CN112511314B - 一种基于身份的可恢复消息盲签名生成方法 - Google Patents

Abstract

本发明公开了一种基于身份的可恢复消息盲签名生成方法，属于信息安全技术领域。本方法由密钥生成中心进行密钥生成，并为每个签名者颁发签名私钥；接着，由用户对消息进行盲化，再由签名者对盲化后的消息签名得到盲化签名，最后用户对盲化签名去盲得到最终签名。最后，验证者使用签名者的公钥钥验证签名合法性，若合法，则提取消息。本发明在签名过程中，使用了双盲化技术破坏消息和签名的线性，从而实现了盲签名方案所需的盲性、不可追踪性以及可监管性。

Description

一种基于身份的可恢复消息盲签名生成方法

技术领域

本发明涉及信息安全技术领域，特别是指一种基于身份的可恢复消息盲签名生成方法。

背景技术

随着数字货币的出现和发展，区块链技术正作为数字经济时代的一种颠覆性技术引领者全球的科技革命、产业革命和数字革命。区块链交易安全是区块链系统运行的基础，而匿名交易则是保障用户交易隐私的一种重要手段。通常而言，数字签名以实现不可伪造性的特性代替了传统手写签名，并在区块链系统中广泛应用，以实现对数据、行为等的鉴别。但在传统数字签名中，签名者必须知道其所签署信息的具体内容，使其难以适用于电子投票、电子贸易、电子现金等场景。盲签名是解决该问题的有效方式，它能够让签名者在不知道被签名消息的情况下产生一个合法签名，同时保证即使消息和签名值公开，签名者也无法追溯其签名过程。这一特性可以理解为用户匿名性，即签名者无法知道发起签名行为的用户的具体身份，甚至无法将签名值与其所属用户连接。近些年，以BlindCoin为代表的匿名支付技术正是采用了盲签名技术以实现交易身份的匿名保护。

此外，盲签名的应用仍面临以下几个问题：

1)证书管理问题。这一问题是由传统公钥基础设施部署衍生的一个系统运维问题。以公钥证书实现用户身份与公钥的绑定，会需要大量的系统资源来支撑证书颁发、维护、传输、验证等行为。去中心化的部署场景中亟需使用无证书体制以降低系统运维成本。

2)消息传输开销问题。一般而言，验证者会接收到一对消息和签名值进行验证，其所需要的传输开销不仅有签名值，还有消息。可恢复消息签名则是一种将消息隐藏在签名值中的实用技术，当验证者验证签名时可以直接提取消息，从而降低消息传输开销。

3)监管问题。匿名性是把双刃剑，一方面盲签名的盲化性质很好的保障了用户隐私，但另一方面对解决纠纷、行为追踪等方面产生了不利影响。

为此，需要设计一种由可信权威机构执行的合法追踪技术，以实现对盲签名的合法监管。

发明内容

有鉴于此，本发明提出一种基于身份的可恢复消息盲签名生成方法，其能够在基于身份的密码体制下，由用户产生一个可恢复消息的合法签名，且被签名消息的内容不被签名者获知。

为了实现上述目的，本发明提供的技术方案是：

一种基于身份的可恢复消息盲签名生成方法，包括以下步骤：

(1)由密钥生成中心生成系统参数和主密钥对，具体方式为：

(101)选择两个阶为素数q的加法循环群(G₁,+)和(G₂,+)，以及双线性对e:G₁×G₂→G_T，其中G_T为阶为q的乘法循环群，P₁为G₁的生成元，P₂为G₂的生成元，g＝e(P₁,P₂)；

(102)选取四个哈希函数：

H₂:G_T→{0,1}^|q|，

和

其中，

{0,1}^*为由0、1组成的任意长度的字符串，{0,1}^|q|为由0、1组成的长度与q的比特长度一致的字符串，

表示由0、1组成的长度为l₁的字符串，

表示由0、1组成的长度为l₂的字符串；

(103)从

中随机选取一个元素s作为系统主私钥，并计算系统主公钥P_pub＝s·P₂；

(104)公开系统参数params＝{G₁,G₂,H₁,H₂,F₁,F₂,q,e,P₁,P₂,g,P_pub}；

(2)对于某个签名者身份标识ID，密钥生成中心计算标识对应的私钥d_ID：d_ID＝(s+H₁(ID))^-1·P₁，并将d_ID分发给签名者；

(3)签名者和用户通过交互完成盲签名生成，产生消息m的签名(v,S)；具体方式为：

(301)签名者从

中随机选取一个元素r，计算R＝r·P₁，并将R发送给用户；

(302)用户从

中随机选取两个元素α、β，计算

w₁＝e(α·R+β·P₁,P₂)，w₂＝e(β·P₁,H₁(ID)·P₂+P_pub)，w＝w₁·w₂和

并将

发送给签名者；其中，||表示字符串拼接，

表示异或运算，mod为取余数操作；

(303)签名者计算

并将

发送给用户；

(304)用户计算

并输出签名值为σ＝(v,S)；

(4)验证者对收到的签名σ′＝(v′,S′)进行验证，并提取消息m′；具体方式为：

(401)计算w′＝e(S′,H₁(ID)·P₂+P_pub)·g^v′，

和

其中，u′₁表示取字符串u′的左端l₁个比特的值，u′₂表示取字符串u′的右端l₂个比特的值；

(402)验证u′₁是否等于F₁(m′)；如果相等，则签名验证通过并输出m′；否则，签名验证不通过。

从上面的叙述可以看出，本发明技术方案的有益效果在于：

1、本发明具有不可追踪性和可监管性。现有的许多盲签名方案中，签名者可以通过自身的私钥、交互过程的变量以及公布的签名值将某个签名值与以前的某次签名过程进行连接，进而可将用户与某次签名过程绑定，破坏匿名性。而本发明中，普通签名者是实现追踪的。但对于密钥生成中心(Key Generation Center，KGC)而言，只要签名者和用户将自身拥有的数据提供给KGC，KGC可以通过这些数据实现签名过程与签名值的连接，以实现追踪进而解决双方的纠纷问题。

2、本发明使用可恢复消息机制，将消息压缩在签名值内，较大的降低了通信和存储开销，更加适合于区块链、物联网等场景。

3、本发明采用了基于身份的密码体制，有效地避免了证书管理问题，降低系统运维成本。同时，结合KGC的超级管理权限，赋予其追踪签名的能力，确保匿名交易中的合法监管手段可行。

附图说明

为了更加清楚地描述本专利，下面提供一幅或多幅附图，这些附图旨在对本专利的背景技术、技术原理和/或某些具体实施方案做出辅助说明。需要注意的是，以下附图均为示例性质的图片，并非旨在暗示本专利的保护范围，本领域的普通技术人员通过参考本专利所公开的文字内容和/或附图内容，可以在不付出任何创造性劳动的情况下设计出更多的附图，这些新附图所代表的技术方案依然在本专利的保护范围之内。

图1是本发明实施例中签名生成过程的示意图。

具体实施方式

为了便于本领域技术人员对本专利技术方案的理解，同时，为了使本专利的技术目的、技术方案和有益效果更加清楚，并使权利要求书的保护范围得到充分支持，下面以具体案例的形式对本专利的技术方案做出进一步的、更详细的说明。

一种基于身份的可恢复消息盲签名生成方法，该方法涉及密钥生成中心KGC、签名者、用户和验证者四个角色。首先，由KGC完成系统参数设定和系统主密钥对的生成。其次，KGC为每个签名者颁发其身份标识ID对应的私钥d_ID。之后，在签名阶段，签名者先用随机点R对用户进行挑战，用户使用盲化因子α,β对消息m盲化得到

签名者再使用私钥d_ID对

进行签名得到

用户对

去盲得到签名σ＝(v,S)。验证过程中，验证者直接使用签名者标识ID验证签名合法性并提取消息。

如图1所示，该方法具体包括以下步骤：

(1)系统初始化：

由密钥生成中心生成系统参数和主密钥对，具体方式为：

(101)选择两个阶为素数q的加法循环群(G₁,+)和(G₂,+)，以及双线性对e:G₁×G₂→G_T，其中G_T为阶为q的乘法循环群，P₁为G₁的生成元，P₂为G₂的生成元，g＝e(P₁,P₂)；

(102)选取四个哈希函数：

H₂:G_T→{0,1}^|q|，

和

其中，

{0,1}^*为由0、1组成的任意长度的字符串，{0,1}^|q|为由0、1组成的长度与q的比特长度一致的字符串，

表示由0、1组成的长度为l₁的字符串，

表示由0、1组成的长度为l₂的字符串；

(103)从

中随机选取一个元素s作为系统主私钥，并计算系统主公钥P_pub＝s·P₂；

(104)公开系统参数params＝{G₁,G₂,H₁,H₂,F₁,F₂,q,e,P₁,P₂,g,P_pub}；

(2)密钥提取：

对于某个签名者身份标识ID，密钥生成中心计算标识对应的私钥d_ID：d_ID＝(s+H₁(ID))^-1·P₁，并将d_ID分发给签名者；

(3)盲签名生成：

该过程由签名者和用户交互完成，产生消息m的签名(v,S)；具体方式为：

(301)签名者从

中随机选取一个元素r，计算R＝r·P₁，并将R发送给用户；

(302)用户从

中随机选取两个元素α、β，计算

w₁＝e(α·R+β·P₁,P₂)，w₂＝e(β·P₁,H₁(ID)·P₂+P_pub)，w＝w₁·w₂和

并将

发送给签名者；其中，||表示字符串拼接，

表示异或运算，mod为取余数操作；

(303)签名者计算

并将

发送给用户；

(304)用户计算

并输出签名值为σ＝(v,S)；

(4)盲签名验证：

验证者对收到的签名σ′＝(v′,S′)进行验证，并提取消息m′；具体方式为：

(401)计算w′＝e(S′,H₁(ID)·P₂+P_pub)·g^v′，

和

其中，u′₁表示取字符串u′的左端l₁个比特的值，u′₂表示取字符串u′的右端l₂个比特的值；

(402)验证u′₁是否等于F₁(m′)；如果相等，则签名验证通过并输出m′；否则，签名验证不通过。

总之，本方法由密钥生成中心进行密钥生成，并为每个签名者颁发签名私钥；接着，由用户对消息进行盲化，再由签名者对盲化后的消息签名得到盲化签名，最后用户对盲化签名去盲得到最终签名。最后，验证者使用签名者的公钥验证签名合法性，若合法，则提取消息。本发明在签名过程中，使用了双盲化技术破坏消息和签名的线性，从而实现了盲签名方案所需的盲性、不可追踪性以及可监管性。

需要理解的是，上述对于本专利具体实施方式的叙述仅仅是为了便于本领域普通技术人员理解本专利方案而列举的示例性描述，并非暗示本专利的保护范围仅仅被限制在这些个例中，本领域普通技术人员完全可以在对本专利技术方案做出充分理解的前提下，以不付出任何创造性劳动的形式，通过对本专利所列举的各个例采取组合技术特征、替换部分技术特征、加入更多技术特征等等方式，得到更多的具体实施方式，所有这些具体实施方式均在本专利权利要求书的涵盖范围之内，因此，这些新的具体实施方式也应在本专利的保护范围之内。

Claims (1)

1.一种基于身份的可恢复消息盲签名生成方法，其特征在于，包括以下步骤：

(1)由密钥生成中心生成系统参数和主密钥对，具体方式为：

(101)选择两个阶为素数q的加法循环群(G₁,+)和(G₂,+)，以及双线性对e:G₁×G₂→G_T，其中G_T为阶为q的乘法循环群，P₁为G₁的生成元，P₂为G₂的生成元，g＝e(P₁,P₂)；

(102)选取四个哈希函数：

H₂:G_T→{0,1}^|q|，

和

其中，

{0,1}^*为由0、1组成的任意长度的字符串，{0,1}^|q|为由0、1组成的长度与q的比特长度一致的字符串，

表示由0、1组成的长度为l₁的字符串，

表示由0、1组成的长度为l₂的字符串；

(103)从

中随机选取一个元素s作为系统主私钥，并计算系统主公钥P_pub＝s·P₂；

(104)公开系统参数params＝{G₁,G₂,H₁,H₂,F₁,F₂,q,e,P₁,P₂,g,P_pub}；

(2)对于某个签名者身份标识ID，密钥生成中心计算标识对应的私钥d_ID：d_ID＝(s+H₁(ID))^-1·P₁，并将d_ID分发给签名者；

(3)签名者和用户通过交互完成盲签名生成，产生消息m的签名(v,S)；具体方式为：

(301)签名者从

中随机选取一个元素r，计算R＝r·P₁，并将R发送给用户；

(302)用户从

中随机选取两个元素α、β，计算

w₁＝e(α·R+β·P₁,P₂)，w₂＝e(β·P₁,H₁(ID)·P₂+P_pub)，w＝w₁·w₂和

并将

发送给签名者；其中，||表示字符串拼接，

表示异或运算，mod为取余数操作；

(303)签名者计算

并将

发送给用户；

(304)用户计算

并输出签名值为σ＝(v,S)；

(4)验证者对收到的签名σ′＝(v′,S′)进行验证，并提取消息m′；具体方式为：

(401)计算w′＝e(S′,H₁(ID)·P₂+P_pub)·g^v′，

和

其中，u′₁表示取字符串u′的左端l₁个比特的值，u′₂表示取字符串u′的右端l₂个比特的值；

(402)验证u′₁是否等于F₁(m′)；如果相等，则签名验证通过并输出m′；否则，签名验证不通过。

Images