CN116192392A - 一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法 - Google Patents

Abstract

本发明提供一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，包括监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开；用户部分私钥和完全私钥生成；用户完成任务后，对感知数据的密文进行签名；用户向区块链节点发送消息；区块链节点筛选出领取任务的用户的消息，对签名进行验证；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪。本发明能确保用户在监管机构处进行有效地匿名注册，能保证验证签名阶段消息的认证性、不可否认性和完整性，可确保匿名身份的可监管性。

Description

一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法。

背景技术

随着移动互联网技术的飞速发展，群智感知被提出，随后群智感知被广泛应用于物联网中。然而由于群智感知网络具有开放性和脆弱性特点，故面临着各式各样的攻击威胁，这将阻碍其广泛应用。在群智感知网络中，恶意攻击者可能会通过伪装成合法用户而危害整个网络系统，或者获得用户的真实身份信息而造成用户的隐私泄露等。所以首先必须确保能对消息进行高效认证，从而有效发挥系统功能；其次，需要保护用户真实身份的隐私性；最后，由于采用了匿名的方法保护了用户真实身份的隐私，如何追踪一个匿名用户的真实身份成为一个挑战，当消息引发争议时，比如发现了一个虚假数据，需要确保能对消息来源的真实身份进行追溯。所以群智感知网络的隐私安全尤为重要。

Raya等人于2007年提出基于公钥基础设施的公钥证书方案后，后来的研究者根据此提出了各种公钥证书方案，基本实现了身份认证。随着研究的深入，研究者们发现此方法存在需要消耗大量存储空间来存储和管理大量数字证书的问题。为了克服公钥证书方案的缺陷，1984年，Shamir提出了第一个基于身份的认证方案，随后许多基于身份的方案被提出，但是此方法存在密钥托管问题。2003年，AL-RIYAM等人提出了无证书密码体制，克服了证书管理和密钥托管问题。然而许多基于无证书密码体制的方案中存在中间人攻击、DDOS攻击等安全缺陷。

发明内容

本发明针对现有技术中的不足，提供一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法。

本发明提供一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，包括：

监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开；

用户产生自己的部分私钥、部分公钥和匿名身份；

用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中；

任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名；

用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪。

进一步地，所述监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开，包括：

选取有限域Z_q上的椭圆曲线E，选取椭圆曲线E上n阶加法循环群G，以及选取加法循环群G的生成元P；q是大素数；设置三个安全的抗碰撞哈希函数

H₁:{0,1}^*→{0,1}^l和H₂:{0,1}^*→G；l是哈希函数H₁输出的固定比特长度；

为有限域Z_q去掉零元所得到的乘法群；

监管机构选取

作为自己的主私钥，计算相应的公钥PK＝sP；监管机构为任务发布者颁布公钥与私钥，其中私钥为

公钥为Y＝yP；选取一个轻量级的对称加密算法Enc；并公布系统全局参数Para＝(E,q,P,G,PK,Y,Enc,H₀,H₁,H₂)。

进一步地，所述用户产生自己的部分私钥、部分公钥和匿名身份，包括：

用户选取RID_i∈{0,1}^*作为自己的真实身份，用户选择随机数

作为自己的部分私钥，计算部分公钥vpk_i＝n_iP，计算

计算用户的匿名身份

计算密文

计算认证值

其中

是

的横坐标；用户将{PID_i,R_i,vpk_i}以匿名方式通过公开信道发送给监管机构。

进一步地，所述用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中，包括：

监管机构计算

计算

验证R_i′＝R_i方程式是否成立，方程式通过后用

的横坐标

解密PID_i，得到用户的真实身份RID_i与匿名身份ID_i；计算

验证方程式ID_i＝ID_i′是否成立，在成立的情况下进行下一步；

监管机构选取随机数

计算K_i＝k_iP作为用户的部分公钥，计算用户的部分私钥psk_i＝k_i+sH₀(K_i,PK,ID_i)，令h_1,i＝H₀(K_i,PK,ID_i)；监管机构在溯源对应列表中保存{RID_i,ID_i,vpk_i,K_i,psk_i}；然后计算用户的身份证明

并将身份证明CT_i上传到区块链上；监管机构计算

将{K_i,ppsk_i}通过公开信道发给用户；

用户计算

验证方程式psk_iP＝K_i+h_1,iPK是否成立；在方程式成立的情况下，用户的私钥对设置为SK_i＝(psk_i,n_i)，公钥对为UK_i＝(K_i,vpk_i)。

进一步地，所述任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名，包括：

任务发布者通过区块链上部署的智能合约发布感知任务，设置任务需求、任务奖励和任务分配方案；参与感知任务的用户经过智能合约的认证；

用户向智能合约提交

智能合约计算

并查询区块链上是否存在CT_i使得方程式CT_i′＝CT_i成立；在方程式成立的情况下，为合法的用户分配任务，随后智能合约计算哈希值v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，其中TID_j为任务的编号，然后将v_i添加进领取了任务的用户名单

智能合约经过一段时间后根据名单

计算l阶一元多项式函数f(x)＝(x-v₁)(x-v₂)...(x-v_l)＝b₁x+b₂x²+...+b_lx^l，其中，{b₁,b₂,...,b_l}为用于验证领取任务的匿名名单的认证秘密参数；x,x²,...,x^l将领取任务的用户特征隐藏起来；令

然后智能合约将

发送给区块链网络中的节点；智能合约在一段时间后自动触发领取任务的用户执行任务；

用户收集完数据后，选择随机数

计算Q_i＝q_iP，加密感知数据m_i为

用户选择随机数

计算

令

计算

则签名为σ_i＝(α_i,β_i)，其中h_3,i＝H₀(K_i,h_2,i)，h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，T_i为时间戳；

用户将Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)发送给区块链节点。

进一步地，所述用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪，包括：

区块链节点在接收到一批来自用户的消息Msg_i后，首先验证时间戳T_i的有效性，假设收到消息的时间为T_j，如果ΔT≥T_j-T_i，根据

得到多项式函数f(x)＝b₁x+b₂x²+...+b_lx^l，计算v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，验证方程式f(v_i)＝0是否成立；验证通过，则筛选出领取任务的用户的消息，根据

计算

计算h_1,i＝H₀(K_i,PK,ID_i)，h_3,i＝H₀(K_i,h_2,i)，其中h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，验证方程式

是否成立；在方程式成立的情况下，将数据Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)上传至区块链；

任务发布者查询区块链上最新的区块上的密文数据C_i，利用Q_i与自己的私钥y，解密密文数据C_i得到所需感知数据

监管机构收到举报后，对匿名身份进行追踪。

进一步地，所述验证方程式

是否成立，包括：

根据以下公式推导签名验证方程的正确性：

进一步地，所述验证方程式

是否成立，还包括：

根据以下公式推导批量签名验证方程的正确性：

其中，随机数λ_i∈[1,2^z]，z为根据系统验证安全与效率需求，选取的验证安全参数，z∈[1,10]。

本发明提供一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，包括监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开；用户产生自己的部分私钥、部分公钥和匿名身份；用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中；任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名；用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪。本发明满足消息的认证性、完整性、保密性与可追踪性等安全需求，同时能抵抗重放攻击、数据篡改与伪装攻击等常见安全攻击。当数据引发争议时，监管机构可对真实身份进行追踪。方本发明利用了椭圆曲线密码算法，具有较小的计算与存储开销，因而具有轻量级特性，结合区块链技术解决了单点故障的问题，利用智能合约可对需要领取任务的合法匿名身份进行有效认证，增加了系统的安全性。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法的流程图；

图2为本发明实施例提供的一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法的结构示意图；

图3为本发明实施例提供的本发明与现有技术提出的认证方案进行计算效率分析与比较图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，包括：

步骤101，监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元。监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开。

示例性地，监管机构选取有限域Z_q上的椭圆曲线E，选取椭圆曲线E上n阶加法循环群G，以及选取加法循环群G的生成元P；q是大素数；设置三个安全的抗碰撞哈希函数

和

l是哈希函数H₁输出的固定比特长度；

为有限域Z_q去掉零元所得到的乘法群。

监管机构选取

作为自己的主私钥，计算相应的公钥PK＝sP；监管机构为任务发布者颁布公钥与私钥，其中私钥为

公钥为Y＝yP；选取一个轻量级的对称加密算法Enc；并公布系统全局参数Para＝(E,q,P,G,PK,Y,Enc,H₀,H₁,H₂)。

步骤102，用户产生自己的部分私钥、部分公钥和匿名身份。

示例性地，用户选取RID_i∈{0,1}^*作为自己的真实身份，用户选择随机数

作为自己的部分私钥，计算部分公钥vpk_i＝n_iP，计算

计算用户的匿名身份

计算密文

计算认证值

其中

是

的横坐标；用户将{PID_i,R_i,vpk_i}以匿名方式通过公开信道发送给监管机构。

步骤103，用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中。

示例性地，监管机构计算

计算

验证R_i′＝R_i方程式是否成立，方程式通过后用

的横坐标

解密PID_i，得到用户的真实身份RID_i与匿名身份ID_i；计算

验证方程式ID_i＝ID_i′是否成立，在成立的情况下进行下一步。

监管机构选取随机数

计算K_i＝k_iP作为用户的部分公钥，计算用户的部分私钥psk_i＝k_i+sH₀(K_i,PK,ID_i)，令h_1,i＝H₀(K_i,PK,ID_i)；监管机构在溯源对应列表中保存{RID_i,ID_i,vpk_i,K_i,psk_i}；然后计算用户的身份证明

并将身份证明CT_i上传到区块链上；监管机构计算

将{K_i,ppsk_i}通过公开信道发给用户；

只有监管机构和用户本身知道。

用户计算

验证方程式psk_iP＝K_i+h_1,iPK是否成立；在方程式成立的情况下，用户的私钥对设置为SK_i＝(psk_i,n_i)，公钥对为UK_i＝(K_i,vpk_i)。

步骤104，任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名。

示例性地，任务发布者通过区块链上部署的智能合约发布感知任务，设置任务需求、任务奖励和任务分配方案；参与感知任务的用户经过智能合约的认证。

用户向智能合约提交

智能合约计算

并查询区块链上是否存在CT_i使得方程式CT_i′＝CT_i成立；在方程式成立的情况下，为合法的用户分配任务，随后智能合约计算哈希值v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，其中TID_j为任务的编号，然后将v_i添加进领取了任务的用户名单

智能合约经过一段时间后根据名单

计算l阶一元多项式函数f(x)＝(x-v₁)(x-v₂)...(x-v_l)＝b₁x+b₂x²+...+b_lx^l，其中，{b₁,b₂,...,b_l}为用于验证领取任务的匿名名单的认证秘密参数；x,x²,...,x^l将领取任务的用户特征隐藏起来；令

然后智能合约将

发送给区块链网络中的节点；智能合约在一段时间后自动触发领取任务的用户执行任务。

用户收集完数据后，选择随机数

计算Q_i＝q_iP，加密感知数据m_i为

用户选择随机数

计算

令

计算

则签名为σ_i＝(α_i,β_i)，其中h_3,i＝H₀(K_i,h_2,i)，h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，T_i为时间戳。

用户将Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)发送给区块链节点。

步骤105，用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪。

示例性地，区块链节点在接收到一批来自用户的消息Msg_i后，首先验证时间戳T_i的有效性，假设收到消息的时间为T_j，如果ΔT≥T_j-T_i，根据

得到多项式函数f(x)＝b₁x+b₂x²+...+b_lx^l，计算v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，验证方程式f(v_i)＝0是否成立；验证通过，则筛选出领取任务的用户的消息，根据

计算

计算h_1,i＝H₀(K_i,PK,ID_i)，h_3,i＝H₀(K_i,h_2,i)，其中h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，验证方程式

是否成立；在方程式成立的情况下，将数据Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)上传至区块链。

根据以下公式推导签名验证方程的正确性：

为了保证不可否认性与抵抗混淆攻击，选取随机数λ_i∈[1,2^z]，z为根据系统验证安全与效率需求，选取的验证安全参数；z为一个非常小的整数仅带来非常小的计算开销；通常z∈[1,10]之间，z越大，批量签名验证效率相对降低，安全性更高；根据以下公式推导批量签名验证方程的正确性：

任务发布者查询区块链上最新的区块上的密文数据C_i，利用Q_i与自己的私钥y，解密密文数据C_i得到所需感知数据

监管机构收到举报后，对匿名身份进行追踪。

本发明能确保用户在监管机构处进行有效地匿名注册。用户在计算密文

时，用到了Diffie-Hellman技术协商出的临时对称密钥

如果敌手截获了PID_i想要获取用户的真实身份RID_i，由于临时对称密钥

只有监管机构与用户知道，因此敌手不能有效解密PID_i而获取用户的真实身份RID_i，保证了真实身份RID_i的机密性。此外认证值为

如果敌手截获了{PID_i,R_i,vpk_i}，篡改了PID_i和vpk_i，由于哈希函数的不可逆性，监管机构计算认证值

后会发现方程式R_i′＝R_i不通过，所以保证了注册阶段中PID_i和vpk_i的完整性。监管机构为用户生成对应的部分私钥psk_i＝k_i+sH₀(K_i,PK,ID_i)与部分公钥K_i＝k_iP，并计算psk_i的密文

将{K_i,ppsk_i}通过公开信道发送给用户，如果敌手截获了ppsk_i，由于RID_i只有用户与监管机构知道，所以敌手无法有效得到监管机构为用户颁发的部分私钥，保证了部分私钥的机密性。如果敌手篡改了消息K_i和ppsk_i，用户计算h_1,i＝H₀(K_i,PK,ID_i)后发现方程式psk_iP＝K_i+h_1,iPK不通过，保证了消息K_i和ppsk_i的完整性。故确保了用户在区块链中的监管机构处进行有效地匿名注册。

本发明能保证验证签名阶段消息的认证性、不可否认性和完整性。当区块链节点得到智能合约发来的集合{b₁,b₂,...,b_l}后构造出多项式函数f(x)＝b₁x+b₂x²+...+b_lx^l。一段时间后得到一批来自用户的消息Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)，计算v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，验证方程式f(v_i)＝0是否成立。若方程式通过，则筛选出了领取了任务的用户的消息。若方程式验证不通过，则说明发起消息的数据源可能是恶意攻击者或者服务器故障，将匿名身份交由监管机构去追踪，增加了方案的安全性。其次，若同一个v_i验证次数过多，则说明此签名的数据源可能是发起DDOS攻击的攻击源或者此数据源的服务器故障，可让监管机构去追踪其真实身份，及时制止出现问题的服务器。若敌手截获了签名σ_i＝(α_i,β_i)，其中

如果敌手想尝试生成有效的签名σ_i＝(α_i,β_i)，由于用户私钥SK_i＝(psk_i,n_i)的保密性和离散对数困难问题，所以敌手无法对签名σ_i＝(α_i,β_i)进行伪造。如果敌手篡改或者替换数据密文C_i，由于哈希函数h_3,i＝H₀(K_i,h_2,i)和h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)具有不可逆性与抗碰撞性，故验证方程

不能通过。若签名验证通过，则验证了匿名认证消息的完整性与不可否认性。区块链节点经过共识后，将数据Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)上传到区块链上。故能保证验证签名阶段消息的认证性、不可否认性和完整性。

本发明可确保匿名身份的可监管性。在区块链系统中，如果监管机构要追责某些用户，监管机构能够利用溯源对应列表追踪区块链上匿名身份ID_i所对应的真实身份RID_i，实现匿名身份的可监管性。

为了进一步说明本发明的效果，现在将本发明方法与文献(Effcientcertificateless aggregate signature with conditional privacy preservation inIoV)中提出的认证方案进行计算效率分析与比较，所有算法实现的编程使用C语言，调用了密码学库函数MIRACL。T_pa表示双线性对运行时间，T_pm表示双线性对标量乘法运行时间，T_Mu表示椭圆曲线中的倍点运行时间，T_Add表示椭圆曲线的点加法运行时间，T_mu表示普通模乘法时间运行时间，T_inv表示求逆运行时间，T_Ha表示映射到循环群中的椭圆曲线点坐标的运行时间，T_ha表示普通哈希函数运行时间。算法实验仿真数值见表1。

表1不同算法仿真的执行时间

符号	运行时间(毫秒，ms)
		Tpa	7.1662
Tpm	2.9753
		TMu	1.3039
TAdd	0.0116
		Tmu	0.0011
Tinv	0.0223
		THa	7.3564
Tha	0.0275

本发明方案与对照方案在计算效率比较具体如表2所示：

表2计算开销比较

方案	认证数据产生开销	认证数据验证开销(ms)
			对照方案	2THa+4Tpm＝26.6140	4Tpa+2Tpm＝34.6154
本发明方案	TMu+Tinv+3Tmu+2Tha＝1.3845	4TMu+2TAdd+3Tha＝5.3213

如图3所示，将以上表格中的数据转换成柱状图的形式。通过分析与比较容易看出本发明方案在计算开销方面占有明显的优势。

以上结合具体实施方式和范例性实例对本发明进行了详细说明，不过这些说明并不能理解为对本发明的限制。本领域技术人员理解，在不偏离本发明精神和范围的情况下，可以对本发明技术方案及其实施方式进行多种等价替换、修饰或改进，这些均落入本发明的范围内。本发明的保护范围以所附权利要求为准。

Claims (8)

1.一种基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，包括：

监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开；

用户产生自己的部分私钥、部分公钥和匿名身份；

用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中；

任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名；

用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪。

2.根据权利要求1所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述监管机构设置有限域上的椭圆曲线、椭圆曲线上的加法循环群和加法循环群的生成元；监管机构设置安全的哈希函数，选取一个轻量级的对称加密算法，并将以上信息作为全局参数公开，包括：

选取有限域Z_q上的椭圆曲线E，选取椭圆曲线E上n阶加法循环群G，以及选取加法循环群G的生成元P；q是大素数；设置三个安全的抗碰撞哈希函数

H₁:{0,1}^*→{0,1}^l和H₂:{0,1}^*→G；l是哈希函数H₁输出的固定比特长度；

为有限域Z_q去掉零元所得到的乘法群；

监管机构选取

作为自己的主私钥，计算相应的公钥PK＝sP；监管机构为任务发布者颁布公钥与私钥，其中私钥为

公钥为Y＝yP；选取一个轻量级的对称加密算法Enc；并公布系统全局参数Para＝(E,q,P,G,PK,Y,Enc,H₀,H₁,H₂)。

3.根据权利要求2所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述用户产生自己的部分私钥、部分公钥和匿名身份，包括：

用户选取RID_i∈{0,1}^*作为自己的真实身份，用户选择随机数

作为自己的部分私钥，计算部分公钥vpk_i＝n_iP，计算

计算用户的匿名身份

计算密文

计算认证值

其中

是

的横坐标；用户将{PID_i,R_i,vpk_i}以匿名方式通过公开信道发送给监管机构。

4.根据权利要求3所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述用户通过公开信道向区块链中的监管机构进行匿名注册，监管机构生成用户的部分私钥、部分公钥与身份证明，并将身份证明上传到区块链中，包括：

监管机构计算

计算

验证R′_i＝R_i方程式是否成立，方程式通过后用

的横坐标

解密PID_i，得到用户的真实身份RID_i与匿名身份ID_i；计算

验证方程式ID_i＝ID_i′是否成立，在成立的情况下进行下一步；

监管机构选取随机数

计算K_i＝k_iP作为用户的部分公钥，计算用户的部分私钥psk_i＝k_i+sH₀(K_i,PK,ID_i)，令h_1,i＝H₀(K_i,PK,ID_i)；监管机构在溯源对应列表中保存{RID_i,ID_i,vpk_i,K_i,psk_i}；然后计算用户的身份证明

并将身份证明CT_i上传到区块链上；监管机构计算

将{K_i,ppsk_i}通过公开信道发给用户；

用户计算

验证方程式psk_iP＝K_i+h_1,iPK是否成立；在方程式成立的情况下，用户的私钥对设置为SK_i＝(psk_i,n_i)，公钥对为UK_i＝(K_i,vpk_i)。

5.根据权利要求4所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述任务发布者通过区块链上部署的智能合约发布感知任务，用户经过智能合约的认证后领取任务；智能合约将领取任务的用户名单发送给区块链；智能合约一段时间后自动触发领取任务的用户执行任务；用户完成任务后，对感知数据的密文进行签名，包括：

任务发布者通过区块链上部署的智能合约发布感知任务，设置任务需求、任务奖励和任务分配方案；参与感知任务的用户经过智能合约的认证；

用户向智能合约提交

智能合约计算

并查询区块链上是否存在CT_i使得方程式CT_i′＝CT_i成立；在方程式成立的情况下，为合法的用户分配任务，随后智能合约计算哈希值v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，其中TID_j为任务的编号，然后将v_i添加进领取了任务的用户名单

智能合约经过一段时间后根据名单

计算l阶一元多项式函数f(x)＝(x-v₁)(x-v₂)...(x-v_l)＝b₁x+b₂x²+...+b_lx^l，其中，{b₁,b₂,...,b_l}为用于验证领取任务的匿名名单的认证秘密参数；x,x²,...,x^l将领取任务的用户特征隐藏起来；令

然后智能合约将b发送给区块链网络中的节点；智能合约在一段时间后自动触发领取任务的用户执行任务；

用户收集完数据后，选择随机数

计算Q_i＝q_iP，加密感知数据m_i为

用户选择随机数

计算

令

计算

则签名为σ_i＝(α_i,β_i)，其中h_3,i＝H₀(K_i,h_2,i)，h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，T_i为时间戳；

用户将Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)发送给区块链节点。

6.根据权利要求5所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述用户向区块链节点发送消息；区块链节点首先筛选出领取任务的用户的消息，然后对签名进行验证，验证通过后将消息上传至区块链；任务发布者解密最新的区块上的密文，获得感知数据；监管机构收到举报后，可对匿名身份进行追踪，包括：

区块链节点在接收到一批来自用户的消息Msg_i后，首先验证时间戳T_i的有效性，假设收到消息的时间为T_j，如果ΔT≥T_j-T_i，根据

得到多项式函数f(x)＝b₁x+b₂x²+...+b_lx^l，计算v_i＝H₀(TID_j,K_i,vpk_i,ID_i)，验证方程式f(v_i)＝0是否成立；验证通过，则筛选出领取任务的用户的消息，根据

计算

计算h_1,i＝H₀(K_i,PK,ID_i)，h_3,i＝H₀(K_i,h_2,i)，其中h_2,i＝H₀(C_i,TID_j,ID_i,vpk_i,α_i,Q_i,T_i)，验证方程式

是否成立；在方程式成立的情况下，将数据Msg_i＝(σ_i,TID_j,C_i,ID_i,K_i,vpk_i,Q_i,T_i)上传至区块链；

任务发布者查询区块链上最新的区块上的密文数据C_i，利用Q_i与自己的私钥y，解密密文数据C_i得到所需感知数据

监管机构收到举报后，对匿名身份进行追踪。

7.根据权利要求6所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述验证方程式

是否成立，包括：

根据以下公式推导签名验证方程的正确性：

8.根据权利要求7所述的基于椭圆曲线的具有隐私保护的轻量级匿名认证方法，其特征在于，所述验证方程式

是否成立，还包括：

根据以下公式推导批量签名验证方程的正确性：

其中，随机数λ_i∈[1,2^z]，z为根据系统验证安全与效率需求，选取的验证安全参数，z∈[1,10]。

Images