CN103973439A - 一种多变量公钥加密方法 - Google Patents

Abstract

本发明公开了一种多变量公钥加密方法。在密钥生成过程中，采用迭代方法构造矩阵，大大缩短了密钥的长度，便于密钥管理；采用概率加密，在加密中引入随机参数，解密方必须通过解密过程求解出该随机参数，并参与明文的解密，只有知道随机参数的大小才能正确解密明文，增加了攻击者破解密文的难度，即使在公钥相同的情况下密文也是不同的，公钥能以类似电话号码的形式公布，提高了加密安全性；基于组合优化困难问题和多变量二次多项式问题，能抵抗量子计算机的攻击，加解密速度快，能够运用于移动终端，如手机等；基于有限域上的运算，简化了运算过程；具有加法同态和减法同态，在特殊条件下具有乘法同态，能应用于云计算等新兴领域。

Description

一种多变量公钥加密方法

技术领域

本发明属于信息安全技术领域，更具体地，涉及一种多变量公钥加密方法。

背景技术

随着计算机和网络的不断发展，人们对信息的完整性、安全性要求越来越高，因此，密码学应运而生。公钥密码学由于其加密密钥和解密密钥不一样，成为了解决网络安全和信息安全的某些安全问题的关键手段。但是随着信息技术的不断发展，人们对系统的性能要求越来越高，不仅要求信息的完整性、安全性，还要求传递信息过程的简便性和快速性。

目前，主流对称密码的密钥管理和传递过程较复杂，且公钥密码的运算效率偏低，已越来越不能满足人们日益增长的物质文化需要。其次，随着手机或无线移动终端应用的普及，无纸化办公概念的提出，以及物联网的发展，手机或无线移动终端在我们生活中扮演的角色越来越重要，然而手机或无线移动终端的运行速度和资源都还无法和计算机相比，因此，在手机或无线移动终端等这种资源环境受限的应用情况下，传统的加密方案不再适用。此外，随着量子计算的提出，传统的加密方案受到极大的威胁，一旦量子计算机的成功研发，人们常用的公钥密码RSA、ECC将不再安全。

抗量子计算机攻击的公钥加密方法主要有基于格问题的NTRU算法、基于Hash函数的签名算法、基于纠错码的公钥密码体制以及多变量二次多项式(简称MQ)公钥密码体制和OUT2000公钥密码体制等，这些算法的便捷性和安全性，非常适用于智能卡等移动终端。公开号为CN103200001A的中国专利申请公开了一种多变量公钥加密方法，具有实现效率高，抗量子计算机攻击的特点。尽管如此，上述方法均存在存储的密钥较长，不便于密钥管理的问题。因此，为了让公钥密码能够更好地发展，更好地运用到生活中，急需研究安全快速的公钥密码算法。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种多变量公钥加密方法，大大缩短了密钥的长度，便于密钥管理，在加密中引入随机参数，是一种概率加密的方法，只有知道随机参数的大小才能正确解密明文，增加了攻击者破解密文的难度，能抵抗量子计算机的攻击，加解密速度快，能够运用于移动终端，如手机等。

为实现上述目的，本发明提供了一种多变量公钥加密方法，其特征在于，包括如下步骤：

(1)生成密钥，进一步包括如下步骤：

选取有限域Z及有限域Z中的k个整数p₁,p₂,…,p_i,…,p_k，其中，i为不大于k的正整数；在有限域Z上选取如下整数：(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和(x₁,x₂,…,x_i,…,x_k)；构造与(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和p₁,p₂,…,p_i,…,p_k相关的两组参数a₁₁,a₂₁,…,a_i1,…,a_k1和a₁₂,a₂₂,…,a_i2,…,a_k2，使a_i1和a_i2的二进制长度相同；

构造k×n维满秩矩阵A＝(a_ij)，j＝1,…,n，其中，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k;$

构造矩阵K_l×k和矩阵D_k×l，使其满足D·K＝λ·E_k×k，且l≥k，其中，E_k×k是单位矩阵，λ为任意整数；

计算矩阵C＝K·A＝(c_yj)，y＝1,...,l，选取正整数h，0＜h＜n，确定随机参数ε的取值范围[1,e]，其中，t为任意正整数；

选取l个整数P1,...,Pl，满足不等式 $\left\{\begin{array}{c}(\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{1j}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{1j}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ (\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_l\end{array}\right.,$ 得到P₁,...,P_l的最小公倍数N；

求解同余方程组 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ d_j=c_{\mathrm{lj}}\left(\mathrm{mod}{P}_l\right)\end{array}\right.,$ 得到向量d＝(d₁,d₂，…,d_j,…,d_n)；

将d和h一起作为公钥，或者将d、h和N一起作为公钥，对应的私钥至少包括(x₁,x₂,…,x_i,…,x_k)、p₁,p₂,…,p_i,…,p_k、P₁,...,P_l、(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和D；

(2)用公钥加密，进一步包括如下步骤：

获取明文M＝(m₁,…,m_n)，选定随机参数ε；

用步骤(1)得到的公钥以概率加密的方式对明文进行加密，得到密文C；

(3)用私钥解密，进一步包括如下步骤：

求解同余方程组 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ C_{\mathrm{Pl}}=C\mathrm{mod}{P}_l\end{array}\right.;$

计算[S_A1…S_Ak]^T＝D[C_P1…C_Pl]^T；

通过解密方法或者同步方法获取随机参数ε；

通过(S_A1,…,S_Ak)和随机参数ε求解得到明文M＝(m₁,…,m_n)。

优选地，所述步骤(1)中，a_i1＝β_i1p_i，

优选地，所述步骤(1)中，a_i1＝β_i1，a_i2＝β_i2p_i。

优选地，所述密文C由如下表达式中的任何一个得到：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;},$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}\mathrm{mod}N,$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}$ 和

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}\mathrm{mod}N.$

优选地，通过解密方法获取随机参数ε具体为：

计算同余方程组 $\left\{\begin{array}{c}\underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{1y}\&CenterDot;\mathrm{\&epsiv;}=S_{A1}\mathrm{mod}\left|\mathrm{\&lambda;}\right|p_1\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{2y}\&CenterDot;\mathrm{\&epsiv;}=S_{A2}\mathrm{mod}{p}_2\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{\mathrm{ky}}\&CenterDot;\mathrm{\&epsiv;}=S_{\mathrm{Ak}}\mathrm{mod}{p}_k\end{array}\right.$ 得到随机参数ε，其中，|λ|表示整数λ的绝对值，为矩阵D的第i行所有元素之和。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下有益效果：

(1)在密钥生成过程中，采用迭代方法构造矩阵，大大缩短了密钥的长度，便于密钥管理。

(2)采用概率加密，在加密中引入随机参数，解密方必须通过解密过程求解出该随机参数，并参与明文的解密，只有知道随机参数的大小才能正确解密明文，增加了解密或攻击者破解密文的难度，即使在公钥相同的情况下密文也是不同的，公钥能以类似电话号码的形式公布，提高了加密安全性。而普通的概率公钥中的随机参数是直接通过某种手段滤除，解密密文与此随机参数无关，使破解密文的难度降低。

(3)基于组合优化困难问题和多变量二次多项式(MQ)问题，能抵抗量子计算机的攻击，加解密速度快，能够运用于移动终端，如手机等。

(4)基于有限域上的运算，而不是基于多项式上的运算，简化了运算过程。

(5)具有加法同态和减法同态，在特殊条件下具有乘法同态，能应用于云计算等新兴领域。

附图说明

图1是公钥加密方法在通信中的应用原理示意图；

图2是本发明实施例的多变量公钥加密方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

图1是公钥加密方法在通信中的应用原理示意图，如图1所示，用户通过密钥对生成器生成公私钥对，将公钥发送给可信第三方，由可信第三方制作成公钥密码本，并发送给每一个用户。这里的可信第三方可以是类似于移动、联通这种可信第三方。用户的处理器既可以是加密器也可以是解密器，当用户作为加密方、通信的发起方时，其对应的处理器用作加密器，当用户作为解密方、通信的接收方时，其对应的处理器用作解密器。判别处理器用作加密处理还是解密处理的方法是看其信息的输入方式，如果信息是从发送/接收器输入，则处理器用作解密器，如果信息是从其他渠道(如键盘等)输入，则处理器用作加密器。

当用户A要与用户B通信时，用户A通过查询公钥密码本，得到目标用户B的公钥密码——公钥B8；公钥B8、明文A6和随机数发生器A2产生的随机数作为输入，输入到用作加密器的处理器A1中。处理器A1通过加密得到密文C，输出的密文C通过发送/接收器A7和信道发送给用户B。用户B通过发送/接收器B7将密文C输入到处理器B1中，处理器B1用作解密器。处理器B1通过调用用户B的私钥——私钥B4进行解密，得到明文B6。当用户B要与用户A通信时，原理相同，此处就不赘述了。

如图2所示，本发明实施例的多变量公钥加密方法包括如下步骤：

(1)生成密钥，进一步包括如下步骤：

选取有限域Z及有限域Z中的k个整数p₁,p₂,…,p_i,…,p_k，其中，i为不大于k的正整数；在有限域Z上选取如下整数：(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和(x₁,x₂,…,x_i,…,x_k)；构造与(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和p₁,p₂,…,p_i,…,p_k相关的两组参数a₁₁,a₂₁,…,a_i1,…,a_k1和a₁₂,a₂₂,…,a_i2,…,a_k2，使得a_i1和a_i2的二进制长度相同，具体地，a_i1＝β_i1p_i，或者a_i1＝β_i1，a_i2＝β_i2p_i；

构造k×n维满秩矩阵A＝(a_ij)，j＝1,…,n，其中，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k;$

构造矩阵K_l×k和矩阵D_k×l，使其满足D·K＝λ·E_k×k，且l≥k，其中，E_k×k是单位矩阵，λ为任意整数；

计算矩阵C＝K·A＝(c_yj)，其中，y＝1,...,l，选取正整数h，其中，0＜h＜n，确定随机参数ε的取值范围[1,e]，其中，t为任意正整数；

选取l个整数P1,...,Pl，满足不等式 $\left\{\begin{array}{c}(\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{1j}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{1j}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ (\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_l\end{array}\right.,$ 得到P₁,...,P_l的最小公倍数N；

求解同余方程组 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ d_j=c_{\mathrm{lj}}\left(\mathrm{mod}{P}_l\right)\end{array}\right.,$ 得到向量d＝(d₁,d₂,…,d_j,…,d_n)；具体地，如果P₁,...,P_l两两互素，则可以通过中国剩余定理求解d_j；如果P₁,...,P_l不是两两互素，则可以通过其它方法计算d_j；

将d和h一起作为公钥k_p，或者将d、h和N一起作为公钥k_p，对应的私钥k_s至少包括(x₁,x₂,…,x_i,…,x_k)、p₁,p₂,…,p_i,…,p_k、P₁,...,P_l、(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和D；

(2)用公钥加密，进一步包括如下步骤：

获取明文M＝(m₁,…,m_n)，选定随机参数ε；

用步骤(1)得到的公钥以概率加密的方式对明文进行加密，得到密文C；具体地，C可以由如下表达式中的任何一个得到：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}---\left(1\right)$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}\mathrm{mod}N---\left(2\right)$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}---\left(3\right)$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}\mathrm{mod}N---\left(4\right)$

(3)用私钥解密，进一步包括如下步骤：

求解同余方程组 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ C_{\mathrm{Pl}}=C\mathrm{mod}{P}_l\end{array}\right.;$

计算[S_A1…S_Ak]^T＝D[C_P1…C_Pl]^T；

通过解密方法或者同步方法获取随机参数ε；具体地，如果采用式(1)或式(2)的加密方式，一般通过同步方法获取随机参数ε，如果采用式(3)或式(4)的加密方式，一般通过解密方法获取随机参数ε；通过解密方法获取随机参数ε具体为：

计算同余方程组 $\left\{\begin{array}{c}\underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{1y}\&CenterDot;\mathrm{\&epsiv;}=S_{A1}\mathrm{mod}\left|\mathrm{\&lambda;}\right|p_1\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{2y}\&CenterDot;\mathrm{\&epsiv;}=S_{A2}\mathrm{mod}{p}_2\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{\mathrm{ky}}\&CenterDot;\mathrm{\&epsiv;}=S_{\mathrm{Ak}}\mathrm{mod}{p}_k\end{array}\right.$ 得到随机参数ε，其中，|λ|表示整数λ的绝对值，为矩阵D的第i行所有元素之和；

通过(S_A1,…,S_Ak)和随机参数ε求解得到明文M＝(m₁,…,m_n)。

为使本领域技术人员更好地理解本发明，下面结合具体实施例，对本发明的多变量公钥加密方法进行详细说明。应当说明的是，下述实施例仅为本发明方法的优选实施例，实施例中各步骤的实现顺序不应理解为对本发明的限制。

实施例1

通过解密方法获取随机参数ε，本方法包括如下步骤：

(1)生成密钥。进一步包括如下步骤：

(1-1)采用迭代方式构造k×n维满秩矩阵A。进一步包括如下步骤：

(1-1-1)确定k＝2。

(1-1-2)选取有限域Z，及有限域Z中的2个整数p₁，p₂。

(1-1-3)选取有限域Z上的如下整数：(β₁₁,β₁₂)、(β₂₁,β₂₂)和(x₁,x₂)。令a₁₁＝β₁₁p₁, $a_{12}={\mathrm{\&beta;}}_{12}{p}_1^2,$ a₂₁＝β₂₁p₂, $a_{22}={\mathrm{\&beta;}}_{22}{p}_2^2.$

(1-1-4)构造矩阵A＝(a_ij)，其中，i＝1,2，j＝1,…,n，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k.$

(1-2)通过混淆或扩散方式F得到向量d＝(d₁,d₂,…,d_j,…,d_n)，其中，d_j通过如下方式求解：

(A1)选取整数t,s,γ,c,δ,h，使其同时满足以下3个条件：(a)γc-δ<max(s,t)<δ；(b)2.2<h<n-2；(c)gcd(R₁,R₃)＝1。其中，R₁＝δ(X+Y)m+c,R₃＝1+γ(X+Y)m,m＝p₁p₂-1,e＝tp₁p₂-1。

其中， $X={\mathrm{\&Sigma;}}_{j=1}^h{a}_{1j}+{\mathrm{\&Sigma;}}_{j=h+1}^n{a}_{1j}e,Y={\mathrm{\&Sigma;}}_{j=1}^h{a}_{2j}+{\mathrm{\&Sigma;}}_{j=h+1}^n{a}_{2j}e.$

选取正整数R₂，使R₂|(R₁-1)，gcd(R₂,R₃)＝1，且R₂>c，构造矩阵K_3×2和矩阵D_2×3，选择任意正整数z₁，z₂。

$K=\left[\begin{array}{cc}s& s+t\\ s+\mathrm{\&gamma;}{R}_1-\mathrm{\&delta;}{R}_3& s+t+\mathrm{\&gamma;}{R}_1-\mathrm{\&delta;}{R}_3\\ s+\mathrm{\&gamma;}{R}_1& s+t+\mathrm{\&gamma;}{R}_1\end{array}\right]$

$D=\left[\begin{array}{ccc}-\mathrm{\&delta;}{R}_3{z}_1& s+t+\mathrm{\&gamma;}{R}_1(1+z_1)& -s-t+(\mathrm{\&delta;}{R}_3-\mathrm{\&gamma;}{R}_1)(1+z_1)\\ -\mathrm{\&delta;}{R}_3{z}_2& -s-\mathrm{\&gamma;}{R}_1(1-z_2)& s-(\mathrm{\&delta;}{R}_3-\mathrm{\&gamma;}{R}_1)(1-z_2)\end{array}\right]$

(A2)计算矩阵C＝K·A＝(c_yj)，y＝1,2,3。

(A3)选取3个整数P₁＝R₁，P₂＝R₂R₃，P₃＝R₁R₃。

(A4)求解同余方程组 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ d_j=c_{2j}\left(\mathrm{mod}{P}_2\right)\\ d_j=c_{3j}\left(\mathrm{mod}{P}_3\right)\end{array}\right.,$ 如果P₁、P₂和P₃不是两两互

素，具体计算公式为：

d_j＝(s+γR₁-R₁R₃δ)a_1j+(s+t+γR₁-R₁R₃δ)a_2jmodN

(1-3)将d＝(d₁,...,d_n),N＝R₁R₂R₃和h一起作为公钥，将β₁₁,β₁₂,β₂₁,β₂₂,D,P₁,P₂,P₃,p₁,p₂,x₁,x₂一起作为对应的私钥。

(2)用公钥加密。进一步包括如下步骤：

(2-1)获取明文M＝(m₁,m₂,…,m_j,…,m_n)，选定随机参数ε；

(2-2)用步骤(1)得到的公钥对明文进行加密，得到密文C为：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}\mathrm{mod}N$

(3)用私钥解密。进一步包括如下步骤：

(3-1)求解同余方程组 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1\\ C_{P2}=C\mathrm{mod}{P}_2\\ C_{P3}=C\mathrm{mod}{P}_3\end{array}\right..$

(3-2)计算 $\left[\begin{array}{c}{S}_{A1}\\ S_{A2}\end{array}\right]=D\&CenterDot;{\left[\begin{array}{ccc}{C}_{P1}& C_{P2}& C_{P3}\end{array}\right]}^T.$

(3-3)通过解密方法获取ε。

具体地，计算 $\left\{\begin{array}{c}{\mathrm{\&delta;R}}_3\mathrm{\&epsiv;}=S_{A1}\mathrm{mod}{\mathrm{\&delta;R}}_3{\mathrm{tp}}_1\\ -{\mathrm{\&delta;R}}_3\mathrm{\&epsiv;}=S_{A2}{\mathrm{mod}p}_2\end{array}\right.,$ 得 $\left\{\begin{array}{c}\mathrm{\&epsiv;}=S_{A1}/\mathrm{\&delta;}{R}_3\mathrm{mod}{\mathrm{tp}}_1\\ \mathrm{\&epsiv;}=-{\left({\mathrm{\&delta;R}}_3\right)}^{-1}{S}_{A2}\mathrm{mod}{p}_2\end{array}\right.,$ 得到ε为模tp₁p₂下的唯一解。

(3-4)通过S_A1,S_A2和ε求解得到明文M＝(m₁,m₂,…,m_j,…,m_n)。进一步包括如下步骤：

(3-4-1)根据私钥β₁₁,β₁₂,β₂₁,β₂₂,p₁,p₂，当j>2时，利用公式 $\left\{\begin{array}{c}{\mathrm{\&beta;}}_{1j}=x_1{\mathrm{\&beta;}}_{1(j-2)}-{\mathrm{\&beta;}}_{1(j-1)}\\ {\mathrm{\&beta;}}_{2j}=x_2{\mathrm{\&beta;}}_{2(j-2)}-{\mathrm{\&beta;}}_{2(j-1)}\end{array}\right.,$ 计算参数(β₁₃,…,β_1n)以及(β₂₃,…,β_2n)。

(3-4-2)当j＝1时，计算 $\left\{\begin{array}{c}{s}_{11}=(S_{A1}-{\mathrm{\&delta;R}}_3\mathrm{\&epsiv;})/(-{\mathrm{\&delta;R}}_3{\mathrm{tp}}_1)\\ s_{21}=(S_{A2}+{\mathrm{\&delta;R}}_3\mathrm{\&epsiv;})/(-{\mathrm{\&delta;R}}_3{\mathrm{tp}}_2)\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_1={\mathrm{\&beta;}}_{11}^{-1}{s}_{11}\mathrm{mod}{p}_1\\ m_1={\mathrm{\&beta;}}_{21}^{-1}{s}_{21}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m₁为模p₁p₂下的唯一解。

(3-4-3)当j＝2,...,h时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_j={\mathrm{\&beta;}}_{1j}^{-1}{s}_{1j}\mathrm{mod}{p}_1\\ m_j={\mathrm{\&beta;}}_{2j}^{-1}{s}_{2j}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_j为模p₁p₂下的唯一解。

(3-4-4)当j＝h+1时，计算 $\left\{\begin{array}{c}{s}_{1(h+1)}=(s_{1h}-{\mathrm{\&beta;}}_{1h}{m}_h)/\mathrm{\&epsiv;}{p}_1\\ s_{2(h+1)}=(s_{2h}-{\mathrm{\&beta;}}_{2h}{m}_h)/\mathrm{\&epsiv;}{p}_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_{h+1}={\mathrm{\&beta;}}_{1(h+1)}^{-1}{s}_{1(h+1)}\mathrm{mod}{p}_1\\ m_{h+1}={\mathrm{\&beta;}}_{2(h+1)}^{-1}{s}_{2(h+1)}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_h+1为模p₁p₂下唯一解。

(3-4-5)当j＝h+2,…,n时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_j={\mathrm{\&beta;}}_{1j}^{-1}{s}_{1j}\mathrm{mod}{p}_1\\ m_j={\mathrm{\&beta;}}_{2j}^{-1}{s}_{2j}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_j为模p₁p₂下的唯一解。

实施例2

通过同步方法获取随机参数ε，本方法包括如下步骤：

(1)生成密钥。进一步包括如下步骤：

(1-1)采用迭代方式构造k×n维满秩矩阵A。进一步包括如下步骤：

(1-1-1)确定k＝2。

(1-1-2)选取有限域Z，及有限域Z中的2个整数p₁，p₂。

(1-1-3)在有限域Z上选取如下整数：(β₁₁,β₁₂)、(β₂₁,β₂₂)和(x₁,x₂)。令a₁₁＝β₁₁,a₁₂＝β₁₂p₁,a₂₁＝β₂₁,a₂₂＝β₂₂p₂。

(1-1-4)构造矩阵A＝(a_ij)，其中，i＝1,2，j＝1,…,n，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k.$

(1-2)通过混淆或扩散方式F得到向量d＝(d₁,d₂,…,d_j,…,d_n)，其中，d_j通过如下方式求解：

(A1)选取整数t,s,γ,c,δ,h，使其同时满足以下3个条件：(a)γc-δ<max(s,t)<δ；(b)2.2<h<n-2；(c)gcd(R₁,R₃)＝1。其中，R₁＝δ(X+Y)m+c,R₃＝1+γ(X+Y)m,m＝p₁p₂-1,e＝tp₁p₂-1。

其中， $X={\mathrm{\&Sigma;}}_{j=1}^h{a}_{1j}+{\mathrm{\&Sigma;}}_{j=h+1}^n{a}_{1j}e,Y={\mathrm{\&Sigma;}}_{j=1}^h{a}_{2j}+{\mathrm{\&Sigma;}}_{j=h+1}^n{a}_{2j}e.$

选取正整数R₂，使R₂|(R₁-1)，gcd(R₂,R₃)＝1，且R₂>c，构造矩阵K_3×2和矩阵D_2×3，选择任意正整数z₁，z₂。

$K=\left[\begin{array}{cc}s& s+t\\ s+\mathrm{\&gamma;}{R}_1-\mathrm{\&delta;}{R}_3& s+t+\mathrm{\&gamma;}{R}_1-\mathrm{\&delta;}{R}_3\\ s+\mathrm{\&gamma;}{R}_1& s+t+\mathrm{\&gamma;}{R}_1\end{array}\right]$

$D=\left[\begin{array}{ccc}-\mathrm{\&delta;}{R}_3{z}_1& s+t+\mathrm{\&gamma;}{R}_1(1+z_1)& -s-t+(\mathrm{\&delta;}{R}_3-\mathrm{\&gamma;}{R}_1)(1+z_1)\\ -\mathrm{\&delta;}{R}_3{z}_2& -s-\mathrm{\&gamma;}{R}_1(1-z_2)& s-(\mathrm{\&delta;}{R}_3-\mathrm{\&gamma;}{R}_1)(1-z_2)\end{array}\right]$

(A2)计算矩阵C＝K·A＝(c_yj)，y＝1,2,3。

(A3)选取3个整数P₁＝R₁，P₂＝R₂R₃，P₃＝R₁R₃。

(A4)求解同余方程组 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ d_j=c_{2j}\left(\mathrm{mod}{P}_2\right)\\ d_j=c_{3j}\left(\mathrm{mod}{P}_3\right)\end{array}\right.,$ 如果P₁、P₂和P₃不是两两互素，具体计算公式为：

d_j＝(s+γR₁-R₁R₃δ)a_1j+(s+t+γR₁-R₁R₃δ)a_2jmodN

(1-3)将d＝(d₁,...,d_n)和h一起作为公钥，将β₁₁,β₁₂,β₂₁,β₂₂,D,P₁,P₂,P₃,p₁,p₂,x₁,x₂,t一起作为对应的私钥。

(2)用公钥加密。进一步包括如下步骤：

(2-1)获取明文M＝(m₁,m₂,…,m_j,…,m_n)，选定随机参数ε。

(2-2)用步骤(1)得到的公钥对明文进行加密，得到密文C为：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}$

(3)用私钥解密。进一步包括如下步骤：

(3-1)求解同余方程组 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1\\ C_{P2}=C\mathrm{mod}{P}_2\\ C_{P3}=C\mathrm{mod}{P}_3\end{array}\right..$

(3-2)计算 $\left[\begin{array}{c}{S}_{A1}\\ S_{A2}\end{array}\right]=D\&CenterDot;{\left[\begin{array}{ccc}{C}_{P1}& C_{P2}& C_{P3}\end{array}\right]}^T.$

(3-3)通过同步方法获取ε。

同步的方法有很多，如外同步等。通信双方在同步的情况下即可获取参数ε。

(3-4)通过S_A1,S_A2和ε求解得到明文M＝(m₁,m₂,…,m_j,…,m_n)。进一步包括如下步骤：

(3-4-1)根据私钥β₁₁,β₁₂,β₂₁,β₂₂,_p1,_p2，当j>2时，利用公式 $\left\{\begin{array}{c}{\mathrm{\&beta;}}_{1j}=x_1{\mathrm{\&beta;}}_{1(j-2)}-{\mathrm{\&beta;}}_{1(j-1)}\\ {\mathrm{\&beta;}}_{2j}=x_2{\mathrm{\&beta;}}_{2(j-2)}-{\mathrm{\&beta;}}_{2(j-1)}\end{array}\right.,$ 计算参数(β₁₃,…,β_1n)以及(β₂₃,…,β_2n)。

(3-4-2)当j＝1时，计算 $\left\{\begin{array}{c}{s}_{11}=\left(S_{A1}\mathrm{\&delta;}\right)/(-{\mathrm{\&delta;R}}_3{\mathrm{tp}}_1)\\ s_{21}=\left(S_{A2}\right)/(-{\mathrm{\&delta;R}}_3{\mathrm{tp}}_2)\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_1={\mathrm{\&beta;}}_{11}^{-1}{s}_{11}\mathrm{mod}{p}_1\\ m_1={\mathrm{\&beta;}}_{21}^{-1}{s}_{21}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m₁为模p₁p₂下的唯一解。

(3-4-3)当j＝2,...,h时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_j={\mathrm{\&beta;}}_{1j}^{-1}{s}_{1j}\mathrm{mod}{p}_1\\ m_j={\mathrm{\&beta;}}_{2j}^{-1}{s}_{2j}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_j为模p₁p₂下的唯一解。

(3-4-4)当j＝h+1时，计算 $\left\{\begin{array}{c}{s}_{1(h+1)}=(s_{1h}-{\mathrm{\&beta;}}_{1h}{m}_h)/\mathrm{\&epsiv;}{p}_1\\ s_{2(h+1)}=(s_{2h}-{\mathrm{\&beta;}}_{2h}{m}_h)/\mathrm{\&epsiv;}{p}_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_{h+1}={\mathrm{\&beta;}}_{1(h+1)}^{-1}{s}_{1(h+1)}\mathrm{mod}{p}_1\\ m_{h+1}={\mathrm{\&beta;}}_{2(h+1)}^{-1}{s}_{2(h+1)}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_h+1为模p₁p₂下的唯一解。

(3-4-5)当j＝h+2,…,n时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_i={\mathrm{\&beta;}}_{1i}^{-1}{s}_{1i}\mathrm{mod}{p}_1\\ m_i={\mathrm{\&beta;}}_{2i}^{-1}{s}_{2i}\mathrm{mod}{p}_2\end{array}\right.,$ 得到m_j为模p₁p₂下的唯一解。

实施例3

本方法包括如下步骤：

(1)生成密钥。进一步包括如下步骤：

(1-1)采用迭代方式构造k×n维满秩矩阵A。进一步包括如下步骤：

(1-1-1)确定k＝2，n＝4。

(1-1-2)选取有限域Z，及有限域Z中的2个整数数p₁＝3，p₂＝7。

(1-1-3)选取有限域Z上的如下整数：β₁₁＝28，β₁₂＝10，β₂₁＝345，β₂₂＝52，x₁＝5，x₂＝9。令a₁₁＝β₁₁p₁＝84，a₂₁＝β₂₁p₂＝2415， $a_{22}={\mathrm{\&beta;}}_{22}{p}_2^2=2548.$

(1-1-4)构造矩阵A＝(a_ij)，其中，i＝1,2，j＝1,…,4，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k.$

$A=\left[\begin{array}{cccc}84& 90& 108& 81\\ 2415& 2458& 5145& 2401\end{array}\right]$

(1-2)通过混淆或扩散方式F得到向量d＝(d₁,d₂,d₃,d₄)，向量d_j通过如下方式求解：

(A1)构造矩阵K_3×2和矩阵D_2×3：

选取整数t＝1，s＝4，γ＝3，δ＝2，h＝2，c＝1。

R₁＝6393481，R₂＝2，R₃＝9590221。

$K=\left[\begin{array}{cc}4& 5\\ 5& 6\\ 19180447& 19180448\end{array}\right],D=\left[\begin{array}{ccc}-19180442& 38360891& -7\\ -38360884& 19180439& 3\end{array}\right]$

(A2)计算矩阵C＝K·A＝(c_yj)，y＝1,2,3。

$C=K\&CenterDot;A=\left[\begin{array}{cccc}12411& 13100& 26157& 12329\\ 14910& 15738& 31410& 14811\\ 47931939468& 50598021734& 100754893236& 47605871855\end{array}\right];$

(A3)选取3个整数P₁＝R₁，P₂＝R₂R₃，P₃＝R₁R₃：

P₁＝6393481，P₂＝19180442，P₃＝61314895749301。

(A4)计算 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ d_j=c_{2j}\left(\mathrm{mod}{P}_2\right)\\ d_j=c_{3j}\left(\mathrm{mod}{P}_3\right)\end{array}\right.,$ 得到

d＝[47931939468,50598021734,100754893236,47605871855]

(1-3)将d，N＝122629791498602，h＝2一起作为公钥，将β₁₁＝28，β₁₂＝10，β₂₁＝345，β₂₂＝52,D,P₁＝6393481，P₂＝19180442，P₃＝61314895749301,p₁＝3,p₂＝7,x₁＝5,x₂＝9,t＝1作为对应的私钥。

(2)用公钥加密。进一步包括如下步骤：

(2-1)设给定明文M＝[1,11,3,2]，选定随机参数ε＝3。

(2-2)用步骤(1)得到的公钥对明文进行加密，得到密文C为：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}\mathrm{mod}N=1796939448799$

(3)用私钥解密。进一步包括如下步骤：

(3-1)计算 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1=465901\\ C_{P2}=C\mathrm{mod}{P}_2=559587\\ C_{P3}=C\mathrm{mod}{P}_3=1796939448799\end{array}\right..$

(3-2)计算 $\left[\begin{array}{c}{S}_{A1}\\ S_{A2}\end{array}\right]=D\&CenterDot;{\left[\begin{array}{ccc}{C}_{P1}& C_{P2}& C_{P3}\end{array}\right]}^T=\left[\begin{array}{c}-48507337818\\ -1748431551394\end{array}\right].$

(3-3)通过解密方法获取ε：

计算 $\left\{\begin{array}{c}{s}_1=S_{A1}/(-{\mathrm{\&delta;}{R}_3}_{})=2529\\ s_2=S_{A2}/(-{\mathrm{\&delta;R}}_3)=91157\end{array}\right.,\left\{\begin{array}{c}\mathrm{\&epsiv;}=-s_1\mathrm{mod}3\\ \mathrm{\&epsiv;}=s_2\mathrm{mod}7\end{array}\right.,$ 得ε＝3。

(3-4)通过S_A1,S_A2和ε求解得到明文M＝(m₁,m₂,…,m_j,…,m_n)。进一步包括如下步骤：

(3-4-1)根据私钥β₁₁,β₁₂,β₂₁,β₂₂,p₁,p₂，当j>2时，利用公式 $\left\{\begin{array}{c}{\mathrm{\&beta;}}_{1j}=x_1{\mathrm{\&beta;}}_{1(j-2)}-{\mathrm{\&beta;}}_{1(j-1)}\\ {\mathrm{\&beta;}}_{2j}=x_2{\mathrm{\&beta;}}_{2(j-2)}-{\mathrm{\&beta;}}_{2(j-1)}\end{array}\right.,$ 计算参数 $\left\{\begin{array}{c}{[\mathrm{\&beta;}}_{11},\&CenterDot;\&CenterDot;\&CenterDot;,{\mathrm{\&beta;}}_{14}]=\left[\begin{array}{cccc}28& 10& 4& 1\end{array}\right]\\ [{\mathrm{\&beta;}}_{21},\&CenterDot;\&CenterDot;\&CenterDot;,{\mathrm{\&beta;}}_{24}]=\left[\begin{array}{cccc}345& 52& 15& 1\end{array}\right]\end{array}\right..$

(3-4-2)当j＝1时，计算 $\left\{\begin{array}{c}{s}_{11}=(s_1+\mathrm{\&epsiv;})/{\mathrm{tp}}_1=844\\ s_{21}=(s_2-\mathrm{\&epsiv;})/{\mathrm{tp}}_2=13022\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_1={\mathrm{\&beta;}}_{11}^{-1}{s}_{11}\mathrm{mod}{p}_1\\ m_1={\mathrm{\&beta;}}_{21}^{-1}{s}_{21}\mathrm{mod}{p}_2\end{array}\right.,$ 得m₁＝1。

(3-4-3)当j＝2时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1=272\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2=1811\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_j={\mathrm{\&beta;}}_{1j}^{-1}{s}_{1j}\mathrm{mod}{p}_1\\ m_j={\mathrm{\&beta;}}_{2j}^{-1}{s}_{2j}\mathrm{mod}{p}_2\end{array}\right.,$ 得m₂＝11。

(3-4-4)当j＝3时，计算 $\left\{\begin{array}{c}{s}_{1(h+1)}=(s_{1h}-{\mathrm{\&beta;}}_{1h}{m}_h)/\mathrm{\&epsiv;}{p}_1=18\\ s_{2(h+1)}=(s_{2h}-{\mathrm{\&beta;}}_{2h}{m}_h)/\mathrm{\&epsiv;}{p}_2=59\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_{h+1}={\mathrm{\&beta;}}_{1(h+1)}^{-1}{s}_{1(h+1)}\mathrm{mod}{p}_1\\ m_{h+1}={\mathrm{\&beta;}}_{2(h+1)}^{-1}{s}_{2(h+1)}\mathrm{mod}{p}_2\end{array}\right.,$ 得m₃＝3。

(3-4-5)当j＝4时，计算 $\left\{\begin{array}{c}{s}_{1j}=(s_{1(j-1)}-{\mathrm{\&beta;}}_{1(j-1)}{m}_{j-1})/p_1=2\\ s_{2j}=(s_{2(j-1)}-{\mathrm{\&beta;}}_{2(j-1)}{m}_{j-1})/p_2=2\end{array}\right.$ 和 $\left\{\begin{array}{c}{m}_j={\mathrm{\&beta;}}_{1j}^{-1}{s}_{1j}\mathrm{mod}{p}_1\\ m_j={\mathrm{\&beta;}}_{2j}^{-1}{s}_{2j}\mathrm{mod}{p}_2\end{array}\right.,$ 得m₄＝2。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种多变量公钥加密方法，其特征在于，包括如下步骤：

(1)生成密钥，进一步包括如下步骤：

选取有限域Z及有限域Z中的k个整数p₁,p₂,…,p_i,…,p_k，其中，i为不大于k的正整数；在有限域Z上选取如下整数：(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和(x₁,x₂,…,x_i,…,x_k)；构造与(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和p₁,p₂,…,p_i,…,p_k相关的两组参数a₁₁,a₂₁,…,a_i1,…,a_k1和a₁₂,a₂₂,…,a_i2,…,a_k2，使a_i1和a_i2的二进制长度相同；

构造k×n维满秩矩阵A＝(a_ij)，j＝1,…,n，其中，j>2时， $a_{\mathrm{ij}}=x_i{p}_i^2{a}_{i(j-2)}-p_i{a}_{i(j-1)}\mathrm{mod}{p}_i^k;$

构造矩阵K_l×k和矩阵D_k×l，使其满足D·K＝λ·E_k×k，且l≥k，其中，E_k×k是单位矩阵，λ为任意整数；

计算矩阵C＝K·A＝(c_yj)，y＝1,...,l，选取正整数h，0＜h＜n，确定随机参数ε的取值范围[1,e]，其中，t为任意正整数；

选取l个整数P₁,...,P_l，满足不等式 $\left\{\begin{array}{c}(\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{1j}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{1j}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ (\underset{j=1}{\overset{h}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}+\underset{j=h+1}{\overset{n}{\mathrm{\&Sigma;}}}{c}_{\mathrm{lj}}\&CenterDot;e)\&CenterDot;\underset{i=1}{\overset{k}{\mathrm{\&Pi;}}}{p}_i<P_l\end{array}\right.,$ 得到P₁,...,P_l的最小公倍数N；

求解同余方程组 $\left\{\begin{array}{c}{d}_j=c_{1j}\left(\mathrm{mod}{P}_1\right)\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ d_j=c_{\mathrm{lj}}\left(\mathrm{mod}{P}_l\right)\end{array}\right.,$ 得到向量d＝(d₁,d₂,…,d_j,…,d_n)；

将d和h一起作为公钥，或者将d、h和N一起作为公钥，对应的私钥至少包括(x₁,x₂,…,x_i,…,x_k)、p₁,p₂,…,p_i,…,p_k、P₁,...,P_l、(β₁₁,β₁₂),(β₂₁,β₂₂),…,(β_i1,β_i2),…,(β_k1,β_k2)和D；

(2)用公钥加密，进一步包括如下步骤：

获取明文M＝(m₁,…,m_n)，选定随机参数ε；

用步骤(1)得到的公钥以概率加密的方式对明文进行加密，得到密文C；

(3)用私钥解密，进一步包括如下步骤：

求解同余方程组 $\left\{\begin{array}{c}{C}_{P1}=C\mathrm{mod}{P}_1\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ C_{\mathrm{Pl}}=C\mathrm{mod}{P}_l\end{array}\right.;$

计算[S_A1…S_Ak]^T＝D[C_P1…C_Pl]^T；

通过解密方法或者同步方法获取随机参数ε；

通过(S_A1,…,S_Ak)和随机参数ε求解得到明文M＝(m₁,…,m_n)。

2.如权利要求1所述的多变量公钥加密方法，其特征在于，所述步骤(1)中，a_i1＝β_i1p_i，

3.如权利要求1所述的多变量公钥加密方法，其特征在于，所述步骤(1)中，a_i1＝β_i1，a_i2＝β_i2p_i。

4.如权利要求1至3中任一项所述的多变量公钥加密方法，其特征在于，所述密文C由如下表达式中的任何一个得到：

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;},$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}\mathrm{mod}N,$

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}$ 和

$C={\mathrm{\&Sigma;}}_{i=1}^h{d}_i{m}_i+{\mathrm{\&Sigma;}}_{i=h+1}^n{d}_i{m}_i\mathrm{\&epsiv;}+\mathrm{\&epsiv;}\mathrm{mod}N.$

5.如权利要求1至4中任一项所述的多变量公钥加密方法，其特征在于，通过解密方法获取随机参数ε具体为：

计算同余方程组 $\left\{\begin{array}{c}\underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{1y}\&CenterDot;\mathrm{\&epsiv;}=S_{A1}\mathrm{mod}\left|\mathrm{\&lambda;}\right|p_1\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{2y}\&CenterDot;\mathrm{\&epsiv;}=S_{A2}\mathrm{mod}{p}_2\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ \underset{y=1}{\overset{l}{\mathrm{\&Sigma;}}}{d}_{\mathrm{ky}}\&CenterDot;\mathrm{\&epsiv;}=S_{\mathrm{Ak}}\mathrm{mod}{p}_k\end{array}\right.$ 得到随机参数ε，其中，|λ|表示整数λ的绝对值，为矩阵D的第i行所有元素之和。