想象你拥有一份制作世界上最美妙蛋糕的秘方，但你没有足够大的厨房来烘焙它。你需要将食材发送给一家专业烘焙坊（即“服务器”）来完成烘焙。然而，你不能让面包师看到你的秘方，否则他们可能会窃取它，或者更糟的是，他们可能会篡改食材，在未被你察觉的情况下端给你一块糟糕的蛋糕。

本文是一份蓝图，阐述了如何向一家你并未完全信任的烘焙坊发送你的秘方，具体策略取决于你在家中拥有的“厨房设备”（量子资源）的多少。

以下是他们解决方案的分解，采用日常类比：

核心问题：“黑盒”厨房

在量子计算的世界里，“烘焙坊”（服务器）功能强大但昂贵。“家庭厨师”（客户端）希望使用它，但需要隐藏其数据（秘方）及其具体指令（蛋糕层的角度）。

本文提出了一种分层解决方案。这就像一份安全等级菜单，安全等级取决于你在家中拥有的设备数量。

四个安全等级（协议）

1. “全功能厨房”客户端（协议 1）

你的身份： 你拥有一个设备齐全的家庭厨房（一台 M 量子比特的量子计算机）。你可以自己烘焙小蛋糕，但那个大蛋糕需要专业烘焙坊。
策略： 你使用“量子一次性密码本”（QOTP）加密你的食材。这就像把你的食材装进一个每次你触碰时锁都会变化的盒子里。

面包师看到什么： 他们看到一盒食材和按特定公开方式混合它们的指令（例如“顺时针搅拌”）。他们看不到盒子里面具体是什么。
你做什么： 你将食谱的秘密部分（非标准香料）留给自己。当面包师完成公开混合后，你取回盒子，解锁，加入你的秘密香料，重新上锁，然后发回。
局限： 面包师仍然知道你使用了多少食材以及何时发送了它们，但不知道具体是什么。

2. “单件工具”客户端（协议 2）

你的身份： 你没有完整的厨房。你只有几件独立的工具（独立的单量子比特设备）。你无法在家中将两种食材混合在一起。
策略： 你仍然使用秘密锁盒（QOTP），但现在你必须非常小心地处理发送方式。

技巧： 为了隐藏食谱的形状，你使用“路由置换”。想象你有 5 罐食材。你打乱了哪一罐被送到烘焙坊的哪个架子上。面包师看到罐子在移动，但由于你进行了打乱，他们无法仅通过观察罐子的顺序来判断你是在做蛋糕还是派。
局限： 你必须不断地来回交换罐子，这需要时间。

3. “极简主义”客户端（协议 3）

你的身份： 你几乎没有工具。你只能锁上和解锁盒子，甚至无法在内部旋转食材。
策略： 这是最巧妙的部分。你无法通过自己操作来隐藏旋转的“角度”（例如“将旋钮转动 45 度”）。因此，你使用“秘密共享”技巧。

类比： 想象你需要告诉面包师转动旋钮，但你不能说“转动 45 度”。相反，你让他们分别转动"10 度”和"35 度”。但这里有个转折：你还秘密地指示面包师将其中一个转动方向“反转”（负号）。
魔力： 面包师看到两次转动：+10 和 +35。但由于你手中持有秘密的“反转”指令，实际的数学计算结果加起来是 45。面包师不知道哪一次转动是真实的，哪一次是“反转”的。
局限： 这只有在面包师无法确定哪两次转动属于同一个秘密指令时才有效。你通过打乱转动顺序并使用看似真实但实际无效的“虚拟”转动来隐藏这一点。

4. “纯经典”客户端（协议 4）

你的身份： 你没有任何量子工具。你只是一个带着笔记本电脑的人。
策略： 你无法自己锁盒子。因此，你雇佣两家竞争的烘焙坊（服务器 1 和服务器 2）以及一位中立经理（公共节点）。

设置： 你将秘密食谱分成两半。一半给面包师 A，另一半给面包师 B。经理掌握着如何将它们重新组合在一起的“钥匙”。
规则： 面包师 A 和面包师 B 不允许互相交谈。经理被信任会打乱钥匙，使得任何一位面包师都无法了解全貌。
局限： 如果面包师 A、面包师 B 和经理决定联手并分享他们的笔记，你的秘密就会泄露。该系统依赖于他们不串通。

“陷阱”层（验证）

你怎么知道面包师没有作弊？也许他们没有窃取食谱，但他们只是烤出了一块烧焦的蛋糕。
作者建议采用“陷阱”系统。

类比： 想象你给面包师发送几个“虚拟”食材，它们看起来和你的真实食材一模一样，但你确切知道它们应该变成什么（例如：“这个特定的鸡蛋应该变成一个完美的球体”）。
检查： 如果面包师返回一个形状不规则的球体，你就知道他们作弊了或者犯了错误。由于虚拟食材是随机混合在真实食材中的，面包师不知道哪些是陷阱。为了不被抓，他们必须对所有东西都保持诚实。

“泄露”现实检查

本文非常诚实地说明了它没有做到什么。它承认，虽然面包师看不到“食材”（数据），但他们仍可能基于以下因素猜测一些事情：

时间： 烘焙花了多长时间。
大小： 使用了多少罐。
结构： 食谱的大致形状（例如，“它看起来像蛋糕，不像汤”）。

本文将此称为“依赖泄露的隐私”。这意味着：“我们隐藏了秘密细节，但我们承认，除非我们添加额外的填充和噪声来隐藏这些，否则面包师可能会猜出菜肴的大致类型。”

总结

本文并不承诺一个能让你对超级强大的黑客隐形的魔法盾牌。相反，它提供了一个模块化工具箱：

如果你拥有量子计算机： 使用“锁盒”方法。
如果你拥有有限工具： 使用“打乱”和“秘密共享”方法。
如果你没有任何工具： 使用“两家烘焙坊 + 经理”方法。
对所有人： 添加“陷阱”以捕捉作弊者。

这是一份实用指南，指导如何在今天利用强大的量子计算机而不泄露秘密，它承认完美的保密很难实现，但通过正确的技巧组合，实现“足够好”的保密是可行的。

技术摘要：面向用户级与行业级场景的私有委托量子计算

1. 问题陈述

由于构建、运营和维护量子设备的高昂成本，量子硬件的获取仍是个人用户和行业面临的瓶颈。委托量子计算（DQC）提供了一种解决方案，即资源受限的客户端将计算任务委托给强大的服务器。然而，一个关键的挑战在于保护计算输入数据、输出数据以及计算描述（结构与参数）的隐私。

现有方法，如基于测量的盲量子计算（MBQC）和基于电路的盲量子计算（CBQC），通常要求客户端具备显著的量子能力（例如生成图态或存储所有量子比特），或者依赖于特定的信任模型。此外，标准的隐私定义往往混淆了不同类型的保密性（状态隐私与结构隐私），或者假设了在使用有限客户端资源时可能无法实现的“通用盲性”。

本文针对面向不同客户端能力的模块化私有委托量子计算协议层级的需求进行了探讨，涵盖从具备全功能的多量子比特设备到纯经典控制器的各种情况。该工作明确区分了通过加密保护量子状态与通过编译和路由保护电路结构，并阐明了每种情况所需的具体泄露假设。

2. 方法论与框架

作者提出了一种基于资源的层级结构，其中协议的选择取决于客户端的量子能力（ $M$ 个量子比特）以及操作的性质（Clifford 类与非 Clifford 类）。该框架依赖于以下核心技术：

2.1 核心隐私机制

量子一次一密（QOTP）： 状态隐私的基础。客户端使用随机的 Pauli $X$ 和 $Z$ 密钥对量子比特进行加密。在纯化半诚实模型下，如果密钥是新鲜的、保密的且均匀分布的，服务器的约化密度矩阵将是最大混合态，从而不泄露任何关于状态的信息。
Clifford 密钥更新： 服务器可以在加密数据上执行公共的 Clifford 操作（H, S, CNOT, CZ）。客户端无需解密数据，即可在经典层面更新 Pauli 框架。
非 Clifford 处理： 基础协议将服务器限制在 Clifford 操作范围内。非 Clifford 门（例如 $T$ $T$ 门、通用旋转）通过以下方式处理：
- 本地执行： 客户端解密、应用门操作、重新加密并返回量子比特（适用于具备本地能力的客户端）。
- 分解： 将非 Clifford 门分解为公共 Clifford 层和本地单量子比特门。
- 角度模糊原语： 对于受限客户端，利用有限网格共享和符号随机化来隐藏私有旋转角度。

2.2 结构隐私与泄露

本文引入了严格的泄露相对隐私定义。隐私并非绝对的，而是相对于声明的泄露函数 $L(D)$ 而言的。

结构隐私： 隐藏电路布局、门的位置和路由。这是通过随机化编译器、填充虚拟/抵消门以及路由置换来实现的。
转录级模糊性： 对于受限客户端，本文定义了“角度模糊性”而非通用盲性。通过使用有限网格路由隐藏符号随机化的 $r$ -份额共享，服务器可以看到有效的旋转份额，但由于隐藏了符号（由 QOTP 密钥引起）和隐藏了分组（由路由置换引起），无法唯一确定逻辑角度。

2.3 协议层级

本文根据客户端资源定义了四个不同的协议分支：

协议 1（全功能 $M$ -量子比特客户端）：
- 能力： 能够存储 $M$ 个量子比特并执行本地多量子比特门。
- 机制： 客户端向服务器发送 $M$ 个量子比特的批次。服务器在加密数据上执行公共 Clifford 操作。私有/非 Clifford 门由客户端本地执行（解密 - 应用 - 重新加密），前提是门的 arity $\le M$ 。
- 隐私： QOTP 状态隐私；结构隐私取决于编译器。
协议 2（拥有 $M$ 个独立单量子比特设备的客户端）：
- 能力： $M$ 个独立设备；无本地纠缠门。
- 机制： 类似于协议 1，但仅限于本地单量子比特门。多量子比特操作作为公共 Clifford 层进行委托。结构隐藏通过在设备之间进行端口随机化（路由置换）来实现，以隐藏逻辑线映射。
- 隐私： QOTP 状态隐私；结构隐私依赖于路由置换和填充。
协议 3（受限单量子比特设备）：
- 能力： 设备仅限于 Pauli $X, Z$ （QOTP 掩码）和路由控制；无法执行任意旋转。
- 机制： 使用有限网格路由隐藏符号随机化的 $r$ -份额角度模糊原语。私有旋转角度被编译到有限网格，分割为 $r$ 个份额，并隐藏符号（通过 QOTP $X$ 密钥）和隐藏分组（通过路由）。
- 隐私： QOTP 状态隐私；在隐藏符号和隐藏路由假设下，提供转录级角度模糊性（而非通用盲性）。
协议 4（经典客户端）：
- 能力： 纯经典；无直接量子交互。
- 机制： 使用两个计算服务器（ $S_1, S_2$ ）和一个公共节点（ $R$ ）。客户端维护一个持久匹配隐藏分割 QOTP。公共节点隐藏 $S_1$ 和 $S_2$ 所持密钥份额之间的匹配关系。
- 隐私： 在持久分割 QOTP 加上 $\epsilon_{key}$ -密钥隐藏（假设非完全共谋）下的状态隐私。角度隐私通过打乱的 $r$ -份额共享实现转录级不可链接性。
- 假设： 排除完整联盟 $\{S_1, S_2, R\}$ ；公共节点是受信任的或受侧信道控制的。

2.4 基于陷阱的检测层

为了解决恶意偏离（即服务器不遵循协议）的问题，本文提出了一种嵌入式的统计检测层。

方法： 客户端编译“验证器块”（具有已知答案或可模拟输出），并通过私有重标记和路由将其与数据块混合。
保证： 在不可区分性假设下，服务器无法仅针对数据块。检测概率取决于验证器槽的密度和验证器模式（已知答案、可模拟或回显）的可靠性。
局限性： 这是一个统计检测层，并非完整的恶意安全证明或认证机制。

3. 主要贡献

资源索引的协议层级： 一套结构化的协议（协议 1–4），将特定的客户端能力（从 $M$ -量子比特到经典）映射到适当的隐私机制，避免了“一刀切”的方法。
泄露相对隐私定义： 一个形式化框架，将QOTP 状态隐私（信息论层面）与结构隐私（依赖编译器）和角度模糊性（依赖转录）区分开来。本文阐明，“盲性”通常是声明的泄露和编译器随机性的函数，而不仅仅是加密本身的固有属性。
路由隐藏符号随机化原语： 一种针对受限客户端的新技术，利用有限网格共享、隐藏符号（通过 QOTP）和路由置换来隐藏私有旋转角度，在不要求完全量子状态盲性的情况下提供转录级模糊性。
面向经典客户端的分割 QOTP： 一种多方协议（协议 4），使经典客户端能够通过非共谋服务器间的分割密钥模型实现状态隐私，用持久匹配隐藏不变量取代了客户端侧的 QOTP。
明确的安全范围： 本文明确界定了每个协议不声称的内容（例如，协议 3 不提供通用盲性，基础协议不提供恶意安全性，没有编译器假设则无条件结构隐藏无法保证）。

4. 结果与示例

本文通过三个算法示例展示了这些协议的适用性：

Grover 算法： 展示了如何委托预言机（结构隐私）和扩散算子。私有结构通过填充和路由隐藏；非 Clifford 组件（CCZ）通过本地处理或分解来处理。
QAOA（量子近似优化算法）： 说明了私有参数（$RZ $和$ RZZ $中的角度）与公共结构的分离。$ RZZ$ 纠缠部分作为公共 Clifford 进行委托，而私有角度则通过本地处理或角度模糊原语来处理。本文强调需要填充优化器转录以防止收敛特性的泄露。
量子神经网络（QNN）： 展示了如何隐藏输入编码角度和模型权重。私有旋转通过本地执行或符号随机化原语执行，而纠缠门则进行委托。

安全分析：
本文提供了以下方面的形式化证明：

状态隐私： 在具有新鲜 QOTP 密钥的纯化半诚实模型下（定理 1）。
角度模糊性： 在给定隐藏符号和分组的情况下，私有角度候选集大小的界限（命题 5.1, 5.4）。
检测概率： 基于验证器密度的恶意偏离检测概率的超几何界限（命题 6.2, 6.3）。

5. 意义与主张

作者将这项工作定位为并非在最强模式下替代通用盲量子计算（UBQC）或可验证盲量子计算（VBQC），而是作为一个模块化的、资源索引的框架，适用于客户端具有部分或无量子能力的实际场景。

主张的适度性： 本文明确指出，其本身并不提供通用盲性或恶意安全性。
- 协议 3 提供的是“转录级角度模糊性”，而非通用盲性。
- 协议 4 依赖于非完全共谋假设和侧信道控制；如果没有额外的验证层，它不提供恶意安全性。
- 结构隐私 是有条件的，取决于随机化编译器和声明的泄露；它不是针对所有侧信道的无条件保证。
实用性： 该层级结构允许行业和用户选择与其特定硬件约束相匹配的协议（例如，拥有小型量子处理器的公司与仅拥有经典计算机的用户），同时了解隐私和开销方面的确切权衡。
未来方向： 作者指出，未来的工作可以集中在减少量子比特传输开销，并加强针对容错环境的非 Clifford 和检测组件。

总之，本文提供了私有委托量子计算的严谨、细致的分类，阐明了在不同水平的量子资源下，客户端实现隐私的确切条件，同时明确界定了每种方法的局限性。

Private Delegated Quantum Computing for User-Level and Industry-Level Settings