? X3 ? r〇2 ? X4 ? Tel ? X4 ? Tc2 ? Xl = X3 ? Xl
[0135] kc2 ? kc3 ? kd2 ? kd3 = rC2 ? X4 ? rC3 ? xi ? r〇2 ? xi ? rC3 ? X2 = X4 ? X2 (10)
[0136] 根据公式(10),如果〇1&1'1丨6告知0;[01^1?1^2和1^2?1^3;0;[01^告知01&1'116 1^1? kd2和kd2 ? kd3,Charlie和Dick可以计算X3 ? xi和X4 ? X2。如果Charlie和Dick告诉X3 ? xi和X4 ? X2给Alice,Alice可以进行如下计算:
[0137] kai ? X3 ? xi = rai ? xi ? X3 ? xi = rai ? X3
[0138] ka2 ? X4 ? X2 = ra2 ? X2 ? X4 ? X2 = ra2 ? X4
[0139] ka3 ? X3 ? Xl = ra3 ? X3 ? X3 ? Xl = ra3 ? XI
[0140] ka4 ? X4 ? X2 = ra4 ? X4 ? X4 ? X2 = ra4 ? X2 (11)
[0141 ] 根据公式(11),发现即使Alice与Charlie和Dick合谋,也无法得知Kb的任何信息D 因此,Xb不会泄露。Bob与Charlie和Dick合谋(Charlie与Alice和Bob合谋,Dick与Alice和 Bob合谋)的情况也是类似的,这里不再赘述。
[0142] 针对两用户合谋的情况,本发明的协议也是安全的。下面分析一下两用户合谋时 本发明的协议的安全性。
[0143] 如果Alice和Bob合谋,Alice和Bob最想知道的是K,因为知道了K就可以帮助他们 知道Char 1 i e和Di ck的秘密。在这种情况下,A1 i ce和Bob可能会交换一些有关Ka和Kb的信息, 但是这些信息不会导致他们各自秘密的泄露。如果Alice告诉B〇b kal ? ka2(ka2 ? ka3),Bob告 诉Alice kbi ? kb2(kb2 ? kb3),那么Alice和Bob就会知道xi ? X3(X2 ? X4),如下所示:
[0144] kai ? ka2 ? kbi ? kb2 = rai ? xi ? ra2 ? X2 ? rai ? X2 ? ra2 ? X3 = xi ? X3
[0145] ka2 ? ka3 ? kb2 ? kb3 = ra2 ? X2 ? ra3 ? X3 ? ra2 ? X3 ? ra3 ? X4 = X2 ? X4(12)
[0146] Alice可以做如下计算:
[0147] kai ? X3 ? xi = rai ? xi ? X3 ? xi = rai ? X3
[0148] ka2 ? X4 ? X2 = ra2 ? X2 ? X4 ? X2 = ra2 ? X4
[0149] ka3 ? X3 ? Xl = ra3 ? X3 ? X3 ? Xl = ra3 ? XI
[0150] ka4 ? X4 ? X2 = ra4 ? X4 ? X4 ? X2 = ra4 ? X2 (13)
[0151] Bob可以做如下计算:
[0152] kbi ? X4 ? X2 = rai ? X2 ? X4 ? X2 = rai ? X4
[0153] kb2 ? X3 ? xi = ra2 ? X3 ? X3 ? xi = ra2 ? xi
[0154] kb3 ? X4 ? X2 = ra3 ? X4 ? X4 ? X2 = ra3 ? X2
[0155] kb4 ? X3 ? xi = ra4 ? xi ? X3 ? xi = ra4 ? X3 (14)
[0156] 从公式(12),可以看到,除了xi ? X3和X2 ? X4, Alice和Bob得不到任何关于K的信 息。从公式(12,13,14),可以发现Alice和Bob合谋后,也得不到任何秘密信息。Charlie和 Dick合谋的情况也是类似的。
[0157] 如果Bob和Dick合谋,Bob就会告诉Dick XA*,Dick也会告诉Bob Xc*。那么当Bob和 Dick公布Cab( Cab = XB* ? Xa*)和CCD (CCD = XD* ? Xc*)之后,Bob和Dick都会知道Xa*,XB*,Xc*和XD*。 可是,无法知道A1 i c e和Char 1 i e的秘密,因为他们不知道Ka和Kb。但是可能会尝试的做一些 计算从而试图得到一些信息,可以做的计算如下所示:
[0158] Cca=Xc*?Xa*
[0159] =Xc?Kc?Xa?Ka
[0160] =Xc?Xa? (K2?r2) ? (K?n) (15)
[0161 ] =Xc ? Xa ? K2 ? K ? r2 ? ri
[0162] Ccb = Xc*?Xb*
[0163] =Xc ? Kc ? Xb ? Kb
[0164] =Xc?Xb? (K2?r2) ? (K3?n) (16)
[0165] =Xc ? Xb ? K2 ? K3 ? r2 ? ri
[0166] Cad = Xa*?Xd*
[0167] = Xa ? Ka ? Xd ? Kd
[0168] =Xa?Xd? (K?n) ? (Ki?r2) (17)
[0169] =XA?XD?K?Ki?r2?n
[0170] Cdb = Xd*?Xb*
[0171] =Xd ? Kd ? Xb ? Kb
[0172] =Xd?Xb? (Ki?r2) ? (K3?n) (18)
[0173] =Xd ? Xb ? Ki ? K3 ? r2 ? ri
[0174] 如果 Cca=Ccb 或者 Cda=Cdb,
[0175] Xc 十 Xa? K2 十 K 十 r2 十 ri = Xc 十 Xb 十 K2 十 K3 十 r2 十 ri
[0176] =>Xa ? K = Xb ? K3 (19)
[0177] 如果 Cca=Cad 或者 Cbc = Cdb,
[0178] Xc ? Xa? K2 ? K 十 r2 ? ri = XA? Xd ? K 十 Ki 十 r2 ? ri
[0179] =>Xc?K2 = Xd?Ki (20)
[0180] 从公式(19)和(20)可以发现,Bob和Dick只能知道在一些特定条件下,如:Cca = CCB,Cda=CDB,Cca=Cad和Cbc = CDB,Xa和XB或Xc和XD之间的一些特定的关系。尽管K,L,K 2和K3之 间存在循环右移的关系,然而没有它们其中的一个,任何人都无法得知其它的密钥。在本发 明的协议中只有TP知道,KdPK 3,而TP不会和任何人合谋,因此,Bob和Dick的合谋是不 会成功的。Alice和Dick, Charlie和Alice, Charlie和Bob之间相互合谋的情况也是一样的。
[0181] 1.3参与者的个人攻击
[0182] 这里的个人攻击意味着参与者不和任何人合谋,仅仅凭借自己的力量进行攻击。
[0183] 把K表示为K = ki,k2,…ki,."kn,那么Ki = kn, ki,…ki-l,???kn-l;K2 = kn-l,kn,… ki-2,??? kn-2 ; K3 = kn-2,kn-1,??? ki-3,??? kn-3 ?
[0184] 如果表示I %>和| 05>的初始态为I W>°,那么
[0185] W>°=l/2( |00000>+|00111>+| 11010>+| 11101>)i2345
[0186] 或 1/2( I+++++>+I++--->+I--+-+>+I-+->) 12345 .
[0187] 下面,只考虑 | W>Q=l/2( |00000>+|00111>+| 11010>+| 11101>)1234的情况,因为 W>°=l/2( |+++++>+|++>+ | -+-+>+ | +_>)12345的情况是类似的。
[0188] 在TP根据1(、1(3、1(2和1(1分别对粒子1序列、粒子2序列、粒子3序列和粒子5序列进行 完I(U)操作之后,第i个态| 变为态| 发送粒子1序列给Alice,粒子2序列给 Bob,粒子3序列给Char 1 i e,粒子5序列给D i ck。
[0189] Tablel ?依据kiki-iki-2ki-3, | Wh1 的所有可能的态以及Alice、Bob、Charlie和Dick 手中光子所对应的降解密度矩阵:
[0191]
[0192] 可以分析出是否Alice(Bob,Charlie,Dick)能推导出其他参与者的秘密。例如,如 果Alice能够区分态| WXHOOOO)和| WhHlOOO),那么就可以辨别出ki = 0和ki = l。由于每 个粒子1都掌握在Alice的手中,因此Alice可以得到对应于粒子1的降解密度矩阵:
[0195] 但由于piAlice(0000)=piAlice(1000),所以Alice无法区分态 | ^OiHoOOO)和态 | W >^(1000)。类似的,如表1所示,Alice无法区分下面的任意两种状态:| WXHOOOOKI W〉/ (0001), | W>i1(0010), | W>i1(0011), | W>i1(0100), | W>i1(0101), | W>i1(0110), | W)!1 (0111))and| ^OiHlOOOK | WhHlOOl), | WhHlOlO),| WXHlOll), | ^OiHllOO), | Wh1 (1101),| ^OiHlllO),| 根据表 1,知道Bob(Charlie,Dick)的情况也是类似 的,Bob(Charlie,Dick)也不能区分ki-3 = 0和ki-3 = l(ki-2 = 0和ki-2 = 1,ki-1 = 0和ki-1 = 1)。 因此,A1 ice,Bob,Char 1 ie和Dick无法得知有关K,K3,K2,和心的任何信息,那么也就无法得 知其他参与者。
[0196] 此外,如果Alice,Bob,Charlie或Dick想要通过截获重发攻击来获取其他参与者 的秘密信息也是不可能的,因为探测光子的基信息和位置信息掌握在TP手中,他们的窃听 行为会导致误码率增大,从而被TP发现,导致协议终止。
[0197] 1.4外部攻击
[0198] 外部攻击者Eve也无法得到参与者的秘密信息。首先,如果Eve进行截获重发攻击, 会因为导致误码率增大,而被TP发现。其次,仅从公布的C BA=Xf eX/和CDC = X,eXc'EVe得 不到任何有用的信息,因为不知道Ka,Kb,KC和Kd。而Ka,Kb,K C和Kd是真正的随机数,Xa' XB' Xc'Xd* 是 KA、KB、Kc、KD与XA、XB、Xc、XD-次一密得到的结果。
[0199] 1.5效率比较
[0200] 为了评估隐私比较的效率,定义量子效率为n = c/t,这里c表示要比较隐私的经典 位数,t表示每次隐私比较所需