CN110098929B - 基于两粒子纯纠缠态的两方量子隐私比较方法 - Google Patents

Abstract

本发明提出一种基于两粒子纯纠缠态的两方量子隐私比较方法，其中第三方是半忠诚的，被允许按照自己的意愿错误行事但不能与其他任何人共谋。本发明的方法采用两粒子纯纠缠态作为量子资源，需要单粒子测量但不需要酉操作或量子纠缠交换。本发明的方法对于外在攻击和参与者攻击都是安全的。

Description

基于两粒子纯纠缠态的两方量子隐私比较方法

技术领域

本发明涉及量子密码学领域。本发明设计一种基于两粒子纯纠缠态的两方量子隐私比较方法，实现两个用户秘密整数的相等性比较。

背景技术

在1984年，Bennett和Brassard[1]提出第一个量子密钥分配(Quantum keydistribution，QKD)方法，这意味着量子密码的诞生。直到现在，量子密码的不同分支已经被提出来，如QKD[1]、量子秘密共享(Quantum secret sharing，QSS)[2-4]、量子安全直接通信(Quantum secure direct communication，QSDC)[5]等。

在2009年，Yang和Wen[6]提出第一个量子隐私比较(Quantum privatecomparison，QPC)方法。QPC致力于在保证它们真正内容隐私性的前提下判断两个用户的隐秘输入是否相等。直到现在，通过利用不同最大纠缠态作为量子资源，许多QPC方法已经被设计出来，如文献[6-15]的方法。然而，目前仍然很少有利用纯纠缠态作为量子资源的QPC方法。

Lo[16]首次指出，QPC总需要一个第三方(Third party，TP)。最合理的TP的定义是由Yang等[10]提出来，即TP被允许按照自己的意愿错误行事但不能与其他任何人共谋。

基于以上分析，本发明利用两粒子纯纠缠态作为量子资源提出一个新颖的QPC方法。本发明的方法采用Yang等对半忠诚TP的定义[10]。

参考文献

[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:Public-keydistributionand coin tossing.Proc.IEEE Int.Conf.Computers,Systems and SignalProcessing,1984,175-179

[2]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys RevA,1999,59:1829-1834

[3]Zhou,P.,Li,X.H.,Liang,Y.J.,Deng,F.G.,Zhou,H.Y.:Multipartyquantumsecret sharing with pure entangled states and decoy photons.Physica A,2007,381:164-169

[4]Chen,J.H.,Lee,K.C.,Hwang,T.:The enhancement of Zhou et al.’squantumsecret sharing protocol.Int J Mod Phy C,1999,20(10):1531-1535

[5]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys Rev A,2002,65:032302

[6]Yang,Y.G.,Wen,Q.Y.:An efficient two-party quantum privatecomparisonprotocol with decoy photons and two-photon entanglement.J Phys A:Math Theor,2009,42:055305

[7]Liu,W.,Wang,Y.B.,Cui,W.:Quantum private comparison protocol basedonBell entangled states.Commun Theor Phys,2012,57:583-588

[8]Tseng,H.Y.,Lin,J.,Hwang,T.:New quantum private comparisonprotocolusing EPR pairs.Quantum Inf Process,2012,11:373-384

[9]Wang,C.,Xu,G.,Yang,Y.X.:Cryptanalysis and improvements forthequantum private comparison protocol using EPR pairs.Int J Quantum Inf,2013,11:1350039

[10]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantumprivatecomparison protocols with a semi-honest third party.Quantum InfProcess,2013,12:877-885

[11]Zhang,W.W.,Zhang,K.J.:Cryptanalysis and improvement of thequantumprivate comparison protocol with semi-honest third party.Quantum InfProcess,2013,12:1981-1990

[12]Ye,T.Y.,Ye,C.Q.:Measure-resend semi-quantum private comparisonwithout entanglement.Int J Theor Phys,2018,57(12):3819-3834

[13]Zhou,M.K.:Robust multi-party quantum private comparison protocolsagainst the collective noise based on three-qubit entangled states.Int JTheor Phys,2018,57(10):2931-2937

[14]Pan,H.M.:Intercept-resend-measure attack towards quantum privatecomparison protocol using genuine four-particle entangled states and itsimprovement.Int J Theor Phys,2018,57(7):2034-2040

[15]Ye,C.Q.,Ye,T.Y.:Multi-party quantum private comparison of sizerelation withd-level single-particle states.Quantum Inf Process,2018,17(10):252

[16]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A,1997,56(2):1154-1162

[17]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett,2005,22(5):1049

[18]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure directcommunication via entanglement swapping.Chin Phys Lett,2007,24(1):19

[19]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectionalquantum direct communication using a GHZ state.Chin Phys Lett,2013,30(4):040305

[20]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput,2007,7:329

发明内容

本发明的目的是设计一种基于两粒子纯纠缠态的两方QPC方法，实现两个用户秘密整数的相等性比较。

一种基于两粒子纯纠缠态的两方QPC方法，共包括以下六个过程：

S1)Alice和Bob事先通过BB84 QKD方法[1]在她们之间确立一个长度为N的二进制密钥序列K_AB。

S2)Alice将她的秘密整数X的二进制表示分成N组

其中每组包括一个二进制比特。类似地，Bob将他的秘密整数Y的二进制表示分成N组

其中每组也包括一个二进制比特。

S3)TP制备N个两粒子纯纠缠态，其中每个随机处于四个量子态|φ>_AB、|φ'>_AB、|ψ>_AB和|ψ'>_AB之一。然后，她将这些两粒子纯纠缠态安排成一个序列P，即

其中上标1,2,...,N表示这些两粒子纯纠缠态在序列中的顺序，下标A代表每个两粒子纯纠缠态的第一个粒子，下标B代表每个两粒子纯纠缠态的第二个粒子。TP将序列P的每个两粒子纯纠缠态的粒子A挑出以形成一个有序的粒子序列P_A，即

TP将序列P的每个两粒子纯纠缠态的粒子B挑出以形成一个有序的粒子序列P_B，即

TP制备两组诱骗光子随机处于四个量子态{|0>，|1>，|+>，|->}之一，并将它们分别随机插入P_A和P_B以形成两个新序列P′_A和P′_B。最后，TP分别将P′_A和P′_B发送给Alice和Bob。

S4)在收到P′_A(P′_B)后，Alice(Bob)与TP一起进行如下过程的安全检测过程。TP告诉Alice(Bob)P′_A(P′_B)中诱骗光子的位置和制备基。然后，Alice(Bob)利用TP的制备基测量它们并告诉TP她(他)的测量结果。通过比较Alice(Bob)的测量结果和它们的制备态，TP能判断出P′_A(P′_B)的传输是否安全。如果错误率足够小，Alice和Bob将执行下一步；否则，整个通信过程将被终止。

S5)Alice丢弃P′_A中的诱骗光子恢复出P_A。Alice用σ_Z基测量粒子

得到测量结果

如果

是|0>，那么

为0；如果

是|1〉，那么

为1。然后，Alice计算

这里，i＝1,2,...,N。最后，Alice向TP公布R_A，其中

与此同时，Bob丢弃P_B'中的诱骗光子恢复出P_B。Bob用σ_Z基测量粒子

得到测量结果

如果

是|0〉，那么

为0；如果

是|1〉，那么

为1。然后，Bob计算

这里，i＝1,2,...,N。最后，Bob向TP公布R_B，其中

S6)在收到R_A和R_B后，TP根据以下规则将

转化成一个经典比特：如果

处于|φ>_AB或|φ'〉_AB，那么Vⁱ为0；如果

处于|ψ〉_AB或|ψ'>_AB，那么Vⁱ为1。然后，TP计算

如果TP发现存在某个i有Rⁱ≠0，她将得出X≠Y并立即终止通信过程；否则，她将得出X＝Y。最后，TP把比较结果告诉Alice和Bob。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、两粒子纯纠缠态

本发明的方法采用的四个两粒子纯纠缠态被定义如下：[3]

|φ>_AB＝(α|00>+β|11>)_AB， (1)

|φ'>_AB＝(α|11>+β|00>)_AB， (2)

|ψ>_AB＝(α|01>+β|10>)_AB， (3)

|ψ'>_AB＝(α|10>+β|01>)_AB， (4)

其中|α|²+|β|²＝1。量子态|φ'>_AB、|ψ>_AB和|ψ'>_AB从|φ>_AB能通过下列式子分别得到：[3]

其中U₀＝|0><0|+|1><1|，U₁＝|0><1|+|1><0|。

2、基于两粒子纯纠缠态的两方QPC方法

两个用户，Alice和Bob，分别拥有两个秘密整数X和Y，其中

且x_j,y_j∈{0,1}。她们在一个半忠诚TP的帮助下想知道X和Y是否相等。这里采用Yang等[10]对TP的定义。

本发明提出的基于两粒子纯纠缠态的两方QPC方法的详细流程被描述如下。

S1)Alice和Bob事先通过BB84 QKD方法[1]在她们之间确立一个长度为N的二进制密钥序列K_AB。

S2)Alice将她的X的二进制表示分成N组

其中每组包括一个二进制比特。类似地，Bob将他的Y的二进制表示分成N组

其中每组也包括一个二进制比特。

S3)TP制备N个两粒子纯纠缠态，其中每个随机处于四个量子态|φ>_AB、|φ'>_AB、|ψ>_AB和|ψ'>_AB之一。|φ'>_AB、|ψ>_AB和|ψ'>_AB可通过对|φ>_AB分别施加式(5-7)得到。然后，她将这些两粒子纯纠缠态安排成一个序列(此后称它为序列P)

其中上标1,2,...,N表示这些两粒子纯纠缠态在序列中的顺序，下标A代表每个两粒子纯纠缠态的第一个粒子，下标B代表每个两粒子纯纠缠态的第二个粒子。

TP将序列P的每个两粒子纯纠缠态的粒子A挑出以形成一个有序的粒子序列P_A，即

TP将序列P的每个两粒子纯纠缠态的粒子B挑出以形成一个有序的粒子序列P_B，即

TP制备两组诱骗光子随机处于四个量子态{|0>，|1>，|+>，|->}之一，并将它们分别随机插入P_A和P_B以形成两个新序列P′_A和P′_B。最后，TP分别将P′_A和P′_B发送给Alice和Bob。

S4)在收到P′_A(P′_B)后，Alice(Bob)与TP一起进行如下过程的安全检测过程。TP告诉Alice(Bob)P′_A(P′_B)中诱骗光子的位置和制备基。然后，Alice(Bob)利用TP的制备基测量它们并告诉TP她(他)的测量结果。通过比较Alice(Bob)的测量结果和它们的制备态，TP能判断出P′_A(P′_B)的传输是否安全。如果错误率足够小，Alice和Bob将执行下一步；否则，整个通信过程将被终止。

S5)Alice丢弃P_A'中的诱骗光子恢复出P_A。Alice用σ_Z基测量粒子

得到测量结果

如果

是|0>，那么

为0；如果

是|1>，那么

为1。然后，

这里，i＝1,2,...,N。最后，Alice向TP公布R_A，其中

与此同时，Bob丢弃P′_B中的诱骗光子恢复出P_B。Bob用σ_Z基测量粒子

得到测量结果

如果

是|0>，那么

为0；如果

是|1>，那么

为1。然后，Bob计算

这里，i＝1,2,...,N。最后，Bob向TP公布R_B，其中

S6)在收到R_A和R_B后，TP根据以下规则将

转化成一个经典比特：如果

处于|φ>_AB或|φ'>_AB，那么Vⁱ为0；如果

处于|ψ>_AB或|ψ'>_AB，那么Vⁱ为1。然后，TP计算

如果TP发现存在某个i有Rⁱ≠0，她将得出X≠Y并立即终止通信过程；否则，她将得出X＝Y。最后，TP把比较结果告诉Alice和Bob。

3、分析

3.1正确性

在本发明的方法中，Alice和Bob分别拥有

和

其中x_j,y_j∈{0,1}。她们在一个半忠诚TP的帮助下实现

和

的相等性比较。容易知道

这样，有

根据式(11)，Rⁱ＝0意味着

否则，有

因此，可以得出结论，本发明的方法的输出是正确的。

3.2安全性

这部分分别考虑外部攻击和参与者攻击。

(1)外部攻击

这里一步步分析一个外部窃听者得到X和Y的可能性。

在步骤S1，BB84 QKD方法[1]能保证Alice和Bob之间共享的秘钥序列K_AB的安全性。

步骤S2不存在量子比特传输，使得一个外部窃听者没有机会发起攻击。

在步骤S3，TP将P′_A和P′_B分别发送给Alice和Bob，这样，一个外部窃听者能在量子比特传输期间发起攻击。然而，诱骗光子技术[17]被用于步骤S4的安全检测，已被证实对于一些著名的攻击是有效的，如截获-重发攻击、测量-重发攻击、纠缠-测量攻击等。[18-19]

在步骤S5，Alice用一次一密密钥

和

加密

而Bob用一次一密密钥

和

加密

显然，当Alice(Bob)在这步向TP公布R_A(R_B)时，一个外部窃听者无法得到

因为她无法知道

和

总之，本发明的方法对于外部攻击是安全的。

(2)参与者攻击

下面详细分析Gao等[20]在2007年首次指出的参与者攻击。

情形1：Alice想知道Y

在步骤S5，当Bob向TP公布R_B时，Alice可能会听到。然而，她仍然无法得到

因为它被Alice不知情的

加密。也就是说，Alice不能知道Y。

情形2：Bob想知道X

在步骤S5，当Alice向TP公布R_A时，Bob可能会听到。然而，他仍然无法得到

因为它被Bob不知情的

加密。也就是说，Bob不能知道X。

情形3：TP想知道X和Y

TP可能尽最大努力得到X和Y。

在步骤S5，TP从Alice(Bob)那得到R_A(R_B)。然而，即使TP通过文献[9-11]的攻击策略来得到

她仍然无法从

得到

因为它被

加密。可以得出结论，TP无法得到X和Y。

需要强调的是，TP知道X和Y的比较结果。

实施例：

1、量子隐私比较方法应用举例

不失一般性，在忽略粒子传输过程和窃听检测过程后，以

和

为例来说明本发明方法的正确性。

Alice和Bob在一个半忠诚TP的帮助下比较

和

的相等性。显然，存在

这样，有

根据式(12)，Rⁱ＝0意味着

否则，有

因此，可以得出结论，本发明的方法的输出是正确的。

2、讨论与总结

文献[4]定义量子比特效率η为

其中r_c是被比较的经典比特数，r_q是消耗的量子比特数[6]。在本发明的方法中，一个两粒子纯纠缠态能被用于比较来自各方的一比特隐私信息。这样，量子比特效率等于50％。

文献[6-11]的QPC方法采用两粒子最大纠缠态(即Bell态)作为量子资源，而本发明的方法采用两粒子纯纠缠态作为量子资源。由于两粒子纯纠缠态的制备比两粒子最大纠缠态的制备更方便，本发明的方法在量子资源上胜过文献[6-11]的QPC方法。

总之，本发明利用两粒子纯纠缠态作为量子资源，提出一个两方QPC方法。本发明的方法需要单粒子测量但不需要酉操作或量子纠缠交换。本发明的方法对于外在攻击和参与者攻击都是安全的。

Claims (1)

1.一种基于两粒子纯纠缠态的两方量子隐私比较方法，在保证它们真正内容隐私性的前提下判断两个用户的隐秘输入是否相等；采用两粒子纯纠缠态作为量子资源；需要单粒子测量但不需要酉操作或量子纠缠交换；对于外在攻击和参与者攻击都是安全的；共包括以下六个过程：

S1)Alice和Bob事先通过BB84 QKD方法在她们之间确立一个长度为N的二进制密钥序列K_AB；

S2)Alice将她的秘密整数X的二进制表示分成N组

其中每组包括一个二进制比特；Bob将他的秘密整数Y的二进制表示分成N组

其中每组也包括一个二进制比特；

S3)第三方TP制备N个两粒子纯纠缠态，其中每个随机处于四个量子态|φ>_AB、|φ'>_AB、|ψ>_AB和|ψ'>_AB之一；然后，她将这些两粒子纯纠缠态安排成一个序列P，即

其中上标1,2,...,N表示这些两粒子纯纠缠态在序列中的顺序，下标A代表每个两粒子纯纠缠态的第一个粒子，下标B代表每个两粒子纯纠缠态的第二个粒子；TP将序列P的每个两粒子纯纠缠态的粒子A挑出以形成一个有序的粒子序列P_A，即

TP将序列P的每个两粒子纯纠缠态的粒子B挑出以形成一个有序的粒子序列P_B，即

TP制备两组诱骗光子随机处于四个量子态{|0>，|1>，|+>，|->}之一，并将它们分别随机插入P_A和P_B以形成两个新序列P′_A和P′_B；最后，TP分别将P′_A和P′_B发送给Alice和Bob；

S4)在收到P′_A后，Alice与TP一起进行如下过程的安全检测过程；TP告诉Alice P′_A中诱骗光子的位置和制备基；然后，Alice利用TP的制备基测量它们并告诉TP她的测量结果；通过比较Alice的测量结果和它们的制备态，TP能判断出P′_A的传输是否安全；

在收到P′_B后，Bob与TP一起进行如下过程的安全检测过程；TP告诉Bob P′_B中诱骗光子的位置和制备基；然后，Bob利用TP的制备基测量它们并告诉TP他的测量结果；通过比较Bob的测量结果和它们的制备态，TP能判断出P′_B的传输是否安全；

如果P′_A和P′_B的传输过程都是安全的，Alice和Bob将执行下一步，否则，整个通信过程将被终止；

S5)Alice丢弃P′_A中的诱骗光子恢复出P_A；Alice用σ_Z基测量粒子

得到测量结果

如果

是|0>，那么

为0；如果

是|1>，那么

为1；然后，Alice计算

这里，i＝1,2,...,N；最后，Alice向TP公布R_A，其中

与此同时，Bob丢弃P_B'中的诱骗光子恢复出P_B；Bob用σ_Z基测量粒子

得到测量结果

如果

是|0>，那么

为0；如果

是|1>，那么

为1；然后，Bob计算

这里，i＝1,2,...,N；最后，Bob向TP公布R_B，其中

S6)在收到R_A和R_B后，TP根据以下规则将

转化成一个经典比特：如果

处于|φ>_AB或|φ'>_AB，那么Vⁱ为0；如果

处于|ψ>_AB或|ψ'>_AB，那么Vⁱ为1；然后，TP计算

如果TP发现存在某个i有Rⁱ≠0，她将得出X≠Y并立即终止通信过程，否则，她将得出X＝Y；最后，TP把比较结果告诉Alice和Bob。