CN117040748A - 一种基于身份的能够限制组合者群体的同态签名方法 - Google Patents

Abstract

本发明公开了一种基于身份的能够限制组合者群体的同态签名方法，涉及金融交易技术领域，本文针对电子交易所使用的IPv6网络提出了一种限制组合者群体的身份基线性同态签名方案，本方案能够防止未经授权的子服务器进行任意组合，可以实现多方签名，并且可以控制次级签名者的身份和权限，以抗击网络中的组合攻击。方案利用身份基线性同态签名技术，将签名者的身份和签名权利映射到群元素上，通过指定组合将不同交易服务的节点数据指定签名后发送到互联网上，减小了共享秘密的通信成本。签名的生成与验证的计算开销与数据包大小无关，使得签名的生成与验证开销接近常数级。减小了组合签名后的验证开销和传输过程中的通信开销。

Description

一种基于身份的能够限制组合者群体的同态签名方法

技术领域

本发明涉及金融交易技术领域，具体是一种基于身份的能够限制组合者群体的同态签名方法。

背景技术

伴随网络交易的兴起，保护金融交易的安全显得尤为重要。如果金融交易不安全，黑客可能会利用网络漏洞进行攻击，窃取资金或个人财务信息。在金融交易中，多方签名是常见的安全机制，可以确保交易的合法性和安全性。但如何控制签名者的身份和权限，以及如何保证签名的可靠性和安全性，一直是一个重要的问题。虽然已有的同态签名方案可以解决签名伪造的验证问题，但无法抗击非法IP对签名的任意组合问题。

基于此，现在提供一种基于身份的能够限制组合者群体的同态签名方法，可以消除现有装置存在的弊端。

发明内容

本发明的目的在于提供一种基于身份的能够限制组合者群体的同态签名方法，以解决背景技术中的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于身份的能够限制组合者群体的同态签名方法，包括以下步骤：

初始化阶段：PKG根据安全参数λ和正整数N(N是增广向量的维度)生成公共参数params和主私钥msk；

用户注册阶段：用户需要从PKG处获取私钥usk_ID，然后用户需要检查usk_ID的正确性；

组合者申请权限阶段：Signer会生成对应data的分级参数Q和通过审核的组合者的会话密钥b_ID；

签名阶段：首先Signer对需要签名的数据包data进行拆分与增广，然后再对基向量进行签名与并分发基向量-签名对给通过审核的Combiner们；

部分公开验证阶段：由于数据的分级保护机制，在这一阶段仅能在审核通过的组合者群体内部进行公开验证，不能让任意组合者验证；

组合阶段：组合者首先对自己掌握的基向量进行线性组合，然后再加上会话密钥；

验证阶段：Receiver在收到Combiner的后，首先使用B′解签名，然后验证签名的正确性。

在上述技术方案的基础上，本发明还提供以下可选技术方案：

在一种可选方案中：所述初始化阶段的具体流程包括：

首先，PKG生成三个具有相同素数阶p(p＞2^λ)的循环群G₁，G₂，G_T，这三个群满足一个非对称的双线性映射e：G₁×G₂→G_T；

其次，PKG随机选取G₁，G₂上的生成元g，h，再随机选取上的一个值s作为PKG的msk，计算h^s并将值作为PKG主公钥mpk；

然后，PKG选取四个抗碰撞的hash函数H₀：

最后，PKG将params：＝(p，G₁，G₂，G_T，e，g，h，mpk，H₀，H₁，H₂，H₃)广播至全网，并秘密保留msk。

在一种可选方案中：用户注册阶段具体包括：

首先，用户发送身份ID给PKG，PKG随机选取上的一个值r，PKG计算R＝h^r，x＝r+s·H₀(ID，R)，并将(x，R)作为usk_ID通过安全信道发送给用户；

然后，用户检查等式是否成立，如果成立，将usk_ID保存至本地，如果不成立，在本地生成错误日志。

在一种可选方案中：组合者申请权限阶段具体包括：

Signer随机生成会话主私钥Signer审核(ID，q_ID)是否符合这一data的密级，如果是，生成组合者的会话密钥b_ID＝B mod q_ID，记录下通过审核的组合者Combiner的q_ID；

当达到申请人数上限或已达申请权限的截止日期，Signer计算Q：＝Π_ID∈list q_ID，将(b_ID，Q)发送给对应的通过审核的Combiner，为描述方便，这里假设通过审核的组合者为t个，第d个组合者已拥有(b_d，Q，q_d)，

在一种可选方案中：签名阶段包括：

第一步，Signer将data拆分为m个n维向量再将每个m_k增广为/>其中只有在k＝i的情况下v_ki＝1，其他情况v_ki的值始终为0，这里我们定义张成空间V：＝span(v₁，...，v_m)；

第二步，Signer为V打上文件标识符f_id∈{0，1}^λ，将Signer信息与V使用τ＝(f_id，R)进行绑定，之后对每一个基向量v_k进行签名，签名σ_k如下：

然后，Signer将({σ_k}_l，τ)发送给指定组合者，l表示组合者收到的基向量签名索引。

在一种可选方案中：部分公开验证阶段：

首先，Combinar计算

然后，任意Combiner可验证任意是否成立，成立则表明签名者可信，反之终止算法。

在一种可选方案中：所述组合阶段包括：

各组合者使用编码系数{c_k}_l对各自的进行如下操作，令

组合者计算出组合者将/>通过中间节点发送给接收方Receiver。

在一种可选方案中：验证阶段包括：

Recriver首先使用B′解出由收集到的/>做组合计算后得到为针对数据data的签名；

Receiver检验是否成立，成立则验证通过，反之，验证不通过。

相较于现有技术，本发明的有益效果如下：

本文针对电子交易所使用的IPv6网络提出了一种限制组合者群体的身份基线性同态签名方案，功能方面，本方案能够防止未经授权的子服务器进行任意组合，可以实现多方签名，并且可以控制次级签名者的身份和权限，以抗击网络中的组合攻击。。

附图说明

图1为电子服务架构图。

图2为本发明的两方进行数据收发的过程图。

图3为本发明的整体流程图。

图4.1为本发明中的模拟图。

图4.2为本发明中t＝m的模拟图。

图5.1为本发明的组合者数量为基向量维数图。

图5.2为本发明的组合者数量为t＝m基向量维数图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。

在一个实施例中，一种基于身份的能够限制组合者群体的同态签名方法，首先由PKG进行初始化操作，生成相应的公共参数，所有用户(包括签名者、组合者和接收者)需要向PKG提交身份信息以生成自己的公私钥对，之后符合权限的组合者群体向签名者请求组合权，签名者批准后，进行签名的分发，组合者群体内部在进行层层验证后达成共识，最终成为签名组合网络，向接收者提供服务。图2展示了两方进行数据收发的过程，具体流程图请看图3。本方案的具体细节及相关证明如下：

具体步骤：

步骤一：系统初始化阶段：

在这个阶段，PKG根据安全参数λ和正整数N(N是增广向量的维度)生成公共参数params和主私钥msk，具体流程如下：

首先，PKG生成三个具有相同素数阶p(p＞2^λ)的循环群G₁，G₂，G_T，这三个群满足一个非对称的双线性映射e：G₁×G₂→G_T；

其次，PKG随机选取G₁，G₂上的生成元g，h，再随机选取上的一个值s作为PKG的msk，计算h^s并将值作为PKG主公钥mpk。

然后，PKG选取四个抗碰撞的hash函数H₀：

最后，PKG将params：＝(p，G₁，G₂，G_T，e，g，h，mpk，H₀，H₁，H₂，H₃)广播至全网，并秘密保留msk。

用户注册阶段

这个阶段由两个步骤组成，在第一步，用户需要从PKG处获取私钥usk_ID；在第二步，用户需要检查usk_ID的正确性；

首先，用户发送身份ID给PKG，PKG随机选取上的一个值r，PKG计算R＝h^r，x＝r+s·H₀(ID，R)，并将(x，R)作为usk_ID通过安全信道发送给用户。

然后，用户检查等式是否成立。如果成立，将usk_ID保存至本地，如果不成立，在本地生成错误日志。

组合者申请权限阶段

本阶段，Signer会生成对应data的分级参数Q和通过审核的组合者的会话密钥b_ID，具体流程如下：

Signer随机生成会话主私钥Signer审核(ID，qID)是否符合这一data的密级，如果是，生成组合者的会话密钥b_ID＝B mod q_ID，记录下通过审核的组合者Combiner的q_ID。

当达到申请人数上限或已达申请权限的截止日期，Signer计算Q：＝Π_ID∈list q_ID，将(b_ID，Q)发送给对应的通过审核的Combiner。(为描述方便，这里假设通过审核的组合者为t个，第d个组合者已拥有(b_d，Q，q_d)，

签名阶段

签名阶段分为两部分，首先Signer对需要签名的数据包data进行拆分与增广，然后再对基向量进行签名与并分发基向量-签名对给通过审核的Combiner们(对于不同密级的data，我们只希望一部分群体掌握这个签名，能够成为这个data的次级签名者)，具体流程如下：

第一步，Signer将data拆分为m个n维向量再将每个m_k增广为/>其中只有在k＝i的情况下v_ki＝1，其他情况v_ki的值始终为0。这里我们定义张成空间V：＝span(v₁，...，v_m)；

第二步，Signer为V打上文件标识符f_id∈{0，1}^λ，将Signer信息与V使用τ＝(f_id，R)进行绑定，之后对每一个基向量v_k进行签名，签名σ_k如下：

然后，Signer将({σ_k}₁，τ)发送给指定组合者，l表示组合者收到的基向量签名索引(例如Combiner1接收到(σ₁，σ₂)，则索引l＝{1，2})。

验证组合群体阶段

这一阶段分为两部分进行，首先每个通过审核的Combiners利用中国剩余定理共同求解出B，再对组合者群进行验证，具体流程如下：

首先每个Combiner计算再计算/>最后计算所有Combiner共同计算出/>

每个Combiner检查b_d≡B′mod q_d是否成立(即判断B′＝B是否成立)，如果成立，则表明组合者群中没有恶意组合者，否则终止算法。

部分公开验证阶段

由于数据的分级保护机制，在这一阶段仅能在审核通过的组合者群体内部进行公开验证，不能让任意组合者验证，具体流程分为解签名过程与公开验证过程，具体如下：

首先，Combiner计算

然后，任意Combiner可验证任意是否成立，成立则表明签名者可信，反之终止算法。

组合阶段

在这个阶段，组合者首先对自己掌握的基向量进行线性组合，然后再加上会话密钥，具体流程如下：

各组合者使用编码系数{c_k}_l对各自的进行如下操作，令

组合者计算出组合者将/>通过中间节点发送给接收方Receiver。

(8)验证阶段

Receiver在收到Combiner的后，首先使用B′解签名，然后验证签名的正确性，具体流程如下：

Receiver首先使用B′解出由收集到的/>做组合计算后得到为针对数据data的签名。

Receiver检验是否成立，成立则验证通过，反之，验证不通过；

算法正确性：

在这里，我们假设所有参与者都忠实地执行上述算法，则签名的正确性可以从以下方面进行检查：

对于上述Combiner发送的Receiver先通过中国剩余定理计算出/>则对于数据data的签名/>的表达式如下：

对于完整数据data的签名我们可以得出/>满足上节提到的关系，具体推导如下：

效率分析

由于本方案的限定组合者群体为本文首次提出，这里我们只比较本方案与D.Boneh的方案[7]、Lin的方案[3]中基向量的签名、验证开销，并将本方案的组合者群体的单一组合者的组合开销与验证开销与方案[3]的指定组合者组合与验证开销进行比较，在效率分析中，进行如下定义：

假设所有Hash函数的计算开销都为t_H，模幂运算、求逆运算、配对运算、乘法运算的计算开销为t_E，t_I，t_P，t_M，加法运算计算开销忽略不计

设N＝m+n，N为增广向量维数，m为基向量个数，n为基向量维数；

设组合者个数为t，每名组合者收到的基向量个数为d_w个，w∈[1，t]；

设G₁，G₂，Z_p上元素的大小为|G₁|，|G₂|，|Z_p|；

具体效率分析如表1所示：

与方案[3]和方案[7]比较，本方案有以下性质：

增加了指定组合者数量，减小了每个组合者的组合开销，减小了组合后的验证开销，并实现了多组合者的身份基线性同态签名方案。

实验分析

本方案的计算开销通过模拟方式进行计算。本方案使用pycharm IDE，编译器为python3.8，本方案运行在Linux5.10.0-8-generic系统上，使用11th Gen Intel(R)Core(TM)i7-11800H@2.30GHz处理器，仿真中使用的参数均是pypbc库[40，41]的标准参数，为设计80bits安全的签名算法，G₁群中任意元素长度需要160bits(20bytes)，G₂群中任意元素长度需要320bits(40bytes)。在本方案的实验中，为了评估方案效率，本文选取了一个32KB的文件。每个文件可分为m个基向量，每个基向量又可分为n个维度，待签名向量维度为N＝m+n维。基向量的每个维度都是Z_p中的一个元素，长度为160bits。出于安全性考虑组合者人数t的范围应为因此/>目前电子交易平台大多使用Ipv6协议，其最大传输单元(MTU)的有效载荷为1460bytes，即m+n≤73，综合考虑得出m+n∈[45，73]，这里我们使用/>的条件下(最安全情形下)和t＝m的条件下(计算开销最大情形下)进行实验，本节将比较本方案与林成俊方案(图中表示为Lin’s scheme)、D.Boneh方案(图中表示为D.Boneh’s scheme)的效率，具体请看图4、图5；

图4.1、4.2展现了本方案与其他两个方案在两种情况下签名同一文件的计算开销，与其他两个方案相比，本方案在任何情况下的签名生成开销都是最小的。当基向量维度上升时，本方案的签名时间缓慢下降，然而其他两个方案的签名时间始终成上升趋势。当达到最大传输效率，即传输数据包大小达到MTU时，n＝10，m＝63，t＝21时，本方案的签名开销为274ms，远低于Lin方案的1483ms和D.Boneh方案的1469ms，图4.1中签名生成开销图4.2中签名生成开销(t＝m)。

图5.1、5.2展现了本方案与其他两个方案在两种情况下接受三个数据包并进行组合时，随着基向量维数的上升，本方案的时间开销依然是最小的，当传输数据包达到MTU时，本方案的验证开销为570ms，依然低于其他两种方案，图5.2签名验证开销(t＝m)，图5.1签名验证开销

综合分析四个图，当文件大小达到MTU时，本方案具有最小的时间开销，更适合于网络环境。但可以看出，本方案的基向量维数并不能够分到任意长度，且在模拟的两种情况中，只有当组合者数量为时能够达到MTU，当组合者数量为t＝m时只能达到1400bytes的有效荷载。

EUF-CMA安全模型[12]如果一个多项式时间算法(PPT)的敌手在询问q次签名后仍然无法在时间t内以优势∈赢得挑战应答游戏，则称一个签名方案在EUF-CMA安全模型下达到了(t，q，∈)安全。即敌手满足以下性质：

敌手能够伪造出v^*的签名σ^*；

敌手伪造的σ^*在询问阶段未被询问过；

非对称双线性映射[28-31]选取三个循环群G₁，G₂，G_T，其中ord(G₁)＝ord(G₂)＝ord(G_T)＝p(p为素数)，定义映射e：G₁×G₂→G_T满足如下关系：

双线性：h∈G₂，a，b∈Z_p，则e(g^a，h^b)＝e(g，h)^ab；

非退化性：h∈G₂\{1}，/>为G_T的单位元；

可计算性：h∈G₂，e(g，h)可以被高效地计算出来；

co-CDH问题[32-34]定义两个双线性群G₁，G₂，其中ord(G₁)＝ord(G₂)＝p(p为素数)，随机选取a∈Z_p，给出g∈G₁，h，一个算法A能够解出g^a，记此概率为Pr(A(g，h，h^a)＝^ga，a∈Z_p)；

co-CDH假设[32，35，36]对于多项式时间敌手，其能够解决co-CDH问题的概率可忽略，即Pr(PPT_A(g，h，h^a)＝g^a，a∈Z_p)＝negligible，即不存在多项式时间敌手能够解决co-CDH问题。

中国剩余定理[37-39]假设m₁，m₂，...，m_n两两互质，方程组：

有解，若χ₁，χ₂，...是此方程组的解，则有χ₁≡χ₂≡...≡x mod M，

IBLHS-RCG形式化定义：

IBLHS-RCG方案是一种只在指定组合者群体中可进行组合的线性同态签名方案，本方案由以下八个概率多项式时间算法组成。

系统初始化阶段(params，msk)←setup(1^λ，N)：本阶段由PKG运行，输入安全参数λ和增广向量维度N，算法生成公开参数params并广播至全网，秘密保留主私钥msk。

用户注册阶段uSk_ID←KeyExt(ID，msk)：本阶段由PKG运行，用户输入自己的身份ID，PKG输入msk，算法输出对应用户的私钥usk_ID返回用户。用户收到usk_ID后可通过可验证PKG的可信度。

组合者申请权限阶段(Q，b_ID)←quest(ID，q_ID)：本阶段由签名者Signer运行，申请组合者Combiner向Signer提交身份ID和访问级参数q_ID申请某一向量子空间V的签名组合权，Signer审核Combiner访问级达到V的密级，访问权限申请通过，返回(Q，b_ID)，使其成为签名的组合者。

签名阶段本阶段由Signer运行，Signer将数据包data进行拆分与增广，将基向量进行签名，并加上分级参数Q和会话密钥B，将基向量-签名对分为多个数据包分发给各指定组合者。

验证组合群体阶段{0，1}←GroupVerify({q_d，b_d}_d∈t，Q)：本阶段由指定组合者群体共同完成，通过中国剩余定理复原会话主密钥B，并输出1；如复原错误，指定组合者终止算法，并输出0。

部分公开验证阶段本阶段由指定组合者群体共同完成，这一阶段指定组合者群体可使用验证组合群体阶段解出的会话主密钥B验证签名的正确性，从而验证Signer的可信度。

组合阶段本阶段由各组合者独立完成，各组合者可组合自己所接收到的基向量-签名对，生成次级向量-签名对，并发送给接收方Receiver；

验证阶段Receiver在收到组合者发送的次级向量-签名对/>后可通过计算验证各组合者的可信度。

本方案中的前四个阶段中任何一个阶段不能诚实地执行或者组合者群体中存在未授权组合者都会导致GroupVerify算法的输出0，而签名者的不诚实行为也会使得PartialVerify算法的输出为0，而任意一个环节的不诚实运行都会导致Verify算法输出为0，因此本方案保证了签名者、组合者的任何恶意行为都无法通过验证，从而保证了签名的安全性与指定组合者的安全实现。

本方案是一种基于非对称双线性群的签名方案，如图1所示，该方案利用身份基线性同态签名技术，将签名者的身份和签名权利映射到群元素上，通过指定组合将不同交易服务的节点(node)数据指定签名后发送到互联网上(Internet)，由不同的服务平台(Platform)接收指定的数据，并为不同的用户群体提供分级的云服务。

本文针对电子交易所使用的IPv6网络提出了一种限制组合者群体的身份基线性同态签名方案。功能方面，本方案能够防止未经授权的子服务器进行任意组合，可以实现多方签名，并且可以控制次级签名者的身份和权限，以抗击网络中的组合攻击。如图1所示，方案利用身份基线性同态签名技术，将签名者的身份和签名权利映射到群元素上，通过指定组合将不同交易服务的节点(node)数据指定签名后发送到互联网上(Internet)，由不同的服务平台(Platform)接收指定的数据，并为不同的用户群体提供分级的云服务。效率方面，本方案使用了基于身份的签名体制，减小了共享秘密的通信成本。签名的生成与验证的计算开销与数据包大小无关，使得签名的生成与验证开销接近常数级。实现了组合前后签名长度不变，减小了组合签名后的验证开销和传输过程中的通信开销。且在Python Pairing-Based Cryptography Library(PyPBC)仿真模拟下，验证了方案的高效性。因此，本方案是高效且实用的。

以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。

Claims (8)

1.一种基于身份的能够限制组合者群体的同态签名方法，其特征在于，包括以下步骤：

初始化阶段：PKG根据安全参数λ和正整数N生成公共参数params和主私钥msk，其中N是增广向量的维度；

用户注册阶段：用户需要从PKG处获取私钥usk_ID，然后用户需要检查usk_ID的正确性；

组合者申请权限阶段：Signer会生成对应data的分级参数Q和通过审核的组合者的会话密钥b_ID；

签名阶段：首先Signer对需要签名的数据包data进行拆分与增广，然后再对基向量进行签名与并分发基向量-签名对给通过审核的Combiner们；

部分公开验证阶段：由于数据的分级保护机制，在这一阶段仅能在审核通过的组合者群体内部进行公开验证，不能让任意组合者验证；

组合阶段：组合者首先对自己掌握的基向量进行线性组合，然后再加上会话密钥；

验证阶段：Receiver在收到Combiner的后，首先使用B'解签名，然后验证签名的正确性。

2.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，所述初始化阶段的具体流程包括：

首先，PKG生成三个具有相同素数阶p(p>2^λ)的循环群G₁,G₂,G_T，这三个群满足一个非对称的双线性映射e:G₁×G₂→G_T；

其次，PKG随机选取G₁,G₂上的生成元g,h，再随机选取上的一个值s作为PKG的msk，计算h^s并将值作为PKG主公钥mpk；

然后，PKG选取四个抗碰撞的hash函数H₀: H₁:{0,1}^*×Z_N→G₁,H₂:{0,1}^*×Z_N×{0,1}^λ×G₂→Z_p,H₃:/>

最后，PKG将params：＝(p,G₁,G₂,G_T,e,g,h,mpk,H₀,H₁,H₂,H₃)广播至全网，并秘密保留msk。

3.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，用户注册阶段具体包括：

首先，用户发送身份ID给PKG，PKG随机选取上的一个值r，PKG计算R＝h^r,x＝r+s·H₀(ID,R)，并将(x,R)作为usk_ID通过安全信道发送给用户；

然后，用户检查等式是否成立，如果成立，将usk_ID保存至本地，如果不成立，在本地生成错误日志。

4.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，组合者申请权限阶段具体包括：

Signer随机生成会话主私钥Signer审核(ID,q_ID)是否符合这一data的密级，如果是，生成组合者的会话密钥b_ID＝B mod q_ID，记录下通过审核的组合者Combiner的q_ID；

当达到申请人数上限或已达申请权限的截止日期，Signer计算Q：＝∏_ID∈listq_ID，将(b_ID,Q)发送给对应的通过审核的Combiner，为描述方便，这里假设通过审核的组合者为t个，第d个组合者已拥有(b_d,Q,q_d)，

5.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，签名阶段包括：

第一步，Signer将data拆分为m个n维向量再将每个m_k增广为其中只有在k＝i的情况下v_ki＝1，其他情况v_ki的值始终为0，这里我们定义张成空间V:＝span(v₁,…,v_m)；

第二步，Signer为V打上文件标识符f_id∈{0,1}^λ，将Signer信息与V使用τ＝(f_id,R)进行绑定，之后对每一个基向量v_k进行签名，签名σ_k如下：

然后，Signer将({σ_k}_l,τ)发送给指定组合者，l表示组合者收到的基向量签名索引。

6.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，部分公开验证阶段：

首先，Combiner计算

然后，任意Combiner可验证任意是否成立，成立则表明签名者可信，反之终止算法。

7.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，所述组合阶段包括：

各组合者使用编码系数{c_k}_l对各自的进行如下操作，令

组合者计算出组合者将/>通过中间节点发送给接收方Receiver。

8.根据权利要求1所述的基于身份的能够限制组合者群体的同态签名方法，其特征在于，验证阶段包括：

Receiver首先使用B'解出由收集到的/>做组合计算后得到/> 为针对数据data的签名；

Receiver检验是否成立，成立则验证通过，反之，验证不通过。