一种基于椭圆曲线的群签名方法

摘要

一种基于椭圆曲线的群签名方法，它有六大步骤：一、选取椭圆曲线上两个阶为p的乘法循环群G1，G2，以及一个非退化的双线性映射e，它把G1，G2中的元素映射到GT，即e：G1×G2→GT；二、群管理员运行密钥生成算法，产生群公钥，并为群中的成员产生签名密钥；三、在密钥生成算法群成员得到相应的签名密钥后，运行签名算法；四、验证者利用群公钥运行验证算法验证签名δ的有效性；五、签名追踪算法，对于给定的一个签名，将成员在该签名产生的时间段的撤销标识代入撤销验证不等式中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签；六、成员撤销算法，在某些情况下，要将一些成员的签名能力撤销掉，这需要计算相应时间间隔该成员的撤销标识，并公布到撤销列表中。

主权项

1.一种基于椭圆曲线的群签名方法，其特征在于：该方法具体步骤如下：步骤一：在系统初化阶段，选取椭圆曲线上两个阶为素数p的乘法循环群G₁，G₂,以及一个非退化的双线性映射e，它把G₁，G₂中的元素映射到G_T,即e：G₁×G₂→G_T；在本系统中选取G₁≠G₂，且从G₂到G₁存在一个有效的可计算的同态映射：ψ：G₂→G₁；步骤二：群管理员运行密钥生成算法KeyGen(n，T)，产生群公钥，并为群中的成员产生签名密钥，这里n，T分别指群中成员的个数、时间间隔的总数，这两个参数是作为输入参数，被输入到密钥生成算法中；产生密钥的具体实现过程如下：（1）随机选取G₂中的一个生成元g₂，以及一个碰撞自由的哈希函数H，它把由0和1构成的比特串映射到模p的整数域上，即令g₁＝ψ(g₂)，G₁＝<g₁>，即g₁是G₁的一个生成元；（2）随机选取中的一个随机元素γ，即计算公钥的组成部分（3）随机选取中的一个随机元素x_i，即对所有的成员i∈[1，n]，计算群成员i的签名密钥的组成部分（4）随机选取中的一个随机元素r_i，对所有的j∈[1，T]，计算第j个时间间隔中第i个群成员的撤销标识为${\mathrm{grt}}_{\mathrm{ij}}=({\mathrm{grt}}_{\mathrm{ij}}^1,{\mathrm{grt}}_{\mathrm{ij}}^2)=\left({\left({\mathrm{wg}}_2^{x_i}\right)}^{r_j}{h}_j^{\left({-x}_i\right)}\right),$以及公钥的组成部分为了降低不必要的运算量，这里的撤销标识不同以往方案，不是在密钥产生阶段就被计算，而是在需要撤销的时被计算；至此，密钥产生算法输出群公钥gpk＝(g₁，g₂，h₁，...，h_T，w)、群成员i的签名密钥gsk_i＝(A_i，x_i)；以上各式中的符号含义是γ：群管理员的密钥；(A_i，x_i)：第i个群成员的签名；步骤三：在密钥生成算法之后，群成员得到相应的签名密钥，就可以运行签名算法；群成员可以对任意的消息M进行签名，产生相应的签名δ；具体的签名算法Sign(gpk，j，gsk_i，M)运行过程如下：（1）随机选取$\alpha \in Z_p^{*},$计算$T_1=A_i^{\alpha },$$T_2=h_j^{\alpha +x_i};$（2）产生一个关于如下表示的知识签名即signature of knowledge：$\pi =\mathrm{SPK}\{(\alpha ,x_i,A_i):T_1=A_i^{\alpha },T_2=h_j^{\alpha +x_i},e(A_i,w{g_2}^{x_i})=e(g_1,g_2)\}\left(M\right)$$\mathrm{SPK}\{(\alpha ,x_i,A_i):e(T_1,w)=e{(g_1,g_2)}^{\alpha }/e{(T_1,g_2)}^{x_i},T_2=h_j^{\alpha -x_i}\}\left(M\right)$具体操作为：（a）随机选择盲因子r_α，计算$R_1=e{(g_1,g_2)}^{r_{\alpha }}/e{(T_1,g_2)}^{r_{x_i}}---\left(1\right)$$R_2=h_j^{r_{\alpha }+r_{x_i}}---\left(2\right)$(b)计算挑战值c＝H(gpk，j，M，T₁，T₂，R₁，R₂)，以及（3）最后输出签名式中δ：表示群成员产生的一个群签名；步骤四：当收到签名δ时，验证者利用群公钥运行验证算法Verify(gp k，_j，RL_j，δ，M)，就可以验证签名δ的有效性，具体实现过程如下：（1）签名验证：计算${\bar{R}}_1=e{(g_1,g_2)}^{s_{\alpha }}{(1/e(T_1,g_1))}^{{s_x}_i}{\left(\frac{1}{e(T_1,w)}\right)}^c---\left(3\right)$${\bar{R}}_2=h^{s_{\alpha }+s_{x_i}}{(1/T_2)}^c---\left(4\right)$检验等式是否成立，来判定挑战c是否有效；（2）撤销验证：在签名验证通过后，可以利用该算法验证产生签名δ的群成员是否是合法的群成员，即确定其签名密钥相应的撤销标识没有包含在撤销列表中；操作如下：在第j时间间隔里，对撤销列表中的每一个撤销标识检验不等式是否成立；若成立，则表明成员是合法的群成员，没有被撤销；反之，成员已经被撤销；通过以上两步检验的签名，即为一个合法成员的有效签名；步骤五：签名追踪算法，对于给定的一个签名，可以把成员i在该签名产生的时间间隔j的撤销标识grt_ij一一代入撤销验证不等式中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签；步骤六：成员撤销算法，在一些特定情况下，需要将一些成员的签名能力撤销掉，这时只需要计算相应时间间隔j该成员i的撤销标识grt_ij，并公布到撤销列表RL_j中。