CN110190957B - 基于无证书的多变量广播多重签名方法 - Google Patents

Abstract

一种基于无证书的多变量广播多重签名方法，由建立系统参数、生成部分密钥、生成签名密钥、签名、验证步骤组成。本发明在多变量公钥密码体制下结合无证书公钥密码体制和广播多重签名技术，提出了一种基于无证书的多变量广播多重签名方法，该方法解决了基于身份的公钥密码体制的密钥托管问题。本发明最终的多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名、验证计算量小，抵抗量子计算攻击等优点，可以用于车载网络、教育系统等领域。

Description

基于无证书的多变量广播多重签名方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到密码学或多变量公钥密码体制或无证书公钥密码体制或广播多重签名方法。

背景技术

多重签名按照有无签名顺序分为有序多重签名和广播多重签名，它可以实现多个用户对同一个电子文件进行签名和认证。目前，大多数广播多重签名都是基于传统公钥密码体制，其安全性主要基于大整数分解问题或离散对数问题的难解性。量子算法的出现和量子计算机的即将诞生，将会对基于传统公钥密码体制的广播多重签名方法构成威胁，并且基于身份的广播多重签名方法存在密钥托管问题。因此，研究具有抗量子计算特性的无证书广播多重签名方法具有重要意义。

多变量公钥密码作为后量子密码的主要候选者之一，其安全性主要基于有限域上二次多变量多项式方程组问题和多项式同构问题的难解性，具有计算效率高、运算速度快、抵抗量子计算攻击等优点，非常适用于计算能力、存储能力、通信能力有限的设备上。但是，目前没有基于无证书的多变量广播多重签名方法，如何采用无证书公钥密码体制构建多变量广播多重签名是密码学中当前需要迫切解决的一个技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，提供一种签名、验证计算量小，签名长度不随用户个数变化的基于无证书的多变量广播多重签名方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域K。

(A2)密钥生成中心定义有限域K上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,···,x_n),···,p_i(x₁,x₂,···,x_n),···,p_r(x₁,x₂,···,x_n))

每个方程组p_i是关于变量x为x₁、x₂、…、x_n的非线性二次方程，其中i为1、2、…、r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域K内。

(A3)密钥生成中心选取密码学安全Hash函数H：

{0,1}^*×Kⁿ→Kⁿ

其中，Kⁿ是有限域K上的n维空间向量。

(A4)密钥生成中心公开系统参数Z：

Z＝(K,p,q,r,n,H)

B、生成部分密钥

(B1)密钥生成中心选取安全的多变量加密算法，其核心变换Q是Kⁿ→Kⁿ的可逆二次变换，并在Kⁿ→Kⁿ上随机选取可逆仿射变换T和可逆仿射变换S，确定系统公钥Q'、系统私钥Q'^-1：

系统公钥Q'：

系统私钥Q'^-1：T、Q、S

式中

表示映射。

(B2)密钥生成中心选取Kⁿ→Kⁿ上的可逆仿射变换T₀和可逆仿射变换S₀，确定部分公钥Q₀'、部分私钥Q₀'^-1：

部分公钥Q₀'：

部分私钥Q₀'^-1：

Q、

(B3)密钥生成中心公开系统公钥Q'，并且通过秘密信道将部分私钥Q₀'^-1给多重签名者。

C、生成签名密钥

每个签名者N_u选取Kⁿ→Kⁿ上的可逆仿射变换T_u和可逆仿射变换S_u，确定签名公钥pk_u、签名私钥sk_u：

签名公钥pk_u：

签名私钥sk_u：

Q^-1、

其中，u是签名者的个数，u为1、2、…、t，t为有限的正整数。

D、签名

(D1)每个签名者N_u选择一个随机数r_u，r_u∈Kⁿ，确定v_u：

v_u＝Q'(r_u)

并把v_u广播给其他签名者N_w，其中，w为1、2、···、t；且w≠u。

(D2)每个签名者N_u确定v、哈希值h：

h＝H(m||v)

式中||表示连接。

(D3)每个签名者N_u用自己的签名私钥sk_u，确定自己的部分签名σ_u：

并将消息m、v_u、部分签名σ_u发送给收集者C。

(D4)收集者C确定v、哈希值h：

h＝H(m||v)

(D5)收集者C用签名者N_u的签名公钥pk_u确定h_u'：

(D6)收集者C验证h_u'与h是否相等；如果全都相等，部分签名σ_u成功，收集者C确定最终的多重签名σ：

否则，部分签名σ_u失败。

(D7)收集者C发送消息m、v、多重签名σ给验证者V。

E、验证

(E1)验证者V确定签名者N_u的公钥积pk、哈希值h:

h＝H(m||v)

(E2)验证者V确定h":

h"＝pk(σ/h^t-1)

(E3)验证者V验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

在本发明的A、建立系统参数步骤中，本发明的特征p为素数，阶q为p的不为0的正整数次方。

本发明在多变量公钥密码体制下结合无证书公钥密码体制和广播多重签名技术，提出了一种基于无证书的多变量广播多重签名方法，该方法采用无证书公钥密码体制解决了基于身份的公钥密码体制的密钥托管问题。本发明最终的多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名、验证计算量小，能抵抗量子计算攻击等优点，可以用于车载网络、教育系统等领域。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

本实施例以特征p为2、阶q为256的有限域K，n为42、r为24多变量方程组为例，基于无证书的多变量广播多重签名方法由下述步骤组成(如图1所示)：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域K，本实施例中，p为2，阶q为256。

(A2)密钥生成中心定义有限域K上的n元r个多变量方程组，本实施例中，n为42，r为24。

P＝(p₁(x₁,x₂,···,x₄₂),···,p_i(x₁,x₂,···,x₄₂),···,p₂₄(x₁,x₂,···,x₄₂))

每个方程组p_i是关于变量x为x₁、x₂、…、x₄₂的非线性二次方程，其中i为1、2、…、24：

其中，每个系数α、β、γ和变量x都在有限域K内。

(A3)密钥生成中心选取密码学安全Hash函数H：

{0,1}^*×K⁴²→K⁴²

其中K⁴²是有限域K上的42维空间向量。

(A4)密钥生成中心公开系统参数Z：

Z＝(K,p,q,r,n,H)

其中p为2、q为256、n为42、r为24。

B、生成部分密钥

(B1)密钥生成中心选取安全的多变量加密算法，其核心变换Q是K⁴²→K⁴²的可逆二次变换，并在K⁴²→K⁴²上随机选取可逆仿射变换T和可逆仿射变换S，确定系统公钥Q'、系统私钥Q'^-1：

系统公钥Q'：

系统私钥Q'^-1：T、Q、S

式中

表示映射。

(B2)密钥生成中心选取K⁴²→K⁴²上的可逆仿射变换T₀和可逆仿射变换S₀，确定部分公钥Q₀'、部分私钥Q₀'^-1：

部分公钥Q₀'：

部分私钥Q₀'^-1：

Q、

(B3)密钥生成中心公开系统公钥Q'，并且通过秘密信道将部分私钥Q₀'^-1给多重签名者。

C、生成签名密钥

每个签名者N_u选取K⁴²→K⁴²上的可逆仿射变换T_u和可逆仿射变换S_u，确定签名公钥pk_u、签名私钥sk_u：

签名公钥pk_u：

签名私钥sk_u：

Q^-1、

其中，u是签名者的个数，u为1、2、···、t，t为有限的正整数。

D、签名

(D1)每个签名者N_u选择一个随机数r_u，r_u∈K⁴²，确定v_u：

v_u＝Q'(r_u)

并把v_u广播给其他签名者N_w，其中，w为1、2、···、t；且w≠u。

(D2)每个签名者N_u确定v、哈希值h：

h＝H(m||v)

式中||表示连接。

(D3)每个签名者N_u用自己的签名私钥sk_u，确定自己的部分签名σ_u：

并将消息m、v_u、部分签名σ_u发送给收集者C。

(D4)收集者C确定v、哈希值h：

h＝H(m||v)

(D5)收集者C用签名者N_u的签名公钥pk_u确定h_u'：

(D6)收集者C验证h_u'与h是否相等；如果全都相等，部分签名σ_u成功，收集者C确定最终的多重签名σ：

否则，部分签名σ_u失败。

(D7)收集者C发送消息m、v、多重签名σ给验证者V。

E、验证

(E1)验证者V确定签名者N_u的公钥积pk、哈希值h:

h＝H(m||v)

(E2)验证者V确定h":

h"＝pk(σ/h^t-1)

(E3)验证者V验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

本实施例采用无证书公钥密码体制解决了基于身份的公钥密码体制的密钥托管问题。本发明最终的多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名、验证计算量小，能抵抗量子计算攻击等优点。

实施例2

本实施例以特征p为2、阶q为256的有限域K，n为30、r为25多变量方程组为例，基于无证书的多变量广播多重签名方法由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域K，本实施例中，p为2，阶q为256。

(A2)密钥生成中心定义有限域K上的n元r个多变量方程组，本实施例中，n为30，r为25。

P＝(p₁(x₁,x₂,···,x₃₀),···,p_i(x₁,x₂,···,x₃₀),···,p₂₅(x₁,x₂,···,x₃₀))

每个方程组p_i是关于变量x为x₁、x₂、…、x₃₀的非线性二次方程，其中i为1、2、…、25：

其中，每个系数α、β、γ和变量x都在有限域K内。

(A3)密钥生成中心选取密码学安全Hash函数H：

{0,1}^*×K³⁰→K³⁰

其中K³⁰是有限域K上的30维空间向量。

(A4)密钥生成中心公开系统参数Z：

Z＝(K,p,q,r,n,H)

其中p为2、q为256、n为30、r为25。

B、生成部分密钥

(B1)密钥生成中心选取安全的多变量加密算法，其核心变换Q是K³⁰→K³⁰的可逆二次变换，并在K³⁰→K³⁰上随机选取可逆仿射变换T和可逆仿射变换S，确定系统公钥Q'、系统私钥Q'^-1：

系统公钥Q'：

系统私钥Q'^-1：T、Q、S

式中

表示映射。

(B2)密钥生成中心选取K³⁰→K³⁰上的可逆仿射变换T₀和可逆仿射变换S₀，确定部分公钥Q₀'、部分私钥Q₀'^-1：

部分公钥Q₀'：

部分私钥Q₀'^-1：

Q、

(B3)密钥生成中心公开系统公钥Q'，并且通过秘密信道将部分私钥Q₀'^-1给多重签名者。

C、生成签名密钥

每个签名者N_u选取K³⁰→K³⁰上的可逆仿射变换T_u和可逆仿射变换S_u，确定签名公钥pk_u、签名私钥sk_u：

签名公钥pk_u：

签名私钥sk_u：

Q^-1、

其中，u是签名者的个数，u为1、2、···、t，t为有限的正整数。

D、签名

(D1)每个签名者N_u选择一个随机数r_u，r_u∈K³⁰，确定v_u：

v_u＝Q'(r_u)

并把v_u广播给其他签名者N_w，其中，w为1、2、···、t；且w≠u。

(D2)每个签名者N_u确定v、哈希值h：

h＝H(m||v)

式中||表示连接。

(D3)每个签名者N_u用自己的签名私钥sk_u，确定自己的部分签名σ_u：

并将消息m、v_u、部分签名σ_u发送给收集者C。

(D4)收集者C确定v、哈希值h：

h＝H(m||v)

(D5)收集者C用签名者N_u的签名公钥pk_u确定h_u'：

(D6)收集者C验证h_u'与h是否相等；如果全都相等，部分签名σ_u成功，收集者C确定最终的多重签名σ：

否则，部分签名σ_u失败。

(D7)收集者C发送消息m、v、多重签名σ给验证者V。

其它步骤与实施例1相同。

实施例3

本实施例以特征p为2、阶q为512的有限域K，n为42、r为24多变量方程组为例，基于无证书的多变量广播多重签名方法由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域K，本实施例中，p为2，阶q为512。

(A2)密钥生成中心定义有限域K上的n元r个多变量方程组，本实施例中，n为42，r为24。

P＝(p₁(x₁,x₂,···,x₄₂),···,p_i(x₁,x₂,···,x₄₂),···,p₂₄(x₁,x₂,···,x₄₂))

每个方程组p_i是关于变量x为x₁、x₂、…、x₄₂的非线性二次方程，其中i为1、2、…、24：

其中，每个系数α、β、γ和变量x都在有限域K内。

(A3)密钥生成中心选取密码学安全Hash函数H：

{0,1}^*×K⁴²→K⁴²

其中K⁴²是有限域K上的42维空间向量。

(A4)密钥生成中心公开系统参数Z：

Z＝(K,p,q,r,n,H)

其中p为2、q为512、n为42、r为24。

其它步骤与实施例1相同。

根据上述原理，还可以设计出另外一种具体的基于无证书的多变量广播多重签名方法，但均在本发明的保护范围内。

Claims (2)

1.一种基于无证书的多变量广播多重签名方法，其特征在于由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域K；

(A2)密钥生成中心定义有限域K上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,···,x_n),···,p_i(x₁,x₂,···,x_n),···,p_r(x₁,x₂,···,x_n))

每个方程组p_i是关于变量x为x₁、x₂、…、x_n的非线性二次方程，其中i为1、2、…、r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域K内；

(A3)密钥生成中心选取密码学安全Hash函数H：

{0,1}^*×Kⁿ→Kⁿ

其中，Kⁿ是有限域K上的n维空间向量；

(A4)密钥生成中心公开系统参数Z：

Z＝(K,p,q,r,n,H)

B、生成部分密钥

(B1)密钥生成中心选取安全的多变量加密算法，其核心变换Q是Kⁿ→Kⁿ的可逆二次变换，并在Kⁿ→Kⁿ上随机选取可逆仿射变换T和可逆仿射变换S，确定系统公钥Q'、系统私钥Q'^-1：

系统公钥Q'：

系统私钥Q'^-1：T、Q、S

式中

表示映射；

(B2)密钥生成中心选取Kⁿ→Kⁿ上的可逆仿射变换T₀和可逆仿射变换S₀，确定部分公钥Q₀'、部分私钥Q₀'^-1：

部分公钥Q₀'：

部分私钥Q₀'^-1：

(B3)密钥生成中心公开系统公钥Q'，并且通过秘密信道将部分私钥Q₀'^-1给多重签名者；

C、生成签名密钥

每个签名者N_u选取Kⁿ→Kⁿ上的可逆仿射变换T_u和可逆仿射变换S_u，确定签名公钥pk_u、签名私钥sk_u：

签名公钥pk_u：

签名私钥sk_u：

其中，u是签名者的个数，u为1、2、…、t，t为有限的正整数；

D、签名

(D1)每个签名者N_u选择一个随机数r_u，r_u∈Kⁿ，确定v_u：

v_u＝Q'(r_u)

并把v_u广播给其他签名者N_w，其中，w为1、2、···、t；且w≠u；

(D2)每个签名者N_u确定v、哈希值h：

h＝H(m||v)

式中||表示连接；

(D3)每个签名者N_u用自己的签名私钥sk_u，确定自己的部分签名σ_u：

并将消息m、v_u、部分签名σ_u发送给收集者C；

(D4)收集者C确定v、哈希值h：

h＝H(m||v)

(D5)收集者C用签名者N_u的签名公钥pk_u确定h_u'：

(D6)收集者C验证h_u'与h是否相等；如果全都相等，部分签名σ_u成功，收集者C确定最终的多重签名σ：

否则，部分签名σ_u失败；

(D7)收集者C发送消息m、v、多重签名σ给验证者V；

E、验证

(E1)验证者V确定签名者N_u的公钥积pk、哈希值h:

h＝H(m||v)

(E2)验证者V确定h":

h"＝pk(σ/h^t-1)

(E3)验证者V验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

2.根据权利要求1所述的基于无证书的多变量广播多重签名方法，其特征在于：在建立系统参数A中，所述的特征p为素数，阶q为p的不为0的正整数次方。

Images