趙宗渠，范 濤，彭婷婷，葉 青，秦攀科

河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454150

1 引言

近幾年，網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展，人們?cè)谙硎鼙憷耐瑫r(shí)，存在著信息泄露的風(fēng)險(xiǎn)，信息安全的發(fā)展要遠(yuǎn)遠(yuǎn)滯后于信息產(chǎn)業(yè)的發(fā)展，人們的財(cái)產(chǎn)和安全面臨嚴(yán)重的威脅。如何保證數(shù)據(jù)傳輸時(shí)的機(jī)密性和完整性等重要性質(zhì)是我們要面臨的重要問(wèn)題。密碼技術(shù)在保障信息安全方面起著至關(guān)重要的作用，其中密鑰可以對(duì)信息進(jìn)行加密、簽名、認(rèn)證等，保證密鑰的安全性是密碼技術(shù)的關(guān)鍵環(huán)節(jié)。密鑰封裝機(jī)制（key encapsulation mechanism，KEM）使得發(fā)送者和接受者能夠安全地共享會(huì)話密鑰，這個(gè)會(huì)話密鑰使得通信雙方可以通過(guò)密碼技術(shù)實(shí)現(xiàn)一個(gè)安全的通信信道。

絕大多數(shù)密鑰封裝機(jī)制采用非對(duì)稱的加密方法。在密鑰封裝機(jī)制中，發(fā)起方運(yùn)行一個(gè)封裝算法產(chǎn)生一個(gè)會(huì)話密鑰以及與之對(duì)應(yīng)的密文，也稱為會(huì)話密鑰的封裝，隨后將會(huì)話密鑰封裝發(fā)送給接收方；接收方運(yùn)行解封裝算法得到與發(fā)起方相同的會(huì)話密鑰。在這個(gè)過(guò)程中，要保證雙方獲得的會(huì)話密鑰必須是一致和新鮮的，同時(shí)不會(huì)泄露會(huì)話密鑰的相關(guān)信息。

Shoup[1]最先在2000年提出密鑰封裝機(jī)制方案，并在2004年和Cramer[2]提出了混合加密理論。這種加密理論分為密鑰封裝機(jī)制和數(shù)據(jù)封裝機(jī)制（data encapsulation mechanism，DEM），把這兩部分相結(jié)合進(jìn)行數(shù)據(jù)傳輸和加密，稱為KEM-DEM模式。單純的KEM-DEM模式有效地解決了密鑰分發(fā)困難、用戶管理密鑰困難、傳輸明文信息過(guò)大等問(wèn)題，但是這種模式也存在著問(wèn)題，無(wú)法為用戶提供認(rèn)證性，同時(shí)存在各種攻擊，使密鑰有泄漏的風(fēng)險(xiǎn)。這就需要設(shè)計(jì)一個(gè)安全高效的認(rèn)證密鑰交換協(xié)議（authenticated key exchange，AKE），由于密鑰封裝機(jī)制的簡(jiǎn)潔性和高效性，因而采用這種模塊化的方法來(lái)構(gòu)造密鑰交換協(xié)議是非常方便的。

Shoup[1]在提出密鑰封裝機(jī)制概念的同時(shí)，給出了幾個(gè)密鑰封裝機(jī)制方案，包括基于RSA公鑰密碼算法的KEM和基于ECC（elliptic curve cryptography）公鑰密碼算法的KEM等。這些方案都是基于大整數(shù)分解和離散對(duì)數(shù)等困難問(wèn)題。2003年，Dent[3]給出了密鑰封裝機(jī)制的一般構(gòu)造法：由公鑰加密方案構(gòu)造密鑰封裝機(jī)制，并給出了相應(yīng)的安全性證明。Kiltz[4]在2007年設(shè)計(jì)了一個(gè)新的密鑰封裝機(jī)制并用它構(gòu)造了一種KEM-DEM方案，與之前存在的密鑰封裝機(jī)制相比，此方案具有公鑰、私鑰和封裝的密文更短等優(yōu)點(diǎn)。2010年，Kiltz與Jager等人[5]基于DH假設(shè)提出了一個(gè)安全高效的密鑰封裝機(jī)制，此方案是第一個(gè)在標(biāo)準(zhǔn)模型下可證明安全性為選擇密文安全的（chosen-ciphertext security，CCA-secure）。

雖然新的協(xié)議不斷涌現(xiàn)[6]，大多數(shù)都具備可證明安全性，但是基于格的可證明安全的方案還很少。格密碼作為后量子安全公鑰密碼體制的重要基礎(chǔ)理論，可以抵抗量子攻擊，同時(shí)具有較低的計(jì)算復(fù)雜性，構(gòu)造格上的密鑰封裝機(jī)制還需進(jìn)一步研究。2014年，Peikert[7]提出一種基于理想格的密鑰封裝機(jī)制，將加密方案與一個(gè)新的和解機(jī)制相結(jié)合，從而構(gòu)造出一種選擇明文安全的（chosen-plaintext security，CPA-secure）高效密鑰封裝機(jī)制體制，借助環(huán)上LWE（learning with errors）問(wèn)題，得到了更短的密鑰長(zhǎng)度，封裝的密文膨脹率也得到了很大的優(yōu)化，并以此作為AKE協(xié)議的設(shè)計(jì)原語(yǔ)。這為格上密鑰交換協(xié)議（lattice based authenticated key exchange，LBAKE）的設(shè)計(jì)與發(fā)展做出了重要貢獻(xiàn)。在此之后，格上密鑰封裝機(jī)制不斷發(fā)展，在效率、明密文長(zhǎng)度和安全性等方面都有了進(jìn)一步的優(yōu)化[8-11]。2017年，Albrecht等人[12]提出了基于環(huán)上帶誤差學(xué)習(xí)問(wèn)題的選擇密文安全的密鑰封裝機(jī)制，并指出方案是緊致和安全的。Bos等人[13]推出了Kyber系列算法，其中包括具有抗選擇密文攻擊（chosen ciphertext attacks）安全性的密鑰封裝方案Kyber。Kyber系列算法在模格上基于模LWE問(wèn)題設(shè)計(jì)，這使得算法既具有基于環(huán)LWE的方案的高效率，而且其安全性更為可靠?；贜TRU（number theory research unit）格構(gòu)造密鑰封裝機(jī)制是一個(gè)新的思路[14-15]，在方案通訊量方面有了很大的提高。

2012年，F(xiàn)ujioka等人[16]利用密鑰封裝機(jī)制提出了認(rèn)證密鑰交換協(xié)議的一個(gè)通用構(gòu)造，稱為GC協(xié)議。GC協(xié)議需要同時(shí)使用選擇明文安全的密鑰封裝機(jī)制和選擇密文安全的密鑰封裝機(jī)制，通過(guò)構(gòu)造格上滿足要求的密鑰封裝機(jī)制，可得到基于格的密鑰交換協(xié)議。這種構(gòu)造將密鑰封裝機(jī)制作為基本的設(shè)計(jì)原語(yǔ)，在CK+模型下是可證明安全的。2013年，Ye等人[17]指出GC協(xié)議是不安全的，并給出了一個(gè)具體攻擊方法，最后指出改進(jìn)的方法是及時(shí)刪除私密信息，使得攻擊者無(wú)法獲得會(huì)話消息。這種改進(jìn)雖然可以預(yù)防GC協(xié)議中某種特定攻擊，但并沒(méi)有解決部分消息缺乏認(rèn)證的現(xiàn)象。本文提出的密鑰封裝機(jī)制在封裝的密鑰中引入發(fā)送者的身份信息，使密鑰封裝機(jī)制具有可認(rèn)證性，可以抵抗消息重放和信息重組等假冒攻擊。

為使格上密鑰封裝機(jī)制適用于多種類型的密鑰交換協(xié)議方案，需要解決密鑰封裝機(jī)制中密鑰生成困難和缺乏消息認(rèn)證的問(wèn)題，本文提出一種格上密鑰封裝機(jī)制。主要貢獻(xiàn)有以下幾方面：（1）將一個(gè)新型陷門(mén)函數(shù)[18]與帶誤差學(xué)習(xí)算法[19]相結(jié)合，直接對(duì)會(huì)話密鑰進(jìn)行加密，降低了算法的復(fù)雜度；（2）在封裝的密鑰中引入?yún)⑴c者的身份信息，使接收方能夠驗(yàn)證信息的來(lái)源，解決密鑰交換協(xié)議中存在的冒充攻擊；（3）采用密文壓縮技術(shù)[13]，將密文元素從?q映射到上，其中d＜lbq。由于密文元素的低位比特主要是噪音信息,丟掉這些信息，對(duì)恢復(fù)其所加密的密鑰影響不大。在標(biāo)準(zhǔn)模型下，其安全性為可證明的選擇密文安全，適用于多種類型基于格的密鑰交換協(xié)議方案。

2 基礎(chǔ)知識(shí)

2.1 格的相關(guān)定義

定義1設(shè)b1,b2,…,bm是空間Rn上m個(gè)線性無(wú)關(guān)向量，定義格，向量組b1,b2,…,bm為一組格基。

定義2（q元格） 設(shè)，且滿足Ax=umodq，定義：

定義3（高斯離散分布） 定義以向量c為中心，σ＞0為參數(shù)的格Λ上離散高斯分布為，其中。

定義4[20]（帶誤差學(xué)習(xí)問(wèn)題（learning with errors））給定一個(gè)實(shí)數(shù)記為[0,1)上的一個(gè)實(shí)數(shù)群，定義ψα為?上的中心為0，標(biāo)準(zhǔn)差為并且模1的正態(tài)分布；定義為q?上的中心為0，標(biāo)準(zhǔn)差為并且模q的正態(tài)分布。

任取一個(gè)高斯分布χ和一個(gè)向量，給出在上的變量(a,aTs+x)，其中是均勻分布而x∈?q是從χ中抽樣得到。給定整數(shù)q=q(n)和?q上的一個(gè)高斯誤差分布χ，帶誤差學(xué)習(xí)問(wèn)題LWEq,χ的目的是以不可忽略的概率區(qū)分分布Aq,χ=(a,aTs+x)和分布A'=(a,b)，其中b為隨機(jī)選取的，在?q上是統(tǒng)計(jì)均勻的。關(guān)于某個(gè)隨機(jī)的秘密和均勻分布，也稱判斷性LWE問(wèn)題，該問(wèn)題的難解性不低于格上GapSVP難題。

2.2 困難問(wèn)題與假設(shè)

引理1[18]設(shè)整數(shù)n≥1，q≥2和充分大的，可逆的編碼函數(shù)。公開(kāi)的本原矩陣。存在高效陷門(mén)生成算法，輸出矩陣和陷門(mén)矩陣，陷門(mén)尺寸，其中，A在上是統(tǒng)計(jì)均勻的。

引理2[18]令為一個(gè)帶有參數(shù)s的δ-亞高斯隨機(jī)矩陣。存在一個(gè)常數(shù)C＞0對(duì)于任何t≥0，有。

引理3[18]設(shè)Λ??n是一個(gè)格，對(duì)于ε∈(0,1)令r≥ηε(Λ)，對(duì)于任何c∈span(Λ)，得到。

引理4[20]設(shè)Λ是一個(gè)格，令u∈?n為任意向量，r,s＞0為兩個(gè)實(shí)數(shù)，令。假設(shè)對(duì)于滿足。通過(guò)從DΛ+u,r中采樣并加上一個(gè)從vs中選取的噪聲向量可以得到一個(gè)在?n上的連續(xù)分布Y。則Y和vt的統(tǒng)計(jì)距離不超過(guò) 4ε。

引理5[20]設(shè)Λ是一個(gè)格，令z,u∈?n為任意向量，r,α＞0為兩個(gè)實(shí)數(shù)，令。假設(shè)對(duì)于滿足。存在分布，其中v的分布取決于，e是一個(gè)正態(tài)變量并且標(biāo)準(zhǔn)差為，分布是在統(tǒng)計(jì)上距離小于4ε的正態(tài)變量并且標(biāo)準(zhǔn)差為。在高斯分布上的統(tǒng)計(jì)距離小于 4ε。

引理6[21]（剩余散列） 設(shè)H是一個(gè)2-universal的，從定義域X到值域Y的哈希函數(shù)簇。則對(duì)于均勻獨(dú)立選取的h←H和X←X，(h,h(X))在H×Y上是均勻分布的。

2.3 密文壓縮技術(shù)

定義5（壓縮函數(shù)[13]） 設(shè)，滿足。

定義6（解壓縮函數(shù)[13]） 設(shè)，滿足。

引理7[20]x'=Decompressq(Compressq(x,d),d)，滿足，其中 |x'-xmod±q|在Bq上服從均勻分布，且在Bq-1上此分布整數(shù)大小相等。

2.4 密鑰封裝機(jī)制模型

設(shè)n=n(λ)是一個(gè)多項(xiàng)式，引入發(fā)送者的身份信息，定義一個(gè)算法三元組(Gen,Enc,Dec)（密鑰空間為{0,1}n）：

（1）(pk,sk)←Gen(1λ)：密鑰生成算法，生成安全參數(shù)為λ∈?的公鑰pk和私鑰sk。

（2）(C,(K||ID))←Enc(pk,ID)：密鑰封裝算法，發(fā)送者選取確定身份信息ID∈{0,1}n1生成密文C及服從均勻分布的對(duì)稱密鑰K∈{0,1}n。

（3）(K||ID)←Dec(sk,C)：密鑰解封算法，私鑰sk的持有者解密密文C得到密鑰K和身份信息ID或錯(cuò)誤標(biāo)標(biāo)志符⊥。密文的一致性，要求對(duì)所有K∈{0,1}n和 (C,(K||ID))←Enc(pk)，有 Pr[Dec(sk,C)=(K||ID)]=1。

2.5 KEM的安全性定義

允許敵手自適應(yīng)地訪問(wèn)解封裝oracle得到與密文C對(duì)應(yīng)的會(huì)話密鑰K。執(zhí)行如下游戲：

（1）挑戰(zhàn)者運(yùn)行密鑰生成算法Gen(1λ)獲得公、私鑰(pk,sk)，并把公鑰pk給攻擊者。

（2）攻擊者可以自適應(yīng)地選擇一些密文C進(jìn)行解封裝詢問(wèn)，挑戰(zhàn)者用Dec(sk,C)進(jìn)行應(yīng)答，并把解封裝會(huì)話密鑰K給攻擊者。

（3）在進(jìn)行一系列的解封裝查詢后，攻擊者準(zhǔn)備接受挑戰(zhàn)，挑戰(zhàn)者利用封裝算法Enc(pk,ID)獲得密文C*和會(huì)話密鑰K，選取比特值b∈{0,1}，如果b=1則取K*為K，否則取K*為一個(gè)隨機(jī)選取的等長(zhǎng)的會(huì)話密鑰，挑戰(zhàn)者將C*和K*給攻擊者。

（4）進(jìn)行步驟（2）中的操作，唯一的限制是不能用C*直接詢問(wèn)。

（5）詢問(wèn)結(jié)束后，攻擊者A輸出b'。

攻擊者的優(yōu)勢(shì)被定義為：

密鑰封裝機(jī)制的選擇密文安全性是指任何多項(xiàng)式時(shí)間攻擊者在上述游戲中的優(yōu)勢(shì)是可忽略的。

3 方案構(gòu)造

3.1 密鑰封裝機(jī)制

本文根據(jù)文獻(xiàn)[18]提出的算法，在封裝的密鑰中引入身份信息，并對(duì)封裝后的密文進(jìn)行壓縮處理，構(gòu)造出格上密鑰封裝機(jī)制。

KEM：KeyGen(1n)：選取均勻隨機(jī)矩陣，，滿足。輸出矩陣和其陷門(mén)矩陣，輸出pk=A,sk=R。

KEM：DeCap(sk=R,CT=(u,b'))，其中，計(jì) 算。

（1）若CT沒(méi)有解析出來(lái)或者u=0，則輸出⊥。否則，通過(guò)訪問(wèn)來(lái)獲得值和滿足，如果訪問(wèn)失敗，則輸出⊥。

（3）v=b-emod2q，其中，若，則輸出 ⊥ 。

3.2 正確性證明

證明本方案的解密是正確的，對(duì)于任意的(pk,sk)←KeyGen(1n)和封裝密鑰K∈{0,1}w1，有Pr[Dec(sk,Enc(pk,ID))=K||ID]=1。

(A,R)←Gen(1n)。通過(guò)引理2，得到?？紤]對(duì)于任意K∈{0,1}w1由Enc(A,ID)生成。通過(guò)引理3，得到和。令，得到，對(duì)于足夠大的得到。訪問(wèn) Invert通過(guò)Dec(R,(u,b'))返回e。通過(guò)引理7，b″=Decompressq(Compressq(b',d),d)，經(jīng)計(jì)算滿足。對(duì)于，得到所需的。

2(sTAumodq)是格中的一個(gè)元素，SK∈Λ(GT)/2Λ(GT)是其中的一個(gè)陪集，因此。從而得到封裝密鑰并驗(yàn)證發(fā)送者身份。 □

4 安全性證明

首先開(kāi)始一系列的混合游戲。

游戲H0：真實(shí)的適應(yīng)性選擇密文攻擊游戲。

游戲H1：重新生成公鑰A并構(gòu)造了挑戰(zhàn)密文，通過(guò)解密詢問(wèn)，解封得到相應(yīng)的明文，和游戲H0相比在統(tǒng)計(jì)上是不可區(qū)分的。在實(shí)驗(yàn)的開(kāi)始選取了非零值u?← U 并令公鑰為，其中的A和R和游戲H0中的選取方法一樣（其中。對(duì)于任意選擇的u*，矩陣仍然滿足均勻分布，因此不論矩陣A為何值，u*的值在統(tǒng)計(jì)上對(duì)攻擊者都是隱藏的。為了幫助解密查詢，隨機(jī)選取了使得。

使用解封裝算法DeCap和陷門(mén)R來(lái)對(duì)密文(u,b')執(zhí)行解密詢問(wèn)。在測(cè)試后（如果u=0，則輸出⊥），訪問(wèn)得到，其中（如果訪問(wèn)失敗，則輸出⊥）。

按照3.1節(jié)中密鑰封裝機(jī)制方案的解密算法DeCap(sk=R,CT=(u,b'))，執(zhí)行其第（2）步和第（3）步，其中e∈?m，v=b-emod2q，并在第（3）步中用代替R。

因?yàn)閡*在統(tǒng)計(jì)上是被隱藏的，可以得到u≠u(mài)*。通過(guò)集合U滿足的性質(zhì)，得到是可逆的。根據(jù)需求訪問(wèn)Invert，若不存在e，則游戲H1和H2都會(huì)返回⊥；若存在e，則滿足（其中的值可能不同）。在e的約束條件下，游戲H0,H1都得到。

最后在游戲H1中選取并生成消息K∈{0,1}w1和挑戰(zhàn)密文(u,b)。令u=u*，選取，不 選 取e1。 令，其 中，輸出。證明攻擊者在擁有公鑰pk和解密詢問(wèn)Invert的情況下，在統(tǒng)計(jì)上不可區(qū)分輸出(u,b)的分布和游戲H0中(u,b)的分布。首先，因?yàn)閡的值和公鑰pk無(wú)關(guān)，且通過(guò)的構(gòu)造，得到u、和游戲H0中有著相同的分布。接著通過(guò)替換，得到，根據(jù)引理 4和引理5，對(duì)于固定值，通過(guò)隨機(jī)選擇ri（來(lái)自公鑰取決于值）和，每個(gè)ri在格的陪集上是一種獨(dú)立的離散高斯分布，在滿足的情況下，任意在D?,s上的分布是不可區(qū)分的。

游戲H2：只改變了挑戰(zhàn)密文中的構(gòu)建方法，使其在中滿足均勻分布。在構(gòu)造公鑰pk、應(yīng)答解密查詢Invert和構(gòu)造b1的方法上，和游戲H1完全相同。首先在（離散化）LWE困難問(wèn)題的假設(shè)下，是不可區(qū)分的，其中滿足均勻分布，（其中）或者兩者之一滿足均勻分布，因此游戲H和1游戲H2在計(jì)算上是不可區(qū)分的。除了在構(gòu)建公鑰和挑戰(zhàn)密文時(shí)使用給定的和，可以執(zhí)行和這兩個(gè)游戲完全一樣的操作來(lái)分別有效地模擬任意游戲H1或者游戲H2。

現(xiàn)在通過(guò)引理6，在游戲H2中當(dāng)私鑰R被選取時(shí)，是均勻不可區(qū)分的。因此，挑戰(zhàn)密文對(duì)于任何加密過(guò)的明文信息有著相同的分布。

由文獻(xiàn)[18]可知，當(dāng)明文空間為{0,1}w時(shí)，方案是CCA安全的。本文設(shè)置封裝密鑰空間為，其中w1＜w。假設(shè)本文方案中攻擊者的優(yōu)勢(shì)為，即攻擊者可以構(gòu)造與明文對(duì)應(yīng)的密文，并且能夠以不可忽略的優(yōu)勢(shì)區(qū)分明文，那么挑戰(zhàn)者可以構(gòu)造與M(M1||ID)相對(duì)應(yīng)的密文，并且以不可忽略的優(yōu)勢(shì)區(qū)分明文，與文獻(xiàn)[18]方案中的CCA安全矛盾。因此，顯然當(dāng)安全參數(shù)w1滿足條件時(shí)，攻擊者的優(yōu)勢(shì)是可以忽略的。

5 性能分析

下面從計(jì)算時(shí)間復(fù)雜度和通信量?jī)煞矫鎭?lái)評(píng)價(jià)本文方案的性能。根據(jù)文獻(xiàn)[18]提供的參數(shù)，對(duì)方案的計(jì)算成本和通信代價(jià)進(jìn)行分析。設(shè)置安全參數(shù)n=284，q=224，則w1=6 816，明文、密文、會(huì)話密鑰空間滿足安全長(zhǎng)度，格的維數(shù)為m=13 632且足夠大，滿足格上困難問(wèn)題，矩陣點(diǎn)乘運(yùn)算表示為s，加法運(yùn)算表示為p。方案性能如表1所示。

Table 1 Performance of KEM表1 方案性能

由表1看出，在通信量方面，因?yàn)橄诉\(yùn)算密鑰，所以公私鑰尺寸明顯縮小，采用密文壓縮技術(shù)，大大縮短了密文的尺寸，有效降低了通信代價(jià)。本文方案的封裝和解封裝采用對(duì)偶LWE算法，在陷門(mén)生成部分采用的是更為高效的陷門(mén)函數(shù)，所需格的維數(shù)更低。另外，該陷門(mén)函數(shù)的原像采樣算法，利用sub-Gaussian分布的相關(guān)性質(zhì)[18]優(yōu)化了以往的原像采樣技術(shù)，且采樣過(guò)程可以并行進(jìn)行，使時(shí)間復(fù)雜度更低。因此，本文密鑰封裝機(jī)制具有實(shí)際應(yīng)用可行性。

6 應(yīng)用分析

文獻(xiàn)[16]利用密鑰封裝機(jī)制提出了認(rèn)證密鑰交換協(xié)議的一個(gè)通用構(gòu)造，稱為GC協(xié)議，本文構(gòu)造的選擇密文安全的密鑰封裝機(jī)制適用于此協(xié)議，同時(shí)在封裝的密鑰中引入?yún)⑴c者的身份信息，可以抵抗來(lái)自外部攻擊者的冒充攻擊。具體協(xié)議如下：

設(shè)k是安全參數(shù)，(KeyGen,EnCap,DeCap)是本文構(gòu)造的CCA安全的密鑰封裝機(jī)制，(wKeyGen,wEnCap,wDeCap)是一個(gè)CPA安全的密鑰封裝機(jī)制。

利用本文構(gòu)造的密鑰生成算法KeyGen生成用戶UA的密鑰對(duì)(skA,1,pkA,1)←KeyGen(1k)，同時(shí)為用戶UB生成密鑰對(duì)(skB,1,pkB,1)←KeyGen(1k)，用戶UA作為發(fā)送方與接收方用戶UB進(jìn)行密鑰交換，GC協(xié)議的具體步驟如下：

（1）用戶UA隨機(jī)地選擇臨時(shí)密鑰rA，利用本文構(gòu)造的密鑰封裝算法EnCap生成(CTA,1,KA,1)←EnCap(pkB,1,idA)，運(yùn)用wKeyGen由隨機(jī)選取的rA獲得臨時(shí)密鑰對(duì)(pkA,2,skA,2)←wKeyGen(1k,rA)，然后發(fā)送消息(UA,UB,CTA,1,pkA,2)給用戶UB。

（2）用戶UB收到消息(UA,UB,CTA,1,pkA,2)后，隨機(jī)地選擇臨時(shí)密鑰rB，計(jì)算(CTB,1,KB,1)←EnCap(pkA,1,idB)和 (CTB,2,KB,2)←wEnCap(pkA,2,rB)，并發(fā)送消息(UA,UB,CTB,1,CTB,2)給用戶UA；用戶UB還依據(jù)所接收到的消息利用解封算法DeCap解封裝得到密鑰KA,1←DeCap(skB,1,CTA,1)，用戶UB通過(guò)驗(yàn)證KA,1中的身份信息，可以判斷消息的來(lái)源是否為合法方，驗(yàn)證成功后，利用隨機(jī)性提取器計(jì)算,，設(shè)定會(huì)話記錄為，基于偽隨機(jī)函數(shù)簇計(jì)算得到與用戶UA共享的會(huì)話密鑰。最后，用戶UB標(biāo)識(shí)該會(huì)話為已完成并擦除所有會(huì)話狀態(tài)。

（3）用戶UA收到消息后，利用私鑰skA,1、skA,2解封裝得到密鑰，同樣的，通過(guò)驗(yàn)證KB,1中是否包含用戶UB的身份信息，來(lái)確定信息的來(lái)源是否合法，若驗(yàn)證成功，則進(jìn)一步計(jì)算得到，設(shè)定會(huì)話記錄為，計(jì)算與用戶UB共享的會(huì)話密鑰。最后，標(biāo)識(shí)該會(huì)話為已完成并擦除所有會(huì)話狀態(tài)。

對(duì)于GC協(xié)議，文獻(xiàn)[17]給出具體的攻擊方法。首先攻擊者UE在步驟（1）中，冒充用戶UA生成會(huì)話信息，并發(fā)送給用戶UB，用戶UB接收到消息后，完全按照步驟（2）進(jìn)行操作，攻擊者UE截取用戶UB發(fā)送的會(huì)話信息。接著，攻擊者UE令用戶UA與另外一個(gè)誠(chéng)實(shí)用戶UC進(jìn)行密鑰協(xié)商，用戶UA按照步驟（1）把信息發(fā)送給用戶UC，用戶UC執(zhí)行步驟（2），攻擊者UE截取用戶UC發(fā)送的消息并把之前截取用戶UB的信息與之重組替換，通過(guò)用戶UA運(yùn)行解封裝算法，最終可以得到會(huì)話密鑰。

本文構(gòu)造的密鑰封裝機(jī)制具備可認(rèn)證性，在步驟（2）中，用戶UB收到消息后，運(yùn)行解封裝算法得到KA,1，因?yàn)樵贙A,1中引入了發(fā)送者的身份信息，用戶UB可以通過(guò)驗(yàn)證來(lái)判斷收到的密文消息是否和會(huì)話用戶UA身份一致，若發(fā)現(xiàn)不是用戶UA，則終止協(xié)議，從而抵抗來(lái)自外部攻擊者的冒充攻擊。

7 結(jié)束語(yǔ)

密鑰封裝機(jī)制可以有效地保證會(huì)話密鑰的機(jī)密性，使其在公開(kāi)信道上能夠被安全地傳輸。利用陷門(mén)生成算法生成一個(gè)陷門(mén)函數(shù)，并與帶誤差學(xué)習(xí)算法相結(jié)合，提出一個(gè)標(biāo)準(zhǔn)模型下的格上密鑰封裝機(jī)制方案，解決了格上密鑰封裝機(jī)制陷門(mén)生成困難的問(wèn)題，同時(shí)可以抵抗量子攻擊。在封裝的消息中引入?yún)⑴c者的身份信息，保證密鑰封裝機(jī)制機(jī)密性和可認(rèn)證性。采用密文壓縮技術(shù)，減少通信代價(jià)，提高傳輸效率。在標(biāo)準(zhǔn)模型下，方案的安全性為選擇密文安全，并包含嚴(yán)格的安全性證明。

密鑰封裝機(jī)制適用于密鑰交換協(xié)議。本文設(shè)計(jì)的密鑰封裝機(jī)制在效率和安全性方面較以往方案均有提高，但是利用密鑰封裝機(jī)制構(gòu)造可認(rèn)證的密鑰交換協(xié)議存在運(yùn)行次數(shù)較多的問(wèn)題。因此，如何優(yōu)化密鑰封裝機(jī)制的運(yùn)行次數(shù)，進(jìn)一步提高協(xié)議的效率將是下一步的研究重點(diǎn)。

《計(jì)算機(jī)工程與應(yīng)用》投稿須知

中國(guó)科學(xué)引文數(shù)據(jù)庫(kù)（CSCD）來(lái)源期刊、北大中文核心期刊、中國(guó)科技核心期刊、RCCSE中國(guó)核心學(xué)術(shù)期刊、《中國(guó)學(xué)術(shù)期刊文摘》首批收錄源期刊、《中國(guó)學(xué)術(shù)期刊綜合評(píng)價(jià)數(shù)據(jù)庫(kù)》來(lái)源期刊，被收錄在《中國(guó)期刊網(wǎng)》、《中國(guó)學(xué)術(shù)期刊（光盤(pán)版）》、英國(guó)《科學(xué)文摘》（SA/INSPEC）、俄羅斯《文摘雜志》（AJ）、美國(guó)《劍橋科學(xué)文摘》（CSA）、美國(guó)《烏利希期刊指南》（Ulrich’s PD）、《日本科學(xué)技術(shù)振興機(jī)構(gòu)中國(guó)文獻(xiàn)數(shù)據(jù)庫(kù)》（JST）、波蘭《哥白尼索引》（IC），中國(guó)計(jì)算機(jī)學(xué)會(huì)會(huì)刊

《計(jì)算機(jī)工程與應(yīng)用》是由中國(guó)電子科技集團(tuán)公司主管，華北計(jì)算技術(shù)研究所主辦的面向計(jì)算機(jī)全行業(yè)的綜合性學(xué)術(shù)刊物。

辦刊方針堅(jiān)持走學(xué)術(shù)與實(shí)踐相結(jié)合的道路，注重理論的先進(jìn)性和實(shí)用技術(shù)的廣泛性，在促進(jìn)學(xué)術(shù)交流的同時(shí)，推進(jìn)科技成果的轉(zhuǎn)化。覆蓋面寬、信息量大、報(bào)道及時(shí)是本刊的服務(wù)宗旨。

報(bào)導(dǎo)范圍行業(yè)最新研究成果與學(xué)術(shù)領(lǐng)域最新發(fā)展動(dòng)態(tài)；具有先進(jìn)性和推廣價(jià)值的工程方案；有獨(dú)立和創(chuàng)新見(jiàn)解的學(xué)術(shù)報(bào)告；先進(jìn)、廣泛、實(shí)用的開(kāi)發(fā)成果。

主要欄目理論與研發(fā)，大數(shù)據(jù)與云計(jì)算，網(wǎng)絡(luò)、通信與安全，模式識(shí)別與人工智能，圖形圖像處理，工程與應(yīng)用，以及其他熱門(mén)專欄。

注意事項(xiàng)為保護(hù)知識(shí)產(chǎn)權(quán)和國(guó)家機(jī)密，在校學(xué)生投稿必須事先征得導(dǎo)師的同意，所有稿件應(yīng)保證不涉及侵犯他人知識(shí)產(chǎn)權(quán)和泄密問(wèn)題，否則由此引起的一切后果應(yīng)由作者本人負(fù)責(zé)。

論文要求學(xué)術(shù)研究：報(bào)道最新研究成果，以及國(guó)家重點(diǎn)攻關(guān)項(xiàng)目和基礎(chǔ)理論研究報(bào)告。要求觀點(diǎn)新穎，創(chuàng)新明確，論據(jù)充實(shí)。技術(shù)報(bào)告：有獨(dú)立和創(chuàng)新學(xué)術(shù)見(jiàn)解的學(xué)術(shù)報(bào)告或先進(jìn)實(shí)用的開(kāi)發(fā)成果，要求有方法、觀點(diǎn)、比較和實(shí)驗(yàn)分析。工程應(yīng)用：方案采用的技術(shù)應(yīng)具有先進(jìn)性和推廣價(jià)值，對(duì)科研成果轉(zhuǎn)化為生產(chǎn)力有較大的推動(dòng)作用。

投稿格式1.采用學(xué)術(shù)論文標(biāo)準(zhǔn)格式書(shū)寫(xiě)，要求文筆簡(jiǎn)練、流暢，文章結(jié)構(gòu)嚴(yán)謹(jǐn)完整、層次清晰（包括標(biāo)題、作者、單位、摘要、關(guān)鍵詞、基金資助情況、所有作者簡(jiǎn)介（含通訊作者電子信箱）、中圖分類號(hào)、正文、參考文獻(xiàn)等，其中前6項(xiàng)應(yīng)有中、英文）。中文標(biāo)題必須限制在20字內(nèi)（可采用副標(biāo)題形式）。正文中的圖、表必須附有圖題、表題，公式要求用MathType編排。論文字?jǐn)?shù)根據(jù)論文內(nèi)容需要，不做嚴(yán)格限制，對(duì)于一般論文建議7 500字以上為宜。2.請(qǐng)通過(guò)網(wǎng)站（http://www.ceaj.org）“作者投稿系統(tǒng)”一欄投稿（首次投稿須注冊(cè)）。