专利名称:一种基于指定验证者的可链接环签名方法
技术领域:
本发明涉及信息安全领域。特别的,本发明涉及一种基于指定验证者的可链接环签名生成和验证的方法。
背景技术:
数字签名是一种基本的信息安全技术,在指定验证者认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在网络安全通信中的密钥分配,认证以及电子商务、电子政务等系统中具有重要的作用。数字签名是实现认证的重要工具。数字签名的生成和验证需要签名者的签名私钥和验证公钥。签名者的签名私钥是仅被签名者知晓的。签名者的验证公钥则是公开的。数字签名的生成需要使用签名者的签名私钥和被签名的数字内容。数字签名的验证则是使用验证公钥来确认签名者拥有对应的签名私钥。数字签名的安全性要求数字签名应是不可伪造的,即没有签名私钥的任何人或者设备都不能伪造一个数字签名。签名私钥具有唯一标志签名者指定验证者的重要作用, 数字签名不应泄漏签名私钥的有用信息。通常验证公钥是随机的字符串,很难识别具体公钥的持有人。所以人们使用公钥基础设施的方法来绑定公钥和公钥持有人的指定验证者,并建立了信任体系。公钥基础设施的庞大和复杂带来了公钥管理上一个不小的开销,为了解决这个问题,人们提出使用有意义的字符串作为公钥,即基于指定验证者的密码体制,该体制自然把指定验证者和公钥绑定起来,减小了公钥管理的开销,受到人们的青睐。特别是自2001年基于对运算提出了实用的基于指定验证者的密码算法之后,基于指定验证者的密码体制受到了持续的关注。普通的数字签名具有广义可验证性,即任何人都可验证某个签名是否是对某个特定消息的签名。这个特性在一些情况下是有很用的,比如公开宣传品的发布。但是在很多其他应用中,特别是为了保护签名者或接收者的隐私时,并不希望让所有人都能验证消息/ 签名对。这就产生了数字签名体制中广义可验证性和隐私性之间的矛盾。例如,某个签名者签署了一份标书去投标,标书的标价通常属于隐私信息,此时这个签名者就希望其签名不要公开验证,否则其竞争者就可以通过其标书来确认某个标价确实属于该签名者,以至于会在与该签名者以后的竞争中处于有利地位。还有许多其他的例子凸显了上述矛盾,为此需要设计特殊的数字签名来解决问题。Chaum和Van Antwerpen提出了不可否认签名来解决上述问题。由于签名的验证必须通过签名者的合作才能完成,所以签名不满足广义可验证性。更进一步,签名者可以决定签名只有在某种条件下才能被验证或只能被某个特定的实体所验证。Liu提出了一个实用的可链接环签名方案,用于解决电子投票和电子现金中的多次投票问题和多次支付问题,但是该方案不能解决电子投票和电子现金中的无收据性问题。由上述可知,现有技术中已公布的可链接环签名方案中并不存在基于指定验证者的可链接环签名。我们希望给出一种环签名方案,使之能够基于指定验证者,只有指定的验
4证者才能验证签名的有效性以及计算签名的可链接性,适用于解决电子现金、电子投票中的无收据性问题。
发明内容
本发明的目的在于提供一种基于指定验证者的可链接环签名方案的实现方法,解决背景技术中不存在基于指定验证者的可链接环签名方法,不能利用可链接环签名解决电子现金、电子投票中的无收据性问题。为实现上述目的,本发明提供一种基于指定验证者的可链接环签名方案的实现方法密钥生成,群组管理者设定设定群G,间隙DifTie-Hellman群G1,循环群( 和二元杂凑函数HJ ·,·)和吐(·,·),对每个群组成员都生成独一无二的公钥和与之对应的私钥, 为指定验证者生成公钥对;签名生成,群组成员利用自身私钥、群组公钥列表以及指定验证者公钥对消息进行签名,生成指定验证者的可链接环签名;签名验证,指定的验证者利用自身私钥、群组公钥列表对签名的有效性进行验证;可链接性计算,指定验证者验证签名的可链接性,确定两个签名是否为同一个签名者签署。1.密钥生成,具体包括以下步骤(1. 1)群组管理者设定群G,间隙Diffie-HelIman群G1,循环群(;2和二元杂凑函数氏(·,·)和吐(·,·);G为阶为q的群,其上的离散对数问题是困难的;令H1 :{0,1} -Zq 和H2 {0,1}* — G为基于不同算法的杂凑函数;群G1的生成元P,生成元P的阶为大素数q ; 循环群G2,群(;2的阶也是大素数q ;对映射函数e =G1XG1 — &。(1. 2)对i = 1,2,. . .,n,群组管理者为每个群组成员生成独一无二的公钥Yi和私钥Xi,其中乃=gXi ;令L = {Yl, . . .,yn}为η个公钥的列表。2.签名生成,具体包括以下步骤(2.1)群组成员公钥L对应的私钥为,公钥列表为L= {Yl, ...,yn},消息 m e {0,1}。(2.2)群组成员计算h = H2(L)禾口 = ;选择随机数u e Z,,群组成员计算
权利要求
1.一种基于指定验证者的可链接环签名方法,其特征在于只有指定验证者才能验证环签名的有效性,并且只有指定验证者才能验证两个环签名的可链接性,包括以下步骤(1)密钥生成群组管理者设定设定群G,间隙DifTie-Hellman群G1,循环群(;2和二元杂凑函数&(·,·)和氏(·,·);对每个群组成员都生成独一无二的公钥和与之对应的私钥,为指定验证者生成公钥对。(2)签名生成群组成员利用自身私钥、群组公钥列表以及指定验证者公钥对消息进行签名,生成指定验证者的可链接环签名。(3)签名验证指定的验证者利用自身私钥、群组公钥列表对签名的有效性进行验证。(4)可链接性计算指定验证者利用自身私钥计算签名的可链接性,确定两个签名是否为同一个签名者签署。
2.根据权利要求1所述的一种基于指定验证者的可链接环签名方法,其特征在于所述步骤(1)密钥生成,具体包括以下步骤(2. 1)群组管理者设定群G,间隙Diffie-Hellman群G1,循环群( 和二元杂凑函数氏(·,·)和吐(·,·);G为阶为q的群,其上的离散对数问题是困难的;令H1 :{0,1} -Zq 和H2 {0,1}* — G为基于不同算法的杂凑函数;群G1的生成元P,生成元P的阶为大素数q ; 循环群G2,群(;2的阶也是大素数q ;对映射函数e =G1XG1 — &。(2. 2)对i = 1,2,. . .,n,群组管理者为每个群组成员生成独一无二的公钥yi和私钥Xi,其中兄=W ^L= {y1; ...,yj为η个公钥的列表。为指定验证者生成公钥对(χν, yv) °
3.根据权利要求1所述的一种基于指定验证者的可链接环签名方法,其特征在于所述步骤( 签名生成,具体包括以下步骤(3.1)群组成员公钥对应的私钥为χπ,公钥列表为L={yi,...,yn},消息me {0,1}。(3.2)群组成员计算h= H2(L)和j> = A、;选择随机数u e Z,,群组成员计算二 H、(L’P,m,gu,h” ;对土 =沉+丄,沉+2,…,na,…,π-1,选择随机数 Si e Zq,计
4.根据权利要求1所述的一种基于指定验证者的可链接环签名方法,其特征在于所述步骤C3)签名验证,具体包括以下步骤(4. 1)指定验证者计算h = H2 (L),然后用私钥xv解密E得到(g W",夕)和DV-ZKP (w, r,G1, G2,d) ο(4. 2)指定验证者对(gW")进行非交互指定验证者零知识证明计算
5.根据权利要求1所述的一种基于指定验证者的可链接环签名方法,其特征在于所述步骤(4)可链接性计算,具体包括以下步骤(5.1)指定验证者利用私钥Xv解密δJ (m')和δ: (m〃)中的E',E〃得到j)',j)"。 其中 Sl' (m' ) = (C1 ‘ ,s/,···,、/,E' ), 5l" (m〃)= (C1 〃,S1 〃,· · ·,Slri 〃, E〃)。(5.2)指定验证者检查是否j>'= j>ff,如果是则指定验证者可以确信δ J (m')和 (m")由同一个签名者签署,反之,它们由不同的签名者签署。
全文摘要
本发明涉及一种基于指定验证者的可链接环签名方法。该方法采用非交互式零知识证明技术,在双线性Diffie-Hellman问题困难的假设下实现了基于指定验证者的可链接环签名。解决了背景技术中不存在基于指定验证者的可链接环签名方法,无法利用可链接环签名解决电子现金、电子投票中的无收据性问题。
文档编号H04L9/30GK102377565SQ201010247870
公开日2012年3月14日 申请日期2010年8月6日 优先权日2010年8月6日
发明者陈国敏, 陈满祥 申请人:陈国敏, 陈满祥