WO2019174404A1

WO2019174404A1 - 一种群组数字签名、验证方法及其设备和装置

Info

Publication number: WO2019174404A1
Application number: PCT/CN2019/072434
Authority: WO
Inventors: 杜志强; 张国强; 颜湘; 李明; 万洪涛; 李琴
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2018-03-14
Filing date: 2019-01-18
Publication date: 2019-09-19
Also published as: CN110278073A; CN110278073B

Abstract

一种群组数字签名、验证方法及其设备和装置，方法包括：签名设备将凭证密钥中的第一参数、第二参数、第三参数和第四参数与第一随机数的乘积，分别作为第一签名参数、第二签名参数、第三签名参数和第四签名参数；根据签名设备的连接基参数，确定第五签名参数，并根据第五签名参数和签名设备的私钥，确定第六签名参数；根据第五签名参数、第六签名参数、连接基参数、待签名消息和第二随机数，确定第一中间参数；根据第一中间参数、第五签名参数、第三随机数和签名设备所属的群组对应的质数，确定第七签名参数；根据第七签名参数、签名设备的私钥、第三随机数和签名设备所属的群组对应的质数，确定第八签名参数；发送匿名签名消息。

Description

一种群组数字签名、验证方法及其设备和装置

本公开要求在2018年3月14日提交中国专利局、申请号为201810207503.4、发明名称为“一种群组数字签名、验证方法及其设备和装置”的中国专利申请的优先权，其全部内容通过引用结合在本公开中。

技术领域

本公开涉及信息安全技术领域，特别涉及一种群组数字签名、验证方法及其设备和装置。

背景技术

随着信息技术的发展，大量敏感信息通过网络进行传输，出于商业机密和保护用户隐私的目的，诸如电子投票、电子商务、匿名通信等网络安全应用，需要保护用户的身份信息。随着网络技术和电子商务的发展，许多具有隐私保护需求的电子商务活动，如电子彩票、电子现金和在线游戏等，成为新的研究领域。越来越多的信息安全和匿名业务的需求，使得匿名数字签名技术的研究和应用获得了快速发展。

传统的数字签名技术在进行验签时需获得签名者的身份信息，如商用密码算法SM2，不具备匿名性，因此无法实现对签名者隐私的保护。数字签名和匿名技术的结合形成了匿名数字签名技术。匿名数字签名技术包含两种：一种是可追踪签名者身份的匿名数字签名技术，其中，签名者身份的匿名性是可控制的，例如，存在一个可信权威中心可以在适当的时候揭示签名者的身份；另一种是无条件匿名数字签名技术，其中，签名者身份的匿名性是无条件安全的，没有任何方法能够揭示签名者的身份。

群组数字签名是一种能够追踪签名者身份的匿名数字签名技术。该技术中，群组中的任一成员可以使用密钥代表群组匿名地进行签名。群组数字签名主要用于保护签名者的匿名性，能够很好地隐藏群组的内部结构，可适用于政府管理、企业管理、电子商务以及军事等领域，比如电子现金、电子投标、车辆安全通信等。

群组数字签名技术中，在群组密钥生成之后，群组成员如何进行签名和验证，目前还没有行之有效的解决方案。

发明内容

本公开的目的就是为了解决上述问题，提供一种群组数字签名、验证方法及其设备和装置。

第一方面，本公开的一个实施例提供一种群组数字签名方法，包括：

签名设备从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备。

所述签名设备根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目。

所述签名设备根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁。

所述签名设备使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′，并发送所述匿名签名消息m′。

第二方面，本公开的一个实施例提供一种签名设备，设备包括：

第一处理模块，用于从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

第二处理模块，用于根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目；

第三处理模块，用于根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

第四处理模块，用于使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′。

发送模块，用于发送匿名签名消息m′。

综上所述，本申请实施例提供的第一方面和第二方面，用于生成群组成员基于发布设备颁发的凭证密钥，并对未签名消息进行匿名签名得到匿名签名消息，使得群组签名具有匿名性。

第三方面，本公开的一个实施例提供一种群组数字签名的验证方法，包括：

验证设备接收到签名设备发送的匿名签名消息m'；

所述验证设备验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件；

若不满足，则所述验证设备确定所述匿名签名消息m'无效；若满足，则所述验证设备验证所述匿名签名消息中的第五签名参数J是否满足所述第一约束关系；

若满足，则所述验证设备根据所述匿名签名消息m'中的第五签名参数J和第六签名参数K，确定所述签名设备的私钥f'，并计算所述私钥f'与所述第五签名参数J的乘积，并验证所述签名设备的私钥f'是否在所述验证设备的黑名单中；

若所述签名设备的私钥f'在所述验证设备的黑名单中，且所述乘积与所述第六签名参数K相等，则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备根据所述匿名签名消息m'中的第一签名参数A'、所述签名设备所属的群组的公钥Y，按照映射函数确定第一函数值

根据所述匿名签名消息m'中的第二签名参数B'和第二随机生成元P ₂，按照所述映射函数确定第二函数值

根据所述匿名签名消息m'中的第三签名参数C'和所述第二随机生成元P ₂，按照所述映射函数确定第三函数值

根据所述匿名签名消息m'中的第一签名参数A'、第四签名参数D'和所述签名设备所属的群组的公钥X，按照所述映射函数确定第四函数值

其中，所述第二随机生成元P ₂为满足所述映射函数的双线性群对中的第二双线性群中的随机生成元；

若所述第一函数值

不等于所述第二函数值

并且所述第三函数值

不等于所述第四函数值

则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备根据所述匿名签名消息m'中的第七签名参数c ₁、第八签名参数s ₁和所述签名设备所属的群组对应的质数q，按照第二约束条件确定第一验证参量t ₁；

若所述第一验证参量t ₁等于0，则所述验证设备确定所述匿名签名消息m'无效；若所述第一验证参量t ₁不等于0，所述验证设备确定所述匿名签名消息m'中的第七签名参数c ₁对应的验证参量c ₂；

若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁不等，则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备确定所述匿名签名消息m'有效。

第四方面，本公开的一个实施例提供一种验证设备，设备包括：

接收模块，用于接收到签名设备发送的匿名签名消息m'；

验证模块，用于验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件；

若不满足，则确定所述匿名签名消息m'无效；若满足，则验证所述匿名签名消息中的第五签名参数J是否满足所述第一约束关系；

若满足，则根据所述匿名签名消息m'中的第五签名参数J和第六签名参数K，确定所述签名设备的私钥f'，并计算所述私钥f'与所述第五签名参数J的乘积，并验证所述签名设备的私钥f'是否在所述验证设备的黑名单中；

若所述签名设备的私钥f'在所述验证设备的黑名单中，且所述乘积与所述第六签名参数K相等，则确定所述匿名签名消息m'无效；否则，所述验证设备根据所述匿名签名消息m'中的第一签名参数A'、所述签名设备所属的群组的公钥Y，按照映射函数确定第一函数值

若所述第一函数值

不等于所述第二函数值

并且所述第三函数值

不等于所述第四函数值

则确定所述匿名签名消息m'无效；否则，根据所述匿名签名消息m'中的第七签名参数c ₁、第八签名参数s ₁和所述签名设备所属的群组对应的质数q，按照第二约束条件确定第一验证参量t ₁；

若所述第一验证参量t ₁等于0，则确定所述匿名签名消息m'无效；若所述第一验证参量t ₁不等于0，确定所述匿名签名消息m'中的第七签名参数c ₁对应的验证参量c ₂；

若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁不等，则确定所述匿名签名消息m'无效；否则，确定所述匿名签名消息m'有效。

综上所述，本申请实施例提供的第三方面和第四方面中，接收到匿名签名消息的验证设备，对该匿名签名消息进行有效性验证，在确定该匿名签名消息有效后，读取未签名消息，以获知签名设备所发送的数据。

第五方面，本公开的一个实施例提供一种安全装置，装置包括：

第一功能模块，用于根据第五签名参数J和签名设备的私钥f，按照第二约束关系确定第六签名参数K；

第二功能模块，用于从有限域Z _p中选取第三随机数a；

第三功能模块，用于根据第一中间参数e ₁、所述第五签名参数J、所述第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；并根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

发送模块，用于发送所述第七签名参数c ₁和所述第八签名参数s ₁。

附图说明

图1为本公开实施例提供的一种群组数字签名方法的流程示意图；

图2为本公开实施例提供的一种群组数字签名的验证方法的流程示意图；

图3为本公开实施例1中的架构示意图；

图4为本公开实施例1中的群组签名、验证过程框架示意图；

图5为本公开实施例提供的一种签名设备的示意图；

图6为本公开实施例提供的一种验证设备的示意图；

图7为本公开实施例提供的一种安全装置的示意图。

具体实施方式

在使用群组公钥的匿名签名机制中，签名设备是群组中的一个群组成员。该群组只有一个群组公钥。每个群组成员都有一个唯一的群组成员签名密钥，它由群组成员的私钥和一个相应的成员证书组成。签名过程中，签名设备使用群组成员签名密钥对一个给定的消息创建群签名。在验证过程中，验证设备使用群组公钥来检查该签名是否是用群组成员的签名密钥签署的群签名，并且不能透露是用哪一个群组签名密钥创建的签名。如果验证设备验证签名是使用对应于该群组公钥的群组成员签名密钥创建的，则验证通过；否则，验证不通过。

使用群组公钥的匿名数字签名机制也被称为群签名机制(group signature mechanism)。这种类型的机制涉及群组成员以及群组成员发布设备(group membership issuer)等实体。如果需要追溯签名设备的身份，则群组成员打开设备(group membership opener)对于群签名机制是必需的。如果需要判断两个签名是否为同一签名设备所签，则群组签名连接设备(group signature linker)对于群签名机制是必需的。另外，在需要时，群签名机制中还可以撤销(revocation)群组成员的私钥或群组成员的证书。

相应的，在不同的群签名机制中，实现机制的群签名系统中的实体构成也可以不同。群签名系统通常至少包括如下实体：

群组成员设备：构成群组的群组成员；

签名设备：是生成数字签名的任一群组成员；签名设备拥有可区分标识符和群组成员签名密钥，群组成员签名密钥由群组私钥和成员证书组成；

验证设备：是验证数字签名的实体；

群组成员发布设备：是给签名设备发布群组成员证书的实体。

根据群签名机制的不同，在群签名系统中，如下实体是可选的：

群组成员打开设备：是可以识别签名设备的签名的实体；

群组签名连接设备：是能够连接同一个签名设备生成的两个签名的实体。

群组成员和群组成员发布设备都参与群组成员数字签名的密钥的生成过程。在该过程完成后，群组成员设备将拥有群组成员签名密钥；该群组成员发布设备将会知道成员证书和成员的可区分标识符，成员证书和成员的可区分标识符是相关的。该区分标识符的格式取决于群签名机制，并且区分标识符可以是也可以不是群组成员发布过程的输入。如果支持打开，则需要在签名时嵌入可区分标识符。

另外，群组成员发布设备应单独生成群组成员签名密钥，并把它发给群组成员设备。在这种情况下，群组成员的私钥和成员证书的归属是不公开的，并且成员和发布设备都将拥有群组成员签名密钥。

群组数字签名技术中，一个群组中可包括一个可信的群组管理员以及多个普通成员。群组内的所有成员拥有自己的私钥，并可共享群组的公钥等公共参数。群组管理员还可以拥有群组成员打开方密钥(α，β)以及群组成员列表，该列表中包括群组成员的身份信息等。群组管理员可基于打开方密钥(α，β)以及群组成员列表确定匿名签名的签名方身份。此时，群组管理员充当了群组成员打开设备的角色。

群组数字签名技术包括群组数字签名的密钥生成、数字签名产生和验证等过程。群组数字签名的密钥生成进一步包括密钥建立过程和群组成员的发布过程。本公开所关注的数字签名产生和验证方法是基于群组成员在群组成员发布过程中所获得的密钥(群组成员的发布过程由本公开申请人于同日申请的另一发明《一种群组数字签名的群组成员发布方法和设备》进行保护)来产生匿名签名并进行验证。本公开所产生的匿名签名，也可以由群组数字签名控制方法中的打开或连接方法(群组数字签名控制方法由本公开申请人于同日申请的另一发明《一种群组数字签名的控制方法和设备》进行保护)对匿名性进行控制。

其中，群组数字签名的密钥生成所包括的密钥建立过程和群组成员的发布过程如下：

一、密钥建立过程，包括：

1、群组密钥的建立过程。该过程由发布设备执行，具体如下：

首先，发布设备确定一个对称双线性群对(G ₁,G ₂)，其中，G ₁,G ₂的阶数都为p，且G ₁和G ₂满足映射函数

G _T为G ₁和G ₂中元素采用双线性运算得到的阶为p的群组。

然后，发布设备从G ₁中选择一个随机生成元P ₁，并从G ₂中选择一个随机生成元P ₂。

其中，发布设备确定三个hash函数：H:{0,1}*→G ₁，H ₁:{0,1}*→Z _p，H ₂:{0,1}*→Z _p，其中H ₁(第一哈希函数)和H ₂(第二哈希函数)符合SM2签名算法中对散列函数的选取。发布设备从有限域(Z _p)中，选择随机数，即x,y，并计算X＝[x]P ₂和Y＝[y]P ₂。

最后，发布设备输出如下参数：

－公共参数：G ₁，G ₂，G _T，

P1，P ₂，p，H，H1，H ₂。

－群公钥：PK，PK包括两个分量，即X和Y。

－群组密钥：x,y，每个群组成员的群组密钥包括x,y两个分量。

其中，群组成员可以从发布设备获取上述参数。

2、打开方的密钥建立过程。该过程由打开方执行，具体如下：

打开方从有限域(Z _p)中，选择随机数，即α，β，并计算W＝[α]P ₁+[β]P ₁，W＝U ^α，W＝V ^β。

其中，打开方的密钥包括如下参数：

－群组成员打开方公钥：opk＝(Q,V,W)。

－群组成员打开方密钥：α，β。

二、所述群组成员的发布过程。该过程由群组成员设备和发布设备共同完成，以产生群组数字签名的密钥。

在群组数字签名的密钥生成过程之后，本公开提供一种匿名数字签名产生和验证方法来产生匿名签名并能够对该签名进行验证。

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

下面结合说明书附图对本公开实施例作进一步详细描述。应当理解，此处所描述的实施例仅用于说明和解释本公开，并不用于限定本公开。

如图1所示的实施例中，提供了一种群组数字签名方法，所述方法包括：

S11、签名设备从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备。

一种可能的实现方式中，所述第一约束关系为：J＝H(bsn)，其中，J为所述第五签名参数，H()表示哈希函数，bsn为所述连接基参数。

一种可能的实现方式中，所述第二约束关系为：K＝[f]J，其中，K为所述第六签名参数，f为所述签名设备的私钥，[f]J表示f与J进行点乘运算。

S12、所述签名设备根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁。

其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，具体的，为发布设备从{0,1} ^t中选取的一个随机数，{0,1} ^t表示长度为t的二进制数的集合，该集合中的每个二进制数的每一位的取值为0或1。所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目。群组对应的质数为基于群组大小(即该群组中包含的群组成员的数目)确定的任意一个质数，该质数小于或等于群组大小。

一种可能的实现方式中，所述第三约束关系为：e ₁＝H ₁(J||K||bsn||m||n _V)，其中，e ₁为所述第一中间参数，H ₁()表示第一哈希函数，m为待签名消息，n _v为第二随机数，||表示以特定顺序的连接。

一种可能的实现方式中，所述第四约束关系为：c ₁＝e ₁+x _R mod q，其中，c ₁为所述第七签名参数，x _R表示R对应的曲线上的点在X轴上的分量，R＝[a]J，[a]J表示a与J进行点乘运算，a为所述第三随机数，mod表示取模运算。

S13、所述签名设备根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁。

一种可能的实现方式中，所述第五约束关系为：s ₁＝(1+f) ^-1·(a-c ₁·f)mod q。

S14、所述签名设备使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′，并发送所述匿名签名消息m′。

本公开实施例中，通过上述S11～S14的处理过程，生成了群组成员基于发布设备颁发的凭证密钥，对未签名消息进行匿名签名，从而得到匿名签名消息，使得群组签名具有匿名性。

一种可能的实现方式中，所述签名设备确定第六签名参数K之后，所述方法还包括：

所述签名设备根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁；根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂；根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃；其中，所述第四随机数为从所述有限域Z _p的一个子集

中选取的，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元。

所述匿名签名消息中还包括所述第一验证参数C ₁、所述第二验证参数C ₂和所述第三验证参数C ₃。

一种可能的实现方式中，所述第六约束关系为：C ₁＝[r _α]Q，其中，C ₁为所述第一验证参数，r _α为所述第四随机数中的第一分量，[r _α]Q表示r _α与Q进行点乘运算。

一种可能的实现方式中，所述第七约束关系为：

其中，C ₂为所述第二验证参数，r _β为所述第四随机数中的第二分量，

表示r _β与V进行点乘运算。

一种可能的实现方式中，所述第八约束关系为：C ₃＝[r _α+r _β]W+F，其中，C ₃为所述第三验证参数，F为所述第一匿名量，F＝[f]P ₁，f为所述群组成员的私钥，P ₁为所述第一随机生成元。

如图2所示实施例中，提供了一种群组数字签名的验证方法，所述方法包括：

S201、验证设备接收到签名设备发送的匿名签名消息m'。

其中，验证设备为接收到签名设备发送的匿名签名消息的设备，验证设备可以是签名设备所属的群组中的一个设备，也可以是其他群组中的一个设备，本公开实施例不对验证设备进行限定。

S202、所述验证设备验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件。

一种可能的实现方式中，所述第一约束条件为：c ₁∈[1,q-1]且s ₁∈[1,q-1]，其中，c ₁为所述第七签名参数，s ₁为所述第八签名参数，q为所述签名设备所属的群组对应的质数。

S203、若不满足，则所述验证设备确定所述匿名签名消息m'无效；

S204、若满足，则所述验证设备验证所述匿名签名消息中的第五签名参数J是否满足所述第一约束关系；

S205、若所述签名设备的私钥f'在所述验证设备的黑名单中，且所述乘积与所述第六签名参数K相等，则所述验证设备确定所述匿名签名消息m'无效；

S206、若所述签名设备的私钥f'不在所述验证设备的黑名单中，所述验证设备根据所述匿名签名消息m'中的第一签名参数A'、所述签名设备所属的群组的公钥Y，按照映射函数确定第一函数值

其中，所述第二随机生成元P ₂为满足所述映射函数的双线性群对中的第二双线性群中的随机生成元。

S207、若所述第一函数值

不等于所述第二函数值

并且所述第三函数值

不等于所述第四函数值

则所述验证设备确定所述匿名签名消息m'无效；

S208、若所述第一函数值

等于所述第二函数值

或者所述第三函数值

等于所述第四函数值

所述验证设备根据所述匿名签名消息m'中的第七签名参数c ₁、第八签名参数s ₁和所述签名设备所属的群组对应的质数q，按照第二约束条件确定第一验证参量t ₁。

一种可能的实现方式中，所述第二约束条件为：t ₁＝c ₁+s ₁mod q，其中，t ₁为所述第一验证参量，mod表示取模运算。

S209、若所述第一验证参量t ₁等于0，则所述验证设备确定所述匿名签名消息m'无效。

S210、若所述第一验证参量t ₁不等于0，所述验证设备确定所述匿名签名消息m'中的第七签名参数c ₁对应的验证参量c ₂；

S211、若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁不等，则所述验证设备确定所述匿名签名消息m'无效；

S212、若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁相等，所述验证设备确定所述匿名签名消息m'有效。

本公开实施例中，通过上述S201～S211，实现了接收到匿名签名消息的验证设备，对该匿名签名消息进行有效性验证，在确定该匿名签名消息有效后，读取未签名消息，以获知签名设备所发送的数据。

一种可能的实现方式中，所述验证设备接收到验证设备发送的匿名签名消息，还包括：

所述验证设备接收所述签名设备发送的用于标识匿名签名消息对应的签名设备的连接基参数bsn和第二随机数n _v，所述第二随机数n _v为所述签名设备从设定长度的二进制随机数集合中选取的。

进一步，所述验证设备确定所述匿名签名消息中的第七签名参数c ₁对应的验证参量c ₂，包括：

所述验证设备根据所述匿名签名消息m'、所述连接基参数bsn，所述匿名签名消息m'中的第五签名参数J、第六签名参数K以及所述第二随机数n _v，确定第二验证参量e ₂；

所述验证设备根据所述匿名签名消息m'中的第五签名参数J、第六签名参数K、第八签名参数s ₁，以及所述第一验证参量t ₁，确定第二中间参数

所述验证设备根据所述第二验证参量e ₂和所述第二中间参数

确定所述第七签名参数c ₁对应的验证参量c ₂。

一种可能的实现方式中，所述第二验证参量e ₂根据以下公式计算得到：e ₂＝H ₁(J||K||bsn||m'||n _V)，其中，H ₁()表示第一哈希函数，J为所述第五签名参数，K为所述第六签名参数，bsn为所述连接基参数，m'为所述匿名签名消息，n _v为所述第二随机数。

一种可能的实现方式中，所述第三中间参数

根据以下公式计算得到：

其中，

表示[s ₁]J+[t ₁]K确定的曲线上的点在X轴上的分量，

表示[s ₁]J+[t ₁]K确定的曲线上的点在Y轴上的分量。

一种可能的实现方式中，所述第七签名参数c ₁对应的验证参量c ₂根据以下公式计算得到：

下面通过三个具体实施例，对本公开实施例提供的一种群组数字签名的密钥验证方法进行详细说明。

实施例1：本实施例中群组中的群组成员(即签名设备)包含安全模块(也称为安全芯片)，安全模块能够支持签名设备所有的计算能力，群组成员签名或验证过程需要在签名设备/验证设备和发布设备之间建立一个安全的鉴别通信信道，如图3所示。本实施例中具体的签名过程如下：

1)安全模块拥有群组成员的私钥f和群组成员的凭证密钥(A,B,C,D)。安全模块从有限域Z _p中选取随机数r′，并计算A′＝[r′]A，B′＝[r′]B，C′＝[r′]C和D′＝[r′]D；以及计算J＝H(bsn)；

2)安全模块计算K＝[f]J。

3)安全模块从Z _p的一个子集

中随机选取两个数(r _α,r _β)。

4)安全模块计算C ₁＝[r _α]Q,C ₂＝[r _β]V，C ₃＝[r _α+r _β]W+F。

5)安全模块从Z _p中选取一个数作为随机数a。

6)安全模块计算R＝[a]J；(x _R,y _R)←R和e ₁＝H ₁(J||K||bsn||m||n _V)，其中，R 为曲线上的一个点，其在X轴上的分量记为x _R，其在Y轴上的分量记为y _R。

7)安全模块计算c ₁＝e ₁+x _R mod q和s ₁＝(1+f) ^-1·(a-c ₁·f)mod q。

8)安全模块发送(c ₁，s ₁)。

9)安全模块输出匿名签名消息δ＝(A',B',C',D',K,J,C ₁,C ₂,C ₃,c ₁,s ₁,n _V)。

上述过程可定义为基于SM2的群组签名和验证协议，基于签名协议框架，输入的是未签名消息、签名设备的连接基、群组成员的签名密钥(包括群组成员的私钥和群组成员的凭证密钥)、群组公共参数和群组公钥，输出的是群组签名的消息，包括匿名签名消息、消息(即未签名的消息)和连接基等；基于验证协议框架，输入的是群组签名的消息、群组公钥和群组公共参数，输出的是匿名签名消息的验证结果，即有效或无效，如图4所示。

实施例2：本实施例中，群组中的群组成员(即签名设备)中不包含安全模块(也称为安全芯片)，签名设备本身能够支持该签名设备所有的计算能力，群组成员签名或验证过程需要在签名设备/验证设备和发布设备之间建立一个安全的鉴别通信信道，本实施例中具体的签名处理过程与实施例1相似，只是执行主体改为签名设备本身，具体参见实施例1中发布设备的相关描述。

实施例3：本实施例中群组中的群组成员(即签名设备)中包含安全模块(也称为安全芯片)，但安全模块具有的计算能力有限，协议算法设计时安全模块只负责部分处理，群组成员签名或验证过程需要在签名设备/验证设备和发布设备之间建立一个安全的鉴别通信信道，本实施例中具体的签名处理过程为：

1)安全模块拥有群组成员的私钥f同时签名设备本身拥有群组成员的凭证密钥(A,B,C,D)。签名设备从有限域Z _p中选取随机数r′，并计算A′＝[r′]A，B′＝[r′]B，C′＝[r′]C和D′＝[r′]D；以及计算J＝H(bsn)。

2)签名设备发送J给安全模块。

3)安全模块计算K＝[f]J，并发送K给签名设备。

4)签名设备发送F给安全模块。

5)签名设备从Z _p的一个子集

中随机选取两个数(r _α,r _β)。

6)签名设备计算C ₁＝[r _α]Q,C ₂＝[r _β]V，C ₃＝[r _α+r _β]W+F。

7)安全模块从Z _p中选取一个数作为随机数a。

8)安全模块发送随机数a给签名设备。

9)签名设备计算R＝[a]J；(x _R,y _R)←R和e ₁＝H ₁(J||K||bsn||m||n _V)，其中，R为曲线上的一个点，其在X轴上的分量记为x _R，其在Y轴上的分量记为y _R。

10)签名设备发送x _R，e ₁给安全模块。

11)安全模块计算c ₁＝e ₁+x _R mod q和s ₁＝(1+f) ^-1·(a-c ₁·f)mod q。

12)安全模块发送(c ₁，s ₁)给签名设备。

13)签名设备输出匿名签名消息δ＝(A',B',C',D',K,J,C ₁,C ₂,C ₃,c ₁,s ₁,n _V)。

需要说明的是，在实施例3中，签名设备可以包括主签名模块和辅助签名模块，其中，安全模块又可称为辅助签名模块。即，在步骤1)-13)中，辅助签名模块执行安全模块参与执行的步骤，其余步骤由主签名模块来完成。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介质中，当存储的软件程序被调用时，执行上述方法步骤。当然，上述方法流程也可以硬件实现，包括但不限于固化在芯片或IP核中。

综上所述，本公开实施例提供一种群组数字签名及其验证方法、设备，用于生成群组成员基于发布设备颁发的凭证密钥，并对未签名消息进行匿名签名得到匿名签名消息，使得群组签名具有匿名性。并且，接收到匿名签名消息的验证设备，对该匿名签名消息进行有效性验证，在确定该匿名签名消息有效后，读取未签名消息，以获知签名设备所发送的数据。

基于同一发明构思，本公开实施例中还提供了一种签名设备，如图5所示实施例中，所述设备包括：

第一处理模块51，用于从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

第二处理模块52，用于根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目；

第三处理模块53，用于根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

第四处理模块54，用于使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′；

发送模块55，用于发送匿名签名消息m′。

一种可能的实施方式中，所述设备还包括：

第五处理模块56，用于根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁；

根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂；

根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃；其中，所述第四随机数为从所述有限域Z _p的一个子集

中选取的，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；所述匿名签名消息中还包括所述第一验证参数C ₁、所述第二验证参数C ₂和所述第三验证参数C ₃。

基于同一发明构思，本公开实施例中还提供了一种验证设备，由于该设备解决问题的原理与上述图2所示的方法实施例相似，因此该设备的实施可以参见方法的实施，重复之处不再赘述。

图6所示实施例中，提供了一种验证设备，所述设备包括：

接收模块61，用于接收到签名设备发送的匿名签名消息m'；

验证模块62，用于验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件；

若所述第一函数值

不等于所述第二函数值

并且所述第三函数值

不等于所述第四函数值

一种可能的实现方式中，所述接收模块61还用于：

接收所述签名设备发送的用于标识匿名签名消息对应的签名设备的连接基参数bsn和第二随机数n _v，所述第二随机数n _v为所述签名设备从设定长度的二进制随机数集合中选取的。

一种可能的实现方式中，所述验证模块62具体用于：

根据所述匿名签名消息m'、所述连接基参数bsn，所述匿名签名消息m'中的第五签名参数J、第六签名参数K以及所述第二随机数n _v，确定第二验证参量e ₂；

根据所述匿名签名消息m'中的第五签名参数J、第六签名参数K、第八签名参数s ₁，以及所述第一验证参量t ₁，确定第二中间参数

根据所述第二验证参量e ₂和所述第二中间参数

确定所述第七签名参数c ₁对应的验证参量c ₂。

基于同一发明构思，本公开实施例中还提供了一种对应安全模块/安全芯片的安全装置，由于该装置解决问题的原理与上述图2所示的方法实施例相似，因此该设备的实施可以参见方法的实施，重复之处不再赘述。

图7所示实施例中，提供了一种安全装置，所述装置包括：

第一功能模块71，用于根据第五签名参数J和签名设备的私钥f，按照第二约束关系确定第六签名参数K；

第二功能模块72，用于从有限域Z _p中选取第三随机数a；

第三功能模块73，用于根据第一中间参数e ₁、所述第五签名参数J、所述第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；并根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

发送模块74，用于发送所述第七签名参数c ₁和所述第八签名参数s ₁。

一种可能的实现方式中，所述装置还包括：

第四功能模块75，用于从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

第五功能模块76，用于从所述Z _p的一个子集

中随机选取第四随机数(r _α,r _β)，以及根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁，根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂，根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

其中，所述第三功能模块73，还用于根据所述第五签名参数J和所述第三随机数a确定x _R，其中，x _R表示R对应的曲线上的点在X轴上的分量，R＝[a]J，[a]J表示a与J进行点乘运算；并根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；还用于输出匿名签名消息。

一种可能的实现方式中，所述装置还包括：

接收模块77，用于接收所述签名设备发送的第五签名参数J，所述第五签名参数J是所述签名设备根据连接基参数bsn，按照第一约束关系确定的；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

其中，

发送模块74，还用于将所述第六签名参数K发送给所述签名设备；

接收模块77，还用于接收所述签名设备发送的第一匿名量F，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

发送模块74，还用于将所述第三随机数a发送给所述签名设备；

接收模块77，还用于接收所述签名设备发送的所述第三随机数a与所述第五签名参数J的乘积对应的曲线上的点R在X轴上的分量x _R以及第一中间参数e ₁；

发送模块74，还具体用于将所述第七签名参数c ₁和所述第八签名参数s ₁发送给所述签名设备。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本公开的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本公开范围的所有变更和修改。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。

Claims

一种群组数字签名方法，其特征在于，所述方法包括：

签名设备从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

所述签名设备根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目；

所述签名设备根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

所述签名设备使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′，并发送所述匿名签名消息m′。
如权利要求1所述的方法，其特征在于：

所述第一约束关系为：J＝H(bsn)，其中，J为所述第五签名参数，H()表示哈希函数，bsn为所述连接基参数；

所述第二约束关系为：K＝[f]J，其中，K为所述第六签名参数，f为所述签名设备的私钥，[f]J表示f与J进行点乘运算；

所述第三约束关系为：e ₁＝H ₁(J||K||bsn||m||n _V)，其中，e ₁为所述第一中间参数，H ₁()表示第一哈希函数，m为所述待签名消息，n _v为所述第二随机数，||表示以特定顺序的连接；

所述第四约束关系为：c ₁＝e ₁+x _Rmod q，其中，c ₁为所述第七签名参数，x _R表示R对应的曲线上的点在X轴上的分量，R＝[a]J，[a]J表示a与J进行点乘运算，a为所述第三随机数，mod表示取模运算；

所述第五约束关系为：s ₁＝(1+f) ^-1·(a-c ₁·f)mod q，其中，s ₁为所述第八签名参数。
如权利要求1～2任一项所述的方法，其特征在于，所述签名设备确定第六签名参数K之后，所述方法还包括：

所述签名设备根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁；根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂；根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃；其中，所述第四随机数为从所述有限域Z _p的一个子集
中选取的，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

所述匿名签名消息m′中还包括所述第一验证参数C ₁、所述第二验证参数C ₂和所述第三验证参数C ₃。
如权利要求3所述的方法，其特征在于：

所述第六约束关系为：C ₁＝[r _α]Q，其中，C ₁为所述第一验证参数，r _α为所述第四随机数中的第一分量，[r _α]Q表示r _α与Q进行点乘运算；

所述第七约束关系为：
其中，C ₂为所述第二验证参数，r _β为所述第四随机数中的第二分量，
表示r _β与V进行点乘运算；

所述第八约束关系为：C ₃＝[r _α+r _β]W+F，其中，C ₃为所述第三验证参数，F为所述第一匿名量，F＝[f]P ₁，f为所述群组成员的私钥，P ₁为所述第一随机生成元。
一种群组数字签名的验证方法，其特征在于，所述方法包括：

验证设备接收到签名设备发送的匿名签名消息m'；

所述验证设备验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件；

若所述第七签名参数c ₁和/或第八签名参数s ₁不满足所述第一约束条件，则所述验证设备确定所述匿名签名消息m'无效；否则所述验证设备验证所述匿名签名消息m'中的第五签名参数J是否满足所述第一约束关系；

若所述第五签名参数J满足所述第一约束条件，则所述验证设备根据所述匿名签名消息m'中的第五签名参数J和第六签名参数K，确定所述签名设备的私钥f'，并计算所述私钥f'与所述第五签名参数J的乘积，并验证所述签名设备的私钥f'是否在所述验证设备的黑名单中；

若所述签名设备的私钥f'在所述验证设备的黑名单中，且所述乘积与所述第六签名参数K相等，则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备根据所述匿名签名消息m'中的第一签名参数A'、所述签名设备所属的群组的公钥Y，按照映射函数确定第一函数值
根据所述匿名签名消息m'中的第二签名参数B'和第二随机生成元P ₂，按照所述映射函数确定第二函数值
根据所述匿名签名消息m'中的第三签名参数C'和所述第二随机生成元P ₂，按照所述映射函数确定第三函数值
根据所述匿名签名消息m'中的第一签名参数A'、第四签名参数D'和所述签名设备所属的群组的公钥X，按照所述映射函数确定第四函数值
其中，所述第二随机生成元P ₂为满足所述映射函数的双线性群对中的第二双线性群中的随机生成元；

若所述第一函数值
不等于所述第二函数值
并且所述第三函数值
不等于所述第四函数值
则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备根据所述匿名签名消息m'中的第七签名参数c ₁、第八签名参数s ₁和所述签名设备所属的群组对应的质数q，按照第二约束条件确定第一验证参量t ₁；

若所述第一验证参量t ₁等于0，则所述验证设备确定所述匿名签名消息m'无效；若所述第一验证参量t ₁不等于0，所述验证设备确定所述匿名签名消息m'中的第七签名参数c ₁对应的验证参量c ₂；

若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁不等，则所述验证设备确定所述匿名签名消息m'无效；否则，所述验证设备确定所述匿名签名消息m'有效。
如权利要求5所述的方法，其特征在于，还包括：

所述验证设备接收所述签名设备发送的用于标识匿名签名消息对应的签名设备的连接基参数bsn和第二随机数n _v，所述第二随机数n _v为所述签名设备从设定长度的二进制随机数集合中选取的；

所述验证设备确定所述匿名签名消息中的第七签名参数c ₁对应的验证参量c ₂，包括：

所述验证设备根据所述匿名签名消息m'、所述连接基参数bsn，所述匿名签名消息m'中的第五签名参数J、第六签名参数K以及所述第二随机数n _v，确定第二验证参量e ₂；

所述验证设备根据所述匿名签名消息m'中的第五签名参数J、第六签名参数K、第八签名参数s ₁，以及所述第一验证参量t ₁，确定第二中间参数

所述验证设备根据所述第二验证参量e ₂和所述第二中间参数
确定所述第七签名参数c ₁对应的验证参量c ₂。
如权利要求6所述的方法，其特征在于：

所述第二验证参量e ₂根据以下公式计算得到：

e ₂＝H ₁(J||K||bsn||m'||n _V)，其中，H ₁()表示第一哈希函数，J为所述第五签名参数，K为所述第六签名参数，bsn为所述连接基参数，m'为所述匿名签名消息，n _v为所述第二随机数；

所述第三中间参数
根据以下公式计算得到：

其中，
表示[s ₁]J+[t ₁]K确定的曲线上的点在X轴上的分量，
表示[s ₁]J+[t ₁]K确定的曲线上的点在Y轴上的分量；

所述第七签名参数c ₁对应的验证参量c ₂根据以下公式计算得到：
如权利要求5所述的方法，其特征在于：

所述第一约束条件为：c ₁∈[1,q-1]且s ₁∈[1,q-1]，其中，c ₁为所述第七签名参数，s ₁为所述第八签名参数，q为所述签名设备所属的群组对应的质数；

所述第二约束条件为：t ₁＝c ₁+s ₁mod q，其中，t ₁为所述第一验证参量，mod表示取模运算。
一种签名设备，其特征在于，所述设备包括：

第一处理模块，用于从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J，并根据所述第五签名参数J和所述签名设备的私钥f，按照第二约束关系确定第六签名参数K；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

第二处理模块，用于根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；根据所述第一中间参数e ₁、所述第五签名参数J、第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；其中，所述第二随机数n _v为从设定长度的二进制随机数集合中选取的，所述第三随机数a为从所述有限域Z _p中选取的，所述质数q小于或等于所述签名设备所属的群组中的群组成员的数目；

第三处理模块，用于根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

第四处理模块，用于使用所述第一签名参数A'、所述第二签名参数B'、所述第三签名参数C'、所述第四签名参数D'、所述第五签名参数J、所述第六签名参数K、所述第七签名参数c ₁和所述第八签名参数s ₁对所述待签名消息m进行签名，得到匿名签名消息m′；

发送模块，用于发送所述匿名签名消息m′。
如权利要求9所述的设备，其特征在于，所述设备还包括：

第五处理模块，用于根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁；根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂；根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃；其中，所述第四随机数为从所述有限域Z _p的一个子集
中选取的，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

所述匿名签名消息中还包括所述第一验证参数C ₁、所述第二验证参数C ₂和所述第三验证参数C ₃。
一种验证设备，其特征在于，所述设备包括：

接收模块，用于接收到签名设备发送的匿名签名消息m'；

验证模块，用于验证所述匿名签名消息m'中的第七签名参数c ₁或第八签名参数s ₁是否满足第一约束条件；

若所述第七签名参数c ₁和/或第八签名参数s ₁不满足所述第一约束条件，则确定所述匿名签名消息m'无效；否则验证所述匿名签名消息中的第五签名参数J是否满足所述第一约束关系；

若所述第五签名参数J满足所述第一约束条件，则根据所述匿名签名消息m'中的第五签名参数J和第六签名参数K，确定所述签名设备的私钥f'，并计算所述私钥f'与所述第五签名参数J的乘积，并验证所述签名设备的私钥f'是否在所述验证设备的黑名单中；

若所述签名设备的私钥f'在所述验证设备的黑名单中，且所述乘积与所述第六签名参数K相等，则确定所述匿名签名消息m'无效；否则，根据所述匿名签名消息m'中的第一签名参数A'、所述签名设备所属的群组的公钥Y，按照映射函数确定第一函数值
根据所述匿名签名消息m'中的第二签名参数B'和第二随机生成元P ₂，按照所述映射函数确定第二函数值
根据所述匿名签名消息m'中的第三签名参数C'和所述第二随机生成元P ₂，按照所述映射函数确定第三函数值
根据所述匿名签名消息m'中的第一签名参数A'、第四签名参数D'和所述签名设备所属的群组的公钥X，按照所述映射函数确定第四函数值
其中，所述第二随机生成元P ₂为满足所述映射函数的双线性群对中的第二双线性群中的随机生成元；

若所述第一函数值
不等于所述第二函数值
并且所述第三函数值
不等于所述第四函数值
则确定所述匿名签名消息m'无效；否则，根据所述匿名签名消息m'中的第七签名参数c ₁、第八签名参数s ₁和所述签名设备所属的群组对应的质数q，按照第二约束条件确定第一验证参量t ₁；

若所述第一验证参量t ₁等于0，则确定所述匿名签名消息m'无效；若所述第一验证参量t ₁不等于0，确定所述匿名签名消息m'中的第七签名参数c ₁对应的验证参量c ₂；

若所述第七签名参数对应的验证参量c ₂与所述第七签名参数c ₁不等，则确定所述匿名签名消息m'无效；否则，确定所述匿名签名消息m'有效。
如权利要求11所述的设备，其特征在于，所述接收模块还用于：

接收所述签名设备发送的用于标识匿名签名消息对应的签名设备的连接基参数bsn和第二随机数n _v，所述第二随机数n _v为所述签名设备从设定长度的二进制随机数集合中选取的；

所述验证模块具体用于：

根据所述匿名签名消息m'、所述连接基参数bsn，所述匿名签名消息m'中的第五签名参数J、第六签名参数K以及所述第二随机数n _v，确定第二验证参量e ₂；

根据所述匿名签名消息m'中的第五签名参数J、第六签名参数K、第八签名参数s ₁，以及所述第一验证参量t ₁，确定第二中间参数

根据所述第二验证参量e ₂和所述第二中间参数
确定所述第七签名参数c ₁对应的验证参量c ₂。
一种安全装置，其特征在于，所述装置包括：

第一功能模块，用于根据第五签名参数J和签名设备的私钥f，按照第二约束关系确定第六签名参数K；

第二功能模块，用于从有限域Z _p中选取第三随机数a；

第三功能模块，用于根据第一中间参数e ₁、所述第五签名参数J、所述第三随机数a和所述签名设备所属的群组对应的质数q，按照第四约束关系确定第七签名参数c ₁；并根据所述第七签名参数c ₁、所述私钥f、所述第三随机数a和所述质数q，按照第五约束关系确定第八签名参数s ₁；

发送模块，用于发送所述第七签名参数c ₁和所述第八签名参数s ₁。
如权利要求13所述的装置，其特征在于，所述装置还包括：

第四功能模块，用于从有限域Z _p中选择第一随机数r'，并分别将发布设备为所述签名设备生成的凭证密钥中的第一参数A、第二参数B、第三参数C和第四参数D与所述第一随机数r'的乘积，作为第一签名参数A'、第二签名参数B'、第三签名参数C'和第四签名参数D'；根据连接基参数bsn，按照第一约束关系确定第五签名参数J；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

第五功能模块，用于从所述Z _p的一个子集
中随机选取第四随机数(r _α,r _β)，以及根据打开方公钥中的第一维公钥Q和第四随机数中的第一分量r _α，按照第六约束关系确定第一验证参数C ₁，根据打开方公钥中的第二维公钥V和所述第四随机数中的第二分量r _β，按照第七约束关系确定第二验证参数C ₂，根据打开方公钥中的第三维公钥W、所述第四随机数以及第一匿名量F，按照第八约束关系确定第三验证参数C ₃，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

其中，所述第三功能模块，还用于根据所述第五签名参数J和所述第三随机数a确定x _R，其中，x _R表示R对应的曲线上的点在X轴上的分量，R＝[a]J，[a]J表示a与J进行点乘运算；并根据所述第五签名参数J、所述第六签名参数K、所述连接基参数bsn、待签名消息m和第二随机数n _v，按照第三约束关系确定第一中间参数e ₁；还用于输出匿名签名消息。
如权利要求13所述的装置，其特征在于，所述装置还包括：

接收模块，用于接收所述签名设备发送的第五签名参数J，所述第五签名参数J是所述签名设备根据连接基参数bsn，按照第一约束关系确定的；其中，所述连接基参数bsn用于标识与匿名签名消息对应的签名设备；

发送模块，还用于将所述第六签名参数K发送给所述签名设备；

接收模块，还用于接收所述签名设备发送的第一匿名量F，所述第一匿名量F为所述群组成员的私钥f和第一随机生成元P ₁的乘积，所述第一随机生成元P ₁为满足设定映射函数的双线性群对中的第一双线性群中的随机生成元；

发送模块，还用于将所述第三随机数a发送给所述签名设备；

接收模块，还用于接收所述签名设备发送的所述第三随机数a与所述第五签名参数J的乘积对应的曲线上的点R在X轴上的分量x _R以及第一中间参数e ₁；

发送模块，还具体用于将所述第七签名参数c ₁和所述第八签名参数s ₁发送给所述签名设备。
一种设备，包括存储器和处理器，其中：

所述存储器，用于存储计算机指令；

所述处理器，用于执行所述计算机指令，实现如权利要求1-4中任一项所述的方法。
一种设备，包括存储器和处理器，其中：

所述存储器，用于存储计算机指令；

所述处理器，用于执行所述计算机指令，实现如权利要求5-8中任一项所述的方法。
一种机器可读的非易失性存储介质，其上存储有计算机指令，所述计算机指令被处理器执行时实现如权利要求1-4中任一项所述的方法。
一种机器可读的非易失性存储介质，其上存储有计算机指令，所述计算机指令被处理器执行时实现如权利要求5-8中任一项所述的方法。