具体实施方式

本实施例中，如图2所示，一种基于身份的前向安全环签名方法是采用格密码技术，首先定义如下两个集合，其中n，m，q均为正整数，

定义集合Λ上参数为s＞0、中心为c∈R^m的离散高斯分布为：

当c＝0时，记ρ_s,0和分别为ρ_s和

其次，本发明采用二叉树结构来对用户秘钥进行演化。在这个二叉树中，除了叶子节点之外的每个节点都有两个分支，左分支用0表示，右分支用1表示。为了简单起见，在方案中，方案的生命周期分为T＝2^d个时间周期，其中d是一个正整数。每个时间段t∈{0,1,...,T-1}都与一个叶子Bin(t)相关联，其中Bin(t)是t的比特分解，可以理解成是从根到该节点的路径。对于j＝1,...d+1，将时间段t的“深度j处的右兄弟”定义为：

定义节点集Nodes(t→T-1)＝{sibling(1,t),...,sibling(d+1,t)}。

图1展示了一个时间周期为T＝2³的二叉树。为了填充集合Nodes(t→T-1)，首先从叶子Bin(t)开始，并将它添加到Nodes(t→T-1)，如果它的兄弟存在，我们也将它添加到集合节点Nodes(t→T-1)中。然后递归向上，将路径上所有父节点的兄弟节点(如果还存在)添加到集合Nodes(t→T-1)，直到到达根节点。然后停止,输出对应的列表Nodes(t→T-1)。以节点(001)为例，从节点ε到叶子节点(001)的路径，有Nodes(1→7)＝{(1),(01),⊥,(001)}。

具体实施中，该前向安全环签名方法包括以下步骤：

步骤1、参数的设置；

步骤1.1、设置安全参数n，并选择素数q≥2、第一整数第二整数m＞5nlogq，以及高斯参数ω表示下界参数，即大于但不等于

步骤1.2、利用陷门生成函数TrapGen(q,n)生成随机矩阵及其基B_A∈Z^m×m；表示在集合{0,1,2...q-1}中取值构成维数为n×m的矩阵集合。Z^m×m表示非负整数组成维数为m×m的矩阵的集合。其中，TrapGen(q,n)算法是指：给定整数n≥1，q≥2，m≥5nlogq该算法输出一个近似均匀随机的矩阵以及格Λ^⊥(A)的一个基B_A∈Z^m×m，并且以极大概率满足和||B_A||≤O(nlogq)，其中是B_A的正交化。

步骤1.3、构建公共参数和主私钥MSK＝B_A；H₁、H₂表示两个将任意长度输入通过散列算法变换成固定长度的输出的抗碰撞哈希函数，表示消息空间；

步骤2、初始私钥sk_id,0的提取；

步骤2.1、定义用户身份id∈{0,1}^*，{0,1}^*表示由0、1组成的任意长度的串的集合，计算用户id的标签矩阵Q＝H₁(id)，并构造用户身份矩阵A_id＝[A|Q]；|表示矩阵A和Q连接；

步骤2.2、利用格基随机化函数RandBasis(ExtBasis(B_A,A_id),s)生成用户身份的基R_id∈Z^(m+1)×(m+1)；Z^(m+1)×(m+1)表示维数为(m+1)×(m+1)的非负整数矩阵的集合。其中，RandBasis(A,S,r)算法是指：输入矩阵格Λ^⊥(A)的一个基S和高斯参数该算法输出格Λ^⊥(A)的一个新基S'，满足并且S'不会泄露关于基S的任何信息。

步骤2.3、对于任一个节点z，确定集合Nodes(0→T-1)，z∈Nodes(0→T-1)，其中，Nodes(t→T-1)表示二叉树中包含叶子节点{t,...,T-1}但不包含{0,...,t-1}的所有祖先的最小集合，0→T-1表示从0开始到T-1的时间周期；

步骤2.3.1、如果z∈⊥，⊥表示无实质节点存在的一个空集，令用户id在节点z处对应的私钥sk_id[z]＝⊥；否则，执行步骤2.3.2；

步骤2.3.2、用d_z表示二进制向量z的长度，其中，d_z≤d，d表示二叉树的深度；

步骤2.3.3、构造用户id在对应节点z处的矩阵其中，Bin(z)是z的二进制表示，Bin(z)[d_z]表示第d_z个比特位，表示节点z从根到节点z的路径在深度d_z处的矩阵，表示在集合{0,1,2...q-1}中取值构成的维数为n×((d_z+1)m+1)的矩阵集合；

步骤2.3.4、计算用户id在对应节点z处的基令sk_id[z]＝R_id,z；←表示生成，RandBasis()表示基的随机化，ExtBasis()表示基的提取，表示随机化基时随机选取的高斯参数；其中，ExtBasis(S₀,A＝A₀||A₁)算法是指：输入矩阵格Λ^⊥(A₀)的一个基S₀以及一个矩阵该算法输出格Λ^⊥(A)的一个基S∈Z^m×m满足其中m＝m₀+m₁。

步骤2.3.5、令与用户身份id相对应的初始私钥为sk_id,0＝{sk_id[z],z∈Nodes(0→T-1)}；

步骤3、时间段t的私钥sk_id,t的更新；

步骤3.1、令已知时间段t的私钥sk_id,t＝{sk_id[z],z∈Nodes(t→T-1)}，则对于新的二进制向量z'∈Nodes(t+1→T-1)的秘钥演化过程如下：

步骤3.1.1、如果z'∈⊥，令用户id在节点z处对应的私钥sk_id[z′]＝⊥；

如果存在一个z∈Nodes(t→T-1)是z'的前缀，则：

若z'＝z，则令sk_id[z′]＝sk_id[z]；

若z'＝z||y，y表示非空的二进制比特串，||表示z和y进行连接，则计算用户在对应节点z'处的基R_id,z'←RandBasis(ExtBasis(R_id,z,A_id,z'),s_dz')，令sk_id[z']＝R_id,z'；A_id,z'表示A_id,z'表示在节点z'提取基时用到的矩阵，且表示随机化基时随机选取的高斯参数；

步骤3.1.2、计算时间段t+1的私钥sk_id,t+1＝{sk_id[z′],z′∈Nodes(t+1→T-1)}；

步骤4、签名；

步骤4.1、定义最大环为S，待签名消息为μ，当前环为R，时间段t的私钥sk_id,t所对应的身份id∈R；

步骤4.2、定义当前环R为所有用户的身份集合其中，id_s表示第s个用户身份，表示用户数量，在时间段t第s个用户id_s的私钥为消息μ∈{0,1}^*；

步骤4.3、假设第s个用户身份id_s为签名者，则解析时间段t内签名者的私钥获取签名者在节点z处的基其中，z∈Nodes(t→T-1)，z＝Bin(t)，Bin表示整数时间t对应的二进制表示，Bin(t)的长度为d_t；

步骤4.4、构造用户s对环进行签名所要的验证矩阵其中，Q_s+1表示第s+1个用户的身份标签矩阵，表示用户s的身份矩阵，B_t表示从根出发到节点t的路径矩阵，且表示节点t从根到节点t的路径在深度d_t处的矩阵；

步骤4.5、选择一个随机数τ∈{0,1}^ω(logn)，{0,1}^ω(logn)表示由0或1组成的长度为ω(logn)的串的集合，计算哈希值u＝H₂(R,μ,t,τ)；

步骤4.6、利用陷门抽样函数产生一个向量其中，e满足高斯分布r表示随机选取的一个高斯参数，其中SamplePre(A,B_A,u,r)算法是指：输入矩阵以及格Λ^⊥(A)的一个基B_A，向量以及参数该算法输出统计接近于离散高斯分布的一个向量e∈Z^m，满足Ae＝ymodq且

步骤4.6、得到时间段t的签名σ_t＝(e,R,t,τ)；

步骤5、根据消息μ，签名σ_t，时间段t和环验证消息签名对(μ,σ_t)，如果验证通过，则输出1，否则，输出0；

步骤5.1.将签名σ_t解析为(e,R,t,τ)；

步骤5.2、根据哈希值u和验证矩阵A_R，当且仅当(A_R·e)modq＝H₂(R,μ,t,τ)且时，表示验证通过，否则，表示验证失败，其中，O表示时间复杂度，||e||表示向量e的l₂范数。

方案分析：

正确性：首先假设环签名σ_t＝(e,R,t,τ)是严格按照上述方案生成的。假定在t时间段内进行签名，按照方案中私钥提取以及密钥更新算法，从私钥sk_id,t＝{sk_id[z],z∈Nodes(t→T-1)}中获取其中z∈Nodes(t→T-1)，z＝Bin(t)，长度为d_t。其中， 根据算法ExtBasis和RandBasis的性质，经过重复的提取基和随机化基，得到由于对于u＝H₂(R,μ,t,τ)，根据算法SamplePre的性质，u＝A_Re modq成立，将以极大的概率满足因此，该基于身份的前向安全环签名方案是正确的。

安全性：对于同一消息μ和环在相同的时间段t，不同签名用户id_b生成的两个签名σ_0,t和σ_1,t在统计上是不可区分的，因此本方案满足匿名性。在上述构造中，由于基就是方案中的私钥，通过调用算法不断地随机化，满足前向安全性，即使敌手获取当前时间段t的私钥，也无法获得在这之前的签名秘钥。此外，找到一个短向量e使得A_Remodq＝0可被规约到小整数解困难问题，所以本方案满足不可伪造性。

综上所述，基于身份的前向安全环签名方法，是基于格相关的困难问题，从而有望能抵抗量子计算机的攻击，同时，采用二叉树结构进行用户秘钥演化，在实现签名前向安全性的前提下，提供了较好的效率。此外，由于本发明引入基于身份的密码体制，也解决了传统前向安全环签名中出现的证书管理问题，进一步提高了方案的效率。