[发明专利]一种基于身份的部分盲签名方法

权利要求书

1.一种基于身份的部分盲签名方法，其特征在于，包括：

(1)建立一个公开系统参数{G₁，q，l，P，G₂，e，H₁，H₂，H₃，Q_PKG}；

其中，<G₁，+>是一个阶为素数q的循环加法群；l是安全系数且满足q＞2^l；P是G₁的生成元；<G₂，·>是一个阶为素数q的循环乘法群；e是一个双线性对映射，将G₁中的任意两个元素，映射到G₂上的一个元素，即e(G₁，G₁)→G₂；H₁、H₂和H₃是三个无碰撞安全杂凑函数，H₁是将长度不等的0/1序列映射到G₁上的一个元素的杂凑函数，H₁：{0，1}^*→G₁；H₂是将长度不等的0/1序列和G₁上任意元素映射到mod q的整数乘法群上的一个元素的杂凑函数，H₃是将长度不等的0/1序列映射到mod q的整数乘法群上的一个元素的杂凑函数，私钥生成中心PKG选取作为该系统的私钥，计算Q_PKG＝S_PKGP并令Q_PKG作为PKG的公钥，其中S_PKG保密，不对外公开；

(2)签名者向PKG提供其身份信息id∈{0，1}^*，PKG验证签名者身份信息与实体无误后，计算Q_id＝H₁(id)∈G₁和S_id＝sQ_id，并将S_id通过安全信道发送给签名者作为其私钥；

(3)签名者接收S_id后，计算等式e(S_id，P)＝e(Q_id，Q_PKG)是否成立；如果等式成立，则接受S_id作为其私钥，相应的Q_id为作为其公钥；若等式不成立，则要求PKG重新生成有效的公私钥对，直至该公私钥对满足所述等式，并接受该公私钥对为签名者的公私钥；

(4)签名者从mod q的整数乘法群中随机选取一个整数k，计算一次性随机信息W＝H₃(info)Q_id和一次性保护信息U＝kP，并将(W，U)发送给签名请求者，其中info表示签名双方协商的公共信息；

(5)签名请求者从mod q的整数乘法群中随机选取一个整数t，将整数t作为盲化因子对待签消息进行盲化操作，计算待签名消息msg的承诺信息h＝H₂(msg，info，Z)和h的盲化信息h^*＝th，并将h^*发送给签名者，其中Z＝W+tU；

(6)签名者进行盲签名，即计算签名后的盲化信息η＝h^*·k·Q_PKG和签名后的验证信息δ＝H₃(info)·S_id，并将(η，δ)作为盲签名发送签名者；

(7)签名请求者对接收到的盲签名(η，δ)进行去盲操作，即计算：V＝η+h·δ，并将(Z，V)作为签名者对公共信息info和待签名信息msg的签名信息，其中V是去盲后的验证信息；

(8)验证者收到身份信息为id的签名者对公共信息info和待签名信息msgβ的签名信息(Z，V)后，验证等式e(V，P)＝e(h·Z，Q_PKG)是否成立，其中h＝H₂(msg，info，Z)，若该式成立则通过验证，否则失败。

2.根据权利要求1中所述的基于身份的部分盲签名方法，其特征在于，步骤(1)所述的建立一个公开系统参数，是由PKG按如下步骤进行建立：

(1a)根据安全需要，确定安全系数l和素数q的大小，利用椭圆曲线构造满足双线性映射e(G₁，G₁)→G₂的循环加法群<G₁，+>和循环乘法群<G₂，·>；

(1b)选择以下无碰撞杂凑函数H₁：{0，1}^*→G₁、和H3:{0,1}*→Zq*;]]>

(1c)从mod q的整数乘法群中随机选取一个整数s_PKG作为私钥生成中心PKG的私钥，并计算Q_PKG＝s_PKGP作为其对应的公钥；

(1d)公开系统参数{G₁，q，l，P，G₂，e，H₁，H₂，H₃，Q_PKG}，并将s_PKG作为秘密值保存。