理想格上基于身份环签名方案.docVIP

理想格上基于身份环签名方案 　　摘要：现有的签名方案大多是基于双线性对，但在量子计算环境下此类方案被证明是不安全的。格具有运算简单、困难问题难以破解等特点，为了抵抗量子攻击，基于格中标准的小整数解（SIS）困难假设，利用Ducas等提出的理想格技术（DUCAS L， MICCIANCIO D. Improved short lattice signatures in the standard model. Proceedings of the 34th Annual Cryptology Conference on Advances in Cryptology. Berlin： Springer， 2014： 335-352），构造了一种能够在标准模型下给出安全性证明的基于身份的环签名方案。该方案主要分为4个步骤：主密钥生成算法Kergen（n）、签名私钥生成算法Extract（R，ID）、签名算法Sign（Ts，M）和验证算法Verify（P，M，e）。输出的签名为单个向量。相比同类型格上的签名方案，在一定程度上缩减了公钥、签名私钥及签名的长度，提高了运算效率，适用于轻量级认证，算法的安全性也间接保证了电子商务和云计算等领域的安全性。 　　关键词： 　　理想格；标准模型；基于身份；环签名；小整数解 　　中图分类号： TP301.6； TP309.2 文献标志码：A 　　0引言 　　作为加密体制与数字签名体制的结合物，基于身份的环签名方案是一项轻量级认证中的重要技术，在电子商务、云计算等领域有着较高的实际应用价值。1991年，群签名的概念首次由Chaum等[1]提出，在群签名中，任一群成员均可代表所属群进行匿名签名，是一种可以对签名者进行模糊操作的签名方案，验证者只能检验签名是否出自此群，而不能确定该群中具体的签名者。2001年，环签名的概念由Rivest等[2]首次提出，被称为群签名的简化，与群签名不同的是，环签名不设立环管理员，不需要对环进行创建和撤销等操作，签名者可以利用自己的私钥和其他环成员的公钥独立产生签名，因而环签名满足无条件匿名性。2002年，结合环签名方案和基于身份的加密方案，首个基于身份的环签名由Kim等[3]提出，解决了签名方案中的证书验证和存储难题，并受到国内外学者们的关注。最近，众多诸如这种类型的基于身份的环签名方案也被陆续提出，如2005年，Chow等[4]构造了一个高效的、针对双线性对的计算次数为常数的基于身份的环签名方案；2006年，Liu等[5]构造了一种基于身份的环签名方案，此方案可在标准模型下给出安全性证明。以上构造的签名方案均是基于双线性对，而在量子计算环境下，此类方案被证明是不安全的，如1994年，Shor[6]指出：基于数论困难问题假设的加密方案不能够有效地抵抗量子攻击。为了设计可以抵抗量子攻击的基于身份环签名方案，众多国内外学者逐渐开始尝试利用格及特殊格的优点和特性进行签名方案的设计。如2010年，首个标准模型下基于身份的格上环签名方案由Wang[7]提出，但作者并没有给出相应的安全性证明或分析；2012年，参照Boyen在2010年提出的信息添加技术[8]，田苗苗等[9]给出了一种格上的环签名方案，相比之前提出的格上的环签名方案，作者给出了标准模型下的选择子环、适应性选择消息的安全性证明，提高了此类方案的安全性，但方案的签名长度和密钥长度较长，不利于计算效率的提高；2013年，参照Cash等[10]在2010年给出的格基生成算法和信息添加技术，基于格中标准的小整数解（Small Integer Solution， SIS）困难问题，李玉海等[11]在格上构造了一种基于身份的环签名方案，与文献[8，10]中的签名方案相比，提高了方案的计算效率，并在标准模型下给出了方案在选择身份和消息攻击下具有不可伪造性的证明，但方案密钥长度、签名长度依然不是很理想；基于SIS困难问题，2014年，参照Micciancio等[12]给出的陷门生成算法，在标准模型下，Ducas等[13]给出了一个理想格上的短格签名方案；2015年杨丹婷等[14]也利用理想格的特殊代数结构，文献[12]中给出的理想格技术，构造了一种基于身份的签名（IdentityBased Signature， IBS）方案。此方案在一定程度上减少了计算复杂度，缩短了签名和公钥长度，可在标准模型下给出安全性证明，并在文章最后分析了在选择身份和固定选择消息攻击下，方案满足不可伪造性，但只针对单一的身份id进行签名，无法实现方案的匿名性。 　　目前，还不存在量子计算方法能够求解格上的困难问题，因此，格上的加密方案和签名方案能够抵抗量子攻击。本文基于SIS困难问题，依据Ducas等[13]提出的理想格技术，构造了一种标准模型下