CN105915340B - 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法 - Google Patents

Abstract

本发明公开一种基于理想格上Gu‑Map1多线性映射实例的多接收者匿名签密方法，包括建立模型、签密和解签密三个步骤，利用多线性映射机制实现了一种新的多接收者匿名签密方案，由于Gu‑map1多线性映射实例是在理想格上构造的，所以本发明具有后量子安全的特性。

Description

基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密 方法

技术领域

本发明涉及信息安全的公钥密码领域，特别涉及一种基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法。

背景技术

在信息安全理论中，加密技术用来保证信息的机密性，签名技术可为消息的完整性和可认证性提供保障。在通信过程中，为了同时保证信息的机密性、完整性和可认证性，通常可先对消息签名，再对消息(包含签名)进行加密。但这种“先签名后加密”方法的代价是加密和签名的代价之和，效率较低。签密(Signcryption)的核心思想就是要求在一个合理的逻辑步骤内同时完成加密和签名的工作，从而降低计算量和通信成本。

环签密(Ring Signcryption)是一种结合了环签名匿名性质的特殊签密方式，也被称为匿名签密。在一个环签密方案中，环成员可用自己的私钥和其他成员的公钥以及接收者的公钥对消息进行签密，而接收者可以确信签密来自于环，但并能确定是环中哪个成员。因此，环签密的消息不仅具有机密性和可认证性，还具有匿名性。为了适应有多个接收者的应用场景，环签密的概念可扩展至多接收者环签密(Multi-Receiver RingSigncryption：MRRSC)。多接收者环签密主要结合环签名和多接收者签密的特性。在多接收者环签密方案中，一个成员可以代替整个环对消息进行签密，并以匿名的方式将结果传递给多个接收者。多接收者环签密的一对多匿名发送的特性在分布式计算环境下的电子支付、移动代理安全等方面有着重要的应用。

需要指出的是当前所有的环签密方案，不管是单个接收者情形还是多接收者的情形，方案的安全性主要依赖于双线性对上的CDH/DDH安全假设。随着量子计算技术的发展，给现代密码学的发展带来更大的挑战，这是因为基于数论难题的经典公钥密码系统在量子计算环境下都将不再安全。实际上，Shor在1994年就提出了求解大整数因式分解和离散对数问题的多项式时间的量子算法。在可以预见的将来，一旦实用的量子计算机诞生，那么大量的以经典数论难题为安全基础的公钥密码体制都将不再安全。因此，面对日趋尖锐复杂的网络空间安全竞争和不断进化的密码分析技术与攻击手段，进一步发展密码理论是一个非常迫切的需求，利用新的安全假设构造签密方案是一个重要的研究课题。

发明内容

作为后量子密码的典型代表，格密码的研究正持续升温，取得了丰硕的成果。Garg、Gentry和Halevi(GGH)在理想格上构建的多线性映射是一个分级编码系统，其在多线性映射研究中具有里程碑式的意义。正是GGH多线性映射方案的提出才将该领域的研究向前大大的推进了一步。虽然最新研究成果已经表明在编码工具公开的情况下，基于GGH映射的密码应用是不安全的。但在编码工具隐藏的情况下，基于GGH的不可区分的混淆器和函数加密等密码应用目前仍是安全的，而且隐藏编码的Gu-Map1多线性映射实例已被证明能有效的抗击针对GGH的“0”化攻击。本发明是基于理想格上的Gu-Map1多线性映射实例设计多接收者匿名签密方案。

基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法，包括

步骤1、建立模型，具体是：

1-5、调用Gu-Map1映射实例中的实例生成算法InstGen(1^λ，1^K)，其中，λ为安全参数，N表示发送者成员的个数，L表示接收者成员的个数，K＝N+L；

1-6、选择两个安全的哈希函数，h₂:{0,1}^λ→{0,1}^l，其中l是消息M的明文长度，将哈希函数h₁和h₂看做随机预言机；

1-7、对于第j∈[N]个发送者，采用离散高斯采样法，在接收者公钥R中随机选择元素并计算该发送者的私钥和公钥将第j∈[N]个发送者的公钥/私钥对记为(spk_j,ssk_j)；生成接收者的公钥/私钥对并记为(rpk_j,rsk_j)；

1-8、计算公共参数PP＝{Params,h₁,h₂,{spk₁,…,spk_N},{rpk₁,…,rpk_L}}；

步骤2、输入公共参数PP和消息M∈{0,1}^l，发送者spk_j对消息签密，所得密文c有3部分c＝(c₁,c₂,c₃)，包括

2-1、调用哈希函数h₁，生成符合离散高斯采样的分量{r₁,…,r_τ}←h₁(M)，其中，M为给定消息；

2-2、计算

2-3、计算其中，ssk_j是发送者spk_j的私钥；c′₁是中间量；

2-4、调用Gu-Map1映射实例中的提取算法，计算

2-5、计算其中，

2-6、输出消息M关于N个发送者和L个接收者的签密c＝(c₁,c₂,c₃)；

步骤3、收到签密c后，接收者rpk_j∈[L]进行解签密，包括

3-1、将签密c解析成(c₁,c₂,c₃)的形式，再用接收者的私钥rsk_j计算中间量

3-2、调用Gu-Map1映射实例中的提取算法，计算消息明文3-3、计算{r′₁,…,r′_τ}←h₁(M^′)；

3-4、验证等式和是否成立，

如果都成立则输出明文M′，否则接收者认为消息不是来自诚实的发送者，拒绝接收消息，算法输出符号⊥。

不同于现有的基于双线性对的多接收者匿名签密，本发明利用多线性映射机制实现了一种新的多接收者匿名签密方案。由于Gu-map1多线性映射实例是在理想格上构造的，所以本发明具有后量子安全的特性。

附图说明

图1为不同安全级别下方案各部分的计算代价。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明利用NTL函数库来实现，从而对方案的存储空间复杂性和执行时间复杂性进行评测。为了提高运行效率，令多项式环R^yx＝R^y[x]/＜xⁿ+1＞，其中，m＝O(λ)，λ为安全参数。方案中所有由离散高斯采样法获得的参数系数(包括g，a_i，b_i，e_i，d，r和w)都从{0,1,-1}中选取，且非0系数的数目较少。矩阵S和T在R_q上可逆且||S_i,j||和||T_i,j||均小于3。若N，L分别表示发送者环成员数和接收者用户数，Gu-Map1映射等级K＝N+L。根据对Gu-Map1映射实例的参数优化结果，在选择参数n后，可选择τ＝2n，并计算和l＝|||V||_∞|。同时，可设置|q|＝l+δ作为模数q的比特长度，其中，20≤δ≤35。

基于Gu-Map1的方案中公共参数、用户的公钥、私钥以及密文都采用矩阵的形式，因此多项式环中的参数n、m、|q|以及τ、K的取值对方案的安全性和复杂性(包括存储空间和运行时间)有重要影响。本方案的安全级别可采用BKZ算法求解最短向量所需的计算时间进行估计。表1显示了当Gu-Map1实例的映射等级数K＝7时，参数n、m、|q|的取值与方案安全级别估计，其中维数是n×m。这里的安全级别估计λ的单位是比特位，也就是说，在相同的安全条件下，方案中密钥的维数为2048时，攻击系统的计算时间复杂性约为O(2⁸⁰)。当然，随着方案安全级别的不断升高，方案自身的复杂性也将增加。

表1方案的安全级别估计

维数(n×m)	模数长度(|q|)	安全级别(λ)
			256	80	50
512	90	60
			1024	100	70
2048	110	80

表2显示了在选择不同的参数值时，方案的公共参数、用户公钥和私钥以及密文等相关数据的存储空间大小(单位KB)。

表2相关数据所需的存储空间大小

表3方案各个部分的运行时间统计

N	L	n	m	|q|	系统建立	签密	解签密
								2	3	2	128	90	12.8s	0.28s	0.36s
3	2	4	256	110	232.1s	10.62s	13.4s
								3	4	2	128	90	18.3s	0.41s	0.51s
4	3	4	256	110	331.2s	13.74s	17.6s
								5	2	4	512	120	1661.7s	189.3s	278.5s

表3显示了在选择不同的维数以及用户数时，方案各个部分运行时间的统计，单位为秒(s)，其包括系统建立、签密和解签密三部分。由于参数n、m、|q|的选择与方案的安全级别相关，图1可进一步说明，在不同的安全级别的下，方案各个部分的计算代价。

从以上方案的实际运行来看，随着维数的增加以及用户数的增加，存储相关数据所需的空间也不断增大。因为求解逆元素g^-1，z^-1和T^-1是比较耗时的，所以负责方案初始化的系统建立部分也是用时最多的。而签密部分和解签密部分运行较快。

对于一个多接收者匿名签密方案，其安全性主要考虑发送者身份的匿名性、信息的机密性和签密的不可伪造性。对于涉及多个用户的情景，签密方案有外部安全和内部安全。在外部安全模型中敌手仅知道方案的公共参数，而内部安全模型是指敌手在知道方案的公共参数的同时，还能获知某个发送者或接收者的私钥。实际上，内部安全要求敌手在已知发送者的私钥时无法恢复出明文，同时，也要求敌手在已知接收者的私钥时无法伪造出另一个新消息的有效签密。本发明主要考虑敌手只知道方案的公共参数的外部安全，在外部安全模型下完成基于Gu-Map1多线性映射的多接收者环签密方案的匿名性、机密性和不可伪造性的证明。

虽然在Gu-Map1映射实例中不能为任意给定元素的0级编码直接生成1级编码，但是可以为隐含的0级编码生成1级编码同时，由Gu-Map1映射实例中零测试参数P_zt,i也可以计算编码U的隐含编码e。由于在Gu-Map1映射实例中P_zt,i不仅是零测试参数，它还是e_i特殊0级编码，且与Y_i一一对应，所以在计算过程中并不会泄露隐含编码e。根据此性质可知，在计算与相关的隐含编码时，必须采用与其对应的零测试参数

在基于Gu-Map1映射实例的MRRSC方案中，将随机生成的零测试参数作为用户(包括发送者和接收者)的私钥。同时，将对应的1级编码作为公钥，其中，d_j是离散高斯采样算法随机生成的。由签密算法可知，密文是随机生成的1级编码，密文c₃是一个与密文c₁进行绑定的随机编码，同时，也通过添加隐含元素0的N级编码Y^N-1(Y₁P_zt,2-Y₂P_zt,1)做为‘噪声’，以阻止敌手通过除法获得相关私钥。而密文中的c₁·c′₁是由K个1级编码的乘积形成K级编码与一个发送者私钥的乘积，即根据Gu-Map1映射实例上的ext-GDDH安全假设可知，编码U₂与任意形成的编码是不可区分的。也就是说，如果敌手没有与相对应的零测试参数是无法恢复出正确明文的。

当拥有私钥的接收者解签密获得明文后，可以通过验证确定明文是否正确。同时，由于式右边的K级编码中除了包含编码Y₁、相应的零测试参数P_zt,1和编码c₁，还包含了N个发送者的公钥编码，而左边的K级编码不仅绑定了c₁，还包含了一个发送者的私钥。因此，如果对式两边编码进行提取运算并能够验证成功的话，那么就可以确定消息一定来自于发送者环，即保证了密文的不可伪造性。

对于方案的匿名性，我们可以从两方面来考虑。首先，为了不失一般性，可随机选择发送者环中的两个发送者j₀,j₁∈[N]。随机选择明文M，观察发送者j₀,j₁两者产生密文c＝(c₁,c₂,c₃)的相关编码可发现c₁部分的编码是相同的，即而c₂部分的编码和c₃部分的编码分别为：

其中，b∈{0,1}。由Gu-Map1映射实例的运算规则可知 也就是说，环中的每个发送者都有可能生成此密文c。其次，由签密算法可知，密文是随机生成的1级编码。编码计算过程是由K个1级编码的乘积再与对应的一个零测试参数相乘，其符合K级ext-GDDH困难问题的实验过程，即密文中的编码与任意随机选择的零测试参数形成的编码是不可区分的。而编码是一个与密文c₁进行绑定的随机编码，同时，也通过添加隐含元素0的N级编码Y^N-1(Y₁P_zt,2-Y₂P_zt,1)做为‘噪声’，以阻止敌手通过除法获得相关信息。因此，方案中的密文不会泄露发送者的身份信息，即保证了发送者身份的无条件匿名性。

本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。

Claims (1)

1.基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法，其特征在于，包括

步骤1、建立模型，具体是：

1-1、调用Gu-Map1映射实例中的实例生成算法其中，λ为安全参数，N表示发送者成员的个数，L表示接收者成员的个数，K＝N+L；

1-2、选择两个安全的哈希函数，其中是消息M的明文长度，将哈希函数h₁和h₂看做随机预言机；

1-3、对于第j∈[N]个发送者，采用离散高斯采样法，在接收者公钥R中随机选择元素并计算该发送者的私钥和公钥将第j∈[N]个发送者的公钥/私钥对记为(spk_j,ssk_j)；生成接收者的公钥/私钥对并记为(rpk_j,rsk_j)；

1-4、计算公共参数PP＝{Params,h₁,h₂,{spk₁,…,spk_N},{rpk₁,…,rpk_L}}；

步骤2、输入公共参数PP和消息发送者spk_j对消息签密，所得密文c有3部分c＝(c₁,c₂,c₃)，包括

2-1、调用哈希函数h₁，生成符合离散高斯采样的分量{r₁,…,r_τ}←h₁(M)，其中，M为给定消息；

2-2、计算

2-3、计算其中，ssk_j是发送者spk_j的私钥；c′₁是中间量；

2-4、调用Gu-Map1映射实例中的提取算法，计算

2-5、计算其中，

2-6、输出消息M关于N个发送者和L个接收者的签密c＝(c₁,c₂,c₃)；

步骤3、收到签密c后，接收者rpk_j∈[L]进行解签密，包括

3-1、将签密c解析成(c₁,c₂,c₃)的形式，再用接收者的私钥rsk_j计算中间量

3-2、调用Gu-Map1映射实例中的提取算法，计算消息明文3-3、计算{r′₁,…,r′_τ}←h₁(M′)；

3-4、验证等式和是否成立，如果都成立则输出明文M′，否则接收者认为消息不是来自诚实的发送者，拒绝接收消息，算法输出符号⊥。