(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211148076.X (22)申请日 2022.09.20 (71)申请人 数据通信科 学技术研究所 地址 100191 北京市海淀区学院路40号 申请人 兴唐通信科技有限公司 　 北京通和实益电信科 学技术研究所 有限公司 (72)发明人 马永彪　李晓千　陈琦　 (74)专利代理 机构 北京天达知识产权代理事务 所有限公司 1 1386 专利代理师 李明里 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种具有强不可链接性的可随机化盲签名 方法及系统 (57)摘要 本发明涉及一种具有强不可链接性的可随 机化盲签名方法及系统； 其中， 方法包括： 签名端 认证后的消息提供端向签名端发送包括秘密承 诺消息和相应的零知识证明在内的第一秘密消 息； 消息提供端发送的第一秘密消息在签名端进 行零知识 证明验证后， 由签名端生成可随机化盲 签名； 消息提供端接收签名端发送的可随机化盲 签名进行验证； 消息提供端向验证端发送包括随 机化的盲签名和零知识证明在内的第二秘密消 息； 消息提供端发送的第二秘密消息在验证端进 行随机化盲签名和零知 识证明验证； 签名端对验 证端提供的第二秘密消息验证后， 解匿名得到承 诺消息， 追踪消息提供端的身份标识。 本发明实 现同时具有匿名性、 强不可链接性、 可追踪性的 可随机化盲签名。 权利要求书3页 说明书8页 附图1页 CN 115442057 A 2022.12.06 CN 115442057 A 1.一种具有强不可链接性的可随机化盲签名方法， 其特 征在于， 包括： 步骤S1、 消息提供端的身份标识信息被签名端认证后， 向签名端发送包括秘密承诺消 息和相应的零知识证明在内的第一秘密消息； 步骤S2、 消息提供端发送 的第一秘密消息在签名端进行零知识证明验证后， 由签名端 生成可随机化盲签名； 步骤S3、 消息提供端接收签名端发送的可随机化盲签名， 对其进行验证； 步骤S4、 消息提供端向验证端发送包括对可随机化盲签名随机化后的盲签名和相应的 零知识证明在内的第二秘密消息； 步骤S5、 消息提供端发送的第 二秘密消息在验证端进行随机化盲签名和零知识证明的 验证； 步骤S6、 签名端对验证端提供的第二秘密消息验证后， 用解匿名私钥得到提供消息端 的承诺消息， 通过搜索本地数据库追踪消息提供端的身份标识。 2.根据权利要求1所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 在系统建立阶段， 对签名端、 消息提供端和验证端提供公开参数； 公开参数包括双线性 群参数以及零知识证明需要的杂凑函数； 签名端根据公开参数产生可随机化盲签名的公私 钥对和解匿名公私钥对； 并将两公私钥对的公钥向消息提供端和验证端公开； 双线性群参数 |n|≥2λ， 其中， n为素数， λ为安全参数， G1、 G2和 GT是阶为素 数n的三个 循环群， P和 分别是G1和G2的生成元； e为G1×G2→GT的双线性映射。 3.根据权利要求2所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 步骤S1中第一秘密消息的产生过程包括： 1)消息提供端提供秘密承诺消息Q， Q ＝m·P∈G1*； G1*为G1中非0元素的集合； 2)产生随机数k ←Zn*， 计算R＝ k·P； Zn*为模n整数环Zn中非0元素的集合； 3)计算h1＝H(P||Q||R||info1)， s1＝k‑h1·m(mod n)， 其中info1是包括时戳的其他消 息； 4)得到第一秘密消息Tr1＝(Q,R,h1,s1,info1)。 4.根据权利要求3所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 步骤S2中， 所述签名端对第一秘密消息Tr1＝(Q,R,h1,s1,info1)进行零知识证明验证 后， 采用可随机化盲签名的私钥sk ＝(y,X)生成可随机化盲签名； 具体包括： 1)计算R′＝s1·P+h1·Q； 2)计算h1′＝H(P||Q||R ′||info1)， 验证h1′＝h1； 若不等则终止协议， 若相等则验证通 过； 3)验证通过后， 产生随机数a ←Zn*， 计算A＝a ·P， B＝a·Q， C＝a·X+y·B， 得到可 随机 化盲签名 σ ＝(A,B,C)； 4)产生相应的词条(Q,IDU,info1)保存到本地数据库中， 将可随机化盲签名σ ＝(A,B,C) 发送给消息提供端。 5.根据权利要求 4所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 在步骤S3 中所述消息提供端接收签名端发送的所述可随机化盲签名， 采用可随机化盲权　利　要　求　书 1/3 页 2 CN 115442057 A 2签名的公钥 对所述可随机化盲签名进行验证； 具体包括： 1)验证A、 B、 C都∈G1*， 且B＝m·A， 都成立， 验证成功则令res＝ true， 否则令res＝false； 2)发送res给签名端。 6.根据权利要求5所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 在步骤S4中， 对可随机化盲签名的随机化盲签名过程包括： 产生随机数ω ←Zn*， 对可随机化盲签名进行随机化得到新的签名(A,B,C) ←(ω·A, ω·B,ω·C)， 令σ ＝(A,B,C)得到随机化盲签名。 7.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 第二秘密消息的获得 过程包括： 1)产生随机数r ←Zn*， 计算D＝r ·P， E＝Q+r·Z； Z为解匿名公钥； 2)产生随机数km←Zn*， kr←Zn*， 计算Rm＝km·A， Rd＝kr·P， Re＝km·P+kr·Z； 3)计算h2＝H(P||A||B||C||D||E||Z||Rm||Rd||Re||info2)， s2＝km‑h2·m(mod n)， t2＝ kr‑h2·r(mod n)， 其中i nfo2是包括时戳的其 他消息； 4)令Ψ＝(D,E)， π ＝( σ,h2,s2,t2)； 5)得到第二秘密消息Tr2＝(info2,Ψ, π )。 8.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法， 其特 征在于， 在步骤S5中所述消 息提供端发送的第二秘密消息Tr2， 在验证端采用解匿名公钥Z进行 零知识证明验证， 并采用可随机化盲签名公钥 验证可随机化盲签名的正确性； 具体的验证过程包括： 1)验证A、 B、 C、 D、 E∈G1*， 若至少有一个不成立则令res＝false， 跳转到步骤5)； 2)计算Rm′＝s2·A+h2·B， Rd′＝t2·P+h2·D， Re′＝s2·P+t2·Z+h2·E； 3)计算h2′＝H(P||A||B||C||D||E||Z|| Rm′||Rd′||Re′||info2)， 若h2′≠h2， 则令res＝ false， 跳转到步骤5)； 4)验证 若成立则令res＝t rue， 否则令res＝false； 5)发送res给提供消息用户， 结束 整个验签过程。 9.根据权利要求6所述的具有强不可链接性的可随机化盲签名方法， 其特征在于， 在步 骤S6中， 签名端对验证端提供的第二秘密消息Tr2＝(info2,Ψ, π )进行验证， 验证通过后对 Ψ＝(D,E)用解匿名私钥z计算Q＝E ‑z·D， 得到提供消息者的承诺消息Q， 通过搜索本地数 据库中的词条(Q,IDU,info1)追踪消息提供端的身份标识信息IDU。 10.一种具有强不可链接性的可随机化盲签名系统， 其特征在于， 包括： 消息提供端、 签 名端和验证端； 所述签名端对消息提供端的身份标识信 息进行认证后， 所述消息提供端向签名端发送 包括秘密承诺消息和相应的零知识证明在内的第一秘密消息； 所述签名端对第一秘密消息进行零知识证明验证后， 生成可随机化盲签名发送到消息 提供端进行验证； 所述消息提供端将包括随机化盲签名和相应的零知识证明的第二秘密消息发送到验权　利　要　求　书 2/3 页 3 CN 115442057 A 3