CN113765594A - 抗集体退相位噪声的两方安全半量子求和方法 - Google Patents

Abstract

本发明提出一种抗集体退相位噪声的两方安全半量子求和方法，使得两个经典通信者能在一个量子半忠诚第三方的帮助下实现她们隐秘二进制序列的求和。“半忠诚”意味着第三方被允许按照她自己的意志发起攻击但不能与其他任何人共谋。这个方法无需在任意两方之间事先共享一个随机密钥，并采用逻辑量子比特作为信息载体来克服集体退相位噪声的负面影响。安全性分析表明，本发明的方法能有效防止Eve的外在攻击以及第三方和不忠诚通信者的参与者攻击。本发明的方法能容易地被应用与半量子隐私比较。

Description

抗集体退相位噪声的两方安全半量子求和方法

技术领域

本发明涉及量子密码学领域。本发明设计一种抗集体退相位噪声的两方安全半量子求和方法，使得两个经典通信者能在一个量子半忠诚第三方的帮助下实现她们隐秘二进制序列的求和。

背景技术

作为量子安全计算的一个基本分支，安全量子求和问题可被描述为：n个用户，P₁,P₂,...,P_n，分别拥有隐秘输入 X₁,X₂,...,X_n，想在X₁,X₂,...,X_n不被泄露的基础上安全计算X₁,X₂,...,X_n的求和，即sum(X₁,X₂,...,X_n)。最近，许多研究者已经在安全量子求和上投入极大的热情以致于安全量子求和已经获得相当程度的发展。Heinrich在2002年将量子求和引入到积分[1]，接着在2003年研究最差平均情形下可重复的量子布尔函数[2]。许多安全量子求和方法通过不同的量子技术和量子态已经被构建出来，例如，基于两粒子N级纠缠态的[3]，基于非正交态的[4]，基于单光子和多粒子GHZ纠缠态的[5]，基于双自由度单光子的[6,7]，基于六量子比特最大纠缠态的[8]，基于离散量子傅里叶变换、控制非操作和离散逆量子傅里叶变换[9]，解决特殊两方隐私求和问题的[10]，基于单光子的[11]，基于离散量子傅里叶变换的[12]，基于d级Cat态和d级Bell态纠缠交换的[13]，基于量子底特移位操作的[14]，基于d级量子系统相互无偏基的[15]，基于d级量子系统相位移位操作的[16]等。

最近，基于著名的BB84方法[17]，Boyer等[18-19]提出不要求所有方都具备量子能力的半量子密码这一全新概念。在一个半量子密码方法中，经典方在量子信道总是被受限于执行以下操作：①传送或不带干扰地返回量子比特；②利用经典基{|0>,|1>}(即Z基)测量量子比特；③产生(新的)量子比特处于经典基{|0>,|1>}；④(利用不同延迟线)置乱量子比特。显然，与传统量子密码相比，半量子密码将部分方从量子叠加态和量子纠缠态的制备和测量中解放出来以致于它有利于她们减轻量子态制备和测量的负担。文献[3-16]中的量子求和方法都要求所有方具备量子能力。是否存在一个适用于经典通信者的半量子求和方法值得探讨。幸运地是，Zhang等[20]提出了首个半量子求和方法从而给这个问题一个肯定的答案。然而，Zhang等的半量子求和方法[20]没有考虑噪声的负面影响，只适用于理想无噪声量子信道。因此，怎么设计出一个能适用于噪声量子信道的半量子求和方法是急于解决的。

基于以上分析，本发明聚焦于设计一个可在集体退相位噪声信道运行的半量子求和方法。与Zhang等的半量子求和方法[20]相比，本发明的半量子求和方法在现实中更加可行。

参考文献

[1]Heinrich,S.:Quantum summation with an application to integration.JComplex,2002,18(1):1-50

[2]Heinrich,S.,Kwas,M.,Wozniakowski,H.:Quantum Boolean summation withrepetitions in the worst-average setting. 2003,http://arxiv.org/pdf/quant-ph/0311036

[3]Hillery,M.,Ziman,M.,Buzek,V.,Bielikova,M.:Towards quantum-basedprivacy and voting.Phys Lett A,2006, 349(1-4):75-81

[4]Du,J.Z.,Chen,X.B.,Wen,Q.Y.,Zhu,F.C.:Secure multiparty quantumsummation.Acta Phys Sin,2007,56(11):6214- 6219

[5]Chen,X.B.,Xu,G.,Yang,Y.X.,Wen,Q.Y.:An efficient protocol for thesecure multi-party quantum summation.Int J Theor Phys,2010,49(11):2793-2804

[6]Zhang,C.,Sun,Z.W.,Huang,Y.,Long,D.Y.:High-capacity quantumsummation with single photons in both polarization and spatial-mode degreesof freedom.Int J Theor Phys,2014,53(3):933-941

[7]Gu,J.,Hwang,T.,Tsai,C.W.:Improving the security of‘High-capacityquantum summation with single photons in both polarization and spatial-modedegrees of freedom’.Int J Theor Phys,2019,58:2213-2217

[8]Zhang,C.,Sun,Z.W.,Huang,X.:Three-party quantum summation without atrusted third party.Int J Quantum Inf,2015, 13(2):1550011

[9]Shi,R.H.,Mu,Y.,Zhong,H.,Cui,J.,Zhang,S.:Secure multiparty quantumcomputation for summation and multiplication. Sci Rep,2016,6:19655

[10]Shi,R.H.,Zhang,S.:Quantum solution to a class of two-partyprivate summation problems.Quantum Inf Process,2017, 16(9):225

[11]Zhang,C.,Situ,H.Z.,Huang,Q.,Yang,P.:Multi-party quantum summationwithout a trusted third party based on single particles.Int J Quantum Inf,2017,15(2):1750010

[12]Yang,H.Y.,Ye,T.Y.:Secure multi-party quantum summation based onquantum Fourier transform.Quantum Inf Process, 2018,17(6):129

[13]Ji,Z.X.,Zhang,H.G.,Wang,H.Z.,Wu,F.S.,Jia,J.W.,Wu,W.Q.:Quantumprotocols for secure multi-party summation. Quantum Inf Process,2019,18:168

[14]Duan,M.Y.:Multi-party quantum summation within a d-level quantumsystem.Int J Theor Phys,2020,59(5):1638-1643

[15]Ye,T.Y.,Hu J.L.:Quantum secure multiparty summation based on themutually unbiased bases of d-level quantum systems and its application(inChinese).Sci Sin-Phys Mech Astron,2021,51(2):020301

[16]Ye,T.Y.,Hu J.L.:Quantum secure multiparty summation based on thephase shifting operation of d-level quantum system and its application.Int JTheor Phys,2021,60(3):819-827

[17]Bennett,C.H.,Brassard,G.:Quantum cryptography:public-keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing.Bangalore:IEEE Press,1984,175-179

[18]Boyer,M.,Kenigsberg,D.,Mor,T.:Quantum key distribution withclassical Bob.Phys Rev Lett,2007,99(14):140501

[19]Boyer,M.,Gelles,R.,Kenigsberg,D.,Mor,T.:Semiquantum keydistribution.Phys Rev A,2009,79(3):032341

[20]Zhang,C.,Huang,Q.,Long,Y.X.,Sun,Z.W.:Secure three-party semi-quantum summation using single photons.Int J Theor Phys,2021,https://doi.org/10.1007/s10773-021-04921-x

[21]Walton,Z.D.,Abouraddy,A.F.,Sergienko,A.V.,et al.:Decoherence-freesubspaces in quantum key distribution.Phys Rev Lett,2003,91:087901

[22]Zhang,Z.J.:Robust multiparty quantumsecret key sharing over twocollective-noise channels.Physica A,2006, 361:233-238

[23]Gu,B.,Mu,L.L.,Ding,L.G.,Zhang,C.Y.,Li,C.Q.:Fault tolerant three-party quantum secret sharing against collective noise.Opt Commun,2010,283:3099-3103

[24]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantum privatecomparison protocols with a semi-honest third party. Quantum Inf Process,2013,12(2):877-885

[25]Chen,X.B.,Xu,G.,Yang,Y.X.,Wen,Q.Y.:An efficient protocol for thesecure multi-party quantum summation.Int J Theor Phys,2010,49(11):2793-2804

[26]Zhang,M.H.,Li,H.F.,Peng,J.Y.,Feng,X.Y.:Fault-tolerant semiquantumkey distribution over a collective-dephasing noise channel.Int J Theor Phys,2017,56:2659-2670

[27]Lin,P.H.,Hwang,T.,Tsai,C.W.:Efficient semi-quantum privatecomparison using single photons.Quantum Inf Process, 2019,18:207

[28]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys Rev A,2002,65: 032302

[29]Cai,Q.Y.:Eavesdropping on the two-way quantumcommunicationprotocols with invisible photons.Phys Lett A,2006, 351(1-2):23-25

[30]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.RevMod Phys,2002,74(1):145-195

[31]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantumcommunication protocols against Trojan horse attack.2005,http://arxiv.org/pdf/quant-ph/0508168.pdf

[32]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order of particles.PhysRev A,2006,74:054302

[33]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput, 2007,7:329

[34]Chen,J.H.,Lee,K.C.,Hwang,T.:The enhancement of Zhou et al.’squantum secret sharing protocol.Int J Mod Phy C, 1999,20(10):1531-1535

[35]Lang,Y.F.:Semi-quantum private comparison using singlephotons.Int J Theor Phys,2018,57(10):3048-3055

[36]Ye,T.Y.,Ye,C.Q.:Measure-resend semi-quantum private comparisonwithout entanglement.Int J Theor Phys,2018, 57(12):3819-3834

发明内容

本发明的目的是设计一种抗集体退相位噪声的两方安全半量子求和方法，使得两个经典通信者能在一个量子半忠诚第三方的帮助下实现她们隐秘二进制序列的求和。

抗集体退相位噪声的两方安全半量子求和方法，共包括以下五个过程：

S1)第三方TP制备2n(4+r+d+δ)＝2nq个粒子都处于量子态|+_dp>，其中r、d是大于0的整数，δ是某个大于0的固定参数。然后，TP将这些粒子分成

和

两个序列，其中

和

分别表示S₁和S₂中的第i个粒子，i＝1,2,…,nq。最后，TP以块传输的方式[28]将S₁和S₂分别传送给Alice和Bob。

S2)对于接收到的S₁(S₂)中的每个粒子，Alice(Bob)随机选择直接将它不带干扰地返回给TP(即CTRL 操作)或用Z_dp基测量它并将与测量结果相同的量子态重发给TP(即SIFT操作)。这样，S₁(S₂)被转变为S₁'(S'₂)。

S3)TP将S’₁中的第i个粒子和S'₂中的第i个粒子挑选出来构成第i个粒子组，其中i＝1,2,…,nq。为了检测针对一个外在窃听者Eve的传输安全性，TP从这些粒子组中随机选择nr个粒子组，并告诉Alice和Bob所选中的粒子组的位置。在这些选中的粒子组中，Alice(Bob)告诉TP她(他)选择进行CTRL的粒子的位置、她(他)选择进行SIFT的粒子的位置以及她(他)选择进行SIFT的粒子的测量结果。

对于Alice(Bob)选择进行CTRL的粒子，TP利用X_dp基测量它们。TP通过对比她对它们的测量结果和她的初始制备态计算CTRL粒子的错误率。如果CTRL粒子的传送是安全的，通信将被继续；否则，通信将被终止。

对于Alice(Bob)选择进行SIFT的粒子，TP利用Z_dp基测量它们。TP通过对比她对它们的测量结果和Alice (Bob)的测量结果计算SIFT粒子的错误率。如果SIFT粒子的传送是安全的，通信将被继续；否则，通信将被终止。

S4)用于检测Eve存在性的nr个粒子组被丢弃。Alice和Bob要求TP利用双重Bell基测量剩余n(4+d+δ)个粒子组的每个粒子组。为了检测TP的忠诚性，Alice和Bob从剩余n(4+d+δ)个粒子组随机选择nd个粒子组，并要求TP 告诉她们她对这些nd个粒子组的相应测量结果。对于Alice和Bob都选择进行CTRL的粒子组，如果TP的测量结果是

或

Alice和Bob将会认为TP是不忠诚的。对于Alice和Bob都选择进行SIFT的粒子组，Alice和Bob检查TP的测量结果

和

是否与她们选择进行SIFT的粒子相对应；如果结果是否定的，Alice和Bob 将会认为TP是不忠诚的。如果TP最终被发现是忠诚的，通信将被进行下一步；否则，通信将被终止。

S5)用于检测TP忠诚性的nd个粒子组被丢弃。对于剩余n(4+δ)个粒子组，Alice(Bob)宣布她(他)选择进行SIFT的粒子的位置。总共有

个粒子组Alice和Bob都选择进行SIFT。前n个粒子组通过以下规则被用来产生Alice的隐秘密钥K_A和Bob的隐秘密钥K_B：如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|0_dp>，她(他)的隐秘密钥的第j个比特

将是0；如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|1_dp>，

将是1。这里，j＝1,2,…,n，

和

Alice(Bob) 计算

其中

是模2和。然后，Alice(Bob)通过经典信道将C_A(C_B)告诉TP，其中

Alice和Bob告诉TP这n个粒子组的位置。TP根据以下规则从她对这n个粒子组的相应测量结果产生一个隐秘比特序列C_T：对于j＝1,2,…,n，如果第j个粒子组的测量结果是

或

将是0；如果第j个粒子组的测量结果是

或

将是1。这里，

是C_T的第j比特。最后，TP计算

得到求和结果R，其中R＝[r₁,r₂,…,r_n]。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1集体退相位噪声下的逻辑量子比特和逻辑Bell纠缠态

当遭受集体退相位噪声时，光子的水平极化态|0>被保持不变，而光子的垂直极化态|1>被转变为e^ip|1>，其中

是随时间变化的集体退相位噪声的参数。[21]两个逻辑量子比特，|0_dp>＝|01>和|1_dp>＝|10>，都是由反宇称的两个物理量子比特构成,对集体退相位噪声是免疫的。[21]这两个逻辑量子比特的叠加态

也是对集体退相位噪声免疫的。[22]这样，

和 X_dp＝{|+_dp>,|-_dp>}构成集体退相位噪声下的两个逻辑测量基。而且，式(1-4)的四个逻辑Bell纠缠态[23]也是对集体退相位噪声免疫的，其中

和

是四个Bell纠缠态。在第一和第三个物理量子比特以及第二和第四个物理量子比特分别被施加两个Bell态测量后，这四个逻辑Bell态彼此间能被清晰地区分开。 [23]在本发明中，这种量子测量被简单称作双重Bell基测量。

根据式(1)和式(3)，有

意味着如果

用双重Bell基进行测量，它将以相同的概率被坍塌为

或

而且，可以从式 (1-4)得到

2两方半量子求和方法描述

假设有两个不具备量子能力的经典通信者，Alice和Bob。Alice的隐秘二进制序列被表示为

X＝(x₁,x₂,…,x_n)， (10)

Bob的隐秘二进制序列被表示为

Y＝(y₁,y₂,…,y_n)。 (11)

这里，x_j,y_j∈{0,1}，j＝1,2,…,n。Alice和Bob想在集体退相位噪声量子信道利用一个半量子求和方法在半忠诚第三方(Third party，TP)的帮助下计算她们的隐秘二进制序列的模2和。一个半忠诚TP被允许按照她自己意愿发起攻击但不能与其他任何人共谋[24]。一个真正安全的半量子求和方法应当满足以下要求[25]：

①正确性。两个通信者的隐秘二进制序列的求和结果应当是正确的。

②安全性。一个外在窃听者无法得到关于每个通信者隐秘二进制序列的任何有用信息而不被检测到。

③隐私性。每个通信者的隐秘二进制序列对于其他通信者和TP应当是被保密的。

最近，Zhang等[26]设计了一个适用于集体退相位噪声量子信道的鲁棒半量子密钥分配方法；Lin等[27]利用量子态|+>提出了一个半量子隐私比较方法。受文献[26,27]启发，本发明设计如下的半量子求和方法来完成上述目标。

S1)第三方TP制备2n(4+r+d+δ)＝2nq个粒子都处于量子态|+_dp>，其中r、d是大于0的整数，δ是某个大于0的固定参数。然后，TP将这些粒子分成

和

两个序列，其中

和

分别表示S₁和S₂中的第i个粒子，i＝1,2,…,nq。最后，TP以块传输的方式[28]将S₁和S₂分别传送给Alice和Bob。

S2)对于接收到的S₁(S₂)中的每个粒子，Alice(Bob)随机选择直接将它不带干扰地返回给TP(即CTRL 操作)或用Z_dp基测量它并将与测量结果相同的量子态重发给TP(即SIFT操作)。这样，S₁(S₂)被转变为S₁'(S'₂)。

S3)TP将S’₁中的第i个粒子和S’₂中的第i个粒子挑选出来构成第i个粒子组，其中i＝1,2,…,nq。为了检测针对一个外在窃听者Eve的传输安全性，TP从这些粒子组中随机选择nr个粒子组，并告诉Alice和Bob所选中的粒子组的位置。在这些选中的粒子组中，Alice(Bob)告诉TP她(他)选择进行CTRL的粒子的位置、她(他)选择进行SIFT的粒子的位置以及她(他)选择进行SIFT的粒子的测量结果。

对于Alice(Bob)选择进行CTRL的粒子，TP利用X_dp基测量它们。TP通过对比她对它们的测量结果和她的初始制备态计算CTRL粒子的错误率。如果CTRL粒子的传送是安全的，通信将被继续；否则，通信将被终止。

对于Alice(Bob)选择进行SIFT的粒子，TP利用Z_dp基测量它们。TP通过对比她对它们的测量结果和Alice (Bob)的测量结果计算SIFT粒子的错误率。如果SIFT粒子的传送是安全的，通信将被继续；否则，通信将被终止。

S4)用于检测Eve存在性的nr个粒子组被丢弃。Alice和Bob要求TP利用双重Bell基测量剩余n(4+d+δ)个粒子组的每个粒子组。为了检测TP的忠诚性，Alice和Bob从剩余n(4+d+δ)个粒子组随机选择nd个粒子组，并要求TP 告诉她们她对这些nd个粒子组的相应测量结果。对于Alice和Bob都选择进行CTRL的粒子组，如果TP的测量结果是

或

根据式(5)，Alice和Bob将会认为TP是不忠诚的。对于Alice和Bob都选择进行SIFT的粒子组，Alice和Bob检查TP的测量结果

和

是否满足式(6-9)；如果结果是否定的，Alice和Bob将会认为TP是不忠诚的。如果TP最终被发现是忠诚的，通信将被进行下一步；否则，通信将被终止。

S5)用于检测TP忠诚性的nd个粒子组被丢弃。对于剩余n(4+δ)个粒子组，Alice(Bob)宣布她(他)选择进行SIFT的粒子的位置。总共有

个粒子组Alice和Bob都选择进行SIFT。前n个粒子组通过以下规则被用来产生Alice的隐秘密钥K_A和Bob的隐秘密钥K_B：如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|0_dp>，她(他)的隐秘密钥的第j个比特

将是0；如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|1_dp>，

将是1。这里，j＝1,2,…,n，

和

Alice(Bob) 计算

其中

是模2和。然后，Alice(Bob)通过经典信道将C_A(C_B)告诉TP，其中

Alice和Bob告诉TP这n个粒子组的位置。TP根据以下规则从她对这n个粒子组的相应测量结果产生一个隐秘比特序列C_T：对于j＝1,2,…,n，如果第j个粒子组的测量结果是

或

将是0；如果第j个粒子组的测量结果是

或

将是1。这里，

是C_T的第j比特。最后，TP计算

得到求和结果R，其中R＝[r₁,r₂,…,r_n]。

3正确性分析

在本发明的方法中，在从Alice(Bob)接收到C_A(C_B)后，TP根据她对用于计算求和的n个粒子组的测量结果建立C_T。根据式(6-9)，显然有

然后，TP计算

在式(12)被插入式(13)后，可以得到

正好是x_j和y_j的模2和。现在可以得出结论，本发明方法的输出是正确的。

4安全性分析

(1)外在攻击

一个外在攻击者Eve会尽其所能从C_A(C_B)得到Alice(Bob)的隐秘二进制序列X(Y)。显然，她应当事先通过发起各种攻击得到K_A(K_B)。不失一般性，以Eve试图得到K_A为例。

测量-重发攻击。Eve利用Z_dp基测量步骤S1从TP到Alice的S₁中的粒子并将与测量结果相同的新粒子发送给Alice。然而，她将被捉住，既然她对Alice在步骤S2中操作的选择一无所知。具体地讲，对于选中的用于检测的某个粒子，Alice选择进行CTRL的概率为

因此，Eve能被捉住的概率为

既然TP在被Alice直接返回的粒子上有

的概率得到错误的测量结果|-_dp>。对于步骤S3选中的用于安全检查的nr个粒子组，Eve被发现的概率为

如果nr的值足够大，将会趋向于1。

截获-重发攻击。Eve截获步骤S1从TP到Alice的S₁中的粒子，将她事先制备处于Z_dp基的假的粒子序列

发送给Alice；Eve截获Alice操作后发送给TP的

并将S₁传送给TP。对于选中的用于检测的某个粒子，Alice选择进行SIFT的概率为

因此，Eve能被捉住的概率为

既然Alice对Eve的假粒子的测量结果不同于TP 对真实粒子的测量结果的概率为

对于步骤S3选中的用于安全检查的nr个粒子组，Eve被发现的概率为

如果nr的值足够大，将会趋向于1。

双重CNOT攻击。Eve在步骤S1对S₁的粒子和处于|0_dp>的她自己的辅助粒子施加第一次CNOT操作，CNOT 操作定义为

CNOT＝|00><00|+|01><01|+|11><10|+|10><11|， (15)

其中S₁的每个粒子的第一个物理量子比特为控制量子比特，每个辅助粒子的两个物理量子比特为目标量子比特。为了逃脱步骤S3的安全检测，Eve不得不在步骤S2对S₁'的粒子和她自己的辅助粒子施加第二次CNOT操作，其中S₁'的每个粒子的第一个物理量子比特为控制量子比特，每个辅助粒子的两个物理量子比特为目标量子比特。如果Eve能通过双重CNOT攻击准确知道Alice在步骤S2对操作的选择，她将进一步对Alice之前选择进行SIFT的粒子施加SIFT操作来得到K_A而不被发现。然而，Eve根本无法区分出Alice对操作的选择。具体地讲，在第一次 CNOT操作后，由S₁的一个粒子和辅助粒子|0_dp>构成的复合系统被转变为

其中下标A和E分别代表Alice的粒子和Eve的辅助粒子。如果Alice选择对她的粒子进行CTRL，在Eve的第二次CNOT操作后，复合系统将被改变为

根据式(16)，如果Alice选择对她的粒子进行SIFT并得到测量结果|0_dp>(|1_dp>)，Eve的辅助粒子将被坍塌为|0_dp> (|1_dp>)。在Eve的第二次CNOT操作后，复合系统被演化为

CNOT|0_dp>_A|0_dp>_E＝|0_dp>_A|0_dp>_E，如果Alice的测量结果是|0_dp>， (18)

CNOT|1_dp>_A|1_dp>_E＝|1_dp>_A|0_dp>_E，如果Alice的测量结果是|1_dp>。 (19)

根据式(17-19)，不管Alice在步骤S2选择什么操作，在第二次CNOT操作后，Eve的辅助粒子总是处于|0_dp>。换句话说，Eve无法从她的辅助粒子区分出Alice对操作的选择。

值得强调的是，如果Eve不施加第二次CNOT操作，Eve的CNOT攻击将在步骤S3不可避免地被检测到，既然根据式(1)和式(16)，TP对用于检测的Alice选择进行CTRL的粒子有

的概率得到错误测量结果|-_dp>。

木马攻击。由于传输粒子被环形传送，Eve的木马攻击应当引起特别注意，如不可见光子窃听攻击[29]和延迟光子木马攻击[30-31]。为了避免不可见光子窃听攻击，在处理前，Alice(Bob)需要在她(他)的器件前插入一个滤波器来消除不合法光子信号[31-32]。为了克服延迟光子木马攻击，Alice(Bob)应当利用一个光子数分割器来将每个样本量子信号分割成两份，在光子数分割器后利用正确的测量基测量它们，并判断多光子率是否正常[31-32]。

(2)参与者攻击

Gao等[33]在2007年首次指出，一个不忠诚参与者发起的攻击总是更具能量，应当被特别注意。这里考虑两种情形的参与者攻击，即不忠诚通信者的攻击和半忠诚TP的攻击。

A来自一个不忠诚通信者的参与者攻击

在本发明的方法中，Alice和Bob具有同样的角色。不失一般性，假设Alice是不忠诚的而Bob是忠诚的。Alice 可能会尽力尝试从C_B提取Bob的隐秘二进制序列Y。为了得到Y，Alice需首先知道用于加密它的K_B。K_A和K_B是从Alice和Bob都选择进行SIFT的粒子组得到的。因此，Alice可能会尝试通过发起以下截获-测量-重发攻击来得到K_B：她截获从TP到Bob的S₂，利用Z_dp基测量与S₁中她选择进行SIFT的粒子位置相同的S₂中的一半粒子，并将得到的粒子序列

发送给Bob。然而，Alice的攻击行为不可避免地会被步骤S3的安全检测所发现，既然她对Bob在步骤S2对操作的选择一无所知。对于步骤S3选中的用于安全检测的某个粒子组，Alice选择对她的相应粒子进行SIFT的概率是

Bob选择对他的相应粒子进行CTRL的概率也是

因此，Alice被发现的概率为

既然TP有

的概率得到错误测量结果|-_dp>。对于步骤S3选中的用于安全检查的nr个粒子组， Alice被发现的概率为

如果nr的值足够大，将会趋向于1。可以得出结论，当她试图提取Bob的隐秘密钥，Alice的攻击行为会不可避免地被检测到。

B来自TP的参与者攻击

在本发明的方法中，TP被假设为半忠诚的，意味着她被允许按照她自己的意愿发起攻击但不能与其他任何人共谋。显然，如果TP想从C_A(C_B)得到Alice(Bob)的隐秘二进制序列X(Y)，她将需要事先得到K_A(K_B)。为了实现这个目标，TP可能会发起以下不同攻击。

攻击1:TP在步骤1产生所有粒子处于Z_dp基，并将它们传送给Alice和Bob；而且，TP在步骤S4总是向Alice 和Bob宣布真实的对选中的nd个粒子组的双重Bell基测量结果。这样，如果TP的欺骗行为成功地通过步骤S4Alice 和Bob的忠诚性检测，她将在步骤S5轻易地得到K_A和K_B。然而，TP的欺骗行为会不可避免地被步骤S4Alice 和Bob的忠诚性检测所发现。具体地讲，对于选中的用于TP忠诚性检测的某个粒子组，根据式(5-9)，如果Alice 和Bob都选择进行CTRL，TP将被检测到的概率为

如果Alice和Bob都选择进行SIFT，TP将被检测到的概率为0；如果一人选择进行CTRL而另一人选择进行SIFT，TP将自动不被检测到，既然这种情形下不存在检测过程。因此，对于选中的用于TP忠诚性检测的某个粒子组，TP将被检测到的概率为

对于选中的用于 TP忠诚性检测的nd个粒子组，TP将被检测到的概率为

如果nd的值足够大，将会趋向于1。

攻击2:TP在步骤S4利用Z_dp基代替双重Bell基测量来自Alice和Bob的剩余n(4+d+δ)个粒子组的所有粒子，并向Alice和Bob宣布假的双重Bell基测量结果希望逃脱忠诚性检测。然而，TP的欺骗行为会不可避免地被检测到，既然她无法准确知道Alice和Bob在步骤S2对操作的选择。具体地讲，对于选中的用于TP忠诚性检测的某个粒子组，根据式(6-9)，如果TP的测量结果是|0_dp>|0_dp>或|1_dp>|1_dp>，TP将随机宣布假的测量结果

或

如果TP的测量结果是|0_dp>|1_dp>或|1_dp>|0_dp>，TP将随机宣布假的测量结果

或

这样，如果Alice 和Bob都选择进行SIFT，TP将被检测到的概率为0，如果Alice和Bob都选择进行CTRL，TP将被检测到的概率为

因此，对于选中的用于TP忠诚性检测的某个粒子组，TP将被检测到的概率为

对于选中的用于TP忠诚性检测的nd个粒子组，TP将被检测到的概率为

如果nd的值足够大，将会趋向于1。

攻击3:TP在步骤S1产生所有粒子处于Z_dp基并传送给Alice和Bob；然而，TP在步骤S4总是向Alice和Bob 宣布假的双重Bell基测量结果希望逃脱忠诚性检测。然而，TP的欺骗行为会不可避免地被检测到，既然她无法准确知道Alice和Bob在步骤S2对操作的选择。具体地讲，对于选中的用于TP忠诚性检测的某个粒子组，如果它被TP在步骤S1制备处于|0_dp>|0_dp>或|1_dp>|1_dp>，TP将会随机宣布假的测量结果为

或

如果它被TP在步骤S1制备处于>0_dp>|1_dp>或|1_dp>|0_dp>，TP将会随机宣布假的测量结果为

或

这样，如果Alice和Bob 都选择进行SIFT，TP将被检测到的概率为0，如果Alice和Bob都选择进行CTRL，TP将被检测到的概率为

因此，对于选中的用于TP忠诚性检测的某个粒子组，TP将被检测到的概率为

对于选中的用于TP 忠诚性检测的nd个粒子组，TP将被检测到的概率为

如果nd的值足够大，将会趋向于1。

可以得出结论，当她试图提取Alice和Bob的隐秘密钥，TP的攻击行为会不可避免地在步骤S4被检测到。

实施例：

1本发明方法应用举例

现在我们用一个例子来进一步解释求和原理。假设x_j＝0和y_j＝1。假设Alice对第j个粒子组的相应粒子的测量结果是|0_dp>，那么

为0；假设Bob对第j个粒子组的相应粒子的测量结果是|1_dp>，那么

为1。因此，根据式(7)，TP对第j个粒子组的测量结果应当是

或

从而得到

因此，

Alice(Bob)计算

然后，Alice(Bob)通过经典信道将

告诉TP。TP通过计算

得到求和结果。

2讨论与结论

首先讨论量子比特效率[34]，其定义

其中c为求和的经典比特数量，q为所消耗的量子比特数量。在本发明的方法中，Alice的隐秘二进制序列的长度和Bob的隐秘二进制序列的长度都为n；TP需制备2n(4+r+d+δ)＝2nq个粒子都处于量子态|+_dp>，而Alice和 Bob都需要根据SIFT操作制备

个粒子处于Z_dp基；因此，有c＝n和

可以得到

将本发明的方法与首个半量子求和方法[20]进行详细对比，并将对比结果总结在表1中。在表1中，对于文献 [20]的方法，单量子比特态量子资源是指量子态|+>；通信者的单量子比特测量是指Z基测量；TP的单量子比特测量是指X基({|+>,|->})测量和Z基测量；TP的三量子比特纠缠态测量是指GHZ类型基测量。在本发明的方法中，两量子比特纠缠态量子资源是指量子态|+_dp>；TP的单量子比特测量和通信者的单量子比特测量是指Z_dp基测量，既然Z_dp基测量是由两个复合Z基测量构成；TP的两量子比特纠缠态测量是指X_dp基测量和双重Bell基测量。另外，在文献[20]的方法中，Alice的隐秘二进制序列的长度和Bob的隐秘二进制序列的长度都为n；TP需制备 3n(32+r+d+δ)＝3nt个粒子都处于量子态|+>，而所有三个通信者都需要根据SIFT操作制备

粒子处于Z基；因此，有c＝n和

这样，文献[20]方法的量子比特效率为

根据表1，可以得出结论，本发明的方法在TP的量子测量、量子比特效率和实际可行性方面胜于文献[20]的方法。

表1本发明的方法与先前半量子求和方法的对比

然后，讨论本发明方法的应用。它可被应用到半量子隐私比较，只要如下步骤被添加到步骤S5后：如果存在某个j有r_j≠0，TP将向Alice和Bob宣布X≠Y；否则，TP将向Alice和Bob宣布X＝Y。与文献[27,35-36]的半量子隐私比较方法相比，这个半量子隐私比较方法的优势在于同时具备如下两个特征：一方面，它无需在任何两方之间预享一个随机密钥；另一方面，它适用于集体退相位噪声量子信道。

3总结

本发明构建了一个并不要求两个通信者具备量子能力的两方安全半量子求和方法。在本发明的方法中，两个经典通信者能在一个量子半忠诚TP的帮助下成功计算她们隐秘二进制序列的求和。“半忠诚”意味着TP被允许按照她自己的意志利用各种量子资源发起所有类型的攻击但不能与其他任何人共谋。本发明的方法无需在任意两方之间事先共享一个随机密钥；采用无消相干子空间的逻辑量子比特作为信息载体来抵抗集体退相位噪声。安全性分析证实，本发明的方法能有效防止外在攻击和参与者攻击。本发明的方法能容易地被应用到半量子隐私比较。

Claims (1)

1.一种抗集体退相位噪声的两方安全半量子求和方法，使得两个经典通信者能在一个量子半忠诚第三方的帮助下实现她们隐秘二进制序列的求和；无需在任意两方之间事先共享一个随机密钥；采用逻辑量子比特作为信息载体来克服集体退相位噪声的负面影响；共包括以下五个过程：

S1)第三方TP制备2n(4+r+d+δ)＝2nq个粒子都处于量子态|+_dp>，其中r、d是大于0的整数，δ是某个大于0的固定参数；然后，TP将这些粒子分成

和

两个序列，其中

和

分别表示S₁和S₂中的第i个粒子，i＝1,2,…,nq；最后，TP以块传输的方式将S₁和S₂分别传送给Alice和Bob；

S2)对于接收到的S₁(S₂)中的每个粒子，Alice(Bob)随机选择直接将它不带干扰地返回给TP(即CTRL操作)或用Z_dp基测量它并将与测量结果相同的量子态重发给TP(即SIFT操作)；这样，S₁(S₂)被转变为S′₁(S′₂)；

S3)TP将S′₁中的第i个粒子和S′₂中的第i个粒子挑选出来构成第i个粒子组，其中i＝1,2,…,nq；为了检测针对一个外在窃听者Eve的传输安全性，TP从这些粒子组中随机选择nr个粒子组，并告诉Alice和Bob所选中的粒子组的位置；在这些选中的粒子组中，Alice(Bob)告诉TP她(他)选择进行CTRL的粒子的位置、她(他)选择进行SIFT的粒子的位置以及她(他)选择进行SIFT的粒子的测量结果；

对于Alice(Bob)选择进行CTRL的粒子，TP利用X_dp基测量它们；TP通过对比她对它们的测量结果和她的初始制备态计算CTRL粒子的错误率；如果CTRL粒子的传送是安全的，通信将被继续，否则，通信将被终止；

对于Alice(Bob)选择进行SIFT的粒子，TP利用Z_dp基测量它们；TP通过对比她对它们的测量结果和Alice(Bob)的测量结果计算SIFT粒子的错误率；如果SIFT粒子的传送是安全的，通信将被继续，否则，通信将被终止；

S4)用于检测Eve存在性的nr个粒子组被丢弃；Alice和Bob要求TP利用双重Bell基测量剩余n(4+d+δ)个粒子组的每个粒子组；为了检测TP的忠诚性，Alice和Bob从剩余n(4+d+δ)个粒子组随机选择nd个粒子组，并要求TP告诉她们她对这些nd个粒子组的相应测量结果；对于Alice和Bob都选择进行CTRL的粒子组，如果TP的测量结果是

或

Alice和Bob将会认为TP是不忠诚的；对于Alice和Bob都选择进行SIFT的粒子组，Alice和Bob检查TP的测量结果

和

是否与她们选择进行SIFT的粒子相对应；如果结果是否定的，Alice和Bob将会认为TP是不忠诚的；如果TP最终被发现是忠诚的，通信将被进行下一步，否则，通信将被终止；

S5)用于检测TP忠诚性的nd个粒子组被丢弃；对于剩余n(4+δ)个粒子组，Alice(Bob)宣布她(他)选择进行SIFT的粒子的位置；总共有

个粒子组Alice和Bob都选择进行SIFT；前n个粒子组通过以下规则被用来产生Alice的隐秘密钥K_A和Bob的隐秘密钥K_B：如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|0_dp>，她(他)的隐秘密钥的第j个比特

将是0，如果Alice(Bob)对第j个粒子组的相应粒子的测量结果是|1_dp>，

将是1；这里，j＝1,2,…,n，

和

Alice(Bob)计算

其中

是模2和；然后，Alice(Bob)通过经典信道将C_A(C_B)告诉TP，其中

Alice和Bob告诉TP这n个粒子组的位置；TP根据以下规则从她对这n个粒子组的相应测量结果产生一个隐秘比特序列C_T：对于j＝1,2,…,n，如果第j个粒子组的测量结果是

或

将是0，如果第j个粒子组的测量结果是

或

将是1；这里，

是C_T的第j比特；最后，TP计算

得到求和结果R，其中R＝[r₁,r₂,…,r_n]。