CN111355590A - 无证书环境下具有强指定验证者的多变量多重签名方法 - Google Patents

Abstract

一种无证书环境下具有强指定验证者的多变量多重签名方法，由建立系统参数、生成部分公私钥、生成公私钥、多重签名、验证、签名副本步骤组成。本发明在多变量公钥密码体制下结合无证书公钥密码体制和具有强指定验证者的多重签名方法，提出了一种无证书环境下具有强指定验证者的多变量多重签名方法，该方法采用无证书公钥密码技术，解决了传统密码体制下的证书管理问题和身份密码体制下的密钥托管问题。多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名和验证计算量小、抵抗量子计算攻击等优点，可以应用于车载网络、教育系统等技术领域。

Description

无证书环境下具有强指定验证者的多变量多重签名方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到密码学或多变量公钥密码体制或无证书公钥密码体制或具有强指定验证者的多重签名方法。

背景技术

强指定验证者多重签名是一种面向群的签名，允许多个签名者签署同一个消息，并且仅仅由签名者指定的验证者能验证签名的有效性。强指定验证者多重签名可以应用于电子购物、电子拍卖和知识产权保护。目前，大多数具有强指定验证者的多重签名的安全性主要基于大整数分解问题或离散对数问题的难解性。量子算法的出现和量子计算机的即将诞生，对基于传统公钥密码体制的强指定验证者多重签名方法会构成一定的威胁，另外已有强指定验证者多重签名方法存在证书管理问题和密钥托管问题。因此，研究具有抗量子计算攻击特性的无证书环境下具有强指定验证者的多重签名方法具有重要意义。

多变量公钥密码作为抗量子计算密码的主要候选者之一，其安全性主要基于有限域上二次多变量多项式方程组问题和多项式同构问题的难解性，具有计算效率高、运算速度快、抵抗量子计算攻击等优点，非常适合用于计算能力、存储能力、通信能力有限的设备上。但是，目前没有无证书环境下具有强指定验证者的多变量多重签名方法，如何采用无证书公钥密码体制构建具有强指定验证者的多变量多重签名是密码学中当前需要迫切解决的一个技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，提供一种签名和验证计算量小、签名长度不随用户个数变化、抗量子计算的无证书环境下具有强指定验证者的多变量多重签名方法。

解决上述技术问题所采用的技术方案是由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域F，

q＝p^l

其中，l是正整数。

(A2)密钥生成中心定义有限域F上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域F内。

(A3)密钥生成中心在F^r→F^r上选取可逆仿射变换T、在Fⁿ→Fⁿ上选取可逆仿射变换S，并选取具有核心映射Q的一个多变量加密方法，其中，Q是Fⁿ→F^r上的可逆二次变换，确定系统公钥Q'、系统私钥s：

s＝{T,Q,S}

式中

表示映射。

(A4)密钥生成中心选取密码学安全的哈希函数H：

H:{0,1}^*×F^r×F^r×F^r→F^r

其中，F^r是有限域F上的r维空间向量。

(A5)密钥生成中心公开系统参数L：

L＝(F,p,q,l,r,n,Q',H)

B、生成部分公私钥

(B1)密钥生成中心选取F^r→F^r上的可逆仿射变换L_i和Fⁿ→Fⁿ上的可逆仿射变换U_i，确定签名者N_i的部分公钥ppk_i、部分私钥psk_i：

密钥生成中心公开部分公钥ppk_i，并通过秘密信道发送部分私钥psk_i给签名者N_i，其中，i为1,2,…,t，t表示签名者的个数、为有限的正整数。

(B2)密钥生成中心选取F^r→F^r上的可逆仿射变换L_B和Fⁿ→Fⁿ上的可逆仿射变换U_B，确定指定验证者B的部分公钥ppk_B、部分私钥psk_B：

密钥生成中心公开部分公钥ppk_B，并通过秘密信道发送部分私钥psk_B给指定验证者B。

C、生成公私钥

(C1)每个签名者N_i选取F^r→F^r上的可逆仿射变换T_i和Fⁿ→Fⁿ上的可逆仿射变换S_i，确定公钥pk_i、私钥sk_i：

(C2)指定验证者B选取F^r→F^r上的可逆仿射变换T_B和Fⁿ→Fⁿ上的可逆仿射变换S_B，确定公钥pk_B、私钥sk_B：

D、多重签名

(D1)每个签名者N_i选择一个随机数r_i∈Fⁿ，确定v_i：

v_i＝Q'(r_i)

把v_i发送给其他签名者N_j，其中，j∈{1,2,…,t}\{i}；

(D2)每个签名者N_i确定v、pk、h、u：

h＝H(m,pk_B,pk,v)

u＝pk_B(v)

(D3)每个签名者N_i用自己的私钥sk_i计算w_i：

σ_i＝(v_i,u,w_i)

并把部分签名σ_i发送给签名者N_k，其中，N_k∈{N₁,N₂,…,N_t}。

(D4)签名者N_k确定v、pk、h_i'、h：

h＝H(m,pk_B,pk,v)

(D5)签名者N_k验证h_i'与h是否相等；如果都相等，部分签名σ_i成功，签名者N_k计算w：

签名者N_k确定最终的多重签名σ：

σ＝(u,w)

并发送多重签名σ给指定验证者B；否则，部分签名σ_i失败。

E、验证

(E1)指定验证者B确定pk、v'、h:

v'＝sk_B(u)

h＝H(m,pk_B,pk,v')

(E2)指定验证者B确定h":

(E3)指定验证者B验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

F、签名副本

(F1)指定验证者B随机选取r₁',r₂',...,r_t'∈Fⁿ，确定v_i':

v_i'＝Q'(r_i')

(F2)指定验证者B确定v_τ、pk、h_τ:

h_τ＝H(m,pk_B,pk,v_τ)

(F3)指定验证者B确定u_τ、

w_τ:

u_τ＝pk_B(v_τ)

σ'＝(u_τ,w_τ)

其中，σ'是签名副本。

在本发明的建立系统参数A的(A1)步骤中，所述的密钥生成中心定义特征为p、阶为q的有限域F，特征p为素数，

q＝p^l

其中，l是正整数。

在本发明的建立系统参数A的(A1)步骤中，所述的密钥生成中心定义特征为p、阶为q的有限域F，特征p最佳为2，

q＝p^l

其中，l是正整数。

本发明在多变量公钥密码体制下结合无证书公钥密码体制和具有强指定验证者的多重签名方法，提出了一种无证书环境下具有强指定验证者的多变量多重签名方法，该方法采用无证书公钥密码技术，解决了传统密码体制下的证书管理问题和身份密码体制下的密钥托管问题。本发明的多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名和验证计算量小、抵抗量子计算攻击等优点，可以应用于车载网络、教育系统等技术领域。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

本实施例以特征p为2、阶q是2⁸，即256的有限域F，n为42、r为24多变量方程组为例，无证书环境下具有强指定验证者的多变量多重签名方法由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域F，本实施例中，p为2，阶q为2⁸、即256。

(A2)密钥生成中心定义有限域F上的n元r个多变量方程组，本实施例中，n为42，r为24：

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r：

其中，每个系数α、β、γ和变量x都在有限域F内。

(A3)密钥生成中心在F²⁴→F²⁴上选取可逆仿射变换T、在F⁴²→F⁴²上选取可逆仿射变换S，并选取具有核心映射Q的一个多变量加密方法，其中，Q是F⁴²→F²⁴上的可逆二次变换，确定系统公钥Q'、系统私钥s：

s＝{T,Q,S}

式中

表示映射。

(A4)密钥生成中心选取密码学安全的哈希函数H：

H:{0,1}^*×F²⁴×F²⁴×F²⁴→F²⁴

其中，F²⁴是有限域F上的24维空间向量。

(A5)密钥生成中心公开系统参数L：

L＝(F,p,q,l,r,n,Q',H)

其中，p为2、q为28即256、n为42、r为24。

B、生成部分公私钥

(B1)密钥生成中心选取F²⁴→F²⁴上的可逆仿射变换L_i和F⁴²→F⁴²上的可逆仿射变换U_i，确定签名者N_i的部分公钥ppk_i、部分私钥psk_i：

密钥生成中心公开部分公钥ppk_i，并通过秘密信道发送部分私钥psk_i给签名者N_i，其中，i为1,2,…,t，t表示签名者的个数、为有限的正整数。

(B2)密钥生成中心选取F²⁴→F²⁴上的可逆仿射变换L_B和F⁴²→F⁴²上的可逆仿射变换U_B，确定指定验证者B的部分公钥ppk_B、部分私钥psk_B：

密钥生成中心公开部分公钥ppk_B，并通过秘密信道发送部分私钥psk_B给指定验证者B。

C、生成公私钥

(C1)每个签名者N_i选取F²⁴→F²⁴上的可逆仿射变换T_i和F⁴²→F⁴²上的可逆仿射变换S_i，确定公钥pk_i、私钥sk_i：

(C2)指定验证者B选取F^r→F^r上的可逆仿射变换T_B和Fⁿ→Fⁿ上的可逆仿射变换S_B，确定公钥pk_B、私钥sk_B：

D、多重签名

(D1)每个签名者N_i选择一个随机数r_i∈F⁴²，确定v_i：

v_i＝Q'(r_i)

把v_i广播给其他签名者N_j，其中，j∈{1,2,…,t}\{i}。

(D2)每个签名者N_i确定v、pk、h、u：

h＝H(m,pk_B,pk,v)

u＝pk_B(v)

(D3)每个签名者N_i用自己的私钥sk_i计算w_i：

σ_i＝(v_i,u,w_i)

并将消息部分签名σ_i发送给签名者N_k，其中，N_k∈{N₁,N₂,…,N_t}。

(D4)签名者N_k确定v、pk、h_i'、h：

h＝H(m,pk_B,pk,v)

(D5)签名者N_k验证h_i'与h是否相等；如果都相等，部分签名σ_i成功，签名者N_k计算w：

签名者N_k确定最终的多重签名σ：

σ＝(u,w)

并发送多重签名σ给指定验证者B；否则，部分签名σ_i失败。

E、验证

(E1)指定验证者B确定pk、v'、h:

v'＝sk_B(u)

h＝H(m,pk_B,pk,v')

(E2)指定验证者B确定h":

(E3)指定验证者B验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

F、签名副本

(F1)指定验证者B随机选取r₁',r₂',...,r_t'∈F⁴²，确定v_i':

v_i'＝Q'(r_i')

(F2)指定验证者B确定v_τ、pk、h_τ:

h_τ＝H(m,pk_B,pk,v_τ)

(F3)指定验证者B确定u_τ、

w_τ:

u_τ＝pk_B(v_τ)

σ'＝(u_τ,w_τ)

其中，σ'是签名副本，签名副本说明多重签名具有不可追踪性。

本实施例采用无证书公钥密码体制，解决了传统公钥密码体制下的证书管理问题和身份密码体制下的密钥托管问题。最终的多重签名长度与签名者的个数无关，多重签名的验证时间与验证单个部分签名时间一致，具有签名和验证计算量小、抗量子计算攻击等优点。

实施例2

本实施例以特征p为2，阶q为2⁸、即256的有限域F，n为30、r为25多变量方程组为例，无证书环境下具有强指定验证者的多变量多重签名方法由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域F，本实施例中，p为2，阶q为2⁸、即256。

(A2)密钥生成中心定义有限域F上的n元r个多变量方程组，本实施例中，n为30，r为25：

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

每个方程组p_i(i为1,2,…,r)是关于变量x为x₁,x₂,…,x_n的非线性二次方程：

其中，每个系数α、β、γ和变量x都在有限域F内。

(A3)密钥生成中心在F²⁵→F²⁵上选取可逆仿射变换T、在F³⁰→F³⁰上选取可逆仿射变换S，并选取具有核心映射Q的一个多变量加密方法，其中，Q是F³⁰→F²⁵上的可逆二次变换，确定系统公钥Q'、系统私钥s：

s＝{T,Q,S}

式中

表示映射。

(A4)密钥生成中心选取密码学安全的哈希函数H：

H:{0,1}^*×F²⁵×F²⁵×F²⁵→F²⁵

其中，F²⁵是有限域F上的25维空间向量。

(A5)密钥生成中心公开系统参数L：

L＝(F,p,q,l,r,n,Q',H)

其中，p为2、q为256、n为30、r为25。

B、生成部分公私钥

(B1)密钥生成中心选取F²⁵→F²⁵上的可逆仿射变换L_i和F³⁰→F³⁰上的可逆仿射变换U_i，确定签名者N_i的部分公钥ppk_i、部分私钥psk_i：

式中

表示映射。

密钥生成中心公开部分公钥ppk_i，并通过秘密信道发送部分私钥psk_i给签名者N_i，其中，i为1,2,…,t，t表示签名者的个数、为有限的正整数。

(B2)密钥生成中心选取F²⁵→F²⁵上的可逆仿射变换L_B和F³⁰→F³⁰上的可逆仿射变换U_B，确定指定验证者B的部分公钥ppk_B、部分私钥psk_B：

密钥生成中心公开部分公钥ppk_B，并通过秘密信道发送部分私钥psk_B给指定验证者B。

C、生成公私钥

(C1)每个签名者N_i选取F²⁵→F²⁵上的可逆仿射变换T_i和F³⁰→F³⁰上的可逆仿射变换S_i，确定公钥pk_i、私钥sk_i：

(C2)指定验证者B选取F²⁵→F²⁵上的可逆仿射变换T_B和F³⁰→F³⁰上的可逆仿射变换S_B，确定公钥pk_B、私钥sk_B：

D、多重签名

(D1)每个签名者N_i选择一个随机数r_i∈F³⁰，确定v_i：

v_i＝Q'(r_i)

把v_i广播给其他签名者N_j，其中，j∈{1,2,…,t}\{i}。

(D2)每个签名者N_i确定v、pk、h、u：

h＝H(m,pk_B,pk,v)

u＝pk_B(v)

(D3)每个签名者N_i用自己的私钥sk_i计算w_i：

σ_i＝(v_i,u,w_i)

并将消息部分签名σ_i发送给签名者N_k，其中，N_k∈{N₁,N₂,…,N_t}。

(D4)签名者N_k确定v、pk、h_i'、h：

h＝H(m,pk_B,pk,v)

(D5)签名者N_k验证h_i'与h是否相等；如果都相等，部分签名σ_i成功，签名者N_k计算w：

签名者N_k确定最终的多重签名σ：

σ＝(u,w)

并发送多重签名σ给指定验证者B；否则，部分签名σ_i失败。

E、验证

(E1)指定验证者B确定pk、v'、h:

v'＝sk_B(u)

h＝H(m,pk_B,pk,v')

(E2)指定验证者B确定h":

(E3)指定验证者B验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

F、签名副本

(F1)指定验证者B随机选取r₁',r₂',...,r_t'∈F³⁰，确定v_i':

v_i'＝Q'(r_i')

(F2)指定验证者B确定v_τ、pk、h_τ:

h_τ＝H(m,pk_B,pk,v_τ)

(F3)指定验证者B确定u_τ、

w_τ:

u_τ＝pk_B(v_τ)

σ'＝(u_τ,w_τ)

其中，σ'是签名副本，签名副本说明多重签名具有不可追踪性。

实施例3

本实施例以特征p为2，阶q为2⁹即512的有限域F，n为30、r为25多变量方程组为例，无证书环境下具有强指定验证者的多变量多重签名方法由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域F，本实施例中，p为2，阶q为2⁹、即512。

(A2)密钥生成中心定义有限域F上的n元r个多变量方程组，本实施例中，

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域F内。

(A3)密钥生成中心在F²⁵→F²⁵上选取可逆仿射变换T、在F³⁰→F³⁰上选取可逆仿射变换S，并选取具有核心映射Q的一个多变量加密方法，其中，Q是F³⁰→F²⁵上的可逆二次变换，确定系统公钥Q'、系统私钥s：

s＝{T,Q,S}

式中

表示映射。

(A4)密钥生成中心选取密码学安全的哈希函数H：

H:{0,1}^*×F²⁵×F²⁵×F²⁵→F²⁵

其中，F²⁵是有限域F上的25维空间向量。

(A5)密钥生成中心公开系统参数L：

L＝(F,p,q,l,r,n,Q',H)

其中，p为2、q为512、n为30、r为25。

B、生成部分公私钥

(B1)密钥生成中心选取F²⁵→F²⁵上的可逆仿射变换L_i和F³⁰→F³⁰上的可逆仿射变换U_i，确定签名者N_i的部分公钥ppk_i、部分私钥psk_i：

密钥生成中心公开部分公钥ppk_i，并通过秘密信道发送部分私钥psk_i给签名者N_i，其中，i为1,2,…,t，t表示签名者的个数、为有限的正整数。

(B2)密钥生成中心选取F²⁵→F²⁵上的可逆仿射变换L_B和F³⁰→F³⁰上的可逆仿射变换U_B，确定指定验证者B的部分公钥ppk_B、部分私钥psk_B：

密钥生成中心公开部分公钥ppk_B，并通过秘密信道发送部分私钥psk_B给指定验证者B。

C、生成公私钥

(C1)每个签名者N_i选取F²⁵→F²⁵上的可逆仿射变换T_i和F³⁰→F³⁰上的可逆仿射变换S_i，确定公钥pk_i、私钥sk_i：

其中，i为1,2,…,t，t为有限的正整数。

(C2)指定验证者B选取F²⁵→F²⁵上的可逆仿射变换T_B和F³⁰→F³⁰上的可逆仿射变换S_B，确定公钥pk_B、私钥sk_B：

D、多重签名

(D1)每个签名者N_i选择一个随机数r_i∈F³⁰，确定v_i：

v_i＝Q'(r_i)

把v_i广播给其他签名者N_j，其中，j∈{1,2,…,t}\{i}。

(D2)每个签名者N_i确定v、pk、h、u：

h＝H(m,pk_B,pk,v)

u＝pk_B(v)

(D3)每个签名者N_i用自己的私钥sk_i计算w_i：

σ_i＝(v_i,u,w_i)

并将消息部分签名σ_i发送给签名者N_k，其中，N_k∈{N₁,N₂,…,N_t}。

(D4)签名者N_k确定v、pk、h_i'、h：

h＝H(m,pk_B,pk,v)

(D5)签名者N_k验证h_i'与h是否相等；如果都相等，部分签名σ_i成功，签名者N_k计算w：

签名者N_k确定最终的多重签名σ：

σ＝(u,w)

并发送多重签名σ给指定验证者B；否则，部分签名σ_i失败。

E、验证

(E1)指定验证者B确定pk、v'、h:

v'＝sk_B(u)

h＝H(m,pk_B,pk,v')

(E2)指定验证者B确定h":

(E3)指定验证者B验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败。

F、签名副本

(F1)指定验证者B随机选取r₁',r₂',...,r_t'∈F³⁰，确定v_i':

v_i'＝Q'(r_i')

(F2)指定验证者B确定v_τ、pk、h_τ:

h_τ＝H(m,pk_B,pk,v_τ)

(F3)指定验证者B确定u_τ、

w_τ:

u_τ＝pk_B(v_τ)

σ'＝(u_τ,w_τ)

其中，σ'是签名副本，签名副本说明多重签名具有不可追踪性。

Claims (3)

1.一种无证书环境下具有强指定验证者的多变量多重签名方法，其特征在于由下述步骤组成：

A、建立系统参数

(A1)密钥生成中心定义特征为p、阶为q的有限域F，

q＝p^l

其中，l是正整数；

(A2)密钥生成中心定义有限域F上的n元r个多变量方程组：

P＝(p₁(x₁,x₂,…,x_n),…,p_i(x₁,x₂,…,x_n),…,p_r(x₁,x₂,…,x_n))

每个方程组p_i是关于变量x为x₁,x₂,…,x_n的非线性二次方程，其中i为1,2,…,r，n和r为有限的正整数：

其中，每个系数α、β、γ和变量x都在有限域F内；

(A3)密钥生成中心在F^r→F^r上选取可逆仿射变换T、在Fⁿ→Fⁿ上选取可逆仿射变换S，并选取具有核心映射Q的一个多变量加密方法，其中，Q是Fⁿ→F^r上的可逆二次变换，确定系统公钥Q'、系统私钥s：

Q'＝ToQoS

s＝{T,Q,S}

式中

表示映射；

(A4)密钥生成中心选取密码学安全的哈希函数H：

H:{0,1}^*×F^r×F^r×F^r→F^r

其中，F^r是有限域F上的r维空间向量；

(A5)密钥生成中心公开系统参数L：

L＝(F,p,q,l,r,n,Q',H)

B、生成部分公私钥

(B1)密钥生成中心选取F^r→F^r上的可逆仿射变换L_i和Fⁿ→Fⁿ上的可逆仿射变换U_i，确定签名者N_i的部分公钥ppk_i、部分私钥psk_i：

ppk_i＝Q_i'＝L_i oQ'oU_i

psk_i＝{L_i oT,Q,SoU_i}

密钥生成中心公开部分公钥ppk_i，并通过秘密信道发送部分私钥psk_i给签名者N_i，其中，i为1,2,…,t，t表示签名者的个数、为有限的正整数；

(B2)密钥生成中心选取F^r→F^r上的可逆仿射变换L_B和Fⁿ→Fⁿ上的可逆仿射变换U_B，确定指定验证者B的部分公钥ppk_B、部分私钥psk_B：

ppk_B＝Q_B'＝L_i oQ'oU_B

psk_B＝{L_i oT,Q,SoU_B}

密钥生成中心公开部分公钥ppk_B，并通过秘密信道发送部分私钥psk_B给指定验证者B；

C、生成公私钥

(C1)每个签名者N_i选取F^r→F^r上的可逆仿射变换T_i和Fⁿ→Fⁿ上的可逆仿射变换S_i，确定公钥pk_i、私钥sk_i：

pk_i＝T_ioQ_i'oS_i

sk_i＝{T^-1oL_i ^-1oT_i ^-1,Q^-1,S_i ^-1oU_i ^-1oS^-1}

(C2)指定验证者B选取F^r→F^r上的可逆仿射变换T_B和Fⁿ→Fⁿ上的可逆仿射变换S_B，确定公钥pk_B、私钥sk_B：

pk_B＝T_B oQ_B'oS_B

sk_B＝{T^-1oL_B ^-1oT_B ^-1,Q^-1,S_B ^-1oU_B ^-1oS^-1}

D、多重签名

(D1)每个签名者N_i选择一个随机数r_i∈Fⁿ，确定v_i：

v_i＝Q'(r_i)

把v_i广播给其他签名者N_j，其中，j∈{1,2,…,t}\{i}；

(D2)每个签名者N_i确定v、pk、h、u：

h＝H(m,pk_B,pk,v)

u＝pk_B(v)

(D3)每个签名者N_i用自己的私钥sk_i计算w_i：

σ_i＝(v_i,u,w_i)

并将消息部分签名σ_i发送给签名者N_k，其中，N_k∈{N₁,N₂,…,N_t}；

(D4)签名者N_k确定v、pk、h_i'、h：

h＝H(m,pk_B,pk,v)

(D5)签名者N_k验证h_i'与h是否相等；如果都相等，部分签名σ_i成功，签名者N_k计算w：

签名者N_k确定最终的多重签名σ：

σ＝(u,w)

并发送多重签名σ给指定验证者B；否则，部分签名σ_i失败；

E、验证

(E1)指定验证者B确定pk、v'、h:

v'＝sk_B(u)

h＝H(m,pk_B,pk,v')

(E2)指定验证者B确定h":

(E3)指定验证者B验证h"与h是否相等，如果相等，多重签名成功；否则，多重签名失败；

F、签名副本

(F1)指定验证者B随机选取r₁',r₂',...,r_t'∈Fⁿ，确定v_i':

v_i'＝Q'(r_i')

(F2)指定验证者B确定v_τ、pk、h_τ:

h_τ＝H(m,pk_B,pk,v_τ)

(F3)指定验证者B确定u_τ、

w_τ:

u_τ＝pk_B(v_τ)

σ'＝(u_τ,w_τ)

其中，σ'是签名副本。

2.根据权利要求1所述的无证书环境下具有强指定验证者的多变量多重签名方法，其特征在于：在建立系统参数A的(A1)步骤中，所述的密钥生成中心定义特征为p、阶为q的有限域F，特征p为素数，

q＝p^l

其中，l是正整数。

3.根据权利要求1或2所述的无证书环境下具有强指定验证者的多变量多重签名方法，其特征在于：在建立系统参数A的(A1)步骤中，所述的密钥生成中心定义特征为p、阶为q的有限域F，特征p为2，

q＝p^l

其中，l是正整数。

Images