CN107592203A - 一种基于格的聚合签名方法及其系统 - Google Patents

Abstract

本发明提供一种基于格的聚合签名方法，其中，所述方法包括：密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。本发明还提供一种基于格的聚合签名系统。本发明提供的技术方案能提高签名的验证效率。

Description

一种基于格的聚合签名方法及其系统

技术领域

本发明涉及网络通信中的数据认证技术领域，尤其涉及一种基于格的聚合签名方法及其系统。

背景技术

随着互联网技术的飞速发展，在现实中许多应用都要求在较短时间内对多个签名进行验证，为此Boneh等人提出了聚合签名(Aggregate signatures，AS)的概念，即将l个用户U₁,K,U_l对l个不同消息μ₁,K,μ_l的分别签名，并将l个签名σ₁,K,σ_l聚合成一个签名，使得验证方只需检验聚合签名即可确认U_i是否对μ_i签名。这种聚合签名方式能提升签名方案的计算与通信效率，适用于低带宽、存储与计算能力较弱的通信环境或终端，但基于经典密码理论无法抵抗量子计算机的攻击。

为了抵抗量子计算机的攻击，Ducas L等人在“Lattice Signatures and BimodalGaussians.CRYPTO 2013,pp.40-56,2013.”一文中，基于量子计算机不擅长的格上困难性问题，构造了一种基于格的签名方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于格的聚合签名方法及其系统，旨在解决现有技术中签名验证效率较低的问题与无法抵抗量子计算机攻击的问题。

本发明提出一种基于格的聚合签名方法，其中，所述方法包括：

密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

优选的，所述密钥生成步骤具体包括：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

优选的，所述签名生成步骤具体包括：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

优选的，所述签名验证步骤具体包括：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

优选的，所述聚合签名步骤具体包括：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，

另一方面，本发明还提供一种基于格的聚合签名系统，所述系统包括：

密钥生成模块，用于利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成模块，用于输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证模块，用于利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名模块，用于利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

优选的，所述密钥生成模块具体用于：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

优选的，所述签名生成模块具体用于：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

优选的，所述签名验证模块具体用于：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

优选的，所述聚合签名模块具体用于：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，

本发明提供的技术方案可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，而且只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率，同时基于量子计算机不擅长的格，提出基于格的聚合签名方法及其系统，能抵抗量子计算机的攻击，从而实现较高的安全性。

附图说明

图1为本发明一实施方式中基于格的聚合签名方法流程图；

图2为本发明一实施方式中基于格的聚合签名系统10的内部结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明具体实施方式提供了一种基于格的聚合签名方法，其中，所述方法主要包括如下步骤：

密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

本发明提供的一种基于格的聚合签名方法，可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，而且只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率，同时基于量子计算机不擅长的格，提出基于格的聚合签名方法，能抵抗量子计算机的攻击，从而实现较高的安全性。

以下将对本发明所提供的一种基于格的聚合签名方法进行详细说明。

请参阅图1，为本发明一实施方式中基于格的聚合签名方法流程图。

在步骤S1中，密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数。

在本实施方式中，所述密钥生成步骤S1具体包括：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

在本实施方式中，δ₁与δ₂为已知常量，C与k为已知常数，n为2的幂数，且q＝1mod(2n)。

在本实施方式中，利用密钥生成中心(Key Generate Center，KGC)运行算法选择ζ使得ζ·(q-2)＝1mod2q，生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q。

在步骤S2中，签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名。

在本实施方式中，输入公钥私钥以及消息μ_i，用户U_i执行签名算法生成签名σ_i。

在本实施方式中，所述签名生成步骤S2具体包括：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

在步骤S3中，签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证。

在本实施方式中，所述签名验证步骤S3具体包括：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

在步骤S4中，聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

在本实施方式中，所述聚合签名步骤S4具体包括：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，

在本实施方式中，通过以下方式证明以上方案是正确的，详细描述如下：

由于A_iS_i＝qmod2q，即a_1is_1i+(q-2)s_2i＝qmod2q，因此：

本发明提供的一种基于格的聚合签名方法，可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，而且只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率，同时基于量子计算机不擅长的格，提出基于格的聚合签名方法，能抵抗量子计算机的攻击，从而实现较高的安全性。

本发明具体实施方式还提供一种基于格的聚合签名系统10，主要包括：

密钥生成模块11，用于利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成模块12，用于输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证模块13，用于利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名模块14，用于利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

本发明提供的一种基于格的聚合签名系统10，可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，而且只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率，同时基于量子计算机不擅长的格，提出基于格的聚合签名系统10，能抵抗量子计算机的攻击，从而实现较高的安全性。

请参阅图2，所示为本发明一实施方式中基于格的聚合签名系统10的结构示意图。

在本实施方式中，基于格的聚合签名系统10，主要包括密钥生成模块11、签名生成模块12、签名验证模块13和聚合签名模块14。

密钥生成模块11，用于利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数。

在本实施方式中，所述密钥生成模块11具体用于：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

签名生成模块12，用于输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名。

在本实施方式中，所述签名生成模块12具体用于：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

签名验证模块13，用于利用预设的验证阈值常量对生成的签名进行首次验证。

在本实施方式中，所述签名验证模块13具体用于：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

聚合签名模块14，用于利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

在本实施方式中，所述聚合签名模块14具体用于：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，

本发明提供的一种基于格的聚合签名系统10，可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，而且只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率，同时基于量子计算机不擅长的格，提出基于格的聚合签名系统10，能抵抗量子计算机的攻击，从而实现较高的安全性。

本发明提出的基于格的聚合签名方案，可以将来自不同用户的多个消息或签名压缩成一个，从而提高通信效率，只需要一次验证过程即可验证多个消息和签名对，进而提高签名的验证效率。对l个消息进行签名认证，现有技术中Ducas L等人提出的方案与本发明的方案在签名长度、验证开销方面的比较如表1所示。

表1效率对比

	签名长度	验证开销
			Ducas L等人提出的方案	l·(n·log2(4.1σ)+512)	l·n·(κ+2ε)
本发明的技术方案	n·log2(4.1σ)+512	n·κ

其中，n和σ是离散高斯分布的维数与方差，κ和ε分别代表进行一次同态哈希运算和范数计算的开销。

值得注意的是，上述实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如ROM/RAM、磁盘或光盘等。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于格的聚合签名方法，其特征在于，所述方法包括：

密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

2.如权利要求1所述的基于格的聚合签名方法，其特征在于，所述密钥生成步骤具体包括：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

3.如权利要求2所述的基于格的聚合签名方法，其特征在于，所述签名生成步骤具体包括：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

4.如权利要求3所述的基于格的聚合签名方法，其特征在于，所述签名验证步骤具体包括：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

5.如权利要求4所述的基于格的聚合签名方法，其特征在于，所述聚合签名步骤具体包括：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，

6.一种基于格的聚合签名系统，其特征在于，所述系统包括：

密钥生成模块，用于利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成模块，用于输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证模块，用于利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名模块，用于利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

7.如权利要求6所述的基于格的聚合签名系统，其特征在于，所述密钥生成模块具体用于：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

8.如权利要求7所述的基于格的聚合签名系统，其特征在于，所述签名生成模块具体用于：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

9.如权利要求8所述的基于格的聚合签名系统，其特征在于，所述签名验证模块具体用于：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

10.如权利要求9所述的基于格的聚合签名系统，其特征在于，所述聚合签名模块具体用于：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，