CN102006168B - 基于多变量数字签名对消息匿名环签名的方法 - Google Patents

Abstract

本发明公开了一种基于多变量数字签名对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

Description

基于多变量数字签名对消息匿名环签名的方法

技术领域

本发明属于信息安全技术领域，涉及一种基于多变量数字签名对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。环签名引起了广泛关注，各种环签名方案相继被提出。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用于匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。

2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，这种情况下都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于多变量数字签名对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，一种基于多变量数字签名对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令

是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程组

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择S_i是从kⁿ到kⁿ的一个可逆仿射变换

S_i(x₁，…，x_n)＝A_i·(x₁，…，x_n)^T+a_i，

其中A_i是有限域k上的一个n×n的可逆矩阵，a_i是有限域k上的一个n×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择T_i是从k^m到k^m的一个可逆仿射变换

T_i(x₁，…，x_m)＝B_i·(x₁，…，x_m)^T+b_i，

其中B_i是有限域k上的一个m×m的可逆矩阵，b_i是有限域k上的一个m×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{T_i，F_i，S_i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

设假设成员u_x(0≤x≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

则签名者u_x的私钥为SK_x＝(T_x，F_x，S_x)，签名者u_x计算环签名的步骤如下：

1)签名者u_x对于i∈(0，1，…，t-1)\x随机选择a_i，b_i∈_Rkⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2)签名者u_x随机选择v∈_Rk^m，计算

v_x+1＝H(M，L，v)；

3)签名者u_x对于i＝x+1，…，t-1，0，1，…，x-1，依次计算

v_i+1m0dt＝H(M，L，v_i+R_i)

得到

v_x＝H(M，L，v_x-1+R_x-1)

签名者u_x计算

R_x＝v-v_x；

4)随机选择a_x∈_Rkⁿ，计算得

5)输出关于消息M关于环

的环签名

σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)；

步骤4.环签名的验证

对于给定消息M关于环

的环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)，任何验证者对签名正确性的验证过程如下：

1)验证人对0≤i≤t-1，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2)验证人0≤i≤t-2依次计算

v_i+1＝H(M，L，v_i+R_i)

得到v_t-1；

3)验证等式

v₀＝H(M，L，v_t-1+R_t-1)

是否成立，若等式成立，则接受环签名，否则拒绝该环签名。

本发明的特点还在于，

其中步骤3中，签名者计算R_x＝v-v_x，

从而使得消息M关于环

的环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)构成了一个可以验证的封闭环。

基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量数字签名对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。

具体实施方式

本发明所采用的技术方案是，基于多变量数字签名对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数。

系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≠t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程组

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择S_i是从kⁿ到kⁿ的一个可逆仿射变换

S_i(x₁，…，x_n)＝A_i·(x₁，…，x_n)^T+a_i，

其中A_i是有限域k上的一个n×n的可逆矩阵，a_i是有限域k上的一个n×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择T_i是从k^m到k^m的一个可逆仿射变换

T_i(x₁，…，x_m)＝B_i·(x₁，…，x_m)^T+b_i，

其中B_i是有限域k上的一个m×m的可逆矩阵，b_i是有限域k上的一个m×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{T_i，F_i，S_i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

设假设成员u_x(0≤x≤t-1)代表环成员中所有成员U＝u₀，u₁，...，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

则签名者u_x的私钥为SK_x＝(T_x，F_x，S_x)。签名者u_x计算环签名的步骤如下：

1)签名者u_x对于i∈(0，1，…，t-1)\x随机选择a_i，b_i∈_Rkⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2)签名者u_x随机选择v∈_R k^m，计算

v_x+1＝H(M，L，v)；

3)签名者u_x对于i＝x+1，…，t-1，0，1，…，x-1，依次计算

v_i+1modt＝H(M，L，v_i+R_i)

得到

v_x＝H(M，L，v_x-1+R_x-1)

签名者u_x计算

R_x＝v-v_x；

4)随机选择a_x∈_Rkⁿ，计算得

5)输出关于消息M关于环

的环签名

σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)。

步骤4.环签名的验证

给定消息M关于环

环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)，任何验证者对签名正确性的验证过程如下：

1)验证人对0≤i≤t-1，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2)验证人0≤i≤t-2依次计算

v_i+1＝H(M，L，v_i+R_i)

得到v_t-1；

3)验证等式

v₀＝H(M，L，v_t-1+R_t-1)

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

下面分别对本发明的基于多变量公钥密码体制的环签名的完备性、匿名性和不可伪造性进行分析：

●完备性

本发明所提出的基于多变量的环签名算法具有完备性。

假设消息M关于环

的环签名为σ＝(v₀，a₀，b₀，a₁，b₁，...，a_t-1，b_t-1)，如果环签名过程严格执行以上的签名步骤，并且在传输过程中没有发生错误，则由签名过程可知：

对于i∈(0，1，…，t-1)\x，有

又因为

得

即有

因此，对i∈(0，1，…，t-1)，有

对于i＝x+1，…，t-1，0，1，…，x-1时，有v_i+1modt＝H(M，L，v_i+R_i)；又知R_x＝v-v_x，即v＝R_x+v_x，那么有v_x+1＝H(M，L，v)＝H(M，L，v_x+R_x)，即就是说当i＝x时，也满足v_i+1＝H(M，L，v_i+R_i)；因此，对i∈(0，1，…，t-1)，有v_i+1modt＝H(M，L，v_i+R_i)；那么，一定有v₀＝H(M，L，v_t-1+R_t-1)成立，即验证式成立。

●无条件匿名性

本发明所提出的基于多变量的环签名是无条件匿名的。

对于消息M关于环

的环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)，我们先考虑{a_i，b_i}(i∈(0，1，…，t-1)\x)是随机选取的，因此没有提供实际签名者的任何信息。再来考虑{a_x，b_x}，我们知道a_x是由签名者随机选择的，而由

知b_x依赖R_x和a_x，其中的R_x＝v-v_x，由于v是随机选择的，所以R_x的分布是随机的，则经过计算得到的b_x也是随机分布的。这样，对于固定的M和L，每组(a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)出现的概率都是|k|^-2t，未泄露签名者的任何信息，对于敌手而言，他试图确定真实签名者身份的概率不会超过1/t，等同于暴力猜测。

●环签名不可伪造性

本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC)已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。

证明：假设由生成算法生成的密钥对

和公钥集

发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出(R^*，M^*，σ^*)，如果

成立，攻击成功。在这个过程中，A不能询问(*，M^*，σ^*)，并且

我们现在分析A输出伪造的环签名(R^*，M^*，σ^*)的计算复杂度。我们假设攻击者A模仿签名者u_π伪造关于环R^*的环签名(R^*，M^*，σ^*)，不是一般性，假设

攻击者A按照环签名生成中步骤1)，2)，3)进行计算，但是为了伪造某个消息M的签名，需要通过求得b_x，满足

${\stackrel{\‾}{F}}_x\left(b_x\right)=R_x-{\stackrel{\‾}{F}}_x\left(a_x\right)$

来伪造环签名σ＝(v₀，a₀，b₀，a₁，b₁，..，a_t-1，b_t-1)，其中a_x为攻击者自己选取的。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。目前对多变量公钥密码体制的攻击有以下几个方法：

1)代数攻击：针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程

中求解密文b_x。

基算法和XL算法是最有效的代数攻击方法。这相当于代数攻击环签名方案中所选的多变量签名体制，如果该方案安全，则环签名也安全。

2)线性化方程攻击：一个线性化方程是指对给定的公钥

有下面的等式成立：

$\underset{i,j}{\mathrm{\Σ}}{a}_{\mathrm{ij}}{b}_{x,i}{v}_{x,j}+\underset{i}{\mathrm{\Σ}}{b}_i{b}_{x,i}+\underset{j}{\mathrm{\Σ}}{c}_j{v}_{x,j}+d=0$

把

的具体值代入上式，我们得到b_x和v_x的一个仿射(线性)关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，本发明中的环签名也可以抵抗线性化方程攻击。

3)秩攻击：Goubin和Courtois指出最小秩攻击适用于三角-加-减体制。秩攻击的复杂度大约其中k是F_x分量中最小秩为r的线性组合的数目。

假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。

4)差分攻击：给出一个多变量公钥密码体制的公钥一组二次多项式，它的差分

定义为

这是一组关于x∈kⁿ的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。

由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。

实施例

基于多变量公钥密码pFLASH体制的匿名环签名方案

步骤1.生成系统参数

1)设置k＝GF(q)是特征为2的有限域，其中q＝2⁴；

2)令是有限域k的n次扩张，这里n＝74是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m＝n-r＝52为多变量方程组中方程的个数，n-s＝73为变量的个数，其中r＝22，s＝1；

4)选择H：{0，1}^*→k⁵²为密码学安全的抗碰撞单向不可逆哈希函数。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F是从kⁿ到k^m的可逆映射：

其中f₁，…，f_n∈k[x₁，…，x_n]，且K上的中心映射为

$\tilde{F}\left(X\right)=X^{{1+q}^{\mathrm{\θ}}},$

其中θ＝11是一个整数且满足gcd(q^θ+1，qⁿ-1)＝1(0＜θ＜n)。

φ：K→kⁿ是标准的k-线性同构且如下式被给出：

φ(a₀+a₁x+…+a_n-1x^n-1)＝(a₀，a₁，…，a_n-1)

F的逆由下式给出

其中

${\tilde{F}}^{-1}\left(Y\right)=Y^t$

t满足t(q^θ+1)≡1mod qⁿ-1；

3)每个用户u_i(0≤i≤t-1)选择其中S_i是从k⁷⁴到k⁷⁴的随机选择的一个可逆仿射变换，

S_i(x₁，…，x_n)＝A_i(x₁，…，x_n)^T+a_i，

其中A_i是有限域k上的一个74×74的可逆矩阵，a_i有限域k上的一个74×1的列向量；

4)每个用户u_i(0≤i≤t-1)选择T_i是从k⁵²到k⁵²的随机选择的一个可逆仿射变换

T_i(x₁，…，x_m)＝B_i(x₁，…，x_m)^T+b_i，

其中B_i是有限域k上的一个52×52的可逆矩阵，b_i有限域k上的一个52×1的列向量；

5)令T^-是T的前r＝22个分量的投影，S^-是最后s＝1个分量上S的限制，限制为0。即

${\stackrel{\‾}{F}}_i(x_1,x_2,\·\·\·,x_{n-s})$

$=({\stackrel{\‾}{f}}_{i1}(x_1,x_2,\·\·\·,x_{n-s}),\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{in}-r}(x_1,x_2,\·\·\·,x_{n-s})),$

$=(f_{i1}^{\′}(x_1,\·\·\·,x_{n-s},0),\·\·\·,f_{\mathrm{in}-r}^{\′}(x_1,\·\·\·,x_{n-s},0))$

每个用户u_i(0≤i≤t-1)公布其公钥PK_i为三个映射的复合

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{T_i，F_i，S_i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设环成员u_x(0≤x≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

则签名者u_x的私钥为SK_x＝(T_x，F_x，S_x)，签名者u_x计算环签名的步骤如下：

1)签名者u_x对于i∈(0，1，…，t-1)\x随机选择a_i，b_i∈_Rkⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right)\∈k^{n-r};$

2)签名者u_x随机选择v∈_Rk^m，计算

v_x+1＝H(M，K，v)；

3)签名者u_x对于i＝x+1，…，t-1，0，1，…，x-1，依次计算

v_i+1modt＝H(M，L，v_i+R_i)

得到v_x＝H(M，L，v_x-1+R_x-1)，签名者u_x计算R_x＝v-v_x；

4)签名者u_x随机选择a_x∈_Rkⁿ，计算

签名者u_x首先选择一个随机向量V′∈_Rk^r，通过S_x ^-1оF_x ^-1оT_x ^-1计算(V，V′)的原象

如果所得这个元素

的最后s＝1个向量为0，那么它的前n-s个向量b_x∈k^n-1就是一个有效签名。否则，抛弃这个元素并且选择其他的随机嵌入的向量V′。直到计算得b_x∈k^n-1是一个有效签名；

5)输出关于消息M关于环

的环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)。

步骤4.环签名的验证

给定消息M关于环

环签名σ＝(v₀，a₀，b₀，a₁，b₁，…，a_t-1，b_t-1)，任何验证者对签名正确性的验证过程如下：

1)验证人对0≤i≤t-1，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2)验证人0≤i≤t-2依次计算

v_i+1＝H(M，L，v_i+R_i)

得到v_t-1；

3)验证等式

v₀＝H(M，L，v_t-1+R_t-1)

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

本发明的方法提供电子文档的环数字签名，可以用于电子文档在发布、存储或传输中的完整性、真实性的安全保护；同时，又可以保护签名者的匿名性，以保证签名用户的信息不被暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员所签，确定签名者的概率是相等的。

本发明针对量子计算机的出现，传统密码体制受到威胁，利用基于多变量公钥密码在量子计算下安全的优势，解决现有的环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。

Claims (2)

1.一种基于多变量数字签名对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：

步骤1.生成系统参数

1）设置k=GF(q)是特征为p的有限域，其中q=p^l，l是一个正整数；

2）令

是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3）令m为多变量方程组中方程的个数，n为变量的个数；

4）选择H:{0,1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为（k,q,p,l,m,n,H）；

步骤2.密钥生成

1）假设环中有t个用户，设为U={u₀,u₁，…,u_t-1}；

2）根据多变量公钥密码体制，每个用户u_i，其中0≤i≤t-1，选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a）F_i(x₁,…,x_n)＝(f_i1,…,f_im)，其中f_ij∈k[x₁,…,x_n]，j=1,…,m；

b）任何方程组

$F_i(x_1,\·\·\·,x_n)=(y_1^{\′},\·\·\·,y_m^{\′})$

都易于求解；

3）每个用户u_i，其中0≤i≤t-1，随机选择S_i是从kⁿ到kⁿ的一个可逆仿射变换

S_i(x₁,…,x_n)=A_i·(x₁,…,x_n)^T+a_i，

其中A_i是有限域k上的一个n×n的可逆矩阵，a_i是有限域k上的一个n×1的列向量；

4）每个用户u_i，其中0≤i≤t-1，随机选择T_i是从k^m到k^m的一个可逆仿射变换

T_i(x₁,…,x_m)=B_i·(x₁,…,x_m)^T+b_i，

其中B_i是有限域k上的一个m×m的可逆矩阵，b_i是有限域k上的一个m×1的列向量；

5）每个用户u_i，其中0≤i≤t-1，公布其公钥

其中每一个

都是k[x₁，…,x_n]中的多项式；

6）每个用户u_i，其中0≤i≤t-1，保密其私钥SK_i={T_i,F_i,S_i}；

7）环中的t个用户的公钥集记为

步骤3.环签名生成

设假设成员u_x，其中0≤x≤t-1，代表环成员中所有成员U={u₀，u₁,…,u_t-1}对消息M∈{0,1}^*进行签名，环中的t个用户的公钥集记为

则签名者u_x的私钥为SK_x＝(T_x,F_x,S_x)，签名者u_x计算环签名的步骤如下：

1）签名者u_x对于i∈(0,1,…,t-1)\x随机选择a_i,b_i∈_Rkⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2）签名者u_x随机选择v∈_Rk^m，计算

v_x+1＝H(M,L,v)；

3）签名者u_x对于i＝x+1,…,t-1,0,1,…,x-1，依次计算

v_i+1 mod t=H(M,L,v_i+R_i)

得到

v_x＝H(M,L,v_x-1+R_x-1)

签名者u_x计算

R_x=v-v_x；

4）随机选择a_x∈_Rkⁿ，计算得

5）输出关于消息M关于环

的环签名

σ=(v₀,a₀,b₀,a₁,b₁,…,a_t-1,b_t-1)；

步骤4.环签名的验证

对于给定消息M关于环

的环签名σ=(v₀,a₀,b₀,a₁,b₁，…,a_t-1,b_t-1)，任何验证者对签名正确性的验证过程如下：

1）验证人对0≤i≤t-1，计算

$R_i={\stackrel{\‾}{F}}_i\left(a_i\right)+{\stackrel{\‾}{F}}_i\left(b_i\right);$

2）验证人0≤i≤t-2依次计算

v_i+1=H(M,L,v_i+R_i)

得到v_t-1；

3）验证等式

v₀＝H(M,L,v_t-1+R_t-1)

是否成立，若等式成立，则接受环签名，否则拒绝该环签名。

2.根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算从而使得消息M关于环

的环签名σ＝(v₀,a₀,b₀,a₁,b₁，…,a_t-1,b_t-1)构成了一个可以验证的封闭环。