基於用戶身份標識防止pkg偽造籤名的方法

2023-05-21 03:36:16

專利名稱：基於用戶身份標識防止pkg偽造籤名的方法
技術領域：
本發明涉及的是一種數字安全認證方法，特別涉及的是一種基於用戶 身份標識防止PKG偽造籤名的方法。
背景技術：
數字籤名就是附加在數據單元上的一些數據，或是對數據單元所作的密碼 變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和數據 單元的完整性並保護數據，防止被人(例如接收者)進行偽造。它是對電子形式的 消息進行籤名的一種方法， 一個籤名消息能在一個通信網絡中傳輸。基於公鑰密 碼體制和私鑰密碼體制都可以獲得數字籤名，目前主要是基於公鑰密碼體制的 數字籤名。包括普通數字籤名和特殊數字籤名。普通數字籤名算法有RSA、 ElGamal、 Fiat—Shamir、 Gui 1 lou—Quisquarter、 Schnorr、 Ong—Schnorr—Shamir 數字籤名算法、Des/DSA，橢圓曲線數字籤名算法和有限自動機數字籤名算法等。 特殊數字籤名有盲籤名、代理籤名、群籤名、不可否認籤名、公平盲籤名、門 限籤名、具有消息恢復功能的籤名等，它與具體應用環境密切相關。顯然，數字 籤名的應用涉及到法律問題，美國聯邦政府基於有限域上的離散對數問題制定 了自己的數字籤名標準(DSS)。
數字籤名(Digital Signature )技術是不對稱加密算法的典型應用。數 字籤名的應用過程是，數據源發送方使用自己的私鑰對數據校驗和或其他與數 據內容有關的變量進行加密處理，完成對數據的合法"籤名"，數據接收方則 利用對方的公鑰來解讀收到的"數字籤名"，並將解讀結果用於對數據完整性 的檢驗，以確認籤名的合法性。數字籤名技術是在網絡系統虛擬環境中確認身 份的重要技術，完全可以代替現實過程中的"親筆籤字"，在技術和法律上有 保證。在公鑰與私鑰管理方面，數字籤名應用與加密郵件PGP技術正好相反。 在數字籤名應用中，發送者的公鑰可以很方便地得到，但他的私鑰則需要嚴格 保密。數字籤名主要的功能是保證信息傳輸的完整性、發送者的身份認證、防
止交易中的抵賴發生。
數字籤名包括普通數字籤.名和特殊數字籤名。普通數字籤名算法有RSA、 ElGmal、 Fiat-Shamir、 Gui1lou-Quisquarter、 Schnorr、 Ong-Schnorr-Shamir 數字籤名算法、Des/DSA,橢圓曲線數字籤名算法和有限自動機數字籤名算法等。 特殊數字籤名有盲籤名、代理籤名、群籤名、不可否認籤名、公平盲籤名、門 限籤名、具有消息恢復功能的籤名等，它與具體應用環境密切相關。
數字籤名技術是將摘要信息用發送者的私鑰加密，與原文一起傳送給接收 者。接收者只有用發送的公鑰才能解密被加密的摘要信息，然後用HASH函數對 收到的原文產生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收 到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此 數字籤名能夠驗證信息的完整性。
現有的數字籤名方法主要採用PKI技術。PKI技術是一種成熟的公鑰密碼技 術，近10年來獲得了廣泛的應用，如現在的網上銀行，網上證券、電子商務等 等都基於PKI技術，來保證數據傳輸的安全性。我國2004頒布的《電子籤名法》 也是基於PKI技術。在公鑰密碼技術中，用戶有兩把密鑰， 一把密鑰為用戶獨 有，稱為用戶私鑰； 一把密鑰公開給大家，稱為公鑰，利用用戶公鑰就可以給 該用戶發送加密信息，但在PKI技術中用戶公鑰是一串沒有意義的隨機數字， 因而要將公鑰和標誌用戶身份標識的信息綁定起來，形成數字證書，才方便大 家查詢， 一旦用戶數量過多的情況，用戶繁瑣的數字證書管理問題成了 PKI系 統運4於的並瓦頸。
為了解決繁瑣的數字證書管理問題，早在1984年，RSA公鑰密碼技術的發 明者之一 Adi Shamir教授就提出了基於身^f分加密(Ident i ty-Based Encryption ) 的思想，IBE是基於身份加密的縮寫，它的最大特點是利用標誌用戶身份標識的 信息(如用戶的身份證號、電子郵件地址、QQ號、手機號等等)直接作為用 戶公鑰，不採用數字證書的概念，因而避免了繁瑣的數字證書管理問題。但在 那時還沒有具體方法在實際中實現這一思想，IBE技術成為密碼學界未解決的主 要問題之一。
2001年，基於橢圓曲線密碼和Weil配對數學理論，史丹福大學計算機科學 技術系的教授Dan Boneh和加州大學戴維斯分院的教授Matt Franklin分別發 明了具體可實施的IBE算法，該算法又簡稱為D.B/M. F算法。
5D. B/M. F算法方案的安全性建立在CDH (Computation Dif fie-Hel lman )困 難問題的一個變形之上，稱為BDH( Bilinear Dif fie-Hel lman )困難問題。D. B/M. F 算法的核心是使用了超奇異橢圓曲線上的一個雙線性映射Weil Pairing。描述 如下
1、 設p是一個大素數，p三2 mod 3,並且存在大素數q，使得p+1能被q 整除，但不能被q"整除，記為p=lq-1;
2、 E/GF(p)是在有限域GF(p)上構造的橢圓曲線y2=x3+l, P是該曲線上階 為q的點，也稱為基點，定義加法循環群Gl利用P的點積方法生成；定義乘法 循環群G2利用P的乘冪的方法生成；
3、 BDH問題對於隨機的a, b， c f Z二已知(P， aP, bP， cP)來計算g (P， P)ab1G2。注意到E/GF(p)是超奇異橢圓曲線。"§ ，，是由修改的Weil Pairing 變來的映射，GlxGl —G2，滿足以下三條性質
1 )雙線性性
對於所有P， QfGl，和所有的a， beZ有g (aP, bQ)-g(P, Q)ab，其中 Z是整數集；
2) 非退化性如果P是G1的生成元，則§ (P， P) € GF(p2)'是G2的生成 元。在群G中如果存在有P € G使得G= {Pk I k e Z}，則稱G為循環群，稱P為G 的生成元；
3) 可計算性對於任何P, QGG1,存在一個有效的算法來計算§ (P, Q) €G2。
Weil Pairing的存在本來是對超奇異橢圓曲線上的密碼體制的威脅，也就 是說，G中的離散對數問題可輕易地簡化成GF(pV中的離散對數問題。E/GF(p) 是超奇異橢圓曲線，所以為使G中的離散對數問題難解，必須要求p的長度至 少為512比特。
根據D. B/M. F算法，我們可以得到基於身份標識的籤名方案 籤名方案分為四個執行階段系統參數建立階段(Setup)、用戶私鑰生成階 |炎(Extract),籤名階—險(Encrypt),以及-瞼證階革殳(Decrypt),其中， 所述的系統參數建立階段，包括的內容是
可信第三方密鑰伺服器進行如下步驟產生D. B/M. F的系統參數 1)首先選擇一個至少512比特長的大素數p，找一條滿足BDH安全假設的 超奇異橢圓曲線E/GF(p) ， P是曲線E的基點，基點的階是大素數q, q的長度至少為160比特，定義q階加法循環群Gl、 q階乘法循環群G2,以及雙線性配 對§ : Gl x Gl —G2;
2 )定義hash函數H2: GF(p2) — {0， l}n,及一個用於將用戶身份ID映射到 Gl'上元素的函數Hl,這裡的Gl'表示Gl去除O元素；
3)明文空間是M={0, l}n,密文空間是0= Gl'x{0, l}n;
4 )隨機選擇s G Z/作為系統主密鑰(master key),並令Ppub=sP;
5)保密主密鑰s,公開公共參數param=<q， Gl, G2, g ， n， P,Ppub， HI,
H2>。
所述用戶私鑰生成階段，其包括的步驟為
身份標識為ID6 {0, 1K的用戶向密碼伺服器申請自己的解密私鑰，密碼服 務器需要做以下工作
1 )計算用戶公鑰QID: QID=H1 (ID)
2 )產生用戶私鑰dID: dID=sQID。 所述的籤名階段，其包括的步驟為
輸入一個安全參數r、系統參數，ra/zw、用戶私鑰d^以及消息￥,輸出對消
息#的籤名C7
所述的驗證階段，其包括的步驟為 輸入系統參數、籤名人身份/從消息m和籤名cj，輸出籤名，驗證結果l或 0，代表真和偽。
該方案#4居橢圓曲線密碼和雙線性映射理論實現具體可實施的IBE方案， 解決了密碼學的一大難題。但這個系統中也存在一些問題(l)該方案採用的 是一般的公鑰籤名方案，對於基於身份的密碼體制而言，採用這種方案會使得 籤名的安全性有所降低，需要對該方案進行改進，使其能夠抵抗適應性選擇密 文攻擊(CCA) ;(2)該方案無法讓仲裁者對加密籤名實現驗證，即當一個籤 名經過加密後，仲裁者無法驗證這個籤名是否是正確的。(3)該方案無法防止 PKG偽造籤名。
為解決上述問題，本發明創作者經過長時間的研究和實踐終於獲得了本創作。

發明內容
本發明的目的在於，提供一種基於用戶身份標識防止PKG偽造籤名的方法，用以克服上述缺陷。
為實現上述目的，本發明採用的技術方案在於，提供一種基於用戶身份標識
防止PKG偽造籤名的方法，其包括的步驟有
步驟a:產生基於身份標識的籤名系統的系統參數；
步驟b:根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保存一長期 私鑰；
步驟c:發送方利用自己的私鑰對消息進行籤名；
步驟d:接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來驗證所述 的籤名是否偽造。
較佳的，步驟a:產生基於身份標識的籤名系統的系統參數；其包括的步驟
為
步驟al:選擇一至少512比特長的大素數p和滿足BDH安全假設的超奇異 橢圓曲線E/GF(p)，其中，P是曲線E的基點，基點的階是大素數q, q的長度 至少為160比特，定義q階加法循環群Gl、 q階乘法循環群G2，以及雙線性配 對S: GlxGU2;
步驟a2:定義hash函數H2: GF(p2)~>{0， l}n,及一用於將用戶身份ID映 射到Gr上元素的函數Hl，其中，GT表示Gl去除O元素；
步驟a3:確定明文空間M、密文空間是C，其中，M={0, l}n、 C=Gl*x{0,
i}n;
步驟a4:任意選取seZ;，計算屍—w屍；
步驟a5:將s作為PKG的秘密私鑰進行保存，並公開系統參數； /wrawefers = , G2 ， e, g， P,屍一,巧，//2}。
較佳的，步驟b:根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保 存一長期私鑰；其包括的步驟為
步驟bl:假定/D,是用戶A的唯一標識身份，PKG對用戶A進行物理鑑定 確定/￡^具有唯一')"生；
步驟b2:用戶A任意選取reZ:作為其長期私鑰，並發送rP給PKG;
步驟b3: &0計算^=//2(/1)|| 屍)，t是r的有效期，2m是G,中的元素， PKG再次計算^。^A(/Z)IU，0)，其中t是r的有效期，込d。也是G中的元素；
步驟b4: PKG計算^"込d和^。^2,，，並將^和&。通過安全信道發 送給用戶A;步驟b5:用戶A計算込。=i/2(/Z) II P)和e,D。 = //2(/" II ,O),並秘密保存&和 &。，此時用戶A的公私鑰對一共包括兩組(2/fl， & )和(2ro。， ),對於 秘密參數r，用戶A也作為秘密私鑰長期保存。
較佳的，還包括
步驟b6:當第一次進行傳輸時，用戶A用込D實現對消息的加密，用&。。實 現對消息的籤名；
步驟b7:用戶B接收到以後，通過籤名中的rP計算新的用戶A的公鑰 g/D = //2CTOII^屍)，此時=2 ,即用戶B從用戶A的籤名中得到了 A的公鑰； 同理，通過上述過程，用戶A也從用戶B的籤名中得到B的^^鑰。
較佳的，步驟c:發送方利用自己的私鑰對消息進行籤名；
其包括的步驟為
步驟cl:對於消息m，用戶A任意選取^eG,，隨機選取A:eZj; 步驟c2:用戶A計算P^e(《，屍)、c = //2(w,r)， C/ = ClS/Z)+^; 步驟c3:用戶A輸出(V, U， rP )為消息的籤名。
較佳的，步驟d:接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來 驗證所述的籤名是否偽造；其包括的步驟為
步驟dl:假定接收方為用戶B，則用戶B計算込。=^(仍11^戸)和 c = //2(m,r);
步驟d2 步驟d3 步驟d4 步驟d5 步驟d6 步驟d7
用戶B計算e(t/力"(e,屍—r;
用戶B驗證V是否等於e("，P)"(e,屍—廣； 用戶B發送rP給仲裁者； 仲裁者任意選取"eZ:並發送aP主會用戶B; 用戶B計算e(S,。，"屍)給仲裁者；
仲裁者驗證e(^ ， oP) = e(//2 (/Z) 11Z， r屍)，屍—)"是否成立，如果成立
則身份ID在同 一時間對應兩個不同,p ，判定籤名是偽造籤名的。


圖1為本發明基於用戶身份標識防止PKG偽造籤名的方法的流程圖。
具體實施例方式
以下結合附圖，對本發明上述的和另外的技術特徵和優點作更詳細的說明
9請參閱圖l所示，其為本發明基於用戶身份標識防止PKG偽造籤名的方法
的流程圖，其包括的步驟有
步驟a:產生基於身份標識的籤名系統的系統參數；
步驟b:根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保存一長期 私鑰；
步驟c:發送方利用自己的私鑰對消息進行籤名；
步驟d:接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來驗證所述 的籤名是否偽造。
其中，對於步驟a:產生基於身份標識的籤名系統的系統參數；其包括的步 驟為
步驟al:選擇一至少512比特長的大素數p和滿足BDH安全假設的超奇異 橢圓曲線E/GF(p),其中，P是曲線E的基點，基點的階是大素數q, q的長度 至少為160比特，定義q階加法循環群Gl、 q階乘法循環群G2，以及雙線性配 對S: GlxGU2;
步驟a2:定義hash函數H2: GF(p2)—{0, 1}'，，及一用於將用戶身份ID映 射到Gr上元素的函數Hl，其中，Gr表示Gl去除O元素；
步驟a3:確定明文空間M、密文空間是C,其中，M={0, l}n、 C=G1、{0,
i}n;
步驟a4:任意選取wZ;，計算/>—
步驟a5:將s作為PKG的秘密私鑰進行保存，並公開系統參數； /parameters = {(^,( 2,6,9， P， i^,*,， if 2}。
其中，所述的步驟b:根據系統參數生成用戶的公鑰和私鑰，其中，用戶自 己保存一長期私鑰；其包括的步驟為
步驟bl:假定/Z),是用戶A的唯一標識身份，PKG對用戶A進行物理鑑定 確定/Z^具有唯一性；
步驟b2:用戶A任意選取reZ:作為其長期私鑰，並發送rP給PKG;
步驟b3: &0計算込。=//2(//)|| />), t是r的有效期，込d是G,中的元素， PKG再次計算em^Z/2(/DIU，0),其中t是r的有效期，0m。也是G,中的元素；
步驟b4: PKG計算^w^和&。^込，，並將^和&，通過安全信道發 送給用戶A;
步驟b5:用戶A計算Qro = //2(/DII;,r屍)和Q/D。 = //2(/Z) 11,,0),並秘密保存&和&。，此時用戶A的公私鑰對一共包括兩組(0/Z)， &D )和(込d。， &。)，對於 秘密參數r,用戶A也作為秘密私鑰長期保存。
與傳統算法相比，其特殊之處在於此時reZ:是A秘密保存的，PKG無法獲 得r的任意信息，因為PKG無法從rP和P的值中得到r,這個特性使得如果PKG 偽造用戶A的籤名，仲裁者可以利用r來證明PKG的籤名是偽造的，下面將對 此進行論述；至此用戶的公私鑰對已經生成，與傳統算法相比，產生了兩組公 私鑰對，這兩組7>私鑰對的特殊之處在於，初始情況下，需要這兩組7>私對分 別完成加密/解密，籤名/驗證功能，當第一次相互通信完成後，就可以通過計算 生成一組新的^^私鑰對，然後可以利用這組新的公私鑰對獨自實現加密/解密和 籤名/驗證功能，與傳統算法相比，它的好處在於新生成的密鑰對可抵抗CCA攻 擊(傳統算法中的加密/解密公私鑰對是不能抵抗CCA攻擊的，因此傳統算法需 要兩組密鑰對來實現加密/解密和籤名/驗證功能，而該方案僅第 一次需要兩組 密鑰對，以後通信僅需要一組密鑰對就可完成加密/解密和籤名/驗證功能)具 體過程見下
當第一次進行傳輸時，用戶A用(用戶B的公鑰)實現對消息m的加密， 用S，(用戶A的私鑰)實現對消息m的籤名；
用戶B接收到以後，就可以通過籤名中的rP計算新的用戶A的公鑰 =^2(/"lU，W),此時2m-2^。，即用戶B從用戶A的籤名中得到了 A的公鑰； 同理，通過上述過程，用戶A也可從用戶B的籤名中得到B的公鑰。
此後用戶B與用戶A的秘密通信中，可以用新得^^私鑰對來實現加解密， 籤名和驗證功能。這對新的密鑰對既能完成加解密，還能完成籤名驗證功能， 並過這種方式生成的密鑰對可^l氐抗CCA攻擊；
對於步驟c:發送方利用自己的私鑰對消息進行籤名；其包括的步驟為
步驟cl:對於消息m,用戶A任意選取/^G,，隨機選取/UZ:;
步驟c2:用戶A計算f^e(C)、 c = i/2(m，0， " = "/0+化；
步驟c3:用戶A輸出(V， U, rP )為消息的籤名。
對於所述的步驟d:接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰 來驗證所述的籤名是否偽造；其包括的步驟為
步驟dl: ^艮定接收方為用戶B,則用戶B計算2//3=//2(/￡)^,/"屍)和 c = //2(w，F);
步驟d2:用戶B計算e(C/，/X2,d,i^r;步驟d3:用戶b驗證v是否等於屍) ，屍—;r;
因為事實上e(t/,屍) r
=e(c^+化，屍)"(e氾,屍—r
= <化,屍)"(《，屍) 丄
="e("e,D，p)"(aD，
=r
與現有的方案比，該方案能夠防止PKG偽造籤名，仲裁者在不需要用戶私
鑰的基礎上就能夠對籤名進行驗證。
i正明如下
假定PKG試圖偽造籤名，它假扮一個身份為ID的用戶進行偽造籤名，PKG 進4亍J(口下才喿作
偽造步驟1: PKG隨機選取r e Z;，計算//2(//) || f，r'P) ， S/D = sQ氾； 偽造步驟2:按照上述過程偽造對消息m的籤名； 偽造步驟3:輸出籤名(r'，C/',r屍)；
因為F' ^07',屍)，e(Q^,屍—r ,所以看似PKG對消息m的籤名可以偽造並且 是有效的，實際上合法用戶可以向仲裁者證明該籤名是偽造的； 步驟d4:用戶B發送rP給仲裁者； 步驟d5:仲裁者任意選取aeZ:並發送aP給用戶B; 步驟d6:用戶B計算e(S^ ,oP)給仲裁者；
步驟d7:仲裁者驗證e0^ ，a屍一e(Z/2(/Z)llf，/^),i^)。是否成立，如果成立， 則身份ID在同 一 時間對應兩個不同rp ,判定籤名是偽造籤名的。
以上所述僅為本發明的較佳實施例，對本發明而言僅僅是說明性的，而非 限制性的。本專業技術人員理解，在本發明權利要求所限定的精神和範圍內可 對其進行許多改變，修改，甚至等效，但都將落入本發明的保護範圍內。
1權利要求
1、一種基於用戶身份標識防止PKG偽造籤名的方法，其特徵在於，其包括的步驟有步驟a產生基於身份標識的籤名系統的系統參數；步驟b根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保存一長期私鑰；步驟c發送方利用自己的私鑰對消息進行籤名；步驟d接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來驗證所述的籤名是否偽造。
2、 衝艮據權利要求1所述的基於用戶身份標識防止PKG偽造籤名的方法， 其特徵在於，步驟a:產生基於身份標識的籤名系統的系統參數；其包括的步驟 為步驟al:選擇一至少512比特長的大素數p和滿足BDH安全假設的超奇異 橢圓曲線E/GF(p),其中，P是曲線E的基點，基點的階是大素數q， q的長度 至少為160比特，定義q階加法循環群Gl、 q階乘法循環群G2，以及雙線性配 對S: GlxGl—G2;步驟a2:定義hash函數H2: GF(p2)—{0, l}n,及一用於將用戶身份ID映 射到Gr上元素的函數Hl,其中，Gr表示Gl去除O元素；步驟a3:確定明文空間M、密文空間是C，其中，M={0， l}n、 C=Grx{0,i}n;步驟a4:任意選取seZ:,計算屍—=5屍；步驟a5:將s作為PKG的秘密私鑰進行保存，並公開系統參數 / arairaefers = {(7,, G2, e， g,屍,,, //2}。
3、 根據權利要求2所述的基於用戶身份標識防止PKG偽造籤名的方法， 其特徵在於，步驟b:根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保 存一長期私鑰；其包括的步驟為步驟bl:假定/D」是用戶A的唯一標識身份，PKG對用戶A進行物理鑑定 確定/D力具有唯一性；步驟b2:用戶A任意選取/^Z:作為其長期私鑰，並發送rP給PKG;步驟b3: 1^計算&=//2(/"|| 屍)，t是r的有效期，G氾是"中的元素， PKG再次計算^。-i^(/DI1/,0)，其中t是r的有效期，Q^。也是G,中的元素；步驟b4: PKG計算^we,d和^。^2m。，並將^和&。。通過安全信道發 送給用戶A;步驟b5:用戶A計算= H2(/Z) II 屍)和0ro。 = i/2(/D II,,0),並秘密保存Sro和 &。，此時用戶A的公私鑰對一共包括兩組(込d， &D )和(2 。， &。)，對於 秘密參數r,用戶A也作為秘密私鑰長期保存。
4、 根據權利要求3或4所述的基於用戶身份標識防止PKG偽造籤名的方 法，其特徵在於，還包括步驟b6:當第一次進行傳輸時，用戶A用2,。實現對消息的加密，用S,實 現對消息的籤名；步驟b7:用戶B接收到以後，通過籤名中的rP計算新的用戶A的公鑰 2/D = //2(/" IIf,r屍)，此時^;=込。。，即用戶B從用戶A的籤名中得到了 A的公鑰； 同理，通過上述過程，用戶A也從用戶B的籤名中得到B的公鑰。
5、 根據權利要求3或4所述的基於用戶身份標識防止PKG偽造籤名的方 法，其特徵在於，步驟c:發送方利用自己的私鑰對消息進行籤名；其包括的步驟為步驟cl:對於消息m,用戶A任意選耳又/^eG,，隨機選取AeZ:; 步驟c2:用戶A計算F = 6(6,屍)、c = //2(m,0， ^/ = ^ +^; 步驟c3:用戶A輸出(V, U， rP)為消息的籤名。
6、 根據權利要求4所述的基於用戶身份標識防止PKG偽造籤名的方法， 其特徵在於，步驟d:接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來 驗證所述的籤名是否偽造；其包括的步驟為步驟dl:假定接收方為用戶B，則用戶B計算0//3 =//2(//)||/,/^)和 c = //2(m,K);步驟d2:用戶B計算e(C/,屍)"(2^，屍—廠；步驟d3:用戶B驗證V是否等於e(t/，屍)"(2^,屍—廠；步驟d4:用戶B發送rP給仲裁者；步驟d5:仲裁者任意選取fleZ:並發送aP給用戶B;步驟d6:用戶B計算e0^ ,fl屍)給仲裁者；步驟d7:仲裁者驗證e(^ ,^) = 6(//2(/別|^屍)，屍—y是否成立，如果成立， 則身份ID在同 一 時間對應兩個不同^ ，判定籤名是偽造籤名的。
全文摘要
本發明為一種基於用戶身份標識防止PKG偽造籤名的方法，其包括的步驟有步驟a產生基於身份標識的籤名系統的系統參數；步驟b根據系統參數生成用戶的公鑰和私鑰，其中，用戶自己保存一長期私鑰；步驟c發送方利用自己的私鑰對消息進行籤名；步驟d接收方通過仲裁者利用發送方的公鑰和所述的長期私鑰來驗證所述的籤名是否偽造。
文檔編號H04L9/32GK101471776SQ20071030854
公開日2009年7月1日 申請日期2007年12月29日 優先權日2007年12月29日
發明者瑤 丁, 淨媛媛, 張慶勝, 磊 王, 程登峰 申請人:航天信息股份有限公司