CN102164032A - 抗量子攻击的非确定的公钥密码构造方法 - Google Patents

Abstract

抗量子攻击的非确定的公钥密码构造方法，属于信息安全、密码技术、计算机技术领域，是信息安全的核心技术。本发明对传统确定的公钥密码技术进行了扩展，引入了非确定公钥密码的概念，并给出了具体的实现方案N-HFMS。以本发明所给出的方法、方案、技术为基础，可实现各种具体的信息安全应用，比如数据加/解密、密钥约定、数字签名、安全协议、认证中心(CA)、公钥基础设施(PKI)等。此外，由于N-HFMS公钥密码方案是基于NP完全问题来构造的，因而具有抵抗量子攻击的潜力。

Description

抗量子攻击的非确定的公钥密码构造方法

一、技术领域

公开密钥加密方法(简称公钥加密方法或公钥加密方案)属于密码技术和计算机技术领域，是信息安全和可信计算的核心技术之一。

二、背景技术

近年来，由于量子信息尤其是量子计算研究的迅速发展，现代密码学(相对于量子密码学亦称为经典密码学)的安全性受到了严重的挑战。如果量子计算机成为现实，则它能以多项式时间攻击所有能够转换为广义离散傅里叶变换的公钥密码，如RSA、DH、ECC等。量子时代我们用什么(公钥)密码？这是摆在我们面前的一个十分紧迫的任务，国际上关于抗量子计算的密码的研究最近几年非常热，已经召开了两次后量子密码(Post-Quantum Cryptography)国际会议。后量子密码研究的主要目标是研究对于量子攻击免疫的密码，即抗量子计算的密码。

经典密码学的安全性是建立在数学复杂度的基础之上，而量子密码学的安全性则建立在量子力学中量子态的不可克隆、测不准等物理原理之上。虽然量子计算机能破解许多经典密码，但并不是说它能攻破所有的经典密码，比如密码学家普遍认为量子计算机是无法破解NP完全问题的。目前针对抗量子计算的公钥密码研究主要集中在三个方面：一是基于量子的密码、二是基于DNA的密码、第三类就是基于量子计算机不擅长计算的哪些数学问题所构建的密码。第三类密码仍属于经典密码学的范畴，只不过所基于的数学问题与传统公钥密码不同而已。目前主要有如下几个研究方向：

(1)基于MQ(Multivariate Quadratic)问题的公钥密码

(2)基于格的公钥密码

(3)基于编码理论的公钥密码

(4)基于Merkle认证树的公钥密码

(5)基于辨群的公钥密码

其中基于MQ的公钥密码(MPKC)由于对计算能力要求不高并且具有较高的加密效率而成为研究的热点。从上世纪80年代开始，经过了二十余年的研究，目前已经提出了许多MPKC方案。但这些方案目前来看均谈不上成熟，而且多数都由国外申请了专利，因此研究我们自己的抗量子计算的公钥密码至关重要，本发明正是对该方面的一个突破。

本发明首先引入了“非确定的公钥密码(Nondeterministic PKC)”的概念，简记为NPKC。NPKC与现有确定的PKC(简记为DPKC)的区别在于，DPKC可为由其生成的每一对(公钥，私钥)明确指定一个明文空间P_S，且P_S中任一明文经公钥加密后均能由对应的私钥解密。但NPKC则无法为其所生成的(公钥，私钥)明确指定这样的明文空间，而只能指定一个超明文空间P_S，但不确保P_S中的明文经公钥加密后均能由对应的私钥解密。按上述定义，目前所提出的用于加密的公钥密码方案均为确定的公钥密码方案，因此本发明所提出的非确定的公钥加密方案属于对公钥密码技术的创新。

由于NPKC不能保证100％解密，所以人们更关心的是其解密成功率。设NPKC为其生成的(公钥，私钥)＝(PK，SK)所指定的明文空间为P_S，令P_S中经PK加密后能被SK解密的明文所构成的集合为

则NPKC关于(PK，SK)的解密成功率为：

特别的，当Δ(PK，SK)＝1时，对于(PK，SK)而言，NPKC则上升为DPKC。

鉴于公钥密码通常并不直接用于对消息加密，而是用于约定会话密钥，所以当解密成功率足够大时(比如＞50％)，NPKC仍具有实用价值。此外，由于私钥的拥有者都不能确保解密，那么不知道私钥的人想要解密就更加困难。从这个意义上说，NPKC可望获得比DPKC更高的安全强度。

为了实现NPKC，本发明首先给出了有限域上BMQ问题的定义，并证明了BMQ问题是NP完全的。然后基于BMQ问题提出了一种具体的NPKC实现方案N-HFMS。为了对N-HFMS的解密成功率进行分析，又对Euler函数

的定义进行了扩展，引入了“扩展的Euler函数”，即ζ(x)函数。并证明了若干关于ζ(x)的定理，以及ζ(x)的求值公式。最后利用ζ(x)对N-HFMS的解密成功率进行了精确的估量，并在理论上证明了N-HFMS的可行性。

由于本发明所涉及的主要背景知识和专业术语大多由发明人首次提出，并且尚未公开发表，故下面用较大的篇幅对本发明所涉及的主要术语、理论、背景知识进行介绍。

2.1基本符号、术语、定理

定义1.

记A的特征多项式为P_A(x)＝|xI-A|。

定义2.记F_q[A]＝{p(A)|p(x)∈F_q[x]}。

定义3.

记V_S(T)＝{a₁T₁+…+a_kT_k|a_i∈F_q}，称V_S(T)为矩阵集合T所生成的矩阵空间。

定义4.

定义

并记

的秩为

定义5.

定义S的秩为

的秩，并记之为Rank(S)。

定义6. $A\⊆F_q^{n\×m},B\⊆F_q^{m\×k},$ 记

定义7. $x\∈F_q^n,y\∈F_q^m,$ 记 $x\⊗y=(x_1{y}_1,...,x_1{y}_m,...,x_n{y}_1,...,x_n{y}_m)\∈F_q^{n\·m}.$

Cayley-Hamilton定理.

则PA(A)＝0。

定理1.

则F_q[A]＝V_S({A⁰，…，A^n-1})。

定理2.则

当且仅当存在λ∈F_q\{0}，使(a＝λc)^(b＝λ^-1d)。

2.2遍历矩阵及其性质

定义8.

任取

若

恰好取遍则称A为F_q上的遍历矩阵(Ergodic Matrix)。

定理3.

则下列命题等价：

1)A为遍历矩阵。

2)任取

则恰好取遍

3)任取

则

恰好取遍

4)A^T为遍历矩阵。

5)A的周期＝(qⁿ-1)。

6)P_A(x)为F_q[x]中的n次本原多项式。

定理4.

为遍历矩阵，则

且(F_q[A]，+，×)恰好做成有限域GF(qⁿ)。

定义9.

为遍历矩阵，若F_q[A]＝F_q[B]，则称A和B等价。

易证，若

为遍历矩阵，则中恰有

个与之等价的遍历矩阵，且它们均落在F_q[A]中。

定义10.记

中遍历矩阵的数量为N_EM(F_q，n)，若对等价的遍历矩阵不加区分，则记中互不等价之遍历矩阵的数量为N_DEM(F_q，n)。

定理5(遍历矩阵的计数定理).

2) $N_{\mathrm{DEM}}(F_q,n)=\frac{(q^n-q)\·(q^n-q^2)\·...\·(q^n-q^{n-1})}{n}$

2.3

中非奇异矩阵所占比例

令

中非奇异矩阵所占的比例为Δ_n(F_q)，则有：

${\mathrm{\Δ}}_n\left(F_q\right)=\frac{\left|{\mathrm{GL}}_n\left(F_q\right)\right|}{q^{n^2}}=\frac{(q^n-1)\·(q^n-q)\·...\·(q^n-q^{n-1})}{q^{n^2}}$

$=\frac{(q-1)\·(q^2-1)\·...\·(q^n-1)}{q\·q^2\·...\·q^n}\⇒{\mathrm{\Δ}}_{n+1}\left(F_q\right)={\mathrm{\Δ}}_n\left(F_q\right)\·\frac{(q^{n+1}-1)}{q^{n+1}}$

可知Δ_n(F_q)随n的增加严格递减，且当q较大时，

随n的增加快速趋近于1，因此Δ_n(F_q)的递减速度亦随n的增加快速趋近于0。表1给出了Δ_n(F_q)随(q，n)的变化情况：

表1

由表1可知，当n确定后，Δ_n(F_q)随q递增。且当q≥128时，可保证Δ_n(F_q)＞99％。

2.4MPKC

MPKC即“基于多变元的公钥密码(Multivariate-based PKCs)”，其安全性是基于有限域上多变元d次方程组求解问题。当d≥2时，该问题已被证明是NP完全的。而当d＝2时，该问题即为MQ问题。密码学界普遍认为量子计算机是无法攻破NP完全问题的，所以MPKC作为传统公钥密码(RSA、ECC、ElGmal等)的一个可能的替代者引起了人们极大的兴趣。自Matsumoto & Imai首次提出C^*方案以来，经过了二十余年的研究，目前已提出许多比较知名的MPKC方案，为了减少公钥的尺寸，所提出的方案均是基于MQ问题来构造的，并且都是确定的。各MPKC方案的区别主要体现在中心映射φ(x)的构造方式上，本发明所提出的公钥密码方案N-HFMS从分类上亦属于MPKC，因此N-HFMS亦具有抵抗量子攻击的潜力。另外，不同于已有的MPKC方案，N-HFMS是非确定的。

2.5BMQ问题

所谓BMQ问题，即有限域上二等分多变元二次方程组(Bisectional Multivariate Quadraticeuqations)求解问题，其定义如下：

BMQ问题.E为F_q上有m个方程、2n个变元的方程组，其每个方程的形式如下：

$\underset{i=1}{\overset{n}{\mathrm{\Σ}}}\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_{\mathrm{ij}}{x}_i{y}_j=\mathrm{\β}$ (α_ij，β∈F_q为确定值)

要求E的解x＝(x₁，…，x_n)， $y=(y_1,...,y_n)\∈F_q^n.$

显然，BMQ问题是MQ问题的一个特例，不同在于BMQ方程的变元被分成了数量相同的两组，且每个方程中仅含二次式，每个二次式又是这两组变元各选其一的乘积。而一般MQ方程中除了二次式，还有一次式。此外，F_q上的MQ方程组可能有唯一的非零解。但当q＞2时，若(x，y)≠(0，0)是BMQ方程组E的一个非零解，则对，(λx，λ-1y)也必是E的解。称(x，y)与(λx，λ^-1y)等价，因此当E有非零解时，可推出E至少有(q-1)个相互等价的解。此外，亦能证明BMQ问题也是NP完全的，即有：

定理6.F_q上的BMQ问题是NP完全的。

2.6HFMS方案

所谓HFMS，即“隐藏域上矩阵集合的公钥密码(Hidden Field Matrix-Set PKC)”。它是基于有限域上BMQ问题的困难性、以及矩阵代数和向量空间理论所构造的一种公钥密码。基于不同的约束条件，HFMS又可分为确定(D-HFMS)和非确定(N-HFMS)两种。

2.6.1D-HFMS

D-HFMS需要满足如下约束条件的矩阵集合(A，B，C)：

① $A=\{A_1,...,A_n\}\⋐F_q^{2\×n}$ 线性无关(Rank(A)＝n)

② $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

③Rank(A·B)＝2n

设矩阵集合(A，B，C)满足上述约束条件，任取a∈V_S(A)\{0}、b∈V_S(B)\{0}，则存在唯一的x，

使

称x和y分别为“a关于A”以及“b关于B”的“坐标”。令t＝ab，则由可联立出F_q上的BMQ方程组：

E(A，B，t)： $[\stackrel{\‾}{A_1{B}_1}...\stackrel{\‾}{A_1{B}_n}...\stackrel{\‾}{A_n{B}_1}...\stackrel{\‾}{A_n{B}_n}]\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]=\stackrel{\→}{t}=\left[\begin{array}{c}t\left[\mathrm{1,1}\right]\\ .\\ .\\ .\\ t[1,n]\\ t\left[\mathrm{2,1}\right]\\ .\\ .\\ .\\ t[2,n]\end{array}\right]$

记

则由Rank(A·B)＝2n知

即E(A，B，t)中方程与变元的数量相同。让(x，y)遍取

并代入E(A，B，t)，则所得到的t必遍取(V_S(A)·V_S(B))\{0}。反之，让t遍取(V_S(A)·V_S(B))\{0}，则E(A，B，t)的解(x，y)亦遍取

由于方程与变元的数量相同，所以直接求解E(A，B，t)是困难的，但在(A，B，C)已知的情况下，求解E(A，B，t)却是容易的，解法如下：

①令 $t=\mathrm{ab}=\left(\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i{A}_i\right)\left(\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j\right),$ 由 $t\≠0\⇒b\∈V_S\left(B\right)\backslash \left\{0\right\}\⇒b$ 非奇异

②令

由a＝tb^-1可联立方程组E(A，C，t)：

③解出E(A，C，t)的一组非零解(注：虽然(x，z)＝(0，0)是E(A，C，t)的解，但由

故只考虑E(A，C，t)的非零解)

④计算

再对b^-1用高斯消元法求逆得b

⑤计算b关于B的坐标 $y\∈F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j$

⑥(x，y)即为E(A，B，t)的一个解，反复调用③～⑤可求出E(A，B，t)的全部解。若E(A，C，t)恰有(q-1)组非零解，则由(x，y)可快速求出E(A，B，t)的全部解：

{(λx，λ^-1y)|λ∈F_q\{0}}

可利用未知(A，B，C)时求解E(A，B，t)的困难性，以及已知(A，B，C)时求解E(A，B，t)的容易性来构造陷门，并实现D-HFMS方案如下：

①随机选择满足约束条件的矩阵集合(A，B，C)

②由(A，B)生成中心映射(BMQ方程组)：

$\mathrm{\φ}=\left[\begin{array}{c}{\mathrm{\φ}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\φ}}_{2n}(x,y)\end{array}\right]=[\stackrel{\‾}{A_1{B}_1}...\stackrel{\‾}{A_1{B}_n}...\stackrel{\‾}{A_n{B}_1}...\stackrel{\‾}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

③对φ做仿射或线性变换：ρ＝TоφоS

④以(F_q，ρ)为公钥，(A，B，C，T，S)为私钥

D-HFMS是确定的，因为可对其中心映射φ(x，y)明确指定明文空间

且任一明文(x，y)∈P_S经

加密后均可由对应的私钥解密。

2.6.2N-HFMS

不难发现，D-HFMS的陷门是基于任意矩阵b∈V_S(B)\{0}皆非奇异并且b^-1∈V_S(C)\{0}来实现的，如此可将求解BMQ方程组E(A，B，t)归约为求解2n元一次方程组E(A，C，t)，而后者为简单问题。基于此，我们可将N-HFMS的约束条件进一步弱化为：

① $A=\{A_1,...,A_n\}\⋐F_q^{2\×n}$ 线性无关

② $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

③Rank(A·B)＝2n

N-HFMS的约束条件②不再要求V_S(B)\{0}中的矩阵皆非奇异，而仅要求V_S(B)\{0}中的非奇异矩阵的逆皆在V_S(C)\{0}中。设(A，B，C)满足上述约束条件，则可通过与D-HFMS类似的方法实现N-HFMS方案。任取t＝ab∈(V_S(A)·V_S(B))\{0}，若b∈GL_n(F_q)，则E(A，B，t)仍可通过E(A，C，t)来求解。反之，若

则无法由E(A，C，t)来求解E(A，B，t)。设基于(A，B，C)所实现的N-HFMS实例为N-HFMS(A，B，C)，并令：

则S_B由B唯一确定，且

。当S_B＝{0}时，则N-HFMS(A，B，C)关于明文空间

是确定的。当

时，尽管在理论上可为N-HFMS(A，B，C)指定明文空间

但Shallit等人已经证明了由B求S_B是NP完全问题。退一步说，即使由B可求出S_B，但由于B为私钥，所以只有私钥的拥有者才能确定S_B，对于局外人而言，只能为N-HFMS(A，B，C)指定超明文空间因此当

时，N-HFMS(A，B，C)的中心映射φ(x，y)关于明文空间

是非确定的。

2.7ζ函数

定义11.m(x)∈F_q[x]\{0}，记并称之为F_q[x]在模m(x)下的“完全剩余系”。

定义12.m(x)∈F_q[x]\{0}，记中与m(x)互素之多项式所构成的集合为

并称之为F_q[x]在模m(x)下的“简化剩余系”。

定义13.m(x)∈F_q[x]\{0}，记

中与m(x)互素之多项式的个数为ζ(m(x))，即：

由定义可知ζ(x)实际上是Euler函数

(x)在F_q[x]上的扩展，故称ζ为“扩展的Euler函数”。与关于

(x)的相关定理的证明方法类似，易证关于ζ(x)的下列定理，

定理7(扩展的Fermat-Euler定理).m(x)∈F_q[x]\F_q，若f(x)∈F_q[x]与m(x)互素，则有：

f(x)^ζ(m(x))≡1(mod m(x))

定理8(扩展的中国剩余定理).m₁(x)，…，m_k(x)∈F_q[x]\F_q两两互素，对于任意取定的 $a_i\left(x\right)\∈\frac{F_q\left[x\right]}{m_i\left(x\right)}(i=1,...,k),$ 同余方程组：

$\left\{\begin{array}{c}f\left(x\right)\≡a_1\left(x\right)\left(\mathrm{mod}{m}_1\left(x\right)\right)\\ .\\ .\\ .\\ f\left(x\right)\≡a_k\left(x\right)\left(\mathrm{mod}{m}_k\left(x\right)\right)\end{array}\right.---\left(I\right)$

在模 $m\left(x\right)=\underset{i=1}{\overset{k}{\mathrm{\Π}}}{m}_i\left(x\right)$ 下有唯一解 $f\left(x\right)\∈\frac{F_q\left[x\right]}{m\left(x\right)}.$

定理9(扩展的遍历定理).m₁(x)，…，m_k(x)∈F_q[x]\F_q两两互素，令

则：

1)让(a₁(x)，a₂(x)，…，a_k(x))取遍则同余方程组(I)的解f(x)恰好取遍

2)让(a₁(x)，a₂(x)，…，a_k(x))取遍

则同余方程组(I)的解f(x)恰好取遍

由定理9立得，

定理10.若m₁(x)，…，m_k(x)∈F_q[x]\F_q两两互素，则

定理11.

p₁(x)，p₂(x)，…，p_k(x)为互不相同的不可约多项式(相差λ∈F_q\{0}倍的两个多项式p(x)和λ·p(x)视为相同)，则：

$\mathrm{\ζ}\left(f\left(x\right)\right)=q^{\mathrm{deg}\left(f\left(x\right)\right)}\·\left(\frac{q^{\mathrm{deg}\left(p_1\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_1\left(x\right)\right)}}\right)\·\left(\frac{q^{\mathrm{deg}\left(p_2\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_2\left(x\right)\right)}}\right)\·...\·\left(\frac{q^{\mathrm{deg}\left(p_k\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_k\left(x\right)\right)}}\right)$

证明：任取不可约多项式p(x)∈F_q[x]和β≥1，则与p(x)^β互素当且仅当p(x)不整除f(x)。而

中能被p(x)整除的多项式恰为q^{(β-1)·deg(p(x))}个，由此推出：

$\mathrm{\ζ}\left(p{\left(x\right)}^{\mathrm{\β}}\right)=q^{\mathrm{\β}\·\mathrm{deg}\left(p\left(x\right)\right)}-q^{(\mathrm{\β}-1)\·\mathrm{deg}\left(p\left(x\right)\right)}=q^{\mathrm{deg}\left(p{\left(x\right)}^{\mathrm{\β}}\right)}\·\left(\frac{q^{\mathrm{deg}\left(p\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p\left(x\right)\right)}}\right)$

由定理10，立得： $\mathrm{\ζ}\left(f\left(x\right)\right)=q^{\mathrm{deg}\left(f\left(x\right)\right)}\·\left(\frac{q^{\mathrm{deg}\left(p_1\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_1\left(x\right)\right)}}\right)\·\left(\frac{q^{\mathrm{deg}\left(p_2\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_2\left(x\right)\right)}}\right)\·...\·\left(\frac{q^{\mathrm{deg}\left(p_k\left(x\right)\right)}-1}{q^{\mathrm{deg}\left(p_k\left(x\right)\right)}}\right),$ 定理证毕。

2.8F_q[M]中非奇异矩阵的计数

定义14.

记R_M＝Rank({M⁰，…，M^n-1})，并记U_M＝F_q[M]中非奇异矩阵的数量。

由定义，对于

F_q[M]做成n²维矩阵空间

的R_M维子空间，且

做成F_q[M]关于F_q的一组基。

定理12.

若R_M＝n，则U_M＝ζ(P_A(x))。

证明：易知

由R_M＝n，让r(x)取遍

则r(M)恰好取遍F_q[M]。任取

若gcd(r(x)，P_M(x))＝d(x)≠1，则必有f(x)，

使：

$\⇒r\left(x\right)\·g\left(x\right)=P_M\left(x\right)\·f\left(x\right)$

$\⇒r\left(M\right)\·g\left(M\right)=P_M\left(M\right)\·f\left(M\right)=0$

若r(M)非奇异，则g(M)＝0，此不可能，所以r(M)必奇异。反之，若gcd(r(x))，P_M(x))＝1，则存在f(x)，g(x)∈F_q[x]，使

非奇异。因此对任意的

r(M)非奇异当且仅当gcd(r(x)，P_M(x))＝1，定理证毕。

定理12仅适用于R_M＝n的情形。为了适用于所有情形，特对其扩展如下：

定义15.

定义R_M次首1多项式：

${\mathrm{\ρ}}_M\left(x\right)=x^{R_M}+a_{R_M-1}{x}^{R_M-1}+...+a_{1}x+a_0\∈F_q\left[x\right]$

且ρ_M(x)满足ρ_M(M)＝0。

又可由

唯一线性表示，所以ρ_M(x)由M唯一确定。且当R_M＝n时，有ρ_M(x)＝P_M(x)，因此可将ρ_M(x)看成是P_M(x)的扩展。易证下面定理：

定理13.

则ρ_M(x)|P_M(x)。

定理14.

则R_M|n。

由定理12的证明，立得：

定理15.则U_M＝ζ(ρ_M(x))。

至此，我们利用ζ函数完美地解决了F_q[M]中非奇异矩阵的计数问题。由定理15，立得，

定理16.

则(F_q[M]，+，×)做成

元有限域

当且仅当ρ_M(x)在F_q[x]中不可约。

定理17.

且R_M＝n，则F_q[M]\{0}中元素皆非奇异当且仅当P_M(x)在F_q[x]中不可约；亦当且仅当存在遍历矩阵

使F_q[M]＝F_q[E]。

设

且R_M＝n，则U_M的取值下界是我们所关注的，下面对此进行分析。

定义16.设F_q[x]中n次不可约多项式的个数为I_q(n)，d∈□⁺为正整数，定义δ_q(d)为自然数的序列δ_q(d)＝(d₁，…，d_k，r)，其中(d₁，…，d_k，r)满足d＝d₁+2d₂+…+k·d_k+r，并按如下算法确定：

由于

由(q，n)唯一确定(其中μ(x)为

函数)，所以δ_q(d)亦由(q，d)唯一确定。例如，已知(I₂(1)，I₂(2)，I₂(3)，…)＝(2，1，2，…)，则有：

δ₂(1)＝(1，0)          δ₂(2)＝(2，0)       δ₂(3)＝(2，1)

δ₂(4)＝(2，1，0)       δ₂(5)＝(2，1，1)    δ₂(6)＝(2，1，2)

δ₂(7)＝(2，1，1，0)    δ₂(8)＝(2，1，1，1)…

定理18.f(x)∈F_q[x]\F_q，d＝deg(f(x))，且δ_q(d)＝(d₁，…，d_k，r)，则：

$\mathrm{\ζ}\left(f\left(x\right)\right)\≥q^r\·\underset{j=1}{\overset{k}{\mathrm{\Π}}}{(q^j-1)}^{d_j}$

证明：设

p₁(x)…p_k(x)为互不相同的不可约多项式。任取p_j(x)∈{p₁(x)，…，p_k(x))，若存在不可约多项式

使得deg(p(x))＜deg(p_j(x))，则可构造d次式

其中r(x)为任意(deg(p_j(x))-deg(p(x)))次不可约多项式。由ζ的求值公式(定理11)以及q≥2，可知有ζ(f(x))＞ζ(f(x)′)。由此推出使ζ(f(x))取最小值的d次多项式f(x)∈F_q[x]必满足：“若f(x)有k＞1次的不可约因式，则F_q[x]中所有＜k次的不可约多项式皆为f(x)的因式”。易证满足该条件的d次多项式都取相同的ζ值。令δ_q(d)＝(d₁，…，d_k，r)，并构造d次多项式f(x)′为d₁个1次不可约多项式、d₂个2次不可约多项式、…、d_k个k次不可约多项式、以及任意一个r次式r(x)的乘积。由δ_q(d)的定义，可知r(x)的所有不可约因式均落在前面(d₁+…+d_k)个次≤k的不可约多项式之中，所以f(x)′满足上述条件，即有：

$\mathrm{\ζ}\left(f\left(x\right)\right)\≥\mathrm{\ζ}\left(f{\left(x\right)}^{\′}\right)=q^r\·\underset{j=1}{\overset{k}{\mathrm{\Π}}}{(q^j-1)}^{d_j}$

由定理18，立得，

定理19.

δ_q(R_M)＝(d₁，…，d_k，r)，则

由定理19，当(q，n)确定后，对于满足R_M＝n的

恒有U_M≥U_min(q，n)，其中：

$U_{\min }(q,n)=q^r\·\underset{j=1}{\overset{k}{\mathrm{\Π}}}{(q^j-1)}^{d_j}({\mathrm{\δ}}_q\left(n\right)=(d_1,...,d_k,r))$

令

则对任意满足R_M＝n的矩阵

来说，F_q[M]\{0}中非奇异矩阵所占的比例恒≥Δ_min(q，n)，例如，选取(q，n)＝(2，13)，则有：

${\mathrm{\δ}}_2\left(13\right)=\left(\mathrm{2,1,2,3}\right)\⇒{\mathrm{\Δ}}_{\min }\left(\mathrm{2,13}\right)=\frac{2^3\·{(2-1)}^2\·{(2^2-1)\·(2^3-1)}^2}{(2^{13}-1)}\≈14.36\%$

而若选取(q，n)＝(7，13)，则有：

${\mathrm{\δ}}_7\left(13\right)=\left(\mathrm{7,3,0}\right)\⇒{\mathrm{\Δ}}_{\min }\left(\mathrm{7,13}\right)=\frac{{(7-1)}^7\·{(7^2-1)}^3}{(7^{13}-1)}\≈31.96\%$

特别的，当q≥n时，恒有：

${\mathrm{\δ}}_q\left(n\right)=(n,0)\⇒U_{\min }(q,n)={(q-1)}^n\⇒{\mathrm{\Δ}}_{\min }(q,n)=\frac{{(q-1)}^n}{(q^n-1)}>{\left(\frac{q-1}{q}\right)}^n$

由此得：

${\mathrm{\Δ}}_{\min }\left(\mathrm{64,50}\right)>{\left(\frac{63}{64}\right)}^{50}\≈45.5\%$

${\mathrm{\Δ}}_{\min }\left(\mathrm{256,50}\right)>{\left(\frac{255}{256}\right)}^{50}\≈82.2\%$

${\mathrm{\Δ}}_{\min }\left(\mathrm{65536,50}\right)>{\left(\frac{65535}{65536}\right)}^{50}\≈99.92\%$

这样我们便从理论上证明了，对于任意给定的Δ(0＜Δ＜1)，可通过选择适当的(q，n)来使Δ_min(q，n)≥Δ，此时对于满足R_M＝n的任意矩阵

F_q[M]\{0}中非奇异矩阵所占的比例恒≥Δ，而这一点对于保证本发明所给出方案N-HFMS的解密成功率至关重要。至此，本发明所涉及的背景技术和数学知识已交待完毕，下面是本发明的具体内容和实施方式。

三、发明内容

本发明所要解决的技术问题是给出一种非确定的、能满足给定解密成功率要求的、并具有抵抗量子攻击潜力的公钥密码方案。所给出的方案简记为N-HFMS，即“非确定的隐藏域上矩阵集合的公钥密码”的英文缩写，N-HFMS由密钥生成、加密、解密三个部分组成。在构造具体的N-HFMS实例时，需要指定所要求达到的解密成功率的下界Δ(0＜Δ＜1)，在Δ指定后，可对N-HFMS的各部分具体实现如下：

(I)密钥生成部分

密钥生成部分用来产生一对(公钥，私钥)＝(PK，SK)，其具体步骤如下：

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸。至于如何确定(F_q，n)则不作限制，但建议所确定的(F_q，n)尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_1,...,A_n\}\⋐F_q^{2\×n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(A·B)＝2n

③由(A，B)生成2n个关于变元x，

的BMQ多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\φ}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\φ}}_{2n}(x,y)\end{array}\right]=[\stackrel{\‾}{A_1{B}_1}...\stackrel{\‾}{A_1{B}_n}...\stackrel{\‾}{A_n{B}_1}...\stackrel{\‾}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

④任意选取线性变换S和T，并用S和T对φ做变换得到2n个关于变元

的MQ多项式：ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑤公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(II)加密部分

加密部分供消息发送方使用，用来对明文

进行加密，其具体步骤如下：

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文加密： $C_V=[{\mathrm{\ρ}}_1\left(V\right),...,{\mathrm{\ρ}}_{2n}\left(V\right)]\∈F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

解密部分供消息接收方使用，消息接收方以自己的私钥SK＝(A，B，C，S，T)对消息进行解密。设消息接收方收到的消息为(H，C_V，d_V)，则解密过程的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\→}{t}=T^{-1}\left(C_V\right)\∈F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\∈F_q^{2\×n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有非零解

置于集合Ω中，其中 $o=\left(\mathrm{0,0}\right)\∈F_q^n\×F_q^n$

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若x＝0或 $b^{\′}=\left(\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{z}_k{C}_k\right)\∉{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\∈F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\′}=S^{-1}(x,y)\∈F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

上述N-HFMS实现方案中的中心映射φ＝{φ₁(x，y)，…，φ_2n(x，y)}中的每个多项式均不含一次项，为了进一步增加中心映射的φ复杂度，可在矩阵集合A中再增加一个矩阵A₀，以使生成的中心映射φ含有y的一次项，调整后的N-HFMS各部分的具体实现方式如下：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸。至于如何确定(F_q，n)则不作限制，但建议所确定的(F_q，n)尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_0,A_1,...,A_n\}\⋐F_q^{2\×n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank({A₁，…，A_n}·B)＝2n

③由(A，B)生成2n个关于变元x，

的多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\φ}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\φ}}_{2n}(x,y)\end{array}\right]=[\stackrel{\‾}{A_1{B}_1}...\stackrel{\‾}{A_1{B}_n}...\stackrel{\‾}{A_n{B}_1}...\stackrel{\‾}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\‾}{A_0{B}_1}\end{array}...\stackrel{\‾}{A_0{B}_n}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

④任意选取仿射变换S和线性变换T，并用S和T对φ做变换得到2n个关于变元的MQ多项式：ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑤公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文V加密： $C_V=[{\mathrm{\ρ}}_1\left(V\right),...,{\mathrm{\ρ}}_{2n}\left(V\right)]\∈F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S，T)对消息进行解密的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\→}{t}=T^{-1}\left(C_V\right)\∈F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\∈F_q^{2\×n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若 $b^{\′}=\left(\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{z}_k{C}_k\right)\∉{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\∈F_q^n\backslash \left\{0\right\}$ ，使 $b=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\′}=S^{-1}(x,y)\∈F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

此外，将前面所给出的两种N-HFMS实现方案集合A中的矩阵行列数互换，又能派生出另外两种N-HFMS的实现方案，其中，由第一种N-HFMS方案可派生出如下N-HFMS方案：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸。至于如何确定(F_q，n)则不作限制，但建议所确定的(F_q，n)尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_1,...,A_n\}\⋐F_q^{n\×2}$ 线性无关

(2) $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(B·A)＝2n

③由(A，B)生成2n个关于变元x，

的BMQ多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\φ}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\φ}}_{2n}(x,y)\end{array}\right]=[\stackrel{\‾}{B_1{A}_1}...\stackrel{\‾}{B_n{A}_1}...\stackrel{\‾}{B_1{A}_n}...\stackrel{\‾}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

④任意选取线性变换S和T，并用S和T对φ做变换得到2n个关于变元的MQ多项式：ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑤公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文V

加密： $C_V=[{\mathrm{\ρ}}_1\left(V\right),...,{\mathrm{\ρ}}_{2n}\left(V\right)]\∈F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S，T)对消息进行解密的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\→}{t}=T^{-1}\left(C_V\right)\∈F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\∈F_q^{n\×2}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有非零解置于集合Ω中，其中 $o=\left(\mathrm{0,0}\right)\∈F_q^n\×F_q^n$

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若x＝0或 $b^{\′}=\left(\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{z}_k{C}_k\right)\∉{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\∈F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\′}=S^{-1}(x,y)\∈F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

同理，由第二种N-HFMS方案亦可派生出如下N-HFMS方案：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸。至于如何确定(F_q，n)则不作限制，但建议所确定的(F_q，n)尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{{A_0,A}_1,...,A_n\}\⋐F_q^{n\×2}$ 线性无关

(2) $B=\{B_1,...,B_n\}\⋐F_q^{n\×n}$ 线性无关、 $C=\{C_1,...,C_n\}\⋐F_q^{n\×n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(B·{A₁，…，A_n})＝2n

③由(A，B)生成2n个关于变元x，

的多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\φ}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\φ}}_{2n}(x,y)\end{array}\right]=[\stackrel{\‾}{B_1{A}_1}...\stackrel{\‾}{B_n{A}_1}...\stackrel{\‾}{B_1{A}_n}...\stackrel{\‾}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\‾}{B_1{A}_0}\end{array}...\stackrel{\‾}{B_n{A}_0}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

④任意选取仿射变换S和线性变换T，并用S和T对φ做变换得到2n个关于变元

的MQ多项式：ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑤公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文

加密： $C_V=[{\mathrm{\ρ}}_1\left(V\right),...,{\mathrm{\ρ}}_{2n}\left(V\right)]\∈F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S，T)对消息进行解密的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\→}{t}=T^{-1}\left(C_V\right)\∈F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\∈F_q^{n\×2}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解

置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若 $b^{\′}=\left(\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{z}_k{C}_k\right)\∉{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\∈F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\Σ}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\′}=S^{-1}(x,y)\∈F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

至此，我们共给出了4种具体的N-HFMS实现方案。能够看出，各N-HFMS方案得以实现的关键主要在“密钥生成部分”，“密钥生成部分”实现的关键又在于如何寻找满足其第②步约束条件的矩阵集合(A，B，C)，而(A，B，C)的寻找又以如何寻找满足条件的矩阵集合(B，C)为关键。实验表明，在找到满足条件的(B，C)后，可随机选择集合A，且这样得到的(A，B，C)在绝大多数情况下均满足N-HFMS密钥生成部分第②步的约束条件，因此各N-HFMS方案得以实现的关键便在于如何寻找满足条件的矩阵集合(B，C)，而且(B，C)的取值空间还要足够大。

除了上述4种N-HFMS实现方案，本发明的另一个主要内容便是给出了如何寻找满足条件的矩阵集合(B，C)的方法Find(B，C)，Find(B，C)是以矩阵代数、向量空间理论、以及本发明背景技术中所给出的理论为基础的，且其适用于前面所给出的每一种N-HFMS方案，Find(B，C)的具体步骤如下：

①随机选择满足R_M＝n的矩阵

②求出M的特征多项式P_M(x)

③对P_M(x)进行因式分解(可用Berlekamp算法)

④由P_M(x)的分解式计算出U_M＝ζ(P_M(x))

⑤若 $\frac{U_M}{(q^n-1)}<\mathrm{\&Delta;},$ 则转①

⑥任选F_q[M]关于F_q的一组基M_B＝{M₁，…，M_n}

⑦任选P，Q∈GL_n(F_q)，并计算：

$\left\{\begin{array}{c}B=P\&CenterDot;M_B\&CenterDot;Q=\{{\mathrm{PM}}_{1}Q,...,{\mathrm{PM}}_{n}Q\}\\ C=Q^{-1}\&CenterDot;M_B\&CenterDot;P^{-1}=\{Q^{-1}{M}_1{P}^{-1},...,Q^{-1}{M}_n{P}^{-1}\}\end{array}\right.$

⑧(B，C)即为所求

设矩阵集合(B，C)是按上述方法基于矩阵

所构造，则V_S(B)\{0}中非奇异矩阵所占的比例

若(q，n)满足Δ_n(F_q)≥Δ，则可用于构造(B，C)的

数量众多，特别的，若Δ_min(q，n)≥Δ，则满足R_M＝n的任意矩阵

均可用于构造(B，C)。因此对于给定的解密成功率下界Δ(0＜Δ＜1)，通过选择适当的(q，n)，可使满足N-HFMS密钥生成部分第②步约束条件的矩阵集合(A，B，C)有巨大的取值空间，从而确保本发明所给出的各N-HFMS方案都拥有巨大的密钥空间和良好的公钥随机性。

四、具体实施方式

4.1N-HFMS的实施方式之一

令所要求的解密成功率的下界为Δ(0＜Δ＜1)，则N-HFMS各部分的实现如下：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，且(F_q，n)满足Δ_n(F_q)≥Δ

②调用Find(B，C)，得到矩阵集合(B，C)

③随机选择矩阵集合且A满足Rank(A)＝n

④若Rank(A·B)≠2n，则转②

⑤由(A，B)生成2n个关于变元x，

的BMQ多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{A_1{B}_1}...\stackrel{\&OverBar;}{A_1{B}_n}...\stackrel{\&OverBar;}{A_n{B}_1}...\stackrel{\&OverBar;}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

⑥任意选取线性变换S和T：

$\left\{\begin{array}{c}S:\left[\begin{array}{c}x\\ y\end{array}\right]=\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]=S_{L}v,(x,y\&Element;F_q^n,S_L\&Element;{\mathrm{GL}}_{2n}\left(F_q\right),v\&Element;F_q^{2n})\\ T:\left[\begin{array}{c}{\mathrm{\&rho;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&rho;}}_{2n}(\&CenterDot;)\end{array}\right]=T_L\left[\begin{array}{c}{\mathrm{\&phi;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(\&CenterDot;)\end{array}\right],(T_L\&Element;\left({\mathrm{GL}}_{2n}\left(F_q\right)\right)\end{array}\right.$

⑦用S和T对φ做变换得不含一次式的MQ方程组：

⑧公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S_L，T_L)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文

加密： $C_V=[{\mathrm{\&rho;}}_1\left(V\right),...,{\mathrm{\&rho;}}_{2n}\left(V\right)]\&Element;F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S_L，T_L)对消息进行解密的步骤如下：

①计算 $\stackrel{\&RightArrow;}{t}=T_L^{-1}{C}_V\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解置于集合Ω中

④置Ω＝Ω\{o}(其中 $o=\left(\mathrm{0,0}\right)\&Element;F_q^n\&times;F_q^n$ )

⑤若Ω＝Φ，则算法结束，并返回“解密失败”

⑥任取E(A，C，t)的一组非零解(x，z)∈Ω

⑦置Ω＝Ω\{(λx，λz)|λ∈F_q\{0}}

⑧若x＝0或 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转⑤

⑨用高斯消元法对b′求逆得b＝(b′)^-1

⑩计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

Forλ∈F_q\{0}Do

(x′，y′)＝(λx，λ^-1y)；

$V^{\&prime;}=\left[\begin{array}{c}{v}_1^{\&prime;}\\ .\\ .\\ .\\ v_{2n}^{\&prime;}\end{array}\right]=S_L^{-1}\left[\begin{array}{c}{x}^{\&prime;}\\ y^{\&prime;}\end{array}\right]=S_L^{-1}\left[\begin{array}{c}{x}_1^{\&prime;}\\ .\\ .\\ .\\ x_n^{\&prime;}\\ y_1^{\&prime;}\\ .\\ .\\ .\\ y_n^{\&prime;}\end{array}\right];$

d′＝H(V′)；

若d′＝d_V，则转(13)；

EndFor

转⑤

解密成功，返回解密出的明文V＝V′，算法结束

4.2N-HFMS的实施方式之二

令所要求的解密成功率的下界为Δ(0＜Δ＜1)，则N-HFMS各部分的实现如下：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，且(F_q，n)满足Δ_n(F_q)≥Δ

②调用Find(B，C)，得到矩阵集合(B，C)

③随机选择矩阵集合且A满足Rank(A)＝n+1

④若Rank({A₁，…，A_n}·B)≠2n，则转②

⑤由(A，B)生成2n个关于变元x，

的多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{A_1{B}_1}...\stackrel{\&OverBar;}{A_1{B}_n}...\stackrel{\&OverBar;}{A_n{B}_1}...\stackrel{\&OverBar;}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\&OverBar;}{A_0{B}_1}\end{array}...\stackrel{\&OverBar;}{A_0{B}_n}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

⑥任意选取仿射变换S和线性变换T：

$\left\{\begin{array}{c}S:\left[\begin{array}{c}x\\ y\end{array}\right]=\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]=S_{L}v+S_C,(S_L\&Element;{\mathrm{GL}}_{2n}\left(F_q\right){,S}_C,v\&Element;F_q^{2n})\\ T:\left[\begin{array}{c}{\mathrm{\&rho;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&rho;}}_{2n}(\&CenterDot;)\end{array}\right]=T_L\left[\begin{array}{c}{\mathrm{\&phi;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(\&CenterDot;)\end{array}\right],(T_L\&Element;\left({\mathrm{GL}}_{2n}\left(F_q\right)\right)\end{array}\right.$

⑦用S和T对φ做变换得MQ方程组：

⑧公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S_L，S_C，T_L)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文

加密： $C_V=[{\mathrm{\&rho;}}_1\left(V\right),...,{\mathrm{\&rho;}}_{2n}\left(V\right)]\&Element;F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S_L，S_C，T_L)对消息进行解密的步骤如下：

①计算 $\stackrel{\&RightArrow;}{t}=T_L^{-1}{C}_V\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取E(A，C，t)的一组解(x，z)∈Ω

⑥置Ω＝Ω\{(x，z)}

⑦若 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑧用高斯消元法对b′求逆得b＝(b′)^-1

⑨计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑩计算： $V^{\&prime;}=\left[\begin{array}{c}{v}_1^{\&prime;}\\ .\\ .\\ .\\ v_{2n}^{\&prime;}\end{array}\right]=S_L^{-1}(\left[\begin{array}{c}x\\ y\end{array}\right]-S_C)=S_L^{-1}(\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]-S_C)$

置d′＝H(V′)；

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

4.3N-HFMS的实施方式之三

令所要求的解密成功率的下界为Δ(0＜Δ＜1)，则N-HFMS各部分的实现如下：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，且(F_q，n)满足Δ_n(F_q)≥Δ

②调用Find(B，C)，得到矩阵集合(B，C)

③随机选择矩阵集合

且A满足Rank(A)＝n

④若Rank(B·A)≠2n，则转②

⑤由(A，B)生成2n个关于变元x，

的BMQ多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{B_1{A}_1}...\stackrel{\&OverBar;}{B_n{A}_1}...\stackrel{\&OverBar;}{B_1{A}_n}...\stackrel{\&OverBar;}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

⑥任意选取线性变换S和T：

$\left\{\begin{array}{c}S:\left[\begin{array}{c}x\\ y\end{array}\right]=\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]=S_{L}v,(x,y\&Element;F_q^n,S_L\&Element;{\mathrm{GL}}_{2n}\left(F_q\right),v\&Element;F_q^{2n})\\ T:\left[\begin{array}{c}{\mathrm{\&rho;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&rho;}}_{2n}(\&CenterDot;)\end{array}\right]=T_L\left[\begin{array}{c}{\mathrm{\&phi;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(\&CenterDot;)\end{array}\right],(T_L\&Element;\left({\mathrm{GL}}_{2n}\left(F_q\right)\right)\end{array}\right.$

⑦用S和T对φ做变换得不含一次式的MQ方程组：

⑧公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S_L，T_L)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文加密： $C_V=[{\mathrm{\&rho;}}_1\left(V\right),...,{\mathrm{\&rho;}}_{2n}\left(V\right)]\&Element;F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S_L，T_L)对消息进行解密的步骤如下：

①计算 $\stackrel{\&RightArrow;}{t}=T_L^{-1}{C}_V\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{n\&times;2}\backslash \left\{0\right\}$

②由(A，C，t)联立方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解置于集合Ω中

④置Ω＝Ω\{o}(其中

)

⑤若Ω＝Φ，则算法结束，并返回“解密失败”

⑥任取E(A，C，t)的一组非零解(x，z)∈Ω

⑦置Ω＝Ω\{(λx，λz)|λ∈F_q\{0}}

⑧若x＝0或 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转⑤

⑨用高斯消元法对b′求逆得b＝(b′)^-1

⑩计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

Forλ∈F_q\{0}Do

(x′，y′)＝(λx，λ^-1y)；

$V^{\&prime;}=\left[\begin{array}{c}{v}_1^{\&prime;}\\ .\\ .\\ .\\ v_{2n}^{\&prime;}\end{array}\right]=S_L^{-1}\left[\begin{array}{c}{x}^{\&prime;}\\ y^{\&prime;}\end{array}\right]=S_L^{-1}\left[\begin{array}{c}{x}_1^{\&prime;}\\ .\\ .\\ .\\ x_n^{\&prime;}\\ y_1^{\&prime;}\\ .\\ .\\ .\\ y_n^{\&prime;}\end{array}\right];$

d′＝H(V′)；

若d′＝d_V，则转(13)；

EndFor

转⑤

解密成功，返回解密出的明文V＝V′，算法结束

4.4N-HFMS的实施方式之四

令所要求的解密成功率的下界为Δ(0＜Δ＜1)，则N-HFMS各部分的实现如下：

(I)密钥生成部分

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，且(F_q，n)满足Δ_n(F_q)≥Δ

②调用Find(B，C)，得到矩阵集合(B，C)

③随机选择矩阵集合

且A满足Rank(A)＝n+1

④若Rank(B·{A₁，…，A_n})≠2n，则转②

⑤由(A，B)生成2n个关于变元x，的多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{B_1{A}_1}...\stackrel{\&OverBar;}{B_n{A}_1}...\stackrel{\&OverBar;}{B_1{A}_n}...\stackrel{\&OverBar;}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\&OverBar;}{B_1{A}_0}\end{array}...\stackrel{\&OverBar;}{B_n{A}_0}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

⑥任意选取仿射变换S和线性变换T：

$\left\{\begin{array}{c}S:\left[\begin{array}{c}x\\ y\end{array}\right]=\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]=S_{L}v+S_C,(S_L\&Element;{\mathrm{GL}}_{2n}\left(F_q\right){,S}_C,v\&Element;F_q^{2n})\\ T:\left[\begin{array}{c}{\mathrm{\&rho;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&rho;}}_{2n}(\&CenterDot;)\end{array}\right]=T_L\left[\begin{array}{c}{\mathrm{\&phi;}}_1(\&CenterDot;)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(\&CenterDot;)\end{array}\right],(T_L\&Element;\left({\mathrm{GL}}_{2n}\left(F_q\right)\right)\end{array}\right.$

⑦用S和T对φ做变换得MQ方程组：

⑧公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S_L，S_C，T_L)

(II)加密部分

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文

加密： $C_V=[{\mathrm{\&rho;}}_1\left(V\right),...,{\mathrm{\&rho;}}_{2n}\left(V\right)]\&Element;F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

设消息接收方收到的消息为(H，C_V，d_V)，则其以自己的私钥SK＝(A，B，C，S_L，S_C，T_L)对消息进行解密的步骤如下：

①计算 $\stackrel{\&RightArrow;}{t}=T_L^{-1}{C}_V\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{n\&times;2}\backslash \left\{0\right\}$

②由(A，C，t)联立方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取E(A，C，t)的一组解(x，z)∈Ω

⑥置Ω＝Ω\{(x，z)}

⑦若 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑧用高斯消元法对b′求逆得b＝(b′)^-1

⑨计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑩计算： $V^{\&prime;}=\left[\begin{array}{c}{v}_1^{\&prime;}\\ .\\ .\\ .\\ v_{2n}^{\&prime;}\end{array}\right]=S_L^{-1}(\left[\begin{array}{c}x\\ y\end{array}\right]-S_C)=S_L^{-1}(\left[\begin{array}{c}{x}_1\\ .\\ .\\ .\\ x_n\\ y_1\\ .\\ .\\ .\\ y_n\end{array}\right]-S_C)$

置d′＝H(V′)；

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

4.5基于N-HFMS的其他实施方式

本发明所提出的N-HFMS公钥密码方案属于公钥密码的核心技术，以其为基础可实现各种具体的信息安全应用，比如消息的加密和解密、约定会话密钥、数字签名、安全协议等。具体应用时，首先为每个用户生成一对(公钥，私钥)，其中公钥公开，并用于加密；私钥只能私人拥有，用于解密。

由于N-HFMS是非确定的，所以通常不将之直接用于对消息的加/解密，而是用于消息发送方和接收方之间的密钥约定，然后双方再利用所约定的会话密钥，使用对称加/解密的方法进行保密通信。例如，可按下面步骤具体实施：

①设置解密成功率的下界Δ(0.5＜Δ＜1)

②以Δ为输入调用N-HFMS密钥生成部分生成消息接收方Bob的(公钥，私钥)

③消息发送方Alice随机生成会话密钥

并用Bob的公钥对(K₁，K₂)加密，然后将密文消息(C₁，C₂)发送给Bob

④由于Δ＞0.5，所以按概率Bob至少能解密(K₁，K₂)之一

⑤若Bob不能解密(K₁，K₂)中的任何一个，则转③

⑥Bob任选一个解密后的K_i(i∈{1，2})作为会话密钥，并将i返回给Alice

⑦Alice和Bob以K_i为密钥，并使用某种对称密码算法进行保密通信

上述应用只是N-HFMS众多可能的应用模式的一种，由于N-HFMS方案在技术上属于公钥密码核心技术(正如RSA、ECC、ElGmal等一样)，所以可以其为基础实现多种具体的安全应用，下面仅列出其最主要的应用领域：

(1)以N-HFMS技术为基础构建CA(Certificate Authentication)认证中心。用于为每个用户生成(公钥，私钥)、数字证书(可根据用途在证书中增加“解密成功率”项)，并对用户的密钥以及数字证书进行管理

(2)以N-HFMS技术为基础实现密钥约定协议，用于消息发收双方约定密钥

(3)以N-HFMS技术为基础设计签名算法，用于对用户消息的签名和认证

(4)以N-HFMS技术为基础设计安全协议，用于支撑某些特定的安全应用。比如可根据数字证书中“解密成功率”的值Δ，实现与证书拥有者的成功概率为Δ的“不经意传输协议”

(5)以N-HFMS技术为基础实施PKI，用于对各种基于证书的安全应用提供基础支撑环境

Claims (8)

1.一种具有抵抗量子攻击潜力的非确定的公钥密码构造方法，其特征在于：是基于矩阵代数、向量空间理论、以及有限域上多变元二次方程组的难解性而设计的一种非确定的公钥密码实现方法，所实现的公钥密码的解密成功率不小于给定的下界Δ(0＜Δ＜1)，该公钥密码主要由密钥生成、加密、解密三个部分组成，各部分具体实现如下：

(I)密钥生成部分

密钥生成部分用来产生一对(公钥，私钥)＝(PK，SK)，其具体步骤如下：

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，所确定的(F_q，n)应尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_1,...,A_n\}\&Subset;F_q^{2\&times;n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\&Subset;F_q^{n\&times;n}$ 线性无关、 $C=\{C_1,...,C_n\}\&Subset;F_q^{n\&times;n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(A·B)＝2n

③由(A，B)生成2n个关于变元x，

的中心多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{A_1{B}_1}...\stackrel{\&OverBar;}{A_1{B}_n}...\stackrel{\&OverBar;}{A_n{B}_1}...\stackrel{\&OverBar;}{A_n{B}_n}]\begin{array}{}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

④任意选取线性变换S和T

⑤用S和T对φ做变换得到2n个关于变元

的MQ多项式：

ρ＝TοφοS＝{ρ₁(v)，…，ρ_2n(v)}

⑥公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(II)加密部分

加密部分供消息发送方使用，用来对明文

进行加密，其具体步骤如下：

①取得消息接收方的公钥PK＝(F_q，ρ)

②用PK对明文 $V\&Element;F_q^{2n}\backslash \left\{0\right\}$ 加密： $C_V=[{\mathrm{\&rho;}}_1\left(V\right),...,{\mathrm{\&rho;}}_{2n}\left(V\right)]\&Element;F_q^{2n}\backslash \left\{0\right\}$

③用某种单向散列函数H计算明文V的指纹：d_V＝H(V)

④将(H，C_V，d_V)发送给消息接收方

(III)解密部分

解密部分供消息接收方使用，消息接收方以自己的私钥SK＝(A，B，C，S，T)对消息进行解密。设消息接收方收到的消息为(H，C_V，d_V)，则解密过程的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\&RightArrow;}{t}=T^{-1}\left(C_V\right)\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有非零解

置于集合Ω中，其中 $o=\left(\mathrm{0,0}\right)\&Element;F_q^n\&times;F_q^n$

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若x＝0或 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\&prime;}=S^{-1}(x,y)\&Element;F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束。

2.如权利要求1所述的一种非确定的公钥密码构造方法，其特征在于：将权利要求1中的(I)和(III)部分替换为下面的(I)和(III)部分：

(I)密钥生成部分

密钥生成部分用来产生一对(公钥，私钥)＝(PK，SK)，其具体步骤如下：

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，所确定的(F_q，n)应尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_0,A_1,...,A_n\}\&Subset;F_q^{2\&times;n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\&Subset;F_q^{n\&times;n}$ 线性无关、 $C=\{C_1,...,C_n\}\&Subset;F_q^{n\&times;n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank({A₁，…，a_n}·B)＝2n

③由(A，B)生成2n个关于变元x，的中心多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{A_1{B}_1}...\stackrel{\&OverBar;}{A_1{B}_n}...\stackrel{\&OverBar;}{A_n{B}_1}...\stackrel{\&OverBar;}{A_n{B}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\&OverBar;}{A_0{B}_1}\end{array}...\stackrel{\&OverBar;}{A_0{B}_n}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

④任意选取仿射变换S和线性变换T

⑤用S和T对φ做变换得到2n个关于变元

的MQ多项式：

ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑥公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(III)解密部分

解密部分供消息接收方使用，消息接收方以自己的私钥SK＝(A，B，C，S，T)对消息进行解密。设消息接收方收到的消息为(H，C_V，d_V)，则解密过程的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\&RightArrow;}{t}=T^{-1}\left(C_V\right)\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解

置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\&prime;}=S^{-1}(x,y)\&Element;F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束。

3.如权利要求1所述的一种非确定的公钥密码构造方法，其特征在于：将权利要求1中的(I)和(III)部分替换为下面的(I)和(III)部分：

(I)密钥生成部分

密钥生成部分用来产生一对(公钥，私钥)＝(PK，SK)，其具体步骤如下：

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，所确定的(F_q，n)应尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_1,...,A_n\}\&Subset;F_q^{2\&times;n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\&Subset;F_q^{n\&times;n}$ 线性无关、 $C=\{C_1,...,C_n\}\&Subset;F_q^{n\&times;n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(B·A)＝2n

③由(A，B)生成2n个关于变元x，

的中心多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{B_1{A}_1}...\stackrel{\&OverBar;}{B_n{A}_1}...\stackrel{\&OverBar;}{B_1{A}_n}...\stackrel{\&OverBar;}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]\end{array}$

④任意选取线性变换S和T

⑤用S和T对φ做变换得到2n个关于变元

的MQ多项式：

ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑥公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(III)解密部分

解密部分供消息接收方使用，消息接收方以自己的私钥SK＝(A，B，C，S，T)对消息进行解密。设消息接收方收到的消息、为(H，C_V，d_V)，则解密过程的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\&RightArrow;}{t}=T^{-1}\left(C_V\right)\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有非零解

置于集合Ω中，其中 $o=\left(\mathrm{0,0}\right)\&Element;F_q^n\&times;F_q^n$

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若x＝0或 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\&prime;}=S^{-1}(x,y)\&Element;F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束。

4.如权利要求1所述的一种非确定的公钥密码构造方法，其特征在于：将权利要求1中的(I)和(III)部分替换为下面的(I)和(III)部分：

(I)密钥生成部分

密钥生成部分用来产生一对(公钥，私钥)＝(PK，SK)，其具体步骤如下：

①由Δ的取值确定(F_q，n)，其中F_q为基域，n为矩阵尺寸，所确定的(F_q，n)应尽量满足Δ_n(F_q)≥Δ

②随机选择满足如下约束条件的矩阵集合(A，B，C)：

(1) $A=\{A_0,A_1,...,A_n\}\&Subset;F_q^{2\&times;n}$ 线性无关

(2) $B=\{B_1,...,B_n\}\&Subset;F_q^{n\&times;n}$ 线性无关、 $C=\{C_1,...,C_n\}\&Subset;F_q^{n\&times;n}$ 线性无关，且：

(3)V_S(B)\{0}中非奇异矩阵所占的比例≥Δ

(4)Rank(B·{A₁，…，A_n})＝2n

③由(A，B)生成2n个关于变元x，的中心多项式φ＝{φ₁(x，y)，…，φ_2n(x，y)}：

$\left[\begin{array}{c}{\mathrm{\&phi;}}_1(x,y)\\ .\\ .\\ .\\ {\mathrm{\&phi;}}_{2n}(x,y)\end{array}\right]=[\stackrel{\&OverBar;}{B_1{A}_1}...\stackrel{\&OverBar;}{B_n{A}_1}...\stackrel{\&OverBar;}{B_1{A}_n}...\stackrel{\&OverBar;}{B_n{A}_n}]\begin{array}{c}\left[\begin{array}{c}{x}_1{y}_1\\ .\\ .\\ .\\ x_1{y}_n\\ .\\ .\\ .\\ x_n{y}_1\\ .\\ .\\ .\\ x_n{y}_n\end{array}\right]+[\stackrel{\&OverBar;}{B_1{A}_0}\end{array}...\stackrel{\&OverBar;}{B_n{A}_0}]\left[\begin{array}{c}{y}_1\\ .\\ .\\ .\\ y_n\end{array}\right]$

④任意选取仿射变换S和线性变换T

⑤用S和T对φ做变换得到2n个关于变元

的MQ多项式：

ρ＝TоφоS＝{ρ₁(v)，…，ρ_2n(v)}

⑥公钥PK＝(F_q，ρ)，私钥SK＝(A，B，C，S，T)

(III)解密部分

解密部分供消息接收方使用，消息接收方以自己的私钥SK＝(A，B，C，S，T)对消息进行解密。设消息接收方收到的消息为(H，C_V，d_V)，则解密过程的具体步骤如下：

①对C_V做T的逆变换： $\stackrel{\&RightArrow;}{t}=T^{-1}\left(C_V\right)\&Element;F_q^{2n}\backslash \left\{0\right\},$ 得到矩阵 $t\&Element;F_q^{2\&times;n}\backslash \left\{0\right\}$

②由(A，C，t)联立出F_q上的2n元一次方程组E(A，C，t)：

③对E(A，C，t)进行求解，并将其所有解

置于集合Ω中

④若Ω＝Φ，则算法结束，并返回“解密失败”

⑤任取(x，z)∈Ω，并置Ω＝Ω\{(x，z)}

⑥若 $b^{\&prime;}=\left(\underset{k=1}{\overset{n}{\mathrm{\&Sigma;}}}{z}_k{C}_k\right)\&NotElement;{\mathrm{GL}}_n\left(F_q\right),$ 则转④

⑦对b′求逆得b＝(b′)^-1

⑧计算b关于B的坐标 $y\&Element;F_q^n\backslash \left\{0\right\},$ 使 $b=\underset{j=1}{\overset{n}{\mathrm{\&Sigma;}}}{y}_j{B}_j$

⑨对(x，y)做S的逆变换： $V^{\&prime;}=S^{-1}(x,y)\&Element;F_q^{2n}$

⑩计算d′＝H(V′)

若d′≠d_V，则转④

解密成功，返回解密出的明文V＝V′，算法结束

5.满足权利要求1中部分(I)之第②步约束条件的矩阵集合(A，B，C)的寻找方法，其特征在于首先寻找满足特定条件的矩阵集合(B，C)，然后再随机寻找矩阵集合A，若(A，B，C)满足条件，则结束，否则重新进行此寻找过程，直到找到满足条件的(A，B，C)为止，具体步骤如下：

①随机选择满足R_M＝n的矩阵

②求出M的特征多项式P_M(x)

③对P_M(x)进行因式分解

④由P_M(x)的分解式计算出U_M＝ζ(P_M(x))

⑤若 $\frac{U_M}{(q^n-1)}<\mathrm{\&Delta;},$ 则转①

⑥任选F_q[M]关于F_q的一组基M_B＝{M₁，…，M_n}

⑦任选P，Q∈GL_n(F_q)，并按下面方法计算出矩阵集合(B，C)：

$\left\{\begin{array}{c}B=P\&CenterDot;M_B\&CenterDot;Q=\{{\mathrm{PM}}_{1}Q,...,{\mathrm{PM}}_{n}Q\}\\ C=Q^{-1}\&CenterDot;M_B\&CenterDot;P^{-1}=\{Q^{-1}{M}_1{P}^{-1},...,Q^{-1}{M}_n{P}^{-1}\}\end{array}\right.$

⑧随机选择矩阵集合 $A=\{A_1,...,A_n\}\&Subset;F_q^{n\&times;2}$

⑨若Rank(A)≠n，则转⑧

⑩若Rank(A·B)≠2n，则转①

(A，B，C)即为所求。

6.满足权利要求2中部分(I)之第②步约束条件的矩阵集合(A，B，C)的寻找方法，其特征在于首先寻找满足特定条件的矩阵集合(B，C)，然后再随机寻找矩阵集合A，若(A，B，C)满足条件，则结束，否则重新进行此寻找过程，直到找到满足条件的(A，B，C)为止，具体步骤如下：

①随机选择满足R_M＝n的矩阵

②求出M的特征多项式P_M(x)

③对P_M(x)进行因式分解

④由P_M(x)的分解式计算出U_M＝ζ(P_M(x))

⑤若 $\frac{U_M}{(q^n-1)}<\mathrm{\&Delta;},$ 则转①

⑥任选F_q[M]关于F_q的一组基M_B＝{M₁，…，M_n}

⑦任选P，Q∈GL_n(F_q)，并按下面方法计算出矩阵集合(B，C)：

$\left\{\begin{array}{c}B=P\&CenterDot;M_B\&CenterDot;Q=\{{\mathrm{PM}}_{1}Q,...,{\mathrm{PM}}_{n}Q\}\\ C=Q^{-1}\&CenterDot;M_B\&CenterDot;P^{-1}=\{Q^{-1}{M}_1{P}^{-1},...,Q^{-1}{M}_n{P}^{-1}\}\end{array}\right.$

⑧随机选择矩阵集合 $A=\{A_0,A_1,...,A_n\}\&Subset;F_q^{n\&times;2}$

⑨若Rank(A)≠n+1，则转⑧

⑩若Rank({A₁，…，A_n}·B)≠2n，则转①

(A，B，C)即为所求。

7.满足权利要求3中部分(I)之第②步约束条件的矩阵集合(A，B，C)的寻找方法，其特征在于首先寻找满足特定条件的矩阵集合(B，C)，然后再随机寻找矩阵集合A，若(A，B，C)满足条件，则结束，否则重新进行此寻找过程，直到找到满足条件的(A，B，C)为止，具体步骤如下：

①随机选择满足R_M＝n的矩阵

②求出M的特征多项式P_M(x)

③对P_M(x)进行因式分解

④由P_M(x)的分解式计算出U_M＝ζ(P_M(x))

⑤若 $\frac{U_M}{(q^n-1)}<\mathrm{\&Delta;},$ 则转①

⑥任选F_q[M]关于F_q的一组基M_B＝{M₁，…，M_n}

⑦任选P，Q∈GL_n(F_q)，并按下面方法计算出矩阵集合(B，C)：

$\left\{\begin{array}{c}B=P\&CenterDot;M_B\&CenterDot;Q=\{{\mathrm{PM}}_{1}Q,...,{\mathrm{PM}}_{n}Q\}\\ C=Q^{-1}\&CenterDot;M_B\&CenterDot;P^{-1}=\{Q^{-1}{M}_1{P}^{-1},...,Q^{-1}{M}_n{P}^{-1}\}\end{array}\right.$

⑧随机选择矩阵集合 $A=\{A_1,...,A_n\}\&Subset;F_q^{n\&times;2}$

⑨若Rank(A)≠n，则转⑧

⑩若Rank(B·A)≠2n，则转①

(A，B，C)即为所求。

8.满足权利要求4中部分(I)之第②步约束条件的矩阵集合(A，B，C)的寻找方法，其特征在于首先寻找满足特定条件的矩阵集合(B，C)，然后再随机寻找矩阵集合A，若(A，B，C)满足条件，则结束，否则重新进行此寻找过程，直到找到满足条件的(A，B，C)为止，具体步骤如下：

①随机选择满足R_M＝n的矩阵

②求出M的特征多项式P_M(x)

③对P_M(x)进行因式分解

④由P_M(x)的分解式计算出U_M＝ζ(P_M(x))

⑤若 $\frac{U_M}{(q^n-1)}<\mathrm{\&Delta;},$ 则转①

⑥任选F_q[M]关于F_q的一组基M_B＝{M₁，…，M_n}

⑦任选P，Q∈GL_n(F_q)，并按下面方法计算出矩阵集合(B，C)：

$\left\{\begin{array}{c}B=P\&CenterDot;M_B\&CenterDot;Q=\{{\mathrm{PM}}_{1}Q,...,{\mathrm{PM}}_{n}Q\}\\ C=Q^{-1}\&CenterDot;M_B\&CenterDot;P^{-1}=\{Q^{-1}{M}_1{P}^{-1},...,Q^{-1}{M}_n{P}^{-1}\}\end{array}\right.$

⑧随机选择矩阵集合 $A=\{A_0,A_1,...,A_n\}\&Subset;F_q^{n\&times;2}$

⑨若Rank(A)≠n+1，则转⑧

⑩若Rank(B·{A₁，…，A_n})≠2n，则转①

(A，B，C)即为所求。