[发明专利]一种具备指定可撤销性的Schnorr环签名方法

摘要

本发明提出了一种具备指定可撤销性的Schnorr环签名方法。所述方法中，系统选择生成签名和验证签名的系统参数，并生成环成员公私钥；成员利用私钥对消息进行签名；验证者根据系统公开参数和所有环成员公钥对消息签名进行验证；签名人利用指定验证人公钥发起交互式证明协议，通过该证明协议过程指定验证人可确认对方是否是真实签名人。该方法构造简洁、高效，增强了环签名方案的适用性，且实现了身份验证范围的可控，尤其适合用于匿名举报--事后奖励的应用场景。

主权项

1.一种具备指定可撤销性的Schnorr环签名方法，其特征在于，所述方法包括系统参数及密钥生成模块、签名模块、验证模块、身份确认模块四个部分；所述系统参数及密钥生成模块中，系统选择生成签名和验证签名的系统参数，并生成环成员公私钥；所述签名模块中，成员利用私钥对消息进行签名；所述验证模块中，验证者根据公开的系统参数和所有环成员公钥对消息签名进行验证；所述身份确认模块中，签名人利用指定验证人公钥发起交互式证明协议，通过该证明协议过程指定验证人可确认对方是否是真实签名人；各模块及具体操作步骤如下：A.系统参数及密钥生成模块首先系统选取两个大素数p,q，q使得q|p-1，且q≥2^k，其中k是预先设定的方案安全参数；选取整数群中的两个q阶生成元g,h，以及抗碰撞的散列函数带加密的散列函数F()；令所有环成员为I₁,I₂,...I_i,…,I_n，每个成员I_i选取其私钥则相应的公钥为n为环成员数；则，系统的公开参数为params=(p,q,g,h,H,F)，环成员的公私钥集合为{(x_i,y_i)_{i＝1,2，…，n}}；B.签名模块为了生成消息m的签名，真实签名人I_s,s∈{1,2,…,n}执行以下步骤：步骤1：随机选取并计算a^*=h^amodp,b^*=(a^*)^vmodp；步骤2：随机选取并计算U=(a^*)^umodp,θ=u+vF(m||a^*,U)modq；步骤3：将a+v分成n个片段；具体的，成员I_s为其余环成员I_i,i≠s分别选取1个随机元素并确定自身的片段as=((a+v)-Σi=1,i≠snai)modq;]]>步骤4：对所有i≠s，计算步骤5：计算Rs=gasΠi≠syi-H(m,Ri)modp;]]>步骤6：计算σ=Σi=1nai+xsH(m,Rs)=a+v+xsH(m,Rs)modq;]]>步骤7：对消息m的签名是(m,R₁,…,R_n,σ,a^*,b^*,U,θ)；C.验证模块对于给定的消息m和相应的签名，验证者首先检测关键参数a^*,b^*是否按要求生成，接着再验证签名的有效性；具体操作步骤如下：步骤8：检查等式modp是否成立；若成立，则执行下一步；反之则签名无效；步骤9：对所有1≤i≤n，计算h_i=H(m,R_i)；步骤10：检查等式gσ=R1·R2·...·Rn·y1h1·y2h2...·ynhnmodp]]>是否成立；若成立，则签名有效；反之则签名无效；D.身份确认真实签名人可通过以下交互式证明协议，使其指定的验证方确信他的身份，即向对方证明他知道以a^*为底，b^*的对数；具体步骤如下：步骤11：签名人随机选择并计算β=(a^*)^αmodp；同时，随机选择γ∈Zq*,]]>并计算β的承诺c=gβPKvγmodp,]]>其中PKv=gSKvmodp]]>是指定验证方的公钥，SK_v是其私钥，PK_v不同于生成签名的所有公钥yi；签名人将c发送给指定验证方；步骤12：指定验证方随机选取并发送给签名人；步骤13：收到挑战信息ε后，签名人计算η=α+vεmodq并发送给指定验证人；接着，签名人公开β，γ，供对方验证承诺c；步骤14：指定验证方检查两个等式c=g^β(PK_v)^γmodp，(a^*)^η=β(b^*)^εmodp是否成立；若成立，则确信被验证方是关于消息m真实签名人。