[发明专利]一种基于格的增量签名方法

权利要求书

1.一种基于格的增量签名方法，其特征在于，包括以下步骤：

系统建立步骤：输入安全参数n，利用格密码算法TrapGen(q,d)生成用户的公私钥对(pk,sk)，并公开系统公共参数pp，其中，素数q≥3，整数d＞5nlog q；

普通签名首次执行步骤：输入系统公共参数pp，用户私钥sk和消息M，计算消息函数U并且利用格密码算法SamplePre(A,T,s,U)输出向量σ，用户输出该消息的普通签名(U，σ)，其中，矩阵矩阵T∈Z^d×d，参数消息函数其中M_i表示消息M的第i列，选择k个矩阵其中1≤i≤k，整数m≥2nlog q；

增量签名循环执行步骤：输入系统公共参数pp，用户私钥sk，原始消息M和对应的签名σ，以及新消息M'，计算新消息函数U'并且利用格密码算法SamplePre(A,T,s,U')输出向量σ'，用户输出对新信息的增量签名(U'，σ')；以及

验证步骤：输入系统公共参数pp，用户公钥pk，消息M和签名σ，验证者验证签名的有效性。

2.根据权利要求1所述的基于格的增量签名方法，其特征在于，所述系统建立步骤包括以下子步骤：

(1)输入安全参数n，选择k个矩阵其中1≤i≤k，素数q≥3，整数m＞2nlog q，选择整数d＞5nlog q，利用格密码算法TrapGen(q,d)输出矩阵和T∈Z^d×d，其中A作为用户公钥pk，T作为用户私钥sk；以及

(2)输出系统公开参数pp＝(A,A₁,…,A_k)。

3.根据权利要求2所述的基于格的增量签名方法，其特征在于，所述签名步骤包括以下子步骤：

(1)输入系统公共参数pp＝(A,A₁,…,A_k)，用户私钥T∈Z^d×d和消息M∈{0,1}^m×k，首先计算其中M_i表示消息M的第i列，然后运行格密码算法SamplePre(A,T,s,U)输出向量σ，使得Aσ＝U(mod q)且其中参数以及

(2)用户将(U，σ)作为消息M的签名输出。

4.根据权利要求3所述的基于格的增量签名方法，其特征在于，所述增量签名步骤包括以下子步骤：

(1)用户首先计算U’＝U+A_j(M′_j-M_j)，其中，用户希望签署的新消息为M'，且M与M'差别很小且令M'与M的差别仅在第j列；

(2)用户运行格密码算法SamplePre(A,T,s,U')输出向量σ'，使得Aσ'＝U'(mod q)且以及

(3)用户可以将(U'，σ')作为消息M'的增量签名输出。

5.根据权利要求4所述的基于格的增量签名方法，其特征在于，所述验证步骤包括以下子步骤：

(1)输入系统公共参数pp＝(A,A₁,…,A_k)，消息M∈{0,1}^m×k和签名(U，σ)，验证者首先计算并比较H是否与U相同，如果不同，则签名无效，否则进行下一步；以及

(2)验证者查验Aσ＝U(mod q)且是否成立，如果成立，则签名有效，否则签名无效。