无证书环境下椭圆曲线盲签密方法与流程

本发明属于密码技术领域，具体涉及到椭圆曲线密码学或无证书公钥密码学或盲签密。

背景技术：

为了能够同时达到保密并认证的效果，1997年郑玉良教授提出了签密的概念。签密具有设计灵活、运算效率高等优点，是公钥密码系统的最主要应用之一。2003年al-riyamiandpaterson给出了无证书公钥密码系统，克服了传统公钥基础设施中的证书管理问题和身份密码系统中的密钥托管问题。集成无证书密码和盲签密技术形成的无证书环境下盲签密，由于其突出的优势目前已经成为实现加密并认证的重要手段而且安全性越来越完善。然而，绝大多数无证书环境下盲签密方法都是使用双线性对设计的，计算代价较大。

无证书盲签密被广泛应用在电子支付、电子选举、电子合同等方面，现有技术中绝大多数是基于双线性对的，如何采用椭圆曲线密码技术来构造低计算复杂度的无证书环境下椭圆曲线盲签密是当前需解决的一个技术问题。

技术实现要素：

本发明所要解决的技术问题在于克服上述现有技术的不足，提供一种安全性强、计算复杂度低的无证书环境下椭圆曲线盲签密方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

a、系统初始化

(a1)密钥生成中心定义有限域fp上的椭圆曲线e，选取阶为n的椭圆曲线e上的一个基点g，g是加法循环群gp的一个生成元，其中p是一个大素数为有限的正整数，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,p-1}，l是消息长度、t是身份长度。

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a5)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(p,fp,e,gp,g,y,l,h1,h2,h3)。

b、生成用户公私钥

(b1)拥有身份ia的盲签密方随机选取私钥xa∈[1,n)并确定其公钥ya：

ya＝xag。

(b2)拥有身份ib的接收方随机选取私钥xb∈[1,n)并确定其公钥yb：

yb＝xbg。

c、生成用户部分公私钥

(c1)密钥生成中心确定拥有身份ia的盲签密方的部分公钥ua、部分私钥sa。

(c2)密钥生成中心确定拥有身份ib的接收方的部分公钥ub、部分私钥sb。

d、盲签密

(d1)盲签密方选取一个随机数f∈[1,n)并确定β：

β＝fg。

(d2)盲签密方发送β给消息拥有者。

(d3)消息拥有者选取一个盲因子ω∈[1,n)并确定r和μ：

r＝ωβ

μ＝ω·h2(m,r)

式中m是长度为l的消息。

(d4)消息拥有者发送μ给盲签密方。

(d5)盲签密方收到μ并确定v和w：

v＝f(ub+h1(ib,yb)y+yb)

w＝μ^-1(xa+sa)+f；

(d5)盲签密方发送v和w给消息拥有者。

(d6)消息拥有者收到v和w，确定j、c、s：

j＝ωv

s＝ωw。

(d7)消息拥有者输出密文σ：

σ＝(r,c,s)

给接收方。

e、解密

(e1)接收方收到密文σ后，确定j：

j＝(sb+xb)r。

(e2)接收方恢复出m：

f、验证

按下式进行验证：

sg＝h2(m,r)^-1·(ua+h1(ia,ya)y+ya)+r

成立，接收方接受恢复的消息；否则，接收方不接受恢复的消息。

在本发明的生成用户部分公私钥步骤c的步骤c1中，密钥生成中心确定拥有身份ia的盲签密方的部分公钥ua、部分私钥sa的生成方法如下：

(1)密钥生成中心选取一个随机数υa∈[1,n)并确定盲签密方的部分公钥ua、部分私钥sa：

ua＝υag

sa＝υa+s·h1(ia,ya)modn。

(2)密钥生成中心确定ra：

ra＝sag+υaya

(3)密钥生成中心发送sa、ra、ua给盲签密方。

(4)盲签密方收到sa、ra、ua，下面两式：

sag＝ua+h1(ia,ya)y

sag＝ra-xaua

同时成立，部分公钥ua、部分私钥sa具有真实性。

在本发明的生成用户部分公私钥步骤c的步骤c2中，密钥生成中心确定拥有身份ia的接收方的部分公钥ub、部分私钥sb的生成方法如下：

(1)密钥生成中心选取一个随机数υb∈[1,n)并确定接收方的部分公钥ub、部分私钥sb：

ub＝υbg

sb＝υb+s·h1(ib,yb)modn。

(2)密钥生成中心确定rb：

rb＝sbg+υbyb。

(3)密钥生成中心发送sb、rb、ub给接收方。

(4)接收方收到sb、rb、ub，下面两式：

sbg＝ub+h1(ib,yb)y

sbg＝rb-xbub

同时成立，部分公钥ub、部分私钥sb具有真实性。

本发明将盲签密技术扩展到无证书密码系统和椭圆曲线密码系统，提出了一种无证书环境下椭圆曲线盲签密方法，消除了传统的公钥基础设施中的证书管理问题和身份密码系统中的密钥托管问题，克服了现有技术中网络必须有可信中心为用户生成公钥、需要安全信道传送秘密信息、计算复杂度比较高、密钥需要托管给可信中心的缺点，使盲签密方和消息拥有者通过交互为接收方生成消息m的密文，除接收方之外的其他人看不到真实消息，接收方能够确信消息的来源。本发明具有安全性强、计算和通信成本低等优点，适合用于电子投票、电子支付、电子合同等技术领域。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

本实施例以椭圆曲线y²≡x³+ax+bmodp、大素数p为2¹⁹²-2⁶⁴-1为例，无证书环境下椭圆曲线盲签密方法由下述步骤组成：

a、系统初始化

(a1)密钥生成中心选择一个大素数p，p为2¹⁹²-2⁶⁴-1，定义有限域fp上的椭圆曲线e：y²≡x³+ax+b，其中a,b∈fp是满足4a³+27b²≠0的常量，选取阶为n的椭圆曲线e上的一个基点g，e(a,b)和无穷远点o组成一个加法循环群gp，g是加法循环群gp的一个生成元，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,2¹⁹²-2⁶⁴-2}，l是消息长度、t是身份长度。

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(2¹⁹²-2⁶⁴-1,fp,e,gp,g,y,l,h1,h2,h3)。

b、生成用户公私钥

(b1)拥有身份ia的盲签密方随机选取私钥xa∈[1,n)并确定其公钥ya：

ya＝xag。

(b2)拥有身份ib的接收方随机选取私钥xb∈[1,n)并确定其公钥yb：

yb＝xbg。

c、生成用户部分公私钥

(c1)密钥生成中心确定拥有身份ia的盲签密方的部分公钥ua、部分私钥sa如下：

(c1.1)密钥生成中心选取一个随机数υa∈[1,n)并确定盲签密方的部分公钥ua、部分私钥sa：

ua＝υag

sa＝υa+s·h1(ia,ya)modn。

(c1.2)密钥生成中心确定ra：

ra＝sag+υaya。

(c1.3)密钥生成中心发送sa、ra、ua给盲签密方。

(c1.4)盲签密方收到sa、ra、ua，下面两式：

sag＝ua+h1(ia,ya)y

sag＝ra-xaua

同时成立，部分公钥ua、部分私钥sa具有真实性。

(c2)密钥生成中心确定拥有身份ib的接收方的部分公钥ub、部分私钥sb如下：

(c2.1)密钥生成中心选取一个随机数υb∈[1,n)并确定接收方的部分公钥ub、部分私钥sb：

ub＝υbg

sb＝υb+s·h1(ib,yb)modn。

(c2.2)密钥生成中心确定rb：

rb＝sbg+υbyb。

(c2.3)密钥生成中心发送sb、rb、ub给接收方。

(c2.4)接收方收到sb、rb、ub，下面两式：

sbg＝ub+h1(ib,yb)y

sbg＝rb-xbub

同时成立，部分公钥ub、部分私钥sb具有真实性。

d、盲签密

(d1)盲签密方选取一个随机数f∈[1,n)并确定β：

β＝fg。

(d2)盲签密方发送β给消息拥有者。

(d3)消息拥有者选取一个盲因子ω∈[1,n)并确定r和μ：

r＝ωβ

μ＝ω·h2(m,r)

式中m是长度为l的消息。

(d4)消息拥有者发送μ给盲签密方。

(d5)盲签密方收到μ并确定v和w：

v＝f(ub+h1(ib,yb)y+yb)

w＝μ^-1(xa+sa)+f。

(d5)盲签密方发送v和w给消息拥有者。

(d6)消息拥有者收到v和w，确定j、c、s：

j＝ωv

s＝ωw。

(d7)消息拥有者输出密文σ：

σ＝(r,c,s)

给接收方。

由于本实施例采用了无证书盲签密方法，消除了传统的公钥基础设施中的证书管理问题和身份密码系统中的密钥托管问题，克服了现有技术中网络必须有可信中心为用户生成公钥、需要安全信道传送秘密信息、计算复杂度比较高、密钥需要托管给可信中心的缺点，使盲签密方和消息拥有者通过交互为接收方生成消息m的密文，除接收方之外的其他人看不到真实消息，接收方能够确信消息的来源。本发明具有安全性强、计算和通信成本低等优点，适合用于电子投票、电子支付、电子合同等技术领域。

e、解密

(e1)接收方收到密文σ后，确定j：

j＝(sb+xb)r。

(e2)接收方恢复出m：

f、验证

按下式进行验证：

sg＝h2(m,r)^-1·(ua+h1(ia,ya)y+ya)+r

成立，接收方接受恢复的消息；否则，接收方不接受恢复的消息。

实施例2

本实施例以椭圆曲线y²≡x³+ax+bmodp、大素数p为2²²⁴-2⁹⁶+1为例，无证书环境下椭圆曲线盲签密方法由下述步骤组成：

a、系统初始化

(a1)密钥生成中心选择一个大素数p，p为2²²⁴-2⁹⁶+1，定义有限域fp上的椭圆曲线e：y²≡x³+ax+b，其中a,b∈fp是满足4a³+27b²≠0的常量，选取阶为n的椭圆曲线e上的一个基点g，e(a,b)和无穷远点o组成一个加法循环群gp，g是加法循环群gp的一个生成元，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,2²²⁴-2⁹⁶}，l是消息长度、t是身份长度。

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(2²²⁴-2⁹⁶+1,fp,e,gp,g,y,l,h1,h2,h3)。

其它步骤与实施例1相同。

实施例3

本实施例以椭圆曲线y²≡x³+ax+bmodp、大素数p为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1为例，无证书环境下椭圆曲线盲签密方法由下述步骤组成：

a、系统初始化

(a1)密钥生成中心选择一个大素数p，p为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1，定义有限域fp上的椭圆曲线e：y²≡x³+ax+b，其中a,b∈fp是满足4a³+27b²≠0的常量，选取阶为n的椭圆曲线e上的一个基点g，e(a,b)和无穷远点o组成一个加法循环群gp，g是加法循环群gp的一个生成元，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶}，l是消息长度、t是身份长度。

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1,fp,e,gp,g,y,l,h1,h2,h3)。

其它步骤与实施例1相同。

实施例4

本实施例以椭圆曲线y²≡x³+ax+bmodp、大素数p为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1为例，无证书环境下椭圆曲线盲签密方法由下述步骤组成：

a、系统初始化

(a1)密钥生成中心选择一个大素数p，p为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1，定义有限域fp上的椭圆曲线e：y²≡x³+ax+b，其中a,b∈fp是满足4a³+27b²≠0的常量，选取阶为n的椭圆曲线e上的一个基点g，e(a,b)和无穷远点o组成一个加法循环群gp，g是加法循环群gp的一个生成元，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,2³⁸⁴-2¹²⁸-2⁹⁶+2³²-2}，l是消息长度、t是身份长度；

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1,fp,e,gp,g,y,l,h1,h2,h3)。

其它步骤与实施例1相同。

实施例5

本实施例以椭圆曲线y²≡x³+ax+bmodp、大素数p为2⁵²¹-1为例，无证书环境下椭圆曲线盲签密方法由下述步骤组成：

a、系统初始化

(a1)密钥生成中心选择一个大素数p，p为2⁵²¹-1，定义有限域fp上的椭圆曲线e：y²≡x³+ax+b，其中a,b∈fp是满足4a³+27b²≠0的常量，选取阶为n的椭圆曲线e上的一个基点g，e(a,b)和无穷远点o组成一个加法循环群gp，g是加法循环群gp的一个生成元，n是素数为有限的正整数。

(a2)密钥生成中心选取密码学安全的hash函数h1、hash函数h2、hash函数h3：hash函数h1是{0,1}^t×gp→zp，hash函数h2是{0,1}^l×gp→zp，hash函数h3是gp×gp→{0,1}^l，其中zp是{0,1,...,2⁵²¹-2}，l是消息长度、t是身份长度；

(a3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥。

(a4)密钥生成中心确定系统公钥y：

y＝sg。

(a4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(2⁵²¹-1,fp,e,gp,g,y,l,h1,h2,h3)。

其它步骤与实施例1相同。

根据上述原理，取不同的大素数q的值，可以得出不同的通用可复合的身份代理签密方法，均在本发明的保护范围之内。