1. 引言

公钥密码体制(public key cryptosystem, PKC) [1]不仅具有加密功能，而且具有认证功能。在基于PKI的密码体制中，用户的公钥与其身份没有任何联系，他们通过证书机构(certificate authority, CA)发布的公钥证书联系起来。基于PKI的密码体制存在公钥证书管理问题。在基于身份的密码体制(identity-based cryptosystem, IBC) [2]中，用户的公钥由其身份派生出来，用户的私钥由私钥生成器(private key generator, PKG)生成。基于身份的密码体制消除了公钥证书管理问题，但引入了密钥托管问题。在无证书密码体制(certificateless cryptosystem, CLC) [3]中，用户的私钥由密钥生成中心(key generating center, KGC)和用户自身共同生成。无证书密码体制不仅消除了公钥证书管理问题，而且还避免了密钥托管问题，它是一种拥有卓越性能的公钥密码体制。目前，人们提出了一个基于格的无证书签名(certificateless signature, CLS)方案[4]。此外，人们还提出了几个基于格的CLS方案[5]-[8]。

具有同态性质的公钥密码体制在云计算、物联网和大数据等领域具有广泛的应用价值，它吸引了众多研究人员的目光。全同态加密(fully homomorphic encryption, FHE)允许对加密数据执行任意计算。2013年，Gentry、Sahai和Waters [9]提出了近似特征向量技术，并设计了一个基于格的层次型FHE方案。在层次型FHE方案中，方案的参数依赖于方案所能计算的电路的深度。利用近似特征向量技术，人们提出了层次型基于身份的全同态加密(identity-based fully homomorphic encryption, IBFHE)方案[10]-[12]，提出了层次型无证书全同态加密(certificateless fully homomorphic encryption, CLFHE)方案[13]。全同态签名(fully homomorphic signature, FHS)允许对签名数据执行任意计算。FHS的安全要求除不可伪造性之外还包括隐私性[14]。隐私性从弱到强可以分为弱上下文隐藏、强上下文隐藏和完全上下文隐藏。2015年，Gorbunov、Vaikuntanathan和Wichs [15]提出了一个基于格的层次型FHS方案，并在标准模型下基于小整数解(small integer solution, SIS)问题的困难性证明了它满足固定性选择消息攻击下的存在性不可伪造性(EU-sCMA)。在层次型FHS方案中，方案的参数依赖于方案所能计算的电路的深度。随后，Boyen、Fan和Shi [16]又提出了一个基于格的层次型FHS方案，并在标准模型下基于SIS问题的困难性证明了它满足适应性选择消息攻击下的存在性不可伪造性(EU-CMA)。Gorbunov等人的FHS方案[15]能提供弱上下文隐藏的隐私性。Boyen等人的FHS方案[16]不能提供任何程度的隐私性，它不适用于许多现实的应用场合。近年来，人们提出了几个层次型基于身份的全同态签名(identity-based fully homomorphic signature, IBFHS)方案[17]-[19]。但迄今为止，人们尚未提出层次型无证书全同态签名(certificateless fully homomorphic signature, CLFHS)方案。

我们可以把FHS方案与CLS方案结合起来设计CLFHS方案。人们提出的CLS方案[4]存在安全缺陷，攻击者能够成功伪造任何消息的签名，人们提出其他几个CLS方案[5]-[8]在签名时需要对消息进行哈希运算，它们也不适合用来设计CLFHS方案。于是，我们在Gorbunov等人的FHS方案[15]的基础上直接设计了基于格的层次型CLFHS方案。我们的主要工作如下：

① 给出了层次型CLFHS方案的形式化定义和选择性选择身份和固定性选择消息攻击下的存在性不可伪造性(existential unforgeability under selective chosen-identity and static chosen-message attacks, EU-sID-sCMA)的安全模型。

② 利用Gorbunov等人[15]提出的设计技术，构造了一个基于格的层次型CLFHS方案。并在标准模型下基于SIS问题的困难性证明了所构造的方案满足EU-sID-sCMA安全性。

③ 给出了所构造的CLFHS方案的具体参数设置，分析了所构造的CLFHS方案的有关性能。

2. 预备知识

2.1. 符号约定

首先介绍本文使用的符号，具体如表1所示。

Table 1. Notations and their descriptions

表1. 符号及其说明

2.2. 熵与统计距离

定义1. 对随机变量$X\leftarrow X$ 和$Y\leftarrow Y$ ，它们的统计距离定义为

$\Delta \left(X,Y\right)=\frac{1}{2}{\displaystyle {\sum }_{a\in X\cup Y}\left|\mathrm{Pr}\left[X=a\right]-\mathrm{Pr}\left[Y=a\right]\right|}$

如果$\Delta \left(X,Y\right)=\text{nelg}\left(\lambda \right)$ ，则称随机变量$X$ 和$Y$ 是统计接近的。

定义2. 随机变量$X$ 的最小熵定义为${\text{H}}_{\infty }\left(X\right)=-\log \left({\max }_x\mathrm{Pr}\left[X=x\right]\right)$ 。$X$ 以$Y$ 为条件的平均最小熵定义为

${\text{H}}_{\infty }\left(X|Y\right)=-\log \left({\text{E}}_{y\leftarrow Y}\left[{\max }_x\mathrm{Pr}\left[X=x|Y=y\right]\right]\right).$

给定相关的$Y$ ，敌手猜测$X$ 的最优概率为$2^{-{\text{H}}_{\infty }\left(X|Y\right)}$ 。

引理1. [20] 假设$X\leftarrow \mathcal{X}$ 和$Y\leftarrow \mathcal{Y}$ 为两个任意的随机变量，那么

${\text{H}}_{\infty }\left(X|Y\right)\ge {\text{H}}_{\infty }\left(X\right)-\log \left(\left|\mathcal{Y}\right|\right)$ .

2.3. 格

定义3. 令矩阵$B=\left(b_1|\cdots |b_m\right)\in {ℝ}^{m\times m}$ ，其列向量$b_1,\cdots ,b_m$ 是一组线性无关向量，由基$B$ 产生的$m$ 维格$\Lambda$ 定义为

$\Lambda =\left\{y\in {ℝ}^m\text{s}.\text{t}.\exists z\in {\mathbb{Z}}^m,y=Bz={\displaystyle {\sum }_{i\in \left[m\right]}{z}_i}{b}_i\right\}$ .

定义4. 对素数$q$ 、矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 和向量$u\in {\mathbb{Z}}_q^n$ ，定义两个$m$ 维整数格：

$\begin{array}{l}{\Lambda }^{\perp }\left(A\right)=\left\{e\in {\mathbb{Z}}^m\text{s}.\text{t}.Ae=0\mathrm{mod}q\right\},\\ {\Lambda }_u^{\perp }\left(A\right)=\left\{e\in {\mathbb{Z}}^m\text{s}.\text{t}.Ae=u\mathrm{mod}q\right\}.\end{array}$

可以看出，如果$t\in {\Lambda }_u^{\perp }\left(A\right)$ ，则${\Lambda }_u^{\perp }\left(A\right)={\Lambda }^{\perp }\left(A\right)+t$ ，因此${\Lambda }_u^{\perp }\left(A\right)$ 是${\Lambda }^{\perp }\left(A\right)$ 的一个陪集。

定义5. 对任意向量$c\in {ℝ}^m$ 、实数$s>0$ 和$m$ 维格$\Lambda$ ，$\Lambda$ 上的离散高斯分布定义为

$\forall x\in \Lambda ,D_{\Lambda ,s,c}\left(x\right)={\rho }_{s,c}\left(x\right)/{\displaystyle {\sum }_{x\in \Lambda }{\rho }_{s,c}\left(x\right)}$ ，

其中${\rho }_{s,c}\left(x\right)=\exp \left(-\pi {\Vert x-c\Vert }^2/s^2\right)$ 是${ℝ}^m$ 上以$c$ 和$s$ 分别为中心和参数的高斯函数。

引理2. [21] 对任意$m$ 维格、向量$c\in {ℝ}^m$ 和实数$0<ϵ<1$ 、$s\ge {\eta }_{ϵ}\left(\Lambda \right)$ ，有

$\underset{x\leftarrow D_{\Lambda ,s,c}}{\mathrm{Pr}}\left[\Vert x-c\Vert >s\sqrt{m}\right]\le \frac{1+ϵ}{1-ϵ}\cdot 2^{-m}$ ，

其中${\eta }_{\epsilon }\left(\Lambda \right)$ 是$\Lambda$ 的光滑参数，且对$\Lambda$ 的任意一组基$B$ ，${\eta }_{\epsilon }\left(\Lambda \right)\le \Vert \tilde{B}\Vert \cdot \omega \left(\sqrt{\log m}\right)$ 。

引理3. [22] 令$n$ 和$m$ 为正整数，$q$ 为素数，并且$m\ge 2n\log q$ 。则对任意$A\in {\mathbb{Z}}_q^{n\times m}$ 以及对任意$\sigma \ge \omega \left(\sqrt{\log m}\right)$ ，$u=Ae\mathrm{mod}q$ 统计接近于${\mathbb{Z}}_q^n$ 上的均匀分布，其中$e\leftarrow D_{{\mathbb{Z}}^m,\sigma }$ 。

引理4. [23] 令$\delta >0$ 为任一固定常数，存在一个概率多项式时间算法$\text{GenBasis}\left({\text{1}}^n,{\text{1}}^m,q\right)$ ，它输入正整数$n$ 、$q\ge 2$ 和$m\ge \left(5+3\delta \right)\cdot n\log q$ ，输出一个矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 和${\Lambda }^{\perp }\left(A\right)$ 的一组基$T_A\in {\mathbb{Z}}^{m\times m}$ ，满足$A$ 统计接近于${\mathbb{Z}}_q^{n\times m}$ 上的均匀分布以及$\Vert \widetilde{T_A}\Vert \le \tilde{L}=O\left(\sqrt{n\log q}\right)$ 。

引理5. [22] 给定$q\ge 2$ 和$m\ge 2n\log q$ ，存在一个概率多项式时间算法$\text{SamplePre}\left(A,T_A,s,u\right)$ ，它输入矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 、格${\Lambda }^{\perp }\left(A\right)$ 的一组基$T_A\in {\mathbb{Z}}^{m\times m}$ 、高斯参数$s\ge \Vert \widetilde{T_A}\Vert \cdot \omega \left(\sqrt{\log m}\right)$ 和向量$u\in {\mathbb{Z}}_q^n$ ，从统计接近于$D_{{\Lambda }_u^{\perp }\left(A\right),s}$ 的分布输出一个向量$e\in {\mathbb{Z}}^m$ 。

引理6. [24] 给定$q\ge 2$ 和$m\ge 2n\log q$ ，存在一个固定的可计算的矩阵$G\in {\mathbb{Z}}_q^{n\times m}$ 和一个确定性的多项式时间算法$G^{-1}$ ，该算法输入矩阵$V\in {\mathbb{Z}}_q^{n\times k}$ ，其中$k\ge 1$ ，输出一个比特矩阵$G^{-1}\left(V\right)\in {\left\{0,1\right\}}^{m\times k}$ ，满足$G\cdot G^{-1}\left(V\right)=V$ 。

定义6. 对于矩阵$R\in {\mathbb{Z}}^{m\times m}$ ，若$R\mathrm{mod}q$ 作为${\mathbb{Z}}_q^{m\times m}$ 上的矩阵是可逆的，就称$R$ 为${\mathbb{Z}}_q$ 可逆的。我们定义${\mathcal{D}}^{m\times m}$ 为高斯分布${\left(D_{{\mathbb{Z}}^m,s}\right)}^m$ ，其中$s\ge \tilde{L}\cdot \omega \left(\sqrt{\log m}\right)$ ，并且抽样矩阵为${\mathbb{Z}}_q$ 可逆的。

引理7. [25] 给定$q\ge 2$ 和$m\ge 2n\log q$ ，存在一个概率多项式时间算法$\text{BasisDel}\left(A,T_A,R,s\right)$ ，它输入矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 、格${\Lambda }^{\perp }\left(A\right)$ 的一组基$T_A\in {\mathbb{Z}}^{m\times m}$ 、从分布${\mathcal{D}}^{m\times m}$ 抽取的${\mathbb{Z}}_q$ 可逆矩阵$R\in {\mathbb{Z}}^{m\times m}$ 以及高斯参数$s\ge \Vert \widetilde{T_A}\Vert \cdot \tilde{L}\cdot \sqrt{m}\cdot \omega {\left(\sqrt{\log m}\right)}^4$ ，输出格${\Lambda }^{\perp }\left(B\right)$ 的一组基$T_B\in {\mathbb{Z}}^{m\times m}$ ，其中$B=A{R}^{-1}\mathrm{mod}q$ ，并且$T_B$ 满足$\Vert T_B\Vert \le s\sqrt{m}$ 。

引理8. [25] 给定$q\ge 2$ 和$m\ge 2n\log q$ ，存在一个概率多项式时间算法$\text{SampleRwithBasis}\left(A\right)$ ，它输入矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ ，从统计接近于${\mathcal{D}}^{m\times m}$ 的分布输出一个矩阵$R\in {\mathbb{Z}}^{m\times m}$ ，它还输出格${\Lambda }^{\perp }\left(B\right)$ 的一组基$T_B\in {\mathbb{Z}}^{m\times m}$ ，满足$\Vert \widetilde{T_B}\Vert \le \tilde{L}=O\left(\sqrt{n\log q}\right)$ ，其中$B=A{R}^{-1}\mathrm{mod}q$ 。

2.4. SIS问题

定义7. 小整数解(small integer solution, SIS)问题如下：给定整数$q$ 、矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 和实数$\beta$ ，寻找一个非零向量$e\in {\mathbb{Z}}^m$ ，满足$Ae=0\mathrm{mod}q$ 和$\Vert e\Vert \le \beta$ 。

对于函数$q\left(n\right)$ 、$m\left(n\right)$ 和$\beta \left(n\right)$ ，${\text{SIS}}_{q,m,\beta }$ 表示实例$\left(q\left(n\right),A,\beta \left(n\right)\right)$ 的集合，其中$A\in {\mathbb{Z}}_{q\left(n\right)}^{n\times m\left(n\right)}$ 是均匀随机的。

引理9. [21] [22] 对任意多项式界的$m=\text{poly}\left(n\right)$ 和$\beta =\text{poly}\left(n\right)$ 以及对任意素数$q\ge \beta \cdot \omega \left(\sqrt{n\log n}\right)$ ，平均情况下的${\text{SIS}}_{q,m,\beta }$ 问题与最差情况下的近似最短独立向量问题(shortest independent vector problem, SIVP)一样困难，其中近似因子$\gamma =\beta \cdot \tilde{O}\left(\sqrt{n}\right)$ 。

3. 形式化定义与安全模型

3.1. 形式化定义

一个层次型CLFHS方案由系统设置Setup、部分私钥提取Extract、用户密钥设置KeyGen、签名Sign、同态运算Eval和验证Verify六个多项式时间算法组成。具体如下：

① $\left(pp,msk\right)\leftarrow \text{Setup}\left({\text{1}}^{\lambda },{\text{1}}^d,{\text{1}}^N\right)$ ：输入安全参数$\lambda$ 、电路的最大深度$d$ 和数据集的最大尺寸$N$ ，输出公开参数$param$ 和主密钥$msk$ 。$param$ 包含消息空间$ℳ$ 的描述。该算法由密钥生成中心KGC执行。

② $ps{k}_{id}\leftarrow \text{Extract}\left(param,msk,id\right)$ ：输入公开参数$param$ 、主密钥$msk$ 和身份$id$ ，输出部分私钥$ps{k}_{id}$ 。该算法由密钥生成中心KGC执行。

③ $\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ：输入公开参数$param$ 和身份$id$ ，输出秘密值$x_{id}$ 和公钥$p{k}_{id}$ 。

④ $\left({\sigma }_1,\cdots ,{\sigma }_N\right)\leftarrow \text{Sign}\left(param,id,p{k}_{id},ps{k}_{id},x_{id},{\mu }_1,\cdots ,{\mu }_N\right)$ ：输入公开参数$param$ 、身份$id$ 、公钥$p{k}_{id}$ 、部分私钥$ps{k}_{id}$ 、秘密值$x_{id}$ 和消息序列${\mu }_1,\cdots ,{\mu }_N\in ℳ$ ，输出签名序列${\sigma }_1,\cdots ,{\sigma }_N$ 。

⑤ ${\sigma }_f\leftarrow \text{Eval}\left(param,id,f,{\left\{\left({\mu }_i,{\sigma }_i\right)\right\}}_{i\in \left[N\right]}\right)$ ：输入公开参数$param$ 、身份$id$ 、电路$f:{ℳ}^N\to ℳ$ 和消息–签名对的集合${\left\{\left({\mu }_i,{\sigma }_i\right)\right\}}_{i\in \left[N\right]}$ ，输出签名${\sigma }_f$ 。

⑥ $\text{accept/reject}\leftarrow \text{Verify}\left(param,id,p{k}_{id},f,{\mu }_f,{\sigma }_f\right)$ ：输入公开参数$param$ 、身份$id$ 、公钥$p{k}_{id}$ 、电路$f:{ℳ}^N\to ℳ$ 、消息${\mu }_f\in ℳ$ 和签名${\sigma }_f$ ，若${\sigma }_f$ 是$id$ 和$p{k}_{id}$ 对${\mu }_f$ 的有效签名，则输出accept，否则输出reject。

若对任意的身份$id$ 、消息序列${\mu }_1,\cdots ,{\mu }_N\in ℳ$ 和电路$f:{ℳ}^N\to ℳ$ ，其中电路$f$ 的深度$\text{depth}\left(f\right)\le d$ ，给定

$\begin{array}{l}\left(param,msk\right)\leftarrow \text{Setup}\left({\text{1}}^{\lambda },{\text{1}}^d,{\text{1}}^N\right)\\ ps{k}_{id}\leftarrow \text{Extract}\left(param,msk,id\right)\\ \left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)\\ \left({\sigma }_1,\cdots ,{\sigma }_N\right)\leftarrow \text{Sign}\left(param,id,p{k}_{id},ps{k}_{id},x_{id},{\mu }_1,\cdots ,{\mu }_N\right)\end{array}$

有

$\text{Verify}\left(param,id,p{k}_{id},f,{\mu }_f,{\sigma }_f\right)=\text{accept}$

其中

$\begin{array}{l}{\mu }_f=f\left({\mu }_1,\cdots ,{\mu }_N\right)\\ {\sigma }_f=\text{Eval}\left(param,id,f,{\left\{\left({\mu }_i,{\sigma }_i\right)\right\}}_{i\in \left[N\right]}\right)\end{array}$

则称这个层次型CLFHS方案是正确的。

3.2. 安全模型

层次型CLFHS方案的攻击者包括第1类攻击者${\mathcal{A}}_{\text{I}}$ 和第2类攻击者${\mathcal{A}}_{\text{II}}$ 。${\mathcal{A}}_{\text{I}}$ 模拟外部攻击者，它不知道系统主密钥，但可以任意替换用户的公钥；${\mathcal{A}}_{\text{II}}$ 模拟诚实但好奇的密钥生成中心KGC，它知道系统主密钥，但不能替换目标用户的公钥。层次型CLFHS方案在选择性选择身份和固定性选择消息攻击下的存在性不可伪造性(existential unforgeability under selective chosen-identity and static chosen-message attacks, EU-sID-sCMA)可由攻击者${\mathcal{A}}_{\text{I}}$ 或${\mathcal{A}}_{\text{II}}$ 与挑战者之间的两个游戏刻画。具体如下：

游戏1 (适用于攻击者${\mathcal{A}}_{\text{I}}$ )：

初始化：${\mathcal{A}}_{\text{I}}$ 输出身份$i{d}^{*}$ 、公钥$p{k^{\prime }}_{i{d}^{*}}$ 和消息序列${\mu }_1,\cdots ,{\mu }_N\in ℳ$ 。这里，$p{k^{\prime }}_{i{d}^{*}}$ 是${\mathcal{A}}_{\text{I}}$ 替换的用户$i{d}^{*}$ 的公钥。

设置：挑战者执行$\left(param,msk\right)\leftarrow \text{Setup}\left({\text{1}}^{\lambda },{\text{1}}^d,{\text{1}}^N\right)$ ，把$param$ 发送给${\mathcal{A}}_{\text{I}}$ 。

询问：${\mathcal{A}}_{\text{I}}$ 可以适应性地向挑战者发出以下几种询问：

部分私钥询问：${\mathcal{A}}_{\text{I}}$ 提交身份$id$ ，其中$id\ne i{d}^{*}$ ，挑战者执行$ps{k}_{id}\leftarrow \text{Extract}\left(param,msk,id\right)$ ，把$ps{k}_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ 。

秘密值询问：挑战者维护一个元组列表$L=\left\{\left(id,x_{id},p{k}_{id}\right)\right\}$ 。${\mathcal{A}}_{\text{I}}$ 提交身份$id$ 。挑战者首先在表$L$ 中查找元组$\left(id,x_{id},p{k}_{id}\right)$ 。若找到该元组，把$x_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ ；若未找到，执行$\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ，把$x_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ ，并把$\left(id,x_{id},p{k}_{id}\right)$ 添加到表$L$ 中。

公钥询问：${\mathcal{A}}_{\text{I}}$ 提交身份$id$ 。挑战者首先在表$L$ 中查找元组$\left(id,x_{id},p{k}_{id}\right)$ 。若找到该元组，把$p{k}_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ ；若未找到，执行$\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ，把$p{k}_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ ，并把$\left(id,x_{id},p{k}_{id}\right)$ 添加到表$L$ 中。

签名询问：挑战者按公钥$p{k^{\prime }}_{i{d}^{*}}$ 对应的秘密值${x^{\prime }}_{i{d}^{*}}$ 产生签名序列${\sigma }_1,\cdots ,{\sigma }_N$ ，把${\sigma }_1,\cdots ,{\sigma }_N$ 发送给${\mathcal{A}}_{\text{I}}$ 。

伪造：最后，${\mathcal{A}}_{\text{I}}$ 输出电路$f^{*}:{ℳ}^N\to ℳ$ 、消息${\mu }^{*}$ 和签名${\sigma }^{*}$ 。如果满足以下条件，称${\mathcal{A}}_{\text{I}}$ 赢得游戏1。

① ${\mu }^{*}\ne {\mu }_{f^{*}}$ ，其中${\mu }_{f^{*}}=f^{*}\left({\mu }_1,\cdots ,{\mu }_N\right)$ ；

② $\text{Verify}\left(param,i{d}^{*},p{k^{\prime }}_{i{d}^{*}},f^{*},{\mu }^{*},{\sigma }^{*}\right)=\text{accept}$ 。

${\mathcal{A}}_{\text{I}}$ 攻击一个层次型CLFHS方案的优势定义为${\text{Adv}}_{\text{CLFHS}}^{\text{EU-sID-sCMS}}\left({\mathcal{A}}_{\text{I}}\right)=\mathrm{Pr}\left[{\mathcal{A}}_{\text{I}}\text{wins}\text{the}\text{game}\text{1}\right]$ 。

定义8. 如果对任意多项式时间攻击者${\mathcal{A}}_{\text{I}}$ ，${\text{Adv}}_{\text{CLFHS}}^{\text{EU-sID-sCMS}}\left({\mathcal{A}}_{\text{I}}\right)=\text{negl}\left(\lambda \right)$ ，我们就称这个层次型CLFHS方案对第1类攻击者是EU-sID-sCMA安全的。

游戏2 (适用于攻击者${\mathcal{A}}_{\text{II}}$ )：

初始化：${\mathcal{A}}_{\text{II}}$ 输出身份$i{d}^{*}$ 和消息序列${\mu }_1,\cdots ,{\mu }_N\in ℳ$ 。

设置：挑战者执行$\left(param,msk\right)\leftarrow \text{Setup}\left({\text{1}}^{\lambda },{\text{1}}^d,{\text{1}}^N\right)$ ，把$param$ 和$msk$ 发送给${\mathcal{A}}_{\text{II}}$ 。

询问：${\mathcal{A}}_{\text{II}}$ 可以适应性地向挑战者发出以下几种询问：

秘密值询问：挑战者维护一个元组列表$L=\left\{\left(id,x_{id},p{k}_{id}\right)\right\}$ 。${\mathcal{A}}_{\text{II}}$ 提交身份$id$ ，其中$id\ne i{d}^{*}$ 。挑战者首先在表$L$ 中查找元组$\left(id,x_{id},p{k}_{id}\right)$ 。若找到该元组，把$x_{id}$ 发送给${\mathcal{A}}_{\text{II}}$ ；若未找到，执行$\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ，把$x_{id}$ 发送给${\mathcal{A}}_{\text{II}}$ ，并把$\left(id,x_{id},p{k}_{id}\right)$ 添加到表$L$ 中。

公钥询问：${\mathcal{A}}_{\text{II}}$ 提交身份$id$ 。挑战者首先在表$L$ 中查找元组$\left(id,x_{id},p{k}_{id}\right)$ 。若找到该元组，把$p{k}_{id}$ 发送给${\mathcal{A}}_{\text{II}}$ ；若未找到，执行$\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ，把$p{k}_{id}$ 发送给${\mathcal{A}}_{\text{II}}$ ，并把$\left(id,x_{id},p{k}_{id}\right)$ 添加到表$L$ 中。

签名询问：假定${\mathcal{A}}_{\text{II}}$ 已询问过$i{d}^{*}$ 的公钥。挑战者执行$\left({\sigma }_1,\cdots ,{\sigma }_N\right)\leftarrow \text{Sign}\left(param,i{d}^{*},p{k}_{i{d}^{*}},ps{k}_{i{d}^{*}},x_{i{d}^{*}},{\mu }_1,\cdots ,{\mu }_N\right)$ ，把产生的签名序列${\sigma }_1,\cdots ,{\sigma }_N$ 发送给${\mathcal{A}}_{\text{II}}$ 。

伪造：最后，${\mathcal{A}}_{\text{II}}$ 输出电路$f^{*}:{ℳ}^N\to ℳ$ 、消息${\mu }^{*}$ 和签名${\sigma }^{*}$ 。如果满足以下条件，称${\mathcal{A}}_{\text{II}}$ 赢得游戏2。

① ${\mu }^{*}\ne {\mu }_{f^{*}}$ ，其中${\mu }_{f^{*}}=f^{*}\left({\mu }_1,\cdots ,{\mu }_N\right)$ ；

② $\text{Verify}\left(param,i{d}^{*},p{k}_{i{d}^{*}},f^{*},{\mu }^{*},{\sigma }^{*}\right)=\text{accept}$ ，其中$p{k}_{i{d}^{*}}$ 为表$L$ 中用户$i{d}^{*}$ 的公钥。

${\mathcal{A}}_{\text{II}}$ 攻击一个层次型CLFHS方案的优势定义为${\text{Adv}}_{\text{CLFHS}}^{\text{EU-sID-sCMS}}\left({\mathcal{A}}_{\text{II}}\right)=\mathrm{Pr}\left[{\mathcal{A}}_{\text{II}}\text{wins}\text{the}\text{game}\text{2}\right]$ 。

定义9. 如果对任意多项式时间攻击者${\mathcal{A}}_{\text{II}}$ ，${\text{Adv}}_{\text{CLFHS}}^{\text{EU-sID-sCMS}}\left({\mathcal{A}}_{\text{II}}\right)=\text{negl}\left(\lambda \right)$ ，我们就称这个层次型CLFHS方案对第2类攻击者是EU-sID-sCMA安全的。

4. 构造与安全性证明

4.1. 构造

在人们提出的CLS方案[4]中，用户的公钥为$A=\left(A_1|A_2\right)\in {\mathbb{Z}}_q^{n\times 4m}$ ，私钥为$T_A=\left(\begin{array}{cc}{T}_{A_1}& \\ & T_{A_2}\end{array}\right)\in {\mathbb{Z}}^{4m\times 4m}$ ，公钥的这种形式使得第1类攻击者${\mathcal{A}}_{\text{I}}$ 和第2类攻击者${\mathcal{A}}_{\text{II}}$ 都能够生成用户的私钥$T\prime$ ，从而成功伪造任何消息的签名。若把用户的公钥设置为$A=\left(\begin{array}{cc}{A}_1& \\ & A_2\end{array}\right)\in {\mathbb{Z}}_q^{2n\times 4m}$ ，${\mathcal{A}}_{\text{I}}$ 和${\mathcal{A}}_{\text{II}}$ 就无法生成用户的私钥$T\prime$ 了。下面我们以Gorbunov等人[15]的FHS方案为基础，构建一个基于格的层次型CLFHS方案，其中我们把用户的公钥设置为$F=\left(\begin{array}{cc}B& \\ & C\end{array}\right)\in {\mathbb{Z}}_q^{2n\times 2m}$ ，私钥设置为$T_F=\left(\begin{array}{cc}{T}_B& \\ & T_C\end{array}\right)\in {\mathbb{Z}}^{2m\times 2m}$ 。

$\left(pp,msk\right)\leftarrow \text{Setup}\left({\text{1}}^{\lambda },{\text{1}}^d,{\text{1}}^N\right)$ ：给定安全参数$\lambda$ 、电路的最大深度$d$ 和数据集的最大尺寸$N$ ，执行：

① 设置$n$ 、$q\ge 2$ 和$m=O\left(n\log q\right)$ ，设置高斯参数$s_1$ 和$s_2$ 。

② 设置消息空间$ℳ=\left\{0,1\right\}$ ，设置身份空间$ℐ\mathcal{D}={\left\{0,1\right\}}^{\ell }$ ，其中$\ell \ge 1$ 。

③ 调用$\text{GenBasis}\left({\text{1}}^n,{\text{1}}^m,q\right)$ 产生一个矩阵$A\in {\mathbb{Z}}_q^{n\times m}$ 和格${\Lambda }^{\perp }\left(A\right)$ 的一组基$T_A\in {\mathbb{Z}}^{m\times m}$ ，满足$\Vert \widetilde{T_A}\Vert \le \tilde{L}=O\left(\sqrt{n\log q}\right)$ 。

④ 选取$2\ell$ 个矩阵$R_{i,0},R_{i,1}\leftarrow {\mathcal{D}}^{m\times m}$ ，其中$i\in \left[\ell \right]$ 。

⑤ 选取$N$ 个矩阵$V_i\in {\mathbb{Z}}_q^{2n\times 2m}$ ，其中$i\in \left[N\right]$ 。

⑥ 输出公开参数$param=\left(A,{\left\{R_{i,0},R_{i,1}\right\}}_{i\in \left[\ell \right]},{\left\{V_i\right\}}_{i\in \left[N\right]}\right)$ 和主密钥$msk=T_A$ 。

$ps{k}_{id}\leftarrow \text{Extract}\left(param,msk,id\right)$ ：给定公开参数$param$ 、主密钥$msk=T_A$ 和身份$id\in {\left\{0,1\right\}}^{\ell }$ ，执行：

① 计算$R=R_{\ell ,i{d}_{\ell }}\cdots R_{1,i{d}_1}\in {\mathbb{Z}}^{m\times m}$ 。

② 调用$\text{BasisDel}\left(A,T_A,R,s_1\right)$ 产生格${\Lambda }^{\perp }\left(B\right)$ 的一组基$T_B\in {\mathbb{Z}}^{m\times m}$ ，其中$B=A{R}^{-1}\in {\mathbb{Z}}_q^{n\times m}$ 。

③ 输出部分私钥$ps{k}_{id}=T_B$ 。

$\left(x_{id},p{k}_{id}\right)\leftarrow \text{KeyGen}\left(param,id\right)$ ：给定公开参数$param$ 和身份$id\in {\left\{0,1\right\}}^{\ell }$ ，执行：

① 调用$\text{GenBasis}\left({\text{1}}^n,{\text{1}}^m,q\right)$ 产生一个矩阵$C\in {\mathbb{Z}}_q^{n\times m}$ 和格${\Lambda }^{\perp }\left(C\right)$ 的一组基$T_C\in {\mathbb{Z}}^{m\times m}$ ，满足$\Vert \widetilde{T_C}\Vert \le \tilde{L}=O\left(\sqrt{n\log q}\right)$ 。

② 输出秘密值$x_{id}=T_C$ 和公钥$p{k}_{id}=C$ 。

$\left({\sigma }_1,\cdots ,{\sigma }_N\right)\leftarrow \text{Sign}\left(param,id,p{k}_{id},ps{k}_{id},x_{id},{\mu }_1,\cdots ,{\mu }_N\right)$ ：给定公开参数$param$ 、身份$id\in {\left\{0,1\right\}}^{\ell }$ 、公钥$p{k}_{id}=C$ 、部分私钥$ps{k}_{id}=T_B$ 、秘密值$x_{id}=T_C$ 和消息集合${\{{\mu }_i\in ℳ\}}_{i\in [N]}$ ，执行：

① 计算$R=R_{\ell ,i{d}_{\ell }}\cdots R_{1,i{d}_1}\in {\mathbb{Z}}^{m\times m}$ ，计算$B=A{R}^{-1}\in {\mathbb{Z}}^{n\times m}$ 。

② 令$F=\left(\begin{array}{cc}B& \\ & C\end{array}\right)\in {\mathbb{Z}}_q^{2n\times 2m}$ 。令$T_F=\left(\begin{array}{cc}{T}_B& \\ & T_C\end{array}\right)\in {\mathbb{Z}}^{2m\times 2m}$ 。不难看出，$T_F$ 为格${\Lambda }^{\perp }\left(F\right)$ 的一组基。

③ 对$i\in \left[N\right]$ ，令$Y_i=V_i-{\mu }_i\cdot G\mathrm{mod}q$ ，调用$\text{SamplePre}\left(F,T_F,s_2,Y_i\right)$ 产生一个矩阵$U_i\in {\mathbb{Z}}^{2m\times 2m}$ ，其中$G\in {\mathbb{Z}}_q^{2n\times 2m}$ 。

④ 输出签名集合${\left\{{\sigma }_i=U_i\right\}}_{i\in \left[N\right]}$ 。

${\sigma }_f\leftarrow \text{Eval}\left(param,id,f,{\left\{\left({\mu }_i,{\sigma }_i\right)\right\}}_{i\in \left[N\right]}\right)$ ：给定公开参数$param$ 、身份$id\in {\left\{0,1\right\}}^{\ell }$ 、电路$f:{ℳ}^N\to ℳ$ 和消息–签名对的集合${\left\{\left({\mu }_i\in ℳ,{\sigma }_i=U_i\right)\right\}}_{i\in \left[N\right]}$ ，执行：

① 对加法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1+{\mu }_2$ ，定义$U_f=U_1+U_2$ ；对乘法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1\cdot {\mu }_2$ ，定义$U_f=U_1{G}^{-1}\left(V_2\right)+{\mu }_1\cdot U_2$ 。对电路$f:{ℳ}^N\to ℳ$ ，通过迭代调用加法门和乘法门计算$U_f\in {\mathbb{Z}}^{2m\times 2m}$ 。

② 输出签名${\sigma }_f=U_f$ 。

$\text{accept/reject}\leftarrow \text{Verify}\left(param,id,p{k}_{id},f,{\mu }_f,{\sigma }_f\right)$ ：给定公开参数$param$ 、身份$id\in {\left\{0,1\right\}}^{\ell }$ 、公钥$p{k}_{id}=C$ 、电路$f:{ℳ}^N\to ℳ$ 、消息${\mu }_f\in ℳ$ 和签名${\sigma }_f=U_f\in {\mathbb{Z}}^{2m\times 2m}$ ，执行：

① 对加法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1+{\mu }_2$ ，定义$V_f=V_1+V_2$ ；对乘法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1\cdot {\mu }_2$ ，定义$V_f=V_1{G}^{-1}\left(V_2\right)$ 。对电路$f:{ℳ}^N\to ℳ$ ，通过迭代调用加法门和乘法门计算$V_f\in {\mathbb{Z}}_q^{n\times m}$ 。

② 计算$F=\left(\begin{array}{cc}A{R}^{-1}& \\ & C\end{array}\right)\in {\mathbb{Z}}_q^{2n\times 2m}$ ，其中$R=R_{\ell ,i{d}_{\ell }}\cdots R_{1,i{d}_1}\in {\mathbb{Z}}^{m\times m}$ 。

③ 如果满足$F{U}_f=V_f-{\mu }_f\cdot G\mathrm{mod}q$ 和$\Vert U_f\Vert \le {\left(2m+1\right)}^{\text{depth}\left(f\right)}\cdot s_2\sqrt{2m}$ ，其中$\text{depth}\left(f\right)\le d$ 表示电路$f$ 的深度，则输出accept，否则输出reject。

定理1. 所提出CLFHS方案是正确的。

证明. 对于签名$U_1$ 和$U_2$ ，假定$F{U}_1=V_1-{\mu }_1\cdot G\mathrm{mod}q$ 和$F{U}_2=V_2-{\mu }_2\cdot G\mathrm{mod}q$ ，并且假定$\Vert U_1\Vert \le \theta$ 和$\Vert U_2\Vert \le \theta$ 。则

对加法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1+{\mu }_2$ ，有

$F{U}_f=F\left(U_1+U_2\right)=F{U}_1+F{U}_2=V_1-{\mu }_1\cdot G+V_2-{\mu }_2\cdot G=\left(V_1+V_2\right)-\left({\mu }_1+{\mu }_2\right)\cdot G=V_f-{\mu }_f\cdot G$

并且

$\Vert U_f\Vert =\Vert U_1+U_2\Vert \le \Vert U_1\Vert +\Vert U_2\Vert \le \theta +\theta =2\theta$

对乘法门$f\left({\mu }_1,{\mu }_2\right)={\mu }_1\cdot {\mu }_2$ ，有

$\begin{array}{c}F{U}_f=F\left(U_1{G}^{-1}\left(V_2\right)+{\mu }_1\cdot U_2\right)\\ =F{U}_1{G}^{-1}\left(V_2\right)+{\mu }_1\cdot F{U}_2\\ =\left(V_1-{\mu }_1\cdot G\right)G^{-1}\left(V_2\right)+{\mu }_1\cdot \left(V_2-{\mu }_2\cdot G\right)\\ =V_1{G}^{-1}\left(V_2\right)-{\mu }_1\cdot G{G}^{-1}\left(V_2\right)+{\mu }_1\cdot V_2-{\mu }_1{\mu }_2\cdot G\\ =V_1{G}^{-1}\left(V_2\right)-{\mu }_1\cdot V_2+{\mu }_1\cdot V_2-{\mu }_1{\mu }_2\cdot G\\ =V_1{G}^{-1}\left(V_2\right)-{\mu }_1{\mu }_2\cdot G\\ =V_f-{\mu }_f\cdot G\end{array}$

并且

$\begin{array}{c}\Vert U_f\Vert =\Vert U_1{G}^{-1}\left(V_2\right)+{\mu }_1\cdot U_2\Vert \\ \le \Vert U_1{G}^{-1}\left(V_2\right)\Vert +{\mu }_1\cdot \Vert U_2\Vert \\ \le \sqrt{2m}\cdot \Vert U_1\Vert \cdot \Vert G^{-1}\left(V_2\right)\Vert +{\mu }_1\cdot \Vert U_2\Vert \\ \le 2m\cdot \Vert U_1\Vert +{\mu }_1\cdot \Vert U_2\Vert \\ \le \left(2m+1\right)\cdot \theta \end{array}$

对于Sign算法产生的签名$U_i$ ，有$F{U}_i=V_i-{\mu }_i\cdot G\mathrm{mod}q$ ，并且$\Vert U_i\Vert \le s_2\cdot \sqrt{2m}$ 。所以对于Eval算法产生的签名$U_f$ ，它是通过迭代调用加法门和乘法门得到的，于是有$F{U}_f=V_f-f\left({\mu }_1,\cdots ,{\mu }_N\right)\cdot G\mathrm{mod}q$ ，并且$\Vert U_f\Vert \le {\left(2m+1\right)}^{\text{depth}\left(f\right)}\cdot s_2\cdot \sqrt{2m}$ ，其中$\text{depth}\left(f\right)\le d$ 表示电路$f$ 的深度。

4.2. 安全性证明

我们在标准模型下证明所提出的CLFHS方案满足EU-sID-sCMA安全性。

定理2. 如果存在一个多项式时间攻击者${\mathcal{A}}_{\text{I}}$ 在游戏1中以优势$\epsilon$ 攻击所提出的CLFHS方案，则存在一个多项式时间算法$ℬ$ 以概率${\epsilon }^{\prime }=\epsilon -\text{negl}\left(\lambda \right)$ 解决${\text{SIS}}_{q,m,\beta }$ 问题。

证明. 假设存在这样的敌手${\mathcal{A}}_{\text{I}}$ ，我们构造算法$ℬ$ ，它模拟${\mathcal{A}}_{\text{I}}$ 的挑战者并利用${\mathcal{A}}_{\text{I}}$ 的伪造解决${\text{SIS}}_{q,m,\beta }$ 问题。$ℬ$ 执行的各项操作如下：

假设$ℬ$ 收到一个${\text{SIS}}_{q,m,\beta }$ 问题实例$A_0\in {\mathbb{Z}}_q^{n\times m}$ ，希望找到一个非零向量$e\in {\mathbb{Z}}^m$ ，满足$A_{0}e=0\mathrm{mod}q$ 和$\Vert e\Vert \le \beta$ 。

初始化：${\mathcal{A}}_{\text{I}}$ 输出身份$i{d}^{*}=\left(i{d}_1^{*},\cdots ,i{d}_{\ell }^{*}\right)\in {\left\{0,1\right\}}^{\ell }$ 、公钥$p{k^{\prime }}_{i{d}^{*}}$ 和消息集合${\left\{{\mu }_i\in ℳ\right\}}_{i\in \left[N\right]}$ 。

设置：$ℬ$ 设置系统公开参数如下：

① 选取$\ell$ 个矩阵$R_{i,i{d}_i^{*}}\leftarrow {\mathcal{D}}^{m\times m}$ ，其中$i\in \left[\ell \right]$ 。

② 令$A=A_0\cdot R_{\ell ,i{d}_{\ell }^{*}}\cdots R_{1,i{d}_1^{*}}\mathrm{mod}q$ 。

③ 对$i\in \left[\ell \right]$ ，若$i=1$ ，则$P_i=A$ ，若$2\le i\le \ell$ ，则$P_i=A{\left(R_{i-1,i{d}_{i-1}^{*}}\cdots R_{1,i{d}_1^{*}}\right)}^{-1}\mathrm{mod}q$ 。

④ 对$P_i\in {\mathbb{Z}}_q^{n\times m}$ ，其中$i\in \left[\ell \right]$ ，调用$\text{SampleRwithBasis}\left(P_i\right)$ 产生一个矩阵$R_{i,1-i{d}_i^{*}}\in {\mathbb{Z}}^{m\times m}$ 和格${\Lambda }^{\perp }\left(W_i\right)$ 的一组基$T_{W_i}\in {\mathbb{Z}}^{m\times m}$ ，其中$W_i=P_i{R}_{i,1-i{d}_i^{*}}^{-1}\mathrm{mod}q$ 。

⑤ 选取$N$ 个矩阵$U_i\leftarrow {\left(D_{{\mathbb{Z}}^{2m},s_2}\right)}^{2m}$ ，其中$i\in \left[N\right]$ 。

⑥ 对每一$i\in \left[N\right]$ ，令$V_i=\left(\begin{array}{cc}{A}_0& \\ & p{k^{\prime }}_{i{d}^{*}}\end{array}\right)U_i+{\mu }_i\cdot G\in {\mathbb{Z}}_q^{2n\times 2m}$ ，其中$G\in {\mathbb{Z}}_q^{2n\times 2m}$ 。

⑦ 令$param=\left(A,{\left\{R_{i,i{d}_i^{*}},R_{i,1-i{d}_i^{*}}\right\}}_{i\in \left[\ell \right]},{\left\{V_i\right\}}_{i\in \left[N\right]}\right)$ ，并把它发送给${\mathcal{A}}_{\text{I}}$ 。

询问：${\mathcal{A}}_{\text{I}}$ 适应性地向挑战者发出以下询问：

部分私钥询问：${\mathcal{A}}_{\text{I}}$ 提交身份$id=\left(i{d}_1,\cdots ,i{d}_{\ell }\right)\in {\left\{0,1\right\}}^{\ell }$ ，其中$id\ne i{d}^{*}$ 。令$i\in \left[\ell \right]$ 使得$i{d}_i\ne i{d}_i^{*}$ ，且对任意$1\le k\le i-1$ ，有$i{d}_k=i{d}_k^{*}$ 。若$1\le i\le \ell -1$ ，令$R^{\prime }=R_{\ell ,i{d}_{\ell }}\cdots R_{i+1,i{d}_{i+1}}\in {\mathbb{Z}}^{m\times m}$ ，调用$\text{BasisDel}\left(W_i,T_{W_i},R^{\prime },s_1\right)$ 产生格${\Lambda }^{\perp }\left(B\right)$ 的一组基$T_B\in {\mathbb{Z}}^{m\times m}$ ，其中$B=W_i\cdot {\left(R^{\prime }\right)}^{-1}\mathrm{mod}q$ ，令$ps{k}_{id}=T_B$ ；若$i=\ell$ ，令$ps{k}_{id}=T_{W_{\ell }}$ 。把$ps{k}_{id}$ 发送给${\mathcal{A}}_{\text{I}}$ 。