技術領域

本發明涉及網絡通信中的數據認證技術領域，尤其涉及一種基于格的聚合簽名方法及其系統。

背景技術

隨著互聯網技術的飛速發展，在現實中許多應用都要求在較短時間內對多個簽名進行驗證，為此Boneh等人提出了聚合簽名(Aggregate signatures，AS)的概念，即將l個用戶U₁,K,U_l對l個不同消息μ₁,K,μ_l的分別簽名，并將l個簽名σ₁,K,σ_l聚合成一個簽名，使得驗證方只需檢驗聚合簽名即可確認U_i是否對μ_i簽名。這種聚合簽名方式能提升簽名方案的計算與通信效率，適用于低帶寬、存儲與計算能力較弱的通信環境或終端，但基于經典密碼理論無法抵抗量子計算機的攻擊。

為了抵抗量子計算機的攻擊，Ducas L等人在“Lattice Signatures and Bimodal Gaussians.CRYPTO 2013,pp.40-56,2013.”一文中，基于量子計算機不擅長的格上困難性問題，構造了一種基于格的簽名方案。

發明內容

有鑒于此，本發明的目的在于提供一種基于格的聚合簽名方法及其系統，旨在解決現有技術中簽名驗證效率較低的問題與無法抵抗量子計算機攻擊的問題。

本發明提出一種基于格的聚合簽名方法，其中，所述方法包括：

密鑰生成步驟：利用密鑰生成中心生成每個用戶公私鑰對(A_i，S_i)，且使得A_iS_i＝qmod2q，并將公鑰A_i公開，將私鑰S_i傳輸至用戶，其中q為素數；

簽名生成步驟：輸入公鑰A_i、私鑰S_i以及消息μ_i，并利用簽名算法生成簽名；

簽名驗證步驟：利用預設的驗證閾值常量對生成的簽名進行首次驗證；

聚合簽名步驟：利用聚合器生成聚合簽名，并根據所述聚合簽名以及輸入的所述消息μ_i再次驗證，并在驗證通過時接受簽名，否則拒絕簽名。

優選的，所述密鑰生成步驟具體包括：

隨機生成n次多項式f_i與g_i，并從集合{0，±1，±2}均勻選擇f_i、g_i的系數，其中，系數為{±1}和{±2}的概率分別為δ₁與δ₂；

根據生成的多項式生成私鑰S_i＝(s_1i,s_2i)^t＝(f_i,2g_i+1)^t；

定義且

如果N_κ(S_i)≥C²·5·([δ₁n]+4[δ₂n])·κ成立，則重新開始執行密鑰生成步驟，其中，C與k為常數，n為2的冪數；

計算a_1i＝2(2g_i+1)/f_imodq；

輸出公私鑰對(A_i，S_i)，其中A_i＝(a_1i,q-2)mod2q。

優選的，所述簽名生成步驟具體包括：

從離散正態分布中抽樣y_1i,y_2i；

計算u_i＝ζ·a_1i·y_1i+y_2imod2q；

定義同態哈希函數H，并計算c_i＝H([u_i]_dmodp,μ_i)，其中，d是u_i舍棄的比特數，且p＝[2q/2^d]；

選擇隨機數b_i∈{0,1}，計算與

計算

以概率輸出簽名其中，M是固定的正實數，用以保證的輸出簽名概率最高為1。

優選的，所述簽名驗證步驟具體包括：