CN113271200A - 一种抗量子攻击的格属性签名方法 - Google Patents

Abstract

本发明公开了一种抗量子攻击的格属性签名方法，涉及信息安全技术领域，利用格上高效的G陷门生成算法，构造一个新的基于格的属性签名方案。利用线性秘密共享理论，构造一个虚拟加密矩阵，将属性签名策略嵌入签名密钥；利用格基裁剪技术，生成格上的短签名；基于格密码理论中的SIS困难问题，证明了新签名方案在选择属性和适应性选择消息攻击下的不可伪造性。本申请实现了一套完整的基于格密码技术的公钥属性签名算法，该属性签名方案是一种匿名签名方案，可实现对用户身份信息的隐私保护；同时，利用格密码技术抗量子攻击的安全特性，解决现有属性签名方案不能抵御量子攻击的缺陷。

Description

一种抗量子攻击的格属性签名方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种抗量子攻击的格属性签名方法。

背景技术

数字签名(又称公钥数字签名或电子签章)是一种现代公钥密码学技术，能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生，是远程信息真实性的一个有效证明方法。属性签名(Attribute-based Signature,ABS) 是利用属性基加密机制实现的一种数字签名方法，在属性签名中，用户身份被看作是一系列属性的集合，用户签名对应一组特定的属性集或某个特定的访问策略，从而实现了对用户身份的隐私保护。属性签名具有完整性验证、不可伪造性、不可抵赖性、身份匿名性等安全特性，同时其灵活的签名策略控制使得它在云存储、电子投票系统、匿名数字货币、区块链等领域具有良好的应用前景。

虽然属性签名具有良好的安全特性，但是现有的属性加密方案也存在以下两方面的安全隐患。

一方面，在属性基签名系统中通常都存在一个属性权威中心，属性权威中心机构负责系统的初始化，并生成和分发用户公私钥，是整个签名系统的管理中心，容易成为系统的安全瓶颈，一旦属性权威服务器被攻破，将导致整个安全系统的瘫痪，用户签名将全部泄露。

另一方面，随着量子技术的快速发展，量子计算机拥有超强计算能力，利用量子计算机能够在多项式时间内解决大整数分解问题，这将对现有属性签名体制造成严重的安全威胁。设计新的数字签名方案，使其能够具有抗量子攻击的安全性，解决现实签名系统所面临的安全困境。基于格的公钥加密可以抵御量子计算机的攻击，是后量子时代安全密码技术之一，具有更强的安全性和更高效运算效率。到目前为止，现有属性签名方案都是基于因子分解和离散对数困难问题，它们无法抵挡量子攻击，导致现有属性签名方案在未来的后量子时代不再安全。

针对现有技术存在的问题，本申请提供了一种抗量子攻击的格属性签名方法，基于格密码理论的属性签名方案，解决现有属性签名方案不能抵御量子攻击的缺陷。

发明内容

本发明的目的在于提供一种抗量子攻击的格属性签名方法，基于格密码理论的属性签名方案，解决现有属性签名方案不能抵御量子攻击的缺陷。

本发明提供了一种抗量子攻击的格属性签名方法，包括以下步骤：

属性签名系统设置系统安全参数λ和属性上限参数l，调用算法

生成公共参数PP和属性主密钥Mk；

属性签名系统执行密钥生成算法，输入公共参数PP、属性主密钥Mk和签名策略(L，ρ)，生成签名策略的用户属性对应的密钥Sk_L；

系统用户对消息进行签名，向属性签名系统输入公共参数PP、密钥Sk_L、属性集W和消息比特M，系统利用原像抽样算法输出签名δ。

进一步地，生成公共参数PP和属性主密钥Mk的具体步骤如下：

属性签名系统选择系统安全参数λ、素数q、整数n、m、

且q＞2、 m≥2nlg q、

选择随机矩阵

选择随机矩阵

对于第K个属性中心属性j，调用算法

生成伪随机矩阵

和陷门

输出公共参数PP和属性主密钥Mk，

Mk＝{R_k，j}_j∈[l]。

进一步地，生成签名密钥的具体步骤如下：

根据线性秘密共享LSSS理论，将签名策略(L，ρ)转换为共享矩阵

其中，L的第i行对应属性ρ(i)∈[l]，第θ列对应策略，θ≤l；

设置对应系数矩阵L＝{l_j，t}_{j∈[l]，t∈[1+θ]}；

每个属性中心k∈[N]，选择θ个随机均匀矩阵

其中，t∈[θ]；

构造虚拟扩展矩阵

包含l×θ个随机矩阵，

根据张量积和直和运算定义，将虚拟扩展矩阵M重新表示为：

其中，I_j＝(l_1，j，l_2，j，…，l_l，j)_；

利用G-陷门构造算法，重新构造虚拟扩展矩阵

令

且j∈[l]，t∈[θ]，矩阵

重新表示为：

构造格

上的扩展陷门K，满足

则矩阵

表示为

其中

为满秩对角矩阵，其陷门为diag(R_k，ρ(1)，R_k，ρ(2)，...，R_k，ρ(l))，构造

的完整的陷门K；

最后生成签名策略(L，ρ)上的密钥，并将其分发给具有属性ρ(i)的用户， Sk_L＝(K，(L，ρ))。

进一步地，系统用户对消息进行签名的步骤如下：

构造属性集W上的加密矩阵F，若j∈W，则

若

则

令F为：

其中，τ＝m(l+1)+ωθ，θ为子块数，取零；

利用系数

构造单位扩展矩阵G，其中，矩阵G＝[g_ρ(1)I|g_ρ(2)I|…|g_ρ(l)I|dI|0]；

计算

即：

计算F′＝G·F，即：

约简矩阵G中零子块，记为

对应M′和F′分别记为M″和F″，显然有F″·G″＝M″(mod q)；

K″是M″的陷门，即M″·K″＝0(mod q)，则有F″·G″·K″＝M″·K″＝0(mod q)，对于格

的短陷门基T″＝G″·K″，满足||T″||≤||G″||·||K″||≤max{g_ρ(j)，d}||K||；

利用原像抽样算法，生成签名e←SamplePre(F″，T″，H(M)，σ)，其中

生成向量

最后输出用户签名δ＝e。

进一步地，接收方用户验证签名的有效性，输入公共参数PP、属性集W、消息比特M和签名δ；构造验证矩阵进行验证，若签名δ有效，则输出1，否则输出0。

进一步地，验证签名有效性的步骤如下：

构造验证矩阵

计算

且

若验证有效，则输出1，否则输出0。

与现有技术相比，本发明具有如下显著优点：

本发明提出的一种抗量子攻击的格属性签名方法，在基于密钥属性策略上，每个属性授权中心生成与访问策略相关的用户私钥，签名者在属性集上对的消息进行签名，验证者验证签名，通过判断属性集是否满足访问策略，而不获得签名者的其他身份信息。同时，该属性方案支持多属性授权中心管理，避免了单属性中心管理的不足，增强了签名的安全性。在标准模型下基于最小整数解(SIS)困难性上严格证明了该方案的正确性、不可伪造性和匿名性。基于格密码理论的属性签名方案是一种新型防御量子计算的算法，解决现有属性签名方案不能抵御量子攻击的缺陷。

具体实施方式

下面对本发明实施例的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

本发明提供了一种抗量子攻击的格属性签名方法，包括以下步骤：

属性签名系统设置系统安全参数λ和属性上限参数l，调用算法

生成公共参数PP和属性主密钥Mk；

属性签名系统执行密钥生成算法，输入公共参数PP、属性主密钥Mk和签名策略(L，ρ)，生成签名策略的用户属性对应的密钥Sk_L；

系统用户对消息进行签名，向属性签名系统输入公共参数PP、密钥Sk_L、属性集W和消息比特M，系统利用原像抽样算法输出签名δ，签名算法为 Sign(PP，Sk_L，W，M)→δ。

接收方用户验证签名的有效性，输入公共参数PP、属性集W、消息比特 M和签名δ；构造验证矩阵进行验证，若签名δ有效，则输出1，否则输出 0。

实施例1

生成公共参数PP和属性主密钥Mk的具体步骤如下：

属性签名系统选择系统安全参数λ、素数q、整数n、m、

且q＞2、 m≥2nlgq、

选择随机矩阵

选择随机矩阵

对于第k∈[N]个属性中心属性J，调用算法

生成伪随机矩阵

和陷门

输出公共参数PP和属性主密钥Mk，

Mk＝{R_k，j}_j∈[l]。

实施例2

生成签名密钥的具体步骤如下：

根据线性秘密共享LSSS理论，将签名策略(L，ρ)转换为共享矩阵

其中，的第i行对应属性ρ(i)∈[l]，第θ列对应策略，θ≤l；

对于任意属性集满足策略，设置对应系数矩阵L＝{l_j，t}_{j∈[l]，t∈[1+θ]L；}每个属性中心k∈[N]，选择θ个随机均匀矩阵

其中，t∈[θ]；构造虚拟扩展矩阵

包含l×θ个随机矩阵，

根据张量积和直和运算定义，将虚拟扩展矩阵M重新表示为：

其中，

表示矩阵和直和运算，

表示张向量乘积运算， I_j＝(l_1，j，l_2，j，…，l_l，j)；

利用G-陷门构造算法，重新构造虚拟扩展矩阵

令

且j∈[l]，t∈[θ]，矩阵

重新表示为：

构造格

上的扩展陷门K，满足

则矩阵

表示为

其中

为满秩对角矩阵，其陷门为diag(R_k，ρ(1)，R_k，ρ(2)，...，R_k，ρ(l))，显然

可以由{R_k，ρ(j)}_ρ(j)∈[l]生成每个

的陷门，构造

的完整的陷门K；

最后生成签名策略(L，ρ)上的密钥，并将其分发给具有属性ρ(i)的用户， Sk_L＝(K，(L，ρ))。

实施例3

系统用户对消息进行签名的步骤如下：

构造属性集W上的加密矩阵F，若j∈W，则

若

则

令F为：

其中，τ＝m(l+1)+ωθ，θ为子块数，取零；

利用系数

构造单位扩展矩阵G，其中，矩阵G＝[g_ρ(1)I|g_ρ(2)I|…|g_ρ(l)I|dI|0]；

计算

即：

计算F′＝G·F，即：

约简矩阵G中零子块，记为

对应M′和F′分别记为M″和F″，显然有F″·G″＝M″(mod q)；

由于K是

的陷门，K″是M″的陷门，即M〞·K″＝0(mod q)，则有 F″·G″·K″＝M″·K″＝0(mod q)，对于格

的短陷门基T″＝G″·K″，满足 ||T″||≤||G″||·||K″||≤max{g_ρ(j)，d}||K||；

利用原像抽样算法，生成签名e←SamplePre(F″，T″，H(M)，σ)，其中

生成向量

最后输出用户签名δ＝e。

实施例4

验证签名有效性的步骤如下：

构造验证矩阵

计算

且

若验证有效，则输出1，否则输出0。

实施例5

从密码理上证明本发明提供的方法的正确性。

(1)验证证明

对于任意签名e←SamplePre(F″_i，K″，H(M)，σ)，验证者首先利用公共参数 PP，构造可扩展矩阵

如果用户属性子集满足访问结构，则用户利用私钥K构造

的短基 K″，根据抽样算法SamplePre，可以得到

其中e 以极大概率满足

且高斯参数

因此所构造的签名方案是正确性的。

(2)不可为造性证明

假如SIS_{n，m(l+1+θ)，q，β}问题是困难的，所提出的基于属性的签名方案在选择访问结构和选择消息攻击下是不可伪造的。

证明：如果存在PPT的伪造者A以ε的概率优势成功伪造一个签名，则挑战者C可利用A的算法以不可忽略的概率解决SIS_{n，m(l+1+θ)，q，β}问题。假如挑战者C得到SIS问题实例构造矩阵F′，借助A寻找一个非零向量e，使得 F′·e＝0mod q且||e||≤β，扩展向量为

伪造者A和挑战者C交互过程如下：

Init.敌手A宣布希望被挑战的属性集W^*和消息比特M^*，并将其发送挑战者C。

Setup.挑战者C构建系统公共参数，具体步骤如下：

从SIS实例中选择一个矩阵

对于每个属性i∈[l]，如果i∈W^*，则Mk＝{Ri}_|θ|来自SIS实例；如果

则调用算法GenTrap生成一个矩阵

和陷门

设置公共参数PP和主密钥Mk，

Mk＝{R_i，j}_j∈[l]；

最后，挑战者C将公共参数PP发送给敌手A。

Queries.敌手A被允许进行有限的私钥和签名询问，挑战者C回应，具体操作如下：

私钥询问：敌手A选择一个访问结构L，对挑战者C进行私钥询问。但要求属性集W^*不满足访问结构L，挑战者C调用KeyGen算法生成密钥Sk_L具体如下：

利用LSSS原理，转换访问结构L为线性共享矩阵

对于每个属性中心i∈[N]，选择θ个随机均匀矩阵

对于在行向量空间上扩展，构造扩展矩阵M，这里令为τ＝m(l+1)+ω(θ-1)，

利用扩展陷门生成算法，从新构造新的矩阵

设W^*中的属性个数为φ，则调用算法

生成φ个随机矩阵

对应陷门

构造如下陷门矩阵

对应陷门矩阵

对应每一个W^*上的属性j，如果j∈φ，矩阵

来自ExtGenTrap算法；如果

则矩阵

随机均匀选取。

根据主密钥

构建格

扩展陷门K，使满足

对于加密矩阵可表示为

根据基扩展基算法，显然

可以由{R_i，j}_j∈[φ]生成每个

的陷门，因此，进一步构造

的完整的短基陷门K。

返回Sk_L＝K给敌手A。

签名询问：敌手A选择任意属性集W′和消息比特M′上，对挑战者C发起签名询问，但要求W′≠W^*。

公共参数PP，在属性集W′上构造矩阵F_i，如果j∈W′，则

如果

则

如果属性集W′满足访问策略L，则必定存在一个l维系数向量

使得满足

根据系数向量

构造单位扩展矩阵，

G_i＝[g₁I_n|g₂I_n|…|g_lI_n|0]

令F′_i＝G_i·F_i＝[g₁A_i，1|g₂A_i，2|…|g_lA_i，l|dA₀|0]，删除F′_i中系数g_i＝0的块，记为F″_i。

由于

则可以利用F_i″的基K″，调用基扩展算法

生成格

的短陷门基K。

调用抽样算法e←SamplePre(F_i，K，H(M′)，σ)生成向量

其中

挑战者C返回签名δ＝e。

Forgery.敌手A伪造一个(W^*，M^*，δ^*)上的签名e^*，并且签名e^*没有在属性集W^*和消息M^*上被询问过；

构造矩阵F_i′＝[A_i，1|A_i，2|…|A_i，l| A₀]_n×m(l+1)

计算F′_i·e^*＝0modq，满足

在向量e^*中随机位置插入θ个零向量得到

且

输出

作为的SIS_{n，m(l+1+θ)，q，β}问题的解。

(3)匿名性证明

属性签名方案∏_ABS＝(Setup，KeyGen，Sign，Verify)满足匿名性。

证明：属性签名方案∏_ABS如果对其任意属性集L₁，属性集L₂，访问结构 W，

与

的分布是相同的，则该属性签名满足无条件匿名性。

根据签名算法，向量e的生成依赖于高斯抽样函数SamplePre(F_i，K，H(m)，σ)，签名e₀和e₁都服从分布

它们是统计不可区分的。只要敌手在游戏中成功的概率是可忽略的，则属性签名方案Π_ABS满足匿名性。

证毕。

本发明提供的方法构建了一个基于格的属性签名方案，在基于密钥属性策略上，每个属性授权中心生成与访问策略相关的用户私钥，签名者在属性集上对的消息进行签名，验证者验证签名，通过判断属性集是否满足访问策略，而不获得签名者的其他身份信息。同时，该属性方案支持多属性授权中心管理，避免了单属性中心管理的不足，增强了签名的安全性。在标准模型下基于最小整数解(SIS)困难性上严格证明了该方案的正确性、不可伪造性和匿名性。基于格密码理论的属性签名方案是一种新型防御量子计算的算法，解决现有属性签名方案不能抵御量子攻击的缺陷。

以上公开的仅为本发明的几个具体实施例，但是，本发明实施例并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (6)

1.一种抗量子攻击的格属性签名方法，其特征在于，包括以下步骤：

属性签名系统设置系统安全参数λ和属性上限参数l，调用算法

生成公共参数PP和属性主密钥Mk；

属性签名系统执行密钥生成算法，输入公共参数PP、属性主密钥Mk和签名策略(L,ρ)，生成签名策略的用户属性对应的密钥Sk_L；

系统用户对消息进行签名，向属性签名系统输入公共参数PP、密钥Sk_L、属性集W和消息比特M，系统利用原像抽样算法输出签名δ。

2.如权利要求1所述的一种抗量子攻击的格属性签名方法，其特征在于，生成公共参数PP和属性主密钥Mk的具体步骤如下：

属性签名系统选择系统安全参数λ、素数q、整数n、m、

且q＞2、m≥2nlgq、

选择随机矩阵

选择随机矩阵

对于第K个属性中心属性j，调用算法

生成伪随机矩阵

和陷门

输出公共参数PP和属性主密钥Mk，

Mk＝{R_k,j}_j∈[l]。

3.如权利要求1所述的一种抗量子攻击的格属性签名方法，其特征在于，生成签名密钥的具体步骤如下：

根据线性秘密共享LSSS理论，将签名策略(L,ρ)转换为共享矩阵

其中，L的第i行对应属性ρ(i)∈[l]，第θ列对应策略，θ≤l；

设置对应系数矩阵L＝{l_j,t}_{j∈[l],t∈[1+θ]}；

每个属性中心k∈[N]，选择θ个随机均匀矩阵

其中，t∈[θ]；

构造虚拟扩展矩阵

包含l×θ个随机矩阵，

根据张量积和直和运算定义，将虚拟扩展矩阵M重新表示为：

其中，l_j＝(l_1,j,l_2,j,…,l_l,j)；

利用G-陷门构造算法，重新构造虚拟扩展矩阵

令

且j∈[l]，t∈[θ]，矩阵

重新表示为：

构造格

上的扩展陷门K，满足

则矩阵

表示为

其中

为满秩对角矩阵，其陷门为diag(R_k,ρ(1),R_k,ρ(2),...,R_k,ρ(l))，构造

的完整的陷门K；

最后生成签名策略(L,ρ)上的密钥，并将其分发给具有属性ρ(i)的用户，Sk_L＝(K,(L,ρ))。

4.如权利要求1所述的一种抗量子攻击的格属性签名方法，其特征在于，系统用户对消息进行签名的步骤如下：

构造属性集W上的加密矩阵F，若j∈W，则

若

则

令F为：

其中，τ＝m(l+1)+ωθ，θ为子块数，取零；

利用系数

构造单位扩展矩阵G，其中，矩阵G＝[g_ρ(1)I|g_ρ(2)I|…|g_ρ(l)I|dI|0]；

计算

即：

计算F'＝G·F，即：

约简矩阵G中零子块，记为

对应M'和F'分别记为M”和F”，显然有F”·G”＝M”(modq)；

K”是M”的陷门，即M”·K”＝0(modq)，则有F”·G”·K”＝M”·K”＝0(modq)，对于格

的短陷门基T”＝G”·K”，满足||T”||≤||G”||·||K”||≤max{g_ρ(j),d}||K||；

利用原像抽样算法，生成签名e←SamplePre(F”,T”,H(M),σ)，其中

生成向量

最后输出用户签名δ＝e。

5.如权利要求1所述的一种抗量子攻击的格属性签名方法，其特征在于，接收方用户验证签名的有效性，输入公共参数PP、属性集W、消息比特M和签名δ；构造验证矩阵进行验证，若签名δ有效，则输出1，否则输出0。

6.如权利要求5所述的一种抗量子攻击的格属性签名方法，其特征在于，验证签名有效性的步骤如下：

构造验证矩阵

计算

且

若验证有效，则输出1，否则输出0。