基于量子傅里叶变换的安全多方量子求和方法

IPC分类号 : H04L9/08,H04L9/00

申请号

CN201710969888.3

可选规格: 数量

库存1件

确认取消

￥30000; 库存1件

首页

立即咨询

看了又看

专利摘要

本发明提出一种基于量子傅里叶变换的安全多方量子求和方法，其中传输粒子是以树形模式被传送。负责制备初始量子态的参与者被假定为半忠诚的，意味着她可以按照她自己意愿错误行事但不能与其他人共谋。本发明的方法能抵抗外在攻击和参与者攻击。特别地，一个参与者无法得到其他参与者的秘密整数序列；本发明的方法对于由至多n‑2个参与者施加的共谋攻击是安全的，其中n是参与者的人数。另外，本发明的方法计算模d和，并且以整数加整数的方式而非比特加比特的方式计算求和。

权利要求

1.一种基于量子傅里叶变换的安全多方量子求和方法，实现n个参与者的秘密整数序列的模d和计算，以整数加整数的方式而非比特加比特的方式计算求和；其传输粒子是以树形模式被传送；负责制备初始量子态的参与者被假定为半忠诚的，意味着她可以按照她自己意愿错误行事但不能与其他人共谋；能抵抗外在攻击和参与者攻击；特别地，一个参与者无法得到其他参与者的秘密整数序列，而且对于由至多n-2个参与者施加的共谋攻击是安全的；共包括以下四个过程：

S1)Ρ₁制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并将它们安排成一个有序序列其中上标1,2,...,N代表d级n粒子纠缠态在序列中的顺序；然后，Ρ₁将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列；这n个粒子序列标识为其中代表第t个纠缠态的第v个粒子且t＝1,2,...,N；为了检测窃听，Ρ₁制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂进行随机选择；然后，Ρ₁挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列S_j以形成一个新序列S'_j；这里，j＝2,3，...,n；最后，Ρ₁将S₁保存在手中并将S'_j发送给Ρ_j；

S2)在证实Ρ_j(j＝2,3，...,n)已经收到序列S'_j中的所有粒子后，Ρ₁和Ρ_j一起检测序列S'_j的传输安全性；具体地，Ρ₁告诉Ρ_j序列S'_j中诱骗光子的位置和测量基；接着，Ρ_j利用正确的基测量相应的诱骗光子并告诉Ρ₁一半测量结果；然后，Ρ₁宣布剩余一半诱骗光子的初态；最后，她们检测诱骗光子的测量结果是否与它们的初态一致；这样，Ρ₁和Ρ_j能检测出序列S'_j的传输安全性；如果错误率大于预定的阈值，她们将停止通信，否则，她们将执行下一步；

S3)Ρ_j(j＝2,3，...,n)丢弃序列S'_j中的诱骗光子从而得到序列S_j；然后，Ρ_j对序列S_j中的粒子编码她的秘密整数序列K_j；具体地，Ρ_j对粒子施加其中t＝1,2,...,N；S_j被编码后的新序列记为ES_j；同时，Ρ₁通过对粒子施加实现对序列S₁中的粒子编码她的秘密整数序列K₁；S₁被编码后的新序列记为ES₁；

S4)在所有参与者完成编码她们的秘密整数序列后，每个参与者用V₁基测量各自手中的所有粒子从而得到相应的测量结果；这样，可得到其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N；容易得到和然后，Ρ_j(j＝2,3，...,n)向Ρ₁宣布M_j；最后，为了得到所有参与者秘密整数序列的求和结果，Ρ₁计算

为了让其他参与者也知道求和结果，Ρ₁公布求和结果。

说明书

技术领域

本发明涉及量子密码学领域。本发明设计一种基于量子傅里叶变换的安全多方量子求和方法，实现n个参与者的秘密整数序列的模d和计算。

背景技术

由Yao[1]首次提出以及Goldreic等[2]进行扩展的安全多方计算，是经典密码学一个重要的子领域。自然而然地，量子力学的物理原理能否被应用到安全多方计算，成为一个重要且有趣的问题。至今，许多研究者已经就量子情形下的安全多方计算开展研究[3-6]。Lo[3]认为，在两方情形下，一个相等性函数不能被安全地衡量。因此，某些额外的假设，如一个第三方(Thirdparty，TP)，应当被考虑。Ben-Or等[4]研究了如下问题：为了使分布式量子计算成为可能，多少个参与者必须保持忠诚？Chau[5]提出一种方案用量子技术来改进经典多方计算的速度。Smith[6]指出，只要不忠诚参与者的人数少于n/6，任何多方量子计算可以是安全的。

安全多方求和，可被用于为其他多方计算构建复杂安全方法，是安全多方计算的一个基本问题。它可被描述如下[7]：n个参与者，Ρ₁,Ρ₂,...,Ρ_n，想计算一个求和函数f(x₁,x₂,...,x_n)，其中x_i是来自P_i的秘密数值。这个函数的结果可被公开或私下告诉某个特殊的参与者。安全多方求和的任务是保证参与者输入的隐私性以及计算的正确性。在2002年，Heinrich[8]研究将量子求和应用到积分。在2003年，Heinrich[9]研究最差平均情形下可重复的量子布尔函数。在2006年，Hillery[10]利用两粒子N级纠缠态提出一个多方量子求和方法，能在确保参与者的匿名性的前提下完成投票流程中N个参与者的求和。在2007年，Du等[11]利用非正交态提出一个新颖的安全量子模n+1(n≥2)求和方法，能秘密地将一个数加到一个未知数。这里，n代表所有参与者的人数。在2010年，Chen等[7]提出一个基于多粒子GHZ纠缠态的量子模2求和方法。在2014年，Zhang等[12]构建一个基于单光子极化和空模两个自由度的高容量量子模2求和方法。在2015年，Zhang等[13]利用六量子比特真正最大纠缠态提出一个三方量子模2求和方法。在2016年，Shi等[14]认为文献[7,11]的方法存在两个缺点：一方面，这两个方法的模太小，导致更广泛的应用受到限制；另一方面，由于它们的比特对比特的计算和通信方式，这两个方法不具备足够高的通信效率。然后，他们利用量子傅里叶变换和控制非操作提出一个量子模N求和方法，以整数加整数的方式而非比特加比特的方式计算求和。这里，N＝2^m，m是一个基态的量子比特的数量。在这个方法中，安全多方求和的计算通过量子傅里叶变换被安全地转换成相应相位信息的计算，而后相位信息通过量子傅里叶逆变换被提取出来。在2017年，Shi和Zhang[15]提出一类特殊两方隐私求和问题的一种通用量子解决方法。同年，Zhang等[16]利用单光子提出一个不需可信TP的多方量子模2求和方法。

另一方面，自从Bennett和Brassard[17]在1984年提出量子密码学，由于它可以通过量子力学的物理原理在理论上达到无条件安全性，量子密码学也已经吸引许多注意力。在过去三十多年，量子密码学被广泛地研究以致于许多分支已经被建立起来，如量子密钥分配(Quantumkeydistribution，QKD)[17-21]、量子安全直接通信(Quantum secure direct communication，QSDC)[22-24]、量子秘密共享(Quantumsecretsharing，QSS)[25-27]、量子密钥协商(Quantum keyagreement，QKA)[28-56]等。在QKD和QKA之间存在一个显著的区别。在一个QKD方法中，所有参与者依赖于一个负责将事先预定的密钥分发给其他参与者的可信权威。在一个QKA方法中，所有参与者对量子信道中共享密钥的产生与分发有着相同的贡献，任何非最小子集的参与者不能单独决定共享密钥。近年，QKA已经成为量子密码学的一个热门研究课题。这样，许多QKA方法[28-56]被设计出来。

基于以上分析，本发明提出一个新颖的基于量子傅里叶变换的安全多方量子求和方法。负责制备初始量子态的参与者被假定为半忠诚的，意味着她可以按照她自己意愿错误行事但不能与其他人共谋。本发明的方法能抵抗外在攻击和参与者攻击。特别地，一个参与者无法得到其他参与者的秘密整数序列；本发明的方法对于由至多n-2个参与者施加的共谋攻击是安全的，其中n是参与者的人数。另外，本发明的方法计算模d和，并且以整数加整数的方式而非比特加比特的方式计算求和。

参考文献

[1]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rd IEEE Symposium on Foundations of Computer Science(FOCS’82),Washington,DC,USA,1982,pp.160

[2]Goldreich,O.,Micali,S.,Wigderson,A.:How to play ANY mental game.In:Proceedings of the 19th Annual ACM Symposium on Theory of Computing (STOC’87),1987,pp.218

[3]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A,1997,56(2):1154-1162

[4]Ben-Or,M.,Crepeau,C.,Gottesman,D.,Hassidim,A.,Smith,A.:Secure multiparty quantum computation with(only)a strict honest majority.In:47th Annual IEEE Symposium on Foundations of Computer Science.FOCS’06,2006,pp.249-260.IEEE,New York

[5]Chau,H.F.:Quantum-classical complexity-security tradeoff in secure multiparty computations.Phys Rev A,2000,61:032308

[6]Smith,A.:Multi-party quantum computation.2010,arXiv:quant-ph/0111030

[7]Chen,X.B.,Xu,G.,Yang,Y.X.,Wen,Q.Y.:An efficient protocol for the secure multi-party quantum summation.Int J Theor Phys,2010,49(11):2793-2804

[8]Heinrich,S.:Quantum summation with an application to integration.J Complex,2002,18:1-50

[9]Heinrich,S.,Kwas,M.,Wozniakowski,H.:Quantum Boolean summation with repetitions in the worst-average setting.2003,arXiv:quant-ph/0311036

[10]Hillery,M.,Ziman,M.,Buzek,V.,Bielikova,M.:Towards quantum-based privacy and voting.Phys Lett A,2006,349:75

[11]Du,J.Z.,Chen,X.B.,Wen,Q.Y.,Zhu,F.C.:Secure multiparty quantum summation.Acta Phys Sin,2007,56(11):6214-6219

[12]Zhang,C.,Sun,Z.W.,Huang,Y.,Long,D.Y.:High-capacity quantum summation with single photons in both polarization and spatial-mode degrees of freedom.Int J Theor Phys,2014,53(3):933-941

[13]Zhang,C.,Sun,Z.W.,Huang,X.:Three-party quantum summation without a trusted thirdparty.Int J Quantum Inf,2015,13(2):1550011

[14]Shi,R.h.,Mu,Y.,Zhong,H.,Cui,J.,Zhang,S.:Secure multiparty quantum computation for summation and multiplication.Sci Rep,2016,6:19655

[15]Shi,R.H.,Zhang,S.:Quantum solution to a class of two-party private summation problems.Quantum Inf Process,2017,16:225

[16]Zhang,C.,Situ,H.Z.,Huang,Q.,Yang,P.:Multi-party quantum summation without a trusted third party based on single particles.Int J Quantum Inf,2017,15(2):1750010

[17]Bennett,C.H.,Brassard,G.:Quantum cryptography:public-key distribution and coin tossing.In:Proceedings of the IEEE International Conference on Computers,Systems and Signal Processing.Bangalore:IEEE Press,1984,175-179

[18]Ekert,A.K.:Quantum cryptography based on Bell’s theorem.Phys Rev Lett,1991,67(6):661-663

[19]Bennett,C.H.:Quantum cryptography using any two nonorthogonal states.Phys Rev Lett,1992,68(21),3121

[20]Cabello,A.:Quantum key distribution in the Holevo limit.Phys Rev Lett,2000,85:5635

[21]Shih,H.C.,Lee,K.C.,Hwang,T.:New efficient three-party quantum key distribution protocols.IEEE J Sel Top Quantum Electron,2009,15(6),1602-1606

[22]Long,G.L.,Liu,X.S.:Theoretically efficient high-capacity quantum-key-distribution scheme.Phys Rev A,2002,65:032302

[23]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communication protocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A,2003,68:042317

[24]Deng,F.G.,Long,G.L.:Secure direct communication with a quantum one-time pad.Phys Rev A,2004,69:052319

[25]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys Rev A,1999,59:1829-1834

[26]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secret sharing and secret splitting.Phys Rev A,1999,59:162-168

[27]Xiao,L.,Long,G.L.,Deng,F.G.,Pan,J.W.:Efficient multiparty quantum-secret-sharing schemes.Phys Rev A,2004,69:052307

[28]Zhou,N.,Zeng,G.,Xiong,J.:Quantum key agreement protocol.Electron Lett,2004,40:1149

[29]Chong,S.K.,Tsai,C.W.,Hwang,T.:Improvement on quantum key agreement protocol with maximally entangled states.Int J Theor Phys,2011,50:1793-1802

[30]Chong,S.K.,Hwang,T.:Quantum key agreement protocol based on BB84.Opt Commun,2010,283:1192-1195

[31]Liu,B.,Gao,F.,Huang,W.,et al.:Multiparty quantum key agreement with single particles.Quantum InfProcess,2013,12(4):1797-1805

[32]Yin,X.R.,Wen,W.P.,Shen,D.S.,et al.:Three-party quantumkey agreement with Bell states.Acta Phys Sin,2013,62(17):170304

[33]Shi,R.H.,Zhong,H.:Multi-party quantum key agreement with Bell states and Bell measurements.Quantum InfProcess,2013,12(2):921-932

[34]Yin,X.R.,Wen,W.P.,Liu,W.Y.:Three-party quantum key agreement with two-photon entanglement.Int J TheorPhys,2013,52(11),3915-3921

[35]Sun,Z.W.,Zhang,C.,Wang,B.H.,et al.:Improvements on“multiparty quantum key agreement with single particles”.Quantum Inf Process,2013,12(11):3411-3420

[36]Huang,W.,Wen,Q.Y.,Liu,B.,et al.:Quantum key agreement with EPR pairs and single-particle measurements.Quantum Inf Process,2014,13(3):649-663

[37]Huang,W.,Su,Q.,Wu,X.,et al.:Quantum key agreement against collective decoherence.Int J Theor Phys,2014,53:2891-2901

[38]Shen,D.S.,Ma,W.P.,Wang,L.L.:Two-party quantum key agreement with four-qubit cluster states.Quantum Inf Process,2014,13(10):2313-2324

[39]Xu,G.B.,Wen,Q.Y.,Gao,F.,Qin,S.J.:Novel multiparty quantum key agreement protocol with GHZ states.Quantum Inf Process,2014,13(12):2587-2594

[40]Shukla,C.,Alam,N.,Pathak,A.:Protocols of quantum key agreement solely using Bell states and Bell measurement.Quantum Inf Process,2014,13(11):2391-2405

[41]Huang,W.,Wen,Q.Y.,Liu,B.,et al.:Cryptanalysis of a multi-party quantum key agreement protocol with single particles.Quantum Inf Process,2014,13(7):1651-1657

[42]He,Y.F.,Ma,W.P.:Quantum key agreement protocols with four-qubit cluster states.Quantum Inf Process,2015,14(9):3483-3498

[43]Zhu,Z.C.,Hu,A.Q.,Fu,A.M.:Improving the security of protocols of quantum key agreement solely using Bell states and Bell measurement.Quantum Inf Process,2015,14(11):4245-4254

[44]Sun,Z.W.,Yu,J.P.,Wang,P.:Efficient multi-party quantum key agreement by cluster states.Quantum Inf Process,2016,15(1):373-384

[45]Sun,Z.W.,Zhang,C.,Wang,P.,Yu,J.P.,Zhang,Y.,Long,D.Y.:Multi-party quantum key agreement by an entangled six-qubit state.Int J Theor Phys,2016,55(3):1920-1929

[46]Zhu,Z.C.,Hu,A.Q.,Fu,A.M.:Participant attack on three-party quantum key agreement with two-photon entanglement.Int J Theor Phys,2016,55:55-61

[47]He,Y.F.,Ma,W.P.:Two-party quantum key agreement against collective noise.Quantum Inf Process,2016,15:5023-5035

[48]Liu,B.,Xiao,D.,Jia,H.Y.,Liu,R.Z.:Collusive attacks to“circle-type”multi-party quantum key agreement protocols.Quantum Inf Process,2016,15:2113-2124

[49]Sun,Z.W.,Huang,J.W.,Wang,P.:Efficient multiparty quantum key agreement protocol based on commutative encryption.Quantum Inf Process,2016,15:2101-2111

[50]Huang,W.,Su,Q.,Xu,B.J.,Liu,B.,Fan,F.,Jia,H.Y.,Yang,Y.H.:Improved multiparty quantum key agreement in travelling mode.Sci China-Phys Mech Astron,2016,59:120311

[51]Mohajer,R.,Eslami,Z.:Cryptanalysis of a multiparty quantum key agreement protocol based on commutative encryption.Quantum Inf Process,2017,16:197

[52]Cao,H.,Ma,W.P.:Multiparty quantum key agreement based on quantum search algorithm.Sci Rep,2017,7:45046

[53]Wang,P.,Sun,Z.W.,Sun,X.Q.:Multi-party quantum key agreement protocol secure against collusion attacks.Quantum Inf Process,2017,16:170

[54]Cai,B.B.,Guo,G.D.,Lin,S.:Multi-party quantum key agreement without entanglement.Int J Theor Phys,2017,56:1039-1051

[55]Wang,L.L.,Ma,W.P.:Quantum key agreement protocols with single photon in both polarization and spatial-mode degrees of freedom.Quantum Inf Process,2017,16:130

[56]He,Y.F.,Ma,W.P.:Two quantum key agreement protocols immune to collective noise.Int J Theor Phys,DOI 10.1007/s10773-016-3165-x

[57]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum key distribution network with Bell states and local unitary operations.Chin Phys Lett,2005,22(5):1049

[58]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficient quantum cryptography network without entanglement and quantum memory.Chin Phys Lett,2006,23(11):2896

[59]Shor P.W.,Preskill,J.:Simple proof of security of the BB84 quantum key distribution protocol.Phys Rev Lett,2000,85(2):441

[60]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure direct communication via entanglement swapping.Chin Phys Lett,2007,24(1):19

[61]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectional quantum direct communication using a GHZ state.Chin Phys Lett,2013,30(4):040305

[62]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack on the Bradler-Dusekprotocol.Quantum Inf Comput,2007,7:329

[63]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A 350(2006)174].Phys Lett A,2007,360(6):748-750

[64]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participant attack on a kind of MQSS schemes based on entanglement swapping.The European Physical Journal D,2010,56(3):445-448

[65]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis ofthe Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A,2007,76(6):062324

[66]Cai,Q.Y.:Eavesdropping on the two-way quantum communication protocols with invisible photons.Phys Lett A,2006,351(1-2):23-25

[67]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.Rev Mod Phys,2002,74(1):145-195

[68]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-way quantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168

[69]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of secure direct communication based on the secret transmitting order of particles.Phys Rev A,2006,74:054302

发明内容

本发明的目的是设计一种基于量子傅里叶变换的安全多方量子求和方法，实现n个参与者的秘密整数序列的模d和计算。

一种基于量子傅里叶变换的安全多方量子求和方法，共包括以下四个过程：

S1)Ρ₁制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并将它们安排成一个有序序列其中上标1,2,...,N代表d级n粒子纠缠态在序列中的顺序。然后，Ρ₁将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列。这n个粒子序列标识为其中代表第t个纠缠态的第v个粒子且t＝1,2,...,N。为了检测窃听，Ρ₁制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂进行随机选择。然后，Ρ₁挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列S_j以形成一个新序列S'_j。这里，j＝2,3，...,n。最后，Ρ₁将S₁保存在手中并将S'_j发送给Ρ_j。

S2)在证实Ρ_j(j＝2,3，...,n)已经收到序列S'_j中的所有粒子后，Ρ₁和Ρ_j一起检测序列S'_j的传输安全性。具体地，Ρ₁告诉Ρ_j序列S'_j中诱骗光子的位置和测量基。接着，Ρ_j利用正确的基测量相应的诱骗光子并告诉Ρ₁一半测量结果。然后，Ρ₁宣布剩余一半诱骗光子的初态。最后，她们检测诱骗光子的测量结果是否与它们的初态一致。这样，Ρ₁和Ρ_j能检测出序列S'_j的传输安全性。如果错误率大于预定的阈值，她们将停止通信；否则，她们将执行下一步。

S3)Ρ_j(j＝2,3，...,n)丢弃序列S'_j中的诱骗光子从而得到序列S_j。然后，Ρ_j对序列S_j中的粒子编码她的秘密整数序列K_j。具体地，Ρ_j对粒子施加其中t＝1,2,...,N。S_j被编码后的新序列记为ES_j。同时，Ρ₁通过对粒子施加实现对序列S₁中的粒子编码她的秘密整数序列K₁。S₁被编码后的新序列记为ES₁。

S4)在所有参与者完成编码她们的秘密整数序列后，每个参与者用V₁基测量各自手中的所有粒子从而得到相应的测量结果。这样，可得到其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N。容易得到和然后，Ρ_j(j＝2,3，...,n)向Ρ₁宣布M_j。最后，为了得到所有参与者秘密整数序列的求和结果，Ρ₁计算

为了让其他参与者也知道求和结果，Ρ₁公布求和结果。

附图说明

图1是安全多方量子计算方法的三种粒子传输模式(以五粒子为例)。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、量子傅里叶变换及其应用

定义d级n粒子纠缠态如下：

其中每个|r>是一个d级基态，r∈{0,1,...,d-1}。对于每个d级基态|r>，d阶离散量子傅里叶变换被定义为

其中ζ＝e^2πi/d。两个集合，和是非正交的两组基。

进一步，定义一个变换操作U_k如下：

其中k从0到d-1。在本发明中，代表模d和。显然，如果U_k被施加到d级基态|r>，可以得到

在将 (k₁,k₂,...,k_n∈{0,1,...,d-1})施加到量子态|ω>_12...n后，可以得到

如果用V₁基对式(5)的右边进行量子测量，将得到 (i＝0,1,...,n-1)。根据式(5)，显然有

2、安全多方量子计算的粒子传输模式

在安全多方量子计算方法(如多方QKA)中，总共有三种粒子传输模式[48]，即完全图类型、环形和树形(见图1)。在完全图类型粒子传输模式中，每个参与者制备初始量子态并给每个其他参与者发送一个制备的粒子序列；在环形类型粒子传输模式中，每个参与者制备初始量子态但只发送一个制备的粒子序列，这个粒子序列将被每个其他参与者轮流操作并最终返回给它的制备者；在树形类型粒子传输模式中，只有一个参与者制备初始量子态并发送给每个其他参与者一个制备的粒子序列，这个粒子序列在被操作后可能被返回也可能不被返回。

3、安全多方量子求和方法

安全多方量子求和应当满足以下要求[7]：

①正确性。参与者的秘密的求和计算结果是正确的。

②安全性。一个外在窃听者无法得到关于每个参与者的秘密的任何有用信息而不被检测到。

③隐私性。每个参与者无法得到多于她的指定输出的任何有用信息，即每个参与者的秘密能被保密。

然而，求和的计算结果可被公开。

假设有n(n＞2)个参与者，Ρ₁,Ρ₂,...,Ρ_n，其中Ρ_i(i＝1,2,...,n)拥有一个长度为N的秘密整数序列K_i，即

其中，对于t＝1,2,...,N， Ρ₁,Ρ₂,...,Ρ_n想一起得到式(8)所示的她们的秘密整数序列的求和结果而不透露秘密整数序列的真实内容。

本发明提出的安全多方量子求和方法的详细流程被描述如下。不失一般性，假设Ρ₁为负责制备初始量子态的那个参与者。而且，Ρ₁被假定为半忠诚的，意味着她可以按照她自己意愿错误行事但不能与其他人共谋。

S1)Ρ₁制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并将它们安排成一个有序序列

其中上标1,2,...,N代表d级n粒子纠缠态在序列中的顺序。然后，Ρ₁将第v(v＝1,2,...,n)个粒子从每个量子态中挑选出来以构成n个粒子序列。这n个粒子序列标识为

其中代表第t个纠缠态的第v个粒子且t＝1,2,...,N。为了检测窃听，Ρ₁制备n-1组诱骗光子，每个诱骗光子从集合V₁或V₂进行随机选择。然后，Ρ₁挑选出一组诱骗光子并将选中的诱骗光子随机插入粒子序列S_j以形成一个新序列S'_j。这里，j＝2,3，...,n。最后，Ρ₁将S₁保存在手中并将S'_j发送给Ρ_j。

S4)在所有参与者完成编码她们的秘密整数序列后，每个参与者用V₁基测量各自手中的所有粒子从而得到相应的测量结果。这样，可得到

其中，是粒子编码后的测量结果，v＝1,2,...,n且t＝1,2,...,N。根据式(5)，容易得到和然后，Ρ_j(j＝2,3，...,n)向Ρ₁宣布M_j。最后，为了得到所有参与者秘密整数序列的求和结果，根据式(6)，Ρ₁计算

为了让其他参与者也知道求和结果，Ρ₁公布求和结果。

至此结束了对本发明提出的安全多方量子求和方法的描述。显然，在本发明的方法中，只有Ρ₁制备初始量子态并发送给每个其他参与者一个制备的粒子序列。因此，本发明的方法采用树形类型粒子传输模式。

4、安全性分析

4.1外在攻击

这里分析一个外在窃听者窃取所有参与者的秘密整数序列的可能性。

在本发明的方法中，为了得到关于秘密整数序列的有用信息，一个外在窃听者可能利用步骤S1Ρ₁将S'_j(j＝2,3，...,n)发送给Ρ_j这个粒子传送过程来发起主动攻击，如截获-重发攻击、测量-重发攻击、纠缠-测量攻击等。然而，本发明的方法采用随机选自两组非正交基V₁和V₂的诱骗光子来检测一个外在窃听者的存在性。诱骗光子技术[57,58]可被认为是已被证实为无条件安全[59]的BB84窃听检测方法[17]的一个变种。而且，2级量子系统下的诱骗光子技术抵抗一个外在窃听者攻击的有效性也已经被文献[60,61]所证实。可以直接得到，d级量子系统下，诱骗光子技术对于抵抗一个外在窃听者的攻击也是有效的。因此，如果一个外在窃听者在粒子传送期间发起主动攻击，由于在公布前不知道诱骗光子的位置和测量基，她将不可避免地在诱骗光子上留下痕迹，从而被窃听检测过程检测到。

另一方面，在步骤S4，当Ρ_j(j＝2,3，...,n)向Ρ₁宣布M_j时，一个外在窃听者可能听到；当Ρ₁公布求和结果时，一个外在窃听者也可能听到。然而，因为她不知道的值，她仍然无法从解密出 (t＝1,2,...,N)。另一方面，一个外在窃听者能从M₂,M₃,...,M_n和求和结果推断出M₁。然而，由于不知道的值，她也无法知道

4.2参与者攻击

在2007年，Gao等[62]首次指出，来自不忠诚参与者的攻击，即参与者攻击，其能量往往更大，应当被施加更多的注意力。至今，参与者攻击在量子密码分析上已经吸引了许多注意力[63-65]。为了充分认识这点，考虑两种情形的参与者攻击。首先，讨论来自单个不忠诚参与者的攻击；然后，分析来自两个或更多个不忠诚参与者的共谋攻击。

a)来自单个不忠诚参与者的攻击

在本发明的方法中，不同Ρ_j(j＝2,3，...,n)的角色是一样的，但是与Ρ₁是不同的，因为Ρ₁制备初始量子态并分发制备的粒子序列。因此，总共有两种来自单个不忠诚参与者的攻击，即来自一个不忠诚Ρ_j的参与者攻击和来自半忠诚Ρ₁的参与者攻击。

关于来自一个不忠诚Ρ_j的参与者攻击，如果Ρ_j对步骤S1从Ρ₁到Ρ_j'(j'＝2,3，...,n且j'≠j)S'_j'中的粒子发起攻击，由于不知道S'_j'中插入的诱骗光子的位置和测量基，她将不可避免地被当成一个外在窃听者而被发现。另外，当步骤S4Ρ_j'向Ρ₁宣布M_j'时，Ρ_j可能听到。然而，由于不知道 (t＝1,2,...,N)的值，她仍然无法从解密出另一方面，Ρ_j能从M₂,M₃,...,M_n和求和结果推导出M₁。然而，由于不知道的值，Ρ_j也无法解密出

关于来自半忠诚Ρ₁的参与者攻击，为了得到其他参与者的秘密整数序列，Ρ₁可利用制备初始量子态的机会发起如下攻击：

①Ρ₁制备N个d级n粒子纠缠态都处于量子态|ω>_12...n，并用V₁基测量每个量子态。测量后坍塌的量子态记为

[(|r¹>₁，|r¹>₂，...，|r¹>_n),(|r²>₁，|r²>₂，...，|r²>_n),...,(|r^N>₁，|r^N>₂，...，|r^N>_n)]， (13)

其中|r^t>_v代表第t个d级n粒子纠缠态的第v个粒子测量后坍塌的状态。这里，t＝1,2,...,N且v＝1,2,...,n。然后，Ρ₁构建n个粒子序列如下所示：

为了检测窃听，Ρ₁制备n-1组诱骗光子，每个诱骗光子随机选自集合V₁或V₂。Ρ₁随机将一组诱骗光子插入到粒子序列S_j以形成一个新序列S'_j。这里，j＝2,3，...,n。然后，Ρ₁将S₁保存在手中并将S'_j发送给Ρ_j。

②Ρ₁和Ρ_j(j＝2,3，...,n)如步骤S2所示一起检测序列S'_j的传输安全性。显然，Ρ_j无法发现Ρ₁的错误行为。因此，Ρ_j丢弃序列S'_j中的诱骗光子以恢复出序列S_j，并对粒子|r^t>_j施加其中t＝1,2,...,N。|r^t>_j编码后的相应粒子为

然后，Ρ_j用V₁基测量手中的所有粒子并公布测量结果

这里，然后，Ρ_j向Ρ₁宣布M_j。最后，Ρ₁尝试从提取

然而，尽管Ρ₁从Ρ_j的宣布知道由于她不知道她仍然无法提取可以得出结论，来自半忠诚Ρ₁的参与者攻击是无效的。

b)来自两个或更多个不忠诚参与者的攻击

既然Ρ₁不被允许与其他参与者共谋，如果其他n-1个参与者一起共谋，她们能从求和结果轻易推导出Ρ₁的秘密整数序列。因此，本发明的方法无法抵抗来自n-1个参与者的共谋攻击。

接着，论证本发明的方法能抵抗来自n-2个参与者的共谋攻击。不失一般性，假设不忠诚的Ρ₂,...,Ρ_i-1,Ρ_i+1,...,Ρ_n尝试共谋在一起来得到Ρ₁和Ρ_i的秘密整数序列。首先，如果Ρ₂,...,Ρ_i-1,Ρ_i+1,...,Ρ_n尝试对步骤S1从Ρ₁到Ρ_i的S'_i中的粒子发起攻击，由于不知道S'_i中插入的诱骗光子的位置和测量基，她们将不可避免地被当成外在窃听者而被发现。其次，在步骤S4，Ρ_s(s＝2,...,i-1,i+1,...,n)能知道M_s。而且，当Ρ_i向Ρ₁宣布M_i以及当Ρ₁公布求和结果时，她可能都听到。Ρ_s能从M₂,M₃,...,M_n和求和结果推断出M₁。而且，Ρ_s能从和推断出 (t＝1,2,...,N)。然而，即使n-2个参与者一起共谋，她们仍然无法得到和的准确数值。因此，Ρ₂,...,Ρ_i-1,Ρ_i+1,...,Ρ_n无法分别从和解密出和

实施例：

1、安全多方量子求和方法应用举例

不失一般性，在忽略窃听检测过程后，以每个秘密整数序列的第一个整数(即 v＝1,2,...,n)为例来说明本发明方法的输出正确性。

Ρ₁制备一个d级n粒子纠缠态处于量子态然后，Ρ₁将粒子保存在自己手中并将粒子发送给Ρ_j。这里，j＝2,3，...,n。在接收到粒子后，Ρ_j对粒子施加来编码秘密整数同时，Ρ₁也通过对粒子施加来编码她的秘密整数然后，Ρ_j用V₁基测量编码后的粒子并告诉Ρ₁测量结果 Ρ₁也用V₁基测量编码后的粒子从而得到测量结果这里，且v＝1,2,...,n。最后，根据式(6)，Ρ₁通过计算得到

现在可以得出结论，本发明提出的安全多方量子求和方法的输出是正确的。

2、总结

总之，本发明提出一个新颖的基于量子傅里叶变换的安全多方量子求和方法，其中传输粒子是以树形模式被传送。经过详细验证得出，本发明的方法能抵抗外在攻击和参与者攻击。特别地，一个参与者无法得到其他参与者的秘密整数序列；本发明的方法对于由至多n-2个参与者施加的共谋攻击也是安全的。另外，本发明的方法计算模d和，并且以整数加整数的方式而非比特加比特的方式计算求和。

基于量子傅里叶变换的安全多方量子求和方法专利购买费用说明