基于单光子的不要求经典通信者具备测量能力的环形半量子秘密共享方法与流程

本发明涉及量子密码学领域。本发明设计一种基于单光子的不要求经典通信者具备测量能力的环形半量子秘密共享方法，实现一个量子通信者和两个经典通信者之间的秘密共享，并且任何一个经典通信者都不能单独获得所共享的秘密。

背景技术：

量子密码学提供了一种通过量子力学基本定律发送安全信息的手段，利用量子力学的性质而非数学问题的计算复杂性来达到无条件安全。量子密钥分发(Quantum key distribution，QKD)是量子密码学中的核心问题之一。第一个QKD 方法，即BB84方法，是在1984年由Bennett和Brassard[1]提出的。在此之后，许多其他的QKD方法[2-7]被提出。量子信息处理已经发展到处理其他密码学任务，如量子秘密共享(Quantum secret sharing，QSS)[8-16]，量子认证[17-19] 和量子安全直接通信(Quantum secure direct communication，QSDC)[20-23]等。在1999年，Hillery等[8]利用三粒子纠缠Greenberg-Home-Zeilinger(GHZ)态提出了第一个QSS方法。Guo和Guo[11]在2003年提出了一个新颖的基于乘积态的QSS方法。在2005年，Deng等[12]提出了一个高效的基于 Einstein-Podolsky-Rosen(EPR)对的QSS方法。在2006年，Deng等[13]提出了一个基于单光子的环形QSS方法。基于单光子的多方QSS方法[14-15]也已经被提出。QSS的基本概念是发布者利用量子力学技术将她的秘密分发给多个参与者，只有当有足够多的参与者合作时才能恢复出秘密。安全的QSS方法应该能够抵抗来自外部窃听者和内部恶意参与者的攻击。

在2007年，Boyer等[24-25]首次提出了半量子密钥分配(Semi-quantum key distribution，SQKD)这一新颖的概念。在这个方法中，Alice具备完全的量子能力，而Bob的能力被限制只能在量子信道中执行以下这些操作；(a)发送或不带干扰地返回量子比特；(b)用固定的计算基{|0>，|1>}测量量子比特；(c)制备 (新的)量子比特处于固定的计算基{|0>，|1>}；(d)对量子比特重新排序(通过不同的延迟线)。根据文献[24-25]的定义，计算基{|0>，|1>}可被视为经典基并用经典记号{0，1}代替，因为它只涉及量子比特|0>和|1>而非任何量子叠加态。尽可能少地使用量子资源来实现量子密码方法是非常有意义的。因此，研究人员对半量子密码表现出极大的热情，并尝试将半量子概念应用于QKD、QSDC和QSS 等不同量子密码学任务。因此，许多半量子密码方法，如SQKD方法[26-38]，半量子安全直接通信(Semi-quantum secure direct communication，SQSDC)方法 [39-41]，半量子秘密共享(Semi-quantum secret sharing，SQSS)方法[42-49]，也已被设计出来。

在2010年，Li等[42]提出了两个新颖的利用类GHZ态的SQSS方法。Wang 等[43]在2012年提出了一个利用两粒子纠缠态的SQSS方法。在2013年，Li 等[44]提出了利用两粒子乘积态的SQSS方法；Lin等[45]指出Li等的两个方法 [42]在分别抵抗不诚实通信者的截获重发攻击和特洛伊木马攻击是不安全的，并提出了相应的改进建议；Yang和Hwang[46]指出，经典通信者之间测量操作的不同步可以提高生成共享密钥的效率。Xie等[47]在2015年提出了一种新的基于类GHZ态的SQSS方法，其中量子Alice可与经典Bob和经典Charlie共享一个特定的比特串，而不是随机的比特串。在2016年，Yin和Fu[48]证明Xie等的方法[47]在不诚实通信者采取截获-重发攻击时是不安全的，并提出了一个改进的方法。总之，以前的所有SQSS方法[42-28]有三个共同的特点：(1)采用乘积态或纠缠态作为量子载体；(2)量子方制备的粒子以树形方式传播，如图1 所示；(3)要求经典方具备测量能力。

基于上述分析，本发明的方法使用单光子作为量子载体，以图2所示的环形方式传输粒子，实现一个量子通信者和两个经典通信者之间的秘密共享。与之前的半量子秘密共享方法相比，本发明的方法具有以下鲜明的特点：(1)采用单光子而不是乘积态或纠缠态作为量子载体；(2)量子方制备的粒子以环形方式进行传输；(3)不要求经典通信者具备测量能力。

参考文献

[1]Bennett，C.H.，Brassard，G.：Quantum cryptography：public key distribution and coin tossing.In：Proceedings of the IEEE International Conference on Computers， Systems and Signal Processing，Bangalore.pp.175-179(1984)

[2]Ekert，A.K.：Quantum cryptography based on Bell’s theorem.Phys.Rev.Lett. 67(6)，661-663(1991)

[3]Bennett，C.H.：Quantum cryptography using any two nonorthogonal states.Phys. Rev.Lett.68(21)，3121-3124(1992)

[4]Cabello，A.：Quantum key distribution in the Holevo limit.Phys.Rev.Lett.85(26)， 5635(2000)

[5]Hwang，W.Y.：Quantum key distribution with high loss：toward global secure communication.Phys.Rev.Lett.91(5)，057901(2003)

[6]Li，X.H.，Deng，F.G.，Zhou，H.Y.：Efficient quantum key distribution over a collective noise channel.Phys.Rev.A 78(2)，022321(2008)

[7]Zhang，C.M.，Song，X.T.，Treeviriyanupab，P.，et al.：Delayed error verification in quantum key distribution.Chin.Sci.Bull.59(23)，2825-2828(2014)

[8]Hillery，M.，Buzek，V.，Berthiaume，A.：Quantum secret sharing.Phys.Rev.A 59(3)，1829-1834(1999)

[9]Karlsson，A.，Koashi，M.，Imoto，N.：Quantum entanglement for secret sharing and secret splitting.Phys.Rev.A 59(1)，162-168(1999)

[10]Cleve，R.，Gottesman，D.，Lo，H.K.：How to share a quantum secret.Phys.Rev. Lett.83(3)，648-651(1999)

[11]Guo，G.P.，Guo，G.C.：Quantum secret sharing without entanglement.Phys.Lett. A 310(4)，247-251(2003)

[12]Deng，F.G.，Long，G.L.，Zhou，H.Y.：An efficient quantum secret sharing scheme with Einstein-Podolsky-Rosen pairs.Phys.Lett.A 340(1-4)，43-50(2005)

[13]Deng，F.G.，Zhou，H.Y.，Long，G.L.：Circular quantum secret sharing.J.Phys.A Gen.Phys.39(45)：14089-14099(2006)

[14]Xiao，L.，Long，G.L.，Deng，F.G.，et al.：Efficient multiparty quantum secret sharing schemes.Phys.Rev.A 69(5)，052307(2004)

[15]Wang，T.Y.，Wen，Q.Y.，Chen，X.B.，et al.：An efficient and secure multiparty quantum secret sharing scheme based on single photons.Opt.Commun.281(24)， 6130-6134(2008)

[16]Hao，L.，Wang，C.，Long，G.L.：Quantum secret sharing protocol with four state Grover algorithm and its proof-of-principle experimental demonstration.Opt. Commun.284(14)，3639-3642(2011)

[17]M.，Haderka，O.，Hendrych，M.，et al.：Quantum identification system. Phys.Rev.A 60(1)，149-156(1999)

[18]Curry，M.，Santos，D.J.：Quantum authentication of classical messages.Phys. Rev.A.64(6)，062309(2001)

[19]Zhang，X.L.：One-way quantum identity authentication based on public key. Chin.Sci.Bull.54(12)，2018-2021(2009)

[20]Long，G.L.，Liu，X.S.：Theoretically efficient high-capacity quantum key distribution scheme.Phys.Rev.A 65(3)，032302(2002)

[21]Deng，F.G.，Long，G.L.，Liu，X.S.：Two-step quantum direct communication protocol using the Einstein-Podolsky-Rosen pair block.Phys.Rev.A 68(4)， 042317(2003)

[22]Wang，J.，Zhang，Q.，Tang，C.J.：Quantum secure direct communication based on order rearrangement of single photons.Phys.Lett.A 358(4)，256-258(2006)

[23]Tan，X.Q.，Zhang，X.Q.：Controlled quantum secure direct communication by entanglement distillation or generalized measurement.Quantum Inf.Process. 15(5)，2137-2154(2016)

[24]Boyer，M.，Kenigsberg，D.，Mot，T.：Quantum key distribution with classical Bob. Phys.Rev.Lett.99(14)，140501(2007)

[25]Boyer，M.，Gelles，R.，Kenigsberg，D.，et al.：Semiquantum key distribution. Phys.Rev.A 79(3)，032341(2009)

[26]Lu，H.，Cai，Q.Y.：Quantum key distribution with classical Alice.Int.J.Quantum Inf.6(6)，1195-1202(2008)

[27]Zhang，X.Z.，Gong，W.G.，Tan，Y.G.，et al.：Quantum key distribution series network protocol with M-classical Bobs.Chin.Phys.B 18(6)，2143-2148(2009)

[28]Tan，Y.G.，Lu，H.，Cai，Q.Y.：Comment on“Quantum key distribution with classical Bob”.Phys.Rev.Lett.102(9)，098901(2009)

[29]Zou，X.F.，Qiu，D.W.，Li，L.Z.，et al.：Semiquantum-key distribution using less than four quantum states.Phys.Rev.A 79(5)，052312(2009)

[30]Boyer，M.，Mor，T.：Comment on“Semiquantum-key distribution using less than four quantum states”.Phys.Rev.A 83(4)，046301(2011)

[31]Wang，J.，Zhang，S.，Zhang，Q.，et al.：Semiquantum key distribution using entangled states.Chin.Phys.Lett.28(10)，100301(2011)

[32]Miyadera，T.：Relation between information and disturbance in quantum key distribution protocol with classical Alice.Int.J.Quantum Inf.9(6)，1427-1435 (2011)

[33]Krawec，W.O.：Restricted attacks on semi-quantum key distribution protocols. Quantum Inf.Process.13(11)，2417-2436(2014)

[34]Yang，Y.G.，Sun，S.J.，Zhao，Q.Q.：Trojan-horse attacks on quantum key distribution with classical Bob.Quantum Inf.Process.14(2)，681-686(2015)

[35]Yu，K.F.，Yang，C.W.，Liao，C.H.，et al.：Authenticated semi-quantum key distribution protocol using Bell states.Quantum Inf.Process.13(6)，1457-1465 (2014)

[36]Krawec，W.O.：Mediated semiquantum key distribution.Phys.Rev.A 91(3)， 032323(2015)

[37]Zou，X.F.，Qiu，D.W.，Zhang，S.Y.：Semiquantum key distribution without invoking the classical party’s measurement capability.Quantum Inf.Process. 14(8)，2981-2996(2015)

[38]Li，Q.，Chan，W.H.，Zhang，S.Y.：Semiquantum key distribution with secure delegated quantum computation.Sci.Rep.6，19898(2016)

[39]Zou，X.F.，Qiu，D.W.：Three-step semiquantum secure direct communication protocol.Sci.China Phys.Mech.Astron.57(9)，1696-1702(2014)

[40]Luo，Y.P.，Hwang，T.：Authenticated semi-quantum direct communication protocols using Bell states.Quantum Inf.Process.15(2)，947-958(2016)

[41]Zhang，M.H.，Li，H.F.，Xia，Z.Q.，et al.：Semiquantum secure direct communication using EPR pairs.Quantum Inf.Process.16(5)，117(2017)

[42]Li，Q.，Chan，W.H.，Long，D.Y.：Semiquantum secret sharing using entangled states.Phys.Rev.A 82(2)，022303(2010)

[43]Wang，J.，Zhang，S.，Zhang，Q.，et al.：Semiquantum secret sharing using two-particle entangled state.Int.J.Quantum Inf.10(5)，1250050(2012)

[44]Li，L.Z.，Qiu，D.W.，Mateus，P.：Quantum secret sharing with classical Bobs.J. Phys.A Math.Theor.46(4)，045304(2013)

[45]Lin，J.，Yang，C.W.，Tsai，C.W.，et al.：Intercept-resend attacks on semi-quantum secret sharing and the improvements.Int.J.Theor.Phys.52(1)，156-162(2013)

[46]Yang，C.W.，Hwang，T.：Efficient key construction on semi-quantum secret sharing protocols.Int.J.Quant.Inform.11(5)，1350052(2013)

[47]Xie，C.，Li，L.Z.，Qiu，D.W.：A novel semi-quantum secret sharing scheme of specific bits.Int.J.Theor.Phys.54(10)，3819-3824(2015)

[48]Yin，A.，Fu，F.：Eavesdropping on semi-quantum secret sharing scheme of specific bits.Int.J.Theor.Phys.55(9)，4027-4035(2016)

[49]Gao，G.，Wang，Y.，Wang，D.：Multiparty semiquantum secret sharing based on rearranging orders ofqubits.Mod.Phys.Lett.B 30(10)，1650130(2016)

[50]Cai，Q.Y.：Eavesdropping on the two-way quantum communication protocols with invisible photons.Phys.Lett.A，351(1-2)：23-25(2006)

[51]Gisin，N.，Ribordy，G.，Tittel，W.，Zbinden，H.：Quantum cryptography.Rev. Mod.Phys.74(1)：145-195(2002)

[52]Deng，F.G.，Zhou，P.，Li，X.H.，Li，C.Y.，Zhou，H.Y.：Robustness of two-way quantum communication protocols against Trojan horse attack.2005， http://arxiv.org/pdf/quant-ph/0508168.pdf

[53]Li，X.H.，Deng，F.G.，Zhou，H.Y.：Improving the security of secure direct communication based on the secret transmitting order of particles.Phys.Rev.A， 74：054302(2006)

技术实现要素：

本发明设计一种基于单光子的不要求经典通信者具备测量能力的半量子秘密共享方法，实现一个量子通信者和两个经典通信者之间的秘密共享，并且任何一个经典通信者都不能单独获得所共享的秘密。

一种基于单光子的不要求经典通信者具备测量能力的半量子秘密共享方法，共包括以下七个过程：

S1)量子Alice制备N个单光子，每个单光子随机处于{|0>，|1>，|+>，|->}四个状态之一，并将它们发送给经典Bob；

S2)Bob收到Alice发来的所有粒子之后，用Z基(即{|0>，|1>})制备N个新的单光子。然后，Bob把手中的所有2N个粒子重新排序后发送给经典Charlie；

S3)Charlie在接收到Bob所有2N个粒子之后，也用Z基制备N个新的单光子。然后，Charlie将手中的所有3N个粒子重新排序后发送给Alice。为了方便起见，将Alice、Bob和Charlie制备的粒子分别称为CTRL粒子、SIFT_B粒子和 SIFT_C粒子；

S4)Alice公开宣布她收到Charlie发送过来的粒子。然后，Bob公布他发送给Charlie的粒子的顺序。同时，Charlie也公布她发送给Alice的粒子的顺序；

S5)Alice使用Z基来测量SIFT_B粒子和SIFT_C粒子，并使用制备CTRL 粒子的基来测量CTRL粒子。随后，Alice检查CTRL粒子上的错误率。如果没有窃听，Alice对CTRL粒子的测量结果将与她所制备的状态相同。这是因为除了重新排序操作之外，Bob和Charlie对它们没有任何影响。如果CTRL粒子的错误率超过阈值，他们将终止通信；

S6)Alice随机选择足够大的SIFT_B粒子子集作为TEST粒子。在这之后， Alice告诉Bob所选择的SIFT_B粒子的位置。然后，Bob告诉Alice这些位置上粒子制备的状态。最后，Alice通过将这些粒子的测量结果与Bob所公布的状态进行比较来计算错误率。如果错误率超过阈值，Alice将终止通信。另一方面， Alice随机选择足够大的SIFT_C粒子子集作为TEST粒子。然后，Alice告诉 Charlie所选的SIFT_C粒子的位置。之后，Charlie告诉Alice这些位置上粒子制备的状态。最后，Alice通过将这些粒子的测量结果与Charlie所公布的状态进行比较来计算错误率。如果错误率超过阈值，Alice将终止通信；

S7)在窃听检测之后，Alice、Bob和Charlie建立秘密共享关系，即其中，KB是Alice对剩余SIFT_B粒子的测量结果所组成的比特串，KC是Alice 对剩余SIFT_C粒子的测量结果所组成的比特串，KA是Alice所要共享的秘密，是比特异或运算。只有当Bob和Charlie合作时，他们才能恢复出Alice的秘密。

附图说明

图1是树形SQSS方法所采用的粒子传输模式；图2是环形SQSS方法所采用的粒子传输模式；图3是Eve对本发明方法进行纠缠-测量攻击的模型。

具体实施方式

下面结合本发明的具体步骤对本发明的技术方案做进一步描述。

1、SQSS方法

假设有三个通信者，Alice、Bob和Charlie。Alice具备量子能力，而Bob 和Charlie只拥有经典能力。这里以单光子作为量子载体、采用环形粒子传输模式来实现Bob和Charlie共享Alice秘密的任务。在本发明的方法中，|0>(|1>) 的测量结果代表经典比特0(1)。

文献[37]中的SQKD方法提出经典通信者可以不需要测量能力。受到这个方法的启发，本发明提出一种基于单光子的也不要求经典通信者进行经典基测量的SQSS方法。本发明的方法由以下步骤构成。

S1)量子Alice制备N个单光子，每个单光子随机处于{|0>，|1>，|+>，|->}四个状态之一，并将它们发送给经典Bob；

S2)Bob收到Alice发来的所有粒子之后，用Z基制备N个新的单光子。然后，Bob把手中的所有2N个粒子重新排序后发送给经典Charlie；

S3)Charlie在接收到Bob所有2N个粒子之后，也用Z基制备N个新的单光子。然后，Charlie将手中的所有3N个粒子重新排序后发送给Alice。为了方便起见，将Alice、Bob和Charlie制备的粒子分别称为CTRL粒子、SIFT_B粒子和 SIFT_C粒子；

S4)Alice公开宣布她收到Charlie发送过来的粒子。然后，Bob公布他发送给Charlie的粒子的顺序。同时，Charlie也公布她发送给Alice的粒子的顺序；

S5)Alice使用Z基来测量SIFT_B粒子和SIFT_C粒子，并使用制备CTRL 粒子的基来测量CTRL粒子。随后，Alice检查CTRL粒子上的错误率。如果没有窃听，Alice对CTRL粒子的测量结果将与她所制备的状态相同。这是因为除了重新排序操作之外，Bob和Charlie对它们没有任何影响。如果CTRL粒子的错误率超过阈值，他们将终止通信；

S6)Alice随机选择足够大的SIFT_B粒子子集作为TEST粒子。在这之后， Alice告诉Bob所选择的SIFT_B粒子的位置。然后，Bob告诉Alice这些位置上粒子制备的状态。最后，Alice通过将这些粒子的测量结果与Bob所公布的状态进行比较来计算错误率。如果错误率超过阈值，Alice将终止通信。另一方面， Alice随机选择足够大的SIFT_C粒子子集作为TEST粒子。然后，Alice告诉 Charlie所选的SIFT_C粒子的位置。之后，Charlie告诉Alice这些位置上粒子制备的状态。最后，Alice通过将这些粒子的测量结果与Charlie所公布的状态进行比较来计算错误率。如果错误率超过阈值，Alice将终止通信；

S7)在窃听检测之后，Alice、Bob和Charlie建立秘密共享关系，即其中，KB是Alice对剩余SIFT_B粒子的测量结果所组成的比特串，KC是Alice 对剩余SIFT_C粒子的测量结果所组成的比特串，KA是Alice所要共享的秘密，是比特异或运算。只有当Bob和Charlie合作时，他们才能恢复出Alice的秘密。

2、安全性分析

一般来说，在QSS方法中，内部通信者的能力比外部窃听者的要强大。文献[9]指出，对于QSS来说，如果安全检测可以检测到内部通信者的窃听攻击，那么窃听者(无论是内部通信者还是外部窃听者)的窃听行为都将被发现。因此，这里只专注于分析本发明的SQSS方法对不诚实内部通信者的安全性。在本发明的SQSS方法中，Bob和Charlie的角色是不同的，而他们中的任何一个都有可能是不诚实的。因此，将分别针对不诚实的Bob和不诚实的Charlie来证明本发明的SQSS方法的安全性。

2.1测量-重发攻击

假设Bob是不诚实的通信者。为了获得Alice的共享秘密KA，Bob需要得到Charlie的比特串。因此，Bob可能会按如下方式进行测量-重发攻击。他先正常执行步骤S2。然后，在步骤S3，他截获所有从Charlie发送给Alice的粒子，并用z基去测量这些粒子。最后，他将测量后的粒子发送给Alice。Charlie公布她在步骤S4发送给Alice的粒子的顺序后，Bob可以很容易地得到Charlie的比特串。显然，这种来自Bob的测量-重发攻击可以很容易地通步骤S6对SIFT_B 粒子和SIFT_C粒子的安全检测。然而，在步骤S5，由于不知道CTRL粒子的确切位置，这种攻击在步骤S5对CTRL粒子进行安全检测时将不可避免地被检测到。确切的说，如果Alice在步骤1中将粒子|0>(|1>)发送给Bob，那么Bob 的这种攻击将不会改变CTRL粒子的状态。也就是说，Bob对这个CTRL粒子的攻击不会引入错误。另一方面，如果Alice在步骤S1中将粒子|+>(|->)发送给Bob，在Bob截获并用Z基测量之后，该粒子将塌缩为|0>或|1>。当Alice在步骤S5中使用X基(即{|+>，|->})去测量CTRL粒子时，她在这种情况下将以50％的概率得到不正确的结果。综上所述，对于每个CTRL粒子，Bob的测量-重发攻击将在步骤S5的安全检测中以25％的概率被检测到。

假设Charlie是不诚实的通信者。为了获得Alice的共享秘密KA，Charlie需要得到Bob的比特串。因此，Charlie可能会按如下方式进行测量-重发攻击。在收到Bob在步骤S2中发送给Charlie的所有粒子后，Charlie用Z基去测量这些粒子，然后根据自己的测量结果制备新的状态相同的粒子。Charlie正常执行步骤S3，Bob在步骤S4公布他发送给Charlie的粒子的顺序。因此，Charlie可以很容易地得到Bob的比特串。显然，这种来自Charlie的测量-重发攻击可以很容易地通过步骤S6对SIFT_B粒子和SIFT_C粒子的安全检测。然而，在步骤 S5中，由于不知道CTRL粒子的确切位置，这种攻击在步骤S5对CTRL粒子进行安全检测时将不可避免地被检测到。同样，对于每个CTRL粒子，Charlie 的测量-重发攻击将在步骤S5的安全检测中以25％的概率被检测到。

2.2截获-重发攻击

假设Bob是不诚实的通信者。为了获得Alice的共享秘密KA，Bob需要得到Charlie的比特串。因此，Bob可能会按如下方式进行截获-重发攻击。他先正常执行步骤S2。然后，在步骤S3，他截获Charlie发送给Alice的所有粒子，并将其保留在自己手中。之后，他用Z基制备3N个假的单光子，并将它们发送给 Alice。Charlie在步骤S4中公布发送给Alice的粒子的顺序后，Bob对自己手中保留的Charlie的粒子进行相应的测量以获得Charlie的比特串。然而，Bob对 CTRL粒子的攻击在步骤S5中容易被Alice检测到，因为Bob制备的假粒子不一定与Alice制备的粒子相同。此外，Bob对SIFT_C粒子的攻击很容易被Alice 在步骤S6中检测到，因为Bob制备的假粒子不一定与Charlie制备的相同。

假设Charlie是不诚实的通信者。为了获得Alice的共享秘密KA，Charlie需要得到Bob的比特串。因此，Charlie可能会按如下方式进行截获-重发攻击。在收到Bob在步骤S2中发送给Charlie的所有粒子后，Charlie将这些粒子保留在自己手中。然后，在步骤S3，Charlie用Z基制备3N个假的单光子，并将它们送给Alice。Bob在步骤S4公布他发送给Charlie的粒子的顺序后，Charlie测量自己手中相应的Bob粒子从而得到Bob的比特串。然而，在步骤S5，Charlie对 CTRL粒子的攻击很容易被Alice检测到，因为Charlie制备的假粒子不一定和 Alice制备的相同。此外，Charlie对SIFT_B粒子的攻击将很容易被Alice在步骤S6中检测到，因为Charlie的相应假粒子不一定与Bob制备的相同。

2.3纠缠-测量攻击

Alice在步骤S1中发送给Bob的粒子不包含任何有关Bob或Charlie比特串的有用信息。如果一个外部窃听者Eve足够聪明的话，她将不会把她的辅助粒子与Alice在步骤S1中发送给Bob的粒子纠缠在一起。来自Eve的纠缠-测量攻击可以表示为：使用酉操作UG对Bob发送给Charlie的粒子进行攻击，以及使用酉操作UH攻击Charlie返回给Alice的粒子。对于CTRL粒子和SIFT_B粒子，两个酉操作，UG和UH，共享一个由态|ε>表征的共同的探测空间。正如文献[24-25] 所指出的，共享的探测态允许Eve依赖UG获得的信息对返回的CTRL粒子和 SIFT_B粒子施加攻击(如果Eve没有利用这一事实，那么共享的探测态可以简单地认为是由两个独立探测态组成的复合系统)。Eve使UH依赖于应用UG后的测量的对CTRL粒子和SIFT_B粒子的任何攻击可用带控制门的UG和UH来实现。对于SIFT_C粒子，UG与它们无关，UH对它们进行攻击也是带用|ε>来表征的探测空间。图3描述了在本发明方法的执行过程中Eve所采取的纠缠-测量攻击。

定理1.假设Eve对Bob发送给Charlie的粒子和Charlie发送给Alice的粒子进行(UG，UH)攻击。对于这个攻击，为了在步骤S5和步骤S6中不引起错误， Eve的探测态的最终状态应该独立于Bob和Charlie所制备的粒子的状态。因此， Eve没有得到任何关于Alice共享秘密的信息。

证明.在Eve攻击之前，Bob的手里有CTRL和SIFT_B粒子。用|s>A表示 CTRL粒子，|r>B表示SIFT_B粒子，其中|s>A∈{0>，|1>，|+>，|->}，|r>B∈{|0>，|1>}。在 Eve进行UG操作后，由粒子A和G组成的复合系统演变成

而由粒子B和G组成的复合系统则演变成

其中x∈{0，1}。在Eve进行UH操作后，由粒子A和G、粒子 B和G以及粒子C和G组成的复合系统将分别演变成

其中，|q>C代表SIFT_C粒子。

(i)Eve为了避免在步骤S5对CTRL粒子进行安全检测时被检测到，应满足以下关系：

从式(6)可以得到

|H0>＝|H1>＝|H>。 (7)

再将式(7)代入式(6)可以推导出

根据式(8)，Eve为了避免在步骤S5对CTRL粒子进行安全检测时被检测到， Eve的最终探测态应该独立于CTRL粒子。

(ii)根据式(6)可以得到以下等式

然后将式(7)代入式(9)可以推导出

式(10)意味着Eve的最终探测态与SIFT_B粒子是独立的，因此步骤S6对 SIFT_B粒子进行安全检测时不能检测到Eve。

(iii)结合式(5)和式(10)，在忽略全局变量后，可以得到

式(11)表示Eve的最终探测态与SIFT_C粒子无关，因此在步骤S6对SIFT_C 粒子进行安全检查时，Eve不会被检测到。

可以得出结论，Eve为了在步骤S5和步骤S6中不引入错误，Eve探测态的最终状态应该独立于Bob和Charlie所制备粒子的状态。因此，Eve没有得到关于Alice的共享秘密的信息。

另外，如果不诚实的Bob(Charlie)发起了图3所示的纠缠-测量攻击，下面的引理可以直接从定理1中得到。

引理1.假设Bob(Charlie)对Bob发送给Charlie的粒子和从Charlie返回到Alice的粒子进行(UG，UH)攻击。为了使这种攻击在步骤S5和步骤S6中不引起任何错误，Bob(Charlie)的探测态的最终状态应该独立于Charlie(Bob)所制备粒子的状态。因此，Bob(Charlie)没有得到任何关于Alice共享秘密的信息。

实施例

1、SQSS方法应用举例

这里通过一个例子进一步说明本发明方法实现秘密共享的过程。假设Bob 拥有的四个秘密经典比特“0011”表示为KB，Charlie拥有的四个秘密经典比特“0101”表示为KC。Bob在步骤S2根据他自己的秘密经典比特制备四个单光子处于量子态{|0>，|0>，|1>，|1>}。在步骤S3，Charlie根据她自己的秘密经典比特制备四个单光子处于量子态{|0>，|1>，|0>，|1>}。而Alice可以根据Bob和Charlie所公布的粒子顺序，采用合适的测量基去测量相应的单光子。在窃听检测之后， Alice可以得到KB和KC，而Alice的秘密为因此，只有当Bob和Charlie 合作时，他们才能恢复出Alice的秘密。

2、讨论

在本发明的方法中，量子方制备的粒子以环形方式进行传输。因此，有必要考虑来自窃听者的木马攻击，包括不可见光子的窃听攻击[50]和延迟光子的木马攻击[51-52]。为了防止不可见光子的窃听攻击，接收者可以在其设备前面插入一个滤波器，在处理之前滤除带有非法波长的光子信号[52-53]。为了克服延时光子木马攻击，接收者可以使用光子数分割器(Photon number splitter，PNS) 将样本的每个量子信号分成两部分，然后用合适的测量基去测量PNS后的信号 [52-53]。如果多光子率高得不合理，这个攻击就会被发现。

另外，本发明的方法需要制备、测量和储存单光子。相应地，它需要用到制备、测量和储存单光子的量子技术。幸运的是，这些量子技术目前都是可实现的。因此，本发明的方法具有良好的可执行性。

3、总结

本发明提出一种基于单光子的不要求经典通信者具备测量能力的环形半量子秘密共享方法，实现一个量子通信者和两个经典通信者之间的秘密共享。与现有半量子秘密共享方法相比，本发明方法的优势在于：(1)采用单光子作为量子载体而不是乘积态或者纠缠态；(2)以环形方式传输粒子；(3)不要求经典通信者具有测量能力。本发明的方法能抵抗测量-重发攻击、截获-重发攻击和纠缠-测量攻击。此外，本发明的方法目前具有良好的实际可执行性。