CN111698090B - 一种应用于威胁情报交易联盟链中的环签名方法 - Google Patents

Abstract

本发明属于应用于网络威胁情报交易联盟链中的环签名技术领域，具体涉及一种应用于威胁情报交易联盟链中的环签名方法。本发明针对威胁情报交易联盟链中的交易背书用户的身份隐私保护问题，用于进行威胁情报交易联盟链中背书用户的身份隐私加密。本发明具有匿名性、安全性和不可伪造性，可以用于威胁情报交易联盟链中的交易背书用户的身份匿名化，来保护联盟链中交易背书用户的身份隐私。

Description

一种应用于威胁情报交易联盟链中的环签名方法

技术领域

本发明属于应用于网络威胁情报交易联盟链中的环签名技术领域，具体涉及一种应用于威胁情报交易联盟链中的环签名方法。

背景技术

近些年，随着互联网空间的不断发展和完善，网络环境尤其是网络安全环境也日趋复杂。网络威胁情报信息是一种规范化的数据信息，具有高度的信息关联性和准确性，有助于各种安全保障组织进行威胁情报信息的分析，为网络威胁的检测和防御提供有力的数据支撑。网络威胁情报信息交易是网络空间安全保障组织获取信息的重要来源，因此研究网络威胁情报信息交易机制，尤其是如何在业界知名的网络安全组织、攻击团体或个人黑客等网络威胁情报信息提供者或需求者间，进行及时高效且安全的网络威胁情报信息的P2P交易的需求日益凸显。联盟链技术的出现和发展为P2P交易的网络威胁情报信息交易提供了一种可行的交易方案。在联盟链的模型架构、联盟链相关协议分析以及联盟链相关技术的研究和扩展等方面，国内外相关研究学者已经进行了大量的研究。通过网络安全组织、攻击团体或个人黑客等各种有网络威胁情报交易需求的实体组成交易联盟链，在联盟链内为各节点在安全授予的权限内进行联盟链内的网络威胁情报信息的P2P交易，并由各联盟内节点负责本组织内的参与节点管理。

在由大量网络安全组织或者个人安全研究员作为用户节点组成的网络威胁情报信息交易的联盟链中，在达成交易前需由背书节点按照一定的背书策略来为交易进行背书，在得到规定数目的有效背书后才可以提交交易，背书节点在进行背书时会生成包含身份信息的签名，以便后续进行验证。但是由于背书用户间可能存在意见分歧或者利益纠葛，如果背书节点身份的泄漏，可能会导致联盟链内出现冲突，因此对于匿名性要求较高的威胁情报信息交易联盟中的用户身份隐私保护，既需要交易双方的用户身份隐私保护，也需要交易背书用户的身份匿名化保护。联盟链内交易双方的用户隐私保护已经有大量的研究和应用，而交易背书用户匿名化方面，仍存在巨大的研究空白。因此，研究威胁情报交易联盟中的交易背书用户的匿名化方法，是联盟链用户隐私保护研究的重要研究方向。

发明内容

本发明的目的在于提供用于进行威胁情报交易联盟链中背书用户的身份隐私加密的一种应用于威胁情报交易联盟链中的环签名方法。

本发明的目的通过如下技术方案来实现：包括以下步骤：

步骤1：初始化阶段，输入系统安全参数λ，返回安全素数p和q、RSA整数N和QR数组；其中，QR数组中任意元素QR_i∈QR(N)；

步骤2：背书节点集合E中的所有背书节点生成密钥对；

背书节点集合中的节点E_i产生的密钥对为(pKey_i，sKey_i)；其中，E_i∈E，1≤i≤n；私钥sKey_i＝(x_i，y_i)，公钥pKey_i＝2*x_i*y_i+1，

γ，δ∈N；

生成密钥对成功后，背书节点E_i首先使用零知识证明密钥对(pKey_i，sKey_i)的正确性，如果验证通过则将公钥及身份的对应信息存储到联盟链的公共数据库DB中，联盟链内所有实体节点都可以访问该数据库获取其他节点的公钥集合；

步骤3：聚合所有的随机数集合，得到累加值sum；

步骤4：签名者根据要加密的消息m、交易关联参数t_tid、签名者的公钥pKey_i、签名者的私钥sKey_i＝(x_i，y_i)以及累加值sum生成签名ρ，并将签名ρ返回给验证者用于解密；

ρ＝(sum，tag，ρ′)

其中，tag为签名者的标签，

ρ′为基于知识证明的知识签名SoK的输出：

步骤5：验证者收到签名ρ后，对签名ρ的合法性进行验证；如果验证有效，验证者输出接受签名，执行步骤6；否则验证者输出拒绝签名，并终止本次签名验证过程；

具体验证方法为：通过验证累加值sum和签名ρ的计算是否成立，来验证签名是否为环中背书节点生成的；

步骤6：验证者判断签名ρ的关联性；

步骤6.1：判断签名的交易是否关联；

计算签名ρ中

和

相乘的结果，将相乘的结果与标签tag逐位比较；如果相同，则判定该签名是已关联的，验证者输出1并执行步骤6.2；否则，验证者输出0；

步骤6.2：判断标签间的关联性；

比较本次签名中的标签与上一次签名中的标签是否相同；若本次签名本次签名中的标签与上一次签名中的标签相同，则判断两个签名对应同一交易，验证者输出1；否则，验证者输出0。

本发明的有益效果在于：

本发明针对威胁情报交易联盟链中的交易背书用户的身份隐私保护问题，提供一种应用于威胁情报交易联盟链中的环签名方法，用于进行威胁情报交易联盟链中背书用户的身份隐私加密。本发明具有匿名性、安全性和不可伪造性，可以用于威胁情报交易联盟链中的交易背书用户的身份匿名化，来保护联盟链中交易背书用户的身份隐私。

附图说明

图1是联盟链交易流程图。

图2是初始化阶段处理方法的伪代码图

图3是签名阶段处理方法的伪代码图

图4是关联判断阶段处理方法的伪代码图

具体实施方式

下面结合附图对本发明做进一步描述。

本发明的目的在于针对威胁情报交易联盟链中的交易背书用户的身份隐私保护问题，提供一种应用于威胁情报交易联盟链中的环签名方法，用于进行威胁情报交易联盟链中背书用户的身份隐私加密。

(1)初始化阶段处理方法：输出系统安全参数λ，初始化后续加密和验证等阶段所需的参数。初始化阶段只执行一次，其初始化的参数在联盟链所有的交易中保持不变。

(2)密钥生成阶段处理方法：在系统初始化相关参数成功后，背书节点集合中的任意节点E_i∈E，1≤i≤n都会产生密钥对(pKey_i，sKey_i)

(3)签名阶段处理方法：对于签名的交易可关联性，通过参数t_tid由累加器函数确定。对于长度恒定性，签名的长度由系统安全参数λ确定，由λ的倍数的整数构成，且安全参数λ在初始化时已经确定，因此可以保证该阶段生成的签名ρ的长度不随着签名消息的长度、背书节点数量变化，可以保持签名长度恒定。

(4)验证阶段处理方法：需要对签名ρ的合法性进行验证。包括对环签名的累加值sum、消息mesg、节点的公钥集合{pKey₁，pKey₂，...，pKey_n}和签名进行验证。

(5)关联判断阶段处理方法：关联判断阶段由两个方法组成：方法一，其作用是判断签名的交易是否关联。方法二，其作用是判断标签间的关联性。

本发明在针对威胁情报交易联盟链交易过程中交易背书用户的身份隐私保护问题，提出了一种应用于威胁情报交易联盟链中的环签名方法，本发明具有匿名性、安全性和不可伪造性，可以用于威胁情报交易联盟链中的交易背书用户的身份匿名化，来保护联盟链中交易背书用户的身份隐私。

首先介绍所涉及的相关数学概念。

(1)素数：素数是指只有1和自身两个正因数的自然数。

(2)RSA数：非对称加密算法RSA加密算法的安全性依赖于大整数(记为RSA数)的质因数分解困难，其中RSA数为两个素数的乘积。

(3)二次剩余：给定同余式x²≡n(mod p)，若存在x满足该等式，即x满足

则称n是模p的二次剩余。若不存在，则称n是模p的二次非剩余。

由于将一个RSA整数分解质因数所需的计算时间远大于两个素数相乘的计算时间，且计算量随着两个素数位数的增长而指数级增长，当两个素数的位数大于512位时，现有计算工具去完成分解因子的任务将极为困难。故可以认为在大于512位时RSA整数是不可破解的，因此可以使用RSA整数，结合有限域上二次剩余进行数字签名的构造。

相关数学符号定义如下：

(1)λ，α和β为安全参数，其中λ＞α-1，α＞2*(β+1)。

(2)p为安全素数，满足p＝2*p′+1，其中p′和p均为奇数素数。

(3)N是RSA整数，满足N＝p*q，其中p和q均为安全素数。

(4)RSA_λ为大小为λ的RSA整数集合。

(5)QR(N)表示模为N的二次剩余群。

由N是RSA整数，且满足N＝p*q，定义参数γ和δ，满足γ，δ∈N，则设置一组范围S(2^γ，2^δ)，满足公式(1)。

S(2^γ，2^δ)＝{2^γ-2^δ+1，...，2^γ+2^δ-1} (1)

由公式(1)，可知|S(2^γ，2^δ)|＝2^δ+1-1，S(2^γ，2^δ)满足范围足够大但是小于二次剩余群QR(N)的量级。对于任何随机变量a^x，x∈S(2^γ，2^δ)，若变量a^x满足因数分解困难的前提，则意味着在概率多项式时间内无法区分从S(2^γ，2^δ)和QR(N)中选择一个值。

环签名的基本思想是在不存在环管理者的情况下，签名者通过签名的公钥环生成签名，使验证者只可以验证该签名是否为环中的某成员生成，却无法确定生成该签名的签名者的真实身份，从而达到保护签名者身份隐私的目的。

∑协议，又称特殊诚实验证零知识证明协议，零知识证明是签名者利用数学知识和公共信息，在不向验证者提供身份隐私信息的情况下，令验证者相信签名者知道某个消息，是进行用户匿名研究的重要协议，其定义如下：

定义1(∑协议)∑协议是不能在概率多项式时间内解决的NP关系上的三轮两方协议。对于签名者S和验证者V，第一轮由签名者S对某信息产生消息MES，第二轮中验证者V回复随机的询问消息CH，最后一轮中签名者S发送响应消息RES结束。最后诚实的验证者V在验证{MES，CH，RES}通过后输出1，证明签名者S确实拥有该信息，否则输出0。

知识签名是在零知识证明基础上产生的签名方案，可以利用知识签名的技术进行环签名方案的设计。知识签名的定义如下：

定义2(知识签名)零知识证明的每个三轮知识证明(Proof of Knowledge，简称PoK)过程，通过设置与要签名的消息相关联的哈希值，生成的签名方案在随机预言模型下，能够在自适应的选择消息攻击下具有可证明的安全性，则称该签名方案为基于知识证明的知识签名(Signatures ofKnowledge，简称SoK)。

SoK可以表示为公式(2)。

公式(2)中mesg表示要签名的消息，通过函数

计算参数x对应于消息mesg的零知识证明得出知识签名方案。

累加器使用一种聚合算法，将所有背书用户节点的公钥累加成为一个值，同时聚类算法为参与公钥累加的节点提供证明信息，证明对应的节点参与了聚合运算。首先累加环中所有背书节点成员的公钥生成一个累加值，然后签名者S以零知识的方式证明其公钥Pkey已经在累加器中累加，并且确认签名者与公钥Pkey相对应的私钥Skey。累加器定义如下：

定义3(累加器)累加器是具有准交换性的单向哈希函数。一个累加器族可以表示为一对

其中

是一系列哈希函数族，

表示累加器的值域。

由定义3，

表示的函数族中的任意函数f均满足准交换性，即任意f∈F_λ，函数f表示为：

公式(3)中

则对于任意

f∈F_λ，o∈O_f和x₁，x₂∈X_λ，

f(f(o，x₁)，x₂)＝f(f(o，x₂)，x₁) (4)

由于累加器的交换性，

中累加值与x_i的顺序无关。由公式(3)，用函数f(o，x_i)表示x_i对应的累加值，则对于任意

f∈F_λ和

任一元素x_i对于值o的累加和为μ＝f(...f(o，x₁)，...，x_i)。

定理1具有单向域的累加器f：O_f×X→O_f，如果对于f∈F_λ，o∈O_f和X＝{x_i|x_i∈X_λ，1≤i≤m}，则全部累加和μ＝f(...f(...f(f(o，x₁)，x₂)...，x_m-1)x_m)，则缺少任意节点的部分累加和互不相同。

证明在单向域累加器函数f：O_f×X→O_f中，记缺少节点x_i的部分累加和μ_i＝f(...f(f(...f(f(o，x₁)，x₂)...，x_i-1)，x_i+1)，...，x_m)，缺少节点x_j的部分累加和μ_j＝f(...f(f(...f(f(o，x₁)，x₂)...，x_j-1)，x_j+1)，...，x_m)，由单向域累加器的准交换性和公式(4)，可知：

μ＝f(...f(...f(f(o，x₁)，x₂)...，x_m-1)x_m)

＝f(f(...f(f(...f(f(o，x₁)，x₂)...，x_i-1)，x_i+1)，...，x_m)，x_i)

＝f(μ_i，x_i)

＝f(f(...f(f(...f(f(o，x₁)，x₂)...，x_j-1)，x_j+1)，...，x_m)，x_j)

＝f(μ_j，x_j)

即μ＝f(μ_i，x_i)＝f(μ_j，x_j)，由单向累加器性质x_i≠x_j时，μ_i≠μ_j。证毕。

定理1说明在公钥累加时，缺少任意公钥都会导致累加值不同，即不同的节点组成的环会产生不同的累加值，因此可以保证不同的环在累加值验证时不会互相影响。

定义4(强RSA问题)给出一个随机的RSA整数N和任意值x∈QR(N)，不存在算法可以在概率多项式时间内找到r和y，使得y^r＝x mod N成立。

任选随机x∈QR(N)，选择四个奇数素数p′、p、q和q′，满足p＝2*p′+1，q＝2*q′+1，任取两个整数A和B，且满足2＜A＜B＜A²＜N/4，取素数y，满足y≠p，且y∈[q∧A，B]，则基于定义3和定义4，令函数f(x，y)满足公式(5)。

f(x，y)＝x^y mod N (5)

所以函数f(x，y)是基于强RSA问题可证明安全的单向累加器，可用于后续公钥累加的计算。在威胁情报交易联盟链中参与交易的各方按照图1所示流程进行整体的交易处理，由客户端发起交易申请，节点负责执行链码、进行交易背书和验证背书结果，由排序服务接收并排序节点提交的交易，生成交易区块然后广播到节点，节点对可以达成共识的区块提交到联盟链中。

在威胁情报交易联盟链中，使用CLTLRS技术进行背书用户的身份加密时，所涉及的用户实体如下：

(1)客户节点C：发起交易请求的实体节点。

(2)签名者S：背书用户，负责对认可的交易进行验证并执行设计的环签名算法。

(3)验证者V：验证者负责验证签名者产生的签名的是否有效。

基于相关数学模型，提出应用于联盟链的长度恒定的交易可关联环签名技术-CLTLRS技术，CLTLRS技术方案由五个方法组成的元组组成，记为CLTLRS＝{Init，KeyGen，Sign，Verify，Link}。其算法流程如下所述：

(1)Init(初始化)阶段处理方法

输出系统安全参数λ，初始化后续加密和验证等方法所需的参数。初始化方法只执行一次，其初始化的参数在联盟链所有的交易中保持不变。

函数GenerateRSAInt是在联盟链初始化CLTLRS技术加密时被调用，其作用为通过输入安全参数λ来生成其它加密所需的参数，返回安全素数p和q和RSA整数N以及一个包含长度可设置个元素的大小的QR数组，数组中任意元素QR_i∈QR(N)。函数GenerateRSAInt的伪代码如图2所示。

(2)KeyGen(密钥生成)阶段处理方法

在系统初始化相关参数成功后，背书节点集合中的任意节点E_i∈E，1≤i≤n都会产生密钥对(pKey_i，sKey_i)，其中私钥sKey_i＝(x_i，y_i)，公钥pKey_i＝2*x_i*y_i+1，其中x_i和y_i的取值满足

其中γ，δ∈N。

生成密钥对成功后，背书节点E_i首先使用零知识证明密钥对(pKey_i，sKey_i)的正确性，如果验证通过则将公钥及身份的对应信息存储到联盟链的公共数据库DB中，联盟链内所有实体节点都可以访问该数据库获取其他节点的公钥集合。

在背书集合E中的所有背书节点E_i生成密钥对结束后，执行环签名方法来聚合所有的随机数集合，其累加值sum表示为公式(6)。

累加值sum在联盟链的加密验证过程中将可以一直使用，除非背书集合E发生改变。当背书节点选择背书或者签名某一交易时，可以使用该值根据知识签名来构建签名。背书集合E固定，则累加值在签名方法执行前可以预先计算出，并且保持不变。

(3)Sign(签名)阶段处理方法

签名者在执行签名方法前，首先获取公钥集合{pKey₁，pKey₂，...，pKey_n}和累加值sum。

对于CLTLRS技术的交易可关联性。交易可关联性通过参数t_tid由累加器函数确定，参数t_tid由两部分计算生成：参数t和哈希函数H，哈希函数H生成tx＝H(transaction_id)，其中t∈QR(N)，QR数组由初始化函数初始化产生，令t取QR数组的第一个元素，即t＝QR[0]，transaction_id为每个交易唯一的ID，则tx也是每个交易的唯一哈希值。结合公式(5)，t_tid表示为t_tid＝f(t，tx)＝t^tx mod N。然后由签名者S的私钥sKey_i＝(x_i，y_i)，定义一个函数θ用于生成每个tx对应该签名者S的标签，表示为tag＝θ(x_i，y_i)，则标签可由公式(7)计算得出。

公式(7)表示的标签tag用于标记签名者和交易的对应关系，标签tag是由交易ID和私钥sKey唯一确定的，用于防止对同一交易的重复签名。

对于给定的待签名消息m，签名者利用交易关联参数t_tid，签名者的公钥pKey_i和私钥sKey_i＝(x_i，y_i)，以及累加值sum，通过公式(8)计算基于知识证明的知识签名SoK。

公式(8)执行SoK后输出为ρ′，则算法最终返回给验证者V用于解密的签名ρ记为公式(9)。

ρ＝(sum，tag，ρ′) (9)

对于CLTLRS技术的长度恒定性。首先交易标签tag由公式(7)确定且长度恒定，故签名的长度恒定只需保证签名ρ′长度恒定。ρ′的长度由系统安全参数λ确定，ρ′由λ的倍数的整数构成，且安全参数λ在算法初始化时已经确定，因此可以保证该算法生成的签名ρ的长度不随着签名消息的长度、背书节点数量变化，可以保持签名长度恒定。

图3表示的方法是在签名函数对消息进行签名时调用，对输入的要加密的消息mesg、系统安全参数λ、私钥值sKey[i]、交易关联参数t_tid，返回生成的签名，该算法的时间复杂度仅与安全参数λ相关。

(4)Verify(验证)阶段处理方法

验证者V需要对签名ρ的合法性进行验证。验证方法的输入包括环签名的累加值sum、消息mesg、节点的公钥集合{pKey₁，pKey₂，...，pKey_n}和签名ρ。

验证方法通过验证累加值和签名的计算是否成立，来验证签名是否为环中背书节点生成的，如果验证有效，验证者输出接受签名，结束验证并进行后续签名关联性的判断。否则验证者输出拒绝签名，然后终止本次签名验证过程。

(5)Link(关联判断)阶段处理方法

关联判断方法由两个子方法组成：子方法一，记为F1，其作用是判断签名的交易是否关联；子方法二，记为F2，其作用是判断标签间的关联性。

对于关联判断方法F1，通过签名中的第4个和第5个数，其值分别为

和

将其相乘的结果与标签tag逐位比较，如果相同，返回1，即该签名是已关联的。否则返回0。

图4表示关联判断方法F1，在验证者V验证签名有效后判断签名的可关联性时调用，输入参数为系统安全参数λ、签名ρ和标签tag，输出结果为1或者0，分别表示签名已关联和签名未关联。

对于关联性判断方法F2，输入为标签tag₁、tag₂和其对应的签名，首先判断两个签名是否为有效签名，并且由关联方法F1判断两个签名是否已关联。若签名均为有效签名且签名均已关联，则使用方法F2判断标签tag₁和tag₂是否对应同一交易，因为每个交易的交易ID是唯一确定的，所以在背书节点集合保持固定时，使用私钥和交易ID通过公式(7)计算生成的标签tag是唯一确定的，同一签名者对同一个交易多次生成的签名也是相同的。因此方法F2通过比较tag₁和tag₂，即可判断两个标签是否对应同一交易，若对应同一交易则输出1，否则输出0。关联性判断方法F2由验证者V在签名验证的最终阶段时选择调用。

对于应用于联盟链的长度恒定交易可关联的环签名技术，必须满足以下安全性要求：

(1)匿名性：对于生成的签名，外部攻击节点或者联盟链内其它非背书节点即使非法获取了联盟链内所有签名者的私钥，外部攻击节点或者联盟链内其它节点能确定出真正签名的背书用户身份的概率不超过1/n，这里n为联盟链内构成环的签名者的个数。

(2)关联性：对于联盟链内每个交易，签名者生成的每个签名必须满足能对应唯一交易，且可以确定两个签名是否相关联，即确定两个签名是否由同一个签名者产生。

(3)不可伪造性：外部攻击节点或者联盟链内非背书节点在不知道任何背书节点私钥的情况下，对消息伪造产生合法环签名的概率是完全可忽略的。

在进行安全性分析前，首先假设存在一个攻击者A，该攻击者可能是外部攻击者或者联盟链内其它非背书节点。

对于签名的匿名性。假设签名是合法签名，由签名算法可知，签名生成时所需的参数中，N为RSA整数，随机计算产生的，具有随机性。QR数组中的元素是由N生成随机整数的随机次幂模N计算得到的，具有计算的随机性。交易关联参数t_tid利用单向域累加器函数确定，其计算所需的参数t，满足t∈QR(N)，也具有随机性。所以因为签名计算中除私钥外的参数都具有计算的随机性，无论攻击者A为环外节点还是其它非背书节点，即使系统安全参数λ和环中所有成员节点的私钥均泄漏，攻击者A也无法确定真实签名者的身份，攻击者A通过签名信息判断签名由哪个节点签名生成的概率仅为1/n。因此，长度恒定的交易可关联的环签名算法生成的签名具有匿名性。

对于签名的关联性。首先因为签名和标签的关联性可以通过算法的关联性判断函数进行判断，所以可以保证关联性判断通过的签名具有关联性。所以只需要保证攻击者A无法伪造具有交易关联性的标签就可以保证签名的关联性。假设标签为tag，若攻击者A为环外节点，因为其不具有私钥，所以无法伪造产生具有交易关联性的标签tag。若为其它非背书节点，因为只拥有一个自己的私钥，无法得知环中其他节点的私钥。假设攻击者A可以伪造具有交易关联性的标签tag′，则攻击者A可以由公式(5)和公式(7)通过标签tag计算出原标签tag对应的私钥值，但是攻击者A并不拥有生成标签tag的节点的私钥sKey_i，这与定义5的强RSA问题求解困难相矛盾。因此，长度恒定的交易可关联的环签名算法生成的签名具有关联性。

对于签名的不可伪造性。同时具有签名的匿名性和关联性意味着签名具有不可伪造性，因为如果攻击者A可以伪造一个签名，则该攻击者可以伪装成任何诚实的环成员节点，或者与任何节点串通来破坏交易的可关联性。即如果签名满足可伪造性会破坏签名的匿名性或者交易的可关联性的要求，因此若签名同时具有匿名性和可关联性，就可以认为其具有不可伪造性。

综上所述，长度恒定的交易可关联的环签名技术满足匿名性、关联性和不可伪造性，可以应用于威胁情报交易联盟中交易背书用户的身份匿名化。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种应用于威胁情报交易联盟链中的环签名方法，其特征在于，包括以下步骤：

步骤1：初始化阶段，输入系统安全参数λ，返回安全素数p和q、RSA整数N和QR数组；其中，QR数组中任意元素QR_i∈QR(N)；QR(N)表示模为N的二次剩余群；N是RSA整数，满足N＝p*q；

步骤2：背书节点集合E中的所有背书节点生成密钥对；

背书节点集合中的节点E_i产生的密钥对为(pKey_i,sKey_i)；其中，E_i∈E，1≤i≤n；私钥sKey_i＝(x_i,y_i)，公钥pKey_i＝2*x_i*y_i+1，

γ,δ∈N；

生成密钥对成功后，背书节点E_i首先使用零知识证明密钥对(pKey_i,sKey_i)的正确性，如果验证通过则将公钥及身份的对应信息存储到联盟链的公共数据库DB中，联盟链内所有实体节点都可以访问该数据库获取其他节点的公钥集合；

步骤3：聚合所有的随机数集合，得到累加值sum；

步骤4：签名者根据要加密的消息m、交易关联参数t_tid、签名者的公钥pKey_i、签名者的私钥sKey_i＝(x_i,y_i)以及累加值sum生成签名ρ，并将签名ρ返回给验证者用于解密；

ρ＝(sum,tag,ρ′)

其中，tag为签名者的标签，

ρ′为基于知识证明的知识签名SoK的输出：

步骤5：验证者收到签名ρ后，对签名ρ的合法性进行验证；如果验证有效，验证者输出接受签名，执行步骤6；否则验证者输出拒绝签名，并终止本次签名验证过程；

具体验证方法为：通过验证累加值sum和签名ρ的计算是否成立，来验证签名是否为环中背书节点生成的；

步骤6：验证者判断签名ρ的关联性；

步骤6.1：判断签名的交易是否关联；

计算签名ρ中

和

相乘的结果，将相乘的结果与标签tag逐位比较；如果相同，则判定该签名是已关联的，验证者输出1并执行步骤6.2；否则，验证者输出0；

步骤6.2：判断标签间的关联性；

比较本次签名中的标签与上一次签名中的标签是否相同；若本次签名本次签名中的标签与上一次签名中的标签相同，则判断两个签名对应同一交易，验证者输出1；否则，验证者输出0。

Images