CN109257169B - 顺序通信的可验证门限量子秘密共享方法 - Google Patents

Abstract

本发明公开了一种顺序通信的可验证门限量子秘密共享方法，无需全部share持有者参与即可合作恢复秘密，因此在应用上更具灵活性；同时，无需可信第三方，且提供可以验证的机制来检测欺骗，安全性得到保障，此外，还可以使得每一轮次都能合法的用来进行秘密共享，实用性大大提高。

Description

顺序通信的可验证门限量子秘密共享方法

技术领域

本发明涉及网络与信息安全技术领域，尤其涉及一种顺序通信的可验证门限量子秘密共享方法。

背景技术

1)秘密共享：

(t,n)门限秘密共享的基本思想是将一个秘密分割成n个秘密份额,并将每一个份额分发给一个参与者，只有t(t≤n)个或t个以上的参与者合作才能恢复秘密，少于t个参与者无法恢复秘密，其中t为门限值。

(t,n)门限秘密共享方案有很多种实现方式，其中应用最为广泛的是基于多项式的Shamir秘密共享方案:

该方案假定Dealer是秘密分发者，n是参与者的数目,t是门限值，p是大素数且远大于n；秘密空间与份额空间均为有限域GF(p)。(t,n)门限秘密共享方案分为两个组成部分：

(1)秘密分发阶段：

(i)秘密分发者Dealer随机选择一个GF(p)上的t-1次多项式f(x)＝a₀+a₁x+…+a_{t- 1}x^t-1modd,,其中a₀＝f(0)＝s,s为秘密，Dealer对f(x)保密；

(ii)Dealer在有限域GF(p)中选择n个互不相同的非零元素x₁,x₂,…,x_n,计算s_i＝f(x_i),1≤i≤n。

(iii)将(x_i,s_i)(l≤i≤n)秘密分配给参与者U_i，值x_i是U_i的公开信息，s_i作为U_i的秘密份额。

(2)秘密重构阶段：

任何m，(n≥m≥t)，个参与者，比如，{U₁,U₂,…,U_m}，可以利用他们的秘密份额{s₁,s₂,…,s_m}通过Lagrange插值公式

计算f(0)而恢复共享的秘密s。

2)基于单个d-level量子系统的秘密共享：

有一个大类问题，基于多系统纠缠的量子信息协议是否可以映射到涉及一个系统的更简单量子协议。Armin Tavakoli在2015发表的基于单个d-level量子系统的秘密共享方案是该问题的一个成功的例子，参与者可以通过对量子态进行顺序操作，最终恢复初态得到秘密。该方案不基于纠缠态，因此在扩展性上有很好的优势。其具体的方案如下：

(1)Dealer制备量子态：

假设共有n+1个参与者，记为{R_i|i＝1,2,…,n+1}，假设第一个参与者R₁是秘密的分发者，他首先准备量子态

并选择两个随机数x₁,y₁∈GF(d)，并且对

实施酉操作

得到状态

然后把量子态发送给下一个参与者R₂。其中酉操作

的作用可以描述如下：对于一个任意的量子态

X_d作用为

表示X_d连续作用x₁次，即

同理，Y_d作用为将

转化为

(2)参与者顺序通信：

对于参与者{R_i|i＝2,3,…,n+1}，他们每个人都生成两个独立随机的数x_i,y_i∈GF(d)，然后对从参与者R_i-1接收到的量子态

实施酉操作

得到状态

并发送给顺序的接收者R_i+1，其中除了R_n+1把量子态发回给R₁。

(3)秘密重构：

R₁随机选择J∈GF(d)，并且在测量基

下测量量子态，测量结果标记为a∈GF(d)。在随机的轮次，只有参与者{R_i|i＝2,3,…,n+1}公布他们的y_i值。然后R₁可以通过等式是否满足

来宣布该轮次是否合法，否则放弃该轮。如果轮次合法，那么所有的私密数据{x_i}将满足

因此该关系可以用来进行秘密共享。

但是，上述方案的缺陷在于：

<1>方案是(n,n)结构，需要所有人都参与，因此不能灵活的应用在实际环境中。

<2>方案需要一个可信的第三方来测量最终结果，以及判定轮次的合法性，因此实际应用中会有信任问题。

<3>方案的成功率比较低，只有1/d的轮次是合法的，因此秘密共享的效率低下，不符合实际的需求。

上述方案虽然展示了一个可以将多纠缠系统的协议映射到涉及一个系统的更简单的量子协议，但是其中一些设计欠缺有效的考虑，如只是(n,n)结构，需要可信第三方以及方案成功效率低，使得其应用范围及实用性大大降低。

发明内容

本发明的目的是提供一种顺序通信的可验证门限量子秘密共享方法，不但可以灵活的适用于一般的(t,n)门限场合，还可以在无需可信第三方的情况下以100％的成功率完成一轮秘密共享。

本发明的目的是通过以下技术方案实现的：

一种顺序通信的可验证门限量子秘密共享方法，包括：

私有share分配阶段：秘密分发者选择一个随机多项式，为每一个share持有者计算其各自的share，并安全的传递给相应share持有者；

量子秘密共享阶段：秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的量子态施加酉操作后传递给第一个参与者，第一个参与者结合其分配的share以及生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，并公布测量结果；然后所有的参与者通过交换各自生成的独立随机数，并配合测量结果能够推测出秘密分发者选定的两个秘密值与校验值，并通过验证推测出的两个秘密值与校验值是否满足设定的等式来检测本轮次是否存在欺骗；其中，所有参与者均为share持有者，且参与者数量满足设定的阈值。

由上述本发明提供的技术方案可以看出，无需全部share持有者参与即可合作恢复秘密，因此在应用上更具灵活性；同时，无需可信第三方，且提供可以验证的机制来检测欺骗，安全性得到保障，此外，还可以使得每一轮次都能合法的用来进行秘密共享，实用性大大提高。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种顺序通信的可验证门限量子秘密共享方法的流程图；

图2为本发明实施例提供的秘密share分发示意图；

图3为本发明实施例提供的量子秘密共享过程示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种顺序通信的可验证门限量子秘密共享方法，如图1所示，其主要包括如下步骤：

1、私有share分配阶段：秘密分发者(Dealer)选择一个随机多项式，为每一个share持有者计算其各自的share(秘密份额)，并安全的传递给相应share持有者。

如图2所示，本步骤主要执行过程如下：

1)所述秘密分发者选择一个在有限域GF(d)上至多t-1次的随机多项式：f(x)＝a₀+a₁x+…+a_t-1x^t-1modd，其中s＝a₀＝f(0)是私有值，所有的参数a_k,k＝0,1,…,t-1都是有限域GF(d)上的值。

本领域技术人员可以理解，GF是Galois Field的缩写，即有限域，是仅含有限个元素的域，d为一个大素数，大素数在密码学中有定义且广泛应用，如RSA公钥密码系统，具体多大应该视协议的安全性要求，RSA公钥密码体系中的大素数即可保证安全性，本方案可以弱化，无需这么大的素数，满足设定的需求即可；GF(d)表示模d的有限域，即{0,1,2,...,d-1}。

2)秘密分发者为所有share持有者{R_i|i＝1,2,…,n}计算f(x_i)作为他们各自的share，其中n≥t，非零元素x_i∈GF(d)是share持有者R_i的公开信息，并且对于i≠l有x_i≠x_l，l＝1,2,…,n。

3)秘密分发者通过私人信道将share分发给对应的share持有者，保证share从秘密分发者安全的传递给share持有者。

2、量子秘密共享阶段：秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的量子态施加酉操作后传递给第一个参与者，第一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，并公布测量结果；所有的参与者通过交换各自生成的独立随机数，并配合测量结果能够推测出秘密分发者选定的两个秘密值与校验值，，并通过验证推测出的两个秘密值与校验值是否满足设定的等式来检测本轮次是否存在欺骗；其中，所有参与者均为share持有者，且参与者数量满足设定的阈值。

如图3所示，本步骤主要执行过程如下：

秘密分发者制备三个相同的初始量子态

然后可以通过下面的步骤在m,(m≥t)个参与者之间共享秘密S₁,S₂∈GF(d)和校验值N∈GF(d)，本发明实施例中，所有参与者均为share持有者，且参与者数量满足设定的阈值：

1)秘密分发者对初始量子态|Φ_v>施加酉操作

得到量子态|Φ_v>₀；其中，p₀ ¹＝S₁,p₀ ²＝S₂,p₀ ³＝N，q₀ ¹＝q₀ ²＝q₀ ³＝d-s，并且p₀ ^v,q₀ ^v∈GF(d),S₁＝S₂Nmodd；所述S₁与S₂表示秘密分发者选定的两个秘密值，N表示校验值。

2)假设秘密分发者要在m参与者{R_j|j＝1,2,…,m,m≥t}之间共享秘密，按照顺序通信的方式，第一个参与者R₁将接收到量子态|Φ_v>₀，之后对量子态|Φ_v>₀施加酉操作

得到

并发送给第二个参与者R₂，其中p₁ ^v是第一个参与者生成的相互独立的随机数，

3)按照上述2)中相同的方式，后续的参与者对其前一参与者发送的量子态施加对应的酉操作

得到相应的量子态并传给下一个参与者，其中p_j ^v是第j个参与者生成的相互独立的随机数，

p_j ^v,q_j ^v∈GF(d)。

4)最后一个参与者R_m结合其分配的share以及生成独立的随机数对接收到的量子态施加相应的酉操作后利用测量基

进行测量，测量结果记为K_v，并公布测量结果。

5)测量完成后将得到一个全局等式

所有的参与者通过交换各自生成的独立随机数p_j ^v，并配合测量结果K_v能够推测出秘密分发者选定的两个秘密值与校验值，即

同时，并通过验证推测出的两个秘密值与校验值是否满足p₀ ¹＝p₀ ²p₀ ³modd来检测本轮次是否存在欺骗，从而提高本方案的安全性。

本发明实施例上述方案与Armin Tavakoli方案的不同之处在于：

<1>在Armin Tavakoli方案中，需要所有的参与者都参与到秘密的恢复阶段；而在本发明实施例上述方案中，只需要参与者的人数满足设定的阈值就可以合作恢复秘密，因此在应用上更具灵活性；

<2>Armin Tavakoli方案需要可信第三方，且缺乏一定的验证机制；而本发明实施例上述方案无需可信第三方，且提供可以验证的机制来检测欺骗，安全性得到保障；

<3>Armin Tavakoli方案无法保证每一轮次都能成功的进行秘密共享，效率只有1/d；而本发明实施例上述方案的设计可以使得每一轮次都能合法的用来进行秘密共享，实用性大大提高。

本发明实施例上述方案主要具有如下优点：

1)该方案比2-level量子秘密共享(QSS)更具一般性和实用性；此外，私人秘密份额可以重复使用。

2)与基于纠缠态的方案相比，该方案可以在参与者数量上进行扩展。

3)作为(t,n)阈值QSS，它在应用上比(n,n)-QSS更灵活。

4)基于验证机制，它不依赖于任何受信任的第三方，并且能够在秘密重建期间检测到任何欺骗和窃听。

5)其他经典(t,n)-SS方案可用于取代嵌入的Shamir方案，同时保留所有上述特点。

为了便于理解，下面以Shamir的(t,n)门限秘密共享为基础，实现上述一个具体的(4,6)量子秘密共享方案，具体如下：

1)经典私有share分配阶段：

(1)Dealer随机选择至多3阶的多项式f(x)＝7+3x+6x²+x³mod31。其中私有值s＝f(0)＝7。

(2)Dealer为所有的share持有者{R_i|i＝1,2,…,6}计算f(x_j)作为他们各自的share，这里假设取x_i＝i作为公开身份，则每个用户有身份与share对{R_i,i,f(i)}，所以Dealer分别计算share，得到{R₁,1,17}，{R₂,2,14}，{R₃,3,4}，{R₄,4,24}，{R₅,5,18}，{R₆,6,23}。

(3)Dealer通过私人信道将{R_j,j,f(j)}分发给对应的share持有者，保证share从Dealer安全的传递给share持有者。

2)量子秘密共享阶段

Dealer选定秘密值和校验值S₁,S₂,N为9,5,8满足9＝5×8mod31，并制备三个相同的量子态

然后按照下面的步骤即可完成(4,6)门限的量子秘密共享。

(1)Dealer选定p₀ ¹＝9,p₀ ²＝5,p₀ ³＝8,q₀ ¹＝q₀ ²＝q₀ ³＝24，然后对初态|Φ_v>施加酉操作

得到状态|Φ_v>₀。

(2)假设参与者{R_j|j＝1,2,3,4}需要合作恢复秘密，那么R₁从Dealer处接收三个量子态，并随机选择相互独立的数p₁ ^v为7，11，23，然后计算

最后对量子态施加酉操作

得到|Φ_v>₁并发送给R₂。

(3)其他的参与者{R_j|j＝2,3,4}依次按照步骤(2)中步骤，对量子态施加对应的酉操作

得到相应的量子态|Φ_v＞_j并传给下一个参与者，其中p₂ ^v为21，1，16；p₃ ^v为11，18，26；p₄ ^v为5，15，27；

(4)最后一个参与者R₄保留这三个量子态并用测量基

进行测量，结果标记为K₁,K₂,K₃分别为22，19，7并公布这些测量结果。

(5)所有的参与者可以通过交换他们添加的随机数p_j ^v，并辅以测量结果就可以推测出初始的秘密值，即

因此任意参与者都可以计算出p₀ ¹＝9,p₀ ²＝5,p₀ ³＝8,且可以验证p₀ ¹＝p₀ ²p₀ ³modd来进行检测欺骗与窃听。因此最终参与者{R_j|j＝1,2,3,4}可以恢复出Dealer的秘密即S₁＝9,S₂＝5。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (5)

1.一种顺序通信的可验证门限量子秘密共享方法，其特征在于，包括：

私有share分配阶段：秘密分发者选择一个随机多项式，为每一个share持有者计算其各自的share，并安全的传递给相应share持有者；

量子秘密共享阶段：秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的初始量子态施加酉操作后传递给第一个参与者，第一个参与者结合其分配的share以及生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，并公布测量结果；然后所有的参与者通过交换各自生成的独立随机数，并配合测量结果能够推测出秘密分发者选定的两个秘密值与校验值，并通过验证推测出的两个秘密值与校验值是否满足设定的等式来检测本轮次是否存在欺骗；其中，所有参与者均为share持有者，且参与者数量满足设定的阈值。

2.根据权利要求1所述的一种顺序通信的可验证门限量子秘密共享方法，其特征在于，所述秘密分发者选择一个随机多项式，为每一个share持有者计算其各自的share包括：

所述秘密分发者选择一个在有限域GF(d)上至多t-1次的随机多项式：f(x)＝a₀+a₁x+···+a_t-1x^t-1modd，定义s作为秘密分发者的私有值，其值为s＝a₀＝f(0)，所有的参数a_k,k＝0,1,···,t-1都是有限域GF(d)上的值，d为一个素数；

秘密分发者为所有share持有者{R_i|i＝1,2,···,n}计算f(x_i)作为他们各自的share，其中n≥t，t为门限值，非零元素x_i∈GF(d)是share持有者R_i的公开信息，并且对于i≠r有x_i≠x_r，r＝1,2,···,n。

3.根据权利要求2所述的一种顺序通信的可验证门限量子秘密共享方法，其特征在于，所述秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的量子态施加酉操作包括：

秘密分发者制备三个相同的初始量子态

然后，对初始量子态|Φ_v>施加酉操作

得到量子态|Φ_v>₀；其中，p₀ ¹＝S₁,p₀ ²＝S₂,p₀ ³＝N，q₀ ¹＝q₀ ²＝q₀ ³＝d-s，并且p₀ ^v,q₀ ^v∈GF(d),S₁＝S₂Nmodd；所述S₁与S₂表示秘密分发者选定的两个秘密值，N表示校验值。

4.根据权利要求3所述的一种顺序通信的可验证门限量子秘密共享方法，其特征在于，所述第一个参与者结合其分配的share以及生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量包括：

假设秘密分发者要在m参与者{R_j|j＝1,2,···,m,m≥t}之间共享秘密，按照顺序通信的方式，第一个参与者R₁将接收到量子态|Φ_v>₀，之后对量子态|Φ_v>₀施加酉操作

得到|Φ_v>₁并发送给第二个参与者R₂，其中p₁ ^v是第一个参与者生成的相互独立的随机数，

按照相同的方式，后续的参与者对其前一参与者发送的量子态施加对应的酉操作

得到相应的量子态并传给下一个参与者，其中p_j ^v是第j个参与者生成的相互独立的随机数，

最后一个参与者R_m结合其分配的share以及生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基

进行测量，测量结果记为K_v，并公布测量结果。

5.根据权利要求4所述的一种顺序通信的可验证门限量子秘密共享方法，其特征在于，

测量完成后将得到一个全局等式

所有的参与者通过交换各自生成的独立随机数p_j ^v，并配合测量结果K_v能够推测出秘密分发者选定的两个秘密值与校验值，即

同时，并通过验证推测出的两个秘密值与校验值是否满足p₀ ¹＝p₀ ²p₀ ³modd来检测本轮次是否存在欺骗。

Images