一种抗秘密值泄露的高效无证书签名方法技术

本发明专利技术提出了一种抗秘密值泄露的高效无证书签名方法,由以下步骤构成：系统初始化阶段、部分私钥生成阶段、秘密值选取阶段、公钥生成阶段、签名阶段、验签阶段。本方法具有以下特点：1.相较于传统抗Normal类攻击者方法，该方法具有更高安全性，可以在用户秘密值泄露时，保证用户的部分私钥机密性；2.相较于传统抗Strong类和Super类攻击者的方案，该方法的效率具有明显优势；3.用户的部分私钥、秘密值、公钥的规模与传统抗Normal类攻击者方案一样，仅由一个群元素构成。由一个群元素构成。由一个群元素构成。

【技术实现步骤摘要】
一种抗秘密值泄露的高效无证书签名方法


[0001]本专利技术属于计算机安全领域，具体涉及一种抗秘密值泄露的高效无证书签名方法。

技术介绍

[0002]数字签名技术是信息系统中保证数据完整性及不可否认性，用于认证的重要密码学工具。在传统的公钥密码体制中，建立和维护公钥基础设施(Public Key Infrastructure,PKI)的开销巨大。为了简化证书中心的工作流程，降低数字证书的颁发、管理、认证等环节的开销，Adi Shamir提出了基于身份密码体制。在该体制下，用户不需要计算公钥并申请数字证书以绑定用户的身份和所用公钥；但同时，该体制引入了一个可信第三方来根据申请用户的身份为其生成并分发私钥。这样的流程也带来了密钥托管问题，即可信第三方拥有所有用户的私钥。基于上述的研究，Al
‑
Riyami和Paterson提出了无证书密码体制，结合了基于身份体制和传统公钥体制的特点。无证书系统中，既有一个第三方专门负责根据用户身份计算用户的部分私钥；同时，用户自己也生成秘密值并计算公钥。用户的部分私钥和秘密值共同作为自己的完整私钥，并且公钥不需要辅以数字证书来绑定自己的身份。
[0003]无证书密码体制下的数字签名技术，经过长时间的研究与发展，已经形成了较为成熟的设计方法。除了最初提出的第一类、第二类攻击者分类外，研究人员又进一步地将攻击者细分为Normal类、Strong类和Super类。一般地，在抗Normal类攻击者的无证书签名方法中，第一类攻击者可以直接替换目标用户的公钥，获得用户在原公钥下的有效签名，但不能掌握目标用户的秘密值，同时方案的效率较高；在抗Strong类和Super类攻击者的无证书签名方法中，第一类攻击者可以获得原公钥和新替换公钥下的有效签名，也可以获得目标用户的秘密值，但方案的效率比Normal类方案低。综上所述，目前的无证书签名方法，需要对安全性和效率做出权衡选择。
[0004]在实际应用中，目前越来越多的场景需要考虑新的安全需求和效率要求。例如，随着电子健康系统的推广和普及，个人健康数据监测成为很多用户日常生活中必不可少的环节。个人的身体状态数据，如血压、心率、跌倒检测等可以通过各种智能穿戴设备收集并传输到医疗中心的服务器。无证书签名技术可用于数据完整性的验证，为将其用于健康数据日常监测系统，还应对系统的特殊安全需求进行考虑。首先，智能穿戴设备中的传感器被动地采集数据并传输，因此设备在出厂时可以内置芯片并封装执行逻辑，通常无需担心类似普通用户被诱导或采用被替换的秘密值计算签名的情形。因此，该系统中不需要考虑攻击者具有能够获得替换公钥下有效签名的能力，即只需要考虑将攻击者划分为Normal类即可。其次，由于穿戴设备的工作环境和工作方式的特殊性，内置于设备中秘密值很可能发生泄漏。例如，智能手环、智能手表等设备经常发生遗失、被盗等意外事件。此时攻击者有可能获得存储在智能设备上的该用户秘密值。另一方面，穿戴设备的资源有限，并且还要考虑到电池尺寸大小和续航的问题，对采用的无证书签名方法效率指标有较高要求。传统抗
Normal类攻击者安全的方法无法满足抵抗秘密值泄露的安全要求；而抗Strong类和Super类攻击者安全的方法效率较低，无法保证设备足够的便携性和续航要求。在目前已有的无证书签名技术中，很难找到两全其美的方法。

技术实现思路

[0005]本专利技术提出了一种抗秘密值泄露的高效无证书签名方法。该方法是对传统抗Normal类攻击者方案的提升，通过对签名阶段的重新设计，保证在用户秘密值泄露的条件下，攻击者仍然无法计算获得用户的部分私钥。其次，该方法的系统初始化阶段、部分私钥生成阶段、秘密值生成阶段、公钥生成阶段的具体参数和步骤与传统抗Normal类攻击者无证书签名方法保持一致，保证效率。
[0006]为了实现上述目的，本专利技术的技术方案如下：一种抗秘密值泄露的高效无证书签名方法，所述方法包括以下步骤：
[0007]步骤1：系统初始化阶段：密钥生成中心KGC输入一个安全参数1
λ
，输出为系统主公钥mpk和主密钥msk，即
[0008]Setup(1
λ
)
→
(mpk，msk)；
[0009]步骤2：部分私钥生成阶段：密钥生成中心KGC输入主公钥mpk，主私钥msk和一个用户的身份信息ID，输出为该用户的部分私钥D
ID
，即
[0010]PartialKey(mpk，msk，ID)
→
D
ID
；
[0011]步骤3：秘密值生成阶段：用户输入主公钥mpk和用户的身份信息ID，输出为用户的秘密值x
ID
，即
[0012]SecretValue(mpk，ID)
→
x
ID
；
[0013]步骤4：公钥生成阶段：用户输入公钥mpk，用户的身份ID和秘密值x
ID
，输出为用户的公钥pk
ID
，即
[0014]PublicKey(mpk，ID，x
ID
)
→
pk
ID
；
[0015]步骤5：签名阶段：用户输入系统主公钥mpk，用户的身份ID，用户的部分私钥D
ID
，用户的秘密值x
ID
和待签名的消息m，输出为一个签名σ
m
，即
[0016]Sign(mpk，ID，D
ID
，x
ID
，m)
→
σ
m
；
[0017]步骤6：验签阶段：用户输入系统主公钥mpk，用户的身份ID，用户的公钥pk
ID
，一个消息m和一个签名σ
m
。输出为“1”表示验证通过，否则输出“0”表示验证失败，即该方案实现了安全性和效率两方面的均衡优化。安全性方面，与传统的抗Normal类攻击者安全的方法相比，本方法可以额外抵抗秘密值泄露的攻击；效率方面，与传统的抗Strong类和Super类攻击者安全的方法相比，本方法在效率上优势明显，所述方法的具体定义与传统无证书签名类似。
[0018]其中，步骤1具体如下：系统初始化阶段：设BG(1
λ
)
→
(e，p，G，G
T
)为一个双线性群生成算法，该算法输入安全参数1
λ
，输出素数p阶循环群G，G
T
，其中e：G
×
G
→
G
T
是双线性对运算。密钥生成中心KGC输入安全参数1
λ
，运行BG(1
κ
)
→
(e，p，G，G
T
)，然后选取生成元P∈G，随机选择s∈Z
p
并计算P
pub
＝s
·
P，选择哈希函数H2：{0，1}本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种抗秘密值泄露的高效无证书签名方法，其特征在于，所述方法包括以下步骤：步骤1：系统初始化阶段：密钥生成中心KGC输入一个安全参数1
λ
，输出为系统主公钥mpk和主密钥msk，即Setup(1
λ
)
→
(mpk，msk)；步骤2：部分私钥生成阶段：密钥生成中心KGC输入主公钥mpk，主私钥msk和一个用户的身份信息ID，输出为该用户的部分私钥D
ID
，即PartialKey(mpk，msk，ID)
→
D
ID
；步骤3：秘密值生成阶段：用户输入主公钥mpk和用户的身份信息ID，输出为用户的秘密值x
ID
，即SecretValue(mpk，ID)
→
x
ID
；步骤4：公钥生成阶段：用户输入公钥mpk，用户的身份ID和秘密值x
ID
，输出为用户的公钥pk
ID
，即PublicKey(mpk，ID，x
ID
)
→
pk
ID
；步骤5：签名阶段：用户输入系统主公钥mpk，用户的身份ID，用户的部分私钥D
ID
，用户的秘密值x
ID
和待签名的消息m，输出为一个签名σ
m
，即Sign(mpk，ID，D
ID
，x
ID
，m)
→
σ
m
；步骤6：验签阶段：用户输入系统主公钥mpk，用户的身份ID，用户的公钥pk
ID
，一个消息m和一个签名σ
m
，输出为“1”表示验证通过，否则输出“0”表示验证失败，即2.根据权利要求1所述的一种抗秘密值泄露的高效无证书签名方法，其特征在于，步骤1具体如下：系统初始化阶段：设BG(1
λ
)
→
(e，p，G，G
T
)为一个双线性群生成算法，该算法输入安全参数1
λ
，输出素数p阶循环群G，G
T
，其中e：G
×
G
→
G
T
是双线性对运算，密钥生成中心KGC输入安全参数1
λ
，运行BG(1
κ
)
→
(e，p，G，G
T
)，然后选取生成元P∈G，随机选择s∈v
p
并计算P
pub
＝s
·
P，选择哈希函数H2：{0，1}
*
→
Z
p
，H1，H3：{0，1}
*
→
G，其中Z
p
为模p构成的循环群，系统的主公钥和主私钥设置如下mpk＝{e，p，G，G
T
，P，H1，H2，H3，P
pub
}，msk＝...

【专利技术属性】
技术研发人员：吴戈，王桂林，韩金广，陈清，戴相龙，
申请(专利权)人：东南大学，
类型：发明
国别省市：