[发明专利]无证书环境下椭圆曲线盲签密方法

权利要求书

1.一种无证书环境下椭圆曲线盲签密方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)密钥生成中心定义有限域F_p上的椭圆曲线E，选取阶为n的椭圆曲线E上的一个基点G，G是加法循环群G_p的一个生成元，其中p是一个大素数为有限的正整数，n是素数为有限的正整数；

(A2)密钥生成中心选取密码学安全的Hash函数h₁、Hash函数h₂、Hash函数h₃：Hash函数h₁是{0,1}^t×G_p→Z_p，Hash函数h₂是{0,1}^l×G_p→Z_p，Hash函数h₃是G_p×G_p→{0,1}^l，其中Z_p是{0,1,...,p-1}，l是消息长度、t是身份长度；

(A3)密钥生成中心选取一个随机数s∈[1,n)作为主密钥；

(A4)密钥生成中心确定系统公钥y：

y＝sG；

(A4)密钥生成中心保密主密钥s，公布系统参数γ：

γ＝(p,F_p,E,G_p,G,y,l,h₁,h₂,h₃)；

B、生成用户公私钥

(B1)拥有身份I_a的盲签密方随机选取私钥X_a∈[1,n)并确定其公钥Y_a：

Y_a＝X_aG；

(B2)拥有身份I_b的接收方随机选取私钥X_b∈[1,n)并确定其公钥Y_b：

Y_b＝X_bG；

C、生成用户部分公私钥

(C1)密钥生成中心确定拥有身份I_a的盲签密方的部分公钥U_a、部分私钥S_a；

其生成方法如下：

(C101)密钥生成中心选取一个随机数υ_a∈[1,n)并确定盲签密方的部分公钥U_a、部分私钥S_a：

U_a＝υ_aG

S_a＝υ_a+s·h₁(I_a,Y_a)mod n；

(C102)密钥生成中心确定R_a：

R_a＝S_aG+υ_aY_a；

(C103)密钥生成中心发送S_a、R_a、U_a给盲签密方；

(C104)盲签密方收到S_a、R_a、U_a，下面两式：

S_aG＝U_a+h₁(I_a,Y_a)y

S_aG＝R_a-X_aU_a

同时成立，部分公钥U_a、部分私钥S_a具有真实性；

(C2)密钥生成中心确定拥有身份I_b的接收方的部分公钥U_b、部分私钥S_b；

其生成方法如下：

(C201)密钥生成中心选取一个随机数υ_b∈[1,n)并确定接收方的部分公钥U_b、部分私钥S_b：

U_b＝υ_bG

S_b＝υ_b+s·h₁(I_b,Y_b)mod n；

(C202)密钥生成中心确定R_b：

R_b＝S_bG+υ_bY_b；

(C203)密钥生成中心发送S_b、R_b、U_b给接收方；

(C204)接收方收到S_b、R_b、U_b，下面两式：

S_bG＝U_b+h₁(I_b,Y_b)y

S_bG＝R_b-X_bU_b

同时成立，部分公钥U_b、部分私钥S_b具有真实性；

D、盲签密

(D1)盲签密方选取一个随机数f∈[1,n)并确定β：

β＝fG；

(D2)盲签密方发送β给消息拥有者；

(D3)消息拥有者选取一个盲因子ω∈[1,n)并确定r和μ：

r＝ωβ

μ＝ω·h₂(m,r)

式中m是长度为l的消息；

(D4)消息拥有者发送μ给盲签密方；

(D5)盲签密方接收μ并确定V和W：

V＝f(U_b+h₁(I_b,Y_b)y+Y_b)

W＝μ^-1(X_a+S_a)+f；

(D5)盲签密方发送V和W给消息拥有者；

(D6)消息拥有者接收V和W，确定J、c、s：

J＝ωV

s＝ωW；

(D7)消息拥有者输出密文σ：

σ＝(r,c,s)

给接收方；

E、解密

(E1)接收方收到密文σ后，确定J：

J＝(S_b+X_b)r；

(E2)接收方恢复出m：

F、验证

按下式进行验证：

sG＝h₂(m,r)^-1·(U_a+h₁(I_a,Y_a)y+Y_a)+r

成立，接收方接受恢复的消息；否则，接收方不接受恢复的消息。