CN105959097B - 一种基于纠错码的身份认证协议方法 - Google Patents

Abstract

本发明公开了一种基于纠错码的身份认证协议方法，包含以下步骤：步骤一，生成系统参数：密钥对为(sk,pk)＝(s,(y,H,w))，其中sk是私钥，pk是公钥；公开的哈希函数h(·)；步骤二，身份认证：重复执行以下的步骤δ次：本发明采用零知识认证方式，包括生成系统参数和身份认证两个步骤。本发明还对身份认证步骤作了进一步优化，使得认证协议的通信开销更少。同时，本发明还弥补了基于数论难题的身份认证方案在量子计算机下不再安全的缺陷，具有抗量子计算的能力，在量子计算下仍然安全。

Description

一种基于纠错码的身份认证协议方法

技术领域

本发明属于互联网技术领域，涉及一种基于纠错码的身份认证协议方法。

背景技术

随着互联网技术的不断发展，对用户身份的合法性鉴别是非常重要的问题。目前，应用广泛的基于数论难题的身份认证方案，实现过程需要进行模幂运算，对设备的计算能力要求较高，难以适用于资源有限的嵌入式设备。而且，1994年提出的Shor量子算法，使得基于数论难题的密码体制，如RSA，ECC等都将不再安全。

基于纠错码的密码方案能够抵抗量子计算攻击，而且它的加密过程仅需异或运算。1978年，McEliece提出了第一个基于Goppa码的公钥密码体制。然而，原始的McEliece密码算法中的密钥体积较大，实用性差。随后，出现了基于不同纠错码的McEliece型密码方案，以减小密钥体积。1986年，Niederreiter提出了基于GRS码的Niederreiter方案，该方案减小了密钥体积，但是后来GRS码被证明是不安全的。近年来，一些基于LDPC，MDPC，QC-MDPC，QD-Goppa等纠错码的密码方案被相继提出。2011年，Malek等人利用托普利茨矩阵的特殊结构，进一步的缩小了密钥的体积。

零知识身份认证是证明者P向验证者V证明P的身份，使得V能确认P身份的合法性，且无法得到P的任何秘密信息。这些年已经发表了许多身份认证方案。在CRYPTO’93年会上，Stern发表了第一篇基于纠错码的零知识身份认证方案。Stern身份认证方案是一个多轮的三步交互式协议。但是它存在下述问题而难以在实际中应用：

1.在每轮交互中，攻击者成功欺骗的概率是2/3，而在Fiat-Shamir协议中，攻击者成功的概率是1/2，所以Stern方案需要进行28轮交互认证，才能使得攻击者成功欺骗的概率降低到2^-16。

2.方案中的公钥体积有120kb，而且通信量较大，难以在资源有限的设备中使用。

发明内容

本发明的目的在于，提供一种基于纠错码的零知识身份认证协议，用以解决基于编码的认证协议存在的通信、存储负担大的问题。

为了实现上述任务，本发明采用如下的技术解决方案：一种基于纠错码的身份认证协议方法，包含以下步骤：

步骤一，生成系统参数：密钥对为(sk,pk)＝(s,(y,H,w))，其中私钥sk是有限域F_q上长度为n的矢量矢量s的码重wt(s)＝w，公钥pk是三元组(y,H,w)，其中有限域F_q上r×n的矩阵正整数w∈Ν^*，y＝Hs；公开的哈希函数h(·)；

步骤二，身份认证：重复执行以下的步骤δ次：

(7)证明者P生成随机矢量和{1,...,n}上的一个置换函数σ，计算委托c₁＝h(σ,Hu^T)和c₂＝h(σ(u))，将c₁,c₂发送给验证者V；

(8)验证者V生成随机数α∈F_q，并发送给证明者P；

(9)证明者P根据收到的消息和私钥，计算矢量并将它发送给验证者V；

(10)验证者V收到矢量β后，发送挑战b∈{0,1}给证明者P；

(11)若b＝0，证明者P发送σ给验证者V；若b＝1，证明者P计算并发送σ(s)给验证者V；

(12)当b＝0时，验证者V验证c₁是否正确；当b＝1时，验证者V验证c₂是否正确，以及σ(s)的码重wt(σ(s))？＝w，若验证错误，则认证失败，判定P是非法证明者；

步骤二执行δ次，且每次都验证正确，则认证成功，验证者V判定P是合法证明者。

进一步，所述步骤一具体过程为：

生成准并矢(quasi-dyadic)纠错码C(n,k,w)，余维r＝n-k；纠错码C的校验矩阵生成随机矢量满足wt(s)＝w；计算y＝Hs^T；得到公钥pk＝(y,H,w)，私钥sk＝(s)；系统公开的哈希函数h(·)。

进一步，所述步骤二进一步优化为：

(2.1)证明者P生成δ组(u_i,σ_i)，其中σ_i是{1,...,n}上的置换函数，1≤i≤δ，相应地计算δ组委托(c_i1,c_i2)，其中c_i2＝h(σ_i(u_i))；计算δ组委托的哈希值h₁＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并将h₁发送给验证者V；

然后P使用每组(u_i,σ_i)重复执行以下步骤δ次；

(2.2)验证者V生成随机数α_i∈F_q，并发送给证明者P；

(2.3)证明者P根据收到的消息和私钥，计算矢量并将它发送给验证者V；

(2.4)验证者V收到矢量β_i后，发送挑战b_i∈{0,1}给证明者P；

(2.5)若b_i＝0，证明者P发送(σ_i,c_i2)给验证者V；若b_i＝1，证明者P计算并发送(σ_i(s),c_i1)给验证者V；

(2.6)当b＝0时，验证者V恢复c_i1，并记录(c_i1,c_i2)；当b＝1时，验证者V恢复c_i2，并验证wt(σ_i(s))？＝w；若验证错误，则认证失败，判定P是非法证明者；若验证成功，则记录(c_i1,c_i2)；

以上步骤执行δ次之后，验证者V根据记录的δ组委托(c_i1,c_i2)生成哈希值h₂＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并判断h₁？＝h₂，若相等，则认证成功，验证者V判定P是合法证明者；否则，认证失败，验证者V判定P是非法证明者。

本发明具有有益效果为：本发明使用基于纠错码的身份认证方案，能够有效地抵抗量子计算机的攻击，通过构造准并矢纠错码以及减少每轮身份认证的委托数量和交互次数，缩小了密钥体积，减少了通信开销，适用于存储空间小、通信能力弱的终端设备。同时，本发明还弥补了基于数论难题的身份认证方案在量子计算机下不再安全的缺陷，具有抗量子计算的能力，在量子计算下仍然安全。本发明为基于编码理论的公钥密码体制的进一步实用化奠定了基础。

附图说明

图1为认证协议流程图。

图2为进一步优化后的认证协议流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

步骤一，生成系统参数；

密钥对为(sk,pk)＝(s,(y,H,w))，其中私钥sk是有限域F_q上长度为n的矢量矢量s的码重wt(s)＝w，公钥pk是三元组(y,H,w)，其中有限域F_q上r×n的矩阵正整数w∈Ν^*，y＝Hs；公开的哈希函数h(·)；具体过程为：生成准并矢(quasi-dyadic)纠错码C(n,k,w)，余维r＝n-k；纠错码C的校验矩阵生成随机矢量满足wt(s)＝w。计算y＝Hs^T。得到公钥pk＝(y,H,w)，私钥sk＝(s)。系统公开的哈希函数h(·)。步骤二，身份认证。重复执行以下步骤δ次。

(1)证明者P生成随机矢量和{1,...,n}上的一个置换函数σ，计算委托c₁＝h(σ,Hu^T)和c₂＝h(σ(u))。将c₁,c₂发送给验证者V。

(2)验证者V生成随机数α∈F_q，并发送给证明者P。

(3)证明者P根据收到的消息和私钥，计算矢量并将它发送给验证者V。

(4)验证者V收到矢量β后，发送挑战b∈{0,1}给证明者P。

(5)若b＝0，证明者P发送σ给验证者V；若b＝1，证明者P计算并发送σ(s)给验证者V。

(6)当b＝0时，验证者V验证c₁是否正确；当b＝1时，验证者V验证c₂是否正确，以及wt(σ(s))？＝w。若验证错误，则认证失败，判定P是非法证明者。

步骤二执行δ次，且每次都验证正确，则认证成功，验证者V判定P是合法证明者。

为了减少通信开销，步骤二可以进一步地优化如下：

(1)证明者P生成δ组(u_i,σ_i)，其中σ_i是{1,...,n}上的置换函数，1≤i≤δ，相应地计算δ组委托(c_i1,c_i2)，其中c_i2＝h(σ_i(u_i))。计算δ组委托的哈希值h₁＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并将h₁发送给验证者V。

然后P使用每组(u_i,σ_i)重复执行以下步骤δ次。

(2)验证者V生成随机数α_i∈F_q，并发送给证明者P。

(3)证明者P根据收到的消息和私钥，计算矢量并将它发送给验证者V。

(4)验证者V收到矢量β_i后，发送挑战b_i∈{0,1}给证明者P。

(5)若b_i＝0，证明者P发送(σ_i,c_i2)给验证者V；若b_i＝1，证明者P计算并发送(σ_i(s),c_i1)给验证者V。

(6)当b＝0时，验证者V恢复c_i1，并记录(c_i1,c_i2)。当b＝1时，验证者V恢复c_i2，并验证wt(σ_i(s))？＝w。若验证错误，则认证失败，判定P是非法证明者；若验证成功，则记录(c_i1,c_i2)。

以上步骤执行δ次之后，验证者V根据记录的δ组委托(c_i1,c_i2)生成哈希值h₂＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并判断h₁？＝h₂，若相等，则认证成功，验证者V判定P是合法证明者；否则，认证失败，验证者V判定P是非法证明者。

以上方法中，δ越大，认证方案的可信度越高，证明者P欺骗成功的概率越低。

实施例1.一种基于纠错码的身份认证协议方法

具体地，系统参数设置如下：准并矢纠错码C的码长n＝128，维度k＝64，余维r＝64，码的纠错能力w＝49，有限域F_q中q＝256，表示q所需的比特位数N＝8。生成一个置换函数σ的种子长度l_σ＝128，哈希函数的输出长度l_h＝160。每一轮认证协议中，证明者P欺骗成功的概率约为1/2，因此协议进行δ＝16轮，证明者P欺骗成功的概率降低到2^-16，可以忽略不计。通过如下公式计算得到，准并矢纠错码C的校验矩阵H的体积为N×n＝1024bits，密文y的长度为N×r＝512bits，密钥s的长度为N×n＝1024bit，通信开销为l_h+δ(l_h+N+N×n+1+(l_σ+N×n)/2)＝28464bit。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

Claims (2)

1.一种基于纠错码的身份认证协议方法，其特征在于，包含以下步骤：

步骤一，生成系统参数：密钥对为(sk,pk)＝(s,(y,H,w))，其中私钥sk是有限域F_q上长度为n的矢量矢量s的码重wt(s)＝w，公钥pk是三元组(y,H,w)，其中有限域F_q上r×n的矩阵正整数w∈Ν^*，y＝Hs；公开的哈希函数h(·)；

步骤二，身份认证：重复执行以下的步骤δ次：

(1)证明者P生成随机矢量和{1,...,n}上的一个置换函数σ，计算委托c₁＝h(σ,Hu^T)和c₂＝h(σ(u))，将c₁,c₂发送给验证者V；

(2)验证者V生成随机数α∈F_q，并发送给证明者P；

(3)证明者P根据收到的消息和私钥，计算矢量β＝σ(u⊕αs)，并将它发送给验证者V；

(4)验证者V收到矢量β后，发送挑战b∈{0,1}给证明者P；

(5)若b＝0，证明者P发送σ给验证者V；若b＝1，证明者P计算并发送σ(s)给验证者V；

(6)当b＝0时，验证者V验证c₁是否正确；当b＝1时，验证者V验证c₂是否正确，以及σ(s)的码重wt(σ(s))？＝w，若验证错误，则认证失败，判定P是非法证明者；

步骤二执行δ次，且每次都验证正确，则认证成功，验证者V判定P是合法证明者；

所述步骤二进一步优化为：

(2.1)证明者P生成δ组(u_i,σ_i)，其中σ_i是{1,...,n}上的置换函数，1≤i≤δ，相应地计算δ组委托(c_i1,c_i2)，其中c_i2＝h(σ_i(u_i))；计算δ组委托的哈希值h₁＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并将h₁发送给验证者V；

然后P使用每组(u_i,σ_i)重复执行以下步骤δ次；

(2.2)验证者V生成随机数α_i∈F_q，并发送给证明者P；

(2.3)证明者P根据收到的消息和私钥，计算矢量β_i＝σ_i(u_i⊕α_is)，并将它发送给验证者V；

(2.4)验证者V收到矢量β_i后，发送挑战b_i∈{0,1}给证明者P；

(2.5)若b_i＝0，证明者P发送(σ_i,c_i2)给验证者V；若b_i＝1，证明者P计算并发送(σ_i(s),c_i1)给验证者V；

(2.6)当b＝0时，验证者V恢复c_i1，并记录(c_i1,c_i2)；当b＝1时，验证者V恢复c_i2，并验证wt(σ_i(s))？＝w；若验证错误，则认证失败，判定P是非法证明者；若验证成功，则记录(c_i1,c_i2)；

以上步骤执行δ次之后，验证者V根据记录的δ组委托(c_i1,c_i2)生成哈希值h₂＝h(c₁₁,c₁₂,...,c_i1,c_i2,...,c_δ1,c_δ2)，并判断h₁？＝h₂，若相等，则认证成功，验证者V判定P是合法证明者；否则，认证失败，验证者V判定P是非法证明者。

2.根据权利要求1所述的一种基于纠错码的身份认证协议方法，其特征在于，所述步骤一具体过程为：

生成准并矢(quasi-dyadic)纠错码C(n,k,w)，余维r＝n-k；纠错码C的校验矩阵生成随机矢量满足wt(s)＝w；计算y＝Hs^T；得到公钥pk＝(y,H,w)，私钥sk＝(s)；系统公开的哈希函数h(·)。