CN103986576A - 基于格的代理签名方法及系统 - Google Patents

Abstract

本发明提供了一种基于格的代理签名方法及系统，该代理签名方法包括密钥生成、代理签名密钥生成、代理者验证、代理签名、验证等步骤。本发明的有益效果是本发明基于格的代理签名方法及系统提出了一个基于格上小整数问题的代理签名方法，通过降低代理签名私钥的维数来降低代理签名私钥的尺寸。而且本发明在计算上主要使用的是矩阵乘法，与基于离散对数和分解大整数问题的方法相比，既不使用模指数运算，也没有配对运算，计算复杂度更低。

Description

基于格的代理签名方法及系统

技术领域

本发明涉及信息安全及加密技术领域，尤其涉及基于格的代理签名方法及系统。

背景技术

1996年，Mambo等[1]于提出代理签名概念.在代理签名方法中，原始签名者把其签名权利委托给代理签名者，由代理签名者代替完成签名.验证者可以区分这个签名是代理签名还是原始签名，保证了原始签名者的权利，即代理签名者不能伪造原始签名者的签名.随着对量子计算机及量子算法的深入研究，研究者发现利用量子计算机与量子算法可在多项式时间内解决大整数分解和离散对数问题[2]，基于这两种假设的方法在量子环境下将被攻破.因此，构造量子环境下安全的代理签名方法是非常有意义的.格公钥密码作为近年来发展最快、受关注程度最高的后量子密码之一，具有良好的密码学性质.第一，它是一个线性密码，其大多数运算都是矩阵-向量的乘积运算；第二，它是目前唯一一个可以保证最差情况与平均情况困难性等价的公钥密码.第三，目前还没有比传统算法更好的量子算法来解决格上的困难问题，那么我们可以说格公钥密码在量子环境下是安全的.在第一个格上的基于身份的加密与安全的格签名被提出后，格密码取得了大量优秀的成果[3-7]。

目前，很多学者对基于格的代理签名进行了研究，得到了一些成果.Jiang等[8]利用文献[4]的盆景树原理构造了一个基于格的代理签名方法.该方法的代理签名私钥的维数是原始签名私钥维数的2倍，并且代理者是未受保护的，即原始签名者可以伪造代理签名者的签名.夏峰等[9]和Wang等[10]分别利用盆景树原理构造了基于格的代理签名方法；Kim[11]、Biswas[12]和Swapna[13]等利用文献[6]固定维数的格基委托技术构造了一个基于身份的代理签名方法.固定维数的格基委托技术虽然没有增加代理签名私钥的维数，但是却明显增大了私钥的范数。

现有格上的代理签名方法中代理签名私钥的尺寸比原始签名者的私钥尺寸大的多，使得公、私钥尺寸过大是目前格密码发展的一个瓶颈。

参考文献包括：

MAMBO M,USUDA K,OKAMOTO K.Proxy signatures:Delegation of thepower to sign messages[J].IEICE Transactions on Fundamentals,1996,E79-A(9),1338-1353.

SHOR P W.Polynomial-time algorithm for prime factorization anddiscrete logarithm on a quantum computer[J].SIAM Journal onComputing,1997,26(5):1484-1509.

YAO,YANQING,LI ZHOUJUN,GUO HUA.A novel nonlinear networkcoding signature scheme determined by the SISproblem[J].International Journal of Security and itsApplications,2012,(6)2:403-408.

CASH D,HOFHEINZ D,KILTZ E,et al.Bonsai Trees,or How to Delegatea Lattice Basis[J].Journal of Cryptology,2012,25(4):601-639.

AGRAWAL S,BONEH D,BOYEN X.Efficient lattice(H)IBE in thestandard model[C]//.Gilbert H(ed.),EUROCRYPT2010.LNCS,Vol.6110,Berlin:Springer-Verlag,2010:553-572.

AGRAWAL S,BONEH D,BOYEN X.Lattice basis delegation in fixeddimension and shorter-ciphertext hierarchical IBE[C]//.Rabin T(ed.),CRYPTO2010.LNCS,Vol.6223,Berlin:Springer-Verlag,2010:98　115.

LYUBASHEVSKY V.Lattice signatures without trapdoors[C]//.Pointcheval D,Johansson T(eds.)Eurocrypt2012.LNCS,Vol.7237,Berlin:Springer-Verlag,2012:738-755.

Jiang Yali,Kong Fanyu,Ju Xiuling.Lattice-based Proxysignature[C]//.CIS2010.Nanning,China,2010:382-385.

夏峰，杨波，马莎，等.基于格的代理签名方法[J].湖南大学学报（自然科学版），2011，38(6):84-88.

WANG CHUNXIAO,QI MINGNAN.Lattice-based proxy signaturescheme[J].Journal of Information and Computational Science,2011,12(8):2451-2458.

KIM K S,HONG D,JEONG I R.Identity-Based Proxy Signature fromLattices[J].Journal of Communications and Networks,2013,15(1):1-7.

BISWAS S,MISC J,MISC V.An Identity-based Authentication Schemefor Safety Messages in Wave-enabled Vanets[J].InternationalJournal of Parallel,Emergent and Distributed Systems,2012,27(6):541-546.

SWAPNA G,REDDY P V,GOWRI T.Efficient identity-based multi-proxymulti-signcryption scheme using bilinear pairings over ellipticcurves[C]//.Gilbert H(ed.),ICACCI2013,Piscataway:IEEE,2013:418-423.

MICHAEL S L,TERRENCE J S.Learning Over CompleteRepresentations[J].Neural Computation,2000,12(2):337-365.

MICCIANCIO D,SHA GOLDWASSER.Complexity of Lattice Problems:aCryptographic Perspective[M].Boston:Kluwer Academic Publishers,2002:1-220.

Micciancio D,Regev O.Worst-case to average-case reductionsbased on Gaussian measures[C]//Proceedings of45th Annual IEEESymposium on Foundations of Computer Science.Rome:IEEE,2004:372　381.

Bellare M,Neven G.Multi-signatures in the plainpublic-key model and a general forking lemma[C]//.Proceedings ofACM CCS2006,Alexandria:IEEE,2006:390-399

发明内容

为了解决现有技术中的问题，本发明提供了一种基于格的代理签名方法。

本发明提供了一种基于格的代理签名方法，包括如下步骤：

密钥生成：随机选择矩阵原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)；

代理签名密钥生成：原始签名者利用代理签名者的身份信息id，计算代理签名密钥为S₂，对应的公钥为T₂，原始签名者把代理签名密钥S₂发送给代理者；

代理者验证：代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝；

代理签名：输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，进行签名；

验证：对代理签名进行验证；

该代理签名方法包括三个Hash函数： $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_1}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^k,{\left|\right|c\left|\right|}_1\&le;k_1\},H_2:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_2}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^l,{\left|\right|c\left|\right|}_1\&le;k_2\},$ H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，l<k<m，k_i满足i=1,2；其中，k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息。

作为本发明的进一步改进，在所述代理签名步骤中，签名包括如下步骤：

选择两个向量

计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；

在所述验证步骤中，输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c₁,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

作为本发明的进一步改进，将两个随机预言机合并为一个随机预言机，其输出长度为原长度的和，H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||₁≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，其中l<k<m；

在所述代理签名步骤中，输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，签名如下：

选择一个向量

计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

计算

以的概率输出(z,c)；

在所述验证步骤中，输入消息μ及其对应的签名(z,c)，矩阵A、T₁、T₂，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立，若成立，则接受，否则拒绝。

作为本发明的进一步改进，在所述代理签名密钥生成步骤中，原始签名者通过安全信道把代理签名密钥S₂发送给代理者。

本发明还提供了一种基于格的代理签名系统，包括：

密钥生成单元：用于随机选择矩阵S∈{-d,L,0,L,d}^m×k，S₁∈{-d,L,0,L,d}^m×k，原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)；

代理签名密钥生成单元：用于原始签名者利用代理签名者的身份信息id，计算U_id=H₃(id)∈{-1,0,1}^k×l，代理签名密钥为S₂，对应的公钥为T₂，原始签名者把代理签名密钥S₂发送给代理者；

代理者验证单元：用于代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝；

代理签名单元：用于输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，进行签名；

验证单元：用于对代理签名进行验证；

该代理签名系统包括三个Hash函数： $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_1}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^k,{\left|\right|c\left|\right|}_1\&le;k_1\},H_2:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_2}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^l,{\left|\right|c\left|\right|}_1\&le;k_2\},$ H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，l<k<m，k_i满足i=1,2；其中，k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息。

作为本发明的进一步改进，在所述代理签名单元中，包括：

向量选择模块：用于选择两个向量

第一计算模块：用于计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

第二计算模块：用于计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；

在所述验证单元中，输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c₁,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

作为本发明的进一步改进，将两个随机预言机合并为一个随机预言机，其输出长度为原长度的和，H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||₁≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，其中l<k<m；

在所述代理签名单元中，输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，在所述代理签名单元中包括：

向量选择单元：用于选择一个向量

第一计算单元：用于计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

第二计算单元：用于计算

以的概率输出(z,c)；

在所述验证单元中，输入消息μ及其对应的签名(z,c)，矩阵A、T₁、T₂，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立，若成立，则接受，否则拒绝。

作为本发明的进一步改进，在所述代理签名密钥生成单元中，原始签名者通过安全信道把代理签名密钥S₂发送给代理者。

本发明的有益效果是：本发明基于格的代理签名方法及系统提出了一个基于格上小整数问题的代理签名方法，通过降低代理签名私钥的维数来降低代理签名私钥的尺寸。而且本发明在计算上主要使用的是矩阵乘法，与基于离散对数和分解大整数问题的方法相比，既不使用模指数运算，也没有配对运算，计算复杂度更低。

具体实施方式

本发明公开了一种基于格的代理签名方法，首先对一些知识进行明确：

1.格，设B=(b₁,…,b_m)∈□^m×m是一个m×m阶矩阵，并且b₁,…,b_m∈□^m是线性无关的向量。一个m维满秩格Λ定义为向量b₁,…,b_m的所有整系数线性组合所构成的集合，即

这里b₁,…,b_m构成了格Λ的一组基。我们主要关注的是整数格，即格

定义1设α是一个向量，则α的l_p范数定义为||α||_p=(∑α_i ^p)^1/p，当p=2时，我们称为欧几里得范数。对于欧几里得范数，我们一般把||α||₂中的下标省略，记为||α||。

2.格上困难问题：

定义2[14]最短向量问题（shortest vector problem，SVP）：给定格的一组基B，找出格L(B)中的最短向量u，使得对格上的任意向量v，都有||u||≤||v||。

定义3[15]最短独立向量问题（shortest independent vector problem，SIVP）.设B是格Λ的一组基，目标是输出n个线性无关的格向量的集合，满足||S||≤γ(n)·λ_n(Λ)，这里λ_n(Λ)表示包含n个线性无关的格向量的球的最小半径。

定义4[16]小整数解问题SIS（Small Integer Solution Problem）：给定一个随机的矩阵和一个实数β，找到一个非零向量e，使得Ae=0(modq)且||e||≤β.

引理1[16]对于任意多项式边界的m，β=poly(n)，那么对任意的素数都有，平均情况下的SIS_q,m,β问题和ISIS_q,m,β问题与最差情况下的近似SIVP问题的困难度是相同的，其中近似SIVP问题的近似因子 $\mathrm{\&gamma;}=\mathrm{\&beta;}\&CenterDot;\tilde{O}\left(\sqrt{n}\right).$

引理2^[7]对于任意的矩阵m>64+n·logq/log(2d+1)，对随机选择的s∈{-d,L,0,L,d}^m，以1-2^-100的概率存在另一个s′∈{-d,L,0,L,d}^m使得As=As′。

3.离散高斯分布：

对于任意的σ>0，定义以c为中心，以σ为参数的高斯函数为：

对于任意c>0，实数σ>0，一个m维格Λ，定义格Λ上的离散高斯分布为：

$\&ForAll;x\&Element;\mathrm{\&Lambda;},D_{\mathrm{\&Lambda;},\mathrm{\&sigma;},c}\left(x\right)={\mathrm{\&rho;}}_{\mathrm{\&sigma;},c}\left(x\right)/{\mathrm{\&rho;}}_{\mathrm{\&sigma;},c}\left(\mathrm{\&Lambda;}\right).$

当c=0时，我们简写为D_Λ,σ。整数Z构成的格的高斯分布我们简写为D_σ,c。

引理3^[3]设q≥2，矩阵m>n。设T是格的一组基，那么对于c∈□^m，有

本发明基于格的代理签名方法主要利用格上的难题和无陷门签名和小范数矩阵传递的设计构造基于身份的代理签名方法.新方法的主要思想是利用无陷门签名和小范数矩阵传递技术控制代理签名私钥维数，从而降低代理签名私钥与代理签名的尺寸，从签名值中攻击者既不能得到单个私钥的倍式，也不能得到多个私钥的线性组合式，而只能得到多个私钥的复杂函数。比目前已有的方法，本文方法保持了简洁的计算，包括系统密钥生成、代理签名密钥生成、代理者验证、代理签名和签名验证共5个算法。

方法中的参数设置如下:k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息.该方法使用了三个Hash函数：

$H_1:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_1}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^k,{\left|\right|c\left|\right|}_1\&le;k_1\},$

$H_2:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_2}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^l,{\left|\right|c\left|\right|}_1\&le;k_2\},$

H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，这里l<k<m，k_i满足 $2^{k_i}\&CenterDot;\left(\begin{array}{c}n\\ k_i\end{array}\right)\&GreaterEqual;2^{100},$ i=1,2。

密钥生成：系统利用引理2随机选择矩阵S∈{-d,L,0,L,d}^m×k，S₁∈{-d,L,0,L,d}^m×k，原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)。

代理签名密钥生成：原始签名者利用代理签名者的身份信息id，计算U_id=H₃(id)∈{-1,0,1}^k×l，代理签名密钥为S₂，对应的公钥为T₂。原始签名者通过安全信道把代理签名密钥S₂发送给代理者。

代理者验证：代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝。

代理签名：输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，签名如下：

选择两个向量

计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；

验证：输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c₁,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

作为本发明的优先实施例，该基于格的代理签名方法可做进一步优化，把原来的两个随机预言机合并为一个随机预言机，其输出长度为原来长度的和，如H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||₁≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，这里l<k<m。优化后的方法可以提高近一倍的计算效率。

该优选实施例包括：

密钥生成：随机选择矩阵S∈{-d,L,0,L,d}^m×k，S₁∈{-d,L,0,L,d}^m×k，计算

原始签名者的公、私钥对为(A,T,S)，代理者自己的公、私钥对为(A,T₁,S₁)。

代理签名密钥生成：对于代理签名者id，计算U_id=H₃(id)∈{-1,0,1}^k×l，代理签名密钥为S₂，对应的公钥为T₂。原始签名者通过安全信道把代理签名密钥S₂发送给代理者。

代理者验证：代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝。

代理签名：输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，签名如下：

选择一个向量

计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

计算

以的概率输出(z,c)。

验证：输入消息μ及其对应的签名(z,c)，矩阵A、T1、T2，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立。若成立，则接受，否则，拒绝。

本发明基于格的代理签名方法与已有技术的对比：

首先假设hash函数的输出总是0，1均衡的.在基本参数相同的前提下，比较相关文献的代理私钥（不包括代理者自己的私钥以及所产生的签名）和代理签名的尺寸，结果如表1所示。

本发明方法涉及原始签名者和代理签名者之间的一条安全信道进行代理签名密钥发送，其所造成系统维护成本的主要是通信代价。在需要安全信道的方法中，一般需要在新节点与其直接通信的节点间建立安全信道。假设新节点与系统中t个节点进行直接通信，如果采用Diffie-Hellman密钥协商协议，需要2次数据通信，这样产生t个会话密钥，需要进行2t次数据通信。为了比较的方便，假设系统中用户总人数为t，代理签名人总数为p，并假设模乘运算和双线性对运算代价等。由表1可知，与不需要安全信道的方法（文献[8]和文献[11]）相比，本发明方法虽然增加了一定的系统通信代价，但是本发明方法代理私钥和代理签名的尺寸上的降低所带来的系统带宽的节省和计算量的减小，能完全弥补安全信道的维护成本。

表1相关方法的代理私钥、代理签名的长度和通信代价比较：

其中，L是记录对消息的签名询问记录的列表，M为签名消息长度，n为系统安全参数，m和q均为n的函数，k为Hash函数的输出长度，对于参数d、σ，取d=1，对于上述的尺寸结果，是通过范数来估计的。

本发明方法在重签名密钥生成、签名以及验证过程中除使用了一个杂凑运算外，主要使用的是小整数上的线性运算，签名和验证计算复杂度分别为ο(n)、ο(n²)，比较相关文献的方法的性能，结果如表2所示.由表2可以看出本发明方法与现有文献方法相比性能更好或者相当。

表2相关方法的性能比较：

表3是本文方法与相关文献安全性的对比.本文的方法基于Full-ID模型,该模型比Selective-ID和Generalized Selective-ID模型安全.基于大数分解困难性或以离散对数困难性的签名方法在未来量子计算环境下已经被证明是不安全的,而基于格上最短向量困难问题（SVP）或格上最短独立向量困难问题（SIVP）的签名方法是未来的可能选择。

表3相关方法的安全性比较：

此外，文献[8,11-13]虽然给出了代理签名方法安全性的完整证明,但在这4篇文献中所定义的各种攻击情况缺乏逻辑上的联系,不能构成一个完备的整体;并且没有对代理签名方法存在的攻击情况进行深入分析,没有对敌手的能力进行进一步刻画。所以,这些种攻击情况是否是对代理签名方法中各种攻击情况的完备覆盖还需要进一步研究.由安全性证明可知，本发明对代理签名方法的安全分析进行完整的形式化定义。同时,证明本专利方法具有在自适应选择消息攻击下存在基于身份的代理签名不可伪造性,因此本发明方法与其他文献提出的代理签名方法相比,具有更完备的可证安全性.在抗已知攻击方面，本发明提出的方法攻击者既不能从签名值中得到单个私钥的倍式,也不能得到多个私钥的线性组合式,而只能得到多个私钥的复杂函数,因此使得本发明方法比现有文献能抵抗更多的攻击方式。

因此,本发明方法在综合以上私钥和签名长度、安全性和计算量等各方面有明显的优势。

本发明还公开了一种基于格的代理签名系统，包括：

密钥生成单元：用于随机选择矩阵S∈{-d,L,0,L,d}^m×k，S₁∈{-d,L,0,L,d}^m×k，原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)；

代理签名密钥生成单元：用于原始签名者利用代理签名者的身份信息id，计算U_id=H₃(id)∈{-1,0,1}^k×l，代理签名密钥为S₂，对应的公钥为T₂，原始签名者通过安全信道把代理签名密钥S₂发送给代理者；

代理者验证单元：用于代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝；

代理签名单元：用于输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，进行签名；

验证单元：用于对代理签名进行验证；

该代理签名系统包括三个Hash函数： $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_1}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^k,{\left|\right|c\left|\right|}_1\&le;k_1\},H_2:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;D_{H_2}=\{c:c\&Element;{\{-\mathrm{1,0,1}\}}^l,{\left|\right|c\left|\right|}_1\&le;k_2\},$ H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，l<k<m，k_i满足i=1,2；其中，k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息。

作为该代理签名系统的一个实施例，在所述代理签名单元中，包括：

向量选择模块：用于选择两个向量

第一计算模块：用于计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

第二计算模块：用于计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；

在所述验证单元中，输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c1_,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

作为该代理签名系统的另一个实施例，将两个随机预言机合并为一个随机预言机，其输出长度为原长度的和，H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||1≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，其中l<k<m；

在所述代理签名单元中，输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，在所述代理签名单元中包括：

向量选择单元：用于选择一个向量

第一计算单元：用于计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

第二计算单元：用于计算

以的概率输出(z,c)；

在所述验证单元中，输入消息μ及其对应的签名(z,c)，矩阵A、T₁、T₂，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立，若成立，则接受，否则拒绝。

在所述代理签名密钥生成单元中，原始签名者通过安全信道把代理签名密钥S₂发送给代理者。

本发明基于格的代理签名方法及系统提出了一个基于格上小整数问题的代理签名方法，通过降低代理签名私钥的维数来降低代理签名私钥的尺寸。而且本发明在计算上主要使用的是矩阵乘法，与基于离散对数和分解大整数问题的方法相比，既不使用模指数运算，也没有配对运算，计算复杂度更低。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (8)

1.一种基于格的代理签名方法，其特征在于，包括如下步骤：

密钥生成：随机选择矩阵原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)；

代理签名密钥生成：原始签名者利用代理签名者的身份信息id，计算代理签名密钥为S₂，对应的公钥为T₂，原始签名者把代理签名密钥S₂发送给代理者；

代理者验证：代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝；

代理签名：输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，进行签名；

验证：对代理签名进行验证；

该代理签名方法包括三个Hash函数： H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，l<k<m，k_i满足i=1,2；其中，k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息。

2.根据权利要求1所述的代理签名方法，其特征在于：在所述代理签名步骤中，签名包括如下步骤：

选择两个向量

计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；在所述验证步骤中，输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c₁,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

3.根据权利要求1所述的代理签名方法，其特征在于：将两个随机预言机合并为一个随机预言机，其输出长度为原长度的和，H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||₁≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，其中l<k<m；

在所述代理签名步骤中，输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，签名如下：

选择一个向量

计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

计算

以的概率输出(z,c)；

在所述验证步骤中，输入消息μ及其对应的签名(z,c)，矩阵A、T₁、T₂，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立，若成立，则接受，否则拒绝。

4.根据权利要求1至3任一项所述的代理签名方法，其特征在于：在所述代理签名密钥生成步骤中，原始签名者通过安全信道把代理签名密钥S2发送给代理者。

5.一种基于格的代理签名系统，其特征在于，包括：

密钥生成单元：用于随机选择矩阵S₁∈{-d,L,0,L,d}^m×k，原始签名人通过计算得到原始签名者的公、私钥对为(A,T,S)，代理者通过计算得到代理者的公、私钥对为(A,T₁,S₁)；

代理签名密钥生成单元：用于原始签名者利用代理签名者的身份信息id，计算代理签名密钥为S₂，对应的公钥为T₂，原始签名者把代理签名密钥S₂发送给代理者；

代理者验证单元：用于代理者收到代理签名密钥后，检查AS₂=TU_idmodq是否成立，若成立，则接受代理签名密钥，否则拒绝；

代理签名单元：用于输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，进行签名；

验证单元：用于对代理签名进行验证；

该代理签名系统包括三个Hash函数： H₃:id→{-1,0,1}^k×l，其中H₁,H₂被看作为随机预言机，l<k<m，k_i满足i=1,2；其中，k,l为正整数,m是中心映射方程的个数，n是变量的个数，q为安全素数,id为代理签名者的身份信息。

6.根据权利要求5所述的代理签名系统，其特征在于：在所述代理签名单元中，包括：

向量选择模块：用于选择两个向量

第一计算模块：用于计算c₁=H₁(Ay₁,μ)∈{-1,0,1}^k，c₂=H₂(Ay₂,μ)∈{-1,0,1}^l；

第二计算模块：用于计算

以的概率输出(z₁,c₁)，以的概率输出(z₂,c₂)；在所述验证单元中，输入消息μ及其对应的签名(z₁,c₁)，(z₂,c₂)，矩阵A、T₁、T₂，验证c₁=H₁(Az₁-T₁c₁,μ)，c₂=H₂(Az₂-T₂c₂,μ)是否同时成立，若成立，则接受，否则，拒绝。

7.根据权利要求5所述的代理签名系统，其特征在于：将两个随机预言机合并为一个随机预言机，其输出长度为原长度的和，H₂:{0,1}^*→{c:c∈{-1,0,1}^k+l,||c||₁≤k}，这里H₂被看作为随机预言机，另一个Hash函数为H₁:id→{-1,0,1}^k×l，其中l<k<m；

在所述代理签名单元中，输入一个消息μ，代理者自己的私钥S₁，代理签名密钥S₂，在所述代理签名单元中包括：

向量选择单元：用于选择一个向量

第一计算单元：用于计算c=H₂(Ay,μ)∈{-1,0,1}^k+l；

第二计算单元：用于计算

以的概率输出(z,c)；

在所述验证单元中，输入消息μ及其对应的签名(z,c)，矩阵A、T1、T2，验证c=H₂(Az-(T₁||T₂)c₁,μ)是否同时成立，若成立，则接受，否则拒绝。

8.根据权利要求5至7任一项所述的代理签名系统，其特征在于：在所述代理签名密钥生成单元中，原始签名者通过安全信道把代理签名密钥S2发送给代理者。