CN110086599A - 基于同态变色龙哈希函数的哈希计算方法及签密方法 - Google Patents

Abstract

本发明公开了一种基于同态变色龙哈希函数的哈希计算方法及签密方法，提出的同态变色龙哈希函数，其变色龙哈希值结果采用对数的形式，签密方法中基于该哈希的签密的结果也是对数的形式，具有同态性，在哈希计算中可以进行同态聚合，更加高效计算哈希，且该同态变色龙哈希函数兼具同态和防密钥泄漏两点。签密方法实现以同态变色龙哈希函数为基础，同态聚合签密保证了同态性，系统初始化产生的系统公开参数被变色龙哈希函数和签密共同使用，两个密码方案共享一套系统参数，因此多个功能效果可以在一套共享的系统参数下得以实现，实现同一个框架下支持多种功能。其次，代理密钥生成和代理重签名步骤实现代理重签名。进行抵赖步骤实现了不可抵赖性。

Description

基于同态变色龙哈希函数的哈希计算方法及签密方法

技术领域

本发明属于网络安全技术领域，具体涉及同态变色龙哈希函数的哈希计算方法及签密方法。

背景技术

变色龙哈希函数是一种陷门单向哈希函数，它能够高效的计算哈希值，并且在没有陷门的情况下，寻找哈希的碰撞是困难的。现有的变色龙哈希函数不具备同态性，因此不能够将多个哈希值聚合成一个哈希值。不具备同态性的哈希值，需要对每一个消息进行哈希计算，且计算结果不具有关联性，对于由多个消息组成的消息，需要根据其明文进行重新计算，因此计算频次多，计算开销大，而具备同态性的哈希值仅仅需要将多个值进行简单高效聚合即可，因此，计算频次低，开销小。现有的变色龙哈希函数为了应对密钥泄露问题，通常引入随机数，而该构造无法同时兼容同态性的设计，关键在于没有考虑指数具有同态性，同时又可避免密钥泄露问题的哈希函数。

签密是一种可以在一个密码框架下同时实现签名和加密的技术，它能够同时实现消息的隐私性和可认证性。然而，没有研究显示能将签密方案从变色龙哈希函数的基础上扩展得到。签密方案以变色龙哈希函数为基础可以使底层效率和安全性得到充分讨论，变色龙哈希函数作为一种典型的哈希函数，具有效率高的特点，这适用于构建高效的签密方案。并且现有签密方案不能在一个框架支持以下多个功能：代理重签名，同态性，不可抵赖性。导致无法灵活的实现多功能的隐私保护，当前应用对隐私保护的需求日益多样化，不仅仅对隐私保护的安全提出要求，同时也提出对具备延展性和可认证性的隐私保护的需求，签密同时具备隐私保护和可认证性，然而通常的构造无法支持可延展性，即对签密文进行同态聚合动态操作，重签名操作等等，这使得隐私保护的成本大，效果单一，不安全等等缺陷。而这些功能能够让用户转移签名特权，让签密文具有同态性，让签密文的接收者具有伪造签密文的能力，能够为用户提供更加灵活和具有应用前景的隐私保护。

其中不可抵赖性是指通过计算碰撞进行伪造，但是伪造得到的签密文能够被用户轻易的抵赖(Deny)，从而实现签密文的不可抵赖性。伪造指的是计算哈希碰撞，即找到一个新的随机数满足两个哈希值结果一致，伪造的对象是碰撞，计算碰撞的过程我们称之为伪造，碰撞是指的是两个哈希值结果一致，但是对应的消息不同。抵赖指的是可以提供证据证明陷门拥有者确实执行了伪造过程，这里的证据即是提供一个可以满足哈希碰撞的结果，因为只有陷门拥有者可以执行伪造，以此，抵赖指的是提供证据对陷门拥有者的声明进行抵赖，由此一来证明了陷门拥有者确实进行了伪造，这里抵赖的对象是伪造得到的碰撞，伪造是计算碰撞的过程。

发明内容

本发明的目的在于：解决目前现有计算哈希的变色龙哈希函数不具备同态性，不能将多个哈希值聚合，且现有的签密方法不能在一个框架支持代理重签名、同态性和不可抵赖性的多个功能，用户隐私保护效果不够好的问题，提出了同态变色龙哈希函数的哈希计算方法及签密方法。

本发明采用的技术方案如下：

基于同态变色龙哈希函数的哈希计算方法，方法如下：

系统初始化：得到系统公开参数；

密钥生成：基于系统公开参数和陷门私钥tk，计算哈希公钥hk＝g^tk；

计算哈希：基于系统公开参数，根据交易信息TID和消息m，计算所有消息m_i...m_n对应的变色龙哈希值和变色龙随机数r＝(g^a，y^a)，其中，g为系统公开参数之一，y为哈希公钥hk的值，a为一个随机数表示去掉单位元的阶为q的整数群，其中单位元为0，，为中间参数且e为中间参数，且e＝H₁(TID，y)，H₁()为系统公开参数中的哈希函数；

同态聚合哈希：根据交易信息、哈希公钥hk、n个消息m_i...m_n、每一个消息m_i对应的变色龙哈希值和变色龙随机数r，验证每一个消息m_i计算哈希得到的结果是否正确，不正确则输出验证结果并退出，正确则对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果。

进一步，所述方法中还包括计算碰撞步骤：根据交易信息TID、哈希公钥hk、消息和该消息对应的变色龙哈希值和变色龙随机数，再结合新的消息，先验证基于该消息计算哈希得到的结果是否正确；

不正确则输出验证结果，正确则对新的消息计算哈希，得到新的消息对应的新的变色龙随机数，并验证基于新的消息计算哈希得到的结果是否正确，不正确则输出验证结果并退出，正确则输出该新的变色龙随机数作为一个满足碰撞的新的变色龙随机数。

所述计算碰撞步骤能够对1个消息进行，对多个消息的碰撞结果，可以直接进行同态聚合来获得总的碰撞结果，而不需要再次执行碰撞算法。

进一步，所述验证的具体方法为：根据交易信息TID、密钥生成步骤计算得到的哈希公钥hk、消息m和该消息对应计算哈希得到的变色龙哈希值和变色龙随机数r＝(g^a，y^a)，先计算e＝H₁(TID，y)，然后检查由计算哈希的结果组成的数组<g，g^a，y，y^a>和是否均是Diffie-Hellman数组，若是则正确，若不是则不正确。

进一步，所述系统初始化步骤中得到系统公开参数的具体方法为：先选择安全参数λ，根据安全参数λ选择一个素数q，进而选一个阶为q生成元为g的一个GDH群G，再选取哈希函数H₁：{0，1}^*→Z_q，Z_q为q阶整数群，输出{G，q，g，H₁}作为系统公开参数。

进一步，所述同态聚合哈希步骤中对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果的方法为：对每一个消息m_i计算哈希得到的变色龙哈希值和变色龙随机数进行同态聚合计算并输出计算结果作为同态聚合的结果

基于同态变色龙哈希函数的签密方法，方法如下：

系统初始化：设置系统公开参数；

用户密钥生成：基于系统公开参数，计算得到用户私钥和用户公钥对(sk_user，pk_user)，g为系统公开参数之一；

代理密钥生成：基于系统公开参数，计算代理重签名密钥k_AB；

计算签密：基于系统公开参数，根据交易信息、消息m、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算消息m对应的签密信息C＝(C₀，C₁，C₂，C₃)；

代理重签名：根据一个用户A签名的签密信息和代理重签名密钥k_AB计算另一个用户B签名的签密信息

同态聚合签密：根据基于n个消息m计算得到的n个签密信息，计算得到一个聚合的签密信息C_n；

进行抵赖：针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果。

进一步，所述方法还包括在计算代理重签名步骤之后的解签密和验证签密步骤，具体为：

解签密：根据签密信息C和接收者的用户私钥计算得到对应的消息，具体方法为：根据签密信息C，一个交易信息TID，接收者R的用户私钥sk_R、接收者R的用户公钥pk_R，计算e＝H₁(TID，pk_R)，并计算从而恢复得到明文m，其中sk_R＝(x_0，R，x_1，R，x_2，R)，x_0，R是私钥sk_R的一部分；

验证签密：根据接收者的用户私钥sk_R计算并验证签密信息C的正确性，得到验证结果，具体方法为：根据一个解签密得到的明文一个交易信息TID，一个对应的签密信息C＝(C₀，C₁，C₂，C₃)，使用接收者R的用户私钥sk_R和发送者的用户公钥pk_S检查如下公式是否成立：并输出验证结果，其中发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)，y_1，S为pk_S的一部分；

所述方法还包括计算碰撞步骤，具体为：基于系统公开参数，根据交易信息、签密信息C或者聚合的签密信息C_n，再结合一个新的消息m′，使用接收者的用户私钥sk_R和发送者的用户公钥pk_S计算并输出满足碰撞的签密信息C’或者C′_n。

进一步，所述系统初始化步骤具体方法为：先选择安全参数λ，再根据安全参数λ选择一个素数q，选一个阶为q生成元为g的一个群G，选取哈希函数H₁：{O，1}^*→Z_q，Z_q为q阶整数群，输出得到系统公开参数param_PHSD＝{G，q，g，H₁}。

进一步，所述代理密钥生成步骤具体方法为：

基于系统公开参数，代理P选择一个随机数s∈Z_q发送给用户A，用户A的用户私钥为sk_A，sk_A＝(x_0，A，x_1，A，x_2，A)；

用户A收到s后，计算并发送给用户B，表示使用私钥x_1，A进行签名的基本签名方案；

用户B收到后，计算并将其发送至代理P，用户B的用户私钥为sk_B，sk_B＝(x_O，B，x_1，B，x_2，B)；

代理P根据计算得到代理重签名密钥k_AB＝x_1，B/x_1，A。

进一步，所述计算签密步骤具体方法为：基于系统公开参数，根据交易信息TID、消息m、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算e＝H₁(TID，pk_R)和h＝g^e，计算C₀＝g^a，输出得到签密信息C＝(C₀，C₁，C₂，C₃)，其中g为系统公开参数之一，接收者的用户公钥pk_R＝(y_0，R，y_1，R，y_2，R)，sk_S＝(x_0，S，x_1，S，x_2，S)，接收者R的用户私钥sk_R＝(x_0，R，x_1，R，x_2，R)。

进一步，所述进行抵赖步骤具体方法为：针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果，具体为：

针对一个有争议的签密信息的接收者R，计算一个非交互式的知识证明∑，并连同交易信息TID一起发送至一个可信的裁判J，具体的裁决流程如下：

裁判J首先检查∑的正确性，若错误，则输出⊥并且退出；否则，裁判J联系对应的发送者进行确认如下：

若发送者直接承认，则输出抵赖失败并退出；否则，发送者可以公布一组原始信息(a，m)进行抵赖，这里a是用于签密的随机数，m是原始的消息，裁判J判断如下是否成立：(2)C₀＝g^aand(3)and若所述条件均成立，则满足碰撞，则代表抵赖成功并且输出结果，其中：g为系统公开参数之一，发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明中，变色龙哈希值结果采用对数的形式，签密方法中基于该哈希的签密的结果也是对数的形式，因此是具有同态性的，在哈希计算中就可以进行同态聚合，更加高效计算哈希，且该同态变色龙哈希函数兼具同态和防密钥泄漏两点，功能更强。

2、本发明中，签密方法实现以同态变色龙哈希函数为基础，同态聚合签密保证了同态性，系统初始化产生的系统公开参数被变色龙哈希函数和签密共同使用，两个密码方案共享一套系统参数，因此多个功能效果可以在一套共享的系统参数下得以实现，实现同一个框架下支持多种功能。其次，代理密钥生成和代理重签名步骤实现代理重签名。进行抵赖步骤实现了不可抵赖性。

3、本发明中，签密方法实现以同态变色龙哈希函数为基础，签密的安全性依赖于底层的变色龙哈希函数，同态变色龙哈希函数是具有抗密钥泄露的，因此本发明中签密方案使用变色龙的优点是高效和安全，充分利用了变色龙哈希函数的高效性和安全性。

4、本发明中，进行验证是为了确认哈希值或者签密密文值是否正确生成，若该值为错误的，那么避免对其进一步的操作，如同态聚合。对错误的值进行进一步操作时无意义的，会造成无意义的计算开销。验证使得方法更加高效。

5、本发明中，签密方法中，解签密的作用是对签密文进行解密，恢复得到明文，验证签密的作用是对恢复得到的明文验证签名及其正确性，后者依赖于前者，他们的共同作用是对签密进行解密和验证，确保消息的可信和完整。这两个步骤能够进一步确保所述的代理重签名、同态性和不可抵赖性的多个功能正确的执行。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明方法框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

需要说明的是，本发明中：

tk为字母组合表示陷门私钥；

hk为字母组合表示哈希公钥；

sk_user为字母组合表示用户私钥；

pk_user为字母组合表示用户公钥。

实施例1

本发明较佳实施例提供的一种基于同态变色龙哈希函数的哈希计算方法，方法如下：

步骤1、系统初始化：得到系统公开参数param_HKFC。具体为：

先选择安全参数λ，根据安全参数λ选择一个素数q，进而选一个阶为q生成元为g的一个GDH群G，再选取哈希函数H₁：{0，1}^*→Z_q，Z_q为q阶整数群，输出{G，q，g，H₁}作为系统公开参数param_HKFC。这里的GDH群指的是这样一类群：在其上，Computational Diffie-Hellman(CDH)问题是困难的，但是Decisional Diffie-Hellman(DDH)问题是简单的，该GDH群可以由超基椭圆曲线或者有限域上的超椭圆曲线构造得到，具体方法可以在Boneh et al的文章《Short signature from the weilpairing》中找到。

步骤2、密钥生成：基于系统公开参数和陷门私钥tk，计算哈希公钥hk＝g^tk。具体为：

根据公开参数param_HKFC，选择一个随机数作为陷门私钥tk，然后计算哈希公钥hk＝g^x。表示去掉单位元的阶为q的整数群，其中单位元为0。

步骤3、计算哈希：基于系统公开参数param_HKFC，根据一个指定的交易信息TID和消息m，m∈{0，1}^l(l≤log₂q)，计算所有消息m_i...mn对应的变色龙哈希值和变色龙随机数r＝(g^a，y^a)，其中g为系统公开参数中群G的元，中间参数e＝H₁(TID，y)，a为选择的随机数y为哈希公钥hk的值。其中的引入成功的实现了防密钥泄露的问题，能够将密钥泄露问题的安全性规约到q-SDH(q-strong diffie-hellman问题)上去，具体安全问题可以在文献《short signature without random oracle》中找到。

然后进行验证哈希：根据哈希公钥hk，交易信息TID，一个数组其中包括消息m，对应的变色龙哈希值和变色龙随机数r，首先计算e＝H₁(TID，y)，然后检查数组<g，g^a，y，y^a>和是否均为Diffie-Hellman数组，若均满足则验证为正确，则验证结果为1；否则验证为错误，则验证结果为0。

判断这个数组是否是Diffie-Hellman有现成的算法，可以输入该算法进行判断，具体算法构造不在本专利中提到，但是可以前往文献<short signatures from the weilpairing>获取完整信息。

步骤4、计算碰撞：根据交易信息、哈希公钥hk、消息和该消息对应的变色龙哈希值和变色龙随机数，再结合新的消息，先验证基于该消息计算哈希得到的结果是否正确；

不正确则输出验证结果，正确则对新的消息计算哈希，得到新的消息对应的新的变色龙随机数，并验证基于新的消息计算哈希得到的结果是否正确，不正确则输出验证结果并退出，正确则输出该新的变色龙随机数作为一个满足碰撞的新的变色龙随机数。

所述计算碰撞步骤能够对1个消息进行，对多个消息的碰撞结果，可以直接进行同态聚合来获得总的碰撞结果，而不需要再次执行碰撞算法。

具体为：

根据哈希公钥从，交易信息TID，一个数组，一个新的消息m′，首先对数组执行上述验证哈希相同的步骤，若验证结果为0，则输出⊥；否则，继续计算e＝H₁(TID，y)，进而计算新的变色龙随机数 x即为陷门私钥tk的值。；紧接着，对数组执行上述验证哈希相同的步骤，若验证结果为0，则输出上并退出；否则，输出r′作为一个满足碰撞的新变色龙随机数。

步骤5、同态聚合哈希：根据交易信息TID、哈希公钥hk、n个消息m_i...m_n、每一个消息m_i对应的变色龙哈希值和变色龙随机数r，验证每一个消息m_i计算哈希得到的结果数组(1≤i≤n)是否正确，不正确则输出验证结果并退出，正确则对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果。

进一步，所述验证的具体方法为：根据交易信息TID、哈希公钥hk、消息m和该消息对应计算哈希得到得到的结果数组(1≤i≤n)，先计算e＝H₁(TID，y)，然后检查由计算哈希的结果组成的数组<g，g^a，y，y^a>和是否均是Diffie-Hellman数组，若满足该条件则正确验证结果为1，若不满足该条件则不正确验证结果为0，其中y为哈希公钥hk的值，哈希函数H₁是系统公开参数之一。若为0，则输出⊥并退出；否则，计算聚合结果。

进一步，所述同态聚合哈希步骤中对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果的方法为：对每一个消息m_i计算哈希得到的变色龙哈希值和变色龙随机数进行同态聚合计算并输出计算结果作为同态聚合的结果

基于上述的同态变色龙哈希函数，构造出一个一种基于同态变色龙哈希函数的签密方法，方法如下：

步骤a、系统初始化：设置系统公开参数。具体为：

先选择安全参数λ，再根据安全参数λ选择一个素数q，选一个阶为q生成元为g的一个群G(非GDH群)，选取哈希函数H₁：{0，1}^*→Z_q，输出得到系统公开参数param_PHSD＝{G，q，g，H₁}。

步骤b、用户密钥生成：基于系统公开参数param_PHSD，计算得到用户私钥和用户公钥对(sk_user，pk_user)，g为系统公开参数之一。具体为：

从群Z_q中选择三个随机数x_0，user，x_1，user，x_2，user作为用户私钥，即：sk_user＝(x_0，user，x_1，user，x_2，user)，然后计算用户公钥

步骤c、代理密钥生成：基于系统公开参数，计算代理重签名密钥k_AB。具体为：

基于系统公开参数param_PHSD＝{G，p，g，H₂}，代理P选择一个随机数s∈Z_q发送给用户A，用户A的用户私钥为sk_A，sk_A＝(x_O，A，x_1，A，x_2，A)；

用户A收到s后，计算并发送给用户B，表示使用私钥x_1，A进行签名的基本签名方案；

用户B收到后，计算并将其发送至代理P，用户B的用户私钥为sk_B，sk_B＝(x_O，B，x_1，B，x_2，B)；

代理P根据计算得到代理重签名密钥k_AB＝x_1，B/x_1，A。

步骤d、计算签密：基于系统公开参数param_PHSD，根据交易信息TID、消息m、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算消息m对应的签密信息C＝(C₀，C₁，C₂，C₃)。具体为：

进一步，所述计算签密步骤具体方法为：基于系统公开参数，根据一个交易信息TID、消息m，m∈{0，1}^ll≤log₂p、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算e＝H₁(TID，pk_R)和h＝g^e，计算C₀＝g^a， 输出得到签密信息C＝(C₀，C₁，C₂，C₃)，其中g为系统公开参数之一， 接收者的用户公钥pk_R＝(y_0，R，y_1，R，y_2，R)，sk_S＝(x_O，S，x_1，S，x_2，S)，接收者R的用户私钥sk_R＝(x_O，R，x_1，R，x_2，R)。

步骤e、代理重签名：根据一个用户A签名的签密信息和代理重签名密钥k_AB计算另一个用户B签名的签密信息具体为：

根据一个用户A签名的签密信息和已经得到的代理重签名密钥k_AB计算另一个用户B签名的签密信息先设和再计算知输出作为结果。

代理重签名的作用是允许一个中介对用户产生过的签密消息进行重新签名，具体为假设A和B通过执行代理密钥生成算法来协商一个代理密钥k_(A，B)，那么可以委托一个中介来使用该k_(A，B)，来将A签密的消息转换为B的签名(密文不变，签名变为B的)，这样一来，密文的签名从A变为B，这个作用可以用于转换密文的所有权，并且可以广泛用于任何重签名相关的应用。可以概括为对签密消息进行重签名，使签密文的所属权得到灵活的转换，从而同时实现一种安全的加密和灵活的认证措施。

进一步，所述方法还包括在计算代理重签名步骤之后的解签密和验证签密步骤，具体为：

步骤f、解签密：根据签密信息C和接收者的用户私钥计算得到对应的消息，具体方法为：根据签密信息C，一个交易信息TID，接收者R的用户私钥sk_R、接收者R的用户公钥pk_R，计算e＝H₁(TID，pk_R)，并计算从而恢复得到明文m，其中sk_R＝(x_0，R，x_1，R，x_2，R)，x_0，R是私钥sk_R的一部分；

步骤g、验证签密：根据接收者的用户私钥sk_R计算并验证签密信息C的正确性，得到验证结果，具体方法为：根据一个解签密得到的明文一个交易信息TID，一个对应的签密信息C＝(C₀，C₁，C₂，C₃)，使用接收者R的用户私钥sk_R和发送者的用户公钥pk_S检查如下公式是否成立：并输出验证结果，若成立，则输出1；否则，输出0。其中发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)，y_1，S为pk_S的一部分；

步骤h、同态聚合签密：根据基于n个消息m计算得到的n个签密信息，计算得到一个聚合的签密信息C_n。具体为：

根据收到的n个签密信息(C_0，0，C_1，0，C_2，0，C_3，0)，...，(C_0，n，C_1，n，C_2，n，C_3，n)，(假设他们由同一个发送者S签密，并且发送给同一个接收者R，在相同交易信息TID下)，计算聚合结果如下： 输出C＝(C₀，C₁，C₂，C₃)作为聚合后的签密信息。

所述方法还包括步骤：

步骤i、计算碰撞：基于系统公开参数，根据交易信息、签密信息C或者聚合的签密信息C_n，再结合一个新的消息m′，使用接收者的用户私钥sk_R和发送者的用户公钥pk_S计算并输出满足碰撞的签密信息C′或者C′_n。

所述计算碰撞步骤能够对1个消息进行，对多个消息的碰撞结果，可以直接进行同态聚合来获得总的碰撞结果，而不需要再次执行碰撞算法。

针对聚合的签密信息C′_n举例，所述计算碰撞的具体方法为：基于系统公开参数，根据聚合的签密信息C_n和交易信息，再结合一个新的消息m′，使用接收者的用户私钥sk_R和发送者的用户公钥pk_S计算并输出满足碰撞的签密信息C′_n，计算签密碰撞如下： C₂＝C′₂，输出C′_n＝(C′₀，C′₁，C′₂，C′₃)作为满足C_n＝(C₀，C₁，C₂，C₃)的一个碰撞，它具有：C₂＝C′₂，但是分别对应的明文m≠m′不相等的特性。

其中：g为系统公开参数之一，发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)， sk_R＝(x_O，R，x_1，R，x_2，R)。

步骤j、进行抵赖：针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果。具体为：

针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果，具体为：

针对一个有争议的签密信息的接收者R，计算一个非交互式的知识证明∑(用于在不泄露离散对数的x_0，R的情况下，证明x_0，R＝log_g y_0，R，可以通过文章Camenisch and Stadler《Efficient group signature schemes for large groups》了解更多)，并连同交易信息TID一起发送至一个可信的裁判J，具体的裁决流程如下：

裁判J首先检查∑的正确性，若错误，则输出⊥并且退出；否则，裁判J联系对应的发送者进行确认如下：

若发送者直接承认，则输出抵赖失败结果0并退出(即表示签密文是原始的，不是通过计算碰撞得到的)；否则，发送者可以公布一组原始信息(a，m)进行抵赖，这里a是用于签密的随机数，m是原始的消息，裁判J判断如下是否成立：(1)(2)C₀＝g^aand(3)and若所述条件均成立，则满足碰撞，则代表抵赖成功并且输出返回结果1。其中：g为系统公开参数之一，发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)。

进行抵赖指的是签密文发送者(假设为用户A)对不是自己产生的签密文进行反对和提供证据。不可抵赖性指的是，对于用户A给出的证据，签密文的接收者(假设为用户B)无法对其进行抵赖，即一旦A给出有效的证据，那么B即被认为是恶意的，即B伪造了A对其发送的密文，而A通过举证证明了这一事实。综上所述，进行抵赖的是签密文发送者(即执行签密算法的用户)，不可抵赖性指的是面对给出的证据，B无法对其反驳的事实，两个概念互相对应。

需要说明的是：⊥指的是错误指令，通常用于区别0，与0所指的失败不同的是，错误指令指的是算法根本没有被执行，因为其遇到了错误的消息。避免进行下一步操作，避免无意义的计算开销。

e可以理解为计算的中间参数，是计算哈希值的一个输入，e的作用是将身份信息TID和哈希公钥hk的值y作为输入，使TID和y绑定到哈希值中，确保哈希值的公开可计算和可验证性，的作用是防止密钥泄露，由于的引入，其特性使得任何不使用私钥x来计算碰撞是不可行的，该安全问题，可以规约到q-strongdiffie-hellman问题上，具体问题的研究可以见文献<short signatures without random oracles>。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于同态变色龙哈希函数的哈希计算方法，其特征在于：方法如下：

系统初始化：得到系统公开参数；

密钥生成：基于系统公开参数和陷门私钥tk，计算哈希公钥hk＝g^tk；

计算哈希：基于系统公开参数，根据交易信息TID和消息m，计算所有消息m_i...m_n对应的变色龙哈希值和变色龙随机数r＝(g^a，y^a)，其中，g为系统公开参数之一，y为哈希公钥hk的值，a为一个随机数 表示去掉单位元的阶为q的整数群，其中单位元为O，为中间参数且e为中间参数，且e＝H₁(TID，y)，H₁()为系统公开参数中的哈希函数；

同态聚合哈希：根据交易信息TID、哈希公钥hk、消息m_i...m_n、每一个消息m_i对应的变色龙哈希值和变色龙随机数r，验证每一个消息m_i计算哈希得到的结果是否正确，不正确则输出验证结果并退出，正确则对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果。

2.根据权利要求1所述的基于同态变色龙哈希函数的哈希计算方法，其特征在于：所述方法中还包括计算碰撞步骤：

根据交易信息TID、哈希公钥hk、消息m_i和该消息对应的变色龙哈希值和变色龙随机数；

再结合新的消息，先验证基于该消息计算哈希得到的结果是否正确，不正确则输出验证结果；正确则对新的消息计算哈希，得到新的消息对应的新的变色龙随机数，并验证基于新的消息计算哈希得到的结果是否正确，不正确则输出验证结果并退出，正确则输出该新的变色龙随机数作为一个满足碰撞的新的变色龙随机数；

所述计算碰撞步骤能够对1个消息进行，对多个消息的碰撞结果，可以直接进行同态聚合来获得总的碰撞结果，而不需要再次执行碰撞算法。

3.根据权利要求1或2所述的基于同态变色龙哈希函数的哈希计算方法，其特征在于：所述对消息m_i计算哈希得到的结果是否正确的具体方法为：

根据交易信息TID、密钥生成步骤计算得到的哈希公钥hk、消息m_i和该消息对应计算哈希得到的变色龙哈希值和变色龙随机数r＝(g^a，y^a)，先计算e＝H₁(TID，y)；

然后检查由计算哈希的结果组成的数组<g，g^a，y，y^a>和是否均是Diffie-Hellman数组，若是则正确，若不是则不正确。

4.根据权利要求1所述的基于同态变色龙哈希函数的哈希计算方法，其特征在于：所述系统初始化步骤中得到系统公开参数的具体方法为：先选择安全参数λ，根据安全参数丸选择一个素数q，进而选一个阶为q生成元为g的一个GDH群G，再选取哈希函数H₁：{0，1}^*→Z_q，Z_q为q阶整数群，输出{G，q，g，H₁}作为系统公开参数。

5.根据权利要求1所述的基于同态变色龙哈希函数的哈希计算方法，其特征在于：所述同态聚合哈希步骤中对每一个消息m_i计算哈希的结果进行聚合，并输出聚合结果的方法为：对每一个消息m_i计算哈希得到的变色龙哈希值和变色龙随机数进行同态聚合计算并输出计算结果作为同态聚合的结果

6.一种基于同态变色龙哈希函数的签密方法，其特征在于：方法如下：

系统初始化：设置系统公开参数；

用户密钥生成：基于系统公开参数，计算得到用户私钥和用户公钥对g为系统公开参数之一；

代理密钥生成：基于系统公开参数，计算代理重签名密钥k_AB；

计算签密：基于系统公开参数，根据交易信息、消息m、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算消息m对应的签密信息C＝(C₀，C₁，C₂，C₃)；

代理重签名：根据一个用户A签名的签密信息和代理重签名密钥k_AB计算另一个用户B签名的签密信息

同态聚合签密：根据基于n个消息m计算得到的n个签密信息，计算得到一个聚合的签密信息C_n；

进行抵赖：针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果。

7.根据权利要求6所述的基于同态变色龙哈希函数的签密方法，其特征在于：所述方法还包括在计算代理重签名步骤之后的解签密和验证签密步骤，具体为：

解签密：根据签密信息C和接收者的用户私钥计算得到对应的消息，具体方法为：根据签密信息C，一个交易信息TID，接收者R的用户私钥sk_R、接收者R的用户公钥pk_R，计算e＝H₁(TID，pk_R)，并计算从而恢复得到明文m，其中sk_R＝(x_0，R，x_1，R，x_2，R)，x_0，R是私钥sk_R的一部分；

验证签密：根据接收者的用户私钥sk_R计算并验证签密信息C的正确性，得到验证结果，具体方法为：根据一个解签密得到的明文一个交易信息TID，一个对应的签密信息C＝(C₀，C₁，C₂，C₃)，使用接收者R的用户私钥sk_R和发送者的用户公钥pk_S检查如下公式是否成立：并输出验证结果，其中发送者用户公钥pk_S＝(y_0，s，y_1，s，y_2，S)，y_1，S为pk_S的一部分；

所述方法还包括计算碰撞步骤，具体为：基于系统公开参数，根据交易信息、签密信息C或者聚合的签密信息C_n，再结合一个新的消息m′，使用接收者的用户私钥sk_R和发送者的用户公钥pk_S计算并输出满足碰撞的签密信息C’或者C′_n。

8.根据权利要求6所述的基于同态变色龙哈希函数的签密方法，其特征在于：

所述系统初始化步骤具体方法为：先选择安全参数λ，再根据安全参数λ选择一个素数q，选一个阶为q生成元为g的一个群G，选取哈希函数片₁：(0，1}^*→Z_q，Z_q为q阶整数群，输出得到系统公开参数param_PHSD＝{G，q，g，H₁}。

所述代理密钥生成步骤具体方法为：

基于系统公开参数，代理P选择一个随机数s∈Z_q发送给用户A，用户A的用户私钥为sk_A，sk_A＝(x_0，A，x_1，A，x_2，A)；

用户A收到s后，计算并发送给用户B，表示使用私钥x_1，A进行签名的基本签名方案；

用户B收到后，计算并将其发送至代理P，用户B的用户私钥为sk_B，sk_B＝(x_0，B，x_1，B，x_2，B)；

代理P根据计算得到代理重签名密钥k_AB＝x_1，B/x_1，A。

9.根据权利要求6所述的基于同态变色龙哈希函数的签密方法，其特征在于：所述计算签密步骤具体方法为：基于系统公开参数，根据交易信息TID、消息m、接收者R的用户公钥pk_R和用户私钥sk_R、发送者S的用户私钥sk_S，计算e＝H₁(TID，pk_R)和计算C₀＝g^a，输出得到签密信息C＝(C₀，C₁，C₂，C₃)，其中g为系统公开参数之一，接收者的用户公钥pk_R＝(y_0，R，y_1，R，y_2，R)，sk_S＝(x_0，S，x_1，S，x_2，S)，接收者片的用户私钥sk_R＝(x_0，R，x_1，R，x_2，R)。

10.根据根据权利要求6所述的基于同态变色龙哈希函数的签密方法，其特征在于：所述进行抵赖步骤具体方法为：针对有争议的签密信息C^*，根据协议验证或者联系对应的用户进行判断，并输出验证结果或判断结果，具体为：

针对一个有争议的签密信息的接收者R，计算一个非交互式的知识证明∑，并连同交易信息TID一起发送至一个可信的裁判J，具体的裁决流程如下：

裁判J首先检查∑的正确性，若错误，则输出⊥并且退出；否则，裁判J联系对应的发送者进行确认如下：

若发送者直接承认，则输出抵赖失败并退出；否则，发送者可以公布一组原始信息(a，m)进行抵赖，这里a是用于签密的随机数，m是原始的消息，裁判J判断如下是否成立：(1)(2)(3)若所述条件均成立，则满足碰撞，则代表抵赖成功并且输出结果，其中：g为系统公开参数之一，发送者用户公钥pk_S＝(y_0，S，y_1，S，y_2，S)。