(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210558442.2 (22)申请日 2022.05.20 (71)申请人 曲阜师范大学 地址 273165 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 李凤银　杨梦娇　王伊蕾　商梦雪　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/30(2006.01) (54)发明名称 格上基于身份的代理盲签名方法 (57)摘要 本发明涉及匿名安全及格理论与密码学领 域， 具体讲的是一种格上基于身份的代理盲签名 方法。 在代理盲签名中， 原始签名者把他的签名 权利委托给代理签名者， 由代理签名者代替他来 完成签名， 并且代理签名者在进行签名时， 不知 道消息的具体内容。 针对量子环 境下基于大整数 分解与离散对数困难问题代理盲签名的不安全 性， 本发明提出了一种抗量子的格上基于身份的 代理盲签名方法， 为保护用户的敏感信息提供了 匿名性， 并具有抵抗恶意用户攻击和不可伪造等 安全性的特点。 该方法使用了基于身份的公钥密 码体制、 双峰高斯分布和拒绝采样技术， 提高了 系统的安全性和资源利用率， 减 轻了系统的存储 负担。 权利要求书2页 说明书3页 附图1页 CN 115529134 A 2022.12.27 CN 115529134 A 1.一种格上基于身份的代理盲签名方法， 其特 征在于， 包 含以下五个步骤： (1)系统初始化： 假设n为安全参 数， q＝ploy(n),m≥2nlgq,哈希函 数 原始签名者A和代 理签名者B的身份ID分别为 IDA和IDB； 给定参数n， 密钥产生中心KGC运行TrapGen(1n)算法产生矩阵 和格 的 一个陷门基 并且 将A0作为主公钥， S0作为主密钥， 并且它们满 足A0S0＝T0＝qIn(mod 2q)； (2)密钥生成： 输入身份IDA∈{0,1}*， KGC利用系统的主密钥运行原像抽样算法SamplePre(A0,S0,H (IDA), σ )生成IDA的私钥 使得A0SA＝H(IDA)(mod 2q)， 且 输入身份IDB∈{0,1}*， KGC利用系统的主密钥运行原像抽样算法SamplePre(A0,S0,H (IDB), σ )生成IDB的私钥 使得A0SB＝H(IDB)(mod 2q)， 且 (3)代理密钥生成： 原始签名者A选择代 理签名者的身份IDB， 运行SamplePre(A0,SA,H(IDB), σ )生成代 理签 名密钥 且 原始签名者A将S3发送给代理签名者B作为代理私钥； (4)代理盲签名： 假设m是将要被盲化的消息， 代理签名者B和用户C按照以下 过程生成签名： (a)盲化： 首先， 对于一个消息m， 代理签名者B选择一个随机向量 并发送一个承诺x ←A0r 给用户， 然后用户C对消息 m进行盲化， 最后用户C将盲化的消息发送给代理签名者B， 盲化过 程如下所示： ①选择两个盲因子 ②计算c1←H(x+A0y1 mod 2q,m),c2←H(x+A0y2 mod 2q,m)； ③选择一个随机位b∈{0,1}； ④计算 μ1←(‑1)bc1, μ2←(‑1)bc2； ⑤以 的概率输出( μ1, μ2)； (b)签名： 代理签名者B对用户C发来的盲消息进行签名， 并将签名发送给用户C， 签名过程如下所 示： ①使用前面的随机向量 ②计算z1←r+ μ1S3,z2←r+ μ2SB； ③以 的概率输出(z1,z2)； (c)脱盲： 用户C收到代理签名者B的盲消息的签名， 通过脱盲算法来恢复原始消息的盲签名， 并权　利　要　求　书 1/2 页 2 CN 115529134 A 2将其发送给验证者， 脱 盲过程如下 所示： ①使用前面的盲因子 ②计算e1←y1+z1,e2←y2+z2； ③以 的概率输出(e1,e2)； (5)验证阶段： 输入消息m及其对应的盲签名(e1,e2)， A0,c1,c2， 验证通过需要满足以下 条件： ①||e1||≤B2， ||e2||≤B2； ②||e1||∞≤q/4， ||e2||∞≤q/4； ③c1＝H(A0e1+qc1mod 2q,m)， c2＝H(A0e2+qc2mod 2q,m)； 签名者输出形式为(z,c)的签名， 其中z是根据 分布的,因此接受界B2应设置为略高 于 可以表示 为 对于安全参数 λ 以1 ‑2‑λ的概率验证||z||∞≤q/4。权　利　要　求　书 2/2 页 3 CN 115529134 A 3