验证实体真实性或消息完整性的方法、系统、设备的制作方法

专利名称：验证实体真实性或消息完整性的方法、系统、设备的制作方法
技术领域：
本发明涉及验证实体真实性和/或消息的完整性和/或真实性的方法，系统，和设备。
发明人为Louis Guillou和JeanJacques Quisquater的专利EP 0 311470 B1描述了这种方法。此后将通过术语″GQ专利″或″GQ方法″表示他们的专利成果。此后术语″GQ2″，或″GQ2发明″或″GQ2技术″将被用来描述本发明。
根据GQ方法，一个被称为″委托机构″的实体为各个被称为″见证者″的实体分配一个身份并且计算其RSA签名。在定制过程中，委托机构为见证者指定一个身份和签名。其后，见证者声明″这是我的身份；我知道该身份的RSA签名″。见证者在不出示这个签名的情况下证明他知道其身份的RSA签名。通过委托机构分配的RSA公开鉴别密钥，一个被称为″控制者″的实体在没有获得其中的知识的情况下确定RSA签名对应于所声明的身份。使用GQ方法的机制在″不传送知识″的情况下运行。根据GQ方法，见证者不知道委托机构为大量身份签署的RSA私有密钥。
上述GQ技术利用了RSA技术。然而虽然RSA技术严重依赖模数n的因数分解，但正如在针对实现RSA技术的各种数字签名标准的所谓″乘法攻击″中可以看到的，这种依赖的不具等效性，并且实际上差别很大。
GQ2技术有双重目标一方面，是改进RSA技术的性能特性，另一方面是避免RSA技术的固有问题。有关GQ2私有密钥的知识相当于有关模数n的因数分解的知识。任何对三元组GQ2的攻击均导致对模数n的因数分解此时存在等效性。使用GQ2技术减少了签名或自认证实体以及控制者实体的工作负载。通过在安全和性能方面对因数分解问题的良好使用，GQ2技术避免了RSA技术的缺点。
GQ方法实现了包括512位或更多位数的数值取模计算。这些计算涉及具有基本相同的长度、高到以216+1为指数的幂的数值。但是尤其是在银行卡领域中，现有的微电子基础设施均使用没有算术协处理器的可自编程单片微处理器。涉及诸如GQ方法的方法中产生的多个算术应用的工作负载所需要的计算时间在某些情况下为使用银行卡支付其购买的客户带来不便。回顾以往，当试图增加支付卡的安全性时，银行机构提出了一个特别难以解决的问题。事实上，必须研究两个明显矛盾的问题一方面，通过使用更加冗长和独特的密钥增加安全性，另一方面，防止工作负载为用户带来过长的计算时间。由于还有必要考虑到现有基础设施和现有微处理器部件，这个问题变得尤其尖锐。
GQ2技术的目标是提供一个能够解决这个问题并且仍然增加了安全性的解决方案。
方法更具体地，本发明涉及一个为控制者实体验证下列内容的方法-一个实体的真实性和/或-与这个实体相关的消息M的完整性。
通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n，上述模数，上述私有和公开数值有以下类型的关系Gi.Qiv{1 mod n或Gi{Qivmod n其中v表示一个上述类型的公开指数v＝2k其中k是大于1的安全参数，上述m个公开数值Gi是少于f个素数p1，p2，…pf的m个基数g1，g2，…gm的平方gi2；通过满足下面的条件产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm。第一条件根据第一条件，各个等式xv{gi2mod n在以n为模的整数环中有x的解。
第二条件根据第二条件，在Gi{Qivmod n成立的情况下，在通过把Qi提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
根据第二条件，在Gi.Qiv{1 mod n成立的情况下，在通过把Qi模n的反置提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
这里应当注意，根据当前的符号表示，±gi表示数量gi和n-gi。第三条件根据第三条件，在2m个等式中间x2{gimod n(2)x2{-gimod n (3)其中至少有一个在以n为模的整数环中有x的解。
上述方法在下面定义的步骤中实现了被称作见证者的实体。上述见证者实体具有f个素数pi和/或m个基数gi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj)。
见证者计算以n为模数的整数环中的质问(commitment)R。通过以下操作计算各个质问-执行下列类型的运算R{rvmod n其中r是一个随机数值并且0＜r＜n，-或
**通过执行下列类型的运算Ri{rivmod pi其中ri是一个与素数pi相关的随机数值，其中0＜ri＜pi，各个ri属于一个随机数值集合{r1，r2，…rf}，**接着使用中国余数方法。
见证者接收一或多个质问(challenge)d。每个质问d包括m个被称作基本质问的整数di。根据各个质问d，见证者通过执行以下类型的运算计算一个应答D，-或者通过执行下列类型的运算D{r.Q1d1.Q2d2.…Qmdmmod n-或者**通过执行下列类型的运算Di{ri.Qi，1d1.Qi，2d2.…Qi，mdmmod pi**接着使用中国余数方法。
该方法使得应答D的数量与质问d和确认R一样多。每给数值R，d，D均构成一个被表示成{R，d，D}的三元组。证明一个实体的真实性的实例在一个实施例的第一变型中，基于本发明的方法被用来向一个被称为控制者的实体证明一个被称为证明者的实体的真实性。上述证明者实体包括见证者。上述证明者和控制者实体执行下列步骤·步骤1涉及确认R的操作每次见证者使用上述过程计算各个确认R。证明者向控制者发送所有或部分确认R。
·步骤2涉及质问d的操作在接收所有或部分确认R之后，控制者产生数量等于确认R的数量的质问d并且向证明者发送质问d。
·步骤3涉及应答D的操作见证者使用上述过程根据质问d计算应答D。
·步骤4涉及检查的操作证明者向控制者发送各个应答D。第一种情况证明者已经发送一部分确认R如果证明者已经发送一部分确认R，则控制者在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
控制者确定各个重构的确认R′还原出已经发送过来的所有或部分确认R。第二种情况证明者已经全部发送确认R如果证明者已经发送全部确认R，则控制者在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.证明消息的完整性的案例在一个实施例的能够与其第一变型配合使用的第二变型中，基于本发明的方法被用来为被称为控制者实体的实体证明与被称为证明者实体的实体相关的消息M的完整性。上述证明者实体包括见证者。
上述证明者和控制者实体执行下列步骤·步骤1涉及确认R的操作每次见证者使用上述过程计算各个确认R。
·步骤2涉及质问d的操作证明者使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R。证明者向控制者发送令牌T。在接收令牌T之后，控制者产生数量等于确认R的数量的质问d并且向证明者发送质问d。
·步骤3涉及应答D的操作见证者使用上述过程根据质问d计算应答D。
·步骤4涉及检查的操作证明者向控制者发送各个应答D。控制者在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者使用一个散列函数h重构令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′。接着控制者确定令牌T′与发送的令牌T相同。消息的数字签名及其真实性证明在基于本发明的一个实施例的能够与前面两个实施例配合使用的第三变型中，基于本发明的方法被用来通过一个被称为签名实体的实体产生消息M的数字签名。上述签名实体包含见证者。签名运算上述签名实体执行签名运算以便获得包括以下内容的已签名消息-消息M，-质问d和/或确认R，-应答D。
上述签名实体通过实现下列步骤执行签名运算步骤1涉及确认R的操作每次见证者使用上述过程计算各个确认R。
步骤2涉及质问d的操作签名实体使用一个散列函数h获得一个二进制序列，上述散列函数的参数包括消息M和各个确认R。签名实体从这个二进制序列中提取其数量等于确认R的数量的质问d。
*步骤3涉及应答D的操作见证者使用上述过程根据质问d计算应答D。检查运算为了验证消息M的真实性，一个被称作控制者的实体检查已签名消息。具有已签名消息的上述控制者实体通过执行如下步骤来完成检查运算，在控制者具有确认R，质问d，应答D的情况下如果控制者具有确认R，质问d，应答D，则控制者确定确认R，质问d和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者确定消息M，质问d和确认R满足散列函数d＝h(消息，R)在控制者具有质问d和应答D的情况下如果控制者具有质问d和应答D，控制者根据各个质问d和各个应答D重构满足以下类型的关系的确认R′R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者确定消息M和质问d满足散列函数D＝h(消息，R′)在控制者具有确认R和应答D的情况下如果控制者具有确认R和应答D，则控制者使用散列函数并且重构d′d＇＝h(消息，R).
接着控制者设备确定确认R，质问d′和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n.系统本发明还涉及被用来向控制者服务器验证下列内容的系统-一个实体的真实性和/或-与这个实体相关的消息M的完整性。
通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n，上述模数，上述私有和公开数值有以下类型的关系Gi.Qiv{1 mod n或Gi{Qivmod n其中v表示一个下述类型的公开指数v＝2k其中k是大于1的安全参数，上述m个公开数值Gi是少于f个素数p1，p2，…pf的m个不同基数g1，g2，…gm的平方gi2；产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm以满足下面的条件。第一条件根据第一条件，各个等式xv{gi2mod n(1)
可以被以n为模的整数环中的x求解。第二条件根据第二条件，在Gi{Qivmod n成立的情况下，在通过把Qi提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
根据第二条件，在Gi.Qiv{1 mod n成立的情况下，在通过把Qi模n的反置提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
这里应当指出，根据当前的符号表示，±gi表示数量gi和n-gi。第三条件根据第三条件，在2m个等式中间x2{gimod n(2)x2{gimod n(3)其中至少有一个可以被以n为模的整数环中的x求解。
上述系统包括一个见证者设备，尤其是被包含在诸如基于微处理器的银行卡形式的漫游对象中的设备。见证者设备包括一个存储器区段，上述存储器区段包含f个素数pi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj}。见证者设备还包括-随机数值产品装置，此后被称作见证者设备的随机数值产生装置，-计算装置，此后被称作见证者设备计算确认R的装置。
计算装置使得能够计算以n为模数的整数环中的确认R。通过以下方式计算各个确认执行下列类型的运算R{rvmod n其中r是随机数产生装置产生的随机数值，并且0＜r＜n；或者执行下列类型的运算Ri{rivmod pi其中ri是一个与素数pi相关的随机数值，其中0＜ri＜pi，各个ri属于一个由随机数值产生装置产生的随机数值集合{r1，r2，…rf}，并且接着使用中国余数方法。
见证者设备还包括-接收装置，此后被称作接收见证者设备的质问d的装置，上述接收装置接收一或多个质问d；每个质问d均包括m个此后被称作基本质问的整数di。
-计算装置，此后被称作计算见证者设备的应答D的装置，上述计算根据各个质问d计算以下类型的应答D完成下列类型的运算D{r.Q1d1.Q2d2.…Qmdmmod n或者，完成下列类型的运算Di{ri.Qi，1d1.Qi，2d2.…Qi，mdmmod pi并且接着使用中国余数方法。
见证者设备还包括发送一或多个确认R和一或多个应答D的发送装置。应答D的数量与质问d和确认R一样多，其中每组数值R，d，D构成一个被表示成{R，d，D}的三元组。证明一个实体的真实性的实例在实施例的第一变型中，基于本发明的系统被用来向一个被称为控制者的实体证明一个被称为证明者的实体的真实性。
上述系统包括一个与证明者实体相关的证明者设备。上述证明者设备通过互连装置与见证者设备互连。尤其可以采取漫游对象中的逻辑微电路的形式，例如基于微处理器的银行卡中的微处理器的形式。
上述系统还包括一个与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。上述控制者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过计算机通信网络连接到证明者设备。
上述系统被用来执行下列步骤步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。见证者设备包括通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。证明者设备还包括通过连接装置向控制者设备发送所有或部分确认R的发送装置，此后被称作证明者的发送装置。步骤2涉及质问d的操作控制者设备包括质问产生装置，该装置在接收所有或部分确认R之后产生数量等于确认R的数量的质问d。控制者设备还包括通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置。*步骤3涉及应答D的操作接收见证者设备的质问的装置通过互连装置接收来自证明者设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。*步骤4涉及检查的操作证明者的发送装置向控制者发送各个应答D。控制者设备还包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置。第一种情况证明者已经发送一部分确认R如果证明者的发送装置已经发送一部分确认R，则控制者的计算装置在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
控制者设备的比较装置将各个重构确认R′与接收的所有或部分确认R进行比较。第二种情况证明者已经全部发送确认R如果证明者的发送计算装置已经发送全部确认R，则控制者设备的计算装置和比较装置在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n.证明消息的完整性的实例在一个能够与第一变型实施例配合使用的第二变型实施例中，基于本发明的系统被用来向一个被称为控制者的实体证明与一个被称为证明者的实体相关的消息M的完整性。上述系统包括与证明者实体相关的证明者设备。上述证明者设备通过互连装置与见证者设备互连。尤其可以采取漫游对象中的逻辑微电路的形式，例如采取基于微处理器的银行卡中的微处理器的形式。上述系统还包括一个与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。上述控制者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到证明者设备。
上述系统被用来执行下列步骤步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。步骤2涉及质问d的操作证明者设备包括计算装置，此后被称作证明者的计算装置，计算装置使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R。证明者设备还包括通过连接装置向控制者设备发送各个令牌T的发送装置，此后被称为证明者设备的发送装置。控制者设备还具有质问产生装置，该装置在接收令牌T之后产生数量等于确认R的数量的质问d。控制者设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置。*步骤3涉及应答D的操作接收见证者设备的质问的装置通过互连装置接收来自证明者设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。*步骤4涉及检查的操作证明者的发送装置向控制者发送各个应答D。控制者设备还包括计算装置，此后被称作控制者设备的计算装置，上述计算装置在具有m个公开数值G1，G2，…Gm的情况下首先根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着使用一个散列函数h计算一个令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′，控制者设备还具有将计算的令牌T′与接收的令牌T相比较的比较装置，此后被称为控制者设备的比较装置。消息的数字签名及其真实性证明在一个基于本发明的实施例的能够与前两个实施例中的一个和/或另一个配合使用的第三变型中，基于本发明的系统被用来证明一个被称作签名实体的实体对一个此后被称为签名消息的消息M实施的数字签名。
已签名消息包括-消息M，-质问d和/或确认R，-应答D。签名运算上述系统包括与签名实体相关的签名设备。上述签名设备通过互连装置与见证者设备互连，并且尤其可以具有漫游对象中逻辑微电路的形式，例如具有基于微处理器的银行卡中微处理器的形式。
上述系统被用来执行下列步骤步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。见证者设备包括通过互连装置向签名设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。步骤2涉及质问d的操作签名设备包括计算装置，此后被称作签名设备的计算装置，上述计算装置使用一个散列函数h计算一个二进制序列并且从这个二进制序列中提取出数量等于确认R的数量的质问d，其中散列函数的参数包括消息M和所有或部分确认R。*步骤3涉及应答D的操作见证者设备接收质问d的装置通过互连装置接收来自签名设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。见证者设备包括通过互连装置向签名设备发送应答D的发送装置，此后被称作见证者设备的发送装置。检查运算为了验证消息M的真实性，一个被称作控制者的实体检查已签名消息。
上述系统还包括一个与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。上述控制者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过计算机通信网络连接到签名设备。
上述与签名实体相关的签名设备包括通过连接装置向控制者设备发送已签名消息的发送装置，此后被称为签名设备的发送装置。因而控制者设备具有一个包括以下内容的已签名消息-消息M，-质问d和/或确认R，-应答D。
控制者设备包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置。在控制者设备具有确认R，质问d，应答D的情况下如果控制者设备具有确认R，质问d，应答D，则控制者设备的计算和比较装置确定确认R，质问d和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者设备的计算和比较装置确定消息M，质问d和确认R满足散列函数d＝h(消息，R)在控制者设备具有质问d和应答D的情况下如果控制者重构具有质问d和应答D，控制者的计算装置根据各个质问d和各个应答D重构满足以下类型的关系的确认R′R′{G1d1.G2d2.…Gmdm.Dvmod n
或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者设备的计算和比较装置确定消息M和质问d满足散列函数d＝h(消息，R′)在控制者具有确认R和应答D的情况下如果控制者设备具有确认R和应答D，则控制者设备的计算装置使用散列函数并且以下面方式计算出d′d＇＝h(消息，R)接着控制者设备的计算和比较装置确定消息M，质问d′和确认R满足以下关系R{G1d＇1.G2d′2.…Gmd′m.Dvmod n或以下类型的关系R{Dv/G1d＇1.G2d＇2.…Gmd′m.mod n.终端设备本发明还涉及与一个实体相关的终端设备。终端设备尤其可以采取漫游对象的形式，例如基于微处理器的银行卡中的微处理器的形式，终端设备被用来为控制者设备验证下列内容-一个实体的真实性和/或-与这个实体相关的消息M的完整性。
通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n。
上述模数，上述私有和公开数值有以下类型的关系Gi.Qiv{1 mod n或Gi{Qivmod n
其中v表示一个下述类型的公开指数v＝2k其中k是大于1的安全参数。
上述m个公开数值Gi是少于f个素数p1，p2，…pf的m个不同基数g1，g2，…gm的平方gi2；产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm以满足下面的条件。第一条件根据第一条件，各个等式xv{gi2mod n(1)可以被以n为模的整数环中的x求解。第二条件根据第二条件，在Gi{Qivmod n成立的情况下，在通过把Qi提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
根据第二条件，在Gi.Qiv{1 mod n成立的情况下，在通过把Qi模n的反置提高成以n为模以k-1为秩的乘方获得的m个数值Qiv中有一个Qiv不同于±gi(即有一个非无效解)。
这里应当指出，根据当前的符号表示，±gi表示数量gi和n-gi。第三条件根据第三条件，在2m个等式中间x2{gimod n(2)x2{gimod n(3)其中至少有一个可以被以n为模的整数环中的x求解。
上述终端设备包括一个见证者设备，上述见证者设备包括一个存储器区段，上述存储器区段包含f个素数pi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj}见证者设备还包括-随机数值产品装置，此后被称作见证者设备的随机数值产生装置，-计算装置，此后被称作计算见证者设备的确认R的装置，上述计算装置计算见证者设备在以n为模的整数环中的确认R。
通过以下方式计算各个确认执行下列类型的运算R{rvmod n其中r是随机数值产生装置产生的随机数值，并且0＜r＜n。
或者，执行下列类型的运算Ri{rivmod pi其中ri是一个与素数pi相关的随机数值，其中0＜ri＜pi，各个ri属于一个由随机数值产生装置产生的随机数值集合{r1，r2，…rf}，并且接着使用中国余数方法。
见证者设备还包括-接收装置，此后被称作接收见证者设备的质问d的装置，上述接收装置接收一或多个质问d，每个质问d均包括m个此后被称作基本质问的整数di。
-计算装置，此后被称作计算见证者设备的应答D的装置，上述计算根据各个质问d计算一个应答D，或者通过执行下列类型的运算D{r.Q1d1.Q2d2.…Qmdmmod n或者通过执行下列类型的运算Di{ri.Qi，1d1.Qi，2d2.…Qi，mdmmod pi并且接着使用中国余数方法。
上述见证者设备还包括发送一或多个确认R和一或多个应答D的发送装置。应答D的数量与质问d和确认R一样多，其中每组数值R，d，D构成一个被表示成{R，d，D}的三元组。证明一个实体的真实性的实例在一个第一实施例变型中，基于本发明的终端设备被用来向一个被称作控制者的实体证明一个被称作证明者的实体的真实性。
上述终端设备包括与证明者实体相关的证明者设备。上述证明者设备通过互连装置与见证者设备互连。尤其可以采取漫游对象中的逻辑微电路的形式，例如基于微处理器的银行卡中的微处理器的形式。
上述证明者设备还包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。
上述终端设备被用来执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。
见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。证明者设备还具有通过连接装置向控制者设备发送所有或部分确认R的发送装置，此后被称作证明者的发送装置*步骤2和3涉及质问d的操作，涉及应答D的操作见证者设备接收质问d的装置通过控制者设备和证明者设备之间的连接装置和证明者设备与见证者设备之间的互连装置接收来自控制者设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。*步骤4涉及检查的操作证明者的发送装置向执行检查的控制者设备发送各个应答D。证明消息的完整性的实例在一个能够与第一实施例配合使用的第二实施例变型中，基于本发明的终端设备被用来向一个被称为控制者的实体证明与一个被称为证明者的实体相关的消息M的完整性。使上述终端设备包括一个与证明者实体相关的证明者设备，上述证明者设备通过互连装置与见证者设备连接。尤其可以采取漫游对象中的逻辑微电路的形式，例如基于微处理器的银行卡中的微处理器的形式。上述证明者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。
上述终端设备被用来执行下列步骤步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。
步骤2和3涉及质问d的操作，涉及应答D的操作证明者设备包括计算装置，此后被称作证明者的计算装置，计算装置使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R。证明者设备还具有通过连接装置向控制者设备发送各个令牌T的发送装置，此后被称为证明者设备的发送装置。
上述控制者设备在接收令牌T之后产生数量等于确认R的数量的质问d见证者设备接收质问d的装置通过控制者设备和证明者设备之间的连接装置和证明者设备与见证者设备之间的互连装置接收来自控制者设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。
*步骤4涉及检查的操作证明者的发送装置向进行检查的控制者发送各个应答D。消息的数字签名及其真实性证明在一个能够与前两个实施例中的任意一个配合使用的第三实施例变型中，基于本发明的终端设备被用来通过一个被称作签名实体的实体产生对一个此后被称为签名消息的消息M的数字签名。
已签名消息包括-消息M，-质问d和/或确认R，-应答D。
上述终端设备包括与签名实体相关的签名设备。上述签名设备通过互连装置与见证者设备互连。尤其可以采取漫游对象中的逻辑微电路的形式，例如基于微处理器的银行卡中的微处理器的形式。上述签名设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备。上述控制者设备尤其可以采取终端或远程服务器的形式。签名运算上述终端设备被用来执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用上述过程计算各个确认R。见证者设备包括通过互连装置向签名设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置。
*步骤2涉及质问d的操作签名设备包括计算装置。此后被称作签名设备的计算装置。上述计算装置使用一个散列函数h计算一个二进制序列并且从这个二进制序列中提取出数量等于确认R的数量的质问d，其中散列函数的参数包括消息M和所有或部分确认R。
*步骤3涉及应答D的操作接收质问d的装置通过互连装置接收来自签名设备的各个质问d。见证者设备计算应答D的装置使用上述过程根据质问d计算应答D。见证者设备包括通过互连装置向签名设备发送应答D的发送装置，此后被称作见证者设备的发送装置。控制者设备本发明也涉及一个控制者设备。控制者设备尤其可以采取与控制者实体相关的终端或远程服务器的形式。控制者设备被用来检查以下内容-一个实体的真实性和/或-与这个实体相关的消息M的完整性。
通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个对于控制者设备和相关控制者实体是未知数的公开模数n。
上述模数，上述私有和公开数值有以下类型的关系Gi…Qiv{1 mod n或Gi{Qivmod n其中v表示一个下述类型的公开指数v＝2k其中k是大于1的安全参数。
上述m个公开数值Gi是少于f个素数p1，p2，…pf的m个不同基数g1，g2，…gm的平方gi2；产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm以满足下面的条件。第一条件根据第一条件，各个等式xv{gi2mod n(1)可以被以n为模的整数环中的x求解。第二条件根据第二条件，在Gi{Qivmod n成立的情况下，在通过把Qi提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
根据第二条件，在Gi…Qiv{1 mod n成立的情况下，在通过把Qi模n的反置提高成以n为模以k-1为秩的乘方获得的m个数值qi中有一个qi不同于±gi(即有一个非无效解)。
这里应当指出，根据当前的符号表示，±gi表示数量gi和n-gi。第三条件根据第三条件，在2m个等式中间x2{gimod n (2)x2{gimod n (3)其中至少有一个可以被以n为模的整数环中的x求解。证明一个实体的真实性的实例在一个第一实施例变型中，基于本发明的控制者设备被用来证明一个被称作证明者的实体和一个被称作控制者的实体的真实性。
上述证明者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到与证明者实体相关的证明者设备。
上述控制者设备被用来执行下列步骤步骤1和2涉及确认R的操作，涉及质问d的操作上述控制者设备还具有通过连接装置接收所有或部分来自证明者设备的确认R的装置。
控制者设备包括质问产生装置，该装置在接收所有或部分确认R之后产生数量等于确认R各个数量的各个质问d，其中各个质问d均包括m个此后被称作基本质问的整数di。
控制者设备还包括通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置。
*步骤3和4涉及应答D的操作，涉及检查的操作控制者设备还包括-通过连接装置接收来自证明者设备的应答D的装置，
-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置。第一种情况证明者已经发送一部分确认R如果证明者的接收装置已经接收一部分确认R，则控制者设备的计算装置在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
控制者设备的比较装置将各个重构确认R′与接收的所有或部分确认R进行比较。第二种情况证明者已经全部发送确认R如果证明者的发送计算装置已经接收全部确认R，则控制者设备的计算装置和比较装置在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.证明消息的完整性的实例在一个能够与第一实施例配合使用的第二实施例变型中，基于本发明的控制者设备被用来证明与一个被称为证明者的实体相关的消息M的完整性。
上述证明者设备包括连接装置以便通过电子、电磁、光学或声学方式，尤其是通过数据处理通信网络连接到与证明者实体相关的证明者设备。
上述控制者设备被用来执行下列步骤
*步骤1和2涉及确认R的操作，涉及质问d的操作上述控制者设备具有通过连接装置接收来自证明者设备的令牌T的装置。控制者设备具有质问产生装置，该装置在接收令牌T之后产生数量等于确认R的数量的质问d，其中各个质问d均包括m个此后被称作基本质问的整数di。控制者设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置。
*步骤3和4涉及应答D的操作，涉及检查的操作上述控制者设备还包括通过连接装置接收来自证明者设备的应答D的装置。上述控制者设备还包括计算装置，此后被称作控制者设备的计算装置，上述计算装置在具有m个公开数值G1，G2，…Gm的情况下首先根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着使用一个散列函数h计算一个令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′。
控制者设备还具有将计算的令牌T′与接收的令牌T相比较的比较装置，此后被称作控制者设备的比较装置。消息的数字签名及其真实性证明在一个能够与前两个实施例中的一个或另一个配合使用的第三实施例变型中，通过利用一个被称作控制者的实体检查一个签名消息，基于本发明的控制者设备被用来证明消息M的真实性。
通过一个与具有散列函数h(消息，R)的签名实体相关的签名设备发送的签名消息包括-消息M，-质问d和/或确认R，-应答D。检查运算上述签名设备包括连接装置以便通过电子，电磁，光学或声学方式，尤其是通过数据处理通信网络连接到与签名实体相关的签名设备。上述控制者设备通过连接装置从签名设备接收签名消息。
控制者设备包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置。
*在控制者设备具有确认R，质问d，应答D的情况下如果控制者设备具有确认R，质问d，应答D，则控制者设备的计算和比较装置确定确认R，质问d和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者设备的计算和比较装置确定消息M，质问d和确认R满足散列函数d＝h(消息，R)*在控制者设备具有质问d和应答D的情况下如果控制者设备具有质问d和应答D，控制者设备的计算装置可以根据各个质问d和各个应答D计算出满足以下类型的关系的确认R′R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n.
接着控制者设备的计算和比较装置确定消息M和质问d满足散列函数d＝h(消息，R′)在控制者设备具有确认R和应答D的情况下
如果控制者设备具有确认R和应答D，则控制者设备的计算装置使用散列函数并且以下面方式计算出d′d′＝h(消息，R)接着控制者设备的计算和比较装置确定消息M，质问d′和确认R满足以下关系R{G1d′1.G2d′2.…Gmd′m.Dvmod n或以下类型的关系R{Dv/G1d′1.G2d′2.…Gmd′m.mod n.对本发明的描述GQ方法的目标是对实体、消息和消息的数字签名一起进行动态认证。这些都属于″不传送知识″的方法。一个实体证明其知道一个或若干个私有数值。另一个实体进行检查；该实体知道对应的公开数值。证明实体希望在不出示私有数值的情况下得到检查实体的信任以便根据需要以任意多次使用上述私有数值。
各个GQ方法均依赖于一个由秘密的大素数组成的公开模数。一个公开指数v和一个公开模数n共同构成一个验证密钥<v，n>，即″提高到模数n的v次幂″，并且通过一个或若干个类型相同的通用等式直接实现Gi{Qivmod n或反置GixQiv{1 mod n。该类型对检查实体而不是证明实体内部的计算操作有影响；事实上安全分析混淆了两个类型。与一个公开数值G和一个私有数值Q关联的各个通用等式共同构成一对数值{G，Q}。总之，各个GQ方法针对相同密钥<v，n>实现了一或若干对数值{G，Q}。
GQ方法的一个被称作GQ1的经典版本使用了RSA数字签名机制。验证密钥<v，n>是一个RSA公开密钥，其中奇指数v最好是一个素数。各个GQ1方法通常使用单独一对数值{G，Q}根据一个属于RSA数字签名技术不可分割的部分的格式机制通过鉴别数据推断出公开数值G。私有数值Q或其反置模数n是鉴别数据的一个RSA签名。证明实体出示有关其自身鉴别数据的RSA签名的知识并且无论使用多少次这个证明不会暴露签名，从而保守了秘密。
GQ1方法通常实现两个级别的密钥为一个对实体进行授权的机构保留RSA私有签名密钥，其中上述实体通过鉴别数据区分彼此。这种机制被称作″基于身份″的机制。因而，芯片卡的一个发射器使用其用于各个卡的发射的RSA私有密钥计算一个被记录成卡中的各种私有密钥的私有数值Q；或者一个计算机网络上的客户端在进入各个会话时使用其RSA私有密钥计算一个在会话期间会被当成客户端的短期私有密钥的私有数值Q。证明实体，芯片卡或客户端在会话期间知道其鉴别数据的RSA签名；它们不知道在密钥层次上处于更高一级的RSA私有密钥。但是，在一个机构的层次上使用一个768位模数通过GQ1方法对实体进行动态认证所需的工作负载与在各个实体的层次上使用一个512位模数和三个素数通过RSA对实体进行动态认证的工作负载几乎相同，这允许证明实体在计算各个素数乘积的取模结果之前通过计算各个素数的取模结果来使用中国余数技术。
然而，一个机构和受信实体之间的密钥层次并不是必须的。可以通过一个属于证明实体的模数使用GQ1方法，这使得能够使用中国余数技术减少证明实体的工作负载，并且不根本改变检查实体的工作负载，另外一个证明实体层次上的模数可以比一个机构层次上的模数更短，例如512位比768位。
当实体知道其自身模数的素数时，为何要使用RSA数字签名机制？GO方法的另一个被称作基本GQ2的版本直接处理模数n的因数分解问题。在这种情况下″直接″意味着″不需要RSA签名″。GQ2的目标是减少证明实体和检查实体的工作负载。证明实体出示有关其自身模数的分解的知识并且这个证明不暴露分解，，从而保守了秘密，所以能够根据需要被经常使用。GQ2协议的安全性等价于模数的因数分解的安全性。
各个证明实体具有其自身的模数n。各个GQ2机制实现了一个参数k，即一个大于1的较小数值，从而固定一个公开指数v＝2k和一或若干对数值{G1，Q1}到{Gm，Qm}。各个公开数值Gi是一个大于1并且被称作″基数″的较小数值gi的平方。所有证明实体均可以使用相同的公开数值G1到Gm。模数n的因数分解和私有数值Q1到Qm，n则在密钥层次中处于相同的层次上。通过两个必要和充分条件定义各组基本GQ2密钥-对于各个基数，两个等式x2{±gimod n在以n为模的整数环中均不具有x的解，即数值±gi是两个n为模的的非二次余数。
-对于各个基数，等式xv{gi2mod n在以n为模的整数环中具有x的解，其中V＝2k。私有数值Qi或其反置模数n是这些解中的任意一个。
考虑第二条件，为了使数值±gi是两个以n为模的非二次余数，模数n必须包括至少两个恒等于3(mod4)的素数，但gi的勒让德符号则不同于此。因此，由其中最多仅有一个恒等于3(mod4)的素数组成的任意模数不允许建立一组基本GQ2密钥，这特许素数恒等于3(mod4)。因而通过随机取出大素数，显然只有一半恒等于3(mod4)并且另一半恒等于1(mod4)。结果，许多在使用的RSA模型不能建立一组基本GQ2密钥。
我们这里介绍克服这种限制以便能够针对任意模数，尤其是任意RSA模数使用GQ2技术的通用化GQ密钥集合它们取决于两个必要充分原则。
第一原则还原了第二基本GQ2条件-对于各个基数g1到gm，等式xv{gi2mod n在以n为模的整数环中具有x的解，其中V＝2k。
由于私有数值Q或其反置模数n是等式的一个解，以n为模的连续k-1次乘方将其转换成一个数值qi，数值qi是以n为模的整数环中的Gi的平方根。根据数值qi是等于两个数值gi或n-gi中的一个，还是不同于两个数值gi和n-gi，可以确定其是否无效解。当数值qi是非无效解时，整除qi2-gi2的n不整除qi-gi或qi+gi。因而任意非无效数值q均暴露了模数n的一个分解。
n＝pgcd(n，qi-gi)xpgcd(n，qi+gi)第二原则加宽了第一基本GQ2条件
-在数值q1至qm中至少有一个数值qi是非无效解。
应当注意，如果存在一个数值q+并且数值±gi是以n为模的整数环中的两个非二次余数，则数值qi肯定是非无效解。因而基本GQ2密钥集合肯定是通用化GQ2密钥集合的一部分，这使得能够使用任意的模数，即对于任意的大素数成分，无论是恒等于3(mod4)还是恒等于1(mod4)，其中至少有两个是不同的。另一方面，许多通用化GQ2密钥集合不是基本GQ2密钥集合。各个通用化GQ2密钥集合基于下面情况中的一种-当2xm个数值±g1到±gm全部是非二次余数时，这是一个基本GQ2密钥集合。
-当在2xm个数值±g1到±gm中至少有一个二次余数时，这不是一个补充GQ2密钥集合，所知的是一个补充GQ2密钥集合。
本发明涉及补充GQ2密钥集合，根据定义这些通用化GQ2密钥集合不是基本GQ2密钥集合。除了前面两个原则之外，这种集合必须满足第三个原则。
-在2xm个数值±g1到±gm中有至少一个二次余数。
为了评估问题和理解我们提供的解决方案，即本发明，我们首先分析一个非无效数值q暴露的模数n的分解，并且接着回顾中国余数技术，和伽罗瓦域CG(p)中有关秩的概念；并且接着研究CG(p)中的″开方”函数和CG(p)中对二次余数″求平方根”的函数；最后分析上述三个原则的适用性。对模数分解的分析就象模数n被分解成f个素数p1到pf那样，以n为模的整数环被分解成f个伽罗瓦域CG(p1)到CG(pf)。在每个域中有两个单平方根，即±1。在整数环中，有2f个单平方根。各个私有数值Q1到Qm均定义了一个数值∋i=qi/gi(modn)]]>，该数值是整数环的2f个单平方根中的一个；即n分割 当qi是无效数值时，即当∋i=±1]]>时，n分割Δi-1或Δi+1并且 不暴露模数n的分解。
当qi是非无效数值时，即当 时，n不分割Δi-1或Δi+1并且暴露了一个通过各个域中的 值得到的分解，n=pgcd(n,∋i-1)xpgcd(n,∋i+1)]]>一方面是分割 的素数，另一方面是分割 的素数。
数值q的乘法合成的规则检查。两个数值{q1，q2}给出了一个复合数q1×q2(mod n)。
-当q1是非无效数值并且q2是无效数值时，复合数q1×q2(mod n)是非无效数值；它暴露了与q1相同的分解。
-当q1和q2是非无效数值并且∋1=±∋2]]>时，复合数q1×q2(mod n)是无效数值；它不暴露任何分解。
-当q1和q2是非无效数值并且∋1≠±∋2]]>时，复合数q1×q2(mod n)是非无效数值；它暴露了一个第三分解。
三个数值{q1，q2，q3}提供了四个复合数{q1×q2，q1×q3，q2×q3，q1×q2×q3(mod n)}，总共有7个数值；因而m个数值提供2m-m-1个复合数并且总共有2m-1个数。
现在我们考虑一个通用化GQ2密钥集合，其中包括i个基数g1到gi和i个私有数值Q1到Qi，从而提供i个数值q1到qi和i个均属于单根的数值 到 。我们通过一个提供数值qi+1和根 的私有数值Qi+1尝试考虑另一个基数gi+1。
*总共2i+1-1个数值包括下面各个情况下的所有非无效数值。
-根 是无效数值并且至少一个根 至 是非无效数值。
-根 是非无效数值并且在2xi个根 至 中出现。
*如果根 是非无效数值并且没有在2xi个根 到 中出现，则出现qi+1的各个复合数均是非无效数值。
因此，当在m个数值q1到qm中至少有一个是非无效数值，则总共2m-1个数值中有超过一半的数值是非无效数值。
根据定义，当2l-l-1个对应的复合数均是非无效数值时，称l＜f个非无效数值{q1，q2，…ql}相对于模数n是独立的，即总共2l-1个数值均是非无效数值。因而这2l-1个数值中的每一个数值均暴露了模数n的一个不同分解。
-当f个素数不同时，模数n有2f-1-1个分解。因而如果f-1个数值q是独立的，则在2f-1-1个分解和总共2f-1-1个包括f-1个独立数值和2f-1-f个对应复合数的数值之间存在一个双-单义(bi-univocal)对应关系。
*中国余数对于两个数值a和b，0＜a＜b，其间的素数，和两个从0到a-1的数值Xa和从0到b-1的数值Xb；涉及确定0到axb-1中的唯一数值使得Xa{X(mod a)并且Xb{X(mod b)。数值x{{b(mod a)}-1(mod a)是中国余数参数。以下是基本中国余数操作x{Xb(mod a)y＝Xa-x；如果y为负数，用y+a替代yz{axy(mod a)X＝zxb+Xb最初X＝中国余数(Xa，Xb)当按照升序从最小的p1到最大的pf排列f个素数时，中国余数参数如下所示(比素数少1，即f-1)-第一个参数是x{(p2(mod p1))-1(mod p1)。
-第二个参数是E{(p1×p2(mod p3))-1(mod p3)。
-第i个参数是O{(p1×…pi-1(mod pi))-1(mod pi)。
-依此类推在f-1个基本操作中，根据f个分量X1到Xf，Xj从0到pj-1构成的任意集合产生一个从0到n-1的数值-一个具有第一参数的第一结果(mod p1×p2)，-一个具有第二参数的第二结果(mod p1×p2×p3)，-一个具有最后参数的最后结果(mod p1×p2×…pf)。
最初指定素数p1到pf，以n为模的整数环中的各个元素具有两个等价的表示-f个数值X1到Xf，一个素数分量Xj{X(mod pj)，
-一个从0到n-1的数值X，X＝中国余数(X1，X2，…Xf)。
CG(p)中数值的秩-令p为一个奇素数并且a是一个小于p的数值，即0＜a＜p。根据定义，a相对于p的秩是由{xi＝a；则对于iτ1，xi+1{aυxi(mod p)}定义的序列{X}的周期。通过应用费马定理，我们得到xi+p{apυxi{aυxi{xi+1(mod p)。因而数值a相对于素数p的秩是p-1或p-1的一个除数。
例如，当(p-1)/2是一个奇素数p′时，伽罗瓦域CG(p)包含秩为1的数值即1，一个秩为2的数值即-1，p′-1个秩为p′的数值和p′-1个秩为2υp＇＝p-1的数值。在CG(p)中，任何秩为p-1的数值均是一个“生成器”。如此称呼的原因是，CG(p)中一个生成器的连续次幂，即序列{X}中下标为1到p′-1的项值构成CG(p)的所有非零元素的一个排列。
令y是CG(p)的一个生成器。根据i和p-1求数值y′(mod y)的秩。当i与p-1互素时，这个秩为p-1。当i整除p-1时，秩为(p-1)/i。总之，秩为(p-1)/lgcd(p-1，i)(lgcd＝最大公约数)。
根据定义，欧拉函数M(n)是小于n并且与n互素的数的数量。在CG(p)中，有M(p-1)个生成器。
为了说明，秩有助于理解RSA的基础。模数n是f个素数p-1到p-f的乘积，其中fτ2。对于从p1到pf的各个素数pi，公共指数e应当与pi-1互素。现在，密钥<e，pj>观察CG(pj)的元素的秩它排列CG(pj)的元素；存在一个尽可能小的数值dj，使得p-1整除eυdj-1。密钥<dj，pj>反置CG(pj)的元素的排列。这f个分别处于各个域CG(p1)到CG(pf)中的排列被公开密钥<e，n>概括出的RSA排列表示成以n为模的整数环。存在一个通常尽可能小的数值d，使得(p1-，p2-1，…pf-1)的最小公倍数(scm)整除dυe-1。对于从p1到pf的各个素数pj，存在dj{d(mod pj-1)。被公开密钥<e，n>概括的RSA排列被私有密钥<d，n>反置。
CG(p)中的乘方-定义一个数值t使得p-1可被2t整除但不可被2t-1整除。各个大素数均出现在一个并且唯一一个类目中t＝1，t＝2，t＝3，t＝4，等等。如果考虑足够多的连续素数，大约2个中有一个出现在第一类目中，其中p与3(mod 4)同余，4个中有一个出现在第二类目中，其中p与5(mod 8)同余，8个中有一个出现在第三类目中，其中p与9(mod 16)同余，16个中有一个出现在第四类目中，其中p与17(mod 32)同余，等等；平均起来，2t个中有一个出现在第n类目中，其中p与2t+1(mod 2t+1)同余。
由于数值x和p-x在CG(p)中有相同的乘方，密钥<2，p>不排列CG(p)。CG(p)中的函数“求乘方”可以被表示成一个定向图，其中域内的各个非零元素有其位置。根据各个元素的秩的奇偶性将图的结构分析成分支和圆圈。
-设置零元素。这个为0。不为没有被其它元素涉及到的零元素定义秩；零元素被隔离。
-设置单元元素。这个为1，唯一秩为1的元素。CG(p)中所有一的根均位于涉及1的分支内。令y是CG(p)的除二次余数之外的任何余数；密钥<p-1)/2t，p>将y变换成-1的第2t-1次原根，原根被表示成b；因而我们具有y(p-1)/2{-1(mod p)。因而在CG(p)中，b的指数为1到2t-1的各个幂是一的2t-1个不等于1的根它们构成涉及1的分支。
-具有偶数秩的任何元素的乘方是另一个秩被2整除的元素。因而各个具有偶数秩的元素被放到一个分支中；各个分支包含一个可被2整除但不可被4整除的秩数，接着，如果tτ2，包含2个可被4整除但不可被8整除的秩数，如果t，3，包含4个可被8整除但不可被16整除的秩数，如果t，4，包含8个可被16整除但不可被32整除的秩数，等等。所有分支类似于涉及1的分支；各个分支的2t-1个叶子是非二次余数；每个分支包含2t-1个元素并且涉及一个具有奇数秩的元素；存在(p-1)/2t个均具有相同长度t的分支。
-除单位元素之外具有奇数秩的任何元素的乘方是另一个具有相同秩的元素。密钥<2，p>排列(p-1)/2t个具有奇数秩的元素构成的集合。排列被分解成排列圆圈。圆圈的数量取决于(p-1)/2t的分解。对于(p-1)/2t的各个除数p′，存在一个包含M(p′)个具有秩p′的元素。回忆一下，根据定义，欧拉函数M(p′)是小于p′并且与p′互素的数值的数量。例如，当p′等于(p-1)/2t时，互素，p′-1个以p′为秩的数值构成一个大的排列圆圈。


图1A-1D分别针对p与3(mod 4)同余，p与5(mod 8)同余，p与9(mod 16)同余和p与17(mod 32)同余图解了一个图段。
-白圆圈表示分支中的叶子；这些是非二次余数。
-灰圆圈表示分支中的结点；这些是具有偶数秩的二次元素。
-圆圈中的结点被表示成黑圆圈；这些是具有偶数秩的二次元素。
CG(p)中的平方根-已知a是CG(p)的一个二次余数，看看如何计算等式x2{a(mod p)，即CG(p)中“求平方根”的一个解。当然，有许多种得到相同结果的方式；可以参考Henri Cohen的著作，计算代数理论教程，31-36页，大学生数学系列教材138卷(GTM)138，Springer，Berlin 1993年出版。
数值s＝(p-1+2t)/2t+1提供一个密钥<s，p>)，即<(p+1)/4，p>，当p与3(mod 4)同余时，<(p+3)/8，p>，当p与5(mod 8)同余时，<(p+7)/16，p>，当p与9(mod 16)同余时，<(p+15)/32，p>，当p与17(mod 32)同余时，等等。
-密钥<s，p>将一个圆圈的任何元素变换成圆圈中前面的元素。当a具有偶数秩时，是具有奇数秩的解，表示成w。在CG(p)中，w2/a等于a至(2υ(p-1+2t)/＜2t+1)-1＝(p-1)/2t的幂。另一个解具有偶数秩；即p-w。
-通常，密钥<s，p>将一个第一逼近中的任何二次余数变换成一个称作r的解。由于a是一个二次余数，密钥<2t-1，p>当然将r2/a变换成1。为了逼近a的平方根，取r2/a(mod p)的2t-2次幂以便得到+1或-1。如果结果为+1则新逼近的余数为r，否则如果结果为-1则余数为bυr(mod p)，已知p表示域CG(p)中1的任何2t次原根。因而密钥<2t-2，p>将新逼近变换成1。如果必要也可以通过使用密钥<2t-3，p并且乘以b2(mod p)来进行逼近，等等。
下面的算法对等待求解。它使用前面定义的数值a，b，p，r和t和两个变量c表示连续校正，w表示连续逼近。在算法开始时，c＝b并且w＝r。在计算结束时，两个解是w和p-w。
对于从t-2到1的i，重复下列序列-对数值w3/a(mod p)应用密钥<2t，p>以获得+1或-1。
-当得到-1时用wυc(mod p)取代w。
-用c2(mod p)取代c。
原理的可用性-根据定义我们指出当等式xΘ{g2(mod p)在域CG(x)内有x的解时参数k，基数g和素数p是兼容的，其中指数Θ为2k。数值k和g较小但大于1。数值p是大素数。
-当t＝1，即p{3(mod 4)时，等式有两个解。
-当t＝2，即p{5(mod 8)时，根据g相对于p的勒让德符号，如果(g～p)＝+1则等式有4个解，如果(g～p)＝-1则等式没有任何解。
-当t＞2，即p{1(mod 8)时，令数值u使得2u整除公开数值G＝g2相对于p的秩并且使得2u+1不整除这个秩；因而u等于从0到t-1的数值中的一个。如果u＞0并且k+u＞t则等式没有解；如果k+uδt则等式有2k个解；如果u＝0并且k＞t则有2t个解。
因而根据G是在圆圈内还是在一个分支内的适当位置上，存在两种兼容性。
-当G在圆圈内，即u＝0时，无论k的值如何，在圆圈内有一个具有奇数秩的解并且存在具有偶数秩并且散布在Δ＝min(k，t)个涉及圆圈的连续分支内的解，即2Δ个解。图2A图解了这种情况，其中kτt＝3，即一个与9(mod 16)同余的素数，这表明u＝0。
-当G位于一个分支内一个适当位置上，即u＞0并且u+kδt时，存在2k个均具有偶数秩并且位于分支内的解。图2B图解了这种情况。
指定一个参数k，因而根据t的值是小于k还是大于或等于k，存在两种素数。
一对于任何素数pj，例如t＜k，各个Gi应当位于圆圈内，并且在涉及Gi的分支内没有解。定义一个数值 ，根据gi还是-gi位于圆圈内该数值为+1或-1。对于m个数值 到 而言这是没有选择的。图3A图解了t＜k的情况Gi位于一个圆圈内，其中一个素数pj与9(mod16)同余，即u＝0，t＝3并且k＞3。
-对于任何使得tτk的素数pj，各个Gi应当使得u+kδt，即或者在一个圆圈内并且u＝0，或者在一个分支的适当位置上并且1δuδt-k。定义一个数值 ，根据Qi，j位于图中涉及gi还是-gi的部分内该数值为+1或-1。对于m个数值 到 中各个数值而言存在一个选择；可以单独将各个数值 从一个值切换成另一个值。图3B图解了tτk的情况Gi位于一个圆圈内，其中一个素数pj与17(mod 32)同佘，即u＝1，t＝4并且k＝3。
由f个分量{∋i,1…∋i,1f]]>构成的各个集合是CG(pj)中1的平方根。根据f个分量是否相等，这个根是无效解或非无效解。接着规定f个分量构成的集合是否固定，这表明数值qi是否无效数值。因而当一个数值qi是非无效数值时，由f个分量{∋i,1…∋i,1f}]]>构成的集合概括了模数的分解。因而可以在计算私有分量Qi，j之前测试原则。
-当一个公开数值Gi位于针对素数pj的圆圈内时，根据gi还是-gi位于圆圈内数值 为+1或-1。当pj{3(mod 4)时，这是一个勒让德符号∋i,j=(gi~pj).]]>-当一个公开数值Gi位于一个针对素数pj的分支内适当位置上时，通过计算私有分量Qi，可以确定为 指定的值。
密钥集合的产生-指定一个参数k，存在两个策略。
-生成器均需要f个素数以便确定m个基数。检查第一素数2，3，5，7，…以评估其与f个大素数p1到pf中每个素数的兼容性。尽管g＝2不与p{5(mod 8)兼容，但2可以进入一个基数的成分内。实际上，当两个数值位于一个分支内的一个位置上时，由于平方使圆圈更接近，所以其乘积更接近圆圈。因而通过组成单独考虑均不适当的数值可以获得一个基数。
-或者，生成器需要m个基数和模数的特征，使得一个位长(例如512，768，1024，1536，2048)和若干个连续到1的位具有强权重(例如1，8，16，24，32)以便确定fτ2个素数。表示成G1，G2，…Gm的基数通常出现在第一素数2，3，5，7，11…中间，或者是第一素数的组合。除非专门指出，这些是前m个素数G1＝2，G2＝3，G3＝5，G4＝7，…。注意p{5(mod 8)不与G＝2兼容。模数n将是f个具有接近长度，即为被f整除的模数分配的长度的素数的乘积。
第一原则-参数k，各个素数p1到pf和从g1到gm的各个基数应当兼容。定义一个数值h，使得2h整除g相对于p的秩，但2h+1不整除这个秩。为了计算数值h，下面过程使用勒让德符号(g～p)和一个数值b，CG(p)中1的第2t次原根。
-如果(g～p)＝+1并且t＝1，返回″h＝0″。
-如果(g～p)＝+1并且t＞1，对G应用密钥<(p-1+2t)/2t+1，p>到以便获得一个被称作w的结果。
-如果w＝+g，返回″h＝0″。
-如果w＝p-g，返回″h＝1″。
-否则，将c设置到b并且针对从t-1到2的i，-对w/g(mod p)应用密钥<2i，p>以便获得ρ1，-如果-1，将h设置成i并且用wυc(mod p)替换w，-用c2(mod p)替换c。
-返回″从2到t-1的h数值″。
-如果(g～p)＝-1，返回″h＝t″。
已知当u＞0并且k+u＞t时k，g和p不兼容；当h＝0或1时，无论k的数值如何它们均是兼容的，并且在k+hδt+1时相等。
第二原则-下面三个过程对应于第二原则的不同实现。在某些实现中，第二原则可以被加强到要求各个数值q1到qm均不是无效数值的程度。接着均衡基数的作用；无论是否均衡第二原则均对方案在安全性方面的某些表现有影响。最终，当在m个数值{q1…qm}中存在f＞2个不同素数时，需要有至少一个含有f-1个独立数值的子集。
三个过程使用mδf个被定义如下的数值Γi，j。
-当pi满足t＜k，i从1到m时，Γi,j=∋i,j]]>，即+1，如果hi，j＝0，和-1，如果hi，j＝1。
-当pi满足tδk，i从1到m时，Γi，j＝0，这意味着可以根据第二原则选择 到 一个第一过程确定至少一个集合{Γi，1…Γi，f)是可变的或零，即至少一个数值q1到qm是非无效数值，或者可以被选定成非无效数值。
-对于从1到m的i和从1到f的j，-如果Γi，j＝0或ζΓi，j，返回″成功″。
-返回″失败″。
一个第二过程确定各个集合{Γi，1…Γi，f}是可变的或零，即各个数值q1到qm是非无效数值，或者可以被选定成非无效数值。
-对于从1到m的i，-对于从1到f的j，-如果Γi，j＝0或ζΓi，j，则跳到i的下一个数值，-返回″失败″。
-返回″成功″。
一个第三过程确定，对于每对素数pj1和pj2，并且1δj1δj2δf，存在至少一个集合{Γi，1…Γi，f}，其中Γi，j1是零或不同于Γi，j2。当m小于f-1时显然会失败。当在m个数值{q1…qm}中成功时，对于f个素数，需要有至少一个含有f-1个独立数值的集合。
-对于从1到f-1的j1和从j1+1到f的j2，-对于从1到m的i，-如果Γi，j1＝0或ζΓi，j2，则跳到j1和j2的下一个数值，
-返回″失败″。
-返回″成功″。
当一个过程失败时，GQ2密钥集合的生成器遵循从两个可能策略中为其选定的策略-改变m个基数中的一个并且保留f个素数，-改变f个素数中的一个并且保留m个基数。
第三原则-下面过程确定通用化GQ2密钥的集合在生成或已经生成时属于-一个基本GQ2密钥集合，即2υm个数值ρg1到ρgm均是非二次余数，或者-一个补充GQ2密钥集合，即在2υm个数值ρg1到ρgm中间至少存在一个二次余数。
该过程使用两个勒让德符号(gi～pj)和(-gi～pj)，其中i从1到m而j从1到f。
-对于从1到m的i，-对于从1到f的j，-如果(gi～pj)＝-1，则跳到i的下一个数值。
-返回″补充GQ2密钥集合″。
-对于从1到f的j，-如果(gi～pj)＝-1，则跳到i的下一个数值。
-返回″补充GK2密钥集合″。
-返回″基本GK2密钥集合″。
私有分量-对于一个直接类型的等式xΘ{gi2(mod pj)，下面的计算产生私有分量Qi，j的所有可能数值。两个最简单和最常见的情况，即t＝1和t＝2，后面有更加复杂的情况，即t＞2。
对于t＝1，即pj{3(mod 4)，密钥<(pj+1)/4，pj>提CG(pj)中任意二次余数的二次平方根。据此，导出一个数值sj{((pj+1)/4)k(mod(pj-1)/2)，该数值提供一个密钥<sj，pj>，该密钥将Gi转换成w{Gisj(mod pj)。Qi，j等于n或pj-n。
对于t＝2，即pj{5(mod 8)，密钥<(pj+3)/8，pj>为CG(pj)中具有奇数秩的元素提供具有奇数秩的平方根。据此，导出一个数值sj{(pj+3)/8)k(mod(p1-1)/4)，该数值提供一个密钥<sj，pj>，该密钥将Gi转换成w{Gisj(mod pj)。注意，由于2是CG(pj)中的一个非二次余数，所以z{2(Pj-1)/4(mod pj)是-1的平方根。Qi，j或者等于w或pj-w，或者等于w’{wυz(mod pj)或pj-w’。
对于pj{2t+1(mod 2t+1)和t＝2，密钥<(pj-1+2t)/2t+1，pj>为任意具有奇数秩的元素提供具有奇数秩的平方根。k，g和p之间的兼容测试指定h的数值，u的下一个数值。
-当Gi位于圆圈内(u＝0，无论k有何数值)时，建立一个数值sj{((pj-1+2t)/2t+1)k(mod(pj-1)/2t)。密钥<Sj，pj>将Gi转换成具有奇数秩的解w{Gisj(mod pj)。在min(k，t)个涉及圆圈的连续分支，即在A个分支内分布有具有偶数秩的解。Qi，j等于w和CG(pj)中1的任意第2Δ次根的乘积。
-当Gj位于分支(u＞0，u+kδt)中一个适用位置上时，所有的解均和Gj位于相同的分支上，即一个涉及表示数值Gi的第2u次幂的圆圈的分支。产生一个数值sj{((pj-1+2t)/2t+1)k+u(mod(pj-1)/2t)。
密钥<sj，pj>将Gi的第2u次幂转换成具有奇数秩的数值w。w和CG(pj)中1的第2k+u次原根的乘积的集合包括2k个Qi，j数值。
当pi使得tτk时，由于数值bj是CG(pj)中1的第2t次原根，CG(pj)中bj的第2t-u次幂存在；这是1的第2k次原根。通过使Qi，j与1的一个第2k次原根相乘可以交换数 的值。
对于一个反置类型的等式1{xΘυgi2(mod pj)，足够用密钥<sj，pj>中的((pj-1)/2t)-sj替换数值sj，这相当于反置CG(pj)中Qi，j的值。具有两个与5(mod 8)同余的素数的密钥集合的例子P1＝E6C83BF428689AF8C35E07EDD06F9B39A659829A58B79CD894C435C95F32BF25P2＝11BF8A68A0817BFCC00F15731C8B70CEF9204A34133A0DEF862829B2EEA74873Dn＝P1υP2＝FFFF8263434F173D0F2E76B32D904F56F4A5A6A50008C43D32B650E9AB9AAD2EB713D4F9A97C4DBDA3828A3954F296458D5F42C0126F5BD6B05478BE0A80ED1
这里是最前面的素数的勒让德符号。
(2～p1)=-1；(3～p1)=l；(S～p1)=+l；(7～p1)=l；(11～p1)=+1；(13～p1)=-l；(17～p1)=+l；在CG(p1)中，-5，-11和17的秩为奇数。
(2～p2)=-1；(3～p2)=+1；(5～p2)=+1；(7～p2)=+1；(11～p2)=+1；(13～p2)=-1；(17～p2)=1；在CG(p2)中，3，-5，7和11的秩为奇数．CarmichaeI函数是O(n)＝scm((p1-1)/4，(p2-1)/4)．O(n)＝33331A13DA43IUA5CFD617BD6F834311642121543334F40C3D57A9C8SS8555D5BDAA2EF6AEDl789E3794F51A65A1837239818FA980F618627D8C7ElD8499C1Bk＝9，数值S{O(n)-((1+O(n))/2)9(mod O(n))被用作私有指数以便使用反置类型的通用等式。
ζ＝01E66577BC997CAC273671E187A35EFD25373ABC9FE6770E74446CICCEF2C72AF6E89DOBE277CC6165F1007187AC58028BD2416D4CC1121E7A7A886AEl86BB480数值2，3，7，13和17不适于作为基数。
密钥< ，n>将gI=5转换成一个私有数值Ql，Q1不说明任何因数分解。实际上在两个域中，-5均在一个圆圈上。
Q1＝818C23AF3DE333FAECE88A71C4591A70553F91D6CODD5538EC0FlF2AAF909BDAD49lFD8BF13F18E3DA3774CCE19D0097BC4BD47C5D6EOE7EBF6D89FE3DC5176C密钥< ，n>将g2=11转换成一个私有数值Q2，Q2说明了一个因数分解。实际上，11在两个域中处于不同的位置上。
Q2=25F9AFDFl77993BE8652CE6E2C728AF31B6D66154D3935AC535196B07Cl9080DC962E4E86ACF40D01FDC454F256S4S4F29l0050DA052089EEC96A187DEB92CCA7密钥< ，n>将g3=2l=3v7转换成一个私有数值Q3，Q3说明了一个因数分解。
Q2=78A8A2F3IJFEB4A5233BC05541AF78684C2406415EAlDD67D18A0459A1254121E95D5CAD8A1FE3ECFE0685C96CC7EE86167D9953283A9686BF9D93CAF8DF46AF0密钥< ，n>将g4=26=2u13转换成一个私有数值Q4，Q4说明了一个因数分解。
Q2=6F1748A6280A200C38824A34C939F97DD2941DAD30030E4818738C62BF8C673731514D1978AF5655FE493D659514A6CE897AB76C01E50B5488C5DADl2332ES还可以通过两个素数，中国余数的参数和八个私有分量表示私有密钥。△{(p2(modp1))-1(modp1)=ADE4E7787113F5FDEAC589AAE825D649E06692D15FBF0DF737B115DC4D012FDlDQ1，1{Q1(modp1)=7751AEE918A8F5CE44AD73D613A4F465E06C6F9AF4D229949C74DD6C18D76FAFQ1，2{Q1(modp2)=A9EB5FA182A981AA64CF88C382923DB64376F5FD46152C08EEB6114F3187665FQ2，1{Q2(modp1)=D5A7D33C5FB75AI)33F2FIlE88202748957FA34004ABB2C2AClCA3F5320C5A9049Q2，2{Q2(modp2))=76C9F5EFD066C73A2B5CE97S8DB512DFC011F585AF7DA8D39A961CC876F2DD8FQ3，1{Q3(mop1)＝2FEC0DC2DCA5BA7290B27BC8CC85C938A514B8F5CFD55820A174FB5E6DF7B883Q3，2{Q3(modp2)＝010D488E6B0A38A1CC406CEE0D55DE59013389D8549DE493413F34604A160C1369Q4，1{Q4(modp1)＝A2B32026B6F82B6959566FADD9517DB8ED8524652145EE159DF3DC0C61FE3617Q4，2{Q4(modp2)＝011A3BB9B607F0BD71BBE25F52B305C224899E5F1F8CDC2FE0D8F9FF62B3C9860F私有密钥GQ2的多态-私有密钥GQ2的不同可能表示被证明均是等价的它们均相当于知道模数n的因数分解，即实际的GK2私有密钥。GQ2私有密钥的表示对证明实体内部而不是审查实体内部的计算进程有影响。这里是GQ2私有密钥的三个可能的主要表示。1)GQ私有密钥的传统表示是存储m个私有数值Qi和公开检查<Θ，n>；对于GQ2方案，这种表示与下面两个竞争。2)就工作负载而言的最优表示是存储参数k，f个素数pj，mυf个私有分量Qij和中国余数的F-1个参数。3)就私有密钥尺寸而言的最优表示在于存储参数k，m个基数gi和f个素数pj，接着在开始使用时确定m个私有数值Qi和模数n以便其等价于第一种表示，或者确定mυf个私有分量Qi，j和中国余数的f-1个参数以便等价于第二种表示。
由于动态认证机制或数字签名机制的安全性等价于知道模数的因数分解，对于GQ2方案，不能简单使用相同模数区分两个实体。通常，各个证明实体具有其自身的GQ2模数。然而可以规定具有四个素数的GQ2模数，一个实体知道其中的两个素数，而另一个实体知道其它两个素数。
动态认证-动态认证机制向一个被称为控制者的实体证明另一个被称为证明者的实体的真实性以及可能相关的消息M的真实性，使得控制者可以确定实际上正与证明者交涉，并且确定其自身和证明者正在说及相同的消息M。相关消息M是可选的，这意味着它可以为空。
动态认证机制是一个四操作序列一个确认操作，一个质问操作，一个应答操作和一个检查操作。证明者完成确认和应答操作。控制者完成质问和审查操作。
在证明者内，可以隔离一个见证者以便隔离证明者的最敏感参数和功能，即确认和应答的产生。见证者具有参数k和GQ2私有密钥，即根据上述三种表示对模数进行的因数分解ξf个素数和m个基数，ξmυf个私有分量，f个素数和F-1个中国余数参数，ξm个私有数值和模数n。
见证者可以对应于一个具体的实施例，例如ξ一个与共同构成证明者的PC相连的芯片卡，或ξ在PC内特别保护的程序，或ξ在芯片卡内特别保护的程序。如此隔离的见证者类似于签名实体内部定义的见证者。在每次执行机制时，见证者产生一或多个确认R，并且接着对一样多的质问d产生一样多的应答D。各个集合{R，d，D}构成一个GQ2三元组。
除了包括见证者之外，证明者在必要时还具有一个散列函数和一个消息M。
控制者具有模数n，模数n来自一个公开密钥目录，甚至来自一个公开密钥证书；在必要时还具有相同的散列函数和一个消息M′。证明者可以将GQ2公开参数，即数值k，m和g1到gm提供给控制者。控制者能够根据任何质问d和任何应答D重构确认R′。参数k和m为控制者提供信息。除非专门指出，m个从g1到gm的基数是头m个素数。各个质问d应当包含m个被表示成d1到dm的基本质问每个基数一个基本质问。从d1到dm的各个基本质问是从0到2k-1-1的一个数值(未使用Θ/2到Θ-1中的数值)。通常各个质问被编码成m乘k-1个位(而不是m乘k个位)。例如，对于k＝5和m＝4个基数5，11，21和26，各个质问包含16位，其中通过4个四位字节发送这16位。当可能的(k-1)υm个质问有同等概率时，数值(k-1)υm确定各个GQ2三元组带来的安全性一个根据定义不知道模数n的因数分解的冒名顶替者在2(k-1)υm次偿试中只有一次成功机会。当(k-1)υm来自于15至20时，一个三元组足够合理保证动态认证。为了实现任何层次的安全性，可以并行产生三元组；也可以顺序产生它们即重复机制。
1)涉及确认的操作包括下列运算。
当见证者不使用中国余数时，该见证者具有参数k，从Q1到Qm的m个私有数值和模数n；该见证者以随机和秘密的方式选择一或多个随机数值r(0＜r＜n)；接着通过接连k次连续平方(mod n)运算将各个随机数值r转换成确认R。
R{rΘ(modn)这里是一个具有前面无中国余数的密钥集合的例子。r＝5E94B894AC24AF843131F437C1B1797EF562CFA53AB8AD426C1AC016F1C89CFDA13120719477C3E2FB4B4566088E10EF9C010E8F09C60D981512198126091996R6BBF9FFA5D509778D0F93AE074D36A07D95FFC38F70C8D7E3300EBF234FA0BC20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D7068D083EF7C93F6FDDF673A当见证者使用中国余数时，见证者具有参数k，从p1到pf的头f个素数，f-1个中国余数参数和muf个私有分量Qi，j；见证者以随机和秘密的方式中抽出一或多个包括f个随机数的集合各个集合针对每个素数pi(0＜ri＜pi)包含一个随机数值ri；接着通过k次连续平方(mod pi)运算将各个随机数值ri转换成一个确认分量Ri。
Ri{riΘ(modpi)对于包括f个确认分量的各个集合，见证者根据中国余数技术建立一个确认。确认的数量与随机数集合一样多。
R＝中国余数(R1，R2，…Rf)这里是一个具有前面的密钥集合和中国余数的例子。
r1＝5C6D37F0E97083C8D120719475E080BBBF9F7392F11F3E244FDF0204E84D8CAER1＝3ddf516ee3945cb86d20d9c49e0da4d42281d07a76074dd4fe20c5c7c5e205df66r2＝AC8F85034AC78112071947C457225E908E83A2621B0154ED15DBFCB9A4915AC3R2＝01168CEC0F661EAA15157C2C287C6A5B34EE28F8EB4D8D340858079BCAE4ECB016R＝Chinese remainders(R1，R2)＝0AE51D90CB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C27F082BC3DD15273D4A923804718573F2F05E991487D17DAE0AAB7DF0D0FFA23E0FE59F95F0在两种情况下，证明者向控制者发送所有或部分确认R，或发送一个散列码H，其中通过杂凑各个确认R和一个消息M来获得上述散列码H。
2)涉及质问的操作包括随机抽出一或多个均由m个基本质问d1，d2，…，dm构成的质问d；各个基本质问di均是0到Θ/2-1中的一个数值。
d＝d1d2…dm这里是一个针对两个例子的质问，即k＝5和m＝4。
d1＝1011＝11＝‘B’；d2＝0011＝3；d3＝0110＝6；d4＝1001＝9，d＝d1‖d2‖d3‖d4＝1011001101101001＝B369控制者向证明者发送各个质问d。
3)应答操作包含下列运算。
当见证者不使用中国余数时，见证者具有参数k，从Q1到Qm的m个私有数值和模数n；见证者使用通过确认操作得到的各个随机数r和基于基本质问的私有数值计算一或多个应答D。
D{riυQid1νQ2d2υ…Qmdm(modpi)这里是无中国余数的例子的延续。
D＝027E6E808425BF2B401FD00B15B642B1A8453BE8070D86C0A7870E6C1940F7A6996C2D871EBE611812532AC5875E0E116CC8BA648FD8E86BE0B2ABCC3CCBBBE4当见证者使用中国余数时，见证者具有参数k，f个从p1到pf的素数，f-1个中国余数参数和muf个私有分量Qi，j；见证者使用通过确认操作得到的各个随机数集合计算一或多个包含f个应答分量的集合；对于每个素数，各个应答分量集合均包含一个分量。
D{riυQ1，id1υQ2，id2υ…Qm，idm(modpi)针对各个应答分量集合，见证者根据中国余数技术建立一个应答。应答的数量与质问一样多。
D＝中国余数(D1，D2，…Df)这里是无中国余数的例子的延续。
D1＝riνQ1，1d1υQ2，1d2υQ3，1d3υQ4，1d4(modp1)C71F86F6FD8F955E2EE434BFA7706E38E5E715375BC2CD2029A4BD572A9EDEE6D2＝r2υQ1，1d1υQ2，2d2υQ3，2d3υQ4，2d4(modp2)0BE022F4A20523F98E9F5DBEC0E10887902F3AA48C864A6C354693AD0B59D85E90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C9073B9418CA5EBF5191218D3FDB3在两种情况下，证明者均向控制者发送各个应答D。
4)检查操作包括检查各个三元组{R，d，D}满足下面针对非零数值的等式。
等式或在恢复各个确认时没有确认一定为零。
等式可选地，控制者接着通过杂凑各个恢复的确认R′和消息M′计算一个散列码H′。当控制者因而检索到在第一确认操作结束时接收的内容，即所有或部分确认R或散列码H时，动态认证成功。
例如，一系列基本运算将应答D转换成一个确认R′。该操作序列包括被k-1个基数除法或基数乘法(mode n)分隔的k个平方(mod n)。对于在第i个平方和第i+1个平方之间执行的第i个除法或乘法，基本质问d1的第i个位指示是否必须使用g1，基本质问d2的第i个位指示是否1必须使用g2，…，基本质问dm的第i个位指示是否必须使用gm。
这里是无中国余数的例子的结束。
D＝027E6E808425BF2B401FD00B15B642B1A8453BE8070D86C0A7870E6C1940F7A6996C2D871EBE611812532AC5875E0E116CC8BA648FD8E86BE0B2ABCC3CCBBBE4计算平方模n88BA681DD641D37D7A7D9818D0DBEA82174073997C6C32F7FCAB30380C4C6229B0706D1AF6EBD8461771C31B4243C2F0376CAF5DCEB644F098FAF3B1EB49B39乘以5乘26＝130，即′82′模n6ECABA65A91C22431C413E4EC7C7B39FDE14C9782C94FD6EA3CAAD7AFE192B94400C1113CB8DBC45619595D263C1067D3D0A840FDE008B415028AB3520A6AD49D计算平方模n0236D25049A5217B13818B39AFB009E4D7D52B17486EBF844D64CF75C4F652031041328B29EBF0829D54E3BD17DAD218174A01E6E3AA650C6FD62CC274426607乘以21，即′15 ′模n2E7F40960A8BBF1899A06BBB6970CFC5B47C88E8F115B5DA594504A92834BA405559256A705ABAB6E7F6AE82F4F33BF9E91227F0ACFA4A052C91ABF389725E93计算平方模nB802171179648AD687E672D3A32640E2493BA2E82D5DC87DBA2B2CC0325E7A71C50E8AE002E299EF868DD3FB916EBCBC0C5569B53D42DAD49C956D8572E1285B0乘以5乘11乘21＝1155，即′483′模n3305560276310DEFEC1337EB5BB5810336FDB28E91B350D485B09188E0C4F1D67E68E9590DB7F9F39C22BDB4533013625011248A8DC417C667B419D27CB11F72计算平方模n8871C494081ABD1AEB8656C38B9BAAB57DBA72A4BD4EF9029ECBFFF540E55138C9F22923963151FD0753145DF70CE22E9D019990E41DB6104005EEB7B1170559乘以5乘11乘26＝1430，即′596′模n4FF5EEACDF794563BB09A17045ECFFF88F5136C7FBC825BC50C计算平方模n6BBF9FFA5D509778D0F93AE074D36A07D95FFC38F70C8D7E3300EBF234FA0BC20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D7068D083EF7C93F6FDDF673A检索到确认r。认证成功。
这里是有中国余数的例子的结束。
D＝90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C9073B9418CA5EBF5191218D3FDB3计算平方模n770192532E9CED554A8690B88F16D013010C903172B266C1133B136EBE3EB5F13B170DD41F4ABE14736ADD3A70DFA43121B6FC5560CDD4B4845395763C792A68乘以5乘26＝130，即′82′模n6EE9BEF9E52713004971ABB9FBC31145318E2A703C8A2FB3E144E7786397CD8D1910E70EA86262DB771AD1565303AD6E4CC6E90AE3646B461D3521420E240FD4计算平方模nD984D9A8E80002C4D0329FF97D7AD163D8EA98F6AF8FE2B2160B2126CBBDFC734E39F2C9A39983A426486BC477F20ED2CA59E664C23CA0E04E84F2F0AD65340乘以21，即′15′模nD7DD7516383F78944F2C90116E1BEE0CCDC8D7CEC5D7D1795ED33BFE8623DB3D2E5B6C5F62A56A2DF4845A94F32BF3CAC360C7782B5941924BB4BE91F86BD85F计算平方模nDD34020DD0804C0757F29A0CBBD7B46A1BAF949214F74FDFE021B626ADAFBAB5C3F1602095DA39D70270938AE362F2DAE0B914855310C75BCA328A4B2643DCCDF乘以5乘11乘21＝1155，即′483′模n038EF55B4C826D189C6A48EFDD9DADBD2B63A7D675A0587C8559618EA2D83DF552D24EAF6BE983FB4AFB3DE7D4D2545190F1B1F946D327A4E9CA258C73A98F57计算平方模nD1232F50E30BC6B7365CC2712E5CAE079E47B971DA03185B33E918EE6E99252DB3573CC87C604B327E5B20C7AB920FDF142A8909DBBA1C04A6227FF18241C9FE乘以5乘11乘26＝1430，即′596′模n3CC768F12AEDFCD4662892B9174A21D1F0DD9127A54AB63C984019BED9BF88247EF4CCB56D71E0FA30CFB0FF28B7CE45556F744C1FD751BFBCA040DC9CBAB744计算平方模n0AE51D90CB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C27F082BC3DD15273D4A923804718573F2F05E991487D17DAE0AAB7DF0D0FFA23E0FE59F95F0正确检索到确认r。认证成功。数字签名数字签名机制允许一个被称作签名实体的实体产生已签名消息并且允许一个被称作控制者的实体确定已签名消息。消息M是任意的二进制序列可以为空。通过向消息M加入一个签名附录对消息M签名，签名附录包括一或多个确认和/或质问，以及对应的应答。
控制者具有模数n，模数n来自一个公开密钥目录，甚至来自一个公开密钥证书；它也具有相同的散列函数。证明者可以将GQ2公开参数，即数量k，m和g1到gm提供给控制者，例如通过把它们放在签名附录中。
数值k和m为控制者提供信息。一方面，从d1到dm的各个基本质问是0到2k-1-1中的一个数值(未使用Θ/2到Θ-1中的数值)。另一方面，各个质问d应当包含m个被表示成d1到dm的基本质问，其中基本质问和基数一样多。并且，除非专门指出，m个从g1到gm的基数是头m个素数。在(k-1)υm等于15至20的情况下，可以用四个并行产生的GQ2三元组签名；在(k-1)υm等于60或更大数值的情况下，可以仅用一个GQ2三元组签名。例如，对于k＝9和m＝8，只有一个GQ2三元组便足够了；各个质问包含八个字节并且基数为2，3，5，7，11，13，17和19。
签名运算是由三个操作构成的操作序列一个确认操作，一个质问操作和一个应答操作。各个操作产生一或多个GQ2三元组，其中每个三元组包括一个确认r(ζ0)，一个由m个基本质问d1，d2，…，dm构成的质问d，和一个应答D(ζ0)。
签名实体具有一个散列函数，参数k和GQ2私有密钥，即基于上述三种表示中的一种的模数n因数分解。在签名实体内部，可以通过隔离执行确认和应答操作的见证者来隔离证明者的最敏感功能和参数。为了计算确认和应答，见证者具有参数k和GQ2私有密钥，即基于上述三种表示中的一种的模数n因数分解。如此隔离的见证者类似于证明者内部定义的见证者。它可以对应于一个具体实施例，例如ζ一个与共同构成签名实体的PC连接的芯片卡，ζ或PC内部特别保护的程序，ζ或芯片卡内部特别保护的程序。
1)涉及确认的操作包括下列运算。
当见证者具有从Q1到Qm的m个私有数值和模数n时，该见证者以随机和秘密的方式选择一或多个随机数值r(0＜r＜n)；接着通过接连k次连续自乘(mod n)运算将各个随机数值r转换成一个确认R。
R{rΘ(modn)当见证者具有从p1到pf的f个素数和mυf个私有分量Qi，j时，该见证者以随机和秘密的方式抽出一或多个包含f个随机数值的集合各个集合针对每个素数pi(0＜ri＜pi)均具有一个随机数值ri；接着通过k次连续自乘(mod pi)运算将各个随机数值ri转换成一个确认分量Ri。
Ri{riΘ(modpi)对于包括f个确认分量的各个集合，见证者根据中国余数技术建立一个确认。确认的数量与随机数集合一样多。
r{中国余数(R1，R2，…Rf)2)质问操作包括杂凑所有确认r和要签名的消息M以获得一个被签名实体用来构成一或多个均包括m个基本质问的质问的散列码；各个基本质问的取值范围为0到Θ/2-1；例如对于k＝9和m＝8，各个质问包含八个字节。质问的数量与确认一样多。
d＝d1，d2，…，dm，即从杂凑(M，R)结果中提取的数值3)应答操作包含下列运算。
当见证者具有从Q1到Qm的m个私有数值和模数n时，见证者使用通过确认操作得到的各个随机数r和基于基本质问的私有数值计算一或多个应答D。
X{Q1d1vQ2d2v…Qmdm(mod n)D{rυX(modn)当见证者具有f个从pi到pf的素数和muf个私有分量Qi，j时，见证者使用通过确认操作得到的各个随机数值集合计算一或多个由f个应答分量构成的集合各个应答分量集合针对每个素数均包括一个分量。
X{Q1，id1υQ2，id2υ…Qm，idm(modpi)Di{riυXi(modpi)针对各个应答分量集合，见证者根据中国余数技术建立一个应答。应答的数量与质问一样多。
D中国余数(D1，D2，…Df)签名实体通过加入一个签名附录对消息M进行签名，签名附录包括
-各个GQ2三元组，即各个确认R，各个质问d和各个应答D，-或各个确认R和各个对应的应答D，-或各个质问d和各个对应的应答D。
根据签名附录的内容运行验证运算。区分三种情况。
如果附录包括一或多个三元组，检查运算包含两个时序无关紧要的独立过程。当且仅当下面两个条件被满足时控制者才接受签名消息。
首先，各个三元组必须是一致的(必须满足一个下面类型的适当关系)和可接受的(必须在非零数值上进行比较)。
等式(mod n)否则R(mod n)例如，通过一个基本运算序列转换应答D被k-1个基数乘法或除法运算(mod n)分隔的k个平方(mod n)。对于在第i个平方和第i+1个平方之间执行的第i个乘法或除法，基本质问d1的第i个位指示是否有必要使用g1，基本质问d2的第i个位指示是否有必要使用g2，…，基本质问dm的第i个位指示是否有必要使用gm。因而有必要检索签名附录中出现的各个确认R。
此外，一或多个三元组必须与消息M关联起来。通过杂凑所有确认R和一个M，获得一个散列码，其中必须根据上述散列码恢复出各个质问d。
d＝d1，d2，…，dm，与从杂凑(M，R)结果中提取的数值相同。
如果附录中没有质问，则检查运算开始通过杂凑所有确认R和消息M重构一或多个质问d′。
d＝d′1，d′2，…，d′m，即从杂凑(M，R)结果中提取的数值。
接着，当且仅当各个三元组是一致的(满足一个下面类型的适当关系)和可接受的(在非零数值上进行比较)，控制者才接受签名消息。
等式(mod n)否则R(mod n)如果附录中没有确认，则检查运算开始根据下列两个公式中的一个适当的公式重构一或多个确认R′。重新建立的确认不应当为零。
等式(mod n)否则R(mod n)接着，控制者必须杂凑所有确认R′和消息M以便重构各个质问d。
d＝d1，d2，…，dm，与从杂凑(M，R′)结果中提取的数值相同。
当且仅当各个重构的质问与附录中的对应质问相同时控制者才接受签名消息。
权利要求
1.用于向一个控制者实体证明以下内容的方法，-一个实体的真实性和/或-与这个实体相关的消息M的完整性，这种证明是通过所有或部分下列参数或这些参数的派生参数而进行的-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n，上述模数，上述私有和公开数值具有下面类型的关系Gi.{Qiv.mod n or G1.{Qiv.mod n其中v表示一个具有以下形式的公开指数v＝2k其中k是大于1的安全参数；上述m个公开数值Gi是小于f个素数p1，p2，…pm的m个不同基数g1，g2，…gm的平方gi2；上述素数p1，p2，…pf和/或上述m个基数g1，g2，…gm是这样产生的，即使得以下条件得到了满足第一条件等式xv{gi2modn(1)中的每一个可以被以n为模的整数环中的x求解；第二条件如果Gi{Qivmod n成立，在通过以n为模把Qi乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)，如果Gi.Qiv{1 mod n成立，在通过以n为模把Qi的反置乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)；第三条件2m等式中的至少一个x2{gimod n(2)x2{-gimod n(3)可以被以n为模的整数环中的x求解；上述方法在下面步骤中实现一个被称作见证者的实体，上述见证者实体具有f个素数pi和/或m个基数gi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj)；-见证者计算以n为模数的整数环中的确认R；通过以下方式计算各个确认通过执行下列类型的运算R{rvmod n其中r是一个随机数值并且0＜r＜n，或通过执行下列类型的运算Ri{rivmod pi其中ri是一个与素数Pi相关的随机数值，从而使0＜ri＜Pi，各个ri属于一个随机数值集合{r1，r2，…rf}接着通过使用中国余数方法，-见证者接收一或多个质问d；每个质问d包括m个被称作基本质问的整数di；根据各个质问d，见证者通过执行以下类型的运算计算一个应答DD{r.Q1d1.Q2d2…Qmdmmod n或通过执行下列类型的运算Di{ri.Qi，1d1.Qi，2d2…Qi，mdmmod pi接着使用中国余数方法；上述方法使得应答D的数量与质问d和确认R一样多，其中每组数值R，d，D构成一个被表示成{R，d，D}的三元组。
2.如权利要求1所述的方法，上述方法被用来向一个被称为控制者的实体证明一个被称为证明者的实体的真实性，上述证明者实体包括见证者；上述证明者和控制者实体执行下列步骤步骤1涉及确认R的操作-每次见证者使用如权利要求1所述的过程计算各个确认R，证明者向控制者发送所有或部分确认E，步骤2涉及质问d的操作-在接收所有或部分确认R之后，控制者产生数量等于确认R的数量的质问d并且向证明者发送质问d，*步骤3涉及应答D的操作-见证者使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作-证明者向控制者发送各个应答D，在证明者发送一部分确认R的情况下如果证明者已经发送一部分确认R，则控制者在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R＇1{G1di.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n控制者确定各个重构的确认R′还原出已经发送过来的所有或部分确认R，在证明者已经全部发送确认R的情况下如果证明者已经发送全部确认R，则控制者在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n
3.如权利要求1所述的方法，上述方法被用来向一个被称为控制者的实体证明与一个被称为证明者的实体相关的消息M的真实性，上述证明者实体包括见证者；上述证明者和控制者实体执行下列步骤*步骤1涉及确认R的操作-每次见证者使用如权利要求1所述的过程计算各个确认R，*步骤2涉及质问d的操作-证明者使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R，-证明者向控制者发送令牌T，-在接收令牌T之后，控制者产生数量等于确认R的数量的质问d并且向证明者发送质问d，*步骤3涉及应答D的操作-见证者使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作-证明者向控制者发送各个应答D，-控制者在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n-接着控制者使用一个散列函数h重构令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′，-接着控制者确定令牌T′与发送的令牌T相同。
4.如权利要求1所述的方法，上述方法被用来通过一个被称为签名实体的实体产生一个消息M的数字签名，上述签名实体包括见证者；签名运算上述签名实体执行签名运算以便获得包括以下内容的已签名消息-消息M，-质问d和/或确认R，-应答D；上述签名实体通过实现下列步骤执行签名运算*步骤1涉及确认R的操作-每次见证者使用如权利要求1所述的过程计算各个确认R，*步骤2涉及质问d的操作签名实体使用一个散列函数h获得一个二进制序列，上述散列函数的参数包括消息M和各个确认R，-签名实体从这个二进制序列中提取其数量等于确认R的数量的质问d，*步骤3涉及应答D的操作-见证者使用如权利要求1所述的过程根据质问d计算应答D。
5.如权利要求4所述的方法，上述方法被用来通过使用一个被称作控制者的实体检查签名消息来证明消息M的真实性；检查运算上述具有已签名消息的上述控制者实体通过执行如下步骤来完成检查运算在控制者具有确认R，质问d，应答D的情况下，如果控制者具有确认R，质问d，应答D，控制者确定确认R，质问d和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n控制者确定消息M，质问d和确认R满足散列函数d＝h(消息，R)在控制者具有质问d和应答D的情况下如果控制者具有质问d，应答D，控制者根据各个质问d和各个应答D重构满足下列关系的确认R′R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n控制者确定消息M和质问d满足散列函数d＝h(消息，R1)在控制者具有确认R和应答D的情况下如果控制者具有确认R，应答D，控制者使用散列函数并且重构d′d′＝h(消息，R)控制者设备确定确认R，质问d′和应答D满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n
6.被用来向一个控制者服务器证明以下内容的系统，-一个实体的真实性和/或-与这个实体相关的消息M的完整性，通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n，上述模数，上述私有和公开数值具有下面类型的关系Gi.Qiv{1.mod n or Gi{Qivmod n；其中v表示一个具有以下形式的公开指数v＝2k其中k是大于1的安全参数；上述m个公开数值Gi是小于f个素数p1，p2，…pf的m个不同基数g1，g2，…gm的平方gi2；上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm的产生使得以下条件得到满足第一条件各个等式xv{gi2mod n(1)可以被以n为模的整数环中的x求解；第二条件如果Gi{Qivmod n成立，在通过以n为模把Qi乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)。如果Gi.Qiv{1 mod n成立，在通过以n为模把Qi的反置乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)第三条件2m等式中的至少一个x2{gimod n(2)x2{-gimod n(3)可以被以n为模的整数环中的x求解；上述系统包括一个见证者设备，尤其是采取诸如基于微处理器的银行卡的形式的漫游对象中的见证者设备，见证者设备包括-一个存储器区段，其中包含f个素数pi和/或m个基数gi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj)；上述见证者设备还包括-随机数值产品装置，此后被称作见证者设备的随机数值产生装置，-计算装置，此后被称作计算见证者设备的确认R的装置，上述计算装置计算以n为模的整数环中的确认R；通过以下方式计算各个确认通过执行下列类型的运算Ri{rvmod n其中r是随机数值产生装置产生的随机数值，并且0＜r＜n；或者，执行下列类型的运算Ri{rivmod pi其中ri是一个与素数pi相关的随机数值，其中0＜ri＜pi，各个ri属于一个由随机数产生装置产生的随机数值集合{r1，r2，…rf}，并且接着使用中国余数方法；上述见证者设备还包括-接收装置，此后被称作接收见证者设备的质问的装置，上述接收装置接收一或多个质问di；每个质问di包括m个此后被称作基本质问的整数di；-计算装置，此后被称作计算见证者设备的应答D的装置，上述计算根据各个质问d计算一个应答D，通过执行下列类型的运算D{r.Q1d1.Q2d2…Qmdmmod n或者通过执行下列类型的运算D{r.Qi，1d1.Qi，2d2…Qi，mdmmod pi并且接着使用中国余数方法。-发送一或多个确认R和一或多个应答D的发送装置；应答D的数量与质问d和确认R和一或多个，其中每组数值R，d，D构成一个被表示成{R，d，D}的三元组。
7.如权利要求6所述的系统，该系统被用来证明一个被称作证明者的实体和一个被称作控制者的实体的真实性，上述系统包括-一个与证明者实体相关的证明者设备，上述证明者设备通过互连装置与见证者设备互连，并且能够具有漫游对象中逻辑微电路的形式，例如具有基于微处理器的银行卡中的微处理器的形式，-一个与控制者实体相关的控制者设备，上述控制者设备具有终端或远程服务器的形式；上述控制者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到证明者设备的连接装置；上述系统允许执行下列步骤步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R，见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，证明者设备设备还具有通过连接装置向控制者设备发送所有或部分确认R的发送装置，此后被称作证明者设备的发送装置；*步骤2涉及质问d的操作控制者设备包括质问产生装置，该装置在接收所有或部分确认R之后产生数量等于确认R的数量的质问d，控制者设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置，*步骤3涉及应答D的操作接收见证者设备的质问d的装置通过互连装置接收来自证明者设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作证明者的发送装置向控制者发送各个应答D。控制者设备还包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置，在证明者发送一部分确认R的情况下如果证明者的发送装置已经发送一部分确认R，则控制者的计算装置在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n控制者设备的比较装置将各个重构确认R′与接收的所有或部分确认R进行比较，在控制者已经全部发送确认R的情况下如果证明者的发送计算装置已经发送全部确认R，则控制者设备的计算装置和比较装置在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n
8.如权利要求6所述的系统，上述系统被用来向一个被称为控制者的实体证明与一个被称为证明者的实体相关的消息M的完整性，上述系统包括-一个与证明者实体相关的证明者设备，上述证明者设备通过互连装置与见证者设备互连，并且能够具有漫游对象中逻辑微电路的形式，例如具有基于微处理器的银行卡中的微处理器的形式，-一个与控制者实体相关的控制者设备，上述控制者设备具有终端或远程服务器的形式，上述控制者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到证明者设备的连接装置；上述系统允许执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R，-见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，*步骤2涉及质问d的操作证明者设备包括计算装置，此后被称作证明者的计算装置，计算装置使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R，证明者设备还具有通过连接装置向控制者设备发送各个令牌T的发送装置，此后被称为证明者设备的发送装置，控制者设备还具有质问产生装置，该装置在接收令牌T之后产生数量等于确认R的数量的质问d，控制者设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置；*步骤3涉及应答D的操作接收见证者设备的质问d的装置通过互连装置接收来自证明者设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作证明者的发送装置向控制者发送各个应答D，控制者设备还包括计算装置，此后被称作控制者设备的计算装置，上述计算装置在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D首先计算一个重构确认R′，这个重构确认R′满足以下类型的关系R′{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R′{Dv/G1d1.G2d2.…Gmdm.mod n接着使用一个散列函数h计算一个令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′，控制者设备还具有将计算的令牌T′与接收的令牌T相比较的比较装置，此后被称为控制者设备的比较装置。
9.如权利要求6所述的系统，上述系统被用来通过一个被称作签名实体的实体产生一个此后被称为签名消息的消息M的数字签名；已签名消息包括-消息M，-质问d和/或确认R，-应答D；签名运算上述系统包括一个与签名实体相关的签名设备，上述签名设备通过互连装置与见证者设备互连并且可以具有漫游对象中逻辑微电路的形式，例如基于微处理器的银行卡中微处理器的形式，上述系统允许执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R，见证者设备具有通过互连装置向签名设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，*步骤2涉及质问d的操作签名设备包括计算装置，此后被称作签名设备的计算装置，上述计算装置使用一个散列函数h计算一个二进制序列并且从这个二进制序列中提取出数量等于确认R的数量的质问d，其中散列函数的参数包括消息M和所有或部分确认R，*步骤3涉及应答D的操作接收质问d的装置通过互连装置接收来自签名设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，见证者设备包括通过互连装置向签名设备发送应答D的发送装置，此后被称作见证者设备的发送装置。
10.如权利要求9所述的系统，上述系统被用来通过使用一个被称作控制者的实体检查签名消息来证明消息M的真实性；检查运算上述系统包括一个与控制者实体相关的控制者设备，上述控制者设备具有终端或远程服务器的形式，上述控制者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到签名设备的连接装置；上述与签名实体相关的签名设备包括通过连接装置向控制者设备发送已签名消息的发送装置，此后被称为签名设备的发送装置，因而控制者设备具有一个包括以下内容的已签名消息-消息M，-质问d和/或确认R，-应答D；控制者设备包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置在控制者设备具有确认R，质问d，应答D的情况下如果控制者具有确认R，质问d，应答D，控制者设备的计算和比较装置确定消息M，质问d和确认R满足以下关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n控制者设备的计算和比较装置确定消息M，质问d和确认R满足散列函数d＝h(消息，R)在控制者设备具有质问d和应答D的情况下如果控制者设备具有质问d，应答D，控制者设备的计算装置根据各个质问d和各个应答D计算满足以下类型关系的确认R’R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n控制者设备的计算和比较装置确定消息M和质问d满足散列函数d＝h(消息，R’)在控制者设备具有确认R和应答D的情况下如果控制者设备具有确认R，应答D，控制者设备的计算装置使用散列函数并且计算d′，使得d’＝h(消息，R)控制者设备的计算和比较装置确定消息M，质问d′和确认R满足以下关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n
11.与一个实体相关、被用来向一个控制者设备证明以下内容的终端设备，上述终端设备具有漫游对象的形式，例如基于微处理器的银行卡中的微处理器的形式-一个实体的真实性和/或-与这个实体相关的消息M的完整性；通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对私有数值Q1，Q2，…Qm和公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个公开模数n，上述模数，上述私有和公开数值具有下面类型的关系Gi.Qiv{1 mod n或Gi{Qivmod n；其中v表示一个具有以下形式的公开指数v＝2k其中k是大于1的安全参数；上述m个公开数值Gi是少于f个素数p1，p2，…pf的m个基数g1，g2，…gm的平方gi2；产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm以满足下面的条件第一条件各个等式xvgi2mod n(1)均不能被以n为模的整数环中的x求解。第二条件如果Gi{Qivmod n成立，在通过以n为模把Qi乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)，如果Gi.Qiv{1 mod n成立，在通过以n为模把Qi的反置乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)；第三条件2m等式中的至少一个x2{gimod n(2)x2{-gimod n(3)可以被以n为模的整数环中的x求解；上述终端设备包括一个见证者设备，上述见证者设备包括-一个存储器区段，其中包含f个素数pi和/或m个基数gi和/或素数的中国余数的参数和/或公开模数n和/或m个私有数值Qi和/或私有数值Qi与公开指数v的f.m个分量Qi，j(Qi，j{Qimod pj)；上述见证者设备还包括-随机数值产品装置，此后被称作见证者设备的随机数值产生装置，-计算装置，此后被称作计算见证者设备的确认R的装置，上述计算装置计算以n为模的整数环中的确认R；通过以下方式计算各个确认通过执行下列类型的运算R{rvmod n其中r是随机数值产生装置产生的随机数值，并且0＜r＜n。或者通过执行下列类型的运算Ri{rivmod pi其中ri是一个与素数pi相关的随机数值，其中0＜ri＜Pi，各个ri属于一个由随机数产生装置产生的随机数值集合{r1，r2，…rf}，并且接着使用中国余数方法；上述见证者设备还包括-接收装置，此后被称作接收见证者设备的质问的装置，上述接收装置接收一或多个质问di；每个质问di包括m个此后被称作基本质问的整数di；-计算装置，此后被称作计算见证者设备的应答D的装置，上述计算根据各个质问d计算一个应答D，通过执行下列类型的运算D{r.Q1d1.Q2d2…Qmdmmod n或者通过执行下列类型的运算D{r.Qi，1d1.Qi，2d2…Qi，mdmmod pi并且接着使用中国余数方法-发送一或多个确认R和一或多个应答D的发送装置；应答D的数量与质问d和确认R和一或多个，其中每组数值R，d，D构成一个被表示成{R，d，D}的三元组。
12.如权利要求11所述的终端设备，该终端设备被用来向一个被称作控制者的实体证明一个被称作证明者的实体的真实性；上述终端设备包括一个与证明者实体相关的证明者设备，上述证明者设备通过互连装置与见证者设备互连并且尤其可以具有漫游对象中逻辑微电路的形式，例如基于微处理器的银行卡中微处理器的形式，上述证明者设备还包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备的连接装置，上述控制者设备尤其具有终端或远程服务器的形式；上述终端设备允许执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R，-见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，证明者设备还具有通过连接装置向控制者设备发送所有或部分确认R的发送装置，此后被称作证明者的发送装置；*步骤2和3涉及质问d的操作，涉及应答D的操作见证者设备接收质问d的装置通过控制者设备和证明者设备之间的连接装置和证明者设备与见证者设备之间的互连装置接收来自控制者设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作证明者的发送装置向进行检查的控制者发送各个应答D。
13.如权利要求11所述的终端设备，上述终端设备被用来向一个被称为控制者的实体证明与一个被称为证明者的实体相关的消息M的完整性，上述终端设备包括一个与证明者实体相关的证明者设备，上述证明者设备通过互连装置与见证者设备互连并且尤其可以具有漫游对象中逻辑微电路的形式，例如基于微处理器的银行卡中微处理器的形式，上述证明者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备的连接装置，上述控制者设备尤其具有终端或远程服务器的形式；上述终端设备被用来执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R；见证者设备具有通过互连装置向证明者设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，*步骤2和3涉及质问d的操作，涉及应答D的操作证明者设备包括计算装置，此后被称作证明者的计算装置，计算装置使用一个散列函数h计算至少一个令牌T，其中散列函数的参数包括消息M和所有或部分确认R，证明者设备还具有通过连接装置向控制者设备发送各个令牌T的发送装置，此后被称为证明者设备的发送装置，(在接收令牌T之后，上述控制者设备产生数量与确认R相同的质问d)，见证者设备接收质问d的装置通过控制者设备和证明者设备之间的连接装置和证明者设备与见证者设备之间的互连装置接收来自控制者设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，*步骤4涉及检查的操作证明者的发送装置向执行检查的控制者设备发送各个应答D。
14.如权利要求11所述的终端设备，上述终端设备被用来通过一个被称作签名实体的实体产生一个此后被称为签名消息的消息M的数字签名；已签名消息包括-消息M，-质问d和/或确认R，-应答D；上述终端设备包括一个与签名实体相关的签名设备，上述签名设备通过互连装置与见证者设备互连并且尤其可以具有漫游对象中逻辑微电路的形式，例如基于微处理器的银行卡中微处理器的形式，上述签名设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到与控制者实体相关的控制者设备的连接装置，上述控制者设备尤其具有终端或远程服务器的形式；签名运算上述终端设备被用来执行下列步骤*步骤1涉及确认R的操作每次见证者设备的计算确认R的装置使用如权利要求1所述的过程计算各个确认R，见证者具有通过互连装置向签名设备发送所有或部分确认R的发送装置，此后被称作见证者设备的发送装置，*步骤2涉及质问d的操作签名设备包括计算装置，此后被称作签名设备的计算装置，上述计算装置使用一个散列函数h计算一个二进制序列并且从这个二进制序列中提取出数量等于确认R的数量的质问d，其中散列函数的参数包括消息M和所有或部分确认R，*步骤3涉及应答D的操作见证者设备接收质问d的装置通过互连装置接收来自签名设备的各个质问d，见证者设备计算应答D的装置使用如权利要求1所述的过程根据质问d计算应答D，见证者设备包括通过互连装置向签名设备发送应答D的发送装置，此后被称作见证者设备的发送装置。
15.被用来证明以下内容的控制者设备，上述控制者设备尤其具有与控制者实体相关的终端或远程服务器的形式-一个实体的真实性和/或-与这个实体相关的消息M的完整性；通过所有或部分下列参数或这些参数的派生参数完成这个证明-m对公开数值G1，G2，…Gm(m大于或等于1)，-由上述f个素数p1，p2，…pf(f大于或等于2)的乘积构成的一个对于控制者设备和相关控制者实体是未知数的公开模数n；上述模数，上述私有和公开数值具有下面类型的关系Gi.Qiv{1.mod n或Gi{Qivmod n；其中v表示一个具有以下形式的公开指数v＝2k其中k是大于1的安全参数；其中Qi是一个控制者设备未知并且与公开数值Gi相关的私有数值；上述m个公开数值Gi是小于f个素数p1，p2，…pf的m个不同基数g1，g2，…gm的平方gi2；产生上述f个素数p1，p2，…pf和/或上述m个基数g1，g2，…gm以满足下面的条件第一条件各个等式xvgi2mod n(1)均不能被以n为模的整数环中的x求解第二条件如果Gi{Qivmod n成立，在通过以n为模把Qi乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)。如果Gi.Qiv{1 mod n成立，在通过以n为模把Qi的反置乘方k-1次获得的m个数值qi中有一个qi不同于±gi(即是一个非无效解)；第三条件2m等式中的至少一个x2{gimod n(2)x2{-gimod n(3)可以被以n为模的整数环中的x求解。
16.如权利要求15所述的控制者设备，该控制者设备被用来向一个被称作控制者的实体证明一个被称作证明者的实体的真实性；上述控制者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到与证明者实体相关的证明者设备的连接装置；上述控制者设备被用来执行下列步骤*步骤1和2涉及确认R的操作，涉及质问d的操作上述控制者设备还具有通过连接装置接收来自证明者设备的所有或部分确认R的装置，控制者设备具有质问产生装置，该装置在接收所有或部分确认R之后产生数量等于确认R的数量的质问d，每个质问d包括m个此后被称作基本质问的整数di；控制者设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者的发送装置；*步骤3和4涉及应答的操作，涉及检查的操作上述控制者设备还包括-通过连接装置接收来自证明者设备的应答D的装置，-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置，在证明者发送一部分确认R的情况下如果证明者的接收装置已经接收一部分确认R，则控制者设备的计算装置在具有m个公开数值G1，G2，…Gm的情况下根据各个质问d和各个应答D计算一个重构确认R′，这个重构确认R′满足以下类型的关系R’{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R’{Dv/G1d1.G2d2.…Gmdm.mod n控制者设备的比较装置将各个重构确认R′与接收的所有或部分确认R进行比较，在证明者已经全部发送确认R的情况下如果证明者的发送计算装置已经接收全部确认R，则控制者设备的计算装置和比较装置在具有m个公开数值G1，G2，…Gm的情况下确定各个确认R满足以下类型的关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n
17.如权利要求15所述的控制者设备，该控制者设备被用来证明与一个被称作证明者的实体相关的消息M的完整性，上述控制者设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到与证明者实体相关的证明者设备的连接装置，上述控制者设备允许执行下列步骤*步骤1和2涉及确认R的操作，涉及质问d的操作上述控制者设备还具有通过连接装置接收来自证明者设备的令牌T的装置，控制者设备具有质问产生装置，该装置在接收令牌T之后产生数量等于确认R的数量的质问d，各个质问d包括m个此后被称作基本质问的整数；控制者设备设备还具有通过连接装置向证明者发送所有或部分质问d的发送装置，此后被称作控制者设备的发送装置；*步骤3和4涉及应答D的操作，涉及检查的操作上述控制者设备还包括-通过连接装置接收来自证明者设备的应答D的装置，-计算装置，此后被称作控制者设备的计算装置，上述计算装置在具有m个公开数值G1，G2，…Gm的情况下首先根据各个质问d和各个应答D计算计算一个重构确认R′，这个重构确认R′满足以下类型的关系R’{G1d1.G2d2.…Gmdm.Dvmod n；或以下类型的关系R’{Dv/G1d1.G2d2.…Gmdm.mod n接着使用一个散列函数h计算一个令牌T′，其中散列函数的参数包括消息M和所有或部分重构确认R′，控制者设备还包括-将令牌T＇与接收的令牌T相比较的比较装置，此后被称作控制者设备的比较装置。
18.如权利要求15所述的控制者设备，上述控制者设备被用来通过使用一个被称作控制者的实体检查签名消息来证明消息M的真实性；通过一个与具有散列函数h(消息，R)的签名实体相关的签名设备发送的签名消息包括-消息M，-质问d和/或确认R，-应答D；检查运算上述签名设备包括以电子，电磁光学或声学方式，尤其是通过数据处理通信网络连接到一个与控制者实体相关的签名设备的连接装置，上述控制者设备已经通过连接装置从签名设备接收了已签名消息，控制者设备包括-计算装置，此后被称作控制者设备的计算装置，-比较装置，此后被称作控制者设备的比较装置，在控制者设备具有确认R，质问d，应答D的情况下如果控制者具有确认R，质问d，应答D，控制者设备的计算和比较装置确定消息M，质问d和确认R满足以下关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n控制者设备的计算和比较装置确定消息M和质问d满足散列函数d＝h(消息，R)在控制者设备具有确认R和应答D的情况下如果控制者设备具有确认R，应答D，控制者设备的计算装置使用散列函数并且计算d′，使得d’＝h(消息，R’)控制者设备的计算和比较装置确定消息M，质问d′和确认R满足以下关系R{G1d1.G2d2.…Gmdm.Dvmod n或以下类型的关系R{Dv/G1d1.G2d2.…Gmdm.mod n
全文摘要
本发明涉及一个通过以下数值进行证明的方法m(≥1)对私有数值Q
文档编号H04L9/32GK1433609SQ00817730
公开日2003年7月30日 申请日期2000年9月29日 优先权日1999年10月1日
发明者路易斯·吉卢, 让-雅克·吉斯卡特 申请人:法国电信公司, 法国电视传播公司, 马思·里兹克