申请/专利权人：数字兵符(福州)科技有限公司

申请日：2017-09-30

公开（公告）日：2023-10-27

公开（公告）号：CN107465515B

主分类号：H04L9/32

分类号：H04L9/32;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2023.10.27#授权;2020.10.13#实质审查的生效;2017.12.12#公开

摘要：一种抗生日攻击的非迭代型消息摘要提取方法，属于密码技术和计算机技术领域；包括初值生成和摘要提取两个部分；初值生成部分供第三方权威机构用来产生一个公开的非互素序列，摘要提取部分供数字签名方和签名码验证方用于提取一个消息的摘要；消息的长度在80和4096比特之间，摘要的长度在80和232比特之间，多变量排列难题MPP和非范子集积难题ASPP保证了摘要是抗生日攻击的、弱无碰撞的和强无碰撞的；该方法具有摘要短、安全性高、计算速度快、技术可以公开等特点，可用于身份认证、病毒程序防范、钓鱼网站防范、票据防伪、证书防伪、食品药品防伪等方面。

主权项：1.一种抗生日攻击的非迭代型消息摘要提取方法，由初值生成和摘要提取两个部分组成，初始值生成部分供第三方权威机构用来产生一个公开的非互素序列和素模数，摘要提取部分供数字签名方和签名验证方用于提取一个消息的摘要，摘要的长度在80和232比特之间；在下文中，“xy”代表两个实数的乘法运算，“mod”代表模运算，“←”代表把右边表达式之值赋给左边的变量，“≡”表示模等于，表示任意选取，表示集合的包含关系，“∈”表示集合或区间元素的属于关系，“±x”表示从值x或-x中选取其一，gcdx，y代表两个整数的最大公约数，||x||代表元素x在模素数M乘法群中的阶，代表实数x的上整数，表示集合S的长度，lgx表示正整数x以2为底的对数，代表互素序列中被允许的最大素数，x-1代表x模素数M的乘法逆元，代表第i个比特影子，bi代表第i个比特长影子，本方法的特征在于·初值生成部分采用了下列步骤：输入：模数或消息摘要的比特长度m附带80≤m≤232，序列的长度n附带80≤m≤n≤4096，最大素数附带集合Ω的长度附带和1令集合随机产生互素序列{A1，...，An}且每个Ai∈Λ；2寻找一个素数M附带并满足M-12是一个素数，或M-12的最小素因子大于3任选W∈[1，M-1]使得W是模M乘法群的一个生成元，任选δ、使得gcdδ，M-1＝1和4令集合随机选取且有5对于i＝1、...、n，计算输出：初值{C1，...，Cn}、M；·摘要提取部分采用了下列步骤：输入：一个初值{C1，...，Cn}、M附带及80≤m≤n≤4096，一个n比特的消息b1...bn≠0；①置k←0，i←1；②若bi＝0，则做k←k+1，否则，做k←0，若则令③令i←i+1；④若i≤n，转至②；⑤计算⑥计算其中附带输出：消息摘要d。

全文数据：一种抗生日攻击的非迭代型消息摘要提取方法一技术领域[0001]消息摘要方法也称为单向散列算法或杂凑算法，英文拼写为Hash属于密码技术和计算机技术领域，是数字签名、身份认证、电子商务、电子金融、电子政务的核心技术之〇二背景技术[0002]数字签名是身份认证技术的基础。目前，常用的数字签名方案有RSA、ElGamal和ECC等，其中，ECC是ElGamal方案在椭圆曲线上的模拟实现。[0003]对一个消息Message进行数字签名时，为了提高签名速度，人们往往用256个比特以下的消息摘要MessageDigest，MD来取代消息。消息摘要应该能够唯一地代表该消息（相当于该消息的比特指纹），并且，对于任意两个不同的消息，消息摘要几乎是不同的。这对消息摘要提取方法提出了很高要求。[0004]目前，普遍使用的消息摘要提取方法有MD5、SHA-I、SHA-256等（参见《应用密码学》，美国BruceSchneier著，吴世忠、祝世雄等译，机械工业出版社，2000年01月，第307-320页）。这些方法均是外国人发明的。[0005]MD5、SHA-I、SHA-256等摘要提取方法均不能抗生日攻击，这限制了它们的使用场合。随着指数级安全的轻量级数字签名方案的出现，我们需要设计与之配套的抗生日攻击的消息摘要提取方法。三发明内容[0006]本发明用于消息摘要的提取，它是数字签名技术的基础，可广泛应用于身份认证、病毒程序防范、钓鱼网站防范、票据防伪、证书防伪、食品药品防伪等方面。[0007]本发明希望我们国家在消息摘要提取方法（即单向散列方法领域能够拥有自己的核心技术，以确保国家的网络信息安全、金融安全和经济安全。[0008]本节内容略去了对有关性质和结论的证明，如果需要补上，我们将呈交。[0009]注意：在本文中，序列A1,...，An}有时简写成{Ai}，序列IC1,...，Cn}有时简写成IA}，杠杆函数有时简写成[0010]贯穿全文，“xy”代表某两个数的乘法运算，“mod”代表模运算，代表把右边表达式值赋给左边的变量，表示模等于，表示任意选取，表示集合的包含关系，表示集合或区间）元素的属于关系，“±X”表示从值X或-X中选取其一，gcdx，y代表某两个整数的最大公约数，I|x|I代表某元素XmodM的阶，代表某个数X的上整数：表示某个集合S的长度（即元素个数），Igx表示某个数X以2为底的对数代表互素序列中被允许的最大素数，代表X模M的乘法逆元。[0011]3.1几个基本概念[0012]3.1.1互素序列的定义与性质[0013]定义1:假设是η个两两不同的整数，且满足gcdAi，Aj=l或者而和，则称这些整数为一个互素序列，记为U1,...，An}，简记为{Ai}。[0014]性质1:如果从A1,...，An}中随机选取个元素，构造一个子序列（即一个有序子集）{Axi，···，AXm}，那么，子集积[0015][0016]被唯一地确定，g卩从G到{Αχι，…，Axm}的映射是一对一的。[0017]证明略。[0018]3.1.2杠杆函数[0019]定义2:对于一个模数为M的非对称密码方案或消息摘要提取方案，钥匙变换式中的秘密参藝被称为杠杆函数，如果它具有下列特性：[0020]①是一个单射函数，其定义域为[l，n]，值域Ω为的子集，这里nΜ；[0021]②i和I之间的映射关系被随机确定，没有明确的解析表达式；[0022]③当试图从公开信息提取私有信息时，任何敌手不得不考虑Ω中元素的所有排列；[0023]④当从密文恢复明文时，私有信息的拥有者只需考虑Ω中元素的累加和。[0024]显然，是在“公开”一端计算量大，在“私有”一端计算量小，它正好起到了“杠杆”的作用。[0025]性质2他不确定性）：令是一个互素序列附带每1_....附带δ=1和gcdμ，Μ_1=1i=l，···，n，贝Ij，有[0026]①当[0027]②当时，总存在[0028][0029]满足[0030]证明略。[0031]3.1.3比特影子[0032]设消息的二进制表示为匕...bn，其长度为η个比特。[0033]定义3:$h...bn#0是一比特串，按以下规则生成的被称作比特影子:若bi=0,则I若bi#0,则等于1加bi前面连续0的个数;若bi是最左边的1，则等于1加匕前面连续0的个数再加最右边1比特后面连续0的个数。[0034]例如，若bi.·.bi2=010000101110,则.[0035]不难理解，有[0036]性质3:令M1,...，An}为一个互素序列，为的比特影子串，则从bi...bn到的映射是一对一的。[0037]证明略。[0038]3.1.4比特长影子[0039]定义4:令是的比特影子串，则被称为比特长影子，其中，或1。[0040]根据定义4,不难理解对于每个当时。[0041]例如，令bi…b8=01010100,则l_—[0042]性质4:令，是的比特长影子串，则有[0043]3.1.5非范子集积难题[0044]设匕...bn为一个消息，{，...，Cn}为一个非互素序列。[0045]定义5:给定{，...，：„}和寻找相关的比特长影子串（对应于匕...1^满足丨附带被称为非范子集积难题AnomalousSubsetProductProblem，ASPP〇[0046]性质5:ASPP在计算难度上至少等价于同一素域中的离散对数难题DLP。[0047]证明略。[0048]需要进一步说明的是，目前，人们还没有找到ASPP的亚指数时间解。[0049]3.2本发明的技术方案[0050]本发明是一种基于非范子集积难题的消息摘要提取方法，简称JUNA+单向散列方法。消息摘要类似于消息的比特指纹，被用于数字签名体制中。[0051]由于该方法可以把比特长度不大于4096的消息转化为比特长度在80至232之间的消息摘要，因此，它被说成是轻量级的。[0052]消息摘要提取方法即单向散列方法一般需要满足下面几个性质：[0053]①单向性:给定消息和摘要提取方法hash，求容易，但反过来给定和hash，求.在计算上是不可行的；[0054]②弱无碰撞性：给定消息要寻找另一个有意义的消息•满足在计算上是不可行的；[0055]③强无碰撞性:要寻找任意两个不同的消息甶计算上是不可行的。[0056]有时，第③个性质对于用户来说是可选的。[0057]根据该方法，可制造初值生成芯片和消息摘要提取芯片，或者开发初值生成软件和消息摘要提取软件等。因此，本发明是一种制造消息摘要提取产品所必须遵循的基本原理与技术方案，而不是物理产品本身。[0058]本技术方案，由初值生成和消息摘要提取等两部分组成。[0059]3.2.1参数说明[0060]设η为消息的比特长度，m为消息摘要’的比特长度，且和[0061]令Λ和Ω是两个正整数集合。它们的长度范围分别为和,且使得^注意，意味着[0062]CACertificateAuthority中心代表第三方权威机构，它负责生成有关消息摘要提取方法的初值，且私有值不对外公布。[0063]3.2.2初值生成部分[0064]初值生成部分供CA中心使用，可以仅用一次，用来产生一个非互素序列，其实现方法是：[0065]输入:模数或消息摘要的比特长度m附带[0066]序列的长度η附带[0067]最大素数附带[0068]集合Ω的长度附带和[0069]1令集合[0070]随机产生互素序列U1,...，Αη}且每个；[0071]2寻找一个素数M附带并满足M-I2是一个素数，[0072]或M-I2的最小素因子大于[0073]3任选使得W是一个生成元，[0074]任迭使得gcdδ，M_1=1和gcdμ，Μ_1=1;[0075]⑷令集合[0076]随机选取[0077]5对于i=l，···，η，计算[0078]输出：初值（IC1，·.·，Cn}、Μ。[0079]私有值{AJ.、μ』可以被丢弃，但不得外泄。[0080]定义6:给定（IC1,...，Cn}、Μ，寻找相关的、Ι、μ、δ满足modΜ1=1，...，11附带{}是一个互素序列及陂称为多变量排列难题（MultivariatePermutationProblem，MPP〇[0081]性质6:MPP在计算难度上至少等价于同一素域中的离散对数难题DLP。[0082]证明略。[0083]3.2.3摘要提取部分[0084]摘要提取部分既供数字签名方使用，也供签名码验证方使用，其实现方法是：[0085]输入:一个初值（IC1，…，Cn}、M附带及[0086]—个η比特的消息[0087]①置[0088]②若bi=0则做[0089]否则做[0090]③令；[0091]④若，转至②；[0092]⑤计算___[0093]⑥计算：[0094]其中[0095]输出：消息摘要[0096]3.3优点和积极效果[0097]3.3.1安全性高[0098]性质5保证了的单向性本身的结构保证了的无碰撞性、性质6保证了是抗生日攻击的。[0099]特别需要指出的是，由于是非常大的值，因此，企图利用连分式方法从攻击私有的是不可行的。[0100]3.3.2摘要长度较短[0101]当消息的比特长度不大于4096时，消息摘要的比特长度m在80和232之间，其安全强度为〇2m，因此，在同等安全强度下，本消息摘要可以有更短的比特长度。[0102]3.3.3运算速度较快[0103]本方法的初值只需要生成一次，且不是实时的，因此，初值生成部分的时间复杂性可以不考虑。[0104]本方法的消息提取操作只需做0η个模乘运算，与是线性相关的，相对来说，还是比较快的。[0105]3.3.4技术可以公开[0106]本发明的实现技术完全可以公开，消息摘要提取方法的初值也可以完全向外界公开发放。只要私有值不泄密，就可以基本保证消息摘要的弱无碰撞性和强无碰撞性。四具体实施方式[0107]—种抗生日攻击的非迭代型消息摘要提取方法包括初值生成和摘要提取两个部分，其特点是它能够产生一个公开的初值，且从该初值推导不出私有值。该初值能保证消息摘要是抗生日攻击的、消息摘要本身的构成能保证摘要是无碰撞的。更为重要的是，该方法输出的摘要长度非常短，但同时又满足安全性需求。[0108]每个用户可以到指定的第三方权威机构一一CA中心取得一个初值。CA中心是对用户进行登记、管理，并对初值进行产生和分发的一个机构。它利用初值生成方法输出一个用于消息摘要提取的非互素序列。[0109]本消息摘要提取方法可以用逻辑电路芯片或程序语言来实现，它包括两部分:①根据3.2.2节的初值生成方法开发出相应的芯片或软件模块，供CA中心使用;②根据3.2.3节的摘要提取方法开发出相应的芯片或软件模块，供数字签名方和签名码验证方使用。

权利要求：I.一种抗生日攻击的非迭代型消息摘要提取方法，由初值生成和摘要提取两个部分组成，初始值生成部分供第三方权威机构用来产生一个公开的非互素序列，摘要提取部分供数字签名方和签名码验证方用于提取一个消息的摘要，摘要的长度在80和232比特之间，在下文中，“xy”代表某两个数的乘法运算，“mod”代表模运算，“―”代表把右边表达式值赋给左边的变量，表示模等于，“V”:表示任意选取，“cz”表示集合的包含关系，“e”表示集合或区间）元素的属于关系，“±X”表示从值X或-X中选取其一，gcdx，y代表某两个整数的最大公约数，I|x|I代表某元素XmodM的阶，「χΐ代表某个数X的上整数，W表示某集合S的长度，IgX表示某个数X以2为底的对数，々代表互素序列中被允许的最大素数，代表X模M的乘法逆元，本方法的特征在于•初值生成部分采用了下列步骤：输入:模数或消息摘要的比特长度m附带80m232，序列的长度η附带80mn4096，随机产生互素序列A1，...，An}且每个AieΛ;⑵寻找一个素数M附讳：并满足M-I2是一个素数，或M-I2的最小素因子大于⑶任选We[1，Μ-1]使得W是一个生成元，任选δ、με[1，Μ_1]使得gcdδ，Μ_1=1和gcdμ，Μ_1=1;输出：初值（{，...，Cn}、M;•摘要提取部分采用了下列步骤：输入:一个初值（{Ci，···，Cn}、M附带：及80彡m彡η彡4096，一个η比特的消息bi...bn#0;①置k—0，i—1;③令i—i+1;④若iSn，转至②；

百度查询： 数字兵符(福州)科技有限公司 一种抗生日攻击的非迭代型消息摘要提取方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD