一种基于格密码的门限环签名方法技术

本发明专利技术提供了一种基于格密码的门限环签名方法，包括密钥生成算法、签名算法及验证算法。密钥生成算法包括生成用户的私钥和公钥；签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名；验证算法验证签名是否由t个签名者合法生成。其中签名的过程通过带中止Fiat

【技术实现步骤摘要】
一种基于格密码的门限环签名方法


[0001]本专利技术涉及密码学隐私保护领域，尤其涉及一种基于格密码的门限环签名方法。

技术介绍

[0002]环签名的概念最早由Rivest、Shamir和Tauman提出，并基于RSA进行了实例化。环签名允许用户动态选择一组公钥(包括自己)，并代表该组进行匿名签名，而不会透露真正的签名者。它被广泛地应用于Monero等加密货币中，提供完全匿名性，与比特币等加密货币仅具有伪匿名性相比，有着显著优势。
[0003]Bresson、Stern和Szydlo将环签名推广到门限环签名，N个签名者中的t个以匿名方式共同产生一个签名，而不会透露这组签名者是谁，此后亦有多个门限环签名方案被提出，如基于数论假设或编码理论的方案，它们有着复杂度较高、可靠性误差大的问题。
[0004]量子计算机的出现对经典密码体系造成了体系冲击，近年来量子计算机实用化的进程不断推进，使得在现实中攻破经典密码体系趋于可能。如何应对量子计算机的威胁，是最近十多年来密码学界研究的热点问题。基于格的密码体系由于具备代数操作简单、渐进效率高、可归约到最坏情况困难问题以及支持全同态加密等高级密码学原语构造的优点，受研究者广泛关注。因此，研究基于格的后量子门限环签名具有重要意义，尽管如此，很少有基于格的门限签名被提出。
[0005]为此，有必要研发一种门限环签名方法，以满足抗量子计算安全性，同时解决现有门限环签名方法可靠性误差大、签名长度大的问题。

技术实现思路

[0006]为了克服现有技术的不足提供了一种基于格密码的门限环签名方法，本专利技术的具体技术方案如下：
[0007]一种基于格密码的门限环签名方法，其包括密钥生成算法、签名算法以及验证算法。密钥生成算法包括根据BLISS签名的密钥生成算法生成多项式向量x
i
＝(x
i，1
，x
i，2
)∈R2×1以及多项式向量满足a
i
x
i
＝q mod 2q，分别作为用户i的私钥和公钥。
[0008]签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名，签名的过程包括三轮：
[0009]第一轮，对于所有用户领导者从离散高斯分布选择向量u
i
＝(u
i，1
，u
i，2
)以及从离散高斯分布中选择辅助随机向量r
i
，计算承诺值，计算承诺值其中承诺密钥ck＝H(μ，param)由哈希函数H计算得到；
[0010]第二轮，对于所有用户签名者从离散高斯分布中选择向量u
i
＝(u
i，1
，u
i，2
)以及从离散高斯分布中选择辅助随机向量r
i
，计算承诺值
签名者秘密地发送给领导者领导者计算承诺值的和后，再计算挑战值并分发给中的每个签名者；
[0011]第三轮，对于所有用户签名者根据私钥x
i
以及挑战值c，计算签名z
i
＝(
‑
1)
b
cx
i
+u
i
，使用拒绝采样操作，输入参数(cx
i
，z
i
)，以概率)，以概率决定是否发送签名值z
i
以及随机向量r
i
给领导者若否，则重新开始回到签名的第2轮；对于所有领导者计算非签名者的伪签名z
i
＝u
i
。最后，输出门限环签名
[0012]其中，R以及R
2q
均为多项式环，q为模数，系统参数param包含均为多项式环，q为模数，系统参数param包含表示N个用户的集合，分别以1，2，
…
，N表示，表示t个签名者的集合，Com
ck
(
·
，
·
)是满足加法同态性质的陷门承诺算法，哈希函数H的输入为待签名消息μ和系统参数param，比特b从(0，1}中随机选取，exp(x)表示自然对数e的x次幂，||
·
||表示欧几里得范数，cosh(
·
)表示双曲余弦函数，<
·
，
·
>表示向量内积，包含t个有效的BLISS签名和N
‑
t个用空私钥签名的伪签名，为承诺值的和，r为辅助随机向量之和，M表示单个用户成功时所期望的重启次数，s2表示方差。
[0013]所述基于格密码的门限环签名方法还包括验证算法，所述验证算法包括：
[0014]验证者检查对于所有签名值z
i
是否满足||z
i
||≤B；
[0015]验证者计算挑战值后，再检查后，再检查若相等，则签名验证成功。
[0016]其中，B表示预设常数，用于限定合法签名其中，B表示预设常数，用于限定合法签名的最大欧几里得范数，设定为式中参数γ＞1使得是可忽略的(在实际中，γ∈[1.1，1.4])，从而||z
i
||＞B的概率是可忽略的，s表示标准差，n表示多项式环中分圆多项式f(X)的次数。
[0017]本专利技术还提供一种计算机可读存储介质，其存储有计算机程序，当所述计算机程序被处理器执行时实现所述的基于格密码的门限环签名方法。
[0018]本专利技术所取得的有益效果包括：
[0019]1.本专利技术采用BLISS签名的认证协议构造，避免了现有门限环签名方法可靠性误差大的问题，进而实现了更短的签名长度。
[0020]2.采用加法同态陷门承诺，解决了格上Fiat
‑
Shamir转换的中止问题导致的安全性证明问题，并带来了一个额外的收益，t个签名可以聚合起来，从而使签名长度与t无关，签名更短并且验证效率更高。
[0021]3.本专利技术满足可扩展性性质，即允许环成员随时将自己添加到已经创建的门限环签名的签名集合中，从而动态地扩展门限值t。
[0022]4.本专利技术还实现了强匿名性，只需要求领导者是弱可信的，即不泄露(最后签名
的一部分)中的所有个体承诺。
[0023]5.本专利技术满足不可确认性和不可否认性，从而对强匿名性起到了一个辅助作用。
附图说明
[0024]从以下结合附图的描述可以进一步理解本专利技术。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在不同的视图中，相同的附图标记指定对应的部分。
[0025]图1为本专利技术的一种基于格密码的门限环签名方法的密钥生成算法流程图；
[0026]图2为本专利技术的一种基于格密码的门限环签名方法的签名算法流程图；
[0027]图3为本专利技术的一种基于格密码的门限环签名方法的验证算法流程图。
具体实施方式
[0028]为了使得本专利技术的目的、技术方案及优点更加清楚明白，以下结合其实施例，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于格密码的门限环签名方法，其特征在于，所述基于格密码的门限环签名方法包括密钥生成算法、签名算法以及验证算法；密钥生成算法包括生成多项式向量x
i
＝(x
i,1
,x
i,2
)∈R2×1以及多项式向量满足a
i
x
i
＝q mod 2q，分别作为用户i的私钥和公钥；签名算法包括选择领导者进行聚合、分发挑战并输出最终的签名，签名的过程包括三轮：第一轮，对于所有用户领导者从离散高斯分布选择向量u
i
＝(u
i,1
,u
i,2
)以及从离散高斯分布中选择辅助随机向量r
i
，计算承诺值，计算承诺值其中承诺密钥ck＝H(μ,param)由哈希函数H计算得到；第二轮，对于所有用户签名者从离散高斯分布中选择向量u
i
＝(u
i,1
,u
i,2
)以及从离散高斯分布中选择辅助随机向量r
i
，计算承诺值，计算承诺值签名者秘密地发送给领导者领导者计算承诺值的和后，再计算挑战值并分发给中的每个签名者；第三轮，对于所有用户签名者根据私钥x
i
以及挑战值c，计算签名z
i
＝(
‑
1)
b
cx
i
+u
i
，使用拒绝采样操作，输入参数(cx
i
,z
i
)，以概率)，以概率决定是否发送签名值z
i
以及随机向量r
i
给领导者若否，则重新开始回到签名的第2轮；对于所有领导者计算非签名者的伪签名z
i
＝u
i
，最后，输出门限环签名其中，R以及R
2q

【专利技术属性】
技术研发人员：伍春晖，刘芳，齐菲菲，
申请(专利权)人：广东金融学院，
类型：发明
国别省市：