(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210719552.2 (22)申请日 2022.06.23 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 包子健　何德彪　冯琦　许芷岩　 贾小英　罗敏　黄欣沂　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 鲁力 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 一种基于SM2算法的可否认环签名生 成方法 及系统 (57)摘要 本发明公开了一种基于SM2算法的可否认环 签名生成方法及系统， 在一个环签名生成后， 用 户可以向其他第三方验证者证明自己是该签名 的签名者， 或者否认自己是该签名的签名者。 本 发明具有安全性高、 功能完善等优点， 可 以在保 证常规环签名功能的基础上， 提供对签名的可确 认和可否认功能。 能够被应用于数字货币、 电子 投票等多个应用领域。 权利要求书2页 说明书5页 附图2页 CN 115174101 A 2022.10.11 CN 115174101 A 1.一种基于SM2算法的可否认环签名生成方法， 其特征在于， 在一个环签名生成后， 用 户能够通过建立的证明确认协议或否认协议向其他第三方验证者证明该用户是该环签名 的签名者， 或者否认该用户是 该环签名的签名者。 2.根据权利要求1所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 证 明时， 建立一个证明确认协议， 证明确认协议由证明者P， 即生成环签名的用户Ai和验证者V 之间进行， 证明者需要证明该环签名是由其 生成的， 具体是： 验证者随机 选取a， 计算C＝a·W+b·G， 发送C给证明者； 证明者随机 选取 计算K＝a·W+(b+r)·G， 并将(K， L)发送给验证者； 验证者向证明者发送a， b； 证明者验证C＝a ·W+b·G是否成立， 如果成立， 则进行下一 步； 反之， 则退出验证； 证明者向验证者 发送r， 验证者计算K＝a ·W+(b+r)·G， 是否成立， 如果成立， 则 确认签名为该证明者所签。 3.根据权利要求1所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 否 认时， 建立一个否认协议， 否认协议由证明者即非生成环签名的用户Aj， j≠i， 和验证者之 间进行， 证明者需要证明该环签名不是由其生 成的； 令k是双方共同协商的值， 证明者有1/k 的概率欺骗验证者， 通过进行多轮否认 协议来降低欺骗的概 率， 具体是： 验证者随机选取a∈[1， k]， 计算C1＝a·W+b·G， C2＝a·S+b·Pj， 发送C1， C2给证 明者； 证明者寻找到a满足等式dj·C1‑C2＝a·(dj·W‑S)； 证明者随机选取 发送t＝H1 (a， r)给验证者； 验证者向证明者发送a， b； 证明者验证C1＝a·W+b·G， C2＝a·S+b·Pj是否成立， 如果 成立， 则进行 下一步； 反之， 则退出验证； 证明者向验证者发送r， 验证者计算t＝H1(a， r)是否成立， 如果成立， 则认为该签名非该 证明者所签。 4.根据权利要求2所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 设 置k为1024， 协议执 行2次， 使得欺骗的概 率小于2‑100。 5.根据权利要求1所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 环 签名生成包括： 系统初始化： 基于椭圆曲线方程 生成系统参数； 密钥生成： 基于系统参数生成用户的公私钥对； 签名： 基于生成的系统参数、 用户的私钥、 以及消息生成可否认 环签名值； 验证： 基于生成的系统参数、 公钥列表、 消息、 以及签名值验证 签名的合法性。 6.根据权利要求5所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 系 统初始时， 给定安全参数1n， 并且， 选择一个有限域 生成椭圆曲线方程y2＝x3+ax+b mod p， 满足方程的点构成一个阿贝 尔群 随机选取一个生成元 其阶为q； 输出系统参数 权　利　要　求　书 1/2 页 2 CN 115174101 A 27.根据权利要求5所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 密 钥生成时， 给定系统参数P P， 并且， 用户Ai随机选取 作为自身私钥； 计算公钥Pi＝di·G； 输出公私钥对(Pi， di)。 8.据权利要求5所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 签名 时， 给定系统参数P P、 用户Ai的私钥di、 消息m， 并且， 用 户Ai随 机 选 取 (n ‑1) 个 用 户的 公 钥 ， 加上 自 身的 公 钥 Pi， 组 成 列 表 随机选取 计算消息摘要W ＝H2(m||t)； 计算S＝di·W； 随机选取 对于j＝i+1， ...， n， 1， ...， i ‑1， 用户Ai随机选取 计算Tj＝sj·G+(sj+cj)·Pj， Yj ＝sj·W+(sj+cj)·S， 计算 计算si＝((1+di)‑1·(ki‑ci·di))mod q； 输出在 上关于消息m的可否认 环签名值σ ＝(t， S， c1， s1， s2， ...， sn)。 9.据权利要求5所述的一种基于SM2算法的可否认环签名生成方法， 其特征在于， 验证 时， 给定系统参数P P、 公钥列表 消息m′、 签名值σ ′＝(t′， S′， c′1， s′1， s′2， ...， s′n)， 若 则验证不 通过； 计算消息摘要W ′＝H2(m′||t′)； 对i＝1， 2， ...， n， 依次计算Tj′＝s′j·G+(s′j+c′j)·Pj， Y′j＝s′j·W′+(s′j+c′j)·S′， 计算c′j+1＝H1(L， t′， W′， S′， m′， Tj′， Y′j)； 验证等式c ′1＝c′n+1是否成立， 若成立， 则σ ′为合法签名； 反 之， 则签名无效。 10.一种系统， 其特征在于， 该系统被配置为能够在一个环签名生成后， 用户能够通过 该系统向其他第三方验证者证明该用户是该环签名的签名者， 或者否认该用户是该环签名 的签名者。权　利　要　求　书 2/2 页 3 CN 115174101 A 3