当前位置:文档之家 › 基于身份不可授权的强指定验证者签名方案

基于身份不可授权的强指定验证者签名方案

  • 格式:pdf
  • 大小:256.47 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

指定验证者签名方案

指定验证者签名方案

指定验证者签名方案摘要:指定验证者签名是一类特殊的数字签名,在指定验证者签名中,只有指定的验证者才能验证签名,任何第三方都无法验证签名的有效性,根源就是指定验证者也可以生成一个与签名者不可区分的有效的模拟签名,实现了任何外部第三方都无法验证签名的有效性。

关键词:指定验证者签名;强壮性;随机预言模型Identity-based strongly designated verifier signature schemeAbstract: The designated verifier signature is a special kind of digital signature. in the designated verifier signature, only the designated verifier can verify the signature, and no third party can verify the validity of the signature. the root cause is that the designated verifier can also generate a valid analog signature that is indistinguishable from the signer, which realizes that no externalthird party can verify the validity of the signature.Keywords: Designated verifier signature; strongness; random prediction model1预备知识2. 1双线性对定义:是素数,假设为阶循环加法群,生成元为,为阶循环乘法群,双线性映射满足以下性质。

1)双线性性:有;2)非退化性:存在使得;3)易计算性:,存在有效算法可以计算putational Diffie-Hellman problem(简称CDH问题),在阶数为的循环加法群中,是的一个生成元,对任意,计算 ,其中是未知的随机数。

指定验证者签名方案的安全性分析

指定验证者签名方案的安全性分析

证签名的有效性 。该方案是可 以普遍伪造的。还有该方案不 能抵抗签名 的授权攻击。20 0 9年张学军提出一个基于身份 的
指定验证者签名方案(hn Z a g方案) , J该方案的优点是实施效 率较高。本文分析出该方案具有与 Kag等人的方案一样 的 n 安全漏洞 :非指定验证者 也可 以验证签名的有效性 ,且方案
a d K n c e ) a d so a e sh me d e o ai y te sc r y po et h t ny ted s n t e f rc n c e k te v l i f n a g sh me, n h wstt t c e o sn tst f e u t rp r ta o l h e i ae v r e a h c ai t o h h s h i y g d i i h dy
中,非指定验证者也可 以验证签名的有效性 ,不能抵抗伪造攻击和授权攻击 , h n 方案也不满 足不可伪造性、强壮性 和不可授权性。 Z ag 关健词 :指定验证者签名 ;不可伪造性 ;不可授权性
Cr p a a y i 0 sg a e rf rS g a u eS h m e y t n l ss f De i n t d Ve i e i n t r c e s i
sg aur s t p i t u e s he s i e u e a a n tf r e b l y a tc n e e a a l y a t c I n s o tt e s he o s n t s tsy t e i n t e .I o n s o tt c me i ns c r g i s o g a ii a k a d d lg tbi t t k tf d u h c me d e o aif h t t i a i h s c rt so n o g a i t , to g e sa d n n d lg a i t . e u i fu f r e b l y sr n n s n o — e e a b能判断,而对其他任何 用 户都是保密 的。这是一 个解决 “ 保密性”和 “ 真实性”发 生 冲突的问题 。一个指定验证者签名方案应该满足如下的安全 性质 :() 1不可伪造性 :没有签名者 A i l e和指定验证 者 B b c o

基于证书强指定验证者签名方案

基于证书强指定验证者签名方案
LI iGu — o j QI AN Na H UAN G Xi— 。’ n Yi 。 Z ANG — e ’ H Yi Ch n
”( p rme t f C mp t C l g f C mp tr& I f r t n E g n ei g,Ho a n v ri De a t n o ue o r, o l e o ue e o n o ma i n ie rn o h i ie st U y,Na jn 2 0 9 ) n ig 1 0 8 ”( c o l f I f r a in S se , i g p r n g me tU i est S n a o e S h o n or t y tms S n a o e o n o Ma a e n n v riy, i g p r ) 。( c o l fM ah ma i n o ue ce c , u i nNo ma n v r i Fu h u 3 0 0 ) ’ S h o o t e t sa d C mp trS i e F j a r lU i e s y。 z o 5 0 7 c n t
关键词
公钥密码学 ; 于证书签名 ; 基 强指 定 验 证 者 签 名 ; DH 问题 ; 机 预 言 模 型 GB 随
TP 0 39 D 号 : 0 3 2 / P J 1 1 .0 20 59 OI 1 . 7 4 S .. 0 6 2 1 . 1 7
中图 法 分 类 号
Ce tfc t - s d S r ng De i na e r fe i n t r c m e r ii a e Ba e t o s g t d Ve ii r S g a u e S he
Ab t a t s r c
I p r d by t d a o hec riia e e sde i na e e ii rsgn t e,wepr po et ns i e he i e ft e tfc t l s sg t d v rfe i a ur o s he

利用双线性对构建基于身份的指定验证者签名方案

利用双线性对构建基于身份的指定验证者签名方案

现 密码 学上基 于身份的签名应用。就基 于身份 的指定验证 者签名方案进行研究 , 利 用双线性知识 , 参照前人
的指定验证者签名方案 , 在 系统设置阶段增加一 个单 向的无碰撞 Ha s h函数 , 在 签名阶段选取一个参数 , 在 签
名和 验 证 阶 段 应 用 系统 初 设 阶段 所 定 义 的 H a s h函 数 构 造 苓 方 案 并 对 方 案 在 可验 证 性 、 安全性及性能做 了 相应分析 。
S i g na t ur e Sc he me Us i n g Bi l i ne a r Pa i r i ng s
Z H A O Y o n g — c h a o , X U Q i n g — s h e n g , Q I N H a i — f e i
第3 1卷
第 6期 江 西 源自科 学 Vo I _ 3l No . 6
De c . 2 0l 3
2 0 1 3年 l 2月
J I A NC XI S CI ENCE
文章编号 : 1 0 0 1 — 3 6 7 9 ( 2 0 1 3 ) 0 6— 0 8 3 0— 0 4
利用 双线 性 对 构 建基 于身 份 的 指定 验 证 者 签名 方 案

S O t o b e a g o o d s o l u t i o n. Us i n g t h e b i l i ne a r i de n t i t y — b a s e d c r y p t o g r a p h y c a n b e a c h i e v e d t he a p p l i c a — t i o n o f s i g n a t u r e . I n hi t s p a p e r we b a s e i de nt i t y— b a s e d c ypt r o g r a p hy s c h e me a n d u s i ng t he b i l i ne a r k n o wl e d g e, r e f e r r i n g t o pr e v i o u s d e s i g na t e d v e r i ie f r s i g n a t u r e s e h e g , l e pr o po s e d t hi s p r o g r a m I n t h e

基于身份的指定验证者签名新方案

基于身份的指定验证者签名新方案

Ab tac : ee we e s c i d o s u s a o p ro ma c n mp re ts c rt n t e c re td sg sr t Th r r u h k n fis e s lw e fr n e a d i e fc e u y i h u r n e i— i n td v rf r sg au e o t s mp ra t o e i n e ur a d f ce t e in t d e i e in t r ae — e i in tr .S i i o tn t d sg s c e n e i n d sg ae v rf r sg a u e i e i i i s h me , e i to cin o nt y b s d sg a u e s h me, r p s d a n w D a e e in td v rfe c e s Th n rdu to fi de i — a e in tr c e t p o o e e I b s d d sg a e e i r i sg au e s h me b s d o h d a t g s o h x si g s h me , itd te i trea e lo t m ft e in tr c e a e n t e a v n a e ft e e itn c e s l e h n e r ltd ag r h o h s i s h me Ca re n s c rt n l z d a d h sgv n te te r m n etfc t n i e u e a p c , a e t e c e . rid o e u i a ay e n a ie h h o e a d c ri a i n s c r s e t g v h y i o c s fc l u ai g a u o t e s he o to ac ltn mo ntt h c me. e r s hs s o d t a h e sg au e s h me p o o e a Th e u h we h tt e n w in tr c e r p s d h d me tt es e ic n t r ft e d sg td v rf rsg au e, v r o e e t ha y b e e ae r s n e h p cf a u e o e inae e i in t r o e c med fc st tma ed lg td p e e — i h i e tn n t e d sg a e e f rsg a u e a h a i i g i h e in td v ri in t r tt e s me t i e me. Ke r s: iia in t r I b s d; e i n t d v rf rsg au e y wo d d gtlsg au e;D— a e d sg ae e i e in tr i

强不可伪造的基于身份服务器辅助验证签名方案

强不可伪造的基于身份服务器辅助验证签名方案

强不可伪造的基于身份服务器辅助验证签名方案杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【摘要】标准模型下的基于身份签名方案大多数是存在性不可伪造的,无法阻止攻击者对已经签名过的消息重新伪造一个合法的签名,并且验证签名需要执行耗时的双线性对运算.为了克服已有基于身份签名方案的安全性依赖强和计算代价大等缺陷,提出了一个强不可伪造的基于身份服务器辅助验证签名方案,并在标准模型下证明了新方案在合谋攻击、自适应选择身份和消息攻击下是安全的.分析结果表明,新方案有效减少了双线性对的计算量,大大降低了签名验证算法的计算复杂度,在效率上优于已有的基于身份签名方案.【期刊名称】《通信学报》【年(卷),期】2016(037)006【总页数】7页(P49-55)【关键词】基于身份服务器辅助验证签名;强不可伪造性;合谋攻击;标准模型【作者】杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【作者单位】西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070【正文语种】中文【中图分类】TP309基于身份密码体制是一种将用户身份标识作为公钥的密码体制,用于解决公钥基础设施PKI/CA中数字证书的存储和管理开销等问题[1]。

在基于身份的密码体制中,用户的E-mail地址等唯一身份标识作为用户的公钥,密钥生成中心PKG借助主密钥生成相应的用户私钥。

由于不再需要使用传统的公钥证书,因而大大减轻了密钥的管理与分发开销。

2001年,Boneh和Franklin[2]利用双线性对工具首次构造出高效的基于身份加密方案;随后国内外学者对基于身份密码体制进行了大量的研究,并取得一系列原创性研究成果[3~6]。

新的基于身份的强指定验证者代理签名方案


Wag8shme ] n ’ ce [. 4
Ke r s rx in tr ; ein td v r e i aue; in a ar g y wo d :p o y sg au e d s ae - e f r s g i i n g tr bl er p in s i i

要 : 于指 定 验 证 者 签 名和 代 理 签 名 的思 想 , 出 了一 个 运 用双 线 性 对 的 基 于 身份 的 强 指 定验 证 者 代 理 签名 方 案 , 方 案 比 基 提 谊
文献[ 中的指定蓝证者代理签名方案的签名 长度更短。 4 ]
关 键 词 : 理 签 名 ; 定 验 证 者 签 名 ; 线性 对 代 指 双 文 章 编 号 :0 2 8 3 (0 7 0 — 10 0 文 献 标 识 码 : 10 — 3 12 0 )10 3 — 2 A 中图 分 类 号 :N33O T 9. 8
向新银, 王晓峰, 王尚平, 林婷婷, 娟 王
XI ANG Xi- i W ANG Xio fn , n yn, a -e g WANG h n - ig L N T n —ig, S a g pn , I ig t n WANG u n Ja
西安理工大学 理学院 , 西安 7 0 5 10 4
l 引 Байду номын сангаас
在现 实 生 活 中 . 们 往 往 将 自己 的某 些 特 权 委 托 给特 定 的 人
指定 验 证 者 可 以验 证 原 始 签 名 者 的 签 名 的 有 效 性 . 是 他 对 签 但
名 的验 证 不 能 使 第 三 方 相 信 此 签 名 是 由 谁 生 成 的 。 为 强 指定 因
验 证 者 能模 拟 原 始 签 名 者 生 成 一 个 相 同 的 副 本 。 而且 只有 强指 定 验证 者可 以 验 证 签 名 。后 来 Se dit V r ad和 L g i ae nal eg u S 。 n aul — l mi3 出其 形 式 化 的定 义 . 进 一 步 的 加 以延 伸 。如 何 将 强 a el u t 给 并

一个新的强指定验证者签名方案与证明方法

ZHAO n。 WANG h n p n , ANG a f n Y Na , S a g ig W Xi o e g , ANG u x a , W ANG 。 Ch n i 。 Bo
( . b rt r fCr po rph n t r e u t, ’nUnv ri f c n lg , ’n71 0 4 1 La o aoyo y tg a ya d Newok S c r y Xia iest o Te h oo y Xi 0 5 ; i y a 2 Nain lKe b rt r nI N, da i ri Xia 0 7I . to a yLa o ao o S XiinUnvest y y, ’n71 0 )
Ba e n t e n w t sa i n n 1 b s d sr g d sg a e e i e i n t r c e t s a e r c e y i r p e F r n i nau e t s d o h e at t t ,a D— a e t e o on e i n t d v rf rsg a u e s h me wih me s g e ov r s p o os d. o gi g sg t r s wi i h r n o o a l q a st o v h a d m r c ee u l o s l et e BDH r b e . t h Itt et omb n h e i n t d v rfe i n t r t s a e r c v r , i h a a t p o l m I t e f S i O c s i m i e t e d s g ae e i rsg a u e wih me s g e o e wh c d p s i y

基于证书授权和基于身份的代理签名方案


Ab t a t sr c :A ee ain b —e t c t rx in t r c e n n I b s dprx in t r c e r rp s d u d r d lg t — y c ri ae p o y sg au e sh mea d a D— a e o ysg au es h mea e p o o e n e o i f as sump in o a trz t n p o l m . h e c e s h v u h d srbe fau e s srn n fre blt n o — t fa fcoiai r b e T e n w s h me a e s c e ia l e t rs a to g u -og a ii a d n n o o y rp da in, sig ih bl y, v rfa i t ie tt o f main f o gn l n rx i e s a d rv c blt fte e u it o dit u s a it n i e i bl y, d niy c n r to o r i a a d p o y sg r , n e o a i y o h i i i i n i po y sg au e d lg to rx in tr ee ain. T e I b s d p o y sg au e s h me o e c me h i tt n o o x sig s h me h t h D— a e rx in t r c e v ro st e lmi i fs me e itn c e st a ao d o n l d D if r to fsg e n rx sg es.T e p o o e c e s alw n ie sg au e o h r i a on ticu e I no main o in ra d p o y i r n h rp s d sh me l o o l in t r ft e o gn l n i

标准模型下基于身份的数字签名方案


标准模型下基于身
02
份的数字签名方案
的核心概念
数学基础
01
群论
基于身份的数字签名方案涉及大量的群论知识,如有限群、离散对数等
。群论为该领域提供了丰富的数学工具,用于定义和描述数字签名方案
中的各种概念和操作。
02
密码学
密码学是研究如何保护信息安全的科学。基于身份的数字签名方案是密
码学的一个重要分支,它利用数学和计算机科学的知识来保护信息的机
物联网安全
在物联网应用中,使用基于身份的数字签名方案可以确保 传感器数据的机密性和完整性,以及验证数据来源。
基于身份的数字签名的优势
简化管理
采用基于身份的数字签名方案可以简化密 钥管理过程,因为用户的密钥与其身份相
关联,易于管理和分发。
提高安全性
基于身份的数字签名方案采用用户 的身份信息作为签名的密钥,与其 他类型的签名方案相比,更难以被
• 标准模型下基于身份的数字签名方案的未 来研究方向与挑战
基于身份的数字签
01
名概述
定义与特点
• 基于身份的数字签名定义:基于身份的数字签名是一种数字 签名方案,其中签名者的身份信息被用来生成其数字签名。 这种签名方案具有很高的便捷性,因为签名者不需要向其他 人证明其身份,只需要使用其身份信息就可以生成数字签名 。
在数字签名方案中的应用
在基于身份的数字签名方案中,双线性映射被用于实现签名和验证过程。它可 以将消息和签名者的标识符合并成一个二元组,然后对这个二元组进行签名。 验证者可以通过双线性映射来验证签名的有效性。
困难问题
离散对数问题
离散对数问题是数学中的一个经典难题 ,即在有限群中,给定一个元素的指数 ,如何有效地找到它的阶?在基于身份 的数字签名方案中,离散对数问题被用 于确保签名的安全性和正确性。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

————————————基金项目基金项目::中国科学院自动化研究所复杂系统与智能科学重点实验室开放课题基金资助项目(20070101);辽宁省教育厅高等学校科学研究基金资助项目(2008334)作者简介作者简介::李 聪(1986-),男,硕士研究生、CCF 会员,主研方向:密码学;闫德勤,教授、博士 收稿日期收稿日期::2011-10-21 修回日期修回日期::2011-12-12 E-mail :conanlee2002@基于身份不可授权的强指定验证者签名方案李 聪,闫德勤(辽宁师范大学计算机与信息技术学院,辽宁 大连 116081)摘 要:针对目前基于身份的强指定验证者签名方案可授权及效率不高的问题,提出一种基于身份的强指定验证者签名方案。

对基于双线性对的签名方案进行安全性证明以及效率分析。

性能分析结果证明,与已有方案相比,该方案满足不可传递性、不可伪造性及不可授权性,双线性对运算和模乘运算相应减少,签名效率更高。

关键关键词词:不可授权性;双线性对;基于身份;不可伪造性;不可传递性Strong Designated Verifier Signature SchemeBased on Identity Non-delegatabilityLI Cong, YAN De-qin(School of Computer Science and Information Technology, Liaoning Normal University, Dalian 116081, China)【Abstract 】Aiming at the delegatability and inefficiency problems of current identity-based strong designated verifier signature schemes, a new efficient identity-based strong designated verifier signature scheme is proposed, which includes signature scheme based on bilinear pairings, security proof and efficiency analysis, performance analysis results show that the new scheme can satisfy the security requirements of non-transferability, unforgetability, non-delegatability. Compared with other existing schemes, the new scheme which reduces the computational cost of bilinear pairings and modular multiplication is more efficient.【Key words 】non-delegatability; bilinear parings; ID-based; unforgetability; non-transferability DOI: 10.3969/j.issn.1000-3428.2012.17.039计 算 机 工 程 Computer Engineering 第38卷 第17期V ol.38 No.17 2012年9月September 2012·安全技术安全技术·· 文章编号文章编号::1000—3428(2012)17—0139—03 文献标识码文献标识码::A中图分类号中图分类号::TP3091 概述1984年,Shamir 提出了基于身份的密码体制[1],其主要思想是以能标识用户身份的信息作为公钥,如姓名、电话等。

而用户的私钥可以由安全可信的私钥生成中心(PKG)生成,这样就解决了传统使用公钥证书带来的各种问题。

2001年,Boneh 和Franklin 利用双线性对提出了 第1个基于身份的加密方案[2],这种体制很快得到了国内外学者的关注并发表很多基于身份的加密方案的论文,如Waters 方案[3]、Boneh 方案[4]等,并相应地应用于指定验证者签名。

2007年,Kancharla 等人[5]提出双线性对下的基于身份的强指定验证者签名方案,并给出安全性证明其是不可伪造、不可传递和不可授权的。

但2010年,Sun 等人[6]证明该方案是可授权的。

本文基于Sun 等人证明的强指定验证者签名可授权性进行改进,提出了一种新的双线性对下的基于身份的强指定验证者签名方案,并分析新方案的安全性要求和签名效率。

2 相关知识2.1 双线性对令G 1、G 2分别是一个阶为大素数q 的加法群和乘法群。

p 是群G 1的生成元,称e : G 1×G 1→G 2是一个双线性映射,当且仅当其满足如下属性:双线性性:(,)(,)a b ab e p p e p p =, ,q a b Z ∀∈; 非退化性:(,)1e p p ≠;可计算性:存在一个有效的算法能够计算(,)e p p 。

2.2 相关的数学难题BDH 问题:设p 是G 1的生成元,已知,,a b c p p p*1(,,,)q a b c Z p G ∈∈,计算(,)abc e p p 。

3 新的IBSDVS 方案IBSDVS 方案流程如下: (1)PKG 设置私钥生成机构PKG 生成双线性映射e 的2个群G 1和140 计 算 机 工 程 2012年9月5日G 2,并随机选择主密钥*R q s Z ∈。

P 为G 1的生成元,公钥PUB P sP =。

2个哈希函数:H 1:*1{0,1}G →,H 2:**1{0,1}q G Z ×→,向所有用户公开参数{G 1,G 2,e ,q ,P , P PUB , H 1,H 2}。

(2)密钥提取用户给出身份ID ,PKG 计算密钥ID S =sH 1(ID ),然后通过安全信道发送给用户,用户公钥为ID Q =H 1(ID )。

(3)指定验证者签名假定签名者Signer 要签名的消息为M ,其公钥/私钥对分别为IDs Q /IDs S 。

Signer 首先选择*R q r Z ∈,计算IDv U rQ =,1()IDs V r H S −=+,其中,H =H 2(M , (,)IDs e U S )。

然后将签名(,)U V σ=发送给验证者Verifier 。

(4)指定验证者验证验证者Verifier 的公钥/私钥对 为/IDv IDv Q S ,其收到签名σ后,首先计算H =H 2(M , (,)IDs IDv e rQ S ),验证等式(,)(,)(,)IDv IDs IDv e U V e Q H e Q S =。

如果成立则接受签名σ,否则拒绝。

4 安全性分析4.1 正确性正确性分析如下:(,)e U V =1(,())IDv IDs e rQ r H S −+=1(,)(,)IDv IDv IDs e rQ r H e Q S −(,)IDv e Q H (,)IDs IDv e Q S其中,(,)IDs IDv e Q S =(,IDv e rQ )IDs Q =(,)r IDv IDs e Q Q =(,)IDv IDs e Q S 。

4.2 不可传递性指定验证者Verifier 首先选择*'R q r Z ∈,然后计算''IDs U r Q =,1''(')IDv V r H S −=+,其中,'H =H 2(M ,(',)IDv e U S ),生成模拟签名'(',')U V σ=,并且也能使验证等式成立:(',')(,')(,)IDv IDs IDv e U V e Q H e Q S =。

也就是说,不能确定某一签名是Signer 生成的还是由Verifier 模拟的,因此,方案满足不可传递性。

4.3 不可伪造性定理1(不可伪造性) 假设存在一个对手F 在t 时间内最多做1H q 次H 1及2H q 次H 2随机预言机询问、E q 次密钥提取询问、S q 次签名询问的情况下,能以不小于ε的概率区分出2种有效的密文,那么F 能以不小于ε′的概率解决BDH 问题,假设为算法Y 。

证明:对手F 能以不小于ε′的概率解决BDH 问题,即能在已知p 、a p 、b p 、c p (,,a b *1,q c Z p G ∈∈)的情况下,计算出(,)abc e p p 。

系统公钥PUB P 、Singer 身份s ID 和Verifier 身份v ID 都是已知的,通过密钥提取算法可得:IDs Q =H 1(s ID ),IDv Q = H 1(v ID )。

P 是G 1的生成元,因此,可以得到IDs Q aP =,IDv Q bP =,PUB P cP =。

系统设置:F 收到算法Y 发送的系统参数{G 1, G 2,e ,q ,P ,P PUB , H 1, H 2}。

其中,H 1, H 2是由Y 控制的随机预言机,H 1, H 2相对应的询问的表为1H L 、2H L (初始时为空)。

H 1询问:首先F 对i ID 进行H 1询问,然后Y 就开始查找表1H L ,并且给出如下回答:IDi Q =H 1(i ID )=aP ,if i s ID ID =;IDi Q =H 1(i ID )=bP ,if i v ID ID =;否则,IDi Q =H 1(i ID )=i t P ,*i R q t Z ∈,并在表1HL 中增加(i ID ,IDi Q ,i t )。

密钥提取询问:首先F 对i ID 进行密钥提取询问,然后Y 开始查找密钥提取表。

如果i S ≠或i V ≠,则Y 就将i ID 对应的密钥i t cP 返回;否则,Y 就提示模拟失败并 停止。

H 2询问:首先F 对(i M ,(,)i i e U S )进行H 2询问,然后Y 就开始查找2H L 表。

如果(i M ,(,)i i e U S ,i H )∈H 2,就将2i H 输出给F ;否则Y 输出2i H ∈*qZ ,并在表2H L 中增加(i M ,(,)i i e U S ,i H )。

签名询问:首先F 对消息i M ,签名者i ID 和指定验证者j ID 进行询问,Y 可做出如下回应:如果i S ≠或i V ≠,则Y 计算Signer 的私钥IDi i S t cP =,再选择*i R qr Z ∈,并计算i i i U rQ =,i H =H 2(i M ,(,)i i e U S ),i V =1r−(i H +IDi S );如果j S ≠且j V ≠,则Y 计算Verifier 的私钥j j S t cP =,再选择*j R q r Z ∈,并计算j j j U r Q =,j H =H 2(i M ,(,)j j e U S ),1()j j IDj V r H S −=+;否则,退出协议。