基于關聯環簽名的抗第三方欺詐安全電子投票方案

張文芳， 熊 丹， 王小敏

(1. 西南交通大學信息科學與技術學院，四川 成都610031;2. 西南交通大學信息安全與國家計算網格四川省重點實驗室，四川 成都610031)

傳統的選舉方式需要投票人去指定地點投票 和人工計票，效率低且人為因素的過多引入易造成失誤和違規行為. 與傳統人工選舉相比，電子選舉可以節約大量的人力物力，且具有公平、安全和高效的明顯優點，已成為信息安全領域的一個熱點研究問題.

為設計出安全實用的電子投票系統，研究者們先后提出了基于不同密碼技術的投票方案.Chaum在公鑰密碼體制基礎上使用Mix 機實現匿名通信，提出了第1 個密碼學意義上的電子選舉方案，要求只有在所有投票者合作的前提下才能完成投票，協議效率和可行性較低. 在此基礎上，隨后出現了一系列基于Mix-net 的電子投票系統［1-6］，協議的安全性和可靠性有所提高.為確保每個Mix 服務器在處理選票過程中無法篡改選票，這類方案需要大量的零知識證明計算，協議運行效率較低.雖然文獻［2］Mix-net 電子投票方案實現了大規模選舉，但該方案的安全性建立在注冊中心絕對可信的基礎上.

Fujioka 等采用比特承諾與盲簽名技術，實現了第1 個實用的適合于大群體的電子投票方案(簡稱FOO 方案)［7］，協議運行效率有了很大提升，但該方案存在選票碰撞、選票可能無法打開以及管理中心可以冒充投票者進行投票等問題.此后受FOO 協議啟發，出現了多種基于群、盲簽名的電子投票方案.文獻［8］提出了一種基于RSA 密碼體制的電子投票協議，該方案不允許投票者中途棄權，難以滿足投票協議的實際需求.2003 年，陳曉峰等利用群簽名協議和時限承諾協議設計了一個電子投票方案［9］，雖然解決了選票碰撞問題，但只有在注冊機構與管理機構或計票機構誠信公正的前提下才能保證投票者身份的匿名性，否則將會通過選票追蹤到投票人的所有信息.2011 年，Chen 等提出了一個基于雙陷門承諾和盲簽名技術的投票方案［10］，能夠滿足電子投票協議的基本安全要求，但是該方案需要借助于匿名通信信道完成投票過程，實用性不高.2013 年，Ghavamipoor H 等設計了一個匿名電子投票協議［11］，利用投票者無需生成公私鑰對的方法提高了協議效率，但投票階段必須依賴于一個不可追蹤的安全電子郵件系統向認證機構發送選票，妨礙了其實際應用.

關聯環簽名不僅能夠保證簽名者身份的匿名性，又可實現選票的不可重用性，適合于需要保護投票者身份不可泄露的電子投票系統. 2004 年，Liu 等首次利用關聯環簽名構造了一個匿名投票系統［12］，由于將計算量較大的環簽名用于投票環節，投票效率不高，也未能實現選票的秘密性和選舉過程的公平性. Tsang 等在文獻［12］的基礎上，提出了利用簡短關聯環簽名代替原有環簽名的改進方案［13］.由于其投票機制與文獻［12］相似，協議效率仍然較低，無法實現大規模選舉.文獻［14］的環簽名電子投票方案則存在選舉證書設計缺陷導致可以冒充他人搶先投票，使合法投票者無法行使相應的選舉權，同時破壞了投票協議的不可重用性和穩定性.

針對現有方案存在的選票碰撞、投票者無法中途棄權、投票效率低下，以及由第三方機構不誠實行為導致的安全隱患等問題，本文提出了一個基于關聯環簽名的高效安全電子投票方案.方案使用身份序列碼解決了選票碰撞問題，同時，通過在投票過程中引入可公開驗證的信息公告機制允許投票者在任意階段中途棄權，并防止了第三方機構的不誠實行為對投票過程的破壞及對選票結果的干擾.此外，將計算量較大的關聯環簽名用于注冊階段，在后續的投票和計票階段則利用基于身份序列碼的個體簽名進行身份驗證，無需任何匿名通信信道，有效提高了投票協議效率，適合于大規模選舉.

1 電子投票基本性質

一個安全的投票方案應具備以下性質:

(1)合法性:只有合法投票者才能參與投票，其他未被授權者不能參與投票.

(2)匿名性:選票對應的投票者身份是匿名的，即任何人都無法將一張選票和某一投票者聯系起來.

(3)秘密性:選票的內容是保密的，除投票者自身外，其他任何人都無法知道其投票內容.

(4)公平性:在選舉的中間過程，任何人的行為均無法影響選舉結果.

(5)不可重用性:每個合法投票者只能參與一次投票活動，不能重復投票.

(6)完整性:所有有效選票都應該正確地計算在最終的選舉結果中.

(7)穩固性:不誠實的投票者不能破壞選舉.

(8)廣義可驗證性:任何人都可以根據公布的選舉信息驗證選舉結果的正確與否.

2 關聯環簽名機制

環簽名是Rivest 等在如何匿名泄漏秘密的背景下提出的一種新型簽名技術［15］，其最大特點是能夠實現簽名者身份的無條件匿名性.隨后針對不同應用環境、滿足特殊屬性的環簽名被相繼提出［12，16-20］，關聯環簽名［12］為其中一種，它能確定兩個不同環簽名是否由同一用戶生成.

為便于描述本文投票方案，首先簡要介紹關聯環簽名機制.

2.1 參數初始化

設q 是一素數，G=〈 g〉是q 階子群，在G 中求解離散對數問題是困難的. H1∶{0，1}*→Zq，H2∶{0，1}*→G 是單向散列函數.對i=1，2，…，n，每一用戶Ui擁有公私鑰對(xi，yi)，且yi=gxi.

2.2 簽名生成

設消息m∈{0，1}*，公鑰集合為L ={y1，y2，…，yn}，簽名者Uπ私鑰為xπ，對應公鑰為yπ，其中1≤π≤n，Uπ利用如下算法產生關聯環簽名:

(1)計算h = H2(L)和= hxπ，然后選擇u∈RZq，計算cπ+1=H1(L，～，m，gu，hu).

(2)對i = π + 1，…，n，1，…，π - 1，選擇si∈RZq，計算ci+1=H1(L，～，m，gsi，ycii，hsi～yci).

(3)計算sπ=u-xπcπmod q.

最后，輸出簽名σL(m)=(c1，s1，s2，…，sn，～).

2.3 簽名驗證

驗證者收到關于m 及L 的簽名σL(m)=(c1，s1，s2，…，sn，～)后，按如下步驟驗證簽名的正確性:

(1)計算h=H2(L)，然后對于i =1，2，…，n，計算z'i=gsi，z″i=hsi～yci，ci+1=H1(L，～，m，z'i，z″i)，i≠n.

(2)檢驗c1=H1(L，～，m，z'，z″n)是否成立，如果成立，則接受簽名，否則拒絕此簽名.

3 基于關聯環簽名和盲簽名的電子投票方案

3.1 相關定義

投票者(Vi):作為環體(V1，V2，…，Vn)中的某一成員對候選人進行投票.

注冊中心(R):驗證每一個投票者身份的合法性，為合法投票者發放身份序列碼Ni，并為Ni簽名.

管理中心(A):驗證盲化選票的合法性，并為合法選票進行盲簽名.

計票中心(C):對投票者去盲后的選票進行驗證并簽名，然后統計并公布最終結果.

R，A，C 各有自己的RSA 簽名系統. R 在其簽名系統中的公鑰為(eR，nR)，私鑰為dR;A 在其簽名系統中的公鑰為(eA，nA)，私鑰為dA;C 在其簽名系統中的公鑰為(eC，nC)，私鑰為dC.

3.2 方案描述

本文電子投票方案的工作流程如圖1 所示，分為注冊、投票和計票3 個階段，詳細過程見下文的注冊協議、投票協議和計票協議.

圖1 電子投票方案示意Fig.1 Diagram of the proposed electronic voting scheme

3.2.1 注冊協議

合法投票者到注冊中心R 進行匿名注冊，具體步驟如下:

(1)按3.1 節方法對系統進行初始化，其中公鑰集合L={y1，y2，…，yn}由所有具備選舉資格者公鑰組成.

(3)注冊中心R 按3.3 節的簽名驗證算法，首先驗證簽名σL(mi)=(c1，s1，s2，…，sn，～)的正確性.若正確，則檢查該σL(mi)中的～y 值是否已存在于注冊列表List1 中，如果存在，說明Vi為重復注冊，拒絕此次請求;如果不存在，說明Vi為新的合法投票者.

如果Vi是新的合法投票者，注冊中心R 利用收到的公鑰eVi驗證簽名SdVi(mi)是否正確. 若正確，注冊中心R 為Vi隨機選取一個具有唯一標識的身份序列碼Ni，并對Ni簽名，簽名結果記為SdR(Ni)=mod nR;若不正確，R 要求投票者重新發送. 最后，注冊中心R 將{Ni，SdR(Ni)發送給投票人Vi. 同時，將{mi，σL(mi)，SdVi(mi)，Ni，SdR(Ni)，eVi}保存到注冊信息表List1 中.

注冊結束后公布List1，接受公開驗證.在注冊公示時間t1內，未能在注冊期及時注冊的投票者可以公開注冊，公布自己的簽名，要求注冊中心為其發放身份序列碼和對應簽名，并公布其注冊信息于List1 中;同時已注冊者查詢List1，如果查詢不到自己的注冊信息，投票者可以公示自己的簽名{mi，σL(mi)，SdVi(mi)，Ni，SdR(Ni)，eVi}，并公開驗證簽名σL(mi)和SdVi(mi)的正確性，進而要求注冊中心R 在所有人的監督下為其發放身份序列碼和對應簽名{Ni，SdR(Ni)}，并公布投票者相應信息{mi，σL(mi)，SdVi(mi)，Ni，SdR(Ni)，eVi}于List1上.上述方法能夠有效防止注冊中心的不誠實行為.此外，若公示時間結束后，投票者依然沒有注冊，則被視為自動棄權.

3.2.2 投票協議

在規定的投票期限內，投票者按照如下協議進行投票(只有Ni存在于List1 的投票者才有權參與如下投票過程):

(1)投票者Vi首先生成電子選票EVi={CiNi}，然后隨機選擇一盲化因子ri對選票EVi進行盲化，記盲化后的選票為EBVi=EVi·reAi mod nA. 其中，Ci為某一合法候選人.

(2)Vi對選票EBVi進行簽名，記為SdVi=mod nVi，然后將{Ni，EBVi，SdVi(EBVi)}發送給管理機構A.

(3)管理機構A 首先檢查Ni是否已經存在于投票信息表List2 中.如果已經存在，說明投票者Vi重復投票，拒絕此次請求;如果不存在，驗證簽名SdVi(EBVi)的正確性.

翻譯詩學研究不可避免地帶有跨語言、跨文化、跨學科的性質。《翻譯詩學》一書突破了語言學、翻譯理論的拘囿，涉及到中國古代詩論、畫論、文論，在建構過程中，參考了西方的文學理論、語言哲學和現象學等理論，實現了“翻譯和詩學、中西哲學和美學、中西文論和語言理論、中國譯學史料和翻譯實踐的緊密結合”（同上）。

若簽名SdVi(EBVi)正確，A 為Vi的盲化選票EBVi進行簽名，記為SdA(EBVi)=mod nA，并將{EBVi，SdA(EBVi)}發 送 給Vi，同 時 將{Ni，EBVi，SdVi(EBVi)，SdA(EBVi)}保存到投票信息表List2 中;若不正確，則要求投票者重新發送.

投票結束后公布List2，接受公開驗證.在投票公示時間t2內，未能在投票期及時投票的投票者可以公開投票，公布自己的盲化選票和簽名，要求管理機構A 為其發送簽名并將其投票結果公布于List2 中;同時已投票者查詢List2，如果查詢不到自己的投票信息，投票者可以公布自己的盲化選票和簽名{Ni，EBVi，SdVi(EBVi)}，在所有人的監督下，要求管理機構A 為其簽名并發送{EBVi，SdA(EBVi)}給投票者，并將其投票結果{Ni，EBVi，SdVi(EBVi)，SdA(EBVi)}公布到List2 中.如果公示期結束，投票者依然沒有投票，則被視為中途棄權.

3.2.3 計票協議

投票人Vi將消盲后的選票公布于計票信息表List3 中，計票中心C 根據List3 統計并公布選舉的最終結果(只有Ni存在于List2 中的投票者才有權參與如下計票過程):

(2)Vi對選票EVi簽名，得到SdVi(EVi)=mod nVi，然后Vi將{Ni，EVi，SdA(EVi)，SdVi(EVi)}公布于List3 中.任何人均可驗證簽名SdA(EVi)和SdVi(EVi)的正確性.若SdA(EVi)和SdVi(EVi)都正確，說明選票EVi為Vi的合法投票，并且EVi沒有被篡改.如果Ni在List3 中重復出現，說明投票者Vi重復投票，僅對其選票統計一次.

超過計票期限，投票者依然未將選票公布于List3 中，則被視為中途棄權.

(3)計票中心C 根據List3 統計并公布投票的最終結果.

4 方案分析

4.1 投票協議安全屬性分析

(1)合法性

只有具備選舉資格者才擁有環簽名公鑰集合L 對應的某一私鑰，并利用私鑰生成正確的關聯環簽名，保證只有合法投票者才能參與后續投票，未被授權者無權參與投票.

(2)匿名性

在投票之前，投票者Vi利用關聯環簽名進行匿名注冊，注冊中心R 只能確認投票者Vi為n 個合法投票者之一，但無法確定投票者真實身份. 同時投票者為自己生成一對公私鑰對(eVi，dVi)，與注冊中心為其發放的具有唯一身份標志的序列碼Ni相對應，并將Ni和(eVi，dVi)用于后續投票和計票過程的身份驗證.任何人只能確定Ni對應某一合法投票者，卻無法得知其真實身份.

(3)秘密性

方案在投票階段使用盲簽名技術盲化選票，管理中心A 接收及公布的選票均是盲化后的選票，因此在計票之前，除投票者自身外任何人都無法獲知選票內容.

(4)公平性

投票階段，采用盲簽名技術對選票進行盲化并由管理中心A 簽名，除投票者本人外，任何人不知道選票內容，因此選舉的中間結果不會被泄漏，并且管理中心A 的不誠實行為在List2 公布后能被及時發現和有效制止.因此，在選舉的中間過程，任何人的行為均無法影響選舉結果.

(5)不可重用性

利用關聯環簽名的可鏈接性，注冊機構R 能有效判斷任意兩個關聯環簽名是否來自同一投票者，如有不誠實投票者試圖重復注冊，將會被發現，保證了任一合法投票者只能進行一次注冊. 同時，投票者自己生成的公私鑰對和注冊機構為其發放的身份序列碼Ni都具有唯一性，且盲化選票EBVi和身份序列碼Ni將被對應地公布于投票信息表List2 中，若投票者在投票階段重復投票將會被發現，因此每個合法投票者只能進行一次投票.

(6)完整性

所有注冊信息、投票信息以及計票信息不僅可以被注冊中心R、管理中心A 和計票中心C 驗證，而且由于這些信息被相應地公布于公告信息表List1、List2 和List3 中，因此任何人都能驗證投票者信息的正確性. 當投票者發現其信息未被公布時，可公布相應信息并公開驗證相關簽名的有效性，因此可以在所有人的監督下，要求注冊中心、管理中心和計票中心重新公布其信息并統計最終結果.因此，所有有效選票都能被正確地計算在最終的選舉結果中.

(7)穩固性

只有具備選舉資格的成員才能成功注冊，進而參與后續投票.在注冊階段、投票階段以及計票階段拒絕注冊、拒絕投票及拒絕計票的投票者均被視為中途棄權. 而每一階段的協議運行都具有獨立性，因此投票者在任意階段的棄權行為不會影響選舉的正常進行.此外，不可重用性保證每個投票者只能進行一次投票. 綜上，投票者的不誠實行為無法破壞選舉過程.

(8)廣義可驗證性

由于選舉相關信息被分別公布于公告信息表List1、List2 和List3 中，任何人都可驗證注冊信息、選票信息和計票結果的正確性，因此方案具有廣義可驗證性.

4.2 性能分析

(1)有效避免由第三方機構欺詐行為引起的安全隱患

本文方案雖然存在注冊中心、管理中心和計票中心等第三方機構，但由于在選舉的任意階段都采用獨立的信息公告機制，且分別設置了公示時間，供投票者查詢自己的信息是否得到正確公布，同時，在所有人的監督下能夠及時發現并有效制止第三方機構的不誠實行為.因此任何第三方機構單獨或者合謀均無法冒充投票者進行投票，也不能篡改或者刪除投票者的投票信息，避免了第三方機構的惡意行為或合謀攻擊引起的安全隱患，即方案的安全性不依賴于對第三方機構絕對可信的前提假設.

(2)無需借助匿名通信信道

方案利用關聯環簽名對投票者進行無條件匿名注冊，同時為投票者發放具有唯一性的合法臨時身份Ni用于后續的投票及計票過程，任何人只能確定投票者的合法性而無法得知其真實身份. 因此，任一階段均無需借助匿名通信信道隱藏投票者身份.

(3)選票的抗碰撞性

由于本方案在盲化選票中加入具有唯一標識的投票者身份序列碼Ni，保證所有選票互不相同，因此具有選票抗碰撞性，進而保證選舉過程的公平性.

(4)投票者可在任意階段中途棄權

由于不存在可信中心的限制，且方案各個階段均采用信息公告機制，具備廣義可驗證性，因此可以保證選舉的各個階段都具有獨立性.投票者在任意階段棄權，體現在各公告信息表中的投票者數目不相等，并不會影響選舉的正常進行，因此投票者可以在任意階段中途棄權.

(5)高效性

環簽名的大計算量成為制約其應用于大規模電子投票的主要因素. 與現有方案不同的是，本文將計算量大的關聯環簽名應用于注冊階段實現合法投票者的匿名注冊，并通過為合法投票者發放一個唯一的臨時身份標識Ni，結合其自己產生的單簽名公私鑰(eVi，dVi)，用于后續投票和計票階段的匿名身份認證. 由于本文方案的投票階段僅使用(eVi，dVi)實現普通的個體簽名及驗證，故有效保證了投票階段的高效性和實用性，適合于大規模選舉.

下面將本文方案和文獻［2，9，13-14］中方案的投票效率進行對比，表1 給出相關符號的定義.

表1 相關符號定義Tab.1 Symbol definitions

根據文獻［21］，tE≈8.24tECM，tE≈240tM，tE≈600tH，tE≈3.2tECP，tECA≈5tM，可以推出:tE≈240tM，tECM≈29.13tM，tECP≈75tM，tECA≈5tM，tH≈0.4tM. 對比各方案投票效率如表2 所示.

表2 各方案投票效率比較Tab.2 Comparison of voting efficiency of various schemes

從表2 可以看出，文獻［2］和本文方案的投票效率高，本文方案投票時間復雜度僅為961 個模乘運算，較文獻［9，13-14］的方案效率至少提高42.9%;其次是文獻［9］方案，且這3 個方案的投票效率均與投票者規模n 無關，適合大規模選舉.而文獻［13-14］方案的投票協議復雜度隨n 的增加而增大.由于在大規模選舉中，n 的值一般較大，因此文獻［13-14］方案的投票效率低，不適合于大規模選舉.

4.3 性能比較

將本文方案與現有的幾種電子投票方案進行了性能比較，如表3 所示.

表3 各投票方案綜合性能比較Tab.3 Performance comparison of the voting schemes

從表中可以看出，文獻［2］方案雖然能滿足各方面的安全要求，且投票效率高，但其安全性依賴于對注冊機構的絕對可信.文獻［9］方案同樣存在可信第三方安全隱患，并且方案需要借助匿名通信信道.文獻［13］方案沒有實現協議的秘密性和公平性，同時投票效率過低，不適合于大規模選舉.文獻［14］方案也需要依賴可信機構，而且不誠實的投票者可以冒充其他投票者投票，破壞了投票協議的不可重用性和穩定性，另外方案投票效率較低，無法滿足大群體選舉.本文方案不存在第三方安全隱患，無需借助于匿名通信信道，也不存在選票碰撞問題，投票者可在任意階段中途棄權而不影響選舉的進行，能滿足協議的安全性要求，而且投票過程效率高，適合于大規模選舉.

5 結 論

本文針對電子投票過程中存在安全隱患和投票效率低等缺陷，利用關聯環簽名結合盲簽名技術，提出了一個新的安全電子投票方案. 該方案無需依賴任何可信第三方和匿名通信信道，且因引入身份序列碼和信息公開驗證機制，具備抗選票碰撞性以及投票者可以在任意階段棄權的功能.關聯環簽名具有保證投票者身份匿名性和不可重用性的優勢，但卻存在計算量大的缺點，而本文將其運用于注冊環節，在后續的投票和計票階段則利用基于序列碼的個體簽名進行身份驗證，克服了關聯環簽名用于電子投票系統導致投票效率低的固有難題，提高了投票協議的效率和實用性，適合于大規模選舉.

［1］ PENG K，BOYD C，DAWSON E，et al. A correct，private，and efficient mix network［C］∥The 7th International Workshop on Theory and Practice in Public Key Cryptography 2004，LNCS 2947. Berlin:Springer-Verlag，2004:439-454.

［2］ 高虎明，王繼林，王育民. 一個基于Mix net 的電子投票方案［J］. 電子學報，2004，32(3):1047-1049.GAO Huming， WANG Jilin， WANG Yumin. An electronic voting scheme based on Mix net［J］. Chinese Journal of Electronics，2004，32(3):1047-1049.

［3］ CICHON J， KLONWSKI M， KUTYLOWSKI M.Distributed verification of mixing-local forking proofs model［C］∥The 13th Australasian Conference of Information Security and Privacy 2008，LNCS 5107.Berlin:Springer-Verlag，2008:128-140.

［4］ PENG K. A general and efficient countermeasure to relation attacks in mix-based e-voting［J］. International Journal of Information Security，2011，10(1):49-60.

［5］ PANG L，SUN M H，LUO S S，et al. Full privacy preserving electronic voting scheme［J］. The Journal of China Universities of Posts and Telecommunications，2012，19(4):86-93.

［6］ HAENNI R，KOENIG R E. A generic approach to prevent board flooding attacks in coercion-resistant electronic voting schemes［J］. Computers ＆ Security，2013，33(2):59-69.

［7］ FUJIOKA A，OKAMOTO T，OHTA K. A practical secret voting scheme for large scale elections［C］∥Advances in Cryptology-AUSCRYPT 1992，LNCS 718.Berlin:Springer-Verlag，1993:244-251.

［8］ KU W，WANG S. A secure and practical electronic voting scheme［J］. Computer Communication，1999，22(3):279-286.

［9］ 陳曉峰，王育民. 基于匿名通訊信道的安全電子投票方案［J］. 電子學報，2003，31(3):390-393.CHEN Xiaofeng，WANG Yumin. A secure electronic voting scheme based on anonymous communication channel［J］. Chinese Journal of Electronics，2003，31(3):390-393.

［10］ CHEN Xiaofeng，WU Qianhong，ZHANG Fangguo，et al. New receipt-free voting scheme using doubletrapdoor commitment［J］. Information Sciences，2011，181(8):1493-1502.

［11］ GHAVAMIPOOR H， SHAHPASAND M. An anonymous and efficient e-voting scheme［C］∥The 7th International Conference on E-Commerce in Developing Countries:With Focus on E-Security (ECDC).［S.l.］:IEEE，2013:1-13.

［12］ LIU J K， WEI V K， WONG D S. Linkable spontaneous anonymous group signature for ad hoc groups［C］∥The 9th Australasian Conference on Information Security Privacy 2004， LNCS 3108.Berlin:Springer-Verlag，2004:325-335.

［13］ TSANG P P，WEI V K. Short linkable ring signatures for E-voting，E-cash and attestation［C］∥The 1st Information Security Practice and Experience Conference 2005， LNCS 3439. Berlin: Springer-Verlag，2005:48-60.

［14］ 范安東，孫琦，張揚松. 基于環簽名的匿名電子投票方案［J］. 四川大學學報:工程科學版，2008，40(1):113-117.FAN Andong， SUN Qi， ZHANG Yangsong. A anonymous electronic voting scheme based on ring signature［J］. Journal of Sichuan University:Engineering Science Edition，2008，40(1):113-117.

［15］ RIVEST R，SHAMIR A，TAUMAN Y. How to leak a secret［C］∥Advances in Cryptology-Asiacrypt 2001，LNCS 2248. Berlin:Springer-Verlag，2001:552-565.

［16］ DOWSLEY R，HANAOKA G，IMAI H. Roundoptimal deniable ring authentication in the presence of big brother［C］∥Information Security Applications，LNCS 6513. Berlin:Springer-Verlag，2011:307-321.

［17］ XIONG H，CHEN Z，LI F G. Bidder-anonymous English auction protocol based on revocable ring signature［J］. Expert Systems with Applications，2012，39(8):7062-7066.

［18］ YUEN T H，LIU J K，AU M H. Efficient linkable and/or threshold ring signature without random oracles［J］. Computer Journal，2013，56(4):407-421.

［19］ DENG L Z，ZENG J W. Two new identity-based threshold ring signature schemes［J］. Theoretical Computer Science，2014，535(4):38-45.

［20］ YEON H J，CHANG K Y，SOOK C H，et al.Collusion-resistant convertible ring signature schemes［J］. Science China Information Sciences，2015，58(1):1-16.

［21］ JUANG W S. Ro-cash:an efficient and practical recoverable pre-paid offline e-cash scheme using bilinear pairings［J］. Journal of Systems and Soft，2010，83(1):638-645.