本发明属于对称隐私信息查询技术领域,尤其涉及一种基于epr对的设备无关量子隐私查询方法。
背景技术:
在不可信用户间的通信中,公共隐私和用户个人隐私都需要被保护。对称隐私信息查询(spir)就是这种领域的一种应用,它主要完成以下任务:用户alice购买了数据库的一条记录,她想要获得该条记录,一方面,数据库拥有者bob不能知道alice访问了哪一条记录,另一方面,alice不能获取除她购买之外的其他记录。也就是说spir既保护用户alice的隐私,又保护数据库商bob的隐私。量子隐私查询(qpq)是spir问题的量子解决方案。bennett和brassard提出了量子协议来解决类似于spir的问题,但是却发现想要保护两方的安全是非常困难的。早在2008年的时候,第一个qpq方案由v.giovannetti等人提出,他们利用oracle操作表示数据库的记录,同时作用于要查询的量子态。之后l.olejnik等人也提出了基于oracle操作的qpq协议,但是由于高维oracle操作很难实现,因此以上两种协议都很难实现大数据库的隐私查询。后来m.jakobi等人提出了第一个实用的qpq协议。该协议基于sarg04量子密钥分发协议在数据库商和用户之间分发不经意密钥,由于该协议没有使用oracle操作,因此很容易实现大数据库的隐私查询。后来很多学者提出了各种新颖、实用的qpq协议。然而,所有的量子隐私查询协议主要考虑了来自不诚实的数据库拥有者和不诚实用户的威胁,来自外部攻击者的威胁却被忽略了,导致外部窃听者窃取数据库信息却不会被发现,带来了巨大的数据库安全隐患。假设一个外部攻击者eve,他可以提供或者控制量子态制备源或者测量设备。也就是说,用于分发密钥的量子态制备源或测量设备不可信任,那么来自eve的攻击可能会导致数据库信息全部泄露,而窃听却不会被发现。目前很多设备无关的量子密钥分发协议已经被提出用于抵御此类攻击。
综上所述,所有的量子隐私查询协议主要考虑了来自不诚实的数据库拥有者和不诚实用户的威胁,来自外部攻击者的威胁以及外部攻击者和不诚实用户合谋并利用设备的不可信任进行的攻击却被忽略。
技术实现要素:
本发明的目的在于提供一种基于epr对的设备无关量子隐私查询方法,旨在解决所有的量子隐私查询协议主要考虑了来自不诚实的数据库拥有者和不诚实用户的威胁,来自外部攻击者的威胁以及外部攻击者和不诚实用户合谋并利用设备的不可信任进行的攻击却被忽略的问题。
本发明是这样实现的,一种基于epr对的设备无关量子隐私查询方法,所述基于epr对的设备无关量子隐私查询方法在设备无关密钥分发思想的基础上,利用epr纠缠对提出设备无关的量子隐私查询协议;通过计算chsh不等式违背,判断数据库拥有者bob和用户alice是否共享了纠缠对。
进一步,所述基于epr对的设备无关量子隐私查询方法包括以下步骤:
步骤一,bob制备epr对处于态:
对于每个epr对,bob以概率p选择先随机用b0=σz基或b1=σx基测量粒子b,用
步骤二,对于每个bob已经测量过的粒子,bob计算chsh多项式s=<a0b0>+<a0b1>+<a1b0>-<a1b1>,这里<axby>定义为p(a=b|xy)-p(a≠b|xy);如果s≤2,bob终止协议;否则他们继续协议;chsh不等式违背检查是用于检测bob制备的epr对是否是真的纠缠态,防止当eve控制或提供设备时,eve制备非纠缠态;bob通过公共信道公布chsh不等式违背检查的位置,alice和bob丢弃这些位置的epr对,剩余的epr对称为子集mr;
步骤三,alice以概率η用σz基测量mr中自己的粒子,以概率1-η用σx基测量;alice对每个粒子随机进行i或u操作,然后发送给bob,这里:
i=|0><0|+|1><1|,u=iσy=|0><1|-|1><0|;
步骤四,bob随机选择一些位置(比例为ω)要求alice公布她选取的测量基、她得到的测量结果以及她进行的酉操作;bob用alice公布的基测量这些位置的a和b粒子;通过比较alice公布的测量结果和bob自己测量得到的b粒子的测量结果,bob可以知道alice是否增加了η的值;根据alice公布的酉操作和测量结果,bob可以推断出粒子a的测量结果,通过比较推断出的结果和bob对粒子a的测量结果,bob可以知道alice是否诚实执行了步骤3,也就是说,alice不能进行以下不诚实操作:(1)将她的粒子保存在一个量子寄存器,直到bob在步骤4公布了选取的位置,(2)只测量公布的这些位置的粒子,并且公布测量基和测量结果,这样alice就可以不被bob发现,(3)然后再对剩余的粒子中构成最终密钥的一位的所有量子位进行联合测量从而直接推断出最终密钥的该位;也就是说本协议可以抵御目前针对数据库安全的最强有力的攻击——联合测量攻击;此外,以上的窃听检测还可以检测外部窃听者的攻击;如果误码率高于事先设定的阈值,bob终止协议,否则协议继续;alice和bob丢弃这些探测粒子,剩余的epr对称为子集mc;
步骤五,bob用σz基测量mc中的粒子,基于集合mc,根据步骤三和步骤五中σz基测量的结果,alice和bob共享一对设备无关的不经意的密钥,其中bob知道密钥的全部位,而alice知道原密钥的η位;alice和bob协商|0>表示“0”,|1>表示“1”;
步骤六,alice和bob进一步对原密钥进行压缩后处理;
步骤七,bob用知道的密钥加密数据库中的所有记录,而alice利用知道的密钥解密她购买的记录。
进一步,所述步骤二中,定义x∈{0,1}为粒子a设备的二进制输入,其中x=0和x=1分别表示测量基a0和a1;定义y∈{0,1}为粒子b设备的二进制输入,其中y=0和y=1分别表示测量基b0和b1;定义a={0,1}和b={0,1}分别表示粒子a设备和粒子b设备的二进制输出。
本发明的另一目的在于提供一种利用所述基于epr对的设备无关量子隐私查询方法的数据库。
本发明提供的基于epr对的设备无关量子隐私查询方法,在设备无关密钥分发思想的基础上,利用epr纠缠对提出了一个设备无关的量子隐私查询协议;通过计算chsh不等式违背,可以判断数据库拥有者bob和用户alice是否共享了纠缠对;在这种前提下,即使eve可以提供或者控制量子态制备源或者测量设备,数据库的信息也不会泄露给eve;与已有的量子隐私查询协议相比,本发明的协议,在用于分发密钥的量子态制备源或测量设备不可信任的条件下仍然是安全的。
附图说明
图1是本发明实施例提供的基于epr对的设备无关量子隐私查询方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明在设备无关密钥分发思想的基础上,利用epr纠缠对提出了一个设备无关的量子隐私查询协议。通过计算chsh不等式违背,可以判断数据库拥有者bob和用户alice是否共享了纠缠对。在这种前提下,即使eve可以提供或者控制量子态制备源或者测量设备,数据库的信息也不会泄露给eve。与已有的量子隐私查询协议相比,本发明的协议,在用于分发密钥的量子态制备源或测量设备不可信任的条件下仍然是安全的。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的基于epr对的设备无关量子隐私查询方法包括以下步骤:
s101:在设备无关密钥分发思想的基础上,利用epr纠缠对提出了一个设备无关的量子隐私查询协议;
s102:通过计算chsh不等式违背,可以判断数据库拥有者bob和用户alice是否共享了纠缠对。
下面结合具体实施例对本发明的应用效果作进一步的描述。
1.基于epr对的设备无关的量子隐私查询协议
1.1协议描述
假设bob的数据库中有n条记录,alice购买了其中的一条记录,alice想要秘密的获取她购买的记录。以下的协议就是要帮助alice和bob安全的完成这个任务。基于设备无关的思想,在alice和bob之间分发一对设备无关不经意密钥,bob知道密钥的全部位,而alice只知道密钥的部分位。
考虑到用于分发密钥的量子态制备源或测量设备的不可信任,可能会引起第三方的侧信道攻击,从而导致bob数据库的信息全部泄露给第三方攻击者,且攻击不会被发现,因此,在协议中,假设量子态制备源和测量设备完全由第三方攻击者eve控制,或者由eve提供。
为了实现eve控制制备源的假设和不超光速传输的前提,首先,alice和bob的实验室开放,以便可以接收来自内部或外部的量子态信号,这样做的目的是为了满足量子态制备源由eve提供或受eve控制的前提;接下来,alice和bob的实验室完全关闭,即任何有关alice和bob的输入和输出的信息都不会泄露出去,这样做可以满足不超光速传输的前提。
步骤1.bob制备epr对处于态:
对于每个epr对,bob以概率p选择先随机用b0=σz基或b1=σx基测量粒子b,用
步骤2.对于每个bob已经测量过的粒子,定义x∈{0,1}为粒子a设备的二进制输入,其中x=0和x=1分别表示测量基a0和a1;定义y∈{0,1}为粒子b设备的二进制输入,其中y=0和y=1分别表示测量基b0和b1;定义a={0,1}和b={0,1}分别表示粒子a设备和粒子b设备的二进制输出。bob计算chsh多项式s=<a0b0>+<a0b1>+<a1b0>-<a1b1>,这里<axby>定义为p(a=b|xy)-p(a≠b|xy);如果s≤2,bob终止协议;否则他们继续协议;chsh不等式违背检查是用于检测bob制备的epr对是否是真的纠缠态,防止当eve控制或提供设备时,eve制备非纠缠态;bob通过公共信道公布chsh不等式违背检查的位置,alice和bob丢弃这些位置的epr对,剩余的epr对称为子集mr;
步骤3.alice以概率η用σz基测量mr中自己的粒子,以概率1-η用σx基测量;alice对每个粒子随机进行i或u操作,然后发送给bob,这里:
i=|0><0|+|1><1|,u=iσy=|0><1|-|1><0|;
步骤4.bob随机选择一些位置(比例为ω)要求alice公布她选取的测量基、她得到的测量结果以及她进行的酉操作;bob用alice公布的基测量这些位置的a和b粒子;通过比较alice公布的测量结果和bob自己测量得到的b粒子的测量结果,bob可以知道alice是否增加了η的值;根据alice公布的酉操作和测量结果,bob可以推断出粒子a的测量结果,通过比较推断出的结果和bob对粒子a的测量结果,bob可以知道alice是否诚实执行了步骤3,也就是说,alice不能进行以下不诚实操作:(1)将她的粒子保存在一个量子寄存器,直到bob在步骤4公布选取的位置,(2)只测量公布的这些位置的粒子,并且公布测量基和测量结果,这样alice就可以不被bob发现,(3)然后再对剩余的粒子中构成最终密钥的一位的所有量子位进行联合测量从而直接推断出最终密钥的该位;也就是说本协议可以抵御目前针对数据库安全的最强有力的攻击——联合测量攻击;此外,以上的窃听检测还可以检测外部窃听者的攻击;如果误码率高于事先设定的阈值,bob终止协议,否则协议继续;alice和bob丢弃这些探测粒子,剩余的epr对称为子集mc;
步骤5.bob用σz基测量mc中的粒子,基于集合mc,根据步骤三和步骤五中σz基测量的结果,alice和bob共享一对设备无关的不经意的密钥,其中bob知道密钥的全部位,而alice知道原密钥的η位;alice和bob协商|0>表示“0”,|1>表示“1”;
步骤6.为进一步压缩alice知道的原密钥的位数,alice和bob可以进一步对原密钥进行压缩后处理。
步骤7.bob用他知道的密钥加密数据库中的所有记录,而alice利用她知道的密钥解密她购买的记录。详细过程如下:如果alice知道bob密钥k的第j位kj,而她需要获得bob数据库中的第i条记录xi,alice告诉bobs=j–i的值。如果s是一个负数,bob将k循环右移|s|位;否则bob将k循环左移|s|位,这样bob就得到一个新的密钥k′。bob用新密钥k′采用一次一密的方式加密数据库。alice利用kj获取xi。
2.安全性分析
2.1用户隐私的安全性(bob的欺骗)
首先,作为数据库拥有者,bob不会与外部窃听者eve合谋,因为这样可能会导致eve获得数据库的记录。bob欺骗的目的是在不破坏协议正常执行的前提下尽可能多的知道alice密钥位在整个密钥中的位置。因此,在协议的步骤1和2中,bob会诚实的进行chsh不等式违背检查。bob希望他制备的epr对是真正的纠缠对,从而由纠缠的单配性保证eve无法获取数据库的记录。
因而,其次,对于bob来说,有效的攻击手段就是在步骤3之前用欺骗的基代替σz基去测量粒子b(例如,{cosθ|0>+sinθ|1>,cosθ|0>-sinθ|1>}),这样做可以偏转alice的测量结果。然而,这样做之后,并不能实现让alice的位以更高的概率在某些位置出现,或者以更低的概率在某些位置出现。bob的这种欺骗只能影响alice得到|0>态或|1>态的概率,而这对于bob想要知道alice密钥位在整个密钥的位置没有丝毫的帮助。情况更糟的是,bob的这种欺骗行为将会导致alice和bob密钥的不匹配,这种情况很快就会被alice发现。
第三,bob进行联合测量攻击的概率很小。原因在于:如文献[jakobi,m.;simon,c.;gisin,n.;bancal,j.d.;branciard,c.;walenta,n.;zbinden,h.practicalprivatedatabasequeriesbasedonaquantum-key-distributionprotocol.phys.rev.a.2011,83,022301]中所述,当每六位量子位形成一位最终密钥时,如果对这六位量子位进行联合测量,成功的概率的上界为0.05,那就意味着失败的概率的下届为0.95。而失败的测量必定导致错误的测量结果。也就是说,bob的上述行为将会以非常高的概率(大于95%)导致alice的最终密钥与bob的最终密钥不匹配,这不是bob的初衷,也必定很快被alice发现。正如文献[jakobi,m.;simon,c.;gisin,n.;bancal,j.d.;branciard,c.;walenta,n.;zbinden,h.practicalprivatedatabasequeriesbasedonaquantum-key-distributionprotocol.phys.rev.a.2011,83,022301]中所述,联合usd测量的成功概率将会随着后处理参数k的增加而急剧下降,就意味着随着后处理参数k的增加,联合usd测量的失败概率将会急剧上升。即使当k=1时,联合usd测量的失败概率也达到了71%,因此,bob不太可能进行这样的攻击。
2.2数据库安全(alice的欺骗)
如果alice不可信,那么她可能会和eve合作,他们俩甚至可能是同一个人。在这种情况下,alice就可能会提供不可信的设备,并给bob制备纯态量子态。然而,如果alice给bob制备纯态量子态,步骤1和2的chsh不等式违背将会失败,bob就会发现alice的行为,从而导致协议的终止。
第二,可以抵御联合测量攻击。在步骤4,bob随机选择一些位置要求alice公布她选取的测量基、她得到的测量结果以及她进行的酉操作;bob用alice公布的基测量这些位置的a和b粒子;根据alice公布的酉操作和测量结果,bob可以推断出粒子a的测量结果,通过比较推断出的结果和bob对粒子a的测量结果,bob可以知道alice是否诚实执行了步骤3,也就是说,alice不能进行以下不诚实操作:(1)将她的粒子保存在一个量子寄存器,直到bob在步骤4公布选取的位置,(2)只测量公布的这些位置的粒子,并且公布测量基和测量结果,这样alice就可以不被bob发现,(3)然后再对剩余的粒子中构成最终密钥的一位的所有量子位进行联合测量从而直接推断出最终密钥的该位;也就是说本协议可以抵御目前针对数据库安全的最强有力的攻击——联合测量攻击。
第三,alice不能在步骤3通过增大η的值来进行攻击。步骤4的窃听检查将会帮助bob检查alice是否增加了η的值。假设alice将η的值增大为η′,也就是说,alice可能用σz基测量子集mr中的一些粒子,但是却公布σx基和随机公布态|+>、|->中的一种。这样的情况下,只有一种情形不会让bob发现,就是alice公布的结果和bob的测量结果相同(概率是1/2)。设mr中epr对的个数为m,bob的最终密钥的位数为n,那么alice通过将η增大为η′可以获得的额外的位数为nη′k-nηk。alice的行为会被bob发现的概率为:
,这里ω是步骤4中bob窃听检测的粒子比例。
在文献[wei,c.-y.;wang,t.-y;gao,f.practicalquantumprivatequerywithbetterperformanceinresistingjoint-measurementattack.physicalreviewa.2016,93,042318]中,如果alice用σz基测量一个量子位却公布ctrl时,有两种情形不会被bob发现:(1)bob发送给alice的量子处于σz基{|0>,|1>};(2)bob发送给alice的量子处于σx基,而且bob得到与原始态相同的测量结果。那么bob发现不了alice的上述欺骗行为的概率为p′=3/4。因此,该文献所述协议中,alice的欺骗行为(将η的值增大为η′)会被bob发现的概率为:
这里,m是步骤3后量子的总数量,ω是步骤4中bob进行窃听检测的量子比例。通过比较发现,当取相同的参数m,η,η′和ω时,pour总是大于p[w]。这意味着我们的协议有比文献[wei,c.-y.;wang,t.-y;gao,f.practicalquantumprivatequerywithbetterperformanceinresistingjoint-measurementattack.physicalreviewa.2016,93,042318]更好的数据库安全性。
2.3第三方攻击
协议利用纠缠态作为量子载体。如果纠缠态受eve控制或由eve提供,那么eve就极有可能会为他们提供不完美的纠缠态,甚至是非纠缠态。在我们的协议中,在bob制备epr对之后,bob通过计算是否测量结果违背chsh不等式,从而可以判断出alice和bob是否可以共享事先约定的纠缠态。根据纠缠的单配性,即使eve制备了不完美的态,他也无法获得数据库的秘密信息。因此如果eve提供不完美的纠缠态,eve会被bob发现,即使不被发现,eve也无法得到数据库的秘密信息。然而,目前的大多数量子隐私查询协议都是基于单光子,而且没有考虑由于设备不可信任造成的第三方侧信道攻击,因此,如果eve控制或提供制备源或测量设备,数据库的秘密信息可能会全部泄露给eve。
本发明基于设备无关密钥分发思想和epr对提出了一个新颖的量子隐私查询协议。与已有协议相比,具有如下特点:
分析了在与量子力学原理相比,更弱的约束条件下(不超光速传输),第三方外部侧信道攻击对协议的威胁。
与已有的量子隐私查询协议相比,本发明在用于分发密钥的量子态制备源或测量设备不可信任的条件下仍然是安全的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。