GB/T 38647.2-2020 信息技术 安全技术 匿名数字签名 第2部分：采用群组公钥的机制

lCS35.040

L80＂＂＂＇号：4汪汪汪汪温•＇＂.·.飞:''·:·:·:··‘

（.！／~……·〈：，”··

f,,.·.－－二

a…t.·':'l,:..·.·:.·.·w.祖＇··rγ..巳－;:•••..···：占凶…w

::;}j..·：＂画画画面•t+r;;画画画画画画画画画...

号除－<：~：：L___)/:

一一

飞liill正巧：·：c,:;-;.::c·）坦··｝，；〈：：工：：；：：·：··＂－

唱唱……－~……＿

中华人民共和国国家标准

GB/T38647.2-2020

信息技术安全技术匿名数字签名

第2部分：采用群组公钥的机制

Informationtechnology-Securitytechniques-Anonymousdigitalsignatures-

Part2:Mechanismsusingagrouppublickey

CISO/IEC20008-2:2013,MOD)

2020-04-28发布2020-11-01实施

国家市场监督管理总局毕＋

国家标准化管理委员会也叩

GB/T38647.2一2020

目次

前育………I

引言…………………………H

1范围·

2规范性引用文件－

3术语和定义·

4符号………………………2

5－般模型和要求…………………………3

6具有连接能力的机制……………….4

6.1概述…………………4

6.2机制l………………4

6.3机制2………………8

6.4机制3………………13

6.54凡制4………………16

7具有打开功能的机制……………………四

7.1概述…………………19

7.2机制5………………19

7.3机制6………………22

8具有打开和连接功能的机制……………M

8.1概述…………………24

8.2机制7………………24

8.3.f!L制8………………28

附录AC规范性附录）对象标识符………………………u

附录B（规范性附录）密码杂凑雨数……………………m

附

录c（资料性附录）采用群组公钥的匿名签名机制的安全指南……37

附录DC资料性附录）撤销机制的比较…………………40

附录EC资料性附录）数值实例…………u

附录F（资料性附录〉机制5的正确性证明……………95

参考文献……99

GB/T38647.2-2020

白『

目U昌

GB/T38647《信息技术安全技术匿名数字签名》拟分为两个部分：

一一第1部分：总则；

一一第2部分：采用剧组公钥的机制。

本部分为GB/T38647的第2部分。

本部分按照GB/T1.1-2009给出的规则起草。

本部分使用重新起草法修改采用ISO/IEC20008-2:2013《信息技术安全技术匿名数字签名

第2部分：采用群组公钥的机制》。

本部分与ISO/IEC20008-2:2013的技术性差异及其原因如下：

一一关于规范性引用文件，本部分做了具有技术性差异，的调整，以适应我国的技术条件，调整的情

况集中反映在第2章“规范性引用文件”中，具体调整如下：

•删除了ISO/IEC18031和ISO/IEC18032;

•增加了GB/T32905、GB/T32918.2-2016、GB/T34953.2-2018和ISO/IEC15946-1;

•用修改采用国际标准的GB/T38647.1代替了ISO/IEC20008-1。

一一第5章采用了我罔密码算法罔家标准GB/T32905，以与我罔技术水平相适应。

一一第8章增加了机制8（见8.3），该机制基于GB/T32918.2-2016，是与我同商用密码i1：法相适

应的匿名数字签名技术。

一一增加了与机制8的数学假设和安全参数选取相关的内容（见附录。。

一一增加了与机制8的撤销机制相关的内容（见附录D)。

一一增加了E.8，给出了机制8的数值实例（见附录£）。

本部分向全罔信息安全标准化技术委员会（SAC/TC260）提出并归口。

本部分起草单位：西安西电捷通元钱网络通信股份有限公司、元钱网络安全技术罔家工程实验室、

中关村无线网络安全产业联盟、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国

家信息技术安全研究中心、中国通用技术研究院、中国电子技术标准化研究院、天津市电子机电产品检

测中心、重庆邮电大学、北京计算机技术及应用研究所、工业和信息化部宽带无线IP标准工作组。

本部分主要起草人：杜志强、曹军、张同强、李琴、李志勇、李冬、赵晓荣、黄振海、李冰、陶洪波、刘科伟、

颜湘、刘景莉、赵旭东、王月辉、张璐璐、自春梅、许玉娜、傅强、龙昭华、彭潇、熊克琦、林德欣、铁满霞、

吴冬字、郑骗、高德龙、张变玲、于光明、朱正美、赵慧、黄奎刚。

I

GB/T38647.2一2020

百｜

匿名数字签名机制是一种特殊类型的数字签名机制，该类数字签名机制中，非授权的实体不能获得

签名方的身份标识，但可验证合法的签名方产生了合法的签名。

采用郡：组公钥的匿名数字签名机制具有提供签名方更多信息的能力。一些签名机制拥有连接能

力，其中由同一个签名方产生的两个签名是司连接的。一些签名机制拥有打开能力，其中签名可以被特

殊的实体打开来揭露签名方的身份。一些签名机制既具有连接能力也具有打开能力。

对于每个机制，本部分规定了打开、连接和／或撤销过程。

本部分规定的机制使用了GB/T32905中规范的抗碰撞密码杂凑函数去计算整个消息。

本文件的发布机构提请注意，声明符合本文件时，可能涉及与8.3相关的CN201810207503.4、

CN201810207564.0、CN201810207571.0等专利的使用。

本文件的发布机构对于上述专利的真实性、有效性和范围无任何立场。

该专利持有人已向本文件的发布机构保证，他愿意向任何申请人在合理且无歧视的条款和l条件下，

就专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构备案。相关信息可通过以下联系

方式获得：

专利持有人：西安西电捷通无线网络通信’股份有限公司

地址：西安市高新区科技二路68号西安软件同秦风阁A201

联系人：冯玉民

邮政编码：710075

电子邮件：ipri@iwncomm.com

电i舌：029-87607836

传真：029-87607829

网址：http://www.iwncomm.com

本文件的发布机构提请注意，本文件修改采用ISO/IEC20008-2:2013，因此，除上述声明外，韩同

电子通信研究院、英特尔公司以及日本NEC公司针对ISO/IEC20008-2:2013所作州的“专利持有人愿

意基于无歧视、合理条件和条款与其他方协商许可”的声明适用于本文件。相关信息可通过以下联系方

式获得：

专利持有人：ElectronicsandTelecommunicationsResearchInstitute

土也力1:161,Gajeong-dong,Yuseong-gu,Daejeon,305-700,KOREA

联系人：HanchulShin

电子邮件：vipl23@etri.ke.kr

电话：＋82-042-860-5797

传真：＋82-042-860-3831

网址：http://www.etri.re.kr

专利持有人：IntelCorporation

地址：IntelLegalandCorporationAffairs2200MissionCollegeBlvd.,RN&150,SantaClara,CA95054

联系人：JamesKovacs

电子邮件：Standards.Licensing@intel.com

电i舌：408-765-1170

a

GB/T38647.2-2020

传真：408“613“7292

网址：http://www.intel.com/standards/licensing.html

专利持有人：NECCorporation

地址：7-1Shiba5-chomeMinato-KuTokyoJapan108-8001Japan

联系人：YoshinobuMatsumoto

电子邮件：y-matsumoto@cp.jp.nee.com

电话：＋81-3-3798-2452

传真：＋81-3-3798-6394

网址：http://www./

请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专

利的责任。

rn

GB/T38647.2-2020

信息技术安全技术匿名数字签名

第2部分：采用群组公钥的机制

1范围

GB/T38647的本部分规定了采用群组公钥的匿名数字签名机制的一般模型和要求、具有连接能

力的机制、具有打开功能的机制、具有打开和连接功能的机制。

本部分给出了：

a)采用群组公钥签名的匿名数字签名机制的概述；

b)多种提供这类匿名数字签名的机制。

对于每个机制，本部分规定了：

a)群组成员签名密钥和群组公钥的生成过程；

b)生成签名的过程；

c)验证签名的过程；

d)fi羊组成员打开过程（可选）；

e)群组签名连接过程（可选）；

[)撤销群组签名的过程。

本部分适用于指导采用群组公钥的匿名数字签名机制的设计、实现与应用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。儿是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T32905信息安全技术SM3密码杂凑算法

GB/T32918.2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法

GB/T34953.2-2018信息技术安全技术匿名实体鉴别第2部分：基于群组公钥签名的机

制OSO/IEC20009-2:2013,IDT)

GB/T38647.1信息技术安全技术匿名数字签名第1部分：总则（GB/T38647.1-2020,

ISO/IEC20008-1:2013,MOD)

ISO/IEC10118（所有部分〉信息技术安全技术杂凑函数（Informationtechnology-Security

techniques-Hash-functions)

ISO/IEC15946-1信息技术安全技术基于椭圆曲线的密码技术第1部分：通用要求Onfor-

mationtechnology-Securitytechniques-Cryptographictechniquesbasedonellipticcurves-Part1:

General)

ISO/IEC15946-5信息技术安全技术基于椭圆曲线的密码技术第5部分：椭圆曲线生成

Clnformationtechnology-Securitytechniques-Cryptographictechniquesbasedonellipticcurves-

Part5:Ellipticcurvegeneration)

3术语和定义

GB/T38647.1界定的以及下列术语和定义适用于本文件。

GB/T38647.2一2020

3.1

辅助签名方assistantsigner

可以帮助主签名为去创建匿名签名，但不可以独立地产生匿名签名的实体。

3.2

成员列表member-list

包含fi丰组成员身份及其对应的群组成员证书的列表。

3.3

主签名方principalsigner

拥有fi丰组成员签名密钥，并使用该密钥来创建匿名签名的实体。

3.4

密钥种子值secretseedvalue

群组成员所知的并且用来导11:1群组成员私钥的保密数据。

3.5

安全参数securityparameter

决定一个机制安全强度的变盘。

4符号

下列符号适用于本文件。

b川：连接基，既可以是一个特妹符号上，也可以是任意字符串。

e(）：双线性映射函数e:G1×G2→Gr，使得对所有PεG，、QεG2，所有正整数α、b，等式e（［α］

P,[b]Q)=e(P,Q)"b成立，该两数也称为对民数。

gcd（α，b）：整数α和b的最大公USI子。

Gl：椭圆曲线上的阶为ρ的一个加法循环群。

G2：椭圆曲线上的阶为ρ的一个加法循环群。

Gr：阶为ρ的乘法循环群。

H：密码杂凑函数。

m：待签名消息。

η：RSA模块，其中11＝ρq。

0E：椭阴阳1线上的先穷大点。

P：索数。

P,:G1的生成元。

P2:G2的生成元。

Q：素数。

Q.+Q2：椭圆曲线点Q.和Qz的总和。

QR（η）：模n的二次剩余群组。

Z,,.:Z，，中可逆元素的乘法群。

Zρ：［O，ρ－1］中整数的集合。

z"·:[1，ρ－1］中整数的集合。

（α｜ρ）：α和ρ的勒让德符号，其中α是一个整数，ρ是一个奇紫数。

[11]P：一个正整数和一个在椭阴1lh钱E上的点P之间的乘法运弈，71和P作为输入并产生另外椭

因曲线E上的点Q，其中Q＝［η］P=P+P＋…＋P，是n个P的总和。该运3丰满足［OJ

P=Oi>和［－n]P=[n](-P)o

2

GB/T38647.2-2020

［工，y］：从x到y之间包括工和y的整数集合，如果x,y是整数，则满足xζy。

II,xIIY表示数据项Y和Z以特定的顺序级联的结果。将两个或多个数据项连接的结果作为本

部分规定的机制之一进行签名时，应将该结果组合起来，使其可以唯一的分解为其组成数据项，

确保不存在歧义的司能，这种属性可根据应用以各种不同的方式实现。例如，它可以：a）在整个

机制被使用时确保子字符串的固定长度，或b）确保使用唯一的编码方式来对级联的字符串序

列进行编码。例如，使用ISO/IEC8825-1中参考文献［l］定义的编码规则。

5－般模型和要求

本章定义了采用群组公钥的匿名数字签名机制的一般模型和要求。此外，本章还规定了与采用群

组公钥的匿名签名机制相关的特定要求。

本部分凡涉及密码算法相关的内容，按国家有关法规实施；凡涉及采用密码技术解决机密性、完整

性、真实性、抗抵赖信求的应遵循密码相关同家标准和行业标准。

本部分使用群组公钥签名的匿名机制包含了群组和群组成员。每个群组应包含相关的群组成员发

布方。根据具体的机制，可能还拥有群组成员打开方和／或群组签名连接方。多个实体町能承担群组成

员打开方或群组签名连接方的作用。机制的匿名程度依赖于匿名强度（例如群组的大小）、是否拥有打

开能力、是否拥有连接能力、怎样进行撤销、是否发布方知道私钥和泄豆豆私钥的可能性。本部分规定的

机制所使用的对象标识符见附录A，所对应的数值实例参见附录E。

基于制：组的匿名数字签名机制包括下列规定的过程：

a)密钥生成过程；

b)签名过程；

c)验证过程；

cl)打开过程（如果机制支持打开能力h

e)连接过程（如果机制支持连接能力h

f)撤销过程。

本部分用到的撤销方法的对比分析参见附录D。

本部分规定的采用群组公钥的匿名数字签名机制包含了各种实体。一些存在于所有机制中，另一

些只存在干部分机制中。这些实体如下：

一一签名方：签名为是产生签名的实体。在一些机制中，签名为分割为两个实体。例如，在直接匿

名机制中，签名方的角色分割为带有限计算和存储能力的主签名方，例如可信平台模块

(TPM）和带高计算能力但低安全容锚性的辅助签名方，如普通的非｜算平台。

一一验证方：验证方是验证数字签名的实体。

一一群组成员发布方：即：组成员发布方是发布群组成员证书给签名方的实体。该实体存在于本部

分所有的机制中。

一一群组成员打开方：群组成员打开方是有能力从签名中确认签名方身份的实体。该实体存在于

本部分规定的某些机制中。

一一群组成员连接方：都：组成员连接方能够验证两个签名是否曲同一个签名方使用连接密钥或连

接基产生的。该实体存在于本部分规定的某些机制中。

使用木部分中的任意机制，均应满足下列条件：

一一包含在匿名数字签名机制的每个实体都知道一组共同的群组参数，它被用来计算机制中的不

同雨数；

一一每个验证方可以访问群组验证密钥的真实副本；

一一在发布群组签名密钥时，签名方和群组成员发布方简要有可靠地通道来确保群组成员发布方

GB/T38647.2一2020

只能够提供群组成员签名密钥给合法的群组成员；

一一抗碰撞密码杂读两数应采用GB/T32905中规定的雨数；

一一强健的椭阴阳l线生成器，如ISO/IEC15946号中规定的一种，应在一些匿名数字签名机制中

使用；

一一强健的随机数生成器，如GB/T32905中规定的一种，应在一些匿名数字签名机制中使用。

6具有连接能力的机制

6.1概述

本主主规定了具有连接能力的四种数字签名机制。

注1：在参考文献’｜’6.2的机制称为单签名方案，同时，6.3、6.4和6.5的1n怎称为直接匿名证明<DAA)1J~挺。6.2、

6.4刷6.5巾的衫lffj!J和相关安全证明分别基于参考文献［町、［6］和［11].6.3的机制基于参考文献［3〕巾的方

案，它是对参考文献［4〕方案的小的修改，并且在参考文献［4］全文中给出其相应的安全分析。

注2：对于验证等特定的应则，本意所规定的匿名签名机制，在进行签名之前，被签名消息可能被进行密码杂谈运算

或／和｜被连接额外的信息。

6.2机制1

6.2.1符号

下列符号适用于本机制。

一一儿，走，儿，ι，lr.,lx,e：安全参数；

一一户’，q',e：素数；

一一－α，α。，g,h,b,C1,D,C2,d’，dI'd2,l’,t1,l2,A,f,T1,T2,T3,T4,d3,d4,d;,l3,l4,ls:

QRCn）内的整数；

一－x’，α，卢：［O,21J一1〕内的整数；

一一切l叫，叫：“，2的一l］内的整批

一一ε，七c',c,c”，c＇＂：长度为h比特的整数；

一－，~：长度为（2Lt>+l)比特的整数；

一－ti，儿,r，，门，rz：长度为［e•<L.•.+k）］比特的整数；

一一句，.S2：长度为［ε.(2儿＋k+l)］比特的整数；

一－x：长度为(L,.+l)比特的整数；

-r3：长度为［ε·Cl,.+ztt>+k+l)〕的整数；

一一句，Si,sz,s':[-2川，2“川的一l］内的整数；

一－s3：卜2川川川，2毗，村川川一l］内的整数；

一－r4,r5：长度为［e•(2ι＋k）〕比特的整数；

-r9，门。：长度为［e•(2lp+l,+k）］比特的整数；

一－s.,,S5:[-221ρ村，2时问川一l〕内的整数；

一－s9,s10：卜2的制，村，2＂川川川一l］内的整数；

一－H：输出走比特消息摘要的密码杂凑函数；

一－H「：输出（2Lρ）比特消息摘要的密码杂凑函数。

6.2.2密钥产生过程

密钥产生过程归两部分组成：建立过程和群组成员发布过程。其中，发布过程是群组成员发布

4

GB/T38647.2-2020

方产生证明、群组公共参数、群组公钥和群组发布密钥的过程，群组成员发布过程是通过运行在群成员

发布方和群成员之间的交互协议来产生唯一的群组成员签名。

建立过程FA群组成员发布为－通过以下步骤执行：

a)选择下列参数：儿，走，l...,L,,Le,Lx，ε。

b)选择RSA模块满足”＝问，且ρ＝2ρ’十l,q＝句’＋1，这里ρ，q，ρ’，q＇都是素数并且－ρ’和q’

均为儿比特。

c)选择二次剩余棋”的群组的随机数α执行以下步骤：

1)在Zn.内满足gcd(g十1，η）＝l和gcd(g-1，η）＝l;

2)计算α＝g2(modη）。

d)在QR（η）内选择区别于α的随机数ao.

e)在QR（η）内选择区别于α和α。的随机数g。

。在QR(n）内选择区别于α、ao和8的随机数h。

g)在QR（η）内选择区别于α，a0,h和g的随机数b。

h)群组成员发布方选择两个密码杂读函数H:{O,l}＂→｛O,l｝必和Hr:{O,l｝•→｛O,l｝叫。附录B

给出了如何去构建Hr的示例。

i)输出：群组公共参数（ι，走，仁，儿，Le,lx，ε），

群组公钥（”，α，α0,g,h，的，

群组成员发布密钥句’吨’）。

注：f位荐参数的示例参见附录C巾的C.2.

6.2.2.3群组成员发布过程需要在主签名ti和发布方之间建立一个安全的鉴别通信信道，如何建立该

信道不在本机制的范罔之内规定，群组成员发布过程包括以下步骤：

a)群组成员选取随机整数立’ε［O,21r一l］。

b)群组成员选取随机整数Fε［0,211一l］。

c)群组成员计算C,=g＂＇·’h;(modη）。

d)制：组成员通过以下步骤产生一个在基g和h下C，的〈且同＼卢）知识证明U:

1)群组成员选取随机整数ttξ［O,2«1·'＋的一1];

2)梢：组成员选取随机整数t2ξ［0'2'(2/p＋仆”一l〕；

3)群组成员计算D=g’lh’2,D=g11h’2(modη）；

4)群组成员计算c=H<gIItiIIc,II0);

5)群组成员计算s,=i,-tx气

的群组成员计算s2=t2-c，~；

7)U=(c，儿，.52）。

e)群组成员发送c，和U给群组成员发布方。

f)群组成员发布方从群组成员接收到c，和U。

g)群组成员发布方验证C，属于QR（η〉：

群组成员发布方验证是否存在＜C,｜ρ）＝l且＜C,lq)=l。

如果任意的一个验证失败，群组成员发布方输出拒绝和禁止。

h)群组成员发布方验证知识证明U,

1)群组成员发布方计算D'=g'1h'2C1'(modη）；

2)群组成员发布方计算l:=H(gIIhIIc,IID’>;

3)群组成员发布方验证c=c,.5，ε〔－2＇·＇＋朵，z«1.,＋川一汀，并且.52ε［－2的＋什I,z«21p+k+ll一口。

如果任意的一个验证失败，群组成员发布方输：+1拒绝和禁止。

5

GB/T38647.2一2020

i)群组成员发布方选取随机的基数αε［O,z1r一］］。

j)群组成员发布方选取随机整数卢ξ［0,2L.r-1〕。

k)群组成员发布方发送α和卢给群组成员。

I)群组成员从群组成员发布方接收到α和卢。

m）硝－组成员计算工＝2，＇＋［αx＇＋卢（mod21')J。

n)群组成员计算C2=a'(modn）。

。）群组成员计算u＝（α／＋卢）12儿。

p)群组成员产生在基α下C2的离散对数工的知识证明V:

1)群组成员发布方选取随机整数r’ε［o,z«i...村＇－1];

2)群组成员计算d’＝ar’（mod11);

3)群组成员计算c'=H<aIIgIIC2IId');

4)群组成员计算s'=r'-c'(x-21·);

5)群组成员使得V=(c’，s＇）。

q)群组成员产生知识证明W:

1)群组成员选取随机整数rlε［O,2«1川川一l];

2)群组成员选取随机整数rtε［0,2«1..+kl-1];

3)梢：组成员选取随机整数r3ε［0,2仙＋21,＋忡。一l];

4)稍：组成员计算d1＝α门（mod11);

5)群组成员计算d2=g'1(gl）’哨’3(modη），其中L=21';

6)群组成员计算c=H（αIIgIIhIIcIIIC2IIdIIId2);

7)群组成员计算S1=r1-c(x-21');

8)群组成员计算S2=r2-cu;

9)群组成员计算s3＝门－cαh

10)群组成员计算W＝（ι，51•S2,S3）。

r)群组成员发送C2、V和W群组成员发布方。

。群组成员发布方从群组成员接收到C2、V和W。

t)群组成员发布方检查C2是否属于QRC川。

群组成员发布方检查是杏满足＜C2Iρ）=l且CC2lq)=l。如果任意一个验证失败，群组成员

发布方输出拒绝和禁止。

u)群组成员发布方验证知识证明V:

1)梢：组成员发布方计算so=s'-c'z1...;

2)群组成员发布ti计算t'=C2~'0(mod11);

3)群组成员发布方计算c"=H（αIIgIIC2IIt’);

的群组成员发布方检查c"=c’并且Jε［-z1...+k,z·u川川一l］。如果任意一个验证失败，群

组成员发布方输出拒绝和禁止。

v)群组成员发布方验证知识证明W:

1)群组成员发布方计算t’＝CC2／α

2)群组成员发布方计算t2=CC1"g11）俨忍＂＇怡’）吃h'3(mod11），其中L=21’；

3)群组成员发布方计算c"1=H（αIIgIIhIIC1IIC2IIt1IIt2);

的群组成员发布ti验证c'11=c,sl属于［-21－＋走，2霞的十的一1〕，归属于［-21，＋朵，z«1,,＋的一l］并

且.S3属于［-21，＋的十k+l'z•u...＋的＋忡川一l］。如果任意一个验证失败，群组成员发布方输

出拒绝和禁止。

w）群组成员发布方选取随机数eE[21"-21'+1,21~：+21'-1］。

6

GB/T38647.2-2020

x)群组成员发布方计算ct1=l/e(modργ）。

y)群组成员发布方计算A=(aoC2)<11(modn）。

z)群组成员发布方存储悦，hMember）到群组成员列表中。

aa)群组成员发布方发送A和e给群组成员。

bb)ti羊组成员从群组成员发布方接收到A和e。

cc)群组成员验证A'=aoαJ(mod11）。

dd)签名方的群组成员签名密钥（A,e,.x），其中x是群组成员私钥，（A，υ是群组成员凭证。

6.2.3签名过程

连接基被用来实现连接能力，它由群组成员发布方或其他可信机构选取。输入群组公钥（n，。，。。，

g,h,b），群组成员签名密钥（A,e,.x），连接基bsn和未签消息mE{O,l｝＂，签名过程执行以下步骤：

a)群组成员计算j=(Hr(bsn))2(modn);

b)群组成员选取随机整数W1ε〔0'221•一l];

c)群组成员选取随机整数W2ε［0,221ρ－1];

d)群组成员选取随机整数W3廷〔0,2川一l];

e)群组成员计算T1=Abu.•(mod11);

f)群组成员计算T2=gw,hw2(modη）；

g)群组成员计算T3=g'h叫（mod11);

h)群组成员计算T4=f'(modη〉；

i)ti羊组成员选取随机整数r，ξ［0,2«川的一1];

j)群组成员选取随机整数rzε［0,2«1，叫一l];

k)制：组成员选取随机整数r3ε［0'2«21•＋的－1];

I)群组成员选取｜随机整数r4ε［0,2«问村＞－1];

m）群组成员选取随机整数rsξ［0,2«的＋的一l];

n)群组成员选取随机整数r9ε［0,2«的＋川的一1];

o)群组成员选取随机整数r,oE[0,2时的＋川的一l];

p)群组成员计算d1=T,'1/(a'2b'9)(modn);

q)制：组成员计算d2=T2"1/(g"9h"10)(mod11);

叶群组成员计算的＝g"3h"'(modη）；

s)群组成员计算仇＝g"1h."5(modn);

t)群组成员计算的＝f"2(mod11);

u)制：组成员计算c=HCαIIaoIIgIIhIIT1IIT2IIT3II巳IId.IIdzII的｜｜仇｜｜的IIm);

v)群组成员计算s1=r1-c(e-21ι〉；

w）群组成员计算S2＝η－cC.x-2'');

x)群组成员计算S3=r3-CW1;

y)群组成员计算s,=r,-cwυ

z)群组成员计算S5＝门－cwυ

aa）群组成员计算S9＝川－cew1;

bb）群组成员计算s10=r10-cew2;

cc）群组成员设置签名为σ＝Cc,sυs2,s3,s,,s5,s9付10，乱，Tz,T3,T，）。

6.2.4验证过程

输入消息m、连接基bsn、签名（c,s,,sz,s3,s1川5,s9's10'TI'T2'T3'T4）以及群组公钥（η，α，ao,

7

GB/T38647.2一2020

g,h,b），验证过程执行下列步骤：

a)验证方计算f=(Hr(bsn))2(modη）；

b)验证1J计算fi=ao'T1'1-<1'／〈α叮叮L/J'9)(mod71），其中l'=Z句，，L=21';

c)验证方计算12=T2·•-c1/(g'9h'10)(mod川，其中t'=z1~：；

d)验证方计算t3=T2'°g'3h'·1(modn);

e)验证方计算t,=Tνg''-<1h•s(mod11），其中t’＝ztt;;

f)验证方计算ts=T4f''z-<1.(mod11），其中L=ztr;

g)验证方计算c’＝H（αIIaoIIgIIhIIT1IIT2IIT3II巳IIt1IIt2IIt3IIl4IIl5IIm);

h)如果c’＝c，.~，在［－2'·+k,z«1，＋川一口，Sz在［-ztr+k'z«t..＋川一汀，h在［－2的村，2“的＋的一1〕，

h在［－2的＋走，z«的＋川一l]•.55在［－2的材，2“的＋川一l],S9在［－2川＋川k'2川tρ＋川川一l]'s10

在［－2的＋ι＋念，2时的＋t，＋的一l］，那么返回1（正确）；

i)否则返回0（不正确）。

6.2.5连接过程

有两个使用同一个连接基的η计算，的合法的签名σ＝（c，们，s2,s:i,s,,,s5川9,s10,T1，几，飞，T4）和

σ’＝（c’，Si’，sz'..~3’，s/..~s’，S9’，S10’，T1’，T2’，T/,T1’），该连接过程执行下列步骤：

如果几＝T.，＇，输出1（己连接），否则输出0（未连接）。

6.2.6撤销过程

该机制撤销过程的细节参见参考文献［10］。在该机制中支持两个类型的撤销（私钥撤销和验证方

黑名单撤销）。私钥撤销既司以是全局撤销也可以是本地撤销。验证方黑名单撤销属于本地撤销。

注1：撒销过程的细节参见参考文献［8］。

私钥撤销：

一一如果群组成员的签名密钥（A,e,x）被损坏，都：组成员发布方或者验证方把z放进该类型撤销

列表RL中；

一一给定一个使用连接基brn计算的合法的签名σ＝(c,Si，句，S3,s1,ss..~9,s10,T1,T2，凡，几）和

－个该类型的撤销列表RL，验证方可以按照如下方式检查该签名的撤销：对于每一个工’ε

RL，验证T4=F<Hr(b川）)2'"(modn）。如果验证失败，输出0（已撤销）；否则输