CN104780047A - 前向安全的无证书可验证加密签名方法 - Google Patents

Abstract

本发明提供了一种前向安全的无证书可验证加密签名方法，属于计算机网络与信息安全技术领域。本发明将时间戳嵌入到无证书签名算法的秘密值中，并对不使用的秘密值进行安全删除，让签名密钥演进跟数字签名真正的结合起来；改变了传统无证书签名算法顺序，将设置秘密值放在部分私钥生成之前产生，同时将公钥绑定到Hash函数中，加强了签名算法中参数的关联程度，抵抗无证书环境的两类敌手攻击；生成的可验证加密签名中包含用户秘密值，也具有前向安全性；签名方案的运算量少，签名长度短，整体性能上有优势。本发明前向安全的无证书可验证加密签名方法具有很高的安全性和公平性。

Description

前向安全的无证书可验证加密签名方法

技术领域

本发明是一种适用于在线合约签署的无证书可验证加密签名方法，属于计算机网络与信息安全技术领域。

背景技术

在开放的互联网时代，电子商务在经济活动中的应用越来越多，通过Internet进行合约签署已经渐渐成为一个普遍的经济形式，如何在开放的网络环境中保证合约签署的安全性、公平性显得尤为重要，这就需要安全的数字签名算法。数字签名算法是基于公钥密码体制的，身份基公钥密码体制是将用户身份信息作为用户公钥，虽然简化了公钥证书的发放和管理问题，但是存在密钥托管问题。无证书公钥密码体制中，签名私钥是由密钥生成中心(KGC)生成的部分私钥和用户自己选取的秘密值组成，克服了身份基公钥密码体制中的密钥托管问题。所以目前很多数字签名方案都是基于无证书公钥密码体制提出来的。

在线合约签署是指两个互相不信任的参与方希望通过Internet公平的交换彼此的数字签名，一个数字签名的方案应该提供强公平性，以保证交换过程结束后，要么每一方都得到了对方对于某一合同的有效签名，要么任何一方都不能得到对方的签名。

但是现在大多数应用于在线合约签署的签名方案存在一些问题，主要包括：

(1)两类敌手攻击

一种是不诚实的用户，可以替换用户公钥；一种是恶意的KGC，知道系统主密钥。目前很多无证书签名算法不能同时抵抗这两类敌手的攻击。

(2)可验证性和可恢复性

某些签名方案中，恶意的签名者很容易产生虚假的可验证加密签名，并能够向任何验证者证明该签名是有效的，但指定的仲裁者并不能把该签名转换成签名者的普通签名。

(3)前向安全性

一旦签名方案的密钥泄露后，之前签署合同的安全性将受到严重危害。

在开放的网络环境中，迫切需要构造一种可以同时抵抗无证书环境下两类敌手攻击，满足可验证加密签名的可验证性和可恢复性，并具有前向安全的无证书可验证加密签名方法。

发明内容

本发明针对上述现有技术存在的问题作出改进，本发明结合前向安全技术和无证书密码体制构造了一种安全、有效的无证书可验证加密签名方法。

为了解决上述技术问题，本发明提供了如下的技术方案：

一种前向安全的无证书可验证加密签名方法,设定实际签名的私钥为一个和具体时间段有关的常数，并对不使用的密钥进行安全删除；改变了传统无证书签名算法顺序，增加算法中参数的关联程度；同时，争议发生时，通过仲裁者进行裁定。

具体步骤如下：S1.生成系统参数；设KGC公开参数params＝{G₁,G₂,e,q,P,P_pub,g,H₁,H₂}，其中G₁,G₂是阶为q，生成元为P的加法循环群和乘法循环群；e是双线性对G₁×G₁→G₂，P_pub＝sP是系统公钥,g＝e(P,P)；Hash函数为 $H_1\{{\left\{\mathrm{0,1}\right\}}^{*}\→G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_q^{*};$

S2.设置秘密值；用户随机选取作为用户的初始秘密值；

S3.秘密值进化；设签名密钥的有效期为T个时段，若系统进入到第j(1≤j≤T)时段，用户使用第j-1时段的秘密值x_j-1，计算然后从系统中立刻安全删除第j-1时段的用户秘密值x_j-1；计算X＝x_jP并将X发送给KGC；

S4.生成用户公钥；用户计算自己的公钥P_ID＝<P_IDX,P_IDY>＝<x_jP,x_jP_pub>；

S5.生成部分私钥；当给定用户唯一身份标示符ID和用户公钥PID，KGC先验证等式e(P,P_IDY)＝e(P_pub,P_IDX)是否成立；若成立，KGC计算D_ID＝sQ_ID，其中Q_ID＝H₁(ID||P_ID)，输出D_ID′＝D_ID+sX，并将D_ID′发送给用户；用户收到D_ID′后，计算部分私钥D_ID＝D_ID′-xP_pub＝D_ID′-sX＝sQ_ID；其中对运算e(P,P_IDY)、e(P_pub,P_IDX)和Q_ID＝H₁(ID||P_ID)都可以预先计算，在实际签名过程中不会增加运算量；

S6.生成用户私钥；身份为ID的用户通过数学函数生成其私钥对SK_ID＝(x_j,D_ID)；

S7.生成普通签名；已知用户ID的私钥SKID，公钥PKID，可以得到用户对消息m的签名σ＝(x_j+h)^-1D_ID∈G₁，其中h＝H₂(m||ID||PK_ID)；

S8.普通签名验证；给定签名σ＝(x_j+h)^-1D_ID∈G₁、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证e(σ,P_IDX+hP)＝e(Q_ID,P_pub)是否成立，成立则接受签名，否则拒绝该签名；

S9.仲裁者公私钥生成；仲裁者随机选取作为私钥SK_a，并计算仲裁者公钥PK_a＝yP；

S10.生成可验证加密签名；用户利用仲裁者的公钥PK_a对生成的普通签名σ加密，计算ω＝σ+(x_j+h)^-1x_jPK_a作为用户ID的可验证加密签名，其中h＝H₂(m||ID||PK_ID)；

S11.可验证加密签名验证；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，成立则接受签名，否则拒绝该签名；

S12.仲裁；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，仲裁者计算h＝H₂(m||ID||PK_ID)，然后检查e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，若不成立，则拒绝；否则利用自己的私钥SK_a计算σ＝ω-(P_IDX+hP)^-1P·SKa·P_IDX作为用户ID的普通签名。

有益效果：本发明与现有方案相比具有如下优点：

第一，本方案中改变了传统无证书签名算法顺序，将设置秘密值放在部分私钥生成之前产生，使签名者设置的秘密值成为KGC产生部分私钥的前置条件。另外，将签名者公钥绑定到Hash函数中，抵抗了对签名者的公钥替换攻击。同时加强了签名算法中参数的关联程度，以抵抗伪造性攻击。通过理论分析和论证，该方案能同时抵抗无证书环境下的两类敌手攻击。

第二，本方案中将时间戳嵌入到签名算法的秘密值中，并对不使用的密钥进行安全删除，让签名密钥演进跟数字签名真正的结合起来。保证了签名密钥的前向安全性和签名的前向安全性。

第三，本方案中签名者利用仲裁者的公钥对普通签名进行加密后发生给验证者，验证者可验证加密签名的真实性，但无法从中得到普通签名。争议发生时，验证者可将可验证加密签名发送给仲裁者，请求仲裁者恢复出签名者的普通签名。满足了可验证加密签名的可验证性和可恢复性，很好的保证在线合约签署的公平性。同时，生成的可验证加密签名中包含用户秘密值，也具有前向安全性。

第四，本方案不仅具有较高的安全性和公平性，计算效率也较高。通过分析可知，签名方案不需要特殊的哈希函数，运算量较少，签名的长度短。整体性能有优势。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明前向安全的无证书可验证加密签名方法的流程图；

图2为本发明签名方案中用户秘密值的演进图。

具体实施方式

如图1、2所示，本发明公开一种前向安全的无证书可验证加密签名方法，设定实际签名的私钥为一个和具体时间段有关的常数，并对不使用的密钥进行安全删除；同时，增加了一个可信的第三方作为仲裁者，争议发生时，通过仲裁者裁定。

具体步骤如下:(1)生成系统参数；设KGC公开参数params＝{G₁,G₂,e,q,P,P_pub,g,H₁,H₂}，其中G1,G2是阶为q，生成元为P的加法循环群和乘法循环群；e是双线性对G₁×G₁→G₂，P_pub＝sP是系统公钥,g＝e(P,P)；Hash函数为

$H_1\{{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;G_1,H_2:{\left\{\mathrm{0,1}\right\}}^{*}\&RightArrow;Z_q^{*};$

(2)设置秘密值；用户随机选取作为用户的初始秘密值；

(3)秘密值进化；设签名密钥的有效期为T个时段，若系统进入到第j(1≤j≤T)时段，用户使用第j-1时段的秘密值x_j-1，计算然后从系统中立刻安全删除第j-1时段的用户秘密值x_j-1；计算X＝x_jP并将X发送给KGC；

(4)生成用户公钥；用户计算自己的公钥P_ID＝<P_IDX,P_IDY>＝<x_jP,x_jP_pub>；

(5)生成部分私钥；当给定用户唯一身份标示符ID和用户公钥PID，KGC先验证等式e(P,P_IDY)＝e(P_pub,P_IDX)是否成立；若成立，KGC计算D_ID＝sQ_ID，其中Q_ID＝H₁(ID||P_ID)，输出D_ID′＝D_ID+sX，并将D_ID′发送给用户；用户收到D_ID′后，计算部分私钥D_ID＝D_ID′-xP_pub＝D_ID′-sX＝sQ_ID；其中对运算e(P,P_IDY)、e(P_pub,P_IDX)和Q_ID＝H₁(ID||P_ID)都可以预先计算，在实际签名过程中不会增加运算量；

(6)生成用户私钥；身份为ID的用户通过数学函数生成其私钥对SK_ID＝(x_j,D_ID)；

(7)生成普通签名；已知用户ID的私钥SKID，公钥PKID，可以得到用户对消息m的签名σ＝(x_j+h)^-1D_ID∈G₁，其中h＝H₂(m||ID||PK_ID)；

(8)普通签名验证；给定签名σ＝(x_j+h)^-1D_ID∈G₁、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证e(σ,P_IDX+hP)＝e(Q_ID,P_pub)是否成立，成立则接受签名，否则拒绝该签名；

(9)仲裁者公私钥生成；仲裁者随机选取作为私钥SK_a，并计算仲裁者公钥PK_a＝yP；

(10)生成可验证加密签名；用户利用仲裁者的公钥PK_a对生成的普通签名σ加密，计算ω＝σ+(x_j+h)^-1x_jPK_a作为用户ID的可验证加密签名，其中h＝H₂(m||ID||PK_ID)；

(11)可验证加密签名验证；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，成立则接受签名，否则拒绝该签名；

(12)仲裁；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，仲裁者计算h＝H₂(m||ID||PK_ID)，然后检查e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，若不成立，则拒绝；否则利用自己的私钥SK_a计算σ＝ω-(P_IDX+hP)^-1P·SKa·P_IDX作为用户ID的普通签名。

综上，本发明改变了传统无证书签名算法顺序，将设置秘密值放在部分私钥生成之前产生，使签名者设置的秘密值成为KGC产生部分私钥的前置条件。另外，将签名者公钥绑定到Hash函数中，抵抗了对签名者的公钥替换攻击。同时加强了签名算法中参数的关联程度，以抵抗伪造性攻击。通过理论分析和论证，该方案能同时抵抗无证书环境下的两类敌手攻击。方案中将时间戳嵌入到签名算法的秘密值中，并对不使用的密钥进行安全删除，让签名密钥演进跟数字签名真正的结合起来。保证了签名密钥的前向安全性和签名的前向安全性。本方案中签名者利用仲裁者的公钥对普通签名进行加密后发生给验证者，验证者可验证加密签名的真实性，但无法从中得到普通签名。争议发生时，验证者可将可验证加密签名发送给仲裁者，请求仲裁者恢复出签名者的普通签名。满足了可验证加密签名的可验证性和可恢复性，很好的保证在线合约签署的公平性。同时，生成的可验证加密签名中包含用户秘密值，也具有前向安全性。本方案不仅具有较高的安全性和公平性，计算效率也较高。通过分析可知，签名方案不需要特殊的哈希函数，运算量较少，签名的长度短。整体性能有优势。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种前向安全的无证书可验证加密签名方法，其特征在于，设定实际签名的私钥为一个和具体时间段有关的常数，并对不使用的密钥进行安全删除；改变了传统无证书签名算法顺序，增加算法中参数的关联程度；同时，争议发生时，通过仲裁者进行裁定。

2.根据权利要求1所述的前向安全的无证书可验证加密签名方法，其特征在于，具体步骤如下：

S1.生成系统参数；设KGC公开参数params＝{G₁,G₂,e,q,P,P_pub,g,H₁,H₂}，其中G₁,G₂是阶为q，生成元为P的加法循环群和乘法循环群；e是双线性对G₁×G₁→G₂，P_pub＝sP是系统公钥,g＝e(P,P)；Hash函数为H₁:{0,1}^*→G₁，

S2.设置秘密值；用户随机选取作为用户的初始秘密值；

S3.秘密值进化；设签名密钥的有效期为T个时段，若系统进入到第j(1≤j≤T)时段，用户使用第j-1时段的秘密值x_j-1，计算然后从系统中立刻安全删除第j-1时段的用户秘密值x_j-1；计算X＝x_jP并将X发送给KGC；

S4.生成用户公钥；用户计算自己的公钥P_ID＝<P_IDX,P_IDY>＝<x_jP,x_jP_pub>；

S5.生成部分私钥；当给定用户唯一身份标示符ID和用户公钥PID，KGC先验证等式e(P,P_IDY)＝e(P_pub,P_IDX)是否成立；若成立，KGC计算D_ID＝sQ_ID，其中Q_ID＝H₁(ID||P_ID)，输出D_ID′＝D_ID+sX，并将D_ID′发送给用户；用户收到D_ID′后，计算部分私钥D_ID＝D_ID′-xP_pub＝D_ID′-sX＝sQ_ID；其中对运算e(P,P_IDY)、e(P_pub,P_IDX)和Q_ID＝H₁(ID||P_ID)都可以预先计算，在实际签名过程中不会增加运算量；

S6.生成用户私钥；身份为ID的用户通过数学函数生成其私钥对SK_ID＝(x_j,D_ID)；

S7.生成普通签名；已知用户ID的私钥SKID，公钥PKID，可以得到用户对消息m的签名σ＝(x_j+h)^-1D_ID∈G₁，其中h＝H₂(m||ID||PK_ID)；

S8.普通签名验证；给定签名σ＝(x_j+h)^-1D_ID∈G₁、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证

e(σ,P_IDX+hP)＝e(Q_ID,P_pub)是否成立，成立则接受签名，否则拒绝该签名；

S9.仲裁者公私钥生成；仲裁者随机选取作为私钥SK_a，并计算仲裁者公钥PK_a＝yP；

S10.生成可验证加密签名；用户利用仲裁者的公钥PK_a对生成的普通签名σ加密，计算ω＝σ+(x_j+h)^-1x_jPK_a作为用户ID的可验证加密签名，其中h＝H₂(m||ID||PK_ID)；

S11.可验证加密签名验证；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，验证者计算h＝H₂(m||ID||PK_ID)，并验证e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，成立则接受签名，否则拒绝该签名；S12.仲裁；给定可验证加密签名ω、用户ID的公钥PKID、消息m，根据系统公开参数params，仲裁者计算h＝H₂(m||ID||PK_ID)，然后检查e(ω,P_IDX+hP)＝e(Q_ID,P_pub)e(PK_a,P_IDX)是否成立，若不成立，则拒绝；否则利用自己的私钥SK_a计算σ＝ω-(P_IDX+hP)^-1P·SKa·P_IDX作为用户ID的普通签名。