CN107835082B - 一种基于身份的可追踪环签名认证协议 - Google Patents

Abstract

本发明公开了一种基于身份的可追踪环签名认证协议，包括如下步骤：步骤一，系统初始化：密钥生成及参数选择；步骤二，签名生成与验证：用户生成环签名，接收者验证签名的有效性；步骤三，追踪证据生成与验证：用户生成追踪证据，验证方检验证据的合法性。本发明在实现认证安全的同时，可有效追踪签名者，并能抵御合谋攻击；由于基于抗碰撞累加器与知识签名技术生成长度固定的签名，不与环成员个数成正比，有效降低了通信成本。

Description

一种基于身份的可追踪环签名认证协议

技术领域

本发明涉及匿名认证且具备身份可追踪的方案，具体是一种基于身份的可追踪环签名认证协议。

背景技术

随着匿名通信的需求日益增长，匿名认证技术越来越受到关注。Chaum等提出了群签名技术，使得群成员可代表群生成签名，验证方只能确定签名由群内生成，而无法识别具体的签发成员。但群管理员可撤销签名成员的匿名性，限制了它的应范围。Rivest等提出了环签名技术，它是一种简化的群签名，环的形成完全由用户自组，且不存在管理员，可实现成员的无条件匿名。但这种性质易于被恶意成员利用，故在某些情况下，环签名的匿名性需要被撤销。Wu等人提出了一个可自证的环签名方案，但无法抵御非诚实签名者与非签名者的合谋攻击。由于环签名方案构造简单，签名高效，特别适用于计算能力及通信能力均有限，且不具备可信第三方支持的应用环境，如Ad Hoc网络环境。本发明解决这些问题。

发明内容

为解决现有技术的不足，本发明的目的在于本发明提出的基于身份的可追踪环签名认证协议，本发明在保证高效认证的同时，可实现签名成员身份的可追踪。

为了实现上述目标，本发明采用如下的技术方案：

一种基于身份的可追踪环签名认证协议，包括如下步骤：

步骤一，系统初始化：生成密钥及选择参数；所有用户构成的环的环公钥是Y＝g^V，其中V＝g(f(u,X))；系统的公开参数为params＝(t,t′,fog,H,Q,Q_pub,u,Hash)；

步骤二，签名生成与验证：用户生成环签名，接收者验证签名的有效性，若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法；用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)；

步骤三，追踪证据生成与验证：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，环用户可以自己生成追踪证据，再验证方检验证据的合法性。

前述的一种基于身份的可追踪环签名认证协议，生成密钥的具体步骤为：环成员i的身份号为id_i，生成相应成员的私钥

其中

所有环成员

可生成环公钥，计算

则所有用户构成的环的环公钥是Y＝g^V，其中V＝g(f(u,X))。

前述的一种基于身份的可追踪环签名认证协议，选择参数的具体步骤为：给定一个安全参数1^k，设G₁是一个阶为素数p的加法循环群，G₂是一个阶为p的乘法循环群，存在一个双线性对映射：e:G₁×G₁→G₂；

是一个抗碰撞的哈希函数；生成一个安全的累加器(fog)，并同时产生t＝(p,G₁,G_M,e，P)，s和t′＝(P,sP,K,s^qP)；选择H,Q∈_RG₁，

s为系统主私钥，计算Q_pub＝sQ；则系统的公开参数为params＝(t,t′,fog,H,Q,Q_pub,u,Hash)。

前述的一种基于身份的可追踪环签名认证协议，用户生成环签名的具体步骤包括：用户i选择

计算

计算关于消息m的知识签名：

s₁＝k₁+ρr；

那么用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)。

前述的一种基于身份的可追踪环签名认证协议，接收者验证签名的有效性的具体过程为：接收者收到签名S后，首先验证U≠±Y^±1是否成立以验证知识签名ρ的正确性，随后计算

是否成立。若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法。

前述的一种基于身份的可追踪环签名认证协议，追踪证据生成的具体过程为：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，环用户可以自己生成追踪证据，计算

并计算知识签名

输出证据

前述的一种基于身份的可追踪环签名认证协议，验证方检验证据的合法性的具体过程为：检验证据时，首先计算Y_j≠±U^±1是否成立并验证知识签名

的正确性，若不成立，输出0，表示证据非法；随后计算Y_j＝Y是否成立，若成立则表示用户j是签名者；若不成立，则表示j不是签名者。

本发明的有益之处在于：本发明能够保障用户身份认证的安全性，增强认证协议的适用性，尤其适用于Ad Hoc等移动应用场景；在实现认证安全的同时，可有效追踪签名者，并能抵御合谋攻击；该认证协议在密钥生成过程中引入基于身份的策略，防止了恶意用户与环成员合谋攻击；由于基于抗碰撞累加器与知识签名技术生成长度固定的签名，有效降低了通信成本；当出现争议时，追踪证据的生成与验证均简单、高效。

附图说明

图1是本发明的一种实施例的流程图。

具体实施方式

以下结合附图和具体实施例对本发明作具体的介绍。

对上述技术方案涉及的相关概念进行说明和解释：

一、抗碰撞累加器

抗碰撞累加器是一个元组({X₁}_1∈N,{F₁}_1∈N)，其中{X₁}_1∈N叫做累加器的值域，{F₁}_1∈N是一系统函数集合。选(f,g)∈{F₁}，其中

而g:U_f→U_g是一个双射函数。在本发明中，基于ID的累加器可以如下实现：选择一个安全参数1^k，得到一个元组t＝(p,G₁,G_M,e,P)，其中p一个大素数，而P是加法循环群G₁的一个生成元，G_M是一个和G₁同阶的乘法群，e是一个双线性对。然后选择一个

计算t′＝(P,sP,...,s^qP)，并且t′公开。那么累加器函数(f,g)定义为：

f:Z_P×Z_P→Z_P g:Z_P→G₁

f:(u,x)→(x+s)u g:u→uP

二、知识签名

知识签名采用单向非交互式协议证明自身知道某些知识，但不泄漏有关知识的任何信息，一般用于对机密内容的证明，目前广泛应用于匿名通信中，从而能有效地确定群成员身份。一个知识签名一般表示为SPK{(x₁,...,x_t):R(x₁,...，x_t)}(M)，是指签名者用秘密值x₁,...，x_t对消息M进行知识签名，x₁,...，x_t满足关系式R(x₁,...，x_t)。

常见的知识签名有基于离散对数的知识签名。设y,g∈G，若等式c＝H(mPyPgPg^sy^c)成立，则二元组即为y对于消息m的以g为底的离散对数的知识签名，记作：SPK{(a):y＝g^a}(m)。具体签名步骤为：签名者随机选择r∈_RZ_n ^*，计算c＝H(mPyPgPg^r),s＝r-cx；随后发送(c,s)给验证者，验证者计算c′＝H(mPyPgPg^sy^c)＝H(mPyPgPg^r-cxy^cx)是否成立以判断签名的正确性。

如图1所示，一种基于身份的可追踪环签名认证协议，包括如下步骤：

步骤一，系统初始化：生成密钥及选择参数，“即密钥生成及参数选取”；

生成密钥的具体步骤为：环成员i的身份号为id_i，生成相应成员的私钥

其中

所有环成员

可生成环公钥，计算

则所有用户构成的环的环公钥是Y＝g^V，其中V＝g(f(u,X))。

选择参数的具体步骤为：给定一个安全参数1^k，设G₁是一个阶为素数p的加法循环群，G₂是一个阶为p的乘法循环群，存在一个双线性对映射：e:G₁×G₁→G₂；

是一个抗碰撞的哈希函数；生成一个安全的累加器(f og)，并同时产生t＝(p,G₁,G_M,e，P)，s和t′＝(P,sP,K,s^qP)；选择H,Q∈_RG₁，

s为系统主私钥，计算Q_pub＝sQ；则系统的公开参数为params＝(t,t′,fog,H,Q,Q_pub,u,Hash)。

步骤二，签名生成与验证：用户生成环签名，接收者验证签名的有效性，若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法；用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)；

用户生成环签名的具体步骤包括：用户i选择

计算

计算关于消息m的知识签名：

s₁＝k₁+ρr；

那么用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)。

接收者验证签名的有效性的具体过程为：接收者收到签名S后，首先验证U≠±Y^±1是否成立以验证知识签名ρ的正确性，随后计算

是否成立。若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法。

步骤三，追踪证据生成与验证：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，(当出现争议时)环用户可以自己生成追踪证据，再验证方检验证据的合法性。

追踪证据生成的具体过程为：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，环用户可以自己生成追踪证据，计算

并计算知识签名

输出证据

验证方检验证据的合法性的具体过程为：检验证据时，首先计算Y_j≠±U^±1是否成立并验证知识签名

的正确性，若不成立，输出0，表示证据非法；随后计算Y_j＝Y是否成立，若成立则表示用户j是签名者；若不成立，则表示j不是签名者。

依照本发明的步骤，当在Ad Hoc网络环境下应用本发明的基于身份的可追踪环签名认证协议时，如用户A希望向用户B证明自己是网络区域中的有效用户，那么A可使用本发明中的签名生成方法，利用区域中的有效用户节点构造相应的环签名，B收到该签名后可验证A是否来自于有效用户的集合，但无法知晓A的具体信息，保护了A的隐私。如果通信过程中出现争议或有恶意用户冒充A发送签名，A可生成有效证据说明自身是否是真实的签名人。该协议构造简单，执行高效，特别适用于Ad Hoc等计算能力及通信能力均有限，且不具备可信第三方支持的应用场景。

所以，本发明能够保障用户身份认证的安全性，增强认证协议的适用性，尤其适用于Ad Hoc等移动应用场景；在实现认证安全的同时，可有效追踪签名者，并能抵御合谋攻击。该认证协议在密钥生成过程中引入基于身份的策略，防止了恶意用户与环成员合谋攻击；并基于抗碰撞累加器与知识签名技术生成长度固定的签名，有效降低了通信成本；当出现争议时，追踪证据的生成与验证均简单、高效。

以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解，上述实施例不以任何形式限制本发明，凡采用等同替换或等效变换的方式所获得的技术方案，均落在本发明的保护范围内。

Claims (4)

1.一种基于身份的可追踪环签名认证协议，其特征在于，包括如下步骤：

步骤一，系统初始化：生成密钥及选择参数；上述生成密钥的具体步骤为：环成员i的身份号为id_i，生成相应成员的私钥

其中，s为系统主私钥，Q为G₁中任一元素，

所有环成员

可生成环公钥，计算

则所有用户构成的环的环公钥是Y＝g^V且V＝g(f(u,X))，(f,g)为累加器函数，并定义为f:Z_P×Z_P→Z_P g:Z_P→G₁，f:(u,x)→(x+s)u g:u→uP,Z_P为模P加法循环群，x∈_RZ_P；上述选择参数的具体步骤为：给定一个安全参数1^k，设G₁是一个阶为素数p的加法循环群，G₂是一个阶为素数p的乘法循环群，存在一个双线性对映射：e:G₁×G₁→G₂；Hash:

是一个抗碰撞的哈希函数，

为模P乘法循环群,生成一个安全的累加器(fog)，G_M为与G₁同阶的乘法群，于是有t＝(p,G₁,G_M,e,P)”，其中，P是加法循环群G₁的一个生成元，s和t′＝(P,sP,K,s^qP)，其中q为一素数，且q|P-1；选择H,Q∈_RG₁，

即H为G₁中任一元素，计算Q_pub＝sQ；则系统的公开参数为params＝(t,t′,fog,H,Q,Q_pub,u,Hash)；

步骤二，签名生成与验证：用户生成环签名，接收者验证签名的有效性，若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法；用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)，上述用户生成环签名的具体步骤包括：用户i选择r,k₁,k₂,

计算

计算关于消息m的知识签名：

s₁＝k₁+ρr；

那么用户i生成的环签名S为(ρ,U₁,Π,s₁,s₂,s₃)；

步骤三，追踪证据生成与验证：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，环用户可以自己生成追踪证据，再验证方检验证据的合法性。

2.根据权利要求1所述的一种基于身份的可追踪环签名认证协议，其特征在于，上述接收者验证签名的有效性的具体过程为：接收者收到签名S后，首先验证U≠±Y^±1是否成立以验证知识签名ρ的正确性，随后计算

是否成立，若所有验证都成立，则输出1，表示签名出自用户所在环；否则，输出0，表示非法。

3.根据权利要求1所述的一种基于身份的可追踪环签名认证协议，其特征在于，上述追踪证据生成的具体过程为：当出现疑问，或是遇到恶意节点冒充环中第j个用户签名时，环用户可以自己生成追踪证据，计算

并计算知识签名

输出证据

4.根据权利要求1所述的一种基于身份的可追踪环签名认证协议，其特征在于，上述验证方检验证据的合法性的具体过程为：检验证据时，首先计算Y_j≠±U^±1是否成立并验证知识签名

的正确性，若不成立，输出0，表示证据非法；随后计算Y_j＝Y是否成立，若成立则表示用户j是签名者；若不成立，则表示j不是签名者。

Images