[发明专利]一种基于椭圆曲线的前向安全的成员可撤销无证书群签名方法

权利要求书

1.一种基于椭圆曲线的前向安全的成员可撤销无证书群签名方法，方法中涉及的主体为密钥生成中心KGC、群管理员GM及群成员A，其特征在于，该方法具体步骤如下：

步骤1：系统初始化算法，选取有限域F_q上的一条椭圆曲线E为y²＝x³+ax+b，a,b∈F_q且Δ＝4a³+27b²≠0，P是该椭圆曲线的生成元，设置安全参数k∈N及Hash函数H:{0,1}^*→Z_P；

步骤2：密钥生成算法，密钥生成中心KGC产生主密钥x及相应公钥P_pub，生成系统参数(F_q,E/F_q,q,P,P_pub,H)；所述的步骤2具体包括如下子步骤：

步骤2.1：密钥生成中心KGC随机选取作为系统主密钥，计算P_pub＝xP作为其公钥；

步骤3：密钥提取算法，包含群管理员GM及群成员A密钥提取过程，所述的步骤3具体包括如下子步骤：

步骤3.1：群管理员GM随机选取作为其秘密值，计算P_GM＝x_GMP；

步骤3.2：KGC随机选取计算R_GM＝r_GMP,s_GM＝r_GM+xH(ID_GM||P_GM||R_GM)，其中ID_GM表示GM的身份信息；

步骤3.3：GM验证等式s_GMP＝R_GM+P_pubH(ID_GM||P_GM||R_GM)是否成立，若不成立，则返回上一步，若成立，则接受部分密钥s_GM，则得到群管理员GM部分私钥对SK_GM＝(x_GM,s_GM)以及相应的部分公钥对PK_GM＝(x_GMP,s_GMP)＝(P_GM,S_GM)；

步骤3.4：A选取作为其秘密值，计算P_A＝x_AP；

步骤3.5：KGC随机选取计算R_A＝r_AP,s_A＝r_A+xH(ID_A||P_A||R_A)，其中ID_A表示A的身份信息；

步骤3.6：A验证等式s_AP＝R_A+P_pubH(ID_A||P_A||R_A)是否成立，若不成立，则返回上一步，若成立，则接受部分密钥s_A，则得到群成员A的部分私钥对SK_A＝(x_A,s_A)以及相应的部分公钥对PK_A＝(x_AP,s_AP)＝(P_A,S_A)；

步骤4：成员加入算法，所述的步骤4具体包括如下子步骤：

步骤4.1：A随机选取作为第i时段的签名密钥，计算Y_A,i＝x_A,iP；

步骤4.2：A随机选取T为签名有效期，计算

t＝uP,h_A,i＝H(ID_A||PK_A||Y_A,i||t||T),s_A,i＝u-h_A,iSK_A＝u-h_A,i(x_A+s_A)；

步骤4.3：GM从KGC处获取A相应公钥，计算t'＝s_A,iP+h_A,iPK_A＝s_A,iP+h_A,i(P_A+S_A)，验证等式h'_A,i＝H(ID_A||PK_A||Y_A,i||t'||T)＝h_A,i是否成立，若不成立，则返回上一步，若成立，则为A生成成员证书；

步骤4.4：GM随机选取计算E_A,i＝(SK_GM+Y_A,i)·e_A^-1；

步骤4.5：A验证等式E_A,i·e_A·P＝PK_GM+P·Y_A,i是否成立，若成立，则接受成员证书(E_A,i,e_A)；

步骤5：签名算法，群成员A对消息m进行签名，i为系统所处时间段，所述的步骤5具体包括如下子步骤：

步骤5.1：A随机选取计算T_A,i＝P·E_A,i+w·P·PK_GM,T₂＝wP；

步骤5.2：A随机选择计算

d₁＝r₁·T_A,i-r₂·P·PK_GM,d₂＝r₁T₂-r₂P,d₃＝r₃P,d₄＝r₄T₂,

c＝H(Y_A,i||PK_GM||T_A,i||T₂||d₁||d₂||d₃||d₄||m||i),

s₁＝r₁-ce_A,s₂＝r₂-ce_Aw,s₃＝r₃-cw,s₄＝r₄-cx_A,iw^-1,

最终生成知识签名δ＝(c,s₁,s₂,s₃,s₄,T_A,i,T₂,i)；

步骤6：验证算法，验证者计算

c'＝H(Y_A,i||PK_GM||T_A,i||T₂||c(PK_GM+P·Y_A,i)+s₁T_A,i-s₂·P·PK_GM||

s₁T₂-s₂P||cT₂+s₃P||cY_A,i+s₄T₂||m||i)

当且仅当c'＝c成立时接受群签名。