[发明专利]基于非球面高斯抽样的签名验证方法

说明书

技术领域

本发明属于信息安全技术领域，更进一步涉及一种签名验证方法，可用于基于格的公钥密码中的签名和基于身份的加密中个人私钥的生成。

背景技术

人类即将进入量子信息时代，基于格的公钥密码作为后量子密码即抵抗量子计算攻击的密码的典型代表，在密码学领域占据重要地位。基于格的公钥密码的具有特殊优点：(1)清晰的安全性证明，即良好的规约特性。格上的困难问题具有从最差情况到平均情况规约的特性，这可以保证解决一个格上随机困难问题实例相当于解决最差情况下的格困难问题，其他密码原型都不具备这种特性。(2)丰富多彩的服务功能。格公钥密码容易实现群签名、盲签名、基于身份的密码系统、分级安全系统和安全多方计算系统等，甚至提供安全的环同态运算。因此，近年来基于格的上述密码体制得到飞速发展。然而，格公钥密码的安全性和效率还严重受制于格上陷门的质量，即陷门基的尺寸和陷门基上高斯抽样的标准偏差。

Micciancio和Peikert两位学者在2012年提出了一种MP12陷门生成方案，这种方案简洁、紧凑、生成陷门的速度快且生成陷门的质量达到了拟最优的程度；同时他们也给出了该陷门上的高斯抽样算法，该高斯抽样算法在保证安全性的同时，很大程度上提高了执行效率。但是这种算法在模数不为2的幂时其执行效率仍然不高，使得运行时间长，且占用空间大，造成签名或私钥生成时会产生更多的时间开销和存储空间消耗。

发明内容

本发明的目的在于针对原高斯抽样算法中在模数不为2的幂时执行效率低下的不足，提出一种执行效率高、运行时间短、占用存储空间小的基于高斯抽样的签名验证方法，以减小签名生成时的时间开销和存储空间消耗。

为实现上述目的，本发明的基于高斯抽样的签名验证方法包括以下步骤：

(1)选择参数，利用密钥生成算法生成签名密钥sk和验证密钥vk：

(1a)从签名消息空间{0,1}^l选择需要的签名消息M，其中l为签名消息长度；

(1b)选择生成矩阵使其每个元素服从上的均匀分布，选择陷门矩阵使其每个元素服从子高斯分布，其中q为模数，表示整数模q的环，n为安全参数，为满足的整数，w＝nk，k为满足2^k-1＜q≤2^k的整数，表示模q的阶整数矩阵，表示阶整数矩阵；

(1c)令校验矩阵选择l+1个随机矩阵使得每个矩阵的每个元素服从上的均匀分布，其中i＝0,1,…,l；选择随机向量使其每个元素服从上的均匀分布，其中表示模q的n×m阶整数矩阵，表示模q的n维整数列向量，表示模q的n×w阶整数矩阵，表示模q的k维整数行向量；

(1d)令签名密钥sk＝R，验证密钥vk＝(A,A₀,…,A_l,u)；

(2)利用签名密钥sk生成扩展矩阵A_M的陷门矩阵R'：

(2a)令和矩阵A_Σ＝A₀+∑_i∈[l]M_iA_i，扩展矩阵其中表示模q的n×m'阶整数矩阵，m'＝m+w，M_i∈{0,1}，表示签名消息M的第i比特，[l]＝{1,2,…,l}；

(2b)令表示向量分别表示差矩阵G-A_Σ的每个列，即[u₁,u₂,…,u_w]＝G-A_Σ；

(2c)令非球面干扰抽样的协方差矩阵其中干扰尺寸r为一个大于0的实数，I_m表示m阶的单位矩阵，表示阶的单位矩阵，I_w表示w阶的单位矩阵，表示乘积矩阵的最大特征值，R^t表示陷门矩阵R的转置矩阵，表示基本高斯抽样的协方差矩阵，σ表示基本高斯抽样的标准偏差，λ₁表示∑₀的最大特征值，表示线性扩张的协方差矩阵；

(2d)抽取非球面干扰向量即从中抽取近似服从分布的向量p，其中x^t表示向量的转置向量，表示m维整数列向量；

(2e)令校验向量v＝u₁-Ap，抽取基本向量即从中抽取近似服从分布的向量z，其中表示格Λ^⊥(G)的一个陪集，满足Gx＝v mod q，表示w维整数列向量；