CN105281914B - 一种基于格密码的秘密握手方法 - Google Patents

Abstract

本发明涉及一种基于格密码的秘密握手方法。所述方法包括如下步骤：(1)群组的初始化；(2)群组成员E和F要进行秘密握手，假设E有一个未使用的伪名用户F有一个未使用的伪名E发送给F；(3)F将接收E发送的消息进行相应的计算认证后发送给E；(4)E将收到的F发送的消息进行相应的计算认证后发送给F；(5)F验证后握手过程完成。本发明在认证结束后，同组用户可以知道对方是同一个组织，不同组的用户不会获取认证对方的任何隐私信息。方案可以保证对安全性的需求：完整性、抵抗冒充攻击、检测依赖和不可关联性。

Description

一种基于格密码的秘密握手方法

技术领域

本发明具体涉及一种基于格密码的秘密握手方法，属于通信领域。

背景技术

秘密握手方案是一种隐私保护的匿名双向认证方案，它的基本功能是允许从属于不同组织的不同成员间秘密地相互认证及通信。目前，许多基于不同密码学技术实现的双方秘密握手方案被提出。赵春明等人提出了一种不经意的基于数字签名的电子信封，周岚等人提出了基于椭圆曲线和DSA的三方秘密握手方案，温雅敏等人提出了基于k+1平方根和离散对数的新型可授权的秘密双向认证协议等。而现有的方案中大多数都是基于因式分解难题、离散对数难题、椭圆曲线难题等，这些经典数学难题在量子计算模型下是不安全的。量子计算模型可以同时进行指数级别的运算，也就是说，传统计算模型需要指数时间完成的运算，量子计算模型只需要多项式时间，这是因为一个量子比特可以同时具有多种状态，而不像电子比特只能具有两种状态。这将使得这些传统的难题将不再是难题。

在这种应用的需求下，基于格理论下的密码机制逐步开始变得成熟。不仅仅是因为格密码在某些困难问题假设下可以抵抗量子攻击，它还有很多其他的优点，首先，从理论上来说，格密码是基于最坏情况困难问题假设，这比基于数论平均情况困难问题的假设要弱，也就是说安全性更强；其次，在实现方面，格密码的基本运算只有矩阵和向量的模乘运算，而模数通常是小素整数，运算简单，不需要“大数”函数库的支持；另外，由于格结构的规整性和运算特点，很容易构造并行算法，事实上，格规约和格取样算法都由CPU并行实现。

在后量子时代，秘密握手方案仍然很重要，但目前为止还没有这样的方案被提出。

发明内容

本发明针对后量子时代计算特点提出了可以应对某些假设条件下的量子攻击。理论上能够满足秘密握手方案中的安全及保密要求。

本发明提供一种基于格密码的秘密握手方法，所述方法包括如下步骤：

(1)群组的初始化；

(2)群组成员E和F要进行秘密握手，假设E有一个未使用的伪名用户F有一个未使用的伪名(1≤i,j≤t)，E发送值给F；

(3)F接收E发送的消息进行相应的计算认证后发送给F(E)；

(4)E接收F发送的消息进行相应的计算认证后发送给F；

(5)F验证后握手过程完成。

进一步地，如上所述的基于格密码的秘密握手方法，所述步骤(1)按照以下步骤进行：

(1a)运行SHS.Setup算法，选择一个安全参数n，一个大于等于3的素数q，一些正整数m>5nlogq，k和λ；设置高斯参数δ＝12sλm；

(1b)运行SHS.CreateGroup算法生成一个群组的参数；首先运行TrapGen(q,n)，输 出一个近似的一致性矩阵一个Λ^⊥(A)中的基矩阵且满足选择S 满足S←{-1,0,1}^m×k，则T←AS，对于任意一个正数α，如果满足σ＝αT,那么常量否则M＝O(1)；选择6个互不相同的哈希函数H₁、H₂、H₃、H₄、H₅、H₆，他们分别 为： 选择一个 秩为n的随机矩阵β的值设定为群组的公钥pk＝{A,C,β,H₁,H₂,H₃,H₄,H₅, H₆}，秘钥为sk＝B；

(1c)有新用户U加入群组时按照下面的步骤进行；由GA验证用户身份的真实性，在 验证完成后，GA为用户生成一些一次性伪名ID并产生相应的组证书cred_ID；如果t是用户U在 加入之前握手最大值，GA选择独有的伪名对于每一个,1 ≤i≤t，GA运行算法得到一个矩阵并且设置GA持有值；然后GA将一次性伪名和一次 性证书一起通过安全通道传送给用户U。

进一步地，如上所述的基于格密码的秘密握手方法，所述步骤(2)的具体内容如下:

2a)E随机选择满足μ₁||μ₂的值取哈希的结果，并且满足|μ₁|＝l₂，|μ₂|＝l₁；

2b)E计算μ_E＝H₅(μ₁)||(H₆(H₅(μ₁))⊕μ₁)；

2c)E选择一个随机的矩阵并且计算

2d)E计算和

2e)E以概率输出结果如果什么也没有输出，返回步骤(2)，反之进行下一步；

2f)E发送值给F。

进一步地，如上所述的基于格密码的秘密握手方法，所述步骤(3)具体如下：

3a)F计算按照恢复μ₁ 的值；

3b)F验证H₅(μ₁)和的值，如果F进行下一步，否则，F拒绝握手，并终止此次握手过程；

3c)F随机选取满足并且将的值作为θ₁||θ₂的值，满足条件|θ₁|＝l₂，|θ₂|＝l₁，F计算μ_F＝H₅(θ₁)||(H₆(H₅(θ₁))⊕θ₁)；

3d)F选择一个随机矩阵并且计算

3e)F计算

3f)F计算结果以为概率输出消息

如果什么也没有输出，返回步骤(3c)，否则进行下一步；

3g)F将发送给E。

进一步地，如上所述的基于格密码的秘密握手方法，所述步骤(4)按照下面步骤进行；

4a)E计算按照公式恢 复μ₁的值；

4b)如果并且E继续下一步，否 则，E拒绝握手并终止此次握手过程；

4c)到此步E已经确认F的身份是真实的，E计算并将它发送给F。

本发明提出了基于格的秘密握手方案。在认证结束后，同组的用户可以知道对方是同一个组织，不同组的用户不会获取认证对方的任何隐私信息。方案可以保证对安全性的需求：完整性、抵抗冒充攻击、检测依赖和不可关联性。

附图说明

图1为本发明基于格密码的秘密握手方法的整体流程图。

图2为E发送给F认证消息的步骤示意图。

图3为F发送给E认证消息的步骤示意图。

图4为E接收到F的验证消息后，发送给F的步骤示意图。

图5为认证双方共享秘钥的计算步骤示意图。

具体实施方式

下面结合附图和实施例对本发明进行详细的描述。

符号说明：

矩阵：黑体大写字母，如M

向量：小写字母加箭头，如

向量中第i的元素：向量加下标，如

为方便起见，向量有时候也被看作是一个字符串。

字符串的比特长度：|t|

字符串之间的连接：s||t

字符串的异或：s⊕t

字符串从左往右l比特：|s|^l

字符串从右往左l比特：|s|_l

正交向量矩阵：由矩阵S中向量{s₁,s₂,…,s_k}经过Gram-Schmidt正交化得到

Gram-Schmidt规范：矩阵S中向量的最大二维距离，即max_1≤i≤k||s_i||

如图1-5所示，本发明的方案的整个过程如下：

(1)群组的初始化

当要建立一个群组的时候按照以下步骤进行：

(1a)运行SHS.Setup算法，选择一个安全参数n，一个大于等于3的素数q，一些正整数m>5nlogq，k和λ。设置高斯参数δ＝12sλm。

(1b)运行SHS.CreateGroup算法生成一个群组的参数。首先运行TrapGen(q,n)输 出一个近似的一致性矩阵一个Λ^⊥(A)中的基矩阵且满足选择S 满足S←{-1,0,1}^m×k，则T←AS，对于任意一个正数α，如果满足σ＝αT,那么常量否则M＝O(1)；选择6个互不相同的哈希函数H₁、H₂、H₃、H₄、H₅、H₆，他们分别为： 选择一 个秩为n的随机矩阵β的值设定为群组的公钥pk＝{A,C,β,H₁,H₂,H₃,H₄,H₅, H₆}，秘钥为sk＝B。

(1c)有新用户U加入群组时按照下面的步骤进行。由GA验证用户身份的真实性，在 验证完成后，GA为用户产生一些一次性伪名ID并产生相应的组证书cred_ID；如果t是用户U在 加入之前握手最大值，GA选择独有的伪名对于每一个,1 ≤i≤t，GA运行算法得到一个矩阵并且设置GA持有值。然后GA将一次性伪名和一次 性证书一起通过安全通道传送给用户U。

(2)群组成员E和F要进行秘密握手，假设E有一个未使用的伪名用户F有一个未使用的伪名(1≤i,j≤t)。E发送给F；

根据附图2，此步骤的具体内容如下:

2a)E随机选择满足μ₁||μ₂的值取哈希的结果，并且满足|μ₁|＝l₂，|μ₂|＝l₁；

2b)E计算μ_E＝H₅(μ₁)||(H₆(H₅(μ₁))⊕μ₁)；

2c)E选择一个随机的矩阵并且计算

2d)E计算和

2e)E以概率输出结果如果什么也没有输出，返回步骤(2)，反之进行下一步；

2f)E发送值给F；

(3)F将接收E发送的消息进行相应的计算和处理。根据附图3，本步骤具体如下：

3a)F计算按照恢复μ₁ 的值

3b)F验证H₅(μ₁)和的值，如果F进行下一步，否则，F拒绝握手，并终止此次握手过程；

3c)F随机选取满足并且将的值作为θ₁||θ₂的值，满足条件|θ₁|＝l₂，|θ₂|＝l₁。F计算μ_F＝H₅(θ₁)||(H₆(H₅(θ₁))⊕θ₁)；

3d)F选择一个随机矩阵并且计算

3e)F计算

3f)F计算结果以为概率输出消息

如果什么也没有输出，返回步骤(3c)，否则进行下一步。

3g)F将发送给E；

(4)E将收到的F发送的消息后，根据附图4，按照下面步骤进行；

4a)E计算按照公式恢 复μ₁的值；

4b)如果并且E继续下一步，否 则，E拒绝握手并终止此次握手过程；

4c)到此步E已经确认F的身份是真实的，E计算并将它发送给F；

(5)F验证后握手过程完成。

在上述步骤完成之后E和F已经知道对方是否和自己属于同一个组。如果不是同一个组，E和F之间也不会泄露自己是属于哪个群组和各自的秘密信息。如果属于同一个组织那么他们将共享一个秘密值，这个秘密值可以用来产生会话秘钥。如等。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若对本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (4)

1.一种基于格密码的秘密握手方法，其特征在于：

所述方法包括如下步骤：

(1)群组的初始化；

(2)群组成员E和F要进行秘密握手，假设E有一个未使用的伪名用户F有一个未使用的伪名E发送给F；

(3)F接收E发送的消息进行相应的计算认证后发送给E；

(4)E接收F发送的消息进行相应的计算认证后发送给F；

(5)F验证后握手过程完成；

所述步骤(1)按照以下步骤进行：

(1a)运行SHS.Setup算法，选择一个安全参数n，一个不小于3的素数q，一些正整数m＞5nlogq，k和λ；设置高斯参数δ＝12sλm；

(1b)运行SHS.CreateGroup算法生成一个群组的参数；首先运行TrapGen(q,n)输出一个近似的一致性矩阵一个Λ^⊥(A)中的基矩阵且满足选择S满足S←{-1,0,1}^m×k，则T←AS，对于任意一个正数α，如果满足σ＝αT,那么常量否则M＝O(1)；选择6个互不相同的哈希函数H₁、H₂、H₃、H₄、H₅、H₆，分别为：H₁:H₂:H₃:H₄:H₅:H₆:选择一个秩为n的随机矩阵β的值设定为群组的公钥pk＝{A,C,β,H₁,H₂,H₃,H₄,H₅,H₆}，秘钥为sk＝B；

(1c)有新用户U加入群组时按照下面的步骤进行；由GA验证用户身份的真实性，在验证完成后，GA为用户生成一些一次性伪名ID并产生相应的组证书cred_ID；如果t是用户U在加入之前握手的最大值，GA选择独有的伪名对于每一个GA运行算法得到一个矩阵并且设置GA持有值；然后GA将一次性伪名和一次性证书一起通过安全通道传送给用户U。

2.如权利要求1所述的基于格密码的秘密握手方法，其特征在于：

所述步骤(2)的具体内容如下:

2a)E随机选择满足μ₁||μ₂的值取哈希的结果，并且满足|μ₁|＝l₂，|μ₂|＝l₁；

2b)E计算

2c)E选择一个随机的矩阵并且计算

2d)E计算和

2e)E以概率输出结果如果什么也没有输出，返回步骤(2)，反之进行下一步；

2f)E发送值给F。

3.如权利要求1所述的基于格密码的秘密握手方法，其特征在于：

所述步骤(3)具体如下：

3a)F计算按照恢复μ₁的值；

3b)F验证H₅(μ₁)和的值，如果F进行下一步，否则，F拒绝握手，并终止此次握手过程；

3c)F随机选取满足并且将的值作为θ₁||θ₂的值，满足条件|θ₁|＝l₂，|θ₂|＝l₁，F计算

3d)F选择一个随机矩阵并且计算

3e)F计算

3f)F计算结果以为概率输出消息

如果什么也没有输出，返回步骤(3c)，否则进行下一步；

3g)F将发送给E。

4.如权利要求1所述的基于格密码的秘密握手方法，其特征在于：

所述步骤(4)按照下面步骤进行；

4a)E计算按照公式恢复μ₁的值；

4b)如果并且E继续下一步，否则，E拒绝握手并终止此次握手过程；

4c)到此步E已经确认F的身份是真实的，E计算并将它发送给F。