具有门限追踪性的民主群签名方法

具体实施方式

下面结合附图对本发明的实施例作详细说明：本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1所示，本实施例包括如下步骤：

步骤一，可信中心生成系统公开参数，即根据给定安全参数λ，系统可信中心生成系统参数G，q，g，h，H，其中q是长为λ比特的素数，G为q阶乘法循环群，g和h为G上的任意两个生成元，H：{0，1}^*→Z_q为密码学意义上安全的哈希函数，其中Z_q＝{0，1，...，q-1}，G，q，g，h，H一起构成系统的公开参数；

步骤二，生成用户公钥、私钥，即群成员ID_i选取随机数x_i∈Z_q作为私钥，计算$y_i=h^{x_i}$作为其公钥，该用户将自己的公钥公开注册于可信中心以便系统中其他用户可以在可信中心处检索；在网络环境下，这些用户可以是处理某些特定事务的计算机或节点；

拥有公私钥(x_i，y_i)，i＝1，...，n的n个用户构成一个群体U＝{ID₁，ID₂，...，ID_n}，U中的每个用户均有权以群体的名义对任意消息产生民主群签名。

步骤三，如图2所示，某一群成员ID_k(1≤k≤n)作为签名人代表群体U对消息m产生民主群签名，比如合资企业的某个成员要代表合资企业发布支付现金命令，具体如下：

第一步，计算秘密分享：签名人ID_k以秘密分发者的身份执行一个公开可验证的秘密分享方案，实现对秘密值h^s的秘密(t，n)分发，具体为：

①在集合Z_q中选择随机数s，w_i，1≤i≤n和一个Z_q上常数项为s的t-1次随机多项式$p\left(x\right)=\underset{j=0}{\overset{t-1}{\Sigma }}{\alpha }_j{x}^j,$满足条件α₀＝s，签名人ID_k计算并广播自己对该多项式的承诺，即$\tau =g^{{\alpha }_0},$${\tau }_j=g^{{\alpha }_j},1\le j\le t-1,$利用这些承诺值计算${\chi }_i=\underset{j=0}{\overset{t-1}{\Pi }}{{\tau }_j}^{i^j},i=\mathrm{1,2},...,n,$其中τ₀＝τ；

②为使得群成员最终能够恢复出秘密值h^s，该签名人计算多项式值p(i)并用该值加密第i个成员的公钥，即计算并公布η_i＝y_i^p(i)，1≤i≤n；

③利用所选择的随机数、所有群成员的公钥及公开参数计算$a_{i1}=g^{w_i},$$a_{i2}={y_i}^{w_i},$利用所选择的哈希函数计算哈希值e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)并由该哈希值和多项式值获得响应值r_i＝w_i-p(i)e，1≤i≤n；

④作为秘密分享部分的输出，签名人置share＝(τ，τ₁，...，τ_t-1，η₁，...，η_n，e，r₁，...，r_n)。

此处，要求签名人对不同的消息执行民主群签名操作时需要使用不同的随机数s以便在群体U中分发不同的秘密值h^s，若分发相同的秘密值将可能导致意想不到的潜在威胁。

任何人在收到share后都能够确信秘密分发者是正确地产生了其输出结果，秘密分发者要想欺骗秘密接收者接受一个假秘密值在计算上是不可行的。

第二步，计算数字签名：签名者利用所分发的秘密和自己的私钥对消息m产生数字签名，具体为：

①签名人使用公开参数、自己的公钥和私钥以及分享的秘密计算$\gamma =g^{x_k},c=h^s{y}_k;$

②选择随机数r_k1，r_k2，z_i1，z_i2，ρ_i∈Z_q，i＝1，2，...，n，i≠k，并利用哈希值$l_{i1}=H(m,\tau ,\frac{c}{y_i}),l_{i2}=H(m,\gamma ,y_i)$和为其他成员选择的随机数为这些群成员计算承诺值$u_{i1}={\left(g^{l_{i1}}h\right)}^{z_{i1}}{\left({\tau }^{l_{i1}}\frac{c}{y_i}\right)}^{{\rho }_i},$$u_{i2}={\left(h^{l_{i2}}g\right)}^{z_{i2}}{\left({y_i}^{l_{i2}}\gamma \right)}^{{\rho }_i},i=\mathrm{1,2},...,n,i\ne k;$

③签名人利用自己的随机数和哈希函数值l_k1＝H(m，τ，h^s)，l_k2＝H(m，γ，y_k)计算承诺值$u_{k1}={\left(g^{l_{k1}}h\right)}^{r_{k1}},u_{k2}={\left(h^{l_{k2}}g\right)}^{r_{k2}},$并利用群体内所有成员的承诺值计算自己的挑战值${\rho }_k=H(m,\tau ,c,\gamma ,u_{11},...,u_{n1},u_{12},...,u_{n2})-\underset{j\ne k}{\Sigma }{\rho }_j,$z_k1＝r_k1-ρ_ks，z_k2＝r_k2-ρ_kx_k，签名人置sig＝(γ，c，ρ₁，...，ρ_n，z₁₁，...，z_n1，z₁₂，...，z_n2)作为数字签名部分。

签名人在群体U中分发的秘密值h^s以及其中的随机数s在签名过程中均被使用到，对不同的消息执行签名时使用的整数s应该是随机的，否则公开可验证秘密分享部分与签名人使用自己的私钥计算签名部分就是相互孤立开来的，这容易带来潜在攻击，本实施例中使得这些攻击是不可行的。

签名人以自己的私钥和群体U中所有成员的公钥计算出签名部分sig，这种方法使得任意签名接收者获得签名sig后能够确信是群体U产生了该签名，但是要想精确知晓群体U中哪个成员产生了sig在计算上是不可行的。由于签名人在计算中使用了自己的私钥，而这个私钥只有他自己才知道，所以不知道该私钥的人无法产生这样的签名。

第三步，输出民主群签名：将秘密分享部分和数字签名部分组成一个二元组(share，sig)作为群成员ID_k代表群体U对消息m最终产生的民主群签名。

步骤四，民主群签名有效性验证：任何人均可以判定步骤三所产生的民主群签名是否确实是由群体U中的某个群成员代表整个群体U产生的，如图3所示，具体如下：

①验证秘密分享部分是否有效：利用签名人对多项式的承诺值计算${\chi }_i=\underset{j=0}{\overset{t-1}{\Pi }}{{\tau }_j}^{i^j},i=\mathrm{1,2},...,n,$其中τ₀＝τ，进而重构$a_{i1}=g^{r_i}{{\chi }_i}^e,a_{i2}={y_i}^{r_i}{{\eta }_i}^e,$最后检查等式e＝H(χ₁，...，χ_n，η₁，...，η_n，a₁₁，...，a_n1，a₁₂，...，a_n2)是否成立，如果不成立，则意味着原签名人对h^s的秘密分享不正确从而拒绝该签名，否则执行步骤②；

②验证数字签名部分是否有效：验证者利用群体中所有成员的公钥计算哈希值$l_{i1}=H(m,\tau ,\frac{c}{y_i}),l_{i2}=H(m,\gamma ,y_i),$进而重构承诺值$u_{i1}={\left(g^{l_{i1}}h\right)}^{z_{i1}}{\left({\tau }^{l_{i1}}\frac{c}{y_i}\right)}^{{\rho }_i},$$u_{i2}={\left(h^{l_{i2}}g\right)}^{z_{i2}}·{\left({y_i}^{l_{i2}}\gamma \right)}^{{\rho }_i},i=\mathrm{1,2},...,n,$最后检查等式$\underset{i=1}{\overset{n}{\Sigma }}{\rho }_i=H(m,\tau ,c,\gamma ,u_{11},...,u_{n1},u_{12},...,u_{n2})$是否成立，如果不成立，则拒绝该签名，否则接受该民主群签名为有效。

由于只有群体U中的所有成员的公钥才能够使得该等式成立，通过这样的计算验证者能够确信签名来自群体U。但是，由于在这一验证过程中群体U中所有成员的地位都是对称的，所以，验证者并不能确切知道群体U中的哪一个成员产生了这个签名。这正是本方案能够提供签名者匿名性的原因。

步骤五，民主群签名追踪：在发生争端的情况下，比如一个签名通过了步骤四的验证过程，但是群体U中的所有成员均否认是自己产生了该签名，由群体U中不少于t个成员一起执行本步骤，以自己的私钥为输入，如图4所示，揭晓产生该签名的签名人真实身份，具体为：

①验证民主群签名是否有效：t个成员{ID₁，ID₂，...，ID_t}以签名验证者的身份验证该签名是否有效，如果该签名无效，则意味着该签名不是群体U产生的，所以不需要由群体U执行任何追踪计算，否则继续下面步骤；

②重构秘密：群成员ID_i(i＝1，...，t)利用自己的私钥为输入计算并公布${\xi }_i={{\eta }_i}^{{x_i}^{-1}};$参与运算的群成员根据这些节点广播的数据ξ_i执行拉格朗日插值运算，即计算${\lambda }_i=\underset{j=1,...,t,j\ne i}{\Pi }\frac{j}{j-i},i=1,...,t,$进而重构出由签名人分发的秘密值$\mu =\underset{i=1}{\overset{t}{\Pi }}{{\xi }_i}^{{\lambda }_i};$

③恢复签名人身份：利用步骤②中的秘密值执行解密运算并恢复出签名人的身份。

所述的解密运算，即任一节点都可以利用恢复出的秘密值的逆元μ^-1与密文c做乘积运算y＝cμ^-1，在群体U＝{ID₁，ID₂，...，ID_n}中查找公钥等于y的群成员即为产生该签名的真正签名人。

本实施例中不需要集权式的群管理者，只由所有群成员一起构成一个群体，群体中所有成员之间的地位都是对称的，从而消除了集权式的实体；群体外的用户无法产生该群体的民主群签名；避免了群体中的任一成员假冒群体中的其他成员产生一个有效的民主群签名；发生争端时，当且仅当不少于适当个数t的群成员通过协作计算才能够恢复出真实签名人的身份，少于t个群成员欲执行追踪操作是计算上不可行的，群体外的用户要执行追踪操作是计算上不可行的；本实施例具有形式化意义上的安全性论断，即是基于已知难题的计算复杂度安全。