有指定秘书的_t_n_门限群签名体制(3)

158

t高校应用数学学报A辑第20卷第2期

41每个Ui计算r=∏i=1ri=gi=1modp,ei=∑kittθ)H(m)xiei+rki=ai(modpj=1,j≠i∏,并计算IDSi-IDSj(1)

得到个人签名消息(ri,ai,ei)Ζ

51每个Ui把他的个人签名消息(ri,ai,ei)发送给DCΖ

213　个体签名的验证和(t,n)门限群签名的生成

t

当收到所有的个人签名消息(ri,ai,ei)后,DC计算r=

验证个人签名的合法性:

yiH(m)eiri∏r=ii=1gi=1modp,并通过下式∑kitar=gi(modp)　(i=1,2,…,t)Ζ

t(2)

若所有的方程成立,则DC计算a=∑a

i=1i+xc(modp),得到(t,n)门限群签名(a,r)Ζ

定理1　如果所有的人遵守签名协议,他们的个体签名必能通过(2)(m)eirH(m)xieirkia证　由签名过程可知,对i=1,2,…,t,yHiggi,个人i

签名是正确的Ζ

214　(t,n)(t,n)(,后,利用群公钥y和DC的公钥yc来验H(m)ra(3)yryc=g,

从而可以确定该签名是否有效Ζ

定理2　如果所有的人遵守签名协议,得到的(t,n)门限群签名(a,r)必能通过(4)式的验证Ζ

证　由签名过程可知,下面的式子成立:

g=ga∑t

aii=1=gH(m)∑t

xiei+rki+xci=1i=1∑t=gH(m)∑t-IDSxiIDSi-IDSji=1j=1,j≠it∏gr∑kii=1tyc=yH(m)ryc(modp)Ζr

所以,群签名是正确的Ζ

如果事后发生争执,DC可以公开(ri,ai,IDPi),所有人都可以通过验证(2)式确认真正的签名者Ζ

§3　安全性分析

311　系统更新

当产生一次有效的(t,n)门限群签名后,系统重新选取生成元λ,利用211节的方法,计Α

算群公钥θ群中每个成员的公开身份IDPi、公钥yi和密钥的偏差量ci,并在公y,DC的公钥yc、λ,计算自己的秘告栏中更新(λ,θΑy,yc,yi,IDPi,ci)Ζ群中每个成员可以从公告栏中获取参数Α

γγsissiλλλθθθ,以备下次签名之用Ζ密身份IDSi=Αmodp和密钥xi=Α-cimodp,xc=Αcmodp

当有新成员加入时,系统只需给他两个子密钥sn+1和sn+1,并在公告栏中公布他的公钥公开身份IDPn+1和偏差量cn+1,其他参数不变Ζyn+1、