CN104579661A

CN104579661A - 基于身份的电子签章的实现方法和装置

Info

Publication number: CN104579661A
Application number: CN201310495661.1A
Authority: CN
Inventors: 张庆胜; 郭宝安; 徐树民; 孟小虎; 罗世新; 苏斌; 王永宝
Original assignee: Aisino Corp
Current assignee: Aisino Corp
Priority date: 2013-10-21
Filing date: 2013-10-21
Publication date: 2015-04-29
Anticipated expiration: 2033-10-21
Also published as: CN104579661B

Abstract

本发明实施例提供了一种基于身份电子签章的实现方法和装置。该方法主要包括四个步骤：生成系统公共参数；生成用户的公私钥对；利用签章者的私钥对消息报文进行电子签章操作；根据所述系统公开参数和签章者的公钥对消息报文的签章进行验章操作。该装置主要包括：系统参数生成模块，用户私钥生成模块，签章模块和验章模块。本发明实施例中的电子文档的数字签名的长度仅仅为椭圆曲线点的横坐标，短于现有基于身份签章方法的签名消息长度，增加了系统运行的吞吐量，适合于带宽受限的通讯环境，从而实现了有效地将基于身份密码技术应用于电子签章中。

Description

基于身份的电子签章的实现方法和装置

技术领域

本发明涉及电子签章技术领域，尤其涉及一种基于身份的电子签章的实现方法和装置。

背景技术

随着公钥密钥技术的广泛使用，数字签名技术成为网络数据传输的真实性、完整性和不可否认性的重要保证。在传统的纸质办公过程中，采用签字盖章的方式来对文件内容进行确认或审核。将签字或印章的图像与用户私钥绑定，形成电子印章，利用电子印章对电子文档实施数字签名操作，以实现签字或印章图像与数字签名的有效融合。

Shamir在1984年提出了一种新的密码体制——基于身份的公钥密码体制，其主要特性是在这一密码体制下，公钥可以为任意字符串。于是我们可以将某一实体的身份信息直接作为其公钥，从而绕开了公钥和其持有者身份的绑定问题，这会极大地减化了传统PKI（PublicKeyInfrastructure，公钥基础设施）中CA（Certification Authority，认证管理机构）对用户证书进行的复杂管理。

基于身份的公钥加密体制的亮点就是直接利用用户的身份信息作为用户的公钥，这样任何人都可以直接利用用户的身份信息直接加密明文，省去了公钥的认证步骤，也省去了CA对公钥证书的繁琐管理。自Shamir于1984年提出基于身份加密的思想以来，直到2001年，真正实用的系统才由Boneh和Franklin以及Cocks开发出来。Boneh和Franklin提出了第一个基于身份的可证安全的加密方案，他们的方案基于BDHC（Bilinear Diffie-HellmanComputational）问题。在BDHC问题是困难的假设下，证明了该方案是选择密文安全的（即在适应性选择密文攻击下是语义安全的）。

自Boneh和Franklin的开创性工作以来，几乎所有的基于身份的公钥加密体制都是基于双线性配对的，现对双线性配对的概念进行说明：

双线性配对：设G1和G2是阶为q的循环加法群，G1的生成元为P1，G2的生成元为P2，GT为具有相同阶q的循环乘法群，其中q是一个至少160比特的大素数。假设G1、G2和GT这三个群中的离散对数问题都是困难问题。双线性配对是一个从集合G₁×G₂到集合GT的一个映射，表示为ê:G₁×G₂→G_T，该映射具有如下性质：

双线性：对于任意g1∈G₁，g2∈G₂和任意的整数a，b∈Zp*，有ê(g₁ ^a,g₂ ^b)＝ê(g₁,g₂)^ab；

非退化性：存在g1∈G₁，g2∈G₂使得ê(g₁,g₂)≠1；

可计算性：对任意的g1∈G₁，g2∈G₂，都可以快速地计算ê(g₁,g₂)的值。

基于身份的公钥加密体制都有一个PKG（Prviate Key Generator，用户私钥生成中心），PKG管理所有的用户，并向用户提供在线服务。对于每一个向PKG提交身份信息进行私钥查询的用户，该PKG首先负责对用户进行认证，用户认证通过后，PKG为用户生成与身份信息相对应的私钥，并经过安全信道向用户发放私钥。

当收到用户A针对某电子文档的电子印章时，用户B可以利用A的身份信息ID_A对签名信息直接离线验证，而无需像传统的PKI中先通过CA得到用户A的公钥证书，并验证证书的合法性和有效性后才能利用用户A的公钥对签名消息进行验证。

为了将基于身份密码技术应用于电子签章中，国内有专家学者进行了有益尝试，比较有代表性的有：

李刚，顾永跟在《计算机应用与软件》2009年6月刊（第26卷第6期）发表的文献1：《基于身份的电子印章设计与实现》；

刘宏伟在《计算机工程与设计》2008年4月刊（第29卷第7期）发表的文献2：《基于身份的数字签名系统设计研究》；

上述文献1和文献2的方案的缺点为签名信息过长，如文献1中的签名信息长度是4n，文献2的签名信息长度是2n，其中n是有限域F_p的位长，这样在资源受限的背景下，上述文献1和文献2的方案的使用就受到很大局限性。

发明内容

本发明的实施例提供了一种基于身份的电子签章的实现方法，以实现有效地将基于身份的密码技术应用于电子签章中。

本发明提供了如下方案：

一种基于身份的电子签章的实现方法，包括：

选定安全椭圆曲线，定义有限域F_p上椭圆曲线E的方程：y²=x³+ax+b，其中，a,b为设定的参数，p、q为设定的大素数，曲线E的阶#E(F_p)=cf*q，其中cf为余因子，q是生成元P₁的阶，q>2¹⁹¹，曲线E(F_p)相对于q的嵌入次数为k，要求p^k>2¹⁵³⁶，对于q阶循环加法群G₁和G₂，以及循环乘法群G_T，定义双线性映射ê:G₁×G₂→G_T，其中P₁是G₁的生成元，P₂是G₂的生成元；

H₁：{0,1}^*→G₁，是一个单向hash函数，把一个任意长度0、1字符串映射到G₁上椭圆曲线的一个点；

是一个单向Hash函数；

用户私钥生成中心PKG保密主密钥s，公开系统参数{p,q,E,k,G₁,P₁,G₂,P₂,P_pub,G_T,ê,H₁,H₂}，其中P_pub=s*P₂∈G₂。

PKG设定用户私钥更新的周期Time，将印章上文字作为用户标识ID，将用户标识和更新时间进行联接，通过对H₁求哈希获取用户公钥Q_ID：

Q_ID=H₁（ID||Time）∈G₁

根据用户公钥Q_ID计算得到个人用户的私钥

d_ID=s Q_ID∈G₁。

所述的方法还包括：

签章用户选择随机数r∈Z_q ^*，计算U=rP₂，所述Z_q ^*表示1～(q-1)范围内的整数，签章用户将所述U发布；

计算h＝H₂(m)，所述m为需要做电子签章的电子文档；

计算T＝d_ID/(r+h)，所述d_ID为所述签章用户的私钥；

所述签章用户将T的横坐标x作为对电子文档m的数字签名，将所述数字签名信息嵌入到所述签章用户的公章图像中得到电子签章，将所述电子签章设置到所述电子文档m中。

所述的方法还包括：

接收用户接收到所述电子文档m后，从所述电子文档m中的电子签章中提取出数字签名x；

所述接收用户计算g₁＝ê(Q_ID,P_pub)，计算h＝H₂(m)，根据横坐标x计算得到曲线上的点T’，计算g₂＝ê(T',U+hP₂)；

若g₂=g₁或g₂=g₁ ^-1，则确定所述电子文档m的电子签章正确；否则，确定所述电子文档m的电子签章不正确。

一种基于身份的电子签章的实现装置，包括：

系统参数生成模块，用于选定安全椭圆曲线，定义有限域F_p上椭圆曲线E的方程：y²=x³+ax+b，其中，a,b为设定的参数，p、q为设定的大素数，曲线E的阶#E(F_p)=cf*q，其中cf为余因子，q是生成元P₁的阶，q>2¹⁹¹，曲线E(F_p)相对于q的嵌入次数为k，要求p^k>2¹⁵³⁶，对于q阶循环加法群G₁和G₂，以及循环乘法群GT，定义双线性映射ê:G₁×G₂→G_T，其中P₁是G₁的生成元，P₂是G₂的生成元；

是一个单向Hash函数；

所述的装置还包括：

用户私钥生成模块，用于通过PKG设定用户私钥更新的周期Time，将印章上文字作为用户标识ID，将用户标识和更新时间进行联接，通过对H₁求哈希获取用户公钥Q_ID：

Q_ID=H₁（ID||Time）∈G₁

根据用户公钥Q_ID计算得到个人用户的私钥

d_ID=s Q_ID∈G₁。

所述的装置还包括：

签章模块，用于通过签章用户选择随机数r∈Z_q ^*，计算U=rP₂，所述Z_q ^*表示1～(q-1)范围内的整数，签章用户将所述U发布；

计算h＝H₂(m)，所述m为需要做电子签章的电子文档；

计算T＝d_ID/(r+h)，所述d_ID为所述签章用户的私钥；

将T的横坐标x作为对电子文档m的数字签名，将所述数字签名信息嵌入到所述签章用户的公章图像中得到电子签章，将所述电子签章设置到所述电子文档m中。

所述的装置还包括：

验章模块，用于通过接收用户接收到所述电子文档m后，从所述电子文档m中的电子签章中提取出数字签名x；

计算g₁＝ê(Q_ID,P_pub)，计算h＝H₂(m)，根据横坐标x计算得到曲线上的点T’，计算g₂＝ê(T',U+hP₂)；

由上述本发明的实施例提供的技术方案可以看出，本发明实施例中的电子文档的数字签名的长度仅仅为椭圆曲线点的横坐标，短于现有基于身份签章方法的签名消息长度，增加了系统运行的吞吐量，适合于带宽受限的通讯环境，从而实现了有效地将基于身份密码技术应用于电子签章中。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种基于身份电子签章的实现方法的处理流程图；

图2为本发明实施例二提供的一种基于身份的电子签章的实现装置200的结构示意图，图中，系统参数生成模块210，用户私钥生成模块220，签章模块230、验章模块240。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

电子签章，泛指所有以电子形式存在，依附在电子文件并与其逻辑关联，可用以辨识电子文件签署者身份，保证文件的完整性，并表示签署者同意电子文件所陈述事实的内容。电子签章是电子签名的一种表现形式，利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。

实施例一

该实施例提供了一种基于身份的电子签章的实现方法的处理流程如图1所示，包括如下的处理步骤：

步骤S110、生成并发布系统参数。

选定安全椭圆曲线。定义有限域F_p上椭圆曲线E的方程：y²=x³+ax+b，其中p是一个大素数，曲线E的阶#E(F_p)=cf*q，其中cf为余因子，q是生成元P₁的阶，q>2¹⁹¹，为一个大素数，曲线E(F_p)相对于q的嵌入次数为k，要求p^k>2¹⁵³⁶，选择安全的哈希函数H₁和H₂。

G₁和G₂为E(F_p)上的q阶循环加法群，对于q阶循环加法群G₁和G₂，以及循环乘法群G_T，定义双线性映射ê:G₁×G₂→G_T。其中P₁是G₁的生成元，P₂是G₂的生成元。

H₁：{0,1}^*→G₁，H₁是一个单向hash函数，同时这个函数是安全的，它把表示用户身份信息的一个任意长度的0、1字符串映射到G₁上椭圆曲线E的一个点。

目前国密的SM3和SHA-256都是此类的安全哈希函数。H₂也是一个单向Hash函数，它也是安全的，它把一个任意长度的0、1字符串映射到是一个有限域，其元素包括大于等于1且小于等于p-1的所有整数。

PKG选取随机数s作为主密钥，保存主密钥s，公开系统参数{p,q,E,k,G₁,P₁,G₂,P₂,P_pub,G_T,ê,H₁,H₂}，其中P_pub=s*P₂∈G₂。

示例性的，本发明实施例选择256比特位的适合配对运算的BN（Barreto-Naehrig Curves）曲线，曲线参数为：

p=82434016654303721335979903895059482290473195976274097109073614432113582445043

q=82434016654303721335979903895059482290186082729184549321130475026491214041389

cf=82434016654303721335979903895059482290760309223363644897016753837735950848697

生成元P₁和P₂分别为:

P₁:(1,2)

P₂:([35420530238889438404312183663866901625841844378917696917599232645378695835887,70757011310422602381698514071812716140231309101461259201005676988363160802702],49617093586502984492196035998262522147253206535684763462252780072872583036811,57788542054694434958167445267937712443623204301592355323940829573624035858700])

主密钥s（保密）和公共参数P_pub分别为：

s:7756851799859271770659627899150600541371975756718058009081939427119871874481

P_pub:([5010521210418998152314445187834278425375145002982646941207027287351530800206,19892274520276352126014579995917406029781992155848970349129619303569629987328],2289442668584886323100784904626988439585191643240663002686388182645927346262,71581844932169397456792025274839044580908693792888753994326463955304226961854])

G₁是E(F_p):y²=x³+3上的循环加法群

G₂是上的循环加法群，其中ξ＝-8+8i,

G_T是上的循环乘法群；

上，其中ê是Ate配对

H₁：{0,1}^*→G₁具体确定如下：

1）给定M∈{0,1}*，设定i←0，“←”表示赋值的意思；

2）设定(x,b)←sha-1(i||M)，这里x是计算的横坐标，b是确定纵坐标的二进制比特位，sha-1表示国际标准哈希算法，设其计算结果的二进制比特位数为n，则最后一个二进制比特位为b，前面n-1个二进制比特位为x。

3）根据方程y²=f(x)，及x横坐标，计算得到两个平方根y值y₀和y₁，根据2）中b的二进制比特值，确定G₁上的点P_M’(x,y_b)；

4）计算P_M=cf*P_M’。若P_M≠0，即输出与M对应的G₁上的点P_M，否则转5）。

5）将变量i自加1，转2）；

H₂选取国密的SM3哈希算法。

步骤S120、PKG生成签章用户的私钥。

PKG设定用户私钥更新的周期Time，如设定为“年”，私钥就按年更新，设定为“月”，私钥就按月更新。

将印章上文字作为用户标识ID，如“航天信息股份有限公司”，将用户标识和更新时间进行联接，则通过对H₁求哈希得到用户公钥Q_ID，如：

Q_ID=H₁（ID||Time）∈G₁，

上面公式中的||表示连接的意思

根据用户公钥Q_ID计算得到用户私钥：

d_ID=s Q_ID∈G₁

步骤S130、签章用户生成电子文档m的数字签名，将数字签名信息嵌入到自己的公章图像中得到电子签章，将所述电子签章设置到所述电子文档m中。

用户自己选择随机数r∈Z_q ^*所述Z_q ^*表示1～(q-1)范围内的整数，所述q为设定的大素数。用户计算U=r P₂，将U通过广播的方式分发给其他用户。

计算h＝H₂(m)；

计算T＝d_ID/(r+h)；

将T的横坐标x作为对电子文档m的数字签名，签章用户将数字签名信息嵌入到签章用户的公章图像中得到电子签章，将所述电子签章设置到所述电子文档m中，再将所述电子文档m发送出去。

步骤S140、其他用户对所述电子文档m的电子签章进行验章操作。

接收电子文档m，并从电子文档m中的电子签章中提取出数字签名x；

计算g₁＝ê(Q_ID,P_pub)；

计算h＝H₂(m)；

根据横坐标x计算得到曲线上的点T’；

计算g₂＝ê(T',U+hP₂)；

证明：

根据曲线E的方程y²=f(x)=x³+ax+b可知(x,y)和(x,-y)都是曲线上的点，因而：

T’=T或T’=-T，取T’=T，则：

g₂＝ê(T',U+hP₂)=ê(T,U+hP₂)=ê(T,rP₂+hP₂)=ê(d_ID/(r+h),(r+h)P₂)

=ê(d_ID,P₂)=ê(sQ_ID,P₂)=ê(Q_ID,sP₂)=ê(Q_ID,P_pub)=g₁

或取T’=-T，则：

g₂＝ê(T',U+hP₂)=ê(-T,U+hP₂)=g₁ ^-1证毕。

实施例二

该实施例提供了一种基于身份的电子签章的实现装置200，其具体实现结构如图2所示，具体可以包括如下的模块：

系统参数生成模块210，用于选定安全椭圆曲线，定义有限域F_p上椭圆曲线E的方程：y²=x³+ax+b，其中，a,b为设定的参数，p、q为设定的大素数，曲线E的阶#E(F_p)=cf*q，其中cf为余因子，q是生成元P₁的阶，q>2¹⁹¹，曲线E(F_p)相对于q的嵌入次数为k，要求p^k>2¹⁵³⁶，对于q阶循环加法群G₁和G₂，以及循环乘法群G_T，定义双线性映射ê:G₁×G₂→G_T，其中P₁是G₁的生成元，P₂是G₂的生成元；

是一个单向Hash函数，所述是一个有限域，其元素包括大于等于1且小于等于p-1的所有整数；

PKG保密主密钥s，公开系统参数{p,q,E,k,G₁,P₁,G₂,P₂,P_pub,G_T,ê,H₁,H₂}，其中P_pub=s*P₂∈G₂。

用户私钥生成模块220，用于通过PKG设定用户私钥更新的周期Time，将印章上文字作为用户标识ID，将用户标识和更新时间进行联接，通过对H₁求哈希获取用户公钥Q_ID：

Q_ID=H₁（ID||Time）∈G₁

根据用户公钥Q_ID计算得到个人用户的私钥

d_ID=s Q_ID∈G₁。

签章模块230，用于通过签章用户选择随机数r∈Z_q ^*，计算U=rP₂，所述Z_q ^*表示1～(q-1)范围内的整数，签章用户将所述U发布；

计算h＝H₂(m)，所述m为需要做电子签章的电子文档；

计算T＝d_ID/(r+h)，所述d_ID为所述签章用户的私钥；

验章模块240，用于通过接收用户接收到所述电子文档m后，从所述电子文档m中的电子签章中提取出数字签名x；

用本发明实施例的装置进行基于身份的电子签章的具体过程与前述方法实施例类似，此处不再赘述。

综上所述，本发明实施例中的电子文档的数字签名的长度仅仅为椭圆曲线点的横坐标，短于现有基于身份签章方法的签名消息长度，增加了系统运行的吞吐量，适合于带宽受限的通讯环境，从而实现了有效地将基于身份的密码技术应用于电子签章中。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种基于身份的电子签章的实现方法，其特征在于，包括：

是一个单向Hash函数；

2.根据权利要求1所述的基于身份的电子签章的实现方法，其特征在于，所述的方法还包括：

Q_ID=H₁（ID||Time）∈G₁

根据用户公钥Q_ID计算得到个人用户的私钥

d_ID=s Q_ID∈G₁。

3.根据权利要求2所述的基于身份的电子签章的实现方法，其特征在于，所述的方法还包括：

计算h＝H₂(m)，所述m为需要做电子签章的电子文档；

计算T＝d_ID/(r+h)，所述d_ID为所述签章用户的私钥；

4.根据权利要求3所述的基于身份的电子签章的实现方法，其特征在于，所述的方法还包括：

5.一种基于身份的电子签章的实现装置，其特征在于，包括：

系统参数生成模块，用于选定安全椭圆曲线，定义有限域F_p上椭圆曲线E的方程：y²=x³+ax+b，其中，a,b为设定的参数，p、q为设定的大素数，曲线E的阶#E(F_p)=cf*q，其中cf为余因子，q是生成元P₁的阶，q>2¹⁹¹，曲线E(F_p)相对于q的嵌入次数为k，要求p^k>2¹⁵³⁶，对于q阶循环加法群G₁和G₂，以及循环乘法群G_T，定义双线性映射ê:G₁×G₂→G_T，其中P₁是G₁的生成元，P₂是G₂的生成元；

是一个单向Hash函数；

6.根据权利要求5所述的基于身份的电子签章的实现装置，其特征在于，所述的装置还包括：

Q_ID=H₁（ID||Time）∈G₁

根据用户公钥Q_ID计算得到个人用户的私钥

d_ID=s Q_ID∈G₁。

7.根据权利要求6所述的基于身份的电子签章的实现装置，其特征在于，所述的装置还包括：

签章模块，用于通过签章用户选择随机数r∈Z_q ^*，计算U=rP2，所述Z_q ^*表示1～(q-1)范围内的整数，签章用户将所述U发布；

计算h＝H₂(m)，所述m为需要做电子签章的电子文档；

计算T＝d_ID/(r+h)，所述d_ID为所述签章用户的私钥；

8.根据权利要求7所述的基于身份的电子签章的实现装置，其特征在于，所述的装置还包括：