CN103490883A - 一种多变量公钥加密/解密系统及加密/解密方法 - Google Patents

Abstract

本发明公开了一种多变量公钥加密/解密系统，由加密模块和解密模块组成，其中加密模块包含处理器、将明文变成密文的公钥变换部件；解密模块包含处理器、仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，各部件执行相应的运算，最后得到一组或多组数据，处理器分别计算这些数据的杂凑值：若某组数据的杂凑值与预先存储在处理器中的明文杂凑冗余数据相同，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。本发明的系统及方法，其安全性和运算效率高。

Description

一种多变量公钥加密/解密系统及加密/解密方法

技术领域

本发明涉及信息安全领域，特别涉及一种多变量公钥加密/解密系统及加密/解密方法。

背景技术

密码技术是信息安全的核心和基础，广泛应用于网络通信、电子商务、银行、国防军事等领域。密码技术包括对称密码和非对称密码，非对称密码也称为公钥密码。

目前公钥密码的安全性主要依赖于大整数分解和离散对数求解等困难问题，如RSA、ECC等。然而，自提出在量子计算机上能够实现大整数分解和离散对数求解的方法后，这类传统的公钥密码便受到巨大的威胁，影响到各个行业。因此，人们致力于寻找一种能够抵御量子计算机攻击的密码系统以满足信息安全的需求，并将这类系统称为后量子密码，而多变量公钥密码便是其中的一种。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种多变量公钥加密/解密系统，其安全性和运算效率高。

本发明的另一目的在于提供一种多变量公钥加密/解密方法，其安全性和运算效率高。

本发明的目的通过以下的技术方案实现：

一种多变量公钥加密/解密系统，包含：

A、加密模块，用于对待加密的明文进行加密处理，形成密文、完成加密，其包括处理器、公钥变换部件，待加密的明文传输到处理器后，处理器计算其杂凑值，得到相应的明文杂凑冗余数据，并存储明文和明文杂凑冗余数据，然后将明文数据传输至公钥变换部件中，通过将明文数据分别代入多变量多项式，得到加密后的密文，密文随后被传输到处理器中存储，处理器再将密文和明文杂凑冗余数据一起传输给其他用户的解密模块，此处的明文杂凑冗余数据起到探测明文的作用；

B、解密模块，用于对其他用户发来的密文和其明文杂凑冗余数据进行解密处理，形成明文、完成解密，其包括处理器、仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，收到密文和其明文杂凑冗余数据后，处理器先将明文杂凑冗余数据存储，然后将密文传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输到陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，将多项式求逆运算所得的一组或多组的解传输到同构部件进行同构运算，再传输到仿射变换求逆部件二进行仿射变换求逆运算，最终传输到处理器，对传输过来的一组或多组数据，处理器分别计算每组数据的杂凑值，若所得的某组数据杂凑值与预先存储在处理器中的明文杂凑冗余数据相等，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。

所述的多变量公钥加密/解密系统还包含选择器，其与处理器相连，当选择器处于开状态时，系统的加密模块工作，当选择器处于闭状态时，系统的解密模块工作。用户一用加密模块加密，形成密文后传输给用户二，用户二用解密模块解密，二者构成一个整的系统，反过来一样，用户二用加密模块加密，形成密文后传输给用户一，用户一用解密模块解密，因此同一个用户需要同时具备两个不同的装置，即加密模块、解密模块，才可以满足需求，给用户带来不便；采用包含选择器的方案后，同一用户只需要同一个装置，用户根据自己的需要选择装置进行加密或者解密，非常方便。

所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

所述的处理器还包含Hash探测器、存储器，处理器中计算数据的杂凑值由Hash探测器完成，处理器中存储数据由存储器完成。

一种多变量公钥加密/解密方法，包含以下顺序的步骤：

（1）加密过程：

a、待加密的明文传输到处理器后，处理器计算其杂凑值，得到明文杂凑冗余数据，并存储明文和明文杂凑冗余数据；

b、将明文数据传输至公钥变换部件中，通过将明文数据代入多变量多项式，得到加密后的密文；

c、密文随后传输到处理器中存储，处理器将密文与明文杂凑冗余数据一起传输给其他用户的解密模块；

（2）解密过程：

a、收到其他用户发来的密文和明文杂凑冗余数据后，处理器先将明文杂凑冗余数据存储，再将密文传输给仿射变换求逆部件一进行仿射变换求逆运算；

b、然后传输到同构求逆部件进行同构求逆运算；

c、接着传输到陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，多项式求逆运算得一组或多组的解；

d、将多项式求逆运算所得的一组或多组的解传输到同构部件进行同构运算；

e、再传输到仿射变换求逆部件二进行仿射变换求逆运算；

f、最终传输到处理器，对传输过来的一组或多组的数据，处理器分别计算每组数据的杂凑值，若某组数据的杂凑值与处理器存储的明文杂凑冗余数据相等，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。

本发明所述的多变量公钥加密/解密方法，所述的步骤（1）加密过程包含：

a、待加密的明文(x₁',...,x_n')∈Fⁿ传输到处理器后，处理器计算其杂凑值(h₁',...,h_j')=Hash(x₁',...,x_n')，得到明文杂凑冗余数据(h₁',...,h_j')，其中Hash(·)是密码学上安全的单向函数，存储明文和明文杂凑冗余数据；

b、将明文(x₁',...,x_n')数据传输至公钥变换部件中，公钥变换部件将明文数据代入公钥映射P(x₁,...,x_n)，即分别计算各个多变量多项式p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')的值，其值分别记为y₁',...,y_n'，(y₁',...,y_n')就是加密后的密文；

c、密文(y₁',...,y_n')随后传输到处理器中存储，处理器将密文(y₁',...,y_n')和明文杂凑冗余数据(h₁',...,h_j')一起传输给其他用户的解密模块；

步骤（2）解密过程包含：

a、收到其他用户发来的密文(y₁',...,y_n')和明文杂凑冗余数据(h₁',...,h_j')后，处理器先将明文杂凑冗余数据(h₁',...,h_j')存储，再将密文(y₁',...,y_n')传输给仿射变换求逆部件一进行仿射变换求逆运算

b、然后将

传输到同构求逆部件进行同构求逆运算

c、接着将

传输给陷门部件，分别进行模求幂运算、多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算

然后多项式求逆部件利用概率的Berlekamp算法，求出

关于未知变量

的解，此解为一组或多组，且最多为d组，因此将该解集记为

d、将

传输到同构部件进行同构运算

e、再将所得数据传输到仿射变换求逆部件二进行仿射变换求逆运算 $({x_{i1}}^{\′},...,{x_{\mathrm{in}}}^{\′})=S^{-1}({\stackrel{\‾}{x}}_{i1},...,{\stackrel{\‾}{x}}_{\mathrm{in}});$

f、最终将(x_i1',...,x_in')传输到处理器，处理器计算(x_i1',...,x_in')的杂凑值，若某组i的数据(x_i1',...,x_in')的杂凑值与明文杂凑冗余数据(h₁',...,h_j')相等，则将该组数据(x_i1',...,x_in')作为解密后的明文输出；若对于所有的i都有(x_i1',...,x_in')≠(h₁',...,h_j')，则处理器向用户输出解密错误的警告信息。

所述的多变量公钥加密/解密方法，在步骤（1）加密过程之前还包含以下步骤：当选择器处于开状态时，系统的加密模块工作，其中选择器与处理器相连；

在步骤（2）解密过程之前还包含以下步骤：当选择器处于闭状态时，系统的解密模块工作，其中选择器与处理器相连。

所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

所述的处理器还包含Hash探测器、存储器，处理器中计算数据的杂凑值由Hash探测器完成，处理器中存储数据由存储器完成。

本发明与现有技术相比，具有如下优点和有益效果：

第一，在适当的参数选择下，可以抵御多变量公钥密码目前已知的代数攻击，安全性高。

第二，加密、解密所需时间短，响应快。

附图说明

图1为本发明一种多变量公钥加密/解密系统的结构示意图。

具体实施方式

如图1，一种多变量公钥加密/解密系统，包含：

A、选择器，其与处理器中的调度器相连，当选择器处于开状态时，系统的加密模块工作，当选择器处于闭状态时，系统的解密模块工作；

B、加密模块，用于对待加密的明文进行加密处理，形成密文、完成加密，其包括处理器、公钥变换部件，待加密的明文被传输到处理器，其中处理器包含调度器、Hash探测器、存储器，Hash探测器计算明文的杂凑值，得到明文杂凑冗余数据，并将明文及其明文杂凑冗余数据存储在存储器里，然后将该明文数据传输至公钥变换部件中，公钥变换部件将明文数据代入公钥映射，即分别计算公钥映射的各个多变量多项式的值，得到加密后的密文，密文随后传输到处理器的存储器中存储，处理器将密文和明文杂凑冗余数据一起传输给其他用户的解密模块；

C、解密模块，用于对其他用户发来的密文和明文杂凑冗余数据进行解密处理，形成明文、完成解密，其包括处理器、仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，处理器将密文传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输给陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，将多项式求逆运算所得的一组或多组的解传输到同构部件进行同构运算，再传输到仿射变换求逆部件二进行仿射变换求逆运算，最终传输到处理器，对传输过来的一组或多组的数据，处理器分别计算这些数据的杂凑值，若某组数据的杂凑值与明文杂凑冗余数据相等，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。

多变量公钥加密/解密系统首次使用前，需要进行初始化，如下所示：

（1）除陷门部件外，系统所有部件的算术运算都是建立在一个阶为q、特征为2的有限域F上，其中q=2^k，

（2）选取一个度为

的不可约多项式f(y)∈F[y]，然后定义有限域F的n维扩域E=F[y]/(f(y))，显然，扩域E是同构于

且有qⁿ个元素，陷门部件的所有运算都是基于扩域E的；

（3）令多变量公钥密码系统的方程个数为n，变量个数也为n；

（4）在同构部件里，令

是扩域E到Fⁿ的标准F-线性同构，它具有以下的性质：

类似地，在同构求逆部件里，定义

是Fⁿ到E的同构映射，它具有以下的性质：

（5）在仿射变换求逆部件一里，令是从Fⁿ到Fⁿ的随机选择的可逆仿射变换，类似地，在仿射变换求逆部件二里，也令

是从Fⁿ到Fⁿ的随机选择的可逆仿射变换；

（6）在陷门部件里，定义扩域E上的一个陷门单向函数G(X)，它的形式如下

G(X)=g(X)^t,

其中， $g\left(X\right)=\underset{i=1}{\overset{d}{\mathrm{\Σ}}}(X-h_i),X,h_i\∈E,d=\mathrm{deg}\left(g\left(X\right)\right),D=\mathrm{deg}\left(G\left(X\right)\right),{t\∈Z}_{q^n}$ 且gcd(t,qⁿ-1)=1；另外，记v是t的逆，则有关系式t·v≡1mod(qⁿ-1)；

（7）在公钥变换部件里，设

是一个从Fⁿ到Fⁿ的中心映射，它的形式为：

$\stackrel{\‾}{P}(x_1,...,x_n)=({\stackrel{\‾}{p}}_1(x_1,...,x_n),...,{\stackrel{\‾}{p}}_n(x_1,...,x_n))$

其中，是基域F上的n元多项式；

（8）在公钥变换部件里，也设P是一个从Fⁿ到Fⁿ的公钥映射，它的形式为：

P(x₁,...,x_n)=(p₁(x₁,...,x_n),...,p_n(x₁,...,x_n))

其中，

是基域F上的n元多项式；

（9）初始化中心映射和公钥映射P，令其分别为：

（10）以上相关映射的数据在系统初始化之后是存储在存储器里，在系统工作过程中，它们是由调度器控制和调度到各个相应的部件里进行相关操作的。

初始化完成后，系统就可以正式使用。

一种多变量公钥加密/解密方法，包含以下顺序的步骤：

（1）加密过程：

a、当选择器处于开状态时，系统的加密模块工作，选择器与处理器的调度器相连，其中，处理器包含调度器、Hash探测器和存储器，待加密的明文(x₁',...,x_n')∈Fⁿ传输到处理器后，Hash探测器计算其杂凑值(h₁',...,h_j')=Hash(x₁',...,x_n')，得到明文杂凑冗余数据(h₁',...,h_j')，其中Hash(·)是密码学上安全的单向函数，然后将明文及其杂凑冗余数据存储在存储器里；

b、将该明文(x₁',...,x_n')传输至公钥变换部件中，公钥变换部件将数据代入公钥映射P(x₁,...,x_n)里，即分别计算各个多变量多项式p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')的值，其值分别记为y₁',...,y_n'，数据(y₁',...,y_n')就是加密后的密文；

c、密文(y₁',...,y_n')随后传输到处理器中存储，处理器再将密文(y₁',...,y_n')与明文杂凑冗余数据(h₁',...,h_j')一起传输给其他用户的解密模块；

（2）解密过程：

a、当选择器处于闭状态时，系统的解密模块工作，收到其他用户发来的密文(y₁',...,y_n')和明文杂凑冗余数据(h₁',...,h_j')后，处理器先将明文杂凑冗余数据(h₁',...,h_j')存储，再将密文(y₁',...,y_n')传输给仿射变换求逆部件一进行仿射变换求逆运算 $({\stackrel{\‾}{y}}_1,...,{\stackrel{\‾}{y}}_n)=T^{-1}({y_1}^{\′},...,{y_n}^{\′});$

b、然后将

传输到同构求逆部件进行同构求逆运算

c、接着将

传输给陷门部件，分别进行模求幂运算、多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算

然后多项式求逆部件利用概率的Berlekamp算法，求出

关于未知变量的解，此解可能有多组，且最多为d组，因此将该解集记为

d、将传输到同构部件进行同构运算

e、再将所得数据传输到仿射变换求逆部件二进行仿射变换求逆运算 $({x_{i1}}^{\′},...,{x_{\mathrm{in}}}^{\′})=S^{-1}({\stackrel{\‾}{x}}_{i1},...,{\stackrel{\‾}{x}}_{\mathrm{in}});$

f、最终将(x_i1',...,x_in')传输到处理器，处理器分别计算(x_i1',...,x_in')的杂凑值，若某组i的数据(x_i1',...,x_in')的杂凑值与明文杂凑冗余数据(h₁',...,h_j')相等，则将该组数据(x_i1',...,x_in')作为解密后的明文输出；若对于所有的i都有(x_i1',...,x_in')≠(h₁',...,h_j')，则处理器向用户输出解密错误的警告信息。

下面以一个具体的例子来详细介绍系统的初始化过程：

（1）除陷门部件外，所有部件的运算都是基于阶为q=2的有限域F上，其中，基域F包含2个元素，这些元素分别为{0,1}；

（2）选择不可约多项式f(y)=y⁵+y²+1，然后定义F的扩域E=F[y]/(f(y))，其包含2⁵=32个元素；

（3）系统里的方程个数和变量个数均为n=5；

（4）在同构部件里，有式子在同构求逆部件里，有式子

（5）在仿射变换求逆部件一里，初始化 $T=\left(\begin{array}{ccccc}0& 1& 1& 0& 1\\ 0& 0& 1& 1& 0\\ 1& 1& 0& 1& 0\\ 0& 1& 0& 0& 0\\ 0& 0& 0& 1& 0\end{array}\right)\left(\begin{array}{c}{x}_1\\ x_2\\ x_3\\ x_4\\ x_5\end{array}\right)+\left(\begin{array}{c}1\\ 0\\ 1\\ 0\\ 1\end{array}\right),$ 在仿射变换求逆部件二里，初始化 $T=\left(\begin{array}{ccccc}0& 0& 0& 1& 0\\ 1& 0& 1& 0& 1\\ 0& 1& 0& 0& 0\\ 0& 1& 0& 0& 1\\ 1& 0& 0& 0& 0\end{array}\right)\left(\begin{array}{c}{x}_1\\ x_2\\ x_3\\ x_4\\ x_5\end{array}\right)+\left(\begin{array}{c}1\\ 0\\ 0\\ 1\\ 0\end{array}\right);$

（6）在陷门部件里，初始化g为

g(X)=[X-(y⁴+y³+y²)][X-(y³+y²+y+1)][X-(y⁴+y³+1)]则d=3，另外，初始化t=16，则有G(X)=g(X)¹⁶=X⁴⁸+y³X³²+(y⁴+y³+y+1)X¹⁶+y⁴+y³+y²+y+1；

（7）在公钥变换部件里，容易通过式子

得到公钥变换P的具体式，其分别包括以下5个式子：

p₁(x₁,x₂,x₃,x₄,x₅)=x₁x₂+x₁x₃+x₁x₄+x₁+x₂x₃+x₃x₄+x₃x₅+x₄x₅+1

p₂(x₁,x₂,x₃,x₄,x₅)=x₁x₂+x₁x₃+x₂x₅+x₃x₄+x₃x₅+x₄+1

p₃(x₁,x₂,x₃,x₄,x₅)=x₁x₅+x₂x₃+x₂+x₃x₅+x₄x₅+x₅+1

p₄(x₁,x₂,x₃,x₄,x₅)=x₁x₂+x₂x₃+x₄x₅

p₅(x₁,x₂,x₃,x₄,x₅)=x₁x₂+x₁x₄+x₁x₅+x₁+x₂x₄+x₃x₄+x₃+x₄+1

在系统初始化之后，下面将详细地描述对于明文(1,0,1,1,0)的加密和它的解密。另外，为了简单地说明整个加密和解密的过程，不失一般性可设明文(1,0,1,1,0)的杂凑值为(1,1,1)，在此实例中j=3。

加密过程：

（1）选择器处于开状态；

（2）对于待加密的明文M=(1,0,1,1,0)，处理器调用Hash探测器计算它的杂凑值(1,1,1)=Hash(M)，即得到明文杂凑冗余数据(1,1,1)，并将明文数据(1,0,1,1,0)和它的明文杂凑冗余数据(1,1,1)存储于存储器里，然后，处理器将明文(1,0,1,1,0)传输给公钥变换部件；

（3）公钥变换部件接收到数据后，与处理器进行交互，调用函数P，并分别计算p₁(1,0,1,1,0),...,p₅(1,0,1,1,0)，得到结果(1,0,1,0,0)，并将它返回存储器中；

（4）处理器将数据(1,0,1,0,0)作为明文(1,0,1,1,0)的密文，然后将密文(1,0,1,0,0)和它的明文杂凑冗余数据(1,1,1)一起输出给用户（或设备）；

解密过程：

（1）选择器处于闭状态；

（2）对于待解密的数据(1,0,1,0,0)和它的明文杂凑冗余数据(1,1,1)，输入端把它们传输给处理器并存于存储器中，然后处理器将密文数据(1,0,1,0,0)传输给仿射变换求逆部件一；

（3）仿射变换求逆部件一收到数据(1,0,1,0,0)后，先与处理器进行交互，调用程序并计算T^-1(1,0,1,0,0)=(1,0,1,1,1)，然后将结果(1,0,1,1,1)传给同构求逆部件；

（4）同构求逆部件接收到数据(1,0,1,1,1)后，先与处理器进行交互，然后对数据进行作用，将它映射为扩域F上的元素y⁴+y³+y²+1，并将其传输给陷门部件；

（5）陷门部件收到数据y⁴+y³+y²+1后，先与处理器进行交互，然后调用模求幂子部件，计算出t的逆v=2，进而计算(y⁴+y³+y²+1)^v，其结果为(y⁴+y³+y²+1)²=y⁴+y²+y，之后陷门部件调用多项式求逆子部件，求解出方程g(X)=y⁴+y²+y关于未知变量X的解，即方程

[X-(y⁴+y³+y²)][X-(y³+y²+y+1)][X-(y⁴+y³+1)]=y⁴+y²+y的解，其中方程的解集为{y³,y⁴+y³,y⁴+y³+y}。最后陷门部件将此解集{y³,y⁴+y³,y⁴+y³+y}传输给同构部件；

（6）同构部件接收到数据集{y³,y⁴+y³,y⁴+y³+y}后，先与处理器进行交互，然后将它们分别映射为基域F上的5维向量，得到{(0,0,0,1,0),(0,0,0,1,1),(0,1,0,1,1)}，最后同构部件将数据集{(0,0,0,1,0),(0,0,0,1,1),(0,1,0,1,1)}传递给仿射变换求逆部件二；

（7）仿射变换求逆部件二收到数据集{(0,0,0,1,0),(0,0,0,1,1),(0,1,0,1,1)}后，与处理器进行交互，运行程序并分别计算S^-1(0,0,0,1,0)、S^-1(0,0,0,1,1)和S^-1(0,1,0,1,1)，得到结果{(0,0,0,1,0),(1,0,1,1,0),(1,0,0,1,0)}，最后将此数据集返回给存储器；

（8）处理器调用Hash探测器，分别计算数据(0,0,0,1,0)、(1,0,1,1,0)和(1,0,0,1,0)的杂凑值，其中只有数据(1,0,1,1,0)的杂凑值为(1,1,1)，即Hash(1,0,1,1,0)=(1,1,1)，它等于存储器里的明文杂凑冗余数据(1,1,1)；

（9）处理器将数据(1,0,1,1,0)作为解密后的明文输出给用户（或设备）。

上述实施例为本发明较简单的实施方式，但本发明的实施方式并不受上述实施例的限制，本发明推荐的系统参数为：q=2，n=160，d=6和t=128，其安全级别可达到2¹⁰⁵，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (9)

1.一种多变量公钥加密/解密系统，其特征在于，包含：

A、加密模块，用于对待加密的明文进行加密处理，形成密文、完成加密，其包括处理器、公钥变换部件，待加密的明文传输到处理器后，处理器计算其杂凑值，得到相应的明文杂凑冗余数据，并存储明文和明文杂凑冗余数据，然后将明文数据传输至公钥变换部件中，通过将明文数据分别代入多变量多项式，得到加密后的密文，密文随后被传输到处理器中存储，处理器再将密文和明文杂凑冗余数据一起传输给其他用户的解密模块，此处的明文杂凑冗余数据起到探测明文的作用；

B、解密模块，用于对其他用户发来的密文和其明文杂凑冗余数据进行解密处理，形成明文、完成解密，其包括处理器、仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，收到密文和其明文杂凑冗余数据后，处理器先将明文杂凑冗余数据存储，然后将密文传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输到陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，将多项式求逆运算所得的一组或多组的解传输到同构部件进行同构运算，再传输到仿射变换求逆部件二进行仿射变换求逆运算，最终传输到处理器，对传输过来的一组或多组数据，处理器分别计算每组数据的杂凑值，若所得的某组数据杂凑值与预先存储在处理器中的明文杂凑冗余数据相等，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。

2.根据权利要求1所述的多变量公钥加密/解密系统，其特征在于，还包含选择器，其与处理器相连，当选择器处于开状态时，系统的加密模块工作，当选择器处于闭状态时，系统的解密模块工作。

3.根据权利要求2所述的多变量公钥加密/解密系统，其特征在于，所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

4.根据权利要求1所述的多变量公钥加密/解密系统，其特征在于，所述的处理器还包含Hash探测器、存储器，处理器中计算数据的杂凑值由Hash探测器完成，处理器中存储数据由存储器完成。

5.一种多变量公钥加密/解密方法，包含以下顺序的步骤：

（1）加密过程：

a、待加密的明文传输到处理器后，处理器计算其杂凑值，得到明文杂凑冗余数据，并存储明文和明文杂凑冗余数据；

b、将明文数据传输至公钥变换部件中，通过将明文数据代入多变量多项式，得到加密后的密文；

c、密文随后传输到处理器中存储，处理器将密文与明文杂凑冗余数据一起传输给其他用户的解密模块；

（2）解密过程：

a、收到其他用户发来的密文和明文杂凑冗余数据后，处理器先将明文杂凑冗余数据存储，再将密文传输给仿射变换求逆部件一进行仿射变换求逆运算；

b、然后传输到同构求逆部件进行同构求逆运算；

c、接着传输到陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，多项式求逆运算得一组或多组的解；

d、将多项式求逆运算所得的一组或多组的解传输到同构部件进行同构运算；

e、再传输到仿射变换求逆部件二进行仿射变换求逆运算；

f、最终传输到处理器，对传输过来的一组或多组的数据，处理器分别计算每组数据的杂凑值，若某组数据的杂凑值与处理器存储的明文杂凑冗余数据相等，则将该组数据作为解密后的明文存储并输出；若都不满足，处理器向用户输出解密错误的警告信息。

6.根据权利要求5所述的多变量公钥加密/解密方法，其特征在于，

所述的步骤（1）加密过程包含：

a、待加密的明文(x₁',...,x_n')∈Fⁿ传输到处理器后，处理器计算其杂凑值(h₁',...,h_j')=Hash(x₁',...,x_n')，得到明文杂凑冗余数据(h₁',...,h_j')，其中Hash(·)是密码学上安全的单向函数，存储明文和明文杂凑冗余数据；

b、将明文(x₁',...,x_n')数据传输至公钥变换部件中，公钥变换部件将明文数据代入公钥映射P(x₁,...,x_n)，即分别计算各个多变量多项式p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')的值，其值分别记为y₁',...,y_n'，(y₁',...,y_n')就是加密后的密文；

c、密文(y₁',...,y_n')随后传输到处理器中存储，处理器将密文(y₁',...,y_n')和明文杂凑冗余数据(h₁',...,h_j')一起传输给其他用户的解密模块；

步骤（2）解密过程包含：

a、收到其他用户发来的密文(y₁',...,y_n')和明文杂凑冗余数据(h₁',...,h_j')后，处理器先将明文杂凑冗余数据(h₁',...,h_j')存储，再将密文(y₁',...,y_n')传输给仿射变换求逆部件一进行仿射变换求逆运算

b、然后将传输到同构求逆部件进行同构求逆运算

c、接着将

传输给陷门部件，分别进行模求幂运算、多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算

然后多项式求逆部件利用概率的Berlekamp算法，求出

关于未知变量

的解，此解为一组或多组，且最多为d组，因此将该解集记为

d、将

传输到同构部件进行同构运算

e、再将所得数据传输到仿射变换求逆部件二进行仿射变换求逆运算

$({x_{i1}}^{\′},...,{x_{\mathrm{in}}}^{\′})=S^{-1}({\stackrel{\‾}{x}}_{i1},...,{\stackrel{\‾}{x}}_{\mathrm{in}});$

f、最终将(x_i1',...,x_in')传输到处理器，处理器计算(x_i1',...,x_in')的杂凑值，若某组i的数据(x_i1',...,x_in')的杂凑值与明文杂凑冗余数据(h₁',...,h_j')相等，则将该组数据(x_i1',...,x_in')作为解密后的明文输出；若对于所有的i都有(x_i1',...,x_in')≠(h₁',...,h_j')，则处理器向用户输出解密错误的警告信息。

7.根据权利要求5所述的多变量公钥加密/解密方法，其特征在于，在步骤（1）加密过程之前还包含以下步骤：当选择器处于开状态时，系统的加密模块工作，其中选择器与处理器相连；

在步骤（2）解密过程之前还包含以下步骤：当选择器处于闭状态时，系统的解密模块工作，其中选择器与处理器相连。

8.根据权利要求7所述的多变量公钥加密/解密方法，其特征在于，所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

9.根据权利要求5所述的多变量公钥加密/解密方法，其特征在于，所述的处理器还包含Hash探测器、存储器，处理器中计算数据的杂凑值由Hash探测器完成，处理器中存储数据由存储器完成。

Images