用于利用部分验证导出局部签名的方法技术

本发明专利技术涉及一种用于导出消息集合({m_1，

Method for deriving local signatures using partial verification

【技术实现步骤摘要】
【国外来华专利技术】用于利用部分验证导出局部签名的方法


[0001]本专利技术涉及电信的一般领域，并且更具体地涉及使用诸如电子签名技术的加密技术的通信设备之间的交换的安全。

技术介绍

[0002]电子签名是允许认证任何数字数据的加密工具，因此充当传统手写签名的等效物。这种技术现在在我们的日常生活中普遍存在，无论是在浏览互联网时(因为访问https中的任何URL涉及电子签名的使用)，还是在使用银行卡的支付期间。它还构成了由DAA(直接匿名认证)和EPID(增强隐私身份)推广的匿名认证机制的真正基础。
[0003]在大多数情况下，它不是被认证的单个数据，而是n个数据的集合，其中n＞0，例如人的姓名、出生日期、地址等。然后，现有的电子签名解决方案可以分为两个族：产生恒定大小的签名的族，以及大小取决于n的值的其他族。关于签名的大小，前者当然是优选的，但是这种恒定的成本隐藏了一个主要缺陷：签名在签名数据集合上是有效的，并且因此只能通过发送已经签名的所有数据来验证。当然可以使用称为零知识证明技术的技术来隐藏这些元素，但是这仅解决了匿名性的问题：这些非常昂贵的证明在大小上具有与隐藏元素的数量至少成线性的复杂性。
[0004]两种最近的方案能够具有恒定的大小，既用于签名又用于验证证明。
[0005]因此，由Camenisch等人于2015年的亚密会(Asiacrypt)的文章“可组合和模块化匿名凭证：定义和实际构造(Composable and Modular Anonymous Credentials：Definitions and Practical Constructions)”中提出的满足该性质的第一构造是已知的。然而，通过作者自己承认，这种结构的最有效实例涉及超过一百个元素的证明，从而排除了其在实践中的使用。实际上，在这里，验证证明具有恒定的大小，但是该恒量非常高。
[0006]最近，Fuchsbauer等人在2019年的密码学杂志中发表了“等价类上的结构保持签名和恒定大小的匿名凭证(Structure
‑
Preserving Signatures on Equivalence Classes and Constant
‑
Size Anonymous Credentials)”，其具有带有相同性质的构造。证明签名的有效性可以比先前的方案更有效地完成，但是这里的主要问题是在不揭示经认证的数据的情况下证明经认证的数据上的任何关系是不可能的。例如，不可能在不揭示人的出生日期的情况下证明人的法定年龄，这与匿名认证的精神相反。

技术实现思路

[0007]本专利技术的目的之一是解决现有技术的缺点/缺陷，和/或对其进行改进。
[0008]为此，本专利技术提出了一种用于导出消息集合({m_1，
…
，m_n})的子集(I)的局部签名的方法，所述消息集合的子集称为消息子集，所述局部签名旨在证明所述消息集合的签名对所述消息子集中的消息的有效性，所述方法由局部签名导出实体实现，所述方法包括：
[0009]‑
接收所述消息集合({m_1，
…
，m_n})和所述消息集合的签名，所述签名包括所述消息集合的签名元素((q，s))，
[0010]‑
导出根据所述集合中的除了所述消息子集中的消息之外的消息计算的第一验证元素(A)，以及
[0011]‑
导出旨在证明所述第一验证元素被正确地形成的第二验证元素(B)，以及向验证实体(12)发送特定于所述消息子集的局部签名，所述局部签名包括恒定数量的元素，所述恒定数量的元素至少包括所述消息集合的签名的元素、所述第一验证元素(A)和所述第二验证元素(B)，所述局部签名旨在仅用所述消息子集中的消息来验证。
[0012]该方法描述了一种恒定大小的签名系统，其组合了两个世界中的最佳世界。实际上，签名的证明可以非常有效地完成，因为证明包括恒定数量的元素，该恒定的元素具有合理的大小；它确实需要局部签名的四个元素。该系统还允许验证消息子集上的签名的有效性，而不需要知道并因此发送消息的其他部分。该方案可以有利地用于需要认证的所有用例，无论是否匿名。
[0013]有利地，局部签名的生成包括局部签名的匿名化，所述匿名化包括：
[0014]‑
借助于随机标量对所述签名元素((q，s))进行匿名化，以及
[0015]‑
借助于所述随机标量中的一个随机标量对所述第一验证元素和所述第二验证元素进行匿名化。
[0016]由于通过明智地添加随机元素来实现的这种匿名化，签名变得完全不可追踪。因此，签名导出实体将在相同的消息子集的两个不同认证期间呈现不同的局部签名。实际上，利用这种方法，未显露的消息集合被完全随机地掩蔽。应当认识到，签名的不可追踪性属性是重要的安全属性。
[0017]在一个示例性实施例中，该方法包括在双线性环境中预先生成私钥和相关联的公钥，所述环境涉及素数阶p的第一组G1、第二组G2和第三组GT、以及双线性映射e，所述双线性映射e将所述第一组G1的元素的值即g和所述第二组G2的元素的值即h作为输入并且具有所述第三组GT中的值，所述生成包括：
[0018]‑
由所述签名实体生成(n+1)个随机标量(x，y_1，...，y_n)，所述随机标量形成所述签名实体的所述私钥，以及
[0019]‑
由所述签名实体计算X＝g^{x}、Y_i＝g^{y_i}(对于1≤i＝j≤n)、Z_{i，j}＝g^{y_i.y_j}(对于1≤i≠j≤n)、以及H_i＝h^{y_i}(对于1≤i≤n)，元素X、Y_i、Z_{i，j}和H_i形成所述公钥。
[0020]该示例性实施例描述了如何计算签名实体的私钥和公钥。
[0021]在一个示例性实施例中，表示为m_1，...，m_n的消息集合{1，
…
，n}的签名包括：由所述签名实体从第二组G2中选择随机元素q，以及计算s＝q^{x+y_1.m_1+...+y_n.m_n}，则所述签名是(q，s)。
[0022]该示例性实施例描述了如何计算消息集合的签名。它包括两个元素q和S。
[0023]在一个示例性实施例中，导出所述消息集合{1，
…
，n}的子集I的局部签名包括：
[0024]‑
生成所述第一验证元素A＝Π_{j in{1，...，n}\I}.Y_j^{m_j}，以及
[0025]‑
生成所述第二验证元素B＝Π_{i in I，j in{1，...，n}\I}.Z_{i，j}^{m_j}，则所述局部签名是(q，s，A，B)。
[0026]该示例性实施例精确地描述了如何计算或导出消息子集的局部签名。局部签名的计算包括两个元素A和B的计算。用于计算第一元素A的消息是不是消息子集的一部分的消
息。第二元素B使用其中一个下标i穿过与消息子集相关的集合I的消息，而另一个下标j涉及不是消息子集的一部分的消息。本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于导出消息集合({m_1，
…
，m_n})的子集(I)的局部签名的方法，所述消息集合的子集称为消息子集，所述局部签名旨在证明所述消息集合的签名对所述消息子集中的消息的有效性，所述方法由局部签名导出实体实现，所述方法包括：
‑
接收(E12)所述消息集合({m_1，
…
，m_n})和所述消息集合的签名，所述签名包括所述消息集合的签名元素((q，s))，
‑
导出(E13)根据所述集合中的除了所述消息子集中的消息之外的消息计算的第一验证元素(A)，以及
‑
导出(E14)旨在证明所述第一验证元素被正确地形成的第二验证元素(B)，以及向验证实体(12)发送特定于所述消息子集的局部签名，所述局部签名包括恒定数量的元素，所述恒定数量的元素至少包括所述消息集合的签名的元素、所述第一验证元素(A)和所述第二验证元素(B)，所述局部签名旨在仅用所述消息子集中的消息来验证。2.根据权利要求1所述的局部签名导出方法，其中，所述局部签名的生成包括所述局部签名的匿名化，所述匿名化包括：
‑
借助于随机标量对所述签名元素((q，s))进行匿名化，以及
‑
借助于所述随机标量中的一个随机标量对所述第一验证元素和所述第二验证元素进行匿名化。3.根据前述权利要求中任一项所述的局部签名导出方法，包括：在双线性环境中预先生成私钥和相关联的公钥，所述环境涉及素数阶p的第一组G1、第二组G2和第三组GT、以及双线性映射e，所述双线性映射e将所述第一组G1的元素的值即g和所述第二组G2的元素的值即h作为输入并且具有所述第三组GT中的值，所述生成包括：
‑
由所述签名实体生成(n+1)个随机标量(x，y_1，...，y_n)，所述随机标量形成所述签名实体的所述私钥，以及
‑
由所述签名实体计算对于1≤i＝j≤n的X＝g^{x}、Y_i＝g^{y_i}、对于1≤i≠j≤n的Z_{i，j}＝g^{y_i.y_j}、以及对于1≤i≤n的H_i＝h^{y_i}，元素X、Y_i、Z_{i，j}和H_i形成所述公钥。4.根据前述权利要求中任一项所述的局部签名导出方法，其中，表示为m_1、...、m_n的消息集合{1，
…
，n}的签名包括：由所述签名实体从第二组G2中选择随机元素q，以及计算s＝q^{x+y_1.m_1+...+y_n.m_n}，则所述签名是(q，s)。5.根据前述权利要求中任一项所述的局部签名导出方法，其中，导出所述消息集合{1，
…
，n}的子集(I)的局部签名包括：
‑
生成所述第一验证元素A＝Π_{j in{1，...，n}\I}.Y_j^{m_j}，以及
‑
生成所述第二验证元素B＝Π_{i in I，j in{1，...，n}\I}.Z_{i，j}^{m_j}，则所述局部签名是(q，s，A，B)。6.根据权利要求1至4中任一项所述的局部签名导出方法，其中，所述消息集合的签名包括：
‑
由所述签名实体选择(E18)两个标量r和t，
‑
计算q
′
＝q^r，
‑
计算s
′
＝s^r.q^{r.t}，
‑
生成(E13)所述第一验证元素A＝g^t.Π_{j in{1，...，n}\I}Y_j^{m_j}，以及
‑
生成(E14)所述第二验证元素B＝(Π_{i in I}Y_i)^t.Π_{i in I，j in{1，...，n}\Z_{i，j}^{m_j}，则所述局部签名是(q
′
，s
′
，A，B)。7.一种用于验证消息集合({m_1，
…
，m_n})的子集(I)的局部签名的方法，所述消息集合的子集称为消息子集，所述局部签名旨在证明所述消息集合的签名对所述消息子集中的消息的有效性，所述方法由局部签名验证实体实现，所述方法包括：
‑
接收(E15)所述消息子集和特定于所述消息子集的局部签名((q，s，A，B)，(q
′
，s
′
，A，B))，所述局部签名包括恒定数量的元素，所述恒定数量的元素至少包括所述消息集合的签名元素((q，s)，(q
′
，s
′
))、根据所述集合中的除了所述消息子集中的消息之外的消息计算的第一...

【专利技术属性】
技术研发人员：O桑德斯，
申请(专利权)人：奥兰治，
类型：发明
国别省市：