基于量子傅里叶变换的安全多方量子求和协商方法

IPC分类号 : H04L9/08,H04B10/70

申请号

CN201710969296.1

可选规格: 数量

库存1件

确认取消

￥30000; 库存1件

首页

立即咨询

看了又看

专利摘要

本发明提出一种基于量子傅里叶变换的安全多方量子求和协商方法，其中传输粒子是以完全图模式被传输。本发明的方法能抵抗外在攻击和参与者攻击。特别地，非最小子集的参与者不能成功单独决定共享的求和计算结果。另外，本发明的方法是计算模d和，并且都以整数加整数的方式而非比特加比特的方式计算求和。

权利要求

1.一种基于量子傅里叶变换的安全多方量子求和协商方法，实现n个参与者的秘密整数序列的模d和计算结果的秘密共享，以整数加整数的方式而非比特加比特的方式计算求和；其传输粒子是以完全图模式被传输；能抵抗外在攻击和参与者攻击；特别地，非最小子集的参与者不能成功单独决定共享的求和计算结果；共包括以下过程：

对于i＝1,2,...,n：

S1)P_i制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并安排成一个有序序列

1dΣr=0d-1|r>11|r>21...|r>n1,1dΣr=0d-1|r>12|r>22...|r>n2,...,1dΣr=0d-1|r>1N|r>2N...|r>nN,

其中上标1,2,...,N表示d级n粒子纠缠态在序列中的顺序；然后，P_i将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列；这n个粒子序列标识为其中表示P_i制备的第t个纠缠态的第v个粒子且t＝1,2,...,N；为了检测窃听，P_i制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择；然后，P_i挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列以形成一个新序列这里，j＝1,2,...,i-1,i+1,...,n-1,n；最后，Ρ_i将保存在手中并将发送给Ρ_j；

S2)在证实Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)已经收到序列中的所有粒子后，Ρ_i和P_j一起检测的传输安全性；具体地，P_i告诉中诱骗光子的位置和测量基；接着，P_j利用正确的基测量相应诱骗光子并告诉P_i一半的测量结果；然后，P_i宣布剩余一半诱骗光子的初始态；最后，她们检测测量结果与初始态是否一致；这样，P_i和P_j能检测出的传输安全性；如果错误率大于预定的阈值，她们将停止通信，否则，她们将执行下一步；

S3)P_j(j＝1,2,...,i-1,i+1,...,n-1,n)丢弃中的诱骗光子从而得到序列然后，P_j对序列中的粒子编码她的秘密整数序列K_j；具体地，P_j对粒子施加其中t＝1,2,...,N；编码后的新序列记为同时，P_i也通过对粒子施加 F来实现对序列中的粒子编码她的秘密整数序列K_i；编码后的新序列记为为了检测窃听，P_j制备一组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择；然后，P_j将这组诱骗光子随机插入粒子序列以形成一个新序列最后，P_j将发送给P_i；

S4)在证实每个参与者已经收到来自其他参与者的所有n-1个编码后的粒子序列后，P_j(j＝1,2,...,i-1,i+1,...,n-1,n)和P_i一起用与步骤S2相似的方法检测的传输安全性；如果错误率大于预定的阈值，她们将停止通信，否则，她们将执行下一步；

S5)P_i丢弃中的诱骗光子以得到序列至此，P_i拥有所有的她在步骤S1制备的n个粒子序列；然后，P_i用V₁基测量每个粒子序列的每个粒子并得到相应的测量结果；这样，P_i可以得到其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N；这样可以得到和最后，为了得到所有参与者秘密整数序列的求和，P_i计算

说明书

技术领域

本发明涉及量子密码学领域。本发明设计一种基于量子傅里叶变换的安全多方量子求和协商方法，实现n个参与者的秘密整数序列的模d和计算结果的秘密共享。

背景技术

由Yao[1]首次提出以及Goldreic等[2]进行扩展的安全多方计算，是经典密码学一个重要的子领域。自然而然地，量子力学的物理原理能否被应用到安全多方计算，成为一个重要且有趣的问题。至今，许多研究者已经就量子情形下的安全多方计算开展研究[3-6]。Lo[3]认为，在两方情形下，一个相等性函数不能被安全地衡量。因此，某些额外的假设，如一个第三方(Thirdparty，TP)，应当被考虑。Ben-Or等[4]研究了如下问题：为了使分布式量子计算成为可能，多少个参与者必须保持忠诚？Chau[5]提出一种方案用量子技术来改进经典多方计算的速度。Smith[6]指出，只要不忠诚参与者的人数少于n/6，任何多方量子计算可以是安全的。

安全多方求和，可被用于为其他多方计算构建复杂安全方法，是安全多方计算的一个基本问题。它可被描述如下[7]：n个参与者，P₁,P₂,...,Ρ_n，想计算一个求和函数f(x₁,x₂,...,x_n)，其中x_i是来自P_i的秘密数值。这个函数的结果可被公开或私下告诉某个特殊的参与者。安全多方求和的任务是保证参与者输入的隐私性以及计算的正确性。在2002年，Heinrich[8]研究将量子求和应用到积分。在2003年，Heinrich[9]研究最差平均情形下可重复的量子布尔函数。在2006年，Hillery[10]利用两粒子N级纠缠态提出一个多方量子求和方法，能在确保参与者的匿名性的前提下完成投票流程中N个参与者的求和。在2007年，Du等[11]利用非正交态提出一个新颖的安全量子模n+1(n≥2)求和方法，能秘密地将一个数加到一个未知数。这里，n代表所有参与者的人数。在2010年，Chen等[7]提出一个基于多粒子GHZ纠缠态的量子模2求和方法。在2014年，Zhang等[12]构建一个基于单光子极化和空模两个自由度的高容量量子模2求和方法。在2015年，Zhang等[13]利用六量子比特真正最大纠缠态提出一个三方量子模2求和方法。在2016年，Shi等[14]认为文献[7,11]的方法存在两个缺点：一方面，这两个方法的模太小，导致更广泛的应用受到限制；另一方面，由于它们的比特对比特的计算和通信方式，这两个方法不具备足够高的通信效率。然后，他们利用量子傅里叶变换和控制非操作提出一个量子模N求和方法，以整数加整数的方式而非比特加比特的方式计算求和。这里，N＝2^m，m是一个基态的量子比特的数量。在这个方法中，安全多方求和的计算通过量子傅里叶变换被安全地转换成相应相位信息的计算，而后相位信息通过量子傅里叶逆变换被提取出来。在2017年，Shi和Zhang[15]提出一类特殊两方隐私求和问题的一种通用量子解决方法。同年，Zhang等[16]利用单光子提出一个不需可信TP的多方量子模2求和方法。

另一方面，自从Bennett和Brassard[17]在1984年提出量子密码学，由于它可以通过量子力学的物理原理在理论上达到无条件安全性，量子密码学也已经吸引许多注意力。在过去三十多年，量子密码学被广泛地研究以致于许多分支已经被建立起来，如量子密钥分配(Quantum key distribution，QKD)[17-21]、量子安全直接通信(Quantum secure direct communication，QSDC)[22-24]、量子秘密共享(Quantum secret sharing，QSS)[25-27]、量子密钥协商(Quantum key agreement，QKA)[28-56]等。在QKD和QKA之间存在一个显著的区别。在一个QKD方法中，所有参与者依赖于一个负责将事先预定的密钥分发给其他参与者的可信权威。在一个QKA方法中，所有参与者对量子信道中共享密钥的产生与分发有着相同的贡献，任何非最小子集的参与者不能单独决定共享密钥。近年，QKA已经成为量子密码学的一个热门研究课题。这样，许多QKA方法[28-56]被设计出来。

基于以上分析，本发明通过将量子求和吸收进QKA提出一个新的概念，即量子求和协商(Quantum summation agreement，QSA)，并构建了一个新颖的基于量子傅里叶变换的安全多方QSA方法。本发明的方法能抵抗外在攻击和参与者攻击。特别地，非最小子集的参与者不能成功单独决定共享的求和计算结果。另外，本发明的方法计算模d和，并且都以整数加整数的方式而非比特加比特的方式计算求和。

参考文献

[1]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rd IEEE Symposium on Foundations of Computer Science(FOCS’82),Washington,DC,USA,1982,pp.160

[2]Goldreich,O.,Micali,S.,Wigderson,A.:How to play ANY mental game.In:Proceedings of the 19th Annual ACM Symposium on Theory of Computing(STOC’87),1987,pp.218

[3]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A,1997,56(2):1154-1162

[4]Ben-Or,M.,Crepeau,C.,Gottesman,D.,Hassidim,A.,Smith,A.:Secure multiparty quantum computationwith(only)a strict honest majority.In:47th Annual IEEE Symposium on Foundations of Computer Science.FOCS’06,2006,pp.249-260.IEEE,New York

[5]Chau,H.F.:Quantum-classical complexity-security tradeoff in secure multiparty computations.Phys Rev A,2000,61:032308

[6]Smith,A.:Multi-party quantum computation.2010,arXiv:quant-ph/0111030

[7]Chen,X.B.,Xu,G.,Yang,Y.X.,Wen,Q.Y.:An efficient protocol for the secure multi-party quantum summation.Int J Theor Phys,2010,49(11):2793-2804

[8]Heinrich,S.:Quantum summation with an application to integration.J Complex,2002,18:1-50

[9]Heinrich,S.,Kwas,M.,Wozniakowski,H.:Quantum Boolean summation with repetitions in the worst-average setting.2003,arXiv:quant-ph/0311036

[10]Hillery,M.,Ziman,M.,Buzek,V.,Bielikova,M.:Towards quantum-based privacy and voting.Phys Lett A,2006,349:75

[11]Du,J.Z.,Chen,X.B.,Wen,Q.Y.,Zhu,F.C.:Secure multiparty quantum summation.Acta Phys Sin,2007,56(11):6214-6219

[12]Zhang,C.,Sun,Z.W.,Huang,Y.,Long,D.Y.:High-capacity quantum summation with single photons in both polarization and spatial-mode degrees of freedom.Int J Theor Phys,2014,53(3):933-941

[13]Zhang,C.,Sun,Z.W.,Huang,X.:Three-party quantum summation without a trusted thirdparty.Int J Quantum Inf,2015,13(2):1550011

[14]Shi,R.h.,Mu,Y.,Zhong,H.,Cui,J.,Zhang,S.:Secure multiparty quantum computation for summation and multiplication.Sci Rep,2016,6:19655

[15]Shi,R.H.,Zhang,S.:Quantum solution to a class of two-party private summationproblems.Quantum Inf Process,2017,16:225

[16]Zhang,C.,Situ,H.Z.,Huang,Q.,Yang,P.:Multi-party quantum summation without a trusted third party based on single particles.Int J Quantum Inf,2017,15(2):1750010

[17]Bennett,C.H.,Brassard,G.:Quantum cryptography:public-key distribution and coin tossing.In:Proceedings of the IEEE International Conference on Computers,Systems and Signal Processing.Bangalore:IEEE Press,1984,175-179

[18]Ekert,A.K.:Quantum cryptography based on Bell’s theorem.Phys Rev Lett,1991,67(6):661-663

[19]Bennett,C.H.:Quantum cryptography using any two nonorthogonal states.Phys Rev Lett,1992,68(21),3121

[20]Cabello,A.:Quantum key distribution in the Holevo limit.Phys Rev Lett,2000,85:5635

[21]Shih,H.C.,Lee,K.C.,Hwang,T.:New efficient three-party quantum key distributionprotocols.IEEE J Sel Top Quantum Electron,2009,15(6),1602-1606

[22]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys Rev A,2002,65:032302

[23]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communication protocol using the Einstein-Podolsky-Rosen pairblock.Phys Rev A,2003,68:042317

[24]Deng,F.G.,Long,G.L.:Secure direct communication with a quantum one-time pad.Phys Rev A,2004,69:052319

[25]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys Rev A,1999,59:1829-1834

[26]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secret sharing and secret splitting.Phys Rev A,1999,59:162-168

[27]Xiao,L.,Long,G.L.,Deng,F.G.,Pan,J.W.:Efficient multiparty quantum-secret-sharing schemes.Phys Rev A,2004,69:052307

[28]Zhou,N.,Zeng,G.,Xiong,J.:Quantum key agreement protocol.Electron Lett,2004,40:1149

[29]Chong,S.K.,Tsai,C.W.,Hwang,T.:Improvement on quantum key agreement protocol with maximally entangled states.Int J Theor Phys,2011,50:1793-1802

[30]Chong,S.K.,Hwang,T.:Quantum key agreement protocol based on BB84.Opt Commun,2010,283:1192-1195

[31]Liu,B.,Gao,F.,Huang,W.,et al.:Multiparty quantum key agreement with single particles.Quantum Inf Process,2013,12(4):1797-1805

[32]Yin,X.R.,Wen,W.P.,Shen,D.S.,et al.:Three-party quantum key agreement with Bell states.Acta Phys Sin,2013,62(17):170304

[33]Shi,R.H.,Zhong,H.:Multi-party quantum key agreement with Bell states and Bell measurements.Quantum Inf Process,2013,12(2):921-932

[34]Yin,X.R.,Wen,W.P.,Liu,W.Y.:Three-party quantum key agreement with two-photon entanglement.Int J Theor Phys,2013,52(11),3915-3921

[35]Sun,Z.W.,Zhang,C.,Wang,B.H.,et al.:Improvements on“multiparty quantum key agreement with single particles”.Quantum Inf Process,2013,12(11):3411-3420

[36]Huang,W.,Wen,Q.Y.,Liu,B.,et al.:Quantum key agreement with EPR pairs and single-particle measurements.Quantum Inf Process,2014,13(3):649-663

[37]Huang,W.,Su,Q.,Wu,X.,et al.:Quantum key agreement against collective decoherence.Int J Theor Phys,2014,53:2891-2901

[38]Shen,D.S.,Ma,W.P.,Wang,L.L.:Two-party quantum key agreement with four-qubit cluster states.Quantum Inf Process,2014,13(10):2313-2324

[39]Xu,G.B.,Wen,Q.Y.,Gao,F.,Qin,S.J.:Novel multiparty quantum key agreementprotocol with GHZ states.Quantum Inf Process,2014,13(12):2587-2594

[40]Shukla,C.,Alam,N.,Pathak,A.:Protocols of quantum key agreement solely using Bell states and Bell measurement.Quantum Inf Process,2014,13(11):2391-2405

[41]Huang,W.,Wen,Q.Y.,Liu,B.,et al.:Cryptanalysis of a multi-party quantum key agreement protocol with single particles.Quantum Inf Process,2014,13(7):1651-1657

[42]He,Y.F.,Ma,W.P.:Quantum key agreement protocols with four-qubit cluster states.Quantum Inf Process,2015,14(9):3483-3498

[43]Zhu,Z.C.,Hu,A.Q.,Fu,A.M.:Improving the security of protocols of quantum key agreement solely using Bell states and Bell measurement.Quantum Inf Process,2015,14(11):4245-4254

[44]Sun,Z.W.,Yu,J.P.,Wang,P.:Efficient multi-party quantum key agreement by cluster states.Quantum Inf Process,2016,15(1):373-384

[45]Sun,Z.W.,Zhang,C.,Wang,P.,Yu,J.P.,Zhang,Y.,Long,D.Y.:Multi-party quantum key agreement by an entangled six-qubit state.Int J Theor Phys,2016,55(3):1920-1929

[46]Zhu,Z.C.,Hu,A.Q.,Fu,A.M.:Participant attack on three-party quantum key agreement with two-photon entanglement.Int J Theor Phys,2016,55:55-61

[47]He,Y.F.,Ma,W.P.:Two-party quantum key agreement against collective noise.Quantum Inf Process,2016,15:5023-5035

[48]Liu,B.,Xiao,D.,Jia,H.Y.,Liu,R.Z.:Collusive attacks to“circle-type”multi-party quantum key agreement protocols.Quantum Inf Process,2016,15:2113-2124

[49]Sun,Z.W.,Huang,J.W.,Wang,P.:Efficient multiparty quantum key agreement protocol based on commutative encryption.Quantum Inf Process,2016,15:2101-2111

[50]Huang,W.,Su,Q.,Xu,B.J.,Liu,B.,Fan,F.,Jia,H.Y.,Yang,Y.H.:Improved multiparty quantum key agreement in travelling mode.Sci China-Phys Mech Astron,2016,59:120311

[51]Mohajer,R.,Eslami,Z.:Cryptanalysis of a multiparty quantum key agreement protocol based on commutative encryption.Quantum Inf Process,2017,16:197

[52]Cao,H.,Ma,W.P.:Multiparty quantum key agreement based on quantum search algorithm.Sci Rep,2017,7:45046

[53]Wang,P.,Sun,Z.W.,Sun,X.Q.:Multi-party quantum key agreement protocol secure against collusion attacks.Quantum Inf Process,2017,16:170

[54]Cai,B.B.,Guo,G.D.,Lin,S.:Multi-party quantum key agreement without entanglement.Int J Theor Phys,2017,56:1039-1051

[55]Wang,L.L.,Ma,W.P.:Quantum key agreement protocols with single photon in both polarization and spatial-mode degrees of freedom.Quantum Inf Process,2017,16:130

[56]He,Y.F.,Ma,W.P.:Two quantum key agreement protocols immune to collective noise.Int J Theor Phys,DOI 10.1007/s10773-016-3165-x

[57]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum key distribution network with Bell states and local unitary operations.Chin Phys Lett,2005,22(5):1049

[58]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficient quantum cryptography network without entanglement and quantum memory.Chin Phys Lett,2006,23(11):2896

[59]Shor P.W.,Preskill,J.:Simple proof of security of the BB84 quantum key distribution protocol.Phys Rev Lett,2000,85(2):441

[60]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure direct communication via entanglement swapping.Chin Phys Lett,2007,24(1):19

[61]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectional quantum direct communication using a GHZ state.Chin Phys Lett,2013,30(4):040305

[62]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack on the Bradler-Dusek protocol.Quantum Inf Comput,2007,7:329

[63]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A 350(2006)174].Phys Lett A,2007,360(6):748-750

[64]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participant attack on a kind of MQSS schemes based on entanglement swapping.The European Physical Journal D,2010,56(3):445-448

[65]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A,2007,76(6):062324

[66]Cai,Q.Y.:Eavesdropping on the two-way quantum communication protocols with invisible photons.Phys Lett A,2006,351(1-2):23-25

[67]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.Rev Mod Phys,2002,74(1):145-195

[68]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-way quantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168

[69]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of secure direct communication based on the secret transmitting order of particles.Phys Rev A,2006,74:054302

发明内容

本发明的目的是设计一种基于量子傅里叶变换的安全多方量子求和协商方法，实现n个参与者的秘密整数序列的模d和计算结果的秘密共享。

一种基于量子傅里叶变换的安全多方量子求和协商方法，共包括以下过程：

对于i＝1,2,...,n：

S1)P_i制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并安排成一个有序序列其中上标1,2,...,N表示d级n粒子纠缠态在序列中的顺序。然后，Ρ_i将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列。这n个粒子序列标识为其中表示Ρ_i制备的第t个纠缠态的第v个粒子且t＝1,2,...,N。为了检测窃听，Ρ_i制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择。然后，Ρ_i挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列以形成一个新序列这里，j＝1,2,...,i-1,i+1,...,n-1,n。最后，Ρ_i将保存在手中并将发送给Ρ_j。

S2)在证实Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)已经收到序列中的所有粒子后，Ρ_i和Ρ_j一起检测的传输安全性。具体地，Ρ_i告诉中诱骗光子的位置和测量基。接着，Ρ_j利用正确的基测量相应诱骗光子并告诉Ρ_i一半的测量结果。然后，Ρ_i宣布剩余一半诱骗光子的初始态。最后，她们检测测量结果与初始态是否一致。这样，Ρ_i和Ρ_j能检测出的传输安全性。如果错误率大于预定的阈值，她们将停止通信；否则，她们将执行下一步。

S3)Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)丢弃中的诱骗光子从而得到序列然后，P_j对序列中的粒子编码她的秘密整数序列K_j。具体地，Ρ_j对粒子施加其中t＝1,2,...,N。编码后的新序列记为同时，Ρ_i也通过对粒子施加来实现对序列中的粒子编码她的秘密整数序列K_i。编码后的新序列记为为了检测窃听，Ρ_j制备一组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择。然后，Ρ_j将这组诱骗光子随机插入粒子序列以形成一个新序列最后，Ρ_j将发送给Ρ_i。

S4)在证实每个参与者已经收到来自其他参与者的所有n-1个编码后的粒子序列后，Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)和Ρ_i一起用与步骤S2相似的方法检测的传输安全性。如果错误率大于预定的阈值，她们将停止通信；否则，她们将执行下一步。

S5)Ρ_i丢弃中的诱骗光子以得到序列至此，Ρ_i拥有所有的她在步骤S1制备的n个粒子序列。然后，Ρ_i用V₁基测量每个粒子序列的每个粒子并得到相应的测量结果。这样，Ρ_i可以得到其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N。这样可以得到和最后，为了得到所有参与者秘密整数序列的求和，Ρ_i计算

附图说明

图1是安全多方量子计算方法的三种粒子传输模式(以五粒子为例)。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、量子傅里叶变换及其应用

定义d级n粒子纠缠态如下：

其中每个|r>是一个d级基态，r∈{0,1,...,d-1}。对于每个d级基态|r>，d阶离散量子傅里叶变换被定义为

其中ζ＝e^2πi/d。两个集合，和是非正交的两组基。

进一步，定义一个变换操作U_k如下：

其中k从0到d-1。在本发明中，代表模d和。显然，如果U_k被施加到d级基态|r>，可以得到

在将施加到量子态|ω>_12...n后，可以得到

如果用V₁基对式(5)的右边进行量子测量，将得到根据式(5)，显然有

2、安全多方量子计算的粒子传输模式

在安全多方量子计算方法(如多方QKA)中，总共有三种粒子传输模式[48]，即完全图类型、环形和树形(见图1)。在完全图类型粒子传输模式中，每个参与者制备初始量子态并给每个其他参与者发送一个制备的粒子序列；在环形类型粒子传输模式中，每个参与者制备初始量子态但只发送一个制备的粒子序列，这个粒子序列将被每个其他参与者轮流操作并最终返回给它的制备者；在树形类型粒子传输模式中，只有一个参与者制备初始量子态并发送给每个其他参与者一个制备的粒子序列，这个粒子序列在被操作后可能被返回也可能不被返回。

3、安全多方量子求和协商方法

Sun等[35]指出一个安全多方QKA方法应当满足以下四个要求：

①正确性。每个参与者能得到正确的共享密钥。

②安全性。一个外在窃听者无法得到关于最终共享密钥的任何有用信息而不被检测到。

③隐私性。每个参与者无法得到多于她的指定输出的任何有用信息，即参与者的子密钥能被保密。

④公平性。所有参与者都是完全平等的实体，能平等地影响到最终共享密钥。换句话说，参与者的非最小子集无法成功单独决定共享密钥。

然而，Huang等在文献[50]指出，隐私性，特别是对于内部参与者，在QKA方法中不是必需的。其理由在于两个方面：一方面，在任何一个n方QKA方法中，如果n-1个参与者联合起来，她们通过共享她们的隐私密钥能轻易地推断出唯一忠诚的参与者的隐私密钥[50]；另一方面，每个参与者的密钥可仅是一个随机比特序列以致于隐私性自然而然不是一个主要的要求[51]。因此，更被广泛接受的是，一个胜任的QKA方法应当仅需满足正确性、安全性和公平性。

在这子部分，本发明将量子求和吸收进QKA提出一个新的概念，即量子求和协商(Quantumsummationagreement，QSA)。安全多方QSA问题可被描述如下：n个参与者，Ρ₁,P₂,...,P_n，想要秘密地共享一个求和函数f(x₁,x₂,...,x_n)，其中x_i是P_i的秘密值；除了每个参与者，其他人都不知道这个函数的结果。通过参考QKA的要求，本发明认为一个安全多方QSA方法应当满足以下三个要求：

①正确性。每个参与者能得到正确的共享求和计算结果。

②安全性。一个外在窃听者无法得到关于最终共享求和计算结果的任何有用信息而不被检测到。

③公平性。所有参与者都是完全平等的实体，能平等地影响到最终共享求和计算结果。换句话说，参与者的非最小子集无法成功单独决定共享求和计算结果。

假设总共有n(n＞2)个参与者，P₁,P₂,...,P_n，其中P_i(i＝1,2,...,n)拥有一个长度为N的秘密整数序列K_i，即

其中，对于t＝1,2,...,N，在参与者的非最小子集无法成功单独决定共享求和计算结果的前提下，P₁,P₂,...,P_n想安全地共享式(8)所示的她们的秘密整数序列的求和。

本发明提出的安全多方QSA方法的详细流程说明如下。

对于i＝1,2,...,n：

S1)P_i制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并安排成一个有序序列

其中上标1,2,...,N表示d级n粒子纠缠态在序列中的顺序。然后，P_i将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列。这n个粒子序列标识为

其中表示P_i制备的第t个纠缠态的第v个粒子且t＝1,2,...,N。为了检测窃听，P_i制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择。然后，P_i挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列以形成一个新序列这里，j＝1,2,...,i-1,i+1,...,n-1,n。最后，P_i将保存在手中并将发送给P_j。

S2)在证实Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)已经收到序列中的所有粒子后，P_i和P_j一起检测的传输安全性。具体地，P_i告诉中诱骗光子的位置和测量基。接着，P_j利用正确的基测量相应诱骗光子并告诉P_i一半的测量结果。然后，P_i宣布剩余一半诱骗光子的初始态。最后，她们检测测量结果与初始态是否一致。这样，P_i和Ρ_j能检测出的传输安全性。如果错误率大于预定的阈值，她们将停止通信；否则，她们将执行下一步。

S3)Ρ_j(j＝1,2,...,i-1,i+1,...,n-1,n)丢弃中的诱骗光子从而得到序列然后，P_j对序列中的粒子编码她的秘密整数序列K_j。具体地，P_j对粒子施加其中t＝1,2,...,N。编码后的新序列记为同时，P_i也通过对粒子施加来实现对序列中的粒子编码她的秘密整数序列K_i。编码后的新序列记为为了检测窃听，P_j制备一组诱骗光子，每个诱骗光子从集合V₁或V₂随机选择。然后，P_j将这组诱骗光子随机插入粒子序列以形成一个新序列最后，P_j将发送给P_i。

S4)在证实每个参与者已经收到来自其他参与者的所有n-1个编码后的粒子序列后，P_j(j＝1,2,...,i-1,i+1,...,n-1,n)和Ρ_i一起用与步骤S2相似的方法检测的传输安全性。如果错误率大于预定的阈值，她们将停止通信；否则，她们将执行下一步。

S5)Ρ_i丢弃中的诱骗光子以得到序列至此，Ρ_i拥有所有的她在步骤S1制备的n个粒子序列。然后，Ρ_i用V₁基测量每个粒子序列的每个粒子并得到相应的测量结果。这样，Ρ_i可以得到

其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N。根据式(5)，可以得到和最后，为了得到所有参与者秘密整数序列的求和，根据式(6)，Ρ_i计算

至此结束了对本发明提出的安全多方QSA方法的描述。显然，在本发明的方法中，每个参与者制备初始量子态并发送给每个其他参与者一个制备的粒子序列。因此，本发明的方法采用完全图类型粒子传输模式。

4、安全性分析

4.1外在攻击

在本发明的方法中，总共有两次粒子传送，即步骤S1Ρ_i(i＝1,2,...,n)将发送给Ρ_j以及步骤S3Ρ_j将发送回Ρ_i。为了得到关于秘密整数序列的有用信息，一个外在窃听者可能采取行动来发起主动攻击，如截获-重发攻击、测量-重发攻击、纠缠-测量攻击等。然而，上述提出的安全多方量子求和方法采用随机选自两组非正交基V₁和V₂的诱骗光子来检测一个外在窃听者的存在性。如果一个外在窃听者在两次粒子传送期间发起主动攻击，由于在公布前不知道诱骗光子的位置和测量基，她将不可避免地在诱骗光子上留下痕迹，从而被两次窃听检测过程检测到。

另一方面，退一步说，即使一个外在窃听者知道诱骗光子的准确位置以及使用正确的基(即V₁基)来测量步骤S3Ρ_j发送回Ρ_i的序列中的编码后的粒子由于她无法知道的值，她仍然无法解密出而且，由于Ρ_i将粒子保持不动使得只有她自己知道的准确值，一个外在窃听者也无法得到所有参与者的秘密整数序列的求和。

另外，在本发明的方法中，传输粒子被来回传送。因此，有必要采取行动来防止一个外在窃听者的特洛伊木马攻击，如不可见光子窃听攻击[66]和延迟光子特洛伊木马攻击[67,68]。为了防止不可见光子窃听攻击，接收者在她的器件前插入一个过滤器来过滤掉带有不合理波长的光子信号[68,69]。为了防止延迟光子特洛伊木马攻击，接收者使用一个光子数分割器(Photon number splitter，PNS)来将每个样本量子信号分割成两份并用适当的测量基测量PNS后面的信号[68,69]。如果多光子率高得不合理，外在攻击者将被发现。

4.2参与者攻击

为了充分认识参与者攻击，考虑两种情形。首先，讨论来自单个不忠诚参与者的攻击，然后分析来自两个或更多个不忠诚参与者的攻击。

a)来自单个不忠诚参与者的攻击

如果一个不忠诚参与者对任何其他两个参与者之间的传输粒子发起攻击，由于在公布前不知道诱骗光子的位置和测量基，她将不可避免地在诱骗光子上留下痕迹，从而被两个相应参与者进行的窃听检测过程所检测到。

如果一个不忠诚参与者在她的编码操作前得到合法的共享求和结果，她将可以根据自己意愿通过操控她自己的秘密整数序列来完全控制最终的共享求和结果。例如，假设Ρ_i是一个不忠诚的参与者并已经在她的编码操作前得到合法的共享求和结果K。然后，Ρ_i编码来代替K_i。这里，D是一个长度为N、元素都为d的序列，K'是Ρ_i所希望的最终的共享求和结果。显然，其他参与者将接受K'为最终的共享求和结果。在这种情形下，这个方法是一个不公平的QSA方法。幸运的是，在本发明的方法中，只有在每个参与者接收到其他参与者的所有n-1个编码后的序列后，第二次窃听检测才被执行，从而保证所有参与者在步骤S5同时得到合法的共享求和结果K。因此，P_i在她的编码操作前没有机会得到合法的共享求和结果K，使得这种攻击不可能发生。

b)来自两个或更多个不忠诚参与者的攻击

这里，考虑只有一个忠诚参与者这一极端情形。其他n-1个不忠诚参与者联合起来决定最终的共享求和结果。不失一般性，假设只有P_i是忠诚的。如果其他n-1个不忠诚参与者在编码前能得到P_i的秘密整数序列K_i，她们能容易地单独决定最终的共享求和结果。例如，在步骤S3，n-2个不忠诚参与者中的每个人，P_j'(j'＝2,...,i-1,i+1,...,n-1,n)，对序列中的粒子编码整数序列K₀来代替K_j'，其中K₀是一个长度为N且所有元素都为0的序列。同时，Ρ₁对序列中的粒子编码整数序列代替K₁，其中K'是n-1个不忠诚参与者所希望的最终的共享求和结果。很容易验证，在结束步骤S5后，P_i得到的最终求和结果为在这种情形下，这个方法是一个不公平的QSA方法。为了得到K_i，在她从P_i接收到后，P₁马上用V₁基测量中的粒子。然后，P₁用代替K₁来对序列中的粒子进行编码，其中是P₁从她对中的粒子进行测量提取出来的一个长度为N的整数序列。然而，只有在每个参与者接收到其他参与者的所有n-1个编码后的序列后，第二次窃听检测才被执行，从而保证Ρ₁在测量中的粒子时无法知道中所插入的诱骗光子的准确位置和测量基。这样，P₁的错误行为将被第二次窃听检测检测到以致于方法将被终止。另一方面，退一步说，即使P₁知道中所插入的诱骗光子的准确位置，在用V₁基测量中的其他粒子后，由于无法知道的值，她仍然无法解密出真正的现在可以得出结论，即使他们共谋在一起，其他n-1个不忠诚参与者无法单独决定最终的共享求和结果。因此，本发明的方法能抵抗来自n-1个不忠诚参与者的共谋攻击。

实施例：

1、安全多方量子求和协商方法应用举例

在这子部分，验证本发明的方法的输出是正确的。总共有n个参与者，P₁,P₂,...,P_n，其中P_i(i＝1,2,...,n)拥有长度为N的一个秘密整数序列K_i。不失一般性，在忽略窃听检测过程后，以每个秘密整数序列的第一个整数(即 )为例来说明输出正确性。

P_i(i＝1,2,...,n)制备一个d级n粒子纠缠态处于量子态然后，P_i将粒子保存在手中并将粒子发送给P_j。这里，j＝1,2,...,i-1,i+1,...,n-1,n。在接收到粒子后，P_j对粒子施加来编码秘密比特同时，P_i也通过对粒子施加来编码她的秘密比特然后，P_j将编码后的粒子发送给Ρ_i。在Ρ_i从其他参与者收到所有粒子后，Ρ_i利用V₁基测量每个粒子从而得到测量结果这里，且v＝1,2,...,n。最后，根据式(6)，P_i通过计算可以得到具体地，

现在可以得出结论，本发明的方法的输出是正确的。

2、总结

总之，本发明通过将量子求和吸收进QKA，提出一个新的概念，即量子求和协商(Quantum summation agreement，QSA)。相应地，本发明提出一个新颖的基于量子傅里叶变换的安全多方QSA方法，其中传输粒子是以完全图模式被传输。本发明的方法能抵抗外在攻击和参与者攻击。特别地，非最小子集的参与者不能成功单独决定共享的求和计算结果。另外，本发明的方法都是计算模d和，并且都以整数加整数的方式而非比特加比特的方式计算求和。

基于量子傅里叶变换的安全多方量子求和协商方法专利购买费用说明