(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211138685.7 (22)申请日 2022.09.19 (71)申请人 上海阵方科技有限公司 地址 200232 上海市徐汇区丰 谷路315弄24 号1-3层 (72)发明人 包子健　何德彪　刘钰琳　罗敏　 彭聪　冯琦　龚自洪　 (74)专利代理 机构 南昌金轩知识产权代理有限 公司 36129 专利代理师 高娜 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/06(2006.01) (54)发明名称 一种对数签名大小的可追踪环签名生成方 法及系统 (57)摘要 本发明涉及信息安全技术领域， 具体公开了 一种对数签名大小的可追踪环签名生成方法及 系统， 设环中的用户数为n， 其中第π个成员为签 名者， 该方法具体包括以下步骤： S100生成消息 的可追踪环签名； S200对该签名进行合法性验 证； S300对签名的追踪。 本发明实现了一种对数 签名大小的可追踪环签名生 成方法及系统， 将可 追踪环签名的签名大小被压缩到O(logn)， 即对 数级别， 改进的可链接环签名生成方法， 将签名 者身份隐藏在环成员中， 同时在特定情况下可以 追踪签名者的身份 。 权利要求书3页 说明书9页 附图2页 CN 115529141 A 2022.12.27 CN 115529141 A 1.一种对数签名大小的可追踪环签名生成方法， 其特 征在于， 包括如下步骤： S100生成消息的可追踪环签名； S200对该签名进行合法性验证； S300对签名的追踪。 2.根据权利要求1所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 本 方法具体符号描述如下： p： 大素数； Zp： 由0， 1， 2， . ..， p‑1组成的整数集 合； 阶为素数p的循环群； g： 循环群 的一个生成元； gi： 循环群 的一个生成元； gr： 群 中元素g的r次幂； 由密码杂凑函数派生的密码函数， 为 由密码杂凑函数派生的密码函数， 为 由密码杂凑函数派生的密码函数， 为{0， 1}*→Zp； TAG： 会话标签， issue： 话题标签； θ： 用户标签； L， R： 承诺值； c： 挑战值； 挑战向量； n： 环成员个数； π： 签名者的私密下 标， 其中1≤ π≤n； skπ： 签名者的私钥； pkπ： 签名者的公钥， 计算方式为 环成员的公钥集， 即n个用户的公钥集 合； m： 待签名的消息； σ： 签名值； NISA(Non‑interactive  Sum Argument)： 非交 互式和证明方法； param： 系统参数； π： 生成的非交 互式和证明； TList： 列表， 初始化时为空。 3.根据权利要求2所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 所 述步骤S100生成消息的可追踪环签名中给定参数param， 消息m∈{0， 1}*， 公钥集权　利　要　求　书 1/3 页 2 CN 115529141 A 2会话标签 签名者公私钥对{pkπ， skπ}， 签名者 对消息m签名。 4.根据权利要求3所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 所 述S100生成消息的可追踪环签名的详细步骤如下： a)根据环内用户公钥的集合 计算哈希值 计算签名者的标签 b)计算哈希值 中间值 c)对于所有j∈[n]且j≠ π， 计算 其他环内成员的标签θj＝A1A0j； d)随机选取随机数rπ∈RZp， 对于i∈[n]且i≠ π， 随机 选取随机数ci∈RZp， e)计算承诺值 承诺值 f)计算挑战值 g)计算中间值cπ＝c‑cπ +1‑…‑cn‑c1‑…‑cπ‑1， 那么有c＝c1+…+cn； h)计算部分签名值s＝rπ‑cπ·skπ； i)令挑战 向量 j)计算中间值P＝ L·(gs)‑1·R·(hs)‑1； k)计算非交 互式零知识证明 1)输出签名 σ ＝(s， L， R， A1， π )。 5.根据权利要求4所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 所 述S200对该签名进行合法性验证中， 给定参数param， 给定消息m∈{0， 1}*， 会话标签TAG， 签 名 σ ＝(s， L， R， A1， π )。 6.根据权利要求5所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 所 述S200对该签名进行合法性验证的详细步骤如下： a)计算哈希值 计算哈希值 b)对于i∈[n]， 计算每 个环成员标签σi＝A1A0i； c)计算挑战值 d)计算中间值P＝ L·(gs)‑1·R·(hs)‑1； e)如果 验证失败， 签名无效； 否则验证成功， 则为合法签名。 7.根据权利要求6所述的一种 对数签名大小的可追踪环签名生成方法， 其特征在于， 所 述步骤S300对签名追踪， 即对同一个TAG的2个 签名(m， σ )和(m ′， σ′)执行以下步骤：权　利　要　求　书 2/3 页 3 CN 115529141 A 3