CN102571354A - 一种数字签名及其验证方法和系统 - Google Patents

Abstract

本发明提供一种数字签名及其验证方法和系统，涉及信息安全领域，包括：确定多个域中各域的公共系统参数；对于多个域中的任一域确定域内主密钥，并根据所述主密钥和所述公共系统参数确定域内公共参数；根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名；根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证。所述系统包括：验证设备和被验证设备。本发明通过每个域都有不同的主密钥，每个域独立地为域内设备分配私钥，进而实现签名和验证，无须整个网络共享一个主密钥，解决了密钥托管问题。

Description

一种数字签名及其验证方法和系统

技术领域

本发明涉及信息安全领域，特别涉及一种数字签名及其验证方法和系统。

背景技术

非对称密码算法是网络安全的基础，一般的非对称密码算法，如RSA、DSA(DigitalSignature Algorithm，数字签名算法)等，需要在互联网上添加额外的管理机制，来维护和传输公钥信息。

目前，研究人员提出了基于身份的非对称密码算法。在这种密码算法中，公钥就是网络实体的标识，如IPv4/IPv6地址、Email地址等。这样便避免了增加额外机制带来的部署代价和带宽、存储开销。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：基于身份的非对称密码算法往往要求整个网络共享同一个主密钥，这不可避免地引起了密钥托管问题。

发明内容

为了解决密钥托管问题，本发明实施例提供了一种数字签名及其验证方法和系统。所述技术方案如下：

一种数字签名及其验证方法，所述方法包括：

确定多个域中各域的公共系统参数；

对于多个域中的任一域确定域内主密钥，并根据所述主密钥和所述公共系统参数确定域内公共参数；

根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；

根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名；

根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证。

一种数字签名及其验证系统，所述系统包括：验证设备和被验证设备；

所述被验证设备包括：公共参数确定模块、域内参数确定模块、密钥确定模块、和签名模块；

所述验证设备包括：公共参数确定模块、域内参数确定模块、和验证模块；

所述公共参数确定模块，用于确定多个域中各域的公共系统参数；

所述域内参数确定模块，用于对于多个域中的任一域确定域内主密钥，并根据所述主密钥和所述公共系统参数确定域内公共参数；

所述密钥确定模块，用于根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；

所述签名模块，用于根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名；

所述验证模块，用于根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证。

本发明实施例提供的技术方案的有益效果是：

每个域都有不同的主密钥，每个域独立地为域内设备分配私钥，进而实现签名和验证，无须整个网络共享一个主密钥，解决了密钥托管问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的数字签名及其验证方法流程图；

图2是本发明一个实施例提供的数字签名及其验证系统示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例1

参见图1，本实施例提供了一种数字签名及其验证方法，该方法包括：

101：确定多个域中各域的公共系统参数；

本步骤具体包括步骤1011-1015：

1011：选择间隙迪菲赫尔曼群(Gap Diffie-Hellman Groups)G，G的阶为大素数l，G同时是一个加法循环群，G的生成元为P。

1012：选择乘法循环群G_T。

1013：选择映射e：G×G→G_T，表示将G中的任意两个元素映射成G_T中的一个元素，映射e满足下列条件：

双线性：

且

e(aQ，bR)＝e(Q，R)^ab成立，即任取G中的两个元素Q，R，以及任取模l的完全同余类

中的两个元素a，b，关系式e(aQ，bR)＝e(Q，R)^ab成立，则满足双线性。

非退化性：

满足e(Q，R)≠1，其中，G_T的单位圆记为1，即G中的任意两个元素都不能映射为一个单位圆，则满足非退化性。

计算有效性：对

存在计算e(Q，R)的有效算法，即对于G中的任意两个元素，如果存在计算e(Q，R)的有效算法，则满足计算有效性。

1014：选择两个杂凑函数第一杂凑函数和第二杂凑函数。

第一杂凑函数

表示将{0，1}^*中的任一元素和G中的任一元素映射成

中的一个元素。其中，{0，1}^*表示0，1组成的字符串，

表示模l的完全同余类

去掉与0模l同余之后的剩余元素。

第二杂凑函数H₂：{0，1}^*→G^*，表示将{0，1}^*中的任一元素映射成G^*中的一个元素。其中，{0，1}^*表示0，1组成的字符串，G^*表示把G中的单位圆(记为0)去掉之后的剩余元素。

1015：定义公共系统参数为π_s＝(G，G_T，l，P，e，H₁，H₂)，即G，G_T，l，P，e，H₁，H₂这些参数的集合为公共系统参数π_s。

102：对于多个域中的任一域确定域内主密钥，并根据主密钥和公共系统参数确定域内公共参数；

对于任一域i，域运营人员随机选择主密钥

即随机从

中选择一个元素作为域i的主密钥s_i。

根据R_i＝s_iP，确定域内公共参数，其中，R_i为域内公共参数，s_i为域i的主密钥，P为公共系统参数中的间隙迪菲赫尔曼群的生成元。定义域内公共参数为π_i＝{R_i}，即R_i的集合为域内公共参数。

103：根据公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；

根据Q_ij＝H₂(Id_ij)，确定域中网络实体的公钥，并根据D_ij＝s_iH₂(Id_ij)，确定域中网络实体的私钥，

其中，Id_ij为域i中网络实体j的标签，s_i为域i的主密钥，H₂为公共系统参数中的第二杂凑函数，Q_ij为公钥，D_ij为私钥。

104：根据公共系统参数，使用公钥和私钥对消息进行签名；

本步骤具体包括步骤2041-2044：

1041：选择随机数

即从

中选择一个随机数w_ij；

1042：根据公式U_ij＝w_ijP，生成第一参数U_ij；

1043：根据公式V_ij＝w_ijQ_ij+H₁(m_ij，U_ij)D_ij，生成第二参数V_ij；

其中，m_ij为消息。

1044：由第一参数和第二参数组成的有序偶，作为消息m_ij的签名σ_ij。

公式表示如下：

σ_ij＝(U_ij，V_ij)＝(w_ijP，w_ijQ_ij+H₁(m_ij，U_ij)D_ij)

105：根据公共系统参数域内公共参数、和公钥对签名进行验证；

1051：根据映射e，计算第一映射结果和第二映射结果；

给定签名σ_ij＝(U_ij，V_ij)和消息m_ij，消息m来自于标签Id_ij，域i内的公共参数为π_i＝{R_i}，计算h_ij＝H₁(m_ij，U_ij)，则第一映射结果为e(Q_ij，U_ij+h_ijR_i)，第二映射结果为e(P，V_ij)。

1052：判断第一映射结果和第二映射结果是否相等，如果相等，则签名正确，否则，签名不正确。

具体的，如果e(Q_ij，U_ij+h_ijR_i)＝e(P，V_ij)成立，则签名正确，否则，签名不正确。

为了进一步减小密码算法的计算和带宽开销，本实施例还提供了聚合签名和聚合验证功能，具体包括：

106：聚合签名；

对于k个签名(U_ii，V_ii)，分别为(U₁₁，V₁₁)，…，(U_kk，V_kk)，设各个签名对应的标签和消息依次为Id₁₁，m₁₁；…；Id_kk，m_kk，其中Id₁₁，…，Id_kk两两处于不同的域内，计算输出聚合签名σ＝(U₁₁，…，U_kk，V)。

其中，U_ii为第i个签名的第一参数，V_ii为第i个签名的第二参数，具体生成过程参见步骤104，这里不再赘述。

107：聚合签名验证；

给定一个聚合签名σ，计算公钥Q_ii＝H₂(Id_ii)，h_ii＝H₁(m_ii，U_ii)，i＝1，…，k。当且仅当

时，聚合签名正确，否则，聚合签名不正确。

下面给出新型密码算法中聚合签名、聚合验证的正确性证明。

证明.因为G是阶为l加法循环群，生成元是P，H₂(ID_ii)∈G^*，i＝1，…，k，所以可以假设H₂(ID_ii)＝a_iP，

i＝1，…，k。则有，

$\left(1\right)e(P,V)=e(P,{\mathrm{\Σ}}_{i=1}^k{V}_{\mathrm{ii}})=e(P,{\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{Q}_{\mathrm{ii}}+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)D_{\mathrm{ii}}))$

$=e(P,{\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{H}_2\left({\mathrm{ID}}_{\mathrm{ii}}\right)+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{H}_2\left({\mathrm{ID}}_{\mathrm{ii}}\right)))$

$=e(P,{\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{a}_{i}P+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_{i}P))$

$=e(P,P\left({\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{a}_i+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_i)\right))$

因为e具有双线性，即e(aQ，bR)＝e(Q，R)^ab

所以 $e(P,V)=e{(P,P)}^{\left({\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{a}_i+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_i)\right)}$

$\left(2\right){\mathrm{\Π}}_{i=1}^{k}e(Q_{\mathrm{ii}},U_{\mathrm{ii}}+h_{\mathrm{ii}}{R}_i)={\mathrm{\Π}}_{i=1}^{k}e(H_2\left({\mathrm{ID}}_{\mathrm{ii}}\right),w_{\mathrm{ii}}P+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_{i}P)$

${=\mathrm{\Π}}_{i=1}^{k}e(a_{i}P,(w_{\mathrm{ii}}+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i)P)$

因为e具有双线性，即e(aQ，bR)＝e(Q，R)^ab

所以 ${\mathrm{\Π}}_{i=1}^{k}e(Q_{\mathrm{ii}},U_{\mathrm{ii}}+h_{\mathrm{ii}}{R}_i)={\mathrm{\Π}}_{i=1}^{k}e{(P,P)}^{a_i(w_{\mathrm{ii}}+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i)}$

$={\mathrm{\Π}}_{i=1}^{k}e{(P,P)}^{(w_{\mathrm{ii}}{a}_i+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_i)}$

因为e(P，P)∈G_T，G_T是一个乘法循环群，

所以 ${\mathrm{\Π}}_{i=1}^{k}e(Q_{\mathrm{ii}},U_{\mathrm{ii}}+h_{\mathrm{ii}}{R}_i)={\mathrm{\Π}}_{i=1}^{k}e{(P,P)}^{(w_{\mathrm{ii}}{a}_i+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_i)}$

$=e{(P,P)}^{\left({\mathrm{\Σ}}_{i=1}^k(w_{\mathrm{ii}}{a}_i+H_1(m_{\mathrm{ii}},w_{\mathrm{ii}}P)s_i{a}_i)\right)}$

由(1)和(2)可知，如果消息m₁₁，…，m_kk或聚合签名σ被篡改，那么必有

成立，所以推广后的聚合签名和签名验证算法正确。

本实施例中，每个域都有不同的主密钥，每个域独立地为域内设备分配私钥，进而实现签名和验证，无须整个网络共享一个主密钥，解决了密钥托管问题。

实施例2

参见图2，本实施例提供了一种数字签名及其验证系统，系统包括：验证设备201和被验证设备202；

被验证设备202包括：公共参数确定模块10、域内参数确定模块20、密钥确定模块2021、和签名模块2022；

验证设备201包括：公共参数确定模块10、域内参数确定模块20、和验证模块2011；

公共参数确定模块10，用于确定多个域中各域的公共系统参数；

域内参数确定模块20，用于对于多个域中的任一域确定域内主密钥，并根据主密钥和公共系统参数确定域内公共参数；

密钥确定模块2021，用于根据公共系统参数和主密钥，确定域中网络实体的公钥及其相应的私钥；

签名模块2022，用于根据公共系统参数，使用公钥和私钥对消息进行签名；

验证模块2011，用于根据公共系统参数、域内公共参数、和公钥对签名进行验证。

其中，公共参数确定模块10，具体用于：

选择间隙迪菲赫尔曼群，间隙迪菲赫尔曼群是一个加法循环群，其阶为一大素数；

选择乘法循环群；

选择一映射，映射用于将间隙迪菲赫尔曼群中的任意两个元素映射成乘法循环群中的一个元素，映射满足双线性、非退化性、和计算有效性；

选择第一杂凑函数和第二杂凑函数，第一杂凑函数用于将{0，1}^*中的任一元素和间隙迪菲赫尔曼群中的任一元素映射成

中的一个元素，第二杂凑函数用于将{0，1}^*中的任一元素映射成G^*中的一个元素，其中，{0，1}^*表示0，1组成的字符串，

表示模l的完全同余类

去掉与0模l同余之后的剩余元素，G^*表示把间隙迪菲赫尔曼群中的单位圆去掉之后的剩余元素。

其中，域内参数确定模块20，具体用于：

根据R_i＝s_iP，确定域内公共参数，

其中，R_i为域内公共参数，s_i为域i的主密钥，P为公共系统参数中的间隙迪菲赫尔曼群的生成元。

其中，密钥确定模块2021，具体用于：

根据Q_ij＝H₂(Id_ij)，确定域中网络实体的公钥，并根据D_ij＝s_iH₂(Id_ij)，确定域中网络实体的私钥，

其中，Id_ij为域i中网络实体j的标签，s_i为域i的主密钥，H₂为公共系统参数中的第二杂凑函数，Q_ij为公钥，D_ij为私钥。

其中，签名模块2022，具体用于：

从

中选择一个随机数，

为模l的完全同余类；

根据公式U_ij＝w_ijP，生成第一参数，其中，U_ij为第一参数，w_ij为随机数，P为公共系统参数中的间隙迪菲赫尔曼群的生成元；

根据公式V_ij＝w_ijQ_ij+H₁(m_ij，U_ij)D_ij，生成第二参数，其中，V_ij为第二参数，Q_ij为公钥，D_ij为私钥，H₁为公共系统参数中的第一杂凑函数，m_ij为消息；

由第一参数和第二参数组成有序偶，将有序偶作为消息的签名。

其中，验证模块2011，具体用于：

根据公共系统参数中的映射，计算第一映射结果和第二映射结果，第一映射结果为e(Q_ij，U_ij+h_ijR_i)，第二映射结果为e(P，V_ij)，e为公共系统参数中的映射，Q_ij为公钥，U_ij为第一参数，h_ij＝H₁(m_ij，U_ij)，H₁为公共系统参数中的第一杂凑函数，m_ij为消息，R_i为域内公共参数，P为公共系统参数中的间隙迪菲赫尔曼群的生成元，V_ij为第二参数；

判断第一映射结果和第二映射结果是否相等，如果相等，签名正确，否则，签名不正确。

进一步，

签名模块2022，还用于：对于k个签名(U_ii，V_ii)，计算输出聚合签名(U₁₁，U_ii，…，U_kk，V)，其中，U_ii为第i个签名的第一参数，V_ii为第i个签名的第二参数；

验证模块2011，还用于：当时，聚合签名正确，否则，聚合签名不正确，其中，e为公共系统参数中的映射，P为公共系统参数中的间隙迪菲赫尔曼群的生成元，Q_ii为公钥，R_i为域内公共参数，h_ii＝H₁(m_ii，U_ii)，H₁为公共系统参数中的第一杂凑函数，m_ii为消息。

本实施例中，每个域都有不同的主密钥，每个域独立地为域内设备分配私钥，进而实现签名和验证，无须整个网络共享一个主密钥，解决了密钥托管问题。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种数字签名及其验证方法，其特征在于，所述方法包括：

确定多个域中各域的公共系统参数；

对于多个域中的任一域确定域内主密钥，并根据所述主密钥和所述公共系统参数确定域内公共参数；

根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；

根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名；

根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证。

2.根据权利要求1所述的方法，其特征在于，所述确定多个域中各域的公共系统参数，包括：

选择间隙迪菲赫尔曼群，所述间隙迪菲赫尔曼群是一个加法循环群，其阶为一大素数；

选择乘法循环群；

选择一映射，所述映射用于将所述间隙迪菲赫尔曼群中的任意两个元素映射成所述乘法循环群中的一个元素，所述映射满足双线性、非退化性、和计算有效性；

选择第一杂凑函数和第二杂凑函数，所述第一杂凑函数用于将{0，1}^*中的任一元素和所述间隙迪菲赫尔曼群中的任一元素映射成

中的一个元素，所述第二杂凑函数用于将{0，1}^*中的任一元素映射成G^*中的一个元素，其中，{0，1}^*表示0，1组成的字符串，

表示模l的完全同余类

去掉与0模l同余之后的剩余元素，G^*表示把所述间隙迪菲赫尔曼群中的单位圆去掉之后的剩余元素。

3.根据权利要求1所述的方法，其特征在于，所述根据所述主密钥和所述公共系统参数确定域内公共参数，包括：

根据R_i＝s_iP，确定域内公共参数，

其中，R_i为域内公共参数，s_i为域i的主密钥，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元。

4.根据权利要求1所述的方法，其特征在于，所述根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥，包括：

根据Q_ij＝H₂(Id_ij)，确定域中网络实体的公钥，并根据D_ij＝s_iH₂(Id_ij)，确定域中网络实体的私钥，

其中，Id_ij为域i中网络实体j的标签，s_i为域i的主密钥，H₂为所述公共系统参数中的第二杂凑函数，Q_ij为公钥，D_ij为私钥。

5.根据权利要求1所述的方法，其特征在于，所述根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名，包括：

从

中选择一个随机数，

为模l的完全同余类；

根据公式U_ij＝w_ijP，生成第一参数，其中，U_ij为第一参数，w_ij为随机数，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元；

根据公式V_ij＝w_ijQ_ij+H₁(m_ij，U_ij)D_ij，生成第二参数，其中，V_ij为第二参数，Q_ij为公钥，D_ij为私钥，H₁为所述公共系统参数中的第一杂凑函数，m_ij为消息；

由所述第一参数和所述第二参数组成有序偶，将所述有序偶作为消息的签名。

6.根据权利要求1所述的方法，其特征在于，所述根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证，包括：

根据所述公共系统参数中的映射，计算第一映射结果和第二映射结果，第一映射结果为e(Q_ij，U_ij+h_ijR_i)，第二映射结果为e(P，V_ij)，e为所述公共系统参数中的映射，Q_ij为公钥，U_ij为第一参数，h_ij＝H₁(m_ij，U_ij)，H₁为所述公共系统参数中的第一杂凑函数，m_ij为消息，R_i为域内公共参数，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元，V_ij为第二参数；

判断第一映射结果和第二映射结果是否相等，如果相等，签名正确，否则，签名不正确。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对于k个签名(U_ii，V_ii)，计算

输出聚合签名(U₁₁，U_ii，…，U_kk，V)，其中，U_ii为第i个签名的第一参数，V_ii为第i个签名的第二参数；

当

时，聚合签名正确，否则，聚合签名不正确，其中，e为所述公共系统参数中的映射，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元，Q_ii为公钥，R_i为域内公共参数，h_ii＝H₁(m_ii，U_ii)，H₁为所述公共系统参数中的第一杂凑函数，m_ii为消息。

8.一种数字签名及其验证系统，其特征在于，所述系统包括：验证设备和被验证设备；

所述被验证设备包括：公共参数确定模块、域内参数确定模块、密钥确定模块、和签名模块；

所述验证设备包括：公共参数确定模块、域内参数确定模块、和验证模块；

所述公共参数确定模块，用于确定多个域中各域的公共系统参数；

所述域内参数确定模块，用于对于多个域中的任一域确定域内主密钥，并根据所述主密钥和所述公共系统参数确定域内公共参数；

所述密钥确定模块，用于根据所述公共系统参数和所述主密钥，确定域中网络实体的公钥及其相应的私钥；

所述签名模块，用于根据所述公共系统参数，使用所述公钥和所述私钥对消息进行签名；

所述验证模块，用于根据所述公共系统参数、所述域内公共参数、和所述公钥对签名进行验证。

9.根据权利要求8所述的系统，其特征在于，所述签名模块，具体用于：

从

中选择一个随机数，

为模l的完全同余类；

根据公式U_ij＝w_ijP，生成第一参数，其中，U_ij为第一参数，w_ij为随机数，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元；

根据公式V_ij＝w_ijQ_ij+H₁(m_ij，U_ij)D_ij，生成第二参数，其中，V_ij为第二参数，Q_ij为公钥，D_ij为私钥，H₁为所述公共系统参数中的第一杂凑函数，m_ij为消息；

由所述第一参数和所述第二参数组成有序偶，将所述有序偶作为消息的签名。

10.根据权利要求8所述的系统，其特征在于，所述验证模块，具体用于：

根据所述公共系统参数中的映射，计算第一映射结果和第二映射结果，第一映射结果为e(Q_ij，U_ij+h_ijR_i)，第二映射结果为e(P，V_ij)，e为所述公共系统参数中的映射，Q_ij为公钥，U_ij为第一参数，h_ij＝H₁(m_ij，U_ij)，H₁为所述公共系统参数中的第一杂凑函数，m_ij为消息，R_i为域内公共参数，P为所述公共系统参数中的间隙迪菲赫尔曼群的生成元，V_ij为第二参数；

判断第一映射结果和第二映射结果是否相等，如果相等，签名正确，否则，签名不正确。

Images