一种基于GHZ态的可认证半量子秘密共享方法及系统与流程

本发明属于信息安全技术领域，尤其涉及一种基于ghz态的可认证半量子秘密共享方法及系统。

背景技术：

目前，最接近的现有技术：

现代信息社会中，基于复杂数学计算的经典密码体系为各种应用场景提供了安全保障。随着量子技术的快速发展，量子计算机的出现将会使现有的加密体系变得不堪一击。量子密码学基于量子力学的不确定性原理、量子测不准原理等物理特性，构建了无条件安全的密码体系。1984年，bennett和brassard提出了第一个量子密钥分发协议，随后出现了量子秘密共享(quantumsecretsharing,qss)、量子隐形传态(quantumteleportation,qt)、量子安全直接通信(quantumsecuredirectcommunication,qsdc)等应用协议。

2003年，cao等人提出了第一个基于量子隐形传态原理的量子秘密共享协议：alice将消息编码在一个单粒子中，其中|α|²+|β|²＝1。alice与bob共享一对二粒子纠缠态其中|α|²+|β|²+|γ|²+|λ|²＝1。alice将粒子与粒子执行联合测量，并将测量结果告知bob，bob对粒子执行对应的酉操作就能恢复出粒子的原始状态。从而完成消息的秘密共享。由于三粒子ghz态系统既可以完成三方秘密共享，又可以搭建稳定的量子信道，且在实验中较为容易制备，因此ghz态粒子是理想的(3,3)秘密共享协议的粒子载体。然而，上述协议都要求参与方拥有成本昂贵的全部量子操纵能力，这无疑不利于量子通信网络的发展。2007年，boyer等人提出了半量子思想：普通用户只需完成投影测量(z基测量)和经典操作，量子态制备分发等复杂操作交由作为服务方的量子厂商完成。因此半量子技术具有极强的现实应用价值。

综上所述，现有技术存在的问题是：

协议的粒子使用效率较低，导致协议的实用价值不足。

协议的抗信道干扰能力较弱。容易导致量子资源在协议使用过程中退化，甚至塌缩。

现有的量子秘密共享协议，大都需要协议参与人具有全部的量子操作能力，但在现实的通信网络中普通用户无法承受昂贵的成本。

现有的量子秘密共享协议大都使用六粒子簇态作为量子信道，六粒子态在制备和保存上都存在严重的技术缺陷。

现有的量子秘密共享协议安全系数不高，不能抵御截获重发攻击等攻击策略，使得协议。

现有的技术方案都没有考虑身份认证问题。

解决上述技术问题的难度：

如何使用现有技术架构，实现高效实用的量子秘密共享协议。如何抵御量子信道中存在的噪音干扰。

三粒子以上的量子态制备与分发，贝尔测量等较为复杂的操作必不可少。如何想办法让普通用户避开这些过程产生的成本开销问题。如何在只知道量子本身的测量塌缩的联系和酉操作能力下，在量子通信网络中完成秘密共享协议。

如何解决粒子的制备和保存问题。

如何提高协议的安全系数。

如何在协议过程中不增加成本的情况下实现身份认证。

解决上述技术问题的意义：

本famine结合半量子思想，利用量子密钥分发技术提出了一种基于ghz态的可认证半量子秘密共享协议。alice作为量子方完成消息编码和量子态制备与分发，bob与charlie作为普通用户只需合作完成简单的操作，就能完成双向身份认证且共享alice的秘密消息。本发明对半量子思想的详进行了定义，以及分析了ghz态粒子的物理特性。然后给出详细的秘密共享步骤，通过协议分析和效率计算，验证了本阿发明协议具有绝对安全性和较高效率值。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种基于ghz态的可认证半量子秘密共享方法及系统。

本发明是这样实现的，一种基于ghz态的可认证半量子秘密共享方法，包括：

强量子方将n比特的消息m秘密共享给第一半量子方和第二半量子方，当第一半量子方和第二半量子方都知道其余两方的编码结果后，得到秘密消息m。

利用绝对安全的量子密钥分发技术，强量子方与第一半量子方共享密钥keyab1和keyab2；强量子方与第二半量子方共享密钥keyac1和keyac2；第二半量子方与第一半量子方共享密钥keybc；其中，密钥keyab1和keyac1用于重排粒子序列的顺序，密钥keyab2和keyac2用于加密和解密重排后的粒子序列，密钥keybc用于加密两个半量子方传递的消息。

进一步，所述基于ghz态的可认证半量子秘密共享方法具体包括：

步骤一，根据消息m，强量子方制备n比特ghz态粒子；当mi＝0时，强量子方制备|ψ⁺>abc，当mi＝1时，强量子方制备|ψ^->abc；强量子方将粒子序列中abc三个粒子分别提取出来，形成粒子序列sa，sb和sc；

强量子方制备2n比特的窃听检测粒子序列同样抽取粒子形成序列s1和s2；强量子方保留序列sa和s1，将2n比特的s1序列分成相同长度的两部分，记为s1b和s1c；将2n比特的s2序列分成相同长度的两部分，记为s2b和s2c，用于发送给第一半量子方和第二半量子方两个过程的窃听检测。

步骤二，根据keyab1，强量子方将sb和s2b两个粒子序列重排顺序；完成重排后强量子方得到序列sbr，接着强量子方用密钥keyab2加密序列sr得到加密序列sbre＝ekeyab2(sbr)，并将序列sbre发给第一半量子方；按照相同的操作，强量子方根据密钥keyac1和keyac2对序列sc和s2c执行重排和加密操作，并将得到的序列scre发给第二半量子方。

步骤三，第一半量子方收到序列sbre后，使用密钥keyab2完成解密，并使用密钥keyab1恢复出粒子序列sb和s2b的正确顺序；对序列s2b，第一半量子方根据密钥keyab2的值选择反射或z基测量操作。

步骤四，强量子方使用密钥keyab1对第一半量子方发回的加密序列进行解密，根据密钥keyab2，强量子方区分第一半量子方对序列s2bi执行的是测量还是反射操作，接着强量子方完成对第一半量子方和第二半量子方窃听检测。

步骤五，当强量子方与第一半量子方和第二半量子方两个通信过程的窃听检测都通过后，强量子方对序列sa完成z基测量并公布得到测量结果ra，同时通知第一半量子方和第二半量子方对序列sb和sc也完成相同的测量，测量结果记为rb和rc；第一半量子方和第二半量子方使用密钥keybc加密各自的测量结果，并发给对方；第一半量子方和第二半量子方分别执行得到强量子方的秘密消息m；从而完成三方秘密共享。

进一步，步骤一中，强量子方制备2n比特的窃听检测粒子序列同样抽取粒子形成序列s1和s2；强量子方保留序列sa和s1，将2n比特的s1序列分成相同长度的两部分，记为s1b和s1c；将2n比特的s2序列分成相同长度的两部分，记为s2b和s2c，用于发送给第一半量子方和第二半量子方两个过程的窃听检测。

进一步，步骤二根据keyab1，强量子方将sb和s2b两个粒子序列重排顺序中，具体规则包括：当keyab1i＝0时，sbi放在s2bi的前面，当keyab1i＝1时，sbi放在s2bi的后面；

完成重排后强量子方得到序列sbr，接着强量子方用密钥keyab2加密序列sr得到加密序列并将序列sbre发给第一半量子方；按照相同的操作，强量子方根据密钥keyac1和keyac2对序列sc和s2c执行重排和加密操作，并将得到的序列scre发给第二半量子方。

进一步，步骤三对序列s2b，第一半量子方根据密钥keyab2的值选择反射或z基测量操作中，具体包括：当keyab2i＝0时，第一半量子方使用z基(|0>，|1>)对序列s2b执行测量；

当keyab2i＝1时，第一半量子方将序列s2b直接反射回强量子方；第一半量子方使用密钥keyab1对测量结果序列加密，并发回强量子方；

第一半量子方收到序列scre后，对序列scre根据密钥keyac1和keyac2执行和第一半量子方相同操作；并使用keyac1对测量结果加密，同样发回给强量子方。

进一步，步骤四强量子方完成窃听检测的方法包括：

(1)若第一半量子方对s2bi执行了反射操作，强量子方将序列s1bi与s2bi执行bell联合测量，如果得到的bell态与初始制备的状态不同且错误率高于某一约定的阈值，则强量子方与第一半量子方的通信过程存在窃听检测，协议中止并重启；

(2)若第一半量子方对s2bi执行了z基测量操作，强量子方对s1bi使用相同的测量基测量，并比对测量结果是否满足初始bell态的测量结果关系，如果错误率高于约定的阈值，协议中止并重启；同理，根据密钥keyac1，强量子方完成对第二半量子方通信过程的窃听检测步骤。

本发明的另一目的在于提供一种实现所述基于ghz态的可认证半量子秘密共享方法的信息数据处理终端。

本发明的另一目的在于提供9一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行所述的基于ghz态的可认证半量子秘密共享方法。

本发明的另一目的在于提供一种基于ghz态的可认证半量子秘密共享方法的基于ghz态的可认证半量子秘密共享系统。

综上所述，本发明的优点及积极效果为：

本发明量子通信网络可以实现各种安全高效的应用，基于量子密钥分发的绝对安全特性，以及三粒子ghz态的稳定多用性质，本发明结合了半量子思想提出了一种高效实用的(3，3)量子秘密共享协议。协议在共享秘密的过程中同时完成了对用户身份的双向认证，安全性分析表明本协议能抵御内部攻击和外部攻击等不同攻击策略，且用户间共享的密钥能多次使用。效率分析表明本协议具有较好的粒子使用效率，有助于节约量子资源并高效的完成三方秘密共享。

本发明在现有技术条件下能够实现较好效率的量子秘密共享协议。

通过使用ghz态纠缠系统，本发明可以抵御量子信道中存在的噪音干扰。

其中，抗噪指数定义为：其中，m1指全部承载消息的量子比特总数，m2指信道在单位时间内通过的全部粒子总数。消息共享效率指粒子的使用效率，我们采用公式计算协议的粒子使用效率值。qc代表协议传输的消息长度比特值，qt代表协议中制备使用的全部粒子总数。

附图说明

图1是本发明实施例提供的基于ghz态的可认证半量子秘密共享方法流程图。

图2是本发明实施例提供的协议参与人各自功能模块图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

协议的粒子使用效率较低，导致协议的实用价值不足。

协议的抗信道干扰能力较弱。容易导致量子资源在协议使用过程中退化，甚至塌缩。现有的量子秘密共享协议，大都需要协议参与人具有全部的量子操作能力，但在现实的通信网络中普通用户无法承受昂贵的成本。现有的量子秘密共享协议大都使用六粒子簇态作为量子信道，六粒子态在制备和保存上都存在严重的技术缺陷。现有的量子秘密共享协议安全系数不高，不能抵御截获重发攻击等攻击策略，使得协议。现有的技术方案都没有考虑身份认证问题。

针对现有技术存在的问题，本发明提供了一种基于ghz态的可认证半量子秘密共享方法。在本发明中，半量子定义包括：

在本发明中，强量子方包括：协议参与者具有全部量子能力，诸如量子态制备，分发，bell测量等复杂操作。

半量子方包括：协议参与者只具备(1)反射，将所有粒子不做任何操作，直接反射回去；(2)测量，使用z基(|0>,|1>)对粒子进行投影测量；(3)经典的操作能力，如经典加密解密等。根据boyer等人的定义[10]，只要协议中出现半量子方，那么该协议称之为半量子协议。

在本发明中，ghz态使用的两种ghz态粒子记作|ψ⁺>abc和|ψ^->abc。强量子方lice想要共享消息0时，她制备的态为|ψ⁺>abc：

alice，bob，charlie分别拥有粒子a,b,c，他们对各自手中的粒子执行z基测量，得到的测量结果记为mra，mrb，mrc。将测量结果按照|0>态编码成比特0，|1>态编码成比特1的规则，得到的编码结果记为ra，rb，rc，则有恒成立。即三方共享了比特0。alice想要共享消息1时，她制备的态为|ψ^->abc：

同理，有恒成立。即三方共享了比特1。

在本发明中，量子逻辑操作包括：四种常见的量子逻辑操作(泡利操作符)表示为：

σ00＝i＝|0><0|+|1><1|

σ01＝σx＝|0><1|+|1><0|

σ10＝iσy＝|0><1|-|1><0|

σ11＝σz＝|0><0|-|1><1|

以bell态|φ⁺>ab为例，经过泡利操作符作用后，量子态变化情况如表1所示。

表1puali操作与bell态粒子的测量结果

下面结合附图对本发明作详细的描述。

本发明实施例提供的基于ghz态的可认证半量子秘密共享方法中，强量子方lice想要将n比特的消息m秘密共享给第一半量子方ob和charlie，当bob和charlie都知道其余两方的编码结果后，才能得到秘密消息m。利用绝对安全的量子密钥分发技术，alice与bob共享密钥keyab1和keyab2；alice与charlie共享密钥keyac1和keyac2；charlie与bob共享密钥keybc。其中，密钥keyab1和keyac1用于重排粒子序列的顺序，密钥keyab2和keyac2用于加密(解密)重排后的粒子序列，密钥keybc用于加密两个半量子方传递的消息。需要指出的是，加密解密算法都是经典的算法，否则bob和charlie将不满足半量子方定义。

如图1所述示，本发明实施例提供的基于ghz态的可认证半量子秘密共享方法具体包括：

步骤1：根据消息m，alice制备n比特ghz态粒子。当mi＝0时，alice制备|ψ⁺>abc，当mi＝1时，alice制备|ψ^->abc。alice将粒子序列中abc三个粒子分别提取出来，形成粒子序列sa，sb和sc。为了保证粒子序列传输过程的安全，alice制备2n比特的窃听检测粒子序列同样抽取粒子形成序列s1和s2。alice保留序列sa和s1，将2n比特的s1序列分成相同长度的两部分，记为s1b和s1c；将2n比特的s2序列分成相同长度的两部分，记为s2b和s2c，用于发送给bob和charlie两个过程的窃听检测。

步骤2：根据keyab1，alice将sb和s2b两个粒子序列重排顺序。具体规则是当keyab1i＝0时，sbi放在s2bi的前面，当keyab1i＝1时，sbi放在s2bi的后面。完成重排后alice得到序列sbr，接着她用密钥keyab2加密序列sr得到加密序列并将序列sbre发给bob。按照相同的操作，alice根据密钥keyac1和keyac2对序列sc和s2c执行重排和加密操作，并将得到的序列scre发给charlie。

步骤3：bob收到序列sbre后，使用密钥keyab2完成解密，并使用密钥keyab1恢复出粒子序列sb和s2b的正确顺序。对序列s2b，bob根据密钥keyab2的值选择反射或z基测量操作。具体描述为：当keyab2i＝0时，bob使用z基(|0，|1>)对序列s2b执行测量。当keyab2i＝1时，bob将序列s2b直接反射回alice。bob使用密钥keyab1对测量结果序列加密，并发回alice。类似的，charlie收到序列scre后，对序列scre根据密钥keyac1和keyac2执行和bob相同操作。并使用keyac1对测量结果加密，同样发回给alice。

步骤4：alice使用密钥keyab1对bob发回的加密序列进行解密，根据密钥keyab2，alice可以区分bob对序列s2bi执行的是测量还是反射操作，接着alice完成窃听检测：(1)若bob对s2bi执行了反射操作，alice将序列s1bi与s2bi执行bell联合测量，如果得到的bell态与初始制备的状态不同且错误率高于某一约定的阈值，则说明alice与bob的通信过程存在窃听检测，协议中止并重启；(2)若bob对s2bi执行了z基测量操作，alice对s1bi使用相同的测量基测量，并比对测量结果是否满足初始bell态的测量结果关系，如果错误率高于约定的阈值，协议中止并重启。同理，根据密钥keyac1，alice完成对charlie通信过程的窃听检测步骤。

步骤5：当alice与bob、charlie两个通信过程的窃听检测都通过后，alice对序列sa完成z基测量并公布得到测量结果ra，同时通知bob和charlie对序列sb和sc也完成相同的测量，测量结果记为rb和rc。bob与charlie使用密钥keybc加密各自的测量结果，并发给对方。bob与charlie分别执行得到alice的秘密消息m。从而完成三方秘密共享。

在本发明实施例中，图2提供一种协议参与人各自功能模块图。

下面结合协议分析对本发明作进一步描述。

1截获重发攻击：

在外部攻击策略中，截获重发攻击策略具有较大的威胁。以alice和bob的通信过程为例：假设窃听者eve截取了alice发给bob的序列sbre，eve试图对序列sbre进行测量，并制备用于窃取消息m的粒子序列。然而，本协议中alice与bob通过量子密钥分发技术共享了绝对安全的两对密钥keyab1和keyab2，eve在未知两对密钥的前提下，无法对序列sbre进行解密并恢复粒子序列组合的正确顺序，从而无法获取有用的信息。若eve侥幸逃脱了窃听检测，由于不知道密钥keyab2，eve无法得知bob对序列s2b执行了何种操作，当eve选择了错误的操作后，alice在窃听检测环节将会得到与初始制备态不同的bell态粒子，从而发现窃听者的存在，协议随即中止。如果eve截获bob与charlie间发送的粒子序列，试图获得秘密消息m，由于密钥keybc只有bob和charlie知道，eve无法正确解密粒子序列，eve的随机操作将会使得alice，bob，charlie三者测量结果失去关联性，eve无法得出与m相关的信息。

在内部攻击策略中，如果bob或者charlie不诚实，选择截获alice发送给另外一个人的粒子序列，从而达到单独获取alice的秘密信息。假设bob不诚实，由于bob不知道alice与charlie间共享的密钥keyac1和keyac2，他同样不能解密序列并恢复出粒子序列的正确顺序。bob的随机操作会导致粒子的状态发生改变，并导致错误的发生。alice和charlie都会发现bob的不诚实行为，从而中止协议。

2特洛伊木马攻击：

分析协议步骤可知，协议存在粒子发送和发回的环路过程，因此外部攻击者或不诚实的参与人可以使用特洛伊木马攻击，以期获得与消息m相关的信息。根据文献[10,11]的研究结果，alice，bob和charlie需装配较为便宜的波长滤波器(wavelengthfilter)和光子数分流器(photonnumbersplitter，pns)。如果参与人发现接收的粒子波长不在约定的范围内，协议随即中止并重新分发共享密钥。

3密钥的分析：

整个协议过程里，由于协议参与人alice，bob和charlie都没有公布任何与密钥相关的信息，且攻击者无法获取协议参与人的量子密钥，因此本协议中使用的密钥均可以重复使用。当参与人发现存在特洛伊木马攻击时，由于特洛伊木马攻击修改了粒子的波长信息，量子信道与经典信道都需要重新认证，密钥信息可能泄露。因此参与人需要重新分配量子密钥。

4效率分析：

在量子信息领域，我们采用公式计算协议的粒子使用效率值。qc代表协议传输的消息长度比特值，qt代表协议中制备使用的全部粒子总数。下面以现有两个量子秘密共享协议为例，对比分析本协议的效率值。首先假设消息m的长度均为n比特。在文献[12]xiec,lil,qiud.anovelsemi-quantumsecretsharingschemeofspecificbits[j].int.j.theor.phys.2015,54(10):3819–3824中，消息传输过程中alice需要制备n比特的三粒子ghz态为信息载体，因此消息传输需要3n比特的粒子；窃听检测环节里，alice和bob，charlie存在三种不同的操作，窃听检测部分使用的粒子总数为于是qt为5.25n比特，在文献[13]yinah,fufb.eavesdroppingonsemi-quantumsecretsharingschemeofspecificbits[j].int.j.theor.phys.2016,55(9):4027–4035中，消息传输过程同样需要3n比特的粒子，窃听检测环节需要的粒子数目为于是qt为6.25n比特，在本协议中，消息传输过程需要的粒子载体为3n比特，窃听检测环节需要的粒子数目为2n(n比特的bell态)，因此qt为5n比特，表1反映了本协议与上述两个协议的详细对比。

表2协议的详细对比

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。