一种基于量子行走的多方量子秘密共享方法及系统与流程

1.本发明属于量子信息共享技术领域，具体涉及一种基于量子行走的多方量子秘密共享方法及系统。


背景技术：

2.秘密共享的思想将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，除非有足够多的授权参与者合作，否则秘密信息无法恢复。秘密共享的目的是阻止秘密过于集中，以达到分散风险和容忍入侵的目的，是信息安全和数据保密中的重要手段。秘密共享技术的关键怎样更好的设计秘密拆分方式和恢复方式。1998年，在经典秘密共享机制概念的基础上，hillery等人[1]利用ghz三粒子态的量子纠缠关联性设计了一个量子秘密共享(qss)方案。此后，学者们对qss进行了大量有意义的研究。
[0003]
近年来，随着量子信息技术的不断进步，量子秘密共享技术的安全性不断增强，可制备的量子纠缠维度也不断提高，可共享的秘密消息容量不断增大。zha等人[2]通过六粒子ghz纠缠态和测量，设计了两个三方量子秘密共享协议，较大的提高了三方秘密共享的效率。基于拉格朗日酉算子、旋转酉算子，song等人[3]提出了一种多方量子秘密共享方案。类似的，jiang等人[4]利用八粒子纠缠态设计了多方量子秘密共享协议，此协议可以验证恢复的秘密消息的正确性。由于验证环节需要量子资源，所以此方法的效率不高。2021年，li等人[5]提出了一个基于量子游走的可信认证过程的量子秘密共享方案，该方案可以有效地防止参与者的攻击。
[0004]
现有的量子秘密共享技术还存在以下几个不足之处：1）现有量子秘密共享的效率有待提高：现有技术普遍采用多粒子纠缠态原理共享密钥，这类方法需要制备纠缠态后再分发，尤其是在多人共享秘密时，量子资源消耗大，信息共享的效率低[2,3,4]；2）一些秘密共享技术只适用于三方参与共享，缺乏扩展性[2]；3）在现实情况下，一些参与者可能被冒充或一些认证的参与者可能提供虚假的共享份额，协议缺少秘密验证在重建原始秘密时都可能会受到干扰[3,4]。
[0005]
参考文献[1]ahhillery, m. , nek, v. ~. , & berthiaume, a. . （1999）. quantum secret sharing. quant
‑
ph/9806063, 59（3）, 1829
‑
1834.aronov d, ambainis a, kempe j, et al. quantum walks on graphs[d]. new york, ny, usa: association for computing machinery, 2000.[2]zha x w, jiang r x, wang m r. two schemes of multiparty quantum direct secret sharing via a six
‑
particle ghz state[j]. communications in theoretical physics, 2020,72（2）:25102.[3]song x l, liu y b, xiao m, et al. a verifiable （t, n） threshold quantum state sharing scheme on ibm quantum cloud platform[j]. quantum information processing, 2020,19（9）:337.
[4]jiang s h, liu z h, lou x p, et al. efficient verifiable quantum secret sharing schemes via eight
‑
quantum
‑
entangled states[j]. international journal of theoretical physics, 2021,60（5）:1757
‑
1766.[5]li m, shang y. entangled state generation via quantum walks with multiple coins[j]. npj quantum information, 2021,7（1）:70。


技术实现要素：

[0006]
本发明要解决的技术问题是针对现有技术的不足而提供一种高效的基于量子行走的多方量子秘密共享方法及系统。
[0007]
为解决上述技术问题，本发明的内容包括：一种基于量子行走的多方量子秘密共享方法，包括如下步骤：s1：对于长度为的秘密信息，秘密分发者alice首先在环上构建个量子游走子系统，执行步量子游走产生用于秘密共享的纠缠态，其中为秘密参与者的个数；所述步骤s1具体包括以下步骤：s11：秘密分发者alice在四顶点的环上构建个量子游走子系统，表示为：其中，，序列作为hilbert位置空间，序列作为hilbert硬币空间；序列初始化为alice拟共享的秘密消息，序列初始化为alice拟共享的另一个秘密消息，其中；序列都初始化为；s12：在构建的量子游走子系统中，秘密分发者alice在和粒子上执行酉变化：秘密分发者alice在和粒子上执行酉变化：其中，，为由hilbert位置空间和hilbert硬币空间组成的复合希尔伯特空间；步量子游走执行结束后，hilbert位置空间和hilbert硬币空间产生了纠缠；s2：秘密分发者alice拆分秘密份额分发给秘密参与者，由秘密分发者alice和秘密参与者共同执行窃听检测，并在通过窃听检测后，秘密参与者将测量结果发送给可信的秘密参与者；
s3：秘密分发者alice随机抽取一部分测量结果作为样本进行验证，验证通过之后可信的秘密参与者恢复出全部原始秘密消息。
[0008]
进一步的，所述步骤s1中，量子游走发生在由顶点张成的hilbert位置空间和各有向边张成的hilbert硬币空间组成的复合希尔伯特空间中，表示为：作用在hilbert位置空间和hilbert硬币空间之间的条件转移算符表示为：其中，是作用在hilbert位置空间中的移位算子，是的厄米共轭算子，；是作用在hilbert硬币空间中第个硬币上的控制算子。
[0009]
进一步的，所述步骤s1中，对于一个包含四个顶点的环，各顶点标记为，构成量子游走的hilbert位置空间；每个顶点拥有两条有向边指向其他顶点，分别标记为，构成的hilbert硬币空间；作用在该hilbert位置空间和hilbert硬币空间之间的条件转移算符表示为：抛掷第个硬币时的酉变换表示为：其中，是作用在hilbert硬币空间中第个硬币上的操作；所述操作为pauli矩阵、hadamard门或者量子傅里叶变换。
[0010]
进一步的，所述步骤s2具体包括以下步骤：s21：秘密分发者alice把所有粒子分成个序列，表示为：秘密分发者alice从中随机选取个长度为的诱骗态序列，alice将序列分别插入到个诱骗态序列中，得到序列；然后alice将序列发送给；
s22：秘密分发者alice和秘密参与者共同检查量子通道的安全性：当收到序列消息之后，alice公布每个序列中个样本诱骗态的位置和对应的测量基，宣布个样本诱骗态的测量结果；alice比较量子比特错误率和阈值，如果错误率高于阈值，alice通知传输过程中存在窃听攻击者，要求重新启动协议；反之，alice公布其余个诱骗态粒子的位置；去掉序列中所有诱骗态粒子得到秘密份额序列；s23：秘密参与者用基测量秘密份额序列中的粒子得到测量结果，用基测量秘密份额序列中的粒子得到测量结果，用基测量秘密份额序列中的粒子得到测量结果；测量结束后使得秘密消息的信息塌缩到手中的粒子上，随后通过安全的量子信道将测量结果发送给。
[0011]
进一步的，所述步骤s3具体包括以下步骤：s31：秘密分发者alice根据参与者的人数和共享的秘密消息设置参数序列并使用qkd协议将所有秘密份额发送给；s32：秘密参与者收集到所有秘密份额后，秘密分发者alice随机抽取秘密消息的一部分作为验证样本；alice要求对照相应的秘密份额信息对照表恢复对应位置的秘密消息并公布，进行秘密正确性验证；如果alice发现恢复的样本秘密消息与原始秘密消息不同，alice认为存在不诚实的参与者提供了虚假的秘密份额，则终止协议；否则继续本次协议；s33：秘密参与者继续根据秘密份额信息对照表恢复剩余的秘密消息，恢复alice共享的所有原始秘密消息。
[0012]
进一步的，所述步骤s31中，当为奇数时，秘密消息时设置，秘密消息时设置；当为偶数时，秘密消息时设置，秘密消息时设置。
[0013]
进一步的，所述步骤s32中，当为奇数时，秘密参与者恢复出样本秘密消息：并且时，并且时，并且时，并且时；当为偶数时，秘密参与者恢复出样本秘密消息：并且时，并且时，并且
时，并且时。
[0014]
本发明还提供了一种量子通信控制系统，其实施了所述基于量子行走的多方量子秘密共享方法。
[0015]
本发明还提供了一种量子秘密共享系统，其实施了所述基于量子行走的多方量子秘密共享方法。
[0016]
本发明的有益效果是：本发明运用环上量子行走原理，实现了量子行走多方秘密共享。与现有的量子秘密共享技术比较，（1）本发明适用于三方和多方秘密共享，参与者人数可扩展；（2）本发明可以验证秘密消息的正确性；（3）本发明可以抵御来自外部的拦截重发攻击、纠缠攻击和来自内部的伪造攻击、合谋攻击；（4）在确保安全性的前提下，将三方秘密共享的效率提高到50%，n方秘密共享的效率提高到。
附图说明
[0017]
图1是在四顶点环上的转换规则图；图2是多硬币量子游走线路图；图3是n方协议量子游走线路图；图4是，和情况下成功猜测出秘密消息的概率对比图；图5是四种可扩展至多方方案的效率对比图。
具体实施方式
[0018]
为便于理解本发明，下面结合附图和具体实施方式对本发明作进一步详细的说明。本领域技术人员应该明了，所述实施例仅仅是帮助理解本发明，不应视为对本发明的具体限制。
[0019]
本发明中，秘密分发者alice要将长度为的秘密信息拆分，拆分后的每一个份额交由个秘密参与者共同管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息；确保其中至少一个参与者是可信的参与者。本发明提供的基于量子行走的多方量子秘密共享方法包括三个阶段：初始化阶段、秘密共享与窃听检测阶段和秘密恢复与验证阶段。
[0020]
步骤s1，初始化阶段：在该阶段，对于长度为的秘密信息，秘密分发者alice首先在环上构建个量子游走子系统，执行步量子游走产生用于秘密共享的纠缠态，其中为秘密参与者的个数；环上的量子游走：基于图的量子游走模型的定义由aharonov等人在文献中给出，brun等人首次提出了多硬币量子游走，wang等人将量子游走的不同模型成功应用到了量子隐形传输中。量子游走发生在由顶点张成的hilbert位置空间和各
有向边张成的hilbert硬币空间组成的复合希尔伯特空间中，表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（1）作用在hilbert位置空间和hilbert硬币空间之间的条件转移算符表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（2）其中，是作用在hilbert位置空间中的移位算子，是的厄米共轭算子，；是作用在hilbert硬币空间中第个硬币上的控制算子。
[0021]
如图1所示，对于一个包含四个顶点的环，各顶点标记为，构成量子游走的hilbert位置空间；每个顶点拥有两条有向边指向其他顶点，分别标记为，构成的hilbert硬币空间；作用在该hilbert位置空间和hilbert硬币空间之间的条件转移算符表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（3）抛掷第个硬币时的酉变换表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（4）其中，是作用在hilbert硬币空间中第个硬币上的操作，如为pauli矩阵、hadamard门或者量子傅里叶变换等。多硬币量子游走线路如图2所示。
[0022]
进一步的，步骤s1中具体包括以下步骤：s11：秘密分发者alice在四顶点的环上构建个量子游走子系统，表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（5）其中，，序列作为hilbert位置空间，序列作为hilbert硬币空间；序列初始化为alice拟共享的秘密消息，序列初始化为alice拟共享的另一个秘密消息，其中；序列都初始化为；s12：在构建的量子游走子系统中，秘密分发者alice令公式（4）中，在和粒子上执行酉变化：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（6）秘密分发者alice令公式（4）中，在和粒子上
执行酉变化：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（7）步量子游走执行结束后，hilbert位置空间和hilbert硬币空间产生了纠缠。具体的量子游走线路图如图3所示。
[0023]
步骤s2，秘密共享与窃听检测阶段：在该阶段，秘密分发者alice拆分秘密份额分发给秘密参与者，由秘密分发者alice和秘密参与者共同执行窃听检测，并在通过窃听检测后，秘密参与者将测量结果发送给可信的秘密参与者。
[0024]
进一步的，步骤s2具体包括以下步骤：s21：秘密分发者alice把所有粒子分成个序列，表示为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（8）秘密分发者alice从中随机选取个长度为的诱骗态序列，alice将序列分别插入到个诱骗态序列中，得到序列；然后alice将序列发送给；s22：秘密分发者alice和秘密参与者共同检查量子通道的安全性；当收到序列消息之后，alice公布每个序列中个样本诱骗态的位置和对应的测量基，宣布个样本诱骗态的测量结果；alice比较量子比特错误率和阈值，如果错误率高于阈值，alice通知传输过程中存在窃听攻击者，要求重新启动协议；反之，alice公布其余个诱骗态粒子的位置；去掉序列中所有诱骗态粒子得到秘密份额序列；s23：秘密参与者用基测量秘密份额序列中的粒子得到测量结果，用基测量秘密份额序列中的粒子得到测量结果，用基测量秘密份额序列中的粒子得到测量结果；测量结束后使得秘密消息的信息塌缩到手中的粒子上，随后通过安全的量子信道将测量结果发送给。
[0025]
步骤s3，验证与秘密恢复阶段：在该阶段，秘密分发者alice随机抽取一部分测量结果作为样本进行验证，验证通过之后可信的秘密参与者恢复出全部原始秘密消息。
[0026]
进一步的，步骤s3具体包括以下步骤：s31：秘密分发者alice根据参与者的人数和共享的秘密消息设置参数序列并使用qkd协议将所有秘密份额发送给。当为奇数时，秘密消息时设置，秘密消息时设置；当为偶数时，秘密消息时设置，秘密消息时设置。
[0027]
s32：秘密参与者收集到所有秘密份额后，秘密分发者alice随机抽取秘密消息的一部分作为验证样本；alice要求对照相应的秘密份额信息对照表恢复对应位置的秘密消息并公布，进行秘密正确性验证；如果alice发现恢复的样本秘密消息与原始秘密消息不同，alice认为存在不诚实的参与者提供了虚假的秘密份额，则终止协议；否则继续本次协议。
[0028]
当为奇数时，秘密参与者利用下面的秘密份额信息对照表（表1）恢复出样本秘密消息；当为偶数时，秘密参与者对照下面的秘密份额信息对照表（表2）恢复出样本秘密消息。
[0029]
需要注意的是，根据参与者人数不同，恢复秘密消息的秘密份额信息对照表不同。当时，秘密参与者对照下面的秘密份额信息对照表（表3）恢复出样本秘密消息；当时，秘密参与者对照下面的秘密份额信息对照表（表4）恢复出样本秘密消息。
[0030]
表1 当为奇数时，恢复秘密消息的秘密份额信息对照表表2 当为偶数时，恢复秘密消息的秘密份额信息对照表表3 当时，恢复秘密消息的秘密份额信息对照表
表4 当时，恢复秘密消息的秘密份额信息对照表s33：秘密参与者继续根据秘密份额信息对照表恢复剩余的秘密消息，恢复alice共享的所有原始秘密消息。
[0031]
一种量子通信控制系统，其实施了上述基于量子行走的多方量子秘密共享方法。
[0032]
一种量子秘密共享系统，其实施了上述基于量子行走的多方量子秘密共享方法。
[0033]
下面结合安全性分析对本发明做进一步的描述。
[0034]
以三方秘密共享为例，分析本发明对内部攻击以及外部攻击的安全性。
[0035]
假设存在外部攻击者eve试图窃取秘密份额或者秘密消息，存在部分内部攻击者试图独立恢复出秘密消息。
[0036]
（一）外部攻击第一种：拦截重发攻击为了在不被发现的情况下获得部分秘密信息，外部攻击者eve截取通信中、和量子序列，对其进行测量后根据测量结果重新准备量子序列发送给、和。然而，在发送时采用诱骗态的方法可以有效抵抗该攻击。在、和量子序列中包含
个秘密份额粒子和个诱骗态粒子。eve从每个截获的量子序列中随机选择个粒子进行测量，那么选中诱骗态粒子的概率为。当eve使用不同的测量基测量截获的粒子时，他选择错误的测量基的概率为。如果eve使用错误的测量基测量截获的粒子，那么他的窃听行为会被alice发现。对于个诱骗态粒子中随机选取个样本诱骗态粒子进行窃听检测，eve被发现的概率为
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（9）eve被发现的概率随着的增加而增加，当足够大时，eve被发现的概率趋近于100%。
[0037]
第二种：纠缠攻击为了避免测量量子序列，外部攻击者eve可以发动纠缠攻击来获得一些有价值的信息。eve利用辅助粒子与拦截的量子序列进行纠缠，然后对其执行酉操作，其中酉操作满足。eve保留辅助粒子将截获的量子序列发送出去。在授权的参与者执行测量之后，eve对辅助粒子进行测量，尝试获取有价值的信息。然而，在协议中使用了诱骗态防止窃听。eve在不改变量子态的情况下，不能区分诱骗态粒子。具体纠缠攻击分析如下：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（10）其中，是可以被eve区分的4个态。如果诱骗态为或者，为了不改变量子态，eve必须保证等式（11）成立。
[0038]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（11）同样，为了不改变诱骗态或者，eve必须保证等式（12）成立。
[0039]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（12）
其中表示零向量。由公式（11）和（12）可以推断。这意味着，eve无法通过纠缠辅助粒子获得任何有效的秘密信息。换言之，为了区分诱骗态，eve执行酉操作时将不可以避免地引入干扰。然而，这在窃听检测阶段会被alice发现。
[0040]
（二）内部攻击第一种：伪造攻击在方案的重构阶段，一些不诚实的参与者可以提供伪造的秘密份额独自恢复出秘密消息。对于秘密消息，如果是不诚实的参与者，他可以公布虚假的秘密份额，比如实际测量结果，他公布虚假的测量结果。当使用虚假的秘密份额恢复出秘密消息并公布后，可以推断出的信息，从而独自恢复出正确的秘密消息。然而，在秘密恢复与验证阶段，alice会随机选取个样本粒子进行验证。若恢复的样本秘密消息与原始秘密消息不同，那么alice会发现存在不诚实的参与者提供了虚假的秘密份额。其中，被发现的概率为，随着的增大被发现的概率将趋近于100%。对于秘密消息，由于只有拥有的粒子包含了最终恢复秘密消息的量子位，所以其余参与者不可能通过提供伪造的秘密份额独自恢复秘密消息。
[0041]
第二种：合谋攻击此外，实际情况中可能存在多个不诚实的参与者，它们试图合谋执行攻击（即合谋攻击）。例如，在最坏情况下只有是诚实的，而和都是不诚实的参与者。也就是说，和试图在没有合作下密谋执行一次攻击来获取共享的秘密。然而，由于所提出的量子秘密共享方案中alice将所有光子分配给了参与者而不保留任何东西，因此和不知道手中的秘密份额。对于秘密消息，有50%的概率猜对秘密份额。假设个秘密粒子中有个被正确猜测，那么通过统计数据可以定量评估成功猜测出所有秘密消息的概率。
[0042]
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（13）其中
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（14）图4给出了，和情况下成功猜测出所有秘密消息的概率。从图4中可以发现成功的最大概率随着的增大而减小，因此无法通过猜测推断出所有秘密消息。也就是说，我们的量子秘密共享协议只要存在一个诚实的参与者对于1个或者多个不诚实参与者的合谋攻击仍然是安全的。
[0043]
对于秘密消息，由于只有拥有的粒子包含了最终恢复秘密消息
的量子位，所以和在没有的帮助下不可能恢复出该秘密消息。
[0044]
下面结合效率与对比分析对本发明做进一步的描述。
[0045]
在量子秘密共享协议中，效率被定义为：
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
（15）其中表示秘密消息的数量，表示在量子信道中传输的量子比特数量，表示在经典信道中参与者之间传输的比特数量。此定义省略了建立代码或防止和检测窃听所需的经典信息，因为它被假定为一个常数，与传输的秘密比特数相比可以忽略不计。在三方秘密共享方案中，为了共享比特消息，alice需要发送量子比特消息给、和。为了恢复秘密消息，参与者之间需要传输比特消息，三方秘密共享方案的效率为50%，多方秘密共享方案的效率为。
[0046]
本发明方案从协议主要原理、是否可扩展至多方、秘密是否可验证、三方秘密共享的效率以及多方秘密共享的效率方面与zha（2020年）、song（2020年）、jiang（2021年）和li（2021年）所提方案进行比较，比较结果见表5。为了更直观地展示比较的结果，在li方案中，取的情况。四种可扩展至多方秘密共享方案的效率对比图如图5所示。很明显，本协议在同时满足可扩展和秘密可验证的基础上，三方秘密共享和多方秘密共享的效率都有较大提升。因此，本发明所提出的协议优于现有的协议。
[0047]
表5 现有几个秘密共享比较尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。