CN115442057A - 一种具有强不可链接性的可随机化盲签名方法及系统 - Google Patents

Abstract

本发明涉及一种具有强不可链接性的可随机化盲签名方法及系统；其中，方法包括：签名端认证后的消息提供端向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；消息提供端发送的第一秘密消息在签名端进行零知识证明验证后，由签名端生成可随机化盲签名；消息提供端接收签名端发送的可随机化盲签名进行验证；消息提供端向验证端发送包括随机化的盲签名和零知识证明在内的第二秘密消息；消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明验证；签名端对验证端提供的第二秘密消息验证后，解匿名得到承诺消息，追踪消息提供端的身份标识。本发明实现同时具有匿名性、强不可链接性、可追踪性的可随机化盲签名。

Description

一种具有强不可链接性的可随机化盲签名方法及系统

技术领域

本发明属于隐私数据处理技术领域，具体涉及一种具有强不可链接性的可随机化盲签名方法及系统。

背景技术

数字签名作为一个模块被用于不同的密码协议构造，实现复杂的密码学功能。近年来，数字签名的发展不仅朝向更快更高效，并且同时附加了很多不同的功能，比如：可随机化、不可链接性等。作为一个模块被使用时，签名算法不仅需要高效性，并且需要与其他密码学模块兼容，例如：隐私保护方案中，通常需要对秘密数据进行承诺并对承诺签名，而且需要与零知识证明协议相兼容。

在盲签名中，用户可以在不透露自己秘密消息的情况下获取签名者的签名，因此盲签名具有盲性，可以有效保护用户隐私。盲签名的盲性使得它在电子现金、电子投票、电子政务等领域得到广泛的应用，而在应用中，越来越多的功能性需求被使用者提出来，比如：更高效的设计、更少的通信量、强不可链接性、在电子现金应用中的可追踪性等等。目前最广泛使用的数字签名模块之一是2014年Camenisch与Lysyanskaya设计的CL签名，CL体制基于双线性群，灵活性强，可以用于匿名证件、聚合签名、电子现金等密码学系统，然而由于签名长度与待签名消息数量正相关，因此CL体制在一些密码学场景中难以实用化。2015年，Pointcheval等人将零知识证明与盲签名相结合，提出了一种可以隐藏秘密消息的盲签名方案。还有少部分盲签名基于格密码体制，但不具备可随机化的特性或不可链接性。同时具有强不可链接性、可追踪性、可随机化的盲签名，又受到资源存储和通信量方面的限制，不能大规模投入使用。

发明内容

鉴于上述的分析，本发明旨在公开了一种具有强不可链接性的可随机化盲签名方法及系统，实现同时具有匿名性、强不可链接性、可追踪性的可随机化盲签名。

本发明公开了一种具有强不可链接性的可随机化盲签名方法，包括：

步骤S1、消息提供端的身份标识信息被签名端认证后，向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

步骤S2、消息提供端发送的第一秘密消息在签名端进行零知识证明验证后，由签名端生成可随机化盲签名；

步骤S3、消息提供端接收签名端发送的可随机化盲签名，对其进行验证；

步骤S4、消息提供端向验证端发送包括对可随机化盲签名随机化后的盲签名和相应的零知识证明在内的第二秘密消息；

步骤S5、消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证；

步骤S6、签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，通过搜索本地数据库追踪消息提供端的身份标识。

进一步地，在系统建立阶段，对签名端、消息提供端和验证端提供公开参数；公开参数包括双线性群参数以及零知识证明需要的杂凑函数；签名端根据公开参数产生可随机化盲签名的公私钥对和解匿名公私钥对；并将两公私钥对的公钥向消息提供端和验证端公开；

双线性群参数

|n|≥2λ，其中，n为素数，λ为安全参数，G₁、G₂和G_T是阶为素数n的三个循环群，P和

分别是G₁和G₂的生成元；e为G₁×G₂→G_T的双线性映射。

进一步地，步骤S1中第一秘密消息的产生过程包括：

1)消息提供端提供秘密承诺消息Q，Q＝m·P∈G₁ ^*；G₁ ^*为G₁中非0元素的集合；

2)产生随机数k←Z_n ^*，计算R＝k·P；Z_n ^*为模n整数环Z_n中非0元素的集合；

3)计算h₁＝H(P||Q||R||info₁)，s₁＝k-h₁·m(mod n)，其中info₁是包括时戳的其他消息；

4)得到第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)。

进一步地，步骤S2中，所述签名端对第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)进行零知识证明验证后，采用可随机化盲签名的私钥sk＝(y,X)生成可随机化盲签名；

具体包括：

1)计算R′＝s₁·P+h₁·Q；

2)计算h₁′＝H(P||Q||R′||info₁)，验证h₁′＝h₁；若不等则终止协议，若相等则验证通过；

3)验证通过后，产生随机数a←Z_n ^*，计算A＝a·P，B＝a·Q，C＝a·X+y·B，得到可随机化盲签名σ＝(A,B,C)；

4)产生相应的词条(Q,ID_U,info₁)保存到本地数据库中，将可随机化盲签名σ＝(A,B,C)发送给消息提供端。

进一步地，在步骤S3中所述消息提供端接收签名端发送的所述可随机化盲签名，采用可随机化盲签名的公钥

对所述可随机化盲签名进行验证；具体包括：

1)验证A、B、C都∈G₁ ^*，且B＝m·A，

都成立，验证成功则令res＝true，否则令res＝false；

2)发送res给签名端。

进一步地，在步骤S4中，对可随机化盲签名的随机化盲签名过程包括：

产生随机数ω←Z_n ^*，对可随机化盲签名进行随机化得到新的签名(A,B,C)←(ω·A,ω·B,ω·C)，令σ＝(A,B,C)得到随机化盲签名。

进一步地，第二秘密消息的获得过程包括：

1)产生随机数r←Z_n ^*，计算D＝r·P，E＝Q+r·Z；Z为解匿名公钥；

2)产生随机数k_m←Z_n ^*，k_r←Z_n ^*，计算R_m＝k_m·A，R_d＝k_r·P，R_e＝k_m·P+k_r·Z；

3)计算h₂＝H(P||A||B||C||D||E||Z||R_m||R_d||R_e||info₂)，s₂＝k_m-h₂·m(mod n)，t₂＝k_r-h₂·r(mod n)，其中info₂是包括时戳的其他消息。

4)令Ψ＝(D,E)，π＝(σ,h₂,s₂,t₂)；

5)得到第二秘密消息Tr₂＝(info₂,Ψ,π)。

进一步地，在步骤S5中所述消息提供端发送的第二秘密消息Tr₂，在验证端采用解匿名公钥Z进行零知识证明验证，并采用可随机化盲签名公钥

验证可随机化盲签名的正确性；

具体的验证过程包括：

1)验证A、B、C、D、E∈G₁ ^*，若至少有一个不成立则令res＝false，跳转到步骤5)；

2)计算R_m′＝s₂·A+h₂·B，R_d′＝t₂·P+h₂·D，R_e′＝s₂·P+t₂·Z+h₂·E；

3)计算h₂′＝H(P||A||B||C||D||E||Z||R_m′||R_d′||R_e′||info₂)，若h₂′≠h₂，则令res＝false，跳转到步骤5)；

4)验证

若成立则令res＝true，否则令res＝false；

5)发送res给提供消息用户，结束整个验签过程。

进一步地，在步骤S6中，签名端对验证端提供的第二秘密消息Tr₂＝(info₂,Ψ,π)进行验证，验证通过后对Ψ＝(D,E)用解匿名私钥z计算Q＝E-z·D，得到提供消息者的承诺消息Q，通过搜索本地数据库中的词条(Q,ID_U,info₁)追踪消息提供端的身份标识信息ID_U。

本发明还公开了一种具有强不可链接性的可随机化盲签名系统，包括：消息提供端、签名端和验证端；

所述签名端对消息提供端的身份标识信息进行认证后，所述消息提供端向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

所述签名端对第一秘密消息进行零知识证明验证后，生成可随机化盲签名发送到消息提供端进行验证；

所述消息提供端将包括随机化盲签名和相应的零知识证明的第二秘密消息发送到验证端；

消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证。

签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，追踪消息提供端的身份标识信息。

本发明至少可实现以下有益效果之一：

本发明公开的方案是同时具有匿名性、强不可链接性、可追踪性的可随机化盲签名方法及系统，并且通过了随机预言模型下的安全性证明，存储空间规模可控，同时满足安全性和可用性两方面的要求；相对于安全属性相近的方法，本方法有更高的效率和可用性能。

本发明具有匿名性。除了签名者，验证者不能从验签过程追踪到消息提供者。

本发明具有强不可链接性。除了提供消息者和签名者，没有人能确定任意两次验签是否由相同用户发起。

本发明具有可追踪性。即使恶意的提供消息用户和验证者联合也不能伪造承诺消息Q而不暴露其身份标识。

本发明的签名者存储的数据库大小可控。签名者数据库的规模与提供消息用户的规模成正比，存储量大小可控，与现有的数据库检索技术相结合，极大地提高追踪速度。

本发明还可以用来构造群签名、匿名证件、假名系统、电子现金、单点登录系统等其他密码学协议。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为本发明实施例中的具有强不可链接性的可随机化盲签名方法流程图；

图2为本发明实施例中的具有强不可链接性的可随机化盲签名系统组成框图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理。

实施例一

首先对本实施例中的缩略语和关键术语定义

可信权威

ID 标识，可唯一确定一个用户身份的信息

λ 安全指标

n 椭圆曲线n-torsion子群的阶，为素数

Z_n 模n整数环

Z_n ^* Z_n中非0元素的集合

{0,1}^* 所有任意长度比特串组成的集合

{0,1}^λ 所有长度为λ的比特串组成的集合

(G₁,+) n阶加法循环群

G₁ ^* G₁中非0元素的集合

(G₂,+) n阶加法循环群

Q 椭圆曲线上的一个点Q≠O

mQ或m·Q(m≥0) 椭圆曲线点Q的m倍点

P (G₁,+)的生成元P＝(x_P,y_P)，P≠O

(G₂,+)的生成元

(G_T,×) n阶乘法循环群

e G₁×G₂→G_T的双线性映射

H：{0,1}^*→Z_n 杂凑函数

info₁,info₂ 签名或验签过程中产生的其他信息

双线性群参数

G₁、G₂和G_T是阶为素数n的三个循环群，G₁、G₂中的运算记为加法，G_T中的运算记为乘法，P和

分别是G₁和G₂的生成元，且有一个双线性映射(称为双线性对)e：G₁×G₂→G_T满足如下性质：

(1)双线性：对任意Q₁∈G₁和Q₂∈G₂，a,b∈Z_n，有e(a·Q₁,b·Q₂)＝e(Q₁,Q₂)^ab；

(2)非退化性：

是G_T的生成元；

(3)可计算性：G₁、G₂、G_T的群运算、群元素比较、群成员判断、e的计算都有已知的有效算法；

(4)非同构性：G₁≠G₂，且G₁和G₂之间两个方向都没有已知可有效计算的同构映射。

本发明的实施例公开了一种具有强不可链接性的可随机化盲签名方法，如图1所示，包括：

步骤S1、消息提供端的身份标识信息被签名端认证后，向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

步骤S2、消息提供端发送的第一秘密消息在签名端进行零知识证明验证后，由签名端生成可随机化盲签名；

步骤S3、消息提供端接收签名端发送的可随机化盲签名，对其进行验证；

步骤S4、消息提供端向验证端发送包括对可随机化盲签名随机化后的盲签名和相应的零知识证明在内的第二秘密消息；

步骤S5、消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证。

步骤S6、签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，通过搜索本地数据库追踪消息提供端的身份标识。

通过以上步骤S1-S6实现了可随机化盲签名的产生、验签和追踪。

在本实施例中，在系统建立阶段，对签名端、消息提供端和验证端提供公开参数；公开参数包括双线性群参数Λ以及零知识证明需要的杂凑函数H；签名端根据公开参数产生可随机化盲签名的公私钥对和解匿名公私钥对；并将两公私钥对的公钥向消息提供端和验证端公开；

双线性群参数

|n|≥2λ，其中，n为素数，λ为安全参数，G₁、G₂和G_T是阶为素数n的三个循环群，P和

分别是G₁和G₂的生成元；e为G₁×G₂→G_T的双线性映射。

其中，公开参数pp可由可信权威

产生，双线性群参数Λ可根据给定的安全参数λ(例如λ＝128)产生。

签名端根据公开参数产生两公私钥对过程如下：

产生可随机化盲签名的公私钥对：x←Z_n ^*，y←Z_n ^*，X＝x·P，

私钥sk＝(y,X)，公钥

把公钥pk公开。

产生解匿名公私钥对：z←Z_n ^*，Z＝z·P，z是签名者的私钥，Z是签名者的公钥；把公钥Z公开。

在步骤S1中，所述消息提供端的身份标识信息ID_U发送到签名端进行认证，被认证的所述消息提供端向签名端发送包括承诺消息和相应的零知识证明在内的第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)；

第一秘密消息Tr₁的产生过程包括：

1)消息提供端提供秘密承诺消息Q，Q＝m·P∈G₁ ^*；G₁ ^*为G₁中非0元素的集合；

2)产生随机数k←Z_n ^*，计算R＝k·P；Z_n ^*为模n整数环Z_n中非0元素的集合；

3)计算h₁＝H(P||Q||R||info₁)，s₁＝k-h₁·m(mod n)，其中info₁是包括时戳的其他消息；

4)得到第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)。

在所述签名端对第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)进行零知识证明验证后，采用可随机化盲签名的私钥sk＝(y,X)生成可随机化盲签名；

具体包括：

1)计算R′＝s₁·P+h₁·Q；

2)计算h₁′＝H(P||Q||R′||info₁)，验证h₁′＝h₁；若不等则终止协议，若相等则验证通过；

3)验证通过后，产生随机数a←Z_n ^*，计算A＝a·P，B＝a·Q，C＝a·X+y·B，得到可随机化盲签名σ＝(A,B,C)；

4)产生相应的词条(Q,ID_U,info₁)保存到本地数据库中，将可随机化盲签名σ＝(A,B,C)发送给消息提供端。

所述签名端将产生词条(Q,ID_U,info₁)保存到本地数据库中，用于后续的解匿名过程。

在步骤S3中所述消息提供端接收签名端发送的所述可随机化盲签名，采用可随机化盲签名的公钥

对所述可随机化盲签名进行验证；

具体的验证过程为：

1)验证A、B、C都∈G₁ ^*，且B＝m·A，

都成立，验证成功则令res＝true，否则令res＝false；

2)发送res给签名端。

在步骤S4中所述消息提供端向验证端发送包括对可随机化盲签名随机化后的盲签名和相应的零知识证明的第二秘密消息；

其中，对可随机化盲签名的随机化盲签名过程包括：

产生随机数ω←Z_n ^*，对可随机化盲签名进行随机化得到新的签名(A,B,C)←(ω·A,ω·B,ω·C)，令σ＝(A,B,C)得到随机化盲签名。

第二秘密消息Tr₂的获得过程包括：

1)产生随机数r←Z_n ^*，计算D＝r·P，E＝Q+r·Z；Z为解匿名公钥；

2)产生随机数k_m←Z_n ^*，k_r←Z_n ^*，计算R_m＝k_m·A，R_d＝k_r·P，R_e＝k_m·P+k_r·Z；

3)计算h₂＝H(P||A||B||C||D||E||Z||R_m||R_d||R_e||info₂)，s₂＝k_m-h₂·m(mod n)，t₂＝k_r-h₂·r(mod n)，其中info₂是包括时戳的其他消息。

4)令Ψ＝(D,E)，π＝(σ,h₂,s₂,t₂)；

5)得到第二秘密消息Tr₂＝(info₂,Ψ,π)。

在步骤S5中所述消息提供端发送的第二秘密消息Tr₂，在验证端采用解匿名公钥Z进行零知识证明验证，并采用可随机化盲签名公钥

验证可随机化盲签名的正确性。

具体的验证过程包括：

1)验证A、B、C、D、E∈G₁ ^*，若至少有一个不成立则令res＝false，跳转到步骤5)；

2)计算R_m′＝s₂·A+h₂·B，R_d′＝t₂·P+h₂·D，R_e′＝s₂·P+t₂·Z+h₂·E；

3)计算h₂′＝H(P||A||B||C||D||E||Z||R_m′||R_d′||R_e′||info₂)，若h₂′≠h₂，则令res＝false，跳转到步骤5)；

4)验证

若成立则令res＝true，否则令res＝false；

5)发送res给提供消息用户，结束整个验签过程。

在本实施例中的更有优选方案中，在通过步骤S1-S5完成盲签名生成和验签后，还包括步骤S6的解匿名过程；

具体的，在步骤S6中，签名端对验证端提供的第二秘密消息Tr₂＝(info₂,Ψ,π)进行验证(方法同S5)，验证通过后对Ψ＝(D,E)用解匿名私钥z计算Q＝E-z·D，得到提供消息者的承诺消息Q，通过搜索本地数据库中的词条(Q,ID_U,info₁)追踪消息提供端的身份标识信息ID_U。

综上，本实施例的方案：

1)具有匿名性；

在步骤S5中，验证端不能从验签过程追踪到消息提供端的秘密承诺信息Q。验签过程执行时，消息提供端不向验签端提供与用户相关的任何信息，仅提供随机化后的盲签名，敌手无法找到盲化后的签名对应的秘密承诺信息Q。由DDH假设，对B＝m·A，D＝r·P，E＝m·P+r·Z的零知识证明也不泄露m和Q(＝m·P)的信息。因此，只有签名端可以得到秘密承诺信息Q，验证端不能得到秘密承诺信息Q，具有匿名性。

2)具有强不可链接性；

除了提供消息者和签名者，没有人能确定任意两次验签是否由相同用户发起。每次验签使用不同的随机盲化后的签名，由于签名的盲性，无法判断不同随机化后的盲签名是否相链接，即对应同一个Q。而且由DDH假设，且每次随机产生r，对B＝m·A，D＝r·P，E＝m·P+r·Z的不同的零知识证明之间也不可链接(即判断是否对应同一个m是计算不可行的)。因此具有强不可链接性。

3)具有可追踪性；

在步骤S6中，签名端通过解匿名过程搜索签名者数据库，即可获取提供消息用户的身份标识信息ID_U；这样，即使恶意的提供消息用户和验证者联合，也不能伪造秘密承诺信息Q而不暴露其身份标识；签名端可通过解匿名过程追踪到其身份标识信息，识别恶意的提供消息用户。

4)签名端存储的数据库大小可控；

签名端数据库的规模与，消息提供端的用户规模成正比，存储量大小可控，与现有的数据库检索技术相结合，极大地提高追踪速度。

5)可应用于多种应用系统；

可以用来构造群签名、匿名证件、假名系统、电子现金、单点登录系统等其他密码学协议；实现具有强不可链接性的可随机化盲签名。

基于此，本实施例中的技术方案与现有方法相比，技巧性地设计了同时具有匿名性、强不可链接性、可追踪性的可随机化盲签名方法，通过了随机预言模型下的安全性证明，存储空间规模可控，同时满足安全性和可用性两方面的要求。相对于安全属性相近的方法，本方法有更高的效率和可用性能。

实施例二

本发明的实施例公开了一种具有强不可链接性的可随机化盲签名系统，如图2所示，包括：消息提供端、签名端和验证端；

所述签名端对消息提供端的身份标识信息进行认证后，所述消息提供端向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

所述签名端对第一秘密消息进行零知识证明验证后，生成可随机化盲签名发送到消息提供端进行验证；

所述消息提供端将包括随机化盲签名和相应的零知识证明的第二秘密消息发送到验证端；

消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证。

签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，追踪消息提供端的身份标识信息。

本实施例中的具体技术细节和有益效果与实施例一相同，请具体参照实施例一，在此就不一一赘述了。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种具有强不可链接性的可随机化盲签名方法，其特征在于，包括：

步骤S1、消息提供端的身份标识信息被签名端认证后，向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

步骤S2、消息提供端发送的第一秘密消息在签名端进行零知识证明验证后，由签名端生成可随机化盲签名；

步骤S3、消息提供端接收签名端发送的可随机化盲签名，对其进行验证；

步骤S4、消息提供端向验证端发送包括对可随机化盲签名随机化后的盲签名和相应的零知识证明在内的第二秘密消息；

步骤S5、消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证；

步骤S6、签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，通过搜索本地数据库追踪消息提供端的身份标识。

2.根据权利要求1所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

在系统建立阶段，对签名端、消息提供端和验证端提供公开参数；公开参数包括双线性群参数以及零知识证明需要的杂凑函数；签名端根据公开参数产生可随机化盲签名的公私钥对和解匿名公私钥对；并将两公私钥对的公钥向消息提供端和验证端公开；

双线性群参数

|n|≥2λ，其中，n为素数，λ为安全参数，G₁、G₂和G_T是阶为素数n的三个循环群，P和

分别是G₁和G₂的生成元；e为G₁×G₂→G_T的双线性映射。

3.根据权利要求2所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

步骤S1中第一秘密消息的产生过程包括：

1)消息提供端提供秘密承诺消息Q，Q＝m·P∈G₁ ^*；G₁ ^*为G₁中非0元素的集合；

2)产生随机数k←Z_n ^*，计算R＝k·P；Z_n ^*为模n整数环Z_n中非0元素的集合；

3)计算h₁＝H(P||Q||R||info₁)，s₁＝k-h₁·m(mod n)，其中info₁是包括时戳的其他消息；

4)得到第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)。

4.根据权利要求3所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

步骤S2中，所述签名端对第一秘密消息Tr₁＝(Q,R,h₁,s₁,info₁)进行零知识证明验证后，采用可随机化盲签名的私钥sk＝(y,X)生成可随机化盲签名；

具体包括：

1)计算R′＝s₁·P+h₁·Q；

2)计算h₁′＝H(P||Q||R′||info₁)，验证h₁′＝h₁；若不等则终止协议，若相等则验证通过；

3)验证通过后，产生随机数a←Z_n ^*，计算A＝a·P，B＝a·Q，C＝a·X+y·B，得到可随机化盲签名σ＝(A,B,C)；

4)产生相应的词条(Q,ID_U,info₁)保存到本地数据库中，将可随机化盲签名σ＝(A,B,C)发送给消息提供端。

5.根据权利要求4所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

在步骤S3中所述消息提供端接收签名端发送的所述可随机化盲签名，采用可随机化盲签名的公钥

对所述可随机化盲签名进行验证；具体包括：

1)验证A、B、C都∈G₁ ^*，且B＝m·A，

都成立，验证成功则令res＝true，否则令res＝false；

2)发送res给签名端。

6.根据权利要求5所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

在步骤S4中，对可随机化盲签名的随机化盲签名过程包括：

产生随机数ω←Z_n ^*，对可随机化盲签名进行随机化得到新的签名(A,B,C)←(ω·A,ω·B,ω·C)，令σ＝(A,B,C)得到随机化盲签名。

7.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

第二秘密消息的获得过程包括：

1)产生随机数r←Z_n ^*，计算D＝r·P，E＝Q+r·Z；Z为解匿名公钥；

2)产生随机数k_m←Z_n ^*，k_r←Z_n ^*，计算R_m＝k_m·A，R_d＝k_r·P，R_e＝k_m·P+k_r·Z；

3)计算h₂＝H(P||A||B||C||D||E||Z||R_m||R_d||R_e||info₂)，s₂＝k_m-h₂·m(mod n)，t₂＝k_r-h₂·r(mod n)，其中info₂是包括时戳的其他消息；

4)令Ψ＝(D,E)，π＝(σ,h₂,s₂,t₂)；

5)得到第二秘密消息Tr₂＝(info₂,Ψ,π)。

8.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法，其特征在于，

在步骤S5中所述消息提供端发送的第二秘密消息Tr₂，在验证端采用解匿名公钥Z进行零知识证明验证，并采用可随机化盲签名公钥

验证可随机化盲签名的正确性；

具体的验证过程包括：

1)验证A、B、C、D、E∈G₁ ^*，若至少有一个不成立则令res＝false，跳转到步骤5)；

2)计算R_m′＝s₂·A+h₂·B，R_d′＝t₂·P+h₂·D，R_e′＝s₂·P+t₂·Z+h₂·E；

3)计算h₂′＝H(P||A||B||C||D||E||Z||R_m′||R_d′||R_e′||info₂)，若h₂′≠h₂，则令res＝false，跳转到步骤5)；

4)验证

若成立则令res＝true，否则令res＝false；

5)发送res给提供消息用户，结束整个验签过程。

9.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法，其特征在于，在步骤S6中，签名端对验证端提供的第二秘密消息Tr₂＝(info₂,Ψ,π)进行验证，验证通过后对Ψ＝(D,E)用解匿名私钥z计算Q＝E-z·D，得到提供消息者的承诺消息Q，通过搜索本地数据库中的词条(Q,ID_U,info₁)追踪消息提供端的身份标识信息ID_U。

10.一种具有强不可链接性的可随机化盲签名系统，其特征在于，包括：消息提供端、签名端和验证端；

所述签名端对消息提供端的身份标识信息进行认证后，所述消息提供端向签名端发送包括秘密承诺消息和相应的零知识证明在内的第一秘密消息；

所述签名端对第一秘密消息进行零知识证明验证后，生成可随机化盲签名发送到消息提供端进行验证；

所述消息提供端将包括随机化盲签名和相应的零知识证明的第二秘密消息发送到验证端；

消息提供端发送的第二秘密消息在验证端进行随机化盲签名和零知识证明的验证；

签名端对验证端提供的第二秘密消息验证后，用解匿名私钥得到提供消息端的承诺消息，追踪消息提供端的身份标识信息。

Images