（应用数学专业论文）群签名方案设计与分析.pdf

群签名方案设计与分析 何业锋 摘要随着计算机通信网的迅速发展，数字签名已在信息安全、身份认证、 数据完整性、不可否认性与匿名性等方面发挥了重要作用群签名作为一种特殊 的数字签名，它能够允许群中的任何一个群成员代表群进行签名，且签名满足匿 名性当发生争议时，群经理还可以通过打开算法来撤消匿名性群签名因其特有 的性质，使得它可以广泛地应用于电子选举、电子投标、以及不可跟踪的电子现 金等许多电子政务与电子商务活动中一般来说，群签名被用来隐藏团体或组织 的内部结构然而目前已提出的大多数群签名方案的安全性、效率或灵活性仍不 够理想某些效率较高的群签名方案不能够抵抗联合攻击或广义伪造攻击，从而 无法保护团体或组织的整体利益并且大多数群签名方案不能够灵活地删除群成 员，无法满足现实中动态群的需要因此设计安全、高效、灵活的群签名方案具有 重要的现实意义本文在这方面做了一些有益的尝试和探索，基于著名的r s a 假 设和判定性的d i f f i e h e l l m a n 假设，应用e l g a m a l 加密、r a b i n 加密和知识签名 分别提出了几个新的群签名方案、动态群签名方案和群盲签名方案 主要研究结果如下： l ，对已提出的几个著名的群签名方案的安全性进行了分析，证明了c m 9 8 群 签名方案和a c j t 2 0 0 0 群签名方案都不能抵抗我们提出的联合攻击，同时也证明 了s h l 2 0 0 2 群签名方案不能抵抗广义伪造攻击 2 给出了三个新的能够抵抗联合攻击的群签名方案我们新给出的这三个群 签名方案都能够在不改变群的公开密钥的情况下，灵活地增加新成员同时签名 长度、签名工作量、验证工作量以及打开算法的工作量都比较小且不随群成员数 量的增加而增加尤其是第三个群签名方案，由于签名长度、签名工作量、验证工 作量以及打开算法的工作量均非常的小，故有极高的效率 3 给出了动态群签名的正式定义，并讨论了它需要满足的安全性要求和其有 效性的评价准则 4 将在第三章中提出的三个能够抵抗联合攻击的群签名方案分别修改为能 够灵活地增加和删除群成员的群签名方案一动态群签名方案 5 给出了公平的群盲签名的概念，并基于c s 9 7 的第一个群签名方案，利用 不经意传输协议提出了一个公平的群盲签名方案 1 6 基于我们提出的第三个动态群签名方案，应用o k a m o t o s c h n o r r 盲签名的 思想，提出了一个高效的动态群盲签名方案 关键词：群签名，动态群签名，群盲签名，公平的群盲签名，动态群盲签名 2 d e s i g n a n d a n a l y s i so fg r o u ps i g n a t u r es c h e m e s h e y e f e n g a b s t r a c t ：w i t ht h ef a s td e v e l o p m e n to fi n t e r n e t ，d i g i t a ls i g n a t u r e sh a v e p l a y e da ni m p o r t a n tr o l e i nt h ea s p e c t so fi n f o r m a t i o ns e c u r i t y ，i d e n t i t ya u t h e n t i c a t i o n ，d a t ai n t e g r i t y , n o n r e p u d i a t i o n ，a n o n y m i t ya n ds oo n g r o u ps i g n a t u r e s a r eas o r to fs p e c i a ld i g i t a ls i g n a t u r e s ，w h i c hc a da l l o wa n yg r o u pm e m b e r st os i g n m e s s a g e so nb e h a l fo ft h eg r o u pw h i l er e m a i n i n ga n o n y m i t y i nc a s eo fd i s p u t e l a t e ro n ，t h em a n a g e r c a n o p e n s i g n a t u r e st or e v o k ea n o n y m i t y t h es a l i e n tf e n - t u r e so f g r o u ps i g n a t u r e sm a k et h e mm o r ea p p l i c a b l ei nt h ea c t i v i t y so fe l e c t r o n i c p o l i t i c sa n de l e c t r o n i cc o m m e r c es u c ha se l e c t r o n i cv o t i n g ，e l e c t r o n i cb i d d i n g ，u n t r a c e a b l ee l e c t r o n i cc a s ha n ds of o r t h m o r e g e n e r a l l y , g r o u ps i g n a t u r e s c a l lb eu s e d t oc o n c e a lg r o u p so ro r g a n i z a t i o n si n t e r n a ls t r u c t u r e s h o w e v e r ，t h es e c u r i t y ，e f - f i c i e n c yo rf l e x i b i l i t yo fm o s tg r o u ps i g n a t u r es c h e m e sp r o p o s e da tp r e s e n t ，a r en o t v e r yi d e a l s o m em o r ee f f i c i e n tg r o u ps i g n a t u r es c h e m e sc a n tp r e v e n ta d v e r s a r y s f r o mc o l l u d i n ga t t a c k i n go ru n i v e r s a l l yf o r g i n g ，a sar e s u l tt h e yc a n tp r o t e c tt h e w h o l e a d v a n t a g e o f g r o u p so ro r g m f i z a t i o n s f u r t h e r m o r e ，m o s to fg r o u ps i g n a t u r e s c h e m e sc a n td e l e t eg r o u pm e m b e r sf r e e l ys ot h a tt h e yc a n tm e e tt h en e e d so f d y n a m i cg r o u p si nr e a l i t y s oi t i sv e r yi m p o r t a n tt od e s i g ns e c u r e ，e f f i c i e n ta n d f l e x i b l eg r o u ps i g n a t u r es c h e m e s t h ed i s s e r t a t i o nh a sb e t t e rt r ya n d e x p l o r a t i o n b a s e do nt h ef a m o u sr s a a s s u m p t i o na n dd e c i s i o n a ld i f f i e h e l l m a na s s u m p t i o n ， w e p r o p o s e s e v e r a ln e w g r o u ps i g n a t u r es c h e m e s ，d y n a m i cg r o u ps i g n a t u r es c h e m e s a n dg r o u pb l i n d s i g n a t u r es c h e m e sr e s p e c t i v e l yb ye 1 g a m a le n c r y p t i o n ，r a b i ne n c r y p t i o na n ds i g n a t u r eo fk n o w l e d g e t h e f o l l o w i n ga r et h em a i nr e s e a r c h i n gr e s u l t s ： 1 t h es e c u r i t yo fs e v e r a lf a m o u sg r o u p s i g n a t u r es c h e m e sa r ea n a l y z e d w e f i n dt h a tc m 9 8 g r o u ps i g n a t u r es c h e m ea n da c j t 2 0 0 0g r o u ps i g n a t u r es c h e m e a r en o tc o a l i t i o n r e s i s t a n t f u r t h e r m o r e ，s h l 2 0 0 2g r o u ps i g n a t u r es c h e m ec a n t p r e v e n ta d v e r s a r y sf r o mu n i v e r s a l l yf o r g i n g 2 w ep r o p o s et h r e en e wc o a l i t i o n r e s i s t a n tg r o u ps i g n a t u r es c h e m e s a l lo r t h e mc a na l l o wt h eg r o u pm a n a g e r st oa d dn e wm e m b e r st ot h eg r o u p sw i t h o u t m o d i f y i n gt h ep u b l i ck e y s t h el e n g t ho fs i g n a t u r e sa r e ，a sw e l la st h ec o m p u t a - t i o n a te f f o r tf o rs i g n i n g ，v e r i f y i n ga n d o p e n i n g ，i n d e p e n d e n to ft h en u m b e ro fg r o u p 3 m e m b e r s m o r e o v e r ，t h el e n g t ho fs i g n a t u r e so ft h et h i r ds c h e m e ，a sw e l l a st h e c o m d u t a t i o n a le f f o r tf o rs i g n i n g ，v e r i f y i n ga n do p e n i n g ，a r ev e r ys m a l l s oi t i s m u c hm o r ee f f i c i e n t 3 af o r m a lc o n c e p to fd y n a m i cg r o u ps i g n a t u r ei sg i v e n t h e nw ed i s c u s s t h er e q u i r e m e n t so fs e c u r i t ya n dt h ep r i n c i p l e so fe s t i m a t i n ge f f i c i e n c y 4 w em a k et h et h r e ec o a l i t i o n r e s i s t a n tg r o u ps i g n a t u r es c h e m e sp r o p o s e d i n c h a p t e rt h r e ei n t ot h r e ed y n a m i cg r o u ps i g n a t u r es c h e m e sw h i c hc a l l i n c r e a s e a n dd e l e t eg r o u pm e m b e r sf l e x i b l y 5 w e g i v et h ec o n c e p t o ff a i rg r o u pb l i n ds i g n a t u r e b a s e do nt h ef i r s tc s 9 7 g r o u ps i g n a t u r es c h e m e ，w ec o n s t r u c tac o n e s p o n d i n gf a i rg r o u pb l i n ds i g n a t u r e s c h e m ew i t ho b v i o u st r a n s f e rp r o t o c 0 1 6 b a s e do nt h et h i r dd y n a m i cg r o u ps i g n a t u r es c h e m e ，w ep r o p o s eam u c h m o r ee f f i c i e n t d y n a m i cg r o u pb l i n ds i g n a t u r es c h e m eb yt h e i d e ao fo k a m o t o s c h n o r rb l i n ds i g n a t u r e k e y w o r d s ：g r o u ps i g n a t u r e ，d y n a m i cg r o u ps i g n a t u r e ，g r o u p b l i n ds i g n a t u r e ， f a i rg r o u pb l i n ds i g n a t u r e ，d y n a m i cg r o u pb l i n ds i g n a t u r e 4 第一章绪论 政治、军事、外交的文件、命令和条约，商业中的契约以及个人之间的书信 等，传统上采用手书签字或印章，以便在法律上能认证、核准、生效 疽着计算机 通信网的发展：人们希望通过电子设备实现快速、远距离的交易，数字签名应运 而生，并开始应用于商业通信系统数字签名已在信息安全、身份认证、数据完整 性、不可否认性以及匿名性等方面发挥了重要作用，特别是大型网络安全通信中 的密钥分配、认证以及电子商务系统中具有重要应用数字签名是实现认证的重 要工具 1 1 群签名的研究背景、现状和意义 为了解决各种情况下对数字签名的需求，自从1 9 7 6 年d i f f i e 和h e l l m a n 1 】提 出数字签名的概念以来，人们提出了各种各样的数字签名方案如不可否认的签 名、盲签名、群签名、代理签名、多重签名、指定的确认人签名等等其中群签名 ( g r o u ps i g n a t u r e ) 是面向群体密码学中的一个课题，1 9 9 1 年由d c h a u m 和e v a n h e y s t 首先提出 d c h a u m 和e v a nh e y s t 在他们的论文【2 j 中提出了下述问题： 一个公司有几台计算机，每台都连在局域网上公司的每个部门有它自己的 打印机( 也连在局域网上) ，并且只有本部门的人员才被允许使用他们部门的打印 机因此，打印前，必须使打印机确信用户在哪个部门工作同时，公司想保密，不 可以暴露用户的姓名然而，如果有人在当天结束时发现打印机使用得太频繁， 主管者必须能够指出谁滥用了那台打印机，并给他一个帐单 对这个问题的解决方法称之为群签名它具有以下特性t ( 1 ) 只有该群体内的成员能够对消息进行签名 ( 2 ) 签名的接收者能够证实签名是该群体的有效签名 ( 3 ) 签名的接收者不能判断签名是由群体中的哪一个成员签署的 ( 4 ) 在出现争议时，签名能够被于丁开”，以揭示签名者的身份 群签名作为一种密码技术，能够用来隐藏组织的内部结构，教无论在政治领 域、军事领域，还是商业领域都具有广泛的用途例如它可以用在电子选举( e l e c - t r o n i cv o t i n g ) 、电子投标( e l e c t r o n i cb i d d i n g ) ，以及不可跟踪的电子现金系统 f u n t r a c e a b l ee l e c t r o n i cc a s hs y s t e m ) 与身份托管( i d e n t i t ye s c r o w ) 等许多电子政 务与电子商务活动中 一个公司可以利用群签名来认证帐单或数字合同顾客仅需知道该公司的公 开密钥就可以验证这些签名公司可以利用群签名隐藏它的内部组织结构，但在 需要时，公司仍然可以追查出签署某个文件的雇员 由于群签名具有如此重要的应用价值，所以自从它的概念提出以后，就引起 了密码工作者极大的关注尤其近几年群签名方面的研究取得了丰富的成果，而 且发展也十分活跃一系列性能较好的群签名方案被相继提出了尽管如此，在群 签名的研究领域内仍有有一些关键问题尚待进一步解决 这些问题是：( 1 ) 有些群签名方案不能够抵抗联合攻击，甚至有的方案还不 能抵抗广义伪造攻击，这将严重危害团体和组织的整体利益 ( 2 ) 有些群签名方案的打开算法的效率很低在已有的一些群签名方案中， 打开群签名需要群经理逐个检验群成员的公开密钥是否满足一个等式这对于大 的群体来说需要很大的计算量 ( 3 ) 群签名的长度太长，签名过程与验证过程都需要较大的计算量，导致群签 名的效率太低，因而实用性较差 ( 4 ) 大多数群签名方案都不能够灵活地删除群成员虽然在增加群成员方面 已经取得了很大的成果，许多能够灵活地增加群成员的群签名方案已经被提出来 了，但是在删除群成员方面才刚开始起步 ( 5 ) 现有的群盲签名方案的效率还太低群盲签名在建立电子现金系统方面 具有重要的应用价值，但是现有的群盲签名方案的效率还太低，无法满足现实的 需要，并且这方面的研究还仍然裹足不前 因此，目前群签名的研究主要存在如下几个方向： ( 1 ) 如何安全有效地删除群成员，使得群签名方案不但能够灵活地增加群成 员，也能够灵活地删除群成员即如何为群签名方案设计一个安全有效的删除协 议，使得群成员被删除后，无法再生成有效的群签名，并且他原来提交的群签名仍 满足匿名性和不关联性 ( 2 ) 设计一些新的安全高效的群签名方案一方面，使得这些群签名方案能够 抵抗联合攻击，满足群签名方案的安全性要求另一方面，确保签名长度、签名工 作量，验证工作量与打开算法的工作量均非常小 ( 3 ) 设计一些安全高效的群盲签名方案，以满足建立安全高效的电子现金系 统的需要 2 ( 4 ) 如何在电子商务等领域更广泛地应用群签名由于群签名能为签名者提供 良好的匿名性和不关联性，同日寸在必要的时候叉可以通过群经理来撤消匿名性， 从而使得群签名可以广泛地应用于电子商务中的许多方面只要找到安全高效的 群签名方案，群签名在电子商务中的应用必然会走向实用 ( 5 ) 与群签名相关的数字签名及其应用的研究如分级多群签名i s ( g r o u ps i g - n a t u r e sf o rh i e r a r c h i c a lm u l t i g r o u p s ) 、多群签名1 4 】( m u l t i g r o u ps i g n a t u r e s ) 、子 群签名 4 ( s u b - g r o u ps i g n t u r e s ) 等都有实际应用背景，然而对它们的研究才处于起 步阶段 1 2 论文内容安排和主要研究结果 本文在总结近几年群签名研究领域所取得的最新成果的同时，主要突出和强 调了作者在这方面所取得的主要研究结果希望进一步完善和推动群签名的发展， 使其能够更好的满足现实的需要 1 2 1 论文内容安排 第二章：介绍了创建群签名方案所基于的数论假设和知识签名 第三章：首先讨论了群签名的发展状况与已提出的群签名方案的优缺点，认 识到目前群签名研究领域所存在的主要问题( 即在安全性与效率折中的条件下，如 何建立能够抵抗联合攻击的动态群签名方案，并实现其在电子商务中的应用) 接 着对已提出的几个著名的群签名方案的安全性进行了分析，发现它们或者不能够 抵抗联合攻击，或者不能抵抗广义伪造攻击，从而无法保护团体或组织的整体利 益然后又分别介绍了作者提出的三个新的能够抵抗联合攻击的群签名方案这 三个群签名方案不但能够灵活地增加群成员，而且具有较高的效率尤其是第三 个群签名方案，它的签名长度、签名工作量、验证工作量与打开算法的工作量都非 常小，因此具有极高的效率 第四章：首先给出了动态群签名的定义和其有效性的评价准则然后介绍了 e b r e s s o n 和j s t e r n 提出的可撤消的群签名方案一即动态群签名方案最后将我 们在第三章提出的三个新的能够抵抗联合攻击的群签名方案修改为三个动态群签 名方案，即使得这三个群签名方案不但能够灵活地增加群成员，而且也能够灵活 的删除群成员 第五章：首先介绍了盲签名与群盲签名的概念以及a l y s y a n s k a y a 和z r a m z a m 提出的群盲签名方案然后根据公平的盲签名的概念给出了公平的群盲签名的定 义，并基于c s 9 7 的第一个群签名方案，利用不经意传输协议提出了一个公平的群 3 盲签名方案最后，基于我们提出的第三个能够抵抗联合攻击的动态群签名方案， 应用o k a m o t o s c h n o r r 盲签名的思想，提出了一个有效的动态群盲签名方案 1 2 2 主要研究结果 作者主要取得了以下研究结果： 1 对几个著名群签名方案的安全性进行了分析，证明了c m 9 8 群签名方案和 a c j t 2 0 0 0 群签名方案均不能够抵抗我们提出的联合攻击，同时也证明了s h l 2 0 0 2 群签名方案不能抵抗广义伪造攻击 2 提出了三个新的能够抵抗联合攻击的群签名方案这三个群签名方案都能 够在不改变群的公开密钥的情况下，灵活地增加新成员，同时签名长度、签名工作 量、验证工作量和打开算法的工作量均不随群成员数蜃的增加而增加并且第三 个群签名方案有非常小的签名长度以及非常小的签名工作量和验证工作量，因此 拥有极高的效率 3 给出了动态群签名( 即能够灵活地增加和删除群成员的群签名) 的正式定 义，讨论了它需要满足的安全性要求和其有效性的评价准则 4 分别在第三章所提出的三个新的群签名方案中增加了删除协议，使得这三 个群签名方案不但能够灵活地增加群成员，而且也能够灵活地删除群成员即将 其分别修改成了动态群签名方案 5 根据公平的盲签名的概念给出了公平的群盲签名的概念，并基于c s 9 7 的 第一个群签名方案，利用不经意传输协议提出了一个公平的群盲签名方案 6 基于我们提出的第三个动态群签名方案，应用o k a m o t o s c h n o r r 盲签名的 思想，提出了一个高效的动态群盲签名方案 4 第二章数论假设与知识签名 许多密码方案的安全性都是基于某一个或某几个数论假设的，而知识签名又 是我i i g l 建大量密码方案的基本工具例如许多密码工作者就是在某些数论假设 的基础上，利用知识签名创建了大量的性能比较好的群签名方案 2 1 数论假设 数论假设( n u m b e r - t h e o r e t i ca s s u m p t i o n ) 作为密码学的一个重要理论基础， 已经得到了许多数学家与密码学家的高度关注 下面我们讨论几个重要的数论假设 令b 是一个安全特征，v ( z g ) 是阶的长度为b 的全体群的集合，并且群的阶 可以分解为长度为( f ，一2 ) 1 2 的两个素数的乘积 问题i ( r s a 问题) 给一个群g 与数对( z ，e ) g 士1 ) xz ，寻找钍g 使 得“8 = z 令丁表示一个密钥生成器( k e y - g e n e r a t o r ) ，当输入1 1 ，时，输出一个群g 假设i ( r s a 假设) 这里存在一个概率算法丁，使得对于所有的概率多项式时 间算法a ( p r o b a b i l i s t i cp o l y n o m i a l 4 i m ea l g o r i t h m s ) ，所有多项式p ( ) ，与所有充分 大的f 。，均有 引z “：( g e ) ：= 丁( 批) ，u ：= 4 ( g ，删 1 假设2 ( 强r s a 假设) 这里存在一个概率算法丁，使得对于所有的概率多项 式时间的算法4 ，所有多项式p ( ) ，与所有充分大的k ，均有 只k = a e 1 ：( g ，。) ：= 丁( 1 b ) ，( u ，e ) ：= 一4 ( g ，z ) 南 成立 j c a m e n i s c h 与m m i c h e l s l 8 】提出了修改的强r s a 假设( m o d i f i e ds t r o n gr s a a s s u m p t i o n ) 令k ，f 1 ，f 2 1 是一些更深的安全特征为了明确起见，我t f i 尸 5 f ：= e ( z 2 + 七) + 1 令m ( g ，。) = ( u ，e ) ：z = u 8 ，u g ，e 2 “一2 “，一，2 “+ 2 虹) ，e 是素数 ，其中g a ( 1 9 ) ，z g 问题3 ( 修改的强r s a 问题) 给一个群g ，元素z g ，与集合m cm ( g ，z ) ， 且i m l = d ( 1 口) ，寻找一个数对( 札，e ) g z 使得u 8 = z ，e 2 1 2 ，2 。1 + 2 2 ) ， 且( 让，e ) gm 假设3 ( 修改的强r s a 假设) 这里存在一个概率算法丁，使得对于所有的概 率多项式时间的算法4 ，所有多项式p ( 一) ，所有充分大的b ，所有mcm ( a ，z ) 且 i m l = o ( k ) ，与恰当选择的特征f 1 ，1 2 ，k ，e ，均有 p r k = u e a e 2 1 1 2 。，一，2 1 - + 2 t a ( 札，e ) gm ：( g ，z ) ：= t ( i b ) ， ( u ，e ) ：= 4 ( g ，z ，m ) 】 1 为系统的一个安全特征，称满足c = h ( g l l y l b 。y 。l l m ) 的数对( c ，8 ) o ，1 ) 一2 1 9 帖，2 ( 1 9 + 。) ，是消息m o ，1 ) + 关于y 基于雪 的离散对数的知识签名记作s p k ( o r ) ：y = g o ) ( m ) 注t“”表示两个字符串的级联，以下同 如果知道满足o = l o g 。y 的秘密密钥z o ，1 弘，则可以通过如下计算作消 息m o ，1 ) 的签名( c ，s ) = s p k ( ( o e ) ：y = 旷) ( m ) ( 1 ) 选择r r o ，1 ) ( 1 9 牲) ，并计算t ：= g ( 2 ) c ：= h ( g l l y l t l l m ) ( 3 ) s ：；r c z ( i nz ) 若上述指数运算全在编上，则可以选择r r 磊，t = g r ( m o d p ) ( 其中n i p 一1 ) 然后计算c ：= h ( g l l y l l t l l m ) 与s ：= r c x ( m o d n ) 定义2 2 5 【1 6 1 设e 1 为系统的一个安全特征，称满足 c = 日( 州圳s ，l f f 抛i f 可细。f i 蝣h 。i f m ) 的数对( c ，s ) o ，1 ) 2 ( 一2 b 神，2 ( ，+ 。) ，是 消息m o ，1 ) 关于两个离散对数y 1 基于9 与9 2 基于h 相等的知识签名记 作s p k ( a ) ：y l = g o a y 2 = 胪) ( m ) 若签名者知道使得y l = g 。与y a = h 。成立的秘密密钥z o ，1 弘，则他就 可以计算消息m 0 ，1 ) 的签名 ( c ，8 ) = s p k ( a ) ：y l = g 。ay 2 = 。) ( m ) 如f ： ( 1 ) 选择随机数r r 0 ，1 ) ( 1 9 + ，并计算t 1 ：= 矿，2 ：= h r 。 ( 2 ) c ：= 日( 洲圳玑恤l j m ) ( 3 ) s ：= r c x ( i nz ) 定义2 2 5 是证明两个离散对数相等的情况，我们完全可以将其推广到更一 般的情况，即证明多个离散对数相等的情况 定义2 2 6 1 1 7 】设e 1 为系统的一个安全特征称满足 c = h ( g , l i i 旧n i l y l l l i l y 。1 1 ( 9 , 9 。) 5 ( y 1 ) 。| | m ) 8 的数对( c ，s ) o ，1 ) 一2 ”，2 ( 1 9 + ) ，是消息m o ，1 ) + 关于珏个元素 y ；基于g ；的离散对数相等的知识签名( i = 1 ，2 ，n ) 记作 s p k ( ) ：价= 鳄a - ay n = 鳐) ( m ) 若签名者知道使得y i = 鳄成立的密钥。( o ，1 ) ，( i = 1 ，2 ，凡) ，则他就 可以计算消息m o ，i ) 的签名如下： ( 1 ) 选择r _ r o ，1 ) ( g 舳) ，并计算t ：= ( g 1 9 2 鼽) 7 ( 2 ) c ：= h ( 9 1 f f f i g n ”f f y 。f f t i f m j ( 3 ) s ：= r c x ( i nz ) 定义2 2 7 1 1 8 】设 1 是系统的一个安全特征，2 l 毛与f 2 均为长度参数 称满足c = h ( g l l y l l g ”d 1 可。】l m ) 的数对( c ，s ) 0 ，1 ) 2 一2 1 2 十，2 ( 2 + 2 ) ， 是消息m o ，1 ) 关于v 基于g 的离散对数的知识签名记作 s p k ( 血) ：g = g 。a ( 2 “一2 ( 2 + 2 ) + 1 1 为系统的一个安全特征称满足 n c i = h ( g l l y - 卜t 1 1 9 “折1 i i i i g “纷忡) i = l 的2 n 维数组( c 1 ，一，s l ，s 。) 是消息m o ，1 ) + 关于 y x ，y n ) 中某1 元素的离散对数的知识签名记作 s p 耳 ( d l ，o 。) ：y l = 旷1vy 2 = 9 “v v = 口“) ( m ) 不失一般性，我们可以假设签名者知道使得y 1 = g 。z 成立的密钥 x 1 o ，1 弘， 则签名者可以计算消息m o ，1 + 的签名s p k ( a l ，。) ：y l = g “v v = 9 “) ( m ) 如下： ( 1 ) 选择r l ，r 2 ，h 兄 o ，1 + 舢，与c 2 ，c 。赶 o ，1 ) ，并计算 t l ：= g “，t 2 ：= g r 2 9 ；2 ，t n = g r n 泞 ( 2 ) c l ：= h ( g l y , 1 1 i l y 1 l t , 1 卜l i “i i m ) 一e c i ( 3 ) s l ：= r 1 一c l x l ( i nz ) ，且令s 。= n “= 2 ，一一，n ) 定义2 2 1 0 1 1 7 】设e 1 为系统的一个安全特征称满足 c = 日( 9 l | | l i g 。| | 可l l g i l - g 挈。) 的( 犯+ 1 ) 维数组( c ，s 1 ，- 一，) 0 ，1 ) 一2 b 舳，2 ( b + ) ) ”，是消息m o ，1 ) + 关于g 基于(