顺序通信的可验证门限量子秘密共享方法与流程

本发明涉及网络与信息安全技术领域，尤其涉及一种顺序通信的可验证门限量子秘密共享方法。

背景技术：

1)秘密共享：

(t,n)门限秘密共享的基本思想是将一个秘密分割成n个秘密份额,并将每一个份额分发给一个参与者，只有t(t≤n)个或t个以上的参与者合作才能恢复秘密，少于t个参与者无法恢复秘密，其中t为门限值。

(t,n)门限秘密共享方案有很多种实现方式，其中应用最为广泛的是基于多项式的shamir秘密共享方案:

该方案假定dealer是秘密分发者，n是参与者的数目,t是门限值，p是大素数且远大于n；秘密空间与份额空间均为有限域gf(p)。(t,n)门限秘密共享方案分为两个组成部分：

(1)秘密分发阶段：

(i)秘密分发者dealer随机选择一个gf(p)上的t-1次多项式f(x)＝a0+a1x+…+at-1x^t-1modd,,其中a0＝f(0)＝s,s为秘密，dealer对f(x)保密；

(ii)dealer在有限域gf(p)中选择n个互不相同的非零元素x1,x2,…,xn,计算si＝f(xi),1≤i≤n。

(iii)将(xi,si)(l≤i≤n)秘密分配给参与者ui，值xi是ui的公开信息，si作为ui的秘密份额。

(2)秘密重构阶段：

任何m，(n≥m≥t)，个参与者，比如，{u1,u2,…,um}，可以利用他们的秘密份额{s1,s2,…,sm}通过lagrange插值公式计算f(0)而恢复共享的秘密s。

2)基于单个d-level量子系统的秘密共享：

有一个大类问题，基于多系统纠缠的量子信息协议是否可以映射到涉及一个系统的更简单量子协议。armintavakoli在2015发表的基于单个d-level量子系统的秘密共享方案是该问题的一个成功的例子，参与者可以通过对量子态进行顺序操作，最终恢复初态得到秘密。该方案不基于纠缠态，因此在扩展性上有很好的优势。其具体的方案如下：

(1)dealer制备量子态：

假设共有n+1个参与者，记为{ri|i＝1,2,…,n+1}，假设第一个参与者r1是秘密的分发者，他首先准备量子态并选择两个随机数x1,y1∈gf(d)，并且对实施酉操作得到状态然后把量子态发送给下一个参与者r2。其中酉操作的作用可以描述如下：对于一个任意的量子态xd作用为

表示xd连续作用x1次，即

同理，yd作用为将转化为

(2)参与者顺序通信：

对于参与者{ri|i＝2,3,…,n+1}，他们每个人都生成两个独立随机的数xi,yi∈gf(d)，然后对从参与者ri-1接收到的量子态实施酉操作得到状态并发送给顺序的接收者ri+1，其中除了rn+1把量子态发回给r1。

(3)秘密重构：

r1随机选择j∈gf(d)，并且在测量基下测量量子态，测量结果标记为a∈gf(d)。在随机的轮次，只有参与者{ri|i＝2,3,…,n+1}公布他们的yi值。然后r1可以通过等式是否满足来宣布该轮次是否合法，否则放弃该轮。如果轮次合法，那么所有的私密数据{xi}将满足因此该关系可以用来进行秘密共享。

但是，上述方案的缺陷在于：

<1>方案是(n,n)结构，需要所有人都参与，因此不能灵活的应用在实际环境中。

<2>方案需要一个可信的第三方来测量最终结果，以及判定轮次的合法性，因此实际应用中会有信任问题。

<3>方案的成功率比较低，只有1/d的轮次是合法的，因此秘密共享的效率低下，不符合实际的需求。

上述方案虽然展示了一个可以将多纠缠系统的协议映射到涉及一个系统的更简单的量子协议，但是其中一些设计欠缺有效的考虑，如只是(n,n)结构，需要可信第三方以及方案成功效率低，使得其应用范围及实用性大大降低。

技术实现要素：

本发明的目的是提供一种顺序通信的可验证门限量子秘密共享方法，不但可以灵活的适用于一般的(t,n)门限场合，还可以在无需可信第三方的情况下以100％的成功率完成一轮秘密共享。

本发明的目的是通过以下技术方案实现的：

一种顺序通信的可验证门限量子秘密共享方法，包括：

私有share分配阶段：秘密分发者选择一个随机多项式，为每一个share持有者计算其各自的share，并安全的传递给相应share持有者；

量子秘密共享阶段：秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的量子态施加酉操作后传递给第一个参与者，第一个参与者结合其分配的share以及生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，并公布测量结果；然后所有的参与者通过交换各自生成的独立随机数，并配合测量结果能够推测出秘密分发者选定的两个秘密值与校验值，并通过验证推测出的两个秘密值与校验值是否满足设定的等式来检测本轮次是否存在欺骗；其中，所有参与者均为share持有者，且参与者数量满足设定的阈值。

由上述本发明提供的技术方案可以看出，无需全部share持有者参与即可合作恢复秘密，因此在应用上更具灵活性；同时，无需可信第三方，且提供可以验证的机制来检测欺骗，安全性得到保障，此外，还可以使得每一轮次都能合法的用来进行秘密共享，实用性大大提高。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种顺序通信的可验证门限量子秘密共享方法的流程图；

图2为本发明实施例提供的秘密share分发示意图；

图3为本发明实施例提供的量子秘密共享过程示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种顺序通信的可验证门限量子秘密共享方法，如图1所示，其主要包括如下步骤：

1、私有share分配阶段：秘密分发者(dealer)选择一个随机多项式，为每一个share持有者计算其各自的share(秘密份额)，并安全的传递给相应share持有者。

如图2所示，本步骤主要执行过程如下：

1)所述秘密分发者选择一个在有限域gf(d)上至多t-1次的随机多项式：f(x)＝a0+a1x+…+at-1x^t-1modd，其中s＝a0＝f(0)是私有值，所有的参数ak,k＝0,1,…,t-1都是有限域gf(d)上的值。

本领域技术人员可以理解，gf是galoisfield的缩写，即有限域，是仅含有限个元素的域，d为一个大素数，大素数在密码学中有定义且广泛应用，如rsa公钥密码系统，具体多大应该视协议的安全性要求，rsa公钥密码体系中的大素数即可保证安全性，本方案可以弱化，无需这么大的素数，满足设定的需求即可；gf(d)表示模d的有限域，即{0,1,2,...,d-1}。

2)秘密分发者为所有share持有者{ri|i＝1,2,…,n}计算f(xi)作为他们各自的share，其中n≥t，非零元素xi∈gf(d)是share持有者ri的公开信息，并且对于i≠l有xi≠xl，l＝1,2,…,n。

3)秘密分发者通过私人信道将share分发给对应的share持有者，保证share从秘密分发者安全的传递给share持有者。

2、量子秘密共享阶段：秘密分发者制备三个相同的初始量子态并结合其自己保有的私有值和选定的两个秘密值以及一个校验值分别对三个相同的量子态施加酉操作后传递给第一个参与者，第一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作再传递给第二个参与者，按照相同的执行方式，最后一个参与者结合其分配的share和生成的独立随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，并公布测量结果；所有的参与者通过交换各自生成的独立随机数，并配合测量结果能够推测出秘密分发者选定的两个秘密值与校验值，，并通过验证推测出的两个秘密值与校验值是否满足设定的等式来检测本轮次是否存在欺骗；其中，所有参与者均为share持有者，且参与者数量满足设定的阈值。

如图3所示，本步骤主要执行过程如下：

秘密分发者制备三个相同的初始量子态然后可以通过下面的步骤在m,(m≥t)个参与者之间共享秘密s1,s2∈gf(d)和校验值n∈gf(d)，本发明实施例中，所有参与者均为share持有者，且参与者数量满足设定的阈值：

1)秘密分发者对初始量子态|φv>施加酉操作得到量子态|φv>0；其中，p0¹＝s1,p0²＝s2,p0³＝n，q0¹＝q0²＝q0³＝d-s，并且p0^v,q0^v∈gf(d),s1＝s2nmodd；所述s1与s2表示秘密分发者选定的两个秘密值，n表示校验值。

2)假设秘密分发者要在m参与者{rj|j＝1,2,…,m,m≥t}之间共享秘密，按照顺序通信的方式，第一个参与者r1将接收到量子态|φv>0，之后对量子态|φv>0施加酉操作得到并发送给第二个参与者r2，其中p1^v是第一个参与者生成的相互独立的随机数，

3)按照上述2)中相同的方式，后续的参与者对其前一参与者发送的量子态施加对应的酉操作得到相应的量子态并传给下一个参与者，其中pj^v是第j个参与者生成的相互独立的随机数，pj^v,qj^v∈gf(d)。

4)最后一个参与者rm结合其分配的share以及生成独立的随机数对接收到的量子态施加相应的酉操作后利用测量基进行测量，测量结果记为kv，并公布测量结果。

5)测量完成后将得到一个全局等式所有的参与者通过交换各自生成的独立随机数pj^v，并配合测量结果kv能够推测出秘密分发者选定的两个秘密值与校验值，即同时，并通过验证推测出的两个秘密值与校验值是否满足p0¹＝p0²p0³modd来检测本轮次是否存在欺骗，从而提高本方案的安全性。

本发明实施例上述方案与armintavakoli方案的不同之处在于：

<1>在armintavakoli方案中，需要所有的参与者都参与到秘密的恢复阶段；而在本发明实施例上述方案中，只需要参与者的人数满足设定的阈值就可以合作恢复秘密，因此在应用上更具灵活性；

<2>armintavakoli方案需要可信第三方，且缺乏一定的验证机制；而本发明实施例上述方案无需可信第三方，且提供可以验证的机制来检测欺骗，安全性得到保障；

<3>armintavakoli方案无法保证每一轮次都能成功的进行秘密共享，效率只有1/d；而本发明实施例上述方案的设计可以使得每一轮次都能合法的用来进行秘密共享，实用性大大提高。

本发明实施例上述方案主要具有如下优点：

1)该方案比2-level量子秘密共享(qss)更具一般性和实用性；此外，私人秘密份额可以重复使用。

2)与基于纠缠态的方案相比，该方案可以在参与者数量上进行扩展。

3)作为(t,n)阈值qss，它在应用上比(n,n)-qss更灵活。

4)基于验证机制，它不依赖于任何受信任的第三方，并且能够在秘密重建期间检测到任何欺骗和窃听。

5)其他经典(t,n)-ss方案可用于取代嵌入的shamir方案，同时保留所有上述特点。

为了便于理解，下面以shamir的(t,n)门限秘密共享为基础，实现上述一个具体的(4,6)量子秘密共享方案，具体如下：

1)经典私有share分配阶段：

(1)dealer随机选择至多3阶的多项式f(x)＝7+3x+6x²+x³mod31。其中私有值s＝f(0)＝7。

(2)dealer为所有的share持有者{ri|i＝1,2,…,6}计算f(xj)作为他们各自的share，这里假设取xi＝i作为公开身份，则每个用户有身份与share对{ri,i,f(i)}，所以dealer分别计算share，得到{r1,1,17}，{r2,2,14}，{r3,3,4}，{r4,4,24}，{r5,5,18}，{r6,6,23}。

(3)dealer通过私人信道将{rj,j,f(j)}分发给对应的share持有者，保证share从dealer安全的传递给share持有者。

2)量子秘密共享阶段

dealer选定秘密值和校验值s1,s2,n为9,5,8满足9＝5×8mod31，并制备三个相同的量子态然后按照下面的步骤即可完成(4,6)门限的量子秘密共享。

(1)dealer选定p0¹＝9,p0²＝5,p0³＝8,q0¹＝q0²＝q0³＝24，然后对初态|φv>施加酉操作得到状态|φv>0。

(2)假设参与者{rj|j＝1,2,3,4}需要合作恢复秘密，那么r1从dealer处接收三个量子态，并随机选择相互独立的数p1^v为7，11，23，然后计算

最后对量子态施加酉操作得到|φv>1并发送给r2。

(3)其他的参与者{rj|j＝2,3,4}依次按照步骤(2)中步骤，对量子态施加对应的酉操作得到相应的量子态|φv＞j并传给下一个参与者，其中p2^v为21，1，16；p3^v为11，18，26；p4^v为5，15，27；

(4)最后一个参与者r4保留这三个量子态并用测量基进行测量，结果标记为k1,k2,k3分别为22，19，7并公布这些测量结果。

(5)所有的参与者可以通过交换他们添加的随机数pj^v，并辅以测量结果就可以推测出初始的秘密值，即因此任意参与者都可以计算出p0¹＝9,p0²＝5,p0³＝8,且可以验证p0¹＝p0²p0³modd来进行检测欺骗与窃听。因此最终参与者{rj|j＝1,2,3,4}可以恢复出dealer的秘密即s1＝9,s2＝5。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。