T
1基测量这些粒子并得到P
m所做的编码操作。在这之后,她们对来自P
0的粒子做与P
m相同的编码操作。最后,她们将编码好的粒子与诱骗光子一起发送给P
0。通过这种攻击,她们可以得到
的值并且不会被P
0检测到。这里,l=1,2,…,L。然而,这个信息还是无法帮助她们获得P
m的秘密
因为她们没有机会得到
因此,P
1,…,P
m-1,P
m+1,…,P
n不能获得P
m的秘密。
可以得出结论,n-1个不忠诚参与者不能获得其他参与者的秘密。
情形2:来自半忠诚P0的参与者攻击
在本发明的方法中,P0可以发起任何攻击,除了与他人合谋外。
首先,考虑P0想要窃取P1秘密的情况。为了窃取P1的秘密,P0可能会采取以下手段:她首先正常执行方法,将自己制备的粒子发送给P1;在P1编码好自己秘密之后,P0截获P1发送给P2的粒子,并用T1基测量这些粒子;最后,P0将测量后的粒子发送给P2。然而,P0仍然不能得到P1的秘密,因为她不知道她所制备的粒子在P1发送给P2的粒子序列中的位置。更为严重得是,由于她的这种攻击无可避免地改变了P1制备的来自集合T2的诱骗光子的状态,她将会在P1和P2进行窃听检测时被发现。因此,P0不能获得P1的秘密。
然后,考虑P0想要窃取Pr秘密的情况。这里,r=2,3,…,n-1。在本发明的方法中,P0与Pr之间并没有任何的粒子传输。为了获得Pr的秘密,P0可能会对Pr与Pr+1之间传输的粒子进行攻击。在这种情况下,她本质上相当于一个外部窃听者。正如在2.2.1小节中所分析的,如果她发动攻击,她将不可避免地被发现,因为她不知道传输粒子中Pr所制备的诱骗光子的位置和制备基。因此,P0不能获得Pr的秘密。
最后,考虑P
0想要窃取P
n秘密的情况。在步骤S3,窃听检测之后,为了获取P
n的秘密,P
0用T
1基对她手中剩余的粒子
进行测量,并获得相应的测量值
这里,l=1,2,…,L。尽管P
0知道k
l以及
但是这些信息仍然无法帮助P
0获得
因此,P
0不能获得P
n的秘密。
现在可以得出结论,P0不知道任何一个参与者的秘密。需要指出的是,P0知道相等性的比较结果。
实施例
1多方量子隐私比较方法应用举例
这里以第l(l=1,2,…,L)个粒子为例对本发明的方法进行举例说明。P
i(i=1,2,…,n)通过施加量子底特移位操作
在第l个粒子
上来编码自己的秘密
在所有参与者对粒子|k
l>进行编码操作之后,粒子|k
l>的最终状态将转变为
然后,P
0用T
1基去测量粒子并得到
的值。在这之后,P
0计算D
l。根据式(8),显然,当且仅当
时,才会有D
l=0;否则,D
l≠0。基于上述分析,可以知道,当且仅当D
1=D
2=…=D
L=0时,x
1=x
2=…=x
n;否则,x
1,x
2,…,x
n不完全相等。最后,P
0向P
1,P
2,…,P
n公布比较结果。
2讨论
在忽略安全检测的情况下,这里将本发明方法与文献[36-42]中的MQPC方法进行比较。表1对这些方法的性能进行了归纳。注意,文献[38]中有两个MQPC方法,分别用文献[38]-A和[38]-B表示。本发明方法的优势在于它只需要单粒子作为量子资源,而表1中的其他MQPC方法都使用纠缠态作为量子资源。
表1本发明的方法与文献[36-42]中的MQPC方法之间的比较
3总结
本发明提出一个基于n级单粒子的环型MQPC方法,以环型方式传输粒子。TP被允许按照自己意愿错误行事,但不允许与其他任何人勾结。在本发明的方法中,n个参与者使用量子底特移位操作来编码各自的秘密,并且只执行一次方法就能比较出所有参与者秘密的相等性。本发明详细验证了所提出的方法可以抵抗外部攻击和参与者攻击。需要指出的是,任何一个参与者都无法获得其他参与者的秘密。此外,TP也不能知道任何参与者的秘密。