CN110380867B - 一种基于身份的轻量签名方法及系统 - Google Patents

Abstract

本发明公开了一种基于身份的轻量签名方法及系统，包括如下步骤：步骤1，生成系统参数；步骤2，获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥；步骤3，利用私钥作为底数，生成消息m的签名；步骤4，验证消息m的签名。本发明基于身份信息，依赖RSA猜想构造私钥和签名保证私钥的安全性，同时采用模运算和幂运算的快速运算方式，可以提高运算效率。

Description

一种基于身份的轻量签名方法及系统

技术领域

本发明涉及信息安全技术领域，尤其是一种基于身份的轻量签名方法及系统。

背景技术

基于身份的签名是一种签名方案，它避免了传统PKI机制下证书管理的困扰，允许用户在不交换私钥或公钥、不保留密钥目录和不使用第三方服务的情况下验证彼此的签名。在基于身份的签名方案中，用户的公钥是根据用户的身份信息(如姓名、地址、电子邮件等)生成的。当前大多数基于身份的签名方案都是依赖于双线性配对设计的，由于在双线性配对上一次映射是比较耗时的，所以这些方案在计算资源受限制且要求运算速度较快的场景下不太适用，如车联网、智慧医疗等。依赖于大数分解问题或者RSA猜想设计的基于身份的签名方案所需计算资源较少，耗时较短，但实用的方案较少。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于身份的轻量签名方法及系统。

本发明提供的一种基于身份的轻量签名方法，包括如下步骤：

步骤1，生成系统参数；

步骤2，获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥；

步骤3，利用私钥作为底数，生成消息m的签名；

步骤4，验证消息m的签名。

进一步地，所述步骤1中生成系统参数的方法为：设置公钥为pk＝(g，n，U，H，H₀)；其中，p和q为随机选取的两个大素数，n＝pq，g为从有限域

上随机选取的一个元素；U为用户的身份集合；H和H₀是两个安全的hash函数，

和H0：U×Z_n→Z_n；主密钥为msk＝(p，q)；Z_n表示n的最小非负完全剩余系。

进一步地，所述步骤2中获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥的方法为：对于身份id∈Z_n，随机选取一个整数V_id，计算W_id＝H₀(id，V_id)，

则用户身份为id的私钥为(g_id，V_id)。

进一步地，所述步骤3中利用私钥作为底数，生成消息m的签名的方法为：对于消息m∈Z_n，签名者id从Z_n中随机选取一个元素a，计算σ1＝g^amod n，

则消息m的签名为(v_id，σ₁，σ₂)。

进一步地，所述步骤4中验证消息m的签名的方法为：接收消息m的签名为(v_id，σ₁，σ₂)，验证等式：

若该等式成立则签名验证成功，否则签名验证失败。

本发明还提供一种基于身份的轻量签名系统，包括：

签名服务器，用于生成系统参数，以及获取签名端的身份信息，并基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥；

签名端，用于利用私钥作为底数，生成消息m的签名；

签名接收端，用于验证消息m的签名。

进一步地，所述签名服务器包括：

参数模块，用于生成系统参数；

获取模块，用于获取签名端的身份信息；

生成模块，用于基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明基于身份信息，依赖RSA猜想构造私钥和签名保证私钥的安全性，同时采用模运算和幂运算的快速运算方式，可以提高运算效率。

2、本发明在每次签名时都重新选取元素a进行签名，通过使用不同的底数，使得直接从签名的σ₂中恢复出g_id时，需要面临解决离散对数困难问题，由此进一步保证了本发明的用户私钥的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的基于身份的轻量签名方法的流程框图。

图2为本发明的基于身份的轻量签名系统的架构框图。

具体实施方式

以下结合实施例对本发明的特征和性能作进一步的详细描述。

实施例1

本实施例提供的一种基于身份的轻量签名方法，如图1所示，包括如下步骤：

步骤1，生成系统参数：

设置公钥为pk＝(g,n，U,H，H₀)；其中，p和q为随机选取的两个大素数，n＝pq，g为从有限域

上随机选取的一个元素；U为用户的身份集合；H和H₀是两个安全的hash函数，

和H₀：U×Z_n→Z_n；主密钥为msk＝(p，q)；Z_n表示n的最小非负完全剩余系。

步骤2，获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥：对于身份id∈Z_n，随机选取一个整数V_id，计算W_id＝H₀(id，V_id)，

则用户身份为id的私钥为(g_id，V_id)。

根据RSA猜想：从有限域

上随机选择一个元素y和一个素数e且e满足gcd(e，φ(n))＝1mod n，φ(n)＝(p-1)(q-1)。在已知(y，e，n)的情况下，从

上找出一个元素x满足x^e＝y mod n，这是困难的。因此，本发明在已知g和W_id求解g_id的过程可以解决该问题。

步骤3，利用私钥作为底数，生成消息m的签名：

对于消息m∈Z_n，签名者id从Z_n中随机选取一个元素a，计算σ₁＝g^a mod n，

则消息m的签名为(v_id，σ₁，σ₂)。其中，本发明在每次签名时都重新选取元素a进行签名，通过使用不同的底数，使得直接从签名的σ₂中恢复出g_id时，需要面临解决离散对数困难问题，由此保证了本发明的用户私钥的安全性。

同时，本发明根据RSA猜想，在构造私钥和消息m的签名时，使用了计算简单的模运算和幂运算，进一步的，本发明构造的私钥和消息m的签名采用快速幂运算，可以很快计算出结果。

步骤4，验证消息m的签名：

接收消息m的签名为(v_id，σ₁，σ₂)，验证等式：

若该等式成立，即

则签名验证成功，否则签名验证失败。

实施例2

本发明还提供一种基于身份的轻量签名系统，如图2所示，包括：

签名服务器，用于生成系统参数，以及获取签名端的身份信息，并基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥；

签名端，用于利用私钥作为底数，生成消息m的签名；

签名接收端，用于验证消息m的签名。

进一步地，所述签名服务器包括：

参数模块，用于生成系统参数；

获取模块，用于获取签名端的身份信息；

生成模块，用于基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥。

其中，签名服务器，签名端和签名接收端的实现方法如实施例1所述，在此不再赘述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于身份的轻量签名方法，其特征在于，包括如下步骤：

步骤1，生成系统参数；

步骤2，获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥；

步骤3，利用私钥作为底数，生成消息m的签名；

步骤4，验证消息m的签名；

所述步骤1中生成系统参数的方法为：设置公钥为pk＝(g，n，U，H，H₀)；其中，p和q为随机选取的两个大素数，n＝pq，g为从有限域

上随机选取的一个元素；U为用户的身份集合；H和H₀是两个安全的hash函数，

和H₀：U×Z_n→Z_n；主密钥为msk＝(p，q)；Z_n表示n的最小非负完全剩余系；

所述步骤2中获取身份信息，并基于身份信息和系统参数，采用模运算和幂运算生成私钥的方法为：对于身份id∈Z_n，随机选取一个整数V_id，计算W_id＝H₀(id，V_id)，

则用户身份为id的私钥为(g_id，V_id)；

所述步骤3中利用私钥作为底数，生成消息m的签名的方法为：对于消息m∈Z_n，签名者id从Z_n中随机选取一个元素a，计算σ₁＝g^amod n，

则消息m的签名为(v_id，σ₁，σ₂)；

所述步骤4中验证消息m的签名的方法为：接收消息m的签名为(v_id，σ₁，σ₂)，验证等式：

若该等式成立则签名验证成功，否则签名验证失败。

2.一种基于身份的轻量签名系统，其特征在于，所述基于身份的轻量签名系统用于实现权利要求1所述的基于身份的轻量签名方法，包括：

签名服务器，用于生成系统参数，以及获取签名端的身份信息，并基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥；

签名端，用于利用私钥作为底数，生成消息m的签名；

签名接收端，用于验证消息m的签名；

所述签名服务器包括：

参数模块，用于生成系统参数；

获取模块，用于获取签名端的身份信息；

生成模块，用于基于签名端的身份信息和系统参数，采用模运算和幂运算生成私钥。

Images