CN104052607B - 基于非球面高斯抽样的签名验证方法 - Google Patents

Abstract

本发明公开了一种基于非球面高斯抽样的签名验证方法，主要解决现有基于高斯抽样的签名技术在模数不为2的幂时执行效率低下的问题。其实现步骤为：(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk；(2)利用签名密钥sk生成扩展矩阵A_M的陷门矩阵R'；(3)利用扩展矩阵A_M的陷门矩阵R'对选择的签名消息M进行签名，得到服从非球面高斯分布的签名sign；(4)利用验证密钥vk验证签名sign的合法性。本发明通过非球面高斯抽样，极大地减少了签名验证方法的计算量，可用于基于格的公钥密码中的签名和基于身份的加密中个人私钥的生成。

Description

基于非球面高斯抽样的签名验证方法

技术领域

本发明属于信息安全技术领域，更进一步涉及一种签名验证方法，可用于基于格的公钥密码中的签名和基于身份的加密中个人私钥的生成。

背景技术

人类即将进入量子信息时代，基于格的公钥密码作为后量子密码即抵抗量子计算攻击的密码的典型代表，在密码学领域占据重要地位。基于格的公钥密码的具有特殊优点：(1)清晰的安全性证明，即良好的规约特性。格上的困难问题具有从最差情况到平均情况规约的特性，这可以保证解决一个格上随机困难问题实例相当于解决最差情况下的格困难问题，其他密码原型都不具备这种特性。(2)丰富多彩的服务功能。格公钥密码容易实现群签名、盲签名、基于身份的密码系统、分级安全系统和安全多方计算系统等，甚至提供安全的环同态运算。因此，近年来基于格的上述密码体制得到飞速发展。然而，格公钥密码的安全性和效率还严重受制于格上陷门的质量，即陷门基的尺寸和陷门基上高斯抽样的标准偏差。

Micciancio和Peikert两位学者在2012年提出了一种MP12陷门生成方案，这种方案简洁、紧凑、生成陷门的速度快且生成陷门的质量达到了拟最优的程度；同时他们也给出了该陷门上的高斯抽样算法，该高斯抽样算法在保证安全性的同时，很大程度上提高了执行效率。但是这种算法在模数不为2的幂时其执行效率仍然不高，使得运行时间长，且占用空间大，造成签名或私钥生成时会产生更多的时间开销和存储空间消耗。

发明内容

本发明的目的在于针对原高斯抽样算法中在模数不为2的幂时执行效率低下的不足，提出一种执行效率高、运行时间短、占用存储空间小的基于高斯抽样的签名验证方法，以减小签名生成时的时间开销和存储空间消耗。

为实现上述目的，本发明的基于高斯抽样的签名验证方法包括以下步骤：

(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk：

(1a)从签名消息空间{0,1}^l选择需要的签名消息M，其中l为签名消息长度；

(1b)选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布，其中q为模数，表示整数模q的环，n为安全参数，为满足的整数，w＝nk，k为满足2^k-1＜q≤2^k的整数，表示模q的阶整数矩阵，表示阶整数矩阵；

(1c)令校验矩阵选择l+1个随机矩阵使得每个矩阵的每个元素服从上的均匀分布，其中i＝0,1,…,l；选择随机向量使其每个元素服从上的均匀分布，其中表示模q的n×m阶整数矩阵，表示模q的n维整数列向量，表示模q的n×w阶整数矩阵，表示模q的k维整数行向量；

(1d)令签名密钥sk＝R，验证密钥vk＝(A,A₀,…,A_l,u)；

(2)利用签名密钥sk生成扩展矩阵A_M的陷门矩阵R'：

(2a)令和矩阵A_Σ＝A₀+∑_i∈[l]M_iA_i，扩展矩阵其中表示模q的n×m'阶整数矩阵，m'＝m+w，M_i∈{0,1}，表示签名消息M的第i比特，[l]＝{1,2,…,l}；

(2b)令表示向量分别表示差矩阵G-A_Σ的每个列，即[u₁,u₂,…,u_w]＝G-A_Σ；

(2c)令非球面干扰抽样的协方差矩阵其中干扰尺寸r为一个大于0的实数，I_m表示m阶的单位矩阵，表示阶的单位矩阵，I_w表示w阶的单位矩阵，表示乘积矩阵的最大特征值，R^t表示陷门矩阵R的转置矩阵，表示基本高斯抽样的协方差矩阵，σ表示基本高斯抽样的标准偏差，λ₁表示∑₀的最大特征值，表示线性扩张的协方差矩阵；

(2d)抽取非球面干扰向量即从中抽取近似服从分布的向量p，其中 x^t表示向量的转置向量，表示m维整数列向量；

(2e)令校验向量v＝u₁-Ap，抽取基本向量即从中抽取近似服从分布的向量z，其中表示格Λ^⊥(G)的一个陪集，满足Gx＝v mod q，表示w维整数列向量；

(2f)令最终非球面高斯抽样结果其中表示对基本高斯抽样结果z的线性扩张；

(2g)对于i＝2,…,w，分别用第i个表示向量u_i替换第1个表示向量u₁，重复执行步骤(2d)～(2f)，得到对应的最终非球面高斯抽样结果y_i；

(2h)用y₁,y₂,…,y_w这w个最终非球面高斯抽样结果按列组合成扩展矩阵A_M的陷门矩阵R'，即R'＝[y₁,y₂,…,y_w]；

(3)对选择的签名消息M进行签名：

将校验向量v替换为随机向量u，校验矩阵A替换为扩展矩阵A_M，陷门矩阵R替换为扩展矩阵A_M的陷门矩阵R'，校验矩阵A的列数m替换为扩展矩阵A_M的列数m'，执行步骤(2d)～(2f)，得到签名其中表示m'阶整数列向量；

(4)验证签名sign的合法性：

将签名sign的欧几里得范数||sign||与乘积比较，并且验证签名sign是否为线性映射下随机向量u的原像：若且A_M·sign＝u，则接受该签名sign，否则拒绝。

本发明与现有技术相比，具有如下优点：

1)本发明无需计算和存储陷门基的施密特正交化矩阵，也无需计算内积，主要计算部分仅仅进行n次以小数为中心的整数高斯抽样和n(k-1)次以整数为中心的整数高斯抽样即可；

2)本发明通过采用这种非球面的基本高斯抽样技术，极大地减少了基于高斯抽样的签名验证方法的计算量，也降低计算过程中的存储空间消耗，因而很大程度上提高了签名的执行效率；

3)本发明的最终签名结果服从非球面高斯分布，其欧几里得范数值更小，这进一步减少基于高斯抽样签名过程中的计算量和存储空间消耗，因而进一步提高签名的执行效率。

附图说明

图1为本发明使用的场景图；

图2为本发明实现的流程图。

具体实施方式：

下面结合附图对本发明做进一步的描述。

如图1所示，场景中的签名者S对需要签名的消息M进行签名，而验证者V对该签名的合法性进行验证。

参照图2，本发明在图1场景中进行签名的步骤如下：

步骤1，签名者S选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk。

(1a)从签名消息空间{0,1}^l选择需要的签名消息M，其中l为签名消息长度，满足不等式l≤(τ-1)·n，其中τ为q的最小素因子，q为模数且不为2的幂，n为安全参数；

(1b)选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布；通常，陷门矩阵R的每个元素以的概率取0，以的概率取1，以的概率取-1，其中表示整数模q的环，为满足的整数，w＝nk，k为满足2^k-1＜q≤2^k的整数，表示模q的阶整数矩阵，表示阶整数矩阵；

(1c)令校验矩阵选择l+1个随机矩阵使得每个矩阵的每个元素服从上的均匀分布，其中i＝0,1,…,l；选择随机向量使其每个元素服从上的均匀分布，其中表示模q的n×m阶整数矩阵，表示模q的n维整数列向量，表示模q的n×w阶整数矩阵，表示模q的k维整数行向量；

(1d)令签名密钥sk＝R，验证密钥vk＝(A,A₀,…,A_l,u)。

步骤2，签名者S利用签名密钥sk生成扩展矩阵A_M的陷门矩阵R'。

(2a)令和矩阵A_Σ＝A₀+∑_i∈[l]M_iA_i，扩展矩阵其中表示模q的n×m'阶整数矩阵，m'＝m+w，M_i∈{0,1}，表示签名消息M的第i比特，[l]＝{1,2,…,l}；

(2b)令表示向量分别表示差矩阵G-A_Σ的每个列，即[u₁,u₂,…,u_w]＝G-A_Σ；

(2c)令非球面干扰抽样的协方差矩阵：其中I_m表示m阶的单位阵，表示阶的单位阵，I_w表示w阶的单位阵，干扰尺寸r为一个大于0的实数，满足不等式表示线性扩张的协方差矩阵的最小非零特征值，R^t表示陷门矩阵R的转置矩阵，为基本高斯抽样的协方差矩阵，表示基本高斯抽样的标准偏差，表示矩阵的所有列向量的欧几里得范数的最大值，表示矩阵B的施密特正交化矩阵，表示格Λ^⊥(G)的一组基，(q₀,q₁,…,q_k-1)为模数q的二进制表示，表示w维整数列向量，表示矩阵的最小非零特征值，表示乘积矩阵的最大特征值，λ₁表示矩阵∑₀的最大特征值；

(2d)抽取非球面干扰向量即从中抽取近似服从分布的向量p：

一种简单的实现方法是从高斯分布中抽取一非球面实数干扰向量p'，然后将该实数向量p'的每个分量四舍五入，得到非球面整数干扰向量p，其中表示m维实数列向量，x^t表示向量的转置向量，表示m维整数列向量；

(2e)令校验向量v＝u₁-Ap，抽取基本向量即从中抽取近似服从分布的向量z，具体实施步骤如下：

(2e1)将校验向量v表示为分量形式

(2e2)对于校验向量v的第一分量计算v⁽¹⁾的伪二进制表示使得等式成立，并令中心点c＝-v⁽¹⁾/q；

(2e3)抽取整数y←D_c,σ/2，即从整数中抽取近似服从分布的整数，令中间向量其中ρ_c,_σ/2(x)＝exp(-π·||x-c||²/(σ/2)²)，

(2e4)对于i＝0,1,…,k-2，抽取整数即从集合中抽取近似服从分布的整数，每次抽取结束后将中间向量(v₀,v₁,…,v_k-1)的第i+1个分量v_i+1加上这k-1次整数抽样结束后得到k-1个整数x₀,x₁,…,x_k-2；再令整数x_k-1＝v_k-1，然后将x₀,x₁,…,x_k-1这k个整数组合为一个k维整数列向量，得到单次基本高斯抽样向量x⁽¹⁾＝(x₀,x₁,…,x_k-1)^t，其中ρ_σ(x)＝exp(-π·||x||²/σ²)，表示奇偶性与v_i相同的整数的集合；

(2e5)对于j＝2,…,n，用校验向量v的第j个分量v^(j)替换校验向量v的第1个分量v⁽¹⁾，重复执行步骤(2e2)～(2e4)，得到对应的单次基本高斯抽样向量x^(j)；

(2e6)将x⁽¹⁾,x⁽²⁾,…x⁽ⁿ⁾这n个k维单次基本高斯抽样向量组合为一个w维整数列向量z，得到基本向量z；

(2f)令最终非球面高斯抽样结果其中表示对基本向量z的线性扩张；

(2g)对于i＝2,…,w，分别用第i个表示向量u_i替换第1个表示向量u₁，重复执行步骤(2d)～(2f)，得到对应的最终非球面高斯抽样结果y_i；

(2h)用y₁,y₂,…,y_w这w个最终非球面高斯抽样结果按列组合成扩展矩阵A_M的陷门矩阵R'，即R'＝[y₁,y₂,…,y_w]。

步骤3，签名者S对选择的签名消息M进行签名。

将校验向量v替换为随机向量u，校验矩阵A替换为扩展矩阵A_M，陷门矩阵R替换为扩展矩阵A_M的陷门矩阵R'，校验矩阵A的列数m替换为扩展矩阵A_M的列数m'，执行步骤(2d)～(2f)，得到签名其中表示m'阶整数列向量。

步骤4，验证者V验证签名sign的合法性。

将签名sign的欧几里得范数||sign||与乘积比较，并且验证签名sign是否为线性映射下随机向量u的原像：若且A_M·sign＝u，则接受该签名sign，否则拒绝。

以上描述仅是本发明的一个具体实例，显然对于本领域的专业人员来说，在了解了本发明的内容和原理后，都可能在不背离本发明原理的情况下，进行形式和细节上的各种修改和改变，但这些基于本发明思想的修改和改变仍在本发明的权利要求保护范围之内。

Claims (3)

1.一种基于非球面高斯抽样的签名验证方法，包括如下步骤：

(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk：

(1a)从签名消息空间{0,1}^l选择需要的签名消息M，其中l为签名消息长度；

(1b)选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布，其中q为模数，表示整数模q的环，n为安全参数，为满足的整数，w＝nk，k为满足2^k-1＜q≤2^k的整数，表示模q的阶整数矩阵，表示阶整数矩阵；

(1c)令校验矩阵选择l+1个随机矩阵使得每个矩阵的每个元素服从上的均匀分布，其中i＝0,1,…,l；选择随机向量使其每个元素服从上的均匀分布，其中 表示模q的n×m阶整数矩阵，表示模q的n维整数列向量， 表示模q的n×w阶整数矩阵，表示模q的k维整数行向量；

(1d)令签名密钥sk＝R，验证密钥vk＝(A,A₀,…,A_l,u)；

(2)利用签名密钥sk生成扩展矩阵A_M的陷门矩阵R'：

(2a)令和矩阵A_∑＝A₀+∑_i'∈[l]M_i'A_i'，扩展矩阵其中表示模q的n×m'阶整数矩阵，m'＝m+w，M_i'∈{0,1}，表示签名消息M的第i'比特，[l]＝{1,2,…,l}；

(2b)令表示向量分别表示差矩阵G-A_∑的每个列，即[u₁,u₂,…,u_w]＝G-A_∑；

(2c)令非球面干扰抽样的协方差矩阵其中干扰尺寸r为一个大于0的实数，I_m表示m阶的单位矩阵，表示阶的单位矩阵，I_w表示w阶的单位矩阵，表示乘积矩阵的最大特征值，R^t表示陷门矩阵R的转置矩阵，表示基本高斯抽样的协方差矩阵，σ表示基本高斯抽样的标准偏差，λ₁表示∑₀的最大特征值，表示线性扩张的协方差矩阵；

(2d)抽取非球面干扰向量即从中抽取近似服从分布的向量p，其中 x^t表示向量的转置向量，表示m维整数列向量，表示非球面干扰抽样的协方差矩阵的逆矩阵；

(2e)令校验向量v＝u₁-Ap，抽取基本向量即从中抽取近似服从分布的向量z，其中 表示格Λ^⊥(G)的一个陪集，满足Gx＝vmodq， 表示w维整数列向量， 表示基本高斯抽样的协方差矩阵的逆矩阵；

(2f)令最终非球面高斯抽样结果其中表示对基本向量z的线性扩张；

(2g)对于j'＝2,…,w，分别用第j'个表示向量u_j'替换第1个表示向量u₁，重复执行步骤(2d)～(2f)，得到对应的最终非球面高斯抽样结果y_j'；

(2h)用y₁,y₂,…,y_w这w个最终非球面高斯抽样结果按列组合成扩展矩阵A_M的陷门矩阵R'，即R'＝[y₁,y₂,…,y_w]；

(3)对选择的签名消息M进行签名：

将校验向量v替换为随机向量u，校验矩阵A替换为扩展矩阵A_M，陷门矩阵R替换为扩展矩阵A_M的陷门矩阵R'，校验矩阵A的列数m替换为扩展矩阵A_M的列数m'，执行步骤(2d)～(2f)，得到签名其中表示m'阶整数列向量；

(4)验证签名sign的合法性：

将签名sign的欧几里得范数||sign||与乘积比较，并且验证签名sign是否为线性映射下随机向量u的原像：若且A_M·sign＝u，则接受该签名sign，否则拒绝。

2.根据权利要求1所述的方法，其中所述步骤(1a)中的消息长度l满足l≤(τ-1)·n，τ为q的最小素因子，q为模数且不为2的幂。

3.根据权利要求1所述的方法,其中所述步骤(2e)中抽取基本向量具体步骤如下：

(3a)将校验向量v表示为分量形式

(3b)对于校验向量v的第一分量计算v⁽¹⁾的伪二进制表示使得等式成立，令中心点c＝-v⁽¹⁾/q；

(3c)抽取整数y←D_c,σ/2，即从整数中抽取近似服从分布的整数，令中间向量其中ρ_c,σ/2(x)＝exp(-π·||x-c||²/(σ/2)²)，(q₀,q₁,…,q_k-1)表示模数q的二进制表示，即，q＝q₀+q₁·2¹+…+q_k-1·2^k-1；

(3d)对于j”＝0,1,…,k-2，抽取整数即从集合中抽取近似服从分布的整数，每次抽取结束后将中间向量(v₀,v₁,…,v_k-1)的第j”+1个分量v_j”+1加上这k-1次整数抽样结束后得到k-1个整数x₀,x₁,…,x_k-2；再令整数x_k-1＝v_k-1，然后将x₀,x₁,…,x_k-1这k个整数组合为一个k维整数列向量，得到单次基本高斯抽样向量x⁽¹⁾＝(x₀,x₁,…,x_k-1)^t，其中ρ_σ(x)＝exp(-π·||x||²/σ²)， 表示奇偶性与v_j”相同的整数的集合；

(3e)对于k'＝2,…,n，用校验向量v的第k'个分量v^(k'⁾替换校验向量v的第1个分量v⁽¹⁾，重复执行步骤(3b)～(3d)，得到对应的单次基本高斯抽样向量x^(k')；

(3f)将x⁽¹⁾,x⁽²⁾,…x⁽ⁿ⁾这n个k维单次基本高斯抽样向量组合为一个w维整数列向量z，得到基本向量z。