CN112087306B - 量子计算安全的身份识别协议建立方法 - Google Patents

Abstract

本发明涉及信息安全技术领域，尤其涉及一种量子计算环境下的身份识别协议建立方法及装置，证明者随机选取矩阵，并随机挖去矩阵中的元素，在相应确定公私钥后，证明者证明者首先将公钥中残缺矩阵拆分为两个残缺矩阵之和，将私钥秘密拆分成两部分，然后分别按行排序顺序依次填充至相应残缺矩阵得到完整矩阵；证明者向验证者证明自己身份的过程，包括证明者收到挑战后，根据不同值将对应响应值发送给验证者，验证者收到响应值后进行相应判断。本发明采用矩阵填充问题给出了一种身份识别协议的建立技术方案，具有实现效率高、不需要密码算法协处理器、高度安全性、抗量子计算机的攻击等优点。本发明提供的方案可广泛应用于信息安全系统领域。

Description

量子计算安全的身份识别协议建立方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种量子计算安全的身份识别协议建立方法。

背景技术

身份识别技术在现代通信网络中占有重要的地位，其目的是防止未授权用户访问网络资源。现有的身份识别技术有多种类型，本发明主要对比基于密码技术(尤其是公钥密码)的身份识别协议。目前基于公钥密码技术的身份识别协议主要是基于离散对数、大整数分解、模N平方根等数学困难性问题设计的，如Feige-Fiat-Shamir方案、Schnorr方案、Okamato方案、Guillou-Quisquater方案等。然而这些协议不能抵御量子计算的攻击。因此，量子计算安全的身份识别协议值得深入研究。

申请人日前提出的发明专利201610121958.5提供了一种身份识别协议的建立方法，采用故障译码(Syndrome Decodeing)问题实现。为了面对现代通信网络数据量日益剧增的状况，本发明从另一技术角度研究更高效的量子计算安全的身份识别协议建立实现方案。

发明内容

针对上述存在的技术问题，本发明的目的是提供一种量子计算安全的身份识别协议建立技术方案。

为达到上述目的，本发明采用的技术方案包括一种量子计算安全的身份识别协议建立方法，包括以下步骤：

(I)系统建立：随机选取一个有限域

上的η×n维矩阵A＝(a_ij)，满足秩rank(A)＝r，其中，有限域

的阶q＝p^h，参数p为素数，参数h为正整数；然后，随机挖去矩阵A中的m个元素，并记剩下元素的残缺矩阵为A^-，同时假设这m个元素在矩阵A中坐标位置分别为(i₁，j₁)，…，(i_m，j_m)；

其中，η为行数，n为列数，a_ij为第i行第j列的元素；

证明者随机选取矩阵A，并随机挖去矩阵A中的m个元素，则证明者的私钥为有序序列s＝{s₁，…，s_m}，其中

k＝1，2，…，m；相应的公钥为η，n，r，m，

和A^-；

其中，

为矩阵A中坐标位置为(i_k，j_k)的元素；

在确定公私钥后，证明者进行以下处理以便于协议执行，

证明者首先将公钥中残缺矩阵A-拆分为两个残缺矩阵之和，记为

拆分方法是公开的，验证者同样据此拆分能够得到残缺矩阵

和

其次，证明者将私钥s秘密拆分成α和β两部分，记为s_k＝α_k+β_k，1≤k≤m，然后按行排序顺序依次将α的元素填充至

得到完整矩阵A₁，同理将β的元素填充至

得到完整矩阵A₂；

(II)证明者向验证者证明自己身份的过程包括以下子步骤：

(1)证明者随机选取两个可逆方阵P，Q和一个η×n的矩阵Y，其中P和Q分别是n×n、η×η维的方阵；首先计算PA₁Q+Y和PA₂Q-Y，然后算出对应hash值，分别记作c₁，c₂，c₃：

c₁＝H((P，Q，Y))，

c₂＝H(PA₁Q+Y)，

c₃＝H(PA₂Q-Y)；

并将{c₁，c₂，c₃}传递给验证者；

其中，H()表示求hash值；

(2)验证者收到{c₁，c₂，c₃}后，随机选取一个挑战K发送给证明者，其中K∈{0，1，2}；

(3)证明者收到挑战K后，根据不同K值将对应响应值Rsp发送给验证者：

如果K＝0，那么证明者将PA₁Q+Y和PA₂Q-Y的值作为响应值发送给验证者；

如果K＝1，证明者将(P，Q，Y)和α作为响应值发送给验证者；

如果K＝2，证明者将(P，Q，Y)和β作为响应值发送给验证者；

(4)验证者收到响应值后，根据不同K值进行相应计算判断，若：

K＝0时，有c₂＝H(PA₁Q+Y)，c₃＝H(PA₂Q-Y)及rank((PA₁Q+Y)+(PA₂Q-Y))＝r；

K＝1时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₁′Q+Y)＝c₂，其中A₁′为按行排序顺序依次将α的元素填充至

得到的完整矩阵；

K＝2时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₂′Q+Y)＝c₃，其中A₂′为按行排序顺序依次将β的元素填充至

得到的完整矩阵；

则接受证明者的身份；

(5)重复执行上述子步骤(1)至(4)δ次，其中，δ是预设的安全参数。

本发明还提供一种量子计算安全的身份识别协议建立装置，用于执行如上所述的量子计算安全的身份识别协议建立方法。

本发明具有以下优点和积极效果：

1)本发明是一种安全性很高的身份识别协议。其安全性性能主要基于矩阵填充(MatrixCompletion)问题，该问题已被证明为NPC问题。另外，本发明具有抵抗量子计算机攻击的潜力。

2)本发明是一种高效轻量的零知识身份识别协议，操作简单、实现效率高、传输数据量低，不需要密码算法协处理器，本方案可广泛应用于计算能力有限的嵌入式设备中。

3)本发明技术方案可广泛应用于网络安全、电子商务等信息安全系统领域。

具体实施方式

以下结合实施例对本发明技术方案进行具体介绍。

本发明实施例提供一种量子计算安全的身份识别协议建立方法，包括以下步骤：

(I)系统建立：随机选取一个有限域

上的η×n维矩阵A＝(a_ij)，满足其秩rank(A)＝r，其中有限域

的阶q＝p^h，参数p为素数，参数h为正整数；然后，随机挖去矩阵A中的m个元素，并记剩下元素的残缺矩阵为A^-，同时假设这m个元素在矩阵A中坐标位置分别为(i₁，j₁)，…，(i_m，j_m)。

其中，η为行数，n为列数，a_ij为第i行第j列的元素。

证明者随机选取矩阵A，并随机挖去矩阵A中的m个元素，则证明者的私钥为有序序列s＝{s₁，…，s_m}，其中

k＝1，2，…，m；相应的公钥为η，n，r，m，

和A^-。

其中，

为矩阵A中坐标位置为(i_k，j_k)的元素。

在确定公私钥后，证明者需对其进行处理以便于协议执行：

证明者首先将公钥中残缺矩阵A-拆分为两个残缺矩阵之和，即

拆分方法是公开的，验证者同样据此拆分可得到残缺矩阵

和

其次，证明者将私钥s秘密拆分成α和β两部分，即s_k＝α_k+β_k，1≤k≤m，然后按行排序顺序依次将α的元素填充至

得到完整矩阵A₁，同理将β的元素填充至

得到完整矩阵A₂。

(II)证明者向验证者证明自己身份的过程包括5个子步骤：

(1)证明者随机选取两个可逆方阵P，Q和一个η×n的矩阵Y，其中P和Q分别是n×n、η×η维的方阵。首先计算PA₁Q+Y和PA₂Q-Y，然后算出对应hash值(哈希值)，分别记作c₁，c₂，c₃：

c₁＝H((P，Q，Y))，

c₂＝H(PA₁Q+Y)，

c₃＝H(PA₂Q-Y)；

并将{c₁，c₂，c₃}传递给验证者；

其中，H()表示求hash值。

(2)验证者收到{c₁，c₂，c₃}后，随机选取一个挑战K发送给证明者，其中K∈{0，1，2}；

(3)证明者收到挑战K后，根据不同K值将对应响应值Rsp发送给验证者：

如果K＝0，那么证明者将PA₁Q+Y和PA₂Q-Y的值作为响应值发送给验证者；

如果K＝1，证明者将(P，Q，Y)和α作为响应值发送给验证者；

如果K＝2，证明者将(P，Q，Y)和β作为响应值发送给验证者；

(4)验证者收到响应值后，根据不同K值进行相应计算判断，若：

K＝0时，有c₂＝H(PA₁Q+Y)，c₃＝H(PA₂Q-Y)及rank((PA₁Q+Y)+(PA₂Q-Y))＝r；

K＝1时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₁′Q+Y)＝c₂，其中A₁′为按行排序顺序依次将α的元素填充至

得到的完整矩阵；

K＝2时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₂′Q+Y)＝c₃，其中A₂′为按行排序顺序依次将β的元素填充至

得到的完整矩阵；

则接受证明者的身份；

(5)重复执行上述(1)至(4)的4个子步骤δ次。

其中，δ是预设的安全参数，具体实施时可根据实际应用安全性需求确定其值，实施例中经过实验取优选值35。

具体实施时，本发明技术方案提出的方法可由本领域技术人员采用计算机软件技术实现自动运行流程，运行方法的系统装置例如存储本发明技术方案相应计算机程序的计算机可读存储介质以及包括运行相应计算机程序的计算机设备，也应当在本发明的保护范围内。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (1)

1.一种量子计算安全的身份识别协议建立方法，其特征在于，包括以下步骤：

(Ⅰ)系统建立：随机选取一个有限域

上的η×n维矩阵A＝(a_ij)，满足秩rank(A)＝r，其中，有限域

的阶q＝p^h，参数p为素数，参数h为正整数；然后，随机挖去矩阵A中的m个元素，并记剩下元素的残缺矩阵为A^-，同时假设这m个元素在矩阵A中坐标位置分别为(i₁,j₁),…,(i_m,j_m)；

其中，η为行数，n为列数，a_ij为第i行第j列的元素；

证明者随机选取矩阵A，并随机挖去矩阵A中的m个元素，则证明者的私钥为有序序列s＝{s₁,…，s_m}，其中

相应的公钥为η,n,r,m,

和A^-；

其中，

为矩阵A中坐标位置为(i_k,j_k)的元素；

在确定公私钥后，证明者进行以下处理以便于协议执行，

证明者首先将公钥中残缺矩阵A^-拆分为两个残缺矩阵之和，记为

拆分方法是公开的，验证者同样据此拆分能够得到残缺矩阵

和

其次，证明者将私钥s秘密拆分成α和β两部分，记为s_k＝α_k+β_k,1≤k≤m，然后按行排序顺序依次将α的元素填充至

得到完整矩阵A₁，同理将β的元素填充至

得到完整矩阵A₂；

(Ⅱ)证明者向验证者证明自己身份的过程包括以下子步骤：

(1)证明者随机选取两个可逆方阵P，Q和一个η×n的矩阵Y，其中P和Q分别是n×n、η×η维的方阵；首先计算PA₁Q+Y和PA₂Q-Y，然后算出对应hash值，分别记作c₁,c₂,c₃：

c₁＝H((P，Q，Y))，

c₂＝H(PA₁Q+Y)，

c₃＝H(PA₂Q-Y)；

并将{c₁,c₂,c₃}传递给验证者；

其中，H()表示求hash值；

(2)验证者收到{c₁,c₂,c₃}后，随机选取一个挑战K发送给证明者，其中K∈{0，1，2；

(3)证明者收到挑战K后，根据不同K值将对应响应值Rsp发送给验证者：

如果K＝0，那么证明者将PA₁Q+Y和PA₂Q-Y的值作为响应值发送给验证者；

如果K＝1，证明者将(P，Q，Y)和α作为响应值发送给验证者；

如果K＝2，证明者将(P，Q，Y)和β作为响应值发送给验证者；

(4)验证者收到响应值后，根据不同K值进行相应计算判断，若：

K＝0时，有c₂＝H(PA₁Q+Y)，c₃＝H(PA₂Q-Y)及rank((PA₁Q+Y)+(PA₂Q-Y))＝r；

K＝1时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₁′Q+Y)＝c₂，其中A₁′为按行排序顺序依次将α的元素填充至

得到的完整矩阵；

K＝2时，有P和Q均为可逆矩阵，c₁＝H((P，Q，Y))，H(PA₂′Q+Y)＝c₃，其中A₂′为按行排序顺序依次将β的元素填充至

得到的完整矩阵；

则接受证明者的身份；

(5)重复执行上述子步骤(1)至(4)δ次，其中，δ是预设的安全参数。