CN105406964A - 一种具有前向安全性的面向群组的实用重签名方法 - Google Patents

Abstract

本发明涉及一种具有前向安全性的面向群组的实用重签名方法，包括系统参数生成、群组成员签名、重签名合成和验证重签名。由密钥分发中心通过秘密信道把σ_i发送给群组成员u_i作为成员秘密分量，公布(N,q,g,Y)作为重签名公钥，群组成员u_i根据第k-1时间段密钥σ_i,k-1计算出第k时间段密钥σ_i,k，密钥更新完成后，销毁第k-1时间段密钥σ_i,k-1，重签名合成者根据签名算法，将{k,P,Z,S}作为消息m的重签名，任何验证者都能计算h(m||k||Z||Sˊ)＝h(m||k||Z||V)是否成立，如果成立，{k,P,Z,S}则是消息m的有效重签名，否则无效，本发明具有前向安全的特性，能抵抗伪造攻击，并且实用性强。

Description

一种具有前向安全性的面向群组的实用重签名方法

技术领域

本发明涉及电子商务/政务中的数字签名方法，具体涉及一种具有前向安全性的面向群组的实用重签名方法。

背景技术

面向群组的重签名方法由密钥分发中心将共享秘密s分为n个不同的成员密钥分量，通过安全信道将其分别分/发给n个群组成员，且各个成员相互保密。当需要对某信息进行数字签名时，任意t个群组成员(称为授权子集t<n)分别用自己的子密钥(成员密钥分量)恢复出重签名密钥s，对该文件进行签名。为降低参加重签名签名者密钥泄漏造成的损失，将群组成员密钥按时间段进行更新,群组公钥保持不变。即使第k时间段的签名密钥被泄露,攻击者无法伪造第k时间段之前的签名,使签名密钥被泄露所造成的损失降到最小，具备前向安全性。前向安全的重签名为签名密钥提供了强大的保护,使签名密钥泄露所造成的损失降到最小。

目前，一些普通数字签名、特殊用途的和组合实现的数字签名方法已具备前向安全性，一些面向群组的重签名方法存在理论错误和效率低的缺陷，比如在求Lagrange相关系数时，需要先求出分母的逆元再与分子相乘，而不能直接采用直接相除的办法，在不知道RSA模数N的秘密参数欧拉函数的情况下，无法进行中的ID_i-ID_j求逆计算，所以这些方法不实用。

发明内容

为了解决上述技术问题，本发明提出了一种具有前向安全性的面向群组的实用重签名方法，解决了面向群组的重签名方法存在的理论错误和效率低的问题，避免重签名者密钥泄漏造成的损失，具备前向安全性，可抵抗非法签名者的伪造攻击。

为了解决上述技术问题，本发明提供了一种具有前向安全性的面向群组的实用重签名方法，包括系统参数生成、群组成员签名、重签名合成和验证重签名。其特征在于：包括如下步骤：

步骤一，系统参数初始化，密钥分发中心首先进行系统参数初始化，为群组成员分发成员秘钥，设A＝{u₀,u₂…u_n-1}是重签名的n个群组成员，选取一正整数ID_i作为群组成员u_i的身份标示，密钥分发中心通过秘密信道把σ_i发送给群组成员u_i作为成员秘密分量，公布(N,q,g,Y)作为重签名公钥，群组成员u_i根据第k-1时间段密钥σ_i,k-1计算出第k时间段密钥σ_i,k，密钥更新完成后，销毁第k-1时间段密钥σ_i,k-1；

步骤二，群组成员签名，设重签名群组集合A中有t个群组成员B＝{u₁,u₂,…,u_t}想对消息m产生代表群组的重签名，B中群组成员完成部分签名，然后群组成员u_i把部分签名{P,s_i,z_i}发送给重签名合成者；

步骤三，合成重签名，重签名合成者根据签名算法，将{k,P,Z,S}作为消息m的重签名；

步骤四，任何验证者都能计算h(m||k||Z||S')＝h(m||k||Z||V)是否成立，如果成立，{k,P,Z,S}则是消息m的有效重签名，否则无效；

所述密钥分发中心、重签名合成者及各个群组成员均视为处理或联合处理特定操作步骤的计算机或结点。

进一步，步骤一中群组成员u_i根据第k-1时间段密钥σ_i,k-1计算出第k时间段密钥σ_i,k，计算方法为其中初始密钥为σ_i,0＝σ_i，k＝0,2,3,...,T-1。

进一步，步骤一中所述的重签名公钥(N,q,g,Y)中g与σ_i的关系为： ${\mathrm{\&sigma;}}_i=g^{f\left({\mathrm{ID}}_i\right)}\mathrm{mod}N,(i=0,1,2,...,n-1).$

进一步，所述的k为第k个签名时间段，将重签名整个有效期分为T个时间段k＝0,2,3,...,T-1。

进一步，步骤二中所述的{P,s_i,z_i}是通过计算 $s_i=z_i{\mathrm{\&sigma;}}_{i,k}{2}^{k}P\underset{j\&Element;B,j\&NotEqual;i}{\&Pi;}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}\mathrm{mod}N,$ $z_i=g^{{\mathrm{\&beta;}}_i}\mathrm{mod}N$ 得出。

进一步，步骤三中所述的{k,P,Z,S}中的{Z,S}是通过计算 $Z=\underset{i\&Element;B}{\&Pi;}{z}_i\mathrm{mod}N,S=\underset{i\&Element;B}{\&Pi;}{s}_i\mathrm{mod}N$ 得出。

本发明的有益效果是：

1.{k,P,Z,S}是有效的重签名。

因为 $\begin{array}{c}V=Y^{2^{k}P}{Z}^e\mathrm{mod}N\\ =g^{{\mathrm{ec}}_0{2}^{k}P}{Z}^e\mathrm{mod}N\\ S^{\&prime;}={\left(\underset{i\&Element;B}{\mathrm{\&Pi;}}{s}_i\right)}^e\mathrm{mod}N\\ =\underset{i\&Element;B}{\mathrm{\&Pi;}}{z_i}^e{{\mathrm{\&sigma;}}_{i,j}}^{2^{k}Pe\underset{i\&Element;B,j\&NotEqual;i}{\mathrm{\&Pi;}}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N\\ =\underset{i\&Element;B}{\mathrm{\&Pi;}}{z_i}^e{g}^{f\left({\mathrm{ID}}_i\right)2^{k}Pe\underset{i\&Element;B,j\&NotEqual;i}{\mathrm{\&Pi;}}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N\\ =Z^e{g}^{\underset{i\&Element;B}{\mathrm{\&Sigma;}}f\left({\mathrm{ID}}_i\right)2^{k}Pe\underset{i\&Element;B,j\&NotEqual;i}{\mathrm{\&Pi;}}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N\\ =Z^e{g}^{{\mathrm{ec}}_0{2}^{k}P}\mathrm{mod}N\end{array}$

所以，U＝h(m||k||Z||S)＝h(m||k||Z||V)

2.本发明具有前向安全的特性。

本发明的前向安全是基于强RSA假定。

强RSA假定已知N和N为两个大素数的乘积，则找出一个且满足y＝x^βmodn(β＞1)是一个非常困难的问题。

如果攻击者已获得重签名者u_i的第k时间段密钥σ_i,k，企图通过计算第k-1时间段密钥σ_i,k-1，这是一个强RSA假定问题，所以攻击者无法通过σ_i,k计算出σ_i,k-1，也就无法伪造第k-1时间段签名。

3.本发明能抵抗伪造攻击。

非法用户企图通过式 $s_i=z_i{{\mathrm{\&sigma;}}_{i,k}}^{2^{k}P\underset{j\&Element;B,j\&NotEqual;i}{\&Pi;}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N$ 和式 $S=\underset{i\&Element;B}{\&Pi;}{s}_i\mathrm{mod}N$ 求S',这将面临大整数分解和单向散列函数求逆的问题。少于t个合法的参与者不能代表群组进行有效签名，这是由Shamir的秘密共享方法的安全性来保证的。

4.本发明具有实用性

本发明通过计算完成求Lagrange相关系数，在不知道RSA秘密参数模数N的欧拉函数的情况下不需要求逆计算，因为整除P,实用性强。

附图说明

图1是本发明的工作流程图；

图2是重签名的产生和验证的流程图；

具体实施方式

下面结合附图和实施例对本发明作进一步描述。

如图1和图2所示，一种具有前向安全性的面向群组的实用重签名方法，本实施例包括如下步骤：

步骤一，系统参数初始化，密钥分发中心首先会选择N＝p₁p₂＝(2qp₁'+1)(2qp₂'+1)和一个阶为q的循环子群，g∈QR_N(即g^q＝1modN)，QR_N为模N的平方剩余集合，且p₁＝p₂＝3mod4，其中p₁,p₂,p₁',p₂',q都为安全的大素数，然后选择一对整数(e，d),分别作为基于合数N的RSA公私钥，h()为一个安全的单向散列函数，接着，系统选择t-1阶秘密多项式：f(x)＝c_t-1x^t-1+…+c₁x+c₀modq， $c_i\&Element;Z_q^{*},(i=0,1,2,...,t-1);$

计算 ${\mathrm{\&sigma;}}_i=g^{f\left({\mathrm{ID}}_i\right)}\mathrm{mod}N,(i=\mathrm{0,1,2},...,n-1);$

计算 $Y=g^{c_{0}e}\mathrm{mod}N;$

设A＝{u₀,u₂…u_n-1}是重签名的n个群组成员，选取一正整数ID_i作为其身份标示，密钥分发中心通过秘密信道把σ_i发送给每个群组成员u_i作为成员秘密分量，公布(N,q,g,Y)作为重签名公钥。

将重签名整个有效期分为T个时间段(k＝0,2,3,...,T-1)，从第一个时间段开始，重签名群组成员根据第k-1时间段密钥计算出第k时间段密钥。

${\mathrm{\&sigma;}}_{i,k}={\mathrm{\&sigma;}}_{i,k-1}^2\mathrm{mod}n$

其中，σ_i,k表示群组成员u_i的第k时间段密钥，σ_i,k-1表示群组成员u_i的第k-1时间段密钥，初始密钥σ_i,0＝σ_i，k＝0,2,3,...,T-1。密钥更新完成后，销毁第k-1时间段密钥σ_i,k-1。

步骤二，群组成员签名，设重签名群组集合A中为t个群组成员B＝{u₁,u₂,…,u_t}想对消息m产生代表群组的重签名，B中群组成员一起执行下列操作：

每个群组成员u_i(i＝1,2,3…t)选择一个随机数β_i：

a.计算 $z_i=g^{{\mathrm{\&beta;}}_i}\mathrm{mod}N$

b. $P=\underset{j,i\&Element;B,i>j}{\&Pi;}({\mathrm{ID}}_i-{\mathrm{ID}}_j)$

c. $s_i=z_i{{\mathrm{\&sigma;}}_{i,k}}^{2^{k}P\underset{j\&Element;B,j\&NotEqual;i}{\&Pi;}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N$

然后，每个群组成员u_i分别把{P,s_i,z_i}发送给重签名合成者。

步骤三，合成重签名，重签名合成者计算：

$Z=\underset{i\&Element;B}{\&Pi;}{z}_i\mathrm{mod}N$

$S=\underset{i\&Element;B}{\&Pi;}{s}_i\mathrm{mod}N$

然后根据计算结果，公布{k,P,Z,S}为消息m的重签名，k为第k个签名时间段。

步骤四，验证签名，任何验证者都能通过以下计算来验证{k,P,Z,S}是否为消息m的有效重签名：

a.计算 $V=Y^{2^{j}P}{Z}^e\mathrm{mod}N$

b.计算S'＝S^emodN

c.验证h(m||k||Z||S')＝h(m||k||Z||V)

若等式成立，则重签名有效，否则无效。

Claims (6)

1.一种具有前向安全性的面向群组的实用重签名方法，包括系统参数生成、群组成员签名、重签名合成和验证重签名，其特征在于：包括如下步骤：

步骤一，系统参数初始化，密钥分发中心首先进行系统参数初始化，为群组成员分发成员秘钥，设A＝{u₀,u₂…u_n-1}是重签名的n个群组成员，选取一正整数ID_i作为群组成员u_i的身份标示，密钥分发中心通过秘密信道把σ_i发送给群组成员u_i作为成员秘密分量，公布(N,q,g,Y)作为重签名公钥，群组成员u_i根据第k-1时间段密钥σ_i,k-1计算出第k时间段密钥σ_i,k，密钥更新完成后，销毁第k-1时间段密钥σ_i,k-1；

步骤二，群组成员签名，设重签名群组集合A中有t个群组成员B＝{u₁,u₂,…,u_t}想对消息m产生代表群组的重签名，B中群组成员完成部分签名，然后群组成员u_i把部分签名{P,s_i,z_i}发送给重签名合成者；

步骤三，合成重签名，重签名合成者根据签名算法，将{k,P,Z,S}作为消息m的重签名；

步骤四，任何验证者都能计算h(m||k||Z||S')＝h(m||k||Z||V)是否成立，如果成立，{k,P,Z,S}则是消息m的有效重签名，否则无效；

所述密钥分发中心、重签名合成者及各个群组成员均视为处理或联合处理特定操作步骤的计算机或结点。

2.根据权利要求1所述的一种具有前向安全性的面向群组的实用重签名方法，其特征在于：步骤一中群组成员u_i根据第k-1时间段密钥σ_i,k-1计算出第k时间段密钥σ_i,k，计算方法为其中初始密钥为σ_i,0＝σ_i，k＝0,2,3,...,T-1。

3.根据权利要求1所述的一种具有前向安全性的面向群组的实用重签名方法，其特征在于：步骤一中所述的重签名公钥(N,q,g,Y)中g与σ_i的关系为：

${\mathrm{\&sigma;}}_i=g^{f\left({\mathrm{ID}}_i\right)}\mathrm{mod}N,(i=0,1,2,...,n-1).$

4.根据权利要求1所述的一种具有前向安全性的面向群组的实用重签名方法，其特征在于：所述的k为第k个签名时间段，将重签名整个有效期分为T个时间段k＝0,2,3,...,T-1。

5.根据权利要求1所述的一种具有前向安全性的面向群组的实用重签名方法，其特征在于：步骤二中所述的{P,s_i,z_i}是通过计算 $s_i=z_i{{\mathrm{\&sigma;}}_{i,k}}^{2^{k}P\underset{j\&Element;B,j\&NotEqual;i}{\mathrm{\&Pi;}}\frac{-{\mathrm{ID}}_j}{{\mathrm{ID}}_i-{\mathrm{ID}}_j}}\mathrm{mod}N,z_i=g^{{\mathrm{\&beta;}}_i}\mathrm{mod}N$ 得出。

6.根据权利要求1所述的一种具有前向安全性的面向群组的实用重签名方法，其特征在于：步骤三中所述的{k,P,Z,S}中的{Z,S}是通过计算 $S=\underset{i\&Element;B}{\&Pi;}{s}_i\mathrm{mod}N$ 得出。