专利名称:密码消息签名及校验方法,对应的装置和计算机程序产品的制作方法
密码消息签名及校验方法,对应的装置和计算机程序产品技术领域
本发明的领域是数字消息签名系统,且明确地说是“公共密钥数字签名”型密 码系统。
更明确地说,本发明适用于对数字签名的保护,明确地说是应对蓄意伪造数字 签名的攻击。
背景技术:
公共密钥数字签名系统
数字消息签名系统是基于一对不对称密钥的使用,所述不对称密钥包括公共校 验密钥pk和私人或保密签名密钥sk。
此类系统常规上包含签名装置(例如,支付卡)和校验装置(例如,支付终 端)。消息的签名可仅由签名装置产生,其是唯一拥有Sk的装置。另一方面,数字签名 的校验可由任何装置实行,用于校验的公共密钥依据定义是每个人已知的。
更确切地说,数字签名系统包含三个装置{K,S,V},其分别实施用于密钥产 生装置K的密钥产生算法、用于签名装置S的签名算法和用于校验装置V的签名校验算 法。
下文中,将该组算法一般地称为一组签名算法。
密钥产生装置K使得能够产生密钥对{pk,sk},使得公共密钥数学上链接到保 密密钥sk。
签名装置S具有一方面对应于待签名的消息m且另一方面对应于保密密钥Sk的 两个输入,以及对应于消息m的签名的一个输出(参考为S = S(m,sk)),其是借助保密 密钥sk产生。
校验装置V具有对应于经签名消息m、由签名装置产生的签名s和公共密钥pk 的三个输入,以及一个二进制输出b = V(m,s, pk)(b取值“真”或值“假”)。b对 应于借助公共密钥pk对消息m的签名s的确认或不确认。
此类签名系统特别地用于信息系统和电子交易的保护。
对数字签名系统的安全性的攻击
数字签名系统的安全性(如上所述)是此类系统的提供者的重大关注,此类系统 可用于(例如)保护银行交易、存取控制或电信,且其因此(尤其)在面对可能试图伪造 此类系统产生的数字签名的攻击者的情况下必须具有最大安全级别。
伪造物是(m',s')对,其尽管是由除签名装置S以外的实体产生(因此不具 有sk),但被校验装置V接受。
常规上,对数字签名系统的伪造攻击包括向签名装置S提供大量待签名的消息 (签名请求),以及在将下一待签名的消息提交给签名装置S之前观察每一所产生的签名 以便获取(完全或部分地)伪造(即,仿制)签名装置的操作的能力。
当成功时,此类攻击因此使得能够获得某些消息的有效伪造物,而不必将这些消息提交给签名装置S。
传统的用于评估数字签名系统的安全性的技术包括限制(估计)攻击者在获取伪 造能力(即,在没有合法签名人的辅助的情况下产生签名)之前所需的签名请求的数目。
加强数字签名系统的安全性的常规方式包括增加签名装置中使用的算法的数学 复杂性,以便使其对攻击者做出的极大量签名请求具有更大抵抗力。
此技术的一个缺点在于以下事实现代签名算法因此设计和执行起来较复杂, 借此致使此数字签名保护方法实施起来在时间和电子组件方面代价较大。
本发明的目的
明确地说,本发明的目的是减轻现有技术的这些缺点。
更确切地说,本发明的一个目的是提供一种使得能够有效、可靠且便宜地以易 于实施的方式加强数字签名系统的安全性的技术。发明内容
本发明提出一种新颖的解决方案,其不具有现有技术的所有这些缺点,且其采 取具有加强安全性的密码签名方法的形式。
根据本发明,此具有加强安全性的签名方法实施两组签名算法SAl = {K1, Si,VI}和SA2 = {K2,S2,V2},其中Ki、Si和Vi分别是密钥产生算法、签名产生算 法和签名校验算法,且所述方法包含
使用所述算法Kl产生永久密钥从而递送一对私人和公共密钥{skl,pkl}的步 骤;
以及,对于待签名的至少一个消息m:
签名步骤,其包含以下子步骤
接收待签名的所述消息m ;
使用所述算法K2产生暂时密钥对{sk2,pk2};
借助所述签名算法幻,借助私人密钥sk2计算所述消息m的签名s2 ;
借助所述签名算法Si,借助所述私人密钥Skl计算所述公共密钥pk2的签名Cl ;
提供加强的签名{S2,cl, pk2}。
本发明因此是基于一种保护密码消息签名系统的新颖且独创的方法,且明确地 说使用一对不对称密钥的系统,其实施暂时不对称密钥对从而使得有可能不提供关于保 密密钥ski的信息。
根据本发明的一个实施例,针对待签名的每一消息m或根据所需安全性级别周 期性地实施所述签名步骤。
因此,如果所需安全性级别非常高,那么根据本发明的此实施例的方法使得能 够针对待签名的每一消息m产生暂时密钥对丨sk2,pk2},使得暂时保密密钥仅使用一次 且不重复用于对另一消息签名。
以此方式,可能试图通过提交待签名的消息(称为签名请求)和通过观察所产 生的签名而伪造此系统产生的签名的潜在攻击者将不能通过利用这些连续的签名请求来 影响系统,因为针对待签名的每一消息产生新的暂时密钥对。两个连续的签名之间不可存在推理。因此致使此类攻击无效。
如果安全性级别较低,那么暂时密钥对{sk2,pk2丨的产生可周期性地发生,例 如每η个待签名的消息m。此实施例在密钥产生方面代价较小,且在单一暂时保密密钥 仅使用有限次数的限度内提供加强的安全性,借此不允许潜在攻击者通过利用连续的签 名请求来影响系统。
根据本发明的一个实施例,所述签名算法S2实施散列函数H,且所述提供步骤 同样提供至少一个随机数r,其由所述散列函数H使用。
这使得能够通过针对消息签名实施散列函数来进一步加强安全性。
根据本发明的一个特定方面,算法Kl和K2、31和幻和/或Vl和V2成对相 同。
根据本发明的一个实施例,SAl和/或SA2包含RSA型算法(针对“公钥加密 算法(Rivest ShamirAdleman) ” )。
根据本发明的另一实施例,SAl和/或SA2包含DSA型算法(针对“数字签名算法”)。
根据本发明的一个特定方面,签名方法同样包含借助由校验算法Vi中的一者实 施的产生算法Kh产生一对公共和保密密钥{skh,pkh丨的步骤,且所述签名步骤实施校验 算法Vi已知的散列函数Pi,使得h = HpkhCm ; r),其中r是随机数。所述加强签名对 应于三元组(S2(h),cl,pk2)。
明确地说,所述散列函数为“可变”型。
借助产生算法Kh和使用散列函数H实施这些密钥丨skh,pkh}使得能够进一步 加强签名的安全性。
本发明同样涉及一种具有加强安全性的密码消息签名校验方法,其实施两个签 名校验算法Vl和V2,且包含针对依据根据权利要求1所述的具有加强安全性的密码消息 签名方法产生的签名的联合校验阶段,所述校验阶段针对待校验的经签名消息m包含以 下步骤
接收加强签名三元组{s2,cl, pk2};
使用校验算法V2和公共密钥pk2校验消息m的签名S2,借此递送第一正或负结 果;
使用校验算法Vl和公共密钥pkl校验公共密钥pk2的签名Cl,借此递送第二正 或负结果;
在第一和第二结果为正的情况下递送正结果。
因此,在以加强签名三元组的形式接收到通过上述签名方法产生的签名之后, 根据本发明的校验方法必须在确认或不确认消息m的签名之前实施两个校验。
根据本发明的一个实施例,所述接收步骤进一步包含接收至少一个随机数r。
事实上,当签名方法如上所述实施散列函数时,随机数!·用于签名且同样需要用 于校验签名。
本发明的另一方面涉及一种具有加强安全性的密码消息签名装置,其实施两组 签名算法SAl = {K1,Si,VI}和SA2 = {K2,S2,V2},其中Ki、Si和Vi分别是密钥产生算法、签名产生算法和签名校验算法,借此递送一对私人和公共密钥{skl,pkl}。根据本发明,针对待签名的至少一个消息m,此方法同样实施签名构件,包含
接收待签名的所述消息m的构件;
使用所述算法K2产生暂时密钥对{sk2,pk2}的构件;
借助所述签名算法幻借助私人密钥sk2计算所述消息m的签名s2的构件;
借助所述签名算法Sl借助所述私人密钥Skl计算公共密钥pk2的签名Cl的构 件;
提供加强的签名{s2, cl, pk2}的构件。
此装置明确地说能够实施如上所述的签名方法的步骤。此签名装置例如为支付 卡。
本发明同样涉及一种具有加强安全性的密码消息签名校验装置,其实施两个签 名校验算法Vl和V2,以及针对如上所述具有加强安全性的密码消息签名装置产生的签 名的联合校验构件。
根据本发明,针对待校验的经签名消息m,所述校验构件实施
接收加强签名三元组{s2,cl, pk2}的构件;
使用校验算法V2和公共密钥pk2校验消息m的签名S2借此递送第一正或负结 果的构件;
使用校验算法Vl和公共密钥pkl校验公共密钥pk2的签名cl借此递送第二正或 负结果的构件;
在第一和第二结果为正的情况下递送正结果的构件。
此校验装置明确地说能够实施如上所述的校验方法的步骤。此校验装置可为支 付终端。
本发明同样进一步涉及一种具有加强安全性的密码消息签名校验系统,其包含 如上所述的密码签名装置和密码签名校验装置。
最后,本发明涉及一种计算机程序产品,其可从通信网络下载且/或记录于计 算机可读媒体上且/或可由处理器执行,所述计算机程序产品包含用于实施如上所述的 密码签名方法的程序代码指令;以及涉及一种计算机程序产品,其可从通信网络下载且 /或记录于计算机可读媒体上且/或可由处理器执行,所述计算机程序产品的特征在于其 包含用于实施如上所述的具有加强安全性的密码消息签名校验方法的程序代码指令。
阅读仅出于说明性而非限定性目的给出的一个特定实施例的以下描述后且从附 图中将更加了解本发明的其它特性和优点,附图中
图1展示根据本发明的一个特定实施例的密码签名方法的主要步骤;
图2展示根据本发明的一个特定实施例根据图1的方法产生的密码签名的校验方 法的主要步骤;
图3展示根据本发明的一个特定实施例实施本发明的示范性系统;
图4展示本发明的示范性实施例;
图5和6分别展示根据本发明的一个实施例分别实施签名和校验技术的签名装置 和校验装置的结构。
具体实施方式
一般原理
本发明的一般原理是基于在数字消息签名系统中除了常规上用于每一消息的签 名的一对永久不对称密钥{skl,pkl}外且出于加强此签名系统的安全性的目的还实施一 对暂时不对称密钥{sk2,pk2}。
根据图3所示的本发明的一个实施例,此签名系统包含密钥产生KK装置30、签 名SS或签名人SS装置31,和校验VV装置32。
因此,针对待签名的每一消息m,由密钥产生KK装置使用算法K2产生暂时公 共密钥pk2和暂时私人密钥sk2。私人密钥sk2由签名SS的签名算法S2使用,以便对消 息m签名并产生签名S2 = S2 (m,sk2)。
在计算签名S2之后立即擦除暂时密钥sk2。因此一对暂时密钥{sk2,pk2}仅 使用一次,且算法K2在运行中产生与所存在的经提交供签名的消息一样多的对{sk2, pk2}。
签名人SS同样通过用其永久密钥ski对pk2签名而计算证书cl = Sl(pk2, ski)。
所述签名(称为加强签名)包括三个元素Cl、pk2和S2。
签名的接收者(校验装置VV)使用校验算法Vl和V2校验V2 (m,s2, pk2)= 真,且 Vl(pk2,cl,pkl)=真。
通过两个观察产生改进的安全性
暂时密钥对仅使用一次,且因此不能成为攻击者的多个签名请求的对象;
永久保密密钥skl仅用于对pk2签名,pk2是不在可能的攻击者的控制下的数据项目。
因此,使用两组常规签名算法{K1,Si,VI}禾P{K2,S2,V2},根据本发明的 此实施例的方法使得有可能构建一组新的加强数字签名算法丨KK,SS, W}.
如所属领域的技术人员将了解,算法选择的非常大的组合对于丨Κ1,Si,VI[和 {Κ2, S2,V2}是可能的。另外,如已指示,不排除Kl= Κ2、Sl = S2禾Π Vl = V2的 选择。
图1和2分别针对签名方法和签名校验方法更详细地展示本发明的此实施例。
在第一阶段中,在密钥产生步骤10期间,算法Kl产生永久不对称密钥对{skl, pkl}。
在接收待签名的消息m的步骤11之后,算法K2在产生步骤12期间产生一对暂 时不对称密钥{sk2,pk2}。
签名人SS接着在步骤131期间实施签名算法S2,其计算消息m的签名s2,使 得s2 = S2(m,sk2);且在步骤132期间实施签名算法Si,其计算证书cl = Sl (pk2, ski),同时使用永久密钥ski对pk2签名。
最后,在提供步骤14期间,考虑到校验,递送加强签名丨Cl,pk2,s2}0
此加强签名因此由校验装置在接收步骤20期间接收,所述校验装置实施校验算 法Vl和V2以便递送正或负校验结果,借此确认或不确认所接收的加强签名。
在校验步骤211和212期间,校验签名s2和cl,即算法V2和Vl分别校验 V2(m,s2, pk2)=真,且 Vl(pk2,cl, pkl)=真。
如果这两个结果为真,那么校验结果22为“OK”。如果两个校验中的至少一 者已失败,那么校验结果为“KO”。
以下段落描述以特定签名算法实施本发明的某些实例。
基于“可变签名”的实施例
可变签名方案的一般原理
“可变”签名方案使用可变散列函数和“常规”(RSA、DSA、...)签名方案。
在图4所示的根据本发明的此实施例的此签名方案中,认为存在实施签名算法 Sl和幻的签名人SS,以及实施校验算法Vl和V2的校验装置W。此校验装置VV同 样包含密钥产生算法Kh。签名方案进一步包含密钥产生算法Kl和K2,其分别产生一对 公共pkl和私人ski密钥以及一对公共暂时pk2和私人sk2密钥,如上文已描述。
此签名方案的原理是基于将可变散列函数应用于待签名的消息m,借此递送消 息m的指纹h,且接着基于签名算法Sl对此指纹h的签名。
可变散列函数(明确地说,如文献“H.ICrawczyk和T.RaWn。可变散列和签名。 2000年网络和分布式系统安全性研讨会(NDSS' 00),2000年2月”中描述)可视为单 一用途签名可变函数H使用公共密钥pkh计算指纹h = Hpkh(m; r),其中m是待签名 的消息且r是随机变量。保密密钥skh与公共密钥pkh相关联。这两个密钥pkh和skh 由校验装置VV的算法Kh产生。因此校验装置VV 了解skh。
可变函数的特性如下
抗冲突能力(即,两个不同消息必须具有非常小的机会产生相同签名)给定公 共密钥pkh,难以找到与一对(m2 ; r2)不同的一对(ml ; rl),使得Hpkh(ml ; rl)= Hpkh (m2 ; r2);
均勻性给定保密陷门信息skh,容易在给定一对(ml; rl)和m2的情况下计算 r2,使得 HpkhCml ; rl) = Hpkh (m2 ; r2)。
在第一阶段中,可变函数的密钥产生算法Kh在步骤40期间产生保密skh和公共 pkh密钥,步骤40跟随在已结合图1描述的步骤10、11和12之后。
接下来,在步骤41期间,签名人SS选择随机消息ml和随机变量rl,且通过应 用散列函数计算指纹h = Hpkh (ml ; rl)。
当签名人SS接收到待签名的消息时,其使用保密密钥skh和所述对(ml ; rl)构 建数字 r,使得 h = Hpkh (ml ; rl) = Hpkh (m ; r)。
在步骤421期间,使用签名算法幻,其同样计算指纹h的签名sigh2,使得sigh2 =S2 (h),且通过使用私人密钥sk2 (其立即擦除),如先前在一般原理中所指示。
消息m的签名在此对应于三元组(m,r,sigh2)。 此签名可由于关系h = Hpkh (m ; r)且借助公共密钥pkh和pk2而通过校验算法VV校验。
在步骤422期间,签名人SS同样使用算法Sl和永久私人密钥ski计算证书Cl =Sl(pk2, ski)。
根据本发明的此实施例的加强签名因此由三元组(cl,pk2,sigh2)组成,其是 在步骤43期间提供以用于校验目的。
校验装置接收此三元组,借此使其能够在第一阶段期间校验签名Cl的有效性 (使用校验算法Vl以及公共密钥pkl和pW)。由签名人SS构建的随机数r同样发射到 校验装置,从而使其能够在第二阶段中校验sigh2的有效性(使用校验算法幻、消息m, 以及公共密钥pkh和pk2)。
因此,本发明的目的是通过将公共密钥部分或完全包含在待签名的消息的散列 部分中来加强所提出的构造。根据此实施例,发明性方法中使用的两个签名算法{K, S,ν}中的至少一者将用以下方式修改。
密钥产生装置K使得能够产生密钥对{pk,sk},使得公共密钥pk数学上链接到 保密密钥。
签名装置S具有一方面对应于待签名的消息m且另一方面对应于保密密钥Sk的 两个输入,以及对应于消息m的签名的一个输出(参考为s = SCh (m,pk), sk)),其借 助保密密钥sk与散列函数h产生。
校验装置V具有对应于经签名消息m和公共密钥的散列部分、对应于由签名装 置产生的签名s且对应于公共密钥pk的三个输入,以及一个二进制输出b = V(h(m, pk), S, pk)(b取值“真”或值“假”)。b对应于借助公共密钥pk对消息m的签名S 的确认或不确认。
下文呈现本发明的基于可变散列函数的示范性实施例。
基于离散对数问题的可变散列函数的实例
论文“H.Krawczyk和T.Rabin。可变散列和签名。2000年网络和分布式系统安 全性研讨会(NDSS' 00),2000年2月”特别地描述此散列函数。
必须使用以下参数
素数ρ和q,使得p = kq+l,其中q是足够大的素数;
Zp*中次数为q的元素g(即,其是次数为q的群组G = <g>的生成元);
私人密钥sk = X是选自Zq'的随机数,且
公共密钥pk = y由y = gx以ρ取模来界定。
根据此实施例,可变散列函数(针对属于Zq'的消息m和属于Zq'的随机数r)界 定如下h = Hpk(m ; r) = gmy以ρ取模。
此散列函数具有完美的均勻性,因为y也是生成元。事实上,即使显然冲突使 得能够对以g为底数的y的离散对数问题求解,但给定离散对数χ、指纹Ii = Iiml./1和消 息 m2,同样显然 r2 = rl+(ml_m2)/x 以 q 取模意味着 Hpk(ml ; rl) = Hpk(m2 ; r2)。 因此,/针对随机数r将m完全“隐藏”。
基于RSA对数问题的可变散列函数的实例
考虑如论文“Rivest,R. ; A.Shamir ; L.Adleman(1978)。 “获得数字签名和公共密钥密码系统的方法”。通信学ACM 21 O) 120-1 页”中描述的RSA系统,其具 有公共模数η和公共指数e。
保密密钥和公共密钥为sk = χ,其分别随机选自Zn'和pk = y = Xe以η取模。
散列函数由h = Hpk (m ; r) = me.yr以η取模界定。
冲突意味着h = mr.yrl = m2e.yr2,其致使 y6^1) = (ml/m2)e 以 η 取模。
如果(r2-rl)与e互素,那么变得有可能计算y的eth根。因此,e = η必须固定。
基于GHR签名系统的实施例
此签名系统明确地说在论文“R.Gennaro、S.Halevi和T.RaWn,在无随机谕示的情况下安全的散列与签名的签名,欧密会'99学报,LNCS第1592卷,德国施普林格出 版公司,1999年,第123-139页”中描述。
在此实施例中,密钥产生装置KK产生强RSA模数η = pq且从Zn'中随机选择 随机变量y。公共密钥pk因而对应于对(n ; y),且保密密钥Sk对应于对(p ; q)。
当签名人SS接收到消息m时,其应用任何散列函数H以便计算参数e = H(m), 所述参数随后将用作指数。
消息m的签名对应于y的eth根以η取模,参考为S。因此必须校验以下关系 = y以η取模。
签名人可容易地计算签名s 事实上,其知道参数phi(n) = (p-1) (q-1)且因此 可计算元素d以使得d与e的乘积等于1以phi (η)取模。签名s因而为yd以η取模。
注意,当参数e不可逆(其在e为偶数的情况下可能发生)时,减轻此问题的一 种方法可以是将预定值与e相加(例如,1)直到相反条件经校验为止。
签名和校验装置的结构
最后,结合图5和6,呈现根据本发明的一个实施例分别实施签名技术和签名校 验技术的签名装置和签名校验装置的简化结构。
此签名装置包含存储器51,其由缓冲存储器组成;处理单元52,其例如装备 有微处理器μ P且由计算机程序53驱动,所述计算机程序53实施根据本发明的签名方法。
在初始化后,计算机程序代码指令53例如载入到RAM存储器中,之后由处理 单元52的处理器执行。待签名的至少一个消息m输入到处理单元52中。处理单元52 的微处理器根据计算机程序指令53实施上述签名方法的步骤。为了实现此目的,除缓冲 存储器51外,签名装置还包含永久密钥产生构件、签名构件,所述签名构件包含接收待 签名的消息m的构件、产生暂时密钥对的构件、计算消息m的签名S2的构件、计算公共 密钥的签名Cl的构件和提供加强签名{s2,cl, pk2丨的构件。这些构件由处理单元52 的微处理器驱动。
处理单元52因此将加强签名发射到校验装置。
此校验装置包含存储器61,其由缓冲存储器组成;处理单元62,其例如装备 有微处理器μ P且其由计算机程序63驱动,所述计算机程序63实施根据本发明的校验方法。
在初始化后,计算机程序代码指令63例如载入到RAM存储器中,之后由处理 单元62的处理器执行。由上述签名装置产生的加强签名输入到处理单元62中。处理单 元62的微处理器根据计算机程序指令63实施校验方法的上述步骤。为了实现此目的, 除缓冲存储器61外,校验装置还包含联合签名校验构件,其包含接收加强签名{s2,cl, pk2}的构件以及校验签名s2和cl的构件。这些构件由处理单元62的微处理器驱动。
处理单元62递送加强签名校验结果。
权利要求
1.一种具有加强安全性的密码消息签名方法,其特征在于,其实施两组签名算法 SAl = {K1,Si,VI}禾Π SA2 = {K2,S2,V2},其中 Ki、Si 和 Vi 分别是密钥产生算 法、签名产生算法和签名校验算法,且所述方法包含使用所述算法Kl产生永久密钥从而递送一对私人和公共密钥{skl,pkl}的步骤;以及,对于待签名的至少一个消息m:签名步骤,其包含以下子步骤接收待签名的所述消息m;使用所述算法K2产生暂时密钥对{sk2,pk2};借助所述签名算法S2,借助私人密钥sk2计算所述消息m的签名s2 ;借助所述签名算法Si,借助所述私人密钥ski计算公共密钥pk2的签名cl ;提供加强的签名{s2,cl, pk2}。
2.根据权利要求1所述的具有加强安全性的密码消息签名方法,其特征在于,针对待 签名的每一消息m或根据所需安全性级别周期性地实施所述签名步骤。
3.根据权利要求1所述的具有加强安全性的密码消息签名方法,其特征在于,所述签 名算法S2实施散列函数,且所述提供步骤同样提供至少一个随机数r,所述随机数r由所 述散列函数使用。
4.根据权利要求1所述的具有加强安全性的密码消息签名方法,其特征在于,所述算 法Kl和K2、Sl和S2和/或Vl和V2成对相同。
5.根据权利要求1所述的具有加强安全性的密码消息签名方法,其特征在于,SAl和 /或SA2包含RSA型算法(针对“公钥加密算法”)。
6.根据权利要求1所述的具有加强安全性的密码消息签名方法,其特征在于,SAl和 /或SA2包含DSA型算法(针对“数字签名算法”)。
7.根据权利要求3所述的具有加强安全性的密码消息签名方法,其特征在于,其同样 包含借助由校验算法Vi中的一者实施的产生算法Kh产生一对公共和保密密钥{skh,pkh} 的步骤,且所述签名步骤实施所述校验算法Vi已知的散列函数H,使得h = HpkhCm ; r),其中r是随机数。
8.根据权利要求7所述的具有加强安全性的密码消息签名方法,其特征在于,所述散 列函数为“可变”型。
9.根据权利要求8所述的具有加强安全性的密码消息签名方法,其特征在于,所述加 强签名对应于三元组(S2(h),cl,pk2)。
10.—种具有加强安全性的密码消息签名校验方法,其特征在于,其实施两个签名校 验算法Vl和V2,且其包含针对依据根据权利要求1所述的具有加强安全性的密码消息签 名方法产生的签名的联合校验阶段,所述校验阶段针对待校验的经签名消息m包含以下步骤 接收加强签名三元组{s2,cl, pk2};使用校验算法V2和公共密钥pk2校验所述消息m的签名s2,借此递送第一正或负结果;使用校验算法Vl和公共密钥pkl校验所述公共密钥pk2的签名cl,借此递送第二正 或负结果;在所述第一和第二结果为正的情况下递送正结果。
11.根据权利要求10所述的具有加强安全性的密码消息签名校验方法,其特征在于, 所述接收步骤进一步包含接收至少一个随机数r。
12.—种具有加强安全性的密码消息签名装置,其特征在于,其实施两组签名算法 SAl = {K1,Si,VI}禾Π SA2 = {K2,S2,V2},其中 Ki、Si 和 Vi 分别是密钥产生算 法、签名产生算法和签名校验算法,且其实施使用所述算法Kl产生永久密钥从而递送一对私人和公共密钥{skl,pkl}的构件;以及,针对待签名的至少一个消息m:签名构件,其包含接收待签名的所述消息m的构件;使用所述算法K2产生暂时密钥对{sk2,pk2}的构件;借助所述签名算法S2借助私人密钥sk2计算所述消息m的签名s2的构件;借助所述签名算法Sl借助所述私人密钥ski计算公共密钥pk2的签名cl的构件;提供加强的签名{s2,cl, pk2}的构件。
13.—种具有加强安全性的密码消息签名校验装置,其特征在于,其实施两个签名校 验算法Vl和V2,且其实施针对根据权利要求12所述的具有加强安全性的密码消息签名 装置产生的签名的联合校验构件,所述校验构件针对待校验的经签名消息m实施接收加强签名三元组{s2,cl, pk2}的构件;使用校验算法V2和公共密钥pk2校验所述消息m的签名s2借此递送第一正或负结 果的构件;使用校验算法Vl和公共密钥pkl校验所述公共密钥pk2的签名cl借此递送第二正或 负结果的构件;在所述第一和第二结果为正的情况下递送正结果的构件。
14.一种具有加强安全性的密码消息签名校验系统,其特征在于,其包含根据权利要 求12所述的密码签名装置和根据权利要求13所述的密码签名校验装置。
15.一种计算机程序产品,其可从通信网络下载且/或记录于计算机可读媒体上且/ 或可由处理器执行,所述计算机程序产品的特征在于其包含用于实施根据权利要求1到9 中任一权利要求所述的密码签名方法的程序代码指令。
16.一种计算机程序产品,其可从通信网络下载且/或记录于计算机可读媒体上且/ 或可由处理器执行,所述计算机程序产品的特征在于其包含用于实施根据权利要求10和 11中任一权利要求所述的具有加强安全性的密码消息签名校验方法的程序代码指令。
全文摘要
本发明涉及一种具有加强安全性的密码消息签名方法,其特征在于其实施两组签名算法SA1={K1,S1,V1}和SA2={K2,S2,V2},其中Ki、Si和Vi分别是密钥产生算法、签名产生算法和签名校验算法,且所述方法包含使用所述算法K1产生永久密钥从而递送一对私人和公共密钥{sk1,pk1}的步骤;以及,对于待签名的至少一个消息m签名步骤,其包含以下子步骤接收待签名的所述消息m;使用所述算法K2产生暂时密钥对{sk2,pk2};借助所述签名算法S2,借助私人密钥sk2计算所述消息m的签名s2;借助所述签名算法S1,借助所述私人密钥sk1计算公共密钥pk2的签名c1;提供加强的签名{s2,c1,pk2}。
文档编号H04L9/30GK102025502SQ201010283799
公开日2011年4月20日 申请日期2010年9月15日 优先权日2009年9月15日
发明者大卫·珀尔萨瓦, 大卫·纳卡什, 帕威尔·波列修克 申请人:安智金融与工业公司