本发明涉及量子密码学领域。本发明设计一种基于d级量子系统相互无偏基的安全多方量子求和方法,实现n方秘密整数序列的安全求和。
背景技术:
安全多方量子求和问题可被描述如下:n个秘密持有者p1,p2,…,pn想通过量子信号的传输计算一个求和函数sum(a1,a2,…,an),其中ai是pi的秘密信息,sum(·)是求和函数,i=1,2,…,n。安全多方量子求和的目标是在确保秘密持有者的秘密信息不被泄露的前提下保证计算结果的正确性。一个安全多方量子求和方法应当满足以下三个要求:
①正确性。每个参与者能得到正确的求和结果。
②安全性。一个外在窃听者无法得到关于秘密持有者秘密信息的任何有用信息而不被检测到。
③隐秘性。每个参与者无法得到关于其他秘密持有者秘密信息的任何有用信息。
2002年,heinrich[1]将量子求和应用到积分。2003年,heinrich[2]研究了最差平均情形下可重复的量子布尔函数。2006年,hillery[3]利用两粒子n级纠缠态提出一个多方量子求和方法,能在确保参与者匿名性的前提下完成投票流程中n个参与者输入信息的求和。2007年,du等[4]利用非正交态提出一个新颖的安全量子模n+1(n≥2)求和方法,能秘密地将一个数加到一个未知数里,这里n代表持有秘密的参与者人数。2010年,chen等[5]提出一种基于单光子和多粒子ghz纠缠态的量子模2求和方法。2014年,zhang等[6]构建了一个基于单光子极化和空模两个自由度的量子模2求和方法。后来,gu等[7]认为文献[6]的方法不能抵抗一个恶意参与者的截获-重发攻击并相应地提出一个改进方法。2015年,zhang等[8]提出一个基于六量子比特最大纠缠态纠缠相关性的三方量子模2求和方法。这个方法先利用六量子比特最大纠缠态产生私钥对参与者的输入信息进行加密,然后再对加密后的信息进行求和。2016年,shi等[9]认为文献[4,5]的方法存在两个缺点:一方面,这两个方法的模太小,导致更广泛的应用受到限制;另一方面,由于采用比特加比特的计算方式,这两个方法不具备足够高的计算效率。然后,他们利用离散量子傅里叶变换、控制非操作和离散量子傅里叶逆变换提出一个量子模n求和方法,以整数加整数的方式而非比特加比特的方式计算求和,这里n=2m,m是一个基态所代表的量子比特的数量。在这个方法中,安全多方求和的计算通过离散量子傅里叶变换被安全地转换成相应相位信息的计算,然后相位信息通过离散量子傅里叶逆变换被提取出来。2017年,shi和zhang[10]提出一类特殊两方隐私求和问题的一种通用量子解决方法,利用量子计数算法实现求和。这个量子求和方法的特点是适用于n级量子系统,采用比特加比特的计算方式以及实现普通加法求和,这里n是每个秘密持有者秘密的长度。同年,zhang等[11]提出一个基于单光子的多方量子模2求和方法。这个方法先利用单光子产生私钥对参与者的输入信息进行加密,然后再对加密后的信息进行求和。2018年,我们在文献[12]提出一种基于量子傅里叶变换的安全多方量子求和方法。2019年,ji等[13]提出了一种基于d级cat态和d级bell态纠缠交换的多方量子求和方法。2020年,duan等[14]提出了一种基于量子底特移位操作的多方量子求和方法。文献[12-14]方法的特点是都适用于d级量子系统,采用整数加整数的方式计算模d和。
基于以上分析,本发明利用d级量子系统d组相互无偏基提出一种新颖的安全多方量子求和方法,其特点也是适用于d级量子系统,采用整数加整数的方式计算模d和。安全性分析表明,本发明方法能抵抗外在攻击和参与者攻击。另外,本发明还探讨了所提出的方法在多方量子隐私比较和多方量子匿名投票的应用。
参考文献
[1]heinrich,s.:quantumsummationwithanapplicationtointegration.jcomplex,2002,18(1):1-50
[2]heinrich,s.,kwas,m.,wozniakowski,h.:quantumbooleansummationwithrepetitionsintheworst-averagesetting.2003,arxiv:quant-ph/0311036
[3]hillery,m.,ziman,m.,buzek,v.,bielikova,m.:towardsquantum-basedprivacyandvoting.physletta,2006,349(1-4):75-81
[4]du,j.z.,chen,x.b.,wen,q.y.,zhu,f.c.:securemultipartyquantumsummation.actaphyssin,2007,56(11):6214-6219
[5]chen,x.b.,xu,g.,yang,y.x.,wen,q.y.:anefficientprotocolforthesecuremulti-partyquantumsummation.intjtheorphys,2010,49(11):2793-2804
[6]zhang,c.,sun,z.w.,huang,y.,long,d.y.:high-capacityquantumsummationwithsinglephotonsinbothpolarizationandspatial-modedegreesoffreedom.intjtheorphys,2014,53(3):933-941
[7]gu,j.,hwang,t.,tsai,c.w.:improvingthesecurityof‘high-capacityquantumsummationwithsinglephotonsinbothpolarizationandspatial-modedegreesoffreedom’.intjtheorphys,2019,58:2213-2217
[8]zhang,c.,sun,z.w.,huang,x.:three-partyquantumsummationwithoutatrustedthirdparty.intjquantuminf,2015,13(2):1550011
[9]shi,r.h.,mu,y.,zhong,h.,cui,j.,zhang,s.:securemultipartyquantumcomputationforsummationandmultiplication.scirep,2016,6:19655
[10]shi,r.h.,zhang,s.:quantumsolutiontoaclassoftwo-partyprivatesummationproblems.quantuminfprocess,2017,16(9):225
[11]zhang,c.,situ,h.z.,huang,q.,yang,p.:multi-partyquantumsummationwithoutatrustedthirdpartybasedonsingleparticles.intjquantuminf,2017,15(2):1750010
[12]yang,h.y.,ye,t.y.:securemulti-partyquantumsummationbasedonquantumfouriertransform.quantuminfprocess,2018,17(6):129
[13]ji,z.x.,zhang,h.g.,wang,h.z.,wu,f.s.,jia,j.w.,wu,w.q.:quantumprotocolsforsecuremulti-partysummation.quantuminfprocess,2019,18:168
[14]duan,m.y.:multi-partyquantumsummationwithinad-levelquantumsystem.intjtheorphys,2020,59(5):1638-1643
[15]bennett,c.h.,brassard,g.:quantumcryptography:publickeydistributionandcointossing.in:proceedingsoftheieeeinternationalconferenceoncomputers,systemsandsignalprocessing,bangalore.1984,pp.175-179
[16]li,c.y.,zhou,h.y.,wang,y.,deng,f.g.:securequantumkeydistributionnetworkwithbellstatesandlocalunitaryoperations.chinphyslett,2005,22(5):1049
[17]li,c.y.,li,x.h.,deng,f.g.,zhou,p.,liang,y.j.,zhou,h.y.:efficientquantumcryptographynetworkwithoutentanglementandquantummemory.chinphyslett,2006,23(11):2896
[18]shor,p.w.,preskill,j.:simpleproofofsecurityofthebb84quantumkeydistributionprotocol.physrevlett2000,85(2):441
[19]chen,y.,man,z.x.,xia,y.j.:quantumbidirectionalsecuredirectcommunicationviaentanglementswapping.chinphyslett2007,24(1):19
[20]ye,t.y.,jiang,l.z.:improvementofcontrolledbidirectionalquantumdirectcommunicationusingaghzstate.chinphyslett2013,30(4):040305
[21]gao,f.,qin,s.j.,wen,q.y.,zhu,f.c.:asimpleparticipantattackonthebradler-dusekprotocol.quantuminfcomput,2007,7:329
技术实现要素:
本发明的目的是设计一种基于d级量子系统相互无偏基的安全多方量子求和方法,实现n方秘密整数序列的安全求和。
一种基于d级量子系统相互无偏基的安全多方量子求和方法,共包括以下五个过程:
s1)n个秘密持有者p1,p2,…,pn事先通过安全的量子密钥分配方法共享密钥序列k1,k2,…,kn,其中
s2)第三方p0制备一个由n个量子态
s3)对于i=1,2,3,...,n:
当pi收到si-1后,pi与pi-1一起检测序列si-1传输过程的安全性。pi-1告诉pi序列si-1中诱骗光子的位置和制备基。接着,pi利用pi-1告诉的制备基去测量序列si-1中的诱骗光子并将测量结果告诉pi-1。然后,pi-1通过将序列si-1中她制备的诱骗光子的初态与pi告诉的测量结果相比较来判断序列si-1传输过程是否存在窃听者。如果存在窃听者,那么通信将被终止并被重新开始;否则,通信将被继续下去。
pi丢弃si-1中的诱骗光子重新得到序列s。然后,pi对序列s中的粒子编码其秘密整数序列ai。具体地,pi对第t个量子态施加
特别指出的是,pn最终将序列sn发送给p0。
s4)当p0收到sn后,p0与pn一起检测序列sn传输过程的安全性。pn告诉p0序列sn中诱骗光子的位置和制备基。接着,p0利用pn告诉的制备基去测量序列sn中的诱骗光子并将测量结果告诉pn。然后,pn通过将序列sn中她制备的诱骗光子的初态与p0告诉的测量结果相比较来判断序列sn传输过程是否存在窃听者。如果存在窃听者,那么通信将被终止并被重新开始;否则,通信被继续下去。
s5)p0丢弃sn中的诱骗光子重新得到序列s。此时,序列s的粒子为
具体实施方式
下面结合实施例对本发明的技术方案做进一步描述。
1、d级量子系统相互无偏基的循环性质
d级量子系统d组相互无偏基为
其中j代表基的序号,l代表在给定基下的量子态的序号,j,l∈{0,1,...,d-1},ζ=e2πi/d。定义两个变换操作分别为
和
存在以下关系:
其中,
其中j',l'∈{0,1,...,d-1}。式(6)表明,
2、基于d级量子系统相互无偏基的安全多方量子求和方法
假设存在n个秘密持有者p1,p2,...,pn。第i个秘密持有者pi拥有一个长度为n的秘密整数序列ai,即
s1)p1,p2,...,pn事先通过安全的量子密钥分配(quantumkeydistribution,qkd)方法[15]共享密钥序列k1,k2,...,kn,其中
s2)p0制备一个由n个量子态
s3)对于i=1,2,3,...,n:
当pi收到si-1后,pi与pi-1一起检测序列si-1传输过程的安全性。pi-1告诉pi序列si-1中诱骗光子的位置和制备基。接着,pi利用pi-1告诉的制备基去测量序列si-1中的诱骗光子并将测量结果告诉pi-1。然后,pi-1通过将序列si-1中她制备的诱骗光子的初态与pi告诉的测量结果相比较来判断序列si-1传输过程是否存在窃听者。如果存在窃听者,那么通信将被终止并被重新开始;否则,通信将被继续下去。
pi丢弃si-1中的诱骗光子重新得到序列s。然后,pi对序列s中的粒子编码其秘密整数序列ai。具体地,pi对第t个量子态施加
特别指出的是,pn最终将序列sn发送给p0。
s4)当p0收到sn后,p0与pn一起检测序列sn传输过程的安全性。pn告诉p0序列sn中诱骗光子的位置和制备基。接着,p0利用pn告诉的制备基去测量序列sn中的诱骗光子并将测量结果告诉pn。然后,pn通过将序列sn中她制备的诱骗光子的初态与p0告诉的测量结果相比较来判断序列sn传输过程是否存在窃听者。如果存在窃听者,那么通信将被终止并被重新开始;否则,通信被继续下去。
s5)p0丢弃sn中的诱骗光子重新得到序列s。此时,序列s的粒子为
3、安全性分析
这里分别分析本发明的方法针对外在攻击和参与者攻击的安全性。
3.1外在攻击
本发明的方法是以环形方式传输量子态序列,即p0将量子态序列s0发送给p1,p1将量子态序列s1发送给p2,如此继续下去直到pn将量子态序列sn发送回p0。为了得到关于秘密持有者秘密整数序列的有用信息,外在窃听者可能会对传输的粒子发起主动攻击,如截获-重发攻击、测量-重发攻击、纠缠-测量攻击等。每次量子态序列的传送都采用随机选自两组非正交基v1和v2的诱骗光子来确保其安全性。诱骗光子技术[16,17]可被视为bb84qkd方法[15]的窃听检测方法的一个变种,后者的无条件安全性在文献[18]已被证实。而且,文献[19,20]也详细证实了2级量子系统下的诱骗光子技术抵抗外在窃听者窃听攻击的有效性。可以直接得到,d级量子系统下的诱骗光子技术抵抗外在窃听者的窃听攻击也是同样有效的,因为既然不知道诱骗光子的确切位置,外在窃听者的攻击行为将不可避免地在诱骗光子上留下痕迹,从而被窃听检测过程检测到。
另一方面,在步骤s5p0向p1,p2,...,pn公布求和结果
3.2参与者攻击
在2007年,gao等[21]首次指出,不忠诚参与者的攻击往往能量更大,在方法设计时应当被更加重视。这里考虑三种情形的参与者攻击,即来自单个不忠诚秘密持有者的攻击、来自两个或多个不忠诚秘密持有者的共谋攻击以及来自第三方p0的攻击。
a)来自单个不忠诚秘密持有者的攻击
在本发明的方法中,每个秘密持有者都执行三个动作,即与前一个参与者进行窃听检测、编码自己的秘密整数序列以及与后一个参与者进行窃听检测。因此,每个秘密持有者的角色是类似的。假设pj(j∈{1,2,...,n})是不忠诚的秘密持有者,她可能尝试以下两种攻击。(1)pj(j∈{1,2,...,n})对量子态序列sv(v∈{0,1,...,n}且v≠j-1,j)的粒子发起主动攻击。由于不知道sv中诱骗光子的位置,她将不可避免地在诱骗光子上留下痕迹,从而被当成外在窃听者检测到。(2)pj(j∈{2,3,...,n})制备假的量子态序列
可以得出结论,本发明的方法可以抵抗来自单个不忠诚秘密持有者的攻击。
b)来自两个或多个不忠诚秘密持有者的共谋攻击
如果n-1个秘密持有者一起共谋,她们将能从求和结果中轻易解密出剩余一个秘密持有者的秘密整数序列。因此,本发明的方法无法抵抗来自n-1个秘密持有者的共谋攻击。
接着论证本发明的方法能抵抗来自n-2个秘密持有者的共谋攻击。不失一般性,假设不忠诚的p1,...,pj-1,pj+1,...,pn-1(j∈{2,3,...,n-2})试图共谋得到pj和pn的秘密整数序列。(1)p1,...,pj-1,pj+1,…,pn-1制备假的量子态序列
c)来自第三方p0的攻击
半忠诚第三方p0试图发起以下三种攻击来得到秘密持有者的秘密整数序列。(1)p0截获s1并测量后重发给p2。然而,由于不知道s1中诱骗光子的真实位置,p0的攻击行为将不可避免地被p2检测到。(2)p0截获sj-1(j∈{2,3,...,n-1})并将制备的假的量子态序列
实施例:
1、基于d级量子系统相互无偏基的安全多方量子求和方法应用举例
不失一般性,在忽略窃听检测过程后,以p0制备的第一个量子态
p1,p2,...,pn事先通过安全的qkd方法[15]共享密钥
对于i=1,2,3,...,n:
pi对量子态编码其秘密整数
pi通过经典隐秘信道将
2、讨论
2.1与已有的量子求和方法的对比
这里首先将本发明的方法与现有量子求和方法在适用量子系统、加法类型和计算方式三个方面进行对比,对比结果被总结在表1中。可以得出结论,本发明方法的求和模大于文献[5-8,11]的方法,因此会有更广泛的应用;与文献[4-8,10,11]的方法相比,由于采用整数加整数的计算方式,本发明的方法有更高的计算效率。
另外,在忽略安全检测过程后,再将本发明的方法与文献[5,9,11-14]的方法进行详细对比,对比结果被总结在表2中。
2.2基于d级量子系统相互无偏基的安全多方量子求和方法的应用
这里分别讨论本发明的方法在多方量子隐私比较和多方量子匿名投票上的应用。
(1)应用到多方量子隐私比较
多方量子隐私比较判断来自n个秘密持有者的秘密整数a1,a2,...,an是否全都相等。将所有秘密持有者的秘密整数分解成对应的二进制序列,然后分别对所有整数的每个相同位置的二进制比特进行相等性比较。即首先计算出
表1现有量子求和方法的适用量子系统、加法类型和计算方式
*在文献[4],n代表秘密持有者的数量且n≥2;在文献[9],n=2m,其中m是一个基态所代表的量子比特的数量;在文献[10],n是每个秘密持有者秘密的长度。
表2与现有多方量子求和方法的对比
只要做到以下两点,就可以将本发明的方法应用到多方量子隐私比较:
①在本发明的方法,将
②在本发明方法的步骤s5,p0得到
(2)应用到多方量子匿名投票
假设要求n个投票者p1,p2,...pn对n个被投票对象c1,c2,...cn进行匿名投票。每个投票者只能对一个被投票对象投“赞成”票,对其他被投票对象只能投“反对”票;每个投票者的投票行为要被严格保密,不能被其他任何人知道。用1和0分别代表“赞成”票和“反对”票。用
只要做到以下三点,就可以将本发明的方法应用到多方量子匿名投票:
①在本发明的方法,令n<d;
②在本发明方法的步骤s2,将p0制备的n个量子态
③在本发明方法的步骤s3,pi通过对n个量子态
3、结论
本发明提出一种新颖的基于d级量子系统相互无偏基的环形安全多方量子求和方法,n个秘密持有者通过变换操作将自己的秘密编码在相互无偏基量子态上。本发明详细验证了所提出的方法抵抗外在攻击和参与者攻击的安全性。本发明的方法适用于d级量子系统,采用整数加整数的方式计算模d和,因此,相比于采用比特加比特计算方式的量子求和方法,具有更高的计算效率;相比于求和模较小的量子求和方法,会有更广泛的应用。本发明还将所提出的方法应用到多方量子隐私比较和多方量子匿名投票。