CN102006167A - 基于代数的对消息匿名环签名的方法 - Google Patents

Abstract

本发明公开了一种基于代数的对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

Description

基于代数的对消息匿名环签名的方法

技术领域

本发明属于信息安全技术领域，涉及一种基于代数的对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。环签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。

2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于代数的对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，基于代数的对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是有限域，其中q＝p^l，p是一个素数，l是一个正整数；

2)令m为多变量方程组中方程的个数，n为变量的个数；

3)选择H：{0，1}^*→kⁿ为密码学安全的哈希函数，

系统参数为(k，q，p，l，n，m，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)选择一个安全的多变量公钥密码签名体制，根据该体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

设签名者u_π(0≤π≤t-1)代表环中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行环签名，环中的t个用户的公钥集记为

利用其私钥SK_i＝{L_1i，F_i，L_2i}，签名步骤如下：

1)签名者u_π随机选取u∈kⁿ，计算

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right);$

2)对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

3)计算

4)输出消息M关于环

的环签名为

σ＝(c₀，s₀，s₁，…，s_t-1)；

步骤4.环签名的验证

给定消息M关于环的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对该签名正确性的验证如下：

1)对于i＝0，1，…，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

2)验证c_t＝c₀是否成立，

如果成立，则接受该环签名，否则，拒绝该环签名。

本发明的特点还在于，

其中步骤3中，签名者u_π随机选取u∈kⁿ，计算

其中步骤3中，对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right)).$

其中步骤3中，计算

从而使得消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)构成了一个可以验证的封闭环。

基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于代数的对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。

具体实施方式

本发明所采用的技术方案是，基于代数的对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是有限域，其中q＝p^l，p是一个素数，l是一个正整数；

2)令m为多变量方程组中方程的个数，n为变量的个数；

3)选择H：{0，1}^*→kⁿ为密码学安全的哈希函数，

系统参数为(k，q，p，l，n，m，H)。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)选择一个安全的多变量公钥密码签名体制，根据该体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

设签名者u_π(0≤π≤t-1)代表环中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行环签名，环中的t个用户的公钥集记为

利用其私钥SK_i＝{L_1i，F_i，L_2i}，签名步骤如下：

1)签名者u_π随机选取u∈kⁿ，计算

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right);$

2)对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

3)计算

4)输出消息M关于环的环签名为

σ＝(c₀，s₀，s₁，…，s_t-1)。

步骤4.环签名的验证

给定消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对该签名正确性的验证如下：

1)对于i＝0，1，…，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

2)验证c_t＝c₀是否成立。

如果成立，则接受该环签名，否则，拒绝该环签名。

下面分别对本发明的基于多变量公钥密码体制的环签名的正确性、匿名性和不可伪造性进行分析：

●正确性

本发明提出的基于多变量多项式的环签名是正确的。

接收方收到消息M关于环

的签名σ＝(c₀，s₀，s₁，…，s_t-1)，若该签名是按照上述步骤生成，并且在传输过程中没有改变，则有c_t＝c₀成立。

证明：接收方收到消息M关于环

的签名σ＝(c₀，s₀，s₁，…，s_t-1)，若该签名是由步骤3中的环签名生成算法产生的，并且在传输过程中没有改变，则有：

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right)$

$c_{\mathrm{\π}+2\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}\left(c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}\right)+{\stackrel{\‾}{F}}_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}\left(s_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}\right))$

.

.

.

$c_0=c_t=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{t-1}\left(c_{t-1}\right)+{\stackrel{\‾}{F}}_{t-1}\left(s_{t-1}\right))$

$c_1=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_0\left(c_0\right)+{\stackrel{\‾}{F}}_0\left(s_0\right))$

.

.

.

$c_{\mathrm{\π}}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}-1}\left(c_{\mathrm{\π}-1}\right)+{\stackrel{\‾}{F}}_{\mathrm{\π}-1}\left(s_{\mathrm{\π}-1}\right))$

因为

根据签名验证过程，我们有

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(c_{\mathrm{\π}}\right)+{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(s_{\mathrm{\π}}\right))$

$=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(c_{\mathrm{\π}}\right)+{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)-{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(c_{\mathrm{\π}}\right))$

$=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right),$

由此，依据签名验证过程所求的{c_i}(i＝0，1，…，t-1)序列与签名生成过程所得结果一致，所以c_t＝c₀成立。

●签名者匿名性

本发明提出的基于多变量多项式的环签名满足签名人无条件匿名性。

证明：设攻击者得到消息M关于环

的签名为σ＝(c₀，s₀，s₁，…，s_t-1)，由于s_i∈kⁿ是随机选取的，随机选取s_i的概率是1/qⁿ；

而u是随机选取的，随机选取u的概率也是1/qⁿ，因而s_π也可看作是随机的，并且随机选取的概率是1/qⁿ。因此环签名σ＝(c₀，s₀，s₁，…，s_t-1)中s_i(i∈0，1，…，t-1)的值被签名生成算法以相等的概率1/qⁿ进行选择，且与签名者无关。因此即便是外部攻击者非法获得了所有可能的签名者的私钥，它能确定出真正的签名者的概率不超过1/t。

●签名不可伪造性

本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC)已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。

证明：假设由生成算法生成的密钥对

和公钥集

发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出(R^*，M^*，σ^*)，如果

成立，攻击成功。在这个过程中，A不能询问(*，M^*，σ^*)，并且

我们现在分析A输出伪造的环签名(R^*，M^*，σ^*)的计算复杂度。我们假设攻击者A模仿签名者u_π伪造关于环R^*的环签名(R^*，M^*，σ^*)，不是一般性，假设

攻击者A按照环签名生成中步骤1)，2)进行计算，但是为了伪造某个消息M的签名，需要通过求得s_π，满足

${\stackrel{\‾}{F}}_{\mathrm{\π}}\left(s_{\mathrm{\π}}\right)=({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)-{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(c_{\mathrm{\π}}\right))$

来伪造环签名σ＝(c₁，s₁，s₂，…，s_t)，其中u为攻击者自己选取的。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。目前对多变量公钥密码体制的攻击有以下几个方法：

1)代数攻击：针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程中求解密文s_π。

基算法和XL算法是最有效的代数攻击方法。假如本方案中所选取的实际多变量公钥密码体制可以抵抗直接代数攻击，本发明中的环签名也可以抵抗直接代数攻击。

2)线性化方程攻击：一个线性化方程是指对给定的公钥

总有下面的等式成立：

$\underset{i,j}{\mathrm{\Σ}}{a}_{\mathrm{ij}}{s}_{\mathrm{\π},i}{v}_{\mathrm{\π},j}+\underset{i}{\mathrm{\Σ}}{b}_i{s}_{\mathrm{\π},i}+\underset{j}{\mathrm{\Σ}}{c}_j{v}_{\mathrm{\π},j}+d=0$

把的具体值代入上式，我们得到s_π和v_π的一个仿射(线性)关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，本发明中的环签名也可以抵抗线性化方程攻击。

3)秩攻击：Goubin和Courtois指出最小秩攻击适用于三角-加-减体制。秩攻击的复杂度大约

其中k是F_π分量中最小秩为r的线性组合的数目。

假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。

4)差分攻击：给出一个多变量公钥密码体制的公钥

一组二次多项式，它的差分

定义为

这是一组关于x的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。

由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。

实施例1

基于多变量公钥密码oil-vinegar签名体制的匿名环签名方案：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p＝2的有限域，其中q＝2⁸；

2)令o＝30，v＝64，m＝30为多变量方程组中方程的个数，n＝o+v＝94为变量的个数；

3)选择H：{0，1}^*→k³⁰为密码学安全的抗碰撞单向不可逆哈希函数。系统参数为(k，q，p，l，m，n，H)。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，..，u_t-1}，

根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)随机选择F_i是从kⁿ到k^m的可逆Oil-Vinegar多项式映射，Oil-Vinegar多项式

具有如下形式：

$F_i=\underset{l=1}{\overset{o}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{a}_{\mathrm{ilj}}{x}_l{\hat{x}}_j+\underset{l=1}{\overset{v}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{b}_{\mathrm{ilj}}{\hat{x}}_l{\hat{x}}_j+\underset{l=1}{\overset{o}{\mathrm{\Σ}}}{c}_{\mathrm{il}}{x}_l+\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{d}_{\mathrm{ij}}{\hat{x}}_j+e_i$

其中a_ilj，b_ilj，c_il，d_ij，e_i∈k；

2)每个用户u_i(0≤i≤t-1)随机选择L_i是从kⁿ到kⁿ的一个可逆仿射变换

$L_i({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)=M_i{({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)}^T+a_i,$

其中M_i是有限域k上的一个n×n的可逆矩阵，a_i有限域k上的一个n×1的列向量；

3)每个用户u_i(0≠i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

4)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{F_i，L_i}；

5)环中的t个用户的公钥集记为

步骤3.环签名生成

设假设成员u_π(0≤π≤t-1)代表环

对消息M∈{0，1}^*进行签名，u_π的公钥为私钥为SK_π＝{F_π，L_π}。签名者u_π计算环签名的步骤如下：

1)签名者u_π随机选取u∈kⁿ，计算

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right);$

2)对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

3)计算

$R_{\mathrm{\π}}={L_{1\mathrm{\π}}}^{-1}({\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)-{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(c_{\mathrm{\π}}\right)),$

随机选择

以(x₁，…，x_o)为变量求解线性方程组

$F_{\mathrm{\π}}({\hat{x}}_1^{\′},\·\·\·,{\hat{x}}_v^{\′},x_1,\·\·\·,x_o)=R_{\mathrm{\π}},$

若该方程组无解，另外选取一个

重新求解，

令所求得的解为

记为

4)输出消息M关于环

的环签名为

σ＝(c₀，s₀，s₁，…，s_t-1)。

步骤4.环签名的验证

给定消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对签名正确性的验证如下：

1)对于i＝0，1，…，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

2)验证

c_t＝c₀

是否成立。如果成立，则接受该环签名，否则，拒绝该环签名。

实施例2

基于多变量公钥密码Square+签名体制的匿名环签名方案：

square+体制是基于奇特征域上的多变量多项式体制，安全性比较高，可以抵抗量子计算机的攻击，并且加密解密具有较高的效率。我们结合square+体制，提出一个基于square+体制的环签名方案。

1.Squaare+体制的构造

令k是一个阶为q的有限域，其中q≡3mod4。

是k的n+l次扩张，其中l使得n+l为奇数。F是K到K的映射，F(X)＝X²，其中X∈K。

随机选择一个单射仿射映射L₁：kⁿ→k^n+l；d个有n+l个变量的二次多项式

g₁，…，g_d∈k[x₁，…，x_n+l]

以及一个可逆仿射映射L₂：k^n+l+d→k^n+l+d。φ：K→k^n+l，是向量空间的同构映射：

由于φоFоφ^-1是一个n+l元的二次多项式组，通过附加g₁，…，g_d，我们可以产生映射：

F⁺：k^n+l-→k^n+l+d

我们可以构造为

私钥：

映射L₁，L₂，F以及F⁺；

公钥：

1)有限域k及其加法和乘法结构；

2)n+l+d个多项式分量

签名生成：

我们可以通过下面的步骤来对消息(或者消息摘要)(y′₁，y′₂…，y′_n+l+d)∈k^n+l+d进行签名：

1)令(y₁，y₂，…y_n+l+d)＝L₂ ^-1(y′₁，y′₂，…，y′_n+l+d)；

2)移除无法混合的d个随机多项式g₁，…，g_d，得到(y₁，y₂，…，y_n+l)。令

Y＝φ^-1(y₁，y₂，…，y_n+l)∈K；

3)求解X²＝Y，由于q≡3mod4且n+l是奇数，使得：|K|≡3mod4，我们可以利用以下公式来求解：

$X=\±Y^{\frac{q^{n+l}+1}{4}},$

这有两个解，但是由于L1是仿射的，一般来说，其中仅有一个是φ^-1оL₁的像，这个解在φ^-1оL₁下的原像就是签名(x′₁，…，x′_n)。

签名验证：

给定消息(y′₁，…，y′_n+l+d)的签名(x′₁，…，x′_n)，其中j＝1，…，n+l+d，计算

$y_j^{\′}={\stackrel{\‾}{f}}_j(x_1^{\′},\·\·\·,x_n^{\′})$

是否成立，如果成立，接受签名(x′₁，…，x′_n)，如果不成立，则拒绝签名(x′₁，…，x′_n)。

2.基于多变量公钥密码Square+签名体制的匿名环签名方案

步骤1.生成系统参数

我们选择q＝31，n＝48，l＝3，d＝5，域k为F₃₁，K是k的51次扩张。仿射映射L₂：k⁴⁸→k⁵¹，可逆仿射映射L₁：k⁵⁶→k⁵⁶，因此，多变量方程组中方程的个数为m＝n+l+d＝56，变量的个数为n＝48。系统参数为(k＝F₃₁，q＝31，n＝48，r＝51，m＝56，H)，其中H：{0，1}^*→k⁴⁸为密码学安全的哈希函数。

步骤2.密钥生成：

假设生成环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}。设用户u_i的公私钥对为PK_i/SK_i，公钥：

是square+体制中的公钥，其中，F⁺：k⁵¹→k⁵⁶是square+体制中的映射，K是square+体制中的扩域，φ：K→k⁵¹，是向量空间的同构映射；私钥：SK_i＝{L_1i，F⁺，L_2i}，其中L_2i是从k⁴⁸到k⁵¹的单射仿射变换，L_1i是从k⁵⁶到k⁵⁶的可逆仿射变换，i＝0，1，…，t-1。环中的t个用户的公钥集记为 $L=({\stackrel{\‾}{F}}_0,{\stackrel{\‾}{F}}_1,\·\·\·,{\stackrel{\‾}{F}}_{t-1}).$

步骤3.环签名生成

设假设成员u_π(0≤π≤t-1)代表环

对消息M∈{0，1}^*进行签名，u_π的公钥为

私钥为SK_π＝{K_1i，F⁺，L_2i}。签名者u_π计算环签名的步骤如下：

1)签名者u_π随机选取u∈kⁿ，计算

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right);$

2)对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

3)计算时，参照square+体制的签名生成过程，求得消息m的签名为σ＝(c₀，s₀，s₁，…，s_t-1)；

4)输出消息M关于环

的环签名为

σ＝(c₀，s₀，s₁，…s_t-1)。

步骤4.环签名的验证

给定消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对签名正确性的验证如下：

1)对于i＝0，1，…，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

2)验证

c_t＝c₀

是否成立。如果成立，则接受该环签名，否则，拒绝该环签名。

本发明的方法提供电子文档的环数字签名，可以用来保护电子文档在发布、存储或传输中的完整性、真实性；同时，又可以保护签名者的匿名性，以保证签名用户的信息不暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员签名的，每个成员签名的概率是相等的。

本发明利用多变量公钥密码体制在量子计算下安全的优势来解决现有环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。

Claims (4)

1.基于代数的对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是有限域，其中q＝p^l，p是一个素数，l是一个正整数；

2)令m为多变量方程组中方程的个数，n为变量的个数；

3)选择H：{0，1}^*→kⁿ为密码学安全的哈希函数，系统参数为(k，q，p，l，n，m，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)选择一个安全的多变量公钥密码签名体制，根据该体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，Fi满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≠t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

设签名者u_π(0≤π≤t-1)代表环中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行环签名，环中的t个用户的公钥集记为

利用其私钥SK_i＝{L_1i，F_i，L_2i}，签名步骤如下：

1)签名者u_π随机选取u∈kⁿ，计算

$c_{\mathrm{\π}+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right|\left|{\stackrel{\‾}{F}}_{\mathrm{\π}}\left(u\right)\right);$

2)对于i＝π+1，π+2，…，t-1，0，1，..，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

3)计算

4)输出消息M关于环

的环签名为

σ＝(c₀，s₀，s₁，…s_t-1)；

步骤4.环签名的验证

给定消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对该签名正确性的验证如下：

1)对于i＝0，1，…，t-1，计算

$c_{i+1}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right));$

2)验证c_t＝c₀是否成立，

如果成立，则接受该环签名，否则，拒绝该环签名。

2.根据权利要求1所述的方法，其特征在于，步骤3中，签名者u_π随机选取u∈kⁿ，计算

3.根据权利要求1所述的方法，其特征在于，步骤3中，对于i＝π+1，π+2，…，t-1，0，1，…，π-1，依次随机选取s_i∈kⁿ，计算

$c_{i+1\left(\mathrm{mod}t\right)}=H\left(L\right|\left|M\right||{\stackrel{\‾}{F}}_i\left(c_i\right)+{\stackrel{\‾}{F}}_i\left(s_i\right)).$

4.根据权利要求1所述的方法，其特征在于，步骤3中，计算

从而使得消息M关于环

的环签名σ＝(c₀，s₀，s₁，…，s_t-1)构成了一个可以验证的封闭环。