基于图态和中国剩余定理的量子秘密共享方案 |
您所在的位置:网站首页 › 量子秘密共享方案有哪些 › 基于图态和中国剩余定理的量子秘密共享方案 |
基于图态和中国剩余定理的量子秘密共享方案
|
1 引言
1 引言
秘密共享是保证安全通信的一个重要途径,可以表示为一种理论上安全的密码协议,其中,一个秘密被多个参与者共享且可以通过授权参与者的合作被恢复。第一个经典秘密共享理论是由夏米尔提出的基于拉格朗日插值多项式的秘密共享方案[1],它也被称为阈值的秘密共享方案,该方案可以避免权利过度集中。随着计算机计算能力的逐步发展,尤其是量子并行算法的兴起,许多研究者逐渐开始关注量子信息领域。量子的性质,如海森堡的不确定性原理和非克隆定理,在信息领域有着重要的作用。它可以打破经典信息系统在提高处理速度方面存在的局限性,保证信息安全,提高检测精度和信息容量。1999年,马克等[2]首先提出了一种基于GHZ (Greenberger-Horne-Zeilinger)态的量子秘密共享方案(QSS,quantum secret sharing),之后,利用中国剩余定理(CRT,Chinese remainder theorem)[3,4],多方方案设计[5]和图态方案设计[6,7]一个个被提出。最近,Rahaman等[8]利用本地分辨率分析提出了一种量子秘密共享方案,Tavakoli等[9]提出了一种基于d维量子系统的秘密共享方案。目前,很多关于量子的研究已取得重大突破,例如,密钥分配[10,11]、多方通信[12]、签名[13,14]和秘密共享等。 现有的量子秘密共享方案大部分是基于 GHZ态[15,16]或者Bell态[17]的,基于图态的方案比较少。本文结合量子图态和 CRT 的性质提出一种基于量子图态和CRT的秘密共享方案。该方案的物理机制采用量子图态,经典秘密分割利用中国剩余定理。量子图态的物理结构有利于该方案的图形表示,其转移特性可以保证方案的安全。CRT是一种秘密分割的有效方法,提供了一种计算大量数据的方法,可以大大提高计算的速度和计算机的处理效率。如果一个秘密是利用CRT分割的,那么它只有通过所有参与者的合作才能被恢复。图态的转移特性、组恢复协议和CRT的高效计算性能,为通信的安全可靠提供了多重保护。 2 基本原理 2 基本原理 2.1 图态的生成 2.1 图态的生成图态可与数学图形对应,有良好的纠缠特性,且成熟的实验制备技术为其应用提供了条件。本方案是在一个有限域Fd中进行的,其中 d(d>2)是一个一阶素数。一个顶点数为n的加权无向图如式(1)所示。 G=( V,E ) ( 1 )其中,V =vi,E=eij =(vi,vj)。每一个非零边的权重为 A ij ∈ F d ,它们组成了邻接矩阵。权重为0意味着2个顶点之间不存在边。u(u∈V)的邻居数定义为度,记为N(u),计算式记为 deg=| N( u ) | ( 2 )d维图态的计算基的初始定义如式(3)所示。 |G〉= ∏ e i,j ∈E C ij A ij | 0 ¯ 〉 ⊗n ( 3 )其中, C ab |j〉 a |k〉 b = ω jk |j〉 a |k〉 b ( 4 ) | i ¯ 〉= U −1 |i〉,i∈ F d ( 5 ) U|i〉= ∑ j∈ F d ω ij |j〉,j∈ F d ( 6 ) 2.2 图态的编码过程 2.2 图态的编码过程如果每个顶点vi在有限域Fd内通过酉操作得到标签 l i =( z i , x i , s i ),其中, z i , x i , s i ∈ F d 。那么标签图态可表示为 | G l 〉= ⊗ i S i s i X i x i Z i z i |G〉 ( 7 )其中,广义泡利算符由式(8)给出。 Z|j〉= ω j |j〉 X|j〉=| j+1〉 S|j〉= ω j( j−1 )/2 |j〉 ( 8 )其中, ω =e 2πi d 。 标签图态的稳定子模式表示如式(9)所示。 K i =( X Z s i ) Z A i ( 9 )| G l 〉 满足式(10)。 K i | G l 〉= ω − z i | G l 〉,i∈V ( 10 )稳定子可以实现标签转移。但是转移标签的过程并不意味着物理上的操作或者改变图态本身,这个过程类似标签图态的重新标记,标签的变化满足定理1[18]。 定理1 假设参与者i和j是邻居。当用 K j − A ij −1 z i 测量标签图态 | G l 〉 时, | G l 〉 转变成了标签图 | G l ' 〉,其中,顶点 i 的标签重新标记为zi′ =0,顶点 j 的标签重新标记为 ( z ′ j , x ′ j )=( z j ,− A ij −1 z i ),j的每个邻居点k的标签重新标记为 z ′ k = z k − A ij −1 A jk z i 。 为了保证秘密恢复的安全性,引入了group-recovery(GR)的概念[19],为后续方案提供了理论基础。 定理2 (n+1)GHZM图态为 | g ( n+1 )GHZM 〉,其中每个顶点满足 | g ( n+1 )GHZM 〉=[ V= v 1 , v j ;E= v 1 , v j≠1 ] ( 11 )其中,每个顶点的度为 N( u )={ n, u= v i 1, u= v j ,j∈( 2,n+1 ) ( 12 )其中,v1可以被视为可信中心,vj代表参与者。顶点v、稳定子算符Kj和子秘密zj满足式(13)。 v 1 + v j → K j z j ,j∈( 2,n+1 ) ( 13 )即子秘密zj可以通过可信中心和成员j合作进行联合测量获得,这就是组恢复协议。如图1所示,可信中心和成员i可以看成一个组。 1000-436x-39-10-00072/img_85.jpg 恢复秘密的组分布 1000-436x-39-10-00072/img_85.jpg 恢复秘密的组分布
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F001
恢复秘密的组分布
当且仅当所有的子秘密都被可信中心知道时,秘密才可以通过n群组的相互合作恢复。这种情况称为全组恢复(FGR),记为n-GR。 2.3 CRT编码理论 2.3 CRT编码理论中国剩余定理是由我国古代的著名数学家孙子提出的数论中的一个重要定理,又被称作孙子定理,用于求解线性同余方程组。其在经典信息通信、现代数学、现代密码学中有着巨大的作用。中国剩余定理的定义如定理3所示[20]。 定理3 若n≥2,(m1,…,mn)≥2,且(z1,…,zn)∈Z,且gcd(m1,mn)=1对任意1≤i≤n,1≤j≤n都成立(mj与mi互素),那么下列方程组 { S= z 1 mod m 1 ⋮ S= z n mod m n ( 14 )在整数空间Z M={0,1,…,M–1}(M=m1× m2×…× mn)有解,解的形式为 S= ∑ i−1 n T i M i z i modM ( 15 )其中, M i = M m i ,Ti × M i M mod mi=1,且S≤M。 依据中国剩余定理的定义推知 { z 1 =Smod m 1 ⋮ z n =Smod m n ( 16 )分发者可以通过中国剩余定理将初始秘密拆分成n份(z1,…,zn),然后分别分发给n个参与者。当所有合法参与者共同合作时,才能将初始秘密完整地恢复出来。鉴于该算法的计算便捷,可以提高计算速度,因此,很多方案都采用该算法,如数字指纹识别、群签名或者反追踪。实用性和普遍性是中国剩余定理的2个非常重要的特征。 3 方案描述 3 方案描述方案的主题思想是要共享经典秘密序列{Sr}(Sr∈Fd)。对于每个秘密Sr,首先,分发者通过中国剩余定理将秘密Sr拆分,Z=zi(1≤i≤n+1)表示子秘密集合,n+1 表示参与人数。分组的规则是:参与者 1 和 j(2≤j≤n+1)为一组,进而所有的参与者可以被分成n组。其中,参与者1是一个可信中心,其他人为普通参与者,并且可以作为1的协助者。考虑到中国剩余定理算法和量子图态应用的空间维度,秘密的值受空间维度的限制,进行了下面的定义 d j >max m i ,d=min d j ,0 1000-436x-39-10-00072/img_86.jpg 量子秘密共享方案流程1000-436x-39-10-00072/img_86.jpg 量子秘密共享方案流程
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F002
量子秘密共享方案流程
基于3人的秘密共享方案中参与者由分发者、可信中心1、参与者2和参与者3组成,参与者2和3可以协助可信中心恢复子秘密集。 假设分发者想要在 3 个人之间共享一个秘密S(S∈Fd),为了方便叙述和分析,令 S=5,模数m1=2,m2=3,然后推知维度d=5。具体的步骤如下。 1) 秘密的划分和标记。分发者拥有初始秘密S=5,然后其通过C RT将S划分成子秘密zi,即 z 2 =5mod2=1 z 3 =5mod3=2 ( 18 )则可以得到每个参与者的标签l1=(0,0,0),l2=(1,0,0),l 3=(2,0,0)。 2) 量子图态的编码。分发者制备初始态 |G〉= ∏ e i,j ∈E C ij A ij | 0 ¯ 〉 ⊗n ,i,j∈1,2,3;n=3 ( 19 )这里Aij是一个邻接矩阵。通过量子信道传输将初始图态的粒子2和3分发送给参与者2和参与者3。传输过程的安全性由量子态的测不准原理和不可克隆性来保证的。然后,分发者将秘密编码到图态并采取与经典秘密相对应的酉操作将子秘密分发给参与者,得到的编码图态为 | G l 〉= ⊗ i Z i z i |G〉,i=1,2,3 ( 20 )基于3人的秘密共享方案中对应的稳定子为 K 1 = X 2 Z 1 Z 3 K 2 = X 2 Z 1 K 3 = X 2 Z 1 ( 21 )最后将编码图态粒子1通过量子信道发送给可信中心。将发送给参与者2和参与者3的子秘密对应的模数通过经典信道发送给可信中心。 3) 量子图态测量和秘密的恢复。依据量子图态理论,子秘密的恢复可以通过联合测量得到。基于3人的秘密共享方案中,可信中心和2通过稳定子K2测量量子态可以得到输出结果ω-1;可信中心和3 通过稳定子K3联合测量量子态可以得到结果ω-2。这样可信中心可以得到2个子秘密信息z2=1和z3=2,然后根据式(15)或 CRT 的解码规则如表1所示得到初始秘密S。 表1 表1
表1
CRT的解码规则
S z2(m1=2) z3(m 2=3) 1 1 1 2 0 2 3 1 0 4 0 1 5 1 2
doi:10.11959/j.issn.1000-436x.2018220.T001
表1
CRT的解码规则
对于多人秘密共享的方案,其步骤跟上述基于3 人的秘密共享方案类似。只是用到的量子图态计算式为 | G l 〉= ⊗ i Z i z i |G〉,1≤i≤n+1 ( 21 )相对应的稳定子为 K 1 = X 1 ∏ i=1 Z i K i = X i Z i ,i≠1 ( 22 )当恢复子秘密时,可信中心1和i(2≤i≤n+1)通过稳定子Ki进行联合测量,得到输出结果ω-zi,多人共享方案的子秘密分布如图3所示。 1000-436x-39-10-00072/img_87.jpg 参与者关系和子秘密分布 1000-436x-39-10-00072/img_87.jpg 参与者关系和子秘密分布
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F003
参与者关系和子秘密分布
4 安全性分析
4 安全性分析
量子图态、中国剩余定理、稳定子的信息转移机制以及组恢复协议,保证了所提方案的安全性。此外,参与者1是可信中心,是唯一有权利恢复秘密的人。这种机制可以有效地阻止攻击者和非诚信者非法获取信息。下面,详细分析该方案的安全性和性能。 4.1 截获–重发攻击 4.1 截获–重发攻击方案中产生的量子图态是一种特殊多粒子纠缠态,根据多粒子纠缠态的安全传输,任何方式的测量都会破坏量子图态的纠缠性,所以任何需要用到测量的监听都会被合法的参与者检测出来。假设攻击者eve采取截取重发攻击的方式,如果他想要获得秘密,必须对粒子进行测量,一旦eve粒子进行测量,就会破坏粒子的纠缠性,分发者和分发参与者之间的图态关系就会发生变化,eve 的攻击就会被检测出来。 4.2 纠缠攻击 4.2 纠缠攻击假设攻击者eve纠缠附属粒子到 | G l 〉 上,以便在后面通过观察辅助粒子的状态来获得秘密信息。 | G l 〉 纠缠附属粒子后得到 | G l+e 〉= ⊗ i Z i z i | G +e 〉,1≤i≤n+1。当可信中心和合法参与者通过Ki进行联合测量时得到 K i | G l+e 〉= X i Z i ⊗ i Z i z i | G +e 〉,1≤i≤n+1 ( 23 )由上可知,附属粒子的状态并没有改变,所以eve不能通过观察辅助粒子的状态获得秘密信息。 4.3 不诚实的参与者攻击 4.3 不诚实的参与者攻击这里考虑不诚实的参与者想通过测量得到一些信息的情况。量子图态的应用便于图形化表示,在本方案中,稳定子的形式使得信息zk与合法参与者k+1相互独立。根据图态的转移特性,单个不诚实的参与者不能通过测量获得任何信息。如图4 所示,当不诚实的参与者进行测量时,子秘密标签会转移。在标签图态中,V′通过LOCC可以获得子秘密zk,其中,V′是vk和它所有邻居的集合。值得注意的是,这种操作不改变态的本身,只是转移了标签。 以3个参与者的系统为例,设置初始化图态的标签l1=(0,0,0)、l2=(1,0,0)、l3=(2,0,0),权重都为1。具体的分析如下。可信中心1不能获得秘密,因为它与秘密相互独立。参与者2不能获得秘密,因为通过稳定子操作K1-1秘密信息可能会转移到可信中心(参与者 1)或者参与者 3。那么图态被重新标记为l1=(0,–1,0)、l2=(0,0,0)、l3=(1,0,0)。同样地,由于图态的转移特性,成员3也不能获得秘密。 z ′ 2 =0 x ′ 1 =− z 2 z ′ i = z i − z 2 (i∈(3,n)) ( 24 )多个不诚实的参与者也不能获得秘密。假设n 个成员分享秘密 S,通过 C RT,S 被分割成子秘密zi(i∈(2,n))。其他的标签值设为0,权重为1。如图5 所示,子秘密z2可以从成员 2 转移到成员1处。 由此可知,如果除了可信中心1的n–1个成员合作,他们只能获得zi–z2,由于他们不知道z2,所以他不能得到秘密 z i ( i∈( 2,n ) )。那么初始秘密S就不能被恢复。但是他们知道模数m,所以解密的概率为 P= ∏ i=1 n 1 m i = 1 M ( 25 )其中,n是所有的成员,M=m2×…× mn熵为 H( S| z 1 )=lb 1 P =lb 1 M =H( S ) ( 26 )1000-436x-39-10-00072/img_88.jpg 标记z2的转移状态 1000-436x-39-10-00072/img_88.jpg 标记z2的转移状态
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F005
标记z2的转移状态
4.4 破译分析
4.4 破译分析
假设存在一个长为R的秘密序列{Sr},r∈(1,R),攻击者eve通过一定的方法从Sr分割的子秘密序列中获得了k个子秘密,那么秘密Sr的破译概率为 P= ∏ i=2 k m evei M r ( 27 )则秘密序列的破译概率为 1000-436x-39-10-00072/img_89.jpg 参与者2执行 K 1 − A 12 −1 z 2 测量,标记z2的转移状态 1000-436x-39-10-00072/img_89.jpg 参与者2执行 K 1 − A 12 −1 z 2 测量,标记z2的转移状态
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F004
参与者2执行 K 1 − A 12 −1 z 2 测量,标记z2的转移状态
P= ∏ r=1 R ∏ i=2 k m evei M r ( 28 )
其中,mevei是eve获取的子秘密mevei相对应的模数, M r是秘密Sr对应的M值。 为了便于仿真和直观的分析,mi取值为素数,并且攻击者仅仅从一个子秘密集中获取了一个 qudit( z evei =1, m evei =2),仿真结果如图6所示。 1000-436x-39-10-00072/img_90.jpg 破译概率的仿真结果 1000-436x-39-10-00072/img_90.jpg 破译概率的仿真结果
下载压缩包
下载PPT
doi:10.11959/j.issn.1000-436x.2018220.F006
破译概率的仿真结果
从图6可以看到在M变换的情况下,R与P在呈负相关,这意味着序列长度越长,破译概率就会越小。从另一方面来看,在R变换的情况下,随着m的增加,破译概率会随之降低。另外,菱形线表示当R=1,M=2时,破译概率一直为1。因此,适当地增加秘密长度或模数会使得网络通信更安全。 4.5 性能分析 4.5 性能分析量子比特传输实现的经典比特传输的比特数越多,方案的性能越好。比特比值用Q表示,即 Q= q b q t ( 29 )其中,qt为传输的量子比特数,qb为传输qt量子比特实现经典比特传输的比特数。Q越大,效率越高。提出的方案Q值和选择的模数m 有关,对于2-GR QSS,当模数m1=2,m2=3时,根据CRT定理,秘密S最大为6,即qt=3时qb=2, Q= 2 3 。模数m越大,秘密S的最大值越大,传输3量子比特可实现经典秘密的传输的比特数越大,即qb越大。所以提出方案的比特比值 Q≥ 2 3 。文献[21]中,Q值均为 1 2 ,所以提出的方案量子比特传输实现的经典比特传输的比特数比已有的类似方案高。 5 结束语 5 结束语本文依据中国剩余定理和量子图态的结构特征,介绍了一种新型的量子秘密共享方案。方案中的编解码依赖于量子图态独有的纠缠特性及中国剩余定理。图态的结构特性使得方案得以更加清晰且具有图形表述。在方案设计中,分发者是通过中国剩余定理获取子秘密,然后编码信息到量子图态上,进而通过合适的酉操作分发粒子给合法的参与者。引用了组恢复协议,目的是更加清楚明了的表述子秘密的恢复流程及方式。通过对该方案合理的理论分析,可以看出方案具有良好的安全性及可行性。其中,秘密共享方案的安全性是由中国剩余定理、稳定子的信息转移机制以及新型的秘密恢复策略来保障的。中国剩余定理的便捷性和高效性及图态的转移特性使该方案可应用于量子网络密码共享及量子签名、认证。 The authors have declared that no competing interests exist. 作者已声明无竞争性利益关系。 |
【本文地址】