[发明专利]用一个检验者鉴别至少一个受验者的方法

说明书

本发明涉及用一台检验设备去鉴别至少一台识别设备的一种方法，本鉴别方法利用一种基于约束线性方程组(CLE)问题的零认识的协议。

CLE问题在于找出一些值，这些值满足一定数目的与某一素数d同余的线性方程组，此外，这些值又为一个规定集合X的成员。

本发明特别适用于所谓“受保护的”或“安全的”通信，其中两台设备，一台识别设备(通常称作受验者)与一台检验设备(通常的称作检验者)，在一条其安全没有保证的信道上交换数据。在这种情况中，互相识别的手段是必不可少的。换言之，在给予一位用户访问数据或服务之前，必须使一位检验者能够鉴别该用户的身份。在许多情况下都需要这种受保护的通信手段。这类例子有传输金融业务的银行计算机、自动提款机、收费电视解码器及公用电话等。

对于这些应用，常用的鉴别方案是基于秘密密匙加密方法的。直到目前为止，这一直是可资利用的最简单的技术。在这些实例中，受验者(通常是一张潇洒卡(SMART-CARD))检验者(诸如读卡机，解码器或公用电话)共用同一个秘密密匙。其鉴别是用一种对称算法或一个单向运算函数完成的。

这些方法的缺点是双方(受验者与检验者)必须互相合作且对外保密。这一条件并不是永远可以验证的。例如，由于秘密密匙是在通信线路的两端，即在受验者与检验者之中存在的，因此伪造者可以购置其检验设备并分析它，以了解其内部操作并随后制造高性能的设备。

众所周知，迄今为止的用于克服已有传统方法缺点的方法中，零认识协议能提供最高的安全级。这些零认识协议的功能性特征在于下述事实：即使与检验者进行无数笔交易且对这一检验者本身进行全面分析，也不足以复制该设备。在以下Fiat等人的名义申请的美国专利4748668及以Shamir的名义申请的美国专利4932056中，值得注意地公布了零认识证明的描述。在后一专利中描述了一种基于所谓置换核心问题的称为“PKP”的鉴别方案。

本发明人研制了一种基于出错位组译码问题的新鉴别方案。这一问题在由Jacgues Stern在CRYPTO93会议上提出的名为“基于出错位组译码的一种新鉴别方案”的论文之中描述(该会议的报告集将在“计算机科学演讲笔记”中发表)。上述各种方法的缺点是受验者与检验者之间的信息交换较慢。此外，用在这些方法中的公开或秘密密匙通常是用非常大的位数编码的，需要可观的处理能力与存储器容量。

因此，本发明之目的在于提出一种使检验者能快速鉴别受验者并能采用中等大小的公开与秘密密匙的新鉴别方法，来克服上述缺点。

本发明之目的还在于采用一种根据秘密与公开密匙的密码技术的、由一个检验者鉴别至少一个受验者的方法，这一鉴别方法是用零认识协议完成的，其中的公开密匙是使用约束线性方程组建立的。这一方法最好包括下述步骤：

--为了启动受验者与检验者之间的对话，要建立一个秘密密匙，该秘密密匙由至少一个其坐标选自一固定集合X的n维矢量S构成；以及建立一个公开密匙，该公开密匙包括一个其系数随机地选自0至d-1整数值的m×n维矩阵m，其中d为接近一个数C的平方的素数；以及包括至少一个矢量P，使P=g(M(S))，其中g为一个由集合X及整数集合(1，2，…，d-1)的子群G所定义的函数，并且该函数将G的元素g(x)与矢量P的各坐标x联系起来，使得x被唯一地描述为g(x)与X的元素k(x)的积；

--受验者接收由检验者生成的一或多个随机数，然后将一个密码散列函数作用在是S、M与这些随机数的函数的参数上，把用这种方法得出的提交(commitment)返加给检证者；

--根据检验者所选择的随机数，检验者用接收的值与公开密匙检验该提交是否正确；

--根据所需的安全级，重复上述操作若干次。

在上述鉴别方案中，我们都使用一个所有用户公用的但随机地构造的m×n矩阵m。每一位用户收到一个其坐标选自一个固定集合X的n位字的秘密密匙S。这一集合X中包含c个元素，使得从1至d-1的所有整数都能被唯一地描述成G的一个元素与X的一个元素的积。在该情况下，该系统计算公开密匙P，使P=g(M(S))。