關聯(lián)的指定驗證者環(huán)簽名方案

邵建鑫

摘 要：指定驗證者簽名是一類特殊的數(shù)字簽名，在指定驗證者簽名中，只有指定的驗證者才能驗證簽名，任何第三方都無法驗證簽名的有效性，根源就是指定驗證者也可以生成一個與簽名者不可區(qū)分的有效的模擬簽名，環(huán)簽名是指環(huán)中的某一成員代表環(huán)對一個消息進行簽名，簽名者希望驗證者確信自己是環(huán)中的成員，同時簽名者又希望驗證者不知道自己的身份，實現(xiàn)簽名的匿名性，本文方案將兩者結(jié)合起來，既實現(xiàn)了簽名者的身份隱匿性，又實現(xiàn)了任何外部第三方都無法驗證簽名的有效性，關聯(lián)是指針對一個具體的事件A，如果一個簽名者產(chǎn)生好幾個簽名，則可以知道這幾個簽名是一個簽名者生成的。

關鍵詞：指定驗證者;計算CDH問題;環(huán)簽名;關聯(lián)

1預備知識

1. 1雙線性對定義：k是一個安全參數(shù)，q是一個的素數(shù)，假設為q階循環(huán)加法群，生成元為P，為q階循環(huán)乘法群，雙線性映射滿足以下性質(zhì)。

1）雙線性性：有;

2）非退化性：存在使得;

3）計算性：存在算法可以計算

1.2 Computational Diffie-Hellman problem（簡稱CDH問題），在階數(shù)為q的循環(huán)加法群中，P是的一個生成元，對任意，計算，其中是未知的隨機數(shù)。

1.3 關聯(lián)是指針對一個具體事件A，如果一個簽名者產(chǎn)生了好幾個簽名，則我們可以知道這幾個簽名是由一個簽名者生成的。

2.指定驗證者的環(huán)簽名方案：

2.1系統(tǒng)參數(shù)設置：k是一個安全參數(shù)，是階為的加法循環(huán)群，P是的一個生成元，是階為q的乘法循環(huán)群。

是兩個安全的散列函數(shù)

定義雙線性映射，

隨機選擇作為系統(tǒng)主密鑰并秘密保存，計算并公開系統(tǒng)參數(shù)。

2.2為用戶生成私鑰：給定用戶身份，計算私鑰，利用安全信道發(fā)送給用戶，我們記公鑰。

2.3簽名生成：給定消息m，n個用戶的身份集為，輸入數(shù)組，其中真正的簽名者為s，指定驗證者為v，身份為Dv，真實簽名者用自己私鑰生成簽名如下，

計算，

隨機選擇，對所有的，隨機選擇。

計算，

簽名為

2.4簽名驗證：指定驗證者收到后，指定驗證者通過以下步驟驗證簽名：

計算

驗證簽名是否滿足驗證等式

若滿足，則接受簽名，若不滿足，則拒絕簽名。

2.5關聯(lián)驗證：輸入元組和，若和都為有效簽名，若，則兩個簽名關聯(lián)，否則，不關聯(lián)。

2.6模擬簽名：指定驗證者可以根據(jù)以下算法生成有效的模擬簽名：

計算，。

隨機選擇，對所有的，隨機選擇。

計算

。

3.安全性分析

3.1不可偽造性

計算 CDH問題，在階數(shù)為q的循環(huán)加法群中，P是的一個生成元，對任意，計算，其中是未知的隨機數(shù)。

證明：挑戰(zhàn)者收到一個問題，對于未知的，計算。挑戰(zhàn)者隨機選擇，并設置系統(tǒng)主密鑰，定義前面提到的兩個哈希函數(shù)。挑戰(zhàn)者將作為為系統(tǒng)參數(shù)返回給敵手，在這里我們規(guī)定所有的查詢都是不同的。

查詢：挑戰(zhàn)者定義一個形式為的空白表格，其中，當敵手查詢時，挑戰(zhàn)者隨機選擇一個并將的值給敵手，將記錄到。

查詢：挑戰(zhàn)者定義一個形式為的空白表格，當敵手查詢時，挑戰(zhàn)者隨機選擇一個，令并將的值返還給敵手，將記錄到。

秘鑰查詢：我們規(guī)定簽名者身份為，驗證者的身份為，挑戰(zhàn)者定義一個形式為的空白表格，敵手對身份的密鑰查詢時，

若或時，挑戰(zhàn)者中止游戲，

否則挑戰(zhàn)者隨機選擇，并計算的值給敵手，然后將記錄到中，并將記錄到中。

簽名查詢：敵手提供一個數(shù)組并詢問挑戰(zhàn)者。

1）如果或者，則挑中止游戲。

2）若或者，挑戰(zhàn)者運行簽名算法輸出一個簽名σ最終敵手成功偽造了一個有效簽名，如果，挑戰(zhàn)者中止游戲，否則挑戰(zhàn)者查詢查找到，因為敵手已經(jīng)成功偽造一個簽名，因此它必須輸入正確的值查詢隨機預示器，然后輸入相同的和其他相同的內(nèi)容，挑戰(zhàn)者再利用敵手查詢，這兩次查詢不同之處在于挑戰(zhàn)者回答第二次查詢，在查詢之前，所有的查詢回復都是一樣的，的查詢會有一個新的，隨后的查詢的結(jié)果也是從中隨機選擇一個數(shù)，和第一次查詢結(jié)果不同。

根據(jù)分叉引理，挑戰(zhàn)者獲得了另一個簽名

3.2不可傳遞性

指定驗證者可以通過模擬簽名產(chǎn)生對消息m的一個有效簽名σ'，σ'與本文方案環(huán)中成員產(chǎn)生的簽名σ不可區(qū)分，所以本文方案滿足不可傳遞性。

證明：計算，。

隨機選擇，對所有的，隨機選擇。

計算：，

簽名為。

3.3簽名者的身份隱匿性

本方案中對于給定的簽名σ，即使第三方知道環(huán)中所有成員的私鑰和指定驗證者私鑰也不能判斷出簽名是由生成的還是生成的，σ和σ'是由簽名者和指定驗證者生成的，任何外部第三方不能區(qū)分σ和σ'是由環(huán)中成員生成的還是指定驗證者生成的，第三方猜對真實簽名者身份的概率不會大于，因此，簽名者的身份是隱匿的。

參考文獻：

[1]趙洋，岳峰，熊虎，秦志光.一種強指定驗證者環(huán)簽名方案和簽密體制[J].信息網(wǎng)絡安全，2015（10）：8-13

[2]杜紅珍，溫巧燕.無證書強指定驗證者多重簽名[J].通信學報，2016（6）：21-28

[3]許芷巖，吳黎兵，李莉，何德彪.新的無證書廣義指定驗證者聚合簽名方案[J].通信學報，2017（11）：220-1-220-8

2411501705265