前向安全的不可拆分數(shù)字簽名方法
【專利摘要】本發(fā)明公開了一種前向安全的不可拆分數(shù)字簽名方法�����,該方法中包括算法有:密鑰生成算法KGen�����,密鑰升級算法KUpd����,不可拆分簽名方法生成算法UndSigFunGen�����,不可拆分簽名算法FSUndSig��,不可拆分簽名驗證算法FSUndVrfy�,簽名算法Sign����,驗證算法Vrfy�����。本發(fā)明在白盒攻擊環(huán)境下�,可實現(xiàn)前向安全的不可拆分數(shù)字簽名。整個方案中�,移動代理不需要攜帶私有密鑰當它們產(chǎn)生的數(shù)字簽名代表原始簽名,因此私鑰將不會受到影響����。加密的功能與原始簽署者的要求相結(jié)合,所以簽名算法的誤操作可被防止��。該方案并不需要專門的密鑰分發(fā)機構(gòu),同時即便簽名者被攻破����,該方案仍具有前向安全性。
【專利說明】前向安全的不可拆分數(shù)字簽名方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】��,具體涉及移動安全代理技術(shù)����,應用于電子商務(wù)、移動計算等�����。
【背景技術(shù)】
[0002]隨著越來越多的基于移動代理技術(shù)進入實踐階段�����,如果沒有合適的�����、安全的����、可信的和隱秘的技術(shù)來保護敏感的商業(yè)數(shù)據(jù)并且讓商業(yè)伙伴們有充分的信心來一起合作的話�,這些應用是不可能成功實現(xiàn)的��。然而���,移動代理面臨著巨大的安全威脅����,當前移動安全代理領(lǐng)域上基于身份的不可拆分數(shù)字簽名方法可以很好的并安全有效的完成任務(wù)��。
[0003]但是��,基于身份的不可拆分數(shù)字簽名方法必須需要一個中心化分發(fā)密鑰的安全機構(gòu)���,而實際上有很多情況是沒有這種具有權(quán)威性,可靠性的機構(gòu)的�����。因此這里急需一個不依靠密鑰分發(fā)機構(gòu)的�,又同時具有高安全性,高可靠性的方法來保護移動代理��。
[0004]該方案是建立在雙線性對基礎(chǔ)上的�。其安全性依賴于對在Diffie-Hellman組求解計算Diffie-Hellman問題的困難度上�。其中大部分基本概念��,例如群��、環(huán)���、域���,在近世代數(shù)一科中都屬于標準概念。
[0005]相似技術(shù)(產(chǎn)品)簡述:
[0006]為了解決在以往的傳統(tǒng)電子簽名方案實現(xiàn)中���,移動代理在代理原始用戶活動時�,生成電子簽名需要自身攜帶簽名算法以及簽名密鑰的過程中�,會讓攻擊者從代理端偽造簽名算法,甚至破解簽名密鑰的安全問題���。采用Kotzanikolaous, P.����,Burmester, M., Chrissikopoulosj V., Secure Transact1ns with Mobile Agents in HostileEnvironments, proceeding of ACISP 2000�,pp289_297,2000 ;Yang Shij XiaopingWang, Liming Caoj et.al.A Security Scheme of Electronic Commerce for MobileAgents Uses Undetachable Digital Signatures.The Third Internat1nal Conferenceon Informat1n Security, ACM Press�����,2004:pp.242-243.和 Yang Shi�����,XiaopingWang,Liming CaojJianxin Ren.Secure Mobile Agents in Electronic Commerceby Using Undetachable Signatures from Pairings.Proc.The 4th Internat1nalConference on Electronic Business, pp.1038-1043.三篇文獻給出的任意一種不可拆分電子簽名�,可以在一定程度上控制簽名密鑰或者簽名方法的泄露。
[0007]為了解決在沒有可靠密鑰分發(fā)機構(gòu)情況下����,密鑰生成者會被攻擊得到簽名密鑰的安全威脅H.Krawezyk.Simple forward-secure signatures from any Signatureseheme.Proceedings of the 7th ACM Conference on Computer and Communicat1nsSeeurity, 2000,pp.108-115.文獻提出了前向安全簽名方法來解決這類問題,而且���,即便當簽名者主機被攻陷形成白盒攻擊環(huán)境時���,仍能保證簽名密鑰是前向安全的�,即該方案密鑰是隨時間變化的,在被攻陷的時間點之前的已經(jīng)使用過的簽名密鑰都是無法獲取的�����,故名前向安全。
[0008]但是這幾種簽名方案各自并不能滿足目前移動代理安全性的需求�����。
【發(fā)明內(nèi)容】
[0009]眾所周知�����,簽名密鑰是一個簽名方案的核心�,如果簽名密鑰被盜,那么整個簽名方法就失去了作用���,因此上文提到的前向安全簽名方法可以讓簽名密鑰隨時間的流逝而更新�,沒過一個時間段就不可逆地更新一次密鑰����,這樣,即便當簽名者被攻陷后��,仍能保證當前時間片段以前的簽名密鑰的安全性��,即���,已經(jīng)簽名過得數(shù)據(jù)無法再仿造����。
[0010]但是,目前前向安全的簽名方案又無法達到不可拆分簽名的效果�����。同時具有兩種特點的簽名方案成為了目前移動代理安全領(lǐng)域的空白���,因為公開的簽名方案中�,并沒有方案有效的方案是兩種特點結(jié)合�,因為這種結(jié)合可以說是相當困難的。而本發(fā)明的目的在于克服目前這兩種方案在移動代理安全領(lǐng)域各自的不足�,既能解決生成電子簽名需要自身攜帶簽名算法以及簽名密鑰的過程中,會讓攻擊者從代理端偽造簽名算法���,甚至破解簽名密鑰的安全問題����,又能解除移動代理在路過某惡意主機時可能會形成白盒攻擊(WBAC)環(huán)境時所面臨的威脅�����,同時也不需要專門的安全機構(gòu)來頒發(fā)證書或者是密鑰��,增加了簽名方法的適用范圍�,再者,不僅使通訊風險更加低����,也抵消了權(quán)威機構(gòu)被攻破的巨大威脅,填補了移動安全領(lǐng)域該項的空白����。
[0011]本發(fā)明的創(chuàng)新在于通過特殊的算法設(shè)計,進而同時達到前向安全和不可拆分簽名的安全特征�。它并不是單純簡單的算法拼裝,而是通過理論推理論證以及相應的實驗而達到的兩種安全方案的有機結(jié)合����。
[0012]為此,本發(fā)明給出的技術(shù)方案為:
[0013]一種前向安全的不可拆分數(shù)字簽名方法����,其特征在于,它包括八個步驟如下:步驟
1.某客戶在一臺客戶端計算機上完成購物�����,隨即���,計算機生成移動代理�����,之后客戶端計算機根據(jù)規(guī)定好的安全級別下(輸入需要的安全指數(shù)k)運行算法1.����,算法定義如下
[0014]算法1.密鑰生成算法=KGen(Ik)輸入總共的時間片段數(shù)T和Ik當k e □ ( □為自然數(shù))時一個安全參數(shù),算法輸出公共密鑰設(shè)置Ω =以及初始密鑰S�。。
[0015]Ω解釋說明:上述中��,關(guān)于安全參數(shù)Ik是一個概念性說法�����,k就是安全指數(shù)�����,可以簡單理解為加密系統(tǒng)是k位長度的�����,當具體實現(xiàn)時����,視項目需求和采用的公鑰加密系統(tǒng)(比如hyperelliptic橢圓曲線等)而定。
[0016]Ω中G1是一個階為q乘法循環(huán)群�,G2同樣是一個階為q的乘法循環(huán)群。G和P是G1和G2各自的固定生成元�。e:Gj xG2 ^ G2^是一個線性映射,將G1和G2中的元素先做笛卡爾積��,然后映射到Gt中的元素上�。H':.fO,iyS JZjP H2: UUK^G1是兩個特殊的哈希映射,作用就是分別將任意二進制數(shù)值映射到和G1,之:是以質(zhì)數(shù)q為階且無零
qq
元的整數(shù)加法群��。
[0017]注解:假設(shè)存在同態(tài)映射Ψ =G2 — G1有Ψ (P) = G���。
[0018]定義:在(G1,G2)上的判定 Diffie-Hellman 問題(co-DDH):給出 P�����,Pa e G2 和Y, Yb e G1作為輸入�,如果a = b那么輸出yes,否則輸出no��。當輸出為yes時�����,我們稱(P, Pa, Y, Yb)是一個 Diffie-Hellman 元組(co-DHT)。
[0019]假設(shè):我們假^ g是可以被快速計算的�,因此co-DDH在(G1, G2)上是容易解決的。
本方法就是建立在這個假設(shè)上的����。
[0020]初始密鑰S。生成:
[0021 ]
【權(quán)利要求】
1.一種前向安全的不可拆分數(shù)字簽名方法���,其特征在于����,它包括八個步驟如下:步驟1.某客戶在一臺客戶端計算機上完成購物�,隨即,計算機生成移動代理���,之后客戶端計算機根據(jù)規(guī)定好的安全級別下(輸入需要的安全指數(shù)k)運行算法1.���,算法定義如下算法1.密鑰生成算法=KGen(Ik)輸入總共的時間片段數(shù)T和Ik當keD ( □為自然數(shù))時一個安全參數(shù),算法輸出公共密鑰設(shè)置<7,&//,(.),//:(_))以及初始密鑰S�����。����;Ω中G1是一個階為q乘法循環(huán)群����,G2同樣是一個階為q的乘法循環(huán)群����;G和P是G1和G2各自的固定生成元�����;?: G1 XG2 4 圮-個線性映射���,將G1和G2中的元素先做笛卡爾積����,然后映射到Gt中的元素上����;H':和兩個特殊的哈希映射,作用就是分別將任意二進制數(shù)值映射到Zi和G Z*是以質(zhì)數(shù)q為階且無零元的整數(shù)加法群�; 定義:在(G1, G2)上的判定 Diffie-Hellman 問題(co-DDH):給出 P, Pa e G2 和 Y, Yb e G1作為輸入,如果a = b那么輸出yes���,否則輸出no ;當輸出為yes時��,稱(P, Pa, Y, Yb)是一個Diffie-Hellman 兀組(co-DHT)�����; 將全局設(shè)定Ω存儲在Utl��,也就是公鑰元素攜帶著全局信息��; KGen(Ik)算法完成����,輸出公鑰U0和初始密鑰Stl,進行下一步�; 步驟2然后客戶端向算法2輸入公鑰Utl、初始密鑰S(1����、CERL和當前時間片j,然后運行算法2�,其定義如下: 算法2.KUpcKsjm, CERTj, j, U0)
抹除Stl后,算法返回S1����,進行下一步�����; 步驟3.客戶端完成交易����,準備發(fā)送移動代理進行交易�; 如果當前密鑰過期執(zhí)行步驟4,否則執(zhí)行步驟5 ���; 步驟4.客戶端以上一時期密鑰Sj+當前時期j,公鑰U0以及算法I生成的CERTj為輸入���,重新運行KUpd�����,得到下一時間段密鑰Sp進行下一步�;步驟5.客戶端以REQ_C| I IDc, Sj, CERTj為輸入�,其中REQ_C| | IDc是客戶需求和用戶ID屬于敏感數(shù)據(jù)運行算法3,其定義如下: 算法3.UndSigFunGen (REQ_C | IDc, Sj, CERTj)
輸出Θ����,使代理攜帶����; 隨后客戶端運行算法6為代理敏感數(shù)據(jù)簽名��,輸入為敏感數(shù)據(jù)�����、當前時間片段j以及當前密鑰I����,算法定義如下算法6.Sign (Sj, j, Msg)
輸出為j時期的簽名,同樣使代理攜帶�;進行下一步 步驟6.商店接收到代理,先用算法7檢驗代理的合法性���,即檢驗Oj���,輸入為公鑰、簽名消息�����、簽名和當前時期,算法定義如下: 算法7.Vrfy (U0, σ�����,j, Msg)
如果輸出為0��,退出交易 如果輸出為1�,判斷是否代理繼續(xù)在商店間遷移,如果需要�,重復該步驟,即進行步驟6 ;否則進行步驟7 ����; 步驟7.在此,商店已經(jīng)做出最終決策���,如果完成交易,那么生成CONTRACT和其他交易信息作為輸入��,運行算法4�,定義如下: 算法4.UndSig(Msg)
輸出為最終的不可拆分簽名,在此記為z��。保存到代理中��,然后使代理遷移回到客戶端,進行下一步���。 步驟8.客戶端收到交易完成的代理�,以IZ�,j,Msg���,REQ_C| IDc為輸入�,其中Msg為CONTRACT和其他交易信息���,運行算法5檢驗Msg的合法性����,算法定義如下: 算法5.UndVrfy (U0, Z, j, Msg, REQ_C | | IDc)
如果算法輸出為0���,則終止交易�; 否則輸出為I�,完成交易。 如果用戶仍需要交易����,直接跳到步驟3�����。
【文檔編號】H04W12/06GK104168115SQ201410407512
【公開日】2014年11月26日 申請日期:2014年8月19日 優(yōu)先權(quán)日:2014年8月19日
【發(fā)明者】史揚, 劉琴, 穆斌, 趙欽佩, 韓景軒 申請人:同濟大學