CN106664199A - 建立抗攻击的安全性公钥密码的方法 - Google Patents

Abstract

本发明涉及信息安全领域,公开了一种建立抗攻击的安全性公钥密码的方法,包括生成共享密钥的方法,所述生成共享密钥的方法包括如下步骤:(11)建立一个无限非交换群G；(12)协议双方各选取G的四个元素作为私钥；(13)协议第二方计算y,并将y发送给协议第一方；(14)协议第一方计算x和z,并将(x,z)发送给协议第二方；(15)协议第二方计算w和v,并将(w,v)发送给协议第一方；(16)协议第一方计算u,并将u发给协议第二方；(17)协议第一方计算K_A,而且协议第二方计算K_B；从而达成共享密钥K＝K_A＝K_B。本发明所建设的公钥密码算法的安全性理论上得到充分证明,由于创新地引入了双加锁技术,使得所建立的公钥密码方法具有抗包括量子计算攻击的所有已知攻击的优点,而且因私钥的选取有不可解问题予以保障从而有非常高的安全性。

Description

建立抗攻击的安全性公钥密码的方法

技术领域

本发明涉及信息安全领域,特别涉及一种建立抗包括量子计算攻击的各种已知攻击的公钥密码的密码技术。

背景技术

在经典公钥密码算法中,作为安全保障的实际计算困难问题,随着计算机性能的提高其难解性将大大降低。特别地,Shor于1997年提出的著名的Shor量子算法将分别在多项式时间内进行大整数的因数分解和离散对数的计算,这意示着一旦量子计算机予以实现,则基于RSA,ECC,E1Gamal算法等建立的公钥密码协议将不再安全。针对Ko等人提出的基于辫群的元素的共轭问题建立公钥密码体制方案,人们陆续发现了诸如基于长度的攻击、线性表示攻击、Super-Summit-set攻击等攻击方案。从而,对应的公钥密码体制也存在着安全隐患。

为了能抵抗各种已知的攻击的公钥密码技术,在中国发明专利申请号为:201380001693.X的文献中给出了一种建立抗量子计算攻击的公钥密码的方法,这种方法能有效抵抗多种已知的攻击的公钥密码技术,但由于其中的协议双方在协议过程中每次仅做了单层保护,这就会造成在达成一定条件的情况下,会有攻击者可以得到协议双方达成的共享密钥,这就仍会存在一定的安全性隐患。

发明内容

为解决基于现有公钥密码的安全性存在隐患的问题,本发明的目的在于通过创新地引入了双加锁技术建立一个能抵抗各种攻击的公钥密码的的建立方法。

本发明的目的是这样实现的:一种建立抗攻击的安全性公钥密码的方法,包括生成共享密钥的方法,生成共享密钥的方法也称为生成共享密钥协议,所述生成共享密钥的方法包括如下步骤:

(11)建立一个无限非交换群G及G的两个子群A和B,使得对任意a∈A、任意的b∈B,等式ab＝ba成立；

(12)协议双方选取G中一元素g,其中,协议第一方选取四个元素b₁,b₂,b₃,b₄∈A作为私钥,协议第二方选取四个元素d₁,d₂,d₃,d₄∈B作为私钥；

(13)协议第二方选取两个元素c₁,c₂∈B,计算y＝d₁c₁gc₂d₂,并将y发送给协议第一方；

(14)协议第一方选取四个元素a₁,a₂,a₃,a₄∈A,计算

x＝b₁a₁ga₂b₂和z＝b₃a₃a₁ya₂a₄b₄＝b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄,

并将(x,z)发送给协议第二方；

(15)协议第二方选取两个元素c₃,c₄∈B,计算

w＝d₃c₃c₁xc₂c₄d₄＝d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄

和

v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃d₁ ^-1b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄d₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄

并将(w,v)发送给协议第一方；

(16)协议第一方计算

u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃b₁ ^-1d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄b₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

并将u发给协议第二方；

(17)协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄,而且协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a_4；

由于a₁,a₂,a₃,a₂∈A,c₁,c₂,c₃,c₄∈B,所以a₁,a₃分别与c₁,c₃乘法可交换,而且a₂,a₄分别与c₂,c₄乘法可交换,故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

作为一种优选方式,还包括信息数据加密解密的方法,所述信息数据加密解密的方法包括如下步骤；

(21)定义需要加密的已编码明文信息为m∈{0,1}^k,即长度为k的0-1数串；并定义Θ:G→{0,1}^k是一个由群G到明文空间{0,1}^k抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(22)加密:协议第二方先计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄,然后进行加密计算并将t作为密文发送给协议第一方,这里的是异或运算；

(23)解密:协议第一方先计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄,然后进行解密计算

(24)验证m′＝m:由密钥交换协议知K_A＝K_B,所以

作为一种优选方式,还包括数字签名的方法，所述数字签名的方法包括如下步骤：

(31)将需要签名的已编码明文信息定义为p,并定义Θ:G→{0,1}^k是一个抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(32)签名:协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄和S＝Θ(pK_A),协议第一方将S作为它对信息p的签名并将(S,p)发送给协议第二方；

(33)验证:协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄和S′＝Θ(pK_B),如果S′＝S,协议第二方则认可S是协议第一方对信息p的签名,否则,协议第二方拒绝接受S是协议第一方对信息p的签名。

作为一种优选方式,还包括身份认证的方法,所述协议第一方为示证人,所述协议第二方为验证人；所述身份认证的方法包括如下步骤:

(41)协议第一方选取一个抗碰撞的Hash函数Θ:G→{0,1}^k,协议第一方选取(G,A,B,g,Θ)为其公钥；

(42)协议第二方计算y＝d₁c₁gc₂d₂和w＝d₃c₃c₁xc₂c₄d₄,其中x＝b₁a₁ga₂b₂,并将(y,w)作为挑战一发送给协议第一方；

(43)协议第一方计算

z＝b₃a₃a₁ya₂a₄b₄和u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

其中y＝d₁c₁gc₂d₂,并将(z,u)作为响应发送给协议第二方；

(44)协议第二方计算v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄,并将v作为挑战二发送给协议第一方；

(45)协议第一方计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(c₃a₃a₁c₁gc₂a₂a₄c₄)并将t作为承诺发送给协议第二方；

(46)协议第二方计算t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(a₃c₃c₁a₁ga₂c₂c₄a₄),并验证是否t＝t′,如果t＝t′,协议第二方认可协议第一方的身份,否则拒绝认可。

一种建立抗攻击的安全性公钥密码的方法,包括生成共享密钥的方法,另一种生成共享密钥的方法包括如下步骤:

(11.1)建立一个无限非交换群G及G的两个子群A和B,使得对任意a∈A、任意的b∈B,等式ab＝ba成立；

(12.1)协议双方选取G中一元素g,其中协议第一方选取四个元素b₁₀,b₃₀∈A和d₂₀,d₄₀∈B作为私钥,协议第二方选取四个元素b₂₀,b₄₀∈A和d₁₀,d₃₀∈B作为私钥；

(13.1)协议第二方选取两个元素a₂₀∈A和c₁₀∈B,计算y＝d₁₀c₁₀ga₂₀b₂₀,并将y发送给协议第一方；

(14.1)协议第一方选取四个元素a₁₀,a₃₀∈A和c₂₀,c₄₀∈B,计算

x＝b₁₀a₁₀gc₂₀d₂₀和z＝b₃₀a₃₀a₁₀yc₂₀c₄₀d₄₀＝b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀,

并将(x,z)发送给协议第二方；

(15.1)协议第二方选取两个元素a₄₀∈A和c₃₀∈B,计算

w＝d₃₀c₃₀c₁₀xa₂₀a₄₀b₄₀＝d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀

和

v＝c₃₀d₁₀ ^-1zb₂₀ ^-1a₄₀＝c₃₀d₁₀ ^-1b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀b₂₀ ^-1a₄₀

＝c₃₀b₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀d₄₀a₄₀

并将(w,v)发送给协议第一方；

(16.1)协议第一方计算

u＝a₃₀b₁₀ ^-1wd₂₀ ^-1c₄₀＝a₃₀b₁₀ ^-1d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀d₂₀ ^-1c₄₀

＝a₃₀d₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀b₄₀c₄₀,

并将u发给协议第二方；

(17.1)协议第一方计算K_A＝b₃₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀,而且协议第二方计算K_B＝d₃₀ ^-1ub₄₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c_40；

由于a₁₀,a₂₀,a₃₀,a₄₀∈A,c₁₀,c₂₀,c₃₀,c₄₀∈B,所以a₁₀,a₂₀,a₃₀,a₄₀与c₁₀,c₂₀,c₃₀,c₄₀分别乘法可交换,故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

作为一种优选方式,还包括信息数据加密解密的方法,所述信息数据加密解密的方法包括如下步骤；

(21.1)定义需要加密的已编码明文信息为m∈{0,1}^k,即长度为k的0-1数串；并定义Θ:G→{0,1}^k是一个由群G到明文空间{0,1}^k抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(22.1)加密:协议第二方先计算K_B＝d₃₀ ^-1ub₃₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c_40；,然后进行加密计算并将t作为密文发送给协议第一方,这里的是异或运算；

(23.1)解密:协议第一方先计算K_A＝b₄₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀,然后进行解密计算

(24.1)验证m′＝m:由密钥交换协议知K_A＝K_B,所以

作为一种优选方式,还包括数字签名的方法,所述数字签名的方法包括如下步骤:

(31.1)将需要签名的已编码明文信息定义为p,并定义Θ:G→{0,1}^k是一个抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(32.1)签名:协议第一方计算K_A＝b₄₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀和S＝Θ(pK_A),协议第一方将S作为它对信息p的签名并将(S,p)发送给协议第二方；

(33.1)验证:协议第二方计算K_B＝d₃₀ ^-1ub₃₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c_40；和S′＝Θ(pK_B),如果S′＝S,协议第二方则认可S是协议第一方对信息p的签名,否则,协议第二方拒绝接受S是协议第一方对信息p的签名。

作为一种优选方式,还包括身份认证的方法,所述协议第一方为示证人,所述协议第二方为验证人；所述身份认证的方法包括如下步骤；

(41.1)协议第一方选取一个抗碰撞的Hash函数Θ:G→{0,1}^k,协议第一方选取(G,A,B,g,Θ)为其公钥；

(42.1)协议第二方计算y＝d₁₀c₁₀ga₂₀b₂₀和w＝d₃₀c₃₀c₁₀xa₂₀a₄₀b₄₀＝d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀,并将(y,w)作为挑战一发送给协议第一方；

(43.1)协议第一方计算

z＝b₃₀a₃₀a₁₀yc₂₀c₄₀d₄₀＝b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀

和

u＝a₃₀b₁₀ ^-1wd₂₀ ^-1c₄₀＝a₃₀d₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀b₄₀c₄₀,

并将(z,u)作为响应发送给协议第二方；

(44.1)协议第二方计算v＝c₃₀d₁₀ ^-1zb₂₀ ^-1a₄₀＝c₃₀b₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀d₄₀a₄₀,并将v作为挑战二发送给协议第一方；

(45.1)协议第一方计算t＝Θ(b₃₀ ^-1vd₄₀ ^-1)＝Θ(c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀)并将t作为承诺发送给协议第二方；

(46.1)协议第二方计算t′＝Θ(d₃₀ ^-1ub₄₀ ^-1)＝Θ(a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c₄₀),并验证是否t＝t′,如果t＝t′,协议第二方认可协议第一方的身份,否则拒绝认可。

其中,所述无限非交换群G优选为辫群,给出辫群B_n(n≧12)的具有不可解的子群成员问题的Mihailova子群的生成元系,给出了辫群B_n(n≧12)的具有子群成员问题不可解的Mihailova子群的生成元系,并建议为抗量子计算攻击,上述协议双方的私钥由Mihailova子群的生成元生成。

所述无限非交换群G取指数为n≧12的辫群B_n,并由如下呈示所定义的群:

B_n＝<σ₁,σ₂,…,σ_n-1|σ_iσ_j＝σ_jσ_i,|i-j|≥2,σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1,1≤i≤n-2>,

所述群的元素均以集合{σ₁,σ₂,…,σ_n-1}上代表该元素的具有唯一性的正规形式的字表示。

辫群B_n含有如下两个子群:

令为不大于n/2的最大整数,辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝<σ₁,σ₂,…,σ_m-1>和RB_n＝<σ_m+1,σ_m+2,…,σ_n-1>

即,分别为由σ₁,σ₂,…,σ_m-1和σ_m+1,σ_m+2,…,σ_n-1生成的子群,并且,对于任意的a∈LB_n和任意的b∈RB_n,有ab＝ba,所述的G的子群A即取为LB_n,而G的子群B即取为RB_n；

当n≧12时,LB_n和RB_n分别含有一个与F₂×F₂同构的子群,即两个秩为2的自由群的直积同构的子群:

LA＝<σ_m-5 ²,σ_m-4 ²,σ_m-2 ²,σ_m-1 ²>≤LB_n

和

RA＝<σ_m+1 ²,σ_m+2 ²,σ_m+4 ²,σ_m+5 ²>≤RB_n；

本发明通过在协议双方各选取了四个元素作为各自私钥进行双边双保险技术,并且证明了所有可能的攻击均是能行不可计算的,即本发明的公钥密码方法是抗包括量子计算攻击的所有已知攻击。与现有技术相比,具有以下优点:

1.理论上给出证明对本发明的公钥密码算法的所有攻击是能行不可计算的,从而本发明的公钥密码算法是抗包括抗量计算攻击的所有已知攻击；

2.私钥的选取由于Mihai lova子群成员问题的不可解性而安全可靠并可重复使用。

具体实施方式

下面结合实施例对本发明一种建立抗量子计算攻击的公钥密码协议作进一步详细说明。

1.建立公钥密码协议的平台

建立所有公钥密码协议的平台是一个无限非交换群(non-abelian group)G及G的两个子群A和B,使得对任意a∈A任意的b∈B,等式ab＝ba成立。此外,由于编码和密钥生成的需要,G还必须满足以下条件:

1)于G的生成元集合上的代表G的元素的字具有可计算的正规形式(normalform)；

2)G至少是呈指数增长(exponential growth),即G中字长为正整数n的元素个数下囿于一个关于n的指数函数；

3)基于正规形式的群的乘积运算和求逆运算是能行可计算的。

为此,选取无限非交换群G为指数n≧12的辫群B_n,B_n具有上述性质并由如下呈示(presentation)所定义的群:

B_n＝<σ₁,σ₂,…,σ_n-1|σ_iσ_j＝σ_jσ_i,|i-j|≥2,σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1,1≤i≤n-2>,

所述群的元素均以集合{σ₁,σ₂,…,σ_n-1}上代表该元素的具有唯一性的正规形式的字表示。

辫群B_n含有如下两个子群:

令为不大于n/2的最大整数,辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝<σ₁,σ₂,…,σ_m-1>和RB_n＝<σ_m+1,σ_m+2,…,σ_n-1>

即,分别由σ₁,σ₂,…,σ_m-1和σ_m+1,σ_m+2,…,σ_n-1生成的子群,并且,对于任意的a∈LB_n和任意的b∈RB_n,有ab＝ba。

当n≧12时,LB_n和RB_n分别含有一个与F₂×F₂,即两个秩为2的自由群的直积同构的子群

LA＝<σ_m-5 ²,σ_m-4 ²,σ_m-2 ²,σ_m-1 ²>≤LB_n

和

RA＝<σ_m+1 ²,σ_m+2 ²,σ_m+4 ²,σ_m+5 ²>≤RB_n

由一个两个元素生成的其字问题不可解的有限呈示群H,再构造LA的一个Mihailova子群M_LA(H)和RA的一个Mihailova子群M_RA(H)；下方即为M_LA(H)的56个生成元,其中i＝m-5；而当令i＝m+1,便可得到M_RA(H)的56个生成元:

而27个S_ij为(将下述每一S_ij中的所有σ_i换成σ_i+3,所有σ_i+1换成σ_i+4便得到对应的27个T_ij,j＝1,2,…,27):

2.建立公钥密码体制的核心协议一

在本实施例中,协议双方分别是Alice和Bob,

1)Alice和Bob共同选取B_n中一元素g,Alice选取四个元素b₁,b₂,b₃,b₄∈LB_n作为私钥,Bob选取四个元素d₁,d₂,d₃,d₄∈RB_n作为私钥；

2)Bob选取两个元素c₁,c₂∈RB_n,计算y＝d₁c₁gc₂d₂,并将y发送给Alice；

3)Alice选取四个元素a₁,a₂,a₃,a₄∈LB_n,计算

x＝b₁a₁ga₂b₂和z＝b₃a₃a₁ya₂a₄b₄＝b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄,

并将(x,z)发送给Bob；

4)Bob选取两个元素c₃,c₄∈RB_n,计算

w＝d₃c₃c₁xc₂c₄d₄＝d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄

和

v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃d₁ ^-1b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄d₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄

并将(w,v)发送给Alice；

5)Alice计算

u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃b₁ ^-1d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄b₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

并将u发给Bob,

上述协议中的第4)步中,由于d₁,d₂∈RB_n,a₁,a₂,b₃,b₄∈LB_n,所以d₁ ^-1,d₂ ^-1分别与b₃,a₁和b₄,a₂乘法可交换,故得该步骤中最后一个等式。同理得到第5)步中最后一个等式。

建立密钥交换协议的优选实施例:

在核心协议的五个步骤后继续进行如下进程:

6)Alice计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄而且Bob计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄。

由于a₁,a₂,a₃,a₂∈LB_n,c₁,c₂,c₃,c₄∈RB_n,所以a₁,a₃与c₁,c₃乘法可交换,而且a₂,a₄与c₂,c₄乘法可交换,故Alice和Bob达成共享密钥K＝K_A＝K_B。

建立数据加密协议的优选实施例:

设需要加密的明文信息(已编码)为m∈{0,1}^k(即长度为k的0-1数串),并设Θ:B_n→{0,1}^k是一个由群B_n到明文空间{0,1}^k抗碰撞的Hash函数。Alice的公钥是(B_n,LB_n,RB_n,g,Θ),并选取a₁,a₂,a₃,a₄,b₁,b₂,b₃,b₄∈LB_n,私钥为b₁,b₂,b₃,b₄。Bob选取c₁,c₂,c₃,c₄,d₁,d₂,d₃,d₄∈RB_n,并且以d₁,d₂,d₃,d₄,为私钥。在核心协议的五个步骤后继续进行如下进程:

6)加密:Bob先计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄,然后计算(加密)并将t作为密文发送给Alice。这里的是异或(exclusive or)运算。

7)解密:Alice先计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄,然后计算(解密)

验证m′＝m:由密钥交换协议知K_A＝K_B,所以

建立数字签名协议的优选实施例:

设需要签名明文信息(已编码)为p,并设Θ:B_n→{0,1}^k是一个抗碰撞的Hash函数。Alice的公钥是(B_n,LB_n,RB_n,g,Θ),并选取a₁,a₂,a₃,a₄,b₁,b₂,b₃,b₄∈LB_n,私钥为b₁,b₂,b₃,b₄。Bob选取c₁,c₂,c₃,c₄,d₁,d₂,d₃,d₄∈RB_n,并且以d₁,d₂,d₃,d₄为私钥。在核心协议的五个步骤后继续进行如下进程:

6)签名:Alice计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄和S＝Θ(pK_A),Alice将S作为她对文件p的签名并将(S,p)发送给Bob。

7)验证:Bob计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄和S′＝Θ(pK_B),如果S′＝S,Bob则认可S是Alice对文件p的签名,否则,Bob拒绝接受S是Alice对文件p的签名。

一种在核心协议基础上的身份认证协议的优选实施例:

Alice选取B_n中一元素g,八个元素a₁,a₂,a₃,a₄,b₁,b₂,b₃,b₄∈LB_n,一个抗碰撞的Hash函数Θ:B_n→{0,1}^k,并计算x＝b₁a₁ga₂b₂。Alice的公钥是(B_n,LB_n,RB_n,g,x,Θ),私钥为b₁,b₂,b₃,b₄。

认证过程:

设Alice是示证人(prover),Bob是验证人(verifier)。

1)Bob选取八个元素c₁,c₂,c₃,c₄,d₁,d₂,d₃,d₄∈RB_n,私钥为d₁,d₂,d₃,d₄。Bob计算

y＝d₁c₁gc₂d₂和w＝d₃c₃c₁xc₂c₄d₄

并将(y,w)作为挑战(challenge)一发送给Alice；

2)Alice选取两个元素b₃,b₄∈LB_n,,计算

z＝b₃a₃a₁ya₂a₄b₄和u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

并将(z,u)作为响应(response)发送给Bob；

3)Bob计算v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄,并将v作为挑战二发送给Alice；

4)Alice计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(c₃a₃a₁c₁gc₂a₂a₄c₄)并将t作为承诺(commitment)发送给Bob；

5)Bob t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(a₃c₃c₁a₁ga₂c₂c₄a₄),并验证是否t＝t′。

如果t＝t′,Bob认可Alice的身份,否则拒绝认可。

建立公钥密码体制的核心协议二

在本实施例中,协议双方分别是Alice和Bob,

1.1)Alice和Bob共同选取B_n中一元素g,Alice选取四个元素b₁,b₃∈LB_n和d₂,d₄∈RB_n作为私钥,Bob选取四个元素b₂,b₄∈LB_n和d₁,d₃∈RB_n作为私钥；

2.1)Bob选取两个元素a₂∈LB_n和c₁∈RB_n,计算y＝d₁c₁ga₂b₂,并将y发送给Alice；

3.1)Alice选取两个元素a₂∈LB_n和c₁∈RB_n,计算

x＝b₁a₁gc₂d₂和z＝b₃a₃a₁yc₂c₄d₄＝b₃a₃a₁d₁c₁ga₂b₂c₂c₄d₄,

并将(x,z)发送给Bob；

4.1)Bob选取两个元素a₄∈LB_n和c₃∈RB_n,计算

w＝d₃c₃c₁xa₂a₄b₄＝d₃c₃c₁b₁a₁gc₂d₂a₂a₄b₄

和

v＝c₃d₁ ^-1zb₂ ^-1a₄＝c₃d₁ ^-1b₃a₃a₁d₁c₁ga₂b₂c₂c₄d₄b₂ ^-1a₄＝c₃b₃a₃a₁c₁ga₂c₂c₄d₄a₄

并将(w,v)发送给Alice；

5.1)Alice计算

u＝a₃b₁ ^-1wd₂ ^-1c₄＝a₃b₁ ^-1d₃c₃c₁b₁a₁gc₂d₂a₂a₄b₄d₂ ^-1c₄＝a₃d₃c₃c₁a₁gc₂a₂a₄b₄c₄,

并将u发给Bob；

上述协议中的第4.1)步中,由于c₁,c₂,c₃,c₄,d₁,d₂∈RB_n,a₁,a₂,a₃,a₄,b₁,b₂∈LB_n,所以d₁ ^-1,d₂ ^-1分别与a₁,a₂,a₃,a₄,b₁,b₂乘法可交换,而b₁ ^-1,b₂ ^-1分别与c₁,c₂,c₃,c₄,d₁,d₂乘法可交换故得该步骤中最后一个等式。同理得到第5.1)步中最后一个等式。

3.3应用协议

在核心协议的基础上建立如下的应用协议,

建立密钥交换协议的优选实施例:

在核心协议的五个步骤后继续进行如下进程:

6.1)Alice计算K_A＝b₃ ^-1vd₄ ^-1＝c₃a₃a₁c₁ga₂c₂c₄a₄,而且Bob计算K_B＝d₃ ^-1ub₃ ^-1＝a₃c₃c₁a₁gc₂a₂a₄c₄。

由于a₁,a₂,a₃,a₄∈LB_n,c₁,c₂,c₃,c₄∈RB_n,所以a₁,a₂,a₃,a₄分别与c₁,c₂,c₃,c₄乘法可交换,故Alice和Bob达成共享密钥K＝K_A＝K_B。

五、安全性分析

我们仅给出密钥交换协议的安全性即可。

首先,给出群上的两个判定问题的定义。

子群成员问题(subgroup membership problem or generalized word problem,简记为GWP):给定群G的一个其生成元集为X的子群H,判定G中任意元素g是否可由X上的字代表,即判定g是否为H中元素。

扩展的元素分解搜索问题(generalized decomposition search problem,简记为GDSP):设g和h是群G两个元素,H和K是G的两个子群。已知存在H元素c和K的元素d,使得h＝cgd。求H的元素c′和K的元素d′,使得h＝c′gd′。

在核心协议中,攻击方Eve通过公开信息和Alice与Bob的交互式过程能获取的信息如下:

无限非交换群G,G的两个子群A和B,使得对任意a∈A任意的b∈B，有ab＝ba,G中一元素g,以及下列G中元素:

x＝b₁a₁ga₂b₂,y＝d₁c₁gc₂d₂,

z＝b₃a₃a₁ya₂a₄b₄＝b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄,

w＝d₃c₃c₁xc₂c₄d₄＝d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄,

v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃d₁ ^-1b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄d₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄,

u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃b₁ ^-1d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄b₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄

注意,Eve只知道代表x,y,z,w,u,v这些元素的字的正规形式,不知道对应的分解表达式。

Eve如果能够通过解决GDSP问题而获得c₁′,c₂′∈B,和a₁′,a₂′∈A,使得a₁′ga₂′＝a₁ga₂和c₁′gc₂′＝c₁gc₂,则由A和B的元素乘法可交换性得

c₁′a₁′ga₂′c₂′＝c₁′a₁ga₂c₁′＝a₁c₁′gc₂′a₂＝a₁c₁gc₂a₂

所以,Eve需要先获得元素a₁ga₂和c₁gc₂,并在此基础上开展进一步的攻击。

首先,攻击者Eve从得到的等式x＝b₁a₁ga₂b₂中只知道x和g的正规形式。从而Eve唯一能做的就是通过解决GDSP问题而获得h₁,h₂∈A,使得h₁gh₂＝x＝b₁a₁ga₂b₂。但是,在群A中有无穷多个分解式h₁＝b₁′a₁′和h₂＝a₂′b₂′。例如,令b₁′为A中任意元素,令a₁′＝b₁′^-1h₁,则a₁′∈A,并且b₁′a₁′＝b₁′b₁′^-1h₁＝h₁。由b₁′得任意性,这样的元素对b₁′和a₁′有无穷多。由于Eve不知道a₁ga₂及其正规形式,她无法确定那一对a₁′和a₂′满足等式a₁′ga₂′＝a₁ga₂。所以Eve不能做任何进一步的攻击。

同理,对于等式y＝d₁c₁gc₂d₂,v＝c₃d₁ ^-1zd₂ ^-1c₄,u＝a₃b₁ ^-1wb₂ ^-1a₄,除了通过解决GDSP问题而获得g₁,g₂,g₃,g₄∈B,h₃,h₄∈A,使得

g₁gg₂＝y＝d₁c₁gc₂d₂,h₃zh₄＝v＝c₃d₁ ^-1zd₂ ^-1c₄,g₃wg₄＝u＝a₃b₁ ^-1wb₂ ^-1a₄

以外,Eve不能做任何进一步的攻击。

假如Eve能够通过解决GDSP问题而获得h₅,h₆∈A,使得h₅yh₆＝z＝b₃a₃a₁ya₂a₄b₄。同理,在群A中有无穷多个分解式h₁＝b₃′a₁′和h₂＝a₂′b₄′。由于Eve不知道a₁ya₂及其正规形式,她无法确定那一对a₁′和a₂′满足等式a₁′ya₂′＝a₁ya₂。所以Eve也不能做任何进一步的攻击。类似地,由于Eve不知道a₃a₁ya₂a₄及其正规形式,她无法确定那一对a₁′和a₂′满足等式a₁′ya₂′＝a₃a₁ya₂a₄。所以Eve仍不能做任何进一步的攻击。

同理,对于等式w＝d₃c₃c₁xc₂c₄d₄＝d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄,除了通过解决GDSP问题而获得g₅,g₆∈B,使得g₅xg₆＝w＝d₃c₃c₁xc₂c₄d₄以外,Eve不能做任何进一步的攻击。

所以,由于双加锁技术,Eve对核心协议进行攻击的计算问题是不可解的。

特别地,在具体实施方案中无限非交换群G取指数n≥12的辫群B_n,A和B分别取B_n的子群LB_n和RB_n,而私钥b₁,b₂,b₃,b₄,和d₁,d₂,d₃,d₄分别在LB_n的Mihailova子群M_LA(H)和RB_n的Mihailova子群M_RA(H)中选取,则在上述Eve的攻击中,她通过解决GDSP问题解得h₁,h₂,h₃,h₄,h₅,h₆∈LB_n,和g₁,g₂,g₃,g₄,g₅,g₆∈RB_n,她还必须先确定是否h₁,h₂,h₃,h₄,h₅,h₆的分解式中的b₁′,b₂′,b₃′,b₄′为M_LA(H)中元素,d₁′,d₂′,d₃′,d₄′是否为M_RA(H)中元素。但M_LA(H)和M_RA(H)的GWP问题不可解,故Eve对协议双方的私钥也无法进行攻击。

六、参数的选取

在一个优选实施例中,辫群B_n的指数n≥12,各协议中的子群A＝LB_n,B＝RB_n,a₁,a₂,a₃,a₄,c₁,c₂,c₃,c₄的选取要满足其乘积a₃a₁c₃c₁gc₂c₄a₂a₄不小于128比特,私钥b₁,b₂,b₃,b₄,d₁,d₂,d₃,d₄均不小于128比特。

特别建议私钥b₁,b₂,b₃,b₄和d₁,d₂,d₃,d₄分别在辫群B_n的Mihailova子群M_LA(H)和M_RA(H)中选取。从而,由于M_LA(H)和M_RA(H)的GWP的不可解性,正如在安全性分析中所述,协议中的私钥是不可被攻击的。

以上是对本发明一种建立抗攻击的安全性公钥密码的方法进行了阐述,用于帮助理解本发明,但本发明的实施方式并不受上述实施例的限制,任何未背离本发明原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (9)

1.一种建立抗攻击的安全性公钥密码的方法,其特征在于:包括生成共享密钥的方法,所述生成共享密钥的方法包括如下步骤:

(11)建立一个无限非交换群G及G的两个子群A和B,使得对任意a∈A、任意的b∈B,等式ab＝ba成立；

(12)协议双方选取G中一元素g,其中,协议第一方选取四个元素b₁,b₂,b₃,b₄∈A作为私钥,协议第二方选取四个元素d₁,d₂,d₃,d₄∈B作为私钥；

(13)协议第二方选取两个元素c₁,c₂∈B,计算y＝d₁c₁gc₂d₂,并将y发送给协议第一方；

(14)协议第一方选取四个元素a₁,a₂,a₃,a₄∈A,计算

x＝b₁a₁ga₂b₂和z＝b₃a₃a₁ya₂a₄b₄＝b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄,

并将(x,z)发送给协议第二方；

(15)协议第二方选取两个元素c₃,c₄∈B,计算

w＝d₃c₃c₁xc₂c₄d₄＝d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄

和

v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃d₁ ^-1b₃a₃a₁d₁c₁gc₂d₂a₂a₄b₄d₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄

并将(w,v)发送给协议第一方；

(16)协议第一方计算

u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃b₁ ^-1d₃c₃c₁b₁a₁ga₂b₂c₂c₄d₄b₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

并将u发给协议第二方；

(17)协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄,而且协议第二方计算K_B＝d₃ ^{- 1}ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a_4；

由于a₁,a₂,a₃,a₂∈A,c₁,c₂,c₃,c₄∈B,所以a₁,a₃分别与c₁,c₃乘法可交换,而且a₂,a₄分别与c₂,c₄乘法可交换,故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

2.根据权利要求1所述的建立抗攻击的安全性公钥密码的方法,其特征在于:还包括信息数据加密解密的方法,所述信息数据加密解密的方法包括如下步骤；

(21)定义需要加密的已编码明文信息为m∈{0,1}^k,即长度为k的0-1数串；并定义Θ:G→{0,1}^k是一个由群G到明文空间{0,1}^k抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(22)加密:协议第二方先计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄,然后进行加密计算并将t作为密文发送给协议第一方,这里的是异或运算；

(23)解密:协议第一方先计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄,然后进行解密计算 $m^{\&prime;}=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;t=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m);$

(24)验证m′＝m:由密钥交换协议知K_A＝K_B,所以

$m^{\&prime;}=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m)=\mathrm{\&Theta;}\left(K_B\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m)=\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;\mathrm{\&Theta;}(K_B\left)\right)\&CirclePlus;m=m.$

3.根据权利要求1所述的建立抗攻击的安全性公钥密码的方法，其特征在于:还包括数字签名的方法，所述数字签名的方法包括如下步骤:

(31)将需要签名的已编码明文信息定义为p,并定义Θ:G→{0,1}^k是一个抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(32)签名:协议第一方计算K_A＝b₃ ^-1vb₄ ^-1＝c₃a₃a₁c₁gc₂a₂a₄c₄和S＝Θ(pK_A),协议第一方将S作为它对信息p的签名并将(S,p)发送给协议第二方；

(33)验证:协议第二方计算K_B＝d₃ ^-1ud₄ ^-1＝a₃c₃c₁a₁ga₂c₂c₄a₄和S′＝Θ(pK_B),如果S′＝S,协议第二方则认可S是协议第一方对信息p的签名,否则,协议第二方拒绝接受S是协议第一方对信息p的签名。

4.根据权利要求1所述的建立抗攻击的安全性公钥密码的方法,其特征在于:还包括身份认证的方法,所述协议第一方为示证人,所述协议第二方为验证人；所述身份认证的方法包括如下步骤:

(41)协议第一方选取一个抗碰撞的Hash函数Θ:G→{0,1}^k,协议第一方选取(G,A,B,g,Θ)为其公钥；

(42)协议第二方计算y＝d₁c₁gc₂d₂和w＝d₃c₃c₁xc₂c₄d₄,其中x＝b₁a₁ga₂b₂,并将(y,w)作为挑战一发送给协议第一方；

(43)协议第一方计算

z＝b₃a₃a₁ya₂a₄b₄和u＝a₃b₁ ^-1wb₂ ^-1a₄＝a₃d₃c₃c₁a₁ga₂c₂c₄d₄a₄,

其中y＝d₁c₁gc₂d₂,并将(z,u)作为响应发送给协议第二方；

(44)协议第二方计算v＝c₃d₁ ^-1zd₂ ^-1c₄＝c₃b₃a₃a₁c₁gc₂a₂a₄b₄c₄,并将v作为挑战二发送给协议第一方；

(45)协议第一方计算t＝Θ(b₃ ^-1vb₄ ^-1)＝Θ(c₃a₃a₁c₁gc₂a₂a₄c₄)并将t作为承诺发送给协议第二方；

(46)协议第二方计算t′＝Θ(d₃ ^-1ud₄ ^-1)＝Θ(a₃c₃c₁a₁ga₂c₂c₄a₄),并验证是否t＝t′,如果t＝t′,协议第二方认可协议第一方的身份,否则拒绝认可。

5.一种建立抗攻击的安全性公钥密码的方法,其特征在于:包括生成共享密钥的方法,所述生成共享密钥的方法包括如下步骤:

(11.1)建立一个无限非交换群G及G的两个子群A和B,使得对任意a∈A、任意的b∈B,等式ab＝ba成立；

(12.1)协议双方选取G中一元素g,其中协议第一方,选取四个元素b₁₀,b₃₀∈A和d₂₀,d₄₀∈B作为私钥,协议第二方选取四个元素b₂₀,b₄₀∈A和d₁₀,d₃₀∈B作为私钥；

(13.1)协议第二方选取两个元素a₂₀∈A和c₁₀∈B,计算y＝d₁₀c₁₀ga₂₀b₂₀,并将y发送给协议第一方；

(14.1)协议第一方选取四个元素a₁₀,a₃₀∈A和c₂₀,c₄₀∈B,计算

x＝b₁₀a₁₀gc₂₀d₂₀和z＝b₃₀a₃₀a₁₀yc₂₀c₄₀d₄₀＝b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀

并将(x,z)发送给协议第二方；

(15.1)协议第二方选取两个元素a₄₀∈A和c₃₀∈B,计算

w＝d₃₀c₃₀c₁₀xa₂₀a₄₀b₄₀＝d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀

和

v＝c₃₀d₁₀ ^-1zb₂₀ ^-1a₄₀＝c₃₀d₁₀ ^-1b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀b₂₀ ^-1a₄₀

＝c₃₀b₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀d₄₀a₄₀

并将(w,v)发送给协议第一方；

(16.1)协议第一方计算

u＝a₃₀b₁₀ ^-1wd₂₀ ^-1c₄₀＝a₃₀b₁₀ ^-1d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀d₂₀ ^-1c₄₀

＝a₃₀d₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀b₄₀c₄₀,

并将u发给协议第二方；

(17.1)协议第一方计算K_A＝b₃₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀,而且协议第二方计算K_B＝d₃₀ ^-1ub₄₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c_40；

由于a₁₀,a₂₀,a₃₀,a₄₀∈A,c₁₀,c₂₀,c₃₀,c₄₀∈B,所以a₁₀,a₂₀,a₃₀,a₄₀与c₁₀,c₂₀,c₃₀,c₄₀分别乘法可交换,故协议第一方和协议第二方达成共享密钥K＝K_A＝K_B。

6.根据权利要求5所述的建立抗攻击的安全性公钥密码的方法,其特征在于:还包括信息数据加密解密的方法,所述信息数据加密解密的方法包括如下步骤；

(21.1)定义需要加密的已编码明文信息为m∈{0,1}^k,即长度为k的0-1数串；并定义Θ:G→{0,1}^k是一个由群G到明文空间{0,1}^k抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(22.1)加密:协议第二方先计算K_B＝d₃₀ ^-1ub₃₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c_40；,然后进行加密计算并将t作为密文发送给协议第一方,这里的是异或运算；

(23.1)解密:协议第一方先计算K_A＝b₄₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀,然后进行解密计算 $m^{\&prime;}=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;t=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m);$

(24.1)验证m′＝m:由密钥交换协议知K_A＝K_B,所以

$m^{\&prime;}=\mathrm{\&Theta;}\left(K_A\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m)=\mathrm{\&Theta;}\left(K_B\right)\&CirclePlus;\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;m)=\left(\mathrm{\&Theta;}\right(K_B)\&CirclePlus;\mathrm{\&Theta;}(K_B\left)\right)\&CirclePlus;m=m.$

7.根据权利要求5所述的建立抗攻击的安全性公钥密码的方法,其特征在于:还包括数字签名的方法，所述数字签名的方法包括如下步骤:

(31.1)将需要签名的已编码明文信息定义为p,并定义Θ:G→{0,1}^k是一个抗碰撞的Hash函数,协议第一方选取(G,A,B,g,Θ)为其公钥；

(32.1)签名:协议第一方计算K_A＝b₄₀ ^-1vd₄₀ ^-1＝c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀和S＝Θ(pK_A),协议第一方将S作为它对信息p的签名并将(S,p)发送给协议第二方；

(33.1)验证:协议第二方计算K_B＝d₃₀ ^-1ub₃₀ ^-1＝a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c₄₀；和S′＝Θ(pK_B),如果S′＝S,协议第二方则认可S是协议第一方对信息p的签名,否则,协议第二方拒绝接受S是协议第一方对信息p的签名。

8.根据权利要求5所述的建立抗攻击的安全性公钥密码的方法,其特征在于:还包括身份认证的方法,所述协议第一方为示证人,所述协议第二方为验证人；所述身份认证的方法包括如下步骤；

(41.1)协议第一方选取一个抗碰撞的Hash函数Θ:G→{0,1}^k,协议第一方选取(G,A,B,g,Θ)为其公钥；

(42.1)协议第二方计算y＝d₁₀c₁₀ga₂₀b₂₀和w＝d₃₀c₃₀c₁₀xa₂₀a₄₀b₄₀＝d₃₀c₃₀c₁₀b₁₀a₁₀gc₂₀d₂₀a₂₀a₄₀b₄₀,其中x＝b₁₀a₁₀gc₂₀d₂₀,并将(y,w)作为挑战一发送给协议第一方；

(43.1)协议第一方计算

z＝b₃₀a₃₀a₁₀yc₂₀c₄₀d₄₀＝b₃₀a₃₀a₁₀d₁₀c₁₀ga₂₀b₂₀c₂₀c₄₀d₄₀

和

u＝a₃₀b₁₀ ^-1wd₂₀ ^-1c₄₀＝a₃₀d₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀b₄₀c₄₀,

并将(z,u)作为响应发送给协议第二方；

(44.1)协议第二方计算v＝c₃₀d₁₀ ^-1zb₂₀ ^-1a₄₀＝c₃₀b₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀d₄₀a₄₀,并将v作为挑战二发送给协议第一方；

(45.1)协议第一方计算t＝Θ(b₃₀ ^-1vd₄₀ ^-1)＝Θ(c₃₀a₃₀a₁₀c₁₀ga₂₀c₂₀c₄₀a₄₀)并将t作为承诺发送给协议第二方；

(46.1)协议第二方计算t′＝Θ(d₃₀ ^-1ub₄₀ ^-1)＝Θ(a₃₀c₃₀c₁₀a₁₀gc₂₀a₂₀a₄₀c₄₀),并验证是否t＝t′,如果t＝t′,协议第二方认可协议第一方的身份,否则拒绝认可。

9.根据权利要求1-8所述的任一建立抗攻击的安全性公钥密码的方法,其特征在于:所述无限非交换群G为辫群。

所述辫群为具有子群成员不可解的Mihailova子群,且私钥在Mihailova子群中选取。

所述无限非交换群G取指数为n≧12的辫群B_n,并由如下呈示所定义的群:

B_n＝<σ₁,σ₂,…,σ_n-1|σ_iσ_j＝σ_jσ_i,|i-j|≥2,σ_iσ_i+1σ_i＝σ_i+1σ_iσ_i+1,1≤i≤n-2>

所述群的元素均以集合{σ₁,σ₂,…,σ_n-₁}上代表该元素的具有唯一性的正规形式的字表示。

辫群B_n含有如下两个子群:令为不大于n/2的最大整数,辫群B_n的左辫子LB_n和右辫子RB_n分别为

LB_n＝<σ₁,σ₂,…,σ_m-1>和RB_n＝<σ_m+1,σ_m+2,…,σ_n-1>

即,分别为由σ₁,σ₂,…,σ_m-1和σ_m+1,σ_m+2,…,σ_n-1生成的子群,并且,对于任意的a∈LB_n和任意的b∈RB_n,有ab＝ba,所述的G的子群A即取为LB_n,而G的子群B即取为RB_n；

当n≧12时,LB_n和RB_n分别含有一个与F₂×F₂同构的子群,即两个秩为2的自由群的直积同构的子群:

LA＝<σ_m-5 ²,σ_m-4 ²,σ_m-2 ²,σ_m-1 ²>≤LB_n

和

RA＝<σ_m+1 ²,σ_m+2 ²,σ_m+4 ²,σ_m+5 ²>≤RB_n；

再由两个元素生成的其字问题不可解的有限呈示群H,构造LA的一个Mihailova子群M_LA(H)和RA的Mihailova子群M_RA(H)；下方即为M_LA(H)的56个生成元,其中i＝m-5；而当令i＝m+1,便可得到M_RA(H)的56个生成元:

S_ij,T_ij,j＝1,2,…,27

而27个S_ij为:

将上述每一S_ij中的所有σ_i换成σ_i+3,所有σ_i+1换成σ_i+4便得到对应的27个T_ij,j＝1,2,…,27。