CN100353704C - 非对称密码通信方法与相关的便携装置 - Google Patents

Abstract

本发明涉及一种非对称密码通讯方法，此方法在由环A的几个元素(x₁，…，x_n)所表示的某一值x和由此环的m个元素(y₁，…y_m)所表示的另一值y之间建立一种对应，n和m为大于或等于2的整数。根据本发明：-所述对应由具有低的总阶数的A^n+m+k→A的多变量公开多项式(P_j)定义，从而存在如P_j(x₁，…，x_n；y₁，…，y_m；z₁，…z_k)＝0类型的等式，此处(z₁，…，z_n)为可能的中间变量，k为整数。至少多项式P_j中的大多数不具有T_j(y₁，…y_m)＝S_j(x₁，…，x_n)的形式，此处S_j为总阶数为2的多项式，T_j为总阶数为1的多项式。本发明还涉及到一种相关的便携设备。

Description

非对称密码通信方法与相关的便携装置

1、介绍

本发明涉及一个在对话者之间处理消息和保护通信的不对称密码体系通信方法。它可以被用于以不对称的方式对消息编码，或以相同的不对称方式对它们作标记。它还可以被用于不对称鉴别。

该方法使用新型算法系列，它们被称为“龙(Dragon)”和“链(Chain)”。这两个系列也可以被结合在一起。

使这两种算法特别优越之处在于它们中的一些是：

1、易用于低功率芯片卡；

2、“单向陷阱门”双射(bijection)，即公开密钥加密函数的双射；

3、还有，极短变量(例如64位或128位)的双射。

这些“龙”和“链”算法可以被视为MATSUMOTO和IMAI1988年所发明的算法的巧妙且有效的“组装”(Tsutomu Matsumoto和HidekiImai，“用于有效特征标记-校验和消息-编码的公共二次多项式-多元组”，密码学进展，Eurocrpt’88(Christoph G.Gunther，ed.)，计算机科学演讲记录，Vol.330，Springer-Verlag，1988，pp.419-453)。该算法在1995年受到Jacques PATARIN的攻击(该攻击发表于CRYPTO’95会议，Springer-Verlag，pp.248-261)。

为此原因，本发明涉及一个不对称的密码通信方法，它建立了由环A的n个元素表示的第一个值(x)与由该环的m个元素表示的第二个值(y)的对应关系，n和m都是大于或等于2的整数，特点在于：

-该对应由低总次数的A^n+m+k→A的多个多变量公开多项式(P_i)来定义，这样，这种P_i(x₁，...，x_n；y₁，...，y_m；z₁，...，z_k)＝0类型的等式，其中(z₁，...，z_k)是可能的中间变量，k是整数；

-多个多项式(P_i)中至少大多数不是T_i(y₁，...，y_m)＝S_i(x₁，...，x_n)的形式，其中诸Si是总次数为2的多个多项式，诸T_i是总次数为1的多项式。

本发明还涉及相关的可移植对象，特别是没有存储多个多变量公开多项式(P_i)的可移植对象。

根据本发明的方法“值x”的概念被转换，恰当地称为是一个消息(例如当该方法用于编码时)或者更一般地是一个数值，由它来进行校验(例如当该方法用于特征标记校验或鉴别时)。

下面提到的“低次数”的概念必须理解成指示一个小于或等于6的次数，最好小于或等于4但同时大于或等于2。

参考所附图表，从下面某种程度上最佳但非限制的实施例的描述中，本发明的其它特征和优点将变得清楚，其中：

图1是一个图，它显示了根据本发明第一变化方法的用来处理消息的转换级联，它用于加密；以及

图2显示了使用根据本发明的密码通信方法的加密/解密系统的例子。

2、“龙”算法

2.1“龙”的基本概念

“龙”的名字给了基于本发明的第一算法系列。现在要说明两个算法系列“龙”和“Matsumoto-Imai”的区别。然后，在下一段，将会显示“龙”的一些特定优点的例子。最后，将会描述基于本发明的被称为“链”的另一个算法系列。

对于MATSUMOTO-IMAI

该公开形式以n元变量多项式的形式存在于有限域K中，给出由多个象值作为y₁，...，y_n组成的象值y，由多个原象值作为x₁，...，x_n组成的值x的函数，形式为：

y₁＝P₁(x₁，…，x_n)

y₂＝P₂(x₁，…，x_n)

    

y_n＝P_n(x₁，…，x_n)

其中P₁，P₂，...，P_n是K[x₁，...，x_n]的多项式，即Kⁿ→K的多项式，这些多项式总次数为2。

对于龙

该公开形式以λ元变量多项式的形式存在于有限域K(或一个环)中，

其中K的变量y₁，...，y_m和x₁，...，x_n出现的形式为：

P₁(x₁，x₂，…，x_n，y₁，y₂，…，y_m)＝0

P₂(x₁，x₂，…，x_n，y₁，y₂，…，y_m)＝0

    

P_λ(x₁，x₂，…，x_n，y₁，y₂，…，y_m)＝0

其中P₁，P₂，...，P_n是Kⁿ×K^m→K的多项式，具有低的总次数(例如2)。

这样，龙和MATSUMOTO-IMAI算法的基本不同在于事实上在公开形式中，变量x_i和y_i被“混用”了。

2.2第一例：“小龙”

作为开始，现在要讲述的是“龙”算法相对简单的第一例。该例清晰地说明了龙算法的概念，但不幸的是，正如作者在文章“利用隐单项式的不对称密码术”(LNCS1109，Crypto’96，Springer，45-60页)中指出的，该算法编码不是很安全。然后，在2.3，2.4，2.5和2.6段中，将会显示当前所知未受攻击的龙算法的其它例子。

在这种情况下，λ＝m＝n，K是一个小的有限域(例如，K＝F₂，具有两个元素的域)。K中的元素数目记为q＝|K|。

若x＝(x₁，...，x_n)在这个例子中是一个由未编码的消息构成的值，而y＝(y₁，...，y_n)是相应的已编码消息，从x₁，...，x_n到y₁，...，y_n的通路可以如图1中显示的那样来计算：

1)第一保密仿射双射变换s被适用于x＝(x₁，...，x_n)，这样得到象a＝s(x)＝(a₁，...，a_n)。

2)公开或保密的变换f适用于(a)，结果为象

其中θ和是公开或保密的整数，h＝q^θ+q^-1与qⁿ-1是互质的，并且a能够用qⁿ个元素在域(一般记为F_qn)的表达式中自乘到h次幂。

3)最后，通过对b使用第二保密仿射双射变换t，也就是y＝t(b)把b＝(b₁，...，b_n)变换为y＝(y₁，...，y_n)。

所有这些运算是可逆的，如果知道保密的t和s，它们也可以用来从y＝(y₁，...，y_n)计算x＝(x₁，...，x_n)。例如，b＝a^h可以反转为a＝b^h’，其中h’是一个整数，使得按qⁿ-1取模h·h’＝l，其中(·)是乘法运算的符号。

还有，由于 可以推出

这样在基底中a＝(a₁’...，a_n)和b＝(b₁，...，b_n)，有n个等式具有这样的形式：

∑∑γ_ij·b_i·a_j＝∑∑δ_ij·a_i·a_j    (1)

这样，通过把诸b_i表示为诸y_i的函数，能够确定n个具有这样形式的等式：

∑∑μ_ijy_i·x_j＝∑∑ν_ijx_i·x_j+∑β_iy_i+∑α_ix_i+δ₀    (2)

即，n个具有这样形式的等式：

P_i(x₁，x₂，…，x_n，y₁，y₂，…，y_n)＝0，i＝1…n，其中P_i是一个K²ⁿ→K的多项式，总次数为2。

这些n个等式被做成公开的。它们构成了公开密钥。

实际上，任何人可以使用它们来编码一个消息，即不需任何秘密用下述方式从x₁，...，x_n计算y₁，...，y_n。通过把x₁，...，x_n替换为它们的值且通过把这些值变换为等式(2)，便在诸y_i中得到了n个一次等式。

这n个等式的解可以很容易地由高斯消元法得到。若a≠0(除了特殊的x这一情况都成立)，对于

的b只有唯一解，这样经高斯消元法后只有唯一解：这就是待发送的已编码消息(y₁，...，y_n)。

特征标记中的小龙

在特征标记中很容易使用小龙：例如，如果y₁，...，y_n或者是要标记的消息或者是要标记的消息的“散列”(即，用于消息的散列函数的结果)，或者是要标记的消息的公开函数，则x₁，...，x_n将被作标记。

并且特征标记将被校验，要校验：

i，1≤i≤n，P_i(x₁，…，x_n，y₁，…，y_n)＝0

即，要校验满足所有的公开的等式(2)。

2.3利用“单项式”变换的龙的更一般的例子

在这种情况下，λ＝m＝n，并且K是一个小的有限域(例如K＝F₂，具有两个元素的域)。K的元素数目被记为q＝|K|。

如果x＝(x₁，...，x_n)在这个例子中是一个由未编码消息构成的值，而y＝(y₁，...，y_n)是相应的已编码消息，如果具有诸保密等式，则从x₁，...，x_n到y₁，...，y_n的通路可以计算如下(从x开始的没有诸保密等式的计算方式将在后面显示)：

1)第一保密仿射双射变换s被适用于x＝(x₁，...，x_n)，这样得到象a＝s(x)＝(a₁，...，a_n)。

2)公开或保密的变换f适用于(a)，结果为象b＝f(a)，也就是：

a^(q^θ+q^)·M(b)＝a^(q^ζ+q^ξ)·N(b)         (1)

其中θ，和ζ，ξ是公开或保密的整数，而h＝q^θ+q^-q^ζ-q^ξ与qⁿ-1是互质的，其中a能够用qⁿ个元素在域(一般记为F_qn)的表达式中自乘；其中m和n是保密或公开的仿射函数(m和n事先即定为保密的，但如果它们是公开的，则为了防止一定的攻击必须小心地选择它们。)。符号^表示乘方函数。

怎样从a计算b？现在能看到总可以使用通常的方法，但对于一定程度上特殊的函数M和N，现在给出能提供比通常方法具有更好性能的方法。

如果等式(1)写为a和b的向量形式(a₁，...，a_n)和(b₁，...，b_n)(c到d在F_qn的基底中)，就得到下面n个等式：

∑γ_ika_ia_jb_k＝∑μ_ija_ia_j＝0    (2)

其中γ_ijk和μ_ij是K的系数。这是因为把x与x^(q^θ)联系起来的函数和把x与x^(q^)联系起来的函数都是F_qn的线性函数，这样把x与x^(q^θ+q^)联系起来的函数和把x与x^(q^ζ+q^ξ)联系起来的函数，以总次数为2的多项式的形式在基底中给出。

然后，当给出a时，可以从n个等式(2)得到值b_i的一次等式。这样，很容易利用高斯消元法找到这些等式的解。假设至少能找到一个解b而M(b)≠0或N(b)≠0。如果找到了多于一个的解，则随机选择解b中的一个。

3)最后，通过对b使用第二保密仿射双射变换t也就是y＝t(b)，把b＝(b₁，...，b_n)变换为y＝(y₁，...，y_n)。

所有这些运算是可逆的，如果知道保密的t和s，它们也可以用来从y＝(y₁，...，y_n)计算x＝(x₁，...，x_n)。例如，如果M(b)≠0，则通过b利用a＝(N(b)/M(b))^h’可以找到a，其中h’是下式的逆：

h＝q^θ+q^-q^ζ-q^ζ对qⁿ-1取模。

公开的从(x₁，...，x_n)到(y₁，...，y_n)的计算：

n个等式(2)利用下面形式变换为n个等式的系统：

∑αxxy+∑β_ijx_ix_j+∑ν_ijx_iy_j+∑ε_ix_i+∑ζ_iY_i+δ₀＝0  (3)

即，n个等式P_i(x₁，x₂，…，x_n，y₁，y₂，…，y_n)＝0，i＝1…n，其中P_i是总次数为3的K²ⁿ到K的多项式。

这些n个多项式(3)是公开的。它们构成了公开密钥。通过使用这些等式(3)，并且通过高斯消元法，可以毫无保密地从(x₁，...，x_n)计算所有的解(y₁，...，y_n)。

从n个等式(2)获得这些n个等式(3)依照下面两个步骤：

步骤1：诸变量b_i由它们在诸变量y_i中的仿射表达式代替。

步骤2：然后，对这些等式使用保密的仿射双射变换。

2.4利用m≠n作特征标记的例子

下面是利用m≠n的可以用于特征标记的例子。

一般地，令y＝(y₁，...，y_m)表示一个待标记消息的散列(或一个待标记的消息)。

令Q₁，...，Q_n和Q’₁，...，Q’_n为2n个总次数为2的Kⁿ→K的保密多元多项式。

令b＝t^-1(y)，其中t是K^m→K^m的保密仿射双射；b＝(b₁，...，b_m)。

B表示Kⁿ的元素，它的诸分量为：

B＝(Q₁(b₁，b₂，…，b_m)，Q₂(b₁，b₂，…，b_m)，…，Q_n(b₁，b₂，…，b_m))。

B’表示Kⁿ的元素，它的诸分量为：

B ′＝Q₁′(b₁，b₂，…，b_m)，Q₂′(b₁，b₂，…，b_m)，…，Q_n′(b₁，b₂，…，b_m))。

可以把B和B’看作是域F_qn中代表(在一个基底中)的两个元素。

在该域中，令a为这样的向量：

a在一个基底中代表a＝(a₁，...，a_n)。

最后，令x＝s(a)，其中s是Kⁿ→K的保密仿射双射。

在-基底中x＝(x_D…，x_n)。

通过一个基底来写等式(3)，并通过诸变量x_i和y_i来写诸等式，可以得到n个总次数为4的以诸变量x₁，...，x_n，y₁，...，y_n表示的等式。

这些n个等式是公开的，并且仅当这n个等式可证明时，(x₁，...，x_n)成为(y₁，...，y_n)的有效特征标记。

为了利用保密式来计算特征标记，只需计算b，然后计算B和B’，然后从(3)计算a，然后利用x＝s(a)计算x。

2.5利用“非单项式的多项式”变换的更一般的龙的例子

保留与前面一样的符号表示。在编码中，x仍旧代表未编码的消息，y代表已编码的消息(在特殊标记中，x是特殊标记，y是待标记的消息的公开变换，例如y是Hash(M)，其中Hash是散列函数)。

令a＝s(x)仍旧代表利用保密的仿射映射s对x进行的变换，令b代表利用保密的仿射变换(y＝t(b))对y进行的变换。a被视为K₁的利用qⁿ个元素( $K_1=F_{q^n}$ )的元素，b被视为K₂的利用q^m个元素( $K_2=F_{q^m}$ )的元素。

现在讲述从a到b的比前面更一般一点的通路。

令K和K’为两个整数，并令N_i，1≤i≤k和N’_i，k≤i≤k’为K₂到K₁保密仿射函数(如前面一样，“仿射”的意思是，当K₂和K₁被视为域K中q个元素的矢量空间时，这些函数为仿射)；还有，符号(≤)的意思是“小于”或“等于”。最后对于K₁的任何元素 a和K₂的任何元素b，令 $f(a,b)=\mathrm{\Σ}{\mathrm{\α}}_{i}a^(q^{{\mathrm{\β}}_i}+q^{{\mathrm{\γ}}_i})\·N_i\left(b\right)+\mathrm{\Σ}{\mathrm{\α}}_i^{\′}a^\left(q^{{\mathrm{\β}}_i^{\′}}\right)\·N_i^{\′}\left(b\right)+{\mathrm{\δ}}_0,$ 其中在第一个累加号∑中，下标i从1到k变化，在第二个累加号∑中，下标i从1到k’变化。

令d为该多项式中a的次数。当d不是很大(例如d≤9,000)时，有已知的算法来找到f(a，b)＝0的多个解a。还有，构造f(a，b)的目的是在基底中以总次数为3(诸变量a_i的总次数为2，诸变量b_i的总次数为1)的多项式等式的形式来表示。如前面一样，这些等式可以被写为，把诸变量a_i由它们在诸变量x_j的仿射表达式代替，诸变量b_j由它们在诸变量y_j的仿射表达式代替。然后，对所得的等式系统进行保密的仿射双射变换u，这样再得到的系统是公开的：这就是公开密钥。这样，该公开密钥由总次数为3(诸变量x_i的总次数为2，诸变量y_j的总次数为1)的多个等式构成。从这些公开等式中，可以利用高斯消元法计算对应于所给出的x的诸解y_i。另一方面，逆运算(从y计算x)需要保密的知识。

2.6“不完整的龙”

在给出的所有在编码中使用的“龙”算法中，如果把冗余引入消息x，冗余算法是公开的，这样就可以不把所有的等式都公开为公开等式，即令它们中的一部分保持保密。这样实际上能够加强算法的完整性。则x的正确值由公开的冗余来找到。

类似的，在特征标记中，可以不把所有前面称为公开等式的等式都公开：则特征校验由较少的等式来进行。

可以预见“龙”算法的其它例子。重要的是小心这一事实，某些变化有密码上的弱点：在文章“利用隐单项式的不对称密码术”(LNCS1109，Crypto’96，Springer，45-60页)中，作者讲到一些对于某些有弱点的变化的攻击。

3、“链”算法

3.1“链”的基本概念

对比MATSUMOTO-IMAI，链算法的基本概念是引入诸中间变量z_i，1≤i≤k，即具有公开的多项式P_i，它不仅基于通常的诸变量x_i和y_i(其中在编码中，诸x_i代表待编码的消息，诸y_i代表已编码的消息，或者在特征标记中诸x_i代表诸y_i的特征标记)，而且也基于诸中间变量z_i。

3.2第一例：“小链”

作为开始，现在要讲述的是“链”算法相对简单的第一例。该例清晰地说明了链算法的概念，但不幸的是，正如作者在文章“利用隐单项式的不对称密码术”(LNCS1109，Crypto’96，Springer，45-60页)中指出的，该算法编码不是很安全。然后，在2.3，2.4，2.5和2.6段中，将会显示当前所知未受攻击的链算法的其它例子。

例如，令a，b，c，d为利用qⁿ个元素的域的四个元素，令四个整数θ，，α和β为：

$c=a^{1+q^{\mathrm{\θ}}}$ (1)

(2)和

$b=c^{q^{\mathrm{\α}}}\×d^{q^{\mathrm{\β}}}$ (3)

这样b＝a^h，其中h＝q^α+q^α+θ+q^β+q^β+。假定θ，，α和β这样来选择，即令h与qⁿ-1互质。

下一步，假设x＝s(a)且y＝t(b)，其中s和t是保密仿射双射函数。令z＝u(c)且z’＝v(d)，其中u和v是保密仿射函数。

从(1)可以推出有这样形式的n个关系：

z_i＝∑∑γ_ij·x_i·x_j+∑α_i·x_i+δ_o    (1’)

类似地，从(2)可以推出有这样形式的n个关系：

z_i′＝∑∑γ_ij′·x_i·x_j+∑α_i′·x_i+δ_o′                  (2’)

类似地，从(3)可以推出有这样形式的n个关系：

y_i＝∑∑γ_ij″·z_i·z_j′+∑α_i″·z_i+∑β_i″·z_i′+δ_o″    (3’)

下一步，假设3×n个等式(1’)，(2’)和(3’)是公开的。这样，如果x是待加密的消息，可以从(1’)得到诸z_i，从(2’)得到诸z’_i，然后从(3’)得到诸y’_i。这样，可以从公开的多项式中从x计算出y。

另一方面，如果y已知而x未知，将看到并不总能从y找回x。事实上，从(3’)，只能回到2×n个变量z_i和z’_i的n个等式，这样诸z_i和z’_i还是未知的。

另一方面，如果知道了保密密钥s和t，就可以从y计算b＝t^-1(y)，然后计算a＝b^h’，其中h’是h对qⁿ-1取模的逆，最后计算x＝s(a)。这样，利用保密密钥，可以对消息解码。

3.3第二例：利用龙的小链

将保留与前面一段相同的符号表示，但假设：

(1)，

(2)，和

$c^{q^{\mathrm{\α}}\×b}=d^{q^{\mathrm{\β}}}\×b^{q^{\mathrm{\γ}}}$ (3)

其中θ，，θ′，′，α，β和γ是整数。这样，类似地，b＝a^μ，对于特殊的μ，θ，，θ′，′，α，β和γ会这样来选择，即μ与qⁿ-1互质。算法会以恰好相同的方式工作，但这时公开的诸多项式(1’)的形式为：

∑∑γ_ij·z_ix_j+∑∑γ_ij′·x_i·x_j+∑α_i·x_i+∑β_iz_i+δ₀＝0    (1′)

公开的诸多项式(2’)的形式为：

∑∑μ_ij·z_i′x_j+∑∑μ_ij′·x_i·x_j+∑α_i′·x_i+∑β_i′z_i′+δ₀′＝0    (2’′)

如果x是待编码的消息，从(1’)可以利用高斯消元法得到诸z_i，从(2’)可以利用高斯消元法得到诸z’_i，从(3’)可以得到诸y_i。

3.4在特征标记中使用链

在3.2和3.3段中给出的用于编码的例子也可以用于特征标记。在这种情况下，x代表与相联系的特征标记，特征标记的校验包括验证满足(1’)，(2’)和(3’)的变量z_i和z’_i是否真的存在。

3.5更一般的链

在公开密钥中，在3.2和3.3段的例子中，从x得到中间变量z和z’，然后从z和z’得到y。可以预见有更长的链。

例如，从x_i可以得到变量z_i。然后，从变量x和z，可以得到变量z’_i。接着，从变量x_i、z_i和z’_i、将得到变量z”_i。于是最后，从变量x_i，z_i，z’_i和z”_i……，将得到y.

这种更一般形式的链的一个例，已知没有非难之处，现在说明如下。符号。

x是未解密文本，

y是已解密文本，

s和t是两个保密仿射函数，

b＝t(y)，

a＝s(x)，

k是一个整数(链的“链接”数目)。

a，b，L₁，L₂，……L_K，M₁，M₂，……M_k是F的元素，

s，……s，t，……t，是2k个保密仿射双射函数s对于任意下标i，这里l＜＝i＜＝k：有1_i＝s_i(L_i)，和m_i＝t_i(M_i).

注释

x，y，l₁，……l_k，m₁，……m_k是在公共方程中出现的数值而a，b，L₁，……L_k，M₁，……M_k是带保密可接受的数值。

对于任意下标i，这里l＜＝i＜＝k：有两个指标h₁和h′_i，使得：L＝a^h _i和M_i＝a^h′_i(以后有关于h和h的更详细说明)，和一个指标h使得：b＝a^h.

因此，在本例中，密钥的计算变得容易了：

1.计算b＝t(y)，

2.计算a＝b^h这里hh′＝l模2n-l，

3.最后计算x＝s^-1(a).

现在说明公共的方程。它们有两个类型：“链接”型方程(有2k.n个)，使它有可能由x到l或由x到m₁或由l₁到l_i+1或由m_i到m_i+1，以及n个最终的公共方程，可以使它从(l_k，m_k)到y。

“链接”型方程

作为一个例子，取从x到l的途径；事实上，对其他的“链接”，即取从l_i到l_i+1，或从x到m₁，或从m_i到m_i+1，这里l＜＝i＜＝k-l，也是一样的。

有四个保密整数，记为α，β，γ，δ，使得：

a.L＝a.L    (C1)

进而选择α，β，γ，δ使得：

HCD(2γ-2^α，2ⁿ-l)＝l和HCD(2^δ-2^β，2ⁿ-l)＝l(使它可能有双射变换)。

这里HCD涵义是“最大公分母”。

当(C1)基于变量x_i的分量x和变量l1，n的诸变量l1，i写出，得到以下形式的方程：

∑γxl+∑ξx+∑ψl+μ＝0    (C2).

这样个n方程(C2)是公共的(或更精确地说，这些方程的线性线双射变换是公共的)。

由这些(C2)方程就可以不用任何密码，用高斯还原法从x计算l₁。

同样，可以从l₁计算l₂，然后从l₂计算l₃，等等，直到从l_k-1计算l_k，因而可以从x计算l_k.因此，可以用2k.n公共方程从x计算l_k和m_k。

最终的公共方程.

n个“最终的”公共方程使得可以从m_k和l_k计算y。(在这种情况，计算是“单方”的，即意味如果没有密码，就不可能知道如何从y返回到m_k和l_k)。这里有两个可能的最终的方程的典型例子。

例1。b1＝bm    (C3)

这里α，β，α和β，是保密整数。

例2。bM＝L     (C4)

这里θ和是保密整数。

这个方程((C3)或(C4))是在变量y_i，m_k，i和l_k，i基础上写成的。因此得到n个方程。这n个方程的线性和双射变换是公共的，使它可以从l_k和m_k计算y(用高斯还原法)。

这样，就可以由公共方程从x如愿地计算出y。

4.-精简公共密钥规模的方法。

发生在龙和链算法中的保密仿射函数s和t，是具有在变量发生的同一个环A中数值的系数。然而，有时本身限制在A的一个子环A′中是有好处的，因为在这种情况中，公共多项式本身具有在A的一个子环A″中的系数，使它可以减少为描述这些公共多项式所需要的比特数目。这种技术特别适用于以上给出的例子。

5.-不存储多项式P_j的一个方法

在一个可以从(x)计算(y)值，并且有可能从(y)计算(x)值的芯片卡片中，并不常常需要卡片存储全部公共多项式P_i。实际上，因为这些多项式有低的总幂次，卡片可以提供(x)值，和相应于(x)的(y)值，从这里可以由外面重算多项式P_i。更普遍的说，它可以提供使它能够重算多项式的P数值，其数值可以标志，或其找寻的多项式可以标志，并且其特性(并非全部公共多项式)将存在卡片中。

6.-用本发明处理的加密/解密系统

图2图解式表示一个用上述保密通信处理的已知的加密/解密系统

有两个独立体A和B接到同一个通信网络，其中每个都各自有一个信息发送/接收器件1，2。这种器件含有计算设施，比如，一个计算机，设计用于把信息加密/解密，和存储设施。至少有些计算或存储设施可以安装在一个便携物体中，配置一个微处理器或微线逻辑电路以确定受控制的访问区域，因此可以含有保密信息，比如密钥(例如，参阅US专利4211919号中描述的便携物体)。

每个器件配置一个如上述的算法F，特别是以一个程序的形式，以及反算法F^-1。两个器件用通信线路3彼此相互连接。

独立体A(与Cp^A及Cs^A的上标对应，见图2)和B(与Cp^B及Cs^B的上标对应，见图2)都各自有一对密钥：一个公共密钥Cp^A和Cp^B，和一个保密密钥Cs^A和Cs^B与相应的公共密钥Cpu或Cp^B相关。

独立体A向B发送他的公共密钥Cp^A还可能有这个密钥的特征，B向A发送他的公共密钥Cp^B还可能有这个密钥的特征。一旦A收到公共密钥Cp^B，他就在整个保密算法F中用它，对他企图送给B的信息M和信息M′加密.这个信息一旦被B接收，就被用保密算法F^-1和保密密钥Cs^B解密。

Claims (11)

1.一种在第一装置与第二装置之间的非对称密码通信方法，第一装置和第二装置中的每一个都包括信息处理装置和信息存储装置，并且每个上述装置通过通信线路被连接到上述的另一个装置，所述方法在被称为第一值(x)的第一通信数据单元与被称为第二值(y)的第二通信数据单元之间建立密码的对应，其中第一值(x)由环A的n个元素(x₁，……，x_n)表示，第二值(y)由所述环的m个元素(y₁，……，y_m)表示，n和m是值大于或等于2的整数，

所述第一值(x)和所述第二值(y)之间的所述对应通过使用由总阶数低于或等于6的A^n+m+k→A多变量公开多项式(Pi)定义的算法来建立，从而存在如P_i(x₁，...，x_n；y₁，...，y_m；z₁，...，z_k)＝0类型的等式，此处(z₁，...，z_k)为可能的中间变量，k为整数；以及

其中至少一些多项式(P_i)不具有T_i(y₁，...，y_m)＝S_i(x₁，...，x_n)的形式，此处S_i为总阶数为2的多项式，T_i为总阶数为1的多项式，上述算法被存储在所述第一装置的上述信息存储装置中，并且由上述第一装置的上述信息处理装置执行，从而从上述第一值和第二值(x，y)中的一个得到上述第一值和第二值(x，y)中的另一个。

2.根据权利要求1的方法，其中至少一些多项式(P_i)不具有T_i(y₁，…，y_m)＝S_i(x₁，…，x_n)的形式，此处S_i为总阶数小于或等于6的多项式，T_i为总阶数为1的多项式。

3.根据权利要求1的方法，其中多变量公开多项式(P_i)具有P_i(x₁，…，x_n；y₁，…，y_m)＝0的形式，至少一些多项式具如下特点：存在一个1和n之间的整数j和一个1和m之间的整数p，从而所述多项式(P_i)包含至少一个x_iy_p的非零单项式。

4.根据权利要求3的方法，其中所述第一值(x)与第二值(y)之间的对应定义如下：

1)利用两个保密仿射变换s和t的知识计算函数y＝F(x)，s为一个Aⁿ→Aⁿ的仿射变换，即由总阶数为1的n个n变量多项式决定；t为A^m→A^m的仿射变换，即由总阶数为1的m个m变量多项式决定，所述函数y＝F(x)按下述方法计算：

1.1)仿射变换s施加于x，获得映像a＝S(x)，

1.2)一个变换f施加于映像(a)，得到一个映象b，从而b＝f(a)，并且：

1.2.1)若a＝(a₁，a₂，…，a_i，…a_n)且b＝(b₁，b₂，…，b_j，…，b_m)，其中a_i，b_j为A的元素，存在一种由A^n+m→A的多变量公开多项式(V_i)定义的对应，多项式(V_i)是非零的并且具有低的总阶数，每一多项式满足如下类型的等式：

V_i(a₁，a₂，…，a_i，…，a_n；b₁，b₂，…，b_j，…，b_m)＝0    (I)

至少一些多项式(V_i)具如下特点：存在1和n之间的整数j，和1和m之间的整数P，使得所述多项式(V_i)包含至少一个非零的a_j·b_p的单项式；

1.2.2)对变换f的选择还满足：存在一种算法使得对于多个映像b，计算至少一个映像(a)从而f(a)＝b成为可能；

1.3)仿射变换t施加于映像b，获得t(b)＝y；

2)由等式(I)的存在，通过变换变量，可能推导出等式(II)的存在，等式(II)定义了所述的多变量多项式(P_i)：

P_i(x₁，x₂，…，x_n；y₁，y₂，…y_m)＝0    (II)

其中至少一些所述多项式是公开的。

5.根据权利要求1的方法，其中，多变量公开多项式(P_i)包含按照Q_j(x₁，…，X_n；z₁，…，z_k)＝0的形式定义的A^n+k→A的多项式(Q_j)和按照R_j(y₁，…，y_m；z’_1’，…，z’_k’)＝0的形式定义的A^m+k’→A的多项式(Rp)，此处(z₁，…，z_k)和(z’₁，…，z’_k’)为实际存在的中间变量，j、p、k和k’为整数。

6.根据权利要求1的方法，还包括计算消息标识，所述消息标识包括第二值y＝(y₁，……，y_m)和第一值x＝(x₁，……，x_n)，第二值y＝(y₁，…，y_m)代表将被标识的消息或将被标识的消息的一个函数，并且第一值x＝(x₁，…，x_n)代表消息的标识，此方法包括对所述消息标识的验证，此验证是通过验证所述多项式(P_i)的等式实际已经满足来完成的，也就是说，若等式中存在变量z₁，…，z_k，需要验证满足所有这些等式的此类型(z₁，…，z_k)变量是否存在。

7.根据权利要求1的方法，还包括加密消息，其中第一值x＝(x₁，…，x_n)代表将被加密的消息，第二值y＝(y₁，…，y_m)代表加密后的消息，所述方法包括应用所述第一值x的对应方式，从而使用一套包含所述多变量公开多项式(P_i)的公开密钥，对于至少一些值x获得第二值y。

8.根据权利要求1的方法，此方法由第一个被称为验证者的人执行并证实另一个被称为证明者的人，所述方法包括：

-验证者向证明者发送一个由第二值(y)构成的值，

-证明者向验证者返回一个由第一值(x)构成的值，

-验证者验证所述多项式(P_i)的等式实际适合第一值(x)和第二值(y)，其中如果所述等式中存在变量z₁，…z_k，所述方法还包括验证满足所述全部等式的此类型(z₁，…z_k)变量是否实际存在的步骤。

9.根据权利要求1的方法，其中，

-所述对应至少包含一个保密仿射变换S，该仿射变换S是由一个系数为所述环A中的值的矩阵定义的，

-所述矩阵的系数取值在A的一个子环A’中，从而所述多变量公开多项式(P_i)的系数的取值在A的一个子环A”中。

10.根据权利要求1的方法，其中，所述多变量公开多项式(P_i)中的每一单项包含至少一个变量y_j，并且其中，多项式(P_i)对于变量y_j的总阶数为0或1。

11.根据权利要求1的方法，其中，

-A为一具有少量元素的有穷域K，元素记为q＝|K|；

-m＝n；

-a和b代表有qⁿ个元素的域Fqⁿ的两个元素的两个值；

-变换f为一形式为f(a)＝b＝a^h的双射，此处h为一公开或秘密的与qⁿ-1互质的整数。