CN115529141B - 一种对数签名大小的可追踪环签名生成方法及系统 - Google Patents

Abstract

本发明涉及信息安全技术领域，具体公开了一种对数签名大小的可追踪环签名生成方法及系统，设环中的用户数为n，其中第π个成员为签名者，该方法具体包括以下步骤：S100生成消息的可追踪环签名；S200对该签名进行合法性验证；S300对签名的追踪。本发明实现了一种对数签名大小的可追踪环签名生成方法及系统，将可追踪环签名的签名大小被压缩到O(logn)，即对数级别，改进的可链接环签名生成方法，将签名者身份隐藏在环成员中，同时在特定情况下可以追踪签名者的身份。

Description

一种对数签名大小的可追踪环签名生成方法及系统

技术领域

本发明涉及信息安全技术领域，具体是一种对数签名大小的可追踪环签名生成方法及系统。

背景技术

环签名(ring signature)是一种数字签名方案，最初由Rivest等人提出，环签名是一种简化的群签名,环签名中只有环成员没有管理者,不需要环成员间的合作。其定义如下。

假定有n个用户，每一个用户拥有一个公钥和与之对应的私钥。环签名是一个能够实现签名者无条件匿名的签名方案，它主要由下述算法组成：

1)生成Gen。一个概率多项式时间(PPT)算法，输入为安全参数k，输出为公钥和私钥。这里假定Gen为每一个用户，产生一个公钥和私钥，并且不同用户的公私钥可能来自不同的公钥体制，如有的来自RSA，有的来自DL。

2)签名Sign。一个PPT算法，在输入消息m和n个环成员的公钥L＝{y1,y2,…,yn}以及其中一个成员的私钥xs后，对消息m产生一个签名R，其中R中的某个参数根据一定的规则呈环状。

3)验证Verify。一个确定性算法，在输入(m,R)后，若R为m的环签名则输出“True”，否则为“False”。

环签名因为其签名隐含的某个参数按照一定的规则组成环状而得名。而在之后提出的许多方案中不要求签名的构成结构成环形，只要签名的形成满足自发性、匿名性和群特性，也称之为环签名。

环签名允许一个签名者匿名地签署消息，并不泄露签名者的身份。环签名提供了较强的灵活性，但是由于环签名过强的匿名性，可能在某些应用中存在恶意或不负责任的签名者。为了解决这个问题，本专利提出了一种对数签名大小的可追踪环签名生成方法及系统。

综上所述本发明提出一种对数签名大小的可追踪环签名生成方法及系统。

发明内容

本发明的主要基于部分金融场景的业务和需求特点，提出了一种对数签名大小的可追踪环签名生成方法及系统；。

为实现上述目的，本发明提供如下技术方案：一种对数签名大小的可追踪环签名生成方法，包括如下步骤：

S100生成消息的可追踪环签名；

S200对该签名进行合法性验证；

S300对签名的追踪。

作为本发明的一种优选实施方案，本方法具体符号描述如下：

p：大素数；

Z_p：由0，1，2，…，p-1组成的整数集合；

阶为素数p的循环群；

g：循环群的一个生成元；

g_i：循环群的一个生成元；

g^r：群中元素g的r次幂；

由密码杂凑函数派生的密码函数，为

由密码杂凑函数派生的密码函数，为

由密码杂凑函数派生的密码函数，为{0，1}^*→Z_p；

TAG：会话标签，

issue：话题标签；

θ：用户标签；

L，R：承诺值；

c：挑战值；

挑战向量；

n：环成员个数；

π：签名者的私密下标，其中1≤π≤n；

sk_π：签名者的私钥；

pk_π：签名者的公钥，计算方式为

环成员的公钥集，即n个用户的公钥集合；

m：待签名的消息；

σ：签名值；

NISA(Non-interactive Sum Argument)：非交互式和证明方法；

param：系统参数；

π：生成的非交互式和证明；

TList：列表，初始化时为空。

作为本发明的一种优选实施方案，所述步骤S100生成消息的可追踪环签名中给定参数param，消息m∈{0，1}^*，公钥集会话标签 签名者公私钥对{pk_π，sk_π}，签名者对消息m签名。

作为本发明的一种优选实施方案，所述S100生成消息的可追踪环签名的详细步骤如下：

a)根据环内用户公钥的集合计算哈希值计算签名者的标签

b)计算哈希值中间值

c)对于所有j∈[n]且j≠π，计算其他环内成员的标签θ_j＝A₁A₀ ^j；

d)随机选取随机数r_π∈_RZ_p，对于i∈[n]且i≠π，随机选取随机数c_i∈_RZ_p，

e)计算承诺值承诺值

f)计算挑战值

g)计算中间值c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，那么有c＝c₁+…+c_n；

h)计算部分签名值s＝r_π-c_π·sk_π；

i)令挑战向量

j)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1；

k)计算非交互式零知识证明

1)输出签名σ＝(s，L，R，A₁，π)。

作为本发明的一种优选实施方案，所述S200对该签名进行合法性验证中，给定参数param，给定消息m∈{0，1}^*，会话标签TAG，签名σ＝(s，L，R，A₁，π)。

作为本发明的一种优选实施方案，所述S200对该签名进行合法性验证的详细步骤如下：

a)计算哈希值计算哈希值

b)对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ；

c)计算挑战值

d)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1；

e)如果验证失败，签名无效；否则验证成功，则为合法签名。

作为本发明的一种优选实施方案，所述步骤S300对签名追踪，即对同一个TAG的2个签名(m，σ)和(m′，σ′)执行以下步骤：

a)将TAG解析为计算哈希值计算哈希值 对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ；

b)同样地，对于(m′，σ′)执行相同的上述操作；

c)初始化一个空列表TList；

d)对于所有的i∈[n]，如果σ_i＝σ′_i，存储pk_i到TList；

e)如果pk是TList中唯一元素，则输出pk；如果输出“Linked”；其他，输出“Indep”。

一种对数签名大小的可追踪环签名生成系统，所述系统用于执行的对数签名大小的可追踪环签名生成方法，所述系统包括：

签名生成模块，所述签名生成模块用于执行签名生成任务；

签名认证模块，所述签名认证模块用于执行签名认证任务；

签名追踪模块，所述签名追踪模块用于执行签名追踪任务。

与现有技术相比，

1、可追踪环签名的签名大小被压缩到O(logn)，即对数级别；

2、本发明实现了改进的可链接环签名生成方法，将签名者身份隐藏在环成员中，同时在特定情况下可以追踪签名者的身份。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。

图1为本发明一种对数签名大小的可追踪环签名生成方法的方法流程框图；

图2为本发明一种对数签名大小的可追踪环签名生成方法的原理图；

图3为本发明一种对数签名大小的可追踪环签名生成系统的系统框图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

请参阅图1-图3，本发明提供一种对数签名大小的可追踪环签名生成方法，包括如下步骤：

S100生成消息的可追踪环签名；

S200对该签名进行合法性验证；

S300对签名的追踪。

进一步的，本方法具体符号描述如下：

p：大素数；

Z_p：由0，1，2，…，p-1组成的整数集合；

阶为素数p的循环群；

g：循环群的一个生成元；

g_i：循环群的一个生成元；

g^r：群中元素g的r次幂；

由密码杂凑函数派生的密码函数，为

由密码杂凑函数派生的密码函数，为

由密码杂凑函数派生的密码函数，为{0，1}^*→Z_p；

TAG：会话标签，

issue：话题标签；

θ：用户标签；

L，R：承诺值；

c：挑战值；

挑战向量；

n：环成员个数；

π：签名者的私密下标，其中1≤π≤n；

sk_π：签名者的私钥；

pk_π：签名者的公钥，计算方式为

环成员的公钥集，即n个用户的公钥集合；

m：待签名的消息；

σ：签名值；

NISA(Non-interactive Sum Argument)：非交互式和证明方法；

param：系统参数；

π：生成的非交互式和证明；

TList：列表，初始化时为空。

进一步的，所述步骤S100生成消息的可追踪环签名中给定参数param，消息m∈{0，1}^*，公钥集会话标签签名者公私钥对{pk_π，sk_π}，签名者对消息m签名。

进一步的，所述S100生成消息的可追踪环签名的详细步骤如下：

a)根据环内用户公钥的集合计算哈希值计算签名者的标签

b)计算哈希值中间值

c)对于所有j∈[n]且j≠π，计算其他环内成员的标签θ_j＝A₁A₀ ^j；

d)随机选取随机数r_π∈_RZ_p，对于i∈[n]且i≠π，随机选取随机数c_i∈_RZ_p，

e)计算承诺值承诺值

f)计算挑战值

g)计算中间值c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，那么有c＝c₁+…+c_n；

h)计算部分签名值s＝r_π-c_π·sk_π；

i)令挑战向量

j)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1；

k)计算非交互式零知识证明

1)输出签名σ＝(s，L，R，A₁，π)。

进一步的，所述S200对该签名进行合法性验证中，给定参数param，给定消息m∈{0，1}^*，会话标签TAG，签名σ＝(s，L，R，A₁，π)。

进一步的，所述S200对该签名进行合法性验证的详细步骤如下：

a)计算哈希值计算哈希值

b)对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ；

c)计算挑战值

d)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1；

e)如果验证失败，签名无效；否则验证成功，则为合法签名。

进一步的，所述步骤S300对签名追踪，即对同一个TAG的2个签名(m，σ)和(m′，σ′)执行以下步骤：

a)将TAG解析为计算哈希值计算哈希值 对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ；

b)同样地，对于(m′，σ′)执行相同的上述操作；

c)初始化一个空列表TList；

d)对于所有的i∈[n]，如果σ_i＝σ′_i，存储pk_i到TList；

e)如果pk是TList中唯一元素，则输出pk；如果输出“Linked”；其他，输出“Indep”。

一种对数签名大小的可追踪环签名生成系统，所述系统包括：

签名生成模块，所述签名生成模块用于执行签名生成任务；

签名认证模块，所述签名认证模块用于执行签名认证任务；

签名追踪模块，所述签名追踪模块用于执行签名追踪任务。

实施例一

请参阅图1，本发明的所述的一种改进的可追踪环签名生成方法，设环中的用户数为n，环成员的公钥集为签名者为用户群组中的第π个用户(1≤π≤n)，记其私钥为skπ，对应的公钥为

在本发明中非交互式和证明NISA(Non-interactive Sum Argument)，对于给定的关系我们令

该工具包含以下2个核心算法：

1)生成证明算法：π为生成的非交互式和证明。

2)验证证明算法：0表示验证失败，1表示验证成功。

下面阐述本方法详方法步骤如下：

1、签名生成：给定参数param，消息m∈{0，1}^*，公钥集会话标签签名者公私钥对{pk_π，sk_π}，签名者对消息m签名。

a)根据环内用户公钥的集合计算哈希值计算签名者的标签

b)计算哈希值中间值

c)对于所有j∈[n]且j≠π，计算其他环内成员的标签θ_j＝A₁A₀ ^j。

d)随机选取随机数r_π∈_RZ_p，对于i∈[n]且i≠π，随机选取随机数c_i∈_RZ_p，

e)计算承诺值承诺值

f)计算挑战值

g)计算中间值c_π＝c-c_π+1-…-c_n-c₁-…-c_π-1，那么有c＝c₁+…+c_n。

h)计算部分签名值s＝r_π-c_π·sk_π。

f)令挑战向量

g)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1。

h)计算非交互式零知识证明

i)输出签名σ＝(s，L，R，A₁，π)。

2、签名验证：给定参数param，给定消息m∈{0，1}^*，会话标签TAG，签名σ＝(s，L，R，A₁，π)，验证者采用以下步骤进行验证。

a)计算哈希值计算哈希值

b)对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ。

c)计算挑战值

d)计算中间值P＝L·(g^s)^-1·R·(h^s)^-1。

e)如果验证失败，签名无效；否则验证成功，则为合法签名。

3、签名追踪：对于针对同一个TAG的2个签名(m，σ)和(m′，σ′)，执行以下步骤：

a)将TAG解析为计算哈希值计算哈希值 对于i∈[n]，计算每个环成员标签σ_i＝A₁A₀ ⁱ。

b)同样地，对于(m′，σ′)执行相同的上述操作。

a)初始化一个空列表TList。

b)对于所有的i∈[n]，如果σ_i＝σ′_i，存储pk_i到TList。

c)如果pk是TList中唯一元素，则输出pk；如果输出“Linked”；其他，输出“Indep”。

实施例二

请参阅图3，本发明还提供一种对数签名大小的可追踪环签名生成系统，所述系统包括：

签名生成模块100，所述签名生成模块用于执行签名生成任务；

签名认证模块200，所述签名认证模块用于执行签名认证任务；

签名追踪模块300，所述签名追踪模块用于执行签名追踪任务；

综上所述，可追踪环签名引入了会话标签TAG，它包含一个环成员公钥列表和一个话题标签issue，话题标签可以是一个社交活动或者投票活动等。环成员可以对该话题标签发表意见，即签名针对该话题标签的消息。如果该签名者对同一个消息和同一个会话标签TAG进行2次签名，则我们可以链接这2个签名；如果该签名者对同一个会话标签TAG和不同的2个消息进行2次签名，则我们可以输出该签名者的公钥。另外，我们采用了非交互式和证明优化签名大小，实现了对数签名大小的可追踪环签名，能够降低存储开销，促进可追踪环签名的应用。

进一步的，本发明可追踪环签名的签名大小被压缩到O(logn)，即对数级别；

进一步的，本发明实现了改进的可链接环签名生成方法，将签名者身份隐藏在环成员中，同时在特定情况下可以追踪签名者的身份。

本领域技术人员可以理解，上述服务设备的描述仅仅是示例，并不构成对终端设备的限定，可以包括比上述描述更多或更少的部件，或者组合某些部件，或者不同的部件，例如可以包括输入输出设备、网络接入设备、总线等。

本应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种对数签名大小的可追踪环签名生成方法，其特征在于，包括如下步骤：

S100生成消息的可追踪环签名；

S200对该签名进行合法性验证；

S300对签名的追踪；

本方法具体符号描述如下：

：大素数；

：由组成的整数集合；

：阶为素数的循环群；

：循环群的一个生成元；

：群中元素的次幂；

：由密码杂凑函数派生的密码函数，为

：由密码杂凑函数派生的密码函数，为

：由密码杂凑函数派生的密码函数，为

会话标签，

：话题标签；

：用户标签；

：承诺值；

挑战值；

挑战向量；

：环成员个数；

：签名者的私密下标，其中

：签名者的私钥；

：签名者的公钥，计算方式为

：，环成员的公钥集，即个用户的公钥集合；

：待签名的消息；

：签名值；

-：非交互式和证明方法；

：系统参数；

：生成的非交互式和证明；

：列表，初始化时为空；

所述步骤S100生成消息的可追踪环签名中给定参数，消息,公钥集,会话标签,签名者公私钥对，签名者对消息签名；

所述S100生成消息的可追踪环签名的详细步骤如下：

a)根据环内用户公钥的集合，计算哈希值，

；

b)计算,；

c)对于所有且，计算其他环内成员的标签；

d)随机选取随机数，对于且，随机选取随机数，

e)计算承诺值，

承诺值；

f)计算挑战值；

g)计算，那么有；

h)计算部分签名值；

i)令挑战向量；

j)计算；

k)计算非交互式零知识证明；

l)输出签名；

所述S200对该签名进行合法性验证中，给定参数，给定消息，会话标签，签名；

所述S200对该签名进行合法性验证的详细步骤如下：

a)计算，计算；

b)对于，计算每个环成员标签；

c)计算；

d)计算；

e)如果，验证失败，签名无效；否则验证成功，则为合法签名；

所述步骤S300对签名追踪，即对同一个的2个签名和执行以下步骤：

a)将解析为,计算，计算对于，计算每个环成员标签

b)同样地，对于执行相同的步骤a）操作；

c)初始化一个空列表

d)对于所有的，如果，存储到

e)如果是中唯一元素，则输出；如果，输出“”；其他，输出“”。

2.一种对数签名大小的可追踪环签名生成系统，其特征在于，所述系统用于执行权利要求1所述的对数签名大小的可追踪环签名生成方法，所述系统包括：

签名生成模块，所述签名生成模块用于执行签名生成任务；

签名认证模块，所述签名认证模块用于执行签名认证任务；

签名追踪模块，所述签名追踪模块用于执行签名追踪任务。