(D2) Alice用自己的私鑰生成對消息m的簽名(e, n, s)。
[0064](D21)Alice 計算 γ = H4 (t, n yb)。
[0065](D22)Alice 計算 u = η γ。
[0066](D23)Alice 計算 e = γ (sa+xa)。
[0067](D24)Alice 計算 n = H3(ida, idb, m, r, γ,u)。
[0068](D25)Alice 計算 s = η+n(sa+xa)modp。
[0069](D3) Alice通過公開信道將生成的密文C — (r, c, e, n, s)發送給身份為idb的接收方Bob。
[0070]E、解簽密
[0071](El)身份為idb的接收方Bob收到密文C后,計算t = s br和κ = H2 (t, xbr),恢復出明文 m = DEM.Dec ( κ,c)。
[0072](E2)Bob 計算 γ = H4(t, xbr)和 u = s γ -enmodp。
[0073](E3) Bob 計算 n’ = H3 (ida, idb, m, r, γ,u)。
[0074](E4)Bob驗證n’ = n是否成立?如果驗證不通過,Bob拒絕接收Alice發給他的密文,即密文無效;否則,接受恢復出的消息m。
[0075]實施例2
[0076]以密鑰生成中心選擇的大素數p,P為2224 - 296+1為例,基于無證書的橢圓曲線混合簽密方法步驟如下:
[0077]在本實施例的系統初始化(Al)步驟中,密鑰生成中心選擇一個大素數P,P為2224 - 296+1,有限域Fp上的同余方程γ2三13+ax+bmodp所有解(x,y) e FpXFp,連同一個無窮遠點O共同構成FpI的橢圓曲線E:y 2三X 3+ax+b,其中a,b e Fp是滿足4a 3+27bV O的常量。E(a,b)和無窮遠點O組成一個加法循環群Gp,G是群65的一個生成元。步驟Al中的其它步驟與實施例1相同。
[0078]其它步驟與實施例1相同。
[0079]實施例3
[0080]以密鑰生成中心選擇的大素數p,P為2256 - 2224+2192 +296+1為例,基于無證書的橢圓曲線混合簽密方法步驟如下:
[0081]在本實施例的系統初始化(Al)步驟中,密鑰生成中心選擇一個大素數P,P為2256 - 2224+2192 +296+1,有限域 Fp上的同余方程 γ2 三 a 3+aX+bm0dp 所有解(x,y) e FpXFp,連同一個無窮遠點O共同構成匕上的橢圓曲線E:y2= x3+ax+b,其中a,b e Fp是滿足4a3+27bV O的常量。E (a, b)和無窮遠點O組成一個加法循環群G p,G是群Gp的一個生成元。步驟Al中的其它步驟與實施例1相同。
[0082]其它步驟與實施例1相同。
[0083]實施例4
[0084]以密鑰生成中心選擇的大素數p,P為2384 - 2128 - 296+232 -1為例,基于無證書的橢圓曲線混合簽密方法步驟如下:
[0085]在本實施例的系統初始化(Al)步驟中,密鑰生成中心選擇一個大素數P,P為2384 - 2128 - 296+232 - 1,有限域 Fp上的同余方程 y 2三 X 3+ax+bmodp 所有解(x,y) e FpXFp,連同一個無窮遠點O共同構成匕上的橢圓曲線E:y2= x3+ax+b,其中a,b e Fp是滿足4a3+27bV O的常量。E (a, b)和無窮遠點O組成一個加法循環群G p,G是群Gp的一個生成元。步驟Al中的其它步驟與實施例1相同。
[0086]其它步驟與實施例1相同。
[0087]實施例5
[0088]以密鑰生成中心選擇的大素數p,P為2521 - 1為例,基于無證書的橢圓曲線混合簽密方法步驟如下:
[0089]在本實施例的系統初始化(Al)步驟中,密鑰生成中心選擇一個大素數P,P為2521 _1,有限域Fp上的同余方程y2三x3+ax+bmodp所有解(x,y) e Fp X Fp,連同一個無窮遠點O共同構成Fp上的橢圓曲線E:y X 3+ax+b,其中a,b e Fp是滿足4a 3+27bV O的常量。E (a, b)和無窮遠點O組成一個加法循環群Gp,G是群65的一個生成元。步驟Al中的其它步驟與實施例1相同。
[0090]其它步驟與實施例1相同。
[0091]本發明具有如下優點:
[0092]I)本發明采用無證書的公鑰密碼模式,沒有證書管理問題和密鑰托管問題,降低了網絡的存儲、計算和通信開銷,適合應用于資源受限的無線傳感器網絡。
[0093]2)本發明由于密鑰生成中心只生成用戶的部分公鑰和部分私鑰,發送方或接收方能驗證部分公鑰和部分私鑰的有效性,約束了密鑰生成中心的權力,而且無需安全信道。
[0094]3)本發明以輕量級橢圓曲線密碼體制為理論基礎,在計算量和通信成本上均有很大改善,適合為資源受限的無線傳感器網絡建立安全和信任體系。
[0095]4)這種基于無證書的橢圓曲線混合簽密方法能夠抵抗適應性選擇密文攻擊和適應性選擇消息攻擊。
【主權項】
1.一種基于無證書的橢圓曲線混合簽密方法,其特征在于它是由下述步驟組成: A、系統初始化 (Al)密鑰生成中心選擇一個k比特的素數P和一個定義在有限域Fp上的橢圓曲線E,G是加法循環群Gp的一個生成元; (A2)密鑰生成中心選擇密碼學安全的Hash函數H1 = H4; (A3)密鑰生成中心選擇主密鑰z e uZ/并計算系統公鑰y = zG e Gp; (A4)密鑰生成中心公開系統參數P = (Fp, E, Gp, G, I, y, H1 = H4),保密主密鑰z ; B、生成用戶的私鑰和公鑰 (BI)身份為發送方Alice隨機選擇私鑰x ae Z /并計算其公鑰y a= x aG e Gp ; (B2)身份為idb的接收方Bob隨機選擇私鑰x be Z /并計算其公鑰y b= x bG e Gp; C、生成用戶的部分公鑰和部分私鑰 (Cl)密鑰生成中心和身份為發送方Alice通過交互協議生成Alice的部分公鑰Ua和部分私鑰s a; (C2)密鑰生成中心和身份為idb的接收方Bob通過交互協議生成部分公鑰u b和部分私鑰sb; D、簽密 (Dl)身份為idj^]發送方Alice選擇一個隨機數n e Z ρ%計算r = nG,t =n (%+Hi (idb) y),K = H2 (t, n yb),c = DEM.Enc O,m); (D2) Alice用自己的私鑰生成對消息m的簽名(e, n, s); (D3) Alice通過公開信道將生成的密文C — (r, c, e, n, s)發送給身份為idb的接收方Bob ; E、解簽密 (El)身份為idb的接收方Bob收到密文C后,計算t = s br和κ = H2 (t, xbr),恢復出明文 m = DEM.Dec ( κ , c);(E2) Bob 計算 γ = H4 (t, xbr)和 u = s γ -en mod p ; (E3) Bob 計算 η’ = H3 (ida, idb, m, r, γ,u); (E4)Bob驗證η’ = n是否成立?如果驗證不通過,Bob拒絕接收Alice發給他的密文,即密文無效;否則,接受恢復出的消息m。
2.根據權利要求1所述的基于無證書的橢圓曲線混合簽密方法,其特征在于所述的步驟A2中,密碼學安全的Hash函數是:H1: {O, I}*- Zp*, H2: Gp X Gp- {O, 1} e,H3: {O, I}*2X {O, IjnXGp3-Z p%H4: {O, 1}*XGP3—Gp,其中 β 是一個數據封裝機制的對稱密鑰長度。
3.根據權利要求1所述的無基于無證書的橢圓曲線混合簽密方法,其特征在于:所述的步驟Cl中,密鑰生成中心和身份為發送方Alice通過交互協議生成Alice的部分公鑰Ua和部分私鑰s a,生成過程如下: 密鑰生成中心選擇一個隨機數lae Z/,計算Alice的部分公鑰Ua= I aG和部分私鑰Sa= ZH1QdaHlaIi1d P,密鑰生成中心計算 Ya= s aG+laya并發送(s a, ua, Ya)給 Alice,Alice通過下面等式驗證部分公鑰ua和部分私鑰\的真實性:saG = Ua-H1 (ida)y 和 saG = Ya-xauao
4.根據權利要求1所述的基于無證書的橢圓曲線混合簽密方法,其特征在于:所述的在步驟C2中,密鑰生成中心和身份為idb的接收方Bob通過交互協議生成部分公鑰u b和部分私鑰sb,生成過程如下: 密鑰生成中心選擇一個隨機數Ib e Z 計算Bob的部分公鑰Ub= I bG和部分私鑰Sb=ZH1 (idb)+lbmod P,密鑰生成中心計算 Yb= s bG+υ byb并發送(s b, ub, Yb)給 Bob,Bob 通過下面等式驗證部分公鑰Ub和部分私鑰s 真實性:sbG = Ub-H1 (idb)y 和 sbG = Yb-xbub。
5.根據權利要求1所述的基于無證書的橢圓曲線混合簽密方法,其特征在于所述的步驟D2中,Alice用自己的私鑰生成消息m的簽名,通過如下步驟實現:(D21) Alice 計算 γ = H4 (t, n yb);(D22) Alice 計算 u = η γ ;(D23)Alice 計算 e = γ (sa+xa); (D24)Alice 計算 n = H3(ida, idb, m, r, γ , u);(D25)Alice 計算 s = η +n(sa+xa)mod p ;式中 r = nG,t = n (%+Hi (idb) y)。
【專利摘要】一種基于無證書的橢圓曲線混合簽密方法,由系統初始化、生成用戶的私鑰和公鑰、生成用戶的部分公鑰和部分私鑰、簽密、解簽密步驟組成。該方法克服了傳統公鑰基礎設施中證書產生、存儲、分發、撤銷以及驗證證書的計算費用等問題,消除了身份密碼學中固有的密鑰托管問題,無需安全信道,可以同時達到保密并認證的效果,可以簽密任意長度的消息。本發明具有安全性好、運算效率高、通信成本低等優點,可用于資源受限的無線傳感器網絡。
【IPC分類】H04L9-08, H04L9-30, H04W84-18
【公開號】CN104811302
【申請號】CN201510249520
【發明人】俞惠芳, 楊波
【申請人】陜西師范大學, 青海師范大學
【公開日】2015年7月29日
【申請日】2015年5月15日