CN111669275A

CN111669275A - 一种无线网络环境下可选择从节点的主从协作签名方法

Info

Publication number: CN111669275A
Application number: CN202010644360.0A
Authority: CN
Inventors: 凌捷; 余宇劲; 谢锐; 罗玉; 刘龙航; 杨锐
Original assignee: Guangxi Minstone Software Co ltd; Guangdong University of Technology
Current assignee: Guangxi Minstone Software Co ltd; Guangdong University of Technology
Priority date: 2020-07-07
Filing date: 2020-07-07
Publication date: 2020-09-15
Anticipated expiration: 2040-07-07
Also published as: CN111669275B

Abstract

本发明公开了一种无线网络环境下可选择从节点的主从协作签名方法，该方法包括步骤：可信中心生成节点集合，生成身份凭证；主节点根据签名场景，与可信中心交互，选择从节点，主从节点进行身份验证；验证通过后，生成分布式密钥对，主从节点均存储分布式密钥对；主从节点通过零知识证明系统的交互生成协作签名。本发明中主节点根据场景需求，灵活选取从节点，在可信中心进行身份验证，通过后进行协作签名，签名过程中，利用Paillier密码系统和零知识证明系统，主从一轮交互便可完成方案证明，与现有签名技术相比，主、从节点与可信中心交互过程中不会造成信息泄露，无需恢复密钥输出签名，具有更高安全性和隐私保护能力。

Description

一种无线网络环境下可选择从节点的主从协作签名方法

技术领域

本发明涉及数字签名领域，特别涉及一种应用在移动无线网络身份认证中，可选择从节点的主从协作签名方法。

背景技术

目前，使用手机、可穿戴设备或其它物联网设备上网的用户数量呈指数型增长，由于用户的固有移动性、攻击载体的多样性和用户设备的资源约束特性，在移动网络中提供安全、高效和隐私保护的用户身份验证是一个具有挑战性的问题。基于身份的签名方案(identity-based signature)在移动无线网络中被广泛应用于实施用户授权和验证用户信息。一般情况下，用户通过标识符和密钥生成中心(Key Generation Center，简称KGC)交互，KGC返回私钥给用户以将私钥存储在移动端或者SIM智能卡上，利用私钥证明自己身份，与外界交互。目前的签名方案都面临密钥存储的难题，攻击者可以通过各种方式获取保存在移动端或智能卡的密钥，对用户隐私造成破坏(参见Challenges in designingidentity-based privacy-preserving authentication schemes for mobile devices[J].IEEE Systems Journal,2018,12(1):916-925.//CLPA scheme for cloud-assistedWBANs[J].IEEE Systems Journal,2018,12(1):64-73.)。

近些年，许多加强签名安全性的方案被提出，如在密钥对生成阶段，添加地理位置因素，使得用户只能在有效位置内得到密钥(参见A novel location-based encryptionmodel using fuzzy vault scheme[J].Soft Computing,2018,22:3383-3393.)，如采用RFID智能卡存储密钥，采用机卡配合的形式，增加攻击者破解难度，提高安全性(基于RFID智能卡的Android移动终端数据保护方案[J].计算机工程与应用,2016,52(02):112-116+126.)，但是仍需存储密钥，不能避免智能卡被盗带来的风险。

针对以上问题，(t，n)-门限秘密共享方案可以提供更好的安全性，一个私钥在n个参与方之间共享。任何关于私钥的信息都不能从t-1或更少的共享中获得，并且可以使用t的子集或更多的共享来恢复整个私钥，但是方案在重组密钥时，需要在某个设备内恢复密钥，如果该设备是已被攻破的设备，会造成密钥的泄露，而且持有恢复的私钥的任何一方都可以在没有其他各方参与的情况下进行签名，有学者提出了一种无需恢复密钥，便可输出签名的方案(Efficient and Provably Secure Distributed Signing Protocol forMobile Devices in Wireless Networks[J].IEEE INTERNET OF THINGS JOURNAL,2018,6(5),5271-5280)，采用固定的两方协同生成签名，但是不能根据场景变换，更换参与者，不符合用户的固有移动性。

综上所述，以上方案，要么不能避免密钥存储带来的风险，要么在协同生成密钥时，不能保证参与方的可靠性，要么不能满足用户的签名场景变换，因此，研究一个无需生成密钥，避免签名参与者合作时信息泄露，同时符合用户固有移动性的签名方案是一个热点问题。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提出一种无线网络环境下可选择从节点的主从协作签名方法，该方法利用秘密共享方案得到一组共享秘密从节点，利用Paillier密码系统进行加密操作，利用主从节点形成的零知识证明系统避免密钥信息泄露，实现了主节点根据不同场景，灵活选择从节点，在不恢复私钥的情况下两方协作生成有效的签名。

本发明的目的通过以下的技术方案实现：一种无线网络环境下可选择从节点的主从协作签名方法，包括步骤：

可信中心生成节点集合，生成身份凭证；

主节点根据签名场景，与可信中心交互，选择从节点，主从节点进行身份验证；

验证通过后，生成分布式密钥对，主从节点均存储分布式密钥对；

主从节点通过零知识证明系统的交互生成协作签名。

具体的，包括如下步骤：

(1)生成主从节点集合，可信中心生成主从身份凭证，可信中心保存凭证，并将其发送到主节点和从节点；

(2)主从节点进行身份验证；

(3)可信中心生成系统公共参数，计算节点ID的身份元素h_ID＝H₁(ID)；

(4)生成分布式密钥，具体是可信中心从Z_q随机选取t₁，Z_q＝{0，1，2，...q-1}，q是椭圆曲线群的阶，计算t₂＝t₁ ^-1*(h_ID+s)^-1，设

其中满足

可信中心生成Paillier密钥对(pk，sk)，将(

pk，sk)发送给主节点，将(

pk)发送给从节点；主节点储存(ID，

pk，sk)和系统公共参数，从节点储存(ID，

pk)和系统公共参数；

(5)主节点从Z_q随机选取整数r₁，计算

对r₁加密得C₁，将(prove，1，(R₁，C₁)，(r₁，sk))发送给零知识证明系统

此处定义：理想的零知识函数

基于关系R：从P_i处收到(prove,sid,x,w)，i∈{1，2}，若(x,w)∈R，且sid未被使用，则发送(proof,sid,x)给P_3-i；生成签名只需要两个节点，所以i是1或2。当i为1时，P_i表示的是P₁，P_3-i表示的是P₂，当i为2时，P_i表示的是P₂，P_3-i表示的是P₁。

(6)零知识证明系统

生成proof后，将(proof，1，(R₁，C₁))发送给从节点；

(7)从节点从Z_q随机选取整数r₂，计算

将(prove，2，R₂，r₂)发送给零知识证明系统

从节点计算

h＝H₂(m,u)；从节点从Z_q随机选取ρ，计算

将C₂发送给主节点；

(8)零知识证明系统

生成proof后，将(proof，2，R₂)发送给主节点；主节点计算S’＝Dec_sk(C₂)mod q，再计算

(9)主节点验证签名，验证通过则输出签名。

优选的，所述步骤(1)中生成主从节点集合的方法是：设门限法方案选择(2，N)，可信中心生成身份凭证P_ID，将身份凭证通过拉格朗日插值多项式进行切片，即生成N个共享项，任意大于等于2个共享项即可还原凭证，具体过程如下：

①生成随机数R和x₁、x₂...x_N；

②代入方程式F(x_i)＝R*x_i+P_ID，得到x_i对应的F(x_i)，i＝1,…,N；

③生成节点集合{P₁，P₂...P_N}，集合共享节点ID，将(ID，x_i，F(x_i))发送给P_i，设P₁为主节点，其余节点为从节点。

优选的，所述步骤(2)中，主从节点进行身份验证，方法是：主节点P₁选择一从节点P₂，P₁和P₂上传共享项至可信中心，可信中心根据共享项恢复身份凭证P_ID，并与可信中心自身保存的原P_ID比较，若P_ID＝原P_ID，则主从关系确立，通过验证，否则中止。

优选的，所述步骤(3)中，可信中心生成系统公共参数，系统公共参数为(R，g，Q₁，Q₂，G₁，G₂，G₃，e)，随机生成s∈Z_q，为主密钥，其中G₁，G₂是两个循环加法群，Q₁，Q₂为G₁，G₂的生成元，G₃是一个乘法群，e为双线性映射：G₁×G₂→G₃，R＝sQ₂，g＝e(Q₁,Q₂)。

优选的，所述步骤(9)中，主节点验证签名，方法是：主节点已知C₂，u，

计算

h＝H₂(m,u)；计算S’＝Dec_sk(C₂)mod q，判断是否可以正确推导下述公式：

若可以正确推导，则验证通过，输出签名(h，S)。

现有的无线网络中的签名方案，要么存在密钥被窃取的安全问题；要么是为传统的公钥密码体制设计的，存在公钥证书管理的问题；要么是两方固定，签名场景局限，本发明与现有技术相比，具有如下改进：

(1)采取主从协作方式，一方固定，另一方由主节点自由选取，签名场景灵活；主从之间身份认证由可信中心负责，不会给节点带来额外计算负担。

(2)面向IEEE P1363标准中设计主从协作签名方法，无需管理公钥证书；利用Paillier密码体制求解困难的特点，构造了一个零知识证明系统，只需一轮交互就可以完成方案证明的鉴定。

附图说明

图1是本发明所述的一种无线网络环境下可选择从节点的主从协作签名方法中确定主从节点的示意图。

图2是本发明所述的一种无线网络环境下可选择从节点的主从协作签名方法中主从节点协作签名的示意图。

图3是本发明所述的一种无线网络环境下可选择从节点的主从协作签名方法的系统流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例1

本发明实施例提供了一种无线网络环境下可选择从节点的主从协作签名方法，该方法利用秘密共享方案得到一组共享秘密从节点，利用Paillier密码系统进行加密操作，利用主从节点形成的零知识证明系统避免密钥信息泄露，实现了主节点根据不同场景，灵活选择从节点，在不恢复私钥的情况下两方协作生成有效的签名。

本发明中的主从协作签名系统包含三个实体：主节点、从节点和可信中心，参见图1，可信中心用来生成主从身份凭证，系统公共参数，Paillier密钥对，从节点用来与主节点形成零知识证明系统，辅助主节点生成签名，主节点用来输出签名。

下面依托上述3个实体对象，结合图1、2对本发明方法进行具体说明。

首先给出本发明中涉及到的各符号的含义：

m：需要签名的信息。

s：可信中心随机生成s∈Z_q，作为主密钥。

H：安全哈希函数，H₁，H₂为不同的两个哈希函数。

params：系统公共参数，为(R，g，Q₁，Q₂，G₁，G₂，G₃，e)，G₁，G₂是两个循环加法群，Q₁，Q₂为各自的生成元，G₃是一个乘法群，e为双线性映射:G₁×G₂→G₃，R＝sQ₂，g＝e(Q₁,Q₂)。

可信中心生成的分布式密钥。

π_i：P_i生成的置换。

proof：零知识证明系统利用π_i生成的证明。

零知识证明系统，R表示的是此系统基于的关系，在此R_P为Paillier公钥正确生成证明(Proof that a Paillier public-key was generated correctly)；R_DL为椭圆曲线点离散对数知识证明(Proof of knowledge of the discrete log of an Elliptic-curve point)；R_PDL为Paillier密文中离散对数的加密证明(Proof of encryption of adiscrete logarithm in a Paillier ciphertext)。

整个方案的构造步骤实施如下：

(1)生成主从集合：设门限法方案选择(m，n)＝(2，3)，可信中心生成身份凭证P_ID，将身份凭证通过拉格朗日插值多项式进行切片，即生成3个共享项，任意大于等于2个共享项即可还原凭证。具体过程如下：

①生成随机数R和x₁，x₂，x₃。

②代入方程式F(x_i)＝R*x_i+P_ID，可以得到对应的F(x_i)

③生成节点集合{P₁，P₂，P₃}，集合共享节点ID，将(ID，x_i，F(x_i))发送给P_i，设P₁为主节点，其余节点为从节点。

(2)主从身份验证：主节点P₁选择从节点(如P₂)，P₁和P₂上传共享项至可信中心，可信中心根据共享项恢复P_ID，并与原P_ID比较，若P_ID＝原P_ID，则通过验证，否则中止。

(3)生成分布式密钥：可信中心生成系统公共参数params，params为(R，g，Q₁，Q₂，G₁，G₂，G₃，e)，随机生成s∈Z_q，为主密钥，其中G₁，G₂是两个循环加法群，Q₁，Q₂为G₁，G₂的生成元，G₃是一个乘法群，e为双线性映射:G₁×G₂→G₃，R＝sQ₂，g＝e(Q₁,Q₂)。

从Z_q随机选取t₁，生成Paillier密钥对(pk，sk)，主节点发送ID至可信中心，可信中心计算h_ID＝H₁(ID)；计算t₂＝t₁ ^-1*(h_ID+s)^-1，设

可信中心生成Paillier密钥对(pk，sk)，将(

pk，sk)发送给主节点，将(

pk)发送给从节点，主节点储存(ID，pk，sk)和系统公共参数，从节点储存(ID，pk)和系统公共参数。

(4)生成分布式签名：主、从节点随机选择整数r₁、r₂，

主节点对r₁进行加密，得C₁＝Enc_pk(r₁)，计算

将(prove，1，(R₁，C₁)，(r₁，sk))发送至零知识证明系统

生成证明proof后，从节点接收(proof，1，(R₁，C₁))，计算

生将(prove，2，R₂，r₂)发送至零知识证明系统

从节点计算

h＝H₂(m，u)，从Z_q随机选取ρ，计算

得C₂，将C₂发送给主节点；零知识证明系统

生成proof后，将(proof，2，R₂)发送给主节点；

主节点计算S’＝Dec_sk(C₂)mod q，再计算

主节点计算

h＝H₂(m,u)；主节点通过ID验证(h，S)，验证通过则输出签名(h，S)。

另外，本实施例中可信中心生成主从身份凭证后并加以保存，为了避免可信中心受到攻击，造成身份凭证被盗，本实施例还提出对可信中心进行优化设计：可信中心中，主从集合的份额存放在A处，将主、从节点处的份额重组回身份凭证的计算方式存放在B处，只有同时突破A、B两处，才可能获得凭证。这样可以提高系统的安全性，比在可信中心直接存放身份凭证的安全性更高。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种无线网络环境下可选择从节点的主从协作签名方法，其特征在于，包括步骤：

可信中心生成节点集合，生成身份凭证；

主从节点通过零知识证明系统的交互生成协作签名。

2.根据权利要求1所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，包括如下步骤：

(2)主从节点进行身份验证；

其中满足

可信中心生成Paillier密钥对(pk，sk)，将

发送给主节点，将

发送给从节点；主节点储存

和系统公共参数，从节点储存

和系统公共参数；

(5)主节点从Z_q随机选取整数r₁，计算

此处定义：理想的零知识函数

基于关系R：从P_i处收到(prove,sid,x,w)，i∈{1，2}，若(x,w)∈R，且sid未被使用，则发送(proof,sid,x)给P_3-i；

(6)零知识证明系统

生成proof后，将(proof，1，(R₁，C₁))发送给从节点；

(7)从节点从Z_q随机选取整数r₂，计算

将(prove，2，R₂，r₂)发送给零知识证明系统

从节点计算

h＝H₂(m,u)；从节点从Z_q随机选取ρ，计算

将C₂发送给主节点；

(8)零知识证明系统

(9)主节点验证签名，验证通过则输出签名。

3.根据权利要求2所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，所述步骤(1)中生成主从节点集合的方法是：设门限法方案选择(2，N)，可信中心生成身份凭证P_ID，将身份凭证通过拉格朗日插值多项式进行切片，即生成N个共享项，任意大于等于2个共享项即可还原凭证，具体过程如下：

①生成随机数R和x₁、x₂...x_N；

4.根据权利要求2所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，所述步骤(2)中，主从节点进行身份验证，方法是：主节点P₁选择一从节点P₂，P₁和P₂上传共享项至可信中心，可信中心根据共享项恢复身份凭证P_ID，并与可信中心自身保存的原P_ID比较，若P_ID＝原P_ID，则主从关系确立，通过验证，否则中止。

5.根据权利要求2所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，所述步骤(3)中，可信中心生成系统公共参数，系统公共参数为(R，g，Q₁，Q₂，G₁，G₂，G₃，e)，随机生成s∈Z_q，为主密钥，其中G₁，G₂是两个循环加法群，Q₁，Q₂为G₁，G₂的生成元，G₃是一个乘法群，e为双线性映射：G₁×G₂→G₃，R＝sQ₂，g＝e(Q₁,Q₂)。

6.根据权利要求2所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，所述步骤(9)中，主节点验证签名，方法是：主节点已知C₂，u，

计算

h＝H₂(m,u)，计算S’＝Dec_sk(C₂)mod q，判断是否可以正确推导下述公式：

若可以正确推导，则验证通过，输出签名(h，S)。

7.根据权利要求2所述的无线网络环境下可选择从节点的主从协作签名方法，其特征在于，对可信中心进行优化设计：可信中心中，主从集合的份额存放在A处，将主、从节点处的份额重组回身份凭证的计算方式存放在B处，只有同时突破A、B两处，才可能获得凭证。