CN109274487B - 基于国密sm9密码算法的群签名标识签发方法 - Google Patents

Abstract

本发明公开了一种基于国密SM9密码算法的群签名标识签发方法，其步骤为：(1)根认证中心生成群密钥；(2)根认证中心为叶子认证中心生成密钥和序列号；(3)标识申请者请求所属的叶子认证中心签发标识；(4)叶子认证中心为标识申请者签发标识；(5)验证标识是否有效；(6)验证标识是否可信。本发明在产生根认证中心和叶子认证中心密钥时均采用SM9密码算法，得到的密钥长度仅为192比特，降低了签名过程中的运算量。本发明中的群公钥与群成员数量无关，有新成员加入群组或有成员撤销时，不需要对群公钥进行更新，避免了信息延时，降低了通信负载量。

Description

基于国密SM9密码算法的群签名标识签发方法

技术领域

本发明属于通信技术领域，更进一步涉及网络通信技术领域中的一种基于国密SM9密码算法的群签名标识签发方法。本发明是面向群组的群签名技术，可用于为由多认证中心组成的群组中的标识申请者，进行标识签发。

背景技术

在群签名体制中，每个群成员有不同的签名密钥，群中任何一个成员都可以代表这个群对群内消息进行签名，验证者可以利用群公钥来检验签名的有效性，但无法从一个群签名中确定签名者的身份，当发生纠分时，能且只能由群中负责打开签名的管理员追踪出签名者的身份，从而保护标识签发单位的匿名性。

北京航空航天大学在其申请的专利文献“一种基于椭圆曲线的群签名方法”(申请号201010506282.4，申请公布号CN 101977110 A)中提出了一种基于椭圆曲线的群签名方法。该方法的步骤是：(1)选取椭圆曲线上两个阶为p的乘法循环群G1，G2，以及一个非退化的双线性映射e，把G1，G2中的元素映射到G T，即e：G1×G2→G T；(2)群管理员运行密钥生成算法，产生与群成员数量相关的群公钥，并为群中的成员产生签名密钥；(3)在密钥生成算法：群成员得到相应的签名密钥后，运行签名算法；(4)验证者利用群公钥运行验证算法验证签名δ的有效性；(5)签名追踪算法，对于给定的一个签名，将成员在该签名产生的时间段的撤销标识代入撤销验证不等式中，如果不等式成立，即说明签名为撤销标识相对应的群成员所签；(6)成员撤销算法，计算相应时间间隔下需要撤销的成员的撤销标识公布到撤销列表中。该方法通过使用椭圆曲线加密算法，实现了对群内成员的签名，但是，该方法仍然存在的不足之处是：在生成群公钥的过程中，由于采用的椭圆曲线加密算法所产生的公钥位数为256位，公钥位数长，所以运算量大，密钥生成速度慢，影响了整个标识签发方法的实现速度。

西安电子科技大学在其申请的专利文献“车联网中具有高效撤销的群签名方法”(申请号201510163926.7，申请公布号CN 104753683 A)中提出了一种车联网中具有高效撤销的群签名方法。该方法的步骤是：(1)系统初始化，生成总可信机构、产生本地可信机构和路政单元的参数和公私钥对；(2)车辆用户入网前在本地可信机构注册，领取盲证书；(3)路政单元利用中国剩余定理建立群组，管辖范围内的车辆用户提交盲证书，并在验证身份合法性后加入群组；(4)群成员加入群组后，对消息进行签名和广播消息，任何人对该消息进行验证；(5)有新用户加入群组或有成员撤销时，路政单元利用中国剩余定理计算并公布新的群公钥。该方法实现了车联网用户在路政单元中高效安全的加入与撤销和用户对路政单元的匿名。但是，该方法仍然存在的不足之处是：群公钥长度与群成员数量相关，有新用户加入群组或有成员撤销时，均需要对群公钥进行更新，造成信息延迟以及极大的通信负载量。

发明内容

本发明的目的在于针对上述已有技术的不足，提出一种基于SM9密码算法的群签名的标识签发方法，在一个跟认证中心，多叶子认证中心构成的树状结构下，利用SM9密码算法为标识申请者签发标识，减少了标识签发过程中的运算量和通信负载量，避免了信息延时，提高了标识签发速度。

实现本发明目的的思路是，在一个根认证中心和多个叶子认证中心构成的树状结构下，由根认证中心利用SM9密码算法生成群私钥和群公钥，并为每个叶子认证中心生成公私钥和序列号，而后叶子认证中心根据自己的私钥和序列号为出标识申请者签发具有唯一序列号的标识，根认证中心负责将所有叶子认证中心和标识申请者的序列号存储到一个列表中产生序列号列表，秘密保存，验证者可通过群公钥验证标识是否可信，但无法读取序列号列表，故无法获取标识签发者，保证了标识签发者的匿名性，在特定情况下，根认证中心可通过查询序列号列表实现对所有叶子认证中心和标识的追踪和撤销；在生成群公钥和叶子认证中心公钥的过程中采用SM9密码算法，产生的公钥位数只有192位，减少了运算量，加快了密钥生成速度，从而加快了整个标识签发方法的实现速度；由根认证中心通过群私钥计算得到的群公钥与群成员数量无关，有新用户加入群组或有成员撤销时，不需要对群公钥进行更新，避免了信息延时，降低了通信负载量。

本发明的具体步骤包括如下：

(1)生成根认证中心群密钥：

(1a)根认证中心在[1,N-1]范围内中选取一个随机数s作为秘密值，并将秘密值和加法循环群G₂的生成元P₂的乘积作为第一部分群公钥P,P＝s·P₂；

其中，N表示G₁和G₂的阶数，N＞2²⁵⁶，G₁和G₂表示两个分别由大小不同但长度均为192比特的生成元P₁和P₂组成的加法循环群；

(1b)按照下式，根认证中心计算部分群私钥：

t＝H(s||hid,N)

其中，t表示部分群私钥，H(·)表示哈希操作，hid表示用一个字节表示的私钥生成函数识别符；

(1c)按照下式，根认证中心计算第二部分群公钥：

Q＝(t+s)P₂

其中，Q表示第二部分群公钥；

(1d)将秘密值和部分群私钥的拼接结果(s,t)作为群私钥，将加法循环群G₁的生成元、第一部分群公钥、第二部分群公钥，三者的的拼接结果作为(P₁,P,Q)群公钥，根认证中心秘密保存群私钥，公布群公钥；

(2)生成叶子认证中心密钥：

(2a)拟加入根认证中心的叶子认证中心，向根认证中心发出入群申请，根认证中心为其赋予唯一的序列号SN，并将该序列号存入序列号列表中；

(2b)在[1,N-1]范围内选取一个随机数a，将该随机数和叶子认证中心的序列号进行哈希操作的结果作为叶子认证中心的公钥pk，pk＝H(SN,a)；

(2c)按照下式，根认证中心计算叶子认证中心的私钥：

其中，sk表示叶子认证中心的私钥；

(2d)根认证中心将叶子认证中心的私钥和序列号，一同秘密发送给叶子认证中心，并公布其公钥；

(3)标识申请者请求签发标识：

(3a)标识申请者向所属的叶子认证中心发出标识签发请求，叶子认证中心为标识申请者赋予序列号SN′，将该序列号和叶子认证中心自身的序列号拼接作为标识序列号LN，LN＝(SN,SN′)，叶子认证中心将标识序列号发送给根认证中心；

(3b)根认证中心在序列号列表中查找叶子认证中心的序列号所在的序列块，将标识序列号存入其中；

(4)签发标识：

(4a)在[1,N-1]范围内选取一个随机数n，叶子认证中心将该随机数与标识序列号进行哈希操作得到的结果作为标识关联值h，h＝(LN,n)；

(4b)按照下式，计算标识关键值：

其中，Ω表示标识关键值，mod表示模运算；

(4c)按照下式，计算标识验证值:

ω＝e(P₁,P)^r

其中，ω表示标识验证值，e(·)表示满足G₁×G₂→G₃的双线性对操作，×表示笛卡尔积运算，→表示映射关系，G₃表示一个乘法循环群，r表示叶子认证中心在[1,N-1]范围内选取的一个随机数；

(4d)将标识关联值、标识关键值、标识验证值，三者的拼接结果(h,Ω,ω)作为标识，发送给标识验证者；

(5)验证者查看撤销列表判断所接收标识是否有效，若是，则执行步骤(6)，否则，执行步骤(8)；

(6)判断标识对比值是否等于标识验证值，若是，则执行步骤(7)，否则，执行步骤(8)；

(7)标识可信；

(8)标识不可信。

本发明与现有的技术相比具有以下优点：

第一，由于本发明在计算群公钥过程中，通过采用SM9密码算法，得到的群公钥位数只有192位，克服了现有技术利用椭圆曲线加密算法产生群公钥过程中，存在的公钥位数长，运算量大，密钥生成速度慢的缺点，使得本发明具有运算量少，签发速度快的优点。

第二，由于本发明通过使用群私钥计算得到群公钥，实现群密钥的生成，克服了现有技术群公钥与群成员数量相关，有新成员加入群组或有成员撤销时，均需要更新群公钥，造成的信息延时，通信负载量大的缺点，使得本发明具有无信息延时，通信负载量低的优点。

附图说明

图1为本发明的流程图。

具体实施方式

下面结合图1，对本发明的具体实施步骤做进一步的描述。

步骤1，生成根认证中心群密钥。

根认证中心在[1,N-1]范围内中选取一个随机数s作为秘密值，并将秘密值和加法循环群G₂的生成元P₂的乘积作为第一部分群公钥P,P＝s·P₂。

其中，N表示G₁和G₂的阶数，N＞2²⁵⁶，G₁和G₂表示两个分别由大小不同但长度均为192比特的生成元P₁和P₂组成的加法循环群。

按照下式，根认证中心计算部分群私钥：

t＝H(s||hid,N)

其中，t表示部分群私钥，H(·)表示哈希操作，hid表示用一个字节表示的私钥生成函数识别符。

本发明的实施例在选取SM9密码算法中使用的哈希操作H(Z,n)的输入为长度小于2⁶⁴的比特串Z和整数n，输出为[1,n-1]范围内中的常数。

哈希操作的具体计算步骤如下：

第1步，初始化一个32比特构成的计数器ct＝0x00000001。

第2步，计算参数

第3步，对j从1到

执行：

Ha_j＝H_v(0x01||Z||ct)；

ct++。

第4步，若hlen/256是整数，令参数

否则，令

为

最左边的

比特。

第5步，令

将Ha的数据类型转换为整数，计算a＝(Hamod(n-1))+1。

按照下式，根认证中心计算第二部分群公钥：

Q＝(t+s)P₂

其中，Q表示第二部分群公钥。

将秘密值和部分群私钥的拼接结果(s,t)作为群私钥，将加法循环群G₁的生成元、第一部分群公钥、第二部分群公钥，三者的的拼接结果作为(P₁,P,Q)群公钥，根认证中心秘密保存群私钥，公布群公钥。

步骤2，生成叶子认证中心密钥。

拟加入根认证中心的叶子认证中心，向根认证中心发出入群申请，根认证中心为其赋予唯一的序列号SN，并将该序列号存入序列号列表中。

所述的序列号列表是指，根认证中心建立的，用以保存所有叶子认证中心的序列号的列表，每个叶子认证中心独立占用序列号列表中的一个序列块。

在[1,N-1]范围内选取一个随机数a，将该随机数和叶子认证中心的序列号进行哈希操作的结果作为叶子认证中心的公钥pk，pk＝H(SN,a)。

按照下式，根认证中心计算叶子认证中心的私钥：

其中，sk表示叶子认证中心的私钥。

根认证中心将叶子认证中心的私钥和序列号，一同秘密发送给叶子认证中心，并公布其公钥。

步骤3，标识申请者请求签发标识。

标识申请者向所属的叶子认证中心发出标识签发请求，叶子认证中心为标识申请者赋予序列号SN′，将该序列号和叶子认证中心自身的序列号拼接作为标识序列号LN，LN＝(SN,SN′)，叶子认证中心将标识序列号发送给根认证中心。

根认证中心在序列号列表中查找叶子认证中心的序列号所在的序列块，将标识序列号存入其中。

步骤4，签发标识。

在[1,N-1]范围内选取一个随机数n，叶子认证中心将该随机数与标识序列号进行哈希操作得到的结果作为标识关联值h，h＝(LN,n)。

按照下式，计算标识关键值：

其中，Ω表示标识关键值，mod表示模运算。

按照下式，计算标识验证值:

ω＝e(P₁,P)^r

其中，ω表示标识验证值，e(·)表示满足G₁×G₂→G₃的双线性对操作，×表示笛卡尔积运算，→表示映射关系，G₃表示一个乘法循环群，r表示叶子认证中心在[1,N-1]范围内选取的一个随机数。

将标识关联值、标识关键值、标识验证值，三者的拼接结果(h,Ω,ω)作为标识，发送给标识申请者。

步骤5，验证者查看撤销列表判断所接收标识是否有效，若是，则执行步骤6，否则，执行步骤8。

所述的撤销列表是指，由根认证中心建立的用以存储被撤销的标识的信息存储列表，包括叶子认证中心撤销列表和标识撤销列表，撤销叶子认证中心时，将叶子认证中心序列号加入叶子认证中心撤销列表中，撤销标识时，将标识序列号加入标识撤销列表中。

所述的有效是指同时满足以下两个条件的情形：

条件1，撤销列表中不存在标识的序列号；

条件2，撤销列表中不存在标识申请者所属的叶子认证中心的序列号。

步骤6，判断标识对比值是否等于标识验证值，若是，则执行步骤7，否则，执行步骤8。

所述的标识对比值由下式计算得到的：

ω′＝e(Ω,Q)e(P₁,P)^h

其中，ω′表示标识对比值。

步骤7，标识可信。

步骤8，标识不可信。

Claims (4)

1.一种基于国密SM9密码算法的群签名标识签发方法，其特征在于，在一个根认证中心，多个叶子认证中心构成的树状结构下，利用SM9密码算法为用户签发群标识；该方法的具体步骤包括如下：

(1)生成根认证中心群密钥：

(1a)根认证中心在[1,N-1]范围内中选取一个随机数s作为秘密值，并将秘密值和加法循环群G₂的生成元P₂的乘积作为第一部分群公钥P，P＝s×P₂；其中，N表示G₁和G₂的阶数，N＞2²⁵⁶，G₁和G₂表示两个分别由大小不同、长度均为192比特的生成元P₁和P₂组成的加法循环群；

(1b)按照下式，根认证中心计算部分群私钥：

t＝H(s||hid,N)

其中，t表示部分群私钥，H(·)表示哈希操作，hid表示用一个字节表示的私钥生成函数识别符；

(1c)按照下式，根认证中心计算第二部分群公钥：

Q＝(t+s)P₂

其中，Q表示第二部分群公钥；

(1d)将秘密值和部分群私钥的拼接结果(s,t)作为群私钥，将加法循环群G₁的生成元、第一部分群公钥、第二部分群公钥，三者的的拼接结果作为(P₁,P,Q)群公钥，根认证中心秘密保存群私钥，公布群公钥；

(2)生成叶子认证中心密钥：

(2a)拟加入根认证中心的叶子认证中心，向根认证中心发出入群申请，根认证中心为其赋予唯一的序列号SN，并将该序列号存入序列号列表中；

(2b)在[1,N-1]范围内选取一个随机数a，将该随机数和叶子认证中心的序列号进行哈希操作，作为叶子认证中心的公钥pk，pk＝H(SN,a)；

(2c)按照下式，根认证中心计算叶子认证中心的私钥：

其中，sk表示叶子认证中心的私钥；

(2d)根认证中心将叶子认证中心的私钥和序列号，一同秘密发送给叶子认证中心，并公布其公钥；

(3)标识申请者请求签发标识：

(3a)标识申请者向所属的叶子认证中心发出标识签发请求，叶子认证中心为标识申请者赋予序列号SN′，将该序列号和叶子认证中心自身的序列号拼接作为标识序列号LN，LN＝(SN,SN′)，叶子认证中心将标识序列号发送给根认证中心；

(3b)根认证中心在序列号列表中查找叶子认证中心的序列号所在的序列块，将标识序列号存入其中；

(4)签发标识：

(4a)在[1,N-1]范围内选取一个随机数n，叶子认证中心将该随机数与标识序列号进行哈希操作得到的结果作为标识关联值h，h＝(LN,n)；

(4b)按照下式，计算标识关键值：

其中，Ω表示标识关键值，mod表示模运算；

(4c)按照下式，计算标识验证值:

ω＝e(P₁,P)^r

其中，ω表示标识验证值，e(·)表示满足G₁×G₂→G₃的双线性对操作，×表示笛卡尔积运算，→表示映射关系，G₃表示一个乘法循环群，r表示叶子认证中心在[1,N-1]范围内选取的一个随机数；

(4d)将标识关联值、标识关键值、标识验证值，三者的拼接结果(h,Ω,ω)作为标识，发送给验证者；

(5)验证者查看撤销列表判断所接收标识是否有效，若是，则执行步骤(6)，否则，执行步骤(8)；

(6)判断标识对比值是否等于标识验证值，若是，则执行步骤(7)，否则，执行步骤(8)；

所述的标识对比值由下式计算得到的：

ω′＝e(Ω,Q)×e(P₁,P)^h

其中，ω′表示标识对比值；

(7)标识可信；

(8)标识不可信。

2.根据权利要求1所述的基于国密SM9密码算法的群签名标识签发方法，其特征在于，步骤(2a)、步骤(3b)中所述的序列号列表是指，根认证中心建立的，用以保存所有叶子认证中心的序列号的列表，每个叶子认证中心独立占用序列号列表中的一个序列块。

3.根据权利要求1所述的基于国密SM9密码算法的群签名标识签发方法，其特征在于，步骤(5)中所述的撤销列表是指，由根认证中心建立的用以存储被撤销的标识的信息存储列表，包括叶子认证中心撤销列表和标识撤销列表，撤销叶子认证中心时，将叶子认证中心序列号加入叶子认证中心撤销列表中，撤销标识时，将标识序列号加入标识撤销列表中。

4.根据权利要求1所述的基于国密SM9密码算法的群签名标识签发方法，其特征在于，步骤(5)中所述的有效是指同时满足以下两个条件的情形：

条件1，撤销列表中不存在标识的序列号；

条件2，撤销列表中不存在标识申请者所属的叶子认证中心的序列号。

Images