專利名稱:基于多變量公鑰密碼對消息匿名環(huán)簽名的方法
技術領域:
本發(fā)明屬于信息安全技術領域�����,涉及一種基于多變量公鑰密碼對消息匿名環(huán)簽名 的方法��。
背景技術:
2001年��,在如何匿名泄漏秘密的背景下��,Rivest等人提出了一種新型簽名技術��, 稱為環(huán)簽名(ring signature)��。環(huán)簽名可以被視為一種特殊的群簽名����,它沒有可信中心,沒 有群的建立過程����,這里的群是指由多個可能的簽名者組成的集合,也稱為環(huán)�。該環(huán)的建立具 有自發(fā)性,即環(huán)是由一個簽名者在不需要和其它人商量的情況下建立的��。對電子文檔的環(huán) 簽名是由一個簽名者代表環(huán)中全體成員簽署的�,但對于簽名驗證者來說簽名者是完全匿名 的。環(huán)簽名提供了一種匿名泄露秘密的巧妙方法����。環(huán)簽名的這種無條件匿名性在對信息需 要長期保護的一些特殊環(huán)境中非常有用。環(huán)簽名可以實現(xiàn)無條件匿名�����,即無法追蹤簽名人 的身份���。環(huán)簽名的這種無條件匿名性適用于信息需要長期保護的一些特殊環(huán)境����。環(huán)簽名引 起了廣泛關注,提出了各種環(huán)簽名方案��。2002年����,Abe等人提出了第一個基于有限域上離散 對數(shù)的環(huán)簽名方案。最近�,雙線性對被用來設計環(huán)簽名方案,然而��,雙線性對的運算效率很 低���。環(huán)簽名因其特有的性質��,如自發(fā)性、匿名性等��,使得它可以廣泛地應用在匿名電子 選舉����、機密信息的匿名泄漏、電子政務�����、電子商務、重要新聞的匿名發(fā)布及無線傳感器網(wǎng)絡 中的匿名認證�。下面簡要介紹幾種應用1)用于匿名泄漏信息。例如匿名舉報一個官員腐敗��,為了防止官員的報復行為�,保 護舉報者的隱私,舉報者可以對舉報電子文檔進行環(huán)簽名�。反貪局在獲得舉報信息的真實 性的同時還能不暴露舉報者的真實身份。這時就可以使用環(huán)簽名方案����。2)用于ad-hoc、無線傳感器網(wǎng)絡中的匿名認證�����。ad-hoc和無線傳感器網(wǎng)絡的無中 心���、自組織等特點與環(huán)簽名的構造有很多相似之處�。因此對于ad-hoc網(wǎng)絡中的諸多問題���, 如成員的匿名認證等�,往往要求參與實體的一方在應用過程中能夠保持自己身份的隱私 性,都可以應用環(huán)簽名來解決����。隨著量子計算機的出現(xiàn),利用量子計算機可以在多項式時間內(nèi)解決因子分解和離 散對數(shù)問題����,進而嚴重威脅到現(xiàn)有基于傳統(tǒng)密碼體制的環(huán)簽名的安全性。構造新的公鑰密 碼體制���,使其能夠替代基于數(shù)論的密碼體制����,抵御未來基于量子計算機的攻擊已經(jīng)迫在眉 睫�����。多變量公鑰密碼體制可以抵御量子計算機的攻擊�,而且比基于數(shù)論的方案在計算上更 有效,因此��,多變量公鑰密碼學的研究成為密碼學發(fā)展中很活躍的課題��。多變量公鑰密碼體制至今已經(jīng)經(jīng)歷了 20年的發(fā)展歷程����,出現(xiàn)了 MIA族、OV族�、HFE 族、TTM族����、MFE族、JC族等體制����。由于多變量公鑰密碼體制的安全性和效率更高,所以最 近得到了人們的廣泛關注�����。多變量密碼體制的發(fā)展為環(huán)簽名的研究提供了新的思路�,因為直到目前,還沒有 發(fā)現(xiàn)量子計算機對二次多變量方程組的求解有任何優(yōu)勢��。
到目前為止�����,已經(jīng)提出了各種環(huán)簽名方案����,但這些方案都是基于傳統(tǒng)密碼體制���,例 如RSA等。面對量子計算機的出現(xiàn)����,傳統(tǒng)密碼體制受到威脅,因此���,現(xiàn)有的環(huán)簽名體制在量 子計算下將不再安全����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于多變量公鑰密碼對消息匿名環(huán)簽名的方法���,解決現(xiàn) 有的環(huán)簽名體制在量子計算下不安全的缺陷����。本發(fā)明所采用的技術方案是��,基于多變量公鑰密碼對消息匿名環(huán)簽名的方法��,該 方法按照以下步驟實施步驟1.生成系統(tǒng)參數(shù)1)設置k = GF(q)是特征為ρ的有限域,其中q = ρ1�,1是一個正整數(shù)�����;2)令Κ = Α^Ι/〈4χ)〉是有限域k的η次擴張�,這里η是一個正整數(shù),g(x)是有限域 k上的一個η次不可約多項式����;3)令m為多變量方程組中方程的個數(shù),η為變量的個數(shù)��;4)選擇H {0����,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數(shù),系統(tǒng)參數(shù)為 (k, q, p, 1, m, η, H)�����;步驟2.密鑰生成1)假設環(huán)中有t個用戶����,設為U= {u, U1,…,ut_J ���;2)根據(jù)多變量公鑰密碼體制��,每個用戶Ui (0彡i彡t-Ι)選擇Fi是從kn到km的 可逆映射����,F(xiàn)i滿足a) Fi (χι; xn) = (fn,…,fim)�,其中 Aj e k[x1; ...,xn]�����,j = l�����,...�,m;b)任何方程Fi (xi;…,xn) = (y' 1�;…,y' J都易于求解�����;3)每個用戶Ui (0彡i彡t-Ι)選擇其中Lli是從km到km的隨機選擇的一個可逆仿 射變換,Lli (X1,…��,xm) = Mli · (X1, —, xm)T+an,其中Mli是有限域k上的一個mXm的可逆矩陣����,an是有限域k上的一個mX 1的 列向量�����;4)每個用戶Ui (0彡i彡t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變 換L2i (X1,…����,xn) = M2i · (X1, ...,xn)T+a2i����,其中M2i是有限域k上的一個nXn的可逆矩陣,a2i是有限域k上的一個nX 1的 列向量����;5)每個用戶Ui (0彡i彡t-Ι)公布其公鑰
權利要求
1.基于多變量公鑰密碼對消息匿名環(huán)簽名的方法,其特征在于��,該方法按照以下步驟 實施步驟1.生成系統(tǒng)參數(shù)1)設置k= GF(q)是特征為ρ的有限域��,其中Q = P1J是一個正整數(shù);2)令尤2*問/&(々〉是有限域k的η次擴張�����,這里η是一個正整數(shù)�,g(x)是有限域k上 的一個η次不可約多項式;3)令m為多變量方程組中方程的個數(shù)���,η為變量的個數(shù)���;4)選擇H {0,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數(shù)���,系統(tǒng)參數(shù)為(k���,q, ρ, 1, m, η, H);步驟2.密鑰生成1)假設環(huán)中有t個用戶��,設為U={U�����。���,Ul��,-,Ut^1I ��;2)根據(jù)多變量公鑰密碼體制�����,每個用戶Ui(0 < i < t-Ι)選擇Fi是從kn到km的可逆 映射�,F(xiàn)i滿足a)Fi (X1, ···, xn) = (fn,…�����,fim)����,其中 f?!?e k[x” ...,xn]���,j = l����,…,m;b)任何方程Fi (X1,…����,xn) = (y' 1;…�����,y' J 都易于求解�����;3)每個用戶Ui(0 < i < t-Ι)選擇其中Lli是從km到km的隨機選擇的一個可逆仿射變換�����,Lli (x1 ...����,xm) =Mli. (X1, ···, xm)T+an,其中Mli是有限域k上的一個mXm的可逆矩陣,an是有限域k上的一個mX 1的列向量�;4)每個用戶Ui(0≤i≤t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變換 L2Jx1,…,xn) = M2i · (X1,…��,xn)T+a2i,其中M2i是有限域k上的一個nXn的可逆矩陣���,a2i是有限域k上的一個nX 1的列向量��;5)每個用戶Ui(C)≤i≤t-Ι)公布其公鑰=Pi=L^FiOLli FXxl,-, Xn) = {fa,-Jim)其中每一個$都是k[Xl�����,…�,Xn]中的多項式;6)每個用戶Ui(0≤i≤t-Ι)保密其私鑰SKi = ILli, Fi, L2J ��;7)環(huán)中的t個用戶的公鑰集記為i= 步驟3.環(huán)簽名生成假設成員ιιπ (0≤π≤t-Ι)代表環(huán)成員中所有成員U = {u0, U1,…����,ut_J對消息 Me {0����,1}*進行簽名,環(huán)中的t個用戶的公鑰集記為Ζ = (^··,1)�,ιιπ的公鑰為私 鑰為SKn = {Lln,F(xiàn)n��,L2n}�,簽名者ιιπ計算環(huán)簽名的步驟如下 1)對于i = 0,1���,…���,t-Ι且i乒π�����,隨機選取巧e kn���,計算Ri=Fiiri)'若氏中有相同的,則重新選擇A �;2)計算h = _ L);3)計算 K=H-YjRi,i右π若Rjl和Ri相同��,則重新選擇r;4)計算5)輸出消息M關于環(huán)丄=(&月����,…,月的環(huán)簽名σ= (r0,ri; ."Iv1)����; 步驟4.環(huán)簽名的驗證給定環(huán)Z =(巧,月�����,…,I)的關于消息M的簽名σ = (r0,ri;…Iv1),任何驗證者驗證XF1(^) = ZZ(MIIZ)/■=0是否成立��,若等式成立��,則接受環(huán)簽名��,否則拒絕該環(huán)簽名��。
2.根據(jù)權利要求1所述的方法�,其特征在于,該方法步驟3中���,簽名者計算 尺=^g尺���、=j^。F;1���。A 從而使得消息M關于環(huán)的環(huán)簽名σ =(r0,ri;…Iv1)構成了一個可以驗證的封閉環(huán)滿足 f^ F^ri) = H^M \\ L).
全文摘要
本發(fā)明公開了一種基于多變量公鑰密碼對消息匿名環(huán)簽名的方法,該方法按照以下步驟實施����,生成系統(tǒng)參數(shù),密鑰生成��,環(huán)簽名生成,環(huán)簽名的驗證���?�;趥鹘y(tǒng)密碼體制的環(huán)簽名方法����,在量子計算機下其安全性受到威脅��,而本發(fā)明基于多變量公鑰密碼體制的環(huán)簽名方法解決了現(xiàn)有的環(huán)簽名體制在量子計算下不安全的缺陷��。本發(fā)明的方法既具有安全性又具有計算效率高的優(yōu)點���。
文檔編號H04L9/32GK102006165SQ201010544608
公開日2011年4月6日 申請日期2010年11月11日 優(yōu)先權日2010年11月11日
發(fā)明者張亞玲 申請人:西安理工大學