专利名称:基于有限域上mq问题对消息匿名环签名的方法
技术领域:
本发明属于信息安全技术领域,涉及一种基于有限域上MQ问题对消息匿名环签 名的方法。
背景技术:
2001年,Rivest等人在如何匿名泄漏秘密的背景下提出了一种新型签名技术,称 为环签名(Ring Signature)。环签名可以被视为一种特殊的群签名,它没有可信中心,没 有群的建立过程,这里的群是指由多个可能的签名者组成的集合,也称为环。该环的建立具 有自发性,即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环 签名是由一个签名者代表环中全体成员签署的,但对于签名验证者来说签名者是完全匿名 的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需 要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名,即无法追踪签名人 的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。环签名引 起了广泛关注,提出了各种环签名方案。2002年,Abe等人提出了第一个基于有限域上离 散对数的环签名方案。最近,双线性对被用来设计环签名方案,然而双线性对的运算效率很 低。环签名因其特有的性质,如自发性、匿名性等,使得它可以广泛地应用在匿名电子 选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络 中的匿名认可。下面简要介绍几种应用1)用于匿名泄漏信息。例如匿名举报一个官员腐败,为了防止官员的报复行为,保 护举报者的隐私,举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实 性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案;2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中 心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题, 如成员的匿名认证等,往往要求参与实体的一方在应用过程中能够保持自己身份的隐私 性,都可以应用环签名来解决。随着量子计算机的出现,利用量子计算机可以在多项式时间内解决因子分解和离 散对数问题,进而严重威胁到现有基于传统密码体制的这类环签名的安全性。构造新的公 钥密码体制,使其能够替代基于数论的密码体制,抵御未来基于量子计算机的攻击已经迫 在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击,而且比基于数论的方案在计算 上更有效,因此,多变量公钥密码学的研究成为密码学发展中很活跃的课题。多变量公钥密码体制至今已经经历了 20年的发展历程,出现了 MIA族、OV族、HFE 族、TTM族、MFE族、IIC族等体制。由于多变量公钥密码体制的安全性和效率更高,所以最 近得到了人们的广泛关注。多变量密码体制的发展为环签名的研究提供了新的思路,因为直到目前,还没有 发现量子计算机对二次多变量方程组的求解有任何优势。
4
到目前为止,已经提出了各种环签名方案,但这些方案都是基于传统密码体制,例 如RSA等。面对量子计算机的出现,传统密码体制受到威胁,因此,现有的环签名体制在量 子计算下将不再安全。
发明内容
本发明的目的是提供一种基于有限域上MQ问题对消息匿名环签名的方法,解决 现有的环签名体制在量子计算下不安全的缺陷。本发明所采用的技术方案是,基于有限域上MQ问题对消息匿名环签名的方法,该 方法按照以下步骤实施步骤1.生成系统参数1)设置k = GF(q)是特征为ρ的有限域,其中q = ρ1,1是一个正整数;2)令KdM/〈g(x)〉是有限域k的η次扩张,这里η是一个正整数,g(x)是有限域 k上的一个η次不可约多项式;3)令m为多变量方程组中方程的个数,η为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数,系统参数为 (k, q, p, 1, m, η, H);步骤2.密钥生成1)假设环中有t个用户,设为U= {u0,ui;…,ut_J ;2)根据多变量公钥密码体制,每个用户Ui (0≥i≥t-Ι)选择Fi是从kn到km的 可逆映射,Fi满足a) Fi (χι; xn) = (fn,…,fim),其中 Aj e k[x1; ...,xn],j = l,...,m;b)任何方程Fi (xi;…,xn) = (y' 1;…,y' J都易于求解;3)每个用户Ui (0≥i≥t-Ι)随机选择Lli是从km到km的一个可逆仿射变换Lli (X1, —, xm) = Mli (X1, —, xm)T+an,其中Mli是有限域k上的一个mXm的可逆矩阵,an有限域k上的一个mX 1的列
向量;4)每个用户Ui (0≥i≥t-Ι)选择L2i是从kn到kn的随机选择的一个可逆仿射变 换L2i (X1, ···, xn) = M2i (x1 ...,xn)T+a2i,其中M2i是有限域k上的一个nXn的可逆矩阵,a2i有限域k上的一个nX 1的列向量;5)每个用户 Ui (0 ≥ i ≥ t-Ι)公布其公钥PKi =Fi=LliOFl。Z2iFi(X17-^n) = (Jiv-Jim)其中每一个冗都是k[Xl,…,xn]中的多项式;6)每个用户Ui (0≥i≥t-Ι)保密其私钥SKi = {Ln, Fi, L2J ;7)环中的t个用户的公钥集记为丄=(巧,月,…,
步骤3.环签名生成设假设成员ιιπ (0彡π彡t-Ι)代表环成员中所有成员U = {Uo,Ul,... }对消 息Me {0,1}*进行签名,环中的t个用户的公钥集记为i = (H-,D,un的公钥为&, 私钥为SKi = ILli, Fi, L2J,签名者U11计算环签名的步骤如下1)对 i = JI+1,…,t-l,0,…,JI-1,随机选择 Ai e kn, Ci e km,并且计算Ri= Ci + Fi(Aj) ekm ;
2)随机选择Rn e km(i = 0,…,t-1),并且计算
c = H(L,M,R0, ...Rh)) e km
C11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmAir=L^F;1 L^Rir-Cjd"若^与某个Ai相同,则返回(2),重新选取Rn e km;3)输出消息M关于环丄=(巧,月,···,&,)的环签名σ = (A0, c0, -,At^1, Ct^1);步骤4.环签名的验证给定消息M关于环^ =(巧,月,…,月的环签名σ = (A0, c0,…,Aw,(V1),任何验证 者验证c0+··· + c(_i = H(L, Μ, C0 +F0(A0),--, c(_, + F,_x {At_x))是否成立,若等式成立,则接受环签名,否则拒绝该环签名。本发明的特点还在于,其中步骤3中,签名者计算牟(凡-cJeF1,使消息M关于环 丄=(巧Λ···Λ,)的环签名σ = (A0, c0,…,At_” (V1)构成一个可验证的封闭环,满足 C0 +--' + C^1 =H{L,M,c0 +^(^o),···,^!。基于传统密码体制的环签名方法,在量子计算机下其安全性受到威胁,而本发明 基于有限域上MQ问题对消息匿名环签名的方法在量子计算下是安全的,本发明的方法既 具有安全性又具有计算效率高的优点。
具体实施例方式本发明所采用的技术方案是,基于有限域上MQ问题对消息匿名环签名的方法,该 方法按照以下步骤实施步骤1.生成系统参数1)设置k = GF(q)是特征为ρ的有限域,其中q = ρ1,1是一个正整数;2)令iCW[x]/〈g(x)〉是有限域k的η次扩张,这里η是一个正整数,g(x)是有限域 k上的一个η次不可约多项式;3)令m为多变量方程组中方程的个数,η为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数;系统参数为(k,q,p,1,m, η, H)。步骤2.密钥生成1)假设环中有t个用户,设为U = {u0, U1,…,ut_J。2)根据多变量公钥密码体制,每个用户Ui (0≤i≤t-Ι)选择Fi是从kn到km的可逆映射,Fi满足a) Fi (χι;…,xn) = (fn,…,fim),其中 f。. e k[x1; ...,xn],j = l,...,m;b)任何方程Fi (χι;…,xn) = (y' 1;…,y' J都易于求解;3)每个用户Ui (0彡i彡t-Ι)随机选择Lli是从km到km的一个可逆仿射变换Lli (X1, —, xm) = Mli (X1,—, xm)T+an
其中Mli是有限域k上的一个mXm的可逆矩阵,an是有限域k上的一个mX 1的 4)每个用户Ui (0 < i < t-Ι)选择L2i是从kn到kn的随机选择的一个可逆仿射变
列向量。
换L2i (X1, ···, xn) = M2i (x1 ...,xn)T+a2i,其中M2i是有限域k上的一个nXn的可逆矩阵,a2i是有限域k上的一个nX 1的 列向量;
5)每个用户Ui(C)彡i彡t-Ι)公布其公钥=巧=Ai。巧。k
巧(w )=(Ζ” …,Zj其中每一个《都是k[Xl,…,xn]中的多项式;;6)每个用户Ui (0彡i彡t-Ι)保密其私钥SKi = {Ln, Fi, L2J ;7)环中的t个用户的公钥集记为1 =(巧,巧,···,^。步骤3.环签名生成设假设成员ιιπ (0彡π彡t-Ι)代表环成员中所有成员U = {u0, U1,…,ut_J对 消息Me {0,1}*进行签名,环中的t个用户的公钥集记为£ 巧,巧,.··,巧一 0,^的公钥为 F,,私钥为SKi = {Ln, Fi, L2J。签名者U11计算环签名的步骤如下1)对 i = JI+1,…,t-l,0,…,JI-1,随机选择 Ai e kn, Ci e km,并且计算Ri=Ci+ Fi(Al) e km ;2)随机选择e km(i = 0,…,t-1),并且计算c = H(L, Μ, R0, -Rt^1)) e km
=c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^LtF-'L^-c^^k"若^与某个Ai相同,则返回(2),重新选取Rn e km;3)输出消息M关于环Z =(巧,巧,-",I1)的环签名σ = (A0, c0,…,At_1; Cw)。步骤4.环签名的验证给定环Z = (F。,巧,···,U的关于消息M的环签名σ = (A0, c0,…,Ah,(V1),任 何验证者验证C0 +··· + = H(L, Μ, C0 +F0(A0),■··, c(_! + Ft^ {At_x))是否成立。若等式成立,则接受环签名,否则拒绝该环签名。下面分别对本发明的基于多变量公钥密码体制的环签名的完备性、匿名性和不可 伪造性进行分析
7
正确性本发明所提出的基于多变量的环签名是正确的。设接收方收到消息M的关于环Ζ 巧,巧,···,υ签名σ = (Atl, Ctl,…,Aw(V1), 若该签名是按如上步骤进行,并且在传输的过程中没有改变,则验证式C0+-- + c(_! = H(L, Μ, C0 + 艽(Λ ),…,c(_! + Ft_x (At_,))成立。由4= L-^LlIiRic-cj e k",得到巧(4)= ^-Cjr,所以及产Ci+巧(0彡 i 彡 t-1),代入c = H(L,Μ, R0, ...Rh),得到c = H(L,Μ,C0 +F0(A0),--,ct_} + Ft_,)),因为c=。+..^-^^+^^+...+、》,即C0 + · · · + = H(L, Μ, C0 + F0 (^0), · · ·, +Ld))) ο 签名者匿名性本发明所提出的基于多变量的环签名满足签名人无条件匿名性。设消息M关于环1 =(巧,月,…,I1)的环签名σ = (A0, C0,…,At_i,Ct^1,)是一个有 效签名,根据签名的生成过程,所有的Ui是环中的一个成员,Ui按生成环签名的过程对消息 M进行环签名,根据签名的生成过程,所有的Ai, Ci (i = 0,…,π-1,π+1,…,t-1)都是 随机选取的,而且Rn e km也是随机选取的,因 也是km上的一 个随机值,由于 二广^+…+ 一 +广…+、》e『是『上完全随机的一个值,因此环 签名σ = (A0, c0,…,Am, Cw,)中Ai, Ci (i = 0,…,t-Ι)所有这些值被签名生成算法 以相等的概率选择,且与签名者无关。所以即便是外部攻击者非法获得了所有签名者的私
钥,群中元素为t个元素,它能确定出真正的签名者的概率为丨,因此没有任何优势,签名人
是无条件匿名的。 环签名不可伪造性本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC) 已知攻击是不可伪造的,如果在MPKC中已知攻击下,环签名方案中所选的多变量签名体制 是安全的。这里MPKC中已知攻击包括代数攻击,线性化攻击,秩攻击和差分攻击等。证明假设由生成算法生成的密钥对卩/^;.,^/^)丨;^和公钥集5 ={(P《)丨;^)发送
给攻击者A。A可以利用MPKC中已知攻击,如代数攻击,线性化攻击,秩攻击,差分攻击等 等。A输出0f,M*,(O,如果^^ (^"SP) = 成立,攻击成功。在这个过程中,A不能询
问(*,M*,(O,并且們G S。我们现在分析A输出伪造的环签名(R*,M*,(O的计算复杂度。 我们假设攻击者A模仿签名者Un伪造关于环R*的环签名(R*,M*, σ *),不是一般性,假设 及'={巧,巧,一,月}。攻击者4按照环签名生成中步骤1),2)进行计算,但是为了伪造某个消 息M的签名,需要通过求得Απ,满足[ο 川]Ψπ{Απ) = K来伪造环签名σ = (A0, C0,...,‘ ,)。这个问题的求解属于有限域上多变 量二次多项式方程组的求解问题,也是多变量公钥密码体制所基于的困难问题。目前对多 变量公钥密码体制的攻击有以下几个方法1)直接代数攻击针对多变量公钥密码体制的代数攻击是指在不知道私钥的情 况下直接从二次方程
权利要求
1.基于有限域上MQ问题对消息匿名环签名的方法,其特征在于,该方法按照以下步骤 实施步骤1.生成系统参数1)设置k= GF(q)是特征为ρ的有限域,其中Q = P1J是一个正整数;2)令是有限域k的η次扩张,这里η是一个正整数,g(x)是有限域k上 的一个η次不可约多项式;3)令m为多变量方程组中方程的个数,η为变量的个数;4)选择H {0,1}* — km为密码学安全的抗碰撞单向不可逆哈希函数,系统参数为(k,q, ρ, 1, m, η, H);步骤2.密钥生成1)假设环中有t个用户,设为U={U。,Ul,-,Ut^1I ;2)根据多变量公钥密码体制,每个用户Ui(0 < i < t-Ι)选择Fi是从kn到km的可逆 映射,Fi满足a)Fi (X1, ···, xn) = (fn,…,fim),其中 f。· e k[x” ...,xn],j = l,…,m;b)任何方程Fi (X1,…,xn) = (y' 1;…,y' J 都易于求解;3)每个用户Ui(0 < i < t-Ι)随机选择Lli是从km到km的一个可逆仿射变换Lii (Χι, “,Xm^ — Mli (X1J " ,Xm) +X1"其中Mli是有限域k上的一个mXm的可逆矩阵,aii有限域k上的一个mX 1的列向量;4)每个用户Ui(0彡i彡t-Ι)选择L2i是从kn到kn的随机选择的一个可逆仿射变换 L2Jx1,…,xn) = M2Jx1,…,xn)T+a2i,其中M2i是有限域k上的一个nXn的可逆矩阵,a2i有限域k上的一个nX 1的列向量;5)每个用户Ui(C)彡i彡t-Ι)公布其公钥Mi=巧=Ai。巧。A,F^xv xn) = (f,v··-Jim)其中每一个《都是k[Xl,…,Xn]中的多项式;6)每个用户Ui(0彡i彡t-Ι)保密其私钥SKi = ILli, Fi, L2J ;7)环中的t个用户的公钥集记为“0,月,···,^; 步骤3.环签名生成设假设成员ιιπ (0 < π < t-1)代表环成员中所有成员U = {u0, U1,…,ut_J对消息 Me {0,1}*进行签名,环中的t个用户的公钥集记为i = (H__,D,un的公钥为私钥 为SKi = ILli,Fi,L2J,签名者uπ计算环签名的步骤如下1)对i=Ji+l,…,t-l,0,…,π-1,随机选择Aie kn,Ci e km,并且计算 Ri=C^Fi(Ai)Skm;2)随机选择Rne km(i = 0,…,t-Ι),并且计算c = H(L,M,R0, ...Rh)) e kmC11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^ L^miRx-Cjekn若1与某个Ai相同,则返回(2),重新选取R11 e km;3)输出消息M关于环i =(巧,月,…,月的环签名σ = (A0, c0,…,At^(V1);步骤4.环签名的验证给定消息M关于环i = 巧,…,月的环签名ο = (A0, C0,…,Ah,(V1),任何验证者验证C0 +··· + ct_x = H(L, Μ, C0 + F0(A0),■■·, c(_! + Ft_x (At^l))是否成立,若等式成立,则接受环签名,否则拒绝该环签名。
2.根据权利要求1所述的方法,其特征在于,该方法步骤3中,签名 者计算牟=CGi坨A:",使消息M关于环i = 的环签名σ = (A0, c0,…,Ah,(V1)构成一个可验证的封闭环,满足 C0 +-" + ^1 = H(L,Μ,C0 +F0(A0),---,C^1 + F,_x(At^l))。
全文摘要
本发明公开了一种基于有限域上MQ问题对消息匿名环签名的方法,该方法按照以下步骤实施,生成系统参数,密钥生成,环签名生成,环签名的验证。基于传统密码体制的环签名方法,在量子计算机下其安全性受到威胁,而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。
文档编号H04L9/32GK102006170SQ201010544669
公开日2011年4月6日 申请日期2010年11月11日 优先权日2010年11月11日
发明者刘汉鹏, 王尚平 申请人:西安理工大学