基于格的强指定验证者签名方案.pdf

资源描述

1、http:/DOI:10.13700/j.bh.1001-5965.2021.0445基于格的强指定验证者签名方案张平*，迟欢欢，李金波，尚有林(河南科技大学数学与统计学院，洛阳471003)摘要：强指定验证者签名（SDVS）方案允许签名者指定一个验证者,只有指定的验证者才能确保签名是由签名者生成。利用陷门生成算法构造了一种基于格的强指定验证者签名方案，并给出了签名方案的正确性证明。基于改进的小整数解（SIS）问题，在标准模型中证明了所提方案在适应性选择消息攻击下是存在性不可伪造的，基于误差学习（LWE）问题证明了所提方案的不可转移性及签名人身份的隐私性。将所提方案应用到云计算的数据完整性审计

2、机制中，使得只有授权的第三方才拥有数据验证权利，有效保护了用户的隐私。关键词：格；强指定验证者签名方案；小整数解问题；误差学习问题；强不可伪造性中图分类号：V309.3；TB553文献标志码：A文章编号：1001-5965（2023）06-1294-07在普通的数字签名中，任何获得签名的人都可以验证签名的有效性及签名者，在有些情况下，这是签名者不希望看到的。然而在指定验证者签名中，只有指定的验证者才能确认签名者，而收到签名的其他人无法识别签名者。也就是说，第三方无法区分签名者产生的签名和验证者模拟的签名，即指定验证者签名具有不可转移性，这不仅保护了签名者的信息，也避免了签名者滥用签名。这些优点

3、使得指定验证者签名在各种场所中有着广泛的应用，如电子投票、电子合同及软件许可等。1996 年，Jakobsson 等1首次提出了关于指定验证者的签名方案，但是该方案存在一定的安全隐患，如果签名在到达验证者之前被窃听者获取，窃听者将会知道签名不是由指定验证者产生的。为了防止这种情况发生，Jakobsson 等1给出了强指定验证者签名(strongdesignatedverifiersignature,SDVS)方案的一般构造方法。2003 年，Steinfeld 等2提出了一种广义的指定验证者签名方案，其扩展了指定签名者方案，使得签名持有者能够将签名指定给任意想要得到该签名的指定验证者，然而广义

4、的指定验证者签名方案不满足不可转移性。同年，Saeednia 等3进一步提出了一个 SDVS 方案，通过将指定验证者的私钥与签名验证过程相结合，防止任何其他人验证该签名。2004 年，Laguillaumie 和Vergnaud4基于随机预言机模型中的双线性映射提出了一种有效的 SDVS 方案，并证明了 SDVS 的匿名性。之后，许多 SDVS 方案也相继被提出5-8，但这些方案的困难性都是基于传统困难问题的，不能抵抗量子攻击。2012 年，Wang 等9提出了第一个基于格的 SDVS 方案，该方案的安全性是基于小整数解(smallintegersolution,SIS)问题与随机预言机模型中

5、的误差学习(learningwitherrors,LWE)问题。2013 年，李明祥和郑艳娟10使用原像陷门采样算法，在标准模型下提出了基于格上 SIS 问题的SDVS 方案。2017 年，Geontae 和 Ik11在 Wang 等9提出方案的基础上，提出了一个标准模型下基于格的 SDVS 方案。2019 年，蔡杰等12基于环上小整数解（R-SIS）问题设计了一种高效的 SDVS 方案，并证收稿日期：2021-08-06；录用日期：2021-11-05；网络出版时间：2021-12-1715：31网络出版地址： J.北京航空航天大学学报，2023，49（6）：1294-1300.ZHANG

6、P，CHI H H，LI J B，et al.Lattice based strong designated verifier signature schemeJ.Journal of Beijing University ofAeronautics and Astronautics，2023，49（6）：1294-1300（in Chinese）.2023年6月北京航空航天大学学报June2023第49卷第6期JournalofBeijingUniversityofAeronauticsandAstronauticsVol.49No.6明了方案的安全性。目前，标准模型下基于格问题提出的 SD

7、VS 方案较少，本文基于文献 11 提出的格上改进的 SIS困难问题，提出了一个 SDVS 方案，详细描述了具体签名过程，证明了该方案的正确性，并在标准模型下证明了该方案的不可伪造性、不可转移性和签名人身份的隐私性。1预备知识1.1格中的基本定义mb1,b2,bm Rn定义1格是由个线性无关向量生成的，即=L(b1,b2,bm)=mi=1zibi|zi Z（1）b1,b2,bmL(b1,b2,bm)Zmm称为格的一组基，且，为格的秩。定义2对偶格定义为=x Zm:y ,Z（2）A Znmqq m n0 Znqy Znq(A)(A)y(A)定义3陪集。对于一个奇偶校验矩阵，、为正整数，为零向量

8、，校验值，格的陪集和的陪集，定义如下：(A)=z Zm:Az=0(modq)Zmy(A)=z Zm:Az=y(modq)Zm（3）1.2格上的高斯分布x Rnc Rns 0定义4高斯函数。对任意向量，以向量为中心、参数为的高斯函数定义为s,c(x)=exp(xc2/s2)（4）cs当高斯函数省略参数和时，默认其值分别为0 和 1。c Rns 0m x 定义5离散高斯函数。对任意，和维格，格上的离散高斯分布定义如下：D,s,c(x)=s,c(x)/s,c()（5）s,c()=xs,c(x)式中：为固定值。1.3格上的困难问题ISISq,A Znmq 0y Znqm=ploy(n)ISISq

9、,v ZAv=y(modq)v 定义6非齐次小整数解()问题。在格中，给定任一个均匀随机矩阵，以及一个校验值对于任意的，问题就是寻找一个非零向量，使得且。ISISq,y=0 ZnqISISq,在问题中，当，问题可以转化小整数解问题。SISq,v Znmq 0定义7小整数解()问题。在格中，给定任一个均匀随机矩阵，对于任意的m=ploy(n)SISq,v ZmAv=0(modq)v ，问题就是寻找一个非零向量，使得且。q n(logn)ISISq,SISq,根据文献 13-15 可知，当时，和问题都可以转化为求解格上困难情况下的最短独立向量问题（shortestindepe

10、ndentvectorsproblem,SIVP）。mSISq,本文采用 Geontae 和 Ik11提出的改进的小整数解问题，具体定义如下。mSISq,A1=A1|A1 Zn(m+m)qA2=A2|A2 Zn(m+m)qA1=A2 Zn(m+m)qmSISq,v1 Zmv2 ZmA1v1+A2v2=0(modq)v1 v2 定义8问题。给定任 2 个均匀随机矩阵和，使得，问题就是寻找 2 个非零向量和，使得，且，。LWEq,A0,A1 Zmmqs0,s1 Znqx0 Zmqx1 ZmqLWEq,A0,r0=A0s0+x0A1,r1=A1s1+x1定义9问题。给定任 2 个均匀随机矩阵和 2

11、个均匀随机向量，1 个高斯误差向量和 1 个均匀随机向量，问题就是区分分布和分布。q 2nLWEq,根据文献 16-17 可知，当时，问题可以转化为求解格上最困难情况下的最短独立向量问题。1.4陷门函数GenTrap(A,H)本文使用了 2012 年 Micciancio 和 Peikert18提出的一种新陷门生成算法，具有以下性质。(A,H)A Zn mqm=O(nlogq)m 1 n 1H ZnnqG ZnnkqA=A?HGAT ZnmqT Z mnkqT D mnkZ,(logn)m=m+nk k=O(logn)s1(T)s1(T)sTO(m+nk)sT 0定理 1 存在一个概

12、率多项式时间算法GenTrap：输入一个奇偶校验矩阵，其中，和可逆矩阵，以及一个固定的本原矩阵，输出及其对应的 G-陷门，且，其中，T 的最大奇异矩阵满足：，且。(A,T,H,u,s)A ZnmqTH Znnqu ZnqvvDu(A),s(logn)s=O(nlogq)sGs1(T)n 1 m=O(nlogq)q 2sG=2sG=5定理 2 存在一个概率多项式时间算法SampleD，输入奇偶校验矩阵及其陷门，可逆矩阵和，输出一个向量且的分布与之间的统计距离可忽略。其中，且或。(A,A,T,H,s)A=AA1 Zn(m+

13、nk)qATHZnnqATAT=HG A1T定理 3 存在一个概率多项式时间算法DelTrap，输入奇偶校验矩阵，及其 G-陷门，可逆矩阵，输出的 G-陷门，使得成立，且的列向量服从离散高斯分布。定理 4 存在一个概率多项式时间算法第6期张平，等：基于格的强指定验证者签名方案1295(1m,s)msvvDmZ,sSampleDom，输入一个正整数和一个高斯参数，输出一个向量且的分布与之间的统计距离可忽略。1.5强指定验证者签名n KeyGen,Sign,Verify,Simul给定安全参数，SDVS 方案由 4 个概率

14、多项式时间算法构成：。KeyGen(1n)n(pka,ska)(pkb,skb)1）。在概率多项式时间算法下，输入安全参数，该算法输出签名者 Alice 和指定验证者 Bob 的公私钥和。Sign(ska,pka,pkb,M)M(pka,ska)pkbMv2）。在概率多项式时间算法下，输入消息，Alice 的公私钥对和 Bob的公钥，输出对消息的签名。Verify(skb,pkb,pka,M,v)Mpka(pkb,skb)Mv3）。输入消息，Alice 的公钥和 Bob 的公私钥，以及对消息的签名，如果签名合理算法输出“1”，否则输出“0”。Simul(skb,pkb,pka,M)Mpka(p

15、kb,skb)vv4）。输入消息，Alice的公钥和 Bob 的公私钥，输出一个和签名者 Alice 所产生的签名不可区分的签名。1.6强指定验证者签名的安全模型一个安全的 SDVS 方案必须满足正确性、不可伪造性、不可转移性和签名人身份的隐私性。具体定义如下：MvVerify(skb,pkb,pka,M,v)1）正确性。对于与对应的任何有效的指定验证者签名，算法以压倒性的概率输出比特“1”，则说明 SDVS 方案满足正确性。CA2）不可伪造性。SDVS 方案的强不可伪造性是通过挑战者和敌手的游戏来定义的。CKeyGen(1n)(pka,ska)(pkb,skb)C(PP,pka,p

16、kb)APP系统建立。挑战者运行 2 次算法生成和，将发送给敌手，其中，为公共参数。AMjC CSign(ska,pka,pkb,Mj)vjvjA签名询问。发送给，运行，输出签名，并将发送给。AMjCCSimul(skb,pkb,pka,Mj)vjvjAAqs 模拟询问。发送给，执行算法,获得签名，并将发送给。包括签名询问，至多进行次询问。A(Mj,vj)C CVerify(skb,pkb,pka,Mj,v)A验证查询。发送给，运行算法输出 0 或 1 并发送给。A(M,v)Verify(skb,pkb,pka,Mj,v)(M,v)A 输出。输出，若算法输出 1，且是新的签

17、名，则敌手赢得这个游戏。A在上述游戏中的优势定义为AdvSUSDVS,A(n)=Pr(A win)（6）AdvSUSDVS,A(n)如果是可忽略的，则 SDVS 方案是强不可伪造的。CA3）不可转移性。SDVS 方案的强不可转移性是通过挑战者和敌手的游戏来定义的。CKeyGen(1n)(pka,ska)(pkb,skb)C(PP,pka,pkb)A系统建立。挑战者运行 2 次算法生成和，将发送给敌手。AMC Cc 0,1c,0CSign(ska,pka,pkb,M)v0CSimul(skb,pkb,pka,M)v1vbA挑战。发送给，选择，若，执行算法获得，否则运行获得并将发送给。A

18、c 0,1c=cAA输出。输出一个比特，如果，则赢得了游戏，在上述游戏中的优势定义为AdvNTSDVS,A(n)=PrA win12（7）AdvNTSDVS,A(n)如果是可忽略的，则 SDVS 方案是强不可转移的。CA4）签名人身份的隐私性。SDVS 方案的签名人身份的隐私性是通过挑战者和敌手的游戏来定义的。CKeyGen(1n)Sign(skac,pkac,pkb,M)(pka1,ska1)(pkb,skb)C(PP,pka0,pka1,pkb)A系统建立。挑战者运行 3 次算法生成、和，将发送给敌手。AMj、djCdj 0,1CSign(skadj,pkadj,pkb,Mj)vjvj

19、A签名询问。发送给，运行算法，输出签名，并将发送给。A(Mj,dj)C CSimul(skb,pkb,pkadj,Mj)vjvjA模拟询问。发送给，执行算法,获得签名，并将发送给。AMCMj,MCc 0,1Sign(skac,pkac,pkb,M)vvA挑战。发送给，且，选择，并执行算法获得，并将发送给。Ac 0,1c=cAA输出。输出一个比特，如果，则赢得了游戏，在上述游戏中的优势被定义为AdvPSISDVS,A(n)=PrA win12（8）AdvPSISDVS,A(n)如果是可忽略的，则 SDVS 方案满足签名人身份的隐私性。2本文方案2.1参数设置nqq=ploy(n)m=m+2

20、nk m=O(nk)k=O(logn)lpql (p1)ns=O(lnk(logn)2H:(0,1)(0,1)m(0,1)l设定为安全参数，为一个足够大的整数，且，表示哈希函数的最大长度，表示能够整除的最小素数，有。高斯参数。选择抗碰撞哈希函数。2.2SDVS 方案KeyGen(1n)GenTrap(A,T)A Zn mqT Z mnkqA0,A1,C0,C1,Cl ZnnkqU Znqt Znqj=1,2,lAj=A0+jA1 Z1(m+k)q1）密钥生成算法。运行算法，得到，其中，；随机选取，；对于，计算。DelTrapAj运行陷门委托算法得到的陷门

21、1296北京航空航天大学学报2023年Tj Z mnkqpkj=Ajskj=Tj，输出公钥和私钥。Sign(ska,pka,pkb,M)M 0,1pka=Aaska=Tapkb=Ab2）签名算法。输入待签名消息，Alice 的公钥和私钥，以及指定验证者Bob 的公钥。r 0,1m随机选取。=H(M,r)0,1l令。C=C0+li=1iCi Znnkq计算。u=U+t Znq计算。SampleDomDmZ,svb运行算法，获得上的随机抽样。SampleDomDuAb|Cvb(Aa|C),sva运行算法，获得上的随机抽样。Mh=(va,vb)输出对消息的签名。Verif

22、y(skb,pkb,pka,M,h)pkb=Abskb=Tbpka=AaMh3）验证算法。输入 Bob的公钥和私钥，以及 Alice 者的公钥，消息及其签名计算：=H(M,r)0,1lC=C0+li=1iCi Znnkqu=U+t Znqskb=TbSampleDomDmZ,svb使用指定验证者的私钥，运行算法，获得上的随机抽样。Aa|Cva+Ab|Cvb=uva smvb sm验证且，验证成功输出 1，否则输出 0。Simul(skb,pkb,pka,M)pkb=Abskb=Tbpka=AaM4）模拟算法。输入Bob 的公钥和私钥，以及 Alice 者的公钥，消息。r 0,1m随

24、足：，和，因此本文方案是正确的。3安全性分析按照 1.5 节给出的 SDVS 的安全性定义，在标准模型下证明了本文方案的不可伪造性、不可转移性和签名人身份的隐私性。3.1不可伪造性q=|m|+4s2mn(logn)=|m|+4s2mSISq,q=O(l3/2n3k5/2)(logn)6=O(ln3/2k3/2)(logn)3mSISq,如果，时是困难的，当和时是困难的，则在标准模型下，本文 SDVS 方案是强不可伪造的。ACmSISq,证明假设存在敌手可以对本文提出的SDVS 进行强伪造攻击，则存在一个挑战者可以攻破问题。参照文献 19-20 给出如下证明：mSISq,(A1,A2)

25、A1,A2 Zn(m+nk)q1）系统建立。输入问题中的，。CB1,B2 ZnnkqA|B1A|B2 选取，并计算和。CA0,A1,C0,C1,Cl ZnnkqG Znnkqu Znqt Znq 选取独立随机向量，。CAj=A0+jA1 Z1(m+k)q(pka,ska)(kb,skb)计算，获得和。C1,qsqs 随机选择不同的哈希值，其中，为签名查询的最多次数。C1,qs 随机选择一个哈希值。1 i lCCi=HiGATi对于，计算。CH:(0,1)(0,1)m(0,1)l 选择抗碰撞哈希函数。CSampleDomDmZ,sv1,v2 运行算法，获得上的随机抽样。并计算：C=C0+li=1

26、iCiu=U+tu=A1|Cv1+A2|Cv2Cpka=Aapkb=AbPP=A0,A1,C0,C1,Cl,u,t,HAAa=A1Ab=A2发送和及给，其中，。M 0,12）签名询问。输入消息。Crjj=H(Mj,rj)0,1l 随机采样获取并使得。j=va,j=v1vb,j=v2如果，则使，。j,CC,j=HGAT ZnnkSampleDomDmZ,svb,jSampleDomDuAb|C,jvb,j(Aa|C,j),sva,j如果，计算，运行算法，获得上的随机抽样。运行算法，获得上的随机抽样。Chj=(va,j,vb,j)A 发送给。3）模拟询问。这一阶段的询问和签名询问的过程一样。第

27、6期张平，等：基于格的强指定验证者签名方案1297(Mj,hj=(va,j,vb,j)Verify(skb,pkb,pka,Mi,hi)CA4）验证查询。输入，如果输出是 1，发送 1 给，否则发送 0。(M,h=(va,j,vb,j)5）输出。输入，Cr 0,1mj 1,qsH(M,r)=H(Mj,rj)M=Mj,r=rj选取，对于存在，使得。=1,l=H(M,r),i 1,li 0,1如果，对于，有。C 计算：C=AT ZnnkqAa|C(vav1)+Ab|C(vbv2)=Aa|AT(vav1)+Ab|AT(vbv2)=A|B1I m0T0Ink0(vav1)+A|B0

28、I m0T0Ink0(vbv2)=0(modq)令z1=I m0T0Ink0(vav1)z2=I m0T0Ink0(vbv1)vavbO(lnk)(logn)2z1z2 va,v1vb,v2可得和的欧几里得范数小于或等于，和的欧几里得范数小于或等于，和以极大的概率成立，则赢得这场游戏的优势为AdvmSISC1qsAdvSUSDVS,A（9）AdvSUSDVS,A(n)q O(l3/2n3k5/2)(logn)6即是可忽略的，则本文提出的SDVS 方案是强不可伪造的。为了规约到 SIVP 问题上，令。3.2不可转移性本文提出的 SDVS 方案具有不可转移

29、性。CSampleDomDmZ,sva,0,vb,0Aa|Cva,0+Ab|Cvb,0=uCSampleDomDmZ,sva,1,vb,1Aa|Cva,1+Ab|Cvb,1=u(va,0,vb,0)(va,1,vb,1)证明运行算法，获得上的随机抽样，使得，继续运行算法，获得上的随机抽样，使得，因此和之间的统计距离是可以忽略的。AdvNTSDVS,A(n)=negl(n)（10）AdvNTSDVS,A(n)即是可忽略的，则 SDVS 方案是强不可转移的。3.3签名人身份的隐私性skb=Tbvbh=(va,vb)Aa|Cva+Ab|Cvb=uvbh=(va,vb)在本文提出的 SDV

30、S 方案中，指定验证者可使用运行采样算法得到，验证签名的有效性，求得，除了指定验证者外的其他人都无法根据私钥运行采样算法得到，都不能验证签名的有效性，故本文提出的 SDVS 方案具有签名人身份的隐私性。4云计算下的数据完整性审计云存储近年来得到了广泛的应用，用户可以随时随地使用连接到互联网上的移动设备来访问和共享数据。但是，用户的数据可能会由于云服务提供商的错误操作或外部恶意攻击而受到损害。同时，由于失去了对数据的控制，数据的完整性成为一个关键问题。本节将提出的 SDVS 方案应用到审计体制中，方案允许云用户通过指定的验证者来检查数据存储的正确性。因为该方案涉及到验证者的私钥，使得只有授权的第

31、三方才拥有数据验证的权利，进而保护了用户得隐私。如图 1 所示，指定验证者审计机制由 3 类实体组成19，分别为用户、指定验证者和云服务器提供商。云服务器提供商用户指定验证者安全数据流审计授权挑战-响应图1云数据审计架构Fig.1Clouddataauditarchitecture该体制主要由 5 个阶段构成20，分别为密钥生成阶段、签名生成阶段、挑战构造阶段、证据生成阶段、验证阶段。KeyGen(1n)pka=Aaska=Ta(Ab,Tb)1）密钥生成阶段。运行 2.2 节密钥生成算法生成用户的公钥和私钥，以及指定验证者的公私钥。fn 0,1F=mj1jnfidF=(m1,m2,mn)mj

32、ZPhj2）签名生成阶段。当用户需要存储的数据较多时，令文件名为，并对于文件用户计算其对应的标签。标签包含一个唯一的数据标识符及所用的参数，对于文件中的每一个文件块用户都通过运行签名算法（同 2.2 节）得到相应的签名。=F,Tb,=hj1jn用户发送文件名给验证者，同时将发送给云服务提供商，其中，。FchalJj Jj ZPchal=(j,j),Tb3）挑战构造阶段。当指定验证者启动审计协议时，将提取文件的标签来构造挑战。随机选择取子集，对于子集中的每个元素，指定验证者选取一个随机元素。将挑战发送给云服务提供商。chalr

33、0,1m=H(j,r)0,1l4）证据生成阶段。当云服务提供商收到挑战时，随机选取，计算1298北京航空航天大学学报2023年C=C0+li=1iCi Znnkqu=U+t ZnqP=(,C,u)，云服务器提供商发送证据给指定验证者。skb=TbSampleDomDmZ,svbAa|Cva+Ab|Cvb=u5）验证阶段。收到来自云服务提供商发送的证据后，指定验证者使用私钥，运行算法，获得上的随机抽样，并计算是否成立，如果成立，则说明数据完整；否则，则说明数据有误。5结论本文在标准模型中提出了一种新的 SDVS 方案，并证明了方案的不可伪造性、不可传递性和

34、签名人身份的隐私性。将方案运用到了云计算中，有效保护了用户的隐私。在今后的工作中，将基于格上的其他困难问题研究签名方案。目前，基于格上零知识证明构造方案也很重要，但现有的方案效率都有待提高，未来将重点研究这方面。将本文提出的 SDVS 方案扩展到基于身份的 SDVS 方案构造之中，并着重提高方案的安全性。同时，将方案应用到别的领域，如区块链、隐私保护等。参考文献（References）JAKOBSSONM,SAKOK,IMPAGLIAZZOR.Designatedverifi-erproofsandtheirapplicationsC/InternationalConferenceontheT

35、heory and Applications of Cryptographic Techniques.Berlin:Springer,1996:143-154.1STEINFELDR,BULLL,WANGH,etal.UniversaldesignatedverifiersignaturesC/InternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity.Berlin:Sprin-ger,2003:523-542.2SAEEDNIA S,KREMER S,MARKOWITCH O.An ef

36、ficientstrongdesignatedverifiersignatureSchemeC/Proceedingsofthe6thInternationalConferenceonInformationSecurityandCrypto-logy.Berlin:Springer,2003:40-54.3LAGUILLAUMIEF,VERGNAUDD.Designatedverifiersigna-tures:Anonymity and efficient construction fromany bilinearmapC/International Conference on Securi

37、ty in CommunicationNetworks.Berlin:Springer,2004,3352:105-119.4HUANGQ,YANGG,WONGDS,etal.Efficientstrongdesig-natedverifiersignatureschemeswithoutrandomoracleorwithnon-delegatabilityJ.International Journal of Information Security,2011,10:373-385.5KIJH,HWANGJY,NYANGDH,etal.Constructingstrongidentity-b

38、aseddesignatedverifiersignatureswithself-unverifiabi-lityJ.ETRIJournal,2012,34(2):235-244.6李继国,钱娜,黄欣沂,等.基于证书强指定验证者签名方案J.计算机学报,2012,35(8):1579-1587.LIJG,QIANN,HUANGXY,etal.Certificate-basedstrongde-signated verifier signature schemeJ.ChineseJournal of Com-puters,2012,35(8):1579-1587（inChinese）.7YANGX

39、,CHENG,LIT,etal.Strongdesignatedverifiersigna-ture scheme with undeniability and strong unforgeability in thestandardmodelJ.AppliedSciences,2019,9(10):2062.8WANGF,HUY,WANGB.Lattice-basedstrongdesignateverifi-ersignatureanditsapplicationsJ.MalaysianJournalofComputerScience,2012,25(1):11-22.9李明祥,郑艳

40、娟.格基强指定验证者签名方案 J.小型微型计算机系统,2013,34(10):2363-2366.LIMX,ZHENGYJ.Lattice-basedstrongdesignatedverifiersig-natureschemeJ.JournalofChineseMini-MicroComputerSys-tems,2013,34(10):2363-2366（inChinese）.10GEONTAEN,IKRJ.StrongdesignatedverifiersignatureschemefromlatticesinthestandardmodelJ.Securit

41、yandCommunicationNetworks,2017,9(18):6202-6214.11CAIJ,HANJ,ZHANGP,etal.Anefficientstrongdesignatedverifier signature based on R-SIS assumptionJ.IEEE Access,2019,7:3938-3947.12GENTRY C,PEIKERT C,VAIKUNTANATHAN V.TrapdoorsforhardlatticesandnewcryptographicconstructionsC/The40thAnnualACMSymposiumontheT

42、heoryofComputing.NewYork:ACM,2008:197-206.13AJTAI M.Generating hard instances of lattice problemsC/The28thACMSymposiumontheTheoryofComputing.NewYork:ACM,1996:99-108.14MICCIANCIOD,REGEVO.Worst-casetoaverage-casereduc-tionsbasedonGaussianmeasuresJ.SIAMJournalonComputing,2007,37(1):267-302.15REGEVO.Onl

43、attices,learningwitherrors,randomlinearcodes,andcryptographyJ.JournaloftheACM,2009,56(6):84-93.16LYUBASHEVSKYV,MICCIANCIOD.Onboundeddistancede-coding,unique shortest vectors,and the minimum distanceproblemC/Annual International Cryptology Conference.Berlin:Springer,2009,5677:577-594.17MICCIANCIO D,P

44、EIKERT C.Trapdoors for lattices:Simpler,tighter,faster,smallerC/The 31st Annual International Confer-enceonTheoryandApplicationsofCryptographic.Berlin:Springer,2012:700-718.18WORKUSG,XUC,ZHAOJ.Clouddataauditingwithdesig-nated verifierJ.Frontiers of Computer Science Springer,2014,8(3):503-512.19岳峰.高效

45、的指定验证者签名体制及其应用研究D.成都:电子科技大学,2016.YUE F.Researching of efficient designated verifier signatureschemeandapplicationD.Chengdu:UniversityofElectronicSci-enceandTechnology,2016(inChinese).20第6期张平，等：基于格的强指定验证者签名方案1299Lattice based strong designated verifier signature schemeZHANGPing*，CHIHuanhuan，LIJinbo，S

46、HANGYoulin(SchoolofMathematicsandStatistics，HenanUniversityofScienceandTechnology，Luoyang471003，China)Abstract：Thesignercanidentifyaverifierusingthestrongdesignatedverifiersignature(SDVS)scheme.Onlytheselectedverifiercanconfirmthatthesignaturewascreatedbythesigner.Usingthetrapdoorgenerationprocess,w

47、efirstbuiltalattice-basedstronglydesignatedverifiersignatureschemeanddemonstrateditsaccuracy.Atthesametime,basedontheimprovedsmallintegersolution(SIS)problem,theexistentialunforgeabilityoftheschemeunderadaptivechosenmessageattackisprovedinthestandardmodel.Thenon-transferabilityofthetechniqueandthese

48、crecyofthesignersidentityaredemonstratedutilizinglearningwitherrors(LWE)problem.Inordertosucce-ssfullyprotecttheusersprivacy,thesignaturetechniqueisthenusedtothedataintegrityauditmechanismincloudcomputing.Asaresult,onlytheapprovedthirdpartyhastherighttoverifythedata.Keywords：lattice；strongdesignatedverifiersignaturescheme；smallintegersolutionproblem；learningwitherrorsproblem；strongunforgeabilityReceived：2021-08-06；Accepted：2021-11-05；PublishedOnline：2021-12-1715：31URL：京航空航天大学学报2023年

展开阅读全文