CN110932866B - 一种基于sm2数字签名算法的环签名生成方法 - Google Patents

Abstract

本发明公开了一种基于SM2数字签名算法的环签名生成方法，设环内用户数量为n，其中第π个用户为签名者；该方法包括以下步骤：1)生成消息M的环签名；2)对签名进行合法性验证。本发明实现了基于SM2数字签名算法的环签名的生成，签名者通过收集用户的公钥将身份隐藏在环签名群体中，保护了签名者的隐私。

Description

一种基于SM2数字签名算法的环签名生成方法

技术领域

本发明涉及信息安全技术，尤其涉及一种基于SM2数字签名算法的环签名生成方法。

背景技术

数字签名是伴随着信息网络安全的发展而出现的一种密码技术，保证数据的完整性、真实性和不可抵赖性。国家密码管理局于2010年12月17日发布了“SM2椭圆曲线公钥密码算法”，包括数字签名算法、公钥加密算法和密钥协商协议，其中SM2椭圆曲线数字签名算法具有安全性高、存储空间小和签名速度快的优势。

为了同时实现数据的完整性和身份的匿名性，Rivest等提出了环签名的概念，环签名因其签名隐含的某个参数按照一定的规则组成环状而得名。与群签名相比，环签名没有管理员，无需群的建立过程，签名者随机收集用户公钥形成一个群体，签名者代表这个群体进行签名。环签名因其自发性、无条件匿名性和群特性而具有广泛的应用领域，比如数字货币、电子选举、匿名通讯等领域，成为当前研究的一个热点。

科研人员已经提出了多种不同形式和不同特性的环签名算法，但没有基于SM2数字签名算法的环签名。本发明设计了基于SM2数字签名算法的环签名方案，保证了签名的完整性、真实性、不可伪造性和无条件匿名性。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于SM2数字签名算法的环签名生成方法。

本发明解决其技术问题所采用的技术方案是：一种基于SM2数字签名算法的环签名生成方法，设环内用户数量为n，环内用户公钥的集合为L＝{P₁,P₂,…,P_n}，其中第π个用户为签名者，对应的公钥为P_π＝[d_π]G，私钥为d_π；

包括以下步骤：

1)生成消息M的环签名，具体如下：

S1：随机产生

根据环内用户公钥集合L，待签名消息M，

计算c_π+1＝H₁(L,M,[k_π]G)；

其中，

为整数1,2,…,q-1组成的整数集合，q为大素数，H₁为密码杂凑函数，G为循环群

的一个生成元，

是阶为素数q的加法循环群；

S2：根据环内用户的公钥集合L和待签名消息M,计算c_i；具体如下：

对于每个i＝π+1,…,n,1,…,π-1，随机产生部分环签名

并依次计算Z_i＝[r_i+c_i]P_i+[r_i]G，c_i+1＝H₁(L,M,Z_i)；

其中，记c₁＝c_n+1，P_i为用户i的公钥；

S3：根据签名者私钥d_π，计算r_π＝((1+d_π)^-1(k_π-c_πd_π))mod q；

S4：生成消息M的环签名σ＝(c₁,r₁,…,r_n)；

2)对签名进行合法性验证；

验证者V收到消息M′及其环签名(c′₁,r′₁,…,r′_n)后，采用以下步骤进行环签名验证：

V1：检验

是否成立，若不成立则验证不通过；

V2：对i从1增至n，检验

若不成立则验证不通过；

V3：对i从1增至n，依次计算Z′_i＝[r′_i+c′_i]P_i+[r′_i]G，c′_i+1＝H₁(L,M,Z′_i)；

V4：检验c′₁＝c′_n+1是否成立，若成立则验证通过；否则验证不通过。

本发明产生的有益效果是：

本发明实现了基于SM2数字签名算法的环签名的生成，签名者通过收集用户的公钥将身份隐藏在环签名群体中，保护了签名者的隐私。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明设计了基于SM2数字签名算法的环签名方案，保证了签名的完整性、真实性、不可伪造性和无条件匿名性。

符号及定义:

q：q为素数且q>2²⁵⁶。

mod q：模q运算。例如，19mod 7＝5。

由整数1,2,…,q-1组成的整数集合。

S_π：签名者，为签名群组中第π个用户。

V：验证者。

d_i：用户i的私钥，且

阶为素数q的加法循环群，元素为椭圆曲线上的点。

G：循环群

的一个生成元。

[u]P：加法群

中元素P的u倍。

P_i：用户i的公钥，计算方式为P_i＝[d_i]G。

L：L＝{P₁,P₂,…,P_n}为环签名群体公钥，即n个用户的公钥集合。

H₁()：输入为任意长度比特串{0,1}^*，输出为固定长度的密码杂凑函数。

如图1所示，一种基于SM2数字签名算法的环签名生成方法，下具体如下：

本方法包含两个步骤：环签名生成步骤和环签名验证步骤。

1.环签名生成步骤

设环内用户数量为n，环内用户公钥的集合为L＝{P₁,P₂,…,P_n}，其中第π个用户为签名者，对应的公钥为P_π＝[d_π]G，私钥为d_π。设待签名消息为M，为了获取消息M的环签名(c₁,r₁,…,r_n)，签名者S_π实现以下运算步骤：

S1：随机产生

计算c_π+1＝H₁(L,M,[k_π]G)；

S2：根据环内用户的公钥集合L和待签名消息M,计算c_i；具体如下：

对于每个i＝π+1,…,n,1,…,π-1，随机产生部分环签名

并依次计算Z_i＝[r_i+c_i]P_i+[r_i]G，c_i+1＝H₁(L,M,Z_i)；

其中，记c₁＝c_n+1，P_i为用户i的公钥；

由于步骤1)中已经计算得到c_π+1，所以我们可以得到Z_π+1，然后计算得到c_π+2；

依次类推，根据c_π+2可以计算得到Z_π+2，然后计算得到c_π+3；

最后得到c_i，i＝π+1,…,n,1,…,π-1；

S3：计算r_π＝((1+d_π)^-1(k_π-c_πd_π))mod q；

生成的签名σ＝(c₁,r₁,…,r_n)。

2.环签名验证步骤

验证者V收到消息M′及其环签名(c′₁,r′₁,…,r′_n)后，应实现以下步骤：

V1：检验

是否成立，若不成立则验证不通过；

V2：对i从1增至n，检验

若不成立则验证不通过；

V3：对i从1增至n，依次计算Z′_i＝[r′_i+c′_i]P_i+[r′_i]G，c′_i+1＝H₁(L,M,Z′_i)；

V4：检验c′₁＝c′_n+1是否成立，若成立则验证通过；否则验证不通过。

本发明与现有技术相比具有如下优点和有益效果：

首先，目前现有的环签名方案虽然能够保证签名者的无条件匿名性，但是并没有针对SM2数字签名算法生成环签名的方案。

其次，现有的许多基于离散对数的环签名算法安全性不及基于椭圆曲线的环签名算法，且效率低下。

再次，本发明实现了基于SM2数字签名算法的环签名的生成，签名者通过收集用户的公钥将身份隐藏在环签名群体中，保护了签名者的隐私。

最后，可在随机预言模型下本发明中环签名的安全性。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (1)

1.一种基于SM2数字签名算法的环签名生成方法，其特征在于，设环内用户数量为n，环内用户公钥的集合为L＝{P₁,P₂,…,P_n}，其中第π个用户为签名者，对应的公钥为P_π＝[d_π]G，私钥为d_π；

包括以下步骤：

1)生成消息M的环签名，具体如下：

S1：随机产生

根据环内用户公钥集合L，待签名消息M，

计算c_π+1＝H₁(L,M,[k_π]G)；

其中，

为整数1,2,…,q-1组成的整数集合，q为大素数，H₁为密码杂凑函数，G为循环群

的一个生成元，

是阶为素数q的加法循环群；

S2：根据环内用户的公钥集合L和待签名消息M,计算c_i；具体如下：

对于每个i＝π+1,…,n,1,…,π-1，随机产生部分环签名

并依次计算Z_i＝[r_i+c_i]P_i+[r_i]G，c_i+1＝H₁(L,M,Z_i)；

其中，记c₁＝c_n+1，P_i为用户i的公钥；

S3：根据签名者私钥d_π，计算r_π＝((1+d_π)^-1(k_π-c_πd_π))mod q；

S4：生成消息M的环签名σ＝(c₁,r₁,…,r_n)；

2)对签名进行合法性验证；

验证者V收到消息M′及消息M′的环签名(c′₁,r′₁,…,r′_n)后，采用以下步骤进行环签名验证：

V1：检验

是否成立，若不成立则验证不通过；

V2：对i从1增至n，检验

若不成立则验证不通过；

V3：对i从1增至n，依次计算Z′_i＝[r′_i+c′_i]P_i+[r′_i]G，c′_i+1＝H₁(L,M,Z′_i)；

V4：检验c′₁＝c′_n+1是否成立，若成立则验证通过；否则验证不通过。

Images