适用于电子现金
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
的简短关联环签名
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
(可编辑)
适用于电子现金协议的简短关联环签名方案
维普资讯 ////0>.年 月 北 京 邮 电 大 学 学 报.
第 卷 第 期 . .
文章编号: ? ? ?适用于电子现金协议的简短关联环签名方案
王玲玲, 张国印, 马春光
哈尔滨工程大学计算机科学与技术学院,哈尔滨摘要:基于双线性对,并采用动态累加器技术,提出了一种基于身份的简短关联环签名方案 .以此为基
础,
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
了 个可撤销匿名性的公平电子现金协议?.签名具有简短性及环签名的自发性,使得? 适合银行系统电子货币用户数量多、动态变化的特点,且避免了基于群签名的电子现金协议所存在的成员
撤销等问题.
关 键 词:关联环签名;双线性对;动态累加器;可撤销匿名性;公平电子现金
中图分类号:文献标识
码:? , ? , ? , , ,: , ? .,?? ?. ? , ? . , ? ? . :; ;
; ; ?
电子支付是电子商务系统的重要组成部分,而 出了简短关联环签名方案 ,
电子现金是实现电子支付的重要手段.已有电子现 ,并将其用于设计电子投票、电子现
金和匿名认证协议.然而 的构造基于零知识
金协议的设计大都是基于盲签名的,随着对电子现
证明系统、新的安全性假设 关联决策假设和
金研究的不断深入,人们开始使用新的密码技术构
造安全高效的电子现金协议.继群签名构造电子现一双射性 ? ,使整个方案结构比较复
金协议后,出现了许多基于群签名或群盲签名的
杂.此外,基于 的电子现金协议只能对重复
电子现金协议.然而,群签名存在成员撤销等问 花费者进行标记,防止其再次重复花费,而不能进行
身份追踪,这对于实际应用是远远不够的.因此,为
题,由它构造的电子现金协议也存在同样的问题.
近年来,有学者提出采用关联环签名设计电子现金 了解决重复花费者身份追踪的问题,需要改进现有
协议.关联环签名最早是由等提出的满足 的关联环签名方案或设计新的方案.
可关联性的一种环签名 .随后,等提 本文首先提出了基于身份的简短关联环签名方
收稿日期: ?
基金项目:黑龙江省自然科学基金项目 ;中国博士后科学基金项目作者简介:王玲玲 一 ,女,博士生, : .. .维普资讯 ////.
第 期 王玲玲等:适用于电子现金协议的简短关联环签名方案 用户私钥生成算法 .输入 、
案的安全模型,并采用动态累加器技术和基于身份
和用户身份信息,返回该用户的密钥对.
的密码体制构造了安全高效的简短关联环签名方案环公钥生成算法 .输入 和一 ,在随机预言模型 , 下证明了方案的安全性,最后利用 ?群用户的身份信息,输出唯一的 个环公钥.
设计了一个可撤销匿名性的公平电子现金协议环私钥生成算法 .输入,用户 ? , ? ? 的身份信息集和某一用户的密钥对,输出该用户对 .协议有以下优点:首先, ? 的安全性 应的环私钥.环签名算法.给定某用户的环私钥,
基于 ?问题,没有 假设的陷门,便于备用户采用相同的系统参 该用户验证环私钥的合法性.若环私钥合法,用户
数.其次, ? 采用基于身份的密码体制,这使 计算关联标签,代表环群体对消息 进行签名.? 中的可信第三方 , 验证算法 .接收者收到签名后,用环
公钥和公开参数验证签名是否合法.
可以利用其私钥进行匿名撤销.此外, ? 的
签名大小固定不变,比较适合电子货币的用户数随关联算法 .对于给定的群体 、与
时增加的情况. 相关的签名 和 ,通过检验 个签名中的关
联标签是否相等,判别它们是否由同一个人签署.
符号及定义
定义 如果 满足以下性质,则 是
定义 双线性对 假设和 分别是阶 安全的.
为 的加法群和乘法群,其中 是大素数. 是 正确性.如果按照正确的签名步
骤对消息
进行签名,并且在传播的过程中签名没有被篡
的 个生成元. 个群之间的双线性映射 : ×
】一 是满足以下性质的映射: 改,那么环签名满足签名验证等式.不可伪造
性.任何攻击者能代表 个不包括双映射性. , , ,对所有
他自己的环,对消息 成功伪造 个合法环签名的
的 , ? ,所有的 , ? 成立.
概率是可以忽略的.非退化性.存在 , ? ,使得, ?匿名性.给定 个合法
签名,任何攻击者猜 ,其中 是 的幺元.
对代表环进行签名的真实签名者身份的概率是可以可计算性.存在有效的算
法,对于 , ?
忽略不计的.
,可计算, .可关联性.如果 个签名人代表同一个群体
定义问题 设和分别是如
分别对消息 、 签名得到 个签名值 和
上所述的循环群, 是双线性映射,已知 , ,?,
则验证者通过比较关联标签可以确定 和
,,其中 ? ,计算 , / , ? .
是否由同一个人签署.但是,验证者无法知道具
定义动态累加器 动态累加器由 个二
体签名人的身份信息.
元组 ? 表示.其中, ? , 为累加器的
. 简短关联环签名方案 .值域; 为函数对族,动态累加器满足生成有效系统设置算法?性、计算有效性、准交换性、添加有效性以及删除有
给定安全参数 ,生成累加器 厂, .选择双线
效性的属性.
性映射: : × 一 ,其中 和 同为 阶
基于身份的简短关联环签名 的加法群和乘法群, 是 的一个生成元.生成 , 。,?, ,其中 ? 。, 为可以累
. 基于身份的简短关联环签名方案模型
加的最大成员个数.同时,选择参数 , , ,
定义 基于身份的简短关联环签名方案一般
? ,“, ? ;,计算 .选择哈希
由 个多项式时间算法组成,, ,
函数: : , 一 .公布系统参数 , ,, ,, .
, , , , , , , , , 。 ,“,,对系统主系统设置算法 .给定安全参数,返回
密钥 保密.
公共参数和系统主密钥 .维普资讯 ////. 北 京 邮 电 大 学 学 报 第卷用户私钥生成算法 . :, 一 , 。 ,?
对于身份信息为 的用户 密钥生成中心。,生成该用户对应的私钥 :/.
若以上等式均成立,则接收方认为签名有效,否则拒环公钥生成算法?绝签名.
假设环中有点是? 个成员,其身份信息集 关联算法? , ,?, .计
算 : : ,生成环公
对于同一个群体 ,与 相关的 个签名钥: :,., , , , , , ,/ ,/ , ,?, , ,
环私钥生成算法? , , :, , , , , , ,? ,? ,
给定某用户的身份信息出和身份信息集 ,,?, ;, , ,,验证者检验关联标签是否相
计算 : :,其中 ? , . 和
等.若 : .则断定 和 是由同一签名人签
证据 : , ,则该用户对应的环私钥为
署的. , , .
安全性分析环签名算法 ?定理 满足正确性.显然,证明略.
假设用户 希望代表群体对消息 进行签
定理 在下,如果 问题是难解
名.他将执行如下操作:
的,则满足关联环签名的不可伪造性.
随机选择,.,,., ,是 一,是 ? ,计算关联
证明 假设存在概率多项式时间敌手 ,成功
标签: ;再计算
伪造一个关联环签名, , , , , ,:; : ; : ;,? ,? , ,?, ;, ;, ,,那么存在算法 : ; : ;
可以解决 问题.给定问题的实例 ,是 ?;,?, ,其中 ?, 可以计算 ,., /,一 ,?
,. ,,.? . ,,
首先,对于给定的安全参数 , 运行随机选择 , ? ,计算 生成系统参数 : , , , , , , , , : ?
, , 。, ,,并将其发送给 ,其中 : ,/ , 。 : ,?,, 作为随机预言.同时, 选是 ; 是 ; 择用户群 ::,运行? ,生成环公是
钥: .对于身份信息为 的成员 , 可以是 ; 是
通过 对消息 的伪造签名,计算出新的环私钥 是九, ,. 可以模拟 要访
问的所有: 是一 是
预言.,一 ,。, 若 , ,为 成功计算出的一个新环私 钥,并且由环 : 很容易计算出, :, .据累加器的性质,有 输出关联环签名 , , , , , , , , , ,?, ,
, , .验证算法?令厂 ,可将厂 扩展为
接收方收到环签名 ,验证: ?
厂 ? ,其中? . ?
由式有: ,将厂 表示为:, , ,
凡 十 。 , 。,一,,.,:? 维普资讯 ////. 第 期 王玲玲等:适用于电子现金协议的简短关联环签名方案 取款协议
而一一】
, ? .贝有 一 ., ,
对于身份信息为 的用户,生成该用
因为,已知问题的 个实例 ,
户对应的私钥 并将其发送给用户.同时,, , ,则 可解.可得, / 一
在用户密钥数据库中存储,以便之后撤销/ 为 ?问题的 个解.
匿名. 依照算法? 生成环公钥
定理 在下,如果离散对数问题 ,,依算法? 计算 和 交给
是难解的,则 ? 满足签名人的匿名性.,并从用户账户中减去一项 假设钱币面值单
证明 从关联环签名的形式来看,除 和
一
,将账户余额
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
用户.用户验证余额正确,即
外,其他分量的生成都具有随机性.此时只需考虑 。, :, 成立,接受环私钥
,如果是难解的,则攻击者依据 计, , .
算出签名人身份信息 的概率是可以忽略的,所以支付协议 ? 满足签名人的匿名性.
用户向商家的支付过程就是交给商家一个关联
定理 在下,如果离散对数问题
环签名,即证明自己有一个合法环私钥的过程.用
是难解的,则 ? 满足签名人的可关联性.
户通过执行算法 向商家提供 个对消息
证明 假设存在概率多项式时间敌手 ,可以为时间、商家身份信息等支付
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
的关联环签
代表同一个群体 生成不可关联的签名对 , ,
名 ,商家执行算法? 验证签名 ,若签名合 则存在算法 可以解出 和 的值.
法,则将货物发送给用户.
首先, 生成系统参数并将其发送给 . 代表存款协议 群体 伪造了不可关联的签名对 , ,其中 商家将关联环签名 交给银行 , 验证其正, , , , , , ,// ,// ,
确性并检查是否发生重复花费.银行数据库里保存 ,?, , , , ;
着一个已花费现金的清单. 只需检验 的关联标 签 ,如果在数据库中发现了与 相同的记录 , , , , , ,丁 ,丁 ,// ,
? ,
则说明存在重复花费行为.银行再依次检验 所 ,?,;, , , , ; ; , . 在的签名 的其他项,若签名各项均相同,说明商家 依照分叉引理 , 通过在不同的分叉处重复 企图重复花费,银行拒绝存款;若只有 相同,则说 运行同一个随机带,可以成功伪造另一个签名对 明用户企图重复花费,银行对该用户作记号,防止其 ,; ,且 ;: , , , , , , ,// ,// ,
再次重复花费,并请求确认该消费者的身份. ,?, , , , .
若 没有相同者,银行验证 合法后,给商家存款,
因为 : ,; : ; 可解得
并记录该关联环签名.一; / 一 .同理, 可解出 , 的匿名撤销 值.因为是难解的,所以满足签名人
当银行请求追踪某用户身份时,银行将关
的可关联性.
联环签名 提交给.利用其私钥 计
算: 一 ,通过查询用户密钥数据库,便
公平电子现金协议 .可以确定该用户的身份 ,撤销其匿名性. 系统参与者间的关系是:所有用户构成一群体, ? 的安全性及效率分析 由可信第三方 管理它们的私钥,银行 选定
由 ? 的安全性可知,本文构造的电子现
并公布系统参数.用户、银行与借助 ?金协议 满足正确性、不可伪造性、用
户身份
完成交易.当银行发现不诚实用户或商家的重复花
的匿名性和可撤销匿名性.
费行为时,可以请求追踪其身份.
效率分析:对于用户数量大且动态变化的电子系统建立 现金系统,使用简短关联环签名方案可以大大减小
银行 运行? 算法,得到系统参数 , ,
其计算代价和存储代价,不会出现代价随用户数量
, , , , , , , , , , 。 ,其中 。增加而变大的情况.此外, ? 采用了
椭圆曲作为的公钥,其私钥为 ?.
线上的运算,其位的安全性相当于 位