英语原文共 4 页，剩余内容已隐藏，支付完成后下载完整资料

2015 Symmetrically private information retrieval based on blind quantum computing，PHYSICAL REVIEW A [J],91, 052303(2015)

基于盲量子计算的对称私有信息检索

摘要——通用盲量子计算（UBQC）是一种允许没有任何复杂的量子技术的用户Alice查询计算服务器Bob而不泄漏任何隐私安全的量子计算协议。利用UBQC的特点，我们提出了一个协议来实现对称的私有信息检索，它允许有量子限制的Alice从有完全成熟的量子计算机Bob中查询一个项目；同时，保护双方的隐私。协议的安全性是基于这样的假设，恶意Alice没有量子计算机，从而避免了不可能的证明。对于诚实的Alice，她几乎是经典的，只需要最少的量子资源进行拟议的协议。因此，她不需要任何昂贵的实验室，可以保持复杂的量子实验设置的一致性。

I. 介绍

考虑一下以下的情景：Alice想从Bob的含有N信息的数据库D中获得第b条信息。但她不想让Bob知道她想要的信息。一个简单的解决方案是要求整个数据库的副本。在保护Alice的隐私的同时，Alice也不能得到多于她所查询的信息，这同样重要。例如，存储在数据库中的信息可能是有价值的和敏感的，Bob想一块一块地卖了它。这是被称为一级保密的数据库，以及相应的协议被称为对称的私有信息检索（SPIR），也被称为茫然传输（OT）。对称意味着Bob不应该获得Alice感兴趣的信息（Alice的隐私）。同时，Alice不应该接受比她有权知道的更多的信息（Bob的隐私）。one-out-of-N OT的one-out-of-two OT原本由拉宾 1981介绍，Even, Goldreich, 和Lempel 1985。其中one-out-of-two OT可描述如下：Bob向返回给Alice两比特的信息，Alice只获得一比特想要知道的信息，完全不知道其他比特的信息和Bob是不知道她想要的是哪个比特的信息。

这是众所周知的，两方的密码原语不能安全地实施，除非无差错的通信是可用的，即计算能力和内存是不限制的。换句话说，经典的OT是不可能无条件的安全性，可通过一些先进的算法被破坏，如量子计算。一个可能希望利用量子信息理论解决这些任务。这是众所周知的，量子信息通过一种方式执行，是从根本上不同于传统的信息。在这里，信息存储在量子比特中，如单光子的偏振态，量子信息理论的使用已被证明非常成功的，即在两个诚实方之间的密钥分配是无条件安全的。事实上，在量子世界中有一个现有的OT方法。不幸的是，它没有提供双方完整的保护。后来，它被证明，在两个互相不信任的双方通用量子计算机可用的情况下，即使是无条件安全的量子通信，OT是不可能的：任何协议，在保证Bob不能获得任何Alice想要检索的信息时，数据库是容易受到Alice攻击的。

然而，有几种情况下，这些不可能的结果不适用，即，（1）如果双方的计算能力是有界的，（2）如果通信是嘈杂的，（3）如果安全条件是宽松的，和（4）如果对手是在一些物理限制下的。

对于第一种情况，众所周知它是经典的加密标准，协议的安全性是基于合理的但未经证实的复杂性的假设，如分解或离散对数的硬度。第二方案已用于各种型号的噪声下构建OT和比特承诺协议。最近，第三个方案也被考虑。几个量子协议已经在这个基于欺骗敏感模型的脉络下提出，在Bob的作弊被抓到的可能性下保持诚实。一些研究者认为在第四种情况下，对手的量子存储器的大小是有界的。在本文中，我们关注一下情况，Alice没有量子计算机。这可能是一个好主意，至少有三个原因：第一，如果我们假设Alice的量子计算机是不可用的，我们避免了不可能的结果。二，第一代量子计算机很可能会在“云”的风格上实现，因为只有有限数量的群体，如政府和巨大的行业，将能够拥有它。事实上，在各种应用中更常见，所有的参与者都负担不起昂贵的量子资源和量子操作的情况。因此，它是合理的假设，用户Alice在现实世界的环境中没有能力承担长期的任何量子计算机的费用。第三，诚实的Alice几乎是经典的，我们的协议，只需要做测量，如偏振测量与阈值检测器。因此，我们的协议可以减少不仅诚实Alice的计算负担的通信，但也在实际执行的量子硬件设备的成本。上面提到的协议的一个简短的比较，给出在表1中。

事实证明，这确实是可能的：我们提出了一个对称的私有信息检索中，Alice与有限的量子资源获得数据库中第b条信息，该数据库是由Bob用通用量子计算机处理的。我们的协议是完全隐藏的，即，Bob没有任何关于Alice在数据库检索的元素信息。Alice用有限的量子资源只能对数据库访问第b条信息。

我们的协议是基于通用盲量子计算（UBQC）协议最初是由Broadbent菲茨西蒙斯提出，Kashefi利用Raussendorf和布里格尔基于测量的模型。在他们的协议，Alice（没有任何量子计算资源或量子存储器）与Bob（他有一个量子计算机）为了获得她的目标计算的输出并保留隐私。换句话说，Bob无法得知Alice的输入、输出，或期望的计算。然而，在SPIR的情况是和盲量子计算略有不同。另一方面，可能计算的数量是非常有限的，和Bob可以利用的事实。因此，Bob可以获得Alice感兴趣的项目。另一方面，Alice可以计算出和的同时，假装只计算出（）.由于盲目，Bob不知道这个事实，他错误地认为Alice是只计算。因此，Alice可以得到更多的信息。

为了保护Bob的隐私，首先，我们必须确保有在多项式时间内且只有在量子计算机上可解的问题；其次，该协议必须防止Alice同时计算和（）。幸运的是，我们知道有一整类的问题，这是在多项式时间内且只有在量子计算机上可解，例如，一个复杂的量子系统和RSA问题分解的模拟。尽管RSA挑战，rsa-768（这里的数字是根据他们的二进制位数标记），在2009 被破坏了，到目前为止还没有任何有效的经典算法设计的来分解更大的数字，如RSA-1024和RSA-2048。然而，它是已知的，Shor量子算法可以有效地分解RSA问题。我们用F表示这类问题的集合，例如，F是在多项式时间内，只有在量子计算机上可解的问题的集合。我们用表示在UBQC协议计算。Frsquo;是F的子集，满足，其中和n是由Alice和Bob预定决定的。由于在多项式时间内只有在量子计算机上可解的问题，恶意的Alice没有量子计算机，她不能在一个合理的时间计算。同时，由于，Alice不能计算出和的在同一时间内，其中，。因此，Bob可以使用的结果作为密钥，使用一次性密钥来加密消息。在不知道密钥，Alice不能解密消息。因此，Bob的隐私是完美的。为了避免Alice的信息对计算规模的泄漏，Bob需要发送n个量子比特给Alice。Alice测量那些从实际计算机孤立的量子比特。然后，她根据期望的问题测量剩下的比特。因此，Bob无法区分Alice计算的可能的运算次数，从而防止Bob知道Alice感兴趣的项目。

我们的协议的基本思想是Bob从Frsquo;中随机选择N个问题，并将其计算为加密数据库消息的密钥。Alice用UBQC协议来计算所需的。然后，她只可以解密从Bob获得的信息。Alice没有量子计算机，所以她不能计算其他的信息。因此，Bob的隐私是受保护的。另一方面，由于UBQC协议是无条件安全的，事实上Alice的输入，输出，和算法是秘密的，不管Bob做什么，Bob都不能知道b的值。即，Alice的隐私权也受到保护。

本文安排如下。下一节给出我们的协议。然后，讨论了该协议的安全性。最后，我们给出一个结论。

II. 协议描述

在我们的协议中，文献[ 16 ]使用了UBQC。在UBQC^[30]协议中，Alice只做测量，如用阈值检测器做偏振测量，众所周知地是，一个状态的测量比单粒子态的产生更容易。因此，UBQC协议减轻了Alice的负担。此外，该UBQC协议的安全性是基于一个没有信号的原理，使防止被Bob欺骗可以变得像SPIR协议那样简单。该UBQC协议流程可简述如下：

（1） Bob准备了基于量子计算测量的资源状态。

（2） Bob通过量子信道将一个粒子的资源状态发送给Alice。

（3） Alice在一定的角度内由她自己的算法决定测量粒子的方法。

（4） 重复步骤（2）和（3），直到完成计算。

值得注意地是，无论Bob恶意准备的状态和发送给Alice的状态是不是正确的资源状态，Bob都无法了解Alice的任何信息，因为Alice不发送任何信号给Bob。因此，没有信号的原理，Bob无法通过测量其系统来得到Alice的任何信息。

他们重复步骤2和3，直到完成计算。请注意，无论Bob恶意准备的状态而不是正确的资源状态，无论Bob恶意发送给Alice的状态，Bob都无法了解Alice的任何信息，因为Alice不发送任何信号给Bob，因此，因为没有信号的原理，Bob无法通过测量其系统得到Alice的任何信息。否则，它违背了没有信号的原则。

在我们的协议中，用户Alice用有限的量子计算资源可以从Bob的数据库查询，并且Bob无法知道Alice所要查询的信息，同时Alice无法获得比她所查询的更多的信息。我们假设Alice实验室没有泄漏不必要的信息。Alice和Bob有预定的问题集合Frsquo;。我们的协议如下:

1. Alice和Bob首先进行量子密钥分配协议来共享一个密钥K。
2. Bob均匀地随机地从Frsquo;中选择问题，其中是对计算的描述，Bob使用共享密钥K把，发送给Alice。Alice没有量子计算机，无法计算任何函数，她也无法同时在同一个UBQC中计算和，其中。
3. Alice选择，即她想从数据库查询的内容，并保证只有她自己知道。然后，Alice将她的计算发送给Bob，Bob无法得知Alice的输入，输出，和^[30]。实际的计算是基于测量的^[32]。
4. Bob准备了n个基于量子计算的测量状态，其中n是由Alice和Bob预先定义好的。
5. Bob通过量子信道将这n个状态的粒子发送给Alice。
6. Alice用她自己的算法决定测量粒子的方法。
7. 重复步骤（5）和（6），直到完成计算。
8. Bob宣布加密的数据库，其中是数据库中第i条信息，是第i个函数的计算结果，。所以Alice最后可以获得，并读出。

III. 协议的安全性

在下文中，我们将表明，SPIR协议对有一个完全成熟的量子计算机的Bob是安全和对只有有限的量子计算资源的Alice是安全的。

对于诚实的服务器Bob，Alice将获得她所期望的正确答案，因为Alice和Bob所做的只不过是一种基于量子计算和一次性加密的测量。如果Bob是不诚实的，Bob可以执行他所期望的协议，即，Bob可以准备其他状态而不是正确的资源状态，并将它们发送给Alice。因为在我们的协议中没有验证程序，Alice无法检测到Bob的恶意行为。然而，Bob和Alice只有单向通信，即Alice不给Bob发送任何信号。由于没有信号原则，Bob无法获得任何关于Alice的选择b的有用的信息，否则，它违背了无信号原理。另一方面，如果Bob执行不诚实的协议完成后，Alice可以发现Bob发送不正确的查询结果。Bob的恶意行为将不可避免地影响到他的声誉，用户可能不再调用Bob的数据库。因此， Bob不宜履行不诚实的协议。我们已经证明了该协议对Bob而言是安全的。现在我们转向Bob的隐私问题。

为用户Alice，她收到了Bob的有用的信息是和，其中。利用UB

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[28866]，资料为PDF文档或Word文档，PDF文档可免费转换为Word