關(guān)聯(lián)的指定驗(yàn)證者環(huán)簽名方案

邵建鑫

摘 要：指定驗(yàn)證者簽名是一類特殊的數(shù)字簽名，在指定驗(yàn)證者簽名中，只有指定的驗(yàn)證者才能驗(yàn)證簽名，任何第三方都無法驗(yàn)證簽名的有效性，根源就是指定驗(yàn)證者也可以生成一個(gè)與簽名者不可區(qū)分的有效的模擬簽名，環(huán)簽名是指環(huán)中的某一成員代表環(huán)對(duì)一個(gè)消息進(jìn)行簽名，簽名者希望驗(yàn)證者確信自己是環(huán)中的成員，同時(shí)簽名者又希望驗(yàn)證者不知道自己的身份，實(shí)現(xiàn)簽名的匿名性，本文方案將兩者結(jié)合起來，既實(shí)現(xiàn)了簽名者的身份隱匿性，又實(shí)現(xiàn)了任何外部第三方都無法驗(yàn)證簽名的有效性，關(guān)聯(lián)是指針對(duì)一個(gè)具體的事件A，如果一個(gè)簽名者產(chǎn)生好幾個(gè)簽名，則可以知道這幾個(gè)簽名是一個(gè)簽名者生成的。

關(guān)鍵詞：指定驗(yàn)證者;計(jì)算CDH問題;環(huán)簽名;關(guān)聯(lián)

1預(yù)備知識(shí)

1. 1雙線性對(duì)定義：k是一個(gè)安全參數(shù)，q是一個(gè)的素?cái)?shù)，假設(shè)為q階循環(huán)加法群，生成元為P，為q階循環(huán)乘法群，雙線性映射滿足以下性質(zhì)。

1）雙線性性：有;

2）非退化性：存在使得;

3）計(jì)算性：存在算法可以計(jì)算

1.2 Computational Diffie-Hellman problem（簡(jiǎn)稱CDH問題），在階數(shù)為q的循環(huán)加法群中，P是的一個(gè)生成元，對(duì)任意，計(jì)算，其中是未知的隨機(jī)數(shù)。

1.3 關(guān)聯(lián)是指針對(duì)一個(gè)具體事件A，如果一個(gè)簽名者產(chǎn)生了好幾個(gè)簽名，則我們可以知道這幾個(gè)簽名是由一個(gè)簽名者生成的。

2.指定驗(yàn)證者的環(huán)簽名方案：

2.1系統(tǒng)參數(shù)設(shè)置：k是一個(gè)安全參數(shù)，是階為的加法循環(huán)群，P是的一個(gè)生成元，是階為q的乘法循環(huán)群。

是兩個(gè)安全的散列函數(shù)

定義雙線性映射，

隨機(jī)選擇作為系統(tǒng)主密鑰并秘密保存，計(jì)算并公開系統(tǒng)參數(shù)。

2.2為用戶生成私鑰：給定用戶身份，計(jì)算私鑰，利用安全信道發(fā)送給用戶，我們記公鑰。

2.3簽名生成：給定消息m，n個(gè)用戶的身份集為，輸入數(shù)組，其中真正的簽名者為s，指定驗(yàn)證者為v，身份為Dv，真實(shí)簽名者用自己私鑰生成簽名如下，

計(jì)算，

隨機(jī)選擇，對(duì)所有的，隨機(jī)選擇。

計(jì)算，

簽名為

2.4簽名驗(yàn)證：指定驗(yàn)證者收到后，指定驗(yàn)證者通過以下步驟驗(yàn)證簽名：

計(jì)算

驗(yàn)證簽名是否滿足驗(yàn)證等式

若滿足，則接受簽名，若不滿足，則拒絕簽名。

2.5關(guān)聯(lián)驗(yàn)證：輸入元組和，若和都為有效簽名，若，則兩個(gè)簽名關(guān)聯(lián)，否則，不關(guān)聯(lián)。

2.6模擬簽名：指定驗(yàn)證者可以根據(jù)以下算法生成有效的模擬簽名：

計(jì)算，。

隨機(jī)選擇，對(duì)所有的，隨機(jī)選擇。

計(jì)算

。

3.安全性分析

3.1不可偽造性

計(jì)算 CDH問題，在階數(shù)為q的循環(huán)加法群中，P是的一個(gè)生成元，對(duì)任意，計(jì)算，其中是未知的隨機(jī)數(shù)。

證明：挑戰(zhàn)者收到一個(gè)問題，對(duì)于未知的，計(jì)算。挑戰(zhàn)者隨機(jī)選擇，并設(shè)置系統(tǒng)主密鑰，定義前面提到的兩個(gè)哈希函數(shù)。挑戰(zhàn)者將作為為系統(tǒng)參數(shù)返回給敵手，在這里我們規(guī)定所有的查詢都是不同的。

查詢：挑戰(zhàn)者定義一個(gè)形式為的空白表格，其中，當(dāng)敵手查詢時(shí)，挑戰(zhàn)者隨機(jī)選擇一個(gè)并將的值給敵手，將記錄到。

查詢：挑戰(zhàn)者定義一個(gè)形式為的空白表格，當(dāng)敵手查詢時(shí)，挑戰(zhàn)者隨機(jī)選擇一個(gè)，令并將的值返還給敵手，將記錄到。

秘鑰查詢：我們規(guī)定簽名者身份為，驗(yàn)證者的身份為，挑戰(zhàn)者定義一個(gè)形式為的空白表格，敵手對(duì)身份的密鑰查詢時(shí)，

若或時(shí)，挑戰(zhàn)者中止游戲，

否則挑戰(zhàn)者隨機(jī)選擇，并計(jì)算的值給敵手，然后將記錄到中，并將記錄到中。

簽名查詢：敵手提供一個(gè)數(shù)組并詢問挑戰(zhàn)者。

1）如果或者，則挑中止游戲。

2）若或者，挑戰(zhàn)者運(yùn)行簽名算法輸出一個(gè)簽名σ最終敵手成功偽造了一個(gè)有效簽名，如果，挑戰(zhàn)者中止游戲，否則挑戰(zhàn)者查詢查找到，因?yàn)閿呈忠呀?jīng)成功偽造一個(gè)簽名，因此它必須輸入正確的值查詢隨機(jī)預(yù)示器，然后輸入相同的和其他相同的內(nèi)容，挑戰(zhàn)者再利用敵手查詢，這兩次查詢不同之處在于挑戰(zhàn)者回答第二次查詢，在查詢之前，所有的查詢回復(fù)都是一樣的，的查詢會(huì)有一個(gè)新的，隨后的查詢的結(jié)果也是從中隨機(jī)選擇一個(gè)數(shù)，和第一次查詢結(jié)果不同。

根據(jù)分叉引理，挑戰(zhàn)者獲得了另一個(gè)簽名

3.2不可傳遞性

指定驗(yàn)證者可以通過模擬簽名產(chǎn)生對(duì)消息m的一個(gè)有效簽名σ'，σ'與本文方案環(huán)中成員產(chǎn)生的簽名σ不可區(qū)分，所以本文方案滿足不可傳遞性。

證明：計(jì)算，。

隨機(jī)選擇，對(duì)所有的，隨機(jī)選擇。

計(jì)算：，

簽名為。

3.3簽名者的身份隱匿性

本方案中對(duì)于給定的簽名σ，即使第三方知道環(huán)中所有成員的私鑰和指定驗(yàn)證者私鑰也不能判斷出簽名是由生成的還是生成的，σ和σ'是由簽名者和指定驗(yàn)證者生成的，任何外部第三方不能區(qū)分σ和σ'是由環(huán)中成員生成的還是指定驗(yàn)證者生成的，第三方猜對(duì)真實(shí)簽名者身份的概率不會(huì)大于，因此，簽名者的身份是隱匿的。

參考文獻(xiàn)：

[1]趙洋，岳峰，熊虎，秦志光.一種強(qiáng)指定驗(yàn)證者環(huán)簽名方案和簽密體制[J].信息網(wǎng)絡(luò)安全，2015（10）：8-13

[2]杜紅珍，溫巧燕.無證書強(qiáng)指定驗(yàn)證者多重簽名[J].通信學(xué)報(bào)，2016（6）：21-28

[3]許芷巖，吳黎兵，李莉，何德彪.新的無證書廣義指定驗(yàn)證者聚合簽名方案[J].通信學(xué)報(bào)，2017（11）：220-1-220-8

2411501705265