CN109951288A - 一种基于sm9数字签名算法的分级签名方法和*** - Google Patents

Abstract

本发明公开了一种基于SM9数字签名算法的分级签名方法和***。该方法包括：所有节点(包括根KGC、低层级KGC、用户端等)构成一个lev级的树状结构，其中根KGC位于第0级；第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev‑2；第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev‑1；利用所述验证签名时所需的辅助信息，任意用户端对第i级用户端的签名进行验证，其中1≤i≤lev‑1。本发明中用户私钥的长度为常数，不随用户级数的增加而增加；验证过程中，与原SM9签名算法一样，只需要进行2次双线性对运算；并且，该方案是标准模型下可证安全的。

Description

一种基于SM9数字签名算法的分级签名方法和***

技术领域

本发明属于信息安全技术领域，涉及基于身份的分级签名算法的设计方案，具体为基于SM9数字签名算法的分级签名方法和***，能够提高SM9数字签名算法的可扩展性。

背景技术

A.Shamir在1984年提出了基于身份的密码***(Identity-Based Cryptography)的概念，在基于身份的密码***中，用户的私钥由密钥生成中心(Key Generate Center，KGC)根据主密钥和用户身份计算得出，用户的公钥由用户身份唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码***相比，基于身份的密码***中的密钥管理环节可以得到适当简化。

椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环子群之间建立了联系。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对(pairing)构造基于身份的密钥共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造基于身份的公钥加密算法。这些工作引发了基于身份的密码的新发展，我国于2016年发布了用椭圆曲线对实现的SM9密码算法，包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法等。2018年11月，SM9数字签名算法已正式发布成为ISO国际标准(ISO/IEC14888-3:2018)。

在基于身份的密码***的实际应用中，用户向KGC申请私钥时，KGC除了根据用户身份计算相应私钥之外，还需要验证用户的身份，并且通过建立安全信道将私钥传递给用户。当用户不断增多时，KGC的工作量也随之增大。考虑到基于身份的密码***的可扩展性，Gentry和Silverberg于2002年首次提出了基于身份的分级密码(Hierarchical ID-BasedCryptography)的概念。在基于身份的分级密码中，多个KGC按照树状结构分布，根节点KGC只需要为下一级的KGCs生成私钥，该级的KGCs再为其负责的下一级用户生成私钥，以此类推。即，根节点KGC可以将计算私钥和验证用户身份的任务分配给低层级的KGCs，从而实现工作分流，以减轻自身的负担。此后，对基于身份的分级密码的研究一直是学术界的热点。

Chow等人在“Secure hierarchical identity based signature and itsapplication”中构造的基于身份的分级签名算法，和Li等人在“Anew hierarchical ID-based Cryptosystem and CCA-secure PKE”中构造的基于身份的分级签名算法中，用户私钥和签名的长度都随用户级数的增加而线性增加，并且该算法的安全模型是安全性较低的选择身份的随机预言机模型。但是仍然没有解决上述问题。Yuen和Wei在论文“Constant-size hierarchical identity-based signature/signcryption without randomoracles”中，给出了签名长度为常数的构造方案，并且在安全模型中去掉了随机预言机，但仍然不是标准模型，而且依赖于一个复杂的安全假设。随后，L.Y.Zhang等人先后提出了两种标准模型下安全高效的构造方案，不过仍然存在公共参数长度过大或者依赖强安全假设等问题。Wu和Zhang在论文“Hierarchical identity-based signature with shortpublic keys”中，解决了公共参数过长的问题，不过其验证阶段需进行4次双线性对运算，而双线性对运算是比较复杂且耗时的。

此外，目前已有的基于身份的分级签名方案中，部分采用的是基于有限域上的离散对数构造的双线性对，与SM9数字签名算法中采用的基于椭圆曲线构造的双线性对不同；而剩下的采用基于椭圆曲线构造的双线性对的分级签名方案中，其双线性对的定义域所涉及到的两个群为同一个群，与SM9数字签名算法中采用的两个群(G₁和G₂)不同。

发明内容

针对上述问题，本发明旨在基于SM9数字签名算法这种特殊结构给出一种标准模型下安全高效的分级签名方案。

本发明设计了一种基于SM9数字签名算法的安全高效的分级签名方案。本方案中，所有节点(包括根KGC、低层级KGC、用户(即用户端)等)构成一个lev级的树状结构，其中根KGC位于第0级。考虑到时间和空间效率，lev的值不宜过大(不超过10)，这也与我们现实情况相符。第m(m≤lev-1)级用户的身份由数组(ID₁,ID₂,…,ID_m)表示，并且该用户祖先节点(除根KGC外)的身份可以表示为(ID₁,ID₂,…,ID_i)，1≤i＜m。

与SM9数字签名算法相同，本发明的方案中的***参数包括：椭圆曲线基域F_q的参数；椭圆曲线方程参数a和b；曲线阶的素因子N和相对于N的余因子cf；椭圆曲线E(F_q)相对于N的嵌入次数k；(d₁整除k)的N阶循环子群G₁的生成元P₁；(d₂整除k)的N阶循环子群G₂的生成元P₂；双线性对e的值域为N阶乘法循环群G_T。其中和分别表示F_q的两个扩域。

本发明的一种基于SM9数字签名算法的分级签名方法，包括以下步骤：

1)将所有节点构成一个lev级的树状结构，所述节点包括根KGC、低层级KGC、用户端，其中根KGC位于第0级；

2)第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev-2；

3)第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev-1；

4)利用所述验证签名时所需的辅助信息，任意用户端对第i级用户端的签名进行验证,其中1≤i≤lev-1。

假设待签名消息为M，上述基于SM9数字签名算法的分级签名方法的具体步骤包括：

1.***初始化

1)根KGC选定***参数，选择并公开用一个字节标识的签名私钥生成函数识别符hid；

2)根KGC随机选取ks₀∈[1,N-1]，作为***主私钥(ks为一个整体，表示KGC的私钥)，计算并公开G₂中的元素Q₀＝[ks₀]P₂，作为***主公钥；

3)第i(1≤i≤lev-2)级KGC随机选取ks_i∈[1,N-1]，作为该级主私钥。

2.密钥生成阶段(第i(0≤i≤lev-2)级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息)，如图1所示，包括以下步骤：

4)第i级KGC计算H_{1_i+1}＝H₁(ID₁||ID₂||…ID_i+1||hid,N)，在有限域F_N上计算t_i+1＝H_{1_i+1}+ks_i，若t_i+1＝0，则重新产生主私钥ks_i，并更新已有用户的签名私钥；否则：

a)当i＝0时，计算作为第1级KGC或用户端的签名私钥；

b)当i≥1时，计算作为第i+1级KGC或用户的签名私钥；

5)第i(i≥1)级KGC计算验证签名时所需的辅助信息，并将其发送给第i+1级KGC或用户。辅助信息为一系列G₂中的元素。首先，将展开成2ⁱ⁺¹项相加，针对每一项，将其包含的(各级)主私钥的乘积记为ks，则该项的辅助信息为[ks]P₂。将所有项的辅助信息构成的多元数组记为Q。

3.签名阶段(第i(1≤i≤lev-1)级用户对消息M进行签名)，如图2所示，包括以下步骤：

6)计算群G_T中的元素g＝e(P₁,Q₀)；

7)产生随机数r∈[1,N-1]；

8)计算群G_T中的元素ω＝g^r；

9)计算整数h＝H₂(M||ω,N)；

10)计算整数l＝(r-h)modN，若l＝0则返回7)；

11)计算群G₁中的元素S＝[l]ds_i；

12)消息M的签名为(h,S,Q)。

4.验签阶段(验证第i(1≤i≤lev-1)级用户对消息M的签名)，如图3所示，包括以下步骤：

13)计算群G_T中的元素g＝e(P₁,Q₀)；

14)计算群G_T中的元素v＝g^h；

15)根据辅助信息Q和用户身份信息H_{1_j}(1≤j≤i)计算得出群G₂中的元素

16)计算群G_T中的元素u＝e(S,P)；

17)计算群G_T中的元素ω＝u·v；

18)计算整数h₃＝H₂(M||ω,N)，检验h₃＝h是否成立，若成立则验证通过；否则验证不通过。

其中，H_i(Z,n),i＝1,2是SM9(GM/T 0044.2-2016)中给出的一个密码函数，输入为比特串Z和整数n，输出为一个整数h∈[1,N-1]。

其中，[u]P指加法群G₁、G₂中元素P的u倍。

在签名阶段，最终的签名

在验证阶段，

可得ω＝u·v＝g^l+h＝g^r；代入h₃＝H₂(M||ω,N)，最终h₃＝h成立。由此可知，本发明中的分级签名方案是正确的。

与上面方法对应地，本发明还提供一种基于SM9数字签名算法的分级签名***，其包括根KGC、低层级KGC、用户端，所述根KGC、低层级KGC、用户端构成一个lev级的树状结构，其中根KGC位于第0级；第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev-2；第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev-1；利用所述验证签名时所需的辅助信息，任意用户端可对第i级用户端的签名进行验证,其中1≤i≤lev-1。该***的具体实现内容参见上文对本发明方法的描述。

本发明中的分级签名方案，用户私钥的长度为常数，不随用户级数的增加而增加；验证过程中，与原SM9签名算法一样，只需要进行2次双线性对运算；并且，该方案是标准模型下可证安全的。

附图说明

图1是本发明的秘钥生成阶段流程图，第i(0≤i≤lev-2)级KGC为i+1级KGC或用户生成私钥。

图2是本发明的签名阶段流程图，第i(1≤i≤lev-1)级用户使用私钥ds_i对消息M进行签名。

图3是本发明验证阶段流程图，任意用户对第i级用户对消息M的签名进行验证。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。

假设在一个基于身份的密码***中，所有节点构成了一个3级的树状结构，其中根KGC位于第0级，中间一级为KGC，普通用户位于第2级。当第2级的用户之间互相通信(对消息签名以及验签)时，步骤如下：

1.***初始化

1)根KGC选定***参数，选择并公开用一个字节标识的签名私钥生成函数识别符hid；

2)根KGC随机选取ks₀∈[1,N-1]，作为***主私钥，计算并公开G₂中的元素Q₀＝[ks₀]P₂，作为***主公钥；

3)第1级KGC随机选取ks₁∈[1,N-1]，作为该级主私钥；

2.密钥生成阶段

4)根KGC计算H_{1_1}＝H₁(ID₁||hid,N)，在有限域F_N上计算t₁＝H_{1_1}+ks₀，若t₁＝0，则重新产生***主私钥，计算和公开***主公钥，并更新已有用户的签名私钥；否则，计算作为第1级KGC的签名私钥；

5)第1级KGC计算H_{1_2}＝H₁(ID₁||ID₂||hid,N)，在有限域F_N上计算t₂＝H_{1_2}+ks₁，若t₂＝0，则重新产生该级主私钥，并更新已有用户的签名私钥；否则，计算作为第2级用户的签名私钥；

6)第1级KGC计算验证签名时所需的辅助信息Q。

Q＝([ks₁]P₂,[ks₀]P₂,[ks₁ks₀]P₂)＝([ks₁]P₂,Q₀,[ks₁]Q₀)

3.签名阶段(第2级用户对消息M进行签名)

7)计算群G_T中的元素g＝e(P₁,Q₀)；

8)产生随机数r∈[1,N-1]；

9)计算群G_T中的元素ω＝g^r；

10)计算整数h＝H₂(M||ω,N)；

11)计算整数l＝(r-h)modN，若l＝0则返回8)；

12)计算群G₁中的元素S＝[l]ds₂；

13)消息M的签名为(h,S,Q)。

4.验签阶段(验证第3级用户对消息M的签名)

14)计算群G_T中的元素g＝e(P₁,Q₀)；

15)计算群G_T中的元素v＝g^h；

16)计算H_{1_1}＝H₁(ID₁||hid,N)，H_{1_2}＝H₂(ID₁||ID₂||hid,N)，结合辅助信息Q，计算

17)计算群G_T中的元素u＝e(S,P)；

18)计算群G_T中的元素ω＝u·v；

19)计算整数h₃＝H₂(M||ω,N)，检验h₃＝h是否成立，若成立则验证通过；否则验证不通过。

在原SM9数字签名方案中，用户向KGC申请私钥时，KGC除了根据用户身份计算相应私钥之外，还需要验证用户的身份，并且通过建立安全信道将私钥传递给用户。当用户增多时，KGC的工作量也随之增大，并且，随着用户数量的持续增多，单个KGC的效率将成为制约整个***效率的瓶颈。因此，目前采用原SM9数字签名方案的应用场景，如SM9身份认证解决方案、应用***增强认证解决方案等，均可以应用本发明中的分级签名方法，将单个KGC增加为由上至下逐层授权的多个KGCs，对原单个KGC的工作进行分流，进而提高整个***的效率。

本发明另一实施例提供一种基于SM9数字签名算法的分级签名***，其包括根KGC、低层级KGC、用户端，所述根KGC、低层级KGC、用户端构成一个lev级的树状结构，其中根KGC位于第0级；第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev-2；第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev-1；利用所述验证签名时所需的辅助信息，任意用户端可对第i级用户端的签名进行验证,其中1≤i≤lev-1。该***的具体实现内容参见上文对本发明方法的描述。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种基于SM9数字签名算法的分级签名方法，其特征在于，包括以下步骤：

1)将所有节点构成一个lev级的树状结构，所述节点包括根KGC、低层级KGC、用户端，其中根KGC位于第0级；

2)第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev-2；

3)第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev-1；

4)利用所述验证签名时所需的辅助信息，任意用户端对第i级用户端的签名进行验证，其中1≤i≤lev-1。

2.根据权利要求1所述的方法，其特征在于，在步骤2)之前进行***初始化，所述***初始化包括：

a)根KGC选定***参数，选择并公开用一个字节标识的签名私钥生成函数识别符hid；

b)根KGC随机选取ks₀∈[1，N-1]，作为***主私钥，计算并公开G₂中的元素Q₀＝[ks₀]P₂，作为***主公钥；其中N表示曲线阶的素因子，P₂表示椭圆曲线的N阶循环子群G₂的生成元，F_q为椭圆曲线基域；

c)第i(1≤i≤lev-2)级KGC随机选取ks_i∈[1，N-1]，作为该级主私钥。

3.根据权利要求2所述的方法，其特征在于，步骤2)包括：

2.1)第i级KGC计算H_{1_i+1}＝H₁(ID₁||ID₂||…ID_i+1||hid，N)，其中ID₁||ID₂||…||ID_i+1表示第i+1级用户端的身份，H₁表示SM9算法中的密码函数；在有限域F_N上计算t_i+1＝H_{1_i+1}+ks_i，若t_i+1＝0，则重新产生主私钥ks_i，并更新已有用户的签名私钥；

否则：

a)当i＝0时，计算作为第1级KGC或用户端的签名私钥；其中P₁表示曲线的N阶循环子群G₁的生成元；

b)当i≥1时，计算作为第i+1级KGC或用户的签名私钥；

2.2)第i级KGC计算验证签名时所需的辅助信息，其中i≥1，并将其发送给第i+1级KGC或用户；辅助信息为一系列G₂中的元素，首先将展开成2ⁱ⁺¹项相加，针对每一项，将其包含的各级主私钥的乘积记为ks，则该项的辅助信息为[ks]P₂，将所有项的辅助信息构成的多元数组记为Q。

4.根据权利要求3所述的方法，其特征在于，步骤3)包括：

3.1)计算群G_T中的元素g＝e(P₁，Q₀)；

3.2)产生随机数r∈[1，N-1]；

3.3)计算群G_T中的元素ω＝g^r；

3.4)计算整数h＝H₂(M||ω，N)；其中H₂表示SM9算法中的密码函数；

3.5)计算整数l＝(r-h)modN，若l＝0则返回7)；

3.6)计算群G₁中的元素S＝[l]ds_i；

3.7)消息M的签名为(h，S，Q)。

5.根据权利要求4所述的方法，其特征在于，步骤4)包括：

4.1)计算群G_T中的元素g＝e(P₁，Q₀)；

4.2)计算群G_T中的元素v＝g^h；

4.3)根据辅助信息Q和用户身份信息H_{1_j}(1≤j≤i)计算得出群G₂中的元素

4.4)计算群G_T中的元素u＝e(S，P)；

4.5)计算群G_T中的元素ω＝u·v；

4.6)计算整数h₃＝H₂(M||ω，N)，检验h₃＝h是否成立，若成立则验证通过；否则验证不通过。

6.一种基于SM9数字签名算法的分级签名***，其特征在于，包括包括根KGC、低层级KGC、用户端，所述根KGC、低层级KGC、用户端构成一个lev级的树状结构，其中根KGC位于第0级；第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，其中0≤i≤lev-2；第i级用户端使用签名私钥对待签名消息M进行签名，其中1≤i≤lev-1；利用所述验证签名时所需的辅助信息，任意用户端能够对第i级用户端的签名进行验证，其中1≤i≤lev-1。

7.根据权利要求6所述的***，其特征在于，在生成签名私钥之前进行***初始化，所述***初始化包括：

a)根KGC选定***参数，选择并公开用一个字节标识的签名私钥生成函数识别符hid；

b)根KGC随机选取ks₀∈[1，N-1]，作为***主私钥，计算并公开G₂中的元素Q₀＝[ks₀]P₂，作为***主公钥；其中N表示曲线阶的素因子，P₂表示椭圆曲线的N阶循环子群G₂的生成元，F_q为椭圆曲线基域；

c)第i(1≤i≤lev-2)级KGC随机选取ks_i∈[1，N-1]，作为该级主私钥。

8.根据权利要求7所述的***，其特征在于，所述第i级KGC为i+1级KGC或用户端生成签名私钥和验证签名时所需的辅助信息，包括：

1)第i级KGC计算H_{1_i+1}＝H₁(ID₁||ID₂||…ID_i+1||hid，N)，其中ID₁||ID₂||…||ID_i+1表示第i+1级用户端的身份，H₁表示SM9算法中的密码函数；在有限域F_N上计算t_i+1＝H_{1_i+1}+ks_i，若t_i+1＝0，则重新产生主私钥ks_i，并更新已有用户的签名私钥；

否则：

a)当i＝0时，计算作为第1级KGC或用户端的签名私钥；其中P₁表示曲线的N阶循环子群G₁的生成元；

b)当i≥1时，计算作为第i+1级KGC或用户的签名私钥；

2)第i级KGC计算验证签名时所需的辅助信息，其中i≥1，并将其发送给第i+1级KGC或用户；辅助信息为一系列G₂中的元素，首先将展开成2ⁱ⁺¹项相加，针对每一项，将其包含的各级主私钥的乘积记为ks，则该项的辅助信息为[ks]P₂，将所有项的辅助信息构成的多元数组记为Q。

9.根据权利要求8所述的***，其特征在于，所述第i级用户端使用签名私钥对待签名消息M进行签名，包括：

1)计算群G_T中的元素g＝e(P₁，Q₀)；

2)产生随机数r∈[1，N-1]；

3)计算群G_T中的元素ω＝g^r；

4)计算整数h＝H₂(M||ω，N)；其中H₂表示SM9算法中的密码函数；

5)计算整数l＝(r-h)modN，若l＝0则返回7)；

6)计算群G₁中的元素S＝[l]ds_i；

7)消息M的签名为(h，S，Q)。

10.根据权利要求9所述的***，其特征在于，所述对第i级用户端的签名进行验证，包括：

1)计算群G_T中的元素g＝e(P₁，Q₀)；

2)计算群G_T中的元素v＝g^h；

3)根据辅助信息Q和用户身份信息H_{1_j}(1≤j≤i)计算得出群G₂中的元素

4)计算群G_T中的元素u＝e(S，P)；

5)计算群G_T中的元素ω＝u·v；

6)计算整数h₃＝H₂(M||ω，N)，检验h₃＝h是否成立，若成立则验证通过；否则验证不通过。