趙勇超++秦海菲++謝瑩

摘要：在數(shù)字簽名中有一類特定的簽名叫指定驗(yàn)證者簽名。本文對現(xiàn)有的指定驗(yàn)證者簽名算法進(jìn)行研究，根據(jù)數(shù)學(xué)中雙線性對理論搭載身份信息為基礎(chǔ)，對指定驗(yàn)證者簽名進(jìn)行算法改進(jìn)和研究，使得在此前提下，對已有的某些指定驗(yàn)證方案既保留安全、不可傳遞性質(zhì)，又不增加系統(tǒng)開銷，為后續(xù)其相關(guān)研究做理論參考。

關(guān)鍵詞：指定驗(yàn)證者簽名 雙線性對 基于身份

基金項(xiàng)目：楚雄師范學(xué)院校級項(xiàng)目（12YJRC05）

1、引言

現(xiàn)實(shí)中，在政務(wù)系統(tǒng)需要對某些文件進(jìn)行簽名使得文件具有權(quán)威和合法性。而在時(shí)下電子商務(wù)時(shí)代及“互聯(lián)網(wǎng)+”的大背景下，如何將類似情況在數(shù)字化普及的今天，怎樣將數(shù)字簽名更加安全、可靠、高效的應(yīng)用于此背景，是信息工作者一直在努力追尋的工作。本文中所涉及的數(shù)字化簽名，是針對于一種特殊的數(shù)字簽名而言的。一般情況下的數(shù)字簽名都具有任何只要擁有簽名者的公鑰用戶都可以應(yīng)用簽名驗(yàn)證算法確認(rèn)簽名合法這一普遍規(guī)律。而這一情況在某些特定環(huán)境下并不適用。比如政務(wù)系統(tǒng)中，對某些內(nèi)部或針對某特定部門才能驗(yàn)證簽名合法性的情況下，就需要變更簽名及驗(yàn)證形式。而這一特殊情況，已經(jīng)有學(xué)者提出可以使用指定驗(yàn)證者簽名（Designated Verifier Signature）[1]方案來完成。目前指定驗(yàn)證者簽名算法都是涵蓋初始化系統(tǒng)、簽名者的簽名、指定驗(yàn)證者的驗(yàn)證、副本模擬等過程來實(shí)現(xiàn)。在這過程中，有許多學(xué)者提出不同的算法。本文針對已有的方案中對參數(shù)設(shè)置、算法稍微改、借鑒身份信息參與計(jì)算方式構(gòu)建簽名方案。使得這一做法能在保證原方案簽名安全性、簽名驗(yàn)證不可傳遞、效率不提高的性質(zhì)下對這種特定簽名進(jìn)行研究。

2、理論基礎(chǔ)知識介紹

2.1數(shù)論中的雙線性對的基本概念

利用超奇異橢圓曲線中的Weil對，可作為基于身份的加密體制的參考依據(jù)[2]，而以Weil對為技術(shù)基礎(chǔ)的理論可進(jìn)行密碼學(xué)上應(yīng)用的研究。本文所指的雙線性對也正是在該曲線下定義的。下面引用雙線性對定義：假設(shè)由[P]生成的循環(huán)加法群是[G1]，它是以素?cái)?shù)[q]為階的；一個(gè)階為[q]的循環(huán)乘法群為[G2]?？啥x雙線性映射如下：[∨][e]來說，當(dāng)滿足①[∨][?]的[P，Q∈G1]和[a，b∈Zq]，[?][e（aP，bQ）=e（abP，Q）=e（P，abQ）=e（P，Q）ab]。②[?][P∈G1]，使得[e（P，P）≠1]。③[∨][P，Q∈G1]，[?]一個(gè)有效的算法，當(dāng)計(jì)算[e（P，Q）]時(shí)可在多項(xiàng)式時(shí)間內(nèi)計(jì)算出來。那么具有以上3個(gè)性質(zhì)的映射[e：G1×G2→G2]可稱[e]為雙線性。

2.2簽名算法的安全性介紹

目前公認(rèn)的指定驗(yàn)證者簽名算法應(yīng)當(dāng)滿足下列安全性質(zhì)[3]：①當(dāng)沒有簽名者和指定驗(yàn)證者的私鑰時(shí)，要想偽造一個(gè)有效的指定驗(yàn)證者簽名，在計(jì)算上是行不通的（即保證不能偽造）。②當(dāng)指定驗(yàn)證者可以生成一個(gè)簽名，并且該簽名與源簽名是不可區(qū)分的（即保證同源）。

3、本方案簡要介紹

公認(rèn)的指定驗(yàn)證者簽名算法都經(jīng)過初始化系統(tǒng)、密鑰生成、指定驗(yàn)證者簽名及其驗(yàn)證、副本模擬等的過程[4]。本方案具體實(shí)施細(xì)節(jié)如下：

1）初始化系統(tǒng)

設(shè)加法群和乘法群分別是[G1，G2]是以大素?cái)?shù)[q]為階的， [P]是[G1]的生成元，定義雙線性對為[e：G1×G1→G2]。密鑰生成機(jī)構(gòu)（以下簡寫為[PKG]）隨機(jī)選擇[s∈RZ*q]為系統(tǒng)主鑰，定義公鑰為[Ppub=sP]。[?]無碰撞的哈希函數(shù)[H1，H2，H3]，并定義：[H1：{0，1}*→G1]，[H2：{0，1}*×G1→G1]，[H3：G2→G1]。[{G1，G2，P，Ppub，H1，H2，H3，e，q}]為系統(tǒng)可公開信息。

2）密鑰生成過程

[PKG]向簽名者收錄各自[ID]信息，則[PKG]利用[SID=sH1（ID）]計(jì)算各自私鑰，而后[PKG]向各個(gè)申請者發(fā)送可靠的信息，則該簽名者的公鑰通過[QID=H1（ID）]計(jì)算得出。

3）指定驗(yàn)證者的簽名及其驗(yàn)證

①我們假設(shè)設(shè)簽名者為A、指定驗(yàn)證者為B，各自公/私的密鑰分別為[QIDASIDA]和[QIDBSIDB]，[M]定為待簽名的消息，則簽名過程過程為：簽名者A首先利用[r∈RZ*q]，計(jì)算[U=rQIDB]，[h=H2（M，U）]，[V=r-1（h+SIDA）]，[σ=H3（e（U，V））]然后將簽名[（U，σ）]發(fā)送給指定驗(yàn)證者B。②[∨]消息[M]的簽名[（U，σ）]， B先利用[h=H2（M，U）]計(jì)算，然后判斷等式[σ=H3（e（QIDB，h）e（SIDB，QIDA））]成立性來說明簽名有效與否。

4）指定驗(yàn)證者模擬副本

指定驗(yàn)證者B選擇[r'∈RZ*q]，首先計(jì)算[U'=r'QIDA]，[h'=H2（M，U'）]，及[V'=r'-1（h'+SIDB）]，[σ'=H3（e（U'，V'））]。同理，對應(yīng)于消息[M]的簽名[（U'，σ'）]也滿足3）中的驗(yàn)證等式。

4、結(jié)束語

本文針對數(shù)字簽名中指定驗(yàn)證者簽名這一特殊簽名為研究內(nèi)容，對已有的簽名方案進(jìn)行研究利用雙線性知識搭建基于身份信息，構(gòu)建了本方案，使得該方案即保證可靠、安全又不對原有方案效率增加，但如何具體使用到應(yīng)用領(lǐng)域還需大量研究，本文可具有理論參考價(jià)值。

參考文獻(xiàn)：

[1] Jakobsson M，Sako K， Impagliazzo R.Designated Verifier roofs and Their Applications. （In：）Proceedings of Eurocrypt96. Berlin，Germany：Springer-Verlag，1996：143-154.

[2] 馮登國.現(xiàn)代密碼學(xué).北京：清華出版社，2000.

[3] 張先紅.數(shù)字簽名原理及技術(shù).北京：機(jī)械工業(yè)出版社，2004.

[4] 張學(xué)軍，兩個(gè)改進(jìn)的指定驗(yàn)證者簽名方案，計(jì)算機(jī)工程與應(yīng)用，2009.45（1）.endprint