针对POEM结构的量子伪造攻击方法

技术领域

本发明涉及领域，具体的是针对POEM结构的量子伪造攻击方法。

背景技术

在密码学安全研究方面，认证加密算法可以同时实现信息的保密性和完整性验证，在各种网络安全系统中得到了广泛的应用。认证加密工作模式是通过对信息进行加密生成密文并计算认证标签来解决用户信息的隐私性和真实性等实际问题的一种密码方案。目前，大量的信息不仅在传输过程中需要保密，而且在接收方收到信息后还需要进行认证，以保证信息在传输过程中的保密性、完整性和真实性。因此，设计和研究认证加密算法是非常必要的。CAESAR竞赛的目标是为不同的应用场景确定可靠、高效、安全、具有独特属性的认证加密算法组合。在这次加密竞赛的初始阶段，共收集了57种算法。

另一方面，在量子世界里，自从肖尔算法被提出后，人们宣布量子计算机将对公钥密码学构成严重威胁。越来越多的研究人员开始使用量子算法来破解对称密码系统，如西蒙算法和Bernstein-Vazirani算法。此外，他们还提出了一些新的量子算法，甚至将经典的密码分析方法扩展到量子领域。其中，西蒙算法首次被用来破解3轮Feistel构造，并证明Even-Mansour构造在叠加查询下是不安全的。在他们的启发下，Kaplan等人展示了几种基于寻找碰撞的经典攻击，使用西蒙算法可以大大加快攻击速度。Shi等人也采用了类似的方法，在CAESAR比赛中对认证的加密AEZ实现了碰撞攻击。

-OTR认证加密算法(v1.0/1.1)是由Kavun等人提交的CAESAR候选算法。它包含了一个新设计的高效互换，即/>

发明内容

为解决上述背景技术中提到的不足，本发明的目的在于提供针对POEM结构的量子伪造攻击方法，解决现有技术无法满足量子环境中对

本发明的目的可以通过以下技术方案实现：针对POEM结构的量子伪造攻击方法，方法包括以下步骤：

设定标签生成公式，并将标签生成公式代入两个不同d后生成两个标签；

将两个标签联合异或后生成第一函数；其中d代表明文块数。

选择参数作为输入，选择生成的第一函数作为输出，获得量子叠加；

设定2n位量子态，应用哈德玛门Hadamard变换2n位量子态前n个量子位，获得量子叠加；

将量子叠加输入第一函数内，得到第一状态，对前n个量子位进行Hadamard变换，得到第二状态；

对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得第一周期；

根据第一周期计算秘密参数，利用秘密参数计算得出输入，并利用输入和标签生成公式构造第二函数，重复以上步骤获得第二周期，将第二周期设为第一密钥；

利用第一密钥计算得出第二密钥，根据第一密钥和第二密钥伪造任意消息的密文和标签，发送给发送方。

优选地，所述标签生成公式TE为：

其中k

优选地，所述第一函数的生成过程如下：

分别截取d等于2和4的标签TE，将两个标签联合异或构造函数：

P为

所述参数为x，c，c为为常数M[4]。

优选地，所述获得量子叠加的过程如下：

准备一个2n位量子态

优选地，所述第一状态为：

优选地，所述第二状态为：

优选地，所述根据第一周期计算秘密参数，利用秘密参数计算得出输入，并利用输入和标签生成公式构造第二函数，重复以上步骤获得第二周期，将第二周期设为第一密钥的过程如下：

选择

优选地，所述第一密钥k

Tag_OTR是POEM结构的标签生成方法公式。

优选地，一种设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当一个或多个所述程序被一个或多个所述处理器执行，使得一个或多个所述处理器实现如上所述的针对POEM结构的量子伪造攻击方法。

优选地，一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如上所述的针对POEM结构的量子伪造攻击方法。

本发明的有益效果：

本发明满足了量子环境中针对

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图；

图1是本发明

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，针对POEM结构的量子伪造攻击方法，方法包括以下步骤：

设定标签生成公式，并将标签生成公式代入两个不同d后生成两个标签；

将两个标签联合异或后生成第一函数；其中d代表明文块数。

选择参数作为输入，选择生成的第一函数作为输出，获得量子叠加；

设定2n位量子态，应用哈德玛门Hadamard变换2n位量子态前n个量子位，获得量子叠加；

将量子叠加输入第一函数内，得到第一状态，对前n个量子位进行Hadamard变换，得到第二状态；

对所有量子位代入函数进行测量，在这个量子电路上进行多次试验，得到n个不同的状态，根据得出的状态与周期的内积为0，利用高斯消元法获得第一周期；

根据第一周期计算秘密参数，利用秘密参数计算得出输入，并利用输入和标签生成公式构造第二函数，重复以上步骤获得第二周期，将第二周期设为第一密钥；

利用第一密钥计算得出第二密钥，根据第一密钥和第二密钥伪造任意消息的密文和标签，发送给发送方。

需要进一步进行说明的是，在具体实施过程中，假设关联数据为空字符串(即TA＝0)，攻击者已知一条明文M＝M[1]||M[2]||M[3]||M[4]||...||M[d]和认证标签

具体攻击过程如下：

计算标签生成公式TE：

截取d＝2：

截取d＝4：

将M[2]设置为输入x，M[4]设置为常数c，构造函数

准备一个2n位量子态

将量子叠加输入到(iv)中的函数f，得到状态

对前n个量子位进行Hadamard变换

对所有量子位进行测量，测得的状态|z＞与周期s的内积为0，在这个量子电路上进行多次试验，得到n个不同的状态|z＞，利用高斯消元法获得周期

通过变换计算秘密参数

将

准备一个2n位量子态

将量子叠加输入到(x)中的函数f，得到状态

对前n个量子位进行Hadamard变换

对所有量子位进行测量，测得的状态|z＞与周期s的内积为0，在这个量子电路上进行多次试验，得到n个不同的状态|z＞，利用高斯消元法获得周期s＝k

计算密钥

根据密钥伪造任意消息M*的密文C*和标签T*，发送给发送方。

基于同一种发明构思，本发明还提供一种计算机设备，该计算机设备包括包括：一个或多个处理器，以及存储器，用于存储一个或多个计算机程序；程序包括程序指令，处理器用于执行存储器存储的程序指令。处理器可能是中央处理单元(Central ProcessingUnit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor、DSP)、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其是终端的计算核心以及控制核心，其用于实现一条或一条以上指令，具体用于加载并执行计算机存储介质内一条或一条以上指令从而实现上述方法。

需要进一步进行说明的是，基于同一种发明构思，本发明还提供一种计算机存储介质，该存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述方法。该存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电、磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上显示和描述了本公开的基本原理、主要特征和本公开的优点。本行业的技术人员应该了解，本公开不受上述实施例的限制，上述实施例和说明书中描述的只是说明本公开的原理，在不脱离本公开精神和范围的前提下，本公开还会有各种变化和改进，这些变化和改进都落入要求保护的本公开范围内容。