基于指定验证者的签名、签名验证及副本模拟方法和系统

摘要

本发明提供一种基于指定验证者的签名、签名验证及副本模拟方法和系统，其签名方法包括步骤：设定哈希函数H：{0，1}

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于指定验证者的签名、 签名验证和签名副本模拟方法和系统。

背景技术

云计算代表着一种技术的发展趋势，其已经被广泛地部署。事实上，通过 有限能源的移动设备，用户可以利用云计算服务来实现一个复杂的计算任务或 者存储大量流照片和其他多媒体数据。现在有许多云存储服务为用户提供了免 费的大量存储空间。正因为这些服务是免费的，已经存储的数据可能会因为性 能优化或者一般的硬件问题而丢失。这些用户数据存储的可能性问题使得数据 审计成为了一项必然的服务。

数据审计的一个基本分支是用户自己去检测用户数据的完整性。考虑到用 户设备的有限能源，通常会使用对称密钥密码工具。另外一个分支是外包数据 审计任务到一个有大量带宽和计算资源的数据审计者。数据审计者可以使用一 些非对称密码工具来验证用户数据的完整性。一个正常的签名方案应该能提供 比简单的完整性检测更多的性质，例如，不可否认性质。在很多例子中，用户 并不想数据审计者展示出附带一些数据的签名是来自该用户的。提出指定验证 者签名来满足这个要求。

Jakobsson等人(1996)提出了一个指定验证者签名这个概念。一个指定验 证者签名方案包括了对验证者的副本模拟算法。当签名者指定验证者后，验证 者能够模拟一个签名者的签名。如果验证者在消息中收到一个指定验证者签名， 而其在消息中从未模拟出一个指定验证者签名，那么它能够识别真正的签名者。 然而，因为验证者有能力去模拟该签名，所以其不能够展示真正签名者的信息 给任何人。在数据存储审计服务中，这种方式能够使得云服务供应商(CSP)提 供数据审计给指定验证者，在该处验证者只能够展示出数据拥有者的验证结果。

由于考虑到量子计算的发展给密码方案带来的威胁，一种解决方式是基于 量子机制来建立密码算法。另外一种方法依赖于一些抵御量子计算机攻击的困 难问题。

格是由一组线性无关向量的所有整数线性组合构成的向量全体。令 {b₁，b₂，…，b_n}为n个线性独立的向量，由{b₁，b₂，…，b_n}生成的n维格定义为： 利用格的维数与向量维数的关系可以将格细分为满秩格、 减秩格和超秩格。具体地，如果格的维数等于向量的维数，则这样的格称为满 秩格，如果格的维数小于向量的维数，则这样的格称为减秩格，如果格的维数 大于向量的维数，则这样的格称为超秩格。

在格密码中一般使用两类特殊的、定义在域上的满秩整数格。这两类格 可以如编码理论中的线性码一样用矩阵给出方便、具体而形象的描述。给定矩 阵和其中n，m，q为相关参数，定义

即所有与矩阵A的行向量模q正交的向量构成格而格则由向 量y所在的格的陪集中向量构成。

一些格问题可能适合于抵御量子计算机攻击。这些格问题还有其他优点， 包括最坏的困难性和没有已知的亚指数攻击。这些观察使得基于格问题来设计 的密码方案成为了更好的选择。

譬如，小整数解问题(Short Integer Solution Problem，SIS)表述如下：给 定整数q，给定一个均匀随机的矩阵和实数β，SIS问题的目标是找到一 个非零的整数向量满足和Ajtai在STOC'96上开创 性地证明了在平均情况下的SIS问题与在最差情况下的格上一类NP问题一样困 难，该工作为基于格的公钥密码体制奠定了发展的基础。

基于格上困难问题，可以设计实用的签名方案。较为实用且基于格的签名 方式是Lyubashevsky的Lyubashevsky签名方案的指定验证者签名方案，然而， 其方案存在签名长度较大，计算复杂度高的问题，不利于实际应用中的高效实 现。

发明内容

本发明的一个目的在于提供一种基于指定验证者的签名方法和系统，可以 降低签名的长度以及签名计算的复杂度，提高签名效率。

本发明的这一个目的通过如下技术方案实现：

一种基于指定验证者的签名方法，包括如下步骤：

设定哈希函数H：{0，1}^*→{-1，0，1}^k；

随机选择并计算

计算以概率1/M输出若本次不输出，则返回 所述随机选择并计算的步骤；

计算${\overrightarrow{Y}}_2\leftarrow \overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\overrightarrow{c}\leftarrow H({\overrightarrow{Y}}_1,{\overrightarrow{Y}}_2,\mu ),{\overrightarrow{c}}_1=\overrightarrow{c}-{\overrightarrow{c}}_2\mathrm{mod}3;$

计算${\overrightarrow{z}}_1\leftarrow {\overrightarrow{S}}_S{\overrightarrow{c}}_1+{\overrightarrow{y}}_1,$然后以概率输出若本次不输出， 则返回所述选择并计算的步骤；

输出签名结果

其中，随机矩阵为签名者的私钥，为指定验证者的公钥，n、 q、k、m、M、σ为系统参数。

一种基于指定验证者的签名系统，包括：

第一设定模块，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

第一处理模块，用于随机选择并计算

第二处理模块，用于签名者计算以概率1/M输出若本次不输出，则返回所述第一处理模块；

第三处理模块，用于计算${\overrightarrow{Y}}_2\leftarrow \overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\overrightarrow{c}\leftarrow H({\overrightarrow{Y}}_1,{\overrightarrow{Y}}_2,\mu ),{\overrightarrow{c}}_1=\overrightarrow{c}-{\overrightarrow{c}}_2\mathrm{mod}3;$

第四处理模块，用于计算然后以概率输出 若本次不输出，则返回所述第一处理模块；

第一输出模块，用于输出签名结果

其中，随机矩阵为签名者的私钥，为指定验证者的公钥，n、 q、k、m、M、σ为系统参数。

根据上述本发明的方案，其是设定哈希函数H：{0，1}^*→{-1，0，1}^k，签名者随 机选择并计算${\overrightarrow{z}}_1\leftarrow {\overrightarrow{S}}_S{\overrightarrow{c}}_1+{\overrightarrow{y}}_1,$计算以概率1/M输出若本次不输出，则返回所述随机选择并计算的步骤，计算 ${\overrightarrow{Y}}_2\leftarrow \overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\overrightarrow{c}\leftarrow H({\overrightarrow{Y}}_1,{\overrightarrow{Y}}_2,\mu ),{\overrightarrow{c}}_1=\overrightarrow{c}-{\overrightarrow{c}}_2\mathrm{mod}3,$计算${\overrightarrow{z}}_1\leftarrow {\overrightarrow{S}}_S{\overrightarrow{c}}_1+{\overrightarrow{y}}_1,$然后以概率 输出若本次不输出，则返回所述选择并计算 的步骤，输出签名结果由于本方案设定哈希函数为 H：{0，1}^*→{-1，0，1}^k，且由于本方案随机选择一个向量也就是 说，在该向量中移除了Lyubashevsky签名方案中的指定验证者签名方案中的 的限制，并基于本申请方案设定的哈希函数H以及本申请方案选择的向量 实现指定验证者的签名，采用这种方案，降低了签名的长度以及签名计算的复 杂度，提高了基于指定验证者的签名效率。

本发明的另一个目的在于提供一种基于指定验证者的签名验证方法和系 统，可以提高签名验证效率。

本发明的这一个目的通过如下技术方案实现：

一种基于指定验证者的签名验证方法，包括如下步骤：

设定哈希函数H：{0，1}^*→{-1，0，1}^k；

检测是否同时满足$\left|\right|{\overrightarrow{z}}_1\left|\right|\le 2\sigma \sqrt{m},\left|\right|{\overrightarrow{z}}_2\left|\right|\le 2\sigma \sqrt{m},$${\overrightarrow{c}}_1+{\overrightarrow{c}}_2=H(\overrightarrow{A}{\overrightarrow{z}}_1-{\overrightarrow{T}}_S{\overrightarrow{c}}_1,\overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\mu )\mathrm{mod}3;$

若同时满足，则有效，若否，则无效；

其中，随机矩阵为所述签名者的公钥，为所述指定验证者的 公钥，为基于指定验证者的签名结果。

一种基于指定验证者的签名验证系统，包括：

第二设定模块，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

验证模块，用于检测是否同时满足$\left|\right|{\overrightarrow{z}}_1\left|\right|\le 2\sigma \sqrt{m},\left|\right|{\overrightarrow{z}}_2\left|\right|\le 2\sigma \sqrt{m},$${\overrightarrow{c}}_1+{\overrightarrow{c}}_2=H(\overrightarrow{A}{\overrightarrow{z}}_1-{\overrightarrow{T}}_S{\overrightarrow{c}}_1,\overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\mu )\mathrm{mod}3,$若同时满足，则有效，若否，则 无效；

其中，随机矩阵为所述签名者的公钥，为所述指定验证者的 公钥，为基于指定验证者的签名结果。

根据上述本发明的方案，由于设定的哈希函数H：{0，1}^*→{-1，0，1}^k，且基于 该哈希函数H实现对基于指定验证者的签名结果的验证，可以提高签名验证效 率。

本发明的第三个目的在于提供一种基于指定验证者的副本模拟方法和系 统，可以提高签名副本模拟效率。

本发明的这一个目的通过如下技术方案实现：

一种基于指定验证者的签名副本模拟方法，包括如下步骤：

设定哈希函数H：{0，1}^*→{-1，0，1}^k；

随机选择并计算

计算和然后以概率1/M输出，若本次不输出，则返回所 述随机选择并计算的步骤；

计算

计算并以概率输出若本次不输出，则 返回所述随机选择并计算的步骤；

输出签名结果

其中，随机矩阵为签名者的公钥，为指定验证者的私钥，n、 q、k、m、M、σ为系统参数。

一种基于指定验证者的签名副本模拟系统，包括：

第三设定模块，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

第一计算模块，用于随机选择并计算

第二计算模块，用于计算和然后以概率1/M输出，若本 次不输出，则随机选择并计算的步骤；

第三计算模块，用于计算

第四计算模块，用于计算并以概率输出 若本次不输出，随机选择并计算的步骤；

第二输出模块，用于输出签名结果

其中，随机矩阵为签名者的公钥，为指定验证者的私钥，n、 q、k、m、M、σ为系统参数。

根据上述本发明的方案，由于本方案设定哈希函数为H：{0，1}^*→{-1，0，1}^k，且 由于本方案随机选择一个向量也就是说，在该向量中移除了 Lyubashevsky签名方案中的指定验证者签名方案中的的限制，并基于本申 请方案设定的哈希函数H以及本申请方案选择的向量实现签名副本模拟，采用 这种方案，降低了签名的长度以及签名计算的复杂度，可以提高签名副本模拟 效率。

附图说明

图1为本发明的基于指定验证者的签名方法实施例的流程示意图；

图2为本发明的基于指定验证者的签名方法实施例的副本模拟过程在其中 一个实施例中的细化流程示意图；

图3为本发明的基于指定验证者的签名验证方法实施例的流程示意图；

图4为本发明的基于指定验证者的签名验证模拟实施例的流程示意图；

图5云存储数据审计服务原理图；

图6为本发明的基于指定验证者的签名系统的一个实施例的结构示意图；

图7为本发明的基于指定验证者的签名系统的另一个实施例的结构示意图；

图8为本发明的基于指定验证者的签名验证系统的一个实施例的结构示意 图；

图9为本发明的基于指定验证者的签名验证系统的另一个实施例的结构示 意图；

图10为本发明的基于指定验证者的签名模拟系统的实施例的结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施 例，对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式 仅仅用以解释本发明，并不限定本发明的保护范围。

在下述说明中，首先针对本发明的基于指定验证者的签名方法、签名验证 方法、签名副本模拟方法的实施例进行说明，再对本发明的基于指定验证者的 签名系统、签名验证系统、签名副本模拟系统的各实施例进行说明。

参见图1所示，为本发明的基于指定验证者的签名方法实施例的流程示意 图。本实施例中的基于指定验证者的签名方法是沿用了的Lyubashevsky签名方 案的指定验证者签名方案，并为了提高签名效率，提出了一种新的改进方式。 如图1所示，本实施例的基于指定验证者的签名方法包括如下步骤：

步骤S101：设定哈希函数H：{0，1}^*→{-1，0，1}^k；

步骤S102：随机选择并计算

步骤S103：计算以概率1/M输出若本次不输 出，则返回步骤S102；

其中，以1/M输出是指在M次的迭代运算中输出一次例如， 若M＝3，则每三次迭代运行输出一次

步骤S104：计算${\overrightarrow{Y}}_2\leftarrow \overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\overrightarrow{c}\leftarrow H({\overrightarrow{Y}}_1,{\overrightarrow{Y}}_2,\mu ),{\overrightarrow{c}}_1=\overrightarrow{c}-{\overrightarrow{c}}_2\mathrm{mod}3;$

其中，mod3指对3取模；

步骤S105：计算${\overrightarrow{z}}_1\leftarrow {\overrightarrow{S}}_S{\overrightarrow{c}}_1+{\overrightarrow{y}}_1,$然后以概率输出若本 次不输出，则返回步骤S102；

本步骤中以概率输出与步骤S103以概率1/M输出 相类似，在此不予赘述；

步骤S106：输出签名结果

其中，随机矩阵为签名者的公钥，为指定验证者的私钥，n、q、 k、m、M、σ为系统参数，表示从矩阵集合的所有元素中随机选择 一个矩阵。

对于指定验证者的签名算法中，是需要先选择一个向量 计算一个哈希向量之后计算一个向量被签名的 当然是期望在哈希函数的范围内，且满足然而，哈希函数 的范围只是全部可能向量的一小部分。对于Lyubashevsky签名方案中的一套参 数k＝80和κ＝28，该分数大约是2¹⁰⁰/3⁸⁰≈2^-27，签名算法中向量需要被重新 选择多次，为此，本实施例的签名方式中移除了这个限制，然后减少k 的值，考虑到100比特输出的哈希函数，最小的k值大约是64，相应地，设定的 哈希函数为H：{0，1}^*→{-1，0，1}^k，并据此给出了新的系统参数。

本发明方案中涉及的相关参数如表1所示，其中包括本实施例中的系统参 数n、q、k、m、M、σ；

表1 指定验证者的签名方案中的相关参数

其中，本实施例中的系统参数n与Lyubashevsky签名方案中的n相同。

为了实现本实施例的方案，执行主体可以为一个，例如，上述步骤S101～ 步骤S106均由签名者完成，执行主体也可以为两个，例如，上述步骤S101由 一个统一的管理者完成，上述步骤S1012～步骤S106均由签名者完成；签名的 对象可以是图片、音频、视频等各种数据。

据此，依据上述本实施例的方案，由于本实施例方案设定哈希函数为 H：{0，1}^*→{-1，0，1}^k，且由于本实施例方案随机选择一个向量也就是说，在该向量中移除了Lyubashevsky签名方案中的指定验证者签名方案 中的的限制，并基于本申请方案设定的哈希函数H以及本申请方案选择的 向量实现指定验证者的签名，采用这种方案，降低了签名的长度以及签名计算 的复杂度，提高了基于指定验证者的签名效率。

考虑到对于一个签名方法，往往还应该有与之配对的签名验证方法，为此， 在其中一个实施例中的基于指定验证者的签名方法，是在上一个实施例的基础 上，还可以包括步骤：

在检测所述签名结果是否同时满足${\overrightarrow{c}}_1+{\overrightarrow{c}}_2=H(\overrightarrow{A}{\overrightarrow{z}}_1-{\overrightarrow{T}}_S{\overrightarrow{c}}_1,\overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\mu )\mathrm{mod}3,$若同时满足，则所述签名结果有效；其中， 所述为所述签名者的公钥，为所述指定验证者的公钥。

本实施例中的签名验证过程也是基于哈希函数H：{0，1}^*→{-1，0，1}^k的，签名 验证的效率也较高，同时，本实施例中的签名验证过程的执行主体是指定验证 者。

此外，考虑到对于指定验证者，若其有能力去模拟该签名，则其不能够展 示真正签名者的信息给任何人，为此，还应该有与签名方法配对的签名副本模 拟方法，为此，在其中一个实施例的基于指定验证者的签名方法，如图2所示， 还可以包括如下步骤：

步骤S201：随机选择并计算

步骤S202：计算和然后以概率1/M输出，若本次不输出， 则返回步骤S201；

步骤S203：计算

步骤S204：计算${\overrightarrow{z}}_2\leftarrow {\overrightarrow{S}}_S{\overrightarrow{c}}_2+{\overrightarrow{y}}_2,$并以概率输出若本 次不输出，若本次不输出，则返回步骤S201；

步骤S205：输出副本模拟结果

其中，为所述签名者的公钥，为所述指定验证者的私钥。

可见，输出的副本模拟结果是与签名结果相一致的，因此，对于指定验证 者，是可以采用本发明的方案模拟出签名者对数据的签名的。

本实施例中本实施例中的签名副本模拟过程也是基于设定哈希函数 H：{0，1}^*→{-1，0，1}^k的，且由于本实施例的签名副本模拟过程方案也随机选择一个 向量也就是说，在该向量中也移除了Lyubashevsky签名方案 中的指定验证者签名方案中的的限制，并基于本实施例方案设定的哈希函 数H以及本实施例方案选择的向量实现签名副本模拟，采用这种方案，降低了 签名的长度以及签名计算的复杂度，可以提高签名副本模拟效率。

如前所述，在签名过程中、签名验证过程中、签名副本模拟过程中需要用 到签名者的公钥、签名者的私钥、指定验证者的公钥、指定验证者的私钥等密 钥信息，为此，在其中一个实施例中，还可以包括步骤：为签名者随机选择 作为所述签名者的私钥，计算作为所述签名者的公 钥；为指定验证者随机选择作为所述指定验证者的私钥，计 算作为所述指定验证者的公钥；其中，d为系统参数。对于签名过程中， 由于只需要签名者的私钥，指定验证者的公钥这两个密钥信息，因此，可以在 进行签名之前，只获得这两个密钥信息，在此不予赘述。

根据上述的基于指定验证者的签名方法，本发明还提供一种基于指定验证 者的签名验证方法。如图3所示，本发明的基于指定验证者的签名验证方法包 括如下步骤：

步骤S301：设定哈希函数H：{0，1}^*→{-1，0，1}^k；

步骤S302：检测是否同时满足$\left|\right|{\overrightarrow{z}}_1\left|\right|\le 2\sigma \sqrt{m},\left|\right|{\overrightarrow{z}}_2\left|\right|\le 2\sigma \sqrt{m},$${\overrightarrow{c}}_1+{\overrightarrow{c}}_2=H(\overrightarrow{A}{\overrightarrow{z}}_1-{\overrightarrow{T}}_S{\overrightarrow{c}}_1,\overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\mu )\mathrm{mod}3,$若同时满足，则确定有效，若否， 则确定无效；

其中，随机矩阵为所述签名者的公钥，为所述指定验证者的 公钥，为基于指定验证者的签名结果。

本发明的基于指定验证者的签名验证方法的具体实现方式与有益效果可以 如上所述，在此不予赘述。

本实施例中的签名者的公钥、指定验证者的公钥的获得方式如前所述，在 此不予赘述。

根据上述的基于指定验证者的签名方法，本发明还提供一种基于指定验证 者的签名副本模拟方法。如图4所示，本发明的基于指定验证者的签名验证方 法包括如下步骤：

步骤S401：设定哈希函数H：{0，1}^*→{-1，0，1}^k；

步骤S402：随机选择并计算

步骤S403：计算和然后以概率1/M输出，若本次不输出， 则返回步骤S402；

步骤S404：计算

步骤S405：计算并以概率输出若本 次不输出，则返回步骤S402；

步骤S406：输出副本模拟结果

其中，随机矩阵为签名者的公钥，为指定验证者的私钥，n、 q、k、m、M、σ为系统参数。

本实施例中的签名者的公钥、指定验证者的私钥的获得方式如前所述，在 此不予赘述。

本实施例中的各个参数的物理意义与Lyubashevsky签名方案中的指定验证 者签名方案中的对应参数的物理意义相一致，以下对上述各实施例中的参数的 物理意义进行说明。

μ表示待签名的消息，为整数集合，表示一个m维列向量，向量中的 每一个元素均取自代表一个集合，其中每个元素均为整数，取值范围为 代表一个n行m列的矩阵，矩阵中的每一个元素均取自表示上的离散正态分布，σ是该分布的标准差。

q是一个小素数，n是格的行数，m是格的列数，k是哈希函数 H：{0，1}^*→{-1，0，1}^k输出结果的长度，d是常量参数，M是一个复杂度为O(1)的常 量。在生成这些系统参数时，须选择合适的参数d和q，以满足安全性要求， 表示按离散正态分布来随机选择某个元素。

本发明的基于指定验证者的签名副本模拟方法的具体实现方式与有益效果 可以如上所述，在此不予赘述。

上述实施例中的基于指定验证者的签名方法以及基于指定验证者的签名验 证方法可以较佳的应用于云存储数据审计服务中，可以在云存储数据审计服务 获得较好的应用前景。在其中一个实施例中，可以将上述基于指定验证者的签 名方法应用于数据审计服务，所述数据审计服务的数据拥有者采用所述基于指 定验证者的签名方法对数据进行签名，即数据拥有者作为签名者。在其中一个 实施例中，可以将上述基于指定验证者的签名验证方法应用于数据审计服务， 所述数据审计服务的数据审计者采用所述基于指定验证者的签名验证方法对数 据的签名进行验证，即数据审计者作为指定验证者。以下具体进行阐述。

对于一个云存储系统，可以将上述实施例中的基于指定验证者的签名方法 和签名验证方法作为构件来构造一个数据审计服务，里面有云服务供应商，数 据拥有者和数据审计者。数据拥有者有一个移动设备来产生存储在云服务供应 商中的多媒体内容(或者称为数据)。在云中，云服务供应商和数据审计者可能 是不同的服务供应商。那就是说，云服务供应商和数据审计者可能均是在云中， 而且两者拥有带宽和计算资源。在云平台中，参见图5所示，数据拥有者、数 据审计者、云服务供应商可以执行以下协议来检测数据的完整性。

首先，数据拥有者将他的文件分开为块(B₀，B₁，B₂，...)，然后对于每一块， 数据拥有者按照如上提供的签名方法产生一个签名，在该处指定验证者是数据 审计者；

然后，数据拥有者存储他的数据块和附加的签名到云服务供应商中；

最后，数据审计者获得用户数据的随机块，随机块的数量应该满足数据拥 有者和数据审计者之间的策略，对于每个随机块，数据审计者执行如上的基于 指定验证者的签名验证方法来检测附加的签名，并根据检测结果，数据审计者 给数据拥有者产生一份报告。

需要说明的是，数据拥有者和数据审计者应该制定一份策略来检测云中数 据的完整性。例如，数据审计者应该定期按需和定期地检测数据，然后，对于 每次检测，已覆盖的数据应该大于全部数据的50％等。

一个不诚实数据审计者可能会获得用户数据的每一块，然后其试图去恢复 用户的数据文件。然而，指定验证者签名方案阻止不诚实的数据审计者通过展 示用户文件和附加签名去获得一些好处。因为数据审计者是指定验证者，它能 够对于任何数据块模拟全部签名。因此，从不诚实数据审计员中得到的附加签 名文件对证明文件的来源是没有意义的。

根据上述本发明的基于指定验证者的签名方法，本发明还提供一种基于指 定验证者的签名系统，以下就本发明的基于指定验证者的签名系统的实施例进 行详细说明。图6中示出了本发明的基于指定验证者的签名系统的实施例的结 构示意图。为了便于说明，在图6中只示出了与本发明相关的部分。

如图6所示，一种基于指定验证者的签名系统，其包括第一设定模块501、 第一处理模块502、第二处理模块503、第三处理模块504、第四处理模块505、 第一输出模块506，其中：

第一设定模块501，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

第一处理模块502，用于随机选择并计算

第二处理模块503，用于签名者计算以概率1/M输出 若本次不输出，则返回第一处理模块502进行处理；

第三处理模块504，用于计算${\overrightarrow{Y}}_2\leftarrow \overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\overrightarrow{c}\leftarrow H({\overrightarrow{Y}}_1,{\overrightarrow{Y}}_2,\mu ),{\overrightarrow{c}}_1=\overrightarrow{c}-{\overrightarrow{c}}_2\mathrm{mod}3;$

第四处理模块505，用于计算然后以概率输出 若本次不输出，则返回第一处理模块502进行处理；

第一输出模块506，用于输出签名结果

其中，随机矩阵为签名者的私钥，为指定验证者的公钥，n、 q、k、m、M、σ为系统参数。

在其中一个实施例中，如图7所示，本发明的基于指定验证者的签名系统， 还可以包括：

第一密钥确定模块507，用于为签名者随机选择作为所 述签名者的私钥，为指定验证者随机选择作为所述指定验证 者的私钥，计算作为所述指定验证者的公钥，其中，d为系统参数。

在其中一个实施例中，可以将上述基于指定验证者的签名系统应用于数据 审计服务，所述数据审计服务的数据拥有者通过基于指定验证者的签名系统对 数据进行签名。

本发明的基于指定验证者的签名系统与本发明的基于指定验证者的签名方 法一一对应，在上述基于指定验证者的签名方法的实施例阐述的技术特征及其 有益效果均适用于基于指定验证者的签名系统的实施例中，特此声明。

根据上述本发明的基于指定验证者的签名验证方法，本发明还提供一种基 于指定验证者的签名验证系统，以下就本发明的基于指定验证者的签名验证系 统的实施例进行详细说明。图8中示出了本发明的基于指定验证者的签名验证 系统的实施例的结构示意图。为了便于说明，在图8中只示出了与本发明相关 的部分。

如图8所示，一种基于指定验证者的签名验证系统，其包括第二设定模块 601、第一处理模块602、验证模块602，其中：

第二设定模块601，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

验证模块602，用于检测是否同时满足$\left|\right|{\overrightarrow{z}}_1\left|\right|\le 2\sigma \sqrt{m},\left|\right|{\overrightarrow{z}}_2\left|\right|\le 2\sigma \sqrt{m},$${\overrightarrow{c}}_1+{\overrightarrow{c}}_2=H(\overrightarrow{A}{\overrightarrow{z}}_1-{\overrightarrow{T}}_S{\overrightarrow{c}}_1,\overrightarrow{A}{\overrightarrow{z}}_2-{\overrightarrow{T}}_V{\overrightarrow{c}}_2,\mu )\mathrm{mod}3,$若同时满足，则有效，若否，则 无效；

其中，随机矩阵为所述签名者的公钥，为所述指定验证者的 公钥，为基于指定验证者的签名结果。

在其中一个实施例中，如图9所示，本发明的基于指定验证者的签名验证 系统，还可以包括：

第二密钥确定模块603，用于为签名者随机选择作为所 述签名者的私钥，计算作为所述签名者的公钥，为指定验证者随机选择 作为所述指定验证者的私钥，计算作为所述指定验 证者的公钥，其中，d为系统参数。

在其中一个实施例中，可以将所述基于指定验证者的签名验证系统应用于 数据审计服务，所述数据审计服务的数据审计者通过基于指定验证者的签名验 证系统对数据的签名进行验证。

本发明的基于指定验证者的签名验证系统与本发明的基于指定验证者的签 名验证方法一一对应，在上述基于指定验证者的签名验证方法的实施例阐述的 技术特征及其有益效果均适用于基于指定验证者的签名验证系统的实施例中， 特此声明。

根据上述本发明的基于指定验证者的签名副本模拟方法，本发明还提供一 种基于指定验证者的签名副本模拟系统，以下就本发明的基于指定验证者的签 名副本模拟系统的实施例进行详细说明。图10中示出了本发明的基于指定验证 者的签名副本模拟系统的实施例的结构示意图。为了便于说明，在图10中只示 出了与本发明相关的部分。

如图10所示，一种基于指定验证者的签名系统，其包括第三设定模块701、 第一计算模块702、第二计算模块703、第三计算模块704、第四计算模块705、 第二输出模块706，其中：

第三设定模块701，用于设定哈希函数H：{0，1}^*→{-1，0，1}^k；

第一计算模块702，用于随机选择并计算

第二计算模块703，用于计算和然后以概率1/M输出， 若本次不输出，则返回第一计算模块802进行处理；

第三计算模块704，用于计算

第四计算模块705，用于计算并以概率输出 若本次不输出，则返回第一计算模块802进行处理；

第二输出模块706，用于输出副本模拟结果

其中，随机矩阵为签名者的公钥，为指定验证者的私钥，n、 q、k、m、M、σ为系统参数。

本发明的基于指定验证者的签名副本模拟系统与本发明的基于指定验证者 的签名副本模拟方法一一对应，在上述基于指定验证者的签名副本模拟方法的 实施例阐述的技术特征及其有益效果均适用于基于指定验证者的签名副本模拟 系统的实施例中，特此声明。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细， 但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域 的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和 改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附 权利要求为准。