CEH-Orbit 是什么？

一句话：

CEH-Orbit 是一种“轨道验证”的后量子认证方法，

它不只验证计算结果，还验证轨道结构。

---

为什么重要？

传统签名：

👉 只验证计算对不对

CEH-Orbit：

👉 验证你是否走在正确轨道上（不可伪造）

传统本质流程

消息 m

  ↓

Hash → 挑战 c

  ↓

随机掩码 y

  ↓

计算响应 z = y + c*s

  ↓

输出签名 (z, c)

  ↓

-------------------------

验证：

w' = A*z - c*t

检查代数关系是否成立

CEH-Orbit

         ┌──────────────┐

         │   消息 m      │

         └──────┬───────┘

                ↓

        ┌──────────────┐

        │  随机掩码 y   │

        └──────┬───────┘

                ↓

        w = A*y（高维轨道）

                ↓

    ┌──────────────────────┐

    │   F(w) = OrbitHead   │

    │  ├─ LSH (128bit)     │

    │  └─ Phase (16段)     │

    └────────┬─────────────┘

             ↓

     c = H(m, OrbitHead)

             ↓

     z = y + c*s

             ↓

  输出 (z, OrbitHead, c)

----------------------------------

验证：

w' = A*z - c*t

↓

F(w') → OrbitHead'

↓

比对：

- OrbitHead == OrbitHead'

- c 是否自洽

关键对比

陈恩华（台州木头智能科技有限公司）

邮箱：a106079595@qq.com

摘要

本文提出一种新型后量子认证机制——CEH-Orbit。其核心思想源于格密码结构，但不同于传统格签名依赖严格代数相等性验证，CEH-Orbit 引入了一个中间几何表示层——轨道映射（Orbit Mapping）。该映射将高维代数对象压缩为低维离散轨道描述子，进而将验证问题转化为轨道一致性检查。本文形式化定义了轨道映射函数

F(w)

、接受域（acceptance basin）概念，并建立了用于评估不可伪造性趋势的实证框架。完整的工程实现包括签名生成、验证、扰动敏感性分析及黑盒攻击模拟。实验结果表明，在严格轨道锁定条件下，CEH-Orbit 对随机伪造和局部扰动攻击表现出较强抵抗能力。本文工作为基于轨道的密码验证建立了首个工程研究基线。

关键词：后量子密码，格签名，轨道映射，Fiat-Shamir 变换，轨道锁定

1. 引言

随着量子计算技术的发展，传统公钥密码体系面临严峻挑战。基于格的密码学（如 Dilithium、Falcon）已成为后量子签名的主要候选。这些系统依赖于严格的代数关系：

w=Ay,z=y+cs,w′=Az−ct

验证时通常要求

w′≈w

或满足紧致的误差界。这类方案具有以下特点：

• 对扰动容错能力弱；
• 纯代数解释，缺乏几何直观；
• 攻击者的目标主要是破坏代数一致性。

本文探索另一种视角：将验证目标从“点相等”转向“属于同一轨道”。我们提出的 CEH-Orbit 机制将代数对象映射为离散轨道表示，并在变换域中完成验证。该思路借鉴了生物特征识别中“注册-比对”的思想，为后量子认证开辟了新方向。

2. 预备知识

2.1 符号与基本定义

设

Rq=ℤq[x]/(xn+1)

为模

q

的环，其中

n

为 2 的幂，

q

为素数。

• w∈Rnq
  ：环空间上的向量
• Δ
  ：量化宽度
• K
  ：分段数（本文取K=16
  ）
• ‖⋅‖
  ：向量范数；文中主要使用‖⋅‖∞
  表示无穷范数

2.2 格签名基本结构

典型格签名方案（如 Dilithium）基于以下结构：

密钥生成：

采样

A∈Rn×nq,s∈Rnq

，计算

t=As+e

其中

e

为小误差。

签名：

采样随机掩码

y

，计算

w=Ay

，挑战

c=H(m,w)

响应

z=y+cs

验证：

计算

w′=Az−ct

并验证

w′

与

w

的关系，同时检查

z

是否有界。

在本文的简化模型中，我们暂时忽略误差项（即令

t=As

），以突出轨道映射的核心思想。因此本文应被视为研究原型，而非完整安全证明后的正式签名方案。

3. 轨道映射

3.1 定义

定义 1（轨道映射）

给定参数

θ=(Δ,K)

轨道映射

F:Rnq→

定义为：

F(w;θ)=Quantize(OrbitProj(w;θ))

其中：

• OrbitProj
  为投影算子；
• Quantize
  将投影值离散化为有限集合；
• 
  称为轨道描述子空间。

本文中，我们将轨道映射分解为两个主分量和一个可选统计分量：

F(w)=(Flsh(w),Fphase(w),Fstat(w))

其中当前严格验证版本实际使用前两个分量；统计分量用于未来容错扩展。

3.2 LSH 分量

首先对

w

做中心化处理。更稳妥的定义为：

w¯i=center(wi)

其中

center(x)={x,x−q,0≤x≤⌊q/2⌋otherwise

然后定义比特提取：

bi=(⌊w¯iΔ⌋⊕i)mod2

将 128 个比特拼接为两个 64 位整数，即

Flsh(w)=(B0,B1)

3.3 相位分量

将向量

w

等分为

K

段，每段长度为

n/K

。对第

k

段，定义：

ϕk=(∑i∈segkcenter(wi))mod4

得到

K

个相位值，每个取值为 0–3，即

Fphase(w)=(ϕ0,…,ϕK−1)

3.4 统计分量（可选）

统计分量定义为各段系数的平均值：

μk=1|segk|∑i∈segkcenter(wi)

该分量可在未来容错模式中用于辅助对齐。

3.5 几何解释

轨道映射将高维代数对象压缩为低维离散特征。由于量化与取模操作，该映射具有一定“邻近保持”性质：相近的

w

往往映射到相似的轨道描述子，而较大扰动会导致描述子显著变化。这种性质为实现容错验证与抵抗伪造提供了基础。

4. 轨道接受域

4.1 距离定义

定义两个轨道描述子之间的距离：

d(w,w′)=α⋅dlsh+β⋅dphase+γ⋅dstat

其中：

• dlsh
  为汉明距离（两 LSH 向量异或后的比特数）
• dphase
  为相位差绝对值之和，采用循环距离
• dstat
  为统计均值差的绝对值之和
• α,β,γ
  为权重系数

具体地，

$$ d_{\mathrm{phase}}

\sum_{k=0}^{K-1} \min\left( |\phi_k - \phi'_k|, 4 - |\phi_k - \phi'_k| \right) $$

4.2 接受规则

给定阈值

τ

，定义接受域：

A(w,w′)={1,0,if d(w,w′)≤τotherwise

本文研究采用严格锁定模式（

τ=0

），即要求：

F(w′)=F(w)

4.3 灵敏度函数

定义扰动敏感性：

S(r)=Prδ:‖δ‖=r[A(w,w+δ)=1]

函数

S(r)

刻画轨道宽度与边界锐度，是容错设计的重要工具。

5. 协议构造

5.1 密钥生成

输入安全参数

n,q

，密钥生成算法如下：

1. 均匀随机采样A∈Rn×nq
   ，以及稀疏私钥s∈Rnq
   ，其系数取自{−1,0,1}
   ；
2. 计算

t=As

3. 输出公钥(A,t)
   ，私钥s
   。

5.2 签名生成

签名者输入私钥

s

和消息

m∈{0,1}\*

，输出签名

σ=(z,F(w),c,h)

流程如下：

1. 采样随机掩码y∈Rnq
   ，系数在[−200,200]
   内均匀分布；
2. 计算

w=Ay

3. 计算轨道头

H=F(w)

4. 派生挑战

c=Hsha256(m∥H)

其中挑战

c

为稀疏向量，权重

κ=8

，系数为

±1

；

5. 计算

z=y+cs

6. 若

‖z‖∞>Zmax

则返回步骤 1；

7. 计算绑定哈希

h=Hsha256(z∥c)

8. 输出

σ=(z,H,c,h)

5.3 验证算法

验证者输入公钥

(A,t)

、消息

m

、签名

σ

：

1. 检查

‖z‖∞≤Zmax

否则拒绝；

2. 检查

h=Hsha256(z∥c)

否则拒绝；

3. 计算

w′=Az−ct

4. 计算

H′=F(w′)

5. 计算

c′=Hsha256(m∥H′)

6. 若c′≠c
   或H′≠H
   ，拒绝；否则接受。

注意：验证要求轨道头完全一致（严格锁定）且挑战自洽。

6. 实验评估

6.1 实验设置

• 维度n=128
  ，模数q=3329
  
• 量化宽度Δ=32
  ，分段数K=16
  
• 挑战权重κ=8
  ，Zmax=260
  
• 随机数生成器：MT19937_64，固定种子以保证可重现
• 测试轮数：正常验证 100 轮，攻击测试 10000 轮

6.2 正常验证与攻击测试

• 正常验证：100 轮签名均通过验证，成功率 100%
• 攻击测试：对签名中的z
  添加幅度为 1 的随机非零扰动，重新计算绑定哈希后验证。共 10000 次攻击，成功次数为 0

6.3 头部碰撞率

对 2000 次独立签名计算 LSH 碰撞。结果：碰撞率为 0（在该样本规模下未观察到碰撞）。

6.4 稳定性测试

对 200 次独立签名比较相位向量，完全相同的次数为 0，表明头部具有较高多样性。

6.5 分布与熵

统计

z

的分布：均值约为 -0.8，标准差约为 113.7，最大绝对值不超过 198。LSH 比特密度约为 65/128，相位值分布较为均匀。

6.6 结果解读

• 正常验证 100% 通过，表明协议在无扰动时稳定；
• 攻击成功率为 0，表明对z
  的微小修改足以破坏轨道一致性或绑定哈希；
• 头部零碰撞表明当前参数下轨道描述子空间具有较强区分能力；
• 稳定性测试表明不同消息、不同随机性产生的头部高度分散。

7. 安全讨论

7.1 安全性优势

• 多层防护：攻击者必须同时破坏代数关系、轨道一致性与挑战自洽；
• 非线性映射：轨道映射包含量化、异或、分段求和等操作，提升伪造复杂度；
• 绑定哈希：h=H(z∥c)
  防止对z
  或c
  的单独篡改。

7.2 局限性

• 缺乏形式化归约：当前方案尚未归约至 MLWE、SIS 等已知困难问题；
• 参数未优化：n=128
  的安全强度较低，更适合作为原型验证；
• LSH 碰撞下界未知：虽实验未观测到碰撞，但缺乏理论分析；
• 消息绑定分析不充分：虽已将消息纳入挑战计算，但对多消息伪造、重放等的形式化分析仍需补充；
• 严格锁定限制容错：当前τ=0
  ，不能容忍合法实现中的微小误差。

8. 未来工作

• 形式化归约：尝试将轨道映射安全性归约到格困难问题，或构建可证明安全变体；
• 参数优化与加速：采用 NTT 加速多项式乘法，探索n=256,512
  等更高安全参数；
• 容错扩展：引入接受阈值τ>0
  ，设计可容忍噪声的变种；
• 轨道族泛化：研究不同投影与量化函数对安全性和性能的影响；
• 硬件实现：在 FPGA 或嵌入式设备上部署，评估功耗与抗侧信道能力。

9. 结论

本文提出了 CEH-Orbit——一种基于轨道映射的新型后量子认证机制。与现有格签名不同，CEH-Orbit 将验证从严格代数等式转化为轨道一致性检查，并引入了 LSH、相位等多模态描述子。本文给出了完整的工程实现，并通过实验验证了其在正常情况下的正确性以及对随机扰动攻击的抵抗能力。尽管当前版本尚缺乏形式化安全证明且采用严格锁定模式，但本文工作为“轨道密码学”这一新方向建立了首个研究基线。我们相信，通过进一步的理论完善与工程优化，轨道映射有望成为后量子密码学中一个值得深入研究的新范式。

参考文献

[1] Lyubashevsky, V. (2012). Lattice signatures without trapdoors. EUROCRYPT.

[2] Ducas, L., et al. (2018). CRYSTALS-Dilithium: A lattice-based digital signature scheme. TCHES.

[3] Prest, T., et al. (2019). Falcon: Fast-Fourier lattice-based compact signatures over NTRU. NIST PQC Round 2.

[4] Indyk, P., & Motwani, R. (1998). Approximate nearest neighbors: towards removing the curse of dimensionality. STOC.

[5] Gentry, C., Peikert, C., & Vaikuntanathan, V. (2008). Trapdoors for hard lattices and new cryptographic constructions. STOC.