一种灵活的基于五粒子簇态的隐私比较协议

摘要

本发明公开了一种灵活的基于五粒子簇态的隐私比较协议，半可信第三方TP随机选择|Ψ5>态或|Ф5>态制备一个有序的五粒子簇态序列；TP制备探测光子随机处于态|0>,|1>,|+>,|?>；TP公布最初制备的簇态序列中的每个簇态是|Ψ5>态还是|Ф5>态；分别计算XA*＝XA⊕KA,XB*＝XB⊕KB,XC*＝XC⊕KC和XD*＝XD⊕KD；Al ice根据规则，将XA*转换为粒子序列SA*；Bob和Di ck分别公布CAB(CAB＝XB*⊕XA*)和CCD(CCD＝XD*⊕XC*)；TP比较隐私是否相等。本发明的协议更灵活更高效，不仅可以同时比较两对用户的隐私，也可以只比较两个用户的隐私。与Chang等人的多用户隐私比较协议相比，本发明的协议在约束更少，更合理的半可信第三方条件下，也很安全，半可信第三方无法获取用户的任何隐私信息。

说明书

技术领域

本发明属于数据通信领域，尤其涉及一种灵活的基于五粒子簇态的隐私比较协 议。

背景技术

当今时代，数据通信无处不在，安全和隐私的问题已经提升到了前所未有的高度。 密码是公共环境下保证数据安全的方法。经典密码系统和量子密码都能够解决安全性的问 题。然而，后者则表现出了更高的安全性的优势，因为物理理论保证了它的强大的安全基 础。因此，量子密码已经吸引了大量的注意力。

在分布式计算中，通常，一组相互不信任的用户要执行正确的分布式计算，却不泄 漏各自的秘密输入。安全多方计算就是一个这一类的应用，也就是说，一些用户想要进行安 全多方运算，该运算需要各方秘密输入信息，但是最终各方只知道运算的结果，却无法知道 其他用户的秘密输入信息。Yao等人提出的百万富翁问题是一个典型的两方计算问题，两个 百万富翁想要比较哪个更富有一些，但是却不想泄露各自的财产数目。后来Boudot等人扩 展了百万富翁问题，并且提出了一个判定两个富翁是否同样富有的协议。设想，两个百万富 翁想要知道他们是否恰好拥有同样多的财富(即同样富有)，但却不想通过公布财富的方式 来得到结果，也就是说他们不想让包括对方在内的任何人知道他们到底有多少财富，这个 问题就被称为“隐私比较”或“隐私是否相等的比较”，它是安全多方计算的一个分支，并且 近年来吸引了大量的注意。然而，Lo等人指出在一个两方用户的场景下的隐私比较是不安 全的。因此，想要成功实现安全的隐私比较，一些额外的假设需要被考虑进去，比如半可信 的第三方TP。

量子隐私比较是隐私比较问题的量子解决方案。2009年，Yang等人首次提出了量 子隐私比较方案。后来，一些基于不同量子状态的量子隐私比较方案被提出。Chen等人利用 三粒子GHZ(Greenberger-Horne-Zeilinger)态提出了一个量子隐私比较协议。然而，Lin等 人指出，窃听者可以通过拦截重发攻击手段获取对方的机密信息，因为在窃听检测阶段检 查粒子的位置和测量基由参与者确定。Lin等人针对这种攻击提出了两种解决方案，例如， 他们让第三方确定检查粒子的位置和测量基。Liu等人分别基于三粒子W态,四粒子χ-Type 态纠缠交换,Bell态和三粒子GHZ态的量子隐私比较协议。噪音环境下的量子隐私比较协议 的研究最早是由Li等人提出的。Huang等人也在噪音下研究了量子隐私比较方案。总的来 说，已有的大部分量子隐私比较协议都至少有一个半可信的第三方TP来帮助双方(Alice和 Bob)实现隐私比较。这种半可信的第三方TP被称之为第一种TP，这种TP会忠实的执行协议， 记录所有的中间计算的结果，但他可能试图从记录中窃取信息，这种TP被Yang等人认为是 不合理的。他们建议，第一种TP应该由实现一个半诚实的TP来代替(第二种TP)，第二种TP允 许自己通过各种主动或被动攻击来获取秘密信息，却不能与双方合谋，这是目前在隐私比 较协议中较为合理的对TP的假设。此外，隐私比较协议还需要满足两个规则：第一个是无论 TP是否知道被比较信息中不同值的位置，他都不能知道这一位的具体值；第二个是所有外 部窃听者以及参与者只应该知道比较的结果，不应该知道不同信息的位置。

大多数已有的量子隐私比较协议只能同时比较两个用户的隐私。很少有量子隐私 比较协议可以实现一次比较多于两个用户的隐私信息。Chang等人首次提出了一个可以同 时比较n个用户的隐私的协议，然而在Chang等人的协议中有关半可信第三方的约束条件非 常严格，他们要求半可信第三方诚实的执行协议，记录数据，不和他人合谋，但是半可信第 三方可以通过研究记录的数据来提取有用信息，事实上，这样的半可信第三方已经几乎接 近于完全可信的第三方，Yang等人指出这样的半可信第三方的定义是不合理的。Yang等人 给出了一个更加合理的半可信第三方的定义：半可信第三方除了不和他人合谋之外，可以 通过任何主动或被动攻击的方式获取各用户的隐私信息。发现如果将Chang等人的多用户 隐私比较协议放在这种约束更少，更合理的半可信第三方条件下，协议就变得完全不安全， 半可信第三方可以很容易的获取所有用户的隐私，并且不会被发现。协议中基于五粒子簇 态实现了一个量子隐私比较方案，在此之前没有发现基于五粒子簇态的量子隐私比较协议 的报道。与已有的两用户隐私比较协议相比，协议更灵活更高效。协议不仅可以同时比较两 对用户的隐私，也可以只比较两个用户的隐私。与Chang等人的多用户隐私比较协议相比， 协议在约束更少，更合理的半可信第三方条件下，也很安全，半可信第三方无法获取用户的 任何隐私信息。

参考文献：

[1]Yao,C.:ProtocolsforSecureComputations.inProc.Of23rdIEEE SymposiumonFoundationsofComputerScience,Chicago160(1982)

[2]Boudot,F.,Schoenmakers,B.,Traore,J.:Afairandefficientsolution tothesocialistmillionaires>problem.DiscreteAppl.Math.111,23(2001)

[3]Lo,H.K.:Insecurityofquantumsecurecomputations.Phys.Rev.A56, 1154(1997)

[4]Yang,Y.G.,Wen,Q.Y.:Anefficienttwo-partyquantumprivate comparisonprotocolwithdecoyphotonsandtwo-photonentanglement.JPhysA- MathTheor42,055305(2009)

[5]Chen,X.B.,Xu,G.,Niu,X.X.,Wen,Q.Y.,Yang,Y.X.:Anefficientprotocol fortheprivatecomparisonofequalinformationbasedonthetriplet entangledstateandsingle-particlemeasurement.Opt.Commun.283,1561(2010)

[6]Lin,J.,Tseng,H.Y.,Hwang,T.:Intercept-resendattacksonChenet al.’squantumprivatecomparisonprotocolandthe improvements.Opt.Commun.284,2412(2011)

[7]Gao,F.,Guo,F.Z.,Wen,Q.Y.,Zhu,F.C.:Commenton“Experimental DemonstrationofaQuantumProtocolforByzantineAgreementandLiar Detection”.Phys.Rev.Lett.101,208901(2008)

[8]Liu,W.,Wang,Y.B.,Jiang,Z.T.:Anefficientprotocolforthequantum privatecomparisonofequalitywithWstate.Opt.Commun.284,3160(2011)

[9]Liu,W.,Wang,Y.B.,Jiang,Z.T.,Cao,Y.Z.:AProtocolfortheQuantum PrivateComparisonofEqualitywithχ-TypeState.Int.J.Theor.Phys.51,69(2012)

[10]Liu,W.,Wang,Y.B.,Cui,W.:QuantumPrivateComparisonProtocolBased onBellEntangledState.Commun.Theor.Phys.57583(2012)

[11]Liu,W.,Wang,Y.B.:QuantumPrivateComparisonBasedonGHZ EntangledStates.Int.J.Theor.Phys.51,3596(2012)

[12]Li,Y.B.,Qin,S.J.,Yuan,Z.,Huang,W.:YingSun.Quantumprivate comparisonagainstdecoherencenoise.QuantumInfProcess12,2191(2013)

[13]Yang,Y.G.,Xia,J.,Jia,X.:Commentonquantumprivatecomparison protocolswithasemi-honestthirdparty.QuantumInfProcess12,877(2013)

[14]Li,Y.B.,Qin,S.J.,Yuan,Z.,Huang,W.,Sun,Y.:Quantumprivate comparisonagainstdecoherencenoise.QuantumInf.Process12,2191(2013)

[15]Li,Y.B.,Wang,T.Y.,Chen,H.Y.,Li,M.D.,Yang,Y.T.:Fault-Tolerate QuantumPrivateComparisonBasedonGHZStatesandECC.InternationalJournal ofTheoreticalPhysics.52,2818-2825(2013)

[16]Huang,W.,Wen,Q.Y.,Liu,B.,Gao,F.,Sun,Y.:Robustandefficient quantumprivatecomparisonofequalitywithcollectivedetectionover collective-noisechannels.SCIENCECHINA-PHYSICSMECHANICS&ASTRONOMY56,1670 (2013)

[17]Lin,S.,Sun,Y.,Liu,X.F.,Yao,Z.Q.:Quantumprivatecomparison protocolwithd-dimensionalBellstates.QuantumInf.Process12,559(2013)

[18]Liu,W.J.,Liu,C.,Wang,H.B.,Jia,T.T.:QuantumPrivateComparison.A Review.IETETECHNICALREVIEW30,439(2013)

[19]Zhang,W.W.,·Zhang,K.J.:Cryptanalysisandimprovementofthe quantumprivatecomparisonprotocolwithsemi-honestthirdparty.QuantumInf Process12,1981(2013)

[20]Chang,Y.J.,·TsaiC.W.,·HwangT.:Multi-userprivatecomparison protocolusingGHZclassstates.QuantumInfProcess12,1077(2013)

[21]Li,Y.B.,Wen,Q.Y.,Gao,F.,Jia,H.Y.,Sun,Y.:InformationleakinLiu etal.'squantumprivatecomparisonandanewprotocol.EuropeanPhysical JournalD66,110(2012)

[22]Li,Y.B.,Wen,Q.Y.,Li,Z.C.,Qin,S.J.,Yang,Y.T.:Cheatsensitive quantumbitcommitmentviapre-andpost-selectedquantumstates.Quantum InformationProcessing13,141(2014)

[23]Li,Y.B.,Ma,Y.J.,Xu,S.W.,HuangW.,Zhang,Y.S.:Quantumprivate comparisonbasedonphaseencodingofsinglephotons.InternationalJournalof TheoreticalPhysics53,3191(2014)

[24]MacWilliams,F.J.,Sloane,N.J.A.:TheTheoryofError-Correcting Codes.MathematicalLib,North-Holland(1977)

发明内容

本发明的目的在于提供一种灵活的基于五粒子簇态的隐私比较协议，旨在解决现 有的多用户隐私比较协议灵活性不高的问题。

本发明是这样实现的，一种灵活的基于五粒子簇态的隐私比较协议，所述灵活的 基于五粒子簇态的隐私比较协议包括：

协议描述为：

|Ψ₅>＝1/2(|00000>+|00111>+|11010>+|11101>)₁₂₃₄₅(1)

|Ф₅>＝1/2(|+++++>+|++--->+|--+-+>+|---+->)₁₂₃₄₅(2)

公式(1)和(2)中给出了五粒子簇态和类五粒子簇态的状态，把这两种状态中，五 个粒子1,2,3,5,4的状态表示如下：

$\left(\begin{array}{ccccc}1& 2& 3& 4& 5\\ |0>& |0>& |0>& |0>& |0>\\ |0>& |0>& |1>& |1>& |1>\\ |1>& |1>& |0>& |0>& |1>\\ |1>& |1>& |1>& |1>& |0>\end{array}\right)$or$\left(\begin{array}{ccccc}1& 2& 3& 5& 4\\ |+>& |+>& |+>& |+>& |+>\\ |+>& |+>& |->& |->& |->\\ |->& |->& |+>& |+>& |->\\ |->& |->& |->& |->& |+>\end{array}\right).$

进一步，所述的灵活的基于五粒子簇态的隐私比较协议具体步骤为：

步骤一、半可信第三方TP随机选择|Ψ₅>态或|Ф₅>态制备一个有序的五粒子簇态 序列；

步骤二、TP制备探测光子随机处于态|0>,|1>,|+>,|->，TP将探测光子分别混入粒 子1序列、粒子2序列、粒子3序列和粒子5序列；然后TP将含有探测粒子的粒子1序列、粒子2 序列、粒子3序列和粒子5序列分别发送给Alice，Bob，Charlie和Dick；TP自己保留粒子4序 列；确认Alice,Bob,Charlie和Dick已经分别收到粒子序列后，TP公布探测光子的位置和基 信息；Alice,Bob,Charlie和Dick根据信息抽取出探测光子并正确测量；

步骤三、TP公布最初制备的簇态序列中的每个簇态是|Ψ₅>态还是|Ф₅>态；如果最 初制备的是|Ψ₅>，那么Alice,Bob,Charlie和Dick就用Z基测量各自的粒子，否则用X基测 量；测量之后Alice,Bob,Charlie和Dick将会分别得到二进制的密钥K_A,K_B,K_C和K_D，规则是： 0表示|0>态或|+>态；1表示|1>态或|->态；

步骤四、Alice,Bob,Charlie和Dick的秘密隐私信息分别为X_A,X_B,X_C和X_D。Alice, Bob,Charlie和Dick分别计算X_A^*＝X_A⊕K_A,X_B^*＝X_B⊕K_B,X_C^*＝X_C⊕K_C和X_D^*＝X_D⊕K_D；

步骤五、Alice根据规则：“0”对应|0>态或|+>态，“1”对应|1>态或|->态，将X_A^*转换 为粒子序列S_A^*，Alice制备探测光子随机处于态|0>,|1>,|+>,|->，并把探测光子随机混入 S_A^*中，从而得到新的序列S_A^*’；Alice把S_A^*’发送给Bob；当Bob收到S_A^*’之后，Alice公布探测光 子的基和位置信息；Bob抽取出探测光子并正确测量，如果量子比特误码率低于某个门限 值，继续执行协议，否则终止协议；类似于Alice和Bob，Charlie形成新的序列S_C^*’发送给 Dick；Alice(Charlie)公布S_A^*(S_C^*)的基信息，Bob测量S_A^*(S_C^*)并获得X_A^*(X_C^*)，Bob(Dick)计 算X_B^*⊕X_A^*＝C_AB(X_D^*⊕X_C^*＝C_CD)；

步骤六、Bob和Dick分别公布C_AB(C_AB＝X_B^*⊕X_A^*)和C_CD(C_CD＝X_D^*⊕X_C^*)。

步骤七、TP比较隐私是否相等，同时比较X_A和X_B，以及X_C和X_D是否相等。

进一步，步骤一中TP根据制备的态是|Ψ₅>或|Ф₅>态，选择用Z基{|0>,|1>}或X基 {|+>,|->}测量所有粒子4构成的序列；TP得到一个二进制序列K，规则是：0表示|0>态或|+> 态，1表示|1>态或|->态；然后，通过将K循环左移1位、2位、3位，TP分别得到K₁、K₂、K₃；其中：

I＝|0><0|+|1><1|＝|+><+|+|-><-|,U＝iσ_y＝|0><1|–|1><0|＝|+><-|–|-><+|；

规则是：如果K(K₃,K₂,K₁)的第i位为0,TP就对粒子1序列，粒子2序列，粒子3序列， 粒子5序列的第i个粒子进行I操作，否则进行U操作。

进一步，步骤三中，K_A,K_B,K_C和K_D是真正的随机数。

进一步，所述TP灵活的比较隐私是否相等的过程如下：

TP不知道K_A,K_B,K_C和K_D；

C_AB＝X_B^*⊕X_A^*

＝X_B⊕K_B⊕X_A⊕K_A

＝X_B⊕X_A⊕(K₃⊕r₁)⊕(K⊕r₁)；

＝X_B⊕X_A⊕K₃⊕K

r₁表示在原始|Ψ₅>态或|Ф₅>态中粒子1和粒子2的测量结果；TP知道K₃和K,TP就 得到X_B⊕X_A＝C_AB⊕K₃⊕K；如果X_B⊕X_A＝0,TP就判断X_B＝X_A；

C_CD＝X_C^*⊕X_D^*

＝X_C⊕K_C⊕X_D⊕K_D

＝X_C⊕X_D⊕(K₂⊕r₂)⊕(K₁⊕r₂)；

＝X_C⊕X_D⊕K₂⊕K₁

r₂表示在原始|Ψ₅>态或|Ф₅>态中粒子3和粒子5的测量结果；由于TP知道K₂和K₁, TP就得到X_C⊕X_D＝C_CD⊕K₂⊕K₁，如果X_C⊕X_D＝0,TP就判断X_C＝X_D。

进一步，所述TP灵活的比较隐私是否相等的过程如下：TP知道K_A,K_B,K_C和K_D；

如果TP在将粒子1序列、粒子2序列、粒子3序列和粒子5序列分别发送给Alice， Bob，Charlie和Dick之前序列进行测量的话，那么TP将在Alice，Bob，Charlie和Dick得到 K_A,K_B,K_C和K_D之前就先获取到K_A,K_B,K_C和K_D；在这种情况下，TP计算X_B⊕X_A和X_C⊕X_D，但是TP无 法得知X_A,X_B,X_CandX_D。

与已有的两用户隐私比较协议相比，本发明的协议更灵活更高效；本发明的协议 不仅可以同时比较两对用户的隐私，也可以只比较两个用户的隐私。与Chang等人的多用户 隐私比较协议相比。本发明的协议在约束更少，更合理的半可信第三方条件下，也很安全， 半可信第三方无法获取用户的任何隐私信息。

附图说明

图1是本发明实施例提供的灵活的基于五粒子簇态的隐私比较协议流程图。

具体实施方式

以下结合附图对本发明做详细的描述：

作为业内的术语,Alice，Bob，Charlie和Dick指的是参与隐私比较的四个合法用 户。

如图1所示，一种灵活的基于五粒子簇态的隐私比较协议包括：

协议描述为：

|Ψ₅>＝1/2(|00000>+|00111>+|11010>+|11101>)₁₂₃₄₅(1)

|Ф₅>＝1/2(|+++++>+|++--->+|--+-+>+|---+->)₁₂₃₄₅(2)

公式(1)和(2)中给出了五粒子簇态和类五粒子簇态的状态，把这两种状态中，五 个粒子1,2,3,5,4可能的状态表示如下：

$\left(\begin{array}{ccccc}1& 2& 3& 5& 4\\ |0>& |0>& |0>& |0>& |0>\\ |0>& |0>& |1>& |1>& |1>\\ |1>& |1>& |0>& |0>& |1>\\ |1>& |1>& |1>& |1>& |0>\end{array}\right)$or$\left(\begin{array}{ccccc}1& 2& 3& 5& 4\\ |+>& |+>& |+>& |+>& |+>\\ |+>& |+>& |->& |->& |->\\ |->& |->& |+>& |+>& |->\\ |->& |->& |->& |->& |+>\end{array}\right);$

无论粒子4的状态是什么，粒子1,2有相同的状态；粒子3,5也有相同的状态；如果 粒子4处于状态|0>(|+>)，粒子1,2就会以等概率处于状态|0>或|1>(|+>或|->)；粒子3,5也 会以等概率处于状态|0>或|1>(|+>或|->)。

本发明实施例的灵活的基于五粒子簇态的隐私比较协议包括以下步骤：

S101：半可信第三方TP随机选择|Ψ₅>态或|Ф₅>态制备一个有序的五粒子簇态序 列；

S102：TP制备探测光子随机处于态|0>,|1>,|+>,|->，TP将探测光子分别混入粒子 1序列、粒子2序列、粒子3序列和粒子5序列；然后TP将含有探测粒子的粒子1序列、粒子2序 列、粒子3序列和粒子5序列分别发送给Alice，Bob，Charlie和Dick；TP自己保留粒子4序列； 确认Alice,Bob,Charlie和Dick已经分别收到粒子序列后，TP公布探测光子的位置和基信 息；Alice,Bob,Charlie和Dick根据信息抽取出探测光子并正确测量；

S103：TP公布最初制备的簇态序列中的每个簇态是|Ψ₅>态还是|Ф₅>态；如果最初 制备的是|Ψ₅>，那么Alice,Bob,Charlie和Dick就用Z基测量各自的粒子，否则用X基测量； 测量之后Alice,Bob,Charlie和Dick将会分别得到二进制的密钥K_A,K_B,K_C和K_D，规则是：0表 示|0>态或|+>态；1表示|1>态或|->态；

S104：Alice,Bob,Charlie和Dick的秘密隐私信息分别为X_A,X_B,X_C和X_D；Alice, Bob,Charlie和Dick分别计算X_A^*＝X_A⊕K_A,X_B^*＝X_B⊕K_B,X_C^*＝X_C⊕K_C和X_D^*＝X_D⊕K_D；

S105：Alice根据规则：“0”对应|0>态或|+>态，“1”对应|1>态或|->态，将X_A^*转换为 粒子序列S_A^*，Alice制备探测光子随机处于态|0>,|1>,|+>,|->，并把探测光子随机混入S_A^*中，从而得到新的序列S_A^*’；Alice把S_A^*’发送给Bob；当Bob收到S_A^*’之后，Alice公布探测光子 的基和位置信息；Bob抽取出探测光子并正确测量，如果量子比特误码率低于某个门限值， 继续执行协议，否则终止协议；类似于Alice和Bob，Charlie形成新的序列S_C^*’发送给Dick； Alice(Charlie)公布S_A^*(S_C^*)的基信息，Bob测量S_A^*(S_C^*)并获得X_A^*(X_C^*)，Bob(Dick)计算X_B^*⊕X_A^*＝C_AB(X_D^*⊕X_C^*＝C_CD)；

S106：Bob和Dick分别公布C_AB(C_AB＝X_B^*⊕X_A^*)和C_CD(C_CD＝X_D^*⊕X_C^*)；

S107：TP比较隐私是否相等，同时比较X_A和X_B，以及X_C和X_D是否相。

具体步骤为：

步骤一、半可信第三方TP随机选择|Ψ₅>态或|Ф₅>态制备一个有序的五粒子簇态 序列。TP根据他制备的态是|Ψ₅>或|Ф₅>态，选择用Z基{|0>,|1>}或X基{|+>,|->}测量所有 粒子4构成的序列；TP就得到一个二进制序列K，规则是：0表示|0>态或|+>态，1表示|1>态或 |->态；然后，通过将K循环左移1位、2位、3位，TP分别得到K₁、K₂、K₃。例如：如果K＝0001，那么 K₁＝1000，K₂＝0100等等。根据K,K₃,K₂和K₁TP分别对粒子1序列、粒子2序列、粒子3序列和粒 子5序列进行I或U操作。其中：

I＝|0><0|+|1><1|＝|+><+|+|-><-|,U＝iσ_y＝|0><1|–|1><0|＝|+><-|–|-><+|(3)

规则是：如果K(K₃,K₂,K₁)的第i位为0,TP就对粒子1序列(粒子2序列，粒子3序列， 粒子5序列)的第i个粒子进行I操作，否则进行U操作；

步骤二、TP制备一些探测光子随机处于态|0>,|1>,|+>,|->，TP将这些探测光子分 别混入粒子1序列、粒子2序列、粒子3序列和粒子5序列，然后TP将含有探测粒子的粒子1序 列、粒子2序列、粒子3序列和粒子5序列分别发送给Alice，Bob，Charlie和Dick；TP自己保留 粒子4序列；当确认Alice,Bob,Charlie和Dick已经分别收到粒子序列后，TP公布探测光子 的位置和基信息；Alice,Bob,Charlie和Dick根据这些信息抽取出探测光子并正确测量，如 果量子比特误码率低于某个门限值，继续执行协议，否则终止协议；

步骤三、TP公布最初制备的簇态序列中的每个簇态是|Ψ₅>态还是|Ф₅>态；如果最 初制备的是|Ψ₅>，那么Alice,Bob,Charlie和Dick就用Z基测量各自的粒子，否则用X基测 量；测量之后Alice,Bob,Charlie和Dick将会分别得到二进制的密钥K_A,K_B,K_C和K_D，规则是： 0表示|0>态或|+>态；1表示|1>态或|->态；

步骤四、假设Alice,Bob,Charlie和Dick的秘密隐私信息分别为X_A,X_B,X_C和X_D。 Alice,Bob,Charlie和Dick分别计算X_A^*＝X_A⊕K_A,X_B^*＝X_B⊕K_B,X_C^*＝X_C⊕K_C和X_D^*＝X_D⊕K_D；

步骤五、Alice根据规则：“0”对应|0>态或|+>态，“1”对应|1>态或|->态，将X_A^*转换 为粒子序列S_A^*，Alice制备一些探测光子随机处于态|0>,|1>,|+>,|->，并把这些探测光子 随机混入S_A^*中，从而得到新的序列S_A^*’；Alice把S_A^*’发送给Bob；

当Bob收到S_A^*’之后，Alice公布探测光子的基和位置信息；Bob抽取出探测光子并 正确测量，如果量子比特误码率低于某个门限值，继续执行协议，否则终止协议；类似于 Alice和Bob，Charlie形成新的序列S_C^*’发送给Dick。

Alice(Charlie)公布S_A^*(S_C^*)的基信息，Bob测量S_A^*(S_C^*)并获得X_A^*(X_C^*)。Bob (Dick)计算X_B^*⊕X_A^*＝C_AB(X_D^*⊕X_C^*＝C_CD)；

步骤六、Bob和Dick分别公布C_AB(C_AB＝X_B^*⊕X_A^*)和C_CD(C_CD＝X_D^*⊕X_C^*)。

步骤七、TP可以灵活的比较隐私是否相等；TP可以同时比较X_A和X_B，以及X_C和X_D是 否相等；也可以只比较其中的一对。

进一步，步骤五中，Bob(Dick)不能通过K_B推出K_A(K_D推出K_C)，因此，Bob(Dick)不能 通过X_A^*推出X_A(X_C^*推出X_C)；从而，即使Charlie,Bob和Dick(Alice,Bob和Dick)相互合谋，也 无法得到X_A(X_C)。

进一步，步骤三中，K_A,K_B,K_C和K_D是真正的随机数；TP无法通过粒子4序列的测量结 果推导出K_A,K_B,K_C和K_D；Alice,Bob,Charlie和Dick也无法根据各自的密钥推导出别人的密 钥；如果TP在将粒子1序列、粒子2序列、粒子3序列和粒子5序列分别发送给Alice，Bob， Charlie和Dick之前就对这些序列进行测量的话，那么TP将在Alice，Bob，Charlie和Dick得 到K_A,K_B,K_C和K_D之前就先获取到K_A,K_B,K_C和K_D；并且TP的行为不会被任何一个参与者发现。

进一步，TP灵活的比较隐私是否相等的过程如下：

情况一、TP不知道K_A,K_B,K_C和K_D；在这种情况下,

C_AB＝X_B^*⊕X_A^*

＝X_B⊕K_B⊕X_A⊕K_A

＝X_B⊕X_A⊕(K₃⊕r₁)⊕(K⊕r₁)(4)

＝X_B⊕X_A⊕K₃⊕K

这里,r₁表示在原始|Ψ₅>态或|Ф₅>态中粒子1和粒子2的测量结果；由于TP知道K₃和K,TP就可以得到X_B⊕X_A＝C_AB⊕K₃⊕K；如果X_B⊕X_A＝0,TP就可以判断X_B＝X_A；

C_CD＝X_C^*⊕X_D^*

＝X_C⊕K_C⊕X_D⊕K_D

＝X_C⊕X_D⊕(K₂⊕r₂)⊕(K₁⊕r₂)(5)

＝X_C⊕X_D⊕K₂⊕K₁

这里,r₂表示在原始|Ψ₅>态或|Ф₅>态中粒子3和粒子5的测量结果；由于TP知道K₂和K₁,TP就可以得到X_C⊕X_D＝C_CD⊕K₂⊕K₁。如果X_C⊕X_D＝0,TP就可以判断X_C＝X_D；

情况二、TP知道K_A,K_B,K_C和K_D；

如果TP在将粒子1序列、粒子2序列、粒子3序列和粒子5序列分别发送给Alice， Bob，Charlie和Dick之前就对这些序列进行测量的话，那么TP将在Alice，Bob，Charlie和 Dick得到K_A,K_B,K_C和K_D之前就先获取到K_A,K_B,K_C和K_D；在这种情况下，TP可以计算X_B⊕X_A和X_C⊕X_D，但是TP无法得知X_A,X_B,X_CandX_D，因此，TP无法得到各用户的秘密信息。

下面结合具体实施例对本发明的应用原理作详细的说明。

1.安全性分析

1.1TP的攻击

假设TP是半诚实的，TP既不会和任何一个人合谋，也无法通过任何主动或被动攻 击获取参与者的秘密隐私。这里TP可能实施的攻击就是：在将粒子1序列、粒子2序列、粒子3 序列和粒子5序列分别发送给Alice，Bob，Charlie和Dick之前就对这些序列进行测量。这样 的话，TP可以得到X_A,X_B,X_C和X_D。那么当Bob和Dick公布C_AB＝X_B^*⊕X_A^*和C_CD＝X_C^*⊕X_D^*之后，通 过计算X_B^*⊕X_A^*⊕K_B⊕K_A＝X_B⊕K_B⊕X_A⊕K_A⊕K_B⊕K_A＝X_B⊕X_A和X_C^*⊕X_D^*⊕K_C⊕K_D＝X_C⊕K_C⊕X_D⊕K_D⊕K_C⊕K_D＝X_C⊕X_D，TP也只能得到X_B⊕X_A和X_D⊕X_C。因此，即使放松对TP的约束条件，假设 他不会和别人合谋，TP也无法得到各用户的秘密信息。

1.2参与者的合谋攻击

下面来证明当任意三个用户在一起合谋时，本发明的协议仍然是安全的。这里以 Alice和Charlie、Dick合谋为例。

为简化证明起见，假设TP只制备了4个|Ψ₅>态或|Ф₅>态，并分别把粒子1序列、粒 子2序列、粒子3序列和粒子5序列发送给了Alice,Bob,Charlie和Dick。那么，K_A表示为k_a1, k_a2,k_a3,k_a4；K_B表示为k_b1,k_b2,k_b3,k_b4；K_C表示为k_c1,k_c2,k_c3,k_c4；K_D表示为k_d1,k_d2,k_d3,k_d4。如果 K表示为x₁,x₂,x₃,x₄；那么,K₁就表示为x₄,x₁,x₂,x₃；K₂表示为x₃,x₄,x₁,x₂；K₃表示为x₂,x₃,x₄, x₁。用r_a1,r_a2,r_a3,r_a4来表示原始|Ψ₅>态或|Ф₅>态中粒子1和粒子2的测量结果；r_c1,r_c2,r_c3, r_c4表示原始|Ψ₅>态或|Ф₅>态中粒子3和粒子5的测量结果。就有：

k_a1＝r_a1⊕x₁

k_a2＝r_a2⊕x₂

k_a3＝r_a3⊕x₃

k_a4＝r_a4⊕x₄(6)

k_b1＝r_a1⊕x₂

k_b2＝r_a2⊕x₃

k_b3＝r_a3⊕x₄

k_b4＝r_a4⊕x₁(7)

k_c1＝r_c1⊕x₃

k_c2＝r_c2⊕x₄

k_c3＝r_c3⊕x₁

k_c4＝r_c4⊕x₂(8)

k_d1＝r_c1⊕x₄

k_d2＝r_c2⊕x₁

k_d3＝r_c3⊕x₂

k_d4＝r_c4⊕x₃(9)

k_c1⊕k_c2⊕k_d1⊕k_d2＝r_c1⊕x₃⊕r_c2⊕x₄⊕r_c1⊕x₄⊕r_c2⊕x₁＝x₃⊕x₁

k_c2⊕k_c3⊕k_d2⊕k_d3＝r_c2⊕x₄⊕r_c3⊕x₁⊕r_c2⊕x₁⊕r_c3⊕x₂＝x₄⊕x₂(10)

根据公式(10),如果Charlie告知Dickk_c1⊕k_c2和k_c2⊕k_c3；Dick告知Charliek_d1⊕ k_d2和k_d2⊕k_d3,Charlie和Dick可以计算x₃⊕x₁和x₄⊕x₂。如果Charlie和Dick告诉x₃⊕x₁和x₄⊕x₂给Alice,Alice可以进行如下计算：

k_a1⊕x₃⊕x₁＝r_a1⊕x₁⊕x₃⊕x₁＝r_a1⊕x₃

k_a2⊕x₄⊕x₂＝r_a2⊕x₂⊕x₄⊕x₂＝r_a2⊕x₄

k_a3⊕x₃⊕x₁＝r_a3⊕x₃⊕x₃⊕x₁＝r_a3⊕x₁

k_a4⊕x₄⊕x₂＝r_a4⊕x₄⊕x₄⊕x₂＝r_a4⊕x₂(11)

根据公式(11),发现即使Alice与Charlie和Dick合谋,也无法得知K_B的任何信息。 因此,X_B不会泄露。Bob与Charlie和Dick合谋(Charlie与Alice和Bob合谋，Dick与Alice和 Bob合谋)的情况也是类似的，这里不再赘述。

针对两用户合谋的情况，本发明的协议也是安全的。下面分析一下两用户合谋时 本发明的协议的安全性。

如果Alice和Bob合谋，Alice和Bob最想知道的是K，因为知道了K就可以帮助他们 知道Charlie和Dick的秘密。在这种情况下，Alice和Bob可能会交换一些有关K_A和K_B的信息， 但是这些信息不会导致他们各自秘密的泄露。如果Alice告诉Bobk_a1⊕k_a2(k_a2⊕k_a3)，Bob告 诉Alicek_b1⊕k_b2(k_b2⊕k_b3),那么Alice和Bob就会知道x₁⊕x₃(x₂⊕x₄),如下所示：

k_a1⊕k_a2⊕k_b1⊕k_b2＝r_a1⊕x₁⊕r_a2⊕x₂⊕r_a1⊕x₂⊕r_a2⊕x₃＝x₁⊕x₃

k_a2⊕k_a3⊕k_b2⊕k_b3＝r_a2⊕x₂⊕r_a3⊕x₃⊕r_a2⊕x₃⊕r_a3⊕x₄＝x₂⊕x₄(12)

Alice可以做如下计算:

k_a1⊕x₃⊕x₁＝r_a1⊕x₁⊕x₃⊕x₁＝r_a1⊕x₃

k_a2⊕x₄⊕x₂＝r_a2⊕x₂⊕x₄⊕x₂＝r_a2⊕x₄

k_a3⊕x₃⊕x₁＝r_a3⊕x₃⊕x₃⊕x₁＝r_a3⊕x₁

k_a4⊕x₄⊕x₂＝r_a4⊕x₄⊕x₄⊕x₂＝r_a4⊕x₂(13)

Bob可以做如下计算:

k_b1⊕x₄⊕x₂＝r_a1⊕x₂⊕x₄⊕x₂＝r_a1⊕x₄

k_b2⊕x₃⊕x₁＝r_a2⊕x₃⊕x₃⊕x₁＝r_a2⊕x₁

k_b3⊕x₄⊕x₂＝r_a3⊕x₄⊕x₄⊕x₂＝r_a3⊕x₂

k_b4⊕x₃⊕x₁＝r_a4⊕x₁⊕x₃⊕x₁＝r_a4⊕x₃(14)

从公式(12),可以看到，除了x₁⊕x₃和x₂⊕x₄,Alice和Bob得不到任何关于K的信 息。从公式(12,13,14),可以发现Alice和Bob合谋后，也得不到任何秘密信息。Charlie和 Dick合谋的情况也是类似的。

如果Bob和Dick合谋,Bob就会告诉DickX_A^*，Dick也会告诉BobX_C^*。那么当Bob和 Dick公布C_AB(C_AB＝X_B^*⊕X_A^*)和C_CD(C_CD＝X_D^*⊕X_C^*)之后，Bob和Dick都会知道X_A^*,X_B^*,X_C^*和X_D^*。 可是，无法知道Alice和Charlie的秘密，因为他们不知道K_A和K_B。但是可能会尝试的做一些 计算从而试图得到一些信息，可以做的计算如下所示：

C_CA＝X_C^*⊕X_A^*

＝X_C⊕K_C⊕X_A⊕K_A

＝X_C⊕X_A⊕(K₂⊕r₂)⊕(K⊕r₁)(15)

＝X_C⊕X_A⊕K₂⊕K⊕r₂⊕r₁

C_CB＝X_C^*⊕X_B^*

＝X_C⊕K_C⊕X_B⊕K_B

＝X_C⊕X_B⊕(K₂⊕r₂)⊕(K₃⊕r₁)(16)

＝X_C⊕X_B⊕K₂⊕K₃⊕r₂⊕r₁

C_AD＝X_A^*⊕X_D^*

＝X_A⊕K_A⊕X_D⊕K_D

＝X_A⊕X_D⊕(K⊕r₁)⊕(K₁⊕r₂)(17)

＝X_A⊕X_D⊕K⊕K₁⊕r₂⊕r₁

C_DB＝X_D^*⊕X_B^*

＝X_D⊕K_D⊕X_B⊕K_B

＝X_D⊕X_B⊕(K₁⊕r₂)⊕(K₃⊕r₁)(18)

＝X_D⊕X_B⊕K₁⊕K₃⊕r₂⊕r₁

如果C_CA＝C_CB或者C_DA＝C_DB,

X_C⊕X_A⊕K₂⊕K⊕r₂⊕r₁＝X_C⊕X_B⊕K₂⊕K₃⊕r₂⊕r₁

＝>X_A⊕K＝X_B⊕K₃(19)

如果C_CA＝C_AD或者C_BC＝C_DB,

X_C⊕X_A⊕K₂⊕K⊕r₂⊕r₁＝X_A⊕X_D⊕K⊕K₁⊕r₂⊕r₁

＝>X_C⊕K₂＝X_D⊕K₁(20)

从公式(19)和(20)可以发现，Bob和Dick只能知道在一些特定条件下，如：C_CA＝ C_CB,C_DA＝C_DB,C_CA＝C_AD和C_BC＝C_DB，X_A和X_B或X_C和X_D之间的一些特定的关系。尽管K,K₁,K₂和K₃之 间存在循环右移的关系，然而没有它们其中的一个，任何人都无法得知其它的密钥。在本发 明的协议中只有TP知道K,K₁,K₂和K₃，而TP不会和任何人合谋，因此，Bob和Dick的合谋是不 会成功的。Alice和Dick,Charlie和Alice,Charlie和Bob之间相互合谋的情况也是一样的。

1.3参与者的个人攻击

这里的个人攻击意味着参与者不和任何人合谋，仅仅凭借自己的力量进行攻击。

把K表示为K＝k₁,k₂,…k_i,…k_n,那么K₁＝k_n,k₁,…k_i-1,…k_n-1；K₂＝k_n-1,k_n,… k_i-2,…k_n-2；K₃＝k_n-2,k_n-1,…k_i-3,…k_n-3.

如果表示|Ψ₅>和|Ф₅>的初始态为|Ψ>⁰,那么

|Ψ>⁰＝1/2(|00000>+|00111>+|11010>+|11101>)₁₂₃₄₅

或1/2(|+++++>+|++--->+|--+-+>+|---+->)₁₂₃₄₅.

下面，只考虑|Ψ>⁰＝1/2(|00000>+|00111>+|11010>+|11101>)₁₂₃₄的情况，因为| Ψ>⁰＝1/2(|+++++>+|++--->+|--+-+>+|---+->)₁₂₃₄₅的情况是类似的。

在TP根据K、K₃、K₂和K₁分别对粒子1序列、粒子2序列、粒子3序列和粒子5序列进行 完I(U)操作之后,第i个态|Ψ>_i⁰变为态|Ψ>_i¹。TP发送粒子1序列给Alice,粒子2序列给 Bob,粒子3序列给Charlie，粒子5序列给Dick。

Table1.依据k_ik_i-1k_i-2k_i-3，|Ψ>_i¹的所有可能的态以及Alice、Bob、Charlie和Dick 手中光子所对应的降解密度矩阵:

可以分析出是否Alice(Bob,Charlie,Dick)能推导出其他参与者的秘密。例如，如 果Alice能够区分态|Ψ>_i¹(0000)和|Ψ>_i¹(1000)，那么就可以辨别出k_i＝0和k_i＝1。由于每 个粒子1都掌握在Alice的手中，因此Alice可以得到对应于粒子1的降解密度矩阵:

$\begin{array}{c}{\rho }_i^{Alice}\left(0000\right)={\rho }_i^1\left(0000\right)\\ ={\mathrm{tr}}_{2345}\left(\frac{|00000>+|00111>+|11010>+|11101>}{2}\frac{<00000|+<00111|+<11010|+<11101|}{2}\right)\\ =\frac{1}{2}|0><0|+\frac{1}{2}|1><1|=\left(\begin{array}{cc}1/2& 0\\ 0& 1/2\end{array}\right)\end{array}---\left(21\right)$

$\begin{array}{c}{\rho }_i^{Alice}\left(1000\right)={\rho }_i^1\left(1000\right)\\ ={\mathrm{tr}}_{2345}\left(\frac{|10000>+|10111>+|01010>+|01101>}{2}\frac{<10000|+<10111|+<01010|+<01101|}{2}\right)\\ =\frac{1}{2}|0><0|+\frac{1}{2}|1><1|=\left(\begin{array}{cc}1/2& 0\\ 0& 1/2\end{array}\right)\end{array}---\left(22\right)$

但由于ρ_i^Alice(0000)＝ρ_i^Alice(1000)，所以Alice无法区分态|Ψ>_i¹(0000)和态|Ψ >_i¹(1000)。类似的,如表1所示,Alice无法区分下面的任意两种状态：|Ψ>_i¹(0000)(|Ψ>_i¹(0001),|Ψ>_i¹(0010),|Ψ>_i¹(0011),|Ψ>_i¹(0100),|Ψ>_i¹(0101),|Ψ>_i¹(0110),|Ψ>_i¹(0111))and|Ψ>_i¹(1000)(|Ψ>_i¹(1001),|Ψ>_i¹(1010),|Ψ>_i¹(1011),|Ψ>_i¹(1100),|Ψ>_i¹(1101),|Ψ>_i¹(1110),|Ψ>_i¹(1111))。根据表1，知道Bob(Charlie,Dick)的情况也是类似 的,Bob(Charlie,Dick)也不能区分k_i-3＝0和k_i-3＝1(k_i-2＝0和k_i-2＝1,k_i-1＝0和k_i-1＝1)。 因此，Alice,Bob,Charlie和Dick无法得知有关K,K₃,K₂,和K₁的任何信息，那么也就无法得 知其他参与者。

此外,如果Alice,Bob,Charlie或Dick想要通过截获重发攻击来获取其他参与者 的秘密信息也是不可能的，因为探测光子的基信息和位置信息掌握在TP手中，他们的窃听 行为会导致误码率增大，从而被TP发现，导致协议终止。

1.4外部攻击

外部攻击者Eve也无法得到参与者的秘密信息。首先，如果Eve进行截获重发攻击， 会因为导致误码率增大，而被TP发现。其次，仅从公布的C_BA＝X_B^*⊕X_A^*和C_DC＝X_D^*⊕X_C^*，Eve得 不到任何有用的信息，因为不知道K_A,K_B,K_C和K_D。而K_A,K_B,K_C和K_D是真正的随机数，X_A^*、X_B^*、 X_C^*、X_D^*是K_A、K_B、K_C、K_D与X_A、X_B、X_C、X_D一次一密得到的结果。

1.5效率比较

为了评估隐私比较的效率，定义量子效率为η＝c/t,这里c表示要比较隐私的经典 位数,t表示每次隐私比较所需的全部粒子数。为了简化计算，假设n个用户想要比较m位的 隐私信息,TP和每个用户之间用l个探测光子进行窃听检测。表2中,比较了协议和Chen等人 以及Chang等人提出的协议的量子效率。

表1量子效率比较

在Chen等人的方案中，在整个协议中只需要制备三粒子的GHZ态。在步骤S2中， Alice和Bob通过经典信道公布C＝C_B⊕C_A，然而，忽略了Alice(Bob)怎样知道C_B(C_A)。如果 Alice(Bob)通过量子信道传递C_B(C_A)，那么又需要制备一些探测粒子用于窃听检测。假设探 测粒子的个数也为l,量子效率为这 里，是最优的量子效率(例如：所有用户的信息都是一样的)，TP可以在执行协议 n-1次后就能完全实现n个用户的隐私比较；是最差的量子效率(例如：所有用户 的信息都互不相同)，TP在执行协议n(n-1)/2次才能完全实现n个用户的隐私比较。如果 Alice(Bob)通过经典信道传递C_B(C_A)，那么他们就违背了减少经典信息开销的初衷。

在Chang等人的方案中，可以一次完成n个用户的隐私比较，但是TP需要随机制备 2n个n粒子GHZ态或类GHZ态。尽管Chang等人的方案可以获得较大的量子效率但是如 果TP在把粒子传给每个用户之前先测量这些粒子，TP就会知道每个用户的隐私输入。也就 是说，如果TP是第二种半可信TP，那么Chang等人的方案就不安全。

在本发明的协议中，只需制备两种态|Ψ₅>和|Ф₅>。在步骤6中Bob和Dick公布C_AB＝X_B^*⊕X_A^*和C_CD＝X_C^*⊕X_D^*，这样可以保护每个用户的隐私输入不被TP知道，特别是第二种 半可信的TP。此外，本发明的协议还可以同时比较两对用户(四个用户)的隐私，也可以只比 较两个用户的隐私。因此，本发明的协议比Chen等人的方案更灵活高效，比Chang等人的方 案更安全。在量子效率方面，

$\frac{2mn}{(5m+6l)(n-1)}>\frac{2mn}{(6m+6l)(n-1)}=\frac{mn}{3(m+l)(n-1)}---\left(23\right)$

$\frac{4m}{(5m+6l)(n-1)}>\frac{4m}{(6m+6l)(n-1)}=\frac{2m}{3(m+l)(n-1)}---\left(24\right),$

可见，本发明的方案与Chen等人和Yang等人的方案相 比拥有更高的量子效率。然而，与Chen等人和Yang等人的方案相比，本发明的协议有较高的 量子态制备花销。Chen和Yang的方案中只需分别制备三粒子GHZ态和Bell态。而本发明的协 议中需要制备五粒子簇态，这比制备三粒子GHZ态和Bell态要困难。

与已有的两用户隐私比较协议相比，本发明的协议更灵活更高效。本发明的协议 不仅可以同时比较两对用户的隐私，也可以只比较两个用户的隐私。与Chang等人的多用户 隐私比较协议相比，本发明的协议在约束更少，更合理的半可信第三方条件下，也很安全， 半可信第三方无法获取用户的任何隐私信息。

利用本发明所述的技术方案，或本领域的技术人员在本发明技术方案的启发下， 设计出类似的技术方案，而达到上述技术效果的，均是落入本发明的保护范围。