CN116684068A - 一种高效的抗量子密钥交换方法和系统 - Google Patents

Abstract

本发明公开了一种高效的抗量子密钥交换方法和系统。本方法为：1)对于参与双方P_i、P_j，参与方P_i生成自己的公私钥对并将公钥b_i发送给对方P_j；参与方P_j生成自己的公私钥对并将公钥b_j发送给对方P_i；2)共享密钥加密数据阶段：对于参与双方中的任一参与方P_i，根据自己的私钥和公钥b_j，调用第一密钥导出函数生成数据加密密钥K_i和纠错码；然后使用K_i加密待传输业务报文m并将其与纠错码发送给另一参与方P_j；3)共享密钥解密数据阶段：对于参与双方中的任一参与方P_j，根据收到的纠错码、公钥b_i和自己的私钥s_j，调用第二密钥导出函数生成解密密钥K_i'解密得到报文m。

Description

一种高效的抗量子密钥交换方法和系统

技术领域

本发明属于密码领域，公开了一种基于RLWE的高效的抗量子密钥交换方法和系统，该方案通过将“依赖于对方的密钥交换信息”后移至数据加解密阶段进行处理，实现了密钥交换阶段的“非交互性”。

背景技术

基于公钥密码学的密钥交换技术是保证信息安全不可或缺的工具。密钥交换方案的思想是，参与密钥交换的双方各自生成私有元素和公开元素，并将公开元素发给对方；收到对方发送的公开元素后，将其与自己的私有元素结合计算，便能使双方计算出一致的共享密钥。并且经典的密钥交换算法DH，双方用于密钥交换的消息不具有先后顺序，任意一方不需要等待收到对方的消息，即可发送自己的消息，我们称这种性质为“非交互性”；非交互性在离线的端到端加密中具有重要的应用场景，如Signal协议中的X3DH协议。

随着对量子计算机的研究，量子算法(运行在量子计算机上的算法)逐渐被大家所认识。与经典算法不同，量子算法有着更强大的计算能力，一些在经典模型下非常困难的问题，在量子计算理论面前变得简单，后量子密码学应运而生。作为经典密码学中被广泛使用密钥交换算法DH，其基于的离散对数困难性假设在量子设定下不再成立，因此也亟需确定其后量子的替代算法。其中，基于格的密码学是目前最具前景的候选之一。而在基于格的后量子密码方案中，基于环上容错学习问题(RLWE)以及分块的环上容错学习问题(ModuleRLWE，或M-LWE)的方案，因其相对更小的密钥尺寸以及允许使用NTT变换加速计算的代数结构，成为备受关注的技术路线。

在NIST的算法征集中，Kyber(入选最终标准)和NewHope(在第二轮评估中被淘汰)分别包含基于M-LWE和RLWE问题的困难性假设而构造的密钥封装方案(KEM)。但通过KEM实现密钥交换，要求双方发送消息是有顺序的，即一方必须等待收到另一方发送的消息后才能发送自己的消息，不具有“非交互性”，从而无法满足一些离线场景的应用。本发明通过将依赖于对方的密钥交换信息，后移至使用导出共享密钥进行数据对称加解密的阶段进行处理，从而实现了密钥交换阶段的“非交互性”。

发明内容

本发明的目的在于构造一个高效的抗量子密钥交换方案，它的特征在于基于RLWE问题困难性，并且通过将“依赖于对方的密钥交换信息”后移至数据加解密阶段进行处理，实现了密钥交换阶段的“非交互性”。

符号定义。本发明基于格密码的RLWE问题，密钥、加密、解密等计算均定义在多项式环R_q＝Z_q[X]/<Xⁿ+1>上，其中Z_q[X]为系数大于小于/>的整系数多项式构成的环，R_q为Z_q[X]中的多项式再模多项式Xⁿ+1所构成的环。

本发明定义R_q中的维数n＝512，模数q＝257。

本发明采用的技术方案如下：

一种高效的抗量子密钥交换方法，其步骤包括：

1)对于参与双方P_i、P_j，参与方P_i生成自己的公私钥对s_i、b_i并将自己的公钥b_i发送给对方P_j；参与方P_j生成自己的公私钥对s_j、b_j并将自己的公钥b_j发送给对方P_i；

2)共享密钥加密数据阶段：对于参与双方中的任一参与方P_i，根据自己的私钥s_i和收到的公钥b_j，调用第一密钥导出函数Combine(·)，生成自己的数据加密密钥K_i和纠错码σ_i，即(K_i,σ_i)＝Combine(b_j,s_i)；然后使用K_i加密待传输业务报文m得到将发送给另一参与方P_j；

3)共享密钥解密数据阶段：对于参与双方中的任一参与方P_j，根据收到的纠错码σ_i、公钥b_i和自己的私钥s_j，调用第二密钥导出函数Combine’(·)，生成解密密钥K’_i＝Combine’(b_i,s_j,σ_i)，然后使用K’_i解密

进一步的，参与方P_i调用第一密钥导出函数Combine(·)生成自己的数据加密密钥K_i和纠错码σ_i的方法为：计算v_i＝b_j·s_i；从短向量分布χ’中采样生成e’，并计算v’_i＝v_i+e’；计算纠错码σ_i＝HelpRec(v’_i)，导出K_i＝Rec(v’_i,σ_i)，HelpRec(·)为纠错码生成函数。

进一步的，参与方P_j调用第二密钥导出函数Combine’(·)，生成解密密钥K’_i的方法为：首先计算v_j＝b_i·s_j，然后生成解密密钥K’_i＝Rec(v_j,σ_i)，Rec(·)为纠错函数；对于密钥交换过程中所选短向量分布χ的误差e^*，当v^*＝v+e^*时，对于纠错码生成函数计算出的纠错码σ＝HelpRec(v)，Rec(v^*,σ)≠Rec(v,σ)的概率是小于设定的失败率阈值。

进一步的，共享密钥加密数据阶段、共享密钥解密数据阶段的计算为多项式环R_q＝Z_q[X]/<Xⁿ+1>上的运算，其中Z_q[X]为系数大于小于/>的整系数多项式构成的环，所述多项式环R_q中模多项式次数n＝512、模数q＝257。

进一步的，对于参与双方P_i、P_j，每一参与方从中心二项分布ψ₁中，采样生成私钥s与误差e；然后对s与e执行NTT变换，得到与/>然后计算公钥 为按分量乘法；然后将/>序列化得到私钥sk，将/>序列化得到公钥pk；其中/>为公共参数。

进一步的，参与方P_i生成数据加密密钥K_i的方法为：

210)输入公钥pk_j和自己的私钥sk_i，或输入已经计算并存储的vi₀；vi₀为参与方P_j公钥和参与方P_i私钥的乘积；

220)当输入vi₀不为空值时，直接跳转至步骤250)；否则，按顺序执行步骤230)；

230)将输入的pk_j和sk_i分别解序列化得到和/>

240)计算

250)从中心二项分布ψ_η中采样生成e’，并计算vi₁＝vi₀+e’；

260)计算纠错码σ_i＝HelpRec(vi₁)；

270)导出共享密钥K_i＝Rec(vi₁,σ_i)。

进一步的，参与方P_j生成解密密钥K’_i的方法为：

310)输入对方的公钥pk_i和自己的私钥sk_j，或输入已经计算并存储的vj₀；输入对方同密文一并发来的σ_i；vj₀为参与方P_i公钥和参与方P_j私钥的乘积；

320)当输入vj₀不为空值时，直接跳转至步骤350)；否则，按顺序执行步骤330)；

330)将输入的pk_i和sk_j分别解序列化得到和/>

340)计算

350)导出共享密钥K’_i＝Rec(vj₀,σ_i)。

一种高效的抗量子密钥交换系统，其特征在于，包括密钥交换模块、数据加密模块和数据解密模块；

所述密钥交换模块，用于参与双方P_i生成自己的公私钥对并将自己的公钥发送给对方；其中，对于参与双方P_i、P_j，参与方P_i生成自己的公私钥对s_i、b_i并将自己的公钥b_i发送给对方P_j；参与方P_j生成自己的公私钥对s_j、b_j并将自己的公钥b_j发送给对方P_i；

所述数据加密模块，用于对于参与双方中的任一参与方P_i，根据自己的私钥s_i和收到的公钥b_j，调用第一密钥导出函数Combine(·)，生成自己的数据加密密钥K_i和纠错码σ_i，即(K_i,σ_i)＝Combine(b_j,s_i)；然后使用K_i加密待传输业务报文m得到将发送给另一参与方P_j；

所述数据解密模块，用于对于参与双方中的任一参与方P_j，根据收到的纠错码σ_i、公钥b_i和自己的私钥s_j，调用第二密钥导出函数Combine’(·)，生成解密密钥K’_i＝Combine’(b_i,s_j,σ_i)，然后使用K’_i解密

一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行上述方法中各步骤的指令。

一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述方法的步骤。

本发明分为三个阶段：

密钥交换初始化阶段，使用共享密钥加密数据阶段，使用共享密钥解密数据阶段。

其中，密钥交换初始化阶段的步骤如下：

假设参与双方为P₁和P₂，并有公共参数a∈R_q，参与方P_i(i＝1或2)各自执行以下操作，

(1)从短向量分布χ中采样生成私钥s_i，从短向量分布χ’中，采样生成误差e_i；

(2)计算b_i＝a·s_i+e_i，其中乘法与加法均为在环上的多项式乘法与加法，下文同；

(3)将b_i发送给另一方P_j。

应当注意，上述阶段对于参与方中的任意一方是相同的，并且计算过程不依赖任何另一方的隐私数据，因此具有“非交互性”。

接着，使用共享密钥加密数据阶段，该阶段调用第一密钥导出函数Combine(·)，其步骤如下(对于参与方P_i)：

此时参与方P_i拥有自己的s_i和另一方的b_j，从而P_i能够执行以下操作，

(1)使用第一密钥导出函数，生成(K_i,σ_i)＝Combine(b_j,s_i)；

(2)使用K_i加密待传输业务报文m，得到

(3)将发送给P_j。

其中，第一密钥导出函数Combine(b_j,s_i)是两输入、两输出的函数，会调用纠错码生成函数HelpRec(·)以及纠错函数Rec(·)，执行如下步骤：

(1)计算v_i＝b_j·s_i；

(2)从短向量分布χ’中采样生成e’，并计算v’_i＝v_i+e’；

(3)计算纠错码σ_i＝HelpRec(v’_i)；

(4)导出K_i＝Rec(v’_i,σ_i)作为加密数据的对称密钥；

(5)输出密钥、纠错码对(K_i,σ_i)。

最后，使用共享密钥解密数据阶段，该阶段调用第二密钥导出函数Combine’(·)，其步骤如下(对参与方P_j)：

此时参与方P_j拥有另一方的σ_i，并且：或者拥有自己的s_j和另一方的b_i。从而P_j能够执行以下操作，

(1)使用第二密钥导出函数，生成K’_i＝Combine’(b_i,s_j,σ_i)；

(2)使用K’_i解密

其中，第二密钥导出函数Combine’(b_i,s_j,σ_i)是三输入、一输出的函数，会调用纠错函数Rec(·)，执行如下步骤：

(1)计算v_j＝b_i·s_j；

(2)输出密钥K’_i＝Rec(v_j,σ_i)。

注意，第一密钥导出函数和第二密钥导出函数，均存在缓存v_i或v_j(即多加一个输出项)，并且允许v_i或v_j代替输入(b,s)对的变体(即当输入v_i或v_j而非(b,s)时，执行Combine(b_j,s_i)或Combine’(b_i,s_j,σ_i)时直接跳过步骤(1))。

上述流程中，纠错码生成函数HelpRec(·)以及纠错函数Rec(·)在此不做指定，可采用公知的实现，实现的目标功能为：且对于所选短向量分布χ在密钥交换过程中引入的误差e^*，对于环R_q中任意元素v以及纠错码生成函数计算出的σ＝HelpRec(v)，纠错函数的输出结果Rec(v+e^*,σ)≠Rec(v,σ)的概率是小于所设定失败率阈值的。

应当注意，两个参与方P₁和P₂的地位是平等的，数据加密过程与数据解密过程没有谁先谁后的顺序，即任意一方都可以在未收到对方消息时，就执行数据加密发送。即双方各自的数据加密可以“并发执行”，而无需等待对方的消息到达后再进行计算。

并且注意，本方法共享的密钥有两个，参与方P₁和P₂各自的数据加密密钥K₁和K₂，且二者均有一定概率出现共享错误，即K’_i≠K_i(i＝1或2)，从而出现对称加密数据解密失败的情况。但只要辅以适当的约定，这种情形并不影响满足安全性要求和功能需求。具体而言：

1)密钥交换中的公私钥(s_i,b_i)只作为一次性密钥元素使用，完成第二阶段后即刻销毁(s_i,b_i)，只保留计算出的v_i；

2)可在具体握手协议中约定第一条加密报文m为定值，从而确认共享密钥的一致性；

3)假如共享密钥K_i的一致性确认失败，则抛弃失败的共享密钥K_i，重新回到第一阶段。

由于上述方案中的公私钥对只是一次性的，用完即弃，因此CPA安全性即可满足要求；并且经过一致性确认，即便解密错误即共享失败的概率相比于CCA的KEM较大，但仍可充分满足功能性需求。

本发明的运算模块包括：

取模运算模块。用于提供环上乘法运算中模q的运算功能。可以采用Montgomery算法等通用性算法实现，也可采用针对模数q＝257实现定制化的取模运算。

多项式乘法加速运算模块。为环上的多项式乘法提供高性能运算功能，包括NTT变换与逆变换，Karatsuba加速的多项式卷积乘法。对于环上的两个多项式相乘，采用先分别做NTT变换，再按分量做Karatsuba乘法(记为)，对所得乘积结果的向量做NTT逆变换，即可高效地得到这两个多项式在环上的乘积。

伪随机数生成器模块。实现伪随机数生成功能，用于提供密码运算中的随机参数或密钥。

序列化与解序列化模块。用于实现密码运算元素与计算机存储数据之间的转换。

对称运算模块。使用对称密码算法，利用导出的共享密钥对数据进行加解密。

密钥交换初始化模块。用于生成用于密钥共享的公私钥元素(s_i,b_i)，期间会调用伪随机数生成器模块用于生成随机参数以及进行短向量分布的采样，并且会调用取模运算以及多项式乘法加速运算模块进行公私钥元素生成计算，最后会调用序列化模块对生成的密钥对进行序列化。

共享密钥导出模块。提供两种功能：1)输入对方的公钥元素b_j和自己的私钥元素s_i，输出其乘积v_i，共享密钥K_i和纠错码σ_i；2)输入自己的v_i和对方的纠错码σ_j，输出共享密钥K’_j。期间会调用解序列化模块对公钥解序列化，并且会调用取模运算以及多项式乘法加速运算模块进行相关的运算。

应当注意，本系统共享的密钥有两个，参与方P₁和P₂各自的数据加密密钥K₁和K₂，并且二者均有一定概率出现共享错误，即K’_i≠K_i(i＝1或2)，从而出现对称加密数据解密失败的情况。但只要辅以适当的约定，这种情形并不影响满足安全性要求和功能需求。同前文所述，不再赘述。

附图说明

图1是本发明实施例提供的密钥交换初始化模块的流程图。

图2是本发明实施例提供的加密时密钥导出模块的流程图。

图3是本发明实施例提供的解密时密钥导出模块的流程图。

图4是本发明方法中第一第二密钥导出算法的核心逻辑伪代码图。

图5是本发明实施例提供的密钥交换+数据加解密方法的交互流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步详细说明。

图1、图2、图3是本发明实施例提供的密钥交换初始化模块，以及加、解密时密钥导出模块的流程图。

所述实施例中，私钥和误差采样的短向量分布，均使用参数k＝1的中心二项分布ψ₁＝b-b’，其中b与b’为{0,1}中的均匀采样值，即χ＝χ’＝ψ₁。

所述实施例对环上的多项式乘法，采用NTT与Karatsuba乘法相结合的方式进行加速。具体而言，对于模数q＝257，已知系数域Z_q包含模q的256次本原单位根即满足ζ²⁵⁶≡1(mod q)且/>ζ^d≠1(mod q)，满足该条件的不同取值的本原单位根共计有/>个，并且对任意选定的其中一个ζ，全部256次本原单位根可表示为{ζ,ζ³,ζ⁵,…,ζ²⁵⁵}，其中ζ的指数与256互素，即取遍所有小于256的正奇数。

所述实施例取ζ为模q的第一个256次本原单位根ζ＝3，则环R_q所模多项式X⁵¹²+1在Z_q[X]中可因式分解为：

其中br₇(i),i＝0,…,127表示7bit正整数i的比特逆序。抽象代数中的中国剩余定理表明，对f＝f₀+f₁X+…+f₅₁₁X⁵¹¹∈R_q，可通过NTT变换同构于模各因子多项式的子环上多项式组成的向量，且变换结果的乘法为其按分量乘法，加法为其按分量加法：

其中，

记R_q中的元素经上述变换得到的所有多项式向量组成的环为为多项式环R_q经过NTT变换的结果环；对任意/>定义按分量乘法/> 其中每个分量fⁱgⁱ分别为在对应子环上的多项式乘法，采用Karatsuba乘法进行加速运算。在下文中，将上述/>的同构变换记为/>并记其逆变换为/>并且对于任意f,g∈R_q，等式/>两边计算R_q中f,g乘积的结果是一致的。

图1是本发明实施例提供的密钥生成模块。

所述实施例中，为了避免多项式乘法运算时重复计算NTT变换，密钥以NTT变换后的形式进行存储与发布。

所述实施例中，密钥交换初始化模块步骤为：

110)从中心二项分布ψ₁中，采样生成私钥s与误差e，并对s与e执行NTT变换，得到与/>

120)计算公钥其中/>为密钥交换的公共参数(算法开始前指定)；

130)将私钥序列化并记为公钥序列化并记为/>

140)输出(pk,sk)。

图2是本发明实施例提供的加密时密钥导出模块。

所述实施例中，以参与方P_i为例，描述步骤如下：

210)输入对方的公钥pk_j和自己的私钥sk_i，或输入已经计算并存储的对方的公钥和自己的私钥的乘积vi₀；

220)当输入vi₀不为空值时，直接跳转至步骤250)；否则，按顺序执行下一步，以pk_j和sk_i作为输入计算；

230)将输入的pk_j和sk_i分别解序列化得到和/>

240)计算

250)从中心二项分布ψ_η中采样生成e’，并计算vi₁＝vi₀+e’；

260)计算纠错码σ_i＝HelpRec(vi₁)；

270)导出共享密钥K_i＝Rec(vi₁,σ_i)；

280)序列化并输出(vi₀,σ_i,K_i)，其中vi₀和K_i本地留存，K_i用作对称密钥，作为参与方P_i的加密密钥，加密发送给参与方P_j的数据；σ_i在第一次使用K_i加密数据发送给P_j时，与密文一并发送。至于vi₀，若P_i的解密密钥已经导出(解密来自P_j的消息所用)，即可删去不再保留。其中步骤230-270，即为对(K_i,σ_i)←Combine(b_j,s_i)的展开。

图3是本发明实施例提供的解密时密钥导出模块。

所述实施例中，以参与方P_j为例，描述步骤如下：

310)输入对方的公钥pk_i和自己的私钥sk_j，或输入已经计算并存储的vj₀，同时输入对方同密文一并发来的σ_i；

320)当输入vj₀不为空值时，直接跳转至步骤350)；否则，按顺序执行下一步，以pk_i和sk_j作为输入计算vj₀；

330)将输入的pk_i和sk_j分别解序列化得到和/>

340)计算

350)导出共享密钥K’_i＝Rec(vj₀,σ_i)；

360)序列化并输出(vj₀,K’_i)，二者均本地留存，其中K’_i用作对称密钥，作为参与方P_j的解密密钥，解密来自参与方P_i的数据；至于vj₀，若P_j的加密密钥已经导出(向P_i发送消息所用)，即可删去不再保留。其中步骤330-350，即为对K’_i←Combine’(b_i,s_j,σ_i)的展开。

为便于解释说明仅以参与方P_i的加密阶段和参与方P_j的解密阶段为例，反方向即P_j的加密阶段与P_i的解密阶段和上述过程类似，只是步骤中的相应下标i,j做了对称的替换，不再赘述。

图4是本发明方法中第一第二密钥导出算法的核心逻辑伪代码图。用于直观替代图5中的步骤流程，其步骤在前文方法部分已经叙述过，因此不做赘述。

图5是本发明实施例提供的密钥交换+数据加解密方法的交互流程图。

图5完整展示了本发明的应用流程。可以看到，两个参与方P₁和P₂的地位是平等的，数据加密过程与数据解密过程没有谁先谁后的顺序，即任意一方都可以在未收到对方消息时，就执行数据加密发送。即双方各自的数据加密可以并发执行，而无需等待对方的消息到达后再进行计算。

本发明通过适当的调整，可以应用在使用临时生成的密钥对在离线场景下实现密钥共享的场景或协议步骤中，例如，Signal协议等。

本发明的另一实施例提供一种高效的抗量子密钥交换方法，其包括密钥交换初始化阶段，使用共享密钥加密数据阶段，使用共享密钥解密数据阶段。其中各阶段的具体实施过程参见前文对本发明方法的描述。

本发明的另一实施例提供一种计算机设备(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

以上公开的本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的普通技术人员可以理解，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容，本发明的保护范围以权利要求书界定的范围为准。

Claims (10)

1.一种高效的抗量子密钥交换方法，其步骤包括：

1)对于参与双方P_i、P_j，参与方P_i生成自己的公私钥对s_i、b_i并将自己的公钥b_i发送给对方P_j；参与方P_j生成自己的公私钥对s_j、b_j并将自己的公钥b_j发送给对方P_i；

2)共享密钥加密数据阶段：对于参与双方中的任一参与方P_i，根据自己的私钥s_i和收到的公钥b_j，调用第一密钥导出函数Combine(·)，生成自己的数据加密密钥K_i和纠错码σ_i，即(K_i,σ_i)＝Combine(b_j,s_i)；然后使用K_i加密待传输业务报文m得到将发送给另一参与方P_j；

3)共享密钥解密数据阶段：对于参与双方中的任一参与方P_j，根据收到的纠错码σ_i、公钥b_i和自己的私钥s_j，调用第二密钥导出函数Combine'(·)，生成解密密钥K′_i＝Combine'(b_i,s_j,σ_i)，然后使用K_i′解密

2.根据权利要求1所述的方法，其特征在于，参与方P_i调用第一密钥导出函数Combine(·)生成自己的数据加密密钥K_i和纠错码σ_i的方法为：计算v_i＝b_j·s_i；从短向量分布χ'中采样生成e'，并计算v′_i＝v_i+e′；计算纠错码σ_i＝HelpRec(v′_i)，导出K_i＝Rec(v′_i,σ_i)，HelpRec(·)为纠错码生成函数。

3.根据权利要求2所述的方法，其特征在于，参与方P_j调用第二密钥导出函数Combine'(·)，生成解密密钥K_i'的方法为：首先计算v_j＝b_i·s_j，然后生成解密密钥K_i'＝Rec(v_j,σ_i)，Rec(·)为纠错函数；对于密钥交换过程中所选短向量分布χ的误差e^*，当v^*＝v+e^*时，对于纠错码生成函数计算出的纠错码σ＝HelpRec(v)，Rec(v^*,σ)≠Rec(v,σ)的概率是小于设定的失败率阈值。

4.根据权利要求2所述的方法，其特征在于，共享密钥加密数据阶段、共享密钥解密数据阶段的计算为多项式环R_q＝Z_q[X]/<Xⁿ+1>上的运算，其中Z_q[X]为系数大于小于/>的整系数多项式构成的环，所述多项式环R_q中模多项式次数n＝512、模数q＝257。

5.根据权利要求1所述的方法，其特征在于，对于参与双方P_i、P_j，每一参与方从中心二项分布ψ₁中，采样生成私钥s与误差e；然后对s与e执行NTT变换，得到与然后计算公钥/> 为按分量乘法；然后将/>序列化得到私钥sk，将/>序列化得到公钥pk；其中/>为公共参数。

6.根据权利要求5所述的方法，其特征在于，参与方P_i生成数据加密密钥K_i的方法为：

210)输入公钥pk_j和自己的私钥sk_i，或输入已经计算并存储的vi₀；vi₀为参与方P_j公钥和参与方P_i私钥的乘积；

220)当输入vi₀不为空值时，直接跳转至步骤250)；否则，按顺序执行步骤230)；

230)将输入的pk_j和sk_i分别解序列化得到和/>

240)计算

250)从中心二项分布ψ_η中采样生成e'，并计算vi₁＝vi₀+e'；

260)计算纠错码σ_i＝HelpRec(vi₁)；

270)导出共享密钥K_i＝Rec(vi₁,σ_i)。

7.根据权利要求6所述的方法，其特征在于，参与方P_j生成解密密钥K_i'的方法为：

310)输入对方的公钥pk_i和自己的私钥sk_j，或输入已经计算并存储的vj₀；输入对方同密文一并发来的σ_i；vj₀为参与方P_i公钥和参与方P_j私钥的乘积；

320)当输入vj₀不为空值时，直接跳转至步骤350)；否则，按顺序执行步骤330)；

330)将输入的pk_i和sk_j分别解序列化得到和/>

340)计算

350)导出共享密钥K′_i＝Rec(vj₀,σ_i)。

8.一种高效的抗量子密钥交换系统，其特征在于，包括密钥交换模块、数据加密模块和数据解密模块；

所述密钥交换模块，用于参与双方P_i生成自己的公私钥对并将自己的公钥发送给对方；其中，对于参与双方P_i、P_j，参与方P_i生成自己的公私钥对s_i、b_i并将自己的公钥b_i发送给对方P_j；参与方P_j生成自己的公私钥对s_j、b_j并将自己的公钥b_j发送给对方P_i；

所述数据加密模块，用于对于参与双方中的任一参与方P_i，根据自己的私钥s_i和收到的公钥b_j，调用第一密钥导出函数Combine(·)，生成自己的数据加密密钥K_i和纠错码σ_i，即(K_i,σ_i)＝Combine(b_j,s_i)；然后使用K_i加密待传输业务报文m得到将发送给另一参与方P_j；

所述数据解密模块，用于对于参与双方中的任一参与方P_j，根据收到的纠错码σ_i、公钥b_i和自己的私钥s_j，调用第二密钥导出函数Combine'(·)，生成解密密钥K′_i＝Combine'(b_i,s_j,σ_i)，然后使用K_i′解密

9.一种服务器，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1至7任一所述方法中各步骤的指令。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一所述方法的步骤。