基于RLWE的身份基認(rèn)證密鑰交換協(xié)議

趙秀鳳 高海英 王愛(ài)蘭

(解放軍信息工程大學(xué) 鄭州 450001)(zhao_xiu_feng@163.com)

?

基于RLWE的身份基認(rèn)證密鑰交換協(xié)議

趙秀鳳 高海英 王愛(ài)蘭

(解放軍信息工程大學(xué) 鄭州 450001)(zhao_xiu_feng@163.com)

提出了一個(gè)基于分圓環(huán)上錯(cuò)誤學(xué)習(xí)(learning with errors, LWE)問(wèn)題的身份基認(rèn)證密鑰交換協(xié)議，其基本思想是利用環(huán)上錯(cuò)誤學(xué)習(xí)(ring learning with errors, RLWE)采樣生成系統(tǒng)主私鑰，進(jìn)一步生成用戶私鑰，通過(guò)交換Diffie-Hellman臨時(shí)公鑰，計(jì)算用于派生會(huì)話密鑰的密鑰材料. 該協(xié)議與傳統(tǒng)密鑰交換協(xié)議的區(qū)別在于，協(xié)議中引入了錯(cuò)誤項(xiàng)，以理想格的解碼基為工具，詳細(xì)分析協(xié)議的容錯(cuò)性，給出了合理的參數(shù)設(shè)置建議，從而保證協(xié)議以顯著概率計(jì)算出相同的會(huì)話密鑰. 協(xié)議在ID-BJM模型下具有可證明AKE安全性和PKG安全性，并且在雙方臨時(shí)私鑰泄露、雙方長(zhǎng)期私鑰泄露以及A的長(zhǎng)期私鑰和B的臨時(shí)私鑰泄露這3種情況下也可以保證協(xié)議的AKE安全.

分圓環(huán)；環(huán)LWE；可證明安全；基于身份的密碼；密鑰交換協(xié)議

密鑰交換協(xié)議使得通信系統(tǒng)中的參與方通過(guò)在公開(kāi)的信道上交換信息計(jì)算一個(gè)共同的會(huì)話密鑰，用于以后的保密通信或消息認(rèn)證.比如Internet密鑰交換協(xié)議為IPSec安全協(xié)議的用戶提供安全的會(huì)話密鑰.

1976年，Diffie和Hellman[1]基于離散對(duì)數(shù)問(wèn)題的困難性給出了第1個(gè)密鑰交換協(xié)議，這一研究成果開(kāi)創(chuàng)了公鑰密碼學(xué)研究領(lǐng)域.1984年，Shamir[2]提出了“基于身份密碼學(xué)”的概念，大大降低了證書(shū)管理的負(fù)擔(dān).隨后，基于身份的密鑰交換協(xié)議相繼提出，這些協(xié)議絕大部分是基于雙線性對(duì)構(gòu)造的[3-5].由于雙線性對(duì)運(yùn)算的復(fù)雜性比較高，因此設(shè)計(jì)不使用雙線性對(duì)的基于身份的密鑰交換協(xié)議更為實(shí)用.

格上困難問(wèn)題(如最近向量問(wèn)題、最短向量問(wèn)題)具有抗量子計(jì)算攻擊的特性，并且格上的運(yùn)算是矩陣-向量的乘法，具有較低的計(jì)算復(fù)雜性，因此基于格的密碼學(xué)成為研究熱點(diǎn)，并構(gòu)造了全同態(tài)加密、屬性加密等新型加密體制.由于基于最小整數(shù)解(small integer solution, SIS)問(wèn)題的單向函數(shù)不具備交換性，因此，直接構(gòu)造基于格的Diffie-Hellman形式的密鑰交換協(xié)議成為公開(kāi)問(wèn)題.直到2012年，Ding等人[6]首次給出了帶有噪聲的基于理想格的密鑰交換協(xié)議，使得通信雙方以顯著概率協(xié)商一個(gè)會(huì)話密鑰.基于Ding等人的協(xié)議，Zhang等人[7]給出了HMQV形式的基于格的認(rèn)證密鑰交換協(xié)議.2014年，Peikert[8]利用分圓環(huán)上的調(diào)和函數(shù)構(gòu)造了密鑰封裝機(jī)制，有效實(shí)現(xiàn)了密鑰交換.文獻(xiàn)[9-10]對(duì)基于環(huán)錯(cuò)誤學(xué)習(xí)(ring learning with errors, RLWE)的認(rèn)證密鑰交換協(xié)議進(jìn)行了實(shí)用化研究.

1 基礎(chǔ)知識(shí)

1.1 亞高斯隨機(jī)變量

對(duì)于任意的δ>0，稱上的隨機(jī)變量X服從參數(shù)為r>0的δ-亞高斯分布，如果對(duì)于所有的t∈，生成函數(shù)滿足:

對(duì)于所有的t≥0，X滿足高斯不等式:

(1)

同樣，可以定義向量的亞高斯分布.稱一個(gè)隨機(jī)實(shí)數(shù)向量Y服從參數(shù)為r的δ-亞高斯分布，如果對(duì)于所有的單位向量u，隨機(jī)變量u,Y∈服從參數(shù)為r的δ-亞高斯分布.

1.2 分圓環(huán)

對(duì)于整數(shù)n，令K=(ξm)表示m次分圓域，R=[ξm]?K表示m次分圓環(huán)，其中ξm表示一個(gè)階為m的抽象元素.ξm在有理數(shù)域上的極小多項(xiàng)式稱為分圓多項(xiàng)式φm(X)∈[X]，其復(fù)數(shù)根為本原m次單位根，其中/m)∈.因此，環(huán)R可看作的擴(kuò)張，度為n=φ(m)，并且同構(gòu)于商環(huán)[X]/(φm(X)).特別地，為環(huán)R的一組基，稱為冪基(power basis).

對(duì)于任意的整數(shù)模q≥1，令Rq表示商環(huán)R/qR.

1.3 解碼基

即e∨與e的系數(shù)向量相同.因此，分式理想R∨中對(duì)錯(cuò)誤e∨采樣的算法同時(shí)適用于在理想R中對(duì)錯(cuò)誤e進(jìn)行采樣，前提條件是e∨與e都用各自的解碼基表示.

在本文中，我們假設(shè)g×e服從亞高斯分布，并對(duì)錯(cuò)誤項(xiàng)e關(guān)于R解碼基的系數(shù)進(jìn)行具體分析.

1.4 錯(cuò)誤分布

對(duì)于r>0，上參數(shù)為r的高斯分布Dr的概率分布函數(shù)為exp(-πx2/r2)/r.本文定義數(shù)域K上的錯(cuò)誤分布/g)×Dr，通過(guò)在分布ψ上采樣得到a∈K，然后對(duì)a的每個(gè)系數(shù)最近取整，從而將ψ離散化到環(huán)R上，記為χ.

1.5 RLWE問(wèn)題

下面以定理的形式給出結(jié)論：判定性RLWE問(wèn)題是困難的.

1.6 近似函數(shù)和調(diào)和函數(shù)

文獻(xiàn)[8]利用上述交叉近似函數(shù)定義了調(diào)和機(jī)制.如果q為奇數(shù)，為了避免派生位流的不均勻性，引入了隨機(jī)化函數(shù).令dbl:q→2q，dbl(x)=2x-e.其中e為隨機(jī)項(xiàng)，e以1/2的概率設(shè)置為0，1/4的概率設(shè)置為1和-1，從而保證e在模2運(yùn)算后是均勻的.下面的引理說(shuō)明對(duì)于隨機(jī)選擇的元素v∈q，已知dbl(v)q,2的情況下，q,2在2q中是均勻隨機(jī)的.

引理5[8]. 對(duì)于奇數(shù)q， 如果v∈q是均勻隨機(jī)的，令2q，那么給定q,2在2q上是均勻隨機(jī)的.

下面的引理表明對(duì)于隨機(jī)元素v∈q，已知與v近似的w和交叉近似函數(shù)dbl(v)q,2,可以恢復(fù)q,2.

引理6[8]. 對(duì)于奇數(shù)q， 令v=w+e∈q，w,e∈q使得2e?1∈Emodq，那么rec(2w,dbl(v)q,2)=q,2.

上述近似函數(shù)的定義和調(diào)和機(jī)制可以利用解碼基擴(kuò)展到分圓環(huán)[8].

2 ID-BJM模型簡(jiǎn)介

2002年，Chen等人[3]將Ballare-Roaryway模型擴(kuò)展到基于身份密鑰交換協(xié)議的背景下，稱為ID-BJM模型，本節(jié)我們簡(jiǎn)要回顧ID-BJM模型.

ID-BJM模型中會(huì)話密鑰的安全性通過(guò)挑戰(zhàn)者和攻擊者之間的游戲定義.首先攻擊者A選擇一定數(shù)量的誠(chéng)實(shí)參與者，在游戲的第1階段，攻擊者可以自適應(yīng)地進(jìn)行如下查詢：

3) Corrupt(i) 返回參與者i的長(zhǎng)期私鑰，稱參與者i被腐化.

在Test查詢之后，A可以繼續(xù)進(jìn)行查詢預(yù)言機(jī)，但是不允許對(duì)測(cè)試會(huì)話及其匹配會(huì)話進(jìn)行Reveal查詢，也不允許對(duì)測(cè)試會(huì)話參與者的伙伴進(jìn)行Corrupt查詢，直到輸出b′∈{0,1}作為對(duì)b的判斷.若b′=b，且Test查詢的測(cè)試會(huì)話是新鮮的，則稱敵手A贏得了此游戲.

定義4. AKE安全.在ID-BJM模型下，敵手A攻擊協(xié)議的優(yōu)勢(shì)為

AdvA=|2Pr[b′=b]-1|.

對(duì)于任意的概率多項(xiàng)式時(shí)間敵手A，如果A贏得上述游戲的優(yōu)勢(shì)AdvA是可忽略的，則稱該基于身份的認(rèn)證密鑰協(xié)商協(xié)議是安全的.

3 RLWE-IDAKE協(xié)議

3.1 符號(hào)表示

1) 正整數(shù)m表示第m個(gè)分圓環(huán)R，階為n=φ(m).

2) 正整數(shù)q為模數(shù)，與整除m的任意一個(gè)奇素?cái)?shù)互素，從而使得g∈R與q互素.為了保證協(xié)議的效率和安全性，這里選取的q為素?cái)?shù)且滿足qmodm=1.

4) 隨機(jī)化函數(shù)dbl:q→2q.

5) 調(diào)和函數(shù)rec:2q×2→2.

3.2 協(xié)議描述

基于身份密鑰交換協(xié)議包括3個(gè)算法：系統(tǒng)建立Setup、密鑰抽取算法Extract和密鑰交換過(guò)程Keyexchange.

3.2.1 系統(tǒng)建立Setup

密鑰生成中心PKG執(zhí)行如下步驟：

系統(tǒng)公開(kāi)參數(shù)為MPK={M,M1,H1,H}，系統(tǒng)主密鑰為MSK={S}.

3.2.2 密鑰抽取算法Extract(IDi,MSK)

1) 對(duì)每個(gè)用戶IDi,PKG計(jì)算Ii=H1(IDi)，其中Ii是環(huán)Rq中的小范數(shù)元素.

2) PKG計(jì)算Si=IiS+Mei，其中ei←χ，用戶IDi的私鑰為Si.

3.2.3 密鑰交換Keyexchange

假設(shè)用戶IDA和用戶IDB試圖通過(guò)交換公開(kāi)信息計(jì)算共享的會(huì)話密鑰，他們的私鑰分別為SA和SB，令bA=IAM1，cA=IAM-1，bB=IBM1，cB=IBM-1.

vB1=guArB+gB1∈Rq，

vB2=gbArB+gB2∈Rq，

vB3=gcASB+gB3∈Rq，

3) 用戶IDA計(jì)算：

vA1=guBrA∈Rq，

vA2=guBSA∈Rq，

vA3=gcBSA∈Rq，

3.3 正確性分析

如果用戶IDA和用戶IDB誠(chéng)實(shí)地運(yùn)行協(xié)議，那么他們將以顯著概率計(jì)算一個(gè)共享的會(huì)話密鑰.

其中，r′2=r2+2π×rad(m)/m，那么基于身份的密鑰交換協(xié)議RLWE-IDAKE可以顯著概率計(jì)算出相同的會(huì)話密鑰，即skA=skB，其錯(cuò)誤概率為n的可忽略函數(shù).

證明. 由引理7～9可直接得出：

kA1=kB1，kA2=kB2，kA3=kB3，

從而有：

kA=kA1⊕kA2⊕kA3=kB1⊕kB2⊕kB3=kB.

證畢.

其中，r′2=r2+2π×rad(m)/m，那么基于身份的密鑰交換協(xié)議RLWE-IDAKE可以顯著概率計(jì)算出相同的密鑰材料kA1=kB1，其不相等概率至多為2n×exp(3δ-πω2)，是n的可忽略函數(shù)(其中δ<2-n).

證明. 首先，根據(jù)協(xié)議規(guī)范，有:

vB1=guArB+gB1=g(M-1rA+fA)rB+gB1=

gM-1rArB+gfArB+gB1，

vA1=guBrA=g(M-1rB+fB)rA=

gM-1rBrA+gfBrA=vB1+g(fBrA-fArB)-gB1.

2exp(3δ-πω2).

2nexp(3δ-π×ω2).

證畢.

其中，r′2=r2+2π×rad(m)/m，那么基于身份的密鑰交換協(xié)議RLWE-IDAKE可以顯著概率計(jì)算出相同的密鑰材料kA2=kB2，其不相等概率至多為2n×exp(5δ-πω2)，是n的可忽略函數(shù)(其中δ≤2-n).

證明. 首先，根據(jù)協(xié)議規(guī)范，有：

vB2=gbArB+gB2=g(IAM1)rB+gB2=

g(IAM-1S+IAe0)rB+gB2=

gIAM-1SrB+gIAe0rB+gB2,

vA2=guBSA=g(M-1rB+fB)(SIA+MeA)=

g(M-1rBSIA+rBeA+SIAfB+MfBeA)=

vB2+g(rBeA+SIAfB+MfBeA-IAe0rB)-gB2.

同理，可證明gMfBeA和gIAe0rB的解碼基系數(shù)服從δ-亞高斯分布，亞高斯分布的系數(shù)為l2.

證畢.

其中，r′2=r2+2π×rad(m)/m，那么基于身份的密鑰交換協(xié)議RLWE-IDAKE可以顯著概率計(jì)算出相同的密鑰材料kA3=kB3，其不相等概率至多為2n×exp(3δ-πω2)，是n的可忽略函數(shù)(其中δ<2-n).

證明請(qǐng)參考引理7.

3.4 參數(shù)設(shè)置

則密鑰交換協(xié)議的錯(cuò)誤概率低于ε.

因此，設(shè)置q=O(r3×n3lbn)，令r=ξq，ξ=α×(5n/lb (5n))1/4，其中：

4 安全性證明

定理3. 如果RLWE問(wèn)題是困難的，那么RLWE-IDAKE協(xié)議在ID-BJM模型下是安全的身份基認(rèn)證密鑰交換協(xié)議.具體而言，攻擊者A贏得定義4中游戲的優(yōu)勢(shì)滿足：

Game0.同定義4的安全游戲，攻擊者A贏得游戲Game0的優(yōu)勢(shì)定義為

(2)

(3)

Game2.隨機(jī)選擇I,J←[1,N]，如果用戶J沒(méi)有被Test查詢，則退出游戲，并輸出一個(gè)隨機(jī)值，除此之外，與Game1相同.令Event2表示猜測(cè)正確這個(gè)事件，那么攻擊者A贏得游戲Game2的優(yōu)勢(shì)為

(4)

(5)

證畢.

引理10. 如果攻擊者A可以區(qū)分游戲Game2和Game3，那么可以構(gòu)造一個(gè)區(qū)分器D1解決RLWE的一個(gè)實(shí)例，即已知(M-1,M1)和(Ii,Si)，i=1,2,…,N-1，判定M-1和Ii來(lái)自RLWE的采樣，即M-1和Ii←AS,χ，或者來(lái)自于均勻分布U(Rq).

證明. 假設(shè)區(qū)分器D1的輸入為(M-1,M1)和(Ii,Si)，i=1,2,…,N-1，如果M-1和Ii來(lái)自RLWE的采樣，那么D1的輸出與Game2相同，如果M-1和Ii來(lái)自于均勻分布U(Rq)，那么D1的輸出與Game3相同.因此，如果A可以區(qū)分Game2和Game3，那么D1就可以根據(jù)A的輸出判決M-1和Ii←AS,χIi來(lái)自RLWE的采樣，或者來(lái)自于均勻分布U(Rq).從而，

證畢.

(6)

引理11. 如果攻擊者A可以區(qū)分游戲Game3和Game4，那么可以構(gòu)造一個(gè)區(qū)分器D2解決RLWE的一個(gè)實(shí)例，即已知(M-1,uA)，判定uA來(lái)自RLWE的采樣，或者來(lái)自于均勻分布U(Rq).

證明. 假設(shè)區(qū)分器D2的輸入為(M-1,uA)，如果uA來(lái)自RLWE的采樣，那么D2的輸出與Game3相同，如果uA取值于均勻分布U(Rq)，那么D2的輸出與Game4相同.因此，如果A可以區(qū)分Game3和Game4，那么D2就可以根據(jù)A的輸出判決uA來(lái)自RLWE的采樣，或者來(lái)自于均勻分布U(Rq).從而:

證畢.

(7)

引理12. 如果攻擊者A可以區(qū)分游戲Game4和Game5，那么可以構(gòu)造一個(gè)區(qū)分器D3解決RLWE的一個(gè)實(shí)例，即已知(M-1,uB),(guA,vB1)和(gbA,vB2)，判定uB,vB1,vB2來(lái)自RLWE的采樣，或者來(lái)自于均勻分布U(Rq).

證明. 證明同引理10.

(8)

同時(shí)，由于在游戲Game6中，協(xié)議公開(kāi)傳輸?shù)南⒍际请S機(jī)選擇的，因此，協(xié)議生成的會(huì)話密鑰是完全隨機(jī)的，即攻擊者A贏得游戲Game6的概率滿足:

(9)

引理13. 如果攻擊者A可以區(qū)分游戲Game5和Game6，那么可以構(gòu)造一個(gè)區(qū)分器D4解決RLWE的一個(gè)實(shí)例，即已知(gcA,vB3)，判定vB3來(lái)自RLWE的采樣，或者來(lái)自于均勻分布U(Rq).

證明. 證明同引理10.

綜合式(2)～(9)，可以得到

下面，我們對(duì)RLWE-IDAKE協(xié)議進(jìn)一步分析.由協(xié)議規(guī)范可知，用于計(jì)算會(huì)話密鑰的密鑰材料包括：

vB1=guArB+gB1∈Rq，

vB2=gbArB+gB2∈Rq，

vB3=gcASB+gB3∈Rq，

分別是由A的臨時(shí)私鑰和B的臨時(shí)私鑰、A的長(zhǎng)期私鑰和B的臨時(shí)私鑰以及A的長(zhǎng)期私鑰和B的長(zhǎng)期私鑰生成的.因此，即使泄露雙方的長(zhǎng)期私鑰也不影響會(huì)話密鑰的安全性，從而說(shuō)明該協(xié)議滿足前向安全性.

5 結(jié)束語(yǔ)

本文利用分圓環(huán)上的LWE問(wèn)題設(shè)計(jì)了身份基認(rèn)證密鑰交換協(xié)議，以理想格的解碼基為工具，詳細(xì)分析了協(xié)議的容錯(cuò)性能，并給出了合理的參數(shù)設(shè)置建議.協(xié)議在ID-BJM模型下滿足AKE安全性和PKG前向安全性，并且在雙方長(zhǎng)期私鑰泄露、雙方臨時(shí)私鑰泄露、A的長(zhǎng)期私鑰和B的臨時(shí)私鑰泄露這3種情況下仍然保證會(huì)話密鑰安全，但是在A的臨時(shí)私鑰和B的長(zhǎng)期私鑰泄露的情況下無(wú)法實(shí)現(xiàn)會(huì)話密鑰安全，這也是需要進(jìn)一步研究解決的問(wèn)題，即如何設(shè)計(jì)在CK模型中可證明安全的基于格的身份基認(rèn)證密鑰交換協(xié)議.

[1]Diffie W, Hellman M. New directions in cryptography[J]. IEEE Trans on Information Theory, 1976, 22(6): 644-654

[2]Shamir A. Identity-based cryptosystems and signature schemes[G] //LNCS 196: Advances in Crypto1984. Berlin: Springer, 1985: 47-53

[3]Chen L, Kudla C. Identity based key agreement protocols from pairings[C] //Proc of the 16th IEEE Computer Security Foundations Workshop. Los Alamitos, CA: IEEE Computer Society, 2002: 219-213

[4]Wang Shengbao, Cao Zhenfu, Dong Xiaolei. Provably secure identity-based authenticated key agreement protocols in the standard model[J]. Chinese Journal of Computers, 2007, 30(10): 1842-1854 (in Chinese)

(王圣寶, 曹珍富, 董曉蕾. 標(biāo)準(zhǔn)模型下可證明安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)學(xué)報(bào), 2007, 30(10): 1842-1854)

[5]Gao Haiying. Provable secure id-based authenticated key agreement protocol[J]. Journal of Computer Research and Development, 2012, 49(8): 1685-1689 (in Chinese)

(高海英. 可證明安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)研究與發(fā)展, 2012, 49(8): 1685-1689)

[6]Ding J, Xie X, Lin X. A simple provable secure key exchange scheme based on the learning with errors problem[OL]. [2015-06-15]. http://eprint.iacr.org/2012/688

[7]Zhang J, Zhang Z, Ding J. Authenticated key exchange from ideal lattices[G] //LNCS 9057: Advance in EuroCrypt2015, Part Ⅱ. Berlin: Springer, 2015: 719-751

[8]Peikert C. Lattice cryptography for the Internet[G] //LNCS 8772: Proc of the 6th Int Conf on Post-Quantum Cryptography 2014. Berlin: Springer, 2014: 197-219

[9]Bos J W, Costello C, Naehrig M, et al. Post-quantum key exchange for the TLS protocol from the ring learning with errors problem[OL]. [2015-06-15]. http://eprint.iacr.org/2014/599

[10]Singh V. practical key exchange for the Internet using lattice cryptography[OL]. [2015-06-15]. http://eprint.iacr.org/2015/138

[11]Lyubashevsky V, Peikert C, Regev O. A toolkit for ring-LWE cryptography[G] //LNCS 7881: Advance in EuroCrypt2013. Berlin: Springer, 2013: 35-54

[12]Lyubashevsky V, Pikert C, Regev O. On ideal lattices and learning with errors over rings[G] //LNCS 6110: Advance in EuroCrypt2010. Berlin: Springer, 2010: 1-23

[13]Applebaum B, Cash D, peikert C, et al. Fast cryptographic primitives and circular-secure encryption based on hard learning problems[G] //LNCS 5677: Advance in Crypto2009. Berlin: Springer, 2009: 595-618

Zhao Xiufeng, born in 1977. Associate professor. Received her PhD degree from Shandong University. Her main research interests include cryptography protocols and lattice-based cryptography.

Gao Haiying, born in 1978. Associate professor. Received her PhD degree from Beijing University of Posts and Teleco-mmunications. Her main research interests include cryptology theory and provable secure theory.

Wang Ailan, born in 1966. Associate professor. Her main research interests include cryptology theory and algebraic number theory.

An Identity-Based Authenticated Key Exchange Protocol from RLWE

Zhao Xiufeng, Gao Haiying, and Wang Ailan

(PLAInformationEngineeringUniversity,Zhengzhou450001)

Key exchange protocol allows two or more users to compute share session key via exchange information in the open communication channel, and uses the session key to finish cryptography tasks, such as secure communication and authentication. Recently, it becomes a hotspot research question that how to design authenticated key exchange protocol with lattice-based one-way function. Several lattice-based two-party authenticated key exchange protocols have been proposed. However, how to extend them to the identity-based cryptography background still remains open question. In this paper, an identity-based authenticated key exchange protocol from the learning with errors (LWE) problem over cyclotomic ring is proposed. The protocol generates master key by ring LWE (RLWE) sample algorithm, and further extracts the users’ secret key, and computes key materials which derive the share session key via exchanging Diffie-Hellman ephemeral key. The protocol introduces error item, uses encoding bases of ideal lattice as the tool for analyzing error tolerance, and makes reasonable suggests for parameters setting. The protocol achieves provable AKE secure and PKG forward secure in the ID-BJM model. Furthermore, the session key is also secure even if both long private keys are leaked or both ephemeral private key are leaked orA’s ephemeral key andB’s long private key are leaked.

cyclotomic ring; ring learning with errors (RLWE); provable secure; identity-based cryptography; key-exchange protocol

2015-06-16；

2015-11-23

國(guó)家自然科學(xué)基金項(xiàng)目(61272488,61272041,61202491,61601515)

TP309

This work was supported by the National Natural Science Foundation of China (61272488, 61272041, 61202491, 61601515).