一种基于同源的后量子秘密握手方法技术

本发明专利技术属于密码学隐私保护领域，更具体地，涉及一种基于同源的后量子秘密握手方法。在已有的后量子秘密握手方法中引入了基于同源的方法，从而有效减少了秘密握手时所需要的通信开销。与此同时，利用了具有基本安全属性的一次性假名，实现了GA的可追溯性和在恶意敌手环境下的不可链接性。此外，由于使用了基于同源的密码方案，本发明专利技术方法可以抵抗可能的量子计算的攻击，因此本发明专利技术也是后量子的秘密握手方法。手方法。手方法。

【技术实现步骤摘要】
一种基于同源的后量子秘密握手方法


[0001]本专利技术属于密码学隐私保护领域，更具体地，涉及一种基于同源的后量子秘密握手方法。

技术介绍

[0002]秘密握手协议是密码学应用中的一种隐私保护认证协议。对于在同一个组织的个体，此协议能在个体自身隐私被保护的前提下进行匿名的双向认证并协商出会话密钥。由于秘密握手方案在电子商务和电子医疗领域的广泛应用，秘密握手方案多年来一直是研究热点，研究人员提出了基于不同密码原语的各种秘密握手方案以增强其功能和性能。Castelluccia等人通过CA不经意加密提出了一种有效的秘密握手方案。Zhou等人基于不经意签名的信封(OSBE)提出了一种秘密握手方案。Xu和Yung等人为秘密握手方案提供了弱可链接性。温雅敏等人提出了一种基于身份和基于消息恢复签名的秘密握手方案。汪维家等人提出了在短密钥环境下多方秘密握手的方法，王闻博等人提出了一种基于混沌映射的秘密握手方案。这些方案都是基于传统的数论困难问题被提出的，因此随着量子计算机和量子计算攻击的发展，这些方案将不再安全。目前已有的后量子秘密握手方案有赵兴文等人提出的基于格的方案，张卓然等人提出的基于编码的秘密握手方案，安致远等人提出的基于格的可重用证书方案。这些方案能有效抵抗量子算法的攻击，但在现有的后量子秘密握手方案的通信成本(100MB)对于当前的设备来说远远不能容忍。在这方面，如何降低通信成本成为后量子秘密握手方案的主要问题。

技术实现思路

[0003]本专利技术为克服上述现有技术中的缺陷，提供一种基于同源的后量子秘密握手方法，有效降低了在后量子秘密握手方案中的通信开销。
[0004]为解决上述技术问题，本专利技术采用的技术方案是：一种基于同源的后量子秘密握手方法，包括以下步骤：
[0005]S1.初始化：输入一个安全参数λ，通过该安全参数生成全局参数par＝(p,E0,t,s,r,N)；选择两个安全的哈希函数和
[0006]S2.创建群组织：首先定义群管理者GA，GA把全局参数par作为输入生成一个群组G；然后GA运行基于同源的密钥生成方法CSI
‑
FiSh.KeyGen，生成群密钥对(gpk
G
,gsk
G
)＝(pk
G
,a)，其中a＝[a1,
…
,a
S
‑1]且a
j
是上随机选取的元素，其中j∈[1,S
‑
1]；其中pk
G
＝[E
j
:j∈{1,
…
,S
‑
1}]，且有关系E
j
＝[a
j
]E0；其中[a
j
]E0是对E0做a
j
次群作用的结果；
[0007]S3.新用户加入群组织：对于一个需要加入群组G的新用户U，该用户首先需要选择一个比特串ID
u
作为用户假名身份，然后GA运行基于同源的签名方法CSI
‑
FiSh.Sign(ID
u
,gsk
G
)，生成一个群组关于新用户的签名作为用户的证书，记其中对于i∈[1,t]，接下来GA把cred
u
发送给用
户U，并把(realID
u
,ID
u
)存入群组的成员列表中，其中realID
u
表示的是用户U的系统后台的唯一标识，并且把对用户U的签名(ID
u
,cred
u
)存入签名列表中；
[0008]S4.用户间的秘密握手：假设某个成员U在群G1中有证书cred
u
，另一个成员V在群G2中有证书cred
v
，则用户U和V之间进行秘密握手需要经过以下程序，具体包括以下四个步骤：
[0009]S41.第一阶段：用户U计算其匿名认证信息并发送给用户V；
[0010]S42.第二阶段：V验证U发送的匿名信息的合法性，并生成新的关于V的匿名信息并发送给U；
[0011]S43.第三阶段：U
→
V:(RSP
u
)；U验证V发送的匿名信息的合法性；
[0012]S44.第四阶段：用户V收到第三阶段用户U发来的信息RSP
u
后，用户V检查是否成立；如果成立，则用户V输出1，否则输出0。
[0013]本专利技术在零知识证明上修改了Fiat
‑
Shamir范式，利用了来自CSI
‑
FiSh签名的技术及其相应的零知识证明系统。与此同时，对于每个零知识识别记录，本专利技术把CSIDH临时私钥的部分信息将嵌入挑战中，即将信息分成几个部分，新的挑战是部分信息和哈希值的异或。因此，虽然接收方无法验证签名是否有效，但可以从所有隐藏信息中恢复临时私钥，如果参与者在同一个群组中，则此临时私钥会作为两个用户之间协商出的会话密钥。
[0014]进一步地，还包括管理员追踪用户，当某些争议发生的时候，GA将会用它的追踪权限检索用户U和V的握手记录；GA能够从某次用户U和V的秘密握手实例中获取用户假名身份ID
′
u
和ID
′
v
，其中GA在秘密握手的过程中将会记录某次秘密握手用户U和V的所有通信消息，即RSP
v
,RSP
u
；GA通过查找签名列表判断秘密握手过程中的假名身份ID
′
u
和ID
′
v
是否存在，若存在则在用户身份列表中查找到对应的用户，若不存在则表示ID
′
u
不在群组G中或者是恶意的用户。通过这种方法GA可以识别出某次握手的假名身份对应的是哪个用户，进而识别哪些用户执行了恶意的秘密握手。
[0015]进一步地，当有移除群组成员的需求的时候，GA能够在追踪恶意群组成员后修改或者更新CRL列表；若需要把用户U移除出群组G，GA将会在成员列表中根据realID
u
寻找所有的(realID
u
,ID
u
)，并在签名列表中移除用户U的所有ID
u
对应的签名(ID
u
,cred
u
)；然后GA把所有ID
u
加入CRL，并通过经身份验证的匿名通道向所有其它群组中的成员分发警告通知，该通知告诉群组的成员当在进行秘密握手的时候，若对方使用了任何出现在CRL中的假名身份，则不要继续执行握手协议。
[0016]进一步地，所述的步骤S41具体包括：
[0017]S411.用户U在上随机采样一个整数然后计算密钥交换信息E
u
＝[γ
u
]E0,令E
u
:y2＝x3+m
u
x2+x，然后用户U把m
u
分本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于同源的后量子秘密握手方法，其特征在于，包括以下步骤：S1.初始化：输入一个安全参数λ，通过该安全参数生成全局参数par＝(p,E0,t,S,r,N)；选择两个安全的哈希函数和S2.创建群组织：首先定义群管理者GA，GA把全局参数par作为输入生成一个群组G；然后GA运行基于同源的密钥生成方法CSI
‑
FiSh.KeyGen，生成群密钥对(gpk
G
,gsk
G
)＝(pk
G
,a)，其中a＝[a1,
…
,a
S
‑1]且a
j
是上随机选取的元素，其中j∈[1,S
‑
1]；其中pk
G
＝[E
j
:j∈{1,
…
,S
‑
1}]，且有关系E
j
＝[a
j
]E0；其中[a
j
]E0是对E0做a
j
次群作用的结果；S3.新用户加入群组织：对于一个需要加入群组G的新用户U，该用户首先需要选择一个比特串ID
u
作为用户假名身份，然后GA运行基于同源的签名方法CSI
‑
FiSh.Sign(ID
u
,gsk
G
)，生成一个群组关于新用户的签名作为用户的证书，记其中对于i∈[1,t]，接下来GA把cred
u
发送给用户U，并把(realID
u
,ID
u
)存入群组的成员列表中，其中realID
u
表示的是用户U的系统后台的唯一标识，并且把对用户U的签名(ID
u
,cred
u
)存入签名列表中；S4.用户间的秘密握手：假设某个成员U在群G1中有证书cred
u
，另一个成员V在群G2中有证书cred
v
，则用户U和V之间进行秘密握手需要经过以下程序，具体包括以下四个步骤：S41.第一阶段：用户U计算其匿名认证信息并发送给用户V；S42.第二阶段：V验证U发送的匿名信息的合法性，并生成新的关于V的匿名信息并发送给U；S43.第三阶段：U
→
V:(RSP
u
)；U验证V发送的匿名信息的合法性；S44.第四阶段：用户V收到第三阶段用户U发来的信息RSP
u
后，用户V检查是否成立；如果成立，则用户V输出1，否则输出0。2.根据权利要求1所述的基于同源的后量子秘密握手方法，其特征在于，还包括管理员追踪用户，当某些争议发生的时候，GA将会用它的追踪权限检索用户U和V的握手记录；GA能够从某次用户U和V的秘密握手实例中获取用户假名身份ID
′
u
和ID
′
v
，其中GA在秘密握手的过程中将会记录某次秘密握手用户U和V的所有通信消息，即GA通过查找签名列表判断秘密握手过程中的假名身份ID
′
u
和ID
′
v
是否存在，若存在则在用户身份列表中查找到对应的用户，若不存在则表示ID
′
u
不在群组G中或者是恶意的用户。3.根据权利要求2所述的基于同源的后量子秘密握手方法，其特征在于，当有移除群组成员的需求的时候，GA能够在追踪恶意群组成员后修改或者更新CRL列表；若需要把用户U移除出群组G，GA将会在成员列表中根据realID
u
寻找所有的(
u
,D
u
)，并在签名列表中移除用户U的所有ID
u
对应的签名(
u
,red
u
)；然后GA把所有ID
u
加入CRL，并通过经身份验证的匿名通道向所有其它群组中的成员分发警告通知，该通知告诉群组的成员当在进行秘密握手的时候，若对方使用了任何出现在CRL中的假名身份，则不要继续执行握手协议。
4.根据权利要求1所述的基于同源的后量子秘密握手方法，其特征在于，所述的步骤S41具体包括：S411.用户U在上随机采样一个整数然后计算密钥交换信息E
u
＝[γ
u
]E0,令E
u
:2＝3+
u
x2+，然后用户U把m
u
分成t个部分S412.对于i∈[1,t]，用户U根据群公钥选择即在中选择下标为的曲线，计算曲线S413.对于i∈[1,t]，用户U在上随机采样r个整数其中k∈[1,r],然后计算然后计算然后计算S414.对于i∈[1,t]和k∈[1,r]，用户U计算因此有S415.用户U生成匿名认证信息并把PR
u
发送给用户V。5.根据权利要求1所述的基于同源的后量子秘密握手方法，其特征在于，所述的步骤S42具体包括：S421.用户V收到第一阶段用户U发来的匿名信息PR
u
后，计算S422.对于i∈[1,t]和k∈[1,r]，用户V根据群公钥选择即在中选择下标为的曲线，然后计算然后用户V计算S423.对于i∈[1,t]，用户V计算合并得出合并得出从而得到椭圆曲线如果不是超奇异曲线，则用户V把一个随机的文本发送给用户U并结束秘密握手协议的第二阶段；S424.用户V在上随机采样一个整数然后计算密钥交换信息E
v
＝[γ
v
]E0和其中E
v
∶y2＝3+
v
x2+，且用户V把消息m
v
分成t个部分接下来，用户V计算并把RSP
v
发送给U；
S425.对于i∈[1,t]，用户V根据群公钥选择即在中选择下标为的曲线，计算曲线S426.对于i∈[1,t]，用户V在上随机采样r个整数其中k∈[1,r]；然后计算然后计算然后计算S427.对于i∈[1,t]和k∈[1,r]，用户V计算因此有S428.用户V生成匿名认证信息并把PR
v
发送给用户U。6.根据权利要求1所述的基于同源的后量子秘密握手方法，其特征在于，所述的步骤S43具体包括：S431.用户U收到第二阶段用户V发来的信息PR
v
和RSP
v
后，计算S432.对于i∈[1,t]和k∈[1,r]，用户U计算然后用户U计算S433.对于i∈[1...

【专利技术属性】
技术研发人员：陈超，关沛冬，张方国，
申请(专利权)人：中山大学，
类型：发明
国别省市：