[发明专利]一种抵抗伪造签名攻击的多变量签名方法

说明书

技术领域

本发明属于密码学技术领域，涉及后量子密码学中的多变量公钥密码体制，特别涉及一种抵抗伪造签名攻击的多变量数字签名方法。

背景技术

数字签名，是用于鉴别数字信息的一种方法，是公钥密码体制的最主要应用之一，又称为公钥数字签名。在公钥密码体制中，数字签名技术的原理主要是将消息用发送方的秘密钥签名(加密)，与原文一起传送给接收者。接收者用发送者的公钥对签名进行解密，将解得的值与原文进行比对，看是否相同，如果相同，则接收方就认为该签名是由合法的发送方发送而来的。因此，数字签名通常由两种互补的运算构成，一个用于签名，一个用于验证，通信双方能够在公开网络环境中进行数字信息(消息)的签名和验证。

数字签名的最重要的功效就是能确定消息确实是来自发送方，并由发送方签名后发出来的，其它人无法伪造。

目前应用于消息的数字签名主要采用的是基于传统公钥密码体制如RSA和ECC而设计的签名方案。

传统公钥体制的安全性是基于数论中的大整数分解的困难性。然而，美国科学家Peter Shor于1995年提出了一种量子分解算法，该算法是量子计算领域至今最为著名的算法，它通过利用量子计算的并行性，可以在多项式时间内快速分解出大数的质因子和离散对数问题，也就是说，量子计算机的产生，对现有基于传统密码体制的数字签名的安全性构成了严重的威胁。

构造新的公钥密码体制，以替代基于数论的体制，抵御未来基于量子计算的攻击已经迫在眉睫。

1988年，Matsumoto和Imai提出了可替代传统公钥密码体制的多变量公钥密码体制——MI(Matsumoto-Imai多变量体制)。2004年，多变量签名体制Flash入选了欧洲密码计划NESSIE，并被接受用于低耗智能卡的欧洲标准。

多变量公钥密码体制是基于有限域上多变量非线性方程组的求解问题而设计的密码系统，其主要构成是有限域上的多变量多项式。其安全性是基于求解一组多变量多项式方程是一NP-C问题，目前研究量子计算机在处理这个NP-C问题并不具备多少优势，因此，被认作是量子时代的一种安全的密码体制备选方案，成为密码技术研究中很活跃的课题。

作为一种新的研究方向，相对于传统的签名体制，多变量公钥密码比基于数论的体制具有较高的效率、安全性，且易于硬件实现的特性，使其特别适用于存储空间和运算时间受限的场合，如智能卡、无线传感网络和动态RFID标签。但是，截止到目前多变量签名模型还存有以下问题：(1)标准的签名模型的验证条件还存有缺陷，这是由于目前的多变量签名验证仅依赖公钥，且验证条件过于单一，也就是说即使伪造者不知道合法的秘密钥，也有可能通过公钥P的结构寻求特殊关系反解签名；(2)标准的签名模型在验证时不涉及内部秘密信息，给伪造者留有可乘之机，原因在于合法者在进行签名时，是利用自己的秘密钥一步一步求逆而得到的签名，但目前的验证均没有将该求逆过程体现到设计中去，也就是说验证时不验证伪造者是否掌握合法密钥，从而降低了伪造的难度；(3)前面两个原因将会导致：攻击者通过对P的求解可伪造一个能通过公钥P的验证但不是合法者经过秘密钥得出的签名。而该问题是平凡的，也就是说当中心映射是一个多对一的函数，其本身就存在一个消息对应多个签名的现象，因此，在设计多变量签名方案时有必要将上述这些问题考虑并避免。

目前，在以多变量公钥体制为基础的签名方案中，还没有产生能有效解决上述问题的安全的多变量签名体制。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种抵抗伪造签名攻击的多变量签名方法，该方法将以多变量公钥密码体制为理论基础，通过有限域上多个变量的多项式方程组而构建的一种消息签名和验证方案，该方案解决了现有的多变量签名方案的模型缺陷，使得在抗量子攻击的条件下，签名验证不仅仅依赖于公钥的验证，还将涉及用户的合法秘密钥，能够为量子计算机时代的信息安全和信任体系的建立提供基础技术支撑，适用于量子计算机时代的安全的数字签名，同时由于其具有较高的效率和安全性，特别适用于存储空间和运算时间受限的场合，如智能卡、无线传感网络和动态RFID标签。

为了实现上述目的，本发明采用的技术方案是：通过增加一个称之为签名附加值的量，使得签名验证时，增加一个关于内部信息x的验证条件，使得可有效抵抗伪造攻击。具体地：一种抵抗伪造签名攻击的多变量签名方法，包括如下步骤：

步骤1，选择系统参数