[发明专利]前向安全的不可拆分数字签名方法

权利要求书

1.一种前向安全的不可拆分数字签名方法，其特征在于，它包括八个步骤如下：

步骤1.某客户在一台客户端计算机上完成购物，随即，计算机生成移动代理，之后客户端计算机根据规定好的安全级别下(输入需要的安全指数k)运行算法1，算法定义如下

算法1.密钥生成算法KGen(1^k)：输入总共的时间片段数T和1^k当(为自然数)时一个安全参数，该算法输出公共密钥设置以及初始密钥s₀；

Ω中G₁是一个阶为q乘法循环群，G₂同样是一个阶为q的乘法循环群；G和P是G₁和G₂各自的固定生成元；是一个线性映射，将G₁和G₂中的元素先做笛卡尔积，然后映射到G_T中的元素上；和H₂:{0,1}^*→G₁是两个特殊的哈希映射，作用就是分别将任意二进制数值映射到和G₁，是以质数q为阶且无零元的整数加法群；

定义：在(G₁,G₂)上的判定Diffie-Hellman问题(co-DDH)：给出P,P^a∈G₂和Y,Y^b∈G₁作为输入，如果a＝b那么输出yes，否则输出no；当输出为yes时，称(P,P^a,Y,Y^b)是一个Diffie-Hellman元组(co-DHT)；

将公共密钥设置Ω存储在U₀，也就是公钥元素携带着全局信息；

KGen(1^k)算法完成，输出公钥U₀和初始密钥s₀，进行下一步；

步骤2然后客户端向算法2输入公钥U₀、初始密钥s₀、CERT_j和当前时间片j，然后运行算法2，其定义如下：

算法2.

KUpd(s_j-1,CERT_j,j,U₀)

BEGIN<U₀',j',U_j',Λ_j>←CERT_j

$s_j\&LeftArrow;H_1\left(s_{j-1}\right);U_j\&LeftArrow;P^{s_j}$

$If\left(\hat{e}\right({\mathrm{\&Lambda;}}_j,P)\&NotEqual;\hat{e}(H_2\left(U_0,j,U_j\right),U_0\left)\right)$

return⊥//abort

erase s_j-1

return s_j

END

抹除s₀后，算法返回s₁，进行下一步；

步骤3.客户端完成交易，准备发送移动代理进行交易；

如果当前密钥过期执行步骤4，否则执行步骤5；

步骤4.客户端以上一时期密钥s_j-1，当前时期j，公钥U₀以及算法1生成的CERT_j为输入，重新运行KUpd，得到下一时间段密钥s_j，进行下一步；

步骤5.客户端以REQ_C||ID_C,s_j,CERT_j为输入，其中REQ_C||ID_C是客户需求和用户ID属于敏感数据运行算法3，其定义如下：

算法3.

UndSigFunGen(REQ_C||ID_C,s_j,CERT_j)

Begin

H←H₂(REQ_C||ID_C)；

$K\&LeftArrow;H^{s_j}$

$\begin{array}{cc}setup& f_{{\mathrm{Signed}}_j}\left(x\right)=\&lt;\&lt;{\mathrm{CERT}}_j,K^x\&gt;,j\&gt;\end{array}$

$\begin{array}{cc}return& f_{{\mathrm{Signed}}_j}(\&CenterDot;)\end{array}$

End

输出使代理携带；

随后客户端运行算法6为代理敏感数据签名，输入为敏感数据、当前时间片段j以及当前密钥s_j，算法定义如下

算法6.

Sign(s_j,j,Msg)

Begin

${\mathrm{\&sigma;}}^{\&prime;}\&LeftArrow;H_2{\left(Msg\right)}^{s_j};\mathrm{\&sigma;}\&LeftArrow;\&lt;{\mathrm{CERT}}_j,{\mathrm{\&sigma;}}^{\&prime;}\&gt;;{\mathrm{\&sigma;}}_j\&LeftArrow;\&lt;\mathrm{\&sigma;},j\&gt;$

return σ_j

End

输出为j时期的签名，同样使代理携带；进行下一步

步骤6.商店接收到代理，先用算法7检验代理的合法性，即检验σ_j，输入为公钥、签名消息、签名和当前时期，算法定义如下：

算法7.

Vrfy(U₀,σ,j,Msg)

Begin

<CERT_j,σ'>←σ；<U₀',j',U_j',Λ_j>←CERT_j

If(U₀≠U₀') return 0

If(j≠j') return 0

$\begin{array}{ccc}If\left(\hat{e}\right({\mathrm{\&Lambda;}}_j,P)\&NotEqual;\hat{e}(H_2\left(U_0,j^{\&prime;},{U_j}^{\&prime;}\right),U_0\left)\right)& return& 0\end{array}$

$\begin{array}{ccc}If\left(\hat{e}\right({\mathrm{\&sigma;}}^{\&prime;},P)\&NotEqual;\hat{e}(H_2\left(Msg\right),U_j\left)\right)& return& 0\end{array}$

Else return 1

End

如果输出为0，退出交易

如果输出为1，判断是否代理继续在商店间迁移，如果需要，重复该步骤，即进行步骤6；否则进行步骤7；

步骤7.在此，商店已经做出最终决策，如果完成交易，那么生成CONTRACT和其他交易信息作为输入，运行算法4，定义如下：

算法4.

UndSig(Msg)

Begin

h＝H₁(Msg)

$\begin{array}{cc}return& f_{{\mathrm{Signed}}_j}\left(h\right)\end{array}$

End

输出为最终的不可拆分签名，在此记为Z，保存到代理中，然后使代理迁移回到客户端，进行下一步；

步骤8.客户端收到交易完成的代理，以U₀,Z,j,Msg,REQ_C||ID_C为输入，其中Msg为CONTRACT和其他交易信息，运行算法5检验Msg的合法性，算法定义如下：

算法5.

UndVrfy(U₀,Z,j,Msg,REQ_C||ID_C)

Begin

<<CERT_j,Z'>,j>←Z；<U₀',j',U_j',Λ_j>←CERT_j

If(U₀≠U₀')return 0

If(j≠j')return 0

If(Msg does not satisfy REQ_C) return 0

$\begin{array}{ccc}If\left(\hat{e}\right({\mathrm{\&Lambda;}}_j,P)\&NotEqual;\hat{e}(H_2\left({U_0}^{\&prime;},j^{\&prime;},{U_j}^{\&prime;}\right),U_0\left)\right)& return& 0\end{array}$

$\begin{array}{ccc}If\left(\hat{e}\right(Z^{\&prime;},P)\&NotEqual;\hat{e}(H_2{\left(REQ\_C\left|\right|{\mathrm{ID}}_C\right)}^{H_1\left(Msg\right)},U_j\left)\right)& return& 0\end{array}$

else return 1

End

如果算法输出为0，则终止交易；

否则输出为1，完成交易；

如果用户仍需要交易，直接跳到步骤3。