CN109981296A - 一种基于Rainbow的环签名方法 - Google Patents

Abstract

本发明公开了一种基于Rainbow的环签名方法，包括：系统选定基于Rainbow的系统参数；系统分别为所有环成员生成公钥私钥对；用户u_s代表环成员对消息M进行签名，对所有的环成员随机选择参数Ai和ci，并且根据环成员生成公钥集和系统参数，生成签名消息M，并且得到签名消息M的环签名σ；对给定环U的签名消息M的签名σ进行验证，当签名验证成立，则签名有效。在Rainbow签名体制的基础上提出了新的环签名方法，本发明在Rainbow签名体制的基础上提出了基于多变量结构的环签名方案，在选择适当的参数能够抵御目前已知的所有有效的数学攻击，该方法能够抗量子计算机攻击。

Description

一种基于Rainbow的环签名方法

技术领域

本发明涉及计算机信息处理技术领域，尤其涉及一种基于Rainbow的环签名方法。

背景技术

环签名的概念是R.Rivest，等人于2001年首次提出来的，环签名是一种可以让用户对消息完全匿名签名的技术。任何验证者通过验证环签名可以确信这个签名来自环中的某个成员，但不能确认实际签名者的身份。环签名非常适合消息的匿名发布等应用场景。环签名提出后，引起了广泛关注，并提出了各种环签名方案，但都是基于传统密码体制的。1994年Shor量子算法的提出使量子计算机能够在多项式时间内破解所有能够转化为模幂运算的数学难题，因而传统的密码体制安全性遭到了威胁。面对量子计算机的出现对经典公钥密码体制的威胁，以及信息安全发展对公钥密码体制高效性方面的迫切要求，多变量公钥密码学成为密码学发展的一个非常活跃和日益重要的分支。

多变量公钥密码体制经历了20多年的发展，迄今为止已经研究出了很多算法MIA,OV,TTM HFE,MFE,IC等。其中最为著名的是MIA-减改进的算法Sflashv2，NESSIE经过两年的评审过程，终于在2004年将其选用于低耗智能卡的安全标准。但是Sflashv2在运算效率上不并不是很高，影响了安全性和运算效率。

发明内容

针对上述缺陷或不足，本发明的目的在于提供一种基于Rainbow的环签名方法，解决传统环签名的安全性问题。

为达到以上目的，本发明的技术方案为：

一种基于Rainbow的环签名方法，包括以下步骤：

1)、系统选定基于Rainbow的系统参数；

2)、系统分别为所有环成员生成公钥私钥对；

3)、用户u_s代表环成员对消息M进行签名，对所有的环成员随机选择参数Ai和ci，并且根据环成员生成公钥集和系统参数，生成签名消息M，并且得到签名消息M的环签名σ；

4)、对给定环U的签名消息M的签名σ进行验证，当签名验证成立，则签名有效。

优选地，所述系统选定基于Rainbow的系统参数具体包括：

设定系统参数为(k,q,l,m,n,H)其中q,l是安全参数，k＝GF(q^l)是一个有限域，m为多变量方程组的个数，n为变量的个数；H为密码学安全的哈希函数，H:{0,1}^*→kⁿ。

优选地，所述有限域k＝GF(q)，其中q＝2⁸，安全参数Rainbow(20,10,4,10)作为Rainbow公钥签名算法，设层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10；v₁为第一层醋变量个数，o₁为第一层油变量的个数，o₂为第二层油变量的个数，o₃为第三层油变量的个数。v₂，v₃分别为第二层和第三层的醋变量个数，分别是由前一层的油变量个数和醋变量个数相加得到的。

优选地，所述为所有环成员生成公钥私钥对包括：

生成环中每个用户的公钥私钥对PK_i/SK_i，i＝1,2,…,t，t为还成员数量；公钥所述公钥为第i个用户的公钥，L_1i,F_i,L_2i为第i个用户的私钥；其中，F_i是有限域上可逆的二次多变量方程；L_1i是从k^m到k^m的随机选择的可逆仿射变换，L_2i是从kⁿ到kⁿ的随机选择的可逆仿射变换。

优选地，所述用户u_s代表环成员对消息M进行签名具体包括：

3.1、对所有的环成员i＝1,2,…,t,i≠s随机选择A_i∈kⁿ，c_i∈kⁿ并且计算：

其中，所述Ri为复合函数，A_i和c_i为kⁿ上随机选择的数；

3.2、随机选择R_s∈k^m，并且计算：

c＝H(U,M,R₁,…R_t)∈kⁿ,

c_s＝c-(c₁+…+c_s-1+c_s+1+…+c_t)∈kⁿ,

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

优选地，所述A_s的获取过程为：

根据得到

其中，

将带入

得到

所以

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

所述As的签名过程为：求解即为求解第s个用户用自己的私钥L_2s,F_s,L_1s对进行签名；

第一步，Rainbow(20,10,4,10)包含了一组GF(q)上44的个未知量的24个二次多项式；

其中n＝44，m＝24，层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10，公钥为

第二步，计算公钥

即

式中，L₁ F L₂为私钥；

第三步，计算

A、随机选择带入第一层o₁＝10个方程式

表示具有10个变量的10个线性方程的集合，求解该方程，得到的值；若方程无解，重新随机选择的值，直到方程有结为止；

B、将的值带入第二层o₂个方程

求解该方程就得到的值。

C、将的值带入第三层o₃个方程

求解该方程就可以得到的值；进而可得到的值；

第四步，将值带入

X＝x₁,x₂…x₄₄即为Y′＝(y′₁,…,y′₂₄)的签名，同时x₁,x₂…x₄₄就是我们要求解的A_s。

优选地，所述对给定环U的签名消息M的签名σ进行验证具体包括：

给定环U的消息M的签名σ＝(U,A₁,c₁,…,A_t,c_t)，任何验证者检验是否

如果上边的等式成立，则签名有效，否则无效。

与现有技术比较，本发明的有益效果为：

本发明公开了一种基于Rainbow的环签名方法，在Rainbow签名体制的基础上提出了新的环签名方法，本发明在Rainbow签名体制的基础上提出了基于多变量结构的环签名方案，在选择适当的参数能够抵御目前已知的所有有效的数学攻击，该方法能够抗量子计算机攻击，另外，本发明基于Rainbow的环签名的环签名的长度短，并且在在有限域GF(q)上只有乘法运算，使得该方法运算效率高，能够应用在非常有限的计算能力、存储能力以及通信能力的设备上，如低耗智能卡，RFID，无线传感器，PDA和其他的一些小的计算设备。

附图说明

图1是本发明基于Rainbow的环签名方法流程框图。

具体实施方式

下面将结合附图对本发明做详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

如图1所示，本发明提供了一种基于Rainbow的环签名方法，包括以下步骤：

1)、系统选定基于Rainbow的系统参数；

设定系统参数为(k,q,l,m,n,H)其中q,l是安全参数，k＝GF(q^l)是一个有限域，m为多变量方程组的个数，n为变量的个数；H为密码学安全的哈希函数，H:{0,1}^*→kⁿ。

具体地，所述有限域k＝GF(q)，其中q＝2⁸，安全参数Rainbow(20,10,4,10)作为Rainbow公钥签名算法，设层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10；v₁为第一层醋变量个数，o₁为第一层油变量的个数，o₂为第二层油变量的个数，o₃为第三层油变量的个数。v₂，v₃分别为第二层和第三层的醋变量个数，分别是由前一层的油变量个数和醋变量个数相加得到的。

示例性的，本发明中，系统参数为{k＝GF(2⁸),m＝24,n＝44,H:{0,1}*→k⁴⁴}。

2)、系统分别为所有环成员生成公钥私钥对；

生成环中每个用户的公钥私钥对PK_i/SK_i，i＝1,2,…,t，t为还成员数量；公钥所述公钥为第i个用户的公钥，L_1i,F_i,L_2i为第i个用户的私钥；其中，F_i是有限域上可逆的二次多变量方程；L_1i是从k^m到k^m的随机选择的可逆仿射变换，L_2i是从kⁿ到kⁿ的随机选择的可逆仿射变换。

示例性的，本发明中SK_i＝{L_1i,F_i,L_2i}为环成员u_i(i＝1,…,t)的私钥，其中L_1i为k²⁴到k²⁴上的可逆仿射变换，L_2i为k⁴⁴到k⁴⁴上的可逆仿射变换。F_i为Rainbow(20,10,4,10)结构。

3)、用户u_s代表环成员对消息M进行签名，对所有的环成员随机选择参数A_i和c_i，并且根据环成员生成公钥集和系统参数，生成签名消息M，并且得到签名消息M的环签名σ；

所述用户u_s代表环成员对消息M进行签名具体包括：

3.1、对所有的环成员i＝1,2,…,t,i≠s随机选择A_i∈kⁿ，c_i∈kⁿ并且计算：

其中，所述R_i为复合函数，A_i和c_i为kⁿ上随机选择的数；

3.2、随机选择R_s∈k^m，并且计算：

c＝H(U,M,R₁,…R_t)∈kⁿ,

c_s＝c-(c₁+…+c_s-1+c_s+1+…+c_t)∈kⁿ,

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

具体的，A_s的获取过程为：

根据得到

其中，

将带入

得到

所以

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

具体的，所述A_s的签名过程为：求解即为求解第s个用户用自己的私钥L_2s,F_s,L_1s对进行签名；

第一步，Rainbow(20,10,4,10)包含了一组GF(q)上44的个未知量的24个二次多项式；

其中n＝44，m＝24，层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10，公钥为

第二步，计算公钥

即

式中，L₁ F L₂为私钥；

第三步，计算

A、随机选择带入第一层o₁＝10个方程式

表示具有10个变量的10个线性方程的集合，求解该方程，得到的值；若方程无解，重新随机选择的值，直到方程有结为止；

B、将的值带入第二层o₂个方程

求解该方程就得到的值。

C、将的值带入第三层o₃个方程

求解该方程就可以得到的值；进而可得到的值；

第四步，将值带入

X＝x₁,x₂…x₄₄即为Y′＝(y′₁,…,y′₂₄)的签名，同时x₁,x₂…x₄₄就是我们要求解的A_s。

4)、对给定环U的签名消息M的签名σ进行验证，当签名验证成立，则签名有效。

所述对给定环U的签名消息M的签名σ进行验证具体包括：

给定环U的消息M的签名σ＝(U,A₁,c₁,…,A_t,c_t)，任何验证者检验是否

如果上边的等式成立，则签名有效，否则无效。

本发明基于Rainbow的环签名方法的安全性分析：

下面分别对所给出的Rainbow环签名的正确性，匿名性，和不可伪造性进行分析。

1、所给出的Rainbow环签名满足正确性：

证明：接收方收到消息M的签名σ＝(U,A₁,c₁,…,A_t,c_t)，若该签名是按如上

骤行，并且在传输的过程中没有改变，不难证明：

成立。

2、所给出的Rainbow环签名满足无条件匿名性：

证明：设签名σ＝(U,A₁,c₁,…,A_t,c_t)是消息M的一个有效签名，根据签名的生成过程，所有的A_i∈kⁿ，c_i∈kⁿ，i＝1,2,…,t,i≠s都是随机选取的，因而R_s∈k^m也是随机选取的，又因为所以它也是k^m上的一个随机值，c_s＝c-(c₁+…+c_s-1+c_s+1+…+c_t)∈kⁿ所以它也是kⁿ上完全随机的一个值，因此环签名σ＝(U,A₁,c₁,…,A_t,c_t)中A_i，c_i(i＝1,2,…,t)所有这些值被签名生成算法以相等的概率选择，且与签名者无关。因此即便是外部攻击者非法获得了所有可能的签名者的私钥，它能确定出真正的签名者的概率不超过1/t。

下面将验证本发明签名体制的不可伪造性。因为直到现在为止MPKCs的安全性都是基于已知的攻击模型，例如最小秩攻击，线性攻击，XL攻击等等，在适应性选择消息攻击下MPKCs不存在安全模型。因此只验证本发明的体制在非适应性选择消息攻击下的不可伪造性。如果一个攻击者要伪造一个有效的消息签名对在计算上是不可行的。

3、Rainbow环签名方案在所选择的哈西函数安全及所选取的多变量公钥密码体制安全的条件下，在非适应性选择消息攻击下满足不可伪造性：

证明：假设环为U，环成员的公钥为任何攻击者在不知道任何成员的私钥的情况下，在非适应性选择消息攻击下想要在消息M上生成环签名，就要面临下面两个问题：

(1)已知c_i(i＝1,2,…,j-1,j+1,…,t)以及A_i(i＝1,2,…,t)通过方程

算出c_j∈kⁿ，根据哈希函数的单向性这是困难的。

(2)已知A_i(i＝1,2,…,j-1,j+1,…,t)和c_i(i＝1,2,…,t)通过方程

求解A_j∈kⁿ，为了得到A_j∈kⁿ攻击者就得求解方程其中c_j＝c-(c₁+…+c_j-1+c_j+1+…+c_t)，c＝H(U,M,R₁,…R_t)R_j∈k^m是随机的，因为,A_i∈kⁿ,c_i∈k(i＝1,2,…,j-1,j+1,…,t)是随机选取的。但是这是一个在有限域上求解二次多变量方程组的困难问题，在所选取的MPKCs安全的条件下，在计算上不可行。因此签名不可伪造。

由于MPKCs在适应性选择消息攻击下的安全性是一个没有解决的公开问题，对于MPKCs的安全性目前仅限于在已经的攻击下分析。

利用Rainbow的多层结构攻击以及一般化方法攻击。基于Rainbow(20,10,4,10)的环签名方案的安全性至少2⁸⁰。

基于Rainbow的环签名方案的效率分析：

表1给出了基于不同密码体制的环签名的长度，例如Rivest al，Xu et al.体制，以及Rainbow(20,10,4,10)。

表一：签名长度的比较

从表1中能明显的看到本发明签名长度比Xu et al.短，比Rivest et al.长。但本发明签名体制比Xu et al.和Rivest et al.的效率高的多，因为MPKCs在有限域GF(q)上只有乘法运算。这也是MPKCs的优势。

对于本领域技术人员而言，显然能了解到上述具体事实例只是本发明的优选方案，因此本领域的技术人员对本发明中的某些部分所可能作出的改进、变动，体现的仍是本发明的原理，实现的仍是本发明的目的，均属于本发明所保护的范围。

Claims (8)

1.一种基于Rainbow的环签名方法，其特征在于，包括以下步骤：

1)、系统选定基于Rainbow的系统参数；

2)、系统分别为所有环成员生成公钥私钥对；

3)、用户u_s代表环成员对消息M进行签名，对所有的环成员随机选择数A_i和c_i，并且根据环成员生成公钥集和系统参数，生成签名消息M，并且得到签名消息M的环签名σ；

4)、对给定环U的签名消息M的签名σ进行验证，当签名验证成立，则签名有效。

2.根据权利要求1所述的基于Rainbow的环签名方法，其特征在于，所述系统选定基于Rainbow的系统参数具体包括：

设定系统参数为(k,q,l,m,n,H)其中q,l是安全参数，k＝GF(q^l)是一个有限域，m为多变量方程组的个数，n为变量的个数；H为密码学安全的哈希函数，H:{0,1}^*→kⁿ。

3.根据权利要求2所述的基于Rainbow的环签名方法，其特征在于，所述有限域k＝GF(q)，其中q＝2⁸，安全参数Rainbow(20,10,4,10)作为Rainbow公钥签名算法，设层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10；v₁为第一层醋变量个数，o₁为第一层油变量的个数，o₂为第二层油变量的个数，o₃为第三层油变量的个数。v₂，v₃分别为第二层和第三层的醋变量个数，分别是由前一层的油变量个数和醋变量个数相加得到的。

4.根据权利要求2所述的基于Rainbow的环签名方法，其特征在于，所述为所有环成员生成公钥私钥对包括：

生成环中每个用户的公钥私钥对PK_i/SK_i，i＝1,2,…,t，t为还成员数量；公钥所述公钥为第i个用户的公钥，L_1i,F_i,L_2i为第i个用户的私钥；其中，F_i是有限域上可逆的二次多变量方程；L_1i是从k^m到k^m的随机选择的可逆仿射变换，L_2i是从kⁿ到kⁿ的随机选择的可逆仿射变换。

5.根据权利要求4所述的基于Rainbow的环签名方法，其特征在于，所述用户u_s代表环成员对消息M进行签名具体包括：

3.1、对所有的环成员i＝1,2,…,t,i≠s随机选择A_i∈kⁿ，c_i∈kⁿ并且计算：

其中，所述R_i为复合函数，A_i和c_i为kⁿ上随机选择的数；

3.2、随机选择R_s∈k^m，并且计算：

c＝H(U,M,R₁,…R_t)∈kⁿ,

c_s＝c-(c₁+…+c_s-1+c_s+1+…+c_t)∈kⁿ,

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

6.根据权利要求5所述的基于Rainbow的环签名方法，其特征在于，所述A_s的获取过程为：

根据得到

其中，

将带入

得到

所以

得到签名消息M的环签名为σ＝(U,A₁,c₁,…,A_t,c_t)。

7.根据权利要求6所述的基于Rainbow的环签名方法，其特征在于，所述A_s的签名过程为：求解即为求解第s个用户用自己的私钥L_2s,F_s,L_1s对进行签名；

第一步，Rainbow(20,10,4,10)包含了一组GF(q)上44的个未知量的24个二次多项式；

其中n＝44，m＝24，层数为3，v₁＝20,o₁＝10,v₂＝30,o₂＝4,v₃＝34,o₃＝10，公钥为

第二步，计算公钥

即

式中，L₁ F L₂为私钥；

第三步，计算

A、随机选择带入第一层o₁＝10个方程式

表示具有10个变量的10个线性方程的集合，求解该方程，得到的值；若方程无解，重新随机选择的值，直到方程有结为止；

B、将的值带入第二层o₂个方程

求解该方程就得到的值。

C、将的值带入第三层o₃个方程

求解该方程就可以得到的值；进而可得到的值；

第四步，将值带入

X＝x₁,x₂…x₄₄即为Y′＝(y₁′,…,y₂′₄)的签名，同时x₁,x₂…x₄₄就是我们要求解的A_s。

8.根据权利要求5所述的基于Rainbow的环签名方法，其特征在于，所述对给定环U的签名消息M的签名σ进行验证具体包括：

给定环U的消息M的签名σ＝(U,A₁,c₁,…,A_t,c_t)，任何验证者检验是否

如果上边的等式成立，则签名有效，否则无效。