CN111404691B - 基于量子行走的具有可信认证的量子秘密共享方法 - Google Patents

Abstract

本发明提供了基于量子行走的具有可信认证的量子秘密共享方法，包括：秘密参与端制备单光子序列S_B和S_C，根据自身的身份认证密钥对S_B和S_C进行编码得到S_B’和S_C’并发送给秘密分发端；秘密分发端基于秘密参与端的身份认证密钥对其身份进行认证；秘密分发端构建两个基于S_B和S_C的量子行走系统，将待共享的秘密信息编码到S_B和S_C上，记秘密信息编码粒子分别为M_B和M_C；秘密分发端将M_B和M_C隐形传态给秘密参与端；秘密参与端互相合作，完成对秘密分发端的身份认证和秘密信息的重构；本发明中的可信身份认证功能以及量子行走电路可以提高量子秘密共享方法及系统的安全性及实用性，避免来自内、外部的截获/重发攻击，纠缠攻击，参与端攻击和冒充攻击。

Description

基于量子行走的具有可信认证的量子秘密共享方法

技术领域

本发明属于量子信息共享技术领域，尤其涉及基于量子行走的具有可信认证的量子秘密共享方法。

背景技术

量子秘密共享(QSS)是经典秘密共享和量子理论的结合，它允许秘密信息通过量子操作分发，传输和恢复(经典信息或量子编码信息)。假设Alice想将秘密计划在远距离下交给Bob和Charlie，但她并不完全信任Bob和Charlie。秘密共享协议在上述情况中起着重要作用，并且QSS的安全性基于量子力学的基础，这使得QSS比传统秘密共享更加安全。最早的QSS方案由Hillery等人在1999年提出，他们使用Greenberger-Horne-Zeilinger(GHZ)纠缠态来完成秘密共享。此后，许多基于纠缠态和非纠缠态的QSS方案被提出。

量子随机行走是经典随机行走的量子对应，最早由Aharonov等人于1993年提出。量子行走在许多方面应用大有裨益，在通信协议中的应用亦是如此。在过去的两年中，Wang等人和Shang等人提出了多种量子行走模型在隐形传态中的应用。文章指出，不需要事先制备必要的纠缠态，但是粒子间的纠缠关系可以在行走过程中自发产生。由于量子行走在许多不同的物理系统中的可行性得以证明，不少基于量子行走的量子签名方案已被提出被受到广泛认可。

申请号为201910786258.1的发明公开了一种基于量子行走的量子秘密共享方法及共享系统，秘密分发端根据规则将需要分享的秘密信息编码为量子态，并将编码粒子拆分为两部分；通过量子行走系统将两条加密信息分别隐形传态给第一参与端和第二参与端；第一参与端和第二参与端通过合作解密秘密分发端的秘密信息。该发明将量子行走系统的特性用于未知粒子的隐形传态，粒子间自发产生纠缠，免除了在粒子准备阶段制备纠缠态粒子以完成粒子隐形传态。该发明将基于量子行走的隐形传态方法结合编码规则，完成了一种基于量子行走的量子秘密共享方法

但传统QSS方案和上述发明均存在一个问题，即此类方案仅讨论消息的分发，而与身份认证无关。因此非法者可以通过冒充秘密分发端发出虚假命令，指示秘密参与端完成非法任务，从而导致秘密信息泄露。

发明内容

针对现有技术存在的问题，本发明提供了基于量子行走的具有可信认证的量子秘密共享方法。

为完成发明目的，本发明采用的技术方案是：

步骤S1.第一秘密参与端和第二秘密参与端分别制备用于身份认证和构建量子行走电路的长度为N比特的单光子序列S_B和S_C，然后根据自身的身份认证密钥通过Pauli操作规则：

分别对所述S_B和所述S_C进行编码，得到S_B’和S_C’，然后将所述S_B’和所述S_C’发送给秘密分发端；

步骤S2.秘密分发端基于秘密参与端的身份认证密钥对秘密参与端的身份进行认证；

步骤S3.秘密分发端通过两步量子行走进化算子W分别构建两个基于所述S_B和所述S_C的量子行走系统，将待共享的、长度为t的秘密信息通过Pauli操作规则：

编码到所述S_B和所述S_C上，记秘密信息编码粒子分别为M_B和M_C；

步骤S4.秘密分发端通过所述量子行走系统将所述M_B隐形传态给第二秘密参与端，将所述M_C隐形传态给第一秘密参与端；

步骤S5.秘密参与端互相合作，完成对秘密分发端的身份认证和所述秘密信息的重构；

其中，所述步骤S2具体包括以下步骤：

步骤S201.秘密分发端根据秘密参与端的所述身份认证密钥还原收到的所述S_B’和所述S_C’，得到所述S_B和所述S_C；

步骤S202.秘密分发端从所述S_B和所述S_C中分别选择数量为N-t的光子作为样本粒子，随机选择Z基测量基或X基测量基来检测多光子欺骗信号攻击；若检测结果中多光子的概率低于预定阈值，则秘密分发端宣布通信有效，则进行下一步；若检测结果中多光子的概率不低于预定阈值，则秘密分发端通知秘密参与端重启协议；

步骤S203.秘密分发端宣布所述样本粒子的位置和样本粒子的检测结果，秘密参与端宣布哪些位置的测量结果与制备的粒子态不符；若错误率低于预定阈值，则秘密参与端通过秘密分发端的认证，并且量子信道被认为是安全的，进行下一步；若错误率高于预定阈值，则秘密分发端决定是否重启协议；

所述步骤S5具体包括以下步骤：

步骤S501.第一秘密参与端和第二秘密参与端互相共享所述S_B和所述S_C的粒子态，并根据S_C和S_B的粒子态选择Z基测量基或X基测量基来测量各自持有的所述秘密信息编码粒子M_C、M_B，若测量结果的错误率低于预定阈值，则认为秘密分发端是合法的，进行下一步；若测量结果的错误率不低于预定阈值，则认为秘密分发端是非法的，停止进行下一步；

步骤S502.将所述M_B的测量结果记为R_B，将所述M_C的测量结果记为R_C；第二秘密参与端根据所述S_B推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_B根据所述秘密分发端的Pauli操作序列反向映射为秘密信息；第一秘密参与端根据所述S_C推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_C根据所述秘密分发端的Pauli操作序列反向映射为秘密信息。

进一步的是，所述步骤S3具体包括以下步骤：

步骤S301.秘密分发端制备两个长度为t的粒子序列A_p和B_p，按照A_p、S_B和B_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_B和B_p纠缠在一起；

步骤S302.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S301中的粒子S_B上，得到秘密信息编码粒子M_B；

步骤S303.秘密分发端制备两个长度为t的粒子序列A_p和C_p，按照A_p、S_C和C_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_C和C_p纠缠在一起；

步骤S304.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S303中的粒子S_C上，得到秘密信息编码粒子M_C。

进一步的是，所述步骤S4具体包括以下步骤：

步骤S401.秘密分发端将所述粒子序列C_p发送给第一秘密参与端，将所述粒子序列B_p发送给第二秘密参与端；

步骤S402.第一秘密参与端使用所述粒子序列C_p完成与秘密分发端的所述秘密信息编码粒子M_C的隐形传态；

步骤S403.第二秘密参与端使用所述粒子序列B_p完成与秘密分发端的所述秘密信息编码粒子M_B的隐形传态。

进一步的是，其特征在于：所述秘密分发端的Pauli操作序列的推导规则如下：

若所述M_B或M_C的测量结果R_B或R_C与所述S_B或S_C相同，则秘密分发端采用的Pauli操作为I操作；若相反，则秘密分发端采用的Pauli操作为σ_x操作。

本发明还提供了一种实施所述基于量子行走的具有可信认证的量子秘密共享方法的量子通信控制系统。

本发明还提供了一种实施所述基于量子行走的具有可信认证的量子秘密共享方法的量子秘密共享系统。

本发明与现有的技术相比，其有益的特点是：

1、本发明粒子制备由秘密参与端发起，且其制备根据秘密参与端各自的身份认证密钥完成粒子制备，从而将粒子制备与身份认证的前提步骤结合起来，便于后续步骤的进行，且不需要预先制备纠缠态，在量子行走过程中，单粒子会产生隐形传态所需的纠缠资源；

2、本发明中秘密分发端基于秘密参与端的身份认证密钥对其进行身份认证，秘密参与端通过对秘密信息编码粒子的测量来对秘密分发端进行身份认证，这样的双向身份认证操作可以确定量子信道的安全性，从而避免来自内部和外部的攻击，可以有效抵抗截获/重发攻击，纠缠攻击，参与端攻击和冒充攻击；

3、本发明利用Hash函数和量子局部操作，结合线性的两步量子行走电路，实现了秘密分发阶段中身份认证功能和秘密信息的隐形传态功能。参加者通过诚实合作，可以根据粒子测量结果恢复原始秘密信息，从而防止不可信代理以及外部攻击获取有效信息。

附图说明

图1是一个实施例中检测多光子欺骗信号攻击方法的示意图；

图2是一个实施例的流程图；

图3是一个实施例中k(正确测量的粒子态的总数)和P_B(Bob正确测量Sc’的整个粒子态的概率)之间的关系图；

图4是一个实施例中k(正确测量结果的总数)和P_D(Eve被检测到的概率)之间的关系图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供的基于量子行走的具有可信认证的量子秘密共享方法包括以下步骤：

粒子准备阶段：步骤S1.第一秘密参与端和第二秘密参与端分别制备用于身份认证和构建量子行走电路的长度为N比特的单光子序列S_B和S_C；其中，每一位单光子随机的处于{|0>,|1>,|+>,|->}。然后根据自身的身份认证密钥通过Pauli操作规则：

分别对所述S_B和所述S_C进行编码，得到S_B’和S_C’，然后将所述S_B’和所述S_C’发送给秘密分发端；

其中，秘密参与端和秘密分发端共享的秘密参与端的身份认证密钥是一个包含秘密参与端身份标识的输出长度为N比特的单向Hash函数，该函数对任何第三方都是保密的。

本申请使用Pauli操作和Hadamard操作将经典信息编码到量子态上，其操作公式如下：

I＝|0><0|+|1><1| (1)

σ_x＝|0><1|+|1><0| (2)

σ_z＝|0><0|-|1><1| (3)

特别的，该步骤种所执行的Pauli操作规则：

有如下解释：

若秘密参与端的身份认证密钥中的第i个值为0，则对相应的初始量子比特序列S_B(S_C)的第i个光子执行I操作；如果秘密参与端的身份认证密钥中的第i个值为1，则对相应的初始量子比特序列S_B(S_C)的第i个光子进行H操作。后文所述Pauli操作规则：

与此相同，不再赘述。

身份认证阶段：步骤S2.秘密分发端基于秘密参与端的身份认证密钥对秘密参与端的身份进行认证；

进一步的，身份认证阶段具体包括以下步骤：

步骤S201.秘密分发端根据秘密参与端的身份认证密钥还原收到的S_B’和S_C’，得到初始量子比特序列S_B和S_C。其具体操作规则如下：

若秘密参与端的身份认证密钥中的第i个值为0，则对相应的操作后的量子比特序列S_B’(S_C’)的第i个光子执行I操作；如果秘密参与端的身份认证密钥中的第i个值为1，则对相应的操作后的量子比特序列S_B’(S_C’)的第i个光子进行H操作。

步骤S202.秘密分发端从S_B和S_C中分别选择数量为N-t的光子作为样本粒子，随机选择Z基测量基或X基测量基来检测多光子欺骗信号攻击；若检测结果中多光子的概率低于预定阈值，则秘密分发端宣布通信有效，则进行下一步；若检测结果中多光子的概率不低于预定阈值，则秘密分发端通知秘密参与端重启协议。

其中，为了检测多光子欺骗信号攻击，防止秘密分发端对单光子信号的操作被窃取，采用光子分束器(PBS)检测多光子欺骗信号的攻击，检测方法如图1，其原理如下：

秘密分发端通过使用PBS分离每个用于检测的信号，并使用单光子探测器对其进行测量。如果分离前的初始信号仅包含一个光子，则只有一个探测器检测到光子；如果是多光子信号，则可能有多个探测器检测到光子。

步骤S203.秘密分发端宣布所述样品粒子的位置和所有检测结果，秘密参与端宣布哪些位置的结果与制备的初始态不符；若错误率低于预定阈值，则秘密参与端通过秘密分发端的认证，并且量子信道被认为是安全的，可以进行下一步；若错误率高于预定阈值，则秘密分发端决定是否重新进行秘密共享。

秘密信息编码阶段：步骤S3.秘密分发端通过两步量子行走进化算子W分别构建两个基于所述S_B和所述S_C的量子行走系统，将待共享的秘密信息通过Pauli操作规则：

编码到所述S_B和所述S_C上，记秘密信息编码粒子分别为M_B和M_C；

进一步的，秘密信息编码阶段具体包括以下步骤：

步骤S301.秘密分发端制备两个长度为t的粒子序列A_p和B_p，按照A_p、S_B和B_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_B和B_p纠缠在一起；

其中，A_p和B_p的初始状态均为|0>。粒子A_p为位移空间，粒子S_B为coin1，粒子B_p为coin2。

量子行走电路基于两枚硬币的线性量子行走模型，该模型的定义由Ambainis等人在2001年提出；它发生在一个复合的希尔伯特空间中，由两个主要空间组成，分别是位置空间和硬币空间，表示为：

其中，H_p表示位置空间{n,n∈Z}，H_c表示量子行走的硬币方向{|0>,|1>}，量子行走的每个步骤可以描述为：

其中，

S为移位运算符，表示为

C为作用于硬币空间的硬币操作符；

l为执行量子行走进化算子W操作的步数。

若投掷的硬币为|0>态，量子行走会从|n>移至|n+1>；如果投掷的硬币为|1>态，则会向后退至|n-1>态。

步骤S302.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S301中的粒子S_B上，得到秘密信息编码粒子M_B；

步骤S303.秘密分发端制备两个长度为t的粒子序列A_p和C_p，按照A_p、S_C和C_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_C和C_p纠缠在一起；

步骤S304.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S303中的粒子S_C上，得到秘密信息编码粒子M_C。

秘密信息分发阶段：步骤S4.秘密分发端将M_B隐形传态给第二秘密参与端，将M_C隐形传态给第一秘密参与端；

进一步的，秘密信息分发阶段具体包括以下步骤：

步骤S401.秘密分发端将所述粒子序列C_p发送给第一秘密参与端，将所述粒子序列B_p发送给第二秘密参与端；

步骤S402.第一秘密参与端使用所述粒子C_p完成与秘密分发端的所述秘密信息编码粒子M_C的隐形传态；

步骤S403.第二秘密参与端使用所述粒子B_p完成与秘密分发端的所述秘密信息编码粒子M_B的隐形传态。

其中，步骤S402和步骤S403中的粒子的隐形传态是通过两步量子行走系统实现的。具体来说，条件移位算子可以在位置空间和硬币空间之间引入纠缠，这种纠缠资源可以用作量子隐形传态的通道。为传送秘密信息，本发明采用一维线性量子行走模型。其具体实现方式如下：

设秘密分发端想给秘密参与端隐形传态未知量子态

其中|α²|+|β|²＝1。为完成隐形传态，秘密分发端准备以下粒子：A_p,A₁和B；其中，A_p包含位置空间的状态，A₁包含未知量子态，也可以表示为coin1，B可以表示为coin2。粒子A_p和B的初始态均为|0>。

第一步量子行走可描述为：

其中，

C₁是作用于A₁(coin1)的硬币操作，在本申请中，选择I操作作为C₁。

第二步量子行走可描述为：

其中，

H表示对B(coin 2)执行Hadamard操作。

经过两步量子行走之后，秘密分发端将粒子B发送给秘密参与端。此时，秘密分发端用X基(X＝{|+>,|->})测量A₁粒子，测量结果|+>和|->分别记为1和-1，将所有X基测量结果打包记为λ1。此后，秘密分发端用Q基测量A_p粒子，其中，

测量结果|-2'>，|0>，|2'>分别记为-1，0，1，将所有Q基测量结果打包记为λ2。

秘密分发端将测量结果λ1和λ2告知秘密参与端，秘密参与端根据λ1和λ2以及表1对B粒子做出相应的Pauli恢复操作，完成关于A₁粒子态的隐形传态。

表1.测量结果与Pauli操作间的关系

秘密信息恢复阶段：步骤S5.秘密参与端互相合作，完成对秘密分发端的身份认证和所述秘密信息的重构。

进一步的，秘密信息恢复阶段具体包括以下步骤：

步骤S501.第一秘密参与端和第二秘密参与端互相共享所述S_B和所述S_C的粒子态，并根据S_C和S_B的粒子态选择Z基测量基或X基测量基来测量各自持有的所述秘密信息编码粒子M_C、M_B，若测量结果的错误率低于预定阈值，则认为秘密分发端是合法的，进行下一步；若测量结果的错误率不低于预定阈值，则认为秘密分发端是非法的，停止进行下一步。

其中，根据S_B和S_C的粒子态选择Z基或X基的具体对应关系根据表2确定。

表1.单光子的初始态与秘密信息编码粒子间的对应关系.

步骤S502.将所述M_B的测量结果记为R_B，将所述M_C的测量结果记为R_C；第二秘密参与端根据所述S_B推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_B根据所述秘密分发端的Pauli操作序列反向映射为秘密信息；第一秘密参与端根据所述S_C推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_C根据所述秘密分发端的Pauli操作序列反向映射为秘密信息。

实施例

下面结合附图及实施例对本发明作进一步的描述。

如图2所示，本发明实施例中，Alice是秘密分发端，Bob和Charlie是秘密参与端。该方法包括五个阶段：粒子准备阶段，身份认证阶段，秘密信息编码阶段，秘密信息分发阶段和秘密信息恢复阶段。具体包括以下步骤：

第一步，Bob和Charlie分别随机地准备N比特单光子，每一位单光子随机的处于{|0>,|1>,|+>,|->}，形成的两个量子比特序列分别表示为S_B和S_C。

第二步，Bob根据自身的身份认证密钥h_Bob(S_ID-Bob)对S_B中的每个光子执行以下操作：如果h_Bob(S_ID-Bob)的第i个值为0，则对量子比特序列S_B的第i个光子执行I操作；如果h_Bob(S_ID-Bob)的第i个值为1，则对量子比特序列S_B的第i个光子进行H操作。同样地，Charlie也根据他自己的认证密钥h_Charlie(S_ID-Charlie)对S_C的每个光子执行上述操作。将被操作后S_B和S_C记为S_B’和S_C’。

其中，Bob的身份认证密钥h_Bob(S_ID-Bob)和Charlie的身份认证密钥h_Charlie(S_ID-Charlie)是一个包含秘密参与端身份标识的输出长度为N比特的单向Hash函数，该函数对任何第三方都是保密的。本实施例中使用的I操作和H操作分别为Pauli操作和Hadamard操作，其具体公式如下：

I＝|0><0|+|1><1|

σ_x＝|0><1|+|1><0|

σ_z＝|0><0|-|1><1|

第三步，Bob和Charlie将S_B’和S_C’发送给Alice。

第四步，Alice根据自身拥有的认证密钥h_Bob(S_ID-Bob)和h_Charlie(S_ID-Charlie)对收到的S_B’和S_C’中的光子进行还原，其操作方法与第二步相同。操作后，S_B’和S_C’还原为S_B和S_C。

第五步，Alice从S_B和S_C中选择足够多的光子作为样本粒子，以检测多粒子欺骗信号攻击。假设两个量子比特序列中选取的的样本粒子数均为N-t，Alice让样本粒子通过光子分束器(PBS)(PBS的分束比为50:50)。探测器的测量基从Z基和X基中随机选择。在检测结果中，如果多光子的概率低于预定阈值，则Alice宣布通信有效，可以进行下一步。否则，Alice会通知Bob和Charlie重启协议。

第六步，Alice宣布样品粒子的位置和所有测量结果，Bob和Charlie宣布哪些位置的结果与制备的初始态不符。如果错误率低于预定阈值，则Bob和Charlie通过Alice的认证，并且量子信道被认为是安全的，可以进行下一步。否则，Alice决定是否重新进行秘密共享。

第七步，Alice持有未知量子比特序列S_B的剩余的t个粒子，可表示为：

|S_B>＝{|S_B1>,|S_B1>,…,|S_Bi>,…,|S_Bt>} (11)

其中|S_Bi>(i＝1,2,···,n)表示单个量子比特，可表示为：

|S_Bi>＝α_i|0>+β_i|1> (12)

其中α_i和β_i是复数且满足|α_i|²+|β_i|²＝1。

Alice制备另外两个长度为t的粒子序列A_p和B_p，A_p和B_p的初始状态均为|0>。使用粒子A_p,S_B和B_p来构建量子行走电路且该步骤中所有粒子的状态都是按A_p,S_B和B_p粒子的顺序编写的。在量子行走电路中，Alice将粒子A_p作为位移空间，粒子S_B为coin1，粒子B_p为coin2。以粒子A_pi,S_Bi(coin 1)和B_pi(coin 2)为例，量子行走系统的一般初始状态为：

在经过第一步量子行走进化算子W⁽¹⁾操作之后，初始量子系统态演化为：

|Φ>⁽¹⁾＝(α|100>+β|-110>)_p12 (14)

在经过第二步量子行走进化算子W⁽²⁾操作之后，系统的最终态|Φ>⁽²⁾为：

|Φ>⁽²⁾＝(α|200>+α|001>+β|010>+β|-211>)_p12 (15)

至此，粒子A_p,S_B和B_p纠缠在一起。

第八步，Alice将其待共享的长度为t比特的秘密信息通过Pauli操作：

编码到每个粒子S_Bi，记秘密信息编码粒子为M_B。其具体操作方法如下：

第一步量子行走进化算子W⁽¹⁾操作：

此时，位置空间粒子A_p和硬币空间粒子S_B产生了纠缠，它们的复合态从

变为(α|10>+β|-11>)_p1。

第二步量子行走进化算子W⁽²⁾操作：

此时，硬币空间粒子S_B和B_p也缠绕在一起。如果Alice在S_Bi上执行Pauli运算I，则整体的系统态不变，如果Alice在S_Bi上执行Pauli运算σ_x，则整体系统态变为

第九步，对另一未知量子比特序列S_C，Alice准备额外的粒子A_p作为位移空间，粒子C_p作为coin2，将粒子S_C作为coin1，使用粒子A_p,S_C和C_p建立另一个量子行走电路。经过两步的量子行走后，Alice对粒子序列S_C执行与第八步相同相同的Pauli操作序列完成信息编码，得到秘密信息编码粒子M_C。

第十步，Alice将粒子序列B_p发送给Charlie，将粒子序列C_p发送给Bob。

第十一步，Bob和Charlie在收到C_p和B_p后告知Alice。Charlie使用粒子B_p完成与Alice的粒子M_B的隐形传态：Alice用X基测量M_B，测将量结果λ1记为：

然后，Alice用Q基测量A_p，测量结果λ2记为：

Alice向Charlie宣布λ1和λ2。

第十二步，Charlie根据λ1、λ2和表1对粒子串B_p执行Pauli恢复操作以恢复目标态。此后，Charlie完成了来自于Alice的未知量子态的隐形传态，B_p的粒子态转换为M_B的粒子态。其中，粒子态的恢复过程如下：

若Alice对S_Bi执行Pauli操作I并测量粒子S_Bi，则粒子A_pi和B_pi将塌缩为相应的状态，即：

当S_Bi的测量结果为|+>时，可以看出A_pi和B_pi的纠缠态为(a|20>+a|01>+b|00>+b|-21>)_p2，则Alice测量A_pi，会导致B_pi塌陷为S_Bi的态，塌陷后的最终态为：

当S_Bi的测量结果为|->时，A_pi和B_pi的纠缠态为(a|20>+a|01>-b|00>-b|-21>)_p2，Alice测量A_pi，会导致B_pi塌陷为S_Bi的态，塌陷后的最终态为：

根据λ1，λ2和表1，Charlie对B_pi执行相应的Pauli操作，得到变换后的粒子态α_i|0>+β_i|1>。

由此可以得知，若Alice对S_Bi执行Pauli操作σ_x并按序测量粒子S_Bi,A_pi，则塌陷后的最终态为：

或

Charlie对B_pi执行相应的Pauli操作，得到变换后的粒子态α_i|1>+β_i|0>。

第十三步，Alice将M_C的态隐形传态给Bob，其操作方法与第十二步相同。将本次X基和Q基的测量结果分别表示为γ1和γ2。根据Alice宣布的γ1和γ2，Bob将手中C_p的态转换为M_C态。

第十四步，Bob和Charlie分别出示在粒子制备阶段所制备的单粒子的初始态，选择相应的测量基来测量每个粒子，并且根据表2的测量结果对Alice进行反向认证。若错误率低于预定阈值，则认为Alice是合法的，两人可以开始合作重建秘密；否则，Alice被视为非法。

第十五步，记M_B(M_C)的测量结果为R_B(R_C)，再结合Bob和Charlie在粒子制备阶段制备的粒子S_B和S_C，Bob和Charlie可以获得相同的Alice的Pauli操作序列。Bob和Charlie将Pauli操作反向映射为t位秘密信息：

Alice的秘密信息重构完成。

下面结合安全性分析对本发明作进一步描述。

1.不诚实参与端Bob*的截获-重发攻击

假设Bob*截获了Charlie发送给Alice的粒子Sc’，然后将相同的粒子重发给Alice。Bob*试图确定Sc的粒子态，以便当Bob*手中C_p的状态转换为M_C的状态时，可以单独地恢复出秘密。

在本申请中，Bob*无法达到以上目的。原因在于，首先，Bob*无法获得有关Charlie的身份认证密钥h_Charlie(S_ID-Charlie)，因此，Bob*无法绕过身份认证，将Sc’恢复为Sc。其次，Bob*也无法获得Sc’的整个粒子态，因为序列Sc’中每个粒子态随机位于{|0>,|1>,|+>,|->}四种状态其中之一。假设Bob*正确测量每个粒子态的概率为50％，那么正确测量整个Sc’的粒子态的概率P_B为：

其中k为正确测量的粒子态总数；

N为Sc’的长度；

如图3所示，当P_B分别对应N＝256,N＝512和N＝1024时，P_B针对不同的N存在最大值，并且随着N的增大而减小。因此，Bob*无法获得整个Sc’的粒子态，并且无法根据秘密恢复阶段中Charlie给出的Sc的初始粒子态来推断身份认证密钥h_Charlie(S_ID-Charlie)。

2.不诚实参与端Bob*的纠缠攻击

假设Bob*截获了Charlie在传输过程中发送给Alice的粒子Sc’，并使用酉操作E将新粒子e与Sc’纠缠在一起，形成更大的希尔伯特空间，其中Sc_i’＝{|0>,|1>,|+>,|->}。

酉操作矩阵E表示为：

由运算符E决定的e_i,j满足归一化条件：

由于EE^*＝1，所以a,b,a’,b’满足以下关系：

|a|²+|b|²＝1,|a'|²+|b'|²＝1,ab^*＝(a')^*b' (31)

我们可以得到结果：

|a|²＝|a'|²,|b|²＝|b'|² (32)

如果粒子e处于纠缠态，则Bob*的纠缠攻击将不可避免地引入错误率P_error

P_error＝|b|²＝1-|a|²＝|b'|²＝1-|a'|² (33)

如果Bob*试图绕过窃听检测进行窃听，则传输的量子态和Bob*的辅助粒子必须处于直积态。然而，在直积态下，辅助粒子e与整个系统之间没有任何关联，Bob*无法获得任何有用的信息，这证明纠缠攻击是徒劳的。

3.窃听者Eve的截获-重发攻击

假设窃听者Eve试图通过截获-重发攻击或纠缠攻击并绕过窃听检测来获取Bob和Charlie的身份认证密钥。此前，我们已经分析过内部不诚实参与端Bob*无法通过截获-重发攻击或纠缠攻击获取身份认证密钥h_Charlie(S_ID-Charlie)的任何有效信息。显然，Bob*比外部窃听者Eve具有更大的攻击优势，但Bob*的两种攻击都被证明是徒劳的。因此，Eve对S_B’/S_C’的截获-重发攻击或纠缠攻击也是徒劳的。因此，我们仅讨论Eve对粒子B_p/C_p的截获-重发攻击和纠缠攻击。

假设Eve截获了量子行走系统中与粒子A_p和M_B纠缠的粒子B_p，并得到了Alice的测量结果λ₁,λ₂以恢复目标态。由于他对S_B的粒子态一无所知，因此他无法获得正确的测量结果并将正确的粒子重新发送给Charlie，他将在秘密信息恢复阶段的步骤1中为每个粒子带来50％的错误率。

可以根据统计数据定量地评估Eve被检测到的概率P_D，即：

其中，k为正确测量结果的总数；t为B_p的长度。

图4中分别为t＝256，t＝512和t＝1024时k与P_D的关系，表明对于不同的N，P_E存在最小值，并且随着N的增加而增加。因此，Eve无法获得任何有用的信息。

4.窃听者Eve的纠缠攻击

假设Eve使用酉操作E来使新粒子e与粒子B_p在|Φ>⁽²⁾中纠缠，酉操作矩阵E和由算符E决定的e_i,j与前述公式(25)-(32)相同。

其中，|Φ>⁽²⁾＝(α|200>+α|001>+β|010>+β|-211>)_p12。复合的系统态变为：

当Alice测量粒子S_B，如果测量结果为|0>₁，粒子A_p，B_p，e的复合态转换为(a|20e₀₀>+b|21e₀₁>)_p2E+(b'|00e₁₀>+a'|01e₁₁>)_p2E；如果测量结果为|1>₁，复合态转换为(a|00e₀₀>+b|01e₀₁>)_p2E+(b'|-20e₁₀>+a'|-21e₁₁>)_p2E。

以测量结果为|0>₁继续分析，Alice基于此结果测量粒子A_p，粒子的复合态变为：

可以表明，如果粒子e处于纠缠状态，Eve会引入错误率P_error，其表达式与公式(33)相同。

若Eve不想引入错误率，那么量子行走系统中的量子态和粒子e必须处于直积态。但是，在直积态下，它们之间没有关联，Eve无法获得任何有用的信息，纠缠攻击是徒劳的。

5.非法冒名顶替者试图假冒Alice发布信息

本申请首先让Bob和Charlie随机制备光子，然后根据他们的身份认证密钥对光子执行Pauli操作，然后发送给Alice。Alice对收到的粒子进行身份验证，并建立量子行走电路。此前已经分析了任何第三方都无法通过截获-重发攻击或纠缠攻击获得身份认证密钥。因此，冒名顶替者也无法获得Bob和Charlie的身份认证密钥。

此外，当Bob和Charlie共同验证Alice的身份时，由于M_B/M_C的每个单光子随机地处于{|0>,|1>,|+>,|->}四种状态其中之一，Bob和Charlie会根据其预先制备的的初始粒子态选择测量基去测量M_Bi/M_Ci，测量结果有两种可能性：

如果Alice对S_Bi/S_Ci执行I操作，则测量结果与初始粒子态相同；

如果Alice对S_Bi/S_Ci执行σ_x操作，则测量结果与初始粒子态相反。

因此，基于已知信息并与表2进行比较，可以确认Alice是否实际上拥有Bob和Charlie的身份认证密钥，从而确定Alice是否合法。

本发明所述的“端”是指能够实现本发明的方法所涉及的步骤和方式的电脑、智能设备或者其他具备数据分析处理功能的设备和/或装置。

应当认识到，本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (4)

1.基于量子行走的具有可信认证的量子秘密共享方法，其特征在于，包括以下步骤：

步骤S1.第一秘密参与端和第二秘密参与端分别制备用于身份认证和构建量子行走电路的长度为N比特的单光子序列S_B和S_C，然后根据自身的身份认证密钥通过Pauli操作规则：

分别对所述S_B和所述S_C进行编码，得到S_B’和S_C’，然后将所述S_B’和所述S_C’发送给秘密分发端；

步骤S2.秘密分发端基于秘密参与端的身份认证密钥对秘密参与端的身份进行认证；

步骤S3.秘密分发端通过两步量子行走进化算子W分别构建两个基于所述S_B和所述S_C的量子行走系统，将待共享的、长度为t的秘密信息通过Pauli操作规则：

编码到所述S_B和所述S_C上，记秘密信息编码粒子分别为M_B和M_C；

步骤S4.秘密分发端通过各自所述量子行走系统将所述M_B隐形传态给第二秘密参与端，将所述M_C隐形传态给第一秘密参与端；

步骤S5.秘密参与端互相合作，完成对秘密分发端的身份认证和所述秘密信息的重构；

其中，所述步骤S2具体包括以下步骤：

步骤S201.秘密分发端根据秘密参与端的所述身份认证密钥还原收到的所述S_B’和所述S_C’，得到所述S_B和所述S_C；

步骤S202.秘密分发端从所述S_B和所述S_C中分别选择数量为N-t的光子作为样本粒子，随机选择Z基测量基或X基测量基来检测多光子欺骗信号攻击；若检测结果中多光子的概率低于预定阈值，则秘密分发端宣布通信有效，则进行下一步；若检测结果中多光子的概率不低于预定阈值，则秘密分发端通知秘密参与端重启协议；

步骤S203.秘密分发端宣布所述样本粒子的位置和样本粒子的检测结果，秘密参与端宣布哪些位置的测量结果与制备的粒子态不符；若错误率低于预定阈值，则秘密参与端通过秘密分发端的认证，并且量子信道被认为是安全的，进行下一步；若错误率高于预定阈值，则秘密分发端决定是否重启协议；

所述步骤S5具体包括以下步骤：

步骤S501.第一秘密参与端和第二秘密参与端互相共享所述S_B和所述S_C的粒子态，并根据S_C和S_B的粒子态选择Z基测量基或X基测量基来测量各自持有的所述秘密信息编码粒子M_C、M_B，若测量结果的错误率低于预定阈值，则认为秘密分发端是合法的，进行下一步；若测量结果的错误率不低于预定阈值，则认为秘密分发端是非法的，停止进行下一步；

步骤S502.将所述M_B的测量结果记为R_B，将所述M_C的测量结果记为R_C；第二秘密参与端根据所述S_B推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_B根据所述秘密分发端的Pauli操作序列反向映射为秘密信息；第一秘密参与端根据所述S_C推导出秘密分发端的Pauli操作序列，然后通过Pauli操作：

将R_C根据所述秘密分发端的Pauli操作序列反向映射为秘密信息。

2.如权利要求1所述的量子秘密共享方法，其特征在于：所述步骤S3具体包括以下步骤：

步骤S301.秘密分发端制备两个长度为t的粒子序列A_p和B_p，按照A_p、S_B和B_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_B和B_p纠缠在一起；

步骤S302.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S301中的粒子S_B上，得到秘密信息编码粒子M_B；

步骤S303.秘密分发端制备两个长度为t的粒子序列A_p和C_p，按照A_p、S_C和C_p粒子的顺序构建量子行走电路，执行两步量子行走进化算子W操作，将所述粒子A_p，S_C和C_p纠缠在一起；

步骤S304.秘密分发端将待共享的、长度为t的秘密信息通过Pauli操作：

编码到所述步骤S303中的粒子S_C上，得到秘密信息编码粒子M_C。

3.如权利要求2所述的量子秘密共享方法，其特征在于：所述步骤S4具体包括以下步骤：

步骤S401.秘密分发端将所述粒子序列C_p发送给第一秘密参与端，将所述粒子序列B_p发送给第二秘密参与端；

步骤S402.第一秘密参与端使用所述粒子序列C_p完成与秘密分发端的所述秘密信息编码粒子M_C的隐形传态；

步骤S403.第二秘密参与端使用所述粒子序列B_p完成与秘密分发端的所述秘密信息编码粒子M_B的隐形传态。

4.如权利要求1所述的量子秘密共享方法，其特征在于：所述秘密分发端的Pauli操作序列的推导规则如下：

若所述M_B或M_C的测量结果R_B或R_C与所述S_B或S_C相同，则秘密分发端采用的Pauli操作为I操作；若相反，则秘密分发端采用的Pauli操作为σ_x操作。

Images