本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種基于余數(shù)系統(tǒng)的SM2白盒數(shù)字簽名實(shí)現(xiàn)方法。

背景技術(shù)：

現(xiàn)有軟件加密算法，密鑰均是直接出現(xiàn)在計(jì)算平臺的內(nèi)存之中，攻擊者可通過惡意軟件等實(shí)現(xiàn)密鑰的竊取，不能應(yīng)對已有的白盒攻擊手段；現(xiàn)有的硬件加密算法，能較好的保證密鑰計(jì)算的安全性，但相對使用成本較高，通用性較差，對于部分安全性要求相對較低的應(yīng)用場景無法使用；同時(shí)還有部分研究機(jī)構(gòu)提出了基于云加端部分密鑰和密鑰分散存儲策略的軟件加密算法，但云加端的策略無法抵抗本地私鑰的泄露，還存儲云端與終端的鑒權(quán)問題，密鑰分散存儲策略在進(jìn)行密鑰運(yùn)算時(shí)必須合成密鑰，內(nèi)存中同樣存在密鑰完整明文。

技術(shù)實(shí)現(xiàn)要素：

為解決上述問題，本發(fā)明提供了一種基于余數(shù)系統(tǒng)的SM2白盒數(shù)字簽名實(shí)現(xiàn)方法，所述方法適用的系統(tǒng)包括客戶端和服務(wù)器，所述系統(tǒng)的系統(tǒng)模數(shù)為n，輔助模數(shù)為m_r所選取橢圓曲線的基點(diǎn)為G，簽名消息為M其特征在于，包括如下步驟：

步驟一：客戶端選取公鑰d、私鑰P。選定一個(gè)余數(shù)系統(tǒng)，素?cái)?shù)基為β＝(p₁，p₂，...，p_t)，基β的動(dòng)態(tài)范圍滿足ω＝p₁p₂p₃…p_t≥2⁷⁶⁸。

步驟二：客戶端生成第一私鑰查找表、第二私鑰查找表。具體方法為：

步驟2.1：隨機(jī)選取兩個(gè)非線性密鑰置換表，分別記為Sbox1、Sbox2，并通過服務(wù)器的公鑰將自己的客戶端ID和Sbox1發(fā)送給服務(wù)器進(jìn)行保存。

步驟2.2：使用余數(shù)系統(tǒng)將公鑰P轉(zhuǎn)化為P_i，其中i＝1,…,t,r，并生成第一私鑰查找表Table_1，i(i＝1，...，t，r)，生成方法為：隨機(jī)遍歷產(chǎn)生兩個(gè)隨機(jī)數(shù)N₁和N₂，其中N₂，N₁∈[1，n-1]，通過余數(shù)系統(tǒng)將其分別轉(zhuǎn)化為N_1i和N_2i，計(jì)算u_i＝sbox2(N_1，i×sbox1^-1(sbox1(N_2，i))modp_i)，將遍歷產(chǎn)生的所有u_i作為表Table_1，i(i＝1，...，t，r)的元素。

步驟2.3：使用私鑰d和余數(shù)系統(tǒng)生成第二私鑰查找表Table_2，i(i＝1，...，t，r)，生成方法為：隨機(jī)遍歷產(chǎn)生兩個(gè)隨機(jī)數(shù)L₁和L₂，其中L₂，L₁∈[1，n-1]，通過余數(shù)系統(tǒng)將其分別轉(zhuǎn)化為L_1i和L_2i，同時(shí)將私鑰d轉(zhuǎn)換為d_i，計(jì)算s_i＝d_i×(sbox2^-1(L_1i)-L_2i×d_i)mod p_i，將遍歷產(chǎn)生的所有s_i作為表Table_2，i(i＝1，...，t，r)的元素；

步驟三：客戶端進(jìn)行簽名，具體方法為：

步驟3.1：客戶端計(jì)算M’＝M||Z_A；其中，M為簽名消息，Z_A為客戶端的身份標(biāo)識。

步驟3.2：客戶端用雜湊函數(shù)計(jì)算消息摘要e＝H_v(M’)。

步驟3.3:客戶端產(chǎn)生第一隨機(jī)數(shù)k₁∈[1，n-1]；

步驟3.4：客戶端計(jì)算橢圓曲線點(diǎn)Q₁＝[k₁]*G，并將e和Q₁發(fā)送給服務(wù)器；其中，

步驟3.5:服務(wù)器產(chǎn)生第二隨機(jī)數(shù)k₂∈[1，n-1]；

步驟3.6:服務(wù)器計(jì)算橢圓曲線點(diǎn)(x₁，y₁)＝[k₂]*Q₁；

步驟3.7：服務(wù)器計(jì)算第一部分簽名r＝(x₁+e)mod n，將第二隨機(jī)數(shù)k₂基于基{β|p_r}用余數(shù)系統(tǒng)表示為k₂＝(k_2，1，...，k_2，t|k_2，r)，通過Sbox1進(jìn)行混淆，然后將r和Sbox1(k₂)＝[sbox1(k_2，1)，sbox1(k_2，2)，...，sbox1(k_2，t)|sbox1(k_2，r)]發(fā)送給客戶端。

步驟3.8：客戶端將第一隨機(jī)數(shù)K₁和r基于基{β|p_r}用余數(shù)系統(tǒng)表示為k₁＝(k_1，1，k_1，2，...，k_1，t|k_1，r)和r＝(r₁，r₂，...，r_t|r_r)；

步驟3.9：客戶端使用第一私鑰查找表Table_1，i(i=1，...，t，r)計(jì)算中間值u_i＝sbox2(k_1，i×sbox1^-1(sbox1(k_2，i))modp_i)。

步驟4.0:客戶端使用第二私鑰查找表Table_2，i(i＝1，...，t，r)計(jì)算s_i＝d_i×(sbox2^-1(u_i)-r_i×d_A，i)mod p_i，其中私鑰d_A隱藏在第二私鑰查找表Table_2，i中。

步驟4.1：客戶端利用中國剩余定理恢復(fù)出s。

步驟4.3：客戶端計(jì)算s′＝s mod n，s′即為第二部分簽名值。

步驟五：輸出消息M和簽名。

進(jìn)一步的，各個(gè)隨機(jī)數(shù)是利用隨機(jī)數(shù)發(fā)生器產(chǎn)生。

本發(fā)明的有益效果為：

(1)客戶端在進(jìn)行簽名運(yùn)算過程中，內(nèi)存等硬件設(shè)備中不會出現(xiàn)私鑰的完整明文，確保密碼算法運(yùn)行的白盒攻擊安全。

(2)實(shí)現(xiàn)本方法僅需要207.5MB的內(nèi)層大小，存儲空間要求較小。

(3)本實(shí)現(xiàn)方法和原SM2算法的簽名效率基本一致，實(shí)用性較高。

(4)通過使用白盒軟件實(shí)現(xiàn)可降低商用密碼算法的使用成本，擴(kuò)大商用密碼算法的使用范圍。

(5)使用白盒軟件算法在確保加解密安全的同時(shí)，通用性較強(qiáng)，對運(yùn)行平臺硬件沒有任何特殊需求。

附圖說明

圖1為客戶端進(jìn)行簽名的流程示意圖。

具體實(shí)施方式

本發(fā)明的設(shè)計(jì)構(gòu)思為：針對于不可信環(huán)境中密鑰運(yùn)行不安全，惡意攻擊者可通過白盒攻擊手段獲取系統(tǒng)密鑰的問題展開研究，通過使用余數(shù)系統(tǒng)實(shí)現(xiàn)大數(shù)的拆分，從而降低密鑰表的大??；通過使用置亂混淆確保中間結(jié)果對攻擊者不可見；通過使用云端的隨機(jī)因子確保終端密鑰運(yùn)算關(guān)系的未知性，實(shí)現(xiàn)了終端簽名運(yùn)算過程中的簽名私鑰安全，同時(shí)可使用標(biāo)準(zhǔn)的SM2驗(yàn)簽算法進(jìn)行驗(yàn)證。

本發(fā)明基于國家商用密碼算法SM2數(shù)字簽名算法進(jìn)行構(gòu)建，SM2數(shù)字簽名算法請參加國家商用密碼管理局發(fā)布的管理標(biāo)準(zhǔn)，同時(shí)本發(fā)明還使用了一個(gè)典型的數(shù)學(xué)工具——余數(shù)系統(tǒng)，詳細(xì)介紹如下：

余數(shù)系統(tǒng)的定義可以描述為：現(xiàn)假設(shè)存在一個(gè)余數(shù)系統(tǒng)，它是由一組互為質(zhì)數(shù)的余數(shù)基β＝(m₁，m₂，...，m_k}來確定的，M＝m₁m₂…m_k為這組基的動(dòng)態(tài)范圍。對于任意整數(shù)x≤M，可以在β這組基下唯一表示為(x₁，x₂，...，x_k)，其中x_i為x對m_i的求模結(jié)果，記為對余數(shù)系統(tǒng)而言，只有當(dāng)整數(shù)x在動(dòng)態(tài)范圍之內(nèi)才存在唯一的表示。

假設(shè)整數(shù)x、y在基β下分別表示為x＝(x₁，x₂，...，x_k)和y＝(y₁，y₂，...，y_k)，則：

其中“ο″為+、-、×運(yùn)算。

對于x的余數(shù)系統(tǒng)表示(x₁，x₂，...，x_k)，由中國剩余定理：

其中α＜k，M_i=M/m_i，為M_i在模m_i下的逆。α可通過選擇一個(gè)合適的輔助模數(shù)m_r來恢復(fù)，其中m_r≥k+1且gcd(M，m_r)＝1。設(shè)x_r為x對m_r的求模結(jié)果，即：

則：

因?yàn)棣粒糼＜m_r，所以對于任意整數(shù)x，可在擴(kuò)展基下表示為(x₁，x₂，...，x_k|x_r)，稱為擴(kuò)展RNS表示。

本發(fā)明所述方法適用的系統(tǒng)包括客戶端和服務(wù)器。客戶端也就是執(zhí)行數(shù)字簽名算法的用戶，其運(yùn)行環(huán)境是不可信的，服務(wù)器是協(xié)同簽名方，其屬于密鑰管理中心的一個(gè)部件，它主要為客戶端提供一個(gè)隨機(jī)因子。

假定所述系統(tǒng)的系統(tǒng)模數(shù)為n，輔助模數(shù)為m_r，所選取橢圓曲線的基點(diǎn)為G，簽名消息為M，Z_A為客戶端的身份標(biāo)識，H_v為使用的摘要函數(shù)(可實(shí)用商用密碼標(biāo)準(zhǔn)SM3算法)。本方法共包含4個(gè)部分：(1)參數(shù)選取及密鑰生成；(2)私鑰表的生成；(3)簽名計(jì)算；(4)驗(yàn)簽計(jì)算。其中(1)和(4)均參考國家商用SM2數(shù)字簽名算法標(biāo)準(zhǔn)執(zhí)行。

本發(fā)明的具體步驟描述如下：

步驟一：客戶端選取公鑰d、私鑰P。選定一個(gè)余數(shù)系統(tǒng)，素?cái)?shù)基為β＝(p₁，p₂，...，p_t)，基β的動(dòng)態(tài)范圍滿足ω＝p₁p₂p₃…p_t≥2⁷⁶⁸。

步驟二：客戶端生成第一私鑰查找表、第二私鑰查找表。具體方法為：

步驟2.1：隨機(jī)選取兩個(gè)非線性密鑰置換表(與對稱密碼算法中使用的S盒是一致的)，分別記為Sbox1、Sbox2，并通過服務(wù)器的公鑰將自己的客戶端ID和Sbox1發(fā)送給服務(wù)器進(jìn)行保存。

步驟2.2：使用余數(shù)系統(tǒng)將公鑰P轉(zhuǎn)化為P_i，其中i＝1,…,t,r，并生成第一私鑰查找表Table_1，i(i＝1，...，t，r)，生成方法為：隨機(jī)遍歷產(chǎn)生兩個(gè)隨機(jī)數(shù)N₁和N₂，其中N₂，N₁∈[1，n-1]，通過余數(shù)系統(tǒng)將其分別轉(zhuǎn)化為N_1i和N_2i，計(jì)算u_i＝sbox2(N_1，i×sbox1^-1(sbox1(N_2，i))modp_i)，將遍歷產(chǎn)生的所有u_i作為表Table_1，i(i＝1，...，t，r)的元素。

步驟2.3：使用私鑰d和余數(shù)系統(tǒng)生成第二私鑰查找表Table_2，i(i＝1，...，t，r)，生成方法為：隨機(jī)遍歷產(chǎn)生兩個(gè)隨機(jī)數(shù)L₁和L₂，其中L₂，L₁∈[1，n-1]，通過余數(shù)系統(tǒng)將其分別轉(zhuǎn)化為L_1i和L_2i，同時(shí)將私鑰d轉(zhuǎn)換為d_i，計(jì)算s_i＝d_i×(sbox2^-1(L_1i)-L_2i×d_i)mod p_i，將遍歷產(chǎn)生的所有s_i作為表Table_2，i(i＝1，...，t，r)的元素；

步驟三：客戶端進(jìn)行簽名，具體方法為：

步驟3.1：客戶端計(jì)算M’＝M||Z_A；其中，M為簽名消息，Z_A為客戶端的身份標(biāo)識。

步驟3.2：客戶端用雜湊函數(shù)計(jì)算消息摘要e＝H_v(M’)。

步驟3.3:客戶端用隨機(jī)數(shù)發(fā)生器產(chǎn)生第一隨機(jī)數(shù)k₁∈[1，n-1]；

步驟3.4：客戶端計(jì)算橢圓曲線點(diǎn)Q₁＝[k₁]*G，并將e和Q₁發(fā)送給服務(wù)器；其中，

步驟3.5:服務(wù)器用隨機(jī)數(shù)發(fā)生器產(chǎn)生第二隨機(jī)數(shù)k₂∈[1，n-1]；

步驟3.6:服務(wù)器計(jì)算橢圓曲線點(diǎn)(x₁，y₁)＝[k₂]*Q₁；

步驟3.7：服務(wù)器計(jì)算第一部分簽名r＝(x₁+e)mod n，將第二隨機(jī)數(shù)k₂基于基{β|p_r}用余數(shù)系統(tǒng)表示為k₂＝(k_2，1，...，k_2，t|k_2，r)，通過Sbox1進(jìn)行混淆，然后將r和Sbox1(k₂)＝[sbox1(k_2，1)，sbox1(k_2，2)，...，sbox1(k_2，t)|sbox1(k_2，r)]發(fā)送給客戶端。

步驟3.8：客戶端將第一隨機(jī)數(shù)k₁和r基于基{β|p_r}用余數(shù)系統(tǒng)表示為k₁＝(k_1，1，k_1，2，...，k_1，t|k_1，r)和r＝(r₁，r₂，...，r_t|r_r)；

步驟3.9：客戶端使用第一私鑰查找表Table_1，i(i＝1，...，t，r)計(jì)算中間值u_i＝sbox2(k_1，i×sbox1^-1(sbox1(k_2，i))modp_i)。

步驟4.0:客戶端使用第二私鑰查找表Table_2，i(i＝1，...，t，r)計(jì)算s_i＝d_i×(sbox2^-1(u_i)-r_i×d_A，i)mod p_i，其中私鑰d_A隱藏在第二私鑰查找表Table_2，i中。

步驟4.1：客戶端利用中國剩余定理恢復(fù)出s。

步驟4.3：客戶端計(jì)算s′＝s mod n，s′即為第二部分簽名值。

步驟五：輸出消息M和簽名。

進(jìn)一步的，各個(gè)隨機(jī)數(shù)是利用隨機(jī)數(shù)發(fā)生器產(chǎn)生。