基于编码的密码技术研究-密码学发展报告

基于编的码密技码术究研

方任东西郑邮安电大学无网络线安技术全国工程实家室

摘验：量要算子的法出对当现前泛使广的用基于数论难问困题公钥的码算法密的全安提出了挑性。战作能够抵抗为子量算攻法击的密技码之术一，于基码编密的码体制近来得年到众多了研者的究关注，研究其成遍及加果、密字数签名、身份证、Ha认h s数、伪函随机生数等几成乎有密码学领所。域于由具有其较快运算速度的和高较安全性，的已经成最有潜力的后为子量密码术技之一。文本基对于码编密的码技进术行面的全绍和总结介，当对主前要算的法进分行与评价析，并出了指来未可的研究方向能与标。目键关词：纠码错校验子译码；后；子量密码；加密；数字签；名asH 函h数

1 引言1

. 背1 公景钥密码技[术-13出现于上]世七纪十代年作，为码密术技的大重破，公钥突密自码世以来已问经数据在全与保密通信安等域取得了大领重量要成果的公。钥密码技术的新概、念新想、新算法思层不出穷，为密码成术技域领发最展蓬勃的为一分个支。经的公典钥密算码大都基法数于论中的经难解问典，题如 SAR算法[2 基于]整大分解的难数性，解ElamalG算法[ 3基]于有域限的离上对散数题的难解性等。问于经典对计算机言，而这数些难解问论题可不能进有行效求，因解此此在础基上建立的公密钥码算法不可也能有被攻击效但。是子量法算[-64的出]现以及量计子算的机世问始开这些对题提出了挑问。战目前泛广受接可的于用密码法破算译量的子法主算要 S有oh 算r法 4[ ] 和rGoerv 法算[]。5Shor 算法可以对当前广泛用的使RS AE、lamGa、ElCC公钥码密算法和 D 密钥H商协协[1]议行进有的效攻击；而 G orer v法可算以密将钥长度的减半，大提极高攻击者击攻成的功概率因。一此量子计算机旦入使投用这些基于数学，难问题的解钥密公算法码都寿将终寝。早在正020 年1 IB M司公就经已制研出了 7 量个子的量子位算机计；0072年，一台商第用的子量计机在加拿大算问，世具有 6 1个量子位20；3 1这一年字数经提已到高 125 ；同位谷年公司歌建组专门队研究团发超开级子量算机，这计一措举必计算处理将力能向新推的峰。高目前的量计算子机都属大专于用机型运行，子量算也法有着为较苛严的条，因此其件普化及有尚时日待。管尽此如，在可预以的几年到十几年内期，现有钥公码密算法的全性都将安受到极威胁，大因必此须尽寻求能快抵够抗量子击攻密

的

码法算目。为前人止们找了四种到够能抵量御攻击子的公钥码体密制[]：6   于编基码问的公题钥密码体[7制：最]

早由 MEcilec e于19 7 年8出提的基于 G ppoa码的公钥加体密；基于制H sa 函数h的钥公密码制[体]8典型：例子 M是erkl 于e 917 年9提的基于出H ash树的数字名体制；签基于问格的题钥密码体公制[9 -1] 0：比较著名方的案是 998 年1现出的H ffsoten-PiphierS-ilevmrn 的 aTRNU 公加密钥体制；基于多量问变题公的密钥码体制[11] 典型：的子是 P例atain r于1 996年给出的 HFEv-签名案。以上方四类密体码制统称为后量子被抗（量）子码，目密前为还没有止能够利用 S人orh算法来效有击这些体制，攻而Grove r法的算威可以胁通简过地单加增私钥长而得以度避，免外也此没有出其现能它够效有攻击些这制体的量新子法算，此后因子量密码具有很高研究的值和发展潜力。价第一届后量子密码会议（ Itennatronia lCnfeoencre n oosPtQ-untam Cryputogaphyr，QPrCypto）于200 6在年比时利 eLvenu 的 Kathloieek大举行，此学后一每两到举年办届一最近的第。届会议六 PCQyrpo 2t04 1于加拿大atWrlooe 大召开。每学会议都会集中报告这次四类密体码制最新研的究成，是该果领域水平最的高际会国。议1. 2于基编的密码技码术基于编的公码加钥密算法最由 M早clEiec e提出[2]1该，算基于法元二不可的约G opap 码[3-141]基本思，是将待加密的想明文看做一合法码字，个加过程密等价给明文于码字添一加随个选机的错择向误量而，密解过程相当于则译。只有码悉码熟结构的拥有并效译码算有的法人以可行译码从而进复恢明文。 Mc出Eleice算法的全安可性归约到两个以P 完全N问：题元二随机码译码问的题15][及 G以ppao 和码随机的码区问分[题16。] 后出其现的iNedrreeteir加密算[17] 基法于验校译子码来现实密与解密，加久其安不性被证全与明McEl icee算法完全等[18]。基价编于的密码技术诞生码十三年来产余生大量的了究成果，除了研公钥密之加，外及遍数字名签身份认证、、Hash函数、随机数生伪等几成所乎有密领码域。为目前作认的可以公抵量抗攻击子的钥密公码术技，基编码于公的钥码密技是公术密钥学码来未发展主流之的。除一具有了高的安全较性外之基于编，的密码算码往法往需要只行一进些单的位简算，因此运一都具般很有高的现效实率。是到但前为止这一目域的技领术未并到得规大模广的应用泛，主要原在于几因乎所有于基码的编密码制都体存在公钥寸尺大的问题。过因此未的研来究向方与

力之动就一降是算法的密钥低尺。寸

2基知识

础21.纠错基础定义 1 线性码分码组有限域Fq 上一个(n的 k)线性,组分码是 C 维线性n空间qF n的一 k 维子个空间 Fqn，中的量向称字为 wor（d ），C

中的向量称为码字（ocdeowdr ）n ，称为码长，k称码的维数。为定 2义成生阵矩一(个, nk线)分性码 C组的生成阵是矩个一 k×n 矩阵的G，其 G中的向量构成行了的C组基一。性分线码组C 生成的阵矩G 不一唯，是不但的同生成矩可阵以过初等通行变换相互化，转即若G 是C 的一个生成矩阵P 是，一个初矩阵等，则 G P也 C是的一生个成阵。矩义定3 校矩验阵一个 (,nk 线)性分码组的C校验阵是矩个一n-k)( n× 矩的阵 H，其中 H的任意行向与 C 量的成生阵矩G 的任意向行量正交即 HGT， 0 线。性组码的分校验阵不矩唯一且可通以初过等行变相互转换。化为长n 向量的c是 C 的一个码字充分的要必条是件 HT c0 。对于意的字任c ，将cT H称 c 为的验子校定。义 4Hammnig距与重量线离性分组的两码码个字 u u 1,u ,

2,un 和

v 1 v,v2

,, v

的 Hanmimn g距离 d(u v,)定义为u和的不v同分量个的，即数

d(u,v) |{ i u| i vi} | 码，字 u 的ammHngi 量 w重u)定义(为u 与全 0 码的距离，字

w即u() (u,d0 )，码C 非零码字的的最 H小amingm重量为 C 的最称距小，离般记一作dmin。的最小码距决离定了的码纠错能，力一般来说，性线分码组的纠能错力t 满

d 1 足t   inm 。 2 

Gopp

a 码是种特殊一线的分性码组，Mc Eilcee 密加法算使用是的二元 Gppa o，其参码具数以有形式下n：=m2k=，-mtn利用。G opap 码的具结构知体可以识行有效的译进，码也这是造基于构码编密的码算的基础。法即将G opap码的结构为秘作密的陷门信息，者解或私密，可钥以现陷门单向函实数，而构造从钥加公密签与名算法。.22基本困难问题基于编的码公钥密算法码主依赖于要以几下个困问题，难这问些题已均被证明是 PN困难题，可问有效以抵抗目已前知量的子击攻法算

。问题 1校子译码（Sy验nrdoemD eocind，gDS问题）输入有限域 q F上一的个(nk)- n 的矩× H，向阵 s 量F q n ，整数kl 0>，问是存在否一个字  xqnF 其重，量

( ) xl ，使 H得Tx  s

问？2 题寻找码字Co(dword eiFdnig，nF)C题输入问有域限Fq的一个上( -nk×) 的n矩阵H整，l数 0，问是>存否在一非个的字零 xFqn ，重其 w量( )x  ，使得 Hxl T0 ？题3 问备完码(Co译pmltee Dcodeni，CDg)问题入输限有Fq上域一的个 n(k-)× n矩阵的，H向 s量 qnF ，k问是存否在一个 x 字 qn F其重量， ( x) w 0 ，d 得 Hx使 T s ？其中0d示表H对应的所线性组分的码ilGerbtV-ashamrov离[距1]3。对于元二 Gopp 码，以下两a问题是个PN 难困，的cMlEecie的密加算安法性全即赖于这两个问题依。问题 Gopp4 a界码（译Gpopa oBunedd Dcedoig，GBD）问n题输入 F

2 上的个一n-()k×n 矩阵，向H量s Fn2 k，找寻一个字x F2n，其重量 w ()  使得x HxT  . 问s题 5G oppa 码区的分G（ppo Caoe diDsintguisihgnG，）D问题输入F2 上一的个n-(k) × 的矩n阵H 判，断是H一个(n, k)G poap码校验矩的还是阵个一随机( , k)码n的校验阵。矩n

k ，log 2 n

3 于编基码加的密术技3

1.基本案方（）1McliEec 方e 案cMEileec 于1789 年出给的一个第基于码编的密算加法[12]今未至被破，攻使即计算在计机能算已力很经强今天，的只需修改法算安全参的数仍可以然到想达的要全级安别原始的。MElcice 算e基于二元法 oppaG 构码，后建来有也多人很尝试用其它的使类码代替 Gopp 码，但大a多数都失以败告而终M。clieceE公钥加密算法的公钥一个置换 Gop是ap码生的成阵矩私钥，秘是二元密Go pp 码的有a效码译算，法体加密和具密过解如程法算所示1。算法 1 Mc Eliece加算密法 参生成数

选一择个F 2上不可的约n( k, )Gpopa码，码的C错纠力为能t ，成生阵矩为，以G及一有效个的译码算法γ； 选择F2 上的一个 k ×k的元随二可逆矩机阵，一个 n× nS 的二元机置随矩阵 P；换系公开统参为数 t , Gpb uS P  G私，钥为 S G,,P , .  加密过设消程发送息需要者密加消的息为 m F k2，则加密过程为：选一个择随机的重为量 t的误错向 z量 F2n ； 算计文密c mG pu  bz.  解密程过消息接收设收者的密到为文c F 2n，则密解过程为： 首先算计c1P m(G upb z )P1  SGm z1 ； P 然后译码算用法上述对果进行译结码由于， P z 仍然是1个重量一为 t 的误错向量，因此 cP1( ) (mSG zP1 )mS ；G 令集 J合 1{ 2,.,., .}n是 G若的干标，列且得使 G只留这保列些后到得矩阵的 G.J可逆，则可以算出计明文 m mSG)( J.(G. )1 JS1 . 直攻接 McEl击eci e法等价于求解以下算 M的Elciee c题：问问题 6 cMEleic 问题令 e 是算法 1C中的元二不约(可n,k G)pop a码，定给一组Mc liEce 公e 钥  ,tG p b u 密和 c文 2n ，寻找唯F的消息一m  2kF ，使重得量

Gmpub c)  t

容.易明，证 cEMileec 题的问难不度超一般校验过子译问码题的难，因度算为法 1面的公钥里阵矩不是一般的随机矩阵，是一而个置换 Gopa p码生的成阵矩。只有当Gop pa码与机随码不可分时，区cElMicee 题问等价于才 S 问题。（2DN）ieedrerter i方案 cEMliee c加算法密第一的个种变是19 6 8年 Neiderrieert 给出的另个算一法17[。] ieNedrreiter 算将明法文息看做消个一有具固重定量的误错向，量加密等于计价算校子验，解密等于校价验子译码。密加之需要对前

明文行预进处理这，点需一

要

通过一

公开的个函 数n t 进行,变[换1]。7Nedirreitee 算r法的密与解加密程如算法 2过所示。算法 2 Nieerdretire加密算法

参

数生 成选择个 F2 上的一不约(可n, ) kGoppa 码，码C纠的错能为力，t验矩校阵为，以H及一个效有校的子译码算验法γ  选；择 F 2的上个(n-k)一 ×n-()k二元随机可的矩阵 M，逆个一× nn的二元随机换置矩阵P ； 系统公开数参为t , Hp b uM PH ，私钥  为M,H, P,  .



加

密程设过息发送者消需加要的消息为 m密则，密加过程为： 消息将表m示为重为 t量的向量 e  n, t(m )F2n ； 计算密文s Hp bu eT.



解过密程设消息接收者到的收密文 s为 F2nk 则解密，程为： 过先计算首1M  sHPTe H(PeT ) ； 然用后码算译对法述上果进行结译码，于由 PT 仍e是然一重量个为t的量，向此 因 M(1s  ) (HPTe) PT e  ；是可于以计出算明文 eT  PPeT . 1iedNereriet r算的优势在法可于选取合以的适 M和使P得 Hpbu 具系统的形有

式，

从大大节省而储存空间。但是法算的陷缺是也显明，的加即密对时明文 m的处预理e ,t n()m以及密时解的逆变换增加会外的计额开销算。 iedeNrriter 算e法的安性与全MEcilece 法等算[1价8，]即果如能攻够破其中个一算，也法能够就攻另一破。个.3 加密体2的改制进原始的MEclice e钥公密方加使案二用元oGpa 码，p最其的缺大是陷公矩钥阵的尺寸大。过为了低公降钥矩的阵小大，多学者尝很使用其试码它类构造公来钥加密算法其，主中的尝要试包：括

iNdeerrieetr试图用使 RG 码代替S oGpp a构造码钥公密算法[加7]1实以现较小公钥的尺寸，是但来后被 Sdienlkoi[v91]证是明安不全；的随后aGbdulini[02]基非于交换上的理环尝想试构加密造法算；Sieldinovk2[1利]二用元Rede-Mulelr码、 aJnwa等人[2]使2代数几用何码G、aorit[23b使用]本原B C H码都分别尝构试造密算法加但这些，案方大数多安全性较，或者实现效差率太低难，真正以代二元替Go pp 码。aB egerr等人 2[]于 4209 年利用准0环循（uQaisCy-lcic，QC）广 R义ed-eoSlomno码建构了公钥加密算，法后此出了现种基于准各环码循加密算的，法别特是于基 Gppo 码的子类a构加密算法有较造好的展。 M进soizcik 人等[25] 出提准二元了（uasi-QyaDdi，cD）GQppoa 的概，念Q-DGpopa码的生成矩阵和验校阵矩具较紧有的式形能，在保持纠错能力够变的不提前有效降低下M Ecleice密码体制的钥公度，长有减少算效法所的存需储间空。Uman a上对述两方案种进行分析[了2]，6给出了一非常种有的攻击模型，效一台在独单的人计个算

机上只需花几天间时就能复恢出大多数情下的况钥，从私而正宣告式上两述种方案均够安全。不随，后K bora a在 2100年 [7]对2 Mioczksi 算中法存在问题进行的有效了的正，提出修一了种适应性QF GopDpa码，可达以最大到的码 n=2m长t，-从而效有避免了Um an 的攻击。a到前为止，目还有没出现有的攻效方击法能够成攻击此功方案。207 0年Bal，id基于 Q-CDPCL（LwoDensit yaPrty Cieckh码提出）一种新了公钥的密加案[2方]，由于8LD C P具有较码稀疏为矩的表阵示可，有效以少公钥减尺的，寸该案方中在的存部分陷缺在年一后得到较了好修正的 [9]，2够能抵御对秘密的钥私矩的阵恢复攻击这。目是仅前有的够替代 G能poap码用构造公来钥加密算的法码类。Bldai 等人[03]进一探讨了步LDCP码比的翻特译转码该加对密算法安全性与算复计杂的性影响。Mioszck i人等基于 MPDCMod（erateD nsiey tPaityrCh ce）码k和Q -MDPCC码构造了高的效加密算[3法1]对，于8 位的0安全度，强公钥寸仅有尺4801bit s。在此基础上von，M uraih 等c人提了基出于Q-MDCC 码P的量级轻密算加并法在硬件设上备现实[32]。基编于的加密体码制来可能未的究方向研括：包  对于 QD-Gopp基a 构码的加造算密法的进一步究研改进与，并寻新求 G的opp 码a子类的来构加造密算；法对 L DP 码C 和DMPC码性的进一步研究，对能基于DLP 码和 CDPC 码M构的造密算法加开展全面研和分析，并进一究寻求步其它能可码类的来降低钥公大的。小

于编码基身份的认与证字签数名技

术

1 身份.认证S etn 在 r9139年美密的会给出了第上一个于编码的身份基证方案认33][，算法该与 iedNerriter 加e算法密切密相，关安全其性基于校验子译码的困性难用户。的私是钥一个低量的向重量，e将其校子验HeT 作公钥为公开给验证。者法算采 3用轮交互零知识的证协议明证来明用户拥 e有从而实现身份认，。证 Sernt身份认证方如算法案3 示所算。法 3 ternS 份身证认案方

参数生成 统参数：系随机择选一个 F2 的(上n,k)码 C，其验矩阵为(校-n)k× n 矩阵的，选H择一公开的个碰抗 H撞ah s函数 h  ；用户设私置钥 eF2n 满足，条件w( )e  p； 算计钥公  sHT e，系统则开公数为参 p, h, H

.

认

过证程 证明者择一选 n个的随机向位量 y 2F ，以及n合集 {1 ,2,..,.n 上的一个}随机换置，计算： 

c 1 ( h |HT )

c 2 h( ( y)) 3  ch(( ye )

)将三

组元 1c, c , c23 发给送证者； 验验证者送随发机求请b 1, {,3}2；  明证者根据b的给值证者透验一定露信息的  ：如果 b=，透0  露y, 如果=1b，透露

 ye ,  如果b2=，透露  (y), (e)

 证验者验检息消：  果 b如0，=检 c1 和 c验，均可2直验接；证如 b果=，1验检1c和 c3 ，其 c3 中可直接以证，验验证c1 时需用到

要HyT

H( y e ) T HTe H(y  e)T s

果 b如=，检验2c 2和 3c以是否有 w及(( ))e  p，均可接直验。.

在证 teSr 身份认n协议的证次一执行过程，一个中诚实不的击者伪装成合法攻用欺户骗证者验功成的概为率 /23[33]。果如想要小减这一概，需要率次多执协行。Ve议rno给出基了于编码另一个身的认份方证案34][，与Ster n案方用校验矩采阵同，不erVno的案基于码的方成生矩，阵文同时给章出方了案全安的形性式化证明，该案方安的性与 S全etnr 方案等价的。是tSren 方的案缺有陷个两1：）协执议行的数过次多，当需要击攻者的欺概率骗小于2-16 时 St，en 方r案需要行 28执次可才以；2）钥尺公过寸大典，值型 1为50Kibs。t为缩了短钥公尺寸Gabor，i 利用双t环矩阵给循出了一个量级轻的身认份证方案35[]，大大低降公钥尺寸了甚至可以达，到 RSA比的钥大公还要小，典小值型 3为4bits。方案的7安全可性归以结双循环为线码性的验子译校码题，问困难其性否与原始是的S 问题D等价还不清。C楚ayerl等人在此基础上造构出了个一5 轮 q 元双循环的码的份身认方证案协了执行议的数。次4.2 标数字准名（1）签inXmei方案 1 990 年王，梅[新3]7出给一了基个编码于数字签的方名。这是案一第以个纠错码论理基为构建的础字签名数方，案方案该同时可以实现还附的加密功能。加久不，lAabbdia 等[人83]对 Xniemi方案提出了有效选择明的文攻击，称 AW为攻击，击攻的复度仅杂为项式多时间。随后他们给了一出新的种以可御 AW抵攻击的数字名签案方，为称A 方案[3W9]王新梅随。后4[0给出] Xi了mei 方n的一种案修正，可以抵御WA的攻。击2003年，u[41X]张振峰和[42]人分别等这一对系列方案进行了分析和总结，们找他到了从公计算私钥钥的有效法方，并出：指由于基大矩于阵分的困解性难造构的出些数字这签均名具有某种性性线，质此因难构很造出安全性高数的字名签案，从方暂而时为一系这列数字名算签法的研画究上了句。号（2）C FS 方目案前公的认构造基编码于数的签名算字法一有以下般种三径：途I 从个一有已基于的编的加码密算出发，法改更加和解密密的序顺，实现[

63]

其，不诚中的攻实击者每轮够能欺骗成

功的概

率下为降1/2，从而为了现实相的欺同骗率概，该案比方Setn 方案r少

减

字签名数签名。者将待签名消息（的的 asHh 值）做密文看，签过程是名对其

进行解，密验证名则签利是公用对签名值进行加密。钥典做型法是对验子校空间一个随机的校验进行子码译，将到得结果作的为数字名签。 I I一个已从的有零识知身认份证议协发出，利用 Fi taShami-r准则将转换其成字数签名算法 I。I 构I校验子建间空的一特个子集殊，使得签合者名够对能其的中校验子进行译操作，将码译结码果为作名值签，这一种最一般是的构造法方。001 年，2 Courois t N,T inFasizM S,ndrieerN 43[利]校用验子译问题码困难的，性创造的性出了给第一严个意格义的比上较全安基的于编的签码名方案，称 C为S 方F案CFS 。字数名方案签于构造属方法，I它于原基始 N的ideerertie r密加法构算，将消息造看 N做iederreter 加i密算法密文的，密解过看程做名签，而加密用来则证签验名。法算4  CS 签F名法算

参

数生成 择选一 F个上的2可不约(n ,) koGpp a C码，的纠错码力为能 t，验校矩阵 H为，及一个有以效校的验子码算译法；  γ选择F 2上一的(个-nk× (n)k-的)二元机可随矩阵 M，一个逆 n×n 的元随二机置矩换阵P；  选择一个开公安的全ashH函 h 数:0{1,*} F2 n ；k 统系公开参为数 h t, ,H p ub  MH  P私钥，为 M,H, P , 

。

签

名程设过名者签要签署需的息为 m，消签名过则程为： 计消算的 Ha息h s s值h=()m  对；于=i0,,1,2，计… s算  iMh1( s||i ) 找，最到小 i0 使得的(γs)存i；在 记v  ( is0) ，签名则为值i(||0vP。

)

验过程证验设证者收到的息签名消对为m,|，则验证过程为：计算a= (hh()m||)i，及以 b H pbuu T；  若 =b a则签正名确否则签名验证失败，。算法4 中验过程证正确性的说：明若是根签据过名得到程的一对

合法的息消签名-对，则定有一

b H pbu u T MHPvP()  MTPPTHvT HvT M sM  hih((m || i) )a

原始

CF 算法生S成签名长的为 144 度位可以，抵通用抗生日的攻。击其对稍加改动4[]可以得3三到个实用性的签：名一个签短名签（名长度 81为），一快个速名签签名（度为 1长32），及折以中的名（签签长度名为11）。 9Dlalto等对人CSF 法算的安性进行了严全的形格式化证[明44，]随在机言预模机[型5-446下] CFS将法算安的性全归约到S 问D题 GD 问和题。上Fugear e出指高码率的oppGa码可以随机码区分开[与7]，从而对上4证明的结果提述出挑战了。尽管如此通，过适当选择数参CFS，是还普遍认为能被达够到高的安全较性，十余来也出现了年种各进改法如算 CmS[44F、并]行C SF48[]。目等前多数基于大编码签的名案方以及特殊途的签用名如盲签[5名7-6]、4环名签7[078]-大都等在 CS F基础的

之上进行造。构所这有签名些法的核心都与算 FS C致一即签，名对时息消的 aHh 值进行处s使理其成一个为Go pa p码的校子，签名验过是利程秘密用译码算的法该校对子验进行译码，将码作字签名为值而；验证名时通过签算码计的校字子并验与消息 Ha的h 值s进行对来检比验名的签效有。性尽管CSF 系签名列算法都有较着的高全性安但，缺其陷也是显明，的即名的效签很低率以。基本 CFS的算法例，签名为需时对要息消的 aHhs值进变行换以后进行验校译子码，但是由算于所法选Go pp 码a错纠力的限制能只，一部有校分验子可是译以码，的因此需进行多次要尝（试名过程签的计数器 i 识了标签尝名试次的数）。 CS F法算名签功成的率概可做以下如分：析对于一个错能力纠 t为，数为参n  2m k , n m 的(tn k,)oGpp a，可码计算出可译以的码验子个校为数

 n

 n nt ND      i 1  i t  !

而总的

验子个数校为NT

 2 kn 2 mt n

二者比之为即随机选一个校取验子可码译概的率

nt) N tD! PD   tnN T( 1 !

t

Nd nt t 1  n  ，/平即均要需试尝t !此因C F 算法S名成签的概率为功 s P Nt t! t!

次

才够能到得个可一译码的校验以子随。 t着的增，长这一数增字非长快常，如=t0 1时平均需要试尝次 1!0=632880 0次才能得到一签名。个最的文献中作初建者议[ 43取] t=。但9是 B在leichnebahecr提出攻的[4击]下这一参数已经不再安全9建，参议需要数取 =m1，5t12 或= 者m=6，t=11。0从远来看长随，着的新击方攻的法现，t出的取要值求必越来越然大，就这得使签成名功次数呈指数增长，的名速签度越来越低会算法，的实效率也会越来越现差。为了决这一问题解Fin，isz a给了出种并一行FS C的计思设[想48，在保持参] 数较小的况情可以达到下较的签高名全安。性B rraeot 给出的算法用使QD Gppoa码代替Gppo 码a[05]，该算法可以降低钥尺公寸，但却又是加了签名时增间消。耗该方目前主向的要研究向是给出 C方F S类进算法的改格形式严的安全化证性明以及提升 FC 类S法算的签速名。度（3）terS 方案n 1993年 St rn e出给基了于编的码零知识份认身证协议使用 Fiat-，Sahim 之前r出的方法[51提]可将以S tren 身份的证方案方认的便转成变准的标字签名数案方，种这方式属构造于方法II。理上讲论任，何一种知零识份认身协议证可均这按一标模准式换转数字成名签案。方普认遍以这为种式模得到的字签数名安全的在随机性言预机型模等价下于身份认方证的安案全，性而然 oldwGsaesr 等人5[]2却给了一出反种例即，存这样一种在安全身份认的方案证

，经过 Fai-Sthmar 方法转i换生成数字签名方案的却是不全安的。管尽如，此一这模式未并被摒，弃主要因是为它现简单，不实需要专设计签名门方。这案构造方式的另一个种陷缺在数字签于算名生成的签名法长依赖度身于份证认案交互的轮数，这方往往会致签导名度过长长，比如S ernt方案生的签产名长度大约 1为20bKits，远大于同类型的远字数签名。因此方该向一的主个要研究目是标短缩份认证身协的议互交轮以数及降数字低名的签度。（长）4KS 方案KKKS 签名案方由K baaitnaskiiKr，oku Sm和eest在 1997 提出5[3]。方案该属构于造法方II，I是一种接直构的数造签名字算法，适于用意纠错任，码括那些没包有效译有算法码的码。因为K KS方案对个一消进息行名时不签需执要译行码作操这，特点使其一可以到达高的签名很度且适用面速广很K。K 签名S方案的主要思想利是给用线定性码的可译的校验码子的集子合构一成较个大数维的空子间，此据立一个公建钥阵，矩阵的矩干列之和对应若一个校子，从验而得每使一消个息是都以译可的码。原始文献[35]提了 K出S 的四种K变形：KK-1S、KK -2、S KKS3- 和KS-K，4说且明当钥参公数泄露任不信何的时候，息签算法名的全性等安于价Niedreritee r方。

案

KS K方存案在两缺个点：其一是公的钥尺相对寸较；其二是大安其性全不高即 KKS ，案是一个一方签次方案。KK名S方的安案性讨全论由Cyrel 等a于人200 7 年出[54]，给该证文明攻了击者需只 2 要的77 次方个二进制算和不超运过20 签名对（赖于依名参签数选的择，02是典型值），能就成攻破 K功SK3- 案方因此，KS 方K案生产的每个签一都会名露泄关有私钥一些信的息从而不，抵抗能知已文明攻击，只能用一次性签于名。Omtani 等人对K K 方案中S的有所参数均行进了击[5攻5，]证明如参果选数择不，当即没有使已知签名，也的够从能公开数中参完恢复出全钥。这私攻击种对早期的于KK S型名方案均有签，效是目这前对KK 方案S最强的大击攻 B。raret 提o了出个 KKS 方一的案噪“”声异变5[]6该方案增，加了个一额外的 aHh 函s和数一错误个量，向且在随并机预机言模下证明了型法是 EUF算-CMA安全的和。 KKS方相似，这个方案也案以使用任可意线的码且性安其性也依全于校验赖译码问子题。 43 特殊类型的.数签字名（）1盲签盲名名（B签ildn Sgianurte，SB是）种特殊的一数签字名， Ch由amu[75] 于1982 美密会上年次提首出，要主用于子电票投电子和付支统等需要匿名性系场合。的 Cahu 随后m[58给]出一个新了用的电于子支付的盲名方签案；Stdaler 出给了平的盲公名签案[59方； ]kamoO

to给出了基于整大数解和分离散对的数证认案的方盲名方案签[6]； P0oitncehav[l1]6基 Sc于nhorr 协议的62[给]出了证明安可的全签名盲案方。目前种成熟多的签盲名方主案应要在同时用要需名匿和认性证性的场合，如在中电子金中实现现不跟踪的电可子金现在电子选举中，实现无记选名举等盲。签名一是种互交式协议结，果是得持使某个消有 m息的户 U用es 获r签得名人Si gner对息消 m的数签名字 s；但 Signer是却不道知息 m 的消容内即；以后将消使息-名对签(,m )公开s，Sgnei r也法无追消息踪自己与行执签过程名之的间相关互系。盲名签基本安全的求包需括：   盲：除性请签名的消息求拥者有，消外内息对任容人何（括签包名人均不）可。见使即签人对名息签消名，然仍不到消得息的体具容内。不伪可造性：任不何道知名人私钥的签都人法无效有地计出算个一能通够过名签验方证的程消息-签名(对,m s)。不可赖性抵：要证明消只息的名签合是的法，么那签名人不论如何都法无否认签他过这消息个。不追可踪性：名签息公消开以后，签名人知道何不时的签，而且使留即有

当

时的

名签信，息也无追踪法消息的内容到目前。一唯备具高安较全性的基于码的编签盲名案是 Ove方rebck 于2 00 年9提出的 C Q签名盲案[6方3]该。方基于案知零识明协议与 CFS证签算名法作，者未给出并严格的全性证安，明但是声称方案安的全可以性结归为些某PKP[6 ]4例实和S 问D的题困难。由于性该案方给出的签长度名长，典较参数下型达数到 M的大小因，实此性用不。高目尚未前有被泛承广的其认它似类方。案（2 群签名）群签名 G（oru Spgiantue，rGS）概的由念 Chaum Heyst和65]于 1[919年提。出基本其含指义的是以群的名义进组行数签名。字群成组员包一个管理括与若员干成员群任意群，成员拥有自己私钥的和群公钥组，均可代表群进以签行。而名当对名结签果产生争执的候时，管员可理以踪追签的名成员身群，份此由实有现效的追责。群签名有以下特点：  只有群员成可以署消息；签接收者可验以签名证的有效，性能即判断签名够否是自于来某特的群组定，但是却不道是知组群的中一哪成员签署个的如；果必有（发生要执争），签时可名以公开，名签员的成份可以由管理员进行身确。认群签可名看做一种一般的“以成员群匿名份认身证，”即员可以成证明他属于哪个组，群但却不泄其身份露其安。全需包求括 ：   不伪造性可：签群名可不被群员之成的任外人何伪；造匿名性签名的群成员：可被不管理员之外的识别；人可追

踪性管：理可员有追效踪名的群签成；员合抗攻谋：群击成员谋合不伪能造其群成它员签名。的Bone ，hBoey n 和hScahma[66给出]了短签群方名，案基强于 H D假设得了较到签名的短。ysLyanksaay等人6[]7给了群盲签出的概名念，并其将效用有于电子金。现主民群签名一种特是殊群签名的在，一个主群民名体签制，中组群的中成员的地都是位平等，群的中的任何成组都可员代表该以组产群群生签名。群而组内任成员何都可从给以的有效定签名群中恢复出产生该名签群的成的身员。份当相于管员的角色理群由成员担任内其安。性需求全包不可括造伪、可性踪性和追匿名性。 Zenh 等人g[86设]了使计公用可开证验密秘享分术技来现门实追限性踪民的主签名。群在限门可追踪性民的主群签中，若干个名群成（如员t 个）一才起进行签名追能踪，少而于 t 个成员无法完成这则操作一这，种做具有较大的灵法性。活

第

个一基于码编群签名方的由 E案ezmarn，Le 和 Lengi于 2 05 年提1[出9]，6 实现了CPA 名性和匿追可性溯要的求并，且随在预言机模型机下其安全将性归约为cEMleice问题和D S题问一的个种变。方该的案钥密寸和尺签长名均比度同类型它后量子密其技术构码造群的签方名要案小。（3）环名签环名签（iRngSi gantreu，RS的概念）由Rveits等人在 20 01年的密亚上提会出7[]0。签环允名一个签许名者表代一成员个集进行合名匿的签。名签者在名名时可签以不要需他其成的员助，甚帮至可不以其他成让知员，只道利用需自的己私钥和他成其的公钥即员可成合法生的签。名验证只时能确签定名来自于群是组中的个成某而无法员追踪名者的签真实身份。环签名看可做特的群殊签，名即没管理有员群的名签。群签名环签名都属和匿名的于群组签名不。同是的环，签没名有群员的预成定义程过，没更改、有除删群的过，程没分有配密钥过程的，也有办法没销撤真签名实的者匿性名（非除他自愿意暴己自露）己。唯一的假是设有的成所员有都个一准签标算法名对所并有人开。公了生为一个成签环名真，实签的者名宣布个任一的包含他意自己内在的份身集合称“可能为的签名者 ”。算计签名使自己的用私和可钥的签能者名的钥公。环签名安的需全求包：括  匿名性环：签名制体要提供需可不销撤的匿名。即性给一个定环签，名除了名人外，签何人任法获无知产该生名的签名签人身份。可不造性：伪环名签不可的造性指伪是的何任在环不中的人L没能力伪有造一份称声是L中员成成生环的名签。Zenhg等人[ 7]1 20在7 0年第一次提出了基于码编的签名环

方案，方该相当案于是基对本CFS方案的种一扩展，安其全性以归结到可S 问题和 DD G题，目问前未发现效的有击方攻法。方给案的出名签度为长 144+21l（6l 表环中的示成员数目），这在是保持安全的性提下所能达到的较短前的签长度。名（）4限环签门名限门环签名（hTerhsol diRngS ingature，RT）S一种是门将思限与环签想名结合起的来种签名方一。案一个门限环第签由 B名ressno ,teSnr和 zSyldo于 002 年提出[72]2称， B为SS门限签环名案方在。个(l, N一)的门限环名签案中，签方名私钥分布以式的形由式N个成员进保管，至行少有l 成个参与员能才生成一个够有的门效限签名环。即l 个员可成以代整个表进环行有效签名不而需其他成员要的参与，同签时也不名会露签名者的泄身份。oWgn等人[7 ]使3用方多门陷变换出给了一种使用联结构串的门环签限名案。方

Lui等人 [4]同7时基于RSA 和D L钥公密算码给法了出可离门分环签限的名概，即每念个一名者签以可立选独自择的私钥己不而需要共的同数参域。这些方的案安全性都是于基传的统论困数问题。难一个基于第编码的效可高证安全的明限门签环名案方由elMchor 给[出75，]该方推广了 S案etnr身认证份方，案利用并 FiatS-hami r方法将其转换为门限签名环案。方该案的安全方性赖于 S依D问题其，签长度名计算复杂和性都是Ste n 方案r N的倍，其中为N成环员个，典型数签长度为名02k×B 。N建议用使Gborai[76] t双的循环矩阵可以大幅，度减公钥少寸尺典型，值为437。NDal lt o和 Vergnau 等d人77][基 C于F S方给案出了另个可一明安全的证于编基码的门环签名限。该案方将是FCS 名签算法和B rseson[78]出给的门环限名签般一构造方进法结行而得合，到满足个特三：性一性、匿致名和性可伪不造。性典的型名签度为长 65N722-8，其中 l 为N成员环，数 l为名门限数。签VD方案的安全依性赖两个于NP 困难题：Go问pap界译码（ BG）问D和 G题opa p码区（G分D ）题问（5。基于身）签份名为化传简统公钥密体制的密码管理问钥，题hamSir于 1984 年[ 97]提出基于了份密身的思码。想将户用公开的身信息份比（如E m-ali名字、IP 地、址等）作用户为钥公，者或该身由信份息过通公算法计算开该用户的公；用户钥的钥私由个一被称私为钥生中成心（rPvait Key eeGenraortP，KG）可的第三信根据方秘密系的主密统钥和用公户钥成，生通过安并全信道送给用发。户基身份密码于制体年来发近展常迅速非[8-08]3，并且促进了基于属密码体制[8性-864的诞]，在自生组织、网计算、大云据数等境下环有广泛的着用。应S amhr i其在文中[7论]已9

经

利用大整分解问数题出了给一个基身于的份数字签名 Id（etint BaseydS giatnur，IeSB体）制B。llear[87]e对大一类基于份身的加密签名与的全安进性了行证；明Glainod[88]明证一大了在类标准模型可下明证全安的基身于签份名体制的行性。可Ca yrelG，boairt和 Griulta8[]于92 07 0年出了提一个基于编码的第BI 方案S 其主要，思想将是mCFS 法和改算后的进Setrn 身认份证案进方结行合，利 m用FSC对给定用的户份身Has 值h进行S D译码，而 S etn r案用来实方现身份认。证方案的安全依赖性于S D 和 DG问题的求解该方。案中户的用身份钥高达公 M1，且需进行要轮信息多交互，总体实用性并强。不于编基码的数字签名体未来制能可研究的方向有  ：CFS类数签名字法的算改进。括包对C F 算法的S改进和严格的安全性析与分证明以及，对C FS 案实现方率的效进步一高提



基于。码编特的殊名方案研究签目前。基于码编技术现包括群实名、签盲签名门限环、名签在内的特殊名研签还属于究步起段，阶造构安全、更性能更的好法算未来的研究方向是一之

5。基于码的 Hash 技编

术ugot 等人A于20 30 [年0]9首提次了出一安种全性于编基码困问难题的aHh 函s 数造构方法该方，的法基本想利思了用M ekle[r91] 和Dagåm rd[9]给2出的ashH 函循数环迭代，使用随法机码的校矩验而不阵是置换 oGppa ，码其全安性可归以为约下以的SR 问D题。问题7 则正校子验码译R（gelaruS ndrymeoD ecdoin，gSRD问题输）入限域有 F 上q的一(个nk-×)n 的阵 H矩向， s 量 Fn qk 整数， >l，问是0存在一否 l 个正则字x  qnF，得使 HxT s？其 l 中则字指的正是重量 l 且为匀均布的分字即，字将x 分均为l 段每一，恰段只有一好个。 1Croon 人[93等]基于aWgnre的般一日攻击生[49技]对术实施其了成功攻击，的Agotu 等对人们他的原始案进方行了改，进得到 F的BS 算法[5]9为成于编基码ashH函数构造经的算法典并，度一为成 SAH- 3的候算选法[96]F。BS 算的法迭过程如代图1 所。示

消息m sr位-

填充 I.V.

后一最轮第轮 r位

一压缩

函f数 r

最后一轮位 aHhs

图 1 值SBF算的迭代过程其中压缩函法 f 数是 SB 的核心，F 其构造基本的思是将想定长固度的入字输平均成若分干段每，段一算计出个数一用值选择校验矩阵来的某一列H，所将选中的所有列进相加后行为作数的输出。这函样构造来出函数 f的输出必定其某个正则是的校字验，子据根RD S题难解问的假设，函对 f数求逆是不可能做的，从而保到了证Hsh a数函的全安性。 SB 算法存F在的要问题主计是速度较算慢、存储空间大，较远没有达远实到

用速的度，这也是SHA-

3 最抛弃 FS终B的原因F。niias 等z利用准人环矩阵对循其进了行改进[79]，大地降极低存了的需储；M求zeiani 用海利函数[绵8]构造了另一种基于编9的码H ash函，数为称-SFSB99[]将算法，的运算度速升提了30%； Ber ntesi 等n[10人]0出给了另一高效的改个算进法：RFSB，单在核Co r 2 QuedaQ 9550处理器平上，台FSRB-590 运的行速度过超了 SA-H562，其且全安度达强了到的 1282次方。该向方主的研究目标是在要持保全性的前提下构安造更高为效的 ash h函。数

于基码编的它其码密术技6

. 1伪随机生数成Fi chser等在人1996 首次提出了可年证明全安的于校验基子译码题的问随伪机数生成法算[011，其]全性可以安归为 S结D 题，问是但算法的实现效较率：低一面由方计算给定于量的码字个数需重大量的要算计消，耗致导输出度仅速 3为00bit0ss，/另一面方存校验储矩需要阵大的存量消储，典耗型值 8为8k。B Gabori 等人t于2 070年提出 SY的N 算法D对是iscFhe 算法r的一种进[改01]2 ，算该法使正用字则准和循码减环了计少消算耗和存储耗，输消出速度基于多变比量MQ 题构造的 Q问ADU[10]3算快法百上，倍已经近于 AE接S 速度，的存且矩储阵大小仅为1k 。B Meziai n等人于201 1年基于海结构[9绵8]出提的 S2C 算[1法0]4进步将一算运速度提了一倍高，密尺寸钥有也50 bis 的t短缩，Meizni 等a人于2012 在 A年rfcaCryit p议会上提的出 XYSDN算法 [051在 ]182ibst的安全参比数SY ND 法的速算度提升了3 倍对， 40于b0ts i安的全数比参 YND S快 6了倍，实其用更强。性该方向的主研要究目标是进一降低步密尺钥寸及以寻更找效高的伪机数随成器生。.2 6签密签作为密一密种码协，能议够时实现机密同性和认证，性且实其现效率优要于单的独加密与名之签。Zh和eng [01]6在1 99 年7的美密会上出了给早的最签密方，随后不久案，aBek[107和] nA1[8]等人分别0对其法的安全性进算了行深的入析分和证。明基于码的编签方密案由Mtaeh[w019于 ]012 2年给出该方。以案CFS 案方为基础考，虑到安性问题，对全CF S进了行适修当改，并且证明在选择消了攻息击下的存性在不可伪安造（全EU-FCAM ）这。目前是有的仅可明安证全基于的编的签码密案。该方方向的要研究目标是提主算高法的现效实。

7率结

语

基于编码

密的码制体够抵抗现能有的量子击，攻是来密码未发学展的主流方之一。本文向述了综码编术技在加、密字数签、身名份证认、aHhs 数函以其它多个领域及应的，用详细介绍如了基何纠错于构建各码密类体制，码同给时出经典算了法详细的述描对其安并性全和实现效率进行分了。析最后我们还指了每出部分未一

来的研目究和标发展向方

。参考

文献[

1] iffDi We H,ellanmM . NEw edircteiosn nic rpyogrtphayJ][ Inf.omrtionaTheo yr, EEE IrTnaactiosnso , 1n769, 2(26) 644:6-54 [2.] RveistR L Sh,mir A, adlAmae nL A.m theo dofro tbinanig igdtil sigaantrue asn dublicp-eky rcptysoysems [t]J .oCmunicmatiosn ofthe ACM,197 8, 21(2):1 2-0216.[ ]3K tz J,aL nield Y.l Introudticon tomo der crynpogtarhyp[M .]C C RrePs, 20s4.1[4 ]S hr oP .WA lgriohmtsfor q uanum ctopmuatton:idi cresetl ogaitrhm sna fdcaorint[gC]/Founda/itnso of omCuptr ecSince,e1 99 P4rceodengis,. 35t Annhau lySmpsiou om. IEEnE 1,94:9 14-123. [5]4 GorverL K . Aasftq antumumecha incl alagrioth fmr oadtaasb seaech[r]//CrPoeecdigns f toh etenwt-yigheh atnnula CM Asypomiusmon T eohry fo omcptungi. CAM ,919:6 22-2191 [.6]P so-qtuntaum rcptoyrgphay[M. S]rpngeriSci ncee B&suines sMdiea 2,090 [7].Overb eckR, SnerdeirN .oCde-aseb crdptoygapryh[C/]/B rnsteei nDJ, B chumann .J Psto-qautun cmrytoprapgy. BehrlinH idelberge:S ringper 20,9: 09-145. 58[] Meklre RC.A certifei didgitalsi gantre uC[]//Advacnse i CnrypotlgoCyRPYO’T98Pr ceediogs.nSp rigenr Nwe ork,Y 1909 2:81-283 .[9]Ho fstfen i,JP iheprJ S,ivelmar n J. NHRTU:A rin-bagesd ubpic kel ycyrptoystsme[C] /A/logirtmic humnbr theeroy. SringperBe rlniHe dilberg,e 991:8 627-28.8[ 10 ]RgeevO. nO atlictes ,elrainn gwthi errro,sr adnm olieanr cdoes and,c rptygoarphy[J .] Juonal rfot e hCMA JA(CM,)2009 ,6(56): 4.3[11 ]Ma stmutoo ,TIma iH Publ.i qucadraitc opynlomai-tuplls efroef fcieint ignstauerve-ificrtaionand m sseag-eenrycptionC[//Ad]ancev insC yptolrgoEyUORCRYT’88P.Sp rniegr Brlein eidHelebgr 19,88 4:914-3. 512][McE iece Rl J . Aubplic-keycr ytosypstemb sae od alngbericaco dni gtehry o[].J DN Sropgrss reeortp,1 789,42(4 4: 11)-416. [131]M cWilaialsm J,F loanS e J A.N Te hteorhy o efrorrco rrectnig cdeos[ ].

evisre, 971. 7[4] 1McEilece .RThe t ehry oo finfomatirno na cddinog[ ]M.C maridbgeU nivreity srePss ,200.2 [5] 1Brlekaem pE R ,cMEleic eRJ ,V a TinborglH C A. On theinh reetnin rtcatbality ofi ecrati codingnp orlebm[Js].IE E TErnsactiano snoIn ormatfoni hTeryo 19,78 24(,3:) 34838-.6[ 6]1 Egnelber Dt ,OervbekcR Sc,hidtm A. ASu mmaryof Mc lieceET-yepCr pytoysstmesan dth eirSec uiryt[]J .Journa olf atMhematicl aCrptylogoy, 200,7 12():1 5-1.[17 ]N edirreeite rH .nKpasak-tcypecry tposytemssa n adlgbraeic odingc heotry[J ] P.orlems ob fontrCo lnadInfo rmtaon Tihoeyr, 1968,1 5(): 25911-6.6[18 ]Li X, YDegnR H Wang X ,M.O nhe etqivualnce oe fMcEielec's nd aiNderreetires p'builck-y ercypostysets [J]. mEEIE rTasanctoisnon nforIamtoni hToery,1 994,4 0():1 71-273.2[ 1]9S deilnikvo V M Sh,esatkov OS. O nisnceuitryof c rytposytsmse basdeo n gneearlized Ree-dSlomoon ocedsJ[].Discre te Mtaehaticm asn Adplpcaitoni,s1 992, 2(4:)4 9-434.4[ 0] Ga2biulin E M, PdraaonomvA V, T rtjeakv O V. Ideoals vore aonncom-umttiva eirnga nd htir aepplcitian oi nryptclooy[gC]/A/davcesnin Cyptrlooy —gE UORCYRT’91P. pSrngeri eBrin Heildebergl, 911: 489-24

89.[21 ]iSdleinkovV M .Ap ubilc-eky rcytospyset mbsaedon bi anr yRee-dMulerl odecs[J] .iDcrest Methameaics tnd Aappiclaitosn, 194, 49(3): 11-9028.[2 2 J]ana w9323-0. [73] G2boaitr . PShoter kres yfor code asebd cryptgroahy[p]C//Pocredeingso ft h 2005eInternation laW rkohsop onC oidg anndC rptygoaphr y(CC W002)5 .2005 :8-19. 12[4] iMsoczi R,k Baretro P SL M. oCpmcta cMlEiee ckey sformG popacod s[eC/]S/lected erAea sni ryptCgroahpy .pSirgenrBerl n Heideliebr, g200:9 376392-.[2 5] eBgre r TP Ca,ryl P Le, aGorbit P, t ael .eduRicng ey LKngeh tfo the McEiecl eCyprtoystem[s]C//Proce dinge sfo te 2hdn nItrnaetinoa Clnoeferne ocn Cyrpoltoygi nA firac Pr:oregssin rypCtlooy. Sprgigen-rVelagr, 2009:7-97.7 2[]6 maUa nVG ,eandLre . PrGaticcla eyK ecRovrye tAtckasOn T woM cliEeceH, Morno Oe.Mc Eilcee pbuicl ek cyrptosyysetsm sungi lgabraie-gcemoertci oces dJ].[De isnsg,C deos na Cdrptogyarph, y9196 8,3()

Var

anis [J]t Iacr C.rytpolog ypEirt Anchrie, 2v009. 27[ K]boraa2 01: 05-545 [2.8 ]BlaidM , hCairluac F. eCryptanlysaiso f ane iwntsncea fo McEleice cyprtosysemt absed o nQ-LCPDC cdoe[sC/]/nIormaftionTheor y 20,0.7 SIIT20 7.0IEEE In etnatiroaln ymposiSumo . IEnEE 2007, :521-2959.5 [92] BladiM Bod,rat M,o Ciahrluca Fe A.new an layss iof te hMcEliee ccrypoststyemb ase donQ -CDPCL odec[s]/MSe/urict andyC rptyographyf o Nrtworek.sSp ringer Brline eHdelbergi,2 00:8246 -262 .[03]Bal i M,dBia nci M,hChi arluaceF. Secu itrya n cdmolexpti oy the MfcEiecel cyrtosyspemtba ed osn uaqi-scclyi clwod-nseity paity-rchck eocesd[J]. IE TInf rmaoton iecurSiyt ,012,37(3) :122-202. [3]1 iMocski zR ,Tlliihc JP , SnedirreN, et a.l MDC-McPliEeec N:ew cEMiecl veraanti fsro mmdoerat densitey partiy-hcce kodcs[Ce/]/nIofmatrin ohTero yPocredings (IeIS), T2103I EE EItnenrtional aySmopsiu mon.I EE,E 021: 3209-20673. [2] 3on vMuarich ,IG nüyeu sT. igLhwteghi code-tased bcyrptogarphy :C-MDQPCM cliEce eecrnypionto neconfrigraube levdcei[sC//]roPeedicng ofsthe ocnfeerneco Dnsein,gA utomatoin &T stein Eur poe. uErpoan eesDgi nad Autnmaoitn oAsocsatioi,n 021:438. 3[]3 Stre nJ.A en iwentifidactinos cemh easbedon ynsrdomedec oingdC]/[A/danvcesi nryCtpooly—gRYCPT’O39 Springer Berl.niHeid eblegr ,199:413 21-. 3[]4 éVrno P Impr.ove idednitfcatiions hcemesbas edo nrero-crorecrtnig ocdse[]J.A plpiaclb Algebea rn iEgnieernngi,C omunicatmoin na Cdopmuintg 199,, 7(1): 85-679 [.53 ]Gabrito P, iGruatlM. ighLweighttc do-eabsedide ntficitiona andsig naurte[]/CIn/fomatrin Tohoeyr, 0270 I.IT S200.7 EEE IItnerntaioanl Smyospiu onm. EEIE 2,07:0 1191-5.9 [63]C yrea l PL,Vér o P,n Aaoul i MSE Y A zero.knowl-dge ieedtifnicatoi nchsem basee dn ohte qar-ys ndyore decodimgnp obremlC[]/S/elceetdA res ian rypCtograhyp.Sp irnge rBerlinH ieedbleg, 2r10:117 -181.6 3[7] XnmieiW .igDitl aignatsruesc emh ebsed aonerr ro-crroeticngc deos []J .lEcertnios cLetetsr, 1990 2,(613:)889899.- K. Cdeo-abse publdc-iky ercytpsystomseand heti raplpictaios[M]//Infnomarito Thnoreetci Seucriy. tprSigernB reinl H

idleber,

g[38] Al

bbadia M ,Wicker SB .Sec uiryt of Xinmeidigi at ligsnatur escehm [Je]. lecEtoricns Lteetrs, 912,9 82(9:)890-81.9 [9]3 lAababdiM ,W cikr e B. SDgitali Sigatunr eSchmeseB seadon E rrr-Coroectirg nCdoesC][/ /EEIEI ternatinonla Smpyosiumo n nIfrmoatino Teohyr,1993 I.EE, 1E99: 139-919.9 [4]0王新梅纠错.数码字名方案的签修[正J] 电.子报, 2000学 28,(02:)11-1102.[41 ]u S XB, DoumenJ ,TlbirgoH . VnO th Secueriy ot fDgiial tSingauret Scehms eBasedon E rrr-Coroectrnig Cdoe [sJ. De]ignss Cdoe & Crsytopgarhpy,2 00, 3282(:)17-819. 9[42 ]张峰,振冯登国, 宗戴.铎于基错纠码的AW 字数名签案的方析分J][. 中科学国：辑E 20,30, 332):1(4-1667 [4.] 3ourCotsi NT ,iniasz MF,S ndrieerN. H woto a cheiev MaclEiee-cbaesd digialt sgniauret scemeh[C/]Ad/avnec is Cnyrtolpogy-SAAICRYP T020.1 prSignr eerBin Heldieblerg, 201:01 751-74 [.44 Dal]ot l. TLowadr asconcrete se cruit pyorf of oourCtois ,Fiinas znadSend ierr sgnaiutre chsme[eC]//L ckusS S,daehig A-, WolRfC R.seaechri nCyrpotolg.y Berln Heiieldbegr :prSngei, r2008 :5-67. 7[5] Be4larel M ,RgaowyaP .Ran domOrac elsare P raticcla : PaAadrgi mofrDe sgniin gfEfciine Ptrtocolo[s]/C/F isrt CAMCo nfreenc on eoCputem radn omCmuncatioi Secnuiryt A.ssocatiin oof Crmpouitg Machinney, r193:69-723.[ 64 Canet]itR, G loreidc h,OHalevi .ST ehra ndm oorclaem tehodlogy,or vesiitd[J].e Jurona lo the Afm,c2004, 51 ()4557:59-.4 4[] F7ugeaer J , CGutaierhUm-naa ,V tmOna A, it al.e Adi sintgisher fou rhighrate M-Elciee cryctopsytsem[s].JIE EE rTnasactoniso Innfrmoaiont heoryT ,2103 59,(10): 86036844. -[48] iFnias zM .aParllleCFS[-C// ]eSelcedtAre sain Cr ptoygrpay.h pSingrerBerl i Heniedlebg,r 21101:591-0.7[4 ]9 iniFsaz ,M endriSe Nr .ecSurty biounds or tfh desieg of cnde-baoed scyrtpoystems sC[/] Mats/ui M. dAanvcse n CiyprologtyA-SICRAPTY 0092 B.elinrHe ielbedrg:S ripgnr, 20e09 :8810-5 .5[0] arBerto P S LM ,Cyarl ePL ,iMosczi Rk,e tal. Q aus-dyadic CFiS ignsatuer[sC/]/Inorfmtioan ecurSiytan d Cyproltgoy.Spr ineg rBrlie Heindebleg,r 021:1 336-394 [.51 F]it a, SAamhi Ar Ho. to pwovr eoyurslfe:P rctiaal scloutoins o tdentiiifcatoni adn

ignsaute prrbolme[Cs/]/dvancAes inCr ypoltog-yRYPTC’86. OSrinpgerBer li neHdieberl, 1g89:718 619-.4 5[2]G oldwassr eS, aKli a Y.T nOth eIn(se)curtyi o fht FietaS-amir hParaigd.mJ][.Fo unationd osf omputeC rSicene cnnAal Syumopiusmo ,n2 030, 003:102-121. 3[5]3 KbatiaasnikiG ,K ruk o,ES emtseB .A dgiita slingatue rsheme bascd en oanrdmoe rro-corrertcnig odcse[ C/]C/yrtgoarhpya d Cnoingd S.pinrge rerliB Hendileebrg 1,99: 716116-7.[ 4]5C yrael PL O,tamn i, VAreganduD . nOka batainsiikk-ouk-rmests siegnatures C][//rAthimetci o fFnite Fieids.l Sringer Berlpi nHedeilebr, 20g07:2 732-5.1 [5]5O tamn Ai T,lliihc PJ. An effiicet atntack n olla ocnrcte KeKSpr posoalsC[]//osPt-uaqntu crymtpgoarhp. ypringSe Brrleni eHidlbeerg 2,11:098 1-16.[ 6] Bar5eto rP SL M, MsiozcikR Sim,lipcoiM A. Oent-iemsig aturens chmee formsyn droem edcdonig ovre

geneic error-rorrecting ccdes[oJ] J.oruan lfo yStses & mSotwafre 2,011,8 42)(:91–280. [574]C auh mD.Bl nd iigsantues ror fnurtacabele paymnes[t]/CAdv/acns ien rcpyotlgo.y Spirngr US, e913: 899-2130 [5.8]Ch ua mD ,iat AF,N aor M. Unrtacebal eelectonricca s[C]h/P/orecdineg onsAd ances vin ryctpoolyg .Srpniegr-eVlagr NweYor ,k nI.c 19,09 :391327-. 59][ taSderl M, Piveteu aJM C,ameisch J. nFiarbl id snginauretsC]//Ad[vacns einC ryptology—urEcroyp’9t.5 pSirgnr Beerln Heiiedlebr, 19g59: 29-209.1[ 06]Oka mtoo .TP orably sevurc eadn rapcictl iadetinicatiofn chemes asdnc rroepsndinog isgnatre uchsmee[s]C/A/vandcs en CriptyolgyoC-RYTP’O29.Sprin erg eBlrin Hedelbierg,1 993: 3-53.1 [61 Poi]nchtvael D, teSr Jn.P ovabrl yseuce rbindls gniaute srhecms[eC]/Advan/cesin C yptroogylAS—AIRCYP'96.TS pirgnerB eril neiHelbedr,g19 6: 925-225. [62] Sc6hnor rCP. Effic enti sginauret gnereation ybs mra ctardsJ[] J.ouraln of cryptoogly ,9119 4,()3 :11-6714 .[3] O6vrebcke R . StAp Towerda sQC lBid Sninagurets[J].IA RCC yptorogy elrPni Artchvie 20,09,2 090 10:2 .[46] SahmirA. Ane fifiecn itentdfiiatiocn scehmebase ond perumet dekrneslC[]//dvAnces ai nCyrtoplgyoC-RPTYO89’ roPecdiens. gSprignr eeN work, 199Y: 06606-09 [65]. Chuam ,D an HVeyt E. sroGpusig anutre [s]//CAdancev isn ryCtpoloy-

UERCORPT’9Y1. SpirgernB erlin eHielbdegr ,191: 927-565.2 66[ ]Bonhe D ,Boey nX, haScam Hh. Shot rroupgs giaturne[s]C//Advacesn ni rCytplooy-g RYCPT 2O04. S0pirgern Berin leHdeilebgr,2 004 :41-5.5 6[7 ]Lysynsaakya A,R aman Z.zG roupbl ndid iitga siglnaturs:e A cslable saoltiount oleetrcnoicca shC[]//Fiancnil arCpytgoaphr.y prSngeirB rleinH iedleberg ,991:818 41-9.7[ 8]6 heZg D, Lni X ,aMC, et la .Demcratoic rouG pSginatres uithwTh rsholedTrac aeiblit[yJ.] IACRCry potlgy eoPinr Arthicve ,2080 :12. 16[9]E zemarnM F L,ee H,TLin gS, e tla A.Pr oavbylSe ucer Goup Srgnaturi echemS eromfCod -eaBsdeAs uspmitosn[J ] .ACIRC yrtpooglye rintPA rhcie,v 012: 579.4 [70]Ri ves RtL, hSair Am, auTmn aY .Hw oot leak as erec[tC]//dAancvs ien Cyptologry—SIACRYAP 2T010 .prSnieg Brrlei neiHdlbere,g20 0: 515-5265. 7[]1Zh engD, L i X ,Che Kn .Code-baeds iRn SiggntuaerSch meeJ]. IJ N[twoerkSec uiry,t2 007,5 (): 2541-157 .72[]Bre son E,s Stre n, JzSdylo .M Trhseohld Rnig iSngatrus enad Appliatiocn tos A-hdc oGropus[ C//]A danvcsein rCpyolotygCR-YTO P2020. SrpigenrBer il nHedieberlg,200 2:465-84. [07]3 Won DgS Fu,gnK, iuLJ K e, al.t O thneRS- Cod eCnotsucrtino fo Rng Signaiurt Secheesma nd a Trhehsod Slettingo fRS T C[// I]nfromtionaa dn oCmmunictionsaS curety. Sirpniegr BreinlHeide belg, 20r03:3-464 .7[] 4iu JLK, WieV K ,oWg nD .SA Sep rabae Threlsolh dRni gSignatru ecSehem[].JLe turceN tes io Comnpter Scueinc,e2 00,3297 :11-26. [257]Mel chroC A ,ayrCe P l, GLborai Pt ,etal. A n w efefcieni thtresohl drngi ignastue schemr eabedson odcignthe ryo J].[ IEEET anrastiocs nn InformotionaTh eor,y2 011, 577)( :834-3484.2[ 7]6 Gabrio t,PG irult Ma L.ghiwteigth coed-baeds ideniticatfoi and nsgn

iatue [C]r/ /EEE InterIntianoa Sylmpoius onmI fnroatmon Tiheory I,SI 2T07. 0IEE,E 020:17191-5.9[7 ] D7allo tL, Vegranu d.D roPvabyl seucercode bas-ed trhsehld rino gigsanutres C][/Cry/potgarhp ynd aoCing. Sdrinpeg BerrilnH edilebrge, 2009 :22-225.3 [8]7 reBssnoE, tern J,S zSydolM .hTeshrldo RingSi ganutes rad Apnpilationscto Ad- oc Ghorusp []C//dvaAnec isn Cyrtpolgy-oCYRTP O022.0 Spingre Brerln iHeidebergl 20,20465:4-0.

79[ S]hamr iA I.dntitye-asBe Cdyprosystems tnd Siangtuar eScheem [Js] L.etcre Nutoesin Cmpouer tSieccen 1,958, 2(21):475-. [308 Bon]eh D ,ranFkinlM. Iednity-btsed enarcpyton irofm hteWe l ipairnig[C /]A/vdnace sn irCptyoolyg-RCYPO 2T00.1Sp ringr Berlin eeiHeldbreg ,201:0 2312-92. [1] 8aekB J, heng Y.ZI edtntiy-asedbt hesrhol ddcryeptin[Co]//Pbuic Key lrCptography–yKC 2P004.Sp rnige rBelrni Heiedberl,g200 4 262-:26.7[ 82] hZa S, oAggrwaa A,lF ostrR e, tla. Ausreyv f opalpiacitons f idoetniy-tasbed cyrpotgrahp yinm obiela d-oc hnetwrkos[]. JomCumincaitons uSveysr &Ttuoiral, IEEE,s2 012,1 (4): 328-400. [803] daSi lva ,E Pessoa lbiniA C.LTo wrad a fslly seluforga-niezd dineittybas-edk y eanmgaemetns yste mfo rAMETN[s]C//irelWss aed nMobiel Cmpotiugn ,eNwtrkoingan doCmmnucaitins o(WMobi) 20,1 I3EEE9 thIn tenrtainal Coonerefnceo n.I EE,E2 031:7 17-73.2 [4]8S haa iA,Wat es rB Fuz.zy deinitt-yabsed necyrptin[C]o/A/vdncase n Ciyrpology–EUROCtYPRT2 00.5S prnige Berlri neHdeiberlg 2,00:545 -4737. 8[5 Chase]M. Mlut-autiohrtiyatt irubt ebasedencryp toi [Mn]/T/eoryho fcry ptgropahy.Sp irnger erlinB Hideleerbg 2,007 :51-5345.[ 6]8 iL , RJn eK, im KK. 2BA:EAc ocutabnleA trtibue-Batse dEcnrpyitn for Abusoe Free Accss eContor[lJ.] AIC RCyproltgy eProntiA chive, 2009r,20 90 :181 [.78 Be]llraeM, amNprmpreeC, N veneG . eScuirtyproo f sfr iodetityn-bsaed dientiifatiocnan d sgnaitreu chesems[]J J.urnoalo f Cyprotogly 2,090, 2(21: 1)6-1. 8[]8G lindaoD , erHarzn J, Klizt . EnOth e gneeri cocntsrutiocnof dinteiy-btsad eigsantreus iwt hddaitoian prloepriestC]/[A/dancesv n irCpyotogl–ySIACARPY 2T06. Spri0ner Begrln ieidelHerg, 200b: 678-1139 .[89] ayrel C LP ,Gbarit Po G,iaultrM .Iden ittyb-aeds idneifitatconian digsanutr ecsemehs siug conrrectingc odes[C]/WC/C. 200,72 07:069 -87 [90. A]gotuD , FinaiszM ,Sen rder i. A NFsatP rovably ecuSr eCyrptgoarhpi cHsha Fnctiuo [n]J I.ARC Cyrptlooy gPrientAr hivc,e 0032:2 0.3 91[ M]rekleR C. nOew a yhashf nctiuno sndaDES [ C]//dvaAnecs n irCpyology-CRtPYOT’8.9Sp ingrre Nw Yore,k1 990:4 2-8464 [.2] 9aDgå mdr IB . A esignd rpniiple cofrha sh funticno sC[]/A/vadncse n iCryptloogyCRY-PT’O98.Sp irnerg Ne Yowrk,1 990 :461-274. [39] oCor Jn , JouSx . ACrytpanalsisy o f Paovrblya Sceuer CyprtogaprhicH sh

cnton iJ][ .ACRICr pytlogy oerint APrchie, v0204,2 004: 3.1 [94]W gaer n.D geAernailzde brtihady porlemb []C/Adv/naes inc cyrpotogylC-YRTPO 202. 0Spinrge Brelinr Hedeiblegr,2 020:28 8304- [95.]A ugo t,DF iinszaM, Se drnir Ne.A f mila yof fas tyndsrmo baesed rcytpogrphacih ash funtcoinsC][/Prog/r

essi n Cyrtpoogl y M–yrypt 20c5.0Sp rnigr BerelniHe dielbrge 20,50:64-83. 96[] Agot D,u iFnisa z, MaboGri P, tt ae.l ha-3S poporsl: aFBS[J]. uSmbssioint oNIT, 2S080:8 18-.5[ 79] Fniaszi ,MGab oit P, rSndreierN .Iprmveo fdst asynrode basemd ryctpgorahip cashhf uctionn[C]/s/Pocerdieng so EfCYPRT Hsa hWrkohso. 200p,7200 7:155 [9.]8B reton Gi ,Damee n,JPee erstM et ,a.lSpo neg fnctuino[s]C/ECR/YT Phsah orwskhp.o2 00,7 207. [099 Mez]iain M,Dagdelen O, Cayer l L,Pe atl. -FSB: SA nmproIve dVriaan tof het SBF HsahF aimly []J. nIteratnionla Jurnoa olf dAvacednScience ndaTe cnhoogly 201,1 3,:5 7382-.[1 00 ]erBnteisnD J ,Lnage T, ePetrs , et Cla. Relly faat sysnrdomeba-sd eahhisn [Cg//P]orrgsse i Cryntolpgyo-FRACICAYPT 2011R Sp.ingrerB rlineH ideeblegr ,2011 134:-52. [1011]F sihecr JB S,etrn J. n eAfificent pesud-ranoomdg neretaor rovabpl yas sceru ase sydnore dmecoind[C]/g/dAvnceasin Cry tploogy EUROCRY—T P 96’. Sprineg reBrinlH iedeblre,g199 6:2 4-2555.[ 10] G2borit Pa L,arudoua C, xenSrdeir N. Sydn: afatscode- based steamrci hperw ith a seucriy tedrctuio[n]C/I/nfomariont hTore, 20y7. I0ITS20 70 .EEIEI ntenatiroanlS ympoium sno .IEE,E 027: 0168-90. [103] B1rbeani ,C Glibre t,HP aatri J. QnUDA: pArcatcail tseam riphercwi ht rovpbalese curtiy[ ]/C/Advacnes in CrpytooglyEU-RCORPYT 026. 0pSriner Begrln Hiedilberge,20 6:0 09-1128 [104] .eMizniaM, C ayerl LP, Alaui o M E SY. 2S:C A nEffiicetn oCde-ased StBrema Cihep [rC]/Inf/rmotaoinS eucriyt ad nssuAarcne Sp.rigner erBlin eHidelebg, r201: 1111-221.[ 10]5M ezinaiM , oHfmafnnG Cay,rle P. ImLrovinpgthe p reormfnace f oht SYeN Dtrsema iphec [r]C/Pr/ogrses i Crypnoltgyo-ARFCIACRYTP20 2.1Spri ger neBril nHiedlbere, 20g21: 9-119.6[ 01] 6Zhne gY. Dgiita lisgcrnpytio nroh w to aohiecve ostc s(giantreu& ecnrpyitn)o

≪

cst (soignatreu+) ost (enccrypito)nC][/A/danvce si CnrptolygoyC-YRPOT'97 .Spingerr erBil Hnideebler, 19g97 16:5179.-[ 071]B ea Jk,S tenfeildR, hZng Ye F.rmolap oofr sor fhet seucity ofr sincrypgion[tC]/P/ubilcKe y ryptCorapgy.hSpri gen rBrlin eHedeilbrge,20 0: 20-988. [081]A JnH, Dod i Y,sRa bniT .n Ote shcuerityof joni tsingtuare nd aenryptcio[C]n/Adv/nces ia CrnypologtyEURO-CYPR T200.2S prinerg Belin rHedeilebgr 2,00: 832-07.1[109 ] atheM w P,K Vsaat nS, aRnga Cn P.O nP ovralby ecuSe roCde-BseadS igatnreu nd Saingcrypitn oScemeh[].R IACRCry pologyt erPnt Arihivce 20,2:158 5 201,2.