[发明专利]基于椭圆曲线离散对数困难性假设的DAA认证方法及系统

权利要求书

1.一种基于普通椭圆曲线离散对数的困难性假设的直接匿名认证DAA认证方法，其特征在于，所述方法包括：

在初始化过程中，发布方根据定义在有限域F_q的一条椭圆曲线E：y²=x³+ax+b，生成发布方的公钥和私钥，并发布公钥；

在Join协议过程中，可信赖平台模块TPM采用哈希HASH函数生成秘密秘密IDf，将秘密f和椭圆曲线的基点g倍乘生成DAA证书的公钥e,将秘密f和TPM的基名的倍乘作为假名N_i，并向发布方采用基于椭圆曲线离散对数零知识证明证明其拥有秘密f，并由f正确计算出了证书的公钥和假名(e,N_i)，公布(e,N_i)，保存秘密f；平台保存DAA证书的公钥e；

在sign协议过程中，TPM首先计算假名N_V，N_V是TPM秘密IDf和验证方基名的倍乘；然后平台Host随机选取b∈F_q，计算T₁=be和T₂=bg，将T₁、T₂传给TPM，TPM采用基于椭圆曲线离散对数零知识证明，证明T₁、T₂来自证书，且N_V的计算中应用的f为该证书的秘密，在零知识证明过程中，完成对消息m的签名σ=(c,w₁,w₂,T₁,T₂,ζ,N_v,n_t)；

在验证过程中，验证方采用椭圆曲线的倍乘和点加方式，对该签名进行验证。

2.如权利要求1所述的方法，其特征在于，所述发布方根据定义在有限域F_q的一条椭圆曲线E：y²=x³+ax+b，发布公钥包括：

发布方定义q为素数，q的长度l_q为200，随机选取小于q-1的正整数作为参数a；

根据条件4a³+27b²≠0(modp)判断随机产生的小于q-1的正整数是否适合作为参数b；

随机产生0到q-1间的整数作为基点g的横坐标，并根据确定基点g的纵坐标；

n为大素数并且等于基点g的阶数；

根据产生的归属于有限域内的随机数x_S，x_R，x_m，x_n，计算：S=x_Sg，R=x_RS，M=x_mg，N=x_nM，发布公钥PK_i=(a,b,q,g,n,O,S,R,N)；

所述TPM采用椭圆曲线的倍乘方式生成DAA证书的公钥和假名，包括：

定义归属于有限域F_q的H₂为H₂:{0,1}^*→F_q，H₁为H₁:{0,1}^*→E(F_q)；

根据发布方提供的归属于该发布方的基名bsn_i，计算ζ_i=H₁(1||bsn_i)；

根据f＝H₂(DAASeed)□cnt□1)，其中H₂为H₂:{0,1}^*→F_q，DAASeed为TPM内部的恒定种子常量，cnt为TPM进行join协议的次数计算器；

根据e＝fg产生证书的公钥e，并根据N_i=fζ_i确定假名N_i，其中f为证书的秘密ID，g为基点。