王正浩 張仕斌 昌 燕 王丹琛 姚 瑤

(成都信息工程大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 成都 610225)(中國信息安全測評(píng)(四川)中心 四川 成都 610017)

0 引 言

自1984年第一個(gè)量子密碼協(xié)議由Bennett和Brassard[1]提出以來，量子加密技術(shù)以其無條件的安全性吸引了研究人員的興趣和快速發(fā)展。目前已經(jīng)構(gòu)建了許多量子密碼協(xié)議，如量子密鑰分發(fā)(QKD)[1-3]、量子隱形傳態(tài)[4-8]、量子秘密共享(QSS)[9-11]、量子安全直接通信[12-15]。同時(shí)，量子隱私比較(QPC)也成為一個(gè)非常受歡迎的研究方向。

量子隱私比較的概念是兩個(gè)參與者使用量子信號(hào)來傳輸真實(shí)內(nèi)容，并且在第三方的幫助下，確定他們的秘密是否相等，而不泄露秘密信息。在量子隱私比較中，如果只有兩個(gè)參與者執(zhí)行協(xié)議，則不可能安全地評(píng)估是否相等，Lo[16]在1996年證明了這一點(diǎn)，因此所有QPC協(xié)議都需要第三方(TP)。Zhang等[17]提出TP可以根據(jù)信任度來分類，這些角色分類如下：(1) TP是誠實(shí)的；(2) TP是不誠實(shí)的;(3) TP是半誠實(shí)的。情況(1)是幾乎不可能的;在情況(2)中，參與者將完全不信任TP，這種情況相當(dāng)于只有兩個(gè)執(zhí)行協(xié)議的參與者，這已被證明是不安全的;在情況(3)中，TP將忠實(shí)地執(zhí)行協(xié)議，但將試圖通過一些攻擊來竊取參與者的秘密消息。

第一個(gè)有兩個(gè)參與者的QPC協(xié)議是由Yang等[18]在2009年提出的。從那以后，這個(gè)研究領(lǐng)域迅速發(fā)展，研究人員使用不同的量子態(tài)設(shè)計(jì)了QPC協(xié)議，例如單粒子[19]、Bell態(tài)[20-22]、GHZ態(tài)[23-24]、W態(tài)[25]、團(tuán)簇態(tài)[26]、χ型糾纏態(tài)[27-28]、五粒子糾纏態(tài)[29-30]、六粒子糾纏態(tài)[31]。上述協(xié)議[18-31]需要參與者和第三方都擁有量子能力。但是，在某些情況下，參與者可能無法負(fù)擔(dān)這樣的資源和操作。

Boyer等[32]在2007年提出了一個(gè)半量子概念——不是每個(gè)人都有量子能力。它是一種具有測量重發(fā)特性的半量子密鑰分配(SQKD)協(xié)議。2008年，Boyer等[33]又設(shè)計(jì)了一個(gè)使用單光子的隨機(jī)化特征協(xié)議。這兩個(gè)協(xié)議是半量子密碼學(xué)領(lǐng)域最具代表性的開創(chuàng)性工作。

在提出半量子概念之后，它很快就與之前的量子密碼協(xié)議相結(jié)合，例如：半量子密鑰分發(fā)(SQKD)[34-37]、半量子秘密共享(SQSS)[38-40]、半量子安全直接通信(SQSDC)[41-42]。半量子隱私比較也是其方向。在已經(jīng)提出的半量子隱私比較協(xié)議中，大多數(shù)協(xié)議是TP具有量子能力，而兩個(gè)參與者僅具有經(jīng)典能力。經(jīng)典參與者被限制可以執(zhí)行以下操作：(1) 在固定正交基礎(chǔ)上準(zhǔn)備新的量子比特{|0>，|1>};(2) 在固定正交基礎(chǔ)上測量量子比特{|0>，|1>};(3) 無干擾地發(fā)送或返回量子位。最近，一些研究人員提出了一些很好的半量子隱私比較(SQPC)協(xié)議。如Ye等[43]的協(xié)議是基于單粒子；Chou等[44]和Thapliyala等[45]的協(xié)議是基于Bell狀態(tài)；Ye等[46]使用雙粒子狀態(tài)作為初始準(zhǔn)備的量子資源。

基于上述分析，SQPC對(duì)兩名參與者的能力要求較低。從某些方面來說，它降低了成本并提高了可操作性。故本文設(shè)計(jì)了一個(gè)半誠實(shí)TP的SQPC協(xié)議，并使用χ型糾纏態(tài)作為量子資源。

1 協(xié)議描述

學(xué)習(xí)了QPC協(xié)議[28]并受其啟發(fā)，本文設(shè)計(jì)了一個(gè)SQPC協(xié)議，其將χ型糾纏態(tài)作為量子資源，定義為：

|0011>+|0110>+|1001>+

|1010>+|1100>-|1111>)1 234=

|Ψ->|01>+|Ψ+>|10>)1 234=

|01>|Ψ->+|10>|Ψ+>)1 234

(1)

根據(jù)Boyer等提出的半量子密鑰分發(fā)協(xié)議(SQKD)[32-33]，假設(shè)TP與Alice共享密鑰KAT，TP與Bob共享秘密密鑰KBT。根據(jù)Lu等[4]提出的三方循環(huán)SQKD協(xié)議，Alice和Bob共享密鑰KAB。KAT、KBT和KAB的長度是N/2。

協(xié)議的步驟描述如下：

表1 兩個(gè)參與者的測量結(jié)果與TP的公告之間的關(guān)系

為了使讀者更容易理解協(xié)議的過程，這里給出一個(gè)具體的例子供參考：

假設(shè)Alice和Bob都具有二進(jìn)制秘密消息1010110101，消息長度為10比特。他們想知道秘密信息是否相同，所以他們按照以下步驟進(jìn)行比較。

首先，TP與Alice共享密鑰KAT是{1111000110}；TP與Bob共享一個(gè)密鑰KBT{0010100011}；Alice和Bob共享密鑰KAB是{1100101001}。

艾爾走進(jìn)來，我甚至還沒打算開口要他幫忙，他就主動(dòng)過來幫我收拾床鋪。清洗床框就等以后吧。他把一堆帶字的床單枕套扔到垃圾箱里，然后我們一起走向訓(xùn)練室。

第五步 Alice和Bob告訴TP他們已經(jīng)完成了所有粒子的測量，接下來TP公布S序列為{0,1,0,0,1}。因此，Alice和Bob都知道了Mi={00,10,00,11,01}。

2 協(xié)議分析

2.1 協(xié)議的正確性分析

(2)

根據(jù)式(2)可以看出，如果Ri=00，可以推出結(jié)果X=Y，否則X≠Y。所以，該協(xié)議的正確性得到證明。

2.2 協(xié)議的安全性分析

2.2.1 外部攻擊

假設(shè)存在一個(gè)外部竊聽者Eve，想要竊取參與者的秘密信息。我們根據(jù)協(xié)議的每個(gè)步驟分析外部攻擊。

步驟一中沒有傳輸，所以不用擔(dān)心Eve發(fā)動(dòng)攻擊。

步驟三、四、五中都沒有傳輸，所以不用分析。

綜上，該協(xié)議可以成功抵制外部攻擊。

2.2.2 參與者攻擊

Gao等[50]指出，參與者攻擊通常比外部攻擊更強(qiáng)大，應(yīng)該更加注意。這兩個(gè)情況的分析如下：

情況一 Alice或者Bob的攻擊。

情況二 TP的攻擊。

2.3 協(xié)議的效率分析

表2 該協(xié)議與其他SQPC協(xié)議的比較

該協(xié)議的量子比特效率高于以前的SQPC協(xié)議。但是，我們需要準(zhǔn)備χ型糾纏態(tài)，這比Bell糾纏態(tài)的準(zhǔn)備更困難，而且該協(xié)議沒有任何對(duì)TP的檢測。

3 結(jié) 語

本文提出了一種新的半量子隱私比較協(xié)議(SQPC)，它允許兩個(gè)經(jīng)典參與者在半誠實(shí)TP的幫助下比較他們的秘密消息是否相同。

通過上述分析，可以確保所提出的SQPC協(xié)議的正確性和安全性。此外，本文協(xié)議具有比文獻(xiàn)[44]協(xié)議、文獻(xiàn)[45]協(xié)議、文獻(xiàn)[46]協(xié)議更高的量子比特效率，但是缺點(diǎn)在于量子糾纏態(tài)的產(chǎn)生更加不容易實(shí)現(xiàn)。