CN110519040A

CN110519040A - 基于身份的抗量子计算数字签名方法和系统

Info

Publication number: CN110519040A
Application number: CN201910642852.3A
Authority: CN
Inventors: 富尧; 钟一民; 余秋炜
Original assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Current assignee: Ruban Quantum Technology Co Ltd; Nanjing Ruban Quantum Technology Co Ltd
Priority date: 2019-07-16
Filing date: 2019-07-16
Publication date: 2019-11-29
Anticipated expiration: 2039-07-16
Also published as: CN110519040B

Abstract

本申请涉及一种基于身份的抗量子计算数字签名方法和系统，本发明中，使用的密钥卡是独立的硬件隔离设备。群组对称密钥池和签名私钥及算法参数均存储在密钥卡中的数据安全区，被恶意软件或恶意操作窃取密钥的可能性大大降低，也不会被量子计算机获取并破解。由于在经典网络中均无涉及公钥和相关算法参数的传输，因此非对称密钥被破解的风险很低。同时非对称算法和群组对称密钥池的结合使用，增加了签名私钥破解的难度。

Description

基于身份的抗量子计算数字签名方法和系统

技术领域

本申请涉及安全通信技术领域，特别是涉及基于身份的抗量子计算数字签名方法和系统。

背景技术

人类进行二十一世纪，信息化浪潮已经席卷了地球的每一个角落。互联网已经将整个世界联系起来，网络深刻的影响着人类的生活方式，它改变了传统的事物处理方法，给我们提供了前所未有的便捷和无线的发展空间。

信息安全有三个原则,通常被称为“三大”(TheBigThree),它起源于对信息资源的机密性、完整性和可用性(Confidentiality，integrity，availability)维护的需要。

数字签名(又称电子签名)作为一项重要的安全技术,在保证数据的完整性、私有性和不可抵赖性方面起着极其重要的作用。同时,随着信息技术的发展及其在商业、金融、法律、政府等部门的普及,数字签名技术的研究将越来越重要。

目前,数字签名技术己应用于商业、金融、政治、军事等领域,特别是在电子邮件(E-mial)、电子资金转帐(EFT)、电子数据交换(EDI)、电子现金(E-cash)、软件分发数据存储和数据完整性检验和源鉴别中的应用,更使人们看到了数字签名的重要性。

数字签名技术利用散列函数保证数据的完整性,同时结合公私钥加解密的优点,保证信息的保密性与不可抵赖性。

对称密钥密码系统的安全性依赖以下两个因素。第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性来自于密钥的秘密性，而不是算法的秘密性。对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。对称加密算法另一个缺点是不容易实现数字签名。所以，在当今的移动电子商务领域中的加密算法实现主要是依赖于公开密钥体制。

自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。但是在传统的公钥密码学中，公钥是与身份无关的字符串，存在如何确认公钥真实性的问题。公钥基础设施PKI运用可信任第三方——认证中心(CertificationAuthority，CA)颁发公钥证书的方式来绑定公钥和身份信息。但是PKI证书办理复杂，需搭建复杂的CA系统，证书发布、吊销、验证和保存需求占用较多资源，这就限制PKI在实时和低带宽环境中的广泛应用。

2001年,斯坦福大学的密码学专家Dan Boneh和加州大学戴维斯分校的教授MattFranklin设计出了实用的基于身份的加密方案IBE。但是该IBE方案并没有说明是否可以用于签名算法。后来Jae Choon Cha和Jung Hee Cheon提出了基于Gap Diffie-Hellman群和身份的数字签名算法IBS。

但是随着量子计算机的发展，经典非对称密钥算法将不再安全，无论加解密算法、签名算法还是密钥交换算法，量子计算机都可以通过公钥计算得到私钥，因此目前常用的非对称密钥将在量子时代变得不堪一击。因此依靠现有的经典非对称算法很难保证签名者的身份。

现有技术存在的问题：

1.现有体系下的公钥所有用户均可访问得到，而量子计算机可以轻松通过公钥计算得到对应的私钥；

2.IBS现有的签名要实现抗量子计算需要涉及到用对称密钥算法加密签名，加密的计算会增加设备端的负担。

发明内容

基于此，有必要针对上述技术问题，提供一种能够减少服务站存储数据量的基于身份的抗量子计算数字签名方法。

本申请公开了基于身份的抗量子计算数字签名方法，实施在签名方，所述抗量子计算数字签名方法包括：

所述签名方将自身的签名方设备信息进行计算得到第一哈希值，利用所述第一哈希值作为密钥指针随机数进行运算得到第一密钥指针，根据所述第一密钥指针在自身存储的群组对称密钥池内找到第一随机数序列，利用所述签名方设备信息和所述第一随机数序列得到第一密钥，利用所述第一密钥进行计算得到第一公钥；

对需要发送的第一消息进行哈希运算得到第二哈希值，利用所述第二哈希值作为密钥指针随机数进行运算得到第二密钥指针，根据所述第二密钥指针在自身存储的群组对称密钥池内找到第二随机数序列，按预设条件生成第一随机数，利用所述第一随机数和所述第一公钥得到第三密钥；利用所述第一消息和所述第二随机数序列生成第一验证码,利用所述第一验证码和所述第三密钥生成第三哈希值,利用所述第一随机数、所述第三哈希值以及自身存储的签名方私钥生成密钥消息，利用所述密钥消息和第三密钥生成第一签名；

向验签方发送所述签名方设备信息，所述第一消息以及所述第一签名；所述所述签名方设备信息用于供所述验签方计算并验证所述第一签名。

本申请公开了基于身份的抗量子计算数字签名方法，实施在验签方，所述抗量子计算数字签名方法包括：

所述验签方获取来自签名方的签名方设备信息，第一消息以及第一签名，所述第一签名由所述签名方利用密钥消息和第三密钥生成，所述密钥消息由所述签名方利用第一随机数、第三哈希值以及签名方私钥生成，所述第一随机数由所述签名方按照预设条件生成，所述第三哈希值由所述签名方利用第一验证码和所述第三密钥生成，所述第一验证码由所述签名方利用所述第一消息和第二随机数序列生成，所述第二随机数序列由所述签名方根据第二密钥指针在自身存储的群组对称密钥池内找到，所述第二密钥指针由所述签名方利用第二哈希值作为密钥指针随机数进行运算得到，所述第二哈希值由所述签名方利用所述第一消息进行哈希运算得到；所述第三密钥由所述签名方利用所述第一随机数和第一公钥得到，所述第一公钥由所述签名方利用第一密钥进行计算得到，所述第一密钥由所述签名方利用所述签名方设备信息和第一随机数序列得到，所述第一随机数序列由所述签名方根据第一密钥指针在自身存储的群组对称密钥池内找到，所述第一密钥指针由所述签名方利用第一哈希值作为密钥指针随机数进行运算得到，所述第一哈希值由所述签名方利用所述签名方设备信息进行计算得到；按照预设规则解密后验证验证所述第一签名。

本申请公开了基于身份的抗量子计算数字签名方法，包括签名方和验签方，所述抗量子计算数字签名方法包括：

向验签方发送所述签名方设备信息，所述第一消息以及所述第一签名；

所述验签方获取所述签名方设备信息，所述第一消息以及所述第一签名后解密、计算并验证所述第一签名。

优选的，所述第一消息由所述签名方加密发送至所述验签方。

本申请公开了一种签名方设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述技术方案中的所述抗量子计算数字签名方法的中的签名方的步骤。

优选的，所述签名方配置有密钥卡，密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。

本申请公开了一种验签方设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述技术方案中的所述抗量子计算数字签名方法的中的验签方的步骤。

优选的，所述验签方配置有密钥卡，密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。

本申请公开了基于身份的抗量子计算数字签名系统，包括设有签名方，验签方以及通信网络；所述签名方，验签方通过所述通信网络实现上述技术方案中的所述抗量子计算数字签名方法的步骤。

优选的，所述签名方和验签方均配置有密钥卡，各密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。本发明中，使用的密钥卡是独立的硬件隔离设备。群组对称密钥池和签名私钥及算法参数均存储在密钥卡中的数据安全区，被恶意软件或恶意操作窃取密钥的可能性大大降低，也不会被量子计算机获取并破解。由于在经典网络中均无涉及公钥和相关算法参数的传输，因此非对称密钥被破解的风险很低。同时非对称算法和群组对称密钥池的结合使用，增加了签名私钥破解的难度。

本发明中，由于数字签名基于含密钥的ID和含密钥的消息，计算所得的数字签名可以抵抗量子计算机对基于身份的公钥密码学的攻击。因此数字签名可以直接传输，无需加密以应对量子计算机的破解。因此本专利方法避免了使用对称密钥加密的方式来抵抗量子计算机的攻击，降低了各方的设备负担。

附图说明

图1为本发明身份ID的处理流程图；

图2为本发明的密钥卡密钥区的分布示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。其中本申请中的服务站在未做特殊说明的情况下均为量子通信服务站，本申请中的各名称以字母和数字组合为准，例如Q，服务站Q,服务站在下文表示同一含义，即服务站Q；再例如第一密钥KR1，KR1，真随机数KR1,第一密钥在下文中表示同一含义，即第一密钥KR1，其余名称同理。

优选的，所述签名方和验签方均配置有密钥卡，各密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。

本发明实现基于身份和密钥卡的数字签名技术。本发明中的密钥卡存储有群组对称密钥池。关于群组对称密钥池的说明可见申请号为“201810385109.X”的专利。群组对称密钥池由大数据量的真随机数组成，存储大小大于等于1GB。作为优选，真随机数为量子随机数。密钥卡不仅可以存储大量的数据，还具有处理信息的能力。本发明中，密钥卡内存在相应的算法以满足发明的需求。

密钥卡的描述可见申请号为“201610843210.6”的专利。当为移动终端时，密钥卡优选为密钥SD卡；当为固定终端时，密钥卡优选为密钥USBkey或主机密钥板卡。

与申请号为“201610843210.6”的专利相比，密钥卡的颁发机制有所类似。本专利的密钥卡颁发方为密钥卡的主管方，一般为群组的管理部门，例如某企业或事业单位的管理部门；密钥卡被颁发方为密钥卡的主管方所管理的成员，一般为某企业或事业单位的各级员工。用户端首先到密钥卡的主管方申请开户。当用户端进行注册登记获批后，将得到密钥卡(具有唯一的密钥卡ID)。密钥卡存储了客户注册登记信息。同一群组下的客户端密钥卡中的群组对称密钥池都下载自同一个密钥管理服务器，且其颁发的每个客户端密钥卡中存储的群组对称密钥池是完全一致的。优选为，密钥卡中存储的密钥池大小可以是1G、2G、4G、8G、16G、32G、64G、128G、256G、512G、1024G、2048G、4096G等等。

密钥卡从智能卡技术上发展而来，是结合了真随机数发生器(优选为量子随机数发生器)、密码学技术、硬件安全隔离技术的身份认证和加解密产品。密钥卡的内嵌芯片和操作系统可以提供密钥的安全存储和密码算法等功能。由于其具有独立的数据处理能力和良好的安全性，密钥卡成为私钥和密钥池的安全载体。每一个密钥卡都有硬件PIN码保护，PIN码和硬件构成了用户使用密钥卡的两个必要因素。即所谓“双因子认证”，用户只有同时取得保存了相关认证信息的密钥卡和用户PIN码，才可以登录系统。即使用户的PIN码被泄露，只要用户持有的密钥卡不被盗取，合法用户的身份就不会被仿冒；如果用户的密钥卡遗失，拾到者由于不知道用户PIN码，也无法仿冒合法用户的身份。

实施例

1、密钥卡生成：

密钥卡内密钥池由密钥管理服务器颁发所得。密钥管理服务器创建一个群组时，需要为该群组创建密码系统。

密钥管理服务器产生大数据量的真随机数，所述真随机数优选为量子随机数。密钥管理服务器将真随机数写入到一个文件内形成密钥池文件，即为群组对称密钥池。

下文涉及的算法所有数学系统及函数可参考《An Identity-Based Signaturefrom Gap Diffie-Hellman Groups》。密钥管理服务器创建一个素数q阶的有限循环群G，，群G的生成元为P。随机选择一个数s∈Z_q。计算得到密钥管理服务器的公共密钥P_pub＝sP。选择得到两个加密的哈希函数H1：{0,1}*×G→Z_q和H2：{0,1}*→G。密钥管理服务器将s作为主密钥保存在服务器内，将{G,q,P,P_pub,H1,H2}作为该群组数字签名的系统参数。为密钥卡颁发密钥时，密钥管理服务器会将数字签名的算法参数{G,q,P,P_pub,H1,H2}写入到密钥卡的数据安全区内，并为密钥卡赋予一个身份ID。

密钥管理服务器根据密钥卡的ID进行哈希运算得到H_ID＝HASH(ID)。将H_ID作为密钥指针随机数，进行密钥指针函数Fp计算得到密钥指针P_ID＝Fp(H_ID)。密钥管理服务器根据密钥指针P_ID去本地密钥卡内的群组对称密钥池内找到对应的随机数序列K_ID。密钥管理服务器利用指定算法FC计算ID和K_ID得到处于{0,1}*范围内的含密钥的C_ID＝FC(ID,K_ID)，FC算法可以为异或、HMAC、拼接等小计算量的运算方式。密钥管理服务器计算得到对应的私钥D_ID＝sH2(C_ID)。并将计算得到私钥D_ID存入到对应ID密钥卡的安全区内。

下文签名和验证签名的过程发生在对应的密钥卡内。

2、签名：

设签名方身份信息为IDS，签名方对IDS进行哈希运算得到H_IDS＝HASH(IDS)。将H_IDS作为密钥指针随机数，进行密钥指针函数Fp计算得到P_IDS＝Fp(H_IDS)。签名方根据密钥指针P_IDS去密钥卡内的群组对称密钥池内找到对应的随机数序列K_IDS。签名方利用指定算法计算IDS和K_IDS得到具有唯一性的含密钥的ID即C_IDS＝FC(IDS,K_IDS)。签名方对C_IDS进行计算得到公钥Q_IDS＝H2(C_IDS)。

设消息为m。签名方取密钥卡内的自身私钥D_IDS和算法参数对消息m进行签名。签名方对m进行哈希运算得到Hm＝HASH(m)。将Hm作为密钥指针随机数，进行密钥指针函数Fp计算得到密钥指针Pm＝Fp(Hm)。签名方根据密钥指针Pm去密钥卡内的群组对称密钥池内找到对应的随机数序列Km。选择一个随机数r∈Z_q。签名方计算得到U＝rQ_IDS，含密钥的消息M＝MAC(m,Km)，h＝H1(M，U)和V＝(r+h)D_IDS(所述MAC(a,b)表示MAC算法，a为计算内容，b为本次计算使用的密钥)。签名方得到签名σ＝(U,V)。由于量子计算机作为非群组成员，不拥有群组对称密钥池，因此无法得到含密钥的ID即C_IDS；由于Q_IDS＝H2(C_IDS)，因此量子计算机无法得到Q_IDS；因此量子计算机无法通过U和Q_IDS得到随机数r。同样地，量子计算机无法得到含密钥的消息M；因此量子计算机无法通过M得到h；由于量子计算机无法得到r和h，因此量子计算机无法通过V＝(r+h)D_IDS得到D_IDS。综上所述，公开的数字签名能抵抗量子计算机对基于身份的公钥密码学的攻击。

签名方最终发出的带签名消息为：{IDS||m||σ}。

3、验证签名

验签方获取签名方发出的带签名消息。

验签方获取得到签名方的身份信息IDS。通过IDS进行一系列计算得到签名方的公钥Q_IDS。计算过程参考签名中第一段的描述。验签方对消息m进行哈希运算得到Hm＝HASH(m)。将Hm作为密钥指针随机数，进行密钥指针函数Fp计算得到Pm＝Fp(Hm)。验签方根据密钥指针Pm去密钥卡内的群组对称密钥池内找到对应的随机数序列Km。验签方取密钥卡内的算法参数，计算得到M＝MAC(m,Km)和h＝H1(M，U)。检查{P,P_pub,U+hQ_IDS,V}是否为一个有效的Diffie-Hellman元组。

结论

本发明中，使用的密钥卡是独立的硬件隔离设备。群组对称密钥池和签名私钥及算法参数均存储在密钥卡中的数据安全区，被恶意软件或恶意操作窃取密钥的可能性大大降低，也不会被量子计算机获取并破解。由于在经典网络中均无涉及公钥和相关算法参数的传输，因此非对称密钥被破解的风险很低。同时非对称算法和群组对称密钥池的结合使用，增加了签名私钥破解的难度。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.基于身份的抗量子计算数字签名方法，实施在签名方，其特征在于，所述抗量子计算数字签名方法包括：

2.基于身份的抗量子计算数字签名方法，实施在验签方，其特征在于，所述抗量子计算数字签名方法包括：

3.基于身份的抗量子计算数字签名方法，包括签名方和验签方，其特征在于，所述抗量子计算数字签名方法包括：

4.如权利要求1至3任一项所述的抗量子计算数字签名方法，其特征在于，所述第一消息由所述签名方加密发送至所述验签方。

5.一种签名方设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1中所述抗量子计算数字签名方法的中的签名方的步骤。

6.如权利要求5所述的签名方设备，其特征在于，所述签名方配置有密钥卡，密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。

7.一种验签方设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求2中所述抗量子计算数字签名方法的中的验签方的步骤。

8.如权利要求7所述的验签方设备，其特征在于，所述验签方配置有密钥卡，密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。

9.基于身份的抗量子计算数字签名系统，其特征在于，包括设有签名方，验签方以及通信网络；所述签名方，验签方通过所述通信网络实现权利要求3中所述抗量子计算数字签名方法的步骤。

10.如权利要求9所述的抗量子计算数字签名系统，其特征在于，所述签名方和验签方均配置有密钥卡，各密钥卡内存储有群组对称密钥池、自身私钥以及签名算法参数。