CN109687969B - 一种基于密钥共识的格基数字签名方法 - Google Patents

Abstract

提供了一种基于密钥共识的格基数字签名方法。运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params,sk,M)进行签名，得到签名σ＝(z,c,h)，并公开传输签名σ＝(z,c,h)给运行发明方法的接收方Bob。Bob得到公钥pk，消息M和对消息M的签名σ＝(z,c,h)作为输入，运行验证算法Verify(pk,M,(z,c,h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。

Description

一种基于密钥共识的格基数字签名方法

技术领域

本发明涉及数字签名技术，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。

背景技术

数字签名技术是用于解决如下问题：发送方Alice利用私钥sk对消息M进行签名，得到签名σ。接收方Bob利用公钥pk对签名σ进行认证，若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生。

发明内容

运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params,sk,M)进行签名，得到签名σ＝(z,c,h)，并公开传输签名σ＝(z,c,h)给运行发明方法的接收方Bob。Bob得到公钥pk，消息M和对消息M的签名σ＝(z,c,h)作为输入，运行验证算法Verify(pk,M,(z,c,h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。

一种基于密钥共识的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R,R_q表示代数环，其中q是整数；该签名算法包括三个具体的算法：Gen，Sign(·)，Verify(·)。

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk。Sign(·)是签名算法，算法输入包含***参数params，私钥sk和消息M∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中

c∈R,

其中t是正整数，g_h(n,m,h,aux_h)是关于n,m,h,aux_h的函数，aux_h是可为空的h的辅助参数集合。运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params,sk,M)进行签名，得到签名σ＝(z,c,h)，并公开传输签名σ＝(z,c,h)给运行发明方法的接收方Bob。Verify(·)是验证算法，算法输入包含***参数params，公钥pk，消息M和签名(z,c,h)，输出1或者0，分别表示验证通过或者不通过。Bob得到公钥pk，消息M和对消息M的签名σ＝(z,c,h)作为输入，运行验证算法Verify(pk,M,(z,c,h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。

具体实施方式

一种基于密钥共识的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R,R_q表示代数环，其中q是整数；

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，算法运行如下：

⑴得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k,d,n,m,l均为整数；aux是可为空的其它辅助***参数的集合；

⑵得到

⑶得到s₁∈R^l,s₂∈R^m，其中s₁取自某集合

s₂取自某可为空的集合

⑷得到

⑸得到

f_t是关于t,params,aux_t的函数，其中aux_t是可为空的t的辅助参数集合；

⑹输出公钥pk和私钥sk；其中，公钥pk包含params，t₁，生成A所需要的信息，aux_pk，其中aux_pk是可为空的公钥的辅助参数集合；私钥sk包含s₁,s₂,t₀,aux_sk，其中aux_sk是可为空的私钥的辅助参数集合；

Sign(·)是签名算法，算法输入包含***参数params，私钥sk和消息M∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中z∈Rlq_,c∈R,

其中b是正整数，g_h(n,m,h,aux_h)是关于n,m,h,aux_h的输出结果为整数的函数，aux_h是可为空的h的辅助参数集合；算法运行如下：

⑴得到

⑵得到

⑶得到

其中y₂可为0向量；

⑷得到

⑸得到

其中

是关于v,params的函数，

是可为空的k₁的辅助参数集合；

⑹得到

其中

是关于k₁,params,

的函数，

是可为空的k₁′的辅助参数集合；

⑺得到c＝H(k₁′,M,aux_c),其中H是一个哈希函数，或单向函数，或转换函数，aux_c是可为空的c的辅助参数集合；

⑻得到z＝f_z(pk,y₁,s₁,k₁,c,M,aux_z)，其中，f_z是关于pk,y₁,s₁,k₁,c,M,aux_z的函数，aux_z是可为空的z的辅助参数集合；

⑼得到

其中，

是关于v,c,s₂,params,

的函数，aux_k2是可为空的k₂,sig₂的辅助参数集合；

⑽判断条件

是否成立，其中，

是可为空的R₁的辅助参数集合；若不成立，则回到第⑵步，循环运行直至R₁成立；

⑾得到

其中，f_h是关于v,c,s₂,y₂,t₀,params,

的函数，

是可为空的h的辅助参数集合；

⑿判断条件

是否成立，其中，

是可为空的R₂的辅助参数集合；若不成立，则回到第⑵步，循环运行直至R₂成立；

⒀输出签名(z,c,h)；

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息M和签名(z,c,h)，输出1或者0，算法运行如下：

⑴得到

⑵得到

其中

是关于h,A,z,c,t₁,params,

的函数，

是可为空的k′₂的辅助参数集合；

⑶得到

其中，

是关于k′₂,params,

的函数，

是可为空的k″₂的辅助参数集合；

⑷得到c′＝H(k″₂,M,aux_c')，其中H是一个哈希函数，或单向函数，或转换函数，aux_c′是可为空的c′的辅助参数集合；

⑸判断条件

是否成立，其中，

是可为空的R₃的辅助参数集合；若成立，则输出1，否则，输出0；

本发明要求q-1不能整除的2的某次幂或D₂为空，或k₁′≠k₁。

如上所述的方法，其中，代数环R,R_q满足关系R_q＝R/qR，其中，环R为Z[X]/(Xⁿ+1)，或Z[X]/(Xⁿ+X^n-1+…+1)，或Z[X]/(Xⁿ-1)；环R_q为Z_q[X]/(Xⁿ+1)，或Z_q[X]/(Xⁿ+X^n-1+…+1)，或Z_q[X]/(Xⁿ-1)，其中，n是正整数。

如上所述方法，其中，_aux包含{η,β,ξ,ζ,B,ω,σ,g,q′,α,α′}的可为空的子集合，其中，η,β,ξ,ζ,B,ω,σ,g为正整数，q′＝lcm(q,k)是q和k的最小公倍数，α＝q′/q，α′＝q′/k。

如上所述的方法，其中，

服从

上概率分布。

如上所述的方法，其中，Sam是扩展输出函数，y～S:＝Sam(x)表示输入为x，按分布S(或集合S上的均匀分布)输出值y。

如上所述的方法，其中，ρ是随机种子，取法包括取{0，1}ⁿ中随机串。

如上所述的方法，其中，s₁可服从

上的均匀分布，或离散高斯分布，其中，S_η表示环R中系数属于[-η,η]的多项式全体；s₂可服从

上的均匀分布，或离散高斯分布，或s₂＝0。

如上所述的方法，其中，当s₁,s₂的每个系数均服从[-η,η]上的均匀分布时，可用扩展输出函数Sam输入种子生成。

如上所述的方法，其中，(t₁,t₀)＝f_t(t,params,aux_t)的计算方法包括：

⑴t₀＝tmod^±2^d，t₁＝(t-t₀)/2^d，其中，对于任意整数a和正整数b，amod±b表示落在

的唯一整数c，使得b|c-a，这里对于任意实数x，

表示小于或者等于x的最大整数；

⑵t₀＝tmod2^d，t₁＝(t-t₀)/2^d，其中，对于任意整数a和正整数b，amodb表示落在[0,b-1]的唯一整数c，使得b|c-a。

如上所述的方法，其中，生成A所需的信息可包含随机种子ρ。

如上所述的方法，其中，aux_sk可包含公钥pk。

如上所述的方法，其中，

可服从

上均匀分布，或标准差为σ的离散高斯分布；

可服从

上均匀分布，或标准差为σ的离散高斯分布；其中B，σ是辅助参数；

如上所述的方法，其中，当

服从均匀分布时，可用扩展输出函数Sam输入种子生成。

如上所述的方法，其中，

的计算方法包括：计算k₁←HighBits(v，params)。

如上所述的方法，其中，对于r∈Z_q，HighBits(r,params)算法运行如下：

(1)计算(r₁,r₀)←Con(r,params)；

(2)输出r₁。

若算法HighBits(·)输入

和公共参数params，则意味着对多项式向量v中的每个系数分别使用HighBits算法。

如上所述的方法，其中，编码算法Con(·)输入包含r∈Z_q和公共参数params，算法对r∈Z_q基于params进行编码，输出包含(r₁,r₀)，其中r1∈Z_k,r₀∈Z_t，k是***参数，t是整数；若算法Con(·)输入

和公共参数params，则意味着对多项式向量v中的每个系数分别使用Con算法。

如上所述的方法，其中，Con(r,params)算法运行如下：

(1)计算σ_A∈Z_q′；

(2)计算r₀；

(3)计算r₁；

(4)返回(r₁,r₀)。

如上所述的方法，其中，σ_A的计算方法包括：从集合[0,α-1]或集合

中选取确定的元素e，特别地，取e＝0；计算σ_A＝ασ₁+e∈Z_q′。

如上所述的方法，其中，σ_A＝αr+e∈Z_q′的计算方法包括：

⑴σ_A＝αr+emodq′，或

⑵σ_A＝αr+emod^±q′。

如上所述的方法，其中，

是关于σ_A,α,α′,k的函数。

如上所述的方法，其中r₀的计算方法包括：

(1)计算r₀＝σ_Amod^±α′，或

(2)计算r₀＝σ_Amodα′，或

(3)计算

或

(4)计算

或

(5)计算

或

(6)计算

其中，k,q是***参数，g,α′是辅助参数；对于任意实数a，「a」表示与a最接近的整数。

如上所述的方法，其中r₁的计算方法包括：

(1)计算

(2)计算r₁＝「σ_A/β」mod^±k

(3)若k,q互素且kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q，

其中，k,q是***参数。

如上所述的方法，其中，r₀∈Z_t中t的取值包含：t＝g或t＝g+1。21.如权利要求1所述的方法，其中，

的计算方法包括：

(1)

或

(2)k′₁＝「qk₁/k」，

其中，k,q是***参数。

如上所述的方法，其中，aux_c包含pk和/或params和/或公钥证书certificate。

如上所述的方法，其中，z＝f_z(pk,y₁,s₁,k₁,c,M,aux_z)的计算方法包括：

如上所述的方法，其中，

的计算方法包括：

其中，

是关于v,c,s₂,params,

的函数。

如上所述的方法，其中，

的计算方法包括：

如上所述的方法，其中，条件

包括：||z||_∞≤ξ且||sig₂||_∞≤ζ且k₁＝k₂，其中，对于任意a∈R，||a||_∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a₁,…,a_b)∈R^b，b是正整数，||a||_∞表示||a_i||_∞,1≤i≤b的最大值。

如上所述的方法，其中，

的计算方法包括：

(1)h＝sig₂，或

(2)h＝MakeHint(-ct₀,v-cs₂+ct₀,params)，或

(3)h＝MakeGHint(-ct₀,v-cs₂+ct₀,params)。

如上所述的方法，其中，h＝sig₂的计算方法如下：

(1)

(2)输出h＝sig₂。

如上所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeHint(z,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)v₁＝HighBits(r+z,params)；

(3)若r₁＝v₁，则返回0；否则，返回1。

若算法MakeHint(·)输入

和公共参数params，其中_a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeHint算法。

如上所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeGHint(z,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)v₁＝HighBits(r+z,params)；

(3)返回h＝(v₁-r₁)mod^±k或h＝(v₁-r₁)mod k。

若算法MakeGHint(·)输入

和公共参数params，其中_a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeGHint算法。

如上所述的方法，其中，

的计算方法包括：

(1)

或

(2)

或

(3)

其中，

是关于h,A,z,c,t₁,params,

的函数。

如上所述的方法，其中，

的计算方法包括：

其中，d是***参数。

如上所述的方法，其中，解码算法Rec(·)，算法输入包含r′∈Z_q,r₀∈Z_t和***参数params，其中，(r₁,r₀)←Con(r,params)，r∈Z_q，|r′-r|_q≤d′，d′为一个整数；对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，min{·}定义为取最小值；算法对r′∈Z_q,r₀∈Z_t基于params进行解码，输出包含r₁′，其中r₁′∈Z_k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r₁′＝r₁，双方纠错成功。

如上所述的方法，其中，Rec(r′,r₀,params)的计算方法包括：

⑴r′₁＝「ασ₂/β-v/g」modk，或

⑵r′₁＝「ασ₂/β-(v+1/2)/g」modk，或

⑶r′₁＝「ασ₂/β-(v+c)/g」modk，其中_c是一个实数。

如上所述的方法，其中，d′满足的关系式包含：

⑴(2d′+1)k＜q(1-1/g)，或

⑵(2d′+2)k＜q(1-1/g)，或

⑶(2d′+1)k＜q(1-2γ/g)，其中γ定义为max{|c|,|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或

⑷(d′+1)k＜q(1/2-γ/g)，或

⑸2kd′＜q。

⑹2k(d′+1)＜q。

如上所述的方法，其中，c为实数，满足0≤c≤1。

如上所述的方法，其中，对于h∈{0,1}，r∈Z_q，算法UseHint(h,r,params)的计算方法如下：

(1)(r₁,r₀)＝Con(r,params)；

(2)若h＝1且r₀＞0，返回(r₁+1)modk；若h＝1且r₀＜0，返回(r₁-1)modk；否则，若h＝0，返回r₁。

如上所述的方法，其中，对于h∈Z_k，r∈Z_q，算法UseGHint(h,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)返回(r₁+h)modk。

如上所述的方法，其中，

的计算方法包括：

(1)

(2)k″₂＝「qk′₂/k」。

如上所述的方法，其中，aux_c′包含pk和/或params和/或公钥证书certificate。

如上所述的方法，其中，

条件包括：

(1)c＝c′且||z||_∞≤ξ；

(2)c＝c′且||z||_∞≤ξ且#h≤ω，其中对于h∈{0,1}^a，a是正整数，#h表示多项式向量h中系数1的个数；

其中，ξ，ω是辅助参数。

在发明方法的实际应用中，推荐的Gen，Sign(·)，Verify(·)，Con(·)和HighBits(·)具体实施方式如下：

Gen：

⑴得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k,d,n,m,l均为整数；aux是可为空的其它辅助***参数的集合；

⑵

⑶

⑷

⑸t₀＝tmod^±2^d，t₁＝(t-t₀)/2^d；

⑹输出pk＝(ρ,t₁，params，aux_pk)，sk＝(s₁,s₂,t₀,aux_sk,ρ)；

Sign(params,sk,M)：

⑴

⑵t₀＝tmod^±2^d，t₁＝(t-t₀)/2^d；

⑶

⑷

⑸k₁←HighBits(v，params)；

⑹)k′₁＝「qk₁/k」；

⑺c＝H(ρ,t₁,k′₁,M)；

⑻z＝y₁+cs₁；

⑼(k₂,sig₂)←Con(v-cs₂,params)；

⑽若||z||_∞＜B-β且||sig₂||_∞＜q/2-kβ且k₁＝k₂不成立，则回到⑵，循环运行直至成立；

⑾h＝MakeHint(-ct₀,v-cs₂+ct₀,params)；

⑿若||ct₀||_∞＜q/2k且h中1的个数≤ω不成立，则回到⑵，循环运行直至成立；

⒀输出签名(z,c,h)；

Verify(pk,M,(z,c,h))：

⑴

⑵k′₂＝UseHint(h,Az-ct₁·2^d,params)；

⑶k″₂＝「qk′₂/k」；

⑷c′＝H(ρ,t₁,k″₂,M)；

⑸若c＝c′且||z||_∞＜B-β且且h中1的个数≤ω，则输出1；否则，输出0；

Con(r,params)：

⑴r₀＝krmod^±q；

⑵若kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q；

⑶返回(r₁,r₀)。

Highbits(r,params)：

⑴(r₁,r₀)←Con(r,params)；

⑵返回r₁。

Claims (44)

1.一种基于密钥共识的格基数字签名方法，其中，{…}表示一个信息或者数值的集合；R,R_q表示代数环，其中q是整数；

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，算法运行如下：

⑴得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k,d,n,m,l均为整数；aux是可为空的其它辅助***参数的集合；

⑵得到

⑶得到s₁∈R^l,s₂∈R^m，其中s₁取自某集合

s₂取自某可为空的集合

⑷得到

⑸得到

f_t是关于t,params,aux_t的函数，其中aux_t是可为空的t的辅助参数集合；

⑹输出公钥pk和私钥sk；其中，公钥pk包含params，t₁，生成A所需要的信息，aux_pk，其中aux_pk是可为空的公钥的辅助参数集合；私钥sk包含s₁,s₂,t₀,aux_sk，其中aux_sk是可为空的私钥的辅助参数集合；

Sign(·)是签名算法，算法输入包含***参数params，私钥sk和消息M∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中

c∈R,

其中b是正整数，g_h(n,m,h,aux_h)是关于n,m,h,aux_h的输出结果为整数的函数，aux_h是可为空的h的辅助参数集合；算法运行如下：

⑴得到

⑵得到

⑶得到

其中y₂可为0向量；

⑷得到

⑸得到

其中

是关于v,params的函数，

是可为空的k₁的辅助参数集合；

⑹得到

其中

是关于k₁,params,

的函数，

是可为空的k′₁的辅助参数集合；

⑺得到c＝H(k′₁,M,aux_c),其中H是一个哈希函数，或单向函数，或转换函数，aux_c是可为空的c的辅助参数集合；

⑻得到z＝f_z(pk,y₁,s₁,k₁,c,M,aux_z)，其中，f_z是关于pk,y₁,s₁,k₁,c,M,aux_z的函数，aux_z是可为空的z的辅助参数集合；

⑼得到

其中，

是关于v,c,s₂,params,

的函数，

是可为空的k₂,sig₂的辅助参数集合；

⑽判断条件

是否成立，其中，

是可为空的R₁的辅助参数集合；若不成立，则回到第⑵步，循环运行直至R₁成立；其中，条件

包括：||z||_∞≤ξ且||sig₂||_∞≤ζ且k₁＝k₂，其中，对于任意a∈R，||a||_∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a₁,…,a_b)∈R^b，b是正整数，||a||_∞表示||a_i||_∞,1≤i≤b的最大值；

⑾得到

其中，f_h是关于v,c,s₂,y₂,t₀,params,

的函数，

是可为空的h的辅助参数集合；

⑿判断条件

是否成立，其中，

是可为空的R₂的辅助参数集合；若不成立，则回到第⑵步，循环运行直至R₂成立；

⒀输出签名(z,c,h)；

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息M和签名(z,c,h)，输出1或者0，其中，1表示验签通过，0表示不通过；算法运行如下：

⑴得到

⑵得到

其中

是关于h,A,z,c,t₁,params,

的函数，

是可为空的k′₂的辅助参数集合；

⑶得到

其中，

是关于k′₂,params,

的函数，

是可为空的k″₂的辅助参数集合；

⑷得到c′＝H(k″₂,M,aux_c')，其中H是一个哈希函数，或单向函数，或转换函数，aux_c′是可为空的c′的辅助参数集合；

⑸判断条件

是否成立，其中，

是可为空的R₃的辅助参数集合；若成立，则输出1，否则，输出0；其中，

条件包括：

(1)c＝c′且||z||_∞≤ξ；

(2)c＝c′且||z||_∞≤ξ且#h≤ω，其中对于h∈{0,1}^a，a是正整数，#h表示多项式向量h中系数1的个数；其中，ξ，ω是辅助参数；

本发明要求q-1不能整除的2的某次幂或D₂为空，或k′₁≠k₁。

2.如权利要求1所述的方法，其中，代数环R,R_q满足关系R_q＝R/(qR)，其中，环R为Z[X]/(Xⁿ+1)，或Z[X]/(Xⁿ+X^n-1+…+1)，或Z[X]/(Xⁿ-1)；环R_q为Z_q[X]/(Xⁿ+1)，或Z_q[X]/(Xⁿ+X^n-1+…+1)，或Z_q[X]/(Xⁿ-1)，其中，n是正整数。

3.如权利要求1所述方法，其中，aux包含{η,β,ξ,ζ,B,ω,σ,g,q′,α,α′}的可为空的子集合，其中，η,β,ξ,ζ,B,ω,σ,g为正整数，q′＝lcm(q,k)是q和k的最小公倍数，α＝q′/q，α′＝q′/k。

4.如权利要求1所述的方法，其中，

服从

上概率分布。

5.如权利要求4所述的方法，其中，Sam是扩展输出函数，y～S:＝Sam(x)表示输入为x，按分布S(或集合S上的均匀分布)输出值y。

6.如权利要求4所述的方法，其中，ρ是随机种子。

7.如权利要求1所述的方法，其中，s₁可服从

上的均匀分布，或离散高斯分布，其中，S_η表示环R中系数属于[-η,η]的多项式全体；s₂可服从

上的均匀分布，或离散高斯分布，或s₂＝0。

8.如权利要求1所述的方法，其中，当s₁,s₂的每个系数均服从[-η,η]上的均匀分布时，可用扩展输出函数Sam输入种子生成。

9.如权利要求1所述的方法，其中，(t₁,t₀)＝f_t(t,params,aux_t)的计算方法包括：

⑴t₀＝tmod^±2^d，t₁＝(t-t₀)/2^d，其中，对于任意整数a和正整数b，amod^±b表示落在

的唯一整数c，使得b|c-a，这里对于任意实数x，

表示小于或者等于x的最大整数；

⑵t₀＝tmod2^d，t₁＝(t-t₀)/2^d，其中，对于任意整数a和正整数b，amodb表示落在[0,b-1]的唯一整数c，使得b|c-a。

10.如权利要求1所述的方法，其中，生成A所需的信息可包含随机种子ρ。

11.如权利要求1所述的方法，其中，aux_sk可包含公钥pk。

12.如权利要求1所述的方法，其中，

可服从

上均匀分布，或标准差为σ的离散高斯分布；

可服从

上均匀分布，或标准差为σ的离散高斯分布；其中B，σ是辅助参数。

13.如权利要求12所述的方法，其中，当

服从均匀分布时，可用扩展输出函数Sam输入种子生成。

14.如权利要求1所述的方法，其中，

的计算方法包括：计算k₁←HighBits(v，params)。

15.如权利要求14所述的方法，其中，对于r∈Z_q，HighBits(r,params)算法运行如下：

(1)计算(r₁,r₀)←Con(r,params)；

(2)输出r₁；

若算法HighBits(·)输入

和公共参数params，则意味着对多项式向量v中的每个系数分别使用HighBits算法。

16.如权利要求15所述的方法，其中，编码算法Con(·)输入包含r∈Z_q和公共参数params，算法对r∈Z_q基于params进行编码，输出包含(r₁,r₀)，其中r₁∈Z_k,r₀∈Z_t，k是***参数，t是整数；若算法Con(·)输入

和公共参数params，则意味着对多项式向量v中的每个系数分别使用Con算法。

17.如权利要求16所述的方法，其中，Con(r,params)算法运行如下：

(1)计算σ_A∈Z_q′；

(2)计算r₀；

(3)计算r₁；

(4)返回(r₁,r₀)。

18.如权利要求17所述的方法，其中，σ_A的计算方法包括：从集合[0,α-1]或集合

中选取确定的元素e，特别地，取e＝0；计算σ_A＝ασ₁+e∈Z_q′。

19.如权利要求18所述的方法，其中，σ_A＝αr+e∈Z_q′的计算方法包括：

⑴σ_A＝αr+emodq′，或

⑵σ_A＝αr+emod^±q′。

20.如权利要求17所述的方法，其中，

是关于σ_A,α,α′,k的函数。

21.如权利要求20所述的方法，其中r₀的计算方法包括：

(1)计算r₀＝σ_Amod^±α′，或

(2)计算r₀＝σ_Amodα′，或

(3)计算r₀＝「g(σ_Amod^±α′)/q」，或

(4)计算r₀＝「g(σ_Amodα′)/q」，或

(5)计算

或

(6)计算

其中，k,q是***参数，g,α′是辅助参数；对于任意实数a，「a」表示与a最接近的整数。

22.如权利要求20所述的方法，其中r₁的计算方法包括：

(1)计算

(2)计算r₁＝「σ_A/β」mod^±k

(3)若k,q互素且kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q，

其中，k,q是***参数。

23.如权利要求16所述的方法，其中，r₀∈Z_t中t的取值包含：t＝g或t＝g+1。

24.如权利要求1所述的方法，其中，

的计算方法包括：

(1)

或

(2)k′₁＝「qk₁/k」，

其中，k,q是***参数。

25.如权利要求1所述的方法，其中，aux_c包含pk和/或params和/或公钥证书certificate。

26.如权利要求1所述的方法，其中，z＝f_z(pk,y₁,s₁,k₁,c,M,aux_z)的计算方法包括：

27.如权利要求1所述的方法，其中，

的计算方法包括：

其中，

是关于v,c,s₂,params,

的函数。

28.如权利要求27所述的方法，其中，

的计算方法包括：

29.如权利要求1所述的方法，其中，条件

包括：||z||_∞≤ξ且||sig₂||_∞≤ζ且k₁＝k₂，其中，对于任意a∈R，||a||_∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a₁,…,a_b)∈R^b，b是正整数，||a||_∞表示||a_i||_∞,1≤i≤b的最大值。

30.如权利要求1所述的方法，其中，

的计算方法包括：

(1)h＝sig₂，或

(2)h＝MakeHint(-ct₀,v-cs₂+ct₀,params)，或

(3)h＝MakeGHint(-ct₀,v-cs₂+ct₀,params)。

31.如权利要求30所述的方法，其中，h＝sig₂的计算方法如下：

(1)

(2)输出h＝sig₂。

32.如权利要求15所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeHint(z,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)v₁＝HighBits(r+z,params)；

(3)若r₁＝v₁，则返回0；否则，返回1；

若算法MakeHint(·)输入

和公共参数params，其中a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeHint算法。

33.如权利要求15所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeGHint(z,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)v₁＝HighBits(r+z,params)；

(3)返回h＝(v₁-r₁)mod^±k或h＝(v₁-r₁)mod k；

若算法MakeGHint(·)输入

和公共参数params，其中a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeGHint算法。

34.如权利要求1所述的方法，其中，

的计算方法包括：

(1)

或

(2)

或

(3)

其中，

是关于h,A,z,c,t₁,params,

的函数。

35.如权利要求34所述的方法，其中，

的计算方法包括：

其中，d是***参数。

36.如权利要求34所述的方法，其中，解码算法Rec(·)，算法输入包含r′∈Z_q,r₀∈Z_t和***参数params，其中，(r₁,r₀)←Con(r,params)，r∈Z_q，|r′-r|_q≤d′，d′为一个整数；对于任意整数a，|a|_q定义为min{amodq,q-amodq}，min{·}定义为取最小值；算法对r′∈Z_q,r₀∈Z_t基于params进行解码，输出包含r₁′，其中r₁′∈Z_k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r₁′＝r₁，双方纠错成功。

37.如权利要求36所述的方法，其中，Rec(r′,r₀,params)的计算方法包括：

⑴r₁′＝「ασ₂/β-v/g」modk，或

⑵r₁′＝「ασ₂/β-(v+1/2)/g」modk，或

⑶r₁′＝「ασ₂/β-(v+c)/g」modk，其中c是一个实数。

38.如权利要求36所述的方法，其中，d′满足的关系式包含：

⑴(2d′+1)k＜q(1-1/g)，或

⑵(2d′+2)k＜q(1-1/g)，或

⑶(2d′+1)k＜q(1-2γ/g)，其中γ定义为max{|c|,|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或

⑷(d′+1)k＜q(1/2-γ/g)，或

⑸2kd′＜q；

⑹2k(d′+1)＜q。

39.如权利要求37所述的方法，其中，c为实数，满足0≤c≤1。

40.如权利要求34所述的方法，其中，对于h∈{0,1}，r∈Z_q，算法UseHint(h,r,params)的计算方法如下：

(1)(r₁,r₀)＝Con(r,params)；

(2)若h＝1且r₀＞0，返回(r₁+1)modk；若h＝1且r₀＜0，返回(r₁-1)modk；否则，若h＝0，返回r₁。

41.如权利要求34所述的方法，其中，对于h∈Z_k，r∈Z_q，算法UseGHint(h,r,params)的计算方法如下：

(1)r₁＝HighBits(r,params)；

(2)返回(r₁+h)modk。

42.如权利要求1所述的方法，其中，

的计算方法包括：

(1)

(2)k″₂＝「qk′₂/k」。

43.如权利要求1所述的方法，其中，aux_c′包含pk和/或params和/或公钥证书certificate。

44.如权利要求1所述的方法，其中，

条件包括：

(1)c＝c′且||z||_∞≤ξ；

(2)c＝c′且||z||_∞≤ξ且#h≤ω，其中对于h∈{0,1}^a，a是正整数，#h表示多项式向量h中系数1的个数；

其中，ξ，ω是辅助参数。