CN104917617A - 一种加密群签名的混淆方法 - Google Patents

Abstract

本发明涉及一种加密群签名的混淆方法，用以保护群内成员的签名私钥，包括以下步骤：1)群主构建签名群，根据setup算法获取群参数序列pub、主私钥MK和追踪秘钥TK；2)信息接收者根据群参数序列pub通过EKGen算法获取各自的加密公钥PK_e和解密私钥SK_e；3)群主通过Enroll算法获取群内成员的签名追踪信息s_ID和与各自ID对应的签名密钥K_ID，并将签名密钥K_ID发送给对应的群内成员；4)根据混淆算法Obf将群内成员的初始加密群签名算法EGS以及群内成员的签名密钥K_ID进行混淆处理，得到混淆后的加密群签名算法；5)对待发送的信息M进行信息签名加密后产生加密密文C，并将加密密文C发送给信息接收者。与现有技术相比，本发明具有适用于保护私钥的情况、保密效果好等优点。

Description

一种加密群签名的混淆方法

技术领域

本发明涉及密码学、群签名和混淆理论领域，尤其是涉及一种加密群签名的混淆方法。

背景技术

群签名是为一组成员设计的特别的数字签名，最初是由Cham和Heyst提出的。群签名中，有一个群管理者和许多成员。每个群有一个群公钥用来认证。每个群成员有独立的私钥用于产生群签名，且能被群公钥检测出其签名。群管理者有一个主密钥。假设一个签名，群管理员可以用主密钥知道哪个群成员产生的这个签名。这就是可追踪性。另外，没有主密钥的其他群成员不能知道这个签名是哪个群成员产生的，这叫做可匿名性。实际上，群签名有以下4点性质：1)只有群成员能签名，2)接受着可以证实签名是否有效，3)可匿名性，4)可追踪性。

现有的群签名信息的签名加密方法包括：

1、setup：群主构建签名群，并确定管理员后，获取群参数序列pub、主私钥MK和追踪秘钥TK；

2、信息接收者根据群参数序列pub通过EKGen算法获取各自的加密公钥PK_e和解密私钥SK_e；

3、群主根据群参数序列pub、主私钥MK和群内成员的ID，通过Enroll算法获取群内成员的签名追踪信息s_ID和与各自ID对应的签名密钥K_ID，并将签名密钥K_ID发送给对应的群内成员；

4、EGS：首先对消息M进行Sign，得到六元组(σ₁,σ₂,σ₃,σ₄,π₁,π₂)，然后对元组中的六个元素，依次进行Enc，并将结果输出。

Enc：

对系统参数进行解析：首先将pub解析为再将其中的PP进一步解析为(g,h,u,v',v₁,…,v_m,Ω,A)。系统参数集合pub是在setup时生成的。

计算并输出密文C＝(PK_e,0 ^x,PK_e,1 ^y,g^x+y·M)；其中PK_e＝(PK_e,0,PK_e,1)是由算法EKGen生成的公钥，M是输入的明文，x,y∈Z_n是算法执行过程中随机产生的元素。

Sign：

对系统参数进行解析：首先将pub解析为再将其中的PP进一步解析为(g,h,u,v',v₁,…,v_m,Ω,A)。系统参数集合pub是在setup时生成的。

将签名私钥K_ID解析为(K₁,K₂,K₃)；将输入消息M解析为二进制序列μ₁,…,μ_m。

计算并输出(σ₁,σ₂,σ₃,σ₄,π₁,π₂)

${\mathrm{\σ}}_1={\mathrm{\θ}}_1\·h^{t_1},{\mathrm{\σ}}_2={\mathrm{\θ}}_2\·h^{t_2},{\mathrm{\σ}}_3={\mathrm{\θ}}_3\·h^{t_3},{\mathrm{\σ}}_4={\mathrm{\θ}}_4\·h^{t_4},$ 其中

${\mathrm{\θ}}_1=K_1,{\mathrm{\θ}}_2=K_2,{\mathrm{\θ}}_3=K_3.{\left(v^{\′}\underset{i=1}{\overset{m}{\Π}}{v}_i^{{\mathrm{\μ}}_i}\right)}^s,{\mathrm{\θ}}_4=g^{-s},$ s是在Z_n中随机选择的元素

${\mathrm{\π}}_1=h^{t_1{t}_2}\·{\left({\mathrm{\θ}}_1\right)}^{t_2}\·{\left({\mathrm{\θ}}_2\mathrm{\Ω}\right)}^{t_1},{\mathrm{\π}}_2=u^{t_2}\·g^{-t_3}\·{\left(v^{\′}\underset{i=1}{\overset{m}{\Π}}{v}_i^{{\mathrm{\μ}}_i}\right)}^{t_4}$

其中t₁,t₂,t₃,t₄是在Z_n中随机选择的元素

近些年，在构建各式各样信息系统的隐私保护方案时，群签名技术得到广泛的使用。但是，传统的群签名技术只能保证在黑盒攻击下的安全，所谓黑盒攻击环境，即是说攻击者只能够控制或知晓密码算法或模块的输入和输出。此时，密码算法的实现本身，特别是其中的私钥，攻击者是无法知晓的，仿佛面对一个“黑盒子”进行攻击。除了黑盒攻击环境之外，在实际应用中，有必要考虑一些更加恶劣的运行环境。其中最为难以应对的，是所谓白盒攻击环境。在白盒攻击环境中，攻击者对密码模块或算法的运行环境有完全的控制权。此时，攻击者可以分析程序实现的代码，对其进行反编译或动态的执行追踪，密码算法的实现对于攻击者而言是完全透明的。攻击者此时是在研究一个毫无遮蔽的“白盒子”。

近年来，随着移动计算和分布式计算的发展，以及高级持续威胁(APT)攻击和各种严重安全漏洞的层出不穷，研究白盒攻击环境下密码技术的安全性已经迫在眉睫。典型的白盒攻击环境例如：一台被入侵并被获取了管理员权限的计算机，在恶意主机上运行的移动代理，一台被窃取的平板电脑或智能手机等(此时，对于专业的黑客，突破访问口令或图形密码并非难事)，另外，2014年被曝光的SSL心脏出血漏洞，可以导致攻击者远程获取服务器上的某些内存片段，如果其中存放了签名密钥，后果同样严重。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种适用于保护私钥的情况、保密效果好的加密群签名的混淆方法。

本发明的目的可以通过以下技术方案来实现：

一种加密群签名的混淆方法，用以保护群内成员的签名私钥，包括以下步骤：

1)群主构建签名群，在确定管理员后，根据setup算法获取群参数序列pub、主私钥MK和追踪秘钥TK；

2)信息接收者根据群参数序列pub通过EKGen算法获取各自的加密公钥PK_e和解密私钥SK_e；

3)群主根据群参数序列pub、主私钥MK和群内成员的ID，通过Enroll算法获取群内成员的签名追踪信息s_ID和与各自ID对应的签名密钥K_ID，并将签名密钥K_ID发送给对应的群内成员；

4)根据混淆算法Obf将群内成员的初始加密群签名算法EGS以及群内成员的签名密钥K_ID进行混淆处理，得到混淆后的加密群签名算法R_pub,z,PKe；

5)根据混淆后的加密群签名算法R_pub,z,PKe对待发送的信息M进行信息签名加密后产生加密密文C，并将加密密文C发送给信息接收者。

所述的步骤1)中根据setup算法中设定签名消息长度为m比特，且群成员数量不超过2^k时，计算出的群参数序列pub、主私钥MK和追踪秘钥TK的表达式为： 

$pub=\left(n,\hat{e},G,G_T,PP\right)$

PP＝(g,h,u,v',v₁,…,v_m,Ω,A)

MK＝(g^α,ω)∈G×Z_n

n＝p·q

$A=\hat{e}(g,g)$

Ω＝g^ω

且满足约束条件：k的大小与λ为线性关系，且存在正整数c₁和c₂，有c₁×λ≤log₂p≤c₂×λ且c₁×λ≤log₂q≤c₂×λ成立，

其中，G,G_T为n阶循环群，是G→G_T的双线性映射，PP为用于群签密的系列参数，g为G中的随机元素，h为G_q中的随机元素，u、v'和v₁,…,v_m均为G中 的随机元素，α和ω为Z_n中的随机元素，p和q为自然数集合中的元素且均为质数，Z_n为模n剩余类环，λ为一元安全参数。

所述的步骤2)中的EKGen算法具体包括以下步骤：

根据在Z_n中随机选择的参数a和b，得到加密公钥PK_e和解密私钥SK_e：

PK_e＝(g^a,g^b)

SK_e＝(a,b)

其中，g为G中的随机元素，由群参数序列pub解析得出。

所述的步骤3)中Enroll算法中K_ID的计算式为：

K_ID＝(K₁,K₂,K₃) 

$\mathrm{\ω}+s_{ID}\∈Z_n^{*}$ 且ω∈Z_n

$K_1={\left(g^{\mathrm{\α}}\right)}^{\frac{1}{\mathrm{\ω}+s_{ID}}}$

$K_2=g^{s_{ID}}$

$K_3=u^{s_{ID}}$

其中，g和u为G中的随机元素，且由群参数序列pub解析得出，α和ω为Z_n中的随机元素，且由主私钥MK解析得出，为模n剩余类环Z_n的乘法群。

所述的步骤4)中的混淆算法Obf为：

41)获得解析后的PK_e＝(PK_e,0,PK_e,1)、和sk＝K_ID＝(K₁,K₂,K₃)；

42)分别对sk和PK_e进行混淆，并获得混淆后的签名密钥z：

$z=\left(C_{x_1},C_{y_1},C_{x_2},C_{y_2},C_{x_3},C_{y_3},\widetilde{K_1},\widetilde{K_2},\widetilde{K_3}\right)$

$\widetilde{K_1}=g^{x_1+y_1}\·K_1$

$\widetilde{K_2}=g^{x_2+y_2}\·K_2$

$\widetilde{K_3}=g^{x_3+y_3}\·K_3$

$C_{x_1}={{\mathrm{PK}}_{e,0}}^{x_1}$

$C_{y_1}={{\mathrm{PK}}_{e,1}}^{y_1}$

$C_{x_2}={{\mathrm{PK}}_{e,0}}^{x_2}$

$C_{y_2}={{\mathrm{PK}}_{e,1}}^{y_2}$

$C_{x_3}={{\mathrm{PK}}_{e,0}}^{x_3}$

$C_{y_3}={{\mathrm{PK}}_{e,1}}^{y_3}$

其中，x₁,y₁,x₂,y₂,x₃,y₃为Z_n中随机选择的参数，g为G中的随机元素，且由群参数序列pub解析得出。

所述的步骤5)中通过算法进行信息签名后产生加密密文C具体包括以下步骤：

51)判断消息M是否为空，若是，则输出(pub,PK_e)，若否，则进行步骤52；

52)获取解析后的二进制形式的M＝(μ₁,…,μ_m)、PK_e＝(PK_e,0,PK_e,1)、  $pub=(n,\hat{e},G,G_T,PP)$ 和 $z=(C_{x_1},C_{y_1},C_{x_2},C_{y_2},C_{x_3},C_{y_3},K_1,K_2,K_3);$

53)进行信息签名后产生加密密文C：

$C=<{C_{x_i}}^{*},{C_{y_i}}^{*},\widetilde{{\mathrm{\&sigma;}}_i}{>}_{(i=1,2,3,4)},<{C_{x_5}}^{*},{C_{y_5}}^{*},\widetilde{{\mathrm{\&pi;}}_1}>,<{C_{x_6}}^{*},{C_{y_6}}^{*},\widetilde{{\mathrm{\&pi;}}_2}>$

$\widetilde{{\mathrm{\&pi;}}_1}=g^{{x_5}^{*}+{y_5}^{*}}\&CenterDot;h^{t_1{t}_2}.{\left(\widetilde{{\mathrm{\&theta;}}_1}\right)}^{t_2}.{\left(\widetilde{{\mathrm{\&theta;}}_2}\mathrm{\&Omega;}\right)}^{t_1}$

$\widetilde{{\mathrm{\&pi;}}_2}=g^{{x_6}^{*}+{y_6}^{*}}\&CenterDot;u^{t_2}\&CenterDot;g^{-t_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\&Pi;}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^{t_4}$

$\widetilde{{\mathrm{\&sigma;}}_i}=g^{{x_i}^{*}+{y_i}^{*}}\&CenterDot;\widetilde{{\mathrm{\&theta;}}_i}\&CenterDot;h^{t_i}$

$\widetilde{{\mathrm{\&theta;}}_i}=\left\{\begin{array}{c}\widetilde{{\mathrm{\&theta;}}_1}=\widetilde{K_1}\\ \widetilde{{\mathrm{\&theta;}}_2}=\widetilde{K_2}\\ \widetilde{{\mathrm{\&theta;}}_3}=\widetilde{K_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\mathrm{\&Pi;}}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^s\left(i=1,2,3,4\right)\\ \widetilde{{\mathrm{\&theta;}}_4}=g^{-s}\end{array}\right.$

$\left\{\begin{array}{cc}{C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*}}\&CenterDot;C_{x_i},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;C_{y_i}& \left(i=1,2,3\right)\\ {C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*}},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}& \left(i=4,6\right)\\ {C_{x_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{x_i}^{*}}\&CenterDot;{C_{x_1}}^{t_2},{C_{x_2}}^{t_1},{C_{y_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;{C_{y_1}}^{t_2},{C_{y_2}}^{t_1}& \left(i=5\right)\end{array}\right.$

其中，s、t₁,…,t₄、x₁ ^*,…,x₆ ^*、y₁ ^*,…,y₆ ^*均为Z_n中的随机元素，g为G中的随机元素，h为G_q中的随机元素，v'和v₁,…,v_m均为G中的随机元素，μ_i为M中的元素，且g、h、v'和v₁,…,v_m均由群参数序列pub解析得出。

与现有技术相比，本发明具有以下优点：

一、适用于保护私钥的情况：混淆器输出的混淆后的加密群签密实现，可以在不“显式地”使用群成员的签名私钥的前提下，实现加密群签名功能。

二、保密效果好：本发明在攻击者攻破了运行(混淆后的)加密群签名实现的计算机的情况下，攻击者也几乎无法获得群成员的签名私钥，严格地说，在λ的多项式的时间复杂度内，无论使用何种攻击方法，攻击者获得该私钥的概率，与安全参数λ相比较，是可忽略的，可忽略的数学定义是：对任意的多项式f，攻击成功的概率小于实际上，为了获得较高的安全性，可以取λ＝n＝1024，此时，对本发明进行攻击，约需要2⁵¹²的复杂度，所以混淆后的实现具有较高的安全性。

三、执行效率高：混淆后的算法在实际运行时，其效率(复杂度)与原先的加密群签名操作基本相对，并不会对系统的性能带来显著的影响。

附图说明

图1为本发明的方法流程图。

图2为实施例中的签名群方法流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例：

如图1所示，一种加密群签名的混淆方法，用以保护群内成员的签名私钥，包括以下步骤：

1)群主构建签名群，在确定管理员后，根据setup算法获取群参数序列pub、主私钥MK和追踪秘钥TK，在根据setup算法中设定签名消息长度为m比特，且群成员数量不超过2^k时，计算出的群参数序列pub、主私钥MK和追踪秘钥TK的表达式为： 

$pub=(n,\hat{e},G,G_T,PP)$

PP＝(g,h,u,v',v₁,…,v_m,Ω,A)

MK＝(g^α,ω)∈G×Z_n

n＝p·q

$A=\hat{e}(g,g)$

Ω＝g^ω

且满足约束条件：k的大小与λ为线性关系，且存在正整数c₁和c₂，有c₁×λ≤log₂p≤c₂×λ且c₁×λ≤log₂q≤c₂×λ成立，

其中，G,G_T为n阶循环群，是G→G_T的双线性映射，PP为用于群签密的系列参数，g为G中的随机元素，h为G_q中的随机元素，u、v'和v₁,…,v_m均为G中的随机元素，α和ω为Z_n中的随机元素，p和q为自然数集合中的元素且均为质数，Z_n为模n剩余类环，λ为一元安全参数；

2)信息接收者根据群参数序列pub通过EKGen算法获取各自的加密公钥PK_e和解密私钥SK_e，EKGen算法具体包括以下步骤：

根据在Z_n中随机选择的参数a和b，得到加密公钥PK_e和解密私钥SK_e：

PK_e＝(g^a,g^b)

SK_e＝(a,b)

其中，g为G中的随机元素，由群参数序列pub解析得出；

3)群主根据群参数序列pub、主私钥MK和群内成员的ID，通过Enroll算法获取群内成员的签名追踪信息s_ID和与各自ID对应的签名密钥K_ID，并将签名密钥K_ID发送给对应的群内成员，Enroll算法中K_ID的计算式为：

K_ID＝(K₁,K₂,K₃) 

$\mathrm{\&omega;}+s_{ID}\&Element;Z_n^{*}$ 且ω∈Z_n

$K_1={\left(g^{\mathrm{\&alpha;}}\right)}^{\frac{1}{\mathrm{\&omega;}+s_{ID}}}$

$K_2=g^{s_{ID}}$

$K_3=u^{s_{ID}}$

其中，g和u为G中的随机元素，且由群参数序列pub解析得出，α和ω为Z_n中的随机元素，且由主私钥MK解析得出，为模n剩余类环Z_n的乘法群；

4)根据混淆算法Obf将群内成员的初始加密群签名算法EGS以及群内成员的签名密钥K_ID进行混淆处理，得到混淆后的加密群签名算法混淆算法Obf为：

41)获得解析后的PK_e＝(PK_e,0,PK_e,1)、和sk＝K_ID＝(K₁,K₂,K₃)；

42)分别对sk和PK_e进行混淆，并获得混淆后的签名密钥z：

$z=\left(C_{x_1},C_{y_1},C_{x_2},C_{y_2},C_{x_3},C_{y_3},\widetilde{K_1},\widetilde{K_2},\widetilde{K_3}\right)$

$\widetilde{K_1}=g^{x_1+y_1}\&CenterDot;K_1$

$\widetilde{K_2}=g^{x_2+y_2}\&CenterDot;K_2$

$\widetilde{K_3}=g^{x_3+y_3}\&CenterDot;K_3$

$C_{x_1}={{\mathrm{PK}}_{e,0}}^{x_1}$

$C_{y_1}={{\mathrm{PK}}_{e,1}}^{y_1}$

$C_{x_2}={{\mathrm{PK}}_{e,0}}^{x_2}$

$C_{y_2}={{\mathrm{PK}}_{e,1}}^{y_2}$

$C_{x_3}={{\mathrm{PK}}_{e,0}}^{x_3}$

$C_{y_3}={{\mathrm{PK}}_{e,1}}^{y_3}$

其中，x₁,y₁,x₂,y₂,x₃,y₃为Z_n中随机选择的参数，g为G中的随机元素，且由群参数序列pub解析得出；

5)根据混淆后的加密群签名算法对待发送的信息M进行信息签名加密后产生加密密文C，并将加密密文C发送给信息接收者，通过算法进行信息签名后产生加密密文C具体包括以下步骤：

51)判断消息M是否为空，若是，则输出(pub,PK_e)，若否，则进行步骤52；

52)获取解析后的二进制形式的M＝(μ₁,…,μ_m)、PK_e＝(PK_e,0,PK_e,1)、  $pub=(n,\hat{e},G,G_T,PP)$ 和 $z=(C_{x_1},C_{y_1},C_{x_2},C_{y_2},C_{x_3},C_{y_3},K_1,K_2,K_3);$

53)进行信息签名后产生加密密文C：

$C=<{C_{x_i}}^{*},{C_{y_i}}^{*},\widetilde{{\mathrm{\&sigma;}}_i}{>}_{(i=1,2,3,4)},<{C_{x_5}}^{*},{C_{y_5}}^{*},\widetilde{{\mathrm{\&pi;}}_1}>,<{C_{x_6}}^{*},{C_{y_6}}^{*},\widetilde{{\mathrm{\&pi;}}_2}>$

$\widetilde{{\mathrm{\&pi;}}_1}=g^{{x_5}^{*}+{y_5}^{*}}\&CenterDot;h^{t_1{t}_2}.{\left(\widetilde{{\mathrm{\&theta;}}_1}\right)}^{t_2}.{\left(\widetilde{{\mathrm{\&theta;}}_2}\mathrm{\&Omega;}\right)}^{t_1}$

$\widetilde{{\mathrm{\&pi;}}_2}=g^{{x_6}^{*}+{y_6}^{*}}\&CenterDot;u^{t_2}\&CenterDot;g^{-t_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\&Pi;}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^{t_4}$

$\widetilde{{\mathrm{\&sigma;}}_i}=g^{{x_i}^{*}+{y_i}^{*}}\&CenterDot;\widetilde{{\mathrm{\&theta;}}_i}\&CenterDot;h^{t_i}$

$\widetilde{{\mathrm{\&theta;}}_i}=\left\{\begin{array}{c}\widetilde{{\mathrm{\&theta;}}_1}=\widetilde{K_1}\\ \widetilde{{\mathrm{\&theta;}}_2}=\widetilde{K_2}\\ \widetilde{{\mathrm{\&theta;}}_3}=\widetilde{K_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\mathrm{\&Pi;}}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^s\left(i=1,2,3,4\right)\\ \widetilde{{\mathrm{\&theta;}}_4}=g^{-s}\end{array}\right.$

$\left\{\begin{array}{cc}{C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*}}\&CenterDot;C_{x_i},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;C_{y_i}& \left(i=1,2,3\right)\\ {C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*}},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}& \left(i=4,6\right)\\ {C_{x_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{x_i}^{*}}\&CenterDot;{C_{x_1}}^{t_2},{C_{x_2}}^{t_1},{C_{y_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;{C_{y_1}}^{t_2},{C_{y_2}}^{t_1}& \left(i=5\right)\end{array}\right.$

其中，s、t₁,…,t₄、x₁ ^*,…,x₆ ^*、y₁ ^*,…,y₆ ^*均为Z_n中的随机元素，g为G中的随机元素，h为G_q中的随机元素，v'和v₁,…,v_m均为G中的随机元素，μ_i为M中的元素，且g、h、v'和v₁,…,v_m均由群参数序列pub解析得出。

本发明在生成的加密签名，不会暴露具体群成员的身份(除非将签名解密并由群管理员使用Open操作来进行特别调查)，在涉及隐私保护的安全方案中有较为广泛的应用前景。

如图2所示，在一个企业中，建立了一个供其内部员工使用的私有云，从而使员工可以分享内部的信息。一般而言，云服务器只需要验证该信息是内部员工上传的，即可予以接纳，这样可以允许员工匿名的提出一些意见且不会暴露身份，当然，如果出现了恶意的诽谤，群管理员可以来进行特殊的调查取证，以发现真正的信息发送者。

应用的具体步骤如下：

1群主对群进行初始化(Setup)

2吸纳群成员 

2.1当某人需要加入时，将其身份ID发给群主

2.2群主执行Enroll操作，为该ID分配签名私钥K_ID

2.3发送K_ID给混淆器

3混淆

3.1根据标准的群签名算法以及云服务器的加密公钥等，混淆装置生成混淆后的加密群签名算法

3.2将该算法发送给对应的群成员

4执行加密群签名

4.1群成员(内部员工)调用组件执行加密群签名操作(如果需要，可对信息正文同时加密)

4.2群成员(内部员工)加密的签名和信息发送到云服务器

5云服务器端信息处理

5.1云服务器解密并验证签名(以下假设通过了验证)

5.2云服务器发布信息

6签名人身份追踪(需要调查的特殊情况才执行这一系列步骤)

6.1云服务器将解密后的签名发送给群管理员

6.2群管理员执行Open操作，追踪调查该签名对应群成员的ID 。

Claims (6)

1.一种加密群签名的混淆方法，用以保护群内成员的签名私钥，其特征在于，包括以下步骤：

1)群主构建签名群，在确定管理员后，根据setup算法获取群参数序列pub、主私钥MK和追踪秘钥TK；

2)信息接收者根据群参数序列pub通过EKGen算法获取各自的加密公钥PK_e和解密私钥SK_e；

3)群主根据群参数序列pub、主私钥MK和群内成员的ID，通过Enroll算法获取群内成员的签名追踪信息s_ID和与各自ID对应的签名密钥K_ID，并将签名密钥K_ID发送给对应的群内成员；

4)根据混淆算法Obf将群内成员的初始加密群签名算法EGS以及群内成员的签名密钥K_ID进行混淆处理，得到混淆后的加密群签名算法

5)根据混淆后的加密群签名算法对待发送的信息M进行信息签名加密后产生加密密文C，并将加密密文C发送给信息接收者。

2.根据权利要求1所述的一种加密群签名的混淆方法，其特征在于，所述的步骤1)中根据setup算法中设定签名消息长度为m比特，且群成员数量不超过2^k时，计算出的群参数序列pub、主私钥MK和追踪秘钥TK的表达式为：

$\mathrm{pub}=(n,\hat{e},G,G_T,\mathrm{PP})$

PP＝(g,h,u,v',v₁,…,v_m,Ω,A)

MK＝(g^α,ω)∈G×Z_n

n＝p·q

$A=\hat{e}(g,g)$

Ω＝g^ω

且满足约束条件：k的大小与λ为线性关系，且存在正整数c₁和c₂，有c₁×λ≤log₂p≤c₂×λ且c₁×λ≤log₂q≤c₂×λ成立，

其中，G,G_T为n阶循环群，是G→G_T的双线性映射，PP为用于群签密的系列参数，g为G中的随机元素，h为G_q中的随机元素，u、v'和v₁,…,v_m均为G中的随机元素，α和ω为Z_n中的随机元素，p和q为自然数集合中的元素且均为质数，Z_n为模n剩余类环，λ为一元安全参数。

3.根据权利要求1所述的一种加密群签名的混淆方法，其特征在于，所述的步骤2)中的EKGen算法具体包括以下步骤：

根据在Z_n中随机选择的参数a和b，得到加密公钥PK_e和解密私钥SK_e：

PK_e＝(g^a,g^b)

SK_e＝(a,b)

其中，g为G中的随机元素，由群参数序列pub解析得出。

4.根据权利要求1所述的一种加密群签名的混淆方法，其特征在于，所述的步骤3)中Enroll算法中K_ID的计算式为：

K_ID＝(K₁,K₂,K₃)

$\mathrm{\&omega;}+s_{\mathrm{ID}}\&Element;Z_n^{*}$ 且ω∈Z_n

$K_1={\left(g^{\mathrm{\&alpha;}}\right)}^{\frac{1}{\mathrm{\&omega;}+s_{\mathrm{ID}}}}$

$K_2=g^{s_{\mathrm{ID}}}$

$K_3=u^{s_{\mathrm{ID}}}$

其中，g和u为G中的随机元素，且由群参数序列pub解析得出，α和ω为Z_n中的随机元素，且由主私钥MK解析得出，为模n剩余类环Z_n的乘法群。

5.根据权利要求1所述的一种加密群签名的混淆方法，其特征在于，所述的步骤4)中的混淆算法Obf为：

41)获得解析后的PK_e＝(PK_e,0,PK_e,1)、和sk＝K_ID＝(K₁,K₂,K₃)；

42)分别对sk和PK_e进行混淆，并获得混淆后的签名密钥z：

$z=(C_{x_1},C_{y_{\text{1}}},C_{x_2},C_{y_2},C_{x_3},C_{y_3},\widetilde{K_1},\widetilde{K_2},\widetilde{K_3})$

$\widetilde{K_1}=g^{x_1+y_1}\&CenterDot;K_1$

$\widetilde{K_2}=g^{x_2+y_2}\&CenterDot;K_2$

$\widetilde{K_3}=g^{x_3+y_3}\&CenterDot;K_3$

$C_{x_1}={{\mathrm{PK}}_{e,0}}^{x_1}$

$C_{y_1}={{\mathrm{PK}}_{e,1}}^{y_1}$

$C_{x_2}={{\mathrm{PK}}_{e,0}}^{x_2}$

$C_{y_2}={{\mathrm{PK}}_{e,1}}^{y_2}$

$C_{x_3}={{\mathrm{PK}}_{e,0}}^{x_3}$

$C_{y_3}={{\mathrm{PK}}_{e,1}}^{y_3}$

其中，x₁,y₁,x₂,y₂,x₃,y₃为Z_n中随机选择的参数，g为G中的随机元素，且由群参数序列pub解析得出。

6.根据权利要求1所述的一种加密群签名的混淆方法，其特征在于，所述的步骤5)中通过算法进行信息签名后产生加密密文C具体包括以下步骤：

51)判断消息M是否为空，若是，则输出(pub,PK_e)，若否，则进行步骤52；

52)获取解析后的二进制形式的M＝(μ₁,…,μ_m)、PK_e＝(PK_e,0,PK_e,1)、 $\mathrm{pub}=(n,\hat{e},G,G_T,\mathrm{PP})$ 和 $z=(C_{x_1},C_{y_{\text{1}}},C_{x_2},C_{y_2},C_{x_3},C_{y_3},K_1,K_2,K_3);$

53)进行信息签名后产生加密密文C：

$C={<{C_{x_i}}^{*},{C_{y_i}}^{*},\widetilde{{\mathrm{\&sigma;}}_i}>}_{(i=\mathrm{1,2,3,4})},<{C_{x_5}}^{*},{C_{y_5}}^{*},\widetilde{{\mathrm{\&pi;}}_1}>,<{C_{x_6}}^{*},{C_{y_6}}^{*},\widetilde{{\mathrm{\&pi;}}_2}>$

$\widetilde{{\mathrm{\&pi;}}_1}=g^{{x_5}^{*}+{y_5}^{*}}\&CenterDot;h^{t_1{t}_2}\&Not;{\left(\widetilde{{\mathrm{\&theta;}}_1}\right)}^{t_2}\&CenterDot;{\left(\widetilde{{\mathrm{\&theta;}}_2}\mathrm{\&Omega;}\right)}^{t_1}$

$\widetilde{{\mathrm{\&pi;}}_2}=g^{{x_6}^{*}+{y_6}^{*}}\&CenterDot;u^{t_2}\&CenterDot;g^{{-t}_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\mathrm{\&Pi;}}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^{t_4}$

$\widetilde{{\mathrm{\&sigma;}}_i}=g^{{x_i}^{*}+{y_i}^{*}}\&CenterDot;\widetilde{{\mathrm{\&theta;}}_i}\&CenterDot;h^{t_i}$

$\widetilde{{\mathrm{\&theta;}}_i}=\left\{\begin{array}{c}\widetilde{{\mathrm{\&theta;}}_1}=\widetilde{K_1}\\ \widetilde{{\mathrm{\&theta;}}_2}=\widetilde{K_2}\\ \widetilde{{\mathrm{\&theta;}}_3}=\widetilde{K_3}\&CenterDot;{\left(v^{\&prime;}\underset{i=1}{\overset{m}{\mathrm{\&Pi;}}}{v}_i^{{\mathrm{\&mu;}}_i}\right)}^s(i=\mathrm{1,2,3,4})\\ \widetilde{{\mathrm{\&theta;}}_4}=g^{-s}\end{array}\right.$

$\left\{\begin{array}{cc}{C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*}}\&CenterDot;C_{x_i},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;C_{y_i}& (i=\mathrm{1,2,3})\\ {C_{x_i}}^{*}={\left({\mathrm{PK}}_{e,0}\right)}^{{x_i}^{*},{C_{y_i}}^{*}={\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}}& (i=\mathrm{4,6})\\ {C_{x_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{x_i}^{*}}\&CenterDot;{C_{x_1}}^{t_2}\&CenterDot;{C_{x_2}}^{t_1},{C_{y_i}}^{*}\&LeftArrow;{\left({\mathrm{PK}}_{e,1}\right)}^{{y_i}^{*}}\&CenterDot;{C_{y_1}}^{t_2}\&CenterDot;{C_{y_2}}^{t_1}& (i=5)\end{array}\right.$

其中，s、t₁,…,t₄、x₁ ^*,…,x₆ ^*、y₁ ^*,…,y₆ ^*均为Z_n中的随机元素，g为G中的随机元素，h为G_q中的随机元素，v'和v₁,…,v_m均为G中的随机元素，μ_i为M中的元素，且g、h、v'和v₁,…,v_m均由群参数序列pub解析得出。