CN101977109A - 线性混淆高次方程公钥密码算法 - Google Patents

Abstract

属于数据加密，数字签名，保密通信，网络和信息安全领域。本发明基于有限域上求解高次多变量多项式方程组的困难问题构造了一类单向陷门函数，并且给出了基于该单向陷门函数设计的公钥密码加密和解密算法。该算法具有运算速度快，安全性高等特点。

Description

线性混淆高次方程公钥密码算法

发明领域：

本发明涉及了一种单向陷门函数的构造以及利用这个单向陷门函数设计的公钥密码算法，是数据加密，数字签名，保密通信，计算机网络和信息安全领域的一种核心技术。

背景技术和现有相关技术：

本领域中现有的公钥密码算法有RSA密码算法，椭圆曲线密码算法(ECC)，NTRU密码算法，隐含域方程密码算法(HFE)等，其中RSA的安全性基于大数分解问题的困难性，ECC的安全性基于求离散对数问题的困难性，NTRU的安全性基于寻找格上最短向量问题的困难性，HFE的安全性基于求解有限域上多元非线性方程组问题的困难性。

本发明设计的密码算法和HFE有相同的背景技术，都是基于求解有限域上多元非线性方程组这个困难问题而设计的。下面详细阐述这一技术背景。

设k是一个阶为q的有限域，f_i(x₁，x₂，…x_n)是k上的次数大于1的n元多项式，i＝1，2，…n.令

$\mathrm{\Π}=\left\{\begin{array}{c}{f}_1(x_1,x_2,...,x_n)=y_1\\ f_2(x_1,x_2,...,x_n)=y_2\\ ...\\ f_n(x_1,x_2,...,x_n)=y_n\end{array}\right.$

由计算复杂性理论可知，求解方程组∏是一个NP-完全问题，也就是说任何求解方程组∏的算法的计算复杂度随着n的增大而指数的增大。那么当n足够大的时候，这个问题是无法求解的。

由方程组∏确定了一个是kⁿ上的函数F

F(x₁，x₂，…x_n)＝(f₁(x₁，x₂，…x_n)，f₂(x₁，x₂，…x_n)，…f_n(x₁，x₂，…x_n))

求(y₁，y₂，…y_n)＝F(x₁，x₂，…x_n)只需将变量(x₁，x₂，…x_n)代入方程组∏，这是容易计算的，而求(x₁，x₂，…x_n)＝F^-1(y₁，y₂，…y_n)，相当与求解方程组∏，当n足够大时，这是不可计算的。像这样的F就叫做单向函数。如果构造单向函数F的时候预留一定的陷门，使得当不知道该陷门的时候F是一个单向函数，其逆不可计算。但是当知道陷门的时候可以容易的计算F的逆，这样的函数叫做单向陷门函数。设计公钥密码算法的核心就是构造单向陷门函数。

HFE是与本发明最接近的且最广为人知的一类公钥密码算法，它与本发明都是基于求解有限域上多元非线性方程组这个困难问题而设计的，但是HFE与本发明的设计有本质的区别。下面介绍HFE的技术特征：

设k是一个阶为q的有限域，g(x)∈k[x]是k上的n次不可约多项式，K是k的n次扩域，且

α是g(x)在K中的根。于是K中的的元素可以表示为x₁+x₂α+x₃α²+…+x_nα^n-1，x_i∈k.

设φ是从K到kⁿ的标准线性映射，即

φ(x₁+x₂α+x₃α²+…+x_nα^n-1)＝(x₁，x₂，…，x_n-1)

令

是K上的一元多项式式函数，满足

这里a_ij，b_i，c∈K是随机选取的，θ_ij，

ξ_i是正整数，且使得

的次数不超过参数d。

令L₁，L₂是两个kⁿ上的可逆仿射变换，令

于是F是kⁿ上的函数，即F(x₁，x₂，…x_n)＝(y₁，y₂，…y_n)。

把F写成分量的形式就是：

F(x₁，x₂，…x_n)＝(f₁(x₁，x₂，…x_n)，f₂(x₁，x₂，…x_n)，…f_n(x₁，x₂，…x_n))，

F确定的方程组就是：

$\mathrm{\Π}=\left\{\begin{array}{c}{f}_1(x_1,x_2,...,x_n)=y_1\\ f_2(x_1,x_2,...,x_n)=y_2\\ ...\\ f_n(x_1,x_2,...,x_n)=y_n\end{array}\right.$

这里f_i(x₁，x₂，…x_n)是k上的n元二次多项式。

F或者∏就是HFE所构造的单向陷门函数，L₁，L₂，是陷门。由背景技术的知识可知在不知道陷门的情况下，要求解方程组∏，当n足够大的时候是不可计算的，但是在知道陷门的情况下可以把对∏的求解转化为在有限域K上对一元多项式

的求解，这个求解过程是可以计算的。具体转化过程如下：

设给定(y₁，y₂，…y_n)∈kⁿ，要求出一组(x₁，x₂，…x_n)∈kⁿ，使得F(x₁，x₂，…x_n)＝(y₁，y₂，…y_n)。

首先令(y₁′，y₂′，…y_n′)＝L₁ ^-1(y₁，y₂，…y_n)，然后用标准线性映射的逆映射将(y₁′，y₂′，…y_n′)映射到扩域K上，即

Y′＝φ^-1(y₁′，y₂′，…y_n′)＝y₁′+y₂′α+y₃′α²+…+y_n′α^n-1

然后在扩域K上解方程

求解这个有限域上的一元多项式方程组有有效算法求解，比如BM算法。

设解出X′＝x₁′+x₂′α+x₃′α²+…+x_n′α^n-1，再利用标准线性映射把X′映射到kⁿ上，即(x₁′，x₂′，…x_n′)＝φ(X′)

最后再令(x₁，x₂，…x_n)＝L₂ ^-1(x₁′，x₂′，…x_n′)，则(x₁，x₂，…x_n)就是所求的解。

HFE的核心特征可以归纳为：先在扩域K上构造一个容易求解的一元多项式函数

然后用标准线性映射φ和两个可逆仿射变换L₁，L₂对

进行处理得到kⁿ上的函数F，F的每个分量就是k上的n元多项式。把F或F的n个分量组成的方程组作为公钥方程组，把L₁，L₂，

作为私钥。由于HFE中对函数

形式的限制，使得构造出来的公钥方程组的次数都不超过二次。

关于HFE的相关内容可以参考：

[1].Patarin，Jacques.Hidden Field Equations(HFE)and Isomorphism Polynomials(IP)：Tow new families of asymmetric algorithms.Eurocrypt’96，volume 1070 of LNCS，pages 33-48.Springer.Extended Version：http://www.minrank.org/hfe.pdf.

[2].Jingtai Ding，Jason E.Gower and Dieter S.Schmidt.Multivariate Public Key Cryptosystems.Chapt 4，pages 96-108.Springer.

在HFE公钥密码算法提出之前，还有一个算法-MI公钥密码算法-也是基于求解有限域上的非线性多变量多项式方程组的困难问题而设计的，MI与HFE在构造单向陷门函数上的思想完全相同，区别仅在于在扩域K上选择不同的函数

在HFE中，扩域K上的函数

的形式为：

而在MI中，扩域K上的函数

的形式是：

$\tilde{F}\left(X\right)=X^{1+q^{\mathrm{\θ}}}$

这里gcd(1+q^θ，qⁿ-1)＝1。

MI中求

逆的方法为：

找到一个整数t，使得t(1+q^θ)≡1mod(qⁿ-1)，于是

${\tilde{F}}^{-1}\left(X\right)=X^t$

接下来由

产生公钥方程组的方法完全相同，这里不再赘述。由于MI中对函数

形式的限制，使得构造出来的公钥方程组的次数也都不超过二次。

关于MI的相关内容可以参考：

[1].Matsumoto Tsutomu，Imai Hideki.Public quadratic polynomial-tuples for efficient signature verification and message encryption.Advances in cryptology-Eurocrypt’88，volume 330 of LNCS，pages 419-453，Springer.

[2].Jingtai Ding，Jason E.Gower and Dieter S.Schmidt.Multivariate Public Key Cryptosystems.Chapt 1，pages 11-52.Springer.

然而，无论是MI还是HFE都是不安全的，目前对基本的MI和HFE的有效攻击算法有线性化方程方法，XL算法和快速计算Groboner基的算法F₄和F₅等。于是产生了许多对MI和HFE的改进，其中一种成功的改进就是在构造公钥方程组时加入“扰动”。即

$\mathrm{\Π}=\left\{\begin{array}{c}{f}_1(x_1,x_2,...,x_n)+f_1^{*}(x_1,x_2,...,x_n)=y_1\\ f_2(x_1,x_2,...,x_n)+f_2^{*}(x_1,x_2,...,x_n)=y_2\\ ...\\ f_n(x_1,x_2,...,x_n)+f_n^{*}(x_1,...,x_2,...x_n)=y_n\end{array}\right.$

这里

(x₁，x₂，…x_n)是全次数为不超过2的多项式。对MI实施“扰动”后的变形叫做PMI，对HFE实施“扰动”后的变形叫做IPHFE。

关于PMI和IPHFE的相关内容可以参考：

[1].Ding，Jingtai.A new variant of the Matsumoto-Imai cryptosystem through perturbation.Public Key Cryptosystems，PKC 2004，volume 2947 of LNCS，pages 305-318，Springer

[2].Ding，Jingtai，Schmidt，Dieter.Cryptanalysis of HFEV and the internal perturbation of HFE.Public Key Cryptography：PKC 2005，January 23-26，2005，volume 3386 of LNCS，page 288-301，Springer.

另外2007年9月5日，索尼(中国)有限公司向中国国家知识产权局申请了一项名为多变量公钥加密方法和装置及其解密方法和装置的专利中(以下简称索尼公司专利)，也涉及到了一种基于求解有限域上的非线性多变量多项式方程组的困难问题而设计的公钥密码算法，其技术特征如下：

与HFE中的代数结构类似，设k是一个阶为q的有限域，K是k的l次扩张，区别在于索尼公司专利规定q取值为2并且在扩域K上选取了三个二元多项式：

Y₁＝(X₁ ²X₂)²+α₁(X₁ ²X₂)

Y₂＝(X₁X₂)²+α₂(X₁X₂)

Y₃＝X₁ ²X₂+X₁X₂

这里α₁，α₂∈K是随机选取的。然后每一个Y_i经过标准线性映射φ和可逆仿射变换L₁，L₂的处理都可以获得l个k上的全次数为2的2l元多项式，总共可以获得3l个k上的全次数为2的2l元多项式。然后与PMI中加入“扰动”的方法类似，添加3l个k上的全次数不超过2的2l元多项式。于是得到了公钥方程组：

$\mathrm{\Π}=\left\{\begin{array}{c}{f}_1(x_1,x_2,...,x_{2l})=y_1\\ f_2(x_1,x_2,...,x_{2l})=y_2\\ ...\\ f_{3l}(x_1,x_2,...,x_{2l})=y_{3l}\end{array}\right.$

加密过程就是直接把明文x₁，x₂，…x_2l带入上述方程组得到y₁，y₂，…y_3l。解密过程是先把y₁，y₂，…y_3l还原为扩域K上的三个元素Y₁，Y₂，Y₃，然后用索尼公司专利中的算法对上述三个二元多项式组成的方程组求解，把解得的X₁，X₂再转化为x₁，x₂，…x_2l，这样就完成了解密过程。

索尼公司专利的技术特征可归纳为：在扩域K上选择容易求解的三个二元二次多项式方程，然后用标准线性映射φ和可逆仿射变换L₁，L₂把这三个二元二次多项式方程转化为基域k上的3l个2l元多项式，作为公钥方程组。由于索尼公司专利对这三个二元二次多项式方程形式的限制，使得公钥方程组中的多项式的全次数为2。

关于索尼公司专利的详细内容可以在中国国家知识产权局网上站检索中请号为200710149780.6，名称为多变量公钥加密方法和装置及其解密方法和装置的专利。

发明的目的及意义：

通过本发明的设计者对本领域背景技术和相关技术的研究，发现目前相关技术的特征都是在首先在扩域K上设计函数或者方程组，然后经过标准线性映射φ和可逆仿射变换L₁，L₂得到基域k上的多变元二次多项式方程组。这个转化过程是可逆的，因此公钥方程组完全由扩域上的函数决定。由于MI和HFE在扩域上选择具有特定形式的函数的，从而使得构造出来的公钥方程组的随机性受到限制。这也就是MI和HFE不能抵抗线性化方程方法，XL算法和快速计算Groboner基的算法F₄和F₅等算法攻击的原因。而加入“扰动”实质上是打破了扩域上的函数对公钥方程组的限制，增加了公钥方程组的随机性。所以PMI和IPHFE具有更高的安全性。但是上述公钥密码算法还是无法突破由扩域K上函数生成基域k上的多变元多项式公钥方程组这一技术特征。

另外，上述密码算法的另一个技术特征是它们构造出来的公钥方程组的次数都是二次的。虽然在计算复杂度理论上，求解有限域上的二次多元多项式方程组也是NP-完全问题，并且求解更高次数的多元多项式方程组的计算复杂度并不比求解二次多元多项式方程组的计算复杂度有实质性的提高。但是多项式的次数还决定这另外一个重要的参数，那就是多项式中所含单项式的个数。在一个多元多项式公钥方程组中如果含有的单项式的个数过少，则无法抵抗线性化方程等算法的攻击。

有限域GF(2)上二次n元单项式的个数为而所有n元单项式的个数为2ⁿ-1。如果只把公钥方程组中单项式的次数限制在二次的话，则所选择的可能行较少并且也没有充分利用剩余的大量高次单项式。本发明的设计者认为，随着计算能力的提高和各种攻击算法的发展，把公钥方程组的次数限制在二次，已经不能满足对多元公钥密码算法安全性进一步提高的需求了。

除了上述相关算法共有的技术特征给它们带来的限制以外，MI和索尼公司专利在本身的设计上也有一个的缺陷。MI在扩域K上设计函数

的形式过于简单，并且对

求逆需要做一个高次的模指数运算，解密效率不高。而索尼公司专利构造的公钥方程组包含3l个2l元多项式，这种超定方程组的结构，给解密带来了方便，但是也给攻击者提供了更多的机会，降低了算法的安全性。并且索尼公司专利设计的算法总是将一个2l比特明文加密成3l比特密文，显然加密编码的效率过低。

为了突破目前多变量公钥密码设计的局限，促进多变量公钥密码算法在安全和隐私保护领域的应用，打破国外算法对这一领域的垄断，本发明用新思想设计了一种更广泛，更安全的多变量公钥密码算法。

发明内容：

本发明放弃了在扩域上构造函数的思想，突破了把公钥方程组的次数限制在二次的局限，直接在基域上选取高次多元多项式方程组，在用可逆仿射变换对高次多元多项式方程组施加线性混淆，得到最终的公钥方程组。下面详细说明本发明的技术特征：

设k是一个阶为q的有限域，n是变量个数，且n≥q。则k上的所有单项式为：

$x_1,...,x_n,{x_1}^2,x_1{x}_2,...,{x_n}^2,...,{x_1}^{i_1}{x_2}^{i_2}...{x_n}^{i_n},...$

这里0≤i_j≤q-2。

规定x₁，x₂，…，x_n的一个序＞，比如x₁＞x₂＞…＞x_n。但是不限于此。

从上述(q-1)ⁿ-1个单项式中任意选取n个，记为：

m₁(x₁，x₂，…，x_n)，m₂(x₁，x₂，…，x_n)，…，m_n(x₁，x₂，…，x_n)

构造如下多元多项式方程组：

$M=\left\{\begin{array}{c}{m}_1(x_1,x_2,...,x_n)=y_1\\ m_2(x_1,x_2,...,x_n)=y_2\\ ...\\ m_n(x_1,x_2,...,x_n)=y_n\end{array}\right.$

因为M中的每一个多项式事实上只是一个单项式，所以我们把这样的方程组M叫做多元单项式方程组。

令F是方程组M对应的kⁿ上的函数，即

F(x₁，x₂，…，x_n)＝(m₁(x₁，x₂，…，x_n)，m₂(x₁，x₂，…，x_n)，…，m_n(x₁，x₂，…，x_n))

                 ＝(y₁，y₂，…，y_n)

再令G＝L₁оFоL₂，这里L₁，L₂是kⁿ上的两个可逆仿射变换。

G确定的方程组的为：

$\mathrm{\Π}=\left\{\begin{array}{c}{g}_1(x_1,x_2,...,x_n)=y_1\\ g_2(x_1,x_2,...,x_n)=y_2\\ ...\\ g_n(x_1,x_2,...,x_n)=y_n\end{array}\right.$

这里g_i(x₁，x₂，…，x_n)是k上的高次多元多项式，由于L₁，L₂是可逆仿射变换，故g_i(x₁，x₂，…，x_n)的次数与m_i(x₁，x₂，…，x_n)的次数相等。

上述构造的函数G就是本发明所构造单向陷门函数。令公钥为函数G或其方程形式∏，私钥为可逆仿射变换L₁，L₂和多元单项式方程组M。

加密过程为：

对任意的明文分组x₁，x₂，…，x_n，代入方程组∏计算出y₁，y₂，…，y_n，就是加密后的密文。

解密过程为：

对任意的密文分组y₁，y₂，…，y_n，令(y₁′，y₂′，…y_n′)＝L₁ ^-1(y₁，y₂，…y_n)，将y₁′，y₂′，…y_n′带入方程M，解出x₁′，x₂′，…x_n′，再令(x₁，x₂，…x_n)＝L₂ ^-1(x₁′，x₂，…x_n′)，则x₁，x₂，…x_n就是解密出的明文。

关于解密方法，本发明给出了解求解有限域上多元单项式方程组M的方法，其技术特征如下：

设M具有更一般的形式，即n个变量，l方程的方程组：

$M=\left\{\begin{array}{c}{m}_1(x_1,x_2,...,x_n)=y_1\\ m_2(x_1,x_2,...,x_n)=y_2\\ ...\\ m_r(x_1,x_2,...,x_n)=y_r\end{array}\right.$

首先令S＝{m₁，m₂，…，m_r}这里m_i＝m_i(x₁，x₂，…，x_n)。

再令S₁＝{m_i|m_i∈S，y_i＝m_i(x₁，x₂，…，x_n)≠0}，S₂＝{m_i|m_i∈S，y_i＝m_i(x₁，x₂，…，x_n)＝0}

为所有出现在S₁中的单项式中的变量，在S₂中的单项式中把出现在A中的变量直接消去，得到新的S₂，令所有出现在新的S₂中的单项式中的变量做成的集合为

这里

再令：

$M^{\left(1\right)}=\left\{\begin{array}{c}{m}_1^{\left(1\right)}(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)})=y_1^{\left(1\right)}\\ m_2^{\left(1\right)}(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)})=y_2^{\left(1\right)}\\ ...\\ m_u^{\left(1\right)}(x_1^{\left(1\right)},x_2^{\left(2\right)},...,x_s^{\left(1\right)})=y_u^{\left(1\right)}\end{array}\right.$ $M^{\left(2\right)}=\left\{\begin{array}{c}{m}_1^{\left(2\right)}(x_1^{\left(2\right)},x_2^{\left(2\right)},...,x_t^{\left(2\right)})=0\\ m_2^{\left(2\right)}(x_1^{\left(2\right)},x_2^{\left(2\right)},...,x_t^{\left(2\right)})=0\\ ...\\ m_v^{\left(2\right)}(x_1^{\left(2\right)},x_2^{\left(2\right)},...,x_t^{\left(2\right)})=0\end{array}\right.$

这里 $m_i^{\left(1\right)}\∈S_1,$ $m_j^{\left(2\right)}\∈S_2.$

于是就把求解方程组M转化为求解M⁽¹⁾和M⁽²⁾，我们只需把M⁽¹⁾和M⁽²⁾的解按照序＞排列，就可得到方程组M的解。

对于M⁽²⁾的求解，本发明给出如下算法：

首先令

这里

再令

即所有出现在只含有一个变量的单项式中的变量。于是方程组M的解就是

为0，剩下的变量取k上的任意值，并且至少有一个取0。

对于M⁽¹⁾的求解，本发明给出如下算法：

首先对方程组M⁽¹⁾进行等价转化：

令 $S^{\left(1\right)}=\{m_1^{\left(1\right)},m_2^{\left(1\right)},...,m_u^{\left(1\right)}\},$ 这 $m_i^{\left(1\right)}=m_i^{\left(1\right)}(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)}),$

$X^{\left(1\right)}=\{x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)}\},x_1^{\left(1\right)}>x_2^{\left(1\right)}>...>x_s^{\left(1\right)},$

循环执行以下步骤，直到S⁽¹⁾或X⁽¹⁾中有一个为空集：

1：选取X⁽¹⁾最大的变量

把

从X⁽¹⁾除去。

2：选取S⁽¹⁾中含有

的，并且含有自变量个数最少的一个单项式

把

从S⁽¹⁾除去，并添加

到

中。

3：设

这里d是

在

中的次数，d＞0且

不包含

从

中解出

dt≡1mod(q-1)。

4：把代入S⁽¹⁾中的每一个单项式中。

以上算法执行完后输出

于是得到与方程组M(1)等价的方程组

$\stackrel{\‾}{M}=\left\{\begin{array}{c}{\stackrel{\‾}{m}}_1(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)})={\stackrel{\‾}{y}}_1\\ {\stackrel{\‾}{m}}_2(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)})={\stackrel{\‾}{y}}_2\\ ...\\ {\stackrel{\‾}{m}}_n(x_1^{\left(1\right)},x_2^{\left(1\right)},...,x_s^{\left(1\right)})={\stackrel{\‾}{y}}_u\end{array}\right.$

由算法的过程可以看出中不含

于是

中只有n-u+1个变量，分别为

我们选取

为自由未知量解出

再把

代入

解出

以此类推，就解得

关于

的方程，当n-u不太大时，遍历

的所有可能取值，就得到了方程组

的所有解也就是方程组M⁽¹⁾的所有解。

具体实施方式：

以下用一个例子来说明本发明所设计的单向陷门函数以及基于它的公钥加密和解密算法是如何工作的。

1.构造公钥和私钥：

令k是含有2个元素的有限域k＝GF(2)＝{0，1}，变量的个数n取4，实际应用中建议n＞80。选取4个4元单项式：x₂x₄，x₃x₄，x₁x₃x₄，x₁x₂x₃x₄，构造方程组：

$M=\left\{\begin{array}{c}{x}_2{x}_4=y_1\\ x_3{x}_4=y_2\\ x_1{x}_3{x}_4=y_3\\ x_1{x}_2{x}_3{x}_4=y_4\end{array}\right.$

令F(x₁，x₂，x₃，x₄)＝(x₁x₂，x₃x₄，x₂x₃x₄，x₁x₂x₃x₄)。

取GF(2)⁴上的两个可逆仿射变换L₁，L₂为：

$L_1(a_1,a_2,a_3,a_4)=\left[\begin{array}{cccc}1& 1& 1& 0\\ 1& 0& 1& 0\\ 0& 0& 1& 0\\ 0& 0& 1& 1\end{array}\right]\left[\begin{array}{c}{a}_1\\ a_2\\ a_3\\ a_4\end{array}\right]$ $L_2(a_1,a_2,a_3,a_4)=\left[\begin{array}{cccc}1& 0& 0& 1\\ 0& 1& 0& 1\\ 0& 0& 1& 1\\ 0& 0& 0& 1\end{array}\right]\left[\begin{array}{c}{a}_1\\ a_2\\ a_3\\ a_4\end{array}\right]$

这里(a₁，a₂，a₃，a₄)∈GF(2)⁴。

令G＝L₁оFоL₂，于是

G(x₁，x₂，x₃，x₄)＝(x₄+x₁x₄+x₂x₄+x₁x₃x₄，

x₁x₄+x₂x₄+x₃x₄+x₁x₃x₄，x₄+x₁x₄+x₃x₄+x₁x₃x₄，

x₂x₄+x₁x₂x₄+x₂x₃x₄+x₁x₂x₃x₄)

由G确定的方程组∏为：

$\mathrm{\Π}=\left\{\begin{array}{c}{x}_4+x_1{x}_4+x_2{x}_4+x_1{x}_3{x}_4=y_1\\ x_1{x}_4+x_2{x}_4+x_3{x}_4+x_1{x}_3{x}_4=y_2\\ x_4+x_1{x}_4+x_3{x}_4+x_1{x}_3{x}_4=y_3\\ x_2{x}_4+x_1{x}_2{x}_4+x_2{x}_3{x}_4+x_1{x}_2{x}_3{x}_4=y_4\end{array}\right.$

把∏作为公钥，把M，L₁，L₂作为私钥。

2.加密：设需要加密的明文比特为：1011010011…

把明文比特按n分组，这里n取4，明文分组为：(1，0，1，1)，(0，1，0，0)，…把(x₁，x₂，x₃，x₄)＝(1，0，1，1)代入方程组∏计算出(y₁，y₂，y₃，y₄)＝(1，1，0，0)，于是明文分组1011加密后的密文就是1100，以此类推对所有明文分组进行加密。

3.解密：设需要解密的密文是1100，首先求出L₁ ^-1(1，1，0，0)＝(1，0，0，0)，然后把(y₁，y₂，y₃，y₄)＝(1，0，0，0)带入方程组M的右边，即

$M=\left\{\begin{array}{c}{x}_2{x}_4=1\\ x_3{x}_4=0\\ x_1{x}_3{x}_4=0\\ x_1{x}_2{x}_3{x}_4=0\end{array}\right.$

由x₂x₄＝1知x₂≠0，x₄≠0，把等于0的方程中的x₂，x₄直接消去，于是把M转化为两个方程组

M⁽¹⁾＝{x₂x₄＝1 $M^{\left(2\right)}=\left\{\begin{array}{c}{x}_3=0\\ x_1{x}_3=0\\ x_1{x}_3=0\end{array}\right.$

解M⁽¹⁾得x₂＝1，x₄＝1，解M⁽²⁾得x₁＝0，x₂＝0或x₁＝1，x₂＝0

于是得到方程组M的两个解(0，1，0，1)，(1，1，0，1)，再用L₂ ^-1作用与这两组解，就得到

L₂ ^-1(0，1，0，1)＝(1，0，1，1)，L₂ ^-1(1，1，0，1)＝(0，0，1，1)

在实际应用当中可以利用明文中的语义信息或者添加冗余的办法将不是明文的解0011排除掉，于是回复出了明文1011。

由于上述例子当中最后得到的方程组M⁽¹⁾只有一个方程，没能演示本发明设计的求解有限域上的多元单项式方程组的算法是如何进行的，下面单独给出本发明所设计的求解有限域上的多元单项式方程组算法的例子：

设方程组M是有限域GF(3)上的4元单项式方程组：

$M=\left\{\begin{array}{c}{x}_1{x}_2{x}_4=1\\ x_1{x}_2{x}_3=2\\ x_1{x}_3{x}_4=1\\ x_2{x}_3{x}_4=2\end{array}\right.$

根据本发明中设计的算法，解法如下：

S＝{x₁x₂x₄，x₁x₂x₃，x₁x₃x₄，x₂x₃x₄}，X＝{x₁，x₂，x₃，x₄}，

取x₁，x₁x₂x₄，则X＝{x₂，x₃，x₄}，S＝{x₁x₂x₃，x₁x₃x₄，x₂x₃x₄}，

由x₁x₂x₄＝1推出x₁＝x₂x₄，把x₁＝x₂x₄带入到S中的每一个单项式，得到S＝{x₃x₄，x₂x₃，x₂x₃x₄}。

取x₂，x₂x₃，则X＝{x₃，x₄}，S＝{x₃x₄，x₂x₃x₄}，

由x₂x₃＝1推出x₂＝x₃，把x₂＝x₃带入到S中的每一个单项式，得到S＝{x₃x₄，x₄}。

取x₃，x₃x₄，则X＝{x₄}，S＝{x₄}。

由x₃x₄＝2推出x₃＝2x₄，带入中的每一个单项式，得到S＝{x₄}。

取x₄，x₄，则

$\stackrel{\‾}{S}=\{x_1{x}_2{x}_4,x_2{x}_3,x_3{x}_4,x_4\}.$

于是就得到了与原方程组等价的方程组：

$M^{\′}=\left\{\begin{array}{c}{x}_1{x}_2{x}_4=1\\ x_2{x}_3=1\\ x_3{x}_4=2\\ x_4=2\end{array}\right.$

由最后一个方程解出x₄＝2，带入前面的方程，得到x₃＝1，再把x₄＝2，x₃＝1代入前面的方程，解得x₂＝1，再把x₄＝2，x₃＝1，x₂＝1代入前面的方程，解得x₁＝2。于是原方程的解为(2，1，1，2)。

Claims (8)

1.一种基于求解有限域上多变量非线性多项式方程组的困难问题而设计的公钥密码算法，其特征在于：直接在基域k上构造公钥和私钥，加密和解密运算全部在基域上完成，所构造出的公钥方程组中多项式的次数可超过二次。

2.权利要求1中所述的在基域上构造公钥和私钥的方法，其特征在于：从所有有限域k上的n元单项式中随机选取n个，记为m₁(x₁，x₂，…，x_n)，m₂(x₁，x₂，…，x_n)，…，m_n(x₁，x₂，…，x_n)，并构造多元单项式方程组

$M=\left\{\begin{array}{c}{m}_1(x_1,x_2,...,x_n)=y_1\\ m_2(x_1,x_2,...,x_n)=y_2\\ ...\\ m_n(x_1,x_2,...,x_n)=y_n\end{array}\right.$

和函数F(x₁，x₂，…，x_n)＝(m₁(x₁，x₂，…，x_n)，m₂(x₁，x₂，…，x_n)，…，m_n(x₁，x₂，…，x_n))，再用kⁿ上的两个可逆仿射变换L₁，L₂将函数F混淆成G＝(x₁，x₂，…，x_n)＝(g₁(x₁，x₂，…，x_n)，g₂(x₁，x₂，…，x_n)，…，g_n(x₁，x₂，…，x_n))，这里G＝L₁оFоL₂，g_i(x₁，x₂，…，x_n)为高次多元多项式方程，其次数与m_i(x₁，x₂，…，x_n)的次数相同；于是得到方程组

$\mathrm{\Π}=\left\{\begin{array}{c}{g}_1(x_1,x_2,...,x_n)=y_1\\ g_2(x_1,x_2,...,x_n)=y_2\\ ...\\ g_n(x_1,x_2,...,x_n)=y_n\end{array}\right..$

将∏或者G作为公钥，L₁，L₂，M作谓私钥。

3.权利要求1中所述的在基域上进行加密的运算，其特征在于：将明文序列按变元个数分组，并把每一组明文，记为x₁，x₂，…，x_n直接带入权利要求2中所构造的公钥∏中或者G中，得到密文y₁，y₂，…，y_n。

4.权利要求1中所述在基域上进行解密的运算，其特征在于：将密文分组(y₁，y₂，…，y_n)用权利要求2中所述的可逆仿射变换L₂的逆变换L₂ ^-1作用，得到(y₁′，y₂′，…y_n′)＝L₁ ^-1(y₁，y₂，…y_n)，将y₁′，y₂′，…y_n′带入权利要求2中所述的私钥方程组M的右边，解出x₁′，x₂′，…x_n′，再用权利要求2中所述的可逆仿射变换L₁的逆变换L₁ ^-1作用得到(x₁，x₂，…x_n)＝L₂ ^-1(x₁′，x₂′，…x_n′)，则x₁，x₂，…x_n就是解密出的明文分组。

5.权利要求4中所述解密运算中求解有限域k上的n元单项式方程组M的算法，其特征在于：把M转化为两个维数更低的方程组M⁽¹⁾和M⁽²⁾，其中M⁽¹⁾右边全不是零，M⁽²⁾右边全是零，然后分别求解。

6.权利要求5中所述将把M转化为两个维数更低的方程组M⁽¹⁾和M⁽²⁾的方法，其特征在于：首先把出现在不为零的单项式中的变量做一个集合A，再在所有为零的单项式中把出现在集合A中的变量直接消去，最后所有右边不是零的方程组成M⁽¹⁾，所有右边是零的方程组成M⁽²⁾。

7.权利要求5中所述的对右边全不是零的多变量单项式方程组M⁽¹⁾的解法，其特征在于：把方程组M⁽¹⁾规约为等价方程组

按照自变量的一定顺序，比如x₁＞x₂＞…＞x_n，

中的每一个方程中出现自变量的最大下标严格小于前一个方程，其规约方法是：每次选取一个需要消去的自变量

在原方程组中选取一个含有

并且所含自变量个数最少的方程

把

从原方程组中删去，并添加到新的方程组中去，然后在

中把看作未知的，其余变量看作已知的，把

用其余变量表示为

dt≡1mod(q-1)，把

代入到原方程组的每一个方程中消去

如此循环进行下，最后得到等价的新的方程组。

8.一种基于以上公钥密码算法所设计数字签名方案，其特征在于：对需要签名的消息进行上述解密运算，得到的“明文”就是对该消息的签名，验证过程只需对签名进行上述加密运算，把得到的“密文”与消息比对，如果相同则确认这个签名。