[发明专利]基于代数的对消息匿名环签名的方法

摘要

本发明公开了一种基于代数的对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

主权项

1.基于代数的对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：步骤1.生成系统参数1)设置k＝GF(q)是有限域，其中q＝p^l，p是一个素数，l是一个正整数；2)令m为多变量方程组中方程的个数，n为变量的个数；3)选择H：{0，1}^*→kⁿ为密码学安全的哈希函数，系统参数为(k，q，p，l，n，m，H)；步骤2.密钥生成1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；2)选择一个安全的多变量公钥密码签名体制，根据该体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，Fi满足：a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；b)任何方程F_i(x₁，…，x_n)＝(y′₁，…，y′_m)都易于求解；3)每个用户u_i(0≤i≠t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；5)每个用户u_i(0≤i≤t-1)公布其公钥F‾i(x1,···,xn)=(f‾i1,···,f‾im)]]>其中每一个都是k[x₁，…，x_n]中的多项式；6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；7)环中的t个用户的公钥集记为步骤3.环签名生成设签名者u_π(0≤π≤t-1)代表环中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行环签名，环中的t个用户的公钥集记为利用其私钥SK_i＝{L_1i，F_i，L_2i}，签名步骤如下：1)签名者u_π随机选取u∈kⁿ，计算cπ+1(modt)=H(L||M||F‾π(u));]]>2)对于i＝π+1，π+2，…，t-1，0，1，..，π-1，依次随机选取s_i∈kⁿ，计算ci+1(modt)=H(L||M||F‾i(ci)+F‾i(si));]]>3)计算4)输出消息M关于环的环签名为σ＝(c₀，s₀，s₁，…s_t-1)；步骤4.环签名的验证给定消息M关于环的环签名σ＝(c₀，s₀，s₁，…，s_t-1)，任何验证者对该签名正确性的验证如下：1)对于i＝0，1，…，t-1，计算ci+1=H(L||M||F‾i(ci)+F‾i(si));]]>2)验证c_t＝c₀是否成立，如果成立，则接受该环签名，否则，拒绝该环签名。