CN109936458B - 一种基于多重证据纠错的格基数字签名方法 - Google Patents

Abstract

在本发明中，我们引入了一种称为证据不可区分密钥共识的新颖机制，基于此构造了一个高效、模块化、灵活且强安全的签名方案。在传统的格基签名方案的设计中，其公钥是一个MLWE的实例t＝(t1,t0)＝As+e。为了降低公钥尺寸，可以仅将t1作为签名公钥，而将t0作为私钥的一部分，其中t0对应t的低位，t1对应t的高位。在本发明中，在签名时我们同时使用真实的t₀和若干个从t₀转换而来的用于混淆的t′₀。这种机制可以大幅提升签名效率，同时增强私钥的安全。

Description

一种基于多重证据纠错的格基数字签名方法

技术领域

本发明涉及后量子格基数字签名技术，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。

背景技术

数字签名技术是用于解决如下问题：发送方Alice利用私钥sk对消息M进行签名，得到签名σ。接收方Bob利用公钥pk对签名σ进行认证，若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生。

随着量子计算机的快速发展，发展后量子数字签名方法和技术变得日益迫切。在后量子密码技术路线中，格基密码由于其坚实的计算复杂性基础和性能综合优势成为后量子密码的主流技术路线之一。

在本发明中，我们引入了一种称为证据不可区分密钥共识的新颖机制，构造了一个命名为“木兰”的基于格的高效、模块化、灵活且强安全的签名方案。在传统的格基签名方案的设计中，其公钥是一个MLWE的实例t＝(t1，t0)＝As+e。为了降低公钥尺寸，可以仅将t1作为签名公钥，而将t0作为私钥的一部分，其中t0对应t的低位，t1对应t的高位。我们通过分析和实验验证发现，至多需要100万个签名即可以很高的概率完全恢复出t0。

在本发明中，我们引入一种新颖的证据不可区分的方法来保护t₀。简而言之，在签名时我们同时使用真实的t₀和一个从t₀转换而来的用于混淆的t′₀。注意，对于签名验证者而言，其无法区分(因此验签独立于)签名过程具体用的是t₀还是t′₀。这种基于证据不可区分的方法，相当于从所看到的签名中恢复t₀时引入噪音，这反过来相当于在解决底层的MLWE问题时引入额外噪音，从而在参数不变的情况下实现安全增强。据我们所知，没有已知的方法从签名中恢复出t₀。换句话说，从公钥去恢复私钥，Dilithium仅提供了MLWE这一道防线，隐藏t0仅为了减少公钥尺寸；而木兰提供了两道防线“复合装甲”进行私钥保护。更为关键的是，这种“复合装甲”机制还可以大幅提升签名的效率。在相同的安全参数下，木兰的安全性相对于传统签名方法更强并且签名效率提升约1倍。

我们做了大量的参数测试工程化工作以优化和平衡性能。比如，我们通过大量测试发现在对t₀的不同比特改变对签名循环次数的改变呈现正态效应。在我们所选取的参数下，相对于传统的格基签名方法我们的签名更短、签名效率提升约1.5倍、签名验证效率由于使用更小的模数q也更优、抗伪造签名安全性更高。

发明内容

运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params,sk,M)进行签名，得到签名σ＝(z,c,h)，并公开传输签名σ＝(z,c,h)给运行发明方法的接收方Bob。Bob得到公钥pk，消息M和对消息M的签名σ＝(z，c，h)作为输入，运行验证算法Verify(pk,M,(z,c,h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。发明方法是解决如何设计数字签名，在保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生方面具有重要应用。

一种基于密钥共识的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R,R_q表示代数环，其中q是整数；该签名算法包括三个具体的算法：Gen，Sign(·)，Verify(·)。

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk。sign(·)是签名算法，算法输入包含***参数params，私钥sk和消息M∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中z∈Rl_q,

其中t是正整数，g_h(n,m,h,aux_h)是关于n,m,h,aux_h的函数，aux_h是可为空的h的辅助参数集合。运行发明方法的发送方Alice得到私钥sk和公共参数params，对消息M运行签名算法Sign(params,sk,M)进行签名，得到签名σ＝(z,c，h)，并公开传输签名σ＝(z，c，h)给运行发明方法的接收方Bob。Verify(·)是验证算法，算法输入包含***参数params，公钥pk，消息M和签名(z，c，h)，输出1或者0，分别表示验证通过或者不通过。Bob得到公钥pk，消息M和对消息M的签名σ＝(z，c，h)作为输入，运行验证算法Verify(pk，M,(z,c,h))，得到1/0，分别表示验证通过/不通过。若认证通过，则接收方Bob承认消息M是由Alice发送的。

一种基于多重证据纠错的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R，R_q表示代数环，其中q是正整数；

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，算法运行如下：

1)得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k,d,n,m,l均为正整数；aux是可为空的其它辅助***参数的集合；

2)得到

3)得到

其中s取自集合

e取自某可为空的集合

4)得到

5)得到

其中

是关于t,params,

的函数，

是可为空的t₁的辅助参数集合；得到

其中

是关于t,t₁,params,

的函数，

是可为空的t_0,0的辅助参数集合；

6)输出公钥pk和私钥sk；其中，公钥pk包含params，t₁，生成A所需要的信息，aux_pk，其中aux_pk是可为空的公钥的辅助参数集合；私钥sk包含生成A所需要的信息，s,e,t_0,0,aux_sk，其中aux_sk是可为空的私钥的辅助参数集合；

Sign(·)是签名算法，算法输入包含***参数params，公钥pk，私钥sk和消息μ∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中

其中b是正整数，g_h(n,m,h,aux_h)是关于n,m,h,aux_h的输出结果为整数的函数，aux_h是可为空的h的辅助参数集合；算法运行如下：

1)得到

2)得到

其中f_e0是关于e,params,

的函数，

是可为空的e₀的辅助参数集合；

3)得到

其中Transform_i是关于t_0,0,params,

的转换函数，

是可为空的t_0,i的辅助参数集合；

4)得到

其中f_Δi是关于t_0,i，t_0,0,params,

的函数，

是可为空的Δ_i的辅助参数集合；

5)得到

其中，

是关于e₀,Δ_i,params,

的函数，

是可为空的e_i的辅助参数集合；

6)得到

其中y′可为0向量；

7)得到

8)得到

其中

是关于w,params,

的函数，

是可为空的w₁的辅助参数集合；

9)得到

其中

是关于w₁,params,

的函数，

是可为空的w′₁的辅助参数集合；

10)得到c＝H(w′₁,μ,aux_c),其中H是一个哈希函数，或单向函数，或转换函数，aux_c是可为空的c的辅助参数集合；

11)得到z＝f_z(pk,y,s,w₁,c,μ,aux_z)，其中，f_z是关于pk,y,s,w₁,c,μ,aux_z的函数，aux_z是可为空的z的辅助参数集合；

12)判断条件

是否成立，其中，

是可为空的R_z的辅助参数集合；若不成立，则回到第6)步，循环运行直至R_z成立；

13)判断条件

是否成立，其中，b_i∈{0,1}^p‘，p′＝p+1，j_i是计数器，w⁽ⁱ⁾∈R_q是w的第i维，

则分别表示e₀,e₁,…,e_p的第i维，i＝1，…，m；若成立，则算法记录了正整数j_i，σ⁽ⁱ⁾∈R_q；若不成立，则回到第6)步，循环运行直至

成立；

14)得到σ＝f_σ(σ⁽¹⁾,…,σ^(m),params,aux_σ)，其中，f_σ是关于

的函数，aux_σ是可为空的σ的辅助参数集合；

15)得到

其中，

是关于

的函数，

是可为空的t₀的辅助参数集合；

16)得到σ′＝f_σ′(c,t₀,params,aux_σ′)，其中，f_σ′是关于c,t₀,params,aux_σ′的函数，aux_σ′是可为空的σ′的辅助参数集合；

17)得到

其中，f_h是关于w,c,e₀,e₁,…,e_p,t₀,σ,σ′,y′,params,

的函数，

是可为空的h的辅助参数集合；

18)判断条件

是否成立，其中，

是可为空的R_h的辅助参数集合；若不成立，则回到第6)步，循环运行直至R_h成立；

19)输出签名(z,c,h)；

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息μ和签名(z,c,h)，输出1或者0，其中，1表示验签通过，0表示不通过；算法运行如下：

1)得到

2)得到

其中

是关于h,A,z,c,t₁,params,

的函数，

是可为空的w₂的辅助参数集合；

3)得到

其中，

是关于w₂,params,

的函数，

是可为空的w₂′的辅助参数集合；

4)得到c′＝H(w′₂,μ,aux_c′)，其中H是一个哈希函数，或单向函数，或转换函数，aux_c′是可为空的c′的辅助参数集合；

5)判断条件

是否成立，其中，

是可为空的R_v的辅助参数集合；若成立，则输出1，否则，输出0。

如上所述的方法，其中，代数环R,R_q满足关系R_q＝R/(qR)，其中，环R为Z_q[X]/(Xⁿ+1)，或Z_q[X]/(Xⁿ+X^n-1+…+1)，或Z_q[X]/(Xⁿ-1)，其中，n是正整数。

如上所述方法，其中，aux包含{η,η‘,ξ,ζ,γ,B,B‘,ω,σ,σ‘,g,q′,α,α′,p,p′}的可为空的子集合，其中，η,η‘,ξ,ζ,γ,B,B‘,ω,σ,σ‘,g,p,p′为正整数，p+1＝2^p′或否，q′＝lcm(q,k)是q和k的最小公倍数，α＝q′/q，α′＝q′/k。

如上所述的方法，其中，

服从

上概率分布。

如上所述的方法，其中，Sam是扩展输出函数，y～S:＝Sam(x)表示输入为x，按分布S(或集合S上的均匀分布)输出值y。

如上所述的方法，其中，ρ是随机种子，即固定长度的随机数。

如上述的方法，其中，s可服从

上的均匀分布，或离散高斯分布，其中，S_η表示环R中各个系数属于[-η,η]的多项式全体所构成的集合；e可服从

上的均匀分布，或离散高斯分布，或e＝0。

如上所述的方法，其中，当s,e的每个系数分别服从[-η，η]和[-η‘，η’]上的均匀分布时，s，e可用扩展输出函数Sam输入种子生成。

如上所述的方法，其中，

的计算方法包括：

t₁＝(t-tmod^±2^d)/2^d，其中，对于任意整数a和正整数b，amod^±b表示落在

的唯一整数c，使得b|c-a，这里对于任意实数x，

表示小于或者等于x的最大整数；

t₁＝(t-t mo d2^d)/2^d，其中，对于任意整数a和正整数b，a mod b表示落在[0，b-1]的唯一整数c，使得b|c-a。

如上所述的方法，其中，生成A所需的信息可包含随机种子ρ。

如上所述的方法，其中，aux_sk可包含公钥pk。

如上所述的方法，其中，

的计算方法包括：t_0,0＝t-t₁·2^d。

如上所述的方法，其中，

的计算方法为：把e₀赋值为e，即e₀←e。

如上所述的方法，其中，

的计算方法包括：

将t_0，0的若干维的若干个比特进行翻转；

将t_0，0若干维的若干个比特变成0；

将t_0，0若干维的若干个比特变成1；

将t_0，0若干维的若干个比特进行翻转，或变成0，或变成1；

将t_0，0若干维的若干个比特进行随机替换；

上述五种方法的组合。

如上所述的方法，其中，

的计算方法包括：

Δ_i＝t_0，i-t_0，0；或

Δ_i＝t_0,0-t_0,i。

如上所述的方法，其中，

的计算方法包括：

e_i＝e₀-Δ_i；或

e_i＝e₀+Δ_i。

如上所述的方法，其中t_0,i,Δ_i,e_i的计算根据i的取值循环生成。

如上所述的方法，其中，

可服从

上均匀分布，或标准差为σ的离散高斯分布；

可服从

上均匀分布，或标准差为σ‘的离散高斯分布；其中B，B‘，σ，σ’是辅助参数；

如上所述的方法，其中，y，y′可用扩展输出函数Sam输入种子、公钥pk、aux_sk、aux_y确定性地生成，其中aux_y是可为空的集合。

如上所述的方法，其中，

的计算方法为：w₁←HighBits_q,k(w,params)，其中HighBits_q,k是一个转换函数。

如上所述的方法，其中，对于r∈Z_q，HighBits_q,k(r,params)算法运行如下：

计算(r₁,r₀)←Con(r,params)，其中Con是一个编码算法；

输出r₁。

若算法HighBits_q,k(·)输入

和公共参数params，则意味着对多项式向量w中的每个系数分别使用HighBits_q,k算法。

如上所述的方法，其中，编码算法Con(·)输入包含r∈Z_q和公共参数params，算法对r∈Z_q基于params进行编码，输出包含(r₁,r₀)，其中r₁∈Z_k，r₀∈Z_t，k是***参数，t是整数；若算法Con(·)输入

和公共参数params，则意味着对多项式向量w中的每个系数分别使用Con算法。

如上所述的方法，其中，r₀∈Z_t中整数t的取值包含：t＝g或t＝g+1。如权利要求21所述的方法，其中，Con(r,params)算法运行如下：

计算σ_A∈Z_q′；

计算r₀；

计算r₁；

返回(r₁,r₀)。

如上所述的方法，其中，σ_A的计算方法包括：从集合[0,α-1]或集合

中选取确定的元素e，特别地，取e＝0；计算,σ_A＝αr+e∈Z_q′。

如权利要求25所述的方法，其中，σ_A＝α_r+e∈Z_q′的计算方法包括：

σ_A＝αr+e mod q′，或

σ_A＝αr+e mod^±q′。

如上所述的方法，其中，

是关于σ_A,α,α′,k的函数。

如上所述的方法，其中r₀的计算方法包括：

计算r₀＝σ_Amod^±α′，或

计算r₀＝σ_Amodα′，或

计算

或

计算

或

计算

或

计算

其中，k,q是***参数，g,α′是辅助参数；对于任意实数a，

表示与a最接近的整数。

如上所述的方法，其中r₁的计算方法包括：

计算

或

计算

或

若k,q互素且kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q，

其中，k，q是***参数，α′是辅助参数。

如上所述的方法，其中，

的计算方法包括：

或

其中，k,q是***参数。

如上所述的方法，其中，aux_c包含pk和/或params和/或公钥证书certificate。如权利要求1所述的方法，其中，z＝f_z(pk,y,s，w₁，c，μ，aux_z)的计算方法包括：

如上所述的方法，其中，条件

包括：‖z‖_∞<ξ，其中，ξ是辅助参数；对于任意a∈R，‖a‖_∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a₁，…，a_b)∈R^b，b是正整数，‖σ‖_∞表示‖a_i‖_∞,1≤i≤b的最大值。

如权利要求1所述的方法，其中，条件

的判断步骤包含：

选取b_i∈{0,1}^p‘；

令计数器j_i＝b_i；

计算

计算

判断条件

是否成立，若成立，则记录j_i，σ⁽ⁱ⁾；

否则令j_i＝b_i+1，继续回到c)直至

成立或j_i＝b_i+p+1；

若j_i＝b_i+p+1，则判定

不成立。

如上所述的方法，其中，步骤b)—f),可通过for循环语句实现。

如权利要求34所述的方法，其中，

可通过计算

获得。

如上所述的方法，其中，条件

包含：

且

其中，ζ是辅助参数。

如上所述的方法，其中，σ＝f_σ(σ⁽¹⁾,…,σ^(m),params,aux_σ)的计算方法包括：σ＝(σ⁽¹⁾，…，σ^(m))。

如上所述的方法，其中，

的计算方法包括：

如上所述的方法，其中，σ′＝f_σ′(c，t₀，params，aux_σ′)的计算方法包括：

σ′＝ct₀；

σ′＝-ct₀。

如上所述的方法，其中，

的计算方法包括：

h＝MakeHint(-σ′，σ+σ′，params)，其中MakeHint是一个转换函数；或

h＝MakeHint(σ′，σ-σ′，params)，或

h＝MakeGHint(-σ′，σ+σ′，params)，或

h＝MakeGHint(σ′，σ-σ′,params)。

如上所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeHint(z，r，params)的计算方法如下：

r₁＝HighBits_q，k(r,params)；

v₁＝HighBits_q,k(r+z,params)；

若r₁＝v₁，则返回0；否则，返回1。

若算法MakeH int(·)输入z′，

和公共参数params，其中a是正整数，则

意味着对多项式向量z′,

中的每组对应的系数分别使用MakeHint算法。如权利要求41所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeGHint(z,r,params)的计算方法如下：

r₁＝HighBits_q,k(r,params)；

v₁＝HighBits_q,k(r+z,params)；

返回h＝(v₁-r₁)mod^±k或h＝(v₁-r₁)mod k。

若算法MakeGH int(·)输入z′,

和公共参数params，其中a是正整数，则意味着对多项式向量z′,

中的每组对应的系数分别使用MakeGHint算法。

如上所述的方法，其中，条件

包括：‖σ′‖_∞<γ和#h≤ω，其中，γ是辅助参数对于h∈{0，1}^a，a是正整数，#h表示多项式向量h中系数1的个数。

如上所述的方法，其中，

的计算方法包括：

或

或

其中，

是关于h，A，z，c，t₁，params,

的函数，

Re c是解码函数。

如上所述的方法，其中，

的计算方法包括：

其中，d是***参数。

如权利要求45所述的方法，其中，解码算法Re c(·)，算法输入包含r′∈Z_q,r₀∈Z_t和***参数params，其中，(r₁,r₀)←Con(r,params)，r∈Z_q，|r′-r|_q≤d′，d′为一个整数；对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，min{·}定义为取最小值；算法对r′∈Z_q,r₀∈Z_t基于params进行解码，输出包含r′₁，其中r′₁∈Z_k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r′₁＝r₁，双方纠错成功。

如上所述的方法，其中，Re c(r′,r₀,params)的计算方法包括：

或

或

其中c′是一个实数。

如上所述的方法，其中，d′满足的关系式包含：

(2d′+1)k<q(1-1/g)，或

(2d′+2)k<q(1-1/g)，或

(2d′+1)k<q(1-2τ/g)，其中τ为max{|c|,|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或

(d′+1)k<q(1/2-τ/g)，或

2kd′<q，或

2k(d′+1)<q。

如上所述的方法，其中，c′为实数，满足0≤c′≤1。

如上所述的方法，其中，对于h∈{0，1}，r∈Z_q，算法UseHint(h，r，params)的计算方法如下：

(r₁，r₀)＝Con(r,params)；

若h＝1且r₀>0，返回(r₁+1)mod k；若h＝1且r₀<0，返回(r₁-1)mod k；

否则，若h＝0，返回r₁。

如上所述的方法，其中，对于h∈{0,1}，r∈Z_q，算法UseGHint(h，r，params)的计算方法如下：

r₁＝HighBits(r，params)；

返回(r₁+h)mod k。

如上所述的方法，其中，

的计算方法包括：

或

如上所述的方法，其中，aux_c′包含pk和/或params和/或公钥证书certificate。如权利要求1所述的方法，其中，条件

包括：，

c＝c′且‖z‖_∞<ξ，或

c＝c′且‖z‖_∞<ξ且#h≤ω；

其中，ξ，ω是辅助参数。

如上所述的方法，如权利要求18所述的方法，其中，aux_sk包含一个随机数种子K，aux_y包含一个计数器counter用于记录每次签名时对第6)步的第counter次执行。

如上所述的方法，y，y′由Expand(ρ，K，tr，counter)确定性地生成，其中tr＝CRH(ρ，K)，CRH是一个抗碰撞的密码哈希函数，Expand是一个确定性的扩展函数。

如上所述的方法，其中，随机选取b_i←{0，1}^p‘，或b_i被设定为{0，1}^p‘，或b_i从{pk,ρ，K，tr，aux_sk，aux_y}确定性地导出。

如上所述的方法，其中，b_i在得到y，y′过程中同时导出。

如上所述的方法，签名过程中所需生成的t_0，i、Δ_i、e_i可以在签名之前离线计算并存储，或其部分或全体放在aux_sk作为私钥的一部分。

具体实施方式

在发明方法的实际应用中，建议p＝1或3。如果p＝1，Transform函数建议对t_0,0每一维的中间一个比特进行翻转或随机替换；如果p＝3对t_0,0每一维的中间三个比特进行翻转或随机替换(或比特翻转和随机替换并用)。当p＝1或3时，对于大致128-比特的后量子安全级别，建议的具体参数如下：

对于上面具体的参数，当p＝1时，Transform函数建议对t_0,0每一维的低位第5个比特进行翻转或随机替换；如果p＝3对t_0,0每一维的低位第5、6、7间三个比特进行翻转或随机替换(或二者结合)。

下面以p＝1时，描述Gen，Sign(·)，Verify(·)，Con(·)和HighBits(·)具体实施方式如下。具体实施方式可以简单地扩展到p＝3的情况。

Gen：

1)得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k,d,n,m,l均为整数；aux是可为空的其它辅助***参数的集合；

2)ρ←{0,1}²⁵⁶；

3)

4)

5)

6)t₁＝(t-tmod^±2^d)/2^d；

7)t_0,0＝t-t₁·2^d

8)K←{0，1}²⁵⁶；

9)tr＝CRH(ρ||t₁)∈{0，1}³⁸⁴，其中||是字符串连接符；

10)输出pk＝(ρ,t₁，params，aux_pk)，sk＝(s，e,t_0,0,aux_sk＝{K,tr},ρ)；

Sign(params,pk,sk,μ)-1：

Sign(params,sk,μ)-2：

Verify(pk,μ,(z,c,h))：

1)

2)w₂＝UseH int(h,Az-ct₁·2^d,params)；

3)

4)c′＝H(ρ,t₁，w′₂，μ)

5)若c＝c′且‖z‖_∞<ξ且h中1的个数≤ω，则输出1；否则，输出0；

Con(r，params)：

1)r₀＝krmod^±q；

2)若kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q；

3)返回(r₁，r₀)。

Highbits(r，params)：

1)(r₁，r₀)←Con(r,params)；

2)返回r₁。

Claims (60)

1.一种基于多重证据纠错的格基数字签名方法；其中，{…}表示一个信息或者数值的集合；R,R_q表示代数环，其中q是正整数；

Gen是密钥生成算法，算法输入包含安全参数，输出包含公钥pk和私钥sk，算法运行如下：

1)得到***参数params＝{q,k,d,n,m,l,aux}，其中q,k，d，n，m，l均为正整数；aux是可为空的其它辅助***参数的集合；

2)得到

3)得到

其中s取自集合

e取自某可为空的集合

4)得到

5)得到

其中

是关于

的函数，

是可为空的t₁的辅助参数集合；得到

其中

是关于t，t₁，params，

的函数，

是可为空的t_0,0的辅助参数集合；

6)输出公钥pk和私钥sk；其中，公钥pk包含params，t₁，生成A所需要的信息，aux_pk，其中aux_pk是可为空的公钥的辅助参数集合；私钥sk包含生成A所需要的信息，s,e,t_0,0,aux_sk，其中aux_sk是可为空的私钥的辅助参数集合；

Sign(·)是签名算法，算法输入包含***参数params，公钥pk，私钥sk和消息μ∈{0,1}^*，其中{0,1}^*表示任意长度的0-1串构成的集合，输出包含(z,c,h)，其中

c∈R，

其中b是正整数，g_h(n,m,h，aux_h)是关于n,m,h,aux_h的输出结果为整数的函数，aux_h是可为空的h的辅助参数集合；算法运行如下：

1)得到

2)得到

其中

是关于e，params，

的函数，

是可为空的e₀的辅助参数集合；

3)得到

其中Transform_i是关于

的转换函数，

是可为空的t_0,i的辅助参数集合；

4)得到

其中

是关于t_0,i，t_0,0，params，

的函数，

是可为空的Δ_i的辅助参数集合；

5)得到

i＝1，…p，其中，

是关于e₀，Δ_i,params,

的函数，

是可为空的e_i的辅助参数集合；

6)得到

其中y′可为0向量；

7)得到

8)得到

其中

是关于w,params,

的函数，

是可为空的w₁的辅助参数集合；

9)得到

其中

是关于w₁,params,

的函数，

是可为空的w′₁的辅助参数集合；

10)得到c＝H(w′₁,μ,aux_c),其中H是一个哈希函数，或单向函数，或转换函数，aux_c是可为空的c的辅助参数集合；

11)得到z＝f_z(pk,y,s,w₁,c,μ,aux_z)，其中，f_z是关于pk,y,s,w₁,c,μ,aux_z的函数，aux_z是可为空的z的辅助参数集合；

12)判断条件

是否成立，其中，

是可为空的R_z的辅助参数集合；若不成立，则回到第8)步，循环运行直至R_z成立；

13)判断条件

是否成立，其中，b_i∈{0,1}^p’，p′＝p+1，j_i是计数器，w⁽ⁱ⁾∈R_q是w的第i维，

则分别表示e₀,e₁,…,e_p的第i维，i＝1，…，m；若成立，则算法记录了正整数j_i，σ⁽ⁱ⁾∈R_q；若不成立，则回到第8)步，循环运行直至

成立；

14)得到σ＝f_σ(σ⁽¹⁾,…,σ^(m),params,aux_σ)，其中，f_σ是关于σ⁽¹⁾,…,σ^(m),params,

的函数，aux_σ是可为空的σ的辅助参数集合；

15)得到

其中，

是关于t_0,1,…,t_0,p,j₁,…j_m,params,

的函数，

是可为空的t₀的辅助参数集合；

16)得到σ′＝f_σ′(c,t₀,params,aux_σ′)，其中，f_σ′是关于c,t₀,params,aux_σ′的函数，aux_σ′是可为空的σ′的辅助参数集合；

17)得到

其中，f_h是关于w,c,e₀,e₁,…,e_p,t₀,σ,σ′,y′,params,

的函数，

是可为空的h的辅助参数集合；

18)判断条件

是否成立，其中，

是可为空的R_h的辅助参数集合；若不成立，则回到第6)步，循环运行直至R_h成立；

19)输出签名(z,c,h)；

Verify(·)是验签算法，算法输入包含***参数params，公钥pk，消息μ和签名(z,c,h)，输出1或者0，其中，1表示验签通过，0表示不通过；算法运行如下：

1)得到

2)得到

其中

是关于h,A,z,c,t₁,params,

的函数，

是可为空的w₂的辅助参数集合；

3)得到

其中，

是关于w₂,params,

的函数，

是可为空的w′₂的辅助参数集合；

4)得到c′＝H(w′₂,μ,aux_c′)，其中H是一个哈希函数，或单向函数，或转换函数，aux_c′是可为空的c′的辅助参数集合；

5)判断条件

是否成立，其中，

是可为空的R_v的辅助参数集合；若成立，则输出1，否则，输出0。

2.如权利要求1所述的方法，其中，代数环R,R_q满足关系R_q＝R/(qR)，其中，环R为Z_q[X]/(Xⁿ+1)，或Z_q[X]/(Xⁿ+X^n-1+…+1)，或Z_q[X]/(Xⁿ-1)，其中，n是正整数。

3.如权利要求1所述方法，其中，aux包含{η,η′,ξ,ζ,γ,B,B′,ω,σ,σ′,g,q′,α,α′,p,p′}的可为空的子集合，其中，η,η′,ξ,ζ，γ，B，B′，ω,σ,σ′,g,p,p′为正整数，p+1＝2^p′或否，q′＝lcm(q,k)是q和k的最小公倍数，α＝q′/q，α′＝q′/k。

4.如权利要求1所述的方法，其中，

服从

上概率分布。

5.如权利要求4所述的方法，其中，Sam是扩展输出函数，y～S:＝Sam(x)表示输入为x，按分布S或集合S上的均匀分布输出值y。

6.如权利要求4所述的方法，其中，ρ是随机种子，即固定长度的随机数。

7.如权利要求1所述的方法，其中，s可服从

上的均匀分布，或离散高斯分布，其中，S_η表示环R中各个系数属于[-η，η]的多项式全体所构成的集合；e可服从

上的均匀分布，或离散高斯分布，或e＝0。

8.如权利要求1所述的方法，其中，当s,e的每个系数分别服从[-η,η]和[-η’,η’]上的均匀分布时，s,e可用扩展输出函数Sam输入种子生成。

9.如权利要求1所述的方法，其中，

的计算方法包括：

1)t₁＝(t-t mod^±2^d)/2^d，其中，对于任意整数a和正整数b，a mod^±b表示落在

的唯一整数c，使得b|(c-a)，这里对于任意实数x，

表示小于或者等于x的最大整数；

2)t₁＝(t-t mod 2^d)/2^d，其中，对于任意整数a和正整数b，a mod b表示落在[0,b-1]的唯一整数c，使得b|(c-a)。

10.如权利要求1所述的方法，其中，生成A所需的信息可包含随机种子ρ。

11.如权利要求1所述的方法，其中，aux_sk可包含公钥pk或t₁。

12.如权利要求1所述的方法，其中，

的计算方法包括：t_0，0＝t-t₁·2^d。

13.如权利要求1所述的方法，其中，

的计算方法为：把e₀赋值为e，即e₀←e。

14.如权利要求1所述的方法，其中，

的计算方法包括：

1)将t_0,0的若干维的若干个比特进行翻转；

2)将t_0,0若干维的若干个比特变成0；

3)将t_0,0若干维的若干个比特变成1；

4)将t_0,0若干维的若干个比特进行翻转，或变成0，或变成1；

5)将t_0，0若干维的若干个比特进行随机替换；

6)上述五种方法的组合。

15.如权利要求1所述的方法，其中，

的计算方法包括：

1)Δ_i＝t_0，i-t_0,0；或

2)Δ_i＝t_0,0-t_0,i。

16.如权利要求1所述的方法，其中，

的计算方法包括：

1)e_i＝e₀-Δ_i；或

2)e_i＝e₀+Δ_i。

17.如权利要求1所述的方法，其中t_0,i,Δ_i,e_i的计算根据i的取值循环生成。

18.如权利要求1所述的方法，其中，

可服从

上均匀分布，或标准差为σ的离散高斯分布；

可服从

上均匀分布，或标准差为σ’的离散高斯分布；其中B，B’，σ，σ’是辅助参数。

19.如权利要求18所述的方法，其中，y，y′可用扩展输出函数Sam输入种子、公钥pk、aux_sk、aux_y的一个非空子集确定性地生成，其中aux_y是可为空的集合。

20.如权利要求1所述的方法，其中，

的计算方法为：w₁←HighBits_q,k(w，params)，其中HighBits_q，k是一个转换函数。

21.如权利要求20所述的方法，其中，对于r∈Z_q，HighBits_q，k(r，params)算法运行如下：

1)计算(r₁,r₀)←Con(r,params)，其中Con是一个编码算法；

2)输出r₁，

若算法HighBits_q,k(·)输入

和公共参数params，则意味着对多项式向量w中的每个系数分别使用HighBits_q,k算法。

22.如权利要求21所述的方法，其中，编码算法Con(·)输入包含r∈Z_q和公共参数params，算法对r∈Z_q基于params进行编码，输出包含(r₁,r₀)，其中r₁∈Z_k,r₀∈Z_t，k是***参数，t是整数；若算法Con(·)输入

和公共参数params，则意味着对多项式向量w中的每个系数分别使用Con算法。

23.如权利要求22所述的方法，其中，r₀∈Z_t中整数t的取值包含：t＝g或t＝g+1。

24.如权利要求21所述的方法，其中，Con(r,params)算法运行如下：

1)计算σ_A∈Z_q′；

2)计算r₀；

3)计算r₁；

4)返回(r₁,r₀)。

25.如权利要求24所述的方法，其中，σ_A的计算方法包括：从集合[0，α-1]或集合

中选取确定的元素e，特别地，取e＝0；计算σ_A＝αr+e∈Z_q′。

26.如权利要求25所述的方法，其中，σ_A＝αr+e∈Z_q′的计算方法包括：

1)σ_A＝αr+e mod q′，或

2)σ_A＝αr+e mod^±q′。

27.如权利要求24所述的方法，其中，

是关于σ_A，α，α′，k的函数。

28.如权利要求27所述的方法，其中r₀的计算方法包括：

1)计算r₀＝σ_Amod^±α′，或

2)计算r₀＝σ_Amodα′，或

3)计算

或

4)计算

或

5)计算

或

6)计算

其中，k，q是***参数，g，α′是辅助参数；对于任意实数a，

表示与a最接近的整数。

29.如权利要求27所述的方法，其中r₁的计算方法包括：

1)计算

或

2)计算

或

3)若k，q互素且kr-r₀＝kq，则令r₁＝0；否则，计算r₁＝(kr-r₀)/q，其中，k，q是***参数，α′是辅助参数。

30.如权利要求1所述的方法，其中，

的计算方法包括：

1)

或

2)

其中，k,q是***参数。

31.如权利要求1所述的方法，其中，aux_c包含pk和/或params和/或公钥证书certificate全部或部分信息。

32.如权利要求1所述的方法，其中，z＝f_z(pk,y,s,w₁,c,μ,aux_z)的计算方法包括：

33.如权利要求1所述的方法，其中，条件

包括：‖z‖_∞＜ξ，其中，ξ是辅助参数；对于任意a∈R，‖a‖_∞表示多项式a的所有系数的绝对值的最大值；对于任意a＝(a₁,…,a_b)∈R^b，b是正整数，‖a‖_∞表示‖a_i‖_∞,1≤i≤b的最大值。

34.如权利要求1所述的方法，其中，条件

的判断步骤包含：

a)选取b_i∈{0,1}^p’；

b)令计数器j_i＝b_i；

c)计算

d)计算

e)判断条件

是否成立，若成立，则记录j_i，σ⁽ⁱ⁾；否则令j_i＝b_i+1，继续回到c)直至

成立或j_i＝b_i+p+1；

f)若j_i＝b_i+p+1，则判定

不成立。

35.如权利要求34所述的方法，其中，步骤b)—f)可通过for循环语句实现。

36.如权利要求34所述的方法，其中，

可通过计算

获得。

37.如权利要求34所述的方法，其中，条件

包含：

且

其中，ζ是辅助参数。

38.如权利要求1所述的方法，其中，σ＝f_σ(σ⁽¹⁾,…,σ^(m),params,aux_σ)的计算方法包括：σ＝(σ⁽¹⁾,…,σ^(m))。

39.如权利要求1所述的方法，其中，

的计算方法包括：

40.如权利要求1所述的方法，其中，σ′＝f_σ′(c,t₀,params,aux_σ′)的计算方法包括：

1)σ′＝ct₀；

2)σ′＝-ct₀。

41.如权利要求1所述的方法，其中，

的计算方法包括：

1)h＝MakeHint(-σ′,σ+σ′,params)，其中MakeHint是一个转换函数；或

2)h＝MakeHint(σ′,σ-σ′,params)，或

3)h＝MakeGHint(-σ′,σ+σ′,params)，或

4)h＝MakeGHint(σ′,σ-σ′,params)。

42.如权利要求41所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeHint(z,r,params)的计算方法如下：

1)r₁＝HighBits_q,k(r,params)；

2)v₁＝HighBits_q,k(r+z,params)；

3)若r₁＝v₁，则返回0；否则，返回1，

若算法MakeHint(·)输入

和公共参数params，其中a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeHint算法。

43.如权利要求41所述的方法，其中，对于z∈Z_q,r∈Z_q，算法MakeGHint(z,r,params)的计算方法如下：

1)r₁＝HighBits_q,k(r,params)；

2)v₁＝HighBits_q,k(r+z,params)；

3)返回h＝(v₁-r₁)mod^±k或h＝(v₁-r₁)mod k，

若算法MakeGH int(·)输入

和公共参数params，其中a是正整数，则意味着对多项式向量

中的每组对应的系数分别使用MakeGHint算法。

44.如权利要求1所述的方法，其中，条件

包括：‖σ′‖_∞＜γ和#h≤ω，其中，γ是辅助参数对于h∈{0,1}^a，a是正整数，#h表示多项式向量h中系数1的个数。

45.如权利要求1所述的方法，其中，

的计算方法包括：

1)

或

2)

或

3)

其中，

是关于h,A,z,c,t₁,params,

的函数，

Re c是解码函数。

46.如权利要求45所述的方法，其中，

的计算方法包括：

其中，d是***参数。

47.如权利要求45所述的方法，其中，解码算法Rec(·)，算法输入包含r′∈Z_q,r₀∈Z_t和***参数params，其中，(r₁,r₀)←Con(r,params)，r∈Z_q，|r′-r|_q≤d′，d′为一个整数；对于任意整数a，|a|_q定义为min{a mod q,q-a mod q}，min{·}定义为取最小值；算法对r′∈Z_q,r₀∈Z_t基于params进行解码，输出包含r′₁，其中r′₁∈Z_k，k是***参数；若r′与r的距离d′满足一定的限制条件，则r′₁＝r₁，双方纠错成功。

48.如权利要求47所述的方法，其中，Rec(r′,r₀,params)的计算方法包括：

1)

或

2)

或

3)

其中c′是一个实数。

49.如权利要求47所述的方法，其中，d′满足的关系式包含：

1)(2d′+1)k＜q(1-1/g)，或

2)(2d′+2)k＜q(1-1/g)，或

3)(2d′+1)k＜q(1-2τ/g)，其中τ为max{|c|,|1-c|}，对于任意实数a，|a|表示取a的绝对值，max{·}定义为取最大值，或

4)(d′+1)k＜q(1/2-τ/g)，或

5)2kd′＜q，或

6)2k(d′+1)＜q。

50.如权利要求48所述的方法，其中，c′为实数，满足0≤c′≤1。

51.如权利要求45所述的方法，其中，对于h∈{0,1}，r∈Z_q，算法UseHint(h, r,params)的计算方法如下：

1)(r₁,r₀)＝Con(r,params)；

2)若h＝1且r₀＞0，返回(r₁+1)mod k；若h＝1且r₀＜0，返回(r₁-1)mod k；否则，若h＝0，返回r₁。

52.如权利要求45所述的方法，其中，对于h∈{0,1}，r∈Z_q，算法UseGHint(h,r,params)的计算方法如下：

1)r₁＝HighBits(r，params)；

2)返回(r₁+h)mod k。

53.如权利要求1所述的方法，其中，

的计算方法包括：

1)

或

2)

54.如权利要求1所述的方法，其中，aux_c′包含pk和/或params和/或公钥证书certificate。

55.如权利要求1所述的方法，其中，条件

包括：,

1)c＝c′且‖z‖_∞＜ξ，或

2)c＝c′且‖z‖_∞＜ξ且#h≤ω；

其中，ξ，ω是辅助参数。

56.如权利要求19所述的方法，如权利要求18所述的方法，其中，aux_sk包含一个随机数种子K，aux_y包含一个计数器counter用于记录每次签名时对第6)步的第counter次执行。

57.如权利要求56所述的方法，y，y′由Expand(ρ，K,tr,counter)确定性地生成，其中tr＝CRH(ρ,K)，CRH是一个抗碰撞的密码哈希函数，Expand是一个确定性的扩展函数。

58.如权利要求34所述的方法，其中，随机选取b_i←{0，1}^p’，或b_i被设定为{0，1}^p’，或b_i从{pk,ρ，K,tr，aux_sk，aux_y}确定性地导出。

59.如权利要求58所述的方法，其中，b_i在得到y，y′过程中同时导出。

60.如权利要求1所述的方法，签名过程中所需生成的t_0,i、Δ_i、e_i可以在签名之前离线计算并存储，或其部分或全体放在aux_sk作为私钥的一部分。