[发明专利]一种基于格的聚合签名方法及其系统

说明书

技术领域

本发明涉及网络通信中的数据认证技术领域，尤其涉及一种基于格的聚合签名方法及其系统。

背景技术

随着互联网技术的飞速发展，在现实中许多应用都要求在较短时间内对多个签名进行验证，为此Boneh等人提出了聚合签名(Aggregate signatures，AS)的概念，即将l个用户U₁,K,U_l对l个不同消息μ₁,K,μ_l的分别签名，并将l个签名σ₁,K,σ_l聚合成一个签名，使得验证方只需检验聚合签名即可确认U_i是否对μ_i签名。这种聚合签名方式能提升签名方案的计算与通信效率，适用于低带宽、存储与计算能力较弱的通信环境或终端，但基于经典密码理论无法抵抗量子计算机的攻击。

为了抵抗量子计算机的攻击，Ducas L等人在“Lattice Signatures and Bimodal Gaussians.CRYPTO 2013,pp.40-56,2013.”一文中，基于量子计算机不擅长的格上困难性问题，构造了一种基于格的签名方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于格的聚合签名方法及其系统，旨在解决现有技术中签名验证效率较低的问题与无法抵抗量子计算机攻击的问题。

本发明提出一种基于格的聚合签名方法，其中，所述方法包括：

密钥生成步骤：利用密钥生成中心生成每个用户公私钥对(A_i，S_i)，且使得A_iS_i＝qmod2q，并将公钥A_i公开，将私钥S_i传输至用户，其中q为素数；

签名生成步骤：输入公钥A_i、私钥S_i以及消息μ_i，并利用签名算法生成签名；

签名验证步骤：利用预设的验证阈值常量对生成的签名进行首次验证；

聚合签名步骤：利用聚合器生成聚合签名，并根据所述聚合签名以及输入的所述消息μ_i再次验证，并在验证通过时接受签名，否则拒绝签名。

优选的，所述密钥生成步骤具体包括：

随机生成n次多项式f_i与g_i，并从集合{0，±1，±2}均匀选择f_i、g_i的系数，其中，系数为{±1}和{±2}的概率分别为δ₁与δ₂；

根据生成的多项式生成私钥S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定义且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，则重新开始执行密钥生成步骤，其中，C与k为常数，n为2的幂数；

计算a_1i＝2(2g_i+1)/f_imodq；

输出公私钥对(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

优选的，所述签名生成步骤具体包括：

从离散正态分布中抽样y_1i,y_2i；

计算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定义同态哈希函数H，并计算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍弃的比特数，且p＝[2q/2^d]；

选择随机数b_i∈{0,1}，计算与

计算

以概率输出签名其中，M是固定的正实数，用以保证的输出签名概率最高为1。

优选的，所述签名验证步骤具体包括：