CN102684885B - 基于身份的门限环签名方法 - Google Patents
基于身份的门限环签名方法 Download PDFInfo
- Publication number
- CN102684885B CN102684885B CN201210165358.0A CN201210165358A CN102684885B CN 102684885 B CN102684885 B CN 102684885B CN 201210165358 A CN201210165358 A CN 201210165358A CN 102684885 B CN102684885 B CN 102684885B
- Authority
- CN
- China
- Prior art keywords
- thresholding
- signature
- signer
- identity
- sigma
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于身份的门限环签名方法,包括标准模型下的(1)***建立、(2)私钥提取、(3)签名:(4)验证。本发明的方法是在标准模型下构造的,与随机预言模型下设计的方案相比,安全性更好。
Description
技术领域
本发明涉及一种环签名方法,尤其是一种基于身份的门限环签名方法。
背景技术
在传统公钥密码体制中,一个重要的问题是公钥的真实性。一般来说,为了在现实世界中应用公钥密码算法,需要有一种机制能够随时验证某公钥与某主体身份之间的联系。通常采用的办法是建立公钥基础设施,通过其认证中心发布的公钥数字证书将公钥与用户的身份捆绑在一起。在这类基于公钥数字证书的***中,在使用用户的公钥之前,人们需要获取该用户的公钥数字证书并验证其证书的正确性和合法性。这就需要较大的存储空间来存储不同用户的公钥证书,也需要较多的时间开销来验证用户的公钥证书。这是传统的公钥密码体制难以克服的缺点。
为了解决传统公钥密码体制中庞大的公钥证书存储和验证开销问题,1984年Shamir创造性地提出了基于身份的公钥密码学思想。在基于身份的公钥密码体制中,用户的公钥可以是能够标识用户身份的信息,如E-mail、身份证号码等,用户的私钥则由可信第三方根据用户的身份信息产生。基于身份的密码体制使得任意两个用户都可以安全通信,用户的公钥和用户身份自然地绑定在一起,不需要公钥证书,也不必使用在线的第三方,只需一个可信的密钥发行中心为每个第一次接入***的用户发行一个私钥就行。它解决了传统公钥密码学难以克服的缺点,并且由于其自身特点也使它拥有了广阔的应用领域。
数字签名技术能提供完整性、认证性和不可否认性等功能,是现代密码学的重要研究内容,也是保证信息安全的关键技术之一。随着对数字签名研究的不断深入,同时也由于电子商务、电子政务的快速发展,人们发现普通数字签名已不能完全满足实际应用需要。例如,有些场合人们需要委托别人代表自己在一些文件上签名,有些场合要求签名人在对文件签名的同时却不能知晓文件的具体内容,还有些场合要求只有指定的验证人才能验证数字签名的正确性等。针对这种在实际应用中遇到的情况,研究人员结合各种环境的具体要求,提出了一些具有附加性质和特殊功能的数字签名形式。但到目前为止,很多方案并不成熟,而且一些新型应用领域所需的特殊签名方案尚不具备或不完备,一方面要求人们对已提出方案在效率和安全性等方面进行优化和提高,提出安全性更好、效率更高的方案,另一方面要求人们研究一些新的特殊签名形式用以满足新的应用需要。
双线性对是研究代数几何的重要工具,也是构造基于身份的密码体制的重要工具,在密码学领域扮演着非常重要的角色。本发明通过使用双线性对和秘密分享技术,从而实现基于身份的门限环签名方案的构造。另外,对于基于身份的公钥密码***而言,目前比较好用的证明方法是随机预言机模型。然而对于基于随机预言模型的安全性证明,需要假设在公钥密码体制中使用的密码杂凑函数具有随机预言机的安全性质,可是随机预言模型下的安全密码方案在实际环境中不一定是安全的,而基于标准模型的安全性证明,其唯一依赖于公钥密码体制所包含陷门单向函数的困难性。因此,构造标准模型下基于身份的门限环签名方案不仅对特殊数字签名的理论与应用研究具有重大的现实意义,同时也存在着很大的研究空间。
有鉴于此,特提出本发明。
发明内容
本发明要解决的技术问题在于克服现有技术的不足,提供一种与随机预言模型下设计的方案更具安全性的基于身份的门限环签名方法。
为解决上述技术问题,本发明采用技术方案的基本构思是:
一种基于身份的门限环签名方法,其特征在于:包括以下步骤:
(1)***建立:随机选取参数,生成***参数以及相应的主密钥,其中***参数为公开参数,具体步骤为:
令G,GT是阶为素数p的循环群,e:G×G→GT是一个双线性映射,两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为nu和nm的位串;
可信第三方随机选取参数α∈Zp,生成元g∈G,计算g1=ga,随机选取参数g2,u',m'∈G,nu维向量nm维向量其中ui,mi∈G,则***参数为 主密钥为
(2)私钥提取:输入***参数、主密钥和用户的身份,获得该用户身份的私钥,具体步骤为:
给定用户身份ID,通过哈希函数u=Hu(ID)计算得到代表用户身份的长度为nu的位串,令u[i]表示该位串中的第i位,定义位串中数值为1的序号集合ΦID;
随机选取参数ru∈Zp,计算用户身份为ID的私钥
(3)签名:给定门限环签名中n个成员的集合L={ID1,...,IDn},设实际进行签名的t个签名者的身份下标为{1,2,...,t},待签名消息为m,签名的具体步骤为:
每个签名者IDi随机选取si∈Zp为其子秘密,构造系数在Zp、次数为t-1的多项式fi(x)=ai,0+ai,1x+...+ai,t-1xt-1。令si=ai,0,IDi计算公开参数并向其它签名者广播,然后计算秘密分享si,j=fi(j),并将其发送给其它签名者IDj(j=1,2,..,t;j≠i),自己保留si,i=fi(i);
签名者IDj(j≠i)从IDi那里得到秘密分享si,j后,通过等式验证其有效性;
当确认秘密分享有效后,每个签名者IDi根据秘密分享计算其私有秘密
门限环签名产生者随机选取参数r1,...,rn∈Zp,计算以及门限环签名 最后获得在消息m和成员集合L下的门限环签名σ=(V,R1,...,Rn,Rm,f),其中R1,...,Rn代表Rm代表f为
(4)验证:当收到门限环签名σ=(V,R1,...,Rn,Rm,f)后,签名验证者首先检验多项式f的次数是否为t-1,并计算等式Rm=gf(0)是否成立。
验证上述等式成立后,签名验证者对等式 进行验证,若等式成立,则σ是一个有效的门限环签名,否则为无效的门限环签名。
优选的,在步骤(3)签名中获得私有秘密后进行下列步骤获得门限环签名:
对于i∈{1,2,...,t},每个签名者IDi首先通过私钥提取算法获得其私钥dID=(d1,d2),并通过哈希函数M=Hm(L,m,t)计算得到代表消息的长度为nm的位串,定义位串中数值为1的序号集合为M,然后使用其私钥计算部分门限环签名并把部分门限环签名(σi1,σi2,σi3)发送给t个签名者中任一用以产生门限环签名的签名者。
采用上述技术方案后,本发明与现有技术相比具有以下有益效果:本发明的方法是在标准模型下构造的,与随机预言模型下设计的方案相比,安全性更好。
下面结合附图对本发明的具体实施方式作进一步详细的描述。
附图说明
图1是本发明的基本流程图;
图2是从伪造门限环签名到求解CDH问题的规约。
具体实施方式
如图1所示,本发明是一种基于身份的门限环签名方法,包括以下步骤:
一种基于身份的门限环签名方法,包括以下步骤:
S1、***建立:随机选取参数,生成***参数以及相应的主密钥,其中***参数为公开参数,具体步骤为:
令G,GT是阶为素数p的循环群,e:G×G→GT是一个双线性映射,两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为nu和nm的位串;
可信第三方随机选取参数α∈Zp,生成元g∈G,计算g1=ga。随机选取参数g2,u',m'∈G,nu维向量nm维向量其中ui,mi∈G,则***参数为 主密钥为
S2、私钥提取:输入***参数、主密钥和用户的身份,获得该用户身份的私钥,具体步骤为:
给定用户身份ID,通过哈希函数u=Hu(ID)计算得到代表用户身份的长度为nu的位串,令u[i]表示该位串中的第i位,定义位串中数值为1的序号集合ΦID;
随机选取参数ru∈Zp,计算用户身份为ID的私钥
S3、签名:给定门限环签名中n个成员的集合L={ID1,...,IDn},设实际进行签名的t个签名者的身份下标为{1,2,...,t},待签名消息为m,签名的具体步骤为:
每个签名者IDi随机选取si∈Zp为其子秘密,构造系数在Zp、次数为t-1的多项式fi(x)=ai,0+ai,1x+...+ai,t-1xt-1。令si=ai,0,IDi计算公开参数并向其它签名者广播,然后计算秘密分享si,j=fi(j),并将其发送给其它签名者IDj(j=1,2,..,t;j≠i),自己保留si,i=fi(i);
签名者IDj(j≠i)从IDi那里得到秘密分享si,j后,通过等式验证其有效性;
当确认秘密分享有效后,每个签名者IDi根据秘密分享计算其私有秘密
门限环签名产生者随机选取参数r1,...,rn∈Zp,计算以及门限环签名 最后获得在消息m和成员集合L下的门限环签名σ=(V,R1,...,Rn,Rm,f),其中R1,...,Rn代表Rm代表f为
S4、验证:当收到门限环签名σ=(V,R1,...,Rn,Rm,f)后,签名验证者首先检验多项式f的次数是否为t-1,并计算等式Rm=gf(0)是否成立。
验证上述等式成立后,签名验证者对等式 进行验证,若等式成立,则σ是一个有效的门限环签名,否则为无效的门限环签名。
优选的,在步骤S3签名中获得私有秘密后进行下列步骤获得门限环签名:
对于i∈{1,2,...,t},每个签名者IDi首先通过私钥提取算法获得其私钥dID=(d1,d2),并通过哈希函数M=Hm(L,m,t)计算得到代表消息的长度为nm的位串,定义位串中数值为1的序号集合为M,然后使用其私钥计算部分门限环签名并把部分门限环签名(σi1,σi2,σi3)发送给t个签名者中任一用以产生门限环签名的签名者。
本发明的存在不可伪造性安全性证明如图2所示,具体实施步骤为:
1.假设伪造者A能以不可忽略的优势攻击本方案,则能够构造算法B,B可以利用A解决CDH问题。给定B一个CDH问题的实例(g,ga,gb),其目标是计算出gab,B模仿A的挑战者。
2.算法B设定lu=2(qe+qs)、lm=2qs,其中qe是A私钥询问的次数,qs是A签名询问的次数。随机选择ku和km,满足0≤ku≤nu和0≤km≤nm,并假定lu(nu+1)<p和lm(nm+1)<p。B选择及长度为nu的向量X=(xi),其中;选择及长度为nm的向量Z=(zk),其中最后B选择y',w'∈RZp,长度为nu的向量Y=(yi),长度为nm的向量W=(wi),其中yi,wi∈RZp。对于L中的成员身份ID和消息m的位串u=Hu(ID)和M=Hm(L,m,t),定义以下几个函数:
算法B构造本发明方案中的公开参数如下:
g1=ga,g2=gb; 1≤i≤nu; 1≤i≤nm;然后算法B将公开参数发送给敌手A。
3.在询问阶段,当敌手A发起一定数量的询问时,算法B进行如下响应:
(1)私钥询问:当敌手A询问身份IDu的私钥时,虽然算法B不知道主密钥,但假定F(IDu)≠0mod p,B也能够构造其私钥B任选ru∈Zp并计算: 如果F(IDu)=0mod p,上面的计算将无法进行,B将失败退出。
(2)签名询问:当敌手A询问成员身份列表为L={ID1,...,IDn},门限值为t(t<n),消息为m的门限环签名时,算法B首先计算M=Hm(L,m,t),然后按照如下步骤输出门限环签名:
①算法B随机选择s,a0,a1,...,at-1∈Zp,构造次数为t-1的多项式f(x)=a0+a1x+...+at-1xt-1,其中s=a0。
②假定L中至少有t个IDi(i=1,...t),满足F(IDi)≠0mod p。令γ为F(IDi)≠0mod p的i的集合,为方便起见,不妨设γ=(1,...,t)。则算法B按照私钥询问中的方法构造它们的私钥,计算各签名者IDi(i=1,...t)的私有秘密xi=f(i),然后利用签名算法生成相应的门限环签名。
③如果L中满足条件F(IDi)≠0mod p的IDi少于t个,那么算法B也可以像在私钥询问中构造私钥的方法那样构造一个门限环签名。假定K(M)≠0mod p,算法B随机选择r1,...,rn,rm∈Zp,计算:
4.在伪造阶段,敌手A输出在身份列表门限值t和消息m*下的伪造门限环签名σ*。如果在整个过程中算法B没有失败退出,那么算法B检查下列条件是否成立:
①对于所有的i∈(1,...,n)都成立;
②K(M*)=0mod p,其中M*=Hm(L,m*,t)。
如果上述条件不同时成立,那么算法B将失败退出;否则,B可计算
这就是CDH问题的解。
因此,如果存在一个敌手能够以不可忽略的概率伪造一个有效的门限环签名,那么就存在一个算法能够以不可忽略的概率解决CDH问题,而这与CDH问题是一个困难问题相矛盾,故方案满足适应性选择消息和身份攻击下的存在不可伪造性。
本发明的无条件匿名性安全性证明的具体实施步骤为:
1.本发明门限环签名σ中的多项式是由t个签名者随机选择而得到的,因此,签名者的私有秘密xi是随机分布的。
2.门限环签名σ中Rt+1,...,Rn,Rm是随机生成的,没有提供实际签名者的任何信息。对于Ri(i=1,...,t)而言,,其中是由私钥生成中心(与实际签名人独立)随机选择的,ri是由签名者随机选择的,因而Ri(i=1,...,t)的分布是随机的。
3.对于 而言,其中是主密钥,指数部分都是随机的,因而无法提供有关实际签名人的任何信息。因此,即使敌手获得身份列表L中所有成员的私钥,它也无法以不可忽略的优势猜测出实际签名者的身份,故本发明中的门限环签名方案是无条件匿名的。
综上所述,依照本发明实现了在标准模型下构造可证明安全的基于身份门限环签名方案的新途径和新方法,并且通过方案安全性证明表明了方案的安全可靠性,该方法的实现不仅具有理论意义,同时也具有现实意义。
以上所述仅是本实用新型的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本实用新型原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本实用新型的保护范围。
Claims (1)
1.一种基于身份的门限环签名方法,其特征在于:包括以下步骤:
(1)***建立:随机选取参数,生成***参数以及相应的主密钥,其中***参数为公开参数,具体步骤为:
令G,GT是阶为素数p的循环群,e:G×G→GT是一个双线性映射,两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为nu和nm的位串;
可信第三方随机选取参数α∈Zp,生成元g∈G,计算g1=ga,随机选取参数g2,u',m'∈G,nu维向量nm维向量其中ui,mi∈G,则***参数为 主密钥为
(2)私钥提取:输入***参数、主密钥和用户的身份,获得该用户身份的私钥,具体步骤为:
给定用户身份ID,通过哈希函数u=Hu(ID)计算得到代表用户身份的长度为nu的位串,令u[i]表示该位串中的第i位,定义位串中数值为1的序号集合ΦID;
随机选取参数ru∈Zp,计算用户身份为ID的私钥
(3)签名:给定门限环签名中n个成员的集合L={ID1,...,IDn},设实际进行签名的t个签名者的身份下标为{1,2,...,t},待签名消息为m,签名的具体步骤为:
每个签名者IDi随机选取si∈Zp为其子秘密,构造系数在Zp、次数为t-1的多项式fi(x)=ai,0+ai,1x+...+ai,t-1xt-1,令si=ai,0,IDi计算公开参数并向其它签名者广播,然后计算秘密分享si,j=fi(j),并将其发送给其它签名者IDj(j=1,2,..,t;j≠i),自己保留si,i=fi(i);
签名者IDj(j≠i)从IDi那里得到秘密分享si,j后,通过等式验证其有效性;
当确认秘密分享有效后,每个签名者IDi根据秘密分享计算其私有秘密
进行下列步骤获得门限环签名:
对于i∈{1,2,...,t},每个签名者IDi首先通过私钥提取算法获得其私钥dID=(d1,d2),并通过哈希函数M=Hm(L,m,t)计算得到代表消息的长度为nm的位串,定义位串中数值为1的序号集合为M,然后使用其私钥计算部分门限环签名并把部分门限环签名(σi1,σi2,σi3)发送给t个签名者中任一用以产生门限环签名的签名者;
门限环签名产生者随机选取参数r1,...,rn∈Zp,计算以及门限环签名 最后获得在消息m和成员集合L下的门限环签名σ=(V,R1,...,Rn,Rm,f),其中R1,...,Rn代表Rm代表f为
(4)验证:当收到门限环签名σ=(V,R1,...,Rn,Rm,f)后,签名验证者首先检验多项式f的次数是否为t-1,并计算等式Rm=gf(0)是否成立;
验证上述等式成立后,签名验证者对等式 进行验证,若等式成立,则σ是一个有效的门限环签名,否则为无效的门限环签名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210165358.0A CN102684885B (zh) | 2012-05-25 | 2012-05-25 | 基于身份的门限环签名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210165358.0A CN102684885B (zh) | 2012-05-25 | 2012-05-25 | 基于身份的门限环签名方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102684885A CN102684885A (zh) | 2012-09-19 |
CN102684885B true CN102684885B (zh) | 2014-09-10 |
Family
ID=46816288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210165358.0A Expired - Fee Related CN102684885B (zh) | 2012-05-25 | 2012-05-25 | 基于身份的门限环签名方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102684885B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103117860B (zh) * | 2013-01-21 | 2015-08-05 | 孙华 | 无证书盲环签名方法 |
CN103248488B (zh) * | 2013-05-14 | 2017-04-19 | 顾纯祥 | 一种基于身份的密钥生成方法和认证方法 |
CN105812369B (zh) * | 2016-03-15 | 2019-09-10 | 广东石油化工学院 | 一种基于椭圆曲线的可追踪的匿名认证方法 |
CN107835082B (zh) * | 2017-12-15 | 2020-05-22 | 河海大学 | 一种基于身份的可追踪环签名认证协议 |
CN108632043B (zh) * | 2018-04-19 | 2021-08-24 | 成都大学 | 一种优化的环签名方法及*** |
CN110417703B (zh) * | 2018-04-26 | 2021-11-30 | 中移(苏州)软件技术有限公司 | 一种代理重签名的方法、服务器及终端设备 |
WO2020191700A1 (zh) * | 2019-03-28 | 2020-10-01 | 深圳大学 | 可连接环签名方法、装置、设备以及存储介质 |
CN112926074B (zh) * | 2021-03-26 | 2022-08-23 | 成都卫士通信息产业股份有限公司 | 一种sm9密钥门限化生成方法、装置、设备及存储介质 |
CN114567433B (zh) * | 2022-03-04 | 2024-03-26 | 浪潮云信息技术股份公司 | 一种基于Shamir秘密共享的多方AOS环签名方法及*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562524A (zh) * | 2009-05-31 | 2009-10-21 | 河海大学 | 一种基于身份的数字签名方法 |
-
2012
- 2012-05-25 CN CN201210165358.0A patent/CN102684885B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562524A (zh) * | 2009-05-31 | 2009-10-21 | 河海大学 | 一种基于身份的数字签名方法 |
Non-Patent Citations (4)
Title |
---|
ID-based ring signature scheme secure in the standard model;Man Ho Au等;《Advances in Information and Computer Security》;20061024;第5-6页 * |
Man Ho Au等.ID-based ring signature scheme secure in the standard model.《Advances in Information and Computer Security》.2006, |
孙华等.签名长度固定的基于身份门限环签名方案.《计算机应用》.2012,第32卷(第5期),第1386-1387页. |
签名长度固定的基于身份门限环签名方案;孙华等;《计算机应用》;20120501;第32卷(第5期);第1386-1387页 * |
Also Published As
Publication number | Publication date |
---|---|
CN102684885A (zh) | 2012-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102684885B (zh) | 基于身份的门限环签名方法 | |
CN103117860B (zh) | 无证书盲环签名方法 | |
Li et al. | Cryptanalysis and improvement of certificateless aggregate signature with conditional privacy-preserving for vehicular sensor networks | |
CN104780050B (zh) | 一种基于椭圆曲线的前向安全的成员可撤销无证书群签名方法 | |
CN102957536B (zh) | 基于标识的证书认证体制cfl | |
CN102387019A (zh) | 无证书部分盲签名方法 | |
KR20030008183A (ko) | 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법 | |
CN103259662A (zh) | 一种新的基于整数分解问题的代理签名及验证方法 | |
KR20030008182A (ko) | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 방법 | |
CN101562524A (zh) | 一种基于身份的数字签名方法 | |
CN105187205A (zh) | 无证书的基于层次身份基的认证密钥协商方法和协商*** | |
CN103220146B (zh) | 基于多变量公钥密码体制的零知识数字签名方法 | |
CN103746811A (zh) | 从身份公钥***到证书公钥***的匿名签密方法 | |
CN104079412A (zh) | 基于智能电网身份安全的无可信pkg的门限代理签名方法 | |
Wang et al. | A modified efficient certificateless signature scheme without bilinear pairings | |
CN107332665A (zh) | 一种格上基于身份的部分盲签名方法 | |
Li et al. | Constructions of certificate-based signature secure against key replacement attacks | |
CN105187208B (zh) | 非授权的基于无证书的强指定验证者签名体制 | |
CN109617700A (zh) | 基于无证书的单向多跳代理重签名方法 | |
CN102694654B (zh) | 基于身份的门限环签密方法 | |
CN104780047A (zh) | 前向安全的无证书可验证加密签名方法 | |
Li et al. | A forward-secure certificate-based signature scheme | |
CN110266492A (zh) | 一种可追踪的泛在电力物联网身份认证方法 | |
Zhang et al. | Adaptively secure hierarchical identity-based signature in the standard model | |
Sun et al. | Delegatability of an identity based strong designated verifier signature scheme |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140910 Termination date: 20180525 |
|
CF01 | Termination of patent right due to non-payment of annual fee |