[发明专利]基于身份的门限环签名方法

摘要

一种基于身份的门限环签名方法，包括标准模型下的(1)系统建立、(2)私钥提取、(3)签名：(4)验证。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

主权项

1.一种基于身份的门限环签名方法，其特征在于：包括以下步骤：(1)系统建立：随机选取参数，生成系统参数以及相应的主密钥，其中系统参数为公开参数，具体步骤为：令G，G_T是阶为素数p的循环群，e：G×G →G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂，u′，m′∈G，n_u维向量n_m维向量其中u_i，m_i∈_RG，则系统参数为param=(G,GT,e,g,g1,g2,u′,U^,m′,M^,Hu,Hm),]]>主密钥为(2)私钥提取：输入系统参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；随机选取参数r_u∈Z_p，计算用户身份为ID的私钥dID=(d1,d2)=(g2α(u′Πi∈ΦIDui)ru,gru)]]>(3)签名：给定门限环签名中n个成员的集合L＝{ID₁，...，ID_n}，设实际进行签名的t个签名者的身份下标为{1，2，...，t}，待签名消息为m，签名的具体步骤为：每个签名者ID_i随机选取s_i∈Z_p为其子秘密，构造系数在Z_p、次数为t-1的多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x_t-1。令s_i＝a_i，0，ID_i计算公开参数并向其它签名者广播，然后计算秘密分享s_i，j＝f_i(j)，并将其发送给其它签名者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)；签名者ID_j(j≠i)ID_j从ID_i那里得到秘密分享s_i，j后，通过等式验证其有效性；当确认秘密分享有效后，每个签名者ID_i根据秘密分享计算其私有秘密xi=Σj=1tsj,i.]]>该门限环签名产生者随机选取参数r₁，...，r_n∈Z_p，计算i＝1，...，n以及门限环签名σ=(Πi=1tσi1(Πi=1n(Ui)ri),σ12gr1,...,σ12gri,gri+1,...,grn,Πi=1tσi3,Σi=1tfi(x)),]]>最后获得在消息m和成员集合L下的门限环签名σ＝(V，R₁，...，R_n，R_m，f)，其中R₁，...，R_n代表R_m代表f为(4)验证：当收到门限环签名σ＝(V，R₁，...，R_n，R_m，f)后，签名验证者首先检验多项式f的次数是否为t-1，并计算等式R_m＝g^f(0)是否成立。验证上述等式成立后，签名验证者对等式e(V,g)=e(g1,g2)te(U1,R1)...e(Un,Rn)e(m′Πl∈Mml,Rm)]]>进行验证，若等式成立，则σ是一个有效的门限环签名，否则为无效的门限环签名。