CN101441693A

CN101441693A - 基于椭圆曲线对电子文档数字签名的安全保护方法

Info

Publication number: CN101441693A
Application number: CNA2008102324052A
Authority: CN
Inventors: 王尚平; 张亚玲; 王晓峰
Original assignee: Xian University of Technology
Current assignee: Xian University of Technology
Priority date: 2008-11-25
Filing date: 2008-11-25
Publication date: 2009-05-27
Anticipated expiration: 2028-11-25
Also published as: CN101441693B

Abstract

本发明公开了一种基于椭圆曲线对电子文档数字签名的安全保护方法，该方法按照以下步骤实施，生成系统参数：设置椭圆曲线等公共参数、映射函数及多个可有效计算的函数；用户密钥建立：对每个签名者随机选择私钥，计算相应的公钥，由签名者保密私钥，用来签名，公开公钥供验证签名使用；签名过程：利用私钥，生成消息的签名，并发送消息签名对给文档的接收者；验证过程：收到消息及签名，利用方案中的验证式检验，如果验证式成立，那么签名就得到验证，验证者可以确信收到的消息是持有与公钥相应的私钥的发送者发送的。本发明的数字签名方法，能产生多个基于椭圆曲线数字签名算法，用于提供文档传输中的完整性、真实性和不可否认性的安全保护。

Description

基于椭圆曲线对电子文档数字签名的安全保护方法

技术领域

本发明属于信息安全技术领域，涉及一种基于椭圆曲线对电子文档数字签名的安全保护方法。

背景技术

在人们的日常生活及工作中，许多事务需要当事者签名，例如文件、命令、条约、协议、合同等需要签署，以使在法律层面能够认证、核准、生效。在传统的以书面文件为载体的事务处理中，通常采用手写签字、印章、指纹等方式作为书面签名，书面签名得到司法部门认可，具有法律意义。但是互联网的快速发展使得人们通过网络实现快速、远距离的电子商务活动的需求越来越高。在以计算机数据文件为基础的电子邮件、电子商务等的数字通信中，传统的书面签名失去了它的意义，因为书面签名可被任意拷贝，所以数字签名技术应运而生。

人们通过网络进行电子文档的传输中，可能面临各种安全威胁，例如，文档的内容可能被盗取或篡改，文档的发送者可能是假冒的，文档的发送者可能否认自己曾发送过该文档等。信息加密和数字签名是应对这些安全威胁的重要手段。数字签名也称电子签名或电子签章。通俗的说，电子签名就是通过密码技术对电子文档的电子形式的签名它的作用类似于手写签名或印章。

准确的说，数字签名是以密码学的方法对数据文件作用产生的一组代表签名者身份与数据完整性的数据信息，通常附加在数据文件的后面，数据文件的接收者可以利用签名者的公钥作用在数字签名上，验证数据文件的真实性、完整性。数字签名的应用包括：身份鉴别，可辨别信源的真实性而防止冒充；数据完整性保护，抵御数据的篡改或重排；不可抵赖性，信源事后不可否认其发送过或生成过签名过的信息，可以防止当事人事后抵赖。

椭圆曲线上离散对数困难问题可以用来构造电子文档的数字签名算法，目前属于这一类签名算法的有美国联邦数字签名标准ECDSA算法、韩国国家数字签名标准EC-KCDSA算法等，目前可供选择的数字签名的算法比较少，提出新的基于椭圆曲线的数字签名算法具有重要意义。

发明内容

本发明的目的是提供一种基于椭圆曲线对电子文档数字签名的安全保护方法，解决了现有电子文档在网络环境下的完整性检验、文档的真实性、和签名不可否认的问题。

本发明所采用的技术方案是，一种基于椭圆曲线对电子文档数字签名的安全保护方法，该方法按照以下步骤实施，

步骤1，生成系统参数：进行如下设置，

设置一个素数p和一个正整数m(m≥1)，如果m>1，选取有限域GF(p)上的一个首项系数为1的m次不可约多项式f(x)，定义一个有限域GF(p^m)，

系数a，b(∈GF(p^m))，定义GF(p^m)上的椭圆曲线E＝E(GF(p^m))，

E = E_{a, b} : \{\begin{matrix} y^{2} + xy = x^{3} + a x^{2} + b, (b &NotEqual; 0) & if p = 2 \\ y^{2} = x^{3} + ax + b, ({4 a}^{3} + {27 b}^{2}) &NotEqual; 0 (\mod p), & if p > 3 . \end{matrix}

一个素数q整除#E(GF(p^m)0，#E(GF(p^m))表示椭圆曲线E的阶数，即E(GF(p^m)上点的总数，

一个E上的点G＝(gx；gY)生成一个阶为素数q的循环子群<G>，公共参数是(p，m，a，b，G，q，h)，h＝#(GF(pm))/q，其中q是基点G＝(gx；gY)的阶，h称为余因子，

一个映射函数π：<G>→Z_q，一个安全Hash函数H：{0，1}^*→Z_q，以及7个可有效计算的函数η₀，η₁，η₂，η₃，η₄，η₅，η₆，映射Z_q×Z_q到Z_q，即η_i：(T，U)→z_q i＝0，1，…，6，且使得η₀(T，U)≠0，并将所有的设置安装到签名双方的计算机系统中；

步骤2，用户密钥建立：

对每个签名者随机选择私钥x∈Z_q，计算相应的公钥是Y＝xG，由签名者保密私钥x，用来签名；公开公钥Y供验证签名时使用；

步骤3，签名过程：

签名者执行下列操作，生成消息M的签名(T，S)，

在区间[1，q-1]中随机选择整数k，

计算椭圆曲线上的点R＝(x1，Y1)＝kG，并计算T＝π(R)，U＝H(M)，

S \hat{=} F_{1} (k, x, T, U)

= {[\frac{{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)}{{kη}_{1} (T, U) + {xη}_{2} (T, U) + η_{3} (T, U)}]}^{\frac{1}{η_{0} (T, U)}} \mod q

则得到消息M的签名是(T，S)，发送消息签名对(M，T，S)给文档的接收者；

步骤4，验证过程：

验证者执行如下计算，验证一个声称的公钥是Y的用户对消息M的签名(T，S)：

1)、收到消息M′，表示为一个二进制位串；

2)、收到消息M′的签名，表示为两个整数T′和S′；

计算hash值U′＝H(M′)，U′表示为一个长度为160bits的整数；

3)、计算

F_{2} (S', T', U') = - \frac{η_{3} (T', U') {S'}^{η_{0} (T', U')} - η_{6} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q

F_{3} (S', T', U') = - \frac{η_{2} (T', U') S^{η_{0} (T', U)} - η_{5} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q;

4)、计算椭圆曲线点R′＝F₂(S′，T′，U′)G+F₃(S′，T′，U′)Y；

5)、如果验证式T′＝π(R′)成立，那么签名就得到验证，验证者可以确信收到的消息是持有与Y相应的私钥x的持有者发送的；如果验证式T′＝π(R′)不能成立，则签名验证失败。

本发明的有益效果是，通过本方法中的映射函数选择可以产生众多新的数字签名方法，以提供电子文档传输过程中的完整性检验和不可否认性保证，本发明的方法同时提供了大量新的数字签名方法，具有签名短、安全性高的特点，确保电子文件在存储及网络传输中的安全。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

为了实现基于椭圆曲线上离散对数困难问题的数字签名方案的一般化，本发明采用的技术方案是：进行系统参数生成，建立一个群，使得在该群中计算离散对数问题困难；建立用户公钥/私钥对，给出签名算法，涉及7个可有效计算的映射函数；最后给出签名的验证方程。签名方法的设计使得伪造签名相当于求解公认的难解的离散对数问题，非常安全。

本发明方法按照以下步骤实施，

步骤1，生成系统参数：

设置一个素数p和一个正整数m(m≥1)，如果m>1，选取有限域GF(p)上的一个首项系数为1的m次不可约多项式f(x)，定义一个有限域GF(p^m)。

系数a，b(∈GF(p^m))，定义GF(p^m)上的椭圆曲线E＝E(GF(p^m))

E = E_{a, b} : \{\begin{matrix} y^{2} + xy = x^{3} + a x^{2} + b, (b &NotEqual; 0) & if p = 2 \\ y^{2} = x^{3} + ax + b, ({4 a}^{3} + {27 b}^{2}) &NotEqual; 0 (\mod p), & if p > 3 . \end{matrix}

一个素数q整除#E(GF(p^m))，这里#E(GF(p^m))表示椭圆曲线E的阶数(E(GF(p^m))上点的总数)，

一个E上的点G＝(g_x；g_Y)生成一个阶为素数q的循环子群<G>。

在一般的应用中，我们推荐选择q是一个至少160bit的素数。

公共参数是(p，m，a，b，G，q，h)，这里h＝#(GF(p^m))/q，其中q是基点G＝(g_x；g_Y)的阶，h称为余因子。

一个映射函数π：<G>→Z_q，一个安全Hash函数H：{0，1}^*→Z_q，以及7个可有效计算的函数η₀，η₁，η₂，η₃，η₄，η₅，η₆，映射Z_q×Z_q到Z_q，即η_i：(T，U)→z_q i＝0，1，…，6，且使得η₀(T，U)≠0，并将所有的设置安装到签名双方的计算机系统中；这里的安全Hash函数可以取SHA-1等。

步骤2，用户密钥建立：

对每个签名者随机选择私钥x∈Z_q，计算相应的公钥是Y＝xG，由签名者保密私钥x，用来签名；公开公钥Y供验证签名使用；

步骤3，签名过程：

为了生成消息M∈{0，1}^*的签名(T，S)，签名者执行下列操作：在区间[1，q-1]中随机选择整数k，

计算椭圆曲线上的点R＝(x₁，Y₁)＝kG，计算T＝π(R)，U＝H(M)，

S \hat{=} F_{1} (k, x, T, U)

= {[\frac{{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)}{{kη}_{1} (T, U) + {xη}_{2} (T, U) + η_{3} (T, U)}]}^{\frac{1}{η_{0} (T, U)}} \mod q

步骤4，验证过程：

要验证一个声称的公钥是Y的用户对消息M的签名(T，S)，验证者执行如下计算：

1)、收到消息M′，表示为一个二进制位串；

2)、收到消息M′的签名，表示为两个整数T′和S′；

计算hash值U′＝H(M′)，U′表示为一个长度为160bits的整数；

3)、计算

F_{2} (S', T', U') = - \frac{η_{3} (T', U') {S'}^{η_{0} (T', U')} - η_{6} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q

F_{3} (S', T', U') = - \frac{η_{2} (T', U') S^{η_{0} (T', U)} - η_{5} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q;

5)、如果T′＝π(R′)成立，则签名就得到验证，验证者可以确信收到的消息是持有与Y相应的私钥x的持有者发送的，如果验证式T′＝π(R′)不能成立，则文件被改动、或者签名有错误，签名验证失败。

本发明对电子文档进行数字签名的保护方法，给出了一种基于椭圆曲线上离散对数困难问题的最一般数字签名方案族，并且给出了签名算法和验证算法的具体步骤。本发明通过在新数字签名方案族中设计7个可选的映射，构造出了大量现在还没有的新的基于椭圆曲线上离散对数的数字签名方案，这些方案将可以提供大量的可选的基于椭圆曲线上离散对数困难问题的数字签名算法。通过本算法进行数字签名后的文档，假如对原文做任何的改动，都不能通过签名验证算法，这样可以保护文档的完整性；签名者在对电子文档数字签名后不能否认其对文档做过签名，其他人不能伪造出有效的签名，所以本方法可以提供不可否认性安全保护。本发明提供的方法对于不同文档产生的签名是不同的，因此可以有效地解决书面签名可以被任意拷贝的问题；本发明提供的数字签名保护方法可以有效地防止签名伪造，伪造签名相当于求解公认的基于椭圆曲线上离散对数困难问题。本发明方法为国家、政府、企事业单位、个人提供了电子文档数字签名的安全方法。

下面从密码理论来证明本发明数字签名方法的正确性。

如果所宣称的对消息M的签名(T，S)是严格按照签名算法执行的，那么根据签名的生成步骤，则有如下等式成立

[{kη}_{1} (T, U) + {xη}_{2} (T, U) + η_{3} (T, U)] S^{η_{0} (T, U)}

- [{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)] &equiv; 0 \mod q

也即有：

[\frac{- η_{3} (T, U) S^{η_{0} (T, U)} - η_{6} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} - η_{4} (T, U)}]

+ x [- \frac{η_{2} (T, U) S^{η_{0} (T, U)} - η_{5} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} - η_{4} (T, U)}] = k \mod q

即F₂(S，T，U)+xF₃(S，T，U)＝k mod q

所以有F₂(S，T，U)G+F₃(S，T，U)Y＝kG＝R

也就是T＝π(R)成立，所以，如果签名是正确生成的，则验证式T＝π(R)一定成立。

应用本发明选择不同的映射函数，则可以产生新的数字签名算法，实现电子文档的数字签名。一般为了计算简单，建议取η₀(T，U)＝1。

实施例1

签名者首先选取并公布签名算法中的映射函数η₀(T，U)＝1，η₁(T，U)＝T+U，η₂(T，U)＝TU，η₃(T，U)＝T∨U，

η_{4} (T, U) = T &CirclePlus; U,

η₅(T，U)＝T∧U，η₆(T，U)＝T+U，π(R)＝R；这样就具体制定了一个签名算法。

签名算法：

签名者为了对电子文档M的签名，在区间[1，q-1]中随机选择整数k，

计算椭圆曲线上的点R＝(x₁，Y₁)＝kG，计算T＝π(R)＝R；

计算消息的Hash值U＝H(M)；

则得到消息M的签名是(T，S)，这里

S \hat{=} {[\frac{{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)}{{kη}_{1} (T, U) + {xη}_{2} (T, U) + η_{3} (T, U)}]}^{\frac{1}{η_{0} (T, U)}} \mod q

验证过程：给定消息M的签名(T，S)，验证者计算：

U＝H(M)，

F_{2} (S, T, U) = - \frac{η_{3} (T, U) S^{η_{0} (T, U)} + η_{6} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} + η_{4} (T, U)} \mod q

F_{3} (S, T, U) = - \frac{η_{2} (T, U) S^{η_{0} (T, U)} + η_{5} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} + η_{4} (T, U)} \mod q

令R＝F₂(S，T，U)G+F₃(S，T，U)Y

最后检查是否T＝π(R)，如果验证通过，则(T，S)是消息M的一个有效签名；如果不能通过验证式，则说明文件被改动，或者签名有错误，签名验证失败。

实施例2

签名者首先选取并公布签名算法中的映射函数η₀(T，U)＝1，η₁(T，U)＝T，η₂(T，U)＝T-U，η₃(T，U)＝U，η₄(T，U)＝T+U，η₅(T，U)＝0，η₆(T，U)＝T-2U，π(R)＝R；这样就具体确定了一个签名算法。

计算椭圆曲线上的点R＝(x₁，Y₁)＝kG，计算T＝π(R)＝R；

计算消息的Hash值U＝H(M)；则得到消息M的签名是(T，S)，这里

S \hat{=} {[\frac{{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)}{{kη}_{1} (T, U) + {xη}_{2} (T, U) + η_{3} (T, U)}]}^{\frac{1}{η_{0} (T, U)}} \mod q

= (\frac{k (T + U) + T - 2 U}{kT + x (T - U) + U}) \mod q

验证过程，给定消息M的签名(T，S)，验证者计算U＝H(M)，

F_{2} (S, T, U) = - \frac{η_{3} (T, U) S^{η_{0} (T, U)} + η_{6} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} + η_{4} (T, U)} \mod q

= - \frac{US + T - 2 U}{TS + (T + U)} \mod q

F_{3} (S, T, U) = - \frac{η_{2} (T, U) S^{η_{0} (T, U)} + η_{5} (T, U)}{η_{1} (T, U) S^{η_{0} (T, U)} + η_{4} (T, U)} \mod q

= - \frac{(T - U) S}{TS + (T + U)} \mod q

令R＝F₂(S，T，U)G+F₃(S，T，U)Y

最后检查是否T＝π(R)，如果验证通过，则(T，S)是消息M的一个有效签名；如果不能通过验证式，则文件被改动，或者签名有错误，签名验证失败。

通过选取不同的可有效计算的函数η₀，η₁，η₂，η₃，η₄，η₅，η₆，η_i：(T，U)→z_q，i＝0，1，…，6，就可以得到多种不同的数字签名算法。

综上所述，本发明提出的数字签名保护方法，通过系统参数建立阶段的映射函数选取，能产生大量的新的基于椭圆曲线上离散对数困难问题的数字签名算法，通过选取适当映射变换，能产生新的安全性更高、伪造签名的难度更大的数字签名算法，用于提供文档传输中的完整性、真实性和不可否认性的安全保护。

Claims

1、一种基于椭圆曲线对电子文档数字签名的安全保护万法，其特征在于，该方法按照以下步骤实施，

步骤1，生成系统参数：进行如下设置，

系数a，b(∈GF(p^m))，定义GF(p^m)上的椭圆曲线E＝E(GF(p^m))，

E = E_{a, b} : \{\begin{matrix} y^{2} + xy = x^{3} + {ax}^{2} + b, (b &NotEqual; 0) & if p = 2 \\ y^{2} = x^{3} + ax + b, ({4 a}^{3} + 27 b^{2}) &NotEqual; 0 (\mod p), & if p > 3 . \end{matrix}

一个素数q整除#E(GF(p^m))，#E(GF(p^m))表示椭圆曲线E的阶数，即E(GF(p^m)上点的总数，

一个映射函数π：<G>→Z_q，一个安全Hash函数H：{0，1}^*→Z_q，以及7个可有效计算的函数η₀，η₁，η₂，η₃，η₄，η₅，η₆，映射Z_q×Z_q到Z_q，即η_i:(T，U)→z_q i＝0，1，…，6，且使得η₀(T，U)≠0，并将所有的设置安装到签名双方的计算机系统中；

步骤2，用户密钥建立：

步骤3，签名过程：

签名者执行下列操作，生成消息M的签名(T，S)，

在区间[1，q-1]中随机选择整数k，

S \hat{=} F_{1} (k, x, T, U)

= {[\frac{{kη}_{4} (T, U) + {xη}_{5} (T, U) + η_{6} (T, U)}{k η_{1} (T, U) + x η_{2} (T, U) + η_{3} (T, U)}]}^{\frac{1}{η_{0} (T, U)}} \mod q

步骤4，验证过程：

1)、收到消息M′，表示为一个二进制位串；

2)、收到消息M′的签名，表示为两个整数T′和S′；

计算hash值U′＝H(M′)，U′表示为一个长度为160bits的整数；

3)、计算

F_{2} (S', T', U') = - \frac{η_{3} (T', U') {S'}^{η_{0} (T', U')} - η_{6} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q

F_{3} (S', T', U') = - \frac{η_{2} (T', U') S^{η_{0} (T', U)} - η_{5} (T', U')}{η_{1} (T', U') {S'}^{η_{0} (T', U)} - η_{4} (T', U')} \mod q;