CN111147240A - 一种有追溯能力的隐私保护方法及系统 - Google Patents

Abstract

本发明公开了一种有追溯能力的隐私保护方法及系统，首先密钥产生，所述密钥产生包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；其次根据产生的密钥进行签名；最后对得到的签名进行验证。

Description

一种有追溯能力的隐私保护方法及系统

技术领域

本发明属于信息安全技术领域，具体涉及一种有追溯能力的隐私保护方法及系统。

背景技术

信息安全是一门涉及到计算机技术、网络技术、通信技术、数论、有限域等学科的一门综合性学科。它主要研究在信息的传送过程中如何保障信息的保密性、完整性、不可否认性以防止信息在传送的过程中被伪造、假冒、篡改、恶意攻击等。

近年来随着科学技术的发展，各个国家对信息的安全要求越来越高，信息安全对一个国家的各个方面都变得越来越重要。网络信息安全问题是信息安全领域的众多重点问题中的一个。而怎样防止个人的隐私信息在网络环境中被非法截取、修改，甚至被冒充身份，又是网络安全领域亟待解决的一个重要课题。

发明内容

本发明的目的在于提供一种有追溯能力的隐私保护方法及系统，以克服现有技术的缺陷，本发明在设计匿名签名机制的过程中为其增加了打开功能，该功能能够在必要时追溯签名的真实身份，在国内外都具有较为广泛的应用前景。

为达到上述目的，本发明采用如下技术方案：

一种有追溯能力的隐私保护方法，包括以下步骤：

步骤1、密钥产生，所述密钥产生包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

步骤2、根据步骤1产生的密钥进行签名；

步骤3、对步骤2得到的签名进行验证。

进一步地，步骤1中建立过程具体包括以下步骤：

步骤1.1.1、选取一个阶为p的非对称双线性大素数群组对并且其对应的配对函数为e:G₁×G₂→G_T；其中，G₁和G₂：椭圆曲线上阶为p的一个加法循环群，G_T：阶为p的乘法循环群；

步骤1.1.2、选取一个阶为p的素数的循环群G₃满足DDH难解性问题，其中，G₃：椭圆曲线上阶为p的一个加法循环群；

步骤1.1.3、随机选取G₁曲线上的点P₁,Q₁,R₁；

步骤1.1.4、随机选取G₂曲线上的点P₂；

步骤1.1.5、随机选取G₃曲线上的点P₃；

步骤1.1.6、选取一个密码杂凑函数H：{0,1}*→Z_p；其中，Z_p：[0，p-1]的整数的集合；

步骤1.1.7、在Z_p中选取三个随机整数x,s,t；

步骤1.1.8、计算X＝[x]P₂，S＝[s]P₃和T＝[t]P₃；

步骤1.1.9、输出：群组公共参数＝(G₁,G₂,G_T,e,G₃,p,H)，

群组公钥＝(P₁,Q₁,R₁,P₂,P₃,X,S,T)，

打开方法密钥＝(s,t)，

组成员发布密钥＝(x)。

进一步地，步骤1中群组成员发布过程包括以下步骤：

步骤1.2.1、签名方从Zp中随机选取f或从签名方的种子密钥值导出，其中f将做为群组成员签名密钥的一部分；

步骤1.2.2、签名方计算W＝[f]P₃；

步骤1.2.3、签名方从Zp中选取u并计算U＝[f]Q₁+[u]R₁,F＝[f]P₁；

步骤1.2.4、签名方从Zp中选取k并计算K＝[k]P₁；

步骤1.2.5、签名方计算e₁＝H(W||U||P₁||F)；

步骤1.2.6、签名方计算r₁＝e₁+K mod p,s₁＝(1+f)^-1(k-r₁·f)mod p；mod表示模运算，·表示乘法运算；

步骤1.2.7、签名方发送(W,U,F,r₁,s₁)给群组成员发布方；

步骤1.2.8、群组成员发布方计算e₂＝H(W||U||P₁||F)；

步骤1.2.9、群组成员发布方计算t₁＝r₁+s₁ mod p；

步骤1.2.10、群组成员发布方验证等式t₁！＝0是否成立，若成立执行步骤1.2.11，否则验证失败，终止群成员发布过程；

步骤1.2.11、群组成员发布方计算x₁＝[s₁]P₁+[t₁]F；

步骤1.2.12、群组成员发布方计算R’＝(e₂+x₁)mod p；

步骤1.2.13、群组成员发布方验证等式R’＝r₁是否成立，若成立，执行步骤1.2.14，否则验证失败，终止群成员发布过程；

步骤1.2.14、群组成员发布方从Zp中选择随机整数y和v；

步骤1.2.15、群组成员发布方计算A＝[1/(x+y)](P₁-U-[v]R₁)；

步骤1.2.16、群组成员发布方将(A,y)作为签名方的群组成员凭证并发送给签名方；

步骤1.2.17、签名方计算z＝u+v，并将(A,y)作为群组成员凭证；

步骤1.2.18、签名方验证等式e(A,X+[y]P₂)·e([f]Q₁,P₂)·e([z]R₁,P₂)＝e(P₁,P₂)是否成立，若成立，执行步骤1.2.20；否则验证失败，签名方退出；

步骤1.2.20、签名方的群组成员签名密钥为(f,A,y,z)。

进一步地，步骤2中根据步骤1产生的密钥进行签名时，输入群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)、群组成员签名密钥(f,A,y,z)和未签消息m∈{0,1}^*，具体包括以下步骤：

步骤2.1、签名方拥有群组成员签名密钥(f,A,y,z)；

步骤2.2、签名方从Zp中随机选取g和h；

步骤2.3、签名方计算B＝A+[h]R₁，Z＝[f+g]P₃，V＝[g]S和W＝[g]T；

步骤2.4、签名方从Zp中随机选取整数a,b,j,n和o；

步骤2.5、签名方计算Y＝e(Q₁,P₂)^a·e(B,P₂)^b·e(R₁,P₂)^j·e(R₁,X)ⁿ，

Z’＝[a+o]P₃,V’＝[o]S和W’＝[o]T；

步骤2.6、签名方计算c＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤2.7、签名方计算f’＝c·f+a mod p,y’＝c·y+b mod p,z’＝c·(z–h·y)+jmod p,h’＝-c·h+n mod p和g’＝c·g+o mod p；

步骤2.8、签名方从G₁中选取P₄并计算M＝[f]P₄；

步骤2.9、签名方从Zp中选取k₁并计算K₁＝[k₁]P₄；

步骤2.10、签名方计算r₂＝c+K₁ mod p,s₂＝(1+f)^-1·(k₁-r₂·f)mod p；

步骤2.11、签名者输出群签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)。

进一步地，步骤3中对步骤2得到的签名进行验证时，输入消息m∈{0,1}^*、群签名σ＝(B,Z,V,W,P4,M,c,f’,y’,z’,h’,g’,r₂,s₂)；以及群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)，具体包括以下步骤：

步骤3.1、计算Y＝e(Q₁,P₂)^f’·e(B,[y’]P₂+[c]X)·e(R₁,P₂)^z’·e(R₁,X)^h’·e(P₁,P₂)-c，Z’＝[f’+g’]P₃–[c]Z，V’＝[g’]S–[c]V和W’＝[g’]T–[c]W；

步骤3.2、计算e₃＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤3.3、计算t₂＝r₂+s₂ mod p；

步骤3.4、验证等式t₂！＝0是否成立，若成立，执行步骤3.5；否则验证失败，终止验证过程；

步骤3.5、计算x₂＝[s₂]P₄+[t₂]M；

步骤3.6、计算R”＝(e₃+x₂)mod p；

步骤3.7、验证等式R”＝r₂是否成立，若成立，验证通过；否则验证失败，终止验证过程。

进一步地，当需要追溯签名者真实身份时，对于给定签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)，执行下列步骤：

步骤2.11.1、对签名σ进行验证，如果验证失败，输出⊥，⊥表示失败；如果验证成功，执行步骤2.11.2；

步骤2.11.2、计算W＝Z-[1/s]V；

步骤2.11.3、输出W。

进一步地，当需要对群成员进行撤销时，步骤如下：

1)群组成员发布方收到一个已撤销的签名方群组成员证书(A,y)；

2)群组成员发布方计算Q₁＝[1/(x+y)]Q₁，P₁＝[1/(x+y)]P₁和R₁＝[1/(x+y)]R₁；

3)群组成员发布方发送(y,Q₁,P₁,R₁)给每一个签名方；

4)群组成员签名密钥是(f,A,y,z)的每一个签名方，计算：

A’＝[1/(y-y)](A-P₁-[f]Q₁-[z]R₁)，并设它的群组签名密钥为(f,A’,y,z)；

5)每一个签名方设置群组公钥为(P₁,Q₁,R₁,P₂,P₃,X,S,T)。

一种有追溯能力的隐私保护系统，用于实现上述的一种有追溯能力的隐私保护方法，包括密钥产生模块、签名模块和验证模块；

密钥产生模块：用于产生密钥，密钥产生过程包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

签名模块：用于对产生的密钥进行签名；

验证模块：用于对得到的签名进行验证。

与现有技术相比，本发明具有以下有益的技术效果：

本发明产生数字签名过程中所使用的参数是完全随机的，攻击者无法通过计算得出签名者的身份，确保了签名本身的匿名性。此外，本发明中，除了签名者自己，包括群管理员在内的任何群成员都无法以其他人的名义生成合法的签名，具有防陷害攻击的能力。本发明所提供的打开功能，在必要时能够追溯签名者的真实身份，为监管提供了接口。同时，该机制还具备撤销功能，可在必要时撤销签名者的身份，使其失去签名能力，具有广阔的应用前景。

具体实施方式

下面对本发明的实施方式做进一步详细描述：

本发明所使用的符号如下：：

(1)p：一个大素数。

(2)G₁：椭圆曲线上阶为p的一个加法循环群。

(3)G₂：椭圆曲线上阶为p的一个加法循环群。

(4)G₃：椭圆曲线上阶为p的一个加法循环群。

(5)G_T：阶为p的乘法循环群。

(6)e：配对函数，G₁×G₂→G_T。

(7)m：要被签名的消息。

(8)Z_p：[0，p-1]的整数的集合。

(9)||：X||Y表示将数据项X和Y按照指定的顺序连接的结果。

(10)[n]P：椭圆曲线上的乘法运算，表示n个P相加。

(11)t：一个安全参数

(12)P₁,Q₁,R₁,U,A,B,F,K,P₄,x₁,x₂,M,U：G₁中的元素；

(13)P₂,Y：G₂中的元素；

(14)P₃,K₁,X,S,T,W,Z,V,Z’,V’,W’：G₃中的元素；

(15)A’,Y’：G_T中的元素；

(16)x,s,t,f,c,d,r,q,y,v,z,c,u,h,g,a,b,j,n,o,e₁,e₂,r₁,r₂,s₁,s₂,t₁,t₂,k,k₁,e₃,f’,u’,y’,z’,h’,g’,R’,R”：Z_p中的整数；

(17)H：输出元素在Z_p内的密码杂凑函数。

一种有追溯能力的隐私保护方法，包括以下步骤：

步骤1、密钥产生，所述密钥产生包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

建立过程具体包括以下步骤：

步骤1.1.1、选取一个阶为p的非对称双线性大素数群组对并且其对应的配对函数为e:G₁×G₂→G_T；其中，G₁和G₂：椭圆曲线上阶为p的一个加法循环群，G_T：阶为p的乘法循环群；

步骤1.1.2、选取一个阶为p的素数的循环群G₃满足DDH难解性问题，其中，G₃：椭圆曲线上阶为p的一个加法循环群；

步骤1.1.3、随机选取G₁曲线上的点P₁,Q₁,R₁；

步骤1.1.4、随机选取G₂曲线上的点P₂；

步骤1.1.5、随机选取G₃曲线上的点P₃；

步骤1.1.6、选取一个密码杂凑函数H：{0,1}*→Z_p；其中，Z_p：[0，p-1]的整数的集合；

步骤1.1.7、在Z_p中选取三个随机整数x,s,t；

步骤1.1.8、计算X＝[x]P₂，S＝[s]P₃和T＝[t]P₃；

步骤1.1.9、输出：群组公共参数＝(G₁,G₂,G_T,e,G₃,p,H)，

群组公钥＝(P₁,Q₁,R₁,P₂,P₃,X,S,T)，

打开方法密钥＝(s,t)，

组成员发布密钥＝(x)。

群组成员发布过程包括以下步骤：

步骤1.2.1、签名方从Zp中随机选取f或从签名方的种子密钥值导出，其中f将做为群组成员签名密钥的一部分；

步骤1.2.2、签名方计算W＝[f]P₃；

步骤1.2.3、签名方从Zp中选取u并计算U＝[f]Q₁+[u]R₁,F＝[f]P₁；

步骤1.2.4、签名方从Zp中选取k并计算K＝[k]P₁；

步骤1.2.5、签名方计算e₁＝H(W||U||P₁||F)；

步骤1.2.6、签名方计算r₁＝e₁+K mod p,s₁＝(1+f)^-1(k-r₁·f)mod p；mod表示模运算，·表示乘法运算；

步骤1.2.7、签名方发送(W,U,F,r₁,s₁)给群组成员发布方；

步骤1.2.8、群组成员发布方计算e₂＝H(W||U||P₁||F)；

步骤1.2.9、群组成员发布方计算t₁＝r₁+s₁ mod p；

步骤1.2.10、群组成员发布方验证等式t₁！＝0是否成立，若成立执行步骤1.2.11，否则验证失败，终止群成员发布过程；

步骤1.2.11、群组成员发布方计算x₁＝[s₁]P₁+[t₁]F；

步骤1.2.12、群组成员发布方计算R’＝(e₂+x₁)mod p；

步骤1.2.13、群组成员发布方验证等式R’＝r₁是否成立，若成立，执行步骤1.2.14，否则验证失败，终止群成员发布过程；

步骤1.2.14、群组成员发布方从Zp中选择随机整数y和v；

步骤1.2.15、群组成员发布方计算A＝[1/(x+y)](P₁-U-[v]R₁)；

步骤1.2.16、群组成员发布方将(A,y)作为签名方的群组成员凭证并发送给签名方；

步骤1.2.17、签名方计算z＝u+v，并将(A,y)作为群组成员凭证；

步骤1.2.18、签名方验证等式e(A,X+[y]P₂)·e([f]Q₁,P₂)·e([z]R₁,P₂)＝e(P₁,P₂)是否成立，若成立，执行步骤1.2.20；否则验证失败，签名方退出；

步骤1.2.20、签名方的群组成员签名密钥为(f,A,y,z)。

步骤2、根据步骤1产生的密钥进行签名；进行签名时，输入群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)、群组成员签名密钥(f,A,y,z)和未签消息m∈{0,1}^*，具体包括以下步骤：

步骤2.1、签名方拥有群组成员签名密钥(f,A,y,z)；

步骤2.2、签名方从Zp中随机选取g和h；

步骤2.3、签名方计算B＝A+[h]R₁，Z＝[f+g]P₃，V＝[g]S和W＝[g]T；

步骤2.4、签名方从Zp中随机选取整数a,b,j,n和o；

步骤2.5、签名方计算Y＝e(Q₁,P₂)^a·e(B,P₂)^b·e(R₁,P₂)^j·e(R₁,X)ⁿ，

Z’＝[a+o]P₃,V’＝[o]S和W’＝[o]T；

步骤2.6、签名方计算c＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤2.7、签名方计算f’＝c·f+a mod p,y’＝c·y+b mod p,z’＝c·(z–h·y)+jmod p,h’＝-c·h+n mod p和g’＝c·g+o mod p；

步骤2.8、签名方从G₁中选取P₄并计算M＝[f]P₄；

步骤2.9、签名方从Zp中选取k₁并计算K₁＝[k₁]P₄；

步骤2.10、签名方计算r₂＝c+K₁ mod p,s₂＝(1+f)^-1·(k₁-r₂·f)mod p；

步骤2.11、签名者输出群签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)。

步骤3、对步骤2得到的签名进行验证，验证时，输入消息m∈{0,1}^*、群签名σ＝(B,Z,V,W,P4,M,c,f’,y’,z’,h’,g’,r₂,s₂)；以及群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)，具体包括以下步骤：

步骤3.1、计算Y＝e(Q₁,P₂)^f’·e(B,[y’]P₂+[c]X)·e(R₁,P₂)^z’·e(R₁,X)^h’·e(P₁,P₂)-c，Z’＝[f’+g’]P₃–[c]Z，V’＝[g’]S–[c]V和W’＝[g’]T–[c]W；

步骤3.2、计算e₃＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤3.3、计算t₂＝r₂+s₂ mod p；

步骤3.4、验证等式t₂！＝0是否成立，若成立，执行步骤3.5；否则验证失败，终止验证过程；

步骤3.5、计算x₂＝[s₂]P₄+[t₂]M；

步骤3.6、计算R”＝(e₃+x₂)mod p；

步骤3.7、验证等式R”＝r₂是否成立，若成立，验证通过；否则验证失败，终止验证过程。

在上述过程中，当需要追溯签名者真实身份时，对于给定签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)，执行下列步骤：

步骤2.11.1、对签名σ进行验证，如果验证失败，输出⊥，⊥表示失败；如果验证成功，执行步骤2.11.2；

步骤2.11.2、计算W＝Z-[1/s]V；

步骤2.11.3、输出W。

当需要对群成员进行撤销时，步骤如下：

1)群组成员发布方收到一个已撤销的签名方群组成员证书(A,y)；

2)群组成员发布方计算Q₁＝[1/(x+y)]Q₁，P₁＝[1/(x+y)]P₁和R₁＝[1/(x+y)]R₁；

3)群组成员发布方发送(y,Q₁,P₁,R₁)给每一个签名方；

4)群组成员签名密钥是(f,A,y,z)的每一个签名方，计算：

A’＝[1/(y-y)](A-P₁-[f]Q₁-[z]R₁)，并设它的群组签名密钥为(f,A’,y,z)；

5)每一个签名方设置群组公钥为(P₁,Q₁,R₁,P₂,P₃,X,S,T)。

本发明还涉及一种有追溯能力的隐私保护系统，包括密钥产生模块、签名模块和验证模块；

密钥产生模块：用于产生密钥，密钥产生过程包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

签名模块：用于对产生的密钥进行签名；

验证模块：用于对得到的签名进行验证。

本发明的匿名签名机制可以为网络环境下的用户提供隐私保护，是学术界以及产业界最常用的保护私密信息的一种核心技术。匿名签名机制可以在为各类网络应用提供安全保障的同时，不暴露用户的真实身份，但在监管部门需要时又能够利用专用接口获取用户的真实身份，从而实现隐私保护的目的。

在Linux系统下用C语言实现了本发明中的技术方案，总的代码量为3908行。运行程序时，CPU占用率为14.3％，占用RAM5024KB，占用ROM57632KB。签名速度为0.06秒，签名验证速度为0.072秒。本发明中的方案基于椭圆曲线密码算法，具有密钥长度小、安全性能高，整个数字签名耗时少的特性，更具有安全性和实用性。

Claims (8)

1.一种有追溯能力的隐私保护方法，其特征在于，包括以下步骤：

步骤1、密钥产生，所述密钥产生包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

步骤2、根据步骤1产生的密钥进行签名；

步骤3、对步骤2得到的签名进行验证。

2.根据权利要求1所述的一种有追溯能力的隐私保护方法，其特征在于，步骤1中建立过程具体包括以下步骤：

步骤1.1.1、选取一个阶为p的非对称双线性大素数群组对并且其对应的配对函数为e:G₁×G₂→G_T；其中，G₁和G₂：椭圆曲线上阶为p的一个加法循环群，G_T：阶为p的乘法循环群；

步骤1.1.2、选取一个阶为p的素数的循环群G₃满足DDH难解性问题，其中，G₃：椭圆曲线上阶为p的一个加法循环群；

步骤1.1.3、随机选取G₁曲线上的点P₁,Q₁,R₁；

步骤1.1.4、随机选取G₂曲线上的点P₂；

步骤1.1.5、随机选取G₃曲线上的点P₃；

步骤1.1.6、选取一个密码杂凑函数H：{0,1}*→Z_p；其中，Z_p：[0，p-1]的整数的集合；

步骤1.1.7、在Z_p中选取三个随机整数x,s,t；

步骤1.1.8、计算X＝[x]P₂，S＝[s]P₃和T＝[t]P₃；

步骤1.1.9、输出：群组公共参数＝(G₁,G₂,G_T,e,G₃,p,H)，

群组公钥＝(P₁,Q₁,R₁,P₂,P₃,X,S,T)，

打开方法密钥＝(s,t)，

组成员发布密钥＝(x)。

3.根据权利要求2所述的一种有追溯能力的隐私保护方法，其特征在于，步骤1中群组成员发布过程包括以下步骤：

步骤1.2.1、签名方从Zp中随机选取f或从签名方的种子密钥值导出，其中f将做为群组成员签名密钥的一部分；

步骤1.2.2、签名方计算W＝[f]P₃；

步骤1.2.3、签名方从Zp中选取u并计算U＝[f]Q₁+[u]R₁,F＝[f]P₁；

步骤1.2.4、签名方从Zp中选取k并计算K＝[k]P₁；

步骤1.2.5、签名方计算e₁＝H(W||U||P₁||F)；

步骤1.2.6、签名方计算r₁＝e₁+K mod p,s₁＝(1+f)^-1(k-r₁·f)mod p；mod表示模运算，·表示乘法运算；

步骤1.2.7、签名方发送(W,U,F,r₁,s₁)给群组成员发布方；

步骤1.2.8、群组成员发布方计算e₂＝H(W||U||P₁||F)；

步骤1.2.9、群组成员发布方计算t₁＝r₁+s₁ mod p；

步骤1.2.10、群组成员发布方验证等式t₁！＝0是否成立，若成立执行步骤1.2.11，否则验证失败，终止群成员发布过程；

步骤1.2.11、群组成员发布方计算x₁＝[s₁]P₁+[t₁]F；

步骤1.2.12、群组成员发布方计算R’＝(e₂+x₁)mod p；

步骤1.2.13、群组成员发布方验证等式R’＝r₁是否成立，若成立，执行步骤1.2.14，否则验证失败，终止群成员发布过程；

步骤1.2.14、群组成员发布方从Zp中选择随机整数y和v；

步骤1.2.15、群组成员发布方计算A＝[1/(x+y)](P₁-U-[v]R₁)；

步骤1.2.16、群组成员发布方将(A,y)作为签名方的群组成员凭证并发送给签名方；

步骤1.2.17、签名方计算z＝u+v，并将(A,y)作为群组成员凭证；

步骤1.2.18、签名方验证等式e(A,X+[y]P₂)·e([f]Q₁,P₂)·e([z]R₁,P₂)＝e(P₁,P₂)是否成立，若成立，执行步骤1.2.20；否则验证失败，签名方退出；

步骤1.2.20、签名方的群组成员签名密钥为(f,A,y,z)。

4.根据权利要求3所述的一种有追溯能力的隐私保护方法，其特征在于，步骤2中根据步骤1产生的密钥进行签名时，输入群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)、群组成员签名密钥(f,A,y,z)和未签消息m∈{0,1}^*，具体包括以下步骤：

步骤2.1、签名方拥有群组成员签名密钥(f,A,y,z)；

步骤2.2、签名方从Zp中随机选取g和h；

步骤2.3、签名方计算B＝A+[h]R₁，Z＝[f+g]P₃，V＝[g]S和W＝[g]T；

步骤2.4、签名方从Zp中随机选取整数a,b,j,n和o；

步骤2.5、签名方计算Y＝e(Q₁,P₂)^a·e(B,P₂)^b·e(R₁,P₂)^j·e(R₁,X)ⁿ，

Z’＝[a+o]P₃,V’＝[o]S和W’＝[o]T；

步骤2.6、签名方计算c＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤2.7、签名方计算f’＝c·f+a mod p,y’＝c·y+b mod p,z’＝c·(z–h·y)+j modp,h’＝-c·h+n mod p和g’＝c·g+o mod p；

步骤2.8、签名方从G₁中选取P₄并计算M＝[f]P₄；

步骤2.9、签名方从Zp中选取k₁并计算K₁＝[k₁]P₄；

步骤2.10、签名方计算r₂＝c+K₁ mod p,s₂＝(1+f)^-1·(k₁-r₂·f)mod p；

步骤2.11、签名者输出群签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)。

5.根据权利要求4所述的一种有追溯能力的隐私保护方法，其特征在于，步骤3中对步骤2得到的签名进行验证时，输入消息m∈{0,1}^*、群签名σ＝(B,Z,V,W,P4,M,c,f’,y’,z’,h’,g’,r₂,s₂)；以及群组公钥(P₁,Q₁,R₁,P₂,P₃,X,S,T)，具体包括以下步骤：

步骤3.1、计算Y＝e(Q₁,P₂)^f’·e(B,[y’]P₂+[c]X)·e(R₁,P₂)^z’·e(R₁,X)^h’·e(P₁,P₂)-c，Z’＝[f’+g’]P₃–[c]Z，V’＝[g’]S–[c]V和W’＝[g’]T–[c]W；

步骤3.2、计算e₃＝H(p||P₁||P₂||P₃||X||S||T||Q₁||R₁||B||Z||V||W||Y||V||W’||Z’||m)；

步骤3.3、计算t₂＝r₂+s₂ mod p；

步骤3.4、验证等式t₂！＝0是否成立，若成立，执行步骤3.5；否则验证失败，终止验证过程；

步骤3.5、计算x₂＝[s₂]P₄+[t₂]M；

步骤3.6、计算R”＝(e₃+x₂)mod p；

步骤3.7、验证等式R”＝r₂是否成立，若成立，验证通过；否则验证失败，终止验证过程。

6.根据权利要求4所述的一种有追溯能力的隐私保护方法，其特征在于，当需要追溯签名者真实身份时，对于给定签名σ＝(B,Z,V,W,P₄,M,c,f’,y’,z’,h’,g’,r₂,s₂)，执行下列步骤：

步骤2.11.1、对签名σ进行验证，如果验证失败，输出⊥，⊥表示失败；如果验证成功，执行步骤2.11.2；

步骤2.11.2、计算W＝Z-[1/s]V；

步骤2.11.3、输出W。

7.根据权利要求3所述的一种有追溯能力的隐私保护方法，其特征在于，当需要对群成员进行撤销时，步骤如下：

1)群组成员发布方收到一个已撤销的签名方群组成员证书(A,y)；

2)群组成员发布方计算Q₁＝[1/(x+y)]Q₁，P₁＝[1/(x+y)]P₁和R₁＝[1/(x+y)]R₁；

3)群组成员发布方发送(y,Q₁,P₁,R₁)给每一个签名方；

4)群组成员签名密钥是(f,A,y,z)的每一个签名方，计算：

A’＝[1/(y-y)](A-P₁-[f]Q₁-[z]R₁)，并设它的群组签名密钥为(f,A’,y,z)；

5)每一个签名方设置群组公钥为(P₁,Q₁,R₁,P₂,P₃,X,S,T)。

8.一种有追溯能力的隐私保护系统，用于实现权利要求1-7任一项所述的一种有追溯能力的隐私保护方法，其特征在于，包括密钥产生模块、签名模块和验证模块；

密钥产生模块：用于产生密钥，密钥产生过程包括建立过程和群组成员发布过程，其中建立过程是群组成员发布方产生群组公共参数、群组公钥、打开方法密钥和群组发布密钥的过程；群组成员发布过程是通过组成员和管理员之间的交互协议产生唯一的群组成员签名密钥的过程；

签名模块：用于对产生的密钥进行签名；

验证模块：用于对得到的签名进行验证。