CN101051902A - 一种代理签密方法及系统 - Google Patents

Abstract

本发明提供了一种代理签密方法及系统。涉及计算机通讯及电子商务应用领域。为了解决现有技术中计算量大以及系统安全性不足的缺点，本发明提供了一种代理签密方法，所述方法包括设定系统参数、生成代理签密私钥、发送签密消息、恢复签密消息和验证代理签密的步骤。本发明还提供了一种代理签密系统，包括设定系统参数模块、生成私钥模块、生成消息签密模块、恢复消息模块和验证代理签密模块。采用本发明所述技术方案提高了运算效率，并且避免了对安全信道的依赖。

Description

一种代理签密方法及系统

技术领域

本发明涉及计算机通讯及电子商务应用领域，特别涉及一种代理签密方法及系统。

背景技术

在计算机通讯及电子商务的应用中，保密和认证是最重要的问题之一。现有技术中通常用加密的手段达到保密的目的，用数字签名的手段达到认证的目的。为了同时达到保密和认证的效果，传统的做法是先加密后签名或先签名后加密。1997年，Zheng提出了签密的概念，签密系统集签名和加密的功能于一体。假设Alice要发送一个消息m给Bob，Alice不希望Bob外的别人看到消息m，同时Alice要让Bob知道消息确实来源于Alice，签密系统能满足这种需求。与先加密后签名或先签名后加密相比，签密系统提高了通信效率，降低了运算负担。一个安全的签密系统应当能同时满足不可伪造、不可抵赖及保密的要求。不可伪造是指任何人都不能冒充Alice制造出一个有效的签密送给Bob而不被发现。不可抵赖是指Alice一旦给Bob发送了关于某个消息m的签密，以后他不能抵赖这件事情。保密性是指即使Alice和Bob间的通信在公开信道上传输，其他人也不能知道他们传输的消息明文。

在现实社会中经常会遇到代理的情况。例如，一个公司的经理要到外地出差，为了不影响公司的业务，该经理需要委托一个可靠的助手作为代理，让该助手在他出差期间可以代表他处理一些相关信件，以及在某些重要文件上签字等。

为了解决上述代理问题，代理密码学应运而生。代理密码学的概念可以运用于很多场合，当一个代理者通过某个转化得到原始者的代理私钥后就可以代表原始者去执行一些明文加密、密文解密、数字签名等操作。

1996年Mambo、Usuda和Okamto提出了代理签名的概念。在一个代理签名方案中，一个被指定的代理签名者可以代表原始签名者生成有效的代理签名。代理签名方案应满足不可否认性、可验证性、不可伪造性、可区分性等性质。同时，由于代理签名在实际应用中起着重要作用，所以代理签名一提出便受到广泛关注，国内外学者对其进行了深入的探讨与研究。1997年，S.Kim、S.Park和D.Wom将部分授权代理与证书授权代理结合起来，得到了部分授权证书代理签名。代理签名可应用到许多领域，尤其在分布式环境里，如移动代理、移动通信、网络计算、分布式网络、电子交易、电子银行、电子投票等。

如果需要代理签名的文件含有商业秘密时，仅仅代理签名是不够的，这时候还需要保密，因此需要使用代理签名和数字加密的组合。

1999年，Gamage，Leiwo和Zheng提出代理签密的概念。如同数字签名加数字加密的组合效率不如数字签密一样，代理签名和数字加密原语的组合的效率不如代理签密。因此，代理签密在电子商务等领域的应用是非常广泛的。Gamage，Leiwo和Zheng提出了一个基于离散对数难题的代理签密系统，运算效率比较高。但是，这种方法的缺点是：第一，原始发送者没有对代理发送者的身份进行限制，任何人都可以冒充是代理发送者；第二，原始发送者没有对代理发送者的权限和代理期限进行限制，代理发送者可以代表原始发送者做任何事情；第三，原始发送者也可以冒充代理发送者进行代理签密，而其他人却无法鉴别；第四，代理发送者发送一个消息后，可以抵赖自己曾经做过这件事情；第五，该系统而且还需要安全通道。

最近，基于椭圆曲线的双线性配对理论提出了一些可证安全的代理签密方案，例如，基于配对的签密方案。这个方案保证了系统的安全性，而且不需要安全通道。这个方案是基于双线性配对方法实现的，尽管人们对配对做了很多研究，但配对计算仍然需要很大的计算量，因此这类方案在现有的认识下实现的效率不高。

发明内容

为了解决现有技术中依赖安全信道的代理签密方案容易被冒充、代理签密不易验证，而脱离安全信道的代理签密方案计算量太大，效率底的缺点，本发明提供了一种代理签密方法及系统。本发明的目的是保证系统的安全性，并去除对安全信道依赖，同时提高运算效率。

本发明提供了一种代理签密方法，所述方法包括以下步骤：

步骤A：设定系统参数；

步骤B：代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；

步骤C：所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；

步骤D：接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份。

所述步骤B具体包括以下步骤：

步骤B1：原始发送者制造一个授权证书，并将所述授权证书用原始发送者的私钥加密生成代理证书，然后发送给代理发送者；

步骤B2：代理发送者收到代理证书后，根据原始发送者的公开钥验证代理证书的有效性；

步骤B3：验证通过后，代理发送者根据代理证书生成代理签密私钥。

所述步骤D具体包括以下步骤：

步骤D1：接收者收到签密消息后，根据签密消息、原始发送者的公开钥和代理发送者公开钥生成代理签密公开钥；

步骤D2：接收者用代理签密公开钥和接收者的私钥对签密消息进行解密，得到消息；

步骤D3：验证所述消息发送者的身份。

所述步骤C中生成签密消息具体实现步骤如下：

步骤C1：所述代理发送者用接收者的公钥pk_r ^k对消息m进行加密，即代理发送者选择一个随机数 $k\∈Z_q^{*},$ 其中Z_q ^*是一个乘法群，其元素包括大于等于1且小于等于q-1的所有整数，

计算t₁＝g^k mod p，

t₂＝pk_r ^k mod p；

并计算 $c=E_{H_1\left(t_2\right)}\left(m\right),$ 其中H₁(t₂)为密钥；

步骤C2：用代理签密私钥sk_pro对加密后的消息c进行签名，

计算e＝H₂(c‖t₁)和s＝k+sk_pro·e mod q，

生成签密消息(ω，r_ω，c，e，s)；

步骤C3：将所述签密消息(ω，r_ω，c，e，s)发送给接收者。

所述方法还包括以下步骤：

步骤E1：当发生争执时，接收者把代理发送者对消息的代理签名发送给第三方；

步骤E2：第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

步骤E3：所述第三方进行验证，验证通过则说明代理发送者确实发送了对消息的代理签密给接收者；否则没有发送。

本发明还提供了一种代理签密系统，所述系统包括：设定系统参数模块、生成私钥模块、生成消息签密模块和恢复消息模块；

所述设定系统参数模块用于设定系统参数；

所述生成私钥模块用于代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；

所述生成消息签密模块用于所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；

所述恢复消息模块用于接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份。

所述系统还包括验证代理签密模块；

所述验证代理签密模块用于对所述代理签密进行验证。

所述验证代理签密模块具体包括发送验证信息单元、生成代理公开钥单元和验证单元；

所述发送验证信息单元用于接收者把对消息的代理签名发送给第三方；

所述生成代理公开钥单元用于第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

所述验证单元用于第三方对所述代理签密进行验证。

本发明的有益效果是：

1、去除了对安全信道的依赖，使得代理签密体制可以实用化；

2、有效地提高了运算效率，使得本发明更容易被存储空间小、计算能力较弱的用户接受；

3、安全性得到了保障，任何人都不得冒充代理发送者进行签密，而代理发送者一旦对消息进行了签密，也不能抵赖，同时代理发送者的身份和权限受到了限制，不能对原始发送者委托外的消息实施签密。

附图说明

图1是本发明所述的代理签密方法流程图；

图2是本发明所述的代理签密系统示意图。

具体实施方式

下面将参照附图和实施例对本发明进行进一步说明，但并不作为对本发明的限定。

本发明所述技术方案涉及的实体如下：

(1)原始发送者：委托代理发送者行使签密权力的实体。

(2)代理发送者：接受原始发送者的授权，代表原始发送者向接收者发送签密消息的实体。

(3)接收者：代理发送者发送消息的接收对象。

(4)第三方：当代理发送者抵赖曾经发送了某个消息给接收者时，接收者可以向第三方出示证据，由第三方来进行裁决。

参见图1，本发明提供了一种代理签密的方法，所述方法步骤如下：

步骤A：设定系统参数；

步骤101：设定系统参数，具体设定过程如下：

首先，选择参数p，q，g，其中p是一个不小于1024比特的大素数，q是p-1的一个不小于160比特的素因子，g是Z_p ^*中的一个阶为q的元素，即g^q mod p＝1，Z_p ^*是一个乘法群，其元素包括大于等于1且小于等于p-1的所有整数；

设定(E_K(.)，D_K(.))为一对理想的对称加密/解密算法，密钥是K。

其次，选择哈希函数H₁和H₂；

$H_1:Z_p^{*}\→{\left\{\mathrm{0,1}\right\}}^{*},$ H₁是一个单向hash函数，同时这个函数是安全的，它把Z_p ^*上的一个数映射到一个任意长度的0、1字符串，该字符串为(E_k(.)，D_k(.))的密钥空间K，用作对称加密/解密算法的密钥；

$H_2:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_q^{*},$ H₂是另一个单向hash函数，它也是安全的，它把一个任意长度的0、1字符串映射到Z_q ^*，Z_q ^*是一个乘法群，其元素包括大于等于1且小于等于q-1的所有整数，m是要签密的消息， $m\∈Z_p^{*}.$

最后，选择系统中的密钥对参数，即原始发送者的密钥对(sk_os，pk_os)，其中 ${\mathrm{pk}}_{\mathrm{os}}=g^{{\mathrm{sk}}_{\mathrm{os}}}\mathrm{mod}p,$ 代理发送者的密钥对(sk_ps，pk_ps)，其中 ${\mathrm{pk}}_{\mathrm{ps}}=g^{{\mathrm{sk}}_{\mathrm{ps}}}\mathrm{mod}p,$ 和接收者的密钥对(sk_r，pk_r)，其中 ${\mathrm{pk}}_r=g^{{\mathrm{sk}}_r}\mathrm{mod}p,$ ${\mathrm{sk}}_{\mathrm{os}},{\mathrm{sk}}_{\mathrm{ps}},{\mathrm{sk}}_r\∈Z_q^{*}.$ 私钥sk是签名/解密密钥，公钥pk用于验证/加密。用(sk_pro，pk_pro)代表代理签密的密钥对，其中 ${\mathrm{pk}}_{\mathrm{pro}}=g^{{\mathrm{sk}}_{\mathrm{pro}}}\mathrm{mod}p.$ 原始发送者给代理发送者的授权证书用ω表示，字符串之间的连接用‖表示。

步骤B：代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；具体步骤如下：

步骤102：为了把签密的权力给指定代理发送者，原始发送者需要制造一个授权证书ω，ω中包含了可以代理签密的消息的范围，原始发送者和代理发送者的身份，以及代理期限。

步骤103：将授权证书ω用原始发送者的私钥加密，具体加密算法如下：

选择一个随机数 $l\∈Z_q^{*},$

计算r_ω＝g^l mod p，s_ω＝l+sk_os·H₂(ω‖r_ω)mod q，

授权证书加密后，生成代理证书(ω，r_ω，s_ω)，然后通过公开信道把代理证书(ω，r_ω，s_ω)发给代理发送者。

步骤104：代理发送者收到代理证书后，验证代理证书的有效性，即先计算e_ω＝H₂(ω‖r_ω)，

再检验等式 $g^{s_{\mathrm{\ω}}}=r_{\mathrm{\ω}}\·{\mathrm{pk}}_{\mathrm{os}}^{e_{\mathrm{\ω}}}\mathrm{mod}p$ 是否成立，如果等式成立，代理证书有效，否则无效。

步骤105：代理发送者验证代理证书有效后，根据代理证书和代理签名者的私钥生成代理签密私钥，具体计算代理签密私钥的算法为：sk_pro＝s_ω+sk_ps·H₂(ω‖r_ω)mod q。

步骤C：所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；具体步骤如下：

步骤106：代理发送者对原始发送者的消息m∈{0，1}^*进行签密，并将签密消息发送给接收者，具体过程为：

首先，代理发送者用接收者的公钥对消息进行加密，即

代理发送者选择一个随机数 $k\∈Z_q^{*},$

计算t₁＝g^k mod p，

t₂＝pk_r ^k mod p；

并计算生成加密消息 $c=E_{H_1\left(t_2\right)}\left(m\right),$ 其中H₁(t₂)为密钥K的具体值。

然后，用代理签密私钥对加密消息c进行签名，

计算e＝H₂(c‖t₁)和s＝k+sk_pro·e mod q，

生成签密消息(ω，r_ω，c，e，s)；

最后，通过公开信道将签密消息(ω，r_ω，c，e，s)发送给接收者。

步骤D：接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份；具体步骤如下：

步骤107：接收者接收到签密消息(ω，r_ω，c，e，s)后，首先生成代理签密公开钥

${\mathrm{pk}}_{\mathrm{pro}}={({\mathrm{pk}}_{\mathrm{os}}\·{\mathrm{pk}}_{\mathrm{ps}})}^{H_2\left(\mathrm{\ω}\right|\left|r_{\mathrm{\ω}}\right)}\·r_{\mathrm{\ω}}\mathrm{mod}p;$

然后用代理签密公开钥和接收者的私钥对签密消息进行解密，计算

$t_1=g^s\·{\mathrm{pk}}_{\mathrm{pro}}^{-e}\mathrm{mod}p,$

$t_2=t_1^{{\mathrm{sk}}_r}\mathrm{mod}p;$

通过公式 $m=E_{H_1\left(t_2\right)}\left(c\right),$ 恢复消息m。

然后检验e＝H₂(c‖t₁)是否成立，若成立，则说明对消息m的代理签密的发送者确实是所述代理发送者；否则不是。

步骤E：对所述代理签密进行验证；具体步骤如下：

步骤108：当发生争执时，需要验证代理签密，这时接收者把代理发送者对消息m的代理签名(m，H₁(t₂)，w，r_w，c，e，s)传送给第三方。

步骤109：第三方收到代理发送者对消息m的代理签名(m，H₁(t₂)，w，r_w，c，e，s)后，生成代理签密公开钥 ${\mathrm{pk}}_{\mathrm{pro}}={({\mathrm{pk}}_{\mathrm{os}}\·{\mathrm{pk}}_{\mathrm{ps}})}^{H_2\left(\mathrm{\ω}\right|\left|r_{\mathrm{\ω}}\right)}\·r_{\mathrm{\ω}}\mathrm{pod\; p};$

用代理签密公开钥对消息的代理签名进行变换，得到 $t_1=g^s\·{\mathrm{pk}}_{\mathrm{pro}}^{-e}\mathrm{mod}p.$

步骤110：验证等式e＝H₂(c‖t₁)是否成立，如果成立，再验证 $m=E_{H_1\left(t_2\right)}\left(c\right)$ 是否成立，两式都成立，则说明代理发送者确实发送了对消息m的代理签密给接收者。

参见图2，本发明还提供了一种代理签密系统，所述系统包括：设定系统参数模块、生成私钥模块、生成消息签密模块和恢复消息模块；

所述设定系统参数模块用于设定系统参数；

所述生成私钥模块用于代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；

所述生成消息签密模块用于所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；

所述恢复消息模块用于接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份。

所述系统还包括验证代理签密模块；

所述验证代理签密模块用于对所述代理签密进行验证。

所述验证代理签密模块具体包括发送验证信息单元、生成代理公开钥单元和验证单元；

所述发送验证信息单元用于接收者把对消息的代理签名发送给第三方；

所述生成代理公开钥单元用于第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

所述验证单元用于第三方对所述代理签密进行验证。

以上只是本发明的优选实施方式进行了描述，本领域的技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。

Claims (10)

1.一种代理签密方法，其特征在于，所述方法包括以下步骤：

步骤A：设定系统参数；

步骤B：代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；

步骤C：所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；

步骤D：接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份。

2.如权利要求1所述的一种代理签密方法，其特征在于，所述步骤B具体包括以下步骤：

步骤B1：原始发送者制造一个授权证书，并将所述授权证书用原始发送者的私钥加密生成代理证书，然后发送给代理发送者；

步骤B2：代理发送者收到代理证书后，根据原始发送者的公开钥验证代理证书的有效性；

步骤B3：验证通过后，代理发送者根据代理证书生成代理签密私钥。

3.如权利要求1或2所述的一种代理签密方法，其特征在于，所述步骤C具体包括以下步骤：

步骤C1：所述代理发送者用接收者的公钥pk_r ^k对消息m进行加密，即

代理发送者选择一个随机数 $k\∈Z_q^{*},$ 其中Z_q ^*是一个乘法群，其元素包括大于等于1且小于等于q-1的所有整数，

计算t₁＝g^k mod p，

    t₂＝pk_r ^k mod p；

并计算加密消息 $c=E_{H_1\left(t_2\right)}\left(m\right),$ 其中H₁(t₂)为密钥；

步骤C2：用代理签密私钥sk_pro对加密消息c进行签名，

计算e＝H₂(c‖t₁)和s＝k+sk_pro·e mod q，

生成签密消息(ω，r_ω，c，e，s)；

步骤C3：将所述签密消息(ω，r_ω，c，e，s)发送给接收者。

4.如权利要求1或2所述的一种代理签密方法，其特征在于，所述步骤D具体包括以下步骤：

步骤D1：接收者收到签密消息后，根据签密消息、原始发送者的公开钥和代理发送者公开钥生成代理签密公开钥；

步骤D2：接收者用代理签密公开钥和接收者的私钥对签密消息进行解密，得到消息；

步骤D3：验证所述消息发送者的身份。

5.如权利要求3所述的一种代理签密方法，其特征在于，所述步骤D具体包括以下步骤：

步骤D1：接收者收到签密消息后，根据签密消息、原始发送者的公开钥和代理发送者公开钥生成代理签密公开钥；

步骤D2：接收者用代理签密公开钥和接收者的私钥对签密消息进行解密，得到消息；

步骤D3：验证所述消息发送者的身份。

6.如权利要求1或2所述的一种代理签密方法，其特征在于，所述方法还包括以下步骤：

步骤E1：当发生争执时，接收者把代理发送者对消息的代理签名发送给第三方；

步骤E2：第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

步骤E3：所述第三方进行验证，验证通过则说明代理发送者确实发送了对消息的代理签密给接收者；否则没有发送。

7.如权利要求4所述的一种代理签密方法，其特征在于，所述方法还包括以下步骤：

步骤E1：当发生争执时，接收者把代理发送者对消息的代理签名发送给第三方；

步骤E2：第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

步骤E3：所述第三方进行验证，验证通过则说明代理发送者确实发送了对消息的代理签密给接收者；否则没有发送。

8.一种代理签密系统，其特征在于，所述系统包括：设定系统参数模块、生成私钥模块、生成消息签密模块和恢复消息模块；

所述设定系统参数模块用于设定系统参数；

所述生成私钥模块用于代理发送者根据系统参数、代理发送者的私钥以及原始发送者生成的代理证书生成代理签密私钥；

所述生成消息签密模块用于所述代理发送者根据接收者的公钥和所述代理签密私钥生成签密消息，并将所述签密消息发送给接收者；

所述恢复消息模块用于接收者对所述签密消息进行解密，恢复消息，并验证所述消息发送者的身份。

9.如权利要求8所述的一种代理签密系统，其特征在于，所述系统还包括验证代理签密模块；

所述验证代理签密模块用于对所述代理签密进行验证。

10.如权利要求9所述的一种代理签密系统，其特征在于，所述验证代理签密模块具体包括发送验证信息单元、生成代理公开钥单元和验证单元；

所述发送验证信息单元用于接收者把对消息的代理签名发送给第三方；

所述生成代理公开钥单元用于第三方收到代理发送者对消息的代理签名后，生成代理签密公开钥，并用所述代理公开钥对加密消息进行变换；

所述验证单元用于第三方对所述代理签密进行验证。

Images