基于身份的门限环签名方法

摘要

一种基于身份的门限环签名方法，包括标准模型下的(1)系统建立、(2)私钥提取、(3)签名：(4)验证。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

主权项

1.一种基于身份的门限环签名方法，其特征在于：包括以下步骤：(1)系统建立：随机选取参数，生成系统参数以及相应的主密钥，其中系统参数为公开参数，具体步骤为：令G，G_T是阶为素数p的循环群，e：G×G →G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂，u′，m′∈G，n_u维向量n_m维向量其中u_i，m_i∈_RG，则系统参数为$\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\prime },\hat{U},m^{\prime },\hat{M},H_u,H_m),$主密钥为(2)私钥提取：输入系统参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；随机选取参数r_u∈Z_p，计算用户身份为ID的私钥$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\alpha }{\left(u^{\prime }\underset{i\in {\Phi }_{\mathrm{ID}}}{\Pi }{u}_i\right)}^{r_u},g^{r_u})$(3)签名：给定门限环签名中n个成员的集合L＝{ID₁，...，ID_n}，设实际进行签名的t个签名者的身份下标为{1，2，...，t}，待签名消息为m，签名的具体步骤为：每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t-1的多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x_t-1。令s_i＝a_i，0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i，j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)；签名者ID_j(j≠i)ID_j从ID_i那里得到秘密分享s_i，j后，通过等式验证其有效性；当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密$x_i=\underset{j=1}{\overset{t}{\Sigma }}{s}_{j,i}.$该门限环签名产生者随机选取参数r₁，...，r_n∈Z_p，计算i＝1，...，n以及门限环签名$\sigma =(\underset{i=1}{\overset{t}{\Pi }}{\sigma }_{i1}\left(\underset{i=1}{\overset{n}{\Pi }}{\left(U_i\right)}^{r_i}\right),{\sigma }_{12}{g}^{r_1},...,{\sigma }_{12}{g}^{r_i},g^{r_{i+1}},...,g^{r_n},\underset{i=1}{\overset{t}{\Pi }}{\sigma }_{i3},\underset{i=1}{\overset{t}{\Sigma }}{f}_i\left(x\right)),$最后获得在消息m和成员集合L下的门限环签名σ＝(V，R₁，...，R_n，R_m，f)，其中R₁，...，R_n代表R_m代表f为(4)验证：当收到门限环签名σ＝(V，R₁，...，R_n，R_m，f)后，签名验证者首先检验多项式f的次数是否为t-1，并计算等式R_m＝g^f(0)是否成立。验证上述等式成立后，签名验证者对等式$e(V,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\prime }\underset{l\in M}{\Pi }{m}_l,R_m)$进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。