CN110086631B - 一种可更新变色龙哈希函数的方法 - Google Patents

Abstract

本发明公开了一种可更新变色龙哈希函数的方法，属于网络安全技术领域。本发明包括：系统初始化，密钥生成，计算哈希，验证哈希，计算碰撞，更新碰撞，根据陷门密钥，对满足碰撞的变色龙随机数进行周期性的更新，被正确更新后的变色龙随机数可以在当前时间点内通过认证，反之，无法通过认证，解决现有技术中的变色龙哈希函数的变色龙哈希值存在效率性和安全性的问题。本发明适用于安全和高效的计算变色龙哈希值，并且能够抗密钥泄露，可以对满足碰撞的变色龙随机数进行周期性的更新，防止碰撞值被滥用，同时提高变色龙哈希值的新鲜性。

Description

一种可更新变色龙哈希函数的方法

技术领域

一种可更新变色龙哈希函数的方法，属于网络安全领域，用于变色龙哈希函数的变色龙哈希函数的哈希值更新。

背景技术

简单的来说，变色龙哈希函数是一种单向陷门函数，在没有陷门密钥的情况下，计算满足碰撞的一对变色龙哈希值输出(即变色龙哈希值一致，但是变色龙随机数不一致)是困难的。变色龙哈希函数作为一种早期提出的密码方案，已经广泛应用到包括：变色龙签名，不可抵赖签名，不可抵赖认证，离线在线签名和加密等方案的设计中去，作为方案设计底层的基石。

当前变色龙哈希值存在效率性和安全性的问题。就效率性而言，部分方案使用到基于双线性对的计算，由于该计算耗费大，而变色龙哈希作为一个哈希函数，必须满足计算高效性的特性，因此宜优先考虑不用双线性对的设计；就安全性而言，当前的变色龙哈希方案需要考虑抗密钥泄露和防止碰撞值被滥用的问题。

现有技术中，陷门的滥用问题也广泛存在，对于一个通过伪造算法产生的新的变色龙随机数，任何人可以使用该变色龙随机数向外界证明碰撞的存在，然而，该变色龙随机数并非由持有该哈希值的人产生，而是由陷门持有者在此前一段时间产生的。

此外，哈希值的新鲜性也是需要解决的问题之一，过去的方案，对于已经产生的哈希值，往往无法验证其哈希值的新鲜性，即无法获知该哈希值是在当前产生的，还是过去产生的，这对于需要使用变色龙哈希函数作为输入的算法产生安全隐患。

针对陷门密钥的安全问题，Ateniese早期在《On the key exposure problem inchameleon hashes》文章上首次考虑了设计抗密钥泄露的变色龙哈希函数，这里的抗密钥泄露问题指的是给定一组满足碰撞的哈希值，无法从中恢复得到陷门密钥(为变色龙哈希方案的主密钥)。此方案计算碰撞的同时，为造成密钥泄露，即更定两个碰撞，通过联立相应的哈希计算公式，可以从中计算得到陷门密钥x，因此如果要解决该计算问题，此类方案存在重要的安全隐患。

发明内容

针对上述研究的问题，本发明的目的在于提供一种可更新变色龙哈希函数的方法，解决现有技术中的变色龙哈希函数的变色龙哈希值存在效率性和安全性的问题。

为了达到上述目的，本发明采用如下技术方案：

一种可更新变色龙哈希函数的方法，包括下列步骤：

步骤a.系统初始化：

选择安全参数λ，设置系统公开参数P；

步骤b.密钥生成：

根据系统公开参数P，计算陷门密钥tk和哈希密钥hk；

步骤c.计算变色龙哈希值：

根据哈希密钥hk、交易信息CID、时间t和随机数α，计算变色龙随机数r和消息m的变色龙哈希值

步骤d.验证变色龙哈希值，若验证通过则继续以下步骤，否则便终止；

验证变色龙哈希值

根据哈希密钥hk、交易信息CID、由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，验证数组

的变色龙哈希值

并输出⊥,0或1，⊥表示错误信号，0表示验证未通过，1表示验证通过；

步骤e.对验证通过的变色龙哈希值计算碰撞：

根据陷门密钥tk、交易信息CID、新消息m′、一个由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，输出一个满足碰撞的新的变色龙随机数r′或⊥；

步骤f.对验证通过的变色龙哈希值更新碰撞：

根据陷门密钥tk、交易信息CID、一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

以及时间增量Δt，输出更新后的变色龙随机数r″或⊥；

进一步，所述步骤a中，设置系统公开参数P的具体步骤为：

根据安全参数λ选择一个生成元为g，群阶数为q的群G，即GDH群；

设置两个哈希函数：H₁:{0,1}^*→G和H₂:{0,1}^*→Z_q，Z_q＝{0,1,…,q-1}，为q阶整数群；

设置Δt为一个全局时间周期，用于参照该参数Δt，进行周期性的更新和验证变色龙哈希值；

输出系统公开参数P＝<G,q,g,H₁,H₂,Δt>；

进一步，所述步骤b中，密钥生成的具体步骤为：

根据系统公开参数P，选择一个随机数

作为陷门密钥tk，计算哈希密钥hk＝y＝g^x，输出陷门密钥和哈希密钥(tk,hk)，其中，

表示从q阶去单位元的整数群

中随机选取一个值，从Z_q＝{1,…,q-1}中随机选取一个值。

进一步，所述步骤c中，计算消息m的变色龙哈希值的具体步骤为：

随机选择一个交易信息CID∈{0,1}^*，CID充当随机数，用于避免密钥泄露，选择一个随机数

计算h＝H₁(CID)；

根据随机数α、生成元g和时间t∈Z_q，计算变色龙随机数r＝(g^αt,g^αt)，并根据变色龙随机数r和h计算消息m的变色龙哈希值

t∈Z_q表示使用系统初始化阶段定义的哈希函数H₂()，将任意格式的消息转化为一阶整数群Z_q上的一个值，根据当前时间，输入哈希函数H₂()，获得一个当前时间t∈Z_q；

输出变色龙哈希值和变色龙随机数

进一步，所述步骤d中，验证变色龙哈希值的具体步骤为：

由消息m、变色龙哈希值

和变色龙随机数r组成的数组

首先判断<g,g^αt,y,y^αt>是否为满足<g,g^αt,g^x,y^xat>的Diffie-Hellman数组，如果不成立，则输出错误信号⊥；否则，计算h＝H₁(CID)，计算并验证

若等式不成立，则返回0；否则，返回1。

进一步，所述步骤e中，计算碰撞的具体步骤为：

根据陷门密钥tk、交易信息CID、新消息m′、一个由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，输出一个满足碰撞的新的变色龙随机数r′或⊥；

计算碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID,一个由消息m、变色龙哈希

和变色龙随机数r组成的数组

以及时间t，新消息m′和陷门密钥tk，计算h＝H₁(CID)，然后计算新的变色龙随机数

其中，α′表示与原来不相同的随机数，g^α′t将α′t和g绑定在一起，用于区分不同变色龙哈希值，y^α′t将α′t和y绑定在一起，用于绑定哈希密钥和哈希值在一起，拥有陷门密钥x的用户通过(g^α′t,y^α′t)能正确计算出保持变色龙哈希值不变的碰撞随机数r′；

判断<g,g^α′t,y,y^α′t>是否为满足<g,g^α′t,g^x,y^xα′t>的Diffie-Hellman数组，若不成立，则输出⊥，否则，输出满足碰撞的一个新的变色龙随机数r′，以上为计算的碰撞；

进一步，所述步骤f中，更新碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID,一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

根据时间增量Δt和陷门密钥tk，计算h＝H₁(CID)，然后计算更新后的变色龙随机数

α″表示与原来不相同的随机数；

检查<g,g^α″(t+Δt),y,y^α″(t+Δt)>是否为Diffie-Hellman数组，即是否满足<g,g^α″(t+Δt),g^x,g^{xα″(t+Δt)}>，若不成立，则输出⊥，否则，判断等式

是否成立，若等式不成立，则输出⊥，否则，输出更新后的变色龙随机值r″，即更新的碰撞。

本发明同现有技术相比，其有益效果表现在：

(1)本发明未采用双线性对，各个自算法的计算开销主要来自于有限的指数运算，因此满足高效性，满足变色龙哈希算法的使用需求；

(2)本发明满足抗密钥泄露性，本发明的安全可以被规约到计算性Diffie-Hellman问题上去，因此该技术方案是安全的；

(3)本发明允许对变色龙哈希值所对应的变色龙随机数进行周期性的更新，被正确更新后的变色龙随机数可以在当前时间点通过认证，因此有效的防止满足碰撞的变色龙随机数被肆意滥用，因此该技术方案是安全的。

(4)本发明允许将时间作为计算变色龙哈希值的参数，并且以此为依据对该变色龙哈希值进行验证，以确保变色龙哈希值是在当前时间节点产生的，而不是在过去产生的，从而确保变色龙哈希值的新鲜性。

(5)本发明为了防止碰撞被滥用的问题，对变色龙随机数加以时间限制，确保满足碰撞的变色龙随机数只能在一定时间范围内得到使用，从而有效控制碰撞被滥用的问题，由此一来，需要对陷门进行实时的周期性的动态更新，以确保以前生效的碰撞，在新的时间节点(即更新后)仍然生效，为了确保计算开销和安全性满足实际需求，可以人为的对更新周期进行调整，以此在计算耗费和安全性上求得一个平衡。

附图说明

图1是本发明的流程示意图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

本发明包括：系统初始化，密钥生成，计算哈希，验证变化龙哈希值，计算碰撞，更新碰撞，根据陷门密钥，对满足碰撞的变色龙随机数进行周期性的更新，被正确更新后的变色龙随机数可以在当前时间点内通过认证，反之，无法通过认证。本发明适用于安全和高效的计算变色龙哈希值，并且能够抗密钥泄露，可以对满足碰撞的变色龙随机数进行周期性的更新，防止碰撞值被滥用，同时提高变色龙哈希值的新鲜性。具体如下：

一种可更新变色龙哈希函数的方法，包括下列步骤：

步骤a.系统初始化：

选择安全参数λ，设置系统公开参数P；

设置系统公开参数P的具体步骤为：

根据安全参数λ选择一个生成元为g，群阶数为q的群G，即GDH群，GDH为GapDiffie-Hellman，具体的定义如下:在GDH群上，CDH问题是困难的，但是DDH问题存在有效的解法，其中，CDH代表Computational Diffie-Hellman问题，DDH代表Decisional Diffie-Hellman问题。具体的GDH群的构建方法，以及CDH和DDH问题的定义，在文献<D.Boneh,B.Lynn,H.Shacham,”Short signatures from the weil pairing”,2001.>中有详细说明，即文献中在Gap Diffie-Hellman中，Computational Diffie-Hellman问题是困难的，而Decisional Diffie-Hellman问题是容易的，即存在有效的解决方法；

设置两个哈希函数：H₁:{0,1}^*→G和H₂:{0,1}^*→Z_q，Z_q＝{0,1,…,q-1}，为q阶整数群；

设置Δt为一个全局时间周期，用于参照该参数Δt，进行周期性的更新和验证变色龙哈希值；

输出系统公开参数P＝<G,q,g,H₁,H₂,Δt>。

步骤b.密钥生成：

根据系统公开参数P，计算陷门密钥tk和哈希密钥hk；

密钥生成的具体步骤为：

根据系统公开参数P，选择一个随机数

作为陷门密钥tk，计算哈希密钥hk＝y＝g^x，输出陷门密钥和哈希密钥(tk,hk)，其中，

表示从q阶去单位元的整数群

中随机选取一个值，即从Z_q＝{1,…,q-1}中随机选取一个值；

步骤c.计算哈希值：

根据哈希密钥hk、交易信息CID、时间t和随机数α，计算变色龙随机数r和消息m的变色龙哈希值

计算消息m的哈希值的具体步骤为：

随机选择一个交易信息CID∈{0,1}^*，CID充当随机数，用于避免密钥泄露，选择一个随机数

计算h＝H₁(CID)；

根据随机数α、生成元g和时间t∈Z_q，计算变色龙随机数r＝(g^αt,g^αt)，并根据变色龙随机数r和h计算消息m的变色龙哈希值

t∈Z_q表示使用系统初始化阶段定义的哈希函数H₂()，将任意格式的消息转化为一阶整数群Z_q上的一个值，就能根据当前时间，输入哈希函数H₂()，获得一个当前时间t∈Z_q；

输出变色龙哈希值和变色龙随机数

步骤d.若要计算碰撞或更新碰撞，需先验证变色龙哈希值，若验证通过计算碰撞或更新碰撞，否则，不计算碰撞或更新碰撞；

验证变色龙哈希值：

根据哈希密钥hk、交易信息CID、由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，验证数组

的变色龙哈希值，并输出⊥,0或1，⊥表示错误信号，0表示验证未通过，1表示验证通过；

验证变色龙哈希值的具体步骤为：

由消息m、变色龙哈希值

和变色龙随机数r组成的数组

首先判断<g,g^αt,y,y^αt>是否为Diffie-Hellman数组，即是否满足<g,g^αt,g^x,y^xαt>，是通过在GDH群上存在的高效的算法验证数组是否属于Diffie-Hellman数组，具体见文献<D.Boneh,B.Lynn,H.Shacham,”Short signatures from the weil pairing”,2001.>，如果不成立，则输出错误信号⊥；否则，计算h＝H₁(CID)，计算并验证

若等式不成立，则返回0；否则，返回1

步骤e.计算碰撞：

根据陷门密钥tk、交易信息CID、新消息m′、一个由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，输出一个满足碰撞的新的变色龙随机数r′或⊥；

计算碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID,一个由消息m、变色龙哈希

和变色龙随机数r组成的数组

以及时间t，根据时间t，新消息m′和陷门密钥tk，计算h＝H₁(CID)，然后计算新的变色龙随机数

其中，α′表示与原来不相同的随机数，g^α′t将α′t和g绑定在一起，用于区分不同变色龙哈希值，y^α′t将α′t和y绑定在一起，用于绑定哈希密钥和哈希值在一起，即拥有陷门密钥x的用户通过(g^α′t,y^α′t)能正确计算出保持变色龙哈希值不变的碰撞随机数r′；

判断<g,g^α′t,y,y^α′t>是否为Diffie-Hellman数组，即是否满足<g,g^α′t,g^x,y^xα′t>，若不成立，则输出⊥，否则，输出满足碰撞的一个新的变色龙随机数r′，即为计算的碰撞。

步骤f.更新碰撞：

根据陷门密钥tk、交易信息CID、一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

以及时间增量Δt，输出更新后的变色龙随机数r″或⊥。

更新碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID,一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

根据时间增量Δt和陷门密钥tk，计算h＝H₁(CID)，然后计算更新后的变色龙随机数

α″表示与原来不相同的随机数；

检查<g,g^α″(t+Δt),y,y^α″(t+Δt)>是否为Diffie-Hellman数组，即是否满足<g,g^α″(t+Δt),g^x,g^{xα″(t+Δt)}>，若不成立，则输出⊥，否则，判断等式

是否成立，若等式不成立，则输出⊥，否则，输出更新后的变色龙随机值r″，即更新的碰撞。

在本发明中，我们提出的方案满足该特性(抗密钥泄露问题指的是给定一组满足碰撞的变化龙哈希值，无法从中恢复得到陷门密钥(为变色龙哈希方案的主密钥))，以下我们简单的证明：给定任意一组满足碰撞的

和

对于同一交易信息CID，我们有h＝H₁(CID)和

由此，我们可以推导得到

基于可证明安全定理，我们可以简单的把我们的抗密钥泄露问题规约到计算性Diffie-Hellman问题(CDHP)上去，即给定g,g^x,h，计算h^x是困难的。由于上述我们给出了如何通过我们的方案能够推导得到h^x，因此可以规约到CDHP问题上去，由于CDHP问题是困难的，所以我们的方案是抗密钥泄露的。

此外，针对防止碰撞被滥用的问题，我们在本发明中提出的解决方法是周期性的对变色龙哈希值及其对应的变色龙随机数进行更新，更新后的值能够在当前时间点下通过认证，反之，无法通过。

综上所述，我们在本发明中提出一种可更新变色龙哈希函数的方法，该方案高效，抗密钥泄露并且防止碰撞被滥用，对比其他方案而言，我们的方案是一种更高效和安全的设计。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims (4)

1.一种可更新变色龙哈希函数的方法，其特征在于，包括下列步骤：

步骤a.系统初始化：

选择安全参数λ，设置系统公开参数P；

设置系统公开参数P的具体步骤为：

根据安全参数λ选择一个生成元为g，群阶数为q的GDH群群G，即；

设置两个哈希函数：H₁：{0，1}^*→G和H₂：{0，1}^*→Z_q，Z_q＝{0，1，...，q-1}，为q阶整数群；

设置Δt为一个全局时间周期，用于参照该参数Δt，进行周期性的更新和验证变色龙哈希值；

输出系统公开参数P＝＜G，q，g，H₁，H₂，Δt＞；

步骤b.密钥生成：

根据系统公开参数P，计算陷门密钥tk和哈希密钥hk；

步骤c.计算变色龙哈希值：

根据哈希密钥hk、交易信息CID、时间t和随机数α，计算变色龙随机数r和消息m的变色龙哈希值

步骤d.验证变色龙哈希值，若验证通过则继续以下步骤，否则便终止；

验证变色龙哈希值

根据哈希密钥hk、交易信息CID、由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，验证数组

的变色龙哈希值

并输出⊥，0或1，⊥表示错误信号，0表示验证未通过，1表示验证通过；

步骤e.对验证通过的变色龙哈希值计算碰撞：

根据陷门密钥tk、交易信息CID、新消息m′、一个由消息m、变色龙哈希值

和变色龙随机数r组成的数组

以及时间t，输出一个满足碰撞的新的变色龙随机数r′或⊥；

计算碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID，一个由消息m、变色龙哈希

和变色龙随机数r组成的数组

以及时间t，新消息m′和陷门密钥tk，计算h＝H₁(CID)，然后计算新的变色龙随机数

其中，α′表示与原来不相同的随机数，g^α′t将α′t和g绑定在一起，用于区分不同变色龙哈希值，y^α′t将α′t和y绑定在一起，用于绑定哈希密钥和哈希值在一起，拥有陷门密钥x的用户通过(g^α′t，y^α′t)能正确计算出保持变色龙哈希值不变的碰撞随机数r′；

判断＜g，g^α′t，y，y^α′t＞是否为满足＜g，g^α′t，g^x，y^xα′t＞的Diffie-Hellman数组，若不成立，则输出⊥，否则，输出满足碰撞的一个新的变色龙随机数r′，以上为计算的碰撞；

步骤f.对验证通过的变色龙哈希值更新碰撞：

根据陷门密钥tk、交易信息CID、一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

以及时间增量Δt，输出更新后的变色龙随机数r″或⊥；

更新碰撞的具体步骤为：

根据哈希密钥hk，交易信息CID，一个由消息m、变色龙哈希值

变色龙随机数r和时间t组成的数组

根据时间增量Δt和陷门密钥tk，计算h＝H₁(CID)，然后计算更新后的变色龙随机数

α″表示与原来不相同的随机数；

判断＜g，g^α″(t+Δt)，y，y^α″(t+Δt)＞是否为满足＜g，g^α″(t+Δt)，g^x，g^{xα″(t+Δt)}＞的Diffie-Hellman数组，若不成立，则输出⊥，否则，判断等式

是否成立，若等式不成立，则输出⊥，否则，输出更新后的变色龙随机值r″，以上为更新的碰撞。

2.如权利要求1所述的一种可更新变色龙哈希函数的方法，其特征在于，所述步骤b中，密钥生成的具体步骤为：

根据系统公开参数P，选择一个随机数

作为陷门密钥tk，计算哈希密钥hk＝y＝g^x，输出陷门密钥和哈希密钥(tk，hk)，其中，

表示从q阶去单位元的整数群

中随机选取一个值，从Z_q＝{1，...，q-1}中随机选取一个值。

3.如权利要求2所述的一种可更新变色龙哈希函数的方法，其特征在于，所述步骤c中，计算消息m的变色龙哈希值

的具体步骤为：

随机选择一个交易信息CID∈{0，1}^*，CID充当随机数，用于避免密钥泄露，选择一个随机数

计算h＝H₁(CID)；

根据随机数α、生成元g和时间t∈Z_q，计算变色龙随机数r＝(g^αt，g^αt)，并根据变色龙随机数r和h计算消息m的变色龙哈希值

t∈Z_q表示使用系统初始化阶段定义的哈希函数H₂()，将任意格式的消息转化为一阶整数群Z_q上的一个值，根据当前时间，输入哈希函数H₂()，获得一个当前时间t∈Z_q；

输出变色龙哈希值和变色龙随机数

4.如权利要求3所述的一种可更新变色龙哈希函数的方法，其特征在于，所述步骤d中，验证变色龙哈希值的具体步骤为：

由消息m、变色龙哈希值

和变色龙随机数r组成的数组

首先判断＜g，g^αt，y，y^αt＞是否为满足＜g，g^αt，g^x，y^xαt＞的Diffie-Hellman数组，如果不成立，则输出错误信号⊥；否则，计算h＝H₁(CID)，计算并验证

若等式不成立，则返回0；否则，返回1。

Images