專利名稱：一種基于指定驗證者的可鏈接環(huán)簽名方法
技術領域：
本發(fā)明涉及信息安全領域。特別的，本發(fā)明涉及一種基于指定驗證者的可鏈接環(huán)簽名生成和驗證的方法。
背景技術：
數(shù)字簽名是一種基本的信息安全技術，在指定驗證者認證、數(shù)據(jù)完整性、不可否認性以及匿名性等方面有重要應用，特別是在網(wǎng)絡安全通信中的密鑰分配，認證以及電子商務、電子政務等系統(tǒng)中具有重要的作用。數(shù)字簽名是實現(xiàn)認證的重要工具。數(shù)字簽名的生成和驗證需要簽名者的簽名私鑰和驗證公鑰。簽名者的簽名私鑰是僅被簽名者知曉的。簽名者的驗證公鑰則是公開的。數(shù)字簽名的生成需要使用簽名者的簽名私鑰和被簽名的數(shù)字內(nèi)容。數(shù)字簽名的驗證則是使用驗證公鑰來確認簽名者擁有對應的簽名私鑰。數(shù)字簽名的安全性要求數(shù)字簽名應是不可偽造的，即沒有簽名私鑰的任何人或者設備都不能偽造一個數(shù)字簽名。簽名私鑰具有唯一標志簽名者指定驗證者的重要作用， 數(shù)字簽名不應泄漏簽名私鑰的有用信息。通常驗證公鑰是隨機的字符串，很難識別具體公鑰的持有人。所以人們使用公鑰基礎設施的方法來綁定公鑰和公鑰持有人的指定驗證者，并建立了信任體系。公鑰基礎設施的龐大和復雜帶來了公鑰管理上一個不小的開銷，為了解決這個問題，人們提出使用有意義的字符串作為公鑰，即基于指定驗證者的密碼體制，該體制自然把指定驗證者和公鑰綁定起來，減小了公鑰管理的開銷，受到人們的青睞。特別是自2001年基于對運算提出了實用的基于指定驗證者的密碼算法之后，基于指定驗證者的密碼體制受到了持續(xù)的關注。普通的數(shù)字簽名具有廣義可驗證性，即任何人都可驗證某個簽名是否是對某個特定消息的簽名。這個特性在一些情況下是有很用的，比如公開宣傳品的發(fā)布。但是在很多其他應用中，特別是為了保護簽名者或接收者的隱私時，并不希望讓所有人都能驗證消息/ 簽名對。這就產(chǎn)生了數(shù)字簽名體制中廣義可驗證性和隱私性之間的矛盾。例如，某個簽名者簽署了一份標書去投標，標書的標價通常屬于隱私信息，此時這個簽名者就希望其簽名不要公開驗證，否則其競爭者就可以通過其標書來確認某個標價確實屬于該簽名者，以至于會在與該簽名者以后的競爭中處于有利地位。還有許多其他的例子凸顯了上述矛盾，為此需要設計特殊的數(shù)字簽名來解決問題。Chaum和Van Antwerpen提出了不可否認簽名來解決上述問題。由于簽名的驗證必須通過簽名者的合作才能完成，所以簽名不滿足廣義可驗證性。更進一步，簽名者可以決定簽名只有在某種條件下才能被驗證或只能被某個特定的實體所驗證。Liu提出了一個實用的可鏈接環(huán)簽名方案，用于解決電子投票和電子現(xiàn)金中的多次投票問題和多次支付問題，但是該方案不能解決電子投票和電子現(xiàn)金中的無收據(jù)性問題。由上述可知，現(xiàn)有技術中已公布的可鏈接環(huán)簽名方案中并不存在基于指定驗證者的可鏈接環(huán)簽名。我們希望給出一種環(huán)簽名方案，使之能夠基于指定驗證者，只有指定的驗
4證者才能驗證簽名的有效性以及計算簽名的可鏈接性，適用于解決電子現(xiàn)金、電子投票中的無收據(jù)性問題。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于指定驗證者的可鏈接環(huán)簽名方案的實現(xiàn)方法，解決背景技術中不存在基于指定驗證者的可鏈接環(huán)簽名方法，不能利用可鏈接環(huán)簽名解決電子現(xiàn)金、電子投票中的無收據(jù)性問題。為實現(xiàn)上述目的，本發(fā)明提供一種基于指定驗證者的可鏈接環(huán)簽名方案的實現(xiàn)方法密鑰生成，群組管理者設定設定群G，間隙DifTie-Hellman群G1,循環(huán)群( 和二元雜湊函數(shù)HJ ·，·)和吐(·，·)，對每個群組成員都生成獨一無二的公鑰和與之對應的私鑰， 為指定驗證者生成公鑰對；簽名生成，群組成員利用自身私鑰、群組公鑰列表以及指定驗證者公鑰對消息進行簽名，生成指定驗證者的可鏈接環(huán)簽名；簽名驗證，指定的驗證者利用自身私鑰、群組公鑰列表對簽名的有效性進行驗證；可鏈接性計算，指定驗證者驗證簽名的可鏈接性，確定兩個簽名是否為同一個簽名者簽署。1.密鑰生成，具體包括以下步驟(1. 1)群組管理者設定群G，間隙Diffie-HelIman群G1，循環(huán)群(；2和二元雜湊函數(shù)氏(·，·)和吐(·，·)；G為階為q的群，其上的離散對數(shù)問題是困難的；令H1 :{0，1} -Zq 和H2 {0，1}* — G為基于不同算法的雜湊函數(shù)；群G1的生成元P，生成元P的階為大素數(shù)q ； 循環(huán)群G2，群(；2的階也是大素數(shù)q ；對映射函數(shù)e =G1XG1 — &。(1. 2)對i = 1，2，. . .，n，群組管理者為每個群組成員生成獨一無二的公鑰Yi和私鑰Xi，其中乃=gXi ；令L = {Yl, . . .，yn}為η個公鑰的列表。2.簽名生成，具體包括以下步驟(2.1)群組成員公鑰L對應的私鑰為，公鑰列表為L= {Yl, ...，yn}，消息 m e {0，1}。(2.2)群組成員計算h = H2(L)禾口 = ；選擇隨機數(shù)u e Z,，群組成員計算
權利要求
1.一種基于指定驗證者的可鏈接環(huán)簽名方法，其特征在于只有指定驗證者才能驗證環(huán)簽名的有效性，并且只有指定驗證者才能驗證兩個環(huán)簽名的可鏈接性，包括以下步驟(1)密鑰生成群組管理者設定設定群G，間隙DifTie-Hellman群G1，循環(huán)群(；2和二元雜湊函數(shù)&(·，·)和氏(·，·)；對每個群組成員都生成獨一無二的公鑰和與之對應的私鑰，為指定驗證者生成公鑰對。(2)簽名生成群組成員利用自身私鑰、群組公鑰列表以及指定驗證者公鑰對消息進行簽名，生成指定驗證者的可鏈接環(huán)簽名。(3)簽名驗證指定的驗證者利用自身私鑰、群組公鑰列表對簽名的有效性進行驗證。(4)可鏈接性計算指定驗證者利用自身私鑰計算簽名的可鏈接性，確定兩個簽名是否為同一個簽名者簽署。
2.根據(jù)權利要求1所述的一種基于指定驗證者的可鏈接環(huán)簽名方法，其特征在于所述步驟(1)密鑰生成，具體包括以下步驟(2. 1)群組管理者設定群G，間隙Diffie-Hellman群G1,循環(huán)群( 和二元雜湊函數(shù)氏(·，·)和吐(·，·)；G為階為q的群，其上的離散對數(shù)問題是困難的；令H1 :{0，1} -Zq 和H2 {0，1}* — G為基于不同算法的雜湊函數(shù)；群G1的生成元P，生成元P的階為大素數(shù)q ； 循環(huán)群G2，群(；2的階也是大素數(shù)q ；對映射函數(shù)e =G1XG1 — &。(2. 2)對i = 1，2，. . .，n，群組管理者為每個群組成員生成獨一無二的公鑰yi和私鑰Xi,其中兄=W ^L= {y1; ...，yj為η個公鑰的列表。為指定驗證者生成公鑰對(χν， yv) °
3.根據(jù)權利要求1所述的一種基于指定驗證者的可鏈接環(huán)簽名方法，其特征在于所述步驟( 簽名生成，具體包括以下步驟(3.1)群組成員公鑰對應的私鑰為χπ，公鑰列表為L={yi，...，yn}，消息me {0，1}。(3.2)群組成員計算h= H2(L)和j> = A、；選擇隨機數(shù)u e Z,，群組成員計算二 H、(L’P，m,gu，h” ；對土 =沉+丄，沉+2，…，na，…，π-1，選擇隨機數(shù) Si e Zq，計
4.根據(jù)權利要求1所述的一種基于指定驗證者的可鏈接環(huán)簽名方法，其特征在于所述步驟C3)簽名驗證，具體包括以下步驟(4. 1)指定驗證者計算h = H2 (L)，然后用私鑰xv解密E得到(g W"，夕)和DV-ZKP (w, r，G1, G2，d) ο(4. 2)指定驗證者對(gW")進行非交互指定驗證者零知識證明計算
5.根據(jù)權利要求1所述的一種基于指定驗證者的可鏈接環(huán)簽名方法，其特征在于所述步驟(4)可鏈接性計算，具體包括以下步驟(5.1)指定驗證者利用私鑰Xv解密δJ (m')和δ: (m〃)中的E'，E〃得到j)'，j)"。 其中 Sl' (m' ) = (C1 ‘ ,s/，···，、/，E' ), 5l" (m〃)= (C1 〃，S1 〃，· · ·，Slri 〃， E〃)。(5.2)指定驗證者檢查是否j>'= j>ff，如果是則指定驗證者可以確信δ J (m')和 (m")由同一個簽名者簽署，反之，它們由不同的簽名者簽署。
全文摘要
本發(fā)明涉及一種基于指定驗證者的可鏈接環(huán)簽名方法。該方法采用非交互式零知識證明技術，在雙線性Diffie-Hellman問題困難的假設下實現(xiàn)了基于指定驗證者的可鏈接環(huán)簽名。解決了背景技術中不存在基于指定驗證者的可鏈接環(huán)簽名方法，無法利用可鏈接環(huán)簽名解決電子現(xiàn)金、電子投票中的無收據(jù)性問題。
文檔編號H04L9/30GK102377565SQ201010247870
公開日2012年3月14日 申請日期2010年8月6日 優(yōu)先權日2010年8月6日
發(fā)明者陳國敏, 陳滿祥 申請人:陳國敏, 陳滿祥