基于有限域上二次多变量问题对消息匿名环签名的方法

专利名称：基于有限域上二次多变量问题对消息匿名环签名的方法
技术领域：
本发明属于信息安全技术领域，涉及一种基于有限域上二次多变量问题对消息匿 名环签名的方法。
背景技术：
2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术， 称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没 有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具 有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环 签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名 的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需 要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人 的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。随后，环 签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域 上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算 效率很低。环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子 选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络 中的匿名认证。下面简要介绍几种应用1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保 护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实 性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中 心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题， 如成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私 性，都可以应用环签名来解决。随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离 散对数问题，进而严重威胁到现有这类基于传统密码体制的环签名的安全性。构造新的公 钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫 在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算 上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。多变量公钥密码体制至今已经经历了 20年的发展历程，出现了 MIA族、0V族、HFE 族、TTM族、MFE族、1IC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最 近得到了人们的广泛关注。多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有 发现量子计算机对二次多变量方程组的求解有任何优势。
到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例 如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量 子计算下将不再安全。

发明内容
本发明的目的是提供一种基于有限域上二次多变量问题对消息匿名环签名的方 法，解决现有的环签名体制在量子计算下不安全的缺陷。本发明所采用的技术方案是，基于有限域上二次多变量问题对消息匿名环签名的 方法，该方法按照以下步骤实施步骤1.生成系统参数1)设置k = GF(q)是特征为p的有限域，其中q = p1，1是一个正整数；2)令《d[x/〈g(x)〉是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域 k上的一个n次不可约多项式；3)令m为多变量方程组中方程的个数，n为变量的个数；4)选择H {0，1}* — km为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为 (k, q, p, 1, m, n, H)；步骤2.密钥生成1)假设环中有t个用户，设为U= {U0,U1,…，ut_J ；2)根据多变量公钥密码体制，每个用户Ui (0彡i彡t-1)选择&是从kn到km的 可逆映射，&满足a)Fi (Xl, ...，xn) = (fn，…，fim)，其中 f。. G k[Xl，...，xn]，j = l，...，m;b)任何方程Fi (Xl,…，xn) = (y' …，y' m)都易于求解；3)每个用户Ui (0彡i彡t-1)随机选择是从km到km的一个可逆仿射变换[^(Xi，…，xm) = Mn (x” —, xm)T+an,其中是有限域k上的一个mXm的可逆矩阵，an是有限域k上的一个mX 1的 列向量；4)每个用户Ui (0彡i彡t-1)随机选择L2i是从kn到kn的一个可逆仿射变换L2i (x1 …，xn) = M2i (x” ...，xn)T+a2i，其中M2i是有限域k上的一个nXn的可逆矩阵，a2i是有限域k上的一个nX 1的 列向量；5)每个用户Ui (0彡i彡t-1)公布其公钥=Fi=LlioFi。I2iFi{xl,-,xn) = (fa,-Jim)其中每一个冗都是k[Xl，…，xn]中的多项式；6)每个用户Ui (0彡i彡t-1)保密其私钥= {Ln，F" L2i}；7)环中的t个用户的公钥集记为i = (H’ ，t);步骤3.环签名生成
假设成员ιιπ (0彡π彡t-Ι)代表环成员中所有成员U = {u0, U1,…，ut_J对消 息M进行签名，环中的t个用户的公钥集记为i = (H-，D，un的公钥为私钥为SKn ={Lln，Fn，L2J，签名者^计算环签名的步骤如下1)对于i = 0，…，t-Ι且i乒π，随机选取两两互异的ri e kn，计算
Rl=F^rl);
2)随机选取r e kn，计算
3)计算
Φπ
4)计算
G=LWldh
若1\与a相同，则重新选取r;
5)令
V = γ-γ ；
6)输出消息M关于环i = (H”,D的环签名δ = (r0,i ι' ".Γη，V)；
步骤4.环签名的验证
给定环1 =(巧，月,···，&,)关于消息M的签名δ = (r0,ri; ·· IV1，V)，任何验证者证￡ Jiiri) = H{M\\L ￡ η + V) 是否成立，若等式成立，则接受环签名，否则拒绝该环签名。本发明的特点还在于，其中步骤3中，签名者计算尺各代ν,=砬οFMKRJ ,从而使得消息μ
关于环1一巧，厍…，I1)的环签名δ = (r0,ri;…！^，V)构成了一个可以验证的封闭环。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明 基于有限域上二次多变量问题对消息匿名环签名的方法在量子计算下是安全的，本发明的 方法既具有安全性又具有计算效率高的优点。
具体实施例方式本发明基于有限域上二次多变量问题对消息匿名环签名的方法，按照以下步骤实 施步骤1.生成系统参数1)设置k = GF(q)是特征为ρ的有限域，其中q = ρ1，1是一个正整数；2)令iCSA[x]/〈g(x)〉是有限域k的η次扩张，这里η是一个正整数，g(x)是有限域 k上的一个η次不可约多项式；CN 102006169 A
说明书
4/8页3)令m为多变量方程组中方程的个数，η为变量的个数；4)选择H {0，1}* — km为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为 (k, q, p, 1, m, η, H)。步骤2.密钥生成1)假设环中有t个用户，设为U = {u0, U1,…，ut_J ；2)根据多变量公钥密码体制，每个用户Ui (0 < i < t-Ι)选择Fi是从kn到km的 可逆映射，Fi满足a) Fi (χι;…，xn) = (fn，…，fim)，其中 f。. e k[x1; ...，xn]，j = l，...，m;b)任何方程Fi (χι;…，xn) = (y' 1；…，y' J都易于求解。3)每个用户Ui (0彡i彡t-Ι)随机选择Lli是从km到km的一个可逆仿射变换Lli (X1,…，xm) = Mli · (X1, —, xm)T+an,其中Mli是有限域k上的一个mXm的可逆矩阵，an是有限域k上的一个mX 1的 列向量；4)每个用户Ui (0彡i彡t-Ι)随机选择L2i是从kn到kn的一个可逆仿射变换L2i (X1,…，xn) = M2i · (X1, ...，xn)T+a2i，其中M2i是有限域k上的一个nXn的可逆矩阵，a2i是有限域k上的一个nX 1的 列向量；5)每个用户Ui (0彡i彡t-Ι)公布其公钥=Fi=L^Fi0LwFXxl,■■■,x ) = (fn,-Jim)其中每一个冗都是k[Xl，…，xn]中的多项式；6)每个用户Ui (0彡i彡t-Ι)保密其私钥SKi = {Ln, Fi, L2J ；7)环中的t个用户的公钥集记为1 =(巧，月,···,&)。步骤3.环签名生成假设成员ιιπ (0彡π彡t-Ι)代表环成员中所有成员U = {u0, U1,…，ut_J对消 息M进行签名，环中的t个用户的公钥集记为i = [F0X-^l) ,Uii的公钥为&，私钥为SKn ={Lln，Fn，L2n}。签名者ιιπ计算环签名的步骤如下1)对于i = 0，…，t-Ι且i乒π，随机选取两两互异的a e kn，计算Ri =Jtiri)；2)随机选取r e kn，计算h = H{M Lr+ Y^ri)-,
i本π3)计算
权利要求
1.基于有限域上二次多变量问题对消息匿名环签名的方法，其特征在于，该方法按照 以下步骤实施步骤1.生成系统参数1)设置k= GF(q)是特征为p的有限域，其中qzp^k是一个正整数；2)令Xs*[x]/〈g(x)〉是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上 的一个n次不可约多项式；3)令m为多变量方程组中方程的个数，n为变量的个数；4)选择H {0，1}* — km为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q, p, 1, m, n, H)；步骤2.密钥生成1)假设环中有t个用户，设为U={u0,ui;， _]；2)根据多变量公钥密码体制，每个用户Ui(0彡i彡u-1)选择&是从kn到km的可逆 映射，Fi满足a)Fi (xj, xn) = (fn,…，fim)，其中 fij G k[x” ...，xn],j = l, ...,m;b)任何方程Fi (x” ...，xn) = (y' ” ...，y' m) 都易于求解；3)每个用户Ui(0 < i < t-1)随机选择Ln是从km到km的一个可逆仿射变换 Ui (X1' ...，xm) = Mli (X1，xm)T+an,其中是有限域k上的一个mXm的可逆矩阵，an是有限域k上的一个mX 1的列向量；4)每个用户Ui(0 < i < t-1)随机选择L2i是从kn到kn的一个可逆仿射变换 L2i(xi …，xn) = M2i (X” ...，xn)T+a2i,其中M2i是有限域k上的一个nXn的可逆矩阵，a2i是有限域k上的一个nX 1的列向量；5)每个用户Ui(0彡i彡t-1)公布其公钥巧=、。巧。k^(w )=(Zi，-",Zj其中每一个冗都是k[Xl，…，Xn]中的多项式；6)每个用户(0彡i彡t-1)保密其私钥={Ln, Fy L2i}；7)环中的t个用户的公钥集记为i二巧，汽，…无山 步骤3.环签名生成假设成员(0彡Ji彡t-1)代表环成员中所有成员U = {u0,ui,…，ut_J对消息M进 行签名，环中的t个用户的公钥集记为i = ，D，un的公钥为&，私钥为SKn = {Lln， F n，L2 n}，签名者u n计算环签名的步骤如下1)对于i= 0，…，t-1且i乒Ji ,随机选取两两互异的巧G kn，计算2)随机选取r G kn，计算h = H(M Ljr + J^r,)；3)计算4)计算 ^oi^oOO，若rn与A相同，则重新选取r;5)令V = ；6)输出消息M关于环i=(巧,巧，…的环签名5 = (r。，ri，…iVpV)； 步骤4.环签名的验证给定环Z 巧，月，…，关于消息M的签名5 = (r0, …，V)，任何验证者验证^Fi(rl) = H(M\\Lfjri + V)/ = 0 1=0是否成立，若等式成立，则接受环签名，否则拒绝该环签名。
2.根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算 R"=k~ZRi，/^/^。^^&丨⑹，从而使得消息厘关于环^丨^，…^的环签名5=(r0,ri,…rt_i，V)构成了一个可以验证的封闭环。
全文摘要
本发明公开了一种基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。
文档编号H04L9/32GK102006169SQ20101054466
公开日2011年4月6日 申请日期2010年11月11日 优先权日2010年11月11日
发明者刘玉霞, 王尚平 申请人:西安理工大学