技術(shù)領(lǐng)域

本發(fā)明涉及軟件領(lǐng)域，尤其涉及一種數(shù)字簽名、簽名認(rèn)證裝置以及數(shù)字簽名方法。

背景技術(shù)

數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用，主要包括發(fā)送方的信息簽名和接收方的信息簽名認(rèn)證。作為一種實現(xiàn)簽名認(rèn)證的重要技術(shù)，數(shù)字簽名能夠提供身份驗證、數(shù)據(jù)完整性、不可抵賴等安全服務(wù)。

目前，數(shù)字簽名方案大體可以劃分為RSA簽名算法、DSA(Digital Signature Algorithm，數(shù)字簽名算法)算法和ECDSA(Elliptic Curve Digital Signature Algorithm，橢圓曲線數(shù)字簽名)算法。其中，由于ECDSA數(shù)字簽名方案中主要是基于橢圓曲線的特殊幾何運算，使得橢圓曲線數(shù)字簽名算法相較于RSA算法和DSA算法有著更低計算能力和內(nèi)存要求的優(yōu)勢，而且，還有著難以破解和攻擊的特點。

事實上，在現(xiàn)有的橢圓曲線數(shù)字簽名算法中，預(yù)先給出全局參數(shù)G₀、n、隨機選取的私鑰d₀和與私鑰對應(yīng)的公鑰Q₀；其中，G₀為設(shè)定的橢圓曲線上的一個基點，nG₀＝0，Q₀＝d₀G₀。如圖1所示，在現(xiàn)有的橢圓曲線數(shù)字簽名算法中信息M的發(fā)送者可以通過如下步驟對信息M進(jìn)行簽名：

S101：選取一個隨機數(shù)k₀，其中，k₀∈[1，n-1]。

S102：根據(jù)公式P₀＝k₀G₀，計算出點P₀的坐標(biāo)(x_p01，y_p01)。

S103：令r＝x_p01mod n，判斷r是否取值為0，若是，則回到步驟S101；否則，執(zhí)行步驟S104。

S104：對信息M進(jìn)行哈希運算后得到哈希值e，e＝SHA1(M)。

S105：令s＝k^-1(e+dr)mod n，判斷s是否取值為0，若是，則回到步驟S101；否則，執(zhí)行步驟S106。

S106：利用(r，s)對信息M進(jìn)行簽名。

如圖1所示，在現(xiàn)有的ECDSA數(shù)字簽名方案中信息M的接收者可以通過如下步驟對接收的信息M進(jìn)行簽名的認(rèn)證：

S107：對接收的信息M進(jìn)行哈希運算后得到哈希值e，e＝SHA1(M)。

S108：根據(jù)公式X₀＝u1G₀+u2Q₀，計算出點X的坐標(biāo)(x_x01，y_x01)；其中，u1＝(ew)modn，u2＝(rw)mod n，w＝s^-1mod n。

S109：計算出v＝x_x01mod n；判斷v是否等于r，若是，則簽名有效，否則簽名無效。

本發(fā)明的發(fā)明人發(fā)現(xiàn)，在上述現(xiàn)有的橢圓曲線數(shù)字簽名算法中，根據(jù)公式P₀＝k₀G₀，計算出點P₀的坐標(biāo)(x_p01，y_p01)，已經(jīng)使得k₀具有難以破解和復(fù)雜性的特點。然而，在現(xiàn)有的橢圓曲線數(shù)字簽名算法中，由于原始信息沒有加密，攻擊者可以根據(jù)原始信息直接得到哈希值e，并從簽名中獲得s和r，因此，在現(xiàn)有的橢圓曲線數(shù)字簽名算法中必須把已知的e，r和不可獲取的未知數(shù)k，d，結(jié)合非常耗時的乘法運算和求逆運算，即s＝k^-1(e+dr)mod n，才能防止攻擊者冒充簽名。然而，通過上述方法雖然保證簽名的安全性，但是也增加了簽名的運算復(fù)雜度和簽名認(rèn)證的運算復(fù)雜度。事實上，若將橢圓曲線數(shù)字簽名算法應(yīng)用到對計算能力要求比較低的環(huán)境中(比如嵌入式設(shè)備)，對簽名和認(rèn)證所占用的資源以及運算速度都有一定的限制，降低了數(shù)字簽名和簽名認(rèn)證的效率。而且，數(shù)字簽名是作為一種簽名認(rèn)證的功能來應(yīng)用，在實際中經(jīng)常不但需要簽名認(rèn)證，還需要保證信息的本身傳輸?shù)陌踩浴?/p>

因此，有必要提供一種可以提高數(shù)字簽名和簽名認(rèn)證的效率、以及提高信息的安全性的數(shù)字簽名方法。

發(fā)明內(nèi)容