CN103414569A - 一种建立抗攻击的公钥密码的方法 - Google Patents

Abstract

本发明涉及信息安全领域，公开了一种建立抗攻击的公钥密码的方法，包括生成共享密钥的方法，所述生成共享密钥的方法包括如下步骤：(11)建立一个无限非交换群G；(12)协议双方选取G的两个元素作为私钥；(13)协议第二方计算y，并将y发送给协议第一方；(14)协议第一方计算x和z，并将(x，z)发送给协议第二方；(15)协议第二方计算w和v，并将(w，v)发送给协议第一方；(16)协议第一方计算u，并将u发给协议第二方；(17)协议第一方计算K_A，而且协议第二方计算K_B；从而达成共享密钥K＝K_A＝K_B。本发明所建设的公钥密码算法的安全保障是依赖于问题的不可解性，具有抗量子计算攻击的优点。

Description

一种建立抗攻击的公钥密码的方法

技术领域

本发明涉及信息安全领域，特别涉及一种建立抗量子计算攻击的公钥密码的密码技术。

背景技术

对信息发送与接收人的真实身份的验证、对所发出/接收信息在事后的不可抵赖以及保障数据的完整性是现代密码学主题的二个重要问题。

公开密钥密码体制对这两方面的问题都给出了出色的解答，并正在继续产生许多新的思想和方案。在公钥体制中，加密密钥不同于解密密钥。人们将加密密钥公之于众，谁都可以使用；而解密密钥只有解密人自己知道。近代公钥密码系统的安全性几乎都是基于目前被认为计算困难的两类数学问题；第一类为大素数分解问题，例如RSA算法；第二类为离散对数问题，例如Diffie-Hellman的密钥交换算法、E1Gamal算法、和椭圆曲线公钥密码算法(简记为ECC)等。

近年来，由于非交换的辫群自身的有限呈示特性、清晰表达的代数关系式、漂亮的几何结构、因属于自动机群类而其字问题在二次多项式时间内可解从而相应的应用于编码的计算和贮存都可快速实现等优点，辫群成为了人们试图建立各种公开密钥密码协议的热门平台，并涌现了诸多以辩群为平台，并以辩群上的判定难题作为安全保障的公钥密码系统。例如，Ko等人基于辫群中的元素共轭问题建立的密钥交换协议。

在经典公钥密码算法中，作为安全保障的实际计算困难问题，随着计算机性能的提高其难解性将大大降低。特别地，Shor于1997年提出的著名的Shor量子算法将分别在多项式时间内进行大整数的因数分解和离散对数的计算，这意味着基于RSA，ECC，E1Gamal算法等建立的公钥密码协议将不再安全，而量子计算机的设计正紧锣密鼓地进行中。

针对Ko等人提出的基于辫群的元素的共轭问题建立公钥密码体制方案，人们陆续发现了诸如基于长度的攻击、线性表示攻击、Super-Summit-set攻击等攻击方案。从而，对应的公钥密码体制也存在着安全隐患。

综上所述，这样就使得上述公钥密码的身份的验证、数据保障的安全性存在隐患。

发明内容

为解决基于现有公钥密码的身份的验证、数据保障的安全性存在隐患的问题，本发明的目的在于建立一个能抵抗各种已知的攻击的公钥密码技术，和在此基础上给出各应用协议。

本发明的目的是这样实现的：一种建立抗攻击的公钥密码的方法，包括生成共享密钥的方法，生成共享密钥的方法也称为生成共享密钥协议，所述生成共享密钥的方法包括如下步骤：

(11)建立一个无限非交换群G及G的两个子群A和B，使得对任意a∈A、任意的b∈B，等式ab＝ba成立；

(12)协议第一方选取G中一元素g，其中，协议第一方选取两个元素b₁，b₂∈A作为私钥，协议第二方选取两个元素d₁，d₂∈B作为私钥；

(13)协议第二方选取两个元素c₁，c₂∈B，计算y＝d₁c₁gc₂d₂，并将y发送给协议第一方；

(14)协议第一方选取四个元素a₁，a₂，b₃，b₄∈A，计算

x＝b₁a₁ga₂b₂和z＝b₃a₁ya₂b₄＝b₃a₁d₁c₁gc₂d₂a₂b₄，

并将(x，z)发送给协议第二方；

(15)协议第二方选取两个元素d₃，d₄∈B，计算

w＝d₃c₁xc₂d₄＝d₃c₁b₁a₁ga₂b₂c₂d₄

和

v＝d₁ ^-1zd₂ ^-1＝d₁ ^-1b₃a₁d₁c₁gc₂d₂a₂b₄d₂ ^-1＝b₃a₁c₁gc₂a₂b₄

并将(w，v)发送给协议第一方；

(16)协议第一方计算

u＝b₁ ^-1wb₂ ^-1＝b₁ ^-1d₃c₁b₁a₁ga₂b₂c₂d₄b₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将u发给协议第二方；

(17)协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂，而且协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂；

由于a₁，a₂∈A，c₁，c₂∈B，所以a₁与c₁和a₂与c₂分别乘法可交换，故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

作为一种优选方式，还包括信息数据加密解密的方法，信息数据加密解密的方法也称为公钥加密解密协议，所述信息数据加密解密的方法包括如下步骤；

(21)定义需要加密的已编码明文信息为m∈{0，1}^k，即长度为k的0-1数串；并定义Θ：G→{0，1}^k是一个由群G到明文空间{0，1}^k抗碰撞的Hash函数，协议第一方选取(G，A，B，g，Θ)为其公钥；

(22)加密：协议第二方先计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂，然后进行加密计算

并将t作为密文发送给协议第一方，这里的

是异或运算；

(23)解密：协议第一方先计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂，然后进行解密计算 $m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕t=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_A\right)\⊕m);$

(24)验证m′＝m：由密钥交换协议知K_A＝K_B，所以

$m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=\mathrm{\Θ}\left(K_B\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=(\mathrm{\Θ}\left(K_B\right)\⊕\mathrm{\Θ}\left(K_B\right))\⊕m=m.$

作为一种优选方式，还包括数字签名的方法，数字签名的方法也称为数字签名协议，所述数字签名的方法包括如下步骤：

(31)将需要签名的已编码明文信息定义为p，并定义Θ：G→{0，1}^k是一个抗碰撞的Hash函数，协议第一方选取(G，A，B，g，Θ)为其公钥；

(32)签名：协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂和S＝Θ(pK_A)，协议第一方将S作为它对信息p的签名并将(S，p)发送给协议第二方；

(33)验证：协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂和S′＝Θ(pK_B)，如果S′＝S，协议第二方则认可S是协议第一方对信息p的签名，否则，协议第二方拒绝接受S是协议第一方对信息p的签名。

作为一种优选方式，还包括身份认证的方法，所述协议第一方为示证人，所述协议第二方为验证人；所述身份认证的方法包括如下步骤：

(41)协议第一方选取一个抗碰撞的Hash函数Θ：G→{0，1}^k，协议第一方选取(G，A，B，g，Θ)为其公钥；

(42)协议第二方计算y＝d₁c₁gc₂d₂和w＝d₃c₁xc₂d₄，并将(y，w)作为挑战一发送给协议第一方；

(43)协议第一方计算

z＝b₃a₁ya₂b₄和u＝b₁ ^-1wb₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将(z，u)作为响应发送给协议第二方；

(44)协议第二方计算v＝d₁ ^-1zd₂ ^-1＝b₃a₁c₁gc₂a₂b₄，并将v作为挑战二发送给协议第一方；

(45)协议第一方计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(a₁c₁gc₂a₂)并将t作为承诺发送给协议第二方；

(46)协议第二方计算t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(c₁a₁ga₂c₂)，并验证是否t＝t′，如果t＝t′，协议第二方认可协议第一方的身份，否则拒绝认可。

其中，所述无限非交换群G优选为辫群，给出辫群Bn(n≥12)的具有不可解的子群成员问题的Mihailova子群的生成元系，给出了辫群Bn(n≥12)的具有子群成员问题不可解的Mihailova子群的生成元系，并建议为抗量子计算攻击，上述协议双方的私钥由Mihailova子群的生成元生成；

所述无限非交换群G取指数为n≥12的辫群B_n，并由如下呈示所定义的群：

B_n〈σ₁，σ₂，...，σ_n-1|σ_iσ_j＝σ_jσ_i，|i-j|≥2，σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1，1≤i≤n-2〉，辫群B_n含有如下两个子群：

令

为不大于n/2的最大整数，辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝〈σ₁，σ₂，...，σ_m-1〉和RB_n＝〈σ_m+1，σ_m+2，...，σ_n-1〉

即，分别为由σ₁，σ₂，...，σ_m-1和σ_m+1，σ_m+2，...，σ_n-1生成的子群，并且，对于任意的a∈LB_n和任意的b∈RB_n，有ab＝ba，所述的G的子群A即取为LB_n，，而G的子群B即取为RB_n；

当n≥12时，LB_n和RB_n分别含有一个与F₂×F₂同构的子群，即两个秩为2的自由群的直积同构的子群：

LA＝〈σ_m-5 ²，σ_m-4 ²，σ_m-2 ²，σ_m-1 ²〉≤LB_n

和

RA＝〈σ_m+1 ²，σ_m+2 ²，σ_m+4 ²，σ_m+5 ²〉≤RB_n；

作为一种优选方式，所述辫群B_n的指数n≥12；子群为A＝LB_n和B＝RB_n；a₁，a₂，c₁，c₂的选取满足其乘积a₁c₁ga₂c₂不小于256比特；私钥b₁，b₂，d₁，d₂均不小于256比特；保护层元素b₃，b₄，d₃，d₄均不小于128比特。

本发明首先从理论建立了一个存在不可解的问题的代数系统，其次，以这个问题的不可解性作为安全保障建立公钥密码算法。本发明算法的安全性与不可解问题的等价性，证明了其对量子计算等攻击的免疫，由于本发明建立的公钥密码方法是以不可解的判定问题作为安全保障，因此该方法无论从理论上还是实际应用方面均得到了有力保障，与现有技术相比，具有以下优点：

1.所建设的公钥密码算法的安全保障是依赖于问题的不可解性，而不是问题的计算困难性，(经典公钥密码算法是基于计算的困难性)；

2.本发明的公钥密码算法的安全性等价于所依赖的问题的不可解性是得到数学证明的；

3.本发明的公钥密码算法是抗量子计算攻击的。

具体实施方式

下面结合实施例对本发明一种建立抗量子计算攻击的公钥密码协议作进一步详细说明。

1.建立公钥密码协议的平台

建立所有公钥密码协议的平台是一个无限非交换群(non-abelian group)G及G的两个子群A和B，使得对任意a∈A任意的b∈B，等式ab＝ba成立。此外，由于编码和密钥生成的需要，G还必须满足以下条件：

1)于G的生成元集合上的代表G的元素的字具有可计算的正规形式(normal form)；

2)G至少是呈指数增长(exponential growth)，即G中字长为正整数n的元素个数下囿于一个关于n的指数函数；

3)基于正规形式的群的乘积运算和求逆运算是能行可计算的。

为此，选取无限非交换群G为指数n≥12的辫群B_n，B_n具有上述性质并由如下呈示(presentation)所定义的群：

B_n＝〈σ₁，σ₂，...，σ_n-1|σ_iσ_j＝σ_jσ_i，|i-j|≥2，σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1，1≤i≤n-2〉，辫群B_n含有如下两个子群：

令为不大于n/2的最大整数，辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝〈σ₁，σ₂，...，σ_m-1〉和RB_n＝〈σ_m+1，σ_m+2，...，σ_n-1〉

即，分别由σ₁，σ₂，...，σ_m-1和σ_m+1，σ_m+2，...，σ_n-1生成的子群，并且，对于任意的a∈LB_n和任意的b∈RB_n，有ab＝ba。

当n≥12时，LB_n和RB_n分别含有一个与F₂×F₂，即两个秩为2的自由群的直积同构的子群

LA＝〈σ_m-5 ²，σ_m-4 ²，σ_m-2 ²，σ_m-1 ²〉≤LB_n

和

RA＝〈σ_m+1 ²，σ_m+2 ²，σ_m+4 ²，σ_m+5 ²〉≤RB_n

由一个两个元素生成的其字问题不可解的有限呈示群H，再构造LA的一个Mihailova子群M_LA(H)和RA的一个Mihailova子群M_RA(H)；下方即为M_LA(H)的56个生成元，其中i＝m-5；而当令i＝m+1，便可得到M_RA(H)的56个生成元：

${\mathrm{\σ}}_i^2{\mathrm{\σ}}_{i+3}^2,{\mathrm{\σ}}_{i+1}^2{\mathrm{\σ}}_{i+4}^2,S_{\mathrm{ij}},T_{\mathrm{ij}},j=\mathrm{1,2},\·\·\·,27$

而27个S_ij为(将下述每一S_ij中的所有σ_i换成σ_i+3，所有σ_i+1换成σ_i+4便得到对应的27个T_ij，j＝1，2，...，27)：

2.建立公钥密码体制的核心协议

在本实施例中，协议双方分别是Alice和Bob，

1)Alice选取B_n中一元素g，Alice选取两个元素b₁，b₂∈LB_n作为私钥，Bob选取两个元素d₁，d₂∈RB_n作为私钥；

2)Bob选取两个元素c₁，c₂∈RB_n，计算y＝d₁c₁gc₂d₂，并将y发送给Alice；

3)Alice选取四个元素a₁，a₂，b₃，b₄∈LB_n，计算

x＝b₁a₁ga₂b₂和z＝b₃a₁va₂b₄＝b₃a₁d₁c₁gc₂d₂a₂b₄，

并将(x，z)发送给Bob；

4)Bob选取两个元素d₃，d₄∈RB_n，计算

w＝d₃c₁xc₂d₄＝d₃c₁b₁a₁ga₂b₂c₂d₄

和

v＝d₁ ^-1zd₂ ^-1＝d₁ ^-1b₃a₁d₁c₁gc₂d₂a₂b₄d₂ ^-1＝b₃a₁c₁gc₂a₂b₄

并将(w，v)发送给Alice；

5)Alice计算

u＝b₁ ^-1wb₂ ^-1＝b₁ ^-1d₃c₁b₁a₁ga₂b₂c₂d₄b₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将u发给Bob，

上述协议中的第4)步中，由于d₁，d₂∈RB_n，a₁，a₂，b₃，b₄∈LB_n，所以d₁ ^-1，d₂ ^-1分别与b₃，a₁和b₄，a₂乘法可交换，故得该步骤中最后一个等式。同理得到第5)步中最后一个等式。

3.应用协议

在核心协议的基础上建立如下的应用协议，

建立密钥交换协议的优选实施例：

在核心协议的五个步骤后继续进行如下进程：

6)Alice计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂而且Bob计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂。

由于a₁，a₂∈LB_n，c₁，c₂∈RB_n，所以a₁与c₁和a₂与c₂分别乘法可交换，故Alice和Bob达成共享密钥K＝K_A＝K_B。

建立数据加密协议的优选实施例：

设需要加密的明文信息(已编码)为m∈{0，1}^k(即长度为k的0-1数串)，并设Θ：B_n→{0，1}^k是一个由群B_n到明文空间{0，1}^k抗碰撞的Hash函数。Alice的公钥是(B_n，LB_n，RB_n，g，Θ)，并选取a₁，a₂，b₁，b₂，b₃，b₄∈LB_n，私钥为b₁，b₂。Bob选取c₁，c₂，d₁，d₂，d₃，d₄∈RB_n，并且以d₁，d₂为私钥。在核心协议的五个步骤后继续进行如下进程：

6)加密：Bob先计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂，然后计算(加密)并将t作为密文发送给Alice。这里的

是异或(exclusive or)运算。

7)解密：Alice先计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂，然后计算(解密)

$m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕t=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)$

验证m′＝m：由密钥交换协议知K_A＝K_B，所以

$m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=\mathrm{\Θ}\left(K_B\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=(\mathrm{\Θ}\left(K_B\right)\⊕\mathrm{\Θ}\left(K_B\right))\⊕m=m.$

建立数字签名协议的优选实施例：

设需要加密的明文信息(已编码)为m，并设Θ：B_n→{0，1}^k是一个抗碰撞的Hash函数。Alice的公钥是(B_n，LB_n，RB_n，g，Θ)，并选取a₁，a₂，b₁，b₂，b₃，b₄∈LB_n，私钥为b₁，b₂。Bob选取c₁，c₂，d₁，d₂，d₃，d₄∈B，并且以d₁，d₂为私钥。在核心协议的五个步骤后继续进行如下进程：

6)签名：Alice计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂和S＝Θ(mK_A)，Alice将S作为她对文件m的签名并将(S，m)发送给Bob。

7)验证：Bob计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂和S′＝Θ(mK_B)，如果S′＝S，Bob则认可S是Alice对文件m的签名，否则，Bob拒绝接受S是Alice对文件m的签名。

一种在核心协议基础上的身份认证协议的优选实施例：

Alice选取B_n中一元素g，四个元素a₁，a₂，b₁，b₂∈LB_n，一个抗碰撞的Hash函数Θ：B_n→{0，1}^k，并计算x＝b₁a₁ga₂b₂。Alice的公钥是(B_n，LB_n，RB_n，g，x，Θ)，私钥为b₁，b₂。

认证过程：

设Alice是示证人(prover)，Bob是验证人(verifier)。

1)Bob选取六个元素c₁，c₂，d₁，d₂，d₃，d₄∈RB_n，私钥为d₁，d₂。Bob计算

y＝d₁c₁gc₂d₂和w＝d₃c₁xc₂d₄

并将(y，w)作为挑战(challenge)一发送给Alice；

2)Alice选取两个元素b₃，b₄∈LB_n，，计算

z＝b₃a₁ya₂b₄和u＝b₁ ^-1wb₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将(z，u)作为响应(response)发送给Bob；

3)Bob计算v＝d₁ ^-1zd₂ ^-1＝b₃a₁c₁gc₂a₂b₄，并将v作为挑战二发送给Alice；

4)Alice计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(a₁c₁gc₂a₂)并将t作为承诺(commitment)发送给Bob；

5)Bob t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(c₁a₁ga₂c₂)，并验证是否t＝t′。

如果t＝t′，Bob认可Alice的身份，否则拒绝认可。

五、安全性分析

我们仅给出密钥交换协议的安全性即可。

首先，给出群上的三个判定问题的定义。

子群成员问题(subgroup membership problem or generalized wordproblem，简记为GWP)：给定群G的一个其生成元集为X的子群H，判定G中任意元素g是否可由X上的字代表，即判定g是否为H中元素。

元素分解搜索问题(decomposition search problem，简记为DSP)：设g和h是群G两个元素。已知存在G的两个元素c和d，使得h＝cgd。求G的两个元素c′和d′，使得h＝c′gd′。

扩展的元素分解搜索问题(generalized decomposition search problem，简记为GDSP)：设g和h是群G两个元素，H是G的一个子群。已知存在H的两个元素c和d，使得h＝cgd。求H的两个元素c′和d′，使得h＝c′gd′。

DSP是十分容易求解的：令c′＝g^-1，d′＝h即可。而GDSP的可判定性则不确定。然而，对于无限非交换群中分解方程式h＝cgd(c和d未知)，要确定地解出c和d是不可能的。应为人们不知道c和d的值，即使通过求解GDSP问题计算得到的所谓的“解”c′和d′，使得h＝c′gd′，也无法确定是否c′＝c和d′＝d。特别地，如果c和d分别取自于具有不可解的GWP问题的子群C和D，求解者不仅无法确定是否c′＝c和d′＝d，而且他根本不能确定c′和d′是否分别是C和D的元素。

在核心协议中，攻击方Eve通过公开信息和Alice与Bob的交互式过程能获取的信息如下：

无限非交换群G，G的两个子群A和B，使得对任意a∈A任意的b∈B，有ab＝ba，G中一元素g，以及下列G中元素：

y＝d₁c₁gc₂d₂，x＝b₁a₁ga₂b₂，z＝b₃a₁d₁c₁gc₂d₂a₂b₄，w＝d₃c₁b₁a₁ga₂b₂c₂d₄，

v＝b₃a₁c₁gc₂a₂b₄，u＝d₃c₁a₁ga₂c₂d₄

注意，Eve只知道x，y，z，w，u，v，不知道对应的分解表达式。Eve如果能够通过解决GDSP问题而获得c₁′，c₂′∈B，和a₁′，a₂′∈A，使得a₁′ga₂′＝a₁ga₂和c₁′gc₂′＝c₁gc₂，则由A和B的元素乘法可交换性得

c₁′a₁′ga₂′c₂′＝c₁′a₁ga₂c₁′＝a₁c₁′gc₂′a₂＝a₁c₁gc₂a₂＝K

所以，Eve需要先获得元素a₁ga₂和c₁gc₂。

由于Eve不知道a₁ga₂和c₁gc₂，她无法从x剥离掉b₁和b₂去获得a₁ga₂，和从y剥离掉d₁和d₂去获得c₁gc₂。而Eve知道w＝b₁ub₂和z＝d₁vd₂(但不知b₁，b₂和d₁，d₂)。现在即使Eve能解决GDSP问题，解得b₁′，b₂′∈A，和d₁′，d₂′∈B，使得b₁′ub₂′＝b₁ub₂和d₁′vd₂′＝d₁vd₂，她也无法确定b₁′＝b₁，b₂′＝b₂和d₁′＝d₁，d₂′＝d₂。从而Eve仍然不能从x剥离掉b₁和b₂去获得a₁ga₂，和从y剥离掉d₁和d₂去获得c₁gc₂。

特别地，在具体实施方案中无限非交换群G取指数n≥12的辫群B_n，A和B分别取B_n的子群LB_n和RB_n，而私钥b₁，b₂和d₁，d₂分别在LB_n的Mihailova子群M_LA(H)和RB_n的Mihailova子群M_RA(H)中选取，则在上述Eve的攻击中，她通过解决GDSP问题解得b₁′，b₂′∈LB_n，和d₁′，d₂′∈RB_n，使得b₁′ub₂′＝b₁ub₂和d₁′vd₂′＝d₁vd₂，她必须确定b₁′＝b₁，b₂′＝b₂和d₁′＝d₁，d₂′＝d₂，因为b₁，b₂∈M_LA(H)，d₁，d₂∈M_RA(H)，从而她必须先确定是否b₁′，b₂′∈M_LA(H)，以及是否d₁′，d₂′∈M_RA(H)。但是M_LA(H)和M_RA(H)的GWP问题不可解，故Eve即使借助量子计算系统也无法进行攻击。

六、参数的选取

在一个优选实施例中，辫群B_n的指数n≥12，各协议中的子群A＝LB_n，B＝RB_n，a₁，a₂，c₁，c₂的选取要满足其乘积a₁a₂c₁c₂不小于256比特，私钥b₁，b₂，d₁，d₂均不小于256比特，保护层元素b₃，b₄，d₃，d₄均不小于128比特。

特别指出，为抗量子计算攻击，建议私钥b₁，b₂和d₁，d₂分别在辫群B_n的Mihailova子群M_LA(H)和M_RA(H)中选取。从而，由于M_LA(H)和M_RA(H)的GWP的不可解性，正如在安全性分析中所述，即使借助量子计算系统，b₁，b₂和d₁，d₂也是不可被攻击的。

以上是对本发明一种建立抗攻击的公钥密码的方法进行了阐述，用于帮助理解本发明，但本发明的实施方式并不受上述实施例的限制，任何未背离本发明原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (6)

1.一种建立抗攻击的公钥密码的方法，其特征在于：包括生成共享密钥的方法，所述生成共享密钥的方法包括如下步骤：

(11)建立一个无限非交换群G及G的两个子群A和B，使得对任意a∈A、任意的b∈B，等式ab＝ba成立；

(12)协议第一方选取G中一元素g，协议第一方选取两个元素b₁，b₂∈A作为私钥，协议第二方选取两个元素d₁，d₂∈B作为私钥；

(13)协议第二方选取两个元素c₁，c₂∈B，计算y＝d₁c₁gc₂d₂，并将y发送给协议第一方；

(14)协议第一方选取四个元素a₁，a₂，b₃，b₄∈A，计算

x＝b₁a₁ga₂b₂和z＝b₃a₁ya₂b₄＝b₃a₁d₁c₁gc₂d₂a₂b₄，

并将(x，z)发送给协议第二方；

(15)协议第二方选取两个元素d₃，d₄∈B，计算

w＝d₃c₁xc₂d₄＝d₃c₁b₁a₁ga₂b₂c₂d₄

和

v＝d₁ ^-1zd₂ ^-1＝d₁ ^-1b₃a₁d₁c₁gc₂d₂a₂b₄d₂ ^-1＝b₃a₁c₁gc₂a₂b₄

并将(w，v)发送给协议第一方；

(16)协议第一方计算

u＝b₁ ^-1wb₂ ^-1＝b₁ ^-1d₃c₁b₁a₁ga₂b₂c₂d₄b₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将u发给协议第二方；

(17)协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂，而且协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂；

由于a₁，a₂∈A，c₁，c₂∈B，所以a₁与c₁和a₂与c₂分别乘法可交换，故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

2.根据权利要求1所述的建立抗攻击的公钥密码的方法，其特征在于：还包括信息数据加密解密的方法，所述信息数据加密解密的方法包括如下步骤；

(21)定义需要加密的已编码明文信息为m∈{0，1}^k，即长度为k的0-1数串；并定义Θ：G→{0，1}^k是一个由群G到明文空间{0，1}^k抗碰撞的Hash函数，协议第一方选取(G，A，B，g，Θ)为其公钥；

(22)加密：协议第二方先计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂，然后进行加密计算

并将t作为密文发送给协议第一方，这里的

是异或运算；

(23)解密：协议第一方先计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂，然后进行解密计算 $m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕t=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m);$

(24)验证m′＝m：由密钥交换协议知K_A＝K_B，所以

$m^{\′}=\mathrm{\Θ}\left(K_A\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=\mathrm{\Θ}\left(K_B\right)\⊕(\mathrm{\Θ}\left(K_B\right)\⊕m)=(\mathrm{\Θ}\left(K_B\right)\⊕\mathrm{\Θ}\left(K_B\right))\⊕m=m.$

3.根据权利要求1所述的建立抗攻击的公钥密码的方法，其特征在于：还包括数字签名的方法，所述数字签名的方法包括如下步骤：

(31)将需要签名的已编码明文信息定义为p，并定义Θ：G→{0，1}^k是一个抗碰撞的Hash函数，协议第一方选取(G，A，B，g，Θ)为其公钥；

(32)签名：协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝a₁c₁gc₂a₂和S＝Θ(pK_A)，协议第一方将S作为它对信息p的签名并将(S，p)发送给协议第二方；

(33)验证：协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝c₁a₁ga₂c₂和S′＝Θ(pK_B)，如果S′＝S，协议第二方则认可S是协议第一方对信息p的签名，否则，协议第二方拒绝接受S是协议第一方对信息p的签名。

4.根据权利要求1所述的建立抗攻击的公钥密码的方法，其特征在于：还包括身份认证的方法，所述协议第一方为示证人，所述协议第二方为验证人；所述身份认证的方法包括如下步骤：

(41)协议第一方选取一个抗碰撞的Hash函数Θ：G→{0，1}^k，协议第一方选取(G，A，B，g，Θ)为其公钥；

(42)协议第二方计算y＝d₁c₁gc₂d₂和w＝d₃c₁xc₂d₄，并将(y，w)作为挑战一发送给协议第一方；

(43)协议第一方计算

z＝b₃a₁ya₂b₄和u＝b₁ ^-1wb₂ ^-1＝d₃c₁a₁ga₂c₂d₄，

并将(z，u)作为响应发送给协议第二方；

(44)协议第二方计算v＝d₁ ^-1zd₂ ^-1＝b₃a₁c₁gc₂a₂b₄，并将v作为挑战二发送给协议第一方；

(45)协议第一方计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(a₁c₁gc₂a₂)并将t作为承诺发送给协议第二方；

(46)协议第二方计算t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(c₁a₁ga₂c₂)，并验证是否t＝t′，如果t＝t′，协议第二方认可协议第一方的身份，否则拒绝认可。

5.根据权利要求1-4所述的任一建立抗攻击的公钥密码的方法，其特征在于：所述无限非交换群G为辫群，

所述辫群为具有子群成员不可解的Mihailova子群，且私钥在Mihailova子群中选取；

所述无限非交换群G取指数为n≥12的辫群B_n，并由如下呈示所定义的群：

B_n＝〈σ₁，σ₂，...，σ_n-1|σ_iσ_j＝σ_jσ_i，|i-j|≥2，σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1，1≤i≤n-2〉，辫群B_n含有如下两个子群：

今

为不大于n/2的最大整数，辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝〈σ₁，σ₂，...，σ_m-1〉和RB_n＝〈σ_m+1，σ_m+2，...，σ_n-1〉

即，分别为由σ₁，σ₂，...，σ_m-1和σ_m+1，σ_m+2，...，σ_n-1生成的子群，并且，对于任意的a∈LB_n和任意的b∈RB_n，有ab＝ba，所述的G的子群A即取为LB_n，，而G的子群B即取为RB_n；

当n≥12时，LB_n和RB_n分别含有一个与F₂×F₂同构的子群，即两个秩为2的自由群的直积同构的子群：

LA＝〈σ_m-5 ²，σ_m-4 ²，σ_m-2 ²，σ_m-1 ²〉≤LB_n

和

RA＝〈σ_m+1 ²，σ_m+2 ²，σ_m+4 ²，σ_m+5 ²〉≤RB_n；

再由两个元素生成的其字问题不可解的有限呈示群H，构造LA的一个Mihailova子群M_LA(H)和RA的Mihailova子群M_RA(H)；下方即为M_LA(H)的56个生成元，其中i＝m-5；而当令i＝m+1，便可得到M_RA(H)的56个生成元：

${\mathrm{\σ}}_i^2{\mathrm{\σ}}_{i+3}^2,{\mathrm{\σ}}_{i+1}^2{\mathrm{\σ}}_{i+4}^2,S_{\mathrm{ij}},T_{\mathrm{ij}},j=\mathrm{1,2},\·\·\·,27$

而27个S_ij为：

将上述每一S_ij中的所有σ_i换成σ_i+3，所有σ_i+1换成σ_i+4便得到对应的27个T_ij，j＝1，2，...，27。

6.根据权利要求5所述的建立抗攻击的公钥密码的方法，其特征在于：所述辫群B_n的指数n≥12；子群为A＝LB_n和B＝RB_n；a₁，a₂，c₁，c₂的选取满足其乘积a₁c₁ga₂c₂不小于256比特；私钥b₁，b₂，d₁，d₂均不小于256比特；保护层元素b₃，b₄，d₃，d₄均不小于128比特。