专利名称:基于多变量数字签名对消息匿名环签名的方法
技术领域:
本发明属于信息安全技术领域,涉及一种基于多变量数字签名对消息匿名环签名 的方法。
背景技术:
2001年,在如何匿名泄漏秘密的背景下,Rivest等人提出了一种新型签名技术, 称为环签名(ring signature)。环签名可以被视为一种特殊的群签名,它没有可信中心,没 有群的建立过程,这里的群是指由多个可能的签名者组成的集合,也称为环。该环的建立具 有自发性,即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环 签名是由一个签名者代表环中全体成员签署的,但对于签名验证者来说签名者是完全匿名 的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需 要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名,即无法追踪签名人 的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。环签名引 起了广泛关注,各种环签名方案相继被提出。2002年,Abe等人提出了第一个基于有限域上 离散对数的环签名方案。最近,双线性对被用来设计环签名方案,然而,双线性对的运算效 率很低。环签名因其特有的性质,如自发性、匿名性等,使得它可以广泛地应用于匿名电子 选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络 中的匿名认证。下面简要介绍几种应用1)用于匿名泄漏信息。例如匿名举报一个官员腐败,为了防止官员的报复行为,保 护举报者的隐私,举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实 性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中 心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题, 如成员的匿名认证等,往往要求参与实体的一方在应用过程中能够保持自己身份的隐私 性,这种情况下都可以应用环签名来解决。随着量子计算机的出现,利用量子计算机可以在多项式时间内解决因子分解和离 散对数问题,进而严重威胁到现有基于传统密码体制的环签名的安全性。构造新的公钥密 码体制,使其能够替代基于数论的密码体制,抵御未来基于量子计算机的攻击已经迫在眉 睫。多变量公钥密码体制可以抵御量子计算机的攻击,而且比基于数论的方案在计算上更 有效,因此,多变量公钥密码学的研究成为密码学发展中很活跃的课题。多变量公钥密码体制至今已经经历了 20年的发展历程,出现了 MIA族、0V族、HFE 族、TTM族、MFE族、1IC族等体制。由于多变量公钥密码体制的安全性和效率更高,所以最 近得到了人们的广泛关注。多变量密码体制的发展为环签名的研究提供了新的思路,因为直到目前,还没有 发现量子计算机对二次多变量方程组的求解有任何优势。
到目前为止,已经提出了各种环签名方案,但这些方案都是基于传统密码体制,例 如RSA等。面对量子计算机的出现,传统密码体制受到威胁,因此,现有的环签名体制在量 子计算下将不再安全。
发明内容
本发明的目的是提供一种基于多变量数字签名对消息匿名环签名的方法,解决现 有的环签名体制在量子计算下不安全的缺陷。本发明所采用的技术方案是,一种基于多变量数字签名对消息匿名环签名的方 法,该方法按照以下步骤实施步骤1.生成系统参数1)设置k = GF(q)是特征为p的有限域,其中q = p1,1是一个正整数;2)令/:d[x]/〈g(x)〉是有限域k的n次扩张,这里n是一个正整数,g(x)是有限域 k上的一个n次不可约多项式;3)令m为多变量方程组中方程的个数,n为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数,系统参数为 (k, q, p, 1, m, n, H);步骤2.密钥生成1)假设环中有t个用户,设为U= {U0,U1,…,ut_J ;2)根据多变量公钥密码体制,每个用户Ui (0彡i彡t-1)选择&是从kn到km的 可逆映射,&满足a)Fi (Xl, ...,xn) = (fn,…,fim),其中 f。. G k[Xl,...,xn],j = l,...,m;b)任何方程组Fi (Xl,…,xn) = (y' …,y' m)都易于求解;3)每个用户Ui (0 < i < t-1)随机选择Si是从kn到kn的一个可逆仿射变换S^Xi,…,xn) = A! xn)T+ai,其中&是有限域k上的一个nXn的可逆矩阵, 是有限域k上的一个nX 1的列
向量;4)每个用户Ui (0 < i < t-1)随机选择是从km到km的一个可逆仿射变换Ti(Xl,…,xm) = Bi (Xl,xm)T+bi,其中&是有限域k上的一个mXm的可逆矩阵,1^是有限域k上的一个mXl的列
向量;5)每个用户Ui (0彡i彡t-1)公布其公钥
PKt = FXXl,…,x ) = T] o。Si = (H," Jj,其中每一个义都是k[Xl,…,xn]中的多项式;6)每个用户Ui (0彡i彡t-1)保密其私钥= {Ti,F” Sj ;7)环中的t个用户的公钥集记为丄= (H",L);步骤3.环签名生成
设假设成员ux(0≤x≤t-1)代表环成员中所有成员U = {u0, Ul,…,ut_J对消 息Me {(^^进行签名,环中的卞个用户的公钥集记为“汚五…^,则签名者 的私钥 为SKX = (Tx,Fx,Sx),签名者ux计算环签名的步骤如下1)签名者Ux对于i G (0,1,…,1_1)\1随机选择 ,、GRkn,计算Rt;2)签名者ux随机选择v G Rkm,计算vx+1 = H(M, L, v);3)签名者 ux 对于 i = x+1,t-1, 0,1,…,x-1,依次计算vi+lm0dt = H(M, L, v^Ri)得到vx = H(M,L,Vh+RH)签名者ux计算Rx = v-vx ;4)随机选择ax G Ekn,计算得
K 二 F1 (Rx - Fx (ax )) = 1 o Fx-X o Tx-1 (Rx - Fx (ax ));5)输出关于消息M关于环i = (H",l)的环签名o = (v0, a0, b0, a1,b1,bt_:);步骤4.环签名的验证对于给定消息M关于环1 =(巧,巧,…,&的环签名o = (v0, a0, b0, a,,, + bt_i),任何验证者对签名正确性的验证过程如下1)验证人对0≤i≤t-1,计算R^F^ + FM;2)验证人0 < i≤t_2依次计算vi+1 = H(M, L, Vj+Rj)得到Vh ;3)验证等式v0 = H(M,L,Vh+RH)是否成立,若等式成立,则接受环签名,否则拒绝该环签名。本发明的特点还在于,其 中 步 骤3中,签 名 者 计 算1^=¥-¥!£, bx=d -尹AJhA—1疋-F.M),从而使得消息M关于环i =(旯,月,…,巧-,)
的环签名o = (v0, a0, b0,…,at_i,bt_i)构成了一个可以验证的封闭环。基于传统密码体制的环签名方法,在量子计算机下其安全性受到威胁,而本发明 基于多变量数字签名对消息匿名环签名的方法在量子计算下是安全的,本发明的方法既具 有安全性又具有计算效率高的优点。
具体实施例方式本发明所采用的技术方案是,基于多变量数字签名对消息匿名环签名的方法,该 方法按照以下步骤实施步骤1.生成系统参数1)设置k = GF(q)是特征为p的有限域,其中q = p1,1是一个正整数;2)令尺dM/〈g(x)〉是有限域k的n次扩张,这里n是一个正整数,g(x)是有限域 k上的一个n次不可约多项式;3)令m为多变量方程组中方程的个数,n为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数。系统参数为(k,q,p,1,m, n, H);步骤2.密钥生成1)假设环中有t个用户,设为U= {U0,U1,…,ut_J ;2)根据多变量公钥密码体制,每个用户Ui (0 < i兴t-1)选择&是从kn到km的 可逆映射,&满足a)Fi (Xl, ...,xn) = (fn,…,fim),其中 f。. G k[Xl,...,xn],j = l,...,m;b)任何方程组Fi (Xl,…,xn) = (y' …,y' m)都易于求解;3)每个用户Ui (0 < i < t-1)随机选择Si是从kn到kn的一个可逆仿射变换S^Xi,…,xn) = A! xn)T+ai,其中&是有限域k上的一个nXn的可逆矩阵, 是有限域k上的一个nX 1的列
向量;4)每个用户Ui (0 < i < t-1)随机选择是从km到km的一个可逆仿射变换Ti(Xl,…,xm) = Bi (Xl,xm)T+bi,其中&是有限域k上的一个mXm的可逆矩阵,1^是有限域k上的一个mXl的列
向量;5)每个用户Ui (0彡i彡t-1)公布其公钥
=权Xl,“’ xj = 。巧。S广{JnJn,," Jim) ’其中每一个石.都是k[Xl,…,xn]中的多项式;6)每个用户Ui (0彡i彡t-1)保密其私钥= {Ti,F” Sj ;7)环中的t个用户的公钥集记为i =巧,巧,…,^。步骤3.环签名生成设假设成员ux(0彡x彡t-1)代表环成员中所有成员U = U0,U1,.. .,ut_J对消息 MG {0,1}*进行签名,环中的t个用户的公钥集记为i = ,I),则签名者 的私钥为 SKX = (Tx,Fx,Sx)。签名者ux计算环签名的步骤如下1)签名者Ux对于i G (0,1,…,1-1)\1随机选择 ,、GRkn,计算代=月(a,_)+巧决);
2)签名者ux随机选择v G R km,计算vx+1 = H(M, L, v);3)签名者 ux 对于 i = x+1,...,t_l,0,l,…,x-1,依次计算vi+lmodt = H(M,L, vi+Ri)得到vx = H(M,L,Vh+RH)签名者ux计算Rx = v-vx ; 4)随机选择ax G Ekn,计算得
K Ox -Fx{ax))=S~l oFx~l oT~\Rx -Fx(ax));5)输出关于消息M关于环丄二(巧,巧,…,的环签名o = (v0, a0, b0, a1,b1,…,已…D。步骤4.环签名的验证给定消息M关于环(巧,巧,…卞」环签名o = (v。,a。,b。,a” …,, 任何验证者对签名正确性的验证过程如下1)验证人对0≤i≤t_l,计算Ri=Fi(ai) + F(bi));2)验证人0 ≤ i≤t_2依次计算vi+1 = H(M, L, Vj+Rj)得到vt_1;3)验证等式v0 = H(M,L,Vh+RH)是否成立。若等式成立,则接受环签名,否则拒绝该环签名。下面分别对本发明的基于多变量公钥密码体制的环签名的完备性、匿名性和不可 伪造性进行分析眷完备性本发明所提出的基于多变量的环签名算法具有完备性。假设消息M关于环丄—巧,月,…的环签名为o = (v0, a0, b0, a,, b” . . ., bt_i),如果环签名过程严格执行以上的签名步骤,并且在传输过程中没有发生错误,则由签 名过程可知对于i G (0,1,t-l)\x,有尺=巧(《,.) +巧汍);又因为 bx = Fx'1 (Rx -Fx(ax)) = oF;1 oTx'1 (Rx -Fx(ax)),得尾也)=民-巧(义),即有
巧礼)+巧凡;因此,对i G (0,1,…,t-i),有=巧+巧汍);对于i = x+l,...,t-l,0,l,…,x-1 时,有 vi+lm。dt = H(M,L,Vi+氏);又知 Rx = V-Vx,即 V = Rx+vx,那么有 vx+1 = H(M,L,v) = H(M,L,vx+Rx),即就是说当 i = x 时,也满足 vi+1 = H(M,L,;因此,对 iG (0,1,…,{-1),有\+1_ = H(M,L,;那么,一定 有vQ = H(M,L,Vh+U成立,即验证式成立。
无条件匿名性本发明所提出的基于多变量的环签名是无条件匿名的。对于消息M关于环
权利要求
1. 一种基于多变量数字签名对消息匿名环签名的方法,其特征在于,该方法按照以下 步骤实施步骤1.生成系统参数1)设置k= GF(q)是特征为p的有限域,其中qzp^l是一个正整数;2)令尤=*问/仏(1)〉是有限域k的n次扩张,这里n是一个正整数,g(x)是有限域k上 的一个n次不可约多项式;3)令m为多变量方程组中方程的个数,n为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数,系统参数为(k,q, p, 1, m, n, H);步骤2.密钥生成1)假设环中有t个用户,设为U={u0,ui;, _];2)根据多变量公钥密码体制,每个用户Ui(0 < i < t-1)选择&是从kn到km的可逆 映射,Fi满足a)Fi (xj, xn) = (fn,…,fim),其中 fij G k[x” ...,xn],j = l, ...,m;b)任何方程组Fi (x” ...,xn) = (y' ” ...,y' m) 都易于求解;3)每个用户Ui(0 < i < t-1)随机选择Si是从kn到kn的一个可逆仿射变换 Si ...,xn) = Aj (x” xn)T+ai,其中&是有限域k上的一个nXn的可逆矩阵,a,是有限域k上的一个nX 1的列向量;4)每个用户Ui(0 < i < t-1)随机选择是从km到km的一个可逆仿射变换 Ti ...,xm) = Bj (x” xm)T+bi,其中&是有限域k上的一个mXm的可逆矩阵,h是有限域k上的一个mX 1的列向量;5)每个用户Ui(0彡i彡t-1)公布其公钥 PKi=FXxlr--,xn) = TioFioSi=(filJi2,---Jim),其中每一个冗都是k[Xl,…,Xn]中的多项式;6)每个用户Ui(0彡i彡t-1)保密其私钥= {Ti,Fy SJ ;7)环中的t个用户的公钥集记为i= (H-,L); 步骤3.环签名生成设假设成员ux(0彡x彡t-1)代表环成员中所有成员U = {u0, Ul,…,ut_J对消息 MG {0,1}*进行签名,环中的t个用户的公钥集记为I = ,D,则签名者 的私钥为 SKX = (Tx,Fx,Sx)。签名者ux计算环签名的步骤如下1)签名者ux对于iG(0,1,…,1-1)\1随机选择 ,、G Kkn,计算 R^F^ + FM ;2)签名者ux随机选择vG Ekm,计算 vx+1 = H(M, L, v);3)签名者ux对于i= x+1,…,t-l,0,l,…,x-1,依次计算 vi+imodt = H(M, L, Vi+Ri)得到vx = H(M,K,Vh+Rh) 签名者ux计算Rx = V_VX ;4)随机选择 GKkn,计算得bx = F'x {Rx - Fx (ax)) = 5/1 o F~l o T;1 (Rx - Fx (ax ));5)输出关于消息M关于环i=的环签名 o = (v0, a0, b0, a” b” bt_:);步骤4.环签名的验证对于给定消息M关于环1 =(巧,厍 ,&,)的环签名0 =…,ag,bt_i),任何验证者对签名正确性的验证过程如下1)验证人对0< i < t-1,计算 R^F^ + FM;2)验证人0< i < t-2依次计算 vi+1 = H(M,L,Vi+Rj)得到Vh ;3)验证等式v0 = H(M,L,Vh+Rh)是否成立,若等式成立,则接受环签名,否则拒绝该环签名。
2.根据权利要求1所述的方法,其特征在于,该方法步骤3中,签名者计算 Rx-v-vx,bx =FX-\RX -Fx(ax)) = Sx-'oF-'《乂-Fx(ax)),从而使得消息 M 关于环丄=(巧,月,…,I)的环签名o = (v0, a0, b0, a,, … _!,bH)构成了一个可以验证的封闭
全文摘要
本发明公开了一种基于多变量数字签名对消息匿名环签名的方法,该方法按照以下步骤实施,生成系统参数,密钥生成,环签名生成,环签名的验证。基于传统密码体制的环签名方法,在量子计算机下其安全性受到威胁,而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。
文档编号H04L9/32GK102006168SQ20101054465
公开日2011年4月6日 申请日期2010年11月11日 优先权日2010年11月11日
发明者王尚平, 陈婷 申请人:西安理工大学