無證書的廣義指定多個驗證者簽名體制

摘 要：提出了無證書的廣義指定多個驗證者的簽名體制，將指定單個驗證者簽名方案擴展到了指定多個驗證者的簽名方案。該方案滿足所有無證書體制下指定驗證者簽名所要滿足的安全要求，它的不可偽造性依賴于BDH假設，并且在隨機預言模型下證明了該方案能夠抵抗適應性選擇消息和身份攻擊。

關鍵詞：無證書簽名；廣義指定多個驗證者簽名；BDH假設

中圖分類號：TP309.08文獻標志碼：A

文章編號：1001-3695(2009)06-2158-04

doi:10.3969/j.issn.1001-3695.2009.06.048

Certificateless universal designated multi-verifiers signature scheme

HAN Ya-ning，WANG Cai-fen

(College of Mathematic Information Science， Northwest Normal University， Lanzhou 730070， China)

Abstract:This paper proposed certificateless universal designated multi-verifier signature schemes ， expended a single verifier to a set of multi- verifiers. This scheme satisfied all the requirements of the universal designated verifier signature in the certificateless system. Its security relied on the BDH assumption ， and proved under the random oracle model this scheme can resist the adaptively select of message and identity attack.

Key words:certificateless signature；universal designated multi-verifier signature；BDH assumption

在傳統的基于證書的公鑰密碼體制中，用戶公鑰被使用之前必須先驗證其公鑰證書的有效性。因此系統要花費很多的空間和時間去存儲和驗證每個用戶的公鑰以及證書的有效性。1984年，Shamir^[1]第一次提出了基于身份的公鑰密碼體制(ID-PKC)，簡化了證書系統中的證書管理和驗證等工作。在基于身份的密碼體制中用戶的公鑰就是用戶的身份信息，用戶的私鑰由密鑰生成中心(KGC)根據用戶的身份產生，并通過安全信道傳送給用戶。

在基于身份的公鑰密碼系統中KGC完全知道用戶的私鑰，所以只適用于小的、具有比較低的安全要求的系統中。而且在ID-PKC中惡意的KGC可以任意地偽造用戶的解密或簽名，這就是ID-PKC固有的缺陷：密鑰托管問題。為了解決這個問題AL-Riyami等人^[2]在2003年第一次提出了無證書的密碼體制(CL-PKC)。這種密碼體制結合了傳統公鑰密碼體制和基于身份密碼體制的優勢，既不存在證書管理問題又不存在密鑰托管問題。在CL-PKC中KGC只為用戶產生部分私鑰，用戶自己再選擇一個秘密值，由此兩者共同產生用戶私鑰。最近有許多關于無證書簽名體制被提出，如文獻[3]。

廣義指定驗證者的簽名體制(UDVS)由Steinfeld等人^[4]在2003年提出，它是一種保護簽名者隱私的重要方法。一個UDVS體制是一種標準的公開驗證密碼體制，但是它有著特殊的功能——允許簽名的持有者去指定簽名的驗證者(利用驗證者的公鑰)，只有指定的驗證者才能夠驗證簽名是否有效但他并不能向其他人證明這一事實，因為他同樣可以產生此簽名。自從UDVS提出以后有很多的研究成果。Bang Fang-guo等人^[5]在2005年第一次提出了基于身份的廣義指定驗證者簽名，并在隨機預言模型下證明了它的安全性。同年Zhang Rui等人^[6]提出了標準模型下的短簽名和廣義指定驗證者簽名，并在隨機預言模型下證明了其安全性。2006年Huang Xin-Yi等人^[7]第一次提出了無證書的指定驗證者簽名，相比基于身份的簽名解決了密鑰托管問題，并且在隨機預言模型下證明了它的安全性。同年Vergnaud^[8]提出了對廣義指定驗證者簽名的一種擴展。2007年Ming Yang等人^[9]第一次提出了一種無證書的廣義指定驗證者簽名體制，避免了文獻[5]中存在的密鑰托管問題，在隨機預言模型下證明了其安全性，并且與文獻[5]的方案作了效率上的比較。2008年Seo等人^[10]第一次提出了基于身份的廣義指定多個驗證者的簽名體制，它將單個驗證者簽名擴展到了多個驗證者簽名，允許指定的多個驗證者驗證簽名的有效性，文中同樣證明了它的安全性。

本文在文獻[9]的基礎上提出了一種無證書廣義指定多個驗證者簽名(CL-UDMVS)，將文獻[9]中提出的指定驗證者簽名擴展到了指定多個驗證者簽名，并在隨機預言模型下證明了本文提出的方案可以抵抗適應性選擇消息和身份攻擊。方案的安全模型為Zhang Zhen-feng等人^[11]提出的無證書安全模型。本文的方案滿足無證書體制下廣義指定驗證者簽名所要滿足的所有要求。

1 基礎知識

1.1 雙線性對

令G1為由P生成的階為q的循環加法群，G2為具有相同階q的循環乘法群，a，b∈Zp。假設G1和G2兩個群中的離散對數問題都是困難問題。雙線性對是指滿足下列性質的一個映射e:G1×G1→G2。

a)雙線性性。對所有的P，Q∈G1，e(aP，bQ)=e(P，Q)ab。

b)非退化性。存在P，Q∈G1，使得e(P，Q)≠1。

c)可計算性。對所有的P，Q∈G1，存在有效的算法計算e(P，Q)。

這樣的對可以通過有限域上的超奇異橢圓曲線或超奇異橢圓曲線中的Weil對或Tate對來實現。

1.2 困難問題

設群G1，G2，群中生成元P，雙線性映射e均如上所定義。

雙線性Diffie-Hellman問題(BDH)：已知aP、bP、cP，其中a，b，c∈Zq，計算e(p，p)abc。

2 無證書廣義指定多個驗證者簽名體制

2.1 無證書廣義指定多個驗證者簽名模型

無證書廣義指定多個驗證者簽名體制(CL-UDMVS)涉及簽名者、驗證者、簽名的持有者、n個簽名的指定驗證者，共包括以下九種算法：

a)系統初始化。由KGC完成是一個概率多項式時間算法。輸入安全參數K’輸出系統主密鑰s和系統參數Π。s只有KGC知道，Π公開。

b)部分私鑰提取。由KGC完成是一個確定性算法。輸入系統參數Π、主密鑰s和用戶身份IDi，輸出用戶的部分私鑰DIDi并以安全的方式傳送給用戶。

c)用戶選擇秘密值。由用戶自己完成是一個概率多項式時間的算法。輸入s、用戶身份IDi，輸出用戶的秘密值xIDi。

d)生成用戶私鑰。由用戶完成是一個概率多項式時間的算法。輸入Π、用戶部分私鑰DIDi、用戶秘密值xIDi，輸出用戶的私鑰SIDi。

e)生成用戶公鑰。這個算法由用戶完成，是一個確定性算法。輸入Π、用戶身份IDi、用戶秘密值xIDi，輸出用戶公鑰PIDi。

f)簽名。由簽名者S完成是一個概率多項式時間的算法。輸入Π、簽名者私鑰SIDs、身份IDs和消息m，輸出對消息m的簽名σ。

g)驗證。這是公開驗證算法，是一個確定性算法。輸入Π、簽名者的身份信息IDs、簽名者的公鑰PIDs和消息簽名對(m，σ)，輸出接受或拒絕。

h)廣義指定多個驗證者簽名。由簽名的持有者完成是一個確定性算法。輸入Π，簽名者的身份信息IDs、簽名者的公鑰PIDs、消息簽名對(m，σ)、指定驗證者的身份信息DV={IDV1，IDV2，…，IDVn}和公鑰{PIDv1，PIDv2，…，PIDvn}，輸出m的一個指定多個驗證者簽名。

i)廣義指定多個驗證者驗證。由多個驗證者完成是一個確定性算法。輸入Π、簽名者的身份信息IDs、簽名者的公鑰PIDs、指定驗證者的身份信息DV={IDV1，IDV2，…，IDVn}、驗證者的私鑰{SIDv1，SIDv2，…，SIDvn}、消息m以及指定多個驗證者簽名，輸出接受或拒絕。

2.2 安全模型

一個無證書廣義指定多個驗證者簽名和指定單個驗證者簽名一樣要滿足以下安全性質：

a)可計算性，也就是簽名的正確性。

b)不可傳遞性，就是說簽名的n個驗證者雖然可以驗證簽名的有效性，但是他們不能向其他人證明此事。

c)在適應性選擇消息和身份攻擊下不可偽造。

本文的方案基于文獻[11]中提出的無證書安全模型，共存在兩類攻擊者AⅠ和AⅡ：類型Ⅰ敵手不能訪問主密鑰，但能替換任何實體的公鑰。類型Ⅱ敵手AⅡ：能夠訪問主密鑰，但不能替換公鑰。

定義1 當一個無證書廣義指定多個驗證者簽名體制能夠抵抗上述兩類攻擊者時就稱它在適應性選擇消息和身份攻擊下是不可偽造的。

3 本文的無證書廣義指定多個驗證者簽名體制

本文的無證書廣義指定多個驗證者簽名體制基于Ming-Yang在文獻[9]中提到的無證書廣義指定驗證者簽名體制。

a)系統初始化。產生系統參數和主密鑰，KGC進行如下操作：

(a)生成系統參數(G1，G2，q，e)。其中G1和G2是同素數階q的兩個循環群，e是雙線性對e:G1×G1→G2。

(b)隨機選取群G1的一個生成元P∈G1。

(c)隨機選取s∈Zq，并計算Ppub=sP。

(d)選取兩個密碼哈希函數，即H1：{0，1}→G1；H2:G1×{0，1}→Zq。

系統公開參數位Π={G1，G2，e，q，P，Ppub，H1，H2}和主密鑰s由KGC保管。

b)部分私鑰提取。當一個身份為IDi∈{IDS，IDV1，…，IDVn}的用戶想要得到他的部分私鑰時，KGC計算QIDi=H1(IDi)，DIDi=sQIDi，用戶的部分私鑰DIDi通過安全信道傳送給用戶IDi，用戶可以通過e(DIDi，P)=e(QIDi，PPub)來驗證DIDi的正確性。

c)用戶選擇秘密值。用戶選取xi∈Zq作為其秘密值，i∈{IDS，IDV1，…，IDVn}。

d)產生用戶私鑰。用戶IDi∈{IDS，IDV1，…，IDVn}計算他的私鑰Si=xi Di=xisQi，i∈{IDV1，IDV1，…，IDVn}。

e)產生用戶公鑰。用戶計算自己的公鑰Pi=(Xi，Yi)，其中Xi=xiP，Yi=xisP，i∈{IDS，IDV1，…，IDVn}。

f)簽名(sign(SIDs，m))。為了對一個消息m簽名，簽名者S進行如下操作：

(a)計算U=rQIDs，r∈Zq，h=H2(U‖m)。

(b)計算V=(r+h)SIDs。

(c)輸出對m的簽名σ=(U，V)。

g)驗證(PV(Π，m，σ))。驗證m的簽名σ=(U，V)要進行如下操作。其中簽名者的公鑰為PIDs=(XIDs，YIDs)。

(a)首先驗證用戶公鑰，e(XIDs，PPub)=e(YIDs，P)。如果等式成立則繼續，否則停止。

(b)計算h=H2(U‖m)。

(c)驗證e(P，V)=e(YIDs，hQIDs+U)，如果等式成立則接受簽名，否則拒絕。

h)廣義指定多個驗證者簽名。給定簽名者的公鑰PIDs=(XIDs，YIDs)，n個指定驗證者公鑰PIDvi=(XIDvi，YIDi)和一個消息簽名對(m，σ=(U，V))計算

V^=e(V，ni=1XIDvi)。其中XIDvi=xIDviP，消息m的無證書廣義指定多個驗證者簽名就是=(U，V^)。

i)廣義指定多個驗證者驗證。給定簽名者的公鑰PIDs=(XIDs，YIDs)、消息簽名對(m，=(U，V^))、n個驗證者的私鑰SIDvi=(XIDvi，YIDvi)，i=1，…，n。每個驗證者進行如下操作：

（a）首先驗證原始簽名者的公鑰e(XIDs，PPub)=e(YIDs，P)，如果成立則繼續下面的工作，否則停止。

(b)計算h=H2(U‖m)。

(c)計算ei=e(U+hQIDs，xIDviYIDs)。

(d)利用sign(SIDvi，ei)產生簽名σi，發送(ei，σi)給其他n-1個指定的驗證者。

(e)利用PV(Π，ei，σi)來驗證σi的有效性，只要這n個簽名中有一個是無效的就停止并輸出拒絕，否則繼續。

f)驗證。V^=ni=1ei=ni=1e(U+hQIDs，xIDviYIDs)，如果成立則接受這個無證書廣義指定多個驗證者簽名，否則拒絕。

4 安全性分析

4.1 正確性分析

驗證公鑰的正確性：

e(XIDs，PPub)=e(xIDs，P，PPub)=e(xIDs，sP，P)=e(YIDs，P)

公開驗證的正確性：

e(P，V)=e(P，(r+h)SIDs)=e(sxIDsP，(r+h)QIDs)=e(YIDs，rQIDs+hQIDs)=e(YIDs，U+hQIDs)

廣義指定多個驗證人驗證的正確性：

ni=1ei=ni=1e(U+hQIDs，xIDviYIDs)=ni=1e(U+hQIDs，xIDvixIDssP)=ni=1e((rDIDs+hDIDs)xIDs，XIDvi)

=e((r+h)SIDs，ni=1XIDvi=e(V，ni=1XIDvi)=V^

4.2 不可傳遞性

定理1 本文的無證書簽名體制(CL-UDMVS)是不可傳遞的。

證明 本文的簽名體制滿足不可傳遞性是因為指定的多個驗證者{IDV1，IDV2，…，IDVn}能夠模擬出接收到的簽名=(U，V^)。比如，指定的多個驗證者要模擬對m′簽名，則：

a)隨機選擇r′∈Zq，并且計算U′=r′QIDs。

b)對于給定的U′和m′，每個指定的驗證者計算ei=e(U′+h′QIDs，xIDviYIDs)。其中h′=H2(m′‖U′)。

c)計算V^′=ni=1ei，輸出對m′的無證書廣義指定驗證者簽名′=(U′，V^′)。

顯然消息簽名對(m′，′)可以通過無證書廣義指定多個驗證者驗證并且與原始簽名者對m′的無證書廣義指定驗證者簽名無法區分。所以本文的簽名體制滿足不可傳遞性。

4.3 不可偽造性

定理2 假設BDH問題是困難性問題，在隨機預言模型下，提出的方案可以抵抗類型Ⅰ敵手AⅠ的偽造攻擊。

證明 假設存在一個敵手AⅠ以一定的概率優勢攻破本方案，要構造一個算法B利用AⅠ來求解BDH問題。B接收到一個BDH實例(aP，bP，cP)。其中a，b，c∈R Zq，P∈G1。B的目的是在與AⅠ的交互過程中將aP、bP、cP作為某些詢問的結果給AⅠ，最后計算出e(P，P)abc。B設置PPub=bP，IDV∈{IDV1，…，IDV2}，b是系統主密鑰(AⅠ不知道，B也不知道)，B將所有系統參數給AⅠ。為了不發生沖突，B保存三個表：LH1={ID，h1}用來保存H1詢問的結果，LH2={m，U，h}用來保存H2詢問的結果，LK={ID，PID，xID}用來保存用戶的公鑰及秘密值，這三個表在初始時均為空。AⅠ與B進行如下的詢問應答(假設在進行其他詢問之前都進行了H1詢問):

a）對隨機預言機H1的詢問。假設AⅠ最多進行qH1次H1詢問。AⅠ提交身份信息IDi給B則B在LH1中查找，如果存在(IDi，h1)直接回復h1P給AⅠ，否則B隨機選擇k∈[1，qH1)，當i=k時（此時IDi=IDS，假設AⅠ的目標身份為IDS）B令QIDs=H1(IDs)=aP，否則B隨機選擇h1∈Zq回復h1P給AⅠ，并將(IDi，h1)添加到LH1中。

b）對隨機預言機H2的詢問。當AⅠ詢問H2(mi，Ui)時，B先在LH2中查找(mi，Ui，h)，如果存在，B回復h給AⅠ；否則B隨機選擇h∈Zq，將h給AⅠ并將(m，Ui，h)添加到LH2中。c）部分私鑰詢問。當AⅠ詢問IDi的部分私鑰DIDi時，如果IDi=IDS， B停止，否則B在LH1中找出（IDi，h1）并回復h1PPub給AⅠ。

d)公鑰詢問。假設AⅠ最多進行qPk次公鑰詢問，當AⅠ詢問IDi的公鑰時，B首先在LK中查找（IDi，PIDi，xIDi），如果存在就將PIDi=〈XIDi，YIDi〉給AⅠ，否則B隨機選擇j∈[1，qPk)。若i=j（此時IDi=IDV），B回復〈XIDv=cP，⊥〉給AⅠ并將(IDV，〈cP，⊥〉，⊥）添加到LK中；若i≠j，B隨機選擇xIDi∈Zq回復PIDi=〈xIDiP，xIDiPPub〉給AⅠ并將(IDi，PIDi，xIDi)添加到LK中。

e）私鑰詢問。當AⅠ詢問IDi的私鑰時，若IDi=IDS或IDi=IDV則B停止，否則B先在LH1中查找(IDi，h1)，然后在LK中查找是否存在(IDi，PIDi，xIDi)。是則回復SIDi=xIDih1PPub=xIDiDIDi給AⅠ，否則B隨機選擇xIDi∈Zq并回復SIDi=xIDih1PPub給AⅠ，將(IDi，PIDi，xIDi)添加到LK中。

f）公鑰替換詢問。在任何時候對于身份信息為IDi的用戶i，攻擊者AⅠ均可以重新選擇一個秘密值x并計算新的公鑰(xP，xPPub)來代替其原有的公鑰，且AⅠ將(x，〈X，Y〉，IDi)提交給B，B保存這個記錄以備以后使用。

g）簽名詢問。AⅠ詢問IDS對消息m的簽名時，B進行如下操作：

(a)隨機選取h，z∈Zq；

(b)計算U=zP-hQIDs； 

(c)計算V=zYIDs。

將(m，U，h)添加到LH2中并將(U，V)作為m的簽名返回給AⅠ，很明顯(U，V)能夠通過驗證。最終AⅠ輸出IDS對消息m的無證書廣義指定多個驗證者的簽名σS=(US，V^S)，簽名的驗證者為{IDV1，IDV2，…，IDVn}。若簽名者不是IDS，B停止；若IDS對消息m進行過簽名詢問，B也停止。根據分叉引理^[12]，B可以利用AⅠ得到關于m的兩個簽名σ′S=(US，V^′S)和σS=(US，V^′S)滿足，h′≠h。B計算（B不知道c即 xIDv）:

V^S/[e(U+hQIDs，YIDsni=1，i≠vxIDi)]=

e(U+hQIDs，xIDvYIDs)V^′S/[e(U+h′QIDs，YIDsni=1，i≠vxIDi)]=e(U+h′QIDs，xIDvYIDs)×e(U+hQIDs，xIDvYIDs)/

[e(U+h′QIDs，xIDvYIDs)]=

e((h-h′)QIDs，xIDvYIDs)

e((h-h′)×QIDs，xIDvYIDs)(h-h′)-1xIDs-1

=e(QIDs，xIDvYIDs)xIDs-1=e(aP，cxIDsbP)xIDs-1=e(P，P)abc

由此B利用AⅠ解決了BDH問題，這與BDH問題是困難性問題相矛盾，所以本文的簽名體制可以抵抗AⅠ的攻擊。

定理3 假設BDH問題是困難性問題，在隨機預言模型下，提出的方案可以抵抗類型Ⅱ敵手AⅡ的偽造攻擊。

證明 AⅡ可以訪問主密鑰但不能進行公鑰替換。假設AⅡ能夠攻破本方案，因此要構造一個算法B，利用AⅡ來解決BDH問題。B接收到一個BDH實例(aP，bP，cP)。其中a，b，c∈R Zq，P∈G1。B的目的在于AⅡ的交互過程中將aP、bP、cP作為某些詢問的結果給AⅡ，最后計算出e(P，P)abc。系統主密鑰為s，PPub=sP，IDV∈{IDV1，…，IDVn}，B將系統參數給AⅡ。為了不發生沖突，B保存三個表：LH1={ID，h1}用來保存H1詢問的結果，LH2={m，U，h}用來保存H2詢問的結果，LK={ID，PID，xID}用來保存用戶的公鑰及秘密值，這三個表在初始時都為空。AⅡ與B進行如下的詢問應答（假設在進行其他詢問之前都進行了H1詢問）：對隨機預言機H1、H2的詢問以及私鑰詢問與簽名詢問都同定理2中的完全一樣，不同的是以下的公鑰詢問：

假設AⅡ最多進行qPk次公鑰詢問，當AⅡ詢問IDi的公鑰時B首先在LK中尋找(IDi，PIDi，xIDi)。如果存在就將PIDi=(XIDi，YIDi)給AⅡ，否則若IDi=IDS，B回復PIDs=〈XIDs，YIDs〉=〈bP，sbP〉給AⅡ；若IDi≠IDS，B隨機選擇j∈[1，qPk)。若i=j(此時IDi=IDV)，B回復PIDs=〈XIDv，YIDv〉=〈cP，scP〉給AⅡ；若i≠j，B隨機選擇xIDi∈Zq回復PIDi=〈xIDiP，xIDiPPub〉給AⅡ，并將（IDi，PIDi，xIDi）添加到LK中。

最后AⅡ輸出IDS對消息m的無證書廣義指定多個驗證者的簽名σS=(US，V^S)，簽名的驗證者為{IDV1，IDV2，…，IDVn}。若簽名者不是IDS，B停止，若IDS對消息m進行過簽名詢問，B也停止。根據分叉引理^[12]，B可以利用AⅠ得到關于m的兩個簽名σ′S=(US，V^S)和σS=(US，V^S)，滿足h′≠h。B計算（B不知道c即xIDv）:

V^S/[e(U+hQIDs，YIDsni=1，i≠vxIDi)]=

e(U+hQIDs，xIDvYIDs)V^′S/[e(U+h′QIDs，YIDsni=1，i≠vxIDi)]=e(U+h′QIDs，xIDvYIDs)×e(U+hQIDs，xIDvYIDs)/[e(U+h′QIDs，xIDvYIDs)]=e((h-h′)QIDs，xIDvYIDs)

e((h-h′)×

QIDs，xIDvYIDs)(h-h′)-1s-1

=e(QIDs，xIDvYIDs)s-1

=e(aP，csbP)s-1=e(P，P)abc

由此B利用AⅡ解決了BDH問題，這與BDH問題是困難性問題相矛盾，所以本文的簽名體制可以抵抗AⅡ的攻擊。

5 效率分析

從計算復雜性方面分析比較本文提出的方案和文獻[10]的方案，并將結果總結在表1中，表1中的相關符號定義如下：Pa表示雙線性對操作，Pm表示G1上的標量乘，Ad表示G1上的點加操作，MuG2表示G2上的乘操作，H表示哈希函數。下面的分析中在考慮廣義指定多個驗證者驗證時只考慮了一個指定驗證者的計算復雜性。

從表1中可以看出，在簽名階段本文的方案要優于文獻[10]的方案，在驗證和廣義指定多個驗證者驗證階段本文的方案比文獻[10]中的方案多了雙線性對運算，但是本文的方案解決了文獻[10]中方

案存在的密鑰托管問題。所以從總體上講，本文的方案要優于文獻[10]中的方案。

表1 本文的方案與文獻[10]中的方案的計算復雜性比較

方案簽名驗證 廣義指定多個驗證者簽名廣義指定多個驗證者驗證 文獻[10]方案3Pm+H+Ad2Pa+H+Pm+AdPa+(n-1)Ad3Pa+3H+3Ad+(n-1)MuG2+5Pm

本文的方案2Pm+H

4Pa+H+Pm+AdPa+(n-1)Ad7Pa+3H+2Ad+(n-1)MuG2+4Pm

6結束語

為了能夠讓多個指定的驗證者驗證簽名的有效性，本文提出了無證書廣義指定多個驗證者簽名體制，在無證書體制下允許簽名的持有者（不僅僅是原始簽名者）指定簽名的多個驗證者（利用驗證者的公鑰）。這種簽名體制在實際中有著重要的用途，它滿足指定驗證者簽名所要滿足的全部安全性要求，基于BDH假設證明了它在隨機預言模型下是不可偽造的。

參考文獻：

［1］SHAMIR A. Identity-based cryptosystems and signature schemes[C]//Proc of CRYTO’84.Berlin:Springer-Verlag，1984:47-53.

[2]AL-RIYAMI S， PATERSON K G.Certificateless public key cryptography[C]//Proc of ASIACR YFT’03.Berlin:Springer-Verlag， 2003:452-473.

[3]明洋，王育民.有效的無證書簽名方案[J].電子科技大學學報，2008，37(2):175-177.

[4]STEINFELD R， BULL L， WANG H，et al.Universal designnated-verifier signatures[C]//Proc of ASIACRYPT’03.Berlin:Springer-Verlag，2003:523-542.

[5]BANG Fang-guo，SUSILO W， MU Y，et al.Identity-based universal designated verifier signatures[C]//Proc of IFIP International Confe-rence on Embedded and Ubiquitous Computing.Berlin: Springer-Verlag，2005:825-834.

[6]ZHANG R， FURUKAWA J， IMAI H.Short signature and universal designated verifier signature without random oracles[C]//Proc of Applied Cryptography and Network Security.Berlin:Springer-Verlag，2005:483-498.

[7]HUANG Xin-yi，WILL Y S，MU Yi，et al.Certificateless designated verifier signature schemes [C]//Proc of the 20th International Conference on Advanced Information Networking and Applications (AINA’06).Piscataway:IEEE Press，2006:15-19.

[8]VERGNAUD D.New extensions of pairing-based sgnatures into universal(multi) designated verifier signatures[C]//Proc of ICALP’06.Berlin:Springer-Verlag，2006.

[9]MING Yang， SHEN Xiao-qin， WANG Yu-min. Certificateless universal designated verifier signature schemes[J].The Journal of China Universities of Posts and Telecommunications，2007，14(3):85-90.

[10]SEO S H，LEE D H.Identity-based universal designated multi-verifiers signature schemes[J].Computer Standards Interfaces，2008，30（5）:288-295.

[11]ZHANG Zhen-feng ， WONG DUNCAN S ， XU Jing，et al.Certificateless public-key signature:security model and efficient construction[C]//Proc of the 4thInternational Conference on Applied Cryptography and Network Security (ACNS’06).Berlin:Springer-Verlag，2006:293-308.

[12]POINTCHEVAL D，STERN J.Security proofs for signature schemes[C]//MAURER U M.Proc ofEUR OCRYPT.1996:387-398.