CN115529134A

CN115529134A - 格上基于身份的代理盲签名方法

Info

Publication number: CN115529134A
Application number: CN202210558442.2A
Authority: CN
Inventors: 李凤银; 杨梦娇; 王伊蕾; 商梦雪
Original assignee: Qufu Normal University
Current assignee: Qufu Normal University
Priority date: 2022-05-20
Filing date: 2022-05-20
Publication date: 2022-12-27

Abstract

本发明涉及匿名安全及格理论与密码学领域，具体讲的是一种格上基于身份的代理盲签名方法。在代理盲签名中，原始签名者把他的签名权利委托给代理签名者，由代理签名者代替他来完成签名，并且代理签名者在进行签名时，不知道消息的具体内容。针对量子环境下基于大整数分解与离散对数困难问题代理盲签名的不安全性，本发明提出了一种抗量子的格上基于身份的代理盲签名方法，为保护用户的敏感信息提供了匿名性，并具有抵抗恶意用户攻击和不可伪造等安全性的特点。该方法使用了基于身份的公钥密码体制、双峰高斯分布和拒绝采样技术，提高了***的安全性和资源利用率，减轻了***的存储负担。

Description

格上基于身份的代理盲签名方法

技术领域

基于格的密码方案被认为可以抵抗量子计算机的攻击，而盲签名方案被广泛应用于电子现金和投票中，用于创建不可追踪的支付***，可以保证用户敏感信息的匿名性。格上基于身份的代理盲签名涉及基于身份的签名，双峰高斯分布，拒绝采样等技术，提高了***的安全性和效率。

背景技术

量子计算机的发展使得基于数论问题的密码方案存在潜在安全威胁目前利用量子算法可以在多项式时间内解决大整数分解和离散对数问题，那么基于这两种假设的方案在量子环境下将被攻破。因此，基于格的密码体制受到了广泛的关注。

在基于PKI的公钥密码体制中，用户的身份和公钥通过由可信证书颁发机构颁发的证书进行绑定，涉及到了证书的存储和合法性验证，从而增加了***开销。作为基于PKI的公钥密码体制的替代方法，1984年Shamir将用户身份唯一标识符当成该用户的公钥，提出了身份加密的概念，基于身份的公钥密码体制(identity-based encryption，IBE)也由此而来，IBC取消了对公钥证书的管理。

盲签名的概念最早由CHAUM提出，用户A可以在任何给定的消息上获得签名者B的签名而不需要透露原消息。它有两个主要的特性，即盲性和不可伪造性。盲性是指签名者在不知道自己签了什么的情况下签了字，但他不能用自己的签名否认签了字的消息。另一个不可伪造性是签名者可以控制有效签名的例外数量。此外，盲签名方案被广泛应用于电子现金和投票中，从而保证用户敏感信息的匿名性。

1996年，Mambo、Usuda和Okamoto提出了代理签名的概念.在代理签名方案中，原始签名者把他的签名权利委托给代理签名者，由代理签名者代替他来完成签名.在方案中验证者可以区分签名是代理签名还是原始签名.

发明内容

本发明提出一种格上基于身份的代理盲签名方法，该方法采用了双峰高斯分布、拒绝采样等技术，提高了***的安全性和效率。并且所提出的方案的盲目性可以为保护用户的敏感信息提供匿名性。

格上基于身份的盲签名方法，包括五个部分：***参数生成、密钥生成阶段、代理密钥生成阶段、代理盲签名算法阶段、验证阶段。

(1)***初始化：输入安全参数，该算法生成主公钥、主密钥；

(2)密钥生成：输入***参数，主密钥以及用户的身份，该算法生成用户的私钥；

(3)代理密钥生成：输入***参数，主公钥，原始签名者的私钥，代理签名者的身份，该算法生成代理密钥；

(4)代理盲签名：该算法首先是代理签名者B发送一个承诺给用户，然后用户对消息m进行盲化发送给代理签名者，代理签名者对盲化的消息进行签名发送给用户，最后由用户进行脱盲得到原始消息的盲签名；

(5)验证：输入消息m及其对应的盲签名(e₁,e₂)，该算法验证签名的有效性，如果签名有效，则接受签名；否则，拒绝签名。

本发明中格上基于身份的代理盲签名方法涉及三个实体：原始签名者、代理签名者和用户。

附图说明

图1格上基于身份的代理盲签名方法

具体实施方式

本发明格上基于身份的代理盲签名方法实施方式包含以下五个算法。

(1)***初始化：

假设n为安全参数，q＝ploy(n),m≥2nlgq,哈希函数

原始签名者A和代理签名者B的身份ID分别为ID_A和ID_B；

给定参数n，密钥产生中心KGC运行TrapGen(1ⁿ)算法产生矩阵

和格

的一个陷门基

并且

将A₀作为主公钥，S₀作为主密钥，并且它们满足A₀S₀＝T₀＝qI_n(mod 2q)；

(2)密钥生成：

输入身份ID_A∈{0，1}^*，KGC利用***的主密钥运行原像抽样算法 SamplePre(A₀，S₀，H(ID_A)，σ)生成ID_A的私钥

使得A₀S_A＝ H(ID_A)(mod 2q)，且

输入身份ID_B∈{0，1}^*，KGC利用***的主密钥运行原像抽样算法 SamplePre(A₀，S₀，H(ID_B)，σ)生成ID_B的私钥

使得A₀S_B＝ H(ID_B)(mod 2q)，且

(3)代理密钥生成：

原始签名者A选择代理签名者的身份ID_B，运行SamplePre(A₀，S_A，H(ID_B)，σ)生成代理签名密钥

且

原始签名者A将S₃发送给代理签名者B作为代理私钥；

(4)代理盲签名：

假设m是将要被盲化的消息，代理签名者B和用户C按照以下过程生成签名：

(a)盲化：

首先，对于一个消息m，代理签名者B选择一个随机向量

并发送一个承诺x←A₀r给用户，然后用户C对消息m进行盲化，最后用户C将盲化的消息发送给代理签名者B，盲化过程如下所示：

①选择两个盲因子

②计算c₁←H(x+A₀y₁ mod 2q，m)，c₂←H(x+A₀y₂ mod 2q，m)；

③选择一个随机位b∈{0，1}；

④计算μ₁←(-1)^bc₁，μ₂←(-1)^bc₂；

⑤以

的概率输出(μ₁，μ₂)；

(b)签名：

代理签名者B对用户C发来的盲消息进行签名，并将签名发送给用户C，签名过程如下所示：

①使用前面的随机向量

②计算z₁←r+μ₁S₃，z₂←r+μ₂S_B；

③以

的概率输出(z₁，z₂)；

(c)脱盲：

用户C收到代理签名者B的盲消息的签名，通过脱盲算法来恢复原始消息的盲签名，并将其发送给验证者，脱盲过程如下所示：

①使用前面的盲因子

②计算e₁←y₁+z₁，e₂←y₂+z₂；

③以

的概率输出(e1，e2)；

(5)验证阶段：

输入消息m及其对应的盲签名(e₁，e₂)，A₀，c₁，c₂，验证通过需要满足以下条件：

①||e₁||≤B₂，||e₂||≤B₂；

②||e₁||_∞≤q/4，||e₂||_∞≤q/4；

③c₁＝H(A₀e₁+qc₁ mod 2q，m)，c₂＝H(A₀e₂+qc₂ mod 2q，m)；

签名者输出形式为(z，c)的签名，其中z是根据

分布的，因此接受界B₂应设置为略高于

可以表示为

对于安全参数λ以1-2^-λ的概率验证 ||z||_∞≤q/4。

本发明的有效性验证，对于消息m及其对应的盲签名(e₁，e₂)，验证者需要验证||e_i||≤B₂，||e_i||_∞≤q/4，c₁＝H(A₀e₁+qc₁)，c₂＝H(A₀e₂+qc₂)同时成立。

(1)等式一：

A₀e₁+qc₁＝A₀(y₁+z₁)+qc₁

＝A₀y₁+A₀2₁+qc₁

＝A₀(r+μ₁S_B)+A₀y₁+qc₁

＝A₀r+(-1)^bA₀S_ac₁+A₀y₁+qc₁

＝x+(-1)^bqc₁+qc₁+A₀y₁

＝x+A₀y₁ mod 2q

(2)等式二：

A₀e₂+qc₂＝A₀(y₂+z₂)+qc₂

＝A₀y₂+A₀z₂+qc₂

＝A₀(r+μ₂S₃)+A₀y₂+qc₂

＝A₀r+(-1)^bA₀S₃c₂+A₀y₂+qc₂

＝x+(-1)^bqc₂+qc₂+A₀y₂

＝x+A₀y₂ mod 2q。

Claims

1.一种格上基于身份的代理盲签名方法，其特征在于，包含以下五个步骤：

(1)***初始化：

假设n为安全参数，q＝ploy(n),m≥2nlgq,哈希函数

原始签名者A和代理签名者B的身份ID分别为ID_A和ID_B；

给定参数n，密钥产生中心KGC运行TrapGen(1ⁿ)算法产生矩阵

和格

的一个陷门基

并且

(2)密钥生成：

输入身份ID_A∈{0,1}^*，KGC利用***的主密钥运行原像抽样算法SamplePre(A₀,S₀,H(ID_A),σ)生成ID_A的私钥

使得A₀S_A＝H(ID_A)(mod 2q)，且

输入身份ID_B∈{0,1}^*，KGC利用***的主密钥运行原像抽样算法SamplePre(A₀,S₀,H(ID_B),σ)生成ID_B的私钥

使得A₀S_B＝H(ID_B)(mod 2q)，且

(3)代理密钥生成：

原始签名者A选择代理签名者的身份ID_B，运行SamplePre(A₀,S_A,H(ID_B),σ)生成代理签名密钥

且

原始签名者A将S₃发送给代理签名者B作为代理私钥；

(4)代理盲签名：

(a)盲化：

首先，对于一个消息m，代理签名者B选择一个随机向量

①选择两个盲因子

②计算c₁←H(x+A₀y₁ mod 2q,m),c₂←H(x+A₀y₂ mod 2q,m)；

③选择一个随机位b∈{0,1}；

④计算μ₁←(-1)^bc₁,μ₂←(-1)^bc₂；

⑤以

的概率输出(μ₁,μ₂)；

(b)签名：

①使用前面的随机向量

②计算z₁←r+μ₁S₃,z₂←r+μ₂S_B；

③以

的概率输出(z₁,z₂)；

(c)脱盲：

①使用前面的盲因子

②计算e₁←y₁+z₁,e₂←y₂+z₂；

③以

的概率输出(e₁,e₂)；

(5)验证阶段：

输入消息m及其对应的盲签名(e₁,e₂)，A₀,c₁,c₂，验证通过需要满足以下条件：

①||e₁||≤B₂，||e₂||≤B₂；

②||e₁||_∞≤q/4，||e₂||_∞≤q/4；

③c₁＝H(A₀e₁+qc₁mod 2q,m)，c₂＝H(A₀e₂+qc₂mod 2q,m)；

签名者输出形式为(z,c)的签名，其中z是根据

分布的,因此接受界B₂应设置为略高于

可以表示为

对于安全参数λ以1-2^-λ的概率验证||z||_∞≤q/4。