摘 要：環(huán)簽名具備匿名性，身份基環(huán)簽名無需證書，關(guān)聯(lián)環(huán)簽名可避免用戶重復(fù)簽名，但這些簽名占用空間多且效率低。針對(duì)這些問題，先輸出公共參數(shù)和系統(tǒng)主密鑰，再提取用戶密鑰，然后使用格上的累加器對(duì)環(huán)中公鑰進(jìn)行累加，并將知識(shí)證明簽名推廣至格上，構(gòu)造出格上身份基簡短關(guān)聯(lián)環(huán)簽名。對(duì)該簽名的不可偽造性、關(guān)聯(lián)性和匿名性進(jìn)行了證明。對(duì)簽名方案進(jìn)行了性能分析與實(shí)驗(yàn)評(píng)估，結(jié)果表明，該簽名節(jié)省了時(shí)間開銷和存儲(chǔ)空間。利用該簽名及門限秘密共享技術(shù)，提出后量子的電子投票協(xié)議。

關(guān)鍵詞：格；身份基；知識(shí)證明簽名；累加器；簡短關(guān)聯(lián)環(huán)簽名；門限秘密共享；電子投票

中圖分類號(hào)：ＴＰ３０９． ２ 文獻(xiàn)標(biāo)志碼：Ａ 開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（ＯＳＩＤ）：

文章編號(hào)：１００３－３１０６（２０２４）０５－１３０８－１２

０ 引言

環(huán)簽名是一種簡化的群簽名，可有效提高用戶的匿名性［１］。身份基環(huán)簽名是基于身份的密碼體制與環(huán)簽名相結(jié)合使用戶不再需要證書的簽名，與之類似，無證書環(huán)簽名也是不需要證書的簽名；門限環(huán)簽名是將門限機(jī)制應(yīng)用至環(huán)簽名；關(guān)聯(lián)環(huán)簽名具有簽名人關(guān)聯(lián)性，通過關(guān)聯(lián)標(biāo)簽，可確定某２ 個(gè)簽名是否由某用戶代表同一群體簽署產(chǎn)生，即可避免用戶重復(fù)簽名，一次性環(huán)簽名也具有類似的性質(zhì)。但是，這些簽名的長度均隨著環(huán)成員的增多而增大。簡短關(guān)聯(lián)環(huán)簽名［２－３］先使用累加器對(duì)環(huán)中公鑰進(jìn)行累加，再進(jìn)行知識(shí)證明簽名，在保留關(guān)聯(lián)環(huán)簽名一些特性的情況下，簽名長度不會(huì)隨環(huán)成員數(shù)量的變化而變化［４］。然而上述這些簽名均基于傳統(tǒng)數(shù)學(xué)難題，隨著量子計(jì)算技術(shù)的發(fā)展，它們的安全性在降低?；诟竦拿艽a體制具有以下優(yōu)點(diǎn)：格上任意實(shí)例的安全度都相同；格中運(yùn)算以線性運(yùn)算和模運(yùn)算為主，運(yùn)算簡單；至今沒有可行的量子算法能夠破解格上的困難問題，因而其備受學(xué)者們關(guān)注［５－７］。

電子投票在人類社會(huì)活動(dòng)中發(fā)揮著非常重要的作用，其安全性、公平性、公正性等問題一直是公眾關(guān)注的焦點(diǎn)，且影響其廣泛地推廣使用。將簡短關(guān)聯(lián)環(huán)簽名應(yīng)用至電子投票，首先可提高投票者的匿名性，其次能避免重復(fù)投票的發(fā)生，再次簽名長度固定不變可節(jié)省存儲(chǔ)空間；如果再結(jié)合格理論，可使得投票具備抗量子性，更加安全。

文獻(xiàn)［８］提出一種關(guān)聯(lián)環(huán)簽名方案，實(shí)現(xiàn)了簽名的批量驗(yàn)證。文獻(xiàn)［９］利用關(guān)聯(lián)環(huán)簽名，設(shè)計(jì)了基于智能合約的電子投票方案。文獻(xiàn)［１０］利用一次性環(huán)簽名及匿名地址技術(shù)，提出一個(gè)以太坊電子投票方案。文獻(xiàn)［１１］提出了關(guān)聯(lián)環(huán)簽密，并將其應(yīng)用至智能合約電子投票。這些方案均可確保投票者的匿名性，同時(shí)避免出現(xiàn)重復(fù)投票的情況。但是，這些方案的簽名（簽密）長度均隨著環(huán)成員的增多而增大。文獻(xiàn)［２－３］構(gòu)造了簡短關(guān)聯(lián)環(huán)簽名，隨著環(huán)成員的增多，簽名長度不變。文獻(xiàn)［１２］提出了一個(gè)簡短關(guān)聯(lián)環(huán)簽名方案，適用于電子現(xiàn)金協(xié)議。文獻(xiàn)［１３］提出了新的高效的簡短關(guān)聯(lián)接環(huán)簽名，并將其應(yīng)用于智能合約電子投票。但是，上述所有簽名方案均是基于傳統(tǒng)數(shù)論困難問題，不具備抗量子性。

基于格上的困難問題，文獻(xiàn)［１４］提出了切合實(shí)際的格基一次性關(guān)聯(lián)環(huán)簽名方案，實(shí)用性強(qiáng)。針對(duì)傳統(tǒng)身份基關(guān)聯(lián)環(huán)簽名不能抵抗量子攻擊的問題，文獻(xiàn)［７］構(gòu)造了一個(gè)格上身份基的關(guān)聯(lián)環(huán)簽名方案。文獻(xiàn)［１５］提出了格上無證書環(huán)簽名（Ｌａｔｔｉｃｅ-Ｂａｓｅｄ Ｃｅｒｔｉｆｉｃａｔｅｌｅｓｓ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅ，ＬＣＲＳ），其中含有類似關(guān)聯(lián)標(biāo)簽的密鑰鏡像，減少了簽名階段的采樣次數(shù)，提高了簽名效率。文獻(xiàn)［１６］結(jié)合了基于模糊身份的簽名和環(huán)簽名，提出了一種格上基于模糊身份的環(huán)簽名方案（Ｆｕｚｚｙ Ｉｄｅｎｔｉｔｙ-Ｂａｓｅｄ Ｒｉｎｇ Ｓｉｇｎａ-ｔｕｒｅ ｆｒｏｍ Ｌａｔｔｉｃｅｓ，ＬＦＩＢＲＳ）。針對(duì)自動(dòng)泊車系統(tǒng)中的隱私安全問題，文獻(xiàn)［１７］提出了一個(gè)基于格的環(huán)簽名方案。通過判斷２ 個(gè)集合中相同元素的個(gè)數(shù)是否達(dá)到一定數(shù)量作為關(guān)聯(lián)性的判斷條件。文獻(xiàn)［１８］構(gòu)建了一種新的格上身份基的關(guān)聯(lián)環(huán)簽名方案（Ｉｄｅｎｔｉｔｙ-Ｂａｓｅｄ Ｌｉｎｋａｂｌｅ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅｏｎ Ｌａｔｔｉｃｅｓ，Ｌ＿ＩＢＬＲＳ）。文獻(xiàn)［１９］提出一種格上的關(guān)聯(lián)環(huán)簽名方案，并基于此構(gòu)建了區(qū)塊鏈上的流行病控制系統(tǒng)。文獻(xiàn)［２０］利用格理論增加抗量子性，并應(yīng)用消息塊共享技術(shù)和填充排列技術(shù)，構(gòu)造格上的門限關(guān)聯(lián)環(huán)簽名以適應(yīng)一種新的電子投票場(chǎng)景。

然而上述這些方案的簽名長度隨著環(huán)成員的增多而增大，且運(yùn)算效率低。文獻(xiàn)［２１］提出了一種格上的簡短關(guān)聯(lián)環(huán)簽名，雖然簽名長度固定，但其生成過程中使用較多的哈希運(yùn)算，導(dǎo)致其不可偽造性證明及匿名性證明不夠嚴(yán)謹(jǐn)，且沒有實(shí)際應(yīng)用方案。文獻(xiàn)［２２］提出了一種基于格的無證書環(huán)簽名方案（Ｃｅｒｔｉｆｉｃａｔｅ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅ Ｂａｓｅｄ ｏｎ Ｌａｔｔｉｃｅ，Ｌ-ＣＲＳＳ），在后量子時(shí)代具有較高的安全性。文獻(xiàn)［２３］也提出了一種格上的環(huán)簽名方案，并將其應(yīng)用至匿名電子投票。這２ 種簽名方案的簽名長度不會(huì)隨環(huán)成員數(shù)量的變化而變化，但是比較長，占用空間多，且方案的運(yùn)算效率低。

上述方案存在著簽名占用存儲(chǔ)空間多、運(yùn)算效率低等問題。針對(duì)這些問題，本文提出新的方案，主要貢獻(xiàn)如下：

① 首先輸出公共參數(shù)并秘密保存系統(tǒng)主密鑰，其次根據(jù)用戶身份提取出用戶密鑰，再次使用格上的累加器對(duì)環(huán)中公鑰進(jìn)行累加計(jì)算，然后將傳統(tǒng)的知識(shí)證明簽名推廣至格上，最后構(gòu)造出格上的身份基簡短關(guān)聯(lián)環(huán)簽名。對(duì)簽名方案的不可偽造性、關(guān)聯(lián)性和匿名性進(jìn)行了嚴(yán)謹(jǐn)?shù)淖C明。

② 將所構(gòu)造的簽名方案應(yīng)用至電子投票，結(jié)合（ｔ，ｎ）門限秘密共享技術(shù)，提出后量子的電子投票協(xié)議，分別設(shè)計(jì)了協(xié)議的注冊(cè)、管理、投票、收集和計(jì)票等算法。

因?yàn)椋?ＣＲＳＳ 中含有多次的矩陣間乘法運(yùn)算及ＳａｍｐｌｅＭａｔ 算法，其矩陣間乘法耗時(shí)遠(yuǎn)高于其他方案中的矩陣向量乘法耗時(shí)，顯然ＴＬＣＲＳＳ 最大。文獻(xiàn)［７］方案中的矩陣向量乘法為Zｎ×（ｍ＋１） ｑ 中的矩陣乘以 Zｑｍ＋１ 中的向量，文獻(xiàn)［１７］方案的矩陣向量乘法為Zｎ×ｍ ｑ 中的矩陣乘以 Zｍｑ中的向量，本方案的矩陣向量乘法主要為Z ｎ×ｎ ｑ「 ｌｂ ｑ」 中的矩陣乘以｛０，１｝ ｎ ｌｂ ｑ 中的向量，ｑ ＝Ｏ ～ （ｎ）≥３，ｍ≥５ｎｌｂ ｑ，顯然本方案的矩陣向量乘法運(yùn)算量是最小的，ＴＭＶ 也是最小的。另外，雖然本方案含有多次的ｂｉｎ 算法，但是該算法耗費(fèi)時(shí)間很少，而文獻(xiàn)［７ ］方案中還含有多次的ＳａｍｐｌｅＤｏｍ 算法，文獻(xiàn)［１７］方案中也含有多次的ＴｒａｐＧｅｎ 及ＳａｍｐｌｅＤｏｍ 算法，因此本方案的總時(shí)間開銷是相對(duì)較小的。

這幾種方案的存儲(chǔ)開銷對(duì)比如表１ 最后一列所示，主要從方案的簽名長度進(jìn)行對(duì)比。本方案生成的簽名長度為ｎ「 ｌｂ ｑ」 ＋（２ｎ＋ｎ ｌｂ ｑ」 ＋ｍ＋３）ｌｂ ｑ，ＬＣＲＳＳ 的簽名長度為（２ｍ＋ｎｍ）ｌｂ ｑ，文獻(xiàn)［７］的簽名長度為［（ｍ＋１）Ｎ＋ｎ＋２］ｌｂ ｑ，文獻(xiàn)［１７］的簽名長度為（ｍＮ＋κ）ｌｂ ｑ。對(duì)比后發(fā)現(xiàn)，隨著環(huán)成員數(shù)量Ｎ 的增大，文獻(xiàn)［７，１７］的簽名長度會(huì)隨之增大，而本方案及ＬＣＲＳＳ 的簽名長度固定不變，較節(jié)省空間。

４． ２ 實(shí)驗(yàn)評(píng)估

本文的實(shí)驗(yàn)在配置為Ｉｎｔｅｌ Ｃｏｒｅ ｉ７１０７５０Ｈ 處理器、８ ＧＢ 內(nèi)存、５１２ ＧＢ 固態(tài)硬盤、６４ 位Ｗｉｎｄｏｗｓ １０操作系統(tǒng)的計(jì)算機(jī)上運(yùn)行，根據(jù)文中對(duì)參數(shù)的取值要求及安全考慮，同時(shí)參考其它相關(guān)文獻(xiàn)，將參數(shù)設(shè)置為ｎ ＝ ８，ｍ ＝ １ ２８０，ｑ ＝ ２３２ ＝ ４ ２９４ ９６７ ２９６。

表２ 為各簽名方案在各階段及總的時(shí)間開銷，環(huán)成員個(gè)數(shù)為６４，進(jìn)而根據(jù)表２ 中的數(shù)據(jù)，各簽名方案的時(shí)間開銷對(duì)比如圖１ 所示。

從圖１ 和表２ 可以看出，Ｌ-ＣＲＳＳ 的密鑰提取時(shí)間和總時(shí)間開銷最大，文獻(xiàn)［７，１７］及本文方案的總時(shí)間開銷均比較?。桓鶕?jù)４． １ 節(jié)的分析可知，Ｌ-ＣＲＳＳ 中含有多次的矩陣間乘法運(yùn)算（主要為Z８×１ ２８０ ４ ２９４ ９６７ ２９６ 與｛－４０，－３９，…，０，…，３９，４０｝ １ ２８０×２００ 中的矩陣相乘）和ＳａｍｐｌｅＭａｔ 算法，文獻(xiàn)［７，１７］及本文方案僅含有矩陣向量乘法運(yùn)算，ＴＭＭ 遠(yuǎn)高于ＴＭＶ ，故而如此。

從表２ 和圖１ 中還可以看出，文獻(xiàn)［１７］的總時(shí)間開銷大于文獻(xiàn)［７］，文獻(xiàn)［７］的總時(shí)間開銷大于本方案。因?yàn)椋?＝ ８，ｍ ＝ １ ２８０，ｑ ＝ ２３２ ＝ ４ ２９４ ９６７ ２９６，再結(jié)合４． １ 節(jié)的總時(shí)間開銷分析，即可解釋這里的實(shí)驗(yàn)結(jié)果。

表３ 為各方案的存儲(chǔ)開銷統(tǒng)計(jì)，進(jìn)而根據(jù)表３中的數(shù)據(jù)，畫出各簽名方案的簽名長度對(duì)比如圖２所示。從圖２ 和表３ 可以看出，隨著環(huán)成員個(gè)數(shù)的增大，文獻(xiàn)［７，１７］的簽名長度均在增大且非常接近，Ｌ-ＣＲＳＳ 和本方案的簽名長度保持不變，但本方案的簽名長度最小。這是因?yàn)椋?＝ ８，ｍ ＝ １ ２８０，ｑ ＝２３２ ＝ ４ ２９４ ９６７ ２９６，κ ＝ ２００，再結(jié)合４． １ 節(jié)中的簽名長度分析，也可解釋這里的實(shí)驗(yàn)結(jié)果。

５ 電子投票應(yīng)用

５． １ 電子投票協(xié)議

本文構(gòu)造的格上身份基簡短關(guān)聯(lián)環(huán)簽名方案適用于電子投票應(yīng)用，因?yàn)椋孩?簽名方案的不可偽造性可有效防止用戶偽造選票；② 簽名方案的隱私性可確保投票者的隱私；③ 簽名方案的關(guān)聯(lián)性可有效防止用戶重復(fù)投票；④ 本簽名方案可為電子投票應(yīng)用節(jié)省存儲(chǔ)空間和時(shí)間開銷。

所以將本文簽名方案應(yīng)用于電子投票，同時(shí)為防止任何實(shí)體獲得投票中間結(jié)果，確保選票的隱私性，引入（ｔ，ｎ）門限秘密共享技術(shù)，提出電子投票協(xié)議。該協(xié)議包含實(shí)體：投票者Ｖｉ（擁有身份ＩＤｉ ）、注冊(cè)機(jī)構(gòu)ＫＧＣ（即密鑰生成中心，為投票者們生成密鑰）、管理機(jī)構(gòu)ＭＡ（擁有私鑰ＳＫＭＡ 和公鑰ＰＫＭＡ ）、計(jì)票機(jī)構(gòu)ＣＴｉ（共ｎ－１ 個(gè)，即ｉ∈［２，ｎ］），投票協(xié)議包含以下幾個(gè)算法：

① 注冊(cè)

注冊(cè)機(jī)構(gòu)ＫＧＣ 運(yùn)行Ｓｅｔｕｐ（１ｎ）算法輸出公共參數(shù)ｐｐ ＝ （Ａ，Ｃ，Ｈ０ ，Ｈ１ ），秘密保存系統(tǒng)主密鑰ＭＳＫ ＝Ｔ。投票者Ｖｉ 把其身份ＩＤｉ 提交給ＫＧＣ 審核，在審核通過之后Ｖｉ 注冊(cè)成功。ＫＧＣ 運(yùn)行算法ＫｅｙＥｘｔ（ＩＤｉ，ＭＳＫ，ｐｐ）為投票者Ｖｉ 生成ｄｉ ＝ｂｉｎ（Ｈ０（ＩＤｉ）ｍｏｄｑ）及私鑰ｋｉ，滿足Ａ·ｋｉ ＝ Ｇ·ｄｉ。

② 管理

ｆ（１），ｆ（２ ），… ，ｆ（ｎ），其中ｆ 為隨機(jī)多項(xiàng)式。投票者Ｖｉ 選擇其他投票者的身份信息（包含其自身）組成環(huán)Ｒ ＝ ｛ＩＤ０ ，ＩＤ１ ，… ，ＩＤＮ－１ ｝，Ｖｉ 運(yùn)行Ｓｉｇｎ（ｐｐ，ｋｉ，ｆ（１），Ｒ）為選票的秘密份額ｆ（１ ）生成簽名σｉＲ（ｆ（１））＝ （ｕ，ｉｉ，ｂｉ１，ｒｉ１，ｃｉ１，ｚｉ１），之后Ｖｉ 將信息（σｉＲ（ｆ（１）），Ｒ，ｆ（１））通過匿名信道發(fā)送給管理機(jī)構(gòu)ＭＡ。ＭＡ 先驗(yàn)證σｉＲ（ｆ（１））的有效性，無效則拒絕接收這條信息；若簽名有效，則檢查關(guān)聯(lián)標(biāo)簽ｉｉ是否已存儲(chǔ)在數(shù)據(jù)庫中，若已經(jīng)存儲(chǔ)則意味著Ｖｉ 重復(fù)投票，ＭＡ 拒絕接收這條信息；否則ＭＡ 將（ｉｉ，ｆ（１））存入數(shù)據(jù)庫。之后ＭＡ 計(jì)算φｉ ←ＳａｍｐｌｅＰｒｅ（ＰＫＭＡ，ＳＫＭＡ，ｉｉ，ｓ），并將φｉ 返回給Ｖｉ。

③ 投票

投票者Ｖｉ 檢驗(yàn)ＰＫＭＡ·φｉ ＝？ｉｉ，若等式不成立，則重新要求ＭＡ 發(fā)送φｉ；若等式成立，則Ｖｉ 運(yùn)行Ｓｉｇｎ（ｐｐ，ｋｉ，ｆ（ｊ），Ｒ）為選票μ 的其他秘密份額ｆ（ｊ）（其中ｊ ＝ ２，３，…，ｎ）生成簽名σｉＲ（ｆ（ｊ））＝ （ｕ，ｉｉ，ｂｉｊ，ｒｉｊ，ｃｉｊ，ｚｉｊ）。之后，Ｖｉ 通過匿名信道將信息（σｉＲ （ｆ（ｊ），ｆ（１），φｉ）（ｊ ＝ ２，３，…，ｎ）分別發(fā)送給各計(jì)票機(jī)構(gòu)ＣＴｊ（ｊ ＝ ２，３，…，ｎ）。ＣＴｊ 驗(yàn)證簽名σｉＲ（ｆ（ｊ））的有效性，若有效則公布（ｊ，ｉｉ，ｆ（１））。

④ 收集

若投票者Ｖｉ 發(fā)現(xiàn)其（ｊ，ｉｉ，ｆ（１））未被公布，則其出示（ｆ（１），φｉ）以抗議，管理機(jī)構(gòu)ＭＡ 會(huì)要求ＣＴｊ 加入與（ｊ，ｉｉ，ｆ （１ ））對(duì)應(yīng)的選票份額簽名信息（即（σ ｉＲ（ｆ（ｊ）），ｆ（ｊ），ｆ（１），φｉ））。

⑤ 計(jì)票

在投票及收集結(jié)束之后，因?yàn)槊總€(gè)ＣＴｊ 除了掌握各自的ｆ（ｊ）（ｊ∈［２，ｎ］）之外，均還掌握ｆ（１），所以根據(jù)（ｔ，ｎ）門限方案，（ｔ－１）個(gè)計(jì)票機(jī)構(gòu)ＣＴｊ 即可將投票者Ｖｉ 的選票μ 恢復(fù)出來，然后統(tǒng)計(jì)票數(shù)。

５． ２ 協(xié)議分析

合法性：協(xié)議的注冊(cè)算法可有效防止未注冊(cè)用戶進(jìn)行投票，確保了投票的合法性；

公正性：本協(xié)議利用門限秘密共享可有效防止任何實(shí)體在投票結(jié)束前獲得投票的中間結(jié)果，簽名方案的不可偽造性可防止惡意用戶偽造選票，從而確保了投票的公正性；

隱私性：門限秘密共享可以保證選票的隱私性，簽名方案的匿名性可確保投票者的隱私性，從而確保了電子投票協(xié)議的隱私性；

唯一性：本協(xié)議利用簽名方案的關(guān)聯(lián)性可防止投票者重復(fù)投票，確保投票的唯一性；

完備性：協(xié)議的收集算法防止計(jì)票機(jī)構(gòu)漏計(jì)選票，確保了計(jì)票的完備性；

抗量子性：協(xié)議中的簽名方案是基于格理論的，可有效抵抗量子攻擊；

實(shí)用性：本協(xié)議節(jié)省了選票簽名的存儲(chǔ)空間，提高了運(yùn)算效率，在后量子時(shí)代具有實(shí)用性。

６ 結(jié)束語

根據(jù)格上身份基的關(guān)聯(lián)環(huán)簽名，以及簡短關(guān)聯(lián)環(huán)簽名，將知識(shí)證明簽名推廣至格上，提出格上身份基簡短關(guān)聯(lián)環(huán)簽名方案，包含系統(tǒng)建立、密鑰提取、簽名生成、簽名驗(yàn)證和簽名關(guān)聯(lián)等５ 個(gè)算法?；诟裆系睦щy問題證明了簽名方案的不可偽造性，同時(shí)還證明了簽名方案的關(guān)聯(lián)性和匿名性。通過性能分析和實(shí)驗(yàn)評(píng)估發(fā)現(xiàn)，該簽名方案節(jié)省了時(shí)間和存儲(chǔ)開銷。將簽名方案應(yīng)用至電子投票，結(jié)合（ｔ，ｎ）門限秘密共享技術(shù)，提出電子投票協(xié)議，包含注冊(cè)、管理、投票、收集和計(jì)票等算法。由于所基于的簽名方案以及協(xié)議中的算法設(shè)計(jì)，協(xié)議具備合法性、公正性、隱私性、投票唯一性、完備性、抗量子性和實(shí)用性。

在未來的工作中，計(jì)劃進(jìn)一步提升簽名效率，并結(jié)合區(qū)塊鏈技術(shù)，提出后量子時(shí)代基于區(qū)塊鏈的安全電子投票協(xié)議，確保投票的公開透明安全高效，以便更好地為社會(huì)服務(wù)。

參考文獻(xiàn)

［１］ 蔡曉晴，鄧堯，張亮，等． 區(qū)塊鏈原理及其核心技術(shù)［Ｊ］．計(jì)算機(jī)學(xué)報(bào)，２０２１，４４（１）：８４－１３１．

［２］ ＴＳＡＮＧ Ｐ Ｐ，ＷＥＩ Ｖ Ｋ． Ｓｈｏｒｔ Ｌｉｎｋａｂｌｅ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅｓ ｆｏｒＥｖｏｔｉｎｇ，Ｅｃａｓｈ ａｎｄ Ａｔｔｅｓｔａｔｉｏｎ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ１ｓｔ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｅｃｕｒｉｔｙ Ｐｒａｃｔｉｃｅ ａｎｄ Ｅｘｐｅｒｉｅｎｃｅ Ｃｏｎｆｅｒｅｎｃｅ． Ｓｉｎｇａｐｏｒｅ：Ｓｐｒｉｎｇｅｒ，２００５：４８－６０．

［３］ ＡＵ Ｍ Ｈ，ＣＨＯＷ Ｓ Ｓ Ｍ，ＳＵＳＩＬＯ Ｗ，ｅｔ ａｌ． Ｓｈｏｒｔ ＬｉｎｋａｂｌｅＲｉｎｇ Ｓｉｇｎａｔｕｒｅｓ Ｒｅｖｉｓｉｔｅｄ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ３ｒｄＥｕｒｏｐｅａｎ Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ Ｗｏｒｋｓｈｏｐ． Ｔｕｒｉｎ：Ｓｐｒｉｎｇｅｒ，２００６：１０１－１１５．

［４］ ＹＵ Ｂ，ＬＩＵ Ｊ Ｋ，ＳＡＫＺＡＤ Ａ，ｅｔ ａｌ． ＰｌａｔｆｏｒｍｉｎｄｅｐｅｎｄｅｎｔＳｅｃｕｒｅ Ｂｌｏｃｋｃｈａｉｎｂａｓｅｄ Ｖｏｔｉｎｇ Ｓｙｓｔｅｍ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓｏｆ ｔｈｅ ２１ｓｔ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｅｃｕｒｉｔｙ Ｃｏｎｆｅｒｅｎｃｅ．Ｇｕｉｌｄｆｏｒｄ：Ｓｐｒｉｎｇｅｒ，２０１８：３６９－３８６．

［５］ 田苗苗，黃劉生，楊威． 高效的基于格的環(huán)簽名方案［Ｊ］． 計(jì)算機(jī)學(xué)報(bào)，２０１２，３５（４）：７１２－７１８．

［６］ 賈小英，何德彪，許芷巖，等． 格上高效的基于身份的環(huán)簽名體制［Ｊ］． 密碼學(xué)報(bào)，２０１７，４（４）：３９２－４０４．

［７］ 湯永利，夏菲菲，葉青，等． 格上基于身份的可鏈接環(huán)簽名［Ｊ］． 密碼學(xué)報(bào)，２０２１，８（２）：２３２－２４７．

［８］ 王啟宇，陳杰，莊立爽． 智能電網(wǎng)中可鏈接環(huán)簽名的批量驗(yàn)證［Ｊ］． 密碼學(xué)報(bào)，２０２０，７（５）：６１６－６２７．

［９］ ＬＹＵ Ｊ Ｚ，ＪＩＡＮＧ Ｚ Ｌ，ＷＡＮＧ Ｘ，ｅｔ ａｌ． Ａ Ｓｅｃｕｒｅ Ｄｅｃｅｎｔｒａｌｉｚｅｄ Ｔｒｕｓｔｌｅｓｓ Ｅｖｏｔｉｎｇ Ｓｙｓｔｅｍ Ｂａｓｅｄ ｏｎ Ｓｍａｒｔ Ｃｏｎｔｒａｃｔ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １８ｔｈ ＩＥＥＥ ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅ ｏｎ Ｔｒｕｓｔ，Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｒｉｖａｃｙ ｉｎ Ｃｏｍｐｕｔｉｎｇａｎｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ． Ｒｏｔｏｒｕａ：ＩＥＥＥ，２０１９：５７０－５７７．

［１０］ 鄭劍，賴恒財(cái)． 基于一次性環(huán)簽名的區(qū)塊鏈電子投票方案［Ｊ］． 計(jì)算機(jī)應(yīng)用研究，２０２０，３７（１１）：３３７８－３３８１．

［１１］ 王杰昌，張平，高遠(yuǎn)，等． 融合可鏈接環(huán)簽密的智能合約電子投票協(xié)議［Ｊ］． 計(jì)算機(jī)工程，２０２２，４８ （４ ）：１２６－１３２．

［１２］ 王玲玲，張國印，馬春光． 適用于電子現(xiàn)金協(xié)議的簡短關(guān)聯(lián)環(huán)簽名方案［Ｊ］． 北京郵電大學(xué)學(xué)報(bào)，２００８，３１（１）：１０２－１０６．

［１３］ 王杰昌，張平，段瑩，等． 結(jié)合簡短可鏈接環(huán)簽名的智能合約選舉方案［Ｊ］． 計(jì)算機(jī)工程與應(yīng)用，２０２３，５９（６）：２５８－２６７．

［１４］ ＢＡＵＭ Ｃ，ＬＩＮ Ｈ，ＯＥＣＨＳＮＥＲ Ｓ． Ｔｏｗａｒｄｓ ＰｒａｃｔｉｃａｌＬａｔｔｉｃｅｂａｓｅｄ Ｏｎｅｔｉｍｅ Ｌｉｎｋａｂｌｅ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅｓ ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｉｎｆｏｒｍａｔｉｏｎａｎｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｓｅｃｕｒｉｔｙ． Ｌｉｌｌｅ：Ｓｐｒｉｎｇｅｒ，２０１８：３０３－３２２．

［１５］ ＺＨＡＮＧ Ｍ Ｗ，ＣＨＥＮ Ｘ Ｂ． Ａ Ｐｏｓｔｑｕａｎｔｕｍ ＣｅｒｔｉｆｉｃａｔｅｌｅｓｓＲｉｎｇ Ｓｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅ ｆｏｒ Ｐｒｉｖａｃｙｐｒｅｓｅｒｖｉｎｇ ｏｆＢｌｏｃｋｃｈａｉｎ Ｓｈａｒｉｎｇ Ｅｃｏｎｏｍｙ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ａｒｔｉｆｉｃｉａｌ Ｉｎｔｅｌｌｉｇｅｎｃｅ ａｎｄＳｅｃｕｒｉｔｙ． Ｄｕｂｌｉｎ：Ｓｐｒｉｎｇｅｒ，２０２１：２６５－２７８．［１６］ ＣＡＯ Ｃ Ｔ，ＹＯＵ Ｌ，ＨＵ Ｇ Ｒ． Ｆｕｚｚｙ Ｉｄｅｎｔｉｔｙｂａｓｅｄ ＲｉｎｇＳｉｇｎａｔｕｒｅ ｆｒｏｍ Ｌａｔｔｉｃｅｓ［Ｊ］． Ｓｅｃｕｒｉｔｙ ａｎｄ ＣｏｍｍｕｎｉｃａｔｉｏｎＮｅｔｗｏｒｋｓ，２０２１，２０２１：１－９．

［１７］ ＸＵ Ｓ Ｙ，ＣＨＥＮ Ｘ，ＷＡＮＧ Ｃ，ｅｔ ａｌ． Ａ Ｌａｔｔｉｃｅｂａｓｅｄ ＲｉｎｇＳｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅ ｔｏ Ｓｅｃｕｒｅ Ａｕｔｏｍａｔｅｄ Ｖａｌｅｔ Ｐａｒｋｉｎｇ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １６ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎＷｉｒｅｌｅｓｓ Ａｌｇｏｒｉｔｈｍｓ，Ｓｙｓｔｅｍｓ，ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓ（ＷＡＳＡ）．Ｎａｎｊｉｎｇ：Ｓｐｒｉｎｇｅｒ，２０２１：７０－８３．

［１８］ 曹成堂，游林，胡耿然． 一種新的格上基于身份的可鏈接環(huán)簽名方案［Ｊ］． 密碼學(xué)報(bào)，２０２２，９（６）：９６９－９８１．

［１９］ ＣＨＥＮ Ｘ，ＸＵ Ｓ Ｙ，ＣＡＯ Ｙ Ｂ，ｅｔ ａｌ． ＡＱＲＳ：Ａｎｔｉｑｕａｎｔｕｍ"Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅ ｆｏｒ Ｓｅｃｕｒｅ Ｅｐｉｄｅｍｉｃ Ｃｏｎｔｒｏｌ ｗｉｔｈ"Ｂｌｏｃｋｃｈａｉｎ［Ｊ］． Ｃｏｍｐｕｔｅｒ Ｎｅｔｗｏｒｋｓ，２０２３，２２４：１０９５９５．

［２０］ 莊立爽，陳杰，王啟宇． 電子投票協(xié)議下的基于格的可鏈接門限環(huán)簽名［Ｊ］． 密碼學(xué)報(bào)，２０２１，８（３）：４０２－４１６．

［２１］ 王杰昌，張平，李杰，等． 格上的簡短可鏈接環(huán)簽名［Ｊ］． 計(jì)算機(jī)應(yīng)用研究，２０２２，３９（９）：２８４３－２８４９．

［２２］ ＤＯＮＧ Ｓ Ｓ，ＺＨＯＵ Ｙ Ｈ，ＹＡＮＧ Ｙ Ｇ，ｅｔ ａｌ． ＡＣｅｒｔｉｆｉｃａｔｅｌｅｓｓ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅ Ｓｃｈｅｍｅ Ｂａｓｅｄ ｏｎ Ｌａｔｔｉｃｅ［Ｊ］． Ｃｏｎｃｕｒｒｅｎｃｙ ａｎｄ Ｃｏｍｐｕｔａｔｉｏｎ：Ｐｒａｃｔｉｃｅ ａｎｄ Ｅｘｐｅｒｉｅｎｃｅ，２０２２，３４（２８）：ｅ７３８５．

［２３］ ＺＨＯＵ Ｙ Ｈ，ＤＯＮＧ Ｓ Ｓ，ＹＡＮＧ Ｙ Ｇ． Ｒｉｎｇ ＳｉｇｎａｔｕｒｅＳｃｈｅｍｅ Ｂａｓｅｄ ｏｎ Ｌａｔｔｉｃｅ ａｎｄ Ｉｔｓ Ａｐｐｌｉｃａｔｉｏｎ ｏｎＡｎｏｎｙｍｏｕｓ Ｅｌｅｃｔｒｏｎｉｃ Ｖｏｔｉｎｇ ［Ｊ］． ＫＳＩＩ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎＩｎｔｅｒｎｅｔ ａｎｄ Ｉｎｆｏｒｍａｔｉｏｎ Ｓｙｓｔｅｍｓ，２０２２，１６（１）：２８７－３０４．

［２４］ ＧＥＮＴＲＹ Ｃ，ＰＥＩＫＥＲＴ Ｃ，ＶＡＩＫＵＮＴＡＮＡＴＨＡＮ Ｖ．Ｔｒａｐｄｏｏｒｓ ｆｏｒ Ｈａｒｄ Ｌａｔｔｉｃｅｓ ａｎｄ Ｎｅｗ Ｃｒｙｐｔｏｇｒａｐｈｉｃ Ｃｏｎｓｔｒｕｃｔｉｏｎｓ［Ｃ］∥Ｐｒｏｃｅｅｄｉｎｇ ｏｆ ｔｈｅ １４ｔｈ Ａｎｎｕａｌ ＡＣＭ Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｔｈｅｏｒｙ ｏｆ Ｃｏｍｐｕｔｉｎｇ． Ｖｉｃｔｏｒｉａ：ＡＣＭ，２００８：１９７－２０６．

［２５］ ＬＩＢＥＲＴ Ｂ，ＬＩＮＧ Ｓ，ＮＧＵＹＥＮ Ｋ，ｅｔ ａｌ． ＺｅｒｏｋｎｏｗｌｅｄｇｅＡｒｇｕｍｅｎｔｓ ｆｏｒ Ｌａｔｔｉｃｅｂａｓｅｄ Ａｃｃｕｍｕｌａｔｏｒｓ：Ｌｏｇａｒｉｔｈｍｉｃｓｉｚｅ Ｒｉｎｇ Ｓｉｇｎａｔｕｒｅｓ ａｎｄ Ｇｒｏｕｐ Ｓｉｇｎａｔｕｒｅｓ ｗｉｔｈｏｕｔ Ｔｒａｐｄｏｏｒｓ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ３５ｔｈ Ａｎｎｕａｌ ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅ ｏｎ ｔｈｅ Ｔｈｅｏｒｙ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓ ｏｆ ＣｒｙｐｔｏｇｒａｐｈｉｃＴｅｃｈｎｉｑｕｅｓ （ＥＵＲＯＣＲＹＰＴ）． Ｖｉｅｎｎａ：Ｓｐｒｉｎｇｅｒ，２０１６：１－３１．

［２６］ ＣＡＭＥＮＩＳＣＨ Ｊ，ＳＴＡＤＬＥＲ Ｍ． Ｅｆｆｉｃｉｅｎｔ Ｇｒｏｕｐ ＳｉｇｎａｔｕｒｅＳｃｈｅｍｅｓ ｆｏｒ Ｌａｒｇｅ Ｇｒｏｕｐｓ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ １７ｔｈＡｎｎｕａｌ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｒｙｐｔｏｌｏｇｙ Ｃｏｎｆｅｒｅｎｃｅ． Ｓａｎｔａ Ｂｏｒｂａｒａ：Ｓｐｒｉｎｇｅｒ，１９９７：４１０－４２４．

［２７］ ＬＹＵＢＡＳＨＥＶＳＫＹ Ｖ． Ｌａｔｔｉｃｅ Ｓｉｇｎａｔｕｒｅｓ ｗｉｔｈｏｕｔ Ｔｒａｐｄｏｏｒｓ［Ｃ］∥ Ｐｒｏｃｅｅｄｉｎｇｓ ｏｆ ｔｈｅ ３１ｓｔ Ａｎｎｕａｌ ＩＡＣＲ ＥｕｒｏｃｒｙｐｔＩｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ ｔｈｅ Ｔｈｅｏｒｙ ａｎｄ Ａｐｐｌｉｃａｔｉｏｎｓｏｆ Ｃｒｙｐｔｏｇｒａｐｈｉｃ Ｔｅｃｈｎｉｑｕｅｓ． Ｃａｍｂｒｉｄｇｅ：Ｓｐｒｉｎｇｅｒ，２０１２：７３８－７５５．

作者簡介

王杰昌 男，（１９８５—），碩士，講師。主要研究方向：信息安全、區(qū)塊鏈隱私保護(hù)。

劉牧華 男，（１９８７—），博士，副教授。主要研究方向：密碼學(xué)、信息安全。

張 平 男，（１９７６—），博士，教授。主要研究方向：密碼學(xué)、信息安全。

（*通信作者）劉玉嶺 男，（１９８２—），博士，正高級(jí)工程師。主要研究方向：網(wǎng)絡(luò)安全態(tài)勢(shì)感知、網(wǎng)安大數(shù)據(jù)分析。

于景茹 女，（１９８２—），碩士，副教授。主要研究方向：信息安全。

張 斌 男，（１９８０—），博士，高級(jí)工程師。主要研究方向：信息安全。

基金項(xiàng)目：基礎(chǔ)加強(qiáng)計(jì)劃技術(shù)領(lǐng)域基金（２０２１-ＪＣＪＱ-ＪＪ-０９０８ ）；國家自然科學(xué)基金（６２１０２１３４ ）；河南省科技攻關(guān)項(xiàng)目（２３２１０２２１０１３８，２３２１０２２１０１３０）；龍門實(shí)驗(yàn)室重大科技項(xiàng)目（２３１１００２２０３００）；河南省高等學(xué)校重點(diǎn)科研項(xiàng)目（２３Ａ５２００４６，２３Ａ４１３００５）