一种抗量子密钥协商方法技术

本发明专利技术公开了一种抗量子密钥协商方法。通信方Alice选取一n行l列的矩阵S，计算

An anti quantum key agreement method

The invention discloses an anti quantum key agreement method. The communication side Alice selects a matrix S of a n row l column, and calculates

【技术实现步骤摘要】
一种抗量子密钥协商方法
本专利技术属于计算机技术与信息安全
，涉及一种抗量子的密钥协商方法，其中包括两个基本的协商方法和建议参数。可以证明，本专利技术在标准模型下是安全的，可以抵抗现有的量子攻击，并且运行效率高，实用性强。
技术介绍
密钥协商方法是指允许通信两方或者多方在一个不安全的环境中以某种方式协商出一个密钥，来保证后面通信内容的机密性和数据完整性，比较著名的密钥交换协议有Diffie-Hellman密钥交换协议。这种协议有广泛的用途，最为熟知的就是被作为加密套接字用在TLS协议中。TLS协议是安全传输层(TransportLayerSecurity)协议的简称，是目前全球使用最广泛的网络安全通讯协议。TLS协议包括握手协议和记录层协议，本专利技术的密钥协商方法是用在握手协议中来产生预主密钥，进而通过密钥导出函数生成主密钥。随着对量子计算机研究，量子算法(运行在量子计算机上的算法)逐渐被大家所认识。与经典算法不同，量子算法有着更强大的计算能力，一些在经典计算理论下非常困难的问题(如大整数分解问题、离散对数问题)，在量子计算理论前变得简单，比较著名量子算法有Shor量子分解算法和Gorver量子搜索算法。传统的基于数论问题(大整数分解问题、离散对数问题等)的密码系统，可以被拥有量子计算能力的敌手在多项式时间内攻破。在密钥协商中，如果敌手将今天通信传输的密文数据存储起来，那么在未来的某一天，他将可能通过量子计算机恢复出通信的内容，因此抗量子密钥协商方法是面向未来量子信息时代的迫切安全需求。格密码是目前国际学术界公认的可以抵抗现有量子攻击的密码技术之一。作为一种特殊的代数结构，格有许多良好的密码学性质，格上的困难问题至今一直没有有效的算法和多项式时间的量子攻击，因此基于格的密码系统被认为是最佳的抗量子密码候选方案。
技术实现思路
本专利技术的目的在于实现一种实用的抗量子精确密钥协商方法，本专利技术基于的问题是秘密消息为稀疏向量或二进制向量的LWR(取整学习)问题或者ring-LWR(环上的取整学习)问题，此外本专利技术还给出建议参数并将本专利技术集成到TLS中。具体的说，本专利技术包括以下三个重要的方面：一、基于LWR问题的抗量子密钥协商方法本专利技术的安全性基于秘密消息为稀疏向量的LWR困难问题。二、基于ring-LWR问题的抗量子密钥协商方法本专利技术的安全性基于秘密消息为稀疏向量或二进制向量的ring-LWR困难问题。三、rec函数的高效快速计算在上述方法中，需要用到rec函数来得到最终的协商密钥，为了提高协商效率，本专利技术给出了一种高效计算rec函数的算法。四、将本专利技术集成到TLS协议中图3是TLS协议的消息流简图(BOS,J.W.,COSTELLO,C.,NAEHRIG,M.,ANDSTEBILA,D.Post-quantumkeyexchangefortheTLSprotocolfromtheringlearningwitherrorsproblem.In2015IEEESymposiumonSecurityandPrivacy(2015),pp.553–570.)，图中ServerKeyExchange，ClientKeyExchange和两个computekeys操作被标出，是为了说明本专利技术(图1和图2)发生在TLS握手过程中的哪个环节。图3中computekeys操作包括产生预主密钥，对应于(图1和图2中协商的km)，产生主密钥和加密密钥，其中主密钥由预主密钥导出，加密密钥由主密钥导出。本专利技术的技术方案为：一种抗量子密钥协商方法，其特征在于，包括如下步骤：1)通信方Alice选取一个n行l列的矩阵S，计算消息然后将消息F发给通信方Bob；其中，矩阵A为通信两方Alice、Bob共用的LWR公共矩阵，矩阵A为一n行n列的矩阵，矩阵A中的元素属于Zq，Zq为区间的整数集合；2)通信方Bob收到消息F后，选取一个l行n列的矩阵S′和一个n行l列的矩阵Y，计算然后通信方Bob选取一个n行l列的矩阵D′，计算和密钥然后通信方Bob把B’和C发给通信方Alice；其中，矩阵W′为一l行l列的矩阵，矩阵B′为一l行n列的矩阵，矩阵W′、B′的元素均属于Zp，Zp为区间的整数集合；3)通信方Alice根据收到的B’和C计算得到和密钥km＝rec(D,C)，矩阵D为一l行l列的矩阵，矩阵D中的元素属于Zq；其中，函数rec(D,C)的输出为一个行列与D和C相同的矩阵，该矩阵中的第i行第j列元素由矩阵D和C对应位置的元素得到，即该矩阵中的第i行第j列元素值是一个数的协商舍入函数值，要求这个数距离矩阵D中对应位置的元素最近，并且这个数的协商交叉舍入函数值等于矩阵C中对应位置的元素；为协商交叉舍入函数，即为协商舍入函数，即为下取整函数，为下舍入函数，q>p，B<log2q-1。进一步的，通信方Alice随机均匀地从矩阵集合中选取一n行l列的矩阵S；其中，中每一矩阵的每一列都属于表示n维向量的集合，中每个向量有n-h个0分量和h个非0分量，每一非0分量取自{±1}；通信方Bob随机均匀地从从矩阵集合中选取一n行l列的矩阵对矩阵进行转置，得到所述矩阵S′；从集合中随机均匀选取所述矩阵Y。进一步的，h，q，p，t，B，均为正整数。进一步的，求解所述函数rec(D,C)的方法如下：先建立协商舍入函数和协商交叉舍入函数的对应表，即把Zq中的数按协商舍入函数值分成2B×2份，其中w∈Zq，然后再把Zq中的数按协商交叉舍入函数值分成2B×2份，其中w∈Zq，将这2B×2个协商交叉舍入函数值分别与上述的2B×2个协商舍入函数值一一对应，其中每对相同的协商舍入函数值分别对应两个不同的协商交叉舍入函数值；建立好对应表后，对于w∈D，先求出w的协商交叉舍入函数值并确定该值在该对应表中的位置，如果等于C中对应位置的元素，输出对应表中对应的的协商舍入函数值；如果不等于C中对应位置的元素，则依次判断附近的数是否等于C中对应位置的元素，直到出现等于C中对应位置的元素，则返回对应表中对应的的协商舍入函数值，其中i取自{1，2，…，}，+i和-i分别代表对应表中第后i位和第前i位的值。进一步的，通信方Alice通过伪随机发生器Gen由一种子seedA产生所述矩阵A，然后将该种子seedA发送给通信方Bob；Bob通过伪随机发生器Gen和该种子seedA产生所述矩阵A；其中，伪随机发生器Gen为通信方Alice与通信方Bob预先协商好的。一种抗量子密钥协商方法，其特征在于，包括如下步骤：1)通信方Alice选取一个n维向量s，计算消息其中，a是ring-LWR公共环元素，a为n维向量，然后将消息b发给通信方Bob；2)通信方Bob收到该消息b后，选取一个n维的向量s′和一个环元素y，计算然后通信方Bob选取一个环元素d′，计算c＝<dbl(d′)>2,q和密钥km′＝[dbl(d′)′]2,q；通信方Bob将b′和c发给通信方Alice；其中，y为n维向量，d′为n维向量，向量s′中的分量取值为0或±1，向量s中的分量取值为0或±1；3)通信方Alice根据收到的b’和c计算得到和密钥km＝rec(dbl(d),c本文档来自技高网...

【技术保护点】
1.一种抗量子密钥协商方法，其特征在于，包括如下步骤：1)通信方Alice选取一个n行l列的矩阵S，计算消息

【技术特征摘要】
2017.11.21 CN 20171116305921.一种抗量子密钥协商方法，其特征在于，包括如下步骤：1)通信方Alice选取一个n行l列的矩阵S，计算消息然后将消息F发给通信方Bob；其中，矩阵A为通信两方Alice、Bob共用的LWR公共矩阵，矩阵A为一n行n列的矩阵，矩阵A中的元素属于Zq，Zq为区间的整数集合；2)通信方Bob收到消息F后，选取一个l行n列的矩阵S′和一个n行l列的矩阵Y，计算然后通信方Bob选取一个n行l列的矩阵D′，计算和密钥然后通信方Bob把B’和C发给通信方Alice；其中，矩阵W′为一l行l列的矩阵，矩阵B′为一l行n列的矩阵，矩阵W′、B′的元素均属于Zp，Zp为区间的整数集合；3)通信方Alice根据收到的B’和C计算得到S和密钥km＝rec(D，C)，矩阵D为一l行l列的矩阵，矩阵D中的元素属于Zq；其中，函数rec(D，C)的输出为一个行列与D和C相同的矩阵，该矩阵中的第i行第j列元素由矩阵D和C对应位置的元素得到，即该矩阵中的第i行第j列元素值是一个数的协商舍入函数值，要求这个数距离矩阵D中对应位置的元素最近，并且这个数的协商交叉舍入函数值等于矩阵C中对应位置的元素；为协商交叉舍入函数，即为协商舍入函数，即为下取整函数，为下舍入函数，q＞p，B＜log2q-1。2.如权利要求1所述的方法，其特征在于，通信方Alice随机均匀地从矩阵集合中选取一n行l列的矩阵S；其中，中每一矩阵的每一列都属于表示n维向量的集合，中每个向量有n-h个0分量和h个非0分量，每一非0分量取自{±1}；通信方Bob随机均匀地从从矩阵集合中选取一n行l列的矩阵对矩阵进行转置，得到所述矩阵S′；从集合中随机均匀选取所述矩阵Y。3.如权利要求1所述的方法，其特征在于，h，q，p，t，B，均为正整数。4.如权利要求1或2或3所述的方法，其特征在于，求解所述函数rec(D，C)的方法如下：先建立协商舍入函数和协商交叉舍入函数的对应表，即把Zq中的数按协商舍入函数值分成2B×2份，其中w∈Zq，然后再把Zq中的数按协商交叉舍入函数值分成2B×2份，其中w∈Zq，将这2B×2个协商交叉舍入函数值分别与上述的2B×2个协商舍入函数值一一对应，其中每对相同的协商舍入函数值分别对应两个不同的协商交叉舍入函数值；建立好对应表后，对于w∈D，先求出w的协商交叉舍入函数值并确定该值在该对应表中的位置，如果等于C中对应位置的元素，输出对应表中对应的的协商舍入函数值；如果不等于C中对应位置的元素，则依次判断附近的数是否等于C中对应位置的元素，直到出现等于C中对应位置的元素，则返回对应表中对应的的协商舍入函数值，其中i取自{1，2，...，}，+i和-i分别代表对应表中第后i位和第前i位的值。5.如权利要求1或2或3所述的方法，其特征在于，通信方Alice通过伪随机发生器Gen由一种子seedA产生所述矩阵A，然后将该种子seedA发送给通信方Bob；Bob通过伪随机发生器Gen和该种子seeda产生所述矩阵A；其中，伪随机发生器Gen为通信方Alice与通信方Bob预先协商好的。6.一种抗量子密钥协商方法，其特征在于，包括如下步骤：...

【专利技术属性】
技术研发人员：张振峰，陈隆，王克，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11