CN103490897B - 一种多变量公钥签名/验证系统及签名/验证方法 - Google Patents

Abstract

本发明公开了一种多变量公钥签名/验证系统，包括处理器、签名模块和验证模块，签名模块包含仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，待签名的消息经各部件顺序地执行相应的运算，经陷门部件处理后产生一组或多组的解，此时随机选取一组解传输至同构部件、仿射变换求逆部件二处理后，产生的签名和该消息一起传输给处理器；验证模块包含公钥变换部件，处理器将签名传输到公钥变换部件中，将签名代入公钥映射里的各个多变量多项式，处理器判断所得数据是否与存储器中的消息相等：若相等，则该签名有效，若不相等，则该签名无效。本发明的系统及方法，其安全性和运算效率高。

Description

一种多变量公钥签名/验证系统及签名/验证方法

技术领域

本发明涉及信息安全领域，特别涉及一种多变量公钥签名/验证系统及签名/验证方法。

背景技术

密码技术是信息安全的核心和基础，广泛应用于网络通信、电子商务、银行、国防军事等领域。密码技术包括对称密码和非对称密码，非对称密码也称为公钥密码。

目前公钥密码的安全性主要依赖于大整数分解和离散对数求解等困难问题，如RSA、ECC等。但是自提出在量子计算机上能够实现大整数分解和离散对数求解的方法后，这类传统的公钥密码便受到巨大的威胁，影响到各个行业。因此，人们致力于寻找一种能够抵御量子计算机攻击的密码系统以满足信息安全的需求，并将这类系统称为后量子密码，而多变量公钥密码便是其中的一种。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种多变量公钥签名/验证系统，其安全性和运算效率高。

本发明的另一目的在于提供一种多变量公钥签名/验证方法，其安全性和运算效率高。

本发明的目的通过以下的技术方案实现：

一种多变量公钥签名/验证系统，包含处理器、签名模块和验证模块：

签名模块，用于将待签名的消息进行签名处理，其包括仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，处理器存储待签名的消息并传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输给陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，多项式求逆运算得到一组或多组的解形成解集，从解集中任选一组解传输到同构部件进行同构运算，再传输到仿射变换求逆部件二进行仿射变换求逆运算，产生所要的签名，处理器将该消息及其签名一起发送给终端用户；

验证模块，用于对其他用户发来的消息及其签名进行验证处理，验证该签名是否有效，其包含公钥变换部件，处理器将消息及其签名存储起来，并将签名传输到公钥变换部件里，公钥变换部件将签名代入公钥映射的各个多变量多项式，所得的数据被返回给处理器，处理器判断该数据与处理器里的消息是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

所述的多变量公钥签名/验证系统还包含选择器，其与处理器相连，当选择器处于开状态时，系统的签名模块工作，当选择器处于闭状态时，系统的验证模块工作。在一般的签名/验证系统里，用户一用签名模块对待签名的消息进行签名处理，形成签名后，将它和原消息传输给用户二，用户二用验证模块验证签名是否有效，二者构成一个整体的签名/验证系统，反过来一样，用户二用签名模块签名，形成签名后，将它和原消息传输给用户一，用户一用验证模块验证签名是否有效，因此同一个用户需要同时具备两个不同的、独立的装置，即签名模块、验证模块，才可以满足需求，这给用户带来不便；而所述的多变量公钥签名/验证系统采用包含选择器的方案，同一用户只需要同一个装置，用户根据自己的需要选择装置进行签名或者验证，非常方便。

所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

所述的处理器还包含存储器，处理器中存储数据由存储器完成。

一种多变量公钥签名/验证方法，包含以下顺序的步骤：

(1)签名过程：

a、收到待签名的消息后，处理器将该消息存储并传输给仿射变换求逆部件一进行仿射变换求逆运算；

b、然后传输到同构求逆部件进行同构求逆运算；

c、接着传输到陷门部件的模求幂部件和多项式求逆部件，依次进行模求幂运算、多项式求逆运算，多项式求逆运算得到一组或多组的解；

d、从解集中任选一组解传输到同构部件进行同构运算；

e、再传输到仿射变换求逆部件二进行仿射变换求逆运算；

f、最终所得的结果作为该消息的签名，处理器将该消息及其签名一起传输给终端用户；

(2)验证过程：

a、消息及其签名被传输到处理器，处理器存储消息及其签名后，再将签名传输到公钥变换部件；

b、公钥变换部件将签名代入公钥映射的各个多变量多项式里，所得的数据返回给处理器，处理器判断该数据与存储的消息是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

所述的多变量公钥签名/验证方法，所述的步骤(1)签名过程包括：

a、收到待签名的消息(y₁',...,y_n')∈Fⁿ后，处理器将消息(y₁',...,y_n')∈Fⁿ存储并传输给仿射变换求逆部件一进行仿射变换求逆运算

b、然后将传输到同构求逆部件进行同构求逆运算

c、接着将传输到陷门部件的模求幂部件和多项式求逆部件，依次进行模求幂运算和多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算然后多项式求逆部件利用概率的Berlekamp算法，求出关于未知变量的一组或多组解，由于该多项式方程可能有多解，且最多为d个，故将它的解集记为

d、从解集中任选一个解传输到同构部件进行同构运算

e、再将传输到仿射变换求逆部件二进行仿射变换求逆运算

f、最终所得的结果(x₁',...,x_n')作为该消息的签名，处理器将该消息(y₁',...,y_n')及其签名(x₁',...,x_n')一起传输给终端用户；

所述的步骤(2)验证过程包含：

a、消息(y₁',...,y_n')及其签名(x₁',...,x_n')被传输到处理器，处理器将它们存储，再将签名(x₁',...,x_n')传输到公钥变换部件；

b、公钥变换部件将签名(x₁',...,x_n')代入公钥映射P(x₁,...,x_n)的各个多变量多项式，即分别计算p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')，其值分别记为y₁”,...,y_n”，公钥变换部件将y₁”,...,y_n”传输给处理器，处理器判断y₁”,...,y_n”与原存储的消息(y₁',...,y_n')是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

所述的多变量公钥签名/验证方法，在步骤(1)签名过程之前还包含以下步骤：当选择器处于开状态时，系统的签名模块工作，其中选择器与处理器相连；

在步骤(2)验证过程之前还包含以下步骤：当选择器处于闭状态时，系统的验证模块工作，其中选择器与处理器相连。

所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

所述的处理器还包含存储器，处理器中存储数据由存储器完成。

本发明与现有技术相比，具有如下优点和有益效果：

第一，在适当的参数选择下，可以抵御多变量公钥密码目前已知的代数攻击，安全性高。

第二，加密、解密所需时间短，响应快。

附图说明

图1为本发明一种多变量公钥签名/验证系统的结构示意图。

具体实施方式

如图1，一种多变量公钥签名/验证系统，包含处理器、选择器、签名模块、验证模块：

选择器，其与处理器中的调度器相连，当选择器处于开状态时，系统的签名模块工作，当选择器处于闭状态时，系统的验证模块工作；

签名模块，用于将待签名的消息进行签名处理，其仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，处理器首先将消息保存在存储器里，并将它传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输给陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算、多项式求逆运算，多项式求逆运算得到一组或多组的解，若产生多组解，则从解集中任选一组解传输到同构部件进行同构运算，否则，直接将该组解传输到同构部件进行同构运算，同构运算完成后，再将相关数据传输到仿射变换求逆部件二进行仿射变换求逆运算，产生所要的签名，最后签名被传输到处理器，处理器将该签名及其相应的消息一起发送给终端用户；

验证模块，用于对其他用户发来某一消息及其签名进行验证处理，验证该签名是否有效，其公钥变换部件，消息及其签名被传输到处理器后，处理器将它们存储起来，再将签名传输到公钥变换部件里，公钥变换部件将签名代入公钥映射的各个多变量多项式，所得的数据被返回给处理器，处理器判断该数据与存储器里的消息是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

多变量公钥签名/验证系统首次使用前，需要进行初始化，如下所示：

(1)除陷门部件外，装置所有部件的算术运算都是建立在一个阶为q、特征为2的有限域F上，其中q＝2^k，

(2)选取一个度为的不可约多项式f(y)∈F[y]，然后定义有限域F的n维扩域E＝F[y]/(f(y))，显然，扩域E是同构于且有qⁿ个元素，陷门部件的所有运算都是基于扩域E的；

(3)令多变量公钥密码系统的方程个数为n，变量个数也为n；

(4)在同构部件里，令是扩域E到Fⁿ的标准F-线性同构，它具有以下的性质：

类似地，在同构求逆部件里，定义是Fⁿ到E的同构映射，它具有以下的性质：

(5)在仿射变换求逆部件一里，令是从Fⁿ到Fⁿ的随机选择的可逆仿射变换，类似地，在仿射变换求逆部件二里，也令是从Fⁿ到Fⁿ的随机选择的可逆仿射变换；

(6)在陷门部件里，定义扩域E上的一个陷门单向函数G(X)，它的形式如下

G(X)＝g(X)^t,

其中，X,h_i∈E，d＝deg(g(X))，D＝deg(G(X))，且gcd(t,qⁿ-1)＝1。另外，记v是t的逆，则有关系式t·v≡1mod(qⁿ-1)；

(7)在公钥变换部件里，设P是一个从Fⁿ到Fⁿ的中心映射，它的形式为：

其中，是基域F上的n元多项式；

(8)在公钥变换部件里，也设P是一个从Fⁿ到Fⁿ的公钥映射，它的形式为：

P(x₁,...,x_n)＝(p₁(x₁,...,x_n),...,p_n(x₁,...,x_n))，

其中，是基域F上的n元多项式；

(9)初始化中心映射和公钥映射P，令其分别为：

(10)以上相关映射的数据在系统初始化之后是保存在存储器里，在系统工作过程中，它们是由处理器中调度器控制和调度到各个相应的部件里进行相关操作的。

一种多变量公钥签名/验证方法，包含以下顺序的步骤：

(1)签名过程：

a、当选择器处于开状态时，系统的签名模块工作，选择器与处理器的调度器相连，收到待签名的消息(y₁',...,y_n')∈Fⁿ后，处理器将消息(y₁',...,y_n')∈Fⁿ存储并传输给仿射变换求逆部件一进行仿射变换求逆运算

b、然后将传输到同构求逆部件进行同构求逆运算

c、接着将传输到陷门部件的模求幂部件和多项式求逆部件，分别进行模求幂运算和多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算然后多项式求逆部件利用概率的Berlekamp算法，求出关于未知变量的一组或多组解，由于该多项式方程可能有多解，且最多为d个，故将它的解集记为

d、从解集中任选一个解传输到同构部件进行同构运算

e、再将传输到仿射变换求逆部件二进行仿射变换求逆运算

f、最终所得的结果(x₁',...,x_n')作为原消息的签名传输到处理器；

g、处理器将消息(y₁',...,y_n')及其签名(x₁',...,x_n')一起传输给终端用户；

(2)验证过程：

a、当选择器处于闭状态时，系统的验证模块工作，选择器与处理器的调度器相连，消息(y₁',...,y_n')及其签名(x₁',...,x_n')被传输到处理器，处理器将它们保存在存储器里，再将签名(x₁',...,x_n')传输到公钥变换部件；

b、公钥变换部件将签名(x₁',...,x_n')代入公钥映射P(x₁,...,x_n)的各个多变量多项式，即分别计算p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')，其值分别记为y₁”,...,y_n”，公钥变换部件将y₁”,...,y_n”传输给处理器，处理器判断y₁”,...,y_n”与原存储的消息(y₁',...,y_n')是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

下面以一个具体的例子来详细介绍系统的初始化过程：

(1)除陷门部件外，所有部件的运算都是基于阶为q＝2的有限域F上，其中，基域F包含2个元素，这些元素分别为{0,1}；

(2)选择不可约多项式f(y)＝y⁴+y+1，然后定义F的扩域E＝F[y]/f(y)，其包含(2²)⁴＝2⁸个元素；

(3)系统里的方程个数和变量个数均为n＝4；

(4)在同构部件里，有式子在同构求逆部件里，有式子

(5)在仿射变换求逆部件一里，初始化

在仿射变换求逆部件二里，初始化

(6)在陷门部件里，初始化g为

g(X)＝[X-(y²+1)][X-(y+1)][X-(y³+y²+y)][X-(y²+1)]

则d＝4；

另外，初始化t＝8，则有

G(X)＝g(X)⁸＝X³²+(y³+1)X²⁴+y²X¹⁶+(y³+y+1)X⁸+y²+1；

(7)在公钥变换部件里，容易通过式子得到公钥变换P的具体式，其分别包括以下4个式子：

p₁＝x₁x₂+x₁x₃+x₂x₃+x₂+x₃x₄+x₃+1，

p₂＝x₁x₂+x₁+x₂x₃+x₂+x₃x₄+x₄+1，

p₃＝x₁x₃+x₂x₄+x₄，

p₄＝x₁x₃+x₁x₄+x₁+x₂x₃+x₃+1。

初始化完成后，系统就可以正常使用。

在系统初始化之后，下面将详细地描述对于消息(1,1,1,0)的签名和它的验证。

签名过程：

(1)选择器处于开状态；

(2)对于待签名的消息(1,1,1,0)，输入端把它传输给处理器并存于存储器中，然后处理器将它传输给仿射变换求逆部件一；

(3)仿射变换求逆部件一收到数据(1,1,1,0)后，先与处理器进行交互，调用程序并计算T^-1(1,1,1,0)＝(0,1,0,1)，然后将结果(0,1,0,1)传给同构求逆部件；

(4)同构求逆部件接收到数据(0,1,0,1)后，先与处理器进行交互，然后对数据进行作用，将它映射为扩域F上的元素y³+y，并将其传输给陷门部件；

(5)陷门部件收到数据y³+y后，先与处理器进行交互，然后调用模求幂子部件，计算出t的逆v＝2，进而计算(y³+y)²，其结果为y³，之后，陷门部件调用多项式求逆子部件，求解出方程g(X)＝y³关于未知变量X的解，即方程

[X-(y²+1)][X-(y+1)][X-(y³+y²+y)][X-(y²+1)]＝y³

的解，其中，方程的解集为{y²+y+1,y³+y+1}，最后陷门部件任意选取解集中的一个元素，这里设陷门部件选取了y³+y+1，并将它传输给同构部件；

(6)同构部件接收到数据y³+y+1后，先与处理器进行交互，然后将它映射为基域F上4维向量，得到(1,1,0,1)，最后同构部件将数据(1,1,0,1)传递给仿射变换求逆部件二；

(7)仿射变换求逆部件二收到数据(1,1,0,1)后，与处理器进行交互，运行程序计算S^-1(1,1,0,1)，并得到结果(1,1,1,1)，最后将此数据返回给存储器；

(8)处理器把(1,1,1,1)看成消息(1,1,1,0)的签名，然后它将“消息-签名对”(1,1,1,0)||(1,1,1,1)输出给用户(或设备)，至此，签名过程完成；

验证过程：

(1)选择器处于闭状态；

(2)对于待验证的“消息-签名对”(1,1,1,0)||(1,1,1,1)，输入端将它传输给处理器，并保存于存储器中，然后，处理器将消息(1,1,1,1)传输给公钥变换部件；

(3)公钥变换部件接收到数据(1,1,1,1)后，与处理器进行交互，调用函数P计算(p₁(1,1,1,1),p₂(1,1,1,1),p₃(1,1,1,1),p₄(1,1,1,1))，得到结果res＝(1,1,1,0)，然后公钥变换部件将结果res＝(1,1,1,0)返回存储器中；

(4)处理器验证res＝(1,1,1,0)是否等于原“消息-签名对”中的消息(1,1,1,0)，显然此处是相等的，所以处理器向终端用户或设备输出“1”，表示该签名有效。

上述实施例为本发明较简单的实施方式，但本发明的实施方式并不受上述实施例的限制，本发明推荐的系统参数为：q＝2，n＝128，d＝6和t＝64，其安全级别可达到2⁹⁰，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (9)

1.一种多变量公钥签名/验证系统，其特征在于，包含处理器、签名模块和验证模块：

签名模块，用于将待签名的消息进行签名处理，其包括仿射变换求逆部件一、同构求逆部件、陷门部件、同构部件和仿射变换求逆部件二，其中陷门部件包含模求幂部件和多项式求逆部件，处理器存储待签名的消息并传输给仿射变换求逆部件一进行仿射变换求逆运算，然后传输到同构求逆部件进行同构求逆运算，接着传输给陷门部件的模求幂部件和多项式求逆部件，依次进行模求幂运算、多项式求逆运算，多项式求逆运算得到一组或多组的解形成解集，从解集中任选一组解传输到同构部件进行同构运算，再传输到仿射变换求逆部件二进行仿射变换求逆运算，产生所要的签名，处理器将该消息及其签名一起发送给终端用户；

验证模块，用于对其他用户发来的消息及其签名进行验证处理，验证该签名是否有效，其包含公钥变换部件，处理器将消息及其签名存储起来，并将签名传输到公钥变换部件里，公钥变换部件将签名代入公钥映射的各个多变量多项式，所得的数据被返回给处理器，处理器判断该数据与处理器里的消息是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

2.根据权利要求1所述的多变量公钥签名/验证系统，其特征在于，所述的系统还包含选择器，其与处理器相连，当选择器处于开状态时，系统的签名模块工作，当选择器处于闭状态时，系统的验证模块工作。

3.根据权利要求2所述的多变量公钥签名/验证系统，其特征在于，所述的处理器包含与选择器相连的调度器，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

4.根据权利要求1所述的多变量公钥签名/验证系统，其特征在于，所述的处理器还包含存储器，处理器中存储数据由存储器完成。

5.一种多变量公钥签名/验证方法，包含以下顺序的步骤：

(1)签名过程：

a、收到待签名的消息后，处理器将该消息存储并传输给仿射变换求逆部件一进行仿射变换求逆运算；

b、然后传输到同构求逆部件进行同构求逆运算；

c、接着传输到陷门部件的模求幂部件和多项式求逆部件，依次进行模求幂运算、多项式求逆运算，多项式求逆运算得到一组或多组的解形成解集；

d、从解集中任选一组解传输到同构部件进行同构运算；

e、再传输到仿射变换求逆部件二进行仿射变换求逆运算；

f、最终所得的结果作为该消息的签名，处理器将该消息及其签名一起传输给终端用户；

(2)验证过程：

a、消息及其签名被传输到处理器，处理器存储消息及其签名后，再将签名传输到公钥变换部件；

b、公钥变换部件将签名代入公钥映射的各个多变量多项式里，所得的数据返回给处理器，处理器判断该数据与存储的消息是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

6.根据权利要求5所述的多变量公钥签名/验证方法，其特征在于，所述的步骤(1)签名过程包括：

a、收到待签名的消息(y₁',...,y_n')∈Fⁿ后，处理器将消息(y₁',...,y_n')∈Fⁿ存储并传输给仿射变换求逆部件一进行仿射变换求逆运算Fⁿ为有限域F的n维线性空间；

b、然后将传输到同构求逆部件进行同构求逆运算

c、接着将传输到陷门部件的模求幂部件和多项式求逆部件，依次进行模求幂运算和多项式求逆运算，即模求幂部件利用关系式t·v≡1mod(qⁿ-1)计算出t的逆v，进而计算然后多项式求逆部件利用概率的Berlekamp算法，求出关于未知变量的一组或多组解，由于该多项式方程可能有多解，且最多为d个，故将它的解集记为1≤i≤d；q为有限域F的阶；

d、从解集中任选一个解传输到同构部件进行同构运算

e、再将传输到仿射变换求逆部件二进行仿射变换求逆运算

f、最终所得的结果(x₁',...,x_n')作为该消息的签名，处理器将该消息(y₁',...,y_n')及其签名(x₁',...,x_n')一起传输给终端用户；

所述的步骤(2)验证过程包含：

a、消息(y₁',...,y_n')及其签名(x₁',...,x_n')被传输到处理器，处理器将它们存储，再将签名(x₁',...,x_n')传输到公钥变换部件；

b、公钥变换部件将签名(x₁',...,x_n')代入公钥映射P(x₁,...,x_n)的各个多变量多项式，即分别计算p₁(x₁',...,x_n'),...,p_n(x₁',...,x_n')，其值分别记为y₁”,...,y_n”，公钥变换部件将y₁”,...,y_n”传输给处理器，处理器判断y₁”,...,y_n”与原存储的消息(y₁',...,y_n')是否相等：若相等，处理器向终端用户输出“1”，说明签名有效；若不相等，处理器向终端用户输出“0”，说明签名无效。

7.根据权利要求5所述的多变量公钥签名/验证方法，其特征在于，在步骤(1)签名过程之前还包含以下步骤：当选择器处于开状态时，签名模块工作，其中选择器与处理器相连；

在步骤(2)验证过程之前还包含以下步骤：当选择器处于闭状态时，验证模块工作，其中选择器与处理器相连。

8.根据权利要求7所述的多变量公钥签名/验证方法，其特征在于，所述的处理器包含调度器、存储器，选择器与调度器相连，选择器的开状态、闭状态由处理器中的调度器识别、处理，存储在处理器中的数据由调度器控制、调度到各个相应的部件进行相应的操作。

9.根据权利要求5所述的多变量公钥签名/验证方法，其特征在于，所述的处理器还包含存储器，处理器中存储数据由存储器完成。