專(zhuān)利名稱(chēng):一種無(wú)指數(shù)運(yùn)算的快速數(shù)字簽名技術(shù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域�,特別涉及一種可證明安全性的快速公開(kāi)密鑰數(shù)字簽名技術(shù)��。
背景技術(shù):
公開(kāi)密鑰數(shù)字簽名技術(shù)是信息安全的核心技術(shù)之一��,開(kāi)發(fā)具有自主知識(shí)產(chǎn)權(quán)的����、可證明安全性的數(shù)字簽名技術(shù)是我國(guó)信息技術(shù)科研人員近年來(lái)的一個(gè)重點(diǎn)研究領(lǐng)域。國(guó)際上迄今在該領(lǐng)域中提出的主流技術(shù)有四大類(lèi)第一類(lèi)基于因數(shù)分解問(wèn)題�,如RSA�;第二類(lèi)基于離散對(duì)數(shù)問(wèn)題��,如ElGamal�;第三類(lèi)為上述兩類(lèi)在橢圓曲線上的變種���,統(tǒng)稱(chēng)為橢圓曲線數(shù)字簽名技術(shù)�;第四類(lèi)基于格中最短向量問(wèn)題���,如NTRU����。
基于因數(shù)分解問(wèn)題的技術(shù)簡(jiǎn)稱(chēng)為IFP技術(shù)�,是經(jīng)典的公開(kāi)密鑰技術(shù)之一,目前仍在國(guó)際上獲得廣泛應(yīng)用�����。國(guó)內(nèi)雖已開(kāi)始推廣橢圓曲線等其它公開(kāi)密鑰技術(shù)���,但RSA產(chǎn)品仍在市場(chǎng)上占有壓倒性的份額?��,F(xiàn)有的IFP技術(shù),包括RSA�,均采用大指數(shù)乘方運(yùn)算實(shí)現(xiàn)數(shù)據(jù)的簽名操作�,其運(yùn)算量很大�����,國(guó)外早在二十年前就開(kāi)始研究如何實(shí)現(xiàn)無(wú)指數(shù)運(yùn)算的IFP數(shù)字簽名技術(shù)���,但迄今還沒(méi)有見(jiàn)到令人滿意的結(jié)果��。本發(fā)明在這方面取得重要突破�����,具有國(guó)際領(lǐng)先水平���。
發(fā)明內(nèi)容
本發(fā)明需要解決的問(wèn)題是研究出一種新的IFP公鑰數(shù)字簽名技術(shù),使得簽名的產(chǎn)生與驗(yàn)證過(guò)程均不涉及指數(shù)運(yùn)算����。本發(fā)明的目的,是采用如下技術(shù)實(shí)現(xiàn)的��,其特征是(a)采用如下(1)�����,(2)��,(3)�,(4)給出的公式計(jì)算x1,y1��,y1��,y2���,x3�����,y3��,z1�,z2x1=2-1(k1k2-1+k2k1-1)(modn),---(1)]]>y1=2-1β-1(k1k2-1-k2k1-1)(modn),]]>x2=2-1(h1-1k1k2+h1k1-1k2-1)(modn),---(2)]]>y2=2-1β-1(h1-1k1k1-h1k1-1k2-1)(modn),---(2)]]>
x3=2-1(h2-1k3k4+h2k3-1k4-1)(modn),]]>y3=2-1β-1(h2-1k3k4-h2k3-1k4-1)(modn),---(3)]]>z1=2-1(k1+k2)(1+h1k1-1k2-1)(modn),]]>z2=2-1(k3+k4)(1+h2k3-1k4-1)(modn),---(4)]]>其中n是兩個(gè)秘密大素?cái)?shù)的乘積��,即RSA模數(shù)�,k1,k2和k3是三個(gè)小于n且與n互質(zhì)的隨機(jī)整數(shù)���,β是一個(gè)小于n且與n互質(zhì)的秘密整數(shù)�����,也是簽名者的私鑰��;(b)以上公式中的h1��,h2按下式計(jì)算h1=f(m����,y1),(5)h2=g(m����,y2),其中m代表被簽名的信息�����,f和g是密碼學(xué)意義的哈希(hash)函數(shù)����;(c)簽名者的私鑰與其公鑰滿足如下方程α=β2(mod n);(6)(d)簽名算法輸出(y1���,y2���,x3�����,y3,z1�����,z2)作為信息m的簽名���;(e)簽名驗(yàn)證算法采用(5)中的公式和如下方程驗(yàn)證(y1�,y2����,x3,y3���,z1����, z2)是否為信息m的合法簽名xi2-αyi2=1(modn),i=1,2,3,---(7)]]>z12=h1(x1+1)(x2+1)(modn),]]>z22=h2(x2+1)(x3+1)(modn),---(8)]]>其中α是簽名者的公鑰。
不難驗(yàn)證�����,按(1)�,(2)和(3)可算出(7)的解。此外�����,由(1)��,(2)�����,(3)和(4)也不難推出(8)�,推導(dǎo)要點(diǎn)如下2(x1+1)=k1k2-1+k2k1-1+2]]>=k1-1k2-1(k1+k2)2(modn),]]>2h1(x2+1)=k1k2+h12k1-1k2-1+2h1]]>=k1-1k2-1(k1k2+h1)2(modn).]]>故有4h(x1+1)(x2+1)=k1-2k2-2(k1k2+h)2(k1+k2)2]]>=(1+k1-1k2-1h)2(k1+k2)2]]>=4z12(modn),]]>整理上式即可獲得(8)中的第一個(gè)方程。同理可推導(dǎo)(8)中的第二個(gè)方程����。
本發(fā)明的有益效果是(a)安全機(jī)理與傳統(tǒng)IFP算法相同,可依托隨機(jī)預(yù)言盒模型(Random Oracle Model)證明其安全性�,投入實(shí)際應(yīng)用的成熟度高,且同時(shí)具有傳統(tǒng)IFP數(shù)字簽名技術(shù)無(wú)可比擬的高效率��;若假定n的長(zhǎng)度為1024比特,其速度比RSA高出兩個(gè)數(shù)量級(jí)��,特別適合在移動(dòng)電子設(shè)備如手機(jī)�、掌上電腦(PDA)的通訊中實(shí)現(xiàn)信息認(rèn)證與信息源認(rèn)證;(b)能夠?qū)崿F(xiàn)基于身份的數(shù)字簽名����,特別適合在電子政務(wù)應(yīng)用中實(shí)現(xiàn)印章和手工簽名圖像與公文的綁定,只要在上述圖像數(shù)據(jù)后綴加針對(duì)全文的�、基于授權(quán)人身份的數(shù)字簽名,無(wú)需安全認(rèn)證中心(CA)的支持即可防止公文內(nèi)容的篡改和印章�、手工簽名圖像的挪用�。
實(shí)際應(yīng)用中,也可以把簽名簡(jiǎn)化為(y1�,x2,y2�,z1),以進(jìn)一步提高效率�。
四
附圖1-5是本發(fā)明兩類(lèi)具體實(shí)施方案的程序流程圖,附圖6是一個(gè)帶有印章的傳統(tǒng)證件例子����,用于說(shuō)明如何利用基于身份的數(shù)字簽名實(shí)現(xiàn)印章和手工簽名圖像與文件內(nèi)容的綁定。
五��、具體實(shí)施方案本發(fā)明的實(shí)施方案有如下兩類(lèi)第一類(lèi)按標(biāo)準(zhǔn)公鑰數(shù)字簽名體系實(shí)施;第二類(lèi)按基于身份的數(shù)字簽名體系實(shí)施���。
以下結(jié)合附圖���,對(duì)兩類(lèi)具體實(shí)施方案的特征進(jìn)行說(shuō)明。
第一類(lèi)實(shí)施方案的特征是初始化時(shí)各用戶自己產(chǎn)生兩個(gè)秘密的大數(shù)素p�����、q����,計(jì)算n=pq�����,再產(chǎn)生一個(gè)介于1和n之間���,且與n互質(zhì)的秘密整數(shù)β作為私鑰,并按(6)計(jì)算α�����,然后公布公鑰(n���,α)�,程序流程如圖1所示;對(duì)信息m進(jìn)行簽名時(shí)先產(chǎn)生兩個(gè)介于1和n之間且與n互質(zhì)的秘密整數(shù)k1����,k2和k3���,再按(1)����,(2)��,(3)�,(4)和(5)計(jì)算y1�����,y2, x3�,y3,z1�����,z2,程序流程如圖2所示���;驗(yàn)證簽名時(shí)可先根據(jù)(5)和(8)恢復(fù)x1���,x2,再根據(jù)簽名者的公鑰(n���,α)判定(7)中三個(gè)方程的兩邊是否相等����,若相等�����,則接受簽名��,否則予以拒絕���,程序流程如圖3所示。注意在第一類(lèi)實(shí)施方案中�,p�、q在初始化完成后即可以銷(xiāo)毀。
第二類(lèi)實(shí)施方案的特征是系統(tǒng)初始化時(shí)由系統(tǒng)權(quán)威機(jī)構(gòu)(SA)產(chǎn)生兩個(gè)秘密的大數(shù)素p�、q,p(mod4)=q(mod4)=3�,計(jì)算n=pq�,并公布n,而p��、q則由SA保管,作為系統(tǒng)主密鑰��,程序流程如圖4所示�����;用戶初始化時(shí)向SA提交其用于身份標(biāo)識(shí)s(可以是郵件地址�����、姓名和住址����、身份證號(hào)等)����,由SA先按如下(9),(10)�����,(11)三式計(jì)算τ和α1s1=μ(s)����,s3=μ(s1)����,s5=s1s3(modn)�����,(9)s2i=-s2i-1(modn),i=1���,2�����,3�,Ji1=sip-12(modp),i=1,2,...6,---(10)]]>Ji2=siq-12(modq),i=1,2,...6,]]>τ=min{iJi1=Ji2=1}�,(11)α=sτ,其中μ也是一個(gè)哈希函數(shù)��,再利用系統(tǒng)主密鑰計(jì)算滿足(5)的β作為基于身份的私鑰�,并將其和τ一起反饋給用戶用于對(duì)信息進(jìn)行簽名,程序流程如圖5所示���;對(duì)信息m進(jìn)行簽名的過(guò)程與第一類(lèi)實(shí)施方案相同����,但需要把τ附加在y1���,y2���,x3,y3��,z1��,z2之后��;驗(yàn)證簽名時(shí)需要先根據(jù)簽名者的身份s和附加在簽名后的τ從(9)和(11)算出α�,再采用與第一類(lèi)實(shí)施方案相同的方法判定其真?zhèn)巍W⒁庠诘诙?lèi)實(shí)施方案中��,利用(9),(10)和(11)算出的α必定為模-n平方剩余(QR)�。
六、應(yīng)用例子我們以一個(gè)傳統(tǒng)證件為例�����,說(shuō)明如何利用基于身份的數(shù)字簽名實(shí)現(xiàn)印章和手工簽名圖像與文件內(nèi)容的綁定。附圖6中的證書(shū)可以采用如下的XML語(yǔ)法表示<Doc attach=1>
<Contents count=4>
<Title>證書(shū)</Title>
<Text>鄭建德同志</Text>
<Text>您當(dāng)選為中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)第一屆理事會(huì)常務(wù)理事�,特發(fā)持證</Text>
<Text> 2001年5月25日</Text>
</Contents>
<Seal name=“中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)”,img=“isc_seal.jpg”��,signature=isc_sig.pem>
<Auth nsme=“張秘”���,signature=zhang_sig.pem/>
<Date dt=“05-25-2001”�����,Stamp=time_stamp.pem/>
</Seal>
</Doc>
其中isc_seal.jpg存放中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)公章的圖像���,isc_sig.pem存放的是Contents元素全部?jī)?nèi)容和isc_seal.jpg二進(jìn)制代碼連在一起的基于身份的數(shù)字簽名,產(chǎn)生該簽名的私鑰是當(dāng)s=“中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)”時(shí)���,根據(jù)(6)����,(9)�,(10),(11)計(jì)算的β��,同樣�,用印人張秘的數(shù)字簽名也是基于身份的��,產(chǎn)生該簽名的β值是以s=“張秘”計(jì)算出來(lái)的��。在電子政務(wù)中�,一個(gè)公文往往需要加蓋幾個(gè)甚至幾十個(gè)公章���,由幾個(gè)人甚至幾十個(gè)人批閱。采用以上方法實(shí)現(xiàn)這些印章和批閱人手工簽名圖像與文件內(nèi)容進(jìn)行綁定比基于CA的類(lèi)似方法優(yōu)越���,因?yàn)楹笳叩臄?shù)字簽名驗(yàn)證需要與CA進(jìn)行大量的通信�����,或在文件后附加大量的數(shù)字證書(shū)��。
權(quán)利要求
1.一種快速公開(kāi)密鑰數(shù)字簽名算法�,其特征在于(a)采用如下(1)�,(2),(3)��,(4)給出的公式計(jì)算x1�����,y1,x2�����,y2��,x3�����,y3�,z1,z2x1=2-1(k1k2-1+k2k1-1)(modn),---(1)]]>y1=2-1β-1(k1k2-1-k2k1-1)(modn),]]>x2=2-1(h1-1k1k2+h1k1-1k2-1)(modn),---(2)]]>y2=2-1β-1(h1-1k1k1-h1k1-1k2-1)(modn),]]>x3=2-1(h2-1k3k4+h2k3-1k4-1)(modn),]]>y3=2-1β-1(h2-1k3k4-h2k3-1k4-1)(modn),---(3)]]>z1=2-1(k1+k2)(1+h1k1-1k2-1)(modn),---(4)]]>z2=2-1(k3+k4)(1+h2k3-1k4-1)(modn),]]>其中n是兩個(gè)秘密大素?cái)?shù)的乘積��,即RSA模數(shù)��,k1��,k2和k3是三個(gè)小于n且與n互質(zhì)的隨機(jī)整數(shù)���,β是一個(gè)小于n且與n互質(zhì)的秘密整數(shù)�,也是簽名者的私鑰����;(b)以上公式中的h1���,h2按下式計(jì)算h1=f(m,y1)�����, (5)h2=g(m�,y2),其中m代表被簽名的信息�����,f和g是密碼學(xué)意義的哈希(hash)函數(shù)�;(c)簽名者的私鑰與其公鑰滿足如下方程α=β2(mod n)�����;(6)(d)簽名算法輸出(y1�,y2,x3��,y3��,z1���,z2)作為信息m的簽名����;(e)簽名驗(yàn)證算法采用(5)中的公式和如下方程驗(yàn)證(y1,y2�����,x3����,y3,z1���,z2)是否為信息m的合法簽名xi2-ayi2=1(modn),i=1,2,3,---(7)]]>z12=h1(x1+1)(x2+1)(modn),---(8)]]>z22=h2(x2+1)(x3+1)(modn),]]>其中α是簽名者的公鑰���。
2.如權(quán)利要求1所述數(shù)字簽名算法的基于身份的實(shí)施方案,其特征在于計(jì)算模數(shù)n=pq時(shí)���,選取p(mod4)=q(mod4)=3�,且計(jì)算用戶公鑰時(shí)(6)中的α按如下(9)���,(10)�����,(11)三式計(jì)算(其中s為用戶身份標(biāo)識(shí))s1=μ(s)����,s3=μ(s1),s5=s1s3(modn)��, (9)s2i=-s2i-1(modn)����,i=1,2���,3,Ji1=sip-12(modp),i=1,2,...6,---(10)]]>Ji2=siq-12(modq),i=1,2,...6,]]>τ=min{iJi1=Ji2=1}���,(11)α=sτ����,其中μ也是一個(gè)哈希函數(shù)�。
全文摘要
一種無(wú)指數(shù)運(yùn)算的可證明安全性的快速數(shù)字簽名技術(shù),其安全機(jī)理與傳統(tǒng)的基于因數(shù)分解問(wèn)題(IFP)的數(shù)字簽名技術(shù)相同,投入實(shí)際應(yīng)用的成熟度高�����,且同時(shí)具有傳統(tǒng)IFP技術(shù)無(wú)可比擬的高效率�,若假定n的長(zhǎng)度為1024比特,則其速度比RSA高出兩個(gè)數(shù)量級(jí)���,特別適合在移動(dòng)電子設(shè)備如手機(jī)��、掌上電腦(PDA)的通訊中實(shí)現(xiàn)信息認(rèn)證與信息源認(rèn)證�����。本發(fā)明也能夠?qū)崿F(xiàn)基于身份的數(shù)字簽名��,特別適合在電子政務(wù)應(yīng)用中實(shí)現(xiàn)印章和手工簽名圖像與公文的綁定�,只要在上述圖像數(shù)據(jù)后綴加針對(duì)文件全文的���、基于授權(quán)人的身份的數(shù)字簽名�����,無(wú)需安全認(rèn)證中心(CA)的支持即可防止公文內(nèi)容的篡改和印章��、手工簽名圖像的挪用���。
文檔編號(hào)G06Q10/00GK101086755SQ20061009208
公開(kāi)日2007年12月12日 申請(qǐng)日期2006年6月9日 優(yōu)先權(quán)日2006年6月9日
發(fā)明者鄭建德 申請(qǐng)人:鄭建德