CN111314081A

CN111314081A - 一种用于物联网设备的轻量级椭圆曲线数字签名方法

Info

Publication number: CN111314081A
Application number: CN202010045946.5A
Authority: CN
Inventors: 杨小宝; 刘圆; 惠小强; 刘亚雪
Original assignee: Xian University of Posts and Telecommunications
Current assignee: Xian University of Posts and Telecommunications
Priority date: 2020-01-16
Filing date: 2020-01-16
Publication date: 2020-06-19

Abstract

本发明涉及一种用于物联网设备的轻量级椭圆曲线数字签名方法，包括签名生成和签名认证，选取随机整数作为私钥并计算出公钥，选取随机数计算出第一签名部分，通过发送的消息摘要计算出另一签名部分，对计算的第一签名部分和另一签名部分进行签名认证；该签名方法减少了模块化的模逆运算，不影响整个签名方法的安全性时，提高了该签名方法的效率。

Description

一种用于物联网设备的轻量级椭圆曲线数字签名方法

技术领域

本发明涉及网络通讯安全技术领域，具体涉及一种用于物联网设备设备的轻量级椭圆曲线数字签名方法。

背景技术

为保证物联网设备通信的安全性，设备间需要进行身份认证，这一过程中使用签名算法检查认证消息的来源和有效性。常用的签名算法ECDSA由于含有耗时的模逆运算而影响签名效率，在资源非常有限的情况下，提高数字签名效率显得尤为重要；

当前常用的签名算法是椭圆曲线数字签名算法ECDSA，包含签名生成和签名验证两个阶段。假设智能卡A和读卡器B是两个要执行ECDSA的实体，它们必须在曲线参数上达成共识，并选择指定的椭圆曲线和基点G(x,y)。

关于椭圆曲线的说明：通常将有限域F_p上的一条椭圆曲线描述为T＝(p,a,b,G,n,h)，其中p为大于3的素数，a,b∈F_p是椭圆曲线E_p(a,b)的两个系数，这三者确定了椭圆曲线E_p(a,b)，即E_p(a,b):y²＝x³+ax+b(modp)，其中a和b满足4a³+27b²≠0(modp)；G为基点，n是点G 的阶；设椭圆曲线群E(F_p)的阶为N，则h＝N/n称为余因子。其中E(F_p)，F_p，G和n公开。

ECDSA签名生成与签名验证的原理：发送消息明文m，为了保证m在传输过程中不被攻击者修改，需要使用签名算法来验证m的来源和完整性。在签名生成阶段，对消息m进行一系列操作(包括椭圆曲线乘法、模块化乘法、模块化加法和模逆运算，其中模逆运算是主要的运算负担)生成数字签名，附在消息明文m后一同进行签名验证，消息明文m及签名之后通过一系列操作(包括椭圆曲线加法和乘法、模块化乘法和模逆运算)检查签名的正确性，正确则说明消息m在传输过程中未被修改，可以对其进行后续操作，否则m在传输过程中被篡改，拒绝任何操作。

该ECDSA签名生成与签名验证方法涉及模逆运算(例如s＝k^-1(h+rd_A)modn和ω＝s^-1(modn))，而模逆运算被证明是影响算法签名效率的重要因素之一，因此ECDSA 不适用于需要高效签名算法的环境。

发明内容

为了克服上述现有技术的缺点，本发明的目的是提供一种不影响安全性且提高效率的用于物联网设备设备的轻量级椭圆曲线数字签名方法。

为达到上述目的，本发明采用以下技术方案，一种用于物联网设备设备的轻量级椭圆曲线数字签名方法，包括签名生成和签名认证，

所述签名生成按照如下步骤进行：

步骤S101，签名者选取随机整数d_A作为私钥，并根据该私钥计算出公钥Q_A＝d_AG；

步骤S102，签名者选取随机数k(k∈[0,n-1])，并计算点kG＝(x₁,y₁)，G为基点；

步骤S103，签名者计算第一签名部分r＝x₁modn(n是点G的阶，mod运算为求余运算)；

步骤S104，签名者计算消息m的摘要h＝H(m)，H(m)是一个哈希函数；

步骤S105，签名者计算另一部分签名s＝k+(h+r)d_A；

步骤S106，签名者将待发送的消息m及生成的签名(r,s)发给验签者进行签名验证；

所述签名验证按照如下步骤进行：

步骤S201,验签者接收到消息m及签名生成的签名(r,s)，进行初步验证，如验证失败则停止验证，如验证成功进入下一步；

步骤S202，验签者计算接收到的消息m的摘要，即h'＝H(m)，其中H(m)是哈希函数；

步骤S203，验签者计算X＝sG-(h'+r)Q_A＝(x2,y₂)和t＝x₂modn，并比较是否t＝r，是则验证成功，否则失败。

所述步骤S102中签名者所选取的随机数k是除步骤S101中随机整数d_A以外的任意随机整数。

所述步骤S103中，如计算出r＝0，则返回到S102中重新选取随机数k，再次执行步骤S102和步骤103。

所述步骤105中，如s＝0，返回到步骤S102中重新选取随机数k，再次执行步骤S102- 步骤105。

所述步骤201中进行初步验证，初步验证的条件是检查r和s是否是区间[1,n-1]内的整数，如果任意一个不是，则验证失败。

本发明的有益效果是：减少了模逆运算，不影响整个签名方法的安全性时，提高了该签名算法的效率。

具体实施方式

下面结合实施例对本发明进行详细的描述。

实施例

本实施例以智能卡A向读卡器B发送明文消息m为例，具体按照如下方法进行：

步骤S101，智能卡A选取随机整数d_A作为私钥，并根据该私钥计算出公钥Q_A＝d_AG，其中G为基点；

步骤S102，智能卡A选取随机数k(k∈[0,n-1])，并计算点kG＝(x₁,y₁)，G为基点；所选取的随机数k是除步骤S101中随机整数d_A以外的任意随机整数数；

步骤S103，智能卡A计算第一签名部分r＝x₁modn(n是点G的阶，mod运算为求余运算)，如计算出r＝0，则返回到S102中重新选取随机数k，再次执行步骤S102和步骤 103；

步骤S104，智能卡A计算消息m的摘要h＝H(m)，H(m)是一个哈希函数；

步骤S105，智能卡A计算另一部分签名s＝k+(h+r)d_A；如果s＝0，返回到步骤S102中重新选取随机数k，再次执行步骤S102-步骤105；

步骤S106，智能卡A将待发送的消息m及签名生成的签名(r,s)发送到读卡器B中进行签名验证；

所述签名验证按照如下步骤进行：

步骤S201,接读卡器B收到消息m及生成的签名(r,s)，检查r和s是否是区间[1,n-1]内的整数，如果任意一个不是，则验证失败，如都是该区间内的整数，则进入到下一步；

步骤S202，对接收到消息m的消息摘要进行计算，计算公式h'＝H(m)，其中H(m)是哈希函数；

步骤S203，计算X＝sG-(h'+r)Q_A＝(x₂,y₂)和t＝x₂modn，并比较是否t＝r，是则验证成功，否则验证失败。

对比例

签名生成阶段：

智能卡A对消息m签名并将其发送给读卡器B，其工作过程为：(1)智能卡A选择一个随机整数d_A作为私钥并计算Q_A＝d_AG以产生公钥Q_A；(2)智能卡A选择除d_A以外的随机数k(k∈[0,n-1])，并计算点kG＝(x₁,y₁)；(3)智能卡A计算r＝x₁modn，如果r＝0，则A必须再次执行步骤(2)-(3)，否则执行下一步；(4)智能卡A计算消息摘要h＝H(m)， H(m)是一个哈希函数；(5)智能卡A计算s＝k^-1(h+rd_A)modn，如果s＝0，智能卡A必须再次执行步骤(2)-(5)，否则执行下一步；(6)A向B发送消息m及其签名(r,s)；

签名验证阶段：

读卡器B验证从智能卡A接收到的签名。工作过程如下：(1)在接收到m和(r,s)之后，读卡器B首先检查r和s是否是区间[1,n-1]内的整数，如果任意一个不是，则验证失败；(2)读卡器B计算消息摘要h'＝H(m)，其中H(m)是哈希函数；(3)读卡器B计算ω＝s^-1(modn)；(4)读卡器B计算u₁＝h'ω和u₂＝rω；(5)读卡器B计算X＝u₁G+u₂Q_A＝(x₂,y₂)，如果X＝∞，验证失败；(6)读卡器B计算t＝x₂modn，如果t＝r，则验证成功，否则验证失败。

效率分析

在对比例中，模逆操作非常耗时，实施例则避免了此类操作，下表是具体的时间和复杂程度比较；

首先确定5个计算时间的概念：

T_mul表示模块化乘法运算时间；T_add表示模块化加法运算时间；T_inv表示模逆运算时间；T_EC-mul表示椭圆曲线点乘运算时间；T_EC-add表示椭圆曲线点加运算时间。以T_mul为基数，与其它几项时间参数大小关系为：T_add远小于T_mul，且可以忽略不计,T_inv＝11.6T_mul, T_EC-mul＝29T_mul和T_EC-add＝0.12T_mul；

表为时间复杂度比较

对表中的公式进行如下说明：

对比例中签名生成阶段，kG表示椭圆曲线点乘运算，所以时间复杂度上添加T_EC-mul；计算签名s＝k-¹(h+rd_A)modn时，(h+rd_A)modn包含模块化乘法运算和模块化加法运算，所以时间复杂度加上T_mul和T_add，k^-1modn就是模逆运算，时间复杂度加上T_inv。因此对比例签名生成阶段的时间复杂度公式是T_mul+T_EC-mul+T_inv+T_add。

对比例中签名验证阶段，ω＝s^-1(modn)中包含模逆运算，时间复杂度加上T_inv；u₁＝h'ω和u₂＝rω分别表示一次模块化乘法运算，时间复杂度加上2T_mul；计算X＝u₁G+u₂Q_A＝(x₂,y₂) 时，u₁G和u₂Q_A分别表示一次椭圆曲线点乘运算，时间复杂度加上2T_EC-mul，最后二者进行椭圆曲线点加运算，时间复杂度加T_EC-add。因此对比例签名验证阶段的时间复杂度公式是2T_mul+2T_EC-mul+T_inv+T_EC-add。

实施例中签名生成阶段，kG表示椭圆曲线点乘运算，时间复杂度上添加T_EC-mul；计算签名s＝k+(h+r)d_A时，(h+r)d_Amodn包含模块化加法和模块化乘法运算，所以时间复杂度加上T_add和T_mul，然最后和k进行模块化加法运算，时间复杂度再加上T_add。因此实施例签名生成阶段的时间复杂度公式是T_mul+T_EC-mul+2T_add。

实施例签名验证阶段，计算X＝sG-(h'+r)Q_A＝(x₂,y₂)过程中，sG是椭圆曲线点乘运算， (h'+r)Q_A包含一次模块化加法运算和椭圆曲线点乘运算，最后二者进行椭圆曲线点加运算，因此实施例签名验证阶段的时间复杂度公式是2T_EC-mul+T_EC-add+T_add。

从表中可以看出，无论是签名生成阶段还是签名验证阶段，NOMOP-ECDSA(实施例)的时间复杂度都小于ECDSA(对比例)，由此可知前者具有更高的效率。

上实施例仅仅是对本发明的举例说明，并不构成对本发明的保护范围的影响。

Claims

1.一种用于物联网设备的轻量级椭圆曲线数字签名方法，包括签名生成和签名认证，其特征在于，

所述签名生成按照如下步骤进行：

步骤S103，签名者计算第一签名部分r＝x₁mod n(n是点G的阶，mod运算为求余运算)；

步骤S105，签名者计算另一部分签名s＝k+(h+r)d_A；

所述签名验证按照如下步骤进行：

步骤S203，验签者计算X＝sG-(h'+r)Q_A＝(x2,y₂)和t＝x₂mod n，并比较是否t＝r，是则验证成功，否则失败。

2.根据权利要求1所述一种用于物联网设备设备的轻量级椭圆曲线数字签名方法，其特征在于，所述步骤S102中签名者所选取的随机数k是除步骤S101中随机整数d_A以外的任意随机整数。

3.根据权利要求1所述一种用于物联网设备设备的轻量级椭圆曲线数字签名方法，其特征在于，所述步骤S103中，如计算出r＝0，则返回到S102中重新选取随机数k，再次执行步骤S102和步骤103。

4.根据权利要求1所述一种用于物联网设备设备的轻量级椭圆曲线数字签名方法，其特征在于，所述步骤105中，如s＝0，返回到步骤S102中重新选取随机数k，再次执行步骤S102-步骤105。

5.根据权利要求1所述一种用于物联网设备设备的轻量级椭圆曲线数字签名方法，其特征在于，所述步骤201中进行初步验证，初步验证的条件是检查r和s是否是区间[1,n-1]内的整数，如果任意一个不是，则验证失败。