本發(fā)明屬于信息安全技術(shù)領(lǐng)域，尤其涉及一種無(wú)證書(shū)部分盲簽名方法和裝置。

背景技術(shù)：

盲簽名是簽名者在不知道簽名請(qǐng)求者所請(qǐng)求消息內(nèi)容情況下完成的一種簽名，這種特性稱(chēng)為盲性。盲簽名不僅具有數(shù)字簽名所具有的內(nèi)容完整性、交易的不可抵賴性和雙方身份的真實(shí)性等性質(zhì)，還可以利用盲性很好地保護(hù)用戶隱私。在盲簽名中簽名者對(duì)簽名消息一無(wú)所知，易造成簽名被惡意的請(qǐng)求者非法使用。隨后，部分盲簽名的概念被提出，其將消息分為盲化部分和公共部分，因此部分盲簽名在保證用戶隱私的同時(shí)又對(duì)簽名內(nèi)容部分可控。

在基于身份的密碼體制中，密鑰生成中心(Key Generation Center，KGC)知道所有用戶的私鑰，可以偽造任何用戶的簽名，這種問(wèn)題被稱(chēng)為密鑰托管問(wèn)題。為了解決此問(wèn)題，2003年Al-Riyam和Paterson提出了無(wú)證書(shū)公鑰密碼學(xué)(Certificateless Public Key Cryptography,CL-PKC)的概念。具體可參見(jiàn)文獻(xiàn)：Al-Riyami S S,Paterson K G.Certificateless Public Key Cryptography[J].Lecture Notes in Computer Science,2003,2894(2):452-473.以下簡(jiǎn)稱(chēng)文獻(xiàn)1。在CL-PKC中，密鑰生成中心為用戶生成部分私鑰，而用戶的私鑰是由部分私鑰和自己隨機(jī)選擇的秘密值組成，從而解決密鑰托管問(wèn)題。將無(wú)證書(shū)公鑰密碼學(xué)和盲簽名相結(jié)合稱(chēng)為無(wú)證書(shū)的盲簽名(Certificateless Blind Signature,CL-BS),將CL-BS用于電子商務(wù)中既可以保護(hù)用戶的隱私，又可以避免PKI中的證書(shū)管理和ID-PKC中的密鑰托管問(wèn)題。為了更好地應(yīng)用到電子現(xiàn)金系統(tǒng)中，將無(wú)證書(shū)公鑰密碼學(xué)和部分盲簽名相結(jié)合稱(chēng)為無(wú)證書(shū)的部分盲簽名(Certificateless Partially Blind Signature,CL-PBS)。

現(xiàn)有的已經(jīng)有發(fā)表相關(guān)無(wú)證書(shū)的部分盲簽名的相關(guān)文獻(xiàn)，如：

Cheng L,Wen Q.Cryptanalysis and improvement of a certificateless partially blind signature[J].IET Information Security,2015,9(6):380-386.以下簡(jiǎn)稱(chēng)文獻(xiàn)2。

Zhang L,Zhang F,Qin B,et al.Corrigendum:"Provably-secure electronic cash based on certicateless partially-blind signatures"[J].Electronic Commerce Research & applications,2011,10(1):545-552.以下簡(jiǎn)稱(chēng)文獻(xiàn)3。

文獻(xiàn)2指出文獻(xiàn)3提出的CL-PBS方案不能抵抗惡意的用戶替換簽名者公鑰的攻擊并提出了改進(jìn)方案。但通過(guò)對(duì)改進(jìn)方案分析，發(fā)現(xiàn)其并不能防惡意的用戶篡改協(xié)商公共信息攻擊。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種無(wú)證書(shū)部分盲簽名方法，旨在解決現(xiàn)有的無(wú)證書(shū)部分盲簽名中協(xié)商公共信息安全性低的問(wèn)題。

本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的，一種無(wú)證書(shū)部分盲簽名方法，包括：

建立一個(gè)公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}；其中，l為安全參數(shù)，且滿足素?cái)?shù)q＞2^l，{G₁,+}是階為q的循環(huán)加法群，P為群G₁中的任意生成元；{G₂,·}是階為q的循環(huán)乘法群，g為生成元；雙線性對(duì)映射e:G₁×G₁→G₂，g＝e(P,P)∈G₂；hash函數(shù)：H₁:{0,1}^*→G₁，KGC選取s為主密鑰，P_pub＝sP為公鑰；

簽名者提取其私鑰為公鑰為

簽名者隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rP，并把R發(fā)送給簽名請(qǐng)求者；

簽名請(qǐng)求者接受到R后，隨機(jī)選擇盲化因子并計(jì)算z＝H₀(c)、h′＝H₂(m,z,y),h＝α^-1(β-h′)，并把h發(fā)送給簽名者；

簽名者接收到h后，計(jì)算并把S發(fā)送給簽名請(qǐng)求者；

簽名請(qǐng)求者進(jìn)行脫盲工作，計(jì)算S′＝αS，得到消息m和協(xié)商消息c的簽名為σ＝(y,h′,S′)；

驗(yàn)證者進(jìn)行簽名驗(yàn)證。

優(yōu)選地，所述建立一個(gè)公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,l,q,e,H₁,H₂,H₃,P_pub}的具體步驟為：

根據(jù)安全需要，確定安全系數(shù)l和素?cái)?shù)q的大小，利用橢圓曲線構(gòu)造滿足雙線性映射e:G₁×G₁→G₂的循環(huán)加法群{G₁,+}和循環(huán)乘法群{G₂,·}；

選擇無(wú)碰撞雜湊函數(shù)H₁:{0,1}^*→G₁，

從mod q的整數(shù)乘法群中隨機(jī)選取一個(gè)整數(shù)s作為私鑰生成中心KGC的主密鑰，并計(jì)算P_pub＝sP作為其對(duì)應(yīng)的公鑰；

公開(kāi)系統(tǒng)參數(shù){G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}，并將s作為主密鑰值保存。

優(yōu)選地，所述簽名者提取其私鑰為公鑰為的具體步驟為：

輸入系統(tǒng)參數(shù)params，簽名者的身份ID_B，KGC計(jì)算并把部分私鑰發(fā)送給簽名者；

根據(jù)系統(tǒng)參數(shù)params和簽名者的身份ID_B，簽名者隨機(jī)選擇作為其秘密值；

根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B、部分私鑰和秘密值得到簽名者的私鑰為

根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B和秘密值得到簽名者的公鑰

優(yōu)選地，所述驗(yàn)證者進(jìn)行簽名驗(yàn)證的具體步驟包括：

驗(yàn)證者接收到簽名者的消息-簽名對(duì)(m,c,σ＝(y,h′,S′))；

計(jì)算z＝H₀(c)，

驗(yàn)證等式h′＝H₂(m,z,y′)是否成立，如果是，驗(yàn)證者就相信(m,c,σ＝(y,h′,S′))是由簽名者進(jìn)行有效的盲簽名；

否則無(wú)效。

本發(fā)明的實(shí)施例還提供一種無(wú)證書(shū)部分盲簽名裝置，包括：

系統(tǒng)參數(shù)建立單元，用于建立公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}；

提取單元，用于簽名者提取私鑰及公鑰；

承諾單元，用于隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rP，并把R發(fā)送給簽名請(qǐng)求者；

盲化單元，用于接受到R后，隨機(jī)選擇盲化因子并計(jì)算z＝H₀(c)、h′＝H₂(m,z,y),h＝α^-1(β-h′)，并把h發(fā)送給簽名者；

部分盲簽名單元，用于接收到h后，計(jì)算并把S發(fā)送給簽名請(qǐng)求者；

脫盲單元，用于進(jìn)行脫盲工作，計(jì)算S′＝αS，得到消息m和協(xié)商消息c的簽名為σ＝(y,h′,S′)；

驗(yàn)證單元，用于進(jìn)行簽名驗(yàn)證。

優(yōu)選地，所述系統(tǒng)參數(shù)建立單元包括：

構(gòu)建模塊，用于確定安全系數(shù)l和素?cái)?shù)q的大小，利用橢圓曲線構(gòu)造滿足雙線性映射e:G₁×G₁→G₂的循環(huán)加法群{G₁,+}和循環(huán)乘法群{G₂,·}；

函數(shù)選擇模塊，用于選擇無(wú)碰撞雜湊函數(shù)H₁:{0,1}^*→G₁，

密鑰模塊，用于從mod q的整數(shù)乘法群中隨機(jī)選取一個(gè)整數(shù)s作為私鑰生成中心KGC的主密鑰，并計(jì)算P_pub＝sP作為其對(duì)應(yīng)的公鑰，并公開(kāi)系統(tǒng)參數(shù){G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}，并將s作為主密鑰值保存。

優(yōu)選地，所述提取單元包括：

部分私鑰生成模塊，用于根據(jù)系統(tǒng)參數(shù)params，簽名者的身份ID_B，KGC計(jì)算并把部分私鑰發(fā)送給簽名者；

秘密值生成模塊，用于根據(jù)系統(tǒng)參數(shù)params和簽名者的身份ID_B，隨機(jī)選擇作為其秘密值；

私鑰模塊，用于根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B、部分私鑰和秘密值得到簽名者的私鑰為

公鑰模塊，用于根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B和秘密值得到簽名者的公鑰

優(yōu)選地，所述驗(yàn)證單元包括：

接收模塊，用于接收簽名請(qǐng)求者發(fā)送的消息-簽名對(duì)(m,c,σ＝(y,h′,S′))；

計(jì)算模塊，用于計(jì)算z＝H₀(c)，

驗(yàn)證模塊，用于驗(yàn)證等式h′＝H₂(m,z,y′)是否成立，如果是，驗(yàn)證者就相信(m,c,σ＝(y,h′,S′))是由簽名者進(jìn)行有效的盲簽名，否則無(wú)效。

本發(fā)明的技術(shù)方案，由于由于簽名者把協(xié)商信息插入到計(jì)算中，其中z＝H₀(c)，通過(guò)證明簽名方案的正確性時(shí)，簽名者插入?yún)f(xié)商信息z＝H₀(c)不僅對(duì)應(yīng)到簽名請(qǐng)求者C進(jìn)行盲化簽名插入的協(xié)商信息同時(shí)也與驗(yàn)證等式中用到的插入?yún)f(xié)商協(xié)商信息相對(duì)應(yīng)，因此，本發(fā)明的方案在協(xié)商信息篡改攻擊下是安全的，有效解決了無(wú)證書(shū)部分盲簽名中因協(xié)商公共信息篡改而帶來(lái)的安全性問(wèn)題。

附圖說(shuō)明

圖1是本發(fā)明實(shí)施例提供的一種無(wú)證書(shū)部分盲簽名方法流程示意圖；

圖2是本發(fā)明實(shí)施例提供的一種無(wú)證書(shū)部分盲簽名方法流程簡(jiǎn)圖；

圖3是本發(fā)明實(shí)施例提供的一種無(wú)證書(shū)部分盲簽名裝置結(jié)構(gòu)框圖；

圖4是本發(fā)明的系統(tǒng)參數(shù)建立單元的結(jié)構(gòu)框圖；

圖5是本發(fā)明的提取單元的結(jié)構(gòu)框圖；

圖6是本發(fā)明的驗(yàn)證單元的結(jié)構(gòu)框圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

為了更有效的理解本發(fā)明的技術(shù)方案，我們簡(jiǎn)單描述一下上述文獻(xiàn)2中的部分盲簽名的過(guò)程：

首先建立一個(gè)建立一個(gè)公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,l,q,e,H₀,H₁,H₂,P_pub}。

給定安全參數(shù)l，且滿足素?cái)?shù)q＞2^l，{G₁,+}是階為q的循環(huán)加法群，P為群G₁中的任意生成元；{G₂,·}是階為q的循環(huán)乘法群，g為生成元；雙線性對(duì)映射e:G₁×G₁→G₂，g＝e(P,P)∈G₂；hash函數(shù)：KGC選取s為主密鑰，P_pub＝sP為公鑰，系統(tǒng)參數(shù)params＝{G₁,G₂,P,l,q,e,H₀,H₁,H₂,P_pub}。

然后進(jìn)行密鑰提取算法：

部分私鑰生成算法：輸入系統(tǒng)參數(shù)params，簽名者的身份ID_B，KGC計(jì)算并把部分私鑰發(fā)送給簽名者。

設(shè)置秘密值算法：輸入系統(tǒng)參數(shù)params和簽名者的身份ID_B，簽名者隨機(jī)選擇作為其秘密值。

設(shè)置私鑰算法：算法輸入系統(tǒng)參數(shù)、簽名者的身份ID_B、部分私鑰和秘密值輸出簽名者的私鑰為

設(shè)置公鑰算法：算法輸入系統(tǒng)參數(shù)、簽名者的身份ID_B和秘密值輸入簽名者的公鑰

然后再進(jìn)行部分盲簽名生成算法：

假設(shè)m為簽名請(qǐng)求者請(qǐng)求簽名的信息，c為簽名者與簽名請(qǐng)求者協(xié)商的公共信息，簽名者用其私鑰和公鑰與簽名請(qǐng)求者進(jìn)行消息m和公共協(xié)商信息c簽名。具體過(guò)程如下：

a)承諾。簽名者隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rzP,并將R發(fā)送簽名請(qǐng)求者。

b)盲化。簽名請(qǐng)求者接受到R后，隨機(jī)選擇盲化因子并計(jì)算z＝H₀(c),R′＝γR,h＝γ^-1(β-h′)，并把h發(fā)送給簽名者。

c)部分盲簽名。接受到h后，簽名者只需計(jì)算并把S發(fā)送簽名請(qǐng)求者。

d)脫盲。簽名請(qǐng)求者計(jì)算S′＝γS+αP_pub。

這一系列的交互后，簽名請(qǐng)求者得到對(duì)消息m和協(xié)商信息c的簽名為σ＝(R′,h′,S′)。

最后進(jìn)行簽名驗(yàn)證算法：

驗(yàn)證者接受到由簽名者對(duì)消息m和協(xié)商信息c的簽名為σ＝(R′,h′,S′)后，先計(jì)算z＝H₀(c)，最后驗(yàn)證等式是否成立。如果成立，則認(rèn)為消息-簽名對(duì)(m,c,σ＝(R′,h′,S′))是簽名者合法的簽名。否則無(wú)效。

以上方案會(huì)產(chǎn)生安全攻擊，具體攻擊分析如下：

因?yàn)槭菍?duì)方案進(jìn)行將協(xié)商信息c篡改為c′攻擊，簽名者用其私鑰和公鑰與簽名請(qǐng)求者進(jìn)行消息m和公共協(xié)商信息c簽名，簽名請(qǐng)求者將協(xié)商信息c篡改為c′：

a)承諾。簽名者隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rzP，并將R發(fā)送簽名請(qǐng)求者。

b)盲化。簽名請(qǐng)求者接受到R后，隨機(jī)選擇盲化因子計(jì)算z＝H₀(c)，z′＝H₀(c′)、R′＝γR,R″＝z^-1z′R′,h＝γ^-1(β-h′)和h″＝zz′^-1h，并把h″發(fā)送給簽名者。

c)部分盲簽名。接受到h″后，簽名者只需計(jì)算并把S發(fā)送簽名請(qǐng)求者。

d)脫盲。簽名請(qǐng)求者計(jì)算S′＝z^-1z′S，S″＝γS′+αP_pub。

這一系列的交互后，簽名請(qǐng)求者得到對(duì)消息m和協(xié)商信息c′的簽名為σ＝(R″,h′,S″)。

簽名請(qǐng)求者對(duì)消息m和協(xié)商信息c′的簽名為σ＝(R″,h′,S″)，需要計(jì)算z′＝H₀(c′)驗(yàn)證等式是否成立。如果成立，則為有效的簽名，即篡改協(xié)商信息c′成功。在這個(gè)驗(yàn)證過(guò)程中，其實(shí)只需要驗(yàn)證等式是否成立；

即在未經(jīng)簽名者同意的前提下，簽名請(qǐng)求者篡改公共信息后所形成的簽名也能通過(guò)驗(yàn)證等式驗(yàn)證，故驗(yàn)證者相信σ＝(R″,h′,S″)是簽名者對(duì)消息m和協(xié)商消息c′的有效簽名。

結(jié)合圖1及圖2所示，本發(fā)明的實(shí)施例提供一種無(wú)證書(shū)部分盲簽名方法，包括以下步驟：

步驟S100，建立一個(gè)公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}；

其中，l為安全參數(shù)，且滿足素?cái)?shù)q＞2^l，{G₁,+}是階為q的循環(huán)加法群，P為群G₁中的任意生成元；{G₂,·}是階為q的循環(huán)乘法群，g為生成元；雙線性對(duì)映射e:G₁×G₁→G₂，g＝e(P,P)∈G₂；hash函數(shù)：H₁:{0,1}^*→G₁，KGC選取s為主密鑰，P_pub＝sP為公鑰；

步驟S200，簽名者提取其私鑰為公鑰為

步驟S300，簽名者隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rP，并把R發(fā)送給簽名請(qǐng)求者；

步驟S400，簽名請(qǐng)求者接受到R后，隨機(jī)選擇盲化因子并計(jì)算z＝H₀(c)，R′＝αR,h′＝H₂(m,z,y),h＝α^-1(β-h′)，并把h發(fā)送給簽名者；

步驟S500，簽名者接收到h后，計(jì)算并把S發(fā)送給簽名請(qǐng)求者；

步驟S600，簽名請(qǐng)求者進(jìn)行脫盲工作，計(jì)算S′＝αS，得到消息m和協(xié)商消息c的簽名為σ＝(y,h′,S′)；

步驟S700，驗(yàn)證者進(jìn)行簽名驗(yàn)證。

優(yōu)選地，在所述步驟S100中，所述建立一個(gè)公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}的具體步驟為：

步驟S110，根據(jù)安全需要，確定安全系數(shù)l和素?cái)?shù)q的大小，利用橢圓曲線構(gòu)造滿足雙線性映射e:G₁×G₁→G₂的循環(huán)加法群{G₁,+}和循環(huán)乘法群{G₂,·}；

步驟S120，選擇無(wú)碰撞雜湊函數(shù)H₁:{0,1}^*→G₁，

步驟S130，從mod q的整數(shù)乘法群中隨機(jī)選取一個(gè)整數(shù)s作為私鑰生成中心KGC的主密鑰，并計(jì)算P_pub＝sP作為其對(duì)應(yīng)的公鑰；

步驟S140，公開(kāi)系統(tǒng)參數(shù){G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}，并將s作為主密鑰值保存。

進(jìn)一步地，所述步驟S200具體包括：

步驟S210，輸入系統(tǒng)參數(shù)params，簽名者的身份ID_B，KGC計(jì)算并把部分私鑰發(fā)送給簽名者；

步驟S220，根據(jù)系統(tǒng)參數(shù)params和簽名者的身份ID_B，簽名者隨機(jī)選擇作為其秘密值；

步驟S230，根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B、部分私鑰和秘密值得到簽名者的私鑰為

步驟S240，根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B和秘密值得到簽名者的公鑰

進(jìn)一步地，所述步驟S700中，具體包括：

步驟S710，驗(yàn)證者接收到簽名者的消息-簽名對(duì)(m,c,σ＝(y,h′,S′))；

步驟S720，計(jì)算z＝H₀(c)，

步驟S730，驗(yàn)證等式h′＝H₂(m,z,y′)是否成立，如果是，驗(yàn)證者就相信(m,c,σ＝(y,h′,S′))是由簽名者進(jìn)行有效的盲簽名；

否則無(wú)效。

由于簽名者把協(xié)商信息插入到計(jì)算中，其中z＝H₀(c)，通過(guò)證明簽名方案的正確性時(shí)，發(fā)現(xiàn)簽名者插入?yún)f(xié)商信息z＝H₀(c)不僅對(duì)應(yīng)到簽名請(qǐng)求者進(jìn)行盲化簽名插入的協(xié)商信息同時(shí)也與驗(yàn)證等式中用到的插入?yún)f(xié)商協(xié)商信息相對(duì)應(yīng)。故本方案可以防公共協(xié)商信息篡改攻擊。

如圖3所示，本發(fā)明的實(shí)施例還提供一種無(wú)證書(shū)部分盲簽名裝置，包括：

系統(tǒng)參數(shù)建立單元100，用于建立公開(kāi)系統(tǒng)參數(shù)params＝{G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}；

提取單元200，用于簽名者提取私鑰及公鑰；

承諾單元300，用于隨機(jī)選擇并計(jì)算z＝H₀(c)和R＝rP，并把R發(fā)送給簽名請(qǐng)求者；

盲化單元400，用于接受到R后，隨機(jī)選擇盲化因子并計(jì)算z＝H₀(c)、h′＝H₂(m,z,y),h＝α^-1(β-h′)，并把h發(fā)送給簽名者；

部分盲簽名單元500，用于接收到h后，計(jì)算并把S發(fā)送給簽名請(qǐng)求者；

脫盲單元600，用于進(jìn)行脫盲工作，計(jì)算S′＝αS，得到消息m和協(xié)商消息c的簽名為σ＝(y,h′,S′)；

驗(yàn)證單元700，用于進(jìn)行簽名驗(yàn)證。

如圖4所示，進(jìn)一步地，所述系統(tǒng)參數(shù)建立單元100包括：

構(gòu)建模塊101，用于確定安全系數(shù)l和素?cái)?shù)q的大小，利用橢圓曲線構(gòu)造滿足雙線性映射e:G₁×G₁→G₂的循環(huán)加法群{G₁,+}和循環(huán)乘法群{G₂,·}；

函數(shù)選擇模塊102，用于選擇無(wú)碰撞雜湊函數(shù)H₁:{0,1}^*→G₁，

密鑰模塊103，用于從mod q的整數(shù)乘法群中隨機(jī)選取一個(gè)整數(shù)s作為私鑰生成中心KGC的主密鑰，并計(jì)算P_pub＝sP作為其對(duì)應(yīng)的公鑰，并公開(kāi)系統(tǒng)參數(shù){G₁,G₂,P,e,g,H₀,H₁,H₂,P_pub}，并將s作為主密鑰值保存。

如圖5所示，進(jìn)一步地，所述提取單元200進(jìn)一步包括：

部分私鑰生成模塊201，用于根據(jù)系統(tǒng)參數(shù)params，簽名者的身份ID_B，KGC計(jì)算并把部分私鑰發(fā)送給簽名者；

秘密值生成模塊202，用于根據(jù)系統(tǒng)參數(shù)params和簽名者的身份ID_B，隨機(jī)選擇作為其秘密值；

私鑰模塊203，用于根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B、部分私鑰和秘密值得到簽名者的私鑰為

公鑰模塊204，用于根據(jù)系統(tǒng)參數(shù)params、簽名者的身份ID_B和秘密值得到簽名者的公鑰

如圖6所示，更進(jìn)一步地，所述驗(yàn)證單元700包括：

接收模塊701，用于接收簽名請(qǐng)求者發(fā)送的消息-簽名對(duì)(m,c,σ＝(y,h′,S′))；

計(jì)算模塊702，用于計(jì)算z＝H₀(c)，

驗(yàn)證模塊702，用于驗(yàn)證等式h′＝H₂(m,z,y′)是否成立，如果是，驗(yàn)證者就相信(m,c,σ＝(y,h′,S′))是由簽名者進(jìn)行有效的盲簽名，否則無(wú)效。

下面，將本發(fā)明中的技術(shù)方案與上述已存在的CL-PBS方案進(jìn)行計(jì)算效率的比較，其中包括文獻(xiàn)2及文獻(xiàn)3中的方案，其中文獻(xiàn)2是對(duì)文獻(xiàn)3存在公鑰替換攻擊提出的改進(jìn)方案。使用嵌入度為2的超奇異橢圓曲線E(F_P):y²＝x³+x，其中q＝2¹⁵⁹+2¹⁷+1為160比特素?cái)?shù)，p為滿足條件p+1＝12qr的512比特素?cái)?shù)。硬件平臺(tái)：CPU為CPIV 3-GHZ，512MB內(nèi)存和Windows XP操作系統(tǒng)。表1列出密碼方案中耗時(shí)大的基本單元運(yùn)算效率。

表1方案中基本單元運(yùn)算效率(單位為：毫秒)

表2列出了各方案中具體耗時(shí)運(yùn)算的計(jì)算數(shù)量，主要比較簽名者、簽名請(qǐng)求者和驗(yàn)證者在方案構(gòu)建過(guò)程中計(jì)算量。

表2各種方案的計(jì)算性能比較(單位：毫秒)

綜上，可以明顯得到本發(fā)明所構(gòu)造的方案具有更高的效率。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。