[发明专利]一种基于零知识证明的可监管匿名认证方法

权利要求书

1.一种基于零知识证明的可监管匿名认证方法，其特征在于：包括CA、用户和验证者三类参与方，其中：CA生成发行方密钥对和群密钥，在用户进行注册时CA为其分配一对私钥，同时CA根据用户提交的属性信息为用户颁发相关的证书；在用户出示证书时，验证者指定用户证书上需要出示的属性，用户对证书进行签名，同时隐藏无需出示的属性值；验证者对签名进行验证，若签名通过验证，则用户出示的证书有效，否则，用户出示的证书无效，其中：生成发行方密钥对的过程为：设G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元，存在可计算的双线性对e：G₁×G₂→G_T，满足：

(1)双线性：对于任意U₁∈G₁，U₂∈G₂，任意整数a，b∈Z_p，都有e(aU₁，bU₂)＝e(abU₁，U₂)＝e(U₁，abU₂)＝e(U₁，U₂)^ab；

(2)非退化性：e(P₁，P₂)≠1；

CA选择随机数r∈Z_p，属性名AttrName＝[name₁，...name_k]，长度为k，name_i为字符串，CA通过属性名列表定义属性结构；

ISK＝r∈Z_p，PK＝r·P₂∈G₂，AttrName＝[name₁，...name_k]，随机选择整数r′₁，r′₂，...，r′_k∈Z_p，计算一组长度为k的随机数HAttr＝{r′₁·P₁，..，r′_k·P₁}∈G₁，然后随机选择整数r₁，r₂，r₃∈Z_p，计算HSK＝r₁·P₁∈G₁，Hrand＝r₂·P₁∈G₁，

然后计算关于ISK的零知识证明：

ZK{ISK：

计算为随机整数，

计算

计算

}

输出发行方密钥对：

ISK＝r，

验证零知识证明：

计算

计算

计算

判断c_r′＝c_r是否成立：若成立，则发行方密钥正确，否则发行方密钥不正确。

2.根据权利要求1所述的一种基于零知识证明的可监管匿名认证方法，其特征在于：生成群密钥的过程为：随机选择整数ξ₁，ξ₂∈Z，令h＝(ξ₁ξ₂)·P₁∈G₁，u＝ξ₂·P₁∈G₁，v＝∈ξ₁·P₁∈G₁，则有h＝ξ₁·u＝ξ₂·v；CA设置群追踪密钥为TK＝(ξ₁，ξ₂)，群公钥为GPK＝(u，v，h)，得到群密钥(TK，GPK)。