CN112532394A - 一种区块链抗签名可追踪的无证书盲签名生成方法 - Google Patents

Abstract

本发明公开了一种区块链抗签名可追踪的无证书盲签名生成方法，属于信息安全技术领域。该方法首先通过系统初始化算法生成整个盲签名方案的系统参数；然后密钥生成中心为签名者生成部分私钥，签名者选取秘密值计算自身的签名私钥和签名公钥；在签名过程中，用户通过盲化因子对消息进行盲化，并将其发送给签名者；签名者通过签名私钥对盲化的消息签名，并将其发送给用户；用户对盲化的签名去盲获得消息的签名。本发明在签名过程中使用盲因子破坏最终签名消息的线性，从而保证了本发明盲签名方案的盲性和不可追踪性。

Description

一种区块链抗签名可追踪的无证书盲签名生成方法

技术领域

本发明属于信息安全技术领域，特别是指一种区块链抗签名可追踪的无证书盲签名生成方法。

背景技术

数字签名是随着信息网络技术的发展而出现的一种安全保障技术，目的是通过技术手段实现传统的手写签字的功能，用于鉴定签名者身份以及数据内容的合法性。数字签名是公钥密码体系中重要的一部分，在很多场合有着重要作用。通常情况下，签名者必须知道他所签署的消息是什么，才会对消息进行签名。但在很多情况下，例如电子投票和选举等，消息的拥有者不想让签名者获得消息的具体内容，而签名者也只是想让别人知道他签署过这条消息。在这种保护隐私需求的促进下，盲签名应运而生。

区块链技术是一种集可靠数据库、良好互通性、高安全性于一体的兴新技术，而且具备去中心化、集体维护、防篡改、匿名性、安全可信、可编程等特点，能够不依靠可信第三方，建立节点与节点之间的价值转移。匿名性是区块链的重要特点之一，但是用地址代表交易双方身份的伪匿名方式在某些情况下是不可行的，比如敌手可以利用用户IP地址和交易的拓扑结构来关联公钥地址，从而破坏区块链的匿名性。

为了加强匿名性，可在区块链系统中引入盲签名实现混淆服务。但是，目前现有技术中还没有这样的方法。

发明内容

有鉴于此，本发明的目的是提供一种区块链抗签名可追踪的无证书盲签名生成方法，其能够混淆输入和输出双方的联系，既可提供对不当行为的审计凭证，又可以保障签名交易接收方的地址不对混淆服务器可见，从而保证地址信息的隐私性。

为了实现上述目的，本发明采用的技术方案为：

一种区块链抗签名可追踪的无证书盲签名生成方法，包括以下步骤：

S1.系统初始化：

(101)密钥生成中心选择阶为素数q的加法循环群

和乘法循环群

其中，元素

是加法循环群

的生成元，双线性对e:

g＝e(P,P)是群

中的一个元素；

(102)给定安全参数k，密钥生成中心选择两个哈希函数

和

同时选择一个随机数

作为自己的主私钥，计算公钥P_pub＝s·P；其中，{0,1}^*为由0、1组成的任意长度的字符串，

(103)密钥生成中心公开系统参数

S2.部分私钥提取：密钥生成中心通过自己的主私钥s和签名者的身份标识ID∈{0,1}^*，计算签名者的部分私钥D_A＝(H₁(ID)+s)^-1·P，并将部分私钥D_A发送给签名者；

S3.秘密值生成：签名者从{1,2,…,q-1}中随机选取一个整数x_A作为秘密值；

S4.签名密钥对生成：

(401)签名者根据自己选取的秘密值x_A和自己的部分私钥D_A，计算自己的签名私钥

(402)签名者根据自己选取的秘密值x_A和系统公钥P_pub，计算自己的公钥P_A＝x_A·P和P_B＝x_A·P_pub＝x_As·P；

(403)签名者生成自己的签名密钥对(S_A,(P_A,P_B))；

S5.盲签名生成：

(501)签名者产生随机数

计算第一个临时变量v′＝g^t，并将v′发送给用户；

(502)用户收到v′后，产生两个随机数

计算第二个临时变量

并计算待签名消息m的哈希值h＝H₂(m,v)和第三个临时变量h′＝α^-1(h+β)mod q，然后将h′发送给签名者；mod为取余数操作；

(503)签名者收到h′后，计算出第四个临时变量S′＝(h′+t)·S_A，并将S′发送给用户；

(504)用户收到S′后，计算出签名值S＝α·S′+β·P＝(h+β+tα)·S_A+β·P，并输出待签名消息m的签名(h,S)；

S6.签名验证：

(601)验证者检查h是否属于{1,2,…,q-1}，如果不是，则验证不通过；否则，验证者继续执行步骤(602)和(603)；

(602)验证者计算第五个临时变量：

Q＝H₁(ID)·P_A+P_B＝x_A(H₁(ID)+s)·P，

并利用第五个临时变量Q计算第六个临时变量：

(603)验证者计算v^*＝e(S,Q)·h^-1和h^*＝H₂(m,v^*)，并判断h*＝h是否成立，如果成立，则验证通过，否则验证不通过。

本发明采用上述技术方案所取得的有益效果在于：

1、现有的盲签名方案不能抵抗签名的可追踪性，签名者可以通过自己拥有的数据和签名过程中收到的传输数据，确定一次签名与这些数据的相关性，即签名者保留这些数据就能够确定这次签名是签名者哪次签署的。而本发明使用盲因子，对签名过程中的消息进行盲化，使用盲因子破坏最终签名消息的线性，签名者不知道签名消息的真实内容，但是用户能够得到真实消息的签名，同时签名者不可在追踪此次签名与传输数据的相关性，保证本发明方案的盲性和不可追踪性。

2、本发明能够混淆输入和输出双方的联系，既可提供对不当行为的审计凭证，又可以保障签名交易接收方的地址不对混淆服务器可见，从而保证地址信息的隐私性。

总之，本发明在签名过程中使用盲因子破坏最终签名消息的线性，从而保证了本发明盲签名方案的盲性和不可追踪性，能够在有效保护消息内容的同时，得到合法的签名，保证地址信息的隐私性。

附图说明

图1为本发明实施例中无证书盲签名生成方法的签名流程示意图。

具体实施方式

下面，结合附图和具体实施方式对本发明的技术方案做进一步的详细说明。

如图1所示，一种区块链抗签名可追踪的无证书盲签名生成方法，其包括以下步骤：

系统初始化：

该步骤由密钥生成中心KGC执行，主要是生成整个盲签名方案的系统参数。

具体方式为：

·给定安全参数k，KGC选择两个哈希函数

和

选择一个随机数

作为自己的主私钥，并计算公钥P_pub＝s·P。

·KGC选择两个阶为素数q的加法循环

和乘法循环群

其中元素

是加法循环群

的生成元。双线性对e:

g＝e(P,P)是群

中的一个元素。

·KGC公开系统参数

部分私钥提取：

该步骤由密钥生成中心KGC执行，用于生成签名者Signer的部分私钥D_A。

具体方式为：

·KGC通过自己的主私钥s和签名者Signer的身份标识ID∈{0,1}^*，计算签名者Signer的部分私钥D_A＝(H₁(ID)+s)^-1·P，并将部分私钥D_A发送给签名者。

秘密值生成：

该步骤由签名者Signer执行，用于生成签名者私钥的一部分秘密值x_A。

具体方式为：

·签名者Signer从{1,2,…,q-1}中随机选取一个整数x_A作为秘密值。

签名密钥对生成：

该步骤由签名者Signer执行，签名者生成自己的签名密钥对(S_A,(P_A,P_B))，其中S_A是签名者Signer的私钥，(P_A,P_B)是签名者Signer的公钥。

具体方式为：

·签名者Signer根据自己选取的秘密值x_A和自己的部分私钥D_A，计算自己的签名私钥

·签名者Signer根据自己选取的秘密值x_A和系统公钥P_pub，计算自己的公钥P_A＝x_A·P和P_B＝x_A·P_pub＝x_As·P。

盲签名生成：

该步骤主要是生成待签名消息m的签名(h,s)。在生成签名的过程中，用户User使用盲因子对消息m进行盲化，然后签名者Signer对盲化的消息签名，最终用户User去盲化得到消息m的签名(h,s)。

具体方式为：

·签名者Signer产生随机数

计算第一个临时变量v′＝g^t，并将v′发送给用户User；

·用户User收到v′后，产生两个随机数

计算第二个临时变量

计算待签名消息m的哈希值h＝H₂(m,v)和第三个临时变量h′＝α^-1(h+β)mod q，最后将h′发送给签名者Signer；

·签名者Signer收到h′后，计算出第四个临时变量S′＝(h′+t)·S_A，并将S′发送给用户User。

·用户User收到S′后，计算出签名值S＝α·S′+β·P＝(h+β+tα)·S_A+β·P，并输出签名(h,S)。

签名验证：

该步骤主要用于验证消息m签名(h,S)的合法性。

具体验证过程如下：

·验证者B检查h是否属于{1,2,…,q-1}，如果不是，则验证不通过；否则验证者B继续执行后续步骤。

·验证者B预先计算第五个临时变量：

Q＝H₁(ID)·P_A+P_B＝x_A(H₁(ID)+s)·P，

并利用第五个临时变量Q计算第六个临时变量：

·验证者B计算v^*＝e(S,Q)·h^-1和h^*＝H₂(m,v^*)，并判断h^*＝h是否成立，如果成立，则验证通过，否则验证不通过。

总之，本发明由签名者和用户共同执行，在签名过程中，用户首先对消息进行盲化，签名者对盲化后的消息进行签名，最后用户将收到的盲化签名去盲，得到消息的真实签名。签名者不知道所签消息的具体内容，保证了消息的匿名性和签名的不可追踪性。

Claims (1)

1.一种区块链抗签名可追踪的无证书盲签名生成方法，其特征在于，包括以下步骤：

S1.系统初始化：

(101)密钥生成中心选择阶为素数q的加法循环群

和乘法循环群

其中，元素

是加法循环群

的生成元，双线性对e:

是群

中的一个元素；

(102)给定安全参数k，密钥生成中心选择两个哈希函数

和

同时选择一个随机数

作为自己的主私钥，计算公钥P_pub＝s·P；其中，{0,1}^*为由0、1组成的任意长度的字符串，

(103)密钥生成中心公开系统参数

S2.部分私钥提取：密钥生成中心通过自己的主私钥s和签名者的身份标识ID∈{0,1}^*，计算签名者的部分私钥D_A＝(H₁(ID)+s)^-1·P，并将部分私钥D_A发送给签名者；

S3.秘密值生成：签名者从{1,2,…,q-1}中随机选取一个整数x_A作为秘密值；

S4.签名密钥对生成：

(401)签名者根据自己选取的秘密值x_A和自己的部分私钥D_A，计算自己的签名私钥

(402)签名者根据自己选取的秘密值x_A和系统公钥P_pub，计算自己的公钥P_A＝x_A·P和P_B＝x_A·P_pub＝x_As·P；

(403)签名者生成自己的签名密钥对(S_A,(P_A,P_B))；

S5.盲签名生成：

(501)签名者产生随机数

计算第一个临时变量v′＝g^t，并将v′发送给用户；

(502)用户收到v^′后，产生两个随机数

计算第二个临时变量

并计算待签名消息m的哈希值h＝H₂(m,v)和第三个临时变量h′＝α^-1(h+β)mod q，然后将h′发送给签名者；mod为取余数操作；

(503)签名者收到h′后，计算出第四个临时变量S′＝(h′+t)·S_A，并将S′发送给用户；

(504)用户收到S′后，计算出签名值S＝α·S′+β·P＝(h+β+tα)·S_A+β·P，并输出待签名消息m的签名(h,S)；

S6.签名验证：

(601)验证者检查h是否属于{1,2,…,q-1}，如果不是，则验证不通过；否则，验证者继续执行步骤(602)和(603)；

(602)验证者计算第五个临时变量：

Q＝H₁(ID)·P_A+P_B＝x_A(H₁(ID)+s)·P，

并利用第五个临时变量Q计算第六个临时变量：

(603)验证者计算v^*＝e(S,Q)·h^-1和h^*＝H₂(m,v^*)，并判断h^*＝h是否成立，如果成立，则验证通过，否则验证不通过。

Images