CN1545242A - 一种基于辫群共轭问题的数字签名方法 - Google Patents

Abstract

本发明公开了一种基于辫群共轭问题的数字签名方法，通过加入随机化因子b，使得针对每个消息m，共轭对(sign(m)，h(m))的共轭元为b^－1a，因此每次的共轭元都不相同，从而掩盖了是要a的信息泄漏，避免了在现有技术中SCSS签名体制中单一使用私钥a作为共轭对(sign(m)，h(m))的共轭元的k－CSP问题。本发明提供的数字签名方法在不降低安全性的前提下，大大节省了计算时间，提高了效率。

Description

一种基于辫群共轭问题的数字签名方法

技术领域

本发明涉及一种基于辫群的CSP(共轭搜索)问题和CDP(共轭判定)问题间差异的数字签名方法ECSS。本发明涉及到信息安全领域具体说就是签名者如何发布一个带有自己私钥签名文件以便验证者使用签名者的公钥来验证该文件是否为签名者发布的签名文件。

背景技术

现目前广泛使用的数字签名技术是RSA签名体制，它的安全性是建立在大数分解的困难性上的，然而随着计算机处理能力的不断提高和相关的研究逐渐深入，RSA不得不不断的加大模数n位数以确保安全性，从512比特到1024比特到2048比特。由于密钥的位数过长，导致产生大素数和指数计算的计算量都很大，因此RSA的效率不是很高；而如果为了提高效率采用硬件实现，则位数过长导致设备更复杂、成本更高，而且由于硬件实现方式的不可改性，硬件的使用寿命缩短，导致成本的进一步提高。

自从2000年韩国学者Ki Hyoung  KO、Sang Jin Lee在CRYPTO 2000提出了一种基于辫群共轭问题的困难性的密钥交换协议和公钥加密体制以来(K.H.Ko，S.J.Lee，J.H.Cheon，J.W.Han，J.S.Kangand C.S.Park，New Public-KeyCrytosystem Using Braid Groups，Proc.of Crypto 2000，LNCS 1880，Springer-Verlag(2000)166

183.)，辫群公钥密码体制得到了广泛的研究。然而它的数字签名体制一直没有一个很好的解决方案。直到2003年，韩国学者KiHyoung KO、DooHo Cho提出并实现了两种基于辫群共轭问题的签名体制(KiHyoung Ko and Doo HoChoi and Mi Sung Cho and Jang Won Lee New Signature Scheme Using ConjugacyProblem Cryptology ePrint Archive：Complete Contents 2003/168)SCSS以及CSS。我们简要介绍一下【3】中的两种签名体制，SCSS以及CSS。

简单共轭签名体制SCSS：

公共参数：辫群B_n  散列函数h

密钥生成：公钥：一个CSP问题为困难问题的共轭对(x，log₂ ^n！x′)∈B_n×B_n，

          私钥：a∈B_n，满足x′＝a^-1xa；

签名：对于一个给定的比特串消息m，m的签名sign(m)＝a^-1ya，其中y＝h(m)。

验证：一个签名sign(m)是合法的当且仅当：sign(m)～y，x′sign(m)～xy然而由于攻击者可以获得很多对的(y_i，a^-1y_ia)，从而可能造成私钥a的秘密信息泄漏，即k-CSP问题。为了克服以上问题，他们提出了CSS签名体制。

共轭签名体制CSS：

公共参数：辫群B_n  散列函数h

密钥生成：公钥：一个CSP问题为困难问题的共轭对(xx′)∈B_n×B_n，

          私钥：a∈B_n，满足x′＝a^-1xa；

签名：    对于一个给定的消息m，随机选择一个随机化因子b∈B_n，计算α＝

          b^-1xb，y＝h(m‖α)，β＝b^-1yb，γ＝b^-1aya^-1b，消息m的签名sign(m)＝

          (α，β，γ)。

验证：    消息m的签名sign(m)＝(α，β，γ)为合法签名当且仅当满足：α～x，

          β～γ～y，αβ～xy，αγ～x’y

CSS签名体制由于引入了随机化因子b，因此很好的克服了k-CSP问题。但是可以发现，由于增加了更多的计算和数据，因此整个效率明显下降。

发明内容

本发明所要解决的技术问题是：为了克服了现有技术中的容易受到针对大数分解攻击以及产生大素数消耗计算资源过大的缺点，解决现有技术中存在的产生密钥和签名验证时间过长的问题，提供一种基于辫群共轭问题的高效数字签名方法，不但可以克服存在SCSS中的k-CSP问题，而且相对CSS，计算量和数据都将大大的减少，提高了整个签名体制的效率。

本发明所述的基于辫群共轭问题的数字签名方法，包含以下步骤：

假设签名方为S，签名验证方为V，需要签名的消息为m，系统参数：辫群B_n(l)，B_n(l)的左子群LB_m(l)，B_n(l)的右子群RB_n-1-m(l)，辫群公钥对间的距离d，从比特串{0，1}^*到辫群B_n(l)的单向散列函数h，用于CDP判定算法BCDA的素数p和判定的点的个数r。

首先签名方对需要签名的消息进行如下操作：

1)签名方S随机生成一个辫元x∈LB_m(l)；

2)签名方S使用RSSBG(x，d)生成(x′，x，a)∈B_n(l)×LB_m(l)×B_n(l)，使得x’＝a^-1xa；

将共轭对(x’，x)作为S的公钥，共轭元a作为S的私钥；

RSSBG(x，d)算法简单描述如下：

(2-1)选定系统参数n，m，l，d.

(2-2)随机生成一个辫元x属于集合LBm(l).

(2-3)随机选择一个辫元b属于集合Bn(5l).

(2-4)计算y＝b^-1xb

(2-5)随机产生一个比特，如为0，则计算y＝cycling(y)＝a^-1xa，否则计算y＝decycling(y)＝a^-1xa

(2-6)判断y是否属于集合SSS(x)以及l(y)≤d是否都成立，若都成立则输出(x，y)为公钥，a为私钥；若有一个不成立，则转入(2-5)进一步生成。

3)签名方S对需要签名的消息m首先使用散列函数h得到y＝h(m)∈B_n(l)，然后随机生成一个辫元b∈RB_n-1-m(l)，然后使用自己的私钥a和产生的随机辫元b对消息m签名得到Sign(m)＝a^-1byb^-1a；

有m散列得到h(m)的成立流程简单描述如下：

(3-1)选择一个普通散列函数H，其输出H(m)长度为l[log₂ ^n！](可以截取)，然后将H(m)一次等分为l段R1‖R2‖…‖Rl。

(3-2)一次将Ri对应为置换辫元Ai，然后计算h(m)＝A1*A2…A1即为所求的h(m).

4)签名者将消息m、公钥(x’，x)、m的签名Sign(m)发送给签名验证方V；签名验证方V收到签名者发送的信息后进行如下操作：

5)首先利用系统参数散列函数h对消息m作用计算得到y＝h(m)；

6)判定sign(m)～y是否成立，若不成立，则sign(m)不是一个合法签名；若成立，则转步骤7)；

7)判定sign(m)x’～xy是否成立，若不成立，则sign(m)不是一个合法签名；若成立，则sign(m)为消息m的合法签名。

判定两个辫元a，b是否共轭的判定算法BCDA简单叙述如下：

(6-1)输入辫元a，b，选择好系统参数p、r并计算其特征Pa(t)以及Pb(t)。

(6-2)随机选择r个不同的随机数ti(I＝1，2…r)，并计算Pa(ti)＝Pb(ti)都成立。若有一个不成立，则a～b不成立；若都成立，则转(6-3)。

(6-3)计算Maxinf(a)＝Maxinf(b)是否成立，若不成立，则a～b不成立；若成立，则转(6-4)。

(6-4)计算Minsup(a)＝Minsup(b)是否成立，若不成立，则a～b不成立；若成立，则转则a～b不成立。

由于本发明的数字签名方法，有如下优点：

1由于加入了随机化因子b，使得针对每个消息m，共轭对(sign(m)，h(m))的共轭元为b^-1a，因此每次的共轭元都不相同，从而掩盖了是要a的信息泄漏，避免了在现有技术中SCSS(简单共轭签名体制)签名体制中单一使用私钥a作为共轭对(sign(m)，h(m))的共轭元的k-CSP问题。可参看表1。

2本方法相对于现有技术中的CSS(共轭签名体制)数字签名方法在不降低安全性的前提下，大大节省了计算时间，提高了效率，可参看表1。

签名体制	签名计算量	验证计算量	签名数据量	安全性
					SCSS	共轭计算：1次散列计算：1次	共轭判定：2次散列计算：1次辫群运算：2次	1个辨元	存在k-CSP问题，安全性较低，基于MCSP问题
CSS	共轭计算：4次散列计算：1次	共轭判定：5次散列计算：1次辫群运算：4次	3个辨元	引入随机化密钥因子，解决了k-CSP问题，基于MTSP问题
					本发明方法	共轭计算：2次散列计算：1次	共轭判定：2次散列计算：1次辫群运算：2次	1个辨元	引入随机化密钥因子，解决了k-CSP问题，基于MCSP问题。

                     表1    3种签名方法比较

3本发明相对于传统的RSA签名方法使用完全不同体系的数学基础，不需要产生大素数，大大节省了密钥的位数和签字的位数，节约了计算资源，提高了签名验证小效率。在现有技术中给出的CSS签名方法在Pentium III 866MHz处理器上得到的数据为表2所示(默认设置的参数l＝3，d＝4，2³¹＜p＜2³²，r＝3)：

n	公钥位数	签名位数	密钥生成时间	签名时间	验证时间	安全强度
							20	370	1653	17.82ms	18.68ms	30.87ms	2220

24	478	2138	21.70ms	22.79ms	41.75ms	2356
							28	591	2648	24.42ms	25.77ms	59.59ms	2530

                  表2 CSS签名方法的试验数据表

而本方法相对于CSS签名方法签名时间和验证时间都将大大减少，因此相对RSA有效率更高的优点。

附图说明

图1本发明基于辫群共轭问题的数字签名方法的步骤主流程图。

图2基于辫群共轭问题的数字签名方法的密钥生成的子流程图。

图3单向散列函数h的处理流程图。

图4CDP问题判定算法BCDA处理流程图。

图5签名方对消息m签名的流程图。

图6验证方对消息签名的验证流程图。

具体实施方式

由于本发明涉及到一系的数学原理，首先将本发明的数学背景阐述如下：

辫群B_n(n为群参数)是由Artin生成元σ₁，σ₂，……，σ_n-1生成的有限表示的无限群，并且它的生成元σ₁，σ₂……σ_n-1满足以下关系：

σ_iσ_j＝σ_jσ_i(|i-j|＞1，1＜i，j＜n)             (1)

σ_iσ_jσ_i＝σ_jσ_iσ_j(|i-j|＞1，1＜i，j＜n)       (2)

由左边m个生成员σ₁，σ₂……σ_m-1生成的群叫B_n的左子群，记做LB_m；而由右边的n-1-m个生成元σ_m+1，σ_m+2……σ_n-1生成的子群叫B_n的右子群，记做RB_n-1-m。由生成元关系(1)显然可知：任取(x，y)∈LB_m×RB_n-1-m，有xy＝yx。对于一个辫元b，若他只包含σ₁，σ₂……σ_n-1而不含σ₁，σ₂……σ_n-1的逆元，则称b为一个正元。若对于正元b、a，有一个正元或单位元c使得b＝ac，则称a为b的子元。辫元Δ＝(σ₁σ₂…σ_n-1)(σ₁σ₂…σ_n-2)…(σ₁σ₂)(σ₁)称为辫群B_n的本元。Δ满足Δb＝τ(b)Δ，τ(σ_i)＝σ_n-i。其中Δ的子元称作置换元，他们组成的集合和对称群∑n的n！个元素一一对应。因此Δ的子元可用一个置换π：{0，1，...，n-1}→{0，1，...，n-1}来表示。任何一个辫元b都存在唯一的一个标准表示形式；b＝Δ^uπ₁π₂…π_i，其中π_i为一个置换元。b的几个长度定义如下：inf(b)＝u，sup(b)＝u+l，l(b)＝1。

在一个辫群B_n中，如果对于两个辨元x，y∈B_n，存在一个辨元a∈B_n使得y＝a^-1xa，则称辨元x，y共轭，记做x～y，而辨元a称作共轭对(x，y)的共轭元，显然“～”是一种等价关系。辫群的基本共轭问题包括共轭判定问题CDP问题和共轭元搜索问题CSP问题。所谓CDP问题就是指：任意给出辨元对(x，y)∈B_n×B_n，判断x～y是否成立。根据群表示理论，对于任何群G，总存在一个从G到某一个环的同态，该同态对共轭关系保持不变，因此CDP问题对于任何群在计算上总是可解决的。在现有的基于辫群共轭问题的签名体制中给出了一个算法可以在多项式时间内以任意高的概率解决CDP问题。所谓CSP问题就是指：对于一个给定的共轭辨元对(x，y)∈B_n×B_n(x～y)，找到一个辨元a∈B_n，使得y＝a^-1xa。对于辫群的来说，目前不存在一个有效的算法可以在多项式时间内解决CSP问题，因此对随机选取的一共轭对(x，y)∈B_n×B_n，他们的CSP问题将以很高的概率为一个困难问题。而本文提出的数字签名方法的安全性是建立在MCSP问题的困难性上的，在现有的基于辫群共轭问题的签名体制中证明了MCSP问题与CSP问题的困难等价性。所谓MCSP问题对他的描述如下：

已知：辫群B_n的一个共轭对(x，x’)∈B_n×B_n，和一个辨元y∈B_n

问题：找到一个y’∈B_n满足：y～y’xy～x’y’

下面对本发明的数字签名的方法的数学模型做一个简介：

公共参数：辫群B_n、左辫群LB_m、右辫群RB_n-1-m、散列函数h、其中B_n的生

          成元为σ₁σ₂……σ_n-1，左辫群LB_m为生成元σ₁，σ₂……σ_m-1生成

          的B_n的子群，右辫群RB_n-1-m为生成元σ_m+1，σ_m+2……σ_n-1生成的B_n的

          子群。

密钥生成：公钥：一对CSP问题为困难问题的共轭对(x，x‘)∈LB_m×B_n私钥：a∈B_n

          满足x‘＝a^-1xa；

签名：对于一个给定的消息m，首先计算y＝h(m)，然后随机选取一个秘密随机化因子

          b∈RB_n-1-m，消息m的签名sign(m)＝a^-1byb^-1a(见图5)

验证：对于消息m签名sign(m)为合法签名当且仅当：sign(m)～y，x’sign(m)～xy(见

    图6)

对于一个合法的签名sign(m)，由于sign(m)＝a^-1byb^-1a＝(b^-1a)^-1yb^-1a，故sign(m)～y成立；而x‘sign(m)＝a^-1xa a^-1byb^-1a＝a^-1xbyb^-1a，由于x∈LB_m，b∈RB_n-1-m，因此xb＝bx，从而有x’sign(m)＝a^-1xa a^-1byb^-1a＝a^-1xbyb^-1a＝a^-1bx yb^-1a＝(b^-1a)^-1(xy)(b^-1a)，从而x’sign(m)～xy。因此一个合法的签名总是可以通过验证的。

而对于一个攻击者来说，他要想伪造一个消息m的签名，所能知道的只包括公钥(x，x’)，和y＝h(m)，要想伪造的签名sign(m)满足sign(m)～y、x’sign(m)～xy，显然等价于解决MCSP问题，因此是不能做到的。

而对于可以截获分析的消息签名对(y_i，b^-1ay_ia^-1b)，由于加入了随机化因子b，可以很好的避免k-CSP问题。所谓k-CSP问题描述如下：

已知：k对共轭对(x₁，x₁’)，……，(x_k，x_k’)∈B_n×B_n且x_i’＝a^-1x_ia(i＝1…k)：问题：找到b∈B_n，使得x_i’＝b^-1x_ib(i＝1，2……k)。

以上是对本发明签名方法的数学描述，然而由于辫群是无限群，为了用计算机实现，需要设置系统参数。首先设定系统参数n，l，d(推荐l＝3，d＝4)。令B_n(l)＝{b∈Bn|0≤inf(b)，sup(b)≤l}，则|B_n(l)|＜(n！)¹为有限的。同理LB_m(l)＝{b∈LB_m|0≤inf(b)，sup(b)≤l}，RB_n-1-m(l)＝{b∈RB_n-1-m|0≤inf(b)，sup(b)≤l}。对于一个辫元采用目前已知在计算机上计算速度最快的Burau表示，即用一个Laurent多项式环Z[t，t^-1]上的(n-1)×(n-1)阶矩阵来表示，具体替换原则如下：

做如下的替换：

一个属于B_n(l)辫元转化为一个Burau表示的计算复杂度为O(ln)，有了以上表示，与辫群内的群运算和求逆运算就转化为矩阵的乘法和求逆运算，他们都有着很有效的数学工具可以解决，它们的计算复杂度都为O(ln)。

现在介绍一下CDP问题的判定算法BCDA(见图4)。任何一个非交换群，都存在一个从群到一个环的函数，该函数对于共轭对的函数值相等，把该函数叫做特征。定义一个从B_n(l)到Laurent多项式环Z[t，t^-t]的一个函数：g→det(φ(g)-I)，其中g∈B_n(l)，Φ(g)为g的Burau表示，I为单位矩阵，det()为求行列式的符号，显然该函数为B_n(l)的特征。把det(Φ(g)-I)叫做辫元g的亚历山大多项式，记做P_g(t)，显然对于一个g∈B_n(l)，它的亚历山大多项式P_g(t)的秩(P_g(t))≤l(n-1)n/2。判断两个辫元a，b∈B_n(l)是否共轭，做如下的亚历山大测试：选定系统参数素数p和正整数r，在有限域Z/pZ上任意选取r个不相等的值t₁，t₂…t_r，若对于所有的t_i(i＝1，2…r)都有P_a(t_i)＝P_b(t_i)，则输出1，否则输出0。由于(P_a(t)-P_b(t))≤l(n-1)n/2，所以方程P_a(t)-P_b(t)＝0最多只有l(n-1)n/2个根。所以概率 显然随着p和r的增加，这个概率可以任意的小。亚历山大测试的计算复杂度为O(rn³)。

Maxinf-Minsup测试。对于辫元的x∈B_n(l)，定义Maxinf(x)＝Max{inf(y)|y～x，y∈B_n(l)}，Minsup(x)＝Min{sup(y)|y～x，y∈B_n(l)}。所谓Maxinf-Minsup测试，即对辫元a，b∈B_n(l)，判断Maxinf(a)＝Maxinf(b)，Minsup(a)＝Minsup(b)是否都成立，若都成立，则输出1，否则输出0。下面给出计算Maxinf(x)和Minsup(x)的算法描述。首先定义两个操作，若x＝Δ^uπ₁π₂…π₁，cycling(x)＝(τ^u(π₁))^-1xτ^u(π₁)，decycling(x)＝π₁ ^-1xπ₁。对x循环做cycling(分别decycling)操作，直到inf值增加(分别sup值减少)，然后以当前得到的元素为新元素，重复该循环操作，且循环次数计数重新设置为1；若循环次数计数直到m＝n(n-1)/2都inf值不再增加(分别sup值不再减少)，则当前的元素的inf值即为Maxinf(x)(分别Minsup(x)。该算法的理论分析请参看引文：J.S.Birman，K.H.Ko and S.J.Lee，The in.mum，supremum and geodesic length of a braid conjugacy class，to appear inAdvances in Mathematics.。该算法的算法复杂度为O(l²nlog n)。

如果辫元a，b通过了亚历山大测试和Maxinf-Minsup测试，则可以判定a～b成立，只有一种例外情况，即a～b^-1。然而这对于随机选择的a、b来说，是几乎不可能出现的，而对于攻击者同样不能利用这种例外情况，分析见引文：K.H.Ko，S.J.Lee，J.H.Cheon，J.W.Han，J.S.Kang and C.S.Park，New Public-Key Crytosystem Using Braid Groups，Proc.of Crypto 2000，LNCS 1880，Springer-Verlag(2000)166 183。

对于一个从比特串{0，1}^*到辫群B_n(l)的散列函数h，可构造如下(见图3)，首先我们使用一个普通散列函数将{0，1}^*压缩得到固定长度的比特串{0，1}^N，其中N＝[llog₂ ^n！]。然后将{0，1}^N分为l段r₁‖r₂‖…‖r₁，每一段的长度都为[log₂ ^n！]。由于B_n(l)的置换元有n！个，故可在置换元和整数集[0，n！-1]间建立一个一一映射。因此再依次将r_k转化为[0，n！-1]间某一个整数，再将这个整数和一个置换元P_k，最后得到 $h\left(m\right)=\underset{k=1}{\overset{1}{\mathrm{\Π}}}{P}_k.$

为了产生一个伪随机辫元，首先产生一个伪随机序列{0，1}^N，然后将{0，1}^N分为1段r₁‖r₂‖…‖r₁，每一段的长度都为[log₂ ^n！]。由于B_n(l)的置换元有n！个，故可在置换元和整数集[0，n！-1]间建立一个一一映射。因此再依次将r_k转化为[0，n！-1]间某一个整数，再将这个整数和一个置换元P_k，最后得到所需要的

为了安全的产生密钥，先定义一些概念，对于一个辫元x∈B_n(l)，定义他的super summit集SSS(x)＝{y∈B_n(l)|y～x，inf(y)＝Maxinf(x)，sup(y)＝Minsup(x)}。整个签名算法的安全强度为|SSS(x)|，约为 若y～x，定义x、y间的距d(x，y)＝min{l(b)|y＝b^-1ab}，然后再定义s(x，d)＝{y∈SSS(x)|d(x，y)≤d}。选取x’∈s(x，d)，则共轭对(x’，x)的CSP问题为困难问题，可以作为密钥，下面介绍算法RSSBG(x，d)＝(x’，a)用以随机产生x’∈s(x，d)且x’＝a^-1xa，从而得到安全公钥(x’，x)和私钥a(见图2)：

1随机产生一个辫元b∈B_n(5l)，计算b^-1xb。

2随机选择对b^-1xb一系列的cycling或者decycling操作得到x’，直到x’属于SSS(x)为止(不会超过n²次操作)，x’＝a^-1xa。

3判断l(a)≤d成立，若成立，则x’和a即为所求，若不成立，则转1。

有了以上的数学基础和算法描述，再结合附图对技术方案的实施作进一步的详细描述，本发明用软件实现如下(为了提高速度，算法BCDA也可用硬件实现)：选定系统参数公开：

辫群参数n，l，d，p(推荐n为20～30间，l＝3，d＝4，p为2³¹～2³²间)，以及左辫群大小m(推荐n-m为4左右)。

选定用于散列消息的散列函数h；

参考图1所示的流程，

签名方S：

密钥产生：

1使用算法PBG随机产生一个辫元x∈LB_m；

2使用算法RSSBG(x，d)得到公钥(x’，x)和私钥a。

签名：

1对需要签名的消息m应用散列函数h得到y＝h(m)；

2随机产生一个辫元b x∈a^-1byb^-1a，然后计算byb^-1；

3使用私钥，计算签名sign(m)＝a^-1byb^-1a。

验证方V：

a)对需要验证签名的消息m应用散列函数h得到y＝h(m)；

b)使用算法BCDA判定sign(m)～y是否成立，若不成立，则验证失败，结束。若成立，转3；

c)计算x’sign(m)和xy；使用算法BCDA判定x’sign(m)～xy是否成立，若成立，则验证通过，结束，否则验证失败，结束。

Claims (5)

1.一种基于辫群共轭问题的数字签名方法，其特征在于，所述方法包括以下处理过程：

签名方为S，签名验证方为V，需要签名的消息为m，系统参数：辫群B_n(l)，B_n(l)的左子群LB_m(l)，B_n(l)的右子群RB_n-1-m(l)，辫群公钥对间的距离d，从比特串{0，1}^*到辫群B_n(l)的单向散列函数h，用于CDP判定算法BCDA的素数p和判定的点的个数r；

签名方对需要签名的消息进行如下操作：

1)签名方S随机生成一个辫元x∈LB_m(l)；

2)签名方S使用RSSBG(x，d)生成(x’，a)∈B_n(l)×B_n(l)，使得x’＝a^-1xa；将共轭对(x’，x)作为S的公钥，共轭元a作为S的私钥；

3)签名方S对需要签名的消息m首先使用散列函数h得到y＝h(m)∈B_n(l)，然后随机生成一个辫元b∈RB_n-1-m(l)，然后使用自己的私钥a和产生的随机辫元b对消息m签名得到Sign(m)＝a^-1byb^-1a；

4)签名者将消息m、公钥(x’，x)、m的签名Sign(m)发送给签名验证方V；签名验证方V收到签名者发送的信息后进行如下操作：

5)首先利用系统参数散列函数h对消息m作用计算得到y＝h(m)；

6)判定sign(m)～y是否成立，若不成立，则sign(m)不是一个合法签名；若成立，则转步骤7)；

7)判定sign(m)x’～xy是否成立，若不成立，则sign(m)不是一个合法签名；若成立，则sign(m)为消息m的合法签名。

2.根据权利要求1所述的基于辫群共轭问题的数字签名方法，其特征在于，所述步骤2)生成公钥和私钥具体包括以下处理过程：

(2-1)选定系统参数n，m，l，d；

(2-2)随机生成一个辫元x属于集合LBm(l)；

(2-3)随机选择一个辫元b属于集合Bn(5l)；

(2-4)计算y＝b^-1xb；

(2-5)随机产生一个比特，如为0，则计算y＝cycling(y)＝a^-1xa，否则计算y＝decycling(y)＝a^-1xa；

(2-6)判断y是否属于集合SSS(x)以及l(y)≤d是否都成立，若都成立则输出(x，y)为公钥，a为私钥；若有一个不成立，则转入(2-5)进一步生成。

3.根据权利要求1所述的基于辫群共轭问题的数字签名方法，其特征在于，所述散列矩阵的处理过程是：

(3-1)选择一个普通散列函数H，其输出H(m)长度为l[log(2，n！)](可以截取)，然后将H(m)一次等分为1段R1‖R2‖…‖R1；

(3-2)一次将Ri对应为置换辫元Ai，然后计算h(m)＝A1*A2…A1即为所求的h(m)。

4.根据权利要求1所述的基于辫群共轭问题的数字签名方法，其特征在于，所述的步骤6)、7)中利用算法BCDA判定共轭的处理过程是：

(4-1)输入辫元a，b，选择好系统参数p、r并计算其特征Pa(t)以及Pb(t)；

(4-2)随机选择r个不同的随机数ti(I＝1，2…r)，并计算Pa(ti)＝Pb(ti)都成立；若有一个不成立，则a～b不成立；若都成立，则转(4-3)；

(4-3)计算Maxinf(a)＝Maxinf(b)是否成立，若不成立，则a～b不成立；若成立，则转(4-4)；

(4-4)计算Minsup(a)＝Minsup(b)是否成立，若不成立，则a～b不成立；若成立，则转则a～b不成立。

5.根据权利要求1所述的基于辫群共轭问题的数字签名方法，其特征在于，所述n取20～30间，l＝3，d＝4，p为2³¹～2³²间，以及左辫群大小m比n小4。

Images