基于非球面高斯抽样的签名验证方法技术

本发明专利技术公开了一种基于非球面高斯抽样的签名验证方法，主要解决现有基于高斯抽样的签名技术在模数不为2的幂时执行效率低下的问题。其实现步骤为：(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk；(2)利用签名密钥sk生成扩展矩阵AM的陷门矩阵R'；(3)利用扩展矩阵AM的陷门矩阵R'对选择的签名消息M进行签名，得到服从非球面高斯分布的签名sign；(4)利用验证密钥vk验证签名sign的合法性。本发明专利技术通过非球面高斯抽样，极大地减少了签名验证方法的计算量，可用于基于格的公钥密码中的签名和基于身份的加密中个人私钥的生成。

【技术实现步骤摘要】

本专利技术属于信息安全
，更进一步涉及一种签名验证方法，可用于基于格 的公钥密码中的签名和基于身份的加密中个人私钥的生成。
技术介绍
人类即将进入量子信息时代，基于格的公钥密码作为后量子密码即抵抗量子计算 攻击的密码的典型代表，在密码学领域占据重要地位。基于格的公钥密码的具有特殊优点： (1)清晰的安全性证明，即良好的规约特性。格上的困难问题具有从最差情况到平均情况规 约的特性，这可以保证解决一个格上随机困难问题实例相当于解决最差情况下的格困难问 题，其他密码原型都不具备这种特性。（2)丰富多彩的服务功能。格公钥密码容易实现群 签名、盲签名、基于身份的密码系统、分级安全系统和安全多方计算系统等，甚至提供安全 的环同态运算。因此，近年来基于格的上述密码体制得到飞速发展。然而，格公钥密码的安 全性和效率还严重受制于格上陷门的质量，即陷门基的尺寸和陷门基上高斯抽样的标准偏 差。 Micciancio和Peikert两位学者在2012年提出了一种MP12陷门生成方案，这种 方案简洁、紧凑、生成陷门的速度快且生成陷门的质量达到了拟最优的程度；同时他们也给 出了该陷门上的高斯抽样算法，该高斯抽样算法在保证安全性的同时，很大程度上提高了 执行效率。但是这种算法在模数不为2的幂时其执行效率仍然不高，使得运行时间长，且占 用空间大，造成签名或私钥生成时会产生更多的时间开销和存储空间消耗。
技术实现思路
本专利技术的目的在于针对原高斯抽样算法中在模数不为2的幂时执行效率低下的 不足，提出一种执行效率1?、运行时间短、占用存储空间小的基于1?斯抽样的签名验证方 法，以减小签名生成时的时间开销和存储空间消耗。 为实现上述目的，本专利技术的基于高斯抽样的签名验证方法包括以下步骤： (1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk : (la)从签名消息空间{0, 1}1选择需要的签名消息M，其中1为签名消息长度； (lb)选择生成矩阵本文档来自技高网...

【技术保护点】
一种基于非球面高斯抽样的签名验证方法，包括如下步骤：(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk：(1a)从签名消息空间{0,1}l选择需要的签名消息M，其中l为签名消息长度；(1b)选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布，其中q为模数，表示整数模q的环，n为安全参数，为满足的整数，w＝nk，k为满足2k‑1＜q≤2k的整数，表示模q的阶整数矩阵，表示阶整数矩阵；(1c)令校验矩阵选择l+1个随机矩阵使得每个矩阵的每个元素服从上的均匀分布，其中i＝0,1,…,l；选择随机向量使其每个元素服从上的均匀分布，其中表示模q的n×m阶整数矩阵，表示模q的n维整数列向量，表示模q的n×w阶整数矩阵，表示模q的k维整数行向量；(1d)令签名密钥sk＝R，验证密钥vk＝(A,A0,…,Al,u)；(2)利用签名密钥sk生成扩展矩阵AM的陷门矩阵R'：(2a)令和矩阵AΣ＝A0+Σi∈[l]MiAi，扩展矩阵其中表示模q的n×m'阶整数矩阵，m'＝m+w，Mi∈{0,1}，表示签名消息M的第i比特，[l]＝{1,2,…,l}；(2b)令表示向量分别表示差矩阵G‑AΣ的每个列，即[u1,u2,···,uw]=G-AΣ;]]>(2c)令非球面干扰抽样的协方差矩阵其中干扰尺寸r为一个大于0的实数，Im表示m阶的单位矩阵，表示阶的单位矩阵，Iw表示w阶的单位矩阵，表示乘积矩阵的最大特征值，Rt表示陷门矩阵R的转置矩阵，表示基本高斯抽样的协方差矩阵，σ表示基本高斯抽样的标准偏差，λ1表示Σ0的最大特征值，Σ3*=RIwΣ2*RtIw]]>表示线性扩张的协方差矩阵；(2d)抽取非球面干扰向量即从中抽取近似服从分布的向量p，其中ρΣ4**(x)=exp(-π·xtΣ4**-1x),]]>xt表示向量的转置向量，表示m维整数列向量；(2e)令校验向量v＝u1‑Ap，抽取基本向量即从中抽取近似服从分布DΛv⊥(G),Σ2*=ρΣ2*(x)ρΣ2*(Λv⊥(G))]]>的向量z，其中x∈Λv⊥(G),]]>Λv⊥(G)]]>表示格Λ⊥(G)的一个陪集，满足Gx＝vmodq，表示w维整数列向量；(2f)令最终非球面高斯抽样结果y1=p+RIwz,]]>其中RIwz]]>表示对基本向量z的线性扩张；(2g)对于i＝2,…,w，分别用第i个表示向量ui替换第1个表示向量u1，重复执行步骤(2d)～(2f)，得到对应的最终非球面高斯抽样结果yi；(2h)用y1,y2,…,yw这w个最终非球面高斯抽样结果按列组合成扩展矩阵AM的陷门矩阵R'，即R'＝[y1,y2,…,yw]；(3)对选择的签名消息M进行签名：将校验向量v替换为随机向量u，校验矩阵A替换为扩展矩阵AM，陷门矩阵R替换为扩展矩阵AM的陷门矩阵R'，校验矩阵A的列数m替换为扩展矩阵AM的列数m'，执行步骤(2d)～(2f)，得到签名其中表示m'阶整数列向量；(4)验证签名sign的合法性：将签名sign的欧几里得范数||sign||与乘积比较，并且验证签名sign是否为线性映射下随机向量u的原像：若且AM·sign＝u，则接受该签名sign，否则拒绝。...

【技术特征摘要】
1. 一种基于非球面高斯抽样的签名验证方法，包括如下步骤： (1) 选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk : (la) 从签名消息空间{0, I}1选择需要的签名消息M，其中1为签名消息长度； (lb) 选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布，其中q为模数，表示整数模q的环，η为安全参数，为满足的整数，w = nk, k为满足的整数，表示模q的阶整数矩阵，表示所X H'阶整数矩阵； (lc) 令校验矩阵选择1+1个随机矩阵使得每个矩阵 的每个元素服从上的均匀分布，其中i = 〇, 1，…，1 ;选择随机向量使其每个元素 服从上的均匀分布，其中表示模q的nXm阶整数矩阵，表示模q的 η维整数列向量，：表示模q的 nXw阶整数矩阵，表示模q的k维整数行向量； (ld) 令签名密钥sk = R，验证密钥vk = (A, A。，…，Ap u); (2) 利用签名密钥sk生成扩展矩阵AM的陷门矩阵R' ： (2a)令和矩阵八2 ，扩展矩阵其中表示模q的 nXm'阶整数矩阵，m' = πτΗ?,Μ? e {〇, 1}，表示签名消息Μ的第i比特，[1] = {1，2,…，1}; (2b)令表示向量分别表示差矩阵G-As的每个列，即(2c)令非球面干扰抽样的协方差矩阵其中干 扰尺寸r为一个大于0的实数，Im表示m阶的单位矩阵，表示阶的单位矩阵，表 示w阶的单位矩阵，表示乘积矩阵的最大特征值，P表示陷门矩阵R的转置 矩阵，表示基本高斯抽样的协方差矩阵，σ表示基本高斯抽样的标准偏差，表示Σ。 的最大特征值，表示线性扩张的协方差矩阵； (2d)抽取非球面干扰向量即从中抽取近似服从分 布的向量Ρ，其中乂1表示向量的转置向量，表示m维整数列向 量； (2e)令校验向量v =+-AP，抽取基本向量即从.中抽取近似服从 分布.的向量z，其中表不格Λ 1 (G)的一个陪 集，满足表示w维整数列向 量； (2f)令最终非球面高斯抽样结果，其中表示对基本向量z的线性 扩张；(2g)对于i = 2, ···，￥，分别用第i个表示向量w替换第1个表示向量七，重复执行步 骤（2d)?...

【专利技术属性】
技术研发人员：胡予濮，贾惠文，詹海峰，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61