CN109995529B

CN109995529B - 基于d级单粒子态的树型多方半量子秘密共享方法

Info

Publication number: CN109995529B
Application number: CN201910376661.7A
Authority: CN
Inventors: 叶崇强; 叶天语; 何德; 甘志刚
Original assignee: Zhejiang Gongshang University
Current assignee: Liao Zhiwen
Priority date: 2019-05-04
Filing date: 2019-05-04
Publication date: 2021-08-10
Anticipated expiration: 2039-05-04
Also published as: CN109995529A

Abstract

本发明将半量子秘密共享概念推广到d级量子系统，提出一种基于d级单粒子态的树型多方半量子秘密共享方法。在本发明的方法中，量子方制备的粒子是以树型方式传输，经典方不需要具备测量能力。本发明的方法对于一些著名的攻击是安全的，如截获‑重发攻击、测量‑重发攻击、纠缠‑测量攻击和参与者攻击。

Description

基于d级单粒子态的树型多方半量子秘密共享方法

技术领域

本发明涉及量子密码学领域。本发明设计一种基于d级单粒子态的树型多方半量子秘密共享方法，实现一方与n方之间共享一个秘密。

背景技术

经典密码的安全性依赖于数学问题的计算复杂性，在量子并行计算的强大计算能力面前是脆弱的。幸运地是，Bennett和Brassard[1]在1984年发明的量子密码依靠量子力学规律能确保其在理论上具有无条件安全性。量子密码已经吸引了大量注意力并确立许多有趣的分支，如量子密钥分配(Quantum key distribution，QKD)[1-7]、量子安全直接通信(Quantum secure direct communication，QSDC)[8-11]、量子秘密共享(Quantum secretsharing，QSS)[12-24]等。

QSS是量子密码的一个重要分支，允许一个秘密在不同参与者之间共享但仅当所有参与者一起合作时才能重建它[15]。QSS是密码应用的一个有用工具，如分布式量子计算的安全操作、量子钞票的联合共享等[16]。自从Hillery等[12]在1999年利用Greenberger-Horne-Zeilinger态提出第一个QSS方法以来，许多QSS方法[12-24]已经从理论和实验角度被提出来。在2004年，Xiao等[17]将Hillery等的方法[12]推广到任意多重，并利用QKD的两个技术改进它的效率。在2005年，Deng等[18]利用Einstein-Podolsky-Rosen对提出一个有效的QSS方法。在2008年，Wang等[19]提出一个高效的安全的基于单光子的多方量子秘密共享(Multiparty quantum secret sharing，MQSS)方法。值得指出的是，在QSS中，共享的信息可以是经典比特或量子态。例如，文献[12,14]涉及量子态的共享；文献[22-23]设计了基于图态的经典和量子信息的秘密共享的统一方法。

在2007年，Boyer等[25-26]首次提出半量子密钥分配(Semi-quantum keydistribution，SQKD)的新概念，其中Alice具有完全的量子能力而Bob被受限只能在量子信道执行以下操作：(a)不带干扰地发送或返回量子比特；(b)用固定的计算基{|0>,|1>}测量量子比特；(c)制备(新的)量子比特处于固定的计算基{|0>,|1>}；(d)置乱量子比特(通过不同的延迟线)。根据文献[25-26]方法的定义，计算基{|0>,|1>}能被认为是一个经典基，因为它只涉及量子比特|0>和|1>而非任意一个量子叠加态，可以被经典记号{0,1}代替。利用尽可能少的量子资源来执行量子密码方法是一个很有趣的问题。因此，研究者们对半量子密码投入极大的热情，并已经尝试将半量子的概念应用到不同的量子密码任务，如QKD、QSDC和QSS等。相应地，许多半量子密码方法，如SQKD方法[25-39]、半量子安全直接通信(Semi-quantum secure direct communication，SQSDC)方法[40-42]和半量子秘密共享(Semi-quantum secret sharing，SQSS)方法[43-50]，已经被提出来。

在2010年，Li等[43]利用类GHZ态提出两个新颖的SQSS方法。在2012年，Wang等[44]利用两粒子纠缠态提出一个SQSS方法。在2013年，Li等[45]利用两粒子乘积态提出一个SQSS方法；Lin等[46]指出，Li等的两个方法[43]无法抵抗一个不忠诚代理方的截获-重发攻击和木马攻击，并提出相应的改进方法；Yang和Hwang[47]指出，对经典代理方的测量操作进行解同步能提高共享密钥产生的效率。在2015年，Xie等[48]利用类GHZ态提出一个新颖的SQSS方法，其中量子Alice能与经典Bob和经典Charlie共享一个具体的比特串而非一个随机的比特串。在2016年，Yin和Fu[49]证明了Xie等的方法[48]无法抵抗一个不忠诚参与者的截获-重发攻击并相应提出一个改进方法。

在2015年，Zou等[38]提出一个无需激发经典方测量能力的SQKD方法。因此，一个有趣的问题自然产生：经典方的测量能力在SQSS方法中是否是必要的？在2015年，Tavakoli等[51]提出一个涉及单个d级量子系统序列通信的MQSS方法。然而，所有现存的SQSS方法只适用于两级量子系统。显然，将SQSS推广到d级量子系统具有很大的价值。

基于以上分析，本发明提出一个新颖的基于d级单粒子态的树型多方半量子秘密共享(Multiparty semi-quantum secret sharing，MSQSS)方法，其中经典方的测量能力一点都不必要，量子方制备的粒子是以树型方式传输。

参考文献

[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175–179(1984)

[2]Ekert,A.K.:Quantum cryptography based on bellstheorem.Phys.Rev.Lett.67(6),661-663(1991)

[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys.Rev.Lett.68(21),3121-3124(1992)

[4]Cabello,A.:Quantum key distribution in the Holevolimit.Phys.Rev.Lett.85(26),5635(2000)

[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys.Rev.Lett.91(5),057901(2003)

[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys.Rev.A 78(2),022321(2008)

[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et al.:Delayed errorverification in quantum key distribution.Chin.Sci.Bull.59(23),2825-2828(2014)

[8]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys.Rev.A 65(3),032302(2002)

[9]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys.Rev.A 68(4),042317(2003)

[10]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin.Phys.B 20(10),100309(2011)

[11]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys.Lett.A 358(4),256-258(2006)

[12]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secretsharing.Phys.Rev.A 59(3),1829-1834(1999)

[13]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secretsharing and secret splitting.Phys.Rev.A 59(1),162-168(1999)

[14]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantumsecret.Phys.Rev.Lett.83(3),648-651(1999)

[15]Gottesman,D.:Theory of quantum secret sharing.Phys.Rev.A 61(4),042311(2000)

[16]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping Phys.Lett.A.324(5),420-424(2004)

[17]Xiao,L.,Long,G.L.,Deng,F.G.,et al.:Efficient multiparty quantum-secret-sharing schemes.Phys.Rev.A 69(5),052307(2004)

[18]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys.Lett.A 340(1-4),43-50(2005)

[19]Wang,T.Y.,Wen,Q.Y.,Chen,X.B.,et al.:An efficient and securemultiparty quantum secret sharing scheme based on singlephotons.Opt.Commun.281(24),6130-6134(2008)

[20]Hao,L.,Wang,C.,Long,G.L.:Quantum secret sharing protocol withfour state Grover algorithm and its proof-of-principle experimentaldemonstration.Opt.Commun.284(14),3639-3642(2011)

[21]Guo,G.P.,Guo,G.C.:Quantum secret sharing withoutentanglement.Phys.Lett.A 310(4),247-251(2003)

[22]Markham,D.,Sanders,B.C.:Graph states for quantum secretsharing.Phys.Rev.A 78(4),042309(2008)

[23]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys.Rev.A 82(6),062315(2010)

[24]Qin,H.,Dai,Y.:Dynamic quantum secret sharing by usingd-dimensional GHZ state.Quantum Inf.Process.16(3):64(2017)

[25]Boyer,M.,Kenigsberg,D.,Mor,T.:Quantum key distribution withclassical Bob.Phys.Rev.Lett.99(14),140501(2007)

[26]Boyer,M.,Gelles,R.,Kenigsberg,D.,et al.:Semiquantum keydistribution.Phys.Rev.A 79(3),032341(2009)

[27]Lu,H.,Cai,Q.Y.:Quantum key distribution with classicalAlice.Int.J.Quantum Inf.6(6),1195-1202(2008)

[28]Zhang,X.Z.,Gong,W.G.,Tan,Y.G.,et al.:Quantum key distributionseries network protocol with M-classical Bobs.Chin.Phys.B 18(6),2143-2148(2009)

[29]Tan,Y.G.,Lu,H.,Cai,Q.Y.:Comment on“Quantum key distribution withclassical Bob”.Phys.Rev.Lett.102(9),098901(2009)

[30]Zou,X.F.,Qiu,D.W.,Li,L.Z.,et al.:Semiquantum-key distributionusing less than four quantum states.Phys.Rev.A 79(5),052312(2009)

[31]Boyer,M.,Mor,T.:Comment on“Semiquantum-key distribution usingless than four quantum states”.Phys.Rev.A 83(4),046301(2011)

[32]Wang,J.,Zhang,S.,Zhang,Q.,et al.:Semiquantum key distributionusing entangled states.Chin.Phys.Lett.28(10),100301(2011)

[33]Miyadera,T.:Relation between information and disturbance inquantum key distribution protocol with classical Alice.Int.J.Quantum Inf.9(6),1427-1435(2011)

[34]Krawec,W.O.:Restricted attacks on semi-quantum key distributionprotocols.Quantum Inf.Process.13(11),2417-2436(2014)

[35]Yang,Y.G.,Sun,S.J.,Zhao,Q.Q.:Trojan-horse attacks on quantum keydistribution with classical Bob.Quantum Inf.Process.14(2),681-686(2015)

[36]Yu,K.F.,Yang,C.W.,Liao,C.H.,et al.:Authenticated semi-quantum keydistribution protocol using Bell states.Quantum Inf.Process.13(6),1457-1465(2014)

[37]Krawec,W.O.:Mediated semiquantum key distribution.Phys.Rev.A 91(3),032323(2015)

[38]Zou,X.F.,Qiu,D.W.,Zhang,S.Y.:Semiquantum key distribution withoutinvoking the classical party’s measurement capability.Quantum Inf.Process.14(8),2981-2996(2015)

[39]Li,Q.,Chan,W.H.,Zhang,S.Y.:Semiquantum key distribution withsecure delegated quantum computation.Sci.Rep.6,19898(2016)

[40]Zou,X.F.,Qiu,D.W.:Three-step semiquantum secure directcommunication protocol.Sci.China Phys.Mech.Astron.57(9),1696-1702(2014)

[41]Luo,Y.P.,Hwang,T.:Authenticated semi-quantum direct communicationprotocols using Bell states.Quantum Inf.Process.15(2),947-958(2016)

[42]Zhang,M.H.,Li,H.F.,Xia,Z.Q.,et al.:Semiquantum secure directcommunication using EPR pairs.Quantum Inf.Process.16(5),117(2017)

[43]Li,Q.,Chan,W.H.,Long,D.Y.:Semiquantum secret sharing usingentangled states.Phys.Rev.A 82(2),022303(2010)

[44]Wang,J.,Zhang,S.,Zhang,Q.,et al.:Semiquantum secret sharing usingtwo-particle entangled state.Int.J.Quantum Inf.10(5),1250050(2012)

[45]Li,L.Z.,Qiu,D.W.,Mateus,P.:Quantum secret sharing with classicalBobs.J.Phys.A Math.Theor.46(4),045304(2013)

[46]Lin,J.,Yang,C.W.,Tsai,C.W.,et al.:Intercept-resend attacks onsemi-quantum secret sharing and the improvements.Int.J.Theor.Phys.52(1),156-162(2013)

[47]Yang,C.W.,Hwang,T.:Efficient key construction on semi-quantumsecret sharing protocols.Int.J.Quantum Inform.11(5),1350052(2013)

[48]Xie,C.,Li,L.Z.,Qiu,D.W.:A novel semi-quantum secret sharingscheme of specific bits.Int.J.Theor.Phys.54(10),3819-3824(2015)

[49]Yin,A.,Fu,F.:Eavesdropping on semi-quantum secret sharing schemeof specific bits.Int.J.Theor.Phys.55(9),4027-4035(2016)

[50]Gao,G.,Wang,Y.,Wang,D.:Multiparty semiquantum secret sharingbased on rearranging orders of qubits.Mod.Phys.Lett.B 30(10),1650130(2016)

[51]Tavakoli,A.,Herbauts,I.,Zukowski,M.,et al.:Secret sharing with asingle d-level quantum system.Phys.Rev.A 92(3),03030(2015)

[52]Ye,C.Q.,Ye,T.Y.:Circular multi-party quantum private comparisonwith n-level single-particle states.Int.J.Theor.Phys.58(4):1282-1294(2019)

[53]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf.Comput.7,329(2007)

[54]Gao,F.Z,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys.Lett.A 360(6),748-750(2007)

[55]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:participantattack on a kind of MQSS schemes based on entanglement swapping.Eur.Phys.J.D56(3),445-448(2010)

[56]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret sharing protocol.Phys.Rev.A 76(6),062324(2007)

[57]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys.Lett.A 351(1-2):23-25(2006)

[58]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.arXiv:quant-ph/0508168(2005)

[59]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order ofparticles.Phys.Rev.A 74:054302(2006)

[60]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantumcryptography.Rev.Mod.Phys.74(1):145-195(2002)

[61]Nie,Y.Y.,Li,Y.H.,Wang,Z.S.:Semi-quantum information splittingusing GHZ-type states.Quantum Inf.Process.12,437-448(2013)

发明内容

本发明的目的是设计一种基于d级单粒子态的树型多方半量子秘密共享方法，实现一方与n方之间共享一个秘密。

一种基于d级单粒子态的树型多方半量子秘密共享方法，共包括以下六个过程：

S1)P₀制备n组2L个d级单粒子态，分别表示为S₁,S₂,...,S_n。这里，S_j(j＝1,2,...,n)中的每个d级单粒子态从集合C₁中随机选择。S_j中的粒子分别被表示为

其中

字母i代表S_j中d级单粒子态的顺序，i＝1,2,...,2L。同时，P₀制备另外n组2L个d级单粒子态，分别表示为T₁,T₂,...,T_n。这里，T_j(j＝1,2,...,n)中的每个d级单粒子态从集合C₂中随机选择。T_j中的粒子分别被表示为

其中

i＝1,2,...,2L。然后，P₀随机将T_j插入S_j来构成G_j。最后，P₀将G_j发送给P_j。

S2)在P_j(j＝1,2,...,n)已经收到G_j的所有粒子后，她对它们施加量子底特移位操作。为描述方便起见，施加在S_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，粒子

的状态被改变为

为简便起见，这些粒子被记为

其中

类似地，施加在T_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，根据文献[52]的定理1，粒子

的状态保持不变。最后，在置乱手中的所有粒子后，P_j将它们发送回P₀。

S3)在P₀已经收到来自P_j(j＝1,2,...,n)的所有粒子后，P_j通过公开信道宣布序列中粒子的顺序。然后，P₀检测量子信道中是否存在一个窃听者。也就是说，P₀选择正确的基测量T_j的粒子。如果量子信道没有窃听者，她的测量结果应当与她制备的相应初始态一样。在这种情况下，她将进行下一步。否则，她将终止通信并重新开始整个过程。

S4)在丢弃T_j(j＝1,2,...,n)中的粒子后，P₀选择正确的基测量S_j的粒子。这里，测量结果被表示成

然后，P₀按照如下过程检测量子信道是否存在一个窃听者。首先，P₀从S_j中随机选择L个粒子并向P_j宣布这些粒子的位置。然后，P_j向P₀宣布这些选中粒子的相应的

通过比较

和

的值，P₀能计算出错误率。如果量子信道不存在一个窃听者，

的值应当与

的值相等。如果错误率超过阈值，整个过程将被重新开始；否则，将执行到下一步。

S5)在S_j(j＝1,2,...,n)中用于安全检测的粒子被丢弃后，S_j中只剩下L个粒子。P₀计算

其中l代表S_j中剩余粒子的顺序。然后，P₀将她的秘密m_l加密成

并计算

最后，P₀向P₁,P₂,...,P_n公布M_l和V_l。

S6)P₁,P₂,...,P_n一起合作计算

根据M_l、V_l和H_l，P₁,P₂,...,P_n通过计算

能一起恢复出秘密m_l。

附图说明

图1是带有两个酉操作U_G和U_H的Eve的纠缠-测量攻击。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、d级量子系统和量子底特移位操作

在一个d级量子系统，单光子的一组基可被表示为

C₁＝{|k>}，k＝0,1,…,d-1。 (1)

集合C₁中的每个成员与其他成员都是正交的。对C₁中的每个量子态施加d阶离散量子傅里叶变换F能形成式(2)所示的另一组基。

这里，

集合C₂中的每个成员也与其他成员都是正交的。显然，C₁和C₂是两组共轭基。

一个酉操作定义为

代表量子底特移位操作，其中符合

代表模d和，m＝0,1,...,d-1。在粒子|k>被施加量子底特移位操作U_m后，它的量子态被转化为

根据文献[52]的定理1，粒子F|k>被施加量子底特移位操作U_m后，它的量子态被保持不变。

2、基于d级单粒子态的MSQSS方法

现在假设P₀想与n方P₁,P₂,...,P_n共享一个秘密m_l，其中m_l∈{0,1,...,d-1}，l＝1,2,...,L。P₁,P₂,…,P_n一起合作能恢复出秘密m_l，但是任何一方都不能单独成功做到。本发明提出的基于d级单粒子态的MSQSS方法的详细流程被描述如下。

S1)P₀制备n组2L个d级单粒子态，分别表示为S₁,S₂,…,S_n。这里，S_j(j＝1,2,…,n)中的每个d级单粒子态从集合C₁中随机选择。S_j中的粒子分别被表示为

其中

字母i代表S_j中d级单粒子态的顺序，i＝1,2,…,2L。同时，P₀制备另外n组2L个d级单粒子态，分别表示为T₁,T₂,…,T_n。这里，T_j(j＝1,2,…,n)中的每个d级单粒子态从集合C₂中随机选择。T_j中的粒子分别被表示为

其中

然后，P₀随机将T_j插入S_j来构成G_j。最后，P₀将G_j发送给P_j。

S2)在P_j(j＝1,2,…,n)已经收到G_j的所有粒子后，她对它们施加量子底特移位操作。为描述方便起见，施加在S_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，粒子

的状态被改变为

为简便起见，这些粒子被记为

其中

类似地，施加在T_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，根据文献[52]的定理1，粒子

通过比较

和

的值应当与

并计算

最后，P₀向P₁,P₂,...,P_n公布M_l和V_l。

S6)P₁,P₂,...,P_n一起合作计算

根据M_l、V_l和H_l，P₁,P₂,...,P_n通过计算式(6)能一起恢复出秘密m_l。

3、安全性分析

在这部分，首先，证明外在攻击对于本发明的方法是无效的。其次，证明不忠诚方在没有其他方的帮助下是无法得到P₀的秘密。

3.1外在攻击

在本发明的方法中，如果一个窃听者想得到P₀的秘密m_l(l＝1,2,...,L)，她应当提前知道

一个外在窃听者可能利用量子底特传输通过施加一些著名的攻击，如截获-重发攻击、测量-重发攻击和纠缠-测量攻击，来提取关于P_j的量子底特移位操作的一些有用信息。接下来分析一个外在窃听者窃取P₀的秘密m_l的可能性。

(1)截获-重发攻击

Eve的截获-重发攻击描述如下。首先，Eve截获从P₀到P_j的序列并将它们保留在手中。然后，她制备假的d级单粒子态处于C₁基并将它们发送给P_j。P_j对这些粒子正常施加她的量子底特移位操作，对它们置乱后送回给P₀。然后，Eve截获从P_j到P₀的序列，将保留在手中的初始序列发送给P₀。在P_j通过公开信道宣布她发送给P₀的序列的粒子的顺序后，Eve重新恢复粒子的顺序并用制备基测量这些粒子。这样，Eve能得到P_j施加的量子底特移位操作。然而，这种攻击将被P₀在步骤S4的安全检测所发现，因为在这种情形

的值未必与

的值相等。

(2)测量-重发攻击

为了得到

Eve截获从P_j到P₀的粒子，测量它们并将测量后的粒子发送回P₀。然而，Eve并不知道T_j和S_j中粒子的真正位置。这样，Eve只好从C₁和C₂中随机选择一个基测量从P_j到P₀的粒子。在这种情形下，如果选择的基是错误的，Eve的攻击将不可避免地改变从P_j到P₀的粒子的状态。因此，Eve的攻击将被步骤S3或步骤S4的安全检测轻易发现。

(3)纠缠-测量攻击

来自一个外在攻击者Eve的纠缠-测量攻击由两个酉操作组成：攻击从P₀到P_j的粒子的U_E以及攻击从P_j到P₀的粒子的U_F，其中U_E和U_F共享一个共同的状态为|ε>的探测空间。正如文献[25-26]所指出的，共享的探测态允许Eve依赖U_E获得的信息对返回的粒子进行攻击(如果Eve没有充分利用这一事实，那么共享的探测态可以简单地看作是两个独立探测态构成的复合系统)。Eve使U_F依赖于应用U_E后的测量的任何攻击可被带有控制门的U_E和U_F来实现。方法执行过程Eve的纠缠-测量攻击被描绘在图1中。

定理1：假设Eve对从P₀到P_j以及从P_j返回P₀的粒子施加攻击(U_E,U_F)。为了使这个攻击在步骤S3和S4不会引入错误，Eve探测态的最终态应当独立于P_j施加量子底特移位操作后粒子的状态。这样，Eve得不到P₀的秘密的任何信息。

证明：在Eve攻击之前，由来自P₀和Eve的粒子一起构成的复合系统的全局状态可被表示为|G>|ε>。这里，|G>是P₀制备的随机处于两个集合C₁和C₂之一的粒子。

(a)Eve对从P₀到P_j的粒子施加酉操作U_E

为描述方便起见，集合C₁中的粒子的状态被记为|r>。如果传输的粒子处于集合C₁中，施加在它上面的酉操作U_E的效果可被描述如下：[24]

U_E|0>|ε>＝λ₀₀|0>|ε₀₀>+λ₀₁|1>|ε₀₁>+…+λ_0(d-1)|d-1>|ε_0(d-1)>， (7)

U_E|1>|ε>＝λ₁₀|0>|ε₁₀>+λ₁₁|1>|ε₁₁>+…+λ_1(d-1)|d-1>|ε_1(d-1)>， (8)

U_E|d-1>|ε>＝λ_(d-1)0|0>|ε_(d-1)0>+λ_(d-1)1|1>|ε_(d-1)1>+…+λ_(d-1)(d-1)|d-1>|ε_(d-1)(d-1)>， (9)

其中|ε_rt>是由酉操作U_E决定的状态，r,t＝0,1,...,d-1，而且对于r＝0,1,...,d-1，有

为描述方便起见，集合C₂中的粒子的状态被记为|R_r>，其中

如果传输的粒子处于集合C₂中，施加在它上面的酉操作U_E的效果可被描述如下：

(b)Eve对从P_j到P₀的粒子施加酉操作U_F

在步骤S2，P_j对来自P₀的粒子施加量子底特移位操作U_m。

首先，考虑Eve对来自集合C₁的P_j编码量子底特移位操作U_m后的粒子施加酉操作U_F的情形。如果Eve想避免步骤S4的窃听检测，那么她不能改变其状态。这样，U_F必须满足以下条件：

U_FU_mU_E|0>|ε>＝λ₀₀U_m|0>|F₀₀>， (11)

U_FU_mU_E|1>|ε>＝λ₁₁U_m|1>|F₁₁>， (12)

U_FU_mU_E|d-1>|ε>＝λ_(d-1)(d-1)U_m|d-1>|F_(d-1)(d-1)>， (13)

其中λ_rr≠0，r,t＝0,1,...,d-1。也就是说，U_F不能改变从P_j到P₀的粒子的状态。否则，P₀将在步骤S4以非零的概率检测到这个攻击。

其次，考虑Eve对来自集合C₂的P_j编码量子底特移位操作U_m后的粒子施加酉操作U_F的情形。根据文献[52]的定理1，在P_j编码量子底特移位操作U_m后，集合C₂中的粒子的状态被保持不变。如果Eve想避免步骤S3的窃听检测，那么她不能改变其状态。在Eve施加酉操作U_F后，粒子的状态将演化为

根据式(11-13)，对于r＝0,1,...,d-1，有U_FU_mU_E|r>|ε>＝λ_rrU_m|r>|F_rr>。这样，从式(15)可以得到

根据量子傅里叶逆变换，有

通过结合式(16-17)和文献[52]的定理1，可以得到

如果Eve想避免步骤S3被检测到，那么对于r≠j必须有

这里，j,r,m＝0,1,...,d-1。对于任意的r≠j，能得到

显然，对于任意的r≠j，能得到

因此，根据式(19-20)，应当存在

λ₀₀|F₀₀>＝λ₁₁|F₁₁>＝…＝λ_(d-1)(d-₁₎|F_(d-1)(d-1)>。 (21)

可以得出结论，为了使纠缠-测量攻击在步骤S3和S4不引入错误，Eve探测态的最终态应当独立于P_j施加量子底特移位操作后的粒子的状态。因此，Eve得不到P₀的秘密的任何信息。

3.2参与者攻击

在2007年，Gao等[53]首次指出一个不忠诚参与者的攻击，即参与者攻击，往往更强大，应当被特别关注。到目前为止，在量子密码分析[54-56]中，参与者攻击已经吸引了大量注意力。为了更充分地进行说明，考虑两种情形的参与者攻击。一种是一个不忠诚方在没有其他方的帮助下想得到P₀的秘密；另一种是多于一个不忠诚方在没有其他方的帮助下想共谋得到P₀的秘密。

情形1：来自一个不忠诚方的参与者攻击

既然n方的角色是一样的，不失一般性，在这种情形下，仅考虑不忠诚P₁在没有其他方的帮助下想得到P₀的秘密的情形。在本发明的方法中，P₁和P₂,P₃,...,P_n之间没有任何的量子底特传输。如果P₁尝试攻击从P₀到P₂,P₃,...,P_n或从P₂,P₃,...,P_n到P₀的粒子，她将扮演一个外在窃听者的角色，不可避免地被发现，正如以上分析的那样。

另一方面，P₁可能尝试从公开信息独立得到P₀的秘密。P₁能独立决定

在步骤S5，P₁也知道M_l和V_l。然而，只知道

M_l和V_l，仍无助于她独立得到P₀的秘密，因为她不知道

因此，一个不忠诚参与者无法在没有其他参与者帮助下得到P₀的秘密。

情形2：来自多于一个不忠诚方的参与者攻击

这里，只考虑这种情形的极端情况，即n-1方在没有剩余一方帮助的情况下来共谋尝试得到P₀的秘密，因为在这种极端情况不忠诚方具有最大的能量。不失一般性，假设不忠诚P₁,...,P_j-1,P_j+1,...,P_n在没有P_j的帮助下共谋在一起来尝试得到P₀的秘密。

一方面，如果P₁,...,P_j-1,P_j+1,...,P_n尝试攻击从P₀到P_j或从P_j到P₀的传输粒子，她们将扮演一个外在窃听者的角色，不可避免地被发现，正如以上分析的那样。

另一方面，P₁,...,P_j-1,P_j+1,...,P_n可能尝试从公开信息独立得到P₀的秘密。她们能分别独立决定

在步骤S5，她们也知道M_l和V_l。然而，她们在没有P_j的帮助下仍然无法得到P₀的秘密，因为她们不知道

可以得出结论，不忠诚P₁,...,P_j-1,P_j+1,...,P_n在没有P_j的帮助下无法得到P₀的秘密。

实施例：

1、多方半量子秘密共享方法应用举例

不失一般性，在忽略粒子传输过程和窃听检测过程后，以秘密m₁为例来说明本发明方法的正确性。

在S_j(j＝1,2,...,n)中用于安全检测的粒子被丢弃后，S_j中只剩下L个粒子。P₀计算

然后，P₀将她的秘密m₁加密成

并计算

最后，P₀向P₁,P₂,...,P_n公布M₁和V₁。P₁,P₂,...,P_n一起合作计算

根据M₁、V₁和H₁，P₁,P₂,...,P_n通过计算式(24)能一起恢复出秘密m₁。

现在可以得出结论，本发明提出的多方半量子秘密共享方法是正确的。2、讨论与总结

在本发明的方法中，粒子传送是环形的。因此，来自一个外在窃听者的木马攻击应当被考虑进去。为了抵抗不可见光子窃听木马攻击[57]，接收者应当在她的器件前插入一个滤波器过滤带有不合法波长的光子信号[58,59]。而且，为了抵抗延迟光子木马攻击[58,60]，接收者应当采用一个光子数分割器(Photon number splitter:50/50)来将每个样本量子信号分割成两份，并用恰当的测量基测量光子数分割器后的信号[58,59]。如果多光子率不合理得高，这个攻击将被检测到。

在本发明的方法中，经典方只实施以下操作：(a)不带干扰地发送或返回量子底特；(b)置乱量子底特(通过不同的延迟线)；(c)采用量子底特移位操作进行编码。根据文献[61]，采用量子底特移位操作进行编码的操作也是经典的。因此，本发明的方法是半量子的。

现在讨论之前的SQSS方法与本发明的方法之间的区别。显然，与之前的SQSS方法相比，本发明的方法具有两个新特点：一方面，它适用于d级量子系统；另一方面，它把经典方从量子测量中解放出来。

总之，利用d级单粒子态作为量子载体，本发明提出一个不需要经典方具备测量能力的MSQSS方法。量子方制备的粒子是以树型方式传输。分析结果表明，本发明的方法对于一些著名的攻击是安全的，如截获-重发攻击、测量-重发攻击、纠缠-测量攻击和参与者攻击。尤其值得强调的是，本发明的方法不需要所有方都具备量子能力，意味着秘密共享能以一个更低的代价实现。

Claims

1.一种基于d级单粒子态的树型多方半量子秘密共享方法，实现一方与n方之间共享一个秘密；量子方制备的粒子是以树型方式传输；经典方不需要具备测量能力；共包括以下六个过程：

S1)P₀制备n组2L个d级单粒子态，分别表示为S₁,S₂,…,S_n；这里，S_j(j＝1,2,…,n)中的每个d级单粒子态从集合C₁中随机选择，其中C₁＝{|k>}，k＝0,1,…,d-1；S_j中的粒子分别被表示为

其中

字母i代表S_j中d级单粒子态的顺序，i＝1,2,…,2L；同时，P₀制备另外n组2L个d级单粒子态，分别表示为T₁,T₂,…,T_n；这里，T_j(j＝1,2,…,n)中的每个d级单粒子态从集合C₂中随机选择，其中

F是d阶离散量子傅里叶变换，

T_j中的粒子分别被表示为

其中

然后，P₀随机将T_j插入S_j来构成G_j；最后，P₀将G_j发送给P_j；

S2)在P_j(j＝1,2,…,n)已经收到G_j的所有粒子后，她对它们施加量子底特移位操作；施加在S_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，粒子

的状态被改变为

这些粒子被记为

其中

施加在T_j中第i个粒子的量子底特移位操作被记为

其中

在P_j的编码操作后，粒子

的状态保持不变；最后，在置乱手中的所有粒子后，P_j将它们发送回P₀；

S3)在P₀已经收到来自P_j(j＝1,2,…,n)的所有粒子后，P_j通过公开信道宣布序列中粒子的顺序；然后，P₀检测量子信道中是否存在一个窃听者；P₀选择正确的基测量T_j的粒子；如果量子信道没有窃听者，她的测量结果应当与她制备的相应初始态一样；在这种情况下，她将进行下一步，否则，她将终止通信并重新开始整个过程；

S4)在丢弃T_j(j＝1,2,…,n)中的粒子后，P₀选择正确的基测量S_j的粒子；这里，测量结果被表示成