CN102006166B - 基于多变量多项式对消息匿名环签名的方法 - Google Patents

Abstract

本发明公开了一种基于多变量多项式对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

Description

基于多变量多项式对消息匿名环签名的方法

技术领域

本发明属于信息安全技术领域，涉及一种基于多变量多项式对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。随后，环签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中。

下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案；

2)用于ad-hoc、无线传感器网络。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有这类环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、_lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于多变量多项式对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，基于多变量多项式对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令

是有限域k的n次扩张，其中n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)，都易于求解；

3)每个用户u_i(0≤i≤t-1)选择其中L_1i是从k^m到k^m的随机选择的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)选择L_2i是从kⁿ到kⁿ的随机选择的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,...,x_n)=({\stackrel{\‾}{f}}_{i1},...,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设环成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}，签名者u_π计算环签名的步骤如下：

1)签名者u_π随机选取r∈kⁿ，计算

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right);$

2)对i＝π+1，...，t-1，0，1，...，π-1，签名者u_π随机选取r_i∈kⁿ，计算

$c_{i+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m;$

3)签名者u_π利用私钥计算

$r_{\mathrm{\π}}=L_{2\mathrm{\π}}^{-1}{F}_{\mathrm{\π}}^{-1}{L}_{1\mathrm{\π}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}});$

4)输出消息M∈{0，1}^*关于环

的环签名

σ＝(c₀，r₀，r₁，...，r_t-1)；

步骤4.环签名的验证

给定消息M∈{0，1}^*关于环

的环签名σ＝(c₀，r₀，r₁，...，r_t-1)，验证者所有环成员公钥集合

验证过程如下：

1)对i＝0，1，...，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

得到c_t；

2)验证

c_t＝c₀

是否成立，如成立，接受该环签名；否则拒绝签名。

本发明的特点还在于，

其中步骤3中，签名者计算

使消息M关于环U＝{u₀，u₁，…，u_t-1}的环签名σ＝(c₀，r₀，r₁，...，r_t-1)构成一个可验证的封闭环。

基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量多项式对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。

具体实施方式

本发明基于多变量多项式对消息匿名环签名的方法，具体按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令

是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数；

系统参数为(k，q，p，l，m，n，H)。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)选择其中L_1i是从k^m到k^m的随机选择的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)选择L_2i是从kⁿ到kⁿ的随机选择的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,...,x_n)=({\stackrel{\‾}{f}}_{i1},...,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设环成员u_π(0≤π≤t-1)代表环成员中所有成员U＝(u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}。签名者u_π计算环签名的步骤如下：

1)签名者u_π随机选取r∈kⁿ，计算

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right);$

2)对i＝π+1，...，t-1，0，1，...，π-1，签名者u_π随机选取r_i∈kⁿ，计算

$c_{i+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m;$

3)签名者u_π利用私钥计算

$r_{\mathrm{\π}}=L_{2\mathrm{\π}}^{-1}{F}_{\mathrm{\π}}^{-1}{L}_{1\mathrm{\π}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}});$

4)输出消息M∈{0，1}^*关于环的环签名

σ＝(c₀，r₀，r₁，...，r_t-1)；

步骤4.环签名的验证

给定消息M∈{0，1}^*关于环

的环签名σ＝(c₀，r₀，r₁，...，r_t-1)，验证者所有环成员公钥集合验证过程如下：

1)对i＝0，1，...，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

得到c_t；

2)验证

c_t＝c₀

是否成立，如成立，接受该环签名；否则拒绝签名。

下面分别对本发明的基于多变量公钥密码体制的环签名的完备性、签名者的匿名性和不可伪造性进行分析：

完备性

本发明所提出的基于多变量的环签名是正确的。

接收方收到消息M∈{0，1}^*关于环

的环签名σ＝(c₀，r₀，r₁，...，r_t-1)，若该签名是按如上步骤进行并且在传输的过程中没有改变，不难证明：

对于i＝π+1，...，t-1，0，1，...，π-1，一定有

$c_{i+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

又因为

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right),$ $r_{\mathrm{\π}}=L_{2\mathrm{\π}}^{-1}{F}_{\mathrm{\π}}^{-1}{L}_{1\mathrm{\π}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}}),$

所以

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right)$

$=H\left(L\right|\left|M\right||L_{2\mathrm{\π}}{F}_{\mathrm{\π}}{L}_{1\mathrm{\π}}\left(r_{\mathrm{\π}}\right)-c_{\mathrm{\π}}),$

$=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r_{\mathrm{\π}}\right)-c_{\mathrm{\π}})$

故

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r_{\mathrm{\π}}\right)-c_{\mathrm{\π}})$

故对于i＝0，1，...，t-1，一定有

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

所以c_t＝c₀成立。

签名者匿名性

本发明所提出的基于多变量的环签名满足签名人无条件匿名性。

在由环

产生的环签名σ＝(c₀，r₀，r₁，...，r_t-1)中，r_i(i≠j)都是随机选取的，r_i(i≠π)在kⁿ中是均匀分布。而

其中r∈kⁿ，所以r_π在kⁿ中也是均匀分布的，因此r_i(i＝0，1，2，...，t-1)在kⁿ中是均匀分布的，故环签名σ＝(c₀，r₀，r₁，...，r_t-1)中r_i(i＝0，1，2，...，t-1)以相等的概率分布，且与签名者无关。因此，即便是外部攻击者非法获得了所有可能的签名者的私钥，它能确定出真正的签名者的概率不超过1/t。即也就无法根据环签名σ＝(c₀，r₀，r₁，...，r_t-1)判断出真正的签名者u_π。

签名不可伪造性

本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC)已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。

证明：假设由生成算法生成的密钥对

和公钥集

发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出(R^*，M^*，σ^*)，如果Vrfy_R*(M^*，R^*)＝1成立，攻击成功。在这个过程中，A不能询问(*，M^*，σ^*)，并且我们现在分析A输出伪造的环签名(R^*，M^*，σ^*)的计算复杂度。我们假设攻击者A模仿签名者r_π伪造关于环R^*的环签名(R^*，M^*，σ^*)，不是一般性，假设

攻击者A按照环签名生成中步骤1)，2)进行计算，但是为了伪造某个消息M的签名，需要通过求得r_π，满足

${\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r_{\mathrm{\π}}\right)={\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}}$

来伪造环签名σ＝(c₀，r₀，r₁，...，r_t-1)。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。

目前对多变量公钥密码体制的攻击有以下几个方法：

1)代数攻击：针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程中求解密文r_π。基算法和XL算法是最有效的代数攻击方法。假如本方案中所选取的实际多变量公钥密码体制可以抵抗直接代数攻击，本发明中的环签名也可以抵抗直接代数攻击。

2)线性化方程攻击：一个线性化方程是指对给定的公钥

总有下面的等式成立：

$\underset{i,j}{\mathrm{\Σ}}{a}_{\mathrm{ij}}{r}_{\mathrm{\π},i}{v}_{\mathrm{\π},j}+\underset{i}{\mathrm{\Σ}}{b}_i{r}_{\mathrm{\π},i}+\underset{j}{\mathrm{\Σ}}{c}_j{v}_{\mathrm{\π},j}+d=0$

把

的具体值代入上式，我们得到r_π和v_π的一个仿射(线性)关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，本发明中的环签名也可以抵抗线性化方程攻击。

3)秩攻击：Goubin和Courtois指出最小秩攻击适用于三角-加-减体制。秩攻击的复杂度大约

其中k是F_π分量中最小秩为r的线性组合的数目。

假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。

4)差分攻击：给出一个多变量公钥密码体制的公钥

一组二次多项式，它的差分

定义为

这是一组关于x的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。

由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。

实施例

应用本发明，选择不同的基于多变量公钥密码体制，则可以产生新的环数字签名算法，在实现电子文档的真实性和完整性的同时，实现签名者的匿名性。在以下实施例中，我们使用非平衡Oil-Vinegar签名体制，构造一个实现签名者的匿名的环签名示例。

基于多变量公钥密码Oil-Vinegar签名体制的环签名方案：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p＝2的有限域，其中q＝2⁸。

2)令o＝30，v＝64，m＝30为多变量方程组中方程的个数，n＝o+v＝94为变量的个数。

3)选择H：{0，1}^*→k³⁰为密码学安全的抗碰撞单向不可逆哈希函数。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}，

根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)随机选择F_i是

从kⁿ到k^m的可逆Oil-Vinegar多项式映射，Oil-Vinegar多项式

具有如下形式：

$F_i=\underset{l=1}{\overset{o}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{a}_{\mathrm{ilj}}{x}_l{\hat{x}}_j+\underset{l=1}{\overset{v}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{b}_{\mathrm{ilj}}{\hat{x}}_l{\hat{x}}_j+\underset{l=1}{\overset{o}{\mathrm{\Σ}}}{c}_{\mathrm{il}}{x}_l+\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{d}_{\mathrm{ij}}{\hat{x}}_j+e_i$

其中a_ilj，b_ilj，c_il，d_ij，e_i∈k；

2)每个用户u_i(0≤i≤t-1)选择L_i是从kⁿ到k^m的随机选择的一个可逆仿射变换

$L_i({\hat{x}}_1,...,{\hat{x}}_v,x_1,...,x_o)=M_i{({\hat{x}}_1,...,{\hat{x}}_v,x_1,...,x_o)}^T+a_i,$

其中M_i是有限域k上的一个n×n的可逆矩阵，a_i有限域k上的一个n×1的列向量；

3)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i({\hat{x}}_1,...,{\hat{x}}_v,x_1,...,x_o)=({\stackrel{\‾}{f}}_{i1},...,{\stackrel{\‾}{f}}_{\mathrm{im}}),$

其中每一个都是

中的多项式；

4)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{F_i，L_i}；

5)环中的t个用户的公钥集记为

步骤3.环签名生成

假设环成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}。签名者u_π计算环签名的步骤如下：

1)签名者u_π随机选取r∈kⁿ，计算

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right);$

2)对i＝π+1，...，t-1，0，1，...，π-1，签名者u_π随机选取r_i∈kⁿ，计算

$c_{i+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m;$

3)签名者u_π利用私钥计算

$r_{\mathrm{\π}}=L_{2\mathrm{\π}}^{-1}{F}_{\mathrm{\π}}^{-1}{L}_{1\mathrm{\π}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}});$

4)输出消息M∈{0，1}^*关于环

的环签名

σ＝(c₀，r₀，r₁，...，r_t-1)；

步骤4.环签名的验证

给定消息M∈{0，1}^*关于环

的环签名σ＝(c₀，r₀，r₁，...，r_t-1)，验证者所有环成员公钥集合

验证过程如下：

1)对i＝0，1，...，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

得到c_t；

2)验证

c_t＝c₀

是否成立，如成立，接受该环签名；否则拒绝签名。

本发明利用多变量公钥密码体制在量子计算下安全的优势来解决现有环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。

本发明提供的方法能够提供电子文档的环数字签名，可以用来保护电子文档在发布、存储或传输中的完整性、真实性的安全保护；同时，又可以保护签名者的匿名性，以保证签名用户的信息不暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员签名的，每个成员签名的概率是相等的。

Claims (2)

1.基于多变量多项式对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：

步骤1.生成系统参数

1）设置k=GF(q)是特征为p的有限域，其中q=p^l，l是一个正整数；

2）令

是有限域k的n次扩张，其中n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3）令m为多变量方程组中方程的个数，n为变量的个数；

4）选择H:{0,1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为（k,q,p,l,m,n,H）；

步骤2.密钥生成

1）假设环中有t个用户，设为U={u₀,u₁,…,u_t-1}；

2）根据多变量公钥密码体制，每个用户u_i，其中0≤i≤t-1，选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a）F_i(x₁,…,x_n)＝(f_i1,…,f_im)，其中f_ij∈k[x₁,…,x_n]，j=1,…,m；

b）任何方程

$F_i(x_1,\·\·\·,x_n)=(y_1^{\′},\·\·\·,y_m^{\′}),$

都易于求解；

3）每个用户u_i，其中0≤i≤t-1，选择其中L_1i是从k^m到k^m的随机选择的一个可逆仿射变换

L_1i(x₁,…,x_m)=M_1i(x₁,…,x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4）每个用户u_i，其中0≤i≤t-1，选择L_2i是从kⁿ到kⁿ的随机选择的一个可逆仿射变换

L_2i(x₁,…,x_n)=M_2i(x₁,…,x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5）每个用户u_i，其中0≤i≤t-1，公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁,…,x_n]中的多项式；

6）每个用户u_i，其中0≤i≤t-1，保密其私钥SK_i={L_1i,F_i,L_2i}；

7）环中的t个用户的公钥集记为

步骤3.环签名生成

假设环成员成员u_π，其中0≤π≤t-1，代表环成员中所有成员U={u₀，u₁，…,u_t-1}对消息M∈{0,1}^*进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π,F_π,L_2π}，签名者u_π计算环签名的步骤如下：

1）签名者u_π随机选取r∈kⁿ，计算

$c_{\mathrm{\π}+1\mathrm{mod}t}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)\right);$

2）对i＝π+1,…,t-1,0,1,…,π-1，签名者u_π随机选取r_i∈kⁿ，计算

$c_{i+1\mathrm{mod}t}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m;$

3）签名者u_π利用私钥计算

$r_{\mathrm{\π}}=L_{2\mathrm{\π}}^{-1}{F}_{\mathrm{\π}}^{-1}{L}_{1\mathrm{\π}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r\right)+c_{\mathrm{\π}});$

4）输出消息M∈{0,1}^*关于环

的环签名

σ=(c₀,r₀,r₁,…,r_t-1)；

步骤4.环签名的验证

给定消息M∈{0,1}^*关于环的环签名σ＝(c₀,r₀,r₁,…,r_t-1)，验证者所有环成员公钥集合

验证过程如下：

1）对i＝0,1,…,t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(r_i\right)-c_i)\∈k^m$

得到c_t；

2）验证

c_t＝c₀

是否成立，如成立，接受该环签名；否则拒绝签名。

2.根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算

使消息M关于环U={u₀,u₁,…,u_t-1}的环签名σ＝(c₀,r₀,r₁,…,r_t-1)构成一个可验证的封闭环。