CN101651542A - 多签名者强指定多个验证者的数字签名文档安全保护方法 - Google Patents

Abstract

本发明公开了一种多签名者强指定多个验证者的数字签名文档安全保护方法，该方法按照以下步骤具体实施：步骤1.生成系统参数：选择阶为素数的循环群和一个密码学单向哈希函数；步骤2.用户密钥建立：为多个签名者秘密选择私钥，并通过秘密信道分发，分别为每个签名者生成公钥；为多个指定的验证者秘密选择私钥，并通过秘密信道分发；步骤3.签名过程：多个签名者通过运算对消息m计算强指定验证者数字签名；步骤4.验证过程：通过数字运算验证等式是否成立，若成立，验证通过，否则验证失败。本发明的方法运算效率高，能够提供电子文档在存储或传输中的完整性、真实性和不可否认性的安全保护。

Description

多签名者强指定多个验证者的数字签名文档安全保护方法

技术领域

本发明属于信息安全技术领域，涉及一种多签名者强指定多个验证者的数字签名文档安全保护方法。

背景技术

在传统的以书面文件为载体的事务处理中，通常采用手写签字、印章、指纹等方式作为书面签名，具有法律意义。但是互联网的快速发展使得人们通过网络实现快速、远距离的电子商务活动的需求越来越高。在以计算机数据文件为基础的电子邮件、电子商务等的数字通信中，因为书面签名可被任意拷贝，因此签名的安全性非常重要，数字签名技术应运而生。

人们通过网络进行电子文档的传输中，可能面临各种安全威胁，例如，文档的内容可能被盗取或篡改，文档的发送者可能是假冒的，文档的发送者可能否认自己曾发送过该文档等。信息加密和数字签名是应对这些安全威胁的重要手段。数字签名也称电子签名或电子签章。通俗的说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图象化，它的作用类似于手写签名或印章。准确的说，数字签名是以密码学的方法对数据文件作用，产生的一组代表签名者身份与数据完整性的数据信息，通常附加在数据文件的后面，数据文件的接收者可以利用签名者的公钥作用在数字签名上，验证数据文件的真实性、完整性。数字签名的应用包括：身份鉴别，可辨别信源的真实性而防止冒充；数据完整性保护，抵御数据的篡改或重排；不可抵赖性，信源事后不可否认其发送过或生成过签名信息，可以防止当事人事后抵赖。

多签名者多指定验证者数字签名算法可以为多个用户提供生成数字签名的方法，该签名可以由指定的多个验证者验证。由于数字签名一般都携带了签名者的私钥信息，签名的验证者可能正是数字签名的攻击者，故需要对于签名的验证权进行限制；而多签名者数字签名指由多个签名者共同生成文档的数字签名，适应于多人协同的文档认证应用。例如，在大型虚拟企业的分布式产品设计中，一组设计人员可能希望他们的设计文档的数字签名只有指定的多个设计人员(或验证者)可以验证，这就需要多签名者多个指定验证者的数字签名方案。在实际的电子举报违法现象的应用中，为了提高举报信息的完整性和真实性，多个举报人应该对其举报材料进行签名。为了保护举报人，希望举报材料的真实性只有指定的一组纪检人员可以共同验证。

现有的数字签名方案中有多签名者指定验证者算法，也有指定多验证者算法，但还没有对于多签名者多指定验证者数字签名算法，另外现有大部分的指定验证者签名方案中运用了双线性对运算，其运算效率较低。

发明内容

本发明的目的是提供一种多签名者强指定多个验证者的数字签名文档安全保护方法，解决了网络环境中多人协同在电子文档上进行数字签名并由指定的多个验证者验证的安全问题。

本发明所采用的技术方案是，一种多签名者强指定多个验证者的数字签名文档安全保护方法，多人共同生成数字签名，并只有指定的多个验证者可以验证该数字签名，该方法按照以下步骤具体实施：

步骤1.生成系统参数：

选择阶为素数q的循环群G_g，q，其中g是生成元，即G_g，q＝<g>，|G_g，q|＝ord(g)＝q，q是一个二进制长度为l的素数，l是安全参数，要求在循环群G_g，q中计算离散对数问题DLP是困难的，

选择一个密码学单向哈希函数H：{0，1}^*→{0，1}^l；

步骤2.用户密钥建立：

为多个签名者u_i，i＝1，…，u秘密选择私钥 $x_{u_i}{\&Element;}_R{z}_q^{*},i=1,...,u,$ 并通过秘密信道分发，分别为每个签名者生成公钥： $y_{u_i}=,g^{x_{u_i}}i=1,...,u;$

为多个指定的验证者v_j，j＝1，…，v秘密选择私钥 $x_{u_j}{\&Element;}_R{z}_q^{*},j=1,...,v,$ 并通过秘密信道分发，分别为每个验证者生成公钥： $y_{v_j}=g^{x_{v_j}},j=1,...,v;$

步骤3.签名过程：

设：多个签名者为u_i，i＝1，…，u，

强指定多个验证者为v_j，j＝1，…，v，

消息为m；

31)每个签名者u_i，i＝1，…，u，随机选择 $r_{\mathrm{ij}1},r_{\mathrm{ij}2}\&Element;z_q^{*},$ j＝1，…，v；计算 $A_{u_i}=y_{u_i}^{r_{i11}}{y}_{v_1}^{r_{i12}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{ij}1}}{y}_{v_j}^{r_{\mathrm{ij}2}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{iv}1}}{y}_{v_v}^{r_{\mathrm{iv}2}},$ 并将计算结果

发送给签名收集者或者广播给其他的签名者；

32)签名收集者或者签名者将上步每个签名者计算得到的

收集完全后，按照步骤1选择的哈希函数，根据下列公式

$c=H\left(m\right|\left|g\right|\left|q\right|\left|A_{u_1}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_i}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_u}\right)$

计算得到c，并将c广播给所有的签名者；

33)每个签名者u_i，i＝1，…，u计算s_ij1：＝r_ij1， $s_{\mathrm{ij}2}:=r_{\mathrm{ij}2}-{\mathrm{cx}}_{u_i}\mathrm{mod}q,$ j＝1，…，v，并将 $(s_{i11},s_{i12},...,s_{\mathrm{iv}1},s_{\mathrm{iv}2})\&Element;z_q^{2v}$ 发送给签名收集者或者广播给其他的签名者；

34)根据步骤32)和步骤33)得到的计算结果，签名收集者或者所有的签名者确定消息m的签名者(u₁，…，u_u)的强指定验证者(v₁，…，v_v)的签名是：

$(c;s_{111},s_{112},...,s_{1v1},s_{1v2};...;s_{u11},s_{u12},...,s_{\mathrm{uv}1},s_{\mathrm{uv}2})\&Element;{\left\{\mathrm{0,1}\right\}}^l\&times;z_q^{2\mathrm{uv}};$

35)签名收集者或者签名者将消息m和

签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)发给验证者；

步骤4.验证过程：

41)每个验证者v_j，j＝1，…，v，计算，i＝1，…，u，并将计算结果发送给验证收集者或者直接广播给其他的验证者；

42)验证收集者或者验证者将步骤41)中每个验证者的计算结果收集完后计算 ${\tilde{A}}_{u_i}=y_{u_i}^{s_{i11}}{y}_{v_1}^{s_{i12}}{y}_{u_i}^{{\mathrm{cx}}_{v_1}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{ij}1}}{y}_{v_j}^{s_{\mathrm{ij}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_j}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{iv}1}}{y}_{v_v}^{s_{\mathrm{iv}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_v}},$ 将计算得到的

带入步骤1选取的哈希函数H：{0，1}^*→{0，1}^l，

计算得到

将该计算结果与所收到的签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)中的c进行比较，如果相等即验证通过，否则验证不通过。

本发明的方法由于没有涉及双线性对运算，运算效率明显提高，并具有签名短、安全性高的特点，确保电子文件在存储及网络传输中的安全性。

具体实施方式

下面用具体实施例对本发明进行详细说明。

本发明方法的技术方案源于Schnorr签名思想，构造了一个基于Schnorr签名的强指定验证者签名方案，并对于方案的安全性进行了分析；在该方案的基础上，构造了多签名者强指定多个验证者签名方案(MSMV-SDVS)。

本发明的方法按照以下步骤具体实施：

步骤1.生成系统参数：

选择阶为素数q的循环群G_g，q，其中g是生成元，即G_g，q＝<g>，|G_g，q|＝ord(g)＝q，q是一个二进制长度为l的素数，l是安全参数。要求在循环群G_g，q中计算离散对数问题DLP是困难的。

选择一个密码学单向哈希函数H：{0，1}^*→{0，1}^l，例如可选取H＝SHA-1或H＝MD5。

步骤2.用户密钥建立：

为多个签名者u_i，i＝1，…，u秘密选择私钥 $x_{u_i}{\&Element;}_R{z}_q^{*},i=1,...,u,$ 并通过秘密信道分发，分别为每个签名者生成公钥： $y_{u_i}=g^{x_{u_i}},i=1,...,u;$

为多个指定的验证者v_j，j＝1，…，v秘密选择私钥 $x_{v_j}{\&Element;}_R{z}_q^{*},j=1,...,v,$ 并通过秘密信道分发，分别为每个验证者生成公钥： $y_{v_j}=g^{x_{v_j}},j=1,...,v.$

步骤3.签名过程：

设：多个签名者为u_i，i＝1，…，u，

强指定多个验证者为v_j，j＝1，…，v，

消息为m；

31)每个签名者u_i，i＝1，…，u，随机选择 $r_{\mathrm{ij}1},r_{\mathrm{ij}2}\&Element;z_q^{*},$ j＝1，…，v；计算 $A_{u_i}=y_{u_i}^{r_{i11}}{y}_{v_1}^{r_{i12}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{ij}1}}{y}_{v_j}^{r_{\mathrm{ij}2}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{iv}1}}{y}_{v_v}^{r_{\mathrm{iv}2}},$ 并将计算结果发送给签名收集者或者广播给其他的签名者；

32)签名收集者或者签名者将上步每个签名者计算得到的

收集完全后，按照步骤1选择的哈希函数，根据下列公式

$c=H\left(m\right|\left|g\right|\left|q\right|\left|A_{u_1}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_i}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_u}\right)$

计算得到c，并将c广播给所有的签名者；

33)每个签名者u_i，i＝1，…，u计算s_ij1：＝r_ij1， $s_{\mathrm{ij}2}:=r_{\mathrm{ij}2}-{\mathrm{cx}}_{u_i}\mathrm{mod}q,$ j＝1，…，v，并将 $(s_{i11},s_{i12},...,s_{\mathrm{iv}1},s_{\mathrm{iv}2})\&Element;z_q^{2v}$ 发送给签名收集者或者广播给其他的签名者；

34)根据步骤32)和步骤33)得到的计算结果，签名收集者或者所有签名者确定消息m的签名者(u₁，…，u_u)的强指定验证者(v₁，…，v_v)的签名是：

$(c;s_{111},s_{112},...,s_{1v1},s_{1v2};...;s_{u11},s_{u12},...,s_{\mathrm{uv}1},s_{\mathrm{uv}2})\&Element;{\left\{\mathrm{0,1}\right\}}^l\&times;z_q^{2\mathrm{uv}};$

35)签名收集者或者签名者将消息m和签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)发给验证者。

步骤4.验证过程：

41)每个验证者v_j，j＝1，…，v，计算

i＝1，…，u，并将计算结果发送给验证收集者或者直接广播给其他的验证者；

42)验证收集者或者验证者将步骤41)中每个验证者的计算结果收集完后计算 ${\tilde{A}}_{u_i}=y_{u_i}^{s_{i11}}{y}_{v_1}^{s_{i12}}{y}_{u_i}^{{\mathrm{cx}}_{v_1}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{ij}1}}{y}_{v_j}^{s_{\mathrm{ij}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_j}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{iv}1}}{y}_{v_v}^{s_{\mathrm{iv}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_v}},$ 将计算得到的

带入步骤1选取的哈希函数H：{0，1}^*→{0，1}^l，

计算得到将该计算结果与所收到的签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)中的c进行比较，如果相等即验证通过，否则验证不通过。

以下从密码理论上证明本发明方法的正确性。

若消息m的多签名者(u₁，…，u_u)强指定验证者(v₁，…，v_v)的签名 $(c;s_{111},s_{112},...,s_{1v1},s_{1v2};...;s_{u11},s_{u12},...,s_{\mathrm{uv}1},s_{\mathrm{uv}2})\&Element;z_q^{2\mathrm{uv}+1}$ 是严格按照签名协议计算的，

则 $y_{u_i}^{s_{\mathrm{ij}1}}{y}_{v_j}^{s_{\mathrm{ij}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_j}}=y_{u_i}^{r_{\mathrm{ij}1}}{y}_{v_j}^{r_{\mathrm{ij}2}},$ i＝1，…，u，j＝1，…，v，所以有

${\tilde{A}}_{u_i}=y_{u_i}^{s_{i11}}{y}_{v_1}^{s_{i12}}{y}_{u_i}^{{\mathrm{cx}}_{v_1}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{ij}1}}{y}_{v_j}^{s_{\mathrm{ij}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_j}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{s_{\mathrm{iv}1}}{y}_{v_v}^{s_{\mathrm{iv}2}}{y}_{u_i}^{{\mathrm{cx}}_{v_v}}$

$=y_{u_i}^{r_{i11}}{y}_{v_1}^{r_{i12}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{ij}1}}{y}_{v_j}^{r_{\mathrm{ij}2}}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|y_{u_i}^{r_{\mathrm{iv}1}}{y}_{v_v}^{r_{\mathrm{iv}2}}\widehat{=}{A}_{u_i}$

故 $c=H\left(m\right|\left|g\right|\left|q\right|\left|{\tilde{A}}_{u_1}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|{\tilde{A}}_{u_i}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|{\tilde{A}}_{u_u}\right)$ 成立，一定能够通过验证算法。

本发明的多签名者多指定验证者数字签名方法，突出特色是可以由多个人共同生成文档的数字签名，同时对于签名的验证权可以进行限制，应用本发明，任意多个签名者可以协同产生文档的数字签名，同时可以由指定的多个人进行签名验证。

实施例1

设有三名设计人员A、B、C完成了一份电子图纸的审查，并需要共同在文档上签名，指定主管D和主管E可以验证该数字签名。

步骤1.生成系统参数：设系统建立的公共参数为阶为素数q的循环群G_g，q，以及安全Hash函数H＝SHA-1。

步骤2.用户密钥建立：

用户A、B、C、D、E的私钥分别为x_A，x_B，x_C，x_D，x_E，这些私钥分别由每个用户秘密保存，对应地，他们的公钥分别为y_A，y_B，y_C，y_D，y_E。

三名设计人员A、B、C欲对消息m计算强指定两个验证者D和E的数字签名，于是有u＝3，v＝2。

步骤3.签名过程：

签名者A随机选择 $r_{\mathrm{AD}1},r_{\mathrm{AD}2}\&Element;z_q^{*},$ $r_{\mathrm{AE}1},r_{\mathrm{AE}2}\&Element;z_q^{*},$ 计算 $A_A=y_A^{r_{\mathrm{AD}1}}{y}_D^{r_{\mathrm{AD}2}}\left|\right|y_A^{r_{\mathrm{AE}1}}{y}_E^{r_{\mathrm{AE}2}},$ 将A_A广播给其他的签名者B和C；

签名者B随机选择 $r_{\mathrm{BD}1},r_{\mathrm{BD}2}\&Element;z_q^{*},$ $r_{\mathrm{BE}1},r_{\mathrm{BE}2}\&Element;z_q^{*},$ 计算 $A_B=y_B^{r_{\mathrm{BD}1}}{y}_D^{r_{\mathrm{BD}2}}\left|\right|y_B^{r_{\mathrm{BE}1}}{y}_E^{r_{\mathrm{BE}2}},$ 将A_B广播给其他的签名者A和C；

签名者C随机选择 $r_{\mathrm{CD}1},r_{\mathrm{CD}2}\&Element;z_q^{*},$ $r_{\mathrm{CE}1},r_{\mathrm{CE}2}\&Element;z_q^{*};$ 计算 $A_C=y_C^{r_{\mathrm{CD}1}}{y}_D^{r_{\mathrm{CD}2}}\left|\right|y_C^{r_{\mathrm{CE}1}}{y}_E^{r_{\mathrm{CE}2}},$ 将A_C广播给其他的签名者A和B；

签名者A、B、C各自计算c＝H(m||g||q‖A_A‖A_B‖A_C)；

签名者A计算

s_AD1＝r_AD1，s_AD2＝r_AD2-cx_A modq，s_AE1＝r_AE1，s_AE2＝r_AE2-cx_A modq；

签名者B计算

s_BD1＝r_BD1，s_BD2＝r_BD2-cx_Bmodq，s_BE1＝r_BE1，s_BE2＝r_BE2-cx_B modq；

签名者C计算

s_CD1＝r_CD1，s_CD2＝r_CD2-cx_C modq，s_CE1＝r_CE1，s_CE2＝r_CE2-cx_C modq；

三个签名者分别向其他签名者广播 $(s_{\mathrm{iD}1},s_{\mathrm{iD}2},s_{\mathrm{iE}1},s_{\mathrm{iE}2})\&Element;z_q^{2v},$ 其中i＝A、B、C。则签名者A、B、C均可将消息m的签名者(A，B，C)的强指定验证者(D，E)的签名 $(c;s_{\mathrm{AD}1},s_{\mathrm{AD}2},s_{\mathrm{AE}1},s_{\mathrm{AE}2};s_{\mathrm{BD}1},s_{\mathrm{BD}2},s_{\mathrm{BE}1},s_{\mathrm{BE}2};s_{\mathrm{CD}1},s_{\mathrm{CD}2},s_{\mathrm{CE}1},s_{\mathrm{CE}2}){\&Element;{\left\{\mathrm{0,1}\right\}}^l\&times;}_{}{z}_q^{2\mathrm{uv}}$ 发送给验证者。

步骤4.验证过程：验证者D计算

验证者E计算

分别互相广播三项计算结果；验证者D和E收集完对方的广播数据后，均可以计算

${\tilde{A}}_A=y_A^{s_{\mathrm{AD}1}}{y}_D^{s_{\mathrm{AD}2}}{y}_A^{{\mathrm{cx}}_D}\left|\right|y_A^{s_{\mathrm{AE}1}}{y}_E^{s_{\mathrm{AE}2}}{y}_A^{{\mathrm{cx}}_E},$

${\tilde{A}}_B=y_B^{s_{\mathrm{BD}1}}{y}_D^{s_{\mathrm{BD}2}}{y}_B^{{\mathrm{cx}}_D}\left|\right|y_B^{s_{\mathrm{BE}1}}{y}_E^{s_{\mathrm{BE}2}}{y}_B^{{\mathrm{cx}}_E},$

${\tilde{A}}_C=y_C^{s_{\mathrm{CD}1}}{y}_D^{s_{\mathrm{CD}2}}{y}_C^{{\mathrm{cx}}_D}\left|\right|y_C^{s_{\mathrm{CE}1}}{y}_E^{s_{\mathrm{CE}2}}{y}_C^{{\mathrm{cx}}_E},$

验证者D和E均可将得到的

带入步骤1选取的哈希函数H＝SHA-1，计算得到

将该计算结果与所收到的签名(c；s_AD1，s_AD2，s_AE1，s_AE2；s_BD1，s_BD2，s_BE1，s_BE2；s_CD1，s_CD2，s_CE1，s_CE2)中的c进行比较，如果相等即验证通过，否则验证不通过。

实施例2

设有四名工作人员A、B、C、D完成了工作报告，需要共同在报告上签名，并指定主管E、主管F和主管G可以验证该数字签名。

步骤1.生成系统参数：设系统建立的公共参数为阶为素数q的循环群G_g，q，以及安全Hash函数H＝MD5。

步骤2.用户密钥建立：

用户A、B、C、D、E、F、G的私钥分别为x_A，x_B，x_C，x_D，x_E，x_F，x_G，这些私钥分别由每个用户秘密保存，对应地，他们的公钥分别为y_A，y_B，y_C，y_D，y_E，y_F，y_G。

工作人员A、B、C、D欲共同对消息m进行数字签名并指定三个验证者E、F、G进行验证，于是有u＝4，v＝3。设A是签名者中的负责人，即签名收集者，E是验证者中的负责人，即验证收集者。

步骤3.签名过程：

签名者A随机选择 $r_{\mathrm{AE}1},r_{\mathrm{AE}2}\&Element;z_q^{*},$ $r_{\mathrm{AF}1},r_{\mathrm{AF}2}\&Element;z_q^{*},$ $r_{\mathrm{AG}1},r_{\mathrm{AG}2}\&Element;z_q^{*};$ 计算 $A_A=y_A^{r_{\mathrm{AE}1}}{y}_E^{r_{\mathrm{AE}2}}\left|\right|y_A^{r_{\mathrm{AF}1}}{y}_F^{r_{\mathrm{AF}2}}\left|\right|y_A^{r_{\mathrm{AG}1}}{y}_G^{r_{\mathrm{AG}2}};$

签名者B随机选择 $r_{\mathrm{BE}1},r_{\mathrm{BE}2}\&Element;z_q^{*},$ $r_{\mathrm{BF}1},r_{\mathrm{BF}2}\&Element;z_q^{*},$ $r_{\mathrm{BG}1},r_{\mathrm{BG}2}\&Element;z_q^{*};$ 计算 $A_B=y_B^{r_{\mathrm{BE}1}}{y}_E^{r_{\mathrm{BE}2}}\left|\right|y_B^{r_{\mathrm{BF}1}}{y}_F^{r_{\mathrm{BF}2}}\left|\right|y_B^{r_{\mathrm{BG}1}}{y}_G^{r_{\mathrm{BG}2}},$ 将A_B发送给签名收集者A；

签名者C随机选择 $r_{\mathrm{CE}1},r_{\mathrm{CE}2}\&Element;z_q^{*},$ $r_{\mathrm{CF}1},r_{\mathrm{CF}2}\&Element;z_q^{*},$ $r_{\mathrm{CG}1},r_{\mathrm{CG}2}\&Element;z_q^{*};$ 计算 $A_C=y_C^{r_{\mathrm{CE}1}}{y}_E^{r_{\mathrm{CE}2}}\left|\right|y_C^{r_{\mathrm{CF}1}}{y}_F^{r_{\mathrm{CF}2}}\left|\right|y_C^{r_{\mathrm{CG}1}}{y}_G^{r_{\mathrm{CG}2}},$ 将A_C发送给签名收集者A；

签名者D随机选择 $r_{\mathrm{DE}1},r_{\mathrm{DE}2}\&Element;z_q^{*},$ $r_{\mathrm{DF}1},r_{\mathrm{DF}2}\&Element;z_q^{*},$ $r_{\mathrm{DG}1},r_{\mathrm{DG}2}\&Element;z_q^{*};$ 计算 $A_D=y_D^{r_{\mathrm{DE}1}}{y}_E^{r_{\mathrm{DE}2}}\left|\right|y_D^{r_{\mathrm{DF}1}}{y}_F^{r_{\mathrm{DF}2}}\left|\right|y_D^{r_{\mathrm{DG}1}}{y}_G^{r_{\mathrm{DG}2}},$ 将A_D发送给签名收集者A；

收集者A计算c＝H(m||g||q‖A_A‖A_B‖A_C‖A_D)，并将c发送给B、C、D。

签名者A(兼收集者)计算 $\begin{array}{c}{s}_{\mathrm{AE}1}=r_{\mathrm{AE}1},s_{\mathrm{AE}2}=r_{\mathrm{AE}2}-{\mathrm{cx}}_A\mathrm{mod}q,s_{\mathrm{AF}1}=r_{\mathrm{AF}1},s_{\mathrm{AF}2},=r_{\mathrm{AF}2}-{\mathrm{cx}}_A\mathrm{mod}q,\\ s_{\mathrm{AG}1}=r_{\mathrm{AG}1},s_{\mathrm{AG}2}=r_{\mathrm{AG}2}-{\mathrm{cx}}_A\mathrm{mod}q\end{array};$ 并保存 $(s_{\mathrm{AE}1},s_{\mathrm{AE}2},s_{\mathrm{AF}1},s_{\mathrm{AF}2},s_{\mathrm{AG}1},s_{\mathrm{AG}2})\&Element;z_q^{2v}$

签名者B计算

$\begin{array}{c}{s}_{\mathrm{BE}1}=r_{\mathrm{BE}1},s_{\mathrm{BE}2}=r_{\mathrm{BE}2}-{\mathrm{cx}}_B\mathrm{mod}q,s_{\mathrm{BF}1}=r_{\mathrm{BF}1},s_{\mathrm{BF}2},=r_{\mathrm{BF}2}-{\mathrm{cx}}_B\mathrm{mod}q,\\ s_{\mathrm{BG}1}=r_{\mathrm{BG}1},s_{\mathrm{BG}2}=r_{\mathrm{BG}2}-{\mathrm{cx}}_B\mathrm{mod}q\end{array};$ 并将 $(s_{\mathrm{BE}1},s_{\mathrm{BE}2},s_{\mathrm{BF}1},s_{\mathrm{BF}2},s_{\mathrm{BG}1},s_{\mathrm{BG}2})\&Element;z_q^{2v}$ 发送给签名收集者A。

签名者C计算

$\begin{array}{c}{s}_{\mathrm{CE}1}=r_{\mathrm{CE}1},s_{\mathrm{CE}2}=r_{\mathrm{CE}2}-{\mathrm{cx}}_C\mathrm{mod}q,s_{\mathrm{CF}1}=r_{\mathrm{CF}1},s_{\mathrm{CF}2},=r_{\mathrm{CF}2}-{\mathrm{cx}}_C\mathrm{mod}q,\\ s_{\mathrm{CG}1}=r_{\mathrm{CG}1},s_{\mathrm{CG}2}=r_{\mathrm{CG}2}-{\mathrm{cx}}_C\mathrm{mod}q\end{array};$ 并将 $(s_{\mathrm{CE}1},s_{\mathrm{CE}2},s_{\mathrm{CF}1},s_{\mathrm{CF}2},s_{\mathrm{CG}1},s_{\mathrm{CG}2})\&Element;z_q^{2v}$ 发送给签名收集者A。

签名者D计算

$\begin{array}{c}{s}_{\mathrm{DE}1}=r_{\mathrm{DE}1},s_{\mathrm{DE}2}=r_{\mathrm{DE}2}-{\mathrm{cx}}_D\mathrm{mod}q,s_{\mathrm{DF}1}=r_{\mathrm{DF}1},s_{\mathrm{DF}2},=r_{\mathrm{DF}2}-{\mathrm{cx}}_D\mathrm{mod}q,\\ s_{\mathrm{DG}1}=r_{\mathrm{DG}1},s_{\mathrm{DG}2}=r_{\mathrm{DG}2}-{\mathrm{cx}}_D\mathrm{mod}q\end{array};$ 并将 $(s_{\mathrm{DE}1},s_{\mathrm{DE}2},s_{\mathrm{DF}1},s_{\mathrm{DF}2},s_{\mathrm{DG}1},s_{\mathrm{DG}2})\&Element;z_q^{2v}$ 发送给签名收集者A。

签名收集者A发送消息m的签名者(A，B，C，D)的强指定验证者(E，F，G)的签名 $\begin{array}{c}(c;s_{\mathrm{AE}1},s_{\mathrm{AE}2},s_{\mathrm{AF}1},s_{\mathrm{AF}2,}{s}_{\mathrm{AG}1},s_{\mathrm{AG}2};s_{\mathrm{BE}1},s_{\mathrm{BE}2},s_{\mathrm{BF}1},s_{\mathrm{BF}2},s_{\mathrm{BG}1},s_{\mathrm{BG}2};\\ s_{\mathrm{CE}1},s_{\mathrm{CE}2},s_{\mathrm{CF}1},s_{\mathrm{CF}2},s_{\mathrm{CG}1},s_{\mathrm{CG}2};s_{\mathrm{DE}1},s_{\mathrm{DE}2},s_{\mathrm{DF}1},s_{\mathrm{DF}2},s_{\mathrm{DG}1},s_{\mathrm{DG}2})\&Element;{\left\{\mathrm{0,1}\right\}}^l\&times;z_q^{2\mathrm{uv}}\end{array}$ 给指定的验证者。

步骤4.验证过程：

验证者E计算

验证者F计算

并发送给验证收集者E；

验证者G计算

并发送给验证收集者E。

验证收集者E计算

${\tilde{A}}_A=y_A^{s_{\mathrm{AE}1}}{y}_E^{s_{\mathrm{AE}2}}{y}_A^{{\mathrm{cx}}_E}\left|\right|y_A^{s_{\mathrm{AF}1}}{y}_F^{s_{\mathrm{AF}2}}{y}_A^{{\mathrm{cx}}_F}\left|\right|y_A^{s_{\mathrm{AG}1}}{y}_G^{s_{\mathrm{AG}2}}{y}_A^{{\mathrm{cx}}_G},$

${\tilde{A}}_B=y_B^{s_{\mathrm{BE}1}}{y}_E^{s_{\mathrm{BE}2}}{y}_B^{{\mathrm{cx}}_E}\left|\right|y_B^{s_{\mathrm{BF}1}}{y}_F^{s_{\mathrm{BF}2}}{y}_B^{{\mathrm{cx}}_F}\left|\right|y_B^{s_{\mathrm{BG}1}}{y}_G^{s_{\mathrm{BG}2}}{y}_B^{{\mathrm{cx}}_G},$

${\tilde{A}}_C=y_C^{s_{\mathrm{CE}1}}{y}_E^{s_{\mathrm{CE}2}}{y}_C^{{\mathrm{cx}}_E}\left|\right|y_C^{s_{\mathrm{CF}1}}{y}_F^{s_{\mathrm{CF}2}}{y}_C^{{\mathrm{cx}}_F}\left|\right|y_C^{s_{\mathrm{CG}1}}{y}_G^{s_{\mathrm{CG}2}}{y}_C^{{\mathrm{cx}}_G},$

${\tilde{A}}_D=y_D^{s_{\mathrm{DE}1}}{y}_E^{s_{\mathrm{DE}2}}{y}_D^{{\mathrm{cx}}_E}\left|\right|y_D^{s_{\mathrm{DF}1}}{y}_F^{s_{\mathrm{DF}2}}{y}_D^{{\mathrm{cx}}_F}\left|\right|y_D^{s_{\mathrm{DG}1}}{y}_G^{s_{\mathrm{DG}2}}{y}_D^{{\mathrm{cx}}_G},$

并向其他验证者F和G广播以上四项计算结果。

验证者E、F、G均可将得到的

带入步骤1选取的哈希函数H＝MD5，计算得到

将该计算结果与所收到的签名 $\begin{array}{c}(c;s_{\mathrm{AE}1},s_{\mathrm{AE}2},s_{\mathrm{AF}1},s_{\mathrm{AF}2,}{s}_{\mathrm{AG}1},s_{\mathrm{AG}2};s_{\mathrm{BE}1},s_{\mathrm{BE}2},s_{\mathrm{BF}1},s_{\mathrm{BF}2},s_{\mathrm{BG}1},s_{\mathrm{BG}2};\\ s_{\mathrm{CE}1},s_{\mathrm{CE}2},s_{\mathrm{CF}1},s_{\mathrm{CF}2},s_{\mathrm{CG}1},s_{\mathrm{CG}2};s_{\mathrm{DE}1},s_{\mathrm{DE}2},s_{\mathrm{DF}1},s_{\mathrm{DF}2},s_{\mathrm{DG}1},s_{\mathrm{DG}2})\end{array}$ 中的c进行比较，如果相等即验证通过，否则验证不通过。

本发明提供的数字签名算法可以有效地防止签名伪造，伪造签名相当于求解公认的基于离散对数困难问题，其安全性基于离散对数的困难性和哈希函数的单向性。

综上所述，本发明所提供的电子文档数字签名安全保护方法，运算效率高，可以控制该签名的验证权，能够提供电子文档在存储或传输中的完整性、真实性和不可否认性的安全保护。

Claims (2)

1、一种多签名者强指定多个验证者的数字签名文档安全保护方法，其特征在于，多人共同生成数字签名，并只有指定的多个验证者可以验证该数字签名，该方法按照以下步骤具体实施：

步骤1.生成系统参数：

选择阶为素数q的循环群G_g，q，其中g是生成元，即G_g，q＝<g>，|G_g，q|＝ord(g)＝q，q是一个二进制长度为l的素数，l是安全参数，要求在循环群G_g，q中计算离散对数问题DLP是困难的，

选择一个密码学单向哈希函数H：{0，1}^*→{0，1}^l；

步骤2.用户密钥建立：

为多个签名者u_i，i＝1，…，u秘密选择私钥

并通过秘密信道分发，分别为每个签名者生成公钥：

为多个指定的验证者v_j，j＝1，…，v秘密选择私钥并通过秘密信道分发，分别为每个验证者生成公钥：

步骤3.签名过程：

设：多个签名者为u_i，i＝1，…，u，

强指定多个验证者为v_j，j＝1，…，v，

消息为m；

31)每个签名者u_i，i＝1，…，u，随机选择

j＝1，…，v；计算

并将计算结果

发送给签名收集者或者广播给其他的签名者；

32)签名收集者或者签名者将上步每个签名者计算得到的

收集完全后，按照步骤1选择的哈希函数，根据下列公式

$c=H\left(m\right|\left|g\right|\left|q\right|\left|A_{u_1}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_i}\right||\&CenterDot;\&CenterDot;\&CenterDot;|\left|A_{u_u}\right)$

计算得到c，并将c广播给所有的签名者；

33)每个签名者u_i，i＝1，…，u计算s_ij1：＝r_ij1，

mod q，j＝1，…，v，并将

发送给签名收集者或者广播给其他的签名者；

34)根据步骤32)和步骤33)得到的计算结果，签名收集者或者所有的签名者确定消息m的签名者(u₁，…，u_u)的强指定验证者(v₁，…，v_v)的签名是：

$(c;s_{111},s_{112},\&CenterDot;\&CenterDot;\&CenterDot;,s_{1v1},s_{1v2};\&CenterDot;\&CenterDot;\&CenterDot;;s_{u11},s_{u12},\&CenterDot;\&CenterDot;\&CenterDot;,s_{\mathrm{uv}1},s_{\mathrm{uv}2})\&Element;{\left\{\mathrm{0,1}\right\}}^l\&times;z_q^{2\mathrm{uv}};$

35)签名收集者或者签名者将消息m和

签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)发给验证者；

步骤4.验证过程：

41)每个验证者v_j，j＝1，…，v，计算i＝1，…，u，并将计算结果发送给验证收集者或者直接广播给其他的验证者；

42)验证收集者或者验证者将步骤41)中每个验证者的计算结果收集完后计算

将计算得到的

带入步骤1选取的哈希函数H：{0，1}^*→{0，1}^l，

计算得到

将该计算结果与所收到的签名(c；s₁₁₁，s₁₁₂，…，s_1v1，s_1v2；…；s_u11，s_u12，…，s_uv1，s_uv2)中的c进行比较，如果相等即验证通过，否则验证不通过。

2、根据权利要求1所述的数字签名文档安全保护方法，所述的哈希函数H：{0，1}^*→{0，1}^l选取H＝SHA-1或H＝MD5。