CN103259661A - 基于离散对数的有向传递签名方法 - Google Patents

Abstract

本发明提出了基于离散对数的有向传递签名方法，所述方法包括系统设置、节点添加、节点删除、边签名运算、边签名合成、边签名验证、Hash运算、在线任务分配过程；所述Hash运算器将节点的秘密标签进行哈希运算后返回给节点添加器；节点删除器删除指向的节点，使节点从图中脱离；在线任务分配器处理签名或传递消息及发送请求。边签名运算器，边签名合成器，边签名验证器分别处理图中指定边的签名，不相邻边的签名合成和验证边签名的正确性。本发明利用节点秘密值构造出了方向状态函数，系统而又简单的标明了复杂有向图节点之间的方向关系，从而成功地构造了一个针对复杂有向图的有向传递签名方法，有效的解决了公开问题。

Description

基于离散对数的有向传递签名方法

技术领域

本发明属于信息安全技术领域，具体指的是基于离散对数的有向传递签名方法。

背景技术

数字签名技术正以惊人的速度发展，应用于不同领域的签名方案也层出不穷。然而，一般的签名方案对于某些特殊的情况，其效果并不理想。例如，在军事指挥系统中，当上级A向下级B下达命令时，为了保证命令的合法性，A必须向下级B证明它有权向其下达命令，即要求A提供一个权威机构T的签名（比如说是司令部的签名），用来证明A是B的上级。对于这个问题有两种做法：一种是由T为每对有“命令”关系的成员对发布一个签名。但这有一个明显的缺点，就是T必须亲自产生很多签名，而且每增加一个成员，就得为该成员与其他成员间的所有“命令”关系进行签名，这可能会增加许多签名。对于一个动态增长的群体来说，这样做的效率太低。另一种做法就是使用命令链。以军事指挥为例：军长A与连长B中间还有师长C、团长D、营长E、当A要向B下达命令时，他向B提供这样一个签名链：“A是C的上级”、“C是D的上级”、“D是E的上级”、“E是B的上级”。用这样的方式可以减少签名量，但又会带来另一个问题，这就是命令链会泄露一些不必要的细节，比如会泄露命令链的所有中间成员以及这些成员间的等级关系。也就是说，该部队组织结构会被泄露，这将给机密性带来额外的威胁。与军事指挥中的命令链相似的还有PKI中的证书链，电子政务中也有类似的情形。因此，构造高效安全的特殊签名方案就成了所关注的问题。

针对上述问题，2002年，Micali和Rivest形式化的提出了传递签名的概念，主要用于对上面描述的二元关系进行签名。他们在提出概念的同时，给出了第一个无向传递签名方案，简称MR02方案，并把构造有向传递签名方案作为一个公开问题。随后，Bellare和Neven在ASIACRYPT’02上提出了“结点签名范例”的概念，“节点签名范例”对构造有向传递签名非常重要。已提出的传递签名方案大部分都是无向传递签名方案，目前仅有少数有向传递签名方案，例如，Kuwakado和Tanaka提出了一个明文空间是有向树的有向传递签名方案。因为有向树是有向图的一个特例，所以该方案并没有完全解决MR02方案中提出的公开问题。黄振杰等提出了一个高效的全序有向传递签名方案，进一步将该方案与MR02方案结合，提出了一个可针对任何有向图进行签名的方案，简称为DTS-G方案。遗憾的是，DTS-G方案对于复杂的有向图来说效率不是太高。因此，提出一个高效的适用于复杂有向图的传递签名方案仍然是一个需要深入研究的公开问题。

传递签名的形式化定义：

传递签名方案由一个4元组(Ks,Kp,M,S)和4个算法(TKG,TSig,TVf,Comp)组成，其中Ks是私钥空间，Kp是公钥空间，M是明文空间，M是集合的一个可传递的二元关系，S是签名空间。4个算法定义如下：

TKG:{0,1}^k→Ks×Kp是用来生成密钥的一个随机算法，输入1^k，即长度为k的0，1比特串，输出密钥对(tpk,tsk)，k为安全参数。

TSign:Ks×M→S是签名算法，可以是确定性的，也可以是随机性的，输入私钥tsk和待签消息m，输出签名σ。

TVf:Kp×M×S→{1,0}是签名的验证算法，它是确定性的，输入公钥tpk和被签消息m及签名σ，当σ为m的有效签名时输出1，否则输出0。

Comp:Kp×M×S→{S,⊥}是签名的合成算法，它是确定性的，输入公钥tpk和被签消息m₁,m₂及签名σ₁,σ₂。当σ₁,σ₂是有效签名，则输出经过合成运算得到的签名σ'，否则输出⊥。

发明内容

本发明所要解决的技术问题在于克服现有技术的不足，提出基于离散对数的有向传递签名方法，所述方法利用方向状态函数表示复杂有向图节点之间的方向关系，使有向传递签名的明文空间扩大到了任意的复杂有向图，构造传递签名方法。所述方法的核心思想是构造方向状态函数以表示有向图的状态，即利用hash函数的单向性记录图中任意节点到相邻方向的hash并存储到方向状态函数表中，用于标明各个节点之间方向关系，进而可以根据方向状态函数表准确地表达有向图的状态。对于复杂的有向图的每一个节点来说，有多少个入度就有多少个方向状态。方向状态函数构造好以后就可以进行节点的加入操作和删除操作。对于新节点的加入操作，只需利用方向状态函数记录新节点与相邻节点的方向状态关系并更新方向状态函数表；对于节点的删除操作，只需在方向状态函数表中删除该节点与相邻节点的方向状态关系并更新方向状态函数表。

为了解决上述技术问题，本发明采用的技术方案如下：

基于离散对数的有向传递签名方法，具体包括如下步骤：

步骤A，系统参数生成：

选择大素数p和q，满足2^k'-1≤p<2^k'，q∣(p-1)，其中k'为安全参数，|表示整除；选择两个生成元g,

使得他人求h关于基g的离散对数计算上不可行的，其中

表示集合{1,2,…,p-2,p-1}；随机选择

作为私钥ssk，计算spk=g^xmodp，公布tpk=(p,q,g,spk)作为公钥；

步骤B，建立新节点：

为了添加新节点，利用签名算法TSign维持状态(V,l(i),Y(i),Σ(i),Δ(i))表示复杂有向图节点之间的映射关系和方向关系；

其中，

是节点集，N是正整数集；

函数l(i)：

映射节点i∈V到一个秘密的标签值

$l_i\&Element;Z_N^{*}=\{\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,N-2,N-1\};$

函数Y(i)：映射节点i∈V到一个公开的标签值Y_i；

函数Σ(i)：表示节点i∈V与标签值Y_i级联后的值i‖Y_i在密钥ssk下的标准签名，函数值记为Σ_i，其中符号‖表示两个字符串级联；

函数Δ(i)：表示节点i与相邻节点的方向状态关系，凡是指向节点i的节点，其秘密值都通过hash函数映射后存储在节点i的方向状态函数值Δ_i中；

其步骤如下：

步骤B-1：在线任务分配器向节点添加器申请添加新的节点，并传输此节点的父节点集合；

步骤B-2：节点添加器将新节点的父节点集合所有秘密标签值传输给HASH运算器，询问相应的哈希值；

步骤B-3：HASH运算器对每个标签l_k计算hash(l_k)，并存储在节点i的方向状态函数值Δ_i中，节点k是节点i的父节点；将Δ_i返回给节点添加器；

步骤B-4：节点添加器将节点计数加1，V←V∪{i}，随机选择秘密标签值

并计算

Σ_i←SSign(ssk,(i‖Y_i))，即以密钥ssk作为输入，使用标准签名算法SSign对i‖Y进行签名；对节点i的任意父节点的秘密标签值l_k，询问HASH运算器得到hash(l_k)，那么i节点的方向状态函数值为Δ_i=(hash(l₁),…,hash(l_t))；公布节点i的签名值C_i给在线任务分配器C_i=(i,Y_i,Σ_i,Δ_i)；

步骤C，删除节点：其过程如下：

步骤C-1：在线任务分配器传递需要删除的节点的编号给节点删除器；

步骤C-2：节点删除器执行，其过程如下：

设n为已经建立的节点数，将n减1；V←V\{i}，即从节点集合V中删除一个节点i；删除随机选择秘密标签值l_i，以及节点i的签名值C_i=(i,Y_i,Σ_i,Δ_i)；更新节点i指向的节点的方向状态函数，即把节点i指向节点的方向状态函值里面存储的hash(l_i)删去；删除一切跟节点i有关的边的签名；

步骤D，边签名：

步骤D-1：边签名运算器，其过程如下：

首先判定边(i,j)的方向关系，如果节点j的方向状态函数值里有一个值等于hash(l_i)，则边(i,j)的方向关系是i指向j；如果节点i的方向状态函数值里有一个值等于hash(l_j)，则边(i,j)的方向关系是j指向i；如果边(i,j)的方向关系是i指向j，TSign发布3元组σ=(C_i,C_j,δ)，σ=(C_i,C_j,δ)作为边(i,j)的签名给在线任务分配器，其中δ=(l_i-l_j)modq；

步骤D-2：如果节点j的方向状态函数值里没有值等于hash(l_i)，并且节点i的方向状态函数值里没有值等于hash(l_j)，那么这两个节点则不是相邻节点，则转向步骤F，调用签名合成运算器；

步骤E，边签名验证：

步骤E-1：在线任务分配器将待验证消息签名发送给验证者；

步骤E-2：边签名验证器，其过程如下：

给定输入tpk=(p,q,g,spk)，节点i,j的签名值和边(i,j)的签名σ，任何人可通过验证下面的规则来验证(i,j)的签名：

如果SVf(spk,i‖Y_i,Σ_i)=1且SVf(spk,j‖Y_j,Σ_j)=1，返回1，否则返回0，其中SVf表示标准签名验证算法；

如果Y_i(Y_j)^-1=g^δmodp，返回1，否则返回0；

如果同时满足上述验证过程则返回1，否则返回0；

步骤F，合成边签名：

边签名合成器，其过程如下：

给定节点i,j,k的签名值和边(i,j)的签名(C_i,C_j,δ₁)，边(j,k)的签名(C_j,C_k,δ₂)，计算边(i,k)的签名(C_i,C_k,δ₃)，其中，δ₃=δ₁+δ₂，δ₁=(l_i-l_j)modq，δ₂=(l_j-l_k)modq。

本发明的有益效果是：本发明提出了基于离散对数的有向传递签名方法，所述方法包括系统设置、节点添加、节点删除、边签名运算、边签名合成、边签名验证、Hash运算、在线任务分配过程；所述Hash运算器将节点的秘密标签进行哈希运算后返回给节点添加器；节点删除器删除指向的节点，使节点从图中脱离；在线任务分配器处理签名或传递消息及发送请求。边签名运算器，边签名合成器，边签名验证器分别处理图中指定边的签名，不相邻边的签名合成和验证边签名的正确性。本发明利用节点秘密值构造出了方向状态函数，系统而又简单的标明了复杂有向图节点之间的方向关系，从而成功地构造了一个针对复杂有向图的有向传递签名方法，有效的解决了公开问题。

附图说明

图1是本发明的方法流程图。

具体实施方式

下面结合附图，对本发明提出的基于离散对数的有向传递签名方法进行详细说明：

首先给出一个MR02方案简单流程。

如图1所示，基于离散对数的有向传递签名方案包括系统设置、建立新节点、边签名、边签名验证、合成边签名。

1、系统设置：

签名者选择一个用于对节点进行签名的标准数字签名方案，和一对公钥/私钥对，并发布公钥。为对边进行签名，选择两个大素数p和q，满足q∣(p-1)；选择两个生成元g,

使得他人求h关于基g的离散对数计算上不可行的，其中

表示集合{1,2,…,p-2,p-1}，p是大素数。

2、建立新节点：

如果签名者要建立一个新的节点并将它加入到图中，执行如下步骤：

设n-1为已经建立的节点数，将n-1加1；随机选择x_n,y_n∈Z_q，并计算其中其中Z_q表示集合{0,1,2,…,q-2,q-1}；签署并发布这样的一个陈述：“图中的第n个节点用值v_n表示。（这个消息用点签名算法签名，在这里值v_n以明文形式给出，值x_n和y_n作为秘密值由签名者保存）。

3、边签名：

为对连接节点i和节点j的边(i,j)签名，签名者计算并发布如下的4元组：

(i,j,α_ij,β_ij)

其中α_ij=x_i-x_j(modq)，β_ij=y_i-y_j(modq)。

4、边签名验证：

任何人可通过验证下面的等式来验证(i,j)的签名：

$v_i=v_j{g}^{{\mathrm{\&alpha;}}_{\mathrm{ij}}}{h}^{{\mathrm{\&beta;}}_{\mathrm{ij}}}\left(\mathrm{mod}p\right)$

5、合成边签名：

给定边(i,j)的签名(i,j,α_ij,β_ij)和边(j,k)的签名(j,k,α_jk,β_jk)，任何人可以计算边(i,k)的签名(i,k,α_ik,β_ik)，其中α_ik=α_ij+α_jk(modq)，β_ik=β_ij+β_jk(modq)。

但是该方法有一个非常大的缺点：MR02方案，适用的是动态增长的图，不支持节点动态增长和缩减的图。

因此，本发明给出一个改进的基于离散对数的有向传递签名方法，不但可支持节点增长也可支持节点删除，适用于动态增长或是缩减的图。为了解决这一问题，根据系统模块流程图，即图1，给出本发明的具体步骤：

系统参数生成模块：

签名者选择一个用于对节点进行签名的安全的标准数字签名方案SDS=(SKG,SSign,SVf)，其中SKG是一个多项式时间密钥生成算法，SSign是签名算法，SVf是验证算法。选择大素数p和q，满足2^k'-1≤p<2^k'，q∣(p-1)，其中k'为安全参数，|表示整除；选择两个生成元g,使得他人求h关于基g的离散对数计算上不可行的，其中表示集合{1,2,…,p-2,p-1}；随机选择

作为私钥ssk，计算spk=g^xmodp，公布tpk=(p,q,g,spk)作为公钥；

建立新节点模块：

为了添加新节点，利用签名算法TSign维持状态(V,l(i),Y(i),Σ(i),Δ(i))表示复杂有向图节点之间的映射关系和方向关系，其中

是节点集，N是正整数集；函数l(i)：

映射节点i∈V到一个秘密的标签值 $l_i\&Element;Z_N^{*}=\{\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,N-2,N-1\};$ 函数Y(i)： $V\&RightArrow;Z_N^{*}=\{\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;N-2,N-1\}$ 映射节点i∈V到一个公开的标签值Y_i；函数Σ(i)：表示节点i∈V与标签值Y_i级联后的值i‖Y_i在密钥ssk下的标准签名，函数值记为Σ_i，其中符号‖表示两个字符串级联；函数Δ(i)：表示节点i与相邻节点的方向状态关系，凡是指向节点i的节点，其秘密值都通过hash函数映射后存储在节点i的方向状态函数值Δ_i中。

步骤1：在线任务分配器向节点添加器申请添加新的节点，并传输此节点的父节点集合；

步骤2：节点添加器将新节点的父节点集合所有的秘密的标签值l_k传输给HASH运算器，询问相应的哈希值，其中,k=1,2,…,t，t是秘密标签值的最大取值范围；

步骤3：HASH运算器对每个标签l_k计算hash(l_k)，并存储在节点i的方向状态函数值Δ_i中，将结果返回给节点添加器；

步骤4：节点添加器将节点计数加1，V←V∪{i}，随机选择秘密值 $l_i\&Element;Z_N^{*}=\{\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,N-2,N-1\},$ 并计算 $Y_i=g^{l_i}\mathrm{mod}p,$ Σ_i←SSign(ssk,(i‖Y_i))，即密钥ssk为输入，使用标准签名算法SSign对(i‖Y_i)进行签名；对节点i的任意父节点的秘密标签值l_k，询问HASH运算器得到hash(l_k)，那么i节点的方向状态函数值为Δ_i=(hash(l₁),…,hash(l_t))；公布节点i的签名值C_i给在线任务分配器，其中C_i=(i,Y_i,Σ_i,Δ_i)。

删除节点模块：

步骤5：在线任务分配器传递需要删除的节点的编号给节点删除器；

步骤6：节点删除器执行：设n为已经建立的节点数，将n减1；V←V\{i}，即从节点集合V中删除一个节点i；删除随机选择秘密值

以及节点i的签名值C_i=(i,Y_i,Σ_i,Δ_i)；更新节点i指向的节点的方向状态函数，即把节点i指向节点的方向状态函值里面存储的hash(l_i)删去；删除一切跟节点i有关的边的签名；

边签名模块：

步骤7：边签名运算器：首先判定边(i,j)的方向关系，如果节点j的方向状态函数值里有一个值等于hash(l_i)，则边(i,j)的方向关系是i指向j；如果节点i的方向状态函数值里有一个值等于hash(l_j)，则边(i,j)的方向关系是j指向i。不失一般性，如果边(i,j)的方向关系是i指向j，TSign计算并发布如下的3元组：σ=(C_i,C_j,δ)，其中δ=(l_i-l_j)modq。公布σ=(C_i,C_j,δ)作为边(i,j)的签名给在线任务分配器；

步骤8：如果节点j的方向状态函数值里没有值等于hash(l_i)，并且节点i的方向状态函数值里没有值等于hash(l_j)，那么这两个节点则不是相邻节点，则转向步骤11，调用签名合成运算器；

边签名验证模块：

步骤9：在线任务分配器将待验证消息签名发送给验证者；

步骤10：边签名验证器：给定输入tpk=(p,q,g,spk)，节点i,j的签名值和边(i,j)的签名σ，任何人可通过验证下面的等式来验证(i,j)的签名：如果SVf(spk,i‖Y_i,Σ_i)=1且SVf(spk,j‖Y_j,Σ_j)=1，返回1，否则返回0，其中SVf表示标准签名验证算法；如果Y_i(Y_j)^-1=g^δmodp，返回1，否则返回0；

如果同时满足上述验证过程则返回1，否则返回0。

合成边签名模块：

步骤11：边签名合成器：给定节点i,j,k的签名值和边(i,j)的签名(C_i，C_j,δ₁)，边(j,k)的签名(C_j,C_k,δ₂)，可以计算边(i,k)的签名(C_i,C_k,δ₃)其中δ₃=δ₁+δ₂；

方法比较

本发明方法与原方法，在无向传递签名方案中，合成步骤需要分几种情况来讨论节点i,j,k之间的关系。但在本方案中，因为在边签名中，各个节点间的方向关系已经确定下来了，因此合成的时候不再需要考虑节点间的关系。

下面将对如上所述的依照本发明的传递签名系统应用于军事中的情形进行说明。

依照本发明的步骤，当在XXX军队使用本发明的传递签名系统时候，系统参数生成模块可生成系统参数，可以将XXX军队的每个下属军区看成图中的一个节点，则各个军区的添加和动态调整对签名系统的变化没有影响。整个签名从上层传达至下层依然有效。不用重新启用系统。

所以，本发明带来的有益效果是：极大的提高系统的灵活性，使签名节点的加入和删除都容易实现，实现动态的节点加入和删除，且在本方案中，因为在边签名中，各个节点间的方向关系已经确定下来了，因此合成签名的时候不再需要考虑节点间的关系。

对该技术领域的普通技术人员来说，根据以上实施类型可以很容易的联想到其他的优点和变形，因此，本发明并不局限于上述具体实施例，其仅仅作为例子对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (1)

1.基于离散对数的有向传递签名方法，其特征在于，具体包括如下步骤：

步骤A，系统参数生成：

选择大素数p和q，满足2^k'-1≤p<2^k'，q∣(p-1)，其中k'为安全参数，|表示整除；选择两个生成元g,使得他人求h关于基g的离散对数计算上不可行的，其中

表示集合{1,2,…,p-2,p-1}；随机选择作为私钥ssk，计算spk=g^xmodp，公布tpk=(p,q,g,spk)作为公钥；

步骤B，建立新节点：

为了添加新节点，利用签名算法TSign维持状态(V,l(i),Y(i),Σ(i),Δ(i))表示复杂有向图节点之间的映射关系和方向关系；

其中，

是节点集，N是正整数集；

函数l(i)：

映射节点i∈V到一个秘密的标签值

$l_i\&Element;Z_N^{*}=\{\mathrm{1,2},\&CenterDot;\&CenterDot;\&CenterDot;,N-2,N-1\};$

函数Y(i)：

映射节点i∈V到一个公开的标签值Y_i；

函数Σ(i)：表示节点i∈V与标签值Y_i级联后的值i‖Y_i在密钥ssk下的标准签名，函数值记为Σ_i，其中符号‖表示两个字符串级联；

函数Δ(i)：表示节点i与相邻节点的方向状态关系，凡是指向节点i的节点，其秘密值都通过hash函数映射后存储在节点i的方向状态函数值Δ_i中；

其步骤如下：

步骤B-1：在线任务分配器向节点添加器申请添加新的节点，并传输此节点的父节点集合；

步骤B-2：节点添加器将新节点的父节点集合所有秘密标签值传输给HASH运算器，询问相应的哈希值；

步骤B-3：HASH运算器对每个标签l_k计算hash(l_k)，并存储在节点i的方向状态函数值Δ_i中，节点k是节点i的父节点；将Δ_i返回给节点添加器；

步骤B-4：节点添加器将节点计数加1，V←V∪{i}，随机选择秘密标签值

并计算

Σ_i←SSign(ssk,(i‖Y_i))，即以密钥ssk作为输入，使用标准签名算法SSign对i‖Y进行签名；对节点i的任意父节点的秘密标签值l_k，询问HASH运算器得到hash(l_k)，那么i节点的方向状态函数值为Δ_i=(hash(l₁),…,hash(l_t))；公布节点i的签名值C_i给在线任务分配器C_i=(i,Y_i,Σ_i,Δ_i)；

步骤C，删除节点：其过程如下：

步骤C-1：在线任务分配器传递需要删除的节点的编号给节点删除器；

步骤C-2：节点删除器执行，其过程如下：

设n为已经建立的节点数，将n减1；V←V\{i}，即从节点集合V中删除一个节点i；删除随机选择秘密标签值l_i，以及节点i的签名值C_i=(i,Y_i,Σi,Δ_i)；更新节点i指向的节点的方向状态函数，即把节点i指向节点的方向状态函值里面存储的hash(l_i)删去；删除一切跟节点i有关的边的签名；

步骤D，边签名：

步骤D-1：边签名运算器，其过程如下：

首先判定边(i,j)的方向关系，如果节点j的方向状态函数值里有一个值等于hash(l_i)，则边(i,j)的方向关系是i指向j；如果节点i的方向状态函数值里有一个值等于hash(l_j)，则边(i,j)的方向关系是j指向i；如果边(i,j)的方向关系是i指向j，TSign发布3元组σ=(C_i,C_j,δ)，σ=(C_i,C_j,δ)作为边(i,j)的签名给在线任务分配器，其中δ=(l_i-l_j)modq；

步骤D-2：如果节点j的方向状态函数值里没有值等于hash(l_i)，并且节点i的方向状态函数值里没有值等于hash(l_j)，那么这两个节点则不是相邻节点，则转向步骤F，调用签名合成运算器；

步骤E，边签名验证：

步骤E-1：在线任务分配器将待验证消息签名发送给验证者；

步骤E-2：边签名验证器，其过程如下：

给定输入tpk=(p,q,g,spk)，节点i,j的签名值和边(i,j)的签名σ，任何人可通过验证下面的规则来验证(i,j)的签名：

如果SVf(spk,i‖Y_i,Σ_i)=1且SVf(spk,j‖Y_j,Σ_j)=1，返回1，否则返回0，其中SVf表示标准签名验证算法；

如果Y_i(Y_j)^-1=g^δmodp，返回1，否则返回0；

如果同时满足上述验证过程则返回1，否则返回0；

步骤F，合成边签名：

边签名合成器，其过程如下：

给定节点i,j,k的签名值和边(i,j)的签名(C_i,C_j,δ₁)，边(j,k)的签名(C_j,C_k,δ₂)，计算边(i,k)的签名(C_i,C_k,δ₃)，其中，δ₃=δ₁+δ₂，δ₁=(l_i-l_j)modq，δ₂=(l_j-l_k)modq。

Images