(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210719537.8 (22)申请日 2022.06.23 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 包子健　何德彪　宗欣　彭聪　 王婧　罗敏　黄欣沂　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 罗飞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于SM9算法的可否认环认证的签名生 成方法及装置 (57)摘要 本发明公开了一种基于SM9算法的可否认环 认证的签名生成方法及装置， 其中的方法包括密 钥生成、 签名生成以及签名验证步骤， 允许签名 者构建一个由多个成员组成环， 使单个验证者V 确信环成员正在对消息m进行认证， 而不透露是 哪个成员图本发 明具有功能完善等优点， 可以在 保证常规环签名功能的基础上， 提供可否认性， 从而提高安全性。 权利要求书3页 说明书9页 附图2页 CN 115174053 A 2022.10.11 CN 115174053 A 1.一种基于SM9算法的可否认 环认证的生成方法， 其特 征在于， 包括： 密钥生成步骤， 包括： 密钥生成中心产生随机数 作为主私钥， 并计算主公钥Ppub， Ppub＝[d]P2； 用户Ai表示 对应的私钥为 用户B表示 IDB对应的私钥为 其中， d表示由密钥生成中心秘密持有的系统主私钥， P1为群G1的生成元， G1表示阶为q 的加法循环群， q为一个大素数， 表示由1， 2， ， ....， q ‑1组成的整数集合， H1(·)表示由密 码杂凑函数派生的密码函数， 为 为用户Ai的身份标识； 签名步骤， 用户Ai对待签名的消息m进行签名， 包括： 用户Ai随机选取n ‑1个用户的身份， 加上自身的身份标识 组成列表 计算GT的中的元 素g＝e(P1， Ppub)， 随机选取 并计算R＝[r]P1； 给定用户身份IDB， m以及随机元素K∈G1， 输出第一哈希值 计算wi+1＝e(R， Ppub)和 对于j＝i+1， ...， n， 1， ...， i ‑1， 用户Ai随机选取 计算Rj＝[rj]P1， 计算 记h1＝hn+1； 计算l＝r‑himod q， 输出在 上关于消息m的可否认 环认证σ ＝(K， h1， R1， R2， ...， Rn)； 其中， 表示第1个用户和第n个用户的身份标识， GT阶为q的乘法循环群， e表 示从G1×G2到GT的双线性对映射， r为随机数， R为承诺值， IDB为用户B的身份标识， H2(·)表 示由密码杂凑函数派生的密码函数， 为 wi+1为GT中的元素， hi+1为基于wi+1的哈希 值， j为循环的标记符， 表示循环次数， rj为随机数字， Rj表示与rj对应的承诺， uj为GT中的元 素， wj+1为签名生 成阶段用于计算哈希的中间变量， hj+1为签名生 成阶段计算的第j+1个哈希 值， hj为签名生成阶段计 算的第j个哈希值， h1为签名生成阶段计 算的第1个哈希值， hn+1为签 名生成阶段计算的第n+1个哈希值； 签名验证步骤， 用户B对接收到的可否认 环认证σ′进行验证， 包括： 计算GT的中的元 素g＝e(P1， Ppub)； 解析σ′得到(K′， h1′， R1′， R2′， ...， Rn′)， 并验证 对所有i＝1， 2， ...， n， 验证 Ri′∈G1， 是否成立； 当 以及Ri′∈G1均成立时， 对于给定的用户身份IDB， 消息m′以及元素K ′， 输出第 二哈希值z ′， 执行循环步骤， 令k ＝1， 循环执 行以下步骤(1) ‑(3)n次： (1)计算 (2)计算 权　利　要　求　书 1/3 页 2 CN 115174053 A 2(3)k的值加1； 当循环执行步骤结束时， 判断h ′1＝h′n+1是否成立， 如果成立， 则接收到的可否认环认证 σ’为合法签名； 反 之， 则签名无效； 其中， P2为群G2的生成元， Rk′为验证阶段得到的第k个承诺值， Ri′为验证阶段得到的第i 个承诺值， u′k为GT中的元素， wk+1′为验证阶段用于计算哈希的中间变 量， hk+1′为验证阶段计 算的k+1个哈希值， h ′1为验证阶段计算的第 1个哈希值， h ′n+1为验证阶段计算的第n+1个哈 希值。 2.一种基于SM9算法的可否认 环认证的生成装置， 其特 征在于， 包括： 密钥生成模块， 用于执 行密钥生成步骤， 包括： 密钥生成中心产生随机数 作为主私钥， 并计算主公钥Ppub， Ppub＝[d]P2； 用户Ai表示 对应的私钥为 用户B表示 IDB对应的私钥为 其中， d表示由密钥生成中心秘密持有的系统主私钥， P1为群G1的生成元， G1表示阶为q 的加法循环群， q为一个大素数， 表示由1， 2， ， ....， q ‑1组成的整数集合， H1(·)表示由密 码杂凑函数派生的密码函数， 为 为用户Ai的身份标识； 签名生成模块， 用于执 行签名步骤， 用户Ai对待签名的消息m进行签名， 包括： 用户Ai随机选取n ‑1个用户的身份， 加上自身的身份标识 组成列表 计算GT的中的元 素g＝e(P1， Ppub)， 随机选取 并计算R＝[r]P1； 给定用户身份IDB， m以及随机元素K∈G1， 输出第一哈希值 计算wi+1＝e(R， Ppub)和 对于j＝i+1， ...， n， 1， ...， i ‑1， 用户Ai随机选取 计算Rj＝[rj]P1， 计算 记h1＝hn+1； 计算l＝r‑hi mod q， 输出在 上关于消息m的可否认 环认证σ ＝(K， h1， R1， R2， ...， Rn)； 其中， 表示第1个用户和第n个用户的身份标识， GT阶为q的乘法循环群， e表 示从G1×G2到GT的双线性对映射， r为随机数， R为承诺值， IDB为用户B的身份标识， H2(·)表 示由密码杂凑函数派生的密码函数， 为 wi+1为GT中的元素， hi+1为基于wi+1的哈 希值， j为循环的标记符， 表示循环次数， rj为随机数字， Rj表示与rj对应的承诺， uj为GT中的 元素， wj+1为签名生 成阶段用于计算哈希的中间变量， hj+1为签名生成阶段计算的第j+1个哈 希值， hj为签名生成阶段计 算的第j个哈希值， h1为签名生成阶段计 算的第1个哈希值， hn+1为 签名生成阶段计算的第n+1个哈希值； 验证模块， 用于执 行签名验证步骤， 用户B对接收到的可否认 环认证σ′进行验证， 包括： 计算GT的中的元 素g＝e(P1， Ppub)； 解析σ′得到(K′， h1′， R1′， R2′， ...， Rn′)， 并验证 对所有i＝1， 2， ...， n， 验证Ri′权　利　要　求　书 2/3 页 3 CN 115174053 A 3