[发明专利]基于多变量二次方程的可证明安全的密钥流生成器

说明书

技术领域

本发明涉及密码学，尤其涉及可证明安全的密钥流生成器。此外，由于随机算法和现代网络通信技术都需要频繁使用随机序列，因此本发明也涉及到这些领域。

背景技术

本发明是基于可证安全密码理论的，在此意义下描述了密钥流生成器的研究背景。

很多密码算法都需要使用足够长的随机序列来保证安全性，但要得到长的随机序列的代价往往很高，实际应用中常常代之以算法产生的伪随机序列。本算法设计了一个伪随机序列生成算法，通常称为密钥流生成器。直观地说，密钥流生成器是一个确定性的算法，它接受一个较短的初始内部状态，通过多次迭代计算产生出一个长的和真随机序列在计算上不可区分的伪随机序列，以代替对真随机密钥流的需求，同时又能满足计算上的安全性，从而实现一个与“一次一密”相似的加密系统。在实际应用中，由于很难找到有足够大扩张率的函数，一般的构造方法是通过多次迭代，将输出串联起来以得到足够长的伪随机序列。这主要体现在迭代方程组S＝(Q₁，…，Q_n+1)上，前n比特值用来迭代作为每次的输入x，最后一比特输出作为密钥流。图1表示现有密钥流生成器的功能方框图，其中模块101表示驱动部分f，模块102表示非线性组合部分g，驱动部分f控制生成器的状态序列，并为非线性组合部分提供统计性能良好的输入，非线性组合部分g输出具有较高线性复杂度的密钥流，{S}为状态序列，{Z_i}表示第i次迭代输出的伪随机值，最终串联可得到任意长度的伪随机序列。

现代密码学是建立在计算复杂性基础上的，基于各种困难性假设，已经出现了很多密钥流生成器的构造方法，如基于大数分解问题、离散对数问题、RSA问题、DDH问题等的生成器，由这些方法产生的伪随机序列满足可证安全性，但是效率都太低。如由于基于的困难行太强，为生成一个随机位Gennaro生成器至少要消耗1500个基本运算以保证安全，因此不适于实用。

本发明的安全性基础是基于有限域上的多变量二次多项式的难解性问题(MQ问题)，下面给出一个简单定义：

给定有限域GF(q)，n个变量的二次多项式Q(x₁，...，x_n)∈GF(q)[x₁，...，x_n]，可以表示为：

Q(x)=Σ1<=i<=j<=nαi,jxixj+Σ1<=i<=nβixi+γ]]>

多项式的系数α_i，j，β_i，γ都是GF(q)中的元素。特别地，当q＝2时，单项式x_ix_i＝x_i。

解多变量二次多项式方程的问题(MQ问题)是如下定义的：给定一个GF(q)上有m个二次多项式的多变量二次方程组S＝(Q1，…，Q_m)，寻找能满足Q_i(x)＝0，对任意的i(1≤i≤m)的x∈GF(q)，如果存在这样的x。