(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211116279.0 (22)申请日 2022.09.14 (71)申请人 山东大学 地址 266237 山东省青岛市 即墨滨海路72 号 (72)发明人 叶宏凯　魏普文　张涵东　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 黄海丽 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/06(2006.01) (54)发明名称 一种基于对称密码的环签名方法及系统 (57)摘要 本公开提供了一种基于对称密码的环签名 方法及系统， 其属于网络空间安全技术领域， 所 述方案包括： 获取分组密码电路， 并对电路进行 预处理； 将分组密码电路分解为第一分组密码电 路和第二分组密码电路； 输入消息后， 对所述第 一分组密码电路应用零知识 证明， 第二分组密码 电路基于 预先选择的随机数， 采用重新随机化技 术将所述第二分组密码电路划分为N个断言分 支， 并根据对应断言分支是否有证据分别应用零 知识证明和模拟器模拟证明， 生成最终签名； 其 中， 每个断言分支对应一位环成员的公钥； 所述 零知识证明采用1 ‑out‑of‑N的零知识证明， N为 环成员数量， 签名者证明知 道环成员中某位成员 公钥所对应的私钥。 权利要求书2页 说明书9页 附图4页 CN 115499135 A 2022.12.20 CN 115499135 A 1.一种基于对称密码的环签名方法， 其特 征在于， 包括： 步骤1： 获取分组密码电路， 并对电路进行 预处理； 步骤2： 将分组密码电路分解 为第一分组密码电路和第二分组密码电路； 步骤3： 输入消息后， 对所述第一分组密码电路应用零知识证明， 第二分组密码电路基 于预先选择的随机数， 采用重新随机化技术将所述第二分组密码电路划分为N个断言分支， 并根据对应断言 分支是否有证据分别应用零知识证明和模拟器模拟证明， 生成最终签名； 其中， 每个断言分支对应一位环成员的公钥； 所述零知识证明采用1 ‑out‑of‑N的零知 识证明， N 为环成员数量， 签名者证明知道 环成员中某位成员公钥所对应的私钥。 2.如权利要求1所述的一种基于对称密码的环签名方法， 其特征在于， 所述获取分组密 码电路， 并对电路进行预处理， 具体为： 采用预处理 “MPC‑in‑the‑head”协议， 所述协议分为 预处理阶段和在线阶段两个阶段， 在预处理阶段为在线阶段生成相关数据， 并将电路分解 为两部分。 3.如权利要求2所述的一种基于对称密码的环签名方法， 其特征在于， 所述预处理阶段 为整个电路的每条输入线路和所有乘法门的输出线路分配随机掩码， 并为每个虚拟参与方 分配对应的随机掩码份额； 如果门电路是异或门， 每个参与方在本地计算掩码 份额的异或； 如果门电路是乘法门， 每个参与方的输入线路拥有两个掩码份额， 并且为参与方设置辅助 信息。 4.如权利要求2所述的一种基于对称密码的环签名方法， 其特征在于， 所述在线阶段运 行虚拟的安全多方计算协议， 每个参与方都持有含掩码的输入值以及各自的掩码份额； 如 果门电路是异或门， 每个参与方自行计算线路的输出结果； 如果门电路是乘法门， 每个参与 方计算份额， 对所有参与方通过公开各自份额重构， 得到电路最终输出 结果。 5.如权利要求1所述的一种基于对称密码的环签名方法， 其特征在于， 所述步骤3具体 为： 采用“MPC‑in‑the‑head”协议对第一分组密码电路进行计算， 并对其输出进行掩码 重新 随机化， 以进一步完成零知识证明； 同时， 对于证明者没有证据的断言分支， 证明者固定挑 战， 运行模拟器进行相关计算得到证明脚本； 对于具有证据的电路， 进行零知识证明， 最终 签名生成。 6.如权利要求1所述的一种基于对称密码的环签名方法， 其特征在于， 所述第 二分组密 码电路规模显著小于所获取的原分组密码电路。 7.一种基于对称密码的环签名系统， 其特 征在于， 包括： 预处理模块， 其被配置为： 获取分组密码电路， 并对电路进行预处理； 将分组密码电路 分解为第一分组密码电路和第二分组密码电路； 证明模块， 其被配置为： 输入消息后， 对所述第一分组密码电路应用零知识证明， 第二 分组密码电路基于预先选择的随机数， 采用重新随机化技术将所述第二分组密码电路划分 为N个断言分支， 并根据对应断言分支是否有证据分别应用零知识证明和模拟 器模拟证明， 生成最终签名； 其中， 每个断言分支对应一位环成员的公钥； 所述零知识证明采用1 ‑out‑of‑N的零知 识证明， N 为环成员数量， 签名者证明知道 环成员中某位成员公钥所对应的私钥。 8.如权利要求7所述的一种基于对称密码的环签名系统， 其特征在于， 所述获取分组密 码电路， 并对电路进行预处理， 具体为： 采用预处理 “MPC‑in‑the‑head”协议， 所述协议分为权　利　要　求　书 1/2 页 2 CN 115499135 A 2预处理阶段和在线阶段两个阶段， 在预处理阶段为在线阶段生成相关数据， 并将电路分解 为两部分。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上运行的计算机程序， 其特征在 于， 所述处理器执行所述程序时实现如权利要求1 ‑6任一项所述的一种基于对称密码的环 签名方法。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被 处理器执行时实现如权利要求1 ‑6任一项所述的一种基于对称密码的环签名方法。权　利　要　求　书 2/2 页 3 CN 115499135 A 3