本发明专利技术公开了一种基于模上错误学习的后量子口令认证密钥交换方法,其步骤包括:1)客户端C发起与服务器S的密钥交换时,客户端C计算得到将发送给S;2)S计算得到使用Con(σ
【技术实现步骤摘要】
一种基于模上错误学习的后量子口令认证密钥交换方法
[0001]本专利技术属于网络安全
,涉及一种口令认证密钥交换方案,特别是涉及一种基于模上错误学习的后量子口令认证密钥交换方法。
技术介绍
[0002]在不安全的信道上,通信双方遵从某种约定协商出共同密钥的过程称为密钥交换。然而,密钥交换协议自身无法对通信双方身份进行鉴别,因此无法避免中间人攻击带来的威胁。在实践中,通常将身份认证与密钥交换方案相结合。目前常用的认证手段有两种:其一,基于公钥基础设施(PKI)实现认证;其二,基于用户友好的口令实现认证。相比于PKI,采用口令进行认证无需可信第三方的介入、避免额外的存储设备,在密钥管理上更为便捷与灵活。特别是,越来越多的用户通过手持设备来远程访问个人隐私数据,使得口令认证密钥交换协议具有更加广阔的应用前景。
[0003]口令认证密钥交换协议的构建模型有两种:基于CRS模型和基于ROM模型。基于CRS模型的方案为实现标准模型的安全性,常采用复杂的哈希证明系统,且其组件的构造与计算通常复杂且低效,实用性不强;基于ROM模型构建的方案则较为简洁和高效,通过合理的参数选取,能够实现安全且高效的协议构建。
[0004]基于传统数论难题(大数分解问题和计算离散对数问题)构建的密钥交换协议,由于在量子算法下存在多项式时间的求解算法,其在量子时代将不再适用。目前,量子计算的发展正如火如荼,76个光量子比特的量子计算原型机“九章”已成功构建,因此,量子计算机由理论发展转向实际应用的时代将不再久远。当下,研制出能够抵抗量子计算机攻击的后量子密码学标准成为当前国际密码学研究的热切关注方向。现下,主要有五种较为流行的后量子密码算法,分别为基于编码的密码、多变量密码、基于散列的密码、格密码和同源密码。对于这五种算法而言,基于编码的密码主要用于构造加密方案;多变量密码与基于散列的密码主要用于构建数字签名方案;同源密码是最为新颖的一种,但就其目前的发展形势看,其计算效率相对低下,在发展前景上并不占优势;而由于传统的密码学概念多数都能够在格密码中实现,因此其为最通用的一类密码。格密码之所以具有通用性,是因为其存在几大优势。一,根据现有的理论发展,在量子计算条件下,多种基于格的困难问题还未发现多项式时间的求解算法,这是其能够抵御量子攻击的前提;二,格上密码算法的安全性可以归约到格上困难问题最坏情形下的困难性,因此基于格设计的密码体制具有较高的安全性;三,格上密码的计算仅仅需要向量的加法和乘法以及高斯取样等,运算速率高。
[0005]与原始的格上困难问题相比较,错误学习问题(LWE)及其变形问题(Ring
‑
LWE,Module
‑
LWE)在构建密钥交换方案时更方便。Regev在2005年提出了LWE问题,判定型LWE问题的困难性取决于敌手对随机均匀取样以及LWE取样的不可区分性。但是,使用LWE问题构建协议时,由于涉及到大矩阵的计算与传输,往往致使方案的通信成本太高、运行效率太低,实用性较差。为了解决
错误学习问题构建密码方案的实用性障碍,2010年,Lyubashevsky,Peikert和Regev三人提出了环上错误学习(Ring
‑
LWE)问题,将代数环结构引入错误学习问题,使得通信成本大大降低、性能显著提升。判定型Ring
‑
LWE问题的困难性取决于环上随机均匀取样(a,u)∈R
q
×
R
q
及错误学习取样(a,as+e)∈R
q
×
R
q
的不可区分性。尽管代数结构的引入使密码系统的运行效率得到了明显的提升,但是简单的代数结构同时也引起了对其弱安全性的担忧。2015年,Langlois和Stele对理想格和一般格进行了推广,提出了模上错误学习问题(Module
‑
LWE)。模(Module)是环和向量空间的一般化,判定型Module
‑
LWE问题的困难性则取决于敌手对模上随机均匀取样及错误学习取样的不可区分性。在实际的应用中,相较于LWE和Ring
‑
LWE问题,利用Module
‑
LWE来构建密钥交换方案则更加灵活,只需要改变环向量的维度d便可实现安全性与性能的平衡,因此方案具有可复用性及可扩展性。
[0006]据前所述,格上的错误学习问题引入了错误项,增加了敌手区分错误取样与随机均匀取样难度的同时,也使得密钥交换的双方只能够得到近似值,如服务器S通过计算得到而客户端C通过计算只能得到因此,为了使双方准确的恢复出相同的协商密钥sk,协议构建时需要着重考虑错误协调机制的合理性。目前较为流行的错误协调机制有丁氏错误协调、Peikert错误协调、格解码以及OKCN/AKCN。丁氏错误协调与Peikert错误协调机制采用的是每个系数协调一个比特,其误差为8/q。由于可允许误差范围太小,因此在参数选择中会导致模数过大,造成协议性能损失。对于格解码而言,其采用了四个系数来协调一个比特的方式,提高可允许误差为但是,其只适用于多项式维度为1024的Ring
‑
LWE,并不适用于采用小维度(n=256)多项式环的Module
‑
LWE问题。OKCN/AKCN算法是丁氏错误协调机制与Peikert错误协调机制的一般化,但提供了高效性边界,使得灵活权衡各参数间的取值并得到更大的容错边界成为可能。实际应用中,OKCN比AKCN具有更优的性能,主要体现在更低的错误率与带宽以及对DH型协议的适用性。
[0007]综上所述,对构造后量子的口令认证密钥交换协议而言,现有技术中存在如下几点不足:其一,基于格的口令认证密钥交换协议较少,且大多是基于CRS模式设计,运行效率低下,因此被认为只能限制于理论实现,无法应用于现实世界的部署;其二,现存的方案在参数选择、后量子安全性分析及正确性分析上都不够严谨,造成方案的性能及安全性强度都不满足实际应用需求;其三,方案的可复用性及可扩展性不强,现存的方案只能针对一种安全性需求适用,若要实现多种安全性需求,需要重新进行参数选取与分析,导致方案的可扩展性及代码的可复性不强。
技术实现思路
[0008]针对现有技术中存在的问题,本专利技术旨在提供一种安全且高效的基于模上错误学习(Module
‑
LWE)的后量子口令认证密钥交换方法,使得通信双方能够在三轮消息交换过后协商出相同的会话密钥,同时,实现双向身份认证。
[0009]首先,本方案采用的困难问题是格上的Module
‑
LWE问题。该困难问题通过合理的参数选取能够抵抗量子计算机的攻击,保障量子时代的安全通信。另外,与LWE问题和Ring
‑
LWE问题相比,Module
‑
LWE问题更为灵活,方案设计过程中只需改变多项式向量的维度d便可满足不同安全性与性能需求间的平衡,以应对不同的安全场景。方案的整体设计类似于ROM模式,避本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于模上错误学习的后量子口令认证密钥交换方法,其步骤包括:1)客户端C发起与服务器S的密钥交换时,客户端C首先选取一个256比特的随机数作为种子ρ,通过对其扩展得到公共矩阵客户端C根据中心二项分布来选取秘密取样和错误取样经过计算得到MLWE样本然后,客户端C计算其口令的哈希值并将MLWE样本y
c
封装为最后,客户端C将初始化消息打包后发送给服务器S;其中,pw
C
为客户端C的口令,C为客户端C的身份标识,为维度为d、模数为q的环多项式向量空间,为维度为d
×
d、模数为q的环多项式矩阵空间;q为素数;d为正整数;H1为可扩展输出函数;2)服务器S对于收到的消息首先检查消息的合理性,若则终止交换过程;否则,服务器S先扩展随机种子ρ为公共矩阵然后根据中心二项分布生成秘密取样和错误取样经过计算得到MLWE样本然后利用存储的客户端C的口令哈希值恢复出最后利用和秘密样本计算得到协调多项式使用调和函数Con(σ
s
)得到协商密钥k
σ
及辅助协调值v,然后服务器S生成其身份验证信息和验证客户端身份的信息并将消息发送给客户端C以供客户端完成密钥协商并验证其身份;其中,S为服务器S的身份标识,H2、H3是验证身份的哈希函数;3)客户端C收到服务器S发送的消息后,首先检查S的MLWE样本的合理性:若则客户端C终止交换过程;否则,客户端C首先利用和自身秘密生成协调多项式然后根据协调多项式σ
c
和辅助协调值v生成其协商密钥k
σ
=Rec(σ
s
,v);然后通过比较服务器S生成的验证信息k与自己计算得到的是否相等来验证服务器S的身份;若验证通过,则客户端C计算生成其身份认证信息以及其会话密钥s...
【专利技术属性】
技术研发人员:顾小卓,任培欣,王梓梁,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。