1 引言

2002年,Bresson、Stern和Szydlo提出了门限环签名的概念[1],并结合组合函数构造了一个有效的门限环签名方案.门限环签名是一种面向群体的签名.假如一个群体中有t个成员想要泄漏某个消息,并且他们既想使签名的接受者相信,该群体中至少有t个成员参与了该消息的泄漏,又想使接受者无法确定是哪几个成员参与了泄漏,这种情况就要用到门限环签名.自门限环签名的概念被提出来后,相继出现了许多新的门限环签名方案[2–4].

目前,大多数门限环签名方案都是基于传统公钥密码体制.传统公钥密码体制的安全性主要依赖于离散对数问题或大整数分解问题,例如为大家所熟知的RSA、ECC等.然而,只要足够大的量子计算机出现,这些数论难题都可以用Shor算法有效破解[5].因此,提出新的可以抵抗量子计算机的公钥密码来代替传统公钥密码十分有必要.多变量公钥密码是后量子密码的主要候选者之一,而且多变量公钥密码具有运算速度快、所需计算资源少的优势.

老婆没好气地把头又一转：“放屁，你压根儿就没把老婆当人看。”杨力生说：“不，不不，一日夫妻百日恩，老婆就是男人的主心骨，我怎么会拿你不当人看呢！”

近30年来,多变量公钥密码体制获得了很好的发展.根据构造方法的不同,多变量公钥密码体制大致可以分为四类:双极系统 (bipolar systems)、混合系统(mixed systems)、IP体制(IP schemes)和MQ体制(MQ schemes).双极系统是多变量公钥密码的研究热点,大多数多变量公钥密码方案都属于双极系统,例如 MI(Matsumoto-Imai)、HFE(hidden field equations)、UOV(unbalance oil vinegar)、TTM(tame transformation method)、ABC(simple matrix scheme)等[6,7];混合系统的密码方案比较少,比较有名的是Patarin提出的Dragon算法;IP体制和MQ体制都是零知识证明体制,关于它们的密码方案则更少.目前,大多数多变量公钥密码方案已被攻破[6,8],现存的多变量公钥密码方案普遍被认为只适用于签名,不适合加密.因此,将多变量公钥密码与门限环签名结合在一起,具有重要的意义.

文献[9]提出了一个基于多变量公钥密码体制的环签名方案.本文将运用公平划分的思想,将该方案转化为门限环签名方案.由于多变量公钥密码所具备的优势,本文所提出的方案不仅可以抵抗量子计算机的攻击,而且具有运算速度快、对计算资源的要求不高的特点.

本文结构如下:第2节介绍门限环签名和多变量公钥密码体制的一些相关概念;第3节介绍文献[9]提出的基于多变量公钥密码体制的环签名方案;第4节介绍本文所提出的基于多变量公钥密码体制的门限环签名方案;第5节对新方案进行安全性分析;第6节是对全文的一个总结.

2 预备知识

2.1 门限环签名

2002年,Bresson等人将门限思想应用于环签名,提出了一个门限环签名方案.门限环签名确保了一个大小为n的群体U中,至少有t(t 6 n)个成员参与了消息d的签名,并且签名接受者无法确定是哪t个成员参与了该签名的生成.

令U={u1,···,u n},一个(t,n)门限环签名方案由以下三个算法组成:

密钥生成KeyGen:生成每个成员u i的公钥pk i及其对应的私钥sk i(i=1,···,n).

签名 Sign(d,{sk i1,···,sk it},{pk1,···,pk n}):签名者之间存在一个概率性算法,该算法输入 N 把公钥 pk1,···pk n、t个签名者的私钥 sk i1,···,sk it和消息 d,输出消息 d的 (t,n)-门限环签名 σ.

验证 Verify(t,d,σ,{pk1,···,pk n}):存在一个确定性算法,该算法将门限值 t、消息 d、门限环签名σ和N 把公钥pk1,···,pk n作为输入.如果签名有效,则输出1;否则,输出0.

有限元计算模型如图1所示。该模型沿11号线纵向长度为110.0 m，横向延伸长度为100.0 m，高度为60.0 m。模型共132 008个单元、138 118个节点。

正确性 (Correctness):对于消息d,如果t个签名者按照正确的签名步骤产生签名σ,并且在传送的过程中数据没有被修改,那么,σ可以通过验证步骤的验证.

不可伪造性 (Unforgeability):如果敌手A不知道至少t个成员的私钥,那他无法伪造出一个有效的(t,n)-门限环签名.

匿名性(Anonymity):在一个门限环签名方案中,t个签名者通过签名算法产生一个签名σ.对于任意敌手,无法通过签名σ得知是哪t个签名者生成了该签名.这一点可以通过以下游戏进行形式化定义:

(1)挑战者C通过密钥生成算法生成密钥对sk i/pk i(i=1,···,n),并将n把公钥发送给敌手A.

(2)A可以访问签名预言机OS({i1,···,i t},d),该预言机输入t个签名者的下标 i1,···,i t和消息d,输出消息d关于U 的有效签名σ.为了产生签名σ,OS需要用到用户u i1,···,u it的私钥sk i1,···,sk it.

卫生间里镶着一面镜子，竹韵从镜子里看见了自己的裸体，她的身材非常好，肌肤也富有弹性和光泽，水珠在她身上飞珠溅玉，发出音乐般的动听声音。她颀长的脖子白嫩可人，高耸的胸脯，修长丰腴的双腿，纤细的腰肢，无一处不透出成熟女性的魅力。看着镜子中的自己完美无瑕的身体，竹韵有些惊异起来，八年风风雨雨过来了，自己的美丽居然丝毫未减当年。

(3)敌手 A 输出一个消息 d∗ 和两个不同的签名集合 S0={u01,···,u0 t}、S1={u1 1,···,u1 t}.随机选择一个数 b∈{0,1},敌手 A 获得一个签名 σ ←sign(d∗,{sk b1,···,sk b t},{pk1,···pk n}).

(4)敌手A输出一个数b′.如果A能以大于1/2的概率使得b′=b,那么,A就赢得了这个游戏.

2.2 多变量公钥密码

多变量公钥密码的基础部分是有限域F上的多变量二次方程组,形式如式(1)所示:

 

MQ(multivariate quadratic)问题:给定有限域 F上的多变量二次方程组 p(i)(x1,···,x n)(i=1,···,m), 如式 (1) 所示. 找到一个向量 x=(x1,···,x n) ∈ F n, 使得 p(1)(x1,···,x n)= ···=p(m)(x1,···,x n)=0.

MQ问题被证明是NP难问题(即便是在GF(2)上)[10],而量子计算机对求解NP难问题,并不具备优势.多变量公钥密码的安全性主要依赖于MQ问题的难解性.

构造多变量公钥密码的一般思路是,先寻找一个容易求逆的二次映射F:F n→F m作为中心映射.为了隐藏中心映射在公钥中的结构,通常会选择两个可逆仿射变换S:F m→F m和L:F n→F n,将这两个仿射变换和中心映射组合在一起.所以,公钥为:P=S◦F◦L:F n→F m,私钥为:S、F和L.

从多变量公钥密码的构造思路可以看出,多变量公钥密码的安全性不仅依赖于MQ问题,还依赖于EIP(extended isomorphism of polynomials)问题.

EIP问题:给定有限域F上的两个n元二次方程组P和F,P和F同构,P=S◦F◦L,其中S、L为两个可逆仿射变换.找出P 的一个分解,使得P=S′◦F′◦L′.

本文主要关注多变量公钥密码体制的签名机制.多变量公钥密码的标准签名、验证过程如图1所示.

  

图1 多变量签名机制标准流程Figure 1 Standard workflow of multivariate signature schemes

签名:对消息 d∈F m进行签名,需要依次计算 x=S−1(d)∈F m、y=F−1(x)∈F n和z=T−1(y)∈F n.z为消息 d的签名.这里的 F−1(x)表示的是找出 x在中心映射 F下的一个 (或几个)原象.

验证:对签名z进行验证,需要计算出d′=P(z)∈F m.如果d′=d成立,则该签名有效;否则,拒绝该签名.

3 基于多变量公钥密码体制的环签名方案

用公平划分思想将环签名方案转化为(t,n)-门限环签名的基本思路是:将这n个成员划分为t个集合,每个集合恰有一名签名者,即构造出对这t个成员的一个公平划分.为了保证匿名性,需要构造一个(n,t)-完全划分系统∏,使得对于任意t个成员,∏中都存在它们的一个公平划分.签名时,先计算出∏中各个划分的签名,再将这些签名链接起来,形成一个类似环的机制.

文献[9]中,Wang等人用一种比较通用的技术,将多变量签名方案转化为环签名方案,具体描述如下:

用户 u i(i=1,2,···,t) 分别有密钥对 sk i/pk i,pk i=P i=S i◦F i◦L i,sk i={S i,F i,L i},其中F i:F n→F m,S i:F m →F m,L i:F n→F n.环 R=(pk1,···,pk t)=(P1,···,P t)是公钥的有序集合.

签名:H:{0,1}∗→F n是一个安全Hash函数,对消息 M 生成一个关于环 R的环签名,签名者Uπ(1 6π6 t)需要执行以下步骤:

小麦赭曲霉毒素A的GICT与标准值线性关系见图3。以标准物质的标准值作为横坐标，GICT的检测结果（实测值）为纵坐标，标准物质的标准值为0～61.34μg/kg时，线性回归方程为y=1.033 4x-0.873 3，相关系数 R=0.998 5。

(1)连环,随机选择一个种子µ∈F n,依次计算

 

其中,s i∈ F n(i=1,2,···,t 且 i= π) 是随机选择的.

(2)补“缺口”,签名者Uπ用自己的私钥将环的“缺口”补齐.计算

 

所以,签名为 σ =(c1,s1,s2,···,s t).

(2)用第(1)步得到的“缺口”值γij验证大环.

验证:依次计算 ci+1=H(R,M,P i(c i)+P i(s i))(i=1,2,···,t).如果 c1=c t+1,则签名有效,输出1;否则,输出 0.

  

图2 基于MPKCs的环签名方案Figure 2 Ring signature scheme based on MPKCs

图2形象化地说明了该方案的签名及验证过程.签名者Uπ先选择随机种子µ,然后用自己和其他成员的公钥,沿环依次算出 c i(i= π+1,π+2,···,t,1,2,···,π −1,π).最后签名者用自己的私钥求出 sπ,以便封闭这个环.验证者从c1开始,沿环依次算出c i(i=2,3,···,t+1),最后检查c1=c t+1是否成立.

为了保证门限环签名的安全性,一个门限环签名方案必须满足以下条件:

该方案的安全性主要基于所采用的多变量签名方案的安全性.这是因为,要伪造一个环签名,必须求出 Pπ(sπ)=(Pπ(µ)−Pπ(cπ))的一个解,即求出 sπ∈F n,这相当于要破解所采用的多变量签名方案.文献[9]分析了该方案在已知攻击算法,如直接代数攻击、线性化方程攻击、HOLE(higher-order linearization equation)攻击、秩攻击和差分攻击下的安全性,证明破解该方案的计算复杂度与破解其所采用的多变量签名方案的计算复杂度是一样的.

同时,基于MPKCs的环签名方案具备匿名性.经过分析发现,签名σ=(c1,s1,s2,···,s t)满足随机分布,因此,即使敌手获取了所有成员的私钥,也无法从中得出签名者的身份信息.

4 基于多变量公钥密码体制的门限环签名方案

(5)求解πa的各个子环,该过程也类似于文献[9]中的环签名过程.

4.1 环的公平划分思想

定义1(环的公平划分)设 t且都为整数,环 R=(P1,···,P n),I=(i1,···,i t)是环 R 中 t个元素组成的集合,π=(π1,···,πt)是环 R 的一个划分,π1,···,πt是 t个子集.如果 I中的各个元素分别属于π中的不同子集,即∀j∈[1,t],#(I∩πj)=1,我们就称π是关于I的一个公平划分.

为了保证匿名性,需要一个包含不同划分的系统,使得对任意t个元素的集合,该系统都存在它的一个公平划分.

混合式教学是传统的课堂教学与在线教育的有机结合，并且不断优化资原配置，最大限度发挥现代科技在教学中的作用。与传统教学相比，混合式教学有助于教师及时了解学生的需求，从而根据学生的需求，进行教学过程重构，调整教学方法，提高教学质量。每个学生的成长经历不同，学习能力、接受能力不同，因材施教就是要根据学生的实际情况为其提供适合的教学资源，就是个性化教学。要满足学生的个性化学习需求，教师一方面要收集大量数据，另一方面要从数据中挖掘出学习的学习状态，学习需求，并且提出合理合学习资源组合，为师生的教学提供帮助。

定义2((n,t)-完全划分系统)设 t且都为整数,环 R=(P1,···,P n),I=(i1,···,i t)是环 R中t个元素组成的集合,∏是环R的一些划分组成的集合.如果对于任意的集合I,∏中都存在它的一个公平划分,我们就称∏是环R的一个(n,t)-完全划分系统.

为了构造出一个(n,t)-完全划分系统,可用彩色编码技术对环进行着色,将着色视为划分的方法.这里需要用到完全散列函数的概念.

综上,该方案可以通过验证步骤,所以该方案满足正确性要求.

那一刻，红琴忘记了一切，忘记了自己与风影的前尘往事，忘记了竹笛与红腰带，也忘记了她自己，忘记了她的过去和现在，她全神贯注地在享受肉欲的快乐，好像把五脏六腑、把灵魂都抛进了欢乐的汪洋大海，把自己的生命从虚无缥缈的幻境重新拉回到了红尘世界。那一刻，她飘飘欲仙，居然没有一丝罪恶感，相反，仿佛升华出了一种什么东西打动了自己，从而使梦境得以再现，幻觉得以认证，这真是一种天大的幽默。

利用t-完美散列函数族可以构造出一个(n,t)-完全划分系统.

环签名是一种具有无条件匿名性的签名模式.在环签名中,签名者选取一个包括自己在内的群组,用自己的私钥和群组内其他成员的公钥对一个消息进行签名.因为在验证过程中,这些签名通常会连成一个闭合的圈,所以,这种签名方式被称为环签名,这种群组被称为环.环签名的验证者可以确定签名来自环中的某个成员,但无法确定具体是哪个成员.

用这种思路构造新方案存在的问题是:在∏中,除了t个签名者所在的公平划分,其他划分所在的子环都没有签名者.因此,这些子环无法形成一个闭合的环,即c1̸=c t+1.为了不失一般性,同时考虑到c1=c t+1这个条件对方案的安全性来说并不是必须的.本文令c1和 c t+1之间存在一个 “间隔”,即令c1=c t+1+γ.文献[9]的环签名可以看作γ=0时的特殊情景.

当γ可以被攻击者自由选择时,伪造一个环签名是非常容易的.但是,当γ是一个攻击者无法选择的值时,为了让c1=c t+1+γ成立,攻击者就必须用到某个成员的私钥.

我马上想到那个“卖银的”故事，白丽筠是用它来隐喻自己有过的经历呀，话说到这份儿上，我为白丽筠如此泼辣的坦白而感动。我也完全明白她所想要的礼物是何性质，就像她把一个“自由人”当作礼物送给我，她也是想向我索取一个此类的回报吧。虽然外界传闻把她说得很不堪，口碑极差，但是，就冲着她这份光明磊落的态度，我就格外高看她一眼。如果我理解得没错，大约是李老板把她玩腻了，打算把她转手嫁给别人。我做这个接二把的有点不光彩，但是白丽筠能抛开世俗名誉，做一个我行我素的人，我又有什么抛不开呢？

4.2 签名方案

本节将提出一个基于多变量公钥密码体制的门限环签名的一般化方案.

应激是动物机体为有效对抗威胁自身身体平衡和稳定的各种刺激，所作出的一系列非特异性防御反应，适当的应激反应，对增加动物机体对外界的适应能力有很大帮助，它有利于维护自身平衡和稳定。但过强或长期的应激刺激，会给机体造成严重危害。夏秋季节外界温度较高，湿度较大，牛舍温度与湿度控制不当，超过牛的承载能力，很容易导致热应激的发生。由于奶牛汗腺并不发达，一旦牛舍温度超标，牛体表的对流、辐射和蒸发散热停止，会使牛体表温度迅速升高，产生热应激。牛热应激产生后，会严重影响奶牛的生产指标。

令 t、n 和 p 都为整数且 t,环 R=(P1,···,P n),∏ =(π1,···,πp)是环 R 的一个 (n,t)-完全划分系统,P=(P i1,···,P i t)∈R为要签名的成员组成的一个子集,πa是 P的一个公平划分,M 为要签名的消息.本文的门限环签名方案包括三个步骤——密钥生成、签名和验证:

实验结果显示,观察组的总有效率为95.24%,要明显大于对照组的73.81%(P<0.05),差异具备统计学中的意义(P<0.05),详情见表1。

密钥生成:令F为有限域,m、h都为整数.环R中的每个成员都有密钥对sk i/pk i,pk i=P i=S i◦F i◦L i,sk i={S i,F i,L i},其中F i:F h→F m,S i:F m→F m,L i:F h→F h.

签名:令H、E为Hash函数,H:{0,1}∗→F h,E能返回t×h比特长的字符串.为了方便,本文假设每个子环有 q 个成员,对于任意 i、j、z(i=1,2,···,p,j=1,2,···,t,z=1,2,···,q),分别表示划分πi里第j个子环上的第z个成员的c值、s值,πa各个子环上的第k个成员为签名者.

比较文学的理论和方法，新加坡学界其实并不陌生。早在1973年，本地学者王润华教授便已在南洋大学开设了“比较文学概论”和“西方汉学研究”的课程，向中文系学生介绍比较文学的学科理论和研究方法，进而引导学生将它们应用到中国文学的研究上。回顾这段教学经历，王润华教授有这样的描述：

(1)选取除πa外的所有划分的子环的随机种子.

 

(2)计算除πa外的所有划分的子环的签名,从每个子环的第一个成员开始计算.但是,因为这些子环中没有签名者,所以它们的签名无法形成一个闭合的环,因此,我们令c1=c q+1+γ.

 

(3)用第(2)步得到的“缺口”值γij计算大环.

 

本节将利用公平划分思想,把文献[9]所提出的基于多变量公钥密码体制的环签名方案转化为门限环签名方案.

 

(1)从第一项开始计算所有子环,求出“缺口”值.

 

综上所述，面对当前的经济背景，传统模式的抄核收管理工作已然无法适应现代化社会的发展需要。电力营销中抄核收作业的每项具体环节，都必不可少的会存在一定的管理问题，供电单位因此需要予以具体环节以重视，积极更新管理概念，提高抄核收的自动化以及智能化管理水平，不断提升供电企业的电力营销质量和生产量满足现代化社会的需要，推动电力抄核收工作的长期发展。

C p+1 ← E(γp1 ∥ ···∥ γp t+E(···E(γ11 ∥ ···∥ γ1 t+C1)···))如果C p+1=C1,则签名有效;否则,签名无效,拒绝该签名.

4.3 安全性分析

根据门限环签名的安全性要求,新方案应该同时满足正确性、不可伪造性和匿名性.下面将对新方案的安全性分别进行分析.

结论1本文所提多变量门限环签名方案满足正确性要求.

证明: 假设接收方收到消息 M 的签名若签名按4.2节的签名步骤进行,并且在传送过程中没有被修改.

在验证步骤 (1),除 πa外的所有划分的子环明显可以顺利通过.对于 πa内的子环,因为有又因为当 z=q,所以,πa内的子环可以通过验证步骤(1).

在验证步骤 (2),因为 γa1∥ ···∥ γa t← U a−C a,所以 C a+1=E(U a)=E(γa1∥ ···∥ γa t+C a),所以 C i+1=E(γi1∥ ···∥ γit+C i)(i=1,2,···,p)成立. 从签名步骤可知,当 i=p 时,C1=E(γp1∥···∥ γp t+C p).由验证步骤可知 C p+1=E(γp1∥ ···∥ γp t+C p),所以 C p+1=C1.

古希腊的医学有三大法宝：语言、药物和手术刀。今天人类最初的语言和叙事能力被医疗器械和现代生物医学技术大大削弱了。如何培养临床医生对患者的理解、共情和亲和能力？卡蓉基于系统研究和长期医学实践建立起“平行模式”，即在医生书写医疗病历之同时增加一份人文病历，记录患者主观的病痛体验，就像人类学的田野笔记一样书写病患故事及人文观察所得。平行病历要解决的问题是医患之间因不同叙事而产生的紧张关系，它强调医疗应回归理解、共情和亲和。

定义3(完全散列函数)环 R=(P1,···,P n),I=(i1,···,i t)⊆ R.如果 h:[1,n]→ [1,t]是 I上的一个一对一映射,则称h是集合I的完全散列函数(perfect Hash function).若对任意I⊆R,#(I)=t,均有h∈H 是I的完全散列函数,则称H 是t-完全散列函数族(t-family of perfect Hash functions).

如2.2节所述,本文所采用的多变量公钥密码的安全性,不仅依赖于MQ问题,还依赖于EIP问题.与MQ问题相反,人们对EIP问题的困难性并不是很了解.实际上,一些多变量公钥密码方案的公钥分解是很简单的,如平衡油醋签名算法.所以,很难为此类多变量公钥密码提供可证明安全[11].目前,此类多变量公钥密码的安全性都是基于已知的各种攻击,如直接攻击、秩攻击、线性化方程攻击、HOLE攻击、差分攻击等[6,12,13].因此,本文所提出的基于多变量公钥密码体制的门限环签名方案的不可伪造性,也是基于各种关于多变量公钥密码的已知攻击.

结论 2在所选的多变量公钥密码方案安全的情况下,本文所提门限环签名方案满足不可伪造性要求.

证明: 设密钥生成算法生成密钥对 sk i/pk i(i=1,···,n),敌手 A获得了所有公钥 pk i(i=1,···,n).敌手 A至多可以知道t−1个成员的私钥,并且掌握了各种关于MPKCs的已知攻击算法,如直接攻击、秩攻击、线性化方程攻击、HOLE攻击、差分攻击等.

敌手A模仿一个合法的签名者进行签名.敌手A随机选取除πa外的所有划分的子环的这里 i=1,2,···,p,j=1,2,···,t,z=1,2,···,n,i=a(下同),计算出 γij. 将 γij 代入大环,计算出 γa j.为了生成有效的门限环签名,A必须保证πa上子环的“间隔”值为成立.将γaj代入πa的子环中,可得出(k表示签名者).现在,敌手A需要求出的解,即的值.求出需要用到签名者的私钥.假设敌手已经知道了t−1个成员的私钥,仍需求出一个在直接攻击、秩攻击、线性化方程攻击、HOLE攻击、差分攻击下,求解的计算复杂度,与攻破其所采用的多变量签名方案的计算复杂度是一样的[9].因此,如果所选的多变量签名方案是安全的,本文所提出的门限环签名方案具备不可伪造性.

结论 3本文所提多变量门限环签名方案满足匿名性要求.

3.按照依法治国的要求，行使国家职能。为了在行使专政职能时，更好地贯彻落实依法治国的基本方略，坚持依法专政，维护社会稳定，保障人民民主专政的国家政权，需要多方面的努力，尤其注重以下几点：

证明: 这里,本文采用 2.1节所提到的匿名性安全游戏进行证明. 假设敌手 A可以访问签名预言机 OS({i1,···,i t},d),敌手 A 输出一个消息 d∗和两个不同的签名集合 S0={u01,···,u0 t}、S1={u11,···,u1 t}. 随机选择一个数 b∈ {0,1},敌手 A 获得一个签名 σ ←sign(d∗,{sk b1,···,sk b t},{pk1,···pk n}).

对于签名都是随机选取的,根据签名生成过程,因此,γij也应该被当成随机选取的数. 又因为 U a 是随机值,所以 C1=E(γp1 ∥ ···∥ γp t+E(···E(γ(a+1)1 ∥···∥ γ(a+1)t+E(U a))···))也应被当作随机值. 分析 γa1∥ ···∥ γa t← U a− C a. 根据签名过程 C a=E(γ(a−1)1 ∥ ···∥ γ(a−1)t+E(···E(γp1 ∥ ···∥ γp t+E(···E(γ(a+1)1 ∥ ···∥ γ(a+1)t+E(U a))···))···)).所以,C a它也是一个随机值.因此,γa j也是随机值.

对于 πa的各个子环,由上面的分析和签名算法可知,和是随机值.因为,所以,可被当作随机值.因此,也是随机值.

综上,门限环签名的各个值满足随机分布,这些值的选取与签名者的身份无关.因此,S0、S1产生的签名满足不可区分性,即使敌手A知道了所有成员的私钥,成功判定S0、S1中真实签名集合的概率也不会大于1/2.因此,本文所提出的多变量门限环签名方案满足匿名性要求.

5 基于Rainbow签名方案的门限环签名方案

5.1 Rainbow签名方案

Rainbow签名方案[14]是被研究最多的多变量签名方案之一,方案描述如下:

F是一个有限域,n∈N,集合 {v1,···,v u+1}代表每一层醋变量的数目,且 012<,···,u+1=n. 设 m=n − v1,O i={v i+1,···,v i+1},V i={1,···,v i}(i=1,···,u).

密钥生成:私钥由两个可逆仿射变换 S:F m→ F m、L:F n→ F n和中心映射 F ={f(v1+1),f(v1+2),···,f(n)}:F n→F m 构成,中心映射 F 的形式如式 (2)所示:

 

公钥由仿射变换和中心映射复合而来.所以,公钥为:P=S◦F◦L:F n→F m.

签名:与 2.1节所示签名过程一致,对消息 d∈F m进行签名,需要依次计算 x=S−1(d)∈F m、y=F−1(x)∈F n和z=T−1(y)∈F n.z即为消息d的签名.Rainbow签名机制的中心映射F的逆运算过程为:首先,随机选取x1,···,x v1作为第一层醋变量的值,代入方程 f(k)(k∈O1),可得到含有v2−v1个变量的线性方程组.求解该线性方程组,得到第一层油变量x v1+1,···,x v2的值.然后,将第一层的醋变量和油变量作为第二层的醋变量代入方程f(k)(k∈O2),求出第二层油变量的值.再第二层的醋变量和油变量作为第三层的醋变量代入方程f(k)(k∈O3).以此类推,即可求出整个方程组的解.

验证:仅需计算出 d′=P(z)∈F m,再判断 d′=d是否成立,如果成立,则该签名有效;否则,拒绝该签名.

5.2 Rainbow门限环签名方案

第4节给出了用多变量公钥密码构建门限环签名的一般方案,将Rainbow签名方案代入第4节所提的门限环签名方案中,即得到Rainbow门限环签名方案.Rainbow门限环签名方案的密钥生成、签名和验证过程与4.2节相同,这里不再多加阐述.

4.3节中关于多变量门限环签名方案的正确性、不可伪造性和匿名性的3个结论对Rainbow门限环签名同样适用.由4.3节可知,本文所提出的门限环签名方案的正确性和匿名性,与所采用的多变量密码并无直接关系.由4.3节的结论 2可知,如果所采用的 Rainbow签名方案是安全的,那么本节所提的Rainbow门限环签名方案也是安全的.因此,这里仅关注Rainbow签名方案的安全性.本文将采用文献[11]所推荐的参数进行分析.表1以有限域上的Rainbow门限环签名方案为例,列举了当t=2时,不同安全级别下,选择不同的参数,该方案的公钥大小和签名大小.

 

表1 门限环签名方案的参数选择和结果(F=GF(256);Rainbow)Table 1 Parameters and results of threshold ring signature scheme(F=GF(256);Rainbow)

  

安全级别(b it) (t,n) 参数(v1,o1,o2) 公钥大小(K B) 签名大小(K B)(2,5) (17,13,13) 120.10 0.97 80 (2,10) (17,13,13) 240.20 4.12(2,15) (17,13,13) 360.29 9.36(2,5) (26,16,17) 285.21 1.33 100 (2,10) (26,16,17) 570.41 5.65(2,15) (26,16,17) 855.62 12.85(2,5) (36,21,22) 663.48 1.77 120 (2,10) (36,21,22) 1326.95 7.56(2,15) (36,21,22) 1990.43 17.20

由表1可以看出,随着安全级别的提高,公钥和私钥的大小逐渐增大.在同一安全级别下,随着n的增大,公钥和签名大小也会逐渐增大.而且,公钥的大小随n的增加呈线性增长的趋势.这是因为,本方案的公钥大小为:n×size p k R ainb ow.本文采用Rainbow签名方案的基础算法,因此公钥体积较大.若采用优化算法[11],则可压缩超过60%的公钥体积.

6 总结

目前,大多数门限环签名方案都是基于传统公钥密码方案.量子计算机的出现,对传统公钥密码的安全性产生了巨大的威胁.多变量公钥密码可以抗量子计算机的攻击,而且具有加解密速度快,所需计算资源少的特点.本文结合文献[9]所提出的环签名方案的特点,采用公平划分的方法,提出了一个基于多变量公钥密码体制的门限环签名方案.该方案是一个一般化方案,适用于双极系统这类多变量公钥密码,而且可以抵抗量子计算机的攻击.通过安全性分析,表明所提出的方案满足正确性、匿名性和不可伪造性要求.

References

[1]BRESSON E,STERN J,SZYDLO M.Threshold ring signatures and applications to ad-hoc groups[C].In:Advances in Cryptology—CRYPTO 2002.Springer Berlin Heidelberg,2002:465–480.[DOI:10.1007/3-540-45708-9_30]

[2]LIU J K,W EIV K,WONG D S.A separable threshold ring signature scheme[C].In:Information Security and Cryptology—ICISC 2003.Sp ringer Berlin Heidelberg,2003:12–26.[DO I:10.1007/978-3-540-24691-6_2]

[3]WEI V K.A bilinear spontaneous anonymous threshold signature for ad hoc groups[J].IACR Cryptology ePrint Archive,2004:2004/039.

[4]ISSHIK I T,TANAKA K.An(n–t)-out-of-n threshold ring signature scheme[C].In:Information Security and Privacy—ACISP 2005.Sp ringer Berlin Heidelberg,2005:406–416.[DO I:10.1007/11506157_34]

[5]SHOR PW.Polynomial-time algorithm s for prime factorization and discrete logarithms on a quantum computer[J].SIAM Journal on Computing,1997,26(5):1484–1509.[DO I:10.1137/S0036144598347011]

[6]DING J,GOWER J E,SCHMIDT D S.Multivariate Public Key Cryptosystems[M].In:Advances in Information Security.Springer Boston,2006,Vol.25.[DOI:10.1007/978-0-387-36946-4]

[7]TAO C,XIANG H,PETZOLDT A,et al.Simple matrix—a multivariate public key cryptosystem(M PKC)for encryption[J].Finite Fields&Their Applications,2015,35(C):352–368.[DO I:10.1016/j.ffa.2015.06.001]

[8]GU C S.Cryptanalysis of simple matrix scheme for encryption[J].IACR Cryptology ePrint Archive,2016:2016/1075.

[9]WANG S P,M A R,ZHANG Y,et al.Ring signature scheme based on multivariate public key cryptosystems[J].Computers&Mathematics With Applications,2011,62(10):3973–3979.[DO I:10.1016/j.camwa.2011.09.052]

[10]GAREY M R,JOHNSON D S.Computers and Intractability:A Guide to the Theory of NP-Completeness[M].New York:W.H.Freeman,1979.

[11]PETZOLDT A.Selecting and Reducing Key Sizes for Multivariate Cryptography[D].Darmstadt,Germany:TU Darmstadt,2013.

[12]KIPNIS A,PATARIN J,GOUBIN L.Unbalanced oil and vinegar signature schemes[C].In:Advances in Cryptology—EUROCRYPT 2000,Springer Berlin Heidelberg,2000:206–222.[DO I:10.1007/3-540-48910-X_15]

[13]PETZOLDT A,CHEN M S,YANG B Y,et al.Design principles for HFEv-based multivariate signature schemes[C].In:Advances in Cryptology—ASIACRYPT 2015.Springer Berlin Heidelberg,2015:311–334.[DO I:10.1007/978-3-662-48797-6_14]

[14]DING J,SCHMIDT D.Rainbow,a new multivariable polynomial signature scheme[C].In:Applied Cryptography and Network Security—ACNS 2005.Springer Berlin Heidelberg,2005:164–175.[DO I:10.1007/11496137_ 12]