[发明专利]基于匿名广播加密的可链接环签名方法

摘要

本发明提出了一种基于匿名广播加密的可链接环签名方法，旨在拓宽可链接环签名的应用范围，并提高可链接验证者的安全性，实现步骤为：设定环签名参数；环成员IDx获取公共参数；环成员IDx生成密钥和可链接哈希值PKskx；可信第三方获取广播加密参数并计算环成员IDx的广播加密私钥SKIDx；签名者计算可链接标志Tag和标志密文CT并获取消息m的环签名σ；验证者对环签名σ的正确性进行验证；判断验证者的身份；授权用户对环签名σ的可链接性进行验证；追责者计算签名者信息证明ψ；验证者对ψ的正确性进行验证。本发明可用于区块链下需要权限判断是否可链接的交易场景。

主权项

1.一种基于匿名广播加密的可链接环签名方法，其特征在于，包括如下步骤：(1)设定环签名参数：设定环成员的个数为n，n≥2，每个环成员的身份为IDx，x是环成员的标号，x＝[1,n]；设定可信第三方向环成员发送的单向函数为f；(2)环成员IDx获取公共参数：(2a)环成员IDx采用概率多项式时间的群生成算法，通过环签名的安全参数生成环签名的群参数gkx：gkx＝(G,q,g)，其中，G是阶为素数q、生成元为g的群；(2b)环成员IDx采用非交互式零知识证明方法，通过环签名的群参数gkx，计算公共参考串crsx；(2c)环成员IDx采用知识签名方法，通过环签名的群参数gkx，计算知识签名公开值ppSoKx；(2d)环成员IDx对自己的gkx、crsx和ppSoKx进行级联，得到环签名公开值ppx：ppx:＝(gkx,ppSoKx,crsx)；(3)环成员IDx生成密钥和可链接哈希值PKskx：(3a)环成员IDx随机产生签名密钥skx，并通过单向函数f产生验证密钥vkx：vkx＝f(skx)，同时采用Elgamal公钥加密密钥产生算法，通过群参数gkx，计算自己的公钥pkx和私钥dkx，所有环成员的公钥组成环公钥集合R：R＝(pk1,...,pkn)；(3b)环成员IDx采用哈希函数PK，通过签名密钥skx，计算可链接哈希值PKskx＝PK(skx)；(4)可信第三方获取广播加密参数：可信第三方采用匿名广播加密的初始化方法，通过广播加密安全参数，计算广播加密公共参数params和主密钥msk；(5)可信第三方计算环成员ID_x的广播加密私钥并发送：可信第三方采用匿名广播加密的密钥生成方法，通过主密钥msk和环成员身份ID_x，计算环成员ID_x的广播加密私钥并发送给环成员ID_x；(6)签名者计算可链接标志Tag和标志密文CT：(6a)n个环成员中需要签名的签名者IDu采用可链接标志产生方法，通过签名密钥sku，计算消息m的可链接标志Tag，其中，u是签名者的标号，1≤u≤n；(6b)签名者IDu在剩余的n‑1个环成员中，随机选取一个环成员A作为追责者，同时随机选取除IDu和追责者A外的t个环成员身份，组成授权用户集合S，1≤t＜n‑1；(6c)签名者IDu采用匿名广播加密的加密方法，通过S和Tag，计算标志密文CT；(7)签名者IDu获取自己对关于消息m的环签名σ：(7a)签名者IDu采用Elgamal公钥加密的加密算法，并通过从整数群Zq中随机选取的加密随机数r，以及签名者的验证密钥vku和追责者A的公钥pkA，计算验证密钥密文c；(7b)签名者IDu采用知识签名方法，通过知识签名公开值ppSoKu、追责者的公钥pkA、环公钥集合R、验证密钥密文c、标志密文CT、签名者IDu的签名密钥sku、加密随机数r和消息m，计算知识签名σSoK；、(7c)签名者IDu对验证密钥密文c、标志密文CT和知识签名σSoK进行级联，得到IDu对关于消息m的环签名σ；(8)验证者对环签名σ的正确性进行验证：验证者采用知识签名方法，通过知识签名公开值ppSoKu、追责者A的公钥pkA、环公钥集合R、验证密钥密文c、标志密文CT、消息m和环签名σ中的知识签名σSoK，计算知识签名验证值，若知识签名验证值为1，则σSoK为正确，即环签名σ为正确，执行步骤(9)，否则σSoK为错误，即环签名σ为错误，并丢弃该环签名σ；(9)判断验证者的身份：若验证者有广播加密私钥且采用匿名广播加密的解密方法，通过广播加密私钥和标志密文CT，对标志密文CT进行解密，若能得到可链接标志Tag，则该验证者是授权用户，并执行步骤(10)，若验证者有私钥dk_x，且采用Elgamal公钥加密的解密算法，通过dk_x和验证密钥密文c对c进行解密，若能解密得到签名者的验证密钥vk_u，则该验证者是追责者，并执行步骤(11)；(10)授权用户对环签名σ的可链接性进行验证：授权用户采用可链接标志验证方法，通过消息m、可链接标志Tag和可链接哈希值PKskx，计算n个环成员的可链接验证值，若n个可链接验证值存在一个值为1，则可链接标志Tag为正确，即环签名σ是可链接签名，并记录环签名σ和可链接验证值为1对应的PKskx，否则可链接标志Tag为错误，并丢弃环签名σ；(11)追责者计算签名者信息证明ψ：追责者A采用非交互零知识证明方法，通过公共参考串crsu、签名者的验证密钥vku、验证密钥密文c、追责者的公钥pkA和私钥dkA，计算签名者信息证明ψ并公开；(12)追责者以外的其它用户对签名者信息证明ψ的正确性进行验证：除追责者以外的其它环成员或可信第三方采用非交互零知识证明方法，通过公共参考串crsu、签名者的验证密钥vku、追责者的公钥pkA和签名者信息证明ψ，计算非交互验证值，若非交互验证值是1，则ψ为正确，否则ψ为错误，并丢弃该ψ。