CN104270247B

CN104270247B - 适用于量子密码系统的高效泛Hash函数认证方法

Info

Publication number: CN104270247B
Application number: CN201410230418.1A
Authority: CN
Inventors: 曾光; 马智; 魏正超; 杨阳; 王洪
Original assignee: PLA Information Engineering University
Current assignee: PLA Information Engineering University
Priority date: 2014-05-23
Filing date: 2014-05-23
Publication date: 2018-05-01
Anticipated expiration: 2034-05-23
Also published as: CN104270247A

Abstract

本发明公开了一种适用于量子密码系统的高效泛Hash函数认证方案，方案采用基于字的设计方式，方案将双方共享密钥和字线性反馈移位寄存器初始化完成后，利用字线性反馈移位寄存器的迭代和矢量乘法器，将认证消息和寄存器状态依次进行矢量乘法，并通过累加器累加，最后与随机数异或得到消息认证码，再将认证消息和消息认证码一起发送给另一方，达到身份认证的功能。本发明认证方案设计原理清晰、设计方式公开、不存在任何人为安全缺陷；所构成的认证方案可达到理想的安全属性，并具有占用资源少、可移植性好、平台适应性强的特点，可以为量子密码系统提供高效的身份认证功能。

Description

适用于量子密码系统的高效泛Hash函数认证方法

技术领域

本发明涉及息安全领域中的身份认证方法，特别是涉及一种适用于量子密码系统的高效泛Hash函数认证方法。

背景技术

量子通信是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的产物。它主要是利用量子纠缠效应进行信息传递，其研究主要涉及量子密码通信、量子远程传态和量子密集编码等。其中，量子密码通信实际上是一个密钥分发(QKD)的过程，其安全性主要依赖于量子力学中的海森堡不确定原理、单量子不可克隆定理和量子的不可分割性，使得窃听者的任何获取信息的操作都会因破坏量子态而被发现。以量子为载体的通信，具有以往经典通信所没有的安全优势，因而量子安全通信受到密码学界和物理学界的高度重视。

在量子通信的经典BB84协议中，通信是由两个阶段共同完成的：第一阶段在量子通道进行密码的通信；第二阶段在经典通道进行密码的协商，检测窃听者是否存在，确定密码的内容，最终完成整个量子通信。该协议是假定收发双方都是合法的，而在实际的通信过程，不排除可能两端用户A1ice或Bob有假冒的可能，因此有必要加入身份认证这一过程。

身份认证技术是能一种能够对信息的收发方进行身份鉴别的技术，是保护信息安全的第一道大门，它的任务是识别、验证网络信息系统中用户身份的合法性、真实性以及抗抵赖性。传统的身份认证办法有很多种，如基于RSA，离散对数，椭圆曲线等身份认证方法，但是这些方法存在着面临量子计算的威胁，即它们是计算安全的。而量子通信中的认证需要达到无条件安全级别，故只能采用1979年Wegam和Carter提出的由Universal Hash族(泛Hash函数族)构造的无条件安全认证模型。使用这类函数族可以用少量共享密钥生成消息认证码，不知道密钥的窃听者只能以非常小的概率伪造有效的消息认证码，而且窃听者成功的概率不受攻击者计算能力的影响，从而保证了通信双方进行身份认证时的安全性。目前泛Hash函数有很多，如Toeplitz矩阵、UMAC、GMAC、Poly1305-AES等都是这类函数。Toeplitz矩阵和UMAC认证方法是量子密码系统常使用的方法。二者从安全性和实现效率相比来讲，后者效率较高但是需要的密钥量较多，实际中常使用密钥扩展，而这又降低了安全性；前者实现效率不高，同时安全参数与认证消息长度有关，不适合高速、大认证数据环境下使用。作为具有无条件安全属性的现代量子保密通信网络，各种机密、敏感、隐私数据的传输量将大大增加，这对无条件安全的认证技术的安全属性、速度和便捷性，提出了更高的要求。设计具有我国自主知识产权、满足现代量子保密通信网需求的认证方法，对推进我国量子保密通信技术的发展具有非常重要的理论及现实意义。

发明内容

本发明的目的是：

提供一种适用于量子密码系统的高效泛Hash函数认证方法。

本发明的技术方法是：

适用于量子密码系统的高效泛Hash函数认证方法，方法整体框架分为三个部分：组件A，一个基于字的σ-线性反馈移位寄存器(σ-LFSR)，作为方法的Toeplitz矩阵生成部分，该σ-LFSR共有n级，每一级含有s比特；

组件B，一个向量乘法器，作为算法的非线性变换部分，它可以完成两个s维向量到有限域元素的转换，然后进行有限域乘法，最后执行向量到有限域转换的逆变换，输出s比特向量；

组件C，累加器部分，实现所有乘法器输出的累加，并最终和随机数累加。

方法中组件A、组件B、组件C的基本处理单元都是s比特，算法首先完成初始化工作，然后进行消息迭代处理过程，在每次迭代更新组件A时，将新的消息块与寄存器状态进行向量乘法，然后送入累加器，最终异或随机数得到消息认证码。

认证方法采用的泛Hash函数为h_A,b＝A.M+b，其中A为n×m的s-分块矩阵，M＝(m₀,m₁,…,m_m-1)^T为长度为sm bit的消息，b＝(b₀,b₁,…,b_n-1)^T为sn bit的随机数，其由量子密钥分配过程产生并存储在保密环境中，其中s为块的长度单位，认证方法具体包括如下步骤：

A)组件初始化，将双方共享的sn比特密钥值、字线性反馈移位寄存器的反馈逻辑、随机数和认证消息经过一系列的填充，置入到各部件的寄存器中；

B)泛Hash计算，组件A每迭代一步更新当前寄存器的状态值(s_j，s_j+1，…s_j+n-1)，然后消息分块与当前寄存器的状态进入组件B，即计算向量乘积

将结果反馈到累加器中进行累加，最终得到

C)随机数异或。当所有消息处理完成后，累加器得到的结果需要和随机数做运算，计算

此即为此时输出的n块消息认证码。

步骤A中所述填充方式具体过程如下：寄存器的初始化是将sn比特密钥K＝k_n-1,k_n-2,…,k₀分成n个连续的s比特块，并将其作为σ-LFSR的初态，即(s_n-1,s_n-2,…,s₀)＝K，k_n-1是高位s比特，k₀是低位s比特,消息的填充方式是在消息后面首先填充一个1，然后填充若干个零，使得消息的总长度为分块的倍数，即是s的倍数。如果原始的消息恰好为s的倍数，也需要填充一个形如“1000…”的s比特填充块。

步骤B中σ-LFSR和向量乘法器的更新方式如下：

1)σ-LFSR的更新方式:组件A在初始化后按照如下的规则进行σ-LFSR的状态更新：

S₀＝S₁；

S₁＝S₂；

…

S_n-2＝S_n-1；

S_n-1＝TMP_A；

其中A₀,…,A_n-1由σ-LFSR定义，TMP_A为s比特字，(S_n-1,S_n-2,…,S₀)的初始值为K。

2)向量乘法器的更新方式:组件B由有限域的一组基和有限域中的乘法构成，其更新方式为将输入两个s维向量通过有限域的基转化为两个有限域元素，然后做有限域乘法，再将其转换为一个s维向量输出。

本发明的有益效果是：

1)方法组件基于指令特性设计，采用自主研究的基于字的反馈移位寄存器作为认证方法的重要部件。结合Toeplitz矩阵认证方法，既保证了安全性，又降低了实现的复杂度。

2)采用字间运算与同规模有限域运算相结合的设计框架，能够有效地增强信息扩散与混乱的程度，提高了抵典型攻击攻击的能力，方法设计方式新颖。

3)方法适用范围广，实现可用少量基本指令完成，适合软件和硬件快速实现，而且资源消耗少，适用于低资源计算平台。

附图说明

下面结合附图和实施例对本发明作进一步详细说明

图1为本发明身份认证流程图；

图2为本发明方法整体框架图。

具体实施方式

下面将结合附图，对本发明的技术方法作进一步的描述。

本发明是一个身份认证方法，方法采用基于字的设计方式，方法将双方共享密钥和字线性反馈移位寄存器初始化完成后，利用字线性反馈移位寄存器的迭代和向量乘法器，将认证消息和寄存器状态依次进行向量乘法，并通过累加器累加，最后与随机数异或得到消息认证码，再将认证消息和消息认证码一起发送给另一方，达到身份认证的功能。

下面详细叙述本发明的技术方法

1.方法整体框架

方法整体框架分为三个部分：

组件A：一个基于字的σ-线性反馈移位寄存器(σ-LFSR)，作为方法的Toeplitz矩阵生成部分，该σ-LFSR共有n级，每一级含有s比特。σ-LFSR是设计者自主提出的一类基于字的特殊类型的反馈移位寄存器，详细研究结果参加公开文章。

组件B：一个向量乘法器，作为算法的非线性变换部分，它可以完成两个s维向量到有限域元素的转换，然后进行有限域乘法，最后执行向量到有限域转换的逆变换，输出s比特向量。

组件C：累加器部分，实现所有乘法器输出的累加，并最终和随机数累加。

2.术语及符号说明

认证方法采用的泛Hash函数为h_A,b＝A.M+b，其中A为n×m的s-分块矩阵，M＝(m₀,m₁,…,m_m-1)^T为长度为sm bit的消息，b＝(b₀,b₁,…,b_n-1)^T为sn bit的随机数由量子密钥分配过程产生并存储在保密环境中，其中s为块的长度单位，一般为8bit的倍数。

矩阵A为块Toeplitz矩阵，由字线性反馈移位寄存器构造。具有如下形式：

其中为二元有限域，A_i是上的s×s阶矩阵，对于角标i＝0,1,…,m+n-1都成立，矩阵A的构造由认证方法的密钥和其第一列(A₀,A₁,…,A_n-1)完全确定，设K＝(s_n-1,s_n-2,…,s₀)为认证方法的sn比特密钥，视为s维二元向量空间上的n维向量，字线性反馈移位寄存器通过如下递归关系生成上的向量序列s＝s₀,s₁,…

其中为异或操作，s_k是中的行向量，A_i是特征2中定义的上的s×s阶矩阵。注意基本指令中的“与运算、移位运算”都可等价为上的s×s阶矩阵。

对于任意一个s比特消息m_j和s×s阶矩阵A_i，i＝0,1,…,m+n-1,j＝0,1,…,m-1，则特征1中的s维向量与s×s阶矩阵的乘法由有限域中的乘法定义。即给定一组基可以将中的行向量m_j和s_i视为有限域中的元素，则其中表示有限域定义的乘法。

一步迭代：即移存器按规则运动一步并输出s比特状态。

数据描述格式：左高右低方式。

数据存贮格式：小数在前的格式存储，即字的低位字节放在低地址字节上。

符号的含义：

& 按位与运算模2加运算

<<n 左移n位运算 >>s 右移s位运算

rotr(n) 循环右移n位 rotl(n) 循环左移n位

|| 数据的级联向量乘法器

s 字块的基本长度 m 认证消息的块数

n 消息认证码的块数 M 认证消息

A 块Toeplitz矩阵 b n块长度随机数

A₀,…,A_n-1 σ-LFSR的递归矩阵

(S_n-1,S_n-2,…,S₀) σ-LFSR的状态寄存器

s＝s₀,s₁,… σ-LFSR生成的字序列

K 方法的初始密钥(sn比特)

MAC 方法的得到的消息认证码(sn比特)

3.方法流程

认证方法的前提条件：认证双方Alice和Bob共享密钥K。

身份认证流程参见图1：Alice和Bob共享密钥K，然后发送方Alice将认证消息M和密钥K通过认证方法计算得到消息认证码，并将消息M和消息认证码通过网络传送给接收方Bob。接收方同样利用消息M和共享密钥K计算消息认证码，比较是否与接收到的值一致，如果一致则通过Alice的身份认证。

本发明方法包含σ-LFSR、向量乘法器、累加器三个组件，执行一次包含以下三个过程：

1)组件初始化。将双方共享的sn比特密钥值、字线性反馈移位寄存器的反馈逻辑、随机数和认证消息经过一系列的填充，置入到各部件的寄存器中，寄存器的初始化是将sn比特密钥K＝k_n-1，kn-2,…,k₀分成n个连续的s比特块，并将其作为σ-LFSR的初态，即(s_n-1,s_n-2,…,s₀)＝K，k_n-1是高位s比特，k₀是低位s比特。

消息的填充方式是在消息后面首先填充一个1，然后填充若干个零，使得消息的总长度为分块的倍数，即是s的倍数。如果原始的消息恰好为s的倍数，也需要填充一个形如“1000…”的s比特填充块。

2)泛Hash计算。组件A每迭代一步更新当前寄存器的状态值(s_j，s_j+1，…s_j+n-1)，然后消息分块与当前寄存器的状态进入组件B，即计算向量乘积

将结果反馈到累加器中进行累加，最终得到组件A在初始化后按照如下的规则进行σ-LFSR的状态更新：

S₀＝S₁；

S₁＝S₂；

…

S_n-2＝S_n-1；

S_n-1＝TMP_A；

组件B由有限域的一组基和有限域中的乘法构成，其更新方式为将输入两个s维向量通过有限域的基转化为两个有限域元素，然后做有限域乘法，再将其转换为一个s维向量输出。

具体的设{α₀,α₁,…,α_s-1}为有限域在上的一组基，在这组基下可视为上的s维向量空间利用这组基有同构于故可以用向量表示有限域中的元素。设输入的两个字为和于是可以构造中的两个元素α＝x₀α₀+x₁α₁+…x_s-1α_s-1和β＝y₀α₀+y₁α₁+…y_s-1α_s-1。计算α·β＝γ，再利用给出的基将γ写为γ＝z₀α₀+z₁α₁+…z_s-1α_s-1。从而组件B对于输入x和y的向量乘积为

3)随机数异或。当所有消息处理完成后，累加器得到的结果需要和随机数做运算，计算

此即为此时输出的n块消息认证码。

三个组件A、B、C的基本处理单元都是s比特，通过基本的逻辑运算生成消息认证码。算法首先完成初始化工作，然后进行正常消息迭代处理过程，在每次迭代更新组件A时，将新的消息块与寄存器状态进行向量乘法，然后送入累加器，最终异或随机数得到MAC。

本发明认证方法框图参见图2，图中A部分可以为任意的本原σ-LFSR，图中采用字长为8的8级本原σ-多项式

F(x)＝x⁸+&0x7f x⁷+rotl(3)x⁴+rotr(5)x+1

作为示例，故图1中的每个寄存器为8比特(即s＝8)，最终的消息认证码为64比特。

4.本发明的随机性测试

测试方法：根据密钥和认证消息的特点生成5类数据，分别产生消息认证码，将所有寄存器的中间状态级联测试随机性。

测试软件：利用NIST和DIEHARD随机性测试软件进行了测试，其标准与美国商务部国家标准技术协会(NIST)于2001年5月公布的FIPS140-2相兼容。

测试内容：完成30种随机性测试，包含NIST软件提供的15种和DIAHARD软件提供的15种随机性测试，

测试结果：测试结果表明方法的计算过程具有良好的伪随机性质。

5.本发明的安全性分析

随着认证技术的快速发展和普及应用，攻击方法呈现出日趋多样化的特点。当前，认证的主要攻击方法有长度扩展攻击、第二原像攻击、随机碰撞攻击等。本方法的设计采用了泛Hash函数族，可以在理论上保证无条件的安全性，即本发明基于σ-LFSR的字Toeplitz结构是ε-平衡的，其中ε≤1/2^ns-1。

上述结论表明，在不知道密钥的情况下，攻击者通过任何攻击方法产生的消息认证码，与随机选取一个消息认证码作为候选没有任何区别。也就是在现有计算资源条件下，算法可以抵抗所有攻击。正由于方法拥有完美的安全属性，本发明特别适合在量子密码系统中使用。

Claims

1.适用于量子密码系统的高效泛Hash函数认证方法，其特征在于，

组件A，一个基于字的σ-线性反馈移位寄存器，作为方法的Toeplitz矩阵生成部分，该基于字的σ-线性反馈移位寄存器共有n级，每一级含有s比特；

组件B，一个向量乘法器，作为方法的非线性变换部分，它可以完成两个s维向量到有限域元素的转换，然后进行有限域乘法，最后执行向量到有限域转换的逆变换，输出s比特向量；

组件C，累加器部分，实现所有乘法器输出的累加，并最终和随机数异或；

组件A、组件B、组件C的基本处理单元的大小都是s比特，方法首先完成初始化工作，然后进行消息迭代处理过程，在每次迭代更新组件A时，将新的消息块与基于字的σ-线性反馈移位寄存器状态进行向量乘法，然后送入累加器，最终异或随机数得到消息认证码；

认证方法采用的泛Hash函数为h_A,b＝A·M+b，其中A为n×m的Toeplitz矩阵，由基于字的σ-线性反馈移位寄存器构造，M＝(m₀,m₁,…,m_m-1)^T为长度为sm bit的消息，b＝(b₀,b₁,…,b_n-1)^T为sn bit的随机数，由量子密钥分配过程产生并存储在保密环境中，其中s为块的长度单位，认证方法具体包括如下步骤：

A)组件初始化，将双方共享的sn比特密钥值、基于字的σ-线性反馈移位寄存器的反馈逻辑、随机数和认证消息经过一系列的填充，置入到组件A的基于字的σ-线性反馈移位寄存器中；

B)泛Hash计算，组件A每迭代一步更新当前基于字的σ-线性反馈移位寄存器的状态值(s_j,s_j+1,…s_j+n-1)，然后消息分块与当前基于字的σ-线性反馈移位寄存器的状态值进入组件B，即计算向量乘积

<mrow> <msub> <mi>m</mi> <mi>j</mi> </msub> <mo>&CircleTimes;</mo> <mrow> <mo>(</mo> <msub> <mi>s</mi> <mi>j</mi> </msub> <mo>,</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>,</mo> <mo>...</mo> <mo>,</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>=</mo> <mrow> <mo>(</mo> <msub> <mi>m</mi> <mi>j</mi> </msub> <mo>&CircleTimes;</mo> <msub> <mi>s</mi> <mi>j</mi> </msub> <mo>,</mo> <msub> <mi>m</mi> <mi>j</mi> </msub> <mo>&CircleTimes;</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>,</mo> <mo>...</mo> <mo>,</mo> <msub> <mi>m</mi> <mi>j</mi> </msub> <mo>&CircleTimes;</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>,</mo> </mrow>

将结果反馈到累加器中进行累加，最终得到

C)随机数异或，当所有消息处理完成后，累加器得到的结果需要和随机数做运算，计算

<mrow> <mi>M</mi> <mi>A</mi> <mi>C</mi> <mo>=</mo> <mo>&lsqb;</mo> <msubsup> <mo>&CirclePlus;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>m</mi> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <msub> <mi>m</mi> <mi>j</mi> </msub> <mo>&CircleTimes;</mo> <mrow> <mo>(</mo> <msub> <mi>s</mi> <mi>j</mi> </msub> <mo>,</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>,</mo> <mo>...</mo> <msub> <mi>s</mi> <mrow> <mi>j</mi> <mo>+</mo> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>&rsqb;</mo> <mo>&CirclePlus;</mo> <mrow> <mo>(</mo> <msub> <mi>b</mi> <mn>0</mn> </msub> <mo>,</mo> <msub> <mi>b</mi> <mn>1</mn> </msub> <mo>,</mo> <mo>...</mo> <mo>,</mo> <msub> <mi>b</mi> <mrow> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>,</mo> </mrow>

此即为此时输出的n块消息认证码。

2.根据权利要求1所述的适用于量子密码系统的高效泛Hash函数认证方法，其特征在于，步骤A中所述填充方式具体过程如下：基于字的σ-线性反馈移位寄存器的初始化是将sn比特密钥K＝k_n-1,k_n-2,…,k₀分成n个连续的s比特块，并将其作为基于字的σ-线性反馈移位寄存器的初态，即(s_n-1,s_n-2,…,s₀)＝K，k_n-1是高位s比特，k₀是低位s比特,消息的填充方式是在消息后面首先填充一个1，然后填充若干个零，使得消息的总长度为分块的倍数，即是s的倍数；如果原始的消息恰好为s的倍数，也需要填充一个形如“1000…”的s比特填充块。

3.根据权利要求1所述的适用于量子密码系统的高效泛Hash函数认证方法，其特征在于，步骤B中基于字的σ-线性反馈移位寄存器和向量乘法器的更新方式如下：

1)基于字的σ-线性反馈移位寄存器的更新方式:组件A在初始化后按照如下的规则进行基于字的σ-线性反馈移位寄存器的状态更新：

S₀＝S₁；

S₁＝S₂；

…

S_n-2＝S_n-1；

S_n-1＝TMP_A；

其中A₀,…,A_n-1由基于字的σ-线性反馈移位寄存器定义，TMP_A为s比特字，(S_n-1,S_n-2,…,S₀)的初始值为K；