[发明专利]抗代内/间攻击的同态签名方法

权利要求书

1.一种抗代内/间攻击的同态签名方法，其特征在于，它由参数设置Setup、消息签名Sign、消息组合Combine和消息验证Verify四个多项式时间算法组成；具体包含如下步骤：

(1)准备阶段：每代消息写成m×(n-1)维矩阵形式，每行数据之和作为行首，转化成m×n维矩阵；算法利用消息向量中前N位信息设计签名信息；

(2)参数设置Setup：

设定安全参数1^τ和m,n之后：

a)生成一个五元组(q,H,G,P,R)，其中，q＞2^τ为一个素数，H为：{0,1}^*→F_q的哈希函数，G＝<g>为一乘法循环群，g为G的生成元；为一伪随机数生成器，R一个r×(N+r)的秘密矩阵，r_i,j∈F_q,r_i＝P(sd_i)(i＝1,2,...,r)，sd_i为随机秘密种子，经系统加密通道发送给信源；

b)生成公密钥；系数β_i(i＝1,2,...,r)在F_q随机选取，有可得密钥SK和公钥PK：

SK＝{r₀,r_i'∈F_q|i＝1,2,...,N+r},

其中

(3)消息签名Sign(SK,id,v′_i)：

设当前代消息向量为v′_i＝(v_i1,v_i2,...,v_in)∈F_qⁿ(i＝1,2,...,m)，则签名步骤如下：

a)给定唯一的代标识符id∈{0,1}^τ，计算k_id,i＝H(id,i)(i＝1,2,...,r)，生成S＝(s_i,j)，

注意：S的子矩阵T应为满秩矩阵，

T＝(s_ik)(i＝1,2,...,r,k＝N+1,N+2,...,N+r)；

b)构造线性方程组并生成签名信息：

(T^-1S)·(x₁,x₂,...x_N,x_N+1,,...x_N+r)^T＝0

将(x₁,x₂,...,x_N)＝(v_i1,v_i2,...,v_iN)＝v_i代入线性方程组，v_i的签名向量σ_i：σ_i＝(x_N+1,x_N+2,...,x_N+r)；

c)利用随机线性网络编码的规则将签名信息向量u′_i＝{v′_i,σ_i}，扩展为量u_i；

(4)消息组合Combine(id,α_i,v_i,σ_i)：信息传输过程中，中继节点将收到第id代签名消息进行线性组合，其中，α₁,α₂,...α_l∈F_q；

(5)消息验证Verify(id,v,σ,PK)：

给定id，验证者签名消息中提取签名所用的N位信息和签名信息得到u＝(v,σ)代入下式，

其中h_i＝p_i(i＝n+1,...n+r)；

则若上式成立，接收消息；否则拒绝消息。