环签密方案

基于MPKCs可撤销匿名性的环签名方案王晓兰【期刊名称】《河南科学》【年(卷),期】2015(000)001【摘要】可撤销匿名性的环签名方案是一种允许多用户完全匿名签名的方案，并可追踪签名者的真实身份，迄今为止所有可撤销匿名性的环签名方案都基于传统密码体制。

然而随着量子计算机的出现，传统密码体制的安全性受到威胁。

多变量公钥密码体制（MPKCs）是一种高效的密码体制，并且有可能成为后量子时代安全的密码体制。

提出了一个基于MPKCs可撤销匿名性的环签名方案，该方案满足无条件匿名性，在非适应性选择消息下满足不可伪造性，可撤销匿名性，且运算效率高。

%Ring signature schemes with revocable anonymity allow multi-users to sign the message completely anonymously and to trace real status of signer. So far all of the ring signature schemes with revocable anonymity are based on the traditional cryptosystems. However,with the emergence of quantum computers,the security of the traditional cryptosystems is under threat. Multivariate public key crypto system(MPKCs)is a highly efficient cryptosystem, and it may survive in the post quantum computer times. This paper presents a ring signature scheme with revocable anonymity based on MPKCs. The new ring signature scheme is unconditional anonymity and secure against non-adaptive chosen message attack,it also meets the revocable anonymity,and exceptional efficiency.【总页数】4页(P69-72)【作者】王晓兰【作者单位】宝鸡文理学院网络管理中心，陕西宝鸡 721013【正文语种】中文【中图分类】TN918.1【相关文献】1.可撤销匿名性的盲代理群签名方案 [J], 薛益民;米军利2.使用群签名实现的可撤销匿名性电子现金方案 [J], 朱云峰;王富荣;薛集明3.匿名性可撤销的高效环签名构建 [J], 程小刚;郭韧;陈永红4.一种可撤销匿名性的环签名方案 [J], 黄大威;杨晓元;陈海滨5.具有可撤销匿名性的DC-Net匿名通信方案 [J], 李龙海;付少锋;肖国镇因版权原因，仅展示原文概要，查看原文内容请购买。

一种新的基于双线性对的代理环签名方案中图法分类号：TP309.2文献标识码：A2001年，R.Rivest等人[1]提出了环签名概念，它是一种新的匿名签名技术，对于签名者而言是无条件匿名的，它因签名参数由一定的规则首尾相连形成一个环而得名。

代理签名是1996年由M.Mambo等人[2]提出，利用代理签名原始签名人可以将他(她)的签名权委托给代理签名者，对任何消息代理人都可以进行签名，任何知道原始签名人的公钥者都可以对签名进行验证。

代理环签名是由F.Zhang等人[3]提出，它把代理签名和环签名结合起来满足代理签名和环签名的特性。

本文结合文献[4，5]，给出了一个新的代理环签名方案，该方案比文献[4，6]中的方案（以下简称A-S方案）更有效，在签名生成时不需要对运算，而A-S方案在签名生成时需要2n-1个对运算。

在签名验证时，A-S方案需要两个对运算，但他们的验证等式是不正确的，本文给出了正确的验证等式；修改后的A-S方案与本方案同样在签名验证时需要n+1个对运算。

在电子现金、匿名电子选举等既需要代理签名又需要保护代理签名者的权利时，该方案是非常有用的。

1 双线性对与代理环签名1.1 双线性对的性质1.2 几个计算困难性问题本文中假定DLP，CDHP是计算困难的。

1.3 代理环签名的安全性要求代理环签名一般具有以下安全特性：(1)可区分性。

代理环签名区别于代理签名者一般的环签名。

(2)可验证性。

从代理环签名中，任何人都可以验证签名的正确性。

(3)不可伪造性。

一个授权的代理签名者可以产生一个合法的代理环签名，但是原始签名者和第三方不能产生一个合法的代理环签名。

(4)不可否认性。

代理签名者一旦生成一个合法的环签名，就不能再否认。

(5)无条件匿名性。

攻击者（包括原始签名者）也不知道谁是真正的代理环签名者。

2 基于双线性对的短签名方案及A-S方案2.1 基于双线性对的短签名方案文献[5]中给出了一个基于双线性对的短签名方案，下面加以简单介绍。

标准模型下基于身份的环签名方案赵艳琦;来齐齐;禹勇;杨波;赵一【摘要】In this paper,we propose an identity-based ring signature scheme based on Waters dual system encryption technology and the orthogonality property of composite order bilinear group operation.The scheme,relying on two simple static assumptions,is fully secure in the standard model.Due to the merit of Hierarchical identity-based encryption (HIBE),the proposed ring signature scheme achieves unconditional anonymity and has much higher computational efficiency.%本文利用Waters提出的对偶系统加密技术,结合合数阶群上双线性运算的正交性,提出了一个基于身份的环签名方案.该方案在标准模型下是完全安全的,其安全性依赖于两个简单的静态假设.该方案借助分级身份加密(Hierarchical Identity-Based Encryption,HIBE)的思想,使得环签名满足无条件匿名性且具有较高的计算效率.【期刊名称】《电子学报》【年(卷),期】2018(046)004【总页数】6页(P1019-1024)【关键词】对偶系统;基于身份的环签名;标准模型;分级身份加密;匿名性【作者】赵艳琦;来齐齐;禹勇;杨波;赵一【作者单位】陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062【正文语种】中文【中图分类】TP3091 引言环签名是由 Rivest等人[1]首次提出，目的在于保证签名者能够以一种完全匿名的方式进行签名．签名者可以匿名选择签名组，而组成员完全不知道被包括在该组中．任何验证者只能确信这个签名来自群组中的某个成员，但不能确认真实签名者的身份．与群签名[2～5]相比，环签名没有群体建立的过程，也无特殊的管理者．不需要预先加入和撤出单个群体，群体的形成是根据需要在签名前由签名者自己指定．根据环签名的完全匿名性，在特殊环境中有不同应用．例如：电子投票[6]，匿名电子举报[7,8]，Ad Hoc网络认证[9]等．基于身份的密码体制由Shamir首次提出[10]，其中直接将用户的身份(如电话号码、身份证号等)作为公钥，不需要维护所签发的证书列表，因此得到广泛的实际应用．基于身份的环签名结合了环签名和身份签名的性质，由Zhang和Kim首次给出了构造[11]．2006年Au等人在标准模型下提出了基于身份可证安全的环签名方案[12]．近几年，标准模型下基于身份的环签名成为新的研究热点，提出了很多方案[13～16]．2009年Waters[17]为解决分离式策略在HIBE安全性证明中的不足，首次提出对偶系统加密技术．在该技术中密文和密钥可分为两种计算不可区分的形式：正常的和半功能的．正常的密文和密钥在实际方案中使用，而半功能的密文和密钥只用在安全性证明中．并运用对偶系统加密技术构造了更紧的完全安全的HIBE方案．该方案的安全性是基于DBDH假设和判定性线性假设，但密文长度随着层数的增加呈线性递增．2010年Lewko和Waters[18]利用对偶系统加密技术构造了短密文的完全安全的HIBE方案．该方案的安全性是基于合数阶群和三个静态假设为对偶系统加密的实现提供了新方法．2011年Lewko和Waters[19]提出无界的HIBE方案，该方案可以构造任意层数的HIBE而不需要在初始化阶段对层数进行限制．2013年Au等人利用Lewko和Waters[19]无界HIBE方案，构造了基于HIBE标准模型下完全安全身份环签名方案[20]，但环签名长度随着环成员增加成线性增长，且计算效率较低．本文受Lewko和Waters利用对偶系统可以构造完全安全HIBE的启发，结合Au 等人所提基于HIBE身份环签名[20]结构，构造了一个新的基于HIBE的身份环签名方案．该方案建立在标准模型下，通过使用对偶系统密码技术和合数阶双线性群系统的双线性运算，利用合数阶双线性运算的子群正交性删除了随机标签的介入，使得密钥和签名只包含3个子群元素．该方案的安全性规约在简单的静态假设下，其安全性证明显示方案是存在性不可伪造的，且具有无条件匿名性．与Au等人提出的方案相比，本文的计算效率更高．2 预备知识2.1 符号概念本文中，G表示一个算法，ψ←RG表示G返回随机值ψ．p1,p2,p3表示三个不同的素数，N=p1p2p3，G和GT为N阶循环群，单位元记为1，g←RG表示随机选取群G中元素g．{0,1}*表示任意长的0，1串．N表示模N的整数环，x←RN表示从N中任取一个元素x．用户身份集合L={ID1,…,IDn}．M∈{0,1}*表示M为任意长的0，1串．{x1,y1,x2,y2,…,xn,yn}表示2n个不同元素，简记为2.2 合数阶双线性群合数阶双线性群被首次使用在文献[21]中．一个群生成算法G，输入安全参数λ，输出双线性群G．构建群系统ψ=(N=p1p2p3,G,GT,e)，其中e:G×G→GT是双线性映射，满足以下性质：① 双线性性：∀u,v∈G，a,b←RN，e(ua,vb)=e(u,v)ab；② 非退化性：∃ g∈G，使得e(g,g)在GT中阶为N；令Gp1,Gp2,Gp3分别表示G中阶为p1,p2,p3的子群．同时Gp1p2表示G中阶为p1p2的子群．当hi←RGpi,hj←RGpj且i≠j时，e(hi,hj)是GT中单位元，例如h1←RGp1,h2←RGp2，满足e(h1,h2)=1，我们称Gp1,Gp2,Gp3的这一特性为正交性．2.3 安全性假设以下给出的安全性假设均为静态假设，这些假设在文献[18]中已经证明．假设1 给定群系统生成算法G，构建群系统：ψ=(N=p1p2p3,G,GT,e)←RG，选取参数：g,X1←RGp1,X2,Y2←RGp2,X3,Y3←RGp3,已知D=(ψ,g,X1X2,X3,Y2Y3)，T1←RG和T2←RGp1p3是不可区分的．其中T1可以被唯一表示成Gp1，Gp2与Gp3中元素的乘积，称这些元素分别是T1中的Gp1部分，T1中的Gp2部分和T1中的Gp3部分．类似地，T2可以表示成Gp1中和Gp3中元素的乘积．假设2 给定群系统生成算法G，构建群系统：ψ=(N=p1p2p3,G,GT,e)←RG，选取如下参数α,s←RN，g←RGp1，X2,Y2,Z2←RGp2，X3←RGp3．已知D=(ψ,g,gαX2,X3,gsY2,Z2)，计算出T=e(g,g)αs是困难的．2.4 基于身份的环签名安全模型一个安全的环签名方案需要同时满足不可伪造性和匿名性，详细安全模型见文献[14]．3 基于身份的环签名方案3.1 身份环签名构造环签名是在LW10-HIBE基于身份加密系统基础上构造的．Setup：选择N阶双线性群G(N=p1p2p3，p1,p2,p3为不同的素数)，用哈希函数将任意长身份映射到N，因此下文假定任一身份ID∈N，H1:{0,1}*×{0,1}*→N 为抗碰撞的hash函数，选择α←RN，g,u1,u2,h∈Gp1，X3←RGp3，α为主密钥．公开参数Extract：生成身份ID对应的私钥，随机选取计算(1)Sign：L={ID1,ID2,…,IDn}作为身份环签名的身份集合，我们假设实际签名者为IDπ(IDπ∈L)，签名消息M∈{0,1}*，计算m=H1(M,L)，用dIDπ执行以下步骤① 签名者随机选取② i=1,…,n(2)(3)i=π Aπ(4)(5)③ 输出环签名Verify：给定身份集合L={ID1,ID2,…,IDn}关于消息M∈{0,1}*的环签名验证者计算m=H1(M,L)，随机生成s←RN 验证等式：(6)如果成立输出Valid，否则输出Invalid．正确性：从下面的推导中很容易得出方案是正确的．=e(g,g)αs(7)3.2 安全性证明定理1 若假设1，2成立，我们构造的方案满足定义1(方案是不可伪造的)．证明签名类型分为两种：正常的和半功能的．通过签名算法生成的合法签名称为正常签名．若签名中Ai,Bi(i=1,…,n)是由Gp1,Gp2,Gp3中元素构成，则称为半功能签名．密钥类型也分为两种：正常的和半功能的．通过密钥算法生成的合法密钥dID=(d0,d1,d2)，称为正常密钥．若(d0,d1,d2)是由Gp1,Gp2,Gp3中元素构成，则称为半功能密钥．通过一系列不可区分的游戏来完成安全性证明．第一个游戏是Gamereal不可伪造性游戏，返回给敌手A的密钥和签名都是正常的．其次是Gamerestricted游戏，它与Gamereal的区别在于A询问的身份与挑战身份不能是模p2相等的，比Gamereal中A询问的身份与挑战身份不能是模N相等的限制性更强．同时A生成的哈希值，在mod p2时也是可区分的(即A不能生成两个环身份集合和消息，(L,M)≠(L′,M′)，但H1(L,M)=H1(L′,M′)mod p2)，在后面的游戏中，将保留这个更加严格的限制．其次是Gamek游戏，前k次询问回答是半功能的．例如：第j 次是密钥询问，j<k，返回给A的密钥为半功能的．如果第j次询问为签名询问，j<k，返回给A的签名也为半功能的．否则，返回密钥和签名都是正常的.最后是游戏GameqE+qS，返回给A的密钥和签名都为半功能的．引理1 如果存在一个敌手A使得GamerealAdvA-GamerestrictedAdvA=ε，模拟者S以ε的优势攻破假设1．证明给定g,X1X2,X3,Y2Y3，S和A模拟游戏Gamereal或Gamerestricted.如果A能以ε的优势区分Gamereal和Gamerestricted，那么A就能找到两个身份ID和ID*，使得ID≠ID*mod N，并且p2整除ID-ID*， S通过这些身份计算p=gcd(ID-ID*,N)得到N的一个非平凡因子．设考虑以下三种情况：① p,q中有一个为p1，另一个为p2p3，通过测试(Y2Y3)p和(Y2Y3)q中有一个为单位元，不失一般性的令p=p1,q=p2p3，S通过检测e(Tp,X1X2)是否为单位元，判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．②p,q中有一个为p2，另一个为p1p3，已经排除第一种可能，通过测试(X1X2)p 和(X1X2)q中有一个为单位元，不失一般性的令p=p1,q=p1p3，S通过检测Tq 是否为单位元，判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．③ p,q中有一个为p3，另一个为p1p2，当1，2都不发生时情况3发生．通过测试(X3)p,(X3)q为单位元，不失一般性的令p=p3，S通过检测e(Tp,Y2Y3)是否为单位元判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．引理2 如果存在一个敌手A使得Gamek-1AdvA-GamekAdvA=ε，模拟者S以ε的优势攻破假设1．证明分为两部分，Part 1中A进行qE次密钥询问．Part 2中A进行qS次签名询问．在进行签名询问时，因为敌手已经进行了qE次密钥询问，得到的密钥都是半功能的，敌手只需进行qS次签名询问，生成相应的签名．设j是Gamek中A所做的密钥询问的次数，S根据j和k的大小关系来返回密钥和签名是正常的或半功能的．证明(Part 1) 当0<k<qE时，A进行qE次密钥询问．Setup：S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek．参数设置如下：随机选择α,a1,a2,b←RN，令g=g，u1=ga1，u2=ga2，h=gb，选择哈希函数H1，公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A．A收到的公开参数与实际公开参数的分布是相同的．Extract Query：A对于身份ID进行生成密钥询问，在游戏Gamek中0<k<qE，敌手进行第j次密钥生成询问．qE>j>k，S使用Extract算法产生正常密钥，随机选择r,t,w,v←RN，计算对于A 来说收到的密钥是正确的．0<j<k，A对身份ID进行第j次生成密钥询问，S生成半功能密钥，随机选择r,z,t,v←RN，计算(8)对于A来说收到的密钥是正确的．j=k，A对身份ID进行第j次生成密钥询问，S计算zk=a1ID+b，随机选择w,v←RN，计算如果T←RG，生成的是半功能密钥，如果T←RGp1p3，生成的是正常密钥(gr为T中的Gp1部分)．Signature Query：A发起对群组成员L和消息M的签名询问．对于某个身份ID∈L，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算：i=1,…,n，Bi=griX3ti(10)(11)Bπ=gr+rπX3t+tπ(12)对于A来说收到的签名和实际签名是不可区分的．证明(Part 2) 当qE<k<qE+qS时，A进行qS次签名询问．Setup：S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek．参数设置如下：随机选择α,a1,a2,b←RN，令g=g，u1=ga1，u2=ga2，h=gb，选择哈希函数H1，公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A．A收到的公共参数与实际公开参数的分布是相同的．Extract Query：A对于身份ID进行生成密钥询问，在游戏中A已经进行过qE次密钥生成询问，生成密钥都为半功能的．Signature Query：A发起对群组成员L和消息M的签名询问．在游戏Gamek 中qE<k<qE+qS，A对于身份ID进行第j次签名询问．qE+qS>j>k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算正常签名：i=1,…,n(13)Bi=griX3ti(14)Bπ=gr+rπX3t+tπ(16)qE<j<k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算半功能签名：i=1,…,n(17)Bi=griX3ti(18)(19)Bπ=gr+rπ(Y2Y3)tX3tπ(20)j=k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名：i=1,…,n(21)Bi=griX3ti(22)(23)Bπ=grπTX3tπ(24)如果T←RGp1p3，S能够正确的模拟Gamek-1．如果T←RG，S能够正确的模拟Gamek．A能够区分出Gamek-1和Gamek，因此，S可以根据A输出值区分T的两种不同情况．引理3 如果存在一个敌手A使得GamerealAdvA-GameqE+qSAdvA=ε，模拟者S以ε的优势攻破计算性假设2．证明 Setup：S构造(g,gαX2,X3,gsY2,Z2,T) 和A模拟游戏GameqE+qS．S随机选择a1,a2,b←RN ，设置公共参数g=g，u1=ga1，u2=ga2，h=gb，e(g,g)α=e(gαX2,g)，选择哈希函数H1，公开参数param={N,g,u1,u2,h,H1,e(gαX2,g)}发给A．Extract Query：A对于身份ID进行第j次生成密钥询问，S生成半功能密钥，随机选择c,r,w,z,t,v,q←RN ，计算(25)Signature Query：A发起对群组成员L和消息M的签名询问．对于某个身份ID∈L，S计算m=H1(M,L)，然后运行Sign算法生成L和M的半功能签名.S随机选计算i=1,…,n(26)(27)i=π,(28)(29)Forgery：A输出环成员L和M的签名先计算m=H1(M,L)，对于任意的s←RN，S计算(30)这样就计算出e(g,g)αs，敌手A能够以不可忽略的优势ε攻击成功，那么模拟者S以ε的优势攻破计算性假设2．由以上3个引理及一系列游戏得证，我们的方案满足定义1，即我们的方案是不可伪造的．在不可伪造性证明中，敌手无需事先提交挑战身份，而是在密钥提取询问后适应性选择攻击目标，故而本文方案是完全安全的．定理2 我们的方案满足定义2(方案是无条件匿名的)．证明通过模拟者S和敌手A之间游戏完成无条件匿名性证明．Game0游戏模拟对身份ID0进行签名，Game1游戏模拟对身份ID1进行签名．如果敌手对两个游戏视图不可区分，那么我们的方案满足无条件匿名性．Game0游戏：(1) 系统参数设置：S输入参数λ，并运行Setup算法生成系统参数param和主密钥α，选择α←RN，g,u1,u2,h∈Gp1，X3←RGp3，选择哈希函数H1．公开参数param={N,g,u1,u2,h,X3,H1,e(g,g)α}和主密钥发送给敌手A．(2) A输出消息M，两个身份ID0,ID1，身份集合L (ID0,ID1∈L)给模拟者．模拟者生成ID0私钥dID0并计算m=H1(M,L)，实际签名者IDπ=ID0，用dIDπ=dID0执行以下步骤：① 随机选取② 对于i=1,…,n(31)(32)(33)(34)S生成签名并发送给A．Game1游戏和Game0游戏的不同在于S生成ID1私钥dID1，实际签名者IDπ=ID1，模拟者用dID1生成签名并发送给A．两个签名中存在随机化元素和R1是同分布的，生成签名σ0和σ1也是同分布的．对于A视图Game0和Game1是不可区分的，A识别出实际签名者的优势不大于随机猜测．因此，环签名方案是无条件匿名的．3.3 性能分析下面从计算效率和所用技术把新方案与已有的标准模型下基于身份环签名方案进行对比．用n表示环签名中群组的成员个数，文献[20]的签名长度为4n+4，本文签名长度为2n．相比较文献[20]本文采用合数阶群下两个子群判定性假设(Subgroup)，达到基于身份的存在性不可伪造(EUF-CMA)．在计算效率上主要对双线性对配对运算，群G中的幂指数运算和群GT中的幂指数运算进行比较，具体的对比如表1所示，在性能比较中，用P表示一个双线性对运算时间，用E表示GT中幂指数运算时间，用F表示G中幂指数运算时间．通过比较可以看出相对于文献[20]，本文在签名长度和计算效率得到了很大改进，并满足安全性要求．表1 与标准模型下基于身份的环签名方案对比方案基础方案困难性假设群的类型不可伪造性系统建立私钥提取签名验证文献[20]LW11Subgroup(4个)合数阶EUF-CMA1P7F(7n+7)F(4n+1)P+1E+(4n+6)F本文LW10Subgroup(2个)合数阶EUF-CMA1P5F(4n+2)F2nP+1E+(2n+2)F4 总结本文在标准模型下提出了一个新的基于身份的环签名方案，该方案满足无条件匿名性，且满足存在性不可伪造．与现有的基于身份环签名方案相比，新方案在标准模型下基于HIBE构造了完全安全的身份环签名，在计算效率和安全性上都有了较大改善．我们把构造固定长度的标准模型下安全的基于身份的环签名方案作为下一步研究方向．参考文献【相关文献】[1]RIVEST R,SHAMIR A,TAUMAN Y.How to leak a secret[A].The 7th International Conference on the Theory and Application of Cryptology and InformationSecurity[C].Gold Coast,Australia,2001.552-565.[2]张福泰,张方国,王育民.群签名及其应用[J].通信学报,2001,22(1):77-85.ZHANG Fu-tai,ZHANG Fang-guo,WANG Yu-min.Group signature and itsapplications[J].Journal of Communications,2001,22(1):77-85.(in Chinese)[3]陈泽文,张龙军,王育民,等.一种基于中国剩余定理的群签名方案[J].电子学报,2004,32(7):1062-1065.CHEN Ze-wen,ZHANG Long-jun,WANG Yu-min,et al.A group signature scheme based on Chinese remainder theorem[J].Acta Electronica Sinica,2004,32(7):1062-1065.(in Chinese) [4]张键红,伍前红,邹建成,等.一种高效的群签名[J].电子学报,2005,33(6):1113-1115.ZHANG Jian-hong,WU Qian-hong,ZOU Jian-cheng,et al.An efficient group signature scheme[J].Acta Electronica Sinica,2005,33(6):1113-1115.(in Chinese)[5]李继国,孙刚,张亦辰.标准模型下可证安全的本地验证者撤销群签名[J].电子学报,2011,39(7):1618-1623.LI Ji-guo,SUN Gang,ZHANG Yi-chen.Provably secure group signature scheme with verifier-local revocation in the standard model[J].Acta Electronica Sinica,2011,39(7):1618-1623.(in Chinese)[6]CHOW S S M,SUSILO W,YUEN T H.Escrowed linkability of ring signtures and its applications[A].First International Conference on Cryptology inVietnam[C].Hanoi,Vietnam,2006.175-192.[7]苗付友,王行甫,苗辉,等.一种支持悬赏的匿名电子举报方案[J].电子学报,2008,36(2):320-324. MIAO Fu-you,WANG Xing-Fu,MIAO Hui,et al.An anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2008,36(2):320-324.(in Chinese)[8]王化群,于红,吕显强,等.一种支持悬赏的匿名电子举报方案的安全性分析及设计[J].电子学报,2009,37(8):1826-1829.WANG Hua-qun,YU Hong,LÜ Xian-qiang,et al.Cryptanalysis and design of an anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2009,37(8):1826-1829.(in Chinese)[9]YANG X,WEI W,JOSEPH K L,CHEN X F.Lightweight anonymous authentication for ad hoc group:a ring signature approach[A].International Conference on ProvableSecurity[C].Kanazawa,Japan,2015.215-226.[10]SHAMIR A.Identity-based cryptosystems and signature schemes[A].The Workshop on the Theory and Application of Cryptographic Techniques[C].California,USA,1984.47-53. [11]ZHANG F G,KIM K.ID-based blind signature and ring signature frompairings[A].International Conference on the Theory and Application of Cryptology and Information Security[C].Queenstown,New Zealand,2002.533-547.[12]AU M H,JOSPH K L,YUEN T H,et al.ID-based ring signature scheme secure in the standard model[A].International Workshop on Security[C].Kyoto,Japan,2006.1-16. [13]张跃宇,李晖,王育民.标准模型下基于身份的环签名方案[J].通信学报,2008,29(4):40-44. Zhang Yue-yu,LI Hui,WANG Yu-min.Identity-based ring signature scheme under standard model[J].Journal of Communications,2008,29(4):40-44.(in Chinese)[14]刘振华,胡予濮,牟宁波,等.新的标准模型下基于身份的环签名方案[J].电子与信息学报,2009,31(7):1727-1731.LIU Zhen-hua,HU Yu-pu,MU Ning-bo,et al.New identity-based ring signature in the standard model[J].Journal of Electronics & Information Technology,2009,31(7):1727-1731.(in Chinese)[15]张明武,杨波,姚金涛,等.标准模型下身份匿名签名方案分析与设计[J].通信学报,2011,32(5):40-46.ZHANG Ming-wu,YANG Bo,YAO Jin-tao,et al.Cryptanalysis and design of signature schemes with identity ambiguity in the standard model[J].Journal of Communications,2011,32(5):40-46.(in Chinese)[16]葛爱军,马传贵,张振峰,等.标准模型下固定长度的基于身份环签名方案[J].计算机学报,2012,35(9):1874-1880.GE Ai-jun,MA Chuan-gui,ZHANG Zhen-feng,et al.Identity-based ring signature schemewith constant size signatures in the standard model[J].Chinese Journal of Computers,2012,35(9):1874-1880.(in Chinese)[17]WATERS B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[A].Advances in Cryptology-CRYPTO[C].California,USA,2009.619-636. [18]LEWKO A,WATERS B.New techniques for dual system encryption and fully secure HIBE with short ciphertexts[A].Theory of CryptographyConference[C].Zurich,Switzerland,2010.455-479.[19]LEWKO A,WATERS B.Unbounded HIBE and attribute-based encryption[A].Annual International Conference on the Theory and Applications of Cryptographic Techniques[C].Tallinn Estonia,2011.547-567.[20]AU M H,JOSPH K L,SUSILO W,ZHOU Jian-ying.Realizing fully secure unrestricted ID-based ring signature in the standard model based on HIBE[J].IEEE Transactions on Information Forensics and Security,2013,8(12):1909-1922.[21]BONEH D,GOH E-J,NISSIM K.Evaluating 2-DNF formulas on ciphertexts[A].Theory of Cryptography Conference[C].Cambridge,MA,USA,2005.325-341.。

Computer Engineering and Applications 计算机工程与应用2017，53（23）1引言环签名方案是在群签名方案的基础上发展而来的数字签名方案，它与同时签名方案类似，但是不同点在于环签名方案的签名中有某些参数按照一定规则首尾相接组成环的形状。

自2001年由Rivest ，Shamir 和Tauman 等人[1]正式提出环签名方案的概念之后，许多人在这个基础上不断探索研究，构造了多种类型的环签名方案，比如：门限环签名、关联环签名、可撤销匿名性环签名、可否认环签名等。

2008年，张跃宇等人[2]在标准模型的基础上提出了一个环签名方案，增强了方案的安全性。

2009年，刘振华等人[3]改进了文献[2]中的方案，构造了一个新的环签名方案；同年，陈虎等人[4]利用双线性映射提出一个在强安全模型下的无证书环签名方案，满足了环签名方案的各种安全性要求；Shuang Chang 等人[5]根据门限环签名的特点提出了一个无证书门限环签名方案，提升了方案的效率。

2012年，刘彪[6]系统地概述了环签名方案的主要类型及特点，并对环签名的安全性进行了提升；陈齐清等人[7]对一种通用的指定验证者环签名方案进行了改进，提高了方案的执行效率及安全性；王化群等人[8]分析了一些环签名及其扩展签名方案，发现了方案中的不足并针对这些不足进行了改进。

2013年，Albrecht Petzoldt 等人[9]对门限环签名进行了研究，提出了多元门限环签名方案。

2014年，Deng Lunzhi 等人[10]将签名者身份加入环签名方案，提出了两种基于身份的环签名方案。

2015年，Maryam Rajabzadeh Asaar 等人[11]在RSA 的基础上构造了一个基于身份的代理环签名方案；Kyung-Ah Shim [12]对基于双线性对的环签名方案进行了改造，提升一个基于ECC 的隐匿身份环签名方案张伟哲，高德智，李彦ZHANG Weizhe,GAO Dezhi,LI Yan山东科技大学数学与系统科学学院，山东青岛266590College of Mathematics and Systems Science,Shandong University of Science and Technology,Qingdao,Shandong 266590,China ZHANG Weizhe,GAO Dezhi,LI Yan.Hidden identity ring signature scheme using puter Engineering and Applications,2017,53（23）：88-90.Abstract:There are many types of ring signature schemes,but most of them are based on bilinear pairing,and have some problems in security and computing pared with Elliptic Curve Cryptography （ECC ）,the advantage of bilinear pairing is not obvious,and it can not provide higher level of security,takes less storage space.In order to improve the se-curity of the scheme and protect the anonymity of the signer ’s ID,adding the signer ’s ID which is processed in ring signa-ture scheme,a new hidden identity ring signature scheme using elliptic curve cryptography is proposed.Finally,the cor-rectness and security will also be provided by the security analysis.Key words:elliptic curve;digital signature;ring signature;anonymity;unforgeability摘要：环签名方案类型众多，但大多数方案都基于双线性对运算，在安全性以及运算速度方面存在不少问题。

一、环签名环签名是数字签名的一种，在公钥密码体制中，每个用户都有对应的公钥和私钥，在签名方案中，用户的公钥是对外公开的，私钥只有用户本人知道，通常用户用自身私钥对消息进行签名，其他人通过公开的公钥对签名后的消息进行验证。

一般情况下，签名方案是单用户的，即一个用户签名，其他用户可以进行验证，而环签名方案则可以实现多用户的签名，即多个用户中任意一个用户对消息进行签名，其他用户可以对消息进行验证。

环签名方案具有良好的匿名性，其他验证的用户只能知道是多个用户中其中一个用户进行的签名，并不能知道具体是哪个用户进行的签名，而且，签名者在环签名时并不需要取得其他用户的同意，只需要得知其他用户的公钥即可，与可追踪的群签名相比，环签名方案是无条件匿名的，实现更为简单，不需要群管理员，不需要中心机构，所以，环签名技术被广泛运用在匿名选举、电子投票等场景中。

二、格密码与环签名（一）环签名发展Rivest [1]等学者在2001年第一次提出了环签名技术的概念，并设计了第一个环签名方案。

在这个Rivest提出的环签名方案中，环成员的任意一个参与者都可以对消息进行签名，其他用户可以对签名后的消息进行验证，判断该签名是否为是环成员所为，但无法知晓具体是环中哪个成员对消息进行了签名。

在这个方案中，环中的一个成员用自身公钥和其他成员的公钥组成一个环，其中任意一个用户都可利用自身私钥完成对消息的签名。

而验证者则可以通过环中所有成员公钥组成的环对消息签名进行认证。

在此后，密码学领域中涌现了诸多环签名方案，密码学者们开始对环签名进行更加深入、更加细致的研究，提出了很多新的环签名方案以及一些新的环签名思想，使得环签名方案在安全性和效率上都得到了很大的提升，同时很多密码学者将环签名方案与其他密码学思想结合，提出了不少具有很强实用性的环签名方案，极大地促进了环签名的发展。

但是，这些新提出的环签名方案大多都是基于双线性问题或者其他传统困难问题，在目前还能满足安全性的要求，但是如果在量子计算条件下，这些基于传统困难问题的签名方案都是不安全的，都是可以被攻破的。