一种构造基于环格的高效后量子假名系统的方法

1.本发明涉及密码学隐私保护技术领域，更具体地，涉及一种构造基于环格的高效后量子假名系统的方法。


背景技术：

2.匿名信用证书或匿名信任凭证(anonymous credentials)是一个重要的隐私保护技术，它被认为是在日益增多的分布式环境下用户认证和接入控制中实现个体隐私的当前已知的最理想的解决方法。匿名信用证书系统一般包含三方参与者：用户，证书发放机构和服务提供者。一个用户首先从一个证书发放机构得到一个信用证书，这个证书确保该用户可以从某个确定的服务提供者那里获取服务的合法性。为了得到服务，该用户在一个“证书出示”过程中与对应的服务提供者交互作用，证明自己具有获取服务所需要具有的资格。如果该用户的信用证书满足享受服务所需的规则，那么这个服务提供者就同意为该用户服务；否则，将拒绝该用户的请求。与一般的证书系统相比，匿名信用证书的“证书出示”过程是一个匿名的过程，它不泄露证书所有者的任何信息，同时即使是同一个用户，他的同一个信用证书的多次不同的“证书出示”过程也是不能被识别出的(就连证书发放机构也不能识别)。
3.目前针对后量子匿名证书的研究还较少，张卓然等人首先考虑了如何利用编码技术实现匿名双向认证，也即秘密握手，但是该方案中只能使用一次性假名，因此还是不够实用。安致远等人则进一步使用基于环格的签名及密钥协商等技术实现了支持可重用证书的秘密握手，并减少了交互过程的通信开销。在匿名单向认证方面，近几年来，lyubashevsky等人利用基于环格的零知识论证方案，构造了一系列具有较小签名尺寸的群签名方案，杨如鹏等人则结合传统的sigma协议，构造了针对环格上线性关系及二次限制的零知识证明协议，进而构造了高效的群签名及环签名方案。但是，以上方案都没有真正考虑假名系统的构造，包括其在具体应用环境的功能和安全需求。


技术实现要素：

4.本发明为克服上述现有技术中的缺陷，提供一种构造基于环格的高效后量子假名系统的方法，构造基于环格上困难问题(msis，mlwe)的假名系统，安全性较高。
5.为解决上述技术问题，本发明采用的技术方案是：一种构造基于环格的高效后量子假名系统的方法，包括以下步骤：
6.s1.系统初始化：用来完成一个群组织的创建，包括输入系统安全参数n，输出该群组织的公开群公钥gpk和由该群的群管理中心持有的群私钥gsk；
7.s2.证书发放算法：用来完成一个群成员的加入；包括输入群公私钥对(gpk,gsk)、以及待加入用户的真实身份，组织管理机构ga首先核实该用户真实身份是否符合条件；若核验失败，管理机构输出
⊥
并停止交互；否则，管理机构执行证书发放算法来产生用户的群证书；
8.s3.认证算法，即一个单向认证协议：持有某一消息m的群用户u，向某一第三方验证者v发送关于该用户u合法群身份的签名，v验证这一对m的签名，若v输出1，表示验证成功，则向u提供后续服务；若v输出0，则表示验证失败，则拒绝向u提供服务；这一单向认证过程无论成功与否都不会泄露u的群身份，也即群假名。
9.进一步地，所述的假名系统的实体组成包括：群组织管理中心ga，负责对应群组织的建立(产生群组织的公私钥等)和核实用户真实身份，将可信用户加入到该群组织，这一操作将通过为该用户颁发唯一有效的群证书来完成；合法群成员u，持有ga颁发的群证书，能够向第三方验证者发送相关消息(交易或其他金融行为)的签名来完成单向认证；第三方验证者v，提供只向群用户开放的服务，通过验证群成员发送的签名来对该用户进行认证。
10.进一步地，所述的步骤s1具体包括：
11.s11.选取合适的矩阵维数κ,λ,α，以及离散高斯分布的标准差σ,σ
′
，并选取合适的参数q,d,l,d0,d1,d2，其中q-1≡2lmod4l；定义环1≡2lmod4l；定义环环集合集合表示定义在整数环上的多项式环；xd表示多项式环上的一个单项式；表示整数环，表示模q下的剩余类环；p多项式环中的一个名为p的多项式；选取合适的离散高斯分布选择适当的{-1,0,1}上的分布χ，选取合适的集合令数论变换为函数
12.s12.选取三个合适的哈希函数s12.选取三个合适的哈希函数
13.s13.取辅助矩阵
[0014][0015]
和
[0016][0017]iα
表示α
×
α维的一个单位矩阵；
[0018]
s14.均匀随机采样公开参数s14.均匀随机采样公开参数
[0019]
s15.调用格上陷门采样算法trapgen产生一个近似随机的矩阵及其陷门定义b＝ar，另外采样辅助矩阵x表示一个在中的α
×
α维的矩阵；
[0020]
s16.通过离散高斯分布采样内部向量采样内部向量其中中的*表示向量的长度，由此构建公开向量：
[0021][0022]
s17.输出s17.输出和gsk：＝r。
[0023]
进一步地，管理机构执行以下步骤来产生用户的群证书：
[0024]
s21.将用户的真实身份编码为二进制比特串编码操作为高效计算求逆运算的集合映射,接着计算该比特串的校验值最后随机选取令i＝[i0|i1|i2]∈{0,1}
l
，计算i对应的整数为该用户的系统假名即为i；
[0025]
s22.若i＝0，重新选取i2并计算新的i；
[0026]
s23.随机选取计算
[0027]
s24.调用格上的原像采样算法使用群私钥gsk产生两个小范数向量满足等式：
[0028][0029]
具体过程包括：通过离散高斯分布选取向量然后计算v
′
＝(v-[a|b+ig]p0)i-1
＝(v0,v1,
…
,v
α-1
)，接着计算)，接着计算)，接着计算最后计算s
′
＝z[r
t
|i
3α
]+p0，其中s
′
的前2α个元素即为s
′
的后3α个元素即为
[0030]
s25.输出用户的群证书为
[0031]
进一步地，对用户真实身份进行编码操作为高效计算求逆运算的集合映射；包括用户的身份证号码，或银行卡密码，或真实姓名进行二进制展开。
[0032]
进一步地，所述的认证算法包括：
[0033]
s31.第一阶段：u
→
v:(m,π)；u使用一个特殊设计的非交互式零知识论证系统，产生关于m对以下陈述的零知识证明π：
[0034]
a)用户u的内部假名i∈{0,1,
…
2^l-1}；
[0035]
b)用户u的系统证书满足以下线性关系：
[0036][0037]
s32.第二阶段：v
→
u:0/1；收到来自u的认证请求后，请求数据中包含消息证明(m,π)，为核验u是否为对应组织的合法成员。
[0038]
进一步地，所述的零知识论证系统包括：
[0039]
s310.采样掩码向量y1表示一个有2dα个元素的从分布d
σ
中采样的向量，向量y2,y3,y4,r以此类推；
[0040]
s311.定义i
bin
＝ntt-1
(i)，采样0
d/l
表示一个有d/l个元素的全0向量；
[0041]
s312.计算承诺值承诺值
[0042][0043]
s313.计算验证向量t＝a0y4，
[0044]
s314.计算挑战值和
[0045]
s315.调用格上的拒绝采样算法选取适当参数σ,m计算响应值s315.调用格上的拒绝采样算法选取适当参数σ,m计算响应值
[0046]
s316.计算向量s316.计算向量
[0047]
s317.计算掩码向量j＝g+i
bin
ntt-1
(q
t
φ)-intt-1
(φ)；
[0048]
s318.计算挑战值
[0049]
s319.调用格上的拒绝采样算法选取适当参数σ
′
、m计算响应值z4＝y4+er；
[0050]
s320.令π＝(f,t,v0,z1,z2,z3,z4,v1,v2,j)，输出消息证明(m,π)。
[0051]
进一步地，在所述的步骤s32中，v执行以下验证步骤：
[0052]
s321.
[0053]
s322.
[0054]
s323.
[0055]
s324.
[0056]
s325.v从获取数据包中提取出消息证明(m,π)，计算挑战值
和并以此继续执行以下验证步骤：
[0057]
s326.a0z4＝t+ef0；
[0058]
s327.
[0059]
s328.
[0060]
s329.
[0061][0062]
s330.(j0,
…
,j
d/l-1
)＝0；
[0063]
s331.若以上等式均成立，v输出1表示认证成功；否则v输出0表示认证失败。
[0064]
本发明还提供一种计算机设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序，以实现以上所述的构造基于环格的高效后量子假名系统的方法。
[0065]
本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现以上所述的构造基于环格的高效后量子假名系统的方法。
[0066]
与现有技术相比，有益效果是：本发明提供的一种构造基于环格的高效后量子假名系统的方法，基于环格上的困难假设(msis，mlwe)实现，可以抵抗量子计算攻击。本发明所生成的用户证书可重用，且不同组织可以使用不同的群公私钥。本发明支持组织内部分级结构，内部用户可以细粒度划为到不同子机构或部门。本发明最大程度避免证书外借，因为用户的假名中包含了用户某些个人真实信息(身份证号，银行卡密码等)及其校验码，这使得用户外借证书的代价大大提高。与已有的后量子方案相比，本发明方法产生的组织公钥尺寸,用户证书尺寸和交互数据大小均有明显降低。
附图说明
[0067]
图1是本发明方法流程示意图。
[0068]
图2是本发明用于证书发放示意图。
[0069]
图3是本发明用户认证算法中用户u部分的交互示意图。
[0070]
图4是本发明用户认证算法中验证者v部分的交互示意图。
具体实施方式
[0071]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。下面结合具体实施方式对本发明作在其中一个实施例中说明。其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本专利的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。
[0072]
在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而
不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。另外，若本发明实施例中有涉及“第一”、“第二”等的描述，则该“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，全文中出现的“和/或”的含义为，包括三个并列的方案，以“a和/或b”为例，包括a方案，或b方案，或a和b同时满足的方案。
[0073]
实施例1：
[0074]
本实施例提供一种构造基于环格的高效后量子假名系统的方法，如图1至4所示；
[0075]
首先对本发明中用到的参数进行设置及符号进行说明：
[0076]
■
q＝18446744073709557121；
[0077]
■
n＝93；
[0078]
■
d＝128；
[0079]
■
d0＝32；
[0080]
■
d1＝16；
[0081]
■
d2＝16；
[0082]
■
l＝64；
[0083]
■
κ＝20；
[0084]
■
λ＝24；
[0085]
■
α＝24；
[0086]
■
σ＝199482889599238.75；
[0087]
■
σ
′
＝4597.7485968678；
[0088]
■
m＝3
3/2
；
[0089]
■
环
[0090]
■
环
[0091]
■
[0092]
■
向量，粗斜黑体小写字母，如
[0093]
■
矩阵，粗斜黑体大写字母，如
[0094]
■
表示对矩阵a和矩阵b做张量乘运算。
[0095]
■
《u,v》表示向量u和向量v作内积。
[0096]
■
对任意表示向量w的欧几里得范数。
[0097]
■
函数定义为其中其中ζ表示的是分圆多项式；函数为函数nnt的逆函数。
[0098]
■
分布表示上中心为0，标准差为σ的离散高斯分布，在采样上的向量时，表示在该高斯分布上采样该多项式的所有系数。
[0099]
■
集合且该集合中每个多项式的系数满足概率分布
[0100]
■
{-1,0,1}上的分布χ，满足对r
←
χ,χ,
[0101]
■
哈希函数的定义为：sha256取前16比特。
[0102]
■
哈希函数的定义为：把输入进行sha512并取前128bit得到一个数组h0，再把输入进行sha256并取前128bit得到一个数组g0，若g0的第i个元素和h0的第i个元素都为1，则把g0的第i个元素设为-1，最后输出序列g0。
[0103]
■
哈希函数的定义为：把输入进行sha384并模q得到第一个数，然后把第一个数再进行sha384并模q得到第二个数，以此类推，最终得到l个模q的数。把这些数作为中的系数从而得到一个上的元素，的返回值就是该元素。
[0104]
本实施例的方法具体包括以下步骤：
[0105]
步骤1：系统初始化：此概率多项式时间算法完成一个群组织的创建。输入系统安全参数n，输出该群组织的公开群公钥gpk和由该群的群管理中心持有的群私钥gsk。具体包括以下七个步骤：
[0106]
s11.选取上述矩阵维数κ,λ,α，以及离散高斯分布的标准差σ,σ
′
，并选取上述的参数q,d,l,d0,d1,d2。定义上述的环环集合选取上述的离散高斯分布选择上述分布χ，集合数论变换函数
[0107]
s12.选取上述哈希函数s12.选取上述哈希函数
[0108]
s13.取辅助矩阵
[0109][0110]
和
[0111][0112]
s14.均匀随机采样公开参数s14.均匀随机采样公开参数
[0113]
s15.调用格上陷门采样算法trapgen，即均匀随机采样矩阵然后使用χ分布采样矩阵即从χ分布中采样得到2α
×
3α个数，然后把每个数转换为中的元素，接着把这些元素拼接成一个2α
×
3α的矩阵r。计算b＝ar，另外
均匀随机采样辅助矩阵
[0114]
s16.通过上述离散高斯分布采样内部向量采样内部向量其中中的*表示向量的长度，由此构建公开向量
[0115][0116]
s17.输出和gsk:＝r。
[0117]
步骤2：证书发放算法：如图2所示，此概率多项式时间算法完成一个群成员的加入。输入群公私钥对(gpk,gsk)，以及待加入用户的真实身份real_identity，组织管理机构ga首先核实该用户真实身份是否符合条件。若核验失败，管理机构输出
⊥
并停止交互；否则，管理机构执行以下步骤来产生用户的群证书：
[0118]
s21.令用户u的真实身份编码为123456789，则通过把这个编码看成一个整数，记该整数的二进制比特串为其中l0＝27。接着计算该比特串的校验值其中l1＝16，最后均匀随机选取其中l2＝21。令i＝[i0|i1|i2]∈{0,1}
l
，计算i对应的整数为，计算i对应的整数为该用户的系统假名即为i。
[0119]
s22.若i＝0，重新选取i2并计算新的i。
[0120]
s23.通过离散高斯分布选取计算
[0121]
s24.调用格上的原像采样算法(使用群私钥gsk)产生两个小范数向量满足等式
[0122][0123]
具体过程如下，通过离散高斯分布选取向量然后计算v
′
＝(v-[a|b+ig]p0)i-1
＝(v0,v1,
…
,v
α-1
)，接着计算
[0124][0125]
最后计算s
′
＝z[r
t
|i
3α
]+p0，其中s
′
的前2α个元素即为s
′
的后3α个元素即为
[0126]
s25.输出用户的群证书为
[0127]
步骤3：认证算法：此算法是一个单向认证协议，持有某一消息m的群用户u，向某一第三方验证者v发送关于该用户合法群身份的签名，v验证这一对m的签名，若v输出1(验证成功)，则向u提供后续服务；若v输出0(验证失败)，则拒绝向u提供服务。这一单向认证过程
无论成功与否都不会泄露u的群身份，也即群假名。认证算法的具体执行步骤包括以下两个步骤：
[0128]
s31.如图3所示，第一阶段：u
→
v:(m,π)。u使用一个特殊设计的非交互式零知识论证系统，产生关于m对以下陈述的零知识证明π：
[0129]
a)用户u的内部假名i∈{0,1,
…2l-1}。
[0130]
b)用户u的系统证书满足以下线性关系：
[0131][0132]
关于以上陈述的零知识论证系统具体描述如下：
[0133]
s310.通过离散高斯分布和χ分布采样出掩码向量s310.通过离散高斯分布和χ分布采样出掩码向量
[0134]
s311.计算i
bin
＝ntt-1
(i)，计算中的一个元素中的一个元素即g的前d/l个系数都为0，其余系数在上均匀随机选取。
[0135]
s312.计算承诺值承诺值
[0136]
s313.计算t＝a0y4，
[0137]
s314.计算挑战值和
[0138]
s315.调用格上的拒绝采样算法(选取上述参数为σ,m)，计算响应值对于每个zj,其中j＝{1,2,3}，首先随机均匀选取rej
←
[0,1)，接着若则继续执行程序，否则回到步骤s310重新执行。
[0139]
s316.计算向量s316.计算向量
[0140]
s317.计算掩码向量j＝g+i
bin
ntt-1
(q
t
φ)-intt-1
(φ)。
[0141]
s318.计算挑战值
[0142]
s319.调用格上的拒绝采样算法(选取上述参数为σ
′
,m)，计算响应值z4＝y4+er，首先随机均匀选取rej
←
[0,1)，接着若则继续执行程序，否则回
到步骤s310重新执行。
[0143]
s320.令π＝(f,t,v0,z1,z2,z3,z4,v1,v2,j)，输出消息证明(m,π)。
[0144]
s32.如图4所示，第二阶段：v
→
u:0/1。收到来自u的认证请求(请求数据中包含消息证明(m,π))后，为核验u是否为对应组织的合法成员，v执行以下验证步骤：
[0145]
s321.
[0146]
s322.
[0147]
s323.
[0148]
s324.
[0149]
s325.v从获取数据包中提取出消息证明(m,π)，计算挑战值s325.v从获取数据包中提取出消息证明(m,π)，计算挑战值和并以此继续执行以下验证步骤：
[0150]
s326.a0z4＝t+ef0。
[0151]
s327.
[0152]
s328.
[0153]
s329.
[0154][0155]
s330.(j0,
…
,j
d/l-1
)＝0。
[0156]
s331.若以上等式均成立，v输出1表示认证成功；否则v输出0表示认证失败。
[0157]
本发明提供的一种构造基于环格的高效后量子假名系统的方法，基于环格上的困难假设(msis，mlwe)实现，可以抵抗量子计算攻击。本发明所生成的用户证书可重用，且不同组织可以使用不同的群公私钥。本发明支持组织内部分级结构，内部用户可以细粒度划为到不同子机构或部门。本发明最大程度避免证书外借，因为用户的假名中包含了用户某些个人真实信息(身份证号，银行卡密码等)及其校验码，这使得用户外借证书的代价大大提高。与已有的后量子方案相比，本发明方法产生的组织公钥尺寸,用户证书尺寸和交互数据大小均有明显降低。
[0158]
实施例2
[0159]
本实施例提供一种计算机设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序，以实现实施例1所述的构造基于环格的高效后量子假名系统的方法
[0160]
实施例3
[0161]
本实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现以上所述的构造基于环格的高效后量子假名系统的方法。
[0162]
显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本
发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

技术特征：
1.一种构造基于环格的高效后量子假名系统的方法，其特征在于，包括以下步骤：s1.系统初始化：用来完成一个群组织的创建，包括输入系统安全参数n，输出该群组织的公开群公钥gpk和由该群的群管理中心持有的群私钥gsk；s2.证书发放算法：用来完成一个群成员的加入；包括输入群公私钥对(gpk，gsk)、以及待加入用户的真实身份，组织管理机构ga首先核实该用户真实身份是否符合条件；若核验失败，管理机构输出
⊥
并停止交互；否则，管理机构执行证书发放算法来产生用户的群证书；s3.认证算法，即一个单向认证协议：持有某一消息m的群用户u，向某一第三方验证者v发送关于该用户u合法群身份的签名，v验证这一对m的签名，若v输出1，表示验证成功，则向u提供后续服务；若v输出0，则表示验证失败，则拒绝向u提供服务；这一单向认证过程无论成功与否都不会泄露u的群身份，也即群假名。2.根据权利要求1所述的构造基于环格的高效后量子假名系统的方法，其特征在于，所述的假名系统的实体组成包括：群组织管理中心ga，负责对应群组织的建立和核实用户真实身份，将可信用户加入到该群组织，这一操作将通过为该用户颁发唯一有效的群证书来完成；合法群成员u，持有ga颁发的群证书，能够向第三方验证者发送相关消息的签名来完成单向认证；第三方验证者v，提供只向群用户开放的服务，通过验证群成员发送的签名来对该用户进行认证。3.根据权利要求1所述的构造基于环格的高效后量子假名系统的方法，其特征在于，所述的步骤s1具体包括：s11.选取合适的矩阵维数κ，λ，α，以及离散高斯分布的标准差σ，σ
′
，并选取合适的参数q，d，l，d0，d1，d2，其中q-1≡2l mod 4l；定义环4l；定义环环集合集合表示定义在整数环上的多项式环；x
d
表示多项式环上的一个单项式；表示整数环，表示模q下的剩余类环；p多项式环中的一个名为p的多项式；选取合适的离散高斯分布选择适当的{-1，0，1}上的分布χ，选取合适的集合令数论变换为函数ntt：s12.选取三个合适的哈希函数s12.选取三个合适的哈希函数s13.取辅助矩阵和s14.均匀随机采样公开参数s14.均匀随机采样公开参数s15.调用格上陷门采样算法trapgen产生一个近似随机的矩阵及其陷门定义b＝ar，另外采样辅助矩阵x表示一个在
中的α
×
α维的矩阵；s16.通过离散高斯分布采样内部向量采样内部向量其中中的*表示向量的长度，由此构建公开向量：s17.输出s17.输出和gsk：＝r。4.根据权利要求1所述的构造基于环格的高效后量子假名系统的方法，其特征在于，管理机构执行以下步骤来产生用户的群证书：s21.将用户的真实身份编码为二进制比特串编码操作为高效计算求逆运算的集合映射，接着计算该比特串的校验值最后随机选取令i＝[i0|i1|i2]∈{0，1}
l
，计算i对应的整数为该用户的系统假名即为i；s22.若i＝0，重新选取i2并计算新的i；s23.随机选取计算s24.调用格上的原像采样算法使用群私钥gsk产生两个小范数向量满足等式：s25.输出用户的群证书为5.根据权利要求4所述的构造基于环格的高效后量子假名系统的方法，其特征在于，所述的步骤s24具体包括：通过离散高斯分布选取向量然后计算v
′
＝(v-[a|b+ig]p0)i-1
＝(v0，v1，...，v
α-1
)，接着计算)，接着计算)，接着计算最后计算s
′
＝z[r
t
|i
3α
]+p0，其中s
′
的前2α个元素即为s
′
的后3α个元素即为6.根据权利要求1所述的构造基于环格的高效后量子假名系统的方法，其特征在于，所述的认证算法包括：s31.第一阶段：u
→
v：(m，π)；u使用一个特殊设计的非交互式零知识论证系统，产生关于m对以下陈述的零知识证明π：a)用户u的内部假名i∈{0，1，
…
2^1-1}；b)用户u的系统证书满足以下线性关系：
s32.第二阶段：v
→
u：0/1；收到来自u的认证请求后，请求数据中包含消息证明(m，π)，为核验u是否为对应组织的合法成员。7.根据权利要求6所述的构造基于环格的高效后量子假名系统的方法，其特征在于，所述的零知识论证系统包括：s310.采样掩码向量s311.定义i
bin
＝ntt-1
(i)，采样s312.计算承诺值承诺值s313.计算验证向量t＝a0y4，s314.计算挑战值和s315.调用格上的拒绝采样算法，选取适当参数σ，m，计算响应值s316.计算向量s316.计算向量s317.计算掩码向量j＝g+i
bin
ntt-1
(q
t
φ)-intt-1
(φ)；s318.计算挑战值s319.调用格上的拒绝采样算法选取适当参数σ
′
、m计算响应值z4＝y4+er；s320.令π＝(f，t，v0，z1，z2，z3，z4，v1，v2，j)，输出消息证明(m，π)。8.根据权利要求6所述的构造基于环格的高效后量子假名系统的方法，其特征在于，在所述的步骤s32中，v执行以下验证步骤：s321.s322.s323.s324.s325.v从获取数据包中提取出消息证明(m，π)，计算挑战值s325.v从获取数据包中提取出消息证明(m，π)，计算挑战值和并以此继续执行以下验证步骤：
s326.a0z4＝t+ef0；s327.s328.s329.s330.(j0，
…
，j
d/l-1
)＝0；s331.若以上等式均成立，v输出1表示认证成功；否则v输出0表示认证失败。9.一种计算机设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序，以实现如权利要求1至8任一项所述的构造基于环格的高效后量子假名系统的方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1至8任一项所述的构造基于环格的高效后量子假名系统的方法。

技术总结
本发明涉及密码学隐私保护技术领域，更具体地，涉及一种构造基于环格的高效后量子假名系统的方法。基于环格上的困难假设实现，可以抵抗量子计算攻击。本发明所生成的用户证书可重用，且不同组织可以使用不同的群公私钥。本发明支持组织内部分级结构，内部用户可以细粒度划为到不同子机构或部门。本发明最大程度避免证书外借，因为用户的假名中包含了用户某些个人真实信息及其校验码，这使得用户外借证书的代价大大提高。与已有的后量子方案相比，本发明方法产生的组织公钥尺寸,用户证书尺寸和交互数据大小均有明显降低。交互数据大小均有明显降低。交互数据大小均有明显降低。


技术研发人员：张方国 关沛冬 安致远
受保护的技术使用者：中山大学
技术研发日：2023.05.16
技术公布日：2023/9/5