广义指定多个验证者有序多重签名方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
映 射 e:G1×G1 → G2, 哈 希 函 数 H:{0,1}*×G1×{0,1}*→ Zq* , H:{0,1}*→G1,公开 params 保密 s。
(2)计算用户私钥
PKG 计算 Qi = H1(IDi ) ,将 PRi = sQi 作为用户私钥,通 过秘密信道发送给用户 ui,其中, ui ∈ uS ∪ uV ∪{SH} 。
1 概述
多重签名(multi-signature)[1]是指多个签名者对同一个消 息的签名,有序多重签名(sequential multi-signature)是指多个 签名者以严格的次序进行签名的多重签名。文献[2]提出了无 随机预言模型下可证明安全的有序多重签名方案,文献[3]提 出了广义指定验证者签名(UDVS),文献[4]提出了基于身份的 广义指定多个验证者签名方案。指定验证者签名只允许指定 的验证者验证签名的有效性,但指定验证者不能向其他用户 证明这一事实[5],因为指定验证者可以利用自己的私钥和原 始签名者的公钥模拟该签名。
第 37 卷 第 5 期 Vol.37 No.5
·安全技术·
计算机工程 Computer Engineering
文章编号:1000—3428(2011)05—0149—03
文献标识码:A
2011 年 3 月 March 2011
中图分类号:TP393
广义指定多个验证者有序多重签名方案
张玉磊 a,戴小武 b,韩亚宁 a,王彩芬 a
(3)签名
ui 发送消息 m 给签名者 uS1,uS1 执行以下操作: 1) 随 机 选 取 r1 ∈ Zq* , 计 算 R1 = r1Q1 = r1H1(ID1) , 计 算 h1 = H (m || R1 || T ) ; 2)计算 S1 = (h1 + r1)PRS1 ,则 uS1 的签名为 (m, (S1, R1)) ; 3)uS1 发送签名消息 (m,(S1, R1)) 给签名者 uS2。 签名者 uSi(i≥2)收到 uSi-1 发送的签名消息 (m, (Si−1, R1,L , Ri−1)) ,执行以下操作: 1) 验 证 签 名 : 计 算 前 i-1 个 用 户 的 hi 值 , 其 中 ,
i−1
hj = H (m || Rj || T ) , 验 证 等 式 e(Si−1, P) = e( ∑ (hjQj + Rj ), PPub ) j=1
( i ≥ 2 ),如果成立,继续执行下一步;否则,拒绝签名; 2) 随 机 选 择 ri ∈ Zq* , 计 算 Ri = riQi = ri H1(IDi ) 、
i−1
e( ∑
(hj
+
rj
)sQSj ,
P)
=
i−1
e( ∑
(h j QSj
+
rjQS)j , sP)
=
j=1
j=1
i−1
e( ∑
(h j Q Sj
【Abstract】Universal designated multi-verifiers signature scheme allows a signature holder to designate the signature to a set of designated verifiers. Sequential multi-signature schemes can satisfy physical demanding which needs many signers to carry on the signature by the strict order. According to the above characteristics, this paper proposes an identity-based universal designated multi-verifiers sequential multi-signature scheme. The short signature is used to construct this new sequential multi-signature and the scheme’s security proof is provided under the random oracle model. Analysis results show that the scheme is extremely efficient and it can resist the adaptively select of message and identity attack. 【Key words】identity-based; sequential multi-signature; universal designated multi-verifiers signature; Bilinear Diffie-Hellman(BDH) problem DOI: 10.3969/j.issn.1000-3428.2011.05.050
150
计算机工程
2011 年 3 月 5 日
与者有消息发送者 ui、签名者 uS = {uS1,uS 2 ,L ,uSn} 、验证者 uV = {uV1,uV 2,L ,uVn} 、消息持有者 SH。该方案包括 6 个基本 算法:系统初始化算法,计算用户私钥算法,签名算法,公
开验证算法,广义指定多个验证者签名算法和广义指定多个
本文基于身份公钥密码体制提出了基于身份的广义指定 多个验证者有序多重签名方案,采用短签名的形式构造有序 多重签名。与文献[6]相比,本文方案具有较高的效率。同时, 笔者在随机预言模型下证明该方案满足广义指定验证签名的 不可传递性,并基于双线性 Diffie-Hellman 问题(BDH 问题), 证明其是不可伪造的,可抵抗适应性选择消息和身份攻击。
(1)可计算性:签名的正确性,无论是单个签名,还是广 义指定签名都可以通过验证算法。
(2)不可传递性:签名的 n 个验证者可以验证签名的有效 性,但不能向其他用户证明此事。指定的 n 个验证者,可利 用自己的私钥模拟最终签名。
(3)不可伪造性:在适应性选择消息和身份攻击下,方案 是不可伪造的。
(4)防止签名成员擅自交换签名顺序。
(西北师范大学 a. 数学与信息科学学院;b. 西北少数民族教育发wenku.baidu.com研究中心,兰州 730070)
摘 要:广义指定多个验证者签名允许签名持有者指定多个签名验证者,有序多重签名则可满足多个签名者以严格的次序进行签名的要求。 根据上述特性,提出一种基于身份的广义指定多个验证者有序多重签名方案,采用类短签名的形式构造签名,并在随机预言模型下证明方 案的安全性。分析结果表明,该方案具有较高的效率,可抵抗适应性选择消息和身份攻击。 关键词:基于身份;有序多重签名;广义指定多个验证者签名;双线性 Diffie-Hellman 问题
(5)广义指定多个验证者签名
若 签 名 持 有 者 SH 指 定 uV = {uV1,uV 2 ,L ,uVn} 为 多 个 验
∧
n
证者,则 SH 计算 Sn = e(Sn , ∑ QVi ) ,则消息 m 的基于身份
i=1
^
的 广 义 指 定 多 个 验 证 者 有 序 多 重 签 名 为 (m,(Sn , R1, R2,L ,
e(P,Q) 。
2.2 双线性 Diffie-Hellman 问题 已知存在 q 阶加法群和乘法群 G1 和 G2,P∈G1 是生成元,
e 为双线性映射。若 aP、bP、cP∈G1,其中,a、b、c∈Zq*, 则计算 e(P,P)abc 是困难的。
3 安全性要求
结合文献[4]和有序多重签名的安全需求[7],本文提出的 方案主要考虑以下安全性要求:
5.1 正确性
方案的正确性主要指各个验证等式是否成立。
(1) 每 个 签 名 者 uSi(i ≥ 2) 收 到 uSi-1 发 送 的 签 名 消 息 (m, (Si−1, R1,L , Ri−1)) ,验证 (m, (Si−1, R1,L , Ri−1)) 是否有效。
i−1
e(Si−1, P) = e( ∑ (hj + rj)PRSj , P) = j=1
hi = H (m || Ri || T ) 和 Si = Si−1 + (hi + ri )PRSi ; 3)将 签 名 消 息 (m,(Si , R1, R2,L , Ri )) 发 送 给 下 一 个 签 名 者
uSi+1。 最后 1 位签名者 uSn 得到签名消息 (m, (Sn , R1, R2,L , Rn ))
2 基础知识
2.1 双线性对 设 q 是大素数,G1 和 G2 是阶为 q 的加法循环群和乘法
循环群,P∈G1 是生成元。假设在群 G1、G2 中离散对数问题 难解,双线性对是映射 e:G1×G1→G2,满足以下性质:
(1)双线性:设 a、b∈Zq*,P、Q ∈ G1 ,e(aP,bQ) = e(P,Q)ab ; (2)非退化性:存在 P、Q ∈ G1 ,使 e(P,Q) ≠ 1 ; (3)可计算性:对所有的 P、Q ∈ G1 ,存在有效算法可计算
Rn )) , 并 将 签 名 顺 序 T 发 送 给 所 有 签 名 的 验 证 者
uV = {uV1,uV 2 ,L , uVn}。
(6)广义指定多个验证者验证
给定原始签名者公钥 QSj ( j = 1, 2,L , n) ,签名顺序 T,验
^
证 (m,(Sn , R1, R2,L , Rn )) 的有效性,每个指定验证者进行如下 操作:
4 基于身份的广义指定多个验证者有序多重签名
基于身份的广义指定多个验证者有序多重签名方案的参
基金项目:国家自然科学基金地区科学基金资助项目(61063041); 甘肃省高校研究生导师科研基金资助项目(1001-09);甘肃省科技计 划基金资助项目(1010RJZA022);西北师范大学青年教师科研能力提 升计划基金资助项目(NWNU-LKQN-10-22) 作者简介:张玉磊(1979-),男,讲师、硕士,主研方向:信息安全; 戴小武、韩亚宁,硕士;王彩芬,教授、博士、博士生导师 收稿日期:2010-09-10 E-mail:zylei79@163.com
后,将其作为消息 m 的有序多重签名输出。
(4)公开验证
计算 n 个用户的 hj 值,其中, hj = H (m || Rj || T ) 。验证
n
等式 e(Sn , P) = e(∑ (hjQj + Rj), PPub ) 是否成立,判断 (m, (Sn , R1, j=1
R2,L , Rn )) 的有效性。如果成立,则 uS1,uS 2,L ,uSn 对消息 m 的 签名有效,否则,签名无效。
n
1)计算hj = H(m || Rj || T), j ∈[1,n]和ei = e(∑ (hjQj + Rj ), PRVi ), j=1
并将 ei 发送给其他的 n-1 个指定验证者;
∧
n
2)验证 Sn = ∏ ei 是否成立,如果成立,接受该广义指定
i=1
多个验证者有序多重签名,否则,拒绝。
5 安全性分析
Universal Designated Multi-verifiers Sequential Multi-signature Scheme
ZHANG Yu-leia, DAI Xiao-wub, HAN Ya-ninga, WANG Cai-fena
(a. College of Mathematics and Information Science; b. Research Center for the Educational Development of Minority, Northwest Normal University, Lanzhou 730070, China)
验证者验证算法。
设签名顺序为 T = {IDS1 || IDS 2 ||L || IDSn} ,ui 预先将 T 发 送给每一个签名者。具体签名过程如下:
(1)系统初始化
PKG 输入 k,输出系统参数 params = {k, e, P, q,G1,G2, Ppub , H , H1} ,其中,Ppub=sP,s∈Zq*是系统主密钥,双线性
(2)计算用户私钥
PKG 计算 Qi = H1(IDi ) ,将 PRi = sQi 作为用户私钥,通 过秘密信道发送给用户 ui,其中, ui ∈ uS ∪ uV ∪{SH} 。
1 概述
多重签名(multi-signature)[1]是指多个签名者对同一个消 息的签名,有序多重签名(sequential multi-signature)是指多个 签名者以严格的次序进行签名的多重签名。文献[2]提出了无 随机预言模型下可证明安全的有序多重签名方案,文献[3]提 出了广义指定验证者签名(UDVS),文献[4]提出了基于身份的 广义指定多个验证者签名方案。指定验证者签名只允许指定 的验证者验证签名的有效性,但指定验证者不能向其他用户 证明这一事实[5],因为指定验证者可以利用自己的私钥和原 始签名者的公钥模拟该签名。
第 37 卷 第 5 期 Vol.37 No.5
·安全技术·
计算机工程 Computer Engineering
文章编号:1000—3428(2011)05—0149—03
文献标识码:A
2011 年 3 月 March 2011
中图分类号:TP393
广义指定多个验证者有序多重签名方案
张玉磊 a,戴小武 b,韩亚宁 a,王彩芬 a
(3)签名
ui 发送消息 m 给签名者 uS1,uS1 执行以下操作: 1) 随 机 选 取 r1 ∈ Zq* , 计 算 R1 = r1Q1 = r1H1(ID1) , 计 算 h1 = H (m || R1 || T ) ; 2)计算 S1 = (h1 + r1)PRS1 ,则 uS1 的签名为 (m, (S1, R1)) ; 3)uS1 发送签名消息 (m,(S1, R1)) 给签名者 uS2。 签名者 uSi(i≥2)收到 uSi-1 发送的签名消息 (m, (Si−1, R1,L , Ri−1)) ,执行以下操作: 1) 验 证 签 名 : 计 算 前 i-1 个 用 户 的 hi 值 , 其 中 ,
i−1
hj = H (m || Rj || T ) , 验 证 等 式 e(Si−1, P) = e( ∑ (hjQj + Rj ), PPub ) j=1
( i ≥ 2 ),如果成立,继续执行下一步;否则,拒绝签名; 2) 随 机 选 择 ri ∈ Zq* , 计 算 Ri = riQi = ri H1(IDi ) 、
i−1
e( ∑
(hj
+
rj
)sQSj ,
P)
=
i−1
e( ∑
(h j QSj
+
rjQS)j , sP)
=
j=1
j=1
i−1
e( ∑
(h j Q Sj
【Abstract】Universal designated multi-verifiers signature scheme allows a signature holder to designate the signature to a set of designated verifiers. Sequential multi-signature schemes can satisfy physical demanding which needs many signers to carry on the signature by the strict order. According to the above characteristics, this paper proposes an identity-based universal designated multi-verifiers sequential multi-signature scheme. The short signature is used to construct this new sequential multi-signature and the scheme’s security proof is provided under the random oracle model. Analysis results show that the scheme is extremely efficient and it can resist the adaptively select of message and identity attack. 【Key words】identity-based; sequential multi-signature; universal designated multi-verifiers signature; Bilinear Diffie-Hellman(BDH) problem DOI: 10.3969/j.issn.1000-3428.2011.05.050
150
计算机工程
2011 年 3 月 5 日
与者有消息发送者 ui、签名者 uS = {uS1,uS 2 ,L ,uSn} 、验证者 uV = {uV1,uV 2,L ,uVn} 、消息持有者 SH。该方案包括 6 个基本 算法:系统初始化算法,计算用户私钥算法,签名算法,公
开验证算法,广义指定多个验证者签名算法和广义指定多个
本文基于身份公钥密码体制提出了基于身份的广义指定 多个验证者有序多重签名方案,采用短签名的形式构造有序 多重签名。与文献[6]相比,本文方案具有较高的效率。同时, 笔者在随机预言模型下证明该方案满足广义指定验证签名的 不可传递性,并基于双线性 Diffie-Hellman 问题(BDH 问题), 证明其是不可伪造的,可抵抗适应性选择消息和身份攻击。
(1)可计算性:签名的正确性,无论是单个签名,还是广 义指定签名都可以通过验证算法。
(2)不可传递性:签名的 n 个验证者可以验证签名的有效 性,但不能向其他用户证明此事。指定的 n 个验证者,可利 用自己的私钥模拟最终签名。
(3)不可伪造性:在适应性选择消息和身份攻击下,方案 是不可伪造的。
(4)防止签名成员擅自交换签名顺序。
(西北师范大学 a. 数学与信息科学学院;b. 西北少数民族教育发wenku.baidu.com研究中心,兰州 730070)
摘 要:广义指定多个验证者签名允许签名持有者指定多个签名验证者,有序多重签名则可满足多个签名者以严格的次序进行签名的要求。 根据上述特性,提出一种基于身份的广义指定多个验证者有序多重签名方案,采用类短签名的形式构造签名,并在随机预言模型下证明方 案的安全性。分析结果表明,该方案具有较高的效率,可抵抗适应性选择消息和身份攻击。 关键词:基于身份;有序多重签名;广义指定多个验证者签名;双线性 Diffie-Hellman 问题
(5)广义指定多个验证者签名
若 签 名 持 有 者 SH 指 定 uV = {uV1,uV 2 ,L ,uVn} 为 多 个 验
∧
n
证者,则 SH 计算 Sn = e(Sn , ∑ QVi ) ,则消息 m 的基于身份
i=1
^
的 广 义 指 定 多 个 验 证 者 有 序 多 重 签 名 为 (m,(Sn , R1, R2,L ,
e(P,Q) 。
2.2 双线性 Diffie-Hellman 问题 已知存在 q 阶加法群和乘法群 G1 和 G2,P∈G1 是生成元,
e 为双线性映射。若 aP、bP、cP∈G1,其中,a、b、c∈Zq*, 则计算 e(P,P)abc 是困难的。
3 安全性要求
结合文献[4]和有序多重签名的安全需求[7],本文提出的 方案主要考虑以下安全性要求:
5.1 正确性
方案的正确性主要指各个验证等式是否成立。
(1) 每 个 签 名 者 uSi(i ≥ 2) 收 到 uSi-1 发 送 的 签 名 消 息 (m, (Si−1, R1,L , Ri−1)) ,验证 (m, (Si−1, R1,L , Ri−1)) 是否有效。
i−1
e(Si−1, P) = e( ∑ (hj + rj)PRSj , P) = j=1
hi = H (m || Ri || T ) 和 Si = Si−1 + (hi + ri )PRSi ; 3)将 签 名 消 息 (m,(Si , R1, R2,L , Ri )) 发 送 给 下 一 个 签 名 者
uSi+1。 最后 1 位签名者 uSn 得到签名消息 (m, (Sn , R1, R2,L , Rn ))
2 基础知识
2.1 双线性对 设 q 是大素数,G1 和 G2 是阶为 q 的加法循环群和乘法
循环群,P∈G1 是生成元。假设在群 G1、G2 中离散对数问题 难解,双线性对是映射 e:G1×G1→G2,满足以下性质:
(1)双线性:设 a、b∈Zq*,P、Q ∈ G1 ,e(aP,bQ) = e(P,Q)ab ; (2)非退化性:存在 P、Q ∈ G1 ,使 e(P,Q) ≠ 1 ; (3)可计算性:对所有的 P、Q ∈ G1 ,存在有效算法可计算
Rn )) , 并 将 签 名 顺 序 T 发 送 给 所 有 签 名 的 验 证 者
uV = {uV1,uV 2 ,L , uVn}。
(6)广义指定多个验证者验证
给定原始签名者公钥 QSj ( j = 1, 2,L , n) ,签名顺序 T,验
^
证 (m,(Sn , R1, R2,L , Rn )) 的有效性,每个指定验证者进行如下 操作:
4 基于身份的广义指定多个验证者有序多重签名
基于身份的广义指定多个验证者有序多重签名方案的参
基金项目:国家自然科学基金地区科学基金资助项目(61063041); 甘肃省高校研究生导师科研基金资助项目(1001-09);甘肃省科技计 划基金资助项目(1010RJZA022);西北师范大学青年教师科研能力提 升计划基金资助项目(NWNU-LKQN-10-22) 作者简介:张玉磊(1979-),男,讲师、硕士,主研方向:信息安全; 戴小武、韩亚宁,硕士;王彩芬,教授、博士、博士生导师 收稿日期:2010-09-10 E-mail:zylei79@163.com
后,将其作为消息 m 的有序多重签名输出。
(4)公开验证
计算 n 个用户的 hj 值,其中, hj = H (m || Rj || T ) 。验证
n
等式 e(Sn , P) = e(∑ (hjQj + Rj), PPub ) 是否成立,判断 (m, (Sn , R1, j=1
R2,L , Rn )) 的有效性。如果成立,则 uS1,uS 2,L ,uSn 对消息 m 的 签名有效,否则,签名无效。
n
1)计算hj = H(m || Rj || T), j ∈[1,n]和ei = e(∑ (hjQj + Rj ), PRVi ), j=1
并将 ei 发送给其他的 n-1 个指定验证者;
∧
n
2)验证 Sn = ∏ ei 是否成立,如果成立,接受该广义指定
i=1
多个验证者有序多重签名,否则,拒绝。
5 安全性分析
Universal Designated Multi-verifiers Sequential Multi-signature Scheme
ZHANG Yu-leia, DAI Xiao-wub, HAN Ya-ninga, WANG Cai-fena
(a. College of Mathematics and Information Science; b. Research Center for the Educational Development of Minority, Northwest Normal University, Lanzhou 730070, China)
验证者验证算法。
设签名顺序为 T = {IDS1 || IDS 2 ||L || IDSn} ,ui 预先将 T 发 送给每一个签名者。具体签名过程如下:
(1)系统初始化
PKG 输入 k,输出系统参数 params = {k, e, P, q,G1,G2, Ppub , H , H1} ,其中,Ppub=sP,s∈Zq*是系统主密钥,双线性