本发明专利技术提供了一种系统和方法,该系统和方法使得密钥PV签名的接收通信方将密钥PV签名转换为具有类似于传统签名的特性的签名(即,消息是公开的,并且可以由任何人来验证),移除签名的密钥方面。接收通信方可以向第三方传递已转换的签名,并向第三方提供知识证明,以使第三方可以确信是签名的发起者签名了消息。
【技术实现步骤摘要】
【国外来华专利技术】密钥PV签名相关申请的交叉引用要求2011年3月18日递交的美国临时专利申请No.61/454,445的优先权,以此通过引用将其全部内容并入本文。
以下涉及具有消息恢复的数字签名。
技术介绍
公知数字签名是用于认证消息的计算机实现的技术。对签名的验证确认所签名的消息对应于接收到的消息。已经提出了很多数字签名方案,在这些已知的签名方案中有一类允许根据签名来部分或完整地恢复消息的签名。具体的高效数字签名方案已知是Pintsov-Vanstone签名,通常称为PV签名。椭圆曲线Pintsov-Vanstone签名(ECPVS)方案向数字签名提供了部分消息恢复。在ANSIDraftX9.92-2007-02-2(PublicKeyCryptographyfortheFinancialServicesIndustry,DigitalSignatureAlgorithmsGivingPartialMessageRecoveryPart1:EllipticCurvePintsov-VanstoneSignatures(ECPVS),AccreditedStandardsCommitteeX9,Inc.,2007)和ISO/IEC9796-3(ISO/IEC9796-3:2006:Informationtechnology-Securitytechniques-Digitalsignatureschemesgivingmessagerecovery-Part3:Discretelogarithmbasedmechanisms,2006)中提出了这种方案,通过引用将二者并入本文。数字签名方案中的部分消息恢复降低了发送(消息,签名)对的带宽要求。这是通过将消息的一部分(可恢复部分)与签名值“并归”(而不增加签名的大小)并且不发送消息的该部分来进行的。如果签名是有效的,验证器恢复消息的可恢复部分。附图说明在参考附图的以下详细描述中,特征将变得更加显而易见,其中:图1是数据通信系统的示意性表示。图2是图1的系统中使用的密码单元的表示。图3是示出第二通信方转换并向第三方传递第一通信方的密钥PV签名的流程图。图4是示出非交互式证明和验证的流程图。具体实施方式原始的椭圆曲线Pintsov-Vanstone签名方案已被扩展为密钥Pintsov-Vanstone签名方案(密钥PV,或简称为kPV)。密钥PV是具有机密消息恢复的签名方案,其中,仅预期的接收者可以恢复部分消息。这与某些数字签名方案相反,在这些数字签名方案中,消息是公开的,并且在给出签名者的公钥的情况下,任何人都可以验证签名。在共同拥有的美国专利No.7,249,259和No.7,877,610中描述了PV方案,通过引用将其并入本文。可以使用椭圆曲线上的点群来例示PV签名方案(以及变型)。假设E(Fq)是在具有q个元素的有限域上的椭圆曲线E上的点的集合。每个点具有一对坐标,该坐标是底层有限域的元素,并满足椭圆曲线E。该集合形成基于被称为点附加的二元运算的组。通常,将该集合选择为具有大小l=rn,其中,n是大的质数,以及余因子r是(相对)小的整数。秩n的子群的产生器被表示为G,以及所有的群算术都将在该子群中进行。为了方便而使用加法符号,例如,对于两个点P和Q的求和,我们写成P+Q,以及与整数k的标量乘法是kP。可以使用任何有限abelian群来例示本文中的签名方案。例如,我们可以使用子群Zp,该群整数以质数p为模。在该情况下,群秩是p-1,以及产生器将再次产生秩为n的子群,其中,n|p-1。将要意识到的是,子群的大小以及n的原始状态(primality)是安全要求,而不是例示该方案所必需的,即,可以使用任何的子群来例示签名方案,但是这可能不安全。通常,用乘法来写子群Zp中的算术,两个元素P和Q的乘积是PQ,以及对与k的标量乘法的模拟是指数的,并被表示为pk。根据密钥PV方案,将第一通信方向第二通信方发送的消息划分为隐藏并在验证期间恢复的第一部分,以及可见并需要作为验证算法的输入的第二部分。通过单独加密第一部分来产生第一签名分量。通过将第一分量与可见部分组合来形成中间分量,并密码性地对其进行散列。然后,使用中间分量来形成第二签名分量,以及签名包括具有可见部分的第一和第二分量。对签名的验证将仅从消息的隐藏部分导出的第一分量与可见部分组合,并生成该组合的散列。将计算出的散列与可公开获得的信息一起使用,以产生对应于隐藏部分的比特字符串。如果存在需要的冗余性,则签名被接受,并且根据恢复的比特字符串和可见部分来重构消息。密钥PV允许签名者(第一通信方)选择接收者(第二通信方),并基于消息M=N1||N2||V来创建签名。任何方都可以验证N1和V是由第一通信方签名的,而N2是被加密的,以使得仅第二通信方可以将其恢复。密钥PV方案开始于签名者(第一通信方),开始于适当椭圆曲线上的密钥对(dA,GA)。这是第一通信方对消息M=N1||N2||V签名的算法,其中,N1和V将被没有机密性地签名,以及N2被机密地签名,以使得仅第二通信方可以恢复N2并验证其是由第一通信方签名的。在验证期间,验证者(第二通信方)将恢复某个N′i,并且必须确保N′i=Ni。要求Ni具有充足冗余性是解决该问题的一种方式:其允许将N′i标识为属于有效明文的集合。假设具有充足冗余性,对于伪造者而言,生成满足所有要求但是具有N′i≠Ni的签名应该是不可行的。将解密消息识别为有效的备选方式是使用已认证的加密。我们将N2称为消息的隐藏部分(将针对接收者进行加密),以及将(N1,V)称为消息的可见部分(对于任何人都可见,由签名者认证)。可以使用预定字符串来替代N1和V中的任一者或其二者,例如,空字符串、预定义的冗余性或者其他预定字符串。参考图1,数据通信系统10包括由通信链路16连接的一对通信方12、14以及通过另一通信链路38至少连接到第二通信方14的第三方36。通信方12、14均为计算设备,例如,个人计算机、个人数字助理、智能电话、蜂窝电话、ATM、销售点设备、服务器、娱乐系统组件、或者具有计算能力并被提供来与其他通信方交换数字信息的其他这种设备。通信链路16、38可以均为电话链路、无线或陆上线路、局域网(LAN)、RF链路、或者提供来在通信方之间传递信息的其他这种链路。虽然处于示意的目的被示出为通信方12、14和36之间的直接连接,将意识到的是,通信链路16、38可以是更广阔的网络的一部分,并且在从通信方12到通信方14、到第三方36的传递中,可以通过多个通信方来对这些链路进行路由。第三方36可以具有向通信方12、14类似地配置的设备。当通过链路16、38(作为发送者或接收者)通信时,通信方12、14和第三方36各自在操作上可以是相似的,并因此将仅详细描述一个通信方。因此参考图2,通信方12包括与存储器20和处理器22通信的密码单元18。根据通信方12的预期目的,通信方还可以包括数据输入单元24(例如,键盘或读卡器)和显示设备26。密码单元18被提供为管理通信方12、14之间通过通信链路16的安全通信。密码单元18包括安全存储器30(可以是存储器20的一部分,或者是独立的存储器模块)以及算术逻辑单元(ALU)3本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2011.03.18 US 61/454,4451.一种使第二通信方设备能够向第三方证明从第一通信方设备接收到的签名消息的真实性的方法,所述方法包括:由第二通信方设备获得所述签名消息,所述签名消息包括机密分量;由第二通信方设备至少对所述签名消息中包括所述机密分量的部分进行操作(300),以产生第一值;由第二通信方设备使用所述第一值、所述第一通信方设备的公开值以及所述第二通信方设备的私有值来产生(304)第二值;由第二通信方设备向所述第三方发送(306)所述第二值,所述第三方与第二通信方设备耦接;以及由第二通信方设备通过发送用于后续所述第三方的验证的第二值,向所述第三方证明(308)知道所述第二通信方设备的私有值,所述第三方被配置为根据第二值获取解密密钥,以解密所述签名消息的一部分,并在成功解密的情况下将所述签名消息的所述部分接受为有效的。2.根据权利要求1所述的方法,其中,所述签名消息还包括以下一项或多项:可恢复分量、可见分量或其组合。3.根据权利要求2所述的方法,其中,所述可恢复分量、所述可见分量或者所述可恢复分量和所述可见分量二者是预定字符串。4.根据权利要求2所述的方法,其中,所述签名消息是根据ECPVS方案产生的。5.根据权利要求1所述的方法,其中,产生所述第二值包括:在使用所述第二通信方设备的所述私有值之前,使用所述第一值和所述第一通信方设备的所述公开值来产生中间值。6.根据权利要求1所述的方法,其中,向第三方证明知道包括:使用所述第一值和所述第一通信方设备的所述公开值来计算第三值和第四值;输出新的签名消息,以使所述第三方能够验证所述新的签名消息,从而验证所述签名消息的真实性,所述新的签名消息包括所述签名消息、所述第二值以及由所述第三值和所述第四值构成的一对知识证明分量。7.根据权利要求6所述的方法,其中,使所述第三方能够验证所述新的签名消息包括:计算所述第一值;使用所述第一值和所述第一通信方的所述公开值来计算第五值;使用所述知识证明分量和所述第五值来计算所述第三值和所述第四值的表示;使用所述第三值和所述第四值的所述表示来计算所述一对知识证明分量之一的表示;将所述一对知识证明分量之一的所述表示与所述一对知识证明分量中对应的一个相比较,以验证所述新的签名消息的真实性;以及在验证所述新的签名消息的真实性时:使用所述第二值计算密钥;以及使用所述密钥从所述新的签名消息中解密所述签名消息的至少一部分。8.根据权利要求7所述的方法,其中,所述签名消息的所述至少一部分具有以下特性:使所述第三方能够验证所述签名消息是由所述第一通信方设备产生的...
【专利技术属性】
技术研发人员:格雷戈里·马克·扎韦鲁哈,斯科特·亚历山大·万斯通,
申请(专利权)人:塞尔蒂卡姆公司,黑莓有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。