CN114710270A - 基于单向量子行走的量子隐私比较方法、系统和存储介质 - Google Patents

Abstract

本发明提供一种基于单向量子行走的量子隐私比较方法、系统和存储介质，所述方法中，一个半诚实的第三方的协助两个互不信任的参与者完成比较。在彼此间传递粒子序列时通过插入诱骗粒子来检测是否存在监听者，并通过应用正演化算符和逆演化算符来进行加密并对参与者的私密信息进行编码，通过对最终粒子序列进行QWs态测量来得到测量结果，并基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。本发明的方法提高了安全性和效率。

Description

基于单向量子行走的量子隐私比较方法、系统和存储介质

技术领域

本发明涉及量子密码学领域技术领域，尤其涉及一种基于单向量子行走的量子隐私比较方法、系统和存储介质。

背景技术

在1982年Yao提出了著名的百万富翁问题。它是指两个百万富翁希望比较谁更富有，但又不希望泄露自身的财富。安全多方计算(SMPC)在此基础上应运而生，可以被运用于多个方面如秘密共享，电子选举等。

随着量子技术的飞速发展，量子并行性带给传统密码学巨大的挑战，也使得传统的安全多方计算协议拥有着严重的安全隐患。因此研究人员又将目光转向了量子安全多方计算协议的设计上。至今为止已有许多协议被提出，如量子隐私比较(QPC)协议，量子秘密共享(QSS)协议和量子密钥分发(QKD)协议。

大部分的QPC协议需要一个半诚实的第三方(TP)的协助两个互不信任的参与者Alice和Bob完成比较。根据QPC协议所用的粒子种类，可以将其分为单粒子协议和多粒子协议两大类。基于多粒子的QPC协议采用纠缠态作为协议执行的主要粒子，如贝尔态，GHZ态。单粒子协议如今主要采用单光子，或者单个贝尔态作为主要粒子来执行协议。

单粒子协议存在着几大优势，首先它比多粒子协议具有更小的安全隐患。此外在当前的量子技术环境下，单粒子相比于纠缠态而言更易于制备，这降低了量子资源的消耗和对设备的要求，因此理论上讲单粒子协议更具有实用性。

在2019年，Lin等人提出了一种基于单光子的QPC协议，对于单光子的利用使得量子资源的消耗更低，更容易在现有技术下实现。然而该协议只能比较私有信息是否相等，并不能判断大小。

在2021年Chen等人提出了一种新型的基于量子圆上行走(DQWC)的QPC协议。量子在圆上行走采用的主要粒子也是处于直积态的量子行走态(Quantum Walks，QWs)粒子，它也继承了单粒子协议的优势。该协议实现了对量子秘密信息大小的比较，而不仅是判断是否相等。

但是，已有的基于DQWC的QPC协议的量子位效率较低，该QPC协议中，量子位的利用率只能最多达50％，即参与者的私密信息的最大值最多为

其中，d为量子行走粒子中行走态的维度。并且，在已有的基于DQWC的QPC协议中存在着安全性缺陷，不能抵抗蛮力攻击。

因此，如何提出一种能够提高量子位的利用率且能增强协议的安全性的基于单向量子行走的量子隐私比较方案，是一个需要解决的问题。

发明内容

有鉴于此，本发明提供了一种基于单向量子行走的量子隐私比较方法和装置，以解决现有技术中存在的至少一个问题。

本发明的一个方面提供了一种基于单向量子行走的量子隐私比较方法，该方法包括以下步骤：

由第三方针对准备的多个初始状态为|0>_c|0>_p的量子行走态粒子，基于自身拥有的第一密钥应用单向演化算符来进行加密，得到第一粒子序列，其中，|0>_c为硬币态，|0>_p为行走态；

由所述第三方从向所述第一粒子序列中插入诱骗粒子，形成第二粒子序列并发送给第一参与者；

所述第三方接收来自所述第一参与者的回复确认消息后，将所述第二粒子序列中插入的诱骗粒子的位置告知所述第一参与者，以由所述第一参与者对诱骗粒子进行测量并向所述第三方反馈测量结果；

在诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第一参与者从所述第二粒子序列中舍弃掉插入的诱骗粒子获得所述第一粒子序列，对所述第一粒子序列基于与第二参与者共享的私有密钥应用单向演化算符，并将所述第一参与者的第一私密信息通过应用单向演化算符来编码至所述第一粒子序列中，生成第三粒子序列，通过在所述第三粒子序列中插入诱骗粒子来生成第四粒子序列并发送给所述第三方；

所述第一参与者接收来自所述第三方的回复确认消息，将所述第四粒子序列中插入的诱骗粒子的位置告知所述第三方，以由所述第三方对诱骗粒子进行测量并向所述第一参与者反馈测量结果；

在所述第三方确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第三方从所述第四粒子序列中舍弃掉插入的诱骗粒子获得所述第三粒子序列，对所述第三粒子序列基于自身拥有的第二密钥应用单向演化算符来进行加密，得到第五粒子序列，通过在所述第五粒子序列中插入诱骗粒子来生成第六粒子序列并向第二参与者进行发送；

所述第二参与者向所述第三方回复确认消息后接收来自所述第三方的诱骗粒子插入位置，以由所述第二参与者基于接收的诱骗粒子插入位置对第六粒子序列中的诱骗粒子进行测量并向所述第三方反馈测量结果；

在所述第二参与者确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第二参与者从所述第六粒子序列中舍弃掉插入的诱骗粒子获得所述第五粒子序列，对所述第五粒子序列基于与第一参与者共享的私有密钥应用单向演化算符的逆算符，并将所述第二参与者的第二私密信息通过应用单向演化算符的逆算符来编码至所述第五粒子序列中，生成第七粒子序列，并通过在所述第七粒子序列中插入诱骗粒子来生成第八粒子序列并发送给所述第三方；

所述第三方向所述第二参与者回复确认消息后接收来自所述第二参与者的诱骗粒子插入位置，以由所述第三方基于接收的第八粒子序列中诱骗粒子的插入位置对诱骗粒子进行测量并向所述第二参与者反馈测量结果；以及

在所述第三方确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第三方从第八粒子序列中舍弃掉插入的诱骗粒子获得第七粒子序列，对第七粒子序列基于自身拥有的第一密钥和第二密钥分别应用单向演化算符的逆算符来进行加密，得到最终粒子序列；

通过对最终粒子序列进行QWs态测量来得到测量结果，并基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。

在本发明的一些实施例中，所述由第三方针对准备的第一数量个初始状态为|0>_c|0>_p的量子行走态粒子，基于自身拥有的第一密钥应用单向演化算符来进行加密，包括：由第三方对准备的第一数量个初始状态为|0>_c|0>_p的量子行走态粒子应用单向演化算符，其中，应用单向演化算符的次数与所述第一密钥的值相对应；

所述对所述第一粒子序列基于与第二参与者共享的私有密钥应用单向演化算符，包括：对所述第一粒子序列应用单向演化算符，其中，应用单向演化算符的次数与共享的私有密钥的值相对应；

对所述第四粒子序列基于与第一参与者共享的私有密钥应用单向演化算符的逆算符，包括：对所述第四粒子序列应用单向演化算符的逆算符，其中，应用所述逆算符的次数与所述共享的私有密钥的值相对应。

在本发明的一些实施例中，所述由所述第三方从向所述第一粒子序列中插入诱骗粒子，包括：由所述第三方从预定诱骗粒子集合中随机选择预定数量个诱骗粒子插入所述第一粒子序列。

在本发明一些实施例中，所述预定诱骗粒子集合包括d维量子态的粒子以及所述d维量子态经傅里叶变换得到的量子态的粒子，所述预定数量为偶数个。

在本发明一些实施例中，所述基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小，包括：

当所有的行走态的测量结果都为|0>_p时，确定第一私密信息与第二私密信息大小相等；

当行走态的测量结果不全为|0>_p，但存在|0>_p时，确定第一私密信息大于第二私密信息；

当行走态的测量结果中没有|0>_p，确定第一私密信息小于与第二私密信息。

在本发明一些实施例中，所述对最终粒子序列进行量子行走态测量包括：通过应用算符

来进行量子行走态测量；

M_c用于硬币态的测量，M_p用于行走态的测量；

M_c＝α_0c|0>_c<0|+α_1c|1>_c<1|；

其中，i为从0到d-1的参数，d为量子行走粒子中行走态的维度，|α_0c|²+|α_1c|²＝1，α_0c＝α_1c；

不同i对应的每个α_ip相等。

在本发明一些实施例中，所述单向演化算符表示为：

所述单向演化算符的逆算符表示为：

其中，

I_p为恒等算符；

C^-1＝C，

在本发明一些实施例中，所述第一私密信息和所述第二私密信息的取值范围为[0,d-1]，其中d为量子行走粒子中行走态的维度。

本发明的另一方面提供了一种基于单向量子行走的量子隐私比较系统，该系统包括计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如前所述方法的步骤。

本发明的另一方面提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前所述方法的步骤。

本发明的基于单向量子行走的量子隐私比较方法和系统，通过一个半诚实的第三方的协助两个互不信任的参与者完成比较。在彼此间传递粒子序列时通过插入诱骗粒子来检测是否存在监听者，并通过应用正演化算符和逆演化算符来进行加密并对参与者的私密信息进行编码，通过对最终粒子序列进行QWs态测量来得到测量结果，并基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。本发明的方法提高了安全性和效率。

本发明的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在说明书以及附图中具体指出的结构实现到并获得。

本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。附图中：

图1为本发明一实施例中基于单向量子行走的量子隐私比较方法的交互示意图。

图2为本发明一实施例中基于单向量子行走的量子隐私比较方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。

应该强调，术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。

针对现有基于量子圆上行走的QPC协议存在的问题，本发明提供了一种基于单向量子行走的量子隐私比较方法以及相应的基于单向量子行走的量子隐私比较协议。图1为本发明一实施例的基于单向量子行走的量子隐私比较协议中多方交互的示意图，图2为基于该协议实现的基于单向量子行走的量子隐私比较方法的流程示意图。如图1至图2所示，一个半诚实的第三方(TP)的协助两个互不信任的参与者Alice和Bob完成比较。TP自身拥有两个密钥P_k1，P_k2。Alice和Bob共享一对私有密钥P_k3，并通过一些安全的QKD密钥分配协议(如BB84协议等)进行分发。本发明的基于单向量子行走的量子隐私比较方法包括以下步骤：

步骤S110，第一粒子序列生成步骤。

本步骤中，由第三方TP针对准备的多个初始状态为|0>_c|0＞_p的量子行走(QWs)态粒子，基于第三方TP自身拥有的第一密钥P_k1应用单向演化算符来进行加密，得到第一粒子序列，其中，|0>_c为硬币态，|0〉_p为行走态。

一个QWs态可表示为：

其中，|positon>_p是一个d维量子态，被称为Walker(行走态)，position∈[0,1,…,d-1]。|Coin>_c是一个2维量子态，被称为Coin(硬币态)。

对QWs态粒子应用的单向演化算符U_o表示为：

其中：

I_p为恒等算符；i为从0到d-1的参数，d为量子行走粒子中行走态的维度。

本步骤S110中，第三方TP针对多个初始状态为|0>_c|0>_p的量子行走态粒子基于自身拥有的第一密钥应用单向演化算符来进行加密包括：第三方TP对多个初始状态为|0>_c|0>_p的量子行走态粒子应用单向演化算符(正演化算符)，其中应用单向演化算符的次数与第一密钥P_k1的值相对应。在本发明实施例中，用

表示对粒子应用了k次单向演化算符。

作为示例，TP可事先准备k个初始状态为|0＞_c|0＞_p的QWs粒子，其中，k足够大，为足够进行测量的安全阈值。然后，TP对初始的QWs粒子|0＞_c|0>_p应用

也即，对初始的QWs粒子应用P_k1次单向演化算符，来基于秘钥P_k1进行一次初始的加密。此处将加密后的粒子所组成的序列记为第一粒子序列S₀。

步骤S120，第二粒子序列生成和发送步骤。

本步骤中，由第三方TP从向第一粒子序列S₀中插入诱骗粒子，形成第二粒子序列S₀′并发送给第一参与者Alice。

为了防止外部窃听者窃取信息，本发明中要对窃听者的存在进行检测。为了对窃听者的存在进行检测，作为示例，本步骤中，TP从预定诱骗粒子集合{|0>，|1>，…，|d-1>,F|0>,F|1>,…,F|d-1>}中随机挑选2λ个诱骗粒子，并插入到第一粒子序列S₀中生成第二粒子序列S₀′。其中，λ是一个较大的安全阈值，F是d维量子态的傅里叶变换形式：

上式中，2πi为虚数，|k>表示第k维量子态，F|j>表示第j维量子态的傅里叶变换形式，|k>和F|j>的测量基分别为{|0>，|1>，…，|d-1>}和{F|0>,F|1>,…,F|d-1>}。随后，TP将第二粒子序列S₀′发送给第一参与者Alice。

步骤S130，诱骗粒子测量步骤，基于测量结果确定是否存在窃听者。

本步骤中，第一参与者Alice接收到第二粒子序列S₀′之后，向第三方TP回复已收到粒子。第三方TP接收来自第一参与者Alice的回复确认消息后，将第二粒子序列S₀′中插入的诱骗粒子的位置告知第一参与者Alice，以由第一参与者Alice利用相应的测量基({|0>，|1>，…，|d-1>}和{F|0>,F|1>,…,F|d-1>})对诱骗粒子进行测量并向第三方TP反馈测量结果。

在本发明实施例中，如果诱骗粒子的测量结果中与初始值(初始值在执行诱骗粒子插入的一方手中，当负责测量的一方完成测量后，持有初始值的这方会公布该初始值)不一致的测量结果所占的比例达到设定的阈值，则证明存在窃听者，于是第一参与者Alice抛弃掉当前的粒子，第三方基于测量结果确定存在窃听者后，重新开始执行步骤S110，也即重新开始步骤S110-S130。如果确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值，则继续进行下面的步骤。

步骤S140，第一粒子序列加密步骤：由第一参与者Alice还原第一粒子序列S₀，进行加密并发送给第三方TP。

在诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第一参与者Alice从第二粒子序列S₀′中舍弃掉插入的诱骗粒子获得第一粒子序列S₀，对第一粒子序列S₀基于与第二参与者共享的私有密钥应用单向演化算符即进行加密，并将第一参与者的自身私密信息m₁通过应用单向演化算符来编码至加密后的第一粒子序列中，生成第三粒子序列S_A，通过在第三粒子序列中插入诱骗粒子来生成第四粒子序列S_A′并发送给第三方TP。在此基于与第二参与者共享的私有密钥P_k3应用单向演化算符是指对第一粒子序列应用P_k3次单向演化算符，或者说，对第一粒子序列应用单向演化算符

第一参与者Alice去除掉诱骗粒子还原第一粒子序列S₀，并对k个粒子应用演化算符

进行一次加密后，再将第一参与者Alice自身的私密信息m₁(m₁≤d-1)通过应用演化算符

编码至加密后的第一粒子序列中，生成新的粒子序列(第三粒子序列)记为S_A。然后Alice进行与步骤S120类似的步骤，将诱骗粒子加入到第三粒子序列S_A中生成第四粒子序列S_A′，并发送给TP。

之后，执行步骤S150，该步骤与上述步骤S130类似，是由TP来进行诱骗粒子测量步骤，并基于测量结果确定是否存在窃听者。

更具体地，在步骤S150，第三方TP接收到第四粒子序列S_A′之后，向第一参与者Alice回复已收到粒子。第一参与者Alice接收来自第三方TP的回复确认消息后，将第四粒子序列中插入的诱骗粒子的位置告知第三方TP，以由第三方TP对诱骗粒子进行测量并向第一参与者Alice反馈测量结果。如果诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例达到设定的阈值，则证明存在窃听者，于是第三方TP抛弃掉当前的粒子，重新开始执行步骤S110。如果确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值，则继续进行下面的步骤。

步骤S160，第三粒子序列加密步骤：由第三方TP还原第三粒子序列，进行加密并发送给第二参与者。

在本步骤中，在第三方TP确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第三方TP从第四粒子序列S_A′中舍弃掉插入的诱骗粒子获得第三粒子序列S_A，对所述第三粒子序列S_A基于自身拥有的第二密钥P_k2应用单向演化算符，也即对S_A应用算符

来进行加密，得到第五粒子序列S_T。得到第五粒子序列S_T后，由第三方TP从向第五粒子序列S_T中插入诱骗粒子，形成第六粒子序列S_T′，并向第二参与者Bob进行发送。

步骤S170，该步骤与上述步骤S130类似，是由第二参与者Bob来进行诱骗粒子测量步骤，并基于测量结果确定是否存在窃听者。

更具体地，在步骤S170，第二参与者Bob接收到第六粒子序列S_T′之后，向第三方TP回复已收到粒子。第二参与者Bob向第三方TP回复确认消息后接收来自第三方TP的诱骗粒子插入位置，以由第二参与者Bob基于接收的诱骗粒子插入位置对第六粒子序列中的诱骗粒子进行测量并向第三方TP反馈测量结果。如果诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例达到设定的阈值，则证明存在窃听者，于是第二参与者Bob抛弃掉当前的粒子，第三方基于测量结果确定存在窃听者后，重新开始执行步骤S110。如果确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值，则继续进行下面的步骤。

步骤S180，第五粒子序列加密步骤：由第二参与者Bob还原第五粒子序列S_T，进行加密并发送给第三方TP。

在第二参与者Bob确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第二参与者Bob从第六粒子序列S_T′中舍弃掉插入的诱骗粒子获得第五粒子序列S_T，对所述第五粒子序列基于与第一参与者共享的私有密钥P_k3应用单向演化算符的逆算符(逆演化算符)，并将第二参与者Bob的自身私密信息m₂通过应用单向演化算符的逆算符来编码至第五粒子序列中，生成第七粒子序列，并通过在第七粒子序列中插入诱骗粒子来生成第八粒子序列并发送给第三方TP。

单向演化算符的逆算符U^-1表示为：

其中C^-1＝C，而S^-1为：

其中，i为从0到d-1的参数，d为量子行走粒子中行走态的维度。

在本发明实施例中，可用

表示对粒子应用了k次单向演化算符的逆算符。

作为示例，第二参与者Bob获得去除了诱骗粒子的第五粒子序列S_T后，对第五粒子序列S_T应用演化算符

接着再应用

来编码自身私密信息，得到第七粒子序列S_B，进一步通过在第七粒子序列S_B中插入诱骗粒子来生成第八粒子序列S_B′。接着Bob将第八粒子序列S_B′发送给第三方TP。

步骤S190，该步骤与上述步骤S130类似，是由第三方TP来进行诱骗粒子测量步骤，并基于测量结果确定是否存在窃听者。

第三方TP向第二参与者Bob回复确认消息后，接收来自第二参与者的诱骗粒子插入位置，以由第三方TP基于接收的第八粒子序列S_B′诱骗粒子的插入位置对诱骗粒子进行测量并向第二参与者馈测量结果。该测量结果与前述诱骗粒子测量方式类似，在此不再赘述。

步骤S200，最终粒子序列获取以及量子隐私比较步骤。

在本步骤中，在第三方确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第三方从第八粒子序列S_B′中舍弃掉插入的诱骗粒子获得第七粒子序列S_B，对第七粒子序列基于自身拥有的第一密钥P_k1和第二密钥P_k2分别应用单向演化算符的逆算符来进行加密，得到最终粒子序列(第九粒子序列)S_F。

作为示例，第三方TP通过与前面诱骗粒子测量步骤类似的方式检查收到的粒子来确定是否存在监听者，在确定不存在监听者并去除诱骗粒子得到第七粒子序列S_B。之后再对S_B做P_k1，P_k2的单向演化算符的逆算符操作，即应用演化算符

和

进行加密。得到最终的粒子S_F。

步骤S210，通过对最终粒子序列S_F进行QWs态测量来得到测量结果，并基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。

第三方TP对最终粒子序列S_F中的所有粒子用

算符进行测量，得到最终的结果。

其中，算符M_c为Coin状态的测量使用的算符：

M_c＝α₀|0>_c<0|+α₁|1>_c<1|，(|α₀|²+|α₁|²＝1)；

其中，α₀和α₁为两个满足\α₀|²+α₁|²＝1条件的任意系数，在本发明实施例中，令α₀＝α₁。

算符M_p为Walker状态的测量使用的算符：

其中，α_i也为一个满足

条件的随机系数，在本发明实施例中，令每一个α_i都相等。整个QWs态的测量是通过应用算符

来进行的。

根据QWs态的测量结果可以将|0>_p设置为标志位，可分为三种情况：

(1)当所有的Walker的测量结果都为|0>_p时，说明m₁＝m₂。

(2)当Walker的测量结果不全为|0>_p，但存在|0>_p时，说明m₁>m₂。

(3)如果Walker的测量结果中没有|0>_p，就说明m₁<m₂。

这是因为，由于QWs粒子在应用多次的单向演化算符后是处于一个叠加态，因此Walker(位置算符)的测量结果会以不为零的概率分布在每一个位置上([0,1,…,d-1])。当应用的正演化算符数量大于逆演化算符数量时，Walker的测量结果有概率出现|0>_p。应用的正逆演化算符数量一致时，QWs粒子回到最初始的状态|0>_c|0>_p，因此Walker的测量结果全为|0>_p。如果应用的逆演化算符数量大于正演化算符数时，Walker的测量结果不会出现|0>_p。

如上，基于测量结果中行走态的测量结果有概率出现|0>_p，可以比较出第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。

本发明可以在不泄露参与双方私有信息并且能够抗量子攻击的情况下，得出最终的隐私信息比较结果，从而可以解决数据的可控共享。

接下来将给出如上方法正确性和安全性的证明。

(一)正确性

引理1：当k∈[0,1,…,d-1]时，U_o ^k|0>_c|0>_p的测量结果可能出现，但不全为|0>_p。

证明：

当k＝1时，QWs粒子的状态为：

因此可假设应用k＝j次单向演化算符后的QWs粒子状态为：

其中，j为行走的步数，对于

α_i和β_i是两个任意的系数，且都满足|α_i|²+|β_i|²≠0。那么应用k+1次演化算符后的QWs粒子状态为：

其中，α_i′和β_i′是合并而成的新系数。由于|α_i|²+|β_i|²≠0，可得|α_i′|²+|β_i′|²≠0。因此对于

有一定的概率获取到|0>_p，且不全为|0>_p。

引理2：当-(d-1)≤k<0时，

的测量结果不可能出现|0〉_p。

证明：

算符

应用在|0>_c|0>_p上的结果为：

当k＝-2时，算符

应用于|0>_c|0>_p的结果为：

其中，|α_i|²+|β_i|²≠0。因此可假设当k＝j时，(1<j≤d-2)，QWs粒子经过k次演化后的状态为：

QWs粒子经过k＝-(j+1)次演化后的状态为：

由于2<j+1≤d-1，因此

的测量结果不会出现|0>_p，引理2得证。

命题1：本发明的方法(协议)是正确的。

协议中QWs粒子的最终状态为

由于0≤m₁,m₂≤d-1，因此-(d-1)≤m₁-m₂≤d-1。当m₁＝m₂时，算符

等价于

根据引理1和引理2，以下结果可以得到证明。

(1)当所有的Walker的测量结果都为|0>_p时，说明m₁＝m₂。

(2)当Walker的测量结果不全为|0>_p，但存在|0>_p时，说明m₁>m₂。

(3)如果Walker的测量结果中没有|0>_p，就说明m₁<m₂。

(二)协议的安全性

1.外部攻击

在本发明的方法的执行过程中，可能会存在外部的窃听者(或称攻击者)Eve，他会试图通过使用一些较为普遍的攻击方法对协议进行攻击。如截获重发攻击，纠缠附加粒子攻击。

(1)截获重发攻击

截获重发攻击是指攻击者Eve截获信道中传输的粒子，并进行测量，再根据测量结果，发送相应的量子态给接收者。

首先，截获重发攻击在本发明的方法中有极大的概率被检测到。本发明的方法采用的诱骗粒子的方法能够抵抗这种攻击，Eve在攻击过程中有很大几率被检测到。在本发明的方法中，通过随机加入了2λ个属于集合{|0>，|1>，…，|d-1>,F|0>,F|1>,…,F|d-1＞}的诱骗粒子，窃听者Eve在不知道诱骗粒子位置和所用的测量基的情况下，对所发送的粒子进行测量，针对每个粒子有

的概率引入错误。因此当λ足够大时，窃听者Eve引入错误的概率接近1。

其次，即使攻击者没有引入错误，他也无法获取任何有用的信息。在本发明的方法的执行过程中一共进行了4次信息的传输，每次传输过程中分别使用密钥P_k1/P_k2/P_k3进行了加密，因此即便攻击者获取了传输的粒子，也无法获取到正确的信息。综上所述，攻击者Eve无法获取到有效的信息。

(2)纠缠附加粒子攻击

纠缠附加粒子攻击是指，攻击者Eve截获量子信道上的粒子，并通过运用幺正变换，将辅助量子态与量子信道上的粒子进行纠缠，之后通过测量辅助量子态来获得信息。本部分将证明外部攻击无法通过更有效的纠缠附加粒子攻击来获取有效信息。

本发明的方法采用d维量子态作为诱骗粒子，Eve的幺正变换为：

其中，

且|m_jk>,|e_jk>是|j>和|e>所属的两组正交基。|e>是Eve的辅助量子态。

攻击者Eve不希望在攻击的过程中引入错误，且希望获取到有效的信息。因此可以列出如下等式：

其中，辅助粒子需要满足如下的条件：<e_j|e_k>＝0,(j≠k)。接下来改写上式中第二个等式的左半部分如下：

可以计算出整个系统的密度矩阵为：

因此，参与者的约化密度矩阵为：

可以看到约化密度矩阵与变量j无关，因此当外部攻击者Eve将辅助粒子与参与者粒子纠缠后，所有粒子对于参与者而言是相同的。因此他无法保证不引入错误，并且不能获取到有效的信息。

(3)内部攻击

对于内部参与者，如果他们希望通过拦截在量子信道中传输的粒子来获取有效信息，那么他们的地位相当于外部的参与者。前面的证明确保了对这种行为的检测。

对于内部参与者而言，主要的关注点在蛮力攻击。即参与者冒着被检测的风险，强行截获粒子，并对其进行检测。这是一种十分严重的安全威胁。下面将从三个内部人员的角度来分析协议的安全性。(1)在步骤S140中，第一参与者Alice可能会向第三方TP传送一个虚假的QWs粒子|0>_c|0>_p，然后在步骤S180中截获Bob所发送的粒子，并采用蛮力攻击来获取Bob的私密信息。然而TP在步骤S160中应用密钥P_k2对粒子进行了新的加密，这使得Alice无法通过这种蛮力攻击的方式来获取私密信息。(2)Bob可能在步骤S140中发动蛮力攻击，但由于他不知道TP的最初加密密钥P_k1，因此他无法通过蛮力攻击的方式来获取Alice的私密信息。(3)TP可能会在步骤S140和步骤S180中发动蛮力攻击，然而Alice在步骤S140中对粒子应用密钥P_k3对粒子进行了加密，并且在步骤S180中的粒子状态为

因此TP在这两个步骤中都无法获取到Alice和Bob的私密信息。

与2021年Chen等人提出了的基于DQWC的QPC协议相比，本发明的方法具有如下优点：

(1)在量子位效率方面，本发明的方法的执行效率高于Chen等人协议的效率。传统意义上的量子位效率定义为

其中c为私密信息的最大比特，q为所消耗的量子比特数。然而由于本发明使用的是d维的量子态，因此本发明重新定义了量子位效率：

其中q′＝q×log₂d。

在本发明中使用的量子态为k对Walker态和Coin态。参与者私密信息的取值范围为

因此量子位效率为

在Chen等人的协议中，参与者私密信息的取值范围为

因此其量子位效率为

低于本发明的效率。

(2)本发明的方法的安全性高于Chen等人的协议，因为本发明的方法能够抵抗来自内部参与者的蛮力攻击。Chen等人的协议中，没有对Alice发送的粒子进行验证和处理，这将导致Alice可以发送假的粒子来实施攻击以窃取Bob的私有信息。

上述可知，本发明提出的量子隐私比较方法是一种高效的QPC方案，由于单向量子行走的应用，可通过将将|0>_p设置为标志位来提高量子位的利用率；已有的基于DQWC的QPC协议中参与者的私密信息的最大值最多为

量子位效率较低，而本发明实施例中，私密信息的最大维度为d，在[0,d-1]范围内取值，即最大值为d-1，实现了利用率达100％的基于单向量子行走的QPC方案。

此外，安全性方面改进了协议的结构，使得更安全。

与前述方法相应地，本发明还提供了一种基于单向量子行走的量子隐私比较系统，该系统包括计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如前所述基于单向量子行走的量子隐私比较方法的步骤。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时以实现前述边缘计算服务器部署方法的步骤。该计算机可读存储介质可以是有形存储介质，诸如随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、软盘、硬盘、可移动存储盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。

本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

本发明中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。

以上所述仅为本发明的优选实施例，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于单向量子行走的量子隐私比较方法，其特征在于，该方法包括以下步骤：

由第三方针对准备的多个初始状态为|0〉_c|0〉_p的量子行走态粒子，基于自身拥有的第一密钥应用单向演化算符来进行加密，得到第一粒子序列，其中，|0〉_c为硬币态，|0>_p为行走态；

由所述第三方从向所述第一粒子序列中插入诱骗粒子，形成第二粒子序列并发送给第一参与者；

所述第三方接收来自所述第一参与者的回复确认消息后，将所述第二粒子序列中插入的诱骗粒子的位置告知所述第一参与者，以由所述第一参与者对诱骗粒子进行测量并向所述第三方反馈测量结果；

在诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第一参与者从所述第二粒子序列中舍弃掉插入的诱骗粒子获得所述第一粒子序列，对所述第一粒子序列基于与第二参与者共享的私有密钥应用单向演化算符，并将所述第一参与者的第一私密信息通过应用单向演化算符来编码至所述第一粒子序列中，生成第三粒子序列，通过在所述第三粒子序列中插入诱骗粒子来生成第四粒子序列并发送给所述第三方；

所述第一参与者接收来自所述第三方的回复确认消息，将所述第四粒子序列中插入的诱骗粒子的位置告知所述第三方，以由所述第三方对诱骗粒子进行测量并向所述第一参与者反馈测量结果；

在所述第三方确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第三方从所述第四粒子序列中舍弃掉插入的诱骗粒子获得所述第三粒子序列，对所述第三粒子序列基于自身拥有的第二密钥应用单向演化算符来进行加密，得到第五粒子序列，通过在所述第五粒子序列中插入诱骗粒子来生成第六粒子序列并向第二参与者进行发送；

所述第二参与者向所述第三方回复确认消息后接收来自所述第三方的诱骗粒子插入位置，以由所述第二参与者基于接收的诱骗粒子插入位置对第六粒子序列中的诱骗粒子进行测量并向所述第三方反馈测量结果；

在所述第二参与者确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，所述第二参与者从所述第六粒子序列中舍弃掉插入的诱骗粒子获得所述第五粒子序列，对所述第五粒子序列基于与第一参与者共享的私有密钥应用单向演化算符的逆算符，并将所述第二参与者的第二私密信息通过应用单向演化算符的逆算符来编码至所述第五粒子序列中，生成第七粒子序列，并通过在所述第七粒子序列中插入诱骗粒子来生成第八粒子序列并发送给所述第三方；

所述第三方向所述第二参与者回复确认消息后接收来自所述第二参与者的诱骗粒子插入位置，以由所述第三方基于接收的第八粒子序列中诱骗粒子的插入位置对诱骗粒子进行测量并向所述第二参与者反馈测量结果；

在所述第三方确认对诱骗粒子的测量结果中与初始值不一致的测量结果所占的比例未达到预定阈值的情况下，第三方从第八粒子序列中舍弃掉插入的诱骗粒子获得第七粒子序列，对第七粒子序列基于自身拥有的第一密钥和第二密钥分别应用单向演化算符的逆算符来进行加密，得到最终粒子序列；以及

通过对最终粒子序列进行量子行走态测量来得到测量结果，并基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小。

2.根据权利要求1所述的方法，其特征在于，

所述由第三方针对准备的第一数量个初始状态为|0>_c|0>_p的量子行走态粒子，基于自身拥有的第一密钥应用单向演化算符来进行加密，包括：由第三方对准备的第一数量个初始状态为|0>_c|0>_p的量子行走态粒子应用单向演化算符，其中，应用单向演化算符的次数与所述第一密钥的值相对应；

所述对所述第一粒子序列基于与第二参与者共享的私有密钥应用单向演化算符，包括：对所述第一粒子序列应用单向演化算符，其中，应用单向演化算符的次数与共享的私有密钥的值相对应；

对所述第四粒子序列基于与第一参与者共享的私有密钥应用单向演化算符的逆算符，包括：对所述第四粒子序列应用单向演化算符的逆算符，其中，应用所述逆算符的次数与所述共享的私有密钥的值相对应。

3.根据权利要求1所述的方法，其特征在于，

所述由所述第三方从向所述第一粒子序列中插入诱骗粒子，包括：由所述第三方从预定诱骗粒子集合中随机选择预定数量个诱骗粒子插入所述第一粒子序列。

4.根据权利要求3所述的方法，其特征在于，所述预定诱骗粒子集合包括d维量子态的粒子以及所述d维量子态经傅里叶变换得到的量子态的粒子，所述预定数量为偶数个。

5.根据权利要求1所述的方法，其特征在于，所述基于测量结果中行走态的测量结果来比较第一参与者的第一隐私信息和第二参与者的第二隐私信息的大小，包括：

当所有的行走态的测量结果都为|0>_p时，确定第一私密信息与第二私密信息大小相等；

当行走态的测量结果不全为|0>_p，但存在|0>_p时，确定第一私密信息大于第二私密信息；

当行走态的测量结果中没有|0>_p，确定第一私密信息小于与第二私密信息。

6.根据权利要求1所述的方法，其特征在于，所述对最终粒子序列进行量子行走态测量包括：通过应用算符

来进行量子行走态测量；

M_c用于硬币态的测量，M_p用于行走态的测量；

M_c＝α_0c|0>_c<0|+α_1c|1>_c<1|；

其中，i为从0到d-1的参数，d为量子行走粒子中行走态的维度，|α_0c|²+|α_1c|²＝1，α_0c＝α_1c；

不同i对应的每个α_ip相等。

7.根据权利要求1所述的方法，其特征在于，所述单向演化算符表示为：

所述单向演化算符的逆算符表示为：

其中，

I_p为恒等算符；

8.根据权利要求1所述的方法，其特征在于，所述第一私密信息和所述第二私密信息的取值范围为[0,d-1]，其中d为量子行走粒子中行走态的维度。

9.一种基于单向量子行走的量子隐私比较系统，包括处理器和存储器，其特征在于，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时该系统实现如权利要求1至8中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至8中任一项所述方法的步骤。

Images