欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種基于辮群共軛問題的數(shù)字簽名方法

文檔序號:7550694閱讀:159來源:國知局
專利名稱:一種基于辮群共軛問題的數(shù)字簽名方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種基于辮群的CSP(共軛搜索)問題和CDP(共軛判定)問題間差異的數(shù)字簽名方法ECSS。本發(fā)明涉及到信息安全領(lǐng)域具體說就是簽名者如何發(fā)布一個帶有自己私鑰簽名文件以便驗證者使用簽名者的公鑰來驗證該文件是否為簽名者發(fā)布的簽名文件。
背景技術(shù)
現(xiàn)目前廣泛使用的數(shù)字簽名技術(shù)是RSA簽名體制,它的安全性是建立在大數(shù)分解的困難性上的,然而隨著計算機處理能力的不斷提高和相關(guān)的研究逐漸深入,RSA不得不不斷的加大模數(shù)n位數(shù)以確保安全性,從512比特到1024比特到2048比特。由于密鑰的位數(shù)過長,導(dǎo)致產(chǎn)生大素數(shù)和指數(shù)計算的計算量都很大,因此RSA的效率不是很高;而如果為了提高效率采用硬件實現(xiàn),則位數(shù)過長導(dǎo)致設(shè)備更復(fù)雜、成本更高,而且由于硬件實現(xiàn)方式的不可改性,硬件的使用壽命縮短,導(dǎo)致成本的進(jìn)一步提高。
自從2000年韓國學(xué)者Ki Hyoung KO、Sang Jin Lee在CRYPTO 2000提出了一種基于辮群共軛問題的困難性的密鑰交換協(xié)議和公鑰加密體制以來(K.H.Ko,S.J.Lee,J.H.Cheon,J.W.Han,J.S.Kangand C.S.Park,New Public-KeyCrytosystem Using Braid Groups,Proc.of Crypto 2000,LNCS 1880,Springer-Verlag(2000)166 183.),辮群公鑰密碼體制得到了廣泛的研究。然而它的數(shù)字簽名體制一直沒有一個很好的解決方案。直到2003年,韓國學(xué)者KiHyoung KO、DooHo Cho提出并實現(xiàn)了兩種基于辮群共軛問題的簽名體制(KiHyoung Ko and Doo HoChoi and Mi Sung Cho and Jang Won Lee New Signature Scheme Using ConjugacyProblem Cryptology ePrint ArchiveComplete Contents 2003/168)SCSS以及CSS。我們簡要介紹一下3中的兩種簽名體制,SCSS以及CSS。
簡單共軛簽名體制SCSS公共參數(shù)辮群Bn散列函數(shù)h密鑰生成公鑰一個CSP問題為困難問題的共軛對(x,log2n!x′)∈Bn×Bn,私鑰a∈Bn,滿足x′=a-1xa;簽名對于一個給定的比特串消息m,m的簽名sign(m)=a-1ya,其中y=h(m)。
驗證一個簽名sign(m)是合法的當(dāng)且僅當(dāng)sign(m)~y,x′sign(m)~xy然而由于攻擊者可以獲得很多對的(yi,a-1yia),從而可能造成私鑰a的秘密信息泄漏,即k-CSP問題。為了克服以上問題,他們提出了CSS簽名體制。
共軛簽名體制CSS公共參數(shù)辮群Bn散列函數(shù)h密鑰生成公鑰一個CSP問題為困難問題的共軛對(xx′)∈Bn×Bn,私鑰a∈Bn,滿足x′=a-1xa;簽名對于一個給定的消息m,隨機選擇一個隨機化因子b∈Bn,計算α=b-1xb,y=h(m‖α),β=b-1yb,γ=b-1aya-1b,消息m的簽名sign(m)=(α,β,γ)。
驗證消息m的簽名sign(m)=(α,β,γ)為合法簽名當(dāng)且僅當(dāng)滿足α~x,β~γ~y,αβ~xy,αγ~x’yCSS簽名體制由于引入了隨機化因子b,因此很好的克服了k-CSP問題。但是可以發(fā)現(xiàn),由于增加了更多的計算和數(shù)據(jù),因此整個效率明顯下降。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是為了克服了現(xiàn)有技術(shù)中的容易受到針對大數(shù)分解攻擊以及產(chǎn)生大素數(shù)消耗計算資源過大的缺點,解決現(xiàn)有技術(shù)中存在的產(chǎn)生密鑰和簽名驗證時間過長的問題,提供一種基于辮群共軛問題的高效數(shù)字簽名方法,不但可以克服存在SCSS中的k-CSP問題,而且相對CSS,計算量和數(shù)據(jù)都將大大的減少,提高了整個簽名體制的效率。
本發(fā)明所述的基于辮群共軛問題的數(shù)字簽名方法,包含以下步驟假設(shè)簽名方為S,簽名驗證方為V,需要簽名的消息為m,系統(tǒng)參數(shù)辮群Bn(l),Bn(l)的左子群LBm(l),Bn(l)的右子群RBn-1-m(l),辮群公鑰對間的距離d,從比特串{0,1}*到辮群Bn(l)的單向散列函數(shù)h,用于CDP判定算法BCDA的素數(shù)p和判定的點的個數(shù)r。
首先簽名方對需要簽名的消息進(jìn)行如下操作1)簽名方S隨機生成一個辮元x∈LBm(l);2)簽名方S使用RSSBG(x,d)生成(x′,x,a)∈Bn(l)×LBm(l)×Bn(l),使得x’=a-1xa;將共軛對(x’,x)作為S的公鑰,共軛元a作為S的私鑰;RSSBG(x,d)算法簡單描述如下(2-1)選定系統(tǒng)參數(shù)n,m,l,d.
(2-2)隨機生成一個辮元x屬于集合LBm(l).
(2-3)隨機選擇一個辮元b屬于集合Bn(5l).
(2-4)計算y=b-1xb(2-5)隨機產(chǎn)生一個比特,如為0,則計算y=cycling(y)=a-1xa,否則計算y=decycling(y)=a-1xa(2-6)判斷y是否屬于集合SSS(x)以及l(fā)(y)≤d是否都成立,若都成立則輸出(x,y)為公鑰,a為私鑰;若有一個不成立,則轉(zhuǎn)入(2-5)進(jìn)一步生成。
3)簽名方S對需要簽名的消息m首先使用散列函數(shù)h得到y(tǒng)=h(m)∈Bn(l),然后隨機生成一個辮元b∈RBn-1-m(l),然后使用自己的私鑰a和產(chǎn)生的隨機辮元b對消息m簽名得到Sign(m)=a-1byb-1a;有m散列得到h(m)的成立流程簡單描述如下(3-1)選擇一個普通散列函數(shù)H,其輸出H(m)長度為l[log2n!](可以截取),然后將H(m)一次等分為l段R1‖R2‖…‖Rl。
(3-2)一次將Ri對應(yīng)為置換辮元Ai,然后計算h(m)=A1*A2…A1即為所求的h(m).
4)簽名者將消息m、公鑰(x’,x)、m的簽名Sign(m)發(fā)送給簽名驗證方V;簽名驗證方V收到簽名者發(fā)送的信息后進(jìn)行如下操作5)首先利用系統(tǒng)參數(shù)散列函數(shù)h對消息m作用計算得到y(tǒng)=h(m);6)判定sign(m)~y是否成立,若不成立,則sign(m)不是一個合法簽名;若成立,則轉(zhuǎn)步驟7);7)判定sign(m)x’~xy是否成立,若不成立,則sign(m)不是一個合法簽名;若成立,則sign(m)為消息m的合法簽名。
判定兩個辮元a,b是否共軛的判定算法BCDA簡單敘述如下(6-1)輸入辮元a,b,選擇好系統(tǒng)參數(shù)p、r并計算其特征Pa(t)以及Pb(t)。
(6-2)隨機選擇r個不同的隨機數(shù)ti(I=1,2…r),并計算Pa(ti)=Pb(ti)都成立。若有一個不成立,則a~b不成立;若都成立,則轉(zhuǎn)(6-3)。
(6-3)計算Maxinf(a)=Maxinf(b)是否成立,若不成立,則a~b不成立;若成立,則轉(zhuǎn)(6-4)。
(6-4)計算Minsup(a)=Minsup(b)是否成立,若不成立,則a~b不成立;若成立,則轉(zhuǎn)則a~b不成立。
由于本發(fā)明的數(shù)字簽名方法,有如下優(yōu)點1由于加入了隨機化因子b,使得針對每個消息m,共軛對(sign(m),h(m))的共軛元為b-1a,因此每次的共軛元都不相同,從而掩蓋了是要a的信息泄漏,避免了在現(xiàn)有技術(shù)中SCSS(簡單共軛簽名體制)簽名體制中單一使用私鑰a作為共軛對(sign(m),h(m))的共軛元的k-CSP問題??蓞⒖幢?。
2本方法相對于現(xiàn)有技術(shù)中的CSS(共軛簽名體制)數(shù)字簽名方法在不降低安全性的前提下,大大節(jié)省了計算時間,提高了效率,可參看表1。

表13種簽名方法比較3本發(fā)明相對于傳統(tǒng)的RSA簽名方法使用完全不同體系的數(shù)學(xué)基礎(chǔ),不需要產(chǎn)生大素數(shù),大大節(jié)省了密鑰的位數(shù)和簽字的位數(shù),節(jié)約了計算資源,提高了簽名驗證小效率。在現(xiàn)有技術(shù)中給出的CSS簽名方法在Pentium III 866MHz處理器上得到的數(shù)據(jù)為表2所示(默認(rèn)設(shè)置的參數(shù)l=3,d=4,231<p<232,r=3)


表2 CSS簽名方法的試驗數(shù)據(jù)表而本方法相對于CSS簽名方法簽名時間和驗證時間都將大大減少,因此相對RSA有效率更高的優(yōu)點。


圖1本發(fā)明基于辮群共軛問題的數(shù)字簽名方法的步驟主流程圖。
圖2基于辮群共軛問題的數(shù)字簽名方法的密鑰生成的子流程圖。
圖3單向散列函數(shù)h的處理流程圖。
圖4CDP問題判定算法BCDA處理流程圖。
圖5簽名方對消息m簽名的流程圖。
圖6驗證方對消息簽名的驗證流程圖。
具體實施例方式
由于本發(fā)明涉及到一系的數(shù)學(xué)原理,首先將本發(fā)明的數(shù)學(xué)背景闡述如下辮群Bn(n為群參數(shù))是由Artin生成元σ1,σ2,……,σn-1生成的有限表示的無限群,并且它的生成元σ1,σ2……σn-1滿足以下關(guān)系σiσj=σjσi(|i-j|>1,1<i,j<n) (1)σiσjσi=σjσiσj(|i-j|>1,1<i,j<n) (2)由左邊m個生成員σ1,σ2……σm-1生成的群叫Bn的左子群,記做LBm;而由右邊的n-1-m個生成元σm+1,σm+2……σn-1生成的子群叫Bn的右子群,記做RBn-1-m。由生成元關(guān)系(1)顯然可知任取(x,y)∈LBm×RBn-1-m,有xy=y(tǒng)x。對于一個辮元b,若他只包含σ1,σ2……σn-1而不含σ1,σ2……σn-1的逆元,則稱b為一個正元。若對于正元b、a,有一個正元或單位元c使得b=ac,則稱a為b的子元。辮元Δ=(σ1σ2…σn-1)(σ1σ2…σn-2)…(σ1σ2)(σ1)稱為辮群Bn的本元。Δ滿足Δb=τ(b)Δ,τ(σi)=σn-i。其中Δ的子元稱作置換元,他們組成的集合和對稱群∑n的n!個元素一一對應(yīng)。因此Δ的子元可用一個置換π{0,1,...,n-1}→{0,1,...,n-1}來表示。任何一個辮元b都存在唯一的一個標(biāo)準(zhǔn)表示形式;b=Δuπ1π2…πi,其中πi為一個置換元。b的幾個長度定義如下inf(b)=u,sup(b)=u+l,l(b)=1。
在一個辮群Bn中,如果對于兩個辨元x,y∈Bn,存在一個辨元a∈Bn使得y=a-1xa,則稱辨元x,y共軛,記做x~y,而辨元a稱作共軛對(x,y)的共軛元,顯然“~”是一種等價關(guān)系。辮群的基本共軛問題包括共軛判定問題CDP問題和共軛元搜索問題CSP問題。所謂CDP問題就是指任意給出辨元對(x,y)∈Bn×Bn,判斷x~y是否成立。根據(jù)群表示理論,對于任何群G,總存在一個從G到某一個環(huán)的同態(tài),該同態(tài)對共軛關(guān)系保持不變,因此CDP問題對于任何群在計算上總是可解決的。在現(xiàn)有的基于辮群共軛問題的簽名體制中給出了一個算法可以在多項式時間內(nèi)以任意高的概率解決CDP問題。所謂CSP問題就是指對于一個給定的共軛辨元對(x,y)∈Bn×Bn(x~y),找到一個辨元a∈Bn,使得y=a-1xa。對于辮群的來說,目前不存在一個有效的算法可以在多項式時間內(nèi)解決CSP問題,因此對隨機選取的一共軛對(x,y)∈Bn×Bn,他們的CSP問題將以很高的概率為一個困難問題。而本文提出的數(shù)字簽名方法的安全性是建立在MCSP問題的困難性上的,在現(xiàn)有的基于辮群共軛問題的簽名體制中證明了MCSP問題與CSP問題的困難等價性。所謂MCSP問題對他的描述如下已知辮群Bn的一個共軛對(x,x’)∈Bn×Bn,和一個辨元y∈Bn問題找到一個y’∈Bn滿足y~y’xy~x’y’下面對本發(fā)明的數(shù)字簽名的方法的數(shù)學(xué)模型做一個簡介公共參數(shù)辮群Bn、左辮群LBm、右辮群RBn-1-m、散列函數(shù)h、其中Bn的生成元為σ1σ2……σn-1,左辮群LBm為生成元σ1,σ2……σm-1生成的Bn的子群,右辮群RBn-1-m為生成元σm+1,σm+2……σn-1生成的Bn的子群。
密鑰生成公鑰一對CSP問題為困難問題的共軛對(x,x‘)∈LBm×Bn私鑰a∈Bn滿足x‘=a-1xa;簽名對于一個給定的消息m,首先計算y=h(m),然后隨機選取一個秘密隨機化因子b∈RBn-1-m,消息m的簽名sign(m)=a-1byb-1a(見圖5)驗證對于消息m簽名sign(m)為合法簽名當(dāng)且僅當(dāng)sign(m)~y,x’sign(m)~xy(見圖6)對于一個合法的簽名sign(m),由于sign(m)=a-1byb-1a=(b-1a)-1yb-1a,故sign(m)~y成立;而x‘sign(m)=a-1xa a-1byb-1a=a-1xbyb-1a,由于x∈LBm,b∈RBn-1-m,因此xb=bx,從而有x’sign(m)=a-1xa a-1byb-1a=a-1xbyb-1a=a-1bx yb-1a=(b-1a)-1(xy)(b-1a),從而x’sign(m)~xy。因此一個合法的簽名總是可以通過驗證的。
而對于一個攻擊者來說,他要想偽造一個消息m的簽名,所能知道的只包括公鑰(x,x’),和y=h(m),要想偽造的簽名sign(m)滿足sign(m)~y、x’sign(m)~xy,顯然等價于解決MCSP問題,因此是不能做到的。
而對于可以截獲分析的消息簽名對(yi,b-1ayia-1b),由于加入了隨機化因子b,可以很好的避免k-CSP問題。所謂k-CSP問題描述如下已知k對共軛對(x1,x1’),……,(xk,xk’)∈Bn×Bn且xi’=a-1xia(i=1…k)問題找到b∈Bn,使得xi’=b-1xib(i=1,2……k)。
以上是對本發(fā)明簽名方法的數(shù)學(xué)描述,然而由于辮群是無限群,為了用計算機實現(xiàn),需要設(shè)置系統(tǒng)參數(shù)。首先設(shè)定系統(tǒng)參數(shù)n,l,d(推薦l=3,d=4)。令Bn(l)={b∈Bn|0≤inf(b),sup(b)≤l},則|Bn(l)|<(n!)1為有限的。同理LBm(l)={b∈LBm|0≤inf(b),sup(b)≤l},RBn-1-m(l)={b∈RBn-1-m|0≤inf(b),sup(b)≤l}。對于一個辮元采用目前已知在計算機上計算速度最快的Burau表示,即用一個Laurent多項式環(huán)Z[t,t-1]上的(n-1)×(n-1)階矩陣來表示,具體替換原則如下做如下的替換 一個屬于Bn(l)辮元轉(zhuǎn)化為一個Burau表示的計算復(fù)雜度為O(ln),有了以上表示,與辮群內(nèi)的群運算和求逆運算就轉(zhuǎn)化為矩陣的乘法和求逆運算,他們都有著很有效的數(shù)學(xué)工具可以解決,它們的計算復(fù)雜度都為O(ln)。
現(xiàn)在介紹一下CDP問題的判定算法BCDA(見圖4)。任何一個非交換群,都存在一個從群到一個環(huán)的函數(shù),該函數(shù)對于共軛對的函數(shù)值相等,把該函數(shù)叫做特征。定義一個從Bn(l)到Laurent多項式環(huán)Z[t,t-t]的一個函數(shù)g→det(φ(g)-I),其中g(shù)∈Bn(l),Φ(g)為g的Burau表示,I為單位矩陣,det()為求行列式的符號,顯然該函數(shù)為Bn(l)的特征。把det(Φ(g)-I)叫做辮元g的亞歷山大多項式,記做Pg(t),顯然對于一個g∈Bn(l),它的亞歷山大多項式Pg(t)的秩(Pg(t))≤l(n-1)n/2。判斷兩個辮元a,b∈Bn(l)是否共軛,做如下的亞歷山大測試選定系統(tǒng)參數(shù)素數(shù)p和正整數(shù)r,在有限域Z/pZ上任意選取r個不相等的值t1,t2…tr,若對于所有的ti(i=1,2…r)都有Pa(ti)=Pb(ti),則輸出1,否則輸出0。由于(Pa(t)-Pb(t))≤l(n-1)n/2,所以方程Pa(t)-Pb(t)=0最多只有l(wèi)(n-1)n/2個根。所以概率 顯然隨著p和r的增加,這個概率可以任意的小。亞歷山大測試的計算復(fù)雜度為O(rn3)。
Maxinf-Minsup測試。對于辮元的x∈Bn(l),定義Maxinf(x)=Max{inf(y)|y~x,y∈Bn(l)},Minsup(x)=Min{sup(y)|y~x,y∈Bn(l)}。所謂Maxinf-Minsup測試,即對辮元a,b∈Bn(l),判斷Maxinf(a)=Maxinf(b),Minsup(a)=Minsup(b)是否都成立,若都成立,則輸出1,否則輸出0。下面給出計算Maxinf(x)和Minsup(x)的算法描述。首先定義兩個操作,若x=Δuπ1π2…π1,cycling(x)=(τu(π1))-1xτu(π1),decycling(x)=π1-1xπ1。對x循環(huán)做cycling(分別decycling)操作,直到inf值增加(分別sup值減少),然后以當(dāng)前得到的元素為新元素,重復(fù)該循環(huán)操作,且循環(huán)次數(shù)計數(shù)重新設(shè)置為1;若循環(huán)次數(shù)計數(shù)直到m=n(n-1)/2都inf值不再增加(分別sup值不再減少),則當(dāng)前的元素的inf值即為Maxinf(x)(分別Minsup(x)。該算法的理論分析請參看引文J.S.Birman,K.H.Ko and S.J.Lee,The in.mum,supremum and geodesic length of a braid conjugacy class,to appear inAdvances in Mathematics.。該算法的算法復(fù)雜度為O(l2nlog n)。
如果辮元a,b通過了亞歷山大測試和Maxinf-Minsup測試,則可以判定a~b成立,只有一種例外情況,即a~b-1。然而這對于隨機選擇的a、b來說,是幾乎不可能出現(xiàn)的,而對于攻擊者同樣不能利用這種例外情況,分析見引文K.H.Ko,S.J.Lee,J.H.Cheon,J.W.Han,J.S.Kang and C.S.Park,New Public-Key Crytosystem Using Braid Groups,Proc.of Crypto 2000,LNCS 1880,Springer-Verlag(2000)166 183。
對于一個從比特串{0,1}*到辮群Bn(l)的散列函數(shù)h,可構(gòu)造如下(見圖3),首先我們使用一個普通散列函數(shù)將{0,1}*壓縮得到固定長度的比特串{0,1}N,其中N=[llog2n!]。然后將{0,1}N分為l段r1‖r2‖…‖r1,每一段的長度都為[log2n!]。由于Bn(l)的置換元有n!個,故可在置換元和整數(shù)集
間建立一個一一映射。因此再依次將rk轉(zhuǎn)化為
間某一個整數(shù),再將這個整數(shù)和一個置換元Pk,最后得到h(m)=Πk=11Pk.]]>為了產(chǎn)生一個偽隨機辮元,首先產(chǎn)生一個偽隨機序列{0,1}N,然后將{0,1}N分為1段r1‖r2‖…‖r1,每一段的長度都為[log2n!]。由于Bn(l)的置換元有n!個,故可在置換元和整數(shù)集
間建立一個一一映射。因此再依次將rk轉(zhuǎn)化為
間某一個整數(shù),再將這個整數(shù)和一個置換元Pk,最后得到所需要的 為了安全的產(chǎn)生密鑰,先定義一些概念,對于一個辮元x∈Bn(l),定義他的super summit集SSS(x)={y∈Bn(l)|y~x,inf(y)=Maxinf(x),sup(y)=Minsup(x)}。整個簽名算法的安全強度為|SSS(x)|,約為 若y~x,定義x、y間的距d(x,y)=min{l(b)|y=b-1ab},然后再定義s(x,d)={y∈SSS(x)|d(x,y)≤d}。選取x’∈s(x,d),則共軛對(x’,x)的CSP問題為困難問題,可以作為密鑰,下面介紹算法RSSBG(x,d)=(x’,a)用以隨機產(chǎn)生x’∈s(x,d)且x’=a-1xa,從而得到安全公鑰(x’,x)和私鑰a(見圖2)1隨機產(chǎn)生一個辮元b∈Bn(5l),計算b-1xb。
2隨機選擇對b-1xb一系列的cycling或者decycling操作得到x’,直到x’屬于SSS(x)為止(不會超過n2次操作),x’=a-1xa。
3判斷l(xiāng)(a)≤d成立,若成立,則x’和a即為所求,若不成立,則轉(zhuǎn)1。
有了以上的數(shù)學(xué)基礎(chǔ)和算法描述,再結(jié)合附圖對技術(shù)方案的實施作進(jìn)一步的詳細(xì)描述,本發(fā)明用軟件實現(xiàn)如下(為了提高速度,算法BCDA也可用硬件實現(xiàn))選定系統(tǒng)參數(shù)公開辮群參數(shù)n,l,d,p(推薦n為20~30間,l=3,d=4,p為231~232間),以及左辮群大小m(推薦n-m為4左右)。
選定用于散列消息的散列函數(shù)h;參考圖1所示的流程,簽名方S密鑰產(chǎn)生1使用算法PBG隨機產(chǎn)生一個辮元x∈LBm;2使用算法RSSBG(x,d)得到公鑰(x’,x)和私鑰a。
簽名1對需要簽名的消息m應(yīng)用散列函數(shù)h得到y(tǒng)=h(m);2隨機產(chǎn)生一個辮元b x∈a-1byb-1a,然后計算byb-1;3使用私鑰,計算簽名sign(m)=a-1byb-1a。
驗證方Va)對需要驗證簽名的消息m應(yīng)用散列函數(shù)h得到y(tǒng)=h(m);b)使用算法BCDA判定sign(m)~y是否成立,若不成立,則驗證失敗,結(jié)束。若成立,轉(zhuǎn)3;c)計算x’sign(m)和xy;使用算法BCDA判定x’sign(m)~xy是否成立,若成立,則驗證通過,結(jié)束,否則驗證失敗,結(jié)束。
權(quán)利要求
1.一種基于辮群共軛問題的數(shù)字簽名方法,其特征在于,所述方法包括以下處理過程簽名方為S,簽名驗證方為V,需要簽名的消息為m,系統(tǒng)參數(shù)辮群Bn(l),Bn(l)的左子群LBm(l),Bn(l)的右子群RBn-1-m(l),辮群公鑰對間的距離d,從比特串{0,1}*到辮群Bn(l)的單向散列函數(shù)h,用于CDP判定算法BCDA的素數(shù)p和判定的點的個數(shù)r;簽名方對需要簽名的消息進(jìn)行如下操作1)簽名方S隨機生成一個辮元x∈LBm(l);2)簽名方S使用RSSBG(x,d)生成(x’,a)∈Bn(l)×Bn(l),使得x’=a-1xa;將共軛對(x’,x)作為S的公鑰,共軛元a作為S的私鑰;3)簽名方S對需要簽名的消息m首先使用散列函數(shù)h得到y(tǒng)=h(m)∈Bn(l),然后隨機生成一個辮元b∈RBn-1-m(l),然后使用自己的私鑰a和產(chǎn)生的隨機辮元b對消息m簽名得到Sign(m)=a-1byb-1a;4)簽名者將消息m、公鑰(x’,x)、m的簽名Sign(m)發(fā)送給簽名驗證方V;簽名驗證方V收到簽名者發(fā)送的信息后進(jìn)行如下操作5)首先利用系統(tǒng)參數(shù)散列函數(shù)h對消息m作用計算得到y(tǒng)=h(m);6)判定sign(m)~y是否成立,若不成立,則sign(m)不是一個合法簽名;若成立,則轉(zhuǎn)步驟7);7)判定sign(m)x’~xy是否成立,若不成立,則sign(m)不是一個合法簽名;若成立,則sign(m)為消息m的合法簽名。
2.根據(jù)權(quán)利要求1所述的基于辮群共軛問題的數(shù)字簽名方法,其特征在于,所述步驟2)生成公鑰和私鑰具體包括以下處理過程(2-1)選定系統(tǒng)參數(shù)n,m,l,d;(2-2)隨機生成一個辮元x屬于集合LBm(l);(2-3)隨機選擇一個辮元b屬于集合Bn(5l);(2-4)計算y=b-1xb;(2-5)隨機產(chǎn)生一個比特,如為0,則計算y=cycling(y)=a-1xa,否則計算y=decycling(y)=a-1xa;(2-6)判斷y是否屬于集合SSS(x)以及l(fā)(y)≤d是否都成立,若都成立則輸出(x,y)為公鑰,a為私鑰;若有一個不成立,則轉(zhuǎn)入(2-5)進(jìn)一步生成。
3.根據(jù)權(quán)利要求1所述的基于辮群共軛問題的數(shù)字簽名方法,其特征在于,所述散列矩陣的處理過程是(3-1)選擇一個普通散列函數(shù)H,其輸出H(m)長度為l[log(2,n!)](可以截取),然后將H(m)一次等分為1段R1‖R2‖…‖R1;(3-2)一次將Ri對應(yīng)為置換辮元Ai,然后計算h(m)=A1*A2…A1即為所求的h(m)。
4.根據(jù)權(quán)利要求1所述的基于辮群共軛問題的數(shù)字簽名方法,其特征在于,所述的步驟6)、7)中利用算法BCDA判定共軛的處理過程是(4-1)輸入辮元a,b,選擇好系統(tǒng)參數(shù)p、r并計算其特征Pa(t)以及Pb(t);(4-2)隨機選擇r個不同的隨機數(shù)ti(I=1,2…r),并計算Pa(ti)=Pb(ti)都成立;若有一個不成立,則a~b不成立;若都成立,則轉(zhuǎn)(4-3);(4-3)計算Maxinf(a)=Maxinf(b)是否成立,若不成立,則a~b不成立;若成立,則轉(zhuǎn)(4-4);(4-4)計算Minsup(a)=Minsup(b)是否成立,若不成立,則a~b不成立;若成立,則轉(zhuǎn)則a~b不成立。
5.根據(jù)權(quán)利要求1所述的基于辮群共軛問題的數(shù)字簽名方法,其特征在于,所述n取20~30間,l=3,d=4,p為231~232間,以及左辮群大小m比n小4。
全文摘要
本發(fā)明公開了一種基于辮群共軛問題的數(shù)字簽名方法,通過加入隨機化因子b,使得針對每個消息m,共軛對(sign(m),h(m))的共軛元為b
文檔編號H04L9/32GK1545242SQ20031011360
公開日2004年11月10日 申請日期2003年11月13日 優(yōu)先權(quán)日2003年11月13日
發(fā)明者勇 丁, 丁勇, 陳劍勇, 李亞暉 申請人:中興通訊股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
武平县| 黔南| 冀州市| 雷州市| 萨嘎县| 德令哈市| 丰原市| 老河口市| 青河县| 文安县| 慈溪市| 麦盖提县| 松阳县| 齐齐哈尔市| 晋城| 墨脱县| 井研县| 龙海市| 五莲县| 泊头市| 汉中市| 绥阳县| 鄂托克旗| 柞水县| 吉安市| 景泰县| 仪陇县| 马关县| 新沂市| 陕西省| 平乐县| 荔浦县| 辽阳县| 西贡区| 沅陵县| 东城区| 巴彦淖尔市| 开平市| 拉萨市| 丰城市| 鸡西市|