基于IP签名的代理重签名方法

摘要

本发明公开了一种基于IP签名的代理重签名方法，用于解决现有代理重签名方法抗量子攻击性差的技术问题。技术方案是对受托者与委托者的私钥进行秘密仿射变换构造重签名密钥，并基于多项式同构(IP)问题设计代理重签名及其验证过程，从而保证了代理重签名方法具有抗量子攻击性；另外，二次多变量多项式组的仿射变换主要执行乘法运算，运算量小，这使得代理重签名方法具有较高的计算效率。

说明书

技术领域

本发明涉及一种代理重签名方法，特别是涉及一种基于IP(Isomorphisms ofPolynomials，多项式同构)签名的代理重签名方法。

背景技术

随着计算机科学技术的不断发展，数字签名技术也随之飞速发展。许多具有不同功能的签名类型被陆续提出，如代理签名、群签名、多重签名等。近年来，代理重签名也成为了该领域的一个新兴研究方向。代理重签名技术需要一个拥有重签名密钥的半可信的代理，它可以将受托者针对某一消息的签名转换为委托者对同一消息的签名。代理重签名在特定路径的遍历证明、透明认证、管理群组签名以及数字证书的共享与转换等方面有较好的应用前景。

2007年，Shao等人提出了一个代理重签名方案(Jun Shao,Zhenfu Cao,LichengWang,et al.Proxy Re-signature Schemes Without Random Oracles[C]//Progress inCryptology-Indocrypt 2007:197-209,India,Chennai.)，该方案采用了Waters的签名方案进行签名，利用双线性对的性质保证代理重签名转换的正确性，并且依靠CDH(Computational Diffie-Hellman，计算性Diffie-Hellman)问题保证了方案的安全性。

2008年，Libert等提出了一个可以提高代理者的重签名密钥安全性的代理重签名方案(Libert,Beno,Vergnaud D.Multi-use unidirectional proxy re-signatures[C]//ACM Conference on Computer and Communications Security.2008:511-520.)。该方案利用双线性对的性质首次提出具有两层签名结构的代理重签名方案。第一层签名用于代理者进行签名验证与转换，第二层签名为代理者进行重签名转换后的签名。该方案依靠FlexDH(Flexible Diffie-Hellman，灵活性Diffie-Hellman)问题设计出了相比Shao的方案具有更高安全性的代理重签名方案。但现有的方案主要存在以下缺陷：(1)现有的代理重签名方案大部分都是基于大整数分解、离散对数和椭圆曲线离散对数等难题设计的，然而这些难题很难抵抗量子计算的攻击，这就意味着现有的代理重签名方案在量子攻击下是不安全的。(2)基于大数分解、离散对数等问题的方案计算量较大，计算复杂度较高，需要有较高计算能力的设备才能完成，这使得当前的代理重签名方案计算效率较低。

发明内容

为了克服现有代理重签名方法抗量子攻击性差的不足，本发明提供一种基于IP签名的代理重签名方法。该方法对受托者与委托者的私钥进行秘密仿射变换构造重签名密钥，并基于多项式同构(IP)问题设计代理重签名及其验证过程，从而保证了代理重签名方法具有抗量子攻击性；另外，二次多变量多项式组的仿射变换主要执行乘法运算，运算量小，这使得代理重签名方法具有较高的计算效率。

本发明解决其技术问题所采用的技术方案是：一种基于IP签名的代理重签名方法，其特点是包括以下步骤：

步骤一、系统参数生成。

系统管理者选择阶为2^p的有限域K，系统管理者选择三个正整数n、u和q。

其中，p表示系统管理者选取的正整数，K表示运算所在的有限域，u表示二次多项式方程组阶数的正整数，n表示二次多项式方程组变量个数的正整数，q表示哈希函数H(x)运算后的二进制值的位数。

系统管理者选择密码学中的一个抗碰撞的哈希函数H(x):{0,1}^*→{0,1}^q；

系统管理者选择具有n个变量的u阶二次多项式方程组Q，其形式为：

其中，x_i，x_j表示多项式方程组的变量，γ_ijk表示二次项的系数，μ_ik表示一次项的系数，δ_k表示常数项。

系统管理者公布系统生成的参数(n,u,q,K,Q,H(x))。

步骤二、密钥生成。

根据初始化赋值阶段由步骤一给定的二次多项式方程组Q，受托者选择秘密可逆仿射变换(M_a,N_a)，委托者选择秘密可逆仿射变换(M_b,N_b)，其形式如下：

其中，M_a表示受托者选择的具有u个变量的可逆仿射变换，N_a表示受托者选择的具有n个变量的可逆仿射变换；M_b表示委托者选择的具有u个变量的可逆仿射变换，N_b表示委托者选择的具有n个变量的可逆仿射变换；是可逆仿射变换M_a和M_b的初始变量，是可逆仿射变换N_a和N_b进行计算后生成的值。

受托者计算A_a＝M_aοQοN_a，委托者计算A_b＝M_bοQοN_b。其中，A_a表示受托者的部分公钥，A_b表示委托者的部分公钥；ο表示映射合成运算。

受托者选择秘密可逆仿射变换sk_a＝(S_a,T_a)为签名私钥、委托者选择秘密可逆仿射变换sk_b＝(S_b,T_b)为签名私钥，具体形式如下：

S_a：S_a(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),

T_a：T_a(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n),

S_b：S_b(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),

T_b：T_b(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n).

其中，sk_a表示受托者的私钥，S_a表示受托者选择的具有u个变量的可逆仿射变换的部分私钥，T_a表示受托者选择的具有n个变量的可逆仿射变换的部分私钥；sk_b表示委托者的私钥，S_b表示委托者选择的具有u个变量的可逆仿射变换的部分私钥，T_b表示委托者选择的具有n个变量的可逆仿射变换的部分私钥；y_i(i＝1,2,…,n)是可逆仿射变换S_a和S_b的初始变量，x_i′(i＝1,2,…,n)是可逆仿射变换T_a和T_b的初始变量，y_i′(i＝1,2,…,u)是可逆仿射变换S_a和S_b进行计算后生成的值，x_i(i＝1,2,…,u)是可逆仿射变换T_a和T_b进行计算后生成的值。

受托者通过计算B_a＝S_aοA_aοT_a得到受托者的另一部分公钥B_a，委托者通过计算B_b＝S_bοA_bοT_b得到委托者的另一部分公钥B_b。则受托者的公钥为pk_a＝(A_a,B_a)，委托者的公钥为pk_b＝(A_b,B_b)。

其中，B_a表示与A_a同构的受托者的部分公钥；B_b表示与A_b同构的委托者的部分公钥；pk_a表示受托者的公钥，pk_b表示委托者的公钥。

步骤三、重签名密钥生成。

重签名密钥为rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，重签名密钥生成过程如下：

代理者随机选择四个秘密可逆仿射变换C、D、E、F发送给受托者，受托者计算一组值：

Z₁＝CοM_a,

Z₂＝N_aοD,

Z₃＝EοS_aοM_a,

Z₄＝N_aοT_aοF.

其中，C表示形如M_a的可逆仿射变换，E表示形如S_a的可逆仿射变换，D表示形如N_a的可逆仿射变换，F表示形如T_a的可逆仿射变换。

受托者将计算结果(Z₁,Z₂,Z₃,Z₄)发送给委托者。委托者收到后计算一组值：

Z₁′＝Z₁οM_b^-1＝CοM_aοM_b^-1,

Z₂′＝N_b^-1οZ₂＝N_b^-1οN_aοD,

Z₃′＝Z₃οM_b^-1οS_b^-1＝EοS_aοM_aοM_b^-1οS_b^-1,

Z₄′＝T_b^-1οN_b^-1οZ₄＝T_b^-1οN_b^-1οN_aοT_aοF.

其中的“-1”为求逆运算。委托者将计算结果(Z₁′,Z₂′,Z₃′,Z₄′)发送给代理者。

代理者收到后计算一组值：

rk₁＝C^-1οZ₁′＝C^-1οCοM_aοM_b^-1,

rk₂＝Z₂′οD^-1＝N_b^-1οN_aοDοD^-1,

rk₃＝E^-1οZ₃′＝E^-1οEοS_aοM_aοM_b^-1οS_b^-1,

rk₄＝Z₄′οF^-1＝T_b^-1οN_b^-1οN_aοT_aοFοF^-1.

则得到重签名密钥为(rk₁,rk₂,rk₃,rk₄)＝(M_aοM_b^-1,N_b^-1οN_a,S_aοM_aοM_b^-1οS_b^-1,T_b^-1οN_b^-1οN_aοT_a)。其中rk_a→b表示重签名密钥，rk₁、rk₂、rk₃、rk₄表示重签名的四个部分密钥。

步骤四、签名。

受托者输入待签名消息m，他的公钥对(A_a,B_a)、私钥对(S_a,T_a)。受托者随机选择q对可逆仿射变换((S₁′,T₁′),(S₂′,T₂′),…,(S_q′,T_q′))，计算S_i′(y₁,y₂,…,y_u)＝(y₁⁽ⁱ⁾,y₂⁽ⁱ⁾,…,y_u⁽ⁱ⁾),T_i′(x₁⁽ⁱ⁾,x₂⁽ⁱ⁾,…,x_n⁽ⁱ⁾)＝(x₁,x₂,…,x_n)，i＝1,2,…,q。其中，y_j(j＝1,2,…,u)是可逆仿射变换S_i′的初始变量，x_j⁽ⁱ⁾(j＝1,2,…,n)是可逆仿射变换T_i′的初始变量，y_j⁽ⁱ⁾(j＝1,2,…,u)是可逆仿射变换S_i′进行计算后生成的值，x_j(j＝1,2,…,n)是可逆仿射变换T_i′进行计算后生成的值。

其次，受托者计算C_i＝S_i′οA_aοT_i′，i＝1,2,…,q。

受托者计算哈希值并计算(S_i,T_i)值如下：

其中H[i]表示的二进制值中第i位比特位的二进制值，这里二进制位顺序采取从低位到高位的顺序；表示受托者计算出的签名中的哈希值部分；||表示链接运算。

最后受托者计算其中，V_a表示消息m对应的受托者的签名。输出生成的签名V_a。

步骤五、重签名。

代理者输入：签名V_a，重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，受托者的公钥(A_a,B_a)，消息m。

验证签名正确性：代理者输入m，V_a，(A_a,B_a)，代理者首先对签名进行验证运算，计算：计算哈希值H′＝H(m||C₁′||C₂′||…||C_q′)后，代理者将H′与签名V_a中值进行对比。当时，签名通过验证，代理者进行下一步重签名生成；否则，输出⊥，结束运算。其中，⊥表示拒绝。

重签名生成：代理者输入签名V_a和重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，代理者进行计算：

代理者输出签名其中，V_b表示经过代理者转换后的对应消息m的委托者的签名。

步骤六、验证。

任意验证者输入待签名消息m，委托者的公钥(A_b,B_b)，转换后的签名V_b。验证者进行计算：计算哈希值H_b′＝H(m||C_1b′||C_2b′||…||C_qb′)后，将H_b′与签名V_b中值进行对比。当时，签名通过验证，即代理重签名验证成功；否则，输出⊥。

本发明的有益效果是：该方法对受托者与委托者的私钥进行秘密仿射变换构造重签名密钥，并基于多项式同构(IP)问题设计代理重签名及其验证过程，从而保证了代理重签名方法具有抗量子攻击性；另外，二次多变量多项式组的仿射变换主要执行乘法运算，运算量小，这使得代理重签名方法具有较高的计算效率。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

具体实施方式中变量及运算符号的含义对照表。

本实施例基于IP签名的代理重签名方法，选择Alice为受托者，即原始签名者；Bob为委托者，即被转换后的签名所属者。具体步骤如下：

步骤一、系统参数生成。

系统管理者选择阶为2^p的有限域K，p为系统管理者选取的正整数。系统管理者选择三个正整数n、u和q；

系统管理者选择密码学中的一个抗碰撞的哈希函数H(x):{0,1}^*→{0,1}^q；

系统管理者选择具有n个变量的u阶二次多项式方程组Q，其形式为：

系统管理者公布系统生成的参数(n,u,q,K,Q,H(x))。

步骤二、密钥生成。

根据本方案初始化赋值阶段由上步给定的方程组Q，Alice选择秘密可逆仿射变换(M_a,N_a)，Bob选择秘密可逆仿射变换(M_b,N_b)，其形式如下：

其中，是可逆仿射变换M_a和M_b的初始变量，是可逆仿射变换N_a和N_b进行计算后生成的值。Alice计算A_a＝M_aοQοN_a，Bob计算A_b＝M_bοQοN_b，则Alice的部分公钥为A_a，Bob的部分公钥为A_b；

Alice选择秘密可逆仿射变换sk_a＝(S_a,T_a)为签名私钥、Bob选择秘密可逆仿射变换sk_b＝(S_b,T_b)为签名私钥，它们的具体形式如下：

S_a：S_a(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),

T_a：T_a(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n),

S_b：S_b(y₁,y₂,…,y_u)＝(y₁′,y₂′,…,y_u′),

T_b：T_b(x₁′,x₂′,…,x_n′)＝(x₁,x₂,…,x_n).

其中，y_i′(i＝1,2,…,u)是可逆仿射变换S_a和S_b进行计算后生成的值，x_i′(i＝1,2,…,n)是可逆仿射变换T_a和T_b的初始变量。Alice过计算B_a＝S_aοA_aοT_a得到Alice的部分公钥B_a，Bob通过计算B_b＝S_bοA_bοT_b得到Bob的部分公钥B_b。则Alice的公钥为pk_a＝(A_a,B_a)，Bob的公钥为pk_b＝(A_b,B_b)。

步骤三、重签名密钥生成。

重签名密钥为rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，重签名密钥生成过程如下：

代理者随机秘密选择形如M_a的可逆仿射变换C，形如S_a的可逆仿射变换E，形如N_a的可逆仿射变换D，形如T_a的可逆仿射变换F。

代理者将C、D、E、F发送给Alice，Alice计算一组值：

Z₁＝CοM_a,

Z₂＝N_aοD,

Z₃＝EοS_aοM_a,

Z₄＝N_aοT_aοF.

Alice将计算结果(Z₁,Z₂,Z₃,Z₄)发送给Bob。Bob收到后计算一组值：

Z₁′＝Z₁οM_b^-1＝CοM_aοM_b^-1,

Z₂′＝N_b^-1οZ₂＝N_b^-1οN_aοD,

Z₃′＝Z₃οM_b^-1οS_b^-1＝EοS_aοM_aοM_b^-1οS_b^-1,

Z₄′＝T_b^-1οN_b^-1οZ₄＝T_b^-1οN_b^-1οN_aοT_aοF.

其中的“-1”为求逆运算。Bob将计算结果(Z₁′,Z₂′,Z₃′,Z₄′)发送给代理者。

代理者收到后计算一组值：

rk₁＝C^-1οZ₁′＝C^-1οCοM_aοM_b^-1,

rk₂＝Z₂′οD^-1＝N_b^-1οN_aοDοD^-1,

rk₃＝E^-1οZ₃′＝E^-1οEοS_aοM_aοM_b^-1οS_b^-1,

rk₄＝Z₄′οF^-1＝T_b^-1οN_b^-1οN_aοT_aοFοF^-1.

则得到重签名密钥为(rk₁,rk₂,rk₃,rk₄)＝(M_aοM_b^-1,N_b^-1οN_a,S_aοM_aοM_b^-1οS_b^-1,T_b^-1οN_b^-1οN_aοT_a)。

步骤四、签名。

Alice输入待签名消息m，他的公钥对(A_a,B_a)、私钥对(S_a,T_a)。Alice随机选择q对可逆仿射变换((S₁′,T₁′),(S₂′,T₂′),…,(S_q′,T_q′))，计算S_i′(y₁,y₂,…,y_u)＝(y₁⁽ⁱ⁾,y₂⁽ⁱ⁾,…,y_u⁽ⁱ⁾),T_i′(x₁⁽ⁱ⁾,x₂⁽ⁱ⁾,…,x_n⁽ⁱ⁾)＝(x₁,x₂,…,x_n)，i＝1,2,…,q。

其次，Alice计算C_i＝S_i′οA_aοT_i′，i＝1,2,…,q。

Alice计算哈希值并如下计算(S_i,T_i)的值：

其中H[i]表示的二进制值中第i位比特位的二进制值(这里二进制位顺序采取从低位到高位的顺序)。

最后Alice计算输出生成的签名V_a。

步骤五、重签名。

代理者输入：签名V_a，重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，Alice的公钥(A_a,B_a)，消息m。

验证签名正确性：代理者输入m，V_a，(A_a,B_a)，代理者首先对签名进行验证运算，计算：计算哈希值H′＝H(m||C₁′||C₂′||…||C_q′)后，代理者将H′与签名V_a中值进行对比。当时，签名通过验证，代理者进行下一步重签名生成；否则，输出⊥，结束运算。

重签名生成：代理者输入签名V_a和重签名密钥rk_a→b＝(rk₁,rk₂,rk₃,rk₄)，代理者进行计算：

代理者输出签名

步骤六、验证。

任意验证者输入待签名消息m，Bob的公钥(A_b,B_b)，转换后的签名V_b。验证者进行计算：计算哈希值H_b′＝H(m||C_1b′||C_2b′||…||C_qb′)后，将H_b′与签名V_b中值进行对比。当时，签名通过验证，即代理重签名验证成功；否则，输出⊥。