基于五量子比特纠缠态的两方量子隐私比较方法

摘要

为了比较两个用户的秘密是否大小相等，本发明提出一种基于五量子比特纠缠态的两方量子隐私比较方法，具有如下显著特点：1)本发明的方法需要一个半忠诚第三方(Third Party，TP)的帮助，TP被允许按照他自己的意愿错误行事但不允许与两个用户中的任何一个共谋；2)一个五量子比特纠缠态在每轮比较中能被用于实现两比特的相等性比较；3)本发明的方法不需要酉操作和量子纠缠交换技术，避免消耗它们涉及到的昂贵量子器件；4)本发明的方法仅采用Bell测量和单粒子测量，现有量子技术可以实现这些量子测量；5)针对外部攻击和参与者攻击的安全性能得到保证；6)两个用户的秘密信息和比较结果都没有被泄露给TP。

说明书

技术领域

本发明涉及量子密码学领域。本发明设计一种基于五量子比特纠缠态的两方量子隐私比较方法，解决两个用户秘密的相等性比较问题。

背景技术

量子密码产生于Bennett和Brassard[1]在1984年提出的量子密钥分配(QuantumKey Distribution，QKD)方法。该方法后来被称为BB84方法。直到现在，量子密码已经赢得相当大的发展以致于它已建立许多分支，如QKD[1-8]、量子秘密共享(Quantum SecretSharing，QSS)[9-13]、量子安全直接通信(Quantum Secure Direct Communication，QSDC)[14-28]等。

量子隐私比较(Quantum Private Comparison，QPC)是量子密码的一个新分支，在2009年首次被Yang等[29]利用Einstein-Podolsky-Rosen(EPR)对提出。Yang等的方法[29]致力于利用量子力学原理实现两个用户秘密的相等性比较而不泄露它们的真实内容。随后，Lo[30]指出，在两方情形是不可能安全地衡量相等性函数。在这种情形下，一些额外的假设，如一个第三方(Third Party，TP)，是需要的。

在Yang等提出基于EPR对的第一个QPC方法[29]后，Chen等[31]在2010年提出一个具有代表性的基于三重Greenberger-Horne-Zeilinger(GHZ)态的QPC方法，其中TP需要执行酉操作。这个方法首次引入半忠诚TP的模型，即TP忠诚地执行方法步骤，记录所有中间计算数据，但在不能与敌手包括不忠诚用户共谋的限制下可能尝试从记录中获得用户的秘密输入。然而，Yang等[32]认为半忠诚TP的合理模型应该为：TP被允许按照他自己的意愿错误行事但不允许与敌手包括不忠诚的用户共谋。在2010年，Liu等[33]提出基于Bell态纠缠交换的QPC方法。这个方法采用了量子纠缠交换技术而非酉操作。根据所利用的量子态，目前存在的QPC方法可被划分为几种类型，如基于单粒子的[34-37]、基于Bell态的[29，32，33，38-40]、基于GHZ态的[31，41-43]、基于W态的[44-46]、基于团簇态的[47，48]、基于χ型纠缠态的[49-51]等等。

基于以上分析，本发明提出一个新颖的基于五量子比特纠缠态的两方QPC方法。本发明的方法采用Yang等[32]建议的半忠诚TP的模型。本发明的方法需要Bell测量和单粒子测量，这些测量都能用现有的量子技术实现。本发明的方法不需要任何酉操作和量子纠缠交换技术。另外，TP无法知道两个用户的秘密信息，甚至比较结果。

参考文献

[1]Bennett，C.H.，Brassard，G.：Quantum cryptography：Public-keydistribution and coin tossing.Proc.IEEE Int.Conf.Computers，Systems and SignalProcessing，1984，175-179

[2]Ekert，A.K.：Quantum cryptography based on Bell’s theorem.Phys RevLett，1991，67(6)：661-663

[3]Bennett，C.H.，Brassard，G.，Mermin，N.D.：Quantum cryptography withoutBell theorem.Phys Rev Lett，1992，68：557-559

[4]Cabello，A.：Quantum key distribution in the Holevo limit.Phys RevLett，2000，85：5635

[5]Deng，F.G.，Long，G.L.：Controlled order rearrangement encryption forquantum key distribution.Phys Rev A，2003，68：042315

[6]Deng，F.G.，Long，G.L.：Bidirectional quantum key distributionprotocol with practical faint laser pulses.Phys Rev A，2004，70：012311

[7]Su，X.L.：Applying Gaussian quantum discord to quantum keydistribution.Chin Sci Bull，2014，59(11)：1083-1090

[8]Zhang，C.M.，Song，X.T，Treeviriyanupab，P.，et al.：Delayed errorverification in quantum key distribution.Chin Sci Bull，2014，59(23)：2825-2828

[9]Hillery，M.，Buzek，V.，Berthiaume，A.：Quantum secret sharing.Phys RevA，1999，59：1829-1834

[10]Karlsson，A.，Koashi，M.，Imoto，N.：Quantum entanglement for secretsharing and secret splitting.Phys Rev A，1999，59：162-168

[11]Xiao，L.，Long，G.L.，Deng.F.G.，Pan，J.W.：Efficient multipartyquantum-secret-sharing schemes.Phys Rev A，2004，69：052307

[12]Lin，J.，Hwang，T.：An enhancement on Shi et al.’s multiparty quantumsecret sharing protocol.Opt Commun，2011，284(5)：1468-1471

[13]Chen，J.H.，Lee，K.C.，Hwang，T.：The enhancement of Zhou et al.’squantum secret sharing protocol.Int J Mod Phy C，1999，20(10)：1531-1535

[14]Long，G.L.，Liu，X.S.：Theoretically efficient high-capacity quantum-key-distribution scheme.Phys Rev A，2002，65：032302

[15]Bostrom，K.，Felbinger，T.：Deterministic secure direct communicationusing entanglement.Phys Rev Lett，2002，89：187902

[16]Deng，F.G.，Long，G.L.，Liu，X.S.：Two-step quantum directcommunication protocol using the Einstein-Podolsky-Rosen pair block.Phys RevA，2003，68：042317

[17]Deng，F.G.，Long，G.L.：Secure direct communication with a quantumone-time pad.Phys Rev A，2004，69：052319

[18]Wang，C.，Deng，F.G.，Li，Y.S.，Liu，X.S.，Long，G.L.：Quantum securedirect communication with high-dimension quantum superdense coding.Phys RevA，2005，71：044305

[19]Wang，C.，Deng，F.G.，Long，G.L.：Multi-step quantum secure directcommunication using multi-particle Green-Horne-Zeilinger state.Opt Commun，2005，253(1-3)：15-20；Wang，C.，Deng，F.G.，Long，G.L.：Erratum to“Multi-step quantumsecure direct communication using multi-particle Green-Horne-Zeilingerstate”.Opt Commun，2006，262(1)：134

[20]Chen，X.B.，Wen，Q.Y.，Guo，F.Z.，Sun，Y.，Xu，G.，Zhu，F.C.：Controlledquantum secure direct communication with W state.Int J Quant Inform，2008，6(4)：899-906.

[21]Chong，S.K.，Hwang，T.：The enhancement of three-party simultaneousquantum secure direct communication scheme with EPR pairs.Opt Commun，2011，284(1)：515-518

[22]Liu，D.，Chen，J.L.，Jiang，W.：High-capacity quantum secure directcommunication with single photons in both polarization and spatial-modedegrees of freedom.Int J Theor Phys，2012，51：2923-2929

[23]Sun，Z.W，Du，R.G，Long，D.Y.：Quantum secure direct communication withtwo-photon four-qubit cluster states.Int J Theor Phys，2012，51：1946-1952

[24]Ren，B.C.，Wei，H.R.，Hua，M.，Li，T.，Deng，F.G.：Photonic spatial Bell-state analysis for robust quantum secure direct communication using quantumdot-cavity systems.Eur Phys J D，2013，67：30-37

[25]Zou，X.F.，Qiu，D.W.：Three-step semiquantum secure directcommunication protocol.Sci China-Phys Mech Astron，2014，57(9)：1696-1702

[26]Chang，Y.，Xu，C.X.，Zhang，S.B.，et al..：Controlled quantum securedirect communication and authentication protocol based on five-particlecluster state and quantum one-time pad.Chin Sci Bull，2014，59(21)：2541-2546

[27]Chen，Y.，Man，Z.X.，Xia，Y.J.：Quantum bidirectional secure directcommunication via entangle-ment swapping.Chin Phys Lett，2007，24(1)：19

[28]Ye，T.Y.，Jiang，L.Z.：Improvement of controlled bidirectionalquantum direct communication using a GHZ state.Chin Phys Lett，2013，30(4)：040305

[29]Yang，Y.G.，Wen，Q.Y.：An efficient two-party quantum privatecomparison protocol with decoy photons and two-photon entanglement.J Phys A：Math Theor，2009，42：055305；Yang，Y.G.，Wen，Q.Y.：Corriigendum：An efficient two-party quantum private comparison protocol with decoy photons and two-photonentanglement.J Phys A：Math Theor，2010，43：209801

[30]Lo，H.K.：Insecurity of quantum secure computations.Phys Rev A，1997，56(2)：1154-1162

[31]Chen，X.B.，Xu，G.，Niu，X.X.，Wen，Q.Y.，Yang，Y.X.：An efficient protocolfor the private com-parison of equal information based on the tripletentangled state and single-particle measurement.Opt Commun，2010，283：1561

[32]Yang，Y.G.，Xia，J.，Jia，X.，Zhang，H.：Comment on quantum privatecomparison protocols with a semi-honest third party.Quantum Inf Process，2013，12：877-885

[33]Liu，W.，Wang，Y.B.，Cui，W.：Quantum private comparison protocol basedon Bell entangled states.Commun Theor Phys，2012，57：583-588

[34]Huang，W.，Wen，Q.Y.，Liu，B.，Gao，F.，Sun，Y.：Robust and efficientquantum private comparison of equality with collective detection overcollective-noise channels.Sci China-Phys Mech Astron，2013，56(9)：1670-1678

[35]Yang，Y.G.，Xia，J.，Jia，X.，Shi，L.，Zhang，H.：New quantum privatecomparison protocol without entanglement.Int J Quantum Inf，2012，10：1250065

[36]Liu，B.，Gao，F.，Jia，H.Y.，Huang，W.，Zhang，W.W.，Wen，Q.Y.：Efficientquantum private comparison employing single photons and collectivedetection.Quantum Inf Process，2013，12：887-897

[37]Liu，X.T.，Zhang，B.，Wang，J.，Tang，C.J.，Zhao，J.J.：Differential phaseshift quantum private comparison.Quantum Inf Process，2014，13(1)：71-84

[38]Tseng，H.Y.，Lin，J.，Hwang，T.：New quantum private comparisonprotocol using EPR pairs.Quantum Inf Process，2012，11：373-384

[39]Lin，S.，Sun，Y.，Liu，X.F.，Yao，Z.Q.：Quantum private comparisonprotocol with d-dimensional Bell states.Quantum Inf Process，2013，12：559-568

[40]Guo，F.Z.，Gao，F.，Qin，S.J.，Zhang，J.，Wen，Q.Y.：Quantum privatecomparison protocol based on entanglement swapping of d-level Bellstates.Quantum Inf Process，2013，12(8)：2793-2802

[41]Jia，H.Y.，Wen，Q.Y.，Song，T.T.，Gao，F.：Quantum protocol formillionaire problem.Opt Commun，2011，284：545

[42]Liu，W.，Wang，Y.B.：Quantum private comparison based on GHZentangled states.Int J Theor Phys，2012，51：3596-3604

[43]Chang，Y.J.，Tsai，C.W.，Hwang，T.：Multi-user private comparisonprotocol using GHZ class states.Quantum Inf Process，2013，12：1077-1088

[44]Li，J.，Zhou，H.F.，Jia，L.，Zhang，T.T.：An efficient protocol for theprivate comparison of equal information based on four-particle entangled Wstate and Bell entangled states swapping.Int J Theor Phys，2014，53(7)：2167-2176

[45]Liu，W.，Wang，Y.B.，Jiang，Z.T.：An efficient protocol for the quantumprivate comparison of equality with W state.Opt Commun，2011，284：3160

[46]Zhang，W.W.，Li，D.，Li，Y.B.：Quantum private comparison protocol withW States.Int J Theor Phys，2014，53(5)：1723-1729

[47]Xu，G.A.，Chen，X.B.，Wei，Z.H.，Li，M.J.，Yang，Y.X.：An efficientprotocol for the quantum private comparison of equality with a four-qubitcluster state.Int J Quantum Inf，2012，10：1250045

[48]Sun，Z.W.，Long，D.Y.：Quantum private comparison protocol based oncluster states.Int J Theor Phys，2013，52：212-218

[49]Liu，W.，Wang，Y.B.，Jiang，Z.T.，Cao，Y.Z.：A protocol for the quantumprivate comparison of equality withχ-type state.Int J Theor Phys，2012，51：69-77

[50]Jia，H.Y.，Wen，Q.Y.，Li，Y.B.，Gao，F.：Quantum private comparison usinggenuine four-particle entangled states.Int J Theor Phys，2012，51：1187-1194

[51]Liu，W.，Wang，Y.B.，Jiang，Z.T.，Cao，Y.Z.，Cui，W.：New quantum privatecomparison protocol usingχ-type state.Int J Theor Phys，2012，51：1953-1960

[52]Brown，I.D.K.，Stepney，S.，Sudbery，A.，Braunstein，S.L.：Searching forhighly entangled multi-qubit states.J Phys A：Math Gen，2005，38(5)：1119

[53]Borras，A.，Plastino，A.R.，Batlel，J.，Zander，C.，Casas，M.，Plastino，A.：Multiqubit systems：highly entangled states and entanglement distribution.JPhys A：MathTheor，2007，40：13407

[54]Xiu，X.M.，Dong，L.，Gao，Y.J.，Chi，F.：Controlled deterministic securequantum communication using five-qubit entangled states and two-step securitytest.Opt Commun，2009，282：333

[55]Lee，J.，Min，H.，Oh，S.D.：Multipartite entanglement for entanglementteleportation.Phys Rev A，2002，66：052318

[56]Yeo，Y.，Chua，W.K.：Teleportation and dense coding with genuinemultipartite entanglement.Phys Rev Lett，2006，96：060502

[57]Li，C.Y.，Zhou，H.Y.，Wang，Y.，Deng，F.G.：Secure quantum keydistribution network with Bell states and local unitary operations.Chin PhysLett，2005，22(5)：1049

[58]Li，C.Y.，Li，X.H.，Deng，F.G.，Zhou，P.，Liang，Y.J.，Zhou，H.Y.：Efficientquantum cryptography network without entanglement and quantum memory.ChinPhys Lett，2006，23(11)：2896

[59]Shor P.W.，Preskill，J.：Simple proof of security of the BB84quantumkey distribution protocol.Phys Rev Lett，2000，85(2)：441

[60]Cai，Q.Y.：Eavesdropping on the two-way quantum communicationprotocols with invisible photons.Phys Lett A，2006，351(1)：23-25

[61]Gisin，N.，Ribordy，G.，Tittel，W.，Zbinden，H：Quantum cryptography.RevMod Phys，2002，74(1)：145

[62]Gao，F.，Qin，S.J.，Wen，Q.Y.，Zhu，F.C.：A simple participant attack onthe Bradler-Dusek protocol.Quantum Inf Comput，2007，7：329

发明内容

本发明的目的是设计一种基于五量子比特纠缠态的两方量子隐私比较方法，解决两个用户秘密的相等性比较问题。

一种基于五量子比特纠缠态的两方量子隐私比较方法，共包括以下六个过程：

S1)Alice(Bob)将她(他)的X(Y)的二进制表示划分为组每组包含两二进制比特。如果L mod 2＝1，Alice(Bob)将一个0添加到

S2)TP制备一个包含个五量子比特纠缠态|Θ>的量子态序列P_T。这个量子态序列记为其中下标a₁，a₂，b₁，b₂，t代表一个五量子比特纠缠态的五个粒子，上标代表P_T中五量子比特纠缠态的顺序。然后，TP从P_T中的每个五量子比特纠缠态挑选出粒子a₁和a₂(b₁和b₂/t)以形成一个有序序列S_A(S_B/S_T)。也就是说，和

S3)TP制备两个量子态随机处于四个量子态{|0>，|1>，|+>，|->}之一的诱骗光子序列，并分别随机插入S_A和S_B。两个新序列记为S′_A和S′_B。这里，然后，TP将S′_A和S′_B分别发送给Alice和Bob。

在接收到Alice(Bob)的S′_A(S′_B)后，TP告诉Alice(Bob)S′_A(S′_B)中诱骗光子的位置和制备基。然后，Alice(Bob)用与TP的制备基相同的测量基测量S′_A(S′_B)中的诱骗光子并告诉TP她(他)的测量结果。TP通过比较S′_A(S′_B)中诱骗光子的初态和Alice(Bob)的测量结果判断在S′_A(S′_B)的传输中是否存在一个窃听者。如果错误率高于阈值，他们停止通信；否则，他们继续通信。

S4)Alice(Bob)丢弃S′_A(S′_B)中的诱骗光子得到S_A(S_B)。然后，Alice(Bob)对粒子和(和)施加Z基(Bell基)测量得到测量结果如果为|00>(|Φ⁺>)/|01>(|Ψ^->)/|10>(|Ψ⁺>)/|11>(|Φ^->)，那么为00/01/10/11。然后，Alice(Bob)计算最后，Alice(Bob)向TP公布这里，Z基为{|0>，|1>}，Bell基为{|Φ^±>，|Ψ^±>}，为异或运算，

S5)在听到Alice和Bob的宣布后，TP对粒子施加Z基测量得到测量结果如果为|0>/|1>，那么为00/10。然后，TP计算并向Alice和Bob宣布Rⁱ。

S6)在从TP收到Rⁱ后，Alice和Bob都计算一旦他们发现R^i′≠00对某个i是成立的，他们就断定X≠Y并结束整个过程。相反地，如果R^i′＝00对所有i都成立，他们就断定X＝Y。

本发明提出一种基于五量子比特纠缠态的两方量子隐私比较方法，实现两个用户秘密的相等性比较。本发明的方法需要一个半忠诚第三方(Third Party，TP)的帮助，TP被允许按照他自己的意愿错误行事但不允许与两个用户中的任何一个共谋。一个五量子比特纠缠态在每轮比较中能被用于实现两比特的相等性比较。本发明的方法不需要酉操作和量子纠缠交换技术，避免消耗它们涉及到的昂贵量子器件。本发明的方法仅采用Bell测量和单粒子测量，现有量子技术可以实现这些量子测量。针对外部攻击和参与者攻击的安全性能得到保证。两个用户的秘密信息和比较结果都没有被泄露给TP。

具体实施方式

下面结合实施例对本发明的技术方案做进一步描述。

1、五量子比特纠缠态及其纠缠相关性

量子纠缠是量子力学的一个有趣现象，在量子信息处理的发展中扮演一种重要的量子资源。量子纠缠意味着，即使两个量子系统在空间上是分开的，它们仍然彼此间具有直接的确定的相关性。众所周知，多量子比特纠缠态的刻画和分类是相当困难的，这已经引起广泛关注。在2005年，Brown等[52]通过广泛的数值优化程序找到了式(1)所示的高度纠缠五量子比特态(即Brown态)。这里，和是四个Bell态。随后，Borras等[53]利用另一种数值搜索方法也发现了Brown态。在2009年，Xiu等[54]指出式(2)所示的另一个新颖的五量子比特纠缠态可通过以下过程制备：1)制备者产生一个处于的辅助量子态作为量子比特5；2)制备者对式(3)所示的四量子比特纠缠态[55，56]的任一量子比特和量子比特5施加一个控制非操作，其中被选中的量子比特和量子比特5分别扮演目标量子比特和控制量子比特。

$>|\Pi {>}_{12345}=\frac{1}{2}\left(\right|001>|{\Phi }^{-}>+|010>|{\Psi }^{-}>+|100>|{\Phi }^{+}>+|111>|{\Psi }^{+}>),---\left(1\right)$>

$>|\Omega {>}_{1234}=\frac{1}{2\sqrt{2}}\left(\right|0000>+|0011>+|0110>-|0101>+|1010>+|1001>+|1100>-|1111>).---\left(3\right)$>

容易知道，|Θ>的ρ₂₃的秩为2，而|∏>的ρ₂₃的秩为4。量子态的秩在随机局域操作和经典通信下总是被保持不变，因此|Θ>和|∏>分别归属于两种不同类的五量子比特纠缠态。在本发明的方法中，|Θ>将被作为量子资源。

关于|Θ>，能容易得到量子比特l、2，量子比特3、4和量子比特5之间的纠缠相关性，如表1所示。

表1 |Θ>的量子比特1、2，量子比特3、4和量子比特5之间的纠缠相关性

2、两方量子隐私比较方法

两个用户Alice和Bob分别拥有两个秘密，X和Y，其中x_j，y_j∈{0，1}。他们想要在一个半忠诚TP的帮助下判断X和Y是否相等，其中半忠诚TP被允许按照自己的意愿错误行事但不能与Alice和Bob中的任何一个共谋。

假设Alice和Bob事先通过QKD方法[1-8]共享两个秘钥序列K_A和K_B。而且，Alice和TP(Bob和TP)也用相似的途径共享一个秘钥序列K_AT(K_BT)。这里，

本发明的方法共包括以下六个过程：

S1)Alice(Bob)将她(他)的X(Y)的二进制表示划分为组每组包含两二进制比特。如果L mod 2＝1，Alice(Bob)将一个0添加到

S2)TP制备一个包含个五量子比特纠缠态|Θ>的量子态序列P_T。这个量子态序列记为其中下标a₁，a₂，b₁，b₂，t代表一个五量子比特纠缠态的五个粒子，上标代表P_T中五量子比特纠缠态的顺序。然后，TP从P_T中的每个五量子比特纠缠态挑选出粒子a₁和a₂(b₁和b₂/t)以形成一个有序序列S_A(S_B/S_T)。也就是说，和

S3)TP制备两个量子态随机处于四个量子态{|0>，|1>，|+>，|->}之一的诱骗光子序列，并分别随机插入S_A和S_B。两个新序列记为S′_A和S′_B。这里，然后，TP将S′_A和S′_B分别发送给Alice和Bob。

在接收到Alice(Bob)的S′_A(S′_B)后，TP告诉Alice(Bob)S′_A(S′_B)中诱骗光子的位置和制备基。然后，Alice(Bob)用与TP的制备基相同的测量基测量S′_A(S′_B)中的诱骗光子并告诉TP她(他)的测量结果。TP通过比较S′_A(S′_B)中诱骗光子的初态和Alice(Bob)的测量结果判断在S′_A(S′_B)的传输中是否存在一个窃听者。如果错误率高于阈值，他们停止通信；否则，他们继续通信。

S4)Alice(Bob)丢弃S′_A(S′_B)中的诱骗光子得到S_A(S_B)。然后，Alice(Bob)对粒子和(和)施加Z基(Bell基)测量得到测量结果如果为|00>(|Φ⁺>)/|01>(|Ψ^->)/|10>(|Ψ⁺>)/|11>(|Φ^->)，那么为00/01/10/11。然后，Alice(Bob)计算最后，Alice(Bob)向TP公布这里，Z基为{|0>，|1>}，Bell基为{|Φ^±>，|Ψ^±>}，为异或运算，

S5)在听到Alice和Bob的宣布后，TP对粒子施加Z基测量得到测量结果如果那么为00/10。然后，TP计算并向Alice和Bob宣布Rⁱ。

S6)在从TP收到Rⁱ后，Alice和Bob都计算一旦他们发现R^i′≠00对某个i是成立的，他们就断定X≠Y并结束整个过程。相反地，如果R^i′＝00对所有i都成立，他们就断定X＝Y。

3、分析

这部分首先在3.1节验证本发明方法的输出的正确性，然后在3.2节对外部攻击和参与者攻击进行安全性分析。

3.1正确性

在本发明的方法中，Alice和Bob分别拥有和他们在一个半忠诚TP的帮助下在每轮比较中对比和是否相等。根据式(2)和表1，存在可以得到

$>R^{i^{\prime }}=R^i\oplus K_A^i{K}_B^i$>

$>\begin{array}{c}=(R_A^i\oplus R_B^i\oplus M_T^i\oplus K_{AT}^i\oplus K_{BT}^i)\oplus K_A^i\oplus K_B^i\\ =\left(\right(G_A^i\oplus M_A^i\oplus K_{AT}^i\oplus K_A^i)\oplus (G_B^i\oplus M_B^i\oplus K_{BT}^i\oplus K_B^i)\oplus M_T^i\oplus K_{AT}^i\oplus K_{BT}^i)\oplus K_A^i\oplus K_B^i\\ =(G_A^i\oplus G_B^i)\oplus (M_A^i\oplus M_B^i\oplus M_T^i)\\ =G_A^i\oplus G_B^i.\end{array}---\left(4\right)$>

根据式(4)，R^i′是和的异或值。如果R^i′＝00，可以得到否则，因此，本发明方法的输出是正确的。

3.2安全性

在这部分，首先在3.2.1节分析来自一个外部窃听者的外部攻击，然后在3.2.2节讨论参与者攻击，包括来自一个不忠诚用户的攻击和来自半忠诚TP的攻击。

3.2.1外部攻击

这里根据本发明方法的每个步骤分析外部攻击。

在本发明方法中，步骤S1、S2和S6没有传送过程。因此，在这些步骤，一个外部窃听者没有任何机会施加攻击。

在步骤S3，TP分别将S′_A和S′_B发送给Alice和Bob。一个外部窃听者也许会发起一些著名的攻击，如截获-重发攻击、测量-重发攻击、纠缠-测量攻击等，去提取关于两个用户秘密的一些有用信息。然而，诱骗光子技术[57，58]在这步被用于防止这些攻击，其有效性已经在文献[27，28]被详细地证实。事实上，诱骗光子技术可被视为已被文献[59]证明为无条件安全的著名的BB84方法[1]的窃听检测方法的变种。另外，由于采用单向量子比特传输，来自一个外部窃听者的特洛伊木马攻击，如不可见光子攻击[60]和延迟光子特洛伊木马攻击[61]，也是无效的。可以得出结论，在步骤S3，来自一个外部窃听者的攻击是无效的。

在步骤S4，Alice和Bob分别向TP公布和即使一个外部窃听者听到由于被和加密，且她无法得知这些秘钥，她仍然不能得到因此，一个外部窃听者在这步不能得到任何有用信息。

在步骤S5，TP向Alice和Bob宣布Rⁱ。很容易得到

$>\begin{array}{c}{R}^i=R_A^i\oplus R_B^i\oplus M_T^i\oplus K_{AT}^i\oplus K_{BT}^i\\ =(G_A^i\oplus M_A^i\oplus K_{AT}^i\oplus K_A^i)\oplus (G_B^i\oplus M_B^i\oplus K_{BT}^i\oplus K_B^i)\oplus M_T^i\oplus K_{AT}^i\oplus K_{BT}^i\\ =(G_A^i\oplus M_A^i\oplus K_A^i)\oplus (G_B^i\oplus M_B^i\oplus K_B^i)\oplus M_T^i\\ =(G_A^i\oplus K_A^i)\oplus (G_B^i\oplus K_B^i).\end{array}---\left(5\right)$>

由于一个外部窃听者对和一无所知，即使她听到Rⁱ，她仍然不能在这步得到任何有用信息。

总之，本发明的方法能够有效克服外部攻击。

3.2.2参与者攻击

在2007年，Gao等[62]首次指出，来自恶意参与者的攻击通常更加强大，应当更被重视。总共有两种情形的参与者攻击，即来自一个不忠诚用户的攻击和来自半忠诚TP的攻击。下面详细讨论这两种情形。

情形1：来自不忠诚用户的攻击

一个不忠诚的用户可能尽其所能去得到另一个用户的秘密信息。在本发明的方法中，Alice的角色与Bob的角色类似，除了不会实质性影响他们角色的第四步的测量基选择外。不失一般性，假设Alice是不忠诚的用户。首先，Alice可能在第S3步尝试截获从TP向Bob传输的S′_B。然而，正如3.2.1节分析的那样，她将被当成一个外部攻击者而抓住，既然她无法知道S′_B中诱骗光子的位置和制备基。其次，Alice在第S4步收到由于不知道她仍然不能得到既然被和加密。第三，在第S5步，Alice能从TP收到Rⁱ。然后，她进行式(4)所示的计算。由于一旦Alice和Bob发现R^i′≠00对某个i成立，本发明的方法将被马上终止，Alice仅当X＝Y时才能得到完整的Y。对于不忠诚的Alice，最坏的情形发生于R^1′≠00时。

情形2：来自半忠诚TP的攻击

半忠诚TP可能尽其所能去得到两个用户的秘密信息而不与Alice或Bob共谋。在步骤S4，TP从Alice(Bob)收到由于TP对一无所知，他仍然不能从得到另外，由于TP甚至都不能知道和的比较结果。

实施例：

1、两方量子隐私比较方法应用举例

这里以和为例对本发明的方法进行举例说明。不失一般性，假设TP制备的第i个五量子比特纠缠态|Θ>记为TP将粒子和发送给Alice，粒子和发送给Bob。然后，Alice(Bob)对粒子和(和)施加Z基(Bell基)测量得到测量结果不失一般性，假设为|00>(|Φ⁺>)，那么为00。然后，Alice(Bob)计算得到最后，Alice(Bob)向TP公布在听到Alice和Bob的宣布后，TP对粒子施加Z基测量得到测量结果由于这时为|0>，那么为00。然后，TP计算得到并向Alice和Bob宣布Rⁱ。在从TP收到Rⁱ后，Alice和Bob都计算得到一旦他们发现R^i′≠00对某个i是成立的，他们就断定X≠Y并结束整个过程。相反地，如果R^i′＝00对所有i都成立，他们就断定X＝Y。

2、讨论

这里进一步将本发明的方法与之前的一些两方QPC方法[29，31，38，44，46，48]进行对比。比较结果被总结在表2中。

这里，符号n被定义为在Alice和Bob的秘密是相同的情况下的比较次数。根据表2，关于n，本发明的方法比文献[31，38，46]的QPC方法更高效。另外，在文献[29，44，48]的QPC方法中，不管他们的秘密是否相同，两个用户的整个秘密都需被比较。不同于这些方法，一旦Alice和Bob发现他们的秘密的不相等性，本发明的方法将被马上终止。因此，当他们的秘密不相同时，本发明的方法只需比较部分的秘密。

这里，量子比特效率η_e被定义为其中η_c为每轮比较对比的经典比特数，η_t为每轮比较消耗的光子数[12，13，21]。在本发明的方法，五个光子能被用于比较来自每个用户的两比特秘密信息。而且，本发明的方法能天然地防止特洛伊木马攻击[60，61]，所以不需要消耗用于检测这种攻击的额外光子。因此，本发明方法的量子比特效率为40％。根据表2，本发明方法比文献[29，31，44，46，48]的方法具有更高的量子比特效率。

另外，对于Alice和Bob来说，还存在测量基的另一种选择。具体地讲，在第S4步，在Alice(Bob)丢弃S′_A(S′_B)中的诱骗光子得到S_A(S_B)后，她(他)选择Bell基(Z基)测量粒子和(和)以得到测量结果如果为|Φ⁺>(|00>)/|Ψ^->(|01>)/|Ψ⁺>(|10>)/|Φ^->(|11>)，那么为00/01/10/11。根据式(2)和表1，Alice和Bob的这种不同的测量基选择并不影响本发明方法的输出的正确性。

3、总结

本发明的方法利用五量子比特纠缠态作为量子资源提出一个带半忠诚TP的两方QPC方法。在本发明的方法中，TP被允许按照自己的意愿错误行事但不被允许同两个用户中的任何一个共谋。本发明的方法在每轮比较中利用一个五量子比特纠缠态能比较两比特秘密信息的相等性。不同于文献[29，31，36，39，48，50]中的方法，本发明的方法不需要酉操作。不同于文献[33，44，49，50]中的方法，本发明的方法不需要量子纠缠交换技术。本发明的方法仅需要Bell测量和单粒子测量，这些测量都可用现有量子技术实现。本发明的方法对于外部攻击和参与者攻击都具有良好的安全性。在本发明的方法中，TP既不能得到两个用户的秘密信息也不能得到比较结果。

表2 本发明的方法与其他两方QPC方法的比较