4446                                                      软件学报  2025  年第  36  卷第  10  期


                 可逆, 即已撤销的用户只能再次申请注册加入群组而无法恢复原有群成员身份. 同时, 诚实签名者可以自主选择其
                 历史签名进行链接并输出链接证明. 与完全匿名且不可追溯的环签名方案相比, 本文方案能更好地实现可控匿名,
                 在最大程度保护诚实用户隐私的前提下有效遏制潜在恶意行为, 同时赋予诚实用户选择链接历史签名的权力. 在
                 本文方案构造中, 为保证群成员身份匿名性并降低群签名尺寸, 基于                    Stern 类协议并借助可更新默克尔树累加器           [15]
                 实现了签名大小与群规模成对数关系的动态群签名方案; 为实现上述条件撤销, 借助对偶                            Regev  加密方案及逆用
                 同态陷门函数进行违规群成员的撤销令牌提取; 为满足用户自主链接需求, 本文基于格上可验证随机函数                                  LaV [16]
                 及  LEANES [6–8,17,18] 、LEANES+ [16] 高效格上零知识证明架构并设计了批量链接证明方法实现链接证明与验证. 本
                 文首先给出了基于格的具有用户自主链接及验证者条件撤销的群签名具体构造并进一步证明了该方案在随机谕
                 言机模型下的安全性. 同时, 通过时间、通信开销分析与测试验证了方案的可用性. 最后, 与区块链技术相结合设
                 计了一种基于区块链的后量子安全医疗数据共享条件隐私保护系统, 实现对患者敏感信息的保护, 并保证关键数
                 据的真实性、有效性和准确性.
                    本文第   2  节回顾格、零知识证明、可更新默克尔树累加器、可验证随机函数相关基础知识. 第                           3  节定义具有
                 用户自主链接及验证者条件撤销的群签名的语法与安全模型. 第                     4  节给出基于格的具有用户自主链接及验证者条
                 件撤销的群签名具体构造, 并进行进一步的正确性、安全性分析. 第                     5  节对所设计的方案进行性能分析、测试与
                 评估. 第  6  节提出一种基于区块链的后量子安全医疗数据共享条件隐私保护系统, 将方案应用落地. 第                           7  节总结本
                 文工作.

                  2   基础知识

                  2.1   格相关知识
                    定义  1 (格). 格  L 是  m 维空间中的  n 个线性无关的向量     {b 1 ,b 2 ,..., b n } ∈ R m×n   的所有整线性组合构成的向量集
                 合, 表达式如下:

                                                                       
                                                             n ∑       
                                                                       
                                                                       
                                                                x i b i : x i ∈ Z ,
                                               L(b 1 ,b 2 ,..., b n ) = 
                                                                       
                                                                       
                                                              i=1
                 其中, 向量组   b 1 ,b 2 ,..., b n  称为格  L 的基, 其中,  m 称为格的维数, 基中向量的个数  n 称为格的秩. 当  m = n 时, 格  L
                 为满秩格. 同一个格的格基不唯一.
                    LWE  问题由   Regev 在文献  [19] 提出, 并证明其在量子归约下至少与最坏情况下的近似最短向量问题                    (shortest
                 vector problem, SVP) 困难度一致. 此外, LWE  问题也有其环上版本     RLWE、模格版本      MSIS.
                    定义  2 (带错误学习问题 (learning with errors, LWE)). 给定  n,m ⩾ 1, q ⩾ 2, χ     是  Z 上的概率分布. 对于  s ∈ Z ,
                                                                                                       n
                                                                                                       q
                                                     (        )
                                 n                      T        n                                   m  个
                 给定  D s,χ  是由   a ← Z , e ← χ  定义的分布, 输出   a, s · a+e ∈ Z ×Z q . LWE n,q,χ  问题要求区分根据  D s,χ  选择的
                                 q
                                                                 q
                                  n           m  个实例.
                 实例以及从均匀分布       Z ×Z q  上选取的
                                  q
                    LWE  中的误差项是随机选取的, 因此不固定. LWE              问题的变体带舍入学习问题其误差为确定性误差, 由
                 Banerjee 等人  [20] 于  2012  年在欧密会上提出, 并证明其困难程度与     LWE  问题等价. 相较于    LWE, LWR  中确定性误
                 差的引入更适宜伪随机函数、可验证随机函数等密码原语的构造.
                    定义  3 (带舍入学习问题 (learning with rounding, LWR)). 给定参数   n, m, q, p, B, 满足  q > p, Z q  表示模  q 剩
                                   A ∈ Z m×n       n            . 要求区分  LWR               v ∈ Z m  和在均匀分
                 余类群, 随机选择矩阵           q   和向量  s ∈ Z , 计算  v = ⌊As⌋ p       实例中计算出的          p
                                                   q
                                     ′
                 布  Z m   中均匀选取的向量  v .
                    p
                    由此, 容易得到以下引理.
                                                                                                   [ ] n
                                                                                                   q
                    引  理  1  [ 1 8 ]  .   令     u ∈ Z , v ∈ Z ,   对  于  q > p, p   整  除  q   ,   则     v = ⌊u⌋ p    当  且  仅  当  存  在  向  量  e ∈ Z   满  足  e ∈  p    且
                                     n
                                          n
                                                                                           n



                                     q
                                          q
                      q
                 e = u−  ·v mod q .
                       p
                    定义  4 (离散高斯分布 (discrete Gaussian distribution)).   c 为中心,  σ 为参数的离散高斯分布定义为:
                                                               Λ 上以