CN101321058A - 一种用于编码和译码数字消息的方法和系统 - Google Patents

Abstract

本发明提供了一种用于编码和译码数字消息的方法和系统，所述方法可以包括：生成一包含有E(x)的公钥，其中，E(x)为在域F上的从x到y的非线性映射函数组；并且，所述E(x)中隐含有接口函数R(x)，其用于得到n个m元的函数；生成一包括R(x)的私钥、单向函数链H(w)及其逆函数H^－1(z)；利用单向函数链H(w)、公钥和私钥完成相应的加解密过程或者签名验证过程。本发明将明文与密文、签名与数据之间的转换，等价为其一部分方程为单向函数的联立置换方程组。由于单向函数以一种几乎随机的方式把比特串映射到比特串，彻底破坏了原有的代数关系，使得单向函数链的数学变换规则等价于稠密多项式组，把它完全展开需要占用指数级的存储空间，从而大大提高抗破译性。

Description

一种用于编码和译码数字消息的方法和系统

技术领域

本发明涉及信息的编码和译码领域，特别是涉及一种对数据消息加密、解密以及签名、验证的公用密钥密码体制。

背景技术

密码技术是研究加密和解密变换的一门科学技术。通常情况下，人们将可懂的文本称为明文；将明文变换成的不可懂的文本称为密文。把明文变换成密文的过程叫加密；其逆过程，即把密文变换成明文的过程叫解密。这种加密或解密变换是由密钥来控制的。在开放环境下使用的密码系统应满足以下基本要求：

保密性：保证信息不被泄漏给非授权的用户；

完整性：保证信息不被任意或蓄意地修改；

抗抵赖性：防止个人或实体通过销毁证据来否认曾经发布过的信息，以证明某类事件确实曾经发生过。

公钥密码是解决上述的保密性、完整性、抗抵赖性的关键技术。其正式诞生的标志是1976年W.Diffie和M.Hellman发表的《密码学的新方向》(W.Diffe，M.E.Hellman，“New direction in cryptography”，IEEE Trans.，1976，22，644-654)。公钥密码使用一个公钥和一个私钥，公钥可以公开传递，但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据、并对数据进行签名，公钥的作用则是对信息进行加密、以及验证签名的正确性。

当前公钥密码面临的一个重要挑战，是量子计算的挑战。由Shor在1994年发明的Shor算法(P.W.Shor，“Algorithms for quantum computation：Discretelog and factoring”，Proceedings of the 35th Symposium on Foundations ofComputer Science，1994，pp.124-134.)，能以多项式时间攻破所有的能够转换成广义离散傅立叶变换的公钥密码，包括目前广泛使用的RSA、DH和ECC等三种公钥密码体制。

公钥密码应对量子计算挑战的基本对策是：采用不能转换成离散傅立叶变换的数学难题来建立公钥密码体制。按照这种思路，当前国际上主要有三类互相竞争的“抗量子计算”的公钥密码方案：

一是NTRU公钥密码体制(J.Hoffstein，J.Pipher，and J.H.Silverman，“NTRU：a ring based public key cryptosystem”，Crypto’96，LNCS 1423，pp.267-288.Springer-Verlag，1998.)，其安全性基于在一个大维数的格中寻找一个很短向量的数学难题。

二是OTU2000公钥密码体制(T.Okamoto，K.Tanaka，and S.Uchiyama，“Quantum Public-Key Cryptosystems，”CRYPTO2000，LNCS 1880，pp.147-165，Springer-Verlag(2000).)，其安全性基于改进的背包问题。

三是MQ公钥密码体制，即多变元二次多项式公钥密码体制(MultivariateQuadratic Polynomials in Public Key Cryptosystem)，其安全性基于二次多项式不定方程组的难解性。这个领域典型的方案是SPLASH签名算法(J.Patarin，L.Goubin，N.Courtois，“C^*+-and HM：Variations around two schemes of T.Matsumoto and H.Imai”，in Advances in Cryptology，Proceedings ofASIACRYPT’98，LNCS 1514.Springer Verlag，1998，pp.35-49.)，该方案是欧洲密码标准NESSIE推荐的数字签名算法(http://www.cryptonessie.org)，主要在智能卡等特殊的领域中使用。

现有技术中与本发明最近似的技术解决方案是MQ公钥密码体制。MQ公钥密码体制的公钥的一般形式为：

$y_i=\underset{1\≤j\≤k\≤m}{\mathrm{\Σ}}{\mathrm{\γ}}_{\mathrm{ijk}}{x}_j{x}_k+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\β}}_{\mathrm{ij}}{x}_j+{\mathrm{\α}}_i$

x_i，y_j，α_i，β_ij，γ_ijk∈F，1≤i≤n，m＞n

其中，F为规定的域。由于m＞n，故MQ的公钥为不定方程组，属于不可逆函数。一般把公钥的逆函数规定为是与它相对应的私钥，即从y＝(y₁，...，y_m)到x＝(x₁，...，x_m)的可逆变换。

但是MQ公钥密码体制存在以下缺点：

1、加密算法过于简单，即二次多项式函数的数学结构限制了加密算法的规模。如果多项式的数量n与变元的数量m比较少，或者组合比较简单，则易于被破译。如果多项式的数量n与变元的数量m比较多，或者组合比较复杂，则密钥长度、编码和译码速度、存储器需求以及传输带宽等工程实用方面都会带来难以克服的技术问题。由于这个缺点，再加上一些简单的MQ方案被破译，使人们怀疑MQ的安全性不够，目前研究MQ的论文很多，但真正使用的很少，即使成为国际标准(例如SPLASH签名算法)，也很少被使用。

2、只能签名、不能加密。其原因是：它的公钥(即加密算法)为不定方程组，而不定方程组的解是一个很大的集合，只能用于不可恢复的数字签名算法，不能从签名中还原出被签名的数据。具体而言：

MQ产生签名的方法为：把待签名的数据a＝(a₁，...，a_m)，代入私钥，进行求值运算，得到签名b＝(b₁，...，b_m)；

MQ验证签名的方法为：设被签名的数据为a＝(a₁，...，a_m)，把待验证的签名b代入公钥，计算出(c₁，...，c_n)；如果(c₁，...，c_n)＝(a₁，...，a_n)，则接受签名，否则拒绝签名。

由于产生签名的计算是一一映射，例如，从(a₁，...，a_m)到(b₁，...，b_m)；而验证签名的计算并不是一一映射，例如，只得到(c₁，...，c_n)；也就是说，不可能从签名b得到原始的完整的被签名数据(a₁，...，a_m)，即不能用于加密。

当然，若把它的公钥(即加密算法)中的多项式数量n与变元数量m设置成一样多，让其公钥成为置换方程组，而不再是不定方程组，则虽然可以从签名b还原出被签名的数据a(即具备加密的功能)，但容易被破译。

发明内容

本发明所要解决的技术问题是提供一种用于编码和译码数字消息的方法和装置，克服目前的MQ技术只能签名、不能加密的缺点。

为解决上述问题，依据本发明实施例，公开了一种用于编码和译码数字消息的方法，具体可以包括：选择正整数m，n，其中，m＞n；生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；生成一与所述公钥相对应的私钥，所述私钥包括R(x)；设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和，采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

依据本发明实施例，还公开了一种用于数字签名的方法，具体可以包括：

选择正整数m，n，n’，其中，m＞n≥n’；生成一包含有E’(x)的公钥，其中，E’(x为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；生成一与所述公钥相对应的私钥，所述私钥包括R(x)；设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；和，通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

依据本发明实施例，还公开了一种用于编码和译码数字消息的方法，包括：

选择正整数m，n，n’，r，其中，m＞n≥n’；生成一包含有E’(x，ID)的公钥，其中，E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；或者，采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

依据本发明实施例，还公开了一种用于编码和译码数字消息的系统，包括：

公钥生成单元，用于生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组，m，n为正整数，m＞n；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加密单元，用于通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和

解密单元，用于采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

依据本发明实施例，还公开了一种用于数字签名的系统，包括：

公钥生成单元，用于生成一包含有E’(x)的公钥，所述E’(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’为正整数，m＞n≥n’；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

签名单元，用于采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；以及

验证单元，用于通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；以及，比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

依据本发明实施例，还公开了一种用于编码和译码数字消息的系统，包括：

公钥生成单元，用于生成一包含有E’(x，ID)的公钥，所述E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’，r为正整数，m＞n≥n’；

私钥生成单元，用于针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加解密单元，用于采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；

或者，签名验证单元，用于采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

与现有技术相比，本发明具有以下优点：

(1)本发明的加密算法以及可恢复的签名算法，其明文与密文、签名与数据之间的转换，等价为其一部分方程为单向函数的联立置换方程组。由于单向函数以一种几乎随机的方式把比特串映射到比特串，彻底破坏了原有的代数关系，使得单向函数链的数学变换规则等价于稠密多项式组，把它完全展开需要占用指数级的存储空间，从而在解方程时，必然会遇到单向函数难以展开的巨大困难。

(2)本发明进一步将安全性归结为交替运用因式分解(factorization，主要针对“乘法”)和函数分解(decomposition，主要针对“迭代”)来分析隐藏在该有理分式不定方程组内部的多层嵌套结构的困难性；把多个简单函数组合成复杂函数，使密码的安全性不依赖于单一的变量，而依赖于多层的连锁关系，从而实现了：直接设置一个复杂表述的数学难题，但这个难题很难被证明等价于一个已知的简单表述的数学难题。

(3)在保持明文、签名的分组长度不变的条件下，可通过增加公钥的函数规模，来任意增加密码系统的安全性。

其次，在MQ发表后的20多年，才由发明人提出了本技术方案，其技术创新性充分体现在：

(1)由“单向函数链”而带来的意想不到的有益效果，需要足够高的数学水平才能理解。例如，为什么MQ只能签名、不能加密？其原因是：如果MQ的公钥是置换方程(即它的变元数量与多项式数量相等)，就容易被

base(格罗布纳基)等方法破译。

base属于抽象代数的范畴，有深刻的理论背景。对于本领域一般技术人员来说，提出对抗

base攻击的有效方法，需要做创造性的研究。本发明创新的将单向函数组成函数链，并与接口函数以及公私钥有机结合，一方面实现了编码译码过程的可逆性(即使在变元数量大于多项式数量的情况下)，另一方面使得运用base等方法破译必然会遇到稠密多项式的分解问题。

(2)提出“单向函数链”的概念，并设计出可行的、实用的、完整的技术解决方案，需要很高的技术门槛：不仅要把握当代数学前沿的进展，还要有丰富的实际编码经验和分析水平，能熟练地运用一些特殊的数学技巧，对密码的规律和本质有深刻的理解，并有一定的工程实现能力，此外还要依赖于灵感、机遇等非确定因素；而不是有了资金投入就一定能解决的问题。本说明书给出的大量诀窍性知识，经历了从科学理论到编码实践的反复过程，是发明人长期思考的结果。本发明的完成还涉及到大量数学公式的自动化推导技术，需要编制专用的软件系统。如果没有这些开拓性的研究积累，本领域一般技术人员很难完成方案的设计。

(3)提出“单向函数链”的技术方案，需要克服技术偏见。1985年以来，国际密码学术界对MQ进行了深入分析，发表了大量文献，尤其是最近Wolf的总结性研究(C.Wolf，《Multivariate Quadratic Polynomials in Public KeyCryptography》，Katholieke Universiteit Leuven，ISBN 90-5682-649-2，2005.)，提出构造MQ的十种基本算法，四种基本陷门，在分析现有技术进展的基础上设计出一种扩展TTS签名方案等。但Wolf的研究仍然不能从根本上克服上述MQ的缺点。20多年来的大部分研究都是在MQ框架内部挖潜力，而没有像本发明那样冲破MQ框架向外部拓展——添加单向函数链，在更大的算法空间中建立新的公钥密码体制。

此外，单向函数链的设计还克服了长久以来对单向函数在理解、使用上的技术偏见：虽然单个的单向函数不可逆，但把若干个单向函数巧妙地组织起来，形成了一个相互制约的系统——单向函数链，却是可逆的；目前对单向函数的传统应用主要考察它的不可求逆性和抗碰撞性，而本发明则进一步要求它还要具备用多项式来表示时的稠密性。

本发明的优选技术方案，与MQ相比，其有益效果还体现在：

(1)用有理分式取代多项式，相当于把MQ的二次稀疏多项式提升为高次稠密多项式，使等价于公钥的多项式函数的规模发生爆炸，从本质上提高了求不定方程组的逆函数的困难性。

(2)运用ID映射的方法，建立基于身份的工作方式。全网所有用户共用一个公钥，为网络环境下的公钥管理带来了极大的方便。运用“多个分配中心合成私钥”和“私钥形态个性化”的方法，提高密码系统的抗合谋攻击能力。

附图说明

图1是用于编码和译码数字消息的方法实施例的步骤流程图；

图2是用于数字签名的方法实施例的步骤流程图；

图3是本发明实施例的数据流向示意图；

图4是H(x)、R(x)与H^-1(z)的关系示意图；

图5是m＝3、n＝2的小数据实施例的加密或验证签名过程的数据流向图；

图6是m＝3、n＝2的小数据实施例的解密或签名过程的数据流向图；

图7是基于身份方式下用于编码和译码数字消息的优选实施例的步骤流程图；

图8是多个私钥分配中心联合建立私钥的示意图；

图9是m＝12、n＝8的小数据实施例实现私钥形态个性化的数据流向图；

图10是m＝12、n＝8的小数据实施例的加密过程数据流向图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明属于信息安全产品的范畴，主要应用于网络信任系统，例如证件、银行、手机、互联网、电子商务、电子政务、物流、网络监控、权力控制、资金转移、交易、数据加密等环节。

应用本发明所需的硬件环境属于本领域技术人员所熟知的知识。其中：公钥生成单元、私钥生成单元、单向函数链确定单元，涉及到复杂数学公式的自动化推导，一般应采用高端的计算机系统；加解密单元、签名验证单元，只涉及到对给定的数学式的求值计算，可采用各种档次的硬件平台，例如单片机、专用数字信号处理芯片、智能卡等。

下面对本发明可能涉及的一些术语进行简单解释：

密码：通常可理解为进行信息加密和解密变换的算法。它的基本目的是伪装信息，使局外人不能理解信息的真正含义，而局内人能够理解伪装信息的本来含义。

密钥：在执行密码算法的过程中，唯一能控制明文与密文之间进行有效变换的关键参数，叫做密钥。

公钥密码体制：公钥密码体制使用两个密钥——一个公开密钥(简称：公钥)和一个私人密钥(简称：私钥)。公钥和私钥在数学上是相关的，但由公钥计算出私钥是困难的。公钥可在通信双方之间公开传递，也可以像电话号码本一样公开发布，私钥则由授权用户自己秘密保管。任何人从某个用户的名字就能查到它的公钥，因而可以给这个用户发送加密消息。只有授权用户自己才能用他的私钥完成解密。

公钥密码体制还提供了数字签名及认证的能力：授权用户能用他的私钥对信息进行签名(相当于上述用私钥解密的过程)；其他用户由于不掌握私钥而不能进行签名，但能用该用户的公钥验证签名的正确性(相当于上述用公钥加密的过程)。数字签名算法有两种类型：可恢复的数字签名体制：由签名可以推导出被签名的数据；不可恢复的数字签名体制：由签名不能推导出被签名的数据。

有限域(finite field)：是一种具体而又形象的数学结构，可以通俗地理解为能进行加减乘除四则运算的有限个元素的集合。(通常记做F，当有限域的元素数量为素数p时，记做F_p。)

有限域上的多项式(polynomial)：通俗地理解：当只有一个变元时：

f(x)＝a_sx^s+a_s-1x^s-1+...+a₀x⁰(modp)

其中x_i叫作变元，a_i叫作系数，a_ixⁱ叫作项，它们的取值在0，...，p-1之间取值。当有多个变元时：

$f(x_1,...,x_n)=\underset{i_1+\·\·\·+i_n\≤s}{\underset{i_1,...,i_n}{\mathrm{\Σ}}}{a}_{i_1...i_n}{x}_1^{i_1}\·\·\·x_n^{i_n}\left(\mathrm{mod}p\right)$

F上的多项式集合，对于多项式四则运算是域，叫作F的多项式扩域。

如果多项式中的项的数量相对很少，叫做稀疏多项式；反之叫做稠密多项式。稠密多项式不仅有很高的次数，而且项的数量非常多，把它展开来表示需要占用很大的空间位置。

有限域上的有理分式(rational fraction)：可理解为两个多项式相除：

$\frac{f(x_1,...,x_n)}{g(x_1,...,x_n)}\mathrm{mod}p$

除了0多项式以外的多项式的乘法逆为

f(x₁，...，x_n))^-1(modp-1)＝(f(x₁，...，x_n))^p-2(modp)

但当p较大时，把上式展开需要巨大的存储空间，因此两个稀疏多项式相除(分母不为0多项式)的结果，通常是一个稠密多项式：

$\frac{f(x_1,...,x_n)}{g(x_1,...,x_n)}=f(x_1,...,x_n)\·{\left(g(x_1,...,x_n)\right)}^{p-2}\left(\mathrm{mod}p\right)$

该性质对于我们理解有理分式公钥密码的安全性非常重要。F上的有理分式集合，对于有理分式的四则运算是域，叫作F的有理分式扩域。

有限域上的不定方程组(indeterminate equation system)设有限域上的方程组为：

$\left\{\begin{array}{c}{g}_1(x_1,...,x_m)\mathrm{mod}p=0\\ \·\·\·\·\·\·\\ g_n(x_1,...,x_m)\mathrm{mod}p=0\end{array}\right.$

其中g_i(x₁，...，x_m)为多项式或者有理分式，如果未知元数量m多于方程数量n，上式称为F_p的m元n阶不定方程组，通常也称为丢番图方程。不定方程组的解是一个很大的(x₁，...，x_m)的向量值的集合。

当上述不定方程组有解时，它的解通常是一个由有限域上m维空间中的点组成的集合，可以表现为代数曲线、代数曲面乃至高度复杂的高维代数簇(若干个多项式的公共根的集合)。

单向函数：设函数为y＝Hash(x)，已知x计算y是容易的，反之由y计算x是困难的，这种函数称为单向函数，也叫做杂凑函数、散列函数、Hash函数等，已被广泛应用于数据完整性检验和信息认证。它把一个任意长度的数据x，经过复杂的运算转换成一个固定长度或固定数域的数值或信息串y。

构造单向函数的方法属于公知技术。当前最流行的单向函数算法是MD5和SHA-1(美国联邦信息处理标准FIPS 180-1)；更强的单向函数算法还有SHA-256、SHA-384和SHA-512等(美国联邦信息处理标准FIPS 180-2)。

本发明中规定的域F，可采用元素数量为素数p的有限域F_p，但不局限于这种F_p，而是可以推广到各种域。当F为有限域时，函数或变元的幂运算，包括整数幂运算和分数幂运算，在经过展开、化简、整理之后，均可以转换成有理分式的表示形式。

本发明中所述的编码消息可以由一地点的用户产生，并传送至另一地点，然后由该另一地点的用户译码，即编码译码可以不在同一地点。当然，在同一地点进行编码和译码是一种更简单的情况。

参照图1，示出了本发明一种用于编码和译码数字消息的方法实施例的步骤流程图，具体可以包括以下步骤：

步骤101、选择正整数m，n，其中，m＞n；

步骤102、生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

步骤103、生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

步骤104、设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

步骤105、通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和

步骤106、采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

对于本实施例而言，可以应用各种加解密的场合，例如，步骤105主要应用于加密的情况，而步骤106主要应用于解密的情况。当然，对于不同的应用场合，参数不同，其编译码的性能也有优劣之分，本说明书后面会提出更为优选的实施例加以说明。

参照图2，示出了一种用于数字签名的方法实施例，具体可以包括：

步骤201、选择正整数m，n，n’，其中，m＞n≥n’；

步骤202、生成一包含有E’(x)的公钥，其中，E’(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

步骤203、生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

步骤204、设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

步骤205、采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；和

步骤206、通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；

步骤207、比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

对于本实施例而言，可以应用各种数字签名的场合，例如，步骤205主要应用于对消息进行签名的情况，而步骤206和207则主要应用于对签名进行验证的情况。

将上述两个实施例统一起来看，则实际上，当m＞n≥n’时，可以应用于各种数字签名的情况，而当m＞n＝n’时，可以应用于各种加解密的情况。

在设计中，一个给定的E(x)不一定就是一个公钥E’(x)(假设公钥没有其他参数时，公钥就可以认为是E’(x))，根据n＝n’还是n＞n’，后者是前者的全部或一部分。

一个公钥在数学性质上、即在给定的输入输出消息的变换规则上，只对应一个私钥；当然这个私钥可以采用不同的表现形式。

建立公钥与私钥的具体方法很多，这属于数学设计方面的内容，在公钥体制的应用的这么多年中，本领域技术人员也具有了较多的针对该方面的技术沉淀，在此不详述了。但本发明可以给出一个较为优选的基本思路：随机产生若干个简单的可逆线性变换与可逆非线性变换，运用各种方法(迭代、相乘、相除、相加等)组装成一个整体，再展开、化简、整理而得到一个公钥；运用这些可逆线性变换和可逆非线性变换的逆函数，可以对公钥求逆，作为该公钥对应的私钥。

参照图3，所示的是本实施例的数据流向图，包括加解密和数字签名等数据处理流程。其中，m＞n＝n’时，可以用于加解密以及可恢复的签名；当m＞n＞n’时，可以用于不可恢复的签名。

对于可恢复的签名，译码消息和原始消息的全部数据进行比较，即可判断出是否属于正确的签名；而对于不可恢复的签名(即说明书中n＞n’的情况)，是用译码消息与原始消息的一部分进行比较，即可判断出是否属于正确的签名。

上述实施例的步骤中并没有必然的先后顺序，数字排序仅仅是为了说明的方便，各步骤的顺序可以实际情况进行调整。其中，所述的“单向函数”的具体实现方法，属于公知技术，在此就不详述了。

本实施例引入了单向函数链，用于先将原始消息进行扩张，然后再压缩，并能够满足可逆的需求，因而，能够在具有较高安全性能的情况下适用于各种加解密和数字签名的场合。

单向函数链有两个性质：

一是复杂性：其数学性质应理解为稠密多项式函数组：

x_j＝f_j(w₁，...，w_n)，

x_j，w_i∈F，1≤j≤m，1≤i≤n，

上式作为把明文变换成密文的置换方程组的一部分，使解方程遇到巨大困难；

二是可逆性：当m＞n时，(x₁，...，x_m)中有一部分变元是多余的，只需要其中的n个变元就能恢复出(w₁，...，w_n)。例如在图5的实施例中，不使用x₃，只要运用x₁、x₂依次计算：w₂＝x₂-H₂(x₁)，w₁＝x₁-H₁(w₂)，就能恢复出w₁、w₂。

实现上述性质的基本方法是：对于i＝1，2，...(其顺序可任意规定)，不断把w_j(j≠i)，经过单向函数的变换后，加到w_i上。仍以图5为例：把w₂经过H₁的变换后加到w₁，得到x₁，再把x₁经过H₂的变换后加到w₂，得到x₂，依此类推，实现多层单向函数嵌套的、可逆的单向函数链。

从数学的角度描述本发明的一个优选例子如下：

(1)设w＝(w₁，...，w_n)，x＝(x₁，...，x_m)，y＝(y₁，...，y_n)，w_i，x_j，y_k∈F，正整数m＞n≥n’，F为规定的域；设置一个单向函数链，即设置一个由w到x的映射函数：x＝H(w)；该H(w)是用若干个单向函数来实现的、可逆的非线性变换，通过运用若干个单向函数H₁(.)，...，H_L(.)的组合运算，把w扩张为x；该H(w)等价于F上的m个关于w₁，...，w_n的n元稠密多项式函数；已知H(w)的算法，由x求w是容易的；

(2)建立函数R(x)：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)，其用于把x转换成n个F上的关于x₁，...，x_m的多项式函数；

(3)由H(w)、R(x)推导出单向函数链的逆函数，其满足：

w＝H^-1(R(H(w)))＝H^-1(u₀)＝H^-1(z)，

其中，z＝(z₁，...，z_n)＝u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))，z_i∈F，u_0i(x₁，...，x_m)是F上的关于(x₁，...，x_m)的多项式函数，z_i是函数u_0i(x₁，...，x_m)的值；

(4)把H(w)作为公开的加密算法的一部分，把u₀(x)合成到公钥中的n个m元函数组中，把H^-1(z)作为解密算法的一部分，把R(x)的计算参数作为私钥的一部分。

当运用公钥E’(x)来进行加密的数据处理时：

首先运用H(w)把明文w扩张为中间结果x，即计算：x＝H(w)；

然后运用公钥E’(x)把x压缩为密文y，即计算：y＝E’(x)。

下面简单介绍接口函数R(x)：

接口函数R(x)主要用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数，一般表示为：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

其中，最简单的R(x)为：对于m＝n，把(x₁，...，x_m)转换为(x₁，...，x_n)的恒等变换。

在本发明中，接口函数R(x)的功能可以理解为：把计算单向函数链x＝H(w)而得到的m个变量(x₁，...，x_m)，转换为n个关于(x₁，...，x_m)的函数，从而实现单向函数链H(w)与公钥E’(x)的结合，并把经过单向函数链扩张后的中间结果再缩小回来。它的数学描述通常很简单，例如图5中，对于m＝3，n＝2，把x₁，x₂，x₃三个变量，转换为两个多项式：u₀₁＝x₁+e₃x₃，u₀₂＝x₂。R(x)的信息，包括u₀₁、u₀₂的函数形式和系数e₃的数值，均属于非授权用户不应知道的秘密信息。当然，本领域技术人员可以依据R(x)的特性，设计出很多种模式，在此无法一一详述。

R(x)本身并不具有可逆性，但结合H(w)的知识它就可逆了。即虽然不能仅从u₀₁、u₀₂的值z₁、z₂来恢复x₁、x₂、x₃，但是借助于完全公开的H(w)的知识“x₃＝H₃(x₂)”，以及隐藏在E(x)中的R(x)的秘密参数e₃，可计算出：x₁＝z₁-e₃x₃＝z₁-e₃H₃(z₂)，x₂＝z₂。

采用任何符合本发明公钥属性要求的公钥生成方法完全是可行的，但是优选的，本实施例可以通过以下步骤得到公钥和私钥：

步骤a、选取s+1个域F上的n元可逆线性变换T＝(T₁，...，T_s+1)，其中，每个T_i包括n个域F上的关于(α₁，...，α_n)的n元线性多项式；

步骤b、选取s个域F上的n元可逆非线性变换G＝(G₁，...，G_s)，其中，每个G_i包括n个域F上的关于(α₁，...，α_n)的函数；

其中，所述的函数可以包括多项式、有理分式等各种函数类型，本发明并不需要对此加以限制。

步骤c、依据预置规则，合成所述u₀(x)、T和G，得到从x到y的非线性映射函数组：(y₁，...，y_n)＝E(x)＝(E₁(x₁，...，x_m)，...，E_n(x₁，...，x_m))；

合成所述u₀(x)、T和G的目的，在于将R(x)、T和G的有关信息嵌入并隐藏在公钥中，这些信息均属于非授权用户不应知道的秘密信息。为了达到隐藏目的，采用各种预置合成规则都是可行的。把u₀(x)、T和G从E’(x)中分离出来非常困难，需要交替运用因式分解(factorization，主要针对“乘法”)和函数分解(decomposition，主要针对“迭代”)来分析隐藏在该不定方程组内部的多层嵌套结构。

步骤d、选取E(x)中的n’个函数作为E’(x)，得到公钥；其中，E’(x)中含有关于(x₁，...，x_m)的函数；E’(x)＝(E₁(x₁，...，x_m)，...，E_n’(x₁，...，x_m))；把公钥向全体用户公开；

当m＞n＝n’，即步骤f中的选取并不删除函数，而选取E(x)中所有的函数作为E’(x)。此时本实施例可以用于加解密和数字签名等各种情况。

当m＞n＞n’，即步骤f中采用了舍弃一部分函数的方法，此时本实施例可以用于数字签名的情况。

当m＝n＝n’，此时的安全性能较差；当m＝n＞n’，此时本实施例可以用于数字签名的情况。进一步，如果本实施例中优选采用接口函数R(x)实现把m个变元，转换成n个多项式，则可以保证m＞n。当然，如果依据实际情况需要m＝n，则本领域技术人员可以根据各种现有技术得到，在此就不再详述。

步骤g、生成T的逆函数T^-1；生成G的逆函数G^-1；由T^-1和G^-1计算得到D(y)；生成私钥，所述私钥包括R(x)和D(y)，把该私钥发给授权用户秘密保存。所述私钥中的R(x)用于同单向函数链的逆函数H^-1(z)一起将中间结果z转换为译码消息w。

上述步骤e中所述的预置规则，可以由本领域技术人员根据实际情况进行设置即可。

优选的，如果期望得到的E’(x)中含有关于(x₁，...，x_m)的有理分式函数，则所述预置规则可以为以下两种情况：

把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s，把G_s代入到T_s+1；

或者，把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s。

对于上述两种可能的方式而言，当最后为线性变换T_s+1时，所得到的有理分式的公钥，其每个有理分式的分母多项式是相同的；当最后为非线性变换G_s时，其公钥中每个有理分式的分母多项式通常都不同。对于工程应用，默认相同的分母，可以节省公钥存储空间(只要存储n+1个，而不是2n个多项式)，提高运算速度(只要计算n+1个，而不是2n个多项式的值)。

相应的，针对上述实施例，本发明还提供了两个装置实施例：

一种用于编码和译码数字消息的系统实施例，具体可以包括：

公钥生成单元，用于生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组，m，n为正整数，m＞n；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加密单元，用于通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和

解密单元，用于采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

以及，一种用于数字签名的系统实施例，具体包括：

公钥生成单元，用于生成一包含有E’(x)的公钥，所述E’(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’为正整数，m＞n≥n’；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

签名单元，用于采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；以及

验证单元，用于通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；

比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

下面简单介绍单项函数链的生成：

当然，建立单向函数链的方法不局限于以下的方法，而是可以推广到满足单向函数链功能的各种方法。本发明仅仅举出一优选实施例进行说明而已。

第一步，建立单向函数链。设置L个单向函数：β＝H_i(α₁，α₂，...)，i＝1，...，L，L≥(m-n)，α₁，α₂，...，β∈F_p，其输入为若干个模p的整数，其输出为一个模p的整数。单向函数的求逆，即由其输出求其输入是困难的。用L个单向函数设置一个单向函数链：

x＝(x₁，...，x_m)＝H(w)＝H(w₁，...，w_n)，

使得从w到x的映射虽然是复杂的稠密多项式函数，将其展开、化简非常困难，但对它求逆，即由x求w却是容易的。本实施例的具体做法为：

(1)设置函数(x₁，...，x_n)＝K₁(w₁，...，w_n)：

首先，令L₂＝m-n，L₁＝L-L₂，(x₁，...，x_n)＝(w₁，...，w_n)，设置指针θ(1)，...，θ(L₁)，1≤θ(i)≤n；

然后，对于i＝1，...，L₁，依次替换：

x_θ(i)←(x_θ(i)+H_i(x₁，...，x_θ(i)-1，x_θ(i)+1，...，x_n))modp。

在本实施例中，我们把θ(i)设置为从1到n的循环。

(2)设置函数(x_n+1，...，x_m)＝K₂(x₁，...，x_n)：运用单向函数H_j，j＝L₁+1，...，L，由x₁，...，x_n计算出x_n+1，...，x_m。

在本实施例中的函数K₂为：对于i＝1，...，L₂，依次计算： $x_{i+n}=H_{i+L_1}\left(x_{\mathrm{\θ}\left(L_1\right)}\right).$

(3)把上述的K₁、K₂合成为H(w)：

x＝(x₁，...，x_n，x_n+1，...，x_m)＝(K₁(w₁，...，w_n)，K₂(K₁(w₁，...，w_n)))。

也就是把K1、K2的计算结果链接起来，作为H(w)的计算结果。

第二步，设置函数u₀(x)，即把x转换成n个关于x的多项式u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)，满足已知u₀、R(x)、

...、H_L，求(x₁，...，x_n)容易；

在本实施例中的函数R(x)的算法为：令u₀＝(x₁，...，x_n)，e₁＝...＝e_n＝1，随机选择e_n+1，...，e_m∈F_p；规定指针η(i)，i＝n+1，...，m，1≤η(i)≤n，但是η(i)≠θ(L₁)；对于i＝n+1，...，m，依次替换：

u_0，η(i)←(u_0，η(i)+e_ix_i)modp。

第三步，推导出单向函数链的逆：w＝(w₁，...，w_n)＝H^-1(z)＝H^-1(z₁，...，z_n)，满足：

w＝H^-1(R(H(w)))＝H^-1(u₀)。

在本实施例中的H^-1(z)的算法为：首先，对于i＝m，...，n+1，依次替换：

$z_{\mathrm{\η}\left(i\right)}\←(z_{\mathrm{\η}\left(i\right)}-e_i{H}_{i-n+L_1}\left(z_{\mathrm{\θ}\left(L_1\right)}\right))\mathrm{mod}p;$

然后，对于i＝L₁，...，1，依次替换：

z_θ(i)←(z_θ(i)-H_i(z₁，...，z_θ(i)-1，z_θ(i)+1，...，z_n)modp；

最后，令(w₁，...，w_n)＝(z₁，...，z_n)。

第四步，把H(w)、H^-1(z)作为密码算法公开发布，而把R(x)的算法参数(例如(e₁，...，e_m)作为私钥的一部分，配发给授权用户秘密保存。计算H^-1(z)需要这些参数。

所述E’(x)中含有的关于(x₁，...，x_m)的函数形式可以为多项式，优选的，可以为多项式和有理分式的组合，或者全部由有理分式组成。

与多项式相比，有理分式具有显著增大的加密函数规模。为了便于分析，我们把有限域F_p上的有理分式转换为等价的多项式。例如，设本发明的公钥的次数为2，把它转换成多项式的表示形式：

$y_i=\frac{\underset{1\≤j\≤k\≤m}{\mathrm{\Σ}}{\mathrm{\γ}}_{i1\mathrm{jk}}{x}_j{x}_k+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\β}}_{i1j}{x}_j+{\mathrm{\α}}_{i1}}{\underset{1\≤j\≤k\≤m}{\mathrm{\Σ}}{\mathrm{\γ}}_{i0\mathrm{jk}}{x}_j{x}_k+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\β}}_{i0j}{x}_j+{\mathrm{\α}}_{i0}}\mathrm{mod}p$

$=(\underset{1\≤j\≤k\≤m}{\mathrm{\Σ}}{\mathrm{\γ}}_{i1\mathrm{jk}}{x}_j{x}_k+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\β}}_{i1j}{x}_j+{\mathrm{\α}}_{i1}){(\underset{1\≤j\≤k\≤m}{\mathrm{\Σ}}{\mathrm{\γ}}_{i0\mathrm{jk}}{x}_j{x}_k+\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{\mathrm{\β}}_{i0j}{x}_j+{\mathrm{\α}}_{i0})}^{p-2}\mathrm{mod}p$

$\≈\underset{h_1+...+h_m\≤2(p-2)}{\underset{h_1,...,h_m}{\mathrm{\Σ}}}{b}_{i,h_{1\·\·\·}{h}_m}{x}_1^{h_1}\·\·\·x_m^{h_m}\mathrm{mod}p,$

$x_i,y_j,{\mathrm{\α}}_i,{\mathrm{\β}}_{\mathrm{ij}},{\mathrm{\γ}}_{\mathrm{ijk}},b_{i,h_1...h_m}\∈F_p,$ m＞n，1≤i≤n；

其项的数量将由 $C_{m+2}^2=\frac{(m+2)!}{m!2!},$ 增加到大约 $C_{m+2(p-2)}^{2(p-2)}=\frac{(m+2(p-2))!}{m!\left(2(p-2)\right)!}.$ 例如，当p＝5，m＝2时：

$\frac{1}{1+{4x}_1+{x_1}^2+x_2+{2x}_1{x}_2+{{3x}_2}^2}\mathrm{mod}5={\left(1+{4x}_1+{x_1}^2+x_2+{2x}_1{x}_2+{{3x}_2}^2\right)}^3\mathrm{mod}5$

$=(1+{2x}_1+{x_1}^2+{{3x}_1}^3+{x_1}^4+{{2x}_1}^5+{x_1}^6+{3x}_2+{{2x}_1}^2{x}_2+{{2x}_1}^3{x}_2+{x_1}^4{x}_2+$

${x_1}^5{x}_2+{{2x}_2}^2+{x_1{x}_2}^2+{{2x}_1}^3{x_2}^2+{x_1}^4{x_2}^2+{{4x}_2}^3+{{4x}_1{x}_2}^3+{{4x}_1}^2{x_2}^3+{{4x}_1}^3{x_2}^3+{x_2}^4+{{4x}_1{x}_2}^4$

$+{{3x}_1}^2{x_2}^4+{{2x}_2}^5+{{4x}_1{x}_2}^5+{{2x}_2}^6)\mathrm{mod}5$

$=(3+{3x}_1+{{3x}_1}^3+x_2+{{4x}_2}^3+{{2x}_1}^2{x}_2+{{2x}_1}^3{x}_2+{{2x}_1}^3{x_2}^2+{x_1{x}_2}^2+{{4x}_1{x}_2}^3+$

${{4x}_1}^2{x_2}^3+{{4x}_1}^3{x_2}^3)\mathrm{mod}5;$

而当p＝65537，m＝8时，这种等价于有理分式的多项式的项的数量，将由MQ时的 $C_{m+2}^2=45,$ 大约增加到

$C_{m+2(p-2)}^{2(p-2)}=\frac{(8+2(65537-2))!}{8!\left(2(65537-2)\right)!}=2160852653586620281721640525505904640;$

显然，规模如此巨大的多项式，虽然在数学世界中是客观存在的，但需要占用指数级的存储空间，实际上是难以操作的。这种性质的有益效果为：把MQ的二次稀疏多项式提升为高次稠密多项式，使等价于公钥的多项式函数的规模发生爆炸，从本质上提高了求不定方程组的逆函数的困难性，从而显著增加抗破译能力。

下面对单向函数链能够为编码译码过程带来的益处进行分析，以加解密和可恢复的签名过程为例进行说明。

当m＞n＝n’时，E’(x)＝E(x)，已知密文(或待签名的数据y)，破译明文(或关于数据y的签名)w，先要求中间结果x，这种情况相当于解不定方程组：

(y₁，...，y_n)＝(E₁(x₁，...，x_m)，...，E_n(x₁，...，x_m))

其变元数量m大于方程式数量n，符合上述方程组的x的解很多，表现为一个巨大的解集。但是，我们把单向函数链与上述方程组放在一起，组成一个关于未知元w的联立方程组：

$\left\{\begin{array}{c}E(x_1,...,x_m)=(y_1,...,y_m)\\ (w_1,...,w_n)=H(y_1,...,y_m)\end{array}\right.$

其中，单向函数链由若干个含有单向函数变换的方程式组成，例如对于说明书中m＝3、n＝2、只有三个单向函数H₁、H₂、H₃的情况：

$\left\{\begin{array}{c}{E}_1(x_1,x_2,x_3)=y_1\\ E_2(x_1,x_2{,x}_3)=y_2\\ (w_1+H_1\left(w_2\right))=x_1\\ (w_2+H_2\left(x_1\right))=x_2\\ H_3\left(w_2\right)=x_3\end{array}\right.$

由于从w到y是可逆变换，上式为置换方程组，已知y求w有唯一解。然而，上式中的单向函数具有“以一种几乎随机的方式把比特串映射到比特串”的性质，即很难用一种简单的数学变换规则来描述其输入输出之间的规律性，它等价于稠密多项式，把它完全展开需要占用指数级的存储空间。因此，在解上述方程组时，要把某个含有单向函数的变量代入方程，就会遇到单向函数难以展开的困难，例如在实施例中，把x₁、x₂、x₃看作为w₁、w₂的函数，代入E₁：

y₁＝E₁(x₁，x₂，x₃)＝E₁(w₁+H₁(w₂)，w₂+H₂(x₁)，H₃(x₂))

＝E₁((w₁+H₁(w₂))，(w₂+H₂(w₁+H₁(w₂)))，(H₃(w₂+H₂(w₁+H₁(w₂)))))代入到实际的E₁：

y₁＝((9+16x₁+9x₁ ²+10x₂+10x₁x₂+x₂ ²+15x₃+2x₁x₃+3x₂x₃+2x₃ ²)/(12+13x₁+x₁ ²+14x₂+9x₁x₂+14x₂ ²+9x₃+4x₁x₃+x₂x₃+4x₃ ²))mod 17

＝((9+16(w₁+H₁(w₂))+9(w₁+H₁(w₂))²+10(w₂+H₂(w₁+H₁(w₂)))+10(w₁+H₁(w₂))(w₂+H₂(w₁+H₁(w₂)))+(w₂+H₂(w₁+H₁(w₂)))²+15(H₃(w₂+H₂(w₁+H₁(w₂))))+2(w₁+H₁(w₂))(H₃(w₂+H₂(w₁+H₁(w₂))))+3(w₂+H₂(w₁+H₁(w₂)))(H₃(w₂+H₂(w₁+H₁(w₂))))+2(H₃(w₂+H₂(w₁+H₁(w₂))))²)/(12+13(w₁+H₁(w₂))+(w₁+H₁(w₂))²+14(w₂+H₂(w₁+H₁(w₂)))+9(w₁+H₁(w₂))(w₂+H₂(w₁+H₁(w₂)))+14(w₂+H₂(w₁+H₁(w₂)))²+9(H₃(w₂+H₂(w₁+H₁(w₂))))+4(w₁+H₁(w₂))(H₃(w₂+H₂(w₁+H₁(w₂))))+(w₂+H₂(w₁+H₁(w₂)))(H₃(w₂+H₂(w₁+H₁(w₂))))+4(H₃(w₂+H₂(w₁+H₁(w₂))))²))mod 17

显然，把上式展开为关于w₁、w₂的多项式是不可行的。实际上，即使不把单向函数展开，仅仅把y₁表示为如上所述的关于w₁、w₂的函数形式，随着单向函数嵌套层次的增加和复杂化，其函数规模也会发生组合爆炸。按照当今世界最先进的计算技术，解这类方程必将遇到巨大困难。

下面对前述实施例的详细实现过程举例进行描述，其中，直接将E’(x)作为公钥进行说明。详细步骤如下：

第一步、建立单向函数链H(w)

首先，设置密码算法的结构。例如设F为有限域F_p，p为素数，正整数m≥n≥n’并且m＞n’。设w＝(w₁，...，w_n)，x＝(x₁，...，x_m)，y＝(x₁，...，y_n)，z＝(z₁，...，z_n)，w_i，x_i，y_i，z_i∈F。

建立单向函数链：x＝H(w)，其运用若干个单向函数H₁(.)，...，H_L(.)的组合运算，把w转换为x，该H(w)是一个足够复杂的、可逆的非线性变换；

建立接口函数R(x)：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)，其把x转换为n个关于x₁，...，x_m的函数；

由H(w)、R(x)推导出单向函数链的逆：w＝H^-1(z)，其满足：

w＝H^-1(z)＝H^-1(_u0(x))＝H^-1(R(H(w)))；

把H(w)作为公开的密码算法的一部分，把R(x)作为私钥的一部分，计算H^-1(z)需要使用R(x)。

第二步、建立密码参数T、G

随机选择s+1个F上的n元线性变换T，其中，每个n元线性变换T_i由n个F上的关于α₁，...，α_n的n元线性多项式组成：

T＝(T₁，...，T_s+1)，其中：

T_i＝(T_i1(α₁，...，α_n)，...，T_in(α₁，...，α_n))，

β_j＝T_ij(α₁，...，α_n)＝b_ij0+b_ij1α₁+b_ij2α₂+...+b_ijnα_n，

α_j，β_j，b_ijk∈F，1≤i≤s+1，1≤j≤n，0≤k≤n；

然后，推导出T的逆函数T^-1，即分别推导出上述的s+1个n元线性变换的逆变换，其中，每个逆变换T_i ^-1由n个F上的关于β₁，...，β_n的n元线性多项式组成：

T^-1＝(T₁ ^-1，...，T_s+1 ^-1)，其中：

T_i ^-1＝(T_i1 ^-1(β₁，...，β_n)，...，T_in ^-1(β₁，...，β_n))，

α_j＝T_ij ^-1(β₁，...，β_n)＝c_ij0+c_ij1β₁+c_ij2β₂+...+c_ijnβ_n，

α_j，β_j，c_ijk∈F，1≤i≤s+1，1≤j≤n，0≤k≤n；

随机选择s个F上的n元可逆非线性变换G，每个n元可逆非线性变换G_i由n个F上的关于α₁，...，α_n的函数组成：

G＝(G₁，...，G_s)，其中：

G_i＝(G_i1(α₁，...，α_n)，...，G_in(α₁，...，α_n))，

${\mathrm{\β}}_j=G_{\mathrm{ij}}({\mathrm{\α}}_1,...,{\mathrm{\α}}_n)=\frac{\underset{k_1+...+k_n\≤l_{\mathrm{ij}1}}{\underset{k_1,...,k_n}{\mathrm{\Σ}}}{t}_{\mathrm{ij}1,k_1...k_n}{\mathrm{\α}}_1^{k_1}...{\mathrm{\α}}_n^{k_n}}{\underset{k_1+...+k_n\≤l_{\mathrm{ij}0}}{\underset{k_1,...,k_n}{\mathrm{\Σ}}}{t}_{\mathrm{ij}0,k_1...k_n}{\mathrm{\α}}_1^{k_1}...{\mathrm{\α}}_n^{k_n}},$

${\mathrm{\α}}_j,{\mathrm{\β}}_j,t_{\mathrm{ij}0,k_1...k_n},t_{\mathrm{ij}1,k_1...k_n}\∈F,$ 1≤i≤s，1≤j≤n，l_ij0≥0，l_ij1≥0；

然后，推导出G的逆函数G^-1，即分别推导出上述的s个n元可逆非线性变换的逆变换，其中，每个逆变换G_i ^-1由n个F上的关于β₁，...，β_n的函数组成：

G^-1＝(G₁ ^-1，...，G_s ^-1)，其中：

G_i ^-1＝(G_i1 ^-1(β₁，...，β_n)，...，G_in ^-1(β₁，...，β_n))，

${\mathrm{\α}}_j={G_{\mathrm{ij}}}^{-1}({\mathrm{\β}}_1,...,{\mathrm{\β}}_n)=\frac{\underset{k_1+...+k_n\≤l_{\mathrm{ij}1}^{\′}}{\underset{k_1,...,k_n}{\mathrm{\Σ}}}{g}_{\mathrm{ij}1,k_1...k_n}{\mathrm{\β}}_1^{k_1}...{\mathrm{\β}}_n^{k_n}}{\underset{k_1+...+k_n\≤l_{\mathrm{ij}0}^{\′}}{\underset{k_1,...,k_n}{\mathrm{\Σ}}}{g}_{\mathrm{ij}0,k_1...k_n}{\mathrm{\β}}_1^{k_1}...{\mathrm{\β}}_n^{k_n}},$

${\mathrm{\α}}_j,{\mathrm{\β}}_j,g_{\mathrm{ij}0,k_1...k_n},g_{\mathrm{ij}1,k_1...k_n}\∈F,$ 1≤i≤s，1≤j≤n，l′_ij0≥0，l′_ij1≥0；

所述的T、T^-1、G、G^-1的具体实现方法均为公知技术，在此不进行详述。

第三步、把函数组u₀(x)、T、G合成为E(x)，建立公钥E’(x)

把所述的u₀(x)、T、G合成为F上的m个输入、n个输出的非线性变换：

E(x)＝T_s+1(G_s(T_s(...G_j(T_j(...G₂(T₂(G₁(T₁(u₀(x)))))...))...)))，即把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s，把G_s代入到T_s+1。在合成过程中也可以不使用线性变换T_s+1。把E(x)展开、化简后，得到n个F上的m元函数：

$y_j=E_j(x_1,...,x_m)=\frac{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j1}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}{a}_{j1,k_1...k_m}{x}_1^{k_1}...x_m^{k_m}}{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j0}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}{a}_{j0,k_1...k_m}{x}_1^{k_1}...x_m^{k_m}},$

$x_i,y_j,a_{j0,k_1...k_m},a_{j1,k_1...k_m}\∈F,$ 1≤i≤m，1≤j≤n，π_j0≥0，π_j1≥0；

并且在π₁₀，π₂₀，...，π_n’0中至少有一个π_j0≥1，即它们之中至少有一个是有理分式。

把E’(x)规定为E(x)中的n’个函数

$E^{,}\left(x\right)=(E_1(x_1,...,x_m),...,E_{n^{,}}(x_1,...,x_m))\⊆E\left(x\right),$

则：(y₁，...，y_n’)＝E’(x)是F上的关于x₁，...，x_m的m元不定方程组；

把E’(x)作为公钥。

第四步、把T^-1、G^-1合成为D(y)，建立私钥{D(y)，R(x)}

把T^-1、G^-1合成为F上的n个输入、n个输出的变换，其由n个关于y₁，...，y_n的n元函数组成：

D(y)＝(D₁(y₁，...，y_n)，...，D_n(y₁，...，y_n))，

该D(y)可以采用各种函数表示形式：既可用展开、化简之后的n个函数式来表示，也可直接用T^-1、G^-1来表示，还可用其它函数形式来表示；

把{D(y)，R(x)}作为私钥；

第五步、进行加密与解密、数字签名与验证

设经过单向函数变换以后的被签名的数据为y＝(y₁，...，y_n)、待验证的数据为y’＝(y’₁，...，y’_n)；

若n＝n’，即E’(x)＝E(x)时，本发明既能实现加密，也能实现可恢复数据的签名，其方法为：

运用公钥E’(x)进行加密或验证数字签名时，把明文w、或数字签名w，转换成密文y、或数据y，其计算方法为：y＝E’(x)＝E’(H(w))，如果y＝y’，则接受签名，否则拒绝签名；

运用私钥{D(y)，R(x)}进行解密或产生数字签名时，把密文y、或数据y，转换成明文w、或数字签名w，其计算方法为：w＝H^-1(z)＝H^-1(D(y))；

若n＞n’，即 $E^{,}\left(x\right)\⋐E\left(x\right)$ 时，本发明只能实现不可恢复数据的签名，不能实现加密，其方法为：

运用私钥{D(y)，R(x)}产生数字签名时，把数据y，转换成数字签名w，其计算方法为：w＝H^-1(z)＝H^-1(D(y))；

运用公钥E’(x)验证数字签名时，其计算方法为：(y₁，...，y_n’)＝E’(x)＝E’(H(w))，如果(y₁，...，y_n’)＝(y’₁，...，y’_n’)，则接受签名，否则拒绝签名。

下面介绍一些上述具体实现过程中的诀窍性知识：

优选的建立T的方法是：随机设置由s+1个F_p上n阶可逆方阵组成的方阵组A＝{A₁，...，A_s+1}，其逆为A^-1＝{A₁ ^-1，....，A_s+1 ^-1}，以及由s+1个F_p上n阶向量组成的向量组B＝{B₁，...，B_s+1}；其线性变换和逆变换为：v_i＝A_iu_i-1+B_i，u_i-1＝A_i ^-1(v_i-B_i)，i＝0，...，s。这种“线性变换”，对于有理分式中多项式来说，当分式的加法需要通分时，将使该多项式的次数增加，应理解为一种非线性变换。

优选的建立G的方法是：预先建立一个足够大的函数库；以后在需要时，从该库中随机抽取若干个简单函数，按照一定规则组合成复杂的加解密函数。

其中，优选的建立函数库的方法是：选择若干种不同类型的、其自变量数目不超过n、并对于其最后一个自变量可逆的、F_p上的多项式函数或有理分式函数，按其自变量数目划分成n个类

S＝{S₁，...，S_n}，其中：

S_i＝{β＝G_(ij)(α₁，...，α_i)，α_i＝G_(ij) ^-1(α₁，...，α_i-1，β)，j＝1，2，...}，

α_i，β∈F_p，i＝1，...，n，

上式中的G_(ij)、G_(ij) ^-1表示自变量数目为i、在S_i中的编号为j的一对互逆的函数。例如：对于i＝1，在该函数库中S₁至少可建立两条记录(设参数t₁，t₂，...∈F_p)：

G₍₁₁₎：β＝(t₁α₁+t₂)modp；G₍₁₁₎ ^-1： ${\mathrm{\α}}_1=\frac{\mathrm{\β}-t_2}{t_1}\mathrm{mod}p;$

G₍₁₂₎： $\mathrm{\β}=(\frac{t_1}{{\mathrm{\α}}_1}+t_2)\mathrm{mod}p;$ G₍₁₂₎ ^-1： ${\mathrm{\α}}_1=\frac{t_1}{\mathrm{\β}-t_2}\mathrm{mod}p;...$

对于i＝2，在函数库中S₂至少可建立4条记录：

G₍₂₁₎：β＝(t₁α₁α₂+t₂α₁ ²+t₃α₁)modp，G₍₂₁₎ ^-1： ${\mathrm{\α}}_2=\frac{\mathrm{\β}-t_2{{\mathrm{\α}}_1}^2-t_3{\mathrm{\α}}_1}{t_1{\mathrm{\α}}_1}\mathrm{mod}p;$

G₍₂₂₎： $\mathrm{\β}=\frac{t_1{\mathrm{\α}}_2+t_2}{{\mathrm{\α}}_1}\mathrm{mod}p,$ G₍₂₂₎ ^-1： ${\mathrm{\α}}_2=\frac{\mathrm{\β}{\mathrm{\α}}_1-t_2}{t_1}\mathrm{mod}p;$

G₍₂₃₎： $\mathrm{\β}=\frac{t_1{\mathrm{\α}}_1+t_2}{{\mathrm{\α}}_2}\mathrm{mod}p,$ G₍₂₃₎ ^-1： ${\mathrm{\α}}_2=\frac{t_1{\mathrm{\α}}_1+t_2}{\mathrm{\β}}\mathrm{mod}p;$

G₍₂₄₎： $\mathrm{\β}=\frac{t_1{\mathrm{\α}}_1+t_2}{{\mathrm{\α}}_1{\mathrm{\α}}_2}\mathrm{mod}p,$ G₍₂₄₎ ^-1： ${\mathrm{\α}}_2=\frac{t_1{\mathrm{\α}}_1+t_2}{\mathrm{\β}{\mathrm{\α}}_1}\mathrm{mod}p;...$

建库完成后，还要分析其每种函数的性质、其若干函数的不同组合的性质、以及其最佳使用方式，制定出自动生成密码算法方案的规则和策略，并编写出实现这些规则和策略的软件。

进一步，运用上述的函数库建立G的方法是：对于i＝1，...，s，为每个i从函数库S的n个类S₁，...，S_n中分别随机选出一对互逆的函数：

G＝{G₁，...，G_s}，其中：G_i＝(G_i1(1)，...，G_in(n))，

G^-1＝{G₁ ^-1，...，G_s ^-1}，其中：G_i ^-1＝(G_i1(1) ^-1，...，G_in(n) ^-1)，

G_ij(j)，G_ij(j) ^-1∈S_j，1≤j≤n，

上式中的G_ij(k)、G_ij(k) ^-1分别表示其自变量数目为k、并对于其第k个自变量可逆、在G、G^-1的第i个函数向量中的第j个函数。这种类型的G的优点是：在加密过程中，各函数之间是独立的，后一次计算不需要引用前一次计算的结果；但在解密过程中，后一次计算要引用前一次计算的结果，使得解密函数比加密函数复杂，即：第i层的加密函数向量G_i为：

u_i1＝G_i1(1)(v_i1)，

u_i2＝G_i2(2)(v_i1，v_i2)，

......

u_in＝G_i2(2)(v_i1，v_i2，...，v_in)，

而第i层的对应的解密函数向量G_i ^-1的函数规模却发生了爆炸：

v_i1＝G_i1(1) ^-1(u_i1)，

v_i2＝G_i2(2) ^-1(v_i1，u_i2)＝G_i2(2) ^-1(G_i1(1) ^-1(u_i1)，u_i2)，

......

v_in＝G_in(n) ^-1(v_i1，v_i2，...，v_i，n-1，u_in)

＝G_in(n) ^-1(G_i1(1) ^-1(u_i1)，G_i2(2) ^-1(G_i1(1) ^-1(u_i1)，u_i2)，...，G_i，n-1(n-1) ^-1(...)，u_in)。

其他问题说明：当我们求有理分式的值时，可能会遇到虽然分母不是0多项式、但分母多项式作为函数的值为0、从而导致加解密发生错误。虽然其概率很小，仍应采取必要的容错或纠错措施。

参照图4，下面对H(x)、R(x)与H^-1(z)的关系进行简单说明：

在建立公钥过程中，H(w)属于公开的密码算法，R(x)隐藏在函数组E(x)之中，把R(x)以及T、G从E(x)中分离出来是困难的；

在建立私钥过程中，用T^-1、G^-1建立D(y)，密文y经过D(y)得到中间结果z，也就是加密时的函数组u₀(x)的值：

z＝(z₁，...，z_n)＝u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))；

但是，进一步的解密计算则需要把对H(w)和R(x)的求逆过程看作为一个整体，需要在两者相互配合下建立一个总的逆函数：w＝H^-1(z)。其原因：在从R(x)的输出z反推R(x)的输入x的过程中，既要使用R(x)自己的参数，也要使用单向函数链H(w)，而仅仅运用R(x)不能把z变换成x。所以我们规定H^-1(z)是由z到w的直接变换，并且在计算H^-1(z)时需要使用R(x)的参数，H^-1(z)满足：w＝H^-1(z)＝H^-1(u₀(x))＝H^-1(R(H(w)))。

R(x)的参数(包括函数形式和系数)是私钥的一部分，将由授权用户秘密保存。

为更清楚地表述实施例的具体实施方式，下面描述一个小数据的例子，如图5、图6所示，其中，虚框501表示采用单向函数链x＝H(w)进行处理的过程，虚框502表示采用公钥E’(x)进行处理的过程；虚框601表示采用私钥z＝D(y)进行处理的过程，虚框602表示采用逆函数H^-1(z)及私钥的秘密参数e₃进行处理的过程。

设F为有限域F_p，p＝17，n＝n’＝2，m＝3，s＝1，H₁，H₂，H₃为3个单向函数，为便于验证，我们假定其算法为H₁(α)＝H₂(α)＝H₃(α)＝α³mod 17，函数R(x)的参数e₃＝2，设置单向函数链H(w)的算法为：

x₁＝(w₁+H₁(w₂))modp＝(w₁+w₂ ³)modp，

x₂＝(w₂+H₂(x₁))modp＝(w₂+x₁ ³)modp＝(w₂+(w₁+w₂ ³)³)modp，

x₃＝H₃(x₂)＝x₂ ³modp＝(w₂+x₁ ³)³modp＝(w₂+(w₁+w₂ ³)³)³modp；

其线性变换T、T^-1(用A，B表示)和非线性变换G、G^-1分别为：

$A_1=\left[\begin{array}{cc}{a}_{111}& a_{112}\\ a_{121}& a_{122}\end{array}\right]=\left[\begin{array}{cc}1& 2\\ 3& 4\end{array}\right],$ $A_2=\left[\begin{array}{cc}{a}_{211}& a_{212}\\ a_{221}& a_{222}\end{array}\right]=\left[\begin{array}{cc}11& 12\\ 13& 14\end{array}\right],$

${A_1}^{-1}=\left[\begin{array}{cc}{c}_{111}& c_{112}\\ c_{121}& c_{122}\end{array}\right]=\left[\begin{array}{cc}\frac{a_{122}}{a_{111}{a}_{122}-a_{112}{a}_{121}}& \frac{-a_{112}}{a_{111}{a}_{122}-a_{112}{a}_{121}}\\ \frac{-a_{121}}{a_{111}{a}_{122}-a_{112}{a}_{121}}& \frac{a_{111}}{a_{111}{a}_{122}-a_{112}{a}_{121}}\end{array}\right],$

${A_2}^{-1}=\left[\begin{array}{cc}{c}_{211}& c_{212}\\ c_{221}& c_{222}\end{array}\right]=\left[\begin{array}{cc}\frac{a_{222}}{a_{211}{a}_{222}-a_{212}{a}_{221}}& \frac{-a_{212}}{a_{211}{a}_{222}-a_{212}{a}_{221}}\\ \frac{-a_{221}}{a_{211}{a}_{222}-a_{212}{a}_{221}}& \frac{a_{211}}{a_{211}{a}_{222}-a_{212}{a}_{221}}\end{array}\right],$

B₁＝(b₁₁，b₁₂)＝(1，2)，B₂＝(b₂₁，b₂₂)＝(5，7)，

G₁₁₍₁₎： $u_{11}=\frac{1}{v_{11}}\mathrm{mod}17,$ G₁₂₍₂₎： $u_{12}=\frac{v_{11}}{v_{12}}\mathrm{mod}17,$

G₁₁₍₁₎ ^-1： $v_{11}=\frac{1}{u_{11}}\mathrm{mod}17,$ G₁₂₍₂₎ ^-1： $v_{12}=\frac{v_{11}}{u_{12}}\mathrm{mod}17;$

运用上述参数推导出E’(x)＝E(x)：

u₀₁＝(x₁+e₃x₃)modp，

u₀₂＝x₂，

v₁₁＝(a₁₁₁u₀₁+a₁₁₂u₀₂+b₁₁)modp，

v₁₂＝(a₁₂₁u₀₁+a₁₂₂u₀₂+b₁₂)modp，

u₁₁＝(1/v₁₁)modp，u₁₂＝(v₁₁/v₁₂)modp，

v₂₂=(a₂₂₁u₁₁+a₂₂₂u₁₂+b₂₂)modp

$=(b_{21}+\frac{a_{211}}{b_{11}+a_{112}{x}_2+a_{111}(x_1+e_3{x}_3)}+\frac{a_{212}(b_{11}+a_{112}{x}_2+a_{111}(x_1+e_3{x}_3))}{b_{12}+a_{122}{x}_2+a_{121}(x_1+e_3{x}_3)})\mathrm{mod}p,$

v₂₂=(a₂₂₁u₁₁+a₂₂₂u₁₂+b₂₂)modp

$=(b_{22}+\frac{a_{221}}{b_{11}+a_{112}{x}_2+a_{111}(x_1+e_3{x}_3)}+\frac{a_{222}(b_{11}+a_{112}{x}_2+a_{111}(x_1+e_3{x}_3))}{b_{12}+a_{122}{x}_2+a_{121}(x_1+e_3{x}_3)})\mathrm{mod}p,$

代入具体的值，推导出y＝(y₁，y₂)＝E(x)＝(E₁(x₁，x₂，x₃)，E₂(x₁，x₂，x₃))，其中：

$y_1=E_1(x_1,x_2,x_3)=v_{21}$

$=\frac{9+{16x}_1+{{9x}_1}^2+{10x}_2+{10x}_1{x}_2+{x_2}^2+{15x}_3+{2x}_1{x}_3+{3x}_2{x}_3+{{2x}_3}^2}{12+13x_1+{x_1}^2+{14x}_2+{9x}_1{x}_2+{{14x}_2}^2+9x_3+4x_1{x}_3+x_2{x}_3+{{4x}_3}^2}\mathrm{mod}17,$

$y_2=E_2(x_1,x_2,x_3)=v_{22}$

$=\frac{1+{{6x}_1}^2+15x_2+{8x}_1{x}_2+{{9x}_2}^2+{7x}_1{x}_3+16x_2{x}_3{{7x}_3}^2}{12+{13x}_1+{x_1}^2+{14x}_2+{9x}_1{x}_2+14{x_2}^2+{9x}_3+{4x}_1{x}_3+x_2{x}_3+{{4x}_3}^2}\mathrm{mod}17;$

由于n＝n’＝2，我们规定E’(x)＝E(x)。

然后，推导出对应的解密函数D(y)：

u₁₁＝(c₂₁₁(y₁-b₂₁)+c₂₁₂(y₂-b₂₂))modp，

u₁₂＝(c₂₂₁(y₁-b₂₁)+c₂₂₂(y₂-b₂₂))modp，

v₁₁＝(1/u₁₁)modp，

v₁₂＝(v₁₁/u₁₂)modp，

u₀₁=(c₁₁₁(v₁₁-b₁₁)+c₁₁₂(v₁₂-b₁₂))modpa

$=(c_{111}(-b_{11}+\frac{1}{c_{211}(y_1-b_{21})+c_{212}(y_2-b_{22})})+c_{112}(-b_{12}+$

$\frac{1}{(c_{211}(y_1-b_{21})+c_{212}(y_2-b_{22}))(c_{221}(y_1-b_{21})+c_{222}(y_2-b_{22}))}))\mathrm{mod}p$

$=(\frac{a_{122}(-b_{11}+\frac{1}{\frac{a_{222}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}-\frac{a_{212}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}}})}{a_{111}{a}_{122}-a_{112}{a}_{121}}$

$(a_{112}(-b_{12}+1/((-\frac{a_{221}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}+\frac{a_{211}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}})$

$(\frac{a_{222}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}-\frac{a_{212}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}}))))/(a_{111}{a}_{122}-a_{112}{a}_{121}))\mathrm{mod}p,$

u₀₂=(c₁₂₁(v₁₁-b₁₁)+c₁₂₂(v₁₂-b₁₂))modp

$=(c_{121}(-b_{11}+\frac{1}{c_{211}(y_1-b_{21})+c_{212}(y_2-b_{22})})+c_{122}(-b_{12}+$

$\frac{1}{(c_{211}(y_1-b_{21})+c_{212}(y_2-b_{22}))(c_{221}(y_1-b_{21})+c_{222}(y_2-b_{22}))}))\mathrm{mod}p$

$=(\frac{-a_{121}(-b_{11}+\frac{1}{\frac{a_{222}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}-\frac{a_{212}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}}})}{a_{111}{a}_{122}-a_{112}{a}_{121}}+$

$(a_{111}(-b_{12}+1/((-\frac{a_{221}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}+\frac{a_{211}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}})$

$(\frac{a_{222}(y_1-b_{21})}{a_{211}{a}_{222}-a_{212}{a}_{221}}-\frac{a_{212}(y_2-b_{22})}{a_{211}{a}_{222}-a_{212}{a}_{221}}))))/(a_{111}{a}_{122}-a_{112}{a}_{121}))\mathrm{mod}p;$

若D(y)采用展开后表示形式，将上式代入具体的值，推导出

z＝(z₁，...，z_n)＝D(y)＝(D₁(y₁，y₂)，D₂(y₁，y₂))，其中：

$z_1=D_1(y_1,y_2)=u_{01}=\frac{15+{10y}_1+2y_2}{14+15y_1+{y_1}^2+12y_2+11y_1{y}_2+{{11y}_2}^2}\mathrm{mod}17,$

$z_2=D_2(y_1,y_2)=u_{02}=\frac{10+{2y}_1+{{8y}_1}^2+y_2+{3y}_1{y}_2+{{3y}_2}^2}{14+15y_1+{y_1}^2+12y_2+11y_1{y}_2+{{11y}_2}^2}\mathrm{mod}17;$

显然，上述的展开后的E(x)、D(y)与展开之前的它们相比，其层次和嵌套方式等结构信息丢失了，这一性质为密码分析带来了巨大的困难；但通常D(y)的次数很高，只有在函数很简单时才能把它完全展开。

计算单向函数链的逆H^-1(z)，需要使用私钥的秘密参数的e₃：

x₁＝(z₁-e₃H₃(z₂))modp，

w₂＝z₂-H₂(x₁)＝(z₂-H₂(z₁-e₃H₃(z₂)))modp，

w₁＝x₁-H₁(w₂)＝((z₁-e₃H₃(z₂))-H₁(z₂-H₂(z₁-e₃H₃(z₂))))modp，

虽然真实的单向函数是不可展开的，但按照本实施例的特殊规定：

w₂＝(z₂-(z₁-2z₂ ³)³)modp，

w₁＝(z₁-2z₂ ³-(z₂-(z₁-2z₂ ³)³)³)modp；

例如：设明文w＝(7，8)，x＝H(w)＝(9，6，12)，密文y＝E(x)＝(3，12)；z＝D(y)＝(16，6)，恢复的明文w＝H^-1(z)＝(7，8)，这说明上述加解密算法是正确的。同理可证明签名算法的正确性。

PKI(Public Key Infrastructure)是基于公钥密码而建立起来的网络信任技术体制。近年来，PKI建设面临重大挑战，突出表现在管理成本急剧增加。其主要原因之一是目前的公钥密码体制难以适应超大规模网络的复杂使用环境。本发明提出了一个公钥密码应对网络信任体系建设的挑战的基本对策：即采用基于身份的公钥密码编码体制。

所谓“基于身份”，就是让公钥的内容就是用户的身份标志ID——诸如姓名、电话、Email等信息的某种组合，用这些信息本身，就能直接确定出这个公钥是属于谁的；而不再需要像PKI那样用一个公钥证书把用户的ID与这个用户的公钥绑定在一起。这种技术点的实质是“全网所有用户共用一个公钥”。“基于身份”的实现为网络环境下的公钥管理带来的好处：一是经济效益显著；二是用户容量巨大；三是实现了公钥数据与用户标识的一体化管理。

参照图7，示出了一种用于编码和译码数字消息的方法实施例，图7示出了步骤流程图。该实施例采用了基于身份的技术点，具体可以包括：

步骤701、选择正整数m，n，n’，r，其中，m＞n≥n’；

步骤702、生成一包含有E’(x，ID)的公钥，其中，E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

步骤703、针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；

步骤704、设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

步骤705、采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；

或者，步骤706、采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

本实施例可以通过以下步骤得到公钥和私钥：

设置由x到y的可逆非线性映射函数组：(y₁，...，y_n)＝E(x，ID)＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n(x₁，...，x_m，ID₁，...，ID_r))；

依据E(x，ID)的逆函数，生成私钥；

选取E(x，ID)中的n’个函数作为E’(x，ID)，得到公钥

当用于加解密过程时，m＞n＝n’；而在m＞n≥n’的情况下，可以用于各种数字签名的情况。

优选的，本实施例也可以其他优选步骤得到公钥和私钥，在后面的具体实施例中会详细介绍。

从数学角度描述本实施例的一个优选例子(以有理分式为例)如下：

设ID为经过规定的变换以后的用户身份标识，ID＝(ID₁，...，ID_r)，r为正整数，ID_i∈F；把公钥E’(x)中的系数规定为ID的映射函数，该公钥经过展开、化简、整理后可表示为F上的m+r元非线性变换：

(y₁，...，y_n’)＝E’(x，ID)

＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n’(x₁，...，x_m，ID₁，...，ID_r))，

$y_j=E_j(x_1,...,x_m,{\mathrm{ID}}_1,...,{\mathrm{ID}}_r)=\frac{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j1}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}\underset{{\mathrm{\ρ}}_1+...+{\mathrm{\ρ}}_r\≤\mathrm{\τ}}{\underset{{\mathrm{\ρ}}_1,...,{\mathrm{\ρ}}_r}{\mathrm{\Σ}}}{e}_{j1,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r}{\mathrm{ID}}_1^{{\mathrm{\ρ}}_1}...{\mathrm{ID}}_r^{{\mathrm{\ρ}}_r}{x}_1^{k_1}...x_m^{k_m}}{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j0}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}\underset{{\mathrm{\ρ}}_1+...+{\mathrm{\ρ}}_r\≤\mathrm{\τ}}{\underset{{\mathrm{\ρ}}_1,...,{\mathrm{\ρ}}_r}{\mathrm{\Σ}}}{e}_{j0,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r}{\mathrm{ID}}_1^{{\mathrm{\ρ}}_1}...{\mathrm{ID}}_r^{{\mathrm{\ρ}}_r}{x}_1^{k_1}...x_m^{k_m}},$

$x_i,y_j,e_{j0,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r},e_{j1,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r},{\mathrm{ID}}_k\∈F,$ 1≤i≤m，1≤j≤n，1≤k≤r，π_j0≥0，π_j1≥0，τ＞0，

并且在π₁₀，π₂₀，...，π_n’0中至少有一个π_j0≥1；把该E’(x，ID)作为公钥密码系统中全体用户共享的基于身份的公钥。

本实施例中结合“ID映射”的目的在于：实现基于身份的公钥密码体制。下面详细描述具体实现过程的例子：

第一步、把密码参数T、G规定为ID的函数

这是与前述实施例有所不同的一个地方：所述T和/或G中的至少一个系数为ID的映射函数。即，在T中任一个或者多个T_i的至少一个系数为ID的映射函数；和/或，在G中任一个或者多个G_i的至少一个系数为ID的映射函数。优选的，最后一层T_i中的至少一个系数为ID的映射函数；和/或，最后一层G_i中的至少一个系数为ID的映射函数。

例如，设授权用户的身份标识ID＝(ID₁，...，ID_r)，r为正整数，ID_i∈F；由私钥分配中心把T、G中的函数的系数，规定为ID的映射函数，从而使T、G成为ID的函数；

这样做的好处是：限制了公钥E’(x，ID)的函数规模。例如，E’(x，ID)仅仅是关于(ID₁，...，ID_r)的一次函数。反之，如果把T₁中的系数规定为ID的函数，经过非线性变换后ID的次数增加，使得公钥的函数规模太大，降低实用性。

第二步、把T、G合成为E(x，ID)，建立公钥E’(x，ID)

把u₀(x)、T、G合成为F上的非线性变换：

y＝(y₁，...，y_n)＝E(x，ID)

＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n(x₁，...，x_m，ID₁，...，ID_r))，展开、化简以后，

$y_j=E_j(x_1,...,x_m,{\mathrm{ID}}_1,...,{\mathrm{ID}}_r)=\frac{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j1}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}\underset{{\mathrm{\ρ}}_1+...+{\mathrm{\ρ}}_r\≤\mathrm{\τ}}{\underset{{\mathrm{\ρ}}_1,...,{\mathrm{\ρ}}_r}{\mathrm{\Σ}}}{e}_{j1,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r}{\mathrm{ID}}_1^{{\mathrm{\ρ}}_1}...{\mathrm{ID}}_r^{{\mathrm{\ρ}}_r}{x}_1^{k_1}...x_m^{k_m}}{\underset{k_1+...+k_m\≤{\mathrm{\π}}_{j0}}{\underset{k_1,...,k_m}{\mathrm{\Σ}}}\underset{{\mathrm{\ρ}}_1+...+{\mathrm{\ρ}}_r\≤\mathrm{\τ}}{\underset{{\mathrm{\ρ}}_1,...,{\mathrm{\ρ}}_r}{\mathrm{\Σ}}}{e}_{j0,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r}{\mathrm{ID}}_1^{{\mathrm{\ρ}}_1}...{\mathrm{ID}}_r^{{\mathrm{\ρ}}_r}{x}_1^{k_1}...x_m^{k_m}},$

$x_i,y_j,e_{j0,k_1...k_m,{\mathrm{\ρ}}_{1...}{\mathrm{\ρ}}_r},e_{j1,k_1...k_m,{\mathrm{\ρ}}_1...{\mathrm{\ρ}}_r},{\mathrm{ID}}_k\∈F,$

1≤i≤m，1≤j≤n，1≤k≤r，π_j0≥0，π_j1≥0，τ＞0；

令E’(x，ID)＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n’(x₁，...，x_m，ID₁，...，ID_r))，

$E^{,}(x,\mathrm{ID})\⊆E(x,\mathrm{ID});$

把E’(x，ID)作为全体用户共享的公钥，公开发布；

第三步、把T^-1、G^-1合成为D(y)，建立每个用户的私钥{D(y)，R(x)}

私钥分配中心把授权用户的ID代入密码参数T^-1、G^-1，把T^-1、G^-1合成为D(y)，然后把{D(y)，R(x)}作为私钥，发给授权用户秘密保存；

在上述合成中，ID的微小差别，在经过一系列公式推导后，所得到的公钥和私钥将出现巨大的差别。

第四步、进行加密与解密、数字签名与验证

把授权用户K的身份标识ID(K)，代入E’(x，ID)，推导出E’_K(x)，再进行加密或验证数字签名的数据处理，即：y＝E’_K(x)＝E’(x，ID(K))。

为更清楚地表述本实施例的具体实施方式，下面描述一个小数据的例子：

设r＝1，即ID＝(ID)，e₃＝2，B₁＝(b₁₁，b₁₂)＝(1，2)，B₂＝(b₂₁，b₂₂)＝(5+15ID+ID²，6+16ID+ID²)，

$A_1=\left[\begin{array}{cc}{a}_{111}& a_{112}\\ a_{121}& a_{122}\end{array}\right]=\left[\begin{array}{cc}1& 2\\ 3& 4\end{array}\right],$ ${A_1}^{-1}=\left[\begin{array}{cc}15& 1\\ 10& 8\end{array}\right],$

$A_2=\left[\begin{array}{cc}{a}_{211}& a_{212}\\ a_{221}& a_{222}\end{array}\right]=\left[\begin{array}{cc}1+11\mathrm{ID}+{\mathrm{ID}}^2& 2+12\mathrm{ID}+{\mathrm{ID}}^2\\ 3+13\mathrm{ID}+{\mathrm{ID}}^2& 4+14\mathrm{ID}+{\mathrm{ID}}^2\end{array}\right],$

${A_2}^{-1}=\left[\begin{array}{cc}\frac{15+10\mathrm{ID}+{8\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}& \frac{1+6\mathrm{ID}+9{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}\\ \frac{10+15\mathrm{ID}+9{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}& \frac{8+3\mathrm{ID}+8{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}\end{array}\right],$

运用上述推导出E(x)的类似方法，计算出全体用户共享的公钥为：

E’(x，ID)＝E(x，ID)＝(E₁(x₁，x₂，x₃，ID)，E₂(x₁，x₂，x₃，ID))，其中：

y₁＝E₁(x₁，x₂，x₃，ID)

＝((16+10ID+13ID²+5x₁+10IDx₁+9ID²x₁+2IDx₁ ²+7ID²x₁ ²+6x₂+14IDx₂+11ID²x₂+8x₁x₂+15IDx₁x₂+16ID²x₁x₂+16x₂ ²+5IDx₂ ²+4ID²x₂ ²+10x₃+3IDx₃+ID²x₃+8IDx₁x₃+11ID²x₁x₃+16x₂x₃+13IDx₂x₃+15ID²x₂x₃+8IDx₃ ²+11ID²x₃ ²)/(12+13x₁+x₁ ²+14x₂+9x₁x₂+14x₂ ²+9x₃+4x₁x₃+x₂x₃+4x₃ ²))mod 17，

y₂＝E₂(x₁，x₂，x₃，ID)

＝((13+7ID+13ID²+10x₁+15IDx₁+9ID²x₁+13x₁ ²+15IDx₁ ²+7ID²x₁ ²+14x₂+5IDx₂+11ID²x₂+14x₁x₂+4IDx₁x₂+16ID²x₁x₂+10x₂ ²+16IDx₂ ²+4ID²x₂ ²+3x₃+13IDx₃+ID²x₃+x₁x₃+9IDx₁x₃+11ID²x₁x₃+11x₂x₃+8IDx₂x₃+15ID²x₂x₃+x₃ ²+9IDx₃ ²+11ID²x₃ ²)/(12+13x₁+x₁ ²+14x₂+9x₁x₂+14x₂ ²+9x₃+4x₁x₃+x₂x₃+4x₃ ²))mod 17；

私钥分配中心为各个授权用户建立私钥，例如，对于ID＝6的用户，把ID的值代入有关的密码参数：

B₂＝(b₂₁，b₂₂)＝(5+15ID+ID²，6+16ID+ID²)＝(12，2)，

${A_2}^{-1}=\left[\begin{array}{cc}\frac{15+10\mathrm{ID}+{8\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}& \frac{1+6\mathrm{ID}+9{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}\\ \frac{10+15\mathrm{ID}+9{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}& \frac{8+3\mathrm{ID}+8{\mathrm{ID}}^2}{1+2\mathrm{ID}+{\mathrm{ID}}^2}\end{array}\right]=\left[\begin{array}{cc}14& 15\\ 9& 13\end{array}\right],$

然后推导出该用户的私钥D(y)为：

$z_1=D_1(y_1,y_2)=\frac{2+12y_1+6y_2}{9+2y_1+y_1^2+13y_2+4y_1{y}_2+{6y}_2^2}\mathrm{mod}17,$

$z_2=D_2(y_1,y_2)=\frac{8+{7y}_1+8y_1^2+6y_2+{15y}_1{y}_2+14y_2^2}{9+2y_1+y_1^2+13y_2+4y_1{y}_2+6y_2^2}\mathrm{mod}17;$

例如：设明文w＝(7，8)，x＝H(w)＝(9，6，12)，密文y＝E(x，ID)＝(4，9)；z＝D(y)＝(16，6)，恢复的明文w＝H^-1(z)＝(7，8)，说明上述加解密算法是正确的。同理可证明签名算法的正确性。

相应的，针对上述实施例，本发明还提供了一装置实施例，包括以下模块：

公钥生成单元，用于生成一包含有E’(x，ID)的公钥，所述E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’，r为正整数，m＞n≥n’；

私钥生成单元，用于针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加解密单元，用于采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；

或者，签名验证单元，用于采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

下面介绍一些上述实施例具体实现过程中的诀窍性知识。

如何使得公钥中ID的次数比较低、私钥中的等价的ID的次数非常高：

(1)在加密的最后一层密码参数(例如G_s中的系数)中注入ID的映射，对于推导解密函数的推导过程来说，相当于在第一层就注入了ID的映射，经过后面的多层非线性变换，使解密函数中的ID的次数得到放大。

(2)使用比较大的n，在解密时依次计算v_i1，...，v_in的过程中，由于v_i，j-1要参与v_ij的运算，使得解密函数的ID的次数被串行放大。

(3)采用其非线性次数保持不变的非线性变换，例如把G_j设置为：

$u_{\mathrm{jk}}=G_{\mathrm{jk}}(v_{j1},...,v_{\mathrm{jn}})=\frac{t_{\mathrm{jk}0}+t_{\mathrm{jk}1}{v}_{j1}+...+t_{\mathrm{jkn}}{v}_{\mathrm{jn}}}{t_{j00}+t_{j01}{v}_{j1}+...+t_{j0n}{v}_{\mathrm{jn}}}\mathrm{mod}p,$

tj_kl，t_j0l∈F_p，u_jk，v_jk∈F_p(x₁，...，x_m)，k＝1，...，n，

然后由G_j推导出G_j ^-1。例如，对于n＝2，G_j ^-1＝(G_j1 ^-1，G_j2 ^-1)为：

$v_{j1}=\frac{-t_{j12}{t}_{j20}+t_{j10}{t}_{j22}-t_{j22}{t}_{j00}{u}_{j1}+t_{j20}{t}_{j02}{u}_{j1}+t_{j12}{t}_{j00}{u}_{j2}-t_{j10}{t}_{j02}{u}_{j2}}{t_{j12}{t}_{j21}-t_{j11}{t}_{j22}+t_{j22}{t}_{j01}{u}_{j1}-t_{j21}{t}_{j02}{u}_{j1}-t_{j12}{t}_{j01}{u}_{j2}+t_{j11}{t}_{j02}{u}_{j2}}\mathrm{mod}p$

$v_{j2}=\frac{t_{j11}{t}_{j20}-t_{j10}{t}_{j21}+t_{j21}{t}_{j00}{u}_{j1}-t_{j20}{t}_{j01}{u}_{j1}-t_{j11}{t}_{j00}{u}_{j2}+t_{j10}{t}_{j01}{u}_{j2}}{t_{j12}{t}_{j21}-t_{j11}{t}_{j22}+t_{j22}{t}_{j01}{u}_{j1}-t_{j21}{t}_{j02}{u}_{j1}-t_{j12}{t}_{j01}{u}_{j2}+t_{j11}{t}_{j02}{u}_{j2}}\mathrm{mod}p$

显然，若把上述加密过程中的系数t_jkl规定为ID的映射函数，则解密过程ID的次数是加密过程中ID的次数的n倍，而y的次数却保持不变。

进一步，本实施例中具体的编译码步骤就可以优化为：

针对加解密的情形，可以为：通过单向函数链H(w)将原始消息转换为中间结果消息M，采用所述公钥和ID(K)，对消息M进行编码，得到编码消息N；以及，采用所述私钥对该编码消息N进行译码，得到译码消息L，通过单向函数链的逆函数H^-1(z)将中间结果消息L转换为最终译码结果；

针对签名的情形，可以为：采用所述私钥对消息M’进行编码，得到中间结果z，通过单向函数链的逆函数H^-1(z)将中间结果z转换为数字签名消息N’；以及，通过单向函数链H(w)将数字签名消息N’转换为中间结果x，采用所述公钥和ID(K)，对该中间结果x进行译码，得到译码消息L’。

由于关于单向函数链的技术点，在前面已经详细描述，故在此不再赘述。

进一步，本实施例中建立私钥的方法可以优化如下，包括以下子步骤：

子步骤a、由T^-1和G^-1计算得到D(y)，并且，所述D(y)与ID相关；

子步骤b、将所述D(y)分为至少两个部分，保存在至少两个私钥分配中心，每个部分都与ID相关；

子步骤c、各私钥分配中心把授权用户标识ID(K)代入各自秘密保存的那部分D(y)，计算出私钥的一部分，发送给该用户；

子步骤d、该用户将各部分的私钥合成，计算得到私钥。

从数学角度对上述过程的一个例子描述如下(如图8所示)：

(1)、由网络中唯一的一个一级私钥分配中心KDC₁₁建立公钥E’(x，ID)，并建立对应于E’江，ID)的私钥生成函数：

z＝(z₁，...，z_n)＝D(y，d₁，d₂，...)

＝(D₁(y₁，...，y_n，d₁，d₂，...)，...，D_n(y₁，...，y_n，d₁，d₂，...))，该函数中的变元d₁，d₂，...是ID的映射函数：d₁＝f₁(ID)，d₂＝f₂(ID)，...；

(2)、KDC₁₁按照约定的方法，把D(y，d₁，d₂，...)分离成h个部分：{D⁽¹⁾(y，d₁，d₂，...)，...，D^(h)(y，d₁，d₂，...)}，分别发给h个二级私钥分配中心，即对于1≤j≤h，把D^(j)(y，d₁，d₂，...)发给KDC_2j秘密保存；并把f₁(ID)，f₂(ID)，...，发给所有的二级私钥分配中心秘密保存；其中，所述的“把D(y，d₁，d₂，...)分离成h个部分”的具体实现方法，属于公知技术。

(3)、在为某个授权用户K建立私钥时，KDC₂₁，...，KDC_2h分别先把该授权用户K的身份标识ID(K)的值，代入到ID的映射函数f₁(ID)，f₂(ID)，...，计算出d₁，d₂，...的值；再把d₁，d₂，...的值代入到KDC₂₁，...，KDC_2h各自秘密保存的D^(j)(y，d₁，d₂，...)，计算出D_K ^(j)(y)，然后分别把D_K ^(j)(y)发给该用户。

(4)、授权用户K从KDC₂₁，...，KDC_2h分别领取D_K ⁽¹⁾(y)，...，D_K ^(h)(y)，按照约定的方法，还原为该用户的完整的私钥D_K(y)。

采用多个私钥分配中心合成私钥的技术点，是为了保证即使是私钥分配中心的内部人员，也无法窃取用户的私钥。为更清楚地表述具体实施方式，下面描述一个小数据的例子：

在前述的实施例中，设A₁，B₁中的元素是数，A₂，B₂中的元素是ID的映射，G中没有参数，则私钥生成函数为

z＝(z₁，z₂)＝D(y，A₂，B₂)＝(D₁(y，A₂，B₂)，D₂(y，A₂，B₂))，其中：

z₁＝D₁(y₁，y₂，a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂)

＝((a₂₁₂ ²a₂₂₁ ²+15a₂₁₁a₂₁₂a₂₂₁a₂₂₂+a₂₁₁ ²a₂₂₂ ²+2a₂₁₂a₂₂₁ ²b₂₁+15a₂₁₁a₂₂₁a₂₂₂b₂₁+15a₂₁₁a₂₁₂a₂₂₁b₂₂+2a₂₁₁ ²a₂₂₂b₂₂+15a₂₁₂a₂₂₁ ²y₁+2a₂₁₁a₂₂₁a₂₂₂y₁+2a₂₁₁a₂₁₂a₂₂₁y₂-2a₂₁₁ ²a₂₂₂y₂)/(16a₂₂₁a₂₂₂b₂₁ ²+a₂₁₂a₂₂₁b₂₁b₂₂+a₂₁₁a₂₂₂b₂₁b₂₂+16a₂₁₁a₂₁₂b₂₂ ²+2a₂₂₁a₂₂₂b₂₁y₁+16a₂₁₂a₂₂₁b₂₂y₁+16a₂₁₁a₂₂₂b₂₂y₁+16a₂₂₁a₂₂₂y₁ ²+16a₂₁₂a₂₂₁b₂₁y₂+16a₂₁₁a₂₂₂b₂₁y₂+2a₂₁₁a₂₁₂b₂₂y₂+a₂₁₂a₂₂₁y₁y₂+a₂₁₁a₂₂₂y₁y₂+16a₂₁₁a₂₁₂y₂ ²))mod 17

z₂＝D₂(y₁，y₂，a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂)

＝((a₂₁₂ ²a₂₂₁ ²+15a₂₁₁a₂₁₂a₂₂₁a₂₂₂+a₂₁₁ ²a₂₂₂ ²+3a₂₁₂a₂₂₁ ²b₂₁+14a₂₁₁a₂₂₁a₂₂₂b₂₁+16a₂₂₁a₂₂₂b₂₁ ²+14a₂₁₁a₂₁₂a₂₂₁b₂₂+3a₂₁₁ ²a₂₂₂b₂₂+a₂₁₂a₂₂₁b₂₁b₂₂+a₂₁₁a₂₂₂b₂₁b₂₂+16a₂₁₁a₂₁₂b₂₂ ²+14a₂₁₂a₂₂₁ ²y₁+3a₂₁₁a₂₂₁a₂₂₂y₁+2a₂₂₁a₂₂₂b₂₁y₁+16a₂₁₂a₂₂₁b₂₂y₁+16a₂₁₁a₂₂₂b₂₂y₁+16a₂₂₁a₂₂₂y₁ ²+3a₂₁₁a₂₁₂a₂₂₁y₂+14a₂₁₁ ²a₂₂₂y₂+16a₂₁₂a₂₂₁b₂₁y₂+16a₂₁₁a₂₂₂b₂₁y₂+2a₂₁₁a₂₁₂b₂₂y₂+a₂₁₂a₂₂₁y₁y₂+a₂₁₁a₂₂₂y₁y₂+16a₂₁₁a₂₁₂y₂ ²)/(2a₂₂₁a₂₂₂b₂₁ ²+15a₂₁₂a₂₂₁b₂₁b₂₂+15a₂₁₁a₂₂₂b₂₁b₂₂+2a₂₁₁a₂₁₂b₂₂ ²+13a₂₂₁a₂₂₂b₂₁y₁+2a₂₁₂a₂₂₁b₂₂y₁+2a₂₁₁a₂₂₂b₂₂y₁+2a₂₂₁a₂₂₂y₁ ²+2a₂₁₂a₂₂₁b₂₁y₂+2a₂₁₁a₂₂₂b₂₁y₂+13a₂₁₁a₂₁₂b₂₂y₂+15a₂₁₂a₂₂₁y₁y₂+15a₂₁₁a₂₂₂y₁y₂+2a₂₁₁a₂₁₂y₂ ²))mod17

设h＝2，把D(y，A₂，B₂)分解成2部分，例如可以规定为：

D⁽¹⁾(y，A₂，B₂)＝D(y，A₂，B₂)中的两个分子多项式，

D⁽²⁾(y，A₂，B₂)＝D(y，A₂，B₂)中的两个分母多项式。

KDC₁₁把上述的D⁽¹⁾(y，A₂，B₂)发给KDC₂₁，把D⁽²⁾(y，A₂，B₂)发给KDC₂₂，同时把ID对于d₁，d₂，...的映射函数，以及R(x)，也发给它们。

为某个授权用户建立私钥时，KDC₂₁、KDC₂₂分别先把该用户的ID代入映射函数，计算出a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂，再把它们分别代入：

D⁽¹⁾(y，a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂)，D⁽²⁾(y，a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂)，计算出D⁽¹⁾(y)、D⁽²⁾(y)，然后分别发送给该用户；

授权用户从KDC₂₁、KDC₂₂分别领取D⁽¹⁾y)、D⁽²⁾(y)，然后按照规定的方法还原为D(y)。

上述方案中：各KDC_2i并不是由于管理制度和计算能力的制约、而是由于缺少信息，而无法窃取到用户的私钥；而掌握全部秘密的KDC₁₁平时处于关闭封存状态，不直接参与建立私钥。建议KDC₁₁在建立私钥生成函数时，对有关变量(例如a₂₁₁，a₂₁₂，a₂₂₁，a₂₂₂，b₂₁，b₂₂)重新命名，可达到更好的效果。

为了实现私钥形态的个性化，本实施例还可以进一步包括步骤：在生成私钥的过程中，插入随机变换W()以及逆W^-1()。

从数学角度对的私钥形态个性化描述如下：

在合成私钥D(y)的过程中，插入随机变换W()以及逆W^-1()：

D(y)＝D_b(D_a(y))＝D_b(W^-1(W(D_a(y))))＝D’_b(D’_a(y))，

其中D’_a()＝W(D_a())，D’_b()＝D_b(W^-1())，把W()、W^-1()分别从D’_a()、D’_b()中分解出来是困难的。W()、W^-1()的具体实现方法属于公知技术。

总之，实现私钥形态个性化的基本构思是：在推导D(y)的过程中插入随机变换，以掩盖D(y)与ID之间的相关性，并把R(x)隐藏起来；从而使得：对于不同用户的私钥D(y)，不仅其数学性质不同，而且其函数的表达形式还受到了两种相互独立的因素——来自ID和随机变换——的双重控制，有效地提高了抗合谋攻击能力。

为更清楚地表述具体实施方式，下面描述一个小数据的例子(如图9所示)：在T₁ ^-1、R^-1之间插入随机线性变换W₁()、W₁ ^-1()，在G₁ ^-1、T₂ ^-1之间插入随机线性变换W₂()、W₂ ^-1()，其具体步骤如下：

第一步，计算：

u’_1j＝D_u’1j(y₁，...，y₈)，1≤j≤8，它们均为8元有理分式，其分子、分母均为线性多项式，分母相同。

第二步，依次计算：

v₁₁＝D_v11(u’₁₁，...，u’₁₈)，其为8元2次有理分式；

v₁₂＝D_v12(u’₁₁，...，u’₁₈，v ₁₁)，其为9元2次有理分式；

v₁₃＝D_v13(u’₁₁，...，u’₁₈，v ₁₁，v ₁₂)，其为10元2次有理分式；

_v14＝D_v14(u’₁₁，...，u’₁₈，v ₁₁，v ₁₂，v ₁₃)，其为11元2次有理分式；

v₁₅＝D_v15(u’₁₁，...，u’₁₈，v ₁₁，...，v ₁₄)，其为12元2次有理分式；

v₁₆＝D_v16(u’₁₁，...，u’₁₈，v ₁₁，...，v ₁₅)，其为13元2次有理分式；

v₁₇＝D_v17(u’₁₁，...，u’₁₈，v ₁₁，...，v ₁₆)，其为14元2次有理分式；

v₁₈＝D_v18(u’₁₁，...，u’₁₈，v ₁₁，...，v ₁₇)，其为15元2次有理分式；

上述的v ₁₁，...，v ₁₇：在推导公式时，代入v_1j的变元符号；在进行解密计算时，代入v_1j的值。

第三步，计算：

z’_j＝D_z’j(v₁₁，...，v₁₈)，1≤j≤8，其为8元线性多项式；

第四步，依次计算：

x_j＝D_xj(z’₁，...，z’₈)，j＝7，8，其为8元线性多项式；

(x₉，x₁₀，x₁₁，x₁₂)＝K₂(x₇，x₈)，其为一组单向函数的组合；

x_j＝D_xj(z’₁，...，z’₈，x₉，x₁₀，x₁₁，x₁₂)，1≤j≤6，其为12元线性多项式；

(w₁，...，w₈)＝K₁ ^-1(x₁，...，x₈)，其为一组单向函数的组合。

其中，(z₁，...，z₆)作为一组中间结果隐藏在第四步的计算过程中，可理解为私钥中的R(x)的参数也隐藏在个性化的私钥中，对授权用户保密。

当采用“多个私钥分配中心联合建立用户私钥”时，应使各个二级私钥分配中心都使用相同的W_i()、W_i ^-1()。

下面从工程应用的角度，进一步理解密码算法的定量设计，对本发明进行更详尽的分析。参照图10，设n＝n’＝8，m＝12，s＝2：

(1)根据允许的加解密出错概率，设置足够大的p。

(2)设置合适的单向函数链，例如其K₂部分把四个单向函数的功能合并在一个单向函数中。

(3)设置n、m、T、G应考虑以下因素：

不定方程组E’(x)＝(y₁，...，y_n’)的解集的元素数量约为p^m-n’，应大于2⁶⁴。

设δ是E’(x)关于x的次数，则一个m元δ次多项式的项的数量为 $C_{m+\mathrm{\δ}}^{\mathrm{\δ}}=\frac{(m+\mathrm{\δ})!}{m!\mathrm{\δ}!},$ 其反映了公钥的存储空间和加密速度，应尽量小。

设λ是D(y)关于y的次数，则一个n元λ次多项式的项的数量为C_n+λ ^λ，其反映了运用线性攻击法破译私钥的困难性，应尽量大。实施线性攻击的条件是已知函数z＝u₀＝R(x)，能大批量地随机产生(z、y)对。

在基于身份方式下，设τ是E’(x，ID)关于ID₁，...，ID_r的次数，则一个m+r元δ+τ次多项式的项的数量为C_m+δ ^δC_r+τ ^τ，其反映了公钥的存储空间和加密速度，应尽量小。

在基于身份方式下，为了隐藏ID的映射函数，可把建立D(y)的推导过程划分成若干段：

D(y)＝D_k(...D_b(D_a(y))...)，

并把D_a()，D_b()，...，D_k()分别展开；由于ID映射到D_a(y)，因此该D_a(y)的每个系数等价于一个关于ID的r元μ次多项式，该多项式的项的数量为C_r+μ ^μ，应使其远大于攻击者收集大量私钥的操作能力。

设p为32比特，n＝8，m＝12，s＝2，G₁为：

G₁₁：u₁₁＝(t₁₁₁v₁₁+t₁₁₂)modp，

G₁₁ ^-1： $v_{11}=\frac{u_{11}-t_{112}}{t_{111}}\mathrm{mod}p,$

G_1j： $u_{1j}=(t_{1j1}{v}_{1,j-1}{v}_{1j}+\underset{1\≤k\≤h\≤j-1}{\mathrm{\Σ}}{\mathrm{\γ}}_{1\mathrm{jkh}}{v}_k{v}_h+\underset{k=1}{\overset{j-1}{\mathrm{\Σ}}}{\mathrm{\ρ}}_{1\mathrm{jk}}{v}_k+{\mathrm{\ϵ}}_{1j})\mathrm{mod}p,$ j＝2，...，8，

G_1j ^-1： $v_{1j}=\frac{u_{1j}-\underset{1\≤k\≤h\≤j-1}{\mathrm{\Σ}}{\mathrm{\γ}}_{1\mathrm{jkh}}{v}_k{v}_h-\underset{k=1}{\overset{j-1}{\mathrm{\Σ}}}{\mathrm{\ρ}}_{1\mathrm{jk}}{v}_k-{\mathrm{\ϵ}}_{1j}}{t_{1j1}{v}_{1,j-1}}\mathrm{mod}p,$ j＝2，...，8，

其中，参数t_1jk、γ_1jkh、ρ_1jk、ε_1j为二次有理分式中的系数；

G₂采用如前所述的“其非线性次数保持不变的非线性变换”：

G_2j： $u_{2j}=\frac{t_{2j0}+t_{2j1}{v}_{21}+...+t_{2j8}{v}_{28}}{t_{200}+t_{201}{v}_{21}+...+t_{208}{v}_{28}}\mathrm{mod}p,$ j＝1，...，8

G_2j ^-1： $u_{2j}=\frac{g_{2j0}+g_{2j1}{u}_{21}+...+g_{2j8}{u}_{28}}{g_{200}+g_{201}{u}_{21}+...+g_{208}{u}_{28}}\mathrm{mod}p,$ j＝1，...，8

其中，G₂ ^-1中的系数g_ijk，应理解为是关于G₂中的系数t₂₀₀，...，t₂₈₈的8次函数；设G₂是ID的1次函数，则G₂ ^-1是ID的8次函数。

上述方案的有关技术指标和加解密步骤如下：

p^m-n≈2^32(12-8)＝2¹²⁸； $C_{m+\mathrm{\δ}}^{\mathrm{\δ}}=C_{12+2}^2=91,$ 即E(x)总共有91×9＝819个项(8个相同的分母多项式，应算作为1个多项式)；但在基于身份方式下，设τ＝1，r＝4， $C_{m+\mathrm{\δ}}^{\mathrm{\δ}}{C}_{r+\mathrm{\τ}}^{\mathrm{\τ}}=C_{12+2}^2{C}_{4+1}^1=455,$ 即E’(x，ID)共有455×9＝4095个项。其加密步骤为：

第一步，计算x＝H(w)：

(x₁，...，x₈)＝K₁(w₁，...，w₈)，其为一组单向函数的组合；

(x₉，x₁₀，x₁₁，x₁₂)＝K₂(w₇，w₈)，其为一组单向函数的组合；

第二步，计算E’(x，ID)：

y_j＝E_j(x₁，...，x₁₂，ID₁，...，ID₄)，1≤j≤8，其为16元3次有理分式。

D(y)关于y的次数λ＝255， $C_{n+\mathrm{\λ}}^{\mathrm{\λ}}=C_{8+255}^{255}=509850594887712,$ 即在已知R(x)的条件下进行线性攻击所需要的存储空间为：

${\left(C_{8+255}^{255}\right)}^2=259947629107353817789888594944>2^{64};$

在基于身份方式下，假设D_a(y)关于y的次数为4，则μ＝4×8＝32，完成合谋攻击需要收集的私钥数量 $C_{r+\mathrm{\μ}}^{\mathrm{\μ}}=C_{4+32}^{32}=58905.$ 提高该指标的主要方法是增加r。例如，当r由4增加到10时， $C_{m+\mathrm{\δ}}^{\mathrm{\δ}}{C}_{r+\mathrm{\τ}}^{\mathrm{\τ}}=C_{12+2}^2{C}_{10+1}^1=1001,$ 即E’(x，ID)的函数规模仅由4095个项增加到1001×9＝9009个项，但其抗合谋攻击的指标C_r+μ ^μ却由58905增加到 $C_{10+32}^{32}=1471442973,$ 增加了24979.9倍，相当于：若对我国的有14亿人口的公民身份证公钥密码系统进行合谋攻击，至少需要收买14亿7千万个私钥，显然失去了进行合谋攻击的意义。

当然：即使D_a(y)关于y的次数为4，其函数规模仍然很大。为此，优选的，建议采用前述的“私钥形态个性化”技术点。

采用前述的优选实施例，通过运用ID映射的方法，建立基于身份的工作方式，使得全网所有用户共用一个公钥，为网络环境下的公钥管理带来了极大的方便；以及通过运用“多个私钥分配中心合成私钥”和“私钥形态个性化”的方法，提高密码系统的抗合谋攻击能力。

本说明书中的各个实施例均基于同一技术构思，所以在描述时重点说明的都是该实施例的独特之处，各个实施例之间相同相似的部分互相参见即可。并且，对于系统实施例而言，由于其基本相应于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上对本发明所提供的一种用于编码和译码数字消息的方法和系统，以及一种用于数字签名的方法和装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (15)

1、一种用于编码和译码数字消息的方法，其特征在于，包括：

选择正整数m，n，其中，m＞n；

生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和

采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

2、如权利要求1所述的方法，其特征在于，通过以下步骤得到公钥和私钥：

选取s+1个域F上的n元可逆线性变换T＝(T₁，...，T_s+1)，其中，每个T_i包括n个域F上的关于(α₁，...，α_n)的n元线性多项式；

选取s个域F上的n元可逆非线性变换G＝(G₁，...，G_s)，其中，每个G_i包括n个域F上的关于(α₁，...，α_n)的函数；

依据预置规则，合成所述u₀(x)、T和G，得到从x到y的非线性映射函数组：(y₁，...，y_n)＝E(x)＝(E₁(x₁，...，x_m)，...，E_n(x₁，...，x_m))；

依据E(x)，得到公钥；

生成T的逆函数T^-1；生成G的逆函数G^-1；由T^-1和G^-1计算得到D(y)；生成私钥，所述私钥包括R(x)和D(y)；所述私钥中的R(x)用于同单向函数链的逆函数H^-1(z)一起将中间结果z转换为译码消息w。

3、如权利要求2所述的方法，其特征在于，所述预置规则为：

把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s，把G_s代入到T_s+1；

或者，把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s。

4、如权利要求1所述的方法，其特征在于，

所述E(x)中含有关于(x₁，...，x_m)的有理分式函数。

5、一种用于数字签名的方法，其特征在于，包括：

选择正整数m，n，n’，其中，m＞n≥n’；

生成一包含有E’(x)的公钥，其中，E’(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；和

通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；

比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

6、如权利要求5所述的方法，其特征在于，通过以下步骤得到公钥和私钥：

选取s+1个域F上的n元可逆线性变换T＝(T₁，...，T_s+1)，其中，每个T_i包括n个域F上的关于(α₁，...，α_n)的n元线性多项式；

选取s个域F上的n元可逆非线性变换G＝(G₁，...，G_s)，其中，每个G_i包括n个域F上的关于(α₁，...，α_n)的函数；

依据预置规则，合成所述u₀(x)、T和G，得到从x到y的非线性映射函数组：(y₁，...，y_n)＝E(x)＝(E₁(x₁，...，x_m)，...，E_n(x₁，...，x_m))；

选取其中的n’个函数作为E’(x)，得到公钥；

生成T的逆函数T^-1；生成G的逆函数G^-1；由T^-1和G^-1计算得到D(y)；生成私钥，所述私钥包括R(x)和D(y)；所述私钥中的R(x)用于同单向函数链的逆函数H^-1(z)一起将中间结果z转换为译码消息w。

7、如权利要求6所述的方法，其特征在于，所述预置规则为：

把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s，把G_s代入到T_s+1；

或者，把函数组u₀(x)代入到T₁，把T₁代入到G₁，把G₁代入到T₂，把T₂代入到G₂，...，把T_j代入到G_j，...，把T_s代入到G_s。

8、如权利要求5所述的方法，其特征在于，

所述E’(x)中含有关于(x₁，...，x_m)的有理分式函数。

9、一种用于编码和译码数字消息的方法，其特征在于，包括：

选择正整数m，n，n’，r，其中，m＞n≥n’；

生成一包含有E’(x，ID)的公钥，其中，E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；

设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；

或者，采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

10、如权利要求9所述的方法，其特征在于，通过以下步骤得到公钥和私钥：

选取s+1个域F上的n元可逆线性变换T＝(T₁，...，T_s+1)，其中，每个T_i包括n个域F上的关于(α₁，...，α_n)的n元线性多项式；

选取s个域F上的n元可逆非线性变换G＝(G₁，...，G_s)，其中，每个G_i包括n个域F上的关于(α₁，...，α_n)的函数；

所述T和/或G中的至少一个系数为ID的映射函数；

依据预置规则，合成所述u₀(x)、T和G，得到从x、ID到y的非线性映射函数组：(y₁，...，y_n)＝E(x，ID)＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n(x₁，...，x_m，ID₁，...，ID_r))；

选取E(x，ID)中的n’个函数作为E’(x，ID)，得到公钥；

生成T的逆函数T^-1；生成G的逆函数G^-1；把授权用户的身份标识的值代入T^-1和G^-1，计算得到该身份标识相关的D(y)；生成与该身份标识相对应的私钥，所述私钥包括R(x)和D(y)。

11、如权利要求9所述的方法，其特征在于，通过以下步骤得到公钥和私钥：

设置由x到y的可逆非线性映射函数组：(y₁，...，y_n)＝E(x，ID)＝(E₁(x₁，...，x_m，ID₁，...，ID_r)，...，E_n(x₁，...，x_m，ID₁，...，ID_r))；

依据E(x，ID)的逆函数，生成私钥；

选取E(x，ID)中的n’个函数作为E’(x，ID)，得到公钥

当用于加解密过程时，m＞n＝n’。

12、如权利要求9、10或11所述的方法，其特征在于，通过以下步骤建立私钥：

计算得到D(y)，所述D(y)与ID相关；

将所述D(y)分为至少两个部分，保存在至少两个私钥分配中心，每个部分都与ID相关；

各私钥分配中心根据授权用户的ID计算得到私钥的一部分，发送给该用户；

该用户将私钥的各个部分合成，计算得到私钥。

13、一种用于编码和译码数字消息的系统，其特征在于，包括：

公钥生成单元，用于生成一包含有E(x)的公钥，其中，E(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n)的非线性映射函数组，m，n为正整数，m＞n；并且，所述E(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加密单元，用于通过单向函数链H(w)将消息w转换为中间结果x，然后采用所述公钥对所述中间结果x进行编码，得到编码结果y；和

解密单元，用于采用所述私钥将编码结果y变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为译码消息w。

14、一种用于数字签名的系统，其特征在于，包括：

公钥生成单元，用于生成一包含有E’(x)的公钥，所述E’(x)为在域F上的从(x₁，...，x_m)到(y₁，...，y_n’)的非线性映射函数组；并且，所述E’(x)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’为正整数，m＞n≥n’；

私钥生成单元，用于生成一与所述公钥相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

签名单元，用于采用所述私钥先把待签名的消息y”变换为中间结果z，然后运用单向函数链的逆函数H^-1(z)以及私钥将中间结果z转换为数字签名w；以及

验证单元，用于通过单向函数链H(w)将数字签名w转换为中间结果x，然后采用所述公钥对所述中间结果x进行译码，得到译码结果y；以及，比较译码结果y和待验证的消息y’，根据比较结果确定数字签名w是否正确。

15、一种用于编码和译码数字消息的系统，其特征在于，包括：

公钥生成单元，用于生成一包含有E’(x，ID)的公钥，所述E’(x，ID)为在域F上的从(x₁，...，x_m，ID₁，...，ID_r)到(y₁，...，y_n’)的非线性映射函数组，所述ID＝(ID₁，...，ID_r)为授权用户的身份标识；并且，所述E’(x，ID)中隐含有接口函数R(x)，其用于根据(x₁，...，x_m)得到n个关于(x₁，...，x_m)的函数：u₀(x)＝(u₀₁(x₁，...，x_m)，...，u_0n(x₁，...，x_m))＝R(x)；其中，m，n，n’，r为正整数，m＞n≥n’；

私钥生成单元，用于针对身份标识为ID(K)的授权用户，生成一与该身份标识相对应的私钥，所述私钥包括R(x)；

单向函数链确定单元，用于设置单向函数链H(w)，以及单向函数链的逆函数H^-1(z)；

加解密单元，用于采用所述公钥、单向函数链H(w)和ID(K)，对消息M进行编码，得到编码消息N；采用所述私钥和单向函数链的逆函数H^-1(z)对该编码消息N进行译码，得到译码消息L；

或者，签名验证单元，用于采用所述私钥和单向函数链的逆函数H^-1(z)对消息M’进行编码，得到编码消息N’；采用所述公钥、单向函数链H(w)和ID(K)，对该编码消息N’进行译码，得到译码消息L’。

Images