CN114095181B - 一种基于国密算法的门限环签名方法及系统 - Google Patents

Abstract

本发明涉及一种基于国密算法的门限环签名方法及系统，该方法包括：初始化公共参数、主私钥和主公钥；生成对称密钥和环签名成员的公私钥对；对称密钥为SM4分组密码算法的对称密钥；基于SM9标识密码算法，生成门限环签名；对门限环签名和待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息；对称密钥进行加密生成加密后的公钥；采用环签名成员的私钥对加密后的公钥进行解密；采用解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名；基于SM9标识密码算法进行环签名验证。本发明提高了门限环签名的效率和安全性。

Description

一种基于国密算法的门限环签名方法及系统

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于国密算法的门限环签名方法及系统。

背景技术

随着信息通信技术的快速发展，海量的数据在复杂多变的网络环境中进行传输，同时对需要传输的数据其安全性提出了很高的要求。目前绝大多数传输系统能利用加密算法来保障本地数据的安全，但没有对发送方和接受方的身份进行安全认证，所以给身份隐私保护带来了严峻挑战。

环签名的概念在2001年提出，环签名能够允许环内成员以一种匿名的方式对消息进行签名，且实现了不泄露签名者的真实身份。一个环签名方案包含n个自发组成环的签名者，如果环中的签名者对接收到的消息进行签名，其使用私钥生成环签名，而验证者不能从签名中获取真实签名者的身份，用环的公钥验证签名的有效性。环签名已有广泛的应用，如远程医疗信息系统、电子投票、外包隐私数据、在线项目评审等。但是目前的环签名方案的效率和安全性还有待提高。

发明内容

本发明的目的是提供一种基于国密算法的门限环签名方法及系统，提高了门限环签名的效率和安全性。

为实现上述目的，本发明提供了如下方案：

一种基于国密算法的门限环签名方法，包括：

根据安全参数初始化公共参数、主私钥和主公钥；

根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对；所述对称密钥为SM4分组密码算法的对称密钥；

基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名；

根据所述对称密钥对所述门限环签名和所述待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息；

根据所述环签名成员的公钥对所述对称密钥进行加密生成加密后的公钥；

采用环签名成员的私钥对所述加密后的公钥进行解密，获得解密后的对称密钥；

采用所述解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名；

基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证。

可选地，所述公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数。

可选地，所述根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对，具体包括：

通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示所述安全参数；

通过密钥生成中心选择并公开私钥生成函数识别符χ；

计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示所述环签名成员的身份标识集合；

若t₁≠0，则计算计算环签名成员i的私钥环签名成员i的公钥/>

可选地，所述基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名，具体包括：

计算群G_T中的元素g＝e(P₁,P_mpk)；

随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,…,n}，t表示门限值，n表示环签名成员的数量；

计算Z_d＝w₁，C_d＝(h_d-H₀(M||w₁,N))modN，T_d＝[C_d]sk_d，其中sk_d表示环签名成员d的私钥；

随机选择u_j∈[1,N-1]，其中，j∈{1,2,…,t}；

计算

将Z_d和Z_j的数据类型转换为比特串；

计算h₀＝H₀(U||t||M||Z₁||Z₂…||Z_n,N)，其中U表示所述环签名成员的公钥集合；

计算整数L＝(r_d+h_d+u_j-h₀)modN，若L＝0，则返回步骤“随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,…,n}，t表示门限值，n表示环签名成员的数量”；

构造一个n-t次多项式f(x)＝h₀+h₁x+…+h_dx^n-t，其中，f(0)＝h₀，f(d)＝h_d；

计算h_j＝f(j)，S_j＝(u_j-h_j)sk_j；

输出对于所述待签名消息的门限环签名σ＝(t,S₁,S₂,…,S_t,T_t+1,T_t+2,…,T_n,f)，其中f表示n-t次多项式f(x)。

可选地，所述基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证，具体包括：

判断所述包含时间戳的消息M′和所述包含时间戳的门限环签名σ′＝(t,S₁′,S₂′,…,S_t′,T_t+1′,T_t+2′,…,T_n′,f′)中时间戳是否在设定时间内，若不在所述设定时间内，则验证失败；

若时间戳在所述设定时间，则验证多项式f′是否为n-t次多项式，若不是n-t次多项式，则验证失败；

若多项式f′为n-t次多项式，将f′(0)的数据类型转换为整数点，验证f′(0)∈[1,N-1]是否成立，若f′(0)∈[1,N-1]不成立，则验证失败；

若f′(0)∈[1,N-1]成立，将T_d′的数据类型转换为椭圆曲线上的点，验证T_d′∈G₁是否成立，如果T_d′∈G₁不成立，则验证失败；

若T_d′∈G₁成立，计算g＝e(P₁,P_mpk)，v_j＝g^f′(j)，c_j＝H₁(ID_j||χ,N)，P_j＝[c_j]P₂+P_mpk，z_j＝e(S_j′,P_j)，w_j′＝v_j·z_j，将w_i′的数据类型转化为比特串；

计算h′＝H₀(U||t||M′||w₁′||w₂′…||w_n′,N)；

判断h′＝f′(0)是否成立，若h′＝f′(0)不成立，则验证失败；

若h′＝f′(0)成立，则门限环签名验证成功。

本发明还公开了一种基于国密算法的门限环签名系统，包括：

初始化模块，用于根据安全参数初始化公共参数、主私钥和主公钥；

对称密钥和环签名成员的公私钥对生成模块，用于根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对；所述对称密钥为SM4分组密码算法的对称密钥；

门限环签名生成模块，用于基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名；

加密环签名和密文消息和生成模块，用于根据所述对称密钥对所述门限环签名和所述待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息；

对称密钥加密模块，用于根据所述环签名成员的公钥对所述对称密钥进行加密生成加密后的公钥；

对称密钥解密模块，用于采用环签名成员的私钥对所述加密后的公钥进行解密，获得解密后的对称密钥；

加密环签名和密文消息解密模块，用于采用所述解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名；

环签名验证模块，用于基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证。

可选地，所述公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数。

可选地，所述对称密钥和环签名成员的公私钥对生成模块，具体包括：

对称密钥生成单元，用于通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示所述安全参数；

函数识别符生成单元，用于通过密钥生成中心选择并公开私钥生成函数识别符χ；

环签名成员的公私钥对生成单元，用于计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示所述环签名成员的身份标识集合；若t₁≠0，则计算计算环签名成员i的私钥/>环签名成员i的公钥/>

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明基于SM9标识密码算法，根据公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名，根据对称密钥对门限环签名和待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息，对称密钥为SM4分组密码算法的对称密钥，基于SM9标识密码算法对门限环签名进行验证，提高了门限环签名的效率和安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于国密算法的门限环签名方法流程示意图；

图2为本发明一种基于国密算法的门限环签名系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于国密算法的门限环签名方法及系统，提高了门限环签名的效率和安全性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明一种基于国密算法的门限环签名方法流程示意图，如图1所示，一种基于国密算法的门限环签名方法包括以下步骤：

步骤101：根据安全参数初始化公共参数、主私钥和主公钥。

其中，步骤101具体包括，通过密钥生成中心根据安全参数初始化公共参数、主私钥和主公钥。

步骤101用算法Setup表示，具体为Setup(λ)→(MK,Para)，算法Setup输入为安全参数λ，输出公共参数Para和主密钥对MK，主密钥对包括主私钥和主公钥，MK＝(ran,P_mpk)。

公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，/>表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数。

双线性映射关系满足以下的性质：

(1)双线性：对于任意群元素Q∈G₁,V∈G₂和随机数都满足e(Q^x,V^y)＝e(Q,V)^xy。

(2)非退化性：存在群元素Q∈G₁,V∈G₂，满足e(Q,V)≠1。

(3)可计算性：对于任意群元素Q∈G₁,V∈G₂，存在一个有效的算法在多项式时间内计算e(Q,V)的值。

对于椭圆曲线群，假设E/F_q表示有限域F_q上的一个椭圆曲线E，满足以下方程:y²＝x³+ax+d′(modp)，a,d′∈F_q和4a³+27d′²≠0(modp)的所有解连同一个无穷远点O组成的集合构成一个群Γ＝{(x,y):

x,y∈F_q,E(x,y)＝0}∪{O}。

离散对数问题(DLP)：设G₁＝(P)≤Γ，

其中P是一个阶为q的点，给定一个点aP∈G₁，计算的值。

步骤102：根据安全参数、环签名成员的身份标识集合和主私钥生成对称密钥和环签名成员的公私钥对；对称密钥为SM4分组密码算法的对称密钥。

步骤102用于环签名成员的密钥生成，用算法keyGen表示，具体为KeyGen(λ,ID,ran)→(K_e,MK₁)，算法keyGen输入安全参数λ，n个环签名成员的身份标识集合ID＝{ID₁,ID₂,…,ID_n}，主私钥ran，输出对称加密密钥K_e和环成员的公私钥对MK₁＝(pk_i,sk_i,)。

其中，步骤102具体包括：

通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示安全参数。

通过密钥生成中心选择并公开私钥生成函数识别符χ。

计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示环签名成员的身份标识集合。

若t₁≠0，则计算计算环签名成员i的私钥环签名成员i的公钥/>

步骤103：基于SM9标识密码算法，根据公共参数、待签名消息、门限值、主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名。

步骤103用算法Sign表示，具体为Sign(Para,M,t,P_mpk,R,U)→(σ)，算法Sign的输入为公共参数Para，消息M(待签名消息)，门限值t，主公钥P_mpk，环签名成员的私钥集合R＝{sk_i},i∈[1,n]，环签名成员私钥所对应的公钥集合U＝{pk_i},i∈[1,n]，设{1,2,…,t}为参与签名的环成员(环签名成员)索引，而{t+1,t+2,…,n}为不参与签名的环成员索引。算法Sign的输出为门限环签名σ。

其中，步骤103具体包括：

计算群G_T中的元素g＝e(P₁,P_mpk)；

随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,…,n}，t表示门限值，n表示环签名成员的数量；

计算Z_d＝w₁，C_d＝(h_d-H₀(M||w₁,N))modN，T_d＝[C_d]sk_d，其中sk_d表示环签名成员d的私钥；

随机选择u_j∈[1,N-1]，其中，j∈{1,2,…,t}；

计算

将Z_d和Z_j的数据类型转换为比特串；

计算h₀＝H₀(U||t||M||Z₁||Z₂…||Z_n,N)，其中U表示环签名成员的公钥集合；

计算整数L＝(r_d+h_d+u_j-h₀)modN，若L＝0，则返回步骤“随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,…,n}，t表示门限值，n表示环签名成员的数量”；

构造一个n-t次多项式f(x)＝h₀+h₁x+…+h_dx^n-t，其中，f(0)＝h₀，f(d)＝h_d；

计算h_j＝f(j)，S_j＝(u_j-h_j)sk_j；

输出关于待签名消息M的门限环签名σ＝(t,S₁,S₂,…,S_t,T_t+1,T_t+2,…,T_n,f)，其中f表示n-t次多项式f(x)。

步骤104：根据对称密钥对门限环签名和待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息。

步骤104实现门限环签名加密，步骤104用算法Enc₁表示，具体为Enc₁(σ,M,K_e,η)→(Eσ,EM)，算法Enc₁的输入为环签名σ、对称密钥K_e、时间戳η和待签名消息M，算法Enc₁的输出为密文消息EM和加密环签名Eσ。

步骤105：根据环签名成员的公钥对对称密钥进行加密生成加密后的公钥。

步骤105用算法Enc₂表示，具体为Enc₂(pk_i,K_e)→(EK_e)，算法Enc₂的输入为环成员的公钥pk_i和对称密钥K_e，算法Enc₂的输出为加密后的公钥EK_e。

步骤106：采用环签名成员的私钥对加密后的公钥进行解密，获得解密后的对称密钥。

步骤106用算法Dec₁表示，具体为Dec₁(EK_e,sk_i)→(K_e)，算法Dec₁的输入为环成员的私钥sk_i，加密的公钥EK_e，算法Dec₁的输出为对称密钥K_e(此处为解密后的对称密钥)。

步骤107：采用解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名。

步骤107用算法Dec₂表示，具体为Dec₂(K_e,EM,Eσ)→(M′,σ′)，算法Dec₂的输入为对称密钥K_e(此处为解密后的对称密钥)，密文消息EM和加密环签名Eσ，算法Dec₂的输出为包含时间戳的消息M′和环签名σ′＝(t,S₁′,S₂′,…,S_t′,T_t+1′,T_t+2′,…,T_n′,f′)。

步骤108：基于SM9标识密码算法，根据公共参数、主公钥、门限值、环签名成员的身份标识集合和环签名成员的公钥集合对包含时间戳的消息和包含时间戳的门限环签名进行环签名验证。

步骤108用算法Verify表示，具体为Verify(Para,P_mpk,M′,σ′,t,U,ID)→(true,false)，算法Verify的输入为公共参数Para，主公钥P_mpk，消息M′，环签名σ′，门限值t，n个环成员公钥集合U，n个环成员的身份标识集合ID＝{ID₁,ID₂,…,ID_n}，算法Verify的输出为环签名验证是否成功。

其中，步骤108具体包括：

判断包含时间戳的消息M′和包含时间戳的门限环签名σ′＝(t,S₁′,S₂′,…,S_t′,T_t+1′,T_t+2′,…,T_n′,f′)中时间戳是否在设定时间内，若不在设定时间内，则验证失败；

若时间戳在设定时间，则验证多项式f′是否为n-t次多项式，若不是n-t次多项式，则验证失败；

若多项式f′为n-t次多项式，将f′(0)的数据类型转换为整数点，验证f′(0)∈[1,N-1]是否成立，若f′(0)∈[1,N-1]不成立，则验证失败；

若f′(0)∈[1,N-1]成立，将T_d′的数据类型转换为椭圆曲线上的点，验证T_d′∈G₁是否成立，如果T_d′∈G₁不成立，则验证失败；

若T_d′∈G₁成立，计算g＝e(P₁,P_mpk)，v_j＝g^f′(j)，c_j＝H₁(ID_j||χ,N)，P_j＝[c_j]P₂+P_mpk，z_j＝e(S_j′,P_j)，w′_j＝v_j·z_j，将w_i′的数据类型转化为比特串；

计算h′＝H₀(U||t||M′||w₁′||w₂′…||w_n′,N)；

判断h′＝f′(0)是否成立，若h′＝f′(0)不成立，则验证失败；

若h′＝f′(0)成立，则门限环签名验证成功。

步骤108门限环签名验证失败输出“false”，验证成功输出“true”。

本发明一种基于国密算法的门限环签名方法，基于SM3密码杂凑算法、SM4分组分组密码算法和SM9标识密码算法，包括系统初始化、密钥生成、环签名生成、环签名加密和环签名验证五个阶段组成。

本发明一种基于国密算法的门限环签名方法应用范围包括：电子投票系统、表决系统和群体医疗咨询等。

环签名主要的作用是把实际签名者隐匿在一个群体中，而加入门限的目的是简化签名的过程，比如(t＝3，n＝5)t代表门限值，n代表所有群体数，在一个由n个成员组成的群体中，只需要大于等于3个(门限值)的签名者进行签名，就可以代表5个人(环成员总数)进行了合法的签名，简化了签名的过程。

例如当应用主体为群体医疗咨询系统时，最少需要三个主体，KGC(密钥生成中心)、患者终端和医生终端。

KGC执行系统初始化和用户(环成员)密钥生成。

患者终端负责提供自己的电子病历，也就是本发明中的消息M。

患者终端进行环签名验证，最后输出验证结果，以此来判断这一次的群体医疗问诊的情况(也就是输出的结果“true”或者“false”，如果输出“false”：代表问诊的情况不符合要求，也就是医生问诊的人数不够或者遭受到了除签名医生以外的第三方用户进行了查阅，代表该环签名不是最新的问诊情况，环签名不合法)。

医生终端执行环签名生成和环签名加密。

对本发明一种基于国密算法的门限环签名方法安全性的分析如下。

本发明生成的门限环签名是正确的。

在门限环签名验证时，需要验证h′＝f′(0)是否成立。

因为：h′＝H₀(U||t||M′||w₁′||w₂′…||w_n′,N)，而f′(0)＝H₀(U||t||M||Z₁||Z₂…||Z_n,N)，则只需要验证w′与Z是否相等。

因为：

又因为：

则：

由此签名验证通过，所以该签名方法是正确的。

本发明方法满足匿名性要求。

在签名生成算法中，h₀是单向密码杂凑函数H₀生成的，而n-t次多项式f的常数项h₁,h₂…,h_d随机选取的，所以多项式f也可以看成是随机选取且均匀分布的。在签名验证算法中，利用环成员的公钥pk_i对签名的合法性进行验证。根据S_j＝(u_j-h_j)sk_j与T_d＝[C_d]sk_d的生成过程可知，其包括单向哈希函数和椭圆曲线离散对数问题，这使得攻击者A无法通过计算的方法确定签名者的真实身份。A无论是以随机选择的方式还是以计算的方式，都不能以超过的概率猜出签名者的真实身份，因此本发明满足匿名性的要求。

当本发明门限环签名方法的系统参数需要更新时，密钥生成中心(KGC)重新选择随机数ran来确定系统的主私钥，根据重新确定的主私钥来确定系统的主公钥P_mpk，并将更新的主密钥对MK＝(ran,P_mpk)发送给环成员，同时KGC也会记录之前的主密钥对，其用来验证之前签名的有效性。因为ran是KGC随机选取的，所以ran具有随机性，从而系统参数Para也具有随机性，所以攻击者A不能伪造出之前的主密钥对。即使A成功伪造出主密钥对，其也无法融入到环成员中，也无法伪造出当前阶段的门限环签名。

本发明在已签名的门限环签名σ和消息M的密文中嵌入一个时间戳η。在验证签名之前，首先将检查时间戳η的时效性。如果攻击者A截获合法生成的门限环签名或消息两者其中的一个，在验证签名时，时间戳的新鲜度检查将失败，则该门限环签名σ′或消息M′将被拒绝，导致签名验证流程结束。

图2为本发明一种基于国密算法的门限环签名系统结构示意图，如图2所示一种基于国密算法的门限环签名系统，包括：

初始化模块201，用于根据安全参数初始化公共参数、主私钥和主公钥。

公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，/>表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数。

对称密钥和环签名成员的公私钥对生成模块202，用于根据安全参数、环签名成员的身份标识集合和主私钥生成对称密钥和环签名成员的公私钥对；对称密钥为SM4分组密码算法的对称密钥。

对称密钥和环签名成员的公私钥对生成模块202，具体包括：

对称密钥生成单元，用于通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示安全参数。

函数识别符生成单元，用于通过密钥生成中心选择并公开私钥生成函数识别符χ。

环签名成员的公私钥对生成单元，用于计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示环签名成员的身份标识集合；若t₁≠0，则计算计算环签名成员i的私钥/>环签名成员i的公钥/>

门限环签名生成模块203，用于基于SM9标识密码算法，根据公共参数、待签名消息、门限值、主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名。

加密环签名和密文消息和生成模块204，用于根据对称密钥对门限环签名和待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息。

对称密钥加密模块205，用于根据环签名成员的公钥对对称密钥进行加密生成加密后的公钥。

对称密钥解密模块206，用于采用环签名成员的私钥对加密后的公钥进行解密，获得解密后的对称密钥。

加密环签名和密文消息解密模块207，用于采用解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名。

环签名验证模块208，用于基于SM9标识密码算法，根据公共参数、主公钥、门限值、环签名成员的身份标识集合和环签名成员的公钥集合对包含时间戳的消息和包含时间戳的门限环签名进行环签名验证。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (2)

1.一种基于国密算法的门限环签名方法，其特征在于，包括：

根据安全参数初始化公共参数、主私钥和主公钥；

根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对；所述对称密钥为SM4分组密码算法的对称密钥；

基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名；

根据所述对称密钥对所述门限环签名和所述待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息；

根据所述环签名成员的公钥对所述对称密钥进行加密生成加密后的公钥；

采用环签名成员的私钥对所述加密后的公钥进行解密，获得解密后的对称密钥；

采用所述解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名；

基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证；

所述公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，/>表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数；

所述根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对，具体包括：

通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示所述安全参数；

通过密钥生成中心选择并公开私钥生成函数识别符χ；

计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示所述环签名成员的身份标识集合；

若t₁≠0，则计算计算环签名成员i的私钥sk_i＝[t₂]P₁＝[ran/(H₁(ID_i||χ,N)+ran)]P₁，环签名成员i的公钥pk_i＝[H₁(ID_i||χ)]P₁+P₂ ^ran；

所述基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名，具体包括：

计算群G_T中的元素g＝e(P₁,P_mpk)；

随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,···,n}，t表示门限值，n表示环签名成员的数量；

计算Z_d＝w₁，C_d＝(h_d-H₀(M||w₁,N))modN，T_d＝[C_d]sk_d，其中sk_d表示环签名成员d的私钥；

随机选择u_j∈[1,N-1]，其中，j∈{1,2,···,t}；

计算

将Z_d和Z_j的数据类型转换为比特串；

计算h₀＝H₀(U||t||M||Z₁||Z₂···||Z_n,N)，其中U表示所述环签名成员的公钥集合；

计算整数L＝(r_d+h_d+u_j-h₀)modN，若L＝0，则返回步骤“随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,···,n}，t表示门限值，n表示环签名成员的数量”；

构造一个n-t次多项式f(x)＝h₀+h₁x+···+h_dx^n-t，其中，f(0)＝h₀，f(d)＝h_d；

计算h_j＝f(j)，S_j＝(u_j-h_j)sk_j；

输出对于所述待签名消息的门限环签名σ＝(t,S₁,S₂,···,S_t,T_t+1,T_t+2,···,T_n,f)，其中f表示n-t次多项式f(x)；

所述基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证，具体包括：

判断所述包含时间戳的消息M′和所述包含时间戳的门限环签名σ′＝(t,S₁′,S₂′,···,S_t′,T_t+1′,T_t+2′,···,T_n′,f′)中时间戳是否在设定时间内，若不在所述设定时间内，则验证失败；

若时间戳在所述设定时间，则验证多项式f′是否为n-t次多项式，若不是n-t次多项式，则验证失败；

若多项式f′为n-t次多项式，将f′(0)的数据类型转换为整数点，验证f′(0)∈[1,N-1]是否成立，若f′(0)∈[1,N-1]不成立，则验证失败；

若f′(0)∈[1,N-1]成立，将T_d′的数据类型转换为椭圆曲线上的点，验证T_d′∈G₁是否成立，如果T_d′∈G₁不成立，则验证失败；

若T_d′∈G₁成立，计算g＝e(P₁,P_mpk)，v_j＝g^f′(j)，c_j＝H₁(ID_j||χ,N)，P_j＝[c_j]P₂+P_mpk，z_j＝e(S′_j,P_j)，w′_j＝v_j·z_j，将w′_i的数据类型转化为比特串；

计算h′＝H₀(U||t||M′||w₁′||w₂′···||w_n′,N)；

判断h′＝f′(0)是否成立，若h′＝f′(0)不成立，则验证失败；

若h′＝f′(0)成立，则门限环签名验证成功。

2.一种基于国密算法的门限环签名系统，其特征在于，包括：

初始化模块，用于根据安全参数初始化公共参数、主私钥和主公钥；

对称密钥和环签名成员的公私钥对生成模块，用于根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对；所述对称密钥为SM4分组密码算法的对称密钥；

门限环签名生成模块，用于基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名；

加密环签名和密文消息和生成模块，用于根据所述对称密钥对所述门限环签名和所述待签名消息进行加密并嵌入时间戳生成加密环签名和密文消息；

对称密钥加密模块，用于根据所述环签名成员的公钥对所述对称密钥进行加密生成加密后的公钥；

对称密钥解密模块，用于采用环签名成员的私钥对所述加密后的公钥进行解密，获得解密后的对称密钥；

加密环签名和密文消息解密模块，用于采用所述解密后的对称密钥对加密环签名和密文消息进行解密，获得解密后的包含时间戳的消息和包含时间戳的门限环签名；

环签名验证模块，用于基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证；

所述公共参数表示为Para＝(N,G₁,G₂,G_T,P₁,P₂,e,ran,H₀,H₁,H₂,F)，其中，N表示素数，G₁表示阶为N的循环加法群，G₂表示阶为N的循环加法群，G_T表示阶为N的循环乘法群，P₁为G₁的生成元，P₂为G₂的生成元，e表示双线性映射关系，e:G₁×G₂→G_T，H₀、H₁和H₂均表示从SM3杂凑算法选取的哈希函数，H₀:H₁:/>H₂:{0,1}^*→G₁，F表示伪随机函数，F:{0,1}^K×{0,1}^*→{0,1}^l，ran表示主私钥，P_mpk表示主公钥，P_mpk＝[ran]P₂，/>表示非零正整数集合，K表示不为零的正整数，l表示不为零的正整数；

所述根据安全参数、环签名成员的身份标识集合和所述主私钥生成对称密钥和环签名成员的公私钥对，具体包括：

通过密钥生成中心选择K_e←{0,1}^λ作为SM4分组密码算法的对称密钥，其中λ表示所述安全参数；

通过密钥生成中心选择并公开私钥生成函数识别符χ；

计算t₁＝H₁(ID_i||χ,N)+ran，若t₁＝0，则重新选择随机数产生主私钥，并重新计算主公钥；其中ID_i表示环签名成员i的身份标识，ID_i∈ID，ID表示所述环签名成员的身份标识集合；

若t₁≠0，则计算计算环签名成员i的私钥/>环签名成员i的公钥pk_i＝[H₁(ID_i||χ)]P₁+P₂ ^ran；

所述基于SM9标识密码算法，根据所述公共参数、待签名消息、门限值、所述主公钥、环签名成员的私钥集合和环签名成员的公钥集合生成门限环签名，具体包括：

计算群G_T中的元素g＝e(P₁,P_mpk)；

随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,···,n}，t表示门限值，n表示环签名成员的数量；

计算Z_d＝w₁，C_d＝(h_d-H₀(M||w₁,N))modN，T_d＝[C_d]sk_d，其中sk_d表示环签名成员d的私钥；

随机选择u_j∈[1,N-1]，其中，j∈{1,2,···,t}；

计算

将Z_d和Z_j的数据类型转换为比特串；

计算h₀＝H₀(U||t||M||Z₁||Z₂···||Z_n,N)，其中U表示所述环签名成员的公钥集合；

计算整数L＝(r_d+h_d+u_j-h₀)modN，若L＝0，则返回步骤“随机选择r_d∈[1,N-1]和h_d∈[1,N-1]，其中d∈{t+1,t+2,···,n}，t表示门限值，n表示环签名成员的数量”；

构造一个n-t次多项式f(x)＝h₀+h₁x+···+h_dx^n-t，其中，f(0)＝h₀，f(d)＝h_d；

计算h_j＝f(j)，S_j＝(u_j-h_j)sk_j；

输出对于所述待签名消息的门限环签名σ＝(t,S₁,S₂,···,S_t,T_t+1,T_t+2,···,T_n,f)，其中f表示n-t次多项式f(x)；

所述基于SM9标识密码算法，根据所述公共参数、所述主公钥、所述门限值、所述环签名成员的身份标识集合和环签名成员的公钥集合对所述包含时间戳的消息和所述包含时间戳的门限环签名进行环签名验证，具体包括：

判断所述包含时间戳的消息M′和所述包含时间戳的门限环签名σ′＝(t,S₁′,S₂′,···,S_t′,T_t+1′,T_t+2′,···,T_n′,f′)中时间戳是否在设定时间内，若不在所述设定时间内，则验证失败；

若时间戳在所述设定时间，则验证多项式f′是否为n-t次多项式，若不是n-t次多项式，则验证失败；

若多项式f′为n-t次多项式，将f′(0)的数据类型转换为整数点，验证f′(0)∈[1,N-1]是否成立，若f′(0)∈[1,N-1]不成立，则验证失败；

若f′(0)∈[1,N-1]成立，将T_d′的数据类型转换为椭圆曲线上的点，验证T_d′∈G₁是否成立，如果T_d′∈G₁不成立，则验证失败；

若T_d′∈G₁成立，计算g＝e(P₁,P_mpk)，v_j＝g^f′(j)，c_j＝H₁(ID_j||χ,N)，P_j＝[c_j]P₂+P_mpk，z_j＝e(S′_j,P_j)，w′_j＝v_j·z_j，将w′_i的数据类型转化为比特串；

计算h′＝H₀(U||t||M′||w₁′||w₂′···||w_n′,N)；

判断h′＝f′(0)是否成立，若h′＝f′(0)不成立，则验证失败；

若h′＝f′(0)成立，则门限环签名验证成功。