CN115473632B - 一种改进的多层可链接环签名生成方法及装置 - Google Patents

Abstract

本发明公开了一种改进的多层可链接环签名生成方法及装置，设环中的用户数为n，环成员的公钥集为其中，第π个用户(1≤π≤n)为签名者，其私钥为对应的公钥为该方法包括以下步骤：1)获取待签名消息M的多层可链接环签名；2)多层可链接环签名验证；3)多层可链接环签名链接。本发明不仅实现了将多层可链接环签名的签名大小降低到对数级别，同时保证了签名者身份的匿名性和签名的可链接性。

Description

一种改进的多层可链接环签名生成方法及装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种改进的多层可链接环签名生成方法及装置。

背景技术

数字签名是公钥密码体系中重要的一部分，在很多场合有着重要作用。随着信息网络安全的发展，在很多情况下，往往要求数字签名能够同时实现数据的完整性和用户身份的匿名性。在这种隐私保护应用需求的促进下，环签名应运而生。环签名已经广泛应用在电子货币、电子投票、数据交换等多个领域。在环签名方案中，签名者自发地选择多个环成员的公钥，结合其自身的公私钥对完成签名，而验证者仅能验证该签名是否来源于用户群组中的某一用户，但不知道签名者的真实身份。

可链接环签名是由Liu等人提出的一种环签名方案，该签名方案不仅可以保证签名者的身份匿名，而且可通过判断签名值内签名标签的一致性来确定两个环签名是否为同一用户签署的，从而实现签名的链接性，可链接这一特性可以有效防止多次环签名的恶意行为。

在上述可链接环签名方案中，签名者每次只能使用一个密钥生成签名，而当存在多笔输入交易时，每笔输入交易都需要一个环签名，在一些类似场景中，单笔输入单笔输出的可链接环签名会成为系统效率的瓶颈。

发明内容

本发明提供一种改进的多层可链接环签名生成方法及装置，用以解决或者至少部分解决现有技术中存在的效率不高的技术问题。

为了解决上述技术问题，本发明第一方面提供了一种改进的多层可链接环签名生成方法，包括：

给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为/> 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接。

在一种实施方式中，签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，包括：

计算记/>

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为签名阶段由i个成员的第j个公钥得到的公钥哈希值，/>为公钥哈希值的集合，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算签名标签：

其中，I_j为第j个密钥的签名标签，为由π个成员的第j个公钥得到的公钥哈希值，/>为第π个用户的第j个私钥；

随机选取其中1≤i≤n，且i≠π；

其中，Z_p为由0,1,2,…,p-1组成的整数集合，c_i为属于Z_p的随机数；

计算

其中，L_j、R_j表示签名阶段用于计算c的中间变量；

计算

其中，c为签名阶段由哈希函数返回的哈希值，

计算c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，即有

计算

其中，s_j为签名阶段的签名组成部分；

输出多层可链接环签名σ＝(s₁,…,s_m,z₁,…,z_m,c₁,…,c_n,I₁,…,I_m)。

在一种实施方式中，验证者利用环内用户公钥的集合对签名σ′进行合法性验证，包括：

计算

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为验证阶段由i个成员的第j个公钥得到的公钥哈希值，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算

其中，L_j、R_j表示签名阶段用于计算c′的中间变量；

计算c′＝c₁′+…+c_n′；

其中，c′为验证阶段由哈希函数返回的哈希值，

判断c′与是否相等，若相等，则验证通过；反之，则不通过。

在一种实施方式中，所述方法还包括：采用零知识证明方法允许签名者向验证者证明其知道一组值(c₁,…,c_n)，并且该组值的和与相等。

基于同样的发明构思，本发明第二方面提供了一种改进的多层可链接环签名生成装置，包括：

签名生成模块，用于给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

签名签证模块，用于给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

签名链接模块，用于判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接。

基于同样的发明构思，本发明第三方面提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被执行时实现第一方面所述的方法。

基于同样的发明构思，本发明第四方面提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述的方法。

相对于现有技术，本发明的优点和有益的技术效果如下：

本发明提供的一种改进的多层可链接环签名生成方法，包括以下步骤：1)签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，；2)验证者利用环内用户公钥的集合对签名σ′进行合法性验证；3)实现多层可链接环签名的链接。通过上述方法为多输入多输出的应用场景提供了便利；并可以实现多层可链接环签名的签名大小降低到对数级别；而且保证了签名的完整性、不可伪造性、无条件匿名性和可链接性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的改进的多层可链接环签名生成方法的实现流程示意图；

图2为本发明实施例提供的计算机可读存储介质的结构示意图；

图3为本发明实施例提供的计算机设备的结构示意图；

具体实施方式

本发明公开了一种改进的多层可链接环签名生成方法，设环中的用户数为n，环成员的公钥集为其中，第π个用户(1≤π≤n)为签名者，其私钥为/>对应的公钥为/>该方法包括以下步骤：1)获取待签名消息M的多层可链接环签名；2)多层可链接环签名验证；3)多层可链接环签名链接。本发明不仅实现了将多层可链接环签名的签名大小降低到对数级别，同时保证了签名者身份的匿名性和签名的可链接性。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明实施例提供了一种改进的多层可链接环签名生成方法，包括：

给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为/> 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接。

本申请中采用和涉及的具体符号描述如下：

q、p：大素数。

Z_p：由0,1,2,…,p-1组成的整数集合。

阶为素数q的循环群。

G：循环群的一个生成元。

uP：群中元素P的u倍。

由密码杂凑函数派生的密码函数，为{0,1}^*→Z_p，其中/>

由密码杂凑函数派生的密码函数，为/>

n：环成员个数。

i：环成员的索引。

m：密钥向量的大小。

j：密钥的索引。

[t]：表示整数集1,…,t。

π：签名者的私密下标，其中1≤π≤n。

签名者的私钥。

签名者的公钥，计算方式为/> 其中/>

环成员的群体公钥，即n个用户的公钥集合。

公钥哈希值的集合。

M：待签名的消息。

σ：签名阶段输出的签名值。

I：签名标签(链接标签)。

NISA(Non-interactive Sum Argument)：非交互式和证明算法。

Π：非交互式和证明算法生成的证明。

通过签名生成部分生成多层可链接的签名，并进行验证，然后在签名链接步骤实现签名的连接，具体实施过程中，给定两个签名σ′(M′)＝(s₁′,…,s_m′,z₁′,…,z_m′,c₁′,…,c_n′,I₁′,…,I_m′)和σ″(M″)＝(s₁″,…,s_m″,z₁″,…,z″_m,c₁″,…,c_n″,I₁″,…,I_m″)，检查I₁′,…,I_m′和I″₁,…,I_m″是否相等，如果两者相等说明两个签名来自同一个签名者。

在一种实施方式中，签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，包括：

计算记/>

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为签名阶段由i个成员的第j个公钥得到的公钥哈希值，/>为公钥哈希值的集合，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算签名标签：

其中，I_j为第j个密钥的签名标签，为由π个成员的第j个公钥得到的公钥哈希值，/>为第π个用户的第j个私钥；

随机选取其中1≤i≤n，且i≠π；

其中，Z_p为由0,1,2,…,p-1组成的整数集合，c_i为属于Z_p的随机数；

计算

其中，L_j、R_j表示签名阶段用于计算c的中间变量；

计算

其中，c为签名阶段由哈希函数返回的哈希值，

计算c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，即有

计算

其中，s_j为签名阶段的签名组成部分；

输出多层可链接环签名σ＝(s₁,…,s_m,z₁,…,z_m,c₁,…,c_n,I₁,…,I_m)。

在一种实施方式中，验证者利用环内用户公钥的集合对签名σ′进行合法性验证，包括：

计算

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为验证阶段由i个成员的第j个公钥得到的公钥哈希值，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算

其中，L_j、R_j表示签名阶段用于计算c′的中间变量；

计算c′＝c₁′+…+c_n′；

其中，c′为验证阶段由哈希函数返回的哈希值，

判断c′与是否相等，若相等，则验证通过；反之，则不通过。

为了检验收到的消息M′及其签名σ′(M′)＝(s₁′,…,s_m′,z₁′,…,z_m′,c₁′,…,c_n′,I₁′,…,I_m′)，验证者采用上述步骤进行验证。

请参见图1，为本发明实施例提供的改进的可链接环签名生成方法的实现流程示意图。

在一种实施方式中，所述方法还包括：采用零知识证明方法允许签名者向验证者证明其知道一组值(c₁,…,c_n)，并且该组值的和与相等。

具体来说，采用零知识证明方法可以压缩签名中的c₁,…,c_n从而减小签名大小因此，可以提高签名生成的效率。

具体实施过程中，零知识证明方法也包括签名生成、签名验证以及签名链接步骤，具体如下：

签名生成：给定参数param，消息M∈{0,1}^*，公钥集签名者公私钥对/>签名者对消息M签名。

通过上述的签名算法得到(s₁,…,s_m,z₁,…,z_m,c₁,…,c_n,I₁,…,I_m)，其中在该算法计算过程中已经获得c,L_j,R_j,

令

计算

计算

计算

b_j、L、R、P均为中间变量。

计算该式是非交互式和证明的证明算法，用于证明签名者知道一组值(c₁,…,c_n)，并使得c₁,…,c_n的和为/>同时又不向验证者展示c₁,…,c_n的确切值，即压缩第一部分签名算法所生成签名中的c₁,…,c_n,从达到减小签名大小的目的。

返回签名σ″＝(s₁,…,s_m,z₁,…,z_m,L₁,…,L_m,R₁,…,R_m,I₁,…,I_m,Π)。该处返回的签名是第一部分签名算法生成的签名进一步压缩得到的结果。

签名验证：给定参数param，给定消息M′∈{0,1}^*，公钥集签名σ′(M′)＝(s₁′,…,s_m′,z₁′,…,z_m′,L₁′,…,L_m′,R₁′,…,R_m′,I₁′,…,I_m′,Π′)，验证者实现以下步骤：

计算记/>

计算

计算

计算

计算

如果验证失败；否则验证成功。

签名链接：给定两个签名σ′(M′)＝(s′₁,…,s′_m,z′₁,…,z′_m,L′₁,…,L′_m,R′₁,…,R′_m,I′₁,…,I′_m,Π′)和σ″(M″)＝(s″₁,…,s″_m,z″₁,…,z″_m,L″₁,…,L″_m,R″₁,…,R″_m,I″₁,…,I″_m,Π″)，检查签名标签I₁′,…,I_m′和I₁″,…,I_m″是否存在某个标签相等，如果存在说明两个签名来自同一个签名者。

本发明提供的技术方案与现有技术相比具有如下优点和有益效果：

1、为多输入多输出的应用场景提供了便利。

2、实现多层可链接环签名的签名大小降低到对数级别。

3、保证了签名的完整性、不可伪造性、无条件匿名性和可链接性。

实施例二

基于同样的发明构思，本实施例提供了一种改进的多层可链接环签名生成装置，包括：

签名生成模块，用于给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

签名签证模块，用于给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

签名链接模块，用于判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接。

由于本发明实施例二所介绍的装置为实施本发明实施例一中改进的多层可链接环签名生成方法所采用的装置，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该装置的具体结构及变形，故而在此不再赘述。凡是本发明实施例一中方法所采用的装置都属于本发明所欲保护的范围。

实施例三

如图2所示，基于同一发明构思，本发明还提供了一种计算机可读存储介质300，其上存储有计算机程序311，该程序被执行时实现如实施例一中所述的方法。

由于本发明实施例三所介绍的计算机可读存储介质为实施本发明实施例一中改进的多层可链接环签名生成方法所采用的计算机可读存储介质，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该计算机可读存储介质的具体结构及变形，故而在此不再赘述。凡是本发明实施例一的方法所采用的计算机可读存储介质都属于本发明所欲保护的范围。

实施例四

基于同一发明构思，本申请还提供了一种计算机设备，如图3所示，包括存储401、处理器402及存储在存储器上并可在处理器上运行的计算机程序403，处理器402执行上述程序时实现实施例一中的方法。

由于本发明实施例四所介绍的计算机设备为实施本发明实施例一中改进的多层可链接环签名生成方法所采用的计算机设备，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该计算机设备的具体结构及变形，故而在此不再赘述。凡是本发明实施例一中方法所采用的计算机设备都属于本发明所欲保护的范围。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (5)

1.一种改进的多层可链接环签名生成方法，其特征在于，包括：

给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为/> 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接；

其中，签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，包括：

计算记/>

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为签名阶段由i个成员的第j个公钥得到的公钥哈希值，/>为公钥哈希值的集合，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算签名标签：

其中，I_j为第j个密钥的签名标签，为由π个成员的第j个公钥得到的公钥哈希值，/>为第π个用户的第j个私钥；

随机选取c_i∈_RZ_p，其中1≤i≤n，且i≠π；

其中，Z_p为由0,1,2,…,p-1组成的整数集合，c_i为属于Z_p的随机数；

计算

其中，L_j、R_j表示签名阶段用于计算c的中间变量；

计算

其中，c为签名阶段由哈希函数返回的哈希值，

计算c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，即有

计算

其中，s_j为签名阶段的签名组成部分；

输出多层可链接环签名σ＝(s₁,…,s_m,z₁,…,z_m,c₁,…,c_n,I₁,…,I_m)；

验证者利用环内用户公钥的集合对签名σ′进行合法性验证，包括：

计算

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为验证阶段由i个成员的第j个公钥得到的公钥哈希值，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算

其中，L_j、R_j表示签名阶段用于计算c′的中间变量；

计算c′＝c₁′+…+c_n′；

其中，c′为验证阶段由哈希函数返回的哈希值，

判断c′与是否相等，若相等，则验证通过；反之，则不通过。

2.如权利要求1所述的多层可链接环签名生成方法，其特征在于，所述方法还包括：采用零知识证明方法允许签名者向验证者证明其知道一组值(c₁,…,c_n)，并且该组值的和与相等。

3.一种改进的多层可链接环签名生成装置，其特征在于，包括：

签名生成模块，用于给定参数：环内用户公钥的集合签名者公私钥对/>签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，其中，签名者为环成员，/>对应的公钥为 为第π个用户的第1个私钥，m为密钥向量的大小；生成的签名值中包括签名标签，签名标签为签名者根据公钥集/>和自身私钥计算得到的与签名者身份关联的标签；

签名签证模块，用于给定参数：环内用户公钥的集合签名σ′，验证者利用环内用户公钥的集合对签名σ′进行合法性验证；

签名链接模块，用于判断签名值内一组签名标签的一致性确定两个签名是否来自同一个签名者，实现签名的链接；

其中，签名者利用环内用户公钥的集合和签名者公私钥对对消息M进行签名，得到多层可链接环签名，包括：

计算记/>

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为签名阶段由i个成员的第j个公钥得到的公钥哈希值，/>为公钥哈希值的集合，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算签名标签：

其中，I_j为第j个密钥的签名标签，为由π个成员的第j个公钥得到的公钥哈希值，/>为第π个用户的第j个私钥；

随机选取c_i∈_RZ_p，其中1≤i≤n，且i≠π；

其中，Z_p为由0,1,2,…,p-1组成的整数集合，c_i为属于Z_p的随机数；

计算

其中，L_j、R_j表示签名阶段用于计算c的中间变量；

计算

其中，c为签名阶段由哈希函数返回的哈希值，

计算c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，即有

计算

其中，s_j为签名阶段的签名组成部分；

输出多层可链接环签名σ＝(s₁,…,s_m,z₁,…,z_m,c₁,…,c_n,I₁,…,I_m)；

验证者利用环内用户公钥的集合对签名σ′进行合法性验证，包括：

计算

其中，i为环成员的索引，j为密钥的索引，为第i个成员的第j个公钥，/>为验证阶段由i个成员的第j个公钥得到的公钥哈希值，/>表示由密码杂凑函数派生的密码函数，为/> 阶为素数q的循环群；

计算

其中，L_j、R_j表示签名阶段用于计算c′的中间变量；

计算c′＝c₁′+…+c_n′；

其中，c′为验证阶段由哈希函数返回的哈希值，

判断c′与是否相等，若相等，则验证通过；反之，则不通过。

4.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至2任一项所述的方法。

5.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至2任一项所述的方法。