不要求经典用户进行量子测量的基于Bell态的半量子隐私比较方法

不要求经典用户进行量子测量的基于bell态的半量子隐私比较方法
技术领域
1.本发明涉及量子密码学领域。本发明设计一种不要求经典用户进行量子测量的基于bell态的半量子隐私比较方法，允许一个量子用户和一个经典用户在半忠诚的量子第三方的帮助下比较她们隐秘输入的相等性。


背景技术：

2.在1984年，bennett和brassard[1]提出了第一个量子密码方法，即著名的bb84量子密钥分配(quantum key distribution，qkd)方法。此后，量子密码学得到了迅速发展。在2009年，yang和wen[2]提出了一个名为量子隐私比较(quantum private comparison，qpc)的新概念，其功能是通过量子方法在不泄露两个不同用户的隐秘信息的前提下比较出它们的相等性。随后，学者们利用不同的量子资源提出了一系列qpc方法，如基于单粒子[3,4]、bell态[5-8]、ghz态[9,10]、χ型纠缠态[11]、五量子比特纠缠态[12]、六量子比特纠缠态[13]等。
[0003]
boyer等人[14,15]在2007年和2009年使用极化单光子分别提出了两个开创性的半量子密钥分配(semiquantum key distribution，sqkd)方法，宣示了半量子密码学的诞生。后来，zou等人[16]提出了一种新颖的将经典用户从量子测量解放出来的sqkd方法；ye等人[17,18]提出了两种新颖的基于具有极化和空模自由度的单光子的sqkd方法。根据文献[14,15]的两个方法，在半量子密码领域，经典用户一般被认为仅限于以下操作：(a)无干扰地传输量子比特；(b)用z基(即{|0》,|1》})测量量子比特；(c)制备处于z基的量子比特；(d)利用延迟线对量子比特进行置乱。在2016年，chou等人[19]率先提出了基于bell态和量子纠缠交换的首个半量子隐私比较(semiquantum private comparison，sqpc)方法。此后，学者们提出了许多基于不同量子态的sqpc方法。例如，文献[20-24]利用bell态提出不同的sqpc方法；文献[25]利用两种粒子乘积态提出了一种具有测量-重发特征的sqpc方法；文献[26,27]利用单光子提出了不同的sqpc方法；文献[28]提出了一种基于greenberger-horne-zeilinger(ghz)态的sqpc方法；文献[29]提出了一种新的基于四粒子团簇态和bell态纠缠交换的sqpc方法；文献[30]采用d维bell态设计了首个可比较两个经典用户隐秘输入大小关系的sqpc方法；文献[31]利用d级单粒子态提出了一种新的能实现大小比较的sqpc方法。上述文献[19-31]中的每个sqpc方法都是比较两个经典用户的隐秘输入。目前还没有可比较一个量子用户的隐秘输入和一个经典用户的隐秘输入的sqpc方法。
[0004]
基于以上分析，本方面提出了一种新的基于bell态的sqpc方法，该方法在半忠诚量子第三方(third party,tp)的帮助下，能够正确、安全地比较一个量子用户的隐秘输入与一个经典用户的的隐秘输入的相等性。此外，本发明的方法不需要量子纠缠交换，只需要tp进行bell基测量，且不需要经典用户进行量子测量。此外，本发明的方法在量子比特效率上优于之前基于bell态的sqpc方法[19-24]。
[0005]
参考文献
[0006]
[1]bennett,c.h.,brassard,g.:quantum cryptography:public key distribution and coin tossing.ieee international conference on computers,systems,and signal processing,pp.175-179(1984)
[0007]
[2]yang,y.g.,wen,q.y.:an efficient two-party quantum private comparison protocol with decoy photons and two-photon entanglement.j.phys.a:math.theor.,42(5):055305(2009)
[0008]
[3]liu,b.,gao,f.,jia,h.y.,huang,w.,zhang,w.w.,wen,q.y.:efficient quantum private comparison employing single photons and collective detection.quantum inf.process.,12(2):887-897(2013)
[0009]
[4]li,y.b.,ma,y.j.,xu,s.w.,et al.:quantum private comparison based on phase encoding of single photons.int.j.theor.phys.,53:3191-3200(2014)
[0010]
[5]liu,w.,wang,y.b.,cui,w.:quantum private comparison protocol based on bell entangled states.commun.theor.phys.,57(4):583-588(2012)
[0011]
[6]tseng,h.y.,lin,j.,hwang,t.:new quantum private comparison protocol using epr pairs.quantum inf.process.,11:373-384(2012)
[0012]
[7]ye,t.y.:multi-party quantum private comparison protocol based on entanglement swapping of bell entangled states.commun.theor.phys.,66(3):280-290(2016)
[0013]
[8]lang,y.f.:quantum private comparison using single bell state.int.j.theor.phys.,60:4030-4036(2021)
[0014]
[9]chen,x.b.,xu,g.,niu,x.x.,wen,q.y.,yang,y.x.:an efficient protocol for the private comparison of equal information based on the triplet entangled state and single-particle measurement.opt.commun.,283:1561(2010)
[0015]
[10]liu,w.,wang,y.b.:quantum private comparison based on ghz entangled states.int.j.theor.phys.,51:3596-3604(2012)
[0016]
[11]lin,s.,guo,g.d.,liu,x.f.:quantum private comparison of equality withχ-type entangled states.int.j.theor.phys.,52(11):4185-4194(2013)
[0017]
[12]ye,t.y.,ji,z.x.:two-party quantum private comparison with five-qubit entangled states.int.j.theor.phys.,56(5):1517-1529(2017)
[0018]
[13]ji,z.x.,ye,t.y.:quantum private comparison of equal information based on highly entangled six-qubit genuine state.commun.theor.phys.,65(6):711-715(2016)
[0019]
[14]boyer,m.,kenigsberg,d.,mor,t.:quantum key distribution with classical bob.phys.rev.lett.,99(14):140501(2007)
[0020]
[15]boyer,m.,gelles,r.,kenigsberg,d.,mor,t.:semiquantum key distribution.phys.rev.a,79(3):032341(2009)
[0021]
[16]zou,x.f.,qiu,d.w.,zhang,s.y.,mateus,p.:semiquantum key distribution without invoking the classical party’s measurement capability.quantum inf.process.,14(8):2981-2996(2015)
of size relationship based on d-level single-particle states.scientia sinica physica,mechanica&astronomica,https://doi.org/10.1360/sspma-2022-0025(2022)
[0037]
[32]yang,y.g.,xia,j.,jia,x.,zhang,h.:comment on quantum private comparison protocols with a semi-honest third party.quantum inf.process.,12:877-885(2013)
[0038]
[33]nie,y.y.,li,y.h.,wang,z.s.:semi-quantum information splitting using ghz-type states.quantum inf.process.,12:437-448(2013)
[0039]
[34]cai,q.y.:eavesdropping on the two-way quantum communication protocols with invisible photons.phys.lett.a,351(1-2):23-25(2006)
[0040]
[35]gisin,n.,ribordy,g.,tittel,w.,zbinden,h.:quantum cryptography.rev.mod.phys.,74(1):145-195(2002)
[0041]
[36]deng,f.g.,zhou,p.,li,x.h.,et al.:robustness of two-way quantum communication protocols against trojan horse attack.https://arxiv.org/abs/quant-ph/0508168(2005)
[0042]
[37]li,x.h.,deng,f.g.,zhou,h.y.:improving the security of secure direct communication based on the secret transmitting order of particles.phys.rev.a 74:054302(2006)
[0043]
[38]gao,f.,qin,s.j.,wen,q.y.,zhu,f.c.:a simple participant attack on the bradler-dusek protocol.quantum inf.comput.,7:329(2007)
[0044]
[39]cabello,a.:quantum key distribution in the holevo limit.phys.rev.lett.,85:5635(2000)


技术实现要素：

[0045]
本发明的目的是设计一种不要求经典用户进行量子测量的基于bell态的半量子隐私比较方法，允许一个量子用户和一个经典用户在半忠诚的量子第三方的帮助下比较她们隐秘输入的相等性。
[0046]
不要求经典用户进行量子测量的基于bell态的半量子隐私比较方法，共包括以下六个过程：
[0047]
s1)经典用户alice(bob)通过随机数生成器生成两个长度为n比特的随机数序列和其中以及i＝1,2,...,n。之后，alice(bob)用r
a1
(r
b1
)加密x(y)得到)加密x(y)得到其中是按位异或运算。此外，alice和bob事先商量好将r
a2
和r
b2
放置在x’和y’的相同位置，从而分别形成新的序列a＝{a1,a2,...,a
2n
}和b＝{b1,b2,...,b
2n
}。例如，形成和此外，alice和bob事先通过文献[16]中的sqkd方法共享一个长度为n比特的密钥其中根据k
ab
，alice和bob共享另一个长度为4n比特的密钥
[0048]
s2)量子第三方tp制备4n个bell态，每个bell态都是随机选自{|φ
+
》,|φ-》,|ψ
+
》,|ψ-》}四者之一，其中和然后，她将所有第一个粒子和所有第二个粒子分开从而分别组成序列sa和sb。最后，tp将sa(sb)的粒子逐个发送给alice(bob)。需要说明的是，tp将第一个粒子发送给alice(bob)后，她仅在收到前一个粒子后才发送下一个粒子。
[0049]
s3)接收到来自tp的后，alice(bob)根据对其执行相应的操作，其中是sa(sb)的第j个粒子且j＝1,2,...,4n。也就是说，当时，alice(bob)对其执行sift操作；当时，alice(bob)对其执行ctrl操作。这里，ctrl操作意味着直接将接收到的粒子返回给tp；而sift操作意味着对接收到的粒子施加相应的酉操作，然后将所得粒子发送给tp。对第l个sift粒子施加酉操作的规则是：当a
l
＝0(b
l
＝0)时，alice(bob)对第l个sift粒子施加i＝|0》《0|+|1》《1|操作；当a
l
＝1(b
l
＝1)时，alice(bob)对第l个sift粒子施加σ＝|0》《1|+|1》《0|操作。这里，l＝1,2,...,2n。为了方便起见，sa(sb)在alice(bob)操作之后用s’a
(s’b
)表示。
[0050]
s4)在获得alice和bob返回的粒子后，tp用bell基测量s’a
和s’b
中处于相同位置的粒子，并记录相应的测量结果。然后，alice和bob告诉tp她们选择ctrl操作的位置。tp根据她对s’a
和s’b
中处于相同位置的sift粒子的bell基测量结果产生一个比特序列c＝{c1,c2,...,c
2n
}：当她的测量结果与制备的初态相同时，tp设置c
l
＝0；否则，她设置c
l
＝1。这里，l＝1,2,...,2n。为清楚起见，表1总结了s’a
和s’b
中处于相同位置的sift粒子所对应的不同参数之间的关系。
[0051]
为了检测ctrl粒子的传输安全性，对于alice和bob选择ctrl操作的位置，tp检查她对s’a
和s’b
中处于相同位置的ctrl粒子的测量结果是否与她自己制备的初始状态相同。如果所有结果都是肯定的，通信将被继续进行；否则，通信将被终止。
[0052]
为了检查sift粒子的传输安全性，alice和bob分别挑选出根据r
a2
和r
b2
被施加酉操作的粒子。然后，alice和bob要求tp公布这些选定位置的初始制备态和相应的测量结果，同时tp要求alice和bob分别公布r
a2
和r
b2
的值。之后，alice、bob和tp检验这些选定位置的初始制备态、tp的相应测量结果以及alice和bob的相应酉操作是否正确相关。假如所有结果都是肯定的，通信将被继续执行；否则，通信将被终止。
[0053]
s5)tp丢掉c中对应于r
a2
和r
b2
的比特从而得到新的比特序列c’＝{c
’1,c
’2,...,c’n
}。显然，c’中的比特对应于x’和y’。
[0054]
s6)对于i＝1,2,...,n：tp将c’i
发送给alice和bob。然后，alice(bob)告诉bob(alice)(alice)的值。之后，alice(bob)计算只要alice和bob发现mi≠0，她们就结束通信并得出x≠y的结论；否则，她们设置i＝i+1并重复此步骤。
[0055]
如果她们最终发现对于i＝1,2,...,n有mi＝0，她们将得出x＝y的结论。
附图说明
[0056]
图1是本发明提出的sqpc方法的流程图。
具体实施方式
[0057]
下面结合实施例对本发明的技术方案做进一步描述。
[0058]
1不要求经典用户进行量子测量的基于bell态的sqpc方法描述
[0059]
假设alice是拥有无限量子能力的用户，而bob是只有有限量子能力的用户。alice和bob分别拥有隐秘输入x＝(x1,x2,...,xn)和y＝(y1,y2,...,yn)，其中xi,yi∈{0,1}，i＝1,2,...,n。她们想在一个半忠诚的具有无限量子能力的tp的帮助下比较出她们隐秘输入的相等性。根据文献[32]，“半忠诚”意味着tp除了不能与她人共谋外可以采取所有可能的攻击来获取两个用户的隐秘输入。本发明提出的sqpc方法的具体步骤如下，为清晰起见，图1进一步描绘这些步骤。
[0060]
s1)经典用户alice(bob)通过随机数生成器生成两个长度为n比特的随机数序列和其中以及i＝1,2,...,n。之后，alice(bob)用r
a1
(r
b1
)加密x(y)得到)加密x(y)得到其中是按位异或运算。此外，alice和bob事先商量好将r
a2
和r
b2
放置在x’和y’的相同位置，从而分别形成新的序列a＝{a1,a2,...,a
2n
}和b＝{b1,b2,...,b
2n
}。例如，形成和此外，alice和bob事先通过文献[16]中的sqkd方法共享一个长度为n比特的密钥其中根据k
ab
，alice和bob共享另一个长度为4n比特的密钥
[0061]
s2)tp制备4n个bell态，每个bell态都是随机选自{|φ
+
》,|φ-》,|ψ
+
》,|ψ-》}四者之一，其中和然后，她将所有第一个粒子和所有第二个粒子分开从而分别组成序列sa和sb。最后，tp将sa(sb)的粒子逐个发送给alice(bob)。需要说明的是，tp将第一个粒子发送给alice(bob)后，她仅在收到前一个粒子后才发送下一个粒子。
[0062]
s3)接收到来自tp的后，alice(bob)根据对其执行相应的操作，其中是sa(sb)的第j个粒子且j＝1,2,...,4n。也就是说，当时，alice(bob)对其执行sift操作；当时，alice(bob)对其执行ctrl操作。这里，ctrl操作意味着直接将接收到的粒子返回给tp；而sift操作意味着对接收到的粒子施加相应的酉操作，然后将所得粒子发送给tp。对第l个sift粒子施加酉操作的规则是：当a
l
＝0(b
l
＝0)时，alice(bob)对第l个sift粒子施加i＝|0》《0|+|1》《1|操作；当a
l
＝1(b
l
＝1)时，alice(bob)对第l个sift粒子施加σ＝|0》《1|+|1》《0|操作。这里，l＝1,2,...,2n。为了方便起见，sa(sb)在alice(bob)操作之后用s’a
(s’b
)表示。
[0063]
s4)在获得alice和bob返回的粒子后，tp用bell基测量s’a
和s’b
中处于相同位置的粒子，并记录相应的测量结果。然后，alice和bob告诉tp她们选择ctrl操作的位置。tp根据她对s’a
和s’b
中处于相同位置的sift粒子的bell基测量结果产生一个比特序列c＝{c1,c2,...,c
2n
}：当她的测量结果与制备的初态相同时，tp设置c
l
＝0；否则，她设置c
l
＝1。这里，l＝1,2,...,2n。为清楚起见，表1总结了s’a
和s’b
中处于相同位置的sift粒子所对应的不同参数之间的关系。
[0064]
表1 s’a
和s’b
中处于相同位置的sift粒子所对应的不同参数之间的关系
[0065][0066]
为了检测ctrl粒子的传输安全性，对于alice和bob选择ctrl操作的位置，tp检查她对s’a
和s’b
中处于相同位置的ctrl粒子的测量结果是否与她自己制备的初始状态相同。如果所有结果都是肯定的，通信将被继续进行；否则，通信将被终止。
[0067]
为了检查sift粒子的传输安全性，alice和bob分别挑选出根据r
a2
和r
b2
被施加酉操作的粒子。然后，alice和bob要求tp公布这些选定位置的初始制备态和相应的测量结果，同时tp要求alice和bob分别公布r
a2
和r
b2
的值。之后，alice、bob和tp检验这些选定位置的初始制备态、tp的相应测量结果以及alice和bob的相应酉操作是否正确相关。假如所有结果都是肯定的，通信将被继续执行；否则，通信将被终止。
[0068]
s5)tp丢掉c中对应于r
a2
和r
b2
的比特从而得到新的比特序列c’＝{c
’1,c
’2,...,c’n
}。显然，c’中的比特对应于x’和y’。
[0069]
s6)对于i＝1,2,...,n：tp将c’i
发送给alice和bob。然后，alice(bob)告诉bob
(alice)(alice)的值。之后，alice(bob)计算只要alice和bob发现mi≠0，她们就结束通信并得出x≠y的结论；否则，她们设置i＝i+1并重复此步骤。
[0070]
如果她们最终发现对于i＝1,2,...,n有mi＝0，她们将得出x＝y的结论。
[0071]
到这里为止，已经完成了对本发明的sqpc方法的描述。显然，在本发明的方法中，除了负责制备bell态作为初始量子资源外，tp还需要进行bell基测量。至于bob，他需要通过量子信道发送粒子、制备处于z基的新粒子、通过不同的延迟线重新排列粒子以及执行i和σ两个酉操作。对一个粒子施加i操作等同于对它不做任何处理。根据文献[33]，酉操作σ可被视为经典操作，因此bob的确是一个经典用户。此外，在本发明的方法中，bob不用进行量子测量。
[0072]
2正确性分析
[0073]
这里将分析本发明方法的输出结果的正确性。
[0074]
在步骤s4中，tp根据其在s’a
和s’b
中处于相同位置的sift粒子的bell基测量结果产生c。根据表1，可以清楚地得到其中i＝1,2,...,n。此外，可以从步骤s1中得到和因此，有
[0075][0076]
根据式(1)，mi＝0意味着xi＝yi。现在可以得出结论，本发明的方法的输出是正确的。
[0077]
3安全性分析
[0078]
这部分分析本发明方法的安全性，并验证本发明的方法能够抵抗来自外部窃听者和内部参与者的攻击。
[0079]
3.1外部攻击
[0080]
外部窃听者eve想要通过发动各类著名的攻击，如特洛伊木马攻击、截获-重发攻击、测量-重发攻击等，获取有关用户隐秘输入的有用信息。然而，eve将不出所料地被检测到。
[0081]
(1)特洛伊木马攻击
[0082]
由于sa(sb)的粒子被从tp传输到alice(bob)并返回给tp，需要防范由eve发起的特洛伊木马攻击，主要包括不可见光子窃听攻击[34]和延迟光子特洛伊木马攻击[35,36]。为了抵抗不可见光子窃听攻击，可以在alice(bob)的设备前面安装波长滤波器来过滤掉非法光子信号[36,37]。此外，防止延迟光子特洛伊木马攻击的方法是alice(bob)使用光子数分割器(photon number splitter，pns)将每个样本信号分成两部分，并在使用正确的测量基测量结果信号后评估多光子率[36,37]。
[0083]
(2)截获-重发攻击
[0084]
在步骤s1中，tp将sa(sb)的粒子发送给alice(bob)。eve截获从tp发送给alice(bob)的粒子，并将她预先制备的处于z基的假粒子发送给alice(bob)；在alice(bob)操作之后，为了得到关于alice(bob)隐秘输入的一些有用信息，eve用z基测量alice(bob)发送出的粒子，并将结果状态发送给tp。当alice和bob告诉tp她们选择ctrl操作的位置时，eve可能会听到。通过这种方式，eve可能知道alice和bob选择sift操作的位置。通过这种截获-重发攻击，eve在被发现之前可以从对应于alice(bob)的sift操作的假粒子的初始制备态以及她对alice(bob)发送出的相应粒子的测量结果解码出a(b)。然而，eve仍然无法在被发现前得到x(y)，因为她不知道r
a1
(r
b1
)以及x’(y’)在a(b)中的位置。
[0085]
接下来验证eve发起的这种攻击会不可避免地被alice、bob和tp发现。例如，假设tp制备的初始粒子对为|φ
+
》且eve制备的两个假粒子均处于|0》。在alice和bob执行操作后，tp对这对返回的粒子执行bell基测量。当alice和bob都选择ctrl操作时，tp的测量结果会随机处于|φ
+
》或|φ-》；因此，eve以的概率被检测到，因为在不存在攻击时tp的测量结果应为|φ
+
》。当alice和bob都选择sift操作时，如果这对粒子被选中用于安全检测，eve也会以的概率被检测到。
[0086]
(3)测量-重发攻击
[0087]
eve拦截tp传送给alice(bob)的sa(sb)的粒子，用z基测量它们后将结果状态发送给alice(bob)；在alice(bob)操作后，eve用z基测量alice(bob)发送出的粒子并将结果状态传送给tp。在alice和bob告诉tp她们选择ctrl操作的位置后，eve可能知道alice和bob选择sift操作的位置。通过这种测量-重发攻击，eve可以在被检测到前从她对tp发送给alice(bob)再回到tp的sift粒子的测量结果中推断出a(b)。不幸地是，由于缺少r
a1
(r
b1
)以及x’(y’)在a(b)中的位置，eve在被检测到前仍然无法知道x(y)。
[0088]
此外，alice、bob和tp能成功地检测到eve的这种攻击。例如，假设tp制备的初始粒子对为|φ
+
》。在eve截获这两个粒子并用z基测量它们后，它们被随机坍塌成|0》|0》或|1》|1》。不失一般性，假设它们被坍塌成|0》|0》。在alice和bob执行操作后，tp对这对返回的粒子执行bell基测量。当alice和bob都选择ctrl操作时，tp以相同的概率得到|φ
+
》或|φ-》；因此，alice、bob和tp可以的概率检测到eve，因为在没有攻击发生时tp的测量结果应是|φ
+
》。当alice和bob都选择sift操作时，如果这对粒子被选中用于安全检测，alice、bob和tp也可以的概率检测到eve。
[0089]
3.2参与者攻击
[0090]
在2007年，gao等人[38]认为，由于参与者更有能量，她们必须给予更多关注。因此，在本发明的方法中，需要特别注意alice、bob或tp发起的攻击。
[0091]
(1)来自alice或bob的参与者攻击
[0092]
在本发明的方法中，alice拥有无限的量子能力，而bob只有有限的量子能力。因此，可以认为alice比bob更强大。考虑到这一点，首先分析来自alice的参与者攻击。
[0093]
首先，分析alice发起的截获-重发攻击。alice对从tp发出的对应于ctrl操作的sb的粒子不进行干扰，但截获从tp发出的对应于sift操作的sb的粒子，并使用她事先制备的
处于z基的假粒子来替换它们。在bob操作后，alice对从bob发送出的对应于ctrl操作的粒子不进行干扰，但截获从bob发送出的对应于sift操作的粒子，利用z基对它们进行测量，并将结果状态发送给tp。通过这种方式，alice在不被发现前可以很容易地从假粒子的初始制备态和她对bob发送出的相应粒子的测量结果推断出b。然而，尽管alice知道y’在b中的位置，但她在被发现前仍然无法得到y，因为她目前无法知晓r
b1
。
[0094]
显然，上述来自alice的截获-重发攻击没有在ctrl粒子上引发错误。接下来验证，当发动上述截获-重发攻击时，alice会在sift粒子上留下痕迹从而使得她的攻击行为会被bob和tp发现。例如，假设与alice和bob的sift操作相对应的一对初始粒子对被tp制备为|φ
+
》，且一个假粒子被alice制备为|0》。alice对从tp到bob再回到tp的粒子执行上述截获-重发攻击。tp对这对返回的粒子进行bell基测量。当alice和bob都选择sift操作时，tp的测量结果随机处于|φ
+
》、|φ-》、|ψ
+
》或|ψ-》；因此，当这对粒子被选中用于安全检测时，alice的攻击行为会以的概率被检测到。
[0095]
其次，分析alice发起的测量-重发攻击。alice对从tp发出的对应于ctrl操作的sb的粒子不进行干扰，但截获从tp发送出的对应于sift操作的sb的粒子，利用z基对它们进行测量并将结果状态发送给bob。在bob的操作之后，alice对从bob发送出的对应于ctrl操作的粒子不进行干扰，但会截获从bob发送出的对应于sift操作的粒子，利用z基对它们进行测量并将结果状态发送给tp。通过这种方式，alice在被检测到前可以容易地从她对从tp发送出的对应于sift操作的sb的粒子的测量结果以及从对bob发送出的相应粒子的测量结果推断出b。不幸地是，尽管alice知道y’在b中的位置，但由于目前不知道r
b1
，她仍然无法在被检测到前得到y。
[0096]
显然，没有任何错误被alice的上述测量-重发攻击引发在ctrl粒子上。然后，验证alice的上述测量-重发攻击会对sift粒子带来干扰从而导致bob和tp可以检测到她的攻击行为。例如，假设tp制备的对应于alice和bob的sift操作的初始粒子对为|φ
+
》。alice对从tp到bob再回到tp的粒子实施上述测量-重发攻击。不失一般性，假设在alice用z基测量tp发送给bob的粒子后，这对粒子坍塌成|0》|0》。tp对这对返回的粒子进行bell基测量。当alice和bob都选择sift操作时，如果这对粒子被选中用于安全检测，alice的攻击行为会以的概率被发现。
[0097]
通过类似的分析很容易知道，不忠诚的用户bob虽然知道x’在a中的位置，但由于目前不知道r
a1
，在被发现前他仍然无法通过攻击知道x；此外，他的攻击行为也会不可避免地被alice和tp检测到。
[0098]
(2)来自tp的参与者攻击
[0099]
在本发明的方法中，tp被假设为半忠诚的，也就是说，她可以尝试所有可能的方法来获得两个用户的隐秘输入但不被允许与任何人共谋。tp可以采取以下攻击策略:在步骤s2中，tp制备8n个处于z基的单粒子代替4n个bell态，从这些单粒子中挑选出一半组成sa，让剩余一半粒子组成sb；之后tp将sa(sb)的粒子逐个发送给alice(bob)。在alice(bob)执行操作后，当alice和bob告诉tp她们选择ctrl操作的位置时，tp使用z基测量所接收到的alice和bob选择sift操作的粒子。因此，tp可以从sa(sb)的sift粒子的初始制备态和她对s’a
(s’b
)的相应粒子的测量结果解码出a(b)。在检查ctrl粒子的传输安全性时，为了不被
alice和bob检测到，tp总是向alice和bob宣布她对s’a
和s’b
中处于相同位置的ctrl粒子的bell基测量结果与她自己制备的初始bell态相同；在检查sift粒子的传输安全性时，为了不被alice和bob检测到，tp总是宣布与alice和bob相应酉操作正确相关的所选中位置的初始制备bell态和相应的bell基测量结果。这样，tp的攻击行为能逃避被检测到。在步骤s6，tp可能会从alice(bob)那里听到的值。然而，由于不知道tp仍然不能解码出因此，tp仍然不能从她先前知道的x’i
(y’i
)推断出xi(yi)。
[0100]
在步骤s6中，一旦alice和bob在中途停止通信，tp就会自动知道x≠y。这种情况发生的概率是若直到x和y的最后一个比特被比较后alice和bob才结束通信，tp就不得不随机猜测x和y的比较结果。这种情况发生的概率是综上所述，tp能正确得到x与y的比较结果(即x≠y)的概率为
[0101]
实施例：
[0102]
1本发明方法应用举例
[0103]
为清晰起见，用一个例子来进一步验证比较结果的正确性。根据表1，可以得到其中i＝1,2,...,n。根据步骤s1，可以知道和因此，可以得到这说明mi＝0意味着xi＝yi，mi＝1意味着xi≠yi。因此，本发明方法的输出是正确的。
[0104]
2讨论与结论
[0105]
这一部分将本发明的方法与文献[19-24]中的基于bell态的sqpc方法进行比较。具体比较结果见表2。参考文献[39]，将量子比特效率定义为其中λs、λq和λc分别表示被比较的隐秘比特的数量、被消耗的量子比特的数量以及经典通信中涉及的经典比特的数量。这里，不考虑窃听检测过程中被消耗的经典资源。
[0106]
在本发明的方法中，x和y的长度都是n比特，因此有λs＝n。tp需制备4n个初始bell态；此外，alice和bob事先通过文献[16]中的sqkd方法共享k
ab
，这需要alice产生个量子比特随机处于{|0》,|1》,|+》,|-》}以及bob制备m个量子比特随机处于z基，其中并且m≥n。因此，有λq＝4n
×
2+n+m＝8n+n+m。此外，考虑对于t＝1,2,...,n-1时有x
t
＝y
t
的情形，tp需要将c’i
发送给alice和bob，而alice(bob)需要告诉bob(alice)的值，其中i＝1,2,...,n。这样，有λc＝n
×
3＝3n。因为，本发明方法的量子比特效率为使用相同的方法可以计算出文献[19-24]中每个方法的量子比特效率。
[0107]
根据表2，相比于文献[19-24]中的sqpc方法，本发明的方法具有以下优点：(1)它可以用来比较一个量子用户的隐秘输入和一个经典用户的隐秘输入的相等性，而文献[19-24]中的每个方法只适用于两个经典用户比较她们隐秘输入的相等性；(2)它只要求tp执行
bell基测量，但文献[19,20,22,23]中的每个方法需要tp进行bell基测量和z基测量；(3)它将经典用户从量子测量中解放出来，而文献[19-24]中的每个方法都要求经典用户进行量子测量；(4)它不需要进行量子纠缠交换，但文献[19]的方法要求进行量子纠缠交换；(5)它的量子比特效率比文献[19-24]中的每个方法的量子比特效率都高。
[0108]
总之，本发明提出了一种新颖的基于bell态的sqpc方法，该方法适用于一个量子用户和一个经典用户在半忠诚tp的帮助下比较她们隐秘输入的相等性。详细的安全性分析表明，本发明的方法能够抵抗一系列外部攻击和参与者攻击。本发明的方法只需要tp执行bell基测量，不需要经典用户执行量子测量，也不需要量子纠缠交换。而且，与文献[19-24]中的基于bell态的sqpc方法相比，本发明的方法可以具有更高的量子比特效率。
[0109]
表2本发明的方法与之前基于bell态的sqpc方法的比较结果
[0110]