CN115941180A

CN115941180A - 一种基于后量子安全和身份标识的密钥分发方法和系统

Info

Publication number: CN115941180A
Application number: CN202310116170.5A
Authority: CN
Inventors: 杨一帆; 王乐章; 戴一安; 张家华; 徐鹏
Original assignee: Huazhong University of Science and Technology
Current assignee: Huazhong University of Science and Technology
Priority date: 2023-02-15
Filing date: 2023-02-15
Publication date: 2023-04-07
Anticipated expiration: 2043-02-15
Also published as: CN115941180B

Abstract

本发明公开了一种基于后量子安全和身份标识的密钥分发方法，属于密码学技术领域，本发明由两个部分构成：私钥生成器和用户。PKG是经权威机构认证并公开的可信服务器，具有根据用户的请求成私钥的功能。用户是公钥密码技术的使用者，请求PKG生成并分发私钥。本发明的工作过程由三个环节组成：首先，用户与PKG建立安全信道，请求PKG生成私钥。其次，PKG验证用户身份的合法性。最后，PKG向用户发送生成的密钥。在密钥分发的过程中使用了基于后量子安全和身份标识的加密算法，通过身份标识简化了用户与PKG的双向验证过程，同时保证密钥传输过程中的后量子安全性。即本申请具有基于身份验证，抗量子计算攻击等多种优点。

Description

一种基于后量子安全和身份标识的密钥分发方法和系统

技术领域

本发明属于密码学技术领域，更具体地，涉及一种基于后量子安全和身份标识的密钥分发方法和系统。

背景技术

在公钥密码体系中，密钥分发是重要的一环。目前主流的密钥分发方法主要通过认证机构（Certificate Authority，简称CA）颁发的证书验证身份，使用传输层安全性（TransportLayer Security，简称TLS）协议保证密钥分发过程的安全性。

该方法主要存在两方面的缺陷。首先，一些服务器和用户会使用自签名证书来认证身份，这可能会导致身份验证错误，也无法保证密钥的安全性。其次，随着量子计算机的兴起，素因数分解问题和离散对数问题能在多项式时间内被求解，基于传统公钥算法构建的TLS协议无法抵御量子计算攻击。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于后量子安全和身份标识的密钥分发方法和系统，其目的在于，在密钥分发的过程中使用了基于后量子安全和身份标识的加密算法，通过身份标识简化了用户与PKG的双向验证过程，同时保证密钥传输过程中的后量子安全性，由此解决传统公钥算法构建的TLS协议无法抵御量子计算攻击以及安全性低的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于后量子安全和身份标识的密钥分发方法，包括：

S1：用户设置对称密钥k，基于后量子安全的加密算法利用私钥生成器PKG身份标识对所述对称密钥k进行加密得到第一密文信息；

S2：所述用户向私钥生成器PKG发送用户身份标识和所述第一密文信息，请求所述PKG生成并分发用户私钥；

S3：所述PKG基于后量子安全的加密算法对应的解密算法利用所述PKG身份标识解密所述第一密文信息，得到所述对称密钥k；

S4：所述PKG生成有效期为预设时间的第一验证码，利用所述对称密钥k加密所述第一验证码得到第二密文信息，通过电子邮件将所述第二密文信息发送至所述用户的电子邮箱；

S5：所述用户登录所述电子邮箱获取所述第二密文信息，利用所述对称密钥k解密得到第二验证码，再将所述第二验证码发送回所述PKG；

S6：所述PKG将所述第二验证码与所述第一验证码作比对，若相同则生成所述用户私钥，利用所述对称密钥k加密所述用户私钥得到第三密文信息，再将所述第三密文信息发送给所述用户；

S7：所述用户接收所述第三密文信息，利用所述对称密钥k解密所述第三密文信息，得到所述用户私钥。

在其中一个实施例中，所述S1包括：用户设置对称密钥k，利用格上基于身份的加密方案和所述PKG身份标识对所述对称密钥k进行加密，得到所述第一密文信息；所述S3包括：所述PKG利用格上基于身份的加密方案和所述PKG身份标识解密所述第一密文信息，得到所述对称密钥k。

在其中一个实施例中，所述S1中用户设置对称密钥k包括：

所述用户生成对称加密算法SM4的密钥，记为所述对称密钥k。

在其中一个实施例中，所述格上基于身份的加密方案包括：

主私钥生成算法Master_keygen（N,q）：输入公开参数N、q，所述主私钥生成算法生成主私钥B∈Z_q ^2N×2N和主公钥h∈R_q；

用户私钥生成算法Extract(B,id)：输入所述主私钥B和用户身份id，所述用户私钥生成算法生成用户私钥SK_id∈R_q；

加密算法Encrypt(id,m)：输入所述用户身份id和明文m∈{0,1}^m，所述加密算法生成密文组(u,v,c)∈R_q ²；

解密算法Decrypt(SK_id,(u,v,c))：输入所述用户私钥SK_id和所述密文组(u,v,c)，所述解密算法生成明文m。

在其中一个实施例中，所述主私钥生成算法Master_keygen（N,q）包括：

第1步：利用公式σ_f=(q/2N)^1/2计算高斯分布的标准差σ_f；

第2步：从元素满足高斯分布的采样器D(N,σ_f)中采样2个多项式F和G；

第3步：利用公式计算参数Norm；

第4步：如果Norm＞1.17q^1/2，返回到第2步,否则进入第5步；

第5步：利用扩展欧几里得算法，计算ρ_f,ρ_g∈R和R_f、R_g∈Z,满足-ρ_f▪ f=R_fmod（x^N+1）和-ρ_g▪ g=R_gmod（x^N+1）；

第6步：如果GCD（R_f、R_g）≠1或GCD（R_f、q）≠1，返回到第2步，否则进入第7步；

第7步：利用扩展欧几里得算法，计算u,v∈Z，且u,v满足u▪R_f+v▪R_g＝1；

第8步：利用公式F←qvρ_g和G←-quρ_f分别计算多项式F和G；

第9步：利用公式计算参数u∈R；

第10步：利用公式F←F-u*f和G←G-u*g再次计算多项式F和G；

第11步：利用公式h=g*f^-1modq计算主公钥h；

第12步：利用公式计算主私钥B。

在其中一个实施例中，所述用户私钥生成算法Extract(B,id)包括：

第1步：利用哈希函数H:{0,1}^*→Z_q ^N，计算所述用户身份id的散列值t∈Z_q ^N；

第2步：利用公式(s₁,s₂)←(t,0)←Gaussian_Sampler(B,(σ,0))计算多项式s₁和s₂，其中s₁和s₂满足s₁+s₂=t，s₂即为用户私钥SK_id。

在其中一个实施例中，所述加密算法Encrypt(id,m)包括：

第1步：利用公式r,e₁,e₂←{-1,0,1}^N和α←{0,1}^N，得到随机向量r、e₁、e₂和α；

第2步：利用哈希函数H:{0,1}^*→Z_q ^N，计算所述用户身份id的散列值t∈Z_q ^N；

第3步：利用公式u←r*h+e₁计算向量u∈R_q，其中，主公钥h∈R_q；

第4步：利用公式计算向量v∈R_q；

第5步：利用公式计算向量v，需舍弃v的低位无效值；

第6步：输出密文组(u,v,m⊕H'(α))，哈希函数H':{0,1}^N→{0,1}^m。

在其中一个实施例中，所述解密算法Decrypt(SK_id,(u,v,c))包括：

第1步：利用公式w←v←u*SK_id计算向量w；

第2步：利用公式计算向量α；

第3步：利用公式m←c⊕H'(α)计算明文m，哈希函数H':{0,1}^N→{0,1}^m。

按照本发明的另一方面，提供了一种基于后量子安全和身份标识的密钥分发系统，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

按照本发明的另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

（1）本发明由两个部分构成：私钥生成器和用户。PKG是经权威机构认证并公开的可信服务器，具有根据用户的请求成私钥的功能。用户是公钥密码技术的使用者，请求PKG生成并分发私钥。本发明的工作过程由三个环节组成：首先，用户与PKG建立安全信道，请求PKG生成私钥。其次，PKG验证用户身份的合法性。最后，PKG向用户发送生成的密钥。具有基于身份验证，抗量子计算攻击等多种优点。

（2）对于用户生成的对称密钥k，使用PKG的身份标识作为公钥进行加密，从而免去对PKG身份的验证，也不需要向证书颁发机构（Certificate Authority，简称CA）申请获取PKG的公钥。

（3）为了验证客户端的身份标识，防止攻击者冒领他人的私钥，PKG向申请者的电子邮箱发送邮件，内容为用对称密钥k加密后的验证码。若用户是申请邮箱的合法拥有者，则应能登录自己的电子邮箱，用对称密钥k解密获得验证码并发送给PKG进行比对，从而验证了用户的身份合法性。

（4）用户使用PKG的身份标识作为公钥加密对称密钥k，不用验证PKG的身份，不需要向证书颁发机构另外申请公钥。PKG通过创建二级信道，通过向电子邮箱发送验证码的方式验证用户的身份合法性。

附图说明

图1是本发明一实施例中基于后量子安全和身份标识的密钥分发方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明设计了一种基于后量子安全和身份标识的密钥分发系统。在密钥分发的过程中使用了格上基于身份的加密算法，通过身份标识简化了用户与PKG的双向验证过程，同时保证密钥传输过程中的后量子安全性。

首先介绍密钥分发方案的参与者：

1、私钥生成器PKG（Private-Key Generator，PKG）：PKG是经权威机构（如政府）认证且域名公开的可信服务器，具有验证用户身份，根据用户的请求生成并分发私钥的功能。

2、用户：用户是公钥密码技术的使用者，请求PKG生成并分发私钥。

然后，介绍密钥分发方案所使用的格上基于身份的加密方案：

该方案采用的基于NTRU格上的基于身份的加密方案包含4个主要算法，下面将具体介绍方案中的算法：

1、符号说明：

2、主私钥生成算法Master_keygen（N,q）：输入公开参数N、q，算法生成主私钥B∈Z_q ^2N×2N和主公钥h∈R_q，优选公开参数N=512、q=2³⁰。

第1步：利用公式（1）计算高斯分布的标准差σ_f。

σ_f=(q/2N)^1/2（1）

第2步：从元素满足高斯分布的D(N,σ_f)中采样2个多项式F和G。

第3步：利用公式（2）计算参数Norm

（2）

第4步：如果Norm＞1.17q^1/2，返回到第2步。

第5步：使用扩展欧几里得算法，计算ρ_f,ρ_g∈R和R_f、R_g∈Z，满足式（3）和式（4）。

-ρ_f▪ f = R_fmod（x^N+1）（3）

-ρ_g▪ g= R_gmod（x^N+1）（4）

第6步：如果GCD（R_f，R_g）≠1或GCD（R_f，q）≠1，返回到第2步。

第7步：使用扩展欧几里得算法，计算u,v∈Z,满足式（5）。

u▪ R_f+ v▪ R_g＝1 （5）

第8步：利用公式（6）和式（7）分别计算多项式F和G。

F←q vρ_g（6）

G←-q uρ_f（7）

第9步：利用公式（8）计算参数参数u∈R。

（8）

第10步：利用公式（9）和式（10）再次计算多项式F和G。

F←F- u* f（9）

G←G- u* g（10）

第11步：利用公式（11）计算主公钥h。

h=g*f^-1mod q（11）

第12步：利用公式（12）计算主私钥B。

（12）

3、用户私钥生成算法Extract(B,id)：输入主私钥B∈Z_q ^2N×2N和用户身份id，算法生成用户私钥SK_id∈R_q。

第1步：利用哈希函数H:{0,1}^*→Z_q ^N，计算用户身份id的散列值t∈Z_q ^N；

第2步：利用公式（13）计算多项式s₁和s₂，其中s₁和s₂满足s₁+s₂=t，s₂即为用户私钥SK_id；

(s₁,s₂)←(t,0)←Gaussian_Sampler(B,σ,（t,0）) (13)

4、加密算法Encrypt(id,m):输入用户身份id和明文m，加密算法生成密文组(u,v,c) ∈R_q ²。

第1步：利用公式（14）和（15），得到随机向量r、e₁、e₂和α。

r,e₁,e₂←{-1,0,1}^N（14）

α←{0,1}^N（15）

第2步：使用哈希H:{0,1}^*→Z_q ^N计算用户身份id的的散列值t∈Z_q ^N。

第3步：利用公式（16）计算向量u∈R_q，其中，主公钥h∈R_q。

u←r*h+e₁（16）

第4步：利用公式（17）计算向量向量v∈R_q。

（17）

第5步：利用公式（18）计算向量v，需要舍弃v的低位无效值。

（18）

第6步：输出密文组(u,v,m⊕H'(α))，其中哈希函数H':{0,1}^N→{0,1}^m。

5、解密算法Decrypt(SK_id, (u,v,c))：输入用户私钥SK_id和密文组(u,v,c)，生成明文m。

第1步：利用公式（19）计算向量w。

w←v←u*SK_id（19）

第2步：利用公式（20）计算向量α。

（20）

第3步：利用公式（21）明文m，其中哈希函数H':{0,1}^N→{0,1}^m：

m←c⊕H'(α)（21）

接着介绍密钥分发方案的具体做法，如图1所示：

步骤1：为保证用户和PKG之间通信的后量子安全性，用户生成对称加密算法SM4的密钥（记作k），根据格上基于身份的加密方案，使用加密算法Encrypt用PKG的身份标识加密k。由于用户已知PKG的身份标识，故不再需要验证PKG的身份。

步骤2：用户通过域名访问PKG，向PKG发送自己的身份标识（例如电子邮箱账号）和加密后的k，请求PKG生成并分发私钥。

步骤3：PKG根据格上基于身份的加密方案，使用解密算法Decrypt用自己的私钥解密被加密的k。

步骤4：为验证用户的身份标识，即用户是否是电子邮箱账号的真实持有者，PKG生成一个128比特的验证码，有效期可以设置，如5分钟、10分钟等，用k加密后将密文以电子邮件的形式发送至用户的电子邮箱（即用户的身份标识）。

步骤5：用户登录电子邮箱获取被加密的验证码，用k解密得到验证码，再将验证码发送回二级PKG。

步骤6：PKG将收到的验证码与生成的验证码作比对，若相同则通过对用户身份的验证，PKG生成用户的私钥，用k加密后发送给用户；若不同，PKG终止响应该用户的本次请求。

步骤7：用户用k解密后获取私钥，至此完成密钥的分发。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于后量子安全和身份标识的密钥分发方法，其特征在于，包括：

2.如权利要求1所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，

所述S1包括：用户设置对称密钥k，利用格上基于身份的加密方案和所述PKG身份标识对所述对称密钥k进行加密，得到所述第一密文信息；

所述S3包括：所述PKG利用格上基于身份的加密方案和所述PKG身份标识解密所述第一密文信息，得到所述对称密钥k。

3.如权利要求2所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述S1中用户设置对称密钥k包括：

所述用户生成对称加密算法SM4的密钥，记为所述对称密钥k。

4.如权利要求2所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述格上基于身份的加密方案包括：

主私钥生成算法Master_keygen（N,q）：输入公开参数N、q，所述主私钥生成算法生成主私钥B∈Z_q ^2N×2N和主公钥h∈R_q；用户私钥生成算法Extract(B,id)：输入所述主私钥B和用户身份id，所述用户私钥生成算法生成用户私钥SK_id∈R_q；

5.如权利要求4所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述主私钥生成算法Master_keygen（N,q）包括：

第1步：利用公式σ_f=(q/2N)^1/2计算高斯分布的标准差σ_f；

第2步：从元素满足高斯分布的采样器D(N,σ_f )中采样2个多项式F和G；

第3步：利用公式计算参数Norm；

第4步：如果Norm＞1.17q^1/2，返回到第2步，否则进入第5步；

第5步：利用扩展欧几里得算法，计算ρ_f,ρ_g∈R和R_f、R_g∈Z，满足-ρ_f▪ f = R_fmod（x^N+1）和-ρ_g▪ g= R_gmod（x^N+1）；

第6步：如果GCD（R_f，R_g）≠1或GCD（R_f，q）≠1，返回到第2步，否则进入第7步；

第7步：利用扩展欧几里得算法，计算u,v∈Z，且u,v满足u▪ R_f+ v▪ R_g＝1；

第8步：利用公式F←qvρ_g和G←-quρ_f分别计算多项式F和G；

第9步：利用公式计算参数u∈R；

第10步：利用公式F←F-u*f和G←G-u*g再次计算多项式F和G；

第11步：利用公式h=g*f^-1modq计算主公钥h；

第12步：利用公式计算主私钥B。

6.如权利要求4所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述用户私钥生成算法Extract(B,id)包括：

7.如权利要求4所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述加密算法Encrypt(id,m)包括：

第4步：利用公式计算向量v∈R_q；

第5步：利用公式计算向量v，需舍弃v的低位无效值；

第6步：输出密文组(u,v,m⊕H'(α))，哈希函数H':{0,1}^N→{0,1}^m。

8.如权利要求7所述的基于后量子安全和身份标识的密钥分发方法，其特征在于，所述解密算法Decrypt(SK_id,(u,v,c))包括：

第1步：利用公式w←v←u*SK_id计算向量w；

第2步：利用公式计算向量α；

9.一种基于后量子安全和身份标识的密钥分发系统，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。