[发明专利]入侵回弹的不可拆分数字签名方法

权利要求书

1.一种入侵回弹的不可拆分数字签名方法，其特征在于，它包括十一个步骤具体如下：

步骤1.在一台权威认证的可信机构服务器Server上，根据规定好的安全级别下输入需要的安全指数k，算法1，生成全局参数并输出公共参数和轮常数链，算法定义如下：

算法1，密钥生成算法IRKGen(1^k)：

1.1.输入总共的时间片段数T和1^k，为自然数，为一个安全参数，算法首先生成全局参数：Ω中均是阶为q的乘法循环群；G、P是各自的固定生成元；是一个线性映射，将中的元素先做笛卡儿积，然后映射到中的元素上；和是两个哈希映射，作用是将任意二进制数值分别映射到和上，其中是以质数q为阶且无零元的整数加法群；

1.2.调用任一基于离散对数的数字签名方案中的密钥生成算法KG生成两对公钥、私钥对：PK,sk←KG(1^k)以及〈PK*,sk*←KG(1^k)；其中，PK＝G^sk,PK*＝G^sk*，G是群的生成元；

1.3.从BLS签名方案的密钥池D中均匀随机地选一个初始密钥元素：

1.4.调用BLS签名方案中的任一指数运算计算初始时间段内t＝1的轮常数：R⁽¹⁾←G^k(t)；

1.5.循环计算其他时间段内的轮常数：k^(t)←H₁(k^(t-1)),并删除所有轮的密钥元素，并生成轮常数链R＝R⁽¹⁾,…,R^(T)；

1.6.以sk为私钥调用BLS签名算法Sign为R和PK*签名：σ_pub＝(H₂(R,PK*))^sk，并删除签名所用的私钥sk，输出公共参数R,PK,PK*及签名σ_pub；

1.7.将另一私钥sk*发送给基地；

步骤2.随后基地算法2输入当前时间片t、链R和私钥sk*，然后算法2，实现基地的密钥升级，输出当前时间段的初始基地密钥SKB_t,0，其定义如下：

算法2，基地密钥升级算法UB：

2.1.输入t，R，从R中读取当前时间段的轮常数：R^(t)←R；

2.2.调用密钥生成算法KG生成当前时间段内的公钥、私钥对：PK_t,sk_t←KG(1^k)，其中

2.3.以sk*为私钥调用BLS签名算法Sign构造当前时间段的签名：σ_t＝(H₂(t,PK_t)+R^(t))^sk*，其中R^(t)用来与H₂(t,PK_t)相加；

2.4.生成当前时间段内的公钥证书CERT_t＝σ_t,t,PK_t以及当前时间段t的初始基地密钥SKB_t,0＝⊥,sk_t；

2.5.删除前一时间段的初始基地密钥SKB_t-1,0，并发送密钥升级消息SKU_t-1＝CERT_t给客户端进行下一步；

步骤3.客户端为签名者，接收到密钥升级消息SKU_t-1，将其作为算法3的输入，初始化当前时间段的签名密钥，其定义如下：

算法3，签名密钥升级算法US：

3.1.输入密钥升级消息SKU_t-1；

3.2.输出时间段t内的初始签名密钥SKS_t,0＝⊥,SKU_t-1，删除前一时间段的初始签名密钥SKS_t-1,0；

步骤4.基地，再次通过向算法4输入当前时间片t，当前轮数r，表示某时间段t内，基地密钥刷新算法和签名密钥刷新算法各要运行Round(t)次，以及前一轮的基地密钥SKB_t,r-1，刷新得到时间段t内第r轮的基地密钥SKB_t,r；1≤r≤Round(t)，Round(t)；

具体定义如下：

算法4，基地密钥刷新算法RB：

4.1.输入t,r以及SKB_t,r-1；

4.2.从SKB_t,r-1中提取私钥sk_t：sk_t←I_2,2(SKB_t,r-1)，其中I_a,b代表从a元组中提取第b个元素；

4.3.调用BLS方案中的密钥生成算法KG生成当前时间段t内第r轮的公钥、私钥对：PK_t,r,sk_t,r←KG(1^k)；

4.4.以sk_t为私钥调用BLS签名算法Sign构造当前时间段t内第r轮的签名：

4.5.生成当前时间段t内第r轮的公钥证书cert_t,r＝σ_t,r,t,r,PK_t,r，以及时间段t内第r轮的基地密钥SKB_t,r＝skt_,r,sk_t；

4.6.删除前一轮的基地密钥SKB_t,r-1，并发送密钥刷新消息SKR_t,r-1＝sk_t,r,cert_t,r〉给客户端进行下一步；

步骤5.客户端，签名者以接收到的密钥刷新消息SKR_t,r-1以及时间段t内前一轮的签名密钥SKS_t,r-1作为算法5的输入，定义如下：

算法5，签名密钥刷新算法RS：

5.1.输入SKR_t,r-1以及前一轮签名密钥SKS_t,r-1；

5.2.生成时间段t内第r轮的签名密钥SKS_t,r＝SKR_t,r-1,I_2,2(SKS_t,r-1)，删除前一轮签名密钥SKS_t，r-1；

步骤6.在客户端，签名者完成交易，准备发送移动代理进行交易；

步骤7.在客户端，签名者在获取当前的签名密钥SKS_t,r之后，将此密钥与REQ_C||ID_c作为输入算法6，其定义如下：

算法6，不可拆分签名方法的生成算法IRUndFunGen：

6.1.从签名密钥SKS_t,r中获取当前时间段内当前轮数生成的私钥sk_t,r及两个证书：

sk_t,r←I_2，1(I_2，1(SKS_t,r))，cert_t,r←I_2，2(I_2，1(SKS_t,r))，CERT_t←I_2，2(SKS_t,r)；

6.2.以sk_t,r为私钥调用BLS签名算法Sign对REQ_C||ID_c进行签名：首先利用哈希函数H₂将二进制变量REQ_C||ID_c转换为群上的元素H←H₂(REQ_C||ID_c)，再得到

6.3.生成不可拆分签名方法对：x为任一待签名消息；

6.4.输出f_IRSign(x)＝t，r，f(x)，f_Sign(x)，cert_t,r，CERT_t，使代理携带；

步骤8.随后客户端算法7为代理中的敏感数据签名，输入为当前敏感数据Msg、当前时间片t、当前轮数r、以及当前签名密钥SKS_t，r，输出代理携带的签名，算法定义如下：

算法7，基于离散对数的普通签名算法Sign：

7.1.从签名密钥SKS_t,r中获取当前时间段内当前轮数生成的私钥sk_t,r及两个证书：

sk_t,r←I_2，1(I_2，1(SKS_t,r))，cert_t,r←I_2，2(I_2，1(SKS_t,r))，CERT_t←I_2，2(SKS_t,r)；

7.2.以sk_t,r为私钥为敏感数据Msg签名：

7.3.输出sig＝t，r，cert_t,r，CERT_t,σ_sig，由代理携带，进行下一步；

步骤9.商店接受到代理以及代理携带的签名，先用算法8检验代理的合法性，即验证步骤8中的生成的签名σ是否合法；输入为系列公共参数R，PK,PK*，σ_pub及代理携带敏感数据Msg及签名，验证算法定义如下：

算法8，基于离散对数的普通验证算法yrfy：

8.1.t，r，cert_t，r，CERT_t,σ_sig←sig，σ_t，t，PK_t←CERT_t，σ_t，r，t，r，PK_t，r←cert_t，r；

8.2.首先验证公共签名σ_pub，检验轮常数链R的合法性：若输出0，算法结束；否则进行下一步；

8.3.验证证书CERT_t的合法性，若输出0，算法结束；否则进行下一步；

8.4.验证证书cert_t,r的合法性，PK_t←I_2，2(I_2，2(CERT_t))，若输出0，算法结束；否则进行下一步；

8.5.验证签名σ_sig的合法性，PK_t，r←I_3，3(I_2，2(cert_t,r))，若输出0，算法结束；否则输出1；

如果输出为0，退出交易；如果输出为1，判断代理是否继续在商店间迁移，如果需要，则新商店需要重复步骤9验证步骤；否则进行步骤10；

步骤10.在此，商店已经做出最终决策完成交易，那么生成CONTRACT和其他交易信息M作为输入，同时利用代理携带的不可拆分签名方法对f(x)，f_Sign(x)算法9，得到最终的不可拆分签名undsig，算法定义如下：

算法9，不可拆分签名算法IRUndSign：

9.1.f(x)，f_Sign(x)←I_5，3(f_IRsign(x))，cert_t,r←I_5,4(f_IRsign(x))，CERT_t←I_5，5(f_IRsign(x))；

9.2.以CONTRACT||M作为不可拆分方法f_Sign(x)的输入生成不可拆分签名：

σ_undsig＝f_Sign(CONTRACT||M)；

9.3.输出undsi_g＝t，r，σ_undsig，cert_t,r，CERT_t，保存至代理中，然后使代理迁移返回客户端，进行下一步；

步骤11.最后客户端收到交易完成的代理，以不可拆分签名undsig、交易消息CONTRACT||M、约束条件REQ_C||ID_c及公共参数R，PK,PK*，σ_pub为输入运行不可拆分签名验证算法，验证不可拆分签名的合法性，输出0或1，算法定义如下：

算法10，不可拆分签名验证算法IRUndVrfy：

10.1.t，r，cert_t，r，CERT_t，σ_undsig←undsig，σ_t，t，PK_t←CERT_t，σ_t，r，t，r，PK_t，r←cert_t,r；

10.2.首先验证公共签名σ_pub，检验轮常数链R的合法性：若输出0，算法结束；否则进行下一步；

10.3.验证证书CERT_t的合法性，若输出0，算法结束；否则进行下一步；

10.4.验证证书cert_t,r的合法性，PK_t←I_2，2(I_2，2(CERT_t))，若输出0，算法结束；否则进行下一步；

10.5.验证签名σ_undsig的合法性，PK_t，r←I_3，3(I_2，2(cert_t，r))，若输出0，算法结束；否则输出1；如果输出为0，退出交易；如果输出为1，完成交易。