[发明专利]基于椭圆曲线离散对数困难性假设的DAA认证方法及系统

说明书

技术领域

本发明涉及数字认证技术领域，尤其涉及一种基于普通椭圆曲线离散对数的困难性假设的直接匿名认证（Direct Anonymous Attestation，DAA）认证方法及系统。

背景技术

对于平台身份认证，可信计算组织（TCG）采用了直接匿名认证（Direct Anonymous Attestation，DAA）协议，该协议为当前可信计算平台身份认证最好的理论解决方案之一。

许多研究团体正在研究基于椭圆曲线和双线形映射的DAA方案，简称为ECC-DAA。根据困难性假设，ECC-DAA又分为两种不同的类型。其一是基于LRSW假设和双线对DDH假设的ECC-DAA。为了增加实施的灵活性、安全和效率，采用非对称双线形映射对此进行了扩展；其二是基于q-SDH假设和双线对DDH假设的ECC-DAA。但，不管是“基于LRSW假设和双线对DDH假设的ECC-DAA方案”还是“基于q-SDH假设和双线对DDH假设的ECC-DAA方案”，所有的方案均保留了原DAA方案的基本流程与框架，仅仅用双线形映射替换RSA模指数运算，获得更短的密钥长度和计算量的降低。从本质上讲，这些方案均是原方案的性能提高版，但是，几乎所有的ECC-DAA方案运算依然复杂。

无论是RSA-DAA方案还是ECC-DAA方案，均基于某一计算困难性。困难假设不同，零知识证明和DAA流程中的运算就不同，但零知识证明框架和DAA流程基本都是一致的。目前，绝大部分工作均是根据不同的困难假设进一步优化零知识证明和DAA流程中的运算。原则上讲，困难假设的运算复杂性决定DAA方案的复杂性和性能。

在密码学的研究中，迄今为止有三种困难性假设，其一是大整数因子分解问题；其二是有限域上的离散对数问题；其三是椭圆曲线上离散对数问题难解性问题。RSA-DAA通常基于大整数因子分解问题，ECC-DAA通常基于椭圆曲线上的双线形映射相关假设以及其上的循环群相关的离散对数难解性问题。目前，还没有仅仅依赖普通椭圆曲线上离散对数难解性问题这一基础性假设的DAA方案。而椭圆曲线离散对数问题是被公认要比整分解问题（RSA方法的基础）以及模p离散对数问题难解得多，且密钥长度段、算法性能好。

发明内容

有鉴于此，本发明实施提供一种基于普通椭圆曲线离散对数的困难性假设的DAA认证方法及系统，用以解决现有技术中因为困难假设造成的运算复杂性较高，导致直接匿名认证协议的认证方法复杂度高、运算量大的问题。

本发明提供一种基于普通椭圆曲线离散对数的困难性假设的直接匿名认证DAA认证方法，所述方法包括：

在初始化过程中，发布方根据定义在有限域F_q的一条椭圆曲线E：y²＝x³+ax+b，生成发布方的公钥和私钥，并发布公钥；

在Join协议过程中，可信赖平台模块TPM采用哈希HASH函数生成秘密秘密ID f，将秘密f和椭圆曲线的基点g倍乘生成DAA证书的公钥e,将秘密f和TPM的基名的倍乘作为假名N_i，并向发布方采用基于椭圆曲线离散对数零知识证明证明其拥有秘密f，并由f正确计算出了证书的公钥和假名(e,N_i)，公布(e,N_i)，保存秘密f；平台保存DAA证书的公钥e；

在sign协议过程中，TPM首先计算假名N_V，N_V是TPM秘密IDf和验证方基名的倍乘；然后平台Host随机选取b∈F_q，计算T₁=be和T₂=bg，将T₁、T₂传给TPM，TPM采用基于椭圆曲线离散对数零知识证明，证明T₁、T₂来自证书，且N_V的计算中应用的f为该证书的秘密，在零知识证明过程中，完成对消息m的签名σ=(c,w₁,w₂,T₁,T₂,ζ,N_v,n_t)；

在验证过程中，验证方采用椭圆曲线的倍乘和点加方式，对该签名进行验证。

较佳地，所述发布方根据定义在有限域F_q的一条椭圆曲线E：y²=x³+ax+b，发布公钥包括：