[发明专利]一种改进的基于格的密钥交换协议算法

说明书

本发明涉及一种协议算法，具体是指一种使用随机高斯噪声来改进基于格的密钥交换协议算法；包括步骤一：设常数m≥2，λ＝O(n)，q＝O(2^λmnβ²),其中，σ是M‑DLWE定义中的安全参数，设X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i；在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数a_i其中a∈R_q，都满足|a_i|＜q/2；步骤二：选择一个m阶的随机矩阵通信方一和通信方二都认可；步骤三：发布信息：(1)通信方一选择计算a＝(Ax+e₁)mod q并发送a给通信方二；(2)通信方二选择计算并将b发送给通信方一；步骤四：生成共享秘钥：(1)通信方一生成一个共享密钥k₁＝MSB(b^Tx mod q)；(2)通信方二生成一个共享密钥k₂＝MSB(y^Ta mod q)。

技术领域

本发明涉及一种协议算法，具体是指一种改进的基于格的密钥交 换协议算法。

背景技术

密钥交换(KE：Key Exchange)协议是一个基础密码学原语，在 构建安全通信协议中扮演着重要的角色，例如，提供安全移动支付、 车联网数据通信等。KE协议允许各方通过不安全的网络，生成可共 享的安全密钥，从而在不安全的信道中实现安全通信。

KE协议的定义最早由Diffie和Hellman于1996年正式提出， 此后设计的KE协议的安全性都是基于求解经典数论问题，然而这些 方案在量子时代是不安全的。Shor提出的量子多项式时间算法，可 解决整数分解问题，离散对数问题和椭圆曲线上的离散对数问题。因 此，在量子计算环境下，目前实际使用的KE协议都将变得不再安全。

目前，对于后量子密码学，能抵抗量子计算机攻击的格密码理论 是重要的候选者。1997年，Ajita提出了第一个基于格的密码系统， 并且求解小整数解(SIS：SmallInteger Solution)问题至少与最 坏情况的格问题一样难以解决。2005年，Regev构造了第一个基于格 理论的公钥加密方案，其安全性等价于求解基于错误学习问题(LWE：Learning With Errors)。此后，学者们设计了多种基于格理论密码 原语，如同态加密，多线性映射构造，同态签名，认证密钥交换协议 等等。但如何设计抗量子安全的密钥交换协议一直是一个重要的挑 战。最近，提出的基于双边非均匀小整数解(Bi-ISIS：Bi lateralInhomogeneous Small Integer Solution)的KE协议遭到了中间人 方法攻击和共享密钥的代数算法攻击，可直接恢复共享密钥。

由此可见，如何避免共享密钥攻击，提高安全性一直是一个有待 解决的问题。

发明内容

针对现有技术中的上述不足，本发明提供一种使用随机高斯噪声 进行改进的基于格的密钥交换协议算法。

为实现以上技术目的,本发明的技术方案是:一种改进的基于 格的密钥交换协议算法，包括步骤一：设常数m≥2，λ＝O(n)， 其中，σ是M-DLWE定义中的安全参数，设 X＝{z∈R^m:||z_i||≤β,i∈[m]}，其中z_i∈R和||z_i||是系数向量的范数z_i； 在下文中，我们为R_q使用绝对最小残差系统，也就是说，每个系数 a_i其中a∈R_q，都满足|a_i|＜q/2；

步骤二：选择一个m阶的随机矩阵通信方一和通信 方二都认可；

步骤三：发布信息：