CN102377565A - 一种基于指定验证者的可链接环签名方法 - Google Patents

Abstract

本发明涉及一种基于指定验证者的可链接环签名方法。该方法采用非交互式零知识证明技术，在双线性Diffie-Hellman问题困难的假设下实现了基于指定验证者的可链接环签名。解决了背景技术中不存在基于指定验证者的可链接环签名方法，无法利用可链接环签名解决电子现金、电子投票中的无收据性问题。

Description

一种基于指定验证者的可链接环签名方法

技术领域

本发明涉及信息安全领域。特别的，本发明涉及一种基于指定验证者的可链接环签名生成和验证的方法。

背景技术

数字签名是一种基本的信息安全技术，在指定验证者认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在网络安全通信中的密钥分配，认证以及电子商务、电子政务等系统中具有重要的作用。数字签名是实现认证的重要工具。

数字签名的生成和验证需要签名者的签名私钥和验证公钥。签名者的签名私钥是仅被签名者知晓的。签名者的验证公钥则是公开的。数字签名的生成需要使用签名者的签名私钥和被签名的数字内容。数字签名的验证则是使用验证公钥来确认签名者拥有对应的签名私钥。数字签名的安全性要求数字签名应是不可伪造的，即没有签名私钥的任何人或者设备都不能伪造一个数字签名。签名私钥具有唯一标志签名者指定验证者的重要作用，数字签名不应泄漏签名私钥的有用信息。

通常验证公钥是随机的字符串，很难识别具体公钥的持有人。所以人们使用公钥基础设施的方法来绑定公钥和公钥持有人的指定验证者，并建立了信任体系。公钥基础设施的庞大和复杂带来了公钥管理上一个不小的开销，为了解决这个问题，人们提出使用有意义的字符串作为公钥，即基于指定验证者的密码体制，该体制自然把指定验证者和公钥绑定起来，减小了公钥管理的开销，受到人们的青睐。特别是自2001年基于对运算提出了实用的基于指定验证者的密码算法之后，基于指定验证者的密码体制受到了持续的关注。

普通的数字签名具有广义可验证性，即任何人都可验证某个签名是否是对某个特定消息的签名。这个特性在一些情况下是有很用的，比如公开宣传品的发布。但是在很多其他应用中，特别是为了保护签名者或接收者的隐私时，并不希望让所有人都能验证消息/签名对。这就产生了数字签名体制中广义可验证性和隐私性之间的矛盾。例如，某个签名者签署了一份标书去投标，标书的标价通常属于隐私信息，此时这个签名者就希望其签名不要公开验证，否则其竞争者就可以通过其标书来确认某个标价确实属于该签名者，以至于会在与该签名者以后的竞争中处于有利地位。还有许多其他的例子凸显了上述矛盾，为此需要设计特殊的数字签名来解决问题。

Chaum和Van Antwerpen提出了不可否认签名来解决上述问题。由于签名的验证必须通过签名者的合作才能完成，所以签名不满足广义可验证性。更进一步，签名者可以决定签名只有在某种条件下才能被验证或只能被某个特定的实体所验证。

Liu提出了一个实用的可链接环签名方案，用于解决电子投票和电子现金中的多次投票问题和多次支付问题，但是该方案不能解决电子投票和电子现金中的无收据性问题。

由上述可知，现有技术中已公布的可链接环签名方案中并不存在基于指定验证者的可链接环签名。我们希望给出一种环签名方案，使之能够基于指定验证者，只有指定的验证者才能验证签名的有效性以及计算签名的可链接性，适用于解决电子现金、电子投票中的无收据性问题。

发明内容

本发明的目的在于提供一种基于指定验证者的可链接环签名方案的实现方法，解决背景技术中不存在基于指定验证者的可链接环签名方法，不能利用可链接环签名解决电子现金、电子投票中的无收据性问题。

为实现上述目的，本发明提供一种基于指定验证者的可链接环签名方案的实现方法：密钥生成，群组管理者设定设定群G，间隙Diffie-Hellman群G₁，循环群G₂和二元杂凑函数H₁(·，·)和H₂(·，·)，对每个群组成员都生成独一无二的公钥和与之对应的私钥，为指定验证者生成公钥对；签名生成，群组成员利用自身私钥、群组公钥列表以及指定验证者公钥对消息进行签名，生成指定验证者的可链接环签名；签名验证，指定的验证者利用自身私钥、群组公钥列表对签名的有效性进行验证；可链接性计算，指定验证者验证签名的可链接性，确定两个签名是否为同一个签名者签署。

1.密钥生成，具体包括以下步骤：

(1.1)群组管理者设定群G，间隙Diffie-Hellman群G₁，循环群G₂和二元杂凑函数H₁(·，·)和H₂(·，·)；G为阶为q的群，其上的离散对数问题是困难的；令H₁：{0，1}→Z_q和H₂：{0，1}^*→G为基于不同算法的杂凑函数；群G₁的生成元P，生成元P的阶为大素数q；循环群G₂，群G₂的阶也是大素数q；对映射函数e：G₁×G₁→G₂。

(1.2)对i＝1，2，...，n，群组管理者为每个群组成员生成独一无二的公钥y_i和私钥x_i，其中

令L＝{y₁，...，y_n}为n个公钥的列表。

2.签名生成，具体包括以下步骤：

(2.1)群组成员公钥y_π对应的私钥为x_π，公钥列表为L＝{y₁，...，y_n}，消息m∈{0，1}。

(2.2)群组成员计算h＝H₂(L)和

选择随机数u∈Z_q，群组成员计算

对i＝π+1，π+2，...，n，1，...，π-1，选择随机数s_i∈Z_q，计算

计算s_π＝u-x_πy_πmod q。

(2.3)群组成员计算

和

，计算

其中E_V是用y_v进行加密；DV-ZKP(w，r，G₁，G₂，d)是对

的非交互指定验证者零知识证明：随机选择w，r，t∈Z_q，计算

$\left\{\begin{array}{c}c=g^w{y}_v^r\mathrm{mod}p\\ G_1=g^t\mathrm{mod}p\\ G_2=h^t\mathrm{mod}p\\ h^{*}={\mathrm{hash}}_q(c,G_1,G_2)\\ d=t+s_n(h^{*}+w)\mathrm{mod}q\end{array}\right.$

其中y_v是指定验证者的公钥，证明者将(w，r，G₁，G₂，d)发送给验证者。生成的指定验证者可链接环签名为δ_L(m)＝(c₁，s₁，...，s_n-1，E)。

3.签名验证，具体包括以下步骤：

(3.1)指定验证者计算h＝H₂(L)，然后用私钥x_v解密E得到和DV-ZKP(w，r，G₁，G₂，d)。

(3.2)指定验证者对

进行非交互指定验证者零知识证明：计算

然后验证：

若验证失败则签名无效。

(3.3)指定验证者对i＝1，...，n计算

然后指定验证者计算

其中i≠n。

(3.4)指定验证者检查是否

如果是则签名有效，反之则签名无效。

4.可链接性计算，具体包括以下步骤：

(4.1)指定验证者利用私钥x_v解密δ_L′(m′)和δ_L″(m″)中的E′，E″得到。其中δ_L′(m′)＝(c₁′，s₁′，...，s_n-1′，E′)，δ_L″(m″)＝(c₁″，s₁″，...，s_n-1″，E″)。

(4.2)指定验证者检查是否

如果是则指定验证者可以确信δ_L′(m′)和δ_L″(m″)由同一个签名者签署，反之，它们由不同的签名者签署。

本发明具有以下优点：

本发明基于非交互式零知识证明的假设，构造了指定验证者的可链接环签名方案，该方案可以利用基于指定验证者的体制，只有指定验证者才能验证环签名的有效性，并且只有指定验证者才能计算签名的可链接性，在电子投票、电子现金和电子投标的无收据性实现方面有很大的用处，并具有较高的效率。

本发明提供的指定验证者可链接环签名的实现方法，适用于电子投票、电子现金、版权保护、数字作品防伪等领域。

附图说明

图1为指定验证者可链接环签名方案实现方法框图

具体实施方式

以电子投票为例说明本方案的具体实施。投票者为本方案的签名人，检票者为本方案的指定验证者。通过本方案的实施，投票者可以为数字选票签署指定验证者可链接环签名，检票者能够通过验证指定验证者签名确认数字选票的真实性，并且可以验证两个选票的指定验证者可链接环签名是否由同一个投票者签署，然而源于指定验证者环签名的不可转移性，检票者无法向任何人证明两张数字选票是否为同一个人签署，从而使得投票具有无收据性，即买票者或胁迫投票者无法和检票者勾结获知投票者投了两次票。具体实施过程如下：

1)电子投票方案具有如下公开的系统参数：

-指定验证者可链接环签名方案中的公开参数G，G₁，G₂，H₁(.，.)和H₂(.，.)。G为阶为q的群，其上的离散对数问题是困难的；令H₁：{0，1}→Z_q和H₂：{0，1}→G为基于不同算法的杂凑函数；群G₁的生成元P，生成元P的阶为大素数q；循环群G₂，群G₂的阶也是大素数q；对映射函数e：G₁×G₁→G₂。

-全域无碰撞的杂凑函数H在本具体实施中可以采用SHA-256先对输入比特串进行杂凑，然后对杂凑值模q，获得值x，把该值代入椭圆曲线方程y²＝x³+ax+b，如果能够解得y，则获得H的输出(x，y)；否则用i串联输入比特串重复上述过程，获得x_i，其中i依次取值{1，2，3...}，直到解得y_i为止，获得H的输出为(x_i，y_i)。

2)电子投票的参与者包括：投票者V_i(i＝0，...，l)、检票者T和管理者A。管理者A为投票者V_i生成公钥对

，将私钥以安全的途径分发给投票者V_i，并将投票者公钥列表

公布在公告板上。管理者A为检票者T生成公钥对(x_T，y_T)，将私钥x_T以安全途径分发给检票者，并将检票者公钥y_T公布在公告板上。

3)投票者V_π(1≤π≤n)对明文数字选票运行SHA-256杂凑运算，获得该选票的数字指纹，之后进行模q运算获得待签署的消息m。之后投票者V_π运行以下步骤：

(1)投票者V_π计算h＝H₂(L)和

投票者选择随机数u∈Z_q，计算对i＝π+1，π+2，...，n，1，...，π-1，选择随机数s_i∈Z_q，计算

计算s_π＝u-x_πy_πmod q。

(2)投票者V_π计算

和，计算

其中E_V是用检票者的公钥y_T进行加密；DV-ZKP(w，r，G₁，G₂，d)是对

的非交互指定验证者零知识证明：随机选择w，r，t∈Z_q，计算

$\left\{\begin{array}{c}c=g^w{y}_v^r\mathrm{mod}p\\ G_1=g^t\mathrm{mod}p\\ G_2=h^t\mathrm{mod}p\\ h^{*}={\mathrm{hash}}_q(c,G_1,G_2)\\ d=t+s_n(h^{*}+w)\mathrm{mod}q\end{array}\right.$

投票者将(w，r，G₁，G₂，d)发送给检票者。生成的指定验证者可链接环签名为δ_L(m)＝(c₁，s₁，...，s_n-1，E)。

(3)投票者V_π(1≤π≤n)将δ_L(m)＝(c₁，s₁，...，s_n-1，E)发送给检票者V_T。

4)检票者V_T检验δ_L(m)＝(c₁，s₁，...，s_n-1，E)的有效性运行以下步骤：

(1)检票者V_T计算h＝H₂(L)，然后用自身私钥x_v解密E得到

和DV-ZKP(w，r，G₁，G₂，d)。

(2)检票者V_T对

进行非交互指定验证者零知识证明：计算

然后验证：

若验证失败则选票无效。

(3)检票者V_T对i＝1，...，n，计算

然后检票者V_T计算

其中i≠n。

(4)指定验证者检查是否

如果是则选票有效，反之则选票无效。

5)检票者V_T检验δ_L(m)和现有的选票的可链接性，用来确定是否用新的选票替换掉旧的选票，运行以下步骤：

(1)检票者V_T对k＝1，...，m，利用私钥x_v解密δ_L(m)和δ_L(m_k)_k中的E，E_k得到

。其中δ_L(m)＝(c₁，s₁，...，s_n-1，E)，δ_L(m_k)＝(c₁，s₁，...，s_n-1，E_k)。

(2)检票者V_T对k＝1，...，m检查是否

如果存在k使之成立，检票者V_T可以确信δ_L(m)和δ_L(m_k)_k由同一个投票者所投，即由同一个人签署，则根据投票时间用δ_L(m)替换掉δ_L(m_k)_k。反之，直接将δ_L(m)计入。

(3)检票者V_T将结果发送给管理者A，他将选举结果公布到公告板上。

Claims (5)

1.一种基于指定验证者的可链接环签名方法，其特征在于只有指定验证者才能验证环签名的有效性，并且只有指定验证者才能验证两个环签名的可链接性，包括以下步骤：

(1)密钥生成：群组管理者设定设定群G，间隙Diffie-Hellman群G₁，循环群G₂和二元杂凑函数H₁(·，·)和H₂(·，·)；对每个群组成员都生成独一无二的公钥和与之对应的私钥，为指定验证者生成公钥对。

(2)签名生成：群组成员利用自身私钥、群组公钥列表以及指定验证者公钥对消息进行签名，生成指定验证者的可链接环签名。

(3)签名验证：指定的验证者利用自身私钥、群组公钥列表对签名的有效性进行验证。

(4)可链接性计算：指定验证者利用自身私钥计算签名的可链接性，确定两个签名是否为同一个签名者签署。

2.根据权利要求1所述的一种基于指定验证者的可链接环签名方法，其特征在于：所述步骤(1)密钥生成，具体包括以下步骤：

(2.1)群组管理者设定群G，间隙Diffie-Hellman群G₁，循环群G₂和二元杂凑函数H₁(·，·)和H₂(·，·)；G为阶为q的群，其上的离散对数问题是困难的；令H₁：{0，1}→Z_q和H₂：{0，1}^*→G为基于不同算法的杂凑函数；群G₁的生成元P，生成元P的阶为大素数q；循环群G₂，群G₂的阶也是大素数q；对映射函数e：G₁×G₁→G₂。

(2.2)对i＝1，2，...，n，群组管理者为每个群组成员生成独一无二的公钥y_i和私钥x_i，其中

令L＝{y₁，...，y_n}为n个公钥的列表。为指定验证者生成公钥对(x_v，y_v)。

3.根据权利要求1所述的一种基于指定验证者的可链接环签名方法，其特征在于：所述步骤(2)签名生成，具体包括以下步骤：

(3.1)群组成员公钥y_π对应的私钥为x_π，公钥列表为L＝{y₁，...，y_n}，消息m∈{0，1}。

(3.2)群组成员计算h＝H₂(L)和

选择随机数u∈Z_q，群组成员计算

对i＝π+1，π+2，...，n，1，...，π-1，选择随机数s_i∈Z_q，计算

计算s_π＝u-x_πy_πmodq。

(3.3)群组成员计算

和，计算其中E_V是用y_v进行加密；DV-ZKP(w，r，G₁，G₂，d)是对

的非交互指定验证者零知识证明：随机选择w，r，t∈Z_q，计算

$\left\{\begin{array}{c}c=g^w{y}_v^r\mathrm{mod}p\\ G_1=g^t\mathrm{mod}p\\ G_2=h^t\mathrm{mod}p\\ h^{*}={\mathrm{hash}}_q(c,G_1,G_2)\\ d=t+s_n(h^{*}+w)\mathrm{mod}q\end{array}\right.$

其中y_v是指定验证者的公钥，证明者将(w，r，G₁，G₂，d)发送给验证者。生成的指定验证者可链接环签名为δ_L(m)＝(c₁，s₁，...，s_n-1，E)。

4.根据权利要求1所述的一种基于指定验证者的可链接环签名方法，其特征在于：所述步骤(3)签名验证，具体包括以下步骤：

(4.1)指定验证者计算h＝H₂(L)，然后用私钥x_v解密E得到

和DV-ZKP(w，r，G₁，G₂，d)。

(4.2)指定验证者对进行非交互指定验证者零知识证明：计算

然后验证：若验证失败则签名无效。

(4.3)指定验证者对i＝1，...，n计算

然后指定验证者计算

其中i≠n。

(4.4)指定验证者检查是否

如果是则签名有效，反之则签名无效。

5.根据权利要求1所述的一种基于指定验证者的可链接环签名方法，其特征在于：所述步骤(4)可链接性计算，具体包括以下步骤：

(5.1)指定验证者利用私钥x_v解密δ_L′(m′)和δ_L″(m″)中的E′，E″得到

。其中δ_L′(m′)＝(c₁′，s₁′，...，s_n-1′，E′)，δ_L″(m″)＝(c₁″，s₁″，...，s_n-1″，E″)。

(5.2)指定验证者检查是否

如果是则指定验证者可以确信δ_L′(m′)和δ_L″(m″)由同一个签名者签署，反之，它们由不同的签名者签署。

Images