CN104009848B - 一种混合型的多变量数字签名系统及方法 - Google Patents

Abstract

本发明公开了一种混合型的多变量数字签名系统，包含用于对待签名的消息进行签名处理的签名模块和用于对消息及其签名进行验证处理的验证模块，签名模块包括数据输入输出端、单刀双掷开关、处理器、仿射变换部件、随机生成器、解线性方程组部件和仿射变换求逆部件，验证模块包括数据输入输出端、单刀双掷开关、处理器和公钥验证部件。本发明的系统及方法，在选择适当参数下可以抵御多变量公钥密码目前已知的代数攻击，如分离攻击、秩攻击、直接攻击和穷举攻击等，其安全性高，可达284以上的安全水平，且签名速度较快。

Description

一种混合型的多变量数字签名系统及方法

技术领域

本发明涉及信息安全领域，特别涉及一种混合型的多变量数字签名系统及方法。

背景技术

多变量公钥密码是一类非常重要的后量子密码，它的公钥是一组有限域F上多变量二次(或以上)多项式方程，它的安全性依赖于解有限域F上多变量二次多项式方程组是一类NP困难问题。

多变量公钥密码(包括加密系统和数字签名系统)主要分为双极型系统、混合型系统和IP系列系统。

目前大部分的多变量公钥密码系统都是双极型系统，而大部分方案都是不安全的，如著名的MI系统(或称C^*方案)被线性化方程攻击和Kipnis-Shamir攻击所打破，基本的Oil-Vinegar系统被分离攻击所打破，四层的Rainbow系统也被高秩攻击和分离带攻击所打破,PMI系统也被差分攻击所打破……。另外，混合型系统存量稀少，仅有的Dragon系统也是不安全的。这些现有的多变量公钥密码系统之所以受到代数攻击的主要原因是它们在结构上存在漏洞或缺陷，也就是说，它们所基于的陷门函数是不安全的。

因此人们需要一种更加安全的数字签名系统，以满足需求。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种混合型的多变量数字签名系统，其结构是混合型的，能够克服现有系统在设计上的缺陷，安全性和运算效率高，同时也可用于认证场合。

本发明的另一目的在于提供一种混合型的多变量数字签名方法。

本发明的目的通过以下的技术方案实现：

一种混合型的多变量数字签名系统，包含：

A、签名模块，用于对待签名的消息进行签名处理，其包括数据输入输出端、单刀双掷开关、处理器、仿射变换部件、随机生成器、解线性方程组部件和仿射变换求逆部件，当单刀双掷开关第2端处于通路时，签名模块工作，处理器首先存储输入端传输过来的消息数据，然后再将消息数据传输给仿射变换部件进行仿射变换运算，接着仿射变换部件输出的数据触发随机生成器工作，随机生成器生成一组随机数，然后随机生成器将仿射变换部件输出的数据和随机数一起传输给解线性方程组部件进行线性方程组求解操作，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数，直到解线性方程组部件能够产生唯一一组解，接下来解线性方程组部件将该组解和对应的随机数一起传输给仿射变换求逆部件进行仿射变换求逆运算，产生所要的签名并返回给处理器，处理器最终将原先存储的消息数据及其签名一起输出到终端用户，整个过程的调度由处理器中的调度器进行处理；

B、验证模块，用于对消息及其签名进行验证处理，其包括数据输入输出端、单刀双掷开关、处理器和公钥验证部件，当单刀双掷开关第1端处于通路时，验证模块工作，处理器首先将输入端传输过来的数据存储起来，该数据包含消息数据和签名数据，然后将消息数据及其签名数据传输给公钥验证部件进行验证操作，若验证成功，则公钥验证部件输出“1”并返回给处理器，否则，则公钥验证部件输出“0”并返回给处理器，最终处理器将“1”或“0”输出到终端用户，其中“1”表示该签名有效，“0”表示该签名无效，整个过程的调度由处理器中的调度器进行处理。

本发明的另一目的是通过以下的技术方案来实现的：

一种混合型的多变量数字签名方法，包含：

(1)签名过程：

a、处理器收到消息数据后将其存储起来并传输给仿射变换部件进行仿射变换运算，产生新数据结果；

b、仿射变换部件产生的数据传输到随机生成器并触发随机生成器产生一组随机数；

c、随机生成器将仿射变换部件输出的数据和随机数一起传输给解线性方程组部件进行线性方程求解操作，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数，即不断重复步骤b和c直到解线性方程部件能够产生唯一一组解；

d、解线性方程组部件将方程解和对应的随机数一起传输到仿射变换求逆部件进行仿射变换求逆运算，产生新数据结果；

e、仿射变换求逆部件产生的数据返回给处理器并作为原消息的签名，处理器将原先存储的消息及其签名一起传输给终端用户；

(2)验证过程：

a、收到消息数据和签名数据后，处理器存储这些数据并将它们传输到公钥验证部件进行验证操作，并输出“1”或“0”；

b、公钥验证部件将“1”或“0”返回给处理器，处理器最终向终端用户输出“1”或“0”。

所述混合型的多变量数字签名方法，具体包含以下步骤：

(1)签名过程：

a、处理器收到消息数据Y'＝(y₁',...,y_r')∈F^r后将其存储起来并传输给仿射变换部件进行仿射变换运算产生新数据结果

b、仿射变换部件产生的数据传输到随机生成器并触发随机生成器产生一组随机数t₁',...,t_b'∈F；

c、随机生成器将仿射变换部件输出的数据和随机数t₁',...,t_b'一起传输给解线性方程组部件进行线性方程组求解操作，其中z₁,...,z_g是未知变量，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数t₁',...,t_b'∈F，即不断重复步骤b和c直到解线性方程部件能够产生唯一一组解Z'＝(z₁',...,z_g')；

d、解线性方程组部件将方程解Z'＝(z₁',...,z_g')和对应的随机数t₁',...,t_b'一起传输到仿射变换求逆部件进行仿射变换求逆运算产生新数据结果X'＝(x₁',...,x_g+b')；

e、仿射变换求逆部件产生的数据X'＝(x₁',...,x_g+b')返回给处理器并作为原消息的签名，处理器将原先存储的消息Y'＝(y₁',...,y_r')及其签名X'＝(x₁',...,x_g+b')一起传输给终端用户；

(2)验证过程：

a、收到消息数据Y'＝(y₁',...,y_r')和签名数据X'＝(x₁',...,x_g+b')后，处理器存储这些数据并将它们传输到公钥验证部件进行验证操作若方程组中的每个方程左边都等于其右边，则输出“1”，否则输出“0”；

b、公钥验证部件将“1”或“0”返回给处理器，处理器最终向终端用户输出“1”或“0”，其中“1”表示该签名有效，“0”表示该签名无效。

本发明所述的混合型的多变量数字签名系统及方法，涉及到的数学知识与工具如下：

(1)系统所有的运算都是建立在具有q个元素的有限域F上，r、g和b均为正整数，且r+g+b＝n；

(2)两个可逆仿射变换S₁:F^r→F^r和S₂:F^g+b→F^g+b，一个可逆线性变换S₃:F^g→F^g；

(3)一个中心映射W:Fⁿ→F^g，它的定义如下：

W(y₁,...,y_r,z₁,...,z_g,t₁,...,t_b)＝(w₁,...,w_g)，

这里的w₁,...,w_g∈F[y₁,...,y_r,z₁,...,z_g,t₁,...,t_b]，它们的形式为

(4)一个公钥映射它的定义为

(5)系统的私钥分别为S₁、S₂、S₃和中心映射W。

(6)在系统初始化后，以上相关映射数据是保存在存储器里面，在系统工程过程中，它们由处理器中的调度器控制和调度到各个相应的部件里进行相关操作。

本发明与现有技术相比，具有如下优点和有益效果：

第一，目前大部分的多变量公钥密码都是双极型系统，该类系统往往因在结构上存在漏洞或不足而遭到严重的攻击，而本发明是一种混合型的多变量公钥密码系统，它巧妙地“混合”了系统中各类变量，使得结构在本质上更复杂，能够更好地防止敌手利用代数手段进行攻击。

第二，目前多变量公钥密码系统都存在着一个弱点，那就是陷门函数的“二次交叉项”很少，这往往也导致结构上出现漏洞而受到攻击。而本发明设计了一种特殊而安全的陷门函数，使得系统在结构上存在更多的“二次交叉项”。

第三，在适当的系统参数下，本发明系统可以抵御多变量公钥密码目前已知的代数攻击，如分离攻击、秩攻击、直接攻击和穷举攻击等，其安全性高，可达2⁸⁴以上的安全水平。

第四，本发明产生签名和验证签名的速度都比大部分的多变量数字签名系统要快，包括申请号为201310425390.2，名称为“一种多变量公钥签名/验证系统及签名/验证方法”的发明专利申请，其产生签名和验证签名的速度也没有本发明所述的技术方案快。本发明的Magma程序在一台2.50GHz的普通工作站上产生一个安全参数范围内的签名仅需0.190秒，这远远可满足高效签名场合的需求。

第五，本发明产生签名的功耗很低，可应用于低功耗设备，如智能卡、无线传感网络和射频识别电子标签等。

第六，本发明也可以用于认证场合，即可作为认证系统中重要的组成部分，如身份或属性识别、双方或多方认证以及密钥交换协议等。

附图说明

图1为本发明所述混合型的多变量数字签名系统的结构示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

如图1，一种混合型的多变量数字签名系统，包含：

A、签名模块，用于对待签名的消息进行签名处理，其包括数据输入输出端、单刀双掷开关、处理器、仿射变换部件、随机生成器、解线性方程组部件和仿射变换求逆部件，当单刀双掷开关第2端处于通路时，签名模块工作，处理器首先存储输入端传输过来的消息数据，然后再将消息数据传输给仿射变换部件进行仿射变换运算，接着仿射变换部件输出的数据触发随机生成器工作，随机生成器生成一组随机数，然后随机生成器将仿射变换部件输出的数据和随机数一起传输给解线性方程组部件进行线性方程组求解操作，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数，直到解线性方程组部件能够产生唯一一组解，接下来解线性方程组部件将该组解和对应的随机数一起传输给仿射变换求逆部件进行仿射变换求逆运算，产生所要的签名并返回给处理器，处理器最终将原先存储的消息数据及其签名一起输出到终端用户，整个过程的调度由处理器中的调度器进行处理；

B、验证模块，用于对消息及其签名进行验证处理，其包括数据输入输出端、单刀双掷开关、处理器和公钥验证部件，当单刀双掷开关第1端处于通路时，验证模块工作，处理器首先将输入端传输过来的数据存储起来，该数据包含消息数据和签名数据，然后将消息数据及其签名数据传输给公钥验证部件进行验证操作，若验证成功，则公钥验证部件输出“1”并返回给处理器，否则，则公钥验证部件输出“0”并返回给处理器，最终处理器将“1”或“0”输出到终端用户，其中“1”表示该签名有效，“0”表示该签名无效，整个过程的调度由处理器中的调度器进行处理。

一种混合型的数字签名方法，包含以下顺序的步骤：

1、系统初始化：

(1)有限域F＝GF(7)，即具有7个元素的域，r＝3,g＝4,b＝2和n＝9；

(2)可逆仿射变换

可逆仿射变换

以及可逆线性变换

(3)中心映射W＝(w₁,w₂,w₃,w₄)，其中w₁,w₂,w₃,w₄∈F[x₁,...,x₉]，这里为了直观方便，用x₁,...,x₉分别代替y₁,y₂,y₃,z₁,z₂,z₃,z₄,t₁,t₂，得到：

(4)由以上(1-3)可知为：

2、签名过程：

当系统初始化之后，如果单刀双掷开关处于第2端通路时，我们就可以对消息进行签名操作，下面我们以消息Y'＝(3,4,6)为例详细说明整个签名的过程：

a、处理器收到消息数据Y'＝(3,4,6)后将其存储起来并传输给仿射变换部件进行仿射变换运算产生新数据结果

b、仿射变换部件产生的数据传输到随机生成器并触发随机生成器产生一组随机数(1,2)；

c、随机生成器将仿射变换部件输出的数据和随机数(1,2)一起传输给解线性方程组部件进行线性方程组W(2,4,3,x₄,x₅,x₆,x₇,1,2)＝(0,...,0)求解操作，其中x₄,x₅,x₆,x₇是未知变量，这里线性方程组有唯一一组解Z'＝(1,5,1,0)；

d、解线性方程组部件将方程解Z'＝(1,5,1,0)和对应的随机数(1,2)一起传输到仿射变换求逆部件进行仿射变换求逆运算

产生新数据结果X'＝(3,4,4,1,4,0)；

e、仿射变换求逆部件产生的数据X'＝(3,4,4,1,4,0)返回给处理器并作为原消息的签名，处理器将原先存储的消息Y'＝(3,4,6)及其签名X'＝(3,4,4,1,4,0)一起传输给终端用户；

3、验证过程：

如果单刀双掷开关处于第1端通路时，我们就可以对消息进行验证操作：

a、收到消息数据Y'＝(3,4,6)和签名数据X'＝(3,4,4,1,4,0)后，处理器存储这些数据并将它们传输到公钥验证部件进行验证操作显然这个方程组的每个方程的左边都等于其右边，因此输出“1”；

b、公钥验证部件将“1”返回给处理器，处理器最终向终端用户输出“1”以表示该签名有效。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (3)

1.一种混合型的多变量数字签名系统，其特征在于，包含：

A、签名模块，用于对待签名的消息进行签名处理，其包括数据输入输出端、单刀双掷开关、处理器、仿射变换部件、随机生成器、解线性方程组部件和仿射变换求逆部件，当单刀双掷开关第2端处于通路时，签名模块工作，处理器首先存储输入端传输过来的消息数据，然后再将消息数据传输给仿射变换部件进行仿射变换运算，接着仿射变换部件输出的数据触发随机生成器工作，随机生成器生成一组随机数，然后随机生成器将仿射变换部件输出的数据和随机数一起传输给解线性方程组部件进行线性方程组求解操作，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数，直到解线性方程组部件能够产生唯一一组解，接下来解线性方程组部件将该组解和对应的随机数一起传输给仿射变换求逆部件进行仿射变换求逆运算，产生所要的签名并返回给处理器，处理器最终将原先存储的消息数据及其签名一起输出到终端用户，整个过程的调度由处理器中的调度器进行处理；

B、验证模块，用于对消息及其签名进行验证处理，其包括数据输入输出端、单刀双掷开关、处理器和公钥验证部件，当单刀双掷开关第1端处于通路时，验证模块工作，处理器首先将输入端传输过来的数据存储起来，该数据包含消息数据和签名数据，然后将消息数据及其签名数据传输给公钥验证部件进行验证操作，若验证成功，则公钥验证部件输出“1”并返回给处理器，否则，则公钥验证部件输出“0”并返回给处理器，最终处理器将“1”或“0”输出到终端用户，其中“1”表示该签名有效，“0”表示该签名无效，整个过程的调度由处理器中的调度器进行处理。

2.一种混合型的多变量数字签名方法，其特征在于，包含：

(1)签名过程：

a、处理器收到消息数据后将其存储起来并传输给仿射变换部件进行仿射变换运算，产生新数据结果；

b、仿射变换部件产生的数据传输到随机生成器并触发随机生成器产生一组随机数；

c、随机生成器将仿射变换部件输出的数据和随机数一起传输给解线性方程组部件进行线性方程求解操作，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数，即不断重复步骤b和c直到解线性方程部件能够产生唯一一组解；

d、解线性方程组部件将方程解和对应的随机数一起传输到仿射变换求逆部件进行仿射变换求逆运算，产生新数据结果；

e、仿射变换求逆部件产生的数据返回给处理器并作为原消息的签名，处理器将原先存储的消息及其签名一起传输给终端用户；

(2)验证过程：

a、收到消息数据和签名数据后，处理器存储这些数据并将它们传输到公钥验证部件进行验证操作，并输出“1”或“0”；

b、公钥验证部件将“1”或“0”返回给处理器，处理器最终向终端用户输出“1”或“0”。

3.根据权利要求2所述混合型的多变量数字签名方法，其特征在于，具体包含以下步骤：

(1)签名过程：

a、处理器收到消息数据Y'＝(y₁',...,y_r')∈F^r后将其存储起来并传输给仿射变换部件进行仿射变换运算产生新数据结果

b、仿射变换部件产生的数据传输到随机生成器并触发随机生成器产生一组随机数t₁',...,t_b'∈F；

c、随机生成器将仿射变换部件输出的数据和随机数t₁',...,t_b'一起传输给解线性方程组部件进行线性方程组求解操作，其中z₁,...,z_g是未知变量，若线性方程组无解或多解，则系统继续将仿射变换部件输出的数据返回给随机生成器，再次触发随机生成器产生新一轮的随机数t₁',...,t_b'∈F，即不断重复步骤b和c直到解线性方程部件能够产生唯一一组解Z'＝(z₁',...,z_g')；

d、解线性方程组部件将方程解Z'＝(z1',...,zg')和对应的随机数t1',...,tb'一起传 输到仿射变换求逆部件进行仿射变换求逆运算 <mrow> <msup> <mi>X</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <mrow> <mo>(</mo> <msup> <msub> <mi>x</mi> <mn>1</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msup> <msub> <mi>x</mi> <mrow> <mi>g</mi> <mo>+</mo> <mi>b</mi> </mrow> </msub> <mo>&amp;prime;</mo> </msup> <mo>)</mo> </mrow> <mo>=</mo> <msubsup> <mi>S</mi> <mn>2</mn> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mrow> <mo>(</mo> <msup> <msub> <mi>z</mi> <mn>1</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msup> <msub> <mi>z</mi> <mi>g</mi> </msub> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <msup> <msub> <mi>t</mi> <mn>1</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <mo>.</mo> <mo>.</mo> <mo>.</mo> <mo>,</mo> <msup> <msub> <mi>t</mi> <mi>b</mi> </msub> <mo>&amp;prime;</mo> </msup> <mo>)</mo> </mrow> <mo>,</mo> </mrow> 产生新数据结果X'＝(x1',...,xg+b')；

e、仿射变换求逆部件产生的数据X'＝(x₁',...,x_g+b')返回给处理器并作为原消息的签名，处理器将原先存储的消息Y'＝(y₁',...,y_r')及其签名X'＝(x₁',...,x_g+b')一起传输给终端用户；

(2)验证过程：

a、收到消息数据Y'＝(y₁',...,y_r')和签名数据X'＝(x₁',...,x_g+b')后，处理器存储这些数据并将它们传输到公钥验证部件进行验证操作若方程组中的每个方程左边都等于其右边，则输出“1”，否则输出“0”；

b、公钥验证部件将“1”或“0”返回给处理器，处理器最终向终端用户输出“1”或“0”，其中“1”表示该签名有效，“0”表示该签名无效。