CN102340483A - 民主群签名的生成、验证、追踪方法和民主群签名系统 - Google Patents

Abstract

本发明涉及一种民主群签名的生成、验证、追踪方法和民主群签名系统。所述民主群签名的生成方法包括所有群成员根据可信中心生成的公开参数，生成公钥和私钥；签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对消息的数字签名；所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名。本发明可以提供宽严适度、可以定制的追踪能力。

Description

民主群签名的生成、验证、追踪方法和民主群签名系统

技术领域

本发明涉及通信技术领域，尤其涉及一种民主群签名的生成、验证、追踪方法和民主群签名系统。

背景技术

近年来，计算机网络技术和通信技术的发展带动了组通信技术的迅速发展，基于组通信技术的应用系统也不断涌现，群体用户如何在不安全信道上实现满足相应安全属性的通信，就成为了不可避免的问题，面向多方参与的群体密码协议自然成为了群体通信的技术保证。认证性是密码学研究的重要课题之一，主要通过数字签名技术实现，随着应用需求的广泛延伸，传统的面向两方参与的数字签名体制正在朝面向多方参与的群体签名体制扩展。

一般地，一个群体可能呈现出不同的结构、形式和权利，各个成员之间存在复杂的关系，因此群体安全服务的实施比对个人安全服务的实施更为复杂。群签名就是一种特殊的数字签名体制，一个群签名方案一般包含一个群管理者和若干群成员，他们一起构成的集合称为群。群管理者负责产生系统参数、群公钥、群私钥，同时要为群成员产生签名私钥或是群成员身份证书，群成员用自己掌握的签名私钥代表整个群体进行匿名签名；验证者只能验证签名是由群体中的某个成员签的，但不能确定是哪个成员，此即群签名的匿名性；在发生争端的情况下群管理者可以打开签名来揭露签名成员的身份，使得签名成员不能否认自己的签名行为，此即群签名的追踪性。群签名是一种同时提供匿名性和可追踪性的技术，其匿名性可为合法用户提供匿名保护，其可追踪性又使得可信机构可以追踪违法行为。

群签名的概念于1991年提出，自从群签名的概念出现以来，研究者基于不同的困难假设构造了许多群签名体制。然而，这些体制均存在一个共同的不足：系统必须使用一个可信的群管理者才可实现追踪性。一旦这个集权式的群管理者不可信，整个系统的安全性无从保障。

针对上述不足，2006年提出了民主群签名的概念，在一个民主群签名体制中不存在群管理者，仅由若干个成员一起构成群，群中任意成员可以利用自己的私钥代表该群产生群签名，在发生争端的情况下，群中任一成员可以对给定的民主群签名执行追踪操作，以揭露产生该签名的真正群成员的身份，但群体中任一成员都能够执行追踪操作，这是一个非常宽松的要求，很容易带来滥用追踪能力等问题。2009年又提出一种具有群体追踪性的民主群签名方案，在该方案中，给定一个民主群签名，所有群成员一起协作可以恢复出签名成员的真实身份，但是民主群签名的群体追踪性需要所有群成员均参与进来，这个要求过于严格。

发明内容

本发明提供一种民主群签名的生成、验证、追踪方法和民主群签名系统，用以实现提供宽严适度、可以定制的追踪能力。

本发明提供一种民主群签名的生成方法，包括：

所有群成员根据可信中心生成的公开参数，生成公钥和私钥；

签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对消息的数字签名；

所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名。

本发明还提供一种民主群签名的验证方法，包括：

接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；

当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名。

本发明还提供一种民主群签名的追踪方法，包括：

t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；

当所述数字签名有效时，根据所述t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

本发明还提供一种民主群签名的生成装置，包括：

密钥生成模块，用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥；

秘密共享数据生成模块，用于签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

数字签名生成模块，用于所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对所述消息的数字签名；

民主群签名发送模块，用于所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名。

本发明还提供一种民主群签名的验证装置，包括：

民主群签名解析模块，用于接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

秘密共享数据验证模块，用于根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；

数字签名验证模块，用于当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名。

本发明还提供一种民主群签名的追踪装置，包括：

民主群签名解析模块，用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

民主群签名验证模块，用于所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；

签名成员获取模块，用于当所述数字签名有效时，根据t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

本发明还提供一种民主群签名系统，包括民主群签名的生成装置、民主群签名的验证装置和民主群签名的追踪装置，其中：

所述民主群签名的生成装置用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥；签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对消息的数字签名；所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名；

所述民主群签名的验证装置用于接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名；

所述民主群签名的追踪装置用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；当所述数字签名有效时，根据所述t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

在本发明中，在一个由n个群成员构成的群体中，给定某个民主群签名，仅当不少于t个群成员一起协作计算才能够追踪出产生该民主群签名的签名成员的真实身份，从而避免了追踪能力滥用的可能性，亦避免了群体追踪性的过于严格的要求，提供了宽严适度的追踪能力，另外，不同的应用系统可以根据安全需要自适应地定制门限值t的大小。

附图说明

图1为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的生成方法的流程示意图；

图2为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的验证方法的流程示意图；

图3为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的追踪方法的流程示意图；

图4为本发明民主群签名系统实施例的结构示意图；

图5为本发明民主群签名的生成装置第一实施例的结构示意图；

图6为本发明民主群签名的验证装置第一实施例的结构示意图；

图7为本发明民主群签名的追踪装置第一实施例的结构示意图。

具体实施方式

下面结合说明书附图和具体实施方式对本发明作进一步的描述。

在下述所有实施例中，n个成员构成一个群体U，群体U＝{ID₁，ID₂，...，ID_n}，其中，n为大于或等于1的自然数，ID_i为群成员的身份，i＝1，2，…，n。

民主群签名的生成、验证和追踪方法第一实施例

本实施例提供一种民主群签名的生成方法，如图1所示，为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的生成方法的流程示意图，可以包括如下步骤：

步骤11、所有群成员ID_i生成公钥和私钥；

具体地，可信中心生成的公开参数，由所有群成员共享，群成员ID_i根据可信中心生成的公开参数，生成公钥和私钥，其中，公钥在可信中心处注册并公开，私钥由群成员自己秘密保存，可信中心及各个群成员均可以视为处理或联合处理特定操作步骤的计算机或节点；

步骤12、签名成员ID_k执行秘密共享；

具体地，1≤k≤n，群体U中的某一个群成员ID_k作为签名成员代表群体U对消息产生民主群签名，签名成员ID_k根据公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所有群成员个数的下限值，n为所有群成员的个数，该秘密共享数据公开可验证；

步骤13、签名成员ID_k生成对消息的数字签名；

具体地，签名成员ID_k根据签名成员的私钥、秘密值、公开参数和所有群成员的公钥，生成对消息的数字签名；

步骤14、签名成员ID_k发送消息的民主群签名；

具体地，该民主群签名为一个二元组，包括秘密共享数据和数字签名。

本实施例还提供一种民主群签名的验证方法，如图2所示，为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的验证方法的流程示意图，可以包括如下步骤：

步骤21、签名接收者解析民主群签名；

具体地，签名接收者接收到群体U对消息生成的民主群签名后，解析该民主群签名，得到秘密共享数据和对消息的数字签名；

步骤22、签名接收者验证秘密共享数据是否有效，若秘密共享数据有效，执行步骤23，若秘密共享数据无效，结束流程；

具体地，签名接收者根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据；

步骤23、签名接收者验证数字签名是否有效，若数字签名有效，执行步骤24，若数字签名无效，结束流程；

具体地，当签名接收者验证秘密共享数据有效时，签名接收者根据所有群成员的公钥和公开参数，验证数字签名。

步骤24、签名接收者接受该民主群签名。

本实施例还提供一种民主群签名的追踪方法，用于在签名成员的身份发生争端的情况下，由群体U中若干个群成员协作交互，恢复出产生该民主群签名的签名成员的身份，该若干个群成员成为签名验证者，签名验证者的个数为t，t为所有群成员个数的下限值。如图3所示，为本发明民主群签名的生成、验证和追踪方法第一实施例中民主群签名的追踪方法的流程示意图，可以包括如下步骤：

步骤31、t个签名验证者解析民主群签名；

具体地，t个签名验证者接收并解析消息的民主群签名，得到对秘密共享数据和对消息的数字签名；

步骤32、t个签名验证者验证民主群签名是否有效，若民主群签名有效，执行步骤33，若民主群签名无效，结束流程；

具体地，签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据，当秘密共享数据有效时，根据所有群成员的公钥和公开参数，验证数字签名，该过程与图2中步骤22-24相同，在此不再赘述；

步骤33、任一签名验证者获取签名成员的公钥；

具体地，当t个签名验证者验证数字签名有效时，t个签名验证者根据t个签名验证者的私钥和秘密共享数据，重构秘密值，任一签名验证者根据秘密值和数字签名，获取签名成员的公钥。

在本实施例中，在一个由n个群成员构成的群体中，给定某个民主群签名，仅当不少于t个群成员一起协作计算才能够追踪出产生该民主群签名的签名成员的真实身份，从而避免了追踪能力滥用的可能性，亦避免了群体追踪性的过于严格的要求，提供了宽严适度的追踪能力，另外，不同的应用系统可以根据安全需要自适应地定制门限值t的大小。

民主群签名的生成、验证和追踪方法第二实施例

本实施例提供一种民主群签名的生成方法，该方法的流程示意图与图1所示流程示意图相同，下面详细介绍图1所示流程示意图中各个步骤。

在步骤11中，可信中心生成的公开参数包括G、q、g、h和H，其中，q是长为λ比特的素数，λ为预设的安全参数，G为q阶乘法循环群，g和h为G上的任意两个生成元，H：{0，1}^*→Z_q为密码学意义上安全的哈希函数，H将{0，1}^*映射到Z_q，其中，Z_q＝{0，1，...，q-1}。群成员ID_i选取随机数x_i∈Z_q作为私钥，计算

作为其公钥，群成员ID_i将自己的公钥公开注册于可信中心以便其他群成员可以在可信中心处检索。

在步骤12中，群体U中的每个群成员均有权以群体的名义对任意消息m产生民主群签名，例如：合资企业的某个成员要代表合资企业发布支付现金命令，签名成员ID_k以秘密分发者的身份执行一个公开可验证的秘密共享方案，实现对秘密值h^s的(t，n)秘密分发，具体可以包括如下步骤：

步骤121、签名成员ID_k在集合Z_q中选择随机数s，w_i，1≤i≤n和一个Z_q上常数项为s的t-1次随机多项式

满足条件α₀＝s，签名成员ID_k计算并广播自己对该多项式的承诺，即

1≤j≤t-1，利用这些承诺值计算

i＝1，2，...，n其中，τ₀＝τ；

步骤122、为使得群成员最终能够恢复出秘密值h^s，该签名成员ID_k计算多项式值p(i)并用该值加密第i个成员的公钥，即计算并公布ηi＝y_i ^p(i)，1≤i≤n；

步骤123、签名成员ID_k利用所选择的随机数、所有群成员的公钥及公开参数计算

利用所选择的哈希函数计算哈希值e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)，并由该哈希值和多项式值获得响应值r_i＝w_i-p(i)e，1≤i≤n；

步骤123、签名成员ID_k置秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)。

签名成员对不同的消息执行民主群签名操作时，需要使用不同的随机数s以便在群体U中分发不同的秘密值h^s。

通过上述步骤121-123，任何人在收到秘密共享数据share后都能够确信秘密分发者是正确地产生了其输出结果，秘密分发者要想欺骗秘密接收者接受一个假秘密值在计算上是不可行的。

步骤13可以包括如下步骤：

步骤131、签名成员ID_k使用公开参数、自己的公钥和私钥以及共享的秘密值计算c＝h^sy_k；

步骤132、签名成员ID_k选择随机数r_k，z_i，ρ_i∈Z_q，i＝1，2，...，n，i≠k，并计算承诺值

和挑战值

z_k＝r_k-ρ_k(s+x_k)，签名成员ID_k置数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。

签名成员在群体U中分发的秘密值h^s以及其中的随机数s在签名过程中均被使用到，对不同的消息执行签名时使用的整数s应该是随机的，否则公开可验证的秘密共享数据与签名成员使用自己的私钥计算数字签名就是相互孤立开来的，这容易带来潜在攻击。

在步骤131-132中，签名成员以自己的私钥和群体U中所有成员的公钥计算出数字签名sig，这种方法使得任意签名接收者获得数字签名sig后能够确信是群体U产生了该签名，但是要想精确知晓群体U中哪个成员产生了数字签名sig在计算上是不可行的。由于签名成员在计算中使用了自己的私钥，而这个私钥只有他自己才知道，所以不知道该私钥的人无法产生这样的数字签名。

本实施例还提供一种民主群签名的验证方法，该方法的流程示意图与图2所示流程示意图相同，下面详细介绍图2所示流程示意图中各个步骤。

在步骤21中，秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。

在步骤22中，验证秘密共享数据是否有效：签名接收者利用签名成员对多项式的承诺值计算

其中，τ₀＝τ，进而重构

最后检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若等式成立，则秘密共享数据有效，若等式不成立，则秘密共享数据无效。

在步骤23中，验证数字签名是否有效：签名接收者利用所有群成员的公钥重构承诺值

i＝1，2，...，n，最后检查等式

是否成立，若等式不成立，则数字签名无效，拒绝该民主群签名，若等式成立，则数字签名有效，接受该民主群签名。

任意签名接收者均可以判定上述民主群签名生成方法中输出的民主群签名是否确实是由群体U中的某个群成员代表整个群体U产生的。但是，由于在这一验证过程中群体U中所有成员的地位都是对称的，所以，签名接收者并不能确切知道群体U中的哪一个成员产生了这个民主群签名，这正是本方案能够提供签名者匿名性的原因。

本实施例还提供一种民主群签名的追踪方法，该方法的流程示意图与图3相同，下面详细介绍图3所示流程示意图中各个步骤。

在步骤31中，秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。

在步骤32中，验证秘密共享数据是否有效：t个签名验证者利用签名成员对多项式的承诺值计算

其中，τ₀＝τ，进而重构

最后检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若等式成立，则秘密共享数据有效，若等式不成立，则秘密共享数据无效。验证数字签名是否有效：t个签名验证者利用所有群成员的公钥重构承诺值i＝1，2，...，n，最后检查等式

是否成立，若等式不成立，则数字签名无效，若等式成立，则数字签名有效。

在步骤33中，t个签名验证者ID_i(i＝1，...，t)利用自己的私钥为输入计算并公布

t个签名验证者ID_i(i＝1，...，t)根据t个签名验证者ID_i(i＝1，...，t)广播的数据ξ_i执行拉格朗日插值运算，即计算

i＝1，...，t，重构出由签名成员分发的秘密值

t个签名验证者ID_i(i＝1，...，t)中任一签名验证者利用该秘密值执行解密运算并恢复出签名成员的身份；该解密运算指的是t个签名验证者ID_i(i＝1，...，t)中的任一成员都可以利用恢复出的秘密值的逆元μ^-1与密文c做乘积运算y＝cμ^-1，在群体U＝{ID₁，ID₂，...，ID_n}中查找公钥等于y的群成员即为产生该民主群签名的真正签名成员。

在本实施例中，在一个由n个群成员构成的群体中，给定某个民主群签名，仅当不少于t个群成员一起协作计算才能够追踪出产生该民主群签名的签名成员的真实身份，从而避免了追踪能力滥用的可能性，亦避免了群体追踪性的过于严格的要求，提供了宽严适度的追踪能力，另外，不同的应用系统可以根据安全需要自适应地定制门限值t的大小。

另外，本实施例不需要集权式的群管理者，只由所有群成员一起构成一个群体，所有群成员之间的地位都是对称的，从而消除了集权式的实体；本实施例中，签名成员的私钥x_k只有签名成员ID_k自己掌握，不知道私钥的人无法产生合法的民主群签名，所以群体外的用户无法产生该群体的民主群签名；在本实施例中，签名成员产生的民主群签名中含有对自己身份的加密h^sy_k，如果他加密的是错误的身份信息，则签名无法通过验证，所以避免群体中的任一成员假冒群体中的其他成员产生一个有效的民主群签名。

民主群签名系统实施例

如图4所示，为本发明民主群签名系统实施例的结构示意图，可以包括民主群签名的生成装置41、民主群签名的验证装置42和民主群签名的追踪装置43，民主群签名的生成装置41与民主群签名的验证装置42连接，民主群签名的追踪装置43与民主群签名的验证装置42和民主群签名的生成装置41连接。

民主群签名的生成装置41用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥；签名成员根据公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所有群成员个数的下限值，n为所有群成员的个数；签名成员根据签名成员的私钥、秘密值、公开参数和所有群成员的公钥，生成对消息的数字签名；签名成员发送消息的民主群签名，民主群签名包括秘密共享数据和数字签名。

民主群签名的验证装置42用于接收并解析消息的民主群签名，得到秘密共享数据和对消息的数字签名；根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据；当秘密共享数据有效时，根据所有群成员的公钥和公开参数，验证数字签名。

民主群签名的追踪装置43用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对消息的数字签名；t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据，当秘密共享数据有效时，t个签名验证者根据所有群成员的公钥和公开参数，验证数字签名；当数字签名有效时，根据t个签名验证者的私钥和秘密共享数据，重构秘密值，任一签名验证者根据秘密值和数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

在本实施例中，在一个由n个群成员构成的群体中，给定某个民主群签名，仅当不少于t个群成员一起协作计算才能够追踪出产生该民主群签名的签名成员的真实身份，从而避免了追踪能力滥用的可能性，亦避免了群体追踪性的过于严格的要求，提供了宽严适度的追踪能力，另外，不同的应用系统可以根据安全需要自适应地定制门限值t的大小。

民主群签名的生成装置第一实施例

如图5所示，为本发明民主群签名的生成装置第一实施例的结构示意图，可以包括密钥生成模块411、秘密共享数据生成模块412、数字签名生成模块413和民主群签名发送模块414。秘密共享数据生成模块412与密钥生成模块411连接，数字签名生成模块413与秘密共享数据生成模块412和密钥生成模块411连接，民主群签名发送模块414与密钥生成模块411和秘密共享数据生成模块412连接。

其中，密钥生成模块411用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥。秘密共享数据生成模块412用于签名成员根据公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所有群成员个数的下限值，n为所有群成员的个数。数字签名生成模块413用于签名成员根据签名成员的私钥、秘密值、公开参数和所有群成员的公钥，生成对消息的数字签名。民主群签名发送模块414用于签名成员发送消息的民主群签名，民主群签名包括秘密共享数据和数字签名。

民主群签名的验证装置第一实施例

如图6所示，为本发明民主群签名的验证装置第一实施例的结构示意图，可以包括民主群签名解析模块421、秘密共享数据验证模块422和数字签名验证模块423。秘密共享数据验证模块422与民主群签名解析模块421连接，数字签名验证模块423与秘密共享数据验证模块422连接。

民主群签名解析模块421用于接收并解析消息的民主群签名，得到秘密共享数据和对消息的数字签名。秘密共享数据验证模块422用于根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据。数字签名验证模块423用于当秘密共享数据有效时，根据所有群成员的公钥和公开参数，验证数字签名。

民主群签名的追踪装置第一实施例

如图7所示，为本发明民主群签名的追踪装置第一实施例的结构示意图，可以包括民主群签名解析模块431、民主群签名验证模块432和签名成员获取模块433，民主群签名验证模块432与民主群签名解析模块431连接，签名成员获取模块433与民主群签名验证模块432和民主群签名解析模块431连接。

民主群签名解析模块431用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对消息的数字签名。

民主群签名验证模块432用于t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证秘密共享数据，当秘密共享数据有效时，t个签名验证者根据所有群成员的公钥和公开参数，验证数字签名。

签名成员获取模块433用于当数字签名有效时，根据t个签名验证者的私钥和秘密共享数据，重构秘密值，任一签名验证者根据秘密值和数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

民主群签名的生成装置第二实施例

在本实施例中，民主群签名的生成装置的结构示意图与图5相同，在上一实施例的基础上，可信中心生成的公开参数包括G、q、g、h和H，其中，q是长为λ比特的素数，λ为预设的安全参数，G为q阶乘法循环群，g和h为G上的任意两个生成元，H：{0，1}*→Z_q为密码学意义上安全的哈希函数，H将{0，1}^*映射到Z_q，其中，Z_q＝{0，1，...，q-1}。

在本实施例中，在密钥生成模块411中，群成员ID_i选取随机数x_i∈Z_q作为私钥，计算作为其公钥，群成员ID_i将自己的公钥公开注册于可信中心以便其他群成员可以在可信中心处检索。

在秘密共享数据生成模块412中，群体U中的某一个群成员ID_k作为签名成员代表群体U对消息m产生民主群签名，1≤k≤n，例如：合资企业的某个成员要代表合资企业发布支付现金命令，签名成员ID_k以秘密分发者的身份执行一个公开可验证的秘密共享方案，实现对秘密值h^s的(t，n)秘密分发，具体地，签名成员ID_k在集合Z_q中选择随机数s，w_i，1≤i≤n和一个Z_q上常数项为s的t-1次随机多项式

满足条件α₀＝s，签名成员ID_k计算并广播自己对该多项式的承诺，即

1≤j≤t-1，利用这些承诺值计算

i＝1，2，...，n，其中，τ₀＝τ；为使得群成员最终能够恢复出秘密值h^s，该签名成员ID_k计算多项式值p⁽ⁱ⁾并用该值加密第i个成员的公钥，即计算并公布η_i＝y_i ^p(i)，1≤i≤n；签名成员ID_k利用所选择的随机数、所有群成员的公钥及公开参数计算

利用所选择的哈希函数计算哈希值e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)，并由该哈希值和多项式值获得响应值r_i＝w_i-p(i)e，1≤i≤n；签名成员ID_k置秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)。

在数字签名生成模块413中，签名成员ID_k使用公开参数、自己的公钥和私钥以及共享的秘密值计算c＝h^sy_k；签名成员ID_k选择随机数r_k，z_i，ρ_i∈Z_q，i＝1，2，...，n，i≠k，并计算承诺值

和挑战值z_k＝r_k-ρ_k(s+x_k)，签名成员ID_k置数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。

民主群签名的验证装置第二实施例

在本实施例中，民主群签名的验证装置与图6所示结构示意图相同，在上一实施例的基础上，民主群签名解析模块421解析出的秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。秘密共享数据验证模块422利用签名成员对多项式的承诺值计算i＝1，2，...，n，其中，τ₀＝τ，进而重构

最后检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若等式成立，则秘密共享数据有效，若等式不成立，则秘密共享数据无效。数字签名验证模块423利用所有群成员的公钥重构承诺值

i＝1，2，...，n，最后检查等式

是否成立，若等式不成立，则数字签名无效，若等式成立，则数字签名有效。

民主群签名的追踪装置第二实施例

在本实施例中，民主群签名的追踪装置与图7所示结构示意图相同，在上一实施例的基础上，在民主群签名解析模块431中，秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)。

在民主群签名验证模块432中，t个签名验证者利用签名成员对多项式的承诺值计算

其中，τ₀＝τ，进而重构

最后检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若等式成立，则秘密共享数据有效，若等式不成立，则秘密共享数据无效。验证数字签名是否有效：t个签名验证者利用所有群成员的公钥重构承诺值

i＝1，2，...，n，最后检查等式

是否成立，若等式不成立，则数字签名无效，若等式成立，则数字签名有效。

在签名成员获取模块433中，t个签名验证者ID_i(i＝1，...，t)利用自己的私钥为输入计算并公布t个签名验证者ID_i(i＝1，...，t)根据t个签名验证者ID_i(i＝1，...，t)广播的数据ξ_i执行拉格朗日插值运算，即计算

i＝1，...，t，重构出由签名成员分发的秘密值

t个签名验证者ID_i(i＝1，...，t)中任一签名验证者利用该秘密值执行解密运算并恢复出签名成员的身份；该解密运算指的是t个签名验证者ID_i(i＝1，...，t)中的任一成员都可以利用恢复出的秘密值的逆元μ^-1与密文c做乘积运算y＝cμ^-1，在群体U＝{ID₁，ID₂，...，ID_n}中查找公钥等于y的群成员即为产生该民主群签名的真正签名成员。

在本发明实施例中，在一个由n个群成员构成的群体中，给定某个民主群签名，仅当不少于t个群成员一起协作计算才能够追踪出产生该民主群签名的签名成员的真实身份，从而避免了追踪能力滥用的可能性，亦避免了群体追踪性的过于严格的要求，提供了宽严适度的追踪能力，另外，不同的应用系统可以根据安全需要自适应地定制门限值t的大小。

另外，本发明实施例不需要集权式的群管理者，只由所有群成员一起构成一个群体，所有群成员之间的地位都是对称的，从而消除了集权式的实体；本发明实施例中，签名成员的私钥x_k只有签名成员ID_k自己掌握，不知道私钥的人无法产生合法的民主群签名，所以群体外的用户无法产生该群体的民主群签名；在本发明实施例中，签名成员产生的民主群签名中含有对自己身份的加密h^sy_k，如果他加密的是错误的身份信息，则签名无法通过验证，所以避免群体中的任一成员假冒群体中的其他成员产生一个有效的民主群签名。

本发明所述的技术方案并不限于具体实施方式中所述的实施例。本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。

Claims (21)

1.一种民主群签名的生成方法，其特征在于，包括：

所有群成员根据可信中心生成的公开参数，生成公钥和私钥；

签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对消息的数字签名；

所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名。

2.根据权利要求1所述的方法，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述生成公钥和私钥包括：

选取随机数x_i∈_q作为私钥，计算

作为公钥，其中，i＝1，2，...，n。

3.根据权利要求2所述的方法，其特征在于，所述秘密值为h^s，所述签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据包括：

所述签名成员在z_q上选择随机数s，w_i，1≤i≤n，生成随机多项式

其中，α₀＝s；

所述签名成员计算并公布对所述随机多项式的承诺值

和

1≤j≤t-1，利用所述承诺值计算

i＝1，2，...，n，其中，τ₀＝τ；

所述签名成员计算所述随机多项式的值p(i)，根据所述随机多项式的值，按照如下公式加密各群成员的公钥y_i：η_i＝y_i ^p(i)，1≤i≤n；

所述签名成员计算

计算哈希值e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)，根据所述哈希值和所述随机多项式的值，获得响应值r_i＝w_i-p(i)e，1≤i≤n；

所述秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)。

4.根据权利要求3所述的方法，其特征在于，所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对所述消息的数字签名包括：

所述签名成员计算c＝h^sy_k，k为所述签名成员的顺序号；

所述签名成员选择随机数r_k，z_i，ρ_i∈Z_q，i＝1，2，...，n，i≠k，计算承诺值

和挑战值

z_k＝r_k-ρ_k(s+x_k)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，m为所述消息。

5.一种民主群签名的验证方法，其特征在于，包括：

接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；

当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名。

6.根据权利要求5所述的方法，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据包括：

计算

i＝1，2，...，n，其中τ₀＝τ，重构

其中，y_i为所有成员的公钥；

检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若所述等式成立，所述秘密共享数据有效，若所述等式不成立，所述秘密共享数据无效。

7.根据权利要求6所述的方法，其特征在于，所述根据所有群成员的公钥和所述公开参数，验证所述数字签名包括：

根据所有群成员的公钥，重构承诺值

检查等式

是否成立，若所述等式成立，所述数字签名有效，若所述等式不成立，所述数字签名无效；

其中，i＝1，2，...，n，Y_i为各群成员的公钥。

8.一种民主群签名的追踪方法，其特征在于，包括：

t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；

当所述数字签名有效时，根据所述t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

9.根据权利要求8所述的方法，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据包括：

所示t个签名验证者计算

i＝1，2，...，n其中τ₀＝τ，重构

其中，y_i为各群成员的公钥；

所述t个签名验证者检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若所述等式成立，所述秘密共享数据有效，若所述等式不成立，所述秘密共享数据无效；

所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名包括：

所述t个签名验证者根据所有群成员的公钥，重构承诺值

$u_i={\left(\mathrm{gh}\right)}^{z_i}{\left(\mathrm{\τc}{Y}_i\right)}^{{\mathrm{\ρ}}_i};$

所述t个签名验证者检查等式

是否成立，若所述等式成立，所述数字签名有效，若所述等式不成立，所述数字签名无效；

其中，i＝1，2，...，n，Y_i为各群成员的公钥。

10.根据权利要求9所述的方法，其特征在于，所述t个签名验证者根据签名验证者的私钥和所述秘密共享数据，重构秘密值包括：

所述t个签名验证者计算并公布

i＝1，2，...，t，其中，k为所述签名验证者的顺序号，x_k为所述签名验证者的私钥；

所述t个签名验证者计算重构秘密值

任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥包括：

任一签名验证者根据所述秘密值和所述数字签名，计算得到签名成员的公钥y＝cμ^-1。

11.一种民主群签名的生成装置，其特征在于，包括：

密钥生成模块，用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥；

秘密共享数据生成模块，用于签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

数字签名生成模块，用于所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对所述消息的数字签名；

民主群签名发送模块，用于所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名。

12.根据权利要求11所述的装置，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述密钥生成模块用于选取随机数x_i∈Z_q作为私钥，计算

作为公钥，其中，i＝1，2，...，n。

13.根据权利要求12所述的装置，其特征在于，所述秘密值为h^s，所述秘密共享数据生成模块用于所述签名成员在z_q上选择随机数s，w_i，1≤i≤n，生成随机多项式

其中，α₀＝s，计算并公布对所述随机多项式的承诺值

和

1≤j≤t-1，利用所述承诺值计算

i＝1，2，...，n，其中，τ₀＝τ；计算所述随机多项式的值p(i)，根据所述随机多项式的值，按照如下公式加密各群成员的公钥

1≤i≤n；计算

计算哈希值e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)，根据所述哈希值和所述随机多项式的值获得响应值r_i＝w_i-p(i)e，1≤i≤n；所述秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)。

14.根据权利要求13所述的装置，其特征在于，所述数字签名生成模块用于所述签名成员计算c＝h^sy_k，k为所述签名成员的顺序号；选择随机数r_k，z_i，ρ_i∈Z_q，i＝1，2，...，n，i≠k，计算承诺值

和挑战值

z_k＝r_k-ρ_k(s+x_k)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，m为所述消息。

15.一种民主群签名的验证装置，其特征在于，包括：

民主群签名解析模块，用于接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

秘密共享数据验证模块，用于根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；

数字签名验证模块，用于当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名。

16.根据权利要求15所述的装置，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述消息的秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述秘密共享数据验证模块用于计算

i＝1，2，...，n，其中τ₀＝τ，重构

其中，y_i为所有成员的公钥；检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若所述等式成立，所述秘密共享数据有效，若所述等式不成立，所述秘密共享数据无效。

17.根据权利要求16所述的装置，其特征在于，所述数字签名验证模块用于根据所有群成员的公钥重构承诺值

检查等式

是否成立，若所述等式成立，所述数字签名有效，若所述等式不成立，所述数字签名无效；其中，i＝1，2，...，n，Y_i为各群成员的公钥。

18.一种民主群签名的追踪装置，其特征在于，包括：

民主群签名解析模块，用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；

民主群签名验证模块，用于所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；

签名成员获取模块，用于当所述数字签名有效时，根据t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

19.根据权利要求18所述的装置，其特征在于，所述公开参数包括G、q、g、h和H，其中，q是长度为λ的素数，λ为预设的安全参数，G是q阶乘法循环群，g和h为G上的任意两个生成元，H为安全的哈希函数，H将{0，1}^*映射到Z_q，Z_q＝{0，1，...，q-1}；

所述秘密共享数据share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)，数字签名sig＝(c，ρ₁，...，ρ_n，z₁，...，z_n)，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；

所述秘密共享数据验证模块用于t个签名验证者计算

i＝1，2，...，n，其中，τ₀＝τ，重构

其中，y_i为各群成员的公钥；t个签名验证者检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，若所述等式成立，所述秘密共享数据有效，若所述等式不成立，所述秘密共享数据无效；

所述数字签名验证模块用于所述t个签名验证者根据所有群成员的公钥重构承诺值

所述t个签名验证者检查等式是否成立，若所述等式成立，所述数字签名有效，若所述等式不成立，所述数字签名无效，其中，i＝1，2，...，n，Y_i为所有群成员的公钥。

20.根据权利要求19所述的装置，其特征在于，所述签名成员获取模块用于所述t个签名验证者计算并公布

其中，k为所述签名验证者的顺序号，x_k为所述签名验证者的私钥；所述t个签名验证者计算

i＝1，...，t，重构秘密值任一签名验证者根据所述秘密值和所述数字签名，计算得到签名成员的公钥y＝cμ^-1。

21.一种民主群签名系统，其特征在于，包括民主群签名的生成装置、民主群签名的验证装置和民主群签名的追踪装置，其中：

所述民主群签名的生成装置用于所有群成员根据可信中心生成的公开参数，生成公钥和私钥；签名成员根据所述公开参数和所有群成员的公钥，执行对秘密值的(t，n)秘密共享，得到秘密共享数据，其中，t为所述所有群成员个数的下限值，n为所述所有群成员的个数；所述签名成员根据所述签名成员的私钥、所述秘密值、所述公开参数和所有群成员的公钥，生成对消息的数字签名；所述签名成员发送所述消息的民主群签名，所述民主群签名包括所述秘密共享数据和所述数字签名；

所述民主群签名的验证装置用于接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据；当所述秘密共享数据有效时，根据所有群成员的公钥和所述公开参数，验证所述数字签名；

所述民主群签名的追踪装置用于t个签名验证者接收并解析消息的民主群签名，得到秘密共享数据和对所述消息的数字签名；所述t个签名验证者根据所有群成员的公钥和可信中心生成的公开参数，验证所述秘密共享数据，当所述秘密共享数据有效时，所述t个签名验证者根据所有群成员的公钥和所述公开参数，验证所述数字签名；当所述数字签名有效时，根据所述t个签名验证者的私钥和所述秘密共享数据，重构秘密值，任一签名验证者根据所述秘密值和所述数字签名，获取签名成员的公钥，t为所有群成员个数的下限值。

Images