[发明专利]一种抗量子计算攻击的默克尔树签名方法

权利要求书

1.一种抗量子计算攻击的默克尔树签名系统，其特征在于，可分为签名子系统和验证子系统两部分。其中签名子系统包括PN序列随机数生成模块、HASH函数核心运算模块、伪随机数生成器PRNG、签名-验证密钥对生成与存储模块、默克尔树公钥运算模块、计数器模块、消息摘要生成模块、一次性签名模块；验证子系统包括消息摘要生成模块、一次性签名验证模块、HASH函数核心运算模块、默克尔树根节点验证模块、综合判断模块；

PN序列随机数生成模块1通过256位的线性反馈移位寄存器产生PN256随机序列，并将该256位的伪随机数D₁₀发送至HASH函数核心运算模块2作为HASH函数的随机输入参数，从而保证HASH函数的可变性和语义安全性，同时将伪随机数D₁₀发送至验证子系统的HASH函数核心运算模块11；

HASH函数核心运算模块2是签名子系统中通过硬件电路高速实现HASH函数的核心部件，其接收来自PN序列随机数生成模块1的伪随机数D₁₀作为HASH函数的核心参数，其分别接收到默克尔树公钥运算模块5、一次性签名验证模块8发送来的HASH函数运算待处理数据D₅₀和D₈₀，进行HASH运算后分别发送处理结果D₂₀、D₂₁至默克尔树公钥运算模块5和一次性签名验证模块8；

伪随机数生成器PRNG 3接收到D_Seed0并以此为初始随机种子SEED0用于生成大量的签名秘钥，如图3。伪随机数生成器PRNG 3的核心是伪随机数产生单元PRNG，PRNG的运算逻辑可以表示为PRNG：{0,1}ⁿ→{0,1}ⁿ×{0,1}ⁿ，在图3中的第一行中，SEED_i经过PRNG运算得到SEED_i+1，即第一行由初始随机种子SEED₀逐个生成种子序列SEED_i(i＝1,2,3,…,2^H-1)，总共可以生成2^H个种子，本发明中H指默克尔树的高度；而在图3的第i列中，由随机种子SEED_i逐个生成签名秘钥的分量x_i,0、x_i,1、x_i,2、…、x_i,n-1，而上述分量组成了一个签名秘钥X_i＝(x_i,0,x_i,1,x_i,2,…,x_i,n-1),总共可以产生共2^H个签名秘钥D₃₀，并将D₃₀发送至签名-验证密钥对生成与存储模块4。因为通过D_Seed0可以扩展出所有的签名秘钥，所以D_Seed0作为签名系统的私钥KEY_sec安全保存。伪随机数生成器PRNG3接收到签名-验证密钥对生成与存储模块4发送来的签名秘钥的查询坐标值D₄₀，并将D₄₀请求的签名秘钥D₃₁发送给签名-验证密钥对生成与存储模块4；

签名-验证密钥对生成与存储模块4接收来自伪随机数生成器PRNG3发送来的2^H个签名秘钥D₃₀，并通过HASH单向函数运算模块对D₃₀进行处理生成验证秘钥Y_i＝(y_i,0,y_i,1,y_i,2,…,y_i,n-1)，其中y_i,j＝f(x_i,j)(i＝0,1,2,3,…,2^H-1；j＝0,1,2,…,n-1)，其中单向函数f表示为f:{0,1}ⁿ→{0,1}ⁿ。签名子系统初始化阶段，签名-验证密钥对生成与存储模块4将所有的验证秘钥集合发送至默克尔树公钥运算模块5，用于计算签名系统的公钥KEY_pub。在签名子系统执行一次性签名阶段，签名-验证密钥对生成与存储模块4将签名秘钥坐标值的查询请求D₄₁发送给计数器模块，从而接收来自计数器模块反馈的签名秘钥的坐标值D₆₀＝s，根据D₆₀确定本次签名所需的签名秘钥的坐标值并向伪随机数生成器PRNG3发送签名秘钥的查询坐标值D₄₀，从而接收伪随机数生成器PRNG3发送来的签名秘钥D₃₁。签名-验证密钥对生成与存储模块4将用于一次性签名的数据D₄₂＝(s,X_s,Y_s,Y_s到默克尔根节点的途经节点在同一父节点之下的兄弟节点值)发送至一次性签名模块8；

默克尔树公钥运算模块5用于计算签名系统的公钥，如图4所示。其接收到签名-验证密钥对生成与存储模块4发送来的验证秘钥集合按照图4中的结构生成默克尔树的根节点值，作为签名系统的公钥D₅₁＝KEY_pub，同时将KEY_pub广播给所有用户。以图4中高度H＝3的默克尔树为例，具体根节点值的运算过程如下：v_0,j＝hash(Y_j),v_h,j＝hash(v_h-1,2j||v_h-1,2j+1)，1≤h≤H，0≤j2^H-h，这里v_h,j表示默克尔树中高度为h，坐标为j的节点值，hash为哈希函数，||表示拼接。在此过程中，默克尔树公钥运算模块5将所有需要HASH运算的需求D₅₀发送至HASH函数核心运算模块2，从而获得HASH函数核心运算模块2反馈回来的HASH计算结果D₂₀；

计数器模块6接收到签名-验证密钥对生成与存储模块4关于签名秘钥坐标值的查询请求D₄₁，并向签名-验证密钥对生成与存储模块4反馈本次签名所使用的签名秘钥的坐标值D₆₀。在每次一次性签名完成后，计数器模块6的内部寄存器s＝s+1，即坐标值+1指向下一个待使用的签名秘钥；

消息摘要生成模块7接收待签名的消息数据D_{in_sign}＝m，并通过特定的HASH函数对其进行处理得到消息摘要D₇₀＝d＝(d_n-1,d_n-2,…,d₀)发送至一次性签名模块8；

一次性签名模块8接收消息摘要生成模块7发来的消息摘要D₇₀＝d＝(d_n-1,d_n-2,…,d₀)，接收到签名-验证密钥对生成与存储模块4发来的用于一次性签名的信息D₄₂＝(s,X_s,Y_s,Y_s到默克尔根节点验证的途经节点在同一父节点之下的兄弟节点值)，接收到默克尔树公钥运算模块5发送来的签名系统的公钥D₅₁＝KEY_pub。通过对摘要d进行签名，得到消息签名通过Y_s到默克尔根节点验证的途经节点在同一父节点之下的兄弟节点值，计算Y_s到默克尔树根节点的验证路径P＝(p₁,p₂,…,p_H-1)，其中，这里h＝0,1,…,H-1，符号/表示整数相除求整数商，符号表示下取整。如图5所示，以高度H＝3的默克尔树为例，P＝(v_0,5,v_1,3,v_2,0,v_3,5)。最后，签名子系统输出完整的默克尔树数字签名D_{out_sign}＝(m,s,e_s,Y_s,P)；

消息摘要生成模块9接收到消息的数字签名D_{out_sign}＝(m,s,e_s,Y_s,P)中的m，并通过与签名子系统同样的HASH函数对消息m进行处理得到消息摘要D₉₀＝g＝(g_n-1,g_n-2,…,g₀)发送至一次性签名验证模块10；

一次性签名验证模块10接收到消息摘要生成模块9发来的消息摘要D₉₀＝g＝(g_n-1,g_n-2,…,g₀)，接收到到消息的数字签名D_{out_sign}＝(m,s,e_s,Y_s,P)中的s、e_s和Y_s，通过计算并检验等式是否成立，从而验证一次性签名e_s的有效性，即确认e_s是否由验证秘钥Y_s对应的签名秘钥X_s签名所得，若成立，则表示签名e_s有效，否则无效。将一次性签名e_s的验证结果D₁₀₀发送给综合判断模块13；

HASH函数核心运算模块11是验证子系统中通过硬件电路高速实现HASH函数计算的核心部件，其接收来自PN序列随机数生成模块1的伪随机数作为HASH函数的核心参数，其接收到默克尔树根节点验证模块12发送来的HASH函数运算待处理数据D₁₂₀，进行HASH运算后发送处理结果D₁₁₀至默克尔树根节点验证模块12；

默克尔树根节点验证模块12接收到消息的数字签名D_{out_sign}＝(m,s,e_s,Y_s,P)中的P和Y_s，接收来自默克尔树公钥运算模块5发来的签名系统的公钥D₅₁＝KEY_pub。如图5，通过P＝(p₁,p₂,…,p_H-1)按照默克尔树根节点的计算方法计算根节点值Merkel，T₀＝hash(Y_s)，若则T_h＝hash(T_h-1||p_h-1)，若则T_h＝hash(p_h-1||T_h-1)，这里1≤h≤H，最后得到，Merkel＝T_H。若Merkel＝KEY_pub成立，则说明Y_s是一个有效的验证秘钥，否则无效，将一次性验证秘钥Y_s的判断结果D₁₂₁发送至综合判断模块13；

综合判断模块13接收来自一次性签名验证模块10的一次性签名e_s的验证结果D₁₀₀和来自默克尔树根节点验证模块12的一次性验证秘钥Y_s的判断结果D₁₂₁。当且仅当D₁₀₀和D₁₂₁均验证成功，则判定该签名验证成功，否则其中任意一个结果失败，则视为该签名验证失败。综合判断模块13输出判定结果D_{out_verify}，表示签名的整体有效性。