本发明专利技术公开了一种安全高效的SM9环签名生成与验证方法,包括密钥生成中心KGC,签名者Signer,验证者Verifier,其中,KGC负责生成系统内签名用户的用户私钥;设环中的用户数为n,签名者为用户群组中的第π个用户;该方法包括以下步骤:1)产生对消息M的环签名;2)对步骤1)获得签名进行合法性验证,并判断签名者是否为环内用户。本发明专利技术提供了基于SM9数字签名算法的环签名生成与验证方案,保障了签名的不可伪造性和签名者的匿名性,本方案保障了签名者产生用户群组的自发性,无需其他用户配合。本发明专利技术采用了一种累加结构实现环签名,使得签名生成和验证算法执行的双线性对次数大大降低,有效提高签名和验证运算效率。
A secure and efficient SM9 ring signature generation and verification method
【技术实现步骤摘要】
一种安全高效的SM9环签名生成与验证方法
本专利技术涉及信息安全技术,尤其涉及一种安全高效的SM9环签名生成与验证方法。
技术介绍
环签名是一种典型的实现匿名性的数字签名机制,它可以实现由某一个用户代表一个用户群组完成对一个消息的签名,并将签名者身份隐藏在该用户群组中。签名者首先选定一个临时的用户群组,群组中包括签名者自身,再利用自己的私钥和用户群组中其他人的公钥独立地产生签名,而无须他人的帮助。签名者选取的用户群组一般被称为环。环签名技术是由RonRivest,AdiShamir和YaelTauman在2001年提出的,其得名于他们三人提出的方案中的环状签名结构。相比群签名,它无需群组建立过程,也无需额外设置群管理员。环签名的用户群组是由签名者随机选取一部分成员公钥临时生成的,并且无需其他成员配合就能够完成消息签名。环签名具备两个基本的安全性质:一是不可伪造性,即环外攻击者无法根据已有的合法签名伪造一个合法的环签名;二是无条件匿名性,攻击者无法确定签名是由环中哪个成员生成。经过十几年的研究,科研人员提出一系列基于公钥基础设施(PKI)或者基于身份密码体制(IBC)的环签名方案。相比而言,IBC技术与环签名技术的结合大大地降低了密码系统的运维成本,也实现了业务所需的匿名性和不可伪造性。特别地,许多科研人员基于Rivest等人设计的环状结构设计了多种基于身份的环签名方案,但是这种结构会导致计算开销随着环用户数量线性增长。比如,签名者执行一个环签名生成算法所需的时间与执行n次传统签名方案的时间相近,n为环用户数量。因此,安全高效的基于身份的环签名方案成为了当前的一个研究热点。SM9标识密码算法是国家密码管理局于2016年3月28日发布的一种标识密码标准(标准表号:GM/T0044-2016SM9标识密码算法),主要包含三个部分:数字签名算法、公钥加密算法、密钥交换协议。SM9标准满足电子认证服务系统等应用需求,并弥补了国产标识密码体制的空白。为弥补SM9环签名机制方面的不足,本专利设计了一个安全高效的SM9环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发,由签名者(Signer)负责自发组建签名群组并完成消息签名,验证者(Verifier)可验证消息签名合法性,并判断签名者是否为环内用户。在计算开销方面,本专利设计的环签名方案只需要一次双线性对运算即可完成签名,同时验证者验证签名时只需要执行两次双线性对运算,运算效率大大地提升。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中的缺陷,提供一种安全高效的SM9环签名生成与验证方法。本专利技术解决其技术问题所采用的技术方案是:一种安全高效的SM9环签名生成与验证方法,包括密钥生成中心KGC,签名者Signer,验证者Verifier,其中,KGC负责生成系统内签名用户的用户私钥;设环中的用户数为n,用户群组标识集合记为L={ID1,ID2,…,IDn},签名者为用户群组中的第π个用户(1≤π≤n),记其私钥为SKπ,标识为IDπ;该方法包括以下步骤:1)产生对消息M的环签名,具体如下:S1:随机选取n个整数并计算tπ=∑i≠πrimodN;其中,为由1,2,,….,N-1组成的整数集合,N为大素数,S2:根据KGC的公开的系统主公钥获得部分环签名h,具体如下:R=[rπ]P1+[tπ]Ppub-1,w=e(R,Ppub-2)和h=H2(L||M||w,N);其中,P1为群G1的生成元,G1是阶为N的加法循环群,Ppub-1是KGC公开的系统主公钥,Ppub-1=[ks]P1;ks为由KGC秘密持有的系统主私钥;Ppub-2是KGC公开的系统主公钥,Ppub-2=[ks]P2;P2为群G2的生成元,G2是阶为N的加法循环群;e为从G1×G2到GT的双线性对映射;GT为阶为N的乘法循环群;H2(·)为由密码杂凑函数派生的密码函数;S3:计算lπ=rπ-h-∑i≠πri·H1(IDi||hid,N)modN,并验证lπ=0是否成立,若成立则重复执行S1步骤;否则,执行下一步;S4:根据签名者的私钥获取部分环签名Rπ,Rπ=[lπ]SKπ;S5:对于每个i≠π且1≤i≤n,计算部分环签名Ri=[ri]Ppub-1;S6:获得消息M的签名为σ=(h,R1,…,Rn);2)对步骤1)获得签名进行合法性验证,并判断签名者是否为环内用户;对待验证的消息M′,检验用户群组L={ID1,ID2,…,IDn}对消息M′的数字签名σ′=(h′,R′1,…,R′n),验证者采用以下步骤:V1:预计算群GT中的元素g=e(P1,Ppub-2);V2:检验h′是否属于集合如果不是则验证不通过;否则,检验R′i(i=1,2,…,n)是否为G1中的元素,如果不是则验证不通过,否则执行下一步;V3:对于i=1,2,…,n,计算vi=H1(IDi||hid,N)和u′i=e(R′i,[vi]P2+Ppub-2);V4:计算V5:验证h′=H2(L||M′||w′,N)是否成立,若成立则验证通过;否则验证不通过。本专利技术产生的有益效果是:本专利技术实现了基于SM9数字签名算法的环签名生成与验证方案,同时保障了签名的不可伪造性和签名者的匿名性。其次,本方案保障了签名者产生用户群组的自发性,无需其他用户配合。最后,相比其他基于身份的环签名方案,本专利技术采用了一种累加结构实现环签名,使得签名生成和验证算法执行的双线性对次数大大降低,有效提高签名和验证运算效率。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1是本专利技术实施例的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利设计了一个安全高效的SM9环签名生成方案。该方案由密钥生成中心(KGC)负责密钥分发,由签名者(Signer)负责自发组建签名群组并完成消息签名,验证者(Verifier)可验证消息签名合法性,并判断签名者是否为环内用户。在计算开销方面,本专利设计的环签名方案只需要一次双线性对运算即可完成签名,同时验证者验证签名时只需要执行两次双线性对运算,运算效率大大地提升。为保证通用性,本专利的参数选取与SM9签名算法标准参数保持一致。具体符号描述如下:N:一个大素数。由1,2,,….,N-1组成的整数集合。G1,G2:阶为N的加法循环群。GT:阶为N的乘法循环群。P1,P2:分别为群G1和G2的生成元。gu:乘法群GT中元素g的u次幂。[k]P:椭圆曲线上点P的k倍点,k是正整数。e:从G1×G2到GT的双线性对映射。H1(·),H2(·):本文档来自技高网...
【技术保护点】
1.一种安全高效的SM9环签名生成与验证方法,包括密钥生成中心KGC,签名者Signer,验证者Verifier,其中,KGC负责生成系统内签名用户的用户私钥;/n设环中的用户数为n,用户群组标识集合记为L={ID
【技术特征摘要】
1.一种安全高效的SM9环签名生成与验证方法,包括密钥生成中心KGC,签名者Signer,验证者Verifier,其中,KGC负责生成系统内签名用户的用户私钥;
设环中的用户数为n,用户群组标识集合记为L={ID1,ID2,…,IDn},签名者为用户群组中的第π个用户(1≤π≤n),记其私钥为SKπ,标识为IDπ;
其特征在于,该方法包括以下步骤:
1)产生对消息M的环签名,具体如下:
S1:随机选取n个整数并计算tπ=∑i≠πrimodN;
其中,为由1,2,,….,N-1组成的整数集合,N为大素数,
S2:根据KGC的公开的系统主公钥获得部分环签名h,具体如下:
R=[rπ]P1+[tπ]Ppub-1,w=e(R,Ppub-2)和h=H2(L||M||w,N);
其中,P1为群G1的生成元,G1是阶为N的加法循环群,Ppub-1是KGC公开的系统主公钥,Ppub-1=[ks]P1;ks为由KGC秘密持有的系统主私钥;
Ppub-2是KGC公开的系统主公钥,Ppub-2=[ks]P2;P2为群G2的生成元,G2是阶为N的加法循环群;
e为从G1×G2到GT的双线性对映射;GT为阶为N的乘法循环群;
H2(·)为由密码杂凑函数派生的密码函数;
S3:计算lπ=rπ-h-...
【专利技术属性】
技术研发人员:何德彪,彭聪,范青,贾小英,罗敏,黄欣沂,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。