[发明专利]一种基于ECC的数字签名方案

说明书

技术领域

本发明是一种数字签名方案，具体地说是基于椭圆曲线密码体系的一种数字签名与验证方案，其运算过程基本在蒙哥马利域实现。

背景技术

数字签名是密码学中的重要问题之一，它是传统文件手写签名的模拟，能够实现用户对电子形式存放消息的认证。数字签名可以提供数据源认证、数据完整性和不可否认性，通常由可信的认证中心使用数字签名来签署将通信实体和其公钥相绑定的证书。数字签名也可以用于网络环境中的商业交易，其目的是使接收方能够确证发送方的签名，但不能伪造；发送方发出了签了名的消息给接收方后，就不能否认它所签发的消息。

椭圆曲线版的数字签名具有更高的安全性，因为椭圆曲线的求解难度是指数级的，高于以往任何一种密码算法；在相同安全强度下椭圆曲线具有最短的密钥长度，这样就使其对存储空间的要求少；在数字签名与验证、加解密等算法中，椭圆曲线的计算量小，处理速度快；当应用于短消息加密时，椭圆曲线密码系统的带宽要求要低得多。在椭圆曲线的运算过程中，有多种算法可以选择，其中的蒙哥马利域运算具有许多比较成熟的快速算法，可以避免耗时的模归约运算等。

目前，基于椭圆曲线的数字签名算法一般在有限域中运算，通常要经过频繁的求逆、求模等十分耗时的数学运算。本方案提出了一种新的数字签名算法，能够应用现有的一些成熟算法达到快速数字签名的目的。

发明内容

本方案是一种基于椭圆曲线的数字签名算法，它具有以下特点：

对于随机数K的选取，只要求数据源送来的K的位宽符合要求且不等于零。如果K大于等于N，则采取右移的方式使K小于N。这种方式避免了签名算法模块同随机数生成模块的频繁通信，节约了时间。

基本数学运算都在蒙哥马利域进行，避免了耗时的模归约运算。

杂凑函数输出值的大小和宽度可能不符合实际需要，可以采用移位、截取、添加“0”等方式使其满足特定要求(如图1所示)。同时默认处理后的杂凑值为蒙哥马利域的元素，避免了大素数域和蒙哥马利域之间的频繁转换。

数字签名方案：

输入：参数组D(p，a，b，G，n，h)，私钥d，消息m

输出：签名值(r’，s’)

1、选择随机数k≠0，若k≥n，则k＝k＞＞1，直到k＜n。

2、转化参数G、d到蒙哥马利域：G-＞G’＝(x₁’，y₁’)，d-＞d’。

3、在蒙哥马利域计算kG’＝(x’，y’)。

4、在蒙哥马利域计算r’＝x’mod n，若r’＝0，则k＝k＞＞1，返回第3步。

5、转化参数k到蒙哥马利域：k-＞k’。

6、计算杂凑值e’＝H(m)，在高位扩展或截取使e’位宽符合要求，若e’≥n，则e’＝e’＞＞1，直到e’＜n。默认e’为蒙哥马利域元素。

7、在蒙哥马利域计算s’＝k’^-1(e’+d’r’)mod n，若s’＝0，则k＝k＞＞1，返回第3步。

8、返回签名值(r’，s’)。

在以上签名过程中，标量乘kG’的输入参数k为大素数域元素，基点坐标(x₁’，y₁’)为蒙哥马利域元素，在蒙哥马利域进行标量乘的运算，输出参数(x’，y’)仍旧为蒙哥马利域元素。签名与验证采用相同的杂凑值处理方式，这样简化了运算过程，又能保持同样的安全强度。签名结果为蒙哥马利域元素，直接作为签名值(如图2所示)。省去了蒙哥马利域到素数域的转化过程，在签名验证算法中直接对蒙域元素值进行验证。

签名验证方案：

输入：参数组D(p，a，b，G，n，h)，公钥R，消息m，签名值(r’，s’)

输出：签名值是否合法

1、检验签名值r’，s’∈[1，n-1]，否则，拒绝该签名值。

2、计算杂凑值e’＝H(m)，在高位扩展或截取使e’位宽符合要求，若e’≥n，则e’＝e’＞＞1，直到e’＜n。默认e’为蒙哥马利域元素。

3、在蒙哥马利域计算w’＝s’^-1 mod n。

4、转化参数到蒙哥马利域：G-＞G’＝(x₁’，y₁’)，R-＞R’＝(x₂’，y₂’)。

5、在蒙哥马利域计算u₁’＝e’w’mod n，u₂’＝r’w’mod n。