CN102006169A - 基于有限域上二次多变量问题对消息匿名环签名的方法 - Google Patents

Abstract

本发明公开了一种基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施，生成系统参数，密钥生成，环签名生成，环签名的验证。基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于多变量公钥密码体制的环签名方法解决了现有的环签名体制在量子计算下不安全的缺陷。本发明的方法既具有安全性又具有计算效率高的优点。

Description

基于有限域上二次多变量问题对消息匿名环签名的方法

技术领域

本发明属于信息安全技术领域，涉及一种基于有限域上二次多变量问题对消息匿名环签名的方法。

背景技术

2001年，在如何匿名泄漏秘密的背景下，Rivest等人提出了一种新型签名技术，称为环签名(ring signature)。环签名可以被视为一种特殊的群签名，它没有可信中心，没有群的建立过程，这里的群是指由多个可能的签名者组成的集合，也称为环。该环的建立具有自发性，即环是由一个签名者在不需要和其它人商量的情况下建立的。对电子文档的环签名是由一个签名者代表环中全体成员签署的，但对于签名验证者来说签名者是完全匿名的。环签名提供了一种匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境中非常有用。环签名可以实现无条件匿名，即无法追踪签名人的身份。环签名的这种无条件匿名性适用于信息需要长期保护的一些特殊环境。随后，环签名引起了广泛关注，提出了各种环签名方案。2002年，Abe等人提出了第一个基于有限域上离散对数的环签名方案。最近，双线性对被用来设计环签名方案，然而，双线性对的运算效率很低。

环签名因其特有的性质，如自发性、匿名性等，使得它可以广泛地应用在匿名电子选举、机密信息的匿名泄漏、电子政务、电子商务、重要新闻的匿名发布及无线传感器网络中的匿名认证。下面简要介绍几种应用：

1)用于匿名泄漏信息。例如匿名举报一个官员腐败，为了防止官员的报复行为，保护举报者的隐私，举报者可以对举报电子文档进行环签名。反贪局在获得举报信息的真实性的同时还能不暴露举报者的真实身份。这时就可以使用环签名方案。

2)用于ad-hoc、无线传感器网络中的匿名认证。ad-hoc和无线传感器网络的无中心、自组织等特点与环签名的构造有很多相似之处。因此对于ad-hoc网络中的诸多问题，如：成员的匿名认证等，往往要求参与实体的一方在应用过程中能够保持自己身份的隐私性，都可以应用环签名来解决。

随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，进而严重威胁到现有这类基于传统密码体制的环签名的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。多变量公钥密码体制可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效，因此，多变量公钥密码学的研究成为密码学发展中很活跃的课题。

多变量公钥密码体制至今已经经历了20年的发展历程，出现了MIA族、OV族、HFE族、TTM族、MFE族、lIC族等体制。由于多变量公钥密码体制的安全性和效率更高，所以最近得到了人们的广泛关注。

多变量密码体制的发展为环签名的研究提供了新的思路，因为直到目前，还没有发现量子计算机对二次多变量方程组的求解有任何优势。

到目前为止，已经提出了各种环签名方案，但这些方案都是基于传统密码体制，例如RSA等。面对量子计算机的出现，传统密码体制受到威胁，因此，现有的环签名体制在量子计算下将不再安全。

发明内容

本发明的目的是提供一种基于有限域上二次多变量问题对消息匿名环签名的方法，解决现有的环签名体制在量子计算下不安全的缺陷。

本发明所采用的技术方案是，基于有限域上二次多变量问题对消息匿名环签名的方法，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}，签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(r_i\right);$

2)随机选取r∈kⁿ，计算

$h=H\left(M\right|\left|L\right||r+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i);$

3)计算

$R_{\mathrm{\π}}=h-\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{R}_i;$

4)计算

若r_π与r_i相同，则重新选取r；

5)令

V＝r-r_π；

6)输出消息M关于环的环签名δ＝(r₀，r₁，…r_t-1，V)；

步骤4.环签名的验证

给定环

关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V)$

是否成立，若等式成立，则接受环签名，否则拒绝该环签名。

本发明的特点还在于，

其中步骤3中，签名者计算

从而使得消息M关于环

的环签名δ＝(r₀，r₁，…r_t-1，V)构成了一个可以验证的封闭环。

基于传统密码体制的环签名方法，在量子计算机下其安全性受到威胁，而本发明基于有限域上二次多变量问题对消息匿名环签名的方法在量子计算下是安全的，本发明的方法既具有安全性又具有计算效率高的优点。

具体实施方式

本发明基于有限域上二次多变量问题对消息匿名环签名的方法，按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，l是一个正整数；

2)令

是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解。

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}。签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(r_i\right);$

2)随机选取r∈kⁿ，计算

$h=H\left(M\right|\left|L\right||r+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i);$

3)计算

$R_{\mathrm{\π}}=h-\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{R}_i;$

4)计算

若r_π与r_i相同，则重新选取r；

5)令

V＝r-r_π；

6)输出消息M关于环

的环签名δ＝(r₀，r₁，…r_t-1，V)。

步骤4.环签名的验证

给定环

关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V)$

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

下面分别对本发明的基于多变量公钥密码体制的环签名的正确性、匿名性和不可伪造性进行分析：

●正确性

本发明所提出的基于多变量的环签名是正确的。

接收方收到环

关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，若该签名是按如上步骤进行并且在传输的过程中没有改变，不难证明：

由于

所以

$R_{\mathrm{\π}}={\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r_{\mathrm{\π}}\right),$

当i＝0，…，t-1且i≠π时， $R_{\mathrm{i\π}}={\stackrel{\‾}{F}}_i\left(r_i\right),$ 因此

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{R}_i,$

又 $R_{\mathrm{\π}}=h-\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{R}_i,$ 则 $\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{R}_i=h,$

于是 $\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=h,$

而 $h=H\left(M\right|\left|L\right||r+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i)$

$=H\left(M\right|\left|L\right||r-r_{\mathrm{\π}}+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i+r_{\mathrm{\π}})$

$=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V),$

所以

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V).$

●签名者匿名性

本发明所提出的基于多变量的环签名满足签名人无条件匿名性。

只需证明，对任何一个外部攻击者A而言，即使他能获知这t个成员的私钥，A能猜中一个给定有效环签名的真正签名者的概率不超过1/t。

设签名δ＝(r₀，r₁，…r_t-1，V)是在消息M、环成员U＝{u₁，u₂，…，u_t}及其公钥集下的一个有效签名。下面计算按照本发明方案恰能计算出给定环签名δ＝(r₀，r₁，…r_t-1，V)的概率。

因为r_i是在kⁿ中随机选取的，i＝0，…，t-1且i≠π，故依次选出r₀，r₁，…，r_π-1，r_π+1，…，r_t-1的概率是而r也是kⁿ中随机选取的，通过本发明方案的步骤计算出r_π的概率为

这个值与具体的真实签名者u_π无关。另外，

即使攻击者非法获得了所有可能签名者的私钥，他依次用每个可能签名的私钥去试探，经过本发明方案步骤都可以完成环签名，所以环成员之外的任何人猜出真实签名者的概率都不超过1/t，环之内除真实签名者之外的成员猜出真实签名者的概率都不超过1/t-1。因此该方案满足无条件匿名性。

●签名不可伪造性

本发明提出的基于多变量多项式的环签名方案关于多变量公钥密码体制(MPKC)已知攻击是不可伪造的，如果在MPKC中已知攻击下，环签名方案中所选的多变量签名体制是安全的。这里MPKC中已知攻击包括代数攻击，线性化攻击，秩攻击和差分攻击等。

证明：假设由生成算法生成的密钥对

和公钥集

发送给攻击者A。A可以利用MPKC中已知攻击，如代数攻击，线性化攻击，秩攻击，差分攻击等等。A输出(R^*，M^*，σ^*)，如果

成立，攻击成功。在这个过程中，A不能询问(*，M^*，σ^*)，并且

我们现在分析A输出伪造的环签名(R^*，M^*，σ^*)的计算复杂度。我们假设攻击者A模仿签名者u_π伪造关于环R^*的环签名(R^*，M^*，σ^*)，不是一般性，假设攻击者A按照环签名生成中步骤1)，2)，3)进行计算，但是为了伪造某个消息M的签名，需要通过求得r_π，满足

$R_{\mathrm{\π}}={\stackrel{\‾}{F}}_{\mathrm{\π}}\left(r_{\mathrm{\π}}\right),$

来伪造环签名δ＝(r₀，r₁，…r_t-1，V)。这个问题的求解属于有限域上多变量二次多项式方程组的求解问题，也是多变量公钥密码体制所基于的困难问题。目前对多变量公钥密码体制的攻击有以下几个方法：

1)直接代数攻击：针对多变量公钥密码体制的代数攻击是指在不知道私钥的情况下直接从二次方程

中求解密文r_π。

基算法和XL算法是最有效的代数攻击方法。假如本方案中所选取的实际多变量公钥密码体制可以抵抗直接代数攻击，本发明中的环签名也可以抵抗直接代数攻击。

2)线性化方程攻击：一个线性化方程是指对给定的公钥

总有下面的等式成立：

$\underset{i,j}{\mathrm{\Σ}}{a}_{\mathrm{ij}}{r}_{\mathrm{\π},i}{R}_{\mathrm{\π},j}+\underset{i}{\mathrm{\Σ}}{b}_i{r}_{\mathrm{\π},i}+\underset{j}{\mathrm{\Σ}}{c}_j{R}_{\mathrm{\π},j}+d=0$

把R_π∈k^m的具体值代入上式，我们得到R_π和r_π的一个仿射(线性)关系。假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用线性化方程攻击对进行攻击，本发明中的环签名也可以抵抗线性化方程攻击。

3)秩攻击：Goubin和Courtois指出最小秩攻击适用于三角-加-减体制。秩攻击的复杂度大约

其中k是F_π分量中最小秩为r的线性组合的数目。

假如本方案中所选取的实际多变量公钥密码体制可以抵抗利用最小秩攻击，则本发明中的环签名也可以抵抗最小秩攻击。

4)差分攻击：给出一个多变量公钥密码体制的公钥一组二次多项式，它的差分

定义为

这是一组关于x的函数。关键是利用差分中的隐藏结构来攻击多变量公钥密码体制。假如本方案中所选取的实际多变量公钥密码体制可以抵抗差分攻击，则本发明中的环签名也可以抵抗差分攻击。

由以上证明知，如若我们所选取多变量公钥密码体制在现有的对MPKC攻击下是安全的，则本发明的环签名在现有的对MPKC攻击下也是安全的。

实施例

基于多变量公钥密码oil-vinegar签名体制的环签名方案

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p＝2的有限域，其中q＝2⁸；

2)令o＝30，v＝64，m＝30为多变量方程组中方程的个数，n＝o+v＝94为变量的个数；

3)选择H：{0，1}^*→k³⁰为密码学安全的抗碰撞单向不可逆哈希函数。

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}，根据多变量公钥密码体制，每个用户u_i(0≤i≤t-1)随机选择F_i是从kⁿ到k^m的可逆Oil-Vinegar多项式映射，Oil-Vinegar多项式具有如下形式：

$F_i=\underset{l=1}{\overset{o}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{a}_{\mathrm{ilj}}{x}_l{\hat{x}}_j+\underset{l=1}{\overset{v}{\mathrm{\Σ}}}\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{b}_{\mathrm{ilj}}{\hat{x}}_l{\hat{x}}_j+\underset{l=1}{\overset{o}{\mathrm{\Σ}}}{c}_{\mathrm{il}}{x}_l+\underset{j=1}{\overset{v}{\mathrm{\Σ}}}{d}_{\mathrm{ij}}{\hat{x}}_j+e_i$

其中a_ilj，b_ilj，c_il，d_ij，e_i∈k；

2)每个用户u_i(0≤i≤t-1)随机选择L_i是从kⁿ到kⁿ的一个可逆仿射变换

$L_i({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)=M_i\·{({\hat{x}}_1,\·\·\·,{\hat{x}}_v,x_1,\·\·\·,x_o)}^T+a_i,$

其中M_i是有限域k上的一个n×n的可逆矩阵，a_i有限域k上的一个n×1的列向量；

3)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

4)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{F_i，L_i}；

5)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M∈{0，1}^*进行签名，环中的t个用户的公钥集记为

u_π的公钥为私钥为SK_π＝{F_π，L_π}。签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(r_i\right);$

2)随机选取r∈kⁿ，计算

$h=H\left(M\right|\left|L\right||r+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i);$

3)计算

$R_{\mathrm{\π}}=h-\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{R}_i\∈k^o;$

4)随机选择

以(x₁，…，x_o)为变量求解线性方程组

$F_{\mathrm{\π}}({\hat{x}}_1^{\′},\·\·\·,{\hat{x}}_v^{\′},x_1,\·\·\·,x_o)=R_{\mathrm{\π}},$

若该方程组无解，另外选取一个

重新求解，

令所求得的解为

记为

${\tilde{r}}_{\mathrm{\π}}=F_{\mathrm{\π}}^{-1}\left(R_{\mathrm{\π}}\right),$

计算

$r_{\mathrm{\π}}=L_{\mathrm{\π}}^{-1}({\tilde{r}}_{\mathrm{\π}},{\hat{x}}_1^{\′},\·\·\·,{\hat{x}}_v^{\′}),$

若r_π与r_i相同，则重新选取

重新计算；

5)令

V＝r-r_π；

6)输出消息M关于环

的环签名δ＝(r₀，r₁，…r_t-1，V)。

步骤4.环签名的验证

给定环

的关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证：

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V)$

是否成立。若等式成立，则接受环签名，否则拒绝该环签名。

本发明针对量子计算机的出现，传统密码体制受到威胁，利用基于多变量公钥密码在量子计算下安全的优势，解决现有的环签名体制在量子计算下将不再安全的缺陷。发明的基于多变量公钥密码体制的环签名方案，满足签名者的无条件匿名性和不可伪造性，在效率上优于传统密码体制。

本发明提供电子文档的环数字签名，可以用来保护电子文档在发布、存储或传输中的完整性、真实性的安全保护；同时，又可以保护签名者的匿名性，以保证签名用户的信息不暴露，在该签名通过验证的情况下，使签名的验证者可以确信该签名是由多个用户组成的一个环中的某个成员签名的，但是验证者不能确认该签名到底是由哪一个成员签名的，每个成员签名的概率是相等的。

Claims (2)

1.基于有限域上二次多变量问题对消息匿名环签名的方法，其特征在于，该方法按照以下步骤实施：

步骤1.生成系统参数

1)设置k＝GF(q)是特征为p的有限域，其中q＝p^l，k是一个正整数；

2)令

是有限域k的n次扩张，这里n是一个正整数，g(x)是有限域k上的一个n次不可约多项式；

3)令m为多变量方程组中方程的个数，n为变量的个数；

4)选择H：{0，1}^*→k^m为密码学安全的抗碰撞单向不可逆哈希函数，系统参数为(k，q，p，l，m，n，H)；

步骤2.密钥生成

1)假设环中有t个用户，设为U＝{u₀，u₁，…，u_t-1}；

2)根据多变量公钥密码体制，每个用户u_i(0≤i≤u-1)选择F_i是从kⁿ到k^m的可逆映射，F_i满足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每个用户u_i(0≤i≤t-1)随机选择L_1i是从k^m到k^m的一个可逆仿射变换

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一个m×m的可逆矩阵，a_1i是有限域k上的一个m×1的列向量；

4)每个用户u_i(0≤i≤t-1)随机选择L_2i是从kⁿ到kⁿ的一个可逆仿射变换

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一个n×n的可逆矩阵，a_2i是有限域k上的一个n×1的列向量；

5)每个用户u_i(0≤i≤t-1)公布其公钥

${\stackrel{\‾}{F}}_i(x_1,\·\·\·,x_n)=({\stackrel{\‾}{f}}_{i1},\·\·\·,{\stackrel{\‾}{f}}_{\mathrm{im}})$

其中每一个

都是k[x₁，…，x_n]中的多项式；

6)每个用户u_i(0≤i≤t-1)保密其私钥SK_i＝{L_1i，F_i，L_2i}；

7)环中的t个用户的公钥集记为

步骤3.环签名生成

假设成员u_π(0≤π≤t-1)代表环成员中所有成员U＝{u₀，u₁，…，u_t-1}对消息M进行签名，环中的t个用户的公钥集记为

u_π的公钥为

私钥为SK_π＝{L_1π，F_π，L_2π}，签名者u_π计算环签名的步骤如下：

1)对于i＝0，…，t-1且i≠π，随机选取两两互异的r_i∈kⁿ，计算

$R_i={\stackrel{\‾}{F}}_i\left(r_i\right);$

2)随机选取r∈kⁿ，计算

$h=H\left(M\right|\left|L\right||r+\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{r}_i);$

3)计算

$R_{\mathrm{\π}}=h-\underset{i\≠\mathrm{\π}}{\mathrm{\Σ}}{R}_i;$

4)计算

若r_π与r_i相同，则重新选取r；

5)令

V＝r-r_π；

6)输出消息M关于环

的环签名δ＝(r₀，r₁，…r_t-1，V)；

步骤4.环签名的验证

给定环

关于消息M的签名δ＝(r₀，r₁，…r_t-1，V)，任何验证者验证

$\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{\stackrel{\‾}{F}}_i\left(r_i\right)=H\left(M\right|\left|L\right||\underset{i=0}{\overset{t-1}{\mathrm{\Σ}}}{r}_i+V)$

是否成立，若等式成立，则接受环签名，否则拒绝该环签名。

2.根据权利要求1所述的方法，其特征在于，该方法步骤3中，签名者计算

从而使得消息M关于环

的环签名δ＝(r₀，r₁，…r_t-1，V)构成了一个可以验证的封闭环。