專利名稱：一種基于雙線性對(duì)的不可鍛造的知識(shí)證明和消息簽名認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明屬于密碼技術(shù)領(lǐng)域，具體為ー種基于雙線性對(duì)的(不需交互的)不可鍛造的知識(shí)證明和消息簽名認(rèn)證的方法。發(fā)明方法的目的是并發(fā)不可鍛造安全性和知識(shí)抽取性。具體來(lái)講，只有知道相應(yīng)的秘密知識(shí)才能給出ー個(gè)合法的知識(shí)證明或消息簽名認(rèn)證。通過(guò)將用戶的身份和/或固定的DH成分視為公鑰，發(fā)明方法蘊(yùn)含高效的數(shù)值簽名方法和基于身份的簽名方法；(運(yùn)行發(fā)明方法的)各方通過(guò)運(yùn)行發(fā)明方法證明各自的秘密DH-知識(shí)知識(shí)并，發(fā)明方法導(dǎo)出認(rèn)證的密鑰交換方法和認(rèn)證的基于身份的密鑰交換方法。
背景技術(shù)：
預(yù)備知識(shí)和符號(hào)標(biāo)示本發(fā)明所描述的方法和操作基于有效的雙線性對(duì)映射ら4 K或eA:G2AxGlA-^GrA，其中是以Na為階的有限阿貝爾群(對(duì)于大多數(shù)情況下，巧是以Na為階的循環(huán)群或域)。記為數(shù)字集合丨0，1…，^ -1}，記2、為所有大于0小于Na并與Na互素的整數(shù)構(gòu)成的集合。記InaI為ル的ニ進(jìn)制表示的長(zhǎng)度。特別地，若ル是一個(gè)素?cái)?shù)，則ZV1 ={1-,ZNa -1}。在本發(fā)明方法的描述中，我們將( ,Gj,均描述為乘法群。在某些文獻(xiàn)中，也被描述為加法群。這兒，我們強(qiáng)調(diào)的是被描述為加法群或乘法群只是記號(hào)上的不同，這兩種描述方法是同構(gòu)的。用乘法群記號(hào)描述的方法可以同構(gòu)地應(yīng)用到用加法群記號(hào)描述的方法；同樣，用加法群記號(hào)描述的方法可以同構(gòu)地應(yīng)用到用乘法群記號(hào)描述的方法。為了描述的方便，我們將均描述為乘法群。為( 的生產(chǎn)元，為C〗的生產(chǎn)元。通常情況下，Na是ー個(gè)素?cái)?shù)或兩個(gè)或多個(gè)素?cái)?shù)的乘積或Na = 2k，k彡I或Na = qk，k彡I其中q是個(gè)素?cái)?shù)。在某些情況下G〗=G〗，此時(shí)ビ和g〗既可以相等也可以不等。若6 = 我們稱eA是對(duì)稱的雙線性對(duì)，若( * 我們稱eA是非対稱的雙線性對(duì)。注意，對(duì)于非対稱的雙線性對(duì)而言，DDH假設(shè)在( 或上仍然成立。對(duì)于非対稱的雙線性対らG〗X G，G〗中的元素要比中的元素要短；同樣，對(duì)于非対稱雙線性對(duì)eA-.G2AxG\^ Gta ,G〗1中的元素要比中的元素要短；りG〗xG〗C〗稱為ー個(gè)有效的雙線性對(duì)，如果滿足如下條件(針對(duì)eA:G\xG2A^ Gl的有效的雙線性對(duì)定義類似):(I)ら(ふぬ是的生成元(特別地，不是的単位元)。
(2)對(duì)于任意的e ,eA((glAY,(g2A)b) = eA(g\,g2A)ab。(3)對(duì)于任意的d E G\ W e G2aも(ビ，ぬ可以高效地(以Na的長(zhǎng)度，記為I Na I，為參數(shù)的多項(xiàng)式時(shí)間內(nèi))計(jì)算出。典型地，和/或C〗是定義在的代數(shù)(橢圓)曲線上的點(diǎn)構(gòu)成的群(或其相應(yīng)子群)，通常其點(diǎn)的坐標(biāo)值位于某個(gè)有限域或位于優(yōu)先域的擴(kuò)展(extension)。比如基于有限域(特別地，有限域或其中q是個(gè)素?cái)?shù)特別地q = 2，K是一個(gè)正整數(shù))的橢圓曲線、超奇橢圓曲線(supersingular curves)、MNT曲線、等。更一般地和/或Gj是基于有限域Field的阿貝爾簇(abelian variety),其中橢圓曲線是維度為I的特殊的阿貝爾簇。
通常是一個(gè)有限域，其通常是有限域Field的一個(gè)足夠大的擴(kuò)展。雖然對(duì)于目前已知的雙線性對(duì)，C 〗與或^不同，但不排除將來(lái)能夠找到與G或相同的雙線性對(duì)。Weil和Tate雙線性對(duì)及其變體(比如Tate對(duì)的變體Eta和Ate對(duì))是目前常用的雙線性對(duì)。當(dāng)G1a * G2a，某些情況下，之間存在同態(tài)映射。當(dāng)G〗* G2a，在某些情況下，C〗中元素的表示要比G中元素的表示要短，或者，中元素的表示要比中元素的表示要短。對(duì)于這些特殊 的群，其中元素的表示可以屬于或Z^+1 (這種特殊的群對(duì)于有利于提高通訊復(fù)雜性)。當(dāng)我們需要一個(gè)從哈希函數(shù)時(shí)候，我們也可以簡(jiǎn)單地輸出輸入去掉最高位或最低位后剩余的輸入。關(guān)于橢圓曲線群上元素的編碼表示方式一般而言，對(duì)于定義在的代數(shù)(橢圓)曲線上的點(diǎn)構(gòu)成的群(或其相應(yīng)子群)G，對(duì)于G中的一個(gè)非單位元元素X e G，(證明者)常用的X的編碼方式有X直接用其坐標(biāo)值(xx，yx)來(lái)表示，其中&表示的是X的χ-軸坐標(biāo)值，7)(表示的是X的y-軸坐標(biāo)值。為了得到更短的G中元素X的表示，可以直接用(xx，b)來(lái)表示，這時(shí)相對(duì)于Χχ驗(yàn)證者可以恢復(fù)出可能有兩個(gè)不同的y-軸坐標(biāo)值，b e {0,1}表示的是應(yīng)該采用X-軸上方或下方的I—軸坐標(biāo)值(比如，b = I表示的是應(yīng)該采用X-軸上方y(tǒng)-軸坐標(biāo)值)。還有一種更為進(jìn)取的編碼方式，即G中元素X用Χχ來(lái)表示。對(duì)于最后一種方式，由于對(duì)于χχ驗(yàn)證者可以恢復(fù)出可能有兩個(gè)不同的I—軸坐標(biāo)值，因此會(huì)恢復(fù)出X =(xx，yx)或X' = (xx，_yx)。我們假設(shè)，當(dāng)驗(yàn)證者使用X作為雙線性對(duì)的參數(shù)之一進(jìn)行驗(yàn)算運(yùn)算時(shí)，X的編碼同時(shí)包括X-軸坐標(biāo)值和I—軸坐標(biāo)值。我們假定離散對(duì)數(shù)假設(shè)在上成立，即給定Z=(其中X從中隨機(jī)選取)，沒(méi)有(以InaI為參數(shù)的)概率多項(xiàng)式時(shí)間的算法能夠以不可忽略的概率由X求出X。一個(gè)函數(shù)f是單向的，如果給定f (X)，其中X在函數(shù)f的定義域內(nèi)隨機(jī)選取，沒(méi)有(以
X為參數(shù)的)概率多項(xiàng)式時(shí)間的算法能夠以不可忽略的概率能夠求出X。一個(gè)函數(shù)是可以忽略的，如果對(duì)于所有足夠長(zhǎng)的輸入，該函數(shù)的輸出小于任意的多項(xiàng)式分之一。發(fā)明人使用符號(hào)(比如，W來(lái)標(biāo)示一個(gè)用戶或設(shè)備的邏輯或“區(qū)別性”的身份(identity),比如一個(gè)名字,一個(gè)設(shè)備序列號(hào)，一個(gè)emial或IP地址,甚至是方法運(yùn)行中的一個(gè)角色等。在某些情況下，這些身份可能伴隨或包含或包含于一個(gè)數(shù)字證書(shū)。記{···}為一個(gè)信息或數(shù)值的集合。哈希函數(shù)用來(lái)將一個(gè)字符串轉(zhuǎn)換成一個(gè)數(shù)值或者一個(gè)固定長(zhǎng)度的串等。典型地，哈希函數(shù)的輸入，即任意一個(gè)字符串(或若干個(gè)字符串的聯(lián)結(jié))，首先被編碼為一個(gè){0，1}*中的0-1串，然后將哈希函數(shù)作用在該轉(zhuǎn)化后的0-1串輸入上從而得到一個(gè)固定長(zhǎng)度的0-1串輸出。這兒{0，1}*表示的是所有0-1串的集合。哈希函數(shù)在密碼學(xué)中的一個(gè)基本功能是提供一個(gè)“單向”和“抗碰撞”的轉(zhuǎn)換，這兒“單向”指的是給定一個(gè)函數(shù)的輸出求出其輸入或前像是困難的，“抗碰撞(collision-resistant) ”指的是給定一個(gè)輸入難以找到另外一個(gè)不同的輸入使得哈希函數(shù)在這兩個(gè)不同輸入上的輸出相同。哈希函數(shù)范圍可以非常廣泛從一個(gè)簡(jiǎn)單的混合(mixing)函數(shù)到一個(gè)具有偽隨機(jī)輸出性質(zhì)的函數(shù)。具有偽隨機(jī)輸出性質(zhì)的哈希函數(shù)在密碼學(xué)分析中常被理想化為一個(gè)“隨機(jī)圣諭(randomoracle) ”。有幾個(gè)哈希函數(shù)在密碼學(xué)中被廣泛使用比如MD5將任意長(zhǎng)度的數(shù)據(jù)轉(zhuǎn)換為一個(gè)128-位的0-1串，而另一個(gè)常用的哈希函數(shù)SHA的輸出是160位的0-1串。在本發(fā)明描述中，若哈希函數(shù)的輸入是若干個(gè)參數(shù)構(gòu)成的集合，則除非特別說(shuō)明，函數(shù)輸入?yún)?shù)的順序是可以任意的。一般而言，先把所有的輸入?yún)?shù)按照某個(gè)碼 制進(jìn)行編碼，然后將編碼后的參數(shù)聯(lián)結(jié)成一個(gè)字符串，然后將聯(lián)結(jié)得到的字符串作為函數(shù)的實(shí)際操作的輸入。若哈希函數(shù)的輸出定義為中的元素，我們可以使用一個(gè)輸出長(zhǎng)度為InaI-I的哈希函數(shù)，其中InaI表示的是Na的二進(jìn)制長(zhǎng)度；若該哈希函數(shù)在某些輸入上輸出為O是，可以將哈希函數(shù)在這些輸入上的輸出預(yù)定義為中的一個(gè)元素。在實(shí)際應(yīng)用中，哈希函數(shù)的所有輸入首先轉(zhuǎn)換為ο-i串，然后將轉(zhuǎn)換后的0-1串連接成一個(gè)0-1串(聯(lián)結(jié)的順序可以變化)，最后在將轉(zhuǎn)換函數(shù)作用到該聯(lián)結(jié)后的0-1串從而得到輸出。在某些應(yīng)用中，轉(zhuǎn)換函數(shù)的輸出只有部分被使用。在大多數(shù)情況下，轉(zhuǎn)換函數(shù)的輸入的順序不重要(順序可以被變化)。比如，以轉(zhuǎn)換函數(shù)f為例，設(shè)S= (X1,…，xt}, t彡I,為t個(gè)字符串的集合,記χ 32，..·，χ,2為X1, X2, X3,…^的〗進(jìn)制O-!串編碼表示，則/(D = Z^12IU22I卜_||xf)，其中“I I”表示的是字符串聯(lián)結(jié)操作符。注意 ^…，彳聯(lián)結(jié)的順序可以變化，但聯(lián)結(jié)的順序需固定且所有發(fā)明方法進(jìn)行交互的用戶知曉且使用相同的順序進(jìn)行聯(lián)結(jié)操作(輸入的順序可由使用所發(fā)明方法進(jìn)行交互的兩個(gè)或多個(gè)用戶協(xié)商確定，或由可信的用戶或機(jī)構(gòu)指定)。對(duì)于f (X1, x2，…，Xt)，若其中Xi,I 彡 i 彡 t,是空串或空集,則 Mx1, X2, ···, Xt) = f (x1； ···, Xi^1, xi+1, ···, Xt) O一般而言，在本發(fā)明描述中，若函數(shù)的輸入是若干個(gè)參數(shù)構(gòu)成的集合，則除非特別說(shuō)明，函數(shù)輸入?yún)?shù)的順序是可以任意的。但是，在發(fā)明方法的實(shí)際應(yīng)用中，函數(shù)輸入的順序需固定且所有發(fā)明方法進(jìn)行交互的用戶知曉且使用相同的順序進(jìn)行操作(輸入的順序可由使用所發(fā)明方法進(jìn)行交互的兩個(gè)或多個(gè)用戶協(xié)商確定，或由可信的用戶或機(jī)構(gòu)指定)。若函數(shù)的輸入是一個(gè)空集，則函數(shù)的輸出定義為一個(gè)常數(shù)或O。在傳統(tǒng)的公鑰密碼體制中，假定簽名者，記為J，有一個(gè)簽名公鑰U，簽名公鑰U與簽名者身份i的綁定由一個(gè)可信的第三方用戶或機(jī)構(gòu)來(lái)執(zhí)行。通常，可信的第三方用戶或機(jī)構(gòu)會(huì)檢查J的身份的有效性以及U的有效性，然后對(duì)(Λ /)做一個(gè)數(shù)字簽名，并將(Λ /)以及可信第三方的簽名形成一個(gè)針對(duì)(2,C/)公鑰證書(shū)，記為。數(shù)字簽名相關(guān)工作及比較:給定其中4，g均是公開(kāi)的，％是一個(gè)句有效的雙線性對(duì)映射(注意，C 〗中的元素表示要比中的短，因此下面得到的簽名也相應(yīng)地比較短)。記m為待簽名的信息。記簽名者的身份是; 。令H1是一個(gè)定義域?yàn)閧0，1}*輸出屬于的一個(gè)哈希函數(shù)。目前相關(guān)工作中最好的確定的基于雙線性對(duì)的數(shù)字簽名方法是由Boneh和Boyen所給出的，具體如下Boneh-Boyen 簽名方法簽名公鑰=X1=Qi廣，H1;簽名私鑰Xl，其中X1從中隨機(jī)選取。
簽名對(duì)于ー個(gè)消息m，計(jì)算り=。將T A作為對(duì)消息m的簽名。簽名驗(yàn)證驗(yàn)證者得到m和^后’計(jì)算驗(yàn)證ら^^ズ辦丨廣バ’^メふぎい;若等式
成立則接受簽名，否則拒絕。
Boneh-Boyen方案的不足之處在于它不能證明完全的簽名安全性，為了得到完全的簽名安全性，Boneh-Boyen方案的公鑰需要增加ー個(gè)DH-成分并且簽名必須是隨機(jī)的(即簽名本身包含一個(gè)隨機(jī)串)；另外Boneh-Boyen方案不能夠提供足夠的不可鍛造安
全性，比如給定(Z = ，m，r =)，一個(gè)惡意的敵手可以將其鍛造成為
(X11 = (XJ，m',てい(taY )，其中H1 (m' ) = CH1 (m)。通過(guò)這種攻擊，く =(ら):是相對(duì)
于公鑰X' i = (Xグ的針對(duì)m'的簽名。下面，我們將Boneh-Boyen方案與我們發(fā)明的簽名方案進(jìn)行比較發(fā)明簽名方法_公鑰簽名者的公鑰包括A1 =(ぎ1廣和氏。私鑰Xl，其中X1從中隨機(jī)選取。簽名簽名者計(jì)算T = ^rrIylH,(X m)+S，其中J = ^ m0dA^，々是\的X-軸坐標(biāo)值，
或S是從中隨機(jī)選取的常數(shù)C。Ta作為對(duì)消息m的簽名。驗(yàn)證得到(m，T A)，簽名驗(yàn)證者計(jì)算驗(yàn)證是否ら(ろ，；^〃'’=
等式成立則接受簽名，否則拒絕。其中ら(y，g〗)和(ぎ/可事先計(jì)算并作為簽名公鑰的一部分。與Boneh-Boyen方案相比，發(fā)明簽名方法的優(yōu)點(diǎn)在于簽名公鑰可僅包含ー個(gè)DH-成分不=(ビ廣且是確定的簽名。注意，為了得到完全的簽名安全性，Boneh-Boyen方案的公鑰需要2個(gè)DH-成分，且簽名是隨機(jī)的且簽名除了 h還包括一個(gè)隨機(jī)數(shù)(因此，無(wú)論是公鑰還是簽名都要加長(zhǎng))；特別地，上述我們針對(duì)Bonen-Boyen的鍛造攻擊將不能夠應(yīng)用于發(fā)明簽名方法?；谏矸莸暮灻嚓P(guān)工作及比較:給定GpA,GsA,GTA,gpA,eA,HA,NA,其中是公開(kāi)的，Gpa e {GlA,G2A},Gf e{Gi，G〗}，HAi—個(gè)輸出屬于Gj的哈希函數(shù)。令eA是ー個(gè)G〗x —巧有效的雙線性對(duì)映射，其中0 = G許PGガ=Gsa。令/1 {0,1}* — 為ー個(gè)哈希函數(shù)。可信用戶公鑰和私鑰可信用戶計(jì)算= (gPAY，其中s從中隨機(jī)選取。從‘中隨機(jī)選取C。令^6 =レぴ和C和(g^為可信用戶的公鑰，S為可信用戶的私鑰。用戶公鑰和私鑰所有使用所述發(fā)明方法和同一可信用戶公鑰Ppub的具有身份2的用戶的公鑰記為(不;用戶2的私鑰記為d =0。ビ=0有可信用戶計(jì)算，并通過(guò)安全的信道發(fā)送給用戶2。記m為待簽名的信息。記簽名者的身份是;i。目前，最好的基于身份的簽名方案是Hess所給出的方案，具體如下Hess簽名簽名者做如下計(jì)算
(I)計(jì)算=，其中r由簽名者在中隨機(jī)選取；(2)計(jì)算 V = h (m, R)；(3)計(jì)算 (4)將(U，V)作為對(duì)消息m的簽名。Hess簽名的驗(yàn)證得到m和(U，v)后，簽名驗(yàn)證者做如下計(jì)算(I)計(jì)算i = eA(U,gPA)eA(QA,P；Lr ；(2)若V = h (m, R)則接受簽名，否則拒絕。注意=Hess簽名的簽名計(jì)算復(fù)雜性為1個(gè)雙線性對(duì)運(yùn)算，U = (g)v(gW的計(jì)算量相當(dāng)于I.5個(gè)指數(shù)運(yùn)算。Hess簽名的驗(yàn)證復(fù)雜性為2個(gè)雙線性對(duì)運(yùn)算(其中一個(gè)，即eA{QA,P；L·)，可以預(yù)先計(jì)算)，I個(gè)指數(shù)運(yùn)算，I個(gè)求逆運(yùn)算和I個(gè)Gi上的乘法運(yùn)算。Hess簽名的方案僅證明在隨機(jī)圣諭(random oracle)模型下對(duì)于固定身份攻擊安全。注意，固定身份攻擊安全部是一種較弱的安全性，因此Hess方案尚不不能做到完全的安全性(即便在隨機(jī)圣諭模型下)。下面，我們將Hess基于身份的簽名方案與我們發(fā)明的基于身份的簽名方案進(jìn)行比較發(fā)明的基于身份的簽名方法-I (該方法不需要可信用戶的公鑰包括c或)簽名簽名者計(jì)算；^={gPA)x\TA^(gsA)x's+Km)，其中5 = ·^ mod^。將(χι，τ a)作為
對(duì)消息m的簽名。其中X1可以事先計(jì)算并作為簽名者公鑰的一部分。驗(yàn)證得到(m，X1, τ A)后，驗(yàn)證者做如下計(jì)算計(jì)算驗(yàn)證是否eA(XfigPA)Hm\TA) = eA(Ppub,QA)。若等式成立，則接受簽名，否則拒絕。發(fā)明基于身份的簽名方法-I計(jì)算復(fù)雜性分析簽名需要計(jì)算2個(gè)指數(shù)運(yùn)算，而不需要進(jìn)行雙線性對(duì)運(yùn)算。因?yàn)殡p線性對(duì)運(yùn)算大約相當(dāng)于I. 5或2個(gè)指數(shù)運(yùn)算。因此，我們發(fā)明的基于身份簽名方法的簽名計(jì)算量相比Hess方案有很大的改進(jìn)。發(fā)明方法的簽名驗(yàn)證需要2個(gè)雙線性對(duì)運(yùn)算(其中一個(gè)可以事先計(jì)算)的計(jì)算相當(dāng)于I. 5個(gè)指數(shù)運(yùn)算。注意，若X1作為簽名者公鑰的一部分，則亦可以事先計(jì)算。因此，我們發(fā)明方法的簽名驗(yàn)證的在線計(jì)算量可以僅僅是I個(gè)雙線性對(duì)運(yùn)算和I個(gè)指數(shù)運(yùn)算。因此，與Hess方案相比，我們發(fā)明方案的簽名驗(yàn)證的在線計(jì)算量更優(yōu)(不需做求逆運(yùn)算和上的乘法運(yùn)算)。安全性比較相對(duì)于Hess方案，其只能事先針對(duì)固定身份的攻擊并在隨機(jī)圣諭模型下，我們發(fā)明的基于身份的簽名方案-I不需要隨機(jī)圣諭假設(shè)，并可抵抗針對(duì)任意身份的動(dòng)態(tài)攻擊。因此，相比于Hess方案，我們發(fā)明的基于身份的簽名方案提供更優(yōu)的安全保證。發(fā)明的基于身份的簽名方法_2 簽名簽名者計(jì)算a = (Μ)*ι & =。將(X1, τ Α)作為對(duì)消息m的簽名。其中X1可以事先計(jì)算并作為簽名者公鑰的一部分。驗(yàn)證得到(m，X1, τ A)后，驗(yàn)證者做如下計(jì)算計(jì)算驗(yàn)證是否βΛ(Χ^\§ρΑγ,τΑ) = eA{Ppub,QA)。若等式成立，則接受簽名，否則拒絕。發(fā)明基于身份的簽名方法-2計(jì)算復(fù)雜性分析簽名需要計(jì)算2個(gè)指數(shù)運(yùn)算，而不需要進(jìn)行雙線性對(duì)運(yùn)算。因?yàn)殡p線性對(duì)運(yùn)算大約相當(dāng)于I. 5或2個(gè)指數(shù)運(yùn)算。因此，我們發(fā)明的基于身份簽名方法的簽名計(jì)算量相比Hess方案有很大的改進(jìn)。發(fā)明方法的簽名驗(yàn)證需要2個(gè)雙線性對(duì)運(yùn)算(其中一個(gè)可以事先計(jì)算)，和ー個(gè)指數(shù)運(yùn)算ズf (注意(ぎ:デ直接出現(xiàn)在了可信用戶的公鑰中)。因此，我們發(fā)明方法_2的簽名驗(yàn)證的在線計(jì)算量可以僅僅是I個(gè)雙線性對(duì)運(yùn)算和I個(gè)指數(shù)運(yùn)算。因此，與Hess方案相比，我們發(fā)明方案的簽名驗(yàn)證的在線計(jì)算量更優(yōu)(不需做求逆運(yùn)算和上的乘法運(yùn)算)。安全性比較相對(duì)于Hess方案，其只能事先針對(duì)固定身份的攻擊并在隨機(jī)圣諭模型下，我們發(fā)明的基于身份簽名方法_2不需要隨機(jī)圣諭假設(shè)，并可抵抗針對(duì)任意身份的動(dòng)態(tài)攻擊。因此，相比于Hess方案，我們發(fā)明的基于身份的簽名方案-2提供更優(yōu)的安全保證。發(fā)明的基于身份的簽名方法_3 (該方法不需要可信用戶的公鑰包括c或(g，)簽名簽名者計(jì)算
權(quán)利要求
1.一個(gè)不可鍛造的知識(shí)證明和消息簽名認(rèn)證的方法，所述方法包括 身份為J的用戶得到{足二圯，n彡1，其中Z是一個(gè)以Na為階的有限阿貝爾群0的生成元，每個(gè)n，構(gòu)成一個(gè)單向指數(shù)函數(shù)且其輸出為<^中的一個(gè)元素，每個(gè)5kg〗),n，構(gòu)成一個(gè)確定的至少有一個(gè)參數(shù)^的函數(shù)；每個(gè)/jO,.), I ^ i ^ n，構(gòu)成一個(gè)確定的至少有一個(gè)參數(shù)Xi的函數(shù)，其中X,. e ; 身份為i的用戶得到％，其中％是一個(gè)公開(kāi)信息的集合，其中，…，XJ是用戶i要簽名認(rèn)證的消息；用戶i得到R1和用戶j得到mA的順序可以任意；上述的X1, ... , Xn稱為用戶i的DH成分，X1, ... , Xn稱為用戶J的秘密DH指數(shù)；\，…，Xn, mA中，有些是在多個(gè)會(huì)話中都使用的固定的值，另外一些則是只是在一個(gè)會(huì)話中使用的臨時(shí)的值；在多個(gè)會(huì)話中都使用的DH成分或DH指數(shù)稱為固定的DH成分，只在一個(gè)會(huì)話中使用的DH成分或DH指數(shù)稱為臨時(shí)的DH成分； ,_^(5^)_ 用戶 J十算 _ Rn+\( 2 \haA{SaA )+fA {Xl)h\{S\ )+■/； (x )hnA(SnA)其中 2是一個(gè)以 Na 為階的A 1A--dA KsaJ， Sa有限阿貝爾群( 的生成元，構(gòu)成一個(gè)確定的至少有一個(gè)參數(shù)g〗的函數(shù)且其輸出為<^中的一個(gè)元素，^是( 〗中的一個(gè)元素或G〗中的一個(gè)元素的坐標(biāo)值，<，0彡i彡n中的每一個(gè)構(gòu)成一個(gè)確定的以力￡{&， ,UUm,為輸入?yún)?shù)的函數(shù)，Aa構(gòu)成一個(gè)確定的以W G {七，…，ZJUmy為輸入?yún)?shù)的函數(shù)，h是Gj中的一個(gè)元素或G〗中的一個(gè)元素的坐標(biāo)值“^’^丨中的其中一個(gè)’記為^^&^^^是公開(kāi)的。記M所在的群為G^e{G〗,C^}; 沖除W之外的另一個(gè)記為W，記g所在的群為0 e {G\,G2a} 或者是公開(kāi)的，或者是用戶i所擁有的秘密值；若乂是用戶J的秘密值，則g =五0^，4且尸―⑷是一個(gè)公開(kāi)參數(shù)’其中^^式^是一個(gè)秘密值一^^^^丨足/^^義廣^^^丨^是一個(gè)確定的輸入?yún)?shù)包括(#，4的函數(shù)，萬(wàn)—)/p“A W構(gòu)成一個(gè)單向指數(shù)函數(shù)且其輸出為Gf中的一個(gè)元素，構(gòu)成一個(gè)確定的至少有一個(gè)參數(shù)的函數(shù)，fpUb(s)構(gòu)成一個(gè)確定的至少有一 _^a(Sa)_個(gè)參數(shù)S的函數(shù)=^+1(^)A^Zj(X1)Aj1CSi>+.../;(* )*；；〗滿足如下可公開(kāi)驗(yàn)證的等式之 (1)若Si均是公開(kāi)的值且eA是一個(gè)G〗XG〗—Gta有效的雙線性對(duì)映射 (/^(心_，#(氣...,= eA{tA{g\\Bn；\g2A))，或^(/,(^(^)4°(S°),X1^(S；!),--,X ^W))A/1(^)),rJ-' = eA(tA(glA),BnA+l(g2A))； (2)或，若gU〗均是公開(kāi)的值且eA是一個(gè)G〗X( 4 Gta有效的雙線性對(duì)映射 (心伽),#('…，(狀，或 ⑷(心_，尤產(chǎn)，，…，尤咖人叱)))-1 = ^(5；+1 (^),^(^)); (3)或，若d是保密值且eA是一個(gè)G〗xG〗有效的雙線性對(duì)映射 ，…，X/MUD))，^)= eA^A{SHA),(p{Ppub))，或
2.如權(quán)利要求I所述的方法，若d:是用戶2的秘密值，則:gSA=E(S!,s) = HA(S=)訓(xùn)其中///#)是一個(gè)確定的輸入?yún)?shù)包括#的函數(shù)其輸出是Gj中的一個(gè)元素，fs(s)是一個(gè)確定的輸入?yún)?shù)包括s的函數(shù) 是一個(gè)可信用戶CA的公鑰的一部分；CA的公鑰的部分或全體包含在％中；對(duì)于每一個(gè)具有身份ID的使用所述方法和公鑰
3 .如權(quán)利要求2所述的方法中，其中，得到 后，驗(yàn)證者通過(guò)計(jì)算
4.如權(quán)利要求3所述的方法中，其中{/^(S；f),AOSf)}的一個(gè)子集和固定的DH-成分的一個(gè)子集以及％的一個(gè)子集作為用戶2的公鑰的一部分；mA的一個(gè)子集作為可信用戶CA公鑰的一部分； 若d = M且W僅包含公開(kāi)的信息，，h°A(S°A)}的一個(gè)(可以為空的)子集作為用戶2的公鑰的一部分或可信用戶CA公鑰的一部分；
5.如權(quán)利要求3所述的方法，其中mA包含用戶:i和其它用戶相互交換的信息，和/或，M和/或公開(kāi)的g〗，和/或包含Ppub的可信用戶CA的公鑰的部分或全體；/^包含用戶J的身份和/或么( ")和/或義(#)和/或公鑰信息和/或時(shí)間戳信息，和/或包含Ppub的可信用戶CA的公鑰的部分或全體，和/或和其它使用所述方法的用戶通過(guò)網(wǎng)絡(luò)或設(shè)備相互交換的信息沿，和/或元包含一個(gè)值uA，其中u 4或者是一個(gè)空值或者是一個(gè)角色確定相關(guān)的值(即不同的協(xié)議角色，對(duì)應(yīng)不同的^值)。
6.如權(quán)利要求5所述的方法，其中沿包括j和其它使用所述方法的用戶通過(guò)網(wǎng)絡(luò)或設(shè)備相互交換的隨機(jī)數(shù)，和/或DH-成分的一個(gè)子集和/或& (O和/或爐CPpuJ的坐標(biāo)值，和/或身份和/或公鑰信息和/或時(shí)間戳信息。
7.如權(quán)利要求3、4、5、6所述的方法，其中函數(shù)化，n，有如下實(shí)現(xiàn)方法1)M構(gòu)成一個(gè)輸出屬于的函數(shù)，或若M是橢圓曲線上的一個(gè)點(diǎn)令
8 .如權(quán) 利要 求 7所述 的方 法，其中
9.如權(quán)利要求8所述的方法，其中函數(shù)
10.如權(quán)利要求9所述的方法,其中=Ppub，Ha是一個(gè)輸出屬于Gj1的哈希函數(shù)，
11.如權(quán)利要求10所述的方法，其中
12.如權(quán)利要求10所述的方法，其中，若n= 1，^有如下計(jì)算方式
13.如上述12所述的方法中，其中Ha(S=)和/或X1和/或X2和/或4和/或和/或作為用戶2的公鑰的一部分；4和/或(g)4和/或(gPAf(^作為可信用戶CA的公鑰的一部分；和/或$ -mA或S0a =Ppub或S0a = A-, (eA(gj,gj), eA(g2A,gxA), eA(</>A(S^),Ppub) , Q(P_，A(5^)) }的一個(gè)子集作為用戶2的公鑰的一部分或可信用戶CA公鑰的一部分；(或4或&(<)既可以由用戶2產(chǎn)生，也可以由與2交互的用戶產(chǎn)生并發(fā)送給2。
14.如權(quán)利要求7所述的方法中，其中F(Sf)= H(l，Sf) I卜 I |H(1，SF)，H是一個(gè)哈希函數(shù)，I≥I。
全文摘要
一種基于雙線性對(duì)的不可鍛造的知識(shí)證明和消息簽名認(rèn)證方法。發(fā)明方法的目的是并發(fā)不可鍛造安全性和知識(shí)抽取性。使用所發(fā)明的方法，只有知道相應(yīng)的秘密知識(shí)才能給出一個(gè)合法的知識(shí)證明或消息簽名認(rèn)證。通過(guò)將用戶的身份和/或固定的DH成分視為公鑰，發(fā)明方法蘊(yùn)含高效的數(shù)值簽名方法和基于身份或無(wú)證書(shū)的簽名方法；運(yùn)行發(fā)明方法的各方通過(guò)運(yùn)行發(fā)明方法證明各自的秘密DH-知識(shí)知識(shí)，發(fā)明方法導(dǎo)出認(rèn)證的密鑰交換方法和認(rèn)證的基于身份或無(wú)證書(shū)的密鑰交換方法。
文檔編號(hào)H04L9/30GK102624524SQ201110027808
公開(kāi)日2012年8月1日 申請(qǐng)日期2011年1月26日 優(yōu)先權(quán)日2011年1月26日
發(fā)明者丁素芬, 趙運(yùn)磊 申請(qǐng)人:丁素芬