專利名稱:基于有限域上mq問題對消息匿名環(huán)簽名的方法
技術領域:
本發(fā)明屬于信息安全技術領域�����,涉及一種基于有限域上MQ問題對消息匿名環(huán)簽 名的方法�����。
背景技術:
2001年���,Rivest等人在如何匿名泄漏秘密的背景下提出了一種新型簽名技術,稱 為環(huán)簽名(Ring Signature)����。環(huán)簽名可以被視為一種特殊的群簽名�,它沒有可信中心�,沒 有群的建立過程,這里的群是指由多個可能的簽名者組成的集合�����,也稱為環(huán)�����。該環(huán)的建立具 有自發(fā)性�����,即環(huán)是由一個簽名者在不需要和其它人商量的情況下建立的���。對電子文檔的環(huán) 簽名是由一個簽名者代表環(huán)中全體成員簽署的��,但對于簽名驗證者來說簽名者是完全匿名 的��。環(huán)簽名提供了一種匿名泄露秘密的巧妙方法�����。環(huán)簽名的這種無條件匿名性在對信息需 要長期保護的一些特殊環(huán)境中非常有用���。環(huán)簽名可以實現無條件匿名��,即無法追蹤簽名人 的身份�。環(huán)簽名的這種無條件匿名性適用于信息需要長期保護的一些特殊環(huán)境��。環(huán)簽名引 起了廣泛關注���,提出了各種環(huán)簽名方案。2002年���,Abe等人提出了第一個基于有限域上離 散對數的環(huán)簽名方案���。最近,雙線性對被用來設計環(huán)簽名方案�����,然而雙線性對的運算效率很 低�。環(huán)簽名因其特有的性質,如自發(fā)性�����、匿名性等,使得它可以廣泛地應用在匿名電子 選舉��、機密信息的匿名泄漏��、電子政務��、電子商務���、重要新聞的匿名發(fā)布及無線傳感器網絡 中的匿名認可�。下面簡要介紹幾種應用1)用于匿名泄漏信息����。例如匿名舉報一個官員腐敗,為了防止官員的報復行為��,保 護舉報者的隱私��,舉報者可以對舉報電子文檔進行環(huán)簽名����。反貪局在獲得舉報信息的真實 性的同時還能不暴露舉報者的真實身份。這時就可以使用環(huán)簽名方案����;2)用于ad-hoc����、無線傳感器網絡中的匿名認證�。ad-hoc和無線傳感器網絡的無中 心、自組織等特點與環(huán)簽名的構造有很多相似之處����。因此對于ad-hoc網絡中的諸多問題, 如成員的匿名認證等���,往往要求參與實體的一方在應用過程中能夠保持自己身份的隱私 性����,都可以應用環(huán)簽名來解決��。隨著量子計算機的出現���,利用量子計算機可以在多項式時間內解決因子分解和離 散對數問題,進而嚴重威脅到現有基于傳統(tǒng)密碼體制的這類環(huán)簽名的安全性��。構造新的公 鑰密碼體制���,使其能夠替代基于數論的密碼體制�����,抵御未來基于量子計算機的攻擊已經迫 在眉睫�����。多變量公鑰密碼體制可以抵御量子計算機的攻擊���,而且比基于數論的方案在計算 上更有效�,因此�����,多變量公鑰密碼學的研究成為密碼學發(fā)展中很活躍的課題���。多變量公鑰密碼體制至今已經經歷了 20年的發(fā)展歷程��,出現了 MIA族���、OV族、HFE 族����、TTM族�����、MFE族����、IIC族等體制�。由于多變量公鑰密碼體制的安全性和效率更高,所以最 近得到了人們的廣泛關注���。多變量密碼體制的發(fā)展為環(huán)簽名的研究提供了新的思路����,因為直到目前���,還沒有 發(fā)現量子計算機對二次多變量方程組的求解有任何優(yōu)勢����。
4
到目前為止��,已經提出了各種環(huán)簽名方案��,但這些方案都是基于傳統(tǒng)密碼體制�����,例 如RSA等����。面對量子計算機的出現,傳統(tǒng)密碼體制受到威脅���,因此����,現有的環(huán)簽名體制在量 子計算下將不再安全�����。
發(fā)明內容
本發(fā)明的目的是提供一種基于有限域上MQ問題對消息匿名環(huán)簽名的方法����,解決 現有的環(huán)簽名體制在量子計算下不安全的缺陷。本發(fā)明所采用的技術方案是�,基于有限域上MQ問題對消息匿名環(huán)簽名的方法,該 方法按照以下步驟實施步驟1.生成系統(tǒng)參數1)設置k = GF(q)是特征為ρ的有限域�����,其中q = ρ1,1是一個正整數���;2)令KdM/〈g(x)〉是有限域k的η次擴張�����,這里η是一個正整數���,g(x)是有限域 k上的一個η次不可約多項式;3)令m為多變量方程組中方程的個數���,η為變量的個數����;4)選擇H {0�,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數,系統(tǒng)參數為 (k, q, p, 1, m, η, H)���;步驟2.密鑰生成1)假設環(huán)中有t個用戶���,設為U= {u0,ui;…,ut_J ��;2)根據多變量公鑰密碼體制���,每個用戶Ui (0≥i≥t-Ι)選擇Fi是從kn到km的 可逆映射���,Fi滿足a) Fi (χι; xn) = (fn,…,fim)��,其中 Aj e k[x1; ...�����,xn]�,j = l,...����,m;b)任何方程Fi (xi;…,xn) = (y' 1��;…�,y' J都易于求解;3)每個用戶Ui (0≥i≥t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lli (X1, —, xm) = Mli (X1, —, xm)T+an,其中Mli是有限域k上的一個mXm的可逆矩陣,an有限域k上的一個mX 1的列
向量�����;4)每個用戶Ui (0≥i≥t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變 換L2i (X1, ···, xn) = M2i (x1 ...���,xn)T+a2i�����,其中M2i是有限域k上的一個nXn的可逆矩陣�,a2i有限域k上的一個nX 1的列向量���;5)每個用戶 Ui (0 ≥ i ≥ t-Ι)公布其公鑰PKi =Fi=LliOFl���。Z2iFi(X17-^n) = (Jiv-Jim)其中每一個冗都是k[Xl,…�,xn]中的多項式;6)每個用戶Ui (0≥i≥t-Ι)保密其私鑰SKi = {Ln, Fi, L2J �����;7)環(huán)中的t個用戶的公鑰集記為丄=(巧��,月,…����,
步驟3.環(huán)簽名生成設假設成員ιιπ (0彡π彡t-Ι)代表環(huán)成員中所有成員U = {Uo��,Ul�����,... }對消 息Me {0��,1}*進行簽名���,環(huán)中的t個用戶的公鑰集記為i = (H-�����,D�,un的公鑰為&�����, 私鑰為SKi = ILli, Fi, L2J���,簽名者U11計算環(huán)簽名的步驟如下1)對 i = JI+1,…��,t-l�����,0���,…����,JI-1���,隨機選擇 Ai e kn, Ci e km�,并且計算Ri= Ci + Fi(Aj) ekm �;
2)隨機選擇Rn e km(i = 0,…�����,t-1)�,并且計算
c = H(L,M����,R0, ...Rh)) e km
C11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmAir=L^F;1 L^Rir-Cjd"若^與某個Ai相同����,則返回(2)��,重新選取Rn e km���;3)輸出消息M關于環(huán)丄=(巧,月��,···,&,)的環(huán)簽名σ = (A0, c0, -,At^1, Ct^1)�����;步驟4.環(huán)簽名的驗證給定消息M關于環(huán)^ =(巧,月��,…�,月的環(huán)簽名σ = (A0, c0,…,Aw����,(V1),任何驗證 者驗證c0+··· + c(_i = H(L, Μ, C0 +F0(A0),--, c(_, + F,_x {At_x))是否成立�,若等式成立���,則接受環(huán)簽名,否則拒絕該環(huán)簽名�����。本發(fā)明的特點還在于���,其中步驟3中�����,簽名者計算牟(凡-cJeF1���,使消息M關于環(huán) 丄=(巧Λ···Λ,)的環(huán)簽名σ = (A0, c0,…,At_” (V1)構成一個可驗證的封閉環(huán)���,滿足 C0 +--' + C^1 =H{L,M,c0 +^(^o),···,^!�?��;趥鹘y(tǒng)密碼體制的環(huán)簽名方法��,在量子計算機下其安全性受到威脅�����,而本發(fā)明 基于有限域上MQ問題對消息匿名環(huán)簽名的方法在量子計算下是安全的�,本發(fā)明的方法既 具有安全性又具有計算效率高的優(yōu)點。
具體實施例方式本發(fā)明所采用的技術方案是���,基于有限域上MQ問題對消息匿名環(huán)簽名的方法�����,該 方法按照以下步驟實施步驟1.生成系統(tǒng)參數1)設置k = GF(q)是特征為ρ的有限域�����,其中q = ρ1,1是一個正整數��;2)令iCW[x]/〈g(x)〉是有限域k的η次擴張�,這里η是一個正整數,g(x)是有限域 k上的一個η次不可約多項式��;3)令m為多變量方程組中方程的個數�����,η為變量的個數;4)選擇H {0����,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數;系統(tǒng)參數為(k,q����,p,1�����,m, η, H)�����。步驟2.密鑰生成1)假設環(huán)中有t個用戶�,設為U = {u0, U1,…,ut_J��。2)根據多變量公鑰密碼體制�����,每個用戶Ui (0≤i≤t-Ι)選擇Fi是從kn到km的可逆映射�����,Fi滿足a) Fi (χι;…,xn) = (fn��,…�����,fim)�����,其中 f��。. e k[x1; ...��,xn]��,j = l�����,...���,m;b)任何方程Fi (χι;…����,xn) = (y' 1�����;…�,y' J都易于求解;3)每個用戶Ui (0彡i彡t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lli (X1, —, xm) = Mli (X1,—, xm)T+an
其中Mli是有限域k上的一個mXm的可逆矩陣��,an是有限域k上的一個mX 1的 4)每個用戶Ui (0 < i < t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變
列向量�。
換L2i (X1, ···, xn) = M2i (x1 ...,xn)T+a2i��,其中M2i是有限域k上的一個nXn的可逆矩陣��,a2i是有限域k上的一個nX 1的 列向量�;
5)每個用戶Ui(C)彡i彡t-Ι)公布其公鑰=巧=Ai。巧�����。k
巧(w )=(Ζ” …��,Zj其中每一個《都是k[Xl,…�����,xn]中的多項式��;��;6)每個用戶Ui (0彡i彡t-Ι)保密其私鑰SKi = {Ln, Fi, L2J �����;7)環(huán)中的t個用戶的公鑰集記為1 =(巧,巧,···����,^。步驟3.環(huán)簽名生成設假設成員ιιπ (0彡π彡t-Ι)代表環(huán)成員中所有成員U = {u0, U1,…,ut_J對 消息Me {0,1}*進行簽名�����,環(huán)中的t個用戶的公鑰集記為£ 巧���,巧,.··,巧一 0���,^的公鑰為 F,�,私鑰為SKi = {Ln, Fi, L2J。簽名者U11計算環(huán)簽名的步驟如下1)對 i = JI+1,…����,t-l,0���,…��,JI-1���,隨機選擇 Ai e kn, Ci e km,并且計算Ri=Ci+ Fi(Al) e km ����;2)隨機選擇e km(i = 0,…�,t-1),并且計算c = H(L, Μ, R0, -Rt^1)) e km
=c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^LtF-'L^-c^^k"若^與某個Ai相同����,則返回(2),重新選取Rn e km�����;3)輸出消息M關于環(huán)Z =(巧,巧,-",I1)的環(huán)簽名σ = (A0, c0,…�,At_1; Cw)。步驟4.環(huán)簽名的驗證給定環(huán)Z = (F�����。,巧����,···,U的關于消息M的環(huán)簽名σ = (A0, c0,…,Ah�����,(V1)����,任 何驗證者驗證C0 +··· + = H(L, Μ, C0 +F0(A0),■··, c(_! + Ft^ {At_x))是否成立。若等式成立���,則接受環(huán)簽名����,否則拒絕該環(huán)簽名��。下面分別對本發(fā)明的基于多變量公鑰密碼體制的環(huán)簽名的完備性���、匿名性和不可 偽造性進行分析
7
正確性本發(fā)明所提出的基于多變量的環(huán)簽名是正確的�。設接收方收到消息M的關于環(huán)Ζ 巧�,巧,···�����,υ簽名σ = (Atl, Ctl�,…,Aw(V1), 若該簽名是按如上步驟進行����,并且在傳輸的過程中沒有改變,則驗證式C0+-- + c(_! = H(L, Μ, C0 + 艽(Λ )�,…,c(_! + Ft_x (At_,))成立。由4= L-^LlIiRic-cj e k"�,得到巧(4)= ^-Cjr,所以及產Ci+巧(0彡 i 彡 t-1),代入c = H(L�����,Μ, R0, ...Rh),得到c = H(L,Μ,C0 +F0(A0),--,ct_} + Ft_,))���,因為c=��。+..^-^^+^^+...+��、》�,即C0 + · · · + = H(L, Μ, C0 + F0 (^0), · · ·, +Ld))) ο 簽名者匿名性本發(fā)明所提出的基于多變量的環(huán)簽名滿足簽名人無條件匿名性���。設消息M關于環(huán)1 =(巧,月����,…,I1)的環(huán)簽名σ = (A0, C0,…����,At_i,Ct^1,)是一個有 效簽名�����,根據簽名的生成過程�����,所有的Ui是環(huán)中的一個成員,Ui按生成環(huán)簽名的過程對消息 M進行環(huán)簽名����,根據簽名的生成過程����,所有的Ai, Ci (i = 0,…�����,π-1����,π+1,…��,t-1)都是 隨機選取的�,而且Rn e km也是隨機選取的,因 也是km上的一 個隨機值�,由于 二廣^+…+ 一 +廣…+、》e『是『上完全隨機的一個值�,因此環(huán) 簽名σ = (A0, c0,…,Am, Cw,)中Ai, Ci (i = 0���,…����,t-Ι)所有這些值被簽名生成算法 以相等的概率選擇,且與簽名者無關���。所以即便是外部攻擊者非法獲得了所有簽名者的私
鑰����,群中元素為t個元素����,它能確定出真正的簽名者的概率為丨,因此沒有任何優(yōu)勢�,簽名人
是無條件匿名的。 環(huán)簽名不可偽造性本發(fā)明提出的基于多變量多項式的環(huán)簽名方案關于多變量公鑰密碼體制(MPKC) 已知攻擊是不可偽造的����,如果在MPKC中已知攻擊下,環(huán)簽名方案中所選的多變量簽名體制 是安全的��。這里MPKC中已知攻擊包括代數攻擊�,線性化攻擊,秩攻擊和差分攻擊等。證明假設由生成算法生成的密鑰對卩/^���;.�����,^/^)丨;^和公鑰集5 ={(P《)丨;^)發(fā)送
給攻擊者A�����。A可以利用MPKC中已知攻擊,如代數攻擊�����,線性化攻擊�����,秩攻擊���,差分攻擊等 等����。A輸出0f���,M*��,(O����,如果^^ (^"SP) = 成立,攻擊成功����。在這個過程中,A不能詢
問(*��,M*���,(O���,并且們G S。我們現在分析A輸出偽造的環(huán)簽名(R*����,M*,(O的計算復雜度�。 我們假設攻擊者A模仿簽名者Un偽造關于環(huán)R*的環(huán)簽名(R*,M*, σ *),不是一般性�,假設 及'={巧,巧����,一,月}��。攻擊者4按照環(huán)簽名生成中步驟1)����,2)進行計算,但是為了偽造某個消 息M的簽名�,需要通過求得Απ,滿足[ο 川]Ψπ{Απ) = K來偽造環(huán)簽名σ = (A0, C0,...�����,‘ �����,)���。這個問題的求解屬于有限域上多變 量二次多項式方程組的求解問題,也是多變量公鑰密碼體制所基于的困難問題。目前對多 變量公鑰密碼體制的攻擊有以下幾個方法1)直接代數攻擊針對多變量公鑰密碼體制的代數攻擊是指在不知道私鑰的情 況下直接從二次方程
權利要求
1.基于有限域上MQ問題對消息匿名環(huán)簽名的方法���,其特征在于�����,該方法按照以下步驟 實施步驟1.生成系統(tǒng)參數1)設置k= GF(q)是特征為ρ的有限域�,其中Q = P1J是一個正整數��;2)令是有限域k的η次擴張�,這里η是一個正整數,g(x)是有限域k上 的一個η次不可約多項式�;3)令m為多變量方程組中方程的個數,η為變量的個數�;4)選擇H {0,1}* — km為密碼學安全的抗碰撞單向不可逆哈希函數���,系統(tǒng)參數為(k��,q, ρ, 1, m, η, H)�;步驟2.密鑰生成1)假設環(huán)中有t個用戶�����,設為U={U。�,Ul,-,Ut^1I �;2)根據多變量公鑰密碼體制,每個用戶Ui(0 < i < t-Ι)選擇Fi是從kn到km的可逆 映射����,Fi滿足a)Fi (X1, ···, xn) = (fn,…,fim)���,其中 f��?����!?e k[x” ...��,xn],j = l�,…,m;b)任何方程Fi (X1,…�����,xn) = (y' 1;…���,y' J 都易于求解�����;3)每個用戶Ui(0 < i < t-Ι)隨機選擇Lli是從km到km的一個可逆仿射變換Lii (Χι��, “����,Xm^ — Mli (X1J " ��,Xm) +X1"其中Mli是有限域k上的一個mXm的可逆矩陣����,aii有限域k上的一個mX 1的列向量;4)每個用戶Ui(0彡i彡t-Ι)選擇L2i是從kn到kn的隨機選擇的一個可逆仿射變換 L2Jx1,…�,xn) = M2Jx1,…,xn)T+a2i,其中M2i是有限域k上的一個nXn的可逆矩陣�,a2i有限域k上的一個nX 1的列向量;5)每個用戶Ui(C)彡i彡t-Ι)公布其公鑰Mi=巧=Ai��。巧����。A,F^xv xn) = (f,v··-Jim)其中每一個《都是k[Xl��,…����,Xn]中的多項式�����;6)每個用戶Ui(0彡i彡t-Ι)保密其私鑰SKi = ILli, Fi, L2J ����;7)環(huán)中的t個用戶的公鑰集記為“0,月,···,^; 步驟3.環(huán)簽名生成設假設成員ιιπ (0 < π < t-1)代表環(huán)成員中所有成員U = {u0, U1,…���,ut_J對消息 Me {0����,1}*進行簽名��,環(huán)中的t個用戶的公鑰集記為i = (H__,D�,un的公鑰為私鑰 為SKi = ILli���,Fi����,L2J,簽名者uπ計算環(huán)簽名的步驟如下1)對i=Ji+l���,…�����,t-l�����,0�����,…�����,π-1�,隨機選擇Aie kn���,Ci e km�,并且計算 Ri=C^Fi(Ai)Skm;2)隨機選擇Rne km(i = 0,…�����,t-Ι)�����,并且計算c = H(L��,M�����,R0, ...Rh)) e kmC11 = c-(c0+-"+cII_1+cII+1+---+ct_1) e kmA^ L^miRx-Cjekn若1與某個Ai相同�����,則返回(2)�����,重新選取R11 e km;3)輸出消息M關于環(huán)i =(巧,月,…,月的環(huán)簽名σ = (A0, c0,…�����,At^(V1)����;步驟4.環(huán)簽名的驗證給定消息M關于環(huán)i = 巧��,…�,月的環(huán)簽名ο = (A0, C0,…,Ah,(V1)�����,任何驗證者驗證C0 +··· + ct_x = H(L, Μ, C0 + F0(A0),■■·, c(_! + Ft_x (At^l))是否成立��,若等式成立���,則接受環(huán)簽名��,否則拒絕該環(huán)簽名����。
2.根據權利要求1所述的方法,其特征在于���,該方法步驟3中��,簽名 者計算牟=CGi坨A:"�,使消息M關于環(huán)i = 的環(huán)簽名σ = (A0, c0,…���,Ah�����,(V1)構成一個可驗證的封閉環(huán)�,滿足 C0 +-" + ^1 = H(L,Μ,C0 +F0(A0),---,C^1 + F,_x(At^l))���。
全文摘要
本發(fā)明公開了一種基于有限域上MQ問題對消息匿名環(huán)簽名的方法��,該方法按照以下步驟實施���,生成系統(tǒng)參數,密鑰生成�,環(huán)簽名生成,環(huán)簽名的驗證��。基于傳統(tǒng)密碼體制的環(huán)簽名方法����,在量子計算機下其安全性受到威脅,而本發(fā)明基于多變量公鑰密碼體制的環(huán)簽名方法解決了現有的環(huán)簽名體制在量子計算下不安全的缺陷�。本發(fā)明的方法既具有安全性又具有計算效率高的優(yōu)點。
文檔編號H04L9/32GK102006170SQ201010544669
公開日2011年4月6日 申請日期2010年11月11日 優(yōu)先權日2010年11月11日
發(fā)明者劉漢鵬, 王尚平 申請人:西安理工大學