本發明公開了一種抗量子密鑰協商方法。通信方Alice選取一n行l列的矩陣S，計算并將F發給通信方Bob；Bob收到F后，選取一個l行n列的矩陣S′和一個n行l列的矩陣Y，計算然后Bob選取一個l行l列的矩陣D’計算C＝然后Bob把B’和C發給通信方Alice。Alice根據收到的B’和C計算得到和km＝rec(D，C)。本發明協商出錯概率為零，可以抵抗現有的量子攻擊和其它的多種攻擊策略，并且運行效率高、容易實施，因此實用性很強，可以被整合到TLS協議中。

技術領域

本發明屬于計算機技術與信息安全技術領域，涉及一種抗量子的密鑰協商方法，其中包括兩個基本的協商方法和建議參數。可以證明，本發明在標準模型下是安全的，可以抵抗現有的量子攻擊，并且運行效率高，實用性強。

背景技術

密鑰協商方法是指允許通信兩方或者多方在一個不安全的環境中以某種方式協商出一個密鑰，來保證后面通信內容的機密性和數據完整性，比較著名的密鑰交換協議有Diffie-Hellman密鑰交換協議。這種協議有廣泛的用途，最為熟知的就是被作為加密套接字用在TLS協議中。TLS協議是安全傳輸層(Transport Layer Security)協議的簡稱，是目前全球使用最廣泛的網絡安全通訊協議。TLS協議包括握手協議和記錄層協議，本發明的密鑰協商方法是用在握手協議中來產生預主密鑰，進而通過密鑰導出函數生成主密鑰。

隨著對量子計算機研究，量子算法(運行在量子計算機上的算法)逐漸被大家所認識。與經典算法不同，量子算法有著更強大的計算能力，一些在經典計算理論下非常困難的問題(如大整數分解問題、離散對數問題)，在量子計算理論前變得簡單，比較著名量子算法有Shor量子分解算法和Gorver量子搜索算法。傳統的基于數論問題(大整數分解問題、離散對數問題等)的密碼系統，可以被擁有量子計算能力的敵手在多項式時間內攻破。

在密鑰協商中，如果敵手將今天通信傳輸的密文數據存儲起來，那么在未來的某一天，他將可能通過量子計算機恢復出通信的內容，因此抗量子密鑰協商方法是面向未來量子信息時代的迫切安全需求。

格密碼是目前國際學術界公認的可以抵抗現有量子攻擊的密碼技術之一。作為一種特殊的代數結構，格有許多良好的密碼學性質，格上的困難問題至今一直沒有有效的算法和多項式時間的量子攻擊，因此基于格的密碼系統被認為是最佳的抗量子密碼候選方案。

發明內容

本發明的目的在于實現一種實用的抗量子精確密鑰協商方法，本發明基于的問題是秘密消息為稀疏向量或二進制向量的LWR(取整學習)問題或者ring-LWR(環上的取整學習)問題，此外本發明還給出建議參數并將本發明集成到TLS中。

具體的說，本發明包括以下三個重要的方面：

一、基于LWR問題的抗量子密鑰協商方法

本發明的安全性基于秘密消息為稀疏向量的LWR困難問題。

二、基于ring-LWR問題的抗量子密鑰協商方法

本發明的安全性基于秘密消息為稀疏向量或二進制向量的ring-LWR困難問題。

三、rec函數的高效快速計算

在上述方法中，需要用到rec函數來得到最終的協商密鑰，為了提高協商效率，本發明給出了一種高效計算rec函數的算法。

四、將本發明集成到TLS協議中