一種基於指定驗證者的可連結環籤名方法

2023-09-22 20:14:40 5

專利名稱：一種基於指定驗證者的可連結環籤名方法
技術領域：
本發明涉及信息安全領域。特別的，本發明涉及一種基於指定驗證者的可連結環籤名生成和驗證的方法。
背景技術：
數字籤名是一種基本的信息安全技術，在指定驗證者認證、數據完整性、不可否認性以及匿名性等方面有重要應用，特別是在網絡安全通信中的密鑰分配，認證以及電子商務、電子政務等系統中具有重要的作用。數字籤名是實現認證的重要工具。數字籤名的生成和驗證需要籤名者的籤名私鑰和驗證公鑰。籤名者的籤名私鑰是僅被籤名者知曉的。籤名者的驗證公鑰則是公開的。數字籤名的生成需要使用籤名者的籤名私鑰和被籤名的數字內容。數字籤名的驗證則是使用驗證公鑰來確認籤名者擁有對應的籤名私鑰。數字籤名的安全性要求數字籤名應是不可偽造的，即沒有籤名私鑰的任何人或者設備都不能偽造一個數字籤名。籤名私鑰具有唯一標誌籤名者指定驗證者的重要作用， 數字籤名不應洩漏籤名私鑰的有用信息。通常驗證公鑰是隨機的字符串，很難識別具體公鑰的持有人。所以人們使用公鑰基礎設施的方法來綁定公鑰和公鑰持有人的指定驗證者，並建立了信任體系。公鑰基礎設施的龐大和複雜帶來了公鑰管理上一個不小的開銷，為了解決這個問題，人們提出使用有意義的字符串作為公鑰，即基於指定驗證者的密碼體制，該體制自然把指定驗證者和公鑰綁定起來，減小了公鑰管理的開銷，受到人們的青睞。特別是自2001年基於對運算提出了實用的基於指定驗證者的密碼算法之後，基於指定驗證者的密碼體制受到了持續的關注。普通的數字籤名具有廣義可驗證性，即任何人都可驗證某個籤名是否是對某個特定消息的籤名。這個特性在一些情況下是有很用的，比如公開宣傳品的發布。但是在很多其他應用中，特別是為了保護籤名者或接收者的隱私時，並不希望讓所有人都能驗證消息/ 籤名對。這就產生了數字籤名體制中廣義可驗證性和隱私性之間的矛盾。例如，某個籤名者籤署了一份標書去投標，標書的標價通常屬於隱私信息，此時這個籤名者就希望其籤名不要公開驗證，否則其競爭者就可以通過其標書來確認某個標價確實屬於該籤名者，以至於會在與該籤名者以後的競爭中處於有利地位。還有許多其他的例子凸顯了上述矛盾，為此需要設計特殊的數字籤名來解決問題。Chaum和Van Antwerpen提出了不可否認籤名來解決上述問題。由於籤名的驗證必須通過籤名者的合作才能完成，所以籤名不滿足廣義可驗證性。更進一步，籤名者可以決定籤名只有在某種條件下才能被驗證或只能被某個特定的實體所驗證。Liu提出了一個實用的可連結環籤名方案，用於解決電子投票和電子現金中的多次投票問題和多次支付問題，但是該方案不能解決電子投票和電子現金中的無收據性問題。由上述可知，現有技術中已公布的可連結環籤名方案中並不存在基於指定驗證者的可連結環籤名。我們希望給出一種環籤名方案，使之能夠基於指定驗證者，只有指定的驗
4證者才能驗證籤名的有效性以及計算籤名的可連結性，適用於解決電子現金、電子投票中的無收據性問題。

發明內容
本發明的目的在於提供一種基於指定驗證者的可連結環籤名方案的實現方法，解決背景技術中不存在基於指定驗證者的可連結環籤名方法，不能利用可連結環籤名解決電子現金、電子投票中的無收據性問題。為實現上述目的，本發明提供一種基於指定驗證者的可連結環籤名方案的實現方法密鑰生成，群組管理者設定設定群G，間隙DifTie-Hellman群G1,循環群( 和二元雜湊函數HJ ·，·)和吐(·，·)，對每個群組成員都生成獨一無二的公鑰和與之對應的私鑰， 為指定驗證者生成公鑰對；籤名生成，群組成員利用自身私鑰、群組公鑰列表以及指定驗證者公鑰對消息進行籤名，生成指定驗證者的可連結環籤名；籤名驗證，指定的驗證者利用自身私鑰、群組公鑰列表對籤名的有效性進行驗證；可連結性計算，指定驗證者驗證籤名的可連結性，確定兩個籤名是否為同一個籤名者籤署。1.密鑰生成，具體包括以下步驟(1. 1)群組管理者設定群G，間隙Diffie-HelIman群G1，循環群(；2和二元雜湊函數氏(·，·)和吐(·，·)；G為階為q的群，其上的離散對數問題是困難的；令H1 :{0，1} -Zq 和H2 {0，1}* — G為基於不同算法的雜湊函數；群G1的生成元P，生成元P的階為大素數q ； 循環群G2，群(；2的階也是大素數q ；對映射函數e =G1XG1 — &。(1. 2)對i = 1，2，. . .，n，群組管理者為每個群組成員生成獨一無二的公鑰Yi和私鑰Xi，其中乃=gXi ；令L = {Yl, . . .，yn}為η個公鑰的列表。2.籤名生成，具體包括以下步驟(2.1)群組成員公鑰L對應的私鑰為，公鑰列表為L= {Yl, ...，yn}，消息 m e {0，1}。(2.2)群組成員計算h = H2(L)禾口 = ；選擇隨機數u e Z,，群組成員計算
權利要求
1.一種基於指定驗證者的可連結環籤名方法，其特徵在於只有指定驗證者才能驗證環籤名的有效性，並且只有指定驗證者才能驗證兩個環籤名的可連結性，包括以下步驟(1)密鑰生成群組管理者設定設定群G，間隙DifTie-Hellman群G1，循環群(；2和二元雜湊函數&(·，·)和氏(·，·)；對每個群組成員都生成獨一無二的公鑰和與之對應的私鑰，為指定驗證者生成公鑰對。(2)籤名生成群組成員利用自身私鑰、群組公鑰列表以及指定驗證者公鑰對消息進行籤名，生成指定驗證者的可連結環籤名。(3)籤名驗證指定的驗證者利用自身私鑰、群組公鑰列表對籤名的有效性進行驗證。(4)可連結性計算指定驗證者利用自身私鑰計算籤名的可連結性，確定兩個籤名是否為同一個籤名者籤署。
2.根據權利要求1所述的一種基於指定驗證者的可連結環籤名方法，其特徵在於所述步驟(1)密鑰生成，具體包括以下步驟(2. 1)群組管理者設定群G，間隙Diffie-Hellman群G1,循環群( 和二元雜湊函數氏(·，·)和吐(·，·)；G為階為q的群，其上的離散對數問題是困難的；令H1 :{0，1} -Zq 和H2 {0，1}* — G為基於不同算法的雜湊函數；群G1的生成元P，生成元P的階為大素數q ； 循環群G2，群(；2的階也是大素數q ；對映射函數e =G1XG1 — &。(2. 2)對i = 1，2，. . .，n，群組管理者為每個群組成員生成獨一無二的公鑰yi和私鑰Xi,其中兄=W ^L= {y1; ...，yj為η個公鑰的列表。為指定驗證者生成公鑰對(χν， yv) °
3.根據權利要求1所述的一種基於指定驗證者的可連結環籤名方法，其特徵在於所述步驟( 籤名生成，具體包括以下步驟(3.1)群組成員公鑰對應的私鑰為χπ，公鑰列表為L={yi，...，yn}，消息me {0，1}。(3.2)群組成員計算h= H2(L)和j> = A、；選擇隨機數u e Z,，群組成員計算二 H、(L』P，m,gu，h」 ；對土 =沉+丄，沉+2，…，na，…，π-1，選擇隨機數 Si e Zq，計
4.根據權利要求1所述的一種基於指定驗證者的可連結環籤名方法，其特徵在於所述步驟C3)籤名驗證，具體包括以下步驟(4. 1)指定驗證者計算h = H2 (L)，然後用私鑰xv解密E得到(g W"，夕)和DV-ZKP (w, r，G1, G2，d) ο(4. 2)指定驗證者對(gW")進行非交互指定驗證者零知識證明計算
5.根據權利要求1所述的一種基於指定驗證者的可連結環籤名方法，其特徵在於所述步驟(4)可連結性計算，具體包括以下步驟(5.1)指定驗證者利用私鑰Xv解密δJ (m')和δ: (m〃)中的E'，E〃得到j)'，j)"。 其中 Sl' (m' ) = (C1 『 ,s/，···，、/，E' ), 5l" (m〃)= (C1 〃，S1 〃，· · ·，Slri 〃， E〃)。(5.2)指定驗證者檢查是否j>'= j>ff，如果是則指定驗證者可以確信δ J (m')和 (m")由同一個籤名者籤署，反之，它們由不同的籤名者籤署。
全文摘要
本發明涉及一種基於指定驗證者的可連結環籤名方法。該方法採用非交互式零知識證明技術，在雙線性Diffie-Hellman問題困難的假設下實現了基於指定驗證者的可連結環籤名。解決了背景技術中不存在基於指定驗證者的可連結環籤名方法，無法利用可連結環籤名解決電子現金、電子投票中的無收據性問題。
文檔編號H04L9/30GK102377565SQ201010247870
公開日2012年3月14日 申請日期2010年8月6日 優先權日2010年8月6日
發明者陳國敏, 陳滿祥 申請人:陳國敏, 陳滿祥