邵建鑫

摘 要：指定验证者签名是一类特殊的数字签名，在指定验证者签名中，只有指定的验证者才能验证签名，任何第三方都无法验证签名的有效性，根源就是指定验证者也可以生成一个与签名者不可区分的有效的模拟签名，环签名是指环中的某一成员代表环对一个消息进行签名，签名者希望验证者确信自己是环中的成员，同时签名者又希望验证者不知道自己的身份，实现签名的匿名性，本文方案将两者结合起来，既实现了签名者的身份隐匿性，又实现了任何外部第三方都无法验证签名的有效性，关联是指针对一个具体的事件A，如果一个签名者产生好几个签名，则可以知道这几个签名是一个签名者生成的。

关键词：指定验证者;计算CDH问题;环签名;关联

1预备知识

1. 1双线性对定义：k是一个安全参数，q是一个的素数，假设为q阶循环加法群，生成元为P，为q阶循环乘法群，双线性映射满足以下性质。

1）双线性性：有;

2）非退化性：存在使得;

3）计算性：存在算法可以计算

1.2 Computational Diffie-Hellman problem（简称CDH问题），在阶数为q的循环加法群中，P是的一个生成元，对任意，计算，其中是未知的随机数。

1.3 关联是指针对一个具体事件A，如果一个签名者产生了好几个签名，则我们可以知道这几个签名是由一个签名者生成的。

2.指定验证者的环签名方案：

2.1系统参数设置：k是一个安全参数，是阶为的加法循环群，P是的一个生成元，是阶为q的乘法循环群。

是两个安全的散列函数

定义双线性映射，

随机选择作为系统主密钥并秘密保存，计算并公开系统参数。

2.2为用户生成私钥：给定用户身份，计算私钥，利用安全信道发送给用户，我们记公钥。

2.3签名生成：给定消息m，n个用户的身份集为，输入数组，其中真正的签名者为s，指定验证者为v，身份为Dv，真实签名者用自己私钥生成签名如下，

计算，

随机选择，对所有的，随机选择。

计算，

签名为

2.4签名验证：指定验证者收到后，指定验证者通过以下步骤验证签名：

计算

验证签名是否满足验证等式

若满足，则接受签名，若不满足，则拒绝签名。

2.5关联验证：输入元组和，若和都为有效签名，若，则两个签名关联，否则，不关联。

2.6模拟签名：指定验证者可以根据以下算法生成有效的模拟签名：

计算，。

随机选择，对所有的，随机选择。

计算

。

3.安全性分析

3.1不可伪造性

计算 CDH问题，在阶数为q的循环加法群中，P是的一个生成元，对任意，计算，其中是未知的随机数。

证明：挑战者收到一个问题，对于未知的，计算。挑战者随机选择，并设置系统主密钥，定义前面提到的两个哈希函数。挑战者将作为为系统参数返回给敌手，在这里我们规定所有的查询都是不同的。

查询：挑战者定义一个形式为的空白表格，其中，当敌手查询时，挑战者随机选择一个并将的值给敌手，将记录到。

查询：挑战者定义一个形式为的空白表格，当敌手查询时，挑战者随机选择一个，令并将的值返还给敌手，将记录到。

秘钥查询：我们规定签名者身份为，验证者的身份为，挑战者定义一个形式为的空白表格，敌手对身份的密钥查询时，

若或时，挑战者中止游戏，

否则挑战者随机选择，并计算的值给敌手，然后将记录到中，并将记录到中。

签名查询：敌手提供一个数组并询问挑战者。

1）如果或者，则挑中止游戏。

2）若或者，挑战者运行签名算法输出一个签名σ最终敌手成功伪造了一个有效签名，如果，挑战者中止游戏，否则挑战者查询查找到，因为敌手已经成功伪造一个签名，因此它必须输入正确的值查询随机预示器，然后输入相同的和其他相同的内容，挑战者再利用敌手查询，这两次查询不同之处在于挑战者回答第二次查询，在查询之前，所有的查询回复都是一样的，的查询会有一个新的，随后的查询的结果也是从中随机选择一个数，和第一次查询结果不同。

根据分叉引理，挑战者获得了另一个签名

3.2不可传递性

指定验证者可以通过模拟签名产生对消息m的一个有效签名σ'，σ'与本文方案环中成员产生的簽名σ不可区分，所以本文方案满足不可传递性。

证明：计算，。

随机选择，对所有的，随机选择。

计算：，

签名为。

3.3签名者的身份隐匿性

本方案中对于给定的签名σ，即使第三方知道环中所有成员的私钥和指定验证者私钥也不能判断出签名是由生成的还是生成的，σ和σ'是由签名者和指定验证者生成的，任何外部第三方不能区分σ和σ'是由环中成员生成的还是指定验证者生成的，第三方猜对真实签名者身份的概率不会大于，因此，签名者的身份是隐匿的。

参考文献：

[1]赵洋，岳峰，熊虎，秦志光.一种强指定验证者环签名方案和签密体制[J].信息网络安全，2015（10）：8-13

[2]杜红珍，温巧燕.无证书强指定验证者多重签名[J].通信学报，2016（6）：21-28

[3]许芷岩，吴黎兵，李莉，何德彪.新的无证书广义指定验证者聚合签名方案[J].通信学报，2017（11）：220-1-220-8

2411501705265