[发明专利]基于IP签名的代理重签名方法

摘要

本发明公开了一种基于IP签名的代理重签名方法，用于解决现有代理重签名方法抗量子攻击性差的技术问题。技术方案是对受托者与委托者的私钥进行秘密仿射变换构造重签名密钥，并基于多项式同构(IP)问题设计代理重签名及其验证过程，从而保证了代理重签名方法具有抗量子攻击性；另外，二次多变量多项式组的仿射变换主要执行乘法运算，运算量小，这使得代理重签名方法具有较高的计算效率。

主权项

1.一种基于IP签名的代理重签名方法，其特征在于包括以下步骤：步骤一、系统参数生成；系统管理者选择阶为2^p的有限域K，系统管理者选择三个正整数n、u和q；其中，p表示系统管理者选取的正整数，K表示运算所在的有限域，u表示二次多项式方程组阶数的正整数，n表示二次多项式方程组变量个数的正整数，q表示哈希函数H(x)运算后的二进制值的位数；系统管理者选择密码学中的一个抗碰撞的哈希函数H(x):{0,1}^*→{0,1}^q；系统管理者选择具有n个变量的u阶二次多项式方程组Q，其形式为：Q：；其中，x_i，x_j表示多项式方程组的变量，γ_ijk表示二次项的系数，μ_ik表示一次项的系数，δ_k表示常数项；系统管理者公布系统生成的参数(n,u,q,K,Q,H(x))；步骤二、密钥生成；根据初始化赋值阶段由步骤一给定的二次多项式方程组Q，受托者选择秘密可逆仿射变换(M_a,N_a)，委托者选择秘密可逆仿射变换(M_b,N_b)，其形式如下：M_a：N_a：M_b：N_b：其中，M_a表示受托者选择的具有u个变量的可逆仿射变换，N_a表示受托者选择的具有n个变量的可逆仿射变换；M_b表示委托者选择的具有u个变量的可逆仿射变换，N_b表示委托者选择的具有n个变量的可逆仿射变换；是可逆仿射变换M_a和M_b的初始变量，是可逆仿射变换N_a和N_b进行计算后生成的值；受托者计算委托者计算其中，A_a表示受托者的部分公钥，A_b表示委托者的部分公钥；表示映射合成运算；受托者选择秘密可逆仿射变换sk_a＝(S_a,T_a)为签名私钥、委托者选择秘密可逆仿射变换sk_b＝(S_b,T_b)为签名私钥，具体形式如下：S_a：S_a(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),T_a：T_a(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n),S_b：S_b(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),T_b：T_b(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n)；其中，sk_a表示受托者的私钥，S_a表示受托者选择的具有u个变量的可逆仿射变换的部分私钥，T_a表示受托者选择的具有n个变量的可逆仿射变换的部分私钥；sk_b表示委托者的私钥，S_b表示委托者选择的具有u个变量的可逆仿射变换的部分私钥，T_b表示委托者选择的具有n个变量的可逆仿射变换的部分私钥；y_i(i＝1,2,…,n)是可逆仿射变换S_a和S_b的初始变量，x_i′(i＝1,2,…,n)是可逆仿射变换T_a和T_b的初始变量，y_i′(i＝1,2,…,u)是可逆仿射变换S_a和S_b进行计算后生成的值，x_i(i＝1,2,…,u)是可逆仿射变换T_a和T_b进行计算后生成的值；受托者通过计算得到受托者的另一部分公钥B_a，委托者通过计算得到委托者的另一部分公钥B_b；则受托者的公钥为pk_a＝(A_a,B_a)，委托者的公钥为pk_b＝(A_b,B_b)；其中，B_a表示与A_a同构的受托者的部分公钥；B_b表示与A_b同构的委托者的部分公钥；pk_a表示受托者的公钥，pk_b表示委托者的公钥；步骤三、重签名密钥生成；重签名密钥为rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，重签名密钥生成过程如下：代理者随机选择四个秘密可逆仿射变换C、D、E、F发送给受托者，受托者计算一组值：；其中，C表示形如M_a的可逆仿射变换，E表示形如S_a的可逆仿射变换，D表示形如N_a的可逆仿射变换，F表示形如T_a的可逆仿射变换；受托者将计算结果(Z₁,Z₂,Z₃,Z₄)发送给委托者；委托者收到后计算一组值：；其中的“‑1”为求逆运算；委托者将计算结果(Z₁′,Z₂′,Z₃′,Z₄′)发送给代理者；代理者收到后计算一组值：；则得到重签名密钥为其中rk_a→b表示重签名密钥，rk₁、rk₂、rk₃、rk₄表示重签名的四个部分密钥；步骤四、签名；受托者输入待签名消息m，他的公钥对(A_a,B_a)、私钥对(S_a,T_a)；受托者随机选择q对可逆仿射变换((S₁′,T₁′),(S₂′,T₂′),…,(S_q′,T_q′))，计算S_i′(y₁,y₂,…,y_u)＝(y₁⁽ⁱ⁾,y₂⁽ⁱ⁾,…,y_u⁽ⁱ⁾),T_i′(x₁⁽ⁱ⁾,x₂⁽ⁱ⁾,…,x_n⁽ⁱ⁾)＝(x₁,x₂,…,x_n)，i＝1,2,…,q；其中，y_j(j＝1,2,…,u)是可逆仿射变换S_i′的初始变量，x_j⁽ⁱ⁾(j＝1,2,…,n)是可逆仿射变换T_i′的初始变量，y_j⁽ⁱ⁾(j＝1,2,…,u)是可逆仿射变换S_i′进行计算后生成的值，x_j(j＝1,2,…,n)是可逆仿射变换T_i′进行计算后生成的值；其次，受托者计算i＝1,2,…,q；受托者计算哈希值并计算(S_i,T_i)值如下：；其中H[i]表示的二进制值中第i位比特位的二进制值，这里二进制位顺序采取从低位到高位的顺序；表示受托者计算出的签名中的哈希值部分；||表示链接运算；最后受托者计算其中，V_a表示消息m对应的受托者的签名；输出生成的签名V_a；步骤五、重签名；代理者输入：签名V_a，重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，受托者的公钥(A_a,B_a)，消息m；验证签名正确性：代理者输入m，V_a，(A_a,B_a)，代理者首先对签名进行验证运算，计算：计算哈希值H′＝H(m||C₁′||C₂′||…||C_q′)后，代理者将H′与签名V_a中值进行对比；当时，签名通过验证，代理者进行下一步重签名生成；否则，输出⊥，结束运算；其中，⊥表示拒绝；重签名生成：代理者输入签名V_a和重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，代理者进行计算：代理者输出签名其中，V_b表示经过代理者转换后的对应消息m的委托者的签名；步骤六、验证；任意验证者输入待签名消息m，委托者的公钥(A_b,B_b)，转换后的签名V_b；验证者进行计算：计算哈希值H_b′＝H(m||C_1b′||C_2b′||…||C_qb′)后，将H_b′与签名V_b中值进行对比；当时，签名通过验证，即代理重签名验证成功；否则，输出⊥。