1、1毕业论文开题报告数学与应用数学基于剩余类环上的矩阵的消息认证码一、选题的背景与意义背景在信息安全领域中,常见的信息保护手段大致可以分为保密和认证两大类。目前的认证技术有对用户的认证和对消息的认证两种方式。用户认证用于鉴别用户的身份是否是合法用户;消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时性。消息认证技术可以防止数据的伪造和被篡改,以及证实消息来源的有效性,已广泛应用于信息网络。消息认证码,是用来保证数据完整性的一种工具。数据完整性是信息安全的一项基本要求,它可以防止数据未经授权被篡改。随着网络技术的不断进步,尤其是电子商务的不断发展,保证信
2、息的完整性变得越来越重要。特别是双方在一个不安全的信道上通讯的时候,就需要有一种方法能够保证一方所发送的数据能被另一方验证是正确的,即能够防止数据未经授权被篡改。消息认证码就能够达到这一目的,其方法是首先在参与通讯的两方之间共享一个密钥,通讯时(这里使用A和B代表参与通讯的两方),A方传送一个消息给B方,并将这一消息使用MAC算法和共享密钥计算出一个值,这个值称为认证标记,然后将这个值附加在这一消息之后传送给B方。B在接收到该消息后使用同样的机制计算接收到的消息的认证标记,并和他所接收到的标记进行比较;如果这两个标记相同,B就认为消息在由A传送到的过程中没有被修改;如果不相同,B就认为消息在传
3、送过程中被修改了。攻击者可以通过各种手段来试图计算出消息的合法认证标记,这个过程就称为假冒。意义随着MAC研究的深入,最初的仅在可证明安全性方面的要求已经不能满足人们的需要,人们希望MAC不仅是可证明安全的,而且还要具备计算速度快、支持并行计算、支持增量式计算、支持乱序验证、能够在线进行以及算法是确定性的等优良性质。其实这些性质从本质上来讲,都是用来提升MAC的计算速度的。2随着MAC的普遍应用,在保证安全的前提下,时代呼唤计算速度更快的MAC出现,所以本课题主要研究一种新的消息认证码的构造方法。二、研究的基本内容与拟解决的主要问题基本内容MAC的构造方法有很多,主要有三种类型一种是基于带密钥
4、的HASH函敷的;一种是基于分组密码的;还有一种是基于流密码的。这种MAC不多也不流行,这里不作讨论。另外,还有一种称为CARTERWEGMANMACS。本文主要研究构造出一种基于剩余类环上矩阵的消息认证码,并分析其安全性。拟解决的主要问题1构造出一个基于剩余类环上矩阵的HASH函数HX2通过分析矩阵HX上每一个元素中每个数字出现的概率来验证其安全性三、研究的方法与技术路线本文研究需要一些基础的矩阵运算知识、消息认证的一些相关专业知识和基础的概率统计知识。通过设计一种新的矩阵运算来构造HASH函数,并通过计算相关概率来分析所设计的消息认证码的安全性。四、研究的总体安排与进度(1)2009201
5、0学年第一学期2010年11月22日教师出题、学生选题、系统确认2010年11月22日2010年11月29日学生填写任务书2010年11月29日2010年12月17日文献综述、文献翻译、开题报告(2)20102011学年第二学期寒假期间收集资料,修改论文。2010年12月17日2011年4月4日完成毕业论文初稿2011年4月4日2011年4月29日毕业论文定稿。2011年4月29日2011年5月4日论文答辩(一辩)2011年5月4日2011年5月14日论文答辩(二辩)2011年5月14日2011年6月4日成绩汇总表、综合情况统计五、主要参考文献1DOUGLASRSTINSON密码学原理与实践M
6、电子工业出版社20092郑东,王育民一种基于格问题的消息认证码J西安电子科技大学学报293卷第5期3张雪,李瑞林,孙兵一类伪消息认证码的安全性分析J计算机工程科学第31卷第2期4郑东,杨波,王育民输入长度可变的消息认证码的级联构造J西安电子科技大学学报第21卷第6期5朱华飞,肖国镇基于强UNIVERSAL_2函数的消息认证码构造与安全性分析J电子学报第7期6朱华飞,刘建伟,肖国镇分组链接MDX消息认证码的构造与安全性分析J西安电子科技大学学报第24卷第3期7李学远,王新梅一个基于合成泛HASH函数族的消息认证码J四川大学学报第41卷第5期8王大印,林东岱,吴文玲,姜中华XOR2MAC消息认证码
7、的安全性新证明J中国科学院研究生学报第23卷,第2期4毕业论文文献综述数学与应用数学基于剩余类环上矩阵的消息认证码我参考的书籍来自宁波大学图书馆,我从这些书籍中了解了一些密码学与代数学的基础理论知识。我参考的一些重要论文主要是来自中文数据库,从这些论文中我学习到了一些特殊的消息认证码的构造方法。在信息安全领域中,常见的信息保护手段大致可以分为保密和认证两大类。目前的认证技术有对用户的认证和对消息的认证两种方式。用户认证用于鉴别用户的身份是否是合法用户;消息认证就是验证所收到的消息确实是来自真正的发送方且未被修改的消息,也可以验证消息的顺序和及时性。消息认证技术可以防止数据的伪造和被篡改,以及证
8、实消息来源的有效性,已广泛应用于信息网络。消息认证码,是用来保证数据完整性的一种工具。数据完整性是信息安全的一项基本要求,它可以防止数据未经授权被篡改。随着网络技术的不断进步,尤其是电子商务的不断发展,保证信息的完整性变得越来越重要。特别是双方在一个不安全的信道上通讯的时候,就需要有一种方法能够保证一方所发送的数据能被另一方验证是正确的,即能够防止数据未经授权被篡改。消息认证码就能够达到这一目的,其方法是首先在参与通讯的两方之间共享一个密钥,通讯时(这里使用A和B代表参与通讯的两方),A方传送一个消息给B方,并将这一消息使用MAC算法和共享密钥计算出一个值,这个值称为认证标记,然后将这个值附加
9、在这一消息之后传送给B方。B在接收到该消息后使用同样的机制计算接收到的消息的认证标记,并和他所接收到的标记进行比较;如果这两个标记相同,B就认为消息在由A传送到的过程中没有被修改;如果不相同,B就认为消息在传送过程中被修改了。攻击者可以通过各种手段来试图计算出消息的合法认证标记,这个过程就称为假冒。MAC的构造方法有很多,主要有三种类型一种是基于带密钥的HASH函数的;一种是基于分组密码的;还有一种是基于流密码的。这种MAC不多也不流行,这里不作讨论。另外,还有一种称为CARTERWEGMANMACS首先使用一个泛HASH函数UNIVERSALHASH将长消息散列成较短的字串然后加密这个字串得
10、到标记,5这种基于MAC的思和前两种没有明确界限。随着密码技术与计算机计算能力的提高,消息认证码的实现方法也在不断的改进和更新之中,多种实现方式会为更安全的消息认证码提供保障。密码学上的HASH函数可为数据的完整性提供保障。HASH函数通常用来构造数据的短“指纹”;一旦数据改变,指纹就不再正确,即时数据被储存在不安全的地方,通过重新计算数据的指纹并验证指纹是否改变,就能够监测数据的完整性。因此构造消息认证码的一种常用方法是通过一个密钥作为被HASH的消息的一部分,从而在一个不带密钥的HASH函数中介入一个秘密钥匙。密码学学者DOUGLASRSTINSON所著的密码学原理与实践一书在第四章着重从
11、理论上介绍了HASH函数和HASH族,然后提供了对消息认证码的分析和一些一般性结构、安全性证明并考虑了无条件安全MAC以及利用强通用HASH族构造无条件安全MAC的方法。西安电子科技大学的郑东、王育民老师写的一种基于格问题的消息认证码,文中提出了利用基于格上的HASH函数来构造消息认证码LMAC,并对其做了安全性分析。他们写的输入长度可变的消息认证码的级联构造一文基于输入长度可变的伪随机函数的级联构造方法,给出了对任意长度的消息构造其认证码的方法,并分析了消息认证码的安全性。国防科技大学的张雪、李瑞林、孙兵老师写的一类伪消息认证码的安全性分析一文分析了一类基于HASH函数设计的消息认证码的安全
12、性,指出这类消息认证码在结构上存在极大的安全漏洞,攻击者可以避开对HASH函数的安全性分析,随意伪造消息。并得出结论,如果不利用任何加密算法,在仅使用一个密钥的情况下,很难既提供消息认证又使得消息保密。西安电子科技大学的朱华飞、肖国镇老师的基于强UNIVERSAL_2函数的消息认证码构造与安全性分析一文着重针对由UNIVERSAL函数族构造消息认证码的一般情形作了讨论。分组链接MDX消息认证码的构造与安全性分析一文利用具有理想计算复杂度的MDX构造安全的消息认证码,并证明了该方案具有理想的抗线性相关攻击能力。输入长度可变的消息认证码的级联构造一文基于输入长度可变的伪随机函数的级联构造方法,给出
13、了对任意长度的消息构造其认证码的方法,并分析了消息认证码的安全性。西安电子科技大学的李学远,王新梅老师的一个基于合成泛HASH函数族的消息认证码中,提出一个输入可为字符串向量的消息认证码VHMAC。VHMAC基于泛HASH函数族的合成。为高效处理字符串向量,定义一个并6行的泛HASH函数族,其结果输入另一泛HASH函数。将普通消息认证码的安全性定义扩展到输入为字符串向量的情形。在底层分组密码是伪随机置换的假设下,证明了VHMAC的安全性。随着MAC研究的深入,最初的仅在可证明安全性方面的要求已经不能满足人们的需要,人们希望MAC不仅是可证明安全的,而且还要具备计算速度快、支持并行计算、支持增量
14、式计算、支持乱序验证、能够在线进行以及算法是确定性的等优良性质。其实这些性质从本质上来讲,都是用来提升MAC的计算速度的。随着MAC的普遍应用,在保证安全的前提下,时代呼唤计算速度更快的MAC出现。参考文献1DOUGLASRSTINSON密码学原理与实践M电子工业出版社20092郑东,王育民一种基于格问题的消息认证码J西安电子科技大学学报29卷第5期3张雪,李瑞林,孙兵一类伪消息认证码的安全性分析J计算机工程科学第31卷第2期4郑东,杨波,王育民输入长度可变的消息认证码的级联构造J西安电子科技大学学报第21卷第6期5朱华飞,肖国镇基于强UNIVERSAL_2函数的消息认证码构造与安全性分析J电
15、子学报第7期6朱华飞,刘建伟,肖国镇分组链接MDX消息认证码的构造与安全性分析J西安电子科技大学学报第24卷第3期7李学远,王新梅一个基于合成泛HASH函数族的消息认证码J四川大学学报第41卷第5期8王大印,林东岱,吴文玲,姜中华XOR2MAC消息认证码的安全性新证明J中国科学院研究生学报第23卷,第2期7本科毕业设计(20届)基于剩余类环上矩阵的消息认证码8摘要【摘要】本文意在设计一种基于剩余类环KRZPZ上的矩阵的消息认证系统。由于在有限域上构作CARTESIAN认证码已有了较丰硕的成果,而对于剩余类环上的特殊矩阵来说,其标准型出现了多个不可逆的不变因子,使得有限域上许多很好的方法难以推广
16、到有限环上,因此解决环上的认证码问题就变得非常的迫切且有必要。本文设计一种不带保密的认证码,并计算一些相关参数,如编码规则个数。最后分析特殊情况下欺骗攻击的成功概率。【关键词】剩余类环;认证码;矩阵。9ABSTRACT【ABSTRACT】BASEDONTHEMATRIXOVERRESIDUECLASSRING,THISPAPERDESIGNAMESSAGEAUTHENTICATIONSYSTEM。TOSOLVETHEPROBLEMOFAMESSAGEAUTHENTICATIONSYSTEMBASEDONTHEMATRIXOVERRESIDUECLASSRINGISIMPORTANTANDNEC
17、ESSARY,SINCETHECARTESIANAUTHENTICATIONSYSTEMBASEDONTHEMATRIXOVERFINITEFIELDHASBEENWELLDESIGNEDWHILEITISHARDFORTHERESIDUECLASSRINGTHISPAPERDESIGNAMESSAGEAUTHENTICATIONSYSTEMWITHOUTSECURITY【KEYWORDS】MATRIX;RESIDUECLASSRING;MESSAGEAUTHENTICATIONCODE10目录摘要8ABSTRACT9目录101引言112认证系统与CARTESIAN认证码1121认证系统112
18、11三方认证模型11212四方认证模型1222CARTESIAN认证码123欺骗攻击的成功概率1231假冒攻击13311假冒攻击的成功概率估算13312假冒攻击的成功概率精确计算1332替代攻击13321替代攻击的成功概率估算13322替代攻击的成功概率精确计算144CARTESIAN认证码构造1541认证码的构造1542编码规则个数15421编码规则个数及算法证明15422算法证明155欺骗成功的概率分析1851剩余类环18511剩余类环性质1852上矩阵的性质18521SMITH标准型18522矩阵的等价类1953替代攻击的成功概率分析23参考文献25致谢错误未定义书签。附录错误未定义书签
19、。111引言随着计算机与数据通信的高速发展和广发应用,社会对计算机和数据通信网络的依赖越来越大。如果计算机和数据通信网络的安全受到危害,将会危及国家安全,引起社会混乱。因此,确保数据通信网络的安全成为计算机科学技术的热点领域。,网络信息安全主要可以分为保密通信、公开密钥体制和数字签名、密钥的安全性问题、有限域上椭圆曲线应用等各个领域1。与消息认证有关的问题也许是网络安全中最复杂的领域之一,攻击和防守对策发展呈螺旋式前进。一般消息认证要解决敌方伪装、修改内容,修改顺序,延时和重放消息等2,归纳起来,消息认证就是验证所收到的消息确实是来自真正的发送方且未被篡改的消息,也认证消息的顺序和及时性。2认
20、证系统与CARTESIAN认证码21认证系统信息的保密和认证是信息安全的两个主要内容。信息论保密问题早在20世纪40年代已被研究并完整地提出了完善保密系统的概念,而GJSIMMONS3在20世纪80年代将信息论的方法应用于研究认证问题,认证码成为构造无条件安全认证系统的密码学基础。在三方认证模型中,发放通过一个公共信道给收方发送信息,敌方企图假冒发方发送虚假信息欺骗收方。假定发方和收方互相信任,收方利用与发方约定使用的密钥可以判断所收到的信息是合法的还是虚假的。后来,人们放弃了发方和收方互相信任的假定,发方在发送一个消息后可以抵赖,收方可能谎称收到一个他捏造的消息,为了防止上述可能的欺骗行为,
21、在方案中增添了一个可信的仲裁方,他可以仲裁发方和收方可能发生的争执,这就形成了四方认证系统。211三方认证模型假定在一个认证模型中包含三方发方、收方和敌方。发方要向收方发送信息,敌方想假冒发方向收方发送虚假信息,或想篡改发方的信息,以达到欺骗收方的目的。因此发方和收方必须设法防止来自敌方的欺骗,在三方认证模型中,假定发方和收方是互相信任的,他们不会互相欺骗。12发方打算给收方传递的消息称为信源,以表示所有信源的集合,为了防止敌方的欺骗,发放将信源按照一个编码规则变换后再发送。称发方发送的信号为报文,所有报文集合为一个编码规则是到的一个映射,一个信源对应一个报文。该映射的像的集合E称为有效报文集
22、合。它是的一个子集。所有的编码规则记为。在通信之前,发方和收方从中秘密选出一个编码规则E,不能泄露给敌方。当发方要向收方传送一个信源S时,先将S用E进行编码,得到报文,然后将该报文通过一个公共信道发送给收方。收方收到报文后,首先判断它是不是有效报文。如果不是,他拒绝接受如果是有效的,则认为它是发方发来的,并确定它所代表的信源。不同的编码规则对应不同的有效报文集合,为了减少敌方欺骗成功的可能,发方所用的编码规则必须经常更换。212四方认证模型但有的时候情况也可能更为复杂,发方在发出一个报文后,不承认是他发的;收方捏造一个报文,声称它来自发方。在这种情况下就需要增添仲裁方。这里假定仲裁方是诚实的。
23、本文研究不带保密系统的三方认证模型。22CARTESIAN认证码定义14一类特殊形式的不带保密的认证系统。设12,KSSS为所有可能的K个信源。若S为发方所要传递的信源,发方实际发送的报文形如,SA,A称为S的认证字。见到报文,SA也就知道它所代表的信源S,所以这时没有保密。设12,LAAA为所有可能的L个认证字的集合。一个编码规则E是到的一个映射,每个信源的报文就是,SES。所有编码规则的集合记为。这类认证系统称为系统CARTESIAN认证码,它由集合,决定。构造CARTESIAN认证码的方法有很多,比如在密码学原理与实践5一书中提到,可以用HASH来构造,即通过把一个密钥作为要被HASH函
24、数处理的消息的一部分,从而在一个不带密钥的HASH函数中介入一个密钥。或者也可以利用组合设计的理论来构造,比如组合设计理论6一书中提到如何设计具有完善保密性的认证码。也有一些通过基本代数学来构造,如基于反交换拟群得消息认证码7一文中构造了一种基于反交换拟群的认证码。3欺骗攻击的成功概率1331假冒攻击定义24在发送信息前,发方和收方约定所使用的密钥,按KERKHOFF假设,敌方知道认证系统模型,但他不知道该使用哪个密钥。这时敌方任有可能进行欺骗,在观察到发方发送的信号之前,敌方向收方发出信号,如果收方接受该信号,认为他是发方发过来的,并据此采取行动。因而敌方使收方有了行动,尽管敌方事先并不知道
25、收方有什么行动,这类欺骗称为假冒攻击。311假冒攻击的成功概率估算以0P代表敌方最佳假冒攻击的成功概率,敌方进行假冒攻击时,他选定一个信源S,但他不知道认证字ES,只能在中任取一个认证字,将,SA发给收方。仅当AES时,收方才能接受报文,SA。假定敌方的攻击是最佳的,敌方选取的A等于ES的概率至少为1L,其中L为总报文个数,所以敌方最佳假冒攻击的概率01PL。312假冒攻击的成功概率精确计算准确的说,仅当发方和收方选用的编码规则E适合ESA时,敌方的假冒攻击才能成功。假定每个编码规则被选用的概率相同,则敌方发报文,SA作假冒攻击的成功概率为EESA,它的分子是使S的认证字为的编码规则的个数,分
26、母是编码规则的总个数,敌方最佳假冒攻击成功概率为10MAXMAXISILEESAP。32替代攻击定义34敌方也可以采取另一类攻击,敌方可以将观察到的信号篡改,篡改后的信号任能被收方接受,并使收方采取与发方指示相违背的行动。这类欺骗称为替代攻击。321替代攻击的成功概率估算以1P代表敌方最佳替代攻击的成功概率,敌方进行替代攻击时,他首先截获发方发送的一个报文,SA,然后选取另外一个信源S替代S,他同样不知道ES,只能在中任取一个认证字A,将,SA发给对方。仅当AES时,收方才能接收报文,SA。敌方选取的A等于ES的概率至少为1L,所以敌方最佳替代攻击成功概率11PL。14322替代攻击的成功概率
27、精确计算由于任一编码规则都会将信源S映射为中某个认证字,故1LIIEESA。因极大值不小于平均值,得到111MAXLIIILIEESAEESALL,且可见等号成立的充分必要条件是对任一S及1IL,IEESA是常数L。类似地分析最佳替代攻击成功概率1P。敌方观察到发方发送的报文,SA,然后用报文,SASS进行替换,将它发给收方,收方能接受,SA的概率为,EESAESAEESA。当敌方观察到报文,SA时,他就能确定这时发方和收方选用的编码规则属于集合EESA。进一步,如果发方和收方选用的编码规则属于集合,EESAESA,则敌方的替代攻击就能成功。所以,当敌方观察到报文,SA后,他的最佳替代攻击成功
28、概率,11,MAXMAXISSSILEESAESAPSAEESA。154CARTESIAN认证码构造41认证码的构造本文利用KRZPZ上矩阵构造一个CARTESIAN码,并计算其相关参数。我们取信源集与报文集为,MNMR,此处不妨设MN,假设A为信源,编码规则为所有的等价变换,即EAPAQ,其中MPGLR,NQGLR,则,构成了CARTESIAN认证码。42编码规则个数构造认证系统的一个核心问题是要使攻击成功概率尽可能小,为达到此目的,编码规则的个数就会增大。而设计者希望攻击成功概率尽可能小的同时,编码个数也尽可能的小。因此,编码个数是衡量一个认证系统最重要的参数之一。421编码规则个数及算法
29、证明定理122110011MNKMNIMINIIPPP422算法证明引理1K是NZ上的可逆矩阵当且仅当DET,1KN证明首先假设DETK是NZ中的可逆元对于1IM,1JM定义IJK为K去掉第I行和J列后所得的矩阵。定义一个矩阵K,其,IJ元为1DETIJJIK(K称为K的伴随矩阵)。可以验证11DETKKK,所以是可逆的。反之,假设K的逆矩阵为1K,则111DETDETDETDETMIKKKK从而DETK是NZ中的可逆元。因此,K是NZ上的可逆矩阵当且仅当DET,1KN引理28设P为素数,则11MMMMMNPPPPPP16证明由于P是素数,PZ是域。K是域PZ上的M阶可逆矩阵当且仅当由K的M个
30、行向量组成的向量组无关,从而PZ上的M阶可逆矩阵的计数问题就转化为计算由PZ上的M个线性无关的M维向量组成的有序向量组的个数。以TN记PZ上的T个线性无关的M维有序向量组的个数1IM,11MMMTTNPPPPP。对T做数学归纳法。当T1时,由于由PZ上的任意一个非零M维向量组成的向量组是线性无关的,11MNP。归纳假设211MMMTTNPPPPP,对于任意给定的一个线性无关有序向量组121,T,其线性组合所得的向量112211TTAAA的个数为1TP,其中1,2,1IPAZIT。而对于其余1MTPP个M维向量中的任一个向量,向量组121,TT都是线性无关的。所以1111MTMMMTTTNNPP
31、PPPPP。由数学归纳法,对于1TM,都有11MMMTTNPPPPP。取TM,即得引理结论。引理3设P为素数,R为正整数,则21RMRMMNPNPP。证明设IJKK是RPZ上的M阶可逆矩阵,DET,1RKP,即DET,1KP。令MODIJKKP,则K是PZ上的M阶方阵,由DETDETMODKKP以及DET,1KP可得DET,1KP,K是PZ上的可逆矩阵。反之,假设IJKK是PZ上的M阶可逆矩阵,令IJIJKKPL,其中101RIJLP,1,IJM。则K是RPZ上的M阶方阵。由行列式的定义经简单计算可得DETDETMODKKP,而DET,1KP,所以DET,1KP,故DET,1RKP。K是RPZ
32、上的可逆矩阵,这样的K共有21RMP个。这就证明了21RMRMMNPNPP。引理4设2N为整数,1212SRRRSNPPP为N的既约因式分解,1IR,12,SPPP是互异素数,则21110ISMRMMJMIIIIJNNPPP17引理59221011111NKNKNINNNIGLRPPPPP证明在上诉结论中M用N代,用代,既得定理。221011111NKNKNINNNIGLRPPPPP定理22110011MNKMNIMINIIPPP证明因为编码规则MNGLRGLR为所有的等价变换,左乘的MM可逆矩阵有MGLR种可能,右乘的NN可逆矩阵有NGLR种可能,因此编码规则个数为MNGLRGLR,即221
33、10011MNKMNIMINIIPPP。185欺骗成功的概率分析51KRZPZ剩余类环在有限域上构作CARTESIAN验证码已有了较丰硕的成果,特别是游鸿和南基洙,用域上矩阵群等方法,在构成CARTESIAN验证码方面已做了代表性的工作。对于剩余类环上的特殊矩阵来说,其标准型出现了多个不可逆的不变因子,使得有限域上许多很好的方法难以推广到有限环上。511KRZPZ剩余类环性质设KRZPZ是模整数KP(K1)的有限局部环,用A表示R中元素,P表示R的唯一极大理想,KRP表示其商域,R表示R中可逆元乘群,显然P不是R的单位。对于AR,都有FALP,其中LR,0FK。当F0时,AR,此时正整数11K
34、AAP是奇数,当0FK时AP,非负整数是偶数11KAAP。易见,R中可逆元和不可逆元的个数都等于1KP,且对U,LR和AP,有2ULVP,LAR。52KRZPZ上矩阵的性质521SMITH标准型定理210(SMITH标准型每一个在MNMR中的矩阵A等价于10TRRRIPDP其中R是A的秩,1211TRRRK并且RTM。参数12,TRTRRR被A唯一确定推论1,MNABMR,那么A和B等价当且仅当A和B的不变因子相同,即标准型相同19引理6如果P和Q是两个在R上的秩为M的MN矩阵,则存在一个NTGLR使得QPT522矩阵的等价类引理7满足121TRRRK的整数列12,TRRR的个数有121213
35、2KKTKTKT个证明当IR全相等时IRM有1K种选择,当IR分别取不同的两个数时,第一步先从K中选择2个数,IR能取2K种可能的数,然后第二部相当于在1T个空隙中插入一块板来区分哪些等于第一个数,哪些等于第二个数,因此IR可能的排列有121KT,以此类推,IR总共可能的排列数为1212132KKTKTKT。引理8假设MN,,MNMR在MNGLRGLR作用下的等价类有11111111112132MIKKIKIKMMII个证明根据前一个结论,,MNMR在MNGLRGLR作用下的等价类与在RTM和1211TRRRK条件下12,TRTRRR的数目相同,如果T0,12,TRTRRR有M1种可能的选择,
36、当0TI时12,TRRR有11111112132KKIKIKI种,在这种情况下,R只有1MI种可能,因此,我们有111111112132KKIKIKMII种可能。20因此,MNMR在MNGLRGLR作用下的等价类为11111111112132MIKKIKIKMMII。定理3记12LMMMM为R上的TT矩阵其中IIIIRIRSSPMP1,2,IL,1LIIST,1211LRRRK。那么使得AMMB,其中,TABGLR,,AB的对数等于12211112101LLLIIIIIJIIJIISKTRSRSSLJSIJPP证明记111212122212LLLLLLAAAAAAAAAA和1112121222
37、12LLLLLLBBBBBBBBBB由于AMMB,可得到111122111111211211222222122222112212LLLLLLLLLLLLLLLLLLAMAMAMMBMBMBAMAMAMMBMBMBAMAMAMMBMBMB。由于12RRR,IJAIJ和IJBIJ是在P上的矩阵,所有的IIA和IIB都是可逆的。当IIA被确定,IIB可能是任何满足等式IIIIAMXM,等式10IIIIAXM有2IIRSP种不同的解,因此IIB有2IIRSP种选择。当IJAIJ确定后,我们知道IJB有IIJRSSP种可能,类似的,当IJBIJ确定后IJA有IIJRSSP种可能。因此,,AB的总对数有1
38、2211112101LLLIIIIIJIIJIISKTRSRSSLJSIJPP。21定理4A为SMITH标准型则,则使得SATA的,ST的对数为12211112221110011001111LLLLIIIIJIIIIJIIIIKRTMMRTNNRTRSRSSMNRTRSSLRJSIRIJIMRTNRTIMRTINRTIINPPPPP证明记A为0000000RIAD其中11LLRRRRPPDPP把MSGLR,NTGLR写成111213212223313233SSSSSSSSSS和111213212223313233TTTTTTTTTT那么,等式11121311121321222321222331
39、323331323300000000000000RRSSSITTTISSSDTTTDSSSTTT表示1111122111121222111312232111222121122222211322233111322131123222311332230000000STSDTISTSDTSTSDTSTSDTSTSDTDSTSDTSTSDTSTSDTSTSDT22对比1SAAT和1ATSA的两边,我们有310S,320SD,130T,230DT。因此11S,22S,33S和11T,22T,33T都是可逆的。排出多余的等式,我们发现原方程组等价于111112211112122221112221211222
40、22000STSDTISTSDTSTSDTSTSDT该方程组表明11121112212221220000SSTTIRIRSSTTDD记111202122SSSSS,111202122TTTTT0S和0T是可逆的。我们要确定00,ST的对数。因为映射100TT是一一映射,如果我们确定了满足000000IRIRSUDD(其中100UT)的00,ST的对数,问题就解决了。记111202122UUUUU,我们发现1111SU,1212SDU,2121SDU和2222SDDU,2222,SU可能的选择有12211112101LLLIIIIIJIIJIISKTRSRSSLJSIJPP种因此00,SU可能的
41、选择有12211112211112210121100111LLLIIIIIJIIJIILLLIIIIIJIIJIISKTRSRSSLJSKRTRIJSKRTRSRSSLRJSIRIJIGLRPPPPPP。S中的13S,23S和T中的31T,32T可以是R上任意的RMRT,TMRT,RNRT,RNRT矩阵。对于32S,有1LIIIMRTRSP种选择,因此,ST的对数是12211112221110011001111LLLLIIIIJIIIIJIIIIKRTMMRTNNRTRSRSSMNRTRSSLRJSIRIJIMRTNRTIMRTINRTIINPPPPP。2353替代攻击的成功概率分析经计算使得
42、SATA的,ST的对数已经由矩阵的标准型唯一确定,其中MSGLR,NTGLR。我们来看使得PAQB的,PQ的对数,由于A等价于B,则必然存在至少一对00,PQ,使得00PAQB,易得00PSATQB。做映射00,STPSTQ,显然此映射为一一映射。由此可得使得PAQB的,PQ的对数也为N。对于矩阵A所有的编码规则个数,其中每一个与A等价的矩阵占其N对,则与矩阵A等价的矩阵个数为N个。在敌方选择假冒攻击时,若敌方选择A为信源,则在不同的编码规则下,它的报文N个,敌方在其中任意挑选一个,根据第三章的讨论,01NPL。对其做进一步估计,确的说,仅当发方和收方选用的编码规则E适合ESA时,敌方的假冒攻
43、击才能成功。假定每个编码规则被选用的概率相同,则敌方发报文,SA作假冒攻击的成功概率为EESA,它的分子是使S的认证字为的编码规则的个数,分母是编码规则的总个数,敌方最佳假冒攻击成功概率为10MAXMAXISILEESAP,分母个数一定,我们对分子单独讨论,12211112221110011001111LLLLIIIIJIIIIJIIIIKRTMMRTNNRTRSRSSMNRTRSSLRJSIRIJIMRTNRTIMRTINRTIINPPPPP,将其中R的相关项提出,可发现当R越大时,N值越大。24特殊情况分析,当A的不变因子为,0,M,即A等价于0MI,此时R达到最大值M。不失一般性,不妨假设0MAI,计算使得PAQA的,PQ的对数。记11122122QQQQQ,则1112212200MMQQPAQPIIQQ,可得11120MPQPQI,由于P为可逆矩阵,则120Q,11MPQI,如果P被确定,则11Q也被确定,Q为可逆矩阵则11Q,22Q均为可逆矩阵,由之前引理,P有MGLR种可能22Q有NMGLR种可能,因此,PQ有MNMKMNMGLRGLRP个,即22110011MNMKMMNNIMINMIIPPP个。由此得
