王躍, 張可佳, 韓睿

(1 黑龍江大學(xué)數(shù)學(xué)科學(xué)學(xué)院, 黑龍江 哈爾濱 150080;2 黑龍江大學(xué)黑龍江省復(fù)雜系統(tǒng)與計(jì)算重點(diǎn)實(shí)驗(yàn)室, 黑龍江 哈爾濱 150080;3 黑龍江大學(xué)密碼與網(wǎng)絡(luò)安全研究院, 黑龍江 哈爾濱 150080)

0 引 言

密碼學(xué)作為保護(hù)信息安全的理論基礎(chǔ),受到了研究者的廣泛關(guān)注。經(jīng)典的密碼技術(shù)大多是基于大整數(shù)分解、離散對(duì)數(shù)等數(shù)學(xué)難題來(lái)確保安全性。隨著量子計(jì)算的發(fā)展,上述問(wèn)題可以由部分量子算法在多項(xiàng)式時(shí)間內(nèi)解決,例如Shor 算法可以在多項(xiàng)式時(shí)間完成大整數(shù)分解[1],Grover 算法可以加速亂序搜索問(wèn)題的求解[2]。為了保證密碼協(xié)議在量子攻擊下的安全性,研究人員將量子理論直接應(yīng)用于密碼問(wèn)題的研究中,并相繼提出了量子密鑰分配[3?5]、量子安全多方計(jì)算[6?8]等量子密碼研究方向。

量子保密求和是量子安全多方計(jì)算的基礎(chǔ)內(nèi)容,由Heinrich 在2002 年首次提出[9],其可以概括為:假設(shè)有n個(gè)參與者P1,P2,··· ,Pn,每個(gè)參與者Pi手中都有一個(gè)秘密信息xi(i=1,2,··· ,n),所有參與者要在不泄露自己秘密信息xi的情況下計(jì)算出n∑i=1xi。研究人員提出了實(shí)現(xiàn)量子保密求和協(xié)議的不同方案,如:2007 年,Du 等[10]利用一組非正交單光子態(tài),計(jì)算了n個(gè)參與者的秘密信息在模n+1 情況下的和;2010年,Chen 等[11]利用|+〉、|?〉態(tài)與多粒子糾纏態(tài)之間的糾纏交換來(lái)實(shí)現(xiàn)求和;2014 年,Zhang 等[12]在半誠(chéng)實(shí)第三方下通過(guò)對(duì)具有極化和空模自由度的單光子執(zhí)行酉操作實(shí)現(xiàn)求和;2019 年,Gu 等[13]發(fā)現(xiàn)文獻(xiàn)[12]中的協(xié)議不能抵抗截?cái)?重發(fā)攻擊,因此對(duì)其進(jìn)行了改進(jìn);2015 年,Zhang 等[14]通過(guò)六粒子糾纏態(tài)共享密鑰來(lái)實(shí)現(xiàn)三方求和;2016 年,Shi 等[15]提出基于量子傅里葉變換的多方求和與求乘積;2017 年,Liu等[16]通過(guò)Bell 態(tài)和酉操作實(shí)現(xiàn)了求和,Zhang 等[17]提出了通過(guò)單粒子共享密鑰實(shí)現(xiàn)多方求和。隨后,量子保密求和協(xié)議所利用的載體開(kāi)始向高維度拓展,如d維n粒子糾纏態(tài)[18,19]、d維cat 態(tài)[20,21]、d維相互無(wú)偏基[22?24]。

不難發(fā)現(xiàn),上述協(xié)議中所有參與者都具備全部的量子能力,即參與者既能對(duì)粒子進(jìn)行測(cè)量也能對(duì)粒子執(zhí)行酉操作。為了提高可實(shí)現(xiàn)性,本文假設(shè)只有量子中心具有全部的量子能力,非量子中心的參與者只具有部分量子能力,即他們只能執(zhí)行某種單光子測(cè)量而不執(zhí)行任何操作。在Boyer 等[25]提出的半量子概念中,具有半量子能力的參與方只能對(duì)接收的量子態(tài)執(zhí)行以下兩種操作:1)使用計(jì)算基測(cè)量粒子;2)直接反射粒子。量子中心測(cè)量型協(xié)議提出一種參與者量子能力受限情況下的協(xié)議設(shè)計(jì)模型。不難發(fā)現(xiàn),現(xiàn)有的半量子協(xié)議對(duì)于量子能力進(jìn)行了嚴(yán)格的約束,是量子中心測(cè)量型協(xié)議的一種特殊情況。具體地,本文提出的量子保密求和協(xié)議需要參與者對(duì)接收的量子態(tài)要么執(zhí)行{|0〉,|1〉}基或{|+〉,|?〉}基測(cè)量,要么直接反射粒子而不進(jìn)行測(cè)量,該協(xié)議將為量子密碼協(xié)議的實(shí)際應(yīng)用提供更多的應(yīng)用場(chǎng)景。

1 預(yù)備知識(shí)

首先介紹所提出協(xié)議中使用的三粒子GHZ 類態(tài),可表示為

2 三方量子保密求和協(xié)議

2.1 協(xié)議滿足的條件

假設(shè)有3 個(gè)參與者P1、P2和P3,每個(gè)參與者Pi(i=1,2,3)手中有一個(gè)長(zhǎng)為N的秘密串

在此協(xié)議中,參與者P1、P2和P3應(yīng)該滿足以下條件:1)P1可以制備GHZ 類態(tài)|φ〉,執(zhí)行Bell 基測(cè)量和GHZ 類態(tài)聯(lián)合測(cè)量;2)P2和P3只能執(zhí)行如下操作:用{|0〉,|1〉}基和{|+〉,|?〉}基測(cè)量粒子,或直接返回粒子不進(jìn)行任何操作。

2.2 協(xié)議具體步驟

在協(xié)議開(kāi)始前,P2、P3事先通過(guò)文獻(xiàn)[26]中的半量子密鑰分配技術(shù)共享密鑰K,其中kj為K中第j個(gè)密鑰,j=1,2,··· ,N。

2.2.1 初始階段

P1隨機(jī)制備N+2(δ+θ)個(gè)(1)式中的GHZ 類態(tài)。隨后,P1將這些量子態(tài)中的第一個(gè)粒子取出形成序列S1,第二個(gè)粒子取出形成序列S2,第三個(gè)粒子取出形成序列S3,可表示為

式中i=1,2,3。P1將序列S2發(fā)送給P2,將序列S3發(fā)送給P3。

2.2.2 隨機(jī)操作階段

1)P2接收到序列S2后,對(duì)粒子執(zhí)行以下操作中的一種:使用{|0〉,|1〉}基測(cè)量,使用{|+〉,|?〉}基測(cè)量,直接返回粒子。

P2在序列S2中任意選擇θ 個(gè)粒子,使用{|0〉,|1〉}基或{|+〉,|?〉}基測(cè)量,并通知P1和P3其所選粒子的位置和測(cè)量基,P1和P3使用相同的測(cè)量基對(duì)這θ 個(gè)位置的粒子進(jìn)行測(cè)量。然后,P2在余下粒子中任選δ 個(gè)粒子測(cè)量或反射給P1,并通知P1和P3自己所選粒子的位置。最后,P2對(duì)剩下的N個(gè)粒子使用{|0〉,|1〉}基進(jìn)行測(cè)量并記錄結(jié)果。

對(duì)應(yīng)的P3接收到序列S3后,執(zhí)行與P2相同的操作。

2)P1收到P2和P3的粒子后,對(duì)手中的粒子S1可能執(zhí)行以下操作中的一種:I 使用{|0〉,|1〉}基測(cè)量;II 使用三粒子GHZ 類態(tài)做聯(lián)合測(cè)量;III 使用Bell 基測(cè)量。

由表1 可見(jiàn),P2和P3對(duì)手中粒子進(jìn)行的操作共有四種情況:1)當(dāng)P2和P3都對(duì)手中的粒子進(jìn)行測(cè)量時(shí),P1對(duì)手中的粒子使用{|0〉,|1〉}基進(jìn)行測(cè)量;2)當(dāng)P2和P3都對(duì)粒子進(jìn)行反射時(shí),P1對(duì)收到的粒子執(zhí)行三粒子GHZ 類態(tài)聯(lián)合測(cè)量;3)當(dāng)P2對(duì)粒子進(jìn)行測(cè)量而P3對(duì)粒子進(jìn)行反射時(shí),P1對(duì)自己手中的粒子和反射回來(lái)的粒子進(jìn)行Bell 基測(cè)量;4)當(dāng)P3對(duì)粒子進(jìn)行測(cè)量而P2對(duì)粒子進(jìn)行反射時(shí),P1同樣對(duì)自己手中的粒子和反射回來(lái)的粒子進(jìn)行Bell 基測(cè)量。

表1 參與者執(zhí)行的相關(guān)操作Table 1 Related operation performed by participants

2.2.3 安全檢測(cè)階段

對(duì)于情況1) 中使用{|0〉,|1〉} 基或{|+〉,|?〉} 基測(cè)量的θ 個(gè)粒子,P1公布初始制備的|φ〉的形式,每個(gè)Pi公布測(cè)量結(jié)果。若使用{|+〉,|?〉}基測(cè)量粒子,則每個(gè)參與者的測(cè)量結(jié)果應(yīng)符合|φ〉的形式;若使用{|0〉,|1〉}基測(cè)量,每個(gè)Pi的測(cè)量結(jié)果的和應(yīng)該等于0。如果得到的結(jié)果不符合上述情況,則說(shuō)明P1不誠(chéng)實(shí),協(xié)議終止。

對(duì)于情況2)中P1進(jìn)行三粒子GHZ 類態(tài)聯(lián)合測(cè)量的粒子,若測(cè)量結(jié)果與初始制備的量子態(tài)相同,則協(xié)議繼續(xù),反之協(xié)議終止。

2.2.4 計(jì)算求和結(jié)果

參與者Pi首先使用{|0〉,|1〉}基測(cè)量粒子的量子態(tài),并將測(cè)量結(jié)果Ri公布給P1,這里

3 協(xié)議分析與討論

3.1 正確性

本節(jié)將通過(guò)實(shí)例分析此三方量子保密求和協(xié)議的正確性。不失一般性,令P2和P3事先共享密鑰k=1,P1的秘密為X1=1,P2的秘密為X2=0,P3的秘密為X3=1。

P1計(jì)算τ ⊕T并公布

最終,每個(gè)參與者計(jì)算τ ⊕T⊕C2⊕C3得到求和結(jié)果

顯然,τ ⊕T⊕C2⊕C3得到的結(jié)果與X1⊕X2⊕X3的結(jié)果相同,即可得到正確的求和結(jié)果。

3.2 參與者攻擊

參與者攻擊可以分為兩種:第一種是單個(gè)不誠(chéng)實(shí)參與者攻擊,第二種是多個(gè)(兩個(gè)及兩個(gè)以上)不誠(chéng)實(shí)參與者的聯(lián)合攻擊。假設(shè)大多數(shù)參與者都是誠(chéng)實(shí)的,在三個(gè)參與者的情況下只需考慮參與者的單獨(dú)攻擊即可。單個(gè)不誠(chéng)實(shí)參與者的獨(dú)立攻擊又分為以下兩種情況。

3.2.1 參與者P1 發(fā)起的攻擊

P1作為協(xié)議中量子態(tài)的制備者, 他所發(fā)起的攻擊往往比其他參與者P2(P3) 更具有危險(xiǎn)性。P1若嘗試獲得P2(P3) 的秘密信息X2(X3), 他將在第一步初始階段制備從{|0〉,|1〉} 基中選擇粒子|Fi〉, 且F1⊕F2⊕F3= 0,P1對(duì)應(yīng)地將|F2〉(|F3〉)發(fā)送給P2(P3)。在第四階段參與者P2(P3)公布C2(C3)時(shí),P1將獲得參與者的X2(X3)。當(dāng)P1發(fā)送偽造粒子|Fi〉后,P2(P3)任選一個(gè)粒子使用{|0〉,|1〉}基或{|+〉,|?〉}基測(cè)量,P1將以1/2 的概率通過(guò)檢測(cè)。在這種情況下,若有θ 個(gè)粒子用來(lái)檢測(cè),那么P1通過(guò)檢測(cè)的概率為(1/2)θ。顯然當(dāng)θ 足夠大時(shí),P1通過(guò)檢測(cè)的概率趨近于0。

3.2.2 參與者P2(P3)發(fā)起的攻擊

由此可見(jiàn),在第三步安全檢測(cè)階段,P1將以1/2 的概率得到正確的結(jié)果。若用來(lái)檢測(cè)的粒子有δ 個(gè),那么Pi被檢測(cè)到的概率為當(dāng)δ 的取值足夠大時(shí),概率趨近于1。

（2）堵漏后復(fù)漏 受到鉆具拍打、抽吸壓力、激動(dòng)壓力等壓力的波動(dòng)以及鉆井液的性能變化等影響或鄰井注采影響，導(dǎo)致進(jìn)入漏層堵漏劑松動(dòng)，漏失通道重新開(kāi)啟。

3.3 外部攻擊

需要指出的是,上述分析針對(duì)的攻擊者都是不誠(chéng)實(shí)參與者。與外部攻擊者相比,內(nèi)部參與者能夠獲得更多的資源,也具有更強(qiáng)的攻擊能力。內(nèi)部參與者的攻擊分析已經(jīng)詳述,本節(jié)將對(duì)協(xié)議在外部攻擊下的安全性進(jìn)行簡(jiǎn)要說(shuō)明。

假設(shè)存在外部竊聽(tīng)者Eve,他想要竊取參與者Pi的秘密信息Xi,那么他需要獲得參與者用來(lái)加密信息Xi的Ri。然而為了獲取Ri,Eve 發(fā)起的攻擊會(huì)改變檢測(cè)竊聽(tīng)粒子狀態(tài),從而被參與者發(fā)現(xiàn)并終止。因此,所提出協(xié)議可以有效抵抗外部攻擊。

3.4 討 論

基于三粒子GHZ 類態(tài),上文提出了一種三方量子保密求和協(xié)議。實(shí)際上,這種思想也可以擴(kuò)展到n個(gè)參與者保密求和的情況。本節(jié)將對(duì)于基于n粒子GHZ 類態(tài)的n方量子保密求和進(jìn)行討論,這里n粒子GHZ 類態(tài)的形式為

協(xié)議開(kāi)始前,P2,P3,··· ,Pn事先通過(guò)半量子密鑰分配技術(shù)共享密鑰K, 其中kj為K中第j個(gè)密鑰j=1,2,··· ,N。

1)初始階段

P1制備N+n(δ+θ)個(gè)(18)式中的n粒子GHZ 類態(tài),隨后將這些量子態(tài)中的第i粒子取出形成序列Si,并將序列Si發(fā)送給Pi。

2)隨機(jī)操作階段

Pi接收到粒子后對(duì)δ+θ 粒子隨機(jī)執(zhí)行測(cè)量或反射,對(duì)余下的N個(gè)粒子執(zhí)行{|0〉,|1〉}基測(cè)量并記錄結(jié)果,記為

3)安全檢測(cè)階段

對(duì)于每一個(gè)n粒子GHZ 類態(tài),若任意一個(gè)參與者Pi都不測(cè)量直接返回的粒子,則P1對(duì)粒子進(jìn)行n粒子GHZ 類態(tài)的聯(lián)合測(cè)量;若存在r個(gè)參與者測(cè)量粒子,則P1對(duì)余下的反射粒子執(zhí)行n?r粒子GHZ 類態(tài)測(cè)量。若錯(cuò)誤率高于預(yù)設(shè)的閾值,則終止協(xié)議;反之,協(xié)議繼續(xù)。

4)計(jì)算求和結(jié)果

參與者P2,P3,··· ,Pn計(jì)算Qi并公布

最終,每個(gè)參與者計(jì)算τ ⊕T⊕Q2⊕Q3···⊕Qn,得到求和結(jié)果。

4 結(jié) 論

基于三粒子GHZ 類態(tài)設(shè)計(jì)了一種三方量子保密求和協(xié)議,分析表明此協(xié)議可以確保正確性,并且可以抵抗參與者攻擊和外部攻擊;同時(shí),討論了如何將協(xié)議拓展到n個(gè)參與者中,提出了基于n粒子GHZ類態(tài)的n方量子保密求和協(xié)議。