[发明专利]一种基于格的聚合签名方法及其系统

权利要求书

1.一种基于格的聚合签名方法，其特征在于，所述方法包括：

密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

2.如权利要求1所述的基于格的聚合签名方法，其特征在于，所述密钥生成步骤具体包括：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

3.如权利要求2所述的基于格的聚合签名方法，其特征在于，所述签名生成步骤具体包括：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

4.如权利要求3所述的基于格的聚合签名方法，其特征在于，所述签名验证步骤具体包括：

利用已知用户U_i的公钥以及对消息μ_i的签名签名验证者通过以下三个式子来验证签名，其中，定义向量v的l_p-范数为且p>0，l_￥-范数为B₂,B_∞为预设的验证阈值常量，

1)

2)

3)

在上述三个式子均成立时，签名首次验证通过。

5.如权利要求4所述的基于格的聚合签名方法，其特征在于，所述聚合签名步骤具体包括：

利用已知l个用户的公钥A₁,K,A_l和签名σ₁,K,σ_l，并利用聚合器生成聚合签名

通过输入消息μ₁,K,μ_l与聚合签名来验证以下等式是否成立，并在以下等式成立时再次验证通过并接受签名，否则拒绝签名，