背景技术
经典密码的安全性依赖于数学问题的计算复杂性,在量子并行计算的强大计算能力面前是脆弱的。幸运地是,Bennett和Brassard[1]在1984年发明的量子密码依靠量子力学规律能确保其在理论上具有无条件安全性。量子密码已经吸引了大量注意力并确立许多有趣的分支,如量子密钥分配(Quantum key distribution,QKD)[1-7]、量子安全直接通信(Quantum secure direct communication,QSDC)[8-11]、量子秘密共享(Quantum secretsharing,QSS)[12-24]等。
QSS是量子密码的一个重要分支,允许一个秘密在不同参与者之间共享但仅当所有参与者一起合作时才能重建它[15]。QSS是密码应用的一个有用工具,如分布式量子计算的安全操作、量子钞票的联合共享等[16]。自从Hillery等[12]在1999年利用Greenberger-Horne-Zeilinger态提出第一个QSS方法以来,许多QSS方法[12-24]已经从理论和实验角度被提出来。在2004年,Xiao等[17]将Hillery等的方法[12]推广到任意多重,并利用QKD的两个技术改进它的效率。在2005年,Deng等[18]利用Einstein-Podolsky-Rosen对提出一个有效的QSS方法。在2008年,Wang等[19]提出一个高效的安全的基于单光子的多方量子秘密共享(Multiparty quantum secret sharing,MQSS)方法。值得指出的是,在QSS中,共享的信息可以是经典比特或量子态。例如,文献[12,14]涉及量子态的共享;文献[22-23]设计了基于图态的经典和量子信息的秘密共享的统一方法。
在2007年,Boyer等[25-26]首次提出半量子密钥分配(Semi-quantum keydistribution,SQKD)的新概念,其中Alice具有完全的量子能力而Bob被受限只能在量子信道执行以下操作:(a)不带干扰地发送或返回量子比特;(b)用固定的计算基{|0>,|1>}测量量子比特;(c)制备(新的)量子比特处于固定的计算基{|0>,|1>};(d)置乱量子比特(通过不同的延迟线)。根据文献[25-26]方法的定义,计算基{|0>,|1>}能被认为是一个经典基,因为它只涉及量子比特|0>和|1>而非任意一个量子叠加态,可以被经典记号{0,1}代替。利用尽可能少的量子资源来执行量子密码方法是一个很有趣的问题。因此,研究者们对半量子密码投入极大的热情,并已经尝试将半量子的概念应用到不同的量子密码任务,如QKD、QSDC和QSS等。相应地,许多半量子密码方法,如SQKD方法[25-39]、半量子安全直接通信(Semi-quantum secure direct communication,SQSDC)方法[40-42]和半量子秘密共享(Semi-quantum secret sharing,SQSS)方法[43-50],已经被提出来。
在2010年,Li等[43]利用类GHZ态提出两个新颖的SQSS方法。在2012年,Wang等[44]利用两粒子纠缠态提出一个SQSS方法。在2013年,Li等[45]利用两粒子乘积态提出一个SQSS方法;Lin等[46]指出,Li等的两个方法[43]无法抵抗一个不忠诚代理方的截获-重发攻击和木马攻击,并提出相应的改进方法;Yang和Hwang[47]指出,对经典代理方的测量操作进行解同步能提高共享密钥产生的效率。在2015年,Xie等[48]利用类GHZ态提出一个新颖的SQSS方法,其中量子Alice能与经典Bob和经典Charlie共享一个具体的比特串而非一个随机的比特串。在2016年,Yin和Fu[49]证明了Xie等的方法[48]无法抵抗一个不忠诚参与者的截获-重发攻击并相应提出一个改进方法。
在2015年,Zou等[38]提出一个无需激发经典方测量能力的SQKD方法。因此,一个有趣的问题自然产生:经典方的测量能力在SQSS方法中是否是必要的?在2015年,Tavakoli等[51]提出一个涉及单个d级量子系统序列通信的MQSS方法。然而,所有现存的SQSS方法只适用于两级量子系统。显然,将SQSS推广到d级量子系统具有很大的价值。
基于以上分析,本发明提出一个新颖的基于d级单粒子态的树型多方半量子秘密共享(Multiparty semi-quantum secret sharing,MSQSS)方法,其中经典方的测量能力一点都不必要,量子方制备的粒子是以树型方式传输。
参考文献
[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175–179(1984)
[2]Ekert,A.K.:Quantum cryptography based on bellstheorem.Phys.Rev.Lett.67(6),661-663(1991)
[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys.Rev.Lett.68(21),3121-3124(1992)
[4]Cabello,A.:Quantum key distribution in the Holevolimit.Phys.Rev.Lett.85(26),5635(2000)
[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys.Rev.Lett.91(5),057901(2003)
[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys.Rev.A 78(2),022321(2008)
[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et al.:Delayed errorverification in quantum key distribution.Chin.Sci.Bull.59(23),2825-2828(2014)
[8]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys.Rev.A 65(3),032302(2002)
[9]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys.Rev.A 68(4),042317(2003)
[10]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin.Phys.B 20(10),100309(2011)
[11]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys.Lett.A 358(4),256-258(2006)
[12]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secretsharing.Phys.Rev.A 59(3),1829-1834(1999)
[13]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secretsharing and secret splitting.Phys.Rev.A 59(1),162-168(1999)
[14]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantumsecret.Phys.Rev.Lett.83(3),648-651(1999)
[15]Gottesman,D.:Theory of quantum secret sharing.Phys.Rev.A 61(4),042311(2000)
[16]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping Phys.Lett.A.324(5),420-424(2004)
[17]Xiao,L.,Long,G.L.,Deng,F.G.,et al.:Efficient multiparty quantum-secret-sharing schemes.Phys.Rev.A 69(5),052307(2004)
[18]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys.Lett.A 340(1-4),43-50(2005)
[19]Wang,T.Y.,Wen,Q.Y.,Chen,X.B.,et al.:An efficient and securemultiparty quantum secret sharing scheme based on singlephotons.Opt.Commun.281(24),6130-6134(2008)
[20]Hao,L.,Wang,C.,Long,G.L.:Quantum secret sharing protocol withfour state Grover algorithm and its proof-of-principle experimentaldemonstration.Opt.Commun.284(14),3639-3642(2011)
[21]Guo,G.P.,Guo,G.C.:Quantum secret sharing withoutentanglement.Phys.Lett.A 310(4),247-251(2003)
[22]Markham,D.,Sanders,B.C.:Graph states for quantum secretsharing.Phys.Rev.A 78(4),042309(2008)
[23]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys.Rev.A 82(6),062315(2010)
[24]Qin,H.,Dai,Y.:Dynamic quantum secret sharing by usingd-dimensional GHZ state.Quantum Inf.Process.16(3):64(2017)
[25]Boyer,M.,Kenigsberg,D.,Mor,T.:Quantum key distribution withclassical Bob.Phys.Rev.Lett.99(14),140501(2007)
[26]Boyer,M.,Gelles,R.,Kenigsberg,D.,et al.:Semiquantum keydistribution.Phys.Rev.A 79(3),032341(2009)
[27]Lu,H.,Cai,Q.Y.:Quantum key distribution with classicalAlice.Int.J.Quantum Inf.6(6),1195-1202(2008)
[28]Zhang,X.Z.,Gong,W.G.,Tan,Y.G.,et al.:Quantum key distributionseries network protocol with M-classical Bobs.Chin.Phys.B 18(6),2143-2148(2009)
[29]Tan,Y.G.,Lu,H.,Cai,Q.Y.:Comment on“Quantum key distribution withclassical Bob”.Phys.Rev.Lett.102(9),098901(2009)
[30]Zou,X.F.,Qiu,D.W.,Li,L.Z.,et al.:Semiquantum-key distributionusing less than four quantum states.Phys.Rev.A 79(5),052312(2009)
[31]Boyer,M.,Mor,T.:Comment on“Semiquantum-key distribution usingless than four quantum states”.Phys.Rev.A 83(4),046301(2011)
[32]Wang,J.,Zhang,S.,Zhang,Q.,et al.:Semiquantum key distributionusing entangled states.Chin.Phys.Lett.28(10),100301(2011)
[33]Miyadera,T.:Relation between information and disturbance inquantum key distribution protocol with classical Alice.Int.J.Quantum Inf.9(6),1427-1435(2011)
[34]Krawec,W.O.:Restricted attacks on semi-quantum key distributionprotocols.Quantum Inf.Process.13(11),2417-2436(2014)
[35]Yang,Y.G.,Sun,S.J.,Zhao,Q.Q.:Trojan-horse attacks on quantum keydistribution with classical Bob.Quantum Inf.Process.14(2),681-686(2015)
[36]Yu,K.F.,Yang,C.W.,Liao,C.H.,et al.:Authenticated semi-quantum keydistribution protocol using Bell states.Quantum Inf.Process.13(6),1457-1465(2014)
[37]Krawec,W.O.:Mediated semiquantum key distribution.Phys.Rev.A 91(3),032323(2015)
[38]Zou,X.F.,Qiu,D.W.,Zhang,S.Y.:Semiquantum key distribution withoutinvoking the classical party’s measurement capability.Quantum Inf.Process.14(8),2981-2996(2015)
[39]Li,Q.,Chan,W.H.,Zhang,S.Y.:Semiquantum key distribution withsecure delegated quantum computation.Sci.Rep.6,19898(2016)
[40]Zou,X.F.,Qiu,D.W.:Three-step semiquantum secure directcommunication protocol.Sci.China Phys.Mech.Astron.57(9),1696-1702(2014)
[41]Luo,Y.P.,Hwang,T.:Authenticated semi-quantum direct communicationprotocols using Bell states.Quantum Inf.Process.15(2),947-958(2016)
[42]Zhang,M.H.,Li,H.F.,Xia,Z.Q.,et al.:Semiquantum secure directcommunication using EPR pairs.Quantum Inf.Process.16(5),117(2017)
[43]Li,Q.,Chan,W.H.,Long,D.Y.:Semiquantum secret sharing usingentangled states.Phys.Rev.A 82(2),022303(2010)
[44]Wang,J.,Zhang,S.,Zhang,Q.,et al.:Semiquantum secret sharing usingtwo-particle entangled state.Int.J.Quantum Inf.10(5),1250050(2012)
[45]Li,L.Z.,Qiu,D.W.,Mateus,P.:Quantum secret sharing with classicalBobs.J.Phys.A Math.Theor.46(4),045304(2013)
[46]Lin,J.,Yang,C.W.,Tsai,C.W.,et al.:Intercept-resend attacks onsemi-quantum secret sharing and the improvements.Int.J.Theor.Phys.52(1),156-162(2013)
[47]Yang,C.W.,Hwang,T.:Efficient key construction on semi-quantumsecret sharing protocols.Int.J.Quantum Inform.11(5),1350052(2013)
[48]Xie,C.,Li,L.Z.,Qiu,D.W.:A novel semi-quantum secret sharingscheme of specific bits.Int.J.Theor.Phys.54(10),3819-3824(2015)
[49]Yin,A.,Fu,F.:Eavesdropping on semi-quantum secret sharing schemeof specific bits.Int.J.Theor.Phys.55(9),4027-4035(2016)
[50]Gao,G.,Wang,Y.,Wang,D.:Multiparty semiquantum secret sharingbased on rearranging orders of qubits.Mod.Phys.Lett.B 30(10),1650130(2016)
[51]Tavakoli,A.,Herbauts,I.,Zukowski,M.,et al.:Secret sharing with asingle d-level quantum system.Phys.Rev.A 92(3),03030(2015)
[52]Ye,C.Q.,Ye,T.Y.:Circular multi-party quantum private comparisonwith n-level single-particle states.Int.J.Theor.Phys.58(4):1282-1294(2019)
[53]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf.Comput.7,329(2007)
[54]Gao,F.Z,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys.Lett.A 360(6),748-750(2007)
[55]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:participantattack on a kind of MQSS schemes based on entanglement swapping.Eur.Phys.J.D56(3),445-448(2010)
[56]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret sharing protocol.Phys.Rev.A 76(6),062324(2007)
[57]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys.Lett.A 351(1-2):23-25(2006)
[58]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.arXiv:quant-ph/0508168(2005)
[59]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order ofparticles.Phys.Rev.A 74:054302(2006)
[60]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantumcryptography.Rev.Mod.Phys.74(1):145-195(2002)
[61]Nie,Y.Y.,Li,Y.H.,Wang,Z.S.:Semi-quantum information splittingusing GHZ-type states.Quantum Inf.Process.12,437-448(2013)
具体实施方式
下面结合实施例对本发明的技术方案做进一步描述。
1、d级量子系统和量子底特移位操作
在一个d级量子系统,单光子的一组基可被表示为
C1={|k>},k=0,1,…,d-1。 (1)
集合C1中的每个成员与其他成员都是正交的。对C1中的每个量子态施加d阶离散量子傅里叶变换F能形成式(2)所示的另一组基。
这里,
集合C
2中的每个成员也与其他成员都是正交的。显然,C
1和C
2是两组共轭基。
一个酉操作定义为
代表量子底特移位操作,其中符合
代表模d和,m=0,1,...,d-1。在粒子|k>被施加量子底特移位操作U
m后,它的量子态被转化为
根据文献[52]的定理1,粒子F|k>被施加量子底特移位操作U
m后,它的量子态被保持不变。
2、基于d级单粒子态的MSQSS方法
现在假设P0想与n方P1,P2,...,Pn共享一个秘密ml,其中ml∈{0,1,...,d-1},l=1,2,...,L。P1,P2,…,Pn一起合作能恢复出秘密ml,但是任何一方都不能单独成功做到。本发明提出的基于d级单粒子态的MSQSS方法的详细流程被描述如下。
S1)P
0制备n组2L个d级单粒子态,分别表示为S
1,S
2,…,S
n。这里,S
j(j=1,2,…,n)中的每个d级单粒子态从集合C
1中随机选择。S
j中的粒子分别被表示为
其中
字母i代表S
j中d级单粒子态的顺序,i=1,2,…,2L。同时,P
0制备另外n组2L个d级单粒子态,分别表示为T
1,T
2,…,T
n。这里,T
j(j=1,2,…,n)中的每个d级单粒子态从集合C
2中随机选择。T
j中的粒子分别被表示为
其中
然后,P
0随机将T
j插入S
j来构成G
j。最后,P
0将G
j发送给P
j。
S2)在P
j(j=1,2,…,n)已经收到G
j的所有粒子后,她对它们施加量子底特移位操作。为描述方便起见,施加在S
j中第i个粒子的量子底特移位操作被记为
其中
在P
j的编码操作后,粒子
的状态被改变为
为简便起见,这些粒子被记为
其中
类似地,施加在T
j中第i个粒子的量子底特移位操作被记为
其中
在P
j的编码操作后,根据文献[52]的定理1,粒子
的状态保持不变。最后,在置乱手中的所有粒子后,P
j将它们发送回P
0。
S3)在P0已经收到来自Pj(j=1,2,...,n)的所有粒子后,Pj通过公开信道宣布序列中粒子的顺序。然后,P0检测量子信道中是否存在一个窃听者。也就是说,P0选择正确的基测量Tj的粒子。如果量子信道没有窃听者,她的测量结果应当与她制备的相应初始态一样。在这种情况下,她将进行下一步。否则,她将终止通信并重新开始整个过程。
S4)在丢弃T
j(j=1,2,...,n)中的粒子后,P
0选择正确的基测量S
j的粒子。这里,测量结果被表示成
然后,P
0按照如下过程检测量子信道是否存在一个窃听者。首先,P
0从S
j中随机选择L个粒子并向P
j宣布这些粒子的位置。然后,P
j向P
0宣布这些选中粒子的相应的
通过比较
和
的值,P
0能计算出错误率。如果量子信道不存在一个窃听者,
的值应当与
的值相等。如果错误率超过阈值,整个过程将被重新开始;否则,将执行到下一步。
S5)在Sj(j=1,2,...,n)中用于安全检测的粒子被丢弃后,Sj中只剩下L个粒子。P0计算
其中l代表S
j中剩余粒子的顺序。然后,P
0将她的秘密m
l加密成
并计算
最后,P
0向P
1,P
2,...,P
n公布M
l和V
l。
S6)P1,P2,...,Pn一起合作计算
根据Ml、Vl和Hl,P1,P2,...,Pn通过计算式(6)能一起恢复出秘密ml。
3、安全性分析
在这部分,首先,证明外在攻击对于本发明的方法是无效的。其次,证明不忠诚方在没有其他方的帮助下是无法得到P0的秘密。
3.1外在攻击
在本发明的方法中,如果一个窃听者想得到P
0的秘密m
l(l=1,2,...,L),她应当提前知道
一个外在窃听者可能利用量子底特传输通过施加一些著名的攻击,如截获-重发攻击、测量-重发攻击和纠缠-测量攻击,来提取关于P
j的量子底特移位操作的一些有用信息。接下来分析一个外在窃听者窃取P
0的秘密m
l的可能性。
(1)截获-重发攻击
Eve的截获-重发攻击描述如下。首先,Eve截获从P
0到P
j的序列并将它们保留在手中。然后,她制备假的d级单粒子态处于C
1基并将它们发送给P
j。P
j对这些粒子正常施加她的量子底特移位操作,对它们置乱后送回给P
0。然后,Eve截获从P
j到P
0的序列,将保留在手中的初始序列发送给P
0。在P
j通过公开信道宣布她发送给P
0的序列的粒子的顺序后,Eve重新恢复粒子的顺序并用制备基测量这些粒子。这样,Eve能得到P
j施加的量子底特移位操作。然而,这种攻击将被P
0在步骤S4的安全检测所发现,因为在这种情形
的值未必与
的值相等。
(2)测量-重发攻击
为了得到
Eve截获从P
j到P
0的粒子,测量它们并将测量后的粒子发送回P
0。然而,Eve并不知道T
j和S
j中粒子的真正位置。这样,Eve只好从C
1和C
2中随机选择一个基测量从P
j到P
0的粒子。在这种情形下,如果选择的基是错误的,Eve的攻击将不可避免地改变从P
j到P
0的粒子的状态。因此,Eve的攻击将被步骤S3或步骤S4的安全检测轻易发现。
(3)纠缠-测量攻击
来自一个外在攻击者Eve的纠缠-测量攻击由两个酉操作组成:攻击从P0到Pj的粒子的UE以及攻击从Pj到P0的粒子的UF,其中UE和UF共享一个共同的状态为|ε>的探测空间。正如文献[25-26]所指出的,共享的探测态允许Eve依赖UE获得的信息对返回的粒子进行攻击(如果Eve没有充分利用这一事实,那么共享的探测态可以简单地看作是两个独立探测态构成的复合系统)。Eve使UF依赖于应用UE后的测量的任何攻击可被带有控制门的UE和UF来实现。方法执行过程Eve的纠缠-测量攻击被描绘在图1中。
定理1:假设Eve对从P0到Pj以及从Pj返回P0的粒子施加攻击(UE,UF)。为了使这个攻击在步骤S3和S4不会引入错误,Eve探测态的最终态应当独立于Pj施加量子底特移位操作后粒子的状态。这样,Eve得不到P0的秘密的任何信息。
证明:在Eve攻击之前,由来自P0和Eve的粒子一起构成的复合系统的全局状态可被表示为|G>|ε>。这里,|G>是P0制备的随机处于两个集合C1和C2之一的粒子。
(a)Eve对从P0到Pj的粒子施加酉操作UE
为描述方便起见,集合C1中的粒子的状态被记为|r>。如果传输的粒子处于集合C1中,施加在它上面的酉操作UE的效果可被描述如下:[24]
UE|0>|ε>=λ00|0>|ε00>+λ01|1>|ε01>+…+λ0(d-1)|d-1>|ε0(d-1)>, (7)
UE|1>|ε>=λ10|0>|ε10>+λ11|1>|ε11>+…+λ1(d-1)|d-1>|ε1(d-1)>, (8)
UE|d-1>|ε>=λ(d-1)0|0>|ε(d-1)0>+λ(d-1)1|1>|ε(d-1)1>+…+λ(d-1)(d-1)|d-1>|ε(d-1)(d-1)>, (9)
其中|ε
rt>是由酉操作U
E决定的状态,r,t=0,1,...,d-1,而且对于r=0,1,...,d-1,有
为描述方便起见,集合C
2中的粒子的状态被记为|R
r>,其中
如果传输的粒子处于集合C
2中,施加在它上面的酉操作U
E的效果可被描述如下:
(b)Eve对从Pj到P0的粒子施加酉操作UF
在步骤S2,Pj对来自P0的粒子施加量子底特移位操作Um。
首先,考虑Eve对来自集合C1的Pj编码量子底特移位操作Um后的粒子施加酉操作UF的情形。如果Eve想避免步骤S4的窃听检测,那么她不能改变其状态。这样,UF必须满足以下条件:
UFUmUE|0>|ε>=λ00Um|0>|F00>, (11)
UFUmUE|1>|ε>=λ11Um|1>|F11>, (12)
UFUmUE|d-1>|ε>=λ(d-1)(d-1)Um|d-1>|F(d-1)(d-1)>, (13)
其中λrr≠0,r,t=0,1,...,d-1。也就是说,UF不能改变从Pj到P0的粒子的状态。否则,P0将在步骤S4以非零的概率检测到这个攻击。
其次,考虑Eve对来自集合C2的Pj编码量子底特移位操作Um后的粒子施加酉操作UF的情形。根据文献[52]的定理1,在Pj编码量子底特移位操作Um后,集合C2中的粒子的状态被保持不变。如果Eve想避免步骤S3的窃听检测,那么她不能改变其状态。在Eve施加酉操作UF后,粒子的状态将演化为
根据式(11-13),对于r=0,1,...,d-1,有UFUmUE|r>|ε>=λrrUm|r>|Frr>。这样,从式(15)可以得到
根据量子傅里叶逆变换,有
通过结合式(16-17)和文献[52]的定理1,可以得到
如果Eve想避免步骤S3被检测到,那么对于r≠j必须有
这里,j,r,m=0,1,...,d-1。对于任意的r≠j,能得到
显然,对于任意的r≠j,能得到
因此,根据式(19-20),应当存在
λ00|F00>=λ11|F11>=…=λ(d-1)(d-1)|F(d-1)(d-1)>。 (21)
可以得出结论,为了使纠缠-测量攻击在步骤S3和S4不引入错误,Eve探测态的最终态应当独立于Pj施加量子底特移位操作后的粒子的状态。因此,Eve得不到P0的秘密的任何信息。
3.2参与者攻击
在2007年,Gao等[53]首次指出一个不忠诚参与者的攻击,即参与者攻击,往往更强大,应当被特别关注。到目前为止,在量子密码分析[54-56]中,参与者攻击已经吸引了大量注意力。为了更充分地进行说明,考虑两种情形的参与者攻击。一种是一个不忠诚方在没有其他方的帮助下想得到P0的秘密;另一种是多于一个不忠诚方在没有其他方的帮助下想共谋得到P0的秘密。
情形1:来自一个不忠诚方的参与者攻击
既然n方的角色是一样的,不失一般性,在这种情形下,仅考虑不忠诚P1在没有其他方的帮助下想得到P0的秘密的情形。在本发明的方法中,P1和P2,P3,...,Pn之间没有任何的量子底特传输。如果P1尝试攻击从P0到P2,P3,...,Pn或从P2,P3,...,Pn到P0的粒子,她将扮演一个外在窃听者的角色,不可避免地被发现,正如以上分析的那样。
另一方面,P
1可能尝试从公开信息独立得到P
0的秘密。P
1能独立决定
在步骤S5,P
1也知道M
l和V
l。然而,只知道
M
l和V
l,仍无助于她独立得到P
0的秘密,因为她不知道
因此,一个不忠诚参与者无法在没有其他参与者帮助下得到P
0的秘密。
情形2:来自多于一个不忠诚方的参与者攻击
这里,只考虑这种情形的极端情况,即n-1方在没有剩余一方帮助的情况下来共谋尝试得到P0的秘密,因为在这种极端情况不忠诚方具有最大的能量。不失一般性,假设不忠诚P1,...,Pj-1,Pj+1,...,Pn在没有Pj的帮助下共谋在一起来尝试得到P0的秘密。
一方面,如果P1,...,Pj-1,Pj+1,...,Pn尝试攻击从P0到Pj或从Pj到P0的传输粒子,她们将扮演一个外在窃听者的角色,不可避免地被发现,正如以上分析的那样。
另一方面,P
1,...,P
j-1,P
j+1,...,P
n可能尝试从公开信息独立得到P
0的秘密。她们能分别独立决定
在步骤S5,她们也知道M
l和V
l。然而,她们在没有P
j的帮助下仍然无法得到P
0的秘密,因为她们不知道
可以得出结论,不忠诚P
1,...,P
j-1,P
j+1,...,P
n在没有P
j的帮助下无法得到P
0的秘密。
实施例:
1、多方半量子秘密共享方法应用举例
不失一般性,在忽略粒子传输过程和窃听检测过程后,以秘密m1为例来说明本发明方法的正确性。
在Sj(j=1,2,...,n)中用于安全检测的粒子被丢弃后,Sj中只剩下L个粒子。P0计算
然后,P
0将她的秘密m
1加密成
并计算
最后,P
0向P
1,P
2,...,P
n公布M
1和V
1。P
1,P
2,...,P
n一起合作计算
根据M1、V1和H1,P1,P2,...,Pn通过计算式(24)能一起恢复出秘密m1。
现在可以得出结论,本发明提出的多方半量子秘密共享方法是正确的。2、讨论与总结
在本发明的方法中,粒子传送是环形的。因此,来自一个外在窃听者的木马攻击应当被考虑进去。为了抵抗不可见光子窃听木马攻击[57],接收者应当在她的器件前插入一个滤波器过滤带有不合法波长的光子信号[58,59]。而且,为了抵抗延迟光子木马攻击[58,60],接收者应当采用一个光子数分割器(Photon number splitter:50/50)来将每个样本量子信号分割成两份,并用恰当的测量基测量光子数分割器后的信号[58,59]。如果多光子率不合理得高,这个攻击将被检测到。
在本发明的方法中,经典方只实施以下操作:(a)不带干扰地发送或返回量子底特;(b)置乱量子底特(通过不同的延迟线);(c)采用量子底特移位操作进行编码。根据文献[61],采用量子底特移位操作进行编码的操作也是经典的。因此,本发明的方法是半量子的。
现在讨论之前的SQSS方法与本发明的方法之间的区别。显然,与之前的SQSS方法相比,本发明的方法具有两个新特点:一方面,它适用于d级量子系统;另一方面,它把经典方从量子测量中解放出来。
总之,利用d级单粒子态作为量子载体,本发明提出一个不需要经典方具备测量能力的MSQSS方法。量子方制备的粒子是以树型方式传输。分析结果表明,本发明的方法对于一些著名的攻击是安全的,如截获-重发攻击、测量-重发攻击、纠缠-测量攻击和参与者攻击。尤其值得强调的是,本发明的方法不需要所有方都具备量子能力,意味着秘密共享能以一个更低的代价实现。