[发明专利]基于指定验证者的签名、签名验证及副本模拟方法和系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于指定验证者的签名、签名验证和签名副本模拟方法和系统。

背景技术

云计算代表着一种技术的发展趋势，其已经被广泛地部署。事实上，通过有限能源的移动设备，用户可以利用云计算服务来实现一个复杂的计算任务或者存储大量流照片和其他多媒体数据。现在有许多云存储服务为用户提供了免费的大量存储空间。正因为这些服务是免费的，已经存储的数据可能会因为性能优化或者一般的硬件问题而丢失。这些用户数据存储的可能性问题使得数据审计成为了一项必然的服务。

数据审计的一个基本分支是用户自己去检测用户数据的完整性。考虑到用户设备的有限能源，通常会使用对称密钥密码工具。另外一个分支是外包数据审计任务到一个有大量带宽和计算资源的数据审计者。数据审计者可以使用一些非对称密码工具来验证用户数据的完整性。一个正常的签名方案应该能提供比简单的完整性检测更多的性质，例如，不可否认性质。在很多例子中，用户并不想数据审计者展示出附带一些数据的签名是来自该用户的。提出指定验证者签名来满足这个要求。

Jakobsson等人(1996)提出了一个指定验证者签名这个概念。一个指定验证者签名方案包括了对验证者的副本模拟算法。当签名者指定验证者后，验证者能够模拟一个签名者的签名。如果验证者在消息中收到一个指定验证者签名，而其在消息中从未模拟出一个指定验证者签名，那么它能够识别真正的签名者。然而，因为验证者有能力去模拟该签名，所以其不能够展示真正签名者的信息给任何人。在数据存储审计服务中，这种方式能够使得云服务供应商(CSP)提供数据审计给指定验证者，在该处验证者只能够展示出数据拥有者的验证结果。

由于考虑到量子计算的发展给密码方案带来的威胁，一种解决方式是基于量子机制来建立密码算法。另外一种方法依赖于一些抵御量子计算机攻击的困难问题。

格是由一组线性无关向量的所有整数线性组合构成的向量全体。令{b₁，b₂，…，b_n}为n个线性独立的向量，由{b₁，b₂，…，b_n}生成的n维格定义为：利用格的维数与向量维数的关系可以将格细分为满秩格、减秩格和超秩格。具体地，如果格的维数等于向量的维数，则这样的格称为满秩格，如果格的维数小于向量的维数，则这样的格称为减秩格，如果格的维数大于向量的维数，则这样的格称为超秩格。

在格密码中一般使用两类特殊的、定义在域上的满秩整数格。这两类格可以如编码理论中的线性码一样用矩阵给出方便、具体而形象的描述。给定矩阵和其中n，m，q为相关参数，定义

即所有与矩阵A的行向量模q正交的向量构成格而格则由向量y所在的格的陪集中向量构成。

一些格问题可能适合于抵御量子计算机攻击。这些格问题还有其他优点，包括最坏的困难性和没有已知的亚指数攻击。这些观察使得基于格问题来设计的密码方案成为了更好的选择。

譬如，小整数解问题(Short Integer Solution Problem，SIS)表述如下：给定整数q，给定一个均匀随机的矩阵和实数β，SIS问题的目标是找到一个非零的整数向量满足和Ajtai在STOC'96上开创性地证明了在平均情况下的SIS问题与在最差情况下的格上一类NP问题一样困难，该工作为基于格的公钥密码体制奠定了发展的基础。

基于格上困难问题，可以设计实用的签名方案。较为实用且基于格的签名方式是Lyubashevsky的Lyubashevsky签名方案的指定验证者签名方案，然而，其方案存在签名长度较大，计算复杂度高的问题，不利于实际应用中的高效实现。

发明内容

本发明的一个目的在于提供一种基于指定验证者的签名方法和系统，可以降低签名的长度以及签名计算的复杂度，提高签名效率。

本发明的这一个目的通过如下技术方案实现：

一种基于指定验证者的签名方法，包括如下步骤：

设定哈希函数H：{0，1}^*→{-1，0，1}^k；

随机选择并计算

计算以概率1/M输出若本次不输出，则返回所述随机选择并计算的步骤；

计算

计算然后以概率输出若本次不输出，则返回所述选择并计算的步骤；

输出签名结果

其中，随机矩阵为签名者的私钥，为指定验证者的公钥，n、q、k、m、M、σ为系统参数。