CN108599947B - 基于n级单粒子的环型多方量子隐私比较方法 - Google Patents

Abstract

本发明提出一种基于n级单粒子的环型多方量子隐私比较方法，采用环型粒子传输方式。第三方是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人合谋。在本发明的方法中，n个参与者利用量子底特移位操作编码自己的秘密，并且执行一次本方法就能比较出各自秘密的相等性。本发明的方法可以抵抗外部攻击和参与者攻击，特别地，每个参与者的秘密对于其他参与者以及第三方都是未知的。

Description

基于n级单粒子的环型多方量子隐私比较方法

技术领域

本发明涉及量子密码学领域。本发明设计一种基于n级单粒子的环型多方量子隐私比较方法，在一个第三方的帮助下实现n个参与者秘密相等性的比较。

背景技术

传统密码学的安全性依赖于数学问题的计算复杂性，易受具有强大计算能力的量子并行计算的影响。幸运地是，Bennett和Brassard[1]在1984年提出的量子密码基于量子力学原理可以实现无条件安全性。量子密码引起了广泛的关注，并建立了许多有趣的分支，如量子密钥分发(Quantum key distribution，QKD)[1-7]，量子安全直接通信(Quantumsecure direct communication，QSDC)[8-11]，量子秘密共享(Quantum secret sharing，QSS)[12-18]等。

隐私比较方法可以追溯到Yao[19]提出的百万富翁问题。在百万富翁问题中，两位百万富翁想要在不了解彼此实际财产的情况下判断谁更富有。之后，Boudot等[20]提出了一个判断两位百万富翁是否同样富有的隐私比较方法。不幸地是，Lo[21]指出，在两方隐私比较中构建一个安全的相等函数是不可能的。因此，需要考虑引入一些额外的假设，例如第三方(Third party,TP)，来实现隐私比较。

量子隐私比较(Quantum private comparison，QPC)，可以看作经典隐私比较在量子力学领域的扩展，最初由Yang和Wen[22]提出。QPC的目标是通过利用量子力学的原理来判断来自不同方的隐私输入是否相等，并且它们的真实内容不会被泄露出去。近年来，QPC方法的设计和分析成功引起了人们的广泛关注。因此，许多两方QPC方法[22-35]已经被提出来。

但是，上述QPC方法仅适用于两方的隐私比较。幸运地是，在2013年，Chang[36]等首次提出基于多粒子GHZ类态的多方量子隐私比较(Multiparty quantum privatecomparison,MQPC)方法，可以只执行一次方法就完成任意一对参与者之间秘密相等性的比较。在这之后，许多基于多级系统的MQPC方法[37-42]被构建出来。例如，Liu等[37]在2014年提出一个基于d级基态的不需要纠缠交换的MQPC方法；在2017年，Ji和Ye[39]提出一个基于d级Bell态和d级Cat态纠缠交换的MQPC方法。

基于上述分析，本发明提出一种新颖的基于n级单粒子的环型MQPC方法。本发明的方法以环型方式传输粒子，并且在半忠诚TP的帮助下可以只执行一次方法就实现n个参与者秘密相等性的比较。这里，TP是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人勾结。

参考文献

[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175-179(1984)

[2]Ekert,A.K.:Quantum cryptography based on bells theorem.Phys RevLett 67(6),661-663(1991)

[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys Rev Lett 68(21),3121-3124(1992)

[4]Cabello,A.:Quantum key distribution in the Holevo limit.Phys RevLett 85(26),5635(2000)

[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys Rev Lett 91(5),057901(2003)

[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys Rev A 78(2),022321(2008)

[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et al.:Delayed errorverification in quantum key distribution.Chin Sci Bull 59(23),2825-2828(2014)

[8]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A 68(4),042317(2003)

[9]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin Phys B 20(10),100309(2011)

[10]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys Lett A 358(4),256-258(2006)

[11]Chong,S.K.,Hwang,T.:The enhancement of three-party simultaneousquantum secure direct communication scheme with EPR pairs.Opt Commun 284(1),515-518(2011)

[12]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys RevA 59(3),1829-1834(1999)

[13]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secretsharing and secret splitting.Phys Rev A 59(1),162-168(1999)

[14]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantum secret.PhysRev Lett 83(3),648-651(1999)

[15]Gottesman,D.:Theory of quantum secret sharing.Phys Rev A 61(4),042311(2000)

[16]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping.Phys Lett A 324(5),420-424(2004)

[17]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys Lett A 340(1-4),43-50(2005)

[18]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys Rev A 82(6),062315(2010)

[19]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rdIEEE Symposium on Foundations of Computer Science (FOCS’82),Washington,DC,p.160(1982)

[20]Boudot,F.,Schoenmakers,B.,Traore,J.:A fair and efficient solutionto the socialist millionaires’problem.Discret Appl Math 111(1-2),23-36(2001)

[21]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A 56(2),1154-1162(1997)

[22]Yang,Y.G.,Wen,Q.Y.:An efficient two-party quantum privatecomparison protocol with decoy photons and two-photon entanglement.J Phys AMath Theor 42,055305(2009)

[23]Chen,X.B.,Xu,G.,Niu,X.X.,Wen,Q.Y.,Yang,Y.X.:An efficient protocolfor the private comparison of equal information based on the tripletentangled state and single-particle measurement.Opt Commun 283,1561(2010)

[24]Tseng,H.Y.,Lin,J.,Hwang,T.:New quantum private comparisonprotocol using EPR pairs.Quantum Inf Process 11,373-384(2012)

[25]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process 12,877-885(2013)

[26]Chen,X.B.,Su,Y.,Niu,X.X.,Yang,Y.X.:Efficient and feasible quantumprivate comparison of equality against the collective amplitude dampingnoise.Quantum Inf Process 13,101-112(2014)

[27]Zi,W.,Guo,F.Z.,Luo,Y.,Cao,S.H.,Wen,Q.Y.:Quantum privatecomparison protocol with the random rotation.Int J Theor Phys 52,3212-3219(2013)

[28]Liu,W.,Wang,Y.B.,Cui,W.:Quantum private comparison protocol basedon Bell entangled states.Commun Theor Phys 57,583-588(2012)

[29]Li,J.,Zhou,H.F.,Jia,L.,Zhang,T.T.:An efficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys 53(7),2167-2176(2014)

[30]Liu,X.T.,Zhang,B.,Wang,J.,Tang,C.J.,Zhao,J.J.:Differential phaseshift quantum private comparison.Quantum Inf Process 13,71-84(2014)

[31]Sun,Z.W.,Long,D.Y.:Quantum private comparison protocol based oncluster states.Int J Theor Phys 52,212-218(2013)

[32]Lin,S.,Guo,G.D.,Liu,X.F.:Quantum private comparison of equalitywithχ-type entangled states.Int J Theor Phys 52,4185-4194 (2013)

[33]Zhang,W.W.,Li,D.,Li,Y.B.:Quantum private comparison protocol withW States.Int J Theor Phys 53(5),1723-1729(2014)

[34]Wang,C.,Xu,G.,Yang,Y.X.:Cryptanalysis and improvements for thequantum private comparison protocol using EPR pairs.Int J Quantum Inf 11,1350039(2013)

[35]Ji,Z.X.,Ye,T.Y.:Quantum private comparison of equal informationbased on highly entangled six-qubit genuine state.Commun Theor Phys 65,711-715(2016)

[36]Chang,Y.J.,Tsai,C.W.,Hwang,T.:Multi-user private comparisonprotocol using GHZ class states.Quantum Inf Process 12,1077-1088(2013)

[37]Liu,W.,Wang,Y.B.,Wang,X.M.:Multi-party quantum private comparisonprotocol usingddimensional basis states without entanglement swapping.Int JTheor Phys 53,1085-1091(2014)

[38]Wang,Q.L.,Sun,H.X.,Huang,W.:Multi-party quantum privatecomparison protocol withn-level entangled states.Quantum Inf Process 13,2375-2389(2014)

[39]Ji,Z.X.,Ye,T.Y.:Multi-party quantum private comparison based onthe entanglement swapping ofd-level cat states andd-level Bell states.QuantumInf Process 16(7),177(2017)

[40]Luo,Q.B.,Yang,G.W,She,K.,Niu,W.N.,Wang,Y.Q.:Multi-party quantumprivate comparison protocol based ond-dimensional entangled states.QuantumInf Process 13,2343-2352(2014)

[41]Huang,S.L.,Hwang,T.,Gope,P.:Multi-party quantum privatecomparison with an almost-dishonest third party.Quantum Inf Process 14(11),4225-4235(2015)

[42]Hung,S.M.,Hwang,S.L.,Hwang,T.,Kao,S.H.:Multiparty quantum privatecomparison with almost dishonest third parties for strangers.Quantum InfProcess 16(2),36(2017)

[43]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett 22(5),1049(2005)

[44]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficientquantum cryptography network without entanglement and quantum memory.ChinPhys Lett 23(11),2896(2006)

[45]Shor,P.W.,Preskill,J.:Simple proof of security of the BB84quantum key distribution protocol.Phys Rev Lett 2000,85(2):441

[46]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure directcommunication via entanglement swapping.Chin Phys Lett 2007,24(1):19

[47]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectionalquantum direct communication using a GHZ state.Chin Phys Lett 2013,30(4):040305

[48]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A 2006,351(1-2):23-25

[49]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168

[50]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order of particles.PhysRev A 2006,74:054302

[51]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.RevMod Phys 2002,74(1):145-195

[52]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput 7,329(2007)

[53]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys Lett A 360(6),748-750(2007)

[54]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participantattack on a kind of MQSS schemes based on entanglement swapping.Eur Phys J D56(3),445-448(2010)

[55]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A 76(6),062324(2007)

发明内容

本发明设计一种基于n级单粒子的环型多方量子隐私比较方法，在一个TP的帮助下实现n个参与者秘密相等性的比较。

一种基于n级单粒子的环型多方量子隐私比较方法，共包括以下四个步骤：

S1)第三方P₀和P_i(i＝1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Q_i，其中

以及l＝1,2,…,L。P₀制备L个单粒子|k₁>,|k₂>,…,|k_L>，这些粒子是从集合T₁中随机选择并构成粒子序列H。与此同时，P₀制备L个单粒子F|k₁>,F|k₂>,…,F|k_L>，这些粒子是从集合T₂中随机选择并构成粒子序列V。这里，k_l∈{0,1,…,n-1}，l＝1,2,…,L。然后，P₀将粒子|k_l>和F|k_l>分别从序列H和序列V中挑选出来，构成粒子组(|k_l>,F|k_l>)，用

表示。在每组

中，粒子|k_l>和F|k_l>的位置是随机的，只有P₀知道它们的位置。在这之后，P₀制备2L个诱骗光子，每个诱骗光子都是从集合T₁和T₂中随机选择。P₀将诱骗光子随机插入到

中，构成新的序列S₀。最后，P₀将序列S₀发送给P₁。

S2)对于i＝1,2,…,n：

在P_i确认收到来自P_i-1发送过来的粒子后，P_i和P_i-1对传输的序列S_i-1进行安全检测。首先P_i-1宣布来自集合T₂中诱骗光子的位置和制备基；根据公布的信息，P_i用T₂基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_i-1告诉P_i来自集合T₁中诱骗光子的位置和制备基。然后，P_i用T₁基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

将序列S_i-1中的诱骗光子移除之后，为了编码她的二进制秘密

P_i对粒子组

中两个粒子

和F|k_l>施加量子底特移位操作

来编码自己的秘密。需要注意的是，只有P_i和P₀知道

的真实值，其他任何人都不知道。这里，

l＝1,2,…,L。经过移位操作之后，粒子

的状态将会被转变成为

而根据定理1,粒子F|k_l>的状态将不会被改变，其中定理1是指量子底特移位操作U_m作用在粒子F|k>上将不会改变其状态，k∈{0,1,…,n-1}。序列

在经过P_i的编码操作之后变为

然后，P_i制备2L个诱骗光子，每一个诱骗光子都是从集合T₁和T₂中随机选择。P_i将这些诱骗光子随机插入到

中构成新的序列S_i。最后，P_i将序列S_i发送给P_i+1。需要指出的是，P_n将序列S_n发送给P₀。

S3)在P₀确认收到来自P_n发送过来的粒子后，P_n和P₀对传输序列S_n进行安全检测。首先，P_n宣布来自集合T₂的诱骗光子所对应的位置和制备基；根据公布的信息，P₀用T₂基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_n告诉P₀来自集合T₁中诱骗光子的位置和制备基。然后，P₀用T₁基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

P₀将序列S_n中的诱骗光子移除。P₀知道剩余粒子所对应的测量基，因为P_i(i＝1,2,…,n)并没有改变P₀所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已。P₀用T₂基对来自集合T₂的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步。

S4)P₀用T₁基去测量粒子

并得到测量值

需要指出的是，P₀知道

的值，这里，l＝1,2,…,L。然后，P₀计算

和

对于l＝1,2,…,L，如果D_l＝0都成立，P₀可以得出P₁,P₂,…,P_n的秘密相等；否则，她将得出P₁,P₂,…,P_n的秘密不相等。最后，P₀通过经典信道向P₁,P₂,…,P_n公布比较结果。

具体实施方式

下面结合本发明的具体步骤对本发明的技术方案做进一步描述。

1多方量子隐私比较方法

在一个n级量子系统中，单粒子的一组常见的测量基可以表示为：

T₁＝{|k>},k∈{0,1,…,n-1}。 (1)

集合T₁中的每个量子态都两两相互正交。集合T₁中的量子态经过n级离散量子傅立叶变换F之后，将会转变成为另一组基

其中，

集合T₂中的每个量子态也都两两相互正交。集合T₁和T₂是两组相互共轭基。量子底特移位操作表示为

其中m＝{0,1,…,n-1}，符号

表示模n加法。容易验证，量子底特移位操作U_m作用在粒子|k>之后，粒子状态将会转变为

定理1.量子底特移位操作U_m作用在粒子F|k>上将不会改变其状态。

证明：(i)量子底特移位操作U₁作用在粒子F|k>上，粒子状态将会变为

用t(t∈{1,2,…,n-1})替换r+1，式(4)将会转变为

(ii)显然，量子底特移位操作U_m的效果等价于操作U₁m次。

因此，可以从式(5)得到

U_mF|k>＝ω^-mkF|k>。 (6)

可以得出结论，在忽略全局因子ω^-mk的情况下，量子底特移位操作U_m不会改变粒子F|k>的状态。

现在，对本发明的方法进行一个明确的描述。假设有n个参与者P₁,P₂,…,P_n，每个参与者P_i(i＝1,2,…,n)的秘密用x_i表示。x_i的二进制表示为

即

其中

并且l＝1,2,…,L。她们在半忠诚TP的帮助下比较她们秘密的相等性。TP是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人勾结。需要注意的是，这种半忠诚的TP属于文献[25]中TP的第二种半忠诚模型。

本发明设计的基于n级单粒子的环型多方量子隐私比较方法包括以下四个步骤。

S1)第三方P₀和P_i(i＝1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Q_i，其中

以及l＝1,2,…,L。P₀制备L个单粒子|k₁>,|k₂>,…,|k_L>，这些粒子是从集合T₁中随机选择并构成粒子序列H。与此同时，P₀制备L个单粒子F|k₁>,F|k₂>,…,F|k_L>，这些粒子是从集合T₂中随机选择并构成粒子序列V。这里，k_l∈{0,1,…,n-1}，l＝1,2,…,L。然后，P₀将粒子|k_l>和F|k_l>分别从序列H和序列V中挑选出来，构成粒子组(|k_l>,F|k_l>)，用

表示。在每组

中，粒子|k_l>和F|k_l>的位置是随机的，只有P₀知道它们的位置。在这之后，P₀制备2L个诱骗光子，每个诱骗光子都是从集合T₁和T₂中随机选择。P₀将诱骗光子随机插入到

中，构成新的序列S₀。最后，P₀将序列S₀发送给P₁。

S2)对于i＝1,2,…,n：

在P_i确认收到来自P_i-1发送过来的粒子后，P_i和P_i-1对传输的序列S_i-1进行安全检测。首先P_i-1宣布来自集合T₂中诱骗光子的位置和制备基；根据公布的信息，P_i用T₂基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_i-1告诉P_i来自集合T₁中诱骗光子的位置和制备基。然后，P_i用T₁基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

将序列S_i-1中的诱骗光子移除之后，为了编码她的二进制秘密

P_i对粒子组

中两个粒子

和F|k_l>施加量子底特移位操作

来编码自己的秘密。需要注意的是，只有P_i和P₀知道

的真实值，其他任何人都不知道。这里，

l＝1,2,…,L。经过移位操作之后，粒子

的状态将会被转变成为

而根据定理1,粒子F|k_l>的状态将不会被改变。序列

在经过P_i的编码操作之后变为

然后，P_i制备2L个诱骗光子，每一个诱骗光子都是从集合T₁和T₂中随机选择。P_i将这些诱骗光子随机插入到

中构成新的序列S_i。最后，P_i将序列S_i发送给P_i+1。需要指出的是，P_n将序列S_n发送给P₀。

S3)在P₀确认收到来自P_n发送过来的粒子后，P_n和P₀对传输序列S_n进行安全检测。首先，P_n宣布来自集合T₂的诱骗光子所对应的位置和制备基；根据公布的信息，P₀用T₂基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_n告诉P₀来自集合T₁中诱骗光子的位置和制备基。然后，P₀用T₁基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

P₀将序列S_n中的诱骗光子移除。P₀知道剩余粒子所对应的测量基，因为P_i(i＝1,2,…,n)并没有改变P₀所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已。P₀用T₂基对来自集合T₂的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步。

S4)P₀用T₁基去测量粒子

并得到测量值

需要指出的是，P₀知道

的值，这里，l＝1,2,…,L。然后，P₀计算

对于l＝1,2,…,L，如果D_l＝0都成立，P₀可以得出P₁,P₂,…,P_n的秘密相等；否则，她将得出P₁,P₂,…,P_n的秘密不相等。最后，P₀通过经典信道向P₁,P₂,…,P_n公布比较结果。

2协议分析

这里将对本发明方法的输出结果正确性和安全性进行分析。首先证明本发明方法的输出结果是正确的；其次，论证外部攻击和参与者攻击对于本发明方法是无效的。

2.1输出结果的正确性

假设有n个参与者P₁,P₂,…,P_n，每个参与者P_i(i＝1,2,…,n)各自拥有秘密x_i。x_i所对应的二进制为

即

其中

并且l＝1,2,…,L。这里，以x_i中的第l个比特，即

为例进行说明本方法输出结果的正确性。对于i＝1,2,…,n，P_i通过施加量子底特移位操作

在粒子

上来编码自己的秘密

在所有参与者对粒子|k_l>进行编码操作之后，粒子|k_l>的最终状态将转变为

然后，P₀用T₁基去测量粒子并得到

的值。在这之后，P₀计算D_l。根据式(8)，显然，当且仅当

时，才会有D_l＝0；否则，D_l≠0。最后，P₀向P₁,P₂,…,P_n公布比较结果。

基于上述分析，可以知道，当且仅当D₁＝D₂＝…＝D_L＝0时，x₁＝x₂＝…＝x_n；否则，x₁,x₂,…,x_n不完全相等。现在可以得出结论，本发明方法输出的比较结果是正确的。

2.2安全性

2.2.1外部攻击

这里分析外部攻击者窃取n个参与者秘密的可能性。

在本发明的方法中，粒子在步骤S1和S2中通过量子信道进行传输。外部窃听者可能会在这些粒子的传输过程中发起一些著名的攻击(例如截获-重发攻击，测量-重发攻击以及纠缠-测量攻击)来获取关于参与者秘密的有用信息。然而，这些步骤都采用诱骗光子技术[43,44]来保证粒子传输的安全性。诱骗光子技术，可以被认为是已被文献[45]证明是无条件安全的BB84方法[1]的窃听检查方法的一种变体。文献[46,47]已经验证了诱骗光子技术在二级量子系统中对截获-重发攻击、测量-重发攻击和纠缠-测量攻击的有效性。显然，在n级量子系统中，诱骗光子技术对于这些著名的攻击也是有效的。因此，外部窃听者在不被步骤S2和S3的窃听检测过程发现的情况下，是无法获得有关参与者秘密的有用信息。

在步骤S4中，P₀宣布比较结果。既使外部窃听者知道比较结果，也无助于她获取参与者的秘密。

此外，需要指出的是，为了抵抗不可见光子的特洛伊木马攻击[48]，接收者应该在她的设备前面插入一个过滤器来滤除非法波长的光子信号[49,50]。另外，为了抵抗延迟光子木马攻击[49,51]，接收者应采用光子数分离器(PNS：50/50)将每个样本量子信号分成两部分，然后用适当的测量基测量经过PNS后的信号[49,50]。如果多光子率高得不合理，这种攻击就会被发现。

2.2.2参与者攻击

在2007年，Gao等[52]首次指出，不忠诚参与者的攻击通常更强大，应该更加被关注。此后，这种攻击被称为参与者攻击，并引起了人们对量子密码学中密码分析的浓厚兴趣[53-55]。这里考虑两种参与者攻击情况。首先分析一个或多个不忠诚参与者的攻击；其次，分析来自半忠诚P₀的参与者攻击。

情形1：来自一个或多个不忠诚参与者的攻击

这种情况应该考虑以下两种情形：不忠诚的一方想窃取其他各方的秘密，以及两个或两个以上不忠诚参与者合谋窃取其他参与者的秘密。

(a)来自一个不忠诚参与者的攻击

在本发明的方法中，P_i(i＝1,2,…,n)接收来自P_i-1的粒子，以及发送粒子给P_i+1。需要注意的是，P_n是将粒子发送给P₀。不失一般性，在这种情形下，假设只有P₂是不忠诚的，她想要窃取其他参与者的秘密。

首先，考虑P₂想要窃取P₁秘密的情况。在P₁和P₂进行窃听检测之后，为了窃取P₁的秘密，P₂先移除诱骗光子，然后对剩下的粒子

(l＝1,2,…,L)以及F|k_l>用T₁基进行测量。然而，P₂仍然得不到

因为：一方面，她不知道粒子

和F|k_l>的原始顺序；另一方面，她仍然不知道k_l以及

的值。更为严重得是，她将无可避免地在步骤S3的窃听检测中被P₂发现，因为她的攻击改变了粒子F|k_l>的状态。因此，P₂不能获得P₁的秘密。

然后，考虑P₂想要窃取P₃秘密的情况。为了获得P₃的秘密，P₂可能采取以下攻击手段：P₂用T₁基制备假粒子，并用这些假粒子代替那些来自P₁的粒子发送给P₃。在P₃编码好自己秘密之后，P₂截获P₃发送给P₄的粒子，并用T₁基测量这些粒子，然后将测量后的粒子发送给P₄。然而，P₂仍然不能得到P₃的秘密，因为她不知道她制备的假粒子在P₃发送给P₄的粒子序列中的位置。更为严重得是，由于她的这种攻击无可避免地改变了P₃制备的来自集合T₂的诱骗光子的状态，她将会在P₃和P₄进行窃听检测时被发现。因此，P₂不能获得P₃的秘密。

最后，考虑P₂想要窃取P_j(j≠1,j≠3)秘密的情况。在本发明的方法中，P₂与P_j之间并没有任何粒子传输。为了获得P_j的秘密，P₂可能会对P_j与P_j+1之间传输的粒子进行攻击。在这种情况下，她本质上相当于一个外部窃听者。正如在2.2.1小节中所分析的，如果她发动攻击，她将不可避免地被发现，因为她不知道传输粒子中P_j所制备的诱骗光子的位置和制备基。因此，P₂不能获得P_j的秘密。

可以得出结论，一个不忠诚参与者无法获得其他参与者的秘密。

(b)来自两个或两个以上不忠诚参与者的攻击

当不忠诚参与者的数量是n-1时，来自两个或更多个不忠诚参与者的攻击的极端情况将出现。在这种极端情况下，联合在一起的不忠诚参与者的能力是最强大的。

首先，考虑不忠诚参与者P₂,P₃,…,P_n相互勾结在一起去窃取忠诚参与者P₁的秘密的情况。在与P₁进行窃听检测之后，为了获得P₁的秘密，她们首先移除诱骗光子，然后对剩余的粒子

(l＝1,2,…,L)以及F|k_l>用T₁基进行测量。然而，她们仍然得不到

因为她们不知道粒子

和F|k_l>的原始顺序以及k_l和

的值。并且，由于她们的这种攻击改变了粒子F|k_l>的状态，将无可避免地在步骤S3的窃听检测中被P₀发现。因此，P₂,P₃,…,P_n不能获得P₁的秘密。

然后，考虑不忠诚参与者P₁,P₂,…,P_n-1相互勾结在一起去窃取忠诚参与者P_n的秘密的情况。在这种情况下，P₁,P₂,…,P_n-1首先用T₁基制备假粒子，并用这些假粒子代替来自P₀的粒子发送给P_n。在P_n编码好自己秘密之后，她们截获P_n发送给P₀的粒子，并用T₁基测量这些粒子，然后将测量后的粒子发送给P₀。然而，她们仍然不能得到P_n的秘密，因为她们不知道她们制备的假粒子在P_n发送给P₀的粒子序列中的位置。更为严重的是，由于她们的这种攻击无可避免地改变了P_n制备的来自集合T₂的诱骗光子的状态，她们将会在P_n和P₀进行窃听检测时被发现。因此，P₁,P₂,…,P_n-1不能获得P_n的秘密。

最后，考虑不忠诚参与者P₁,…,P_m-1,P_m+1,…,P_n相互勾结在一起去窃取忠诚参与者P_m秘密的情况。这里，m＝2,3,…,n-1。在这种情况下，她们首先用T₁基制备假粒子，并用这些假粒子代替来自P₀的粒子发送给P_m。在P_m编码好自己秘密之后，P_m将编码好的粒子与诱骗光子一起发送给P_m+1。在窃听检测之后，她们移除诱骗光子，用T₁基测量这些粒子并得到P_m所做的编码操作。在这之后，她们对来自P₀的粒子做与P_m相同的编码操作。最后，她们将编码好的粒子与诱骗光子一起发送给P₀。通过这种攻击，她们可以得到

的值并且不会被P₀检测到。这里，l＝1,2,…,L。然而，这个信息还是无法帮助她们获得P_m的秘密

因为她们没有机会得到

因此，P₁,…,P_m-1,P_m+1,…,P_n不能获得P_m的秘密。

可以得出结论，n-1个不忠诚参与者不能获得其他参与者的秘密。

情形2：来自半忠诚P₀的参与者攻击

在本发明的方法中，P₀可以发起任何攻击，除了与他人合谋外。

首先，考虑P₀想要窃取P₁秘密的情况。为了窃取P₁的秘密，P₀可能会采取以下手段：她首先正常执行方法，将自己制备的粒子发送给P₁；在P₁编码好自己秘密之后，P₀截获P₁发送给P₂的粒子，并用T₁基测量这些粒子；最后，P₀将测量后的粒子发送给P₂。然而，P₀仍然不能得到P₁的秘密，因为她不知道她所制备的粒子在P₁发送给P₂的粒子序列中的位置。更为严重得是，由于她的这种攻击无可避免地改变了P₁制备的来自集合T₂的诱骗光子的状态，她将会在P₁和P₂进行窃听检测时被发现。因此，P₀不能获得P₁的秘密。

然后，考虑P₀想要窃取P_r秘密的情况。这里，r＝2,3,…,n-1。在本发明的方法中，P₀与P_r之间并没有任何的粒子传输。为了获得P_r的秘密，P₀可能会对P_r与P_r+1之间传输的粒子进行攻击。在这种情况下，她本质上相当于一个外部窃听者。正如在2.2.1小节中所分析的，如果她发动攻击，她将不可避免地被发现，因为她不知道传输粒子中P_r所制备的诱骗光子的位置和制备基。因此，P₀不能获得P_r的秘密。

最后，考虑P₀想要窃取P_n秘密的情况。在步骤S3，窃听检测之后，为了获取P_n的秘密，P₀用T₁基对她手中剩余的粒子

进行测量，并获得相应的测量值

这里，l＝1,2,…,L。尽管P₀知道k_l以及

但是这些信息仍然无法帮助P₀获得

因此，P₀不能获得P_n的秘密。

现在可以得出结论，P₀不知道任何一个参与者的秘密。需要指出的是，P₀知道相等性的比较结果。

实施例

1多方量子隐私比较方法应用举例

这里以第l(l＝1,2,…,L)个粒子为例对本发明的方法进行举例说明。P_i(i＝1,2,…,n)通过施加量子底特移位操作

在第l个粒子

上来编码自己的秘密

在所有参与者对粒子|k_l>进行编码操作之后，粒子|k_l>的最终状态将转变为

然后，P₀用T₁基去测量粒子并得到

的值。在这之后，P₀计算D_l。根据式(8)，显然，当且仅当

时，才会有D_l＝0；否则，D_l≠0。基于上述分析，可以知道，当且仅当D₁＝D₂＝…＝D_L＝0时，x₁＝x₂＝…＝x_n；否则，x₁,x₂,…,x_n不完全相等。最后，P₀向P₁,P₂,…,P_n公布比较结果。

2讨论

在忽略安全检测的情况下，这里将本发明方法与文献[36-42]中的MQPC方法进行比较。表1对这些方法的性能进行了归纳。注意，文献[38]中有两个MQPC方法，分别用文献[38]-A和[38]-B表示。本发明方法的优势在于它只需要单粒子作为量子资源，而表1中的其他MQPC方法都使用纠缠态作为量子资源。

表1本发明的方法与文献[36-42]中的MQPC方法之间的比较

3总结

本发明提出一个基于n级单粒子的环型MQPC方法，以环型方式传输粒子。TP被允许按照自己意愿错误行事，但不允许与其他任何人勾结。在本发明的方法中，n个参与者使用量子底特移位操作来编码各自的秘密，并且只执行一次方法就能比较出所有参与者秘密的相等性。本发明详细验证了所提出的方法可以抵抗外部攻击和参与者攻击。需要指出的是，任何一个参与者都无法获得其他参与者的秘密。此外，TP也不能知道任何参与者的秘密。

Claims (1)

1.一种基于n级单粒子的环型多方量子隐私比较方法，在一个半忠诚第三方的帮助下实现n个参与者秘密相等性的比较；n个参与者利用量子底特移位操作编码自己的秘密；只执行一次本方法就能比较出n个参与者秘密的相等性；可以抵抗外部攻击和参与者攻击；每个参与者的秘密对于其他参与者以及第三方都是未知的；共包括以下四个步骤：

S1)第三方P₀和P_i事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Q_i，其中

以及l＝1,2,…,L，i＝1,2,…,n；P₀制备L个单粒子|k₁>,|k₂>,…,|k_L>，这些粒子是从集合T₁中随机选择并构成粒子序列H；与此同时，P₀制备L个单粒子F|k₁>,F|k₂>,…,F|k_L>，这些粒子是从集合T₂中随机选择并构成粒子序列V；这里，k_l∈{0,1,…,n-1}，l＝1,2,…,L；然后，P₀将粒子|k_l>和F|k_l>分别从序列H和序列V中挑选出来，构成粒子组(k_l>,F|k_l>)，用

表示；在每组

中，粒子|k_l>和F|k_l>的位置是随机的，只有P₀知道它们的位置；在这之后，P₀制备2L个诱骗光子，每个诱骗光子都是从集合T₁和T₂中随机选择；P₀将诱骗光子随机插入到

中，构成新的序列S₀；最后，P₀将序列S₀发送给P₁；

S2)对于i＝1,2,…,n：

在P_i确认收到来自P_i-1发送过来的粒子后，P_i和P_i-1对传输的序列S_i-1进行安全检测；首先P_i-1宣布来自集合T₂中诱骗光子的位置和制备基；根据公布的信息，P_i用T₂基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_i-1告诉P_i来自集合T₁中诱骗光子的位置和制备基；然后，P_i用T₁基去测量相应位置上的粒子并将测量结果告诉P_i-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_i-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行；

将序列S_i-1中的诱骗光子移除之后，为了编码P_i的二进制秘密

P_i对粒子组

中两个粒子

和F|k_l>施加量子底特移位操作

来编码自己的秘密；只有P_i和P₀知道

的真实值，其他任何人都不知道；这里，

l＝1,2,…,L；经过移位操作之后，粒子

的状态将会被转变成为

而根据定理1,粒子F|k_l>的状态将不会被改变，其中定理1是指量子底特移位操作U_m作用在粒子F|k>上将不会改变其状态，k∈{0,1,…,n-1}；序列

在经过P_i的编码操作之后变为

然后，P_i制备2L个诱骗光子，每一个诱骗光子都是从集合T₁和T₂中随机选择；P_i将这些诱骗光子随机插入到

中构成新的序列S_i；最后，P_i将序列S_i发送给P_i+1；P_n将序列S_n发送给P₀；

S3)在P₀确认收到来自P_n发送过来的粒子后，P_n和P₀对传输序列S_n进行安全检测；首先，P_n宣布来自集合T₂的诱骗光子所对应的位置和制备基；根据公布的信息，P₀用T₂基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，P_n告诉P₀来自集合T₁中诱骗光子的位置和制备基；然后，P₀用T₁基去测量相应位置上的粒子并将测量结果发送给P_n；通过比较诱骗光子的测量结果和相应粒子的初始制备态，P_n可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行；

P₀将序列S_n中的诱骗光子移除；P₀知道剩余粒子所对应的测量基，因为P_i并没有改变P₀所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已，其中i＝1,2,…,n；P₀用T₂基对来自集合T₂的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步；

S4)P₀用T₁基去测量粒子

并得到测量值

P₀知道

的值，这里，l＝1,2,…,L；然后，P₀计算

和

对于l＝1,2,…,L，如果D_l＝0都成立，P₀可以得出P₁,P₂,…,P_n的秘密相等，否则，将得出P₁,P₂,…,P_n的秘密不相等；最后，P₀通过经典信道向P₁,P₂,…,P_n公布比较结果。