[发明专利]基于代数的对消息匿名环签名的方法

说明书

技术领域

本发明属于信息安全技术领域，涉及一种基于代数的对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。环签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。

2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于代数的对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，基于代数的对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是有限域，其中q＝p^l，p是一个素数，l是一个正整数；

2)令m为多变量方程组中方程的个数，n为变量的个数；

3)选择H：{0，1}^*→kⁿ为密码学安全的哈希函数，

系统参数为(k，q，p，l，n，m，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)选择一个安全的多变量公钥密码签名体制，根据该体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程