環(huán)簽名技術研究進展及展望

謝佳，劉仕釗，王露，高軍濤，王保倉

1.河南財經政法大學 計算機與信息工程學院，鄭州450046

2.西安電子科技大學 通信工程學院，西安710071

環(huán)簽名作為一種特殊的群簽名是由Rivest 等人于2001年在如何匿名身份的情況下提出的數字簽名方案[1]。但環(huán)簽名方案不同于群簽名的特點是在進行簽名時，簽名者無需成員環(huán)中其他成員的幫助（協(xié)作），甚至可以不讓環(huán)中其他成員知曉，只需要用自己的私鑰和其他成員的公鑰就能實現；在驗證簽名時環(huán)簽名僅可驗證簽名來自群組成員，但是無法區(qū)分某個具體成員。

1 環(huán)簽名的發(fā)展

1.1 環(huán)簽名的發(fā)展歷程

環(huán)簽名因其沒有可信中心以及其無條件匿名性等特點一經提出便引發(fā)了數字簽名領域的研究熱潮。在早期環(huán)簽名研究中，門限環(huán)簽名是一個重要的研究方向。2002年，Bresson等人提出的t-out-of-N門限環(huán)簽名[2]是結合了Rivest等人提出的環(huán)簽名方案和Desmedt[3]提出的門限思想，進而形成的一種新簽名方案，它也是首個門限環(huán)簽名。同年，Naor基于環(huán)簽名的隱私保護思想，提出了不可否認性的環(huán)認證方案[4]。Liu等人于2003年提出了一個可分離的門限環(huán)簽名[5]，它的創(chuàng)新之處是允許同時使用基于RSA和基于離散對數（discrete logarithm，DL）的公鑰。2004年，Tsang等人設計出一種可分離的可鏈接性門限環(huán)簽名方案[6]，因其具有可鏈接性，任何人都可以確定兩個環(huán)簽名是否由同一個簽名者生成。2004年，王繼林等人提出了基于環(huán)簽名思想的一種類群簽名方案[7]。此方案的特點在于以下三方面：一是管理員的權限得到了限制，他必須和簽名接收方合作才能共同追蹤簽名者的身份；二是簽名者可以靈活地、主動地選擇匿名范圍，即他可以任意選取t個合法的公鑰說明自己在其中；三是用戶加入和撤銷特別方便，管理員僅需在公告牌上公布和刪除該成員的相關數據。2005年，Awasthi 等人利用雙線性對提出了基于身份的環(huán)簽名和代理環(huán)簽名方案[8]，此方案通過優(yōu)化簽名驗證中所需要的配對操作使效率提高。2006年，Hayashi 等人首次提出了匿名加密和環(huán)簽名加密方案[9]。同年，楊少春等人提出了一種基于身份和雙線性對的代理環(huán)簽名方案[10]，該方案能夠有效地防止授權人冒充代理簽名者對消息進行簽名，因此代理人的利益得到了很好的保護。吳問娣等人利用雙線性對構造了一個無證書的環(huán)簽名方案，又首次利用多線性形式構造了一個基于身份的廣播多重簽名方案[11]。此階段環(huán)簽名方案按屬性分類大致可分為門限環(huán)簽名、代理環(huán)簽名、無證書環(huán)簽名等。因上述簽名設計思想大部分源自Rivest等人的環(huán)簽名理念，所以不妨將此階段劃分為前量子密碼學中環(huán)簽名的初始發(fā)展階段。

2007年，羅大文等人通過改進文獻[12]和文獻[13]方案提出了一種基于雙線性對的代理環(huán)簽名方案[14]，此方案的特點在于簽名生成時不需要使用雙線性對運算。同年，王玲玲等人通過使用累加器技術以及雙線性對而提出了一種簽名長度固定的基于身份的環(huán)簽名方案[15]。此方案的特點在于簽名長度與環(huán)成員個數無關。Liu等人提出了一種可撤銷環(huán)簽名方案[16]，該簽名允許真實簽名者任意形成環(huán)，同時允許一組授權者撤銷真實簽名者的匿名性。2008年，Jeong等人提出了一種弱可鏈接環(huán)簽名[17]，此方案可以用來構造選擇性可鏈接環(huán)簽名方案、高效的可轉換（可驗證）環(huán)簽名方案和高效的可扣除環(huán)簽名方案。張躍宇等人利用Diffie-Hellman假設以及Waters構造私鑰的方法[18]提出了一個基于身份的環(huán)簽名方案[19]，此方案簽名過程中利用較短的公開參數，使簽名的效率得到提高。同年，桑永宣等人對Herranz 等人提出的基于身份的分布環(huán)簽名方案[20]在不同使用場景做出了改進，并提出了兩種無證書的分布環(huán)簽名方案[21]。其中，第一種方案是利用雙線性對構造的，可用于一般的分布環(huán)簽名的情形。第二種方案利用的是Shamir 的秘密共享方案，可用于門限可進入結構的情形。2009年，Chang等人提出了一種無證書門限環(huán)簽名[22]，該方案進行簽名驗證時僅需要固定數量的雙線性對運算，因此效率得到了極大的提高。吳磊等人結合代理簽名和環(huán)簽名的優(yōu)點，以雙線性對為基礎提出了一種高效的基于身份代理環(huán)簽名方案[23]。此方案的特點是將開銷較大的雙線性對運算降到常數次，因此提高了計算效率。同年，劉振華等人通過在已知消息的簽名時能夠偽造任何消息的有效環(huán)簽名的問題證明了文獻[19]方案是不安全的，并提出了一種基于身份的環(huán)簽名方案[24]。2010年，楊銘熙等人改進了BGLS方案[25]，提出了基于雙線性映射的多源網絡編碼環(huán)簽名方案[26]。其特點是它可以用于多源網絡編碼機制抵御污染攻擊。王鳳和等人基于格上小整數解（short integral solution，SIS）問題的困難性假設提出了格上基于盆景樹模型的環(huán)簽名[27]。Wang改進了Brakerski 等人的方案[28]提出了一個基于格的環(huán)簽名和一個基于身份的環(huán)簽名[29]。這兩個方案比文獻[28]方案效率更高。同年，陳少真通過改進文獻[30]方案提出了一種在隨機預言機模型和一種在標準模型下安全的高效的基于屬性的環(huán)簽名方案[31]。新方案與文獻[30]方案相比具有更短的公開參數，簽名長度減少了1/3，運算所需的雙線性對減少了1/3。因此，簽名和驗證的效率都有很大提高。黃大威等人基于身份密碼體制和雙線性對技術提出了一種可撤銷匿名性的環(huán)簽名方案[32]。2011年，黎宏偉對Nguyen的環(huán)簽名算法[33]進行了詳盡的分析，設計出了一個改進的固定長度基于身份的環(huán)簽名方案[34]。綜合上述方案分析發(fā)現，在此階段內的環(huán)簽名方案根據其不同屬性可以細分為門限環(huán)簽名、基于身份的環(huán)簽名、可撤銷匿名性的環(huán)簽名和無證書環(huán)簽名這四大類，這些方案中大部分是基于大整數因數分解、離散對數、雙線性對與橢圓曲線等困難數學難題設計出來的。因為此階段以對之前方案的安全性以及效率等方面不斷改進的方案居多，所以不妨將此階段劃分為前量子密碼學中環(huán)簽名發(fā)展的中期階段。

2012年，田苗苗等人指出了王鳳和等人和Wang方案[27,29]效率低、安全性弱的不足，并提出了高效的基于格的環(huán)簽名方案[35]。Wu等人提出了基于格的帶誤差學習問題的環(huán)簽名方案[36]，該方案與之前基于格的簽名相比因其簽名大小幾乎是線性的，所以開銷顯著減少。同年，劉彪對兩種典型環(huán)簽名方案[37]進行分析與改進，并設計了基于雙線性對的具有可驗證性的環(huán)簽名方案[38]。2013年，孫華等人將盲環(huán)簽名和無證書密碼體制相結合，充分利用兩者的優(yōu)勢，提出了一種有效的無證書盲環(huán)簽名方案[39]。李玉海等人利用文獻[35]的思想，提出一種標準模型下基于身份的格上環(huán)簽名方案[40]，該方案的安全性基于格中SIS困難假設。2012年，Albrecht等人提出了首個基于多變量的門限環(huán)簽名方案[41]。2016年，張姣等人對李曉琳等人的可驗證環(huán)簽名方案[42]分析改進，使改進后的方案[43]能夠滿足不可否認性，提高了可驗證環(huán)簽名方案的安全性。楊華杰等人鑒于無證書密碼體制的優(yōu)點，提出一種高效的無證書可追蹤環(huán)簽名方案[44]。2015年，程小剛等人利用群結構保持簽名和Groth-Sahai證明系統(tǒng)提出了一種匿名性可撤銷的高效環(huán)簽名[45]。王曉蘭提出了一個基于多變量公鑰密碼體制（multivariate public key cryptosystem，MPKCs）的可撤銷匿名性的環(huán)簽名方案[46]，基于多變量的公鑰密碼體制的簽名相比傳統(tǒng)的數字簽名在面對量子計算機的攻擊時，其安全性更高。在此階段內的環(huán)簽名方案根據其不同屬性大致分為門限環(huán)簽名、可撤銷匿名性的環(huán)簽名和無證書環(huán)簽名。據統(tǒng)計，在2012—2015年，基于傳統(tǒng)困難數學問題的環(huán)簽名研究在逐年減少，而使用能抵抗量子攻擊的格以及多變量等技術的方案在逐年增多，因此不妨將此階段劃分為前量子密碼學中環(huán)簽名發(fā)展的后期階段，也是研究抗量子攻擊的后量子密碼學中環(huán)簽名方案發(fā)展的初始階段。

2016年，熱娜·艾合買提提出了基于Schnorr 思想的身份門限環(huán)簽名方案[47]，此方案利用Hash 函數縮短了簽名長度，從而減少運算時間提高了效率。2017年，賈小英等人提出了格上高效的基于身份的環(huán)簽名[48]，此方案通過利用固定維數的格基委派技術和拒絕采樣技術使其具有更高的計算效率、更低的通信和存儲開銷，更具有實用性。2018年，郭秋玲等人提出的基于多變量公鑰密碼體制的門限環(huán)簽名方案[49]是運用公平劃分的思想，將文獻[50]方案轉化而來的。此方案具有運算速度快、對計算資源的要求不高的特點。同年，Torres等人提出了隨機預言機模型下的第一個格上的可鏈接環(huán)簽名[51]，該方案是構成后量子安全加密貨幣（如Hcash）中隱私保護協(xié)議的基礎。Baum等人提出了基于SIS和LWE（learning with errors）困難數學問題的可鏈接環(huán)簽名[52]。2019年，Deng 等人提出了基于身份的可鏈接環(huán)簽名方案[53]，此方案避免了證書管理，比之前的基于身份的可鏈接環(huán)簽名更加高效。Gao 等人提出了第一個基于格的非交互式可否認環(huán)簽名方案[54]。2018年，Lu等人在CH+（Chameleon Hash plus）困難假設下，提出了第一個實用的基于格的可鏈接環(huán)簽名方案[55]。2020年，陳江山提出了格上無陷門的門限環(huán)簽名方案[56]。此方案的特點是基于格上最短向量問題的，既不使用高斯采樣技術也不使用陷門技術。2021年，Tang 等人提出了格上基于身份的可鏈接環(huán)簽名方案[57]，方案利用陷門生成算法和拒絕采樣技術，降低了簽名生成和驗證的時間開銷。范家幸提出了帶時間排序的門限環(huán)簽名方案[58]。此方案的特點在于簽名更新時可以利用舊簽名。同年，莊立爽等人提出了一種基于格的可鏈接門限環(huán)簽名方案[59]，并在此基礎上提出一種新的電子投票協(xié)議，該協(xié)議可解決多類別投票問題。范青等人為了推動國產密碼算法在區(qū)塊鏈系統(tǒng)的應用，提出了基于SM2 數字簽名算法的環(huán)簽名方案[60]，同時介紹了SM2 可鏈接環(huán)簽名方案的兩種變型。2022年，Lin 等人提出第一個對數大小的可否認環(huán)簽名方案[61]，這意味著簽名和否認的大小在環(huán)大小中僅以對數方式增長。結合上述環(huán)簽名的研究成果來看，環(huán)簽名在后量子密碼時代的發(fā)展也進入了新的階段，在此階段內的環(huán)簽名方案根據其不同屬性可以細分為門限環(huán)簽名、可鏈接環(huán)簽名、可否認環(huán)簽名以及基于身份的環(huán)簽名等。在多種屬性中又以可鏈接環(huán)簽名和門限環(huán)簽名為主要研究方向。

1.2 影響環(huán)簽名發(fā)展的因素

對于環(huán)簽名技術發(fā)展影響較大的因素主要可以分為內在因素和外在因素兩方面。

內在因素主要是因為環(huán)簽名方案在不同應用場景時所需要的要求不同，例如在軍用領域所需要安全性較高，因此在設計方案時安全性作為首要考慮因素；而對于民用領域更加注重速度，因此在設計方案時對效率以及開銷更為關注。另一方面，不同的需求也就會對側重的屬性有所區(qū)別，這也是環(huán)簽名可以基于不同屬性進行詳細分類的原因。

在外在因素中最為突出的就是量子攻擊所影響的安全性問題。密碼學界在很早就開始研究抵抗量子攻擊的密碼算法。1978年出現的McEliece算法就是一種基于代數編碼理論的不對稱加密算法，其安全性是基于一般譯碼問題的NP（non-deterministic polynomial）困難性。雖然McEliece算法可以抵抗量子計算機的攻擊，但與當時眾多使用RSA 算法的簽名相比，McEliece 算法所占密鑰量大，碼率低，而且當時量子計算機對密碼算法的威脅并沒有很明確，因此并未投入到實際的使用過程中。2012年，美國國家標準技術研究所（the National Institute of Standards and Technology，NIST）啟動了后量子密碼的研究工作，并于2016 年2 月啟動了全球范圍內的后量子密碼標準征集，在2017 年11 月截止了草案提交。同年，NIST 后量子密碼團隊負責人Dustin Moody 在AsiaCrypt 2017會議上的發(fā)言可概括為公鑰密碼算法需要使用后量子密碼算法替代，而對稱密碼算法暫時不需要被新算法替代，但也需要通過調節(jié)參數來解決被量子計算機攻擊的問題。2022年2月8日，美國白宮總統(tǒng)行政辦公室發(fā)布了最新修訂的《關鍵和新興技術（CET）清單》，其中就包括了后量子密碼這一技術。就公鑰體制而言，能夠抵御量子計算機攻擊的公鑰密碼體制包括了基于編碼的公鑰密碼體制、基于Hash的公鑰密碼體制、基于格的公鑰密碼體制、基于多變量的公鑰密碼體制。哈佛大學的Barak教授[62]將公鑰密碼的底層問題分成了兩大類：一類是RSA 和離散對數類的代數問題；另一類是格和編碼的問題。但第一類困難問題的量子困難性已經被Shor算法否定。2022年7月5日，NIST公布了后量子密碼標準化項目的第三輪篩選結果，根據NIST 官網信息可知被選中的算法包括Kyber、Dilithium、Falcon 與Sphincs+這四種算法。以上四種算法中有三種是基于格理論的，只有Sphincs+是基于Hash的，因此從基于的困難數學問題上來看，研究基于格的密碼是后量子密碼時代的主流研究方向。

2 環(huán)簽名的概念

2.1 環(huán)簽名的形式化定義

定義1環(huán)簽名能夠實現無條件匿名性，普通的環(huán)簽名算法是由概率多項式時間（probabilistic polynomial time，PPT）算法和確定性算法所構成的。假設現有N個用戶：

密鑰生成KeyGen：該算法需輸入一個安全參數k，然后對每一個用戶ui(1 ≤i≤N)生成一個密鑰對(SKi,PKi)，且不同用戶的公私鑰對可能來自于不同的公鑰體制，如可來自基于RSA的公鑰體制，也可來自基于DL的公鑰體制。

簽名Sign：該算法將需要加密的消息m以及某一環(huán)成員uj(1 ≤j≤N)的私鑰SKj和N個環(huán)成員的公鑰集合L={PK1,PK2,…,PKN}輸入后，對需要加密的消息m生成一個簽名σ，其中簽名σ中的某個參數根據一定的規(guī)則呈環(huán)狀。

驗證Verify：該算法是一個確定性算法，其需要輸入公鑰集合L={PK1,PK2,…,PKN}和消息m以及簽名σ，如果驗證通過則輸出“接受”，否則輸出“拒絕”。

定義2相較于上述所概括的普通環(huán)簽名算法的形式化定義，門限環(huán)簽名因為其是結合了門限簽名的思想而產生的新的環(huán)簽名，所以其形式化定義主要包括4 個算法也突出強調了門限思想。假設現有N個用戶，門限值是t：

建立系統(tǒng)Setup：該算法以輸入一個較大的數作為安全參數k，輸出包含公共參數和門限參數的參數集合(k,N,t)來構建參數框架。

密鑰提取KeyGen：該算法是對每一個用戶ui(1 ≤i≤N)，生成一個密鑰對(SKi,PKi)用于使每個成員在整個成員群體中擁有獨特的身份。

簽名Sign：該算法是一種交互式的協(xié)議，選擇t個用戶組成一個集合，然后選擇N-t個用戶來提取公鑰，輸入信息m和環(huán)成員uj(1 ≤j≤N)的私鑰SKj，然后得到門限環(huán)簽名σ。

驗證Verify：該算法是一個確定性算法，其需要輸入消息m以及簽名σ。如果驗證通過則輸出“接受”，否則輸出“拒絕”。

定義3可鏈接環(huán)簽名最主要的作用在于可鏈接性。與普通環(huán)簽名方案相比，可鏈接環(huán)簽名可以匿名檢測兩個簽名是否由同一簽名者生成，其形式化定義也更加復雜：

建立系統(tǒng)Setup：輸入一個安全參數k，輸出一個參數集params。

密鑰提取KeyGen：需要輸入建立系統(tǒng)算法所得到的參數集params，對每一個用戶ui(1 ≤i≤N)輸出生成的密鑰對(SKi,PKi)。

簽名Sign：輸入參數集params，消息m，公鑰集合L={PK1,PK2,…,PKN},簽名者的私鑰SKj(1 ≤j≤N)，輸出簽名以及鏈接標簽ε。

驗證Verify：輸入參數集params，消息m，公鑰集合L={PK1,PK2,…,PKN} 以及簽名生成算法中生成的簽名，如果驗證通過則輸出“接受”，否則輸出“拒絕”。

關聯(lián)性驗證算法：對兩個消息/簽名對進行比較，輸出“1”或者“0”分別代表滿足關聯(lián)性和不滿足關聯(lián)性。

2.2 環(huán)簽名的安全性

環(huán)簽名沒有可信中心和群的建立，可作為一種簡化的群簽名。對于需要長期保護的匿名信息而言，一個好的環(huán)簽名必須要滿足無條件匿名性、不可偽造性、穩(wěn)健性、正確性。需要滿足無條件匿名性的原因在于，即使攻擊者獲得了簽名成員中所有人的公鑰，也只能去猜測誰是真正的簽名者，而猜到真正簽名者的概率只有1/N。Rivest等人在How to Leak a Secrect[1]一文中提出的內閣成員Bob欲向記者舉報首相貪污的問題，若在使用環(huán)簽名的情況下將變得非常簡單，因為首相無法在匿名條件下找出舉報者。需要滿足不可偽造性的原因在于，即使攻擊者獲得了消息m的簽名，若是攻擊者不知道環(huán)內成員的私鑰，也無法構造一個合法的簽名。簽名方案具有穩(wěn)健性的意義在于，即使內部某個參與簽名者有不良行為，此時的環(huán)簽名方案依舊是安全的。環(huán)簽名也必須具備正確性，因為如果不具備正確性，則環(huán)簽名將不能被其他人所驗證，同時這也是環(huán)外成員偽造出的環(huán)簽名不合法的原因。

3 不同種類的環(huán)簽名

綜合近幾年的研究，從屬性角度分析，不同屬性的環(huán)簽名研究進度也是有極大差異的，相較于可撤銷匿名性環(huán)簽名、可否認的環(huán)簽名、代理環(huán)簽名、無證書環(huán)簽名來說，門限環(huán)簽名以及可鏈接環(huán)簽名因其屬性優(yōu)勢，二者目前是環(huán)簽名領域的主流研究方向；從技術角度分析，抗量子攻擊的環(huán)簽名因其安全性高而占據主導地位，雖然在量子攻擊下基于傳統(tǒng)數論問題的環(huán)簽名是不安全的，但現在還沒有真正意義上的量子計算機，且量子計算機的研發(fā)還需要很長時間。對于民用來說，基于傳統(tǒng)數論問題的環(huán)簽名方案還是安全的，因此還有研究的意義。

3.1 門限環(huán)簽名

1990 年德國數學家和密碼學家Schnorr 提出的Schnorr機制[63]是一種基于離散對數難題的知識證明機制，這種知識證明機制具有實現簡單、驗證速度較快等優(yōu)點。Schnorr機制的本質是是一種零知識證明技術，它允許在任何擁有相同生成元（指在離散對數問題中）的協(xié)議參與者雙方證明某一方擁有私鑰而不需要直接交換它。熱娜·艾合買提利用了Pointcheval 所提出的一般環(huán)簽名的分叉引理[64]求解了Diffie-Hellman 問題并提出了基于Schnorr 機制的方案[47]。且文獻[47]方案對任意的固定信息m和固定群L，簽名的分布是線性無關的，即無論是哪些成員參加簽名，都會是均勻分布。由于Schnorr機制的特性，使基于Schnorr思想的身份門限環(huán)簽名方案[47]具有高效率和低復雜度方面的優(yōu)勢，同時由于Hash 函數的引進可將任意長度的信息轉化為一個等長的字符串，縮短了原始簽名的長度，節(jié)約了簽名的時間成本。簽名過程用到一個雙線性對，驗證用到兩個雙線性對，雙線性對的個數固定不會隨著簽名群的増加而增加，假設環(huán)成員共有N人，門限值為t，進行一次雙線性運算的耗時為TP，在橢圓曲線群上進行一次點乘運算與一次模指數運算的耗時分別為TE、TN，則生成簽名耗時(N+3t)TE+TP，驗證簽名耗時為TN+2TP，與Deng等人和Chung等人提出的基于身份門限環(huán)簽名[65-66]相比，簽名所需要的時間明顯減少。

在醫(yī)療數據共享系統(tǒng)中，一個病人把自己的身體健康記錄存入到區(qū)塊鏈上，把患者、主治醫(yī)師、護士和醫(yī)院的管理員分別添加到區(qū)塊鏈中并創(chuàng)建t-outof-N門限環(huán)簽名。當患者再次來體檢時，新的護士應在患者的健康記錄上簽名，并將t-out-of-N簽名更改為t+1-out-of-N簽名。傳統(tǒng)的門限環(huán)簽名從t-out-of-N更新為t+1-out-of-N時，需要讓先前的簽名者再一次對信息簽名，但這次簽名顯然是冗余的。范家幸提出的帶時間排序的門限環(huán)簽名方案[58]具有簽名有效更新和公鑰時間排序的功能，恰好能解決上述問題。文獻[58]方案是對Yuen 等人的環(huán)簽名方案[67]的重要擴展，它和一般的門限環(huán)簽名方案有兩點不同：其一是在密鑰提取后，在所有公私鑰對內都嵌入一個時間參數并按照時間參數排序輸出公鑰集合；其二就是需要重簽名時，只需要直接在重簽名算法中輸入舊的環(huán)簽名、新加入的簽名者的公私鑰對、上次簽名使用的公鑰集合以及新的門限值。此方案的構造使用了合數階雙線性群，因為計算性Diffie-Hellman（computational Diffie-Hellman，CDH）問題在循環(huán)子群上是困難的，所以在群上也是困難的，該方案通過說明CDH 假設以及子群隱藏假設在群上的成立，證明了方案的不可偽造性和無條件匿名性。

為了解決在進行大群體的電子投票時存在的選票碰撞、選票合法性、多次投票以及代替投票等影響公平性的問題，先后出現了使用群簽名、盲簽名等諸多數字簽名的方案，但是依然不能避免非匿名、二次投票、效率過低等問題。2003年，陳曉峰等人利用群簽名設計的方案[68]雖然可以有效地解決選票碰撞，但是它是非匿名性的，因為該方案可以通過選票去找到投票者，顯然這是不適用的。2016年，Chillotti 等人提出基于格密碼的電子投票方案[69]，雖然此方案簡化了正確性、隱私性和可驗證性的證明，但是仍沒有解決選票的合法性判定以及效率低的問題；2018 年吳宸提出的新方案[70]雖然效率提高了，但是仍然存在二次投票問題。上述方案都在不斷改進，但是仍然存在各種各樣的紕漏。莊立爽等人在2021 年提出基于格密碼的增加了抗量子性、應用消息塊共享技術、填充排列技術和可鏈接性質構造的門限環(huán)[59]，使得簽名在應用于電子投票時同時滿足不可重復性、可驗證性、無條件匿名性、不可否認性、實用性和抗量子性。

2020 年陳江山提出的方案[56]與莊立爽提出的方案[59]都是基于格上的環(huán)簽名方案結合了消息分塊共享技術而形成的一種全新的簽名方案。而陳江山提出的簽名方案的核心技術在于沒有使用傳統(tǒng)的陷門函數的技術，他是利用填充-置換方法在消息分塊之前先對消息進行了預處理，它更加靈活，不需要重新為用戶分配密鑰，且簽名比較短，即使門限值的改變對簽名的長度影響不大。在使用簽名時它與一般形式化定義的方法差異在于普通的門限簽名是在密鑰生成算法后直接進行簽名算法，而此方案則是密鑰生成后進行填充-置換算法（即對消息進行預處理）。在填充-置換算法中先是填充，其具體填充方法為：設消息m的比特長度為g，將消息m劃分為d=個消息塊，環(huán)上用戶數為N，進行有效簽名的人數的門限值為t，還有一個公開的哈希函數為H0，計算出w=×d,r=H0(m)。用0 填充消息m到w個比特長度得到新的消息m＇。對于m＇，從w比特位置換集合中隨機選擇一個均勻置換進行置換，置換后將消息m＇分成d塊，給每一個簽名者一個消息塊以及r。因其利用了消息分塊共享技術，所以可以確保消息是完全來自環(huán)成員的，且結合Aguilar-Melchor 等人的環(huán)簽名方案[71]來看，格上無陷門的環(huán)簽名是統(tǒng)計不可區(qū)分源隱藏的。當環(huán)成員和門限值一樣的情況下，因為文獻[56]方案和文獻[59]方案使用的都是“填充-置換”方法，所以兩種方案的簽名尺寸相差無幾。兩種方案所涉及的運算都是由哈希函數、向量抽樣和向量內積以及比特的填充等運算構成的。它們與Cayrel等人提出的CLRS方案、T-CLRS方案[72]和Bettaieb等人提出的改進的基于格的門限環(huán)簽名方案[73]相比，在環(huán)成員人數一樣時，簽名尺寸更小，且簽名尺寸并不會因改變門限值而發(fā)生明顯變化，當環(huán)簽名上的人數N不斷變化且進行簽名的人數恒為t=2時，其具體簽名所占大小情況如表1。

表1 簽名大小對比（t=2）Table 1 Comparison of signature size (t=2)

3.2 可鏈接環(huán)簽名

2004年，Liu等人首次提出具有自發(fā)性的可鏈接環(huán)簽名概念，并提出第一個可鏈接環(huán)簽名方案[74]。2006 年Au 等人基于累加器技術提出了簽名尺寸為常數的可鏈接環(huán)簽名[75]?？涉溄迎h(huán)簽名是由于其能夠匿名檢測兩個可鏈接環(huán)簽名是否由同一簽名人簽名的區(qū)分能力而備受關注的。正因如此，它是目前應用最為廣泛的環(huán)簽名類型。在上述章節(jié)分析影響環(huán)簽名發(fā)展的因素時已經提到了由于量子計算技術將會使基于數論難題（例如大整數因子分解難題、有限域離散對數難題）的密碼體制被攻破。若環(huán)簽名仍采用基于數論難題進行構造，在后量子時代環(huán)簽名的安全性將難以保證，因此可鏈接環(huán)簽名也必須結合格或多變量等體制來實現才能保證安全。2018年，Torres等人提出了隨機預言機模型下第一個基于格的一次可鏈接環(huán)簽名[51]。隨后，他們又在過去的環(huán)簽名方案的基礎上進行擴展，給出了支持多輸入、多輸出的可鏈接環(huán)簽名方案[76]。同年，Baum等人給出了格上更加簡單、高效的可鏈接環(huán)簽名方案[52]。2021年，Tang 等人在Torres 等人和Baum 等人的基礎上，提出了格上基于身份的可鏈接環(huán)簽名方案[57]。同年，范青等人提出基于SM2數字簽名算法的環(huán)簽名方案[60]。

Torres 等人提出的基于格的環(huán)上加密交易——Lattice RingCT 是構成后量子安全加密貨幣（如Hcash）中隱私保護協(xié)議的基礎。Lattice RingCT是由Torres 等人提出的隨機預言機模型下基于格的一次可鏈接環(huán)簽名方案[51]拓展而來的，此方案是對一個基于格的數字簽名方案[77]的拓展。不同的是，此方案實現了無條件匿名性，即該方案即使讓攻擊者擁有無限的計算資源和時間，它能夠猜出真實簽名人的概率仍為1/N。Torres 的方案不僅能夠驗證兩個或多個簽名是否由同一個簽名者簽名，同時也保證了簽名者的匿名性。此方案為了防止惡意攻擊，在建立系統(tǒng)算法時，公共參數A和H是由兩個固定但不同的常數經過加密哈希函數H2計算后得到的。同時，Torres 的方案還采用了基于拒絕采樣技術的概率測試，也正是這個特性可以使私鑰獨立分布并對任何對手完全隱藏私鑰。

Baum 等人提出的方案[51]是一個基于SIS 和帶差錯的學習（LWE）問題的可鏈接環(huán)簽名方案，它的簽名尺寸是線性的。與文獻[78]方案和文獻[79]方案相比，此方案避免了實現可鏈接性的標準解決方案，該解決方案涉及使用大量的零知識機制對偽隨機函數進行正確評估的證明。其具體方法是將公鑰分為兩部分，其中一個公鑰在簽名生成之前作為環(huán)的一部分發(fā)布，另一個公鑰附加到簽名上。因此，在不同的公共參數下，與簽名者的密鑰相對應的另一個公鑰可以作為可鏈接性標簽。由于這兩種公鑰共用相同的代數結構，簽名者的兩個公鑰（即實際公鑰和可鏈接性標記）可以綁定在一起，而不需要在簽名上附加另一個非交互式零知識證明。

Lu等人提出的一種基于格的可鏈接環(huán)簽名方案[55]具有重大意義，因為在此之前所提出的基于格的可鏈接環(huán)簽名都沒有進行具體的實現，而Lu 等人在提出此方案時，便對方案進行了實現。此方案與其他基于格的可鏈接環(huán)簽名方案在框架結構上有區(qū)別，過去所用到的框架是通過單向陷門置換實現的，而此方案卻是利用CH+實現的，這種框架也正是可以將可鏈接環(huán)簽名實例化的根本原因。

Tang等人提出的方案[57]優(yōu)點在于以下兩點：其一是利用陷門生成算法和拒絕采樣算法來生成用戶私鑰和簽名，這種方法提高了生成用戶私鑰以及簽名的效率；其二是將所提出的可鏈接環(huán)簽名方案的不可偽造性歸約到格上SIS 困難假設。相對于一般基于數字證書的可鏈接環(huán)簽名，基于身份的可鏈接環(huán)簽名能夠在保護用戶身份隱私的同時，還能有效解決復雜的用戶證書管理問題。該方案也使基于身份的可鏈接環(huán)簽名能夠抵抗量子攻擊，其核心思想是把基于身份的密碼學引入在Torres 等人提出的基于格的可鏈接環(huán)簽名方案中，與一般的可鏈接環(huán)簽名相比在系統(tǒng)建立階段該方案是通過使用陷門生成算法獲取系統(tǒng)主密鑰以及公共參數；其次是在密鑰提取階段釆用高斯采樣技術來生成用戶的私鑰；然后是在簽名生成階段采用拒絕采樣技術先算出可鏈接標簽，按照分布隨機選取向量；最終以一定的概率生成簽名。

將上述四種可鏈接環(huán)簽名方案[51-52,55,57]放在一起對其簽名所占用的存儲空間進行分析可以得出表2。表中內容分為公鑰長度、私鑰長度兩部分，其中變量n、q分別是用來表示公鑰的向量的維度以及一個作為安全參數的大素數，k是一個小整數。在文獻[51]方案中，公鑰被定義為一個多項式，私鑰與環(huán)上的k個多項式相匹配。因此，公鑰的大小是nlbq，私鑰的大小是knlbq。在文獻[52]方案中，公鑰與環(huán)上的k個多項式相關，私鑰與環(huán)上的一個小多項式匹配。因此，公鑰的大小是knlbq，私鑰的大小是nlbq。在文獻[55]方案中，公鑰被定義為環(huán)上的一個多項式，私鑰與環(huán)上的九個小多項式匹配。因此，公鑰的大小是nlbq，私鑰的大小是9nlbq。在方案[57]中，公鑰被定義為一個n維的向量，私鑰與環(huán)上的4個多項式匹配，因此公鑰的大小是nlbq，私鑰的大小是4nlbq。綜合對比上述四種方案的公私鑰并進行分析，四種方案的簽名大小是有區(qū)別的，但都是隨著成員個數的變化，呈線性增長趨勢的。

表2 存儲開銷對比Table 2 Storage overhead comparison

分析完存儲開銷后，將上述四種可鏈接環(huán)簽名方案[51-52,55,57]放在一起對其應用所需要的時間開銷以及所基于的困難假設進行分析可以得出表3。表中內容分為簽名開銷、驗證開銷以及方案所基于的困難假設三部分，其中變量n、x、k分別用來表示公鑰的向量的維度、環(huán)成員數、一個小整數；變量TSD、TRS、TMUL分別表示進行一次高斯采樣算法（Sample-Dom）、拒絕采樣算法（Reject Sampling）、多項式相乘算法所消耗的時間。需要說明的是，在分析時間開銷時，因為哈希運算、矩陣加法運算、多項式加法運算等的時間開銷較小，以至于基本不會影響方案整體的時間，便在此處忽略不計。在文獻[51]方案中，生成簽名需要使用kx次高斯采樣、(2x+1)k2次多項式相乘算法以及k次拒絕采樣算法。因此，此方案在簽名生成時的時間開銷為nxkTSD+(2x+1)nk2TMUL+nkTRS。在簽名驗證時，文獻[51]方案主要進行了2xk2次多項式相乘運算。因此，該方案的簽名驗證開銷為2nxk2TMUL。在文獻[52]方案中，生成簽名需要使用x次高斯采樣、(2x-1)k次多項式相乘算法以及一次拒絕采樣算法。因此，此方案在簽名生成時的時間開銷為nxTSD+(2x-1)nkTMUL+nTRS。在簽名驗證時，文獻[52]方案主要進行了2kx次多項式相乘運算。因此，該方案的簽名驗證開銷為2nxkTMUL。在文獻[55]方案中，生成簽名需要使用2(x+1)次高斯采樣、2(x+1)次多項式相乘算法。因此，此方案在簽名生成時的時間開銷為2(x+1)nTSD+2(x+1)nTMUL。在簽名驗證時，文獻[55]方案主要進行了2x次多項式相乘運算。因此，該方案的簽名驗證開銷為2nxTMUL。在文獻[57]方案中，生成簽名使用了2x次高斯采樣算法、x+1 次多項式相乘算法以及一次拒絕采樣算法（使用了兩個向量）。因此，該方案在簽名生成時的開銷為2nxTSD+(x+1)nTMul+2nTRS。在簽名驗證時，文獻[57]方案主要進行了x次多項式相乘算法。因此，該方案的簽名驗證開銷為nxTMUL。綜合對比上述方案，可以發(fā)現文獻[57]方案在簽名生成時更高效，且在驗證開銷時，效率明顯提高一倍。

表3 時間開銷和困難假設對比Table 3 Comparison of time cost and difficult assumptions

不同于上述方案所用技術的方案還有很多。例如，2021 年范青等人提出的基于SM2 數字簽名算法的環(huán)簽名方案[60]。SM2 與普通的基于有限域上困難問題的數字簽名相比，SM2 數字簽名的密碼復雜度更高、儲存空間更小、簽名的速度更快。以RSA 與SM2 的對比為例，SM2 的算法結構是基于橢圓曲線（elliptic curve cryptography，ECC），RSA 的算法結構是基于特殊的可逆模冪運算；SM2 的計算復雜度是完全指數級，RSA的計算復雜度是亞指數級；SM2的存儲空間是192～256 bit，RSA 的存儲空間是2 048～4 096 bit；而且SM2的秘鑰生成速度以及解密速度更是較RSA 算法快得多。對文獻[60]方案進行效率分析，假設環(huán)簽名成員人數為x，通過計算循環(huán)群G上的點乘點加、H1運算以及Zq上逆運算的計算量統(tǒng)計計算復雜度。首先計算鏈接標簽Qπ需要1次Hp運算、1次G上點乘運算；然后計算cπ+1包含2次點乘運算、1次H1運算，計算其他n-1個ci(1 ≤i＜n)時總共包含4n-4 次點乘、2n-2 次點加和n-1次H1運算，最后生成sπ時包含一次zq上的逆運算；可鏈接環(huán)簽名驗證過程包含一次Hp運算、4n次G上點乘、2n次點加和n次H1運算。

4 環(huán)簽名的應用

4.1 環(huán)簽名在區(qū)塊鏈中的應用

在數字經濟時代中，數據資源顯得愈發(fā)重要。區(qū)塊鏈因其可以公開可驗證、記錄難以篡改的技術特性，使得區(qū)塊鏈網絡的參與方對數據的驗證的時間成本與經濟成本大幅降低。且由于區(qū)塊鏈采用的是P2P（peer to peer）的網絡結構，這就使得基于區(qū)塊鏈的系統(tǒng)天生具有“去中心”的特點，有效減少了非必要的中間環(huán)節(jié)，提升行業(yè)供需有效對接效率，進而促進實體經濟降本增效。2021年3月公布的《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》中，提到了將區(qū)塊鏈列為七大新興數字產業(yè)之一。由此可見，區(qū)塊鏈在各個應用場景的重要性呈與日俱增的趨勢。而作為新興技術的區(qū)塊鏈，其隱私保護機制則是一個重要的研究熱點，環(huán)簽名因其具有匿名性這一特點也成為了區(qū)塊鏈的一個極為重要的隱私保護機制。近些年來，由于國家政策的推動，區(qū)塊鏈的研究進展也取得了極大的突破，基于區(qū)塊鏈的應用也逐漸滲透到各個行業(yè)，例如在匿名投票、醫(yī)療數據共享以及車聯(lián)網等應用場景中，由于基于環(huán)簽名隱私保護機制的區(qū)塊鏈的加入，不僅保障了應用時數據的安全性，也比傳統(tǒng)的方案節(jié)省成本。

4.1.1 匿名投票

利用環(huán)簽名進行投票時，參與投票的成員對投票信息進行環(huán)簽名，并通過可信機構將簽名信息和投票結果寫到鏈上。當其他人在鏈上驗證簽名時，僅可獲取發(fā)布投票到鏈上的機構，卻無法獲取投票者身份信息。通俗來講，假設某國家要罷免總統(tǒng)，利用常規(guī)的投票技術會暴露投票者的身份信息，為了避免投票者遭到報復，通過利用環(huán)簽名進行投票，在保證投票合法性的同時會使投票者匿名，進而避免了危險，而且還可以解決重復投票等其他問題。在一次基于環(huán)簽名隱私保護機制的匿名投票中，通常由信任機構CA、投票用戶、投票箱合約、公鑰管理合約和計票合約幾部分組成，其具體投票過程如圖1 所示。

圖1 環(huán)簽名應用于匿名投票的流程Fig.1 Process of applying ring signature to anonymous voting

4.1.2 醫(yī)療數據共享

醫(yī)療數據的流通如果沒有安全作為保障，數據的價值便只能停留在紙面上。醫(yī)療數據尤其需要慎重，事關人命和健康，更不可兒戲。醫(yī)療數據共享的實質就是通過區(qū)塊鏈共享賬本使得患者的電子病歷在得到授權情況下在不同的醫(yī)療機構間共享。其中主要的工作在于構建基于環(huán)簽名的醫(yī)療隱私存儲協(xié)議，利用環(huán)簽名在區(qū)塊鏈公開透明的環(huán)境下保障醫(yī)療信息和簽名者身份隱私的安全性。環(huán)簽名因其特性在隱私保護上有著得天獨厚的優(yōu)勢，因此目前許多實現醫(yī)療數據共享的醫(yī)院所使用的核心技術也都與環(huán)簽名息息相關。而環(huán)簽名在醫(yī)療數據共享中的電子病歷這一方面應用的實現流程如圖2所示。

圖2 環(huán)簽名應用于醫(yī)療數據共享的流程Fig.2 Process of applying ring signature to medical data sharing

4.1.3 車聯(lián)網

在區(qū)塊鏈和云計算等技術的迅速發(fā)展的背景下，車聯(lián)網作為移動自組織網絡是智能交通領域的一種具體應用。車聯(lián)網可以使車輛與車輛以及車輛與路側單元進行實時通信，以此來避免由于私家車越來越多所造成的交通堵塞、交通事故以及滿足車主對周邊環(huán)境的了解。車聯(lián)網中的隱私保護問題一直是車聯(lián)網研究的重點之一，如何設計出更高效率以及更強安全性的車聯(lián)網通信協(xié)議是目前主要的研究方向，而目前許多環(huán)簽名[80-81]都可以實現在保證用戶的隱私情況下，又能保證監(jiān)管單位保障交通安全，實現了隱私保護與交通監(jiān)管之間矛盾關系的平衡。目前有多種車聯(lián)網的模型，以車聯(lián)網中的VANET 模型（圖3）為例，其主要由以下部分構成：

圖3 車聯(lián)網的VANET模型Fig.3 VANET model of Internet of vehicles

（1）信任機構（trust authority，TA）：在負責車輛登記時，TA充當著一個完全可信的注冊中心。當OBU完成匿名認證后，TA沒有任何關于OBU假名的額外信息，也不能獨立地披露OBU 的身份。因此，當OBU 作惡時，TA 需要向環(huán)成員發(fā)送追蹤請求，當接收到環(huán)成員的響應時，TA可以判斷真實簽名者。

（2）路邊單元（road side unit，RSU）：RSU只是一個傳遞信息的中間人，它存儲了一些經常使用的信息。

（3）車載單元（on board unit，OBU）：每輛車安裝一個OBU，它配備計算、存儲和通信功能，車輛將通過這些功能獲得更好的駕駛服務。在本文提及的機制中，車輛通過RSU向TA發(fā)送請求匿名身份驗證的消息來負責它們的隱私。

（4）驗證節(jié)點（validation node，VN）：驗證節(jié)點是一個預先設定好的可信機構集團，具有更高的計算和存儲資源。VN具有區(qū)塊鏈完整副本，負責驗證來自車輛的匿名認證請求，通過協(xié)商一致算法在區(qū)塊鏈中記錄請求。公共分類賬由每個訪問者進行監(jiān)督，在發(fā)生糾紛時可作為證據。

（5）匿名區(qū)塊鏈網絡（anoymous blockchain network，ABN）：車聯(lián)網中的路邊單元、驗證節(jié)點和車輛都可以訪問ABN，車輛和RSU 只對ABN 具有訪問權限，VN則負責對整個網絡進行維護。

在VANET模型中，當一個車載單元OBU想加入到此模型中，必須先在TA上進行注冊。當車載單元OBU 加入到VANET 中時，VANET 模型中的車載單元OBU 需要定期向附近車輛廣播車輛狀態(tài)信息（包括位置、速度、方向、消息產生時的時間戳等），這些信息對周圍的所有車輛都是公開的。當發(fā)送的信息涉及車輛所有人身份等這些敏感性信息則需要先使用環(huán)簽名進行信息加密再發(fā)送，其具體工作流程如圖4所示。

圖4 環(huán)簽名應用于車聯(lián)網的流程Fig.4 Process of applying ring signature to Internet of vehicles

4.1.4 虛擬貨幣

虛擬貨幣的種類有很多，Bytecoin是最早引入環(huán)簽名和隱身地址的加密貨幣。DarkNetCoin 就是在Bytecoin基礎之上進行開發(fā)和創(chuàng)新的。Bytecoin不支持Tor，通訊未加密，無法隱匿上網地址，容易被協(xié)議監(jiān)聽，從而分析錢包地址和IP 地址的對應關系。其他幾個電子貨幣：Moreno 與Bytecoin 一樣支持環(huán)簽名和隱身地址，并在Bytecoin 基礎上發(fā)展了GPU 挖礦。Boolberry來自Bytecoin，一樣支持環(huán)簽名和隱身地址，但不支持Tor 和TRR，它沒有任何匿名應用。StealthCoin 通過StealthSend 技術采用環(huán)簽名。XCurrency的通訊加密，支持環(huán)簽名，不支持隱身地址。

4.2 環(huán)簽名的其他應用

環(huán)簽名方案不僅在區(qū)塊鏈上被廣泛應用，在其他領域也頗受歡迎。例如在SIP云呼叫、構建Ad Hoc網絡等方面，環(huán)簽名都起著至關重要的作用。

4.2.1 SIP云呼叫協(xié)議

語音通話技術（voice over IP，VoIP）是一種語音通話技術，經過網際協(xié)議來達成語音通話與多媒體會議，也就是經由互聯(lián)網來進行通信。會話發(fā)起協(xié)議（session initiation protocol，SIP）是建立VoIP 連接的IETF 標準。SIP 是一種與HTTP（客戶-服務器協(xié)議）相似的應用層控制協(xié)議，用于和一個或多個參與者創(chuàng)建、修改和終止會話。當代理服務器需要SIP云服務器提供服務時，需要在SIP云服務器上標注自己的所屬企業(yè)或部門進行注冊。如圖5 中所示，a 想要給b匿名撥打電話。若a之前沒有注冊，首先，a需要經過服務器A注冊到云服務器；當a注冊后，服務器驗證簽名是否屬于A的環(huán)簽名；驗證通過后根據驗證信息隨機分配一個新的電話號碼然后呼叫b。B收到呼叫后只能發(fā)現來自A環(huán)，但無法知道具體是誰撥打的。

圖5 SIP云呼叫模型Fig.5 SIP cloud call model

4.2.2 Ad Hoc網絡

移動自組織（Ad Hoc）網絡是由一組帶有無線收發(fā)裝置的移動終端組成的一個多跳臨時性自治系統(tǒng)，移動終端具有路由功能，可以通過無線連接構成任意的網絡拓撲，這種網絡可以獨立工作，也可以與Internet 或蜂窩無線網絡連接。由于Ad Hoc 網絡具有無中心、自組織性、動態(tài)拓撲、自動配置網絡的特點，使其在洪水、地震等嚴重災難后造成基礎通訊設備不完善的地區(qū)以及軍事應用領域有十分重要的意義。如圖6所示，因為A和B之間使用的網絡是動態(tài)拓樸結構，所以在Ad Hoc 網絡中設備A 和B 之間進行數據交換時，容易遭受竊聽、剝奪睡眠等網絡攻擊。且因為A到B要經過多個節(jié)點的跳轉，所以A向B傳遞的信息更要注重加密、訪問控制、認證、密鑰管理等安全性問題。由于環(huán)簽名方案與Ad Hoc網絡在無中心、自組織性上有相同的優(yōu)勢，且環(huán)簽名方案可以提高Ad Hoc 網絡中信息傳遞時的安全性，環(huán)簽名在Ad Hoc 網絡中被廣泛應用。雖然現有的Ad Hoc網絡環(huán)簽名方案可以抵抗傳統(tǒng)網絡攻擊，并實現用戶自由組織，用戶間無需交互與合作等功能，但還存在一定的缺陷，如無條件匿名性，計算量大，易受到合謀攻擊、適應性選擇密文攻擊和選擇明文攻擊等。

圖6 Ad Hoc網絡的信息傳遞模型Fig.6 Information transfer model of Ad Hoc network

5 總結與展望

經過對環(huán)簽名技術近幾年的研究進行總結分析，發(fā)現環(huán)簽名方案目前還存在這些問題：

（1）許多環(huán)簽名方案在進行簽名時，如果環(huán)內成員人數很多，環(huán)簽名的效率就會很低。尤其是在一些基于身份的環(huán)簽名中，當需要對環(huán)成員信息進行描述時，簽名的長度會嚴重受到環(huán)成員個數的影響。

（2）目前環(huán)簽名方案的研究雖然在理論上取得了極大的進步，但在實現與應用方面還有很大的不足。

（3）環(huán)簽名方案在研究時也應該考慮到環(huán)成員的變動，因為如果增加新成員就需要進行重簽名，那么效率就會比較低。

（4）能抵抗量子攻擊的環(huán)簽名算法基本上都建立在底層問題的假想量子困難性之上，無法判斷哪個更困難，而且基于格的環(huán)簽名都有一個共同的缺點就是驗證密鑰的尺寸非常大。

根據上述提出的問題，以下幾個是對環(huán)簽名技術未來研究領域的分析：

（1）構造效率更高的環(huán)簽名方案。例如在以前的研究方案中，簽名長度取決于環(huán)成員個數，而陳江山提出的格上無陷門的數字簽名以及莊立爽提出的基于格的可鏈接環(huán)簽名，使用到了“填充-置換”方法取代了傳統(tǒng)方法，則不會因環(huán)成員個數的改變而對簽名長度造成影響。

（2）環(huán)簽名方案的可實例化應用也應該是研究的重點。目前許多環(huán)簽名方案雖然在效率上都有很大的提高，但無法實例化應用仍是目前環(huán)簽名研究領域的痛點。其中，基于格的環(huán)簽名方案走向實例化過程中面臨的最大障礙是效率太低的問題。如何盡可能地通過壓縮陷門尺寸和引入更高效的簽名技術提高格基環(huán)簽名效率是未來亟待解決的問題。

（3）多元化研究不同屬性的環(huán)簽名。因為應用場景的不同，環(huán)簽名方案設計時所側重的屬性也不同。目前可鏈接環(huán)簽名和門限環(huán)簽名的研究最多，不可否認環(huán)簽名、代理環(huán)簽名等屬性的環(huán)簽名方案研究較少。且隨著更多應用場景的出現，能滿足不同應用需求的具有特殊屬性的環(huán)簽名方案將應運而生。

（4）在上述介紹后量子時代環(huán)簽名的研究時已經提出了現有的四種能抵抗量子計算機攻擊的簽名體制，包括：基于編碼的公鑰密碼體制、基于hash的公鑰密碼體制、基于格的公鑰密碼體制、基于多變量的公鑰密碼體制。這四種公鑰密碼體制理論上的持續(xù)發(fā)展必然會給后量子時代環(huán)簽名的發(fā)展帶來新的契機。