CN110034936B

CN110034936B - 一种可刺穿的数字签名方法

Info

Publication number: CN110034936B
Application number: CN201910279881.8A
Authority: CN
Inventors: 徐静; 李新宇; 张振峰
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2019-04-08
Filing date: 2019-04-08
Publication date: 2021-04-30
Anticipated expiration: 2039-04-08
Also published as: CN110034936A

Abstract

本发明提供一种可刺穿的数字签名方法，该方法使用布隆过滤器完成刺穿操作进而实现密钥更新，使用SM9算法实现签名和验证功能。支持对消息任意预设定位置字符串的刺穿，更新后的密钥无法对任意包含刺穿字符串的消息做签名。密钥更新操作仅需常数代价，且能够保持底层SM9算法的签名和验证效率，整体效率较高。所有操作均可在实际中部署，实用性较强。本方法可以应用到基于权益证明的区块链协议中，以抵抗密钥泄露带来的长距离攻击。

Description

一种可刺穿的数字签名方法

技术领域

本发明属于计算机技术与信息安全技术领域，涉及一种利用布隆过滤器和基于身份的签名构造的可刺穿签名方法。

背景技术

数字签名是一项重要的认证技术，签名者使用私钥对消息做签名，验证者使用公钥对签名做有效性验证。数字签名具有不可抵赖性质，即攻击者无法冒充私钥拥有者进行签名。数字签名目前广泛地应用于各类密码协议中，常见的数字签名标准如ECDSA等。

长期密钥泄露是目前认证协议安全性分析中经常考虑的一种攻击场景，这种考虑具有现实意义，即敌手可能在现阶段无法获取密钥，但经过一段时间敌手的攻击能力增强之后，这种攻击便成为可能。长期密钥即签名私钥泄漏后，敌手可以冒充签名者，传统签名方案将完全被攻破。在基于权益证明的区块链协议中，密钥泄露(通过敌手的贿赂等手段)带来的长距离攻击可以允许敌手篡改区块链历史，从而造成双花费攻击，是一种严重的安全威胁。

可刺穿签名考虑长期密钥泄漏对已有签名的安全性影响，提供对签名消息的刺穿功能，保证敌手即便获取私钥仍然无法伪造对已签名消息的签名。简单地说，刺穿功能对应密钥更新操作，以刺穿消息和当前密钥作为输入，输出的更新密钥将无法对包含刺穿消息的内容做签名。方案构造中，刺穿消息可以是签名消息的整体也可以是签名消息的任意指定字段。

可刺穿签名可以用于基于权益证明的区块链协议中抵抗密钥泄露带来的长距离攻击，即区块发布者在某一位置发布区块后，对该位置信息做刺穿操作，更新后的密钥无法在该位置做新的签名，使得敌手无法篡改区块链历史。除此之外，可刺穿签名还可以用于异步通信中，比如在线交易等。这类场景中，发送者向接收者(非交互地)发送签名的交易信息，但由于网络不同步以及接收者可能未在线，密钥泄露会造成发送者的签名受到篡改，交易的完整性得不到保证。刺穿签名可以通过在交易ID处做刺穿，使得敌手无法篡改对应ID的交易内容，从而实现对完整性的保证。随着异步网络的发展以及安全性需求的不断升级，刺穿签名将得到更加广泛的应用。

发明内容

本发明的目的在于提供一种可刺穿的数字签名方法，本发明基于布隆过滤器和国产密码标准SM9(已被ISO/IEC 14888-3收录成为国际标准)，可应用到基于权益证明的区块链协议中，可以抵抗密钥泄露带来的长距离攻击，且运行效率高。

为实现上述目的，本发明采用如下技术方案：

一种可刺穿的数字签名方法，包括以下步骤：

步骤1：密钥初始化，利用SM9算法为每个位置身份i∈[l]分发对应的私钥sk_i；

步骤2：签名算法，选取位置身份

处的私钥对消息m做签名，输出签名σ；

步骤3：刺穿算法，对字符串str做刺穿，完成对当前密钥的更新；

步骤4：签名验证算法，利用公钥vk，验证消息m的签名σ。

优选地，步骤1具体包括：

1)首先产生双线性映射的参数(p,e,ψ,G₁,G₂,G_T,P₁,P₂)，运行({H_j}_j∈[k],T)←Gen(l,k)生成布隆过滤器BF＝(BF.Gen,BF.Update,BF.Check)实例，选取哈希函数

和

2)随机地选择

作为主密钥，并为每一个位置身份i∈[l]分发私钥

系统公钥为vk＝(P_pub,g,{H_j}_j∈[k])，其中P_pub＝sP₂，g＝e(P₁,P_pub)。

优选地，步骤2具体包括：

1)系统预设定消息的刺穿信息，包括位置信息和长度信息。

2)检测BF.Check({H_j}_j∈[k],T,str)是否等于1，其中字符串str为消息m的刺穿字段，如果等于1，则签名失败，输出⊥。否则，挑选一个随机的

满足

且

3)随机地选取

计算r＝g^x,h＝h₂(m,r),

4)输出对消息m的签名

优选地，步骤3具体包括：

1)计算T′＝Update({H_j}_j∈[k],T,str)，更新布隆过滤器状态位。

2)对于任意的i∈[l]，更新私钥为

优选地，步骤4具体包括：

验证

是否成立，其中字符串str为消息m的刺穿字段且S_str＝{H_j(str):j∈[k]}，如果成立，则签名有效，输出“1”，否则输出“0”。

一种可刺穿的数字签名系统，包括存储器和处理器，该存储器存储计算机程序，该程序被配置为由该处理器执行，该程序包括用于执行上述方法中各步骤的指令。

本发明基于布隆过滤器与SM9签名算法，提供对签名消息的刺穿功能，保证敌手即便获取私钥仍然无法伪造对已刺穿消息的签名，具体地包括以下两个重要的方面：

一、可刺穿签名方案的构造

本发明的可刺穿签名方案由系统建立Setup、刺穿Puncture、签名Sign和验证Verify四个算法组成，安全性基于τ-SDH困难假设。

该刺穿签名方案具备以下性质：1)可以实现对消息任意字段的刺穿功能；2)密钥更新过程中只需更新私钥，无需更新公钥，更符合实际应用场景；3)方案实际可用，所有操作均可实际部署；4)签名/验证算法能够保持底层基本签名/验证算法的效率；5)密钥更新操作高效，仅需常数代价。

二、将本发明应用到基于权益证明的区块链协议中

可刺穿签名可以用来在基于权益证明的区块链协议中发布区块，通过对区块消息中的时间字段做刺穿，能够抵抗密钥泄露带来的长距离攻击。

具体实施方式

为使本发明的上述特征和优点能更明显易懂，下面通过具体实施例，对本发明的技术方案做进一步说明。

一、符号说明

λ代表安全参数，[n]表示整数集合{1,...,n},

(p为素数)表示集合{1,...,p-1}，∩和∪分别代表集合求交集、求并集运算符。对于任意的数组T∈{0,1}ⁿ，用T[i](i≤n)代表T的第i个元素。

二、布隆过滤器

布隆过滤器(Bloom Filter，BF)可以用来检索一个元素是否在一个集合S中，其中：S中的元素均属于集合U。简单来说，如果输入的元素s满足s∈S，则BF输出“1”，否则以较大的概率输出“0”。布隆过滤器由参数生成算法Gen、更新算法Update和检测算法Check组成：

·Gen(l,k):输入两个整数l和k,Gen算法首先选取k个独立的哈希函数H₁,...,H_k，其中H_j:U→[l](j∈[k])。定义H＝{H_j}_j∈[k]，T＝0^l(T是一个l比特的数组，所有比特初始为0)。输出(H,T)。

·Update(H,T,u):输入H＝{H_i}_i∈[k]，T∈{0,1}^l和u∈U，Update算法首先设置更新后的状态T'为T'＝T，之后对于任意的i∈[k]令T'[H_i(u)]＝1，并返回T'。

·Check(H,T,u)：输入H＝{H_i}_i∈[k]，T∈{0,1}^l和u∈U,Check算法返回b＝∩_i∈[k]T[H_i(u)]。

对于任意的元素集合S＝{s₁,…,s_n}∈Uⁿ，首先运行(H,T₀)←Gen(l,k)，然后对于i∈[n]运行T_i＝Update(H,T_i-1,s_i)。BF具有如下性质：(1)对于任意s∈S有Pr[Check(H,T_n,s)＝1]＝1；(2)对于任意

有Pr[Check(H,T_n,s)＝1]≈(1-e^kn/l)^k。也就是说，对于集合中包含的元素，BL总输出1，否则以一定的容错概率pr＝(1-e^kn/l)^k输出1。

三、双线性映射

G₁,G₂和G_T是三个阶均为素数p的群，P₁和P₂分别是G₁和G₂的生成元，存在G₂到G₁的同态映射ψ:G₂→G₁使得ψ(P₂)＝P₁。双线性映射e:G₁×G₂→G_T满足如下条件：

·双线性性：对任意的(P,Q)∈G₁×G₂和

有e(aP,bQ)＝e(P,Q)^ab。

·非退化性：e(P₁,P₂)≠1。

·可计算性：对任意的(P,Q)∈G₁×G₂，存在有效的算法计算e(P,Q)。

四、可刺穿签名方案

在本发明中，可刺穿签名方案基于BF和国产密码标准SM9(ISO/IEC 14888-3国际标准)。方案描述过程中，假设消息的刺穿位置是系统预先设定的。

令参数(p,e,ψ,G₁,G₂,G_T,P₁,P₂)选取满足双线性映射定义，BF＝(BF.Gen,BF.Update,BF.Check)为布隆过滤器。

和

为哈希函数。可刺穿签名方案由系统建立算法Setup、刺穿算法Puncture、签名算法Sign和验证算法Verify组成：

·Setup(1^λ,l,k)：首先运行({H_j}_j∈[k],T)←Gen(l,k)生成BF实例，然后随机地选取

并输出私钥sk和公钥vk：

sk＝(T,{sk_i}_i∈[l])，vk＝(P_pub,g,{H_j}_j∈[k])，

其中

P_pub＝sP₂，g＝e(P₁,P_pub)。

·Puncture(sk,str)：输入私钥sk＝(T,{sk_i}_i∈[l])和字符串str，其中

或者⊥，首先计算T′＝Update({H_j}_j∈[k],T,str)，然后对于任意的i∈[l]定义：

其中T′[i]代表数组T′的第i比特。最终，算法返回sk′＝(T′,{sk_i′}_i∈[l])。

·Sign(sk,m)：输入私钥sk＝(T,{sk_i}_i∈[l])和消息m，其中m的刺穿字段为字符串str。算法首先检查是否BF.Check({H_j}_j∈[k],T,str)＝1，如果是则输出⊥。否则，注意到BF.Check({H_j}_j∈[k],T,str)＝0意味着至少存在一个i_j∈{i₁,...,i_k}满足

其中i_j＝H_j(str)(j∈[k])，因此挑选一个随机的

对应位置的私钥为

算法随机地选取

并计算r＝g^x，然后计算h＝h₂(m,r),

最终，算法输出对消息m的签名为

·Verify(vk,m,σ)：输入公钥vk＝(P_pub,g,{H_j}_j∈[k])，消息m和签名

其中m的刺穿字段为字符串str。算法验证以下条件是否成立：

其中S_str＝{H_j(str):j∈[k]}，如果“是”，则算法输出“1”(接受)，否则输出“0”(拒绝)。

五、本发明在基于权益证明的区块链协议中的应用

在基于权益证明的区块链协议中，区块发布者在当前时间段slot处发布区块时，利用可刺穿签名对消息做签名，之后进入下一个时间段。待签名的消息包括当前时间段slot、交易信息和当前区块状态等信息，签名结束后对消息的slot部分执行刺穿操作得到更新后的密钥。根据可刺穿签名的性质，更新后的密钥将无法再对相同的slot做签名，从而保证了敌手无法更改区块链的历史。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，本发明的保护范围应以权利要求所述为准。

Claims

1.一种可刺穿的数字签名方法，其特征在于，包括以下步骤：

利用SM9算法产生双线性映射的参数，生成布隆过滤器实例，选取哈希函数，并利用主密钥为每个位置身份分发私钥；

根据消息m的预设定刺穿字段str，检查对应位置的私钥是否存在，检查对应位置的私钥是否存在的方法为：检测BF.Check({H_j}_j∈[k],T,str)是否等于0，如果等于0，则存在私钥，私钥的对应位置为

满足

其中，BF.Check为布隆过滤器的检测算法，H_j为哈希函数，k为整数，T为数组；

如果存在，则随机选取一位置身份

处的私钥，对消息m进行签名；

对刺穿字段str做刺穿，完成对当前私钥的更新；

利用公钥验证消息m的签名。

2.如权利要求1所述的方法，其特征在于，所述双线性映射的参数为(p,e,ψ,G₁,G₂,G_T,P₁,P₂)，其中，G₁,G₂和G_T是三个阶均为素数p的群，P₁和P₂分别是G₁和G₂的生成元，存在G₂到G₁的同态映射ψ:G₂→G₁使得ψ(P₂)＝P₁，双线性映射e:G₁×G₂→G_T；该双线性映射e:G₁×G₂→G_T满足如下条件：

双线性性：对任意的(P,Q)∈G₁×G₂和