的安全參 數(shù)。選取$中的兩個q階生成元g,h�����,以及抗碰撞的散列函數(shù)〃():!(urx丨��, 氏():{0, 1}*-Zp���,帶加密的散列函數(shù)廠():{〇,ifxi〇,if �����。令所有環(huán)成員為Al����,A2���,… ��,An���,每個成員Ai選取其私鑰.V< ,則相應(yīng)的公鑰為x=g'1modpD
[0047]綜合上述信息,系統(tǒng)的公開參數(shù)為params=(p, q,g,h, H,氏���,F(xiàn))�,環(huán)成員的公私鑰 集合為{ (Xi,Yi)i=1, 2, ���。
[0048] 為了生成消息m的簽名�,真實簽名人As����,sG{1��,2,…����,n}執(zhí)行以下步驟:
[0049]步驟 2-1 :隨機選取?,并計算a*=hamodp,b*=(a*)vmodp;
[0050]步驟 2-2 :隨機選取:we\并計算u=(a*)umodp, 0=u+vF(m| |a*,U)modq;
[0051]步驟2-3:為其余n-1個環(huán)成員Aji乒s)各選取一個隨機數(shù)巧�����,并計算
[0052]步驟 2-4 :計算V=氏(m| |a* | |b*):
[0053] 步驟2-5 :隨機選取A e 并計舅
[0054]步驟2-6 :計;
[0055] 步驟2-7 :對消息m的簽名是(m����,札,…��,Rn,〇�����,a*�,b'U,0 )��。
[0056] 對于給定的消息m和相應(yīng)的簽名�����,驗證者首先檢測關(guān)鍵參數(shù)f是否按要求生 成�,接著再驗證簽名的有效性。具體操作步驟如下:
[0057] 步驟3-1:檢查等式^m〇tip是否成立����。若成立,則執(zhí)行下一步��; 反之則簽名無效���;
[0058] 步驟 3-2 :計算m'=氏(m| |a*| |b*)����,對所有 1 <i<n,計算hi=H(m'�,R;);
[0059] 步驟3-3:檢查等式f^ …mod/;是否成立。若成立��,則 簽名有效�;反之則簽名無效。
[0060] 真實簽名人可通過以下交互式證明協(xié)議�,使其指定的驗證方確信他的身份,即向 對方證明他知道以f為底���,b$的對數(shù)(不泄露具體的V)。具體步驟如下:
[0061] 步驟4-1:簽名人隨機選擇《£/7����,并計算0 =(i)am〇dp。同時�,隨機選擇 e <,并計算員的承諾,其中i^v�����、= modj}:是指定驗證方的公鑰��,SKV 是其私鑰���,PKV不同于所有環(huán)成員的公鑰yi(i= 1�,2,…,n)����。簽名人將c發(fā)送給指定驗證 方;
[0062] 步驟4-2:指定驗證方隨機選取&并發(fā)送給簽名人��;
[0063] 步驟4-3 :收到挑戰(zhàn)信息e后�,簽名人計算q=a+vemodq并發(fā)送給指定驗證 人。接著�,簽名人公開0,T��,供對方驗證承諾c;
[0064]步驟 4-4 :指定驗證方檢查兩個等式c=gp (PKV)Ymodp�,(a*)n = 0(b*)Emodp 是否成立。若成立�����,則確信被驗證方是關(guān)于消息m的真實簽名人����。
[0065]本發(fā)明較現(xiàn)有的Schnorr環(huán)簽名方案,增加了身份確認功能����。驗證方僅需與簽名 人進行2次交互�����,即可確認對方是否是真實簽名人�。與同類的可驗證/可撤銷匿名性環(huán)簽 名方案相比��,本發(fā)明的構(gòu)造簡潔����、高效,并實現(xiàn)了身份驗證范圍的可控�。
[0066] 下面將對本發(fā)明的環(huán)簽名方案應(yīng)用于企業(yè)的情況進行說明。
[0067]依照本發(fā)明的步驟����,當政府部門或大型企業(yè)應(yīng)用本發(fā)明的簽名系統(tǒng)時���,如某一職 員發(fā)現(xiàn)領(lǐng)導�����、上司的貪腐或失職行為����,他可利用部門內(nèi)部所有員工的公鑰生成環(huán)簽名,將舉 報信息公之于眾或向更高的上級反映��。由于公鑰信息均來自部門內(nèi)部�����,驗證者(舉報信息 接收者)可確信消息來源�,但無法確認舉報者身份。舉報信息一經(jīng)查實�,有關(guān)部門希望對舉 報者給予獎勵,此時該職員可通過身份確認功能����,向具體負責人證實其身份。由于該過程的 不可傳遞性���,驗證方無法散播舉報人的身份信息�,避免了被舉報人及其同黨可能實施的報 復行為���。
[0068] 所以�,本發(fā)明帶來的有益效果是:增強了環(huán)簽名方案的適用性,尤其適用于匿名舉 報一事后獎勵的應(yīng)用場景�。
[0069]對該技術(shù)領(lǐng)域的普通技術(shù)人員而言,根據(jù)以上實施類型可以很容易聯(lián)想其他的優(yōu) 點和變形��。因此�����,本發(fā)明并不局限于上述具體實例�����,其僅僅作為例子對本發(fā)明的一種形態(tài)進 行詳細�����、示范性的說明���。在不背離本發(fā)明宗旨的范圍內(nèi)���,本領(lǐng)域普通技術(shù)人員根據(jù)上述具體 實例通過各種等同替換所得到的技術(shù)方案�,均應(yīng)包含在本發(fā)明的權(quán)利要求范圍及其等同范 圍之內(nèi)。
【主權(quán)項】
1. 一種具備指定可驗證性的Schnorr環(huán)簽名方案��,其特征在于:包括以下模塊: 系統(tǒng)初始化模塊:基于相應(yīng)的安全參數(shù),選取方案所需的公開參數(shù)����,為每個環(huán)成員生成 公私鑰對; 簽名模塊:即概率性簽名算法�,概率地生成環(huán)簽名以及用于身份確認的關(guān)鍵參數(shù); 驗證模塊:非交互式確定性證明算法����,驗證身份確認參數(shù)及環(huán)簽名的有效性; 確認模塊:交互式零知識證明協(xié)議����,使指定驗證方確認示證方的身份; 具體的操作步驟為: 1) 系統(tǒng)初始化:生成環(huán)成員公私鑰對以及系統(tǒng)的公開參數(shù)����; 2) 簽名生成:真實簽名人生成消息簽名; 3) 簽名驗證:對于給定的消息和相應(yīng)的簽名����,驗證者首先檢測關(guān)鍵參數(shù)是否按要求生 成,接著再驗證簽名的有效性�����; 4) 身份確認:真實簽名人可通過一種交互式證明協(xié)議,使其指定的驗證方確信他的身 份�。2. 根據(jù)權(quán)利要求1所述的一種具備指定可驗證性的Schnorr環(huán)簽名方案,其特征 在于�����,所述系統(tǒng)初始化的具體操作為:首先系統(tǒng)選取大素數(shù)P���,q使得q|p_l���,且q> 2k, 其中k是方案的安全參數(shù)����;選取^中的兩個q階生成元g、h�����,以及抗碰撞的散列函數(shù)帶加密的散列函數(shù)令所有環(huán)成員為A11A2���,…��,An���,每個成員A1選取其私鑰則相應(yīng)的公鑰為綜上所述,系統(tǒng)的公開參數(shù)為params = (p, F)��,環(huán)成員的公私鑰集合為 { (Xi����,Yi) i= 。3. 根據(jù)權(quán)利要求1所述的一種具備指定可驗證性的Schnorr環(huán)簽名方案�����,其特征在于���, 所述簽名生成執(zhí)行以下步驟:步驟2-1 :隨機選取 步驟2-2 :隨機選取 步驟2-3 :為其余n-1個環(huán)成員Ai (i辛s)各選取一個隨機數(shù)A e &���,并計算步驟 2-4 :計算 m' = H1 (m I I a"" I I tO ; 步驟2-5 :隨機選取a € f,并計算步驟2-6 :計算步驟 2-7 :對消息 m 的簽名是(m���,R1, . . .���,Rn, 〇,a' b' U����,Θ ); 其中��,生成消息m的簽名���,真實簽名人As,s e {1��,2��,...�����,η}���。4. 根據(jù)權(quán)利要求1所述的一種具備指定可驗證性的Schnorr環(huán)簽名方案�����,其特征在于����, 所述簽名驗證具體步驟如下: 步驟3-1 :檢查等式是否成立�,若成立����,則執(zhí)行下一步�; 反之則簽名無效�; 步驟3-2 :計算對所有1彡i彡n,計算Iii= H(m'����,R J ; 步驟3-3 :檢查等式是否成立,若成立����,則簽名 有效;反之則簽名無效���。5.根據(jù)權(quán)利要求1所述的一種具備指定可驗證性的Schnorr環(huán)簽名方案�����,其特征在 于���,所述身份確認即向?qū)Ψ阶C明他知道以f為底,b $的對數(shù)����,且不泄露具體的V���,具體步驟如 下: 步驟4-1:簽名人隨機選,_并計算β = (Bi)aIiiod p�。同時,隨機選擇 并計算β的承諾:是指定驗證方的公鑰��,3心是其 私鑰����,PKv不同于所有環(huán)成員的公鑰y i (i = 1,2, ...���,η)�,簽名人將c發(fā)送給指定驗證方��; 步驟4-2 :指定驗證方隨機選取s 并發(fā)送給簽名人����; 步驟4-3:收到挑戰(zhàn)信息ε后,簽名人計算η = α+νε mod q并發(fā)送給指定驗證人��。 接著,簽名人公開β��,γ�����,供對方驗證承諾c ; 步驟4-4 :指定驗證方檢查兩個等式是否 成立��,若成立�,則確信被驗證方是關(guān)于消息m的真實簽名人�。
【專利摘要】本發(fā)明公開了一種具有指定可驗證性的Schnorr環(huán)簽名方案,該方案包括四個階段:系統(tǒng)初始化�;簽名生成;簽名驗證����;身份確認。方案的身份確認過程為交互式零知識證明�,僅需簽名人與驗證方2次交互,即可完成身份確認�����,且過程中出示的身份證據(jù)是不可傳遞的�����;同時該方案基于Schnorr環(huán)簽名,各階段均具有較高的執(zhí)行效率�,在隨機預(yù)言機模型下,可抗自適應(yīng)選擇消息攻擊����,即具備存在不可偽造性。
【IPC分類】H04L9/32
【公開號】CN105187212
【申請?zhí)枴緾N201510484057
【發(fā)明人】呂鑫, 劉璇, 馬鴻旭, 平萍, 李水艷, 王愛莉, 余群
【申請人】河海大學
【公開日】2015年12月23日
【申請日】2015年8月7日