基于椭圆曲线的前向安全的成员可撤销无证书群签名方案的制作方法
【技术领域】
[0001] 本发明涉及可应用于电子商务及电子政务中的数字签名方案,属于信息安全领 域。
【背景技术】
[0002] 数字签名技术作为信息安全领域的核心技术之一,能够提供认证性、完整性及不 可否认性等安全功能,由于其特殊性质,数字签名在电子商务及电子政务中都有着广泛的 应用,随着对数字签名研宄的不断深入以及电子商务等的快速发展,具有特殊功能的数字 签名成为目前研宄的热点。
[0003] 1991年,Chaum和Heyst首次提出群签名的概念,在群签名中,群成员可以以群体 的名义产生有效签名,并且该群签名可以被公开验证,自首个群签名方案被提出之后,学者 们相继提出许多不同的群签名方案,2000年,由Ateniese等人提出了 ACJT群签名方案是群 签名历史上的重大突破,该方案基于强RSA假设与DDH假设,在不改变群公钥的条件下可自 由地增加新成员,并且签名长度,签名算法,验证算法和打开算法的计算量均不随群成员的 变化而变化。ACJT作为群签名中的经典方案,可抵抗多种攻击,由于其所具备的特殊密码特 性,可以用来构建公平的电子现金系统,广泛运用于电子商务领域,自提出以来,一直是学 者们研宄的热点。
[0004] 但ACJT仍存在多处不足,首先该方案建立在有限域离散对数的困难性问题上,运 算为有限域上的模乘、模幂及求逆运算,运算次数较多,计算复杂,通信量大,导致效率低 下;其次方案中成员加入过程群成员与管理员交互信息较多,算法繁琐,影响效率,使得管 理员的存储压力较大;整个方案不具备系统更新的功能,会出现密钥、证书等泄露带来的危 害;并且方案不具备成员撤销功能,群签名为了更符合实际应用,应满足群成员自由地加入 及撤离群体的需求,而方案不具备这一点。
[0005] 针对以上不足,本方案设计了一个基于椭圆曲线的具备前向安全性的成员可撤销 无证书群签名方案,将方案模型建立在椭圆曲线密码体制上,用更短小的密钥,实现了较高 的安全性,将有限域上的模乘、模幂、求逆运算转化为椭圆曲线上的点乘和点加运算,大大 降低了计算复杂性;将无证书签名体制与群签名相结合,降低了群管理员存储量,分摊了单 方风险,简化了成员加入过程;方案实现了前向安全性,使得系统信息随时间进行更新,减 少了密钥泄露带来的危害;并且在方案中加入了成员撤销功能,使得成员可以自由地加入、 撤离群体,更符合实际需求。
【发明内容】
[0006] 本发明是一种基于椭圆曲线的前向安全的成员可撤销无证书群签名方案,方案使 用椭圆曲线密码体制,用更短小的密钥保持了较高的安全性;将无证书密码体制与群签名 相结合,提高了方案的效率及稳定性;方案具备前向安全性,使得系统信息随时间进行更 新,减少了密钥泄露带来的危害;同时实现了成员可撤销功能,更符合实际需求,弥补了同 类方案中的缺陷。
[0007] 本发明中涉及的主体为密钥生成中心KGC、群管理员GM及群成员A,其特征在于, 该方案具体步骤如下:
[0008] 步骤1 :系统建立,选取有限域Fq上的一条椭圆曲线y2= X 3+ax+b,设置安全参数 k e N及 Hash 函数 H: {0, 1}*- Zp;
[0009] 步骤2:密钥生成中心KGC产生主密钥X及相应公钥Ppub,生成系统参数(F q,E/ Fq, q, P, Ppub, Η);
[0010] 步骤3 :群管理员GM及群成员A密钥提取过程,群管理员GM通过秘密值XeM及身 份信息IDm从KGC处获取部分密钥SK eM= (X eM,seM),群成员A通过秘密值xA及身份信息ID a 从KGC处获取部分密钥SKa= (X A,sA);
[0011] 步骤4:群成员A产生第i时段签名密钥^^并从群管理员处获取成员证书 (Ea,i,eA);
[0012] 步骤5 :群成员A使用签名密钥及成员证书生成知识签名δ = (c,s" Sg, S3,S4,Τα," T2,i);
[0013] 步骤6 :验证者对群签名δ = (c, S1, s2, s3, s4, Im, T2, i)进行验证,若验证通过,则 接受签名;
[0014] 步骤7 :当发生纠纷时,群管理员GM可以利用私钥SKta及群成员A产生的T' u 打开群成员证书Eiu从而确定群成员身份;
[0015] 步骤8 :系统更新,若系统进入下一时段,则根据设定的单向函数算法群成员的签 名密钥更新为X;u+1,从而使得签名公钥,成员证书均实现间接更新;
[0016] 步骤9 :成员撤销,若在某时段某成员需被撤销,则密钥生成中心KGC及群管理员 GM分别更新存储的成员信息,将撤销成员标记在各自的撤销列表中,便于公开及内部查找。
[0017] 所述的步骤2包括如下步骤:
[0018] 步骤2. 1 :密钥生成中心KGC随机选取λ G Z;作为系统主密钥,计算Ppub= χΡ作为 其公钥。
[0019] 所述的步骤3包括如下步骤:
[0020] 步骤3. 1 :群管理员GM随机选取·e Zj作为其秘密值,计算Pffl= X,并将 (IDCM,PeM)发送给 KGC ;
[0021 ]步骤 3. 2 :KGC 随机选取 <,计算 Rgm= r,Sgm= r GM+xH (ID J I Pgm I I RJ,并 将(R? seM)通过安全信道发送给GM ;
[0022] 步骤3. 3 :GM验证等式seMP = Ra^PpubHaDaJ I PeM I I RJ是否成立,若不成立,则返 回上一步,若成立,则接受部分密钥SeM;
[0023] 步骤3. 4 :A选取心e 乍为其秘密值,计算Pa= X Ap,将(IDA,PA)发送给KGC ;
[0024] 步骤 3. 5 :KGC 随机选取 Z:,计算 Ra= r Ap,Sa= r A+xH (IDa I I Pa I I Ra),并将 (RA,sA)通过安全信道发送给A;
[0025] 步骤3. 6 :A验证等SsaP = RA+PpubH(IDA| |PA| |RA)是否成立,若不成立,则返回上 一步,若成立,则接受部分密钥SA。
[0026] 所述的步骤4包括如下步骤:
[0027] 步骤4. I :A随机选取乍为第i时段的签名密钥,计算YAi= XAiP ;
[0028] 步骤4. 2 :为证明自己身份的合法性,A随机选取W e <,计算
[0029] t = uP,hAi= H(ID A| |PKA| |YAi| |t| |T),sA i= u-h Ai,SKA= u-h A i(xA+sA),将 (IDA,YA,i,S iu)通过安全信道发送给GM ;
[0030] 步骤4· 3 :GM从KGC处获取A相应公钥,计算t' = SuP+huPKA= SuP+huh+SA), 验证等式V ifHCtDAllPKAlUlt' IIlO=Iiiu是否成立,若不成立,则返回上一步, 若成立,则为A生成成员证书;
[0031] 步骤 4. 4 :GM 随机选取 & e <,计算 Ea,i = (SK GM+YA,J · e/,并将(Ea," eA,PKgm)发 送给A;
[0032] 步骤4. 5 :A验证等式Eiu · eA · P = PKeM+P · Yiu是否成立,若成立,则接受成员证 书(Eo eA)。
[0033] 所述的步骤5包括如下步骤:
[0034] 步骤 5. I :A 随机选取 we Z9,计算 TA,i= P · E A,fw · P · PKgm, T2= wP ;
[0035] 步骤5· 2 :A随机选择Hr3 e Z9,计算
[0036] (I1= r ! · TA;i-r2 · P · PKgm, d2= r J2T2P, d3= r 3P, d4= r J2
[0037] C = H (YA,i I IPK J I TA,i I I T21 I Cl11 I d21 I d31 I d41 I m I I i)
[0038] Si- Γ CG^j S2 - Γ 2_CG^Wj S3 - Γ 3_CW,S4 - Γ CX^ .[W
[0039] 输出签名 δ = (C1S11S2lS3lS4J iuJ2,;^
[0040] 所述的步骤6包括如下步骤:
[0041] 步骤6. 1 :群签名可被公开验证,验证者根据δ = (c, S1, s2, s3, s4, Tiu, T2, i),验证
[0042] c,= H (YA,,I I PKgm I I TA,,I I T21 I c (PKGM+P · YA,)+SlTA,「s2 · P · PK J
[0043] S1T2-S2P I I cT2+s3P I I cYA,Js4T21 I m I I i)
[0044] 是否成立,若成立,则接受群签名。
[0045] 所述的步骤7包括如下步骤:
[0046] 步骤 L I :A 计算 T' A,i = E A,,· PKffl,将其发送给 GM ;
[0047] 步骤7. 2 :GM通过自己的