基于身份的门限环签名方法

摘要

一种基于身份的门限环签名方法，包括标准模型下的(1)系统建立、(2)私钥提取、(3)签名：(4)验证。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

主权项

一种基于身份的门限环签名方法，其特征在于：包括以下步骤：(1)系统建立：随机选取参数，生成系统参数以及相应的主密钥，其中系统参数为公开参数，具体步骤为：令G,G_T是阶为素数p的循环群，e:G×G→G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a，随机选取参数g₂,u',m'∈G，n_u维向量n_m维向量其中u_i,m_i∈G，则系统参数为$\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\prime },\hat{U},m^{\prime },\hat{M},H_u,H_m),$主密钥为$\mathrm{msk}=g_2^a;$(2)私钥提取：输入系统参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；随机选取参数r_u∈Z_p，计算用户身份为ID的私钥$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\alpha }{\left(u^{\prime }\underset{i\in {\Phi }_{\mathrm{ID}}}{\Pi }{u}_i\right)}^{r_u},g^{r_u})$(3)签名：给定门限环签名中n个成员的集合L＝{ID₁,...,ID_n}，设实际进行签名的t个签名者的身份下标为{1,2,...,t}，待签名消息为m，签名的具体步骤为：每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t‑1的多项式f_i(x)＝a_i,0+a_i,1x+...+a_i,t‑1x^t‑1，令s_i＝a_i,0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i,j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1,2,..,t；j≠i)，自己保留s_i,i＝f_i(i)；签名者ID_j(j≠i)从ID_i那里得到秘密分享s_i,j后，通过等式验证其有效性；当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密$x_i=\underset{j=1}{\overset{t}{\Sigma }}{s}_{j,i};$进行下列步骤获得门限环签名：对于i∈{1,2,...,t}，每个签名者ID_i首先通过私钥提取算法获得其私钥d_ID＝(d₁,d₂)，并通过哈希函数M＝H_m(L,m,t)计算得到代表消息的长度为n_m的位串，定义位串中数值为1的序号集合为M，然后使用其私钥计算部分门限环签名并把部分门限环签名(σ_i1,σ_i2,σ_i3)发送给t个签名者中任一用以产生门限环签名的签名者；门限环签名产生者随机选取参数r₁,...,r_n∈Z_p，计算以及门限环签名$\sigma =(\underset{i=1}{\overset{t}{\Pi }}{\sigma }_{i1}\left(\underset{i=1}{\overset{n}{\Pi }}{\left(U_i\right)}^{r_i}\right),{\sigma }_{12}{g}^{r_1},...,{\sigma }_{t2}{g}^{r_t},g^{r_{t+1}},...,g^{r_n},\underset{i=1}{\overset{t}{\Pi }}{\sigma }_{i3},\underset{i=1}{\overset{t}{\Sigma }}{f}_i\left(x\right)),$最后获得在消息m和成员集合L下的门限环签名σ＝(V,R₁,...,R_n,R_m,f)，其中R₁,...,R_n代表R_m代表f为(4)验证：当收到门限环签名σ＝(V,R₁,...,R_n,R_m,f)后，签名验证者首先检验多项式f的次数是否为t‑1，并计算等式R_m＝g^f(0)是否成立；验证上述等式成立后，签名验证者对等式$e(V,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)···e(U_n,R_n)e(m^{\prime }\underset{l\in M}{\Pi }{m}_l,R_m)$进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。