專利名稱：基于橢圓曲線的自認證簽名方法與裝置的制作方法
技術領域：
本發(fā)明涉及密碼領域的數(shù)字簽名技術，自認證技術，通過結合橢圓曲線密 碼技術，并且利用計算機和其他類型的通訊設備，通過網絡或其他途徑實現(xiàn)自 認證簽名系統(tǒng)的設計，從而可以作為構造安全，公平電子商務、電子政務等的 模塊。
背景技術：
數(shù)字簽名方案中的私鑰通常情況下，是由實體自己選取，并且秘密保管， 所產生的相應公鑰需要由一個認證權威機構產生一個證書來認證。在簽名過程. 中，簽名實體利用其私鑰可以對任何消息進行簽名，當一個驗證者驗證一個簽 名的有效性時，首先驗證簽名者公鑰證書的有效性，再利用簽名者的公鑰來驗
證消息簽名的有效性。在這種傳統(tǒng)的PKI公鑰體制下，認證權威機構需要對 用戶公鑰證書的產生、更新、撤銷和分發(fā)等復雜操作進行管理，從而給認證權 威機構帶來了沉重的負擔，也增大了驗證者驗證的計算量。而基于身份的公鑰 體制，采用用戶的身份，如IP地址或email地址等作為用戶的公鑰，刪除 了傳統(tǒng)PKI公鑰體制中公鑰證書的復雜管理，然而，用戶的私鑰需要一個私 鑰產生中心(PKG)來產生，用戶必須完全信任該PKG，因而，基于身份的 公鑰體制存在著密鑰托管問題。在現(xiàn)實社會中，這種信任無法完全保證。
為了刪除傳統(tǒng)PKI體制中認證權威機構對公鑰證書的復雜管理，以及基
于身份公鑰體制中的密鑰托管問,我們提出一種自認證簽名系統(tǒng)。在該系統(tǒng)中，
用戶私鑰的產生是由用戶和權威認證機構共同完成。
本發(fā)明提出的基于橢圓曲線的自認證的簽名方案，區(qū)別于傳統(tǒng)公鑰密碼體
制下數(shù)字簽名方案，也不同于基于身份公鑰體制下簽名方案，它刪除了這兩種公鑰體制的弊端并繼承了它們的優(yōu)勢。在這種方案中，簽名實體的私鑰由兩部
分組成， 一部分是由簽名實體在Zp中隨機一個元素來產生，另一部分是由認證
授權機構通過自己的公/私鑰對、簽名實體的身份和公鑰及其系統(tǒng)參數(shù)來產生， 這樣不僅可以使得簽名實體的公鑰被隱式的驗證，而且可以有效的解決密鑰的 托管問題，同時，也刪除了對權威認證機構對公鑰證書的復雜管理。有效的 限制了權威認證機構的權利的濫用，杜絕了惡意的權威認證機構以簽名實體的 名義來偽造消息簽名。簽名實體只有在權威認證機構的幫助下，才能獲得有效 的簽名私鑰。因此，不了解密碼知識的實體也可以從這種簽名方案中受益。
橢圓曲線是代數(shù)幾何中最重要的一類研究對象，其中橢圓曲線中的雙線
性對即代數(shù)曲線的Wdl和Tate對是代數(shù)幾何研究的重要工具。橢圓曲線上的 離散對數(shù)問題遠難于離散對數(shù)問題，在橢圓曲線密碼系統(tǒng)中單位比特強度要遠 高于傳統(tǒng)的離散對數(shù)系統(tǒng)。因此在使用較短的密鑰的情況下，ECC可以達到于 DL系統(tǒng)相同的安全性。這帶來的好處就是計算參數(shù)更小，密鑰更短，運算速 度更快，簽名也更加短小。因此橢圓曲線密碼尤其適用于處理器速度、帶寬及 功耗受限的場合。目前，許多基于橢圓曲線的數(shù)字簽名方案被提出，尤其是許 多基于身份ID的數(shù)字簽名。隨著數(shù)字簽名的發(fā)展，為了能夠滿足不同的實際 情況的要求，出現(xiàn)了適應不同情況的數(shù)字簽名方案。但關于簽名密鑰的產生， 密鑰的托管卻一直是研究的難點和重點。
1985年Neal Koblitz和Victor Miller分別提出將橢圓曲線用于公鑰密碼系 統(tǒng)，并用橢圓曲線實現(xiàn)了已存在的公鑰密碼算法?；跈E圓曲線離散對數(shù)問題 難解性的密碼算法被稱為橢圓曲線密碼算法(Elliptic Curve Cryptography簡稱 ECC)，成為國際密碼界所廣泛接受的公鑰密碼算法。
US4200770給出了 一個可以在公開信道中交換密鑰的方法和設備，這個方 法稱為公開密鑰交換或稱為Diffie-Hellman密鑰交換方法。該專利使得通信雙 方使用一個模函數(shù)協(xié)商和傳遞他們的秘密信息，解決了設計安全密碼系統(tǒng)的一些密鑰管理方面的麻煩。公鑰密碼系統(tǒng)中，每個實體擁有自己的私鑰和公鑰， 私鑰只有實體自己知道，公鑰則由系統(tǒng)管理，不需要阻止公鑰的公開，由于它 的秘密在安全通信和數(shù)字簽名中是不必要的。但是，公鑰密碼體制面臨著熟悉 的認證問題，例如， 一個實體提供給簽名實體有效的，但是錯誤的公鑰，簽名 實體利用該公鑰將秘密信息編碼，編碼將有可能被簽名實體以外的實體解碼， 或者騙取簽名實體接受含有無效簽名的信息。最熟悉的認證公鑰的方法是利用
明確的證書，像X.509。當某個實體要使用其他實體的公鑰時，前者必須要事 先驗證該公鑰的真實性。攻擊者要想獲得傳遞的秘密信息，必須解決離散對數(shù) 問題，如果使用的參數(shù)足夠大，解離散對數(shù)問題是個難解的問題。
在傳統(tǒng)公鑰PKI框架下，用戶的公鑰是一串沒有意義的字符串v并且有 一個公鑰證書與之相關聯(lián)。為了簡化證書的管理，在1984年Shamir提出了基 于身份的公鑰密碼系統(tǒng)。在基于身份的公鑰是由簽名實體的身份產生，相應的 私鑰由一個值得信賴的認證授權機構產生。顯然，這種體制存在著一個致命問 題密鑰托管問題。認證授權機構了解所有簽名實體的私鑰，對于一個不誠實 的認證授權機構，它可以任何偽造簽名實體的簽名。在1991年，Girault提出 的自認證的公鑰體制，作為除了基于身份的密碼系統(tǒng)和傳統(tǒng)的公鑰密碼體系以 外的一種可選公鑰體制。該公鑰體制不僅刪除了傳統(tǒng)公鑰體制下的復雜的證書 管理，也克服了基于身份密碼系統(tǒng)中的密鑰托管問題。簽名實體的私鑰由認證 授權機構和簽名實體本身聯(lián)合產生，有效的杜絕了不誠實認證授權機構的非法 操作；在應用中，簽名實體的公鑰證書是以隱式方式被驗證。在1997年Petersen 和Hoster將自認證的公鑰擴展到基于離散對數(shù)的密碼系統(tǒng)中，隨之也出現(xiàn)了很 多基于離散對數(shù)的自認證的簽名方案，但是由于離散對數(shù)的運算量比較大，計 算比較復雜，對于密鑰的選取比較麻煩，所以這類簽名方案不是十分有效，自 認證公鑰體制的優(yōu)勢沒有體現(xiàn)出來。相對于離散對數(shù)，橢圓曲線的計算量小， 運算速度快，但遺憾的是利用橢圓曲線構造自認證的簽名方案還沒有正式的給出盧格定義，因此需要定義基于橢圓曲線的自認證的簽名方案。
一種有效的安全假設，該安全假設是構造基于橢圓曲線的自認證的簽名方
案的安全基礎。對于構造安全的簽名方案，通常利用的是強的Diffie-Hellman 假設(strong Diffie-Hellman(SDH) assumption)和計算性Diffie-Hellman假設 (Computational Diffie-Hellman(CDH) assumption)，為了構造一種安全有效的 基于橢圓曲線的自認證簽名方案，本發(fā)明給出了一種新的，可證明安全的假設， 我們稱它為強的Diffie-Hellman假設+可計算的Diffie-Hellman假設，該假設將 兩則安全假設相結合，利用可計算的Diffie-Hellman假設的困難性，說明與所 構造假設的困難性介于熟悉的兩假設之間，是構造安全有效的基于橢圓曲線的 自認證的簽名方案的有效工具。
一種有效的基于橢圓曲線的自認證密鑰產生方法。通常情況下，簽名實體 的私鑰只有自己知道，并且由私鑰所產生的公鑰是一個隨機的字符串，不便于 記憶，并且該公鑰需要一個權威認證機構來進行認證。隨著電子商務與Internet 技術的發(fā)展，計算能力小、帶寬與內存有限的移動設備和便攜設備日益得到普 及，如何設計有效的簽名技術和簡化復雜的管理越來越迫切.1991年Girault的 文章"Self-certified public keys(自認證公鑰)"被發(fā)表在Pro. of the Eurocrypt，94， 491-497，提出了自認證公鑰的構造及產生，但對于私鑰的產生及如何構造基于 橢圓曲線的自認證私鑰，沒有給出具體的描述。自認證簽名系統(tǒng)，不僅可以簡 化對公鑰證書的管理和刪除密鑰托管問題，而且也可以減少驗證者對簽名驗證 的計算量。而橢圓曲線密碼具有在同等安全強度下，簽名長度短特點;因此， 我們需要構造一種安全有效的基于橢圓曲線的自認證密鑰的方法。
一種有效的自認證簽名系統(tǒng)，即一個簽名實體利用私鑰對消息M產生簽 名，而驗證者可以利用用戶的身份ID和權威認證中心的公鑰Pea來對這個消 息簽名進行驗證。1997年Petersen和Hoster將自認證的公鑰擴展到基于離散對 數(shù)的密碼系統(tǒng)中，文章 "Self-certified keys-concept and application(自認證的密鑰-概念和應用)"發(fā)表在Pro. of the Communication and Multimedia Security'97, 102-116。但與橢圓曲線相比，離散對數(shù)的計算量，運算速度都不理想，該簽名 方法可以使簽名實體在認證授權機構的幫助下，獲得有效的簽名密鑰，并實現(xiàn) 對消息完的簽名。但是，還未出現(xiàn)基于橢圓曲線的自認證的簽名方案的形式化 定義，因此，需要一種基于橢圓曲線的自認證的簽名方法。
一種有效的聚合簽名方法，即簽名實體對多條消息簽名，驗證者可以對這 些消息簽名進行同時驗證而不是分別驗證。目前存在著許多簽名方案，但這些 方案都不同程度的存在缺陷，比如，驗證者對對多個消息簽名驗證時，簽名的 長度會隨著消息簽名的增加而變大，計算量，運算負擔也相應變大等。需要一 種能夠滿足驗證者能夠對多條消息簽名驗證的簽名方法。因此，需要一種有效 的基于橢圓曲線的自認證的聚合簽名方法。
一種基于橢圓曲線的在線/離線自認證簽名方法，能夠在線/離線狀態(tài)下， 為簽名實體產生消息簽名的簽名方案。在實際應用中，在線時間比簽名時間重 要，并不是所有簽名過程都是在線狀態(tài)下完成的，如果能夠在離線狀態(tài)下，仍 能完成簽名，則可以極大的提高簽名效率，節(jié)省不必要的浪費。2001年A. Shamir, Y. Tauman的文章"Improved online/offline signature schemes(改進的在線/離線 簽名方案)"發(fā)表在Advances in crypt，2001, 355-367。然而，基于橢圓曲線的， 能夠在/離線狀態(tài)下同時完成自認證簽名的方法卻沒有出現(xiàn)。因此，需要一種基 于橢圓曲線的在線/離線自認證的簽名方法，在/離線狀態(tài)下都可以對消息進行 處理，產生自認證簽名的簽名方法。
因此，本發(fā)明的目的之一是提供一種有效的SDH+CDH假設。本發(fā)明的 目的之二是提供一種有效的基于橢圓曲線的自認證簽名方法。本發(fā)明的目的之 三是提供一種有效的，基于橢圓曲線的自認證的聚合簽名方法。本發(fā)明的目的 之四是提供一種基于橢圓曲線的在/離線自認證簽名方法。 一種困難性低于 Computational Diffie-Hellman(CDH) Assumption而高于q-Strong Diffie-HellmanAssumption的新的假設q-SDH+CDH Assumption,該假設具體內容包括 選取定義的第一個循環(huán)群Gi;
選取第一個循環(huán)群G'中的一個q元數(shù)組化(…，g^和一個數(shù)組^，g「、； 利用q-SDH Assumption和CDH Assumption假設來選取^^ z;，使得在
多項式時間內以不可忽略的概率找到^^，。是不可能的。
.一種基于橢圓曲線的，產生關于消息M的自認證簽名Sig的方法以及驗 證， 一個簽名實體對消息M產生簽名^，最后， 一個驗證者利用驗證算法對該 簽名^進行驗證，具體內容包括
在系統(tǒng)初始化階段，選取第一循環(huán)群G'和第二循環(huán)群A (階數(shù)均為大素數(shù)
P);
選取一個非退化的雙線性對映射e，滿足能夠由G'中的兩個元素映射到《 中的一個元素；
選取第一循環(huán)群G，的生成元g;
隨機選取模p的剩余類Zp中的一個元素"作為CA的私鑰，并且產生^ 作為CA公鑰；
用戶隨機選取模p的剩余類Zp中的一個元素^"^，…，"M乍為"的部分私 鑰，并且產生C^ = g" ，& = g('〉作為簽名實體R的部分公鑰；
選取第一哈希函數(shù)"'，能由第一串二進制數(shù)產生第一循環(huán)群Gi中的一個元
素；
選取第二哈希函數(shù)A，.能由第二串二進制數(shù)產生剩余類^中的一個元素； 選取第三哈希函數(shù)H，能由第三串二進制數(shù)產生剩余類&中的一個元素；
權烕授權中心CA和用戶"進行交互操作來產生用戶"'來產生用戶的私 鑰。當CA接收到用戶"'發(fā)送來的信息(IDi,Pi)， CA禾擁它的公鑰和(IDi，Pi) 作為第一哈希函數(shù)值的輸入來計算^=//1(^，^，。，然后再利用它的私鑰來產生用戶的部分私鑰《=(W/aW')并返回給用戶"-。
當用戶"'接收到部分私鑰《以后，禾u用w，^，w)通過下面的等式來驗
證"'的部分私鑰《的有效性 e(仏g,.叫),，g)。
最后，簽名實體"'的私鑰為"，化其中(1=1，2，"'，11);
在簽名階段，為了產生對消息M的簽名，用戶"'通過自認證簽名算法來
產生一個簽名。具體如下
1. 隨機選取模p的剩余類Zp中的一個元素S;
3.產生消息M的自認證的簽名sig-^，W
在簽名驗證階段，把sig-W，^和消息M作為驗證裝置的一個輸入，該驗證
裝置工作如下
1、驗證用戶公鑰"的真實性，步驟為通過確認《，U—^，=,，力來 驗證公鑰的真實性；
2、 通過確認《,，"，W = ,A岸2^f"'。:n來驗證自認證簽名Sig=W ，W 的有效性。
一種基于橢圓曲線的，產生關于消息的自認證聚合簽名Sig的方法以及驗 證，簽名實體可以對不同的消息進行簽名，最后把這些消息簽名聚合生成最終 簽名，在驗證時，驗證者只要驗證聚合所得到的簽名，就意味著所有的消息簽 名是正確的，通過該方法可以使簽名驗證的計算量和速度比較所有單個消息簽 名的驗證有很大提高，且聚合后的簽名長度比所有單個簽名的長度明顯縮短， 該系統(tǒng)包括
一個認證授權機構和簽名實體進行一個交互操作來簽名實體的簽名密鑰； 簽名實體利用所產生的簽名密鑰按照上面的自認證加密簽名方法來對不同消息產生簽名。最后，簽名實體把對不同消息產生的簽名聚合成一個最終的簽名。 當一個驗證者驗證幾個不同消息的聚合簽名時，他利用預先選定的雙線性 對映射和選定的哈希函數(shù)來驗證聚合簽名的有效性，如果該聚合簽名滿足驗證 等式，這就意味著這幾個不同消息的簽名是有效的。
一個可以由一個簽名實體，對一個消息M產生簽名的offline/online系統(tǒng)， 該系統(tǒng)分為在線和離線兩個階段。該簽名實體在離線(offline)狀態(tài)下，完成 簽名的主要運算過程；在在線狀態(tài)下，簽名實體基于離線狀態(tài)下的計算結果， 使用較少的計算量來產生消息M簽名。該系統(tǒng)包括
一個認證授權構和簽名實體進行交互操作，產生簽名實體的簽名密鑰，每 個簽名實體對應各自的不同簽名密鑰，簽名實體與認證授權機構共同產生簽名 實體的簽名私鑰；
一個與認證授權機構，簽名實體相互傳遞的處理器，該處理器能夠利用預 先選定的哈希函數(shù)，認證機構或者簽名實體的輸入生成一個函數(shù)值，并且利用 該函數(shù)值和簽名實體的私鑰，相關公鑰生成簽名實體的自認證簽名；而且，該 處理器能夠在離線狀態(tài)下，隨機的選擇秘密信息和一個隨機數(shù)，利用預先選定 的函數(shù)，簽名實體的私鑰，生成一個離線簽名，在在線簽名階段，該處理器能 夠使用在離線狀態(tài)下所生成的離線簽名與待簽消息M，共同生成一個在線自認 證簽名；
一個與簽名驗證者相互傳遞的處理器，該處理器能夠利用預先選定的雙線 性對映射，選定的哈希函數(shù)，上面處理器生成的在線自認證簽名進行驗證，如 果通過驗證，確定該簽名的真實性。

發(fā)明內容
本發(fā)明給出了可靠的理論基礎，提出了安全，有效且快速的密鑰，簽名產 生方法。本發(fā)明的目的在于提出一種新的有效橢圓曲線自認證簽名方法。該簽名方 法基于橢圓曲線離散對數(shù)問題，該問題具有高復雜性，因而具有單位安全強度 更高的特定，可大大縮短具有相同安全強度的數(shù)字簽名長度，加快簽名速度。
本發(fā)明的內容之一 ，提出了有效的SDH+CDH假設。利用解決強SDH和CDH 假設的困難性，將兩者的困難性相結合，構造了有效的SDH+CDH假設。在多 項式時間內解決SDH假設的概率是可以忽略的，在多項式時間內解決CDH假設 的概率也是可以忽略的，由于提出假設的困難性低于解決CDH假設，而高于解 決SDH假設，得知在多項式時間內解決SDH+CDH假設的概率也是可以忽略的。 利用SDH+CDH假設，可以產生有效的基于橢圓曲線的自認證簽名方案，構造 方案的安全模型和安全性證明。
本發(fā)明的內容之二，提出了一種有效的基于橢圓曲線的自認證密鑰產生方 法。傳統(tǒng)的公鑰系統(tǒng)中，用戶的私鑰可以自己產生或由一個認證機構產生，然 后，生成相應的公鑰，這個公鑰是一個隨機的字符串， 一般不容易記憶；同時 相應的公鑰需要一個認證機構來認證該公鑰的有效性。因此，帶來的問題是 當驗證簽名時，驗證者首先需要公鑰的有效性，然后，再利用該公鑰來驗證簽 名的有效性。顯然，不適合目前流行的低計算、低計算的移動設備。本發(fā)明中
簽名實體的私鑰只能在認證授權機構的幫助下才能完成。具體如下產生第一
循環(huán)群和第二循環(huán)群，選出一個非退化的雙線性映射，使得由第一循環(huán)群中的 兩個元素能夠得到第二循環(huán)群中的一個元素。選出第一循環(huán)群的生成元，并產
生第二循環(huán)群的生成元。隨機選取剩余類Zq中一個的元素，生成認證授權機構 的密鑰。簽名實體在剩余類Zq中隨機選擇一個數(shù)作為部分私鑰，并產生相應的 部分公鑰，認證授權機構利用它的私鑰、簽名實體的身份和第一，第二哈希函 數(shù)，生成簽名實體的另外的部分私鑰，最后，簽名實體可以將兩部分密鑰合在 一起，產生簽名密鑰。本發(fā)明的內容之三，提出了一種有效的基于橢圓曲線的自認證簽名的方 法。具體如下產生第一循環(huán)群和第二循環(huán)群，選出一個非退化的雙線性映射， 使得由第一循環(huán)群中的兩個元素能夠得到第二循環(huán)群中的一個元素。選出第一 循環(huán)群的生成元，并產生第二循環(huán)群的生成元。隨機選取剩余類Zq中一個的元 素，生成認證授權機構的密鑰。簽名實體選取的部分私鑰，產生相應的部分公 鑰，認證授權機構利用它的私鑰、用戶的身份和第一，第二哈希函數(shù)，生成簽 名實體的另外的部分私鑰。簽名實體利用簽名私鑰，選擇隨機數(shù)、利用哈希函 數(shù)和自己的身份與認證授權機構的公鑰來對消息進行簽名。自認證簽名可以通 過非退化的雙線性映射，認證授權機構的公鑰和簽名實體的身份，以及哈希函 數(shù)來完成簽名的驗證。
本發(fā)明的內容之四，提出了一種有效的基于橢圓曲線的，聚合的自認證簽 名方法。簽名實體利用簽名密鑰對不用的消息進行簽名，然后，把這些不同的 消息簽名聚合起來，生成一個聚合簽名。然后，該聚合簽名可以通過非退化的 雙線性映射，認證授權機構的公鑰和簽名實體的身份，及選定的哈希函數(shù)來完 成簽名的驗證。
本發(fā)明的內容之五，提出了一種基于橢圓曲線的在/離線自認證的簽名方 法，能夠在/離線狀態(tài)下，為簽名實體產生消息簽名。利用預先選定的函數(shù)，認 證機構或者簽名實體的輸入生成消息函數(shù)值，并且利用消息函數(shù)值和簽名實體 的私鑰，認證授權機構的公鑰生成簽名實體的自認證簽名；在線時間通常比簽 名時間更重要，離線狀態(tài)下，隨機的選擇秘密信息和一個隨機數(shù)，隨機選擇一 條消息，利用預先選定的函數(shù)，簽名實體的私鑰生成一個離線簽名，在以后的 處理中，該處理器能夠在在線狀態(tài)下，能夠利用識別出與所給消息相匹配的簽 名中所包含的隨機數(shù)來認證。因此，需要一種基于橢圓曲線的在/離線自認證的 簽名方法，來完成對消息簽名的簽名方法。


圖l是一張流程圖，該圖介紹了本發(fā)明的內容之二的操作過程，描述了如
何產生一種有效的基于橢圓曲線的自認證密鑰的方法；
圖2是一張流程圖，該圖介紹了本發(fā)明的內容之三的操作過程，描述了如
何產生一種有效的基于橢圓曲線的， 一個簽名實體對一條消息進行自認證簽名
的方法；
圖3是一張流程圖，該圖介紹了本發(fā)明的內容之四的操作過程，描述了如 何產生一種有效的基于橢圓曲線的，自認證的聚合簽名方法；
圖4是一張流程圖，該圖介紹了本發(fā)明的內容之五的操作過程，描述了如 何產生一種基于橢圓曲線的在/離線自認證的簽名方法；
圖5是本發(fā)明的簽名裝置的方框圖。
具體實施例方式
本發(fā)明所提出的基于橢圓曲線的自認證的簽名方法，能夠提供安全，快速， 簡潔而且有效的簽名方法，通過對簽名實體的簽名密鑰設置，防止了簽名權利 的外延。本發(fā)明提出的基于橢圓曲線的自認證的簽名方法，根據(jù)不同的簽名實 體，簽名消息，可以擴展到滿足一對多的聚合簽名，即一個簽名實體對不同消 息進行自認證簽名，然后，把這些消息簽名聚合成一個簽名的方法；為了提高 在線簽名的速度，給出了一種在/離線自認證消息簽名方法。
本發(fā)明的基于橢圓曲線的自認證的簽名方法，在用戶的部分私鑰產生中需 要一個認證授權機構CA。簽名實體在產生簽名密鑰的過程中，與該認證授權機 構交互傳遞，簽名實體選擇一個剩余類Zp中的隨機數(shù)作為自己的部分簽名私 鑰，認證授權機構利用簽名實體的身份，部分公鑰等特殊信息，產生簽名實體 的另外部分簽名私鑰，簽名實體將兩部分私鑰結合，得到有效的簽名私鑰。本 發(fā)明中的認證授權機構不在是一個完全信任機構，簽名實體的私鑰不再有它完 全產生，它也不能偽造簽名實體的簽名。本發(fā)明提出的基于橢圓曲線的自認證的簽名方法包括4個步驟建立模型， 密鑰產生，簽名，以及驗證。離線狀態(tài)下的簽名步驟則還需要選取隨機信息和 識別匹配數(shù)兩個步驟。
在建立模型中，該算法輸入安全參數(shù)ik，認證授權機構CA選取秘密參數(shù)作 為私鑰，并用來產生公共參數(shù)params,包括第一循環(huán)群生成器，哈希函數(shù)，雙 線性映射函數(shù)和公鑰。私鑰的產生只有認證機構CA知道，參數(shù)params是公開的。
在密鑰產生中，簽名實體選取自己的部分私鑰，并生成相應的部分公鑰。 簽名實體將身份信息，部分公鑰傳遞給認證授權機構，認證授權機構利用哈希 函數(shù)，經過處理，得到簽名實體的另一部分私鑰，傳遞給簽名實體，通過驗證， 簽名實體確定私鑰的真實性，產生簽名私鑰。
在簽名過程中，簽名實體選取一秘密參數(shù)，利用第一循環(huán)群生成器，自己 的身份信息，公共參數(shù)，哈希函數(shù)產生部分簽名，利用該部分簽名和消息得到 消息函數(shù)，再簽名私鑰對消息函數(shù)簽名得到另一部分簽名，將兩部分簽名合產 生簽名消息的自認證簽名。
在驗證過程中，利用哈希函數(shù)值，對公共參數(shù)params和消息進行處理，得 到消息函數(shù)值。驗證生成參數(shù)，消息函數(shù)值，自認證簽名等是否滿足驗證等式， 得到結論"接受"(簽名有效)或者"拒絕"(簽名無效)。
橢圓曲線
本發(fā)明的高效性是基于橢圓曲線上的運算簡潔性。本發(fā)明提出的簽名方法 是基于橢圓曲線的，利用橢圓曲線上的對，比如Tate對和Weil對，來進行運算。 本發(fā)明利用兩個階為大素數(shù)q的循環(huán)群， 一個是橢圓曲線或阿貝爾族上點的加 法群G"它的生成器是g;另一個是有限域上的乘法群G"兩個循環(huán)群之間存 在一種雙線性映射函數(shù)"GixGi—《，將加法群Gi中的兩個元素映射到乘法群《
中的一個元素。要求該函數(shù)滿足首先，雙線性的，對于G'中的元素U， V，整 數(shù)a， b，滿足《力^(",v";其次，非退化的，即對于G,中的元素g，滿足々,力"；再次，可計算的，對于G'中的元素U， V，存在有效的算法計算""'"。除了上面 的三個要求，該函數(shù)還應該是對稱的，即""，"^""、橢圓曲線上點的運算， 橫縱坐標互相交換的兩點，滿足對稱性，在橢圓曲線上得到的映射點是相同的。
強的Diffie-Hellman +可計算的Diffie-Hellman假設。
本發(fā)明的安全性基于強的Diffie-Hellman假設-strong Diffie-Hellman(SDH) assumption和可計算的Diffie-Hellman假設-Computational Diffie曙Hellman(CDH) assumption,其中，前者定義在W，GJ中，& ， &分別是^和《的生成器，給出
一個q+2元數(shù)組化，&，《…，gO，對于未知整數(shù)c，求出^^，。；后者定義在G'上， g'是^的生成器，給出g" g。對于未知整數(shù)x， y，求出^。對于上面的兩種 假設，本發(fā)明提出了 一種新的假設強的Diffie-Hellman假設+可計算的 Diffie-Hellman假設。該假設在困難性上，介于強的Diffie-Hellman假設和可計算 的Diffie-Hellman假設之間。該假設同樣定義在G'上，&是《的生成器，給出一
個q元數(shù)組^，g'"…，^—、和2元數(shù)組^，g。，對于整數(shù)c， r，求出((《^，。。如果強 的Diffie-Hellman +可計算的^伍6-1^1111^11假設可以在多項式時間內解決，令 q-2，則該假設轉化為可計算的Diffie-Hdlman假設，說明可以在多項式時間內 解決可計算的Diffie-HeUman假設。實際上可計算的Diffie-Hellman假設等價于求 逆運算，在多項式時間內是不能解決的。因此，提出的強的Diffie-Hdlman+可 計算的Diffie-Hellman假設也同樣不能在多項式時間內，以不可忽略的概率解 決。
如上所述，提出的強的Diffie-Hellman+可計算的Diffie-Hellman假設，定義
在循環(huán)加群Gi上，gi是Gi的生成器，輸入一個q元數(shù)組^，g'"…，gf、和2元數(shù)組
W，g。，對于整數(shù)c， r，輸出((&'^，。。輸出結果的概率，決定于g'， c， r選取 的任意性，以及概率算法A。如果一個概率算A法能夠在多項式時間輸出所要 的值，則該算法能以不可忽略的概率解決強的Diffie-Hellman +可計算的Diffie-Hellman假設。但提出的假設，本質上等價于可計算的Diffie-Hellman假設， 而可計算的Diffie-Hellman假設的困難性基于離散對數(shù)的求逆問題。離散對數(shù)的
求逆問題，定義在循環(huán)加群Gi上，g'是G，的生成器，輸入gi'，對于未知整數(shù)x， 輸出x。在任意的多項式時間內，不能以不可忽略的概率解決離散對數(shù)的求逆 問題，能夠得出，不能以不可忽略的概率在多項式時間內解決可計算的 Diffie-Hellman假設，因此不能以不可忽略的概率在多項式時間內解決強的 Diffie-Hellman +可計算的01卩66- ^11!^11假設。該假設是構造基于橢圓曲線的自 認證簽名方案的理論基礎。由于該假設的困難性，本發(fā)明提出的基于橢圓曲線的 自認證簽名方案是安全的。
基于橢圓曲線的自認證密鑰產生方法
在傳統(tǒng)的PKI框架下，簽名私鑰的選取，通常情況下，是簽名實體秘密選 取，然后生成相應的公鑰，并由一個認證機構對該公鑰進行認證，或者，由某 個認證授權機構產生一對公/私鑰，把私鑰返回給用戶，并對公鑰進行認證。這 種私鑰產生方法給公鑰管理以及簽名的驗證帶來一系列的麻煩。在基于身份的 體制下，用戶的私鑰是由一個可信機構來產生，因而，存在著密鑰托管問題。 為了解決傳統(tǒng)公鑰體制和基于身份公鑰體制下，密鑰產生所帶來的問題，我們 研究自認證的密鑰產生方法，簽名實體只能產生部分私鑰，而另一部分，由認 證授權機構對用戶的身份和部分公鑰產生一個BBS簽名作為部分私鑰，最后， 將兩部分私鑰結合在一起，構成簽名私鑰。簽名實體無法單獨產生有效的簽名 私鑰，認證授權機構的引入，將使得用戶的公鑰在簽名驗證時以隱式形式進行 研究。
下面結合圖l來說明基于橢圓曲線的自認證簽名密鑰的具體產生方法。圖l 給出的是一張流程圖，描述了包括簽名密鑰產生及驗證等各個步驟。簽名實 體的信息，作為哈希函數(shù)的輸入，傳遞給認證授權機構，產生部分簽名私鑰。 本方法的核心是步驟106和步驟110:步驟106中，簽名實體任意選取部分私鑰；步驟110中，認證授權機構生成簽名實體的另一部分私鑰，兩部分結合產生簽 名私鑰。
步驟101中，產生兩個階數(shù)同為大素數(shù)q的，第一循環(huán)加群G'和第二循環(huán)乘
群G"
步驟102中，選取G'的生成元為g;
步驟103中，選取一個非退化的雙線性映射函數(shù)e，可以將Gi中的兩個元素 映射到《的元素；
步驟104中，認證授權機構選取秘密整數(shù)"作為其私鑰；步驟105中，認證
授權機構產生其公鑰^=^;
步驟106中，簽名實體R任意選取整數(shù)^"A…，，i-l，2，)作為其部分私鑰， 不同的簽名實體選取的整數(shù)各不相同，不同的簽名過程，同一簽名實體選取的 整數(shù)也不同；
步驟107中，簽名實體產生部分公鑰^C^^^g力，部分簽名私鑰的不同， 使得部分公鑰也不相同；
步驟108中，選取第一，第二哈希函數(shù)，第一哈希函數(shù)能夠由一串二進制 數(shù)產生第一循環(huán)群中的元素，第二哈希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)；
步驟109中，第一哈希函數(shù)巧由認證授權機構的公鑰^，簽名實體的身份 /D'，部分公鑰e組成的一串二進制數(shù)產生G'中的元素^。-A(^^，^'^);
步驟110中，利用步驟109中得到的元素，認證授權機構的私鑰"，第二哈
希函數(shù)仏產生簽名實體的另一部分私鑰<formula>formula see original document page 20</formula>認證授權機構將該私鑰 傳給簽名實體，后者將兩部分私鑰結合生成簽名私鑰"，W ;
步驟111中，利用雙線性對映射e，驗證等式<formula>formula see original document page 20</formula>滿足 驗證等式的私鑰對，簽名實體認為是有效的，接受，否則，拒絕。 基于橢圓曲線的自認證簽名的方法基于橢圓曲線的自認證簽名，就是一個簽名實體對消息簽名。本發(fā)明提出 的方法，能夠結合橢圓曲線的運算的高效性，簡單的認證，解決了密鑰托管問 題和公鑰復雜管理問題，同時，本方法的安全性和可行性是基于強的
Diffie-Hellman +可計算的01(56-1^111^11假設的困難性。
下面結合圖2來說明基于橢圓曲線的自認證簽名的生成方法。圖2給出的是 一張流程圖，描述了自認證簽名產生的具體步驟。本方法的核心是步驟210和 步驟213:步驟210，簽名實體將選擇的部分私鑰和由認證授權機構產生的另一 部分私鑰結合，產生簽名私鑰；步驟213，簽名實體利用簽名私鑰，消息的第 三哈希函數(shù)值，產生自認證的簽名。
步驟201，產生兩個的循環(huán)群，第一個為加群G'，第二個為乘群《，階數(shù) 都是大素數(shù)q;
步驟202，選取Gi的生成元g，然后再隨機選擇群G'中的兩個元素^，^e^作 為公開參數(shù)；
步驟203，選取一個非退化的雙線性映射e，可以將G'中的兩個元素映射到G2
中；
步驟204，認證授權機構選取秘密整數(shù)"作為其私鑰。
步驟205，認證授權機構利用其私鑰產生其公鑰^ =gn;
步驟206，簽名實體"'任意選取整數(shù)W-"…，，i^,2,)作為其部分私鑰，不 同的簽名實體選取的整數(shù)各不相同，不同的簽名過程，同一簽名實體選取的私 鑰也不同；
步驟207，簽名實體產生部分公鑰^Cg"^^g^，部分簽名私鑰的不同， 使得部分公鑰也不相同；
步驟208，選取三個哈希函數(shù)，第一哈希函數(shù)能夠由一串二進制數(shù)產生第 一循環(huán)群中的元素，第二哈希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)，第三個哈 希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)；步驟209中，第一哈希函數(shù)w'由認證授權機構的公鑰&，簽名實體的身份 /Z)-，部分公鑰《組成的一串二進制數(shù)產生^中的元素 =//1(尸 //),^);
步驟210，利用步驟209得到的元素，認證授權機構的私鑰"，第二哈希函
數(shù)^產生簽名實體的另一部分私鑰"'=W^("^')，認證授權機構將該私鑰傳給 簽名實體，后者將兩部分私鑰結合生成簽名私鑰"，"入-
步驟211，利用雙線性對映射e，驗證等式e(《，^gW"'")X^g)是否成立， 如果等式成立，簽名實體認為是有效的，接受，否則，拒絕；
步驟212和213，簽名實體分三層來進行簽名。第一層，簽名實體隨機選取 一整數(shù)s，簽名實體利用認證授權機構公鑰&，第二哈希函數(shù)A，簽名實體身
份信息氣簽名實體的部分公鑰《，生成前簽名^^y";第二層，簽名 實體，利用前簽名、簽名消息M，簽名實體的部分公鑰、生成消息的哈希 值^聯(lián)'，A/，/^;第三層，簽名實體利用消息哈希值m，利用簽名私鑰"力，第
一和第二哈希函數(shù)A， A，簽名實體身份信息化，簽名實體的部分公鑰《，生 成前簽名《《'"^(^')r，將前簽名和后簽名合在一起，生成消息M的簽名
步驟214，任意的驗證實體，可以通過簽名實體的公鑰、身份信息嗎， 簽名消息M，來驗證簽名5的真實性。首先，計算^柳,力和^-巧^，嗎^);
其次，驗證等式^y'),《)-^，。瓶,(w，)是否成立，成立，則認
為自認證簽名有效，接受，否則，拒絕。 基于橢圓曲線的自認證聚合簽名的方法
基于橢圓曲線的自認證聚合簽名，就是簽名實體對不同消息的簽名，然后 將這些不同的消息簽名聚合成一個簽名的方法。在簽名的過程，類似于上面的 自認證簽名方法，簽名實體首先利用自己的簽名密鑰對不同的消息進行簽名， 然后，通過聚合方法把這些不同消息的簽名聚合成一個長度相對短的簽名；在驗證時，驗證者只要對聚合后的簽名有效進行驗證，如果成立就意味著這些不 同的簽名是有效的。從而，在簽名的長度和驗證的計算量上有較大的縮減。
下面結合圖3來說明基于橢圓曲線的自認證聚合簽名的生成方法。圖3給出 的是一張流圖，描述了簽名實體對消息的自認證聚合簽名產生的具體步驟。本 方法的核心是步驟314，利用簽名實體對不同的消息生成自認i疋的簽名，將這 些消息簽名結合產成一個自認證聚合簽名。
步驟301，產生兩個的循環(huán)群，第一個為加群G'，第二個為乘群《，階數(shù) 都是大素數(shù)q;
步驟302，選取G'的生成元g，然后再隨機選擇群G'中的兩個元素^^eG"乍 為公開參數(shù)
步驟303，選取一個非退化的雙線性函數(shù)e，可以將G'中的兩個元素映射到《
中；
步驟304，認證授權機構選取秘密整數(shù)"作為其私鑰，在不同的簽名過程中， 選取的秘密數(shù)不同；
步驟305 ，認證授權機構產生其公鑰& =,;
步驟306，簽名實體任意選取整數(shù)W"^，…，"M乍為其部分私鑰，不同的簽名 實體選取的整數(shù)各不相同，不同的簽名過程，同一簽名實體選取的私鑰也不同；
步驟307，簽名實體產生部分公鑰^W^^，^-s^，部分簽名私鑰的不同， 使得部分公鑰也不相同；
步驟308，選取三個哈希函數(shù)，第一哈希函數(shù)能夠由一串二進制數(shù)產生第 一循環(huán)群中的元素，第二哈希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)，第三個哈 希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)；
步驟309，第一哈希函數(shù)巧由認證授權機構的公鑰^，簽名實體的身份嗎，
部分公鑰S組成的一串二進制數(shù)產生G'中的元素^。-A(P"，m'^);步驟310，利用步驟309中得到的元素，認證授權機構的私鑰"，第二哈希
函數(shù)^產生簽名實體的另一部分私鑰《，認證授權機構將該私鑰傳 給簽名實體，后者將兩部分私鑰結合生成簽名私鑰"，W ;
步驟3U，利用函數(shù)e，驗證等式e"，^g—W2(/^')) = e(^^，如果等式驗證成 立，簽名實體認為是有效的，接受，否則，拒絕；
步驟312和313,聚合簽名的過程分為三層。第一層，簽名實體任意選取一 整數(shù)、簽名實體利用認證授權機構公鑰的&，第二哈希函數(shù)A，簽名實體身 份信息化，簽名實體的部分公鑰、生成前簽名^-(P"^"'^";第二層，簽 名實體利用前簽名&，簽名消息M。
簽名實體的部分公鑰《，生成消息的哈希值^-W(《)，M'，《)；第三層，簽 名實體利用消息哈希值"'，利用簽名私鑰"，W，第一和第二哈希函數(shù)w'， A，
簽名實體身份信息氣簽名實體的部分公鑰、生成后簽名^^^2^(^'))""'，
將前簽名和后簽名合在一起，生成消息^'的簽名《=(《'，《2);
步驟314，對于n個消息的簽名WA，…A)，其中滿足《=^，。。簽名實體
的聚合過程如下首先，計算S^'1，接著，對于 1，2，…， 簽名實體計
一 TT 5附'
算m,/Z(^M'^);最后，計算'2 。那么，所產生的聚合簽名就是WA)。
由此，我們可以看出，我們的聚合簽名長度僅僅是n個簽名長度的l/n。當驗證 者需要驗證該聚合簽名的有效性時，只需要驗證等式
e(PC(^')，^"^。"械，W"))是否成立。如果成立就意味這該聚合簽名
是有效的。從聚合簽名的驗證我們知道，該聚合簽名的驗證僅僅需要3個對 (pairing)計算和l個指數(shù)運算。驗證的計算量基本上與單個簽名的驗證相等。注 對計算是橢圓曲線中最耗時的計算。步驟315，任意的驗證實體，可以通過簽名實體的公鑰^，身份信息^，和 系統(tǒng)參數(shù)AA，來驗證簽名W，《)的真實性。具體驗證等式 e(PcZ(，，w"(;^)"^，W叫)是否成立，如果成立，則認為自認證聚合
簽名有效，接受，否則，拒絕。
基于橢圓曲線的在/離線自認證簽名方法
技術領域：
本發(fā)明的內容之五，提出了 一種基于橢圓曲線的在/離線自認證的簽名方法。 一般來說，簽名過程中，在線簽名要比離線簽名代價更大，帶寬的限制，計算 能力的限制，都對在線操作提出了更高的要求.，本方法能夠利用離線狀態(tài)完成 簽名的主要操作，在在線狀態(tài)下進行簡單的操作來完成消息的簽名，節(jié)省了在 線時間，提高了在線簽名的效率，并通過對所選取的與簽名消息匹配隨機數(shù)的 識別，驗證簽名的真實性。
下面結合圖4來說明基于橢圓曲線的在/離線自認證簽名的生成方法。圖4給 出的是一張流程圖，描述了在/離線狀態(tài)下產生自認證簽名的過程。本方法的核 心是步驟412和步驟和步驟414。
步驟412中，認證授權機構隨機的選擇秘密信息和一隨機數(shù)，利用預先選定 的函數(shù)，簽名實體的私鑰，生成一個離線簽名；步驟414中，在在線狀態(tài)下， 利用離線簽名，識別出與所給消息相匹配的簽名中所包含的隨機數(shù)，驗證簽名 的真實性。
步驟401，產生兩個的循環(huán)群，第一個為加群G"第二個為乘群《，階數(shù)都 是大素數(shù)q;
步驟402，選取^的生成元g，然后再隨機選擇群G'中的兩個元素、&e"作 為公開參數(shù)
步驟403，選取一個非退化的雙線性函數(shù)e，可以將G!中的兩個元素映射到G2
中；
步驟404，認證授權機構選取秘密整數(shù)"作為其私鑰；步驟405，認證授權機構產生其公鑰^=^;
步驟406，簽名實體任意選取整數(shù)W'、^，…，"M乍為其部分私鑰，不同的簽名
實體選取的整數(shù)各不相同，不同的簽名過程，同一簽名實體選取的私鑰也不同;
步驟407，簽名實體產生部分公鑰爪&=^，^=^、部分簽名私鑰的不同， 使得部分公鑰也不相同；
步驟408，選取三個哈希函數(shù)，第一哈希函數(shù)能夠由一串二進制數(shù)產生第一 循環(huán)群中的元素，第二哈希函數(shù)能夠由一串二進制數(shù)產生一整數(shù)，第三個哈希 函數(shù)能夠由一串二進制數(shù)產生一整數(shù)；
步驟409中，第一哈希函數(shù)巧由認證授權機構的公鑰&，簽名實體的身份^，
部分公鑰S組成的一串二進制數(shù)產生G中的元素^-A^"7A^);
步驟410中，利用步驟409中得到的元素，認證授權機構的私鑰"，第二哈
1
希函數(shù)&產生簽名實體的另一部分私鑰"'- W^2^")，認證授權機構將該私鑰 傳給簽名實體，后者將兩部分私鑰結合生成簽名私鑰"，"；
步驟4U，利用函數(shù)e，驗證等式"《，&g—""WXA)，g;)是否成立，如果等 式成立，簽名實體認為是有效的，接受，否則，拒絕；
步驟412，選取n和n'，并令簽名信息w'和M分別為M'， M = g"，簽名私 鑰"，"，以及隨機數(shù)。其中的信息m'不同于M;
步驟413，利用選取簽名私鑰進行離線簽名，分別生成前簽名《—^,(^，， 消息函數(shù)m =，',M'gv'。，以及后簽名《=(W(W)廣；
步驟414，簽名實體需要找出一隨機數(shù)r，要使得^g'、嶺 即s"""g，，
可以在在線狀態(tài)下的求出""7，將得到的隨機數(shù)r，消息M，簽名一起傳遞 給簽名驗證實體。步驟415中，首先，計算附'=/^1 ^)和/^//,0^,/0,";其次，驗證等式
《,，")，w-^，o啦，W)r是否成立，成立，則認為自認證簽名有
效，接受，否則，拒絕。其中的步驟414，僅僅需要簡單加法與乘法，所以計 算效率非常高。
圖5表示了本發(fā)明的簽名和驗證簽名裝置。
以上所述，僅為本發(fā)明較佳的具體實施方式
，但本發(fā)明的保護范圍并不局 限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內，可輕易 想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護 范圍應該以權利要求的保護范圍為準。
權利要求
1、一種基于橢圓曲線的自認證私鑰產生及驗證方法，一個公認的認證機構CA，和一個簽名實體之間進行的，其中的簽名實體Ui(i＝1，2，…，n)是一個集合，簽名實體對應的身份信息集合為IDi(i＝1，2，…，n)，其特征在于該方案具體內容如下在橢圓曲線上，選取第一循環(huán)群G1和第二循環(huán)群G2(階數(shù)均為大素數(shù)p)；選取一個非退化的雙線性對映射e，滿足能夠由G1中的兩個元素映射得到G2中的元素；選取第一循環(huán)群G1的生成元g；隨機選取模p的剩余類Zp中的一個元素α作為CA的私鑰，并且產生PCA＝gα作為CA公鑰；隨機選取模p的剩余類Zp中的一個元素xi(i＝1，2，…，n)作為Ui的部分私鑰，并且產生作為簽名實體Ui的部分公鑰；選取第一哈希函數(shù)H1，能由第一串二進制數(shù)產生第一循環(huán)群G1中的一個元素；選取第二哈希函數(shù)H2，能由第二串二進制數(shù)產生剩余類Zp中的一個元素；產生一個第一哈希函數(shù)值h0＝H1(PCA，IDi，Pi)，并利用它產生生成的簽名實體Ui的私鑰為(xi，di，其中(i＝1，2，...，n)；驗證私鑰的真實性，是否接受決定于下面的驗證過程，步驟為確認
2、 根據(jù)權利要求l所述的方法，其特征在于所述第一循環(huán)群^是超奇異橢圓曲線或阿貝爾族上的點的加法群，所述第二循環(huán)群《則是有限域上的乘法群；所述映射e是一種可行的雙線性對映射。
3、 根據(jù)權利要求l-2任一項所述的方法，其特征在于， 秘密選取認證機構0八的私鑰"和簽名實體"'的私鑰^,(1=1，2,...,11)，產生& =,和= Z' A = f)作為各自的公鑰和部分公鑰；函數(shù)值^是利用^，化力的輸入，由第一哈希函數(shù)巧產生的； 簽名實體的部分私鑰《是利用"A，d〃^的輸入產生的，并且，簽名實體"的私鑰還包括確認eW，尸c^^"'叫)=e(心力。
4、 一種基于橢圓曲線的，產生關于消息M的自認證簽名Sig的方法以及驗證 方法，該消息M是由一個簽名實體來完成簽名，最后，任何人可以對該簽名Sig 進行驗證，其特征在于，具體內容包括選取第一循環(huán)群Gi和第二循環(huán)群G2 (階數(shù)均為大素數(shù)p);選取一個非退化的雙線性對映射e，滿足能夠由Gi中的兩個元素運算得到《 中的元素；選取第一循環(huán)群G'的生成元g和兩個隨機元素&，、隨機選取模p的剩余類zp中的一個元素"作為CA的私鑰，并且產生& = 作為CA公鑰；隨機選取模p的剩余類Zp中的一個元素W"W，…，"M乍為"'的部分私鑰，并且產生爪A = Z' A = g"—'〕作為簽名實體"'的部分公鑰；選取第一哈希函數(shù)《，.能由第一串二進制數(shù)產生第一循環(huán)群G，中的一個元素；選取第二哈希函數(shù)仏，能由第二串二進制數(shù)產生剩余類Zp中的一個元素； 選取第三哈希函數(shù)H，能由第三串二進制數(shù)產生剩余類Zp中的一個元素；產生一個第一哈希函數(shù)值、-A(^，嗎，。，并利用它產生《=/^ ;生成簽名實體"'的私鑰為"，化其中^l,2，…,n);為了對消息M進行簽名，簽名實體隨機選取模p的剩余類；中的一個元素s，并通過下面算法來計算消息M的簽名；KAV"r， ipy'"，其中最后，生成消息M的自認證的簽名為Sig-W，W;為了驗證消息M的有效性，任何人可以通過檢査簽名sig=(《，W是否滿足下面等式通過確認^^,'，^ = 一。，。 ^2(^'))、驗證自認證簽名 Sig 2)。
5、根據(jù)權利要求4所述的方法，其特征在于 所述第一循環(huán)群G'是超奇異橢圓曲線或阿貝爾族上的點的加法群，所述第 二循環(huán)群G2則是有限域上的乘法群；映射e是一種可行的單向雙線性對映射。
6、 根據(jù)權利要求4二5任一項所述的方法，其特征在于秘密選取認證機構0八的私鑰《和簽名實體"的私鑰《(1=1，2，,..，11)，產生&=和《"==,')分別作為各自的公鑰和部分公鑰。
7、 根據(jù)權利要求4-6任一項所述的方法，其中 函數(shù)值^是利用^，嗎力的輸入，w'產生的； 簽名實體的部分私鑰《是利用^，"，^"的輸入產生的，并且，簽名實體"'私鑰(^)還包括確認《,^g"2,')) = #。，g);一部分簽名^是利用秘密選取的簽名實體"'的私有信息s，第二哈希函數(shù)A，以及認證機構的公鑰&作為輸入，由運算^^,(，y得到的；函數(shù)值m是利用消息M，簽名實體的部分公鑰《，部分簽名《，以及第三哈 希函數(shù)作為輸入，運算^^辨《'風。產生的；另一部分簽名《是利用秘密選取的簽名實體"'的私有信息s，私鑰"，《)，第二哈希函數(shù)A，函數(shù)值m，以及函數(shù)值^作為輸入，《^(v^('^r產生的，.消息M的自認證簽名是S^W，W ;通過確認e(尸C""") a) = 一。，/x《a《2(""):t來驗證簽名Sig 2)。
8、 一種采用權利要求l-7中任一項方法的裝置，包括密鑰生成器，簽名器，和簽名驗證器，用戶使用所述密鑰生成器生成公鑰Pu，私鑰du及Xu，公布 其公鑰和系統(tǒng)參數(shù)，使用所述簽名器利用私鑰對消息M進行簽名。
全文摘要
本發(fā)明公開了一種基于橢圓曲線的自認證簽名方法及其拓展的簽名方法，以及簽名的驗證過程。認證授權機構產生簽名實體的部分簽名私鑰，簽名實體利用自己選取的部分私鑰，結合接收的認證授權機構的私鑰，生成簽名私鑰。利用橢圓曲線，提高運算效率，并且提出了基于橢圓曲線的1-1自認證簽名方法，自認證聚合簽名方法，以及離線的狀態(tài)下生成自認證簽名的方法，這幾種方法的安全性基于提出的SDH+CDH假設。提出的若干方法不僅能夠滿足簽名協(xié)議的安全要求，而且在一定程度上能夠提高簽名效率，滿足某些特殊情況要求。
文檔編號H04L9/08GK101547099SQ20091008318
公開日2009年9月30日 申請日期2009年5月7日 優(yōu)先權日2009年5月7日
發(fā)明者張鍵紅 申請人:張鍵紅