CN102684885B - 基于身份的门限环签名方法 - Google Patents

Abstract

一种基于身份的门限环签名方法，包括标准模型下的(1)***建立、(2)私钥提取、(3)签名：(4)验证。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

Description

基于身份的门限环签名方法

技术领域

本发明涉及一种环签名方法，尤其是一种基于身份的门限环签名方法。

背景技术

在传统公钥密码体制中，一个重要的问题是公钥的真实性。一般来说，为了在现实世界中应用公钥密码算法，需要有一种机制能够随时验证某公钥与某主体身份之间的联系。通常采用的办法是建立公钥基础设施，通过其认证中心发布的公钥数字证书将公钥与用户的身份捆绑在一起。在这类基于公钥数字证书的***中，在使用用户的公钥之前，人们需要获取该用户的公钥数字证书并验证其证书的正确性和合法性。这就需要较大的存储空间来存储不同用户的公钥证书，也需要较多的时间开销来验证用户的公钥证书。这是传统的公钥密码体制难以克服的缺点。

为了解决传统公钥密码体制中庞大的公钥证书存储和验证开销问题，1984年Shamir创造性地提出了基于身份的公钥密码学思想。在基于身份的公钥密码体制中，用户的公钥可以是能够标识用户身份的信息，如E-mail、身份证号码等，用户的私钥则由可信第三方根据用户的身份信息产生。基于身份的密码体制使得任意两个用户都可以安全通信，用户的公钥和用户身份自然地绑定在一起，不需要公钥证书，也不必使用在线的第三方，只需一个可信的密钥发行中心为每个第一次接入***的用户发行一个私钥就行。它解决了传统公钥密码学难以克服的缺点，并且由于其自身特点也使它拥有了广阔的应用领域。

数字签名技术能提供完整性、认证性和不可否认性等功能，是现代密码学的重要研究内容，也是保证信息安全的关键技术之一。随着对数字签名研究的不断深入，同时也由于电子商务、电子政务的快速发展，人们发现普通数字签名已不能完全满足实际应用需要。例如，有些场合人们需要委托别人代表自己在一些文件上签名，有些场合要求签名人在对文件签名的同时却不能知晓文件的具体内容，还有些场合要求只有指定的验证人才能验证数字签名的正确性等。针对这种在实际应用中遇到的情况，研究人员结合各种环境的具体要求，提出了一些具有附加性质和特殊功能的数字签名形式。但到目前为止，很多方案并不成熟，而且一些新型应用领域所需的特殊签名方案尚不具备或不完备，一方面要求人们对已提出方案在效率和安全性等方面进行优化和提高，提出安全性更好、效率更高的方案，另一方面要求人们研究一些新的特殊签名形式用以满足新的应用需要。

双线性对是研究代数几何的重要工具，也是构造基于身份的密码体制的重要工具，在密码学领域扮演着非常重要的角色。本发明通过使用双线性对和秘密分享技术，从而实现基于身份的门限环签名方案的构造。另外，对于基于身份的公钥密码***而言，目前比较好用的证明方法是随机预言机模型。然而对于基于随机预言模型的安全性证明，需要假设在公钥密码体制中使用的密码杂凑函数具有随机预言机的安全性质，可是随机预言模型下的安全密码方案在实际环境中不一定是安全的，而基于标准模型的安全性证明，其唯一依赖于公钥密码体制所包含陷门单向函数的困难性。因此，构造标准模型下基于身份的门限环签名方案不仅对特殊数字签名的理论与应用研究具有重大的现实意义，同时也存在着很大的研究空间。

有鉴于此，特提出本发明。

发明内容

本发明要解决的技术问题在于克服现有技术的不足，提供一种与随机预言模型下设计的方案更具安全性的基于身份的门限环签名方法。

为解决上述技术问题，本发明采用技术方案的基本构思是：

一种基于身份的门限环签名方法，其特征在于：包括以下步骤：

(1)***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为：

令G,G_T是阶为素数p的循环群，e:G×G→G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a，随机选取参数g₂,u',m'∈G，n_u维向量n_m维向量其中u_i,m_i∈G，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为 $\mathrm{msk}=g_2^a;$

(2)私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u})$

(3)签名：给定门限环签名中n个成员的集合L＝{ID₁,...,ID_n}，设实际进行签名的t个签名者的身份下标为{1,2,...,t}，待签名消息为m，签名的具体步骤为：

每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t-1的多项式f_i(x)＝a_i,0+a_i,1x+...+a_i,t-1x^t-1。令s_i＝a_i,0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i,j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1,2,..,t；j≠i)，自己保留s_i,i＝f_i(i)；

签名者ID_j(j≠i)从ID_i那里得到秘密分享s_i,j后，通过等式验证其有效性；

当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密 $x_i=\underset{j=1}{\overset{t}{\mathrm{\Σ}}}{s}_{j,t}.$

门限环签名产生者随机选取参数r₁,...,r_n∈Z_p，计算以及门限环签名 $\mathrm{\σ}=(\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i1}\left(\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{r_i}\right),{\mathrm{\σ}}_{12}{g}^{r_1},...,{\mathrm{\σ}}_{t2}{g}^{r_t},g^{r_{t+1}},...,g^{r_n},\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i3},\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{f}_i\left(x\right)),$ 最后获得在消息m和成员集合L下的门限环签名σ＝(V,R₁,...,R_n,R_m,f)，其中R₁,...,R_n代表R_m代表f为

(4)验证：当收到门限环签名σ＝(V,R₁,...,R_n,R_m,f)后，签名验证者首先检验多项式f的次数是否为t-1，并计算等式R_m＝g^f(0)是否成立。

验证上述等式成立后，签名验证者对等式 $e(V,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)\·\·\·e(U_n,R_n)e(m^{\′}\underset{l\∈M}{\mathrm{\Π}}{m}_l,R_m)$ 进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。

优选的，在步骤(3)签名中获得私有秘密后进行下列步骤获得门限环签名：

对于i∈{1,2,...,t}，每个签名者ID_i首先通过私钥提取算法获得其私钥d_ID＝(d₁,d₂)，并通过哈希函数M＝H_m(L,m,t)计算得到代表消息的长度为n_m的位串，定义位串中数值为1的序号集合为M，然后使用其私钥计算部分门限环签名并把部分门限环签名(σ_i1,σ_i2,σ_i3)发送给t个签名者中任一用以产生门限环签名的签名者。

采用上述技术方案后，本发明与现有技术相比具有以下有益效果：本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

下面结合附图对本发明的具体实施方式作进一步详细的描述。

附图说明

图1是本发明的基本流程图；

图2是从伪造门限环签名到求解CDH问题的规约。

具体实施方式

如图1所示,本发明是一种基于身份的门限环签名方法，包括以下步骤：

一种基于身份的门限环签名方法，包括以下步骤：

S1、***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为：

令G,G_T是阶为素数p的循环群，e:G×G→G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂,u',m'∈G，n_u维向量n_m维向量其中u_i,m_i∈G，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为 $\mathrm{msk}=g_2^a.$

S2、私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u})$

S3、签名：给定门限环签名中n个成员的集合L＝{ID₁,...,ID_n}，设实际进行签名的t个签名者的身份下标为{1,2,...,t}，待签名消息为m，签名的具体步骤为：

每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t-1的多项式f_i(x)＝a_i,0+a_i,1x+...+a_i,t-1x^t-1。令s_i＝a_i,0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i,j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1,2,..,t；j≠i)，自己保留s_i,i＝f_i(i)；

签名者ID_j(j≠i)从ID_i那里得到秘密分享s_i,j后，通过等式验证其有效性；

当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密 $x_i=\underset{j=1}{\overset{t}{\mathrm{\Σ}}}{s}_{j,t}.$

门限环签名产生者随机选取参数r₁,...,r_n∈Z_p，计算以及门限环签名 $\mathrm{\σ}=(\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i1}\left(\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{r_i}\right),{\mathrm{\σ}}_{12}{g}^{r_1},...,{\mathrm{\σ}}_{t2}{g}^{r_t},g^{r_{t+1}},...,g^{r_n},\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i3},\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{f}_i\left(x\right)),$ 最后获得在消息m和成员集合L下的门限环签名σ＝(V,R₁,...,R_n,R_m,f)，其中R₁,...,R_n代表R_m代表f为

S4、验证：当收到门限环签名σ＝(V,R₁,...,R_n,R_m,f)后，签名验证者首先检验多项式f的次数是否为t-1，并计算等式R_m＝g^f(0)是否成立。

验证上述等式成立后，签名验证者对等式 $e(V,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)\·\·\·e(U_n,R_n)e(m^{\′}\underset{l\∈M}{\mathrm{\Π}}{m}_l,R_m)$ 进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。

优选的，在步骤S3签名中获得私有秘密后进行下列步骤获得门限环签名：

对于i∈{1,2,...,t}，每个签名者ID_i首先通过私钥提取算法获得其私钥d_ID＝(d₁,d₂)，并通过哈希函数M＝H_m(L,m,t)计算得到代表消息的长度为n_m的位串，定义位串中数值为1的序号集合为M，然后使用其私钥计算部分门限环签名并把部分门限环签名(σ_i1,σ_i2,σ_i3)发送给t个签名者中任一用以产生门限环签名的签名者。

本发明的存在不可伪造性安全性证明如图2所示，具体实施步骤为：

1.假设伪造者A能以不可忽略的优势攻击本方案，则能够构造算法B，B可以利用A解决CDH问题。给定B一个CDH问题的实例(g,g^a,g^b)，其目标是计算出g^ab，B模仿A的挑战者。

2.算法B设定l_u＝2(q_e+q_s)、l_m＝2q_s，其中q_e是A私钥询问的次数，q_s是A签名询问的次数。随机选择k_u和k_m，满足0≤k_u≤n_u和0≤k_m≤n_m，并假定l_u(n_u+1)＜p和l_m(n_m+1)＜p。B选择及长度为n_u的向量X＝(x_i)，其中；选择及长度为n_m的向量Z＝(z_k)，其中最后B选择y',w'∈_RZ_p，长度为n_u的向量Y＝(y_i)，长度为n_m的向量W＝(w_i)，其中y_i,w_i∈_RZ_p。对于L中的成员身份ID和消息m的位串u＝H_u(ID)和M＝H_m(L,m,t)，定义以下几个函数：

$F\left(\mathrm{ID}\right)=x^{\′}+\underset{i\∈\mathrm{\Φ}}{\mathrm{\Σ}}{x}_i-l_u{k}_u,J\left(\mathrm{ID}\right)=y^{\′}+\underset{i\∈\mathrm{\Φ}}{\mathrm{\Σ}}{y}_i.$

$K\left(M\right)=z^{\′}+\underset{i\∈M}{\mathrm{\Σ}}{z}_i-l_m{k}_m,L\left(M\right)=w^{\′}+\underset{i\∈M}{\mathrm{\Σ}}{w}_i$

算法B构造本发明方案中的公开参数如下：

g₁＝g^a，g₂＝g^b； $u^{\′}=g_2^{-l_u{k}_u+x^{\′}},u_i=g_2^{x_i}{g}^{y_i},$ 1≤i≤n_u； $m^{\′}=g_2^{-l_m{k}_m+z^{\′}},m_i=g_2^{z_i}{g}^{w_i},$ 1≤i≤n_m；然后算法B将公开参数发送给敌手A。

3.在询问阶段，当敌手A发起一定数量的询问时，算法B进行如下响应：

(1)私钥询问：当敌手A询问身份ID_u的私钥时，虽然算法B不知道主密钥，但假定F(ID_u)≠0mod p，B也能够构造其私钥B任选r_u∈Z_p并计算： $d_{{\mathrm{ID}}_u}=(d_{u1},d_{u2})=(g_1^{-J\left(\mathrm{ID}\right)/F\left(\mathrm{ID}\right)}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_u}{\mathrm{\Π}}{u}_i\right)}^{r_u},g_1^{-1/F\left(\mathrm{ID}\right)}{g}^{r_u}),$ 如果F(ID_u)＝0mod p，上面的计算将无法进行，B将失败退出。

(2)签名询问：当敌手A询问成员身份列表为L＝{ID₁,...,ID_n}，门限值为t(t＜n)，消息为m的门限环签名时，算法B首先计算M＝H_m(L,m,t)，然后按照如下步骤输出门限环签名：

①算法B随机选择s,a₀,a₁,...,a_t-1∈Z_p，构造次数为t-1的多项式f(x)＝a₀+a₁x+...+a_t-1x^t-1，其中s＝a₀。

②假定L中至少有t个ID_i(i＝1,...t)，满足F(ID_i)≠0mod p。令γ为F(ID_i)≠0mod p的i的集合，为方便起见，不妨设γ＝(1,...,t)。则算法B按照私钥询问中的方法构造它们的私钥，计算各签名者ID_i(i＝1,...t)的私有秘密x_i＝f(i)，然后利用签名算法生成相应的门限环签名。

③如果L中满足条件F(ID_i)≠0mod p的ID_i少于t个，那么算法B也可以像在私钥询问中构造私钥的方法那样构造一个门限环签名。假定K(M)≠0mod p，算法B随机选择r₁,...,r_n,r_m∈Z_p，计算：

$\mathrm{\σ}=(\left(\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{r_i}\right),g_1^{-\mathrm{tL}\left(M\right)/K\left(M\right)}{\left(m^{\′}\underset{k\∈M}{\mathrm{\Π}}{m}_k\right)}^{r_m},g^{r_1},...,g^{r_n},g_1^{-1/K\left(M\right)g^{r_m},f\left(x\right)}),$ 其中 ${\tilde{r}}_m=r_m-a/K\left(M\right).$ 如果K(M)＝0mod p，上面的计算将无法进行，B将失败退出。

4.在伪造阶段，敌手A输出在身份列表门限值t和消息m^*下的伪造门限环签名σ^*。如果在整个过程中算法B没有失败退出，那么算法B检查下列条件是否成立：

①对于所有的i∈(1,...,n)都成立；

②K(M^*)＝0mod p，其中M^*＝H_m(L,m^*,t)。

如果上述条件不同时成立，那么算法B将失败退出；否则，B可计算

${\left(\frac{V}{{R_1}^{J\left({\mathrm{ID}}_1^{*}\right)}\·\·\·{R_n}^{J\left({\mathrm{ID}}_n^{*}\right)}{R_m}^{L\left(M^{*}\right)}}\right)}^{1/t}={\left(\frac{g_2^{\mathrm{ta}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_1}{\mathrm{\Π}}{u}_i\right)}^{r_1}\·\·\·{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_n}{\mathrm{\Π}}{u}_i\right)}^{r_i}{\left(m^{\′}\underset{k\∈M}{\mathrm{\Π}}{m}_j\right)}^{r_m}}{g^{J\left({\mathrm{ID}}_1^{*}\right)r_1}\·\·\·g^{J\left({\mathrm{ID}}_n^{*}\right)r_n}{g}^{L\left(M^{*}\right)r_m}}\right)}^{1/t}={\left(g_2^{\mathrm{ta}}\right)}^{1/t}=g_2^a=g^{\mathrm{ab}}$

这就是CDH问题的解。

因此，如果存在一个敌手能够以不可忽略的概率伪造一个有效的门限环签名，那么就存在一个算法能够以不可忽略的概率解决CDH问题，而这与CDH问题是一个困难问题相矛盾，故方案满足适应性选择消息和身份攻击下的存在不可伪造性。

本发明的无条件匿名性安全性证明的具体实施步骤为：

1.本发明门限环签名σ中的多项式是由t个签名者随机选择而得到的，因此，签名者的私有秘密x_i是随机分布的。

2.门限环签名σ中R_t+1,...,R_n,R_m是随机生成的，没有提供实际签名者的任何信息。对于R_i(i＝1,...,t)而言，，其中是由私钥生成中心(与实际签名人独立)随机选择的，r_i是由签名者随机选择的，因而R_i(i＝1,...,t)的分布是随机的。

3.对于 $V=g_2^{\mathrm{ta}}{\left(U_1\right)}^{r_{{\mathrm{ID}}_1}+r_1}\·\·{\left(U_t\right)}^{r_{{\mathrm{ID}}_t}+r_t}{\left(U_{t+1}\right)}^{r_{t+1}}\·\·{\left(U_n\right)}^{r_n}{\left(m^{\′}\underset{l\∈M}{\mathrm{\Π}}{m}_l\right)}^{f\left(0\right)}$ 而言，其中是主密钥，指数部分都是随机的，因而无法提供有关实际签名人的任何信息。因此，即使敌手获得身份列表L中所有成员的私钥，它也无法以不可忽略的优势猜测出实际签名者的身份，故本发明中的门限环签名方案是无条件匿名的。

综上所述，依照本发明实现了在标准模型下构造可证明安全的基于身份门限环签名方案的新途径和新方法，并且通过方案安全性证明表明了方案的安全可靠性，该方法的实现不仅具有理论意义，同时也具有现实意义。

以上所述仅是本实用新型的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本实用新型原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本实用新型的保护范围。

Claims (1)

1.一种基于身份的门限环签名方法，其特征在于：包括以下步骤：

(1)***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为：

令G,G_T是阶为素数p的循环群，e:G×G→G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a，随机选取参数g₂,u',m'∈G，n_u维向量n_m维向量其中u_i,m_i∈G，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为 $\mathrm{msk}=g_2^a;$

(2)私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u})$

(3)签名：给定门限环签名中n个成员的集合L＝{ID₁,...,ID_n}，设实际进行签名的t个签名者的身份下标为{1,2,...,t}，待签名消息为m，签名的具体步骤为：

每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t-1的多项式f_i(x)＝a_i,0+a_i,1x+...+a_i,t-1x^t-1，令s_i＝a_i,0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i,j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1,2,..,t；j≠i)，自己保留s_i,i＝f_i(i)；

签名者ID_j(j≠i)从ID_i那里得到秘密分享s_i,j后，通过等式验证其有效性；

当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密 $x_i=\underset{j=1}{\overset{t}{\mathrm{\Σ}}}{s}_{j,i};$

进行下列步骤获得门限环签名：

对于i∈{1,2,...,t}，每个签名者ID_i首先通过私钥提取算法获得其私钥d_ID＝(d₁,d₂)，并通过哈希函数M＝H_m(L,m,t)计算得到代表消息的长度为n_m的位串，定义位串中数值为1的序号集合为M，然后使用其私钥计算部分门限环签名并把部分门限环签名(σ_i1,σ_i2,σ_i3)发送给t个签名者中任一用以产生门限环签名的签名者；

门限环签名产生者随机选取参数r₁,...,r_n∈Z_p，计算以及门限环签名 $\mathrm{\σ}=(\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i1}\left(\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{r_i}\right),{\mathrm{\σ}}_{12}{g}^{r_1},...,{\mathrm{\σ}}_{t2}{g}^{r_t},g^{r_{t+1}},...,g^{r_n},\underset{i=1}{\overset{t}{\mathrm{\Π}}}{\mathrm{\σ}}_{i3},\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{f}_i\left(x\right)),$ 最后获得在消息m和成员集合L下的门限环签名σ＝(V,R₁,...,R_n,R_m,f)，其中R₁,...,R_n代表R_m代表f为

(4)验证：当收到门限环签名σ＝(V,R₁,...,R_n,R_m,f)后，签名验证者首先检验多项式f的次数是否为t-1，并计算等式R_m＝g^f(0)是否成立；

验证上述等式成立后，签名验证者对等式 $e(V,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)\·\·\·e(U_n,R_n)e(m^{\′}\underset{l\∈M}{\mathrm{\Π}}{m}_l,R_m)$ 进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。