[发明专利]一种基于多变量的可抗合谋攻击的代理重签名方法

摘要

一种基于多变量的可抗合谋攻击的代理重签名方法，由生成系统、密钥生成、生成重签名密钥、受托人A产生签名、代理人产生重签名、重签名正确性验证步骤组成。由于本发明采用可信第三方产生代理重签名中受托人A和委托人B使用的两个随机密钥和用这两个随机密钥和分别生成新的重签名密钥，代理人使用该重签名密钥将受托人A对某一消息的签名转换成委托人B对同一消息的签名，并且由于随机密钥的保密性，无论是委托人B与代理人合谋，还是代理人与受托人A合谋，均不能得到另一人的秘密钥，可有效地抵抗合谋攻击。它具有效率高、安全可靠、抵抗受托人A与代理人和代理人与委托人B的合谋攻击等优点，可用于代理重签名。

主权项

一种基于多变量的可抗合谋攻击的代理重签名方法，其特征在于由下述步骤组成：(1)生成系统(1.1)建立二次方程组为：式中的a₁₁₁～a_nnn,b₁₁～b_nn,c₁～c_n均为有限域上的元素，n是有限的正整数，i,j为取自1～n的正整数，该二次方程组记为Q，根据(1)的构造，得相应Q^‑1为：式中的均取自同一个有限域；(1.2)分别取有限域上的可逆仿射变换T、S和H，他们的一般形式如下，其中T为：S为：H为：x₁～x_n,y₁～y_n,u₁～u_n,v₁～v_n,δ₁～δ_n,t₁₁～t_nn,s₁₁～s_nn,h₁₁～h_nn均为有限域上的元素，y₁～y_n,v₁～v_n均为自变量；T、S和H为秘密钥，H用于产生代理重密钥；T和S共同封装二次方程组Q即(1)式的结构，即将S、Q、T，依次进行代入计算，记为表示从右向左依次代入，得到二次方程组为公钥，记为P：式中的d₁₁₁～d_nnn,e₁₁～e_nn,f₁～f_n均为有限域上的元素，上述给出的公钥P和秘密钥S、秘密钥T具有关系：(2)生成密钥代理重签名时，可信第三方要首先产生随机密钥、受托人密钥、代理重签名密钥，并且为便于验证代理重签名的正确性，还需要产生委托人的密钥；(2.1)产生随机密钥随机密钥由两部分构成。可信第三方从有限域中随机选择两组不同的数和分别代入H中即(5)式，分别得到：该变换记为为随机密钥的一部分；该变换记为为随机密钥的另一部分；随机密钥和均为随机产生，且一次有效，即仅在本次代理重签名中有效，下次代理重签名需重新生成；通过线性反解，得出随机密钥的逆，记为为：通过线性反解，得出随机密钥的逆，记为为：(2.2)产生受托人A的密钥受托人A的密钥包括秘密钥、随机秘密钥、公钥、随机公钥四部分；1)产生受托人A的秘密钥可信第三方从有限域中随机选择两组数为t_AB11,…,t_ABnn,t′_AB1,…,t′_ABn和s_A11,…,s_Ann,s′_A1,…,s′_An，将t_AB11,…,t_ABnn,t′_AB1,…,t′_ABn代入T即(3)式中，得到：该变换不仅为受托人A的一部分秘密钥，也是委托人B的一部分秘密钥，所以不再分别记为T_A，T_B，而是统一记为T，T发送给受托人A，成为受托人A秘密钥的一部分；将代入S即(4)式中，得到受托人A秘密钥的另一部分：该变换记为S_A，受托人A的秘密钥由T和S_A两部分构成，始终不变，并由A秘密保存；利用线性反解得出T的逆，记为T^‑1，为：2)产生受托人A的随机秘密钥可信第三方对受托人A的秘密钥S_A即(11)式，通过线性反解法得S_A的逆，记为为：将代入到随机秘密钥即(6)式中，生成：该变换记做发送给受托人A，成为受托人A的随机秘密钥，在代理重签名时，受托人A用随机秘密钥代替秘密钥进行签名；3)产生受托人A的公钥可信第三方将S_A即(11)式中代入到Q即(1)式中，得到的结果再代入到T即(10)式中，得到受托人A的公钥：该变换记为P_A；4)产生受托人A的随机公钥可信第三方将即(8)式中代入到受托人A的公钥P_A即(15)式中，得到：该变换记为为受托人A的随机公钥；(2.3)产生委托人B的密钥委托人B的密钥包括秘密钥、公钥、随机公钥三部分；1)产生委托人B的秘密钥委托人B的秘密钥由两部分构成，其中一部分为受托人A的秘密钥T，另一部分由可信第三方产生：可信第三方从有限域中随机选择一组数为将代入S即(4)式中，得到委托人B秘密钥的另一部分：该变换记为S_B，委托人B的秘密钥由T和S_B两部分构成，并由B秘密保存；对S_B经过线性反解得S_B的逆，记为为：2)产生委托人B的公钥可信第三方将S_B即(17)式代入到Q即(1)式中，得到的结果再代入到委托人B的秘密钥即(10)式T中，得到委托人B的公钥：该变换记为P_B；3)产生委托人B的随机公钥可信第三方把即(9)式代入到P_B即(19)式中，得到：该变换记为为委托人B的随机公钥；(3)生成重签名密钥可信第三方将即(8)式代入到受托人A的秘密钥S_A即(11)式中，将得到的结果再代入到委托人B的秘密钥即(18)式中，再将得到的结果再代入到委托人B的随机密钥即(7)式中，得到代理人进行重签名的重签名密钥为：该变换记为rk_A→B；(4)受托人A产生签名已知消息M，其编码记为(u₁,…,u_n)，受托人A将编码(u₁,…,u_n)代入到受托人A的秘密钥的逆T^‑1即(12)式中，得到的结果记为(y_A1,…,y_An)，再将(y_A1,…,y_An)代入Q^‑1即(2)式中，得到的结果记为(x_A1,…,x_An)，再将(x_A1,…,x_An)代入到即(14)式中，得到的结果为(δ_A1,…,δ_A1)，其中，经过即(13)式得到的结果记为(v_A1，…，v_An)，(δ_A1,…,δ_A1)为受托人A对消息(u₁，…,u_n)的签名；(5)代理人产生重签名代理人产生重签名需要两步：(5.1)代理人收到受托人A对消息(u₁，…，u_n)的签名(δ_A1,…,δ_A1)，首先用受托人A的随机公钥即(16)式验证签名(δ_A1,…,δ_A1)的正确性：即将签名(δ_A1,…,δ_A1)代入到(16)式中，检验得到的结果是否为原消息(u₁，…,u_n)，若是，则(δ_A1,…,δ_A1)为正确签名；否则拒绝重签名；(5.2)若(δ_A1,…,δ_A1)为受托人A对消息(u₁，…，u_n)的正确签名，则代理人将(δ_A1,…,δ_A1)代入到重签名密钥即(21)式中，得到(rk₁,…,rk_n)，即为代理重签名，代理重签名(rk₁,…,rk_n)和受托者A签名(δ_A1,…,δ_A1)具有关系(rk₁,…,rk_n)＝rk_A→B(δ_A1,…,δ_A1)；(6)重签名正确性验证将重签名(rk₁,…,rk_n)代入到委托人B的随机公钥即(20)式中，检验其结果是否为原消息(u₁,…,u_n)，即是否等于(u₁,…,u_n)，若相等，则说明该重签名(rk₁,…,rk_n)为正确签名，否则重签名无效。