[发明专利]云服务场景下无证书数字签名方法

权利要求书

1.云服务场景下无证书数字签名方法，其特征在于，包括如下步骤：

步骤1，PKG_r设置：

(i)选择G₁为阶为素数p的加法子群，G₂为阶为p的乘法子群，双线性映射e:G₁×G₁→G₂；

(ii)设P是群G₁的一个生成元；

(iii)选择四个单向的哈希函数H₁,H₂,H₃:{0,1}^*→G₁，H₄:{0,1}^*→Z_p；

(iv)假设q是一个大素数，选择一个随机数s∈Z_q为PKG_r主密钥，设置pk＝sP，(s,pk)构成系统主密钥对，公开参数为G₁,G₂,e,g,pk,H₁,H₂,H₃,H₄；

步骤2，PKG_c设置：

(i)初始化:s是PKG_r的主密钥，即为(k,n)方案中的共享密钥，假设level-2是由n个PKG_c构成的环，则s可由子秘密持有者P₁,P₂....P_n所共享；

(ii)密钥分发:

Step1：PKG_r随机选取一个k-1次随机多项式f(x)＝a₀+a₁x+a₂x²+...+a_k-1x^k-1(a₀≠0)，使得f(0)＝a₀＝s；

Step2：PKG_r再选取另一个k-1次随机多项式g(x)＝b₀+b₁x+b₂x²+...+b_k-1x^k-1(a₀≠b₀)；

Step3：PKG_r计算m_i＝f(i)，r_i＝g(i)，并向PKG_c中的P_i(1≤i≤n)发送密钥(s_i,v_i)，s_i为子密钥，v_i为验证子密钥，公开pk_i＝s_iP(1≤i≤n)；

(iii)验证阶段：环中所有P_i(1≤i≤n)共同选取随机数当收到s_i和v_i时，将a₁s_i+a₂v_i的值公布，计算(i,a₁s_i+a₂v_i)这n个点的拉格朗日多项式l(x)，若l(x)是k-1次的，则所有子密钥都是有效的，否则环密钥中存在错误的子密钥；

步骤3，用户私钥：

(i)假设PKG_c中的是由ε个用户组成的用户集U＝{u₁,u₂,...u_ε}，令u_A＝u_j(1≤j≤ε)；

(ii)u_A随机选取x_A∈Z_q，计算以及临时身份P_A＝H₄(ID_A||T_A)，ID_A＝DN_r||DN_i||DN_A,T_A为用户A的生存周期，同时将发送给

(iii)收到消息，根据DN_A,DN_i,DN_r获取ID_A，验证P_A？＝H₄(ID_A||T_A)，若成立，计算Q_A＝H₁(P_A)；

(iv)验证e(s_iQ_A,P)？＝e(H₁(P_A),pk_i)，若成立，用户最终的私钥sk_A＝s_iQ_A，公开公钥

步骤4，无证书数字签名及其验证：

指定无证书签名中的私钥生成中心KGC_A为模型中云域A的任一通过层次模型，实现u_A与KGC_A之间的相互认证，认证过程如下所示：

(1)数字签名：pk_A＝s_AP，此时，用户部分私钥签名用户随机选取秘密值x_A，则用户最终私钥sk_A＝(x_A,s_AQ_A)，公钥

用户u_A随机选取y_A∈Z_q，利用私钥sk_A＝(x_A,s_AQ_A)，计算Y_A＝y_Ax_AP和Y’_A＝y_Ax_Apk_A，输入匿名身份P_A和签名消息m_A计算生成签名发送认证消息{Y’_A,pk_A,σ_Au,P_A}给KGC_A；

(2)相互认证：KGC_A收到认证消息后，计算

Y_A＝Y’_A/s_A

＝y_Ax_Apk_A/s_A

＝y_Ax_As_sP/s_A

＝y_Ax_AP

和验证若成立，确认用户u_A的身份；KGC_A随机选取z_A∈Z_q，计算Z_A＝z_Ax_AP，Z’_A＝z_Ax_Apk_A和生成KGC_A的签名发送认证消息给u_A；u_A收到认证消息之后，计算

Z_A＝Z’_A/s_A

＝z_Ax_Apk_A/s_A

＝z_Ax_As_AP/s_A＝z_Ax_AP

和验证若成立，确认用户PKG_ci的身份；

步骤5，无证书数字聚合签名及其验证：

假设签名者u_i随机选取r_i∈Z_q,计算U_i＝r_iP，T＝H₂(pk_pub)，W＝H₃(P,pk_pub)，令则δ_i＝(U_i,V_i)即为用户ID_i对消息m_i的签名；

聚合：当聚合者收到签名δ_i后，计算T＝H₂(pk_pub)，W＝H₃(P,pk_pub)，验证若成立，则接受签名，反之不接受；当接受ε个签名后，计算则聚合签名δ＝(U,V)，其中pk_pub＝s_iP，1≤i≤n。

2.根据权利要求1所述的云服务场景下无证书数字签名方法，其特征在于，所述聚合验证：计算U_i＝r_iP，T＝H₂(pk_pub)，W＝H₃(P,pk_pub)，验证若成立，则接受聚合签名，反之不接受。