WO2018045647A1

WO2018045647A1 - 一种多变量公钥的签名系统和方法

Info

Publication number: WO2018045647A1
Application number: PCT/CN2016/108691
Authority: WO
Inventors: 陈驹; 彭峙酿; 唐韶华
Original assignee: 华南理工大学
Priority date: 2016-09-09
Filing date: 2016-12-06
Publication date: 2018-03-15
Also published as: AU2016422576B2; GB2572068A; AU2016422576A1; CN106330463A; SG11201902079RA; GB201902689D0; CN106330463B; GB2572068B

Abstract

本发明公布了多变量公钥的签名系统和方法及签名验证系统和方法，其中签名系统包括第一处理器、第一线性仿射变换部件、陷门部件和第二线性仿射变换部件，通过第一处理器生成随机数以及接收待签名的消息并且发送至第一线性仿射变换部件，第一线性仿射变换部件对接收到的待签名的消息进行仿射变换，陷门部件根据私钥参数生成多变量多项式方程组，并且将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，第二线性仿射变换部件对陷门部件得到的解进行仿射变换变换后即得到签名；本发明在保证签名不可伪造的情况下，加快多变量公钥密码签名的速度，同时降低私钥的存储量。

Description

一种多变量公钥的签名系统和方法

技术领域

本发明涉及一种信息安全领域，特别涉及一种多变量公钥的签名系统和方法。

背景技术

目前公钥密码的安全性主要依赖于大整数分解和离散对数求解等困难问题，如RSA、ECC等。然而，自提出在量子计算机上能够实现大整数分解和离散对数求解的方法后，这类传统的公钥密码便受到巨大的威胁，影响到各个行业。因此，人们致力于寻找一种能够抵御量子计算机攻击的密码系统以满足信息安全的需求，并将这类系统称为后量子密码，而多变量公钥密码(MPKC)便是其中的一种。

MPKC的签名方案在后量子密码中占有重要地位，原因在于MPKC签名方案是现有一种能抵御量子攻击的签名方案，UOV和Rainbow就是很好的例子。然而现有的MPKC签名方案也有它的局限：签名速度不快，私钥存储量大。签名速度不快的原因是在生成签名的过程中，MPKC的签名方案都需要进行大量的有限域上的矩阵乘法运算，而且还要进行有限域上的矩阵求逆；私钥存储量大的原因是MPKC的签名方案都需要存储所有涉及的变量的参数。那么在实际生产应用中就会是一个问题。

发明内容

本发明的第一目的在于克服现有技术的缺点与不足，提供一种多变量公钥的签名系统，该签名系统在保证签名不可伪造安全的情况下，能够加快多变量公钥签名的速度，同时降低私钥的存储量。

本发明的第二目的在于提供一种上述签名系统实现的多变量公钥的签名方法。

本发明的第一目的通过下述技术方案实现：一种多变量公钥的签名系统，其特征在于，包括第一处理器、第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；

所述第一处理器，用于接收待签名的消息并且将接收到的待签名的消息发送至第一线性仿射变换部件，用于生成随机数并且将生成的随机数发送至陷门部件；

所述第一线性仿射变换部件，用于对接收到的待签名的消息进行仿射变换计算，然后将仿射变换计算结果发送至陷门部件；

所述陷门部件，用于根据私钥参数生成多变量多项式方程组，用于将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，并且将得到的解传送给第二线性仿射变换部件；

所述第二线性仿射变换部件，用于对陷门部件发送的解进行仿射变换计算得到签名。

优选的，所述第一处理器包第一调度器、第一存储器和随机数生成器；

所述第一调度器连接选择开关，用于识别第一处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第一处理器的工作状态；用于将存储在第一处理器中的数据调度至第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；用于将签名发送给其他用户；

第一存储器，用于存储第一处理器中的数据；用于存储签名；

随机数生成器，用于随机生成随机数。

优选的，所述陷门部件包括矩阵轮转器、矩阵运算器、多项式和矩阵转换器以及多项式运算器；

矩阵运算器，用于生成矩阵；用于对矩阵进行基本运算和转换；

多项式和矩阵转换器，用于将矩阵转换为多项式；用于将多项式转换成矩阵；

多项式运算器，用于求取多项式在有限域中的逆；用于对多项式进行基本运算；

矩阵轮转器，用于对矩阵进行轮转。

本发明的第二目的通过下述技术方案实现：一种基于上述多变量公钥的签名系统实现的多变量公钥签名方法，步骤如下：

S1、系统初始化：随机生成私钥参数，并且存储于第一处理器中；

S2、第一处理器接收待签名的消息，然后将待签名的消息发送至第一线性仿射变换部件；

S3、第一线性仿射变换部件对接收到的待签名的消息进行仿射变换计算，然后将仿射变换结果发送至陷门部件；同时第一处理器中随机生成一组随机数发送至陷门部件；

S4、陷门部件根据私钥参数生成多变量多项式方程组，然后将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，最后将得到的解传送给第二线性仿射变换部件；

S5、第二线性仿射变换部件接收到陷门部件发送的解后，对其进行仿射变换计算，最终得到签名。

更进一步的，所述步骤S1中系统初始化的具体步骤如下：

S1-1、设定系统中所有部件都是建立在一个阶为p的有限域上，其中p是一个奇素数，记此有限域为GF_p；

S1-2、根据安全级别选择系数v，r，s，其中v是随机数的个数，r是第一次生成签名的长度，s是第二次生成签名的长度，此外h＝v+r，n＝h+s，m＝r+s，m是签名的总长度；

S1-3、随机生成可逆的系数矩阵

和

将系数矩阵

写入第一线性仿射变换部件中；将系数矩阵

写入第二线性仿射变换部件中；

S1-4、生成如下私钥参数：随机生成一组维度为v×v的矩阵A₁，随机生成一组维度为v×r的矩阵B₁，随机生成r组维度为v×1的矩阵C_i，随机生成一组维度为r×1的矩阵D₁，随机生成s组维度为h×h的矩阵A_r+j，随机生成一组维度为h×s矩阵B_r+1，随机生成s组维度为h×1矩阵C_r+j，，随机生成一组维度为s×1的矩阵D_r+1，随机生成m个常数E_k，其中i＝1，2，3，...，r，j＝1，2，3，...，s，k＝1，2，3，...，m。

更进一步的，步骤S3中第一线性仿射变换部件在接收到的待签名的消息后，根据系数矩阵

针对待签名的消息进行仿射变换，得到：

其中Y′＝[y′₁，y′₂，…，y′_m]为待签名的消息，表示待签名的消息仿射变换后的结果；

所述步骤S3中第一处理器随机生成一组随机数

并且发送给陷门部件；

步骤S4中陷门部件根据私钥参数生成多变量多项式方程组，并且将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解的具体过程如下：

S4-1-1、陷门部件调用参数B₁，D₁，r，使用矩阵运算器计算出中间值矩阵

其中l_1，0至l_1，r-1为中间值矩阵l₁中的元素；

S4-1-2、使用多项式和矩阵转换器将矩阵l₁转换成多项式

其中x为多项式f₁中的变量，f₁为有限域GF_p的多项式；

S4-1-3、使用多项式运算器计算多项式f₁在有限域

中的逆g₁，其中

其中xⁱ在i为r时得到x^r；

S4-1-4、使用多项式和矩阵转换器将g₁转换成矩阵w₁＝[ω₁，ω₂，…，ω_r]；其中ω₁至ω_r是矩阵w₁中的元素；然后使用矩阵轮转器对矩阵w₁进行轮转处理，得到矩阵w_i＝[ω_r-i+2，…，ω_r，ω₁，ω₂，…，ω_r-i+1]，i＝2，3，…，r；

S4-1-5、使用矩阵运算器生成矩阵

然后计算det(W₁)，判断det(W₁)＝0是否成立，若是，则第一处理器重新随机生成一组随机数V₁，然后回到步骤S4-1-1，若否，则进入步骤S4-2-1；

S4-2-1、陷门部件调用参数A₁，C_i，E_i，r，v，使用矩阵运算器计算中间值矩阵K′₁＝[k′₁，k′₂，…，k′_v]＝A₁V₁，k′₁至k′_v为矩阵K′₁中的元素；

S4-2-2、使用矩阵轮转器对矩阵K′₁进行轮转处理，得到矩阵K′_i＝[k′_v-i+2，…，k′_v，k′₁，k′₂，…，k′_v-i+1]，i＝1，2，…，r；

S4-2-3、通过矩阵运算器计算

通过矩阵运算器计算Q₁＝[q₁，q₂，…，q_r]，其中

为待签名的消息Y′＝[y′₁，y′₂，…，y′_m]为仿射变换后的结果

矩阵中的元素；

S4-3-1、使用矩阵运算器计算矩阵W₁和矩阵Q₁的乘积，得到

其中h＝v+r，

至

为矩阵W₁和矩阵Q₁的乘积后的矩阵中的元素；

S4-3-2、根据随机数V₁和步骤S4-3-1获取到的矩阵

生成矩阵

S4-4-1、陷门部件调用参数B_r+1，D_r+1，s，使用矩阵运算器计算中间值矩阵

其中l_2，0至l_2，s-1为矩阵l₂中的元素；

S4-4-2、使用多项式和矩阵转换器将矩阵l₂转换成多项式

f₂ 为有限域GF_p的多项式；

S4-4-3、使用多项式运算器计算多项式f₂在有限域

中的逆g₂，其中

其中xⁱ在i为s时得到x^s；

S4-4-4、使用多项式和矩阵转换器将g₂转换成矩阵

其中

至

是矩阵u₁中的元素；然后使用矩阵轮转器对矩阵u₁进行轮转处理，得到矩阵

S4-4-5、使用矩阵运算器生成矩阵

然后计算det(U₂)，判断det(U₂)＝0是否成立，若是，则第一处理器重新生成一组随机数V₁，然后回到步骤S4-1-1，若否，则进入步骤S4-5-1；

S4-5-1、陷门部件调用私钥参数A_i，C_i，E_i，s，m，使用矩阵运算器计算中间值

S4-5-2、计算Q₂＝[q₁，q₂，…，q_s]，其中

矩阵中的元素；

S4-6-1、使用矩阵运算器计算矩阵U₂和矩阵Q₂的乘积，得到

其中n＝h+s，

至

为矩阵U₂和矩阵Q₂的乘积后的矩阵中的元素；

S4-6-2、根据随机数V₂和步骤S4-6-1获取到的矩阵

生成矩阵

矩阵V₃即为陷门部件得到的解；

所述步骤S5中第二线性仿射变换部件在接收到陷门部件发送的解V₃后，根据系数矩阵

针对陷门部件发送的解进行仿射变换，得到：

将

作为签名sig，将签名sig发送至第一存储器中存储。

更进一步的，将步骤S5中获取到签名及该签名对应的消息输入至签名验证系统，所述签名验证系统包括第二处理器和公钥变换部件；

所述第二处理器，用于接收公钥、签名及签名对应的消息签名，用于将公钥和签名发送至公钥变换部件；用于接收公钥变换部件返回的运算结果，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证；其中公钥由随机生成的私钥和随机生成的私钥轮转得到的私钥生成；

所述公钥变换部件，用于将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器。

更进一步的，所述第二处理器包括第二调度器和第二存储器；

所述第二调度器连接选择开关，用于识别第二处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第二处理器的工作状态；用于将存储在第一处理器中的数据调度至公钥变换部件；用于将签名验证结果发送给其他用户；

第二存储器，用于存储签名及签名对应的消息；用于存储公钥变换部件返回的运算结果。

更进一步的，所述步骤S1还包括以下步骤：针对随机生成的私钥参数进行轮转，然后根据随机生成的私钥参数及其轮转后获取的私钥参数生成公钥参数，并且将生成的公钥参数进行公布；

所述签名验证系统实现的签名验证方法具体如下：

S6、第二处理器接收公钥、签名及签名对应消息，并且将公钥和签名发送至公钥变换部件；

S7、公钥变换部件将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器；

S8、第二处理器接收到公钥变换部件发送的运算结果后，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证。

更进一步的，所述步骤S1中生成公钥的步骤具体如下：

S1-5、初始化中心映射F＝(F₁，F₂，…，F_m)，其中F_i的维度为(n+1)×(n+1)，i＝1，2，3，...，m；其中

其中

当1≤i≤r时，矩阵A_i获取过程如下：

首先根据步骤S1-4中得到维度为v×v的矩阵A₁，计算A₁的转置得到矩阵

其中a₁至a_r为矩阵

中的元素；

然后对矩阵

进行轮转处理后得到矩阵

最后计算矩阵

的转置获取到矩阵A_i，i＝2，3，...，r；

当r+1≤i≤m时，矩阵A_i即为步骤S1-4中随机生成的s组维度为h×h的矩阵A_r+j；

当1≤i≤r时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为v×r的矩阵B₁：

B₁＝[b₁，b₂，…，b_r]；其中b₁至b_r为矩阵B₁中的元素；

然后对矩阵B₁进行轮转处理后得到矩阵B_i：

B_i＝[b_r-i+2，…，b_r，b₁，…，b_r-i+1]，i＝2，3，...，r；

当r+1≤i≤m时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为h×s矩阵B_r+1：

B_r+1＝[b′₁，b′₂，…，b′_s]；其中b′₁至b′_s为矩阵B_r+1中的元素；

然后对矩阵B_r+1进行轮转处理得到矩阵B_i：

B_i＝[b′_s-i+2，…，b′_s，b′₁，…，b′_s-i+1]，i＝r+2，r+3，...，m；

其中矩阵C_i即为步骤S1-4随机生成的r组维度为v×1的矩阵C_i；

当1≤i≤r时，矩阵D_i获取过程如下：

首先根据步骤S1-4得到维度为r×1的矩阵D₁，计算D₁的转置得到矩阵

其中d₁至d_r为矩阵

中的元素；

然后对矩阵

进行轮转处理后得到矩阵

最后计算矩阵

的转置获取到矩阵D_i，i＝2，3，...，r；

当r+1≤i≤m时，矩阵D_i获取过程如下：

首先根据步骤S1-4得到维度为s×1的矩阵D_r+1，计算D_r+1的转置得到矩阵

其中d′₁至d′_s为矩阵

中的元素；

然后对矩阵

进行轮转处理得到

最后计算矩阵

的转置获取到矩阵D_i，i＝r+2，r+3，...，m；

其中矩阵E_i即为步骤S1-4随机生成m个常数E_k，k＝1，2，3，...，m；

S1-6、计算公钥P＝L₁οFοL₂，其中

具体计算过程如下：

首先计算公钥的中间值P′：

P′＝[P′₁，P′₂，…，P′_m]；

其中

Lc为随机值；

然后根据中间值P′计算出公钥P为：

P＝L₁×P′＝[P₁，P₂，…，P_m]；

其中P₁至P_m为公钥P中各元素；

所述步骤S7中公钥变换部件对签名与公钥进行运算的具体过程如下：

将签名sig＝[x′₁，x′₂，…，x′_n]带入公钥P＝[P₁，P₂，…，P_m]中，得到：

得到Z＝[z₁，z₂，…，z_m]作为运算结果；

所述步骤S8中，第二处理器将公钥变换部件返回的运算结果Z＝[z₁，z₂，…，z_m]与消息Y＝[y₁，y₂，…，y_m]进行比较，若两者相等，则签名sig＝[x′₁，x′₂，…，x′_n]验证通过。

本发明相对于现有技术具有如下的优点及效果：

(1)本发明签名系统由第一处理器、第一线性仿射变换部件、陷门部件和第二线性仿射变换部件组成，通过第一处理器生成随机数，以及通过第一处理器接收待签名的消息并且发送至第一线性仿射变换部件，第一线性仿射变换部件对接收到的待签名的消息进行仿射变换后发送给陷门部件，陷门部件根据私钥参数生成多变量多项式方程组，并且将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，第二线性仿射变换部件对陷门部件得到的解进行仿射变换变换后即得到签名；本发明在保证签名不可伪造的情况下，加快了多变量公钥签名的速度，同时降低私钥的存储量。

(2)本发明签名系统签名过程中使用了轮转方法，对私钥的部分参数进行循环生成，而且保证了不破坏MPKC原本的安全性。陷门部件在获取多变量多项式方程组时所采用的

代表的是方程组变量的系数，虽然系数的值受这三个值影响，但是最后带入的是一个确定的值，而且系数矩阵的特征值不能为0；而

对于方程来说是常量，因此陷门部件生成的多变量多项式的方程组必然有解。另外陷门部件在生成V₂未确定的值时，私钥参数B_i，D_i，A_i进行轮转生成，而私钥参数C_i，E_i没用轮转生成，这样保证了陷门部件中生成的多变量多项式的整个方程组不是轮转的，因此不能通过得到某一项方程组的值而得到所有的方程组的值，因此保障了本发明签名的安全性。

(3)本发明使用的签名方法加快了生成签名的速度。在进行轮转的地方和现有技术相比，轮转的只需要做简单的n-1次向量交换，而现有技术的做法都是要进行有限域上的矩阵乘法，相差速度显而易见，特别地，根据式子

在处理

时，本发明是先求此种子向量，然后转换为多项式求逆再轮转生成W_j，而一般技术做法是先求出

组合成

再求逆，本发明根据轮转的特性，一个轮转的矩阵其逆也是轮转的，然后通过转换成求多项式f在扩域上的逆g而代替了矩阵求逆的过程，使得最后生成W_j总的时间复杂度是O(n(log n)²)，而现有技术中时间复杂度是O(n³)。

(4)本发明使用的方法降低了私钥的存储大小，本发明自需要存在随机生成的私钥参数，对于发生轮转的私钥参数只需要使用矩阵轮转器就能生成对应的参数，所以现有技术需要存储私钥参数A，B，C，D，E各m组以及系数矩阵

本发明只需存储m组私钥参数C，E、两组私钥参数B，D，s+1组私钥参数A以及系数矩阵

大大降低了私钥的存储空间。

(5)本发明中所使用的多变量公钥通过私钥以及轮转生成的私钥生成的，公钥中虽然部分系数组成是轮转的，但是中心映射F整体不是轮转的，在经过线性仿射后公钥整体更加体现不出轮转的性质，所以其安全性是有保障的。

附图说明

图1是本发明中多变量公钥的签名系统的结构框图。

图2是本发明中签名验证系统的结构框图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例

本实施例公布了一种多变量公钥的签名系统，如图1所示，包括第一处理器、第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；

所述陷门部件，用于根据私钥参数生成多变量多项式方程组，用于将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，并且将得到的解传送给第二线性仿射变换部件；其中私钥包括随机生成的私钥以及随机生成的私钥轮转得到的私钥；

如图1中所示，本实施例的第一处理器包第一调度器、第一存储器和随机数生成器；

第一调度器连接选择开关，用于识别第一处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第一处理器的工作状态；用于将存储在第一处理器中的数据调度至第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；用于将签名发送给其他用户；

随机数生成器，用于随机生成随机数。

如图1中所示，本实施例的陷门部件包括矩阵轮转器、矩阵运算器、多项式和矩阵转换器以及多项式运算器；

矩阵轮转器，用于对矩阵进行轮转。

本实施例中还公布了一种上述多变量公钥的签名系统实现的多变量公钥的签名方法，步骤如下：

S1、系统初始化：随机生成私钥参数，并且将私钥参数存储在第一处理器中，然后针对随机生成的私钥参数进行轮转，根据随机生成的私钥参数及其轮转后获取的私钥参数生成公钥参数。其中初始化过程中随机生成的私钥参数存储于第一处理器中，而生成的公钥参数进行公布。

本步骤中系统初始化随机生成私钥参数的具体步骤如下：

S1-3、随机生成可逆的系数矩阵

和

将系数矩阵

用于第一线性仿射变换部件中；将系数矩阵

用于第二线性仿射变换部件中；

S1-4、生成如下私钥参数：随机生成一组维度为v×v的矩阵A₁，随机生成一组维度为v×r的矩阵B₁，随机生成r组维度为v×1的矩阵C_i，随机生成一组维度为r×1的矩阵D₁，随机生成s组维度为h×h的矩阵A_r+j，随机生成一组维度为h×s矩阵B_r+1，随机生成s组维度为h×1矩阵C_r+j，，随机生成一组维度为s×1的矩阵D_r+1，随机生成m个常数E_k，其中i＝1，2，3，...，r，j＝1，2，3，...，s，k＝1，2，3，...，m；

本步骤系统初始化中公钥参数的生成过程具体如下；

S1-5、初始化中心映射F＝(F₁，F₂，…，F_m)，其中映射中F_i的维度为(n+1)×(n+1)，i＝1，2，3，...，m；其中

其中

当1≤i≤r时，矩阵A_i获取过程如下：

其中a₁至a_r为矩阵

中的元素；

然后对矩阵

进行轮转处理后得到矩阵

最后计算矩阵

的转置获取到矩阵A_i，i＝2，3，...，r；

当1≤i≤r时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为v×r的矩阵B₁：

B₁＝[b₁，b₂，…，b_r]；其中b₁至b_r为矩阵B₁中的元素；

然后对矩阵B₁进行轮转处理后得到矩阵B_i：

B_i＝[b_r-i+2，…，b_r，b₁，…，b_r-i+1]，i＝2，3，...，r；

当r+1≤i≤m时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为h×s矩阵B_r+1：

然后对矩阵B_r+1进行轮转处理得到矩阵B_i：

其中矩阵C_i即为步骤S1-4随机生成的r组维度为v×1的矩阵C_i；

当1≤i≤r时，矩阵D_i获取过程如下：

其中d₁至d_r为矩阵

中的元素；

然后对矩阵

进行轮转处理后得到矩阵

最后计算矩阵

的转置获取到矩阵D_i，i＝2，3，...，r；

当r+1≤i≤m时，矩阵D_i获取过程如下：

其中d′₁至d′_s为矩阵

中的元素；

然后对矩阵

进行轮转处理得到

最后计算矩阵

的转置获取到矩阵D_i，i＝r+2，r+3，...，m；

S1-6、计算公钥P＝L₁οFοL₂，其中

具体计算过程如下：

首先计算公钥的中间值P′：

P′＝[P′₁，P′₂，…，P′_m]；

其中

Lc为随机值；

然后根据中间值P′计算出公钥P为：

P＝L₁×P′＝[P₁，P₂，…，P_m]；

其中步骤S1-2生成的参数v，r，s，h，n、步骤S1-3生成的系数矩阵

和

以及步骤S1-4生成的各私钥参数均存储于第一处理器的第一存储器中。而步骤S1-6中生成的公钥P进行公布。在本实施例中第一处理器通过第一调度器将步骤S1-2生成的参数v，r，s，h，n，以及步骤S1-4生成的各私钥参数调度至陷门部件中，将步骤S1-3生成的系数矩阵

和

分别对应调度至第一线性仿射变换部件和第二线性仿射变换部件。

S2、第一处理器接收待签名的消息，然后将待签名的消息发送至第一线性仿射变换部件。

S3、第一线性仿射变换部件对接收到的待签名的消息进行仿射变换计算，然后将仿射变换结果发送至陷门部件；同时第一处理器中随机生成一组随机数

发送至陷门部件。

在本步骤中第一线性仿射变换部件在接收到的待签名的消息后，根据系数矩阵

针对待签名的消息进行仿射变换，得到：

其中Y′＝[y′₁，y′₂，…，y′_m]为待签名的消息，

表示待签名的消息仿射变换后的结果。

S4、陷门部件根据私钥参数生成多变量多项式方程组，然后将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，最后将得到的解传送给第二线性仿射变换部件；具体过程如下：

其中l_1，0至l_1，r-1为中间值矩阵l₁中的元素；

S4-1-2、使用多项式和矩阵转换器将矩阵l₁转换成多项式

其中x为多项式f₁中的变量，f₁为有限域GF_p的多项式；

S4-1-3、使用多项式运算器计算多项式f₁在有限域

中的逆g₁，其中

其中xⁱ在i为r时得到x^r；

S4-1-5、使用矩阵运算器生成矩阵

S4-2-3、通过矩阵运算器计算

通过矩阵运算器计算Q₁＝[q₁，q₂，…，q_r]，其中

矩阵中的元素；

S4-3-1、使用矩阵运算器计算矩阵W₁和矩阵Q₁的乘积，得到

其中h＝v+r，

至

为矩阵W₁和矩阵Q₁的乘积后的矩阵中的元素；

S4-3-2、根据随机数V₁和步骤S4-3-1获取到的矩阵

生成矩阵

其中l_2，0至l_2，s-1为矩阵l₂中的元素；

S4-4-2、使用多项式和矩阵转换器将矩阵l₂转换成多项式

f₂为有限域GF_p的多项式；

S4-4-3、使用多项式运算器计算多项式f₂在有限域

中的逆g₂，其中

其中xⁱ在i为s时得到x^s；

S4-4-4、使用多项式和矩阵转换器将g₂转换成矩阵

其中

至

S4-4-5、使用矩阵运算器生成矩阵

S4-5-2、计算Q₂＝[q₁，q₂，…，q_s]，其中

矩阵中的元素；

S4-6-1、使用矩阵运算器计算矩阵U₂和矩阵Q₂的乘积，得到

其中n＝h+s，

至

为矩阵U₂和矩阵Q₂的乘积后的矩阵中的元素；

S4-6-2、根据随机数V₂和步骤S4-6-1获取到的矩阵

生成矩阵

矩阵V₃即为陷门部件得到的解。

S5、第二线性仿射变换部件接收到陷门部件发送的解后，对其进行仿射变换计算，最终得到签名。具体为：第二线性仿射变换部件在接收到陷门部件发送的解V₃后，根据系数矩阵

针对陷门部件发送的解进行仿射变换，得到：

将

作为签名sig，将签名sig发送至第一存储器中存储。

本实施例中上述步骤S5获取到签名及该签名对应的消息输入至签名验证系统，通过签名验证系统对签进行验证，如图2所示，本实施例的签名验证系统包括第二处理器和公钥变换部件。

第二处理器，用于接收公钥、签名及签名对应的消息，用于将公钥和签名发送至公钥变换部件；用于接收公钥变换部件返回的运算结果，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证；其中公钥由随机生成的私钥和随机生成的私钥轮转得到的私钥生成。

公钥变换部件，用于将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器。

如图2所示，本实施例中第二处理器包括第二调度器和第二存储器；

第二调度器连接选择开关，用于识别第二处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第二处理器的工作状态；用于将存储在第一处理器中的数据调度至公钥变换部件；用于将签名验证结果发送给其他用户；

本实施例中通过上述签名验证系统实现签名的验证过程，具体如下：

S6、第二处理器接收公钥、消息及消息对应的签名，并且将公钥和签名发送至公钥变换部件。

S7、公钥变换部件将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器；其中本步骤中签名与公钥进行运算的具体过程如下：

得到Z＝[z₁，z₂，…，z_m]作为运算结果。

S8、第二处理器接收到公钥变换部件发送的运算结果后，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证。具体如下：

第二处理器将公钥变换部件返回的运算结果Z＝[z₁，z₂，…，z_m]与消息Y＝[y₁，y₂，…，y_m]进行比较，若两者相等，则输出1，表示签名sig＝[x′₁，x′₂，…，x′_n]验证通过，若两者不相等，则输出0，表示签名sig＝[x′₁，x′₂，…，x′_n]验证不通过。

本实施例中签名验证系统的第二处理器的第二调度器连接的选择开关和签名系统中的第一处理器的第一调度器所连接的选择开关为同一个，通过该选择开关控制第一处理器和第二处理器的工作状态，当选择开关开状态时，签名系统工作，此时通过步骤S2至S5生成消息对应的签名，当选择开关为闭状态时，签名验证系统工作，此时通过步骤S6至S8对步骤S5中生成的消息的签名进行验证。

以下为采用本实施例上述签名系统的签名方法和采用上述签名验证系统的的签名验证方法具体例子。

在签名方法上，初始化如下：

在步骤S1-1中设定系统中所有部件都是建立在一个阶为p＝31的有限域上，这些元素分别为{0，1，…，30}，其中p是一个奇素数，记此有限域为GF_p；其中域上定义的加法和乘法均为整数的加法和乘法之后mod 31。

在步骤S1-2中选取v＝3，r＝2，s＝1，得出h＝5，n＝6，m＝3；

在步骤S1-3中随机生成可逆的系数矩阵

和

分别为：

在步骤S1-4中生成如下私钥参数：

E₁＝[3]，E₂＝[13]，E₃＝[1]

在步骤S1-5中轮转生成A₂，B₂；

在步骤S1-6中计算公钥P：P＝L₁οFοL₂；可得：

在上述系统初始化后，对待签名的消息为Y′＝[21，25，19]生成签名，具体如下：

在步骤S2第一处理器接收待签名的消息为Y′＝[21，25，19]，然后将待签名的消息Y′＝[21，25，19]发送至第一线性仿射变换部件。

在步骤S3中第一线性仿射变换部件在接收到的待签名的消息Y′＝[21，25，19]后，根据系数矩阵

针对待签名的消息进行仿射变换，得到：

然后将

发送至陷门部件。同时第一处理器中随机生成一组随机数V₁＝[14，29，21]发送至陷门部件

在步骤S4-1-1至步骤S4-1-5中计算

生成多项式f₁＝3+10x，计算

得到向量w₁＝[17，26]，生成

继续下一步。

在步骤S4-2-1至S4-2-3中计算中间值K′₁＝[k′₁，k′₂，…，k′_v]＝A₁V₁＝ [5，7，26]；轮转生成K′_i，最后计算Q₁＝[q₁，q₂]＝[0，8]。

在步骤S4-3-1至SS4-3-2中计算

得出V₂＝[14，29，21，22，12]；

在步骤S4-4-1至S4-4-5中计算中

生成多项式f₂＝7，计算

得到向量u₁＝[9]，生成U₂＝[9]，det(U₂)≠0，继续下一步；

在步骤S4-5-1至S4-5-2中计算Q₂＝[17]；

在步骤S4-6-1至S4-6-2中计算

得出V₃＝[14，29，21，22，12，29]；

在步骤S5中将V₃输入到第二线性仿射部件中计算得出签名

在以下步骤S6和S7中实现对消息Y＝[21，25，19]对应的签名sig＝[9，22，12，5，4，16]进行验证，具体如下：

在步骤S6中第二处理器接收公钥P＝[P₁，P₂，P₃]、消息Y＝[21，25，19]及消息对应的签名sig＝[9，22，12，5，4，16]，并且将公钥P发送至公钥变换部件；

在步骤S7中公钥部件将签名sig＝[9，22，12，5，4，16]带入公钥P＝[P₁，P₂，P₃]中进行运算，得到

得到Z＝[21，25，19]作为运算结果，并且返回给第二处理器。

在步骤S8中第二处理器接收到公钥变换部件发送的运算结果Z＝[21，25，19]后，将运算结果Y＝[21，25，19]和消息Y＝[21，25，19]进行比较，比较后发现两则相同，则第二处理器输出“1”，表示消息Y＝[21，25，19]对应的签名sig＝[9，22，12，5，4，16]验证通过。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

一种多变量公钥的签名系统，其特征在于，包括第一处理器、第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；

所述第一处理器，用于接收待签名的消息并且将接收到的待签名的消息发送至第一线性仿射变换部件，用于生成随机数并且将生成的随机数发送至陷门部件；

所述第一线性仿射变换部件，用于对接收到的待签名的消息进行仿射变换计算，然后将仿射变换计算结果发送至陷门部件；

所述陷门部件，用于根据私钥参数生成多变量多项式方程组，用于将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，并且将得到的解传送给第二线性仿射变换部件；

所述第二线性仿射变换部件，用于对陷门部件发送的解进行仿射变换计算得到签名。
根据权利要求1所述的多变量公钥的签名系统，其特征在于，所述第一处理器包第一调度器、第一存储器和随机数生成器；

所述第一调度器连接选择开关，用于识别第一处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第一处理器的工作状态；用于将存储在第一处理器中的数据调度至第一线性仿射变换部件、陷门部件和第二线性仿射变换部件；用于将签名发送给其他用户；

第一存储器，用于存储第一处理器中的数据；用于存储签名；

随机数生成器，用于随机生成随机数。
根据权利要求1所述的多变量公钥的签名系统，其特征在于，所述陷门部件包括矩阵轮转器、矩阵运算器、多项式和矩阵转换器以及多项式运算器；

矩阵运算器，用于生成矩阵；用于对矩阵进行基本运算和转换；

多项式和矩阵转换器，用于将矩阵转换为多项式；用于将多项式转换成矩阵；

多项式运算器，用于求取多项式在有限域中的逆；用于对多项式进行基本运算；

矩阵轮转器，用于对矩阵进行轮转。
一种基于权利要求1所述的多变量公钥的签名系统实现的多变量公钥的签名方法，其特征在于，步骤如下：

S1、系统初始化：随机生成私钥参数，并且存储于第一处理器中；

S2、第一处理器接收待签名的消息，然后将待签名的消息发送至第一线性仿射变换部件；

S3、第一线性仿射变换部件对接收到的待签名的消息进行仿射变换计算，然后将仿射变换结果发送至陷门部件；同时第一处理器中随机生成一组随机数发送至陷门部件；

S4、陷门部件根据私钥参数生成多变量多项式方程组，然后将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解，最后将得到的解传送给第二线性仿射变换部件；

S5、第二线性仿射变换部件接收到陷门部件发送的解后，对其进行仿射变换计算，最终得到签名。
根据权利要求4所述的多变量公钥的签名方法，其特征在于，所述步骤S1中系统初始化的具体步骤如下：

S1-1、设定系统中所有部件都是建立在一个阶为p的有限域上，其中p是一个奇素数，记此有限域为GF_p；

S1-2、根据安全级别选择系数v,r,s，其中v是随机数的个数，r是第一次生成签名的长度，s是第二次生成签名的长度，此外h＝v+r,n＝h+s,m＝r+s，m是签名的总长度；

S1-3、随机生成可逆的系数矩阵
和
将系数矩阵
写入第一线性仿射变换部件中；将系数矩阵
写入第二线性仿射变换部件中；

S1-4、生成如下私钥参数：随机生成一组维度为v×v的矩阵A₁，随机生成一组维度为v×r的矩阵B₁，随机生成r组维度为v×1的矩阵C_i，随机生成一组维度为r×1的矩阵D₁，随机生成s组维度为h×h的矩阵A_r+j，随机生成一组维度为h×s矩阵B_r+1，随机生成s组维度为h×1矩阵C_r+j，，随机生成一组维度为s×1的矩阵D_r+1，随机生成m个常数E_k，其中i＝1,2,3,...,r，j＝1,2,3,...,s，k＝1,2,3,...,m。
根据权利要求5所述的多变量公钥的签名方法，其特征在于，

步骤S3中第一线性仿射变换部件在接收到的待签名的消息后，根据系数矩阵
针对待签名的消息进行仿射变换，得到：

其中Y′＝[y′₁,y′₂,…,y′_m]为待签名的消息，
表示待签名的消息仿射变换后的结果；

所述步骤S3中第一处理器随机生成一组随机数
并且发送给陷门部件；

步骤S4中陷门部件根据私钥参数生成多变量多项式方程组，并且将接收到的随机数和仿射变换结果代入至多变量多项式方程组中进行求解的具体过程如下：

S4-1-1、陷门部件调用参数B₁,D₁,r，使用矩阵运算器计算出中间值矩阵
其中l_1,0至l_1,r-1为中间值矩阵l₁中的元素；

S4-1-2、使用多项式和矩阵转换器将矩阵l₁转换成多项式
其中x为多项式f₁中的变量，f₁为有限域GF_p的多项式；

S4-1-3、使用多项式运算器计算多项式f₁在有限域
中的逆g₁，其中
其中xⁱ在i为r时得到x^r；

S4-1-4、使用多项式和矩阵转换器将g₁转换成矩阵w₁＝[ω₁,ω₂,…,ω_r]；其中ω₁至ω_r是矩阵w₁中的元素；然后使用矩阵轮转器对矩阵w₁进行轮转处理，得到矩阵w_i＝[ω_r-i+2,…,ω_r,ω₁,ω₂,…,ω_r-i+1]，i＝2,3,…,r；

S4-1-5、使用矩阵运算器生成矩阵
然后计算det(W₁)，判断det(W₁)＝0是否成立，若是，则第一处理器重新随机生成一组随机数V₁，然后回到步骤S4-1-1，若否，则进入步骤S4-2-1；

S4-2-1、陷门部件调用参数A₁,C_i,E_i,r,v，使用矩阵运算器计算中间值矩阵K′₁＝[k′₁,k′₂,…,k′_v]＝A₁V₁，k′₁至k′_v为矩阵K′₁中的元素；

S4-2-2、使用矩阵轮转器对矩阵K′₁进行轮转处理，得到矩阵K′_i＝[k′_v-i+2,…,k′_v,k′₁,k′₂,…,k′_v-i+1]，i＝1,2,…,r；

S4-2-3、通过矩阵运算器计算通过矩阵运算器计算Q₁＝[q₁,q₂,…,q_r]，其中
i＝1,2,…,r；
为待签名的消息Y′＝[y′₁,y′₂,…,y′_m]为仿射变换后的结果
矩阵中的元素；

S4-3-1、使用矩阵运算器计算矩阵W₁和矩阵Q₁的乘积，得到

其中h＝v+r，
至
为矩阵W₁和矩阵Q₁的乘积后的矩阵中的元素；

S4-3-2、根据随机数V₁和步骤S4-3-1获取到的矩阵
生成矩阵

S4-4-1、陷门部件调用参数B_r+1,D_r+1,s，使用矩阵运算器计算中间值矩阵
其中l_2,0至l_2,s-1为矩阵l₂中的元素；

S4-4-2、使用多项式和矩阵转换器将矩阵l₂转换成多项式
f₂为有限域GF_p的多项式；

S4-4-3、使用多项式运算器计算多项式f₂在有限域
中的逆g₂，其中
其中xⁱ在i为s时得到x^s；

S4-4-4、使用多项式和矩阵转换器将g₂转换成矩阵
其中
至
是矩阵u₁中的元素；然后使用矩阵轮转器对矩阵u₁进行轮转处理，得到矩阵
i＝2,3,…,s；

S4-4-5、使用矩阵运算器生成矩阵
然后计算det(U₂)，判断det(U₂)＝0是否成立，若是，则第一处理器重新生成一组随机数V₁，然后回到步骤S4-1-1，若否，则进入步骤S4-5-1；

S4-5-1、陷门部件调用私钥参数A_i,C_i,E_i,s,m，使用矩阵运算器计算中间值
i＝r+1,r+2,…,m，m＝r+s；

S4-5-2、计算Q₂＝[q₁,q₂,…,q_s],其中
i＝r+1,r+2,…,m；
为待签名的消息Y′＝[y′₁,y′₂,…,y′_m]为仿射变换后的结果
矩阵中的元素；

S4-6-1、使用矩阵运算器计算矩阵U₂和矩阵Q₂的乘积，得到
其中n＝h+s，
至
为矩阵U₂和矩阵Q₂的乘积后的矩阵中的元素；

S4-6-2、根据随机数V₂和步骤S4-6-1获取到的矩阵
生成矩阵
矩阵V₃即为陷门部件得到的解；

所述步骤S5中第二线性仿射变换部件在接收到陷门部件发送的解V₃后，根据系数矩阵
针对陷门部件发送的解进行仿射变换，得到：

将
作为签名sig，将签名sig发送至第一存储器中存储。
根据权利要求5所述的多变量公钥的签名方法，其特征在于，将步骤S5中获取到签名及该签名对应的消息输入至签名验证系统，所述签名验证系统包括第二处理器和公钥变换部件；

所述第二处理器，用于接收公钥、签名及签名对应的消息签名，用于将公钥和签名发送至公钥变换部件；用于接收公钥变换部件返回的运算结果，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证；其中公钥由随机生成的私钥和随机生成的私钥轮转得到的私钥生成；

所述公钥变换部件，用于将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器。
根据权利要求7所述的多变量公钥的签名方法，其特征在于，所述第二处理器包括第二调度器和第二存储器；

所述第二调度器连接选择开关，用于识别第二处理器所接收到的开状态信号和闭状态信号，通过选择开关控制第二处理器的工作状态；用于将存储在第一处理器中的数据调度至公钥变换部件；用于将签名验证结果发送给其他用户；

第二存储器，用于存储签名及签名对应的消息；用于存储公钥变换部件返回的运算结果。
根据权利要求7所述的多变量公钥的签名方法，其特征在于，所述步骤S1还包括以下步骤：针对随机生成的私钥参数进行轮转，然后根据随机生成的私钥参数及其轮转后获取的私钥参数生成公钥参数，并且将生成的公钥参数进行公布；

所述签名验证系统实现的签名验证方法具体如下：

S6、第二处理器接收公钥、签名及签名对应消息，并且将公钥和签名发送至公钥变换部件；

S7、公钥变换部件将接收到的签名与公钥进行运算，然后将运算结果返回给第二处理器；

S8、第二处理器接收到公钥变换部件发送的运算结果后，将运算结果和消息进行比较，若运算结果和消息相等，则签名的验证结果为通过验证。
根据权利要求9所述的多变量公钥的签名方法，其特征在于，

所述步骤S1中生成公钥的步骤具体如下：

S1-5、初始化中心映射F＝(F₁,F₂,…,F_m)，其中F_i的维度为(n+1)× (n+1)，i＝1,2,3,…,m；其中

其中

当1≤i≤r时，矩阵A_i获取过程如下：

首先根据步骤S1-4中得到维度为v×v的矩阵A₁，计算A₁的转置得到矩阵

其中a₁至a_r为矩阵
中的元素；

然后对矩阵
进行轮转处理后得到矩阵

最后计算矩阵
的转置获取到矩阵A_i，i＝2,3,…,r；

当r+1≤i≤m时，矩阵A_i即为步骤S1-4中随机生成的s组维度为h×h的矩阵A_r+j；

当1≤i≤r时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为v×r的矩阵B₁：

B₁＝[b₁,b₂,…,b_r]；其中b₁至b_r为矩阵B₁中的元素；

然后对矩阵B₁进行轮转处理后得到矩阵B_i：

B_i＝[b_r-i+2,…,b_r,b₁,…,b_r-i+1]，i＝2,3,…,r；

当r+1≤i≤m时，矩阵B_i获取过程如下：

首先根据步骤S1-4得到维度为h×s矩阵B_r+1：

B_r+1＝[b′₁,b′₂,…,b′_s]；其中b′₁至b′_s为矩阵B_r+1中的元素；

然后对矩阵B_r+1进行轮转处理得到矩阵B_i：

B_i＝[b′_s-i+2,…,b′_s,b′₁,…,b′_s-i+1]，i＝r+2,r+3,…,m；

其中矩阵C_i即为步骤S1-4随机生成的r组维度为v×1的矩阵C_i；

当1≤i≤r时，矩阵D_i获取过程如下：

首先根据步骤S1-4得到维度为r×1的矩阵D₁，计算D₁的转置得到矩阵

其中d₁至d_r为矩阵
中的元素；

然后对矩阵
进行轮转处理后得到矩阵

最后计算矩阵
的转置获取到矩阵D_i，i＝2,3,…,r；

当r+1≤i≤m时，矩阵D_i获取过程如下：

首先根据步骤S1-4得到维度为s×1的矩阵D_r+1，计算D_r+1的转置得到矩阵

其中d′₁至d′_s为矩阵
中的元素；

然后对矩阵
进行轮转处理得到

最后计算矩阵
的转置获取到矩阵D_i，i＝r+2,r+3,…,m；

其中矩阵E_i即为步骤S1-4随机生成m个常数E_k，k＝1,2,3,…,m；

S1-6、计算公钥P＝L₁оFоL₂，其中
具体计算过程如下：

首先计算公钥的中间值P′：

P′＝[P′₁,P′₂,…,P′_m]；

其中
i＝1,2,3,…,m；，
L_C为随机值；

然后根据中间值P′计算出公钥P为：

P＝L₁×P′＝[P₁,P₂,…,P_m]；

其中P₁至P_m为公钥P中各元素；

所述步骤S7中公钥变换部件对签名与公钥进行运算的具体过程如下：

将签名sig＝[x′₁,x′₂,…,x′_n]带入公钥P＝[P₁,P₂,…,P_m]中，得到：

得到Z＝[z₁,z₂,…,z_m]作为运算结果；

所述步骤S8中，第二处理器将公钥变换部件返回的运算结果 Z＝[z₁,z₂,…,z_m]与消息Y＝[y₁,y₂,…,y_m]进行比较，若两者相等，则签名sig＝[x′₁,x′₂,…,x′_n]验证通过。