(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210693582.0 (22)申请日 2022.06.18 (71)申请人 曲阜师范大学 地址 273165 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 李凤银　王俊卉　李光顺　周挥宇　 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/08(2006.01) H04L 9/14(2006.01) H04L 9/32(2006.01) (54)发明名称 格上基于身份的强前向安全签名方法 (57)摘要 本发明属于密码学领域， 涉及基于身份的签 名机制和格密码等领域。 为了抵抗量子计算机的 攻击， 实现前向安全和后向安全的签名机制， 本 发明提供了一种基于格密码的强前向安全签名 方法。 本方法通过基于格密码的陷门生成算法和 格基委派算法生成安全密钥， 使得该方法能够抵 抗量子计算机的攻击； 通过格基委派技术和哈希 函数对密钥进行更新， 保证不必每次检测出密钥 泄露就撤销当前密钥系统， 提高了签名的效率和 安全性。 权利要求书1页 说明书4页 附图1页 CN 115021889 A 2022.09.06 CN 115021889 A 1.格上基于身份的强前向安全数字签名方法， 其特 征在于： (1)使用基于格密码的陷门生成算法和格基委派算法生成密钥， 使得该方法能够抵抗 量子计算机的攻击； (2)通过格基委派技术和哈希函数对密钥进行更新， 保证不必每次检测出密钥泄露就 撤销当前密钥系统， 提高了签名的效率和安全性。 2.根据权利要求1所述的格上基于身份的强前向安全签名方法， 该方法一共包含两个 实体， 分别是基于身份的密码系统IBC用户、 密钥生 成中心PKG， 具体实施 步骤包含以下四个 算法： (1)系统初始化 输入安全参数n， 运行陷门生成算法和哈希函数生成公共参数PP＝(A0,B0,H1,H2)， 以 (A0,B0)为主公钥， 以格 基委派算法生成的 为主私钥并令 (2)密钥提取及更新 算法 一个身份为ID的IBC用户向PKG发送密钥请求， PKG收到用户请求后， 会选择一个适合的 周期T为该用户一次性生 成T个周期的密钥； PKG运行格基委派算法生成T个周期的一系列密 钥(SKID||0,SKID||1……SKID||T)∈Zm×m； (SKID||0,SKID||1……SKID||T)作为该用户的全部周期的 密钥， PKG把密钥(SKID||0,SKID||1……SKID||T)通过安全信道发送给用户； 当T周期内的密钥使 用完或失效后， 身份为ID的用户可以再次向PKG发送密钥请求， PKG会再运行算法为用户生 成一系列密钥为用户所用； (3)签名算法 在此算法中， 身份为ID的用户需要对某个消息m∈{0,1}*使用用户私钥签名； 用户首先 确定当前所在的周期， 假设当前周期为i， 用户使用自己在第 i周期的私钥SKID||i， 随机向量 和ID的身份哈希值H(ID)进行签名， 签名结果为ei＝(ci,zi)； 用户随机选择 消息m∈{0,1}*， 计算ci＝H2(A°ID||i·yi,m)， 其中A °ID||i＝AID||i+A'ID||i， AID||i和 A'ID||i均为主公钥和身份的hash运算， 具体的有AID||i＝A0·(H1(ID||0)H1(ID||1)……H1(ID ||i))‑1， A′ID||i＝B0·(H1(ID||T)H1(ID||T‑1)……H1(ID||i))‑1； 然后计算zi＝SKID||i·ci+ yi， 以概率 输出当前周期i的签名ei＝(ci,zi)； TID||i＝A°ID||i·SKID||i， 那么第i周期用户的公钥为PKID||i＝(A°ID||i,TID||i)； (4)验证算法 任何得到签名和公钥的人都可以作为验证者， 验证者在获得身份为ID的用户的签名ei 后， 使用用户在第i周期的公钥PKID||i对消息签名对进行验证， 如果ci＝H2(A°ID||i·zi‑ TID||i·ci,m)成立， 那么验证通过， 否则验证失败。权　利　要　求　书 1/1 页 2 CN 115021889 A 2格上基于身份的强前向安全签名方 法 技术领域 [0001]本发明属于密码学领域， 涉及基于身份的签名机制和格密码等领域， 通过更新私 钥的方式实现强前向安全， 提高签名系统的安全性。 背景技术 [0002]针对一般签名方法在密钥泄露后不能很好地解决用户信任问题Anderson提出了 前向安全的思想， 其核心在于密钥的更新。 在2000年Anderson对前向安全方法的总结中提 到了两种安全性： 前向安全是保证当前密钥的泄露不会对之前的签名 消息造成危害； 后向 安全是保证当前密钥的泄 露不会对未来的签名过程造成影响。 [0003]随着量子计算机 的发展， 传统的强前向安全签名方法的安全性受到影响， 寻找能 抵抗量子算法攻击的密码学方法， 在即将到来的量子计算机时代， 变成一个迫切的现实问 题。 格密码具有很好的抗量子攻击性能， 并且在格上的运算相对简单， 计算速度较快。 本文 将强前向安全的签名方法与格密码相结合， 设计出了一种格上基于身份的强前向安全的签 名方法， 提高了签名系统的安全性和效率。 发明内容 [0004]本发明要解决的技术问题在于， 为了抵抗量子计算机 的攻击， 不必每次检测出密 钥泄露就撤销当前密钥系统， 本发明提供了一种格上基于身份的强前向安全的签名方法。 [0005]本发明所采用的技术方法是： 通过基于格密码的陷门生成算法和格基委派算法生 成密钥， 使得该方法能够抵抗量子计算机的攻击； 其次， 本发明通过对私钥更新的设计， 实 现用户不小心泄露其中一个私钥也不必撤销整个密钥系统， 提高了签名阶段的效率和安全 性。 [0006]格上基于身份 的强前向安全的签名方法， 一共包含两个实体， 分别是基于身份的 密码系统IBC用户和密钥生 成中心PKG； 该方法一共包含四个算法， 分别是系统初始 化、 密钥 提取与更新 算法、 签名算法和签名验证算法， 具体过程如下： (1)系统初始化： 输入安全参数n， 运行陷门生成算法和哈希函数生成公共参数PP ＝(A0， B0， H1， H2)， 以(A0， B0)为主公钥， 以格基委派算法生成的 为主私钥并令 (2)密钥提取及更新算法： 一个身份为ID的IBC用户向PKG发送密钥请求， PKG收到 用户请求后， 会选择一个适合的周期T为该用户一次性生 成T个周期的密钥； PKG运行格基委 派算法生成T个周期的一系列密钥运行算法生成一系列密钥(SKID||0， SKID||1……SKID||T)∈ Zm×m； (SKID||0， SKID||1……SKID||T)作为用户的全部密钥， PKG把密钥(SKID||0， SKID||1…… SKID||T)通过安全信道发送给用户； 当T周期内的密钥使用完或失效后， 身份 为ID的用户可以 再次向PKG发送密钥请求， PKG会再运行算法为用户生成一系列密钥为用户所用； (3)签名算法： 身份为ID的用户需要对某个消息m∈{0， 1}*使用用户私钥签名； 用 户首先确定当前所在的周期， 假设当前周期为i， 用户使用自己在第i周期的私钥SKID||i， 随说　明　书 1/4 页 3 CN 115021889 A 3