專利名稱：基于不可信更新環(huán)境的前向安全數(shù)字簽名方法
技術領域：
本發(fā)明是ー個不可信更新環(huán)境的前向安全數(shù)字簽名方案，它屬于通信技術領域，解決了在不可信更新環(huán)境下的密鑰更新問題；同時解決了即使某個時間段用戶的私鑰發(fā)生泄露，也不會危害系統(tǒng)在該時間段及以前時間段的安全性，這樣大大減小了密鑰泄露帶來的危害
背景技術：
密鑰在一個密碼系統(tǒng)中具有異乎尋常的重要地位在加密系統(tǒng)中只有掌握合法密鑰的用戶才能執(zhí)行解密操作，而在簽名系統(tǒng)中也只有掌握合法密鑰的用戶才能產生有效簽名?，F(xiàn)在使用的密碼體制由算法和密鑰組成，在密碼體制的算法公開的前提下，密碼體制的安全性就完全依賴于密鑰的安全性。目前，絕大多數(shù)密碼系統(tǒng)都假設密鑰能夠得到妥善保管而不發(fā)生泄露，并沒有對密鑰泄露采取保護措施。然而，一個嚴峻的事實是隨著通信技術和計算機的迅猛發(fā)展，越來越多的密碼系統(tǒng)被應用于諸如移動設備等安全性較差的場合，密鑰泄露的發(fā)生在所難免。對于ー個密碼系統(tǒng)來說，密鑰泄露無疑是ー個毀滅性的打擊，因為它意味著系統(tǒng)的安全性徹底喪失。為了減小密鑰泄露的可能，早期的辦法是采用分布式的手段來保存密鑰。具體做法是將密鑰分成若干個子密鑰，分別存放在不同的設備中，每ー個密碼操作必須這些設備的共同協(xié)作才能完成。這樣，就算攻擊者能獲得某些子密鑰，也不能獲得整個密鑰，從而加大了攻擊者獲得密鑰的難度。這些辦法包括秘密分享系統(tǒng)、門限密碼系統(tǒng)以及前攝密碼系統(tǒng)等。但是，這些系統(tǒng)都有很大的局限性，如開銷太大，更致命的是，一旦足夠份額的子密鑰泄露，系統(tǒng)的安全性仍然會徹底喪失。既然密鑰泄露是無法避免，那么就應當采用合適的技術來盡量減輕它帶來的危害。前向安全就是這樣ー種技木。這種技術不再是將密鑰分成若干個子密鑰，而是將密鑰周期分成若干段，在密碼系統(tǒng)中加入密鑰更新算法，每個時間段開始吋，用密鑰更新算法得到新的密鑰。而密鑰更新算法是ー個具有單向性的算法，由前面時間段的密鑰更新得到后面時間段的密鑰是容易的，反過來卻是困難的。具有前向安全的密碼系統(tǒng)可以保證即使某個時間段的密鑰發(fā)生泄露，也不會危害系統(tǒng)在該時間段以前時間段的安全性，這樣大大減小了密鑰泄露帶來的危害。前向安全的概念源于Giinther和Diffie等在研究密鑰交換協(xié)議時提出來的前向保密技術。在1997年ACM CCS會議上，發(fā)明人Anderso首次提出前向安全數(shù)字簽名的概念時粗略地將其表示為當前私鑰的泄露不會影響到過去的大量數(shù)字簽名的安全性，直至1999年發(fā)明人Bellare和Miner在其發(fā)表的文章中給出了較正式的定義，即對于ー個具有密鑰更新(或者稱為密鑰演化)機制的數(shù)字簽名方案，在其敵手模型中允許敵手進行選擇消息攻擊，并在其所選的時間段j泄露秘密密鑰，敵手將試圖對消息m偽造出關于某個時間段i (i < j，對應時間段j之前的某ー時間段)的簽名，如果敵手的偽造是計算上不可行的，那么稱方案具有前向安全性。Michel Abdalla和Leonid Reyzin于2000年在亞洲密碼學會議(ASIACRYPT 2000)上提出了一個新的前向安全簽名方案(A New Forward-SecureDigital Signature Scheme, Michel Abdalla and Leonid Reyzin)是目前最為常用的前向安全簽名方案。但該方案在不可信更新環(huán)境下，私鑰按時間段自動更新這ー環(huán)節(jié)就會出現(xiàn)私鑰無法正確更新的安全性問題。Boyen, Shacham, Shen,等學者2006年的美國計算機協(xié)會的計算機與通信安全會議(ACM CCS)上公開了的基于不可信更新環(huán)境的前向安全數(shù)字簽名方案(Forward-Securesignatures with Untrusted Update, Xavier Boyen, Hovav Shacham, Emily Shen,BrentWaters，ACM CCS2006)，闡述了這ー被忽視的問題，定義了在不可信更新環(huán)境下進行密鑰更新的前向安全數(shù)字簽名方案模型并給出了一個基于雙線性映射構造的數(shù)字簽名，但其構造私鑰與公鑰的長度長，復雜度高。隨后，Libert等學者與2007年在ACM CCS上公開的通用的基于不可信更新環(huán)境的前向安全數(shù)字簽名方案(Forward-Secure Signaturesin Untrusted Update Environments!Efficient and Generic Constructions, BenoitLibert, Jean-Jacques Quisquater, Moti Yung, ACM CCS 2007)中米取了進行兩次簽名的方法，給出了ー個通用的構造出適用于不可信更新環(huán)境的前向安全簽名方案，然后這種方法 由于需要進行兩次簽名，實施復雜僅具有理論價值。

發(fā)明內容
本發(fā)明所要解決的技術問題是，提供ー種更高效的，適用于不可信更新環(huán)境的前向安全簽名方法。本發(fā)明為解決上述技術問題所采用的技術方案是，基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，包括初始密鑰對生成步驟生成使用用戶ロ令加密后的初始私鑰、公鑰；簽名步驟當有信息需要簽名時，先對當前私鑰進行驗證，再使用通過驗證的當前私鑰、用戶ロ令完成對信息的簽名；密鑰更新步驟當系統(tǒng)時間到達更新周期且當前時間段小于系統(tǒng)設置的時間段最大值，則直接對利用私鑰進行更新；當系統(tǒng)時間到達更新周期且當前時間段為系統(tǒng)設置的時間段最大值，則觸發(fā)初始密鑰對生成步驟；簽名驗證步驟當接收簽名信息時，利用公鑰對簽名進行驗證。本發(fā)明以常用的前向安全簽名方案為基礎，提出了ー個新的基于不可信更新環(huán)境的前向安全簽名方案。在本發(fā)明中，使用ロ令對初始私鑰進行加密。在簽名時，用戶需要輸入口令以及用ロ令加密過的私鑰對消息進行簽名。在私鑰更新過程中，并不需要用戶輸入口令，直接完成加密私鑰的自動更新。經過試驗驗證，作為傳統(tǒng)的密鑰保護方法，ロ令加密的方式同樣可以增強前向安全等具有自保護功能的密碼系統(tǒng)的安全性。相比兩次簽名的基于不可信更新環(huán)境的前向安全數(shù)字簽名方案，在相同安全性的情況下，更高效，實用性更強。相比基于雙線性映射構造的不可信更新環(huán)境的前向安全數(shù)字簽名方案，在相同安全性的情況下，本發(fā)明需構造的密鑰對的長度小，復雜度更低。本發(fā)明的有益效果是，高效、實用性強、安全性高，適用于不可信更新環(huán)境。
具體實施例方式實施例中用到的符號說明見下表
權利要求
1.基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，包括 初始密鑰對生成步驟生成使用用戶ロ令加密后的初始私鑰、公鑰； 簽名步驟當有信息需要簽名時，先對當前私鑰進行驗證，再使用通過驗證的當前私鑰、ロ令完成對信息的簽名； 密鑰更新步驟當系統(tǒng)時間到達更新周期且當前時間段小于系統(tǒng)設置的時間段最大值，則直接利用私鑰進行更新；當系統(tǒng)時間到達更新周期且當前時間段為系統(tǒng)設置的時間段最大值時，則觸發(fā)初始密鑰對生成步驟； 簽名驗證步驟當接收簽名信息時，利用公鑰對簽名進行驗證。
2.如權利要求I所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，初始密鑰對生成具體包括以下步驟 I)設置時間段總數(shù)T、系統(tǒng)安全參數(shù)k以及系統(tǒng)安全參數(shù)I、用戶輸入的ロ令pw ； 2 )隨機選取大素數(shù)P以及大素數(shù)q，且滿足P = q = 3 (mod4)，pq<2k, 2k^< (p_l) (q-1)； 3)計算兩個大素數(shù)的乘積n以及兩個大素數(shù)各自減I后的乘積が《);n=pq， 4)選取強密碼hash函數(shù)H以及H1,H: {O，I}*- {O，1} 1W1: {0，lf 4 Z:;其中，*表示任意長度，Z\表示模n的乘法群，H為將輸入的任意長度的字符映射到長度為I的字符上的hash函數(shù)，H1為將輸入的任意長度的字符映射到模n的乘法群上的hash函數(shù)； 5)將輸入的ロ令pw通過hash函數(shù)H1映射到模n的乘法群，得到映射結果d,d — H1 (pw);再計算加密因子 e,e<J = I (mod(/ {/ )) 6)在模n的乘法群Ta中隨機選取參數(shù)a，agZ；，利用參數(shù)a以及加密因子e計算初始私鑰因子aQ, a0=aemodn ;利用參數(shù)a計算公鑰因子V以及公鑰因子= I / (a)2 ' ' mod/ ，V1 = I /(a0 f mod/ 7)銷毀加密因子e、兩個大素數(shù)各自減I后的乘積が《)、大素數(shù)P以及大素數(shù)q； 8)生成初始私鑰EncSK0=(0, n, a0, T)，公鑰PK= (n, T, V，V1)，其中初始私鑰因子a0為保密數(shù)據(jù)，兩個大素數(shù)的乘積n、時間段總數(shù)T、公鑰因子V以及公鑰因子V1為公開數(shù)據(jù)。
3.如權利要求2所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，簽名步驟中對當前私鑰EncSKi=Q, n, a” T)進行驗證，i表示當前時間段為第i時間段(i =0，1，…，TXai為第i時間段的密鑰因子在當前第i時間段，利用公鑰PK=(n，T，V，V1)中的公鑰因子V1來驗證當前私鑰EncSKi=Q, n, a” T)中的密鑰因子=Imod",則表示當前私鑰合法，繼續(xù)簽名處理；否則，表示當前私鑰非法，不再繼續(xù)簽名處理，觸發(fā)密鑰對初始化。
4.如權利要求3所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在干，簽名步驟中使用通過驗證的當前私鑰EncSKi. ロ令pw完成對信息M的簽名，具體為在模n的乘法群Z\中隨機選擇參數(shù)R，i eZ %井根據(jù)參數(shù)R計算簽名因子O以及簽名因子Y，O =H(i, Z，M) ,Y = Raf^modn，其中簽名因子參數(shù)Z，Z = feh \nodn ;生成簽名(i,〈Y，O 。
5.如權利要求4所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，密鑰更新步驟具體為當前系統(tǒng)時間已達更新周期，且當前第i時間段滿足i = T，則觸發(fā)密鑰對初始化；否則，計算EncSKi+1= (i+1, n, ai+1, T)，并銷毀EncSKi,其中&; = a； mod/ ，最用后更新后的私鑰對當前私鑰賦值EncSKi=EncSKw，再更新當前時間段為i=i+l。
6.如權利要求5所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在干，當接收到帶有簽名(i，〈Y，a 的信息M吋，利用公鑰PK= (n，T，V，V1)對簽名進行驗證，具體步驟如下 1)根據(jù)計算簽名因子O、簽名因子Y以及公鑰因子V計算簽名因子參數(shù)Z'，Z,=ド",1Tj mod"; 2)利用簽名因子參數(shù)Z'計算簽名因子O、O丨=H(i,Z/，M)，如O'與。相同，則表示簽名合法；否則表示簽名不合法，丟棄接收到的信息M。
7.如權利要求6所述基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，其特征在于，在計算簽名因子參數(shù)Z，之前，先判斷簽名因子Y是否為Y=Omodn,如是，表示簽名不合法，丟棄接收到的信息M，否則進入簽名因子參數(shù)Z'的計算步驟。
全文摘要
本發(fā)明提供一種基于不可信更新環(huán)境的前向安全數(shù)字簽名方法，以常用的前向安全簽名方案為基礎，使用口令對初始私鑰進行加密。在簽名時，用戶需要輸入口令以及用口令加密過的私鑰對消息進行簽名。在私鑰更新過程中，并不需要用戶輸入口令，直接完成加密私鑰的自動更新。經過試驗驗證，作為傳統(tǒng)的密鑰保護方法，口令加密的方式同樣可以增強前向安全等具有自保護功能的密碼系統(tǒng)的安全性。相比兩次簽名的基于不可信更新環(huán)境的前向安全數(shù)字簽名方案，在相同安全性的情況下，更高效，實用性更強。相比基于雙線性映射構造的不可信更新環(huán)境的前向安全數(shù)字簽名方案，在相同安全性的情況下，本發(fā)明需構造的密鑰對的長度小，復雜度更低。
文檔編號H04L29/06GK102651747SQ201210164829
公開日2012年8月29日 申請日期2012年5月24日 優(yōu)先權日2012年5月24日
發(fā)明者李萬鵬, 許春香 申請人:電子科技大學