CN108093680A

CN108093680A - 基于纯随机加密通信方法

Info

Publication number: CN108093680A
Application number: CN201680030035.7A
Authority: CN
Inventors: 蒂博·德·瓦罗格
Original assignee: Individual
Current assignee: Individual
Priority date: 2015-04-14
Filing date: 2016-04-06
Publication date: 2018-05-29
Anticipated expiration: 2036-04-06
Also published as: WO2016166426A1; US20180287781A1; FR3035293A1; EP3284208A1; US10396983B2; FR3035293B1; CN108093680B

Abstract

本发明公开了一种以非安全通信信道连接以及初始条件下不共享机密数据的两个实体以无条件安全方式共享机密信息的方法。每个实体中都能生成新的随机信息，即：纯随机，这样除了它自己没有实体知道其公共特性集以外的概率分布，每个实体的内部系统包括:(1)能生成纯随机信号并利用该信息执行处理操作的纯随机生成器；(2)能够通过非安全通信信道发布和读取信息的交互式通信模块(ICM)。这两个实体执行通信协议，因此：(i)它们可以各自估算自己的共享机密信息，该估算必须与期望值完全一致；(ii)可通过通信信道完全、无限制地访问交换信息的所有被动实体，以及能无限制计算和存储数据的所有被动实体仅能估算共享机密信息，在统计学上可根据需要接近于绝对误差。

Description

基于纯随机加密通信方法

技术领域

本发明涉及加密系统。

背景技术

现代密码技术大多基于公认为难求解的数学问题，例如大整数因子分解或离散对数，这些都属于复杂理论。由于这些问题的实验难度是没有一个确定性，甚至是著名的P≠NP猜想也是不确定的，自90年代初以来开发出了某些其它的基于信息理论的方法。这些方法基于对手假设(如：《有限内存》对立[6])或通信信道假设(如：《独立噪声信道》[5])；遗憾的是，如果在给定的假设下已经证明了它们的完全保密性，则这些假设在实际中均难以保证。最后，还描述了一些基于量子不确定性原理[3]或混沌生成的物理理论，并进行了试验，但这些方法的实现是复杂的,并且依赖于某些未被证实的理论。

考虑到这一不利现状，我们提出一种新方法，该方法无须任何对手假设即可证实可达到完全保密，即：该方法应该有有限的计算和存储能力，无需通信信道，该方法应该是完全公共的，可访问的、对任何参与方(合法伙伴和对手)都是等效的。如果对手是被动的，这意味着在通信中不会通过抑制、添加或修改合法伙伴间的交换信息进行主动干扰，它仅具有完全访问权。在通信协议中，可在合法伙伴间添加认证方案的也可被视为主动对手。参考文献

[1]C.E.Shannon,《保密系统的通信理论》,Bell Syst.Tech.J.,Vol.28,pp.656-715,Oct.1949

[2]A.N.Kolmogorov,《随机数表》,Sankhya.印度统计期刊A,25(4):369-376

[3]C.H.Bennet和G.Bakard,《量子密码及其在可证安全密钥扩展、公钥分发及掷硬币上的应用》，PROC.IEEE国际计算机、系统和信号处理会议，Bangalore,India,pp.175-179,Dec.1984

[4]C.H.Bennet,G.Kauard和J.-M.Robert,《基于公议的保密放大》，SIAMJ.COMPUT.,Vol.17,No.2,Apr.1988

[5]U.M.Maurer,《基于公议的公开信息密钥协议》,IEEE信息理论程序,Vol.39,No.3,May 1993

[6]C.Cachin and U.M.Maurer,《针对有限内存对手的绝对安全性》,CRYPTO会议,计算机科学演讲，Springer,1997

发明内容

我们考虑了愿意在非安全公共信道上通信的两个自主实体(AE)，即合法的对应AE。与每个经典协议模型一样，这些AE是能生成随机位串、发布位串、读取其它AE在公共信道上发布的位串、存储位串、并对位串进行计算的实体。本方法的主要区别在于随机生成包括深随机生成。深随机是数字随机性的来源，因此除了某些公共特性之外，外部观测者并不知道该数字随机变量的概率分布。因此，这些深随机变量不服从贝叶斯推理。

AE由两个组件构成(图1)。

◆深随机生成器(DRG)，DRG可：

o产生连续的新型/演化概率分布，称为深随机分布，其特征如下：

o根据授权的相关ICM请求，用其深随机概率分布生成、存储某些随机数字信息，这些信息必须保守机密以便于通信保密。

o根据授权的相关ICM请求，对相关的机密数字信息进行计算。

◆交互式通信模块(ICM)，ICM可：

o在公共信道上发面信息(注意其合法的、相应AE)

o从公共信道读取信息

o执行通信协议——即：完全保密协议，其特征如下：

本发明的两个主要特征是：(i)生成深随机概率分布；(ii)执行完全保密协议。这两个特征一起运行，将本发明统一起来。它们无须预先设置密钥、无须在通信信道及对手上有任何条件和限制，即可产生完全保密性，这也是本发明的创新性和有效性之所在。它们可以多种形式体现，但至少有一种如第5节所述，这表明本发明可用于工业应用。此外，作者还得到了完全保密性数学证明，该证明与前专利方法不一样，不过，该数学证明极为复杂，因此这里未给出详细说明。

(i)深随机发生器的特性：

AE生成的深随机，称之为A，是随机性的来源，因此对于给定的、AE称为对手的集合，且每个对手表示为ξ，其概率分布实际上是不可知的(或隐藏的)。实际上，这组AE通常为除A以外的所有AE。更为普遍的是，除了公共特征信息A，ξ的概率分布也是可隐藏的(我们用A表示验证特征信息的概率分布集A)。该随机源具有以下特征：

如果X和Y为两个随机变量，且如果X具有给定特征信息I除外的，ξ的隐藏概率分布，则：

在Ω_I内，与X的概率分布无关。 (H)

这里，通过ξ，从Y的限制信息中指定了的条件期望。

我们可以对生成变量相关的该特征给出一个较弱的、但更具体的公式。作为一般的定义，如果V是值在集合E中的随机变量，如果存在一个生成分布则值在集合F中的随机变量V′由V生成，因此，且为V′的概率分布。

P(V′＝y|V＝x)＝ψ(y,x)

于是，弱公式如下：令Y为值在Y中的随机变量，该变量由值在E中的任意变量通过相同的生成分布生成。如果X和X′为两个值在E中的随机变量，且除了特征信息I，二者在Ω_I中的概率分布对于ξ都是不可见的，则：

从AE到概率分布被隐藏来看，该随机变量相关的计算能力肯定比概率论中传统变量的计算能力更有限。这类值的简单存在这一概念取代了样本空间中可能值的“加权”概念。我们说，随机变量的概率分布是不可知晓的，这不意味着其概率分布不存在，这一点是非常重要的。这只有一个解释，即它被隐藏到给定的SE集合中。对于任何其它AE(已知概率分布为X)，随机变量仍由传统概率论主导。

期望从确定性可计算程序中生成深随机似乎是无意义的。在现实世界中，即使是一台计算机也可以访问概率分布至少是部分未知的随机源，但这并不意味着我们可以从中构建出能可靠用于加密应用中的深随机。

有3种方法可在AE中用程序生成深随机:

1)安全编程：在该方法中，生成深随机(DRG)的程序在封闭工业流程中是经过安全、精心设计的，并对外部AE保密。在工业应用中，它被嵌入到防篡改设备中，仅能请求生成给定的输出随机信号。

2)递归生成：在该方法中，DRG程序执行连续递归生成序列，在每个步骤m+1上，创建/选择概率分布以战胜最优预测策略对步骤≤m.概述分布的预测。该方法可以在连续运行在计算环境中的程序中实现，可在任何时刻根据概率分布序列当前值请求输出所提取随机信号，这种实现可用由软件完成或嵌入在防篡改硬件中，以提高计数器当前状态及概率分布序列的保密性。为了使这种方法具有安全性，输出随机信号的熵不应当大于当前计数器值的熵。第5节给出了该方法示例。

3)组合：该方法中将不同的深随机源进行了组合。这些源可来自于如图3所示的外协型AE。此时，用完全保密协议将概率分布参数从一个或多个1级协作型AE交换到2级AE。组合方法为：如果至少有一个组合源事实上是深随机的，则它与其它源的组合结果也是深随机的，这意味着其概率分布保持对于对手而言是不可见的。

对于递归生成，如果不知道无限计数器的开始日期和速度，则由于计数器的无限性质，在给定时间内，计数器的值不可用概率分布来近似。如果在物理计算源中执行，则计数器的实际速度受到处理器所有外部任务的影响，由于不能估算出概率分布，对手能够做的唯一的事情是粗略估算该速度的上限。

(ii)完全保密协议的特征：

让我们首先定义通用的通信协议模型。

协议是涉及2个合法通信AE的通信程序(A和B)，它可分解为有限的步骤中t₁,…,t_R，这样，在每个步骤r<R:

a)A和B分别生成新信息x_r和y_r(使用潜在的经典随机或深随机感谢他们的背根,每图1-互动100-101),可能涉及的知识分别{x_m}_1≤m<r,{i_m,j_m}_1≤m<r,和{y_m}_1≤m<r,{i_m,j_m}_1≤m<r。在某种程度上，DRG可以由ICM请求，如图1所示-交互101，ICM读取对方在前一步骤中发布的信息，如图1所示-交互103。

b)A和B分别发布信息i_rj_r，它们分别取决于{x_m}_1≤m≤r,A{i_m,j_m}_1≤m<r和{i_m,j_m}_1≤m<r,{y_m}_1≤m≤r,。为此，ICM在公共信道上写入信息，如图1所示-交互102。

在最后的步骤R，A和B中，仅分别执行各自信息的计算，{x_m}_1≤m＜R，{i_m，j_m}_1≤m＜R，和{y_m}_1≤m<R,{i_m,j_m}_1≤m<R.。计算结果之一(如图1所示-交互104)即为对共享信息的估算。这些估算分别表示为V_A和V_B。

如果协议实现描述(包括产生深随机的能力)的大小受H(v)+K所限，这里，H为熵，K为不依赖于v的常数，则称为可配置协议，v为协议运行前即固定的数值参数向量。

理想的保密协议是上述通用模型中的特殊协议，假设上述(H)和(H′)针对于DRG生成的信号，对于对手(条件期望)估算而言，最有效的策略V_A要比V_B(优先提取[4])的效率低。这类协议还包括协调和保密放大方法[4]，即将所述优先转换成仅在合法伙伴间安全的共享信息。该信息可具有所需的长度(协议重复)，可用于在合法伙伴间安全地交换有意义消息，或直接交换信息(一次一密XOR)，或通过交换适用于任何块密码或流密码的对称密钥来交换信息。

更正式地讲，如果我们考虑了一个协议则A和B分别生成的完整随机信息集分别服从各自集合中的概率分布，我们称为和根据使用深随机可考虑若干子集这样，他们仅包含对手无法区分他们的分布。这些子集应最大化(因为没有的话，它们可互补)。我们可考虑{h_m(s)}_m(假设是可枚举的)，即令是稳定的。这些变换均可在针对对手的策略集中诱导可逆变换。因此,通过诱导组我们用e表示含有策略不变量的子集因此，深随机(H)和假设可将对手策略限制在这些子集中的任意一个上。

我们用表示通过要交换的最小数量(数字位数)，得到：

(i)d_h(V_A,V_B)≤εH(V_B)

(ii)

其中d_h表示hamming距离，H(·)表示Shannon熵[1]。如果上面的两个条件不能满足，那么，可配置协议被称为完全保密协议，如果如果在深随机v(ε,ε′)，(H)和(H′)d_h，则：

完全保密协议的三个最小特征是:

1)深随机(DR)：参与协议的合法合作伙伴均使用DRG

2)退化：对于涉及协议的合法伙伴，其发布的信息至少部分地从DRG产生的相关输出信号中退化，这意味着所公布的信息是DRG生成的输出信号产生的变量结果，使得所述生成变量的输出精度比DRG产生的输出信号的精度更小(通过退化过程)。

3)DR假设((H)和(H′))下的优先提取：在(H)和(H′)条件下，应将对手策略看作为，其效率都不如给定集合Ω中的所有策略，即：协议策略的限制集；对于对手采用的、Ω中的任何策略，所述策略给出的共享信息的估算精度肯定小于合法伙伴的估算精度。

为了阐释退化，我们给出一个简单的例子：让我们考虑一个AE，来看一下参数为Vθ∈[0,1].的二元随机变量试验。如果AE希望根据实验结果产生一个新的二元随机变量，则它仅能根据{0,1}的实验结果V影响参数{θ₀,θ₁}。则新的二元随机变量的V′的参数是：

θ₀+(θ₁-θ₀)θ

现在我们用θ代替θ/k，其中，k为一个大于1的实数，因此不可能从Va中产生一个参数为θ的二元随机变量(因为|θ₁-θ₀|≤1)。为了使生成的变量具有和相同的一阶矩，但方差(二阶矩，表示精度)却比V的方差要大，可以用所得实验乘以来观察AE(产生一个值为而非的生成变量)。然后AE必须在一阶矩和二阶矩之间做出选择，但二者不能在相同的生成变量中得到。

附图说明

图1示出了基于深随机的完全保密协议的通用模型，其中协议所涉及的每个AE(表示为A和B)正运行一个DRG和ICM。A、B的ICM通过一个无错公共信道连接，在该信道上假定所有AE可完全访问。

图2示出了基于深随机的完全保密协议的具体实例(涉及第5节)，协议所涉及AE(表示为A和B)间执行连接交互。第5节描述了其中一个交互。

图3示出了深随机生成器间的协作模型，其中一个或多个1级AE(表示为A.x,A.y)可以将深随机概率分布的参数安全地传递到2级AE上(表示为B)。B可将这些源与自身的源组合在一起，以生成新的本地深随机源。

图4以框图形式示出了以连续递归生成方法工作的深随机发生器。它包含在一个防篡改外壳中，在逻辑上由4个子模块组成：内部递归DR生成器、内部标准随机发生器、内部存储器和通信接口，这是四个子模块中唯一一个能够与外部环境通信的子模块。

具体实施方式

深随机发生器的具体实施例描述

本节所介绍的具体实施例对应于第3.(i)2)节所示的递归法。与第3.(i)3).节所示组合法相关。它可在软件程序或防篡改硬件设备中实现。

图4用框图形式示出了以连续递归生成方法工作的深随机发生器的实施例。这种DRG通常具有4个子组件：

●产生[FIG4-400]一个连续递归的概率分布序列，并能根据请求[Fig4-420]将概率分布序列当前值所得出的实验进行输出的内部递归DR分布发生器。

●可根据请求[FIG4-430]输出已知概率分布实验的内部标准随机生成器，该概率分布需要一个输入参数，如：内部DRG的输出信号(这种情况下，可由DR概率分布生成一个生成变量)。

●能从相关ICM中接收指令的通信接口[FIG4-410,411,412]

●使通信接口能够存储、检索或抑制[内部DRG的输出信号的内部存储器[图4-440,441,442]。

在接下来的第5节中，i)我们着重看下内部递归DR分布生成器示例。

先定义一些符号；x＝(x₁,…,x_n)和y＝(y₁,…,y_n)为[0,1]ⁿ中的某些参数向量，i＝(i₁,…,i_n)和j＝(j₁,…,j_n)为{0,1}ⁿ中的某些实验向量，为两个整数，且θ∈[0,1],我们定义：

x.y(resp.i.j)为x和y的数积(resp.i和j)

我们还在向量上处理置换算子。对于有且|σ|＝card(supp(σ)).。向量置换为以下线性应用：

其中，表示对称群

Φ,Φ_m表示[0,1]ⁿ中的概率分布输出值。对于分布Φ,Φ°σ表示[0,1]ⁿ中的另一个概率分布输出值，因此

该分布Φ的二次矩阵是:

令S_n代表{1,…,n}的子集集合I，其大小为n/2；我们定义c型‖·‖_c为

将其关联到任意的分布二次矩阵M_Φ，矩阵定义为：

其中

我们将表示如下：

ω表示对手根据公共信息i,j所选的任一策略(该可能策略集表示为Ω)，以对进行最佳估算。i,j{0,1}ⁿ中的实验向量，由各自参数向量根据伯努利分布生成。变换为本方法所用的退化(见第3.(ii)节)，DRG及完全保密协议中的变换如下文所述。

最后,我们表示：

其中，α∈[0,1]为作为配置参数的标量下限，其值为可能分布集的大小和熵，以及下文所述的完全保密协议的同步步骤效率间的折衷值；ζ(α)对应于非对称分布集。下文所述的完全保密协议中仅考虑此类分布，这样才能确保其同步步骤的效率(步骤4)。

设置了这些符号之后，我们可描述本特定DRG实施例DRG(N,n,k)中，内部递归DR分布生成器所执行的概率分布序列的构建过程。

一元递归生成过程：

可能的二次矩阵集(如果Φ限制在{0,1}ⁿ内)是集合中所有矩阵的凸包络。

其中对应于向量{1,…,1_r,0,…,0}.的Dirac分布矩阵。

由于r不接近0或1，我们可以很容易地计算出

并因此确定Dirac分布是否δ_x∈ζ(α).

该过程的初始种子Φ₀取自于算法可排列的ζ(α)中的任一预定义子集。在本实施例中，我们考虑ζ(α).中Dirac分布的所有凸线性组合的子集。

为中执行的最小值。

其中{λ_m,s}_s≤m称为DRG的特征函数，它证实了λ_m,s≥0,且

Ψ是从初始子集中随机选取的，我们已证实它可选取σ_m+1(详细证明过于复杂，这里未介绍)，从而：

然后，我们设Φ_m+1为:

在每个上，ω_m和σ_m+1可由内部递归DR分布发生器确定(通过Ψ和σ_m+1的经典随机性)。

随后，我们可通过某方法组合(α)中的分布：

内部组合流程：

首先，我们选取了ζ(α)中的Ψ，并选取了ζ(α),中待组合分布的集合{Ψ_s}_{s∈{1,…,N}}。令σ_s为一个置换，可得可证明，该置换始终存在(详细证明过于复杂，这里未介绍)，因此：

该组合分布为

一元递归生成过程和上述内部组合过程的关系描述了内部递归DR分布生成器DRG(N,n,k)(如[Fig4-400]所示):

AE运行一个递归、连续的生成过程，在该过程中，N个连续序列根据上述一元递归生成过程并行运行。同时，还确定了利用上述内部组合过程，通过当前值组合来更新给定序列的当前值。深随机的质量取决于初始子集的种类以及在每个序列中所执行步骤(轮)数量的增加。内部递归DR分布生成器在收到ICM的任何请求前，至少应运行在n×N个步骤中。N应当大致等于ln(n！)～nln(n)，它代表了对该置换集成员进行编码所需的熵。

当ICM要求DRG选择DR分布时(见[图4-410])，对内部分布选择的最终处理是通过内部递归DR分布生成器的通信接口执行的(见[图4-420])，通信接口[图4-430])在{1,…,N}中挑选一个整数c，从{1,…,N}中挑中c的概率是N/c(c+1)(N+1)，由此，1/c概率在[0,1]上近似于等分布的。随后，AE在N中随机选取c个序列([图4-430])，并选择其分布Φ作为线性组合这里，t为执行该过程的时刻，{p₁,…,p_r}是所选序列的索引，m_r(t)是序列Φ[p_r]的计数器在执行时刻的当前值。该过程的依据是，最终分布应在凸子集内，且其α参数应在凸段。实际上，下述完全保密协议的分散步骤(步骤2)使用了凸变换且该变换降低了α参数；带c求和分布的线性凸变换略降低了乘法常数为1/c的α-参数。当然，即使这个过程能够放心应用本发明概要中提出的假设(H)和(H′)，其代价是引入了某些低概率事件，由于降低了α-参数，所选出分布更接近对称分布，这时，对手可用分离式策略取胜。因此,这些低概率事件与较大c值有关，它大致等于较低的α-参数值。

最终，通过置换平滑变换来转换所选分布Φ(始终在交互内[图4-420])

这里，γ，也称为置换平滑内核，是一个函数(注意，1/c是不可能的，因此1的分量可以忽略)，它证明了：

要平滑Dirac分布，并避免推诿，必须进行最终变换(技术细节过于复杂，这里未介绍)。选取置换平滑内核γ作为DRG的配置参数。

该特定实施例DRG(N,n,k)内的一元递归生成过程的设计说明如下所示:

当无限计数器是在内部递归DR分布生成器内秘密执行时，时刻m和m+1对于对手ξ.来说是不可区分的。对于ξ，如果在时刻m上存在一个取胜策略集合Ω_m，则对于任何概率分布Φ:

从而，通过选择时刻m+1的概率分布Φ_m+1，得到:

(如上面所解释的那样，这是可能的)，只要由于观察时间并不是对手所确定的m或m+1.，因此AE确保了不存在绝对的取胜策略来估算

另一方面,通过表示其中x,y可为来自于Φ的实验，则可计算为：

事实上，这一过程生成了深随机性，因为如果不是的话，对手可通过贝叶斯推断从具有与V_A或V_B.相同精度的公共信息i,j中来估算

ii)完全保密协议的具体实施例描述

图2以框图形式示出了完全保密协议的实施例，其中是建立在相应实体(表示为A和B)间的、协议公共参数。

A和B是两个AE，称为合法的伙伴，每个AE都设有一个DRG和一个ICM。这两个ICM都连接到无错公共信道上，这样A和B可在信道上发布、并读取其它方发布的信息。

协议的步骤如下：

步骤1-深随机生成：

A和B通常通过5.1小节所述的DRG(N,n,k)独立运行深随机概率分布的递归生成序列[图2-200]。A和B希望进入安全通信，并通过请求其DRG(N,n,k)独立挑取各自的概率分布Φ和Φ′，以此来启动协议，如[图2-210&211&213&214,图4-410&420]所示。该步骤的结果是，A(resp.B)从Φ(从Φ′中，resp.y₀∈[0,1]ⁿ)中提取了参数向量x₀∈[0,1]ⁿ，并将x₀(resp.y₀)存储在内部存储器中，如图[Fig4-440]所示。

步骤2-分散：

A也从其DRG(N,n,k)中挑取了第二个概率分布Ψ，如[图2-210&211&213&214]]所示。用Ψ扰乱Φ.的重复提取，A请求其DRG(N,n,k)从1/2(Φ+Ψ)中提取N个参数向量{x₁,…,x_N}∈{[0,1]ⁿ}^N，B从Φ′中提取了N个参数向量{y₁,…,y_N}∈{[0,1]ⁿ}^N。A(resp.B)将{x₁,…,x_N}(resp.{y₁,…,y_N})存储在其DRG的内部存储器中，如[图4-440]所示.

步骤3-退化

A分别从中生成了N+1个伯努利向量{i₀,…,i_N}∈{{0,1}ⁿ}^N+1见【图2-210&211，图4-430&441】，A发布了{i₀,…,i_N}，如[图2-220]所示.

步骤4-同步：

B从公共信道读取{i₀,…,}，如[图2-221]所示，并计算了满足以下条件的同步置换

然后根据生成伯努利实验向量j₀∈{0,1}ⁿ。B发布j₀∈{0,1}ⁿ[如图2-230&231&232&240]所示。

步骤5-优先提取：

A从公共信道读取j₀，如[图2-241]所示，并计算了如[图2-253&254&255,图4-412&441&442]所示。B计算了如[图2-250&251&252,图4-412&441&442]所示。

第六步：经典协调和保密放大技术使合法伙伴间的估算精度如预期完美，而对手的估算精度则如预期为零知识。

可证明(详细证明过于复杂，这里未介绍)，适当地选择参数(λ,θ,N,n,k)可使得步骤4和6成为可能。如步骤1和2中所述，利用深随机可限制对手策略：

协议的分散步骤可以限制仅取决于公共信息j₀,i₀的策略集

同步步骤限制了策略集，即，换言之，通过i₀,j₀.上的普通置换，策略是不变的。

这两者都限制了策略集Ω_#:

要确保对手不能通过A和B利用Φ和Φ′选择间的独立性，步骤4是必须的，它利用策略使其估算极为高效。由于DRG(N,n,k)所用初始种子Φ₀的性质，该策略因同步步骤变得无效了。重复提取Φ，以同步Φ和Φ′，但二者不能协助ξ得到Φ的信息。这就是步骤3中分散的作用。

必须注意步骤4中σ_B＝σ_B[{i_s}^*,{y_s}^*]的计算仅依赖于索引因此排除了0。实际上，σ_B的选取必须始终独立于i₀，这样i₀和j₀仍可独立提取伯努利随机变量，从而在合法伙伴上运用上述上限(E)。

该实施例说明如下：可证明(证明细节过于复杂，这里未给出)，限制集合Ω_#内，任一对手策略ω，有

其中C′是常量。另一方面，我们还有：

因此,只要在步骤5上可得到优先提取。

在理论分析中还获得了这样的结果，即，为了在步骤4上，通过选取σ_B获得能匹配同步标准的良好概率，N应大致等于ln(n！)～nln(n)。

工业应用

完全保密协议的工业实施例使两个在非安全通信信道上通信的实体生成共同的、唯一的安全共享信息。该信息可具有所需的长度(协议重复)，可用于在合法伙伴间安全地交换有意义消息，或直接交换信息(一次一密XOR)，或通过交换适用于任何块密码或流密码的对称密钥来交换信息。

因此，它可用于保护极敏感通信，因为，未经证实的加密方法的安全性看起来是不够的。

该实施例可以软件程序模式下执行，可嵌入到通信设备或IT应用中。它也可以嵌入到专用的直通防篡改安全通信设备中。

Claims

1.一种基于通过非安全公共通信信道的通信协议的方法，使最初不共享公共机密信息的两个通信实体(也称A和B或共同合法伙伴)可交换机密公共信息。通过三个特征可实现该方法：两个实体都能够产生随机源(称为深随机发生器(DRG))，并且适用于特定的通信协议，这样，这些源的概率分布是未知的，且生成该随机源的实体以外的其它实体难以将其与A的概率分布集合中的其它概率分布区分开来(B的为.)，从而防止根据贝叶斯推断进行可靠估计；所述生成器可由以下方式实施:(a)在每个新步骤中递归、连续生成一个新的概率分布，该概率分布在所述通信协议的本地仿真环境下击败了前述步骤分布对应的最优推断策略；(b)利用防篡改环境中执行的概率分布；(c)将若干(a)型或(b)型深随机源组合起来；(ii)这两个实体均执行DRG相关的通信协议，包括：DRG生成的机密信息的退化，也称DRG的输出信号，在此之前，所述的退化输出信号用于生成可由伙伴发布的信号，以便于进行必要的贝叶斯推理过程，从已发布信号中恢复DRG的输出信号。所述协议能使每个伙伴进行估算，分别称为共享机密信号的V_A和V_B，通过所述协议，对非安全通信信道上两个实体所交换信息有着充分了解的对手在最好情况下所得出的估算精度要低于V_A或V_B，这得益于：(a)所述退化；(b)假定在和上A和B各自生成的概率分布是不可区分的；(iii)一旦合法伙伴间产生了如上所述的优势，该协议由经典协调及保密放大方法来完成，以确保由合法伙伴得出的估算尽可能近似相等，且对手估算尽可能为完全不确定。

2.如权利要求1所述之方法，该方法与经典密钥加密方法相关联，通过该方法，估算的机密共享信息使得每个伙伴生成了该加密方法中所用的密钥，从而安全的交换信息。

3.如权利要求1所述的方法，该方法通过多次重复生成了A和B所共享的一次一密信息S，从而(i)A可通过XOR运算或其它目标组合将S与明文消息M相结合，(ii)A可将S和M的组合结果发送至B，(iii)通过计算S，执行反向组合方法，B可获得信息M。

4.如权利要求1、2或3中所述之方法，它进一步包括A、B间认证方法，从而对协议内的每个消息发送者进行认证，从而使得所述方法在非安全通信信道上对能伪造和发送信息的主动对手进行抵制。

5.如权利要求1、2、3或4的方法中所述之方法，该方法用于安全地将DRG产生的概率分布参数从运行DRG的1级实体交换到运行DRG的2级实体，所述分布可能会结合2级DRG内的其它分布。

6.如权利要求1所述的方法，具体而言，该方案由6个步骤组织而成：(1)第一步为深随机生成步骤，A et B通过在[0,1]ⁿ内取值的DRG，给它们中的每个选取一个概率分布，Φ为A，Φ′为B,；通过所设计的DRG，其分布与其对称投影相差甚远，这表明，Φ与相差甚远，A和B从各自分布中生成向量x₀和y₀∈[0,1]ⁿ，并保存这些数据机密；(2)第二步为分散步骤，A根据其DRG选取一个第二分布Ψ，并利用分布1/2(Φ+Ψ)从多次提取中生成N个向量{x₁,…,x_N}，B利用分布Φ′从重复提取中生成N个向量{y₁,…,y_N}，每个均对其向量序列保密；(3)第三步为退化步骤，A分别从参数向量中生成N+1个伯努利实验向量{i₀,…,i_N}∈{{0,1}ⁿ}^N+1，这里k为严格优于1的退化参数，A在非安全信道上发布用于B的{i₀,…,i_N}；(4)第四步为同步步骤，B从非安全公共信道中读取柏努利向量{i₀,…,i_N}，并计算满足所述条件的同步置换其中θ和λ为正数值参数，然后B从参数向量生成伯努利实验向量j₀，并在非安全公共信道上发布用于A的j₀；(5)第五步为优先提取步骤，A从非安全公共信道读取j₀，并估算共享机密信息B估算其共享机密信息第六步为协调及保密放大步骤，A和B使用经典协调及保密放大技术以便于：(a)获得接近他们各自对共享机密信息的估算的精度，(b)使窃听对手所得到的估算相当于一无所知。

7.深随机生成法用于执行权利要求6所述之方法，其特征在于，它具体取决于4个过程：(i)以连续、递归方式执行的内部递归DR分布发生器(IRDRG)，这样在每个步骤m+1中，所述过程生成了值在[0,1]ⁿ内、与其对称投影(例如：和置换σ_m+1)相差甚远的概率分布Φ_m+1，，从而：其中C为IRDRG的参数，为对手在步骤m的最佳策略，定义为满足其中，{λ_m,s}_s≤m为发生器参数，也称为特征函数，满足λ_m,s≥0和(ii)内部存储器；(iii)内部标准随机发生器；(iv)在任何时刻均可由外部交互通信模块请求的通信接口，以对IRDRG发出并由内部存储器(ii)存储的信号进行计算，或擦除存储信号，或通过IRDRG来命令信号生成，在这种情况下，所述通信接口(iv)从IRDRG获得其概率分布递归序列的当前值，并存储在内部存储器(ii)中：或是分布参数对应于该当前值，或是分布随机生成的信号对应于该当前值。

8.如权利要求1-6之方法所用的安全交换信息的网络通信设备，它包括一个防篡改DRG及一个请求DRG和执行协议的交互式通信模块(ICM)。该设备能够在两个实体角色A或B上执行该协议，因此，两个实体A或B通过各自角色A或B执行的这两个设备可执行A或B间的协议。

9.一种产生深随机性的设备，其与执行权利要求1、2、3或4所述之方法的交互通信模块(ICM)相关联，因此(i)用于深随机生成的方法取于，对于ICM所执行的协议，在每个步骤上生成可击败前述步骤所对应的最优估算策略的概率分布的连续递归过程；(ii)内部递归DR分配发生器(IRDRG)生成的信号可以保留在装置的防篡改容器内，这样与IRDRG生成信号相关联的生成、计算、抑制操作可由相关的外部ICM从外部请求。

10.一种产生深随机性的装置，其目的是为了执行如权利要求6所述之方法，其特征在于它包括4个模块：(i)内部递归DR分布发生器(IRDRG)，(ii)通信接口，(iii)内部标准随机发生器；(iv)内部存储器，所述模块(a)装置内受保护的防篡改容器，(b)其制造和实施可实现如权利要求7所述之深随机生成方法，(iii)能够以A或B执行权利要求6之方法的协议，从而，两个实体A或B通过各自角色A或B运行的这两个设备可执行A或B间的协议。