專利名稱:基于有限域上mq問題對消息匿名環(huán)簽名的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,涉及一種基于有限域上MQ問題對消息匿名環(huán)簽 名的方法。
背景技術(shù):
2001年,Rivest等人在如何匿名泄漏秘密的背景下提出了一種新型簽名技術(shù),稱 為環(huán)簽名(Ring Signature)。環(huán)簽名可以被視為一種特殊的群簽名,它沒有可信中心,沒 有群的建立過程,這里的群是指由多個可能的簽名者組成的集合,也稱為環(huán)。該環(huán)的建立具 有自發(fā)性,即環(huán)是由一個簽名者在不需要和其它人商量的情況下建立的。對電子文檔的環(huán) 簽名是由一個簽名者代表環(huán)中全體成員簽署的,但對于簽名驗證者來說簽名者是完全匿名 的。環(huán)簽名提供了一種匿名泄露秘密的巧妙方法。環(huán)簽名的這種無條件匿名性在對信息需 要長期保護的一些特殊環(huán)境中非常有用。環(huán)簽名可以實現(xiàn)無條件匿名,即無法追蹤簽名人 的身份。環(huán)簽名的這種無條件匿名性適用于信息需要長期保護的一些特殊環(huán)境。環(huán)簽名引 起了廣泛關(guān)注,提出了各種環(huán)簽名方案。2002年,Abe等人提出了第一個基于有限域上離 散對數(shù)的環(huán)簽名方案。最近,雙線性對被用來設(shè)計環(huán)簽名方案,然而雙線性對的運算效率很 低。環(huán)簽名因其特有的性質(zhì),如自發(fā)性、匿名性等,使得它可以廣泛地應(yīng)用在匿名電子 選舉、機密信息的匿名泄漏、電子政務(wù)、電子商務(wù)、重要新聞的匿名發(fā)布及無線傳感器網(wǎng)絡(luò) 中的匿名認可。下面簡要介紹幾種應(yīng)用1)用于匿名泄漏信息。例如匿名舉報一個官員腐敗,為了防止官員的報復行為,保 護舉報者的隱私,舉報者可以對舉報電子文檔進行環(huán)簽名。反貪局在獲得舉報信息的真實 性的同時還能不暴露舉報者的真實身份。這時就可以使用環(huán)簽名方案;2)用于ad-hoc、無線傳感器網(wǎng)絡(luò)中的匿名認證。ad-hoc和無線傳感器網(wǎng)絡(luò)的無中 心、自組織等特點與環(huán)簽名的構(gòu)造有很多相似之處。因此對于ad-hoc網(wǎng)絡(luò)中的諸多問題, 如成員的匿名認證等,往往要求參與實體的一方在應(yīng)用過程中能夠保持自己身份的隱私 性,都可以應(yīng)用環(huán)簽名來解決。隨著量子計算機的出現(xiàn),利用量子計算機可以在多項式時間內(nèi)解決因子分解和離 散對數(shù)問題,進而嚴重威脅到現(xiàn)有基于傳統(tǒng)密碼體制的這類環(huán)簽名的安全性。構(gòu)造新的公 鑰密碼體制,使其能夠替代基于數(shù)論的密碼體制,抵御未來基于量子計算機的攻擊已經(jīng)迫 在眉睫。多變量公鑰密碼體制可以抵御量子計算機的攻擊,而且比基于數(shù)論的方案在計算 上更有效,因此,多變量公鑰密碼學的研究成為密碼學發(fā)展中很活躍的課題。多變量公鑰密碼體制至今已經(jīng)經(jīng)歷了 20年的發(fā)展歷程,出現(xiàn)了 MIA族、OV族、HFE 族、TTM族、MFE族、IIC族等體制。由于多變量公鑰密碼體制的安全性和效率更高,所以最 近得到了人們的廣泛關(guān)注。多變量密碼體制的發(fā)展為環(huán)簽名的研究提供了新的思路,因為直到目前,還沒有 發(fā)現(xiàn)量子計算機對二次多變量方程組的求解有任何優(yōu)勢。
4
到目前為止,已經(jīng)提出了各種環(huán)簽名方案,但這些方案都是基于傳統(tǒng)密碼體制,例 如RSA等。面對量子計算機的出現(xiàn),傳統(tǒng)密碼體制受到威脅,因此,現(xiàn)有的環(huán)簽名體制在量 子計算下將不再安全。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于有限域上MQ問題對消息匿名環(huán)簽名的方法,解決 現(xiàn)有的環(huán)簽名體制在量子計算下不安全的缺陷。本發(fā)明所采用的技術(shù)方案是,基于有限域上MQ問題對消息匿名環(huán)簽名的方法,該 方法按照以下步驟實施步驟1.生成系統(tǒng)參數(shù)1)設(shè)置k = GF(q)是特征為ρ的有限域,其中q = ρ1,1是一個正整數(shù);2)令KdM/〈g(x)〉是有限域k的η次擴張,這里η是一個正整數(shù),g(x)是有限域 k上的一個η次不可約多項式;3)令m為多變量方程組中方程的個數(shù),η為變量的個數(shù);4)選擇H {0,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數(shù),系統(tǒng)參數(shù)為 (k, q, p, 1, m, η, H);步驟2.密鑰生成1)假設(shè)環(huán)中有t個用戶,設(shè)為U= {u0,ui;…,ut_J ;2)根據(jù)多變量公鑰密碼體制,每個用戶Ui (0≥i≥t-Ι)選擇Fi是從kn到km的 可逆映射,F(xiàn)i滿足a) Fi (χι; xn) = (fn,…,fim),其中 Aj e k[x1; ...,xn],j = l,...,m;b)任何方程Fi (xi;…,xn) = (y' 1;…,y' J都易于求解;3)每個用戶Ui (0≥i≥t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lli (X1, —, xm) = Mli (X1, —, xm)T+an,其中Mli是有限域k上的一個mXm的可逆矩陣,an有限域k上的一個mX 1的列
向量;4)每個用戶Ui (0≥i≥t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變 換L2i (X1, ···, xn) = M2i (x1 ...,xn)T+a2i,其中M2i是有限域k上的一個nXn的可逆矩陣,a2i有限域k上的一個nX 1的列向量;5)每個用戶 Ui (0 ≥ i ≥ t-Ι)公布其公鑰PKi =Fi=LliOFl。Z2iFi(X17-^n) = (Jiv-Jim)其中每一個冗都是k[Xl,…,xn]中的多項式;6)每個用戶Ui (0≥i≥t-Ι)保密其私鑰SKi = {Ln, Fi, L2J ;7)環(huán)中的t個用戶的公鑰集記為丄=(巧,月,…,
步驟3.環(huán)簽名生成設(shè)假設(shè)成員ιιπ (0彡π彡t-Ι)代表環(huán)成員中所有成員U = {Uo,Ul,... }對消 息Me {0,1}*進行簽名,環(huán)中的t個用戶的公鑰集記為i = (H-,D,un的公鑰為&, 私鑰為SKi = ILli, Fi, L2J,簽名者U11計算環(huán)簽名的步驟如下1)對 i = JI+1,…,t-l,0,…,JI-1,隨機選擇 Ai e kn, Ci e km,并且計算Ri= Ci + Fi(Aj) ekm ;
2)隨機選擇Rn e km(i = 0,…,t-1),并且計算
c = H(L,M,R0, ...Rh)) e km
C11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmAir=L^F;1 L^Rir-Cjd"若^與某個Ai相同,則返回(2),重新選取Rn e km;3)輸出消息M關(guān)于環(huán)丄=(巧,月,···,&,)的環(huán)簽名σ = (A0, c0, -,At^1, Ct^1);步驟4.環(huán)簽名的驗證給定消息M關(guān)于環(huán)^ =(巧,月,…,月的環(huán)簽名σ = (A0, c0,…,Aw,(V1),任何驗證 者驗證c0+··· + c(_i = H(L, Μ, C0 +F0(A0),--, c(_, + F,_x {At_x))是否成立,若等式成立,則接受環(huán)簽名,否則拒絕該環(huán)簽名。本發(fā)明的特點還在于,其中步驟3中,簽名者計算牟(凡-cJeF1,使消息M關(guān)于環(huán) 丄=(巧Λ···Λ,)的環(huán)簽名σ = (A0, c0,…,At_” (V1)構(gòu)成一個可驗證的封閉環(huán),滿足 C0 +--' + C^1 =H{L,M,c0 +^(^o),···,^!。基于傳統(tǒng)密碼體制的環(huán)簽名方法,在量子計算機下其安全性受到威脅,而本發(fā)明 基于有限域上MQ問題對消息匿名環(huán)簽名的方法在量子計算下是安全的,本發(fā)明的方法既 具有安全性又具有計算效率高的優(yōu)點。
具體實施例方式本發(fā)明所采用的技術(shù)方案是,基于有限域上MQ問題對消息匿名環(huán)簽名的方法,該 方法按照以下步驟實施步驟1.生成系統(tǒng)參數(shù)1)設(shè)置k = GF(q)是特征為ρ的有限域,其中q = ρ1,1是一個正整數(shù);2)令iCW[x]/〈g(x)〉是有限域k的η次擴張,這里η是一個正整數(shù),g(x)是有限域 k上的一個η次不可約多項式;3)令m為多變量方程組中方程的個數(shù),η為變量的個數(shù);4)選擇H {0,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數(shù);系統(tǒng)參數(shù)為(k,q,p,1,m, η, H)。步驟2.密鑰生成1)假設(shè)環(huán)中有t個用戶,設(shè)為U = {u0, U1,…,ut_J。2)根據(jù)多變量公鑰密碼體制,每個用戶Ui (0≤i≤t-Ι)選擇Fi是從kn到km的可逆映射,F(xiàn)i滿足a) Fi (χι;…,xn) = (fn,…,fim),其中 f。. e k[x1; ...,xn],j = l,...,m;b)任何方程Fi (χι;…,xn) = (y' 1;…,y' J都易于求解;3)每個用戶Ui (0彡i彡t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lli (X1, —, xm) = Mli (X1,—, xm)T+an
其中Mli是有限域k上的一個mXm的可逆矩陣,an是有限域k上的一個mX 1的 4)每個用戶Ui (0 < i < t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變
列向量。
換L2i (X1, ···, xn) = M2i (x1 ...,xn)T+a2i,其中M2i是有限域k上的一個nXn的可逆矩陣,a2i是有限域k上的一個nX 1的 列向量;
5)每個用戶Ui(C)彡i彡t-Ι)公布其公鑰=巧=Ai。巧。k
巧(w )=(Ζ” …,Zj其中每一個《都是k[Xl,…,xn]中的多項式;;6)每個用戶Ui (0彡i彡t-Ι)保密其私鑰SKi = {Ln, Fi, L2J ;7)環(huán)中的t個用戶的公鑰集記為1 =(巧,巧,···,^。步驟3.環(huán)簽名生成設(shè)假設(shè)成員ιιπ (0彡π彡t-Ι)代表環(huán)成員中所有成員U = {u0, U1,…,ut_J對 消息Me {0,1}*進行簽名,環(huán)中的t個用戶的公鑰集記為£ 巧,巧,.··,巧一 0,^的公鑰為 F,,私鑰為SKi = {Ln, Fi, L2J。簽名者U11計算環(huán)簽名的步驟如下1)對 i = JI+1,…,t-l,0,…,JI-1,隨機選擇 Ai e kn, Ci e km,并且計算Ri=Ci+ Fi(Al) e km ;2)隨機選擇e km(i = 0,…,t-1),并且計算c = H(L, Μ, R0, -Rt^1)) e km
=c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^LtF-'L^-c^^k"若^與某個Ai相同,則返回(2),重新選取Rn e km;3)輸出消息M關(guān)于環(huán)Z =(巧,巧,-",I1)的環(huán)簽名σ = (A0, c0,…,At_1; Cw)。步驟4.環(huán)簽名的驗證給定環(huán)Z = (F。,巧,···,U的關(guān)于消息M的環(huán)簽名σ = (A0, c0,…,Ah,(V1),任 何驗證者驗證C0 +··· + = H(L, Μ, C0 +F0(A0),■··, c(_! + Ft^ {At_x))是否成立。若等式成立,則接受環(huán)簽名,否則拒絕該環(huán)簽名。下面分別對本發(fā)明的基于多變量公鑰密碼體制的環(huán)簽名的完備性、匿名性和不可 偽造性進行分析
7
正確性本發(fā)明所提出的基于多變量的環(huán)簽名是正確的。設(shè)接收方收到消息M的關(guān)于環(huán)Ζ 巧,巧,···,υ簽名σ = (Atl, Ctl,…,Aw(V1), 若該簽名是按如上步驟進行,并且在傳輸?shù)倪^程中沒有改變,則驗證式C0+-- + c(_! = H(L, Μ, C0 + 艽(Λ ),…,c(_! + Ft_x (At_,))成立。由4= L-^LlIiRic-cj e k",得到巧(4)= ^-Cjr,所以及產(chǎn)Ci+巧(0彡 i 彡 t-1),代入c = H(L,Μ, R0, ...Rh),得到c = H(L,Μ,C0 +F0(A0),--,ct_} + Ft_,)),因為c=。+..^-^^+^^+...+、》,即C0 + · · · + = H(L, Μ, C0 + F0 (^0), · · ·, +Ld))) ο 簽名者匿名性本發(fā)明所提出的基于多變量的環(huán)簽名滿足簽名人無條件匿名性。設(shè)消息M關(guān)于環(huán)1 =(巧,月,…,I1)的環(huán)簽名σ = (A0, C0,…,At_i,Ct^1,)是一個有 效簽名,根據(jù)簽名的生成過程,所有的Ui是環(huán)中的一個成員,Ui按生成環(huán)簽名的過程對消息 M進行環(huán)簽名,根據(jù)簽名的生成過程,所有的Ai, Ci (i = 0,…,π-1,π+1,…,t-1)都是 隨機選取的,而且Rn e km也是隨機選取的,因 也是km上的一 個隨機值,由于 二廣^+…+ 一 +廣…+、》e『是『上完全隨機的一個值,因此環(huán) 簽名σ = (A0, c0,…,Am, Cw,)中Ai, Ci (i = 0,…,t-Ι)所有這些值被簽名生成算法 以相等的概率選擇,且與簽名者無關(guān)。所以即便是外部攻擊者非法獲得了所有簽名者的私
鑰,群中元素為t個元素,它能確定出真正的簽名者的概率為丨,因此沒有任何優(yōu)勢,簽名人
是無條件匿名的。 環(huán)簽名不可偽造性本發(fā)明提出的基于多變量多項式的環(huán)簽名方案關(guān)于多變量公鑰密碼體制(MPKC) 已知攻擊是不可偽造的,如果在MPKC中已知攻擊下,環(huán)簽名方案中所選的多變量簽名體制 是安全的。這里MPKC中已知攻擊包括代數(shù)攻擊,線性化攻擊,秩攻擊和差分攻擊等。證明假設(shè)由生成算法生成的密鑰對卩/^;.,^/^)丨;^和公鑰集5 ={(P《)丨;^)發(fā)送
給攻擊者A。A可以利用MPKC中已知攻擊,如代數(shù)攻擊,線性化攻擊,秩攻擊,差分攻擊等 等。A輸出0f,M*,(O,如果^^ (^"SP) = 成立,攻擊成功。在這個過程中,A不能詢
問(*,M*,(O,并且們G S。我們現(xiàn)在分析A輸出偽造的環(huán)簽名(R*,M*,(O的計算復雜度。 我們假設(shè)攻擊者A模仿簽名者Un偽造關(guān)于環(huán)R*的環(huán)簽名(R*,M*, σ *),不是一般性,假設(shè) 及'={巧,巧,一,月}。攻擊者4按照環(huán)簽名生成中步驟1),2)進行計算,但是為了偽造某個消 息M的簽名,需要通過求得Απ,滿足[ο 川]Ψπ{Απ) = K來偽造環(huán)簽名σ = (A0, C0,...,‘ ,)。這個問題的求解屬于有限域上多變 量二次多項式方程組的求解問題,也是多變量公鑰密碼體制所基于的困難問題。目前對多 變量公鑰密碼體制的攻擊有以下幾個方法1)直接代數(shù)攻擊針對多變量公鑰密碼體制的代數(shù)攻擊是指在不知道私鑰的情 況下直接從二次方程
權(quán)利要求
1.基于有限域上MQ問題對消息匿名環(huán)簽名的方法,其特征在于,該方法按照以下步驟 實施步驟1.生成系統(tǒng)參數(shù)1)設(shè)置k= GF(q)是特征為ρ的有限域,其中Q = P1J是一個正整數(shù);2)令是有限域k的η次擴張,這里η是一個正整數(shù),g(x)是有限域k上 的一個η次不可約多項式;3)令m為多變量方程組中方程的個數(shù),η為變量的個數(shù);4)選擇H {0,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數(shù),系統(tǒng)參數(shù)為(k,q, ρ, 1, m, η, H);步驟2.密鑰生成1)假設(shè)環(huán)中有t個用戶,設(shè)為U={U。,Ul,-,Ut^1I ;2)根據(jù)多變量公鑰密碼體制,每個用戶Ui(0 < i < t-Ι)選擇Fi是從kn到km的可逆 映射,F(xiàn)i滿足a)Fi (X1, ···, xn) = (fn,…,fim),其中 f?!?e k[x” ...,xn],j = l,…,m;b)任何方程Fi (X1,…,xn) = (y' 1;…,y' J 都易于求解;3)每個用戶Ui(0 < i < t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lii (Χι, “,Xm^ — Mli (X1J " ,Xm) +X1"其中Mli是有限域k上的一個mXm的可逆矩陣,aii有限域k上的一個mX 1的列向量;4)每個用戶Ui(0彡i彡t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變換 L2Jx1,…,xn) = M2Jx1,…,xn)T+a2i,其中M2i是有限域k上的一個nXn的可逆矩陣,a2i有限域k上的一個nX 1的列向量;5)每個用戶Ui(C)彡i彡t-Ι)公布其公鑰Mi=巧=Ai。巧。A,F^xv xn) = (f,v··-Jim)其中每一個《都是k[Xl,…,Xn]中的多項式;6)每個用戶Ui(0彡i彡t-Ι)保密其私鑰SKi = ILli, Fi, L2J ;7)環(huán)中的t個用戶的公鑰集記為“0,月,···,^; 步驟3.環(huán)簽名生成設(shè)假設(shè)成員ιιπ (0 < π < t-1)代表環(huán)成員中所有成員U = {u0, U1,…,ut_J對消息 Me {0,1}*進行簽名,環(huán)中的t個用戶的公鑰集記為i = (H__,D,un的公鑰為私鑰 為SKi = ILli,F(xiàn)i,L2J,簽名者uπ計算環(huán)簽名的步驟如下1)對i=Ji+l,…,t-l,0,…,π-1,隨機選擇Aie kn,Ci e km,并且計算 Ri=C^Fi(Ai)Skm;2)隨機選擇Rne km(i = 0,…,t-Ι),并且計算c = H(L,M,R0, ...Rh)) e kmC11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^ L^miRx-Cjekn若1與某個Ai相同,則返回(2),重新選取R11 e km;3)輸出消息M關(guān)于環(huán)i =(巧,月,…,月的環(huán)簽名σ = (A0, c0,…,At^(V1);步驟4.環(huán)簽名的驗證給定消息M關(guān)于環(huán)i = 巧,…,月的環(huán)簽名ο = (A0, C0,…,Ah,(V1),任何驗證者驗證C0 +··· + ct_x = H(L, Μ, C0 + F0(A0),■■·, c(_! + Ft_x (At^l))是否成立,若等式成立,則接受環(huán)簽名,否則拒絕該環(huán)簽名。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,該方法步驟3中,簽名 者計算牟=CGi坨A:",使消息M關(guān)于環(huán)i = 的環(huán)簽名σ = (A0, c0,…,Ah,(V1)構(gòu)成一個可驗證的封閉環(huán),滿足 C0 +-" + ^1 = H(L,Μ,C0 +F0(A0),---,C^1 + F,_x(At^l))。
全文摘要
本發(fā)明公開了一種基于有限域上MQ問題對消息匿名環(huán)簽名的方法,該方法按照以下步驟實施,生成系統(tǒng)參數(shù),密鑰生成,環(huán)簽名生成,環(huán)簽名的驗證。基于傳統(tǒng)密碼體制的環(huán)簽名方法,在量子計算機下其安全性受到威脅,而本發(fā)明基于多變量公鑰密碼體制的環(huán)簽名方法解決了現(xiàn)有的環(huán)簽名體制在量子計算下不安全的缺陷。本發(fā)明的方法既具有安全性又具有計算效率高的優(yōu)點。
文檔編號H04L9/32GK102006170SQ201010544669
公開日2011年4月6日 申請日期2010年11月11日 優(yōu)先權(quán)日2010年11月11日
發(fā)明者劉漢鵬, 王尚平 申請人:西安理工大學