一種基于糾錯碼的身份認證協(xié)議方法
【專利摘要】本發(fā)明公開了一種基于糾錯碼的身份認證協(xié)議方法,包含以下步驟:步驟一����,生成系統(tǒng)參數(shù):密鑰對為(sk,pk)=(s,(y,H,w)),其中sk是私鑰���,pk是公鑰��;公開的哈希函數(shù)h(·)���;步驟二,身份認證:重復執(zhí)行以下的步驟δ次:本發(fā)明采用零知識認證方式��,包括生成系統(tǒng)參數(shù)和身份認證兩個步驟。本發(fā)明還對身份認證步驟作了進一步優(yōu)化��,使得認證協(xié)議的通信開銷更少�。同時,本發(fā)明還彌補了基于數(shù)論難題的身份認證方案在量子計算機下不再安全的缺陷��,具有抗量子計算的能力����,在量子計算下仍然安全。
【專利說明】
一種基于糾錯碼的身份認證協(xié)議方法
技術領域
[0001] 本發(fā)明屬于互聯(lián)網(wǎng)技術領域�����,涉及一種基于糾錯碼的身份認證協(xié)議方法�。
【背景技術】
[0002] 隨著互聯(lián)網(wǎng)技術的不斷發(fā)展����,對用戶身份的合法性鑒別是非常重要的問題。目前��, 應用廣泛的基于數(shù)論難題的身份認證方案�,實現(xiàn)過程需要進行模冪運算,對設備的計算能 力要求較高��,難以適用于資源有限的嵌入式設備。而且�,1994年提出的Shor量子算法,使得 基于數(shù)論難題的密碼體制��,如RSA��,ECC等都將不再安全���。
[0003] 基于糾錯碼的密碼方案能夠抵抗量子計算攻擊�,而且它的加密過程僅需異或運 算��。1978年���,McEliece提出了第一個基于Goppa碼的公鑰密碼體制�����。然而�����,原始的McEliece密 碼算法中的密鑰體積較大���,實用性差�。隨后��,出現(xiàn)了基于不同糾錯碼的McEliece型密碼方 案��,以減小密鑰體積��。1986年�,Niederreiter提出了基于GRS碼的Niederreiter方案,該方案 減小了密鑰體積��,但是后來GRS碼被證明是不安全的���。近年來��,一些基于LDPC����,MDPC��,QC-MDPC�,QD-Goppa等糾錯碼的密碼方案被相繼提出�����。2011年,Malek等人利用托普利茨矩陣的 特殊結(jié)構�,進一步的縮小了密鑰的體積。
[0004] 零知識身份認證是證明者P向驗證者V證明P的身份�����,使得V能確認P身份的合法性�����, 且無法得到P的任何秘密信息�。這些年已經(jīng)發(fā)表了許多身份認證方案。在CRYPTO' 93年會上���, Stern發(fā)表了第一篇基于糾錯碼的零知識身份認證方案��。Stern身份認證方案是一個多輪的 三步交互式協(xié)議�����。但是它存在下述問題而難以在實際中應用:
[0005] 1.在每輪交互中���,攻擊者成功欺騙的概率是2/3,而在Fiat-Shamir協(xié)議中,攻擊者 成功的概率是1/2,所以Stern方案需要進行28輪交互認證�����,才能使得攻擊者成功欺騙的概 率降低到2_16。
[0006] 2.方案中的公鑰體積有120kb�,而且通信量較大,難以在資源有限的設備中使用����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的在于,提供一種基于糾錯碼的零知識身份認證協(xié)議��,用以解決基于 編碼的認證協(xié)議存在的通信���、存儲負擔大的問題����。
[0008] 為了實現(xiàn)上述任務��,本發(fā)明采用如下的技術解決方案:一種基于糾錯碼的身份認 證協(xié)議方法����,包含以下步驟:
[0009] 步驟一,生成系統(tǒng)參數(shù):密鑰對為(成�,�����?1〇 = (8,(7�,11,《))�����,其中私鑰4是有限域?(1 上長度為n的矢量 yeF:����,矢量s的碼重wt(s)=w,公鑰pk是三元組(y���,H����,w)�,其中jeF:,有限 域Fq上rXn的矩陣好£5_����,正整數(shù) WGN*,y = Hs;公開的哈希函數(shù)h( ?);
[0010] 步驟二�����,身份認證:重復執(zhí)行以下的步驟S次:
[0011] (7)證明者P生成隨機矢量和{丨,...�����,!!}上的一個置換函數(shù)0�,計算委托 Cl = h (〇,此1')和〇2 = 11(〇(11))����,將(31,〇2發(fā)送給驗證者¥;
[0012 ] (8)驗證者V生成隨機數(shù)a G Fq����,并發(fā)送給證明者P;
[0013] (9)證明者P根據(jù)收到的消息和私鑰,計算矢量/? = ? _)�����,并將它發(fā)送給驗證者 V��;
[0014] (10)驗證者V收到矢量0后����,發(fā)送挑戰(zhàn)b G {〇�,1}給證明者P;
[0015] (11)若b = 0����,證明者P發(fā)送〇給驗證者V;若b = 1�,證明者P計算并發(fā)送〇 (s)給驗證者 V;
[0016] (12)當b = 0時���,驗證者V驗證C1是否正確����;當b=l時����,驗證者V驗證(:2是否正確,以及 〇 (S)的碼重wt ( 〇 ( S ) ) ? = W�,若驗證錯誤,則認證失敗����,判定P是非法證明者;
[0017] 步驟二執(zhí)行S次�����,且每次都驗證正確,則認證成功�,驗證者V判定P是合法證明者。 [0018]進一步�����,所述步驟一具體過程為:
[0019] 生成準并矢(quasi-dyadic)糾錯碼C(n��,k��,w)�����,余維r = n_k;糾錯碼C的校驗矩陣 // e F丨x";生成隨機矢量s 滿足wt(s)=w;計算y = HsT;得到公鑰pk=(y�,H,w)�,私鑰sk = (s);系統(tǒng)公開的哈希函數(shù)h( ?)。
[0020]進一步���,所述步驟二進一步優(yōu)化為:
[0021] (2.1)證明者P生成5組(ui���,〇i)���,其中w, eg,〇1是{1�����,…�,n}上的置換函數(shù)�����,Ki彡 S���,相應地計算5組委托(cii����,Ci2)�,其中_% =綠 ^. /^丨 '丨,.Ci2 = h(〇i (Ui));計算5組委托的哈希 值hl = h(Cll��,C12, ? ? ?���,Cil�,Ci2, ? ? ?,CS1��,CS2)��,并))等hi發(fā)送給驗證者V;
[0022] 然后P使用每組(m�,〇1)重復執(zhí)行以下步驟S次;
[0023] (2.2)驗證者V生成隨機數(shù)ai G Fq����,并發(fā)送給證明者P;
[0024] (2.3)證明者P根據(jù)收到的消息和私鑰,計算矢量肩����,并將它發(fā)送給驗 證者V;
[0025] (2.4)驗證者V收到矢量&后,發(fā)送挑戰(zhàn)biG {〇��,1}給證明者P;
[0026] (2.5)若1^ = 0����,證明者?發(fā)送(〇1,(^2)給驗證者¥;若1^=1���,證明者?計算并發(fā)送(〇1 (s)���,cn)給驗證者V;
[0027] (2.6)當匕=0時�,驗證者¥恢復(^1�����,并記錄((^1��,(^2);當匕=1時����,驗證者¥恢復(^2,并 驗證wt ( 〇i ( S ) ) ? = W ;若驗證錯誤��,則認證失敗���,判定P是非法證明者;若驗證成功���,則記錄 (Cil��,Ci2);
[0028]以上步驟執(zhí)行S次之后�,驗證者V根據(jù)記錄的S組委托(Cll��,Cl2)生成哈希值h 2 = h (C11����,C12, ? ? ?�,Cil����,Ci2,…,CS1����,CS2),并判斷hl?=h2,若相等�����,貝lj認證成功����,驗證者V判定P是合 法證明者;否則,認證失敗��,驗證者V判定P是非法證明者����。
[0029]本發(fā)明具有有益效果為:本發(fā)明使用基于糾錯碼的身份認證方案,能夠有效地抵 抗量子計算機的攻擊�����,通過構造準并矢糾錯碼以及減少每輪身份認證的委托數(shù)量和交互次 數(shù),縮小了密鑰體積����,減少了通信開銷,適用于存儲空間小�����、通信能力弱的終端設備�����。同時��, 本發(fā)明還彌補了基于數(shù)論難題的身份認證方案在量子計算機下不再安全的缺陷�����,具有抗量 子計算的能力�,在量子計算下仍然安全��。本發(fā)明為基于編碼理論的公鑰密碼體制的進一步 實用化奠定了基礎���。
【附圖說明】
[0030]圖1為認證協(xié)議流程圖�。
[0031]圖2為進一步優(yōu)化后的認證協(xié)議流程圖。
【具體實施方式】
[0032]下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術方案進行清楚、完 整地描述���。
[0033]步驟一����,生成系統(tǒng)參數(shù)�����;
[0034] 密鑰對為(成41〇 = (8�����,(7�����,11�,《)),其中私鑰吐是有限域?(1上長度為11的矢量5€€, 矢量S的碼重wt( s) = w��,公鑰pk是三元組(y��,H, W)�,其中jeF丨,有限域Fq上r X n的矩陣 iFeFf���,正整數(shù)WG N*�,y = Hs;公開的哈希函數(shù)h( ?);具體過程為:生成準并矢(quasi-dyadic)糾錯碼C(n�,k,w)����,余維r = n-k;糾錯碼C的校驗矩陣HeFf'生成隨機矢量滿 足wt(s) =w。計算y = HsT�。得到公鑰pk= (y,H���,w),私鑰sk= (s)���。系統(tǒng)公開的哈希函數(shù)h (?)����。步驟二,身份認證�����。重復執(zhí)行以下步驟S次��。
[0035] (1)證明者P生成隨機矢量和{1�����,? ? ?����,n}上的一個置換函數(shù)〇,計算委托^二!! (〇�����,此1')和02 = 11(〇(11))�。將(31,02發(fā)送給驗證者¥�����。
[0036] (2)驗證者V生成隨機數(shù)a G Fq,并發(fā)送給證明者P����。
[0037] (3)證明者P根據(jù)收到的消息和私鑰,計算矢量// = 〇_(〃《?����、'),并將它發(fā)送給驗證者 V���。
[0038] (4)驗證者V收到矢量0后�����,發(fā)送挑戰(zhàn)bG {〇��,1}給證明者P�。
[0039] (5)若b = 0���,證明者P發(fā)送〇給驗證者V;若b = 1��,證明者P計算并發(fā)送〇 (s)給驗證者 V����。
[0040] (6)當b = 0時�,驗證者V驗證C1是否正確;當b = 1時�,驗證者V驗證(32是否正確,以及 wt ( 〇 ( S ) ) ? = W���。若驗證錯誤��,貝lj認證失敗�����,判定P是非法證明者���。
[00411 步驟二執(zhí)行S次,且每次都驗證正確����,則認證成功,驗證者V判定P是合法證明者���。
[0042] 為了減少通信開銷�,步驟二可以進一步地優(yōu)化如下:
[0043] (1)證明者P生成S組(m�����,〇i),其中eg���,〇1是{1����,? . ?����,n}上的置換函數(shù),Ki彡5���, 相應地計算S組委托(cu��,Ci2)��,其中巧="〃/)���,Ci2 = h(〇i (Ui))。計算5組委托的哈希值hi = h(Cll��,C12, ? ? ?��,Cil,Ci2, ? ? ?�,CS1,CS2)�,并將hi發(fā)送給驗證者V����。
[0044] 然后P使用每組(m,〇1)重復執(zhí)行以下步驟S次�����。
[0045] (2)驗證者V生成隨機數(shù)ai G Fq�����,并發(fā)送給證明者P����。
[0046] (3)證明者P根據(jù)收到的消息和私鑰,計算矢量/《=〇;(〃, ?<v_)�����,并將它發(fā)送給驗證 者V�。
[0047] (4)驗證者V收到矢量&后�����,發(fā)送挑戰(zhàn)biG {〇�,1}給證明者P�。
[0048] (5)若bi = 0,證明者P發(fā)送(〇i,Ci2)給驗證者V;若bi = l�����,證明者P計算并發(fā)送(〇i (8)��,(^)給驗證者¥��。
[0049] (6)當匕=0時���,驗證者¥恢復(^1�,并記錄((^1���,(^2)��。當匕=1時�����,驗證者¥恢復(^2����,并驗 證wt (〇i (s)) ? = w。若驗證錯誤����,則認證失敗�,判定P是非法證明者;若驗證成功,則記錄(Cil����, Ci2) 〇
[0050] 以上步驟執(zhí)行S次之后,驗證者V根據(jù)記錄的S組委托(Cll��,Cl2)生成哈希值h2 = h (C11����,C12, ? ? ?,Cil����,Ci2,…,CS1�,CS2)���,并判斷hl?=h2,若相等,貝1J認證成功���,驗證者V判定P是合 法證明者;否則���,認證失敗,驗證者V判定P是非法證明者�����。
[0051] 以上方法中�,S越大,認證方案的可信度越高��,證明者P欺騙成功的概率越低�。
[0052] 實施例1. 一種基于糾錯碼的身份認證協(xié)議方法
[0053] 具體地,系統(tǒng)參數(shù)設置如下:準并矢糾錯碼C的碼長n = 128���,維度k = 64�,余維r = 64���,碼的糾錯能力w = 49,有限域Fq中q = 256,表示q所需的比特位數(shù)N = 8�����。生成一個置換函 數(shù)〇的種子長度1�����。= 128,哈希函數(shù)的輸出長度lh=160�����。每一輪認證協(xié)議中��,證明者P欺騙成 功的概率約為1/2��,因此協(xié)議進行S = 16輪�����,證明者P欺騙成功的概率降低到2^16,可以忽略不 計���。通過如下公式計算得到,準并矢糾錯碼C的校驗矩陣H的體積為NXn = 1024bits����,密文y 的長度為NXr = 512bits���,密鑰s的長度為NXn=1024bit,通信開銷為lh+S(lh+N+NXn+l + (1����。+~父11)/2) = 284641^七。
[0054]在本說明書的描述中����,參考術語"一個實施例"、"一些實施例"����、"示意性實施例"、 "示例"����、"具體示例"、或"一些示例"等的描述意指結(jié)合該實施例或示例描述的具體特征��、結(jié) 構����、材料或者特點包含于本發(fā)明的至少一個實施例或示例中。在本說明書中,對上述術語的 示意性表述不一定指的是相同的實施例或示例�����。而且�����,描述的具體特征���、結(jié)構����、材料或者特 點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合����。
[0055]盡管已經(jīng)示出和描述了本發(fā)明的實施例����,本領域的普通技術人員可以理解:在不 脫離本發(fā)明的原理和宗旨的情況下可以對這些實施例進行多種變化、修改��、替換和變型�,本 發(fā)明的范圍由權利要求及其等同物限定。
【主權項】
1. 一種基于糾錯碼的身份認證協(xié)議方法,其特征在于�,包含以下步驟: 步驟一,生成系統(tǒng)參數(shù):密鑰對為(4���,��?10 = (8����,(7�����,!1�����,《))�����,其中私鑰成是有限域?(1上長 度為η的矢量�����,矢量s的碼重wt(s)=w,公鑰pk是三元組(y�,H,w)�,其中)'eF(,有限域F q 上rXn的矩陣/^ξ���;'χ"����,正整數(shù)wGN*��,y = Hs;公開的哈希函數(shù)h( ·); 步驟二���,身份認證:重復執(zhí)行以下的步驟S次: (1) 證明者P生成隨機矢量《eg和{1�,. . .���,n}上的一個置換函數(shù)σ�,計算委托Cl = h(〇�, HuT)和C2 = h(〇(U))����,將C1�,C2發(fā)送給驗證者V; (2) 驗證者V生成隨機數(shù)a e Fq����,并發(fā)送給證明者P; (3) 證明者P根據(jù)收到的消息和私鑰,計算矢量典=付《Φ#)�,并將它發(fā)送給驗證者V; (4) 驗證者V收到矢量β后,發(fā)送挑戰(zhàn)b e {〇���,1}給證明者Ρ; (5) 若b = 0�,證明者P發(fā)送〇給驗證者V;若b = 1��,證明者P計算并發(fā)送〇 (s)給驗證者V; (6) 當b = 〇時�����,驗證者V驗證C1是否正確���;當b = 1時�,驗證者V驗證〇2是否正確��,以及σ(s) 的碼重wt (σ (s)) ? = w�����,若驗證錯誤,則認證失敗�,判定Ρ是非法證明者; 步驟二執(zhí)行S次��,且每次都驗證正確���,則認證成功����,驗證者V判定Ρ是合法證明者���。2. 根據(jù)權利要求1所述的一種基于糾錯碼的身份認證協(xié)議方法�����,其特征在于����,所述步驟 一具體過程為: 生成準并矢(quasi-dyadic)糾錯碼C(n��,k���,w)��,余維r = n-k;糾錯碼C的校驗矩陣 if e F廣����;生成隨機矢量.S F〗滿足wt (s) = w;計算y = HsT;得到公鑰pk = (y����,Η,w)�,私鑰sk = (s);系統(tǒng)公開的哈希函數(shù)h( ·)。3. 根據(jù)權利要求1所述的一種基于糾錯碼的身份認證協(xié)議方法���,其特征在于����,所述步驟 二進一步優(yōu)化為: (2.1) 證明者��?生成5組(1^��,〇〇���,其中義€$�,(^是{1��,...,11}上的置換函數(shù)�,1彡;[彡5�,相 應地計算δ組委托(Cii,Ci2)�����,其中���,Ci2 = h(〇i(ui));計算δ組委托的哈希值hi = h(cii����,ci2, · · ·�,Cii,Ci2, · · ·����,CS1,CS2)���,并)l#hi發(fā)送給驗證者V; 然后P使用每組(m���,〇1)重復執(zhí)行以下步驟δ次�����; (2.2) 驗證者V生成隨機數(shù)αι e Fq��,并發(fā)送給證明者Ρ; (2.3) 證明者P根據(jù)收到的消息和私鑰,計算矢量爲=σ,(?, ??,4���,并將它發(fā)送給驗證者 V; (2.4) 驗證者V收到矢量&后���,發(fā)送挑戰(zhàn)h e {〇,1}給證明者Ρ; (2.5) 若bi = 0����,證明者P發(fā)送(〇i,ci2)給驗證者V;若bi = 1��,證明者P計算并發(fā)送(〇i (s)�����, cn)給驗證者V; (2.6) 當匕=0時�����,驗證者乂恢復(^1,并記錄((^1���,(^2);當匕=1時�,驗證者¥恢復(^2���,并驗證 wt (〇i(s)) ? = w;若驗證錯誤�,則認證失敗���,判定P是非法證明者����;若驗證成功����,則記錄(Cil, Ci2); 以上步驟執(zhí)行δ次之后���,驗證者V根據(jù)記錄的δ組委托(cu����,Ci2)生成哈希值h2 = h(cn, C12, · · ·��,Cil���,Ci2, · · ·��,CS1����,CS2)��,并判斷hl?=h2,若相等��,貝lj認證成功���,驗證者V判定P是合法證 明者;否則,認證失敗�����,驗證者V判定P是非法證明者�����。
【文檔編號】H04L29/06GK105959097SQ201610489734
【公開日】2016年9月21日
【申請日】2016年6月28日
【發(fā)明人】韓牟, 馮曉林, 馬世典, 華蕾, 王運文, 劉文山
【申請人】江蘇大學