基于有錯(cuò)配對(duì)的新密碼系統(tǒng)的制作方法
【專利摘要】本發(fā)明建立了新的密鑰交換系統(tǒng),密鑰分配系統(tǒng),基于身份的加密系統(tǒng).這些系統(tǒng)基于相同的數(shù)學(xué)原理,即有錯(cuò)配對(duì)原理.有錯(cuò)配對(duì)原理可以看成LWE問題的拓展.這些新系統(tǒng)效率高,安全性好,可以證明安全,能夠抵御量子計(jì)算機(jī)攻擊����。
【專利說明】基于有錯(cuò)配對(duì)的新密碼系統(tǒng)
【背景技術(shù)】
[0001] 本申請(qǐng)擁有在2012年4月12日提交的美國(guó)臨時(shí)專利申請(qǐng)(題目:安全通信和安 全信息系統(tǒng)的新方法,序列號(hào):61623272)中的發(fā)明優(yōu)先權(quán)�����,其中包括完整的參考資料�����,適 用于所有目的.
[0002] 本發(fā)明是有關(guān)密碼系統(tǒng)設(shè)計(jì)����,尤其是,密鑰交換系統(tǒng)(KE)��,密鑰分配系統(tǒng)(KD) 和基于身份的加密系統(tǒng)(IBE)��,本質(zhì)上都是基于相同的數(shù)學(xué)原理�,即有錯(cuò)配對(duì)原理.
[0003] 在現(xiàn)代通信系統(tǒng)中�����,如互聯(lián)網(wǎng)、手機(jī)等�����,出于對(duì)保護(hù)通信信息的秘密性考慮�,我 們需要對(duì)信息進(jìn)行加密.目前有兩種不同的加密方法.第一,用對(duì)稱密碼系統(tǒng)加密信息�, 此時(shí),發(fā)送方用于加密的密鑰與接收方用于解密的密鑰相同.對(duì)稱密碼系統(tǒng)要求發(fā)送方 和接收方有一個(gè)安全的渠道來交換共享密鑰.因?yàn)樵陂_放的通信渠道中�����,沒有可信的第 三方來交換密鑰��,所以需要用某種方法在對(duì)開放的渠道中交換密鑰.此外����,在一個(gè)有中央 服務(wù)器的系統(tǒng)中,如電話公司的手機(jī)服務(wù)系統(tǒng)�����,需要一個(gè)有效的和可以擴(kuò)展的密鑰分配 系統(tǒng)���,使得任意兩個(gè)用戶都可以利用通過中央服務(wù)器所建的密鑰分配系統(tǒng)獲得一個(gè)共享 密鑰.因此���,建立安全有效的密鑰交換系統(tǒng)和密鑰分配系統(tǒng)是十分重要和必要的.第一個(gè) 密鑰交換系統(tǒng)由Diffie和Hellman[DiHe]提出��,該系統(tǒng)的安全性基于離散對(duì)數(shù)問題的困難 性.Shor[SH0]的工作表明���,該系統(tǒng)可以被將來的量子計(jì)算機(jī)攻破.目前有許多密鑰分配 系統(tǒng),包括利用二次型對(duì)的密鑰分配系統(tǒng)[BSHKVY]和基于橢圓曲線上的雙線性型對(duì)的密 鑰分配系統(tǒng)(美國(guó)專利7,590, 236).但是����,現(xiàn)有的系統(tǒng)存在計(jì)算效率或可擴(kuò)展性方面的問 題,如基于橢圓曲線上的雙線性型對(duì)的密鑰分配系統(tǒng)的計(jì)算效率很低.
[0004] 第二�,利用非對(duì)稱密碼系統(tǒng),即公鑰密碼系統(tǒng)加密.此時(shí)�����,接收方有一組公鑰和 一組私鑰���,但發(fā)送方只有公鑰.發(fā)送方利用公鑰加密信息�,接收方利用私鑰解密信息����,只 有私鑰擁有方才能解密信息.在通常的公鑰系統(tǒng)中,我們需要認(rèn)證公鑰�,因此每一個(gè)公鑰 需要有一個(gè)認(rèn)證證書,即一個(gè)由可信的權(quán)威中心提供的數(shù)字簽名.證書用來確認(rèn)公鑰是否 屬于合法的使用方�,即信息接收方.為了讓公鑰加密系統(tǒng)完全可用,我們需要一個(gè)稱為公 鑰基礎(chǔ)設(shè)施的系統(tǒng).
[0005] 1984年��,Shamir提出了另外一種公鑰加密系統(tǒng)[SHA].在此密碼系統(tǒng)中����,一個(gè)人 或?qū)嶓w的公鑰,由一個(gè)能夠唯一識(shí)別個(gè)人或?qū)嶓w的信息的公開算法生成.例如�,對(duì)一個(gè) 人來說,這些信息可能包括姓名����、住址、生日����、指紋信息、電子郵箱�����、社會(huì)安全號(hào)等.由于公 鑰是由可以識(shí)別個(gè)人的信息決定的���,所以這類公鑰密碼系統(tǒng)被稱為基于身份的加密系統(tǒng) (IBE).
[0006] 基于身份的公鑰加密系統(tǒng)并不多�����,目前正在使用的是Boneh和Franklin發(fā)明 的基于橢圓曲線上的雙線性型對(duì)的基于身份的加密系統(tǒng)(美國(guó)專利:7, 113, 594).在基于 身份的加密系統(tǒng)中���,發(fā)送方用基于接收方身份的公鑰加密信息.接收方用其私鑰解密信 息.接收方從一個(gè)中央服務(wù)器獲得私鑰���,其中中央服務(wù)器有一個(gè)生成和分配私鑰給合法用 戶的系統(tǒng).基于身份的加密系統(tǒng)不需要發(fā)送方搜索接收方的公鑰,發(fā)送方利用鑒別接收者 身份的信息��,如電子郵箱����、身份證號(hào)或其他信息等,從基于身份的加密系統(tǒng)中可獲得任意 接收者對(duì)應(yīng)的公鑰.現(xiàn)有的基于身份加密系統(tǒng)復(fù)雜����,且計(jì)算效率不高.并且這些基于橢圓 曲線上的雙線性型對(duì)的加密系統(tǒng)可被量子計(jì)算機(jī)攻破.此外,還有一些基于格理論的構(gòu)造 [ABB] [ABVVW] [BKPW]��,但在實(shí)際應(yīng)用中���,這些都是相當(dāng)復(fù)雜的系統(tǒng).因而設(shè)計(jì)安全有效的 基于身份的加密系統(tǒng)是十分重要和必要的.
[0007] 顯然��,在實(shí)際應(yīng)用中����,我們?nèi)匀恍枰行Ш透踩腒E�,KD和IBE系統(tǒng).
【發(fā)明內(nèi)容】
[0008] 本發(fā)明首次提出了一種用于開放渠道中新的安全的密鑰交換方法.這種方法基 于用不同的方法計(jì)算相同的雙線性型,其中每種不同的計(jì)算方法會(huì)產(chǎn)生一些錯(cuò)誤.在密鑰 交換過程中�,交換雙方A,B各自保密選擇一個(gè)私鑰矩陣S A�����,Sb其中矩陣的元素是小的且服 從某種的錯(cuò)誤分布���,然后任意選擇一個(gè)公開矩陣M.密鑰交換雙方用各自的私鑰矩陣與公 開矩陣M相乘���,但有些錯(cuò)誤,交換相乘后的矩陣�����,用基于M的同一個(gè)雙線性型���、兩種不同 的方法��、并加入一些錯(cuò)誤計(jì)算一對(duì)S A�����,Sb的配對(duì)這種數(shù)學(xué)計(jì)算被稱為有錯(cuò)配對(duì).共享密鑰 來自于有錯(cuò)配對(duì).此方法可以看做錯(cuò)誤學(xué)習(xí)思想的拓展�����,該思想在2005年被Regev發(fā)現(xiàn) [Reg].本系統(tǒng)的安全性依賴于某個(gè)可用數(shù)學(xué)證明的格問題的困難性[DiLi].本系統(tǒng)只涉 及矩陣乘法��,因而計(jì)算效率極高.本系統(tǒng)還可以抵御將來的量子計(jì)算機(jī)攻擊.
[0009] 本發(fā)明第二項(xiàng)內(nèi)容包括建立密鑰分配系統(tǒng)的新方法.在本系統(tǒng)中���,中央服務(wù)器或 權(quán)威機(jī)構(gòu)以矩陣A i的形式分配給每個(gè)用戶一個(gè)公開的ID�,或者以矩陣Ai的形式為每個(gè)用 戶建立一個(gè)ID���,其中A i的元素是小的并服從某種錯(cuò)誤分布�,這些錯(cuò)誤信息可以唯一識(shí)別 被所有者.此外�,中央服務(wù)器或權(quán)威機(jī)構(gòu)給每個(gè)用戶分配一個(gè)私鑰,這個(gè)私鑰是矩陣M與 ID矩陣Ai的乘積.然后任意兩個(gè)用戶可以用相同的二次型不同的方式和某些錯(cuò)誤計(jì)算用 戶兩個(gè)ID矩陣對(duì)�����,從而獲得共享密鑰.此方法可以視為錯(cuò)誤學(xué)習(xí)思想的拓展,該思想在 2005年被Regev發(fā)現(xiàn)[Reg].本系統(tǒng)的安全性依賴于有錯(cuò)配對(duì)相關(guān)問題的困難性.本系統(tǒng) 只涉及矩陣乘法,因而計(jì)算效率極高.本系統(tǒng)還可以抵御將來的量子計(jì)算機(jī)攻擊.
[0010] 本發(fā)明的第三項(xiàng)內(nèi)容包括建立基于身份的加密系統(tǒng)的新方法.在本系統(tǒng)中��,中央 服務(wù)器或權(quán)威機(jī)構(gòu)以矩陣Ai的形式分配給每個(gè)用戶一個(gè)公開的ID��,或者以矩陣Ai的形式 為每個(gè)用戶建立一個(gè)ID�����,其中Ai的元素是小的并服從某種錯(cuò)誤分布�����,這些錯(cuò)誤信息可以 被所有者唯一識(shí)別.系統(tǒng)給每個(gè)用戶一個(gè)私鑰S i,私鑰是由ID矩陣與系統(tǒng)密鑰矩陣S (有 錯(cuò))相乘而得,而這里的錯(cuò)誤矩陣與系統(tǒng)公鑰矩陣M相關(guān).中央服務(wù)器或權(quán)威機(jī)構(gòu)通過M 和S相乘建立另一個(gè)密鑰M1�,其中矩陣相乘時(shí)加入一些錯(cuò)誤.任意一個(gè)用戶希望發(fā)送給另 一個(gè)用戶i 一個(gè)信息,可以計(jì)算用戶i的公鑰���,用戶i的公鑰由M和矩陣對(duì)M和Ai有錯(cuò) 組成.然后用基于MLWE問題的加密系統(tǒng)加密信息�����,用戶i用密鑰S i解密信息.此方法可 以看為錯(cuò)誤學(xué)習(xí)思想的拓展���,該思想在2005年被Regev發(fā)現(xiàn)[Reg].本系統(tǒng)的安全性依賴 于某個(gè)可用數(shù)學(xué)證明的格問題的困難性[DiLi].本系統(tǒng)只涉及矩陣乘法,因而計(jì)算效率極 高.本系統(tǒng)還可以抵御將來的量子計(jì)算機(jī)攻擊.
[0011] 在我們的構(gòu)造中�����,可以用格理想的元素代替矩陣,我們還可以利用其他舍入技 術(shù).本系統(tǒng)可以以分布式的方式使多個(gè)服務(wù)器同時(shí)服務(wù)�����,即建立分布式的KD和IBE系統(tǒng).
[0012] 總之��,我們用相同的數(shù)學(xué)原理建立安全有效的KE�����,KD和IBE系統(tǒng)��,該原理可以看 成LWE問題的擴(kuò)展.
[0013] 雖然本發(fā)明是用具體的實(shí)例描述的����,但是顯然對(duì)那些熟悉密碼學(xué)技術(shù)的人來說, 可以很容易根據(jù)我們的具體實(shí)例變型�����、替換和修改.因此本文檔里的實(shí)例僅僅是示范性 的�,本發(fā)明并非局限于此,各種在本發(fā)明精神和范圍的變化都在本發(fā)明的優(yōu)先權(quán)請(qǐng)求之 內(nèi).本發(fā)明基本基于在2012年4月12日提交的美國(guó)臨時(shí)專利申請(qǐng)(題目:安全通信和安 全信息系統(tǒng)的新方法����,序列號(hào)=61623272)��,只增加了技術(shù)細(xì)節(jié)���。
【具體實(shí)施方式】 1. 1有錯(cuò)配對(duì)理論基礎(chǔ)
[0014] 2005年,Regev在[Reg]中介紹了錯(cuò)誤學(xué)習(xí)理論問題����,和以后作為該理論的拓展 的在環(huán)上的錯(cuò)誤學(xué)習(xí)理論(RLWE)問題[LPR],它們被廣泛的應(yīng)用于密碼學(xué)設(shè)計(jì)����,并有可證 明安全的性質(zhì)���,原因在于它們可以歸結(jié)為某個(gè)最壞情形的格上的問題���,因而可用于密碼設(shè) 計(jì)·
[0015] LWE問題描述如下,首先���,我們需要有一個(gè)參數(shù)n, q個(gè)元素的有限環(huán)或有限域Fq 上的錯(cuò)誤概率分布κ.為簡(jiǎn)單起見�����,不妨設(shè)q是奇素?cái)?shù)���,但通過微小的變更����,我們的發(fā)明 可用于其他整數(shù).
[0016] Fq中的元素可用集合{-(q-l)/2�,..,0�����,...���,(q-l)/2}描述.錯(cuò)誤分布指的是以很 高的概率選擇F q中較小數(shù)的概率分布.有較多這樣的分布選擇并且分布選擇直接影響系 統(tǒng)的安全性.我們必須選擇一個(gè)好的錯(cuò)誤概率分布使得系統(tǒng)更有效更安全.
[0017] 令TIsk為Fq上的一個(gè)概率分布����,此分布通過以下方式獲得����,從$中任意選擇A, 然后再?gòu)腇 q中按照分布κ選擇元素 e����,最后得到(A����,〈A����,S>+e),其中+指的是Fq上的加 法.對(duì)任意的S e Fa和Π Sk任意獨(dú)立樣本���,解決關(guān)于q和分布κ的LWE問題的算法以很 高的概率輸出S.
[0018] 為了完成基于LWE問題的密碼設(shè)計(jì)的安全性證明��,設(shè)q是關(guān)于η的特殊的多項(xiàng)式 函數(shù)����,記為q (η).設(shè)κ是一個(gè)離散的正態(tài)分布�����,期望為〇,標(biāo)準(zhǔn)差為σ = aq 2 VH����,將此分 布另記為κ�����。. g的元素表示為[-(q-D/2,(q-1)/2)]中的整數(shù).
[0019] 在最初的基于LWE問題的加密系統(tǒng)中,一次只能加密一位�����,因此該系統(tǒng)是相當(dāng)?shù)?效率的�����,并且密鑰很大.為了進(jìn)一步改進(jìn)基于LWE問題的密碼系統(tǒng)的效率�����,文獻(xiàn)[LPR]提 出了基于多項(xiàng)式環(huán)F q[X]的商環(huán)的LWE問題�����,即(RLWE)環(huán)問題.在基于RLWE問題的密碼 系統(tǒng)中�����,它們的安全性歸結(jié)為格的子類的困難性問題����,用格理想的類代替通常的格.
[0020] 隨后,文獻(xiàn)[ACPS]提出了 LWE的變種.我們用mXn矩陣A代替向量A�,S是nX 1 矩陣����,使得矩陣乘法AX S相容.e也用mXl矩陣代替.但仍然用q個(gè)元素的有限域.
[0021] 為簡(jiǎn)化說明起見��,設(shè)A是nXn方陣�����,S和e是nXl矩陣.
[0022] 令!^^是Fq上的概率分布�,任意選擇一個(gè)nXn矩陣A,矩陣A的元素屬于F,����, 以某種錯(cuò)誤分布K1Ji意選擇e的元素,其中e是nXl矩陣.例如�,每個(gè)元素分別按照 錯(cuò)誤分布κ任意選擇.輸出(A,AX S+e)��,其中+指的是Fq上的加法.一個(gè)解決關(guān)于q和 錯(cuò)誤分布κ的LWE問題的算法���,如果對(duì)任意的Se F〗和ns,Kn任意獨(dú)立樣本,以很高的概 率輸出為S.
[0023] 若S的元素較小��,且S的元素獨(dú)立地按照錯(cuò)誤分布κ n選擇�����,稱為L(zhǎng)WE問題(SLWE). 如果A為對(duì)稱矩陣,稱為小對(duì)稱LWE (SSLWE).如果秘密矩陣S的元素是從-Z����,…,0, 1�,… ,z (z是小正整數(shù))中任意獨(dú)立地選擇的���,稱為均勻小LWE問題(USLWE).
[0024] 在實(shí)際應(yīng)用中����,S和e的元素可以用不同的分布選擇.
[0025] 由[ACPS]的結(jié)果可知�,如果密鑰S和e的元素根據(jù)同一個(gè)LWE錯(cuò)誤分布κ。獨(dú) 立選擇���,那么解決對(duì)應(yīng)的LWE問題的困難性與解決任意選擇密鑰S的LWE問題的困難性相 同.這意味著解決SLWE問題的困難性與解決與之相對(duì)應(yīng)LWE問題的困難性相同.RLWE問 題的情形與之相似�,如果能夠解決密鑰元素比較小的環(huán)上的LWE問題��,那么也能解決對(duì)應(yīng) 的LWE問題.
[0026] 我們進(jìn)一步將此問題擴(kuò)展到矩陣的形式.
[0027] 令〇s,Z為Fq上的概率分布��,此分布通過以下方式獲得����,任意選擇一個(gè)nXn矩 陣Α�,陣A的元素屬于F,��,任意選擇ηΧη矩陣e����,e的元素屬于F q且服從分布κη2·例如,每 個(gè)元素分別按照錯(cuò)誤分布κ任意選擇.輸出(A�,AX S+e),其中+指的是Ff上的加法.一 個(gè)解決關(guān)于q和錯(cuò)誤分布Kn2的LWE問題的算法���,如果對(duì)任意的nXn矩陣S G FftJ和ns,KV 為任意獨(dú)立樣本���,以很高的概率輸出為S.
[0028] 我們記矩陣形式的LWE問題為(MLWE).如果S的元素較小,S的元素獨(dú)立地按照 錯(cuò)誤分布~ 2選擇�,我們稱之為小矩陣MLWE問題,記為(SMLWE).如果A為對(duì)稱矩陣�,稱 為小對(duì)稱MLWE問題,記為SSLWE.如果秘密矩陣S的元素是從-z���,…�,0, 1,…����,z (z是小正 整數(shù))中任意獨(dú)立地選擇的���,稱為均勻小MLWE問題�����,記為USMLWE.所謂MLWE問題可以看 成η個(gè)LWE問題的疊加�,然后以矩陣形式共享密鑰.因此它與對(duì)應(yīng)的LWE問題的困難性相 當(dāng)·
[0029] 對(duì)于S和e元素的選擇��,我們可以選擇不同的分布.
[0030] 我們的設(shè)計(jì)的一個(gè)數(shù)學(xué)原理是矩陣乘法的結(jié)合律�,即對(duì)矩陣A,B�,C,有 AXBXC = (AXB) XC = AX (BXC). 從數(shù)學(xué)的角度�����,這可看成雙線性對(duì)--矩陣A得行向量與矩陣C的列向量的雙線性對(duì) 的計(jì)算.
[0031] 對(duì)于以某種錯(cuò)誤分布選擇的元素較小的矩陣A和B�����,我們不是直接相乘,而是按 以下步驟計(jì)算���,首先計(jì)算 AB+Ea�����, 然后計(jì)算 (AB+Ea)C 或者(AB+Ea)C+Eac���, 或者計(jì)算 BC+Ec, 最后計(jì)算 A(BC+E。)或者(AB+Ea)C+Ebc��, 其中Ea�����,Eb���,Eac�����,Eb��。是元素較小的矩陣��,選擇矩陣的錯(cuò)誤分布可以相同也可以不同.于 是�,我們有兩種不同的方式計(jì)算矩陣乘法ABC,計(jì)算時(shí)有些錯(cuò)誤.我們稱此為有錯(cuò)配對(duì)計(jì) 算.我們的所有設(shè)計(jì)都基于有錯(cuò)配對(duì)和這樣的事實(shí)--即如果A和C的元素較小�����,那么任 意兩個(gè)不同的對(duì)相近.
[0032] 我們可以證明MLWE問題的困難性與對(duì)應(yīng)的LWE問題的困難性相同����。這是我們的 設(shè)計(jì)可證明安全性的基礎(chǔ). 1. 2基于有錯(cuò)配對(duì)的新的密鑰交換系統(tǒng)的設(shè)計(jì)
[0033] 在開放的通信信道中�,Alice (A)和Bob (B)決定交換密鑰.這意味著通信信道對(duì) 任何人開放,包括惡意的攻擊者.為簡(jiǎn)便起見����,我們假設(shè)本節(jié)中的所有矩陣都是nXn方 陣.實(shí)際應(yīng)用時(shí),所選的矩陣不必是方陣���,但必須保證所選矩陣可以相乘.
[0034] 密鑰交換的詳細(xì)步驟· (1) Alice和Bob首先公開選取Fq����,η和在Fq上的任意矩陣Μ�����,其中q是關(guān)于η的多項(xiàng) 式,例如 q?η3,錯(cuò)誤分布是關(guān)于Fq上的nXn矩陣的錯(cuò)誤分布���,例如每一個(gè)部分錯(cuò)誤分布 與LWE情形時(shí)的離散錯(cuò)誤分布κ�。相似���,即Fq上的中心為零方差為Vi啲離散正態(tài)分布.再 選擇并公開小素?cái)?shù)t (t < < η). (2) 雙方按照錯(cuò)誤分布Kn2選擇nXn密鑰矩陣Si (i = Α���,Β)和ei. Alice計(jì)算 Ma = MSa+teA 其中t是小整數(shù)(t << η). Bob計(jì)算 Mb = Μ^β+?θβ. (3) 雙方在開放信道中交換矩陣Mi.這意味著Mi (i = Α,Β)是公開的����,但Si和ei (i = A,B)是保密的. (4) Al ice 計(jì)算: = X Mb = S^MtSg + tS^eB. Bob計(jì)算: Kb = M又 X Sb = SXMtSB + teXSB. (5) 雙方運(yùn)用舍入技術(shù)獲得共享密鑰: (a) Bob將Kb在[-(q-1)/4,(q-1)/4]中的元素的位置列出���,記為T1�����,將K b不在 [-(q-l)/4,(q_l)/4]中的元素的位置列出��,記為T2.然后將表T 1發(fā)送給Alice. (b) 對(duì)表T1的數(shù)����,雙方都計(jì)算它們除以t的余數(shù);對(duì)表T2的數(shù)��,加上(q_l)/2后計(jì)算 它們除以q的余數(shù)��,然后再模t這樣雙方可以得到共享密鑰.
[0035] Alice和Bob可以通過KA����,Kb和舍入技術(shù)交換密鑰的原因在于:61和S i的元素較 小,從而導(dǎo)致KA, Kb相近.我們稱這樣的密鑰交換系統(tǒng)為SMLWE密鑰交換協(xié)議.我們還可 以證明這個(gè)有效的系統(tǒng)的安全性[Dili].
[0036] 從通信和計(jì)算效率的角度�����,本系統(tǒng)表現(xiàn)相當(dāng)出色.雙方只需要交換Fq上的η 2個(gè) 元素��,利用Strassen快速矩陣乘法進(jìn)行大約2η2 8次計(jì)算��,得到η2位bit輸出(如果t = 2).
[0037] 對(duì)于S和e元素的選擇��,我們可以選擇不同的分布.
[0038] 我們可以證明����,如果選擇相同的系統(tǒng)參數(shù)η和q和選擇恰當(dāng)?shù)腻e(cuò)誤分布���,矩陣 SLWE密鑰交換協(xié)議是可證明安全的[DiLi].證明基于有錯(cuò)配對(duì)問題的困難性.
[0039] 假設(shè)給定 (1) ηΧη矩陣M,素?cái)?shù)q,小正整數(shù)t,錯(cuò)誤分布κη. (2) M' A = MS' A+teA�,M' B = MS' B+teB, 其中^是!!※I向量,其元素服從錯(cuò)誤分布K n��,Si是11父I向量����,其元素服從相同的 分布; (3)已知 Kb = X = (S^)tMtSi3 + \:(eA,S'B) 是否屬于[_(q_l)/4,(q_l)/4]; 我們的問題在于尋找一個(gè)算法得到: r A=(S���,A)tXMB=(S��,Ams���,B+t〈S, A����,eB> 其中,如果K' B的元素屬于[_(q-i)/4��,(q-i)/4]時(shí)�����,模t.否則Γ A+(q-i)/2首先 模q����,然后再模t.我們稱這樣的問題為有錯(cuò)配對(duì)問題(PEP).
[0040] 安全性證明基于以下事實(shí):SMLWE問題的困難性與SLWE問題相同.事實(shí)上矩陣版 本的SLWE問題實(shí)例可看為一組SLWE問題的疊加.
[0041] 我們指出���,如果選擇的矩陣對(duì)乘法運(yùn)算相容,那么可以選擇長(zhǎng)方矩陣設(shè)計(jì)系統(tǒng)��, 但是必須選擇恰當(dāng)?shù)膮?shù)確保系統(tǒng)安全.
[0042] 同理��,根據(jù)文獻(xiàn)[LNV]對(duì)RLWE問題的描述����,我們可以建立基于環(huán)錯(cuò)誤問題的密 鑰交換系統(tǒng)(RLWE) [LPR].
[0043] 對(duì)RLWE問題,我們考慮環(huán)滅=ZWA(x)���,無 q =災(zāi)/q兄其中f (X)是名[X]上 的η次多項(xiàng)式,之為整環(huán)���,q是素?cái)?shù).若q是奇素?cái)?shù)����,則Zq = Fq= _2T/q的元素表示 為-(q-l)/2, . . .�,-1,0, 1�,. .�,(q_l)/2,即可看成名的元素 .Wq的元素可以表示為n-1次 單變量多項(xiàng)式����,或該多項(xiàng)式系數(shù)向量.對(duì)Wq的元素 a(x) = ag+ajX+···+a^jX11 \ 定義向量的范數(shù)Ioc^ : 11 B I - ITlclX I I . 向量(?,?…,a」可以看成滬的元素�����,叫可看成之的元素·經(jīng)過微小的修改����,q為偶 數(shù)的情形與奇數(shù)的情形相似.
[0044] RLWEf;(1;x問題的參數(shù)為:次數(shù)為η的多項(xiàng)式f(x),素?cái)?shù)q, Wq上的錯(cuò)誤分布X. RLWEf^ x問題定義如下.
[0045] RLWEf^x問題就是給定任意多項(xiàng)式實(shí)例 (ai; bj = aj X s+ej), 求的兀素 s的值.其中ai e力q�����,ei的選擇服從錯(cuò)誤分布x .
[0046] RLWEu x問題的困難性基于h在計(jì)算上的不可區(qū)分性.可以證明解決RLWEu x 問題可歸結(jié)為用量子計(jì)算機(jī)解決相關(guān)參數(shù)的短向量問題.我們相信即使是量子計(jì)算機(jī)�����,解 決某些格問題的復(fù)雜度是指數(shù)的.
[0047] 根據(jù)文獻(xiàn)[ACPS]和[LPR]�����,RLWEf^ x問題等價(jià)于一個(gè)變種����,在這個(gè)變種中��,s的選 擇服從錯(cuò)誤分布X���,而不是從Wq中任意選擇,錯(cuò)誤元素〇 1乘以某個(gè)小整數(shù)t.
[0048] 為了可證明安全性����,我們需要考慮RLWE問題的特殊參數(shù)選擇. (1)我們選擇f (X)為割圓多項(xiàng)式xn+l,其中n = 2U ; ⑵錯(cuò)誤分布X是離散的高斯分布Dzn;(J����,其中η》σ > Oj(^logn) > I; (3) q = I (mod 2n),q是關(guān)于η的多項(xiàng)式�����,q?η3 ; (4) t是小素?cái)?shù)且t〈〈n〈〈q. 對(duì)于某些特別的應(yīng)用����,我們也可以選取其他特殊的參數(shù).
[0049] 在密鑰交換系統(tǒng)RLWEt 4 x中�����,有兩個(gè)必不可少的要素, (1) 向量在標(biāo)準(zhǔn)差為σ的離散高斯分布的長(zhǎng)度的上界為on,即對(duì)分布X的任意樣 本���,有 Pr(IlXlD)O n) ^ 2^n+1. (2) 環(huán)凡i上的乘法被界定在合理的范圍內(nèi)�,即對(duì)XYe Wq�����,有 ||XXY(mod f(x)) Il ^nIlXlI || Y || , 其中范數(shù)I00定義如上.
[0050] RLWEu x系統(tǒng)環(huán)境如上�����,Alice(A)和Bob(B)在開放信道交換信息步驟如下: (1) Alice和Bob首先公開RLWEf^ x的所有參數(shù):q (?η3或者關(guān)于η的多項(xiàng)式)�����、η����、 f(x)、x.并公開從Wq中任意選擇的元素 Μ. (2) 雙方按照錯(cuò)誤分布選擇自己的密鑰Si e Rq�,按照錯(cuò)誤分布獨(dú)立選擇ei e Rq,但是 加入一個(gè)小素?cái)?shù)t (t〈〈n) Alice計(jì)算���, Ma = Sa M+teA 其中t是小素?cái)?shù)(t << η). Bob計(jì)算 Mb = SBM+teB. (3) 雙方交換Mi.這意味著Mi是公開的���,但Si和ei必須保密. (4) Al ice 計(jì)算: Ka = SaXMb = Sa MSB+teBSB. Bob計(jì)算: Kb = MaXSb = Sa MSB+teASB· (5) 雙方應(yīng)用舍入(rounding)技術(shù)共享密鑰���,具體過程如下: (a) Bob建立一張長(zhǎng)為η的表,表格由(i�,j)組成,其中i = 0,…���,n-1�,如果Kb的Xi 的系數(shù)在集合[_(q_l)/4,(q_l)/4]中���,那么j = 1����,否則���,j = 0. (b) Bob將建立的表格發(fā)送給Alice.雙方計(jì)算表格(i�,j)元素對(duì)應(yīng)心和&的元素除 以t的余數(shù)如下: 1) 如果j = 1���,則分別計(jì)算Ka和Kb第i個(gè)元素模t ; 2) 如果j = 0,則Ka和Kb第i個(gè)元素首先加上(q-1)/2,然后模q,使得第i個(gè)元素 在集合[_(q_l)/4,(q_l)/4之中,最后模t.
[0051] 31和61可以使用不同的分布·
[0052] 這樣雙方可以共享密鑰.我們稱此系統(tǒng)為RLWE密鑰交換系統(tǒng).此系統(tǒng)可以將密 鑰交換失敗的概率降到很低.環(huán)Wq的交換律和結(jié)合律對(duì)本系統(tǒng)的設(shè)計(jì)十分重要.
[0053] 在安全性分析方面�,于巧環(huán)上的PEP相似,本系統(tǒng)是可證明安全的.
[0054] 假設(shè)給定 ? M e Rq�����,素?cái)?shù)t����,q和錯(cuò)誤分布X,分布參數(shù)與RLWEu x相同���; ? Ma = Msa +����、冉和^^ = MSb + 其中ei和Si服從錯(cuò)誤分布乂��; ?已知 Kb = MaXSb = Sa MSB+teASB 的 Xi 的系數(shù)是否在[_(q-l)/4, (q_l)/4]之中��; 環(huán)上的有錯(cuò)配對(duì)的問題(RPE)�����,即找到某種算法以高概率計(jì)算Kb(或KA)模t或者 Kb+ (q_l) /2 (或 Ka+ (q_l) /2)模 q 再模 t.
[0055] 基于RLWEf^ x問題的困難性的RLWE密鑰交換系統(tǒng)是可證明安全的����,證明方法與 SLWE密鑰交換系統(tǒng)相似.
[0056] 對(duì)相同的參數(shù)q和η本系統(tǒng)十分有效�,因?yàn)榭梢杂铆h(huán)Wq上FFT型算法快速進(jìn)行 乘法運(yùn)算. 1. 3基于有錯(cuò)配對(duì)的新的密鑰分配系統(tǒng)的設(shè)計(jì) [0057] 在大型網(wǎng)絡(luò)中�����,怎樣給合法的用戶分配密鑰是一個(gè)關(guān)鍵的問題.通常����,建立一個(gè) 真正有效且可擴(kuò)展的密鑰分配系統(tǒng)是十分困難的.例如,在文獻(xiàn)[BSHKVY]中提出的密鑰 分配系統(tǒng)����,本質(zhì)上,中心服務(wù)器的主密鑰是一個(gè)ηΧη對(duì)稱矩陣Μ���,用戶的認(rèn)證可以看成η 個(gè)元素的行向量氏.中心服務(wù)器給每個(gè)用戶一個(gè)密鑰HiXM.兩個(gè)用戶之間可獲得共享密鑰 Hi X M X Hf. M的對(duì)稱性質(zhì)使得 .Hi X M X H[ = Hf X M X Hi. 但是��,大量的用戶可以合作��,從而獲得主密鑰.如果敵手能夠收集到足夠多(η個(gè)) 的HiXM.那么敵手也能得到主密鑰Μ����,從而將系統(tǒng)攻破.
[0058] 我們可以建立一個(gè)基于有錯(cuò)配對(duì)的真正可擴(kuò)展的密鑰分配系統(tǒng)����,此系統(tǒng)可看成 是以上方法與LWE思想的綜合.
[0059] 本系統(tǒng)建立在有限域Fq上,其中Fq的元素可以表示 為-(q-1)/2, . . .�,0, . . .,(q_l)/2.令q?η~3或者q是其他關(guān)于η的相似多項(xiàng)式函數(shù)�,令 ?Μ是ηΧη矩陣空間上的錯(cuò)誤分布.例如,每個(gè)部分都服從κ�。分布的聯(lián)合分布�����,其中 κ。為前述LWE中的離散分布��,即期望為0,標(biāo)準(zhǔn)差約為η的離散正態(tài)分布.當(dāng)然,分布 的參數(shù)可以更改.
[0060] 密鑰分配系統(tǒng)建立步驟如下. (1) 中央服務(wù)器選擇一個(gè)主密鑰ηΧη矩陣S���,矩陣的元素屬于F,,且 S = St. (2) 對(duì)每個(gè)用戶i���,中央服務(wù)器分配一個(gè)矩陣Ai (通常非對(duì)稱)作為用戶ID矩陣,矩 陣化服從錯(cuò)誤分布κη2· ID矩陣是公開的,它也可以由用戶可以唯一識(shí)別的信息,如電子 郵箱��、姓名等生成. (3)對(duì)每個(gè)用戶����,服務(wù)器分配一個(gè)安全的密鑰: Ei = AjS+tej, 其中ei是一個(gè)非對(duì)稱矩陣且服從錯(cuò)誤分布κη2·
[0061] 兩個(gè)用戶i和j想獲得共享密鑰��,用戶i計(jì)算 Kj = Ej X Aj = AjSAj ( 用戶j計(jì)算 Kj = Ai X (Ej)1 = AiStAj + tAje^ = AiSAj + tAje^. 此步驟是可行的�,因?yàn)镮D矩陣是公開的.可以通過以下步驟獲得共享密鑰. ?當(dāng)用戶j想和用戶i建立共享密鑰時(shí)�����,用戶j選出Kj在集合(_ (q_l)/4,(q_l)/4)中 的所有元素��,包括它們?cè)诰仃嚨奈恢?����,并且���,在集合中的元素?biāo)記為1,不在集合中的元素 標(biāo)記為〇.然后用戶j把這些元素的位置(不發(fā)送元素值)以表格的形式發(fā)送給用戶i��,用 戶i按照接收到的表格�����,從自己的矩陣E i X Ai中選出表格對(duì)應(yīng)位置的元素.于是用戶i和 j擁有了同一張表格���,即矩陣元素的位置����,從而也可以知道自己的矩陣中對(duì)應(yīng)的元素.對(duì) 于標(biāo)記為1的元素,雙方計(jì)算對(duì)應(yīng)元素除以t的余數(shù)����;對(duì)于標(biāo)記為0的元素,雙方用該元 素加上(q_l)/2后再模t.從而得到共享密鑰.
[0062] 由于S是對(duì)稱矩陣���,我們有 AiSAj = AiStA], 因而對(duì)用戶j��,可得 AiSAj + tAje·. 兩個(gè)用戶計(jì)算上的不同點(diǎn)在于: Ej X Aj _ Aj X Ε| =AjSA^ + t6j Aj - (AjSAj + tAj6j) =tejAj - tAje·. 兩者的不同是很小的��,這是因?yàn)閠是很小的���,且eiAj和Aief也是很小的,事實(shí)上ei���, ej Ai和Aj全是很小的.再通過舍入技術(shù)�,我們能夠給用戶i和j共同的密鑰��,從而建立密 鑰分配系統(tǒng).
[0063] 因?yàn)榫仃噒eA和tefAi的錯(cuò)誤項(xiàng)是很小的�����,AiS~中標(biāo)記為!的元素幾乎全部屬于
[-(q-l)/4,(q_l)/4].因而錯(cuò)誤項(xiàng)不會(huì)導(dǎo)致AiSAj的元素值超出(_(q-l)/2或(q_l)/2)�,即 加上錯(cuò)誤項(xiàng)后,我們?nèi)匀徊恍枰元素.標(biāo)記為0的情況也一樣.這就確保雙方可以共 享密鑰.
[0064] 從Ki, &的構(gòu)造可知����,Ki和&的元素服從均勻分布.用戶j每次根據(jù)矩陣&構(gòu)造 的表格長(zhǎng)度達(dá)η 2.因而如果適當(dāng)選擇n,本系統(tǒng)能提供足夠的共享密鑰位.
[0065] 當(dāng)然����,我們也可以構(gòu)造非對(duì)稱矩陣情形的密鑰分配系統(tǒng)���,此時(shí)�����,服務(wù)器需要多計(jì) 算一些矩陣�,如AiS+e和A# + K因此��,非對(duì)稱矩陣情形的密鑰分配系統(tǒng)效率沒有對(duì)稱的 情形商·
[0066] 另一方面�����,因?yàn)镽LWE問題可以看成基于矩陣的LWE的特殊版本�����,所以我們可以 用相同的方式通過RLWE建立密鑰分配系統(tǒng).
[0067] 我們接下來研究本密鑰分配系統(tǒng)為何可以擴(kuò)展的.顯然�����,每個(gè)用戶都有Ai和Ei = AiS+teji����,許多用戶通過合作可以得到許多對(duì)�����,恢復(fù)主密鑰矩陣S就是要解決對(duì)應(yīng)的 MLWE問題���,但是�,主密鑰矩陣S為對(duì)稱矩陣的情況除外.因?yàn)榻o定一個(gè)LWE問題��,通過對(duì) 稱矩陣,我們可以將它轉(zhuǎn)化為MLWE問題�,所以不難證明MLWE問題于LWE問題的困難性相 同.所以本系統(tǒng)是可擴(kuò)展的.
[0068] 在本系統(tǒng)的安全性證明方面�,與文獻(xiàn)[DiLi]的證明方法相似,我們也可以證明 本系統(tǒng)是安全的.
[0069] 綜上所述��,因?yàn)镽LWE可以看成特殊的MLWE�����,所以我們可以利用RLWE建立十分簡(jiǎn) 單的密鑰分配系統(tǒng).
[0070] 我們首先選擇環(huán)^= FqW/xn + 1.為了保障系統(tǒng)的可證明安全性�,我們必須 恰當(dāng)?shù)倪x擇參數(shù)n, q,例如,n = 2k, q = lmod(2n) [LPR].對(duì)于本系統(tǒng)的可證明安全性����,我 們按照文獻(xiàn)[LPR]來設(shè)置參數(shù)和錯(cuò)誤分布X .
[0071] 本設(shè)計(jì)基于前面的系統(tǒng).假設(shè)我們定義了一個(gè)環(huán)R,,且環(huán)服從錯(cuò)誤分布X�����,則環(huán) Rq上的錯(cuò)誤學(xué)習(xí)問題定義如下: 給定對(duì)(A���,E)�,其中 E = AX S+te', V的元素屬于R且服從錯(cuò)誤分布X����,t是小整數(shù),S是固定元素����,A是任意選擇的.環(huán) Rq上的錯(cuò)誤學(xué)習(xí)問題就是求S的問題.
[0072] 對(duì)中央服務(wù)器�����,我們建立簡(jiǎn)單的密鑰分配系統(tǒng)如下. (1) 中央服務(wù)器按照均勻分布從Rq中任意選擇M. (2) 對(duì)每個(gè)用戶�����,中央服務(wù)器分配一個(gè)公開的ID Ai,其中Ai是Rq的小元素�����,即服從 錯(cuò)誤分布X. (3) 中央服務(wù)器給每個(gè)用戶一個(gè)密鑰: Si = Mjtei 其中ei服從錯(cuò)誤分布X. (4) 如果用戶i和j試圖建立共享密鑰����,那么用戶i可以用自身的密鑰和用戶j的ID 矩陣Ai與用戶j建立共享密鑰���,為此�,用戶i計(jì)算 Ki = AjXSi = AjMA^tAjei 用戶j計(jì)算 Kj = AiXSj = AjMftAiej 應(yīng)用舍入技術(shù)�,共享密鑰可通過以下方式獲得: (a) 用戶i建立一個(gè)長(zhǎng)為η的表�,表由對(duì)(a,b)組成��,其中a = 0, . . .,n-l��,如果Ki 中Xa的系數(shù)在集合[-(q_l) /4,(q-1) /4里��,那么b = 1�����,否則b = 0. (b) 用戶i將上一步建立的表發(fā)送給用戶j.對(duì)表中的元素(a�,b),雙方計(jì)算表中的元 素對(duì)應(yīng)的Ki中的元素模t的值如下: 1) 如果b = 1,雙方分別計(jì)算Ki和I的第a個(gè)元素模t的值; 2) 如果$ = 0, Ki和Kj的第a個(gè)元素首先加上(q_l) /2,然后模q,使其在 [-(q-l)/4,(q_l)/4中,最后將所得值模t ;
[0073] 因?yàn)锳i是ei環(huán)Rq中的小元素,所以A iXei仍然是小的.這就保證可以得到共享 密鑰并建立密鑰分配系統(tǒng).
[0074] 在密鑰分配的整個(gè)過程中��,我們經(jīng)常用到這樣的一個(gè)事實(shí):RLWE問題的乘法可交 換· 我們構(gòu)造的系統(tǒng)的特點(diǎn)是:簡(jiǎn)單����,直接.它的安全性證明也是顯然的. 1. 4基于有錯(cuò)配對(duì)的基于身份加密系統(tǒng)的設(shè)計(jì)
[0075] 我們首先建立基于MLWE的公鑰加密系統(tǒng).為了建立加密系統(tǒng)��,我們選擇的參數(shù) 如前述��,q?η 3或η4或其它關(guān)于η的多項(xiàng)式����,錯(cuò)誤分布為例如����,每個(gè)部分都服從κ。 分布的聯(lián)合分布�,其中κ。為前述LWE中的離散分布�,即期望為0,標(biāo)準(zhǔn)差約為VHl的離散 正態(tài)分布,為了方便證明安全性��,我們也可以選擇高維高斯正態(tài)分布.當(dāng)然��,分布的參數(shù) 可以更改.
[0076] 選擇這些參數(shù)后���,與MLWE情形相似�����,我們可以建立加密系統(tǒng)��,步驟如下: (1) 選擇ηΧη矩陣S��,使得S的元素服從錯(cuò)誤分布%例如��,S的每個(gè)元素依據(jù)分布 κ��。獨(dú)立地任意地選擇. (2) 在MLWE環(huán)境下�,我們可以得到一對(duì)輸出(Α�����,Ε)�����,其中 E = A X S+e,或 E = A X S+te����, 且t是小整數(shù)����,t〈〈n���,這對(duì)輸出(A�����,E)就是系統(tǒng)的公鑰�����,其中e服從某種錯(cuò)誤分布�, 例如前述分布. (3) S是系統(tǒng)的私鑰. (4) 消息m用nXn矩陣表示��,矩陣的元素為0, 1或者模t的剩余類環(huán)0, 1��,. . .����,t-1. (5) 發(fā)送者選擇一個(gè)nXn矩陣B,矩陣B的選法與S相同,即服從錯(cuò)誤分布κη2,例 如��,B的每個(gè)元素依據(jù)分布κ����。獨(dú)立地任意地選擇.發(fā)送者加密信息如下: (D11D2) = (BXA+e1��; BXE+e2+m(q/2)), (D11D2) = (BXA+te1���; BXE+te2+m), 其中ei和e2是錯(cuò)誤矩陣�����,它們的選擇方式與e相同����,即按照某錯(cuò)誤分布獨(dú)立地任意 地選擇. (6) 合法的解密者解密信息如下:計(jì)算 〇2 _ Di X S = (BE + + m (j) _ (BA + 6j_)S) = eE + _ + m (蘭)��, 其中每一個(gè)運(yùn)算都在Fq中進(jìn)行����,矩陣的元素如果接近0,則輸出0 ;如果接近(q-1)/2, 則輸出1 ;或者按照實(shí)數(shù)域上的除法���,將矩陣元素除以(q_l)/2,然后四舍五入輸出0或 1.最后的輸出就是明文$m$;在第二種情況下���,合法解密者計(jì)算 D2-D1XS = (BE+te2+m-(BA+e^ S) = teE+te2-te1S+m, 然后模t.這樣可得到明文m.
[0077] A, B, ei可以選擇不同的分布.
[0078] 對(duì)大數(shù)n����,解密成功的概率很高����,原因如下:
【權(quán)利要求】
1. 一方A與另一方B在開放的信道中交換密鑰的方法包括: (1) 密鑰交換雙方A和B公開選擇參數(shù)n,q�����,小正整數(shù)t(t << n)���,F(xiàn)q上的nXn矩陣 錯(cuò)誤分布κη2, F1上的任意ηΧη矩陣Μ��,其中q是奇素?cái)?shù)且是關(guān)于η的多項(xiàng)式��,如n3, Fq的 元素可以表示為集啟
中的整數(shù)����; (2) 密鑰交換雙方分別按照錯(cuò)誤分布選擇私鑰ηχη矩陣Si (i =Α���,Β)和錯(cuò)誤矩陣 e^i = A, B)�; A方計(jì)算 Ma = MSA+teA, B方計(jì)算 Mb = Μ^Β+?θβ, (3) 雙方在開放信道中交換Mi. (4) A方計(jì)算:
(5) 雙方利用舍入計(jì)算獲得共享密鑰,步驟如下: (a) B方將矩陣Kb中屬于集毛
中的元素的行下標(biāo)和列下標(biāo)標(biāo)記出來����,并做 成表格T1,將矩陣Kb中不屬于集啟
中的元素的行下標(biāo)和列下標(biāo)標(biāo)記出來��,并 做成表格T2����,然后將表格T1發(fā)送給A方. (b) 對(duì)行下標(biāo)和列下標(biāo)出現(xiàn)在表格T1中的KA�����,Kb的元素�����,雙方分別將它模t ;對(duì)于行下 標(biāo)和列下標(biāo)不出現(xiàn)在表格T1中的KA�����,Kb的元素�,雙方分別將它加上后首先模q,然后再 模t。
2. 對(duì)中央服務(wù)器來說�,建立密鑰分配系統(tǒng)包括: (1) 中央服務(wù)器選擇參數(shù)n,q���,小正整數(shù)t(t<<n)���,F(xiàn)q上的nXn矩陣錯(cuò)誤分布 Fq上的任意ηXη主密鑰對(duì)稱矩陣S,F(xiàn)q上的依據(jù)錯(cuò)誤分布選擇的η Xη矩陣Μ�����,其中q是 奇素?cái)?shù)且是關(guān)于η的多項(xiàng)式����,如n3, Fq的元素可以表示為集合I
:]中的整數(shù); (2) 中央服務(wù)器給每個(gè)用戶i分配一個(gè)ID矩陣Ai,其中ID矩陣的元素是小的且服從 錯(cuò)誤分布ID矩陣是公開的.中央服務(wù)器可以利用用戶的信息生成ID矩陣. (3) 中央服務(wù)器分配給每個(gè)用戶一個(gè)安全密鑰: Ei = Aptei, 其中ei是一個(gè)矩陣����,它的元素服從錯(cuò)誤分布'κη2· 用戶i和用戶j獲得共享密鑰的步驟包括: 用戶i計(jì)算:
用戶j計(jì)算:
然后雙方可通過舍入技術(shù)獲得共享密鑰,過程驟包括: 假設(shè)用戶j想和用戶i建立共享密鑰���,用戶j將矩陣中屬于集合
j1中的 元素的行下標(biāo)��、列下標(biāo)以及元素值標(biāo)記出來�����,易見�����,這些元素是〇附近的元素而不是f附 近的元素.用戶j將在表格發(fā)送給用戶i�,這張表格是一個(gè)矩陣,如果&的(I�����,J)元素屬 于集名
中�����,那么這個(gè)矩陣的(I�����,J)元素等于1�����,否則等于〇.用戶i根據(jù)表格中 等于1的位置�����,從矩陣Ei X A;中選出對(duì)應(yīng)的元素.這樣雙方就共享了這些元素的位置.然 后雙方將標(biāo)記為1的位置的元素模t,將標(biāo)記為0的位置的元素加上上后首先模q,然 后再模t.這樣雙方共享計(jì)算后的新表格作為共享密鑰�。
3. 對(duì)中央服務(wù)器,建立基于身份的加密系統(tǒng)包括: (1) 中央服務(wù)器選擇參數(shù)n����,q,小正整數(shù)t(t<<n)���,F(xiàn)q上的nXn矩陣錯(cuò)誤分布心2�, Fq上的依據(jù)錯(cuò)誤分布選擇的ηΧη矩主密鑰矩陣S���,其中q是奇素?cái)?shù)且是關(guān)于η的多 項(xiàng)式��,如η3,主密鑰矩陣S的元素是小的且服從錯(cuò)誤分布F q的元素可以表示為集合
中的整數(shù)��,�; (2) 中央服務(wù)器任意選擇一個(gè)可逆的矩陣Μ.如果服務(wù)器剛開始選擇的矩陣不可逆��,那 么服務(wù)器重新選擇矩陣��,直到所選矩陣可逆.然后服務(wù)器計(jì)算 M1 = MS+te�, 其中e的元素是小的且服從錯(cuò)誤分布κη2 ; (3) 中央服務(wù)器公開M和M1作為公鑰. (4) 中央服務(wù)器給每個(gè)用戶i分配一個(gè)ID矩陣Ai,其中ID矩陣的元素是小的且服從 錯(cuò)誤分布心2, ID矩陣是公開的.中央服務(wù)器可以利用用戶的信息生成ID矩陣. (5) 中央服務(wù)器分配給每個(gè)用戶i 一個(gè)密鑰 Si = 其中ei的元素是小的且服從分布κ . (6) 服務(wù)器利用ID Ai和服務(wù)器公鑰為ID為Ai的用戶建立公鑰(AilBi),其中 Ai = M, Bi = M1Ai = MSAj+teAj ��; 任何人都可以利用此公鑰及設(shè)計(jì)節(jié)描述的MLWE加密系統(tǒng)加密信息���。
4. 根據(jù)權(quán)利要求1所述的方法,q是一個(gè)2次或2次以上的多項(xiàng)式�,錯(cuò)誤分布Kn2的每 部分相互獨(dú)立,每部分服從某種分布如離散錯(cuò)誤分布κ�����。����,即Fq上期望為0、標(biāo)準(zhǔn)差為VHi 的正態(tài)分布�,或者其它分布。
5. 根據(jù)權(quán)利要求2所述的方法�����,q是一個(gè)2次或2次以上的多項(xiàng)式����,錯(cuò)誤分布Kn2的每 部分相互獨(dú)立�����,每部分服從某種分布如離散錯(cuò)誤分布K。��,即Fq上期望為0���、標(biāo)準(zhǔn)差為VHl 的正態(tài)分布����,或者其它分布�����。
6. 根據(jù)權(quán)利要求3所述的方法�����,q是一個(gè)2次或2次以上的多項(xiàng)式�,錯(cuò)誤分布的每 部分相互獨(dú)立,每部分服從某種分布如離散錯(cuò)誤分布κ�。,即Fq上期望為0�����、標(biāo)準(zhǔn)差為VHi 的正態(tài)分布,或者其它分布���。
7. 根據(jù)權(quán)利要求1所述的方法�,矩陣和參數(shù)可以用三角矩陣和適當(dāng)參數(shù)代替����,只需保 證矩陣可以相乘。
8. 根據(jù)權(quán)利要求2所述的方法��,矩陣和參數(shù)可以用三角矩陣和適當(dāng)參數(shù)代替��,只需保 證矩陣可以相乘��。
9. 根據(jù)權(quán)利要求1所述的方法�,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適當(dāng) 參數(shù)代替,其中f(x) = χη+1����。
10. 根據(jù)權(quán)利要求2所述的方法,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適當(dāng) 參數(shù)代替��,其中f(x) = χη+1���。
11. 根據(jù)權(quán)利要求3所述的方法����,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適當(dāng) 參數(shù)代替����,其中f(x) = χη+1。
12. 根據(jù)權(quán)利要求2所述的方法�,兩個(gè)用戶i和j獲得共享密鑰的過程中,i和j的角 色可以互換�����。
13. 根據(jù)權(quán)利要求2所述的方法��,建立多個(gè)服務(wù)器的密鑰分配系統(tǒng)�����。
14. 根據(jù)權(quán)利要求3所述的方法�����,建立多個(gè)服務(wù)器的基于身份的加密系統(tǒng)��。
15. 根據(jù)權(quán)利要求3所述的方法,建立多層的基于身份的加密系統(tǒng)�����,此時(shí)每個(gè)用戶可以 看成是下一層的服務(wù)器�����。
16. 根據(jù)權(quán)利要求1所述的方法��,舍入技術(shù)可以用相似的方法代替���。
17. 根據(jù)權(quán)利要求1所述的方法���,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適 當(dāng)參數(shù)代替,其中f (X) =χη+1.使用的多項(xiàng)式元素選擇形式f (X) =TIfi (X)+g(X)�,其中 fi���,g(x)是只有少數(shù)非零項(xiàng)的稀疏多項(xiàng)式��。
18. 根據(jù)權(quán)利要求2所述的方法����,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適 當(dāng)參數(shù)代替��,其中f (X) =χη+1.使用的多項(xiàng)式元素選擇形式f (X) =TIfi (X)+g(X)���,其中 fi����,g(x)是只有少數(shù)非零項(xiàng)的稀疏多項(xiàng)式��。
19. 根據(jù)權(quán)利要求3所述的方法�,矩陣和參數(shù)可以用環(huán)Rq = Fq[x]/f(x)的元素和適 當(dāng)參數(shù)代替,其中f (X) =χη+1.使用的多項(xiàng)式元素選擇形式f (X) =TIfi (X)+g(X)�,其中 fi,g(x)是只有少數(shù)非零項(xiàng)的稀疏多項(xiàng)式����。
【文檔編號(hào)】H04L9/08GK104396184SQ201380019518
【公開日】2015年3月4日 申請(qǐng)日期:2013年4月11日 優(yōu)先權(quán)日:2012年4月12日
【發(fā)明者】丁津泰 申請(qǐng)人:丁津泰