[发明专利]基于身份的前向安全的数字签名方法、装置及系统

说明书

技术领域

本发明实施例涉及信息安全技术领域，特别是涉及一种基于身份的前向安全的数字签名方法、数字签名验证方法、装置及系统。

背景技术

数字签名指的是通过函数对待发送的消息处理得到的，用以认证消息来源并核实消息是否发生变化的字母数字串。利用数字签名可以解决否认、伪造、篡改及冒充等问题。数字签名在信息安全、身份认证、数据完整性、不可否认以及匿名性等方面有广泛的应用。在传统的数字签名方案中，签名方案十分依赖密钥的保密。当签名的密钥泄漏后，不仅之后该方案的安全性遭到破坏，甚至连在这之前所进行的签名也受到影响，即攻击者可以伪造任意时刻的用户签名。

随着技术的发展，一种前向安全的数字签名思想被提出：每个签名密钥仅用于一个短的周期，第i个周期所使用的密钥可以由第i-1个周期所使用的密钥计算得到，但是反过来很难由第i个周期的密钥得到第i-1个周期的密钥。这样假设在第i个周期内密钥丢失，不会影响到该周期之前所有周期的签名，即攻击者推算不出i之前的密钥，从而不能产生有效的签名。

在电信网络中，前向安全的数字签名技术被应用起来，其中，一种基于身份的前向安全数字签名方案被提出，即基于安全的签名方案S与前向安全的签名方案FS构造基于身份的前向安全数字签名方案，具体如下：

初始化阶段算法：系统初始化时分别选定阶为q的乘法循环群G₁和G₂，G₁的生成元为g，线性映射为e：G₁×G₁→G₂，选择两个安全的Hash函数H₁：{0，1}^*→{0，1}¹和H₂：{0，1}^*→G₁。系统随机选定s∈Z_q作为其系统私钥msk，计算Q＝g^s作为其系统公钥mpk。系统秘密保存s，公布params＝{G₁，G₂，e，q，g，Q，H₁，H₂}作为其公开参数。私钥提取阶段算法：系统输入安全长度k，总时间段数T。系统随机选取两个不同的约长的素数p₁，p₂，并满足p₁≡p₂≡3(mod4)，2^k-1≤(p₁-1)(p₂-1)，p₁p₂＜2^k，计算N＝p₁·p₂。再输入(ID，msk，mpk)。如果身份ID对应的初始私钥已经产生，则直接返回产生的私钥；否则产生初始的私钥，并保存结果。产生方法为：选取计算ζ_ID＝(H₂(ID||U))^s。输出ID的初始私钥sk₀＝(S₀)。用户的公钥是pk＝(ID，U，ζ_ID，N，T，1)。签名者得到初始私钥后，判断e(ζ_ID，g)＝e(H₂(ID||U)，Q)是否成立，如果成立，则接受该私钥，否则拒绝。私钥演化阶段算法：输入(j，sk_j-1，pk)，返回第j时间段私钥。如果1≤j≤T，否则sk_j为空。签名生成阶段算法：输入(j，sk_j，pk，M)，得到签名sig。具体过程如下：随机选择计算Z＝H₁(j||R||M)，记sig＝(ID，U，ζ_ID，j，S，Z)

签名验证阶段算法：输入消息签名对(M，sig)。将签名划分为(ID，U，ζ_ID，j，S，Z)。执行验证算法1S.Vf(params，ID，U，ζ_ID)，判断如下等式是否成立：

e(ζ_ID，g)＝e(H₂(H2||U)，Q)

如果不成立，则表示拒绝该签名；如果等式成立，再执行验证算法2FS.Vf(M，U，j，S，Z)，具体如下：计算再判断Z＝H₁(j||Y′||M)，如果等式不成立，则表示拒绝该签名，如果等式均成立，则表示接受该签名。