CN108989031A - 一种多比特纠错编码解码方法 - Google Patents

Abstract

一种多比特纠错编码解码方法。运行发明方法的发送方得到σ₁∈Z_q和公共参数params，将σ₁∈Z_q和params作为输入运行Con(σ₁,params)得到k₁∈Z_k和v∈Z_t，其中k和t为整数且其中之一大于2或小于‑2，保密存储k₁，并公开传输v给运行发明方法的接收方。接收方得到σ₂∈Z_q，v∈Z_t和公共参数params，其中σ₂与σ₁满足|σ₂‑σ₁|_q≤d，将σ₂，v和params作为输入运行Rec(σ₂,v,params)，得到k₂∈Z_k。若σ₂与σ₁的距离d满足一定的限制条件，则k₂＝k₁，双方纠错成功。该技术在网络保密通讯领域具有重要应用。

Description

一种多比特纠错编码解码方法

技术领域

本发明涉及纠错编码解码技术，在网络保密通讯领域具有重要应用。

背景技术

纠错编码解码是技术是用于解决如下问题：两个用户Alice和Bob各自有一个秘密，发送方Alice得到一个秘密数据σ₁∈Z_q，接受方Bob得到一个秘密数据σ₂∈Z_q。这些秘密数据在保密通讯中是利用交换格上的带噪音学习问题实例进行相应计算得到的。但是，σ₁∈Z_q和σ₂∈Z_q并不相等，因此并不可以作为密钥进行保密通讯。但是它们的距离比较近，发明方法是解决如何从了两个距离比较近的秘密数据中计算出一个相同的密钥，用于保密通讯。

发明内容

运行发明方法的发送方Alice得到σ₁∈Z_q和公共参数params，将σ₁∈Z_q和params作为输入运行Con(σ₁,params)得到k₁∈Z_k和v∈Z_t，保密存储k₁，并公开传输v给运行发明方法的接收方Bob。Bob得到σ₂∈Z_q，v∈Z_t和公共参数params，其中σ₂与σ₁满足|σ₂-σ₁|_q≤d，将σ₂，v和params作为输入运行Rec(σ₂,v,params)，得到k₂∈Z_k。若σ₂与σ₁的距离d满足一定的限制条件，则正确性成立，即k₂＝k₁，双方纠错成功，生成共同的密钥k₂＝k₁。该技术在网络保密通讯领域具有重要应用。

本发明给出一种高效的多比特纠错编码解码方法；其中，{…}表示一个信息或者数值的集合；这里公共参数params＝{q,k,g,aux}，其中q,k,g均为整数；aux包含运行发明方法的可为空的其它辅助公共参数的集合；对于两个整数i,j，其中i≤j，[i,j]表示整数集{i,i+1,…,j}；对于任意正整数a，定义Z_a为Z/aZ，Z_a表示为Z_a＝[0,a-1]或者其中，对于任意实数b，表示小于或者等于b的最大整数；

运行发明方法的发送方运行一个编码算法Con(·)，算法输入包含σ₁∈Z_q和公共参数params，算法对σ₁∈Z_q基于params进行编码操作，输出包含(k₁,v)，其中k₁∈Z_k,v∈Z_t，k和t为整数且其中之一大于2或小于-2；这意味着，k₁和v其中之一必为多比特(即：无法用一个0-1比特来表示)。在实际的实现中，可以对σ₁∈Z_q做任何可求逆的变换，比如对其平移一定的量(即：加或减去一个数等)，此时Rec对σ₂∈Z_q做相应的逆变换。

运行发明方法的发送方运行Con(σ₁,params)得到k₁∈Z_k和v∈Z_t后，可另外使用一层纠错码加密算法Encode加密f(k₁)得到Encode(f(k₁))，其中，f是关于k₁的函数，然后计算v'＝f′(Encode(f(k₁)),k₁)，其中，f′是关于f(k₁),k₁的函数，并公开传输v,v'给运行发明方法的接收方Bob。

运行发明方法的接受者有一个保密输入σ₂∈Z_q，收到发送方发送过来的v∈Z_t，检查v∈Z_t，若v∈Z_t则运行一个解码算法，算法输入包含σ₂∈Z_q,v∈Z_t和公共参数params，其中|σ₂-σ₁|_q≤d，对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，其中，对于任意整数a和正整数b，a mod b表示在欧几里得除法中a除以b的唯一的落在[0,…,b-1]中的余数，min{·}定义为取最小值；d＝f_d(q,k,g)，f_d是关于q,k,g的函数；算法对σ₂∈Z_q,v∈Z_t基于params进行解码，输出包含k₂，其中k₂∈Z_k，满足k₂＝k₁。

运行发明方法的接收方Bob运行Rec(σ₂,v,params)，得到k₂∈Z_k。若σ₂与σ₁的距离d满足一定的限制条件，则正确性成立，即k₂＝k₁，双方纠错成功，生成k₂＝k₁。即便σ₂与σ₁的距离超出d或传输过程引入的噪音缘故，接收方仍可使用纠错码解密算法Decode解密f″(k₂,v')得到Decode(f″(k₂,v'))＝f(k₁)，其中，f″是关于k₂,v'的函数，双方纠错成功，生成共同的密钥f(k₁)。

具体实施方式

本发明给出一种高效的纠错编码解码方法；其中，{…}表示一个信息或者数值的集合；这里公共参数params＝{q,k,g,aux}，其中q,k,g均为整数；辅助参数aux是包含{q′,α,β}的集合的可为空的子集合，其中q′＝f₁(q,k,g),α＝f₂(q,k,g),β＝f₃(q,k,g)，f₁,f₂,f₃是关于q,k,g的函数；假定公共参数params是固定的并被运行发明方法的用户事先获知；或者，在发明方法运行之前交换和协商这些参数并达成一致。在基于LWE的密钥协商协议当中，这些参数主要是由LWE问题来决定。对于两个整数i,j，其中i≤j，[i,j]表示整数集{i,i+1,…,j}；对于任意正整数a，定义Z_a为Z/aZ，在本发明所在的技术领域，Z_a表示为Z_a＝[0,a-1]或者其中，对于任意实数b，表示小于或者等于b的最大整数，「b」表示与b最接近的整数，且

运行发明方法的发送方运行一个编码算法Con(·)，算法输入包含σ₁∈Z_q和公共参数params，输出包含(k₁,v)，其中k₁∈Z_k,v∈Z_t，t＝f(β,g)，f是关于β,g的函数；算法运行如下：

⑴计算σ_A∈Z_q′；

⑵计算k₁∈Z_k以及

⑶计算v∈Z_t；

运行发明方法的发送方运行Con(σ₁,params)得到k₁∈Z_k和v∈Z_t后，可另外使用一层纠错码加密算法Encode加密f(k₁)得到Encode(f(k₁))，其中，f是关于k₁的函数，然后计算v'＝f′(Encode(f(k₁)),k₁)，其中，f′是关于f(k₁),k₁的函数，并公开传输v,v'给运行发明方法的接收方Bob。

运行发明方法的接受者有一个保密输入σ₂∈Z_q，收到发送方发送过来的v∈Z_t，检查v∈Z_t，若v∈Z_t则运行一个解码算法，算法输入包含σ₂∈Z_q,v∈Z_t和公共参数params，其中|σ₂-σ₁|_q≤d，对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，其中，对于任意整数a和正整数b，a mod b表示在欧几里得除法中a除以b的唯一的落在[0,…,b-1]中的余数，min{·}定义为取最小值；d＝f_d(q,k,g)，f_d是关于q,k,g的函数；输出包含k₂，其中k₂∈Z_k，满足k₂＝k₁。

运行发明方法的接收方Bob运行Rec(σ₂,v,params)，得到k₂∈Z_k。若σ₂与σ₁的距离d满足一定的限制条件，则正确性成立，即k₂＝k₁，双方纠错成功，生成k₂＝k₁。即便σ₂与σ₁的距离超出d或传输过程引入的噪音缘故，接收方仍可使用纠错码解密算法Decode解密f″(k₂,v')得到Decode(f″(k₂,v'))＝f(k₁)，其中，f″是关于k₂,v'的函数，双方纠错成功，生成共同的密钥f(k₁)。

如上所述的方法，其中，q,k,g为正整数，和/或，q′＝lcm(q,k)是q和k的最小公倍数，和/或，α＝q′/q，和/或，β＝q′/k，和/或，β≥g均为正整数。当然，在发明方法的实际应用中，q’、α、β、t还可以是q、k、g的其它函数和变换，比如：q’是lcm(q,k)的一个函数或变换，α是q’/q的一个函数或变换，β是q’/k的一个函数或变换。

如上所述的方法，其中，σ_A是Z_q′上的随机分布或均匀分布，或者σ_A可以有效地转换为Z_q′上的均匀分布。

如上所述的方法，其中，σ_A的计算方法包括：从集合[0,α-1]或集合中均匀随机地选取元素e；计算σ_A＝ασ₁+e∈Z_q′。

如上所述的方法，其中，σ_A＝ασ₁+e∈Z_q′的计算方法包括：

⑴σ_A＝ασ₁+e mod q′，或

⑵σ_A＝ασ₁+e mod^±q′，其中，对于任意整数a和正整数b，a mod^±b表示在欧几里得除法中a除以b的唯一的落在中的余数。

如上所述的方法，其中，k₁＝h₁(σ_A,α,β,k)，h₁,h₂是关于σ_A,α,β,k的函数。一般而言，h₁输出的是σ_A关于公共参数的高位信息，而h₂输出的是σ_A关于公共参数的低位信息，或者二者的输出相反。

如上所述的方法，其中，k₁∈Z_k计算方法包括：或者k₁＝「σ_A/β」mod^±k；和/或，的计算方法包括：或者

如上所述的方法，其中，k₁∈Z_k＝[0,k-1]的计算方法包括：

⑴若σ_A∈Z_q′＝[0,q′-1]，则令

⑵若σ_A∈Z_q′＝[0,q′-1]，则当σ_A-σ_Amod^±β＝kβ时，令k₁＝0；否则，令k₁＝「σ_A/β」；

⑶若则当σ_A＜0时，令否则，令

⑷若则当σ_A≥-β/2时，令k₁＝「σ_A/β」；否则，令k₁＝「σ_A/β」+k。

如上所述的方法，其中，h是关于g,β的函数。一般而言，v是σ_A关于公共参数的低位信息。

如上所述的方法，其中，v∈Z_t的计算方法包括：

⑴或

⑵

如上所述的方法，其中，v∈Z_t中t的取值包含：t＝g或t＝g+1。一般而言，t是g的一个函数(比如，对g做平移操作)。

如上所述的方法，其中，解码算法Rec(σ₂,v,params)＝h_R(σ₂,v,q,k,g)，h_R是关于σ₂,v,q,k,g的可有效计算的函数。

如上所述的方法，其中，Rec(σ₂,v,params)的计算方法包括：

⑴k₂＝「ασ₂/β-v/g」mod k，或

⑵k₂＝「ασ₂/β-(v+1/2)/g」mod k，或

⑶k₂＝「ασ₂/β-(v+r)/g」mod k，其中r是一个实数。

如上所述的方法，其中，d满足的关系式包含：

⑴(2d+1)k＜q(1-1/g)，或

⑵(2d+2)k＜q(1-1/g)，或

⑶(2d+1)k＜q(1-2γ/g)，其中γ定义为max{|r|,|1-r|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值。

⑷(d+1)k＜q(1/2-γ/g)。

如上所述的方法，其中，实数r∈[0,1]。

如上所述的方法，其中，k,g的取值包含：或其中κ₁,κ₂是正整数；q的取值包含：q是素数，或其中κ₃是正整数，或q＝kg。

在发明方法的实际应用中，示例的Con和Rec具体实施方式如下：示例实施方式一：

Con(σ₁,params)：

1.从集合中均匀随机地选取元素e；

2.计算σ_A＝ασ₁+e mod q′；

3.当σ_A-σ_Amod^±β＝kβ时，令k₁＝0；否则，令k₁＝「σ_A/β」；

4.计算

5.计算

6.保密存储k₁，公开传输v；

Rec(σ₁,v,params)：

1.k₂＝「ασ₂/β-v/g」mod k；

2.保密存储k₂。

其中，示例的参数取值包括：

⑴β,g取偶数且g≤β≤2g。

⑵β,g取奇数。

示例实施方式二：

Con(σ₁,params)：

1.从集合中均匀随机地选取元素e；

2.计算σ_A＝ασ₁+e mod q′；

3.当σ_A-σ_Amod^±β＝kβ时，令k₁＝0；否则，令k₁＝「σ_A/β」；

4.计算

5.计算

6.保密存储k₁，公开传输v；

Rec(σ₁,v,params)：

1.k₂＝「ασ₂/β-(v+1/2)/g」mod k；

2.保密存储k₂。

其中，示例的参数取值包括：

⑴β取偶数，g取奇数，且g≤β≤2g。

⑵β取奇数，g取偶数。当β是素数时，这是较佳的实施方式。

Claims (17)

1.一种多比特纠错编码解码方法；其中，{…}表示一个信息或者数值的集合；这里公共参数params＝{q,k,g,aux}，其中q,k,g均为整数；aux是可为空的其它辅助公共参数的集合；对于两个整数i,j，其中i≤j，[i,j]表示整数集{i,i+1,…,j}；对于任意正整数a，定义Z_a为Z/aZ，Z_a表示为Z_a＝[0,a-1]或者其中，对于任意实数b，表示小于或者等于b的最大整数；

发送方运行一个编码算法Con(·)，算法输入包含σ₁∈Z_q和公共参数params，算法对σ₁∈Z_q基于params进行编码，输出包含(k₁,v)，其中k₁∈Z_k,v∈Z_t，k和t为整数，其中k和t为整数且其中之一大于2或小于-2，这意味着，k₁和v其中之一必为多比特；

接收方运行一个解码算法Rec(·)，算法输入包含σ₂∈Z_q,v∈Z_t和公共参数params，其中|σ₂-σ₁|_q≤d，d为一个整数，对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，其中，对于任意整数a和正整数b，a mod b表示在欧几里得除法中a除以b的唯一的落在[0,…,b-1]中的余数，min{·}定义为取最小值；算法对σ₂∈Z_q,v∈Z_t基于params进行解码，输出包含k₂，其中k₂∈Z_k；若σ₂与σ₁的距离d满足一定的限制条件，则k₂＝k₁，双方纠错成功。

2.如权利要求1所述的方法，其中，aux是包含{q′,α,β}的集合的可为空的子集合，其中q’、α、β、t为整数；

Con(·)算法运行如下：

⑴计算σ_A∈Z_q′；

⑵计算k₁∈Z_k以及

⑶计算v∈Z_t，其中v可以公开发送。

3.如权利要求1或2所述的方法，其中，q,k,g为正整数，和/或，q′＝lcm(q,k)是q和k的最小公倍数，和/或，α＝q′/q，和/或，β＝q′/k，和/或，β≥g均为正整数。

4.如权利要求1或2所述的方法，其中，σ_A是Z_q′上的均匀分布。

5.如权利要求4所述的方法，其中，σ_A的计算方法包括：从集合[0,α-1]或集合中均匀随机地选取元素e；计算σ_A＝ασ₁+e∈Z_q′。

6.如权利要求5所述的方法，其中，σ_A＝ασ₁+e∈Z_q′的计算方法包括：

⑴σ_A＝ασ₁+emodq′，或

⑵σ_A＝ασ₁+emod^±q′，其中，对于任意整数a和正整数b，amod^±b表示在欧几里得除法中a除以b的唯一的落在中的余数。

7.如权利要求1或2所述的方法，其中，k₁＝h₁(σ_A,α,β,k)，h₁,h₂是关于σ_A,α,β,k的函数。

8.如权利要求7所述的方法，其中，k₁∈Z_k计算方法包括：或者k₁＝「σ_A/β」mod^±k，其中，对于任意实数a，「a」表示与a最接近的整数；和/或，的计算方法包括：或者

9.如权利要求8所述的方法，其中，k₁∈Z_k＝[0,k-1]的计算方法包括：

⑴若σ_A∈Z_q′＝[0,q′-1]，则令

⑵若σ_A∈Z_q′＝[0,q′-1]，则当σ_A-σ_Amod^±β＝kβ时，令k₁＝0；否则，令k₁＝「σ_A/β」；

⑶若则当σ_A＜0时，令否则，令

⑷若则当σ_A≥-β/2时，令k₁＝「σ_A/β」；否则，令k₁＝「σ_A/β」+k。

10.如权利要求1或2所述的方法，其中，h是关于g,β的函数。

11.如权利要求10所述的方法，其中，v∈Z_t的计算方法包括：

⑴或

⑵

12.如权利要求11所述的方法，其中，v∈Z_t中t的取值包含：t＝g或t＝g+1。

13.如权利要求1或2所述的方法，其中，解码算法Rec(σ₂,v,params)＝h_R(σ₂,v,q,k,g)，h_R是关于σ₂,v,q,k,g的函数。

14.如权利要求13所述的方法，其中，Rec(σ₂,v,params)的计算方法包括：

⑴k₂＝「ασ₂/β-v/g」modk，或

⑵k₂＝「ασ₂/β-(v+1/2)/g」modk，或

⑶k₂＝「ασ₂/β-(v+r)/g」modk，其中r是一个实数。

15.如权利要求14所述的方法，其中，d满足的关系式包含：

⑴(2d+1)k＜q(1-1/g)，或

⑵(2d+2)k＜q(1-1/g)，或

⑶(2d+1)k＜q(1-2γ/g)，其中γ定义为max{|r|,|1-r|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值；

⑷(d+1)k＜q(1/2-γ/g)。

16.如权利要求14所述的方法，其中，r为实数，满足0≤r≤1。

17.如权利要求1或2所述的方法，其中，k,g的取值包含：或其中κ₁,κ₂是正整数；q的取值包含：q是素数，或其中κ₃是正整数，或q＝kg。