CN105187212A - 一种具有指定可验证性的Schnorr环签名方案 - Google Patents

Abstract

本发明公开了一种具有指定可验证性的Schnorr环签名方案，该方案包括四个阶段：***初始化；签名生成；签名验证；身份确认。方案的身份确认过程为交互式零知识证明，仅需签名人与验证方2次交互，即可完成身份确认，且过程中出示的身份证据是不可传递的；同时该方案基于Schnorr环签名，各阶段均具有较高的执行效率，在随机预言机模型下，可抗自适应选择消息攻击，即具备存在不可伪造性。

Description

一种具有指定可验证性的Schnorr环签名方案

技术领域

本发明涉及一种数字签名技术，尤其涉及一种具备指定可验证性的Schnorr环签名方案。

背景技术

越来越多的网络应用涉及隐私信息的交互，对匿名通信能力的需求日益增加。环签名是一种新型的匿名签名技术，由Rivest等人于2001年在“安全泄露秘密”的背景下提出。它是一种特殊的面向群体的签名，没有群管理员及群的建立过程，签名者只需任意选取一部分成员公钥(用于隐藏签名者身份)，再通过自己的私钥生成一个签名，这样减少了很多复杂的交互证明过程。环签名的最大特点是签名者具有无条件匿名性，即使攻击者拥有无限的计算能力，也无法追踪签名人的身份。因此，它在匿名电子选举、电子货币***、自组织网络通信以及安全多方计算中都有广泛的应用。

环签名是一种匿名技术，然而在有些情况下需要撤销其匿名性。比如在某些场合，要给泄密者(签名人)颁奖，需要真实签名人证明其身份。鉴于此问题，较早的研究工作有：Lv等人于2003年提出的基于双离散对数的可验证环签名方案，但签名复杂度过高。2004年，GAN等人在阀下信道中嵌入认证信息，也实现了环签名的可验证，然而实现成本较高。另外，还有人提出可转换的环签名方案。如果真实签名人需要证实其身份，他可通过泄露有关环签名的秘密信息将环签名转换为普通签名，但如此一来任何验证者都可获得其身份信息，身份暴露的范围将不可控。

近年来，又陆续提出了可否认的环签名(Komanoetal,2006)，Step-Out环签名(Klonowskietal,2008)，扩展的RST环签名(Dongetal,2012)，但它们都存在交互过程繁复，实现复杂，效率低下的问题。

发明内容

发明目的：针对上述问题，本发明提出了一种构造简洁、高效且可验证的Schnorr环签名方案，并且其具备不可伪造性且身份的验证范围可控的特性。

技术方案：所述的一种具备指定可验证性的Schnorr环签名方案，包括以下模块：

***初始化模块：基于相应的安全参数，选取方案所需的公开参数，为每个环成员生成公私钥对；

签名模块：即概率性签名算法，概率地生成环签名以及用于身份确认的关键参数；

验证模块：非交互式确定性证明算法，验证身份确认参数及环签名的有效性；

确认模块：交互式零知识证明协议，使指定验证方确认示证方的身份；

包括具体的操作步骤为：

1)***初始化：生成环成员公私钥对以及***的公开参数；

2)签名生成：真实签名人生成消息签名；

3)签名验证：对于给定的消息和相应的签名，验证者首先检测关键参数是否按要求生成，接着再验证签名的有效性；

4)身份确认：真实签名人可通过一种交互式证明协议，使其指定的验证方确信他的身份。

***初始化具体步骤：首先***选取大素数p,q使得q|p-1，且q＞2^k，其中k是方案的安全参数；选取中的两个q阶生成元g,h，以及抗碰撞的散列函数H₁():{0,1}^*→Z_p，带加密的散列函数令所有环成员为A₁,A₂,…,A_n，每个成员A_i选取其私钥 $x_i\∈Z_q^{*},$ 则相应的公钥为 $y_i=g^{x_i}\mathrm{mod}p;$

综合上所述，***的公开参数为params＝(p,q,g,h,H,H₁,F)，环成员的公私钥集合为{(x_i,y_i)_{i＝1,2,…,n}}；

签名生成具体为：为了生成消息m的签名，真实签名人A_s,s∈{1,2,…,n}执行以下步骤：

步骤2-1：随机选取并计算a^*＝h^amodp,b^*＝(a^*)^vmodp；

步骤2-2：随机选取并计算

U＝(a^*)^umodp,θ＝u+vF(m||a^*,U)modq；

步骤2-3：为其余n-1个环成员A_i(i≠s)各选取一个随机数并计算 $R_i=g^{a_i}\mathrm{mod}p(i\≠s);$

步骤2-4：计算m′＝H₁(m||a^*||b^*)；

步骤2-5：随机选取 $a_s\∈Z_q^{*},$ 并计算 $R_s=g^{a_s}\underset{i\≠s}{\mathrm{\Π}}{y}_i^{-H(m^{\′},R_i)}\mathrm{mod}p;$

步骤2-6：计算 $\mathrm{\σ}=\underset{i=1}{\overset{n}{\Σ}}{a}_i+x_{s}H(m^{\′},R_s)\mathrm{mod}q;$

步骤2-7：对消息m的签名是(m,R₁,…,R_n,σ,a^*,b^*,U,θ)；

签名验证具体步骤如下：

步骤3-1：检查等式是否成立，若成立，则执行下一步；反之则签名无效；

步骤3-2：计算m′＝H₁(m||a^*||b^*)，对所有1≤i≤n，计算h_i＝H(m′,R_i)；

步骤3-3：检查等式 $g^{\mathrm{\σ}}=R_1\·R_2\·...\·R_n\·y_1^{h_1}\·y_2^{h_2}...\·y_n^{h_n}\mathrm{mod}p$ 是否成立，若成立，则签名有效；反之则签名无效；

身份确认具体步骤如下：

步骤4-1：签名人随机选择并计算β＝(a^*)^αmodp。同时，随机选择 $\mathrm{\γ}\∈Z_q^{*},$ 并计算β的承诺 $c=g^{\mathrm{\β}}{\mathrm{PK}}_v^{\mathrm{\γ}}\mathrm{mod}p,$ 其中 ${\mathrm{PK}}_v=g^{{\mathrm{SK}}_v}\mathrm{mod}p$ 是指定验证方的公钥，SK_v是其私钥，PK_v不同于所有环成员的公钥y_i(i＝1,2,…,n)。签名人将c发送给指定验证方；

步骤4-2：指定验证方随机选取并发送给签名人；

步骤4-3：收到挑战信息ε后，签名人计算η＝α+vεmodq并发送给指定验证人。接着，签名人公开β,γ，供对方验证承诺c；

步骤4-4：指定验证方检查两个等式c＝g^β(PK_v)^γmodp，(a^*)^η＝β(b^*)^εmodp是否成立，若成立，则确信被验证方是关于消息m真实签名人。

对上述技术方案涉及的相关概念进行说明和解释：

一、单向陷门函数(Trap-doorone-wayfunction)

单向陷门函数是数字签名的基础，单向陷门函数f_t(x):D→R，是一个单向函数，即对任意的x∈D，容易计算f_t(x)，而对几乎所有R中的值，求逆困难。但是，如果知道陷门信息t，则对所有的y∈R，容易计算满足y＝f_t(x)的x∈D；其中，单向陷门函数是公钥密码的基础，f_t(x)相当于对x加密，而陷门信息t则相当于私钥，用于解密f_t(x)中的x，在没有t的情况下，即没有私钥的情况下，解密(求逆)是困难的。公钥密码除了便于加解密，也使得数字签名成为可能，两者都是基于单向陷门函数的。

二、对于***初始化中，选取大素数p,q，进而生成环成员公私钥对(x_i,y_i)，其中，涉及DL(DiscreteLogarithm)困难问题假定，其定义为：给定素数q及有限域F_q，g是的一个生成元，对于任意的求解惟一的整数a＜q，满足h＝g^a。

有益效果：与现有技术相比，本发明的优点在于：设计了一种具有特殊性质的环签名方案，该方案增加了身份确认功能，在身份确认过程中仅需签名人与验证方2次交互，即可完成身份确认，操作简便，构造简洁、高效，且实现了身份验证范围的可控性。

附图说明

图1是普通的Schnorr环签名方案流程图；

图2是本发明的具备指定可验证性的Schnorr环签名方案流程图。

具体实施方式

下面结合附图和具体实施方式，进一步阐明本发明。

如图1所示，为普通Schnorr环签名方案(Herranzetal,2003)，它包括***初始化、签名生成、签名验证3个步骤，本发明涉及的一种具备指定可验证性的Schnorr环签名方案是在其基础上增加了身份确认的步骤，如图2所示，该方案包括***初始化模块、签名模块、验证模块和确认模块；该方案选择生成签名和验证签名的***参数，并生成环成员公私钥；成员利用私钥对消息进行签名；验证者根据***公开参数和所有环成员公钥对消息签名进行验证；签名人利用指定验证人公钥发起交互式证明协议，通过此过程指定验证人可确认对方是否是真实签名人。

由图2给出本发明各个模块执行的具体操作步骤：

步骤1，首先***选取大素数p,q使得q|p-1，且q＞2^k，其中k是方案的安全参数。选取中的两个q阶生成元g,h，以及抗碰撞的散列函数H₁():{0,1}^*→Z_p，带加密的散列函数令所有环成员为A₁,A₂,…,A_n，每个成员Ai选取其私钥 $x_i\∈Z_q^{*},$ 则相应的公钥为 $y_i=g^{x_i}\mathrm{mod}p.$

综合上述信息，***的公开参数为params＝(p,q,g,h,H,H₁,F)，环成员的公私钥集合为{(x_i,y_i)_{i＝1,2,…,n}}。

为了生成消息m的签名，真实签名人A_s,s∈{1,2,…,n}执行以下步骤：

步骤2-1：随机选取并计算a^*＝h^amodp,b^*＝(a^*)^vmodp；

步骤2-2：随机选取并计算U＝(a^*)^umodp,θ＝u+vF(m||a^*,U)modq；

步骤2-3：为其余n-1个环成员A_i(i≠s)各选取一个随机数并计算 $R_i=g^{a_i}\mathrm{mod}p(i\≠s);$

步骤2-4：计算m′＝H₁(m||a^*||b^*)；

步骤2-5：随机选取 $a_s\∈Z_q^{*},$ 并计算 $R_s=g^{a_s}\underset{i\≠s}{\mathrm{\Π}}{y}_i^{-H(m^{\′},R_i)}\mathrm{mod}p;$

步骤2-6：计算 $\mathrm{\σ}=\underset{i=1}{\overset{n}{\Σ}}{a}_i+x_{s}H(m^{\′},R_s)\mathrm{mod}q;$

步骤2-7：对消息m的签名是(m,R₁,…,R_n,σ,a^*,b^*,U,θ)。

对于给定的消息m和相应的签名，验证者首先检测关键参数a^*,b^*是否按要求生成，接着再验证签名的有效性。具体操作步骤如下：

步骤3-1：检查等式是否成立。若成立，则执行下一步；反之则签名无效；

步骤3-2：计算m′＝H₁(m||a^*||b^*)，对所有1≤i≤n，计算h_i＝H(m′,R_i)；

步骤3-3：检查等式 $g^{\mathrm{\σ}}=R_1\·R_2\·...\·R_n\·y_1^{h_1}\·y_2^{h_2}...\·y_n^{h_n}\mathrm{mod}p$ 是否成立。若成立，则签名有效；反之则签名无效。

真实签名人可通过以下交互式证明协议，使其指定的验证方确信他的身份，即向对方证明他知道以a^*为底，b^*的对数(***露具体的v)。具体步骤如下：

步骤4-1：签名人随机选择并计算β＝(a^*)^αmodp。同时，随机选择 $\mathrm{\γ}\∈Z_q^{*},$ 并计算β的承诺 $c=g^{\mathrm{\β}}{\mathrm{PK}}_v^{\mathrm{\γ}}\mathrm{mod}p,$ 其中 ${\mathrm{PK}}_v=g^{{\mathrm{SK}}_v}\mathrm{mod}p$ 是指定验证方的公钥，SK_v是其私钥，PK_v不同于所有环成员的公钥y_i(i＝1,2,…,n)。签名人将c发送给指定验证方；

步骤4-2：指定验证方随机选取并发送给签名人；

步骤4-3：收到挑战信息ε后，签名人计算η＝α+vεmodq并发送给指定验证人。接着，签名人公开β,γ，供对方验证承诺c；

步骤4-4：指定验证方检查两个等式c＝g^β(PK_v)^γmodp，(a^*)^η＝β(b^*)^εmodp是否成立。若成立，则确信被验证方是关于消息m的真实签名人。

本发明较现有的Schnorr环签名方案，增加了身份确认功能。验证方仅需与签名人进行2次交互，即可确认对方是否是真实签名人。与同类的可验证/可撤销匿名性环签名方案相比，本发明的构造简洁、高效，并实现了身份验证范围的可控。

下面将对本发明的环签名方案应用于企业的情况进行说明。

依照本发明的步骤，当政府部门或大型企业应用本发明的签名***时，如某一职员发现领导、上司的贪腐或失职行为，他可利用部门内部所有员工的公钥生成环签名，将举报信息公之于众或向更高的上级反映。由于公钥信息均来自部门内部，验证者(举报信息接收者)可确信消息来源，但无法确认举报者身份。举报信息一经查实，有关部门希望对举报者给予奖励，此时该职员可通过身份确认功能，向具体负责人证实其身份。由于该过程的不可传递性，验证方无法散播举报人的身份信息，避免了被举报人及其同党可能实施的报复行为。

所以，本发明带来的有益效果是：增强了环签名方案的适用性，尤其适用于匿名举报--事后奖励的应用场景。

对该技术领域的普通技术人员而言，根据以上实施类型可以很容易联想其他的优点和变形。因此，本发明并不局限于上述具体实例，其仅仅作为例子对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员根据上述具体实例通过各种等同替换所得到的技术方案，均应包含在本发明的权利要求范围及其等同范围之内。

Claims (5)

1.一种具备指定可验证性的Schnorr环签名方案，其特征在于：包括以下模块：

***初始化模块：基于相应的安全参数，选取方案所需的公开参数，为每个环成员生成公私钥对；

签名模块：即概率性签名算法，概率地生成环签名以及用于身份确认的关键参数；

验证模块：非交互式确定性证明算法，验证身份确认参数及环签名的有效性；

确认模块：交互式零知识证明协议，使指定验证方确认示证方的身份；

具体的操作步骤为：

1)***初始化：生成环成员公私钥对以及***的公开参数；

2)签名生成：真实签名人生成消息签名；

3)签名验证：对于给定的消息和相应的签名，验证者首先检测关键参数是否按要求生成，接着再验证签名的有效性；

4)身份确认：真实签名人可通过一种交互式证明协议，使其指定的验证方确信他的身份。

2.根据权利要求1所述的一种具备指定可验证性的Schnorr环签名方案，其特征在于，所述***初始化的具体操作为：首先***选取大素数p,q使得q|p-1，且q＞2^k，其中k是方案的安全参数；选取中的两个q阶生成元g、h，以及抗碰撞的散列函数H₁():{0,1}^*→Z_p，带加密的散列函数令所有环成员为A₁,A₂,…,A_n，每个成员A_i选取其私钥则相应的公钥为

综上所述，***的公开参数为params＝(p,q,g,h,H,H₁,F)，环成员的公私钥集合为{(x_i,y_i)_{i＝1,2,...,n}}。

3.根据权利要求1所述的一种具备指定可验证性的Schnorr环签名方案，其特征在于，所述签名生成执行以下步骤：

步骤2-1：随机选取a,并计算a^*＝h^amodp,b^*＝(a^*)^vmodp；

步骤2-2：随机选取并计算U＝(a^*)^umodp,θ＝u+vF(m||a^*,U)modq；

步骤2-3：为其余n-1个环成员A_i(i≠s)各选取一个随机数并计算

步骤2-4：计算m′＝H₁(m||a^*||b^*)；

步骤2-5：随机选取并计算

步骤2-6：计算

步骤2-7：对消息m的签名是(m,R₁,...,R_n,σ,a^*,b^*,U,θ)；

其中，生成消息m的签名，真实签名人A_s,s∈{1,2,...,n}。

4.根据权利要求1所述的一种具备指定可验证性的Schnorr环签名方案，其特征在于，所述签名验证具体步骤如下：

步骤3-1：检查等式是否成立，若成立，则执行下一步；

反之则签名无效；

步骤3-2：计算m′＝H₁(m||a^*||b^*)，对所有1≤i≤n，计算h_i＝H(m′,R_i)；

步骤3-3：检查等式是否成立，若成立，则签名有效；反之则签名无效。

5.根据权利要求1所述的一种具备指定可验证性的Schnorr环签名方案，其特征在于，所述身份确认即向对方证明他知道以a^*为底，b^*的对数，且***露具体的v，具体步骤如下：

步骤4-1：签名人随机选择并计算β＝(a^*)^αmodp。同时，随机选择并计算β的承诺其中是指定验证方的公钥，SK_v是其私钥，PK_v不同于所有环成员的公钥y_i(i＝1,2,...,n)，签名人将c发送给指定验证方；

步骤4-2：指定验证方随机选取并发送给签名人；

步骤4-3：收到挑战信息ε后，签名人计算η＝α+vεmodq并发送给指定验证人。接着，签名人公开β,γ，供对方验证承诺c；

步骤4-4：指定验证方检查两个等式 是否成立，若成立，则确信被验证方是关于消息m的真实签名人。