關聯的指定驗證者環簽名方案

邵建鑫

摘 要：指定驗證者簽名是一類特殊的數字簽名，在指定驗證者簽名中，只有指定的驗證者才能驗證簽名，任何第三方都無法驗證簽名的有效性，根源就是指定驗證者也可以生成一個與簽名者不可區分的有效的模擬簽名，環簽名是指環中的某一成員代表環對一個消息進行簽名，簽名者希望驗證者確信自己是環中的成員，同時簽名者又希望驗證者不知道自己的身份，實現簽名的匿名性，本文方案將兩者結合起來，既實現了簽名者的身份隱匿性，又實現了任何外部第三方都無法驗證簽名的有效性，關聯是指針對一個具體的事件A，如果一個簽名者產生好幾個簽名，則可以知道這幾個簽名是一個簽名者生成的。

關鍵詞：指定驗證者;計算CDH問題;環簽名;關聯

1預備知識

1. 1雙線性對定義：k是一個安全參數，q是一個的素數，假設為q階循環加法群，生成元為P，為q階循環乘法群，雙線性映射滿足以下性質。

1）雙線性性：有;

2）非退化性：存在使得;

3）計算性：存在算法可以計算

1.2 Computational Diffie-Hellman problem（簡稱CDH問題），在階數為q的循環加法群中，P是的一個生成元，對任意，計算，其中是未知的隨機數。

1.3 關聯是指針對一個具體事件A，如果一個簽名者產生了好幾個簽名，則我們可以知道這幾個簽名是由一個簽名者生成的。

2.指定驗證者的環簽名方案：

2.1系統參數設置：k是一個安全參數，是階為的加法循環群，P是的一個生成元，是階為q的乘法循環群。

是兩個安全的散列函數

定義雙線性映射，

隨機選擇作為系統主密鑰并秘密保存，計算并公開系統參數。

2.2為用戶生成私鑰：給定用戶身份，計算私鑰，利用安全信道發送給用戶，我們記公鑰。

2.3簽名生成：給定消息m，n個用戶的身份集為，輸入數組，其中真正的簽名者為s，指定驗證者為v，身份為Dv，真實簽名者用自己私鑰生成簽名如下，

計算，

隨機選擇，對所有的，隨機選擇。

計算，

簽名為

2.4簽名驗證：指定驗證者收到后，指定驗證者通過以下步驟驗證簽名：

計算

驗證簽名是否滿足驗證等式

若滿足，則接受簽名，若不滿足，則拒絕簽名。

2.5關聯驗證：輸入元組和，若和都為有效簽名，若，則兩個簽名關聯，否則，不關聯。

2.6模擬簽名：指定驗證者可以根據以下算法生成有效的模擬簽名：

計算，。

隨機選擇，對所有的，隨機選擇。

計算

。

3.安全性分析

3.1不可偽造性

計算 CDH問題，在階數為q的循環加法群中，P是的一個生成元，對任意，計算，其中是未知的隨機數。

證明：挑戰者收到一個問題，對于未知的，計算。挑戰者隨機選擇，并設置系統主密鑰，定義前面提到的兩個哈希函數。挑戰者將作為為系統參數返回給敵手，在這里我們規定所有的查詢都是不同的。

查詢：挑戰者定義一個形式為的空白表格，其中，當敵手查詢時，挑戰者隨機選擇一個并將的值給敵手，將記錄到。

查詢：挑戰者定義一個形式為的空白表格，當敵手查詢時，挑戰者隨機選擇一個，令并將的值返還給敵手，將記錄到。

秘鑰查詢：我們規定簽名者身份為，驗證者的身份為，挑戰者定義一個形式為的空白表格，敵手對身份的密鑰查詢時，

若或時，挑戰者中止游戲，

否則挑戰者隨機選擇，并計算的值給敵手，然后將記錄到中，并將記錄到中。

簽名查詢：敵手提供一個數組并詢問挑戰者。

1）如果或者，則挑中止游戲。

2）若或者，挑戰者運行簽名算法輸出一個簽名σ最終敵手成功偽造了一個有效簽名，如果，挑戰者中止游戲，否則挑戰者查詢查找到，因為敵手已經成功偽造一個簽名，因此它必須輸入正確的值查詢隨機預示器，然后輸入相同的和其他相同的內容，挑戰者再利用敵手查詢，這兩次查詢不同之處在于挑戰者回答第二次查詢，在查詢之前，所有的查詢回復都是一樣的，的查詢會有一個新的，隨后的查詢的結果也是從中隨機選擇一個數，和第一次查詢結果不同。

根據分叉引理，挑戰者獲得了另一個簽名

3.2不可傳遞性

指定驗證者可以通過模擬簽名產生對消息m的一個有效簽名σ'，σ'與本文方案環中成員產生的簽名σ不可區分，所以本文方案滿足不可傳遞性。

證明：計算，。

隨機選擇，對所有的，隨機選擇。

計算：，

簽名為。

3.3簽名者的身份隱匿性

本方案中對于給定的簽名σ，即使第三方知道環中所有成員的私鑰和指定驗證者私鑰也不能判斷出簽名是由生成的還是生成的，σ和σ'是由簽名者和指定驗證者生成的，任何外部第三方不能區分σ和σ'是由環中成員生成的還是指定驗證者生成的，第三方猜對真實簽名者身份的概率不會大于，因此，簽名者的身份是隱匿的。

參考文獻：

[1]趙洋，岳峰，熊虎，秦志光.一種強指定驗證者環簽名方案和簽密體制[J].信息網絡安全，2015（10）：8-13

[2]杜紅珍，溫巧燕.無證書強指定驗證者多重簽名[J].通信學報，2016（6）：21-28

[3]許芷巖，吳黎兵，李莉，何德彪.新的無證書廣義指定驗證者聚合簽名方案[J].通信學報，2017（11）：220-1-220-8

2411501705265