CN110932863A

CN110932863A - 一种基于编码的广义签密方法

Info

Publication number: CN110932863A
Application number: CN201911137556.4A
Authority: CN
Inventors: 韩益亮; 王众; 刘镇; 吴旭光
Original assignee: Engineering University of Chinese Peoples Armed Police Force
Current assignee: Engineering University of Chinese Peoples Armed Police Force
Priority date: 2019-11-19
Filing date: 2019-11-19
Publication date: 2020-03-27
Anticipated expiration: 2039-11-19
Also published as: CN110932863B

Abstract

本发明公开了一种基于编码的广义签密方法，包括以下步骤：1)设定公共参数；2)为注册用户产生公钥及私钥；3)定义区分函数，对用户的公钥存在情况进行判断；4)对传输信息进行签密操作，即先使用接收方的公钥进行加密，然后利用发送方的私钥进行签名；5)对签密文进行解签密操作，即先使用接收方的私钥进行解密，再利用发送方的公钥进行签名验证，完成基于编码的广义签密，该方法能够根据收发双方用户有无公钥来实现加密、签名以及签密功能之间的转换，继而实现抗量子计算的广义签密功能，同时能够减少密钥存储量，同时安全性较高。

Description

一种基于编码的广义签密方法

技术领域

本发明属于网络信息安全领域，涉及一种基于编码的广义签密方法。

背景技术

签密技术可以在一个逻辑步骤内完成加密以及认证的功能，相比于传统的先“加密”后“签名”或者先“签名”后“加密”的方法能够消耗更少的资源，也易于操作。签密方法虽然具有加密与签名的功能，但是签密方法，加密方法以及签名方法三者还是有所不同甚至是互斥的，因为签密方法要求收发双方都需要具有密钥，而加密方法只要求接收方有密钥，签名方法只要求发送方有密钥，三者是不能相互转换的。广义签密方法实现了签密、加密与签名三者之间自适应的转换，这不仅可以有效地实现对物联网坏境等复杂网络通信环境中用户隐私的保护以及数据机密性的防护，并可以根据不同用户的安全等级实现不同的访问控制。虽然广义签密的方法具有较为优良的功能，但是在量子技术快速发展的今天，传统的公钥密码方法将不再安全可靠，这不仅将导致现在所使用的安全方法不再安全并且基于传统公钥密码的广义签密方法也是如此，那么如何提供一种在量子时代进行安全防护的方法就显得十分必要。

目前已知的抗量子计算攻击的密码体制有以下四种，分别是基于Hash函数的密码体制、基于多变量的密码体制、基于编码的密码体制以及基于格的密码体制。其中，基于编码的密码具有抗量子计算特性的同时，还具有加解密过程简单，易于操作的特点。该密码体制是在有限域上多元多项式环上定义和运算的，此类密码体制的算法核心是对一种纠错码C的应用，主要的特征即为添加一个错误到码字中或根据码C的校验矩阵计算伴随式。最早的基于编码的密码体制是McEliece体制，它是对Goppa码的生成矩阵进行变换来进行隐藏而产生公钥。而后提出的Niederreiter密码体制则是对Goppa码的校验矩阵进行变换，两种密码体制在安全性上是对等的。编码密码中还有较为著名的签名方法，它是基于校验子译码困难问题的签名方法——CFS方法。为了能够弥补编码密码密钥量大的特点，用其他码字来代替Goppa码已经成为一种趋势，但是这也会带来一些安全上的弊端，这些弊端已经出现在基于准循环码(QC)、LDPC码、QC-LDPC码、卷积码等码字的第一代McEliece变体方法中，还有一些使用QC-LDPC码、QC-MDPC码等码字的一些变体方法能够在不损坏安全性的前提下良好地达到密钥压缩的目的。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供了一种基于编码的广义签密方法，该方法能够根据收发双方用户有无公钥来实现加密、签名以及签密功能之间的转换，继而实现抗量子计算的广义签密功能，同时能够减少密钥存储量，同时安全性较高。

为达到上述目的，本发明所述的基于编码的广义签密方法包括以下步骤：

1)设定公共参数；

2)为注册用户产生公钥及私钥；

3)定义区分函数，对用户的公钥存在情况进行判断；

4)对传输信息进行签密操作，即先使用接收方的公钥进行加密，然后利用发送方的私钥进行签名；

5)对签密文进行解签密操作，即先使用接收方的私钥进行解密，再利用发送方的公钥进行签名验证，完成基于编码的广义签密。

步骤1)的具体操作为：

通过一个统一的策略服务器进行设定公共参数，然后广播给所有用户，其中，需要设定的系统参数包括安全参数k、长度为k比特的素数q、有限域GF_q以及两个Hash函数h₁和h₂，其中，

*代表0比特串及1比特串的长度为任意值，n与n-k为0比特串及1比特串的长度。

步骤2)的具体操作为：

在有限域GFq上随机选取(n,k,d)维的QC-LDPC码，n＝2^a，d＝2t+1，k＝n-at，该QC-LDPC码的译码算法为

允许的最大重量为t，(n-k)×n阶矩阵H为QC-LDPC码的校验矩阵，随机选取GF(2)上的可逆矩阵S，该可逆矩阵S的阶为(n-k)×(n-k)，再选取置换矩阵T，置换矩阵T的阶为n×n，其中，符号ο表示矩阵间的运算，则有用户U的公钥为M_lU及

其中，M_lU为LEDAkem方法中的公钥矩阵，M_lU用于加密；M_lU对应的私钥为矩阵Q_U，H_U，S，T，其中，Q_U及H_U为LEDAkem方法中对应于公钥M_lU，且用于解密的私钥矩阵。

步骤3)的具体操作为：

当用户U的公钥

时，则区分函数f(x)＝0，其中，0代表n维零向量；当用户U的公钥

时，则区分函数f(x)＝1，其中，1代表n维单位向量，即所述区分函数f(x)为：

步骤4)的具体操作为：

设R代表接收者，S代表发送者，待签密消息为n维m，

代表在集合中任意选取一个值，符号||表示级联操作，符号

表示异或操作，则有：

41)

42)当

则有c₁＝r，否则，c₁＝[M_lR|I]·r^T；

3)

44)当

则执行以下步骤：

4a)

4b)i＝i+1；

4c)对

进行译码操作，得

其中，当

不存在，则返回至步骤4b)；否则，则

4d)

45)得三元组(s,c₁,c₂)，对该三元组(s,c₁,c₂)利用接收方的公钥加密，再利用发送方的私钥进行签名，然后将该三元组(s,c₁,c₂)作为最后的签密文发送给接收方。

步骤5)的具体操作为：

51)

则有

否则，则执行以下操作：

5a)

5b)

5c)

5d)

52)

53)当

则输出

否则，则

当

则签名s为合法签名，此时输出

否则，则签名s为非法签名，此时输出错误标识⊥；

54)对三元组(s,c₁,c₂)中的密文c₁进行解密，再通过与c₂进行运算，得明文，最后通过明文对签名进行验证。

本发明具有以下有益效果：

本发明所述的基于编码的广义签密方法在具体操作时，每个发送方用各自的私钥及接收方公钥对消息进行签密，接收方必须用其私钥及发送方的公钥才能验证签密文并解密出消息，攻击者既无法伪造签密文，也无法获得消息的内容，以实现加密的机密性、完整性、认证性，安全性较高。另外，本发明根据用户的密钥存在情况，实现加密、签名以及签密功能之间的转换，进而实现不同级别的安全访问控制。最后本发明采用LEDAkem的加密方法与CFS签名相结合，并利用QC-LDPC码进行构造，以减少密钥储存量，同时提升使用效率。

附图说明

图1为本发明的系统图。

具体实施方式

下面结合附图对本发明做进一步详细描述：

参考图1，本发明所述的基于编码的广义签密方法包括以下步骤：

1)设定公共参数；

步骤1)的具体操作为：

2)为注册用户产生公钥及私钥；

步骤2)的具体操作为：

允许的最大重量为t，(n-k)×n阶矩阵H为QC-LDPC码的校验矩阵，随机选取GF(2)上的可逆矩阵S，该可逆矩阵S的阶为(n-k)×(n-k)，再选取置换矩阵T，置换矩阵T的阶为n×n，

其中，符号ο表示矩阵间的运算，则有用户U的公钥为M_lU及

3)定义区分函数，对用户的公钥存在情况进行判断；

步骤3)的具体操作为：

当用户U的公钥

步骤4)的具体操作为：

设R代表接收者，S代表发送者，待签密消息为n维m，

代表在集合中任意选取一个值，符号||表示级联操作，符号

表示异或操作，则有：

41)

42)当

则有c₁＝r，否则，c₁＝[M_lR|I]·r^T；

43)

44)当

则执行以下步骤：

4a)

4b)i＝i+1；

4c)对

进行译码操作，得

其中，当

不存在，则返回至步骤4b)；否则，则

4d)

步骤5)的具体操作为：

51)

则有

否则，则执行以下操作：

5a)

5b)

5c)

5d)

52)

53)当

则输出

否则，则

当

则签名s为合法签名，此时输出

否则，则签名s为非法签名，此时输出错误标识⊥；

验证性试验

将采用Goppa码的Niederreiter密码方法与采用QC-LDPC码的Niederreiter方法及采用QC-LDPC码的LEDAkem方法进行如表1的对比：

表1

QC-LDPC码在公钥量的大小以及加密数据的处理量和信息率方面要比传统Niederreiter密码方法所采用的Goppa码有较大的提升，而采用QC-LDPC码的LEDAkem方法相比二者在密钥量方面又有较大的优势。

本发明在实现签名功能时选择的方法为CFS签名方法，采用经过密钥构造改造过的P-CFS签名方法也可以达到同样的效果，并且能够选择更小的参数，减少方法的密钥量，因此在P-CFS签名方法下，仍然选择(16128,12096)的QC-LDPC码，通过表2进行密钥量的比较分析：

表2

表2中的签名加密方法指先进行签名再进行加密的方法，两步是分离的，因此其密钥量即为签名方法与加密方法之和。然而本发明是将二者进行融合，在私钥量这一方面，有部分私钥为P-CFS签名方法与LEDAkem方法共用的，因此私钥量有所下降。综上分析可知，本发明实现了签密、签名、加密三者之间的自适应转换，又由于QC-LDPC码与LEDAkem加密方法的采用，使得本发明能够在消耗较少存储资源的前提下为后量子时代的网络通信提供较好的保障作用。

将本发明应用于物联网环境下，主要包括策略服务器，用于为系统设定公共参数；注册中心，用于为用户提供注册服务，分发用户的密钥对；通信环境中有注册的设备与未注册的设备及注册的用户与未注册用户，他们之间都可以进行通信，作为相互之间的接收方R与发送方S，其中，本发明在物联网环境下的具体通信过程分为以下几种情况：

当收发双方均无密钥时，由上述可知，发送方S将不能对待签密消息m进行签名及加密的操作，所发送的三元组为

相当于直接把消息发送给接收者，这种没有任何保密措施的情况下适用于匿名用户与匿名计算机系统或者传感器之间进行通信，并且传输的信息是公开的。

当发送方S有密钥且接收方R无密钥时，则相当于纯签名的过程，发送方S所发送的三元组为(s,r,m)，s为利用发送方私钥进行操作所得到的关于消息m的签名；当接收方收到该三元组后，即可利用r和m通过步骤3)中的验证方式，来验证签名s是否合法，这种情况适用于发送方S是确定性的用户或者是已经注册认证的用户、计算机系统或传感器，接收方R为匿名用户或者设备，进而防止对所传输的信息进行篡改，避免对用户或者设备的冒名顶替，保障可认证性。

当发送方S没有密钥且接收方R有密钥时，则相当于纯加密的过程，即发送方S运用接收方R的公钥P_R对随机数r加密后，再利用加密结果对消息m进行加密，输出的三元组为

接收者收到该三元组

后利用自己的私钥进行解密操作，即可得明文消息m，这种情况适用于发送方S为匿名用户、计算机系统或者传感器，发送方所发出的消息只想让指定的接收方R收到，且接收方R为确定的用户或已经注册认证的用户或者设备，这就保障了在物联网计算中开放环境下数据传输的机密性。

当接收方R及发送方S都有各自密钥时，则该方法即为一个签密方法，发送方S发送的三元组为(s,c₁,c₂)，其中，s为发送方S用自己的私钥进行运算所得到的签名信息，c₁及c₂为发送方S运用接收方R的公钥进行运算所得到的加密信息，只有拥有相应私钥的接收方R才可以对信息进行解密；解签密的过程为：接收方R运用自己的私钥对c₁及c₂进行解密得r及m，再利用发送方S的公钥通过r及m对签名进行验证，这种情况适用于收发双方均为确定的用户或已经注册验证的用户、设备之间进行信息的保密通信。

综上分析可知，本发明能够在物联网计算环境下，根据用户或者设备是否存在公钥而自适应地实现签名、加密与签密三者之间的转换，因此可以以较小的代价根据不同安全级别的用户实现不同程度的安全控制，保障用户的隐私，数据的安全以及设备的身份等。