基于有限域上二次多变量问题对消息匿名环签名的方法.pdf

摘要
申请专利号：	CN201010544666.5	申请日：	2010.11.11
公开号：	CN102006169A	公开日：	2011.04.06
当前法律状态：	终止	有效性：	无权
法律详情：	未缴年费专利权终止IPC(主分类):H04L 9/32申请日:20101111授权公告日:20120905终止日期:20141111\|\|\|授权\|\|\|实质审查的生效IPC(主分类):H04L 9/32申请日:20101111\|\|\|公开
IPC分类号：	H04L9/32; H04L9/30; H04L9/08	主分类号：	H04L9/32
申请人：	西安理工大学
发明人：	王尚平; 刘玉霞
地址：	710048 陕西省西安市金花南路5号
优先权：
专利代理机构：	西安弘理专利事务所 61214	代理人：	罗笛
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

权利要求书

1.基于有限域上二次多变量问题对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：步骤1.生成系统参数1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，k是一个正整数；2)令是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；3)令m为多变量方程组中方程的个数，n为变量的个数；4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；步骤2.密钥生成1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；2)根据多变量公钥密码体制，每个用户u_i(0≤i≤u-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；b)任何方程F_i(x₁，…，x_n)＝(y′₁，…，y′_m)都易于求解；3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；5)每个用户u_i(0≤i≤t-1)公布其公钥F‾i(x1,···,xn)=(f‾i1,···,f‾im)]]>其中每一个都是k[x₁，…，x_n]中的多项式；6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；7)环中的t个用户的公钥集记为步骤3.环签名生成假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为u_π的公钥为私钥为SK_π＝{L_1π，F_π，L_2π}，签名者u_π计算环签名的步骤如下：1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算Ri=F‾i(ri);]]>2)随机选取r∈kⁿ，计算h=H(M||L||r+Σi≠πri);]]>3)计算Rπ=h-Σi≠πRi;]]>4)计算若r_π与r_i相同，则重新选取r；5)令V＝r-r_π；6)输出消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)；步骤4.环签名的验证给定环关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证Σi=0t-1F‾i(ri)=H(M||L||Σi=0t-1ri+V)]]>是否成立，若等式成立，则接受环签名，否则拒绝该环签名。2.根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算从而使得消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)构成了一个可以验证的封闭环。

说明书

基于有限域上二次多变量问题对消息匿名环签名的方法

技术领域

本发明属于信息安全技术领域，涉及一种基于有限域上二次多变量问题对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。随后，环签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。

2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有这类基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于有限域上二次多变量问题对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

F‾i(x1,···,xn)=(f‾i1,···,f‾im)]]>

其中每一个都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为u_π的公钥为私钥为SK_π＝{L_1π，F_π，L_2π}，签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

Ri=F‾i(ri);]]>

2)随机选取r∈kⁿ，计算

h=H(M||L||r+Σi≠πri);]]>

3)计算

Rπ=h-Σi≠πRi;]]>

4)计算

若r_π与r_i相同，则重新选取r；

5)令

V＝r-r_π；

6)输出消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)；

步骤4.环签名的验证

给定环关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证

Σi=0t-1F‾i(ri)=H(M||L||Σi=0t-1ri+V)]]>

是否成立，若等式成立，则接受环签名，否则拒绝该环签名。

本发明的特点还在于，

其中步骤3中，签名者计算从而使得消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)构成了一个可以验证的封闭环。

基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于有限域上二次多变量问题对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。

具体实施方式

本发明基于有限域上二次多变量问题对消息匿名环签名的方法，按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解。

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

F‾i(x1,···,xn)=(f‾i1,···,f‾im)]]>

其中每一个都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为u_π的公钥为私钥为SK_π＝{L_1π，F_π，L_2π}。签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

Ri=F‾i(ri);]]>

2)随机选取r∈kⁿ，计算

h=H(M||L||r+Σi≠πri);]]>

3)计算

Rπ=h-Σi≠πRi;]]>

4)计算

若r_π与r_i相同，则重新选取r；

5)令

V＝r-r_π；

6)输出消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)。

步骤4.环签名的验证

给定环关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证

Σi=0t-1F‾i(ri)=H(M||L||Σi=0t-1ri+V)]]>

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

下面分别对本发明的基于多变量公钥密码体制的环签名的正确性、匿名性和不可伪造性进行分析：

●正确性

本发明所提出的基于多变量的环签名是正确的。

接收方收到环关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，若该签名是按如上步骤进行并且在传输的过程中没有改变，不难证明：

由于所以

Rπ=F‾π(rπ),]]>

当i＝0，…，t-1且i≠π时，Riπ=F‾i(ri),]]>因此

Σi=0t-1F‾i(ri)=Σi=0t-1Ri,]]>

又Rπ=h-Σi≠πRi,]]>则Σi=0t-1Ri=h,]]>

于是Σi=0t-1F‾i(ri)=h,]]>

而h=H(M||L||r+Σi≠πri)]]>

=H(M||L||r-rπ+Σi≠πri+rπ)]]>

=H(M||L||Σi=0t-1ri+V),]]>

所以

Σi=0t-1F‾i(ri)=H(M||L||Σi=0t-1ri+V).]]>

●签名者匿名性

本发明所提出的基于多变量的环签名满足签名人无条件匿名性。

只需证明，对任何一个外部攻击者A而言，即使他能获知这t个成员的私钥，A能猜中一个给定有效环签名的真正签名者的概率不超过1/t。

设签名δ＝(r₀，r₁，…r_t-1，V)是在消息M、环成员U＝{u₁，u₂，…，u_t}及其公钥集下的一个有效签名。下面计算按照本发明方案恰能计算出给定环签名δ＝(r₀，r₁，…r_t-1，V)的概率。

因为r_i是在kⁿ中随机选取的，i＝0，…，t-1且i≠π，故依次选出r₀，r₁，…，r_π-1，r_π+1，…，r_t-1的概率是而r也是kⁿ中随机选取的，通过本发明方案的步骤计算出r_π的概率为这个值与具体的真实签名者u_π无关。另外，

即使攻击者非法获得了所有可能签名者的私钥，他依次用每个可能签名的私钥去试探，经过本发明方案步骤都可以完成环签名，所以环成员之外的任何人猜出真实签名者的概率都不超过1/t，环之内除真实签名者之外的成员猜出真实签名者的概率都不超过1/t-1。因此该方案满足无条件匿名性。

●签名不可伪造性

本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC)已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。

证明：假设由生成算法生成的密钥对和公钥集发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出(R^*，M^*，σ^*)，如果成立，攻击成功。在这个过程中，A不能询问(*，M^*，σ^*)，并且我们现在分析A输出伪造的环签名(R^*，M^*，σ^*)的计算复杂度。我们假设攻击者A模仿签名者u_π伪造关于环R^*的环签名(R^*，M^*，σ^*)，不是一般性，假设攻击者A按照环签名生成中步骤1)，2)，3)进行计算，但是为了伪造某个消息M的签名，需要通过求得r_π，满足

Rπ=F‾π(rπ),]]>

来伪造环签名δ＝(r₀，r₁，…r_t-1，V)。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。目前对多变量公钥密码体制的攻击有以下几个方法：

1)直接代数攻击：针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程中求解密文r_π。基算法和XL算法是最有效的代数攻击方法。假如本方案中所选取的实际多变量公钥密码体制可以抵抗直接代数攻击，本发明中的环签名也可以抵抗直接代数攻击。

2)线性化方程攻击：一个线性化方程是指对给定的公钥总有下面的等式成立：

Σi,jaijrπ,iRπ,j+Σibirπ,i+ΣjcjRπ,j+d=0]]>

把R_π∈k^m的具体值代入上式，我们得到R_π和r_π的一个仿射(线性)关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，本发明中的环签名也可以抵抗线性化方程攻击。

3)秩攻击：Goubin和Courtois指出最小秩攻击适用于三角-加-减体制。秩攻击的复杂度大约其中k是F_π分量中最小秩为r的线性组合的数目。

假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。

4)差分攻击：给出一个多变量公钥密码体制的公钥一组二次多项式，它的差分定义为这是一组关于x的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。

由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。

实施例

基于多变量公钥密码oil-vinegar签名体制的环签名方案

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p＝2的有限域，其中q＝2⁸；

2)令o＝30，v＝64，m＝30为多变量方程组中方程的个数，n＝o+v＝94为变量的个数；

3)选择H：{0，1}^*→k³⁰为密码学安全的抗碰撞单向不可逆哈希函数。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}，根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)随机选择F_i是从kⁿ到k^m的可逆Oil-Vinegar多项式映射，Oil-Vinegar多项式具有如下形式：

Fi=Σl=1oΣj=1vailjxlx^j+Σl=1vΣj=1vbiljx^lx^j+Σl=1ocilxl+Σj=1vdijx^j+ei]]>

其中a_ilj，b_ilj，c_il，d_ij，e_i∈k；

2)每个用户u_i(0≤i≤t-1)随机选择L_i是从kⁿ到kⁿ的一个可逆仿射变换

Li(x^1,···,x^v,x1,···,xo)=Mi·(x^1,···,x^v,x1,···,xo)T+ai,]]>

其中M_i是有限域k上的一个n×n的可逆矩阵，a_i有限域k上的一个n×1的列向量；

3)每个用户u_i(0≤i≤t-1)公布其公钥

F‾i(x1,···,xn)=(f‾i1,···,f‾im)]]>

其中每一个都是k[x₁，…，x_n]中的多项式；

4)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{F_i，L_i}；

5)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为u_π的公钥为私钥为SK_π＝{F_π，L_π}。签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

Ri=F‾i(ri);]]>

2)随机选取r∈kⁿ，计算

h=H(M||L||r+Σi≠πri);]]>

3)计算

Rπ=h-Σi≠πRi∈ko;]]>

4)随机选择以(x₁，…，x_o)为变量求解线性方程组

Fπ(x^1′,···,x^v′,x1,···,xo)=Rπ,]]>

若该方程组无解，另外选取一个重新求解，

令所求得的解为记为

r~π=Fπ-1(Rπ),]]>

计算

rπ=Lπ-1(r~π,x^1′,···,x^v′),]]>

若r_π与r_i相同，则重新选取重新计算；

5)令

V＝r-r_π；

6)输出消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)。

步骤4.环签名的验证

给定环的关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证：

Σi=0t-1F‾i(ri)=H(M||L||Σi=0t-1ri+V)]]>

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

本发明针对量子计算机的出现，传统密码体制受到威胁，利用基于多变量公钥密码在量子计算下安全的优势，解决现有的环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。

本发明提供电子文档的环数字签名，可以用来保护电子文档在发布、存储或传输中的完整性、真实性的安全保护；同时，又可以保护签名者的匿名性，以保证签名用户的信息不暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员签名的，每个成员签名的概率是相等的。

资源描述

《基于有限域上二次多变量问题对消息匿名环签名的方法.pdf》由会员分享，可在线阅读，更多相关《基于有限域上二次多变量问题对消息匿名环签名的方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102006169A43申请公布日20110406CN102006169ACN102006169A21申请号201010544666522申请日20101111H04L9/32200601H04L9/30200601H04L9/0820060171申请人西安理工大学地址710048陕西省西安市金花南路5号72发明人王尚平刘玉霞74专利代理机构西安弘理专利事务所61214代理人罗笛54发明名称基于有限域上二次多变量问题对消息匿名环签名的方法57摘要本发明公开了一种基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名。

2、的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页CN102006182A1/2页21基于有限域上二次多变量问题对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施步骤1生成系统参数1设置KGFQ是特征为P的有限域，其中QPL，K是一个正整数；2令是有限域K的N次扩张，这里N是一个正整数，GX是有限域K上的一个N次不可约多项式；3令M为多变量方程组。

3、中方程的个数，N为变量的个数；4选择H0，1KM为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为K，Q，P，L，M，N，H；步骤2密钥生成1假设环中有T个用户，设为UU0，U1，UT1；2根据多变量公钥密码体制，每个用户UI0IU1选择FI是从KN到KM的可逆映射，FI满足AFIX1，XNFI1，FIM，其中FIJKX1，XN，J1，M；B任何方程FIX1，XNY1，YM都易于求解；3每个用户UI0IT1随机选择L1I是从KM到KM的一个可逆仿射变换L1IX1，XMM1IX1，XMTA1I，其中M1I是有限域K上的一个MM的可逆矩阵，A1I是有限域K上的一个M1的列向量；4每个用户UI0IT。

4、1随机选择L2I是从KN到KN的一个可逆仿射变换L2IX1，XNM2IX1，XNTA2I，其中M2I是有限域K上的一个NN的可逆矩阵，A2I是有限域K上的一个N1的列向量；5每个用户UI0IT1公布其公钥其中每一个都是KX1，XN中的多项式；6每个用户UI0IT1保密其私钥SKIL1I，FI，L2I；7环中的T个用户的公钥集记为步骤3环签名生成假设成员U0T1代表环成员中所有成员UU0，U1，UT1对消息M进行签名，环中的T个用户的公钥集记为U的公钥为私钥为SKL1，F，L2，签名者U计算环签名的步骤如下1对于I0，T1且I，随机选取两两互异的RIKN，计算2随机选取RKN，计算权利要求书CN。

5、102006169ACN102006182A2/2页33计算4计算若R与RI相同，则重新选取R；5令VRR；6输出消息M关于环的环签名R0，R1，RT1，V；步骤4环签名的验证给定环关于消息M的签名R0，R1，RT1，V，任何验证者验证是否成立，若等式成立，则接受环签名，否则拒绝该环签名。2根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算从而使得消息M关于环的环签名R0，R1，RT1，V构成了一个可以验证的封闭环。权利要求书CN102006169ACN102006182A1/8页4基于有限域上二次多变量问题对消息匿名环签名的方法技术领域0001本发明属于信息安全技术领域，涉及一。

6、种基于有限域上二次多变量问题对消息匿名环签名的方法。背景技术00022001年，在如何匿名泄漏秘密的背景下，RIVEST等人提出了一种新型签名技术，称为环签名RINGSIGNATURE。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实。

7、现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。随后，环签名引起了广泛关注，提出了各种环签名方案。2002年，ABE等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。0003环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用00041用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进。

8、行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。00052用于ADHOC、无线传感器网络中的匿名认证。ADHOC和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ADHOC网络中的诸多问题，如成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。0006随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有这类基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已。

9、经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。0007多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、LIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。0008多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。说明书CN102006169ACN102006182A2/8页50009到目前为止，已经提出了各种环签名方案，但这些方案都。

10、是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。发明内容0010本发明的目的是提供一种基于有限域上二次多变量问题对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。0011本发明所采用的技术方案是，基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施0012步骤1生成系统参数00131设置KGFQ是特征为P的有限域，其中QPL，L是一个正整数；00142令是有限域K的N次扩张，这里N是一个正整数，GX是有限域K上的一个N次不可约多项式；00153令M为多变量方程组中方程的个数，N为。

11、变量的个数；00164选择H0，1KM为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为K，Q，P，L，M，N，H；0017步骤2密钥生成00181假设环中有T个用户，设为UU0，U1，UT1；00192根据多变量公钥密码体制，每个用户UI0IT1选择FI是从KN到KM的可逆映射，FI满足0020AFIX1，XNFI1，FIM，其中FIJKX1，XN，J1，M；0021B任何方程0022FIX1，XNY1，YM0023都易于求解；00243每个用户UI0IT1随机选择L1I是从KM到KM的一个可逆仿射变换0025L1IX1，XMM1IX1，XMTA1I，0026其中M1I是有限域K上的一个MM。

12、的可逆矩阵，A1I是有限域K上的一个M1的列向量；00274每个用户UI0IT1随机选择L2I是从KN到KN的一个可逆仿射变换0028L2IX1，XNM2IX1，XNTA2I，0029其中M2I是有限域K上的一个NN的可逆矩阵，A2I是有限域K上的一个N1的列向量；00305每个用户UI0IT1公布其公钥00310032其中每一个都是KX1，XN中的多项式；00336每个用户UI0IT1保密其私钥SKIL1I，FI，L2I；00347环中的T个用户的公钥集记为0035步骤3环签名生成说明书CN102006169ACN102006182A3/8页60036假设成员U0T1代表环成员中所有成员UU。

13、0，U1，UT1对消息M进行签名，环中的T个用户的公钥集记为U的公钥为私钥为SKL1，F，L2，签名者U计算环签名的步骤如下00371对于I0，T1且I，随机选取两两互异的RIKN，计算003800392随机选取RKN，计算004000413计算004200434计算00440045若R与RI相同，则重新选取R；00465令0047VRR；00486输出消息M关于环的环签名R0，R1，RT1，V；0049步骤4环签名的验证0050给定环关于消息M的签名R0，R1，RT1，V，任何验证者验证00510052是否成立，若等式成立，则接受环签名，否则拒绝该环签名。0053本发明的特点还在于，0054。

14、其中步骤3中，签名者计算从而使得消息M关于环的环签名R0，R1，RT1，V构成了一个可以验证的封闭环。0055基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于有限域上二次多变量问题对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。具体实施方式0056本发明基于有限域上二次多变量问题对消息匿名环签名的方法，按照以下步骤实施0057步骤1生成系统参数00581设置KGFQ是特征为P的有限域，其中QPL，L是一个正整数；00592令是有限域K的N次扩张，这里N是一个正整数，GX是有限域K上的一个N次不可约多项式；说明书CN10200。

15、6169ACN102006182A4/8页700603令M为多变量方程组中方程的个数，N为变量的个数；00614选择H0，1KM为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为K，Q，P，L，M，N，H。0062步骤2密钥生成00631假设环中有T个用户，设为UU0，U1，UT1；00642根据多变量公钥密码体制，每个用户UI0IT1选择FI是从KN到KM的可逆映射，FI满足0065AFIX1，XNFI1，FIM，其中FIJKX1，XN，J1，M；0066B任何方程0067FIX1，XNY1，YM0068都易于求解。00693每个用户UI0IT1随机选择L1I是从KM到KM的一个可逆仿射变换。

16、0070L1IX1，XMM1IX1，XMTA1I，0071其中M1I是有限域K上的一个MM的可逆矩阵，A1I是有限域K上的一个M1的列向量；00724每个用户UI0IT1随机选择L2I是从KN到KN的一个可逆仿射变换0073L2IX1，XNM2IX1，XNTA2I，0074其中M2I是有限域K上的一个NN的可逆矩阵，A2I是有限域K上的一个N1的列向量；00755每个用户UI0IT1公布其公钥00760077其中每一个都是KX1，XN中的多项式；00786每个用户UI0IT1保密其私钥SKIL1I，FI，L2I；00797环中的T个用户的公钥集记为0080步骤3环签名生成0081假设成员U0T。

17、1代表环成员中所有成员UU0，U1，UT1对消息M进行签名，环中的T个用户的公钥集记为U的公钥为私钥为SKL1，F，L2。签名者U计算环签名的步骤如下00821对于I0，T1且I，随机选取两两互异的RIKN，计算008300842随机选取RKN，计算008500863计算008700884计算0089说明书CN102006169ACN102006182A5/8页80090若R与RI相同，则重新选取R；00915令0092VRR；00936输出消息M关于环的环签名R0，R1，RT1，V。0094步骤4环签名的验证0095给定环关于消息M的签名R0，R1，RT1，V，任何验证者验证00960097。

18、是否成立。若等式成立，则接受环签名，否则拒绝该环签名。0098下面分别对本发明的基于多变量公钥密码体制的环签名的正确性、匿名性和不可伪造性进行分析0099正确性0100本发明所提出的基于多变量的环签名是正确的。0101接收方收到环关于消息M的签名R0，R1，RT1，V，若该签名是按如上步骤进行并且在传输的过程中没有改变，不难证明0102由于所以01030104当I0，T1且I时，因此01050106又则0107于是0108而010901100111所以01120113签名者匿名性0114本发明所提出的基于多变量的环签名满足签名人无条件匿名性。0115只需证明，对任何一个外部攻击者A而言，即使他。

19、能获知这T个成员的私钥，A能猜中一个给定有效环签名的真正签名者的概率不超过1/T。说明书CN102006169ACN102006182A6/8页90116设签名R0，R1，RT1，V是在消息M、环成员UU1，U2，UT及其公钥集下的一个有效签名。下面计算按照本发明方案恰能计算出给定环签名R0，R1，RT1，V的概率。0117因为RI是在KN中随机选取的，I0，T1且I，故依次选出R0，R1，R1，R1，RT1的概率是而R也是KN中随机选取的，通过本发明方案的步骤计算出R的概率为这个值与具体的真实签名者U无关。另外，0118即使攻击者非法获得了所有可能签名者的私钥，他依次用每个可能签名的私钥去试。

20、探，经过本发明方案步骤都可以完成环签名，所以环成员之外的任何人猜出真实签名者的概率都不超过1/T，环之内除真实签名者之外的成员猜出真实签名者的概率都不超过1/T1。因此该方案满足无条件匿名性。0119签名不可伪造性0120本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制MPKC已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。0121证明假设由生成算法生成的密钥对和公钥集发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出R，。

21、M，如果成立，攻击成功。在这个过程中，A不能询问，M，并且我们现在分析A输出伪造的环签名R，M，的计算复杂度。我们假设攻击者A模仿签名者U伪造关于环R的环签名R，M，不是一般性，假设攻击者A按照环签名生成中步骤1，2，3进行计算，但是为了伪造某个消息M的签名，需要通过求得R，满足01220123来伪造环签名R0，R1，RT1，V。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。目前对多变量公钥密码体制的攻击有以下几个方法01241直接代数攻击针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程中求解密文R。基算法和XL算法是。

22、最有效的代数攻击方法。假如本方案中所选取的实际多变量公钥密码体制可以抵抗直接代数攻击，本发明中的环签名也可以抵抗直接代数攻击。01252线性化方程攻击一个线性化方程是指对给定的公钥总有下面的等式成立01260127把RKM的具体值代入上式，我们得到R和R的一个仿射线性关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，说明书CN102006169ACN102006182A7/8页10本发明中的环签名也可以抵抗线性化方程攻击。01283秩攻击GOUBIN和COURTOIS指出最小秩攻击适用于三角加减体制。秩攻击的复杂度大约其中K是F分量中最小秩为R的线性组合的数。

23、目。0129假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。01304差分攻击给出一个多变量公钥密码体制的公钥一组二次多项式，它的差分定义为这是一组关于X的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。0131由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。0132实施例0133基于多变量公钥密码OILVINEGAR签名体制的环签名方案0134步。

24、骤1生成系统参数01351设置KGFQ是特征为P2的有限域，其中Q28；01362令O30，V64，M30为多变量方程组中方程的个数，NOV94为变量的个数；01373选择H0，1K30为密码学安全的抗碰撞单向不可逆哈希函数。0138步骤2密钥生成01391假设环中有T个用户，设为UU0，U1，UT1，根据多变量公钥密码体制，每个用户UI0IT1随机选择FI是从KN到KM的可逆OILVINEGAR多项式映射，OILVINEGAR多项式具有如下形式01400141其中AILJ，BILJ，CIL，DIJ，EIK；01422每个用户UI0IT1随机选择LI是从KN到KN的一个可逆仿射变换014301。

25、44其中MI是有限域K上的一个NN的可逆矩阵，AI有限域K上的一个N1的列向量；01453每个用户UI0IT1公布其公钥01460147其中每一个都是KX1，XN中的多项式；01484每个用户UI0IT1保密其私钥SKIFI，LI；01495环中的T个用户的公钥集记为0150步骤3环签名生成0151假设成员U0T1代表环成员中所有成员UU0，U1，UT1对消息M0，1进行签名，环中的T个用户的公钥集记为U的公钥为私钥说明书CN102006169ACN102006182A8/8页11为SKF，L。签名者U计算环签名的步骤如下01521对于I0，T1且I，随机选取两两互异的RIKN，计算01530。

26、1542随机选取RKN，计算015501563计算015701584随机选择以X1，XO为变量求解线性方程组01590160若该方程组无解，另外选取一个重新求解，0161令所求得的解为记为01620163计算01640165若R与RI相同，则重新选取重新计算；01665令0167VRR；01686输出消息M关于环的环签名R0，R1，RT1，V。0169步骤4环签名的验证0170给定环的关于消息M的签名R0，R1，RT1，V，任何验证者验证01710172是否成立。若等式成立，则接受环签名，否则拒绝该环签名。0173本发明针对量子计算机的出现，传统密码体制受到威胁，利用基于多变量公钥密码在量子计算下安全的优势，解决现有的环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。0174本发明提供电子文档的环数字签名，可以用来保护电子文档在发布、存储或传输中的完整性、真实性的安全保护；同时，又可以保护签名者的匿名性，以保证签名用户的信息不暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员签名的，每个成员签名的概率是相等的。说明书CN102006169A。

展开阅读全文