专利名称:一种高效快捷的授权电子签名方法
技术领域:
本发明属于网络信息安全领域中电子签名方法,特别是一种高效快 捷的授权电子签名方法。
背景技术:
在电子商务系统、电子政务系统、信息安全系统、网络通信系统等 与信息相关的各个领域中,电子签名技术是极其基本的技术之一。它模 拟了现实生活中的手写签名的功能,不仅具有身份认证、来源鉴别、抗 抵赖、抗伪造等能力,而且还能对数据电文进行完整性认证,并可以确 保数据电文的真实性、安全性、可靠性和合法性,因而对于保障信息系 统的正常运作具有十分重大的意义。在许多国家,包括我国在内,电子 签名都得到了法律上的承认。目前,经过国内外众多学者的努力,已经出现了许多电子签名方法,例如申请号为02153672. 4的专利《一种利 用无线笔的电子签名留言方法》公开了 一种通过记录使用者在利用无线 笔进行手写签名时的书写笔迹,将其作为文档签名的方法,但由于该签 名仅仅是手写签名的单纯模拟,与文档内容无直接关系,因此根本无法 实现我国《电子签名法》第五条和第十三条所规定完整性、抗抵赖、抗 伪造等关于电子签名合法性的基本要求。而申请号为01139001. 8的专利 《电子签名的防伪方法及装置》则公开了 一种应用于条形码系统的电子 签名防伪方法,其适用面较窄。但所有这些方法都不能解决电子签名权 利的委托授权问题。在现实世界里,人们经常需要将自己的某些签名权力委托给可靠的代理人,让代理人代表本人去行使这些权力。委托签名权的传统方法是 使用印章,因为印章可以在人们之间灵活地传递。因此,在电子签名领 域中,我们也急需一种方法,以实现一种类似于现实生活中的印章和公 章的功能,以便将自己的电子签名权利委托他人的方法。经过^r索我们发现,申请号为200410052864. 4的专利《签章集中管 理与委托授权电子签章安全的方法》则将签名权力全部委托给可信的OA 系统来实现签名权力的委托授权操作,这种方法针对OA系统,采取签章 集中管理制度,实现委托授权操作,因此仅能应用于可信OA系统,应用 面很窄。此外,该方法还存在着签名可以伪造、文书的完整性无法保证、 代理人签名权力无法控制、委托人和代理人可相互抵赖等众多的安全性 问题。申请号为200510019214. 4的专利《一种基于椭圆曲线的可控授权 电子签名方法》则通过借助可信的第三方电子认证服务机构,提供了一 种基于有限域上的椭圓曲线离散对数问题的求解困难性的安全可靠的基 于椭圆曲线的可控授权电子签名方法。该方法可使得委托人对代理人行 使电子签名权力的权力范围、签名时间和签名次数进行可靠的控制。但所有这些方法都强烈依赖于一个可信第三方机构作为认证中心, 在电子签名的工作过程中需要由用户和认证中心通过实时交互来完成电 子签名的生成或认证,这不仅大大加重了系统的工作负担,降低了系统 的工作效率,而且严重地限制了电子签名技术的推广和应用。本发明中所用到的相关术语说明如下根据我国的《电子签名法》的定义,所谓的电子签名,是指数据电 文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中 内容的数据。而数据电文,则是指以电子、光学、电磁或者类似手段生成、发送、接收或者储存的信息。委托人指的是拥有原始电子签名权力的签名人,他可以根据需要, 将自己的电子签名权力委托授权给另一个签名人,即代理人。代理人指的是根据委托人的委托授权,行使实际的电子签名权力的 签名人。授权电子签名指的是代理人根据委托人的委托授权,代表委托人生 成的电子签名。接收者指的是收到数据电文的用户。认证中心指的是根据《电子签名法》第十七条设立的、由当事各方 均认可的第三方可信的、提供相关电子认证服务的电子认证服务机构, 它能提供符合《电子签名法》第二十一条所规定电子签名证书。密钥分发中心指的是用于和用户合作产生用户公钥及其身份证明文 书的积4勾。发明内容本发明的目的在于针对现有技术和方法的不足,解决现有代理签名 方案所存在的工作效率低和权力控制力度弱等问题,提供一种高效快捷 的授权电子签名方法。为实现上述目的,本发明的具体步骤是第一步骤确定系统参数随机选定大素数A系统生成元g为一个 随机选取的小于/ 的正整数,并设密钥分发中心的私钥为5^,其中5T^ 为小于;^1的随机正整数,而对应的公钥i5^4 = modP ;第二步骤用户注册委托人通过与密钥分发中心合作,获取自己 的密钥对C5Xo户A),完成注册过程,具体操作如下1) 委托人随机选取一个小于数纩l的正整数A,计算注册参数 ^=,m0d/ ,并将其发送给密钥分发中心;2) 密钥分发中心在收到由委托人提交的注册参数&之后,随机选取一个 小于数,1的正整数ir,计算委托人的公钥/^^A^x^modp;3) 密钥分发中心根据委托人的公钥i%、委托人的身份信息/"、身份证 明文书序列号^、以及密钥分发中心自身信息SA等内容,生成有关 委托人的身份证明文书/A,即/"尸(/^,幼,SA);4) 密钥分发中心根据系统事先约定的杂凑摘要算法泡"0 ,计算验证参 数& =(泡M(/Z ,) x A + M mod r,并将密钥参数(T^, &)发送 给委托人;5) 委托人在收到由密钥分发中心发送的密钥参数(/A, &)后,从中析出 自己的公钥戶A和密钥分发中心的公钥尸4等信息,然后验证等式gs =i^^x ^a」/^ mod/p是否成立;如果成立,则进行本步骤的第6)步;若不成立,应要求密钥分发中心重新发送密钥参数;6)委托人根据所收到的密钥参数(瓜,计算自己的私钥双4 = & + #<^力(/"》x A,则委托人的密钥对为CS冗,第三步骤委托人进行委托授权当委托人因某种原因,需要委托授 权代理人在指定范围内代表委托人行使电子签名权力时,执行下列操作1) 代理人随机选取一个小于纩l的正整数A,计算随机参数 & = , mod p ,并将其发送委托人;2) 委托人在收到由代理人提交的随机参数i^之后,随机选取一个小于 ,l的正整数F,计算委托参数2,^x/'modj^;3) 委托人生成用于限制代理人的签名权限的授权文书4其中包括有授权文书序列号m,、约定的密钥分发中心SA、委托授权的权限范围&、 委托参数a、委托人的身份信息Zft和代理人的身份信息W等内容, 即A= (s/ ,, SA,&, A/,);4) 委托人根据系统事先约定的杂凑摘要算法,计算^l更权效验参数=(泡s力Ci) x 1, + 5X) mod r,并将委托请求(A, ^)发送给 代理人;5) 代理人在收到委托请求(4 ^)后,从中析出委托参数&,委托人的 身份信息/A,委托人的公钥/兄等信息,然后验证等式g -i^^x尸《/一叫)x modp是否成立;如果成立,则说明该委托授权信息是有效的,予以接受,并执行本步骤的第6)步;若 不成立,应要求委托人重新发送委托请求;6) 代理人接受委托请求,计算授权电子签名私钥= ^ +化^Gi) x l至此,委托人完成了授权代理人在指定范围内代表委托人行使电 子签名权力的委托授权过程,代理人可以根据授权范围代表委托人行 使电子签名权力;第四步骤代理人行使电子签名权力当代理人需要在自己的代理权 限内代表委托人对电子文书/h行使电子签名权力时,执行下列操作1) 代理人利用授权电子签名私钥6^和所收到的授权文书4,按照约定 的普通电子签名方法,对消息(加,^)进行普通电子签名,可得普通电 子签名S, = 57g(5"i;, / , 4),则代理人代表委托人对消息"所生成 的授权电子签名为5= W , 4);2) 代理人将电子文书/z 和授权电子签名^组合在一起,形成数据电文#= (叫5);第五步骤接收者验证所收到的数据电文当接收者需要检验所收 到的、由代理人代表委托人签署的数据电文的合法性时,执行下列操作1) 接收者从所收到的数据电文#中析出肌& A和&等参数,计算授权 电子签名验证公钥尸~ -尸A^ x i^/碑 x &歸<v mod户;2) 接收者根据授权文书^检查代理人是否有权签署消息仏即是否在限 定的签名范围内进行的授权电子签名行为,若检查不通过,则说明该 授权电子签名无效;3) 接收者利用约定的普通电子签名方法,验证所收到的授权电子签名《 的合法性,即判断函数Ker(0z , ", ^ ,尸/》的值是否为真;若值 为真,则该授权电子签名是合法的;反之,则该授权电子签名是不合 法的。与之前的各种电子签名方法相比,本发明不仅成功地解决了现有各种 同类方法中所存在的性能瓶顶,而且能够实现对电子签名权力进行安全 可靠的委托授权,使得委托人能够严格地控制限制代理人行使签名的范 围。本发明不仅符合《电子签名法》所规定对电子签名的完整性、抗抵 赖、抗伪造等关于电子签名合法性的基本要求,而且具备很强的不可伪 造性、很好的识别性和很强的不可否认性等优秀性质以及防止代理人滥 用代理权力的能力。此外,本发明还具备较高的执行效率,易于管理,能够抵抗各种已 知的攻击方法,安全性很高,能确保数据电文的真实性、安全性、可靠 性和合法性,可以广泛应用于计算机、通信网络、智能卡、手机等各种 软硬件环境,以及电子商务系统、电子政务系统、信息安全系统、网络 通信系统等各个领域,具有很好的应用前景。下面结合实施例对本发明作进一步的描述,但该实施例不应理解为 对本发明的限制。系统参数选定一个1024比特位的大素数a以及一个小于; 的正 整数g作为系统的生成元。其中<formula>formula see original document page 11</formula>设密钥分发中心的私钥为Ar化为小于纩l的随机正整数,其对应的 公钥<formula>formula see original document page 11</formula>系统约定使用MD5算法作为约定的杂凑摘要算法,DSA算法作为普通 电子签名算法,并按本发明的具体步骤进行操作,即可完成授权电子签 名的流程。很明显,本发明并不局限于上述实施例,而是可以在不脱离发明范 围和思想的情况下进行变化和修改。本发明基于有限乘法群上求解离散对数问题的困难性,通过将授权 文书、原始签名者身份和代理签名者身份有机结合在一起,无需第三方可信认证中心的帮助,仅需一步操作即可完成对包括委托人的公钥证书、 代理人的公钥证书、授权文书和授权电子签名在内的所有验证操作,而效控制,防止代理人滥用代理权力。本说明书未作详细描述的内容属于本领域技术人员公知的现有技术。
权利要求
1. 一种高效快捷的授权电子签名方法,其具体步骤是第一步骤确定系统参数随机选定大素数p,系统生成元g为一个随机选取的小于p的正整数,并设密钥分发中心的私钥为SKSA,其中SKSA为小于p-1的随机正整数,而对应的公钥<math-cwu><![CDATA[<math> <mrow><msub> <mi>PK</mi> <mi>SA</mi></msub><mo>=</mo><msup> <mi>g</mi> <msub><mi>SK</mi><mi>SA</mi> </msub></msup><mi>mod</mi><mi>p</mi><mo>;</mo> </mrow></math>]]></math-cwu><!--img id="icf0001" file="S2008100474695C00011.gif" wi="35" he="4" top= "69" left = "116" img-content="drawing" img-format="tif" orientation="portrait" inline="no"/-->第二步骤用户注册委托人通过与密钥分发中心合作,获取自己的密钥对(SKA,PKA),完成注册过程,具体操作如下1)委托人随机选取一个小于数p-1的正整数ka,计算注册参数
全文摘要
本发明涉及一种高效快捷的授权电子签名方法,其具体步骤是1)确定系统参数;2)用户注册;3)委托人进行委托授权;4)代理人行使电子签名权力;5)接收者验证所收到的数据电文。与之前的各种电子签名方法相比,本发明不仅成功地解决了现有各种同类方法中所存在的性能瓶顶,而且能够实现对电子签名权力进行安全可靠的委托授权,使得委托人能够严格地控制限制代理人行使签名的范围。此外,本发明还具备较高的执行效率,易于管理,能够抵抗各种已知的攻击方法,安全性很高,能确保数据电文的真实性、安全性、可靠性和合法性,可以广泛应用于计算机、通信网络、智能卡、手机等各种软硬件环境,具有很好的应用前景。
文档编号G06Q30/00GK101262344SQ200810047469
公开日2008年9月10日 申请日期2008年4月25日 优先权日2008年4月25日
发明者泉 刘, 周祖德, 肖攸安 申请人:武汉理工大学