一种基于格理论的签名方案及其安全线性网络编码方法

摘要

一种基于格理论的签名方案，包括参数生成、签名生成、签名验证。主要利用陷门产生函数进行参数生成，利用格向量选取函数进行签名生成，利用签名长度和格判断进行签名验证。本发明将消息向量依次在格基的各向量上映射生成签名，具有高斯随机性，并能保证所选向量不会泄露关于消息以及格私钥的任何信息。一种基于格签名方案的安全线性网络编码方法，有效融合基于格理论的签名方案和随机线性网络编码，相较于传统的安全网络编码方法，该方法具有低复杂度的签名运算，而且能够抵御量子计算机条件下的污染攻击，提高网络传输的安全性。

说明书

技术领域

本发明涉及一种基于格理论的签名方案及其安全线性网络编码方法，属于 信息网络安全技术领域。

背景技术

网络编码因有利于网络传输性能的提升而成为近年的主要研究热点，但同 时它也带来了许多安全问题，其中最主要的问题是易受污染攻击：网络中的攻 击者为阻止网络的正常通信，篡改网络中传输的数据或向网络中注入随机数据 来干扰网络通信。当网络采用网络编码进行消息传输时，若遭遇污染攻击，因 网络编码允许网络中的数据相互混合，使得污染报文在全网中扩散，这样，目 的节点便会接收到受污染的数据以致于无法对源节点发送的消息正确解码。

针对网络编码的污染攻击，已有研究成果可划分为两大类：基于信息论的 方案和基于密码学的方案。一方面，对于基于信息论的方案，源节点在原始消 息中加入一些“冗余信息”，这些冗余信息可以对被篡改的消息进行纠错还原。 此类方法虽不依赖于任何计算性假设，但是对网络中蓄意节点的数量、被篡改 消息的数量以及可窃听链路的数量都作了限制性的假设，抵御污染攻击的能力 十分有限；同时，这些冗余信息的引入也造成了大量的额外信息传输。另一方 面，对于基于密码学的方案，主要基于一些计算性假设，即假设以攻击者的计 算能力无法在有限的时间内完成某数学问题的计算，除此之外，不对攻击者的 其它攻击能力作任何的限制（包括蓄意节点数量，被篡改消息的数目以及可窃 听链路的数量）。此类方法允许任意节点对所接收到的消息进行验证，一旦发 现错误（即消息无法通过验证），则立即丢弃该消息。因此，此类方法可以彻 底清除网络中的污染消息，具有很强的安全性。目前，抵御网络编码中污染攻 击的多数方案是基于传统的密码体制，例如RSA、ECC等，然而，随着量子 计算机的快速发展，这些传统的密码体制将无法满足安全需求。

格密码是目前密码学中发展最为迅速的领域之一，格密码体制是基于多种 数学困难问题所构造的密码算法。相较于传统的基于数字理论的密码体制，格 密码具有以下优点：安全性极高，可抵御量子计算机的攻击；运算更简便，运 算速度更快；实现在同等安全性条件下基于格的签名方案参数取值较小。因此， 格密码具有更高的实用价值。到目前为止，所有的格密码体制均建立在格中的 单向函数或碰撞哈希函数的基础上。早期的格密码体制包括GGH（Goldreich， Goldwasser Halevi）和NTRU（Number Theory Research Unit），后者是对 前者的改进。GGH密码体制已由Nguyen和Regev攻破。Craig Gentry和Chris  Peikert在GGH算法的基础上设计了一种新的格陷门函数，并根据该函数设计 了相应的签名算法，使得消息签名满足高斯随机分布，因而解决了GGH签名 算法中容易由签名推出私钥的问题。Boneh在Chris Peikert工作的基础上提出 了一种具有同态性质的格签名算法，将签名限定在有限域Z_2q中，可以利用签名 的同态性质实现对消息线性组合的认证。

如何利用格密码体制构造一种适合于网络编码的签名方案，将有利于抵御 网络编码的污染攻击，促进网络编码从理论走向实用化。

发明内容

本发明的技术解决问题：为了抵御网络编码的污染攻击，克服现有签名技 术的不足，利用格的特殊性质提供一种基于格理论的签名方案及其安全线性网 络编码方法，降低签名运算复杂度和提高网络编码的安全性。

本发明采取的技术方案是：

一、一种基于格理论的签名方案，包括以下3个部分内容：

（1）参数生成算法：选定一个整数n，选定一个素数q，保证q≥3，并选 定任意一个正整数m，保证m≥5nlgq，利用陷门产生函数计算出(A,T)，其中A为 公钥，T为私钥。

（2）签名生成算法：给定私钥T和消息x，选择哈希函数对消息x计算其哈希值H(x)；利用格向量选择函数，在格Λ^⊥(A)中高斯随机选取 向量v，保证v满足||H(x)-v||≤ρ。其中ρ为γ-CVP问题中的距离d，其值为γ·μ， μ为一常数。

（3）签名验证算法：给定公钥A，原始消息x，签名v，首先计算消息x的 哈希值H(x)，然后判断签名的长度是否小于界限值，即||H(x)-v||≤ρ；最后判断 该签名v是否在格Λ^⊥(A)中，即判断等式A·v=0是否成立，如果成立，则签名得 到验证。

所述内容（1）中的陷门产生函数，其实现步骤如下：

（1.1）输入任意大于零的数C和δ，大于等于3的素数q以及任意矩阵 令m₁≥d=(1+δ)nlg(q)，m₂≥(4+2δ)nlg(q)，m=m₁+m₂；

（1.2）计算格Λ^⊥(A)的基底T，其中||T||≤L=m^1+ε，ε为任意大于0的数；

（1.3）计算矩阵其中A服从上的均匀分布。

所述内容（2）中利用格向量选择函数，其实现步骤如下：

（2.1）输入消息向量x和格Λ^⊥(A)的“好”基T=[t₁，t₂,…,t_m]；

（2.2）计算格Λ^⊥(A)中与x距离小于等于ρ的向量v。

其特征在于：

该签名方案将消息向量x依次在格基T的各向量上映射，最终将找到向量x 所在的子格，在与给定消息向量x相近（距离小于某一上界）的格向量里高斯 随机选取某一向量，并能保证所选向量不会泄露关于消息x以及格私钥的任何 信息。

二、一种基于格签名方案的安全线性网络编码方法，它包含以下步骤：

步骤一：源节点首先由参数生成算法计算出公钥A和私钥T，再由签名生 成算法生成对消息向量x₁,x₂,…,x_m的签名v₁,v₂,…,v_m，然后随机产生m组系数 {a₁,a₂,…,a_m}_i(i=1,2,…,m)，利用该m组系数对消息向量以及相应签名进行线性组 合，得到编码后的向量M_i和V_i(i＝1,2,…,m)，其中M_i=a₁x₁+a₂x₂+…a_mx_m， V_i=a₁v₁+a₂v₂+…a_mv_m，并计算出距离上界B₁=(||s₁||+…+||s_k||)max_i(|a_i|)和距离下界 B₂=|…||||a₁s₁||-||a₂s₂|||-||a₃s₃|||-…-||a_ks_k|||。然后，源节点将四元组即消息、签名以 及上下界的组合(M_i||V_i||B₁||B₂)转发。

步骤二：中继节点在接收到任意k个四元组(M_i||V_i||B₁||B₂)后，首先由签名 验证算法判定A·V_i＝0是否成立，然后判断M_i与V_i之间的距离是否在上界和下界 构成的区间中，即判断B₂≤d≤B₁是否成立。如果不等式成立，则签名验证成功。 然后中继节点随机产生k个系数a₁,…,a_k，对收到的消息向量和签名进行线性组 合，得到M和V，并计算新的上界B₁和下界B₂，将四元组(M||V||B₁||B₂)转发。

步骤三：目的节点接收到m个消息向量后，首先由签名验证算法验证消息 是否遭受污染攻击，如果未受攻击，则判断收到的消息向量是否线性无关，如 果无关则对其进行解码。

其特征在于：

相较于传统的安全网络编码，该安全线性网络编码方法具有低复杂度的签 名运算，并且能够抵御量子计算机条件下的污染攻击。

本发明与现有技术相比的优点在于：

（1）本发明利用格签名实现可抵御污染攻击的安全网络编码，将格理论与 网络编码有效结合，相较于传统的安全网络编码，其运算复杂度大幅降低，并 且能够抵御量子计算机的攻击，提高网络传输的安全性。

（2）本发明采用基于格理论的签名方案，设计了格向量选择函数，能够在 格中高斯随机选取某一向量，保证其与给定向量的距离小于某临界值，并基于 签名方案构造了适合于网络编码的签名体制，具有更高的安全性和较低的运算 开销。

附图说明

图1为本发明的网络拓扑结构图；

图2为本发明的二维格的几何表达；

图3为本发明的网络编码示意图；

图4为本发明的格向量选择示意图；

图5为本发明中组合后的签名与消息的距离关系图；

图6为本发明的安全线性网络编码方法的流程图。

图中符号说明如下：

S表示源节点；

M_i(i＝1,2,…,m)表示源节点发送的原始消息，V_i表示消息相对应的签名；

1,…,7表示部分中继节点的标号；

E表示中继节点生成的编码消息；

t₁，…,t_k表示目的节点；

ob₁和ob₂表示二维格的两个基向量；

a表示二维格的基向量加法合成向量所在位置；

S、F、D分别表示源节点、中继节点和目的节点；

M₁和M₂表示源节点S向目的节点D发送两条消息，S₁和S₂表示两个消息相 对应的签名；

aM₁+bM₂表示中继节点对消息M₁和M₂进行线性组合后的消息，S₃表示消 息相对应的签名；

x表示格中的消息向量；

x₁和x₂表示格中的两个消息向量，v₁和v₂表示与两个消息向量相对应的签 名向量；

ax₁，bx₂，ax₁+bx₂表示格中的消息向量的线性组合，av₁，bv₂，av₁+bv₂表 示与消息向量相对应的签名向量；

B₁和B₂分别表示距离上界和距离下界；

k表示随机系数的个数；

A表示源节点产生的用于消息签名的公钥；

M表示中继节点产生的编码消息，V表示消息相对应的签名。

具体实施方式

本发明所提出的一种基于格理论的签名方案及其安全线性网络编码方法需 解决以下三个问题：第一，如何确定网络编码方法及其基于消息签名的系统框 架，以满足分布式传输和较小时空复杂度的要求；第二，如何利用格的特殊性 质设计高安全性的签名方案；第三，如何融合签名方案和网络编码方法，设计 新的安全网络编码方法。

下面分三个部分阐述本发明的具体实施方法：

1．网络编码方法及其基于消息签名的系统框架

网络编码按照编码系数产生方式的不同可分为随机性网络编码和确定性网 络编码，按照编码方式的不同可分为线性网络编码和非线性网络编码。根据网 络的分布式传输特点，以下重点介绍随机线性网络编码的具体过程。

网络拓扑如图1所示。源节点将要发送的每一条原始消息M_i(i=1,2,…,m)设 定为选自有限域Z_q的长度为n的向量，其中q是预先定义的素数。因此，原始消 息M_i表示为(m_i1，…,m_in)。

在随机线性网络编码中，每一个中继节点将收到的消息线性组合，生成编 码消息E再转发。因此，E可表示为该中继节点所收到的消息(E₁,…,E_k)的线性 叠加，即

$E=(a_1...a_k)\times \left(\begin{array}{c}{E}_1\\ .\\ .\\ .\\ E_k\end{array}\right)\mathrm{mod}q$

其中(a₁…a_k)为编码向量，由中继节点随机产生。为了保证目的节点能够对 收到的消息进行解码，在源节点发出的每条原始消息M_i前附加一段长度为m的 单位向量，生成新的向量M_i′：

相应地，中继节点收到的消息向量E′记为

E′=(e₁′,e′₂，...,e′_m,e′_m+1，...,e′_m+n)

其中，M_i′，E′可统称为扩展消息或扩展向量。为了防止攻击者截获从源节 点发出的原始消息，源节点对其所要发送的消息也要进行编码，即对要发送的m 条扩展消息(M₁′,…,M′_m)进行m次线性组合，获得m条编码消息并转发。

目的节点在收到m条线性无关的消息(E′₁,…,E′_m)后，即

将该矩阵前m列构成的矩阵记作U，后n列构成的矩阵记作V，则可将源节 点发送的m条原始消息解码恢复。

$\left(\begin{array}{c}{M}_1\\ .\\ .\\ .\\ M_m\end{array}\right)=U^{-1}V$

为抵御网络中的污染攻击，网络中各节点需要对收到的消息进行签名以保 证接收该消息数据的节点可以通过签名来验证该数据在传输过程中是否遭受污 染攻击，系统框架如下：

首先，网络中的源节点S对要发送的m条消息M₁,…,M_m进行签名，获得 S₁，…,S_m，然后将消息和签名的组合M₁||S₁,…,M_m||S_m发送给网络中的中继节点；

其次，中继节点在接收到其他节点发送的消息与签名的组合后，首先对签 名进行验证，如果验证通过，则随机产生k个系数a₁，…,a_k，对收到的k条消息和 k个签名线性组合，获得新的消息和签名，将其转发给其他节点。

最后，目的节点在接收到m个消息和组合的签名后，同样首先对签名进行 验证，如果验证通过，则判断该m条消息是否线性无关，如果无关，则对其进 行解码。

在网络编码过程中，通过签名环节可以实现中继节点和目的节点对源节点 身份的认证，并能保证被污染的消息能够及时被中继节点丢弃而不必将其传递 到目的节点才进行验证，减少了网络中污染消息的传输量，增加了网络的吞吐 能力。

2．基于格的签名方案

格是n维欧几里德空间中均匀分布的点集。最简单的格是整数格Zⁿ，在此 格中所有的元素均为整数。一般而言，格可定义为：

$L={\mathrm{BZ}}^k=\{\mathrm{Bx}:x\in Z^k\}⋐R^n$

其中，B∈R^n×k即B为实数域上n×k维的矩阵，且B的k个列向量线性无关， 称为格的基（简称为格基），x为整数域上的k维向量，因此格L表示对矩阵B中 所有列向量线性组合后所产生的向量的集合，且线性组合的各系数均为整数。 图2为二维格的几何表达。

该二维格BZ²由矩阵B=[b₁,b₂]张成。通常，格的行列式定义为平行四边形 o-b₁-a-b₂的体积，而针对二维格的体积，实际是平行四边形的面积。

格基是格中最重要的概念之一，格基分为“好”基和“坏”基，“好”基是 指行列式的值小于某一上限的基，相应地，“坏”基是指行列式的值较大的某些 基。考虑到“好”基容易解决格中的一些困难问题而“坏”基却不具备此特性， 格密码体制中经常将“好”基作为私钥，“坏”基作为公钥。需要注意由基B扩 展成的线性空间V和由B扩展成的格L之间的区别：由B扩展成的线性空间V可 表示为B中所有列向量的“实”线性组合∑_ib_i·x_i(x_i∈R)，而在格中仅取B中所 有列向量的“整”线性组合。因此，不同于线性空间V中点的连续性，格中的 点分布离散，这也造成了格中的一些问题无法利用传统的线性代数方法解决。 例如，在任何线性空间V中都能够找到正交基，但并不是所有格中都存在正交 基，造成许多在线性空间中能够利用正交基底解决的问题在格中无法解决，许 多基于格的密码学算法正是基于这一性质而构造的。

目前，格中主要存在几下几种数学难题：最短基问题SBP（Shortest Basis  Problem）、最短向量问题SVP（Shortest Vector Problem）、最短独立向量问 题SIVP（Shortest Independent Vector Problem）、最近向量问题CVP（Closest  Vector Problem）等。这里以SVP问题和CVP问题为例进行介绍。

定义1最短向量问题（SVP）：给定格L，找到一个非零向量v∈L，使其 对于任意向量u∈L，满足||v||≤||u||（这里范数||＊||均指2范数，下文中为叙述简便， 常将向量的2范数简称为向量长度）。近最短向量问题（γ-SVP）可表述为给 定格L，找到一个非零向量v∈L，使其对于任意向量u∈L，满足||v||≤γ||u||。

定义2最近向量问题（CVP）：给定格目标点t∈Rⁿ，距离上界d， 在格中找到向量v∈L使得||t-v||≤d。在准确最近向量问题中， d＝μ(t,L)=min_v∈L||t-v||，而在近最近向量问题γ-CVP中，d＝γ·μ。

目前Craig Gentry和Chris Peikert提出的基于陷门的签名算法，保证对消 息的签名满足高斯随机分布，解决了GGH签名算法中由签名容易推出私钥的 问题，并采用随机困难格使得算法满足最差条件下的困难度（Worst Case  Hardness，WCH）。算法首先对消息M进行哈希运算得到H(M)，然后在事先 选定的随机矩阵A的格Λ^H(M)(A)中高斯随机选取较短向量e作为对消息M的签 名。签名验证时首先判断签名长度是否满足小于给定上界，然后判断签名是否 在格Λ^H(M)(A)中。然而，该签名算法并不适用于随机线性网络编码。以最简单的 网络编码情况为例，如图3所示，进行说明。

源节点S需要向目的节点D发送两条消息M₁和M₂，首先其生成签名S₁和 S₂。中继节点F在收到两个消息后，首先对签名进行验证，然后对两个消息进 行线性组合，生成M₃，且M₃=aM₁+bM₂。虽然可以利用收到的签名S₁和S₂生成 对消息M₃的签名，但该签名算法在生成签名S₃时存在重要缺陷。首先，由于算 法私钥为格Λ^H(M)(A)中的最短基，因此对于不同的消息M，签名算法的私钥都不 相同。因此对于发送多组消息M₁和M₂的源节点S而言，对每组消息进行签名的 私钥都不同，也就无法验证源节点S的身份。其次，由于算法中所产生的对消 息M的签名是格Λ^H(M)(A)中的最短向量，因此中继节点F在接收到二元组(M₁||S₁) 和(M₂||S₂)之后，需要利用S₁和S₂生成格Λ^H(M)(A)中的较短向量S₃，且S₃=aS₁+bS₂， 然而随着系数a、b的增加以及中继节点线性组合的向量个数的逐渐增加，该值 逐渐增大，因此签名长度很容易超出签名验证中所给出的固定上界，因此由该 签名算法构造出来的网络编码签名算法对网络节点的数目、随机系数的选取都 有很大的限制。Boneh在Chris Peikert的研究基础上提出了一种具有同态性质 的格签名算法，将算法限制在有限域Z_2q中，但对编码向量的数目有所限制，并 且没有考虑随机系数的影响，仅仅是对消息进行简单的加和运算，因此并没有 解决以上两点缺陷。

鉴于以上原因，本发明给出一种新的基于格理论的签名算法，有利于网络 编码中抵御污染攻击，并且对网络编码中系数的大小和编码时的向量个数限制 很小。

基于格理论的签名方案，主要包括3个部分：参数生成，签名生成，和签 名验证。

首先，对于参数生成算法，需要选定一个整数n，选定一个素数q，保证q≥3， 并选定任意一个正整数m，保证m≥5nlgq，进而利用陷门产生函数计算出(A,T)， 其中A为公钥，T为私钥。

陷门产生函数定义：对任意素数q≥3和任意正整数m≥5nlgq，存在概率多 项式时间算法，即生成矩阵和Λ^⊥(A)的基底T，其中A服从上的均匀 分布，||T||≤L=m^1+ε，其中ε为任意大于0的数。

陷门产生函数具体步骤如下：

1）输入任意大于零的数C和δ以及大于等于3的素数q。令 m₁≥d=(1+δ)nlg(q)，m₂≥(4+2δ)nlg(q)，m=m₁+m₂。任意矩阵

2）产生主成分矩阵$U\in Z^{m_2\times m_2},$$G,R\in Z^{m_1\times m_2},$$P\in Z^{m_2\times m_1},$$C\in Z^{m_1\times m_1}.$其中， U为非奇异矩阵，(GP+C)∈Λ^⊥(A₁)；然后计算中间矩阵A₂=-A₁×(R+G)和基底

$T=\left(\begin{array}{cc}(G+R)U& \mathrm{RP}-C\\ U& P\end{array}\right);$

3）计算矩阵A=[A₁|A₂]。

其次，对于签名生成算法，给定私钥T和消息x，选择哈希函数 对消息x计算其哈希值H(x)；利用格向量选择函数，在格Λ^⊥(A) 中高斯随机选取向量v，保证v满足||H(x)-v||≤ρ。

格向量选择函数定义：当给定某一格时，该函数可在与给定消息向量x相 近（距离小于某一上限）的该格向量里高斯随机选取某一向量，并能保证所选 向量不会泄露关于消息x以及格私钥的任何信息。

如图4所示，x为消息向量，该函数可在阴影区域所包含的所有格点中高 斯随机选取一格点作为函数的输出。

格向量选择函数具体步骤如下：

1）输入消息向量x和格Λ^⊥(A)的“好”基T=[t₁，t₂,…,t_m]；

2）计算格Λ^⊥(A)中与x距离小于等于ρ的向量v，其中ρ为γ-CVP问题中的 距离d，其值为γ·μ，μ为一常数，通常取通常将γ近似为2^n/2。

该函数将消息向量x依次在格基T的各向量上映射，最终找到向量x所在的 子格，输出相应的向量，输出向量具有高斯随机性。

最后，对于签名验证算法，给定公钥A，原始消息向量x，签名v，首先计 算消息x的哈希值H(x)，然后判断签名的长度是否小于上界，即||H(x)-v||≤ρ； 最后判断该签名v是否在格Λ^⊥(A)中，即判断等式A·v=0是否成立，如果成立， 则签名得到验证。

3．基于格签名的安全线性网络编码方法

考虑到线性组合后的消息与签名之间的距离与编码系数以及节点个数有 关，当源节点发出的消息经过多次线性组合后，消息和签名之间的距离已远大 于上界ρ。如果采用现有的签名验证方式，则当消息经过多次中继节点的转发 后，签名体制将会失效。

假设中继节点需要对两个二维向量x₁和x₂的线性组合ax₁+bx₂进行签名，利 用式av₁+bv₂计算对向量x₃的签名，如图5所示。

从图5可以看出，新产生的签名与新产生的消息向量距离已远大于原始消 息与向量之间的距离，而且，随着随机系数的增大和线性组合向量数的增加， 该距离会增大。因此，为了融合现有的签名验证方式和网络编码方法，这里给 出一种基于格签名的安全线性网络编码方法。源节点仍采用签名算法对消息进 行签名，而中继节点对收到的k条消息线性组合后，对相应的k个签名线性组合 作为对组合后的消息的签名发送给下一跳节点，下一跳节点再利用新的签名验 证算法对消息是否遭受污染攻击进行认证。

由签名过程可知，当对收到的消息向量x₁,x₂,…,x_k随机线性组合后，组合后 的向量与组合后的签名的距离已经远远超过签名验证的上界ρ，因此如果仍采 用方案中的签名验证方法，签名无法验证成功；如果增大该上界，则签名很容 易伪造，因此有必要给出组合向量与组合签名的距离的上下界。

对于组合向量与组合签名的距离

d=||a₁x₁+a₂x₂+…a_kx_k-a₁v₁-a₂v₂-…a_kv_k||

=||a₁(x₁-v₁)+a₂(x₂-v₂)+…+a_k(x_k-v_k)||

令s_i＝x_i-v_i，可得到

d=||a₁s₁+a₂s₂+…a_ks_k||

则(||s₁||+…+||s_k||)max_i(|a_i|)≥d≥|…||||a₁s₁||-||a₂s₂|||-||a₃s₃|||-…-||a_ks_k|||。

根据编码后向量和签名之间距离的取值范围，给出如下安全线性网络编码 方法：

1）源节点首先由基于格的签名算法生成对消息向量x₁,x₂,…,x_m的签名 v₁,v₂,…,v_m，然后随机产生m组系数{a₁，a₂,…,a_m}_i(i=1,2,…,m)，利用该m组系数对 消息向量以及相应签名进行线性组合，得到编码后的向量M_i和V_i(i=1,2,…,m)， 其中M_i＝a₁x₁+a₂x₂+…a_mx_m，V_i=a₁v₁+a₂v₂+…a_mv_m，并计算出距离上界 B₁＝(||s₁||+…+||s_k||)max_i(|a_i|)和距离下界B₂＝|…||||a₁s₁||-||a₂s₂|||-||a₃s₃|||-…-||a_ks_k|||。然 后，源节点将四元组即消息、签名以及上下界的组合(M_i||V_i||B₁||B₂)转发。

2）中继节点在接收到任意k个四元组(M_i||V_i||B₁||B₂)后，首先由签名验证算 法判定A·V_i=0是否成立，然后判断M_i与V_i之间的距离是否在上界和下界构成的 区间中，即判断B₂≤d≤B₁是否成立。如果不等式成立，则签名验证成功。然后 中继节点随机产生k个系数a₁,…,a_k，对收到的消息向量和签名进行线性组合， 得到M和V，并计算新的上界B₁和下界B₂，将四元组(M||V||B₁||B₂)转发。

3）目的节点接收到m个消息向量后，首先由签名验证算法验证消息是否遭 受污染攻击，如果未受攻击，则判断收到的消息向量是否线性无关，如果无关 则对其进行解码。

安全线性网络编码方法的具体流程如图6所示。

消息向量M与签名向量V之间距离的计算需要进行n次平方运算（n为M的 维数），由于网络中所有节点都要运行此运算，将网络中的节点数记为N，则在 一次网络编码过程中需进行nN次平方运算，当n和N很大时，网络中的开销将 会很大。该方案利用组合向量与组合签名的距离的上下界，减小运算开销，而 且其破解难度等价于SVP问题。

本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的 现有技术。

以上所述仅是本发明基于格理论的签名方案及其安全线性网络编码方法的 优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本 发明一种基于格理论的签名方案及其安全线性网络编码方法原理的前提下，还 可以作出若干改进和润饰，这些改进和润饰也应视为本发明基于格理论的签名 方案及其安全线性网络编码方法的保护范围。