CN101977110B - 一种基于椭圆曲线的群签名方法 - Google Patents

Abstract

一种基于椭圆曲线的群签名方法，它有六大步骤：一、选取椭圆曲线上两个阶为p的乘法循环群G₁，G₂，以及一个非退化的双线性映射e，它把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T；二、群管理员运行密钥生成算法，产生群公钥，并为群中的成员产生签名密钥；三、在密钥生成算法群成员得到相应的签名密钥后，运行签名算法；四、验证者利用群公钥运行验证算法验证签名δ的有效性；五、签名追踪算法，对于给定的一个签名，将成员在该签名产生的时间段的撤销标识代入撤销验证不等式中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签；六、成员撤销算法，在某些情况下，要将一些成员的签名能力撤销掉，这需要计算相应时间间隔该成员的撤销标识，并公布到撤销列表中。

Description

一种基于椭圆曲线的群签名方法

(一)技术领域：

本发明涉及一种基于椭圆曲线的群签名方法，它利用椭圆曲线上的两种困难假设，构造了一种适用于多用户场景的签名方法，即面向群组的群签名方案。该方案具有群签名的一般特点，能够保护签名者的匿名性。此外，签名长度和运算量优于同类方案。因此，该方案可用于构造电子商务、电子政务、车载通信认证等模块。属于数字签名技术和群组密码技术领域。

(二)技术背景：

1978年，李维斯特(R.L.Rivest)，夏米尔(A.Shamir)和阿德曼(L.Adleman)在题为《一种构造数字签名和公钥加密体制的方法(A method for obtaining digital signature andpublic-key cryptosystem)》的一文中，构造了第一个公钥数字签名方案，此后数字签名的研究不断丰富发展。这些数字签名是传统意义上的数字签名，是“一对一”的数字签名，即一个签名密钥对应一个签名公钥。随着电子商务、电子政务、电子投票等业务的不断展开，传统的数字签名已经不能满足这种多用户应用场景中提出的新需求和挑战。为了满足多用户应用环境下的特定需求，密码研究者又提出了许多具有特殊性质的数字签名，以满足现实应用中的某些特定需求。

群签名就是在这种情况下被提出来的，它是一种面向群组的签名体制，由丘姆(D.Chaum)和黑斯特(E.V.Heyst)在1991年欧洲密码年会(EUROCRYPTO)中题为《群签名(GroupSignature)》的一文中首次提出。在群签名体制中，一些签名成员构成一个群，每个成员有不同的签名密钥，签名密钥和群中唯一的群公钥相对应。群中任何一个成员都可以代表这个群对消息进行签名，验证者可以利用群公钥来检验签名的有效性，但无法从一个群签名中确定签名者的身份。当发生纠分时，能且只能由群中负责打开签名的管理员追踪出签名者的身份。这种签名体制，主要用于保护签名者的匿名性，能够很好地隐藏群中的内部结构，可适用于政府管理、企业管理、电子商务以及军事等领域，比如电子现金、电子投标、车辆安全通信等。

群签名虽然有着广泛的应用背景，但在现实应用中却受到了限制，其中一个重要原因就是撤销问题。基于证书撤销列表和基于证据的撤销方法，是目前主要使用的两种方法。本地验证撤销(Verifier-Local Revocation)，由波内(D.Boneh)和沙查姆(H.Shacham)在2004年的计算机与通信安全年会(Conference on Computer and Communications Security)中发表题为《本地验证撤销的群签名方案(Group signatures with verifier-local revocation)》的一文中提出来，是目前效率最高的一种基于证书撤销列表的撤销方法。本地验证撤销方法，是每一个成员都有一个撤销标识，如果要撤销某个成员，其相应的撤销标识就被添加到撤销列表中，撤销列表上的信息只需要发送给验证者即可。验证者用公钥和撤销列表就可以检验成员是否被撤销，而无需签名者和第三方的参与，因此称为本地验证。后向无关联性(BackwardUnlinkability，BU)，由纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)在2005年的亚洲密码学年会(ASIACRYPTO)发表题为《基于双线对的具有后向无关联性的本地验证撤销群签名方案》中提出，它是指即使群成员在某个时间间隔被撤销，以前时间间隔产生的签名仍然保持匿名性。

椭圆曲线是代数几何中最重要的研究内容之一，但直到1985年，寇波力兹(N.Koblitz)和米勒(V.Miller)才将其引入密码学中，成为构造公钥密码技术的一个重要工具。基于椭圆曲线上的离散对数问题的难解性而构造的密码体制，被称为椭圆曲线密码算法(EllipticCurve Cryptography，ECC)，它有以下优势：

(1)在达到相同安全条件下，具有较短的密钥长度，从而加密后生成的密文、签名后生成的签名的长度较短。因此，椭圆密码体制可以使用更小规模的软、硬件实现有限域上具有相同安全性的同类密码体制。

(2)在实现中，所有的用户可以选择同一基域F上的不同椭圆曲线。这样，所有用户可使用相同的硬件完成域上算法。

(3)构造使用其他工具不能实现的一些密码体制，如利用椭圆曲线上的双线对构造基于身份的密码体制。

本专利申请将利用椭圆曲线上的两个困难假设，设计一种椭圆曲线上的保护签名者匿名性的群签名方案，它包括以下几个部分：

(1)群管理员选取系统参数；

(2)群管理员为群中成员的产生签名密钥；

(3)群中签名成员使用签名密钥运行签名算法，产生群签名；

(4)任何一个验证者都可以使用群公钥验证签名是否为某个群成员的有效签名，但不能确定签名成员的身份；

(5)如果发生纠纷需要打开一个签名时，群管理员运行签名打开算法，确定产生该签名的群成员身份。

(6)当要撤销某个成员的签名能力时，群管理员计算该成员的撤销标识，并公布到撤销列表中。

(三)发明内容：

1、目的

群签名是一种适用于多用户场景的签名体制，可以保护签名者的匿名性，有着广泛的应用背景。然而，撤销问题是群签名在实际应用中的一个瓶颈，VLR是一种高效的基于撤销列表的撤销方法。

波内(D.Boneh)和沙查姆(H.Shacham)2004年提出的VLR群签名，是一个比较经典的VLR群签名方案。它是目前VLR群签名方案中最高效的签名方案，被一些文献广泛引用，用于构造其他密码方案。不过该方案不具有后向无关联性。纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)首次提出了BU-VLR群签名方案，但相较波内(D.Boneh)和沙查姆(H.Shacham)2004年的方案而言，签名长度过长、运算量过大。此后一些BU-VLR群签名方案相继被提出来，但签名长度和运算效率仍与波内(D.Boneh)和沙查姆(H.Shacham)2004年的方案有差距。其中，2006年纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)方案和周苏静等在密码和网络安全国际会议(CANS 2006)提出的方案中第7个方案，是相对高效的BU-VLR方案。

设计运算量较低、签名长度较短的BU-VLR群签名方案，是本发明专利的主要目的。本专利将基于椭圆曲线上的q-强迪非-海尔曼(q-strong Diffie-Hellman，缩写为q-SDH)困难假设以及判定线性(Decision Linear，缩写为DLIN)困难假设，给出一种基于椭圆曲线密码体制的群签名方法，该方法是一种本地验证撤销的群签名方案，方案具有后向无关联性，且签名长度和运算量都比较接近于波内(D.Boneh)和沙查姆(H.Shacham)2004年提出的群签名方案，因此性能优于纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)2005年提出的方案，而且和同类的BU-VLR方案相比，也具有较大的优势。

2、技术方案

在相同安全条件下，椭圆曲线密码体制具有较短的密钥长度、签名长度、密文长度。本发明是一种椭圆曲线密码体制，是在椭圆曲线上的q-SDH困难假设和DLIN困难假设下，构造的一种高效的后向无关联性的本地撤销验证群签名方案。通过该方案，群中任何一个成员可以对任意消息M进行签名，得到签名δ；任何验证者都可以使用群公钥对签名δ进行验证，从而判定签名δ的有效性，但不能从签名δ中确定签名成员的身份。

本发明一种基于椭圆曲线的群签名方法，该方法具体步骤如下：

步骤一：在系统初化阶段，选取椭圆曲线上两个阶为素数p的乘法循环群G₁，G₂，以及一个非退化的双线性映射e，它把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T。在本系统中选取G₁≠G₂，且从G₂到G₁存在一个有效的可计算的同态映射：ψ：G₂→G₁。

步骤二：群管理员运行密钥生成算法KeyGen(n，T)，产生群公钥，并为群中的成员产生签名密钥，这里n，T分别指群中成员的个数、时间间隔的总数，这两个参数是作为输入参数，被输入到密钥生成算法中。产生密钥的具体实现过程如下：

(1)随机选取G₂中的一个生成元g₂，以及一个碰撞自由的哈希函数H，它把由0和1构成的比特串映射到模p的整数域

上，即

令g₁＝ψ(g₂)，G₁＝<g₁>，即g₁是G₁的一个生成元。

(2)随机选取中的一个随机元素γ，即

计算公钥的组成部分

(3)随机选取

中的一个随机元素x_i，即

对所有的成员i∈[1，n]，计算群成员i的签名密钥的组成部分

(4)随机选取

中的一个随机元素r_i，

对所有的j∈[1，T]，计算第j个时间间隔中第i个群成员的撤销标识为

以及公钥的组成部分

为了降低不必要的运算量，这里的撤销标识不同以往方案，不是在密钥产生阶段就被计算，而是在需要撤销的时被计算。

至此，密钥产生算法输出群公钥gpk＝(g₁，g₂，g，h₁，…，h_T，w)、群成员i的签名密钥gsk_i＝(A_i，x_i)。以上各式中的符号含义是γ：群管理员的密钥；(A_i，x_i)：第i个群成员的签名。

步骤三：在密钥生成算法之后，群成员得到相应的签名密钥，就可以运行签名算法。群成员可以对任意的消息M进行签名，产生相应的签名δ。具体的签名算法Sign(gpk，j，gsk_i，M)运行过程如下：

(1)随机选取

计算

(2)产生一个关于如下表示的知识签名(signature of knowledge)：

$\mathrm{\&pi;}=\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):T_1=A_i^{\mathrm{\&alpha;}},T_2=h_j^{\mathrm{\&alpha;}+x_i},e(A_i,{\mathrm{wg}}_2^{x_i})=e(g_1,g_2)\}\left(M\right)$

$\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):e(T_1,w)=e{(g_1,g_2)}^{\mathrm{\&alpha;}}/e{(T_1,g_2)}^{x_i},T_2=h_j^{\mathrm{\&alpha;}+x_i}\}\left(M\right)$

具体操作为：

(a)随机选择盲因子r_α，

计算

$R_1=e{(g_1,g_2)}^{r_{\mathrm{\&alpha;}}}/e{(T_1,g_2)}^{r_{x_i}}---\left(1\right)$

$R_2=h_j^{r_{\mathrm{\&alpha;}}+r_{x_i}}---\left(2\right)$

(b)计算挑战值c＝H(gpk，j，M，T₁，T₂，R₁，R₂)，以及

(3)最后输出签名

式中δ：表示群成员产生的一个群签名。

步骤四：当收到签名δ时，验证者利用群公钥运行验证算法Verify(gpk，j，RL_j，δ，M)，就可以验证签名δ的有效性，具体实现过程如下：

(1)签名验证：计算

${\stackrel{\&OverBar;}{R}}_1=e{(g_1,g_2)}^{s_{\mathrm{\&alpha;}}}{(1/e(T_1,g_1))}^{s_{x_i}}{\left(\frac{1}{e(T_1,w)}\right)}^c---\left(3\right)$

${\stackrel{\&OverBar;}{R}}_2=h^{s_{\mathrm{\&alpha;}}+s_{x_i}}{(1/T_2)}^c---\left(4\right)$

检验等式是否成立，来判定挑战c是否有效。

(2)撤销验证：在签名验证通过后，可以利用该算法验证产生签名δ的群成员是否是合法的群成员，即确定其签名密钥相应的撤销标识没有包含在撤销列表中。操作如下：在第j时间间隔里，对撤销列表中的每一个撤销标识

检验不等式

是否成立。若成立，则表明成员是合法的群成员，没有被撤销；反之，成员已经被撤销。

通过以上两步检验的签名，即为一个合法成员的有效签名。

步骤五：签名追踪算法，对于给定的一个签名，可以把成员i在该签名产生的时间间隔j的撤销标识grt_ij一一代入撤销验证不等式

中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签。

步骤六：成员撤销算法，在一些特定情况下，需要将一些成员的签名能力撤销掉，这时只需要计算相应时间间隔j该成员i的撤销标识grt_ij，并公布到撤销列表RL_j中。

3、优点及功效

在椭圆曲线上，利用q-SDH和DLIN困难假设，本专利申请提出了一种后向无关联性的本地撤销验证群签名方案。

该方案和同类的后向无关联性本地撤销验证群签名方案在签名长度、运算开销上都具有相对优势：

(1)签名长度方面：本专利申请中提出的方案只有852比特，而同样是后向无关联性的本地撤销验证群签名方案，纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)2005年、2006年提出的BU-VLR群签名方案和周苏静等2006年提出的BU-VLR群签名方案中第7个方案，它们的签名长度分别为2893比特、1533比特、1364比特。而且，比波内(D.Boneh)和沙查姆(H.Shacham)2004提出的长度为1192比特VLR群签名方案还要短340比特。

(2)运算量方面：在签名产生和验证阶段，本专利申请中提出的方案在标量运算上的开销比纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)2005年、2006年的BU-VLR群签名方案和周苏静等2006提出的BU-VLR群签名方案中第7个方案都要少；在双线性对运算上，比波内(D.Boneh)和沙查姆(H.Shacham)2004的方案在签名验阶段多一次双线性对运算，比纳肯内什(T.Nakanishi)和凡比凯(N.Funabiki)2006的方案和周苏静等2006方案中第7个都要少。

由于本专利申请提出的群签名方案，具有后向无关联性和本地撤销验证两个特性，且在同类方案中性能具有相对的优势。因此，方案可以用于多用户环境中保护用户的隐私性。例如可用在车载网络中，网络中的车辆在使用车载单元(On-Board Units)装置向网络中其他车辆发送信息时，可以通过本专利中的群签名方案对消息进行签名，接收的车辆可以验证签名的有效性，但无法确定签名是由那一辆车产生的。

(四)附图说明：

图1本发明方法结构示意，图示了本发明组成部分及步骤。

图2本发明方法的流程图，描述了如何从生成签名密钥到签名验证的过程。

图中符号说明如下：

GM：群管理员    γ：群管理员的密钥

(A_i，x_i)：第i个群成员的签名密钥

δ：群成员产生的一个群签名

(五)具体实施方式：

在相同安全条件下，椭圆曲线密码体制具有较短的密钥长度、签名长度、密文长度。本发明提出了一种椭圆曲线上签名方案，它是在q-SDH困难假设和DLIN困难假设下构造的一种高效的后向无关联性的本地撤销验证群签名方法。其中包括：一个认证授权机构做为群管理员产生系统参数；群管理员和群中的签名成员进行交互，为成员产生签名密钥；群中签名成员使用签名密钥运行签名算法产生签名；任何一个签名验证者都可以利用群公钥验证签名的是否为群中某个签名成员的有效签名，但不能确定是群中那个签名成员所签。

图1是本发明方法结构示意，展示了本发明的组成部分及步骤情况。

图2是本发明签名的流程图，描述了从系统参数到签名验证的过程，下面结合图2来说明这种基于椭圆曲线的群签名生成方法。

本发明一种基于椭圆曲线的群签名方法，该方法具体步骤如下：

步骤一：群管理员选取椭圆曲线上两个阶为素数p的乘法循环群G₁，G₂，以及一个非退化的双线性映射e，该双线性映射把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T。在本系统中群管理员选取G₁≠G₂，且从G₂到G₁存在一个有效的可计算的同态映射ψ：G₂→G₁。

步骤二：群管理员运行密钥生成算法KeyGen(n，T)，产生群公钥，并为群中的成员产生签名密钥。这里n，T分别指群中成员的个数、时间间隔的总数，它们作为系统输入被输入到密钥运算法中。密钥产生的具体实现过程如下：

(1)随机选取G₂中的一个生成元g₂，以及一个碰撞自由的哈希函数令g₁＝ψ(g₂)，G₁＝<g₁>。

(2)随机选取并计算

(3)随机选取

对所有的i∈[1，n]计算

(4)随机选取

中的一个随机元素r_i，对所有的j∈[1，T]，计算第j个时间间隔中第i个群成员的撤销标识为

以及公钥的组成部分

为了降低不必要的运算量，这里的撤销标识不同以往方案，不是在密钥产生阶段就被计算，而是在需要撤销的时被计算。

至此，密钥产生算法输出公钥gpk＝(g₁，g₂，g，h₁，…，h_T，w)、群成员i的签名密钥gsk_i＝(A_i，x_i)。

步骤三：在得到签名密钥之后，群成员就可以对任意的消息M进行签名，产生签名δ。具体的签名算法Sign(gpk，j，gsk_i，M)运行过程如下：

(1)随机选取

计算

(2)产生一个关于如下表示的知识签名(signature of knowledge)：

$\mathrm{\&pi;}=\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):T_1=A_i^{\mathrm{\&alpha;}},T_2=h_j^{\mathrm{\&alpha;}+x_i},e(A_i,{\mathrm{wg}}_2^{x_i})=e(g_1,g_2)\}\left(M\right)$

$\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):e(T_1,w)=e{(g_1,g_2)}^{\mathrm{\&alpha;}}/e{(T_1,g_2)}^{x_i},T_2=h_j^{\mathrm{\&alpha;}+x_i}\}\left(M\right)$

具体操作为：

(a)随机选择盲因子r_α，

计算

$R_1=e{(g_1,g_2)}^{r_{\mathrm{\&alpha;}}}/e{(T_1,g_2)}^{r_{x_i}}---\left(1\right)$

$R_2=h_j^{r_{\mathrm{\&alpha;}}+r_{x_i}}---\left(2\right)$

(b)计算挑战值c＝H(gpk，j，M，T₁，T₂，R₁，R₂)，以及

(3)最后输出的签名

步骤四：对于收到的签名δ，验证者利用群公钥运行验证算法Verify(gpk，j，RL_j，δ，M)可以验证签名δ的有效性，具体实现过程如下：

(1)签名验证

计算

${\stackrel{\&OverBar;}{R}}_1=e{(g_1,g_2)}^{s_{\mathrm{\&alpha;}}}{(1/e(T_1,g_1))}^{s_{x_i}}{\left(\frac{1}{e(T_1,w)}\right)}^c---\left(3\right)$

${\stackrel{\&OverBar;}{R}}_2=h^{s_{\mathrm{\&alpha;}}+s_{x_i}}{(1/T_2)}^c---\left(4\right)$

通过检验等式

是否成立，来判定挑战c是否有效。

(2)撤销验证

在签名验证通过后，可以利用该算法来验证产生签名δ的群成员是否是合法的成员，即确定签名成员的签名密钥相对应的撤销标识没有包含在撤销列表中。具体操作如下：在第j时间间隔里，对撤销列表中的每一个撤销标识

检验不等式是否成立。若成立，则表明成员是合法的群成员，没有被撤销；反之，被撤销。

当一个签名通过以上两上检验之后，则表明该名是一个合法成员的有效签名。

步骤五：签名追踪算法，对于给定的一个签名，可以把成员i在该签名产生的时间间隔j的撤销标识grt_ij一一代入撤销验证不等式

中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签。

步骤六：成员撤销算法，在一些特定情况下，需要将一些成员的签名能力撤销掉，这时只需要计算相应时间间隔j该成员i的撤销标识grt_ij，并公布到撤销列表RL_j中。

Claims (1)

1.一种基于椭圆曲线的群签名方法，其特征在于：该方法具体步骤如下：

步骤一：在系统初化阶段，选取椭圆曲线上两个阶为素数p的乘法循环群G₁，G₂,以及一个非退化的双线性映射e，它把G₁，G₂中的元素映射到G_T,即e：G₁×G₂→G_T；在本系统中选取G₁≠G₂，且从G₂到G₁存在一个有效的可计算的同态映射：ψ：G₂→G₁；

步骤二：群管理员运行密钥生成算法KeyGen(n，T)，产生群公钥，并为群中的成员产生签名密钥，这里n，T分别指群中成员的个数、时间间隔的总数，这两个参数是作为输入参数，被输入到密钥生成算法中；产生密钥的具体实现过程如下：

（1）随机选取G₂中的一个生成元g₂，以及一个碰撞自由的哈希函数H，它把由0和1构成的比特串映射到模p的整数域

上，即令g₁＝ψ(g₂)，G₁＝<g₁>，即g₁是G₁的一个生成元；

（2）随机选取

中的一个随机元素γ，即

计算公钥的组成部分

（3）随机选取

中的一个随机元素x_i，即

对所有的成员i∈[1，n]，计算群成员i的签名密钥的组成部分

（4）随机选取

中的一个随机元素r_i，

对所有的j∈[1，T]，计算第j个时间间隔中第i个群成员的撤销标识为 ${\mathrm{grt}}_{\mathrm{ij}}=({\mathrm{grt}}_{\mathrm{ij}}^1,{\mathrm{grt}}_{\mathrm{ij}}^2)=\left({\left({\mathrm{wg}}_2^{x_i}\right)}^{r_j}{h}_j^{\left({-x}_i\right)}\right),$ 以及公钥的组成部分

为了降低不必要的运算量，这里的撤销标识不同以往方案，不是在密钥产生阶段就被计算，而是在需要撤销的时被计算；

至此，密钥产生算法输出群公钥gpk＝(g₁，g₂，h₁，...，h_T，w)、群成员i的签名密钥gsk_i＝(A_i，x_i)；以上各式中的符号含义是γ：群管理员的密钥；(A_i，x_i)：第i个群成员的签名；

步骤三：在密钥生成算法之后，群成员得到相应的签名密钥，就可以运行签名算法；群成员可以对任意的消息M进行签名，产生相应的签名δ；具体的签名算法Sign(gpk，j，gsk_i，M)运行过程如下：

（1）随机选取 $\mathrm{\&alpha;}\&Element;Z_p^{*},$ 计算 $T_1=A_i^{\mathrm{\&alpha;}},$ $T_2=h_j^{\mathrm{\&alpha;}+x_i};$

（2）产生一个关于如下表示的知识签名即signature of knowledge：

$\mathrm{\&pi;}=\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):T_1=A_i^{\mathrm{\&alpha;}},T_2=h_j^{\mathrm{\&alpha;}+x_i},e(A_i,w{g_2}^{x_i})=e(g_1,g_2)\}\left(M\right)$

$\mathrm{SPK}\{(\mathrm{\&alpha;},x_i,A_i):e(T_1,w)=e{(g_1,g_2)}^{\mathrm{\&alpha;}}/e{(T_1,g_2)}^{x_i},T_2=h_j^{\mathrm{\&alpha;}-x_i}\}\left(M\right)$

具体操作为：

（a）随机选择盲因子r_α，

计算

$R_1=e{(g_1,g_2)}^{r_{\mathrm{\&alpha;}}}/e{(T_1,g_2)}^{r_{x_i}}---\left(1\right)$

$R_2=h_j^{r_{\mathrm{\&alpha;}}+r_{x_i}}---\left(2\right)$

(b)计算挑战值c＝H(gpk，j，M，T₁，T₂，R₁，R₂)，以及

（3）最后输出签名

式中δ：表示群成员产生的一个群签名；

步骤四：当收到签名δ时，验证者利用群公钥运行验证算法Verify(gp k，_j，RL_j，δ，M)，就可以验证签名δ的有效性，具体实现过程如下：

（1）签名验证：计算

${\stackrel{\&OverBar;}{R}}_1=e{(g_1,g_2)}^{s_{\mathrm{\&alpha;}}}{(1/e(T_1,g_1))}^{{s_x}_i}{\left(\frac{1}{e(T_1,w)}\right)}^c---\left(3\right)$

${\stackrel{\&OverBar;}{R}}_2=h^{s_{\mathrm{\&alpha;}}+s_{x_i}}{(1/T_2)}^c---\left(4\right)$

检验等式

是否成立，来判定挑战c是否有效；

（2）撤销验证：在签名验证通过后，可以利用该算法验证产生签名δ的群成员是否是合法的群成员，即确定其签名密钥相应的撤销标识没有包含在撤销列表中；操作如下：在第j时间间隔里，对撤销列表中的每一个撤销标识

检验不等式

是否成立；若成立，则表明成员是合法的群成员，没有被撤销；反之，成员已经被撤销；

通过以上两步检验的签名，即为一个合法成员的有效签名；

步骤五：签名追踪算法，对于给定的一个签名，可以把成员i在该签名产生的时间间隔j的撤销标识grt_ij一一代入撤销验证不等式

中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签；

步骤六：成员撤销算法，在一些特定情况下，需要将一些成员的签名能力撤销掉，这时只需要计算相应时间间隔j该成员i的撤销标识grt_ij，并公布到撤销列表RL_j中。

Images