【技术实现步骤摘要】
【国外来华专利技术】用于利用部分验证导出局部签名的方法
[0001]本专利技术涉及电信的一般领域,并且更具体地涉及使用诸如电子签名技术的加密技术的通信设备之间的交换的安全。
技术介绍
[0002]电子签名是允许认证任何数字数据的加密工具,因此充当传统手写签名的等效物。这种技术现在在我们的日常生活中普遍存在,无论是在浏览互联网时(因为访问https中的任何URL涉及电子签名的使用),还是在使用银行卡的支付期间。它还构成了由DAA(直接匿名认证)和EPID(增强隐私身份)推广的匿名认证机制的真正基础。
[0003]在大多数情况下,它不是被认证的单个数据,而是n个数据的集合,其中n>0,例如人的姓名、出生日期、地址等。然后,现有的电子签名解决方案可以分为两个族:产生恒定大小的签名的族,以及大小取决于n的值的其他族。关于签名的大小,前者当然是优选的,但是这种恒定的成本隐藏了一个主要缺陷:签名在签名数据集合上是有效的,并且因此只能通过发送已经签名的所有数据来验证。当然可以使用称为零知识证明技术的技术来隐藏这些元素,但是这仅解决了匿名性的问题:这些非常昂贵的证明在大小上具有与隐藏元素的数量至少成线性的复杂性。
[0004]两种最近的方案能够具有恒定的大小,既用于签名又用于验证证明。
[0005]因此,由Camenisch等人于2015年的亚密会(Asiacrypt)的文章“可组合和模块化匿名凭证:定义和实际构造(Composable and Modular Anonymous Credentials:Definitions ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于导出消息集合({m_1,
…
,m_n})的子集(I)的局部签名的方法,所述消息集合的子集称为消息子集,所述局部签名旨在证明所述消息集合的签名对所述消息子集中的消息的有效性,所述方法由局部签名导出实体实现,所述方法包括:
‑
接收(E12)所述消息集合({m_1,
…
,m_n})和所述消息集合的签名,所述签名包括所述消息集合的签名元素((q,s)),
‑
导出(E13)根据所述集合中的除了所述消息子集中的消息之外的消息计算的第一验证元素(A),以及
‑
导出(E14)旨在证明所述第一验证元素被正确地形成的第二验证元素(B),以及向验证实体(12)发送特定于所述消息子集的局部签名,所述局部签名包括恒定数量的元素,所述恒定数量的元素至少包括所述消息集合的签名的元素、所述第一验证元素(A)和所述第二验证元素(B),所述局部签名旨在仅用所述消息子集中的消息来验证。2.根据权利要求1所述的局部签名导出方法,其中,所述局部签名的生成包括所述局部签名的匿名化,所述匿名化包括:
‑
借助于随机标量对所述签名元素((q,s))进行匿名化,以及
‑
借助于所述随机标量中的一个随机标量对所述第一验证元素和所述第二验证元素进行匿名化。3.根据前述权利要求中任一项所述的局部签名导出方法,包括:在双线性环境中预先生成私钥和相关联的公钥,所述环境涉及素数阶p的第一组G1、第二组G2和第三组GT、以及双线性映射e,所述双线性映射e将所述第一组G1的元素的值即g和所述第二组G2的元素的值即h作为输入并且具有所述第三组GT中的值,所述生成包括:
‑
由所述签名实体生成(n+1)个随机标量(x,y_1,...,y_n),所述随机标量形成所述签名实体的所述私钥,以及
‑
由所述签名实体计算对于1≤i=j≤n的X=g^{x}、Y_i=g^{y_i}、对于1≤i≠j≤n的Z_{i,j}=g^{y_i.y_j}、以及对于1≤i≤n的H_i=h^{y_i},元素X、Y_i、Z_{i,j}和H_i形成所述公钥。4.根据前述权利要求中任一项所述的局部签名导出方法,其中,表示为m_1、...、m_n的消息集合{1,
…
,n}的签名包括:由所述签名实体从第二组G2中选择随机元素q,以及计算s=q^{x+y_1.m_1+...+y_n.m_n},则所述签名是(q,s)。5.根据前述权利要求中任一项所述的局部签名导出方法,其中,导出所述消息集合{1,
…
,n}的子集(I)的局部签名包括:
‑
生成所述第一验证元素A=Π_{j in{1,...,n}\I}.Y_j^{m_j},以及
‑
生成所述第二验证元素B=Π_{i in I,j in{1,...,n}\I}.Z_{i,j}^{m_j},则所述局部签名是(q,s,A,B)。6.根据权利要求1至4中任一项所述的局部签名导出方法,其中,所述消息集合的签名包括:
‑
由所述签名实体选择(E18)两个标量r和t,
‑
计算q
′
=q^r,
‑
计算s
′
=s^r.q^{r.t},
‑
生成(E13)所述第一验证元素A=g^t.Π_{j in{1,...,n}\I}Y_j^{m_j},以及
‑
生成(E14)所述第二验证元素B=(Π_{i in I}Y_i)^t.Π_{i in I,j in{1,...,n}\Z_{i,j}^{m_j},则所述局部签名是(q
′
,s
′
,A,B)。7.一种用于验证消息集合({m_1,
…
,m_n})的子集(I)的局部签名的方法,所述消息集合的子集称为消息子集,所述局部签名旨在证明所述消息集合的签名对所述消息子集中的消息的有效性,所述方法由局部签名验证实体实现,所述方法包括:
‑
接收(E15)所述消息子集和特定于所述消息子集的局部签名((q,s,A,B),(q
′
,s
′
,A,B)),所述局部签名包括恒定数量的元素,所述恒定数量的元素至少包括所述消息集合的签名元素((q,s),(q
′
,s
′
))、根据所述集合中的除了所述消息子集中的消息之外的消息计算的第一...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。