CN104079412A - 基于智能电网身份安全的无可信pkg的门限代理签名方法 - Google Patents

Abstract

一种基于智能电网身份安全的无可信PKG的门限代理签名方法。该签名方法的签名者和PKG交互后得到其私钥对(x_id,y_id)和公钥对(X_id,Y_id)；用可验证秘密共享方案来对代理签名人进行授权，假定P₁,P₂,…,P_t是t个代理签名者，他们将共同协作产生消息m的代理签名；每个代理者P_i产生部分代理签名，并将其发送给验证者C，若每个部分代理签名都通过验证，则C合成一个有效的门限代理签名。本发明具方法有许多预计算，具有更高的执行效率。具备门限代理签名的保密性、代理保护性、不可伪造性、不可否认性及强可识别性等安全特性。

Description

基于智能电网身份安全的无可信PKG的门限代理签名方法

技术领域

本发明涉及智能电网安全数据通信技术领域，具体涉及一种基于智能电网身份安全的无可信PKG的门限代理签名方法。 

背景技术

随着通讯技术和信息技术的发展，各种信息***如调度自动化***、配电网自动化***、变电站自动化***和电力市场技术支持***等在电力***领域得到了广泛的应用。智慧城市的发展使得智能电网将与传统的电信网、广播电视网、互联网等有机融合，电网不仅是电力传输的载体和平台，而且是重要的公共服务基础设施。依托丰富的电网网络资源,构建开放式的公共网络服务平台，促使电力流、信息流、业务流不断融合，以满足日益多样化的用户需求。

智能电网***的信息安全问题日益突出，利用现代密码算法和密码协议提高电力***应用层控制协议的抗攻击力是目前广泛关注的研究课题之一。代理签名指的是经过原始签名者的授权，代理签名者才能代表原始签名者生成有效的签名。门限签名主要应用于将签名权力通过门限的方式分配给群组的各成员的场合中，将门限签名引入代理签名体制中，形成了门限代理签名。在(t, n)门限代理签名中，只有不少于t个的代理签名者合作才能代表原始签名者生成有效的签名。

在基于身份的密码体制中，用户的公钥直接从其身份信息得到，而私钥则是由一个称为私钥生成中心(PKG，private key generator)的可信方生成，基于身份的门限代理签名存在密钥托管问题，PKG被攻陷后会给***带来灾难。在智能电网***中研究基于身份的无可信PKG技术，可以防止恶意签名、滥用代理签名权问题，解决密钥托管、实现权限分散管理，因此具有重要的现实意义。 

发明内容

本发明目的是提供一种基于智能电网身份安全的无可信PKG的门限代理签名方法。该签名方法的签名者和PKG交互后得到其私钥对(x _id , y _id )和公钥对(X _id , Y _id )；用可验证秘密共享方案来对代理签名人进行授权，假定P₁,P₂,…,P _t 是t个代理签名者，他们将共同协作产生消息m的代理签名；每个代理者P _i 产生部分代理签名，并将其发送给验证者C，若每个部分代理签名都通过验证，则C合成一个有效的门限代理签名。

本发明实现上述目的采取的技术方案如下：一种基于智能电网身份安全的无可信PKG的门限代理签名方法，假设***中存在私钥生成中心PKG、原始签名者P₀、代理签名者L={P₁,P₂,…,P_n}和一个验证者C，C也是集合L中的一个成员，C负责验证代理群成员的个人代理签名的有效性，并把这些有效的个人代理签名合成为代理签名，设G ₁是由P生成的循环加法群，其阶为素数q；G ₂是具有相同阶q的乘法循环群；双线性映射e：G ₁×G ₁→G ₂；具体步骤如下所述；

步骤1、***初始化：PKG随机选取一个整数s _PKG ∈                                                ,计算出***公钥Q _PKG =s _PKG P，并选择以下强无碰撞哈希函数H ₁:{0,1} ^* →G ₁，H ₂:{0,1} ^* → ；然后PKG将s _PKG 作为***私钥保存，并且公开parameters={G ₁,G ₂,e,P,q,Q _PKG ,H ₁,H ₂}；

步骤2、密钥生成：假定id表示签名者的惟一可识别的身份，PKG对其进行物理鉴定确信id具有惟一性；签名者任意选取x _id ∈作为其第一部分私钥，然后计算X _id =x _id P，并发送X _id 给PKG；PKG计算出y _id =s _PKG Y _id ，其中Y _id = H ₁(id, X)，并将y _id 发送给签名者，于是签名者得到其私钥对(x _id , y _id )和公钥对(X _id , Y _id )；根据以上算法，原始签名者P₀得到私钥(x ₀,y ₀)和公钥(X ₀, Y ₀)，代理签名者P _i 得到私钥(x _i , y _i )和公钥( X _i , Y _i )；

步骤3、代理密钥生成：在代理密钥生成协议中，利用Pederson可验证秘密共享方案来对代理签名人进行授权；原始签名者P₀利用签名方案对证书m _w 进行签名，证书m _w 描述了代理的诸多事宜，包括：

步骤3.1、原始签名者P₀首先任意选择k ₀ ∈，然后计算，v ₀=H ₂(m _w , r ₀)最后计算出U ₀=x ₀ v ₀ Y ₀ +v ₀ y ₀于是P₀将(m _w ,r ₀)发送给P _i ；

步骤3.2、原始签名者P₀任意选择F _i ∈G ₁，其中1≤i≤ t-1，并且构造多项式

F(x)=U ₀+xF ₁+…+x ^t-1 F _t-1P₀计算D _i =F(i)(i=0,…,n)，其中D ₀ =F(0)=U ₀；最后P₀将D _i 秘密发送给代理签名者P _i (i=1,…,n)，并且广播A ₀=e(U ₀,P), A _j =e(F _j ,P)，其中j=1,…,t-1；

步骤3.3、每个P _i 通过下式验证D _i 的有效性：

，如果该式成立，则P _i 计算其代理签名密钥d _i =v ₀ (x _i Q _PKG +y _i )+w _i D _i ，其中，否则P _i 请求重新发送一个有效的值；

步骤4、代理签名生成：不失一般性，我们假定P₁,P₂,…,P _t 是t个代理签名者，他们将共同协作产生消息m的代理签名；每个代理者P _i 产生部分代理签名，并将其发送给验证者C，若每个部分代理签名都通过验证，则C合成一个有效的门限代理签名，包括：

步骤4.1、代理签名者P _i 首先任意选择k _i ∈，然后计算，并将r _i 发送给C；

步骤4.2、验证者C计算，h=H ₂(m‖r)，并将h发送给各个代理签名者P _i ；

步骤4.3、代理签名者P _i 计算部分代理签名U _i =hd _i +k _i P，并将签名结果发送给C；

步骤4.4、验证者C收到U _i 后，通过下式验证：

如果所有的U _i 都通过了验证，则C计算，最终的代理签名是(U, m, m _w , r ₀ , r)；

步骤5、代理签名验证：门限代理签名验证者计算v ₀=H ₂(m _w , r ₀)、h=H ₂(m‖r)，并检查下式是否成立：

若上式成立，则通过验证，否则失败。

本发明应用有下述数学基础：

设G ₁是由P生成的循环加法群，其阶为素数q；G ₂是具有相同阶q的乘法循环群；双线性对是指具有以下特性的映射e：G ₁×G ₁→G ₂；

双线性：e(aP,bQ)=e(P,Q) ^ab ，对所有P,Q∈G ₁和所有；

非退化性：存在P,Q∈G ₁使得，e(P,Q)≠1；

可计算性：存在有效算法可以计算e(P,Q)，对所有P,Q∈G ₁；循环加法群G ₁可以取有限域上的超奇异椭圆曲线或超椭圆曲线，双线性对可以用超奇异椭圆曲线上的Weil对或经改造的Tate对来构造。

本发明具有以下优点：新的基于身份的无需可信PKG的门限代理签名方法有许多预计算，具有更高的执行效率。我们用Pa表示对运算，G ₁ A表示G ₁中的加法操作，G ₁ M表示G ₁中的点乘运算；用G ₂ M表示G ₂中的乘法运算，用G ₂ E表示G ₂中的指数运算。其在签名过程中的计算量为2G ₁ M；而验证过程中只需1Pa+1G ₂ E。

本发明具备门限代理签名的保密性、代理保护性、不可伪造性、不可否认性及强可识别性等安全特性，具体为：

保密性：在本方案里攻击者不可能计算出原始签名者P₀的私钥(x ₀,y ₀)。在离散对数难解下，仅从***公钥Q _PKG 中要得到s _PKG 是不可能的，从而攻击者不可能计算出P₀的部分私钥y ₀。即使攻击者联合t个代理签名者合谋攻击，他也仅能计算出群代理签名私钥U ₀，原始签名者的私钥任然是保密的。

代理保护：原始签名者P₀得不到代理签名者的代理签名U _i =hd _i +k _i P，因为P _i 的代理签名密钥d _i 是由P _i 的私钥(x _i ,y _i )计算得到的，因此新方案满足代理保护性。

不可伪造性：在CDHP是困难问题的假设下，代理密钥生成协议中的签名方法在随机预言模型下能够抵抗适应性选择消息攻击以及身份攻击下的存在性伪造。

不可否认性：代理签名人P _i 一旦产生了代理签名U _i ，他们将不能否认所产生的代理签名，因为其代理签名密钥d _i 只有他一个人知道。并且在验证过程中验证者必须用到代理签名人的公钥，因而他们也不能否认自己产生的签名；同样原始签名人也不能否认自己的合法签名。

强可识别性：完整有效的代理签名有原始签名人授权的证书m _w ，于是任何人都能从该证书中确定相应的代理签名人的身份。

具体实施方式

本发明提供的基于智能电网身份的无可信PKG的门限代理签名方法，假设***中存在私钥生成中心PKG、原始签名者P₀、代理签名者L={P₁,P₂,…,P_n}和一个验证者C，C是集合L中的一个成员，C负责验证代理群成员的个人代理签名的有效性，并把这些有效的个人代理签名合成为代理签名，设G ₁是由P生成的循环加法群，其阶为素数q；G ₂是具有相同阶q的乘法循环群；双线性映射e：G ₁×G ₁→G ₂；具体步骤如下所述；

步骤1、***初始化：PKG随机选取一个整数s _PKG ∈,计算出***公钥Q _PKG =s _PKG P，并选择以下强无碰撞哈希函数H ₁:{0,1} ^* →G ₁，H ₂:{0,1} ^* → ；然后PKG将s _PKG 作为***私钥保存，并且公开parameters={G ₁,G ₂,e,P,q,Q _PKG ,H ₁,H ₂}；

步骤2、密钥生成：假定id表示签名者的惟一可识别的身份，PKG对其进行物理鉴定确信id具有惟一性；签名者任意选取x _id ∈作为其第一部分私钥，然后计算X _id =x _id P，并发送X _id 给PKG；PKG计算出y _id =s _PKG Y _id ，其中Y _id = H ₁(id, X)，并将y _id 发送给签名者，于是签名者得到其私钥对(x _id , y _id )和公钥对(X _id , Y _id )；根据以上算法，原始签名者P₀得到私钥(x ₀,y ₀)和公钥(X ₀, Y ₀)，代理签名者P _i 得到私钥(x _i , y _i )和公钥( X _i , Y _i )；

步骤3、代理密钥生成：在代理密钥生成协议中，利用Pederson可验证秘密共享方案来对代理签名人进行授权；原始签名者P₀利用签名方案对证书m _w 进行签名，证书m _w 描述了代理的诸多事宜，包括：

步骤3.1、原始签名者P₀首先任意选择k ₀ ∈，然后计算，v ₀=H ₂(m _w , r ₀)最后计算出U ₀=x ₀ v ₀ Y ₀ +v ₀ y ₀于是P₀将(m _w ,r ₀)发送给P _i ；

步骤3.2、原始签名者P₀任意选择F _i ∈G ₁，其中1≤i≤ t-1，并且构造多项式

F(x)=U ₀+xF ₁+…+x ^t-1 F _t-1P₀计算D _i =F(i)(i=0,…,n)，其中D ₀ =F(0)=U ₀。最后P₀将D _i 秘密发送给代理签名者P _i (i=1,…,n)，并且广播A ₀=e(U ₀,P), A _j =e(F _j ,P)，其中j=1,…,t-1；

步骤3.3、每个P _i 通过下式验证D _i 的有效性：

，如果该式成立，则P _i 计算其代理签名密钥d _i =v ₀ (x _i Q _PKG +y _i )+w _i D _i ，其中，否则P _i 请求重新发送一个有效的值；

步骤4、代理签名生成：不失一般性，我们假定P₁,P₂,…,P _t 是t个代理签名者，他们将共同协作产生消息m的代理签名；每个代理者P _i 产生部分代理签名，并将其发送给验证者C，若每个部分代理签名都通过验证，则C合成一个有效的门限代理签名，包括：

步骤4.1、代理签名者P _i 首先任意选择k _i ∈，然后计算，并将r _i 发送给C；

步骤4.2、验证者C计算，h=H ₂(m‖r)，并将h发送给各个代理签名者P _i ；

步骤4.3、代理签名者P _i 计算部分代理签名U _i =hd _i +k _i P，并将签名结果发送给C；

步骤4.4、验证者C收到U _i 后，通过下式验证：

如果所有的U _i 都通过了验证，则C计算，最终的代理签名是(U, m, m _w , r ₀ , r)；

步骤5、代理签名验证：门限代理签名验证者计算v ₀=H ₂(m _w , r ₀)、h=H ₂(m‖r)，并检查下式是否成立：

若上式成立，则通过验证，否则失败。

Claims (1)

1.一种基于智能电网身份安全的无可信PKG的门限代理签名方法，其特征在于假设***中存在私钥生成中心PKG、原始签名者P₀、代理签名者L={P₁,P₂,…,P_n}和一个验证者C，C也是集合L中的一个成员，C负责验证代理群成员的个人代理签名的有效性，并把这些有效的个人代理签名合成为代理签名，设G ₁是由P生成的循环加法群，其阶为素数q；G ₂是具有相同阶q的乘法循环群；双线性映射e：G ₁×G ₁→G ₂；具体步骤如下；

步骤1、***初始化：PKG随机选取一个整数s _PKG ∈                                                ,计算出***公钥Q _PKG =s _PKG P，并选择以下强无碰撞哈希函数H ₁:{0,1} ^* →G ₁，H ₂:{0,1} ^* → ；然后PKG将s _PKG 作为***私钥保存，并且公开parameters={G ₁,G ₂,e,P,q,Q _PKG ,H ₁,H ₂}；

步骤2、密钥生成：假定id表示签名者的惟一可识别的身份，PKG对其进行物理鉴定确信id具有惟一性；签名者任意选取x _id ∈作为其第一部分私钥，然后计算X _id =x _id P，并发送X _id 给PKG；PKG计算出y _id =s _PKG Y _id ，其中Y _id = H ₁(id, X)，并将y _id 发送给签名者，于是签名者得到其私钥对(x _id , y _id )和公钥对(X _id , Y _id )；根据以上算法，原始签名者P₀得到私钥(x ₀,y ₀)和公钥(X ₀, Y ₀)，代理签名者P _i 得到私钥(x _i , y _i )和公钥( X _i , Y _i )；

步骤3、代理密钥生成：在代理密钥生成协议中，利用Pederson可验证秘密共享方案来对代理签名人进行授权；原始签名者P₀利用签名方案对证书m _w 进行签名，证书m _w 描述了代理的诸多事宜，包括：

步骤3.1、原始签名者P₀首先任意选择k ₀ ∈，然后计算，v ₀=H ₂(m _w , r ₀)最后计算出U ₀=x ₀ v ₀ Y ₀ +v ₀ y ₀于是P₀将(m _w ,r ₀)发送给P _i ；

步骤3.2、原始签名者P₀任意选择F _i ∈G ₁，其中1≤i≤ t-1，并且构造多项式

F(x)=U ₀+xF ₁+…+x ^t-1 F _t-1P₀计算D _i =F(i)(i=0,…,n)，其中D ₀ =F(0)=U ₀；

最后P₀将D _i 秘密发送给代理签名者P _i (i=1,…,n)，并且广播A ₀=e(U ₀,P), A _j =e(F _j ,P)，其中j=1,…,t-1；

步骤3.3、每个P _i 通过下式验证D _i 的有效性：

，如果该式成立，则P _i 计算其代理签名密钥d _i =v ₀ (x _i Q _PKG +y _i )+w _i D _i ，其中，否则P _i 请求重新发送一个有效的值；

步骤4、代理签名生成：不失一般性，我们假定P₁,P₂,…,P _t 是t个代理签名者，他们将共同协作产生消息m的代理签名；每个代理者P _i 产生部分代理签名，并将其发送给验证者C，若每个部分代理签名都通过验证，则C合成一个有效的门限代理签名，包括：

步骤4.1、代理签名者P _i 首先任意选择k _i ∈，然后计算，并将r _i 发送给C；

步骤4.2、验证者C计算，h=H ₂(m‖r)，并将h发送给各个代理签名者P _i ；

步骤4.3、代理签名者P _i 计算部分代理签名U _i =hd _i +k _i P，并将签名结果发送给C；

步骤4.4、验证者C收到U _i 后，通过下式验证：

如果所有的U _i 都通过了验证，则C计算，最终的代理签名是(U, m, m _w , r ₀ , r)；

步骤5、代理签名验证：门限代理签名验证者计算v ₀=H ₂(m _w , r ₀)、h=H ₂(m‖r)，并检查下式是否成立：

若上式成立，则通过验证，否则失败。