(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210563294.3 (22)申请日 2022.05.20 (71)申请人 曲阜师范大学 地址 273165 山东省济宁市曲阜市 静轩西 路57号 (72)发明人 李凤银　李潇　王伊蕾　商梦雪　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/30(2006.01) (54)发明名称 基于无证书的消息可恢复盲签名方法 (57)摘要 本发明涉及密码学领域， 具体讲的是一种基 于无证书的消息可恢复盲签名方法。 在盲签名 中， 签名者能够在不知 道消息内容以及签名请求 者身份的情况下对消息进行签名， 以实现请求者 身份的匿名性和对消息内容的隐私保护。 为了解 决现有的盲签名方法在无证书密码体制下对消 息可恢复的盲签名研究的不足， 本发 明提供了一 种基于无证书的消息可恢复盲签名方法， 允许签 名者在无证书公钥密码体制下对请求者提供的 消息进行盲签名， 请求者可以在不泄露身份信息 和消息内容的情况下得到签名， 同时签名不与消 息一起传输并且可在验证阶段从签名中恢复出 消息， 缩短了消息 ‑签名对的长度， 降低了签名在 传送时的带宽开销， 成功实现了盲签名在无证书 体制下的匿名性和 消息可恢复性。 权利要求书2页 说明书4页 附图1页 CN 114915426 A 2022.08.16 CN 114915426 A 1.一种基于无证书的消息可恢复盲签名方法， 其特 征在于： (1)允许签名者在无证书公钥密码体制下对请求 者提供的消息进行盲签名； (2)所提出方法具有消息可恢复性， 即消息嵌入到签名中， 使消息 ‑签名对转化为一个 签名， 消息不与签名一起传输并且在验证阶段恢复， 减小了签名长度， 降低了签名在传送时 的带宽开销； (3)所提出方法具有匿名性， 即签名者可以在不知道请求者身份与消息内容的情况下 进行签名； (4)通过将无证书公钥密码体制与消息可恢复盲签名方法结合， 有效解决了盲签名在 实际应用中安全、 效率和扩展性方面的问题。 2.根据权利要求1所述的一种基于无证书的消息可恢复盲签名方法， 包括以下七个概 率多项式时间算法： (1)系统初始化Setup： 输入安全参数， 该算法生成系统主密钥、 主公钥以及公共系统参 数； (2)设置部分私钥Set ‑Partial‑Private‑Key： 输入系统参数、 主密钥以及用户身份， 该 算法计算该用户对应的部分私钥； (3)设置秘密值Set ‑Secret‑Value： 该算法生成用户对应的秘密值； (4)设置公钥Set ‑Public‑Key： 输入系统参数、 用户身份和用户的秘密值， 该算法生成 该用户对应的公钥； (5)设置私钥Set ‑Private‑Key： 输入系统参数、 用户身份、 部分私钥、 用户秘密值和用 户公钥， 该算法生成该用户对应的私钥； (6)盲签名生成Blind ‑Signature ‑Generation： 这是一个由提供消息的请求者与签名 者之间进 行的交互式算法， 输入系统参数、 消息 m、 签名者私钥， 该算法生成消息m的盲签名， 具体步骤如下： (6.1)承诺Com mitting： 签名者首 先计算一个承诺并发送给请求 者； (6.2)盲化Blinding： 请求者随机选择盲因子来盲化消息m， 并将盲化后的消息发送给 签名者； (6.3)签名Signing： 签名者用自己的私钥对盲化后的消息签名， 并将签名结果发送给 请求者； (6.4)脱盲Unblinding： 请求者脱盲后得到签名者对消息m的盲签名； (7)盲签名验证B lind‑Signature ‑Verify： 输入系统参数、 签名者的公钥和签名者对消 息m的盲签名， 该算法恢复消 息m并验证盲签名有效性， 如果盲签名有效， 则输出1； 否则， 输 出0。 3.根据权利要求2所述的一种基于无证书的消息可恢复盲签名方法， 具体算法实施步 骤如下： (1)系统初始化Setup： (1.1)给定安全参数 λ， 密钥生成中心KGC执 行以下步骤： 选择双线性配对参数 其中 是阶为素数q的循 环群， 分别是他们的生成元， 是阶为素数q的循环群， e: 是权　利　要　求　书 1/2 页 2 CN 114915426 A 2一个双线性配对； (1.2)选择哈希函数为H1: H2: H3: F1: F2: 其中l1， l2是正整数， 并且l1+l2＝|q|； (1.3)随机 选择 是主密钥， Ppub＝sP2是主公钥； (1.4)公布公共参数param s＝{ppbp,l1,l2,H1,H2,H3,F1,F2,Ppub}， 并保存主密钥m sk＝s； (2)设置部分私钥Set ‑Partial‑Private‑Key： KGC为身份为 ID∈{0,1}*的用户生成部分私钥D＝(s+H1(ID)‑1P1， 并将其发送给用户； (3)设置秘密值Set ‑Secret‑Value： 身份为ID的用户随机 选择 作为他的秘密值； (4)设置公钥Set ‑Public‑Key： 用户计算 Q＝Ppub+H1(ID)P和PK＝xQ， PK即为用户公钥； (5)设置私钥Set ‑Private‑Key： 用户计算y＝H2(PK)， SK＝(x+y)‑1D， SK即为用户私钥； (6)盲签名生成Bl ind‑Signature ‑Generati on： 消息提供者通过与身份为ID的用户进行交互来获取消息 的签名， 具体步骤如 下： (6.1)承诺Com mitting： 签名者随机 选择 并计算R＝rP1， 将R发送给用户； (6.2)盲化Blinding： 用户随机选择 计算 ω1＝e(aR+ bP1,P2) ， ω2＝e(bP1,PK+yQ) ， ω＝ω1·ω2， 然后， 用户发送 给签名者； (6.3)签名Sign ing： 签名者计算 并将其发送给用户； (6.4)脱盲Unblinding： 用户计算 并输出签名 σ ＝(v,S)； (7)盲签名验证Bl ind‑Signature ‑Verificati on： 输入σ′＝(v′,S′)， 验证者计算ω ′＝e(S′,PK+yQ)·e(P1,P2)v′， 然后， 用户检查 是否与F1(m′)相等， 如果相等， 则签名是有效的并且 m′是被提取 出的消息， 否则， 签名无效。权　利　要　求　书 2/2 页 3 CN 114915426 A 3