基于格的后量子秘密握手方案.docxVIP

基于格的后量子秘密握手方案 TP 文献标识码：A Abstract： Secret handshake scheme allows the members of a certain organization to conduct a two-way authentication under the premise of privacy protection. At present， most secret handshake schemes are based on some traditional difficult problems， which are not secure when faced with quantum computers attacks. Based on an identity-based message recovery signature[]， this paper proposes a secret handshake scheme whose security is under lattices short integer solution assumption. Its provably secure in the random oracle model， the length of the private session key negotiated by both participants is suitable for communication， runtime performance is also practically acceptable. Key words： secret handshake; privacy protection; lattice cryptography; message recovery signature; provable securit 引言 秘密握手方案是一种满足隐私保护安全需求的双向认证协议，最早是由Balfanz等人[]在年提出，它允許属于同一组织的不同成员可以进行秘密的认证而不泄露彼此的隐私信息，当且仅当协议双方拥有相同的组织公钥证书时，认证过程才能成功，而如果通信双方属于不同组织，则认证过程不会暴露双方彼此的组织信息。在当今互联网迅猛发展的时代，大量用户认证和接入服务尤其需要满足用户的隐私保护需求，这使得秘密握手的应用前景变得非常广泛，一个典型的例子就是网上办公的两名公司员工在传输公司高级机密时的秘密双向认证。 近些年有许多两方/多方秘密握手方案被提出[～]，但这些基于传统困难问题（离散对数，平方根剩余等）的方案在量子攻击下不再安全。而随着量子计算的飞速发展，具有抗量子攻击特性的格密码体制则受到更多的青睐。 本文通过借鉴一种通用构造：将基于身份的消息恢复签名（Identity-based Message Recovery Signature， ID-MRS）转化为基于一次性伪名的秘密握手方案[]，修改格上的ID-MRS[]设计了一个后量子的两方秘密握手方案，该方案在随机预言机模型下可证明安全，协议会话密钥适中，整体运行效率具有可实践性。 预备知识 . 符号和定义 文中正整数n均表示秘密握手方案中的安全参数，，表示整数集合，表示实数集合。令，，对任意，表示多项式c的第i个系数，满足。比特函数的功能是计算由多项式c的系数中的最高有效位组成的比特字符串，即为，当且仅当，否则为。黑体小写字母如代表列向量，为的转置;黑体大写字母如代表矩阵。向量的欧几里得范数记为。表示矩阵的第i列向量，。满秩方阵的Gram-Schmidt正交化矩阵为。文中所有对数函数底数都为。 安全和效率分析 . 安全分析 文献[]中已经证明了在SIS困难问题前提下，本文运用的ID-MRS方案在随机预言机模型下是EU-ACMA的，类似文献[]中的证明思路，下面给出本文秘密握手方案的安全证明。 定理 若基础的ID-MRS方案在随机预言机模型下是EU-ACMA的，则本文提出的秘密握手方案满足防伪造性。 证明：秘密握手方案的防伪造性是通过攻击者和挑战者实施的一个攻击游戏来形式化定义的，详细的攻击游戏描述可