CN110912708B - 一种基于sm9数字签名算法的环签名生成方法 - Google Patents

Abstract

本发明公开了一种基于SM9数字签名算法的环签名生成方法，其特征在于，包括密钥生成中心KGC，签名者Signer，验证者Verifier；其中，KGC负责生成系统内签名用户的用户私钥；设环中的用户数为n，用户群组标识集合记为L＝{ID₁，ID₂，…，ID_n}，签名者为用户群组中的第π个用户，记其私钥为SK_π，标识为ID_π；该方法包括以下步骤：1)生成待签名消息M的环签名；2)环签名验证。本发明方法产生签名过程中，签名者可自发构造用户群组形成环，无需其他用户参与即可产生环签名，同时保证了签名的不可否认性和签名者身份的匿名性。

Description

一种基于SM9数字签名算法的环签名生成方法

技术领域

本发明涉及信息安全技术，尤其涉及一种基于SM9数字签名算法的环签名生成方法。

背景技术

数字签名是一种公钥密码算法，它能够实现传统签名或盖章的功能，以确保信息传输的完整性、真实性和不可抵赖性。随着数字签名的广泛应用，在一些领域需要具有特殊功能的数字签名方案，传统的数字签名并不能满足应用的需求。比如，在电子现金、电子投票、电子选举、匿名通信等具体应用场景中，需要保障签名者身份的匿名性，而传统的签名不具有这种功能。

环签名是一种由Rivest等人提出实现匿名性的签名机制。它是一个面向群组的签名，但并不需要群建立过程，也没有群管理员。签名者只需要自发选取一部分成员公钥，再通过自己的私钥来产生一个签名。签名者以及被选取公钥的用户组成了环签名的群组。验证者可以验证签名来自环中个某个用户，任何用户都无法知道签名者的真实身份。环签名最大的特点是具有完全匿名性。因此，它被广泛用于匿名选举、电子货币、密钥分配以及安全多方计算中，而成为了当前的一个研究热点。

自环签名的概念被提出后，科研人员提出了一系列基于公钥密码基础设施(PKI)的环签名方案。但是，这类环签名方案面临着证书问题。一方面，随着用户数量增加，证书管理将会占用大量系统资源；另一方面，签名者进行签名时，需要验证环中其他用户的公钥证书，大大增加了计算开销和通信开销。基于身份的环签名是基于身份的公钥密码技术(IBC)与环签名技木的融合，既具有环签名的匿名性和不可伪造性，又避免了用户证书管理问题。

SM9标识密码算法是国家密码管理局于2016年3月28日发布的一种标识密码标准，国密标准编号为“GM/T 0044-2016SM9标识密码算法”。该标准满足电子认证服务系统等应用需求，并弥补了国产标识密码体制的空白。SM9算法是一种基于椭圆曲线双线性对的标识密码算法，主要包括三个部分：数字签名算法、公钥加密算法、密钥交换协议。

科研人员已经提出了多个基于身份的环签名方案，但是没有基于SM9数字签名算法的环签名方案。为此，本专利设计了一个基于SM9数字签名的环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发，由签名者(Signer)负责自发组建签名群组并完成消息签名，验证者(Verifier)可验证消息签名合法性，并判断签名者是否为环内用户。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于SM9数字签名算法的环签名生成方法。

本发明解决其技术问题所采用的技术方案是：一种基于SM9数字签名算法的环签名生成方法，包括密钥生成中心KGC，签名者Signer，验证者Verifier；其中，KGC负责生成系统内签名用户的用户私钥；

设环中的用户数为n，用户群组标识集合记为L＝{ID₁,ID₂,…,ID_n}，签名者为用户群组中的第π个用户(1≤π≤n)，记其私钥为SK_π，标识为ID_π；

该方法包括以下步骤：

1)生成待签名消息M的环签名

为产生对消息M的环签名σ＝(h₁,R₁,…,R_n)，签名者采用以下步骤：

S1：随机选取

并计算R＝[r]P₁；

其中，

为由1,2,，…,N-1组成的整数集合，N为大素数，P₁为群G₁的生成元，G₁是阶为N的加法循环群；

S2：计算w_π+1＝e(R,P_pub-s)和h_π+1＝H₂(L||M||w_π+1,N)；

其中，P_pub-s为系统主公钥，由KGC公开，

H₂为由密码杂凑函数派生的密码函数，e为从G₁×G₂到G_T的双线性对映射；G₂为阶为N的加法循环群；

S3：根据KGC公开的系统主公钥计算部分环签名(h₁,R_i)，即对于i＝π+1,…,n,1,…,π-1，依次执行以下步骤：

S3.1：随机选取

并计算R_i＝[r_i]P₁；

S3.2：计算v_i＝H₁(ID_i||hid,N)，Q_i＝[v_i]P₂+P_pub-s和u_i＝e(R_i,Q_i)；

其中，H₁为由密码杂凑函数派生的密码函数，P₂为群G₂的生成元，hid为签名私钥生成函数识别符；

S3.3：计算

和h_i+1＝H₂(L||M||w_i+1,N)；

其中，g^u为乘法群G_T中元素g的u次幂；

S3.4：当i＝n时，则令h₁＝h_n+1；

S4：验证r＝h_π是否成立，若成立则重复执行S1步骤；否则，根据签名者的私钥获取部分环签名R_π，计算R_π＝[r-h_π]·SK_π；

S5：消息M的签名值为σ＝(h₁,R₁,…,R_n)；

2)环签名验证

为了检验用户群组L＝{ID₁,ID₂,…,ID_n}对消息M′的数字签名σ^′＝(h′₁,R′₁,…,R′_n)，验证者应实现以下运算步骤：

V1：计算群G_T中的元素g＝e(P₁,P_pub-s)；

V2：对于i从1增至n，执行：

V2.1：检验h′_i是否属于集合

如果不是则验证不通过；否则，检验R′_i是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V2.2：计算v_i＝H₁(ID_i||hid,N)，Q_i＝[v_i]P₂+P_pub-s和u′_i＝e(R_i′,Q_i)；

V2.3：计算

和h′_i+1＝H₂(L||M′||w′_i+1,N)；

V3：验证h′_n+1＝h′₁是否成立，若成立则验证通过；否则验证不通过。

按上述方案，所述步骤S2中，P_pub-s＝[ks]P₂。

本发明产生的有益效果是：本发明方法的环签名构造方式，具有实现简单、安全性高、易验证等特点。同时，本发明方法产生签名过程中，签名者可自发构造用户群组形成环，无需其他用户参与即可产生环签名，同时保证了签名的不可否认性和签名者身份的匿名性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本专利设计了一个基于SM9数字签名的环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发，由签名者(Signer)负责自发组建签名群组并完成消息签名，验证者(Verifier)可验证消息签名合法性，并判断签名者是否为环内用户。

为保证通用性，本专利的参数选取与SM9签名算法标准参数保持一致。具体符号描述如下：

N：一个大素数。

由1,2,，…,N-1组成的整数集合。

G₁，G₂：阶为N的加法循环群。

G_T：阶为N的乘法循环群。

P₁，P₂：分别为群G₁和G₂的生成元。

g^u：乘法群G_T中元素g的u次幂。

[k]P:椭圆曲线上点P的k倍点，k是正整数。

e：从G₁×G₂到G_T的双线性对映射。

H₁(·)，H₂(·)：由密码杂凑函数派生的密码函数。

ks:系统主私钥，由KGC秘密持有。

P_pub-s：系统主公钥P_pub-s＝[ks]P₂，由KGC公开。

hid：签名私钥生成函数识别符。

ID_A：用户A的可辨别标识。

SK_A：用户A的签名私钥，其中SK_A＝[t₂]P₁，t₁＝H₁(ID_A||hid,N)+ks mod N，

M：待签名的消息。

M′：待验证的消息。

σ，σ′：签名值。

mod N:模N运算。例如，23mod7≡2。

x||y：x与y的拼接，其中x,y可以是比特串或字节串。

如图1所示，一种基于SM9数字签名算法的环签名生成方法，具体如下：

本环签名方案有三个重要角色：一方为密钥生成中心(KGC)，一方为签名者(Signer)，一方为验证者(Verifier)。其中，KGC负责生成系统内签名用户的用户私钥。

不妨设环中的用户数为n，用户群组标识集合记为L＝{ID₁,ID₂,…,ID_n}，签名者为用户群组中的第π个用户(1≤π≤n)，记其私钥为SK_π，标识为ID_π。

1)环签名生成

为产生对消息M的环签名σ＝(h₁,R₁,…,R_n)，签名者应实现以下运算步骤：

S1：随机选取

并计算R＝[r]P₁；

S2：计算w_π+1＝e(R,P_pub-s)和h_π+1＝H₂(L||M||w_π+1,N)；

S3：对于i＝π+1,…,n,1,…,π-1，依次执行：

S3.1：随机选取

并计算R_i＝[r_i]P₁；

S3.2：计算v_i＝H₁(ID_i||hid,N)，Q_i＝[v_i]P₂+P_pub-s和u_i＝e(R_i,Q_i)；

S3.3：计算

和h_i+1＝H₂(L||M||w_i+1,N)；

S3.4：若i＝n，则令h₁＝h_n+1；

S4：验证r＝h_π是否成立，若成立则重复执行S1步骤；否则，计算R_π＝[r-h_π]·SK_π；

S5：消息M的签名值为σ＝(h₁,R₁,…,R_n)。

2)环签名验证

为了检验用户群组L＝{ID₁,ID₂,…,ID_n}对消息M′的数字签名σ′＝(h′₁,R′₁,…,R′_n)，验证者应实现以下运算步骤：

V1：计算群G_T中的元素g＝e(P₁,P_pub-s)；

V2：对于i从1增至n，执行：

V2.1：检验h′_i是否属于集合

如果不是则验证不通过；否则，检验R′_i是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V2.2：计算v_i＝H₁(ID_i||hid,N)，Q_i＝[v_i]P₂+P_pub-s和u′_i＝e(R_i′,Q_i)；

V2.3：计算

和h′_i+1＝H₂(L||M′||w′_i+1,N)；

V3：验证h′_n+1＝h′₁是否成立，若成立则验证通过；否则验证不通过。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (2)

1.一种基于SM9数字签名算法的环签名生成方法，其特征在于，包括密钥生成中心KGC，签名者Signer，验证者Verifier；其中，KGC负责生成系统内签名用户的用户私钥；

设环中的用户数为n，用户群组标识集合记为L＝{ID₁，ID₂，…，ID_n}，签名者为用户群组中的第π个用户，1≤π≤n，记其私钥为SK_π，标识为ID_π；

该方法包括以下步骤：

1)生成待签名消息M的环签名

为产生对消息M的环签名σ＝(h₁，R₁，…，R_n)，签名者采用以下步骤：

S1：随机选取

并计算R＝[r]P₁；

其中，

为由1，2，…，N-1组成的整数集合，N为大素数，P₁为群G₁的生成元，G₁是阶为N的加法循环群；

S2：计算w_π+1＝e(R，P_pub-s)和h_π+1＝H₂(L||M||w_π+1，N)；

其中，P_pub-s为系统主公钥，由KGC公开，

H₂为由密码杂凑函数派生的密码函数，e为从G₁×G₂到G_T的双线性对映射；G₂为阶为N的加法循环群；

S3：根据KGC公开的系统主公钥计算部分环签名(h₁，R_i)，即对于i＝π+1，…，n，1，…，π-1，依次执行以下步骤：

S3.1：随机选取

并计算R_i＝[r_i]P₁；

S3.2：计算v_i＝H₁(ID_i||hid，N)，Q_i＝[v_i]P₂+P_pub-s和u_i＝e(R_i，Q_i)；

其中，H₁为由密码杂凑函数派生的密码函数，P₂为群G₂的生成元，hid为签名私钥生成函数识别符；

S3.3：计算

和h_i+1＝H₂(L||M||w_i+1，N)；

其中，g^u为乘法群G_T中元素g的u次幂；

S3.4：当i＝n时，则令h₁＝h_n+1；

S4：验证r＝h_π是否成立，若成立则重复执行S1步骤；否则，根据签名者的私钥获取部分环签名R_π，计算R_π＝[r-h_π]·SK_π；

S5：消息M的签名值为σ＝(h₁，R₁，…，R_n)；

2)环签名验证

为了检验用户群组L＝{ID₁，ID₂，…，ID_n}对消息M′的数字签名σ′＝(h′₁，R′₁，…，R′_n)，验证者应实现以下运算步骤：

V1：计算群G_T中的元素g＝e(P₁，P_pub-s)；

V2：对于i从1增至n，执行：

V2.1：检验h′_i是否属于集合

如果不是则验证不通过；否则，检验R′_i是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V2.2：计算v_i＝H₁(ID_i||hid，N)，Q_i＝[v_i]P₂+P_pub-s和u′_i＝e(R_i′，Q_i)；

V2.3：计算

和h′_i+1＝H₂(L||M′||w′_i+1，N)；

V3：验证h′_n+1＝h′₁是否成立，若成立则验证通过；否则验证不通过。

2.根据权利要求1所述的基于SM9数字签名算法的环签名生成方法，其特征在于，所述步骤S2中，P_pub-s＝[ks]P₂，ks为由KGC秘密持有的系统主私钥。

Images