CN1146676A - 密码通信方法 - Google Patents

Abstract

一种新颖的非对称密码模式，可用于加密签名和鉴别。该模式基于具有有限域K中的值的低阶公开多项式方程。该机制不需要必须为双射的。保密密钥使之能用环K的扩充中的值隐藏多项式方程。如果有了私有密钥，解这些方程式就能执行只用公开密钥不可能执行的操作。

Description

密码通信方法

本发明涉及一种非对称密码通信方法，用于在对话者之间处理消息和保护通信。该方法用于非对称地加密或标识消息，也可用于非对称的鉴别。

众所周知的第一个解决方案是在1977年提出来的。这个解决方案是由发明者Rivest、Shamir和Adleman于1977年12月14日提出申请的美国专利4405829的主题。该方法通常称为RSA，这是根据其发明者的名字而取名的，该方法使用了两种密钥。第一个密钥(Kp)用于消息加密，而第二个密钥(Ks)则用于解密。该为全世界所熟知的方法是非对称加密的基础，之所以这样叫是因为用于加密和解密的密钥不同。在同一网络中，每个成员(i)具有一对密钥。第一个(Kp_i)是公开的，因此可以被任何人所知道；而第二个(Ks_i)是保密(secret)决不能用于通信。

在同一网络中的两个对话者(1)和(2)之间的加密通信按以下的方式进行：首先，(1)和(2)互相交换其公开密钥(Kp₁)和(Kp₂)；然后，当(1)希望把消息加密，并且一旦该消息被(2)接收到，只能借助(2)所持有的保密密钥(Ks₂)解密：

加密：M’＝RSA(M，Kp₂)

解密：M＝RSA(M’，Ks₂)

当(2)希望送消息给(1)时，用属于(1)的公开密钥(KP₁)对其加密，而用自己的保密密钥(Ks₁)解密。

RSA方法也可用于签名：用某人的保密密钥对消息加密，然后把称为签名的被加密消息和采用不加密形式的消息一块发送；消息的接收者要求确认该人的公开密钥，并用其对签名解密；如果被解密的文本对应不加密的消息，则该签名被确认。

这种密码通信方法存在若干缺陷。所需处理的数字很大(目前一般为512位)，这需要进行大量的计算，而导致签名很长。而且，如果在因子分解方面取得新的突破，RSA的安全性将受到损害。

已经提出的用于执行非对称加密或消息签名功能的还有其它非对称密码通信方法，例如使用基于“背包”的算法或MATSUMOTO-IMAI算法。然而，这两种算法都已经被表明其安全性程度并不完全令人满意。

本发明提出的方法不存在这两种算法的缺陷，而且还保留了它们的某些优点。本发明使用了一种新颖的算法，称为“隐域算法”或HFE(隐域方程)，象RSA一样，可用于鉴别、加密和签名等功能。然而，RSA主要基于对大的数字分解因子的问题，而HFE算法则基于一个完全不同的问题：解多变量低次方程(通常为2次或3次)。必须注意的是，MATSUMOTO-IMAI算法也具有这种特性，但正如已经指出的是，这种算法已经被表明其安全性程度是不能完全令人满意的，这使之不适于用在密码通信方法中。本发明的作者也是发现MATSUMOTO-IMAI算法在加密上不可靠的人。

对HFE算法的这种可靠性有贡献的新颖因素包括该算法不需要求一一对应(bijective)，以及可以使用很一般的多项式方程。

本发明的另一个优点是，HFE算法具有计算超短签名(小于200位)的能力，而且目前已知的最短非对称签名为220或320位的数量级(借助SCHNORR算法或DSS算法得到的，这些算法只能用于签名或鉴别，不能用于加密/解密)。当使用RSA方法时，最好至少用512位。

定义：

1.环A的N阶“扩展(extension)”为任一同构(isomorphic)代数结构A〔X〕/g(X)，其中，A〔X〕为具有A上的一个未知数的多项式的环，g(X)为n次多项式。

一种特别有利的情况是，A为有限域F_q，g为F_q上的一个n次不可约多项式。在这种情况下，A〔X〕/g(X)为F_qn的有限同构域。

2.n阶A的扩展L_n的“基”为L_n，(e₁，e₂，…，e_n)的n个元素族，这样，L_n的每个元素e所用下面的式子唯一表示： $e=\underset{i-1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\α}}_i{e}_{i}a\∈A.$

为此，本发明涉及一种密码通信方法，将有限环(K)的多个元素(n)表示的值(X)转换为该环(K)的多个元素(n’)表示的映射值(Y)，其特征在于：

a)映象值(Y)的每个元素(n’)采用次(D)公开多项式方程的形式，这是一个由值(X)的n个元素组成的大于或等于2次(通常D＝2或3)的多项式；

b)映象值(Y)也可通过对值(X)进行变换而得到，该变换包括下面步骤，至少其中的某些步骤需要加密的知识：

b1)对值(X)进行由值(X)的(n)元素组成的次数为1的第一加密多项式变换(s)，以便得到有(n)个元素的第一映射(I1)；

b2)形成一个或多个分支，每个分支由第一映射(I1)的元素组成(例如，第一分支包括I1的前n₁个元素，第二分支包括随后的n₂个元素等等，或者，同一元素可以出现在几个分支中)，并且

·在至少一个分支(e)(或可能全部分支)中，分支的(n_e)个元素被认为是表示属于环(K)的W次扩展(L_w)的一个变量或少数(k)变量(x，x’，x”，…，x^k)，  满足W^*k＝n_e’，并至少对该分支(e)进行一个如下定义的变换：

    f_e：L_w ^k→L_w ^k

    (x，x’，x”，…，x^k)→(y，y’，y”，…，y^k)

注意，(y，y’，y”，…，y^k)为经变换f_e’得到的(x，x’，x”，…，x^k)的映射，f_e证实了下面的两个性质：

-b2.1)在环扩展(L_w)的基中，映射(y，y’，y”，…，y^k)的每个分量用曲该基中(x，x’，x”，…，x^k)的分量组成的多项式表示，该多项式的全部次数≤公开多项式方程的次数(D)。

-b2.2)用环扩展(L_w)表示变换(f_e)，使之能够(也许除了某些项这些项的数目对于项的总数是微不足道的)计算出(f_e)的前几项(antecedents)(如果存在的话)，(这种计算在n_e很小时可采用穷搜索法，或使用解有限环中这类多项式方程的数学算法)；

·对其它可能的分支，进行次数小于等于其值在环(K)中的分量形成的次数(D)的多项式变换；

b3)将次数≤(D)的(保密或公开的)多项式加到刚被变换的分支的或其它分支的输出上，该多项式只依赖直接位于该分支前面的分支的变量(这一步不是必须执行的；所加的可以是空多项式)。

b4)对刚被变换的分支，或刚被变换的多个分支并置(即分组)，构成第二映射(I2)；

b5)对第二映射(I2)进行第二加密多项式变换(t)，该变换由第二映射(I2)的元素组成且次数为1，以便得到具有预定元素数目的第三映射(I3)；以及

b6)从第三映射(I3)的元素集合中选择(n’)个元素，形成映射值(Y)(例如第一个；或者在某些变式中，选择I3的所有元素，在这种情况下Y＝I3)。

本发明还涉及使用上述通信方法非对称名确认方法和非对称鉴别方法。

本发明的其它细节和优点将在下面的几个优选但又非限定的实施例中结合附图加以描述，在附图中：

图1表示用于处理消息的多个变换的并置；

图2表示用于执行消息加密/解密过程的通信设备；以及

图3表示同一设备，用于执行消息的签名及其确认。

在提出本发明之前，首先简单回顾和有限域的性质有关的数学概念。

有限域的描述和性质

1)函数f：

设K为基q和特征p的有限域(通常，但不必要，q＝p＝2)，L_N为K的N次扩展，β_i，j，α_i和μ_o为L_n的元素，θ_i，j，ψ_i，j和ξ_i为整数，并且识f为下面的应用：

f：L_N→L_N $X>\→{\mathrm{\Σ}}_{i,j}{\mathrm{\β}}_{i,j}*X^{Q+P}+{\mathrm{\Σ}}_i{d}_i*X^s+{\mathrm{\μ}}_o$

其中，Q＝q^θi，j，P＝q^ψi，j以及S＝q^ξi

其中，f为X的多项式，(*)为乘号。注意，Q，P和S可能表示密码中的n个值，因为可能存在n个θ_i，j，ψ_i，j和ξ_i。

此外，对于任何整数λ，x＞→x^qλ为LN→LN的线性应用。所以，f是一个二次函数。

如果B为L_N的基，则在基B中，f的表达式为：

f(x₁，…，x_N)＝(P₁(x₁，…，x_N)，…，P_N(x₁，…，x_N))

其中，P₁，…，P_N为由N个变量x₁，…，x_N组成的总次数为2的多项式。

利用L_N的表达式(representation)计算多项式P₁，…，P_N。L_N的表达式通常为K上不可约多项式的i_N(X)的诸元(datum)，次数为N，这将使之能识别具有K〔X〕/(i_N(X))的L_N。这样计算多项式P₁，…，P_N就很方便。

2)f的逆变换(inversion)

设μ为多项式f中x的次数。f不一是L_N→L_N的一个双射(一一对应)；然而：

17)“a”为L_N的一个元素，存在已知的算法，能相当方便地找出L_N中x的所有值(如果存在的话)，使得f(x)＝a，当μ不太大时(例如μ≥1000)〕。

2)此外，对于L_N的每个“a”，在f(x)＝a中，关于x至多存在“μ”个解。

3)在某些情况中，f可能为一一对应的。

加密/解密系统的基本HFE算法

现在介绍新颖HFE算法的第一个版本，该版本不受限制，更通用的版本在随后的段落中介绍。

域K，包括q＝p^m个元素，是公开的。每个消息由K的几个元素构成。例如，如果p＝2，每个消息具有n^*m位。n也是公开的，被分成d个整数：n＝n₁+…+n_d。

这些整数中的每一个n_e(1≤e≤d)与域K的n_e次扩展Ln_e相应(符号≤指“少于或等于”)。

设“字”为由K的分量表示的一个值。例如，Ln_e(1≤e≤d)的一个元素可以被表示为长度为n_e的一个字。在这里将描述的加密机制中，将用到二次函数f₁，…，f_d，这些函数类似于上述的函数f，其中，对f₁，N＝n₁，对f₂，N＝n₂，等等。这些函数将产生d个字。然后，这d个字将被组合成长度为n的一个字。

·保密对象是：

1)  Kⁿ→K^h的两个仿射双射变换s和t。这些仿射双射可以由次数为1和其系数在K中的多项式在一个基中表示。

2)n被分为d个整数：n＝n₁+…+n_d。

3)域Ln₁，…，Ln_d的表达式。这些“表达式”是选择d个不可约多项式的结果。ψ n_e表示K^ne到Ln_e的同构，这里1≤e≤d。

4)二次函数f₁，…，f_d和标题为“函数f”(使用N＝n_e和1≤e≤d)的段落中所描述的函数f具有相同的类型。

首先注意：所有这些目的是加密一个既定值，但实际上，上述2)、3)和4)点中的目的也可以是公开一个既定值。实际上，该算法的安全性主要体现在加密变换s和t中。

其次注意：s和t是一一对应的应用，但也可以是“准双射”，即，它们可以是只有几个前项的应用。

图1介绍加密机制。操作顺序从顶到底。首先从Kⁿ→Kⁿ的仿射双射变换s开始。

函数μ₁，…，μ_d是Kⁿ→K^ne的映射函数(其中1≤e≤d)，μ为逆并置函数。在某种意义上，函数μ₁，…，μ_d将几个元素分为d个“分支”。

同构ψn_e从各种域K^ne中被作用到各种域表达式Ln₁，…，Ln_d上，然后，二次函数f₁，…，f_d分别从Ln₁，…，Ln_d被作用到Ln₁，…，Ln_d上。接着，逆同构(ψn_e)^-1从各种域表达式Ln₁，…，Ln_d被作用到各种域K^ne上。

接着，逆并置函数μ从K^ne被作用到Kⁿ。最后，执行Kⁿ→Kⁿ的仿射双射变换t，该变换的一般形式类似于变换s。

F₂为阶数≤(D)的函数，取决于最左边块的变量。更一般地，F_i(2≤i≤d)为阶数≤(D)的函数，这取决于块1，2，…，i-I的变量。

注意：这些函数F₂，…，F_d在块中产生了Feistel图。通常，它们不用在HFE算法中，在这种情况下，F₂＝…＝F_d＝0。

必须注意，而且这是很重要的一点，所有这些操作的组合产生一个二次函数，当该函数借助其在某个基中的分量被表达时。所以，该函数可由其系数在K中的n个多项式(P₁，…，P_n)给出，这些多项式使得能够按照非加密文本x的函数计算被加密文本(y)。

·公开的对象是：

1)1＝p^m个元素的域K，比及消息的长度n。

2)由K的几个变量组成的几个多项式(P₁，…，P_n)。因此，任何人都能够加密某个消息(根据本发明的特征，加密算法是完全公开的)。而且，如果保密对象是已知的，就能够解密。实际上，图1所述的所有操作可以倒过来。因此，函数f_e的逆变换包括解在域Ln_c’中具有一个未知数的多项式方程，如上述标题为“f的逆变换”段落中所指出的那样。然而，必须注意到，f_e不一定是双射的。然后可能得到n个前提。在这种情况下，决定非加密文本的选择将借助于被插入非加密文本中的一个冗余码，而且被加密的文本也应该包括该冗余码。如果该函数不是双射的，就需要考虑将该冗余码有计划地插入到非加密的消息中。

在签名中利用该算法的例子

必须考虑到两种情况：

·函数为双射的

如果H是应用将被签名的报文的“杂凑”函数的结果(例如，H具有128位的格式)，则签名S为S＝HFE¹(H)。

因此，由于HFE加密函数是公开的，任何人都可以通过执行：H¹＝HFE(S)并确认H’＝H，就能够确认该签名。签名的发送者显然必须知道密码，以便计算出S。

·函数为非双射的

在这种情况下，可以在HFE的输入上选择若干位，输入的位数大于输出的位数，以便利用HFE算法就几乎一定能计算出前几项。

例如，H可以用128位表示，而S为128＋20＝148位。

具体实施例

执行HFE算法有几种方式，所有这些方式都对其特定的执行和实现情况提供了极大的便利。

·只有一个分支的算法示例(即d＝1)。

这个版本只有一个(大的)分支，因此，在每个方程中，所有的变量-即，消息的所有位都被包含在内。考虑到这个分支的大规模，这种执行的形式没有小规模分支的潜在弱点。

·具有相同函数f的小分支的情况

这种特殊的情况包含若干小的分支，例如12位的值，以及相同的函数f。这一版本特别便利，因为它可以在小的中央处理器(例如在单片卡中)中很方便地实现，而且可以借助程序或数学协处理器来实现。

HFE算法的第一种变化

用在每个分支中的函数f，正如在本文中所介绍的那样，是一个有限域中单变量x的多项式方程。采用基表示，函数f被表示为总次数为2的一个方程式。

实际上，也可以使用其它类型的函数f，它稍微不同于上面所定义的一般模式。这种新颖的类型包括依据几个有限域变量，例如两个变量x₁和x₂，选择f函数，这样，在一种基中，做为座标函数的表示保留了等于2的总次数，并且，总能够重新计算f的某个给定值的前几项，当这些前项存在时。

最好通过下面的数值例子来理解这种变化形式。考虑64位的值和p＝2的算法分支，在这种变化形式中，让f取决于每个32位的两个变量x和x’，f(x，x’)＝(y，y’)，这样：

     y＝x⁴＝x*x’＝x’         (1)

     y’＝x¹⁷＋x⁴*x’＋x’³    (2)

(注：这种精确函数的使用不是必须这样做的，仅仅是做为一个例子给出)。

为了由(y，y’)确定(x，x’)可以采用下面的方法：

从等式(1)中，提取：x’＝(y－x⁴)/(x＋1)    (3)

因此，从等式(2)中，提取：

y’(x＋1)³＝x¹⁷(x＋1)³＋x⁴(y－x⁴)(x＋1)²＋(y－x⁴)³                                     (4)

请注意(4)为具有单个变量x的多项式方程。如上所述，数学工作者已经知道解这类方程的某些一般的方法，因此能够解出等式(4)，也能够定义满足该方程的x值；然后，通地替换等式(3)中X的这些值，就可以推出x’的值。

注：目前已知的在有限域中解几个变量的方程的技术使得能够正确地解出其它类型的方程，而不仅仅是本例中所介绍的这一种。特别是对于这样的方程：不需要把某个变量表示为其它变量的函数并替换之。

HFE算法的第二种变化形式

当然，对HFE算法及其变化形式的描述并不限制本发明只使用次数为2的一类多项式方程：完全可以使用3次的；在这种情况下，存在3次的一种公开形式。

同样，4次或甚至5次都是可能的。然而，需要使次数足够低，以便由此导出的公开等式使计算机便于存储和计算。

参数的选择也是很重要的，以便保证最大的安全性，并尽可能躲开密码分析的攻击。在此，为安全起见，最好能做到：

1)在每个分支中，最少有一个32位的变量，而最好至少为64位的，

2)不存在这种形式的等式：

∑γ_ijx_ix_j＋∑α_ix_i∑β_iy_j＋δ_o＝0，其中，系数γ_ij、α_i，β_j或δ_o中至少一个非空，并且，总是要验证y_j的系数是否为被加密文本的部分以及x_i的系数是否为非加密文本的部分。注：在其它方面，正是由于没有验证这样的条件，上述的Matsumoto-Imai算法被认为并不是十分完全。

3)不存在这种形式的等式：

∑γ_ijkx_iy_jy_k＋∑α_ijx_iy_j＋∑β_ijy_iy_k∑μ_ix_i＋∑v_iy_i＋δ_o＝0，即，总次数为3且X的次数为1，

4)更一般地，为完全起见，最好不存在“低”次等式，该等式总在非加密和加密消息的座标之间被确认，除了在小多项式中公开等式乘积的线性组合。

HFE算法的第三种变化形式

前面已经指出，为了使用HFE算法，当函数非双射时，可以把冗余码引入非加密文本中。

存在另一种可能性：如果K的新元素被插入加密值中，加密值Y的长度大于非加密值X的长度是可能的。这些新元素也来自由X的分量所形成的2次等式。更一般地，使用图1的表示法，s(x)的同一元素可以被送到几个分支中。还可以把由任意2次方程组成的一个或多个分支加入某个基中，在这种情况下，这些附加的分支被用来区分其它分支的正确前项。

HFE算法的第四种变化形式

不用使导出图1中最终函数的所有方程都成为公开的，而是让其中的一个或多个保持保密。这意味着，不用使(P₁，…，P_n)全公开，而可以仅使这些方程中的部分公开，在这种情况中，只需通过计算公开的(P₁，…，P_n)多项式来执行加密。

在解密过程中，非公开多项式P_i的所有可能的值都被试验，这就为几种可能的解密消息提供了一个先验值，而正确的消息如前一样被标识：或者把冗余码引入非加密消息，或者借助第三种变化形式中所介绍的方法。

注：这种删除一个或多个公开的方程式的事实在某些情况下将会使况得发现由HFE算法隐藏的域结构变得更加困难。

图2的说明

图2简单地说明了使用上述密码算法的加密/解密系统的例子。

假定有两个人A和B都属于相同的通信网络，他们中的每个人都有各自的消息发送/接收设备1和2。这种设备包括计算装置，例如计算机，用于执行消息的加密/解密过程；以及存储装置。这些计算或存储装置至少部分可以被定位在便携式的装置中，结合微处理器或微布线的逻辑线路，定义控制存取的区域，因此可以包括如加密密钥这样的加密信息(例如，参看法国专利No.2,401,459中所述的便携式装置)。

每个设备都装入了如上所述的HFE算法及其逆算法HFE^-1，尤其采用程序的形式装入。

借助通信线路程3将两个设备互相连接起来。

A和B都分别拥有一对密钥：公开密钥Cp^A和Cp^B以及和对应的公开密钥Cp^A或Cp^B互相关联的保密密钥Cs^A和Cs^B。如果A和B不具备计算这对密钥的装置，这种计算工作可由网络来做，只要给它某些相应于网络每个成员的权限。如果这两个人想在保护模式下互相对话，即，没人能理解所交换的数据，则他们可执行下面的操作过程：

A将其公开密钥Cp^A送给B，而B则将其公开密钥发送给A。在一种变化形式中，网络可以将所有成员的公开密钥都保存在主存储器中，并且在根据请求将其传送给网络的成员。一旦A接收到公开密钥Cp^B，A将借助密码算法HFE对希望送给B的消息M和消息M’进行加密。而B一旦接收到该消息，将借助密码算法HFE^-1和保密密钥Cs^B对该消息解密。只有B能对该消息解密，因为他是网络成员中唯一具有该密钥的人。对于从B到A的消息传输，其操作过程完全类似。

图3的说明

图3简单地说明了利用图2的系统执行计算和签名确认的过程，该过程使用了上述的加密算法。

在这种情况下，消息的传输必须和鉴别一块执行，即，消息M的接收者能确定消息来自某个特定的人。例如假定A想要给B发送一个被鉴别过的消息。这两个对话者将执行下面的操作过程：

首先，A将其公开密钥Cp^A发送给B，或者在一种变化形式中，B也可以从网络中请求得到该密钥。然后，A用其保密密钥Cs^A和加密算法HFE¹对消息加密。所得到的结果称为该消息的签名s。接着，消息(在这种情况下传送的是非加密的)及其签名被送到B。B借助密码算法HFE和前面收到的公开密钥Cp^A对签名解密。所得到的结果，用M”表示，必须和接收到的消息M相同。如果确实这样，那么就证明签名是借助保密密钥Cs^A计算的，因此也证明该消息确实来自A，因为A是网络中具有这一密钥的唯一成员。

对本系统的已知改进包括不但计算消息的签名，而且计算消息压缩的签名。这样，利用“杂凑”函数，就可以把一个相当大的消息压缩为诸元H，这是消息的特征。这种“杂凑”函数可用标准的杂凑函数(例如MD5或SHA)来实现。

总之，  本发明导致了下面的发现：

1.发明人已经表明(参看文献Crypto’95，248页到261页)Matsumoto和Imai的原始算法的加密方式不可靠。该算法包括用公式f(b)＝a^1＋Q隐藏双射f，其中，Q＝q^θ，借助两个仿射变换s和t。

2.发明的人已经表明，可以对f使用更一般化的函数。实际上，发明人已经表明，一方面，可以使用非双射函数f，另一方面，可以使用这样一个已知如何为多项式的各种变化相当大的形式计算前几项的事实，例如使用多项式或多项式合成的PGCD计算，或者利用GROBNER基。

3.需要至少一个不能太小的分支。实际上，发明人发现小分支导致HFE算法性能的降低。

4.而且，发明人注意到，有时，可能只选择构成第三映射(I3)的某些元素，第三映射(I3)是借助第二保密多项式变换从第二映射(I2)中得到的。

Claims (12)

1.一种密码通信的方法，将由有限环(K)的(n)个元素表示的一值(X)变换为由该环(K)的(n’)个元素表示的一个映象值(Y)，其特征在于：

a)映象值(Y)的每个元素(n’)采用由值(X)的元素(n)组成的，具有≥2的低次数(D)的一种公开多项式方程的形式；

b)映象值(Y)也可以借助包括下面步骤的变换从值(X)中得到，至少其中的一些要求加密的知识：

b1)将由值(X)的元素(n)组成的次数为1的第一个保密多项式变换(S)应用到值(x)上，以便得到具有(n)个元素的第一映象(I1)；

b2)第一映象(I1)的(n)个元素被认为是代表属于环(k)的W次扩展(L_w)的变量(x，x’，x”，…，  x^k)中的一个变量或一小部分(k)变量，满足W^*k＝n，将如下定义的变化作用到第一映象(I1)上：

    f：L_w ^k→ L_w ^k

    (x，x’，x”，…，x^k)→(y，y’，y”，…，y^k)

应注意(y，y’，y”，…，y^k)是(x，x’，x”，…，x^k)经变换f得到的映象，已知f证实了下面的两个特性：

-b2.1)在环的扩展(L_w)的基(B)中，映象(y，y’，y”，…，y^k)的每个分量采用由在该基中(x，x’，x”，…，x^k)的元素组成的多项式的形式表达，该多项式的总次数≤所述公开多项式方程的次数(D)；

-b2.2)用环的扩展(L_w)表达变换(f)，使之能够计算存在的(f)的前提，除了对某些项，其数目相对于项的总数来说是微不足道的；

b3)经这样变换的第一映象(I1)构成了第二映象(I2)；

b4)将由第二映象(I2)的元素组成的、次数为1的第二保密多项式变换(t)作用到第二映象(I2)上，以便得到具有预定数目元素的第三映象(I3)；并且

b5)从第三映象(I3)的元素集合中选择(n’)个元素，以便形成所述的映象值(Y)。

2.如权利要求1所述的方法，其中，公开多项式等式的所述低次数(D)等于2。

3.如权利要求1所述的方法，其中，变量的数目k等于1。

4.如权利要求3所述的方法，其中，公开多项多等式的所述低次数(D)＝2，(k)为有限域，并且所述交换(F)具有下面的形式：

    f：L_w→L_w $X\→{\mathrm{\Σ}}_{i,j}{\mathrm{\β}}_{i,j}*x^{Q+P}+{\mathrm{\Σ}}_i{\mathrm{\α}}_i*x^s+{\mathrm{\μ}}_o$ 其中，q为域(K)的基；Q＝q^Oi，j，P＝q^φi，j，且S＝q^εi，β_i，j，α_i和μ_o为L_w的元素，θ^i，j，φ^i，j和ξⁱ为整数，其中，多项式f中x的次数≤1000。

5.如权利要求1所述的方法，不存在这样的多项式等式：由(x，x’，x”，…，x^k)和(y，y’，y”，…，y^k)的分量而不是在小多项式中公开等式的乘积的线性组合组成的低总次数的多项式。

6.如权利要求1所述的方法，使之不存在这种形式的多项式：

∑γ_ijx_ix_i+∑α_ix_i∑β_jy_j+δ_o＝0，并且系数γ_ij，α_i，β_j或δ_o中至少一个非空，并且总是验证系数Y_j是否加密消息的分量，或者系数X_i是否为非加密消息的分量。

7.如权利要求1所述的方法，其中，环(K)为有限域，且环的扩展(L_w)为该环(K)的W次扩展，这意味着(L_w)和K〔X〕/g(X)是同构的，其中g为K上W次的不可约多项式。

8.一种非对称鉴别方法，第一个人称为核实者，另一个人称为试验者，其特征在于：

-核实者将第一值(Y)发送给试验者；

-试验者将第二值(X)返回给核实者，第二值(X)是通过对第一值(Y)进行变换而到，该变换对应权利要求1主题的逆变换；

-核实者将权利要求1的变换作用于第二值(X)，证明该结果符合和第一值(Y)连接的预定关系。

9.一种密码通信方法，将由有限环(K)的(n)个元素表示的值(X)转换为由环(K)的(n’)个元素表示的映象值(Y)，其特征在于：

a)映象值(Y)的每个元素(n¹)采用由值(X)的元素(n)组成的具有≥2的低次数(D)的公开多项式方程的形式；

b)映象值(Y)也可以借助包括下列步骤的变换从值(X)中得到，其中的一些步骤要求加密的知识：

b1)将由值(X)的(n)个元素组成的次数为1的第一保密多项式变换(s)作用到值(X)上，以便得到具有(n)个元素的第一映象(I1)；

b2)形成一个或多个分支，其中的每个分支都由第一映象(I1)的元素组成，并且，

·至少在其中的一个分支(e)中，该分支的(n_e)个元素被认为代表了属于环(k)的W次扩展(L_w)的变量(x，x’，x”，…，x^k)中的一个或少数(k)变量，满足W^*k＝n_e’，并且至少将如下定义的变换作用到该分支(e)上：

    f_e：L_w ^k→L_w ^k

    (x，x’，x”，…，x^k)→(y，y’，y”，…，y^k)应注意(y，y’，y”，…，y^k)是(x，x’，x”，…，x^k)经变换f_e’得到的映象，f_e证实了下面的两个特性：

-b2.1)在环的扩展(L_w)的基(B)中，映象(y，y’，y”，…，y^k)的每个分量用该基中(x，x’，x”，…，x^k)的分量组成的多项式表示，该多项式的总次数≤公开多项式等式的所述次数(D)；

-b2.2)变换(f_e)用环的扩展(L_w)表示，使之能够计算存在的前几项(antecedents)(f_e)，除了对某些项，这些项的数目对于项的总数来说是微不足道的。

·将由具有环(K)中值的分量组成的次数≤所述次数(D)的多项式变换作用于其它的潜在分支上；

b3)将由此变换得到的分支或多个分支并置，构成第二映象(I2)；

b4)将由第二映象(I2)的元素组成的次数为1的第二保密多项式变换(t)应用到第二映象(I2)上，以便得到具有预定的元素个数的第三映象(I3)；并且

b5)从第三映象(I3)的元素集合中选择(n’)个元素，形成所述的映象值(Y)。

10.如权利要求9所述的方法，其中，将次数≤(D)的多项式加到刚被变换的分支或其它的分支的输出中，该多项式只取决于直接位于该分支前面的分支的变量。

11.如权利要求9所述的方法，第一映象(I1)有若干个分支，其中的一个处理至少32位的值。

12.一种对消息(X)进行非对称签名并确认该签名的方法，其特征在于，将一个变换作用到该消息或消息的公开变换上而得到该签名，该变换对应作为权利要求1或权利要求9中方法的主题的变换的逆变换，并且其中，该签名包括检查所得到的结果(Y)符合和被签名消息相关的预定关系。

Images