本發明公開了一種滿足非授權性質的基于無證書的強指定驗證者簽名體制。其特征在于在構造中利用了無證書密碼體制和零知識的用戶身份認證技術，使其在效率和安全性方面分別優于現有的基于公鑰證書的方案和基于身份的方案，同時使得發明具備良好的非授權性。本發明共有以下八個步驟：初始化、部分私鑰生成、秘密值設置、私鑰設置、公鑰設置、簽名生成、簽名驗證、簽名副本生成。

技術領域

本發明涉及密碼學領域，具體講是涉及一種非授權的基于無證書的強指定驗證者簽名體制的構造方法。

背景技術

在1996年，Jakobsson等人首次提出指定驗證者簽名的概念。指定驗證者簽名和傳統的數字簽名的最大區別就是不能進行公開驗證，而是只有簽名者指定的某個驗證者能夠對簽名進行驗證操作，其他第三方都沒有能力去驗證簽名的正確性，其原因就是指定的驗證者可以生成對第三方來說和簽名者生成的簽名不可區分的模擬簽名副本。指定驗證者簽名可以在一定程度上保護簽名者的隱私，正因如此，指定驗證者簽名經常被用于電子投票、電子投標以及軟件銷售許可等實際場景中。最初標準的指定驗證者簽名所必需的安全屬性有不可偽造性、非傳遞性和簽名者身份隱私性。但在2005年，Limppa等人提出了授權攻擊這一新的攻擊方法，使得很多簽名方案都因為不能抵抗該攻擊模型而變得不安全。直到2012年和2013年，Tian等人分別提出一個基于橢圓曲線的強指定驗證者簽名方案和一個基于身份的強指定驗證者簽名方案，這兩個方案都結合了Schnorr數字簽名技術和零知識的用戶身份認證技術，被證明是目前為止唯二的可以抵抗授權攻擊的簽名方案。

另外，現有的指定驗證者簽名方案大多是基于公鑰證書和基于身份的。基于公鑰證書的方案由于需要證書管理使得方案并不高效，而基于身份的方案由于密鑰托管問題則不夠安全。在2003年，Al-Riyami等人提出無證書密碼學，在該體制中不涉及公鑰證書，且用戶的完整私鑰的生成被分為兩部分，一部分是由密鑰生成中心為用戶生成并托管，另一部分由用戶自己生成并保存。這樣，既減少了證書管理工作提高了效率，又提高了方案的安全性。在2006年，Huang等人首次提出無證書的指定驗證者簽名方案，但之后被證明不能抵抗惡意密鑰生成中心攻擊和授權攻擊。隨后又出現了幾個無證書的指定驗證者簽名方案，也都沒有很好地解決方案易遭受授權攻擊的問題。

發明內容

為了克服上述現有技術的不足，本發明提供了一種滿足非授權性質的基于無證書的強指定驗證者簽名方案。

本發明所采用的技術方案是：在對用戶進行密鑰分配的方式上，本發明采用無證書密碼學的方法。無證書密碼學沒有公鑰證書的參與，從而大大減少了證書管理上的資源消耗。同時，在無證書密碼學中，用戶的完整密鑰生成被分成兩部分，一部分由用戶自身生成，另一部分則由密鑰生成中心幫用戶生成，這樣也解決了基于身份密碼學的密鑰托管問題。為使得指定驗證者簽名能夠抵抗授權攻擊，本發明在構造中結合了標準DSA簽名和零知識的用戶身份認證方法，避免了過去方案中因使用的公共參數值泄露而引起的授權攻擊。

與現有技術相比，本發明的有益效果是采用無證書密碼體制來生成用戶公私鑰對，避免了基于證書密碼學和基于身份密碼學的先天不足帶來的低效性和不安全性，同時構造本發明時利用零知識的用戶身份認證技術，避免了出現導致方案授權性的公共參數值，從而使發明具備了非授權性。

具體實施方式

本發明實施方式包含以下八個算法。

(1)初始化：假設p是一個大素數，F_p是一個有限域，在域中隨機選擇a，b∈_RF_p兩個元素來定義一個抽象的橢圓曲線E。選取橢圓曲線上的一個點P∈_RE來作為以q為階的群G的生成元。另外，定義三個安全的抗碰撞哈希函數：和得到的系統參數sp即為(F_p，a，b，P，q，H₁，H₂，H₃)，密鑰生成中心隨機選擇作為系統主密鑰并保持它的機密性。