CN110048854B

CN110048854B - 基于多变量的后量子盲签名方法

Info

Publication number: CN110048854B
Application number: CN201910326923.9A
Authority: CN
Inventors: 俞惠芳; 付帅凤
Original assignee: Xian University of Posts and Telecommunications
Current assignee: Xian University of Posts and Telecommunications
Priority date: 2019-04-23
Filing date: 2019-04-23
Publication date: 2021-11-30
Anticipated expiration: 2039-04-23
Also published as: CN110048854A

Abstract

一种基于多变量的后量子盲签名方法，由系统初始化、生成签名密钥、盲签名、验证步骤组成。本发明运用改进的多变量签名模型，采用一个非满射映射构造中心映射，提出了一种基于多变量的后量子盲签名方法，该方法利用非线性可逆变换将签名的公私钥分离，减少了签名的公私钥之间的线性关系，不仅可以解决传统盲签名不能抵抗量子攻击的问题，还可以解决现有多变量公钥密码体制下的盲签名方法安全性较低、私钥较大等问题。本发明具有安全性较高、私钥较小等优点，可用于电子现金交易、匿名电子投票等需要匿名和认证的技术领域。

Description

基于多变量的后量子盲签名方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到密码学或多变量公钥密码体制或盲签名方法。

背景技术

盲签名是一种具有消息盲化特性的数字签名，主要应用于电子现金交易、匿名电子投票等需要匿名和认证的技术领域。目前大多数盲签名都是基于传统公钥密码体制，传统公钥密码体制的安全性主要依赖于大整数分解问题或离散对数问题的难解性。实用量子计算机即将诞生和量子算法的出现，使得基于传统公钥密码体制的盲签名方法受到了严重威胁。为此，研究具有抗量子计算特性的盲签名方法具有重要意义。

多变量公钥密码是后量子密码的主要候选者之一，其安全性主要依赖于有限域上二次多变量多项式方程组问题和多项式同构问题的难解性,具有计算效率高、运算速度快等优点，非常适用于计算能力有限的设备。目前，现有的基于多变量的盲签名方法采用一般的多变量签名模型，用两个非满射映射构造中心映射，只适合应用在已有安全的多变量公钥密码体制下，其存在安全性较低、私钥较大等缺点。如何提高现有多变量公钥密码体制下的盲签名方法安全性、降低私钥大小是密码学中当前需要迫切解决的一个技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，提供一种安全性较高、私钥较小的基于多变量的后量子盲签名方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

A、系统初始化

(A1)可信中心定义特征为p、阶为q>2的有限域F；

(A2)可信中心定义有限域F上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,···,x_n),···,p_i(x₁,x₂,···,x_n),···,p_r(x₁,x₂,···,x_n))

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域F内；

(A3)可信中心选取密码学安全Hash函数H：

{0,1}^*→F^r

其中，F^r是有限域F上的r维空间向量；

(A4)可信中心公开系统参数Z：

Z＝(F,p,q,r,n,H)

B、生成签名密钥

签名者B选取密码学中保密的单向不可逆哈希函数h，选取有限域F上F^r→F^r的可逆仿射变换N、Fⁿ→Fⁿ的可逆仿射变换S、F^r→F^r的非线性可逆变换L、Fⁿ→F^r的非满射中心映射G，确定自己的私钥sk和公钥pk：

私钥sk：L^-1、G^-1、S^-1

公钥pk：

式中

表示映射；

C、盲签名

(C1)消息拥有者O对消息m增加随机比特m'；

(C2)盲化

消息拥有者O随机选取的盲因子e∈F，确定盲化消息b：

b＝eH(m||m')

式中||表示连接；

(C3)签名

消息拥有者O发送盲化消息b给签名者B，确定原象y、原象x：

y＝L^-1(b)

x＝G^-1(y)

若原象y没有与之对应的原象x，则返回步骤(C1)，否则继续确定盲签名σ'：

σ'＝S^-1(x)

(C4)去盲化

签名者B发送盲签名σ'给消息拥有者O，消息拥有者O确定签名σ：

σ＝σ'/e²

(C5)消息拥有者O输出签名σ；

D、验证

(D1)验证者确定u、v:

(D2)验证者验证u与v是否相等，如果相等盲签名成功；否则盲签名失败。

本发明运用改进的多变量签名模型，采用一个非满射映射构造中心映射，提出了一种基于多变量的后量子盲签名方法，该方法利用非线性可逆变换将签名的公私钥分离，减少了签名的公私钥之间的线性关系，提高了多变量盲签名的安全性，减少了私钥长度，解决了传统盲签名不能抵抗量子攻击的技术问题以及现有多变量公钥密码体制下的盲签名方法安全性较低、私钥较大等技术问题，确保消息的盲性、签名的不可伪造性和不可追踪性。本发明具有安全性较高、私钥较小等优点，可用于电子现金交易、匿名电子投票等需要匿名和认证的技术领域。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

在图1中，本实施例的基于多变量的后量子盲签名方法由下述步骤组成：

A、系统初始化

(A1)可信中心定义特征为p、阶为q>2的有限域F。

(A2)可信中心定义有限域F上的n元r个多变量方程组：

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r，n和r为有限的正整数。

其中，每个系数α、β、γ和变量x都在有限域F内。

(A3)可信中心选取密码学安全Hash函数H：

{0,1}^*→F^r

其中，F^r是有限域F上的r维空间向量。

(A4)可信中心公开系统参数Z：

Z＝(F,p,q,r,n,H)

B、生成签名密钥

私钥sk：L^-1、G^-1、S^-1

公钥pk：

式中

表示映射。

在生成签名密钥步骤中，运用改进的多变量签名模型，采用了一个非满射映射构造中心映射，提出了一种基于多变量的后量子盲签名方法，该方法利用非线性可逆变换将签名的公私钥分离，减少了签名的公私钥之间的线性关系，不仅可以解决传统盲签名不能抵抗量子攻击的问题，还可以解决现有多变量公钥密码体制下的盲签名方法安全性较低、私钥较大等问题。

C、盲签名

(C1)消息拥有者O对消息m增加10个随机比特m'。

(C2)盲化

消息拥有者O随机选取的盲因子e∈F，确定盲化消息b：

b＝eH(m||m')

式中||表示连接。

(C3)签名

消息拥有者O发送盲化消息b给签名者B，确定原象y、原象x：

y＝L^-1(b)

x＝G^-1(y)

σ'＝S^-1(x)

(C4)去盲化

σ＝σ'/e²

(C5)消息拥有者O输出签名σ。

D、验证

(D1)验证者确定u、v:

实施例2

本实施例的基于多变量的后量子盲签名方法由下述步骤组成：

A、系统初始化

该步骤与实施例1相同。

B、生成签名密钥

该步骤与实施例1相同。

C、盲签名

(C1)消息拥有者O对消息m增加5个随机比特m'。

该步骤的其它步骤与实施例1相同。

其它步骤与实施例1相同。

实施例3

A、系统初始化

该步骤与实施例1相同。

B、生成签名密钥

该步骤与实施例1相同。

C、盲签名

(C1)消息拥有者O对消息m增加1个随机比特m'。

该步骤的其它步骤与实施例1相同。

其它步骤与实施例1相同。

Claims

1.一种基于多变量的后量子盲签名方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)可信中心定义特征为p、阶为q>2的有限域F；

(A2)可信中心定义有限域F上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

其中，每个系数α、β、γ和变量x都在有限域F内；

(A3)可信中心选取密码学安全Hash函数H：

{0,1}^*→F^r

其中，F^r是有限域F上的r维空间向量；

(A4)可信中心公开系统参数Z：

Z＝(F,p,q,r,n,H)

B、生成签名密钥

私钥sk：L^-1、G^-1、S^-1

公钥pk：

式中

表示映射；

C、盲签名

(C1)消息拥有者O对消息m增加随机比特m'；

(C2)盲化

消息拥有者O随机选取的盲因子e∈F，确定盲化消息b：

b＝eH(m||m')

式中||表示连接；

(C3)签名

消息拥有者O发送盲化消息b给签名者B，确定原象y、原象x：

y＝L^-1(b)

x＝G^-1(y)

σ'＝S^-1(x)

(C4)去盲化

σ＝σ'/e²

(C5)消息拥有者O输出签名σ；

D、验证

(D1)验证者确定u、v:

2.根据权利要求1所述的基于多变量的后量子盲签名方法，其特征在于：在盲签名步骤C中，所述的(C1)步骤为消息拥有者O对消息m增加不超过10个随机比特m'。