CN105025474B - 一种面向无线传感网的轻量级数字签名方法 - Google Patents

Abstract

本发明公开一种面向无线传感网的轻量级数字签名方法，基于椭圆曲线密码机制，包括以下步骤：初始化参数、建立公钥和私钥对，生成数字签名和验证签名，利用对椭圆曲线密码体制上数字签名验证步骤中签名方程的变形，将原来的签名生成、验证中的耗时的模逆运算改为加法运算，同时把经过多次优化的TinyECC 2.0函数库引入，使得对ECC的操作变得简单易懂，本发明安全性能高，数字签名的生成与验证过程运算量小，速度快。

Description

一种面向无线传感网的轻量级数字签名方法

技术领域

本发明涉及无线传感器网络信息安全技术，具体涉及一种面向无线传感网的轻量级数字签名方法。

背景技术

无线传感网WSN(Wireless Sensor Network)，因其大规模，自组织，动态性，集成化等特点，已被广泛应用在电子商务、军事、交通、医疗等领域。随着无线传感网应用范围的扩展，传输信息的价值也越来越大，其安全性已受到广泛的关注。但由于无线传感网信道裸露、广播发送的特点，信息在实际传输过程中需要有效的保护机制，其中一种有效方法是在发送的数据里加上数字签名，使得使用者能够认证该信息的真实有效性，保障了通信双方的利益。在无线传感器网络中，为了保证信息传输的完整性、发送者的身份认证、防止交易发生抵赖，需要在传感器源节点发送的数据包中加上数字签名。但是，由于无线传感器网络中的节点在计算能力、电池容量以及存储容量上受到限制，且生成数字签名的数据量大、耗能多，因此合理地选择数字签名算法，提高无线传感器网络的安全性和延长网络寿命成为重要问题，对此已有尝试解决的方案如下。

发明专利：数字签名方法(公开号：CN 101867474 A)涉及信息安全技术领域，基于矩阵分解的困难性、并结合哈希函数认证技术构造的一种新型轻量级数字签名方案。

发明专利：在线数字内容版权保护系统(公开号：CN 103020492 A)，其在线身份鉴别模块通过RSA数字签名来实现用户的在线身份鉴别。

以上两个对比文件存在以下问题：

方案1，数字签名安全性基于矩阵分解的困难性、哈希散列函数的雪崩效应。但是矩阵分解的安全级别明显不如椭圆曲线等非对称加密算法。后者高达2^80破解复杂度。使用哈希函数提取信息摘要在公开的数字签名系统中，其对伪造的签名不能有效的防护，所以方案1的数字签名安全性不足。

方案2，数字签名安全性基于RSA的公钥加密算法。其安全性很高，但不适用于在线身份识别等高响应，带宽受限的系统中。因为RSA为了达到其高安全性，需要的编码长度和编码时间过长，所以方案2的数字签名效率存在不足。

目前在数字签名领域，研究最多是在椭圆曲线密码体制ECC下基于离散对数难题ECDLP，但是现有的基于椭圆曲线密码体制的数字签名验方案中依然存在很多问题，例如签名验证速度慢等等。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于椭圆曲线密码机制的面向无线传感网的轻量级数字签名方法，本发明既保证了数字签名的安全性，又能够高效率的生成数字签名以及完成签名的验证。

技术方案：本发明一种面向无线传感网的轻量级数字签名方法，包括以下步骤：

(1)初始化参数：发送方Alice在TinyECC 2.0函数库中自定义生成非奇异椭圆曲线E_p(a,b)，基点为G＝(X_G，Y_G)且基点的阶数为n，所需发送消息为m；

(2)建立公钥和私钥对，设定椭圆曲线的私钥为整数d，则公钥为Q＝dG；

(3)生成数字签名，Alice执行以下操作：

(31)Alice选择一个随机整数k，k在[1,n-1]范围内，阶数n>2¹⁶⁰且

(32)计算kG＝(kX_G，kY_G)＝(x1，y1)，计算r＝x1mod n，如果r＝0，则重复上述操作，直到r≠0，然后进入步骤(33)；

(33)计算散列值SHA-1(m)，并将这个位串转化为整数e，此处使用SHA-1有很好的抗穷举性和雪崩效应；

(34)计算s＝(e+k+rd)mod n，如果s＝0，则重新进入步骤(31)，若a不等于0则签名生成成功；

(35)Alice此时将原消息m和对其摘要e的ECC加密结果(r，s)发送出去；

(4)签名验证，使用者Bob收到m和(r，s)后，进行如下的签名验证过程：

(41)Bob验证r和s是否是[1,n-1]中的整数，如果不是拒绝接受此签名，如果是，则进入步骤(42)；

(42)计算SHA-1(m)，并将结果取整得整数e；

(43)计算w＝(s-e)mod n，然后计算X＝wG-rQ＝(x1,y1)；

(44)计算v＝x1mod n，如果v＝r表示签名有效，否则签名无效，拒绝这个签名。

进一步的，所述步骤(1)中，椭圆曲线是定义在有限域F(q)上的，这里q是为奇素数，有限域为{0，1，2，…，q-1}。

进一步的，所述发送方Alice与使用者Bob之间相互通信，且发送方与使用之间的通信传输过程的验证方案如下：

X＝k×G

＝(s-e-rd)G

＝(s-e)G-rdG

＝(s-e)G-rQ

＝(x1，y1)

通过证明可以看出本发明在正确传输的情况下，最后X＝kG，所以可以证明本发明是可行的。

有益效果：与现有技术相比，本发明具有以下优点：

(1)本发明基于国际标准中的签名框架，结合离散对数系统中不同运算耗时情况及无线传感器节点的性质，对其中耗时的模逆运算进行替换，本发明中的私钥为随机产生，哈希函数选择性能优异的SHA-1，使得本发明具有较高的安全性；

(2)攻击者无法得到私钥，假如攻击者H监听了整个通信过程，第一种情况是得到了公钥Q，基点P，想利用Q＝dP求出私钥d。其将面临椭圆曲线离散对数难题ECDLP。目前找不到破解的方案；第二种情况是得到m，(r，s)，要是想通过s＝(SHA-1(m)+k+rd)mod n，来求出私钥d，私钥d＝((s-SHA-1(m))-k)r^-1mod n，但k是签名者随机选取的大整数，攻击者无法算出k和私钥d；

(3)防止伪造签名，假如攻击者H监听了整个通信过程，若想利用m，(r，s)来伪造签名，这时H只能利用s＝(e+k+rd)mod n这个等式，通过随机产生k_1，r_1，来求s_1；这样验证时X＝(s_1-e-r_1d)G mod n＝k_1G！＝(x1，y1)，攻击者虽然避开了私钥d的求解，但是由于k的产生是随机的，所以H伪造签名也是不可行的。

(4)签名效率得到提高，本发明基于ECC的数字签名方案，其编码量较小，在签名速度上有了很大提高。

(5)本发明将耗时很小的加法运算，成功替代耗时几十倍的乘法模逆运算，减少了签名生成，验证的时间，整个签名过程调用TinyECC2.0函数库，使得ECC的操作变得简单，架构变得清晰，签名效率得以很大提高。

综上所述，本发明安全性能高，数字签名的生成与验证过程运算量小，速度快。

附图说明

图1为本发明的签名过程示意图；

图2为实施例中TinyECC2.0模块调用示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

如图1所示，本发明一种面向无线传感网的轻量级数字签名方法，包括以下步骤：

(1)初始化参数：发送方Alice在TinyECC 2.0函数库中自定义生成非奇异椭圆曲线E_p(a,b)，基点为G＝(X_G，Y_G)且基点的阶数为n，所需发送消息为m；

(2)建立公钥和私钥对，设定椭圆曲线的私钥为整数d，则公钥为Q＝dG；

(3)生成数字签名，Alice执行以下操作：

(31)Alice选择一个随机整数k，k在[1,n-1]范围内，阶数n>2¹⁶⁰且

(32)计算kG＝(kX_G，kY_G)＝(x1，y1)，计算r＝x1mod n，如果r＝0，则重复上述操作，直到r≠0，然后进入步骤(33)；

(33)计算散列值SHA-1(m)，并将结果取整得整数e，此处使用SHA-1有很好的抗穷举性和雪崩效应；

(34)计算s＝(e+k+rd)mod n，如果s＝0，则重新进入步骤(31)，若a不等于0则签名生成成功；

(35)Alice此时将原消息m和对其摘要e的ECC加密结果(r，s)发送出去；

(4)签名验证，使用者Bob收到m和(r，s)后，进行如下的签名验证过程：

(41)Bob验证r和s是否是[1,n-1]中的整数，如果不是拒绝接受此签名，如果是，则进入步骤(42)；

(42)计算SHA-1(m)，并将结果取整得整数e；

(43)计算w＝(s-e)mod n，然后计算X＝wG-rQ＝(x1,y1)；

(44)计算v＝x1mod n，如果v＝r表示签名有效，否则签名无效，拒绝这个签名。

实施例：

本实施例的环境配置如下：Ubuntu14.04、TinyOS2.1.2、JDK 1.6，采用Crossbow公司的Micaz节点A和节点B建立无线传感器网络的实验环境。通过调用TinyOS2.0系统的相关组件和接口以及TinyECC2.0程序库实现改进算法，图2中详细描述了实验中使用的各个模块的调用关系。

其中，ECC是指椭圆曲线密码体制；ECDLP是指椭圆曲线理算对数问题；ECDSA是指基于椭圆曲线密码机制的数字签名；TinyECC 2.0是指椭圆曲线操作函数库，可以提供很多函数接口；Micaz为Crossbow公司的开发的一种专用于无线传感网络的节点。

本实施例中的所有参数均由可信任的第三方权威机构确定，把一部分参数向整个无线传感器网络中广播发送，而把另一部分参数严格保密，并将相应的参数设置到传感器节点上。为了简便起见，本实施实例采用TinyECC2.0所推荐的素数域上的160比特椭圆曲线和其他一些参数。具体过程如下：

1、选定椭圆曲线参数，以16进制表示如下：

p＝7FFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000

a＝7FFFFFFC FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000

b＝C565FA45 81D4D4AD 65ACF89F 54BD7A8B 1C97BEFC 00000000

X_G＝13CBFC82 68C38BB9 46646989 8EF57328 4A96B568 00000000

Y_G＝7AC5FB32 04235137 59DCC912 3168947D 23A62855 00000000

r＝CA752257 F927AED3 0001F4C8 00000000 00000000 00000001

2、节点A随机选择一个随机数k∈[1,n-1]。计算标量乘R＝kG＝(x1，y1)，计算r＝x1mod n。如果r为0，则重复上述操作，直到r不为0继续才继续下一步。将k作为节点A的私钥，R作为节点A的公钥。

3、节点A用私钥k对消息m进行数字签名，得到数字签名(r，s)。

4、节点B用节点A的公钥R对数字签名(r，s)进行验证。

5、节点A和节点B经过前9轮的签名和验证过程，实验结果得到前9轮数字签名产生和验证的时间如下表1和表2：

表1数字签名产生时间(单位：s)

表2数字签名验证时间(单位：s)

从实施例的结果可以看出，本发明对在无线传感网上进行通信的信息进行数字签名，是一种基于椭圆曲线离散对数问题的签名方案，并且给出了签名算法和验证算法的具体步骤，并在Micaz节点上实现了该签名方法。在相同的实验环境和加密强度下，本发明的运算速度及效率都优于其它加密算法，具有较强的实用性。

以上所述仅为本发明的较佳实施例，对本发明而言仅仅是说明性的，而非限制性的。本专业技术人员理解，在本发明权利要求所限定的精神和范围内可对其进行修改，都属于本发明的保护范围之内。

Claims (3)

1.一种面向无线传感网的轻量级数字签名方法，其特征在于：包括以下步骤：

(1)初始化参数：发送方Alice在TinyECC 2.0函数库中自定义生成非奇异椭圆曲线E_p(a,b)，a和b是小于p的非负整数，p为素数，满足4a³+27b²≠0(mod p)，基点为G＝(X_G，Y_G)且基点的阶数为n，所需发送消息为m；

(2)建立公钥和私钥对，设定椭圆曲线的私钥为整数d，则公钥为Q＝dG；

(3)生成数字签名，Alice执行以下操作：

(31)Alice选择一个随机整数k，k在[1，n-1]范围内，阶数n>2¹⁶⁰且q是为奇素数；

(32)计算kG＝(kX_G，kY_G)＝(x₁，y₁)，计算r＝x₁mod n，如果r＝0，则重复上述操作，直到r≠0，然后进入步骤(33)；

(33)计算散列值SHA-1(m)，并将结果取整得整数e；

(34)计算s＝(e+k+rd)mod n，如果s＝0，则重新进入步骤(31)，若a不等于0则签名生成成功；

(35)Alice此时将原消息m和对其摘要e的ECC加密结果(r，s)发送出去；(4)签名验证，使用者Bob收到m和(r，s)后，进行如下的签名验证过程：

(41)Bob验证r和s是否是[1，n-1]中的整数，如果不是拒绝接受此签名，如果是，则进入步骤(42)；

(42)计算SHA-1(m)，并将结果取整得整数e；

(43)计算w＝(s-e)mod n，然后计算X＝wG-rQ＝(x₂,y₂)；

(44)计算v＝x₂mod n，如果v≡r表示签名有效，否则签名无效，拒绝这个签名。

2.根据权利要求1所述的面向无线传感网的轻量级数字签名方法，其特征在于：所述步骤(1)中，椭圆曲线定义于有限域F(q)上，此处q是为奇素数，有限域为{0，1，2，…，q-1}。

3.根据权利要求1所述的面向无线传感网的轻量级数字签名方法，其特征在于：所述发送方Alice与使用者Bob之间相互通信。