KR100732233B1 - 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법 - Google Patents

겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법 Download PDF

Info

Publication number
KR100732233B1
KR100732233B1 KR1020050044242A KR20050044242A KR100732233B1 KR 100732233 B1 KR100732233 B1 KR 100732233B1 KR 1020050044242 A KR1020050044242 A KR 1020050044242A KR 20050044242 A KR20050044242 A KR 20050044242A KR 100732233 B1 KR100732233 B1 KR 100732233B1
Authority
KR
South Korea
Prior art keywords
signature
surrogate
proxy
attorney
private key
Prior art date
Application number
KR1020050044242A
Other languages
English (en)
Other versions
KR20060067118A (ko
Inventor
박제홍
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050044242A priority Critical patent/KR100732233B1/ko
Publication of KR20060067118A publication Critical patent/KR20060067118A/ko
Application granted granted Critical
Publication of KR100732233B1 publication Critical patent/KR100732233B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 기존의 개인식별정보 기반 대리서명 방법과 마찬가지로 겹선형 함수를 사용하여 증명 가능한 안전성을 제공하며 효율적인 대리서명능력 제한성을 가지는 개인식별정보 기반 보증 권한 위임 대리서명 방법에 관한 것으로서,
본 발명은 각 사용자들에게 각자의 개인식별정보를 이용한 개인키를 발급하는 구조를 가지는 개인식별정보 기반 인증 모델 내에서, 보증 위임 대리서명 방법을 구성하는 원서명자가 대리서명자에게 서명 권한을 위임하는 알고리즘과 대리서명자가 서명을 생성하는 알고리즘, 그리고 대리서명을 받은 검증자가 대리서명을 검증하는 알고리즘으로 구성됨으로써,
본 발명은 대리서명 키의 생성에 필요한 계산 시간과 저장 공간을 감소시키는 효율성 측면과 증명 가능한 안전성을 보장하며 대리서명자의 서명 횟수를 제한하는 것이 가능한 효과가 있다.
개인식별정보 기반의 대리서명 방법, 대리서명 방법, 겹선형 함수

Description

겹선형 함수를 이용한 대리서명능력 제한성을 가지는 개인식별정보 기반 대리서명 장치 및 그 방법{ID BASED PROXY SIGNATURE APPARATUS WITH RESTRICTION ON SIGNING CAPABILITY BY BILINEAR MAP AND METHOD THEREOF}
도 1은 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법의 참가자간의 상호작용을 예시하는 블록도,
도 2는 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 원서명자가 대리서명자에게 대리서명 권한을 위임하는 과정을 예시하는 블록도,
도 3은 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 대리서명자가 검증자에게 서명의 검증을 위해 필요한 정보를 전달하는 과정을 예시하는 블록도,
도 4는 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법의 동작을 예시하는 흐름도,
도 5는 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 대리서명자의 대리서명 횟수를 제한하는 과정을 예시하는 블록도이다.
<도면의 주요 부분에 대한 부호의 설명>
100: 개인키 생성자 (또는 신뢰기관)
200: 원서명자
300: 대리서명자
400: 검증자
본 발명은 전자서명 시스템에 관한 것으로, 더욱 상세하게는 겹선형 함수를 이용한 대리서명능력 제한성을 가지는 개인식별정보 기반의 보증 권한 위임 대리서명 장치 및 방법에 관한 것이다.
공개키 암호 시스템은 각 사용자가 자신의 공개키와 개인키 쌍을 가지고 있으며 신뢰할 수 있는 제 3자가 생성한 전자 인증서(Digital Certificate)에 의해 자신의 공개키와 개인식별정보를 연결할 수 있다. 이러한 공개키 기반 구조(Public Key Infrastructure)에서는 다른 사람의 공개키를 이용하여 정보를 암호화 하고자 할 경우 먼저 그 사람의 전자 인증서를 검증해야 한다. 그러므로, 사용자의 수가 많을 경우 이러한 공개키 기반 구조는 많은 양의 계산 시간과 저장 공간을 요구한다.
이러한 기존의 공개키 기반 구조에서 나타나는 인증서 관리문제를 해결하기 위한 방안으로, 샤미르(Shamir)는 1984년 개인식별정보 기반 인증 모델(ID-based cryptosystem)에 대한 개념을 소개하였다(A. Shamir, Identity-based cryptosystems and signature schemes, Advances in Cryptology-CRYPTO’84, LNCS 196, pp.47-53, Springer-Verlag, 1984.). 기본적인 개념은 E-mail 주소와 같은 사용자의 공개된 개인식별정보를 공개키로 사용하고, 신뢰받는 제 3자인 개인키 생성자(Private Key Generator(PKG))가 자신의 개인키와 사용자의 개인식별정보를 이용하여 사용자의 개인키를 생성하고, 사용자는 이 키를 받아서 사용하는 방식이다. 이것은 각각의 사용자를 식별할 수 있는 정보가 사용자의 공개키로 직접적으로 사용되어지는 것을 의미한다. 따라서, 기존의 공개키 기반 구조에서 인증서의 관리와 관련해서 나타나는 여러 가지 문제점을 해결할 수 있다. 또한 사용자는 개인키 생성자로부터 개인키를 받기 때문에, 사용자에게 있어서 저장 공간이나 계산량의 감소효과를 가져올 수 있다.
이러한 개념의 도입 후, 여러 서명 방법들이 제안되었는데 반해, 충분히 실용적이라 볼 수 있는 암호 방법을 설계하는 것은 풀리지 않는 숙제였다. 하지만 최근에 보네(Boneh)와 프랭크린(Franklin)이 겹선형 함수(bilinear map)를 이용하여 실용적인 개인식별정보 기반 암호 방법(D. Boneh and M. Franklin, Identity-based encryption from the Weil pairing, SIAM J. Computing, Vol.32, No.3, pp.586-615, 2003.)을 제안하면서 개인식별정보 기반 인증 모델에 대한 새로운 연구 분위기가 조성되고 있다. 이후 보네-프랭크린의 암호 방법과 같은 인증 모델에서 적용이 가능한 여러 가지 형태의 서명 방법 및 응용 프로토콜들이 제안되고 있다.
그 중, 대리서명 방법은 1996년 맘보(Mambo), 우수다(Usuda), 오카모토(Okamoto)에 의해 처음으로 제안된 개념이다(M. Mambo, K. Usuda, and E. Okamoto, Proxy signature: Delegation of the power to sign messages, IEICE Trans. Fundamentals, Vol. E79-A, No. 9, pp.1338-1353, 1996.). 대리서명 방법은 원서명자(original signer)와 대리서명자(proxy signer), 그리고 검증자들(verifiers)로 구성되며, 원서명자가 대리서명자에게 자신의 서명 권한을 안전하게 위임함으로써, 대리서명자가 원서명자를 대신해서 메시지에 대한 서명을 생성하고 이렇게 생성된 서명을 검증할 때, 검증자는 원서명자의 서명에 대한 동의를 확인할 수 있도록 하는 방식이다.
대리서명 방법은 그 위임 방법에 따라 크게 전체 권한 위임(full delegation), 부분 권한 위임(partial delegation), 그리고 보증 권한 위임(delegation by certificate (warrant))으로 나눌 수 있다. 보증 권한 위임방식은 원서명자가 대리서명자의 권한을 명시한 위임장(warrant)과 그에 대한 서명 (Certificate)을 서명 권한의 위임을 위해 대리서명자에게 전달하면, 대리서명자는 위임장에 대한 서명과 자신의 개인키를 이용하여 대리서명 키를 생성하고, 이를 이용하여 대리 서명을 생성한다. 물론 검증자는 대리 서명을 검증하는 과정에 있어서 위임장의 내용과 대리 서명된 메시지의 내용을 검토하여 대리서명자에게 위임된 권한의 행사에 대한 유효성을 확인한다. 결국 두 가지 검증절차를 거쳐야 하지만 검증자는 검증과정에서 사용된 원서명자의 공개키를 통해 대리서명에 대한 원서명자의 동의를 확인할 수 있고, 또한 위임된 권한의 오남용도 막을 수 있다. 허가에 의한 부분적 권한 위임(또는 보증에 의한 부분적 권한 위임, partial delegation by certificate(warrant))방식은 부분 권한 위임과 보증 권한 위임 방식을 합친 방식으로 보증 권한 위임 방식의 장점을 가지지만 부분 권한 위임 방식에서와 같이 대리서명 키의 생성시 기존의 대리서명자의 개인키가 아닌 새로운 키를 생성한다.
개인식별정보 기반의 대리서명 방법은 개인식별정보 기반 인증 모델에서 정의되는 대리서명 방법으로, 이 방법은 개인키 생성자(PKG), 원서명자, 대리서명자, 그리고 검증자들로 구성되며, 일반적인 대리서명 방법과 마찬가지로 검증성(Verifiability), 강한 위조 불가능성(Strong unforgeability), 강한 식별 불가능성(Strong identifiability), 강한 거부 불가능성(Strong undeniability), 그리고 권한 남용 방지(Prevention of misuse)등의 요구사항들을 만족하여야 한다.
이러한 안전성을 만족하는 개인식별정보 기반 대리서명 방법은 장팡구오와 김광조에 의해 처음 제안되었으며(F. Zhang and K. Kim, Efficient ID-based blind signature and proxy signature from bilinear pairings, ACISP 2003, LNCS 2727, Springer-Verlag, pp.223-232, 2003.), 국내특허 (출원번호 10-2003-0045217, 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및 방법, 출원인: 학교법인 한국정보통신학원)로 출원되어 있는 상태이다. 독립적으로 이정연 외 3인에 의해 비슷한 형태의 겹선형 함수를 이용한 개인식별정보 기반 대리서명 방법이 제안되었다(이정연, 천정희, 김태성, 진승헌, Bilinear 함수를 이용한 ID 기반 대리서명 방 법, 정보보호학회논문지, Vol. 13(2), pp.3-11, 2003.).
원서명자가 제한된 서명능력을 대리서명자에게 위임하려고 할 경우, 앞에서 언급한 바와 같이 인증서에 관련정보를 넣는 방법을 사용할 수 있다. 그러나 원서명자가 대리서명자로 하여금 일정한 수의 서명만 생성할 수 있도록 권한을 위임하려고 할 경우 위의 방법으로는 충분하지 않다. 이는 대리서명자를 제외하고 누구도 대리서명자가 제한된 횟수 내에서 서명을 생성했는지 확인할 수 없기 때문이다. 이와 관련해서 1994년 Delos와 Quisquater는 개인식별정보 기반의 ‘bounded-life span’ 서명 방법을 제안하였는데 (O. Delos and J.-J. Quisquater, An identity-based signature scheme with bounded life-span, Advances in Cryptology - CRYPTO’94, LNCS 839, Springer-Verlag, pp. 83-94, 1994.), 이는 미리 정해진 수만큼의 서명이 생성된 이후, 사용자가 더 이상 서명을 생성할 수 없도록 엄밀하게(explicitly) 서명자의 권한을 제한하는 방법으로 서명 생성과 검증과정에서 일종의 CA(Certificate Authority)의 역할을 수행하는 개인키 생성자가 아닌 제 3자와 항상 온라인으로 교신을 해야 하는 단점을 가지고 있다. 이 서명에 대한 응용으로, 원서명자가 자신에게 제한된 서명 횟수의 일부를 대리인이 수행할 수 있도록 하는 전체 권한 위임 방식의 대리서명 방법을 소개하였다.
지금까지 제안된 대다수의 대리서명 방법들은 검증성, 강한 위조 불가능성, 강한 식별 불가능성, 강한 거부 불가능성, 권한 남용 방지와 같은 요구 사항들을 만족한다는 것을 각각의 항목별로 독립적으로 제시하였다. 이로 인해 대리서명 방법에 대해 발생할 수 있는 복합적인 공격 모델에 대한 안전성은 정확히 검증되지 못하였다. 이는 기존에 제안된 장팡구오와 김광조의 개인식별정보 기반 대리서명 방법이나 이정연 외 3인의 대리서명 방법도 마찬가지이다.
따라서, 본 발명의 목적은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 기존의 개인식별정보 기반 대리서명 방법과 마찬가지로 겹선형 함수를 사용하여 증명 가능한 안전성을 제공하며 효율적인 대리서명능력 제한성을 가지는 개인식별정보 기반 보증 권한 위임 대리서명 장치 및 방법을 제공하는데 있다.
본 발명은 각 사용자들에게 각자의 개인식별정보를 이용한 개인키를 발급하는 구조를 가지는 개인식별정보 기반 인증 모델 내에서, 보증 위임 대리서명 방법을 구성하는 원서명자가 대리서명자에게 서명 권한을 위임하는 알고리즘과 대리서명자가 서명을 생성하는 알고리즘, 그리고 대리서명을 받은 검증자가 대리서명을 검증하는 알고리즘으로 구성되어 있다. 본 발명에서는 이러한 보증 위임 대리서명 방법의 일반적인 구성을 바탕으로 색인 개념을 추가하여 원서명자가 대리서명자의 서명 횟수를 암묵적으로 제한할 수 있는 대리서명 방법을 구성하는 방법을 같이 제안한다.
본 발명은 안전성 측면에서 기존의 대리서명 방법들이 제공하지 못한 복합적인 공격 모델에 대한 안전성 증명을 제공하고자 한다. 이를 위하여 본 발명에서는 볼드례바(Boldyreva) 등이 제안한 기존의 공개키 기반 구조에서 정의되는 보 증 권한 위임 대리서명 방법에 대한 복합적인 공격 모델을 형식화하여 증명 가능한 안전성을 보장할 수 있는 방안(A. Boldyreva, A. Pacacio and B. Warinschi, Secure proxy signature schemes for delegation of signing rights, Cryptology ePrint Archive, Report 2003/096)을 개인식별정보 기반 인증모델에 적용한다. 이러한 형식 모델에 맞춰, 기존에 제안된 안전성이 증명된 개인식별정보 기반 서명 방법을 사용하여 새로운 보증 권한 위임 대리서명 방법을 설계하고, 랜덤 오라클 모델(Random oracle model)에서 그 안전성을 증명한다.
본 발명에서 제안하는 방법은 효율성 측면에서 대리서명 방법의 바탕이 되는 개인식별정보 기반 서명 방법들 중, 생성된 서명들의 안전한 병합(aggregation)을 지원하는 천정희 외 2인이 제안한 방법(이하 CKY 서명 방법, H.J. Yoon, J.H. Cheon and Y. Kim. Batch Verifications with ID-Based Signatures, ICISC 2004, LNCS 3506, Springer-Verlag, pp. 233-248, 2005)을 사용한다. 기존의 보증 위임 대리서명 방법(Delegation by Certificate Proxy Signature Scheme)에서 서명의 검증자(verifier)는 원서명자(original signer)로부터 서명 권한을 위임받은 대리서명자(proxy signer)가 생성한 대리서명의 유효성을 검증하기 위해 대리서명 자체의 검증뿐만 아니라 원서명자의 권한 위임 증거로써 대리서명과 함께 전달된 위임장에 대한 서명의 검증을 같이 수행해야 하며, 결국 두 번의 독립적인 서명 검증이 필요하게 된다. 본 발명에서는 CKY 서명 방법을 사용하여 대리서명자가 생성하는 서명과 위임장에 대한 서명을 통합한 형태의 대리서명을 생성함으로써 검증자가 한 번의 서명 검증과정으로 대리서명자의 서명과 위임장의 유효성을 함께 검증할 수 있다. 이를 통해 기존의 식별정보 기반의 대리서명 방법에 비해 짧은 서명 길이를 제공하고, 서명 검증에 필요한 계산량을 줄이는 장점을 가지고 있다.
또한, 기존의 대리서명 방법들이 허가에 의한 부분적 권한 위임(partial delegation by certificate (warrant))방식을 이용하므로 대리서명자의 개인키와는 다른 대리서명 키를 생성하는 단계가 필요한 반면에 본 발명은 대리서명자의 개인키를 그대로 대리서명키로 이용하므로 대리서명 키의 생성에 필요한 계산량을 줄이고, 원서명자가 대리서명자에게 위임장과 그에 대한 서명을 전송할 때 안전한 채널(secure channel)이 아닌 공개 채널을 이용할 수 있는 장점을 가지고 있다.
또한, 본 발명에서 제안하는 대리서명 방법은 앞에서 제안한 보증 위임 형식의 대리서명 방법에 색인(indexing)개념을 적용하여 Delos-Quisquater의 대리서명 방법이 가지는 문제점을 해결하고자 한다. 조남수 외 7인이 제안한 이 방법 (조남수, 김우환, 윤효진, 이인석, 천정희, 김태성, 진승헌, 추경균. P2P 환경의 자기평판 관리 시스템, 정보보호학회논문지, Vol.14(2), pp. 35-47, 2004)은 하나의 루트 서명(root signature)을 기준으로 루트 서명에서 사용한 난수 요소를 그대로 공유하면서 서명마다 다른 색인을 넣는 방법을 이용하여 이렇게 생성된 서명들이 색인에 따라 하나의 서명 고리를 형성하게 하는 것이다. 특히 이 방법에서는 서명자가 만일 다른 두 개의 메시지(message)에 대해 같은 색인(index)을 가지는 서명을 생성할 경우, 두 서명으로부터 서명자의 개인키를 추출할 수 있도록 함으로써 서명자가 이러한 부정을 저지르지 못하도록 암묵적으로 제한한다. 본 발명에서는 이러한 색인 개념을 제안하는 대리서명 방법에 적용하여 대리서명자의 서명 권한을 제한할 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치는, 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치에 있어서, 시스템 매개변수, 마스터 키를 생성하여 공개하고, 개인식별정보를 사용하여 하기하는 원서명수단과 대리서명수단의 공개키와 개인키 쌍을 생성하는 개인키 생성수단, 상기 생성된 개인키를 이용하여 대리서명 권한과 관련된 정보를 포함하는 위임장을 생성하고, 상기 위임장의 서명을 생성하여 전송하는 원서명수단, 상기 원서명수단의 상기 위임장의 서명과 상기 생성된 개인키를 이용하여 생성한 위임된 메시지의 서명을 합친 병합 서명 형태의 대리서명을 생성하는 대리서명수단 및 상기 공개된 시스템 매개변수와 상기 원서명수단과 상기 대리서명수단의 공개키를 이용하여 해쉬값을 계산한 후 겹선형 함수 값이 일치하는 지를 판단하여 상기 병합 서명 형태의 대리서명의 유효성을 검증하는 검증수단으로 이루어진 것을 특징으로 한다.
한편 본 발명의 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법은, 개인키 생성수단, 원서명수단, 대리서명수단 및 검증수단들을 참여자로 갖는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에 있어서, 상기 개인키 생성수단이 시스템 매개변수, 마스터 키를 생성하여 공개하는 단계, 상기 개인키 생성수단이 상기 원서명수단과 상기 대리서명수단의 개인식별정보를 이용하여 각각의 개인키를 생성하는 단계, 상기 원서명수단이 위임장을 생성하고, 위임장에 대한 전자서명을 생성하여 상기 위임장과 전자서명을 상기 대리서명수단으로 전송하여 대리서명 권한을 위임하는 단계, 상기 대리서명수단이 상기 위임장에 대한 전자서명의 유효성을 검증한 후 대리서명 키를 이용하여 대리서명을 생성하는 단계, 상기 대리서명수단이 상기 대리서명 키를 이용하여 위임된 메시지에 대하여 대리서명을 하는 단계 및 상기 검증수단이 상기 대리서명에 대한 유효성을 검증하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 겹선형 함수를 이용한 대리서명자의 서명 횟수를 제한하기 위한 개인식별정보 기반의 대리서명 방법은, 개인키 생성수단, 원서명수단, 대리서명수단 및 검증수단들을 참여자로 갖는 대리서명수단의 서명 횟수를 제한하기 위한 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에 있어서, 상기 개인키 생성수단이 시스템 매개변수를 생성하고, 개인키 생성수단의 마스터 키를 생성하는 단계, 상기 원서명수단이 대리서명수단의 서명 횟수를 제한하기 위해 대리서명수단으로부터 위임장에 대해 생성한 루트 서명을 전달받아 이 값들에 대한 서명을 생성하여 상기 대리서명수단에게 전송하는 대리서명 권한을 위임하는 단계, 상기 대리서명수단이 상기 서명된 위임장의 유효성을 검증한 후 대리서명 키를 이용하여 색인을 가지는 대리서명을 생성하는 단계, 상기 대리서명수단이 상기 대리서명 키를 이용하여 제한된 횟수 이내로 위임된 메시지에 대하여 대리서명을 하는 단계, 상기 검증수단이 상기 대리서명에 대한 유효성을 검증하는 단계 및 상기 대리서명수단이 같은 색인을 가지는 두 개의 다른 대리서명을 생성했을 경우 두 서명으로부터 대리 서명수단의 개인키를 추출할 수 있는 단계를 포함하는 것을 특징으로 한다.
도 1은 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법의 참가자간의 상호작용을 예시하는 블록도이다. 대리서명 방법은 개인키 생성자(100), 원서명자(200), 대리서명자(300) 및 검증자(400)의 주참여자를 갖는다. 여기서 본 방법의 각 참여자는 컴퓨터 시스템일 수 있으며, 임의의 종류의 통신 네트워크 또는 다른 기술에 의해 원격으로 통신할 수 있다. 참여자들 사이에 전송될 정보는 다양한 형태의 저장 매체에 저장되거나 기억될 수 있다.
도 2는 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 원서명자(200)가 대리서명자(300)에게 대리서명 권한을 위임하는 과정을 예시하는 블록도이다. 원서명자(200)는 대리서명 권한과 관련된 정보를 포함하는 위임장을 생성하고, 이에 대한 서명을 생성한 후 대리서명자(300)에게 전송한다. 대리서명자(300)는 서명 검증을 통해 위임장의 유효성을 검증한다.
도 3은 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 대리서명자(300)가 자신의 개인키를 이용하여 위임된 메시지에 대한 서명을 생성한 후, 원서명자(200)로부터 받은 위임장에 대한 서명과 합친 병합 서명(aggregate signature) 형태의 대리서명을 생성하여 검증자(400)에게 보내고, 검증자(400)는 대리서명에 대한 유효성을 검증한다.
이제 도 4를 참조하여, 본 발명에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에 대해 상세하게 설명한다. 아래 설명에서는 도 1, 도 2, 도 3에 대한 설명을 모두 포함하고 있다.
먼저 서명 방법의 기반이 되는 기본적인 내용에 대해 설명한다. G1은 생성자에 의해서 생성되는 위수가 q인 덧셈 순환군이고, G2는 동일한 위수(q)를 갖는 곱셈 순환군이다. G1의 원소 P, Q에 대해 G1의 덧셈연산은 P+Q로 표기하고, P를 n번 더한 값은 nP로 표기한다. 그러므로 G1의 형태는 {0, P, 2P, ..., (q-1)P}와 같이 표현될 수 있으며, 여기에서 0은 G1에서 정의되는 덧셈연산의 항등원을 의미한다. G1의 원소 g, h에 대해 G2의 곱셈연산은 g·h로 표기하고 g의 n차 곱은 gn으로 표기한다. 그러므로 G2의 형태는 {1, g, g2, ..., gq-1}와 같이 표현이 가능하며, 여기에서 1은 G2에서 정의되는 곱셈연산의 항등원을 의미한다. 여기서, Zq *는 0<k<q인 정수 k의 집합이라 하자. 이때 e: G1× G1 →G2는 다음의 조건을 만족시키는 겹선형 함수이다.
1. e(aP, bQ)=e(P, Q)ab를 만족하는 겹선형성
2. e(P, Q)≠1을 만족하는 P, Q∈G1의 존재성
3. 모든 P, Q∈G1에 대한 e(P, Q)계산의 효율성
실제 이러한 겹선형 함수의 효율적인 구현을 위해서 본 발명에서 G1은 초특 이 곡선(supersingular curve)의 부분군, G2는 곱셈 순환군(Fq *)를 이용하며, e는 베일쌍(Weil pairing) 또는 테이트쌍(Tate pairing)을 이용하여 생성한다.
시스템 매개변수를 생성하고 개인키 생성자(100)의 마스터 키를 생성하는 과정(단계 401)은 보네-프랭크린의 개인식별정보 기반 인증 구조를 따른다. 먼저 위수가 q인 순환군(G1과 G2)을 생성하고, 순환군(G1)의 생성자(P)와 두 순환군(G1과 G2)에서 정의되는 겹선형 함수(e: G1 ×G1 →G2)를 생성한다. G1과 G2에서 이산대수 문제는 어렵다고 가정한다. 추가로, 암호학적 해쉬함수 H1: {0,1}* →G1과 H2:{0,1} ×G1 →Zq *를 선택한다. 여기에서 {0,1}*는 임의의 길이를 가지는 비트열의 집합을 의미한다. 다음으로, 개인키 생성자(100)는 Zq *에 속하는 임의의 정수(s)를 자신의 마스터 키로 선택하고, Ppub=sP을 계산한다. 개인키 생성자(100)는 원서명자(200), 대리서명자(300) 및 검증자(400)가 공유할 params=<G1, G2, e, q, P, Ppub, H1, H2>을 시스템 매개변수로서 공개한다.
개인키 생성자(100)가 원서명자와 대리서명자 각각의 개인키를 생성해서 전달하는 과정(단계 402)도 보네-프랭크린의 개인식별정보 기반 인증 구조를 따른다. 개인키 생성자(100)는 시스템 매개변수(params)와 마스터 키, 그리고 원서명자(200)와 대리서명자(300)의 개인식별정보를 사용하여 각각의 공개키와 개인키 쌍을 생성한다. 개인식별정보(A)를 갖는 원서명자(200)의 공개키는 QA=H1(A)이고 개인키는 SA=sQA이다. 또한 개인식별정보(B)를 갖는 대리서명자(300)의 공개키는 QB=H1(B)이고 개인키는 SB=sQB이다. 개인키 생성자(100)는 원서명자(200)와 대리서명자(300)의 개인키를 안전한 채널을 통해 각 사용자에게 전송한다.
대리서명을 위한 권한 위임 과정(단계 403)에서, 원서명자(200)가 대리서명자(300)에게 서명 권한을 위임하기 위해서, 먼저 원서명자와 대리서명자의 정보 및 대리서명의 권한을 명시한 위임장(mw)을 생성한 후, CKY 서명 방법을 이용하여 위임장에 대한 서명을 생성한다. 이 과정을 상세하게 설명하면 다음과 같다. 원서명자(200)는 Zq *에 속하는 임의의 정수(r)를 선택하고 위임장에 비트열 ‘00’과 대리서명자의 개인식별정보(B)를 연접(concatenation)한 값 00∥B∥mw에 대한 서명을 생성하기 위해 UC=rP, hc=H2(00∥B∥mw, UC) 그리고 VC=rQA+hCSA를 계산하여 대리서명자(300)에게 <mw, (UC, VC)>를 전달한다. 위임장에 대리서명자의 개인식별정보(B)를 연접하는 것은 위임장을 전달받을 대리서명자를 확인하기 위한 것이고 비트열 ‘00’을 연접하는 것은 CKY 서명 방법을 위임장에 대한 서명, 대리서명자의 대리서명의 생성, 시스템의 각 사용자들이 사용하는 기본서명의 생성에 모두 사용한다고 가정하기 때문에 역할에 따라 구분하기 위한 것이다.
대리서명자(300)가 위임장의 유효성을 검증하는 단계(단계 404)에서, 대리서명자(300)는 위임장(mw)과 이에 대한 서명값(UC, VC)을 검증하기 위해서 e(P, V)와 e(QA, UC+hPpub)를 각각 계산하여 두 값이 서로 같을 경우에만 서명의 유효성을 인정한다. 위임장(mw)에 대한 서명의 유효성이 검증된 후에, 대리서명자는 대리서명 키 skp=(SB, A, B∥mw, (UC, VC))를 생성한다. 이 대리서명 키(skp)는 대리서명자만이 알고 있는 비밀정보인 개인키(SB)와 다른 공개정보 (A, B∥mw, (UC, VC))들을 포함시켜서 만든 것으로 별도의 계산을 요구하지 않는다. 여기에서 별도의 계산이 필요하지 않다는 의미는 A, B는 사용자의 개인식별정보, mw는 원서명자가 대리서명자에게 전달한 위임장, (UC, VC)는 위임장 mw에 대해 원서명자가 생성하여 주어진 메시지와 사용자 개인키를 입력으로 하여 서명기법에 의해 계산되어 나온 결과값으로 대리서명자에게 사전에 알려져 있거나 원서명자로부터 전달받은 값이다. 결국 대리서명 키(skp)에서 대리서명자가 대리서명을 자신만이 생성할 수 있도록 하기 위해서 필요한 비밀정보는 자신의 개인키(SB)가 유일하며 나머지는 서명 생성의 편의성을 위해 필요한 정보를 포함시킨 것에 불과하다.
대리서명자가 대리서명 키를 이용하여 대리서명을 생성하는 단계(단계404)에서 대리서명자(300)는 대리서명 키(skp)를 가지고 CKY 서명 방법을 이용하여 임의의 위임된 메시지(m)에 대한 서명을 생성한다. 이를 위해 대리서명자는 Zq *에 속하는 임의의 정수(k)를 선택하고, 메시지에 비트열 '01'과 위임장(mw), 그리고 대리서명자의 개인식별정보(B)를 연접(concatenation)한 01∥B∥mw∥m값에 대한 서명을 생성하기 위해 U=kP, h=H2(01∥B∥mw∥m, U) 그리고 V=kQB+hSB를 계산한다. 이어 대리서명자는 대리서명 키에 포함되어 있는 서명값(UC, VC)과 위임된 메시지에 대한 서명값(U, V)을 통합한 서명값(UC, U, VC+V)을 생성하고, (B, mw, (UC, U, VC+V))를 메시지 m에 대한 대리서명값으로 전달한다. 이러한 대리서명 계산을 위해 대리서명자가 수행하는 계산은
(1)메시지 m에 대한 CKY 서명값(U, V) 계산 및
(2)VC+V로, 대리서명 키(skp)에 포함된 모든 정보를 사용한다.
실제 대리서명 키(skp)는 대리서명자가 대리서명 계산에 필요한 모든 정보를 포함하도록 구성되어 있다.
전달받은 대리서명을 검증하는 단계(단계 405)에서 검증자(400)는 위임된 메 시지, 개인키 생성자(100)가 공개한 시스템 매개변수, 원서명자(200)와 대리서명자 (300)의 공개키 등 공개된 정보들을 이용하여 해쉬값 hC=H2(00∥B∥mw, UC)와 h=H2(01∥B∥mw∥m, U)를 계산한 후, e(P, VC+V)와 e(QA, UC+hCPpub)ㆍe(QB, U+hPpub)가 같은 값을 갖는지 확인하여 값이 같을 때에만 유효한 서명으로 인정한다.
본 발명은 위임장과 그에 대한 서명을 대리서명자에게 전달하는 과정에서 안전한 채널이 필요하지 않다. 보다 자세히 말하자면, 원서명자(200)가 <mw, (UC, VC)>를 대리서명자에게 보낼 때 공개 채널을 이용해서 보낼 수 있다. 그러므로 어떤 공격자도 위임장(mw)에 대한 서명을 얻을 수 있지만, 공격자가 대리서명자(300)와 원서명자(200)를 대신하여 메시지에 대한 대리서명을 위조하는 것은 어떠한 공개키에 대해서 CKY 서명을 위조하는 것과 같게 된다.
대리서명의 복합적인 공격모델에 대한 안전성은 CKY 서명의 안전성에 의존한다. 공격자가 암호 시스템의 모든 다른 사용자들을 포섭하고, 주어진 한 명의 정직한 사용자를 공격한다고 가정할 때, 공격자는 정직한 사용자에게 여러가지 종류의 질의를 던짐으로써 필요한 정보들을 확보하게 되고 이를 이용하여 기본서명(CKY 서명)의 위조, 공격자에게 포섭된 사용자로부터 위임받은 정직한 사용자의 대리서명 위조, 정직한 사용자로부터 위임받지 않은 사용자의 대리서명 위조를 시도하게 된다. 이러한 시도들은 앞에서 언급한 대리서명에 대한 안전성 요구조건인 검증성, 강한 위조 불가능성, 강한 식별 불가능성, 강한 거부 불가능성, 권한 남용 방지성을 이론적인 형태로 반영한 것으로 본 모델에서 제안하는 대리서명 방 법은 이러한 공격자의 서명 위조 시도가 성공할 경우 CKY 서명의 위조가 가능하다는 것을 수학적으로 증명할 수 있다. 하지만 CKY 서명 방법은 랜덤 오라클 모델(random oracle model)에서 능동 선택 평문 공격(adaptive chosen-message attacks)이라는 서명에 대한 가장 강한 공격 방법에 대해 안전하다는 것이 증명되어 있으므로 대리서명의 안전성 또한 보장할 수 있다. 이러한 사실은 대리서명을 생성하기 위한 모든 과정에서 CKY 서명 방법을 이용하기 때문에 쉽게 증명이 가능하다.
도 5는 본 발명의 바람직한 실시예에 따른 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에서 대리서명자의 서명 횟수를 제한하는 방법을 상세하게 설명한다. 서명 횟수를 제한하기 위한 방법으로 색인 개념을 넣게 되는데 이를 위해서 사용하는 기본적인 서명 방법 자체는 도 4에 나타난 기본적인 대리서명 방법의 절차를 그대로 따른다. 서명 권한의 제한을 위해서 도 4에서 변경내용이 있는 단계는 원서명자(200)가 대리서명 권한을 위임하는 단계(단계 403)와 대리서명의 생성(단계 404), 그리고 대리서명의 검증 단계(단계 405)이다.
시스템 매개변수를 생성하고 개인키 생성자(100)의 마스터 키를 생성하는 단계는 도 4의 기본적인 대리서명 방법과 마찬가지로 보네-프랭크린의 개인식별정보 기반 인증 구조를 따르지만, 새로운 해쉬함수 H3: G1 ×G1 ×N →G1가 추가로 필요하다. 이에 따라 개인키 생성자(100)는 원서명자(200), 대리서명자(300) 및 검증자(400)가 공유할 params=<G1,G2,e,q,P,Ppub,H1,H2,H3>을 시스템 매개변수로서 공개한 다.
대리서명 권한을 위임하는 단계에서 도 4에서 설명한 기본적인 대리서명 방법의 경우 원서명자가 대리서명자에게 위임장과 이에 대한 서명을 생성해서 전달하는 것으로 충분한 것에 비해, 여기서는 대리서명자가 대리서명을 생성할 때 색인을 넣어 서명 고리를 생성하기 위해 기준이 되는 루트 서명을 먼저 생성할 필요가 있다. 이를 위해, 원서명자는 대리서명자에게 대리서명의 권한을 위임하기 위해 먼저 대리서명자에게 위임장(mw)를 보내면, 대리서명자는 Zq *에 속하는 임의의 정수 kR를 선택하고 , UR=kRP, hR=H2(01∥B∥mw,U) 그리고 VR=kRQB+hRPpub을 계산하여 <mw, (UR, VR)>을 원서명자에게 다시 보낸다. 이 (UR, VR)이 서명 고리를 생성할 루트 서명의 역할을 한다. 그러면 원서명자는 대리서명자에게 00∥B∥mw∥(UR,VR)를 메시지로 하여 CKY 서명 방법에 의해 생성된 서명(UC, VC)을 보내게 된다.
대리서명자가 위임장의 유효성을 검증하는 단계에서 대리서명자는 원서명자로부터 받은 위임장과 루트 서명에 대한 서명(UC, VC)를 CKY 서명 방법의 서명검증 알고리즘을 이용하여 검증하고, 이상이 없을 때에만 대리서명 키 skp=(SB, A, B∥mw∥(U, V), (UC, VC))를 생성한다.
대리서명자가 대리서명 키를 이용하여 색인을 가지는 대리서명을 생성하는 단계에서 대리서명자는 t번째 대리서명을 생성하기 위해서 먼저 주어진 루트 서명 (UR, VR), 루트 서명의 생성 과정에서 사용한 난수 요소(kR∈Zq *), 색인(t), 위임받은 메시지(m), 그리고 대리서명자의 개인키(SB)를 이용하여 h(t)=H2(01∥B∥mw∥m, H3((UR, VR), t))와 V(t)=kRH3((UR, VR), t)+h(t)SB, 그리고 V(t)+VC를 계산한다. 대리서명자는 메시지(m)에 대한 대리서명으로 (B, mw∥(UR, VR), t, (UC, VC+V))를 전달한다.
검증자가 대리서명을 검증하는 단계에서 주어진 메시지(m)에 대한 대리서명으로 받은 (B, mw∥(UR, VR), t, (UC, VC+V))을 검증하기 위해 먼저 hC=H2(00∥B∥mw, UC)와 h(t)=H2(01∥B∥mw∥m, H3((UR, VR), t))를 계산하고, e(P, VC+V(t))와 e(QA, UC+hCPpub)ㆍe(QB, h(t)Ppub)ㆍe(UR, U(t))가 같은 값을 갖는지 확인하여 같은 값일 때에만 그 유효성을 인정한다.
만일 색인(t)이 위임장에 명시된 서명 횟수의 상한보다 크면, 검증자는 그 서명을 믿을 이유가 없다. 그러므로 대리서명자가 위임장에 명시된 대리서명 횟수의 상한값보다 작은 t번째 대리서명을 한 번 이상 생성했다고 가정하자. 그러면 같은 루트 서명으로부터 같은 색인을 가지는 두 서명의 다른 부분이 각각 V(t)=kRH3((UR, VR), t)+h(t)SB와 V(t)'=kRH3((UR, VR), t)+h(t)'SB로 나타나므로 서로 다른 해쉬값 h(t)와 h(t)'를 가지게 되고, 이 값으로부터 대리서명자의 개인키 SB=(h(t)-h(t)')-1(V(t)-V(t)')을 추출할 수 있다.
상기한 바와 같이, 본 발명에 의한 대리서명능력 제한성을 가지는 겹선형 함수를 이용한 개인식별정보 기반 대리서명 장치 및 방법은, 계산 시간과 저장 공간을 감소시키는 효율성 측면과 증명 가능한 안전성을 보장하며 대리서명자의 서명 횟수를 제한하는 것이 가능한 효과가 있다.

Claims (12)

  1. 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치에 있어서,
    시스템 매개변수, 마스터 키를 생성하여 시스템 매개변수를 공개하고, 개인식별정보를 사용하여 하기하는 원서명수단과 대리서명수단의 공개키와 개인키 쌍을 생성하는 개인키 생성수단;
    상기 개인키 생성수단에 의해 생성된 상기 개인키 쌍을 이용하여 대리서명 권한과 관련된 정보를 포함하는 위임장을 생성하고, 상기 위임장의 서명을 생성하여 전송하는 원서명수단;
    상기 원서명수단은,
    위임 관계에 관한 기술을 포함하는 위임장(mw)을 생성하는 위임장 생성 모듈;
    상기 위임장(mw)에 대한 서명(UC, VC)을 Zq *에 속하는 임의의 정수(rC)를 선택하여 UC=rCP, hC=H2(00∥B∥mw, UC) 그리고 VC=rCQA+hCSA로 계산하여 생성하고 상기 위임장(mw)에 대한 전자서명의 유효성은 e(P, VC)와 e(QA, UC+hCPpub)를 각각 계산하여 두 값이 서로 같을 때만 검증되고, 대리서명 키는 대리서명자의 개인키(SB)만을 비밀정보로 가지는 skp=(SB, A, B∥mw, (UC, VC))로 구성되는 전자서명 생성 모듈로 구성되며,
    상기 원서명수단의 상기 위임장의 서명과 상기 생성된 개인키를 이용하여 생성한 위임된 메시지의 서명을 합친 병합 서명 형태의 대리서명을 생성하는 대리서명수단; 및
    상기 공개된 시스템 매개변수와 상기 원서명수단과 상기 대리서명수단의 공개키를 이용하여 해쉬값을 계산한 후 겹선형 함수값이 일치하는 지를 판단하여 상기 병합 서명 형태의 대리서명의 유효성을 검증하는 검증수단
    으로 이루어진 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치.
    (여기서, e는 겹선형 함수이며, skp=(SB, A, B∥mw, (UC, VC))는 대리서명수단의 대리서명 키이며, Zq *은 0<k<q인 정수 k의 집합을 의미하며, P는 G1의 원소이며, QA, SA는 개인식별정보(A)를 갖는 원서명수단의 공개키, 개인키이며, H2는 암호학적 해쉬함수이다.)
  2. 삭제
  3. 삭제
  4. 제 1항에 있어서, 상기 대리서명수단은,
    상기 위임된 메시지(m)에 대하여 Zq *에 속하는 임의의 정수(k)를 선택하는 선택 모듈;
    U=kP, h=H2(01∥B∥mw∥m, U) 및 V=kQB+hSB를 계산하여 얻어진 서명(U, V)과, 원서명수단의 위임장(mw)에 대한 서명(UC, VC)을 통합하여 (UC, U, VC+V)를 생성하는 병합 서명 생성 모듈로 이루어지고,
    상기 위임된 메시지(m)에 대한 유효한 대리서명은 (B, mw, (UC, U, VC+V))인 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치.
    (여기서, Zq *은 0<k<q인 정수 k의 집합을 의미하며, B는 대리서명수단의 개인식별정보이며, QB, SB는 개인식별정보(B)를 갖는 대리서명수단의 공개키, 개인키이며, H2는 암호학적 해쉬함수이다.)
  5. 제 1항에 있어서, 상기 병합 서명 형태의 대리서명에 대한 유효성을 검증하는 검증수단에서,
    상기 병합 서명 형태의 대리서명에 대한 유효성은 해쉬값 hC=H2(00∥B∥mw, UC)와 h=H2(01∥B∥mw∥m, U)를 계산하고, e(P, VC+V)=e(QA, UC+hCPpub)ㆍe(QB, U+hPpub)을 만족할 때에만 검증되는 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 장치.
    (여기서, P는 G1의 원소이며, h, hC는 해쉬값이며, QA, QB는 각각 원서명수단, 대리서명수단의 공개키이다.)
  6. 개인키 생성수단, 원서명수단, 대리서명수단 및 검증수단들을 참여자로 갖는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에 있어서,
    상기 개인키 생성수단이 시스템 매개변수, 마스터 키를 생성하여 공개하는 공개단계;
    상기 개인키 생성수단이 상기 원서명수단과 상기 대리서명수단의 개인식별정보를 이용하여 각각의 개인키를 생성하는 개인키생성단계;
    상기 원서명수단이 위임장을 생성하고, 위임장에 대한 전자서명을 생성하여 상기 위임장과 전자서명을 상기 대리서명수단으로 전송하며, 상기 원서명수단이 상기 대리서명수단의 서명권한을 제한하기 위해서 먼저 대리서명수단에게 위임장(mw)을 보내면, 상기 대리서명수단은 Zq *에 속하는 임의의 정수(kR)를 선택하고, UR=kRP, hR=H2(01∥B∥mw∥m, U) 그리고 VR=kRQB+hRPpub을 계산한 후, 위임장(mw)과 이에 대한 루트 서명(UR, VR)을 원서명수단에게 다시 보내면, 원서명수단은 Zq *에 속하는 임의의 정수(kC)를 선택하고, UC=kCP, hC=H2(01∥B∥mw∥(UR, VR), UC) 그리고 VC=kCQB+hCPpub를 계산하여 위임장에 대한 서명(UC, VC)을 생성하여 대리서명 권한을 위임하는 위임단계와;
    상기 대리서명수단이 상기 위임장에 대한 전자서명의 유효성을 검증한 후 대리서명 키를 이용하여 대리서명을 생성하는 대리서명생성단계; 및
    상기 검증수단이 해쉬값을 계산한 후 겹선형 함수 값인 e(P, VC)와 e(QA, UC+hCPpub)를 각각 계산하여 두 값이 서로 같을 때만 검증되어 상기 대리서명에 대한 유효성을 검증하는 유효성검증단계
    를 포함하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법.
    (여기서, Zq *은 0<k<q인 정수 k의 집합을 의미하며, P는 G1의 원소이며, h, hC는 해쉬값이며, QB는 대리서명수단의 공개키이고, e는 겹선형 함수이며, skp=(SB, A, B∥mw∥(U, V), (UC, VC))는 대리서명수단의 대리서명 키임.)
  7. 삭제
  8. 삭제
  9. 제 6항에 있어서, 상기 대리서명을 생성하는 단계에서,
    상기 위임된 메시지 m에 대하여, 대리서명수단은 먼저 주어진 루트 서명(UR, VR)과 루트 서명의 생성 과정에서 사용한 난수 요소(kR∈Zq *), 색인(t)을 이용하여 h(t)=H2(01∥B∥mw∥m, H3((UR, VR), t))와 V(t)=kRH3((UR, VR), t)+h(t)SB, 그리고 V(t)+VC를 계산한 후, 대리서명으로 (B, mw∥(UR, VR), t, (UC, VC+V))를 출력하는 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법.
    (여기서, Zq *은 0<k<q인 정수 k의 집합을 의미하며, m은 위임받은 메시지이며, mw은 위임장이며, B는 대리서명수단의 개인식별정보이며, H2는 암호학적 해쉬함수이며, SB는 대리서명수단의 개인키이다.)
  10. 제 6항에 있어서, 상기 대리서명에 대한 유효성을 검증하는 단계에서,
    먼저 hC=H2(00∥B∥mw, UC)와 h(t)=H2(01∥B∥mw∥m, H3((UR, VR), t))를 계산하고, e(P, VC+V(t))=e(QA, UC+hCPpub)ㆍe(QB, h(t)Ppub)ㆍe(UR, U(t))을 만족할 때에만 검증되는 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법.
    (여기서, e는 겹선형 함수이며, h, hC는 해쉬값이며, m은 위임받은 메시지이며, mw은 위임장이며, B는 대리서명수단의 개인식별정보이며, H2는 암호학적 해쉬함수이며, t는 색인이다.)
  11. 개인키 생성수단, 원서명수단, 대리서명수단 및 검증수단들을 참여자로 갖는 대리서명수단의 서명 횟수를 제한하기 위한 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법에 있어서,
    상기 개인키 생성수단이 시스템 매개변수를 생성하고, 개인키 생성수단의 마스터 키를 생성하는 단계;
    상기 원서명수단이 대리서명수단의 서명 횟수를 제한하기 위해 대리서명수단으로부터 위임장에 대해 생성한 루트 서명을 전달받아 이 값들에 대한 서명을 생성하여 상기 대리서명수단에게 전송하는 대리서명 권한을 위임하는 단계;
    상기 대리서명수단이 상기 서명된 위임장의 유효성을 검증한 후 대리서명 키를 이용하여 색인을 가지는 대리서명을 생성하는 단계;
    상기 대리서명수단이 상기 대리서명 키를 이용하여 제한된 횟수 이내로 위임된 메시지에 대하여 대리서명을 하는 단계;
    상기 검증수단이 해쉬값을 계산한 후 겹선형 함수 값이 일치하는 지를 판단하여 상기 대리서명에 대한 유효성을 검증하는 단계; 및
    상기 대리서명수단이 같은 색인을 가지는 두 개의 다른 대리서명을 생성했을 경우 두 서명으로부터 대리서명수단의 개인키를 추출할 수 있는 단계;
    를 포함하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법.
  12. 제 11항에 있어서, 상기 대리서명 키를 이용하여 색인을 가지는 대리서명을 생성하는 단계에서,
    대리서명수단이 위임장에 명시된 대리서명 횟수의 상한값보다 작은 t번째 대리서명을 한 번 이상 생성했을 경우, 두 서명으로부터 얻을 수 있는 값인 V(t)=kRH3((UR, VR), t)+h(t)SB와 V(t)'=kRH3((UR, VR), t)+h(t)'SB, 그리고 서로 다른 해쉬값 h(t)와 h(t)'으로부터 대리서명수단의 개인키 SB=(h(t)-h(t)')-1(V(t)-V(t)')를 추출할 수 있는 것을 특징으로 하는 겹선형 함수를 이용한 개인식별정보 기반의 대리서명 방법.
    (여기서, t는 색인이며, SB는 대리서명수단의 개인키이며, h는 해쉬값이며, kR은 임의의 정수이며, V는 위임된 메시지에 대한 서명이다.)
KR1020050044242A 2004-12-14 2005-05-25 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법 KR100732233B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050044242A KR100732233B1 (ko) 2004-12-14 2005-05-25 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020040105522 2004-12-14
KR20040105522 2004-12-14
KR1020050044242A KR100732233B1 (ko) 2004-12-14 2005-05-25 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060067118A KR20060067118A (ko) 2006-06-19
KR100732233B1 true KR100732233B1 (ko) 2007-06-27

Family

ID=37161734

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050044242A KR100732233B1 (ko) 2004-12-14 2005-05-25 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100732233B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101020300B1 (ko) * 2008-02-20 2011-03-07 인하대학교 산학협력단 겹선형 사상을 이용한 전자서명 방법
CN114329618A (zh) * 2021-09-24 2022-04-12 江苏海洋大学 一种基于Mambo的代理签名方法
CN114520718B (zh) * 2022-01-19 2024-04-02 陕西师范大学 抵抗泄露攻击的基于证书的签名方法
CN114584316B (zh) * 2022-02-28 2024-06-21 广州世安智慧科技有限公司 一种面向物联网的去中心化did身份聚合验证方法及装置
CN115348033A (zh) * 2022-08-12 2022-11-15 四川启睿克科技有限公司 一种基于短身份的指定验证者代理签名方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030062402A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법
KR20030062401A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
WO2003090429A1 (en) 2002-04-15 2003-10-30 Docomo Communications Laboratories Usa, Inc. Signature schemes using bilinear mappings

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003090429A1 (en) 2002-04-15 2003-10-30 Docomo Communications Laboratories Usa, Inc. Signature schemes using bilinear mappings
KR20030062402A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법
KR20030062401A (ko) * 2003-07-04 2003-07-25 학교법인 한국정보통신학원 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Jung Hee Cheon 외 1명, Report 2004/131, Cryptography ePrint Archive (2004.05.31)

Also Published As

Publication number Publication date
KR20060067118A (ko) 2006-06-19

Similar Documents

Publication Publication Date Title
CN111342973B (zh) 一种安全的pki与ibc之间的双向异构数字签名方法
CN108989050B (zh) 一种无证书数字签名方法
US7533270B2 (en) Signature schemes using bilinear mappings
KR100581440B1 (ko) 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법
Li et al. Identity based proxy-signcryption scheme from pairings
Nalla et al. Signcryption scheme for identity-based cryptosystems
CN1108041C (zh) 运用椭圆曲线加密算法的数字签名方法
KR20030008183A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 원형서명 방법
CN104079412B (zh) 基于智能电网身份安全的无可信pkg的门限代理签名方法
CN102387019A (zh) 无证书部分盲签名方法
KR20030008182A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 방법
KR20030062401A (ko) 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법
Baek et al. Universal designated verifier signature proof (or how to efficiently prove knowledge of a signature)
Lin et al. Efficient proxy signcryption scheme with provable CCA and CMA security
KR100732233B1 (ko) 겹선형 함수를 이용한 대리서명능력 제한성을 가지는개인식별정보 기반 대리서명 장치 및 그 방법
Zhang et al. Key replacement attack on a certificateless signature scheme
Lu et al. Cryptanalysis and improvement of a certificateless proxy signature scheme from bilinear pairings
Shim Design principles of secure certificateless signature and aggregate signature schemes for IoT environments
Sahu et al. Identity‐based multi‐proxy multi‐signature scheme provably secure in random oracle model
Elkamchouchi et al. An efficient proxy signcryption scheme based on the discrete logarithm problem
Chen et al. Certificate-based proxy signature
Islam et al. Design of an efficient ID-based short designated verifier proxy signature scheme
JP3862397B2 (ja) 情報通信システム
EP1924022A2 (en) Signature schemes using bilinear mappings
Syed A New Generalized Signcryption Scheme Based on Elliptic Curves

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
AMND Amendment
J501 Disposition of invalidation of trial
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130410

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160615

Year of fee payment: 10