[发明专利]非授权的基于无证书的强指定验证者签名体制

说明书

本发明公开了一种满足非授权性质的基于无证书的强指定验证者签名体制。其特征在于在构造中利用了无证书密码体制和零知识的用户身份认证技术，使其在效率和安全性方面分别优于现有的基于公钥证书的方案和基于身份的方案，同时使得发明具备良好的非授权性。本发明共有以下八个步骤：初始化、部分私钥生成、秘密值设置、私钥设置、公钥设置、签名生成、签名验证、签名副本生成。

技术领域

本发明涉及密码学领域，具体讲是涉及一种非授权的基于无证书的强指定验证者签名体制的构造方法。

背景技术

在1996年，Jakobsson等人首次提出指定验证者签名的概念。指定验证者签名和传统的数字签名的最大区别就是不能进行公开验证，而是只有签名者指定的某个验证者能够对签名进行验证操作，其他第三方都没有能力去验证签名的正确性，其原因就是指定的验证者可以生成对第三方来说和签名者生成的签名不可区分的模拟签名副本。指定验证者签名可以在一定程度上保护签名者的隐私，正因如此，指定验证者签名经常被用于电子投票、电子投标以及软件销售许可等实际场景中。最初标准的指定验证者签名所必需的安全属性有不可伪造性、非传递性和签名者身份隐私性。但在2005年，Limppa等人提出了授权攻击这一新的攻击方法，使得很多签名方案都因为不能抵抗该攻击模型而变得不安全。直到2012年和2013年，Tian等人分别提出一个基于椭圆曲线的强指定验证者签名方案和一个基于身份的强指定验证者签名方案，这两个方案都结合了Schnorr数字签名技术和零知识的用户身份认证技术，被证明是目前为止唯二的可以抵抗授权攻击的签名方案。

另外，现有的指定验证者签名方案大多是基于公钥证书和基于身份的。基于公钥证书的方案由于需要证书管理使得方案并不高效，而基于身份的方案由于密钥托管问题则不够安全。在2003年，Al-Riyami等人提出无证书密码学，在该体制中不涉及公钥证书，且用户的完整私钥的生成被分为两部分，一部分是由密钥生成中心为用户生成并托管，另一部分由用户自己生成并保存。这样，既减少了证书管理工作提高了效率，又提高了方案的安全性。在2006年，Huang等人首次提出无证书的指定验证者签名方案，但之后被证明不能抵抗恶意密钥生成中心攻击和授权攻击。随后又出现了几个无证书的指定验证者签名方案，也都没有很好地解决方案易遭受授权攻击的问题。

发明内容

为了克服上述现有技术的不足，本发明提供了一种满足非授权性质的基于无证书的强指定验证者签名方案。

本发明所采用的技术方案是：在对用户进行密钥分配的方式上，本发明采用无证书密码学的方法。无证书密码学没有公钥证书的参与，从而大大减少了证书管理上的资源消耗。同时，在无证书密码学中，用户的完整密钥生成被分成两部分，一部分由用户自身生成，另一部分则由密钥生成中心帮用户生成，这样也解决了基于身份密码学的密钥托管问题。为使得指定验证者签名能够抵抗授权攻击，本发明在构造中结合了标准DSA签名和零知识的用户身份认证方法，避免了过去方案中因使用的公共参数值泄露而引起的授权攻击。

与现有技术相比，本发明的有益效果是采用无证书密码体制来生成用户公私钥对，避免了基于证书密码学和基于身份密码学的先天不足带来的低效性和不安全性，同时构造本发明时利用零知识的用户身份认证技术，避免了出现导致方案授权性的公共参数值，从而使发明具备了非授权性。

具体实施方式

本发明实施方式包含以下八个算法。

(1)初始化：假设p是一个大素数，F_p是一个有限域，在域中随机选择a，b∈_RF_p两个元素来定义一个抽象的椭圆曲线E。选取椭圆曲线上的一个点P∈_RE来作为以q为阶的群G的生成元。另外，定义三个安全的抗碰撞哈希函数：和得到的系统参数sp即为(F_p，a，b，P，q，H₁，H₂，H₃)，密钥生成中心随机选择作为系统主密钥并保持它的机密性。