带身份认证的的高效量子秘密共享方案

合集下载

可验证的(nn)门限量子秘密共享方案

ＭＡＭｉｎ，ＬＩＺｈｉｈｕｉ，ＸＵＴｉｎｇｔｉｎｇ
（ＣｏｌｌｅｇｅｏｆＭａｔｈｅｍａｔｉｃｓａｎｄＩｎｆｏｒｍａｔｉｏｎＳｃｉｅｎｃｅ，ＳｈａａｎｘｉＮｏｒｍａｌＵｎｉｖｅｒｓｉｔｙ，Ｘｉ ’ ａｎ７１０１１９，Ｃｈｉｎａ）
Ｂｅｌｌｓｔａｔｅｓ．Ｉｎｔｈｅｄｉｓｔｒｉｂｕｔｉｏｎｐｈａｓｅ，ＡｌｉｃｅｄｉｓｔｒｉｂｕｔｅｓｔｈｅｓｈａｒｅｓｔＯｔｈｅｐａｒｔｉｃｉｐａｎｔｓｔｈｒｏｕｇｈｔｈｅｑｕａｎｔｕｍｓｅｃｕｒｅｃｈａｎｎｅ１．Ｉｎｔｈｅｒｅｃｏｖｅｒｙｐｈａｓｅ，Ａｌｉｃｅｇｅｎｅｒａｔｅｓａｔｗｏ — ｂｉｔＢｅｌｌｓｔａｔｅｉｎＨｉｌｂｅｔｒｓｐａｃｅ，ａｎｄｔｈｅｎｔｈｅｐａｒｔｉｃｉｐａｎｔｓａｎｄＡｌｉｃｅｐｅｒｆｏｒｍｓｏｍｅ
ｒｅｔｒａｎｓｍｉｓｓｉｏｎａｔｔａｃｋ，ｅｎｔａｎｇｌｅｄｍｅａｓｕｎｅｍｅｎｔａｔｔａｃｋ，ｐａｒｔｉｃｉｐａｎｔｓａｔｔａｃｋ，ａｎｄｔｒｏｊａｎｈｏｒｓｅａｔｔａｃｋ．

量子通信中的量子密钥分发与共享

量子通信中的量子密钥分发与共享量子通信作为一种安全性较高的通信方式，引起了广泛的关注和研究。

在量子通信中，保证信息的安全性是至关重要的。

而量子密钥分发与共享正是保证信息传输过程中的安全性的关键技术之一。

一、量子密钥分发的原理与方法量子密钥分发是指在量子通信系统中通过量子纠缠等基于量子力学原理的方式，将密钥安全地分发给通信双方。

在这个过程中，通信双方可以通过比特值的基准选择和公开通信等步骤来实现量子密钥的建立。

量子密钥分发中最常用的协议是基于BB84协议的方法。

该协议通过使用两组正交基底，分别为0和1的基底以及+和×的基底，将携带密钥的量子比特按照不同的基底传输。

接收方通过对接收到的量子比特进行测量，并选择合适的基底进行解码，从而得到密钥。

二、量子密钥共享的原理与方法量子密钥共享是指通过量子纠缠技术，将密钥安全地分发给多个通信节点，实现密钥在多个节点之间的共享。

在量子密钥共享过程中，通信节点之间利用量子纠缠关系进行信息传递和比特运算，从而实现对密钥的共享和传输。

目前，最常用的量子密钥共享协议是基于E91协议的方法。

该协议通过量子纠缠态的产生和测量结果的比较来实现密钥的共享。

通信节点之间通过将自己的测量结果进行公开，可以验证纠缠态是否存在，从而达到密钥共享的目的。

三、量子密钥分发与共享的应用量子密钥分发与共享技术被广泛应用于保密通信和量子密码学等领域。

它可以提供更高级别的安全性保障，使得通信过程中的信息不易受到攻击和窃取。

一方面，量子密钥分发技术可以用于实现安全的密钥交换协议，确保通信双方共享的密钥不会被第三方窃取。

这为安全通信提供了坚实的基础，可以有效地保护重要信息的传输。

另一方面，量子密钥共享技术可以实现多节点之间的安全通信。

通过将密钥共享给多个节点，可以构建起一个安全可靠的通信网络，提高信息传输的可靠性和安全性。

除此之外，量子密钥分发与共享技术还应用于量子随机数生成、量子认证和量子签名等领域。

高效的三方量子秘密直接共享方案

高效的三方量子秘密直接共享方案张晓倩;谭晓青;梁翠【期刊名称】《计算机应用研究》【年(卷),期】2015(32)11【摘要】提出了一个基于 GHZ 态的新颖且高效的量子秘密直接共享方案。

在这个方案中，Alice 通过让 Bob 和Charlie 恢复 Alice 自己的操作来共享密钥，并利用三方之间 GHZ 态的相关性来检测窃听。

分析表明，方案不仅可以抵抗外部窃听者的截获—重发攻击、纠缠附加粒子攻击，还能抵抗内部参与者的截获—重发攻击，效率达到了100％。

%This paper proposed a new and efficient scheme for quantum secret direct sharing based on GHZ state.In this scheme,Bob and Charlie were able to share Alice’s secrets by recovering Alice’s operation.It was used to detect eavesdrop-ping between three parties by correlation of GHZ states.The scheme was secure against not only external eavesdropper’s inter-cept-and-resend and entangle-auxiliary attack,but also intercept-and-resend attack from internal participants.The total effi-ciency of the scheme approaches to 100%.【总页数】5页(P3430-3434)【作者】张晓倩;谭晓青;梁翠【作者单位】暨南大学信息科学技术学院数学系，广州 510632;暨南大学信息科学技术学院数学系，广州 510632;广东工业大学应用数学学院，广州 510006【正文语种】中文【中图分类】TP309.7【相关文献】1.改进的三方量子秘密共享协议 [J], 何业锋;侯红霞2.一种高效的量子秘密共享方案 [J], 郭奋卓;高飞;温巧燕;朱甫臣3.基于极化单光子的高效安全量子秘密共享方案 [J], 李宏欣;王伟4.基于六量子态的高容量量子秘密共享方案 [J], 许娟;陈汉武;刘志昊;袁家斌5.基于量子行走的量子秘密共享方案 [J], 李雪杨;昌燕;张仕斌;代金鞘;郑涛因版权原因，仅展示原文概要，查看原文内容请购买。

一个新的可验证多秘密共享方案

一个新的可验证多秘密共享方案随着信息传输和存储的需求不断增加，如何保护隐私和安全成为了一个重要的议题。

在许多情况下，多方需要共享一些敏感信息，但又不希望任何一方能够单独掌握所有的信息。

为了解决这个问题，提出了一种新的可验证多秘密共享方案。

这个方案基于Shamir的秘密共享方案和零知识证明技术，具有以下特点：1.多秘密共享的可靠性：在该方案中，多个秘密被拆分成多个部分，并分别分发给不同的参与方。

每个参与方只能获得部分秘密，需要所有参与方齐心协力才能还原出完整的秘密。

这种方式保证了秘密的安全性和可靠性。

2.可验证性和不可篡改性：在方案中，每个参与方都可以通过零知识证明来验证其他参与方所持有的信息是否正确，从而确保了信息的真实性。

此外，方案还具有不可篡改性，任何一方都无法伪造或篡改信息。

3.高度的隐私保护：由于每个参与方只持有部分秘密，其他方无法单独获知完整的信息。

即使有些参与方相互合谋，也无法还原出完整的秘密信息。

这种设计保护了秘密信息的隐私。

4.动态性和灵活性：该方案能够应对不同场景下的需求，灵活地扩展参与方的数量和秘密的复杂度。

而且，方案还支持动态添加或移除参与方，保证了系统的灵活性。

5.高效性和低成本：相比传统的密钥分发方式，该方案减少了信息的传输和存储成本，提高了通信效率和系统的可扩展性。

同时，采用零知识证明技术也减少了通信量和计算开销。

在该方案中，每个参与方首先将自己的秘密进行拆分，并分发给其他参与方。

每个参与方之间通过零知识证明验证所持有的信息的正确性，然后合作还原出完整的秘密。

在整个过程中，每个参与方都可以通过公开的验证算法来验证其他方的行为，确保信息的真实性和完整性。

总的来说，这个可验证多秘密共享方案结合了Shamir的秘密共享方案和零知识证明技术，具有可靠性、可验证性、隐私保护、动态性、高效性和低成本等优点。

在信息安全和隐私保护领域具有重要的应用前景。

可认证的三方量子密钥协商协议

第36卷第2期福建电脑 Vol. 36 No.22020年2月Journal of Fujian ComputerFeb. 2020———————————————本文得到国家自然科学基金(No. 61976053、No. 61772134)、福建省自然科学基金(No. 2018J01776)、福建省高等学校新世纪优秀人才支持计划资助。

吴怡婷(通信作者)，女，1996年生，主要研究领域为量子智能计算。

E-mail: 707601624@ 。

可认证的三方量子密钥协商协议吴怡婷(福建师范大学数学与信息学院福州 350117)摘要本文利用纠缠交换的特性，提出一个具有认证功能的三方量子密钥协商协议。

协议以Bell 纠缠态为信号载体，通过一个半可信的第三方将这些粒子传输给三个参与者，并结合纠缠交换技术实现三个参与者共享Greenberger-Horne-Zeilinger 态的目的。

同时，利用该量子态测量的相关性，使协议的安全性得到保证。

此外，协议基于经典hash 函数，实现对参与者的身份认证功能。

关键词量子密钥协商；身份认证；纠缠交换；GHZ 态；Bell 态中图法分类号 03.67.Hk 03.67.Dd 03.65.Ud DOI:10.16707/ki.fjpc.2020.02.007Three-Party Quantum Key Agreement Protocol with AuthenticationWU Yiting(College of Mathematics and Informatics, Fujian Normal University, Fuzhou, China, 675000)Abstract Utilizing the advantage of quantum entanglement swapping, a three-party quantum key agreement protocol with authentication is proposed. In this protocol, the Bell entangled states are used as signal carriers and transmitted to three participants by a semi-honest third party (called TP). And the participants can share a Greenberger-Horne-Zeilinger state by entanglement swapping. Meantime, the correlations of GHZ measurements help ensure the security of the protocol. Besides, based on the classic hash function, this protocol can achieve the identity authentication of participants.Keywords Quantum Key Agreement; Authentication; Entanglement Swapping; GHZ State; Bell State1 引言随着计算技术和通信技术的飞速发展，人们对信息的需求与日俱增，人类社会正在步入信息化时代，各类非法获取有效信息的事件不断发生，因此，为保障信息安全而实施的密码通信有着非常重要的意义。

一种基于身份加密的可验证秘密共享方案_李大伟

一种基于身份加密的可验证秘密共享方案李大伟,杨庚,朱莉(南京邮电大学计算机学院,江苏南京210003)摘要: 提出了一种使用IBE 公钥算法实现的可验证秘密共享方案.该方案中秘密分发者将IBE 私钥作为共享秘密在接入结构中分发,任何参与者可以通过公开的验证信息验证影子秘密的正确性.随后在随机预言模型中证明了所提方案的语义安全性.理论分析和仿真实验表明,方案可以有效检测来自内外部攻击者的欺骗攻击,并具有较低的时间复杂度和通信开销.关键词: 可验证;秘密共享;基于身份加密中图分类号: TP309 文献标识码: A 文章编号: 0372 2112(2010)09 2059 07An ID Based Verifiable Secret Sharing SchemeLI Da wei,YANG Geng,Z HU Li(Colle ge o f Computer Scie nce,Nanjing U nive rsity of Posts and Telecommunications.Nanjing ,Jiangsu 210003,China )Abstract: A verifiable secret sharing scheme based IBE is proposed.In the scheme,the shared secret is the private key which extracted by IBE algorithm and every participator can verify the s hares conveniently by the public information.A formal proof of se mantic security of the scheme is provided in the random oracle model.The theoretical analy sis indicates that the scheme can detect cheatings from both inside and outside attacker.The simulation results demons trate that the proposed scheme has remarkable perfor mance in both computation and communication cost.Key words: verifiable;secret s haring ;identity based encryption (IBE)1 引言秘密共享技术是分布式系统中数据保密的重要手段.其主要思想是将共享的秘密分发给接入结构中不同的参与者,达到门限数量的参与者合作才能重构共享的秘密.目前典型的秘密共享体制是Sha mir 提出的基于拉格朗日插值的方案.Shamir 方案的一个假设前提是系统中所有参与者都是可信的,因此无法抵抗某些不诚实参与者发起的欺骗攻击.为解决这个问题,Chor 等[1]首次提出了可验证秘密共享(Verifiable Secret Sharing,VSS)的概念.通过附加的交互式认证算法,参与者可以检验所收到的影子秘密的正确性.此方案的缺点是参与者只能验证各自收到的影子秘密的正确性,难以验证来自其它参与者的影子秘密.为此,Stadler [2]对Chor 方案进行改进,提出了公开可验证的秘密共享(Publicly Ve rifiable Secret Sharing,PVSS)概念.所谓公开可验证是指任何人可以通过公开信息验证影子秘密是否有效而不泄露共享的秘密和参与者持有的影子秘密.Stadler 分别基于离散对数和复合数取模的e 次方根给出了两个PVSS 方案,但这两个方案通信量和计算量都很大(最坏情况为O( 2n)),难以在实际环境中广泛应用.随后有学者致力于对Stadler 方案效率的改进,例如Fujisaki 和Okamoto [3]提出的方案.为降低验证过程的通信开销,Sc hoenmakers [4]使用非交互零知识证明协议实现了一个PVSS 方案,达到了O ( n)的复杂度.近年来,随着密钥托管系统、具有可撤销匿名性的电子支付协议以及电子选举协议的发展,PVSS 方案研究得到了广泛关注[5~7].Yu 等[8]基于零知识证明协议提出的动态P VSS 方案能灵活处理节点加入和退出.Wang 等[9]和Tar tary 等[10]提出的可验证多秘密共享方案能为每个共享秘密设置不同的门限值,提高了系统灵活性和易用性.Pang 等[11]提出的方案影子秘密具有可重用的特性,而Dehkordi 的方案[12,13]具有较好的可用性.上述方案的缺点是验证过程多基于离散对数难解问题,需进行多次模指数运算实现,计算量较大.当方案中秘密共享过程不以离散对数难题作为安全基础时,则需要额外的算法支持,带来计算开销.收稿日期:2009 06 25;修回日期:2010 04 28基金项目:国家自然科学基金(No.60873231);国家973研究发展规划项目(No.2011CB302903);江苏省高校自然科学基金(No.08KJB520006);江苏省六大人才高峰基金(No.06 E 044)第9期2010年9月电子学报ACTA ELECTRONICA SINICA Vol.38 No.9Sep. 2010可验证秘密共享方案主要解决秘密共享中的欺骗问题.秘密共享中欺骗攻击主要包括秘密分发者欺骗和参与者欺骗两种情况.分发者欺骗指秘密分发者为某个参与者分配假的影子秘密,致使该参与者在秘密重构时不能提供有效的秘密份额.而参与者欺骗是参与者在秘密重构过程中对其他合作者提供假的影子秘密,会在不影响自身利益的情况下妨碍其合作者秘密重构.针对以上两种攻击,典型的可验证秘密共享方案应该满足:(1)在秘密分发阶段,每个参与者可有效的检验秘密分发者是否发送了正确的影子秘密.(2)在秘密重构阶段,每个参与者可有效的检验其他参与者是否提供了正确的影子秘密.本文基于IBE公钥加密算法,提出了一个可验证的秘密共享方案.方案使用双线性映射在秘密分发阶段生成影子秘密的同时生成验证信息,不需要额外的辅助算法.验证算法采用基于双线性映射的零知识证明算法,参与者可通过公开信息方便有效的对影子秘密进行验证.2 IBE公钥算法基础IBE公钥算法的安全性建立在CD H(Computa t ional Diffie Hellman)困难问题的一个变形之上,称之为BDH (Bilinear Diffie Hellman)问题[14].记Z q={0,!,q-1}为素数阶q的加法群,Z为正整数,G为加法群,F为乘法群.定义1(双线性映射) 对所有x,y∀G,a,b∀Z,映射^e:G#G∃F称为双线性映射,满足:(1)双线性:^e(ax,b y)=^e(x,y)ab;(2)非退化性: P,Q∀G,满足^e(P,Q)%1;(3)可计算性:存在多项式时间算法计算^e(x,y).给定&G,q,P,aP,b P∋,随机选择a,b∀Z*q,计算abP∀G称群G上的CD H问题.随机算法G( )使用一个安全参数 ∀Z+,在阶多项式时间内输出阶q的加法群G和乘法群F,及其上的双线性映射^e:G#G∃F.对P∀G*,a,b,c∀Z*q,计算^e(P,P)abc称为BDH 问题.I BE公钥算法由四个函数Setup,Extract,Encrypt和Decrypt组成,分别完成系统参数建立、密钥提取、加密和解密的功能.若s为主密钥,Ppub 为系统公钥,H1,H2为单向散列函数,M为明文,身份I D对应的公私钥分别为QID=H1(ID),D ID=sQ ID.Encrypt:选择r∀Z*q.密文C=(U,V),其中U= rP,V=H2(k)M,k=^e(Q ID,P pub)r.Decrypt:M=V H2(^e(D ID,U)).3 方案构成方案基于IBE公钥加密算法,加密者可以通过特定ID的公钥对消息M进行加密得到C.需要进行解密时,解密者首先需要联系持有共享秘密的解密服务器节点,得到多于门限t份影子秘密后,解密者可以通过拉格朗日插值定理重构解密算子,进而解密密文C得到明文M.方案包括系统初始化,共享秘密分发和秘密重构三个阶段.前两个阶段由秘密分发者D完成,方案中秘密分发者同时作为I BE算法的PKG,在秘密分发过程中运行Setup和Extract算法.影子秘密验证过程基于Chaum和Pede rsen非交互零知识证明算法[15]的改进算法,我们称之为B-DLEQ (g1,h1;g2,h2; )算法.其中g1,g2∀(G,+),h1,h2∀GF(P2)*, 为证明者要证明的秘密参数,满足h1=^e ( ,g1),h2=^e( ,g2).H为安全散列函数.证明者选取w∀(G,+),计算E1=^e(w,g1),E2=^e(w,g2),c= H(E1(E2),r=w- c mod q.公开证据PROOF P=(r, c).验证者V通过等式c)H(^e(r,g1)h c1||^e(r,g2)h c2)验证证明者是否拥有正确的 .3!1 基本假设系统结构和信道假设.系统由秘密分发者D(兼有PKG功能)和n个参与者P={P1,P2,!,P n}组成,P 中参与者是解密服务器节点,同时根据实际需要担当解密者的角色.所有节点共享一条广播信道,该信道在稳定性,延迟等方面处于理想状态.任何两个节点间存在一条私有信道,在此信道中传输的信息无法被第三者获取.私有信道可以由硬件实现也可通过加密方法实现.攻击者假设.攻击者分为内部攻击者和外部攻击者.内部攻击者的攻击行为主要表现为影子秘密欺骗.即通过提供虚假的影子秘密企图阻止其他参与者获得共享秘密,在其理想情况(其他参与者都诚实)下只有欺骗者可获得共享秘密.外部攻击者能获得广播信道中所有的公开信息,其攻击行为表现在攻击P中节点,企图获得节点存储的信息(如ID,影子秘密等),并操纵攻破的节点.所有类型的攻击者都可以访问广播信道,进行诸如插入错误信息等攻击.3!2 方案描述3!2!1 系统初始化阶段给定一个安全参数 ,选择大素数p( bit),找一条满足CD H安全假设的超奇异椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2 )阶子群(G,+)和其生成元P,双线性映射^e:G#G| GF(P2)*.设l为明文长度.单向散列函数H1,H2,H3定义为:2060 电子学报2010年H1:{0,1}*| G*;H2,H3:GF(P2)*| {0,1}l.选择主密钥s∀Z*q,计算系统公钥P pub=sP,返回系统参数pa ra=(G,q,P,^e,H1,H2,H3,P pu b).3!2!2 秘密分发和验证阶段秘密分发过程由秘密分发者D完成.秘密分发者执行Extract算法生成特定I D对应的公私钥对Q ID= H1(I D)和D ID=s Q I D.将D I D作为共享秘密分发给参与者集合P中成员.Step1 随机选择插值多项式的系数集合{a j|a j∀G*;j=1,2,!,t-1;a t-1%0}构造t-1阶多项式F(x)=D I D+∗t-1j=1a j x j, x∀{0}+I N(1)其中I N为正整数集合.Step2 计算参与者P i的影子秘密S i=F(i),计算y i=^e(S i,P),1,i,n;Step3 计算验证密钥U j=^e(a j,P pub),1,j,t-1,U0=^e(D ID,P pub);Setp4 通过私有信道发送S i给P i,通过广播信道公布yi,U j,1,i,n,0,j,t-1.任何参与者可以通过公开信息计算Y i=−t-1j=0U i j j(2)分发者D使用B-DLEQ(Ppub,Y i;P,y i;S i)算法生成证据.首先随机选择wi ∀(G,+),计算E1i=^e(w i,P pub),E2i=^e(w i,P),c i=H3(Y i(y i(E1i(E2i),r i= w i-S i c i mod q.公开证据PROOF i=(r i,c i),1,i,n.收到影子秘密后,参与者Pi 通过公开信息计算E1i=^e(r i,P pub)Y c i i,E2i=^e(r i,P)y c i i.验证等式c i)H3(Y i(yi (E1i(E2i).若等式成立,说明D发送的影子秘密是正确的.3!2!3 秘密重构阶段需要解密M的参与者PD向P中成员提出解密申请,通过身份验证后收到来自P中t个成员的影子秘密,其执行的操作如下(设t个成员组成的授权子集为).Step1 验证收到的影子秘密合法性.一般的,参与者Pi 收到参与者Pj(i%j)的影子秘密S j后,根据公开信息Ui,0,i,t-1计算Y j=−t-1l=0U j l l.结合公开参数运行B-DLEQ(Ppub,Y j;P,y j;S j)中验证算法,若成立则证明收到的影子秘密是正确的.Step2 给定IBE密文(U,V),P i计算k=−j∀^e(S i,U)C0,j.其中C0,j为拉格朗日系数,定义为:Cx,j=−l∀,l%j x-lj-l∀Zq.集合∀{1,2,!,n},.t.于是参与者PD得到解密算子k,根据IBE加密算法,明文M=V H2(k).4 证明和分析4!1 正确性证明下面通过两个定理证明方案的正确性.定理1若参与者P i收到的影子秘密通过B-D LEQ(P p ub,Y i;P,y i;S i)验证,则S i为正确秘密多项式产生的影子秘密且在传输中没有被篡改.证明已知,秘密分发过程中秘密分发者D发送的公开参数y i=^e(S i,P),验证密钥U0=^e(D ID,P pub), U j=^e(a j,P pub),0,j,t-1.根据双线性映射的性质,参与者P i容易得到:Yi=−t-1j=0U i j j=^e(D ID+∗t-1j=1a j i j,P pub)=^e(S i,P p ub)根据B-DLEQ(Ppub,Y i;P,y i;S i)算法的证据PROOF i,有:E1i=^e(r i,P pub)Y c i i=^e(w i-S i c i,P pub)^e(S i,P p ub)c i=^e(w i,P pub)同理,E2i=^e(r i,P)y c i i=^e(w i,P).显然,正确的影子秘密能够通过前述的基于双线性映射的零知识证明协议.证毕.由于参数PROOFi,y i,U j,(1,i,n,0,j,t-1)在共享秘密分发时已经公开,因此在秘密重构过程中,解密请求者也可通过这些信息验证来自任意参与者的影子秘密.定理2 若存在接入结构中的授权子集,满足.t(t为门限值),则解密者根据中成员提供的影子秘密可以解密密文C得到M.证明需要解密C的参与者PD向中成员发送解密请求,认证通过后得到通过验证的影子秘密{Si|i∀}.将Si同密文中的分量U做双线性运算,结合拉格朗日插值定理,有:k=−j∀^e(S j,U)C0,j=^e(∗j∀C0,j S j,U)=^e(D ID,U)根据IBE算法,明文为:M=V H2(k).证毕4!2 安全性证明类似于公钥加密算法语义安全性证明,我们给出方案在随机预言模型下的安全性证明.本方案核心为根据特定I D在接入结构下共享IBE私钥,证明的基本2061第 9 期李大伟:一种基于身份加密的可验证秘密共享方案思想是攻击者选择两个ID发送给挑战者,后者随机选择一个ID对应的IBE私钥在授权子集中共享.若攻击者通过重构恢复共享秘密后不能以明显大于1/2的概率正确猜测共享秘密来自哪个ID,就称方案具有语义安全性.关于秘密共享方案语义安全性证明的详细论述,参见文献[16].假设多项式时间算法A对秘密共享方案进行攻击,其过程如下:初始化阶段:攻击者宣布被挑战的参与者集合P.系统运行系统初始化过程,根据安全参数k生成系统参数para并公布.攻击者发出影子秘密询问请求,得到P中子集P/的影子秘密.集合P/满足P0P/=t-1 (t为门限值).询问阶段:攻击者提供2个身份标识I D,I D1提交给秘密分发者.后者随机掷硬币得到b∀{0,1},然后运行秘密分发算法,将ID b对应的IBE私钥D I Db在集合P 成员中分发.猜测阶段:重复前一阶段过程.攻击者通过猜测第t个参与者的影子秘密,重构D IDb.输出对b的猜测b/,攻击算法A的优势定义为adv IND CC AA =Pr[b/=b]-12(3)下面通过一个定理证明对本方案的攻击具有攻破IBE公钥算法具有等同的困难性.定理3 若攻击者能攻破本方案,则存在一个多项式时间模拟算法能以不可忽略的优势攻破IBE公钥算法.证明假设存在一个多项式时间攻击者能够以优势!攻破本方案,构造一个模拟算法Simulator,使其能模拟本方案,并能对IBE公钥算法进行攻击.运行初始化过程,根据安全参数k选择大素数p(k bit),选择椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2k)阶子群(G,+)和生成元P,双线性映射^e:G #G| GF(P2)*.单向散列函数H1,H2,H3,选择主密钥s∀Z*q,系统公钥P pub=sP,返回系统参数para=(G,q,P,^e,H1,H2,H3,P pub).算法Simulator中Extract函数掷硬币得到∀∀{0, 1}.若∀=0,根据攻击者询问的ID,生成对应的私钥D ID =sQ ID.Simulator选择随机多项式F(x),计算影子秘密S i=F(i),y i=^e(S i,P),1,i,n;计算验证密钥U j=^e (a j,P),1,j,t-1,U0=^e(D ID,P).若∀=1,随机生成与正确私钥等长的信息,在授权子集中分发.询问阶段:攻击者提交挑战信息ID,ID1给模拟算法Simula tor.Si mula tor随机掷硬币得到#∀{0,1}.选择P 中子集P/,满足生成私钥,并将P/中成员应得的影子秘密发送给攻击者,公开验证信息.猜测阶段:模拟算法重复前一阶段过程.攻击者猜测#的值,记为#/.当#/=#时,表示攻击者猜中了正确的结果,模拟算法调用Extract函数,输出对应ID的正确的IBE私钥并分发,此时Simulator输出∀/=0.相反,若#/%#,模拟算法输出并分发与正确IBE私钥等长的随机信息,此时Simulator输出∀/=1.考虑以下两种情况:(1)∀=0时,模拟算法分发了正确的IBE私钥,成功的攻击者能恢复正确的共享秘密,表明攻击者攻破了本方案.根据假设条件,这种情况发生的概率为!.于是有:Pr[#/=#|∀=0]=12+!(4)在成功的情况下,∀/=0.事件#/=#等价于事件∀/=∀,由公式(4)可得在∀=0时模拟算法成功攻破IBE 公钥算法的概率为:Pr[∀/=0]=Pr[∀/=∀|∀=0]=12+!(5)(2)∀=1时,模拟算法分发的影子秘密中不包括IBE私钥相关的任何信息,因此攻击者无论如何猜测,都不能得到共享秘密的任何信息.有:Pr[#/%#|∀=1]=Pr[#/=#|∀=1]=12(6)在此情况下,Simulator输出∀/=1,因此事件#/%#的等价事件为∀/=∀.公式(6)可得在∀=1时模拟算法成功攻破IBE算法的概率为:Pr[∀/=1]=Pr[∀/=∀|∀=1]=Pr[#/%#|∀=1]=12(7)结合公式(5)和(7),有:Pr[∀/=∀]=Pr[∀/=0]1Pr[∀=0]+Pr[∀/=1]1Pr[∀=1]=(12+!)112+12112=!2+12故Si mulator成功攻破IBE公钥算法的优势为:advAIND-C C A=Pr[∀/=∀]-12=!2.证毕.4!3 欺骗检测秘密分发者欺骗发生在秘密分发阶段,不诚实的秘密分发者通过为某个参与者分配虚假影子秘密,使该参与者所持的影子秘密无法进行秘密重构.在本方案中,参与者Pi收到影子秘密后,可以通过公开的验证信息PROOFi,y i,U j(1,i,n,0,j,t-1)验证影子秘密的正确性.由于验证密钥是公开的,并且同秘密多项式系数相关联,秘密分发者不能在不影响其他参与者影子秘密验证的情况下对特定的参与者进行欺骗.2062 电子学报2010年在秘密重构阶段,任何参与者都可以通过公开的验证信息判断收到的影子秘密的正确性.验证过程基于双线性映射的零知识证明协议,参与者并不知道秘密多项式的相关信息,无法伪造信息通过验证.因此可以有效检测参与者欺骗行为.综上所述,方案满足前述的可验证秘密共享方案必须满足的两个条件.4!4 抗攻击分析(1)内部攻击内部攻击主要来自于秘密分发者和参与者之间的恶意欺骗.对于参与者来说,发送错误的影子秘密可以在不影响自己秘密重构的前提下防止其他参与者重构共享秘密.在(t,t)密钥共享体制下,存在一种情况使得除恶意参与者之外的其他所有参与者都得不到共享的秘密信息.本文方案的验证机制可有效的对发送方的影子秘密进行正确性验证,从而能阻止内部攻击的发生.此外,由于秘密共享方案具有一定的鲁棒性,在(n, t)秘密共享体制下,即使有恶意参与者存在的情况下,任何包括t个通过影子秘密正确验证的子集都能恢复共享秘密.(2)外部攻击若攻击者A不属于参与者集合P,即A为外部攻击者.A能获取广播信道上传输的所有公开信息,包括系统参数para,验证参数等.公开信息中Uj是秘密多项式系数经过双线性映射计算后的数值.根据双线性映射的性质,攻击者通过U j推测秘密多项式系数面临CD H难解问题的复杂度.同理,攻击者通过y i也无法得到关于影子秘密的任何信息.外部攻击者的另一攻击方法是通过各种手段攻破P中参与者,获得影子秘密等信息.若攻击者获得了少于t个正确的影子秘密企图重构共享秘密,其难度相当于攻破Shamir秘密共享方案.若攻击者获得了t-1个正确的影子秘密企图猜测最后一个影子秘密的值恢复共享秘密,相当于在GF(q)中进行随机猜测,其成功概率仅为1/q.4!5 性能分析与对比(1)计算性能方案主要由共享秘密的分发、影子秘密验证和共享秘密恢复三个协议组成.其中共享秘密的分发和恢复使用基于IBE的门限算法,影子秘密验证使用基于双线性对的零知识证明算法.从计算复杂度方面分析,计算量主要集中在双线性对^e的计算拉格朗日插值等方面(表1).需要指出的是,秘密分发过程包含了分发者对所有影子秘密证明参数的计算,从而带来了一定的计算开销,考虑到实际应用中秘密分发节点通常具有较多的系统资源,因此这些开销不会造成系统瓶颈.表1 方案计算量操作秘密分发份额验证秘密重构^e运算3n+t2tHash运算210Lagrange插值001模指数运算0t+1t-1注:n为节点数量,t为门限值.表1显示,方案的计算量与系统规模有关.设系统中节点数量为n,门限值为t.目前求解双线性映射的一种可行算法是Boneh Franklin提出的基于有限域内超奇异椭圆曲线的算法[17],其计算复杂度为O(log2q).目前普遍使用的快速求幂方法求解模指数运算的计算复杂度为O(log2n).相对于^e运算和模指数运算,拉格朗日插值多项式的运算具有更高的计算复杂度,目前已知的构造经过n个点的插值多项式需要O(n lg2n)次乘法运算,而目前拉格朗日插值算法的复杂度为O(n log22n),插值的计算开销与插值多项式的次数有关.(2)通信量方案通信主要包括广播和单播.众所周知,广播通信是最有效、最节省能量的通信方式.我们方案的各个阶段较多的使用了广播通信,如公布公共参数和验证信息以及系统同步等.相对于广播通信,方案中只有在分发和交换影子秘密时使用安全信道的点对点单播,通信数据量较小.(3)与现有方案的比较与分析下面就秘密共享各阶段的运算量、通信量等方面将本方案与已有方案进行对比分析(表2).比较的标准为复杂运算的调用次数,因为这些运算是方案计算复杂度的主要来源.我们比较的运算包括:双线性对运算(E)、椭圆曲线标量乘运算(M)、模指数运算(S)和拉格朗日插值运算(L),其它运算由于运算量较小而忽略不计.表2 与已有方案的对比分析方案秘密分发阶段影子秘密验证阶段秘密重构阶段通信量验证算法基础本文方案(3n+t)E2E+(t+1)StE+(t-1)S+1L(3n+t)|q|CDH Ti an Peng方案[6](4n+t)M(t+1)E+tS2E+3M+1L(3n+t+1)|q|ECC Yu Kong方案[8](4n+2t+1)S(2n+t+2)S2nS+1L(5n+2)|q|D LPang Li方案[11]>6nM nM tM+1L(3n+1)|q|ECC Dehkordi Mas hhadi方案[13]3nS tS(n-t)S+1L(3n+t+1)|q|D L通过对比可以看出,方案[8,13]由于使用离散对数难题实现影子秘密的验证,引入了较多的模指数运算,其2063第 9 期李大伟:一种基于身份加密的可验证秘密共享方案计算复杂度比使用椭圆曲线(ECC)和CDH 的方案高.而方案[11]在秘密分发阶段生成了一个过n +t 个点的秘密多项式,需要额外付出O ((n +t )lg 2(n +t))的计算量.显然,所提方案在计算量方面具有优势.通信量方面,所提方案主要使用广播信道和非交互式验证,可以用较少通信量实现可验证秘密共享.5 仿真实验为验证方案在实际场景中的性能,我们使用MSVC6.0实现并部署了所提方案.仿真环境是实验室局域网中的计算机集群,节点计算机配置Intel 酷睿2.0GHz CPU,512M DDRII 内存,Windows XP(sp3)操作系统.所有数据均为10次实验结果的平均值.图1显示了秘密分发过程执行时间随网络规模变化呈线性关系.图2为不同门限值下秘密分发过程的计算性能.可以看出,计算时间随网络规模变大而增大,而门限值变化对秘密分发执行时间影响不大.图3、图4显示了影子秘密验证过程的计算性能.结果显示,当系统门限值增大时,验证执行的时间增加,这是因为t 增大时秘密多项式F(x )的阶增加,增大了验证信息处理的复杂度.而验证耗时受网络规模的影响较小,因而方案具有良好的可扩展性.方案中秘密重构过程的计算性能如图5、图6所示.可以看出,秘密重构过程计算时间随网络规模变化不大,但受t 值的影响较为明显.这是因为拉格朗日插值的计算开销与插值多项式的次数相关,实验结果与前述理论分析一致.从绝对量上看,验证和重构所需要的运算量远小于秘密分发需要的计算量,更适合服务器和客户机同时存在的计算环境.图7、图8显示了方案整体的计算性能.从总体上看,所提方案计算性能与网络规模呈斜率较小的线性增长关系,但受t 值的影响较小,因而具有很好的可扩展性.6 结论可验证秘密共享方案具有防欺骗攻击的性质,被广泛应用于密钥分配、电子选举、电子现金等应用环境中.本文基于IBE 公钥算法,提出了一个可验证秘密共享方案.我们使用双线性运算改进了经典的Chaum 和Pederse n 非交互零知识证明算法,提高了方案中影子秘密验证的有效性.通过对方案安全性和可用性的分析显示,所提方案满足可验证秘密共享方案应满足的特2064 电子学报2010年性,同时具有随机预言模型下可证明语义安全性,能抵抗来自内外攻击者的各种攻击.与已有算法的对比显示,所提算法具有较优的时间复杂度和通信开销.参考文献:[1]Chor B,Goldwasser S,Micali S,et al.Verifiable secret sharingand achiev i ng simultaneity in the presence of faults[A].Pro ceedings of26IEEE Symposiu ms on Foundations of Computer Science[C].Washington:IEEE Computer Society,1985.383-395.[2]Stadler M.Publicly verifiable secret s haring[A].Advances inCrypto logy EURO CRYPT296[C].Berlin:Springer Verlag, 1996.32-46.[3]Fujisaki E,Okamoto T.A practical and provably secure schemefor publicly verifiable secret s haring and its applications[A].Advances in Cryptology EUROCRYPT298[C].Berlin: Springer Verlag,1998.32-46.[4]Schoenmakers B.A simple publicly verifiable s ecret sharingscheme and its application to electronic voti ng[A].Advances in Crypto logy Crypto299Proceedings[C].Berlin:Springer V erlag,1999.148-164.[5]Ho u Z F,Han J H,Hu D H.A new authentication schemebas ed on verifiable secret sharing[A].2008International Con ference on Compu ter Science and Software Engineering[C].Wuhan,China:IEEE Computer So ciety,2008.1028-1030. [6]T ian Y L,Peng C G,Z hang R P,et al.A practical publicly verifiable secret s haring scheme based on bilinear pairi ng[A].2nd International Conference on Anti counterfei ting,Security and I dentification,2008(A SID2008)[C].G uiyang,China:IEEE, 2008.71-75.[7]Liu F,Gao D M.On the design of divisible PVSS based electronic cash schemes[A].IEEE International Symposium on Knowledge Acquisition and M odeling Workshop(KAM Work shop2008)[C].Wuhan China:IEEE,2008.112-115.[8]Y u J,Kong F Y,Hao R.Publicly verifiable secret sharing w i thenrollment ability[A].8th ACIS International Conference on Software Engineeri ng,Artificial Intelligence,Networki ng,and Parallel/Distribu ted Computing,2007(SNPD2007)[C].Qing dao,China:IEEE Computer Society,2007.194-199.[9]Wang F,Gu L,Z heng S,et al.A novel verifiable dynamic multi policy secret sharing scheme[A].The12th International Conference on Advanced Communication Techno logy (ICACT2010)[C].Paris France:IEEE,2010.1474-1479. [10]Tartary C,Pieprzyk J,Wang H X.V erifiable multi secret sharing schemes for multiple threshold access structures[A].Infor mation Security and Cryptology2007[C].Berlin:Pringer Ver lag Heidelberg,2008.167-181.[11]Pang L J,Li H X,Y ao Y,et al.A verifiable(t,n)multiples ecret s haring scheme and its analyses[A].2008InternationalSymposiu m on Electronic Commerce and Secu rity(ISECS2008)[C].Guangzho u,China:IEEE Computer Society,2008.22-26.[12]Dehkordi M H,Mashhadi S.An efficient threshold verifiablemulti secret sharing[J].Computer Standards&Interfaces,2008,30(3):187-190.[13]Dehkordi M H,M ashhadi S.New efficient and practical verifiable multi secret sharing schemes[J].Information Sciences:anInternational Journal,2008,178(9):2262-2274.[14]杨庚,王江涛,程宏兵,容淳铭.基于身份加密的无线传感器网络密钥分配方法[J].电子学报,2007,35(1):180 -184.Yang G,Wang J T,Cheng H B,Rong C M.A key establis hscheme for wsn bas ed on ibe and diffie hellman algorithms [J].A cta Electronica Sinia,2007,35(1):180-184.(in Chi nes e)[15]Chaum D,Pedersen T P.Wallet databases w ith observers[A].Advances i n Cryptolo gy CRY PTO292[C].Berlin:SpringerVerlag,1992.89-105.[16]李慧贤,庞辽军.基于双线性变换的可证明安全的秘密共享方案[J].通信学报,2008,29(10):45-50.Li H X,Pang L J.Provably secure secret sharing schemebased on bilinear maps[J].Journal on Communications,2008,29(10):45-50(in Chinese).[17]Boneh D,Franklin M.Identity based encryption from the weilpairing[A].Advances in Cryptology,CRYPTO2001,L ectureNotes in Computer Science[C].Berlin:Springer V erlag,2001.2139.213-229.作者简介:李大伟男,1981年生于山东潍坊,南京邮电大学计算机学院博士研究生.研究方向为计算机通信网与安全、密钥管理.E mail:lidw1981@杨庚男,1961年生于江苏建湖,IEEECE和中国计算机学会会员.南京邮电大学教授、博士生导师.目前研究方向为计算机通信与网络、网络安全、分布与并行计算等.E mail:yangg@朱莉女,1984年生于河南商丘,南京邮电大学计算机学院硕士研究生.研究方向为计算机应用技术,信息安全.E mail:zhuli.1984@2065第 9 期李大伟:一种基于身份加密的可验证秘密共享方案。

采用量子身份认证技术的案例

采用量子身份认证技术的案例
一种使用量子身份认证技术的案例是银行身份验证。

传统的银行身份验证方法通常需要用户提供身份证明、密码或其他个人信息来确认其身份。

然而，这些方法存在着信息泄露和身份冒充的风险。

采用量子身份认证技术，可以强化银行身份验证的安全性。

该技术利用量子力学的性质来生成并传输唯一的身份密钥，确保验证过程中的安全性和准确性。

以下是一个使用量子身份认证技术的银行身份验证的简要流程：
1. 用户通过手机或其他设备在银行应用程序上选择使用量子身份认证功能。

2. 银行系统生成一个唯一的量子密钥对，包括一个公钥和一个私钥。

3. 用户的手机或其他设备将公钥发送给银行系统。

4. 银行系统通过量子通信将私钥传输给用户的手机或其他设备，同时确保量子密钥传输的安全性。

5. 用户将使用私钥对其身份进行身份认证。

6. 银行系统使用公钥进行身份验证。

7. 如果用户的身份通过验证，银行系统将允许用户继续进行交
易或访问银行服务；否则，用户将被拒绝。

通过使用量子身份认证技术，银行可以提供更高级别的身份验证，减少身份冒充和信息泄露的风险。

此外，量子身份认证技术还可以提供更高的数据安全性，因为量子密钥无法被破解或复制。

量子秘密共享方案及其应用

量子计算机的发展仍处于初级阶段，尚未实现大规模商用，这限制了量子密码学的实际应用。
量子密码学的未来发展方向
发展量子密钥分发协议
针对现有协议的安全漏洞，发展更安全、更健壮的量子密钥分发协议是未来的重要研究方向。
实现可扩展的量子纠缠
提高纠缠态的稳定性，实现可扩展的量子纠缠是量子密码学走向实际应用的关键步骤。
促进社会发展
随着量子密码学的不断发展，有望在保障信息安全的同时，推动社会的信息化进程，促进社会的发展。
05
CATALOGUE
总结与展望
总结：量子秘密共享方案的重要性和必要性
01
量子秘密共享方案是量子密码学中的重要应用之一，它能够实现秘密的分布式存储和分发，保证信息的机密性和完整性。
02
随着量子计算机和量子通信技术的发展，量子秘密共享方案在信息安全领域的应用前景越来越广泛，它可以为政府、企业和个人提供更加安全、可靠的信息保护。
的应用和发展。
在未来，我们需要进一步研究和探索量子密码学的理论和技术，以应对日益复杂的信息安全威胁和挑战。同时，我们也需要加强国际合作和交流，共同推动量子密码学的发展和应用。
THANKS
感谢观看
量子密码学是利用量子力学原理实现安全通信的技术，它能够防止窃听和破解经典密码学中的漏洞。
量子密钥分发
量子密钥分发是量子密码学中的一项重要技术，它利用了量子比特的特殊性质，确保通信双方共同拥有一个随机、安全的密钥。
量子签名
量子签名是利用量子力学原理实现数字签名的技术，它能够确保消息的完整性和真实性，防止被伪造或篡改。
量子密码学在安全通信领域的应用
量子密钥分发
01
量子密码学可以用于安全地分发密钥，确保通信双方

基于量子密钥分发协议的身份验证方案设计

基于量子密钥分发协议的身份验证方案设计
杨妍玲
【期刊名称】《计算机与网络》
【年(卷),期】2024(50)1
【摘要】基于量子密钥分发(Quantum Key Distribution,QKD)协议的身份验证方案是一种强大而安全的身份验证方法。

该方案利用量子力学原理,包括量子比特的创建、传输和测量,确保密钥协商的安全性,能为身份验证提供双重保障。

量子密钥的传输是不可非法窃取的,任何对密钥的窃取或干扰都会被立即检测到。

通信双方可以安全共享量子密钥,实现双方之间的身份验证和安全通信。

该方案具有高度的安全性,在保护个人身份和信息安全方面具有广阔的应用前景,并为未来的安全通信提供了重要的基础。

【总页数】4页(P80-83)
【作者】杨妍玲
【作者单位】韩山师范学院
【正文语种】中文
【中图分类】TP393
【相关文献】
1.基于量子态比较的量子密钥分发协议
2.基于身份验证和纠缠交换的量子密钥分发
3.基于光源检测的相位匹配量子密钥分发协议
4.一种基于有限密钥和诱骗态的双场量子密钥分发协议
因版权原因，仅展示原文概要，查看原文内容请购买。

一种高效的量子秘密共享方案

一种高效的量子秘密共享方案
郭奋卓;高飞;温巧燕;朱甫臣
【期刊名称】《电子学报》
【年(卷),期】2006(34)5
【摘要】利用量子安全直接通信和量子密集编码的思想,本文提出一个新的基于GHZ三重态的高效量子秘密共享(QSS)方案.利用量子相干性和一个公开的比特串K,Alice直接让Bob和Charlie共享其秘密消息,而不是首先与Bob和Charlie建立共享的联合密钥,再用联合密钥传输消息.该方案中平均消耗一个GHZ态可以共享两比特的经典信息.我们分别给出了无噪声信道和有噪声信道情形的安全性分析,并重点就量子直接秘密共享和量子安全直接通信之间的区别说明了协议中使用公开的K的必要性.
【总页数】4页(P883-886)
【作者】郭奋卓;高飞;温巧燕;朱甫臣
【作者单位】北京邮电大学理学院,北京,100876;西安电子科技大学综合业务网国家重点实验室,陕西西安,710071;北京邮电大学理学院,北京,100876;北京邮电大学理学院,北京,100876;现代通信国家重点实验室,四川成都,610041
【正文语种】中文
【中图分类】TN918.1
【相关文献】
1.基于极化单光子的高效安全量子秘密共享方案 [J], 李宏欣;王伟
2.一种基于图的攻击结构的高效秘密共享方案 [J], 郭渊博;马建峰;王亚弟
3.一种高效的可验证的多秘密共享方案 [J], 贾小军
4.一种新的未知三粒子量子态秘密共享方案 [J], 吴君钦;林慧英
5.一种含有安全可信任中心的量子秘密共享方案 [J], 王乐;邹丽;赵生妹
因版权原因，仅展示原文概要，查看原文内容请购买。

具有双向身份认证的量子密钥分发协议

具有双向身份认证的量子密钥分发协议
江英华;张仕斌;昌燕;杨帆;杨敏
【期刊名称】《量子电子学报》
【年(卷),期】2018(35)1
【摘要】基于Bell态的纠缠特性,提出了一种可以进行双向身份认证的量子密钥分发协议。

与传统量子密钥分发协议相比,该协议有零知识性,能进行双向身份认证,进行一次量子序列传输就能同时完成身份认证与密钥分发。

结果表明所提出的量子密钥分发协议能抵御截获/重发攻击及中间人攻击等一系列攻击。

【总页数】5页(P49-53)
【关键词】量子光学;双向身份认证;零知识证明;Bell态;密钥分发
【作者】江英华;张仕斌;昌燕;杨帆;杨敏
【作者单位】成都信息工程大学信息安全学院
【正文语种】中文
【中图分类】O431.2;TN918.1
【相关文献】
1.一种量子密钥分发中的身份认证协议 [J], 郭奋卓;温巧燕;朱甫臣
2.具有双向身份认证功能的量子密钥分发协议 [J], 郑涛; 张仕斌; 李雪杨; 熊金鑫; 昌燕
3.可实现身份认证的多方量子密钥分发协议 [J], 刘利娟;李志慧;支丹利
4.带身份认证的四量子纠缠量子密钥分发协议 [J], 李新刚;贾振红
5.一种量子密钥分发和身份认证协议 [J], 高飞;温巧燕
因版权原因，仅展示原文概要，查看原文内容请购买。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

High-efficient Quantum Secret Sharing with IdentityCertification*SUN Ying(孙莹)1**, WEN Qiao-Yan(温巧燕) 1, ZHU Fu-Chen(朱甫臣) 21School of Science, Beijing University of Posts and Telecommunications, Beijing 1008762National Laboratory for Modern Communications, P.O. Box 810, Chengdu 610041**Email: 2005amanda@We present a high-efficient quantum secret sharing (QSS) scheme with identity certification using two-particle maximum entangled pairs. The identity sequences and one-way hash functions are shared beforehand for avoiding wasting particles while establishing the shared key. And all particles are transmitted for only one time in the quantum channels. We consider that the scheme is optimal as both the intrinsic efficiency for qubits and the total efficiency approach maximum.Key words: quantum secret sharing, quantum cryptography, identity certification PACS: 03.67.Hk, 03.67.Dd, 03.65.UdQSS is one of the useful tools in the cryptographic applications. Suppose Trent wants his two agents, Alice and Bob, who are at remote places to deal with his business. However Trent doubts that one of them may be dishonest and he does not know who the dishonest one is, but he knows that the number of dishonest persons is less than two. To prevent the dishonest man from destroying the business, classical cryptography provides the secret sharing scheme in which Trent splits his secret*Supposed by the National High Technology Research and Development Program of China, Grant No. 2006AA01Z419; the National Natural Science Foundation of China, Grants Nos. 90604023, 60373059; the National Research Foundation for the Doctoral Program of Higher Education of China, Grant No. 20040013007; the National Laboratory for Modern Communications Science Foundation of China, Grant No. 9140C1101010601; the Natural Science Foundation of Beijing.message (M T ) into two sequences (M A and M B ) and sends them to Alice and Bob, respectively. Alice and Bob can read out the message B T A M M M =⊕only when theycooperate. In quantum information, the task can be completed by quantum secret sharing (QSS). Both classical information and quantum information can be shared with quantum mechanics. In this paper, we only consider the issue of sharing the classical secret information.The first QSS scheme proposed by Hillery, Bužek, and Berthiaume (hereafter we refer to HBB protocol) used a three-particle entangled Greenberger-Horne-Zeilinger (GHZ) state [1]. Although this scheme elegantly showed the essence of QSS, it is hard to realize experimentally because of the inefficiency as regards the generation of a three-particle entangled state [2]. Several variations and theoretical expansions of QSS have been reported since the publication of this pioneering work [3-15]. Among them, schemes based on two-particle entangled states [3, 4, 12, 13] have better experimental feasibility with optical setups than ones based on three-particle entangled states. However, the schemes based on two-particle entangled states do not always have satisfying efficiency. In the KKI protocol [3], for example, only half of the data obtained by expensive quantum communication can be used at most. It’s meaningful enough to improve the efficiency without loss of security. In this paper, we proposed a novel QSS scheme with identity certification and one-way transmission used two-particle maximum entangled states. In this scheme, Trent shares two secret identity sequences with Alice and Bob, respectively, before they start the protocol. We repeatedly employ the identity sequences encrypted by one-way hash functions to control the measurement basis (MB). So there are no particles wasted in the random base choosing process. Furthermore, all instances are transmitted through the quantum channel only once which means fewer particles is wasted in channel noisy. In other words, we can obtain an optimal efficiency in our QSS scheme.The paper is outlined as follows: First, we briefly review two complete orthogonal basis sets in the two-particle quantum system and the one-way hash function. Then, we give the details of the high-efficient QSS scheme with identity certification, and discuss the security of the scheme against eavesdropping. At last, we give a conclusion.There are two nonorthogonal basis sets of two-particle entangled states involved in this paper. First, we show two complete orthogonal basis sets in (1) ~ (4) and (5) ~ (8), respectively. Every state is expressed in both z direction base {},z z +− andx direction base {,x x +−as follows,))|||||||||AB A B A B A B A B z z z z x x x x φ+〉=+〉+〉+−〉−〉=+〉+〉+−〉−〉;(1)))|||||||||AB A B A B A B A B z z z z x x x x φ−〉=+〉+〉−−〉−〉=+〉−〉+−〉+〉;(2)))|||||||||AB A B A B A B A B z z z z x x x x ψ+〉=+〉−〉+−〉+〉=+〉+〉−−〉−〉;(3)))|||||||||AB A B A B A B A B z z z z x x x x ψ−〉=+〉−〉−−〉+〉=−〉+〉−+〉−〉;(4))))|||||||||||AB AB AB A B A B A B A B x z x z z x z x φψ++−Φ〉≡〉+〉=−〉+〉++〉−〉=+〉+〉−−〉−〉;(5))))|||||||||||AB AB AB A B A B A B A B x z x z z x z x φψ−−+Φ〉≡〉+〉=+〉−〉−−〉+〉=+〉−〉−−〉+〉;(6))))|||||||||||ABAB AB A B A B A B A B x z x z z x z x φψ+−+Ψ〉≡〉−〉=+〉+〉+−〉−〉=+〉+〉+−〉−〉.(7))))|||||||||||ABAB AB A B A B A B A B x z x z z x z x φψ−+−Ψ〉≡〉−〉=+〉+〉−−〉−〉=+〉−〉+−〉+〉. (8) where z + and z − denote the spin eigenstates, or equivalently the horizontal and vertical polarization eigenstates, and the subscripts A and B denote the two particles respectively.In order to simplify the security analysis later on, we use the same set of states {},,,φψ−+−+ΦΨ in our scheme as in KKI protocol [3]. The crucial feature of the four states we want to point out can be expressed as |φψ−+=|−+ΦΨ=0 and 2|ψ++Ψ=2|φ+−Ψ=2|ψ−+Φ=2|φ−−Φ=1/2. In this scheme, the boss Trentappears to switch randomly between {},φψ−+and {},−+ΦΨ, which is not the fact.In our scheme, either of the agents shares a prior identity sequence and k one-way hash functions which need to be kept secret with the boss Trent. We can make use of the standard BB84 protocol for sharing identity sequences and hash functions before the first round of secret sharing. Generally, hash functions are used to do message integrity checks and digital signatures in various information security applications. Here we use the one-way hash functions for keeping the identity sequences secret during the transmission and also relaxing the restriction on length of the identity sequences. If any participant has detected eavesdropping during the protocol, only hash functions have to be replaced. In our scheme, the one-way hash function has the following form:{}{}{}*:0,10,10,1l h ×→m （9）where the asterisk represents the input length of the hash function which is an arbitrary number, l represents the length of a counter, and m represents the outputlength of the hash function which is a fixed number. The functions (),Alice Alice Alice h Base C and are used to encrypt Alice’s and Bob’s identity sequences, where (,Bob Bob Bob h Base C ))(Alice Bob C represents the counter of calls on Alice or Bob’s hash function.Now let us describe the high-efficient QSS scheme with identity certification, whose essence has been narrated above. Instead of letting all participants make a measurement on the entangled particles in different bases randomly [1, 3], we let each participant choose the right basis under the control of the hash value of his own identity sequence. The particular process of this scheme is detailed as follows:1. Trent agrees on the hash function to be used and the value of the counter with Alice and Bob, respectively. According to the chosen hash function and the value of the counter, he computes the hash value of two agents’ identity sequences (suppose the length of the hash value is m ).2. If the length of the secret message is L , Trent prepares mN (1L N m ⎡⎤=+⎢⎥⎣⎦－１) two-particle maximum entangled states as follows:1) If the i th bits of the hash value of two agents’ identity sequences are identical, Trent will prepare one of the four sates {},φψ−+ randomly. Otherwise he will go to next step.2) If the i th bits of the hash value of two agents’ identity sequences are nonidentical, Trent will prepare one of the four sates {},−+ΦΨ randomly.3) Trent repeats step1) and 2) for N times until mN two-particle maximum entangled states have been completed.We denote the sequences comprised of two entangled particles in each pair with and , respectively. Both of and are divided into N blocks, denoted withA SB S A S B S []12,,,A A A AN S S S S =" and []12,,,B B B BN S S S S =", respectively. We can see that each of the blocks contains m particles.3. Trent generates 2mn decoy photons each of which is randomly in one of the four states {,,,z z x x +−+−. He divides the sequence comprised of decoy photons into 2n blocks each of which contains m particles. Denote the first n blocks as sequence and the second n blocks as sequence . Then Trent respectively inserts and in the sequences 1d S 2d S 1d S 2d S []12,,,A A A S S S "N and []12,,,B B BN S S S ".Through the quantum channels, He respectively sends the new sequences denoted as 1d AS and to Alice and Bob. 2d B S 4. After receiving the particles sent by Trent, Alice and Bob choose the measurement basis according to their own hash value as follows:1) If the i th bit of the hash value of the identity sequence is 0, Alice (Bob) chooses the X-basis to measure the i th particle of each block. Otherwise she or he turns to the next step.2) If the i th bit of the hash value of the identity sequence is 1, Alice (Bob) chooses the Z-basis to measure the i th particle of each block. They record the measurement results as 00z +→, 01z −→, 10x +→, 11x −→.5. Eavesdropping Checking. Alice and Bob tell Trent that they have completed themeasurement on 1d AS and , respectively, through the classical channels. Trent announces the positions of the decoy sequences and , and the initial state of every decoy photon. Alice and Bob compare their measurement results with the initial states announced by Trent. The result is valuable if and only if the measurement basis consists with the basis of the decoy photon. If Alice (Bob) finds the error rate of the measurement results of the decoy photons is too high, she (he) asks Trent to abort this protocol. When Trent decides to start the protocol again, he turns to step 5. Otherwise they will terminate the protocol. If both Alice and Bob affirm their error rates are reasonable, they turn to step 6.2d B S 1d S 2d S ′5′. Trent notifies two agents to change the employed hash functions and the value of their counters. Turn to the step 2.6. Identity Certification. Alice (Bob) transforms the hash value of the identity sequence to quantum states according bit as follows: 0x →+ or x −; 1z →+ or z −The new quantum sequence is denoted as .()A B ID S Then Alice (Bob) generates ()1m n ′− decoy photons randomly in one of the four states {,,,z z x x +−+−. Put every m decoy photons in a sequence and denote the()1n ′− sequences formed as ()()()()121,,,A B A B A Bd d d n S S S ′′′′−⎡⎤⎣⎦". Alice (Bob) inserts()A B ID S into randomly, and sends the new sequence to Trent.()()()()121,,,A B A B A B d d d n S S S ′′′′−⎡⎣"⎤⎦Trent measures groups of quantum states sent by Alice (Bob) and records the measurement results. He chooses the measurement basis according to the hash value of Alice (Bob)’s identity sequence as follows:n ′1) If the i th bit of the hash value is 0, he chooses the X-basis to measure the i th particle of each block. Otherwise she or he turns to the next step.2) If the i th bit of the hash value of the identity sequence is 1, he chooses the Z-basis to measure the i th particle of each block. The measurement results are recorded according to:z + or 0x +→, z − or 1.x −→After receiving and measuring all the particles sent by the agents, Trent asks them to announce the initial states of all the decoy photons and the positions of A ID S and B ID S . Trent compares his measurement results with the initial statesannounced by the agents. Trent’s measurement result is valuable if and only if the measurement basis is consist with the basis of the decoy photon. If the error rate is too high, Trent asks Alice and Bob to repeat the step 6. Otherwise, Trent asks Alice and Bob to announce the initial states of the particles in A ID S and B ID S , respectively, as follows:z + or 0x +→; z − or 1.x −→Trent compares his measurement results with the value announced by Alice (Bob). If not all the bits are identical, Trent considers Alice (Bob) as an illegal agent and terminates the protocol. Go to step 7 if and only if both Alice and Bob have passed identity certification.7. Secret Sharing. In our scheme, only Trent knows both the initial states of the entangled pairs generated by himself and the hash values of two agents’ identity sequences. Therefore Trent can deduce the classical bit sequences used to record Alice and Bob’s measurement results in step 4. Then he builds the secret key used to encrypt the sharing message by doing XOR operation on the two classical bit sequences.For example, suppose that the k th (1k m ≤≤) bits of the hash values of two agents’ identity sequences are 1 and 0, respectively, and the initial state of the k th entangled pair prepared by Trent is )+|||+||AB A B A B x z x z Ψ〉=+〉+〉−〉−〉. Trent can deduce that Alice and Bob’s measurement results of the same position are 10 and 00, or 11 and 01. The values after a XOR operation on the two results are both 10 in two cases.If the quantum channels are noisy, Trent and two agents can estimate the channel bit error rate from step 5. In order to obtain the shared key with high fidelity and eliminate Eve’s information about the shared key, Trent is advised to apply error correction and privacy amplification to the rude key with Alice and Bob before he encrypts his secret.Our scheme can be regarded as secure. Suppose there is an eavesdropper, say Eve, who wants to extract out Trent’s secret message in a way that cannot be detected. It will be seen that this goal can never be achieved after the following discussion.Above all, the agents’ identity sequences are used repeatedly after encrypted by hash functions. If Eve can get the agents’ identity sequences and the hash functions which are used for every time, he can attain the secret which Trent wants to share with the agents and vice versa. So we only consider the security of the agents’ identity sequences.The effect of the hash value of every agent’s identity sequence is similar to the basis sequence in Refs. [7, 16-20]. As discussed in Refs. [16, 17], the basis sequence can be used repeatedly without loss of security. In Refs. [7, 16-20], they abort the protocol once they detect the eavesdropping and share a new basis sequence for distributing the key again. However, in this paper, we only need to replace the hash function and the new output will work for a new round of secret sharing. The identity sequence and hash functions shared by Trent and one agent are kept secret to any third party including the other agent. So the sequence used to control the measurement basis is new to any third party for every round. Eve has to introduce remarkable errors due to his eavesdropping for every time. Therefore, we can conclude that any attacker cannot get information about the agents’ identity sequences.The security of using two-particle quantum entanglement in QSS has been discussed by Karlsson, Koashi and Imoto in Refs. [3]. In this paper, the particle of a two-particle entangled state sent to an agent seems to be a random state in {,,,z z x x+−+−for the other agent and any other attacker. Therefore, the discussion in Refs. [3] can also be adapted here with considering the secrecy of identity sequences and hash functions which have been proved to be security.Then let us discuss the step of identity certification in this paper. If the agent is not the right one Trent wants to share his secret, in the step of identity certification, Trent will detect the illegal agent. Because the illegal agent doesn’t have the correct identity sequence, he has to randomly guess the basis about every photon which will be sent to Trent for authentication. The error rate will be as high as 25%. The details are shown in Table I.Table I. Illegal agent has to introduce remarkable errorsWe have shown a high-efficient QSS scheme using two-particle quantum entanglement and reusable identity sequences in this paper. This scheme inherits high-efficiency of the QKD protocols using reusable basis sequence without loss of security [16-20]. The three participants share some prior information for avoiding wasting particles while establishing a shared key. Comparing with the former QSS protocols, the theoretic efficiency for qubits of this scheme is improved to approach 100% as almost all the instances can be used for generating a shared key and any particle is transmitted in the quantum channel for only one time. Moreover, each quantum entangled pair can build 2 bits of shared key without quantum storage.References[1] Hillery M, Buzěk V, Berthiaume A 1999 Phys. Rev. A59 1829[2] Bouwmeester D, Pan Jian-Wei, Daniell M, et al. 1999 Phys. Rev. Lett.82 1345[3] Karlsson A, Koashi M, Imoto N 1999 Phys. Rev. A59 162[4] Tittel W, Zbinden H, Gisin N 2001 Phys. Rev. A63 042301[5] Bagherinezhad S, Karimipour V 2003 Phys. Rev. A67 044302[6] Hsu Li-Yi 2003 Phys. Rev. A68 022306[7] Xiao Li, Long Gui-Lu, Deng Du-Guo, et al. 2004 Phys. Rev. A 69 052307[8] Kumar Singh S, and Srikanth R 2005 Phys. Rev. A71 012328 .[9] Zhang Zhan-Jun, Li Yong, Man Zhong-Xiao 2005 Phys. Rev. A71 044301[10] Schmid C, Trojek P, Bourennane M, et al. 2005 Phys. Rev. Lett.95 230505[11] Yan Feng-Li, Gao Ting 2005 Phys. Rev. A72 012304[12] Zhang Zhan-Jun, Man Zhong-Xiao 2005 Phys. Rev. A72 022303[13] Deng Fu-Guo, Li Xi-Han, Li Chun-Yan, et al. 2006 /abs/quant-ph/0602160v2/[14] Gordon G, Rigolin G 2006 Phys. Rev. A 73 062316[15] Takesue H, Inoue K 2006 Phys. Rev. A 74 012304[16] Hwang W Y, Koh I G, Han Y D 1998 Phys. Lett. A244489[17] Hwang W Y, Koh I G, Han Y D 2003 Phys. Rev. A 67 0123042[18] Deng Fu-Guo, Long Gui-Lu 2003 Phys. Rev. A 68 042315[19] Wen Kai, Long Gui-Lu 2005 Phys. Rev. A72 022336[20] Wen Kai, Deng Fu-Guo, Long Gui-Lu 2007 /abs/0706.3791/。