使用生物特征或其他模糊数据的后量子签名方案制造技术

描述了一些密码方法和系统。一种示例密码系统可以包括使用与签名者相关联的模糊数据对消息进行数字签名的签名引擎。该签名引擎被配置为使用格实例化和线性草图生成数字签名。该线性草图基于格实例化配置。该数字签名是该模糊数据和该消息的函数，并使用位于签名密钥空间中的签名时间签名密钥。该签名密钥空间是由该格实例化定义的空间。还描述了一种验证引擎的示例。该验证引擎被配置为接收该消息和该数字签名，并验证该消息是由该签名者签名。该验证引擎被配置为获取该签名者的密钥数据，至少包括初始化时间验证密钥，以基于该密钥数据和该接收到的数字签名计算距离度量，该距离度量指示该签名时间验证密钥的差异的量度，并且响应于该距离度量大于预定义的同态阈值，指示验证失败。该方法和系统可以用作鉴定机制。该方法和系统可以用作鉴定机制。该方法和系统可以用作鉴定机制。

【技术实现步骤摘要】
【国外来华专利技术】使用生物特征或其他模糊数据的后量子签名方案


[0001]本专利技术涉及密码方法和系统。特别地，本专利技术涉及基于模糊数据输入的数字签名配置。所述方法和系统可用于鉴定用户并实现两个计算设备之间的安全通信。

技术介绍

[0002]公钥加密法在实现数字设备之间的安全通信方面具有重要作用。例如，公钥加密法是现代电子商务、安全消息传递、网上银行和远程计算系统访问的基础。在许多密码方案中，向用户提供私钥和公钥。私钥保密，可用于对数字消息签名。公钥可以广泛传播，然后用于验证消息是否使用了该私钥签名。以这种方式，这对密钥能够通过将消息验证为源自用户来鉴定用户。
[0003]公钥密码系统的一个问题是，用户需要安全地存储他们的私钥。在许多情况下，私钥存储在电子设备的存储介质中，例如智能卡或通用串行总线(Universal Serial Bus,USB)设备。为了对消息进行数字签名，用户将该电子设备连接到计算设备，例如将智能卡插入读卡器或插入USB设备。然后，计算设备才能够访问私钥。或者，私钥可以存储在特定计算设备(例如智能手机)的安全存储器中。然而，即使在这种情况下，用户仍然需要该特定的计算设备来执行密码操作。这些系统为加密方法的推广带来了障碍，尤其是对于老年人等用户群体。
[0004]需要访问私钥的问题的一种建议解决方案是使用生物特征识别数据。例如，可以对用户的面部、指纹或虹膜进行测量，这些测量可以用于加密方法。这样的系统可以允许用户用其手指在销售点终端支付或用他们的面部授权在线交易。然而，这些方法受到这些测量的固有可变性的限制：每次进行测量时，数据都是嘈杂的并且会波动。在某些密码系统中，这种数据被称为“模糊”数据。
[0005]模糊数据为使用生物特征识别数据作为签名密钥带来了障碍。例如，假设用户准备了验证密钥vk
FS
，其中相应的签名密钥是其指纹x。当用户想要对消息进行签名时，她将使用其指纹作为签名密钥。但是，由于测量错误，她将只能复制与密钥注册期间使用的原始x“接近”的指纹x'。因此，即使使用x'作为签名密钥生成签名，也不会针对使用x生成的vk
FS
予以验证。为了解决这个问题，某些加密方法假定签名者可以使用额外的帮助，例如在签名期间访问在线服务器或访问离线令牌或电子设备。然而，这些方法又存在生物特征识别数据本要解决的问题。
[0006]Takahashi等人在其发表于Cryptology ePrint Archive,Report 2017/1188,2017的论文“具有模糊私钥的签名方案”(“Signature Schemes with a Fuzzy Private Key”)中，描述了一种模糊签名方案，该方案对诸如生物特征识别数据的嘈杂字符串进行操作。他们描述了两种不需要特定于用户的辅助数据来生成数字签名的方法，例如模糊提取器上下文中的辅助字符串。他们引入了一种称为“线性草图”(“linear sketch”)的工具，他们将其描述为有点类似于一次性垫加密方案的操作。然后他们展示了他们的模糊签名方案的两个具体实例。
[0007]虽然高桥描述的方法推进了密码方法领域，但它的缺点是容易受到量子计算机的攻击。多年来，对量子计算机主要是理论上的兴趣。然而，最近的工作表明，许多众所周知的公钥密码系统可以被足够强大的量子计算机破解。量子计算机的研究实现也在迅速发展。目前已有50和72量子位的量子计算机可用，并且有许多研究小组正在积极研究更高量子位的机器。
[0008]因此希望提供避免公钥加密法的常见问题的加密法解决方案，且其同时抵抗在后量子环境中的攻击。

技术实现思路

[0009]在所附的独立权利要求中阐述了本专利技术的各方面。然后在所附从属权利要求中阐述了本专利技术的某些变化。
附图说明
[0010]现在将参考附图通过仅示例的方式描述本专利技术的示例，其中：
[0011]图1A是示出根据示例的用于对消息进行数字签名的密码系统的示意图；
[0012]图1B是示出根据示例的用于验证消息的密码系统的示意图；
[0013]图2是示出根据示例的用于对消息进行数字签名和验证的密码系统的示意图；
[0014]图3是示出根据另一示例的用于对消息进行数字签名的密码系统的示意图；
[0015]图4A是示出根据示例的用于密码系统的签名设备的示意图；
[0016]图4B是示出根据示例的用于密码系统的验证设备的示意图；
[0017]图4C和图4D是示出示例密码设备的组件的示意图；
[0018]图5A至图5C是示出使用模糊数据的示例密码方法的一组流程图；
[0019]图6A至图6C是分别示出密钥生成过程、数字签名过程和验证过程的示例的流程图；和
[0020]图7A至图7D是示出根据示例的密码方法的密码函数的示意伪代码公式。
具体实施方式
[0021]在此描述的某些示例提供了安全抵御量子计算机攻击的密码方法和系统，即提供了所谓的后量子解决方案。某些示例通过使用格(lattice)实例化(例如基于格的加密法的实例)生成数字签名来提供这种安全性。这些示例进一步克服了在使用模糊数据源实施基于格的加密法时出现的问题。为此，提出了一种模糊签名方案，该方案使用与格实例化兼容的线性草图。该模糊签名方案可用于实现对数字消息进行签名和验证的电子设备。模糊签名方案还可用于实现确保数据完整性和/或用户真实性的设备。然后，这些电子设备可用于基于与用户相关联的模糊数据(例如生物特征识别测量)来鉴定用户。因此，某些示例系统和方法能够实现在不使用辅助设备或令牌的情况下在后量子环境中也是安全的生物特征识别鉴定。此处描述的某些示例可用于代替现有数字签名方案，以提供改进的安全性和/或生物特征识别集成。
[0022]图1A示出了根据示例的密码系统100。密码系统100可以形成电子设备、通信终端或生物特征识别读取器的一部分。密码系统100被配置为对模糊数据105进行操作。模糊数
据105包括跨数据分布变化的数据。例如，模糊数据105可以包括数据值的阵列，并且每个数据值可以是按定义的数据格式存储的实数。模糊数据105可以从传感器测量和/或捕获的图像导出。模糊数据105与消息115一起被签名引擎110接收。消息115可以包括从预定义的字母表中选择的符号序列形式的数字消息。在某些实例中，该字母表可以包括符号“0”和“1”，消息115可以包括比特流。比特流可以表示字符串数据、数据文件或其他数字数据。消息115可以包括被签名以确保数据的完整性的数字数据，例如数字数据未被恶意方修改。签名引擎110使用模糊数据105，代表签名者对消息115进行数字签名。签名者可以包括作为模糊数据105的来源的用户。签名引擎110被配置为使用模糊数据105和消息115生成数字签名120。
[0023]在图1A的示例中，签名引擎110被配置为使用格实例化和线性草图函数生成数字签名120，其中线性草图函数是基于格实例化配置的，即线性草图是格兼容的。格实例化使用本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种密码系统，包括：使用与签名者相关联的模糊数据对消息进行数字签名的签名引擎，所述签名引擎被配置为使用格实例化和线性草图生成数字签名，所述线性草图基于所述格实例化配置，所述数字签名是所述模糊数据和所述消息的函数，所述数字签名使用位于签名密钥空间中的签名时间签名密钥，所述签名密钥空间是由所述格实例化定义的空间，所述数字签名包括签名时间验证密钥；和接收所述消息和所述数字签名并验证所述消息系由所述签名者签名的验证引擎，所述验证引擎被配置为获取所述签名者的密钥数据，所述密钥数据至少包括初始化时间验证密钥，以基于所述密钥数据和所述接收到的数字签名计算距离度量，所述距离度量指示所述签名时间验证密钥的差异的量度，并且响应于所述距离度量大于预定义的同态阈值，指示验证失败。2.一种密码系统，包括：签名设备，包括：接收与签名者相关联的模糊数据的模糊数据接口；接收待所述签名者进行数字签名的消息的消息接口；生成签名时间签名密钥和签名时间验证密钥的密钥生成器，其中所述签名时间签名密钥被生成于签名密钥空间中；生成线性草图的格兼容线性草图生成器，所述线性草图包括所述模糊数据和所述签名时间签名密钥的函数，其中所述模糊数据用作所述线性草图中的编码密钥，以对所述签名时间签名密钥进行编码；接收所述消息和所述签名时间签名密钥、并使用所述签名时间签名密钥为所述消息生成格数字签名西格玛的格签名生成器，其中所述格数字签名西格玛使用格实例化生成，并且所述签名密钥空间是由所述格实例化定义的空间；和输出数字签名的输出接口，所述数字签名包括所述格数字签名西格玛、所述线性草图和所述签名时间验证密钥，其中所述数字签名可使用相比所述签名时间验证密钥有变化的初始化时间验证密钥验证，其中所述签名时间验证密钥的变化可与预定义的同态阈值相比较。3.一种密码系统，包括：验证设备，包括：接收消息以验证其系由签名者数字签名的消息接口；接收数字签名的数字签名接口，所述数字签名包括格数字签名西格玛、所述签名者的签名时间验证密钥和线性草图，所述格数字签名西格玛使用所述签名时间签名密钥生成，所述线性草图基于与所述签名者相关联的模糊数据生成，所述格数字签名西格玛基于格实例化生成，并且所述线性草图使用与所述格实例化兼容的线性草图函数生成；接收密钥数据的密钥数据接口，所述密钥数据至少包括所述签名者的初始化时间验证密钥，其中所述初始化时间验证密钥和签名时间验证密钥均使用位于所述格实例化定义的签名密钥空间中的签名密钥生成；与所述消息接口、所述数字签名接口和所述密钥数据接口通信耦合以分别接收所述消息、所述数字签名和所述密钥数据的验证引擎，所述验证引擎被配置为：
从所述线性草图和所述密钥数据生成重建的验证密钥；计算距离度量，所述距离度量指示所述签名时间验证密钥和所述重建的验证密钥之间的差异的量度；和至少基于所述计算的距离度量验证所述数字签名，和从所述验证引擎输出结果的输出接口。4.根据权利要求1或3所述的密码系统，其中所述验证引擎被配置为：使用所述签名时间验证密钥和所述消息执行所述格数字签名西格玛的验证，所述验证根据所述格实例化进行，其中所述数字签名至少基于所述计算的距离度量和所述验证的输出来验证。5.根据权利要求1至4中任一项所述的密码系统，包括：为所述签名者生成所述密钥数据的密钥生成器，所述密钥生成器被配置为：生成初始化时间签名密钥，所述初始化时间签名密钥位于所述签名密钥空间中；和生成所述初始化时间验证密钥作为所述初始化时间签名密钥和噪声项的函数，所述噪声项从定义的噪声分布中采样。6.根据权利要求1至5中任一项所述的密码系统，其中所述模糊数据包括生物特征识别数据。7.根据权利要求1至6中任一项所述的密码系统，其中所述格实例化包括有错误学习LWE实例化。8.根据权利要求7所述的密码系统，其中所述格实例化包括有错误环学习Ring
‑
LWE实例化，其中所述签名密钥空间包括所述Ring
‑
LWE实例化的所述环。9.根据权利要求1至8中任一项所述的密码系统，其中来自各组所述初始化时间验证密钥和所述签名时间验证密钥的每个验证密钥是签名密钥、配置参数和噪声项的函数，所述噪声项从定义的噪声分布中采样，所述配置参数基于所述签名密钥空间选择。10.根据权利要求1至9中任一项所述的密码系统，其中所述密码系统使用以下参数中的一个或更多个配置：所述格实例化的格维度；所述预定义的同态阈值；用于定义所述签名密钥空间的模数大小；和为所述线性草图计算的若干个值。11.根据权利要求1至10中任一项所述的密码系统，其中所述线性草图使用散列函数计算，所述散列函数输出在所述签名密钥空间中的值。12.根据权利要求1至11中任一项所述的密码系统，其中所述模糊数据包括固定长度的二进制数据序列。13.根据权利要求1至12中任一项所述的密码系统，其中所述初始化时间验证密钥和所述签名时间验证密钥是公钥，并且所述签名时间签名密钥是私钥。14.根据权利要求1所述的密码系统，包括：包括所述签名引擎的第一终端；包括所述验证引擎的第二终端；和通信地耦合所述第一终端和所述第二终端的通信信道。
15.根据权利要求1或2所述的密码系统，其中所述签名引擎被配置为从所述签名密钥空间中采样所述签名时间签名密钥，并生成所述签名时间验证密钥作为所述签名时间签名密钥和噪声项的函数，所述噪声项从定义的噪声分布中采样，其中所述格数字签名西格玛使用从所述定义的噪声分布中采样的进一步的噪声项生成。16.根据权利要求4所述的密码系统，其中所述验证引擎被配置为：通过比较所述格数字签名西格玛的噪声项与方差阈值执行所述格数字签名西格玛的验证，以及响应于所述方差阈值被超过，指示验证失败。17.一种密码方法，包括：在第一设备处对消息进行数字签名，包括：获取与签名者相关联的模糊数据；生成签名时间签名密钥，所述签名时间签名密钥位于定义的签名密钥空间中；生成作为所述签名时间签名密钥的函数的签名时间验证密钥；生成格兼容线性草图，所述线性草图包括所述模糊数据和所述签名时间签名密钥的函数；和为所述消息生成数字签名，所述数字签名包括所述线性草图、所述签名时间验证密钥和格数字签名西格玛，所述格数字签名西格玛是所述签名时间签名密钥和所述消息的基于格的函数，所述线性草图与所述基于格的函数兼容；将所述数字签名从所述第一设备传送到第二设备；在所述第二设备处验证所述消息被所述签名者签名，包括：获取所述签名者的密钥数据，所述密钥数据至少包括初始化时间验证密钥；基于所述密钥数据和所述接收到...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：牛津大学创新有限公司，
类型：发明
国别省市：