CN101369888A - 一种基于非均匀超递增序列的数字签名方法 - Google Patents

Abstract

密码学、计算机科学；利用非均匀超递增序列和超对数难题设计出一个公开密钥数字签名方法，包括密钥生成、数字签名和身份验证三个部分；其用户拥有两个密钥，即一个私钥和一个公钥，且从公钥不能推出私钥；私钥用于生成文件或消息的签名码，公钥用于验证文件或消息的签名码；该方法能有效抵御已有分析手段的攻击，可用于计算机和通信网络中任何文件的签名与验证、电子政务和电子商务中的身份鉴定与内容确认、以及现实世界中金融票据和有关证书的鉴别与防伪。

Description

一种基于非均匀超递增序列的数字签名方法

(一)技术领域

公开密钥数字签名方法(简称公钥数字签名方法或数字签名方法)属于密码技术和计算机技术领域，是信息安全的核心技术之一。

(二)背景技术

密码技术的发展经历了古典密码技术、对称密码技术和公钥密码技术三个阶段。1978年，美国学者Diffie和Hellman提出公钥密码体制的思想，标志着公钥密码技术的来临。目前，普遍使用的数字签名技术有RSA方案、Rabin方案和ElGamal方案(参见《应用密码学》，美国Bruce Schneier著，吴世忠、祝世雄等译，机械工业出版社，2000年1月，第334-342页)。为了提高安全性，ElGamal方案常在椭圆曲线上实现，此时，它叫ECC方案。另外还有一个DSA签名方案，它是ElGamal签名方案的改进。

上述方案或技术都是美国人发明的，具有单变量的特点，即如果私钥中任何一个变量被发现，则其它剩余变量均可以被求出。它们的安全性是基于大数计算的困难性，即在有限的时间和资源内，对大数进行因式分解或离散对数求解几乎是不可能的(注意，如果模数较小，则是可能的)。但是，随着计算机运算速度的提高，它们的安全强度在模数不变的情况下被削弱了。

(三)发明内容

本发明是对“一种基于非均匀超递增序列的公钥加密方法”(申请号：200710123349.4)的一个引申，所以，两者的某些数学前提是类似的。

通过本发明，使得基于非均匀超递增序列的公钥密码系统既能用于数据加密，也能用于数字签名。

数字签名技术用于网络通信中对方身份的确认并保证传输内容的不可抵赖性和修改易察性，也可以用于现实世界中金融票据交易和文件签发方面有关凭证的鉴别或防伪。

本发明希望我们国家在公钥加密与数字签名领域能够拥有自己的核心技术，以确保国家的信息安全和主权安全，同时提高我国防范金融欺诈的技术手段。

本节内容略去了对有关性质、定理和结论的证明，如果需要补上，我们在接到通知后将立即呈交。

3.1两个基本概念

3.1.1非均匀超递增序列的定义与性质

定义1：对于n正整数A₁、A₂、…、A_n，如果每个A_i(i>1)满足

$A_i>{\mathrm{\Σ}}_{j=1}^{i-1}(i-j)A_j$

那么，该正整数系被称为非均匀超递增序列，记为{A₁，...，A_n}，简记为{A_i}。

性质1：假设{A₁，A₂，...，A_n}是一个非均匀超递增序列，那么，对于i>1和任何正整数k，存在 ${(k+1)A}_i>{\mathrm{\Σ}}_{j=1}^{i-1}(k+i-j)A_j.$

证明略。

3.1.2杠杆函数

在本发明中，仍需要杠杆函数的概念。设l(.)是由整数到整数的单射函数，其定义域为{1，2，…，n}，值域为{5，6，…，n+4}。

在200710123349.4加密方法中，当从公钥推导私钥或破译密文时，需考虑{l((i)}的全排列数n！，当n足够大时，穷举{l(i)}的全排列是不可行的；但从私钥和密文恢复明文时只需考虑{l(i)}的累加和，在n的多项式时间内有解。因此，若以密文为支点，则l(.)是“公开”一端计算量大，“私有”一端计算量小。我们称具有上述性质的l(.)为杠杆函数。

3.2数字签名的技术方案

本发明是一种基于杠杆函数和超递增序列的公钥数字签名方法，简称REESSE2+数字签名方法，根据该方法，可制造数字签名芯片，或开发数字签名软件等。因此，本发明是一种生产数字签名产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

本数字签名方案，由密钥生成、数字签名和身份验证等三部分组成。

3.2.1数字签名与身份验证操作

假设用户U欲通过网络向用户V发送一个具有自己数字签名的文件或消息F，其操作过程如下：

密钥生成：首先，用户U应该去第3方权威机构(CA认证中心或数字证书中心)领取一对由密钥生成部件输出的私钥(Private Key)与公钥(Public Key)，私钥必须由用户U自己保管，不得外泄；公钥则允许以公钥证书的形式向外界公开发放，以便于使用。

数字签名操作：用户U在运行数字签名部件的机器上用自己的私钥对文件或消息F进行签名，得到签名码，并把文件F连同签名码发送给用户V。

身份验证操作：用户V从CA中心获得用户U的公钥证书，在运行身份验证部件的机器上对接收到的文件F和其签名码进行验证，以鉴定签名码是否为用户U所为，文件F在传输过程中是否已被修改。

注意：在本文中，{A_i}是序列{A₁，A₂，…，A_n}的简写，{C_i}是序列{C₁，C₂，…，C_n}的简写。{l(i)}是n个杠杆函数值{l(1)，l(2)，…，l(n)}的简写。

符号“×”代表乘法。“A×B”有时简写成“AB”。“mod”代表求余。“gcd”代表最大公约数。“x

y”代表x不能整除y。“←”代表赋值。“≡”代表两边对M求余相等，即模等。

令‖x‖代表xmodM的阶，

代表比特的求反运算，代表小于M且与M互素的正整数个数。

3.2.2密钥生成部分

密钥生成部分供CA认证中心使用，用来产生一对私钥和公钥。

假设T、D、是两两互素的正整数，其中D≥2^n/2且非大，其实现方法是：

(1)随机产生非均匀超递增序列{A₁，A₂，…，A_n}，计算 ${E=\mathrm{\Σ}}_{i=1}^n{A}_i$

(2)找到一个整数 $M>{\mathrm{\Σ}}_{i=1}^n(n+1-i)A_i$ 使得

且存在 $S<M$ 有和

(3)任选W、δ、t<M满足gcd(W，M)＝1、M/gcd(M，δ)≈2ⁿ、

和

(4)计算θ←δS^(E+δ)WS、

β←t^(δ+t)WS和

(5)随机产生两两不同的值l(i)∈{5，6，…，n+4}，对i＝1，2，…，n

(6)计算序列{C_i|C_i≡(A_i+δl(i))W(mod M)，对i＝1，2，…，n}。

最后，以({A_i}、{l(i)}、W、δ、t、D)作为私钥，以({C_i}、θ、α、β、γ)作为公钥，d、S、T、M共用。

3.2.3数字签名

发送方即签名方以自己的私钥({A_i}、{l(i)}、W、δ、t、D)作为签名密钥。设F为待签文件或消息，hash为单向散列函数。

(1)令消息摘要H＝hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $k_1\&LeftArrow;{\mathrm{\&Sigma;}}_{i=1}^n{b}_{i}l\left(i\right),$

(3)任选Q<M使得D|(tQ-WH)、

计算R满足 $Q\&equiv;{\left(R{S}^{E_{0}W}\right)}^S\mathrm{\&delta;}\left(\mathrm{mod}M\right)$

(4)计算

若

则转至(3)。

算法执行后，得到数字签名码(Q、U)，其可随文件F一起发送给验证者。

因为

是小数，因此，在经过约

次试探后，算法将结束。

注意，不能让

否则，3.2.4节中的

乘将等于1。

根据双同余定理推论，在签名中，无需其中 $E_1={\mathrm{\&Sigma;}}_{i=1}^n{b}_i{A}_i,$ λ满足

这表明

双同余定理推论：设M为正整数，S、T满足gcd(S，T)＝1为常数，a、b属于M的既约集合，则联立方程x^S≡a(mod M)、x^T≡b(mod M)有唯一解的充要条件是a^T≡b^S(mod M)。

证明略。

3.2.4身份验证

接收方以发送方的公开密钥({C_i}、θ、α、β、γ)作为验证密钥。设F为待签文件或消息，(Q、U)为其签名码。

(1)令消息摘要H＝hash(F)，其二进制形式为b₁b₂…b_n

(2)计算

(3)计算 $X\&LeftArrow;{\left({\mathrm{\&theta;Q}}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\&alpha;}}^{Q^{n}T},$ $Y\&LeftArrow;{\left(S^{\stackrel{\&OverBar;}{E}\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\&beta;}}^{\mathrm{UHT}}{\mathrm{\&gamma;}}^{H^{n}T}\mathrm{mod}M$

(4)若X≡Y，则签名者身份有效且F未被修改，

否则，签名者身份无效或F在传输中已被修改。

算法执行后，可以达到鉴别签名真伪、防发送者抵赖和抗攻击者修改的目的。

下面证明：若(Q、U)是一个真实的签名码，则有X≡Y(mod M)。

从3.2.2节知：θ≡δS^(E+δ)WS(mod M)、

β≡t^(δ+t)WS(mod M)、

令

因为λ满足

可以令这里k是一个整数，那么

移项得

因此，有

又

移项得

因此，

根据双同余定理推论，有

即 $X\&equiv;{\left(S^{\stackrel{\&OverBar;}{E}\mathrm{QT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\&beta;}}^{\mathrm{UHT}}{\mathrm{\&gamma;}}^{H^{n}T}\&equiv;Y\left(\mathrm{mod}M\right).$

所以，验证算法能正确鉴别签名码。

3.3本数字签名方法的安全性

通过分析知，本数字签名方法的安全性基于杠杆函数和超对数难题，当它与加密方法配合使用时能满足实际应用的需要。

超对数难题

令M为整数，g、c<M为常数，x未知，则解方程(gx)^x≡c(mod M)是比解g^x≡c(mod M)更困难的。

证明略。

因此，求(gx)^x≡c(mod M)中的x被称之为超对数难题。

显然，当g＝1时，(gx)^x≡c(mod M)退化为x^x≡c(mod M)，此时，我们把x^x≡c(mod M)称为狭义的超对数难题。

3.4优点和积极效果

3.4.1安全性较高

在目前所用的RSA、ElGamal等数字签名方案中，利用了大数难于计算的问题，随着计算机速度的提高，它们的安全性将受到影响。而本数字签名方法是利用了l(.)函数的不确定性和一个新的难题，即超对数难题，只有在被穷举时才考虑计算机的运算速度，所以，具备更高的安全性。

3.4.2运算速度较快

在本数字签名方法中，无论是签名还是验证，主要涉及模加和模乘运算，它们只是n(一般n≤256)的线性函数。模幂运算虽耗时，但其出现次数非常有限，且由于模数M较小，因此，速度也会很快。

3.4.3密钥较短

由于模数M较小，特别，只用于签名时，条件 $M>{\mathrm{\&Sigma;}}_{i=1}^n(n+1-i)A_i$ 可以去掉，M更小，因此，产生的公钥与私钥都较短。

3.4.4对国家安全有利

互联网是一种开放网，在上面传输的信息必须进行加密和签名。由于我国政府、国防、金融、税务等重要部门业已使用互联网作为通信工具，所以，信息安全关系到国家安全和经济安全。但是，泱泱一个大国的信息安全不能建立在外来的密码算法基础之上，因此，研究我们自己的公开密钥加密与签名算法显得势在必行和具有重大意义。

(四)具体实施方式

基于杠杆函数和超递增序列的公钥数字签名方法的特点是它能够让每一用户得到两个密钥，一个密钥可以公开，一个密钥只能私人拥有。这样，就不会担心密钥在传递过程中泄密了。当约定通信者在网上传输信息时，发送者使用自己的私有密钥对文件或消息进行数字签名，接收者收到文件和签名码后使用发送者的公开密钥对其进行验证。

每个用户可以到指定的CA(Certificate Authentication)认证中心取得两个密钥。CA认证中心是对用户进行登记、对密钥进行产生、分发和管理的一个机构。它利用3.2.2节的密钥生成方法产生用户的公开密钥与私有密钥。

本数字签名方法可以用逻辑电路芯片或程序语言来实现，它包括两部分：(1)根据密钥生成方法开发出芯片或程序，由CA认证中心使用；(2)根据3.2.3、3.2.4节的数字签名与身份验证方法开发出芯片或程序，由一般用户使用。

Claims (1)

1、一种基于非均匀超递增系列的数字签名方法，由密钥生成、数字签名和身份验证三个部分组成，第一部分用来生成用户的一对私钥和公钥，第二部分供发送方使用自己的私钥对文件或消息做签名并产生签名码，第三部分供接收方使用发送方的公钥来验证签名码，假设T、D、d是两两互素的正整数，其中

且

非大，其特征在于

·密钥生成部分采用了下列步骤：

(1)随机产生非均匀超递增序列{A₁，A₂，…，A_n}，计算 $E={\mathrm{\&Sigma;}}_{i=1}^n{A}_i$

(2)找到一个整数 $M>{\mathrm{\&Sigma;}}_{i=1}^n(n+1-i)A_i$ 使得logM≤2n、

且存在S<M有

和

(3)任选W、δ、

满足gcd(W，M)＝1、M/gcd(M，δ)≈2ⁿ、

和

(4)计算θ←δS^(E+δ)WS、

和

(5)随机产生两两不同的值 $l\left(i\right)\&Element;\{\mathrm{5,6},\&CenterDot;\&CenterDot;\&CenterDot;,n+4\},$ 对i＝1，2，…，n

(6)计算序列{C_i|C_i≡(A_i+δl(i))W(mod M)，对i＝1，2，…，n}

最后，以

作为私钥，({C_i}、θ、α、β、γ)作为公钥，d、S、T、M共用；

·数字签名部分采用了下列步骤：

发送方以自己的私钥

作为签名密钥，设Hash为单向散列函数，针对文件F做

(1)令消息摘要H＝hash(F)，其二进制形式为b₁b₂…b_n

(2)计算 $k_1\&LeftArrow;{\mathrm{\&Sigma;}}_{i=1}^n{b}_{i}l\left(i\right),$

(3)任选Q<M使得

计算R满足 $Q\&equiv;{\left(R{S}^{E_{0}W}\right)}^S\mathrm{\&delta;}\left(\mathrm{mod}M\right)$

(4)计算

若

则转至(3)

最后，得到签名码(Q、U)，其可附在文件F后面发送给接收方；

·身份验证部分采用了下列步骤：

接收方以发送方的公钥({C_i}、θ、α、β、γ)作为验证密钥，针对文件F和签名码(Q、U)做

(1)令消息摘要H＝hash(F)，其二进制形式为b₁b₂…b_n

(2)计算

(3)计算 $X\&LeftArrow;{\left(\mathrm{\&theta;}{Q}^{-1}\right)}^{\mathrm{QUT}}{\mathrm{\&alpha;}}^{Q^{n}T},$ $Y\&LeftArrow;{\left(S^{\mathrm{EQT}}{U}^{-1}\right)}^{\mathrm{US}}{\mathrm{\&beta;}}^{\mathrm{UHT}}{\mathrm{\&gamma;}}^{H^{n}T}\mathrm{mod}M$

(4)若X≡Y，则签名者身份有效且F未被修改，

否则，签名者身份无效或F在传输中已被修改

算法执行后，可以达到鉴别签名真伪、防发送者抵赖和抗攻击者修改的目的。