專利名稱：基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法
技術(shù)領(lǐng)域：
本發(fā)明屬于信息安全技術(shù)領(lǐng)域，具體涉及一種基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法。
背景技術(shù)：
目前，電子商務(wù)等網(wǎng)絡(luò)應(yīng)用越來越普及，大大改變了人們的生活方式。雖然這些應(yīng)用給人們帶來了巨大的方便，但是其與生俱來的安全威脅需要我們認(rèn)真解決，否則這些應(yīng)用只會(huì)是過眼云煙。在所有需要考慮的安全問題中，用戶發(fā)送數(shù)據(jù)的完整性及用戶身份真實(shí)性的鑒另O，是最基本的問題之一。這個(gè)問題的解決需要使用安全的數(shù)字簽名算法。數(shù)字簽名算法一般是利用公鑰密碼體制來實(shí)現(xiàn)的。由于傳統(tǒng)的公鑰密碼體制存在證書的管理和驗(yàn)證等問 題，基于身份的公鑰密碼體制存在密鑰托管問題，所以目前大量基于無證書公鑰密碼體制的數(shù)字簽名方案被相繼提出。在無證書公鑰密碼體制中，用戶的公鑰不需要認(rèn)證，其私鑰是由密鑰生成中心(Key Generation Center,記為KGC)和用戶共同決定的,這樣就同時(shí)避免了證書管理和密鑰托管問題。安全性是任何一種數(shù)字簽名算法首先必須考慮的事情，其次要盡可能的提高算法的效率。雖然無證書簽名算法比傳統(tǒng)的和基于身份的數(shù)字簽名算法更容易實(shí)施，具有較高的效率，然而其面臨的安全威脅也更多。具體地說，無證書簽名算法的敵手有兩類第一類是惡意的用戶，他可以替換用戶的公鑰，但是不可以知道系統(tǒng)的主密鑰；另一類是惡意的KGC，他知道系統(tǒng)主密鑰，但是不能替換用戶的公鑰。盡管已經(jīng)有一些安全的無證書簽名算法被提出，然而這些算法大多數(shù)都需要雙線性配對(duì)運(yùn)算。由于雙線性配對(duì)運(yùn)算非常耗時(shí)，因此這類算法不適合應(yīng)用于手機(jī)等能量和計(jì)算能力受限的設(shè)備中。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種更加高效并且安全的無證書簽名方法，該方法不使用雙線性配對(duì)運(yùn)算，僅基于橢圓曲線上的離散對(duì)數(shù)問題。為了解決現(xiàn)有技術(shù)中的這些問題，本發(fā)明提供的技術(shù)方案是—種基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法，其特征在于所述方法中密鑰生成中心(KGC)公開參數(shù)PP = (G, H1, H2, H3, P, Q)，其中橢圓曲線G的階為q，哈希函數(shù)分別為Ηι: {0,1F x G2 — Z:，//2 ,/Z3: {O，I}* X G 4 Z:，P 為 G 的生成元，Q = xp 是 KGC 的公鑰，主密
鑰為.所述方法包括以下步驟
I(I)身份為ID e {O, I}*的用戶隨機(jī)選擇一個(gè)秘密值A(chǔ)o eZ；，并根據(jù)秘密值ez\設(shè)置其公鑰Pid = xIDP ;(2)密鑰生成中心根據(jù)主密鑰、用戶的身份ID e {O, I}*以及其公鑰Pid，隨機(jī)選擇i fc Zq，并根據(jù) Rid = rIDP 和 Sid = !^+H1 (ID, Rid, Pid) xmodq 獲得部分私鑰(RID, sID)，將部分私鑰(Rid，sid)發(fā)送給身份為ID e {O, I}*的用戶；(3)身份為ID的用戶收到(Rid, sid)后，驗(yàn)證sIDP = R1^H1 (ID, Rid, PID)Q是否成立；如果等式成立，則用戶接受(Rid，sid)，進(jìn)入步驟(4);否則用戶要求密鑰生成中心發(fā)送一個(gè)新的部分私鑰(Rid，Sid);(4)身份為IDe {0，1}*的用戶根據(jù)其秘密值eZ:和部分私鑰(RID，sID)，設(shè)置其完全私鑰為Skm= (xID, sID);然后根據(jù)公開的參數(shù)PP和待簽名消息me {0，1}%利用其私鑰 skID,隨機(jī)選擇〃€Zti，并根據(jù) R = rp, hi = H2(ID, Rid)和 h2 = H3(m, R)計(jì)算 σ =r+h2 (hi · xID+sID)modq,輸出簽名(RID, R, σ )。
本發(fā)明的另一目的在于提供了一種對(duì)所述的無證書簽名方法進(jìn)行驗(yàn)證的方法，其特征在于所述方法包括驗(yàn)證者根據(jù)密鑰生成中心的公開參數(shù)PP，消息m，簽名(Rid，R，O),用戶身份ID以及相應(yīng)的公鑰Pid，通過驗(yàn)證σ P = IHh2Qi1 · PID+RID+hID · Q)等式是否成立；如果等式成立，則用戶簽名有效，否則證實(shí)簽名無效的步驟。本發(fā)明技術(shù)方案提出的無證書簽名方法能夠同時(shí)抵抗無證書環(huán)境下兩類敵手的攻擊，且不需要使用昂貴的雙線性配對(duì)運(yùn)算，適用于手機(jī)等能量和計(jì)算能力受限的設(shè)備，而且算法非常高效。相對(duì)于現(xiàn)有技術(shù)中的方案，本發(fā)明的優(yōu)點(diǎn)是本發(fā)明的技術(shù)方案不僅可以抵抗無證書環(huán)境中兩類攻擊者的攻擊，而且其計(jì)算效率也比以往的同類算法高。通過分析可知，本發(fā)明僅使用基本的橢圓曲線上的運(yùn)算而不需要使用雙線性配對(duì)運(yùn)算，算法輸出的簽名長(zhǎng)度也較短。


下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步描述圖1為本發(fā)明基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法的流程圖。
具體實(shí)施例方式以下結(jié)合具體實(shí)施例對(duì)上述方案做進(jìn)一步說明。應(yīng)理解，這些實(shí)施例是用于說明本發(fā)明而不限于限制本發(fā)明的范圍。實(shí)施例中采用的實(shí)施條件可以根據(jù)具體廠家的條件做進(jìn)一步調(diào)整，未注明的實(shí)施條件通常為常規(guī)實(shí)驗(yàn)中的條件。實(shí)施例基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法實(shí)現(xiàn)本實(shí)施例采用的基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法，包括以下步驟(I)密鑰生成中心(KGC)選擇一個(gè)階為q的橢圓曲線G和主密鑰e 以及三個(gè)
安全的哈希函數(shù)M :丨<V「xC;2 ":，",{0，1「><“4；^.令？為(；的生成元，Q = χρ是
9I
KGC的公鑰，則系統(tǒng)公開參數(shù)PP = (G，H1, H2, H3, P，Q)。(2)身份為IDe {O, I}*的用戶隨機(jī)選擇一個(gè)秘密值I/d ^2；.(3)身份為ID的用戶根據(jù)其秘密值x/fl ^ Z〗設(shè)置其公鑰Pm = χΙΙ)Ρ ；(4)輸入系統(tǒng)主密鑰X € Z； s用戶的身份ID以及其公鑰PID，KGC隨機(jī)選擇匕)e并計(jì)算 Rid = rIDP 和 Sid = γιβ+Η! (ID, Rid,Pid) xmodq ;最后，KGC 將(RID, sID)發(fā)送給身份為 ID的用戶；(5)身份為ID的用戶收到(Rid, sid)后，驗(yàn)證sIDP = R1^H1 (ID, Rid, PID) Q是否成立；如果等式成立，則用戶接受(rid，Sid)并進(jìn)入下一步，否則用戶要求KGC發(fā)送一個(gè)新的部分私鑰。(6)身份為ID的用戶根據(jù)其秘密值e Z:和部分私鑰(RID，sID)，設(shè)置其完全私鑰
為 sklD — (xID) sID);(7)輸入系統(tǒng)公開參數(shù)PP和待簽名消息m e {O, 1}%身份為ID的用戶利用其私鑰skID,首先隨機(jī)選擇r ，并計(jì)算R = rP, hi = H2 (ID, Rid)和h2 = H3 (m, R),然后計(jì)算σ=r+h2 (hi · xID+sID)modq,最后輸出簽名(RID, R, σ )；(8)輸入系統(tǒng)公開參數(shù)PP，消息m，簽名(Rid，R，σ )，身份ID以及相應(yīng)的公鑰PID，驗(yàn)證者驗(yàn)證σ P = IHh2Qi1 · PID+RID+hID · Q)是否成立；如果成立，則簽名有效，否則簽名無效。本實(shí)施例基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法的目標(biāo)與其他相關(guān)算法類似，也包括兩點(diǎn)。第一點(diǎn)該算法必須滿足無證書環(huán)境下簽名的不可偽造性，即任何沒有完全私鑰的人即使有部分私鑰也不能偽造一個(gè)合法的簽名；第二點(diǎn)算法的高效性，即在保證算法安全性的前提下，算法的效率要盡可能高。無證書環(huán)境下的攻擊者分為兩大類，第一類攻擊者代表惡意的用戶，他可以自由替換其公鑰，但是不能得到用戶的部分私鑰；第二類攻擊者代表惡意的KGC，他可以得到 KGC的所有信息，但是不能替換任何用戶的公鑰。本發(fā)明提出的算法考慮了在不安全的無證書網(wǎng)絡(luò)環(huán)境下算法安全運(yùn)行的方法，使得任何一類攻擊者都無法偽造合法簽名。同時(shí)，本實(shí)施例無證書簽名算法不需要雙線性配對(duì)運(yùn)算，也提高了其效率。雙線性配對(duì)運(yùn)算所消耗的時(shí)間遠(yuǎn)遠(yuǎn)大于其他運(yùn)算所消耗的時(shí)間。最后，因?yàn)镽id對(duì)一個(gè)用戶來說一般是不會(huì)變化的，所以算法輸出的簽名可以只是(R，σ)，換句話說，算法的簽名長(zhǎng)度是短的，這可以有效降低簽名的存儲(chǔ)和傳輸開銷。具體地，該簽名算法也可以分為兩個(gè)階段。第一個(gè)階段(包括步驟I到步驟6)是用戶的公鑰和完全私鑰的生成階段。在這一階段，用戶設(shè)置其公鑰，并與KGC合作生成用戶的完全私鑰。首先，KGC選擇一個(gè)階為q的橢圓曲線G和主密鑰Xe<，以及三個(gè)安全的哈
希函數(shù) K :!0,1 丨 X G2 Η2,Η,·.\0Λ\ χ(/’ — 7，7/P 為 G 的生成元，Q = xP 是KGC 的公
鑰，則系統(tǒng)公開參數(shù)PP = (G，H1, H2, H3, P, Q);接著，身份為ZDefO，fl的用戶隨機(jī)選擇一個(gè)秘密值Xid e Z%并設(shè)置其公鑰乃Λ= X ,然后，輸入系統(tǒng)主密鑰xe Ζ:，用戶的身份ID以及其公鑰 PID, KGC 隨機(jī)選擇& G Ζ*，計(jì)算 Rid = rIDP 和 sID = !^+H1 (ID, Rid, PID) x modq,并將(Rid，sid)發(fā)送給身份為ID的用戶；當(dāng)用戶收到(Rid, zid)后，驗(yàn)證zIDP = R1JH1 (ID, RID)Q是否成立，當(dāng)且僅當(dāng)?shù)仁匠闪r(shí)，用戶才接受(Rid，zid);最后，身份為ID的用戶根據(jù)其秘密值xZD eZ:和部分私鑰(RlD，Sid)，設(shè)置其完全私鑰為Skm = (XID, Sm)。本實(shí)施例選擇美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局推薦的P-192橢圓曲線，相應(yīng)的生成元P由其確定。三個(gè)哈希函數(shù)可以先對(duì)橢圓曲線G上的點(diǎn)進(jìn)行編碼，然后使用SHA-2，主密鑰X選擇<中一個(gè)的隨機(jī)數(shù)。第二個(gè)階段(包括步驟7和步驟8)是簽名的生成和驗(yàn)證階段。在這一階段，輸入系統(tǒng)公開參數(shù)PP和待簽名消息m e {O, 1}%身份為ID的用戶利用其私鑰skID，首先隨機(jī)選擇r G Z* ,計(jì)算 R = rP, Ii1 = H2 (ID, Rid)和 h2 = H3 (m, R),然后計(jì)算 σ = r+h2 Qi1 · xID+sID)modq，最后輸出簽名(Rid，R，σ);給定系統(tǒng)公開參數(shù)ΡΡ，消息m，待驗(yàn)證簽名(RID，R，σ)，身份ID以及相應(yīng)的公鑰Pid,驗(yàn)證者驗(yàn)證σ P = IHh2Qi1 *PiD+RiD+hID *Q)是否成立；如果成立，則簽名有效，否則簽名無效。下面是算法的具體執(zhí)行結(jié)果。設(shè)Tmul和Tadd分別表示一次點(diǎn)乘運(yùn)算和點(diǎn)加運(yùn)算所花費(fèi)的時(shí)間。由于哈希運(yùn)算以及數(shù)的普通加法和乘法運(yùn)算花費(fèi)時(shí)間很少，因此我們將其忽略。通過理論分析可知，算法總的花費(fèi)時(shí)間是8Tmul+3Tadd，其中在第一階段花費(fèi)的時(shí)間是3Tmul，在第二階段花費(fèi)的時(shí)間是5Tmul+3Tadd，如表一所示。由于雙線性配對(duì)運(yùn)算時(shí)點(diǎn)加和點(diǎn)乘運(yùn)算的數(shù)十倍，所以算法是高效的。表I
總耗費(fèi)的時(shí)間第一階段耗費(fèi)的時(shí)間第二階段耗費(fèi)的時(shí)間
8^ + 3^3Tmul5Tmul+3Tadd在實(shí)際應(yīng)用中，我們大多情況下只需要運(yùn)行算法的第二階段，因此其計(jì)算效率還可以進(jìn)一步提聞。下面對(duì)算法的安全性進(jìn)行分析。本算法在第一類和第二類敵手存在的情況下，都是安全的，原因如下。首先我們考慮第一類敵手存在時(shí)的情況。我們知道，第一類敵手只能替換用戶的公鑰卻不知道KGC的主密鑰X。如果第一類敵手能夠偽造合法簽名，那么他有如下兩種方式1.通過KGC的公鑰Q = XP或者KGC發(fā)送給用戶的部分私鑰(Rid，sid)計(jì)算主密鑰X ；2.通過替換用戶的公鑰來直接偽造簽名。第一種情況相當(dāng)于敵手破解橢圓曲線上的離散對(duì)數(shù)問題，所以是困難的；對(duì)于第二種情況，由于我們的算法實(shí)際上是可證明安全的Schnorr簽名算法(Schnorr CP. Efficient signature generation by smart cards. JournalofCryptology, 1991，4(3) : 161 - 174.)的變形，即私鑰為 Ii1 · xID+sID 的 Schnorr 簽名，所以第一類敵手必須能偽造這個(gè)私鑰才可以偽造簽名。盡管第一類敵手可能得到Rid和PID，但是由于 H1 (ID, Rid, Pid)是 Rid, Pid 的隨機(jī)函數(shù)，所以私鑰 Ii1 *xID+sID = Ii1 ·(ID, Rid, PID)X modq必然是主密鑰X的函數(shù)，換句話說，第一類敵手不能得到私鑰Ii1 · xID+sID,即我們的算法對(duì)第一類敵手是安全的。第二類敵手可以知道KGC擁有的所有秘密但是不能替換任何用戶的公鑰，即不能知道用戶公鑰所對(duì)應(yīng)的秘密值。如果第二類敵手希望偽造合法簽名，則他也有如下兩種方式1.通過用戶的的公鑰Pid = XidP計(jì)算用戶的秘密值Xid ;2.直接偽造簽名。第一種情況相當(dāng)于敵手破解橢圓曲線上的離散對(duì)數(shù)問題，所以是困難的；第二種情況類似于第一類敵手攻擊時(shí)的情況，由于 Schnorr 簽名的私鑰 Ii1 · xID+sID = Ii1 · X1Jr11^H1 (ID, Rid, PID)x modq一定是xID的函數(shù)。因此，該算法對(duì)第二類攻擊者也是安全的。上述實(shí)例只為說明本發(fā)明的技術(shù)構(gòu)思及特點(diǎn)，其目的在于讓熟悉此項(xiàng)技術(shù)的人是能夠了解本發(fā)明的內(nèi)容并據(jù)以實(shí)施，并不能以此限制本發(fā)明的保護(hù)范圍。凡根據(jù)本發(fā)明精 神實(shí)質(zhì)所做的等效變換或修飾，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種基于橢圓曲線離散對(duì)數(shù)問題的無證書簽名方法，其特征在于所述方法中密鑰生成中心(KGC)公開參數(shù)PP = (G, H1, H2, H,, P, Q)，其中橢圓曲線G的階為q，哈希函數(shù)分別為
2.一種對(duì)權(quán)利要求1所述的無證書簽名方法進(jìn)行驗(yàn)證的方法，其特征在于所述方法包括驗(yàn)證者根據(jù)密鑰生成中心的公開參數(shù)PP，消息m，簽名(Rid，R，σ)，用戶身份ID以及相應(yīng)的公鑰PID，通過驗(yàn)證σ = IHh2Qi1 · PID+RID+hID · Q)等式是否成立；如果等式成立，則用戶簽名有效，否則證實(shí)簽名無效的步驟。
全文摘要
本發(fā)明公開了一種基于橢圓曲線離散對(duì)數(shù)問題的高效無證書簽名方法，該方法具有一般無證書簽名算法的優(yōu)點(diǎn)，即消除了傳統(tǒng)公鑰密碼體制的證書管理問題以及基于身份密碼體制中的密鑰托管問題，并且該算法計(jì)算過程較為簡(jiǎn)單，不需要使用非常耗時(shí)的雙線性對(duì)運(yùn)算。該算法可以高效地用于電子商務(wù)等需要電子簽名的應(yīng)用中。
文檔編號(hào)H04L9/30GK103023648SQ20121049225
公開日2013年4月3日 申請(qǐng)日期2012年11月27日 優(yōu)先權(quán)日2012年11月27日
發(fā)明者黃劉生, 田苗苗, 楊威 申請(qǐng)人:中國(guó)科學(xué)技術(shù)大學(xué)蘇州研究院