WO2020191700A1 - 可连接环签名方法、装置、设备以及存储介质 - Google Patents

Abstract

一种可连接环签名方法、装置、设备以及存储介质，方法包括：获取安全参数和待加密信息(S101)；根据安全参数生成系统参数(S102)，其中，系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；根据系统参数生成公私钥对集合(S103)；其中，公私钥对集合包括公私钥对，公私钥对包括公钥和与公钥匹配的私钥；根据待加密信息、系统参数以及公私钥对集合确定符合预设结构的签名(S104)；其中，预设结构包括第一标签、签名元素、多幂以及内积论证；内积论证为第一向量的内积论证，第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。本方法在没有降低安全性的前提上，将签名的通信复杂度缩小为O(log 2(n))，降低了存储和通信成本。

Description

可连接环签名方法、装置、设备以及存储介质 技术领域

本发明涉及数字签名技术领域，尤其涉及一种可连接环签名方法、装置、设备以及存储介质。

背景技术

可连接环签名是一种基于环签名的技术，它可以在保证用户身份不被泄漏的情况下对消息进行签名，并增加了可连接性，这使得恶意用户的重复签名会被发现。基于上述特性，可连接环签名被用于加密货币中，在实现交易匿名的同时，还可以抵抗双重支付。

然而，在不使用双线性对的情况下，现有的可连接环签名的通信复杂度均为O(n)，导致签名的长度会随着用户的增加而线性增加，进而增加存储和通信成本。

发明内容

本发明提供一种可连接环签名方法、装置、设备以及存储介质，以解决由于现有的可连接环签名长度会随着用户的增加而线性增加，导致存储和通信成本增加的技术问题。

第一方面，本发明提供一种可连接环签名方法，所述方法包括：

获取安全参数和待加密信息；

根据所述安全参数生成系统参数，其中，所述系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；

根据所述系统参数生成公私钥对集合；其中，所述公私钥对集合包括公私钥对，所述公私钥对包括公钥和与所述公钥匹配的私钥；

根据所述待加密信息、所述系统参数以及所述公私钥对集合确定符合预设结构的签名；其中，所述预设结构包括第一标签、签名元素、多幂以及内积论证；所述内积论证为第一向量的内积论证，所述第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。

在本发明提供的一种可连接环签名方法中，根据安全参数生成系统参数，根据系统参数生成公私钥对集合，再根据待加密信息、系统参数以及公私钥对集合确定签名，使得签名包括第一标签、签名元素、多幂以及内积论证，在没有降低安全性的前提上，将签名的通信复杂度缩小为O(log ₂(n))，降低了存储和通信成本。

可选地，所述第一标签具体为：

其中，h _j为第j个哈希公钥，h _j＝H _G(pk _j),sk _j表示第j个私钥，H _G表示第一哈希函数，pk _j表示第j个私钥对应的公钥。

可选地，所述签名元素具体为：

r＝α-c _jsk _j

其中，α为随机数，

c′表示挑战，c′＝H _z(L,d)，H _z表示第二哈希函数，

g表示第一生成元，d表示第二标签，d＝H _z(pk ₁,pk ₂,...,pk _n,t,m)，n表示公私钥对集合中公私钥对的数量，c ₁,c ₂,...,c _j-1,c _j+1,...,c _n分别表示n-1个随机数，m表示输入消息。

可选地，所述多幂具体为：

其中，P表示多幂。

可选地，所述第一向量具体为：

W＝(pk _i ^dh _i,P,c′,C,E)

其中，W为第一向量，pk _i ^dh _i表示第三标签，C表示第一随机子向量，C＝(c ₁,c ₂,...,c _j-1,c _j,c _j+1,…,c _n)，E表示第二随机子向量，E＝(1,1,...,1)。

下面对可连接环签名装置进行介绍，其实现原理和技术效果与上述方法原理和技术效果类似，此处不再赘述。

第二方面，本发明提供一种可连接环签名装置，所述装置包括：

获取模块，用于获取安全参数和待加密信息；

生成模块，用于根据所述安全参数生成系统参数，其中，所述系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；

所述生成模块还用于根据所述系统参数生成公私钥对集合；其中，所述公私钥对集合包括公私钥对，所述公私钥对包括公钥和与所述公钥匹配的私钥；

确定模块，用于对所述待加密信息利用所述系统参数以及所述公私钥对集合确定符合预设结构的签名；其中，所述预设结构包括第一标签、签名元素、多幂以及内积论证；所述内积论证为第一向量的内积论证，所述第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。

可选地，所述第一标签具体为：

其中，h _j为第j个哈希公钥，h _j＝H _G(pk _j),sk _j表示第j个私钥，H _G表示第一哈希函数，pk _j表示第j个私钥对应的公钥。

可选地，所述签名元素具体为：

r＝α-c _jsk _j

其中，α为随机数，

c′表示挑战，c′＝H _z(L,d)，H _z表示第二哈希函数，

g表示第一生成元，d表示第二标签，d＝H _z(pk ₁,pk ₂,...，pk _n,t,m)，n表示公私钥对集合中公私钥对的数量，c ₁,c ₂,...,c _j-1,c _j+1,...,c _n分别表示n-1个随机数，m表示输入消息。

第三方面，本发明提供一种电子设备，包括：至少一个处理器和存储器；

其中，所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行第一方面以及可选方案涉及的可连接环签名方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现第一方面以及可选方案涉及的可连接环签名方法。

本发明提供一种可连接环签名方法、装置、设备以及存储介质，在本发明提供的可连接环签名方法中，根据待加密信息、系统参数以及公私钥对集合确定签名，使得签名包括第一标签、签名元素、多幂以及内积论证，在没有降低安全性的前提上，将签名的通信复杂度缩小为O(log ₂(n))，降低了存储和通信成本。本发明提供的可连接环签名方法应用于电子投票、数字货币、身份认证等领域，可以大大缩小上述领域通信数据。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明根据一示例性实施例示出的可连接环签名方法的流程示意图；

图2为本发明根据一示例性实施例示出的可连接环签名装置的结构示意图；

图3为本发明根据一示例性实施例示出的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种可连接环签名方法、装置、设备以及存储介质，以解决由于现有的可连接环签名长度会随着用户的增加而线性增加，导致存储和通信成本增加的技术问题。

图1为本发明根据一示例性实施例示出的可连接环签名方法的流程示意图。如图1所示，本实施例提供的可连接环签名方法包括如下步骤：

S101、获取安全参数和待加密信息。

更具体地，待加密信息和安全参数均为用户输入，用户根据待加密信息的保密程度、加密要求等因素确定安全参数。本实施例中不限于待加密信息的保密程度、加密要求等因素，也可以为其他影响待加密信息加密过程的因素。

S102、根据安全参数生成系统参数。

更具体地，根据安全参数生成系统参数，其中，系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元。安全参数生成系统参数的方式为现有技术中常用的方式。

例如：用户输入安全参数λ，输出系统参数pm。系统参数pm包含：第一哈希函数H _G，第二哈希函数H _z，第一生成元g和第二生成元h。

S103、根据系统参数生成公私钥对集合。

更具体地，根据系统参数生成公私钥对集合，其中，公私钥对集合包括多多组公私钥对，每一个公私钥对包括公钥和与公钥匹配的私钥。根据系统参数生成公私钥对的方式为现有技术中常用的方式。

例如：根据系统参数pm生成公钥pk _i和私钥sk _i。其中，1≤i≤n并公开公钥pk _i。

S104、根据待加密信息、系统参数以及公私钥对集合确定符合预设结构的签名。

更具体地，预设结构包括第一标签、签名元素、多幂以及内积论证；内积论证为第一向量的内积论证，第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。

在本实施例中，根据如下步骤获得符合预设结构的签名：

S201、通过n次第一哈希函数计算n个哈希公钥，具体根据公式(1)获得哈希公钥。

h _i＝H _G(pk _i)  (1)

其中，h _i表示第i个哈希公钥，H _G表示第一哈希函数，pk _i表示第i个公钥，sk _i表示第i个公钥pk _i对应的私钥。

S202、根据哈希公钥和私钥计算第一标签t，具体根据公式(2)获得第一标签。

其中，t表示第一标签，h _j表示第j个哈希公钥，sk _j表示第j个公钥pk _j对应的私钥。

S203、根据第二哈希函数、n个公钥、第一标签t以及待加密消息生成第二标签，具体根据公式(3)获得第二标签。

d＝H _z(pk ₁,pk ₂,...,pk _n,t,m)  (3)

其中，pk _i表示第i个公钥，t表示第一标签，m表示待加密消息，H _z表示第二哈希函数，d表示第二标签。

S204、根据哈希公钥、第一标签、第二哈希函数、系统参数以及公钥生成承诺，具体根据公式(4)获得承诺。

其中，L表示承诺，g表示系统参数中第一生成元，d表示第二标签，t表示 第一标签，α表示随机数，pk _i表示第i个公钥，h _i表示第i个哈希公钥，c _i表示第i个随机数。

S205、根据第二标签和承诺生成挑战，具体根据公式(5)获得挑战。

c′＝H _z(L,d)  (5)

其中，c′表示挑战，L表示承诺，d表示第二标签，H _z表示第二哈希函数。

S206、生成第一随机子向量，具体根据公式(6)获得第一随机子向量。

C＝(c ₁,c ₂,...,c _j-1,c _j,c _j+1,...,c _n)  (6)

其中，C表示第一随机子向量，

c ₁,c ₂,...,c _j-1,c _j+1,...,c _n为分别表示n-1个随机数。

S207、计算签名元素，具体根据公式(7)计算签名元素。

r＝α-c _jsk _j  (7)

其中，r表示签名元素，α表示随机数，

c ₁,c ₂,...,c _j-1,c _j+1,...,c _n为分别表示n-1个随机数，sk _j表示第j个私钥。

S208、计算多幂，具体根据公式(8)计算多幂。

其中，P表示多幂，g表示系统参数中第一生成元，d表示第二标签，t表示第一标签，r表示签名元素，L表示承诺。

S209、生成第二随机子向量，具体根据公式(9)生成第二随机子向量。

E＝(1,1,...1)  (9)

其中，E为n维向量。

S210、计算第一向量的内积论证。

其中，第一向量具体如公式(10)所示：

W＝(pk _i ^dh _i,P,c′,C,E)  (10)

其中，W为第一向量，pk _i ^dh _i表示第三标签，C表示第一随机子向量，E表示第二随机子向量，pk _i表示第i个公钥，d表示第二标签。

在利用现有的内积论证算法计算第一向量的内积论证π，

S211、输出签名σ＝(t,r,P,π)。

其中，t表示第一标签，r表示签名元素，P表示多幂，π表示第一向量W的内积论证。

其中，论证的大小为2 log ₂n+1。相应地，签名的大小为2 log ₂n+4。

下面对接收到签名进行验证并进行连接处理，根据签名σ，n个公钥pk ₁,pk ₂,...,pk _n以及待加密消息m，进行以下计算：

S301、通过n次第一哈希函数计算n个哈希公钥，即根据公式h _i＝H _G(pk _i)计算n个哈希公钥。

S302、通过第二哈希函数计算第二标签，即根据公式d＝H _z(pk ₁,pk ₂,...,pk _n,t,m)计算第二标签。

S303、计算承诺，即根据公式

计算承诺。

S304、通过第二哈希函数计算挑战，即根据公式c＝H _z(L,d)计算挑战。

S305、利用现有的内积论证算法，通过(pk _i ^dh _i,P,c)验证内积论证π是否正确。如果正确，接受签名；否则拒绝。

对两个签名σ ₁,σ ₂进行连接处理，验证两个签名σ ₁,σ ₂中的第一标签t ₁,t ₂是否相等，如果相等，连接两个签名；否则不连接。

在本实施例提供的方法中，根据待加密信息、系统参数以及公私钥对集合确定签名，使得签名包括第一标签、签名元素、多幂以及内积论证，在没有降低安全性的前提上，将签名的通信复杂度缩小为o(log ₂(n))，降低了存储和通信成本。

本发明提供一种对比实施例，在对比实施例中，对待加密信息采用如下步骤进行加密处理：

S401、S401的步骤同图1所示实施例中S101的步骤相同。

S402、S402的步骤同图1所示实施例中S102的步骤相同。

S403、生成签名。

具体为，输入消息m，n个公钥pk ₁,pk ₂,...,pk _n，一个私钥sk。其中，私钥sk所对应的公钥为pk _j。进行以下计算：

S501、计算标签t＝H _G(g) ^sk。

S502、生成一个随机数α，作为第一随机数。

S503、生成n-1个随机数c ₁,c ₂,...,c _j-1,c _j+1,...,c _n，作为第一向量。

S504、计算承诺

S505、通过第二哈希函数计算挑战

S506、计算

将c _j补充进入第一向量。

S507、计算签名元素r＝α-c _jsk。

S508、输出签名σ＝(t,r,c ₁,c ₂,...,c _n)。

并对签名进行验证：根据签名σ，n个公钥pk ₁,pk ₂,...,pk _n以及消息m进行以下计算：

S601、计算承诺

S602、通过第二哈希函数计算挑战

并验证

是否等于c。如果相等，接受签名；否则拒绝。

对两个签名σ ₁,σ ₂进行连接处理：验证两个签名σ ₁,σ ₂中的第一标签t ₁,t ₂是否相等，如果相等，连接两个签名；否则不连接。

在对比实施例中，输出签名σ＝(t,r,c ₁,c ₂,...,c _n)的大小为n+2。签名的大小随着环成员的增加而线性增加。然而，在本发明提供的可连接环签名方法中，签名的大小为2 log ₂n+4，随着环环成员的数量呈对数增长，在环成员足够多的情况下，本发明提供的可连接环签名方法极大缩小了签名的长度且没有降低安全性。敌手无法在环成员中找到可连接环签名的实际签名者，也不能伪造出一个有效的可连接环签名，具有匿名性和不可伪造性。

图2为本发明根据一示例性实施例示出的可连接环签名装置的结构示意图。如图2所示，本实施例提供的可连接环签名装置700包括：

获取模块701，用于获取安全参数和待加密信息；

生成模块702，用于根据所述安全参数生成系统参数，其中，所述系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；

所述生成模块702还用于根据所述系统参数生成公私钥对集合；其中，所述公私钥对集合包括公私钥对，所述公私钥对包括公钥和与所述公钥匹配的私钥；

确定模块703，用于对所述待加密信息利用所述系统参数以及所述公私钥对集合确定符合预设结构的签名；其中，所述预设结构包括第一标签、签名元素、多幂以及内积论证；所述内积论证为第一向量的内积论证，所述第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。

可选地，所述第一标签具体为：

其中，h _j为第j个哈希公钥，h _j＝H _G(pk _j),sk _j表示第j个私钥，H _G表示第一哈希函数，pk _j表示第j个私钥对应的公钥。

可选地，所述签名元素具体为：

r＝α-c _jsk _j

其中，α为随机数，

c′表示挑战，c′＝H _z(L,d)，H _z表示第二哈希函数，

g表示第一生成元，d表示第二标签，d＝H _z(pk ₁,pk ₂,...，pk _n,t,m)，n表示公私钥对集合中公私钥对的数量，c ₁,c ₂,...,c _j-1,c _j+1,...,c _n分别表示n-1个随机数，m表示输入消息。

总之，本申请提供的可连接环签名装置可用于执行上述可连接环签名方法，其内容和效果可参考方法部分，本申请对此不再赘述。

图3为本发明根据一示例性实施例示出的电子设备的结构示意图。如图3所示，本实施例的电子设备800包括：处理器801以及存储器802，其中，

存储器802，用于存储计算机执行指令；

处理器801，用于执行存储器存储的计算机执行指令，以实现上述实施例中接收设备所执行的各个步骤。具体可以参见前述方法实施例中的相关描述。

可选的，存储器802既可以是独立的，也可以跟处理器801集成在一起。

当存储器802独立设置时，该电子设备800还包括总线803，用于连接存储器802和处理器801。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上所述的可连接环签名方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1. 一种可连接环签名方法，其特征在于，所述方法包括：

   获取安全参数和待加密信息；

   根据所述安全参数生成系统参数，其中，所述系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；

   根据所述系统参数生成公私钥对集合；其中，所述公私钥对集合包括公私钥对，所述公私钥对包括公钥和与所述公钥匹配的私钥；

   根据所述待加密信息、所述系统参数以及所述公私钥对集合确定符合预设结构的签名；其中，所述预设结构包括第一标签、签名元素、多幂以及内积论证；所述内积论证为第一向量的内积论证，所述第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。
2. 根据权利要求1所述的方法，其特征在于，所述第一标签具体为：

   

   其中，h _j为第j个哈希公钥，h _j＝H _G(pk _j),sk _j表示第j个私钥，H _G表示第一哈希函数，pk _j表示第j个私钥对应的公钥。
3. 根据权利要求2所述的方法，其特征在于，所述签名元素具体为：

   r＝α-c _jsk _j

   其中，α为随机数，

   

   c′表示挑战，c′＝H _Z(L，d)，H _Z表示第二哈希函数，

   

   g表示第一生成元，d表示第二标签，d＝H _Z(pk ₁，pk ₂，...，pk _n，t，m)，n表示公私钥对集合中公私钥对的数量，c ₁，c ₂，...，c _j-1，c _j+1，...，c _n分别表示n-1个随机数，m表示输入消息。
4. 根据权利要求3所述的方法，其特征在于，所述多幂具体为：

   

   其中，P表示多幂。
5. 根据权利要求1至4任一所述的方法，其特征在于，所述第一向量具体为：

   W＝(pk _i ^dh _i，P，c′，C，E)

   其中，W为第一向量，pk _i ^dh _i表示第三标签，C表示第一随机子向量， C＝(c ₁，c ₂，...，c _j-1，c _j，c _j+1，…，c _n)，E表示第二随机子向量，E＝(1,1,...,1)。
6. 一种可连接环签名装置，其特征在于，所述装置包括：

   获取模块，用于获取安全参数和待加密信息；

   生成模块，用于根据所述安全参数生成系统参数，其中，所述系统参数包括：第一哈希函数、第二哈希函数、第一生成元以及第二生成元；

   所述生成模块还用于根据所述系统参数生成公私钥对集合；其中，所述公私钥对集合包括公私钥对，所述公私钥对包括公钥和与所述公钥匹配的私钥；

   确定模块，用于根据所述待加密信息、所述系统参数以及所述公私钥对集合确定符合预设结构的签名；其中，所述预设结构包括第一标签、签名元素、多幂以及内积论证；所述内积论证为第一向量的内积论证，所述第一向量包括第三标签、多幂、挑战、第一随机子向量以及第二随机子向量。
7. 根据权利要求6所述的装置，其特征在于，所述第一标签具体为：

   

   其中，h _j为第j个哈希公钥，h _j＝H _G(pk _j)，sk _j表示第j个私钥，H _G表示第一哈希函数，pk _j表示第j个私钥对应的公钥。
8. 根据权利要求7所述的装置，其特征在于，所述签名元素具体为：

   r＝α-c _jsk _j

   其中，α为随机数，

   

   c′表示挑战，c′＝H _Z(L，d)，H _Z表示第二哈希函数，

   

   g表示第一生成元，d表示第二标签，d＝H _Z(pk ₁，pk ₂，...，pk _n，t，m)，n表示公私钥对集合中公私钥对的数量，c ₁，c ₂，...，c _j-1，c _j+1，...，c _n分别表示n-1个随机数，m表示输入消息。
9. 一种电子设备，其特征在于，包括：至少一个处理器和存储器；

   其中，所述存储器存储计算机执行指令；

   所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如权利要求1至5任一项所述的可连接环签名方法。
10. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如权利要求1至5任一项所述的可连接环签名方法。

Images