[发明专利]一种在基于配对的密码协议中抵抗小子群攻击的方法

说明书

本发明属于信息安全技术领域，更具体地，涉及一种在基于配对的密码协议中抵抗小子群攻击的方法。该方法能够从根本上解除小子群攻击对基于配对的密码协议的影响，有效确保了网络通信的安全性。与传统的检测方法相比，我们提出的方法检测效率更高。以KSS16‑P330曲线为例，Magma软件实现表明，在G₁，G₂和G_T三个子群中，我们给出的检测方法在实现效率上分别提升了约90％、300％和330％。

技术领域

本发明属于信息安全技术领域，更具体地，涉及一种在基于配对的密码协议中抵抗小子群攻击的方法。

背景技术

在基于配对的协议中，输入子群G₁,G₂和输出子群G_T的阶均为r。具体来说，G₁和G₂是椭圆曲线有理点群E(F_pk)的子群，G_T是F_p*_k上的r次单位根群, 其中k是满足r整除p^k-1的最小正整数。由于协议的安全性依赖于上述三个子群中计算离散对数问题的困难性，因此r通常取为大素数。例如，为了达到128 比特的安全级，素数r的比特长度至少为256。在很多配对友善曲线中，子群G₁, G₂和G_T分别位于阶为h₁·r，h₂·r和h_T·r的群中,其中参数h₁、h₂和h_T被称为余因子。由于密码协议通常在不可信的环境中运行，这导致其很容易被小子群攻击。例如，攻击者可以将协议中的公开参数(G₁或G₂中的元素)篡改成阶很小的元素。一旦实现者用密钥与未经检测的点做标量乘运算，这很可能会暴露密钥信息。在某些条件下，攻击者甚至能够完全恢复出密钥信息。为了完全消除这种攻击带来的隐患，余因子消除法和子群成员检测是两种可行的方法。

余因子消除法：该方法主要应用于G₁和G₂当中。具体来说，协议实现者将参数乘以对应的余因子，从而迫使其进入到“正确”的子群当中。对于G₁，由于余因子h₁很小，因此该方法的实现效率较高。对于G₂，虽然余因子h₂很大，但是该方法仍然可行。这是因为这一过程事实上与哈希到G₂等价。因此，我们可以采取快速哈希到G₂的方法来减小余因子消除法的计算量。然而，余因子消除法也有着许多缺陷。首先，实现者往往很难判断在协议中的哪些具体位置来做消除余因子的操作。其次，这也会导致协议的安全性证明更加困难。

子群成员检测方法：子群成员检测是另一种以抵抗小子群攻击的方法。与余因子消除法相比，子群检测方法不会修改公开参数，也不会对协议的安全性证明带来困难，但是该方法的计算成本更高。对于G₁和G_T，在绝大多数配对友善曲线中，检验者需要对被测试元素做r标量乘或指数运算。对于G₂，情况则更加复杂。假设E有一条twist次数为d的曲线E_t。对于任一宣称属于G₂中的元素Q，只需要检测Q是否为中的r阶元素即可，其中e＝k/d。对于没有twist的配对友善曲线，检查者则需要检测π(Q)＝[p]Q和[r]Q＝O_E是否成立，其中π为p-Frobenius自同态，O_E是E上的无穷远点。但是该检测方式计算成本很高。

发明内容

本发明为克服上述现有技术中的缺陷，提供一种在基于配对的密码协议中抵抗小子群攻击的方法，有效降低了计算成本，提高了计算效率。

为解决上述技术问题，本发明采用的技术方案是：一种在基于配对的密码协议中抵抗小子群攻击的方法，包括以下步骤：