[发明专利]一种可证安全的可转换代理签密方法

摘要

本发明涉及云安全控制的、用于保护用户隐私的一种可证安全的可转换代理签密方法，主要由代理签名密钥的产生、签名、消息恢复与签名验证、签名转换等部分组成，与一般的代理签密方案的主要区别是：原始签名人和代理签名人的公钥、代理证书和参数不能作为公开参数传输，也需要同消息一样进行恢复，本方法可以保证他们身份的保密性，以应用于云计算的认证协议。

主权项

一种可证安全的可转换代理签密方法，包括以下步骤：步骤1、代理签名密钥产生；1.1原始签名人随机选择k₀∈Z^*_q，k₀是一个大素数，其中q为大素数集，从密钥生成中心KGC选取，KGC为原始签名人、代理签名人、指定接收人产生公私钥对(x₀属于Z^*_q，y₀＝x₀P)，(x_d属于Z^*_q，y_d＝x_dP)和(x_v属于Z^*_q，y_v＝x_vP)，x₀，x_d，x_v都是一个大素数，Z^*_q为大素数集中的正整数集，计算r₀＝k₀P，P是E(GF_q)的生成元，E(GF_q)是定义在有限域GF(q)上的椭圆曲线，r₀是素数k₀与生成元P的乘积值，c₀＝H(r₀)，H():{0,1}^*→{0,1}²⁵⁶是安全的Hash函数，其中c₀是通过Hash函数将r₀映射生成，构造代理证书m_w，然后把(c₀,m_w)发送给代理签名人；1.2代理签名人收到(c₀,m_w)后，随机选择k₁∈Z^*_q，k₁是一个大素数计算并发送r₁＝k₁P给原始签名人，其中r₁和r₀类似，是素数k₁与生成元P的乘积值；1.3原始签名人验证qr₁＝O是否成立，其中q为大素数集，O为椭圆曲线上的无穷远点；如果成立，则计算r＝r₀+r₁，σ＝k₀+x₀H(r||m_w||y_d||y₀)，σ是公式k₀+x₀H(r||m_w||y_d||y₀)的计算值，然后把(r₀,σ)发送给代理签名人；如果不成立，则要求代理签名人重新计算r₁＝k₁P；1.4代理签名人计算r＝r₀+r₁，通过下式验证(c₀,m_w,σ)的合法性：c₀＝H(r₀),c₀＝H(σP‑y₀H(r||m_w||y_d||y₀))如果都成立，则代理签名人计算代理签名密钥x_s＝σ+k₁+x_dH(r||m_w||y_d||y₀)，其对应的公钥为Y＝r+H(r||m_w||y_d||y₀)(y₀+y_d)；否则要求原始签名人重新计算(r₀,σ)；步骤2、签名；代理签名人对消息m进行签名，随机选择a∈Z^*_q，R₁＝aP，R₂＝ay_v，c＝a+x_sH(R₁||y_v||R₂||m)，R₃＝E_R2(c||m_w||y₀||r||y_d||m)；其中a是大素数，R₁是素数a与生成元P的乘积值，x_s是一个大素数，c公式a+x_sH(R₁||y_v||R₂||m)的计算值E_R2是定义在有限域GF(R₂)上的椭圆曲线，R₃是在有限域GF(R₂)上的椭圆曲线的一个点，最后，代理签名人把(R₁，R₃)发送给指定接收人；步骤3、消息恢复与签名验证；当指定接收人收到来自代理签名人的(R₁；R₃)以后,计算R₂＝x_vR₁，c||m_w||y₀||r||y_d||m＝R₂(R₃)，恢复原始签名人和代理签名人的公钥y₀和y_d，代理证书m_w和参数r，部分签名c以及签名的消息m，然后从KGC的公告牌中检查y₀和y_d的合法性，最后通过下面的式子验证签名：cP＝R₁+H(R₁||y_w||R₂||m)(r+H(r||m_w||y_d||y₀)(y₀+y_d))如果成立，则签名有效；否则，签名无效；步骤4、签名转换；如果代理签名人事后抵赖，则所述接收人可以公开参数(c,r,m_w,R₁,R₂,m,y₀,y_d)，仲裁者通过验证式验证签名的有效性。