CN102170352A - 使用具有温特尼茨单次签名的ecdsa的方法 - Google Patents

使用具有温特尼茨单次签名的ecdsa的方法 Download PDF

Info

Publication number
CN102170352A
CN102170352A CN2011100461042A CN201110046104A CN102170352A CN 102170352 A CN102170352 A CN 102170352A CN 2011100461042 A CN2011100461042 A CN 2011100461042A CN 201110046104 A CN201110046104 A CN 201110046104A CN 102170352 A CN102170352 A CN 102170352A
Authority
CN
China
Prior art keywords
information
winternitz
validator
signature
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011100461042A
Other languages
English (en)
Other versions
CN102170352B (zh
Inventor
D·巴塔查亚
A·A·赫拉尼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of CN102170352A publication Critical patent/CN102170352A/zh
Application granted granted Critical
Publication of CN102170352B publication Critical patent/CN102170352B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及使用具有温特尼茨单次签名的ECDSA的方法。提供认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨密钥对。给每个所述信息指定序列号。每个所述序列号配合地识别出被指定给每个所述信息的温特尼茨验证器的次序。使用数字签名算法私有密钥给所述信息链中的第一信息标记签名。使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名。向接收器广播来自发送器的被签名信息。通过验证所述数字签名算法签名在所述接收器处认证被签名广播的所述第一信息。通过仅验证所述温特尼茨签名在所述接收器处认证所述后续被签名广播信息中的至少一些。

Description

使用具有温特尼茨单次签名的ECDSA的方法
技术领域
本实施例总体上涉及车辆-实体通信中的广播认证方案。
背景技术
数字签名被用于当通过被公众共享的通信介质(例如通过空气、无线通信通道)通信时认证广播信息。本技术领域中已知存在多种广播认证方案,不过每种方案均具有针对相应通信特性的不足(例如不稳健/鲁棒(robust))。对于许多通信方案的取舍是在通信效率、认证的计算次数或者对于信息攻击的易受度之间进行的。需要鲁棒性的特性包括延迟验证、数据包丢失、计算DoS攻击、否认性和机动性。因此,非常需要对于这里描述的每种特性均具有鲁棒性的广播方案。
发明内容
实施例的优点在于,在广播被数字签名的信息期间通常存在的融合广播认证方案相对于各特性而言均是鲁棒的。两个广播认证方案的融合相配合地克服了每个单独广播方案的不足且同时保持了每个特性的鲁棒性。
实施例设想了认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨(Winternitz)密钥对。序列号被指定给每个信息。每个序列号配合地识别出被指定给每个信息的温特尼茨验证器的次序。使用数字签名算法私有密钥来给信息链中的第一信息标记签名。使用温特尼茨私有密钥以及数字签名算法私有密钥二者来给信息链中的每个后续信息标记签名。被签名信息从发送器/发送者广播给接收器/接收者。在接收器处通过验证数字签名算法签名来认证被签名广播的第一信息。在接收器处通过仅验证温特尼茨签名来认证至少一些后续被签名广播信息。
实施例设想了认证数字签名信息的方法。生成第一信息。生成第一组温特尼茨密钥。验证器被连接于第一信息。第一序列号被指定给信息和验证器。使用数字签名算法私有密钥来标记信息。第一信息被广播给远程实体。生成第二信息。生成第二组温特尼茨密钥。第二验证器被连接于第二信息。第二序列号被指定给第二信息和第二验证器。使用第一温特尼茨私有密钥和数字签名算法私有密钥来标记第二信息。传输带有温特尼茨签名和数字签名算法签名的第二数字信息。第一信息被接收。使用数字签名算法签名来验证第一信息。响应获得第一信息的被顺序识别的验证器仅使用温特尼茨签名来验证第二信息。
本发明还提供了以下技术方案。
方案1. 一种认证被数字签名的信息的方法,该方法包括步骤:
生成信息链;
针对每个相应信息生成温特尼茨密钥对;
给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;
使用数字签名算法私有密钥给所述信息链中的第一信息标记签名;
使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;
向接收器广播来自发送器的被签名信息;
通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及
通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。
方案2. 如方案1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。
方案3. 如方案2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。
方案4. 如方案2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继地跟随在所述当前信息之后的剩余信息链。
方案5. 如方案1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。
方案6. 如方案1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。
方案7. 如方案1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。
方案8. 如方案1所述的方法,其中所述数字签名算法包括RSA密码学。
方案9. 如方案1所述的方法,其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。
方案10. 一种认证被数字签名的信息的方法,包括步骤:
生成第一信息;
生成第一组温特尼茨密钥;
将验证器连接于所述第一信息;
将第一序列号指定到所述信息和验证器;
使用数字签名算法私有密钥标记所述信息;
将所述第一信息广播给远程实体;
生成第二信息;
生成第二组温特尼茨密钥;
将第二验证器连接于所述第二信息;
将第二序列号指定到所述第二信息和第二验证器;
使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息;
传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息;
接收所述第一信息;
使用所述数字签名算法签名来验证所述第一信息;以及
响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述第二信息。
方案11. 如方案9所述的方法,其中产生下一信息并且使用下一温特尼茨私有密钥和所述数字签名算法私有密钥来标记该下一信息,其中使用所述下一温特尼茨签名和所述数字签名算法签名二者来广播下一连续信息,并且其中如果远程实体获得第二信息的被顺序识别的验证器,则仅使用所述下一温特尼茨签名来验证所述下一信息。
方案12. 如方案9所述的方法,其中响应所述接收实体没有接收到所述第二信息的被顺序识别的验证器,使用数字签名算法签名来认证下一连续信息。
方案13. 如方案10所述的方法,其中如果来自前一信息的相关被顺序排序的验证器被所述接收实体接收,则仅使用相应温特尼茨签名来认证每个后续信息。
方案14. 如方案11所述的方法,其中当所述验证器的不合适序列存在于前一接收的信息和当前信息之间时,该当前信息的相应数字签名算法签名被用于认证所述当前信息。
方案15. 如方案9所述的方法,其中序列号被指定给验证器和信息二者以用于识别出广播信息链中的序列次序。
方案16. 如方案9所述的方法,其中所述一组温特尼茨密钥包括私有密钥和公共密钥,其中公共密钥被用作所述验证器。
方案17. 如方案9所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。
方案18. 如方案9所述的方法,其中所述数字签名算法包括椭圆数字签名算法。
方案19. 如方案9所述的方法,其中所述数字签名算法包括RSA密码学。
方案20. 如方案9所述的方法,其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。
附图说明
图1是ECDSA广播算法方案的鲁棒性/稳健性特性图。
图2是W-OTS广播算法方案的鲁棒性特性图。
图3是TESLA广播算法方案的鲁棒性特性图。
图4是TADS广播算法方案的鲁棒性特性图。
图5示出了链接信息和验证器的W-OTS广播方案。
图6示出了链接信息和验证器的W-OTS和ECDSA组合广播方案。
图7示出了链接信息和多个验证器的W-OTS和ECDSA组合广播方案。
图8示出了W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。
图9是使用W-OTS和ECDSA组合广播方案链接信息和验证器的方法的流程图。
具体实施方式
诸如车辆-车辆(V2V)或车辆-实体通信系统的V2X通信系统依赖数字签名来确保从发送器(即,传播车辆或实体)到接收器(即,接收车辆或实体)的广播信息的真实性。数字签名方案是用于证明数字广播信息的真实性的数学方案。有效数字签名提供了对于信息担保的接收,该信息担保指被接收的广播信息是由已知发送器产生的。此外,有效数字签名还确保在信息传播期间不改变数字信息。数字签名制止了对于信息的篡改或伪造。伪造信息包括通过由不同于已知发送器的实体来生成信息,而篡改包括第三方截获信息并更改信息内容。
数字签名通常使用密码学形式。当使用公共领域中使用的通信网络时信息通常通过不安全的通信通道被传输。数字签名提供了接收确认,该接收确认指信息是由发送方发送且以未改变状态由接收方接收。
使用数字签名的广播认证方案有助于克服与在发送器和接收方之间的信息传输有关的公知问题。广播认证方案的鲁棒性受如下因素影响。
*非否认性(Non-repudiation)确保在声明其用于标记信息的私有密钥保持保密的情况下数字信息的签名者无法成功地声明签名者没有标记该信息。
*数据包丢失是在行经通信介质的一个或更多个数据包未能到达接收方的时候。
*计算拒绝服务(DoS)的复原性是阻止使得资源对于其预期使用者而言不可用的这一企图的能力。通常,实体试图执行DoS是由实体阻止服务、网站、服务器或验证器临时或无限期地有效运行的协同努力构成的。攻击的常见方法包括使用外部通信请求来饱和接收器或服务/网站/服务器/验证器,以使得试图响应的实体不能响应或响应很慢以致响应实体基本上不可用。总而言之,通过消耗资源使得接收方不再能够有效通信来实现DoS攻击。
*延迟的验证涉及信息验证。信息应该能够被立即验证。
*对机动性的支持涉及动态环境,例如车辆通信,其中接收器设定频繁地改变。为了支持标记结点的机动性以便其相邻者可以验证发送器标记的信息,签名者的公共密钥的数字证书需要被广播并且对于其接收广播信息的相邻者可用。
用于使用数字签名来认证信息的广播认证方案包括但不限于温特尼茨单次签名(one-time-signature,OTS)、数字签名算法(DSA)、椭圆曲线数字签名算法(ECDSA)、RSA(Rivest、Shamir、Adleman协议)以及时间效率流丢失认证(TESLA)。这里描述的所有广播方案相对于上述一些特性特征均是鲁棒的;不过,每个方案对于至少一种特征均一定程度上不太鲁棒或不鲁棒。
图1-4是上述广播认证方案及其对于各特性的鲁棒性的关联图。图1示出了ECDSA方案,图2示出了温特尼茨单次签名(W-OTS)方案,图3示出了TESLA方案,并且图4示出了TADS方案。深色线代表对于相应特性的鲁棒性。五边形的中心代表相应特性的鲁棒性的不足,而五边形的外周代表更大程度的鲁棒性。在中心和外周之间过渡的那些阶段代表增加的鲁棒性。应该理解,在各图中指出的鲁棒性的程度是示例性的并且仅用于提供对于各相应技术的不足或鲁棒性的大体指示。图1-4中示出的相应特性被标示为计算DoS的复原性12、立即验证14、数据包丢失的鲁棒性16、非否认性18以及对于机动性的支持20。
图1示出了相对于各特性的ECDSA认证方案。在ECDSA认证方案中,如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。ECDSA认证方案对于数据包丢失也是鲁棒的,因为一个数据包的丢失不会停止后续信息的验证过程。ECDSA认证方案为使用ECDSA认证方案成功验证的每个数据包提供非否认性。基于可信第三方的数字证书确保了这个特性。当签名者的公共密钥的数字证书被广播时ECDSA认证方案也提供对于机动性的支持。ECDSA不鲁棒时的唯一特性是计算DoS,特别是在资源受约束的系统中。当在具有有限计算能力的系统中执行操作时,ECDSA标记和验证的计算开销是非常高的。
图2示出了相对于各特性的温特尼茨单次签名(OTS)广播认证方案的鲁棒性的比较。温特尼茨(W-OTS)认证方案的安全性依赖于单向特性和所用散列函数的碰撞抵抗特性。W-OTS认证方案实现了信息的立即验证,因为如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。W-OTS认证方案具有抵抗计算DoS攻击的复原性。W-OTS的验证需要仅计算散列函数,相比于例如ECDSA的不对称密钥操作这占用了较少的计算时间。W-OTS认证方案可以成功地对每个数据包均实现非否认性。W-OTS使得能够在每个验证器上使用可信第三方的数字证书来实现非否认性。应该理解,W-OTS认证方案保证了非否认性,只要信息的轨迹被接收器提供给第三方。W-OTS认证方案支持机动性并且对于数据包丢失是不鲁棒的。如果W-OTS验证器被链接(其中前一验证器被用于验证下一验证器),则如果信息链中的一个信息没有被接收方接收到则该链断开。因此,在丢失的数据包之后接收的数据包由于缺失的验证器的原因而不能被验证。
这里描述的实施例利用两个方案构造来获得对于各特性的鲁棒性。两种方案构造的优选组合利用了W-OTS认证方案和ECDSA认证方案。应该理解,在可替代实施例中例如DSA或RSA或具有类似于ECDSA特性的任意其他数字签名算法的认证方案可以取代ECDSA。优选ECDSA是因为相比于可替代方案其具有更高的安全性水平和更小的密钥尺寸。
ECDSA是基于可以用于广播认证的公共密钥密码学的数字签名算法。在例如ECDSA的密码学中,每个用户U具有两个密钥:公共密钥KUPub和私有密钥KUPv。公共密钥KUPub是公开的,而私有密钥KUPv是保密的。为了数字标记一信息M,用户U必须首先使用散列函数H来计算M的简短表达式m=H(M)。随后,用户U进行签名生成操作来获得SU=sgn(m, KUPv)。对(M, SU)是由U标记的信息M。能获取U的公共密钥的任意实体可以验证信息M上的U的签名的真实性。单个公共/私有密钥对可以被用于理论上标记无限数量的信息。注意到,仅用户U可以生成签名,因为仅用户U知道私有密钥。任何人均能够验证签名,因为公共密钥信息是可被公众获取的。因此,只要私有密钥保持私密,则这种设定可以被用于用户U传播的所有信息的广播认证。不过,应该理解,为了使得这种设定具有非否认特性,需要存在可信第三方来给用户U授予数字证书并且将用户U的身份和公共密钥KUPub绑定在一起。可信第三方系统通常被称作公共密钥基础结构PKI。使用数字证书使得正确验证由U标记的信息-签名对的任意验证器能够在任意第三方面前证明信息确实是由用户U标记的。这里将不再讨论ECDSA广播算法的具体数学详情,不过应该理解,ECDSA是已知的广播认证方案并且实施例的优点在于其与W-OTS广播方案配合作用来克服两种认证方案的鲁棒性的不足。
前面描述的W-OTS广播算法依赖于单向特性和所用散列函数的碰撞抵抗特性。下述算法1、2和3分别示出了W-OTS密钥生成、签名生成和签名验证:
算法1-温特尼茨密钥对生成
输入:散列函数                                                
Figure 2011100461042100002DEST_PATH_IMAGE001
Figure 306408DEST_PATH_IMAGE002
,以及块参数k和n=2l/k。
输出:签名密钥S;验证密钥V。
1. 选择n和k以便2L=n*k,
2. 随机均匀地选择s0, s1, ……, sn,,即,选择长度L的n+1个随机变量,
3. 设定S=s0, s1, ……, sn
4. 计算
Figure 413429DEST_PATH_IMAGE004
5. 计算
6. 计算
Figure 193166DEST_PATH_IMAGE006
,其中表示连接,
7. 私有密钥:=S,公共密钥:=V
8. 返回(S, V)
算法2-温特尼茨签名生成
输入:散列函数
Figure 526058DEST_PATH_IMAGE008
Figure 340431DEST_PATH_IMAGE002
,以及块参数k和n=2l/k,信息M,签名密钥S。
输出:在M上的单次签名密钥
Figure 2011100461042100002DEST_PATH_IMAGE009
,验证密钥V。
1. 由M计算G(M)
2. 以“n”断开G(M),k-位(比特)字b1, b2, ……, bn,
3. 设定S=s0, s1, ……, sn,
4. 计算
Figure 349844DEST_PATH_IMAGE010
5. M的签名是
Figure 2011100461042100002DEST_PATH_IMAGE011
返回
Figure 554560DEST_PATH_IMAGE012
算法3-温特尼茨签名验证
输入:散列函数
Figure 753460DEST_PATH_IMAGE008
,散列函数
Figure 609290DEST_PATH_IMAGE002
,以及块参数k和n=2l/k,信息M,签名
Figure 2011100461042100002DEST_PATH_IMAGE013
,验证密钥V。
输出:如果签名有效则为真,否则为假。
1. 如算法2所示计算b1, b2, ……, bn, b0,
2. 标示被接收作为由
Figure 602654DEST_PATH_IMAGE014
构成的
Figure 294666DEST_PATH_IMAGE012
3. 计算
Figure 2011100461042100002DEST_PATH_IMAGE015
4. 计算
Figure 31678DEST_PATH_IMAGE016
5. 计算
Figure 2011100461042100002DEST_PATH_IMAGE017
6. 如果V’=V,则返回真,否则为假。
W-OTS广播认证方案使用两个密码学散列函数,即
Figure 742014DEST_PATH_IMAGE002
Figure 171858DEST_PATH_IMAGE008
,L是位/比特中所需的安全性水平,并且参数k指示出同时处理的比特数。因为初始散列化数据来标记信息需要碰撞抗性,并且剩余散列计算需要单向特性,因此为了匹配安全性水平,初始散列函数G的比特/位长度应该是散列函数H的两倍。这样做使得发送器发送无可否认信息所面对的困难等同于攻击者伪造信息签名对所面对的困难。实践中,可以仅使用函数G并且将输出删节成所需值。
图5示出了链接信息/验证器的W-OTS广播方案。如图5所示,第一验证器V1被用于验证第二数据包。在序列中的每个后续数据包使用前一验证器来验证。如果数据包丢失从而使得序列丢失,则丢失的数据包将使得链断开,并且跟随丢失数据包的任意后续数据包将不能使用W-OTS认证方案来验证。
图6示出了W-OTS和ECDSA组合认证方案。初始使用W-OTS签名和ECDSA签名二者来标记每个信息。每个数据包包含相应信息Mx、一个W-OTS验证器Vx和涉及信息Mx和验证器Vx的W-OTS签名S(Mx,Vx)。每个W-OTS签名使用链中的前一验证器Vx-1被验证。
ECDSA签名可以被独立验证。ECDSA签名是简明的以便接收到第一信息的任意验证器能够验证涉及信息Mx和W-OTS验证器Vx的ECDSA签名。使用W-OTS签名来验证链中的后续信息。在数据包丢失从而断开序列链的情况下将使用ECDSA签名来验证下一信息。一旦使用ECDSA签名验证下一信息,则使用W-OTS签名来验证跟随由ECDSA签名认证的信息的后续信息。使用W-OTS认证方案对信息的验证将继续直到产生下一次数据包丢失,此时将使用ECDSA签名。融合方案继续用于所有后续签名。当链断开时利用ECDSA签名使得组合的认证方案对于数据包丢失而言是鲁棒的并且再次同步了链。
下面描述了构造的标记和验证步骤以及数据包格式。对于签名操作而言,参考图6,由信息Mx和W-OTS验证器Vx构成数据包,并且信息和验证器二者均使用W-OTS签名和ECDSA签名二者被标记。W-OTS签名被链中早期提交的W-OTS验证器验证。ECDSA签名被ECDSA公共密钥验证。
关于数据包格式,信息Mx由具有时间戳和序列号的实际装载/实际内容(actual payload)构成。信息Mx的格式如下:
Mx:P(实际装载)|T(时间戳)|i(序列号)
序列号i保持使用W-OTS验证器Vx的链中的次序。时间戳和序列号一起确保抵抗重播攻击(replay attack)。虽然组合的方案不需要第一信息M1包含W-OTS签名(图6)来保持对于所有数据包的数据包长度相等,不过W-OTS签名的尺寸域/容量字段可以被插入。
为了验证签名,验证器使用下述步骤:
(1)验证由可信第三方授予的ECDSA公共密钥的数字证书。这个步骤认证了ECDSA公共密钥并且将所有者身份与ECDSA公共密钥绑定。
(2)验证来自任意发送器的具有在第一信息M1和W-OTS验证器V1上的合格ECDSA公共密钥的ECDSA签名。
(3)仅针对后续信息验证W-OTS签名。如果认证的验证器Vi可用,则之后第(i+1)个数据包的W-OTS签名认证信息Mi+1和W-OTS验证器Vi+1二者。
(4)如果有任何数据包丢失,则W-OTS链的连续性丢失,并且下一数据包必须使用ECDSA签名来验证。
上面公开的融合方案结合了ECDSA和W-OTS二者的优点从而克服了每个单独方案的不足。
图7示出了在相应数据包中传输多个验证器的实施例。例如在“n”验证器的情况下(其中n=2、3等),如果随后“n”数据包丢失,则第(n+1)个数据包将使用ECDSA来验证。
图8示出了W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。这里提供了与特性相关的融合方案的鲁棒性。
关于延迟验证,因为W-OTS签名和ECDSA签名二者均可以被立即验证,并且在提出的方案中这些签名中的至少一者被验证,因此结合的方案不会存在延迟认证。
关于数据包丢失,结合的方案是鲁棒抵抗数据包丢失的。虽然W-OTS链在数据包丢失的情况下断开,不过使用ECDSA签名来执行后续验证,该ECDSA签名认证信息并再次认证W-OTS验证器。因此,数据包丢失不会终止对后续数据包的验证。
关于计算DoS攻击,结合的方案在少量信息丢失的环境下对计算DoS具有复原性,因为大多数数据包由计算上便宜的W-OTS签名来认证。对于作为ECDSA缺点的计算DoS攻击而言,使用W-OTS签名验证的每个信息均抵抗计算DoS攻击而具有复原性。因此,确保了对计算DoS攻击的复原性。具有时间戳和次序的每个数据包使得方案具有抵抗重播攻击的鲁棒性。
关于非否认性,结合的方案允许接收器向可信第三方证明发送器对于生成信息负责。这种方案提供了非否认性,只要由接收器向第三方提供了信息的轨迹。例如,如果接收器验证了第k个数据包的信息和W-OTS验证器上的ECDSA签名,之后向第三方证明第i个(i>k)数据包已经由发送器生成,则验证器必须存储从k开始的所有(i-k+1)个数据包。通过从可信第三方获得关于ECDSA公共密钥的数字证书能够获得非否认性特性。一旦公共密钥被用于标记W-OTS验证器并且这个相应的W-OTS验证器被用于验证使用W-OTS签名来标记的另一信息Mx,则使用Mx和S(Mx)的信息和签名对被绑定到ECDSA公共密钥并且因而被绑定到签名者身份。因此,确保了每个信息的非否认性特性。
关于机动性的支持,结合的方案支持动态接收器设定。一旦接收器已经验证了ECDSA公共密钥的数字证书,则落入发送器范围内的任意验证器就可以开始验证信息。这种特性特别适用于节点具有很高机动性且特定发送器的接收器设定频繁改变的车辆网络。签名者需要时不时传送其ECDSA公共密钥的数字证书,并且这种需求与真实的基于ECDSA的广播认证相同。
图9示出了利用融合广播认证方案来认证广播信息的具体流程图。如下所述的步骤30-34涉及信息生成、信息签名/标记以及传送。
在步骤30中,由发送器生成信息M1。在步骤31中,生成一组温特尼茨私有和公共密钥。公共密钥或验证器被表示为V1。私有密钥被表示为W1
在步骤32,M1被连接于V1
在步骤33,使用ECDSA私有密钥来标记信息M1。在步骤34,广播带有ECDSA签名的信息M1。应该注意,W-OTS签名不用作第一信息的签名。
在步骤35,生成第二信息M2。在步骤36,生成第二组温特尼茨密钥。公共密钥或验证器被表示为V2。私有密钥被表示为W2
在步骤37,M2被连接于V2
在步骤38,使用ECDSA私有密钥和温特尼茨私有密钥W1来标记信息M2。在步骤38,广播带有ECDSA签名和温特尼茨签名的信息M2
在步骤39,生成后续信息,并且使用私有ECDSA签名和通过如上所述的相继生成的私有密钥来生成的相应温特尼茨签名来签名所述后续信息。
如下所述的步骤40-44涉及接收信息并且认证信息的签名。
在步骤40,第一信息M1被远程实体接收。在步骤41,使用ECDSA签名来验证第一信息M1的签名。这个步骤认证了温特尼茨公共密钥V1
在步骤42,接收下一信息M2
在步骤43,确定是否存在由当前信息的序列编号所确定的前一温特尼茨验证器。也就是说,例程将相对于前一验证器的序列编号确定当前信息的序列编号。如果确定了当前接收的信息M2相对于前一接收的验证器V1处于序列次序中,则例程进行到步骤44,在此仅使用温特尼茨签名来认证信息。如果确定了信息相对于最后接收的验证器的序列次序没有遵从序列次序从而指示出发生了数据包丢失,则例程进行到步骤41,在此ECDSA被用于认证信息。
例程将继续接收信息,并且只要确定没有发生数据包丢失则将仅利用温特尼茨签名来验证来自发送器的当前接收的信息。如果已经发生数据包丢失,则ECDSA签名被用于认证信息。对于相应信息的ECDSA签名的验证认证了温特尼茨签名从而仅温特尼茨签名能够被用于认证信息直到发生下一次数据包丢失。
虽然已经具体描述了本发明的某些实施例,不过本发明涉及领域中的技术人员将会认识到用来实施如所附权利要求所定义的发明的各种可替代设计和实施例。

Claims (10)

1. 一种认证被数字签名的信息的方法,该方法包括步骤:
生成信息链;
针对每个相应信息生成温特尼茨密钥对;
给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;
使用数字签名算法私有密钥给所述信息链中的第一信息标记签名;
使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;
向接收器广播来自发送器的被签名信息;
通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及
通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。
2. 如权利要求1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。
3. 如权利要求2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。
4. 如权利要求2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继跟随在所述当前信息之后的剩余信息链。
5. 如权利要求1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。
6. 如权利要求1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。
7. 如权利要求1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。
8. 如权利要求1所述的方法,其中所述数字签名算法包括RSA密码学。
9. 如权利要求1所述的方法,其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。
10. 一种认证被数字签名的信息的方法,包括步骤:
生成第一信息;
生成第一组温特尼茨密钥;
将验证器连接于所述第一信息;
将第一序列号指定到所述信息和验证器;
使用数字签名算法私有密钥标记所述信息;
将所述第一信息广播给远程实体;
生成第二信息;
生成第二组温特尼茨密钥;
将第二验证器连接于所述第二信息;
将第二序列号指定到所述第二信息和第二验证器;
使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息;
传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息;
接收所述第一信息;
使用所述数字签名算法签名来验证所述第一信息;以及
响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述第二信息。
CN201110046104.2A 2010-02-25 2011-02-25 使用具有温特尼茨单次签名的ecdsa的方法 Active CN102170352B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/712,349 2010-02-25
US12/712,349 US8386790B2 (en) 2010-02-25 2010-02-25 Method of using ECDSA with winternitz one time signature
US12/712349 2010-02-25

Publications (2)

Publication Number Publication Date
CN102170352A true CN102170352A (zh) 2011-08-31
CN102170352B CN102170352B (zh) 2014-06-18

Family

ID=44477472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110046104.2A Active CN102170352B (zh) 2010-02-25 2011-02-25 使用具有温特尼茨单次签名的ecdsa的方法

Country Status (3)

Country Link
US (1) US8386790B2 (zh)
CN (1) CN102170352B (zh)
DE (1) DE102011011652B4 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105743647A (zh) * 2016-03-17 2016-07-06 西安电子科技大学 空间信息网跨域的广播认证方法

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9002009B2 (en) 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
US8483394B2 (en) 2010-06-15 2013-07-09 Los Alamos National Security, Llc Secure multi-party communication with quantum key distribution managed by trusted authority
US9003181B2 (en) 2011-03-23 2015-04-07 Certicom Corp. Incorporating data into cryptographic components of an ECQV certificate
US8675869B2 (en) * 2011-03-23 2014-03-18 Blackberry Limited Incorporating data into an ECDSA signature component
WO2013048672A1 (en) 2011-09-30 2013-04-04 Los Alamos National Security, Llc Great circle solution to polarization-based quantum communication (qc) in optical fiber
US9866379B2 (en) 2011-09-30 2018-01-09 Los Alamos National Security, Llc Polarization tracking system for free-space optical communication, including quantum communication
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
US9219610B2 (en) 2012-03-15 2015-12-22 Blackberry Limited Method for securing messages
EP2826201B1 (en) * 2012-03-15 2019-05-08 BlackBerry Limited Method for securing messages
US9819418B2 (en) 2012-08-17 2017-11-14 Los Alamos National Security, Llc Quantum communications system with integrated photonic devices
US11277412B2 (en) 2018-05-28 2022-03-15 Royal Bank Of Canada System and method for storing and distributing consumer information
US20140351598A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication
US9462005B2 (en) 2013-05-24 2016-10-04 Qualcomm Incorporated Systems and methods for broadcast WLAN messages with message authentication
JP6659220B2 (ja) * 2015-01-27 2020-03-04 ルネサスエレクトロニクス株式会社 通信装置、半導体装置、プログラムおよび通信システム
WO2016163927A1 (en) * 2015-04-10 2016-10-13 Telefonaktiebolaget Lm Ericsson (Publ) Methods and devices for access control of data flows in software defined networking system
US9886573B2 (en) 2015-08-06 2018-02-06 Red Hat, Inc. Non-repudiation of broadcast messaging
US10552138B2 (en) 2016-06-12 2020-02-04 Intel Corporation Technologies for secure software update using bundles and merkle signatures
US10887080B2 (en) * 2017-03-16 2021-01-05 King Fahd University Of Petroleum And Minerals Double-hashing operation mode for encryption
EP3376705A1 (en) 2017-03-17 2018-09-19 Koninklijke Philips N.V. Elliptic curve point multiplication device and method in a white-box context
EP3382930A1 (en) * 2017-03-31 2018-10-03 Nxp B.V. Intelligent transportation system station, host processor, and method therefor
US11356262B2 (en) 2018-07-03 2022-06-07 Royal Bank Of Canada System and method for anonymous location verification
CA3048425A1 (en) 2018-07-03 2020-01-03 Royal Bank Of Canada System and method for an electronic identity brokerage
CN109639439B (zh) * 2019-02-27 2020-10-30 武汉大学 一种基于两方协同的ecdsa数字签名方法
CN112019342B (zh) * 2020-06-30 2023-05-23 宁波三星医疗电气股份有限公司 一种电能表与主站之间的数据传输方法及其电能表

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002929A1 (en) * 1999-12-02 2001-06-07 Niels Mache Message authentication
CN1669266A (zh) * 2002-06-05 2005-09-14 法国电信公司 检查数字签名的方法和系统及带有使用该方法的微电路的卡
CN1902853A (zh) * 2003-10-28 2007-01-24 塞尔蒂科梅公司 一种公开密钥的可验证生成的方法和设备
CN101124767A (zh) * 2004-12-22 2008-02-13 皇家飞利浦电子股份有限公司 密钥生成以及证明真实性的方法和设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4881264A (en) * 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
US6230272B1 (en) * 1997-10-14 2001-05-08 Entrust Technologies Limited System and method for protecting a multipurpose data string used for both decrypting data and for authenticating a user
US6415385B1 (en) * 1998-07-29 2002-07-02 Unisys Corporation Digital signaturing method and system for packaging specialized native files for open network transport and for burning onto CD-ROM
EP1343286A1 (en) 2002-03-04 2003-09-10 BRITISH TELECOMMUNICATIONS public limited company Lightweight authentication of information
US8082446B1 (en) * 2006-11-30 2011-12-20 Media Sourcery, Inc. System and method for non-repudiation within a public key infrastructure
US20090254754A1 (en) 2008-04-04 2009-10-08 Gm Global Technology Operations, Inc. Lightweight geographic trajectory authentication via one-time signatures

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002929A1 (en) * 1999-12-02 2001-06-07 Niels Mache Message authentication
CN1669266A (zh) * 2002-06-05 2005-09-14 法国电信公司 检查数字签名的方法和系统及带有使用该方法的微电路的卡
CN1902853A (zh) * 2003-10-28 2007-01-24 塞尔蒂科梅公司 一种公开密钥的可验证生成的方法和设备
CN101124767A (zh) * 2004-12-22 2008-02-13 皇家飞利浦电子股份有限公司 密钥生成以及证明真实性的方法和设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105743647A (zh) * 2016-03-17 2016-07-06 西安电子科技大学 空间信息网跨域的广播认证方法
CN105743647B (zh) * 2016-03-17 2019-01-08 西安电子科技大学 空间信息网跨域的广播认证方法

Also Published As

Publication number Publication date
US8386790B2 (en) 2013-02-26
US20110208971A1 (en) 2011-08-25
DE102011011652B4 (de) 2013-04-04
CN102170352B (zh) 2014-06-18
DE102011011652A1 (de) 2012-03-15

Similar Documents

Publication Publication Date Title
CN102170352B (zh) 使用具有温特尼茨单次签名的ecdsa的方法
Feng et al. P2BA: A privacy-preserving protocol with batch authentication against semi-trusted RSUs in vehicular ad hoc networks
CN107707360B (zh) 物联网环境下的异构聚合签密方法
CN108551392B (zh) 一种基于sm9数字签名的盲签名生成方法及系统
US8397062B2 (en) Method and system for source authentication in group communications
Biswas et al. ID-based safety message authentication for security and trust in vehicular networks
US8661240B2 (en) Joint encryption of data
US7721102B2 (en) System and method for detecting exposure of OCSP responder's session private key
CN110086599B (zh) 基于同态变色龙哈希函数的哈希计算方法及签密方法
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
JP2009526411A5 (zh)
KR100635280B1 (ko) 전자 서명을 이용한 보안 방법
CN104079412B (zh) 基于智能电网身份安全的无可信pkg的门限代理签名方法
Shim Reconstruction of a secure authentication scheme for vehicular ad hoc networks using a binary authentication tree
CN103634796A (zh) 一种空天信息网络漫游可信安全接入方法
Zhang et al. A Novel Privacy‐Preserving Authentication Protocol Using Bilinear Pairings for the VANET Environment
CN112989436B (zh) 一种基于区块链平台的多重签名方法
Weimerskirch et al. Identity certified authentication for ad-hoc networks
Ogundoyin An Efficient, Secure and Conditional Privacy-Preserving Authentication Scheme for Vehicular Ad-hoc Networks.
Yan et al. Edge-Assisted Hierarchical Batch Authentication Scheme for VANETs
CN109766716A (zh) 一种基于可信计算的匿名双向认证方法
Tseng et al. A robust user authentication scheme with self‐certificates for wireless sensor networks
Nkurunziza et al. ECAAP‐SG: Efficient certificateless anonymous authentication protocol for SG
Ding et al. Equipping smart devices with public key signatures
Fan et al. Strongly secure certificateless signature scheme supporting batch verification

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant