[发明专利]一种在线/离线高效的数字签名方法

权利要求书

1.一种在线/离线数字签名方法，其中，表示签名者，的公钥为U＝g^-w∈G，的私钥为w∈Z_q＝{0，1，2，…，q-1}，其中g是一个阶为N的有限群G′中的一个阶为素数q的循环子群G的生成元，的公钥证书为m为待签名的信息，表示签名验证者，所述方法包括：由所述签名者得到e＝h(m，aux_m)，其中h：{0，1}^*→Z_q是一个从{0，1}^*到Z_q的抗碰撞的转换函数且m是h的输入之一，aux_m是一个包含的集合的能够为空的子集合，其中，{0，1}^*表示的是任意0-1串的集合；

由所述签名者得到r∈Z_q、a＝g^r和/或d＝f(a，aux_d)，其中f是一个从{0，1}^*到Z_q的转换函数且a是f的输入之一，aux_d是一个包含的集合的能够为空的子集合；

由所述签名者计算z，其中z的计算基于er+dw或dr+ew；

由所述签名者将s＝{d，z，aux₁}或s＝{a，z，aux₂}或s＝{a，d，z，aux₃}作为对信息m的数字签名，其中，{…}表示一个信息或数值的集合，aux_i，1≤i≤3，是一个包含的集合的能够为空的子集合，aux_d，aux_m，aux₁，aux₂，aux₃以及函数h，f或者是固定的并被所有的用户事先获知，或者被包含在证书中，或者在协议运行之前被交换和协商；

由所述签名验证者得到所述签名者的公钥U、公钥证书{m，s}之后，首先验证所述公钥证书的有效性，若验证通过，则所述签名验证者得到e＝h(m，aux_m)并按照如下情况之一验证签名的有效性：

若z的计算基于er+dw且d∈s，则所述签名验证者得到计算并验证或者若验证成功，则接受签名，否则拒绝；

若z的计算基于er+dw且a∈s但则所述签名验证者得到和d＝f(a，aux_d)，并验证或若验证成功，则接受签名，否则拒绝；

若z的计算基于dr+ew且d∈s，则所述签名验证者得到并验证或者若验证成功，则接受签名，否则拒绝；

若z的计算基于dr+ew且a∈s但则所述签名验证者得到d＝f(a，aux_d)和并验证或若验证成功，则接受签名，否则拒绝。

2.如权利要求1所述的方法，其中，若所述签名验证者在得到签名之前事先知道m，或所述签名者在产生签名之前事先知道m，则所述签名验证者和/或所述签名者能事先计算并存储e＝h(m，aux_m)和/或

若z的计算基于er+dw，则事先计算并在中存储{Ω₁，Ω₂，…，Ω_n}，n≥1，其中对于任意的i，1≤i≤n，r_i∈Z_q，

若z的计算基于dr+ew，则事先计算并在中存储{∑₁，∑₂，…，∑_n}，n≥1，其中对任意的i，1≤i≤n，r_i∈Z_q，

当所述签名者在线数字签名的时候，在这些事先离线存储的值中找出之前签名尚未使用的Ω_i或∑_i，并将Ω_i或∑_i中的值直接用于在线的签名生成，若z的计算基于dr+ew且预先知道待签名的信息m，还能预先计算e＝h(m，aux_m)以及ew或ew(modq)。