CN108449326A

CN108449326A - 一种异构可否认的认证方法和***

Info

Publication number: CN108449326A
Application number: CN201810163893.XA
Authority: CN
Inventors: 金春花; 于长辉; 单劲松; 徐成杰; 陈冠华; 殷路
Original assignee: Huaiyin Institute of Technology
Current assignee: Huaiyin Institute of Technology
Priority date: 2018-02-27
Filing date: 2018-02-27
Publication date: 2018-08-24
Anticipated expiration: 2038-02-27
Also published as: CN108449326B

Abstract

本发明旨在解决发送端基于无证书环境、接收端基于公钥基础设施环境的异构可否认的认证通信问题，提供一种异构可否认的认证方法和***，本发明的方法包括：在无证书环境的私钥生成中心设置***参数，生成私钥生成中心的主私钥和主公钥；无证书环境的发送端根据设置的无证书环境的***参数、发送端身份ID_A、发送端公钥PK_A与发送端完全私钥S_A、接收端公钥pk_B、消息m生成一个否认认证码并将其发送到接收端；接收端接收到消息m以及否认认证码后验证否认认证码的正确性。本发明从无证书环境到公钥基础设施环境的可否认的认证通信，为基于无证书环境的用户和基于公钥基础设施环境的用户提供端到端的安全保障和可否认***。

Description

一种异构可否认的认证方法和***

技术领域

本发明涉及通信技术领域，尤其涉及一种异构可否认的认证方法和***。

背景技术

认证是许多网络与信息安全应用中的一项重要安全要求。认证是确保通信方的确是他(她)所声称的那位。通常来说，认证意味着不可否认性。不可否认性是防止通信方对以前的许诺或者行为的否认。可以利用数字签名体制来取得认证性和不可否认性。然而，在某些应用中，不可否认性却是不受欢迎的，比如电子投票***(electronic voting system)和Internet上的安全谈判(secure negotiation)[Aumann Y,Rabin M.Authenticationenhanced security and error correcting codes.Advances in Cryptology-CRYPTO’98,LNCS 1462,1998:299-303.]，这里需要一种新的密码技术--可否认认证(deniableauthentication)协议。与传统的认证相比，可否认认证协议具有以下两个重要的特征：

(1)允许接收者鉴别给定消息的来源；

(2)接收者不能向第三方证明给定消息的来源。

这样的特征在电子投票***中摆脱强迫选举和Internet上进行的安全谈判是非常重要的。在一个电子投票***中，设Alice是一个投票者，Bob是计票中心。假设Carol想强迫Alice选举一个候选人，但是Alice却不希望选举这个候选人。Alice被要求发送她的选票m和认证码(authenticator)给Bob，以便Bob能够相信这张选票来自于Alice而不是其他人。此外，即使Bob和Carol合作，Bob也不能向Carol证明选票m的来源。如果Bob和Carol合作，Carol可能会怀疑Bob给出证据的真实性。在这种情况下，Carol就不会强迫Alice选举这个候选人。因此，为了让一个投票者摆脱强迫选举，需要可否认认证协议。另外一个例子是Internet上进行的安全谈判。设Alice是一个顾客，Bob是商家，Alice希望从Bob那里订购一个商品。通常情况下，Alice要发送一个她提议的价格m和认证码给Bob。Alice希望Bob不能够将自己的出价显示给第三方。如果Bob能够将Alice的出价显示给第三方的话，他可能会引出一个更好的价格。Bob能够相信出价m来自于Alice，但是即使Bob和第三方合作，Bob也不能向第三方证明出价m来自于Alice。主要的原因在于Bob也能够产生跟Alice相同的出价m和认证码，第三方会可能会怀疑Bob给出证据的真实性。上述两个例子表明了可否认认证协议在实际应用中具有重要作用。可否认认证协议可以分为交互式可否认认证协议和非交互式可否认认证协议两类。在交互式可否认认证协议中，发送者和接收者需要发送两条或是两条以上的消息。在非交互式可否认认证协议中，发送者只需要发送一条消息，接收者不需要发送消息。

在密码学中，认证用户的公钥有三种方法：基于公钥基础设施(public keyinfrastructure,PKI)的方法、基于身份(identity-based)的方法和无证书(certificateless)方法。事实上，可以根据公钥认证方法的不同，把公钥密码体制分为基于公钥基础设施的密码体制、基于身份的密码体制和无证书密码体制。下面解释这三种密码体制的特点。

(1)基于公钥基础设施的密码体制：每个用户的公钥都伴随一个公钥证书，这个公钥证书由CA签发。公钥证书是一个结构化的数据记录，它包括了用户的身份信息、公钥参数和CA的签名等。任何人都可以通过验证证书的合法性(CA的签名)来认证公钥。这种方法有如下两个缺点：①使用任何公钥前都需要先验证公钥证书的合法性，增加了用户的计算量；②CA需要管理大量的证书，包括证书的颁发、存储、撤销等。

(2)基于身份的密码体制：为了简化密钥管理，Shamir于1984年首次提出了基于身份的密码体制的概念[Shamir A.Identity-based cryptosystems and signatureschemes.Advances in Cryptology-CRYPTO’84,LNCS 196,1985:47-53.]。在基于身份的密码体制中，用户的公钥可以根据用户的身份信息(如姓名、身份证号码、电话号码、E-mail地址等)直接计算出来，用户的私钥则是由一个称为私钥生成中心(private key generator,PKG)的可信方生成。基于身份的密码体制取消了公钥证书，减少了公钥证书的存储和合法性验证。但是，基于身份的密码体制有一个致命的缺点：所有用户的私钥都由PKG生成。PKG知道所有用户的私钥不可避免的引起密钥托管问题

(3)无证书密码体制：为了克服基于身份的密码体制中的密钥托管问题，Al-Riyami和Paterson提出了无证书密码体制(certificateless cryptography)的概念[Al-Riyami S S,Paterson K G.Certificateless public key cryptography.Advances inCryptology-ASIACRYPT 2003,LNCS 2894,2003:452-473.]。在这种密码体制中，用户的私钥来自于两部分，一部分是用户自己选择的秘密值，一部分是由私钥生成中心(keygenerating centre,KGC)根据用户的身份信息计算的部分私钥。公钥通常利用秘密值来生成，但这里的公钥不必有单独认证的公钥证书。也就是说，用户需要联合KGC生成的部分私钥和自己的秘密值来生成完全私钥。KGC并不知道用户的完全私钥，从而消除了密钥托管问题。

Wang和Song提出了一个非交互的基于指定验证者的可否认认证方案[Wang B,Song Z X.A non-interactive deniable authentication scheme based on designatedverifier proofs[J].Information Sciences,2009,179(6):858-865.]。他们的方案在DDH困难问题的假设下是可证明安全的。Raimondo and Gennaro提出了一个前向否认性的概念[Di Raimondo M,Gennaro R.New approaches for deniable authentication[J].Journal of cryptology,2009,22(4):572-615.]。这个概念要求认证是可否认的，即使发送端稍后想要证明它已经对消息进行了认证。Tian等人.[Tian H,Chen X,Jiang Z.Non-interactive deniable authentication protocols[C]//International Conference onInformation Security and Cryptology.Springer,Berlin,Heidelberg,2011:142-159.]给出了一个范例来构造非交互的可否认认证方案，并在他们定义的安全模型中证明了所提方案的安全性。Li和Takagi[Li F,Takagi T.Cryptanalysis and improvement of robustdeniable authentication protocol[J].Wireless personal communications,2013,69(4):1391-1398.]设计了一个可否认的认证方案，该方案满足可否认认证性、相互认证性和保密性。Gambs等人[Gambs S,Onete C,Robert J M.Prover anonymous and deniabledistance-bounding authentication[C]//Proceedings of the 9th ACM symposium onInformation,computer and communications security.ACM,2014:501-506.]设计了一个证明者匿名和可否认的距离范围内的认证方案。他俩给出了形式化安全模型并定义了证明者的匿名性。为了实现可否认性，他们确定后端服务器不能把证明者的行为和恶意验证者的行为区分开来。Zeng等人[Zeng S,Chen Y,Tan S,et al.Concurrently deniable ringauthentication and its application to LBS in VANETs[J].Peer-to-PeerNetworking and Applications,2017,10(4):844-856.]提出了一个可否认的环认证方案来处理并行问题。他们构造了一个CCA2-安全的多接收者加密的方法，该方法只需要2轮通信，在通信开销方面具有优势。以上提到的这些方案，发送端和接收端都处于公钥基础设施环境。Lu等人[Lu R,Cao Z,Wang S,et al.A new ID-based deniable authenticationprotocol[J].Informatica,2007,18(1):67-78.]在RSA假设下设计了一个基于身份的可否认的认证方案，并且他们使用可证明安全技术来分析所提方案的安全性。Li等人[Li F,Xiong P,Jin C.Identity-based deniable authentication for ad hoc networks[J].Computing,2014,96(9):843-853.]使用双线性对提出了一个有效的可否认的认证方案，并且他们在随机预言机模型下给出了安全性证明。Yao和Zhao[Yao A C C,ZhaoY.Privacy-preserving authenticated key-exchange over Internet[J].IEEETransactions on Information Forensics and Security,2014,9(1):125-140.]设计了两个可否认的网络密钥交换协议。其中一个协议基于身份环境。以上提到的这些方案，发送端和接收端都处于基于身份设施环境。Jin等人[Jin C,Xu C,Zhang X,et al.Anefficient certificateless deniable authentication protocol without pairings[J].International Journal of Electronic Security and Digital Forensics,2015,7(2):179-196.]设计了一个非对的基于无证书的可否认的认证方案，并且他们在随机预言机模型下给出了安全性证明。Jin等人[Jin C,Xu C,Li F,et al.A novelcertificateless deniable authentication protocol[J].International Journal ofComputers and Applications,2015,37(3-4):181-192.]使用双线性对设计了一个无证书的可否认的认证方案，并且他们的方案在BDH和CDH困难问题的假设下是可证明安全的。以上提到的这些方案，发送端和接收端都处于基于无证书的环境。

在上述的讨论中，人们通常假设参与方属于相同的公钥认证环境，即两方或者多方要么同属于公钥基础设施环境、要么同属于基于身份环境、要么同属于无证书环境。然而，现代形成的互联全球的计算机和通信***是种类繁多的。物联网、云计算这些新技术的出现加重了网络的异构程度。不同的国家、地区和企业可能采用不同的网络技术和不同的安全技术(这里主要指公钥认证技术的不同)。在普适计算环境下，Li等人[Li F,Hong J,Omala A A.Practical deniable authentication for pervasive computingenvironments[J].Wireless Networks,2018,24(1):139-149.]提出了两个基于异构***的可否认的认证方案。第一个方案允许属于公钥基础设施环境中的发送端发送消息给属于基于身份环境中的接收端，第二个方案允许属于基于身份环境中的发送端发送消息给属于公钥基础设施环境中的接收端，他们都能实现可否认性和认证性。

上述可否认的认证方法都没有讨论发送端属于基于无证书环境、接收端属于基于公钥基础设施环境的通信问题。

发明内容

本发明旨在解决发送端属于基于无证书环境、接收端属于基于公钥基础设施环境的异构可否认的认证通信问题。

为了实现上述目标，本发明提供一种异构可否认的认证方法，其特征在于，包括：

1)无证书环境的私钥生成中心设置***参数，生成私钥生成中心的主私钥和主公钥；

2)无证书环境的发送端向公钥基础设施环境的接收端发送消息m以及否认认证码用于指示所述发送端与所述接收端执行否认认证操作的认证请求，所述否认认证码是由发送端根据设置的无证书环境的***参数、发送端的身份ID_A、发送端公钥PK_A与发送端完全私钥S_A、接收端公钥pk_B、消息m生成一个消息m的否认认证码σ；其中所述发送端完全私钥S_A由发送端根据本端随机生成的一个秘密值x_A和私钥生成中心生成的发送端的部分私钥D_A生成；

3)所述公钥基础设施环境的接收端接收到来自发送端的消息m以及否认认证码后验证否认认证码的正确性。

为了实现上述目标，本发明还提供一种异构可否认的认证***，其特征在于，包括：无证书***参数模块、发送端部分私钥模块、发送端完全私钥模块、发送端公钥模块、接收端私钥和公钥模块、否认认证模块、验证模块；

所述无证书***参数模块用于设置无证书环境的***参数，生成私钥生成中心的主私钥和主公钥；

所述发送端部分私钥模块用于根据无证书环境的***参数和无证书环境的发送端提交的发送端的身份信息ID_A生成对应的发送端的部分私钥D_A；

所述发送端完全私钥模块用于根据本端随机生成的一个秘密值x_A与接收到的来自私钥生成中心发送的部分私钥D_A设置发送端的完全私钥S_A＝(x_A，D_A)；

所述发送端公钥模块用于根据***参数和发送端的秘密值生成发送端的公钥；

所述接收端私钥和公钥模块用于根据接收端选择的随机数作为接收端私钥并生成接收端的公钥；

所述否认认证模块用于根据***参数、发送端的身份、发送端的公钥与私钥、接收端的公钥和消息，生成一个否认认证码并发送给接收端；

所述验证模块用于根据***参数、发送端的身份、发送端的公钥、接收端的公钥和私钥、否认认证码和消息，输出表示正确或错误的符号。

本发明所达到的有益效果：本发明实现从基于无证书环境到基于公钥基础设施环境的可否认的认证通信，为基于无证书环境的用户和公钥基础设施环境的用户提供端到端的安全保障；可以为基于无证书环境的用户和基于公钥基础设施环境的用户提供端到端的认证性和可否认***。

附图说明

图1为本发明一种异构可否认认证方法一个实施例流程图；

图2为本发明一种异构可否认认证方法一个实施例认证操作流程图；

图3为本发明一种异构可否认认证方法一个实施例验证操作流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚，下面结合附图对本发明作进一步描述。应当理解，以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明提供一种异构可否认的认证方法，包括

步骤1)无证书环境的私钥生成中心设置***参数，生成私钥生成中心的主私钥和主公钥；

图1给出了一种异构可否认的认证方法一个实施例流程图；在图1中私钥生成中心生成私钥中心的主私钥s和主公钥P_pub，其具体过程如下：

设G₁为由生成元P生成的循环加法群，阶为q，G₂为具有相同阶q的循环乘法群，e:G₁×G₁→G₂为一个双线性映射。定义两个安全的Hash函数H₁和H₂。H₁是从{0,1}^*映射到H₂从{0,1}^*×G₁映射到***参数为

{G₁,G₂,q,e,P,H₁,H₂}

私钥生成中心随机选择一个私钥计算相应的公钥P_pub＝sP，其中s为随机数，P为生成元。

步骤2)无证书环境的发送端向公钥基础设施环境的接收端发送消息m以及否认认证码用于指示所述发送端与所述接收端执行否认认证操作的认证请求，所述否认认证码是由发送端根据设置的无证书环境的***参数、发送端的身份ID_A、发送端公钥PK_A与发送端完全私钥S_A、接收端公钥pk_B、消息m生成一个消息m的否认认证码σ；其中所述发送端完全私钥S_A由发送端根据本端随机生成的一个秘密值x_A和私钥生成中心生成的发送端的部分私钥D_A生成；

在图1中，无证书环境的发送端首先提交身份信息ID_A给私钥生成中心，以便获得部分私钥D_A，私钥生成中心根据***参数和身份信息ID_A生成部分私钥D_A并发送给发送端，发送端然后随机生成一个秘密值x_A，根据秘密值x_A与部分私钥D_A设置完全私钥S_A＝(x_A,D_A)和公钥PK_A；

发送端公钥PK_A可根据本发明方法的具体实施例的不同来设置不同的值，在本发明方法的一个实施例中，设置PK_A＝x_AP，其中x_A为发送端随机生成的一个秘密值，P为生成元。

基于公钥基础设施环境的接收端选择随机数sk_B作为接收端的私钥并生成相应的接收端的公钥pk_B，其中pk_B＝sk_B·P，P为生成元；

发送端根据***参数、发送端的身份ID_A、发送端的公钥PK_A与发送端的完全私钥S_A、接收端的公钥pk_B与和消息m，生成一个否认认证码σ并发送给接收端。

生成一个否认认证码σ可结合图2所示，其具体过程如下：

(1)无证书环境的发送端随机生成一个随机数表示整数群除去0，并计算承诺U＝rQ_A，其中Q_A为发送端身份ID_A的Hash值；

(2)无证书环境的发送端计算Hash值h₂,计算公式如下：

h₂＝H₂(m,U,PK_A,pk_B,x_Apk_B)

其中H₂为哈希函数，m为消息、U为承诺值、PK_A为发送端的公钥、pk_B为接收端的公钥、x_Apk_B为发送端秘密值x_A和接收端公钥pk_B的乘积；

(3)生成签名V，计算公式如下：

V＝(r+h₂)D_A；

式中r为随机数、h₂为Hash值、D_A为发送端的部分私钥；

(4)生成双线性对的值S，公式如下：

S＝e(V,pk_B)；

其中e为双线性映射、V为签名、pk_B为接收端的公钥；

(5)生成一个消息m的否认认证码σ，形式如下：

σ＝(U,S)，其中U为承诺值，S为双线性对的值；

发送端的完全私钥S_A有两部分，包括发送端秘密值x_A和发送端的部分私钥D_A；在生成否认认证码σ时无证书环境的发送端计算Hash值h₂中用到了S_A中的x_A，生成签名V时用到S_A中的D_A。

步骤3)所述公钥基础设施环境的接收端接收到来自发送端的消息m以及否认认证码σ后验证否认认证码的正确性。

验证过程可结合附图3所示，其具体过程如下：

(1)公钥基础设施环境的接收端计算Hash值h′₂，公式如下：

h′₂＝H₂(m,U,PK_A,pk_B,sk_BPK_A)，

其中H₂为哈希函数，m为消息、U为承诺值、PK_A为发送端的公钥、pk_B为接收端的公钥、sk_BPK_A为接收端私钥sk_B和发送端公钥PK_A的乘积；

(2)计算双线性对S′，公式如下：

S′＝e(U+h′₂Q_A,sk_BP_pub)，

其中e为双线性对，U为承诺值，h′₂为哈希函数值，Q_A为发送端身份ID_A的Hash值，sk_BP_pub为接收端私钥sk_B和私钥生成中心的主公钥P_pub的乘积；

(3)验证等式S′＝S是否成立；如果成立，输出表示正确的符号；如果不成立，输出表示错误的符号。

优选地，在本发明方法的一个实施例中，接收端验证等式S′＝S是否成立；如果成立，则接收端接收；否则，则接收端拒绝。

本发明还提供一种异构可否认的认证***，其特征在于，包括：无证书***参数模块、发送端部分私钥模块、发送端完全私钥模块、发送端公钥模块、接收端私钥和公钥模块、否认认证模块、验证模块；

所述无证书***参数模块用于设置无证书环境的***参数，生成私钥中心的主私钥和主公钥；

所述发送端完全私钥模块用于根据本端随机生成的一个秘密值x_A与接收到的来自私钥生成中心发送的部分私钥D_A设置发送端的完全私钥S_A＝(x_A,D_A)；

所述发送端完全私钥模块具体包括设置秘密值单元和设置完全私钥单元。

所述秘密值单元用于产生一个随机数作为秘密值；

所述完全私钥单元用于将秘密值与部分私钥联合起来形成完全私钥。

所述否认认证模块具体包括产生承诺单元、计算Hash值单元、签名单元、计算双线性对单元和发送否认认证码单元；

所述产生承诺单元用于产生随机数并生成承诺；

所述计算Hash值单元用于计算给定消息的Hash值；

所述签名单元用于签名给定的消息；

所述计算双线性对单元用于产生部分否认认证码；

所述发送否认认证码单元用于将否认认证码发送给接收端。

所述验证模块具体包括计算Hash值单元、计算双线性对单元和验证单元；

所述计算Hash值单元用于计算给定消息的Hash值；

所述计算双线性对单元用于产生部分否认认证码；

所述验证单元用于验证产生的部分否认认证码是否一致；如果一致，输出正确符号“·”；否则，输出错误符号“⊥”。

本发明利用发送端私钥对消息进行否认认证，接收端可以利用自己的私钥，产生一个与发送端在概率上不可区分的否认认证码。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种异构可否认的认证方法，其特征在于，包括：

2.根据权利要求1所述的一种异构可否认的认证方法，其特征在于，所述无证书环境的私钥生成中心设置***参数的方法如下：

设G₁为由生成元P生成的循环加法群，阶为q，G₂为具有相同阶q的循环乘法群，e:G₁×G₁→G₂，e为一个双线性映射；定义两个安全的Hash函数H₁和H₂；H₁是从{0,1}^*映射到H₂从{0,1}^*×G₁映射到表示整数群除去0；***参数为：

{G₁,G₂,q,e,P,H₁,H₂}；

私钥生成中心选择一个随机数s作为主私钥,并计算相应的私钥生成中心的主公钥P_pub,其中P_pub＝sP，其中s为随机数，P为生成元。

3.根据权利要求1所述的一种异构可否认的认证方法，其特征在于，所述无证书环境的发送端向公钥基础设施环境的接收端发送消息m以及否认认证码的操作包括：

31)私钥生成中心根据***参数和无证书环境的发送端提交的发送端的身份信息ID_A生成对应的发送端的部分私钥D_A，表达式为D_A＝sQ_A，其中s为随机数，Q_A为发送端身份ID_A的hash值，Q_A＝H₁(ID_A)，H₁是从{0,1}^*映射到G₁为由生成元P生成的循环加法群，ID_A为发送端的身份信息；

32)无证书环境的发送端随机生成的一个秘密值x_A，表示整数群除去0；发送端根据x_A与接收到的来自私钥生成中心发送的部分私钥D_A设置发送端的完全私钥S_A＝(x_A,D_A)和发送端的公钥PK_A；

33)基于公钥基础设施环境的接收端选择随机数sk_B作为接收端的私钥并生成相应的接收端的公钥pk_B，其中pk_B＝sk_B·P，P为生成元；

34)无证书环境的发送端根据***参数、发送端的身份ID_A、发送端的公钥PK_A与发送端的完全私钥S_A、接收端的公钥pk_B与和消息m，生成一个消息m的否认认证码σ并发送给接收端。

4.根据权利要求3所述的一种异构可否认的认证方法，其特征在于，所述生成一个否认认证码σ的具体方法包括：

41)无证书环境的发送端随机生成一个随机数r, 表示整数群除去0，并计算承诺值U，U＝rQ_A，其中Q_A为发送端身份ID_A的hash值；

42)无证书环境的发送端计算Hash值h₂，计算公式如下：

h₂＝H₂(m,U,PK_A,pk_B,x_Apk_B)

43)生成签名V，计算公式如下：

V＝(r+h₂)D_A；

式中r为随机数、h₂为Hash值、D_A为发送端的部分私钥；

44)生成双线性对的值S，公式如下：

S＝e(V,pk_B)；

其中e为双线性映射、V为签名、pk_B为接收端的公钥；

45)生成一个消息m的否认认证码σ，公式如下：

σ＝(U,S)，其中U为承诺值，S为双线性对的值。

5.根据权利要求1所述的一种异构可否认的认证方法，其特征在于，所述公钥基础设施环境的接收端接收到来自发送端的消息m以及否认认证码σ后执行以下操作：

51)公钥基础设施环境的接收端计算Hash值h′₂，公式如下：

h′₂＝H₂(m,U,PK_A,pk_B,sk_BPK_A)，

52)计算双线性对的值S′，公式如下：

S′＝e(U+h′₂Q_A,sk_BP_pub)，

其中e为双线性映射，U为承诺值，h′₂哈希函数值，Q_A为发送端身份ID_A的hash值，sk_BP_pub为接收端私钥sk_B和私钥生成中心的主公钥P_pub的乘积；

53)验证等式S′＝S是否成立；如果成立，输出表示正确的符号；如果不成立，输出表示错误的符号。

6.一种异构可否认的认证***，其特征在于包括：无证书***参数模块、发送端部分私钥模块、发送端完全私钥模块、发送端公钥模块、接收端私钥和公钥模块、否认认证模块、验证模块；

7.根据权利要求6所述的一种异构可否认的认证***，其特征在于：

8.根据权利要求7所述的一种异构可否认的认证***，其特征在于：

所述秘密值单元用于产生一个随机数作为秘密值；

9.根据权利要求6所述的一种异构可否认的认证***，其特征在于：

所述产生承诺单元用于产生随机数并生成承诺；

所述计算Hash值单元用于计算给定消息的Hash值；

所述签名单元用于签名给定的消息；

所述计算双线性对单元用于产生部分否认认证码；

所述发送否认认证码单元用于将否认认证码发送给接收端。

10.根据权利要求6所述的一种异构可否认的认证***，其特征在于：

所述计算Hash值单元用于计算给定消息的Hash值；

所述计算双线性对单元用于产生部分否认认证码；

所述验证单元用于验证产生的部分否认认证码是否一致；如果一致，输出正确符号；否则，输出错误符号。