当前位置:首页  >  博士论文

基于量子纠缠态的密钥协商协议研究

时间:2020-08-13来源:博士论文

随着互联网和大数据时代的到来,数据的安全存储和传输越来越受到人们的 关注。经典密码学在保护数据的隐私性和完整性等方面,起到了至关重要的作用。 然而,量子算法的出现,对经典密码体制带来了巨大冲击,一旦量子计算机问世, 被广泛使用的基于大整数分解难题的RSA密码体制和基于有限域上离散对数难题 的ElGamal密码体制,将被快速摧毁。量子密码学是量子技术与经典密码学的有机融 合,理论上可以实现无条件安全,用量子密码学保护信息的存储和传输,是信息安 全保护的最佳选择。 本文紧跟量子密码学的研究前沿,对量子纠缠态在量子密码协议设计方面的应 用进行了探索,提出了具有良好性质的四个多方量子密钥协商协议、两个门限量子 态共享协议和一个多方量子秘密比较协议,具体内容包括: 1.通过推广量子搜索算法一Grover算法的一个重要性质,并利用该性质,以两 粒子量子纠缠态为量子信道,提出一个基于量子搜索算法的多方量子密钥协商协议。 该协议是量子搜索算法在量子密钥协商协议构造中的首次应用,理论分析表明,该 协议在效率上优于已知的同类型协议,不仅能够抵抗外部攻击,同时可以抵抗最具 有威胁性的内部参与者的共谋攻击。 2.利用附加经典比特序列隐藏参与者私钥的方法,以两粒子Bell纠缠对为量子 信道,提出两个具有附加比特的多方量子密钥协商协议。前一个协议中,一个可信 方被引入,由他向每个参与者随机分配一个随机序列以掩盖参与者的密钥,并在密 钥提取阶段通过公布这些随机比特序列的异或值,帮助各参与者提取共享密钥。后 …个协议屮,每个参与者直接选择附加经典比特序列以掩盖口己的密钥,最后通过 公布这些附加经典比特序列來提取共享密钥。安全性分析指出,这两个协议均可以 抵抗外部攻击和内部参与者的共谋攻击。 3.利用Pauli变换和Hadamard变换的混合编码技术,以两粒了Bell纠缠对■及其对 偶为量子信道,提出一个基于不正交量子纠缠对的多方量了密钥协商协议。在 提出Pauli变换和Hadamard变换的混合编码技术的基础上,给出了西变换与不正交 量子对(包括Bell态及其对偶)之间的一个重要性质,并利用上述性质,提岀- 个traveling结构多方量子密钥协商协议。安全性分析和效率分析表明,该方案优丁所 有已知的方案。 4.通过引入--个具有特殊性质的单粒子西变换,结合线性方程的解特征,提出 一个门限量子态共享协议和一个可验证的门限量子态共享协议。前…个协议是线性 方程应用于量子态共享协议构造的第…个案例,相比丁•己知的门限戢子态共享协议, 它在效率、可行性等方面均具有一定的提高。此外,针对上述协议无法检验不诚信 参与者的失信行为,对上述协议进行改进,在不影响原协议执行过程的基础上,利 用Bell纠缠态的一个特殊性质,设计了一种不诚信检测量子对的方法,提出一个可 验证的门限量子态共享协议。 利用高能级d-level多粒子GHZ量子态的纠缠特性,提出一个多方量子秘密比 较协议,可以有效地判断出多个秘密值的大小关系。该协议可以弥补当前多数的多 方量子秘密比较协议仅限于判断秘密的相等性、很少能够用于判断秘密的大小关系 方面的不足。理论分析表明,该协议不仅能够保证安全性,同时,在效率上比已知 的协议也有较大提升。
关键词:量子密码学,量子密钥协商,门限量子态共享,量子秘密比较

摘要
随着互联网和大数据时代的到来,数据的安全存储和传输越来越受到人们的 关注。经典密码学在保护数据的隐私性和完整性等方面,起到了至关重要的作用。 然而,量子算法的出现,对经典密码体制带来了巨大冲击,一旦量子计算机问世, 被广泛使用的基于大整数分解难题的RSA密码体制和基于有限域上离散对数难题 的ElGamal密码体制,将被快速摧毁。量子密码学是量子技术与经典密码学的有机融 合,理论上可以实现无条件安全,用量子密码学保护信息的存储和传输,是信息安 全保护的最佳选择。
本文紧跟量子密码学的研究前沿,对量子纠缠态在量子密码协议设计方面的应 用进行了探索,提出了具有良好性质的四个多方量子密钥协商协议、两个门限量子 态共享协议和一个多方量子秘密比较协议,具体内容包括:
1.通过推广量子搜索算法一Grover算法的一个重要性质,并利用该性质,以两 粒子量子纠缠态为量子信道,提出一个基于量子搜索算法的多方量子密钥协商协议。 该协议是量子搜索算法在量子密钥协商协议构造中的首次应用,理论分析表明,该 协议在效率上优于已知的同类型协议,不仅能够抵抗外部攻击,同时可以抵抗最具 有威胁性的内部参与者的共谋攻击。
2.利用附加经典比特序列隐藏参与者私钥的方法,以两粒子Bell纠缠对为量子 信道,提出两个具有附加比特的多方量子密钥协商协议。前一个协议中,一个可信 方被引入,由他向每个参与者随机分配一个随机序列以掩盖参与者的密钥,并在密 钥提取阶段通过公布这些随机比特序列的异或值,帮助各参与者提取共享密钥。后 …个协议屮,每个参与者直接选择附加经典比特序列以掩盖口己的密钥,最后通过 公布这些附加经典比特序列來提取共享密钥。安全性分析指出,这两个协议均可以 抵抗外部攻击和内部参与者的共谋攻击。
3.利用Pauli变换和Hadamard变换的混合编码技术,以两粒了Bell纠缠对■及其对 偶为量子信道,提出一个基于不正交量子纠缠对的多方量了密钥协商协议。在 提出Pauli变换和Hadamard变换的混合编码技术的基础上,给出了西变换与不正交 量子对(包括Bell态及其对偶)之间的一个重要性质,并利用上述性质,提岀- 个traveling结构多方量子密钥协商协议。安全性分析和效率分析表明,该方案优丁所 有已知的方案。
4.通过引入--个具有特殊性质的单粒子西变换,结合线性方程的解特征,提出 一个门限量子态共享协议和一个可验证的门限量子态共享协议。前…个协议是线性 方程应用于量子态共享协议构造的第…个案例,相比丁•己知的门限戢子态共享协议, 
它在效率、可行性等方面均具有一定的提高。此外,针对上述协议无法检验不诚信 参与者的失信行为,对上述协议进行改进,在不影响原协议执行过程的基础上,利 用Bell纠缠态的一个特殊性质,设计了一种不诚信检测量子对的方法,提出一个可 验证的门限量子态共享协议。
5.利用高能级d-level多粒子GHZ量子态的纠缠特性,提出一个多方量子秘密比 较协议,可以有效地判断出多个秘密值的大小关系。该协议可以弥补当前多数的多 方量子秘密比较协议仅限于判断秘密的相等性、很少能够用于判断秘密的大小关系 方面的不足。理论分析表明,该协议不仅能够保证安全性,同时,在效率上比已知 的协议也有较大提升。
关键词:量子密码学,量子密钥协商,门限量子态共享,量子秘密比较

ABSTRACT
With the advent of Internet and big data era, the safe storage and transmission of data has attracted more and more attention. Classical cryptography has played a vital role in protecting the privacy and integrity of data. However, the emergence of quantum algorithms has brought tremendous impact on classical cryptography. Once the quantum computer comes out, the widely used RSA cryptosystem based on the large integer decomposition problem and ElGamal cryptosystem based on the discrete logarithm problem on finite fields will be quickly destroyed. Quantum cryptography is the organic integration of quantum technology and classical cryptography. It can theoretically achieve unconditional security. Quantum cryptography protocol is the best choice for information security protection.
Following the research frontier of quantum cryptography, this dissertation explores the application of quantum entangled stales in the design of quantum cryptography protocols. Four multi-party quantum key agreement protocols with good properties, two threshold quantum state sharing protocols and one multi-party quantum secret comparison protocol are pi*o・ posed. The specific contents include:
1, An important property of the quantum search algorithm, Grover algorithm, is generalized, and a multi-party quantum key agreement protocol based on quantum search algorithm is proposed by using the generalized properties and taking two-panicle entangled state as quantum channel. This protocol is the first application of quantum search algorithm in constructing quantum key agreement protocol. Theoretical analysis shows that this protocol is more efficient than the known protocols of the same type. It can resist not only external attacks, but also the most threatening collusion attacks from internal participants.
2* Taking two-particle Bell entanglement states as quantum channels, two multi-party quan・ turn key agreement protocols with additional bits are proposed by using the method of hiding participants, private keys with additional classical bits. In the former protocol, a trusted party is introduced, which randomly assigns a random classical bits sequence to each participant to cover up the participant's key. In the key extraction phase, the trusted party helps each participant to extract the shared key by publishing the XOR values of those random bit sequences. In the latter protocol, each participant directly chooses additional classical bit sequences to hide their keys, and finally extracts the shared key by publishing these addi- tional classical bit sequences. Security analysis shows that both protocols can resist external attacks and collusion attacks from internal participants.
Ill
3.A multi-party quantum key agreement protocol based on non-orthogonal quantum entanglement pairs is proposed by using the hybrid coding technique of Pauli transform and Hadamard transform and taking two-particle Bell entanglement pairs and their dualities as quantum channels. Based on the hybrid coding technique of Pauli transform and Hadamard transform, an important property between unitary transform and non-orthogonal quantum pairs(including Bell States and their dualities) is given, and a multi-party quantum key a- greement protocol with traveling structure is proposed. Security analysis and efficiency analysis show that the protocol is superior to all known protocols.
4.A threshold quantum state sharing protocol and a verifiable threshold quantum state sharing protocol are proposed by introducing a single-particle unitary transformation with special properties and combining the solution characteristics of linear equations. The former protocol is the first case in which linear equation is applied to the construction of quantum state sharing protocol. Compared with the known threshold quantum state sharing protocol, it has a certain improvement in efficiency and feasibility. In addition, in view of the above protocol can not test the dishonest behavior of a dishonest participant, the above protocol is improved. On the basis of not affecting the implementation process of the original protocol, using a special property of Bell entanglement, a method of dishonest detection of quantum pairs is designed, and a verifiable threshold quantum state sharing protocol is proposed.
5.Based on the entanglement properties of rf—level multi-particle GHZ quantum states, a multi-party quantum privacy comparison protocol is proposed, which can effectively determine the size of multiple secret values. This protocol can make up for the shortcomings of most current multi-party quantum secret comparison protocols, which are limited to judging the equality of secrets and seldom used to judge the size of the relationship between secrets. Theoretical analysis shows that the protocol not only guarantees security, but also greatly improves efficiency compared with known protocols.
Keywords: Quantum Cryptography, Quantum Key Agreement, Threshold Quantum State Sharing, Quantum Privacy Comparison
插图索引
图3.1 基于量子搜索算法的MQKA协议(不考虑诱骗态的情形)运行图 … 27
图3.2 具有可信方的MQKA协议的运行图 36
图3.3 协议迭代加密阶段的三个层次和三个轮次示意图 40
表格索引
表2.1 YML2O13协议中的编码规则及对妙+〉中第2个粒子执行两次Pauli变
换后的结果 16
表3J 定理3.4的验证表 24
表3.2 USwUW2UW1\Sw〉与的㊉妙㊉^2的对照表… 25
表3.3 Pauli算子对Bell态中第二个粒子的作用 34
表3.4 酉变换集合{SoQmSoQoi}的乘法表 41
表3.5 酉变换53 b e {0,1})在BS和DBS上第2个粒子的作用 43
表3.6 不同的MQKA协议效率比较    47
表 4.1 C {61,62,63,64,65}对应的方程及其解 52
表4.2 MQPC协议的性能比较 64
符号对照表
符号
T
卜〉
〈4



I
X
Y
Z
H
QFT
%
Sign[-]
< 符号名称 矩阵的转置
矩阵或向量的张量积
狄拉克符号:右失
狄拉克符号:左失
模2加法
模整数d减法 模整数d加法
Pauli变换Z (也称单位变换)
Pauli变换X
Pauli变换丫
Pauli变换Z
Hadamard 变换
量子傅立叶变换 协议的量子比特效率 符号函数
符号“V”或者符号

缩略语对照表
缩略语 英文全称 中文对照
QKA Quantum Key Agreement 量子密钥协商
MQKA Multi-party Quantum Key Agreement 多方量子密钥协商
QKD Quantum Key Distribution 量子密钥分配
QSS Quantum Secret Sharing 量子秘密共享
QST Quantum State Sharing 量子态共享
QSDC Quantum Secure Direct Communication 量子安全直接通信
QOT Quantum Oblivious Transfer 量子不经意传输
QPC Quantum Privacy Comparison 量子秘密比较
MQPC Multi-party Quantum Privacy Comparison 多方量子秘密比较
NMR Nuclear Magnetic Resonance 核磁共振
TP (Semi-)Trust Party (半)可信第三方

目录
摘要 I
ABSTRACT HI
插图索引    V
表格索引 vn
符号对照表 IX
缩略语对照表 XI
第一章绪论 1
1.1经典密码的兴起和面临的危机 1
1.2量子密码的研究背景和现状 3
1.3量子密钥协商协议的研究现状     5
1.4拓展量子密码研究的必要性 6
1.5本文的主要研究内容和组织结构. 8
1.6本章小结 10
第二章量子密码学的基本知识 11
2.1量子力学理论的四大公设及其数学描述 11
2.1.1状态空间公设 11
2.1.2时间演化公设    12
2.1.3量子测量公设 12
2.1.4 复合系统公设 13
2.2基于量子纠缠态的多方量子密钥协商协议模型   14
2.2.1基于量子纠缠态的MQKA模型 14
2.2.2基于量子纠缠态的MQKA协议分析 16
23 本章小结    19
第三章多方量子密钥协商协议 21
3.1基于量子搜索算法的MQKA协议 21
3.1.1量子搜索算法简介及其性质 21
3.1.2基于量子搜索算法的MQKA协议 26
3.1.3协议的正确性 28
3.1.4协议的一个简单例子 29
3.1.5协议的效率和安全性分析 31
3.2基于附加经典比特的MQKA协议 33
321具有可信方的MQKA协议 33
322无可信方的MQKA协议 37
323协议的正确性 38
324协议的效率和安全性分析 39
3.3基于非正交量子纠缠对的MQKA协议 41
3.3.1基于非正交量子纠缠对的MQKA协议 42
332 协议的正确性 44
3.3.3协议的一个简单例子 45
3.3.4协议的效率和安全性分析 46
3.4 本章小结 48
第四章 其它多方量子密码协议的研究 49
4.1(£®)门限 QSTS 协议 49
4.1.1限 QSTS 协议 49
4.1.2协议的正确性 51
4.1.3协议的一个简单例子 52
4.1.4协议的效率和安全性分析 54
4.2可验证的门限QSTS方案 54
421可验证的仏宛)门限QSTS方案 55
4.2.2协议的正确性 57
4.2.3协议的效率和安全性分析 58
4.3基于「level GHZ 态的 MQPC 协议 58
4.3.1基于d—lewlGHZ态的MQPC协议 59
4.3.2协议的正确性 61
4.3.3协议的一个简单例子 62
4.3.4协议的效率和安全性分析 64
4.4本章小结 65
第五章总结与展望 67
5.1全文的研究内容总结 67
5.2工作展望 68
参考文献 69
致谢 82
作者简介 85
第一章绪论
在本章中,首先简单介绍了经典密码的兴起和面临的挑战,其次简述了量子密 码的研究背景和现状,再次介绍了量子密钥协商协议的研究现状,最后给岀本文的 主要研究内容和组织结构。
1.1经典密码的兴起和面临的危机
密码是保护信息安全传输的主要技术手段,早在古罗马时代,人类已将密码技 术应用到军事中传递情报,至今已有几千年的历史。在漫长的历史长河中,战争不 断地推动着密码技术的发展,密码技术也在战争中持续地发挥着微妙的作用。特别 地,在第二次世界大战中,密码技术对世界反法西斯战争的胜利,起到了至关匝要 的作用。下面让我们回忆二战屮「段关于密码技术的真实故事:
二战期间,德国军队共装备了约30000台英格玛(Enigma)密码机,该密码机是 当时世界最先进的密码机,被盟军称为超级密码。由于盟军未能及时破译徳军的密 码,德国潜艇部队凭借超级密码的优势,击沉了盟军舰船1000余艘,使盟军在北大 西洋的军事补给线面临灭顶之灾。后来,英国政府在波兰人的帮助下,经过1年多的 努力,终于攻破了英格玛密码机并掌握了密码本。接下来,英国情报机构多次截获 德军的重大情报并成功解密,给予敌军以沉重的打击,迫使希特勒放弃在英国登陆 作战的“海狮计划S 1942年11月,在北非阿拉曼战场,英国蒙哥马利将军利用截 获的情报,事先了解到有关德军非洲军团的战略战术计划、实力部-署、后勤供给等 儿乎所有军爭部署,仅仅用了 13天,就致使徳军损失6万人和500 *辆坦克,直接 导致德军惨败于非洲沙漠。
由于密码技术在二战中起到关键性作用,二战后世界各国对密码技术的研究空 前重视,儿乎均成立了国家层面的密码谍报组织,专门对密码理论和技术进行秘密 研究。然而,这些研究大多都限制在政府和军事等机密机构,尚未形成完整的理论 系统,基本停留在经验层面,育到1948年,美国科学家香农在《贝尔系统技术杂,忐》 上发表了长篇论著《保密系统的通信理论》111,才奠定了密码学的数学理论基础,使 得密码学正式成为一门科学。时至今密码学仅仅走过70年的历程。因此,密码 学不仅是一套古老的技术,更是•门年轻的学科。随着信息技术的高速度发展,特 别是通过互联网实现万物互联的今天,密码技术的应用范围不断拓展,大到国家安 全,小到企业的商业机密、个人隐私(如个人银行卡的支付密码)等,都需要通过 密码技术进行安全地保护,无论是国家政府层面,还是企业和个人层面,对信息存 
储和传输的安全性需求显得越来越紧迫。
近代以来,经典密码学在信息的安全保护中发挥了不容忽视的作用,比较有代 表性的经典密码体制有数据加密标准DES、高级加密标准AES、RSA密码体制、椭 圆曲线密码体制(ECC)等。经典的密码体制大致可以分为两种类型:私钥密码体 制(或称为对称密码体制)和公钥密码体制(或称为非对称密码体制)。前者中,通 信双方必须事先共享一个秘密密钥(比如通信双方提前会面,秘密协商一个密钥, 或者可信密钥托管中心分发密钥等),以用于加密需要传输的消息。为了实现安全的 消息传输,这个共享密钥不能泄漏,必须妥善保存。当通信方较多时,每两个通信 方都需要共享密钥,使得密钥数量激增,分发和保存密钥复杂度增大,密钥存储的 安全性面临着巨大的挑战。为了破解上述难题,1976年,Diffie和Heilman打破传统 观念,利用有限域中离散对数问题的难解性,提出了密钥协商的概念巴 并实现了两 方密钥协商协议(Diffie-Heilman协议),即协议的两个参与方可以在公开的信道中 完成密钥的协商。紧接着,1977年,Ron RivesL Adi Shamir和Leonard Adleman利用 大整数素因子分解的难题,提出了著名的RSA密码体制%截止2017年底,RSA密 码算法被仍被普遍认为是最优秀的公钥方案之一,也是保护信息的安全存储和传输 的主流算法。以上两种算法的提出,为密码学开创了公钥密码体制研究的新天地, 掀起了对公钥密码体制研究的热潮。
经典密码系统保护信息的方式是建立在高计算复杂度基础上的,也就是说,以 当前最好的计算能力,即使多台超级计算机并行计算,在有效时间内也不能破译该 密码系统。但是,随着计算能力的不断增强,经典密码系统也不断迎接着各种挑 战,例如,RSA密码算法虽然是一种非常优秀的公钥方案,但是随着计算能力的不 断提升,密钥长度为512比特和768比特的RSA密码体制分别于1999年和2009年被成 功破解。除了计算能力的提升,一些高效算法的出现也给经典密码带来强烈的冲击。 1994年,美国麻省理工学院应用数学系教授Peter Williston Shor提出了著名的量子质 因数分解演算法 Sho【算法⑷。2001年,IBM团队使用核磁共振(NuclearMagnetic Resonance, NMR)量子计算机演示了Shor■算法,成功地将15分解成3和5的乘积⑸。 2016年3月,《科学》杂志发表的论文《Realization of a scalable Shor algorithm》冋中, 提出了实现Shor算法的可扩展的方式。理论分析表明,使用量子计算机的Shor算法, 可以快速破解大整数因子分解难题和有限域上离散对数难题。例如,要分解一个 大约129位的数字,需要使用大约1600台超级计算机联网并不间断地工作8个月;而 要分解一个大约140位的数字所需的时间将是长达几百年;但是,使用一台量子计 算机,理论上来说,大约几秒钟就可得到运算结果,量子计算机和1000亿个奔腾处 理器的运算能力几乎不相上下。2018年10月19 H, Bravyi, Gosset和Koenig在《科 学》杂志上发表的论文《Quantum advantage with shallow circuits^⑺中,对在相同的 限制下,严格地证明了量子计算机可以超越经典计算机。因此,一旦量子计算机成 功制造并付诸应用,经典密码体制将面临灭顶之灾。
为了应对量子算法和量子计算机可能带来的威胁,密码学家们思考着两个问 题。一是利用现有的量子算法也无法解决的数学困难问题,设计安全的密码算 法,直接引发了抗量子密码算法的研究热潮。美国国家标准技术研究院(NIST) 于2016年8月开始向世界公开征集抗量子密码算法,截止到2018年10月29日,第一轮 共收到69个算法,不断地接受来自全世界的密码学家的分析和检验;通过激烈地竞 争,2019年1月汨,NIST公布了进入第二轮的26个候选算法。二是利用量子力学理 论与经典密码学、计算机科学和通信技术等相结合设计密码算法,直接引发了量子 通信、量子计算和量子密码的兴起。美国、欧洲、IBM等国家和组织在该领域投入 巨资进行研究,在量子计算的模拟、量子云平台的搭建、量子网络的组建、量子计 算机的研发等方面取得了较大进展,我国在量子通信和量子计算等领域也在加快步 伐,2018年将“量子调控与量子信息"正式列入国家重点研发计划,主要对关联电 子体系、小量子体系、人工带隙体系、量子通信、量子计算与模拟、量子精密测量 等方向的研究进行重点支持。由于世界各个国家和团体对量子计算的巨大投入,量 子计算机的研究取得了重要进展。2017年5月,中国研发团队开发首台10个量子比 特计算机原型机;2017年II月,美国IBM面向全球公布了首台由IBM研制的20个量 子比特原型机,随后,又在美国2018 CES大展上将自主研发的50个量子比特计算 机原型机公诸于世人,让人们近距离看到50个量子比特计算机的真容;2018年3月, 谷歌已着手测试具有72个量子比特的量子计算机。
目前,量子计算机的发展速度比以往任何一个时期都要快速。抗最子密码算法 所基于的困难问题,己知的量了算法对它们虽然暂时不能有效解决,但是,随着量 子计算机的研发进程不断推进,无法预测能够破解这些难题的量了算法在将來会不 会出现。由此可见,抗量子密码能否经得起考验尚未可知,也许不能从源头I〔解决 经典密码学面临的困境。基于杲了力学基木原理的戢了密码算法,理论上可实现无 条件安全,是信息安全保护的锻佳选择。因此,对量子密码进行理论研究和实践探 索,显得尤为重要。
1.2量子密码的研究背景和现状
早在1969年,哥伦比亚大学学者Stephen Wiesner^论文《共轨编码》凶中,首 次提出使用量子效应保护信息的思想,遗憾的是,因为种种原因,这篇论文直 到1983年才被公开发表。受到该思想的启示,1984轩,Bennett和Brassard在国际上 提出了第一个基于单光子传输的量子密钥分配方案BB84协议化开启了量子密码研 究的先河。因此,狭义上來说,量子密码学的研究通常指量子密钥分配协议的研究。 但是,从广义上来讲,量子密码学范畴广泛,主要指使用量子技术及其与经典密码 学相结合等方法,保护信息安全性的研究。
1991年,Ekert利用Bell态,提出第一个基于量子纠缠态Bell态的量子密钥分 配协议E91协议问。次年,基于量子纠缠态的特性,Bennett, Brassard和Mermi提出 另一个不同于E91协议的量子密码协议并证明了该协议与BB84协议是等价的。 1999年,LoHK和Chmi在假定存在容错量子计算机的条件下,给岀了量子密钥分 配协议的无条件安全性的证明问。2000年,Shor和Preskill给出了BB84协议无条件 安全性的一个更加简洁的证明方法网。以上成果的取得,为量子密码学的兴起和 发展,打下了深厚的理论基础。同一年,Bennett等人第一次在实验中验证了量子 密钥分配协议的可行性,引领了量子密码实验研究的新征途。接下来的近30年时 间里,量子密码学吸引了世界上物理学、密码学、数学和计算机科学等各个领域 专家学者的高度关注。在理论的研究方面,已有多种类型的量子密码协议被提出, 主要包括量子密钥分配(Quantum Key Distribution, QKD) [I5_281,量子安全直接通 信(Quantum Secure Direct Communication, QSDC) 129-601,量子秘密共享(Quantum Secret Sharing, QSS)和量子态共享(Quantum State Sharing, QSTS) r61"931,量子不 经意传输(Quantum Oblivious TTansfg QOT)旳°役 量子密钥协商(Quantum Key Agreement, QKA) 1109-1371,量子秘密比较(Quantum Privacy Comparison, QPC)"曲呦 等。在实验和实现方面的研究,主要集中在量子密钥分配方面,产出许多非常可喜 的成果1165-1821,目前已经实现了千公里级的量子密钥分配。
我国在量子技术方面的研究走在国际先进水平。2016年8月16日1时40分,由中 国科技大学潘建伟教授率领的团队在酒泉卫星发射中心成功发射世界上首颗量子科 学实验卫星“墨子号”;2016年12月,“京沪干线”全线贯通,在世界上首次实现了 基于可信中继方案的远程量子安全密钥分发,可以为政务、金融及军民融合等领域 提供数据保密通信服务;2017年,分别位于北京和维也纳的两个地面站,在“墨子” 号量子技术试验卫星的帮助下实现的密钥传输,并用于解密通过传统互联网发送的 加密视频;2017年7月,借助于“墨子号”量子卫星,首次成功地实现了千公里级星 地双向的量子通信,为构建覆盖全球的量子保密通信网络,奠定了坚实的科学和技 术基础;2017年9月底,世界上第一条量子保密通信干线一京沪量子干线建设成功, 该干线建立了北京、上海之间距离达2000多公里的地面量子密钥分发网络,为银行 和其他企业提供敏感数据的安全传输服务;2018年6月,一款国产军用手机大小的 量子通信移动终端通讯设备在第九届中国国际军民两用技术博览会上展出,且该套 设备己投入军用。另外,我国学者在QSDC方面的理论和实验研究也有一些突破性 成果,清华大学龙桂鲁教授组于2004年提出国际上第一个QSDC理论方案近两 年龙桂鲁教授组和南京邮电大学盛宇波教授组合作,在QSDC的实验研究方面又取 得新的突破曲旳,首次实现了500米光纤的量子安全直接通信。
1.3量子密钥协商协议的研究现状
密钥协商是经典密码中很多密码协议的基本原型,也是非对称密码体制的研究 基础,是指通信双方在公共网络中建立一个会话密钥,以供在后期通信过程中加密 消息使用,从而保证通信的私密性和安全性。密钥协商协议的构造大多基于数学中 的计算困难问题,如离散对数问题、大整数因子分解问题等,但是量子算法的出现 对它们形成了巨大威胁。此外,如何将经典密钥协商协议中的参与方从2方扩展到多 方,也一直是个难以解决的问题。直到2013年,Gentry和Halevi在欧洲密码学年会 上提出了基于格中多线性映射(GGH)的方案“呵,多方密钥协商协议才得以成功解 决,在密码学发展史上留下辉煌的一笔,在国际上引发了多线性映射研究的热潮。 遗憾的是,2016年8月,西安电子科技大学胡予濮教授和他的博士生贾惠文在欧 洲密码学年会上提岀一种针对GGH的攻击方法,对GGH映射本身以及基于GGH映 射的各类高级密码应用进行了颠覆性的否定因此,在传统密码方案中实现安 全的多方密钥协商万分困难,将经典密钥协商和量子密码相结合,设计安全的多 方QKA协议,显得尤为重要。
2004年,周南润等人提出了首个两方QKA方案冋,可惜的是,方案提出不久, Tsai和Hwang指出该协议中共享密钥可以由一个参与方完全决定」同时提出了 一个改进方案,不过,改进后的方案基于随机测量,没有表现出参与方的协商意 愿,也不是真正意义上的QKA方案。Hsueh和CheJ⑼也提出…个新的QKA方案,不 过该方案易受到截取■重发攻击,不是-个安全的方案。直到2010年,第…个完 全意义匕的安全两方QKA方案被提出⑴=引起了对QKA研究的热潮,多种方案不 断被提出何回。前面提到的QKA方案均局限于两个参与方,如何将两方QKA推广 到多方QKA (Multiparty QKA, MQKA),是密码学家们罪常关心的问题。2013年, 石润华等人提岀了第•个MQKA协议,打开了对MQKA研究的新局面,越來越多 的MQKA协议不断被提岀叫吧
根据量子信道的结构划分,当前提岀MQKA方案可以分为两类脱役第-类是其 有distributed结构的协议,即参与方之间两两制备并发送量子态序列用于传递个人私 钥,每个参与方通过测量获得其他参与方的私钥,最终将这些私钥做异或运算,即 得到共享密钥;第二类是具有traveling结构的协议,即每个参与方制备量了态序列并 发送或一部分发送给下一个参与方,然后接收者根据自己的私钥,对收到的量子态 序列执行酉变换操作,再将该序列发送给下•个参与方,该过程循环下去,直到每 个参与方收到自己制备的最子态序列为止,然后通过测量获取其他所有参与方私钥 的异或值,与自己的私钥做异或运算,即得到最终的共享密钥。根据所使用的量子 资源划分,MQKA方案大致也可以分为两类:第一类是以单光子为量子资源,通常 基于单光子传输的BB84方案来构造协议;另一类是以量子纠缠态为量子资源,通常 利用量子纠缠态(如Bell态、GHZ态、Cluster态等)的纠缠特性来构造协议。
2013年,北京邮电大学高飞团队提出第一个基于单光子传输的MQKA协议山役 该协议使用了distributed结构,存在两个缺陷:一是每个参与方的私钥都会暴露给其 他参与方,二是由于distributed结构的使用,每两个参与方之间都需要制备并发送单 光子,量子资源需求量大。同年,孙志伟等人对该协议进行改进何,将distributed结 构改为traveling结构,极大地节约了量子资源,同时,也存在一个致命弱点,就是极 易受到共谋攻击。一般地,从信息的传输效率上来看,利用纠缠态构造的协议中, 通常利用超密编码,1个量子比特(qubit)可以携带超过1个比特的信息,效率普遍 要比基于单光子量子资源的协议高出许多;从量子态的制备和传输数量上来看,具 有distributed结构的协议所需制备和传输的量子比特要比具备traveling结构的协议高 出许多。所以,将traveling结构和量子纠缠资源相结合构造MQKA协议,成为密码学 关注的焦点。该类协议中,协议参与方通常选择一种量子纠缠态做为信息传输载体, 每个参与方制备该类型量子纠缠态序列,将纠缠粒子进行拆分,保留一部分在自己 手中,将其余的粒子逐次发送给下一个参与方并执行酉变换操作,直到该粒子序列 重新回到制备者手中,制备者通过测量,获取其他参与方密钥的异或值,将该值与 自己的密钥做异或运算,最终得到共享密钥。当前提出的大多数协议都属于这一类, 由于该类协议中traveling结构的使用,虽然效率大幅提升,但是,几乎都面临共谋 攻击的威胁,已知的traveling结构MQKA协议中,只有少数几个U24J27'13X 1341能够抵抗 共谋攻击。因此,构造安全的基于多粒子量子纠缠特性的traveling结构MQKA方案, 是当前MQKA协议的研究热点。
1.4拓展量子密码研究的必要性
目前,国内外学者对量子密码学的研究,已经达到一个空前的阶段,不管在理 论上,还是在实验上,成果异常丰富。尽管如此,量子密码学还有非常大的研究 空间。因此,在对QKA协议和MQKA协议研究的基础上,将研究方法和研究经验 进行推广,应用到其它类型的量子密码协议的设计和分析中,如对量子秘密共享、 量子秘密比较等内容进行研究,对丰富量子密码理论,具有重要的意义。下面通 过简要介绍门限量子态共享(Quantum State Sharing, QSTS)和多方量子秘密比较 (Multiparty Quantum privacy comparison, MQPC)的研究进展,说明拓展量子密码学 研究范畴的重要意义。
首先,我们介绍一下QSTS协议的研究进展。考虑如下模型:拥有一个秘密量子 态的商家(通常称呼为Alice),准备通过执行一个协议,将有关自己的秘密量子态的 信息分发给协议的n个合法参与者;一旦有紧急需要,Alice指定一个参与者为秘密 信息的恢复者,同时指定其他至少t-1个合适的参与者协助恢复者,共同恢复秘密 量子态,且满足:任何非法参与者或者少于土个的合法参与者都无法恢复该量子态, 只有t个或者多于t个合法参与者联合起来,才可以成功恢复该量子态。这种模型称 为(”)门限QSTS协议。
1999年,Hillery等人冋提出了第一个共享经典消息的量子协议,即量子秘 密共享协议;同一年,Cleve等人昭利用纠错码理论,提出第一个共享秘密量 子态的门限QSTS协议。然而,上述门限QSTS协议很难在实验上验证。紧接着, 2002年,Tyc和Sanders利用连续变量最大量子纠缠态,提出了一个在实验上可行的 门限QSTS协议丽,随后,2004年,Lance1641给出了 一个(2,3)门限QSTS协议的实验验 证。自那以后,多种门限QSTS协议他5^纷纷被提出。以上方案多数基于纠错码或者 拉格朗日插值法,方案的设计和计算量比较复杂。因此,寻找更为简单高效的门 限QSTS协议的设计方法,显得尤为重要。
接下来,我们介绍•下有关MQPC协议的研究进展。量子秘密比较协议是经典 秘密比较协议和量子信息技术相结合发展起来的新兴产物。经典的秘密比较的概念 源于图灵奖获得者姚启智教授提出的著名的百万富翁问题'昭,是多种类型密码学 协议的基本原型,在密码学中具有重要的应用价值,在电子选举、秘密比较、电子 拍卖等领域均有重要的应用价值。百万富翁问题的提出直接引发了安全多方计算 的兴起,多方秘密比较协议的研究是其中的一个重要研究课题。多方秘密比较是指 多个持有秘密数值的参与方,通过执行一个密码学协议,在不泄露各自秘密的前提 下,能够确认各参与方秘密数值的人小关系。百万富翁问题提出以后,密码学界提 出了多种不同的解决方案吨旳。近年來,随着杲子信息技术的发展,量子力学和秘 密比较相结合,逐步发展成为"个新的研究方向一W子秘密比较(Quantum privacy comparison, QPC),特别足对多方雄了秘密比较(MQPC)的研究,已成为疑子密 码学领域的研究热点。
2009年,Yang等人首次提出…个秘密比较协议的量子版本吓',即QPC协议,开 启了QPC协议研究的先河。Yang等人的协议是■个比较两个参与方的秘密信息足否 相等的协议,该协议利用抗碰撞的Hash函数将两个参与方的秘密信息映射为等长的 两个经典比特串(称为Hash值),用来隐藏参与者的秘密信息;然后将两个Hash値 通过单粒子酉变换操作分别嵌入到Bell态序列的两个粒子中;最后,利用Bell态的纠 缠特性,通过对Bell态序列进行测量来判断两个Hash值是否相等,来决定两个参与 者的秘密信息是否相等。随后,利用多粒子GHZ量子纠缠态和天-型量子纠缠态等量 子纠缠资源,多个QPC协议被提出删2’役然而,以上协议仅适用于两个参与者的 秘密信息是否相等的比较,直到2013年,第一个用于比较多个参与方秘密信息是否 相等的协议冋】才被提出,在量子秘密比较的研究进程中,迈出了重要一步。接下来, 更多的QPC协议[149,152'1571和MQPC协议1143354,1581不断被提出。然而,这些方案仅仅解决 了比较参与方之间秘密值是否相等的问题,一旦涉及到对参与方秘密值的大小关系 比较时,显得无能为力。因此,利用量子资源,寻求判断参与方秘密值大小关系的 解决方案,显得尤为重要。
可喜的是,2011年,Jia等人冋利用高能级d-level GHZ量子态资源的纠缠特性 和相位编码,将参与方的秘密值嵌入到GHZ量子态的相位中,提出了第一个用于判 断秘密值大小关系的两方QPC协议,为量子秘密比较的研究开辟了一片新的天地。 随后,分别利用高能级d-le+elBell纠缠态资源吨和高能级d-level单光子源卩的,多 种用于判断秘密值大小关系的两方QPC协议被提出。2014年,Luo等人冋将协议 的参与者从两方扩展到多方,提出了一个用于判断秘密值大小关系的MQPC协议。 在Luo等人的协议中,首先,可信的第三方7T与N个参与者之间要建立一个可信经 典信息传输信道,且所有参与者通过QKA协议提前共享一个密钥K;然后,匚P制 备一个高能级d-level N粒子纠缠态序列并分成N个单粒子序列,分发给每个参与 者;接下来,每个参与者对收到的粒子序列进行测量,并将测量结果转化为经典数 值序列,随后把自己的秘密值、共享密钥K和经典数值序列模N相加得到一个新的 经典序列,通过认证信道传输给可信的第三方最后,可信的第三方TP通过对 收到的经典序列进行分析计算,判断并公布各参与者的秘密值的大小关系。2015年, Huang等人(切利用高能级d-level GHZ量子态资源的纠缠特性,又提出了一个用于判 断秘密值大小关系的MQPC协议,但是该协议存在一个重要缺陷,就是某个不诚信 参与者可以轻而易举地获取其他参与者的秘密值。因此,设计安全高效的多方量子 秘密比较协议,显得意义非凡。
近些年,随着研究的不断深入,量子密码学的研究范畴不断扩大,从最初 的QKD、QSS、QKA等基本的协议研究,逐步扩充到经典密码学各个研究领域的量 子版本,如量子签名、量子雷达、量子投票、量子认证等,理论上不断丰富,实验 上不断取得新突破。但是,距离量子密码的实用化和商用化,还有很长的路要走。 因此,逐步扩大量子密码理论研究范畴,加快推进实验研究,对完善量子密码学理 论,推进量子密码实用化进程,具有重大的意义。
1.5本文的主要研究内容和组织结构
论文主要对量子纠缠态在粒子的位置交换、酉变换等操作下的性质进行深入研 究,利用这些性质,提出MQKA协议的若干构造实例,并对协议的安全性、效率等 进行深入分析;进一步地,将研究QKA协议和MQKA协议的方法进行推广,应用到 量子秘密共享、量子秘密比较等协议的设计和分析。下面对全文章节的组织结构安 排和主要研究成果做一简要介绍。
全文共分为五章,具体安排如下:
第一章为绪论。首先,对经典密码学的发展进行了简单的介绍,在肯定其在历 史长河中保护信息的安全存储和安全传输方面发挥重要作用的同时,指出在新的发 展征程中,经典密码也面临着不可回避的困境:一是无法实现完美的多方密钥协商 协议;二是面对量子算法的威胁,它本身是脆弱的,并指出了对理论上可以实现无 条件安全的量子密码学研究的必要性和重要意义。其次,概述了量子密码学的研究 背景及其在理论和实验方面的研究现状。紧接着,扼要介绍了量子密钥协商协议的 研究现状,特别是已知的多方量子密钥协商协议在安全性和效率方面存在的缺陷, 表明了构造安全高效的量子密钥协商协议的必要性,同时也简述了拓展量子密码研 究范围对丰富量子密码研究理论和推动量子密码实用化进程的重要意义。最后,介 绍了全文章节的组织结构安排及主要研究成果。
第二章为量子密码学的基本知识。首先,介绍了研究量子密码学所需要的有关 量子力学的基本知识和必要的数学基础知识,包括最子力学四大公设以及量子比 特、纠缠态、量子测量、酉变换等概念。其次,以■个具有代表性多方密钥协商协 议一一YML2013协议^为例,对基于量子纠缠态的多方量子密钥协商协议模型进行 了介绍,并从协议的正确性、安全性和效率三个方面,对协议进行了分析。
第三章对具有多个参与方的量子密钥协商协议进行了深入研究,提出四个具 有traveling结构的多方量子密钥协商协议。第一,引入量子搜索算法Grover•算法的一 个重要性质并对其进行推广,利用推广后的性质,首次将量子搜索算法应用到多方 量子密钥协商协议的构造,提出•个基于量子搜索算法的多方量子密钥协商协议。 第二,利用Bell态上的单粒了阳操作所貝备的性质,引入附加序列來隐藏参与方的 私钥,分别提出…个只有可信方和•个没有町信方的基r附加经典比特的多方量了 密钥协商协议。第三,利用Pauli变换和Hadamard变换的混合编码以及罪止交量了态 的不可区分性,提出-个基丁诽止交戢子纠缠对的多方量了密钥协商协议。理论分 析表明,本章提出的四个协议不仅效率相对较高,而且叮以有效地抵抗各种攻击方 法。
第四章对多方量子密钥协瀚协议以外的其它类型的量子密码协议进行了探索, 提岀两个门限量子态共享方案和•个多方量子秘密比较方案。首先,利用多变量线 性方程解的特性,首次将线性方程的解与单粒子西变换相结合,提出•个基于单光 子酉变换和线性方程组的门限量了态共享方案,与已有的方案比较,该协议在效率、 可行性等方面具有较人的提升。其次,结合Bell态的纠缠特性和在单粒子酉变换下 的特殊性质,对前一个门限量子态共享方案进行改进,提出一个可验证的门限量子 态共享方案,该方案在保持原方案优良性能的基础上,冇效地解决了原方案中参与 方的不诚信行为无法检测的缺陷。最后,利用高能级量子纠缠态一一GHZ态的特殊 性质,提出一个用于比较多个用户的秘密值大小的多方量子秘密比较方案,证明了 该方案的正确性,并对该方案的安全性和效率进行了理论分析。
第五章为全文的总结和展望,重点对全文的贡献和创新点进行了总结,并就下 一步的研究工作进行了展望。
1.6本章小结
本章简单介绍了经典密码学的一些基本知识,包括背景知识、发展历程、研究 现状和面临的挑战;重点介绍了量子密码学的兴起、量子密钥协商的研究现状和存 在的问题,阐释了研究量子密钥协商的重要意义;同时,对量子态共享、多方量子 秘密比较等其它量子密码协议进行简单介绍的基础上,简述了拓展量子密码研究范 围对丰富量子密码研究理论和推动量子密码实用化进程的重要意义;最后,对全文 的研究内容和组织架构进行了简要介绍。
第二章量子密码学的基本知识
量子密码学是将经典密码学理论与量子力学相结合的创新性成果,其理论体系 主要依靠量子力学理论、数学理论、计算机科学理论等学科的支撑。本章节着重介 绍一些必要的量子力学理论基础知识、数学理论基础知识、多方量子密钥协商协议 的模型,为后面章节的介绍做好铺垫。
2.1量子力学理论的四大公设及其数学描述
量子力学可以用一套数学框架或者一套构造物理学理论的规则来描述,其内容 主要建立在四个公设的基础之上,即状态空间公设、时间演化公设、量子测量公设 和复合系统公设映I
2.1.1状态空间公设
公设1 (状态空间公设)对于任何一个孤立的物理系统,都存在一个称为系统 状态空间的复内积向量空间(Hilbert空间)与之相对应,系统完全由系统状态空间 中的向量来描述,这个向量是系统状态空间中的一个单位向量。
公设1告诉我们,孤立的物理系统可以由复内积向量空间描述,量子态由空 间里的一个单位向量表示,通常记为|0〉。经典信息的单位是比特(bit),对应 地,量子信息的单位是量子比特(qubit)。如果状态空间的维数是厶那么单位向 量|0〉= (1,0卩和|1) = (0,1卩(这里采用的是Dirac符号,7代表矩阵的转置)是状态 空间中的两个量子态,并组成了状态空间的一组标准正交基(称为Z基)。因此,任 意一个单量子比特妙)可以表示为如下的单位向量:
|妨=创0〉+ 0|1〉 (2-1)
其中Q和0是复数,且满足|&F + |0F = 1。我们常用的另一组标准正交基由单量子比 特1+〉=為(|0〉+11〉)和|一〉= ^(10)-|1»组成,称为x基。更一般地,如果状态空 间是高维向量空间,且单位向量|0〉,応〉,・・・,|处〉组成空间的一组标准正交基,那 么该空间中任一量子态可以表示为
”〉=Qild〉+。2中2〉H 1- %阮〉 (2-2)
其中如心,…,%是复数,且满足ImF + |a2|2 +…+ |an|2 = lo

2.1.2时间演化公设
公设2 (演化公设)一个封闭的量子系统演化可以完全由一个酉变换来刻画, 也就是说,系统在时刻£1的状态|0>和在时刻%的状态10〉,可以通过仅依赖于时间右 和上2的一个酉算子U相联系:
如=U\(/>) (2-3)
公设2告诉我们,量子态从一个状态转变为另一个状态,遵循线性变换规律,且 该线性变换是一个酉算子U,即UW = UW = /,这里t表示矩阵的共辘转置。因此, 量子态的状态演化完全可以用数学中的酉矩阵来描述,量子力学中的问题就可以方 便地用矩阵运算解决了。这里,我们给出常用的单粒子酉变换,分别为Hadamard变 换H以及4个Pauli变换/、X、Y和Z:
1 ■ 1 1 -
HP 1 -1 (2-4)
'10" ■ 0 1 ■ ~ 0 一厂 「1 0
1 = 0 1 、X = 1 0 i 0 ,Z = 0 -1 (2-5)

2.1.3量子测量公设
公设3 (量子测量公设)量子测量是通过一组测量算子{%}来描述的,这些测 量算子作用在被测量的系统状态空间上,指标m表示在实验中可能观测到的测量结 果。若在测量前,量子系统的最新状态是妙〉,则结果m发生的可能性由方程
p(m) =
给出,且测量后系统的状态将表示为
测量算子满足如下完备性方程:
= I (2-8)
m
公设3告诉我们,任何一个量子态一旦被测量,就可能会改变原始量子态的状 态,并以一定的概率坍塌成一个新的量子态(即测量结果),也就是说,我们观察到 的状态与系统本身被测前的状态可能是不同的。测量结果和概率不仅与原始状态有 关,同时也与选择的测量算子(测量算子有时候也用状态空间的一组标准正交基表 示,称为测量基)有关。
例如,在二维量子状态空间中选择一组测量算子其中何0)= |0〉(0| = (1,0)T(1,0)=(点 门,M|1〉= |1〉〈1| = (1,O)T(1,O)=仏(该组测 量算子对应的测量基为Z基),对量子态|+〉=烹(|0) + |1〉)进行测量,由假设3可知, 测量结果可能是|0〉或|1〉,它们发生的概率分别为
加 0〉)=〈+网訥/|0>1+〉=・
p(|i)) = (+|^)a/11)|+h|. (2_9)
经过测量以后,假如测量结果是|0〉,那么量子态已不再保持原有的状态|+〉, 而是由测量前的状态1+〉=為(|0〉+⑴)坍缩到状态|0〉。更一般地,如果状态 空间是高维向量空间,空间中任一量子态3〉=內|汽〉+他“2〉+ (其中的系数•…%是复数,且满足U1F + 02F +…+ |偽严=1)在测量 基{中1〉3・一叽}下测量,则测量结果为I如(2 = 1,2,…4)的概率为|山料 特 别地,如果被测系统的状态10本身就是所选择的测量基{"】〉*2〉,…:认〉}中的一 个状态,那么测量后并不改变被测系统的状态,即状态仍处于中〉。然而,如果系统 的状态是一个未知量子态,那么我们无法选择止确的测量基以保证测后的状态不变, 一旦系统的状态不在选择的测量基中,测量后,系统状态必然改变,因此无法观察 到该系统的本身状态,这就是未知量子态的测不准原理。
2.1.4复合系统公设
公设4 (复合系统公设)复合物理系统的状态空间可以由分物理系统的状态空 间的张量积来表述,若将分物理系统编号为1到九,系统z的状态为临〉,则整个复合 系统的状态可表示为妙〉® 102)&…® |0".
公设4告诉我们,如果现有若干个较简单的物理系统,它们的状态空间做张量 积,即可复合成…个更加复杂的物理系统的状态空间;反之,复合物理系统的状态 空间,也可以看做由较为简单的物理系统的状态空间做张量积复合而成。如果I旳是 系统4的一个状态,⑹是系统“的•个状态,那勾A) 0 \B)(简记为\AB))是联合 系统SB的一个状态。最简单的复合系统是由两个疑了比特系统做张戢积构成的,称 为双量子比特系统。双量子比特空间是四维向量空间,它的基包含四个基态,分别 为
|00) = |0)®|0)-(l,0,0,0)T,
|01)^|0)® 11) = (0,1,0, of,
|10) = |l)®|0)-(0,0,1,of, 210)
111) = 11)0 11)^(0,0,0,1)T
以上的四个状态都可以写成两个单量子比特的张量积形式,然而,有些双量子 比特却不能简单地写成单量子比特的张量积形式,这种状态称为量子纠缠态。量子 纠缠特性是量子力学的重要特征,也是量子信息传输的重要资源,最常用到的双量 子纠缠态是Bell态的四个EPR纠缠对,它们组成双量子比特空间的一组基,定义如 下:
妙+〉=饶(|00〉+ 2〉), |0-〉=為(|00〉- 111〉), 1妙+〉=制01〉+ 卩0〉), 211)
妙-〉=饶(|01〉一卩0〉)・
2.2基于量子纠缠态的多方量子密钥协商协议模型
自从首个两方QKA协议呻提出以来,QKA协议的研究内涵不断完善,由最初的 两方QKA扩展到多方QKA,密钥的产生效率、协议的公平性和安全性越来越受到重 视。一个完备的MQKA方案的模型描述如下:设P\、P2、…、Pn是N个合法参与方, 且每个参与方拥有一个秘密的私钥他们通过协商确定一个共 享密钥[K] = ㊉心㊉…㊉心(㊉代表模2运算,或者异或运算),且协议的执行
过程必须满足公平性和安全性,即最终的共享密钥不能被部分合法参与方或者未授 权的其他参与方确定,必须由所有合法参与方共同决定,且能抵抗外部攻击和内部 攻击。本节以三方traveling结构的QKA协议一一YML2013协议呻为例,阐释基于量 子纠缠态的多方量子密钥协商协议模型的构造原理,并对其进行效率分析和安全性 能分析。
2.2.1基于量子纠缠态的MQKA模型
本节以YML2013协议^为例,对基于量子纠缠态的多方量子密钥协商协议的模 型进行简单介绍。YML2013协议是一个基于两粒子最大纠缠态Bell态的具有三个参 与方Alice、Bob和Charlie的协议,下面,我们对该协议进行简单回顾。
协议的三个参与方Alice. Bob和Charlie商量一种编码方案,将Pauli变换人 X和Z以及Bell态中的全部4个EPR纠缠对分别与经典比特——对应(见表2.1),也就 是说,将Pauli变换/编码为0,将Pauli变换X和Z均编码为1,将Bell态妙+〉和妙-〉均 编码为0,将Bell态妙-〉和|0+〉均编码为1;随后,每个参与方选择一个长度为冗的 经典比特串做为自己的秘密私钥(见式(2-12))o他们将通过以下步骤协商出最终的 共享密钥[K] = Ka㊉Kb㊉Kq =饥上2…际(这里底=逐㊉力㊉= 1,2厂…
Ka =
Kb = 6ib2 • • * fin, (2-12)
Kc = Cic2 …Gv
第1步:首先,Alice制备“个相同的Bell态砂+〉=盘(|01〉+ |10〉),并将它们分成 两个有序的单粒子序列巴1和」巳2,这里巴1和尺42中的每个粒子分别是对应位置Bell 态中的第1个粒子和第2个粒子;接下来,Alice从{|0〉,⑴」+〉,|一)}中随机选择足够 多的诱骗态(通常选择沱个),将它们随机插入到第2个粒子序列巴2中得到一个混合 序列;最后,Alice将第1个粒子序列“ 1保留在自己手中,将混合序列发送给Bob。 类似地,Bob (Charlie)也做同样的操作,将第1个粒子序列」P田(FCi)保留在自 己手中,并将足够多的诱骗态粒子随机插入到第2个粒子序列」Pa(Pc2)后,发送 给Charlie (Alice )□
第2步:当所有参与方均确认自己发送的单粒子序列被对应的接收方收到后, 他们开始执行诱骗态检测。首先,发送方Alice (Bob或Charlie)告矢口接收方Bob (Charlie或Alice)诱骗态的位置及其对应的测量基;然后,Bob (Charlie或Alice)对 诱骗态进行测量并将测量结果公布;最后,Alice (Bob或Charlie)将测量结果与诱 骗态的原始状态比对,计算错误概率。如果错误概率在容许的范围内,则认为信道 是安全的,协议转到第3步;否则,协议终止。
第3步:Bob (Charlie或Alice)删除诱骗态粒子,恢复岀序列匕吃(炸2或尸①); 然后,根据自己的私钥® (&或心,心12…E对应的Pauli变换(编码规则见 表2・1中第2列),对只42(P肌或几2)中对应位置的粒子(第?:个粒子)执疔第1次单 粒子Pauli变换/或X,得到一个新的序列巴2(忌2或巴2);最后,类似第1步,Bob (Charlie或Alice)随机选择足够多的诱骗态并插入到巴2(碍2或尺2)中,得到•个 混合序列,并将其发送给Charlie (Alice或Bob)。
第4步:类似第2步,发送方Eob (Charlie或Alice)与接收方Charlie (Alice或 Bob)合作执行诱骗态检测。如果检测结果显示信道安全,协议转到第5步;否则, 协议终止。
第5步:Charlie (Alice或者Bob)删除诱骗态粒了,恢复出序列厂芫(%或 者耳雳);然后,类似第3步,根据口己的私钥g (心或®)对应的Pauli变换(编码规 则见表2」中第3列),对序列(兄2或凡2)中第?个粒子执行第2次单粒子Pauli变 换/或Z,得到…个新的序列巧2 (席2或空2);最后,Charlie (Alice或Bob)随机选 择足够多的诱骗态并插入到(%或“尙)中,得到•个混合序列,并将其发送 给Alice (Bob 或Charlie
第6步:与第2步类似,发送方Charlie (Alice或者Bob)与接收方Alice (Bob或 者Charlie)合作执行诱骗态检测.如果检测结果显示信道安全,协议转到第7步;否 则,协议终止。
第7步:首先,Alice (Bob或者Charlie)删除诱骗态粒子,恢复岀序列Pj2 (P^2或 者P^2):然后,Alice (Bob或者Charlie)将保留在口己手中的粒子序列」P^i(心2或
表2.1 YML2013协议中的编码规则及对|妙+〉中第2个粒子执行两次Pauli变换后的结果
初始状态(编码) 第1次酉变换(编码) 第2次酉变换(编码) 最终状态(编码)
I (0) I (0) |妙+〉(0)
|妙+〉(0) I (0) N (1) (1)
X (1) I (0) 肘〉(1)
X (1) Z (1) 矿〉(0)

者&2)中的第讹=1,2,…严)个粒子与接收到的序列瑕(览2或者老2)中对应 位置的粒子相结合组成粒子对,并在Bell基下对其进行联合测量;接下来,Alice (Bob或者Charlie)将测量结果转换成经典比特序列(转换规则见表2」中第4列), Alice (Bob或Charlie)获取Bob与Charlie (Charlie 与Alice,或者Alice 与Bob)的 私钥的异或值Kb㊉Kc(唸㊉心或心㊉Kb);最后,Alice (Bob或Charlie) 将测量结果对应的经典序列与自己的私钥做异或运算,即得最终的共享密 钥[K]=心㊉爲㊉%
2.2.2基于量子纠缠态的MQKA协议分析
为了对一个基于量子纠缠态的MQKA协议进行合理和全面的评估,通常从 协议的正确性、协议的效率和协议的安全性三个方面,对协议进行评估。本节 以YML2013协议为例,从以上三个方面对该协议进行分析。
(1) 协议的正确性
为方便起见,不考虑诱骗态的因素,这里以Alice获取共享密钥的过程为 例,说明协议的正确性。容易知道,Alice获取共享密钥的过程,本质上是通 过Bob和Charlie对其制备的Bell态妙+〉的第2个粒子逐次执行Pauli变换来实现的,且 协议的执行过程以表2.1的编码规则为基础。经过对表2.1中的编码规则进行简单运 算,不难发现以下特点:表2.1中的第2列的编码与第3列的编码做异或运算,结果恰 好等于表格的第四列。这个特点反映出如下事实:Bob和Charlie对妙+〉的第2个粒 子逐次执行的Pauli变换所对应的密钥比特花和② 与Alice的测量结果对应的经典比 特(记为他)之间满足心㊉讹= 1,2,…申)。因此,如果协议顺利执行完毕, Alice通过测量粒子对的最终状态,可以成功地获取屁㊉心=讥叫…伽,接着, 将Kb㊉心与自己的私钥心 做异或运算,最终得到共享密钥[K]=心㊉心㊉心。
(2) 协议的效率
MQKA的效率通常以量子比特效率% =命来衡量,其中g表示协议运行过程中 消耗的量子比特总数,b表示协议运行过程中消耗的经典比特总数,兀表示最终共享
的密钥长度。
在YML2013协议运行过程中,每个参与方准备朮个Bell态(2冗量子比特)和3兀个 诱骗态(3冗量子比特),没有消耗经典比特,最终获得的共享密钥长度为%因此,

(3)协议的安全性
一般情况下,与陌生敌手相比,不诚实的参与方更有机会对协议实施攻击,因 为他本身拥有许多协议的内部信息,在实施攻击的时候,容易获取其他参与方的私 密信息;另外,不诚实参与方也可以看做是一个陌生的敌手。因此,本章及后面各 章节中讨论协议的安全性,均讨论内部参与方的攻击。
(i)截取■重发攻击
假设Charlie是一个不诚实的参与方(也可以把Charlie看做是一个外部敌手),仅 考虑Charlie截取发送方Alice的粒子序列的情形(注意:只有截取Alice的消息才 最有价值,因为粒子发送过程分为三类:Alices Bob. Bob-> Charlie和CharlieT Alice,第二类过程的消息接收方和第三类过程的消息发送方均是Charlie,因此, Charlie不需要对这两个过程中发送的粒子进行截取)。Charlie首先截取Alice发送 给Bob的粒子序列,然后伪造一个假的粒子序列替代真实的序列并发送给Bob。然 而,协议中每一次发送粒子的过程中,粒子序列都随机掺杂了足够多(不妨假 设兀个)的诱骗态粒子,Charlie对Alice选择的诱骗态粒子的状态和位置毫不知情,只 能从{EIOI+M-〉}屮随机选择■些单粒子放在这些位置上,在诱骗态检测阶段, 被检测到的概率为1 -(别,出几》1(), Charlie的不诚实行为被检测到的概率已超 过99.9%。因此,该协议在截取•屯发击下是安全的。
(ii)纠缠■测堆攻占
不诚实参与方Charlie提前制备•些相同的辅助粒了/J,并通过特定的装置执行 一个酉变换使得这些辅助粒了与Alice发送的粒了纠缠起來,后来,通过测量这 些辅助粒子来获取Alice的私钥信息。酉变换/可定义如卜:





这里的|伽〉、局1〉、血0〉和|5〉是由酉变换以决定的纯态,复系数Q、b、C和“满
足h2 + |&|2 = 1和|c|2 + |d|2 = io那么,以在|+〉和|—〉上的作用可以描述为: 以(1+〉0〉)
—為(40〉归00〉+6|l)|eOi) + c|O^|eio) +d|l〉|®Q)
= 号 |+〉(a|eoo〉+ 切如〉+ cjejo) + )(aleoo}—引附〉+ c|eio)—⑷ Si〉)
以(1-〉田〉)
—盘@|0〉局0〉+ 切 1〉记01〉— c|O)|eio) 一 况|1〉血1>)
= ||+)(a|e()o) + b|e(n〉— c|®o)—况 |®i〉)+ j|~)(ttleoo)—引制〉—c|eio〉+ d\en))
(2-14) 如果Charlie猜测某个诱骗态的基是Z基,为了通过诱骗态检测,需要清楚地区 分|0〉和|1〉,从式(2J3)可知,他必须假定b = c = 0和o = d = 1。但是,由 于Charlie对诱骗态的状态和位置一无所知,所以对诱骗态的基猜对的概率仅为苏一 旦猜测错误,也就是说,该诱骗态是X基,从式(2-14)可知,Bob在X基下测量该诱骗 态,将无法区分|+〉和|-〉,使得Charlie的不诚信行为不可避免地被发现。因此,该 协议在纠缠■测量攻击下是安全的。
(iii)共谋攻击
共谋攻击是指存在多个不诚实的参与方,他们通过合作,共同窃取诚实参与 方的私钥信息,并使协议最终协商的共享密钥是他们预期的密钥,这样,诚信参 与方在密钥协商的过程中没有做出任何贡献,体现不出协议的公平性。假设Bob 和Charlie合作,准备窃取Alice的消息,并提前协商一个共享密钥以替代最终的 共享密钥[K]。他们的密谋过程如下:
(a)Charlie制备比个相同的Bell态妙+〉,并将它们分成两个有序的单粒子序列 和耳72,从{卩〉,卩〉,|+),|-〉冲随机选择足够多的诱骗态粒子插入到&2中得到一个 混合序列,将混合序列发送给Alice;与此同时,Alice也将自己制备的Bell态序列中 第2个粒子序列心2插入足够多的诱骗态粒子后,发送给Bob。
(b)Alice收到Charlie发送的粒子序列并成功通过诱骗态检测后,恢复出只初 根 据自己的私钥,对中的粒子做对应的Pauli变换得到尺2,并随机插入足够多的 诱骗态粒子得到一个混合粒子序列,然后将其发送给Bob;与此同时,Bob也收到步 骤(a)中Alice制备的混合序列,成功通过诱骗态检测后恢复出£42,对其不做任何操 作,将其发送给Charlie。
(c)Bob收到步骤(b)中Alice发送的粒子序列并通过诱骗态检测后,恢复出巴2, 对其不做任何操作,直接将其转发给Charlie; Charlie将巴2中的粒子与自己手中保 留的Pb中的粒子进行联合Bell基测量,并将测量结果转化为经典比特序列,该序 列就是Alice的私钥心;与此同时,从步骤(b)可知,Charlie也从Bob那里收到粒子序 列只42,然后根据经典比特序列心㊉对其中的每个粒子执行对应的酉变换得 到一个新序列巧2,规则如下:如果经典比特序列心㊉[K,]中某个位置的比特为0,
则执行变换I或ZX,如果某个位置为1,则执行变换X或Z;接下来,Charlie随机插入 诱骗态粒子后,将混合序列发送给Alice。
(d) Alice收到Charlie发送的序列并成功通过诱骗态检测后,恢复出P^2 (注 意,Alice并不知道Bob和Charlie合谋,对巳2被巧2替换的事实毫不知情);然后, Alice将巳2中的粒子与自己手中保留的中的粒子进行联合肌11基测量,并将测量 结果转化为经典比特序列,该比特序列就是©㊉[K];最后,Alice将心㊉[[幻与 自己的私钥心相异或,得到共享密钥心㊉[用]㊉心=[Kf]o
容易发现,Alice得到的共享密钥并不是Ka®Kb㊉唸=[旳,而是Bob和Charlie提 前协商的密钥[K)从而,最终的共享密钥体现不了Alice的任何贡献,却被部分参 与者Bob和Charlie随意决定。因此,该协议不能抵抗共谋攻击。构造可以抵抗共谋攻 击的安全MQKA协议,将是下一章的主要研究内容。
2.3本章小结
本章首先对量子密码学中需要用到的量子力学基本知识和必要的数学基础知识 进行了简单介绍,主要包括量子力学四个公设及其数学描述、量子比特、量子纠缠、 量子酉变换等,为后面章节的介绍做些必要的铺垫;其次,以YML2013协议为例, 对基于量子纠缠态的多方量子密钥协商协议模型进行了介绍,并从协议的正确性、 安全性和效率三个方面,对该协议进行了分析。



第三章多方量子密钥协商协议
本章分别利用量子搜索算法Grover算法重要性质的推广、附加经典比特掩盖参 与者的密钥、Pauli变换和Hadamard变换的混合编码以及非正交量子态的不可区分性 等,提出4个具有traveling结构的MQKA协议,并分析了协议的正确性、安全性和效 率,并与已有的其它方案进行了对比分析。
3.1基于量子搜索算法的MQKA协议
量子搜索Grover算法问」可以实现在无结构数据库中的目标搜索,最优的经典算 法中完成该任务的计算复杂度为O(N)(其中N是数据库中元素的个数),而Gnwer算 法的计算复杂度仅为0(/可,实现了数据检索的二次加速,计算复杂度大大降低。 不仅如此,经典计算一次只能完成单个对象的计算,而量子计算可以实现并行计 算,一次可以完成全体对象的运算,具有超越经典计算的先夭优势,在量子计算、 量子通信等领域产生了巨大影响。近年来,基于Grover算法的QSS协议呦、QPC协 议冋[和QDC协议叫昭等纷纷被提岀,展现了Grover算法在量子密码学方面广泛的 应用价值,但是基于Grover算法的QKA和MQKA协议尚是空白。因此,将其应用 到QKA和MQKA协议的构造,对拓展Grover•算法在量子密码学方面的应用场景和丰 富量子密码理论,具有重要的意义。
本节在对Grover算法的一个重要性质进行推广的基础上,将其应用于MQKA协 议的设计,成功构造了一个基于量子搜索算法的具有traveling结构的MQKA协议, 并对该方案进行了效率分析和安全性分析。
3.1.1量子搜索算法简介及其性质
量子搜索算法是…个利用量了的并行性在无结构数据库小搜索H标的快速算法, 可以简单地描述如下:用两粒子量子对|S〉= | + +〉表示■个数据库,通过对数据 库|s〉多次执行两种特殊的酉变换,从而快速找到一个搜索H标山€ {oo,oiao, n}o 接下来,介绍一下量子搜索算法中需要用到定义和性质。
设w e {00,01, loai}.定义•个量了态|sw〉、以及两种类型的酉变换uw ^uSn,
\sw)= <


几=/_2|咖 |,
USvj=2\Sw){Sw\~L (3"2)
关于量子态|SQ、以及酉变换入和t/弘,有如下两个重要性质:
引理 3・1 刚 设{00,01,10,11)(2 = 1,2,3),则久血九 |Soo) = 土S|Soo〉 成立的充要条件是U»3㊉物㊉5=5
引理 3・2 呦 设w/^W! € {00,01,10,11},则USooUwl\Sw} = ±|w0)成立的充要 条件是31㊉W = WQ.
接下来,对上述两个引理进行推广如下。
定理3・3 (引理3.1的推广)设妙妙W {00,01,10,11}卩= 123,4),则兀沧
UW1\SW) = 土UV\SW}成立的充要条件是%㊉物㊉劲=必 更一般地,如果冗是正奇整 数,w. Wi E {00,01,10, ll}(i = 那么UWnUWn_x...UW1\Sw) = ±UV\SW)成
立的充要条件是”允㊉⑷n_l㊉…㊉Wi = Vo
证明⑴首先,证明:%3= ±UV\SW)成立的充要条件是偏㊉w2©wi =
(la) 考虑33㊉W2㊉Wi = V,且少1、少2和W3中至少有两个相等的情形。如果奶= W2?显然血=v,因此,UW3UW2UW1\SW) = ±UW3\SW) = ±UV\SW);女口果= w3 或w2 = w3,类似地,也容易得到UW3UW2UWJSG = ±E|SQ。
(lb) 考虑奶㊉32㊉W1 = V,且"1、刃2和33两两不同的情形。由W3©W2㊉Wh = 0可 推出|W2)> |W3)和初两两正交且组成双量子比特空间的一组正交基,从 而|SJ可以用该正交基线性表示如下:
\SW) = <Wi,Sw)|wi) + {w2,Sw)\w2) + (W3,Sw)|w3) + (v,Sw)\v)
UW3 UW2 UW1 \ s仞〉
(7 一 2|w3)(w3))(/ 一 2|w2)(w2|)(/ — 2|wi)(wi|)|Sw)
|S仞〉一 2(wi,5w}|wi) — 2(^2, Sw)\w2)— 2{w3,Sw)|w3) \SW) - 2((wi,Sw)|wi) + {w2ySw}\w2) + (w3,Sw)|w3)) |SJ —2(|SQ_ 仏 SQIE)
-(|九)—2〈s SJI。〉)
—UV\SW)
(lc)考虑物㊉物㊉的情形,证明UW3UW2UW1\SW) ±Uv\Sw}o记物㊉少2㊉ W! = W0,假设UW3UW2UW1\SW) = ±UV\SW),由(la)和(lb)可得,UW3UWUW1\SW)= ±uwo\sw}9 因此,UWQ\SW) = UV\SW〉或UWO\SW) =-Uv\sw)o 当前一种情形UWO\SW}=


%凤〉=久凤〉
|Sw)-2(w0,Sw)|w0) = \Sw}-2{v,Sw)\v} (w0,5w)|w0) - (v,Sw)\v) = 0
(wq,Sw) = (v, Sw) = 0
这与= |或一* (v €{00,01,10,11})矛盾。当后一种情形UWQ\SW) ~UV\SW}成
立,用同样的方法,也会得到类似的矛盾。因此,假设不成立,即原命题久3几2 UWl |SW)丰 ±14 |SJ成立。
由(la)、(lb)秋lc)可得,UW3UW2UW1\SW} = ±UV\SW)成立的充要条件是w3®w2㊉
(2)其次,证明几0如-…几JSQ = ±久傀〉成立的充要条件是wn®wn_x®…㊉ W1 = Vc对正奇整数71做数学归纳证明:
(2a) n = 1时,命题显然成立。
(2b)假设n < k (上是正奇整数)时,命题也成立,即UWkUW7..Uw」Sw)= 土[SJ成立的充要条件是哄㊉Wil © ...㊉wi — vlo当7i = k + 2时,记o = Wfc+2㊉叫+1㊉Vi = W&+2㊉叫+1㊉叫㊉Wjfe-!㊉…㊉型,有

由(2a)和(2b)可得,UWnUwUwJSJ = ±l/JSG成立的充要条件是炒㊉妬-㊉ ...㊉ Wi = Vo □
定理 3.4 (引理3.2的推广)设卩°呦21 € {00,01,10,11},则USvUwl\Sw}= ±|w0)成立的充要条件是。㊉W1㊉W = w0o
证明 本定理的正确性可以通过对Wwia)在{00,01,10,11}3中取遍所有值,逐 一计算USvUW1\Sw)^L证得到。由表3.1中对应USvUW1\Sw)和v©Wi©w的两列值相同, 可以推出UsvUW1\Sw} = ±|w0)成立的充要条件是0㊉wj © w = w0o □
由定理3.3和定理3.4,立刻可得到定理3.5。
定理3・5设九是正奇整数,且©os G {00,01,10,11} (z = 0,l,...,n),则%, UWn UWn^ …UW1 |SW) = ±wo 成立当且仅当。㊉ wn© wn_i© …㊉ wi® w = w0o
定理3・6 设G {00,01,10,11},则USwUW2Uwl\Sw) = \ ±S^> 成立当 且仅当3㊉w2 ® wi = w0o更一般地,设7i是正偶整数,且io, Wi & [00,01,10, ll}(z =

表3d定理3.4的验证表
V W1 W UsgS" V © W1 ㊉ IP W1 W UsvUW1\Sw) ©㊉ W1 © W
00 00 00 00 10 00 10 10
00 00 01 01 10 01 11 11
00 10 10 10 10 10 00 00
00 11 11 11 10 11 01 01
00 01 00 01 01 11 00 11 11
01 01 00 00 11 01 10 10
01 10 11 11 11 10 01 01
01 11 10 10 11 11 00 00
00 00 01 01 10 00 11 11
00 00 00 00 10 01 10 10
00 10 11 11 10 10 01 01
00 11 10 10 10 11 00 00
01 01 00 00 00 11 00 10 10
01 01 01 01 11 01 11 11
01 10 10 10 11 10 00 00
01 11 11 11 11 11 01 01
00 00 10 10 10 00 00 00
00 00 11 11 10 01 01 01
00 10 00 00 10 10 10 10
00 11 01 01 10 11 11 11
10 01 00 11 11 11 00 01 01
01 01 10 10 11 01 00 00
01 10 01 01 11 10 11 11
01 11 00 00 11 11 10 10
00 00 11 11 10 00 01 01
00 00 10 10 10 01 00 00
00 10 01 01 10 10 11 11
00 11 00 00 10 11 10 10
11 01 00 10 10 11 00 00 00
01 01 11 11 11 01 01 01
01 10 00 00 11 10 10 10
01 11 01 01 11 11 11 11


表3.2 USwUW2UWi\Sw}与3㊉炒㊉s的对照表
w {wnwa} UswUW2UW1\Sw} 3 ㊉ Wi ® w2
00 {00,01}或{10,11} 隔〉 01
00 {00,10}或{01,11} 1*510) 10
00 {00,11}或{10,01} 區1〉 11
10 {00,01}或{10,11} |Sii)或—區1〉 11
10 {00,10}或{01,11} |S()o〉或-區0〉 00
10 {00,11}或{10,01} |S(n)或—|S°1) 01
01 {00,01}或{10,11} |Soo〉或-|S(x)〉 00
01 {00,10}或{01,11} l^n)或-|5h) 11
01 {00,11}或{10,01} l^io)或-|Sio〉 10
11 {00,01}或{10,11} |Sio〉或-|Sn)〉 10
11 {00,10}或{01,11} |S(n)或一|S(h〉 01
11 {00,11}或{10,01} |Soo)或—ISqo) 00

则USwUWnUWn_^„UwJSJ = ±|S咖〉成立当且仅当刃㊉ ㊉ wn_i © ...㊉ Wi = Wqo
证明(1)首先,证明USwUW2UWl\Sw) = 土S呦成立当且仅当w©w2㊉
(也可以由表3.2中最后两列直接验证)o
(la) 当劝=w2>命题显然成立。
(lb) 当仞 1 丰 w29 令{叽叫吗幽} = {00,01,10,11},那么|wi), |w2), |w3)和|如 相互正交并组成两量子比特系统的一组基,从而,有
\SW) = <Wi,Sw)|wi) + (w2,Sw)|w2) + (w3,5w)|w3) + (W4,Sw)|w4)
下面计算 uSwuW2uwl\sw):
UswUW2UW1\Sw}
=(2\SW){SW\ - 1)(1 一 2|w2)(w2|)(1 一 2|w1)(w1|)|Sw)
=2|SQ - 4伽-4伽傀尸|SJ +8|SQ仙2傀〉傀|讪伽|SJ
-|SW) +2(Wi|Sw)|wi) + 2(w2|5w)|w2) -4|w2)(w2|wiX^i|5w) (3-8)
=一 |SJ +2(wi|Sw)|wi) + 2{w2\Sw)\w2)
=〈必 SGM1〉+ 仙/胡物〉一仙3理胡他3〉- {w4,Sw)\w4)
G {±| + +),±| 一 +〉,±| + -〉,±| )}
因此,可以选择一个合适的Wo € {00,01,10,11},使之满足UswU迥Ug\S" = ±S呱, 且从表3.2中易知,所选择的wo就是to㊉◎㊉31,即wo = w㊉込㊉g
(2)由⑴和定理3.3,对冗用数学归纳法,容易验证以下命题:UswUw卩叫-…Us\S侖= ±SW0成立的充要条件是3㊉w仇㊉wn_i㊉…㊉wi = w0o
由⑴和⑵可得定理成立。□
3.1.2基于量子搜索算法的MQKA协议
设円,巴,…,Hv一 1是协议的N (N > 2)个参与者,每个参与者生成一个n仇为 偶数)比特长的随机序列作为他的秘密私钥:
Xo =(上0,1,丘0,2,…1 局,n)
K]=(局小局,2, •…,局,n)
& =仇2,1,上2,2,上2,』 (3-9)
Kn7 = 碌一1,2,…,血V_l,n)
这里kid e {0, l}(i = 0,1,N-l,j = l, 2,n)o接下来,他们准备通过运行协议, 最终共享一个共同的会话密钥[K] = Kq㊉K\㊉K2㊉…㊉Kn_\°协议(结构图见 图3.1)具体描述如下:
第1步:初始化阶段。
首先,每个参与者EC = 0,1,…,N-1)选择两个比仇为偶数)比特长的随机序 列5和听,并根据序列戲制备一个两粒子量子态(或者称为量子对)序列S讣+S
Si = 肌,2 …,=> = (|Ssw2〉,|S%,3毀 J,…」&佔_1吋〉) (3-10)
Vi = (%1, %2 …・,%,n)

图3.1基于量子搜索算法的MQKA协议(不考虑诱骗态的情形)运行图

这里,s讣叫€ {0,1}, 的定义见式(3-1), 2 = 0,1,…,N— 1;丿=
1,2, = 1,2,~o
其次,只对量子对序列S订+i中的每个量子对lsSi2t_1Si2t) e Si4+1执行式(3-2) 定义的酉变换%空亠心卩=12…金)后,得到一个新的量子对序列0*1。
接下来,他随机选择测量基{|0),|1〉}或{|+〉,|-〉},制备足够多的诱骗态粒子 (类似第二章中的YML2013协议,一般插入的诱骗态粒子数与有效的粒子数相同, 这里诱骗态粒子通常是冗个),将其插入到量子对序列中,得到的混合序列记 为0亠+1。同时,只记录诱骗态的插入位置和状态。
最后,R将序列©9+】中的粒子逐个发送给下一个参与者只+1 (+代表模N加 法)。
第2步:诱骗态检测阶段。
当所有接收者R+i均接收到从R处发送的粒子序列耳f+i, Pi+1和只执行诱骗 态检测。如果错误率超过预定的门限值,则协议终止;否则,协议进行到第3步。
第3步:加密阶段。
首先,参与者R+i删除孑亠+1中的诱骗态粒子,恢复出序列Si+】。接下来,根 据自己的密钥K’+i, R+i对S—+】中的粒子对执行形如式(3-2)的酉变换%+山亠中,曲= 12…左),得到一个新序列S—+2。最后,只+】随机插入足够多的诱骗态到0宀+2后 得到混合序列0亠+2,并把它发送给下一个参与者只+2。
第4步:迭代加密阶段。
首先,参与者只+1和只+2执行诱骗态检测,成功通过检测后,R+2删除诱骗态后 恢复出粒子序列0^+2。

接下来,根据自己的密钥&+2, R+2对SI*中的粒子对执行酉变换火+2血 (上=1,2,…播),得到新序列S皿敢
最后,出+2随机插入足够多的诱骗态到SI讦3后得到混合序列於亠+3,并把它发 送给下一个参与者只+3。
此步骤不断执行下去,直到所有参与者R接收到序列0+为止,转到第5步。
第5步:提取共享密钥阶段。
首先,参与者R收到序列后,与参与者执行诱骗态检测。如果成功通 过诱骗态检测,E将删除诱骗态粒子并恢复出粒子序列0宀。
接下来,根据粒子对的原始状态抄+1 = (|Sw〉,|SgQ,・・・J%—g〉), R,对Si中的每个粒子对执行酉变换USsi2t_1S.2t,并在测量基{|00),|01),|10),|11)} (N是奇数)或{|++〉,|一+〉,|+—〉,丨一—)}(N是偶数)下对其进行测量。
当N是奇数,将测量结果记为Sw/ = (Is,2〉, I砂,35,4),…,血机_8严〉),Pi计 算[K]=晒㊉齐㊉圧。
当N是偶数,将测量结果记为Sw』=|Swij3Wi,4), • • -, 5|wi)n»iwi)n))> Pi计算[K]=硏㊉听㊉圧㊉S“
这里,Wi = (wijl5wi)2,Wi3wii4,wi)n_!,物,J。
最后,全体参与者均获得一个呢比特长的共享密钥[K] = Ko㊉Ki㊉冬㊉…㊉ Kn_u
3.1.3协议的正确性
为方便讨论,不考虑协议中的诱骗态粒子。事实上,协议第5步中获取的密 钥[K]由序列阳、刃、K或者序列血、匕、心S』组成,只有序列旳是由测量获取 的。下面,通过推导来得到血的表达式。
经过所有参与者对量子对序列0升1中的量子对进行酉变换后,该序列中的量子 对|Ssw,J(t = 12…摻)变成如下形式:
"S幻,2—1 逅,2亡 "…U)ci+2 2t_ 1 fci+2t2t ^A:t+l,2t-1 1 Vf,2t I(2t-15i,2t) (3~12)
(i)如果N是奇数,根据定理3.5可知,由式(3-12)决定的量子对为测量基{|00〉, |01)? 110),111)}中的某一个量子对,对其在该测量基下进行测量,即可得到该量子对 的状态而且㊉唸十1,2£-1 池+l,2t ㊉底+2,2t_l池+2,2t ㊉ .…㊉底一1,2£一1池-l,2t,从而可得
Wf = V}㊉K+1㊉&+2㊉…㊉Ki_i
=V}㊉Kq㊉K]㊉…•㊉jFG-i㊉Ai+i㊉…•㊉Kn-\
因此,[K] = Wj㊉H㊉K* = Kq㊉K\㊉K?㊉•…㊉Jfjv-io

(ii)如果N是偶数,那么由定理36由式(3 - 12)决定的量子对为测量基{| + +〉,1-+川+ -川--〉}中的某一个量子对,对其在该测量基下进行测量,即可 得到该量子对的状态|S%2t-lS,2t〉,而且为= %2±-1%2上 ® ^1+1,24-1^1+1,2t ㊉ h+2,2t_l底+2,2t ㊉…㊉ 从而可得
W7 = V} ffi K+i ㊉ K$+2 ㊉■…㊉ Ki_i ㊉ Si
(3-14)
=V}㊉ S』㊉ Ko ® K\ ㊉•…㊉ Ki^i ㊉ K+i ® * • •㊉ Kn-i
因此,[K] = Wj㊉H①K㊉S』=Kq㊉K\㊉K?㊉…•㊉Kn_z
综合(i)(ii)可知,如果所有参与者诚实地执行协议,他们最后将成功获得共享密 钥[K]。
3.1.4协议的一个简单例子
为了更好地理解协议,给出一个不考虑诱骗态的情形下,5个参与者的量子密钥 协商的例子。设巴和E想要协商一个6比特长度的共享密钥,每个参与者 均拥有一个6比特的秘密私钥如下:
Ko =(局,1 Ko,2,… ・,局,6)= (100101)
K\ = (fcij, •・ •血 6)= (010110)
K2 =(上2,1,上2,2,… .息,6)= (010011) (3-15)
K3 =(上3,1,畑2,… .,M = (110110)
K4 =(上4,1,上4,2,… ,,fc4,6) = (011101)

接下来,他们执行协议如下:
第1步:初始化阶段。
Pi选择两个6比特长度的随机序列H和3,

So =(5o,l > So,2 …
,so,6)= (100100)

= ($2,1, S2,2 •-
6 =(33,1^3,2 …
5*4 =(S4,i、S4,2 • •
根据随机序列制备量子态序列&甘1如下:
S°J = (|Ssgm〉,|Sso,3,$O,4〉,|Sso,5,so,J) = (I + -〉,I - +〉,I + +〉)
S'N = (|Ssig,2〉, |Sq3"4〉JSsi 5,町 6)) = (| - +),I + -〉, | ))
眇=(|S$2,i,S2,2〉JSs2,3,S2,4〉,IS//)) = (I I + 一川 + +)) (348)
抄=(風3,[网2〉,區3,3,83,4〉,|S$3,5,S3,J) = (I - +〉,I + +))I ))
S°'° = (|S$3,23,2〉, |Ss3,3&3,4〉,1^3,5^)) = (I Ml + 一 ),I +))
接下来,R)对每个粒子对|Ss°,25卯〉执行酉变换血,2一叫上=123),得到一 个新序列Si】。R、P2.巴和巴执行类似的操作。
最后,幷(戸、P2. A和R)发送S°T1(S1T2、S2T3、S3T4和S® )给比(必 、匕、局和R))。
第2步:加密和迭代加密阶段。
比(9、啓R和几)利用他的私钥对应的酉变换,对S0Tl(S—2、S2T3、SI4 和S°TO )进行加密。
SH = (lAn| H—),5i| -+〉Qio| ++〉)
3 S-2 =(%%] + -〉”0必」一 +〉Q]oSo| ++))(B用K1 加密)
S—2 = (i/u| ), Uiq\ + —t/ool ))
=> S】T3 = (%61| - +〉,SoSo| + — 一〉)(D用加密)
s2^3 = (Soi —)m 十 ~)i %ii++))
* SI4 = (tzn[/oo| 一 一〉, C/01C/n| + U1QUQ1\ + +〉)(匕用&加密)
S3T4 — (J701| ), t/ool + +〉,Sl| 〉)
=> S'T。= (UoiUqi \ —〉,Si&ol + +〉,fAnSil 〉)(巴用K4加密)
S°TO = (S1I — -〉,百| 十一力 S1I - +〉)
今 S® = (1710^11| - —)QoiSo| + -〉他辺n| - +〉)(“用Ko加密)
这个过程持续下去,直到R收到S'f为止,这里,SOTO, SI1, S2T2, SI3和S4T4 表示如下:
S°TO = + -〉,闪%內0%%| - +〉,%SoSiSoSo| + +〉)
S-1 = (UwUQlUuUQ1Un\- +〉, SiSiSiSoSol + -〉,弘%SoSiSol - -〉)
Si = (UMQUQ1UnU00\ - -〉, SiSiS&(nSi| + -〉, SoSiUoDoSil + +〉) S® = - +〉,t/oof/oi^i^nf/ool + +〉"1"%阳%| - -〉)
S4+ = (UuUo^UM - 一〉"oiSoSiSiSol + -), U10UnUwU01Uni 一 +〉)
只)(卩1、尸2、尸3和D)对S°T°(S1T1、SI2、S—3和S—4)执行酉变换S° ]( %2、S2i3> S3,4和S4,0),并对每个粒子对在测量基{|00),|10),|01),|11}}下测量(因 为N = 5是奇数),则R(R、P2、A和D)的测量结果分别为
Sw° = (101), |11〉,|00>)今 “0 = (011100) S昭=(|11),|11),|10)) T % = (111110) 5w2 = (|10),|11), |01))今 Wo = (101101) (3-19)
Sw3 = (|ll),|ll)j01))今 Wo = (111101) S% = (g |01),|00))今 Wo = (010100)
最终,R计算[K] = IVo㊉%㊉/<0 - (001011),容易验证,[K]二Ko㊉Ki㊉应㊉ K3 ® /<4O使用同样的方法,尸】、D、匕和巴也将得到共享密钥[K]。
3.1.5协议的效率和安全性分析
(1)协议的效率。本协议在运行过程中,每个参与者准备号个量子对5个量 子比特)和足够多的诱骗态(通常每次发送粒子过程中,诱骗态的数目与发送的 有效粒子个数相同,本协议中每次制备几个诱骗态,共制备"次,合计“口个量子比 特),没有消耗经典比特,最终获得的共享密钥长度为小因此,协议的量子比特效 率% =备=丽希=屛诃,与其它已知的协议比较(见后文334节表3.6),效 率显著提升。
(2)协议的安全性。不失一般性,分析MQKA协议的安全性时,仅考虑3个参 与者的情形,即HhR和匕希望通过执行协议以获取一个共享密钥。
(a)截取■重发攻击
假设B是•个不诚实的参与者(同时也把卩2视为…个外部敌手),不失•般性, 仅考虑D截取发送方几的粒了序列的情形,然后伪造-个假的粒子序列替代真实的 序列并发送给只。然而,由于心发送给B的粒子序列中,随机掺杂了足够多(不妨 假设"个)的诱骗态粒子,而A没有掌握关于这些诱骗态粒了的位置和状态的任何信 息,只能从{|0),|l)d+),|-)}中随机选择一些单粒子放在这些位置上,在诱骗态检 测阶段,被检测到的概率为1 - (*尸,当> 10,卩2的不诚实行为被检测到的概率己 超过99.9%。因此,该协议在截取■重发击下是安全的。
(b)纠缠■测量攻击
不诚实参与者B提前制备一些相同的辅助粒了E,并通过特定的装置执行一个 酉变换14,使得这些辅助粒子与Alice发送的粒子纠缠起来,后来,通过测量这些 辅助粒子来获取B的私钥信息。酉变换以的定义见第2章224节中的式(2・13)和式
(2-14),这里重述如下:
%|0冋=a|O)M+&|l)|eoi), Ue(\l}\E))= c\Q)\e10) + d\l)\en). 〃e(l+〉|E〉) = *l+〉(a|£oo〉+ 切制〉+ ©So〉+ d|en))+
||—)(u|eoo) 一 耳%1) + *io〉— d|en))
以(1一〉|E〉)=刽+〉(恥00〉+ 切时)—©So〉— 〃|®i〉)+
||—)(a|eoo) 一 切%1) — + d|®i〉)
这里的阪〉、局i〉、|®o〉和血"是由酉变换/决定的纯态,Q、b、c和&满足园2 + 问2 = 1和罔2 +岡2 = 1。如果D猜测某个诱骗态的基是Z基,为了通过诱骗态检测, 需要清楚地区分|0〉和⑴,他必须假定b=£ = 0和a =况=1。但是,由于P对诱骗态 的状态和位置信息一无所知,所以对诱骗态的基猜对的概率仅为苏一旦猜测错误, 也就是说,该诱骗态是X基,B在X基下测量该诱骗态,将无法区分|+〉和|_),使 得E的不诚信行为不可避免地被发现。因此,该协议在纠缠-测量攻击下是安全的。
(c)共谋攻击
假设R和A合作,准备通过非法手段窃取托的消息。协议可以划分为三类过 程:T P] T 比 T R)、Pi P2 Pq R 和B T 几 T H T 在过 程幷T R T B T R)中,R)未泄漏任何消息;在过程Pi T A T R T B中, D用自己的私钥在协议的最后一轮对粒子对进行加密的同时,已经从SO—。中获取 了RL和B’S的总体加密信息。因此,只需要讨论过程A T R T R T 首先, A将S2T0发送给同时,他将自己的私密消息S?和%发送给其次,R将自己 的密钥信息用酉变换的方式嵌入到序列S2T1,并插入足够多的诱骗态粒子后,将 其发送给接下来,和R成功通过诱骗态检测后,円恢复出序列*T1,并利 用S2和区,通过测量即可获取的私钥Ko。尽管如此,P]和B仍不能合作确定最终 的共享密钥,因为协议中幷最终获取的密钥[K]=Wq㊉%㊉Ko (协议参与者人数为 奇数)不仅与Ko有关,还与%和Wq有关,而戸、几对%和Wo的信息一无所知,无 法成功引诱心获取他们预期的伪造密钥,所以他们无法单独确定最终的共享密钥。 因此,协议在共谋攻击下是安全的。
通过以上分析可知,本节提出的MQKA协议是安全的。另外,由第2章224节 中对YML2O13协议的安全性分析和本节对基于量子搜索算法的MQKA协议的安全性 分析可知,诱骗态的引入可以抵抗截取一一重发攻击和纠缠一一测量攻击,因此,在 本文以后章节中,对引入诱骗态的协议进行安全分析,不再考虑截取一重发攻击和 纠缠一测量攻击,而仅考虑能够造成巨大威胁的共谋攻击。

3.2基于附加经典比特的MQKA协议
本节提出了两个具有traveling结构的MQKA协议,前一个协议中,一个可信方 (Trust Party, TP)被引入用来向参与者随机分配一个随机比特序列以掩盖参与者的 密钥,最后通过公布这些经典比特序列的异或值,帮助各参与者提取共享密钥;后 一个协议中,每个参与者直接选择附加经典比特序列以掩盖参与者的密钥,最后通 过公布这些附加经典比特序列来提取共享密钥。安全性分析指出,这两个协议可以 抵抗最具有威胁性的内部参与者的共谋攻击。
321具有可信方的MQKA协议
在描述协议之前,先介绍一些必要的预备知识。首先,对4个Bell态和4个Pauli算 子做如下表示:
|阪〉=|0+〉=盘(|00) + |11))
區1〉= |0-〉=需(|00) - |11))
曲=片〉=制 01〉+110))
|Sio) = |旷〉=饶(|01〉- |10〉)
I7oo = / = |0)(0| + |l)(l|
Si = z = |0)(0| -
S1=X = |O〉〈1| + |1〉〈O| 九=莎=|0>〈1|-|1〉〈0| 关于上述Bell态和Pauli算子的表示,有以下重要性质:
定理3・7设。必 {00,01,10,11}(心0,1,2,…闷,考虑式(3・21沖Pauli算子集 合{Uoo: (7oi, Si}中的酉变换对式(3・20)中Bell态集合{Soo, Sg Sio, Sh}中的粒子 对的第二个粒子作用,有以下结果:
(1)(I ® € S 或一(Z ® UW)\SWQ) e {Soo, Sg Sg Sii};
(2)如果(/(8)UurJSvjo) = ±|SJ,那么 ㊉ w0^v = 00;
(3)如果(/® UWinUWm_!)|Swo) = 士)SJ,那么㊉…㊉ Wi©W0©V = 00o
证明⑴ 由表3.3可知,命题(1)显然成立。
(2)考虑表3.3中元素的下标,有以下事实:如果将元素U^\SWQ〉(这里的上标2 代表对Bell态的第二个粒子做运算)的下标、与之对应的行标的下标和列标的下 标,三者做异或运算,则结果为00。例如,第三行第四列的元素为|S(n〉,与之对应 的行标和列标分别为IS。」和|SiQ,三者的下标分别为01、10和11,做异或运算,则 有01㊉10㊉11 = 00。更一般地,如果构造一个矩阵M,满足M£ = 00,且其他元素 为表3.3中对应元素的下标;如果将矩阵的第Z C(2 G {2,33,5}))行与第1行做异或,

表3.3 Pauli算子对Bell态中第二个粒子的作用
l^oo) |S(n〉 I®]〉
% |Soo〉 I%〉 Ifto) 1^11)
Ug IS。】〉 |Soo〉 1%) |Sio)
U1O - l$o〉 l^i) |Soo) -1%〉
Un |5n) 一 So) —|SqQ |Soo〉

然后,将矩阵的第j ((虫2,3,4,5))列与第1列做异或,则得到的新矩阵M中的元 素e 2,3,4,5)均为00。对矩阵M的行变换和列变换展示如下:




从如上表述及矩阵的变换过程容易看出,命题(2)显然正确。
⑶ 命题⑶的证明,釆用对正整数m的归纳法证明。
(3a)如果m = 1,命题⑶归约到命题(2),显然成立。
(3b)假设当m = k任是一个正整数)时,命题(3)成立,即U叫Uw_…爲
=±|%〉=> 收㊉ Wk—1 ㊉…㊉㊉ WQ^vf = 00,其中E {00,01,10,11}«
当m = k+l时,由归纳假设,有
I ® Uy壮靶7 .…tAui l^wo)
=±UWM\Svf) (其中 wfc ㊉ wfe_i ㊉...® W1 ® Wo ㊉ d = 00)



因此,当m^k + 1时,命题(3)也成立。
由(3a)秋3b)知,命题(3)成立。□
设R),匕,•…,〃-1是协议的“(N > 2)个参与者,每个参与者生成一个形如 式(3・9)的他仇为偶数)比特长的随机序列作为他的秘密私钥。接下来,他们准备通过 运行协议,最终协商一个共享密钥[K] = Ko㊉心㊉心㊉…㊉心宀 协议(结构图 见图3.2)具体描述如下:
第1步:初始化阶段。
⑴可信方TP选择N个几比特长的0-1随机序列TSgTS\,…、TSz,其中丁£ = 仏,1,圮2, •…,绘n)C W 0,1,2, —1)。对于每个TSg, 7T准备一个单粒子量子态
序列Q70 =(低必血几…,底』),这里的单粒子量子态血J的选取规则如下: 当如=0时,|心〉随机地从{|0〉,|+〉}中选取;当如=1时,|矗〉随机地从{|“|-〉}中 选取。接下来,TP从{|0〉,⑴J+川一)}中随机选择足够多(例如仇个)的诱骗态, 并把它们插入到单粒子序列QT&中,得到一个混合序列前最后,TP将混合序 列前金发送给参与者
(2)在确认所有的参与者EC G 0,1,2,.N - 1)均收到序列前$后,TP与只执 行诱骗态检测。如果信道错误率超过预定值,协议停止;否则,只删除诱骗态粒子, 恢复出单粒子序列QTSi.
(3)参与者R要求可信方TP公布单粒子序列QT&中的每个量子态的编码基{|0),|1)} 或{|+〉,1-〉},并对它们进行测量。如果测量结果在{|0〉,|+〉}中,他记录为0; 如果测量结果在{|“|-〉}中,他记录为1。这样,R成功地获取了72比特0-1序 列7*S@ =(如1乙,2, •…乙,n)。
(4)参与者只计算Kg = K金TSi —(上£1㊉九1,屁2㊉如2,…,屁n㊉圮n)=(屁"局,2,
(5)参与者只随机选择一个冗比特的0 - 1随机序列叱=(做小物,2, We WMj …,%根据该随机序列,制备一个量子对序列PO = (|PS爲〉|PS爲), IPS爲〉|殆爲〉,…,IPSjPSD 其中 IPS爲/PS咕〉=IS叫” J e {阳,|Sn〉,曲,IS】。)} (t = 1,2,…R将量子对序列PO分成两个单粒 子序列:第一个单粒子序列PS^ = 由每个量
子对中的第一个粒子组成;第二个单粒子序列PS严 =(|PS阳:+i〉,


图3.2具有可信方的MQKA协议的运行图
…,|PS瓷十由每个量子对中的第二个粒子组成,其中\PS^) = =
1,3, •…,兀一 1), |PS討+】〉=|PS^.Xj = 2,4,..-,n), 2 + 1 表示“ + 1) mod N°
⑹参与者尺从{|O〉,|1〉J+〉,|-)}中随机选择足够多(例如号个)的诱骗态,并把 它们插入到单粒子序列得到一个混合序列PS^+\然后发送给R+i。
第2步:诱骗态检测阶段。
在确认所有的接收方R+1C eO,l,2,...,7V-l)均收到序列PS2 后,R与E+1执
行诱骗态检测。如果信道错误率超过预定值,协议停止;否则,只删除诱骗态粒子, 恢复出单粒子序列PS严。
第3步:加密和迭代加密阶段。
⑴R+1根据在第1 (4)步中得到的序列忑=(硏,氐2,…,忑),对 单粒子序列P计1中的粒子IPS鳥严〉执行单粒子酉变换e % Un}(t = 1,2,…,f),得到一个新的单粒子序列PS严 =(U硏硏IPS窈 叱a册0S氏+沉…,匕乔亠市|PS怎均)=(|PS窈n |ps瓷竹…, 0S瓷+2〉)。接下来,R+1从{|0川1〉, |+〉,|一〉}中随机选择足够多的诱骗态,并把它 们插入到单粒子序列PS严得到一个混合序列厉;f+2,然后发送给*
(2)Pi+2和鬥+1执行诱骗态检测(与第2步相同)。
本步骤不断持续下去,直到所有参与者R(2 e 0,1,2,...,7V-1)收到从发送 方R_i处发送的混合序列厉;》后,并成功通过诱骗态检测为止。接着,R删除混 合序列馬中的诱骗态粒子,恢复出单粒子序列=(|ps材;),|ps联:〉,…, 网瓷))。
第4步:提取共享密钥阶段。
(1)每个参与者只卩e 0,1,2,...,7V- 1)将接收到的单粒子序列PS汁和保留在自 己手中的单粒子序列PS^相结合,组成一个量子对序列然后

|Sn〉,|S()i〉,|Sio〉}(t = 1,2,…花),匕二(5,14,2,…皿,—1,畑)是一个比比特的0 - 1序列。
⑵可信方TP计算TS = TS°㊉:TSi㊉…㊉TSn—\,并将其向所有参与者公布。
(3)参与者只计算[K] - TS㊉疋㊉阳㊉匕,则囚就是最终的共享密钥。
在本协议执行过程中,可信方TP通过量子信道向所有参与者发送随机序列,这 些随机序列用来隐藏参与者的私人密钥。在随机序列发送过程中,为安全起见,使 用了许多诱骗态粒子,增加了协议运行的复杂度。因此,为了降低通信成本,接下 来考虑该随机序列由参与者本人直接选择,而不通过可信方分配的情形。
3.2.2无可信方的MQKA协议
第1步:初始化阶段。
(1)每个参与者F?:(z 1)选择…个门5是偶数)比特长的0—1随机
序列70 =(切,加,如)(?: € 0,12…,N — 1),计算疋=A;㊉7S: = g ㊉切.

(2) 参与者只制备一个量子对序列PS,= (WSJ) IPS'』, IPS爲〉0SI) …JPS爲其中IPS:—〉IPS爲〉=l—wj e {|SQ IS。〉 |S1O〉} (t = 1,2, • • * , W.=(叫,叫2, W^3,叫,…,g、nT, U^n)是…个口 比特 的0 - 1随机序列。Pi将量子对序列P©分成两个单粒子序列:第一个单粒子序 列|sf" = (IPS加 fs鳥〉fS恙_J)由每个最子对中的第■个粒子组成; 第二个单粒子序列PS尸小=(|门&囂+臥f SE;+)…,fs阳屮〉)由每个帚了对中 的第二个粒子组成,其中IFS瓷〉=IPS爲〉(j = 1,3,・・・,〃_1),阴严 =\叽) (j = 24 …小),?: + 1 表示(z+ 1) mod No
(3) 参与者R从{|()〉』川+〉,|一)}屮随机选择足够多(例如伶个)的诱骗态,并把 它们插入到单粒子序列ps严得到…个混合序列ps^1+\然后发送给匕+1。
第2步:诱骗态检测阶段。
在确认所有的接收方^+14 (z e 0J2…,N-1)均收到混合序列后, 只与匕+1执行诱骗态检测。如果信道错误率超过预定值,协议停止;否则,只删除诱 骗态粒子,恢复岀单粒子序列PSr+1o
第3步:加密和迭代加密阶段°
⑴E+i根据第1(1)步中的序列石=(寅L石二…,硏)对单粒子序 列中的每个粒子fS盂紳执行单粒子酉变换_1& e {So, t/oi, So, 如} (z = 1,2、…花)后,得到一个新的单粒子序列PS严=(花二硏.\PS^2}, 
g硏IPS幕◎…,仏土」忑•梶IFS胃戸)=(IPS討® |殆竝严〉,…, IPS瓷+6。接下来,%]从{|0〉,⑴,|+), |_)}中随机选择足够多的诱骗态,并 把它们插入到单粒子序列PS;»+2中,得到一个混合序列PS^i+\然后将其发送 给 R+2。
(2)只+2和R+1执行诱骗态检测(与第2步相同)。
本步骤不断持续下去,直到所有参与者EC e 0,b2,.・.,N—1)收到从发送 方只一 1处发送的混合序列冠;r后,并成功通过诱骗态检测为止。接着,e删除混 合序列馬「"中的诱骗态粒子,恢复岀单粒子序列只目亠=(|尸宠粉,IPS就〉,•…, IPS瓷))。
第4步:提取共享密钥阶段。
(1)每个参与者GO,1,2,...,7V- 1)将保留在自己手中的单粒子序列PSff和 接收到的单粒子序列PS沽相结合,组成一个量子对序列I只盅囂一〉IPS就〉然后 对该序列中的粒子对在Bell基{|Soo〉, |S11〉,區必|S1O〉}下测量,测量结果记为PS谄=
(|PS隅]玄J,|PSq,3 仇J :fS豁地,J)© 这里,|PSQ£2—t%2f〉= e {|SG0), |Sn〉,|S(n〉,|Sn))}(£ = 1,2, • • •,号),Vi =圾2〉…,%7i-:b 叫)是一个兀比特的0 — 1序列。
(2)所有参与者e 0,l,2,...57V-l)公布随机序列TS计并计算TS =
TS\ ㊉.…㊉ TSn—\°
⑶参与者R计M[K] - TS㊉疋㊉叱㊉匕,则[K]就是最终的共享密钥。
3.2.3协议的正确性
本节中,给出基于附加经典比特的两个MQKA协议的正确性说明。由上述 两个协议的进程不难发现,它们的工作原理是一样的,因此,仅对具有可信方 的MQKA协议进行正确性说明。为简洁起见,仅考虑密钥比特长度为冗=2的情形。
根据协议的步骤1(5)、步骤3和步骤4,有
=(冷叱Egg…叱氐)叫叫+】〉
=(仏叱 G 叱口…叱1氐)|/0 昭爲
=(/砒口三口心右…17儘硏)|S叫叫)
由定理3.7可得,
一 —    —-一——. 一       —
底_]』忽_1,2㊉脸-2*42,2㊉…㊉底+1,1底+1,2㊉则,15,2㊉5,15,2 = 00
**"■******* — "i -
(局,1血0,2㊉上1,1上1,2㊉…㊉氐N-1,仏N-1,2)㊉魅1息,2㊉S,l%2 ® %山,2 — 00
O (上0,1如2㊉呛,1局,2)㊉(如1九2㊉上1,1上1,2)㊉…㊉(切-1,1切-1,2
㊉弧一 1,1上N—1,2)㊉魅血2㊉Wi^Wii2㊉3,15,2 = 00 (由步骤1⑷)
O (仏,讥0,2㊉冇,1亡1,2㊉…㊉切_i,i切一茶2)㊉ 他,1局,2
㊉^1,1^1,2 ㊉…㊉上N —1,1弧—1,2)㊉屁 1 屁2 ㊉ ^ifl Wi,2 ㊉ %1%2 — 00 o TS㊉[K]㊉1<1㊉I亿㊉u = 00
0 [K] - TS㊉圧㊉四㊉匕
因此,每个参与方在协议运行结束时,获取的比特串TS ® K.㊉I亿㊉K(z = 1,2厂…4)是相同的,且均等于[K] = Ko㊉Ki㊉…㊉Knt。
3.2.4协议的效率和安全性分析
(1) 具有可信方的MQKA协议的效率。本协议在运行过程中,为了得到〃比特 的共享密钥,可信方TP需要在协议初始阶段向每个参与者传输…个〃比特的经典 序列,每次需要制备厲个单粒子和门个诱骗态,并在提取共享密钥阶段公布几比特的 经典消息,合计使用了277拜比特信息和2Nri量子比特信息;每个参与者需要制备号 个Bell态(冗个量子比特)和足够多的诱骗态(通常每次发送粒子过程中,诱骗态的 数目与发送的有效粒子个数相同,本协议中每次制备号个诱骗态,共制备N次),协 议结束时,每个参与者共使用了允十讐个量子比特消息。因此,协议的量子比特效 率为% = n如J:慘+如=帚顾'与其它已知的协议比较(见后文334节表3.6), 效率显著提升。2
(2) 无可信方的MQKA协议的效率。本协议在运行过程屮,©具有可信方 的MQKA协议类似,为了得到□比特的共享密钥,每个参与者需要制备号个Bell态 5个量子比特)和足够多的诱骗态(每次制备芋个诱骗态,共制备N次);不同的 是,每个参与方还需要制备兀比特序列,并公布兀比特经典信息。协议结束时,每个 参与者共使用了7?,+导个量子比特消息和"比特经典信息。因此,协议的量子比特 效率为% = N%卄牟+2舟=旳扁。显然,该协议要比具有可信方的MQKA协议更要 高效。
(3) 协议的安全性。由于两个协议在原理上具有一致性,仅讨论其中一个协议 的安全性能,不妨以具有可信方的MQKA协议为例,不失一般性,分析MQKA协议 的安全性时,仅考虑3个参与者的情形,即和尸2希望通过执行协议以获取一个 共享密钥。由3丄5节讨论可知,带有诱骗态的协议可以抵抗截取■重发攻击和纠缠■测 量攻击,因此,本节对以上两种攻击不做讨论,只讨论内部参与者的共谋攻击。假

图3.3协议迭代加密阶段的三个层次和三个轮次示意图

设戸和A合作,提前选择一个密钥准备使用它来替换最终的共享密钥[K],并 设法让参与者A相信[K]就是他们最终需要的共享密钥,这样以来,共享密钥就被部 分参与者(只和出)确定,而体现不出R的任何贡献,从而失去了协议的公平性。 为了实现这个目的,円和A需要设法使得D最终计算的密钥TS㊉Ko㊉㊉%等 于[K],而不是等于[K】。
协议的运行可以划分为三个层次(见图3.3): 0的层次T B T A T “、 円的层次PitBtRtP和D的层次EtRjtPitR。类似3丄5节讨论,在 层次T Fl T p T 和P] T巴T R)T R中,p.和巴无法提前获得关于R)的有 利信息,因此,只需要考虑层次A T R)T R T P20
(i)B将PS^0发送给A,接着R)和尺成功通过诱骗态检测后,A删除PS^0中 的诱骗态粒子,得到PS行°。
(ii)R根据自己的私钥Ko,对中的粒子执行形如式(3・21)的酉变换后, 得到一个新的粒子序列PSfTi,然后插入足够多的诱骗态粒子后,得到混合序 列FS;,将之发送给尺。
(询R收到混合序列后,与0执行诱骗态检测并成功后,恢复岀PS汁 之后, 比和戸2通过序列PS严和PSfT2,合谋获取托的信息疋。
(iv)与此同时,层次比T并T R T R)已执行到第3轮,为了让只)在执行完 第3轮后获取共享密钥[K],乙必须用合适的疋7弋替疋加密PS严 得到PS^°f但 是[盘]=TS㊉Ko㊉疋㊉用(因为,在接下来的过程中,R通过测量得到陀而不 是%,并计算[K]=fS㊉K)㊉Wo㊉用;此外,由定理3.7可知,Wo㊉疋㊉疋'=% 从而有[F] =TS㊉Ko㊉疋㊉疋;即[疋]=TSq㊉Ko㊉疋㊉K),而幷对f S。一 无所知,所以无法找到合适的疋;
因此,协议在共谋攻击下是安全的。

表34酉变换集合{EJooQmSoQoi}的乘法表
% [Zu


% So
33 基于非正交量子纠缠对的MQKA协议
量子纠缠是量子力学中独有的特性,也是量子通信的重要载体。本节利用不 正交的量子纠缠对,并辅以酉变换的混合编码技术,提出一个具有traveling结构 的MQKA协议。安全性分析指出,该协议可以抵抗共谋攻击。
在介绍协议之前,先介绍一下基于非正交量子纠缠对的MQKA协议中需要用到 的量子资源,它们分别是Bell态FS = {|BSoo), |£SoQ, |BSio〉,旧弘〉}和它们的对偶 量子对DBS = {|DBSoo〉,|DBS(n〉,|DBSio〉,|DFSii〉},分别表示如下:
|BSoo) = |^=^(|OO) + |ll)),
\BS01) = |0-〉=需(|00) - |11)),
旧弘〉=妙+〉=法(]01) + |10>),
|昭1〉= |妙一〉=法(|01) - |10)).
\DBSqq}=雳(0弘〉+ 0311〉)= |(|00)十 |01) -)10) + 111)) =
\DBSq1)=為(阴〉+ QSio〉) = |(|00) + |01) + |10〉-|11〉)=
\DBSW}=必(IBS。* 一 |BS10)) = j(|00) -|01) 一 |10) - |11)) = (J ® H)|BSn),
\DBSll}=法(|BSm) - \BSn)) = |(|00) 一 |01) + |10> + |ll))-(7® H)\BSlQ)・
(3-24) 此外,协议中还需要用到以下四个酉变换:
t/oo = / = |0)(0|+ |1)(1|5
t/n = zy = |O)(l|-|lXO|,
%=H = ^(|0)(0| + |0)(1| + |1)(0| -|1)(1|), ®25)
% = iYH = ^(|0)(0| -|0){l| -|l)(0|
以上量子对的下标和酉变换的下标,代表着它们的编码,关于这些编码,有以 下特征:
定理3.8在不考虑全局因子的情况下(也就是说,对任意的量子态|WBSU DBS,认为|①〉和一|①〉是相同的),考虑集合{So,Si,%,So}中的酉算子对BSU DBS中的量子对第二个粒子的作用,有以下命题成立:
(1)集合{U^Un,U10,UQ1}是一个阿贝尔群。
(2)如果e {00,01,10,11}, Vi e {00,ll},妙 E{01,10},那么Qg UV1)\BSVq) e BS, (I ® UV1)\DBSVQ) e DBS, (Z ® UW1)\BSWq) e DBS 和(Z g UW1)\DBSWQ) G BS9也就是说,Un和So改变量子对所在的测量基,但是So和S1 不改变量子对所在的测量基。更一般地,如果(I ®UV1)\BSVO} = \BSV}(或(Zg UV1)\DBSV0) = \DBSV))和(胞盅J|ES呵〉=\DBSW)(或(胞%JQES爲=0SQ)成 立,那么5㊉査㊉° = 00和幼㊉Wo㊉to = 00o
(3)命题(2)的推广。设os W {00,01J0Jl}(2 = 记N” =
\{i\vi = 01 或 10" = 1,2,...,尬}|。如果Nv是奇数,I ® UVmUVm^,Uvi 改变量子 对所在的测量基;如果恥是偶数,I ® UVmUVm^..Uvi不改变量子对所在的测 量基。更进一步地,当M是奇数,假设(Z ® UVmUVm^uJ\BSV0) = \DBSV)( 或{ISVQ) = \BSV)),那么如㊉%_i㊉…㊉5㊉%㊉q = 00;当Ny 是偶数,假设(虫久机久心.5)|加先〉=\BSV)(或= \DBSV)),那么%㊉㊉…㊉5㊉%㊉o = 00。
证明(1)这里所说的阿贝尔群是量子态上的算子群咖。在不考虑全局因子的情 况下,对任意的量子态|①〉W ESUDBS,认为|創和-禹是相同的,这也意味着,对 任意的久Un},S和一久也是相同的。由的乘法 表(见表34)容易看出,So是乘法单位元,每个变换的逆元是它本身,而且满足: 对任意的v,we {00,01,10,11}, UVUW = UWUV - Uw 因此,{SoQiiDoQoi}是 一个阿贝尔群。
(2)命题的正确性可直接由表3.5得到。
(3)如果M/是奇数,那么如㊉如一1㊉•…㊉巧W {01,10}。由(3.8.1)知,对任意 的6 {00,01,10,11},等式UVUW = UWUV = Uv+W均成立,所以I©U呗{—…% :
久鈕吩t㊉…伽E {I ® t/oiJ ® ^10}改变量子态的测量基。更进一步地,如 果(/@久机久—…CAJIESJ = \DBSV),那么(/0久机銚》询…ajES廟=\DBSV). 由命题(2),得到Qm㊉如_1㊉…㊉5㊉如㊉v = 00o类似地,也可以证明Ny是偶 数的情形。□
3.3.1基于非正交量子纠缠对的MQKA协议
在一个具有N (N > 2)个参与者片,d-的协议中,每个参与者只生
表3.5酉变换%@,b e {0,1})在BS和DBS±第2个粒子的作用
|BSoo) \BSn) \BSW) |BS01) \DBS00) \DBSn} \DBS10) \DBSQ1)
So |BSoo) \BSn) \BSW) \BS01} \DBS00) \DBSn) \DBS1Q} \DBS01)
Si |昭1〉 |BS00) \BS01} \BSW) 砂s“〉 \dbsoq) \DBS0l) \DBSW)
% \DBS0l) \DBS10) \DBSU) \dbsqo) \BS01) \BSW) \BSn) |B5Oo)
So \DBSi0) \DBSm) \DBS^) \DBSU) \BS}Q} \BS(n) |BSoo) IBS】】)

成一个几("为偶数)比特长的随机序列圧作为秘密私钥:
Ki =伙如:屁2,…血号) (3-26)
这里,kk7 G {00,11,01,10}; / = 0,1,N - 1; j = 1,2,此外,每个参与者R 还 生成一个号比特长的秘密序列G :
G =(Q,i7G,2> …•心,罟): (3-27)
这里,元素g(J = 12…朋)由参与者R的私钥兀中的元素尬决定,规则如下: 当念J e {00,11}时,% = 0 ;当/^ e {01,10}时,% = 1。接下來,所有参与者 同时运行协议,最终得到一个n比特长的共享密钥[K] - Z<0©阳㊉…㊉I<N-1 -伙1, 几2,…号)為=fcoj㊉紡J㊉人2,了㊉• • •㊉人N — l,j; j = 1)2, ..., 7Z)o协议具体描述如F :
第1步:初始化阶段。
(1) 每个参与者“(z =()丄…,N - 1)随机制备号个最子对,组成•个最了对序
列® = (|VBSWiJ, . •,V”S“Q);这里叫? e {00,11,01,10},符号VBS
表示…个量了对变量,代表该堆了对或者在BSH'选取,或者在DBS *|J选取,然后 根据其下标吗』确建该量了对的只体取值,例如:如果VBS农示量了对在ES中选 取,且%•二 00,那么\VBSWJ = |BSoo)二 ^(|00) + |11〉)o 接着,P]根据自己的 密钥兀=(免屛:心…人号),对这些量?了对的第二个粒子,逐--操作形如式(3-25)的 酉变换Uk心(J = 1:2,…,封,得到一个新的量子对序列。
(2) 参与者鬥将得到的新量子对序列分为两个单粒子序列:第「个单粒子序 列Sf彳由每个量子对的第一个粒子组成,第二个单粒子序列3訂讦1由每个量子对的 第二个粒子组成。接下来,E从{|0川1〉,|+〉,|-〉}中随机选择足够多(例如号个)的 诱骗态,并把它们插入到单粒子序列sjz+i中,得到一个混合序列讦-最后, R将第一个单粒子序列Sj严保留在自己手中,将混合序列§严发送给后一个参与 者只+1。
第2步:诱骗态检测阶段
在确认所有的接收方E+1C W 0…「N - 1)均收到序列雷讦1后,只与尺+1执 行诱骗态检测。如果信道错误率超过预定值,协议停止;否则,£删除诱骗态粒子, 恢复出单粒子序列S當讦-
第3步:加密和迭代加密阶段
⑴每个参与者R+i根据自己的密钥&+i =(蜃観+5…,底+1,訪 对单粒子 序列閒讦1中的对应粒子执行形如式(3-25)的酉变换,得到的序列记为S^+2。
⑵R+i从{|0力⑴」+〉, |一)}中选择足够多的诱骗态,并把它们插入到单粒子序 列Sh讦2中,得到一个混合序列雷计1,并将其发送给后一个参与者E+更
(3出+2和E+1合作执行诱骗态检测(与第2步相同)。
本步骤不断持续下去,直到所有参与者EC W 0,1,2,…,N - 1)从发送方£_i处 收到混合序列會较后,并成功通过诱骗态检测为止。接着,R删除混合序列中的诱 骗态粒子,恢复出单粒子序列瞪J
第4步:提取共享密钥阶段。
(1) 每个参与者只(分=0 J厂…〕- 1)向其他所有参与者公布自己的号比特的秘密 序列Q = (g,i2,2,…2送)(见式(3-27)),并计算
C = G)㊉ Ci ㊉…㊉ Cn—\ = (ci, c2)... ? to), (3-28)
其中匂=gj ® c、,j ㊉•…㊉ E {0,1}? j = 1,2,...,
(2) 参与者£将恢复出来的第二个单粒子序列龛与他手中保留的第一个单粒 子序列龙广相结合,组成量子对序列,并根据号比特序列C=(5,02“…,臂)中的 每个位置的元素,选择合适的测量基(BS或者DBS),对这些量子对序列进行 测量,其中测量基的选取规则如下:当勺=0时,R选取的测量基是被测量量子 对在最初制备时的状态\VBSWiJ)所在的测量基;当勺=1时,只选取的测量基是 被测量量子对在最初制备时的状态\VBSWJ所在的测量基的对偶基,测量结果记 为 MSi = QVBSwh)^VBS<2), ...dVBSw:J)o
⑶参与者只计算[K]=(叫㊉w谆©w;j2,wAn㊉堪号),则[K]就是最终的 共享密钥。 2
332协议的正确性
协议的正确性与以下命题等价:参与者鬥获取的最终共享密钥[K] = (wM㊉ W-4,叫,2㊉叫2,3透㊉応罟)与冗比特序列Ko㊉K1㊉…㊉Kn—\ =伙1: ◎…,隔) 相同。因此,为了说明协议曲正确性,只需要证明焉=叫㊉屹心=12…花)。
首先,少爲的获取是依靠对量子对\VBSWi^最终状态的测量实现的,因此,选取 正确的测量基是能否正确获取鸿,的关键。

其次,由协议的运行过程可知,测量基的选取与式(3-28)描述的序列C中元素® 有关:匂=0当且仅当伽㊉g㊉…㊉q_* = 0,当且仅当集合{k^ = 01或10怡= 0丄…J-1}中的元素个数为偶数。由定理3.8、协议的第1步、第3步和第4步可知, 当协议的所有参与者对量子对量子对的第二个粒子做酉变换以后,R对其 测量时选取的测量基是正确的。因此,该量子对的最终状态是
最后,由协议的执行过程和定理3.8,有以下结果: "
=(陀 ® %"…(2 叽)(/ ® UkJ\VBSwJ
* \VBSwh) = (I® U—JJkf …Uki^UkJ\VBSwJ
=> ® 池一2$ ㊉•…kn,j ㊉ kij ㊉ ® w爲=00
=> A:oj ® ㊉…屁一㊉ witj ㊉ w-j = 00
=> Wjj ㊉ w訂=fcoj ㊉ ㊉•…
=>妙』㊉測』=环
因此,协议成功执行结束以后,每个参与者只均获得了共享密钥冈=伙川2,…, 隔),即协议是正确的。
3.3.3协议的一个简单例子
为了更好地理解协议,给出一个不考虑诱骗态的情形下具有4个参与者的量子密 钥协商的例子。设P0,P1,P2)P3是协议的合法参与者,他们想通过执行协议,通过平 等协商获取一个6比特长度的共享密钥。每个参与者拥有的6比特的密钥和3比特的秘

因此,在协议的“第3步:加密和迭代加密阶段”,R)、Pi、几和尺执行的酉变换序

首先,每个参与者制备一个量子对序列如下:
So = (D£Soo,BSh 昭)
S\ = (BSmDBSgDBSE、
(3-32) S2 = (DESmDESgESg),
SsulBSgDBSmDBSg).
其次,在协议的“第4步:提取共享密钥阶段”,R)获取以下量子对序列:
COtO °OtO
=((/ ® (I ® % 2%,2%,2%,2)B Sg
(I ® 久3,3久2,3以1,3久0,3)£811)
=((/ ® UMtU.MDBS^ (J ® UnUMQU10)BSQ1Al ®
=(J5Soi, BSg DBS、。)
(3-33) 类似地,片、B和尺也获取以下量子对序列:
S〒】s評=(DES。。, DES^ESo)
ShS評=(BSgDBSm DES。。), (3-34)
S廿 3S苧彳=(DBS^DBS^BS^.
至此,虽然几、R、B和禺获得了最终的量子对序列,但是,由于不清楚这些序列 中的量子对处于测量基BS和DBS中的哪一个,他们无法准确地对这些量子对进行 准确测量。
接下来,R、只、匕和匕公布秘密序列CgCg 和Q,并计算C = C。㊉G㊉ Q㊉C3 = (1,0,1),从而清楚了量子对的准确测量基,即第1、3个量子对改变了测 量基,第2个量子对没有改变测量基。因此,他们通过选择正确的测量基,对自己拥 有的量子对进行了准确测量。
最后,每个参与者通过对测量结果和量子对的初态的对比,计算出最终的共享 密钥。例如,R 计算[K] = (00 ©01,01 ©10,11 ©10) = (01,11,01),不难验证,该 密钥与Ko㊉Ki①&㊉心相同。
3.3.4协议的效率和安全性分析
(1)协议的效率。协议的参与者为了获取兀比特的共享密钥,在执行协议的过 程中,每个参与者准备号个量子对(冗个量子比特)和足够多的诱骗态(每次发送粒 子过程中,诱骗态的数目号个,合计警个量子比特),最后公布一个多比特的经典秘 密序列。因此,协议的量子比特效率伽=备=亦+字碍)=品乔
(2)协议的效率比较。在本章临近结束,从量字庄特效率、测量次数和操作 的酉变换次数等三个方面,对本章提出的4个多方量子密钥协商协议与已知的3种
表36不同的MQKA协议效率比较
MQKA协议 量子比特效率% 测量次数 酉变换次数
LG2013协议叫 1
2N(N~1) 2N(N — l)n 0
ZHF2015协议呻 1
N〔N+3) N(*N+1加 2N2n
HSX2016协议冋 1
N(N+4) N^N + l)n 2N2n
协议1 1
N(N + 1) N(N + Rn N2n
协议2 2 站(N + 3)n
协议3 2
N(N+6) 舟 N(N + |7V2n
协议4 2
N(N+3) 舟 n(n + 5 |7V2n

具有代表性的协议做…下效率比较。为表述方便,将本章的四个协议按顺序分别标 记为协议1 (基于量子搜索算法的MQKA协议)、协议2 (基于附加经典比特的具有 可信方的MQKA协议)、协议3 (基于附加经典比特的无可信方的MQKA协议)和协 议4 (基于非正交量子纠缠对的MQKA协议),涉及到己知的3种协议分别为LG2013 协议吶、ZHF2015协议心和HSX2016协议回,具体比较结果见表36。由比较结果 可以看岀,LG2013协议是一个基于单粒子的具有distributed结构的协议,虽然没有 酉变换操作,但是量子比特效率和测量次数均不理想;ZHF2015协议和HSX2016协 议均是基于量子纠缠态的具有traveling结构的协议,在量子比特效率和测量次数方面 性能较好,但是需耍操作的酉变换次数却较多;提出的4个协议,虽然在测量次数方 面比ZHF2015协议和HSX2016协议稍弟,但是最子比特效率显著提高(后三种效率 提高约1倍),酉变换次数大幅降低。因此,提岀的4个协议整体效率较好。
(3)协议的安全性。由于在每次发送单粒子序列时都插入了足够多的诱骗态粒 子,所以,协议可以抵抗截取-重发攻击和纠缠-测量攻击。下面,重点讨论最具有 威胁性的共谋攻击,并讨论最危险的情形,即所有参与者中,只有/是诚实的,其 他参与者只= 2,1)合谋,企图控制整个协议的进程,在协议结束前或
者D获取共享密钥前窃取D的密钥,使得最终R)获取的密钥是其他参与者提前选定 的另一个密钥。
在粒子传输过程只)T p T局T .…T Pt-i ―中,由于R制备的纠缠粒子 对序列中的第一个单粒子序列一直保留在自己手中,所以,其他参与者从该过程中 不能窃取的任何消息。下面考虑任意的其它一个进程只T R+1 T ••• T P— T
A T丹T •…T T R(分黑0)o在这个过程中,如果可以窃取托的密钥的话,
理论上来说,円获取这种机会的时间最早,因为他是第一个接收到被R加密后的单 粒子序列,然而,他却不能成功获取A的密钥,因为即使耳与其他参与者合谋获取 Tpq加密后的单粒子序列和对应的第一个粒子序列,由于E的加密会使得量子对的 测量基发生改变,而只没有关于测量基的变化情况的任何信息,所以,戸无法准确 地测量出量子对的状态,也就获取不了A的密钥。因此,即使除了A以外,其他参 与者均合谋的情况下,共谋攻击对该协议仍无法奏效。
3.4本章小结
本章节中,在回顾量子搜索算法中所用到的量子对和酉变换、Bell态及其对偶、 Pmili变换、Hadamard变换等概念的基础上,给出了关于这些概念及其内部联系的 许多重要性质,并利用这些特殊性质,构造了四种具有traveling结构的MQKA协议, 证明了协议的正确性。效率和安全性分析表明,本章提岀的四种协议效率普遍较高, 不仅能抵抗截取■重发攻击和纠缠-测量攻击,即使面对威胁性最大的内部参与者的 共谋攻击,协议也均能保持安全性。
第四章 其它多方量子密码协议的研究
本章将研究多方量子密钥协商协议的方法和经验进行推广,应用到门限量子态 秘密共享和多方量子秘密比较协议的设计和分析中,提出两个仏耐门限量子态共享 方案和一个多方量子秘密比较方案。
4.1(i,n)H 限 QSTS 协议
本节讨论量子密码学中的一种重要的量子密码协议的模型一门限量子态共享协 议。下面考虑一个案例:
某公司掌握一个重要商业机密(如某个价值连城的医药配方),且该机密仅此一 份,无法复制。公司将这个机密锁在一个绝对安全的密码保险柜里,只有公司董事 长知道该密码。考虑到一旦遇到紧急情况,必须使用配方时,董事长万一无法及时 赴来打开保险柜,可能会造成无法挽回的巨大损失。因此,董事长决是将密码分割 成若干份,让公司其他董事各执-份,且满足至少三分之二以上的董事联合起来, 才可以恢复密码,打开保险柜。
如何才能实现董事长的目标呢?经典密码学中经常提到的门限秘密共享方案可 以有效地解决这个问题。与经典密码学类似,量子密码学中也有门限秘密共享方案, 称为门限量子秘密共享协议。量子秘密共享协议按所共享信息的属性进行划分,通 常可分为两类:第一类协议用來共享经典信息,称为量子秘密共享(Quantum Secret Sharing, QSS)协议;第二类用來共享未知量子态,称为量了态共享(Quantuni State Sharing, QSTS)协议。木章主要讨论后-种类型的门限共享方案,即仏对门 限QSTS协议。
4.1.1(肋)门限QSTS协议
当前已有的QSTS协议基本上都是基于拉格朗日插值法和纠错编码法构造的,操 作比较复杂。本节在对单粒子酉变换的性质进行探索的基础上,结合多元线性方程 的解结构,提出一个门限量子态共享方案。该方案是线性方程应用于QSTS协议的 第一个案例,相比于已知的门限量子态共享方案,该协议在效率、可行性等方面均 具有…定的提升。
设Eob血=12 •…n)是八个参与者,如遊是一个商家,并拥有一个秘密的单粒 子量子态序列s+山""』
这里s = 复系数必和乩满足血F + |0f = 1。如沁准备将密量子态序
列S的信息嵌入到经典信息中,将其分为冗份并分配给每个参与者1份,且满足:任 何非法参与者或者少于t个的合法参与者都无法恢复秘密量子态序列,只有t个或者 多于t个合法参与者联合起来,才可以成功恢复秘密量子态序列。具体协议描述如 下:
第1步:初始化阶段。
(1)Alice选择比个非零有理数62,...,%做为自己的私钥。
(2)对于e1?e2?... ,en中的任何土个数%% …心土 (1 < k < i2 < •- < it < 兀), Alice均构造一个如下t元线性方程:
隔丄认 + 氓 2 血2 + • • • + — 1 (4-2)
Alice选择该土元方程的一个解X讣2…九=(珈J皿(込),…皿(仏)),且满足:所有这些 方程的解两两互不相同,且解中的每个元素如⑹均不为0,这里的下标s©)是右,亦, …仏的一个以兮为首的顺序置换,即s(切=汕…兮_角+1…认1 O…< i— < ij+1 < • * * < it),例如:如果选择t = 5,初=1,亦=3,滋=4, i4 = 5,為=8,则 有
s(ii) = s(l)=讯2分3 讪5 = 13458
3(亦)=s(3)=汩辺3 讪5 = 31458
S(?3)= S(4) = = 41358
s(»4)= s(5)=必珀分 2$3$5 = 51348
5(ig) = s(8)=缶沁 2 学4 = 81345
(3)Alice随机选择一个非零有理数6并秘密保存,定义
Bi 二{§• E •夠“2…久一上弄九_i;l < Ji < J2 < • • * < jt~i < n} (4-3) Alice通过安全直接通信129,39,5X551的方式,将£应=1,2,…,m)发送给Bo®,做为参与 者Eo力的私钥。
第2步:秘密量子态共享阶段。
一旦需要恢复该秘密量子态序列S, Alice先指定Bob尿为S的恢复者,同时指定 其他t - 1个参与者Bobkl,Bobk2,…,Bob^,让他们联合起来帮助屁加恢复出S。具 体过程如下乂
(l)Alice对单粒子量子态序列S = |炉1〉|炉2〉…中』中的每一个粒子执行单粒子酉 变换C/(0o)(0o = 27t - 6),得到一个新的单粒子序列Sow。这里的单粒子酉变换定义 如下:
(
cosd —sinO \
Sind cose 丿 (4'4)
⑵Alice从|+),|-)}中随机选择足够多(例如m个)的诱骗态,并把它 们插入到单粒子序列S-i中,得到一个混合序列尹。最后,Alice将混合序列阿 发送给参与者BobklO
(3)Bobkl收到混合序列济后,与Alice合作进行诱骗态检测,如果信道错误率 超过预定值,协议停止;否则,删除诱骗态粒子,恢复出单粒子序列S-i。
接下来,Bobkl对单粒子量子态序列SO*中的每一个粒子执行形如式(4一4)的单 粒子酉变换叽),得到的新序列记为S】T2,这里的0] = 6他严碍4选自于叽的 密钥巩(见式(4-3))。
最后,屁加从{|0〉,|1〉,|+〉,|-)}中随机选择足够多的诱骗态插入到单粒子序 列中,得到一个混合序列乔二,并将其发送给下i个参与者Bobg
(4)步骤⑶不断持续下去,直到秘密量子态序列的恢复者Bo呢收到参与者Bob—发 送的混合序列丽二,且成功通过诱骗态检测,并删除诱骗态粒子和恢复出单粒子 序列S—f为I匕
(5)皿呢对单粒子量子态序列0-1宀中的每一个粒子执行形如式(绻4)的单 粒子酉变换U他)(仇=6 •弧5佝—),即成功恢复岀秘密量子态序列S = 中1〉“2)…"机〉。
4.1.2协议的正确性
目充打然…雌=(*^5(A:i)5 • i (其中(比))一^kjk] ---fej_ ifcj-4.i--*A*t )疋
方程%:% + %% + •…+ ektxkt = 1的一个解,因此,
…kt + "人:2丄人:'2岛层|…人丁 + ….+(〔初工X昆2…k,t- \ — 1 (4-5)
其次,容易验证,式(4-4)的西变换满足:对任慧的3利小如下等式均成立:
U(3)U(v) = U(3 + u) (4-6)
考虑秘密量子态序列S=中]〉|如…|內〉中的任意…个粒子悶(厂€ {12…,m}), 协议运行结束后,商家Alice和/个参与者从烁、%见,.…Bobkl分别对该粒子做-个 形如式(4・4)的酉变换,该粒子的最终状态为:
U他)U(仇_i)…•U(%)U(0o)|s〉 (4-7)
其中% = 2兀 一 6, ® = 6 • 5厂%伽—内+i.m J = 12 …由式(4-5)和(4-6),粒
表4.1 {eh,ei2,ei3} C {5,切,內,丘也引}对应的方程及其解
色1 J勺2 5乞3 3元方程 方程的解
^1,巳2、色 2xj + 4^2 + 5物=1 X123 =(①123,①213,爼312)=⑴一1)
」丘2:£4 2Xy + 4^2 + 8X4 = 1 X124 = (^124,^214,^412)=(牯 牯吉)
^15 *2,丘5 2xj + 4① 2 + 10 ⑦5 = 1 X125 = (^125,^215^512)=(蒿牯壽)
61,63, e4 2xi + 5^3 + 8 为4 = 1 X134 = (^134, ^314)^413)=(寻誌,寺)
61,^35^5 + 5丄3 + 10^5 = 1 心5 = (^135,^315,^513)= (3, -5, 2)
^1,丘4, £5 2衍 + 8 ①4 + 10x5 = 1 X145 =(① 145,爼415卫514)=(毎
丘2,勺,*4 4①2 + 5帀 + &^4 = 1 X234 =(⑦234,⑦324“432)—(吉,一寺,右)
匕2,丘3,巳5 4①2 + 5衍 + 10^5 = 1 天235 =(化235:少325,①523)= (~15 j} 3)
丘2,£4:£5 4^2 + 8 ①4 + 10^5 = 1 X245 =(爼245卫425,為24)=(參茁一養)
63,^4,65 5 龙3 + 8a?4 + 10j?5 = 1 X345 =(力345,盹35,⑦534)= (|,牯—盒)

子|S〉的最终状态(见式(4-7))可表示如下:
卩(仇)E/(仇_1) •…卩(01)卩(%)|0»
=U (Ot + Ot~l + …+ 列 + 00)|°r)
= 口(6£航坯曲血…kt_i +风屁_13屁_仏1上2…尿一2机+ *…+ ^kik2:.kt + (2兀—〃))|妬〉
— 卩航肋想…料一1 +即―坯一让让2…竝一2屁H 1- E局①紡屉…池)+ (2% 一 d))”r〉
=[7(5 -1 + (27r 一 6))|炉『〉
=[/(2开)|今〉
=⑷
因此,Bob尿最终成功地恢复了每个粒子|s〉,即恢复了整个秘密量子态序列3 = |如“2)…曲”
4.1.3协议的一个简单例子
为了更清楚地展示协议的运行过程,给出一个具体例子,即(3, 5) QSTS协议。 为便于讨论,该例子为不考虑诱骗态粒子的情形。
第1步:初始化阶段。
(1) Alice随机选择?2个有理数做为自己的密钥:6 = 2,巾=4,內=5, = 8 和 £5 = 10o
(2)对每一组{说心2:仇3}匚弋4代},Alice均构造一个3元方程禺如+ ei2xi2 + ei3xi3 = 1,并取它的一个解Xili2h =(①s(Uig3)),满足:这些解互不 相同且解中元素均不为0。
如果夠=®二2心2 =切=4心3 =匂=5,那么Alice构造的3兀方程为:
+ e2X2 + £3^3 = 1,即 2叼 + 4x2 + 5^3 = 1,选择该方程的一个解为:X123 = (£123: 乂213:比312)= (1,1,一 1)。对于其它各组, e^2, Ci3 },也可以类似地构造3兀方程 并选择对应的一组解(见表4.1 )。
(3) Alice随机选择一个非零有理数6并秘密保存,不妨设6 =箱,计算每个 参与者3必的密钥份额3,并通过安全直接通信的方式,将Q发送给这里 的民由式(4-3)决定,具体如下:
B\ = {比1么123: 〃0乞124, 6£1兀125,広134,凤1力135,比诃血} = {為 200 1 320,為,斋
7?2 = {必1北213"1工21,仁问也 15, 必 1不235,几155} = { ,ij"斋、击,一箱,事}
民 ={旳厲312 “2314,碣叼⑸必⑺贮心①325“。心45} — {_£影、—花—占,缶
Ba = {§£1£412血1工413〉6£1£415,為』;423翫1 龙425,旳如 5} = { ,击)击,盒 > 击雋} 总5 — {6亡1 力512,d® 血513、6® ⑦514,〃匕1 *^523、^^1*^524、尤534 } — {両,和—20 1 迈、—^0 * — §0 }
第2步:秘密QSTS阶段。
…旦需要恢复该秘密量了态序列S二I®〉"?〉…"Q,Alice先指泄3个参与者 共同协作恢复该序列,不妨指龙叭为秘密量了态序列的恢复者,同时指左参耳 者“心和D◎帮助加尿恢复出S。具体过程如下:
(1) Alice对单粒了最子态序列S =讷皿)…|0〉中的每-个粒子执行单粒了西
变换U(0O) = U帥- 6) = -刼,得到一个新的单粒子序列S—】,然后将其发
送给参与者Bob2o
(2) £0%收到序列S-1后,对其中的每一个粒子执行单粒子酉变换U(0,(趴= 八切• x245 =汾)得到的新序列记为Si*,然后将其发送给参与者Bob,.
(3) Bo%收到序列S-2后,对其中的每一个粒子执行单粒子酉变换U©)(弘= "S ^425 =盒)得到的新序列记为S2-3,然后将其发送给参与者%床
⑷3。加收到序列S"后,对其中的每一个粒子执行单粒子酉变换"03)(陽= 乜524二一存得到一个新序列。该序列中任意一个粒子|必〉(『€ {12…,加})

讷〉=iwu©)u(%)u(0咖
=U(03 十 02 + % + %)Is)
=S(— 嘉)+ 120 + + (2?r ~ 寺))1®*〉
="2开)|如
=⑷
因此,BO馆最终成功恢复出秘密量子态序列S = |0〉|卩2〉…If〉。
4.1.4协议的效率和安全性分析
(1)协议的效率。已知的多数门限QSTS协议都是基于拉格朗日插值法或者纠 错编码方法,复杂度较高。而本协议是基于线性方程的解和单粒子上的酉变换操作, 其中线性方程的求解简单易行,单粒子酉变换也非常易于操作,因此,本协议的效 率明显优于其它已知的门限QSTS协议。
(2)协议的安全性。由于本协议执行过程中,每次发送单粒子序列,均插入了 足够多的诱骗态粒子,因此,非法参与者无法对协议的安全性造成威胁。这里,只 需要考虑内部参与者的共谋攻击,即,是否存在少于t个的合法参与者能够通过协作 恢复出密钥的情形?以4.1.3节中的例子,来说明共谋攻击对本节提出的协议是不奏 效的。
由于4丄3节中的例子是一个(3,5)门限QSTS方案,因此,在讨论共谋攻击时,只 需假设存在2个参与者合谋的情景。如果两个合谋者不是Alice指定的协助恢复密 钥的参与者,此时,他们可以被认为是外部攻击者,由于诱骗态的插入,他们的 不诚实行为必然被发现。所以,只需要讨论最具威胁性的情形,两个合谋者均是 由Alice指定的协助恢复密钥的参与者且不是恢复者的情形,即Bo/和£仍4准备合谋 恢复秘密量子态序列。和£咖手中的密钥分别为:
占2 = {碣血⑶為①214,壮曲⑸殉如右壮13235,6®Z245} = {需詰5,嗇,盒:一壽屛,} ^4 = {〃53412: 6丘1 龙413, 6巳1龙415, ^^1^423, 6丘1 龙425, 爼435)= {抵:^355 莎,^205 1205 丽,}
为了恢复岀秘密的量子态序列,最好的计策就是,和£。加从密钥中分析得出方 程£2①2 + £必4 +昭5 = 1的一个解,并恢复出Alice的秘密值6。但是,仅从自己手中 的密钥,£呱和Bob4无法获知£5的值,更无法获取6的任何信息,所以,他们也不能 获取壮5工524的值,从而无法恢复秘密量子态序列。因此,共谋攻击对协议无效。
4.2可验证的(也)门限QSTS方案
在前一节提出了一个安全高效的门限QSTS方案,但是,该方案无法解决如下情 形带来的安全隐患:在秘密量子态序列恢复过程中,某个合法协助者故意出错,从 而造成秘密量子态不能正常恢复,但该参与者的失信行为能够很好地隐藏,不会被 其他合法参与者及时发现。为了弥补这种缺陷,结合Bell态的纠缠特性和在单粒子 酉变换下特殊性质,对前一个门限量子态共享方案进行改进,提出一个可验证的基 于单粒子酉变换和线性方程的门限量子态共享方案,该方案在保持原方案优良性能 的基础上,有效地解决了方案中参与方失信行为无法检测的缺陷。
4.2.1可验证的亿n)门限QSTS方案
第1步:初始化阶段。
(1)Alice选择冗个非零有理数ebe2,..., en做为自己的私钥。
(2)对于ei.e2,...5en中的任何t个数夠,%…M (1 < h < <2 < • * <力 < 冗), Alice均构造一个如下扌元线性方程:
+ &2;每 2 + • • • + = 1 (4-8)
Alice选择该t元方程的一个解Xs点=(%(⑴,啦2),…皿他)),且满足:所有这些方 程的解两两互不相同,且解中的每个元素血(巧)均不为0,这里的下标曲J是①仏…, “的一个以亏为首的顺序置换,即也)=汕…则+】…加]< • • <巧t <切]< ■ • < %)。
(3)Alice随机选择…个非零有理数d并秘密保存,定义
H = {6 • g厂龙讪j・2…八丰办"2, •…久―1; 1 < 3\ < >2 < • • • < jt-i < n} (4-9)
Alice通过安全直接通信的方式,将= 12…,m)发送给B(虞,做为参・ 者Bo®的私钥。
第2步:秘密量子态共享阶段。
一旦需要恢复该秘密量子态序列S, Alice先指定Bob林为S的恢复者,同时指定 其他t — 1个参与者民怯,Bobk^…』叽],让他们联合起来帮助Bo叽恢复出So X 体过程如下:
(1)Alice对单粒子量子态序列S = "1〉応〉…|0〉中的每一个粒子执行形如 式(4一4)单粒子酉变换17(%)(弘=2tt - d),得到一个新的单粒子序列SO-】。
(2)Alice制备(f - 1)组量子对序列S2, S3, ••- . $做为失信检测量子对序列,以供 检测参与方的不诚信行为,这里的每组序列均由L判个Bell态|0+〉二饶(|00〉+ |11)),
并将这些量子对标记如下:
52:妙十〉2,1,|0+〉2,2,..|护〉2,煜」
53:妙+〉3,1,|0+)32 …,|0十〉3逻」
&: |护>小|0+亦…,|0+〉週」
Alice将每组Bell态序列分成两个单粒子序列,分别为第1个粒子组成的序列於(Z = 2,3,…J)和第2个粒子组成的序列Sf(Z = 2,3,…・羽:
Sf *• l^+)2,2i …,|0+);L爭」; 開:|0+〉£1,|0+〉:2> …J©*〉;]罟」;
S£ : |。+〉打,|0+〉&2:…,1。+〉訂爭」; S長:|0+〉务 |0+〉?2,…,妙+〉訂号 J;
Sf :妙+〉冷…,|0+〉:2:…晋」; S? : |0+〉彳1,…,|0+〉彳2:…」©+〉[罟」
接下来,Alice对第1个粒子序列於(Z = 2,3小・出中的每个粒子执行单粒子变 换UG)U®_,…U®)(这里的址"弘・坯因…—g•仏选自于£。加的密钥% ),得到序列瓦力,并将其发送给£必;然后将第2个粒子序列Sg隔…番中的 每个粒子随机插入到单粒子序列5°ti中,得到序列丽二,同时,记录每个序 列Sf(Z = 2,3,…』)中的粒子在丽孑中的位置呼,并告知参与者尿洛
(3)Alice从{|0〉,|1〉,|+川-〉}中随机选择足够多(例如2m个)的诱骗态,并把它 们插入到单粒子序列丽二中,得到一个混合序列丽二。随后,Alice将混合序列丽了 发送给参与者Bobkl.
⑷B。亦收到混合序列济后,与Alice合作进行诱骗态检测,如果信道错误率 超过预定值,协议停止;否则,£。加]删除诱骗态粒子,恢复出单粒子序列耐。
接下来,Bobkl对单粒子量子态序列孙中的每一个粒子执行形如式(4-4)的单 粒子酉变换U(0i),得到的新序列记为Si?。
最后,B。%从{|0),|1),|+^|-)}中随机选择足够多的诱骗态插入到单粒子序 列S】t2中,得到一个混合序列尹,并将其发送给下一个参与者Bobg
(5) Bobk2收到混合序列尹后,与Alice合作进行诱骗态检测,如果信道错误率 超过预定值,协议停止;否则,加2删除诱骗态粒子,恢复出单粒子序列Si-?。
然后,^。加:根据序列S£中的粒子在耐中的位置甲,推断出这些粒子在序 列S1T2中的位置信息;庆加2将这些粒子与焉力中的对应粒子组成量子对,在Bell基 下对它们进行测量。如果这些量子对仍处于Bell态|0+〉=法(|00〉+ |11〉),则判 定前一个参与者Bo加1是诚实的参与者,协议继续执行;否则,认为前一个参与 者Eob灯执行了错误的酉变换,协议终止。这一过程称为不诚信检测。
协议成功通过不诚信检测后,Bo加2从S-2中删除被测量的不诚信检测粒子, 得到粒子序列产,并对该序列中的每一个粒子操作形如式(牛4)的单粒子酉变 换卩(%),得到的新序列记为S"。
最后,加2从{|0),|1), |+),|-)}中随机选择足够多的诱骗态插入到单粒子序 列S5中,得到一个混合序列尹,并将其发送给下…个参与者Bo%。
(6)步骤(5^豐下去,直到秘密量子态序列的恢复者Eog收到参与者Bob^发 送的混合序列 1二,且成功通过诱骗态检测恢复出单粒子序列S-5 为止。
〃。呢对单粒子量子态序列s-if执行不诚信检测,如果成功通过检测,则删除 被测量的不诚信检测粒子,得到单粒子序列记为Sf冰m否则,协议终止。
(J)Bobkt对单粒子序列%加中的每一个粒子执行形如式(4・4)的单粒子酉变 换U他),即成功恢复出秘密量子态序列S =中1〉“2〉…If〉。
422 协议的正确性
本协议与前-节中提出的仏n)门限量子态共享协议的原理和同,区别在于增加 了不诚信检测。因此,想要说明本协议的正确性,只需要说明不诚信检测的正确 性即可。由协议的运行过程不难发现,不诚信检测过程主要依赖于以下事实:Bell 态妙+〉=雳(|00〉+ |11〉)的第一个粒子和第二个粒子在经过若干个单粒子酉变换后, 两个粒子组成的量子对仍然处于原始状态妙+〉。下面,通过给岀这个命题的证明, 直接印证协议的正确性。
在给岀协议正确性证明之前,先给出关于Bell态|0+〉=倉(|00〉+ |11))和形如 式(4・4)的酉变换之间的一个重要性质:
定理4」设U他)是作用在Bell态|0+〉= ^(|00) + |11〉)上的一个酉变换。 如果〃 1 = %成立,那么& /。2))妙+〉= 也成立。
证明如果仿=%,那么
(5%)汕%))妙+〉
=g)汕%))饶(|00〉+ |11〉)
= 饶[(COS0JO〉+ 伽 01|1〉) ®(€OS(92|0) + 5X77^211)) +
(一5加01|0〉+ cosffifl)) 0 (―+ cos%|l〉)]
=汾[(COS(〃1 — ^2)|00)—威 77,(01 — 02)|01〉+ sin(^3\ — 02)|10) + cos(0\ — 02)|11〉]
=+ I11))
=砂+〉
定理得证。口
由协议的执行过程不难发现:每个Bell态10+) = ^(|00) + |11))被参与者方。切测 量之前,第一个粒子只受到由Alice操作的一次酉变换,即…叫、 第二个粒子分别受到Bo%,屁如,…,Bobi操作的变换U血),“仇),…r U(0i),所 以,该Bell态的两个粒子受到的酉变换作用实质上是相同的,由定理4.1知,它的最 终状态仍处于原始状态。因此,协议是正确的。
4.2.3协议的效率和安全性分析
首先分析协议的效率。本协议与4」节中的协议相比,增加了一些不诚信检测量 子对,显然,消耗的量子资源增多,这是无法避免的,因为协议安全性提升的同时, 必然损失更多的资源。尽管如此,相对于其它基于拉格朗日插值或者纠错编码的门 限QSTS协议,本协议仅仅使用了Bell态和单粒子及其酉操作变换,效率相对来说还 是比较高的。
其次讨论协议的安全性。经过对比发现,本协议是4.1节中协议的改进方案,在 协议的执行过程中,除了增加不诚信检测阶段以外,其它部分均与4.1节中的协议相 同,安全性更高。因此,本协议是面对共谋攻击等,同样是安全的。
43 基于况—level GHZ态的MQPC协议
下面以电子拍卖为例,说明秘密比较的一个重要应用场景。
一个拍卖者Alice想把自己手中的某个贵重物品以竞标的方式卖出去,她对该 物品的预期估值最低为£万元(称为标底),希望竞拍者提出的价格越高越好。如果 所有买家开出的价格均低于标底,则会岀现流标;如果有的买家开出的价格超过 标底,Alice将把商品卖给开价最高的竞拍者。现有冗个竞拍者Eobi,Eob2,…,JBobn, 他们希望不仅可以买到自己心仪的物品,还不想开出过高的价格。假设某个竞拍 者Bobi(i e {1,2, ••- ,n}想要岀的价格为/万元 如果s小于那么民心买不到心仪 的物品;如果么大于或等于且比其他竞拍者开出的价格都要高的话,那么Bob- 定可以买到心仪的物品。此外,拍卖者Alice和仇个竞拍者EobpEo®,…,Bobn在 竞标全过程中,都不想透露自己的价格,原因如下:如果竞标不成功,Alice不想 让其他人知道底价,否则对下一次的拍卖不利;如果竞标成功,未中标的竞拍者 既不想让其他人知道自己开出的价格,又想知道自己开出的价格是否真的比中 标者开出的价格要低。这就引出了如下问题:在不透露拍卖者Alice的标底和竞标 者Eo®(i e {1,2,…,"}的竞标价格的情况下,如何判断出珥1皿,…,如的大小关 系,从而顺利完成本次竞标?
上述问题可归结于密码学中的安全多方秘密比较的问题。近年来,随着量子 信息技术的发展,量子力学和秘密比较相结合,逐步发展成为一个新的研究方向 —量子秘密比较(Quantumprivacy comparison, QPC),特别是对多方量子秘密比较 (Multiparty Quantum privacy comparison, MQPC)的研究,已成为量子密码学领域的 研究热点。
本节利用高能级d-levelGHZ量子态资源的纠缠特性和量子傅立叶变换(quantum Fourier transform, QFT),提出一个用于判断秘密值大小关系的MQPC协议°理论分 析表明,该协议不仅效率较高,同时还能够抵抗各种攻击。
4.3.1基于d—level GHZ态的MQPC协议
在介绍协议Z前,先介绍一些协议描述中需要用到的量子资源和相关概念。本 节提出的协议中需要用到的量子资源为d-level /c粒子GHZ量子纠缠态,表示如下:
④〉=饶(卩〉2〉…卩[+ 卩〉卩〉…I1! ]d - l〉|d 一 1〉…|d - 1))
上个0 上个1 A:个况一1
在d-level量子系统中,常用的两个不可区分的测量基分别为Z基和X基:
Z = {|()〉,|1〉:⑵,…川-1〉},
X = 罗 |2〉,…予 1)}.
这里的量子傅立叶变换QFT表示如下:
1 £ Q7T7 T QFT : \z) T — )|;» (4-13)
下面,介绍-ftrf-level量子系统上的一个重要的酉变换称为移位算子,定 义如下:
— 壬呵(还岂罟)|上田讪| 件⑷
这里的符号“田”和后文中的符号“日”分別代表整数的模"加法和减法运算。容易 验证,移位算了s是测帚基Z1[的•-映射,同时也是测量基x上的--…映射,且满 足以下性质:
乩(卜〉)=卜fflr)
Ur(QFT\s}) = QFT\s Er) (s = 0,1.2,…,d — 1) 件⑸
设P^P皿…,P—是协议的k个参与者,7T是一个半诚信的第三方(即TP不 会与任何参与者和外部攻击者合谋来窃取参与者的私密信息,只会在诚实地执行 协议过程中,设法窃取每个参与者的私密值)。每个参与者Pt(i € 1)
拥有一个m维秘密向量久=仏,14也• • • € {0,1,... ,/}m (其中d = 2Z + 1),他
们准备执行以下的MQPC协议,通过f尸的协助,在不泄露任何私密信息的情况下,
判断出秘密向量勿=(阳,加,…,Pi,m) e {0, 中元素內小Pl,门…,Pij(j =
1.2....,m)的大小关系。MQPC协议描述如下:
第1步:初始化阶段。:TP首先制备m个相同的形如式(4J1)的〃-1眈1上粒 子GHZ量子纠缠态,组成一个上粒子量子态序列S;然后,FP把S划分为上个单粒子 序列%Sw…,S-,其中S& = 0,1,.…,上一1)由量子态序列S中第分个粒子组成; 接下来,7T从形如式(4・12)的乙基和X基中随机选择足够多的诱骗态粒子插入到单 粒子序列S、忌…& (通常每个序列中均插入m个诱骗态粒子)中,得到上个新的 混合序列S&SI…毘_\;最后,TP将第"个混合序列&发送给第2个参与者只。
第2步:诱骗态检测阶段。每个参与者R均收到FP发送的序列&后,7T和只执 行诱骗态检测。如果信道错误率超过预定值,协议停止;否则,R删除混合序列S?中 的诱骗态粒子,恢复出单粒子序列
第3步:加密阶段。每个参与者£随机选择一个m元序列几=(r讣匚2,…,心严) €{0,1,.…,〃一1}叫 接着,根据这个随机序列,只对单粒子序列£中的第j(j =
1.2....,m)个粒子执行形如式(4-14 )中的移位算子变换4幼,得到一个新序列瓦; 最后,R从Z基和X基中随机选择足够多的诱骗态粒子插入到序列瓦中得到混合序 列瓦;然后将其发送给IT。
第4步:测量阶段。TP收到从参与者R处发送的混合序列貳后,与R合作执行 诱骗态检测,如果信道错误率超过预定值,协议停止;否则,7T删除混合序列可中 的诱骗态粒子,恢复出单粒子序列耳TP成功恢复出所有的单粒子序列瓦(2 = 0」…,上一 1)后,对序列瓦中的每个单粒子序列在测量基Z = {|0), |1), |2),… 皿_ 1〉}下进行测量,测量结果记为欣〉=|吗,1〉|%2〉…|5,丄
第5步:传递秘密阶段。每个参与者只使用第3步选择的随机序列兀= …,gn) E {0,1,.…,d— 1}3将他的秘密向量化=(滋1,九2, •…,他严)加密为氐= (丽两,…,丽)=(A,l日SPi,2日g,…加,m日n>m),并通过认证信道将加密后 的秘密向量注发送给FR
第6步:秘密比较阶段。每个参与人E发送的厉均被TP收到以后,7T计算:
=(绘1,绘2, •…:圮m)
=(Pi}l 田 ^i,l, Pi,2 田 g,2, ' * • 5 Pijm 田奶,応)
〃)=(住,1日如1,±i,2日岛,2, •…,如m日切护)) (4-16)
S(?:,〃) =(S(£ 〃)1, 〃)2, * 八,S(2, 〃)m)
=⑻g7i[££i 日如SiffTi[ij 2 日切,2】〉• • •, Sign[it,m 日如m)])

(1 応{1,2,…,Z}
Sign[x\ = { ° 乂 = °
I —1 ① E {Z + 1 : Z + 2)•…了 2Z}
TF根据序列s仏〃)仏〃 = 0,1,… 北―1)中每个元素如)j的值,可以准确地判断 出所有上个参与者秘密向量中第j个元素叽伽,仆…、臥—品 =12…,m)之间的大 小关系,规则如下:
如果S仏〃)7 = 1,那么加> Pifj; 如果=0:那么仇j = Pm; (4-18)
如果s仏〃))=一 1•那么戸门 < 內j.
接下来,7\P将…:pu按从小到大进彳亍重新排序为理,j W旳…令纠冷 〔其中,符号C是一个关系符号的变量,表示< 或者=;讯讣…是0,1,…: k - 1的一个置换),并记兄仝常< <处_1。
最后,TP公布所有的忌仝?4 <石< • <几-。=12…,m),所有参与者可
以同时由局获得秘密向量的比较结果。
4.3.2协议的正确性
为了便于讨论,本节在不考虑诱骗态的情况下,以所有参与者秘密向量的第丿个 元素= 1,2,--. ,m)关系的判断为例,给出协议的正确性证明。
(1)TP制备的第丿个d—level上粒子GHZ量子态为:
I①〉oj,…,上-1 = ^(|0)|0)…|0〉+ ⑴|1〉…⑴ \d - l)p/ - 1) - • • \d - l))o,i,... a-i
然后,了卩将该量子态中的笫/个粒子发送给参6者必。
(2)在第3步中,每个参与者以根据口己选择的随机数序列7;-(心小心⑵…「 门屛e {0」,…s - 1}"中第j个元素G ,対第j个粒了执行形如式(4-14)的酉变 换兀心,并将得到的新粒了返回给
(3)在第4步中,收到了所有参与者返冋的粒子)T列后,第j个level丘粒 子GHZ量子态的每个粒子被对应的参与者执行了酉变换Urijf末态将变为:
④〉0,1,…41
=法(2 田 g〉K)田 r"…|0 田 Td-Ij) + |1 田厂0』〉|1 田;…|1 田 rd_xj}+
|(d - 1)田?oj)|(d - 1)田 7)j)…|(d — 1)田 Q—ij〉)(),i,…,.
=法(l「o,j〉A1J〉…lrd -ij) + |1 田 0>卩田 Hj)…|1 田心一i,j〉4 H
|(〃 一 1)田 g)|(〃 一 1)田 nj)…|(d — 1)田 G—ij〉)o,i,…心1
TP对上述量子态在Z基上测量,则量子态坍缩到如下状态之一:
1讪心…lu〉
|]田 r0J)|l 田厂出〉…| lffl
|(况一 1)田 rQJ)\(d 一 1)田 rld)…|(d — 1)田 r—J
换言之,存在某个常数勺G {0,1,…謳一 1},式(4J9)中的量子态坍缩为|弓田rQd}\Cj田 Hj)…|勺田 rd-ij),即 |叫〉=|勺田 = 0,1,…4 一 1)。
⑷在第5步,每个参与者R将他的秘密向量® =(阳如,…,阳』W {0,1,…, l}m加密为瓦=两=(如日",巩2日几,2,…,Pi,m3几,讥)€ {0,1,…,Z}771,并将厉发 送给TR 这里,所有参与者的秘密向量中第j个元素被加密后的值r0J,pijB ^1 * * ' )日
(5)最后,在第6步,UP计算式(4-16)o这里,特别考虑s仏〃)j = S沏就如日如)], 其中{0,!.,••• ,d-l}:
tij B til J
=(两田Wij) B (^J田妙力)
=[(Pi,j H ritj)田(cj 田化 j)]日[(加,j 日 ri/j)田(勺田 H/j)]
{G {1,2,…,Z} Pi』> Pif,j
=0 加=P认,
W {Z + 1,Z + 2,…,Z} Pij < j
因此,TP可得 (1 Pij > PifJ
= < 0 Pij = P认 j (4-22)
-1 Pij < PifJ

由s(® = S泗如日如)]仏〃 W {0丄…4 一 1})的值,UP可以容易地给出所有 参与者秘密向量的第j个元素卩0,门卩1小…muG = 12…严)之间的排序关系。
4.3.3协议的一个简单例子
本节在不考虑诱骗态的情况下,给出协议的一个简单例子。设fc = 3, m = 2, Z = 4, d = 2Z + 1 = 9,参与者R), Pi和匕的秘密向量分别为:po = (1,4), pi = (2,2), P2 = (2,3)o
(1)TP准备2个相同的9-level三粒子GHZ量子态:|①汕品=|①〉紅2 =訓0〉|0〉|0〉+ ⑴⑴⑴+…+⑻|8)⑻)0,1,2,并将它们分为3个单粒子序列So, S1和S2,分别发送 给R), R和B。
(2)PQ (Pi,旳收到筑⑸“2)后,随机选择一个2元向量九=(gg) = (4,6) (n = (n,i, n,2)= (2,5), r2 = (r2j,r2i2) = (6,1)),对Sq(S19 S2)中的第= 1,2)个粒 子执行酉变换Ug g, % J后,将粒子序列发送给TH
(3)TP收到从P0,P1和匕处发送的粒子序列后,将它们联合起来,组成两个3粒 子量子态|①〉氛,2和囤紅2:
I ①汕1,2 = |(|Offl ro,i)|O 田门,1〉|0 田厂 2,1〉+ |1 田 r0,i)|l 田门,1〉卩田电1〉+ …+ |8 田「0,1〉|8 ffi rij)|8 田旷2,1〉)0,1,2
=款⑷⑵⑹+ |5)|3)|7) +…+⑶⑴|5皿
2)紅2 = |(|0 田厂 0,2〉|0 田 rli2)|0 田厂 2,2〉+ |1 田 70,2)|1 田门,2〉卩田 7*2,2〉+ …+ |8 田 r0i2)|8 田厂 1,2〉|8 田厂2,2〉)0,1,2
=徇 6〉|5〉|1〉+ |7〉⑹⑵ + …+ |5〉|4〉|0〉)。丄2
TP对量子态|①汕品和厲〉紅2中的粒子在Z基下测量得到:
M()〉= |Wo,l)|w0,2)= |(:1 田 7Qi〉|(:2 ffi 70,2)
Ml〉=曲1,1〉|叫〉=I® ffi 门,1〉卜2 田"2〉
1^2)= |w2,i)|w2i2) = |Ci ffi『2,1〉⑷ ffi 厂2,2〉
这里,ci,C2 G {0,1, ••- ,8}o 例如,如果助°〉= |4〉|7),那么Ci = 0, c2 = 1, |wi)= |2〉|6),曲2〉= |6〉⑵。
(4)Po (A,砌将秘密向量加密为愆=(Po,l日5140,2日52)= ©7)(类似地, = (0,6), pi = (5,2)),并通过认证信道发送给TFo
(5)TP计算:
b =两■田= (6, 7)田(4.7) = (1,5)
ti 二两田幼=(0,6)田⑵ 6) = (2,3)
t-2 = P2 田 = (5? 2)田(6,2) = (2,4)
£(0,1)=沧日 t] = (& 2)
t(0, 2) = to St2 = (8,1)
方(1,2)=柿日七2 = (0,8)
s(0,1) = (Sign[8], Sign[2]) = (-1,1)
s(0,2) = (Sign\8\, Sign[l]) = (-1,1)
.s(l,2)-(Szgn[0],S^n[8])-(0,-l)
由判定规则(4■⑻及s(0,1) = (-1,1)可知戸0,1 < P1,1且Po,2 > Pl,2;同理可得Pcu < #2,1且P0,2 >戸2,2,Pl,l =卫2,1且P\,2 < P2,2 o因此,可以推出参与者秘密向量之间 的关系,即Po,l <卫1,1 =衍,1且卩1,2 < ?2,2 < @0,2,并公布上述关系式的下标中第一个 兀素信息7?i — 0 < 1 = 2> 1?2 — 2 < 3 < 0o
表4.2 MQPC协议的性能比较
协议名称 协议类型 效率耳 是否需要共享密钥 是否安全
CTH2013协议何 相等关系比较 為 安全
HHH2017协议叫 相等关系比较 安全
LYS2014协议网 大小关系比较 安全
HHG2015协议冋 大小关系比较 不安全
文中的协议 大小关系比较 安全

434协议的效率和安全性分析
(1)协议的效率。协议传递信息的过程主要有三个阶段。首先,半可信第三 方7T准备一个包含矶个上粒子GHZ量子态的序列,将它们分解成©个单粒子序列, 并在每个单粒子序列中掺入肌个诱骗态粒子后发送给对应的参与者,这个过程共消 耗量子资源为2mA;量子比特。其次,每个参与方收到单粒子序列后,对其进行加密, 并掺入m个诱骗态粒子后发回给半可信第三方TP,这个过程消耗量子资源也是尬上 量子比特,均为诱骗态粒子。最后,每个参与者将秘密向量加密后,通过可信信道 发送给半可信第三方TP,共使用mA;个经典比特信息,最终成功地对m元向量进行 了比较。所以,协议的效率为耳=滋+j =缶此外,从秘密比较的类型(相 等性比较或大小性比较)、效率、是否需要提前共享密钥、安全性等方面,给出本 协议与己知的四种协议进行了效率比较(见表4.2),它们分别是CTH2013协议何 HHH2017协议单LYS2014协议冋 和HHG2015协议冋。从该表可以看出,文中的 协议除了在效率上比CTH2013协议和LYS2014协议要低以外,其它指标均处于优 势,而CTH2013协议只能对秘密是否相等进行比较,显然没有本文中的协议优越, LYS2014协议需要提前通过量子安全直接通信的方式共享密钥,需要使用大量的量 子资源,该协议事实上效率远比本文中的协议要低效的多。综合考虑,本文中的协 议在各方面均表现出较大的优势。
(2)协议的安全性。每次发送单粒子序列前,都要在该序列中插入足够多的诱 骗态粒子,所以,协议可以抵抗截取■重发攻击和纠缠■测量攻击。下面讨论两种类 型的攻击:来自于内部参与者的共谋攻击和来自半可信第三方厂P的攻击。
首先讨论来自于内部参与者的共谋攻击。现讨论最危险的情形,假设协议中 只有一个参与者R是诚实的,其他参与者想通过合谋获取幷的秘密向量。攻击者 们为了得到D的秘密向量,必须要在协议的第5步中截获消息亦,因为仅在协议 的第5步传输了被加密的秘密向量,而第5步中使用的信道是可信认证信道,所以, 攻击者无法截获几发送的消息。此外,攻击者们即使截获了发送的消息页,他们 也无法获取E的秘密向量,因为他们如果想恢复该秘密向量,必须知道协议第3步 中A选取的随机向量几,而关于%的信息是通过掺杂着诱骗态粒子的单粒子序列发 送给7LP的,所以,只要攻击者截取该单粒子序列,必然会被0和TP发现。因此, 本协议在共谋攻击下是安全的。
其次讨论来自半可信第三方的攻击。在协议的执行过程中,诚实地执 行协议,发送和接收来自所有参与方的消息,理论上来说,更有机会分析并获 取参与者的秘密向量,然而,他依旧无法达到自己的目的。现以QP设法获取f的 秘密向量为例,说明协议的安全性。从协议的运行过程容易看岀,通过协议的 第3、4、5步,TP可以准确无误地获取到R的消息:|呦〉=血"叭,2〉…忆如〉二 1^0,1 田 Ci)|r0,2 田 C2〉…|ro,m 田 和祈 =(PoJ,PoJ,…,隔9 =(Po,i 日 r0,i,7)o,2 日 「0,2,…仙,机日70机),由此可以看出,为了获取內=伽,1,內2 •…,Qo,m),TT必须获 取(3d…心)的值,然后利用前一个式子计算获取7、o = (rOfi, rOi2, ■ •' . rOim)(第3 步中尸。选取的随机向量),进而利用后一个式子求出尸。的秘密向量。然而,上述的 攻击方案无法成功,因为(5。厂…心“)是第4步通过测量获取的,它是嵌入到测量 结果中的…个随机序列,无法获取它的准确值。因此,7*也无法分析岀R的秘 密向量,即,本协议可以抵抗来自半可信第三方TP的攻击。
4.4本章小结
本章节利用研究多方量子密钥协商协议的方法和经验,研究门限量子态共 享协议和多方量子秘密比较协议等其它类型的量子密码协议,提岀两个门限 量子态共享方案和…个多方量子秘密比较方案。首先,引入了 -个特殊的单 粒了酉变换U(〃),利用该变换的-个重要性质,即,对任意的有理数3和仏等 式U(』)UW)= 叫+ V)均成立,将其对单粒子的多次变换血常容易地转化为-次变 换,并结合线性方程解的特点,提出了一个(t,n)门限QSTS协议。其次,利用两变 换(7(0)的另一个重要性质,即,对两粒子最大纠缠态Bell态|护〉=吉(|°0〉+ |11〉)的 两个粒子同时操作西变换Ug该Bell态的状态不变,并结合线性方程解的特点,提 出一个可验证的(t,n)门限QSTS协议。最后,利用高能级rf-level多粒了GHZ量子态 的纠缠特性,提出-个多方量子秘密比较方案,可以有效地给出多个秘密向量的大 小关系判断。理论分析表明,本章提出的方案不仅能够保证安全性,同时,在效率 上比已知的同类型方案也有较大提升。
第五章总结与展望
5.1全文的研究内容总结
随着量子信息技术的深入发展,传统的基于数学中困难问题的经典密码体制面 临着巨大威胁,一旦量子算法和量子计算机付诸实际应用,被广泛使用的基于大整 数分解难题的RSA密码体制和基于有限群上离散对数难题的ElGamal密码体制,将被 快速摧毁。量子密码学是量子技术与经典密码学的有机融合,理论上可以实现无条 件安全,用量子密码协议保护信息的存储和传输,是信息安全保护的最佳选择。因 此,对量子密码学进行深入探索,寻求经典密码协议的量子版本,显得意义非凡。
目前,量子密码理论研究成果虽然十分丰硕,但还存在很多需要探索的问题, 如多数多方量子密钥协商协议易受到共谋攻击的威胁、多数量子多方秘密比较方案 仅限于判断秘密值是否相等、门限量子态共享方案设计较为复杂等问题。本文针对 以上问题,结合量子力学中量子纠缠态的良好特性、酉变换操作的特殊性质、线性 方程解的特点、不止交量子对的不可区分性等性质,提出了若干种不同类型的量子 密码协议。本文的研究成果总结如下:
1.在对量子搜索算法Grover算法的一个重要性质深入研究的基础上,将该性质 进行推广,并将推广后的性质应用于量子密码协议的构造,提出一个基于量子搜索 算法的具有traveling结构的多方量子密钥协商协议,这也是量子搜索算法在量子密 钥协商协议构造屮的苜次应用。理论分析表明,该协议比已知的多种同类型协议高 效;此外,安全性能也较好,不仅能够抵抗截取一重发攻击和纠缠攻击,同时可以 抵抗最具有威胁性的内部参与者的共谋攻击。
2•在对Bell态上的单粒了酉变换性质研究的基础上,通过引入附加序列用来隐 藏协议参与方的私钥,提出两个只有traveling结构的多方量了密钥协商协议。前一 个协议中,通过引入•个可信方,来向参与者随机分配-个随机比特序列以掩盖参 与者的密钥,最后,可信方公布这些经典比特序列的异或值,帮助各参与者提取共 享密钥;后一个协议中,每个参与者直接选择附加经典比特序列以掩盖自己的密钥, 最后,通过公布这些附加经典比特序列来提取共享密钥。安全性分析指出,这两个 协议均可以抵抗共谋攻击。
3.利用Pauli变换和Hadamard变换的混合编码以及非正交量子态的不可区分性, 提出一个基于非正交量子纠缠对的具有traveling结构的多方量子密钥协商协议。理论 上分析表明,该协议不仅效率较高,而且安全性较好,能够抵抗各种攻击。
4利用酉变换U(0)的特殊性质,即对任意的有理数•和等式U^)U{v)- U(cj + v)均成立,从而将酉变换对单粒子的多次变换转化为一次变换,并利用线性 方程的解特征,提出一个门限量子态共享方案。该方案是线性方程应用于QSTS协 议的第一个案例,相比于己知的门限量子态共享方案,该协议在效率、可行性等方 面均具有一定的提升。此外,针对上述协议无法检验不诚信参与者的失信行为,对 上述方案进行改进,在不影响原方案执行过程的基础上,引入了不诚信检测量子对 的方法,提出一种可验证的门限量子态共享方案。
5.针对当前多数的多方量子秘密比较方案仅限于判断秘密是否相等、而很少能 够用于判断秘密的大小关系的缺陷,利用高能级"-level多粒子GHZ量子态的纠缠 特性,提出一个多方量子秘密比较方案,可以有效地判断出多个秘密的大小关系。 理论分析表明,该方案不仅能够保证安全性,同时,在效率上也比已知的方案有较 大提升。
5.2工作展望
本文主要对量子纠缠态、酉变换等性质探索的基础上,对多方量子密钥协商协 议的构造进行了深入研究,紧接着,将研究方法扩展到门限量子态共享协议、多方 量子秘密比较协议等内容的研究,给出了若干种协议的构造实例。然而,这些成果 仅仅是量子密码学中的冰山一角,构建完善的量子密码学大厦,还有很长的路要走。 特别地,本文中涉及到的量子密码协议均为理论研究,距离实用化还面临很多瓶颈, 主要原因如下:一是现实环境中存在噪声,这些协议中涉及到的量子比特需要多次 转发,误码率太高;二是由于技术的原因,无法对量子比特进行有效保存,致使量 子比特的能量在协议尚未执行结束前已被周围环境吸收,从而协议无法成功执行。 接下来一段时期,我们将从以下方面开展研究:
1.已知的多方量子密钥协商协议虽然很多,但是可以抵抗内部参与者共谋攻击 的协议很少,继续对量子纠缠态、酉变换、量子编码等内容进行深入研究,寻求有 利于构造安全多方量子密钥协商协议的良好特殊性质,构造更多的安全高效的量子 密钥协商协议,是我们下一步开展的重点工作之一。
2.己知的多方量子密钥协商协议均局限于理论研究,尚未报道有关的仿真和实 验方面的研究成果,近几年来,世界上许多量子云平台的开放,给量子理论成果的 验证提供了较好的机会。因此,我们接下来的另一个重要工作就是,设计合理的量 子电路,并在量子云平台上验证多方量子密钥协商协议的有效性,进一步推动量子 理论的实用化进程。
3•量子安全多方计算是量子密码学中的重要研究内容,理论成果非常丰富,将 这些成果的研究方法进行比较分析,继续拓展量子安全多方计算的应用场景,构造 更多的量子安全多方计算实例,也是我们今后需要开展的研究方向。
参考文献
[1] SHANNON C E. Communication theory of secrecy systems [J]. Bell system technical journal, 1949, 28(4): 656-715.
⑵ DIFFIE W, HELLMAN M. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.
[3]RIVEST R L, SHAMIR A, ADLEMAN L. A method for obtaining digital signatures and publickey cryptosystems!J]. Communications of the ACM, 1978, 21(2): 120-126.
[4]SHOR P W. Algorithms for quantum computation: Discrete logarithms and factor- ing[C]//Foundations of Computer Science, Proceedings of 35th Annual Symposium on IEEE, 1994: 124-134.
[5J VANDERSYPEN L M K, STEFFEN M, BREYTA G, et al. Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance!J ]. Nature, 2(X)1,414(6866): 883.
[6]MONZ T, NIGG D, MARTINEZ E A, et al. Realization of a scalable Shor algorithm [J]. Science, 2016, 351(6277): 1()68-1070.
[7]BRAVY【S, GOSSET D, KOENIG R. Quantum advantage with shallow circuits[J]. Science, 201& 362(6412): 308-311.
[81 WIESNER S. Conjugate coding[J]. ACM Sigact News, 1983, 15(1): 78-88.
[91 BENNETT Ch H, BRASSARD G. Quantum cryptography: public key distribution and coin toss- ing Int[C]//Confercncc on Computers, Systems and Signal Processing (Bangalore, India, Dec. 1984). 1984: 175-9.
110] EKERT A K. Quantum cryptography based on Beir s thcorem[J|. Physical Review Letters, 1991, 67(6): 661.
[11] BENNETT C H, BRASSARD G, MERM1N N D. Quantum cryptography without Bell' s thco- rem[J]. Physical Review Letters, 1992, 68(5): 557.
[12J BENNETT C H, BESSETTE F, BRASSARD G, et al. Experimental quantum cryptography[JJ. Journal of Cryptology, 1992, 5(1): 3-28.
[13]LO H K, CHAU H F. Unconditional security of quantum key distribution over arbitrarily long distances^]. Science, 1999, 283(5410): 2050-2056.
[14]SHOR P W, PRESKILL J. Simple proof of security of the BB84 quantum key distribution proto- col[J]. Physical Review Letters, 2000, 85(2): 441.
[15]CHAU H E Quantum key distribution using qudits that each encode one bit of raw key[J[. Physical Review A, 2015, 92(6): 062324.
[16]LONG G L, LIU X S. Theoretically efficient high-capacity quantum-key-distribution scheme[J], Physical Review A, 2002, 65(3): 032302.
[17]LO H K, MA X, CHEN K. Decoy state quantum key distribution[J]. Physical Review Letters, 2005, 94(23): 230504.
[18]LI X H, DENG F G, ZHOU H Y. Efficient quantum key distribution over a collective noise chan- nel[JJ. Physical Review A, 2008,78(2): 022321.
[19]ZHANG L, SELBERHORN C, WALMSLEY I A. Secure quantum key distribution using continuous variables of single photons[J], Physical Review Letters, 200& 100(] 1): 110504.
[20]PIRONIO S, ACIN A, BRUNNER N, et al. Device-independent quantum key distribution secure against collective attacks[J]. New Journal of Physics, 2009, 11(4): 045021.
[21]LAING A, SCARANIV, RARITY J G, et al. Reference-frame-independent quantum key distribu- tion[J], Physical Review A, 2010, 82(1): 012304.
[22]MASANES L, PIRONIO S, ACIN A. Secure device-independent quantum key distribution with causally independent measurement devices[J]. Nature Communications, 2011,2: 238.
[23]LO H K, CURTY M, QI B. Measurement-device-independent quantum key distribution^. Physi* cal Review Letters, 2012,108(13): 130503.
[24]VAZIRANIU, VIDICK T. Fully device-independent quantum key distribution[J]. Physical Review Letters, 2014, 113(14): 140501.
[25]HUANG D, HUANG R LIN D, et al. Long-distance continuous-variable quantum key distribution by controlling excess noise[J], Scientific Reports, 2016, 6: 19201.
[26]LEVERRIER A. Security of continuous-variable quantum key distribution via a Gaussian de Finet- ti reduction[J]. Physical Review Letters, 2017, 118(20): 200501.
[2刀 MA H X, HUANG R BAI D Y^et al. Continuous-variable measurement-device-independent quantum key distribution with photon subtraction[JJ. Physical Review A, 2018,97(4): 042329.
[28]VLACHOU C, KRAWEC W, MATEUS R et al. Quantum key distribution with quantum walks[J]. Quantum Information Processing, 201& 17(11): 288.
[29]DENG F G, LONG G L. Secure direct communication with a quantum one-time pad[J]. Physical Review A, 2004, 69(5): 052319.
[30]WANG C, DENG F G, LONG G L. Multi-step quantum secure direct communication using multiparticle Green _ Home - Zeilinger state[J]. Optics Communications, 2005,253(1-3): 15-20.
[31]ZHONG-XIAO M, ZHAN-JUN Z, YONG L. Deterministic secure direct communication by using swapping quantum entanglement and local unitary operations[J]. Chinese Physics Letters, 2005, 22(1): 1&
[32]WANG C, DENG F G, LI Y S, et al. Quantum secure direct communication with high-dimension
quantum superdense coding[J]. Physical Review A, 2005, 71(4): 044305.
[33]WANG J, ZHANG Q, TANG C. Quantum secure direct communication based on order rearrangement of single photons[J], Physics Letters A, 2006, 358(4): 256-25&
[34]JIN X R, JI X, ZHANG Y Q, et al. Three-party quantum secure direct communication based on GHZ states [J]. Physics Letters A, 2006, 354(1-2): 67-70.
[35]HAI-JING C, HE-SHAN S. Quantum secure direct communication with W state[J]. Chinese Physics Letters, 2006, 23(2): 290.
[36]Xl-HAN L, CHUN-YAN L, FU-GUO D, et aL Quantum secure direct communication with quantum encryption based on pure entangled states[J]. Chinese Physics, 2007, 16(8): 2149.
[37]LIN S, WEN Q Y, GAO F, et al. Quantum secure direct communication with 幷-type entangled states[J]. Physical Review A, 200& 78(6): 064304.
[38]QIN S J, WEN Q Y, MENG L M, et al. Quantum secure direct communication over the collective amplitude damping channel[J]. Science in China series G: Physics, Mechanics & Astronomy, 2009, 52(8): 1208-1212.
[39]WANG C, HAO L, et al. Quantum direct communication based on quantum search algorithm!J]. International Journal of Quantum Information, 2010(8): 443 - 450.
[40]DAN L, CHANG-XING P, DONG-XIAO Q, et al. A new quantum secure direct communication scheme with authentication[J]. Chinese Physics Letters, 2010, 27(5): 050306.
[41]CAO W F, YANG Y G, WEN Q Y. Quantum secure direct communication with cluster states[J|. Science China Physics, Mechanics & Astronomy, 2010, 53(7): 1271-1275.
[42| BIN G, YU-GAI H, XIA F, et al. A two-step quantum secure direct communication protocol with hyperentanglementlJ]. Chinese Physics B, 2011, 20(10): 100309.
[431 TIE-JUN W, TAO L, FA NG-FANG D, et al. High-capacity quantum secure direct communication based on quantum hyperdense coding with hyperen(angleinent(J|. Chinese Physics Letters, 2011, 28(4): 040305.
[44| SUN Z W, DU R G, LONG D Y. Quantum secure direct communication with two-photon four- qubit cluster states[ J]. International Journal of Theoretical Physics, 2()12, 51(6): 1946" 952.
[451 LONG G L. Quantum secure direct communication[C ]//Conference on Coherence and Quantum Optics. Optical Society of America, 2013: M6. 42.
[46]ZHENG C, LONG G F. Quantum secure direct dialogue using Einstein-Podolsky-Rosen pairs(J|. Science China Physics, Mechanics & Astronomy, 2014, 57(7): 1238-1243.
[47]YADAV P, SRIKANTH R, PATHAK A. Two-step orthogonal-state-based protocol of quantum secure direct communication with the help of order-rearrangement technique[J]. Quantum Information Processing, 2014, 13(12): 2731-2743.
[48]ZOU X F, QIU D W. Three-step semiquantum secure direct communication protocol[JJ. Science China Physics, Mechanics & Astronomy, 2014,57(9): 1696-1702.
[49]HASSANPOUR S, HOUSHMAND M. Efficient controlled quantum secure direct communication based on GHZ-like states[J]. Quantum Information Processing, 2015,14(2): 739-753.
[50]LI J, SONG D J, LI R, et al. A quantum secure direct communication protocol based on four-qubit cluster state[J]. Security and Communication Networks, 2015, 8(1): 36-42.
[51 ] TAN X, ZHANG X. Controlled quantum secure direct communication by entanglement distillation or generalized measurement]J]. Quantum Information Processing, 2016, 15(5): 2137-2154.
[52]LUO Y P, HWANG T. Authenticated semi-quantum direct communication protocols using Bell states[J]. Quantum Information Processing, 2016, 15(2): 947-958.
[53]COSTA D, DE ALMEIDA N G, Villas-Boas C J. Secure quantum communication using classical correlated channel[J]. Quantum Information Processing, 2016, 15(10): 4303-4311.
[54]HU J Y, YU B, JING M Y, et aL Experimental quantum secure direct communication with single photons[J], Light: Science & Applications, 2016, 5(9): el6144.
[55]ZHANG W, DING D S, SHENG Y B, et al. Quantum secure direct communication with quantum memory卩].Physical Review Letters, 2017, 118(22): 220501.
[56]ZHU F, ZHANG W, SHENG Y, et al. Experimental long-distance quantum secure direct commu- nication[J]. Science BuUetin, 2017, 62(22): 1519-1524.
[57]SHUKLA C, THAPLIYAL K, PATHAK A. Semi-quantum communication: protocols for key agreement, controlled secure direct communication and dialogue[J]. Quantum Information Processing, 2017, 16(12): 295.
[58]CHEN S S, ZHOU L, ZHONG W, et al. Three-step three-party quantum secure direct communi- cation[J]. Science China Physics, Mechanics & Astronomy, 2018,61(9): 90312.
[59]WANG S K, ZHA X W, WU H. Controlled secure direct communication with seven-qubit entangled states[J]. International Journal of Theoretical Physics, 201& 57(1): 4&58.
[60]THAPLIYAL K, PATHAK A. Kak's three-stage protocol of secure quantum communication revisited: Hitherto unknown strengths and weaknesses of the protocol[J]. arXiv preprint arX- iv: 1803.02157, 2018.
[61]HILLERY M, BUZEK Vt BERTHIAUME A. Quantum secret sharing[J]. Physical Review A, 1999, 59(3): 1829.
[62]CLEVE R, GOTTESMAN D,LO H K. How to share a quantum seciet{JL Physical Review Letters, 1999, 83(3): 648.
[63]TYC T, SANDERS B C. How to share a continuous-variable quantum secret by optical interfer- ometry[J]. Physical Review A, 2002,65(4): 042310,
[64]LANCE A M, SYMUL T, BOWEN W P, et al. Tripartite quantum state sharing[J]. Physical review letters, 2004, 92(17): 177903.
[65]DENG F G, LI X H, LI C Y, et aL Multiparty quantum-state sharing of an arbitrary two-particle state with Einstein-Podolsky-Rosen pairs [J]. Physical Review A, 2005, 72(4): 044301.
[66]DENG F G, LI X H, LI C Y, et al. Quantum state sharing of an arbitrary two-qubit state with two- photon entanglements and Bell-state measurements[J]. The European Physical Journal D-Atomic, Molecular, Optical and Plasma Physics, 2006, 39(3): 459-464.
[67]GAO T, YAN F L, LI Y C. Quantum secret sharing between m-party and n-party with six states[J]. Science in China Series G: Physics, Mechanics & Astronomy, 2(X)9, 52(8): 1191-1202.
[68]YANG Y G, TENG Y W, CHAI H P, et al. Verifiable quantum (k, n)-threshold secret key shar ing[J]. International Journal of Theoretical Physics, 2011, 50(3): 792-798.
[69]YANG Y G, JIA X, WANG H Y, et al. Verifiable quantum (k, n)-threshold secret sharing[J]. Quantum Information Processing, 2012, 11(6): 1619-1625.
|70| WANG W, CAO H. An improved multiparty quantum secret sharing with Bell states and Bell measurement[J]. International Journal of Theoretical Physics, 2013, 52(6): 2099-2111.
[71]DEHKORD1 M H, FATTAHI E. Threshold quantum secret sharing between multiparty and multiparty using Greenberger - Home ' Zeilinger state[J]. Quantum information processing, 2013, 12(2): 1299-1306.
[72]LIAO C H, YANG C W, HWANG T. Dynamic quantum secret sharing protocol based on GHZ state[JJ. Quantum information processing, 2014, 13(8): 1907-1916.
[73]HONG L, MEHMET O A, JING-HUA X, et al. Dynamic (2, 3) threshold quantum secret sharing of secure direct communication!J]. Communications in Theoretical Physics, 2015, 63(4): 459.
[74J QIN H, ZHU X, DAI Y. (t, n) threshold quantum secret sharing using the phase shift operation!J]. Quantum Information Processing, 2015, 14(8): 2997-30()4.
[75| WEI Y, JIANG M. Multi-qudit state sharing via various high-dimensional Bell channels[J], Quantum Information Processing, 2015, 14(3): 1091-1102.
[76| HUANG Z H. Quantum state sharing of an arbitrary three-qubit state by using a seven-qubit entangled state. International Journal of Theoretical Physics, 2015, 54(9): 3438-3441.
[77]PENG J Y, BAI M, MO Z W. Bidirectional quantum states sharing[J]. International Journal of Theoretical Physics, 2016, 55(5): 2481-2489.
[78]QIN H, DAI Y. d-Dimensional quantum state sharing with adversary structurefJ]. Quantum Information Processing, 2016, 15(4): 1689-1701.
[79]QIN H, DAI Y. Verifiable (t, n) threshold quantum secret sharing using d-dimensional Bell state[J]. Information Processing Letters, 2016, 116(5): 351-355.
[80]SONG X, LIU Y. Cryptanalysis and improvement of verifiable quantum (k, n) secret sharing[JJ. Quantum Information Processing, 2016,15(2): 851-86&
[81]AHMADI M, WU Y D, SANDERS B C. Relativistic (2, 3)-threshold quantum secret sharing[J]. Physical Review D, 2017, 96(6): 06501 &
[82]WANG X J, AN L X, YU X T, et al. Multilayer quantum secret sharing based on GHZ state and generalized Bell basis measurement in multiparty agents[J]. Physics Letters A, 2017, 381(38): 3282-3288.
[83]WANG J, LI L, PENG H, et aL Quantum-secret-sharing scheme based on local distinguishability of orthogonal multiqudit entangled states[J]. Physical Review A, 2017, 95(2): 022320.
[84]QIN H, DAI Y. Dynamic quantum secret sharing by using d-dimensional GHZ state[J]. Quantum information processing, 2017, 16(3): 64.
[85]SONG X L, LIU Y B, DENG H Y, et al. (t, n) threshold d-level quantum secret sharing[J]. Scientific Reports, 2017,7(1): 6366.
[86]CAO H, MA W. (t, n) threshold quantum state sharing scheme based on linear equations and unitary operation[J], IEEE Photonics Journal, 2017,9(1): 1-7.
[8刀 KOGIAS I, XIANG Y, HE Q, et al. Unconditional security of entanglement-based continuous- variable quantum secret sharing[JJ. Physical Review A, 2017, 95(1): 012315.
[88]QIN H, TANG WKS, TSO R. Multiparty to multiparty quantum secret sharing[J]. Modem Physics Letters B, 2018: 1850350.
[89]CAO H, MA W. Verifiable threshold quantum wtate wharing wcheme[J]. IEEE Access, 201& 6: 10453-10457.
[90]YANG X, WEI K, MA H, et al. Detector-device-independent quantum secret sharing with source flaws[J]. Scientific reports, 2018, 8(1): 5728.
[91]YIN A H, TONG Y. A novel semi-quantum secret sharing scheme using entangled states [J]. Modem Physics Letters B, 2018, 32(22): 1850256.
[92]BAI C M, LI Z H, WANG J T, et al. Restricted (k, n)-threshold quantum secret sharing scheme based on local distinguishability of orthogonal multiqudit entangled states[J]. Quantum Information Processing, 2018,17(11): 312.
[93]QIN H, TSO R, DAI Y. Three-party quantum secret sharing based on phase shift operation [J]. Modem Physics Letters B, 2018: 1850197.
[94]BENNETT C H, BRASSARD G, CREPEAU C, et al. Practical quantum oblivious trans- fer[C]//Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 1991: 351-366.
[95]CREPEAU C. Quantum oblivious transfer[J]. Journal of Modem Optics, 1994,41(12): 2445-2454.
[96]HE G P, WANG Z D. Oblivious transfer using quantum entanglement[J]. Physical Review A, 2006,
73(1): 012331.
[97]HE G P, WANG Z D. Nonequivalence of two flavors of oblivious transfer at the quantum level [J]. Physical Review A, 2006, 73(4): 044304.
[98]CHEN I C, HWANG T, LI C M. Efficient one-out-of-two quantum oblivious transfer based on four-coherent-state postselection protocol [J]. Physica Scripta, 200& 78(3): 035005.
[99]LI Y B, WEN Q Y, QIN S J, et at Practical quantum all-or-nothing oblivious transfer protocolfJ]. Quantum Information Processing, 2014, 13(1): 131-139.
[100]YANG Y G, SUN S J, WANG Y. Quantum oblivious transfer based on a quantum symmetrically private information retrieval protocolfJ]. International Journal of Theoretical Physics, 2015, 54(3): 910-916.
[101]SOUTO A, MATEUS P, ADAO P, et al. Bit-string oblivious transfer based on quantum state computational distinguishability[J], Physical Review A, 2015, 91(4): 042306.
[102]HE G P. Secure quantum weak oblivious transfer against individual measurements[J]. Quantum Information Processing, 2015, 14(6): 2153-2170.
[103]PLESCH M, PAWLOWSKI M, PIVOLUSKA M. l-out-of-2 oblivious transfer using a flawed bitstring quantum protocol[J]. Physical Review A, 2017, 95(4): 042324.
[104]RODRIGUES J, MATEUS P, PAUNKOVIC N, et al. Oblivious transfer based on single-qubit rotations[J|. Journal of Physics A: Mathematical and Theoretical, 2017, 50(20): 205301.
[1051 YANG Y G, YANG R, CAO W F, et al. Flexible Quantum Oblivious Transfer[J]. International Journal of Theoretical Physics, 2()17, 56(4): 1286-1297.
[106]HE G P. Comment on uquantum oblivious transfer: a secure practical implementation^ [J]. Quantum Information Processing, 2017, 16(4): 96.
[107]FURRER F, GEHRING T, SCHAFFNER C, et al. Continuous-variable protocol for oblivious transfer in the noisy-storagc model[J|. Nature Communications, 2018, 9(1): 1450.
[108]HE G P. Coherent attacks on a practical quantum oblivious transfer protocol [J]. Chinese Physics B, 2() 1& 27(10): 1003()&
1109] ZHOU N, ZENG G, XIONG J. Quantum key agreement protocol| J]. Electronics Letters, 20()4(40): 1149-1150.
(11()| HSUEH, C C, CHEN, C Y. Quantum key agreement protocol with maximaHy entangled states. Proceedings of the 14th Information Security Conference (ISC 2004), pp. 236-242. Taiwan University of Science and Tech no logy, Taipei, Taiwan, 10-11 Jun. (2004).
[111]TSAI C, HWANG T. On quantum key agreement protocol. Technical Report (C-S-I-E, NCKU, Taiwan) (2009).
[112]CHONG S K, HWANG T. Quantum key agreement protocol based on BB84[J]. Optics Commu-
nications, 2010(283): 1192-1195.
[113]TSAI C W, CHONG S K, HWANG T. Comment on quantum key agreement protocol with maximally entangled states. Proceedings of the 20th Cryptology and Infoimation Security Conference (CISC2010), pp. 210-213. Chiao Tung University, Hsinchu, Taiwan, 27-28 May (2010).
[114]CHONG S K, TSAI C W, HWANG T. Improvement on quantum key agreement protocol with maximally entangled states[JJ. International Journal of Theoretical Physics, 2011(50): 1793-1802.
[115]SHI R H, ZHONG H. Multi-party quantum key agreement with bell states and bell measure- ments[J]. Quantum Information Processing, 2013(12): 921-932.
[116]LIU B, GAO F, et al. Multiparty quantum key agreement with single particles[J]. Quantum Information Processing, 2013(12): 3411-3420.
[117]SUN Z, ZHANG C, WANG B, et al. Improvements on w multiparty quantum key agreement with single particlesM [J]・ Quantum information processing, 2013,12(11): 3411-3420.
[118]YIN X R, MA W 匕 LIU W Y. Three-Party Quantum Key Agreement with Two-Photon Entangle- ment[J]. International Journal of Theoretical Physics, 2013(52): 3915-3921.
[119]SHUKLA C, ALAM N, PATHAK A. Protocols of quantum key agreement solely using bell states and bell measurement[JJ. Quantum Information Processing, 2014(13): 2391C2405.
[120]SHEN D S, MA W P, WANG L. Two-party quantum key agreement with four-qubit cluster s- tates[J]. Quantum Information Processing, 2014(13): 2313-2324.
[121]HUANG W WEN Q Y, et al. Quantum key agreement with epr pairs and single-particle measure- ments[J]. Quantum Information Processing, 2014(13): 649C663.
[122]ZHU Z C, HU A Q, FU A M. Improving the security of protocols of quantum key agreement solely using Bell states and Bell measurement[JJ. Quantum Information Processing, 2015,14(11): 4245-4254.
[123]XU G B, WEN Q X GAO F, et al. Novel multiparty quantum key agreement protocol with GHZ states]〕]. Quantum Information Processing, 2014(13): 2587-2594,
[124]HUANG W, SU Q, XU B J, et al. Improved multiparty quantum key agreement in travelling mod- e[J], Science China Physics, Mechanics & Astronomy, 2016,59(12):120311.
[125]SUN Z, ZHANG C, WANG P, et al. Multi-party quantum key agreement by an entangled six-qubit state[JJ. International Journal of Theoretical Physics, 2016(55): 1920-1929.
[126]SUN Z, YU J, WANG P. Efficient multi-party quantum key agreement by cluster states[J]. Quantum Information Processing, 2016(15): 373-384.
[127]CAO H, MA W. Multiparty quantum key agreement based on quantum search algorithm. Scientific Reports 2017, 7: 45046.
[128]HE Y F, MA W P. Two-party quantum key agreement with five-particle entangled states [J]. Inter-
national Journal of Quantum Information, 2017: 1750018.
[129]ABULKASIM H, FAROUK A, ALSUQAIH H, et al. Improving the security of quantum key agreement protocols with single photon in both polarization and spatial-mode degrees of Free- dom[J]. Quantum Information Processing, 2018, 17(11): 316.
[130]CAI B, GUO G, LIN S, et al. Multipartite quantum key agreement over collective noise channel- s[J]. IEEE Photonics Journal, 201 & 10(1): 1-11.
[131]HE J, LI L, HUANG Y, et al. High-dimensional quantum key agreement protocol with pairs of single qudits[J). International Journal of Quantum Information, 2018, 16(03): 1850024.
[132]RIBEIRO J, MURTA G, WEHNER S. Fully device-independent conference key agreement[J]. Physical Review A, 201 & 97(2): ()22307.
[133]CAO H, MA W. Multi-party traveling-mode quantum key agreement protocols immune to collu・ sive attack[J]. Quantum Information Processing, 201 & 17(9): 219.
[134]CAO H, MA W. Efficient multi-party quantum key agreement protocol based on nonorthogonal quantum entangled pairs|J|. Laser Physics Letters, 2018, 15(9): 095201.
11351 MIN S Q, CHEN H Y, GONG L H. Novel multi-party quantum key agreement protocol with GLike states and Bell states[J]. In ternational Journal of Theoretical Physics, 201& 57(6): 1811- 1822.
[136] WANG S S, XU G B, LIANG X Q, et al. Multiparty quantum key agreement with four-qubit symmetric W statelJ]. International Journal of Theoretical Physics, 2018: 1-1 L
[1371 GAO H, CHEN X G, QIAN S R. Two-party quantum key agreement protocols under collective noise channel[J). Quantum Information Processing, 2018, 17: 1-15.
[138| YANG Y G, WEN Q Y. An efficient two-party quantum private comparison protocol with decoy photons and two-photon entanglement[J]. Journal of Physics A: Mathematical and Theoretical, 2(X)9, 42(5): ()55305.
[139| CHEN X B, XU G, N1U X X, ct al. An efficient protocol for the private comparison of equal information based on the triplet entangled state and single-particle measurement[J]. Optics communications, 201(), 283(7): 1561-1565.
[140]JIA H Y, WEN Q Y, SONG T T, et al. Quantum protocol for millionaire problem[J]. Optics communications, 2011,284(1): 545-549.
[141]XU G A, CHEN X B, WEI Z H, et al. An efficient protocol for the quantum private comparison of equality with a four-qubit cluster state[J]. International Journal of Quantum Information, 2012, 10(04): 1250045.
[142]TSENG H Y, LIN J, HWANG T. New quantum private comparison protocol using EPR pairs[J]. Quantum Information Processing, 2012, 11(2): 373-384.
[143]CHANG Y J, TSAI C W, HWANG T. Multi-user private comparison protocol using GHZ class states[J]. Quantum information processing, 2013: 1-12.
[144]LIN S, SUN Y, LIU X F, et al. Quantum private comparison protocol with d-dimensional Bell states[J]. Quantum information processing, 2013, 12(1): 559-56&
[145]GUO F Z, GAO F, QIN S J, et al. Quantum private comparison protocol based on entanglement swapping of d-level Bell states[J]・ Quantum information processing, 2013, 12(8): 2793-2802.
[146]ZHANG W W, LI D, ZHANG K J, et aL A quantum protocol for millionaire problem with Bell states[J]. Quantum information processing, 2013,12(6): 2241-2249.
[147]YU C H, GUO G D, LIN S. Quantum private comparison with d-level single-particle states[JJ. Physica Scripta, 2013, 88(6): 065013.
[148]WANG Q L, SUN H X, HUANG W. Multi-party quantum private comparison protocol with n-level entangled states[J]. Quantum Information Processing, 2014(13): 2370-2389.
[149]ZHANG B, LIU X, WANG J, et al. Cryptanalysis and improvement of quantum private comparison of equality protocol without a third party[J]. Quantum Information Processing, 2015, 14(12): 4593-4600.
[150]LUO Q, YANG G, SHE K, et al. Multi-party quantum private comparison protocol based on d d-dimensional entangled states[J]. Quantum information processing, 2014, 13(10): 2343-2352.
[151]HUANG S L, HWANG T, GOPE P. Multi-party quantum private comparison with an almost- dishonest third party[J]. Quantum Information Processing, 2015,14(11): 4225-4235.
[152]SUN 乙 YU J, WANG P, et al. Quantum private comparison with a malicious third party [J]. Quan ・ turn Information Processing, 2015, 14(6): 2125-2133.
[153]HUANG S L, HWANG T, GOPE P. Multi-party quantum private comparison protocol with an almost-dishonest third party using GHZ states. International Journal of Theoretical Physics, 2016, 55(6): 2969-2976.
[154]YE T Y. Multi-party quantum private comparison protocol based on entanglement swapping of Bell entangled states[J]. Communications in Theoretical Physics, 2016,66(3): 280.
[155]LIU B, XIAO D, HUANG W, et al. Quantum private comparison employing single-photon inter- ference[J]. Quantum Information Processing, 2017,16(7): 180.
[156]HE G P. Quantum private comparison protocol without a third party[JJ. International Journal of Quantum Information, 2017,15(02): 1750014.
[157]XU L, ZHAO Z. Quantum private comparison protocol based on the entanglement swapping between 咒十 state and W-class state[J]. Quantum Information Processing, 2017,16(12): 302.
[158]HUNG S M, HWANG S L, HWANG T, et al. Multiparty quantum private comparison with almost dishonest third parties for strangers[J]. Quantum Information Processing, 2017, 16(2): 36.
[159]GU J, HO C Y, HWANG T. Statistics attack on ^quantum private comparison with a malicious third party" and its improvement[J], Quantum Information Processing, 2018, 17(2): 23.
[160]ZHOU M K. Improvements of quantum private comparison protocol based on cluster states [J], International Journal of Theoretical Physics, 2018, 57(1): 42-47.
[161]YE C Q, YE T Y. Multi-party quantum private comparison of size relation with d-level singleparticle states [J]. Quantum Information Processing, 201& 17(10): 252.
[162]ZHA X W, YU X Y, CAO Y, et al. Quantum private comparison protocol with five-particle cluster states[J], International Journal of Theoretical Physics, 2018: 1-8.
[163]PAN H M. Intercept-resend-measure attack towards quantum private comparison protocol using genuine four-particle entangled states and its improvement! J]. International Journal of Theoretical Physics, 2018: 1-7.
[164]HE G P. Device-independent quantum private comparison protocol without a third party [J]. Phys- ica Scripta, 2018, 93(9): 095001.
[1651 LIU Y, CHEN T Y, WANG J, et al. Decoy-state quantum key distribution with polarized photons over 200km[J]. Optics express. 2010, 18(8): 8587-8594.
[166]JOUGUET P, KUNZ-JACQUES S, LEVERRIER A, et al. Experimental demonstration of longdistance continuous-variable quantum key distributio口卩].Nature Photonics, 2013, 7(5): 378-381.
[167]LIU Y, CHEN T Y, WANG L J, et al. Experimental measurement-device-independent quantum key distribution!J]. Physical review letters, 2013, 111(13): 130502.
[168]DA SILVA T F, VITORETI D, XAVIER G B, et al, Proof-of-principle demonstration of measurement-device-independent quantum key distribution using polarization qubits[J|. Physical Review A, 2013, 88(5): 052303.
[169]TANG Z, LIAO Z, XU F, et al. Experimental demonstration of polarization encoding measurement-device-independerH quantum key distribution!J], Physical review letters, 2014, 112(19): 190503.
[170]TANG Y L, YIN H L, CHEN S J, et al. Measurement-device-independent quantum key distribution over 2()0 km[Jl. Physical review letters, 2014, 113(19): 190501.
[171 ] KORZH B, L1M C C W, HOULMANN R, et al. Provably secure and practical quantum key distribution over 307 km of optical fibre[J]. Nature Photonics, 2015, 9(3): 163.
[172]YIN H L, CHEN T Y, YU Z W, et al. Measurement-device-independent quantum key distribution over a 404 km optical fiber[J]. Physical review letters, 2016, 117(19): 190501.
[173]TANG Z, WEI K, BEDROYA O, et al. Experimental measurement-device-independent quantum key distribution with imperfect sources[J]. Physical Review A, 2016,93(4): 042308.
[174]LIAO S K, CAI W Q, LIU W Y, et al. Satellite-to-ground quantum key distribution]J]. Nature,
2017,549(7670): 43.
[175]DING Y BACCO D, DALGAARD K, et al. High-dimensional quantum key distribution based on multicore fiber using silicon photonic integrated circuits卩].npj Quantum Information, 2017, 3(1): 25.
[176]BEDINGTON R, ARRAZOLA J M, LING A. Progress in satellite quantum key distribution[J]. npj Quantum Information, 2017,3(1): 30.
[177]YIN J, CAO 乂 LI Y H, et al. Satellite-to-ground entanglement-based quantum key distribution^]. Physical review letters, 2017,119(20): 200501.
[178]GRUNEISEN M T, SICKMILLER B A, FLANAGAN M B, et al. Adaptive spatial filtering of daytime sky noise in a satellite quantum key distribution downlink receiver [J], Optical Engineering, 2016, 55(2): 026104.
[179]YIN J, CAO Y, LI Y H, et al. Satellite-based entanglement distribution over 1200 kilometers[J]. Science, 2017, 356(6343): 1140-1144.
[180]NAKAZAWA M, YOSHIDA M, HIROOKA T, et al. QAM quantum noise stream cipher transmission over 100 km with continuous variable quantum key distribution^]. BEEE J. Quantum Electron., 2017,53(4): 8000316.
[181]BOARON A, BOSO G, RUSCA D, et al. Secure quantum key distribution over 421 km of optical fiber[J]. arXiv preprint arXiv: 1807.03222, 2018.
[182]LUCAMARINIM, YUAN Z L, DYNES J F, et al. Overcoming the rate - distance limit of quantum key distribution without quantum repeaters[J]. Nature, 20]& 557(7705): 400.
[183]GARG S, GENTRY C, HALEVI S, Candidate multilinear maps from ideal lattices[C]//Annual International Conference on the Theory and Applications of Cryptographic Tbchniques. Springer, Berlin, Heidelberg, 2013: 1-17.
[184]HU Y, JIA H. Cryptanalysis of GGH map[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2016: 537-565.
[185]YAO A C. Protocols for secure computations[C]//Foundations of Computer Science, 1982. SFC- S'08. 23rd Annual Symposium on. IEEE, 1982: 160-164.
[186]IOANNIDIS I, GRAMA A. An efficient protocol for Yao's millionaires * problem[C]//36th Annual Hawaii International Conference on System Sciences, 2003. Proceedings of the IEEE, 2003: 6-pp.
[187]LIN H Y, TZENG W G. An efficient solution to the millionaires' problem based on homomorphic encryption[C]//Intemational Conference on Applied Cryptography and Network Security. Springer, Berlin, Heidelberg, 2005: 456-466.
[188]HE G P. Quantum private comparison protocol without a third party[J]. International Journal of Quantum Information, 2017, 15(02): 1750014.
[189]SHI W M, ZHANG J B, ZHOU Y H, et al. A novel quantum deniable authentication protocol without entanglement[J]. Quantum Information Processing, 14, 2183-2193(2015).
[190]NIELSEN MICHAEL A, CHUANG ISAAC L. Quantum computation and quantum information (10周年版影印版),北京:清华大学岀版社,2015.
[191]GROVER L K. Quantum mechanics helps in searching for a needle in a haystack[J]. Physical review letters, 1997, 79(2): 325.
[192]HSU L Y. Quantum secret-sharing protocol based on Grovers algorithm[JJ. Physical Review A, 2003, 68(2): 022306.
[193]ZHANG W W, LI D, SONG T T, et al. Quantum private comparison based on quantum search algorithm[J]. International Journal of Theoretical Physics, 2013, 52(5): 1466-1473.
[194]WANG C, HAO L, SONG S Y, et al. Quantum direct communication based on quantum search algorithm!J]. International Journal of Quantum Information, 2010, 8(03): 443-450.
[195]TSENG H Y, TSAI C W, HWANG T. Controlled deterministic secure quantum communication based on quantum search algorithm|J). International Journal of Theoretical Physics, 2012, 51(8): 2447-2454.
[196]SHUKLA C, KOTHARI V, BANERJEE A, et al. On the group-theoretic structure of a class of quantum dialogue protocols[J]. Physics Letters A, 2013, 377(7): 518-527.
致谢
时光飞梭,四年的读博学习生活,犹如流星般飞梭而过。回首过去,老师的谆 谆教导、师兄师姐的殷实鼓励、师弟师妹的热情帮助、家人的默默奉献,时刻铭记 于心,感激之情,无法言表。论文完成之际,借此机会,向他们表达我深深的敬意 和由衷的感谢。
首先,由衷地感谢我的导师马文平教授。感谢马老师给我这个攻读博士学位的 机会。回想博士录取前夕,我报考的导师并非是您,由于原报考导师名额有限,无 法将我录取。在我最无助的时刻,是您施以援手,让我走出迷茫。接到录取通知书 的那一刻,心中的第一个面孔就是您,并发誓要报师恩,努力学习,刻苦钻研,以 最大的努力回报老师的授业之恩。正式入学以后,在您的周全考虑之下,帮我指定 了研究方向,虽然与我原先的方向不同,但在您的耐心指导和鼓励下,让我快速地 进入了量子密码学这一前沿研究领域,并取得些许的成果。生活中,老师也给予特 殊的关怀,来西电学习之吋,正值幼子出生之际,喜悦之余,但由于孩子体弱多病, 也给我带来诸多不顺,我也经常请假回家照顾孩子,学习上必然耽误很多,而老师 从来没有责备过我,反而在我每次返校时,第一句话就是“孩子还好吧”,一句简单 朴实的问候,让我倍感温暖,老师的宽容、理解和关怀,更让我心中有愧。老师待 人宽厚、知识渊博、勤奋刻苦、治学严谨,每天从早至晚坚持到实验室做科学研究, …年四季风雨无阻,对我产生深深的影响,您将是我今后工作、学习和生活的楷模。 值此论文完成之际,向老师表示崇高的敬意和深深的祝福,祝福老师身体健康,万 爭如惫,阖家幸福!
其次,由衷地感谢我的母校西安电子科技大学。感谢西电为我提供一个良好的 学习环境和舒适的生活环境,感谢研究生院和通信工稈学院的老师们给予的支持与 帮助,感谢授课老师的传道授业解惑,特别感谢朱畅华老师多次对我科研上的指导 和教诲。在1000多个日夜的生活和学习中,西电的每…株花草、每一处角落都给我 留下深深的回忆,如今即将离开培育我的母校,不舍之情,难于言表,今后无论走 到天涯海角,都以“我是西电人”而自豪,祝福西电越办越好,早日实现世界一流 大学的宏伟目标!
再次,感谢实验室的兄弟姐妹们,他们是:高强、张成丽、王丽丽、杨孝鹏、 罗维、赵飞飞、李晨、罗炼飞、王惠莅、刘小雪、吕良东、刘鸽等。缘分让我们走 到了一起,时光让我们增进了感情,同窗苦读,欢声笑语,其乐融融!感谢他们带 给我一个温暖、快乐、和谐的实验室氛围,感谢他们无私的帮助,与他们相遇、相 识、相知,是我一生的幸运!
最后,感谢我的爱人郑玉莲,读书四年,是你挑起家庭的重担,每日接送孩子 上学、照顾老人、照看幼子,在背后的默默支持和辛苦付出,让我安心学习;感谢 我的父母、岳父岳母和哥哥姐姐们,你们的支持,解除了我外出学习的后顾之忧; 还要感谢我的女儿和儿子,你们天真浪漫,乖巧懂事,你们的一言1行一笑,给我 带来无比的欢乐,你们的快乐成长,是我学习最大的动力!
最后,谨以此文,感谢所有关心、支持和帮助过我的人!
作者简介
1.基本情况
曹浩,男,安徽宿州人,1981年06月出生,西安电子科技大学通信工程学院 密码学专业2015级博士研究生。
2.教育背景
2000.09〜2004.07,淮北煤炭师范学院,本科,专业:数学与应用数学
2004.09- 2007.07,淮北煤炭师范学院,硕士研究生,专业:应用数学 2015.09- ,西安电子科技大学,博士研究生,专业:密码学
3.攻读博士学位期间的研究成果
3.1发表学术论文
[1]Cao Hao, Ma Wenping・ Efficient multi-party quantum key agreement protocol based on nonorthogonal quantum entangled pairs [J]. Laser Physics Letters, 2018, 15(9): 095201. (SCI: 000438605500001)
[2]Cao Hao, Ma Wenping. Multi-party traveling-mode quantum key agreemen- t protocols immune to collusive attack[J], Quantum Information Processing, 2018, 17(9): 219. (SCI: 000440064700001)
[3]Cao Hao, Ma Wenping. Comment on "A novel quantum deniable authentication protocol without entanglemenf, [J]. Quantum Information Processing, 2018, 17(11): 289. (SCI: 000444839400001)
[4]Cao Hao, Ma Wenping. Verifiable threshold quantum state sharing scheme[J]. IEEE Access, 201& 6(1): 10453-10457. (SCI: 000427899000001)
[5]Cao Hao, Ma Wenping. Multiparty quantum key agreement based on quantum search algorithm [J]. Scientific Reports, 2017, 7: 45046. (SCI: 000397135400001)
[6]Cao Hao, Ma Wenping. (t, n) threshold quantum state sharing scheme based on linear equations and unitary operation [J]. EEEE Photonics Journal, 2017, 9(1): 1-7. (SCI: 000395780900001)
[7]Cao Hao, Ma Wenping, Lyu Liangdong, et al. Further investigation on classical multiparty computation using quantum resources[J].arXiv preprint arXiv: 1812.06425,
2018.(在投,Physical Review A)
[8]Cao Hao, Ma Wenping, Lyu Liangdong, et al. Multi-party quantum privacy comparison of size based on d-level GHZ states[J]. arXiv preprint arXiv: 1902.03595,
2019.(在投,Quantum Information Processing)
3.2参与科研项目及获奖
[1]国家自然科学基金:函数加密和完全同态加密方案设计与分析(No.61373171).
[2]高等学校创新引智计划(NO.B08038).
⑶陕西省第三届研究生创新成果展优秀论文三等奖,2017年11月.
[4]西安电子科技大学2016年研究生学术年会通信工程学院分会学术论文优秀 奖.

【基于量子纠缠态的密钥协商协议研究】相关文章

《基于量子纠缠态的密钥协商协议研究》

将本文的Word文档下载到电脑,方便收藏和打印

推荐度:

点击下载文档

文档为doc格式

热点排行

推荐阅读

付费下载

付费后无需验证码即可下载

限时特价:原价:

微信支付

支付宝支付

微信二维码支付

付费后无需验证码即可下载

支付金额:

支付成功