(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210554511.2 (22)申请日 2022.05.19 (71)申请人 曲阜师范大学 地址 273165 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 李凤银　孙雪晴　王伊蕾　王萍　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 无证书的带批量验证的可追 踪环签名方法 (57)摘要 本发明涉及移动互联网安全及密码学领域， 具体讲的是一种无证书的带批量验证的可追踪 环签名方法。 在环签名中， 签名者以环成员的身 份对消息进行签名， 以达到隐藏其自身身份的效 果。 为了解决现有的环签名方法在无证书密码体 制下可追踪性与效率研究的不足， 本发明提供了 一种无证书的带批量验证的可追踪环签名方法， 允许签名者在无证书公钥密码体制下不暴露自 己的身份， 以环成员的身份对消息进行签名， 并 且为可信实体提供了追踪签名者真实身份的方 法， 同时支持批量验证环签名， 成功实现了环签 名在无证书体制下的可追 踪性和批处 理性。 权利要求书2页 说明书3页 附图1页 CN 115549913 A 2022.12.30 CN 115549913 A 1.一种无证书的带批量验证的可追踪环签名方法， 其特 征在于： (1)允许签名者在无证书公钥密码体制下隐藏自 己的身份并以环成员的身份对消息m 进行签名； (2)所提出方案具有可追踪性， 即允许高可信度的实体查询到签名的真实发布者； (3) 所提出的方案具有批量验证的功能， 即可以一次验证多个环签名； (4)通过将无证书公钥密码体制与环签名方案结合， 有效解决了环签名在实际应用中 安全、 效率方面的问题。 2.根据权利要求1所述的带批量验证的可追踪环签名方法， 包 含以下七个算法： (1)系统参数生成算法Setup： 输入安全参数， 输出系统参数； (2)部分私钥生成算法P artial‑Secret‑Key‑Generation： 输入系统参数及用户身份， 输出用户的部分人你私钥； (3)密钥生成算法K ey‑Generati on： 输入用户的部分密钥， 输出用户的公私密钥对； (4)签名生成算法Sign： 输入n个用户的公钥， 消息m， 签名者的私钥， 输出签名者对消息 m的环签名； (5)单个签名认证算法Verify： 输入消息m和签名者对消息m的环签名， 验证签名的有效 性， 如果有效， 输出1； 否则， 输出0； (6)批量认证算法Batch ‑Verify： 输入k个环签名和k条消息， 验证k个签名的有效性， 如 果有效， 输出1； 否则， 输出0； (7)追踪算法Track： 输入签名者对消息m的环签名， 返回签名者的公钥。 3.根据权利要求2所述的一种带批量验证的可追踪环签名方法， 具体算法实施步骤如 下： (1)系统参数生成Setup： (a)选取两个阶为素数p的循环群 和 一个双线性对 g是 的生成 元； (b)在模p的整数集种随机选取一个数SSK作 为密钥生成中心的主密钥， 并且计算SPK＝ SSK·g作为密钥生成中心的主公钥； (c)随机选取两个Hash函数 和 (d)发布系统参数 密钥生成中心秘密保存主密 钥SSK； (2)部分私钥生成Par tial‑Secret‑Key‑Generati on： (a)计算 将发给KGC； (b)对于系统中的所有用户， KGC计算用户的部分私钥 (c)KGC将用户的部分私钥pski发送给用户ui； (3)密钥生成K ey‑Generati on： (a)随机选择秘密值 然后计算用户ui的私钥 (b)用户ui计算 (c)用户ui发布公钥pki＝(pkai， pkbi)， 秘密保留私钥ski； (4)签名生成Sign：权　利　要　求　书 1/2 页 2 CN 115549913 A 2(a)签名者us选择n‑1个系统中的用户与自己组成一个环， 环用户集记为UN＝{u1…us… un}， 对应的环公钥集记为pkN＝{pk1…pks…pkn}； (b)us为环中每 个用户ui选择随机值ri(i＝1， ...， n)； (c)us计算Ri＝ri·g， Ti＝ri·pkbi， hi＝H2(m||pki||Ri||Ti)， (i＝1，…， n， i≠s)； (d)us计算 hs＝H2(m|| pks||Rs||Ts)， F＝rs·SPK+(hs+rs)·sks； (e)将{R1， ...Rs， ...Rn}记为RN， 将{T1， ...Ts， ...Tn}记为TN； (f)us生成签名 σ ＝(m， pkN， RN， TN， F)； (5)单个签名认证Verify： (a)计算hi＝H2(m||pki||Ri||Ti)(i＝1，…， n)； (b)验证等式 是否成立， 若等式成立， 则签 名有效， 输出1； 否则签名无效， 输出0； (6)批量认证Batc h‑Verify (a)输入σK＝{σ1， ...， σk}， 其中的σi＝(mi， pkNi， RNi， TNi， Fi)(i＝1，…， k)； (b)计算hij＝H2(mi||pkij||Rij||Tij)(i＝1， ...， k， j＝1， . ..， ni)； (c)验证等式 (d)若等式成立， 则签名有效， 输出1， 否则， 存在无效签名， 输出0； (7)追踪算法Track (a)审计节点向环中的用户ui(i＝1， ...， n)发送追踪请求和Ti； (b)用户返回T ′i＝di·Ti (c)审计节点验证等式e(Ti， pkbi)＝e(T′i， pkai)是否成立； (d)若等式不成立， 为消息真正的签名者， 返回签名者的公钥pks。权　利　要　求　书 2/2 页 3 CN 115549913 A 3