专利摘要

本发明提出一种基于n级单粒子的环型多方量子隐私比较方法，采用环型粒子传输方式。第三方是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人合谋。在本发明的方法中，n个参与者利用量子底特移位操作编码自己的秘密，并且执行一次本方法就能比较出各自秘密的相等性。本发明的方法可以抵抗外部攻击和参与者攻击，特别地，每个参与者的秘密对于其他参与者以及第三方都是未知的。

权利要求

1.一种基于n级单粒子的环型多方量子隐私比较方法，在一个半忠诚第三方的帮助下实现n个参与者秘密相等性的比较；n个参与者利用量子底特移位操作编码自己的秘密；只执行一次本方法就能比较出n个参与者秘密的相等性；可以抵抗外部攻击和参与者攻击；每个参与者的秘密对于其他参与者以及第三方都是未知的；共包括以下四个步骤：

S1)第三方P0和Pi事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Qi，其中以及l＝1,2,…,L，i＝1,2,…,n；P0制备L个单粒子|k1>,|k2>,…,|kL>，这些粒子是从集合T1中随机选择并构成粒子序列H；与此同时，P0制备L个单粒子F|k1>,F|k2>,…,F|kL>，这些粒子是从集合T2中随机选择并构成粒子序列V；这里，kl∈{0,1,…,n-1}，l＝1,2,…,L；然后，P0将粒子|kl>和F|kl>分别从序列H和序列V中挑选出来，构成粒子组(kl>,F|kl>)，用表示；在每组中，粒子|kl>和F|kl>的位置是随机的，只有P0知道它们的位置；在这之后，P0制备2L个诱骗光子，每个诱骗光子都是从集合T1和T2中随机选择；P0将诱骗光子随机插入到中，构成新的序列S0；最后，P0将序列S0发送给P1；

S2)对于i＝1,2,…,n：

在Pi确认收到来自Pi-1发送过来的粒子后，Pi和Pi-1对传输的序列Si-1进行安全检测；首先Pi-1宣布来自集合T2中诱骗光子的位置和制备基；根据公布的信息，Pi用T2基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pi-1告诉Pi来自集合T1中诱骗光子的位置和制备基；然后，Pi用T1基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行；

将序列Si-1中的诱骗光子移除之后，为了编码Pi的二进制秘密Pi对粒子组中两个粒子和F|kl>施加量子底特移位操作来编码自己的秘密；只有Pi和P0知道的真实值，其他任何人都不知道；这里，l＝1,2,…,L；经过移位操作之后，粒子的状态将会被转变成为而根据定理1,粒子F|kl>的状态将不会被改变，其中定理1是指量子底特移位操作Um作用在粒子F|k>上将不会改变其状态，k∈{0,1,…,n-1}；序列在经过Pi的编码操作之后变为然后，Pi制备2L个诱骗光子，每一个诱骗光子都是从集合T1和T2中随机选择；Pi将这些诱骗光子随机插入到中构成新的序列Si；最后，Pi将序列Si发送给Pi+1；Pn将序列Sn发送给P0；

S3)在P0确认收到来自Pn发送过来的粒子后，Pn和P0对传输序列Sn进行安全检测；首先，Pn宣布来自集合T2的诱骗光子所对应的位置和制备基；根据公布的信息，P0用T2基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pn告诉P0来自集合T1中诱骗光子的位置和制备基；然后，P0用T1基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行；

P0将序列Sn中的诱骗光子移除；P0知道剩余粒子所对应的测量基，因为Pi并没有改变P0所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已，其中i＝1,2,…,n；P0用T2基对来自集合T2的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步；

S4)P0用T1基去测量粒子并得到测量值P0知道的值，这里，l＝1,2,…,L；然后，P0计算和

对于l＝1,2,…,L，如果Dl＝0都成立，P0可以得出P1,P2,…,Pn的秘密相等，否则，将得出P1,P2,…,Pn的秘密不相等；最后，P0通过经典信道向P1,P2,…,Pn公布比较结果。

说明书

技术领域

本发明涉及量子密码学领域。本发明设计一种基于n级单粒子的环型多方量子隐私比较方法，在一个第三方的帮助下实现n个参与者秘密相等性的比较。

背景技术

传统密码学的安全性依赖于数学问题的计算复杂性，易受具有强大计算能力的量子并行计算的影响。幸运地是，Bennett和Brassard[1]在1984年提出的量子密码基于量子力学原理可以实现无条件安全性。量子密码引起了广泛的关注，并建立了许多有趣的分支，如量子密钥分发(Quantum key distribution，QKD)[1-7]，量子安全直接通信(Quantumsecure direct communication，QSDC)[8-11]，量子秘密共享(Quantum secret sharing，QSS)[12-18]等。

隐私比较方法可以追溯到Yao[19]提出的百万富翁问题。在百万富翁问题中，两位百万富翁想要在不了解彼此实际财产的情况下判断谁更富有。之后，Boudot等[20]提出了一个判断两位百万富翁是否同样富有的隐私比较方法。不幸地是，Lo[21]指出，在两方隐私比较中构建一个安全的相等函数是不可能的。因此，需要考虑引入一些额外的假设，例如第三方(Third party,TP)，来实现隐私比较。

量子隐私比较(Quantum private comparison，QPC)，可以看作经典隐私比较在量子力学领域的扩展，最初由Yang和Wen[22]提出。QPC的目标是通过利用量子力学的原理来判断来自不同方的隐私输入是否相等，并且它们的真实内容不会被泄露出去。近年来，QPC方法的设计和分析成功引起了人们的广泛关注。因此，许多两方QPC方法[22-35]已经被提出来。

但是，上述QPC方法仅适用于两方的隐私比较。幸运地是，在2013年，Chang[36]等首次提出基于多粒子GHZ类态的多方量子隐私比较(Multiparty quantum privatecomparison,MQPC)方法，可以只执行一次方法就完成任意一对参与者之间秘密相等性的比较。在这之后，许多基于多级系统的MQPC方法[37-42]被构建出来。例如，Liu等[37]在2014年提出一个基于d级基态的不需要纠缠交换的MQPC方法；在2017年，Ji和Ye[39]提出一个基于d级Bell态和d级Cat态纠缠交换的MQPC方法。

基于上述分析，本发明提出一种新颖的基于n级单粒子的环型MQPC方法。本发明的方法以环型方式传输粒子，并且在半忠诚TP的帮助下可以只执行一次方法就实现n个参与者秘密相等性的比较。这里，TP是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人勾结。

参考文献

[1]Bennett,C.H.,Brassard,G.:Quantum cryptography:public keydistribution and coin tossing.In:Proceedings of the IEEE InternationalConference on Computers,Systems and Signal Processing,Bangalore.pp.175-179(1984)

[2]Ekert,A.K.:Quantum cryptography based on bells theorem.Phys RevLett 67(6),661-663(1991)

[3]Bennett,C.H.:Quantum cryptography using any two nonorthogonalstates.Phys Rev Lett 68(21),3121-3124(1992)

[4]Cabello,A.:Quantum key distribution in the Holevo limit.Phys RevLett 85(26),5635(2000)

[5]Hwang,W.Y.:Quantum key distribution with high loss:toward globalsecure communication.Phys Rev Lett 91(5),057901(2003)

[6]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Efficient quantum key distributionover a collective noise channel.Phys Rev A 78(2),022321(2008)

[7]Zhang,C.M.,Song,X.T.,Treeviriyanupab,P.,et al.:Delayed errorverification in quantum key distribution.Chin Sci Bull 59(23),2825-2828(2014)

[8]Deng,F.G.,Long,G.L.,Liu,X.S.:Two-step quantum direct communicationprotocol using the Einstein-Podolsky-Rosen pair block.Phys Rev A 68(4),042317(2003)

[9]Gu,B.,Huang,Y.G.,Fang,X.,Zhang,C.Y.:A two-step quantum securedirect communication protocol with hyperentanglement.Chin Phys B 20(10),100309(2011)

[10]Wang,J.,Zhang,Q.,Tang,C.J.:Quantum secure direct communicationbased on order rearrangement of single photons.Phys Lett A 358(4),256-258(2006)

[11]Chong,S.K.,Hwang,T.:The enhancement of three-party simultaneousquantum secure direct communication scheme with EPR pairs.Opt Commun 284(1),515-518(2011)

[12]Hillery,M.,Buzek,V.,Berthiaume,A.:Quantum secret sharing.Phys RevA 59(3),1829-1834(1999)

[13]Karlsson,A.,Koashi,M.,Imoto,N.:Quantum entanglement for secretsharing and secret splitting.Phys Rev A 59(1),162-168(1999)

[14]Cleve,R.,Gottesman,D.,Lo,H.K.:How to share a quantum secret.PhysRev Lett 83(3),648-651(1999)

[15]Gottesman,D.:Theory of quantum secret sharing.Phys Rev A 61(4),042311(2000)

[16]Li,Y.,Zhang,K.,Peng,K.:Multiparty secret sharing of quantuminformation based on entanglement swapping.Phys Lett A 324(5),420-424(2004)

[17]Deng,F.G.,Long,G.L.,Zhou,H.Y.:An efficient quantum secret sharingscheme with Einstein-Podolsky-Rosen pairs.Phys Lett A 340(1-4),43-50(2005)

[18]Keet,A.,Fortescue,B.,Markham,D.,et al.:Quantum secret sharingwith qudit graph states.Phys Rev A 82(6),062315(2010)

[19]Yao,A.C.:Protocols for secure computations.In:Proceedings of 23rdIEEE Symposium on Foundations of Computer Science (FOCS’82),Washington,DC,p.160(1982)

[20]Boudot,F.,Schoenmakers,B.,Traore,J.:A fair and efficient solutionto the socialist millionaires’problem.Discret Appl Math 111(1-2),23-36(2001)

[21]Lo,H.K.:Insecurity of quantum secure computations.Phys Rev A 56(2),1154-1162(1997)

[22]Yang,Y.G.,Wen,Q.Y.:An efficient two-party quantum privatecomparison protocol with decoy photons and two-photon entanglement.J Phys AMath Theor 42,055305(2009)

[23]Chen,X.B.,Xu,G.,Niu,X.X.,Wen,Q.Y.,Yang,Y.X.:An efficient protocolfor the private comparison of equal information based on the tripletentangled state and single-particle measurement.Opt Commun 283,1561(2010)

[24]Tseng,H.Y.,Lin,J.,Hwang,T.:New quantum private comparisonprotocol using EPR pairs.Quantum Inf Process 11,373-384(2012)

[25]Yang,Y.G.,Xia,J.,Jia,X.,Zhang,H.:Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process 12,877-885(2013)

[26]Chen,X.B.,Su,Y.,Niu,X.X.,Yang,Y.X.:Efficient and feasible quantumprivate comparison of equality against the collective amplitude dampingnoise.Quantum Inf Process 13,101-112(2014)

[27]Zi,W.,Guo,F.Z.,Luo,Y.,Cao,S.H.,Wen,Q.Y.:Quantum privatecomparison protocol with the random rotation.Int J Theor Phys 52,3212-3219(2013)

[28]Liu,W.,Wang,Y.B.,Cui,W.:Quantum private comparison protocol basedon Bell entangled states.Commun Theor Phys 57,583-588(2012)

[29]Li,J.,Zhou,H.F.,Jia,L.,Zhang,T.T.:An efficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys 53(7),2167-2176(2014)

[30]Liu,X.T.,Zhang,B.,Wang,J.,Tang,C.J.,Zhao,J.J.:Differential phaseshift quantum private comparison.Quantum Inf Process 13,71-84(2014)

[31]Sun,Z.W.,Long,D.Y.:Quantum private comparison protocol based oncluster states.Int J Theor Phys 52,212-218(2013)

[32]Lin,S.,Guo,G.D.,Liu,X.F.:Quantum private comparison of equalitywithχ-type entangled states.Int J Theor Phys 52,4185-4194 (2013)

[33]Zhang,W.W.,Li,D.,Li,Y.B.:Quantum private comparison protocol withW States.Int J Theor Phys 53(5),1723-1729(2014)

[34]Wang,C.,Xu,G.,Yang,Y.X.:Cryptanalysis and improvements for thequantum private comparison protocol using EPR pairs.Int J Quantum Inf 11,1350039(2013)

[35]Ji,Z.X.,Ye,T.Y.:Quantum private comparison of equal informationbased on highly entangled six-qubit genuine state.Commun Theor Phys 65,711-715(2016)

[36]Chang,Y.J.,Tsai,C.W.,Hwang,T.:Multi-user private comparisonprotocol using GHZ class states.Quantum Inf Process 12,1077-1088(2013)

[37]Liu,W.,Wang,Y.B.,Wang,X.M.:Multi-party quantum private comparisonprotocol usingddimensional basis states without entanglement swapping.Int JTheor Phys 53,1085-1091(2014)

[38]Wang,Q.L.,Sun,H.X.,Huang,W.:Multi-party quantum privatecomparison protocol withn-level entangled states.Quantum Inf Process 13,2375-2389(2014)

[39]Ji,Z.X.,Ye,T.Y.:Multi-party quantum private comparison based onthe entanglement swapping ofd-level cat states andd-level Bell states.QuantumInf Process 16(7),177(2017)

[40]Luo,Q.B.,Yang,G.W,She,K.,Niu,W.N.,Wang,Y.Q.:Multi-party quantumprivate comparison protocol based ond-dimensional entangled states.QuantumInf Process 13,2343-2352(2014)

[41]Huang,S.L.,Hwang,T.,Gope,P.:Multi-party quantum privatecomparison with an almost-dishonest third party.Quantum Inf Process 14(11),4225-4235(2015)

[42]Hung,S.M.,Hwang,S.L.,Hwang,T.,Kao,S.H.:Multiparty quantum privatecomparison with almost dishonest third parties for strangers.Quantum InfProcess 16(2),36(2017)

[43]Li,C.Y.,Zhou,H.Y.,Wang,Y.,Deng,F.G.:Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett 22(5),1049(2005)

[44]Li,C.Y.,Li,X.H.,Deng,F.G.,Zhou,P.,Liang,Y.J.,Zhou,H.Y.:Efficientquantum cryptography network without entanglement and quantum memory.ChinPhys Lett 23(11),2896(2006)

[45]Shor,P.W.,Preskill,J.:Simple proof of security of the BB84quantum key distribution protocol.Phys Rev Lett 2000,85(2):441

[46]Chen,Y.,Man,Z.X.,Xia,Y.J.:Quantum bidirectional secure directcommunication via entanglement swapping.Chin Phys Lett 2007,24(1):19

[47]Ye,T.Y.,Jiang,L.Z.:Improvement of controlled bidirectionalquantum direct communication using a GHZ state.Chin Phys Lett 2013,30(4):040305

[48]Cai,Q.Y.:Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A 2006,351(1-2):23-25

[49]Deng,F.G.,Zhou,P.,Li,X.H.,Li,C.Y.,Zhou,H.Y.:Robustness of two-wayquantum communication protocols against Trojan horse attack.2005,arXiv:quant-ph/0508168

[50]Li,X.H.,Deng,F.G.,Zhou,H.Y.:Improving the security of securedirect communication based on the secret transmitting order of particles.PhysRev A 2006,74:054302

[51]Gisin,N.,Ribordy,G.,Tittel,W.,Zbinden,H.:Quantum cryptography.RevMod Phys 2002,74(1):145-195

[52]Gao,F.,Qin,S.J.,Wen,Q.Y.,Zhu,F.C.:A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput 7,329(2007)

[53]Gao,F.,Wen,Q.Y.,Zhu,F.C.:Comment on:“quantum exam”[Phys Lett A350(2006)174].Phys Lett A 360(6),748-750(2007)

[54]Guo,F.Z.,Qin,S.J.,Gao,F.,Lin,S.,Wen,Q.Y.,Zhu,F.C.:Participantattack on a kind of MQSS schemes based on entanglement swapping.Eur Phys J D56(3),445-448(2010)

[55]Qin,S.J.,Gao,F.,Wen,Q.Y.,Zhu,F.C.:Cryptanalysis of the Hillery-Buzek-Berthiaume quantum secret-sharing protocol.Phys Rev A 76(6),062324(2007)

发明内容

本发明设计一种基于n级单粒子的环型多方量子隐私比较方法，在一个TP的帮助下实现n个参与者秘密相等性的比较。

一种基于n级单粒子的环型多方量子隐私比较方法，共包括以下四个步骤：

S1)第三方P0和Pi(i＝1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Qi，其中 以及l＝1,2,…,L。P0制备L个单粒子|k1>,|k2>,…,|kL>，这些粒子是从集合T1中随机选择并构成粒子序列H。与此同时，P0制备L个单粒子F|k1>,F|k2>,…,F|kL>，这些粒子是从集合T2中随机选择并构成粒子序列V。这里，kl∈{0,1,…,n-1}，l＝1,2,…,L。然后，P0将粒子|kl>和F|kl>分别从序列H和序列V中挑选出来，构成粒子组(|kl>,F|kl>)，用 表示。在每组 中，粒子|kl>和F|kl>的位置是随机的，只有P0知道它们的位置。在这之后，P0制备2L个诱骗光子，每个诱骗光子都是从集合T1和T2中随机选择。P0将诱骗光子随机插入到 中，构成新的序列S0。最后，P0将序列S0发送给P1。

S2)对于i＝1,2,…,n：

在Pi确认收到来自Pi-1发送过来的粒子后，Pi和Pi-1对传输的序列Si-1进行安全检测。首先Pi-1宣布来自集合T2中诱骗光子的位置和制备基；根据公布的信息，Pi用T2基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pi-1告诉Pi来自集合T1中诱骗光子的位置和制备基。然后，Pi用T1基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

将序列Si-1中的诱骗光子移除之后，为了编码她的二进制秘密 Pi对粒子组 中两个粒子 和F|kl>施加量子底特移位操作 来编码自己的秘密。需要注意的是，只有Pi和P0知道 的真实值，其他任何人都不知道。这里， l＝1,2,…,L。经过移位操作之后，粒子 的状态将会被转变成为 而根据定理1,粒子F|kl>的状态将不会被改变，其中定理1是指量子底特移位操作Um作用在粒子F|k>上将不会改变其状态，k∈{0,1,…,n-1}。序列 在经过Pi的编码操作之后变为 然后，Pi制备2L个诱骗光子，每一个诱骗光子都是从集合T1和T2中随机选择。Pi将这些诱骗光子随机插入到 中构成新的序列Si。最后，Pi将序列Si发送给Pi+1。需要指出的是，Pn将序列Sn发送给P0。

S3)在P0确认收到来自Pn发送过来的粒子后，Pn和P0对传输序列Sn进行安全检测。首先，Pn宣布来自集合T2的诱骗光子所对应的位置和制备基；根据公布的信息，P0用T2基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pn告诉P0来自集合T1中诱骗光子的位置和制备基。然后，P0用T1基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

P0将序列Sn中的诱骗光子移除。P0知道剩余粒子所对应的测量基，因为Pi(i＝1,2,…,n)并没有改变P0所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已。P0用T2基对来自集合T2的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步。

S4)P0用T1基去测量粒子 并得到测量值 需要指出的是，P0知道 的值，这里，l＝1,2,…,L。然后，P0计算 和

对于l＝1,2,…,L，如果Dl＝0都成立，P0可以得出P1,P2,…,Pn的秘密相等；否则，她将得出P1,P2,…,Pn的秘密不相等。最后，P0通过经典信道向P1,P2,…,Pn公布比较结果。

具体实施方式

下面结合本发明的具体步骤对本发明的技术方案做进一步描述。

1多方量子隐私比较方法

在一个n级量子系统中，单粒子的一组常见的测量基可以表示为：

T1＝{|k>},k∈{0,1,…,n-1}。(1)

集合T1中的每个量子态都两两相互正交。集合T1中的量子态经过n级离散量子傅立叶变换F之后，将会转变成为另一组基

其中， 集合T2中的每个量子态也都两两相互正交。集合T1和T2是两组相互共轭基。量子底特移位操作表示为

其中m＝{0,1,…,n-1}，符号 表示模n加法。容易验证，量子底特移位操作Um作用在粒子|k>之后，粒子状态将会转变为

定理1.量子底特移位操作Um作用在粒子F|k>上将不会改变其状态。

证明：(i)量子底特移位操作U1作用在粒子F|k>上，粒子状态将会变为

用t(t∈{1,2,…,n-1})替换r+1，式(4)将会转变为

(ii)显然，量子底特移位操作Um的效果等价于操作U1m次。

因此，可以从式(5)得到

UmF|k>＝ω-mkF|k>。 (6)

可以得出结论，在忽略全局因子ω-mk的情况下，量子底特移位操作Um不会改变粒子F|k>的状态。

现在，对本发明的方法进行一个明确的描述。假设有n个参与者P1,P2,…,Pn，每个参与者Pi(i＝1,2,…,n)的秘密用xi表示。xi的二进制表示为 即 其中 并且l＝1,2,…,L。她们在半忠诚TP的帮助下比较她们秘密的相等性。TP是半忠诚的，意味着她被允许按照自己意愿错误行事，但不允许与其他任何人勾结。需要注意的是，这种半忠诚的TP属于文献[25]中TP的第二种半忠诚模型。

本发明设计的基于n级单粒子的环型多方量子隐私比较方法包括以下四个步骤。

S1)第三方P0和Pi(i＝1,2,…,n)事先通过安全的量子密钥分发方法共享一个长度为L的密钥序列Qi，其中 以及l＝1,2,…,L。P0制备L个单粒子|k1>,|k2>,…,|kL>，这些粒子是从集合T1中随机选择并构成粒子序列H。与此同时，P0制备L个单粒子F|k1>,F|k2>,…,F|kL>，这些粒子是从集合T2中随机选择并构成粒子序列V。这里，kl∈{0,1,…,n-1}，l＝1,2,…,L。然后，P0将粒子|kl>和F|kl>分别从序列H和序列V中挑选出来，构成粒子组(|kl>,F|kl>)，用 表示。在每组 中，粒子|kl>和F|kl>的位置是随机的，只有P0知道它们的位置。在这之后，P0制备2L个诱骗光子，每个诱骗光子都是从集合T1和T2中随机选择。P0将诱骗光子随机插入到 中，构成新的序列S0。最后，P0将序列S0发送给P1。

S2)对于i＝1,2,…,n：

在Pi确认收到来自Pi-1发送过来的粒子后，Pi和Pi-1对传输的序列Si-1进行安全检测。首先Pi-1宣布来自集合T2中诱骗光子的位置和制备基；根据公布的信息，Pi用T2基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pi-1告诉Pi来自集合T1中诱骗光子的位置和制备基。然后，Pi用T1基去测量相应位置上的粒子并将测量结果告诉Pi-1；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pi-1可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

将序列Si-1中的诱骗光子移除之后，为了编码她的二进制秘密 Pi对粒子组 中两个粒子 和F|kl>施加量子底特移位操作 来编码自己的秘密。需要注意的是，只有Pi和P0知道 的真实值，其他任何人都不知道。这里， l＝1,2,…,L。经过移位操作之后，粒子 的状态将会被转变成为 而根据定理1,粒子F|kl>的状态将不会被改变。序列 在经过Pi的编码操作之后变为 然后，Pi制备2L个诱骗光子，每一个诱骗光子都是从集合T1和T2中随机选择。Pi将这些诱骗光子随机插入到 中构成新的序列Si。最后，Pi将序列Si发送给Pi+1。需要指出的是，Pn将序列Sn发送给P0。

S3)在P0确认收到来自Pn发送过来的粒子后，Pn和P0对传输序列Sn进行安全检测。首先，Pn宣布来自集合T2的诱骗光子所对应的位置和制备基；根据公布的信息，P0用T2基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，Pn告诉P0来自集合T1中诱骗光子的位置和制备基。然后，P0用T1基去测量相应位置上的粒子并将测量结果发送给Pn；通过比较诱骗光子的测量结果和相应粒子的初始制备态，Pn可以计算错误率；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信继续进行。

P0将序列Sn中的诱骗光子移除。P0知道剩余粒子所对应的测量基，因为Pi(i＝1,2,…,n)并没有改变P0所制备的初始粒子的顺序，只是对粒子进行量子底特移位操作来编码自己的秘密而已。P0用T2基对来自集合T2的粒子进行测量，并将测量结果与相应的初始制备状态进行比较；如果错误率超过阈值，通信将会被终止并重新从步骤S1开始，否则，通信将进行下一步。

S4)P0用T1基去测量粒子 并得到测量值 需要指出的是，P0知道 的值，这里，l＝1,2,…,L。然后，P0计算

对于l＝1,2,…,L，如果Dl＝0都成立，P0可以得出P1,P2,…,Pn的秘密相等；否则，她将得出P1,P2,…,Pn的秘密不相等。最后，P0通过经典信道向P1,P2,…,Pn公布比较结果。

2协议分析

这里将对本发明方法的输出结果正确性和安全性进行分析。首先证明本发明方法的输出结果是正确的；其次，论证外部攻击和参与者攻击对于本发明方法是无效的。

2.1输出结果的正确性

假设有n个参与者P1,P2,…,Pn，每个参与者Pi(i＝1,2,…,n)各自拥有秘密xi。xi所对应的二进制为 即 其中 并且l＝1,2,…,L。这里，以xi中的第l个比特，即 为例进行说明本方法输出结果的正确性。对于i＝1,2,…,n，Pi通过施加量子底特移位操作 在粒子 上来编码自己的秘密 在所有参与者对粒子|kl>进行编码操作之后，粒子|kl>的最终状态将转变为 然后，P0用T1基去测量粒子并得到 的值。在这之后，P0计算Dl。根据式(8)，显然，当且仅当 时，才会有Dl＝0；否则，Dl≠0。最后，P0向P1,P2,…,Pn公布比较结果。

基于上述分析，可以知道，当且仅当D1＝D2＝…＝DL＝0时，x1＝x2＝…＝xn；否则，x1,x2,…,xn不完全相等。现在可以得出结论，本发明方法输出的比较结果是正确的。

2.2安全性

2.2.1外部攻击

这里分析外部攻击者窃取n个参与者秘密的可能性。

在本发明的方法中，粒子在步骤S1和S2中通过量子信道进行传输。外部窃听者可能会在这些粒子的传输过程中发起一些著名的攻击(例如截获-重发攻击，测量-重发攻击以及纠缠-测量攻击)来获取关于参与者秘密的有用信息。然而，这些步骤都采用诱骗光子技术[43,44]来保证粒子传输的安全性。诱骗光子技术，可以被认为是已被文献[45]证明是无条件安全的BB84方法[1]的窃听检查方法的一种变体。文献[46,47]已经验证了诱骗光子技术在二级量子系统中对截获-重发攻击、测量-重发攻击和纠缠-测量攻击的有效性。显然，在n级量子系统中，诱骗光子技术对于这些著名的攻击也是有效的。因此，外部窃听者在不被步骤S2和S3的窃听检测过程发现的情况下，是无法获得有关参与者秘密的有用信息。

在步骤S4中，P0宣布比较结果。既使外部窃听者知道比较结果，也无助于她获取参与者的秘密。

此外，需要指出的是，为了抵抗不可见光子的特洛伊木马攻击[48]，接收者应该在她的设备前面插入一个过滤器来滤除非法波长的光子信号[49,50]。另外，为了抵抗延迟光子木马攻击[49,51]，接收者应采用光子数分离器(PNS：50/50)将每个样本量子信号分成两部分，然后用适当的测量基测量经过PNS后的信号[49,50]。如果多光子率高得不合理，这种攻击就会被发现。

2.2.2参与者攻击

在2007年，Gao等[52]首次指出，不忠诚参与者的攻击通常更强大，应该更加被关注。此后，这种攻击被称为参与者攻击，并引起了人们对量子密码学中密码分析的浓厚兴趣[53-55]。这里考虑两种参与者攻击情况。首先分析一个或多个不忠诚参与者的攻击；其次，分析来自半忠诚P0的参与者攻击。

情形1：来自一个或多个不忠诚参与者的攻击

这种情况应该考虑以下两种情形：不忠诚的一方想窃取其他各方的秘密，以及两个或两个以上不忠诚参与者合谋窃取其他参与者的秘密。

(a)来自一个不忠诚参与者的攻击

在本发明的方法中，Pi(i＝1,2,…,n)接收来自Pi-1的粒子，以及发送粒子给Pi+1。需要注意的是，Pn是将粒子发送给P0。不失一般性，在这种情形下，假设只有P2是不忠诚的，她想要窃取其他参与者的秘密。

首先，考虑P2想要窃取P1秘密的情况。在P1和P2进行窃听检测之后，为了窃取P1的秘密，P2先移除诱骗光子，然后对剩下的粒子 (l＝1,2,…,L)以及F|kl>用T1基进行测量。然而，P2仍然得不到 因为：一方面，她不知道粒子 和F|kl>的原始顺序；另一方面，她仍然不知道kl以及 的值。更为严重得是，她将无可避免地在步骤S3的窃听检测中被P2发现，因为她的攻击改变了粒子F|kl>的状态。因此，P2不能获得P1的秘密。

然后，考虑P2想要窃取P3秘密的情况。为了获得P3的秘密，P2可能采取以下攻击手段：P2用T1基制备假粒子，并用这些假粒子代替那些来自P1的粒子发送给P3。在P3编码好自己秘密之后，P2截获P3发送给P4的粒子，并用T1基测量这些粒子，然后将测量后的粒子发送给P4。然而，P2仍然不能得到P3的秘密，因为她不知道她制备的假粒子在P3发送给

基于n级单粒子的环型多方量子隐私比较方法专利购买费用说明

Q：办理专利转让的流程及所需资料

A：专利权人变更需要办理著录项目变更手续，有代理机构的，变更手续应当由代理机构办理。

1：专利变更应当使用专利局统一制作的“著录项目变更申报书”提出。

2：按规定缴纳著录项目变更手续费。

3：同时提交相关证明文件原件。

4：专利权转移的，变更后的专利权人委托新专利代理机构的，应当提交变更后的全体专利申请人签字或者盖章的委托书。

Q:专利著录项目变更费用如何缴交

A：（1）直接到国家知识产权局受理大厅收费窗口缴纳,（2）通过代办处缴纳，（3）通过邮局或者银行汇款,更多缴纳方式

Q：专利转让变更，多久能出结果

A：著录项目变更请求书递交后，一般1-2个月左右就会收到通知，国家知识产权局会下达《转让手续合格通知书》。