基于格的代理签名方法及系统的制作方法
【专利摘要】本发明提供了一种基于格的代理签名方法及系统,该代理签名方法包括密钥生成、代理签名密钥生成、代理者验证、代理签名、验证等步骤。本发明的有益效果是本发明基于格的代理签名方法及系统提出了一个基于格上小整数问题的代理签名方法,通过降低代理签名私钥的维数来降低代理签名私钥的尺寸。而且本发明在计算上主要使用的是矩阵乘法,与基于离散对数和分解大整数问题的方法相比,既不使用模指数运算,也没有配对运算,计算复杂度更低。
【专利说明】基于格的代理签名方法及系统
【技术领域】
本发明涉及信息安全及加密【技术领域】,尤其涉及基于格的代理签名方法及系统。
【背景技术】
1996年,Mambo等[I]于提出代理签名概念.在代理签名方法中,原始签名者把其签名权利委托给代理签名者,由代理签名者代替完成签名.验证者可以区分这个签名是代理签名还是原始签名,保证了原始签名者的权利,即代理签名者不能伪造原始签名者的签名.随着对量子计算机及量子算法的深入研究,研究者发现利用量子计算机与量子算法可在多项式时间内解决大整数分解和离散对数问题[2],基于这两种假设的方法在量子环境下将被攻破.因此,构造量子环境下安全的代理签名方法是非常有意义的.格公钥密码作为近年来发展最快、受关注程度最高的后量子密码之一,具有良好的密码学性质.第一,它是一个线性密码,其大多数运算都是矩阵-向量的乘积运算;第二,它是目前唯一一个可以保证最差情况与平均情况困难性等价的公钥密码.第三,目前还没有比传统算法更好的量子算法来解决格上的困难问题,那么我们可以说格公钥密码在量子环境下是安全的.在第一个格上的基于身份的加密与安全的格签名被提出后,格密码取得了大量优秀的成果[3-7]。
目前,很多学者对基于格的代理签名进行了研究,得到了一些成果.Jiang等[8]利用文献[4]的盆景树原理构造了一个基于格的代理签名方法.该方法的代理签名私钥的维数是原始签名私钥维数的2倍,并且代理者是未受保护的,即原始签名者可以伪造代理签名者的签名.夏峰等[9]和Wang等[10]分别利用盆景树原理构造了基于格的代理签名方法;Kim[ll]、Biswas[12]和Swapna[13]等利用文献[6]固定维数的格基委托技术构造了一个基于身份的代理签名方法.固定维数的格基委托技术虽然没有增加代理签名私钥的维数,但是却明显增大了私钥的范数。
现有格上的代理签名方法中代理签名私钥的尺寸比原始签名者的私钥尺寸大的多,使得公、私钥尺寸过大是目前格密码发展的一个瓶颈。
参考文献包括:
[0001]MAMBO Mj USUDA K,0ΚΑΜ0Τ0 K.Proxy signatures!Delegation of the power tosign messages[J].1EICE Transactions on Fundamentals, 1996,E79-A(9),1338-1353.[0002]SHOR P W.Polynomial-time algorithm for prime factorizationand discrete logarithm on a quantum computer [J].SIAM Journal onComputing, 1997,26 (5): 1484-1509.[0003]YAOj YANQINGj LI ZH0UJUN, GUO HUA.A novel nonlinear network codingsignature scheme determined by the SIS problem[J].1nternational Journal ofSecurity and its Applications,2012, (6)2:403-408.[0004]CASH D,H0FHEINZ D,KILTZ E,et al.Bonsai Trees, or How to Delegate aLattice Basis[J].Journal of Cryptology, 2012, 25(4):601-639.[0005]AGRAWAL S,BONEH D,BOYEN X.Efficient Iattice(H)IBE in the standardmodel [C]//.Gilbert H(ed.),EUR0CRYPT2010.LNCSj Vol.6110,Berlin:Springer-Verlag,2010:553-572.[0006]AGRAWAL S,BONEH D,BOYEN X.Lattice basis delegation in fixed dimensionand shorter-ciphertext hierarchical IBE[C]//.Rabin T (ed.),CRYPT02010.LNCSj Vol.6223,BerI in:Springer-Verlagj2010:98 115.[0007]LYUBASHEVSKY V.Lattice signatures without trapdoors[C]//.PointchevalDj Johansson T (eds.) Eurocrypt2012.LNCS,Vol.7237,Berlin:Springer-Verlag,2012:738-755.[0008]Jiang Yalij Kong Fanyuj Ju Xiuling.Lattice-based Proxy signature[C]//.CIS2010.Nanning, China, 2010:382-385.[0009]夏峰,杨波,马莎,等.基于格的代理签名方法[J].湖南大学学报(自然科学版),2011,38(6):84-88.[0010]WANG CHUNXIA0,QI MINGNAN.Lattice-based proxy signature scheme [J].Journal of Information and Computational Science,2011,12 (8):2451-2458.[0011]KIM K S,HONG D,JEONG I R.1dentity-Based Proxy Signature fromLattices[J].Journal of Communications and Networks,2013,15(I):1-7.[0012]BISWAS Sj MISC Jj MISC V.An Identity-based Authentication Schemefor Safety Messages in Wave-enabled Vanets[J].1nternational Journal ofParallel, Emergent and Distributed Systems, 2012, 27(6):541-546.[0013]SWAPNA G,REDDY P Vj GOWRI T.Efficient identity-based mult1-proxymult1-signcryption scheme using bilinear pairings over elliptic curves[C]//.Gilbert H(ed.),ICACCI2013, Piscataway:1EEE, 2013:418-423.[0014]MICHAEL S L,TERRENCE J S.Learning Over Complete Representations[J].Neural Computation, 2000,12(2):337-365.[0015] MICCIANCIO D,SHA G0LDWASSER.Complexity of Lattice Problems:aCryptographic Perspective[M].Boston:Kluwer Academic Publishers, 2002:1-220.[0016]Micciancio D,Regev 0.Worst-case to average-case reductions based onGaussian measures[C]//Proceedings of45th Annual IEEE Symposium on Foundationsof Computer Science.Rome:1EEE, 2004:372 381.[0017]Bellare Mj Neven G.Mult1-signatures in the plain public-key model and ageneral forking lemma[C]//.Proceedings of ACM CCS2006, Alexandria:1EEE, 2006:390-399
【发明内容】
为了解决现有技术中的问题,本发明提供了一种基于格的代理签名方法。
本发明提供了一种基于格的代理签名方法,包括如下步骤:
密钥生成:随机选择矩阵ΑΜ , Se {-J,L ,0,L , Sl e{-^L,0,L ,dfk,原始签名人通过计算T = ASmmi<7 e 0 ?;*得到原始签名者的公、私钥对为(A,T, S),代理者通过计算T1=AS1HKK^eDf得到代理者的公、私钥对为(AJ1A);
代理签名密钥生成:原始签名者利用代理签名者的身份信息id,计算
【权利要求】
1.一种基于格的代理签名方法,其特征在于,包括如下步骤: 密钥生成:随机选择矩阵AeC" , SeH5L ,O,L ,d}mxk,SieH,L ,O,L ,d}mxk,原始签名人通过计算T = ASmodc/e0f得到原始签名者的公、私钥对为(A,T,S),代理者通过计算T1=ASimOdgerf得到代理者的公、私钥对为(AJ1A); 代理签名密钥生成:原始签名者利用代理签名者的身份信息id,计算Uw =//3(W)e{-l,0,l广,S2 =SVldEfif,T2 = TVh1Vaodc1^r:1,代理签名密钥为 S2,对应的公钥为T2,原始签名者把代理签名密钥S2发送给代理者; 代理者验证:代理者收到代理签名密钥后,检查As2=TUidHiodq是否成立,若成立,则接受代理签名密钥,否则拒绝; 代理签名:输入一个消息μ,代理者自己的私钥S1,代理签名密钥S2,进行签名; 验证:对代理签名进行验证; 该代理签名方法包括三个Hash函数:尽:{0,? =^ce1-15O5Ili,Ilcll1^k1)H2:{O,if ^Dfl2 =(Cice1-1sO5I^IIcII1Sk2){-1,0, l}kxl,其中 H1, H2 被看作为随机预言机,KKnuki满足2ki‘G,p2l°° i=l,2;其中,k,I为正整数,m是中心映射方程的个数,η是变量的个数,q为安全素数,id为代理签名者的身份信息。
2.根据权利要求1所述的代理签名方法,其特征在于:在所述代理签名步骤中,签名包括如下步骤: 选择两个向量
计算 C1=H1 (Ay1, μ ) e {-1, O, l}k, C2=H2 (Ay2, μ) e {-1,0,1}1; 计算Z1 =S1C1+y M z2=S2c2+y2e(6" .f Dm (ζ ) )( Dm {? I 1 Wmin MD1 \ Y1的概率输出(ZpC1),以min: 2 ,1的概率输出(z2,C2);
、 S 丨 c丨'Cr V, I / J、 StC->.(67 \ 2 / J在所述验证步骤中,输入消息μ及其对应的签名(Zl,Cl),(z2,C2),矩阵Α、1\、T2,验证ΙΚΙΙ?ΚΙΙ-2cr^" , C1=H1 (Az1-T1C1, μ), C2=H2 (Az2-T2C2, μ)是否同时成立,若成立,贝 Ij接受,否贝1J,拒绝。
3.根据权利要求1所述的代理签名方法,其特征在于:将两个随机预言机合并为一个随机预言机,其输出长度为原长度的和,H2: {O, I}* - {c:c e {-1,0, llk+1, I c I1Skh这里H2被看作为随机预言机,另一个Hash函数为H1:1d — {-1,O, 1}kxl,其中l<k<m ; 在所述代理签名步骤中,输入一个消息μ,代理者自己的私钥S1,代理签名密钥S2,签名如下: 选择一个向量计算 C=H2 (Ay, μ ) e {-1, O, l}k+1 ;
计算ζ = ($ Ils2)c + ye0:;
4.根据权利要求1至3任一项所述的代理签名方法,其特征在于:在所述代理签名密钥生成步骤中,原始签名者通过安全信道把代理签名密钥S2发送给代理者。
5.一种基于格的代理签名系统,其特征在于,包括: 密钥生成单元:用于随机选择矩阵Α4 , Sej-^L ,O,L ,d}mxi,S1 e {-d, L, O, L, d}mXk,原始签名人通过计算T = ASmodgejC得到原始签名者的公、私钥对为(A,T,S),代理者通过计算T1 =AS1OK咖eQf得到代理者的公、私钥对为(AJ1A); 代理签名密钥生成单元:用于原始签名者利用代理签名者的身份信息id,计算U,, = H, {id) e {-1,0,1 广,S2 = SUw e φ 了 , T2 = TUw modg e 0 f,代理签名密钥为 S2,对应的公钥为T2,原始签名者把代理签名密钥S2发送给代理者; 代理者验证单元:用于代理者收到代理签名密钥后,检查As2=TUidHiodq是否成立,若成立,则接受代理签名密钥,否则拒绝; 代理签名单元:用于输入一个消息μ,代理者自己的私钥S1,代理签名密钥S2,进行签名; 验证单元:用于对代理签名进行验证; 该代理签名系统包括三个Hash函数:A:{0,!} -^dHi =|c:ce{-l,0,l},丨IeII1Sk]Η2.{°^? ={c:ce{-l,0,l}/,||c||1<k2j H3:1d - {-1,0, l}kx1,其中 H1, H2 被看作为随机预言机,l<k<m, h满足2 ' ]^2100 i=i, 2 ;其中,k, I为正整数,m是中心映射方程的个数,η是变量的个数,q为安全素数,id为代理签名者的身份信息。
6.根据权利要求5所述的代理签名系统,其特征在于:在所述代理签名单元中,包括: 向量选择模块:用于选择两个向量;
第一计算模块:用于计算 C1=HjAy1, μ ) e {-1, O, l}k, C2=H2 (Ay2, μ) e {-1,0,1}1;
第二计算模块:用于计算Zl = S*Cl +y>e^, Z= W K ; 以?
7.根据权利要求5所述的代理签名系统,其特征在于:将两个随机预言机合并为一个随机预言机,其输出长度为原长度的和,H2: {O, I}* - {c:c e {-1,0, llk+1, I c I1Skh这里H2被看作为随机预言机,另一个Hash函数为H1:1d — {-1,0,1}kxl,其中l<k<m ; 在所述代理签名单元中,输入一个消息μ,代理者自己的私钥S1,代理签名密钥S2,在所述代理签名单元中包括: 向量选择单元:用于选择一个向量i5J ; 第一计算单元:用于计算C=H1 (Ay, μ ) e {-1, O, l}k+1 ; 第二计算单元:用于计算Z = (S1IIS2)CK;
8.根据权利要求5至7任一项所述的代理签名系统,其特征在于:在所述代理签名密钥生成单元中,原始签名者通过安全信道把代理签名密钥S2发送给代理者。
【文档编号】H04L9/32GK103986576SQ201410159014
【公开日】2014年8月13日 申请日期:2014年4月18日 优先权日:2014年4月18日
【发明者】曾捷 申请人:深圳大学