使用具有温特尼茨单次签名的ecdsa的方法
专利名称:使用具有温特尼茨单次签名的ecdsa的方法
技术领域:
本实施例总体上涉及车辆-实体通信中的广播认证方案。
背景技术:
数字签名被用于当通过被公众共享的通信介质(例如通过空气、无线通信通道)通信时认证广播信息。本技术领域中已知存在多种广播认证方案,不过每种方案均具有针对相应通信特性的不足(例如不稳健/鲁棒(robust))。对于许多通信方案的取舍是在通信效率、认证的计算次数或者对于信息攻击的易受度之间进行的。需要鲁棒性的特性包括延迟验证、数据包丢失、计算DoS攻击、否认性和机动性。因此,非常需要对于这里描述的每种特性均具有鲁棒性的广播方案。
发明内容
实施例的优点在于,在广播被数字签名的信息期间通常存在的融合广播认证方案相对于各特性而言均是鲁棒的。两个广播认证方案的融合相配合地克服了每个单独广播方案的不足且同时保持了每个特性的鲁棒性。实施例设想了认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨(Winternitz)密钥对。序列号被指定给每个信息。每个序列号配合地识别出被指定给每个信息的温特尼茨验证器的次序。使用数字签名算法私有密钥来给信息链中的第一信息标记签名。使用温特尼茨私有密钥以及数字签名算法私有密钥二者来给信息链中的每个后续信息标记签名。被签名信息从发送器/发送者广播给接收器/接收者。在接收器处通过验证数字签名算法签名来认证被签名广播的第一信息。在接收器处通过仅验证温特尼茨签名来认证至少一些后续被签名广播信息。实施例设想了认证数字签名信息的方法。生成第一信息。生成第一组温特尼茨密钥。验证器被连接于第一信息。第一序列号被指定给信息和验证器。使用数字签名算法私有密钥来标记信息。第一信息被广播给远程实体。生成第二信息。生成第二组温特尼茨密钥。第二验证器被连接于第二信息。第二序列号被指定给第二信息和第二验证器。使用第一温特尼茨私有密钥和数字签名算法私有密钥来标记第二信息。传输带有温特尼茨签名和数字签名算法签名的第二数字信息。第一信息被接收。使用数字签名算法签名来验证第一信息。响应获得第一信息的被顺序识别的验证器仅使用温特尼茨签名来验证第二信息。本发明还提供了以下技术方案。方案1. 一种认证被数字签名的信息的方法,该方法包括步骤 生成信息链;
针对每个相应信息生成温特尼茨密钥对;
给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;
使用数字签名算法私有密钥给所述信息链中的第一信息标记签名;使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;
向接收器广播来自发送器的被签名信息;
通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。方案2.如方案1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。方案3.如方案2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。方案4.如方案2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继地跟随在所述当前信息之后的剩余信息链。方案5.如方案1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。方案6.如方案1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。方案7.如方案1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。方案8.如方案1所述的方法,其中所述数字签名算法包括RSA密码学。方案9.如方案1所述的方法,其中所述数字签名算法包括具有基本相同于E⑶SA 特性的签名算法。方案10. —种认证被数字签名的信息的方法,包括步骤 生成第一信息;
生成第一组温特尼茨密钥;
将验证器连接于所述第一信息;
将第一序列号指定到所述信息和验证器;
使用数字签名算法私有密钥标记所述信息;
将所述第一信息广播给远程实体;
生成第二信息;
生成第二组温特尼茨密钥;
将第二验证器连接于所述第二信息;
将第二序列号指定到所述第二信息和第二验证器;
使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息; 传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息; 接收所述第一信息;
使用所述数字签名算法签名来验证所述第一信息;以及响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述弟·~-fn息。方案11.如方案9所述的方法,其中产生下一信息并且使用下一温特尼茨私有密钥和所述数字签名算法私有密钥来标记该下一信息,其中使用所述下一温特尼茨签名和所述数字签名算法签名二者来广播下一连续信息,并且其中如果远程实体获得第二信息的被顺序识别的验证器,则仅使用所述下一温特尼茨签名来验证所述下一信息。方案12.如方案9所述的方法,其中响应所述接收实体没有接收到所述第二信息的被顺序识别的验证器,使用数字签名算法签名来认证下一连续信息。方案13.如方案10所述的方法,其中如果来自前一信息的相关被顺序排序的验证器被所述接收实体接收,则仅使用相应温特尼茨签名来认证每个后续信息。方案14.如方案11所述的方法,其中当所述验证器的不合适序列存在于前一接收的信息和当前信息之间时,该当前信息的相应数字签名算法签名被用于认证所述当前信肩、ο方案15.如方案9所述的方法,其中序列号被指定给验证器和信息二者以用于识别出广播信息链中的序列次序。方案16.如方案9所述的方法,其中所述一组温特尼茨密钥包括私有密钥和公共密钥,其中公共密钥被用作所述验证器。方案17.如方案9所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。方案18.如方案9所述的方法,其中所述数字签名算法包括椭圆数字签名算法。方案19.如方案9所述的方法,其中所述数字签名算法包括RSA密码学。方案20.如方案9所述的方法,其中所述数字签名算法包括具有基本相同于 E⑶SA特性的签名算法。
图1是ECDSA广播算法方案的鲁棒性/稳健性特性图。图2是W-OTS广播算法方案的鲁棒性特性图。图3是TESLA广播算法方案的鲁棒性特性图。图4是TADS广播算法方案的鲁棒性特性图。图5示出了链接信息和验证器的W-OTS广播方案。图6示出了链接信息和验证器的W-OTS和E⑶SA组合广播方案。图7示出了链接信息和多个验证器的W-OTS和E⑶SA组合广播方案。图8示出了 W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。图9是使用W-OTS和E⑶SA组合广播方案链接信息和验证器的方法的流程图。
具体实施例方式诸如车辆-车辆(V2V)或车辆-实体通信系统的V2X通信系统依赖数字签名来确保从发送器(即,传播车辆或实体)到接收器(即,接收车辆或实体)的广播信息的真实性。数字签名方案是用于证明数字广播信息的真实性的数学方案。有效数字签名提供了对于信息担保的接收,该信息担保指被接收的广播信息是由已知发送器产生的。此外,有效数字签名还确保在信息传播期间不改变数字信息。数字签名制止了对于信息的篡改或伪造。伪造信息包括通过由不同于已知发送器的实体来生成信息,而篡改包括第三方截获信息并更改信息内容。数字签名通常使用密码学形式。当使用公共领域中使用的通信网络时信息通常通过不安全的通信通道被传输。数字签名提供了接收确认,该接收确认指信息是由发送方发送且以未改变状态由接收方接收。使用数字签名的广播认证方案有助于克服与在发送器和接收方之间的信息传输有关的公知问题。广播认证方案的鲁棒性受如下因素影响。*非否认性(Non-r印udiation)确保在声明其用于标记信息的私有密钥保持保密的情况下数字信息的签名者无法成功地声明签名者没有标记该信息。*数据包丢失是在行经通信介质的一个或更多个数据包未能到达接收方的时候。*计算拒绝服务(DoS)的复原性是阻止使得资源对于其预期使用者而言不可用的这一企图的能力。通常,实体试图执行DoS是由实体阻止服务、网站、服务器或验证器临时或无限期地有效运行的协同努力构成的。攻击的常见方法包括使用外部通信请求来饱和接收器或服务/网站/服务器/验证器,以使得试图响应的实体不能响应或响应很慢以致响应实体基本上不可用。总而言之,通过消耗资源使得接收方不再能够有效通信来实现DoS 攻击。*延迟的验证涉及信息验证。信息应该能够被立即验证。*对机动性的支持涉及动态环境,例如车辆通信,其中接收器设定频繁地改变。为了支持标记结点的机动性以便其相邻者可以验证发送器标记的信息,签名者的公共密钥的数字证书需要被广播并且对于其接收广播信息的相邻者可用。用于使用数字签名来认证信息的广播认证方案包括但不限于温特尼茨单次签名 (one-time-signature, 0TS)、数字签名算法(DSA)、椭圆曲线数字签名算法(ECDSA)、RSA (Rivest, Shamir, Adleman协议)以及时间效率流丢失认证(TESLA)。这里描述的所有广播方案相对于上述一些特性特征均是鲁棒的;不过,每个方案对于至少一种特征均一定程度上不太鲁棒或不鲁棒。图1-4是上述广播认证方案及其对于各特性的鲁棒性的关联图。图1示出了 ECDSA 方案,图2示出了温特尼茨单次签名(W-OTS)方案,图3示出了 TESLA方案,并且图4示出了 TADS方案。深色线代表对于相应特性的鲁棒性。五边形的中心代表相应特性的鲁棒性的不足,而五边形的外周代表更大程度的鲁棒性。在中心和外周之间过渡的那些阶段代表增加的鲁棒性。应该理解,在各图中指出的鲁棒性的程度是示例性的并且仅用于提供对于各相应技术的不足或鲁棒性的大体指示。图1-4中示出的相应特性被标示为计算DoS的复原性12、立即验证14、数据包丢失的鲁棒性16、非否认性18以及对于机动性的支持20。图1示出了相对于各特性的E⑶SA认证方案。在E⑶SA认证方案中,如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。 ECDSA认证方案对于数据包丢失也是鲁棒的,因为一个数据包的丢失不会停止后续信息的验证过程。E⑶SA认证方案为使用E⑶SA认证方案成功验证的每个数据包提供非否认性。 基于可信第三方的数字证书确保了这个特性。当签名者的公共密钥的数字证书被广播时ECDSA认证方案也提供对于机动性的支持。ECDSA不鲁棒时的唯一特性是计算DoS,特别是在资源受约束的系统中。当在具有有限计算能力的系统中执行操作时,ECDSA标记和验证的计算开销是非常高的。图2示出了相对于各特性的温特尼茨单次签名(OTS)广播认证方案的鲁棒性的比较。温特尼茨(W-OTS)认证方案的安全性依赖于单向特性和所用散列函数的碰撞抵抗特性。 W-OTS认证方案实现了信息的立即验证,因为如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。W-OTS认证方案具有抵抗计算DoS 攻击的复原性。W-OTS的验证需要仅计算散列函数,相比于例如ECDSA的不对称密钥操作这占用了较少的计算时间。W-OTS认证方案可以成功地对每个数据包均实现非否认性。W-OTS 使得能够在每个验证器上使用可信第三方的数字证书来实现非否认性。应该理解,W-OTS认证方案保证了非否认性,只要信息的轨迹被接收器提供给第三方。W-OTS认证方案支持机动性并且对于数据包丢失是不鲁棒的。如果W-OTS验证器被链接(其中前一验证器被用于验证下一验证器),则如果信息链中的一个信息没有被接收方接收到则该链断开。因此,在丢失的数据包之后接收的数据包由于缺失的验证器的原因而不能被验证。这里描述的实施例利用两个方案构造来获得对于各特性的鲁棒性。两种方案构造的优选组合利用了 W-OTS认证方案和E⑶SA认证方案。应该理解,在可替代实施例中例如 DSA或RSA或具有类似于ECDSA特性的任意其他数字签名算法的认证方案可以取代ECDSA。 优选ECDSA是因为相比于可替代方案其具有更高的安全性水平和更小的密钥尺寸。ECDSA是基于可以用于广播认证的公共密钥密码学的数字签名算法。在例如 ECDSA的密码学中,每个用户U具有两个密钥公共密钥Kuaib和私有密钥KUPv。公共密钥Kuaib 是公开的,而私有密钥Kupv是保密的。为了数字标记一信息Μ,用户U必须首先使用散列函数H来计算M的简短表达式m=H (M)0随后,用户U进行签名生成操作来获得Su=Sgn (m, KUPv)0对(M,是由U标记的信息M。能获取U的公共密钥的任意实体可以验证信息M上的U的签名的真实性。单个公共/私有密钥对可以被用于理论上标记无限数量的信息。注意到,仅用户U可以生成签名,因为仅用户U知道私有密钥。任何人均能够验证签名,因为公共密钥信息是可被公众获取的。因此,只要私有密钥保持私密,则这种设定可以被用于用户U传播的所有信息的广播认证。不过,应该理解,为了使得这种设定具有非否认特性,需要存在可信第三方来给用户U授予数字证书并且将用户U的身份和公共密钥Kupub绑定在一起。可信第三方系统通常被称作公共密钥基础结构πα。使用数字证书使得正确验证由 U标记的信息-签名对的任意验证器能够在任意第三方面前证明信息确实是由用户U标记的。这里将不再讨论ECDSA广播算法的具体数学详情,不过应该理解,ECDSA是已知的广播认证方案并且实施例的优点在于其与W-OTS广播方案配合作用来克服两种认证方案的鲁棒性的不足。前面描述的W-OTS广播算法依赖于单向特性和所用散列函数的碰撞抵抗特性。下述算法1、2和3分别示出了 W-OTS密钥生成、签名生成和签名验证
算法1-温特尼茨密钥对生成
输入散列函数σ:(0,1}*4{0,1产,H {0^}* {0J}1 ,以及块參数k和n=21/ko输出签名密钥S ;验证密钥V。
权利要求
1.一种认证被数字签名的信息的方法,该方法包括步骤 生成信息链;针对每个相应信息生成温特尼茨密钥对;给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;使用数字签名算法私有密钥给所述信息链中的第一信息标记签名; 使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;向接收器广播来自发送器的被签名信息;通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。
2.如权利要求1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。
3.如权利要求2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。
4.如权利要求2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继跟随在所述当前信息之后的剩余信息链。
5.如权利要求1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。
6.如权利要求1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。
7.如权利要求1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。
8.如权利要求1所述的方法,其中所述数字签名算法包括RSA密码学。
9.如权利要求1所述的方法,其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。
10.一种认证被数字签名的信息的方法,包括步骤 生成第一信息;生成第一组温特尼茨密钥; 将验证器连接于所述第一信息; 将第一序列号指定到所述信息和验证器; 使用数字签名算法私有密钥标记所述信息; 将所述第一信息广播给远程实体; 生成第二信息; 生成第二组温特尼茨密钥;将第二验证器连接于所述第二信息;将第二序列号指定到所述第二信息和第二验证器;使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息; 传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息; 接收所述第一信息;使用所述数字签名算法签名来验证所述第一信息;以及响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述弟·~-fn息。
全文摘要
本发明涉及使用具有温特尼茨单次签名的ECDSA的方法。提供认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨密钥对。给每个所述信息指定序列号。每个所述序列号配合地识别出被指定给每个所述信息的温特尼茨验证器的次序。使用数字签名算法私有密钥给所述信息链中的第一信息标记签名。使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名。向接收器广播来自发送器的被签名信息。通过验证所述数字签名算法签名在所述接收器处认证被签名广播的所述第一信息。通过仅验证所述温特尼茨签名在所述接收器处认证所述后续被签名广播信息中的至少一些。
文档编号H04L12/18GK102170352SQ20111004610
公开日2011年8月31日 申请日期2011年2月25日 优先权日2010年2月25日
发明者A·A·赫拉尼, D·巴塔查亚 申请人:通用汽车环球科技运作有限责任公司
技术领域:
本实施例总体上涉及车辆-实体通信中的广播认证方案。
背景技术:
数字签名被用于当通过被公众共享的通信介质(例如通过空气、无线通信通道)通信时认证广播信息。本技术领域中已知存在多种广播认证方案,不过每种方案均具有针对相应通信特性的不足(例如不稳健/鲁棒(robust))。对于许多通信方案的取舍是在通信效率、认证的计算次数或者对于信息攻击的易受度之间进行的。需要鲁棒性的特性包括延迟验证、数据包丢失、计算DoS攻击、否认性和机动性。因此,非常需要对于这里描述的每种特性均具有鲁棒性的广播方案。
发明内容
实施例的优点在于,在广播被数字签名的信息期间通常存在的融合广播认证方案相对于各特性而言均是鲁棒的。两个广播认证方案的融合相配合地克服了每个单独广播方案的不足且同时保持了每个特性的鲁棒性。实施例设想了认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨(Winternitz)密钥对。序列号被指定给每个信息。每个序列号配合地识别出被指定给每个信息的温特尼茨验证器的次序。使用数字签名算法私有密钥来给信息链中的第一信息标记签名。使用温特尼茨私有密钥以及数字签名算法私有密钥二者来给信息链中的每个后续信息标记签名。被签名信息从发送器/发送者广播给接收器/接收者。在接收器处通过验证数字签名算法签名来认证被签名广播的第一信息。在接收器处通过仅验证温特尼茨签名来认证至少一些后续被签名广播信息。实施例设想了认证数字签名信息的方法。生成第一信息。生成第一组温特尼茨密钥。验证器被连接于第一信息。第一序列号被指定给信息和验证器。使用数字签名算法私有密钥来标记信息。第一信息被广播给远程实体。生成第二信息。生成第二组温特尼茨密钥。第二验证器被连接于第二信息。第二序列号被指定给第二信息和第二验证器。使用第一温特尼茨私有密钥和数字签名算法私有密钥来标记第二信息。传输带有温特尼茨签名和数字签名算法签名的第二数字信息。第一信息被接收。使用数字签名算法签名来验证第一信息。响应获得第一信息的被顺序识别的验证器仅使用温特尼茨签名来验证第二信息。本发明还提供了以下技术方案。方案1. 一种认证被数字签名的信息的方法,该方法包括步骤 生成信息链;
针对每个相应信息生成温特尼茨密钥对;
给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;
使用数字签名算法私有密钥给所述信息链中的第一信息标记签名;使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;
向接收器广播来自发送器的被签名信息;
通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。方案2.如方案1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。方案3.如方案2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。方案4.如方案2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继地跟随在所述当前信息之后的剩余信息链。方案5.如方案1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。方案6.如方案1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。方案7.如方案1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。方案8.如方案1所述的方法,其中所述数字签名算法包括RSA密码学。方案9.如方案1所述的方法,其中所述数字签名算法包括具有基本相同于E⑶SA 特性的签名算法。方案10. —种认证被数字签名的信息的方法,包括步骤 生成第一信息;
生成第一组温特尼茨密钥;
将验证器连接于所述第一信息;
将第一序列号指定到所述信息和验证器;
使用数字签名算法私有密钥标记所述信息;
将所述第一信息广播给远程实体;
生成第二信息;
生成第二组温特尼茨密钥;
将第二验证器连接于所述第二信息;
将第二序列号指定到所述第二信息和第二验证器;
使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息; 传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息; 接收所述第一信息;
使用所述数字签名算法签名来验证所述第一信息;以及响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述弟·~-fn息。方案11.如方案9所述的方法,其中产生下一信息并且使用下一温特尼茨私有密钥和所述数字签名算法私有密钥来标记该下一信息,其中使用所述下一温特尼茨签名和所述数字签名算法签名二者来广播下一连续信息,并且其中如果远程实体获得第二信息的被顺序识别的验证器,则仅使用所述下一温特尼茨签名来验证所述下一信息。方案12.如方案9所述的方法,其中响应所述接收实体没有接收到所述第二信息的被顺序识别的验证器,使用数字签名算法签名来认证下一连续信息。方案13.如方案10所述的方法,其中如果来自前一信息的相关被顺序排序的验证器被所述接收实体接收,则仅使用相应温特尼茨签名来认证每个后续信息。方案14.如方案11所述的方法,其中当所述验证器的不合适序列存在于前一接收的信息和当前信息之间时,该当前信息的相应数字签名算法签名被用于认证所述当前信肩、ο方案15.如方案9所述的方法,其中序列号被指定给验证器和信息二者以用于识别出广播信息链中的序列次序。方案16.如方案9所述的方法,其中所述一组温特尼茨密钥包括私有密钥和公共密钥,其中公共密钥被用作所述验证器。方案17.如方案9所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。方案18.如方案9所述的方法,其中所述数字签名算法包括椭圆数字签名算法。方案19.如方案9所述的方法,其中所述数字签名算法包括RSA密码学。方案20.如方案9所述的方法,其中所述数字签名算法包括具有基本相同于 E⑶SA特性的签名算法。
图1是ECDSA广播算法方案的鲁棒性/稳健性特性图。图2是W-OTS广播算法方案的鲁棒性特性图。图3是TESLA广播算法方案的鲁棒性特性图。图4是TADS广播算法方案的鲁棒性特性图。图5示出了链接信息和验证器的W-OTS广播方案。图6示出了链接信息和验证器的W-OTS和E⑶SA组合广播方案。图7示出了链接信息和多个验证器的W-OTS和E⑶SA组合广播方案。图8示出了 W-OTS广播算法方案和ECDSA广播算法方案的鲁棒性特性图。图9是使用W-OTS和E⑶SA组合广播方案链接信息和验证器的方法的流程图。
具体实施例方式诸如车辆-车辆(V2V)或车辆-实体通信系统的V2X通信系统依赖数字签名来确保从发送器(即,传播车辆或实体)到接收器(即,接收车辆或实体)的广播信息的真实性。数字签名方案是用于证明数字广播信息的真实性的数学方案。有效数字签名提供了对于信息担保的接收,该信息担保指被接收的广播信息是由已知发送器产生的。此外,有效数字签名还确保在信息传播期间不改变数字信息。数字签名制止了对于信息的篡改或伪造。伪造信息包括通过由不同于已知发送器的实体来生成信息,而篡改包括第三方截获信息并更改信息内容。数字签名通常使用密码学形式。当使用公共领域中使用的通信网络时信息通常通过不安全的通信通道被传输。数字签名提供了接收确认,该接收确认指信息是由发送方发送且以未改变状态由接收方接收。使用数字签名的广播认证方案有助于克服与在发送器和接收方之间的信息传输有关的公知问题。广播认证方案的鲁棒性受如下因素影响。*非否认性(Non-r印udiation)确保在声明其用于标记信息的私有密钥保持保密的情况下数字信息的签名者无法成功地声明签名者没有标记该信息。*数据包丢失是在行经通信介质的一个或更多个数据包未能到达接收方的时候。*计算拒绝服务(DoS)的复原性是阻止使得资源对于其预期使用者而言不可用的这一企图的能力。通常,实体试图执行DoS是由实体阻止服务、网站、服务器或验证器临时或无限期地有效运行的协同努力构成的。攻击的常见方法包括使用外部通信请求来饱和接收器或服务/网站/服务器/验证器,以使得试图响应的实体不能响应或响应很慢以致响应实体基本上不可用。总而言之,通过消耗资源使得接收方不再能够有效通信来实现DoS 攻击。*延迟的验证涉及信息验证。信息应该能够被立即验证。*对机动性的支持涉及动态环境,例如车辆通信,其中接收器设定频繁地改变。为了支持标记结点的机动性以便其相邻者可以验证发送器标记的信息,签名者的公共密钥的数字证书需要被广播并且对于其接收广播信息的相邻者可用。用于使用数字签名来认证信息的广播认证方案包括但不限于温特尼茨单次签名 (one-time-signature, 0TS)、数字签名算法(DSA)、椭圆曲线数字签名算法(ECDSA)、RSA (Rivest, Shamir, Adleman协议)以及时间效率流丢失认证(TESLA)。这里描述的所有广播方案相对于上述一些特性特征均是鲁棒的;不过,每个方案对于至少一种特征均一定程度上不太鲁棒或不鲁棒。图1-4是上述广播认证方案及其对于各特性的鲁棒性的关联图。图1示出了 ECDSA 方案,图2示出了温特尼茨单次签名(W-OTS)方案,图3示出了 TESLA方案,并且图4示出了 TADS方案。深色线代表对于相应特性的鲁棒性。五边形的中心代表相应特性的鲁棒性的不足,而五边形的外周代表更大程度的鲁棒性。在中心和外周之间过渡的那些阶段代表增加的鲁棒性。应该理解,在各图中指出的鲁棒性的程度是示例性的并且仅用于提供对于各相应技术的不足或鲁棒性的大体指示。图1-4中示出的相应特性被标示为计算DoS的复原性12、立即验证14、数据包丢失的鲁棒性16、非否认性18以及对于机动性的支持20。图1示出了相对于各特性的E⑶SA认证方案。在E⑶SA认证方案中,如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。 ECDSA认证方案对于数据包丢失也是鲁棒的,因为一个数据包的丢失不会停止后续信息的验证过程。E⑶SA认证方案为使用E⑶SA认证方案成功验证的每个数据包提供非否认性。 基于可信第三方的数字证书确保了这个特性。当签名者的公共密钥的数字证书被广播时ECDSA认证方案也提供对于机动性的支持。ECDSA不鲁棒时的唯一特性是计算DoS,特别是在资源受约束的系统中。当在具有有限计算能力的系统中执行操作时,ECDSA标记和验证的计算开销是非常高的。图2示出了相对于各特性的温特尼茨单次签名(OTS)广播认证方案的鲁棒性的比较。温特尼茨(W-OTS)认证方案的安全性依赖于单向特性和所用散列函数的碰撞抵抗特性。 W-OTS认证方案实现了信息的立即验证,因为如果公共密钥对于验证器而言是可用的则每个信息在被接收时可以被立刻验证从而避免延迟验证。W-OTS认证方案具有抵抗计算DoS 攻击的复原性。W-OTS的验证需要仅计算散列函数,相比于例如ECDSA的不对称密钥操作这占用了较少的计算时间。W-OTS认证方案可以成功地对每个数据包均实现非否认性。W-OTS 使得能够在每个验证器上使用可信第三方的数字证书来实现非否认性。应该理解,W-OTS认证方案保证了非否认性,只要信息的轨迹被接收器提供给第三方。W-OTS认证方案支持机动性并且对于数据包丢失是不鲁棒的。如果W-OTS验证器被链接(其中前一验证器被用于验证下一验证器),则如果信息链中的一个信息没有被接收方接收到则该链断开。因此,在丢失的数据包之后接收的数据包由于缺失的验证器的原因而不能被验证。这里描述的实施例利用两个方案构造来获得对于各特性的鲁棒性。两种方案构造的优选组合利用了 W-OTS认证方案和E⑶SA认证方案。应该理解,在可替代实施例中例如 DSA或RSA或具有类似于ECDSA特性的任意其他数字签名算法的认证方案可以取代ECDSA。 优选ECDSA是因为相比于可替代方案其具有更高的安全性水平和更小的密钥尺寸。ECDSA是基于可以用于广播认证的公共密钥密码学的数字签名算法。在例如 ECDSA的密码学中,每个用户U具有两个密钥公共密钥Kuaib和私有密钥KUPv。公共密钥Kuaib 是公开的,而私有密钥Kupv是保密的。为了数字标记一信息Μ,用户U必须首先使用散列函数H来计算M的简短表达式m=H (M)0随后,用户U进行签名生成操作来获得Su=Sgn (m, KUPv)0对(M,是由U标记的信息M。能获取U的公共密钥的任意实体可以验证信息M上的U的签名的真实性。单个公共/私有密钥对可以被用于理论上标记无限数量的信息。注意到,仅用户U可以生成签名,因为仅用户U知道私有密钥。任何人均能够验证签名,因为公共密钥信息是可被公众获取的。因此,只要私有密钥保持私密,则这种设定可以被用于用户U传播的所有信息的广播认证。不过,应该理解,为了使得这种设定具有非否认特性,需要存在可信第三方来给用户U授予数字证书并且将用户U的身份和公共密钥Kupub绑定在一起。可信第三方系统通常被称作公共密钥基础结构πα。使用数字证书使得正确验证由 U标记的信息-签名对的任意验证器能够在任意第三方面前证明信息确实是由用户U标记的。这里将不再讨论ECDSA广播算法的具体数学详情,不过应该理解,ECDSA是已知的广播认证方案并且实施例的优点在于其与W-OTS广播方案配合作用来克服两种认证方案的鲁棒性的不足。前面描述的W-OTS广播算法依赖于单向特性和所用散列函数的碰撞抵抗特性。下述算法1、2和3分别示出了 W-OTS密钥生成、签名生成和签名验证
算法1-温特尼茨密钥对生成
输入散列函数σ:(0,1}*4{0,1产,H {0^}* {0J}1 ,以及块參数k和n=21/ko输出签名密钥S ;验证密钥V。
权利要求
1.一种认证被数字签名的信息的方法,该方法包括步骤 生成信息链;针对每个相应信息生成温特尼茨密钥对;给每个所述信息指定序列号,每个所述序列号配合地识别被指定给每个所述信息的温特尼茨验证器的次序;使用数字签名算法私有密钥给所述信息链中的第一信息标记签名; 使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名;向接收器广播来自发送器的被签名信息;通过验证所述数字签名算法签名在所述接收器处认证被签名广播的第一信息;以及通过仅验证所述温特尼茨签名在所述接收器处认证被签名广播的后续信息中的至少一些。
2.如权利要求1所述的方法,其中如果恰在当前接收的信息之前的被接收信息的温特尼茨验证器遵循验证器的序列次序,则仅使用所述温特尼茨签名来认证由所述发送器广播的所述信息链中的所述当前接收的信息。
3.如权利要求2所述的方法,其中如果恰在当前信息之前的被接收信息的温特尼茨验证器没有遵循验证器的序列次序,则仅使用所述数字签名算法签名来认证由所述发送器广播的所述信息链中的相应信息。
4.如权利要求2所述的方法,其中如果通过所述信息链中的所述温特尼茨验证器的序列次序确定广播信息丢失,则使用所述数字签名算法签名来认证跟随在丢失的广播信息之后的当前信息,并且其中仅使用每个信息的温特尼茨签名来验证相继跟随在所述当前信息之后的剩余信息链。
5.如权利要求1所述的方法,其中所述温特尼茨签名是温特尼茨单次签名,其中相应一组密钥被用于生成并标记仅一个信息。
6.如权利要求1所述的方法,其中如果由所述接收器接收的所述信息链的序列次序没有被保持,则所述数字签名算法签名被用于验证当前接收的信息。
7.如权利要求1所述的方法,其中所述数字签名算法包括椭圆数字签名算法。
8.如权利要求1所述的方法,其中所述数字签名算法包括RSA密码学。
9.如权利要求1所述的方法,其中所述数字签名算法包括具有基本相同于ECDSA特性的签名算法。
10.一种认证被数字签名的信息的方法,包括步骤 生成第一信息;生成第一组温特尼茨密钥; 将验证器连接于所述第一信息; 将第一序列号指定到所述信息和验证器; 使用数字签名算法私有密钥标记所述信息; 将所述第一信息广播给远程实体; 生成第二信息; 生成第二组温特尼茨密钥;将第二验证器连接于所述第二信息;将第二序列号指定到所述第二信息和第二验证器;使用第一温特尼茨私有密钥和所述数字签名算法私有密钥标记所述第二信息; 传播带有所述温特尼茨签名和所述数字签名算法签名的第二数字信息; 接收所述第一信息;使用所述数字签名算法签名来验证所述第一信息;以及响应获得所述第一信息的被顺序识别的验证器仅使用所述温特尼茨签名来验证所述弟·~-fn息。
全文摘要
本发明涉及使用具有温特尼茨单次签名的ECDSA的方法。提供认证被数字签名的信息的方法。生成信息链。针对每个相应信息生成温特尼茨密钥对。给每个所述信息指定序列号。每个所述序列号配合地识别出被指定给每个所述信息的温特尼茨验证器的次序。使用数字签名算法私有密钥给所述信息链中的第一信息标记签名。使用温特尼茨私有密钥和数字签名算法私有密钥二者给所述信息链中的每个后续信息标记签名。向接收器广播来自发送器的被签名信息。通过验证所述数字签名算法签名在所述接收器处认证被签名广播的所述第一信息。通过仅验证所述温特尼茨签名在所述接收器处认证所述后续被签名广播信息中的至少一些。
文档编号H04L12/18GK102170352SQ20111004610
公开日2011年8月31日 申请日期2011年2月25日 优先权日2010年2月25日
发明者A·A·赫拉尼, D·巴塔查亚 申请人:通用汽车环球科技运作有限责任公司
最新回复(0)