CN101820626B - 基于无线mesh网络身份的无可信pkg的部分盲签名方法 - Google Patents

Abstract

基于无线MESH网络身份的无可信PKG的部分盲签名方法，PKG随机选取一个整数，计算出系统公钥，PKG将其作为系统私钥保存，并且公开系统参数；签名者任意选取第一部分私钥，然后计算Q₁＝s₁P，并发送Q₁给PKG；PKG计算出S₂，并将S₂发送给签名者，于是签名者得到其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；签名者选取一个随机数，计算U＝rQ₂，并把U发送给请求用户；用户随机选取

计算U′₂，w以及R＝αQ₁，将w发送给签名人；签名者计算V，将V发送给用户；用户收到V后计算V′＝αV，则(U′，V′，R)为签名人对消息(m，c)的部分盲签名；验证者收到身份为id的签名者对(m，c)的签名(U′，V′，R)，验证e (V′，P )成立，若该式成立则通过验证，否则失败。

Description

基于无线MESH网络身份的无可信PKG的部分盲签名方法

技术领域

本发明涉及无线Mesh网络(Wireless Mesh Network，WMN)安全数据通信技术领域。

背景技术

无线Mesh网络作为一种近年来新兴的无线网络，融合了无线局域网WLAN和移动Ad Hoc网络的优势。由于其组网快速灵活、接入速率高、覆盖范围广、投资成本较小、技术相对成熟、网络建设时间短、便于升级等优点，受到研究者越来越多的重视。无线Mesh网络既是WLAN的延伸，又可以作为3G的补充，也可以与Wi MAX相辅相成。无线Mesh网络不仅在战场、救灾等特殊领域有着不可替代的作用；同时在日常公共通信服务中也有着巨大的应用潜力。

WMN是一种基于IEEE 802.11的无线分布系统，由两个以上通过IEEE802.11链路进行互联并使用WMN服务进行通信的MP(Mesh Point)组成。一个WMN可能还支持若干个MPP(Mesh Portal Point)，以提供与其他分布系统或非802.11网络的互联能力；同时支持若干个MAP(Mesh Access Point)，提供普通802.11STA(Station)与Mesh网络的互联。其中MP是核心节点，MP的主要功能是传输、路由及数据转发等。

WMN体系结构可以分为基于客户机的Mesh网络、基于基础设施的Mesh网络和混合型的Mesh网络3种。无线Mesh网络是动态移动网络，移动节点需要周围节点提供路由和转发，网络拓扑动态变化，每个节点经常接触新的节点，因而移动节点间的身份认证非常频繁，安全的无线Mesh网络认证必须适应移动网络的需求。目前，对Mesh网络安全认证问题的研究还很不成熟，基本的安全认证机制并没有很好的定义或规范。

基于身份的签名体制(IBS)简化了传统的PKI系统中复杂的证书管理过程，在IBS系统中用户的公钥是直接从其身份信息(如姓名、身份证号、Email地址等)得到，而私钥则是由一个称为私钥生成中心(PKG，private key generator)的可信方生成。但是PKG利用系统范围内的主密钥为用户生成私钥不可避免地导致了IBC系统所固有的密钥托管问题，即PKG知道所有用户的私钥。由于无线Mesh网络结构可以动态变化，所以在WMN中一个可被小组所有成员信任的可信中心很难找到，或者PKG被攻陷后会给系统带来严重的后果。

发明内容

本发明的目的是提供一种基于无线MESH网络身份的无可信PKG的部分盲签名方法。

本发明是基于无线MESH网络身份的无可信PKG的部分盲签名方法，其步骤为：

(1)PKG随机选取整数

计算出系统公钥Q_PKG＝s_PKGP，并选择以下强无碰撞杂凑函数 $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\→G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\×G_1\→Z_q^{*}$ 和H₃：{0，1}^＊→G₁；PKG将s_PKG作为系统私钥保存，并且公开系统参数{G₁，G₂，e，P，q，Q_PKG，H₁，H₂，H₃}，其中

为除0元素以外且小于素数q的整数集合，G1为q阶的GDH(GapDiffie-Hellman)群，P为G₁的生成元；G₂为q阶的循环乘法群，e：G₁×G₁→G₂是一个双线性对；

(2)签名者id∈ID随机选取整数

作为其第一部分私钥，然后计算Q₁＝s₁P，并发送Q₁给PKG，其中ID是所有参与者的身份信息集合；

(3)PKG计算出S₂＝s_PKGQ₂，其中Q₂＝H₁(id，Q₁)并将S₂发送给签名者，于是签名者得到其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；

(4)签名者选取随机选取整数

计算U＝rQ₂，并把U发送给用户；

(5)用户随机选取整数计算U′＝αU+αβQ₂，w＝α^-1H₂(m||c，U′)+β以及R＝αQ₁，将w发送给签名者；其中m表示用户待签名消息，c为公共信息；

(6)签名者计算V＝S₂(r+w)+s₁H₃(c)，将V发送给用户；

(7)用户收到V后计算V′＝αV，则(U′，V′，R)为签名者对消息(m，c)的部分盲签名；

(8)验证者收到身份为id的签名者对(m，c)的签名(U′，V′，R)，验证e(V′，P)＝e (U′+H₂(m||c，U′)Q₂，Q_PKG)e(H₃(c)，R)是否成立，若该式成立则通过验证，否则失败。

本发明具有以下优点：

本发明在站点STA、MP和MAP之间进行数据通信时，设计了一个安全、有效的基于身份无可信PKG的部分盲签名，该签名方法具有以下优点：

(1)交互次数少

本发明的部分盲签名方法涉及了较少的交互次数，协议交互次数仅为3次。因此，在无线MESH网络中各类节点用户如需生成盲签名，则其只需要和签名者之间用3次交互即可生成所需的签名。

(2)计算量小

本发明中，基于身份的部分盲签名方法不但需要进行群G₁中的加法运算G₁A，G₁中的点乘运算G₁M，还有中的乘法Z_qM和

中的除法Z_qd运算。所需要的计算量3G₁A+8G₁M+2Z_qM+1Z_qd+3Pa，其中，Pa表示双线性对运算。使用哈希函数来构造的签名方法，表明本发明是切实可行的并且是高效的。

(3)协议是安全的

本发明的基于身份的无可信PKG的部分盲签名是安全的，可以在随机预言模型下将将该方法的安全性归约到的在GDH群上CDH(ComputationalDiffie-Hellman)困难问题。CDH问题的难解性为本发明提供了安全保证。

附图说明

图1为基于无线MESH网络无可信PKG的部分盲签名交互过程图。

具体实施方式

本发明是基于无线MESH网络身份的无可信PKG的部分盲签名方法，其步骤为：

(1)PKG随机选取整数

计算出系统公钥Q_PKG＝s_PKGP，并选择以下强无碰撞杂凑函数 $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\→G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\×G_1\→Z_q^{*}$ 和H₃：{0，1}^＊→G₁；PKG将sPKG作为系统私钥保存，并且公开系统参数{G₁，G₂，e，P，q，Q_PKG，H₁，H₂，H₃}，其中

为除0元素以外且小于素数q的整数集合，G₁为q阶的GDH群，P为G₁的生成元；G₂为q阶的循环乘法群，e：G₁×G₁→G₂是一个双线性对；

(2)签名者id∈ID随机选取整数

作为其第一部分私钥，然后计算Q₁＝s₁P，并发送Q1给PKG，其中ID是所有参与者的身份信息集合；

(3)PKG计算出S₂＝s_PKGQ₂，其中Q₂＝H₁(id，Q₁)并将S₂发送给签名者，于是签名者得到其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；

(4)签名者随机选取整数计算U＝rQ₂，并把U发送给用户；

(5)用户随机选取整数

计算U′＝αU+αβQ₂，w＝α^-1H₂(m||c，U′)+β以及R＝αQ₁，将w发送给签名者；其中m表示用户待签名消息，c为公共信息；

(6)签名者计算V＝S₂(r+w)+s₁H₃(c)，将V发送给用户；

(7)用户收到V后计算V′＝αV，则(U′，V′，R)为签名者对消息(m，c)的部分盲签名；

(8)验证者收到身份为id的签名者对(m，c)的签名(U′，V′，R)，验证e(V′，P)＝e (U′+H₂(m||c，U′)Q₂，Q_PKG)e(H₃(c)，R)是否成立，若该式成立则通过验证，否则失败。

结合基于身份的无可信中心签名机制和部分盲签名机制，通过利用GapDiffie-Hellman(GDH)群，提出了一种有效的基于身份的无可信PKG的部分盲签名方法。该方法通过给合法签名者赋予一对私钥，该对私钥分别由签名者和PKG计算生成从而解决了密钥托管问题，其安全性依赖于CDHP(Computational Diffie-Hellman Problem)。

符号说明：

M：M＝{M₁，M₂}。M表示明文空间；M₁表示用户待签名消息的集合而M₂表示用户和签名者协商后的消息集合。

ID：所有可能的参与者的身份的集合。

Δ：Δ＝{Δ₁，Δ₂}。Δ表示签名空间；Δ₁表示签名者对盲化之后的消息所有可能的签名组成的集合；Δ₂表示用户对签名者所作的签名脱盲之后所有可能的签名组成的集合。

X：X＝{X₁，X₂}。X表示签名私有密钥空间；X₁是由签名者生成的可能的部分私钥集合；X₂是由PKG生成的可能的部分私钥集合。

Y：Y＝{Y₁，Y₂}。Y表示验证公开密钥空间；Y₁是由签名者生成的可能的部分公钥集合；Y₂是由PKG生成的可能的部分公钥集合。

下面结合无可信PKG的部分盲签名交互过程附图对本发明进行详细的描述：

设G₁为q阶的Gap Diffie-Hellman群，P为G₁的生成元；G₂为q阶的循环乘法群，e：G₁×G₁→G₂是一个双线性对。

Setup：PKG随机选取整数

计算出系统公钥Q_PKG＝s_PKGP，并选择以下强无碰撞杂凑函数 $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\→G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\×G_1\→Z_q^{*}$ 和H₃：{0，1}^＊→G₁。然后PKG将s_PKG作为系统私钥保存，并且公开系统参数parameters＝{G₁，G₂，e，P，q，Q_PKG，H₁，H₂，H₃}；

Extract：假定id表示签名者的惟一可识别的身份，PKG对其进行物理鉴定确信id具有惟一性。签名者随机选取整数

作为其第一部分私钥，然后计算Q₁＝s₁P，并发送Q₁给PKG。PKG计算出S₂＝s_PKGQ₂，其中Q₂＝H₁(id，Q₁)，并将S₂发送给签名者，于是签名者得到其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)。

lssue：假设用户需要得到消息m的部分盲签名，c为用户和签名者事先协商的公共信息。基于身份的无可信PKG部分盲签名由以下步骤组成：

(1)签名者随机选取整数

计算U＝rQ₂，并把U发送给用户。

(2)用户随机选取整数计算U′＝αU+αβQ₂，w＝α^-1H₂(m||c，U′)+β以及R＝αQ₁；将w发送给签名者。

(3)签名者计算V＝S₂(r+w)+s₁H₃(c)，将V发送给用户。

(4)用户收到V后计算V′＝αV，则(U′，V′，R)为签名者对消息(m，c)的部分盲签名，其中c为公共信息。

Verify：验证者收到身份为id的签名者对(m，c)的签名(U′，V′，R)，验证如下：

验证e(V′，P)＝e(U′+H₂(m||c，U′)Q₂，Q_PKG)e(H₃(c)，R)是否成立，若该式成立则通过验证，否则失败。

Claims (1)

1.基于无线MESH网络身份的无可信PKG的部分盲签名方法，其步骤为：

(1)PKG随机选取整数

计算出系统公钥Q_PKG＝s_PKGP，并选择以下强无碰撞杂凑函数 $H_1:{\left\{\mathrm{0,1}\right\}}^{*}\→G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\×G_1\→Z_q^{*}$ 和H₃：{0，1}^＊→G₁；PKG将s_PKG作为系统私钥保存，并且公开系统参数{G₁，G₂，e，P，q，Q_PKG，H₁，H₂，H₃}，其中

为除0元素以外且小于素数q的整数集合，G₁为q阶的Gap Diffie-Hellman群，P为G₁的生成元；G₂为q阶的循环乘法群，e：G₁×G₁→G₂是一个双线性对；

(2)签名者id∈ID随机选取整数作为其第一部分私钥，然后计算Q₁＝s₁P，并发送Q₁给PKG，其中ID是所有参与者的身份信息集合；

(3)PKG计算出S₂＝s_PKGQ₂，其中Q₂＝H₁(id，Q₁)并将S₂发送给签名者，于是签名者得到其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；

(4)签名者随机选取整数计算U＝rQ₂，并把U发送给用户；

(5)用户随机选取整数

计算U′＝αU+αβQ₂，w＝α^-1H₂(m||c，U′)+β以及R＝αQ₁，将w发送给签名者；其中m表示用户待签名消息，c为公共信息；

(6)签名者计算V＝S₂(r+w)+s₁H₃(c)，将V发送给用户；

(7)用户收到V后计算V′＝αV，则(U′，V′，R)为签名者对消息(m，c)的部分盲签名；

(8)验证者收到身份为id的签名者对(m，c)的签名(U′，V′，R)，验证e(V′，P)＝e (U′+H₂(m||c，U′)Q₂，QPKG)e(H₃(c)，R)是否成立，若该式成立则通过验证，否则失败。

Images