首页 / 专利库 / 专利权 / 代理人 / 一种基于多变量的可抗合谋攻击的代理重签名方法

一种基于多变量的可抗合谋攻击的代理重签名方法

阅读:1018发布:2020-05-20

专利汇可以提供一种基于多变量的可抗合谋攻击的代理重签名方法专利检索,专利查询,专利分析的服务。并且一种基于多变量的可抗合谋攻击的代理重签名方法,由生成系统、密钥生成、生成重签名密钥、受托人A产生签名、 代理人 产生重签名、重签名正确性验证步骤组成。由于本 发明 采用可信第三方产生代理重签名中受托人A和委托人B使用的两个随机密钥 和 用这两个随机密钥和 分别生成新的重签名密钥,代理人使用该重签名密钥将受托人A对某一消息的签名转换成委托人B对同一消息的签名,并且由于随机密钥的 保密性 ,无论是委托人B与代理人合谋,还是代理人与受托人A合谋,均不能得到另一人的秘密钥,可有效地抵抗合谋攻击。它具有效率高、安全可靠、抵抗受托人A与代理人和代理人与委托人B的合谋攻击等优点,可用于代理重签名。,下面是一种基于多变量的可抗合谋攻击的代理重签名方法专利的具体信息内容。

1.一种基于多变量的可抗合谋攻击的代理重签名方法,其特征在于由下述步骤组成:
(1)生成系统
(1.1)建立二次方程组为:

式中的a111~annn,b11~bnn,c1~cn均为有限域上的元素,n是有限的正整数,i,j为取自1~n的正整数,该二次方程组记为Q,根据(1)的构造,得相应Q-1为:

式中的 均取自同一个有限域;
(1.2)分别取有限域上的可逆仿射变换T、S和H,他们的一般形式如下,其中T为:

S为:

H为:

x1~xn,y1~yn,u1~un,v1~vn,δ1~δn,t11~tnn,s11~snn,h11~hnn均为有限域上的元素,y1~yn,v1~vn均为自变量;T、S和H为秘密钥,H用于产生代理重密钥;T和S共同封装二次方程组Q即(1)式的结构,即将S、Q、T,依次进行代入计算,记为 表示从右向左依次代入,得到二次方程组为公钥,记为P:

式中的d111~dnnn,e11~enn,f1~fn均为有限域上的元素,上述给出的公钥P和秘密钥S、秘密钥T具有关系:

(2)生成密钥
代理重签名时,可信第三方要首先产生随机密钥、受托人密钥、代理重签名密钥,并且为便于验证代理重签名的正确性,还需要产生委托人的密钥;
(2.1)产生随机密钥
随机密钥由两部分构成。可信第三方从有限域中随机选择两组不同的数 
和 分别代入H中即(5)式,分别得到:

该变换记为 为随机密钥的一部分;

该变换记为 为随机密钥的另一部分;随机密钥 和 均为随机产生,且一次有
效,即仅在本次代理重签名中有效,下次代理重签名需重新生成;
通过线性反解,得出随机密钥 的逆,记为 为:

通过线性反解,得出随机密钥 的逆,记为 为:

(2.2)产生受托人A的密钥
受托人A的密钥包括秘密钥、随机秘密钥、公钥、随机公钥四部分;
1)产生受托人A的秘密钥
可信第三方从有限域中随机选择两组数为tAB11,…,tABnn,t′AB1,…,t′ABn和sA11,…,sAnn,s′A1,…,s′An,将tAB11,…,tABnn,t′AB1,…,t′ABn代入T即(3)式中,得到:

该变换不仅为受托人A的一部分秘密钥,也是委托人B的一部分秘密钥,所以不再分别记为TA,TB,而是统一记为T,T发送给受托人A,成为受托人A秘密钥的一部分;
将 代入S即(4)式中,得到受托人A秘密钥的另一部分:

该变换记为SA,受托人A的秘密钥由T和SA两部分构成,始终不变,并由A秘密保存;
利用线性反解得出T的逆,记为T-1,为:

2)产生受托人A的随机秘密钥
可信第三方对受托人A的秘密钥SA即(11)式,通过线性反解法得SA的逆,记为 为:

将 代入到随机秘密钥 即(6)式中,生成:

该变换记做 发送给受托人A,成为受托人A的随机秘密钥,在代理重签名时,受托人A用随机秘密钥 代替秘密钥 进行签名;
3)产生受托人A的公钥
可信第三方将SA即(11)式中代入到Q即(1)式中,得到的结果再代入到T即(10)式中,得到受托人A的公钥:

该变换记为PA;
4)产生受托人A的随机公钥
可信第三方将 即(8)式中代入到受托人A的公钥PA即(15)式中,得到:

该变换记为 为受托人A的随机公钥;
(2.3)产生委托人B的密钥
委托人B的密钥包括秘密钥、公钥、随机公钥三部分;
1)产生委托人B的秘密钥
委托人B的秘密钥由两部分构成,其中一部分为受托人A的秘密钥T,另一部分由可信第三方产生:可信第三方从有限域中随机选择一组数为 将
代入S即(4)式中,得到委托人B秘密钥的另一部分:

该变换记为SB,委托人B的秘密钥由T和SB两部分构成,并由B秘密保存;
对SB经过线性反解得SB的逆,记为 为:

2)产生委托人B的公钥
可信第三方将SB即(17)式代入到Q即(1)式中,得到的结果再代入到委托人B的秘密钥即(10)式T中,得到委托人B的公钥:

该变换记为PB;
3)产生委托人B的随机公钥
可信第三方把 即(9)式代入到PB即(19)式中,得到:

该变换记为 为委托人B的随机公钥;
(3)生成重签名密钥
可信第三方将 即(8)式代入到受托人A的秘密钥SA即(11)式中,将得到的结果再代入到委托人B的秘密钥 即(18)式中,再将得到的结果再代入到委托人B的随机密钥 即(7)式中,得到代理人进行重签名的重签名密钥  为:

该变换记为rkA→B;
(4)受托人A产生签名
已知消息M,其编码记为(u1,…,un),受托人A将编码(u1,…,un)代入到受托人A的秘密钥的逆T-1即(12)式中,得到的结果记为(yA1,…,yAn),再将(yA1,…,yAn)代入Q-1即(2)式中,得到的结果记为(xA1,…,xAn),再将(xA1,…,xAn)代入到 即(14)式中,得到的结果为(δA1,…,δA1),其中,经过 即(13)式得到的结果记为(vA1,…,vAn),(δA1,…,δA1)为受托人A对消息(u1,…,un)的签名;
(5)代理人产生重签名
代理人产生重签名需要两步:
(5.1)代理人收到受托人A对消息(u1,…,un)的签名(δA1,…,δA1),首先用受托人A的随机公钥 即(16)式验证签名(δA1,…,δA1)的正确性:即将签名(δA1,…,δA1)代入到(16)式中,检验得到的结果是否为原消息(u1,…,un),若是,则(δA1,…,δA1)为正确签名;否则拒绝重签名;
(5.2)若(δA1,…,δA1)为受托人A对消息(u1,…,un)的正确签名,则代理人将(δA1,…,δA1)代入到重签名密钥 即(21)式中,得到(rk1,…,rkn),即为代理重签
名,代理重签名(rk1,…,rkn)和受托者A签名(δA1,…,δA1)具有关系(rk1,…,rkn)=rkA→B(δA1,…,δA1);
(6)重签名正确性验证
将重签名(rk1,…,rkn)代入到委托人B的随机公钥 即(20)式中,检验其结果是
否为原消息(u1,…,un),即 是否等于(u1,…,un),若相等,则说明该重签
名(rk1,…,rkn)为正确签名,否则重签名无效。
2.根据权利要求1所述的基于多变量的可抗合谋攻击的代理重签名方法,其特征在于:
在生成密钥步骤(2)中,所述的受托人的随机密钥的逆 和委托人B的随机密钥 均为随机产生,仅一次有效。
3.根据权利要求1所述的基于多变量的可抗合谋攻击的代理重签名方法,其特征在于:
在生成密钥步骤(2)中,所述的随机密钥 和随机密钥 由可信第三方产生,受托者和委托者均无法预测,并由可信第三方秘密保存,且仅一次有效。
4.根据权利要求1或2所述的基于多变量的可抗合谋攻击的代理重签名方法,其特征在于:在生成密钥步骤(2)中,所述的随机密钥 和随机密钥 为一次、可逆、仿射变换。
5.根据权利要求3所述的基于多变量的可抗合谋攻击的代理重签名方法,其特征在于:
在生成密钥步骤(2)中,所述的随机密钥 和随机密钥 为一次、可逆、仿射变换。
6.根据权利要求1所述的基于多变量的可抗合谋攻击的代理重签名方法,其特征在于:
在密钥生成步骤(2)中,所述的受托人A的秘密钥T与委托人B的秘密钥T相同。

说明书全文

一种基于多变量的可抗合谋攻击的代理重签名方法

技术领域

[0001] 本发明属于信息安全技术领域,涉及多变量公钥系统及消息的代理认证,特别涉及一种基于多变量的可抗合谋攻击的代理重签名方法。

背景技术

[0002] 代理重签名是指一个半可信任的代理人(他拥有一个和受托人A与委托人B的信息相关的重签名密钥)负责将受托人A对某一消息的签名转化为委托人B对同一消息的签名,同时,要求代理人只有重签名密钥,无法获悉受托人A及委托人B的私钥,并且不能代表委托人B或者受托人A生成新的签名。
[0003] 代理重签名的安全性分为内部安全性和外部安全性。外部安全性:非法第三方不能与签名参与方合谋。内部安全性:委托人B与代理人或代理人与受托人A无法合谋,即委托人B与代理人合谋或代理人与受托人A合谋都不能对此签名方案攻击泄露。内部安全和外部安全确保方案的安全。
[0004] 一个代理重签名方案是由五个多项式时间算法(密钥生成,生成重签名密钥,签名,重签名,验证)构成,其中(密钥生成,签名,验证)是标准的签名产生和验证算法。“生成重签名密钥”是重签名密钥生成算法:输入受托人A和委托人B的公私钥对,产生一个重签名密钥。“重签名”是指:代理人使用重签名密钥可将受托人A的签名转换为委托人B的签名。“重签名”是通过重签名生成算法来执行:输入一个重签名密钥rkA→B、一个消息、一个A的签名和一个用户A的公钥。该算法的正确性是指,输出一个对应于用户B的公钥的同一个消息的B的签名;否则,输出⊥。
[0005] 传统的网络代理签名体制大致可分为三类:一类是基于RSA的代理签名体制;一类是基于离散对数的代理签名方案;最后一类是基于椭圆曲线的代理签名方案。然而这些方案的安全理论均是基于数论中的大整数分解和离散对数的 困难性。然而,美国科学家Peter Shor于1995年提出了一种量子分解算法,它通过利用量子计算的并行性,可以在多项式时间内快速分解出大数的质因子和离散对数问题,也就是说,量子计算机的产生,对现有基于传统密码体制的数字签名的安全性构成了严重的威胁。
[0006] 多变量公钥体制是有限域上根据多变量非线性方程组的求解问题而设计的密码系统,其安全性基于求解一组多变量多项式方程是一NP-C问题,目前被认作是量子时代的一种安全的密码体制备选方案,04年提出的签名方案Flash入选了欧洲密码计划NRSSIE,成为密码研究中具有潜的技术之一。
[0007] 孙昌毅,李益发,斯明.基于多变量公钥密码体制的代理重签名方案[J].计算机工程,2012,38(17):116-118.首次基于多变量体制的Rainbow方案提出一种代理重签名方案,但遗憾的是正如文中3.3节所说该方案不能抗合谋攻击“…代理人与受托人合谋…委托人的私钥信息会泄露…”。因此,本发明以多变量公钥体制为基础,设计一种可抗合谋攻击的代理重签名方案,以为量子计算机时代提供一种安全代理签名的候选方案。

发明内容

[0008] 本发明所要解决的技术问题在于克服上述现有技术的缺点,提供一种可有效地抵抗合谋攻击、效率高、安全可靠、适用于消息代理认证环境、为信息安全和信任体系的建立提供基础技术的基于多变量的可抗合谋攻击的代理重签名方法。
[0009] 解决上述技术问题所采用的技术方案是由下述步骤组成:
[0010] (1)生成系统
[0011] (1.1)建立二次方程组为:
[0012]
[0013] 式中的a111~annn,b11~bnn,c1~cn均为有限域上的元素,n是有限的正整数,i,j为取自1~n的正整数,该二次方程组记为Q,根据(1)的构造,得相应Q-1为:
[0014]
[0015] 式中的 均取自同一个有限域。
[0016] (1.2)分别取有限域上的可逆仿射变换T、S和H,他们的一般形式如下,其中T为:
[0017]
[0018] S为:
[0019]
[0020] H为:
[0021]
[0022] x1~xn,y1~yn,u1~un,v1~vn,δ1~δn,t11~tnn,s11~snn,h11~hnn均为有限域上的元素,y1~yn,v1~vn均为自变量;T、S和H为秘密钥,H用于产生代理重密钥;T和S共同封装二次方程组Q即(1)式的结构,即将S、Q、T,依次进行代入计算,记为 ,表示从右向左依次代入,得到二次方程组为公钥,记为P:
[0023]
[0024] 式中的d111~dnnn,e11~enn,f1~fn均为有限域上的元素,上述给出的公钥P和秘密钥S、秘密钥T具有关系:
[0025]
[0026] (2)生成密钥
[0027] 代理重签名时,可信第三方要首先产生随机密钥、受托人密钥、代理重签名密钥,并且为便于验证代理重签名的正确性,还需要产生委托人的密钥。
[0028] (2.1)产生随机密钥
[0029] 随机密钥由两部分构成。可信第三方从有限域中随机选择两组不同的数 和 分别代入H中即(5)式,分别得到:
[0030]
[0031] 该变换记为 为随机密钥的一部分。
[0032]
[0033] 该变换记为 为随机密钥的另一部分;随机密钥 和 均为随机产生,且一次有效,即仅在本次代理重签名中有效,下次代理重签名需重新生成。
[0034] 通过线性反解,得出随机密钥 的逆,记为 为:
[0035]
[0036] 通过线性反解,得出随机密钥 的逆,记为 为:
[0037]
[0038] (2.2)产生受托人A的密钥
[0039] 受托人A的密钥包括秘密钥、随机秘密钥、公钥、随机公钥四部分。
[0040] 1)产生受托人A的秘密钥
[0041] 可信第三方从有限域中随机选择两组数为tAB11,…,tABnn,t′AB1,…,t′ABn和sA11,…,sAnn,s′A1,…,s′An,将tAB11,…,tABnn,t′AB1,…,t′ABn代入T即(3)式中,得到:
[0042]
[0043] 该变换不仅为受托人A的一部分秘密钥,也是委托人B的一部分秘密钥,所以不再分别记为TA,TB,而是统一记为T,T发送给受托人A,成为受托人A秘密钥的一部分。
[0044] 将 s′A1,…,s′An代入S即(4)式中,得到受托人A秘密钥的另一部分:
[0045]
[0046] 该变换记为SA,受托人A的秘密钥由T和SA两部分构成,始终不变,并由A秘密保存。
[0047] 利用线性反解得出T的逆,记为T-1,为:
[0048]
[0049] 2)产生受托人A的随机秘密钥
[0050] 可信第三方对受托人A的秘密钥SA即(11)式,通过线性反解法得SA的逆,记为为:
[0051]
[0052] 将 代入到随机秘密钥 即(6)式中,生成:
[0053]
[0054] 该变换记做 发送给受托人A,成为受托人A的随机秘密钥,在代理重签名时,受托人A用随机秘密钥 代替秘密钥 进行签名。
[0055] 3)产生受托人A的公钥
[0056] 可信第三方将SA即(11)式中代入到Q即(1)式中,得到的结果再代入到T即(10)式中,得到受托人A的公钥:
[0057]
[0058] 该变换记为PA。
[0059] 4)产生受托人A的随机公钥
[0060] 可信第三方将 即(8)式中代入到受托人A的公钥PA即(15)式中,得到:
[0061]
[0062] 该变换记为 为受托人A的随机公钥。
[0063] (2.3)产生委托人B的密钥
[0064] 委托人B的密钥包括秘密钥、公钥、随机公钥三部分。
[0065] 1)产生委托人B的秘密钥
[0066] 委托人B的秘密钥由两部分构成,其中一部分为受托人A的秘密钥T,另一部分由可信第三方产生:可信第三方从有限域中随机选择一组数为  s′B1,…,s′Bn,将s′B1,…,s′Bn代入S即(4)式中,得到委托人B秘密钥的另一部分:
[0067]
[0068] 该变换记为SB,委托人B的秘密钥由T和SB两部分构成,并由B秘密保存。
[0069] 对SB经过线性反解得SB的逆,记为 为:
[0070]
[0071] 2)产生委托人B的公钥
[0072] 可信第三方将SB即(17)式代入到Q即(1)式中,得到的结果再代入到委托人B的秘密钥即(10)式T中,得到委托人B的公钥:
[0073]
[0074] 该变换记为PB。
[0075] 3)产生委托人B的随机公钥
[0076] 可信第三方把 即(9)式代入到PB即(19)式中,得到:
[0077]
[0078] 该变换记为 为委托人B的随机公钥。
[0079] (3)生成重签名密钥
[0080] 可信第三方将 即(8)式代入到受托人A的秘密钥SA即(11)式中,将得到的结果再代入到委托人B的秘密钥 即(18)式中,再将得到的结果再代入到委托人B的随机密钥即(7)式中,得到代理人进行重签名的重签名密钥  为:
[0081]
[0082] 该变换记为rkA→B。
[0083] (4)受托人A产生签名
[0084] 已知消息M,其编码记为(u1,…,un),受托人A将编码(u1,…,un)代入到受托人A的秘密钥的逆T-1即(12)式中,得到的结果记为(yA1,…,yAn),再将(yA1,…,yAn)代入Q-1即(2)式中,得到的结果记为(xA1,…,xAn),再将(xA1,…,xAn)代入到 即(14)式中,得到的结果为(δA1,…,δA1),其中,经过 即(13)式得到的结果记为(vA1,…,vAn),(δA1,…,δA1)为受托人A对消息(u1,…,un)的签名。
[0085] (5)代理人产生重签名
[0086] 代理人产生重签名需要两步:
[0087] (5.1)代理人收到受托人A对消息(u1,…,un)的签名(δA1,…,δA1),首先用受托人A的随机公钥 即(16)式验证签名(δA1,…,δA1)的正确性:即将签名(δA1,…,δA1)代入到(16)式中,检验得到的结果是否为原消息(u1,…,un),若是,则(δA1,…,δA1)为正确签名;否则拒绝重签名。
[0088] (5.2)若(δA1,…,δA1)为受托人A对消息(u1,…,un)的正确签名,则代理人将(δA1,…,δA1)代入到重签名密钥 即(21)式中,得到(rk1,…,rkn),即为代理重签名,代理重签名(rk1,…,rkn)和受托者A签名(δA1,…,δA1)具有关系(rk1,…,rkn)=rkA→B(δA1,…,δA1)。
[0089] (6)重签名正确性验证
[0090] 将重签名(rk1,…,rkn)代入到委托人B的随机公钥 即(20)式中,检验其结果是否为原消息(u1,…,un),即 是否等于(u1,…,un),若相等,则说明该重签名(rk1,…,rkn)为正确签名,否则重签名无效。
[0091] 在本发明的生成密钥步骤(2)中,本发明的受托人随机密钥的逆 和委托人B的随机密钥 均为随机产生,仅一次有效。
[0092] 在本发明的生成密钥步骤(2)中,本发明的随机密钥 和随机密钥 由可信第三方产生,受托者和委托者均无法预测,并由可信第三方秘密保存,且仅一次有效。
[0093] 在本发明的生成密钥步骤(2)中,本发明的随机密钥 和随机密钥 为一次、可逆、仿射变换。
[0094] 在本发明的密钥生成步骤(2)中,本发明的受托人A的秘密钥T与委托人B的秘密钥T相同。
[0095] 由于本发明采用可信第三方产生代理重签名中受托人和委托人使用的两个随机密钥 和 用这两个随机密钥 和 分别生成新的重签名密钥,代理人使用该重签名密钥将受托人对某一消息的签名转换成委托人对同一消息的签名,并且由于随机密钥的保密性,无论是委托人与代理人合谋,还是代理人与受托人合谋,均不能得到另一人的秘密钥,可有效地抵抗合谋攻击。代理重签名中所使用的重签名密钥是由受托人和委托人的随机密钥 和 共同构成,该随机密钥均由可信第三方随机产生,仅一次有效,受托人和委托人均无法预测,并由可信第三方秘密保存,仅一次有效。所使用的两个随机密钥 和互不相同,均为一次仿射变换。
[0096] 本发明与现有技术相比,可抵抗常规的量子攻击,具有效率高、安全可靠、抵抗受托人与代理人和代理人与委托人的合谋攻击等优点,可用于代理重签名。附图说明
[0097] 图1是代理重签名原理示意图
[0098] 图2是本发明实施过程图。

具体实施方式

[0099] 下面结合附图和实施例对本发明进一步详细说明,但本发明不限于这些实施例。
[0100] 实施例1
[0101] 以二次方程组中n=2,即自变量和方程个数均为2个为例,基于多变量的可抗合谋攻击的代理重签名方法步骤如下:
[0102] (1)生成系统
[0103] 选择系统参数:取一个有限域F5,即该域元素为{0,1,2,3,4},运算为模5加和模5-1乘,一个元素o的逆元是指满足与o相乘再模5为1的元素,记为o ,即在F5上有:-5=0mod 
5、-4=1mod 5、-3=2mod 5、-2=3mod 5、-1=4mod5,1-1=1,2-1=3,3-1=2,4-1=4;取n=2,即自变量和方程个数均为2个;取a111=0,a112=1,a122=0,b11=0,b12=0,c1=0;a211=0,a212=0,a222=0,b21=1,b22=0,c2=0,则二次方程组Q为:
[0104]
[0105] 相应的Q的逆Q-1为
[0106]
[0107] (2)生成密钥
[0108] (2.1)产生随机密钥
[0109] 可信第三方从有限域中随机选择两组数代入(5)式,得到 为:
[0110]
[0111] 为:
[0112]
[0113] 为随机产生,一次有效,即仅在本次代理重签名中有效,下次代理重签名需重新生成;
[0114] 对 式(2-6)和 式(2-7)分别用线性反解法求逆得
[0115]
[0116] 为:
[0117]
[0118] (2.2)产生受托人A的密钥
[0119] 受托人A的密钥包括秘密钥、随机秘密钥、公钥、随机公钥四部分;
[0120] 1)产生受托人A的秘密钥
[0121] 可信第三方从有限域中随机选择一组数tAB11=1,tAB12=0,t′AB1=2;tAB21=0,tAB22=2,t′AB2=0,代入到(3)式,得到受托人A的秘密钥T(因为取TB=TA,均记为T)为:
[0122]
[0123] 再随机选择一组数sA11=2,sA12=0,s′A1=0;sA21=0,sA22=1,s′A2=0,代入(4)式,得到受托人A的秘密钥SA为:
[0124]
[0125] 对T即(2-10)式线性反解得T-1为:
[0126]
[0127] T和SA构成受托人A的秘密钥,由A秘密保存;
[0128] 2)产生受托人A的随机秘密钥
[0129] 可信第三方对SA即(2-11)式线性反解得 为:
[0130]
[0131] 将 代入到 即(2-6)式中,得到受托人A的随机秘密钥 记为(δA1,δA2)[0132]
[0133] 受托人A用随机秘密钥 对消息进行签名;
[0134] 3)产生受托人A的公钥
[0135] 可信第三方将SA代入到Q即(2-1)式中,得到的结果再代入到T即(2-10)式中,得到的受托人A的公钥PA,即
[0136]
[0137] 4)产生受托人A的随机公钥
[0138] 将 代入到受托人A的公钥PA即(2-15)式中,即将v1,v2分别作为x1,x2代入到受托人A的公钥PA中得到 为:
[0139]
[0140] (2.3)产生委托人B的密钥
[0141] 委托人B的密钥包括秘密钥、公钥、随机公钥三部分;
[0142] 1)产生委托人B的秘密钥
[0143] 由前述知,委托人B的秘密钥的一部分也为T,为(2-10)式:
[0144]
[0145] 可信第三方从有限域中随机选择一组数sB11=0,sB12=1,s′B1=0;sB21=1,sB22=0,s′B2=1,,代入(4)式,得到委托人B的秘密钥SB为:
[0146]
[0147] 对SB即(2-17)式线性反解得 为:
[0148]
[0149] T和SB构成委托人B的秘密钥,由B秘密保存;
[0150] 2)产生委托人B的公钥
[0151] 可信第三方将SB即(2-17)式代入到Q即(2-1)式中,得到的结果再代入到T即(2-10)式中,得到的委托人B的公钥PB,即
[0152]
[0153] 3)产生委托人B的随机公钥
[0154] 将 即(2-9)式代入到委托人B的公钥PB即(2-19)式中,即将v1,v2代入PB中得到为:
[0155]
[0156] (3)生成重签名密钥
[0157] 可信第三方将秘密钥 即(2-8)式代入到受托人A的秘密钥SA即(2-11)式中,得到的结果再代入到委托人B密钥 即(2-18)式中,再将得到的结果再代入到秘密钥 即(2-7)式中,得到代理人进行重签名的重签名密钥rkA→B为:
[0158]
[0159] (4)受托人A产生签名
[0160] 取消息M,其编码记为(u1,u2)=(0,1),将得到的结果代入到T-1即(2-12)式中,得(y1,y2)=(3,3),将(y1,y2)=(3,3)再代入到Q-1即(2-2)式中结果为(x1,x2)=(0,2),再将(x1,x2)=(0,2)代入到 即(2-14)式中,得到的结果为(δA1,δA2)=(1,1),即为受托人A对消息(0,1)的签名;
[0161] (5)代理人产生重签名
[0162] 代理人产生重签名需要两步:
[0163] (5.1)代理人对收到受托人A对消息(0,1)的签名(δA1,δA2)=(1,1),首先用 受托人A的随机公钥 即(2-16)式验证签名(1,1)的正确性:将签名(δA1,δA2)=(1,1)代入到A的随机公钥 即(2-16)式中,得结果为(0,1),与原始消息相等,即受托人A对消息(0,1)的签名为正确;
[0164] (5.2)因为(δA1,δA2)=(1,1)为受托人A对消息(0,1)的正确签名,则代理人将(δA1,δA2)=(1,1)代入到重签名密钥rkA→B即(2-21)式中,得到结果为(rk1,rk2)=(1,1),即为代理人对受托人A签名的重签名;
[0165] (6)重签名正确性验证
[0166] 将重签名(rk1,rk2)=(1,1)代入到委托人B的随机公钥 即(2-20)式中,得到(0,1),与原始消息相等,则该重签名(rk1,rk2)=(1,1)为正确签名;
[0167] 上述的 为可信第三方随机产生,系数均取自有限域, 具有可逆性,且仅一次有效,即仅在本次代理重签名中有效,下次代理重签名需重新生成。
[0168] 本发明可以抵抗合谋攻击:
[0169] (1)受托人A通过随机秘密钥 和秘密钥T对消息(u1,…,un)进行签名,签名可表示为
[0170] (2)代理人通过重签名密钥 将受托人A的签名(δA1,…,δA1)转换为委托人B的签名时,签名为:(rk1,…,rkn)=rkA→B(δA1,…,δA1)。
[0171] (3)若委托人B直接对该消息(u1,…,un)进行签名,则为: 结果记为(δB1,…,δB1)。由于:
[0172]
[0173] 即对同一个消息,代理人产生的签名(rk1,…,rkn)和委托人B产生的签名(δB1,…,δB1)相同,因此,重签名正确且有效。
[0174] 本发明的安全性分析:
[0175] 代理重签名的安全性包括外部安全性和内部安全性。
[0176] (1)外部安全性分析
[0177] 当存在外部非法第三方时,非法第三方无法与签名参与方进行合谋。这是因为,非法第三方在没有代理重签名密钥 的情况下,若想伪造重签名,则只能根据委托人B的随机公钥 进行签名伪造,即需要计算
需要利用委托人B的随机公钥 求逆,求解委托人B的随机公钥 即为有限域
上求解非线性方程组解的问题,该问题为多变量公钥体制的安全基础,无法求解出,非法第三方无法与参与者合谋获取有效签名,外部攻击无效,本发明满足外部安全性。
[0178] (2)内部安全性分析
[0179] (2.1)仅有重签名密钥 代理人无法自行代表委托人B或者受托人A进行消息签名。
[0180] (2.2)当委托人B可信,受托人A不可信,代理人与受托人A合谋。受托人A和代理人有重签名密钥 和A的秘密钥SA、随机秘密钥 由于秘密钥是可信第三方随机产生,并且 与 不相同,均为第三方秘密保存,在本次代理重签名中受托人A无法获得 的信息,从重签名密钥rkA→B和受托人A的秘密钥SA、随机秘密钥中无法获得 无法获得委托人B的秘密钥信息SB,委托人B的秘密钥SB仍为安全,方案可靠。
[0181] (2.3)当委托人B不可信,受托人A可信,委托人B和代理人合谋时,委托人B和代理人只有重签名密钥 和委托人B的秘密钥SB、随机密钥 由于秘密钥 是可信第三方随机产生,并且 与 不相同,均为第三方秘密保存,即在本次代理重签名中委托人B无法获得 的信息,从重签名密钥rkA→B和B的秘密钥SB、随机密钥 中无法获得 无法 获得A的秘密钥信息SA,受托人A的秘密钥SA仍为安全,方案可靠。
[0182] (3)随机密钥 和 安全性分析
[0183] 随机密钥 和 是由可信第三方秘密、随机产生,分配给受托人A和委托者B,由于随机密钥 和 仅一次有效,在下一次代理重签名时需要第三方重新产生,在本次代理重签名完成后,随机密钥 和 即刻失效,可有效地防止受托人A和委托人B对随机密钥的重复使用,可有效地抵抗合谋攻击。
[0184] 本发明所应用的理论基础如下:
[0185] (1)有限域
[0186] 有限域是一个包含两个运算加和乘的有限个元素的集合,且满足对加法和乘法均具有结合律、交换律、非零元有逆元和乘法对加法的分配率等性质。域中元素的个数称为该域的阶数,q阶有限域,常记为 或简记为 有限域上的运算为模运算。
[0187] (2)多变量问题
[0188] 多变量问题也简称为多变量二次-问题。由于多变量公钥密码体制的安全性是基于有限域上求解一组多变量非线性多项式方程:
[0189] p1(x1,…,xn)=p2(x1,…,xn)=…=pm(x1,…,xn)=0,
[0190] 求解该问题为一NP-C问题,其中pi的系数和变量均取自有限域 通常方程pi取为二次,基于多变量问题构造的方案,前安全性基础来自于从公钥二次方程的直接破解的困难性,即已知公钥求解方程组为一个非多项式时间完全(NP-C)困难问题。
[0191] (3)变换
[0192] F是一个有限域,(y1,…,yn)=f(x1,…,xn),xi,yi∈F称之为一个变换,是指存在变化规则使得(x1,…,xn)经过该变化规则变成为(y1,…,yn),该变化规则记为f。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈