一种新的公钥密码体制及其改进形式的制作方法

专利名称：一种新的公钥密码体制及其改进形式的制作方法
技术领域：
本发明提供一种新的公钥密码体制，特别是一种基于矩阵经典分解问题，即通过相似变换把矩阵转化为对角型或约当(Jordan)标准型问题的公钥密码体制。
目前国际上通用的公钥密码体制主要有三类，包括基于因数分解问题的公钥密码体制(如RSA和Rabin)、基于离散对数问题的公钥密码体制(如Diffe-Hellman和ElGamal)以及基于椭圆曲线离散对数问题的公钥密码体制。这些公钥密码体制各有自己的特点，在不同的应用场合中有各自的优势。
本发明的目的是提供一种在上述三个公钥密码体制分类以外的新的公钥密码体制，其安全性由高阶矩阵经典分解(即通过相似变换把矩阵转化为对角型或约当标准型)问题的复杂性来保证，具有很高的每比特加密强度。这种新的公钥密码体制适用于直接对大量用户数据进行加密。由于该密码体制的实现算法简单，不需要大指数的幂运算，加、解密速度可以达到目前常用公钥密码体制的几十倍甚至几百倍。这种新的公钥密码体制经改进后还能提供两级私钥。其中一级私钥为用户私钥，用于正常解密，二级私钥为备份私钥，可在必要时用于破解用户私钥，从密码中恢复明文。备份私钥的重要特性是它与用户私钥无关，不需要随用户公钥改变而修改。
以下分密钥制作、加密操作和解密操作三个方面先详细介绍本发明基本部分的实施。密钥制作分为两步，具体步骤为1.按如下公式构造一个定义在模n(n为素数)的整数域GF(n)上的r×r矩阵AA＝HJH-1(mod n)(1)其中J是一个对角型或约当标准型矩阵，一般选为对角型矩阵，则(1)可以改写为A＝Hdiag(λ1，λ2，λ3…λr)H-1(mod n)(2)其中λ1，λ2，λ3…λr是GF(n)中r个不同的数，也是A的r个特征值。为了保证密码体制的安全，要求r＞4。
2.选择若干r维向量b1，b2，…bv+m，其中r＞v+w＞1，b1，b2，…bv+m和A一起组成公钥。为了便于解密，b1，b2，…bv+m可选在A的不同特征向量所张成的子空间中。一般取v＝w＝1，则公钥可简化为三元组(A，b1，b2)，b1和b2可按下式计算b1＝(β1h1+β2h2+…βmhm)(mod n) (3)b2＝(βm+1hm+1+βm+2hm+2+…βrhr)(mod n) (4)其中r＞m＞1，βi∈GF(n)，1≤i≤r，h1，h2，…hr是H的r个列向量，也是A的r个特征向量。h1，h2，…hr和λ1，λ2，λ3…λr一起组成用户密钥。
加密操作分为四步，具体步骤为
1.把待加密的用户数据组成一些r维向量，记为z1，z2，…zs，r≥s≥1，这些向量的元素都是GF(n)中的正整数。
2.构造一个随机矩阵Y，其特征向量集与A的特征向量集有特定关系(如两者相同)，可采用的公式如下Y＝(k1Ar-1+k2Ar-2+…+krI)(mod n) (5)k1，k2…kr是r个随机整数，ki∈GF(n)，1≤i≤r。
3.计算C＝Y[z1，z2，…zs](mod n) (6)d＝θ1Yb1+θ2Y2b2+…θvYvbv+θv+1Y-1bv+1+θv+2Y-2bv+2+…θv+wY-wbv+w(mod n)(7)当v＝w＝1，θ1＝θ2＝1时，d＝(Yb1+Y-1b2)(mod n) (8)其中b1落在A的前m个特征向量张成的子空间中，b2落在A的其余r-m特征向量张成的子空间中。
4.输出二元组(C，d)作为密文。
假定A由(2)给出，根据(5)，Y可以表示为Y＝Hdiag(μ1，μ2，μ3…μr)H-1(mod n) (9)其中μ1，μ2，μ3…μr为Y的特征值，可能取得GF(n)中的任何值。假定d按(8)式计算，在(8)两边同时左乘H-1可得H-1d＝(H-1YHH-1b1+H-1Y-1HH-1b2)(mod n)＝[diag(μ1，μ2，…μr)H-1b1+diag(μ1-1，μ2-1，…μr-1)H-1b2](mod n)(10)由于b1落在A的前m个特征向量张成的子空间中，b2落在A的其余r-m特征向量张成的子空间中，
H-1b1(mod n)＝0 (11)[Im0]H-1b2(mod n)＝0 (12)其中Im和Ir-m分别为m阶和r-m阶单位矩阵。令β＝[β1β2… βr]T＝(H-1b1+H-1b2)(mod n)(13)δ＝[δ1δ2… δr]T＝H-1d(mod n) (14)综合(10)、(11)、(12)、(13)和(14)可得δ＝diag(μ1…μm，μm+1-1…μr-1)β(mod n)即δi＝μiβi(mod n)，i＝1，2，…mδi＝μi-1βi(mod n)，i＝m+1，m+2，…r故解密操作可按如下公式一步完成zj＝Y-1cj(mod n)＝Hdiag(β1δ1-1，…βmδm-1，βm+1-1δm+1…βr-1δr)H-1cj(mod n)(15)
其中j＝1，2，…s，ci是C的第i个列向量，βi，1≤i≤m是H-1b1(mod n)的第i个元素，βi，m+1≤i≤r是H-1b2(mod n)的第i个元素，δi，1≤i≤r是H-1d(mod n)的第i个元素。由于以上运算都是定义在GF(n)之上，只要在构造密钥时，注意保证(13)式所定义的β所有元素均不为零，则运算过程所涉及的逆元都存在。
从以上介绍可以看出，本发明的加、解密计算简单，不涉及高阶指数运算，用于大量数据的加密可达到很高的效率。对本发明提供的的公钥密码体制的攻击主要有两个途径。第一个途径是从公钥中破解密钥，即从矩阵A中找出其特征值和特征向量。其复杂性相当于求解一个r阶的代数方程，对于r＞4，除了穷举没有更有效的办法，攻击难度将按加密运算模数n的长度的指数增长。第二个途径是利用d所提供的信息破解随机系数k1，k2…kr，从而获得随机矩阵Y，并从C中恢复明文信息。根据(5)和(8)可得[(k1Ar-1+k2Ar-2…+krI)2b1-(k1Ar-1+k2Ar-2…+krI)d+b2](mod n)＝0这实际上是一个r元二次方程组，经消元后所得一元方程的阶数通常不会小于r。因此第二个攻击途径的难度更大。可见对于给定运算模长，本发明提供的公钥密码体制可望具有比椭圆曲线公钥密码体制更高的安全强度。估计运算模长取为128就可以满足商业加密需要。适当提高(7)式中v和w的值可进一步提高密码体制的安全强度，但也会加大解密过程的计算量。
由于矩阵A的特征向量可以根据其特征值算出，所以本发明提供的公钥密码体制的私钥实际长度为rq，其中q是模数n的长度。为了压缩公钥的长度，可取矩阵H为H＝[h(λ1) h(λ2) … h(λr)]其中h(λ)＝[λr-1λr-2… λ2λ 1]T(mod n) (16)则A成为其特征多项式det(λI-A)(mod n)＝(λ-λ1)(λ-λ2)…(λ-λr)(mod n)＝(λr+c1λr-1+c2λr-2…+cr)(mod n) (17)的伴随矩阵，可表示为A=-c1-c2···-cr-1-cr1······01······0······010---(18)]]>b1和b1可适当选取使得b1有m-1个零元素，1个常数，b2有r-m-1个零元素，1个常数，两个矢量一共只有r个变量，则本发明提供的公钥密码体制的公钥长度可压缩为2rq。
以下介绍本发明的改进部分。改进的目的是提供两级私钥。其中一级私钥为用户私钥，用于正常解密，二级私钥为备份私钥，可在必要时用于破解用户私钥，从密码中恢复明文。近年来，为了减少私钥丢失和人员流动造成密文不可恢复，人们研究了大量的私钥备份方法。但是，无论采用哪一种备份方法，整个私钥备份过程都是一个复杂的动态管理过程。备份私钥和私钥备份的概念不同。首先，备份私钥与用户私钥无关，不需要随用户公钥改变而修改，一旦配置，可以在预定的时间中保持不变。其次，备份私钥可对一般用户保密，一个备份私钥可用于多个用户系统。
本发明改进部分的加密操作与基本部分的加密操作相同，以下就密钥制作、使用一级密钥(即用户密钥)的常规解密操作、使用二级密钥(即备份密钥)的应急解密操作以及密钥数据量压缩四个方面详细介绍改进部分与基本部分的差别。密钥制作方面的改进主要有如下几点1.加、解密过程中涉及的数学运算模数n改取为一个合数，n＝pq，p和q是两个大素数，p和q必须保密。
2.限定r＝2m，m＞1，A的约当标准型由两个m阶约当块组成，其特征多项式具有如下形式det(λI-A)(mod n)＝(λI-λ1)m(λI-λ2)m(mod n) (19)构造A的公式改为A=HJ1J2H-1(modn)---(20)]]>其中J1和J2是m阶约当块，J1=λ11λ11λ1······1λ1]]>J2=λ21λ21λ2······1λ2]]>改进部分的常规解密思路和基本部分的解密思路相同，但具体操作不一样。首先，采用(5)算出来的随机矩阵Y不再具有(9)的形式，但可以表为
Y=HF1F2H-1(modn)---(21)]]>其中F1＝(μ1I+μ2E+…+μmEm-1)(mod n) (22)F2＝(μm+1I+μm+2E+…+μrEm-1)(mod n) (23)E是一个m×m矩阵，定义如下E=01010······10---(24)]]>在(8)两边同时左乘H-1并以(21)代入，获得与(10)类似的结果H-1d=[H-1YHH-1b1+H-1Y-1HH-1b2](modn)]]>=(F1F2H-1b1+F1-1F2-1H-1b2)(modn)---(25)]]>令β＝[Im0]H-1b1(mod n) (26)ξ＝
H-1d(mod n)(27)仍选取b1落在A的前m个特征向量张成的子空间中，b2落在A的其余m个特征向量张成的子空间中，根据(11)和(12)，(25)可拆写为[Im0]H-1d(mod n)＝F1[Im0]H-1b1(mod n) (28)
H-1d(mod n)＝F2-1
H-1b2(mod n) (29)综合(22)、(23)、(26)、(27)、(28)和(29)可得[Im0]H-1d(mod n)＝(μ1I+μ2E+…+μmEm-1)[Im0]H-1b1(mod n)＝(μ1I+μ2E+…+μmEm-1)β(mod n)
H-1b2(mod n)＝(μm+1I+μm+2E+…+μrEm-1)
H-1d(mod n)＝(μm+1I+μm+2E+…+μrEm-1)ξ(mod n)故[μ1，μ2，…μm]T＝[β Eβ…Em-1β]-1[Im0]H-1d(mod n)[μm+1，μm+2，…μr]T＝[ξ Eξ…Em-1ξ]-1
H-1b2(mod n)
由此可得μ1，μ2，…μr并根据(21)，(22)和(23)恢复随机矩阵Y，进而通过计算Y-1zj，j＝1，2，…s获得信息明文。
使用二级密钥(即备份密钥)的应急解密操作的关键是在已知p和q及n＝pq的条件下求解det(λI-A)(mod n)＝(λ-λ1)m(λ-λ2)m(mod n)＝0(30)具体步骤是1.计算特征多项式det(λI-A)(mod n)＝(λr+c1λr-1+c2λr-2…+cr)(mod n) (31)中的系数c1和cr；2.比较(19)和(31)并建立以下两个方程-m(λ1+λ2)(mod n)＝c1(32)(λ1λ2)m(mod n)＝cr(33)3.利用n＝pq把(33)化为λ1λ2(mod pq)＝a (34)其中a满足am(mod pq)＝cr4.根据中国剩余定理从(32)和(34)中求解λ1和λ2，这等价于求解如下方程(mλ2+c1λ+ma)(mod pq)＝0 (35)这里有一点需要特别说明。以pq为二级私钥，在必要时通过(32)、(33)、(34)和(35)破解一级私钥是本发明的一项内容，但它仅限于在本说明书所介绍的公钥密码体制中的应用，具有特定的上下文。一般意义下采用模pq乘方运算进行信息加密是Rabin公钥密码体制的基本方法，不包括在本发明之中。
以下介绍针对改进后的公钥密码体制进行密钥压缩的方法。压缩的结果可以把密钥模长减小到两个n的长度，在运算模长相同的条件下达到和现有的公钥密码体制如Rabin和ElGamal相同的密钥长度。为此仍记h(λ)＝[λr-1λr-2… λ2λ 1]T(mod n)并取H的列向量为h1＝h(λ1)hj＝h(j-1)(λ1)/(j-1)！(mod n)，j＝2，3，…mhm+1＝h(λ2)hm+j＝h(j-1)(λ2)/(j-1)！(mod n)，j＝2，3，…m即
H=λ1r-1(r-1)λ1r-2···λ1r-1(r-1)λ1r-2·····················λ122λ1···λ122λ1···λ11λ1111(modn)---(36)]]>则密码体制的私钥可简化为二元组(λ1，λ2)。A成为(31)所示特征多项式的伴随矩阵，可表示为如下A=-c1-c2···-cr-1-cr1······01······0······010]]>其中c1，c2，…cr为(31)所示特征多项式的系数，根据(30)和(31)，有(λr+c1λr-1+c2λr-2…+cr)(mod n)＝(λ-λ1)m(λ-λ2)m(mod n)(37)令σ1＝(λ1+λ2)(mod n) (38)σ2＝(λ1λ2)(mod n)(39)(37)式可化为(λr+c1λr-1+c2λr-2…+cr)(mod n)＝(λ2-σ1λ+σ2)m(mod n) (40)c1，c2，…cr可以通过比较(40)两边同类项的系数而确定，它们都可以表示为σ1和σ2的函数。因此，只要已知σ1和σ2，就可构造出任意阶数的满足(19)和(20)的A矩阵。
以下讨论公钥中b1和b2的计算。b1和b2可分别取为(36)式中H的一些列向量的模n和，即b1＝(hm+hr)(mod n)b2＝(h1+h2…+hm-1+hm+1+…hr-1)(mod n)它们的元素都可以表示为λ1i+λ2i(0≤i＜r)和一个常数的模n乘积。我们有(λ1i-1+λ2i-1)(λ1+λ2)(mod n)＝(λ1i+λ2i)+λ1λ2(λ1i-2+λ2i-2)(mod n)，2≤i＜r(41)即λ1i+λ2i＝[(λ1i-1+λ2i-1)(λ1+λ2)-λ1λ2(λ1i-2+λ2i-2)](mod n)(42)其中i＝2，3，…r-1。综合(38)、(39)和(42)可知b1和b2的元素均可表示为常数或σ1和σ2的函数。因此，整个密码体制的公钥可以简单地以二元组(σ1，σ2)给出。使用备份密钥破解用户密钥也变得更为简单，因为已知p和q(n＝pq)即可直接求解(38)和(39)以获得用户私钥。
针对b1和b2的新选择，还需对常规解密的具体操作方法作一些新的调整。首先，按(26)计算的β成为一个第m元素为1，其余元素均为0的m维向量β＝[Im0]H-1b1(mod n)＝
T(43)我们有，
H-1b1(mod n)＝[Im0]H-1b1(mod n)＝β (44)令ζ为一个m维向量，其第m元素为0，其余元素均为1ζ＝[1 1 … 1 0]T(45)则
H-1b2(mod n)＝[Im0]H-1b2(mod n)＝ζ(46)仍记δ＝[δ1δ2…δr]T＝H-1d(mod n) (47)(25)可拆写为[Im0]δ＝(F1β+F1-1ζ)(mod n) (48)
δ＝(F2β+F2-1ζ)(mod n) (49)注意(22)和(23)所示矩阵F1和F2的逆可表示为F1-1＝(η1I+η2E+…+ηmEm-1)(mod n) (50)F2-1＝(ηm+1I+ηm+2E+…+ηrEm-1)(mod n)(51)其中E由(24)定义，故Im＝F1F1-1(mod n)＝(μ1I+μ2E+…+μmEm-1)(η1I+η2E+…+ηmEm-1)(mod n)＝[μ1η1I+(μ1η2+μ2η1)E+…+(μ1ηm+μ2ηm-1…μmη1)Em-1)](mod n) (52)综合(22)、(48)和(50)得[Im0]δ＝F1β+F1-1ζ＝(μ1β+μ2Eβ…+μmEm-1β)(mod n)+(η1ζ+η2Eζ…+ηmEm-1ζ)(mod n) (53)由(52)得μ1η1＝1 (54)(μ1ηi+μ2ηi-1…+μiη1)(mod n)＝0，i＝2，3，…m (55)由(53)得(μi+η1+η2…+ηi-1)(mod n)＝δm-i+1，i＝1，2，3，…m (56)综合(54)、(55)和(56)可得
μ1＝δmη1＝μ1-1(mod n)μ2＝(δm-1-η1)(mod n)η2＝(-μ1-1μ2η1)(mod n)μi＝(δm-I+1-η1-η2…ηi-1)(mod n)ηi＝(-μ1-1μ2ηi-1-μ1-1μ3ηi-2…-μ1-1μiη1)(mod n)i＝3，4，…m (57)采用同样的方法可以获得μm+1，μm+2，…μr和ηm+1，ηm+2，…ηr，最后根据(50)、(51)可算出F1-1和F2-1并构造Y-1，Y-1=HF1-1F2-1H-1(modn)]]>进而通过计算Y-1zj，j＝1，2，…s获得信息明文。
权利要求
1.一种基于矩阵经典分解问题，即通过相似变换把矩阵转化为对角型或约当(Jordan)标准型问题的公钥密码体制，其特征在于公钥是定义在模n(n为素数)的整数域GF(n)上的一个r×r(r＞4)矩阵(记为A)和若干r维向量(记为b1，b2，…bv+w，r＞v+w＞1)；私钥是A的所有特征值和特征向量(含广义特征向量)；加密过程包含如下步骤a)把待加密的用户数据组成一些r维向量(记为z1，z2，…zs，r≥s≥1)，这些向量的元素都是小于n的正整数；b)构造一个随机矩阵Y，其特征向量集与A的特征向量集有特定关系或完全相同；c)计算C＝Y[z1，z2，…zs](mod n) (1)d＝θ1Yb1+θ2Y2b2+…θvYvbv+θv+1Y-1bv+1+θv+2Y-2bv+2+…θv+wY-wbv+w(mod n)(2)密文是二元组(C，d)；解密方法是利用A的特征向量组成一个变换矩阵(记为H)对方程(2)中的Y作相似变换，使之成为一个含r个未知数(一般为Y的r个特征值)的简单矩阵(如对角标准型或约当标准型矩阵)，从而把该方程简化为一个含r个未知数的简单的r维向量方程，求解这个简化方程可获得随机矩阵Y，并从方程(1)中解得明文数据z1，z2，…zs。
2.按权利要求1规定的公钥密码体制，其特征在于Y是采用r个随机整数k1，k2…kr按以下公式算得Y＝(k1Ar-1+k2Ar-2+…+krI)(mod n)
3.按权利要求1规定的公钥密码体制，其特征在于v＝w＝1，θ1＝θ2＝1，b1位于A的m(r＞m＞1)个特征向量(记为h1，h2，…hm)所张成的一个子空间中，b2位于A的其余r-m个特征向量(记为hm+1，hM+2，…hr)所张成的另一个子空间之中，b1和b2满足
H-1b1(mod n)＝0 (3)[Im0]H-1b2(mod n)＝0(4)
4.按权利要求1或3规定的公钥密码体制，其特征在于A具有r个相异的特征值，解密方法是把随机矩阵Y表示为Y＝Hdiag(μ1，μ2，μ3…μr)H-1(mod n) (5)把(2)转化为H-1d＝[diag(μ1，μ2，…μr)H-1b1+diag(μ1-1，μ2-1，…μr-1)H-1b2](mod n)(6)并根据(3)、(4)和(6)获取Y的特征值μ1，μ2，μ3…μr，再利用(5)重建Y矩阵，进而通过(1)的逆运算获得明文。
5.按权利要求4规定的公钥密码体制，其特征在于选取矩阵A为其特征多项式det(λI-A)(mod n)＝(λ-λ1)(λ-λ2)…(λ-λr)(mod n)＝(λr+c1λr-1+c2λr-2…+cr)(mod n)的伴随矩阵，A=-c1-c2···-cr-1-cr1······01······0······010]]>选取b1和b1使得这两个矢量一共只有r个变量，从而把本发明提供的公钥密码体制的公钥长度压缩为2rq，其中q是模数n的长度。
6.一种公钥密码体制，其特征在于它是按权利要求1至3中任何一项规定的公钥密码体制的改进形式，关键改进点是a)加、解密过程中涉及的数学运算模数n改取为一个合数，n＝pq，p和q是两个大素数，p和q保密；b)限定r＝2m，m＞1，A的约当标准型由两个m阶约当块组成，其特征多项式具有如下形式det(λI-A)(mod n)＝(λI-λ1)m(λI-λ2)m(mod n) (7)
7.按权利要求6规定的公钥密码体制，其特征在于b1位于A的前m个特征向量(对应于特征值λ1)所张成的一个子空间中，b2位于A的其余m个特征向量(对应于特征值λ2)所张成的另一个子空间之中，解密时，随机矩阵Y按如下方法取得a)把Y表示为Y=HF1F2H-1(modn)---(8)]]>其中F1＝(μ1I+k2E+…+μmEm-1)(mod n)(9)F2＝(μM+1I+kM+2E+…+μrEm-1)(mod n) (10)其中E定义为一个m×m矩阵E=01010······10]]>b)把(2)转化为[Im0]H-1d(mod n)＝(μ1I+μ2E+…+μmEm-1)[Im0]H-1b1(mod n)(11)和
H-1b2(mod n)＝(μm+1I+μm+2E+…+μrEm-1)
H-1d(mod n) (12)c)求解(11)和(12)以获取μ1，μ2，…μm和μm+1，μm+2，…μr。d)根据(8)、(9)和(10)重构Y。
8.按权利要求6规定的公钥密码体制，其特征在于p和q被用作二级私钥，即备份私钥，获得授权的人已知p和q，可通过如下步骤求解A的特征值，进而获得用户私钥(即A的特征值和特征向量)a)计算特征多项式det(λI-A)(mod n)＝(λr+c1λr-1+c2λr-2…+cr)(mod n)(13)中的系数c1和cr；b)比较(7)和(13)并建立如下两个方程-m(λ1+λ2)(mod n)＝c1(λ1λ2)m(mod n)＝crc)利用n＝pq，并根据中国剩余定理求解以上两个方程所构成的方程组以获得λ1和λ2。
9.按权利要求6或8规定的公钥密码体制，其特征在于A取为其特征多项式的伴随矩阵A=-c1-c2···-cr-1-cr1······01······0······010]]>H取为H=λ1r-1(r-1)λ1r-2···λ1r-1(r-1)λ1r-2·····················λ122λ1···λ122λ1···λ11λ1111(modn)]]>其列向量可表示为h1＝h(λ1)hj＝h(j-1)(λ1)/(j-1)！(mod n)，j＝2，3，…mhm+1＝h(λ2)hm+j＝h(j-1)(λ2)/(j-1)！(mod n)，j＝2，3，…m其中h(λ)定义为h(λ)＝[λr-1λr-2… λ2λ 1]T(mod n)b1取为H的第m和第r个列向量的模n和，b2取为H的其余列向量的模n和，即b1＝(hm+hr)(mod n)b2＝(h1+h2…+hm-1+hm+1+…hr-1)(mod n)进行(1)的逆运算所需的随机矩阵Y的逆矩阵Y1按如下方法取得a)把Y表示为(8)、(9)和(10)，b)把Y-1表示为Y-1=HF1-1F2-1H-1(modn)---(14)]]>其中F1-1＝(η1I+η2E+…+ηmEm-1)(mod n)(15)F2-1＝(ηm+1I+ηm+2E+…+ηrEm-1)(mod n) (16)c)求解以下两个方程构成的方程组以获取η1，η2，…ηmIm＝(μ1I+μ2E+…+μmEm-1)(η1I+η2E+…+ηmEm-1)(mod n) (17)[Im0]δ＝(F1β+F1-1ζ)(mod n)＝(μ1β+μ2Eβ…+μmEm-1β)(mod n)+(η1ζ+η2Eζ…+ηmEm-1ζ)(mod n) (18)其中β，ζ和δ由分别定义为β＝[Im0]H-1b1(mod n)＝
Tζ＝[Im0]H-1b2(mod n)＝[1 1 … 1 0]Tδ＝H-1d(mod n)d)按同样方法计算ηm+1，ηm+2，…ηr，e)根据(14)、(15)和(16)计算Y-1。
10.按权利要9规定的公钥密码体制，其特征在于以二元组(λ1，λ2)作为密码体制的简化私钥，并以二元组(σ1，σ2)代替A、b1和b2作为密码体制的公钥，其中σ1和σ2分别定义为σ1＝(λ1+λ2)(mod n)(19)σ2＝(λ1λ2)(mod n) (20)使用备份密钥破解用户密钥的操作被简化为根据p和q(n＝pq)直接从以上两式中求解λ1和λ2；构造A所需的c1，c2，…cr通过比较下式两边同类项的系数而确定，并表示为公钥σ1和σ2的函数(λr+c1λr-1+c2λr-2…+cr)(mod n)＝(λ2-σ1λ+σ2)m(mod n)(21)b1和b2的元素中与λ1和λ2相关的因子被归并为λ1i+λ2i(1≤i＜r)的形式，并根据公钥σ1和σ2按(19)、(20)和以下递推公式算出λ1i+λ2i＝[(λ1i-1+λ2i-1)(λ1+λ2)-λ1λ2(λ1i-2+λ2i-2)](mod n)，i＝2，3，…r
全文摘要
本发明提供一种基于高阶矩阵经典分解问题复杂性的全新的公钥密码体制。对于给定运算模长，本发明提供的公钥密码体制可望具有比椭圆曲线公钥密码体制更高的安全强度。这种新的公钥密码体制适用于直接对大量用户数据进行加密，加、解密速度可以达到目前常用公钥密码体制的几十倍甚至几百倍。这种新的公钥密码体制经改进后还能提供两级私钥。其中一级私钥为用户私钥，用于正常解密，二级私钥为备份私钥，可在必要时用于破解用户私钥，从密码中恢复明文。备份私钥与用户私钥无关，不需要随用户公钥改变而修改，可对一般用户保密。一个备份私钥可用于多个用户系统，以节省资源。
文档编号G09C5/00GK1492387SQ0211756
公开日2004年4月28日 申请日期2002年5月28日 优先权日2002年5月28日
发明者郑建德 申请人:郑建德