环签名(ring signature)最初是Rivest等人提出的数字签名方案，环签名是简单的组签名，只有环成员没有管理员，环成员之间不需要合作。

环签名的定义

假设有n个用户，每个用户ui都有公钥yi和相应的私钥Xi。环签名是可以无条件匿名签名者的签名方案，主要由以下算法组成：

1)创建Gen。以安全参数K输入，以公钥和私钥输出的概率多项式时间(PPT)算法。这里假设Gen可以为每个用户ui生成公钥yi和私钥Xi，并且可以在不同的用户不同的公钥系统(如RSA或DL)上生成公钥。

2)签名。一种PPT算法，输入消息M和N个环成员的公钥L={Y1，Y2，Yn}和其中一个成员的私钥xs后，在消息M中生成签名R。其中，R的参数根据特定规则进行环。

3)验证。确定性算法，如果输入(m，R)后R是m的环签名，则输出“True”；否则输出“False”。

环签名是签名隐含的某个参数根据一定的规则形成环而得名的名称。之后提出的很多方案中，不需要签名的构成结构，只要满足自愿性、匿名性和集团特性，就称为环签名。

环签名的安全要求和特点

良好的环签名必须满足以下安全要求：

1)无条件匿名。攻击者即使非法获取所有可能签名者的私钥，也可以确认实际签名者的概率不超过1/n。其中N是环成员(可能的签名者)数。

2)不得伪造。外部攻击者在不知道成员私钥的情况下，即使可以从生成环签名的任意先知那里获得消息M的签名，也可以忽略伪造合法签名的概率。

3)环签名具有良好的特性。可以实现签名者的无条件匿名。签名者可以自由指定自己的匿名范围。构成美丽的环形逻辑结构。可以实现组签名的主要功能，但不需要可信的第三方或组管理员等。

环签名是一种特殊的集团签名，没有可信的中心，没有集团成立的过程，对于认证者来说，签名者完全正确，匿名。环签名提供了匿名泄露秘密的巧妙方法。环签名的这种无条件匿名性对于某些需要长期信息保护的特殊环境非常有用。例如，即使RSA崩溃，也要保护匿名性的场所。

这些特性包括：

1)正确性：按照正确的签名阶段签署消息，在传递过程中签名未被篡改，环签名满足签名确认方程。

2)无条件匿名：即使攻击者非法获取所有可能签名者的私钥，也可以确认实际签名者的概率不超过1/N。其中N是所有可能的签名者的数目。

3)伪造性：外部攻击在不知道成员私钥的情况下，即使可以从生成环签名的任意先知那里获得消息M的签名，伪造合法签名的概率也可以忽略不计。

图1 Rivest等建议的环签名算法示意图

环签名满足的性质

(1)无条件匿名：攻击者无法确认环中哪些成员生成签名。即使获得了环形成员私钥，概率也不会超过1/n。

(2)正确性：签名必须由其他所有人确认。

(3)不能伪造的：环的其他成员不能伪造实际签名者签名，外部攻击者在接受有效环签名的基础上也不能伪造对消息M的签名。

环签名的发展与分类

环签名的发展经历了以下三个阶段。

2001-2002年，Rivest提议的环签名定义为logo，这一阶段的工作主要是参考Rivest的方案提交的签名构成。

经过两年对2003-2004年环签名的概念和模式的认识和理解，许多密码界专家开始了对环签名的深入研究。因此，现阶段引入了许多新的环签名体系和一些新的环签名思想。这一阶段是发展环签名的关键时期。从2005年到现在，在这个阶段，业内人士更加关注环签名的安全性、效率和实用性等问题。除了许多安全高效的环签名体系外，许多密码界人士还结合环签名和其他特殊数字签名体系，提出了代理环签名、前向安全环签名等许多新的环签名体系。与此同时，还进行了环签名的功能扩展，出现了很多实用性强的环签名体系。在这个阶段，业界更加注重对环签名实用性的研究。

2.根据环签名拥有的属性，将环签名分为四类。

(1)临界环签名

(2)相关环签名

(3)可撤销的匿名环签名

(4)防免责环签名

参考资料

刘表。环签名算法的研究与应用[D]。西安电子技术大学，2012年。