1.基于多變量公鑰密碼對消息匿名環簽名的方法，其特征在于，該方法按照以下步驟實施：

步驟1.生成系統參數

1)設置k＝GF(q)是特征為p的有限域，其中q＝p^l，l是一個正整數；

2)令是有限域k的n次擴張，這里n是一個正整數，g(x)是有限域k上的一個n次不可約多項式；

3)令m為多變量方程組中方程的個數，n為變量的個數；

4)選擇H：{0，1}^*→k^m為密碼學安全的抗碰撞單向不可逆哈希函數，系統參數為(k，q，p，l，m，n，H)；

步驟2.密鑰生成

1)假設環中有t個用戶，設為U＝{u₀，u₁，…，u_t-1}；

2)根據多變量公鑰密碼體制，每個用戶u_i(0≤i≤t-1)選擇F_i是從kⁿ到k^m的可逆映射，F_i滿足：

a)F_i(x₁，…，x_n)＝(f_i1，…，f_im)，其中f_ij∈k[x₁，…，x_n]，j＝1，…，m；

b)任何方程

F_i(x₁，…，x_n)＝(y′₁，…，y′_m)

都易于求解；

3)每個用戶u_i(0≤i≤t-1)選擇其中L_1i是從k^m到k^m的隨機選擇的一個可逆仿射變換，

L_1i(x₁，…，x_m)＝M_1i·(x₁，…，x_m)^T+a_1i，

其中M_1i是有限域k上的一個m×m的可逆矩陣，a_1i是有限域k上的一個m×1的列向量；

4)每個用戶u_i(0≤i≤t-1)選擇L_2i是從kⁿ到kⁿ的隨機選擇的一個可逆仿射變換

L_2i(x₁，…，x_n)＝M_2i·(x₁，…，x_n)^T+a_2i，

其中M_2i是有限域k上的一個n×n的可逆矩陣，a_2i是有限域k上的一個n×1的列向量；

5)每個用戶u_i(0≤i≤t-1)公布其公鑰

F‾i(x1,...,xn)=(f‾i1,...,f‾im)]]>

其中每一個都是k[x₁，…，x_n]中的多項式；

6)每個用戶u_i(0≤i≤t-1)保密其私鑰SK_i＝{L_1i，F_i，L_2i}；

7)環中的t個用戶的公鑰集記為

步驟3.環簽名生成

假設成員u_π(0≤π≤t-1)代表環成員中所有成員U＝{u₀，u₁，…，u_t-1}對消息M∈{0，1}^*進行簽名，環中的t個用戶的公鑰集記為uπ的公鑰為私鑰為SK_π＝{L_1π，F_π，L_2π}，簽名者u_π計算環簽名的步驟如下：

1)對于i＝0，1，…，t-1且i≠π，隨機選取r_i∈kⁿ，計算

Ri=F‾i(ri),]]>

若R_i中有相同的，則重新選擇r_i；

2)計算

h＝H(M||L)；

3)計算

Rπ=h-Σi≠πRi,]]>

若R_π和R_i相同，則重新選擇r；

4)計算

5)輸出消息M關于環的環簽名σ＝(r₀，r₁，…r_t-1)；

步驟4.環簽名的驗證

給定環的關于消息M的簽名σ＝(r₀，r₁，…r_t-1)，任何驗證者驗證

Σi=0t-1F‾i(ri)=H(M||L)]]>

是否成立，若等式成立，則接受環簽名，否則拒絕該環簽名。

2.根據權利要求1所述的方法，其特征在于，該方法步驟3中，簽名者計算從而使得消息M關于環的環簽名σ＝(r₀，r₁，…r_t-1)構成了一個可以驗證的封閉環滿足

Σi=0t-1F‾i(ri)=H(M||L).]]>