[发明专利]利用双线性映射的签名方案

说明书

本申请是申请号为03804078.6、申请日为2003年4月15日、发 明名称为“利用双线性映射的签名方案”的发明专利申请的分案申请。

相关申请

申请人在此依据35 U.S.C§119(e)要求获得临时美国专利申请 60/372668号的优先权，所述的临时申请于2002年4月15日提交，并 通过引用包括在本申请中。

技术领域

本发明主要涉及密码技术以及通过计算机网络或通过其他类型 的系统与设备进行的保密通信，并尤其涉及在使用公共密钥加密技术 的系统中用来产生及验证通信签名的方案。

背景技术

一般而言，在使用公共密钥加密术的系统中，每一方都与一个私 有密钥以及一个公共密钥相关联。公共密钥是公开已知的，或是可以 通过认证授权而获取的。要签署一条消息，签署人就会使用它的私有 密钥。由于签署人的私有密钥与公共密钥是相关的，校验器就可以利 用签署人的公共密钥来验证签名。由于签署人的私有密钥仅为签署人 所知(也可能为私有密钥生成器或PKG所知)，因此第三方就不能 伪造签署人的签名。

本发明的各种实施方式都与基于身份的签名方案相兼容。粗略地 说来，基于身份的签名方案是公共密钥方案，在这类方案中，一个实 体的公共密钥是从与该实体的身份有关的信息中得到的。例如，身份 信息可以是个人信息(即姓名、地址、电子邮件地址等等)或是计算 机信息(即IP地址等)。另外，身份信息不仅包括与实体身份严格相 关的信息，还包括广泛的可用信息，如时间或日期。也就是说，身份 信息概念的重要性不在于它与实体身份的严格关系，而在于任何希望 向实体发送加密消息的人都能轻易获得该信息。

在使用公共密钥加密术的基于身份的系统中，一个实体的私有密 钥由一个受委托方或逻辑进程产生并分配，所述的受委托方或逻辑进 程通常被称为私有密钥生成器(“PKG”)。PKG利用一个主密文信息 来产生私有密钥。由于一个实体的公共密钥可根据其身份推知，当Bob 想要验证来自Alice的签名时，他就不必从数据库中取回Alice的公共 密钥。Bob只需根据Alice的识别信息直接推知密钥。公共密钥数据 库就成为多余，认证授权(“CAs”)也是不必要的了。无需将Alice 的身份绑定到他的公共密钥上，因为他的身份即是他的公共密钥。

基于身份的系统的概念并不新鲜。它在A.Shamir的 “Identity-Based Cryptosystems and Signatures Schemes(基于身份的 加密系统与签名方案)”中就已被提出，该文发表于ADVANCES IN CRYPTOGRAPHY-CRYPTO’84，Lecture Notes in Computer Science 196(1984)，Springer，47-53。然而，可实际应用的基于身 份的签名方案至今仍未被找到。

公共密钥与基于身份的系统通过引入分级结构而得到了进一步 的扩展。例如，基于身份的方案中包括一个逻辑或实际的PKGs层次。 一个根PKG可以向其他PKGs发放私有密钥，而后者又可以向特定 域内的用户发放私有密钥。这样就使得校验器能够验证来自一名签署 人的签名，而无需在线查找该签署人的公共密钥或较低级别的公共参 数，即使校验器根本不在系统中，只要该校验器获得了根PKG的公 共参数即可。分级的基于身份的签名方案的另一个优点是损坏控制。 例如，一个域PKG的密文的泄漏并不会危及更高层次PKGs的密文， 也不会危及任何其他不是该被损害的域PKG的直接下级的PKGs的 密文。

尽管已知的公共密钥与基于身份的系统已经提供了用来产生及 验证数字签名的方案，但是这些已知的签名方案都有着显著的缺点。 例如，多签名方案并不能让多个签署人签署多个文档。能够让多个签 署人签署多个文档的多签名方案能进一步提高签名的效率。例如，这 样一种多签名可被用来压缩证书链。因此，需要一种允许多个签署人 一起签署多个文档的签名方案。