CN111404693A

CN111404693A - 一种适用于数字签名的密码逆向防火墙方法

Info

Publication number: CN111404693A
Application number: CN202010152925.3A
Authority: CN
Inventors: 李发根; 欧阳梦迪; 智妍妍; 胡哲彬
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2020-03-06
Filing date: 2020-03-06
Publication date: 2020-07-10
Anticipated expiration: 2040-03-06
Also published as: CN111404693B

Abstract

本发明公开了一种适用于数字签名的密码逆向防火墙方法，属于信息安全技术领域。本首先在签名方设置一个透明可信的密码逆向防火墙，设置相关的系统参数；密码逆向防火墙收到参数时，将其中的部分参数进行重置后再转发给签名方；签名方基于接收的参数对消息进行签名得到签名结果并传递给签名方的密码逆向防火墙，由该密码逆向防火墙重置签名结果中的部分子签名后再将其传递给验证方；验证方对接收的签名进行验证处理，验证关于消息的合法签名，若验证通过，则输出“接受”，否则输出“拒绝”。本发明的密码逆向防火墙的设置满足了密码逆向防火墙的三个基本要求，做到了透明可信防止泄露，提高了用户的安全性，特别防护了内部攻击者的攻击行为。

Description

一种适用于数字签名的密码逆向防火墙方法

技术领域

本发明属于信息安全技术领域，特别是涉及一种适用于数字签名的密码逆向防火墙方法。

背景技术

密码逆向防火墙的技术出现于2014年的斯诺登棱镜事件以后，针对于内部攻击者的监控和安全软件后门的控制下，如何保证用户传输的信息不被泄露。即假设用户使用的电脑被攻陷，但是如何保证他传输的信息仍然不会泄露的一种新型技术。根本不同之处在于之前考虑的攻击均是外部敌手，而密码逆向防火墙技术主要解决内部问题。因为现实生活中众多事实证明，各项加密软件等涉及安全的东西具有后门，内部攻击者的存在是确定并且是不可忽略的，如何解决这类问题变成了人们目前需做的。

在斯诺登事件发生以后，越来越多的人更加重视内部攻击者的问题，解决这种内部攻击的方式被称作为后斯诺登学。而(Cryptographic Reverse Firewalls)密码逆向防火墙是解决这个问题的其中一种。密码逆向防火墙是透明和不可信的第三方，它不能获取用户的私钥等重要东西，只能对用户传输给它的信息进行处理，从而保证即使用户的内部攻击者存在，也没法获取用户的重要信息，从而防止隐私信息的泄露。

目前密码逆向防火墙的发展，主要是从协议到密码学的各个领域，比如加密，密钥协商等，目前一些相关的密码逆向防火墙的工作如下。

2015年Mironov I.,Stephens-Davidowitz在[Cryptographic ReverseFirewalls.In:Oswald E.,Fischlin M.(eds)Advances in Cryptology-EUROCRYPT2015.LNCS,vol 9057.Springer,Berlin,Heidelberg]这篇文章上首次提出了密码逆向防火墙的概念并且提出了密码逆向防火墙的三个基本要求(1)保持功能性，即一个电脑在正常工作的时候，密码逆向防火墙不会破坏的底层协议，从而导致正常的信息传输功能(2)保持安全性，无论用户的行为如何，密码防火墙都必须提供与正确实现的协议相同而安全性保证。(3)防止泄露，不管用户的行为如何，密码防火墙的存在将防止此用户向外界泄露任何私密信息，所以将密码逆向防火墙做成不可信的第三方，它不与用户共享任何秘密，并且潜在运作的协议应该是安全的，即在没有密码逆向防火墙存在的情况下，也能正常工作

同时设计了一个不经意传输的协议，这个协议保证双方都有安全的射频同时也提供了防止泄密的功能，并且设计了一个通用的结构，这个结构可将任何协议转化为具有密码逆向防火墙红能的协议。

2016年Dodis Y.等人在[Message Transmission with Reverse Firewalls—Secure Communication on Corrupted Machines.In:Robshaw M.,Katz J.(eds)Advancesin Cryptology–CRYPTO 2016.LNCS,vol 9814.Springer,Berlin,Heidelberg]这篇文章设计了一种实现了交互式的，并发的，满足CCA安全性的具有密码逆向防火墙功能的协议，并且此协议实现只需要四轮和参与方的少量固定数量的公钥变化操作，适用于现实生活，具有高效率和便捷性。同时提出两种结构，一种是适用于一方的CRF，只要满足加密机制的密钥是可重随机化的，另一种是双方的CRF，只要满足加密体制的密钥具有可延展性。并且成功实现了Elgamal的密码逆向防火墙设置。

2016年Chen R等人在[Cryptographic Reverse Firewall via MalleableSmooth Projective Hash Functions.In:Cheon J.,Takagi T.(eds)Advances inCryptology–ASIACRYPT 2016.LNCS,vol 10031.Springer,Berlin,Heidelberg]根据CRF的概念并且基于CRF的结构相继提出几个广泛使用的密码协议的协议的CRF结构，提出了光滑投影哈希函数(Smooth Projective Hash Function)的扩展的新型哈希函数，证明了此函数中其元素的可重随机化性质和密钥的可延展性，并且通过SPHF模块化的构建了一个适合于更多协议使用的CRF结构，简而言之，让之前具有大量条件限制的CRF可以适用于更多的协议，让其实现的更为简单和方便。

2018年Ma.H等人在[Concessive Online/Offline Attribute Based Encryptionwith Cryptographic Reverse Firewalls—Secure and Efficient Fine-GrainedAccess Control on Corrupted Machines.In:Lopez J.,Zhou J.,Soriano M.(eds)Computer Security.ESORICS 2018.LNCS,vol 11099.Springer,Cham]文章中对基于属性的加密技术实现了密码逆向防火墙方案。由于基于属性的加密技术本身需要的成本极高，而CRF还有双倍的计算延迟，因此他们提出了一种基于让步的在线/离线密文策略属性的加密算法，此算法能够采用密码逆向防护墙技术并且成功抵制信息泄露。同时此方法与原始没有CRF的方案相比甚至减少了一半的计算量，极大的降低成本。

虽然密码逆向防火墙相对于之前的技术更方便更简单，不需要分析内部算法对内部随机数进行实验，但是密码逆向防火墙具有一定的局限性，它对可重随机化的要求比较高。因为重随机化的要求存在，而大部分数字签名(比如Schnorr签名，DSS签名，Hess签名等一些著名签名)中算法实现中存在哈希函数，而哈希函数是不可逆的，也就意味着密码逆向防火墙技术难以在大部分数字签名上实现。

发明内容

本发明的目的在于：为了抵抗斯诺登问题提出的密码逆向防火墙方案，将密码逆向防火墙运用于一种数字签名中，增强此数字签名的安全性，抵抗内部攻击者的监控行为和泄露秘密信息。

本发明的适用于标准模式下的数字签名的密码逆向防火墙方法，包括下列步骤：

步骤S1：公钥生成中心设定系统参数：

设置p阶的循环乘法群G和G₁，基于循环乘法群G和G₁设置双线性映射

定义哈希函数H：{0,1}*→{0,1}ⁿ，此哈希函数用于签名任意长度的消息。其中，{0,1}^*表示任意比特长的二进制序列组成的集合，{0,1}ⁿ表示比特长为n的二进制序列组成的集合，n表示预置的消息的比特长度；

从整数有限域Z_p中选择一个秘密参数α，随机从群G中选择生成元g，生成参数g₁＝g^a，以及从群G中选择生成元g₂，生成密钥

从群G中取一个随机值u’，以及从群G中随机选取n个随机参数构成向量U；

公钥生成中心将系统参数H，

g，g₁，g₂，u’，U和SK发送给签名端。

步骤S2：签名端的密码逆向防火墙进行重随机化：

签名端的密码逆向防火墙从Z_p中选择一个随机数k，设置g′＝g^k，该密码逆向防火墙将从验证端接收的系统参数中的g替换为g′后，再转发给签名端。

步骤S3：签名端生成消息M的签名：

首先使用哈希函数H将要签名的消息映射为固定长度为n比特的消息M；

基于n比特的消息M中比特位为1的位置索引和向量U中对应该位置索引的元素构建消息向量m，即m＝{U_i|M_i＝1}，其中，M_i表示消息M中的第i个比特，U_i表示向量U的第i个元素，其中i＝1,2,…,n；

签名端从Z_p中选择一个随机数r，并基于消息向量m中的所有元素，计算第一子签名σ₁＝SK(u′Π_j∈mm_j)^r，第二子签名σ₂＝(g′)^r；其中，m_j表示消息向量m中的第j个元素；

从而生成消息M的签名σ＝(σ₁,σ₂)，并将其发送给签名端的密码逆向防火墙。

步骤S4：签名端的密码逆向防火墙对签名重随机化恢复原样：

签名端的密码逆向防火墙对第二子签名σ₂进行重随机化，即设置σ₂＝σ₂/g^k。再将签名σ＝(σ₁,σ₂)传递给验证端。

步骤S5：验证端对签名进行验证：

验证等式

是否成立，如果成立则该签名成立。

由于采用了上述技术方案，本发明的有益效果是：本发明的密码逆向防火墙方案提高了签名的安全性，保证运用此签名的用户能够抵御内部攻击者的攻击和监控行为，保证用户的隐秘信息不被泄露，增强了安全性并且保护用户的隐私。

附图说明

图1是本发明的具体搭建框架；

图2是本发明的具体实施流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明是一种适用于数字签名的密码逆向防火墙方法，包括：

由于大部分数字签名(比如Schnorr签名，DSS签名，Hess签名等一些著名签名)中算法实现中存在哈希函数，而哈希函数的不可逆性质导致可重随机化的要求没法实现。本发明轩用的是一种特殊的签名，此签名是Waters B在2005年[Efficient Identity-BasedEncryption Without Random Oracles.In:Cramer R.(eds)Advances in Cryptology–EUROCRYPT 2005.LNCS,vol 3494.Springer,Berlin,Heidelberg]中提出的一个签名，即签名方使用

代替原本的H(ID)表示用户的身份和信息，这种新型方式就能满足密码逆向防火墙的可重随机化要求，从而将密码逆向防火墙技术运用此签名中。

(1)公钥生成中心(PKG)设定系统参数：

首先设置p阶的循环乘法群G，并且存在一个双线性映射

同时g是群G的生成元群G的大小由相关的安全参数决定。定义一个耐碰撞的哈希函数，H：{0,1}*→{0,1}ⁿ，此哈希函数用于签名任意长度的消息。设定以下的公共参数，从Z_p中选择一个秘密参数α，随机从群G中选择生成元g与g₂，且g₁＝g^α；此签名算法再从群G中取一个随机值u’,并设置一个元素数为n的向量U＝(U_i),其中，U_i表示向量U的第i个元素，且元素U_i均为群G中的随机参数。

从而得到系统公开参数：g，g₁，g₂，u′,U，H和

(2)传递公共参数

参见图1，公钥生成中心将个人信息u’和U以及相关参数传递给签名方和验证方；

签名方的密码逆向防火墙接受相关参数，并且进行重随机化操作设置g’＝g^k；密码逆向防火墙再将g’传递给签名端，其余参数保持不变，如图2所示；

(3)签名：

签名方可以利用自己私钥

和收到的相关参数对消息M进行签名：

随机选取参数r(r∈Z_P)，计算签名

并定义

σ₂＝(g′)^r，再将σ＝(σ₁,σ₂)发送给签名端的密码逆向防火墙。

(4)密码逆向防火墙重随机化：

签名端的密码逆向防火墙在收到签名结果σ＝(σ₁,σ₂)时，参见图2，具体执行以下步骤：

重随机化部分签名结果，即设置σ₂＝σ₂/g^k，，即(g’)^r/g^k＝((g^k)^r)/g^k＝g^r；

再将重随机化后恢复后的签名σ＝(σ₁,σ₂)发送给验证方。

(5)验证方对签名进行验证

验证端验证等式

是否成立来验证签名的合法性，若成立，则认为σ是签名方关于M的合法签名，验证端输出“接受”，否则输出“拒绝”。

本发明增强了用户的安全性，保证了用户在内部攻击下的安全性。本发明找到了一种适用于无需随机预言模型的基于身份的签名密码逆向防火墙方案，虽然密码逆向防火墙是一种很好的抵制“斯诺登”式攻击的方法，但是由于它对重随机化的要求比较高，而签名(比如Schnorr签名，DSS签名，Hess签名等)中存在大量的哈希函数，导致签名的密码逆向防护火墙难以实现。本发明找到一种比较特殊的签名，它满足可重随机化的要求，保证使用此签名的用户能够抵制内部攻击，从而获得更高的安全性。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。