CN110601822A

CN110601822A - 一种基于量子保密通信技术的加密盲签名方法

Info

Publication number: CN110601822A
Application number: CN201910766700.4A
Authority: CN
Inventors: 冯笑; 黄琦斌; 欧清海; 林树; 洪汛; 林超; 赵鲲翔; 张伍伟; 张喆; 吴庆; 黄长贵; 叶跃骈; 陈如尹; 黎金城; 柯金发; 李锐; 李金泽; 张鸿凯
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Fujian Electric Power Co Ltd; State Grid Beijing Electric Power Co Ltd; National Network Information and Communication Industry Group Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; State Grid Fujian Electric Power Co Ltd; State Grid Beijing Electric Power Co Ltd; National Network Information and Communication Industry Group Co Ltd
Priority date: 2019-08-20
Filing date: 2019-08-20
Publication date: 2019-12-20

Abstract

本发明公开了一种基于量子保密通信技术的加密盲签名方法，本发明采用混淆技术对加密盲签名功能进行混淆，使得敌手进行逆向工程得到代码的代码为混淆代码，提出加密盲签名混淆器下的盲性和one‑more不可伪造性，防止而已用户或非授权用户得到源程序。其次，在协议交互过程中，采用量子密钥生成设备与加密设备协作的方式，通过量子密钥生成设备的量子密钥安全分配体系，保证传输安全性。

Description

一种基于量子保密通信技术的加密盲签名方法

技术领域

本发明涉及一种加密盲签名方法，特别是一种基于量子保密通信技术的加密盲签名方法。

背景技术

数字签名是密码算法的主要应用方向之一，是一项具备消息认证、身份认证、完整性认证和加密于一身的信息安全技术。随着签名技术在军事、通信、电子商务等领域的深入应用，普通的数字签名己无法满足人们的特殊需要，于是用来保护用户隐私的特殊的数字签名技术盲签名被提出来。它与通常的数字签名的不同之处在于：用户可以在不让签名者知道所签消息以及与所签消息相关的任何信息的情况下，得到一个有效的签名，即使签名人在以后得到该签名，他也无法将其与相应的签名过程联系起来。随后，许多盲签名方案以及一些带有其他性质的盲签名方案被相继提出。目前，随着电子信息技术的快速发展，盲签名在电子现金，电子拍卖以及电子投票等领域都得到广泛应用。

然而逆向工程中反编译技术的发展对移动代码和软件知识产权技术提出了严峻的挑战，以Java来说它首先通过预编译形成字节码，然后字节码在虚拟机上解释并执行，但它的字节码很容易反编译，一旦得到字节码，就容易进行逆向工程从而得到源程序。

量子保密通信技术以量子密钥安全分发为基础并最先得到实用化的量子信息技术，该技术利用量子不确定性原理与量子不可克隆原理的特性，攻击者无法测量和复制量子态，且一旦进行窃听即会被发现，具有比传统密钥分发机制更高的安全性。

但是目前，量子保密通信技术在市场化的进程中面临一系列问题，一是量子保密通信系统自身存在的问题，如设备成本高、体积大、稳定性低、实际安全性效益未论证、产品结构单一、未形成统一行业标准、光纤资源消耗大等问题，该问题是产品化进程中不可避免的，归根结底需要技术上的突破以及行业标准化推动。二是量子保密通信技术主要解决密钥或随机数的安全传输问题，但密钥传输只是密码应用的一部分，单独将密钥传输从密码应用中剥离出来，将引发一系列因应用模式不一而导致的密钥协同与匹配的问题。

发明内容

本发明的目的在于克服现有技术的不足之处，而提供一种旨在扩大量子保密通信技术在密码学中的应用，同时又能提高加密盲签名安全性的一种基于量子保密通信技术的加密盲签名方法。

一种基于量子保密通信技术的加密盲签名方法，(1)选取 Schnorr盲签名及Boneh线性加密两种算法，(2)由盲签名及线性加密方两种算法构造加密盲签名功能；(3)混淆加密盲签名；(4)将步骤1-3 过程中的核心参数采用量子保密通信技术进行传输。

本发明采用混淆技术对加密盲签名功能进行混淆，使得敌手进行逆向工程得到代码的代码为混淆代码，提出加密盲签名混淆器下的盲性和 one-more不可伪造性，防止而已用户或非授权用户得到源程序。

所述的Schnorr盲签名算法包括3个算法：

(1)SKG：对输入，生成一个公私p钥对(pk,sk)。

(2)(S,U)是概率的交互签名算法：对一些常数p，私钥sk和l 比特明文m＝m₁m₂…m_l∈MS(p，pk)，由签名者执行的算法S(p,sk)和由接收者执行的算法U(pk,m)生成消息m的签名σ，其中MS(p,pk)为(p,pk)定义的消息空间。

(3)V是确定的验证算法：对一些常数p，公钥pk，消息m和签名σ，如果σ是m的有效签名则接受：否则返回⊥。

利用给出Schnorr的盲签名方案作为构造块来构造EBS功能，具体签名过程如下：

SKG(p)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择g₁∈G和x∈Z_q。

3.输出秘密密钥和公共密钥其中

Sign(p,sk,m)：

1.提取p＝(q,G,G_r,e,g)。

2.签名者通过量子密钥生成设备随机选择k∈Z_q。并计算t＝g^kmodp，然后将t发送给接收者。

3.接收者通过量子密钥生成设备随机选择α,β∈Z_q并计算ω＝tgαy^βmodp，然后计算c＝H(m||ω)和c'＝c-βmodq，并将c'发送给签名者。

4.签名者计算u＝k-c'mod q并将u发送给签名者。

5.接收者计算v＝u+αmod q。

6.接收者输出签名σ＝(c,v)。

Verify(p,pk,m,σ)

1.提取p＝(q,G,G_r,e,g)，m＝m₁,m₂,...,m_n，σ＝(c,v)。

2.计算g^vy^c＝ω。如果H(m||ω)＝c，则接受；否则输出⊥。

Boneh线性加密算法的具体过程如下：

EKG(p)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择a∈Z_q和b∈Z_q.

3.输出秘密密钥sk_e＝(a,b)和公共密钥pk_e＝(g^a,g^b)。

Enc(p,pk_e,m)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择r∈Z_q，s∈Z_q。

3.计算(c₁,c₂,c₃)＝((g^a)^r,(g^b)^r,g^r+sm)。

4.输出c＝(c₁,c₂,c₃)。

Verify(p,sk_e,c)：

1.提取p＝(q,G,G_r,e,g)，sk_e＝(a,b)和c＝(c₁,c₂,c₃)。

2.输出

加密盲签名算法由盲签名和线性加密方案构造而成的具体步骤为：

1.运行(σ₁,σ₂)←BlindSign(p,sk,m)。

2.运行C₁←Enc(p,pk_e,σ₁)。

3.运行C₂←Enc(p,pk_e,σ₂)

4.输出(C₁,C₂)。

1.输出(p,pk,pk_e)，其中pk是对应于密钥sk的公钥pk。

设C_EBS＝{C_n}表示我们想要混淆的EBS功能的一类回路。

混淆已加密盲签名的方法为,

构造回路C_p,_sk,p_ke，它包含了公共参数p，签名密钥sk和加密公钥pk_e。注意到混淆的重点是如何重随机化Enc使得原始加密结果和混淆 pk_e＝(g^a,g^b)之后的结果是标量同态的。这里我们使用ReRand算法，给定密文(c₁,c₂,c₃)和公钥，用下面的方式重随机化密文ReRand(p,pk_e,(c₁,c₂,c₃))→(c₁(g^a)^r',c₂(g^b)^s',c₃g^r'+^s')，其中r',s'∈Z_q为随机参数。

给定回路然后构造EBS功能的泥淆器Obf_EBS如下：

1.提取(p,sk,pk,pk_e)，其中和pk_e＝(g^a,g^b)。

2.提取p＝(q,G,G_r,e,g)。

3.签名者运行Enc(p,pk_e,sk)→(c₁,c₂,sk')＝((g^a)^r,(g^b)^s,g^r+sg1^x)得到新的签名并将(c₁,c₂)发送给接收者。

4.签名者选择随机参数k∈Z_q。，然后将t＝g^k发送给接收者。

5.随机选择α,β∈Z_q，接收者计算ω'＝tgαy^β,c'＝H(m||ω')，然后将c＂发

送给签名者。

6.签名者将u'发送给接收者，其中u'＝k-c”sk'。

7.接收者得到(c',v')＝(H(m||ω'),u'+α)，然后计算接收者将密文(c₁,c₂,c₃)重随机化为C₁＝(c₁,c₂,c₃)←ReRand(p,pk_e,(c₁,c₂,c₃))。

(注意到：(c'₁,c'₂,c'₃)＝((g^a)^r+r',(g^b)^r+r',c'g^r+s+r'+^s'))。

1.接收者计算C₂←Enc(p,pk,v')。(我们定义C₂＝(c'₁,c'₂,c'₃))。

2.接收者计算加密盲签名σ＝(C₁,C₂)。

签名者并不知道输出签名σ＝(C₁,C₂)，因为签名者既不知道(c',v')也不知道(α,β)。但是接收者能用下列验证算法V＝(p,pk,m,σ)验证签名σ：

1.计算和

2.如果接收σ＝(C₁,C₂)；否则输出⊥。

量子密钥分配体系包括两个阶段：量子阶段和经典阶段，量子阶段使用安全的量子信道通信并为通信双方分配一串初始密钥；经典阶段使用不安全的经典信道通信对初始密钥信息进行筛选、纠错及保密加强，从而确保通信双方获取到一致且安全的密钥。

综上所述的，本发明相比现有技术如下优点：

本发明扩大量子保密通信技术在密码学中的应用，采用混淆技术解决加密盲签名功能在实现过程中代码可逆问题，采用量子保密通信技术解决加密盲签名功能在协议交互时，密钥、随机数等敏感信息的安全传输问题。

首先，本文采用混淆技术对加密盲签名功能进行混淆，使得敌手进行逆向工程得到代码的代码为混淆代码，提出加密盲签名混淆器下的盲性和 one-more不可伪造性，防止而已用户或非授权用户得到源程序。

其次，在协议交互过程中，采用量子密钥生成设备与加密设备协作的方式，通过量子密钥生成设备的量子密钥安全分配体系，保证传输安全性。量子密钥分配体系包括两个阶段：量子阶段和经典阶段。量子阶段使用安全的量子信道通信并为通信双方分配一串初始密钥；经典阶段使用不安全的经典信道通信对初始密钥信息进行筛选、纠错及保密加强，从而确保通信双方获取到一致且安全的密钥。

附图说明

图1是现有技术的经典密码设备部署示意图。

图2是本发明的经典密码设备与量子密钥生成设备组合部署示意图。

具体实施方式

下面结合实施例对本发明进行更详细的描述。

实施例1

一种基于量子保密通信技术的加密盲签名方法，(1)选取盲签名及线性加密方两算法，(2)由盲签名及线性加密方两算法构造加密盲签名；(3) 混淆加密盲签名；(4)将步骤1-3过程中的核心参数采用量子保密通信技术进行传输。

下面详细探讨本发明的技术方案并加以验证

(1)整体架构部署方式

传统的密码设备的主要部署方式为点对点和点对多点，具体如图1 所示。密钥生成由随机数发生器生成，通过密钥传输协议如 Diffie-Hellman或数字信封将密钥传输至对端密码设备实现密钥共享。密码设备A与密码设备B、C、D之间直接进行密钥协商，协商与识别可通过不同的设备参数建立不同的加密隧道进行。

本发明引入量子密钥生成设备，使密码设备A、B分别接受量子密钥生成设备A、B生成的密钥，打破目前主要集中量子密钥生成设备侧的研究。实现量子密钥生成设备与传统密码设备、传统密码协议的深入的结合。

在不同的应用场景中，量子密钥生成设备与加密设备有不同的组合方式，这将涉及到传统密码设备对量子密钥的识别、更新、协同、分割、匹配、销毁等内容，以及量子密钥生成设备与加密设备间密钥传输过程中的容错机制。

(2)传统密码设备中加密盲签名混淆的实现方式

目前,传统密码设备只具备签名功能，不具备盲签名功能。因此，本发明依次实现[1]盲签名及加密方案；[2]加密盲签名；[3]混淆的加密盲签名；[4]将1-3过程中的核心参数采用量子保密通信技术进行传输。第一步：选取盲签名及线性加密方案

[1]盲签名及加密方案

用户需要签名者对消息m签名时，首先，引入盲化因子对消息m进行盲化得到消息m'，然后将m'发送给签名者，签名者对消息m'签名后将其签名σ'返回给相应的用户，最后用户对σ'去盲化得到消息m的签名σ。

除了数字签名性质外，盲签名还应满足下面两种性质：

(1)不可伪造性：敌手在与签名者交互之后，不能对消息产生合法的盲签名。

(2)盲性：即使在已知消息－签名对的集合的情况下，两个给定消息的签名是计算。

本发明提出构造加密盲签名方案的混淆器所基于的困难性假设以及它的安全性定义。给出安全参数1ⁿ，setup为生成参数的算法，用于在公钥加密(PKE)方案和数字盲签名(DBS)方案中生成多个用户的通用参数，其中关键性随机参数将采用量子保密通信技术传输。

1.1困难性假设

给出双线性对的初始化算法和需要满足的性质，在此基础上给出了本发明安全性证明所基于的判定线性复杂性假设。

设BMsetup为初始化算法：通过量子密钥分发设备输入安全参数1^k，输出双线性映射参数(a,g,G,G_r,e)，其中G，G_r是阶为q∈Θ(2^k)的群，g是G 的生成元，e为从G×G到G_r的有效双线性映射。

映射e满足下列两个性质：

双线性：对所有的g∈G和a，b∈Z_q有e(g^a,g^b)＝e(g,g)^ab。

非退化性：如果g生成G，那么e(g^a,g^b)≠1。

定义1(DL假设)对每个PPT机器D，每个多项式p(·)，所有足够大的和每个z∈{0,1}^play(n)，

1.2盲签名方案及其安全性

给出盲签名方案的一般构造和需要满足的形式化的安全性定义，然后给出本发明具体的Schnorr盲签名方案。

盲签名方案包括3个算法：

(1)SKG：对输入，生成一个公私p钥对(pk,sk)。

(2)(S,U)是概率的交互签名算法：对一些常数p，私钥sk和l比特明文m＝m₁m₂…m_l∈MS(p，pk)，由签名者执行的算法S(p,sk)和由接收者执行的算法U(pk,m)生成消息m的签名σ，其中MS(p,pk)为(p,pk)定义的消息空间。

盲签名方案的安全性包括了盲性和one－more不可伪造性，其中one －more不可伪造性的意思是在敌手进行攻击之前，可以至多对签名预言机进行一定次数的访问来得到有效信息，但是即使经过这么多次的访问之后仍然不能伪造消息的签名，这是对不可伪造性的加强与扩展。

定义2(盲性)盲签名方案DBS＝(SKG,(S,U),V)称为盲的，如果对任意有效算法A，毎个多项式p(·)，所有足够大的和每个z∈{0,1}^play(n)，存在：

其中A3为恶意签名者，U是诚实使用者。如果σ₀＝⊥或σ₁＝⊥，那么接收者两个签名结果都接收不到。

注意：用(表示X以任意顺序调用Y(y₀)和Y(y₁)，但是与每个算法只交互一次。

定义3(one-more不可伪造性)DBS方案(SKG,(S,U),V)是one－more 不可伪造的，如果对任意有效算法A4(恶意接收者)，每个多项式p(·)，所有足够大的和每个z∈{0,1}^play(n)，存在：

其中S_p,sk，是签名预言机(回路)。

注意：用X^《Y》k定义X对Y最多进行k次询问。

接下来，给出Schnorr的盲签名方案作为构造块来构造EBS功能，具体签名过程如下：

SKG(p)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择g₁∈G和x∈Z_q。

3.输出秘密密钥和公共密钥其中

Sign(p,sk,m)：

1.提取p＝(q,G,G_r,e,g)。

3.接收者通过量子密钥生成设备随机选择α,β∈Z_q并计算ω＝tgαy^βmod p，然后计算c＝H(m||ω)和c'＝c-βmod q，并将c'发送给签名者。

4.签名者计算u＝k-c'modq并将u发送给签名者。

5.接收者计算v＝u+αmodq。

6.接收者输出签名σ＝(c,v)。

Verify(p,pk,m,σ)

1.提取p＝(q,G,G_r,e,g)，pk＝(g₁,g^g1x)，m＝m₁,m₂,...,m_n，σ＝(c,v)。

2.计算g^vy^c＝ω。如果H(m||ω)＝c，则接受；否则输出⊥。

1.3加密方案安全性要求

首先给出加密方案的一般构造和需要满足的形式化的安全性定义，以及具体的线性加密方案。概率公钥加密系統PKE是一个概率多项式时间的图灵机∏，使得：

EKG：通过量子密钥生成设备输入p，生成一个公私钥对(pk,sk)，并输出两个算法描述：E和D。

E是一个概率的加密算法：对一些常数P，公钥pk和明文m，返回密文c。设MS(p,pk)为由(p,pk)定义的消息空间。

D是一个确定的解密算法：对一些常数P，私钥sk和密文c，返回密文 m。

然后给出加密方案的安全性定义，使得加密方案能够抵抗选择明文攻击(CPA)。

定义4(抗CPAs的加密的不可区分性)加密方案(EKG,E,D)满足不可区分性，如果下列条件成立：对每个PPT敌手对(A₁,A₂)，每个多项式p(·)，所有足够大的和每个z∈{0,1}^play(n)：

其中假设A1生成有效的消息对m1和m₂∈MS(p,pk)，以及一个线索h。

最后，给出构造EBS功能的另一个构造块—Boneh的线性加密方案，该方案的具体过程如下：

EKG(p)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择a∈Z_q和b∈Z_q.

3.输出秘密密钥sk_e＝(a,b)和公共密钥pk_e＝(g^a,g^b)。

Enc(p,pk_e,m)：

1.提取p＝(q,G,G_r,e,g)。

2.通过量子密钥生成设备随机选择r∈Z_q，s∈Z_q。

3.计算(c₁,c₂,c₃)＝((g^a)^r,(g^b)^r,g^r+sm)。

4.输出c＝(c₁,c₂,c₃)。

Verify(p,sk_e,c)：

1.提取p＝(q,G,G_r,e,g)，sk_e＝(a,b)和c＝(c₁,c₂,c₃)。

2.输出

第二步，构造加密盲签名

[2]加密盲签名

在本节中，首先用上述的育签名算法和线性加密算法来构造一个基本的算法——加密盲签名算法，然后对该算法构造一个混淆器并研究该混淆器具备的性质。

2.1加密盲签名算法

加密盲签名(EBS)功能由上述的盲签名和线性加密方案构造而成：

1.运行(σ₁,σ₂)←BlindSign(p,sk,m)。

2.运行C₁←Enc(p,pk_e,σ₁)。

3.运行C₂←Enc(p,pk_e,σ₂)

4.输出(C₁,C₂)。

1.输出(p,pk,pk_e)，其中pk是对应于密钥sk的公钥pk。

设C_EBS＝{C_n}表示我们想要混淆的EBS功能的一类回路。

第三步：混淆加密盲签名

[3]混淆的加密盲签名

3.1构造加密盲签名的混淆器

首先，构造回路它包含了公共参数p，签名密钥sk和加密公钥pk_e。注意到混淆的重点是如何重随机化Enc使得原始加密结果和混淆 pk_e＝(g^a,g^b)之后的结果是标量同态的。这里我们使用ReRand算法，给定密文(c₁,c₂,c₃)和公钥，用下面的方式重随机化密文 ReRand(p,pk_e,(c₁,c₂,c₃))→(c₁(g^a)^r',c₂(g^b)^s',c₃g^r'+s')，其中r',s'∈Z_q为随机参数。

给定回路然后构造EBS功能的泥淆器Obf_EBS如下：

1.提取(p,sk,pk,pk_e)，其中和pk_e＝(g^a,g^b)。

2.提取p＝(q,G,G_r,e,g)。

4.签名者选择随机参数k∈Z_q。，然后将t＝g^k发送给接收者。

送给签名者。

6.签名者将u'发送给接收者，其中u'＝k-c”sk'。

(注意到：(c'₁,c'₂,c'₃)＝((g^a)^r+r',(g^b)^r+r',c'g^r+s+r'+s^'))。

2.接收者计算加密盲签名σ＝(C₁,C₂)。

1.计算c'＝c'₃/((c)'₁ ^a(c)'₂ ^b)'，v'＝c'₃'/((c₁”)¹a(c'₂')^1b)和

2.如果接收σ＝(C₁,C₂)；否则输出⊥。

明显地，混淆能在多项式时间内执行，而且与原始盲签名有相同的功能性，所以这里省略了功能性和多项式减缓的证明。

3.2加密盲签名的混淆器的安全性定义

修改定义3和4使之在EBS的功能中适应我们提出的混淆器。因为在混淆器的存在下证明盲签名的安全性，允许签名者访问混淆回路，这仍然满足安全性的性质。

定义5(EBS混淆器的盲性)具有混淆器的加密签名方案 EBS＝(SKG,EKG,(S,U),V)具有盲性，如果对任意有效的算法A3，所以对足够大和每个z∈{0,1}^play(n)，存在：

其中A3是恶意签名者，U是诚实接收者。如果有σ₀＝⊥或σ₁＝⊥，那么接收者也不知道其他的签名。

定义6(EBS混淆器的one－more不可伪造性)具有混淆器的加密签名方案EBS＝(SKG,EKG(S,U),V)是不可伪造的，如果对任意有效的算法A4(恶意使用者)，每个多项式p(·)，所有足够大和每个z∈{0,1}^play(n)，存在

其中S_p,sk为签名预言机(回路)。

定义7(依赖于预言机的ACVBP)设T(C)为依赖于回路C的预言机集合。C的回路混淆器Obf满足依赖于预言机集合T的ACVBP，如果下列条件成立：存在一个PPT预言机S(模拟器)，使得对所有PPT预言机D(区分器)，每个多项式p(·)，所有足够大的足够大和每个z∈{0,1}^play(n)：

其中D^《C,T(C)》表示D抽样访问除了C以外的所有包含于T(C)中的预言机。

我们将在上面修改版本的定义下证明我们混淆器的说具有的性质以及安全性。

3.3加密盲签名的混淆的安全性分析

本节我们在随机模型下，将特殊的EBS混淆器的安全性归结于线性判定假设。尽管在混淆的应用中提到过可以删除随机预言机，但是到目前为止，仍没有有效的方法删除它。我们在随机预言机模型下证明混淆器的安全性是因为我们选择的签名方案是在随机预言机模型下安全的，这是原始签名方案的固有性质。

首先，证明EBS混淆器的完备性。非正式地，签名是完备的如果对任意消息m，验证算法V(p,pk,m,σ)一定成立，也就是

引理1EBS的混淆是完备的。

证明：一旦使用者接受到签名σ＝(C₁,C₂)，他将在多项式时间内执行下列步骤：

计算c＝c'₃/((c₁')^1/a(c'₂)^1/b)。

计算v＝c'₃'/((c₁”)^1/a(c'₂')^1/b)。

根据验证算法，接受者有因为c”＝c'β和 u'＝k-c”sk'，接受者得到等式因此，g^v'y'＝g^kg^ag^βsk'。又因为t＝g^k和y'＝g^sk'，接受者有g^v'y^re'＝tg^αg^β＝ω'，那么，等式H(m||ω')＝c' 一定成立。EBS混淆的完备性得证。

定理1在DL假设下，对EBS混淆器和由恶意签名者A3选择的两个消息 m₀，m₁，签名σ₀和σ₁是计算不可区分的。

证明：EBS混淆器的盲性直接可由群G中DL假设的困难性得到。更正式地，我们证明了如果恶意签名者A能在密钥sk下以不可忽略的概率区分两个消息m₀和m₁的签名(σ₀,σ₁)，那么我们构造一个敌手A'，该敌手也能够以优势ε攻破DL假设。

首先，我们分析EBS混淆器的结果，我们得到签名σ＝(C₁,C₂)＝((g^a)^r+r',(g^b)^s+s',c',g^r+r'+s+s',(g^a)^r”,(g^b)^s”,v'g^r”+s”)，其中r,s,r',s',r”,s”都为随机参数。通过上述混淆过程，我们有c'＝H(m||ω')，v'＝k-c'·sk'+β·sk'+α其中k,α,β是随机的，并有ω'＝g^kgα(y')^β。因此当我们将密钥sk'的值固定时，v'的值依赖于c'(即v'和c'是线性相关的)，因此C2的值依赖于c'。又因为C1和C2的形式相同，所以我们在下面的文章中只考虑C1(C2同理可得，在这我们将其省略)。设和因此我们有

然后我们构造敌手A',其执行过程如下：

—A'以元组为输入，其中g为群G的随机生成元，为随机数。A'的目标是判定是否成立。

—A'选取群G的随机生成元g。

一对从A3接收到的两个消息m₀和m₁，A'随机掷一个比特b并将签名作为m的签名发送给A3。

—A3回复一个比特b*。只有当b＝b*时，A'オ输出1(也就是猜测出)；否则A'输出一个随机比特(也就是W为随机参数)。

容易看出当W是随机数，签名σ_b独立于b，因此在这种情况下，A3的成功概率等于当时，签名σ_b与混淆器EBS的结果的分布相同。根据假设，敌手A3的优势至少为ε。也就是，A'成功猜测是否成立的概率是不可忽略的，那么A'成功攻破DL假设。

定理2在离散对数困难的情況下，Schnorr盲签名是one－more不可伪造的。

定理3设为S_p,sk。如果EBS混淆器满足依赖于预言机集T的 ACVBP，那么对具有EBS功能的one－more不可伪造性(OMU)意味着具有EBS 混淆器的one－more不可伪造性。

证明：我们证明了EBS功能满足one－more不可伪造性(OMU)时，如果存在敌手A4攻破具有Obf的OMU，则与依赖于预言机集T的EBS混淆器的 ACVBP相矛盾。设区分器D抽样访问来检査A4是否成功攻破具有 Obf的OMU。

1.输入回路C(要么是混淆回路要么是模拟回路)和辅助输入z。

2.通过抽样访问成提取(p,pk,pk_e)。

3抽样访问S_p,sk至多k次来模拟

4.对m_k+1≠m_i有其中i∈{1,k}。

如果C为混淆回路，那么D输出1的概率等于A4攻破Obf的one－more不可伪造性，由假设可得此概率是不可忽略的。如果C为模拟回路，那么D 输出1的概率是可以忽略的，否则A4能攻破EBS功能的one－more不可伪造性。所以ACVBP成立的概率是不可忽略的。因此与依赖于预言机集T的EBS 混淆器的ACVBP矛盾。定理得证。

定理5.4设为S_p,sk。EBS混淆器在DL假设下满足依赖于预言机集T的ACVBP。

证明：根据我们提出的EBS混淆器，混淆器的安全性证明在签名者和接收者之间包含了一个交互的过程，也与以前的证明有稍许的不同。我们修改了Hada的证明方案以适应于我们的方案。

首先，我们构造一个模拟器S来模拟混淆回路的输入输出行为，双方的操作过程如下(注意到(p,pk,pk_e)值容易通过抽样访问得到，因此我们主要关注(sk',(c₁,c₂))：

1.输入安全参数l”和辅助输入z。

2.通过抽样访问提取(p,pk,pk_e)。

3.提取p＝(q,G,G_r,e,g)和

4.随机选择Junk←G。

5.计算(c₁,c₂,c₃)←Enc(p,pk_e,Junk)并设sk'＝c₃。

6.输出(sk',(c₁,c₂))。

然后我们考虑最坏的情况：交互值已经被敌手窃取，也就是 k,t,c”,u',v',ω'是已知的(ω'能通过计算g^v'y'^c'得到)。我们证明了对任意PPT 区分器，S的输出分布与(C₁,C₂)的实际分布是不可区分的。特别地，当允许区分器抽样访问时，假设区分器D^《C,S》区分上述两个输出分布的概率不是不可忽略的，也就是说下列公式的概率不是不可忽略的。并设z＝(k,t,c”,u',v',ω')为辅助输入，我们有：

真正程序的执行概率：

伪造程序的执行概率：

最后我们构造能攻破线性加密方案的不可区分性敌手(A1，A2)。A1 生成消息对(m₁,m₂)＝(sk,Junk)和一个相关的h＝pk。给定一个密文c(要么是m₁的密文要么是m₂的密文)，A2用区分器D区分m₁和m₂的加密过程如下：

1.提取p＝(q,G,G_r,e,g)和pke，密文c和z＝(k,t,c”,u',v',ω')。

2.由A1得到m₁，m₂的输出，和c＝(c1,c2,sk')，并设

3.模拟D^《C,S》((p,pk_e,pk',sk',(c₁,c₂))。

4.输出D的区分结果。

如果c是m₁的密文，那么A2输出1的概率等于真正程序执行的概率。如果c是m₂的密文，那么A2输出1的概率等于伪造程序执行的概率。根据定理1，上述这两个概率的差是可忽略的，这与我们的假设矛盾。因此该定理成立。

本实施例未述部分与现有技术相同。

Claims

1.一种基于量子保密通信技术的加密盲签名方法，(1)选取Schnorr盲签名及Boneh线性加密两种算法，(2)由盲签名及线性加密方两种算法构造加密盲签名功能；(3)混淆加密盲签名；(4)将步骤1-3过程中的核心参数采用量子保密通信技术进行传输。

2.根据权利要求1所述的基于量子保密通信技术的加密盲签名方法，其特征在于：所述的Schnorr盲签名算法包括3个算法：

SKG(p)：

(1)提取p＝(q,G,G_r,e,g)，

(2)通过量子密钥生成设备随机选择g₁∈G和x∈Z_q，

(3)输出秘密密钥和公共密钥其中

Sign(p,sk,m)：

(1)提取p＝(q,G,G_r,e,g)，

(2)签名者通过量子密钥生成设备随机选择k∈Z_q。并计算t＝g^kmod p，然后将t发送给接收者，

(3)接收者通过量子密钥生成设备随机选择α,β∈Z_q并计算ω＝tg^αy^βmod p，然后计算c＝H(m||ω)和c'＝c-βmod q，并将c'发送给签名者，

(4)签名者计算u＝k-c'mod q并将u发送给签名者，

(5)接收者计算v＝u+αmod q，

(6)接收者输出签名σ＝(c,v)，

Verify(p,pk,m,σ)

(1)提取p＝(q,G,G_r,e,g)，m＝m₁,m₂,...,m_n，σ＝(c,v)，

(2)计算g^vy^c＝ω。如果H(m||ω)＝c，则接受；否则输出⊥。

3.根据权利要求2所述的基于量子保密通信技术的加密盲签名方法，其特征在于：Boneh线性加密算法的具体过程：

EKG(p)：

(1)提取p＝(q,G,G_r,e,g)

(2)通过量子密钥生成设备随机选择a∈Z_q和b∈Z_q

(3)输出秘密密钥sk_e＝(a,b)和公共密钥pk_e＝(g^a,g^b)

Enc(p,pk_e,m)：

(1)提取p＝(q,G,G_r,e,g)，

(2)通过量子密钥生成设备随机选择r∈Z_q，s∈Z_q，

(3)计算(c₁,c₂,c₃)＝((g^a)^r,(g^b)^r,g^r+sm)，

(4)输出c＝(c₁,c₂,c₃)，

Verify(p,sk_e,c)：

(1)提取p＝(q,G,G_r,e,g)，sk_e＝(a,b)和c＝(c₁,c₂,c₃)，

(2)输出

4.根据权利要求2、3所述的基于量子保密通信技术的加密盲签名方法，其特征在于：权利要求2的步骤(1)利用给出Schnorr盲签名方案，以及权利要求3中的步骤(2)利用Boneh线性加密算法作为构造块来构造EBS功能，具体签名过程如下：

(1).运行(σ₁,σ₂)←BlindSign(p,sk,m)

(2).运行C₁←Enc(p,pk_e,σ₁)

(3).运行C₂←Enc(p,pk_e,σ₂)

(4).输出(C₁,C₂)

(1).输出(p,pk,pk_e)，其中pk是对应于密钥sk的公钥pk

设C_EBS＝{C_n}表示我们想要混淆的EBS功能的一类回路。

5.根据权利要求4所述的基于量子保密通信技术的加密盲签名方法，其特征在于：混淆已加密盲签名的具体方法为,给定回路然后构造EBS功能的泥淆器Obf_EBS如下：

(1)提取(p,sk,pk,pk_e)，其中和pk_e＝(g^a,g^b)

(2)提取p＝(q,G,G_r,e,g)

(3)签名者运行得到新的签名并将(c₁,c₂)发送给接收者

(4)签名者选择随机参数k∈Z_q，然后将t＝g^k发送给接收者

(5)随机选择α,β∈Z_q，接收者计算ω'＝tg^αy^β,c'＝H(m||ω')，然后将c＂发

送给签名者

(6)签名者将u'发送给接收者，其中u'＝k-c”sk'

(7)接收者得到(c',v')＝(H(m||ω'),u'+α)，然后计算接收者将密文(c₁,c₂,c₃)重随机化为C₁＝(c₁,c₂,c₃)←ReRand(p,pk_e,(c₁,c₂,c₃))

(c'₁,c'₂,c'₃)＝((g^a)^r+r',(g^b)^r+r',c'g^r+s+r'+s')

(1)接收者计算C₂←Enc(p,pk,v')，(我们定义C₂＝(c'₁,c'₂,c'₃))

(2)接收者计算加密盲签名σ＝(C₁,C₂)

签名者并不知道输出签名σ＝(C₁,C₂)，因为签名者既不知道(c',v')也不知道(α,β)，但是接收者能用下列验证算法V＝(p,pk,m,σ)验证签名σ：

(1)计算v'＝c″₃/((c″₁)^1/a(c″₂)^1/b)和

(2)如果接收σ＝(C₁,C₂)；否则输出⊥。

6.根据权利要求5所述的基于量子保密通信技术的加密盲签名方法，其特征在于：量子密钥分配体系包括两个阶段：量子阶段和经典阶段，量子阶段使用安全的量子信道通信并为通信双方分配一串初始密钥；经典阶段使用不安全的经典信道通信对初始密钥信息进行筛选、纠错及保密加强，从而确保通信双方获取到一致且安全的密钥。