CN110880977B - 一种安全高效的sm9环签名生成与验证方法 - Google Patents

Abstract

本发明公开了一种安全高效的SM9环签名生成与验证方法，包括密钥生成中心KGC，签名者Signer，验证者Verifier，其中，KGC负责生成系统内签名用户的用户私钥；设环中的用户数为n，签名者为用户群组中的第π个用户；该方法包括以下步骤：1)产生对消息M的环签名；2)对步骤1)获得签名进行合法性验证，并判断签名者是否为环内用户。本发明提供了基于SM9数字签名算法的环签名生成与验证方案，保障了签名的不可伪造性和签名者的匿名性，本方案保障了签名者产生用户群组的自发性，无需其他用户配合。本发明采用了一种累加结构实现环签名，使得签名生成和验证算法执行的双线性对次数大大降低，有效提高签名和验证运算效率。

Description

一种安全高效的SM9环签名生成与验证方法

技术领域

本发明涉及信息安全技术，尤其涉及一种安全高效的SM9环签名生成与验证方法。

背景技术

环签名是一种典型的实现匿名性的数字签名机制，它可以实现由某一个用户代表一个用户群组完成对一个消息的签名，并将签名者身份隐藏在该用户群组中。签名者首先选定一个临时的用户群组，群组中包括签名者自身，再利用自己的私钥和用户群组中其他人的公钥独立地产生签名，而无须他人的帮助。签名者选取的用户群组一般被称为环。

环签名技术是由Ron Rivest，Adi Shamir和Yael Tauman在2001年提出的，其得名于他们三人提出的方案中的环状签名结构。相比群签名，它无需群组建立过程，也无需额外设置群管理员。环签名的用户群组是由签名者随机选取一部分成员公钥临时生成的，并且无需其他成员配合就能够完成消息签名。环签名具备两个基本的安全性质：一是不可伪造性，即环外攻击者无法根据已有的合法签名伪造一个合法的环签名；二是无条件匿名性，攻击者无法确定签名是由环中哪个成员生成。

经过十几年的研究，科研人员提出一系列基于公钥基础设施(PKI)或者基于身份密码体制(IBC)的环签名方案。相比而言，IBC技术与环签名技术的结合大大地降低了密码系统的运维成本，也实现了业务所需的匿名性和不可伪造性。特别地，许多科研人员基于Rivest等人设计的环状结构设计了多种基于身份的环签名方案，但是这种结构会导致计算开销随着环用户数量线性增长。比如，签名者执行一个环签名生成算法所需的时间与执行n次传统签名方案的时间相近，n为环用户数量。因此，安全高效的基于身份的环签名方案成为了当前的一个研究热点。

SM9标识密码算法是国家密码管理局于2016年3月28日发布的一种标识密码标准(标准表号：GM/T 0044-2016 SM9标识密码算法)，主要包含三个部分：数字签名算法、公钥加密算法、密钥交换协议。SM9标准满足电子认证服务系统等应用需求，并弥补了国产标识密码体制的空白。

为弥补SM9环签名机制方面的不足，本专利设计了一个安全高效的SM9环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发，由签名者(Signer)负责自发组建签名群组并完成消息签名，验证者(Verifier)可验证消息签名合法性，并判断签名者是否为环内用户。在计算开销方面，本专利设计的环签名方案只需要一次双线性对运算即可完成签名，同时验证者验证签名时只需要执行两次双线性对运算，运算效率大大地提升。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种安全高效的SM9环签名生成与验证方法。

本发明解决其技术问题所采用的技术方案是：一种安全高效的SM9环签名生成与验证方法，包括密钥生成中心KGC，签名者Signer，验证者Verifier，其中，KGC负责生成系统内签名用户的用户私钥；

设环中的用户数为n，用户群组标识集合记为L＝{ID₁，ID₂，…，ID_n}，签名者为用户群组中的第π个用户(1≤π≤n)，记其私钥为SK_π，标识为ID_π；

该方法包括以下步骤：

1)产生对消息M的环签名，具体如下：

S1：随机选取n个整数

并计算t_π＝∑_i≠πr_i mod N；

其中，

为由1，2，，…，N-1组成的整数集合，N为大素数，

S2：根据KGC的公开的系统主公钥获得部分环签名h，具体如下：

R＝[r_π]P₁+[t_π]P_pub-1，w＝e(R，P_pub-2)和h＝H₂(L||M||w，N)；

其中，P₁为群G₁的生成元，G₁是阶为N的加法循环群，P_pub-1是KGC公开的系统主公钥，P_pub-1＝[ks]P₁；ks为由KGC秘密持有的系统主私钥；

P_pub-2是KGC公开的系统主公钥，P_pub-2＝[ks]P₂；P₂为群G₂的生成元，G₂是阶为N的加法循环群；

e为从G₁×G₂到G_T的双线性对映射；G_T为阶为N的乘法循环群；

H₂(·)为由密码杂凑函数派生的密码函数；

S3：计算l_π＝r_π-h-∑_i≠πr_i·H₁(ID_i||hid，N)mod N，并验证l_π＝0是否成立，若成立则重复执行S1步骤；否则，执行下一步；

S4：根据签名者的私钥获取部分环签名R_π，

R_π＝[l_π]SK_π；

S5：对于每个i≠π且1≤i≤n，计算部分环签名R_i＝[r_i]P_pub-1；

S6：获得消息M的签名为σ＝(h，R₁，…，R_n)；

2)对步骤1)获得签名进行合法性验证，并判断签名者是否为环内用户；

对待验证的消息M′，检验用户群组L＝{ID₁，ID₂，…，ID_n}对消息M′的数字签名σ′＝(h′，R′₁，…，R′_n)，验证者采用以下步骤：

V1：预计算群G_T中的元素g＝e(P₁，P_pub-2)；

V2：检验h′是否属于集合

如果不是则验证不通过；否则，检验R′_i(i＝1，2，…，n)是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V3：对于i＝1，2，…，n，计算v_i＝H₁(ID_i||hid，N)和u′_i＝e(R′_i，[v_i]P₂+P_pub-2)；

V4：计算

V5：验证h′＝H₂(L||M′||w′，N)是否成立，若成立则验证通过；否则验证不通过。

本发明产生的有益效果是：

本发明实现了基于SM9数字签名算法的环签名生成与验证方案，同时保障了签名的不可伪造性和签名者的匿名性。其次，本方案保障了签名者产生用户群组的自发性，无需其他用户配合。最后，相比其他基于身份的环签名方案，本发明采用了一种累加结构实现环签名，使得签名生成和验证算法执行的双线性对次数大大降低，有效提高签名和验证运算效率。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本专利设计了一个安全高效的SM9环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发，由签名者(Signer)负责自发组建签名群组并完成消息签名，验证者(Verifier)可验证消息签名合法性，并判断签名者是否为环内用户。在计算开销方面，本专利设计的环签名方案只需要一次双线性对运算即可完成签名，同时验证者验证签名时只需要执行两次双线性对运算，运算效率大大地提升。

为保证通用性，本专利的参数选取与SM9签名算法标准参数保持一致。具体符号描述如下：

N：一个大素数。

由1，2，，…，N-1组成的整数集合。

G₁，G₂：阶为N的加法循环群。

G_T：阶为N的乘法循环群。

P₁，P₂：分别为群G₁和G₂的生成元。

g^u：乘法群G_T中元素g的u次幂。

[k]P：椭圆曲线上点P的k倍点，k是正整数。

e：从G₁×G₂到G_T的双线性对映射。

H₁(·)，H₂(·)：由密码杂凑函数派生的密码函数。

ks：由KGC秘密持有的系统主私钥，。

P_pub-1，P_pub-2：由KGC公开的系统主公钥，计算公式为P_pub-1＝[ks]P₁和P_pub-2＝[ks]P₂。

hid：签名私钥生成函数识别符。

ID_A：用户A的可辨别标识。

SK_A：用户A的签名私钥，其中SK_A＝[t₂]P₁，t₁＝H₁(ID_A||hid，N)+ks mod N，

M：待签名的消息。

M′：待验证的消息。

σ，σ′：签名值。

mod N：模N运算。例如，23mod7≡2。

x||y：x与y的拼接，其中x，y可以是比特串或字节串。

如图1所示，一种安全高效的SM9环签名生成方法，下面给出具体描述：

本环签名方案有三个重要角色：一方为密钥生成中心(KGC)，一方为签名者(Signer)，一方为验证者(Verifier)。其中，KGC负责生成系统内签名用户的用户私钥。

不妨设环中的用户数为n，用户群组标识集合记为L＝{ID₁，ID₂，…，ID_n}，签名者为用户群组中的第π个用户(1≤π≤n)，记其私钥为SK_π，标识为ID_π。

1)环签名生成

为产生对消息M的环签名σ＝(h₁，R₁，…，R_n)，签名者应实现以下运算步骤：

S1：随机选取n个整数

并计算t_π＝∑_i≠πr_i mod N；

S2：计算R＝[r_π]P₁+[t_π]P_pub-1，w＝e(R，P_pub-2)和h＝H₂(L||M||w，N)；

S3：计算l_π＝r_π-h-∑_i≠πr_i·H₁(ID_i||hid，N)mod N；

S4：验证l＝0是否成立，若成立则重复执行S1步骤；否则，计算R_π＝[l_π]SK_π；

S5：对于每个i≠π且1≤i≤n，计算R_i＝[r_i]P_pub-1；

S6：消息M的签名为σ＝(h，R₁，…，R_n)。

2)环签名验证

为了检验用户群组L＝{ID₁，ID₂，…，ID_n}对消息M′的数字签名σ′＝(h′，R′₁，…，R′_n)，验证者应实现以下运算步骤：

V1：预计算群G_T中的元素g＝e(P₁，P_pub-2)；

V2：检验h′是否属于集合

如果不是则验证不通过；否则，检验R′_i(i＝1，2，…，n)是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V3：对于i＝1，2，…，n，计算v_i＝H₁(ID_i||hid，N)和u′_i＝e(R′_i，[v_i]P₂+P_pub-2)；

V4：计算

V5：验证h′＝H₂(L||M′||w′，N)是否成立，若成立则验证通过；否则验证不通过。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (1)

1.一种安全的SM9环签名生成与验证方法，包括密钥生成中心KGC，签名者Signer，验证者Verifier，其中，KGC负责生成系统内签名用户的用户私钥；

设环中的用户数为n，用户群组标识集合记为L＝{ID₁,ID₂,…,ID_n}，签名者为用户群组中的第π个用户，1≤π≤n；记其私钥为SK_π，标识为ID_π；

其特征在于，该方法包括以下步骤：

1)产生对消息M的环签名，具体如下：

S1：随机选取n个整数

并计算t_π＝∑_i≠πr_i mod N；

其中，

为由1,2,…,N-1组成的整数集合，N为大素数；

S2：根据KGC的公开的系统主公钥获得部分环签名h，具体如下：

R＝[r_π]P₁+[t_π]P_pub-1，w＝e(R,P_pub-2)和h＝H₂(L||M||w,N)；

其中，P₁为群G₁的生成元，G₁是阶为N的加法循环群，P_pub-1是KGC公开的系统主公钥，P_pub-1＝[ks]P₁；ks为由KGC秘密持有的系统主私钥；

P_pub-2是KGC公开的系统主公钥，P_pub-2＝[ks]P₂；P₂为群G₂的生成元，G₂是阶为N的加法循环群；

e为从G₁×G₂到G_T的双线性对映射；G_T为阶为N的乘法循环群；

H₂(·)为由密码杂凑函数派生的密码函数；

S3：计算l_π＝r_π-h-∑_i≠πr_i·H₁(ID_i||hid,N)mod N，并验证l_π＝0是否成立，若成立则重复执行S1步骤；否则，执行下一步；

S4：根据签名者的私钥获取部分环签名R_π，

R_π＝[l_π]SK_π；

S5：对于每个i≠π且1≤i≤n，计算部分环签名R_i＝[r_i]P_pub-1；

S6：获得消息M的签名为σ＝(h,R₁,…,R_n)；

2)对步骤1)获得签名进行合法性验证，并判断签名者是否为环内用户；所述步骤2)中，验证步骤具体如下：

对待验证的消息M′，检验用户群组L＝{ID₁,ID₂,…,ID_n}对消息M′的数字签名σ′＝(h′,R′₁,…,R′_n)，验证者采用以下步骤：

V1：预计算群G_T中的元素g＝e(P₁,P_pub-2)；

V2：检验h′是否属于集合

如果不是则验证不通过；否则，检验R′_i,i＝1,2,…,n,是否为G₁中的元素，如果不是则验证不通过，否则执行下一步；

V3：对于i＝1,2,…,n，计算v_i＝H₁(ID_i||hid,N)和u′_i＝e(R′_i,[v_i]P₂+P_pub-2)；

V4：计算

V5：验证h′＝H₂(L||M′||w′,N)是否成立，若成立则验证通过；否则验证不通过。

Images