CN110138752B

CN110138752B - 一种基于格的公钥加密方法

Info

Publication number: CN110138752B
Application number: CN201910340234.3A
Authority: CN
Inventors: 张江; 郁昱; 范淑琴; 张振峰; 杨糠
Original assignee: Beijing Information Science And Technology Research Institute
Current assignee: Beijing Information Science And Technology Research Institute
Priority date: 2019-04-19
Filing date: 2019-04-25
Publication date: 2021-08-13
Anticipated expiration: 2039-04-25
Also published as: CN110138752A

Abstract

本发明公开了一种基于格的公钥加密方法。本发明首先提出一类非对称模带错误学习(AMLWE)数学困难问题，也提供了该类数学困难问题的变种和一般化定义。通过基于AMLWE数学困难问题，本发明提出了一种格上选择明文安全的公钥加密方法。基于该加密方法，本发明也提供了选择密文安全的密钥封装机制以及选择密文安全的公钥加密方法。本发明设计的公钥加密方法和密钥封装机制具有可证明安全、抵抗量子计算机攻击、公钥和密文长度短、计算效率高、参数选取灵活等特点和优势。利用通用的转换方法，本发明也提供了(认证)密钥交换协议。

Description

一种基于格的公钥加密方法

技术领域

本发明属于密码学中的公钥加密领域，涉及使用格密码学中的相关技术，具体表现为一种基于格的公钥加密方法，能抵抗量子计算机攻击。

背景技术

公钥加密已在许多实际应用中得到广泛部署。根据Shor算法，当量子计算机出现时，已部署的基于RSA或椭圆曲线的公钥加密方法将不再安全。量子计算机的快速发展促使我们设计抗量子安全的公钥加密方法。当前，主流的抗量子安全公钥加密方法是基于格或者编码上的数学困难问题。从效率和安全性综合来看，基于格的公钥加密方法是相当有前途的候选方法之一，并得到了国内外学者的广泛研究。在数学中，格是一种离散的加法子群。由于特殊的代数结构，格上有很多难以求解的困难问题，例如最短向量问题。基于格的公钥加密方法是指基于格上数学困难问题设计的公钥加密方法，具有抵抗量子计算机攻击的能力。

公钥加密方法的设计和安全性是建立在数学困难问题之上的。当前，格上公钥加密方法的安全性大多是建立在Regev提出的带错误学习问题(Learning with Errors，LWE)的困难性之上。简单来说，带错误的学习问题与求解模整数方程有关系。令

为正整数，

为正实数，

是以α为参数的噪音分布(通常为高斯分布，或与其相近的二项分布)。计算性带错误的学习问题LWE_n,m,q,α目标是对于随机选择的矩阵

向量

以及噪音向量

给定样本

求解秘密向量

判定性LWE问题是区分(A,b＝As+e)和

上均匀随机的元组。在一定参数下，判定性LWE问题和计算性LWE问题在多项式时间意义下是等价的。

在特定参数下，求解LWE问题在平均情况下的复杂度比求解格上某些问题(例如，最短向量问题)在最坏情况下的复杂度还高。这种平均困难性到最坏困难性的联系特性实际上是基于格上困难问题的密码方法相对于基于其他困难问题的密码方法独有的优势之一。由于目前已知的格上困难问题的量子求解算法与传统经典求解算法相比在计算复杂度上并没有本质的降低，以至于大多数国内外研究学者都倾向于相信格上问题是困难的，以及基于格上困难问题设计的密码方法能够抵抗量子计算机攻击。此外，当秘密向量s并不是随机均匀地选自于

时，相应LWE的变种问题(称之为正规形LWE问题)也是困难的。特别地，当秘密向量

与噪音向量e选自于相同的分布时，正规形LWE问题和标准的LWE问题在多项式时间的意义上是等价的。由于正规形LWE问题能够更好地控制噪音增长，因此在文献中被广泛用于设计公钥加密方法。

为了获得更好的效率，环上的LWE(RLWE)困难问题也被提出。RLWE问题定义在n-1次多项式环R_q上。给定正实数

以及

定义RLWE分布为

计算性RLWE数学困难问题RLWE_n,q,l,α是指随机选取

在有l个样本的条件下计算出秘密值

判定性RLWE数学困难问题的目标是区分分布B_s,α和

上的均匀分布。然而，RLWE问题使用了特殊的环结构，而这种环结构可能被敌手利用来求解相应的数学困难问题。从而，为了安全性和效率的折中，模LWE(MLWE)数学困难问题被密码研究者提出。给定正整数

以及正实数

对于随机选取的矩阵

和向量

计算性MLWE问题MLWE_n,q,k,l,α的目标是给定样本

输出秘密向量

判定性MLWE问题的目标是区分样本(A,b＝As+e)和选自于

上均匀分布的元组。

发明内容

针对当前公钥加密技术中存在的不足，本发明的目的在于提供一种基于格的公钥加密方法。

本发明包括以下四个方面的内容：

1)定义非对称MLWE(即AMLWE)数学困难问题；

2)基于所述AMLWE数学困难问题设计一种基于格的公钥加密方法，并给出AMLWE数学困难问题的变种AMLWE-R；

3)利用所述公钥加密方法设计高效的密钥封装机制以及密钥交换协议；

4)提出AMLWE和AMLWE-R数学困难问题的一般化定义。

本发明的技术方案为：

一种基于格的公钥加密方法，其特征在于，包括以下步骤：

·定义AMLWE数学困难问题：对于正整数

正实数

满足α₁≠α₂，给定随机的矩阵

和向量

计算性AMLWE数学困难问题

的目标是给定样本

输出秘密向量

对于随机的矩阵

和向量

判定性AMLWE数学困难问题

的目标是将样本(A,b＝As+e)和选自于

上均匀分布的元组区分开；其中R_q是定义在

上次数为n-1的多项式环，当n＝1时定义

表示正整数集合，

表示正实数集合，

表示以α₁为参数的噪音分布，

表示以α₂为参数的噪音分布；

·基于所述AMLWE数学困难问题，提出格上公钥加密方法，用公钥对明文进行加密获得密文，用私钥解密密文获得明文。

进一步的，基于格的公钥加密方法由8个正整数参数

来实例化，包括：密钥生成方法PKE.KeyGen(1^κ)根据安全参数κ生成公钥pk和私钥sk；加密方法PKE.Enc(pk,μ；r)根据公钥pk和随机数r对明文μ加密输出密文c；解密方法PKE.Dec(sk,c)根据私钥sk对密文c进行解密输出明文μ。

进一步的，密钥生成方法PKE.KeyGen(1^κ)包括以下步骤：

1)随机选取种子ρ←{0,1}ⁿ，计算

2)随机选取

和

计算

和

其中对于任意正整数

模切换函数

3)输出公钥pk和私钥sk＝s。

进一步的，加密方法PKE.Enc(pk,μ；r)包括以下步骤：

1)根据公钥

明文消息μ∈{0,1}ⁿ和随机数

计算

2)选择

计算u:＝A^Tr+e₁和

3)计算

和

4)输出密文

进一步的，解密方法PKE.Dec(sk,c)包括以下步骤：

1)根据私钥sk＝s和密文

计算

2)计算μ:＝Switch_q→2(z)；

3)输出明文μ。

进一步的，通过调整参数(η₁,η₂)来达到公钥加密方法安全性和正确性的最佳平衡，具体调整方法为：通过减小η₁的值提高公钥加密方法的正确性，增大η₂的值提高公钥加密方法的安全性。

进一步的，公钥加密方法扩展为以下基于格的密钥封装机制，其包括以下子方法：

1)密钥生成方法KEM.KeyGen(1^κ)根据安全参数κ生成公钥pk和私钥sk，其包括以下步骤：

a)随机选取z←{0,1}ⁿ；

b)执行(pk,sk′):＝PKE.KeyGen(1^κ)；

c)输出公钥

和私钥sk＝(sk′,pk,H₁(pk),z)；

2)封装方法KEM.Encaps(pk)用公钥pk封装一个密钥K并输出一个密文c，其包括以下步骤：

a)均匀随机选取μ←{0,1}ⁿ，计算μ′:＝H₁(μ)；

b)计算

c)计算c:＝PKE.Enc(pk,μ′；r)；

d)计算

e)输出密文c和封装的密钥K。

3)解封装方法KEM.Decaps(sk,c)根据私钥sk＝(sk′,pk,H₁(pk),z)对密文c进行解封装和获得密钥K，其包括以下步骤：

a)计算μ′:＝PKE.Dec(sk,c)；

b)计算

c)计算c′:＝PKE.Enc(pk,μ′；r′)；

d)如果c＝c′，那么输出

否则输出K:＝H₁(z||H₁(c))。

进一步的，定义AMLWE问题的变种，即AMLWE-R数学困难问题，保证公钥加密方法在抗明文信息泄露方面的安全性：对于

和正整数p>1、正实数

满足α₁≠α₂，给定随机选取的

和

判定性AMLWE-R数学困难问题

的目标是将样本

和均匀随机选取的元组

区分开，其中

以及v←R_q都是均匀随机选取的值；计算性AMLWE-R数学困难问题是给定样本

求解秘密向量s。

一种基于格的公钥加密方法，其特征在于，定义一般化AMLWE数学困难问题如下：

对于正整数

正整数

以及不是全部相同的正实数

给定随机选取的矩阵

秘密向量

噪音向量

计算性一般化AMLWE数学困难问题

的目标是给定以下样本：

输出秘密向量

判定性一般化AMLWE数学困难问题

的目标是将样本

和选自于

上均匀分布的元组区分开；基于所述一般化AMLWE数学困难问题，提出格上公钥加密方法，用公钥对明文进行加密获得密文，用私钥解密密文获得明文；其中R_q是定义在

上次数为n-1的多项式环，当n＝1时定义

表示正整数集合，

表示正实数集合；对于δ∈{α₁,…,α_c,β₁,…,β_d}，χ_δ表示以δ为参数的噪音分布。

进一步的，定义一般化AMLWE问题的变种，即一般化AMLWE-R数学困难问题：对于正整数

正整数

不是全部相同的正实数

以及正整数p>1，给定随机选取的矩阵

向量

向量

向量

和值

判定性一般化AMLWE-R数学困难问题

的目标是将以下样本

和随机选取的元组

区分开，其中

以及v←R_q都是均匀随机选取的值；

计算性一般化AMLWE-R数学困难问题

的目标是给定以下样本

求解秘密向量s；

其中对于δ∈{α₁,…,α_c,β₁,…,β_d,γ}，χ_δ表示以δ为参数的噪音分布。

进一步的，所述AMLWE数学困难问题，AMLWE-R数学困难问题以及一般化的AMLWE及AMLWE-R数学困难问题用于设计公钥加密方法、密钥封装机制和密钥交换协议。

与当前公钥加密技术相比，本发明的具有以下特点和优势：

安全性高、可证明安全、抵抗量子计算机攻击、公钥和密文长度短、计算效率高、参数选取灵活、抵抗多目标攻击、易于安全实现等。

具体实施方式

为了对本发明的技术方案进一步阐述，下面结合具体实例，对本发明的公钥加密方法进行进一步的详细说明。

本发明首先给出一些基本符号的定义如下：

1)

表示由整数构成的集合，即

表示模q剩余类构成的集合，即

其中q是正整数；对于任意的正整数n，

表示n个

的直积，即

2)

表示由实数构成的集合；

表示由正实数构成的集合；

表示正整数构成的集合，即

3)令

是正整数，R_q是定义在

上的次数为n-1的多项式环；当n＝1时，定义

对于任意的正整数

表示k个R_q的直积，即

对于任意的正整数

表示在R_q中元素组成的k×k矩阵构成的集合；

4)对于分布D，x←D表示根据分布D随机选取x；对于有限集合S，x←S表示从集合S中均匀随机选取x；

5)对于实数

「x」表示最接近x的整数，当上下两个整数一样近时，该函数向上取整；

6)对于矩阵A或者向量a，A^T和a^T分别表示A和a转置；

7)符号:＝表示赋值，即对于任意两个值a,b，a:＝b表示将a赋值作为b；

8)对于任意正实数

χ_α表示以α为参数的噪音分布；对于正整数

表示多项式环R_q中系数根据分布χ_α取值的元素构成的集合；对于正整数

表示每个分量取自

中的元素构成的k维向量集合。

具体来说，本发明包括以下四个方面的内容：

一、MLWE数学困难问题的非对称变形

本发明提出非对称的MLWE数学困难问题(Asymmetric Module-LWE，简称AMLWE)，统一给出了LWE、RLWE和MLWE数学困难问题的非对称变形。

在给出AMLWE数学困难问题的具体定义之前，本发明定义模约化操作如下：

·对于正偶数α和整数r，定义操作r′＝r mod^±α输出

满足r′＝r modα成立；对于正奇数α和整数r，定义操作r′＝r mod^±α输出

满足r′＝r modα成立。对于正整数α和整数r，定义操作r′＝r mod⁺α输出r′∈[0,α)满足r′＝r modα成立。当精确的模约化操作表示不重要的时候，简写为r modα。

本发明提出的AMLWE数学困难问题具体定义如下：

·AMLWE数学困难问题：对于正整数

正实数

满足α₁≠α₂，给定随机的矩阵

和向量

计算性AMLWE数学困难问题

的目标是给定样本

输出秘密向量

对于随机的矩阵

和向量

判定性AMLWE数学困难问题

的目标是将样本(A,b＝As+e)和选自于

上均匀分布的元组区分开。

当k＝1时，AMLWE数学困难问题是非对称的RLWE问题(即ARLWE问题)；当n＝1时，AMLWE数学困难问题是非对称的LWE问题(即ALWE问题)。

在以上AMLWE数学困难问题中，本发明提供高斯分布作为噪音分布

和

的候选。为了便于系统实现，本发明将使用二项分布作为AMLWE问题中的这两个噪音分布。以正整数η为参数的中心二项分布B_η定义如下：

其中(a₁,…,a_η,b₁,…,b_η)←{0,1}^2η表示从集合{0,1}^2η中均匀随机选取比特a₁,…,a_η,b₁,…,b_η。

从B_η中采样一个多项式f∈R_q或多项式向量的意思是从B_η中采样每个多项式的系数。对于正整数

表示每个分量取自分布B_η构成的k维向量。易证，以η为参数的二项分布是以

为标准差的亚高斯分布。在一定参数下，使用二项分布作为噪音分布

和

的计算性AMLWE困难问题可以归约到使用高斯分布的AMLWE困难问题。

根据目前已知的最好求解方法，有以下关系成立：

对于特定的分布(例如高斯分布)，可以从理论上证明以上困难关系成立。

可以看到，当α₁＝α₂时，AMLWE数学困难问题将退化为标准的MLWE数学困难问题。从而，本发明仅考虑α₁≠α₂的情况。

通过基于本发明提出的AMLWE数学困难问题，本发明设计高效、可证明安全、抗量子安全的格上公钥加密方法、密钥封装机制以及密钥交换协议。本发明提出的公钥加密方法以及密钥封装机制具有以下特点和优势：

1)安全性高：在经典随机预言机模型和量子随机预言机模型下都是可证明选择密文攻击

安全的；能抵抗未来量子计算机攻击。

2)公钥和密文长度短：与格上同类方案比较，具有更短的公钥和密文长度。

3)计算效率高：提供计算速度非常快的密钥生成、加密(封装)和解密(解封装)子方法。

4)参数选取灵活：与基于标准(M)LWE困难问题的格上加密方法比较，支持更加灵活细粒度的参数选取，从而更容易实现安全性与性能的平衡。

5)抵抗多目标攻击:阻止了攻击者以恢复一个用户私钥的代价来恢复多个用户的私钥。

6)易于安全实现：没有使用高斯分布，能避免相关针对高斯分布采样方法的侧信道攻击。

二、基于AMLWE数学困难问题的格上选择明文安全公钥加密方法

为体现本发明的上述特点和优势，下面通过基于AMLWE数学困难问题的格上选择明文安全公钥加密方法为具体实施例对本发明做进一步说明。

本发明提出的格上选择明文安全的公钥加密方法包括以下子方法：

·密钥生成方法PKE.KeyGen(1^κ)：输入安全参数κ，输出公钥pk和私钥sk。

·加密方法PKE.Enc(pk,μ；r)：输入公钥pk、明文μ和随机数r，输出密文c。

·解密方法PKE.Dec(sk,c)：输入私钥sk和密文c，输出明文μ。

本实施例描述的格上公钥加密方法将由8个正整数参数

来实例化。本实施例涉及使用定义在

上次数为n-1的多项式环R_q，杂凑函数

用以生成一个矩阵

本实施例将使用以下模切换函数：

·模切换函数：对于任意正整数

定义模切换函数Switch_q→p(·)如下：

易证，对于任意

p<q和x′＝Switch_p→q(Switch_q→p(x))，有以下不等式成立：

|x′-xmod^±q|≤B_q:＝「q/2p」

当我们将模切换函数Switch_q→p(·)作用于环元素x∈R_q或

时，意思是将相应计算过程独立作用到环元素的每个系数上。

本发明提出的基于AMLWE数学困难问题的选择明文安全的公钥加密方法描述如下：

·密钥生成方法PKE.KeyGen(1^κ)：输入安全参数κ，执行如下：

1)随机选取种子ρ←{0,1}ⁿ，计算

2)随机选取

和

计算

和

3)输出公钥

和私钥sk＝s。

·加密方法PKE.Enc(pk,μ；r)：输入公钥

明文消息μ∈{0,1}ⁿ和随机数

执行如下：

1)计算

2)随机选择

计算以下值：

u:＝A^Tr+e₁和

3)计算

和

4)输出密文

·解密方法PKE.Dec(sk,c)：输入私钥sk＝s和密文

执行如下：

1)计算

2)计算μ:＝Switch_q→2(z)；

3)输出明文μ。

在以上密钥生成方法PKE.KeyGen(1^κ)中，当d_t＝0时，

即本发明没有压缩公钥；当d_t≥1时，

即本发明压缩了公钥。

例如，本实施例可以选择整数n是2的幂次，素数q满足q＝1mod 2n，多项式环

来支持数论变换(NTT)运算。注意，本实施例也支持其他多种n,q,R_q的选择。

本实施例允许n,k,q,η₁,η₂,d_u,d_v,d_t的多种参数选择。特别地，本发明允许灵活调整与AMLWE问题相关的两个参数(η₁,η₂)来达到安全性和正确性的最佳平衡，并最终达到降低公钥及密文的长度和提高计算效率的目的，具体表现为减小η₁的值可提高公钥加密方法的正确性，增大η₂的值可提高公钥加密方法的安全性。

本发明提供以下表1所示的3组参数选择供参考，但不局限于这3组参数选择。

表1为3组参数列表

参数集名称	(n,k,q)	(η<sub>1</sub>,η<sub>2</sub>)	(d<sub>t</sub>,d<sub>u</sub>,d<sub>v</sub>)	解密错误率	目标量子安全强度
						PARAMS I	(256,2,7681)	(2,12)	(10,9,3)	2<sup>-82</sup>	80
PARAMS II	(256,3,7681)	(1,4)	(9,9,4)	2<sup>-128</sup>	128
						PARAMS III	(512,2,12289)	(2,8)	(11,10,4)	2<sup>-211</sup>	192

由于公钥压缩的需要，以上描述的格上公钥加密方法的密文安全性将依赖于以下AMLWE数学困难问题的变种，即AMLWE-R问题：

·AMLWE-R数学困难问题：对于

和正整数p>1、正实数

满足α₁≠α₂，给定随机选取的

和

判定性AMLWE-R数学困难问题

的目标是将样本

和均匀随机选取的元组

区分开，其中

求解秘密向量s。

同样地，在以上AMLWE-R数学困难问题中，本发明仅考虑α₁≠α₂的情况。

当p＝1或q＝1时，

并且

从而AMLWE-R数学困难问题将退化为AMLWE数学困难问题。

三、基于AMLWE数学困难问题的密钥封装机制以及方法扩展

为体现本发明的特点和优势，下面通过基于AMLWE数学困难问题的选择密文安全密钥封装机制为具体实施例对本发明做进一步说明。

本发明提出的格上选择密文安全的密钥封装机制包括以下子方法：

·密钥生成方法KEM.KeyGen(1^κ)：输入安全参数κ，输出公钥pk和私钥sk。

·封装方法KEM.Encaps(pk)：输入公钥pk，输出密文c和密钥K。

·解封装方法KEM.Decaps(sk,c)：输入私钥sk和密文c，输出密钥K或者随机值。

令H₁:{0,1}^*→{0,1}ⁿ是密码学杂凑函数以及

是密码学杂凑函数。基于第二部分描述的选择明文安全的公钥加密方法(PKE.KeyGen,PKE.Enc,PKE.Dec)，本发明提出以下选择密文安全的密钥封装机制：

·密钥生成方法KEM.KeyGen(1^κ)：输入安全参数κ，执行如下：

1)随机选取z←{0,1}ⁿ；

2)执行(pk,sk′):＝PKE.KeyGen(1^κ)；

3)输出公钥pk和私钥sk＝(sk′,pk,H₁(pk),z)。

·封装方法KEM.Encaps(pk)：输入公钥pk，执行如下：

1)均匀随机选取μ←{0,1}ⁿ，计算μ′:＝H₁(μ)；

2)计算

3)计算c:＝PKE.Enc(pk,μ′；r)；

4)计算

5)输出密文c和密钥K。

·解封装方法KEM.Decaps(sk,c)：输入私钥sk＝(sk′,pk,H₁(pk),z)和密文c，执行如下：

1)计算μ′:＝PKE.Dec(sk,c)；

2)计算

3)计算c′:＝PKE.Enc(pk,μ′；r′)；

4)如果c＝c′，那么输出

否则输出K:＝H₁(z||H₁(c))。

实验数据：以下给出本发明的部分实验数据。实验平台为2.5GHz的Intel Core-i76500U CPU和8GB内存的Thinkpad X1笔记本，程序语言为C语言。

表2为本发明在使用表1中3组参数集时的实验数据

方法扩展：通过已知的通用转换方法(例如Fujisaki和Okamoto提出的FO通用转换方法)，本发明提出的选择明文安全的公钥加密方法和选择密文安全的密钥封装机制均可转换为选择密文安全的公钥加密方法。此外，利用已知的通用转换方法(例如Fujioka等人的通用转换方法)，本发明提出的公钥加密方法和密钥封装机制均可转换为密钥交换协议或者带认证的密钥交换协议。

本发明的具体应用及实例：

公钥加密和密钥封装机制被广泛应用于各种安全信息系统中保护隐私数据、传输加密密钥、建立共享密钥等等，例如：电子银行、电子商务、电子邮箱等互联网应用中广泛使用的超文本传输安全协议(HTTPS)依赖于公钥加密方法或密钥封装机制。本发明可以用于替代传统的公钥加密方法和密钥封装机制，但与传统的公钥加密方法和密钥封装机制不同的是本发明能够抵抗量子计算机攻击，能够为保护量子计算机时代的信息安全提供技术支撑。

四、AMLWE数学困难问题的一般化定义

令

是正整数，R_q是定义在

上的次数为n-1的多项式环(当n＝1时，令

)。对于任意正整数

定义模切换函数Switch_q→p(·)如下：

当我们将模切换函数Switch_q→p(·)作用于环元素x∈R_q或

本发明也提出一般化AMLWE数学困难问题以及一般化AMLWE-R数学困难问题，使得允许更加灵活细粒度地调整参数，从而获得更好的效率。具体表现为以下AMLWE和AMLWE-R数学困难问题的一般化定义：

·一般化AMLWE数学困难问题：对于正整数

正整数

以及不是全部相同的正实数

给定随机选取的矩阵

秘密向量

噪音向量

计算性一般化AMLWE数学困难问题

的目标是给定以下样本：

输出秘密向量

判定性一般化AMLWE数学困难问题

的目标是将样本

和选自于

上均匀分布的元组区分开。

当k＝1时，一般化AMLWE数学困难问题是一般化非对称环上的LWE问题(即一般化ARLWE问题)；当n＝1时，一般化AMLWE数学困难问题是一般化非对称整数上的LWE问题(即一般化ALWE问题)。

当c＝1且d＝1时，以上一般化AMLWE数学困难问题将变为第一部分描述的AMLWE问题。与AMLWE数学困难问题相同的原因(区别于标准的MLWE问题)，本发明仅考虑参数α₁,…,α_c,β₁,…,β_d不全相同的情况。

根据以上的扩展方法，本发明也给出AMLWE-R数学困难问题的一般化定义如下：

·一般化AMLWE-R数学困难问题：对于正整数

正整数

不是全部相同的正实数

以及正整数p>1，给定随机选取的矩阵

向量

向量

向量

和值

判定性一般化AMLWE-R数学困难问题

的目标是将以下样本

和随机选取的元组

区分开，其中

以及v←R_q都是均匀随机选取的值；

计算性一般化AMLWE-R数学困难问题

的目标是给定以下样本

求解秘密向量s。

当p＝1或q＝1时，

并且

从而一般化AMLWE-R数学困难问题将退化为一般化AMLWE数学困难问题。

完全类似地，基于一般化AMLWE数学困难问题及其变种，可设计公钥加密方法、密钥封装机制和密钥交换协议，支持更细粒度地调整参数，以获得更好的效率。

本发明的方案可以通过软件的方式实现，也可以通过硬件的方式来实现，比如：

在一个实施例中，提供一种计算机(或服务器)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上面所述方法中各步骤的指令；在另一个实施例中，提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现上面所述方法的步骤。

本发明提出的AMLWE数学困难问题，AMLWE-R数学困难问题以及一般化的AMLWE及AMLWE-R数学困难问题可用于设计公钥加密方法、密钥封装机制和密钥交换协议，通过调整参数的取值，获得比当前技术更高的效率。

本发明不局限于以上实施方式，对于本领域的普通技术人员，在不脱离本发明原理与方法的前提下，还可以做出若干改进或变形，这些改进和变形也视为本发明的保护范围之内。本说明书中未详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims

1.一种基于格的公钥加密方法，其特征在于，包括以下步骤：

1)定义非对称模带错误学习问题AMLWE：对于正整数

正实数

满足α₁≠α₂，给定随机的矩阵

和向量

计算性AMLWE数学困难问题

的目标是给定样本

输出秘密向量

对于随机的矩阵

和向量

判定性AMLWE数学困难问题

的目标是将样本(A,b＝As+e)和选自于

上均匀分布的元组区分开；其中R_q是定义在

上次数为n-1的多项式环，当n＝1时定义

表示正整数集合，

表示正实数集合，

表示以α₁为参数的噪音分布，

表示以α₂为参数的噪音分布；

2)基于所述AMLWE数学困难问题，提出格上公钥加密方法，用公钥对明文进行加密获得密文，用私钥解密密文获得明文。

2.如权利要求1所述的方法，其特征在于，基于格的公钥加密方法由8个正整数参数

3.如权利要求2所述的方法，其特征在于，密钥生成方法PKE.KeyGen(1^κ)包括以下步骤：

1)随机选取种子ρ←{0,1}ⁿ，计算

2)随机选取

和

计算

和

其中对于任意正整数

模切换函数

对于正整数

和η∈{η₁,η₂}，B_η表示以正整数η为参数的中心二项分布，

表示每个分量取自分布B_η构成的k维向量；

3)输出公钥

和私钥sk＝s。

4.如权利要求3所述的方法，其特征在于，加密方法PKE.Enc(pk,μ；r)包括以下步骤：

1)根据公钥

明文消息μ∈{0,1}ⁿ和随机数

计算

2)选择

计算u:＝A^Tr+e₁和

3)计算

和

4)输出密文

5.如权利要求4所述的方法，其特征在于，解密方法PKE.Dec(sk,c)包括以下步骤：

1)根据私钥sk＝s和密文

计算

2)计算μ:＝Switch_q→2(z)；

3)输出明文μ。

6.如权利要求5所述的方法，其特征在于，通过调整参数(η₁,η₂)来达到公钥加密方法安全性和正确性的最佳平衡，具体调整方法为：通过减小η₁的值提高公钥加密方法的正确性，增大η₂的值提高公钥加密方法的安全性。

7.如权利要求6所述的方法，其特征在于，公钥加密方法扩展为以下基于格的密钥封装机制，其包括以下子方法：

a)随机选取z←{0,1}ⁿ；

b)执行(pk,sk′):＝PKE.KeyGen(1^κ)；

c)输出公钥pk和私钥sk＝(sk′,pk,H₁(pk),z)；

2)封装方法KEM.Encaps(pk)用公钥pk封装一个密钥K并输出一个密文c；

3)解封装方法KEM.Decaps(sk,c)根据私钥sk＝(sk′,pk,H₁(pk),z)对密文c进行解封装和获得密钥K。

8.如权利要求7所述的方法，其特征在于，封装方法KEM.Encaps(pk)包括以下步骤：

a)均匀随机选取μ←{0,1}ⁿ，计算μ′:＝H₁(μ)；

b)计算

c)计算c:＝PKE.Enc(pk,μ′；r)；

d)计算

e)输出密文c和封装的密钥K。

9.如权利要求8所述的方法，其特征在于，解封装方法KEM.Decaps(sk,c)包括以下步骤：

a)计算μ′:＝PKE.Dec(sk,c)；

b)计算

c)计算c′:＝PKE.Enc(pk,μ′；r′)；

d)如果c＝c′，那么输出

否则输出K:＝H₁(z||H₁(c))。

10.如权利要求1所述的方法，其特征在于，定义非对称模带错误学习问题AMLWE的变种，即AMLWE-R数学困难问题，保证公钥加密方法的密文安全性；该AMLWE-R数学困难问题为：对于

和正整数p>1、正实数

满足α₁≠α₂，给定随机选取的

和

判定性AMLWE-R数学困难问题

的目标是将样本

和均匀随机选取的元组

区分开，其中

以及v←R_q都是均匀随机选取的值，对于任意正整数

模切换函数

计算性AMLWE-R数学困难问题是给定样本

求解秘密向量s。

11.一种基于格的公钥加密方法，其特征在于，定义一般化非对称模带错误学习问题AMLWE如下：

对于正整数

正整数

以及不是全部相同的正实数

给定随机选取的矩阵

秘密向量

噪音向量

计算性一般化AMLWE数学困难问题

的目标是给定以下样本：

输出秘密向量

判定性一般化AMLWE数学困难问题

的目标是将样本

和选自于

上次数为n-1的多项式环，当n＝1时定义

表示正整数集合，

表示正实数集合；对于δ∈{α₁,…,α_c,β₁,…,β_d}，χ_δ表示以δ为参数的噪音分布；然后基于所述一般化非对称模带错误学习问题AMLWE，提出格上公钥加密方法，用公钥对明文进行加密获得密文，用私钥解密密文获得明文。

12.如权利要求11所述的方法，其特征在于，定义一般化非对称模带错误学习问题AMLWE的变种，即一般化AMLWE-R数学困难问题：对于正整数

正整数

不是全部相同的正实数

以及正整数p>1，给定随机选取的矩阵

向量

向量

向量

和值

判定性一般化AMLWE-R数学困难问题

的目标是将以下样本

和随机选取的元组

区分开，其中

以及v←R_q都是均匀随机选取的值；计算性一般化AMLWE-R数学困难问题

的目标是给定以下样本

求解秘密向量s；

13.如权利要求1或11所述的方法，其特征在于，所述AMLWE数学困难问题，AMLWE-R数学困难问题以及一般化的AMLWE及AMLWE-R数学困难问题用于设计公钥加密方法、密钥封装机制和密钥交换协议。