一种基于拉格朗日酉算子的量子门限秘密共享方法及系统与流程

本发明属于量子通信领域，特别涉及一种基于拉格朗日酉算子的量子门限秘密共享方法及系统。

背景技术：

经典秘密共享作为保护隐秘信息的工具，当部分份额暴露、丢失或损毁的情况下不会影响共享隐秘信息的重构，可解决部分参与者缺席或不诚实，以及部分份额遭受攻击的问题。经典门限秘密共享的基本思想：分发者拥有一个共享的秘密，他将该秘密分割成n个份额，并将这n个份额分发给n个参与者，从n个份额中收集任意t个或大于t个可以重构出共享的秘密。

量子秘密共享是经典秘密共享在量子密码学领域中的拓展，两者之间的差异在于量子秘密共享的安全性是基于量子物理学的基本原理，它使用量子态的纠缠性、不可克隆、波粒二象性、测量坍塌性等固有特性对量子信道中存在的窃听攻击进行检测。量子(t,n)门限秘密共享是量子秘密共享中典型的一类，一般使用不同级别的权限来控制参与者的访问权限。每个参与者都拥有一个份额，只有参与者的授权子集可以重构秘密，非授权子集不能获得关于秘密的任何信息。每个授权子集可能具有不同数量的参与者，并且一个参与者可以属于几个授权子集。对于量子(t,n)门限秘密共享，每个授权子集中参与者的数量为≥t。

在现有的量子(t,n)门限秘密共享中，秘密和它的份额都是经典信息，使用特别的编码方法将份额转换成量子态并经由量子信道传送给接收者。为了提高兼容性和实用性，量子态(t,n)门限秘密共享应运而生，它的秘密信息和份额都是量子态。在现实场景的量子态(t,n)门限秘密共享中，一些参与者也有可能不诚实，他们提供虚假的份额给重构者。为了阻止参与者欺骗行为的发生，一些研究者提出了可验证的量子态(t,n)门限秘密共享方法以验证份额的真实性，验证参与者取出虚假份额来重构秘密的不诚实行为。

技术实现要素：

为了解决当前可验证的量子态(t,n)门限秘密共享面临的粒子制备和测量过程消耗资源较高和验证过程的效率较低的问题本发明提出一种基于拉格朗日酉算子的量子门限秘密共享方法及系统，所述方法包括：

S1、分发者为n个参与者的集合中的每个参与者制备一个影子密钥和一个旋转密钥；

S2、分发者委派授权子集中的一个受信任的参与者作为重构者，该重构者从授权子集中挑选t个包括自己在内的参与者作为授权子集；

S3、分发者生成一个秘密粒子，并对秘密粒子进行拉格朗日酉操作获得信息粒子；

S4、分发者以诱骗粒子的传输模式将信息粒子传送给重构者；

S5、分发者验证该传送过程是否存在偷窃行为，若存在则返回步骤S4重新开始新的协议；否则进行步骤S6；

S6、若传输过程不存在偷窃行为，授权子集中的每个参与者依次对信息粒子进行操作，再发给重构者进行混合操作得到秘密粒子。

进一步的，制备影子密钥的过程包括：

S1、构建一个度为t-1的多项式f(x)，表示为f(x)＝a0+a1x+a2x²+…+at-1x^t-1；

S2、随机挑选n个互不相同且非零的值{xi|i∈{1,2,...,n}}，并公开这些值；

S3、第i个参与者的影子密钥表示{wki＝f(xi)∈Zd|i∈{1,2,...,n}}；

其中，a0为多项式的常数项，(a1,a2,...,at-1)为多项式的系数，其取值范围为(a0,a1,a2,...,at-1)∈Zd，Zd为取值范围在d区间的整数域，d是取值范围在n≤d≤2n的素数；参与者拥有主密钥mk，mk的值为a0。

进一步的，制备旋转密钥的过程包括：随机生成n个不同的旋转密钥，这n个秘钥表示为{δi∈[0,2π]|i＝1,2,...,n}，每个旋转密钥δi由授权子集中的重构者与参与者之间共享。

进一步的，所述步骤S3包括：

S31、分发者生成一个秘密粒子表示为

S32、分发者对执行拉格朗日酉操作，获得信息粒子表示为：

其中，M(θA)为拉格朗日酉算子，表示为a0是分发者的主密钥，d是影子密钥生成算法中使用的素数；i为虚数单位；α0、β0为两个复数，且满足|α0|²+|β0|²＝1。

进一步的，所述分发者以诱骗粒子的传输模式将信息粒子传送给重构者包括：

S41、分发者从四个粒子{|0>,|1>,|+>,|->}中随机选择l个粒子制备成诱骗粒子序列，其中|0>、|1>为量子比特粒子，|+>、|->为量子比特经过阿达马门生成的粒子，表示为：

S42、分发者将信息粒子随机插入到诱骗粒子序列中，获得粒子序列；

S43、分发者保留信息粒子插入的位置信息，并将粒子序列通过安全的量子信道传送给重构者。

进一步的，步骤S43具体包括：

S431、分发者发出的序列为ΨA，授权子集的t个参与者记作{B1,...,Br,...,Bt}，其中Br表示重构者；

S432、重构者将该序列发给授权子集中的第一个参与者B1，重构者发出的序列记作Ψr；

S433、第一个参与者B1接收重构者发出的序列Ψr，并将该序列转发给授权子集中第二个参与者B2，第一个参与者B1发出的序列记作Ψ1；

S434、按照序列{B1,...,Br-1,Br+1,...,Bt}的顺序，当前的参与者将接收到的粒子序列转发给下一个参与者；

S435、当序列{B1,...,Br-1,Br+1,...,Bt}的最后一个参与者Bt发出的序列记作Ψt，参与者Bt将序列Ψt发送给重构者，完成传输。

进一步的，所述分发者验证该传送过程是否存在偷窃行为包括：

当分发者确认重构者接收到粒子序列ΨA时，分发者将序列ΨA中q个诱骗粒子的位置及每个位置对应的测量基告知重构者；

重构者找到q个诱骗粒子的位置，利用该位置的测量基对粒子进行测量，并将测量结果发送给分发者；

分发者比较测量结果和诱骗粒子的初始态，计算出错误率；若错误率高于设置的阈值，则判断存在偷窃者，否则不存在偷窃者，分发者将剩下l-q个诱骗粒子的位置及每个位置对应的测量基发给重构者；

其中，q＜l，l为诱骗粒子的总个数。

本发明提供一种基于拉格朗日酉算子的量子门限秘密共享系统，所述系统包括影子密钥生成器、旋转密钥生成器、秘密粒子生成器、拉格朗日酉操作模块、诱骗粒子生成器、分享环境安全测试模块以及旋转酉操作模块，其中：

所述影子密钥生成器用于生成影子密钥；

所述旋转密钥生成器用于生成旋转密钥；

所述秘密粒子生成器用于生成秘密粒子；

所述拉格朗日酉操作模块用于对粒子进行酉操作；

所述诱骗粒子生成器用于生成诱骗粒子序列；

所述分享环境安全测试模块用于判断当前传输环境是否安全，若安全则将发送秘密粒子，否则终止发送并重新开始协议；

所述旋转酉操作模块用于进行旋转酉操作；

所述混合操作模块用于进行混合操作。

本发明的有益效果在于：

1.本方案准备了一个秘密粒子，在其上执行Lagrange酉算子，避免了多粒子制备过程中的资源消耗；

2.当n个参与者中的t人合作完成酉变换之后，重构者对接收到的消息粒子执行混合旋转酉算子，既验证消息粒子的合法性，又重构出原始的秘密粒子，提高了验证效率。

附图说明

图1为本发明一种基于拉格朗日酉算子的量子门限秘密共享方法流程图；

图2为本发明信息粒子的传输路线；

图3为秘密粒子的分享和重构阶段量子线路图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种基于拉格朗日酉算子的量子门限秘密共享方法，具体包括以下步骤：

S1、分发者为n个参与者的集合中的每个参与者制备一个影子密钥和一个旋转密钥；

S2、分发者委派授权子集中的一个受信任的参与者作为重构者，该重构者从授权子集中挑选t个包括自己在内的参与者作为授权子集；

S3、分发者生成一个秘密粒子，并对秘密粒子进行拉格朗日酉操作获得信息粒子；

S4、分发者以诱骗粒子的传输模式将信息粒子传送给重构者；

S5、分发者验证该传送过程是否存在偷窃行为，若存在则返回步骤S4重新开始新的协议；否则进行步骤S6；

S6、若传输过程不存在偷窃行为，授权子集中的每个参与者依次对信息粒子进行操作，再发给重构者进行混合操作得到秘密粒子。

在本实施例中，如图1，可以划分为初始阶段、秘密粒子分享阶段和秘密粒子的重构阶段，分发者和重构者以及参与者之间都能建立安全的量子信道和安全的经典信道，在安全的量子信道上传输量子态，在安全的经典信道上传输反馈与份额信息；具体包括以下步骤：

一、初始阶段

在初始阶段，分发者为每个参与者生成一个影子秘钥，分发给相应的参与者Bi(i∈{1,2,...,n})，分发者拥有主密钥mk＝a0，其他参与者拥有一个私有秘钥wki；制备影子秘钥的过程包括：

S1、构建一个度为t-1的多项式f(x)，表示为f(x)＝a0+a1x+a2x²+...+at-1x^t-1；

S2、随机挑选n个互不相同且非零的值{xi|i∈{1,2,...,n}}，并在参与者的集合中公开这些值；

S3、第i个参与者的影子密钥表示{wki＝f(xi)∈Zd|i∈{1,2,...,n}}；

其中，a0为多项式的常数项，a1,a2,...,at-1为多项式的系数，其取值范围为a0,a1,a2,...,at-1∈Zd，Zd为取值范围在d区间的整数域，d是取值范围在n≤d≤2n的素数。

分发者为每个参与者生成一个旋转密钥δi，该旋转秘钥由参与者Bi(i∈{1,2,...,n})之间分享，旋转密钥的制备过程包括：随机生成n个不同的旋转密钥，这n个秘钥表示为{δi∈[0,2π]|i＝1,2,...,n}，每个旋转密钥δi由授权子集中的重构者与参与者之间共享。

二、秘密粒子分享阶段

在本实施阶段，分发者首先生成一个秘密粒子然后对该粒子执行拉格朗日酉操作获得信息粒子具体包括：

S31、分发者生成一个秘密粒子表示为

S32、分发者对执行拉格朗日酉操作，获得信息粒子表示为：

其中，M(θA)为拉格朗日酉算子，表示为a0是分发者的主密钥，d是影子密钥生成算法中使用的素数；i为虚数单位；α0、β0为两个复数，且满足|α0|²+|β0|²＝1。

为了防止偷窃攻击，分发者以诱骗粒子的传输模式将信息粒子传送给重构者，该过程包括：

S41、分发者从四个粒子{|0>,|1>,|+>,|->}中随机选择l个粒子制备成诱骗粒子序列，其中|0>、|1>为量子比特粒子，|+>、|->为量子比特经过阿达马门生成的粒子，表示为：

S42、分发者将信息粒子随机插入到诱骗粒子序列中，获得粒子序列；

S43、分发者保留信息粒子插入的位置信息，并将粒子序列通过安全的量子信道传送给重构者，具体的传输线路如图2，包括以下传输过程：

S431、分发者发出的序列为ΨA，授权子集的t个参与者记作{B1,...,Br,...,Bt}，其中Br表示重构者；

S432、重构者将该序列发给授权子集中的第一个参与者B1，重构者发出的序列记作Ψr；

S433、第一个参与者B1接收重构者发出的序列Ψr，并将该序列转发给授权子集中第二个参与者B2，第一个参与者B1发出的序列记作Ψ1；

S434、按照序列{B1,...,Br-1,Br+1,...,Bt}的顺序，当前的参与者将接收到的粒子序列转发给下一个参与者；

S435、当序列{B1,...,Br-1,Br+1,...,Bt}的最后一个参与者Bt发出的序列记作Ψt，参与者Bt将序列Ψt发送给重构者，完成传输。

完成传输后，分发者需要确认传输过程中是否存在偷窃行为，即：

当分发者确认重构者接收到粒子序列ΨA时，分发者将序列ΨA中q个诱骗粒子的位置及每个位置对应的测量基告知重构者；

重构者找到q个诱骗粒子的位置，利用该位置的测量基对粒子进行测量，并将测量结果发送给分发者；重构者找到诱骗粒子的位置，并利用该位置对应的测量基进行测量，一般情况下测量的结果是该粒子本来的状态，当出现偷窃行为后粒子的状态可能变化，例如：当某个诱骗粒子初始状态为0，该粒子需要利用Z基进行测量，当偷窃者利用错误的测量机(例如X基)进行测量时，该粒子的状态有概率为1，当重构者再利用正确的测量机进行测量时，测量出现的结果也为1；

分发者比较测量结果和诱骗粒子的初始态，计算出错误率；若错误率高于设置的阈值，则判断存在偷窃者，否则不存在偷窃者，分发者将剩下l-q个诱骗粒子的位置及每个位置对应的测量基发给重构者，重构者将粒子序列ΨA中的诱骗粒子移除，获得信息粒子；分发者将接收到的诱骗粒子的测量结果与诱骗粒子的初始状态相比，计算出错误率，由于信道噪声也会导致测量结果与初始状态不一致，所以设定一个错误率的阈值来判断传输过程是否被窃听；

其中，q＜l，l为诱骗粒子的总个数。

三、秘密粒子重构阶段

在量子秘密共享方案中，只有授权子集能重构出原始的秘密粒子，且授权子集的成员个数大于等于t且小于等于n，如图3，重构过程具体包括：

S61、若不存在偷窃行为，重构者移除诱骗粒子后得到信息粒子，重构者取出属于自己的影子密钥和旋转密钥，对信息粒子进行拉格朗日酉操作和旋转酉操作，表示为：

S62、重构者将得到的粒子插入诱骗粒子中获得粒子序列ΨA，并将该序列传给授权子集中的参与者B1；

S63、参与者B1将接收到的粒子序列ΨA，对信息粒子先后执行拉格朗日酉操作和旋转酉操作获得

S64、按照序列{B1,...,Br-1,Br+1,...,Bt}的顺序，当前的参与者Bi将得到的粒子插入诱骗粒子中获得粒子序列Ψi，将粒子序列Ψi传送给参与者Bi+1；

S65、参与者Bi+1接收到粒子序列Ψi，参与者Bi+1移除该序列中的诱骗粒子得到信息粒子利用自己的影子密钥和旋转密钥对信息粒子执行拉格朗日酉操作和旋转酉操作获得

S66、重复以上操作，知道参与者Bt将得到的粒子插入诱骗粒子中获得粒子序列Ψt，并将粒子序列Ψt传送给重构者；

S67、重构者接收到粒子序列Ψt，重构者移除粒子序列中的诱骗粒子获得信息粒子重构者根据t个旋转密钥{δ1,δ2,...,δr,...,δt}对信息粒子进行混合操作U(δ)恢复出原始的秘密粒子混合操作U(δ)表示为：

对信息粒子进行混合操作U(δ)表示为：

其中，r为重构者在授权子集中的序列号，i表示虚数。

本实施例还提供一种基于拉格朗日酉算子的量子门限秘密共享系统，所述系统包括影子密钥生成器、旋转密钥生成器、秘密粒子生成器、拉格朗日酉操作模块、诱骗粒子生成器、分享环境安全测试模块以及旋转酉操作模块，其中：

所述影子密钥生成器用于生成影子密钥；

所述旋转密钥生成器用于生成旋转密钥；

所述秘密粒子生成器用于生成秘密粒子；

所述拉格朗日酉操作模块用于对粒子进行酉操作；

所述分享环境安全测试模块用于判断当前传输环境是否安全，若安全则将发送秘密粒子，否则终止发送并重新开始协议；

所述诱骗粒子生成器用于生成诱骗粒子序列；

所述旋转酉操作模块用于进行旋转酉操作；

所述混合操作模块用于进行混合操作。

进一步的，分享环境安全测试模块包括随机选择器、测量基测量单元、错误率计算器以及阈值判断器，其中：

所述随机选择器用于从诱骗粒子生成器生成的诱骗粒子中随机选取q个诱骗粒子的位置以及该位置对应的测量基的信息；

所述测量基测量单元用于将接收到的诱骗粒子的位置与该位置的测量机进行测量；

所述错误率计算器用于获取测量基测量单元中测量结果的错误率；

所述阈值判断器用于判断错误率计算器的中事后超过该阈值判断器的阈值，若未超过则当前传输环境是安全的。

在使用上述系统时，A类用户利用影子密钥生成器为每一个B类用户生成一个影子密钥；利用旋转密钥生成器为每一个B类用户生成旋转密钥，并将旋转密钥分享给所有B类用户；A类用户利用秘密粒子生成器用于生成秘密粒子，当A类用户希望将该秘密粒子分享给授权的B类用户时，具体包括以下步骤：

S101、A类用户指定一个受信任B类用户作为代表，该B类用户选择包括自己在内的t个B类用户作为授权子集；

S102、A类用户将秘密粒子输入拉格朗日酉操作模块，输出信息粒子；

S103、A类用户利用诱骗粒子生成器生成诱骗粒子序列，并将信息粒子插入诱骗序列；

S104、A类用户将插入信息粒子的诱骗粒子序列通过安全的量子信道发送给B类用户的代表，A类通过分享环境安全测试模块判断当前环境是否安全，若不安全则重新开始协议；否则进行以下操作：

S105、B类用户的代表获得信息粒子，并依次利用拉格朗日酉操作模块、旋转操作模块进行操作，并将操作后的信息粒子发送给授权子集中的第一个用户，第一个用户依次利用拉格朗日酉操作模块、旋转操作模块进行操作，并将操作后的信息粒子发送给授权子集中的第二个用户，直到第t个用户收到第t-1个序列经过拉格朗日酉操作模块、旋转操作模块进行操作的序列；

S106、第t个B类用户将对接收到的序列通过拉格朗日酉操作模块、旋转操作模块进行操作，并将操作后的序列发送给B类用户的代表；

S107、B类用户的代表将该序列以及授权子集中B类用户的旋转密码输入混合模块，即可得到该秘密粒子。

在本发明中A类用户或者分发者表示的是制备秘密粒子的用户，授权子集中的参与者或者B类用户是请求秘密粒子的用户，B类用户的代表或者重构者是A类用户或者分发者最信任的用户。

本发明结合当前量子门限技术背景，针对现有可验证量子态门限秘密共享中安全方面缺乏验证功能，效率方面粒子制备资源开销较大和验证效率偏低的问题，提出了一种基于拉格朗日酉算子的可验证量子态门限秘密共享方法。

在安全方面，本方法使用私有影子密钥重构秘密粒子，使用旋转密钥实现验证功能，比基于旋转酉算子的量子秘密共享具有更强的安全性。在效率方面，该方法只需制备一个秘密粒子，且无需测量操作，降低了粒子制备和测量所需的资源开销，该方法执行拉格朗日酉算子和旋转酉算子联合完成重构和验证操作，提高了验证效率。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。