基于身份不可授权的强指定验证者签名方案
- 格式:pdf
- 大小:256.47 KB
- 文档页数:3
指定验证者签名方案摘要:指定验证者签名是一类特殊的数字签名,在指定验证者签名中,只有指定的验证者才能验证签名,任何第三方都无法验证签名的有效性,根源就是指定验证者也可以生成一个与签名者不可区分的有效的模拟签名,实现了任何外部第三方都无法验证签名的有效性。
关键词:指定验证者签名;强壮性;随机预言模型Identity-based strongly designated verifier signature schemeAbstract: The designated verifier signature is a special kind of digital signature. in the designated verifier signature, only the designated verifier can verify the signature, and no third party can verify the validity of the signature. the root cause is that the designated verifier can also generate a valid analog signature that is indistinguishable from the signer, which realizes that no externalthird party can verify the validity of the signature.Keywords: Designated verifier signature; strongness; random prediction model1预备知识2. 1双线性对定义:是素数,假设为阶循环加法群,生成元为,为阶循环乘法群,双线性映射满足以下性质。
1)双线性性:有;2)非退化性:存在使得;3)易计算性:,存在有效算法可以计算putational Diffie-Hellman problem(简称CDH问题),在阶数为的循环加法群中,是的一个生成元,对任意,计算 ,其中是未知的随机数。
强不可伪造的基于身份服务器辅助验证签名方案杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【摘要】标准模型下的基于身份签名方案大多数是存在性不可伪造的,无法阻止攻击者对已经签名过的消息重新伪造一个合法的签名,并且验证签名需要执行耗时的双线性对运算.为了克服已有基于身份签名方案的安全性依赖强和计算代价大等缺陷,提出了一个强不可伪造的基于身份服务器辅助验证签名方案,并在标准模型下证明了新方案在合谋攻击、自适应选择身份和消息攻击下是安全的.分析结果表明,新方案有效减少了双线性对的计算量,大大降低了签名验证算法的计算复杂度,在效率上优于已有的基于身份签名方案.【期刊名称】《通信学报》【年(卷),期】2016(037)006【总页数】7页(P49-55)【关键词】基于身份服务器辅助验证签名;强不可伪造性;合谋攻击;标准模型【作者】杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【作者单位】西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070【正文语种】中文【中图分类】TP309基于身份密码体制是一种将用户身份标识作为公钥的密码体制,用于解决公钥基础设施PKI/CA中数字证书的存储和管理开销等问题[1]。
在基于身份的密码体制中,用户的E-mail地址等唯一身份标识作为用户的公钥,密钥生成中心PKG借助主密钥生成相应的用户私钥。
由于不再需要使用传统的公钥证书,因而大大减轻了密钥的管理与分发开销。
2001年,Boneh和Franklin[2]利用双线性对工具首次构造出高效的基于身份加密方案;随后国内外学者对基于身份密码体制进行了大量的研究,并取得一系列原创性研究成果[3~6]。
————————————基金项目基金项目::中国科学院自动化研究所复杂系统与智能科学重点实验室开放课题基金资助项目(20070101);辽宁省教育厅高等学校科学研究基金资助项目(2008334)作者简介作者简介::李 聪(1986-),男,硕士研究生、CCF 会员,主研方向:密码学;闫德勤,教授、博士 收稿日期收稿日期::2011-10-21 修回日期修回日期::2011-12-12 E-mail :conanlee2002@基于身份不可授权的强指定验证者签名方案李 聪,闫德勤(辽宁师范大学计算机与信息技术学院,辽宁 大连 116081)摘 要:针对目前基于身份的强指定验证者签名方案可授权及效率不高的问题,提出一种基于身份的强指定验证者签名方案。
对基于双线性对的签名方案进行安全性证明以及效率分析。
性能分析结果证明,与已有方案相比,该方案满足不可传递性、不可伪造性及不可授权性,双线性对运算和模乘运算相应减少,签名效率更高。
关键关键词词:不可授权性;双线性对;基于身份;不可伪造性;不可传递性Strong Designated Verifier Signature SchemeBased on Identity Non-delegatabilityLI Cong, YAN De-qin(School of Computer Science and Information Technology, Liaoning Normal University, Dalian 116081, China)【Abstract 】Aiming at the delegatability and inefficiency problems of current identity-based strong designated verifier signature schemes, a new efficient identity-based strong designated verifier signature scheme is proposed, which includes signature scheme based on bilinear pairings, security proof and efficiency analysis, performance analysis results show that the new scheme can satisfy the security requirements of non-transferability, unforgetability, non-delegatability. Compared with other existing schemes, the new scheme which reduces the computational cost of bilinear pairings and modular multiplication is more efficient.【Key words 】non-delegatability; bilinear parings; ID-based; unforgetability; non-transferability DOI: 10.3969/j.issn.1000-3428.2012.17.039计 算 机 工 程 Computer Engineering 第38卷 第17期V ol.38 No.17 2012年9月September 2012·安全技术安全技术·· 文章编号文章编号::1000—3428(2012)17—0139—03 文献标识码文献标识码::A中图分类号中图分类号::TP3091 概述1984年,Shamir 提出了基于身份的密码体制[1],其主要思想是以能标识用户身份的信息作为公钥,如姓名、电话等。
而用户的私钥可以由安全可信的私钥生成中心(PKG)生成,这样就解决了传统使用公钥证书带来的各种问题。
2001年,Boneh 和Franklin 利用双线性对提出了 第1个基于身份的加密方案[2],这种体制很快得到了国内外学者的关注并发表很多基于身份的加密方案的论文,如Waters 方案[3]、Boneh 方案[4]等,并相应地应用于指定验证者签名。
2007年,Kancharla 等人[5]提出双线性对下的基于身份的强指定验证者签名方案,并给出安全性证明其是不可伪造、不可传递和不可授权的。
但2010年,Sun 等人[6]证明该方案是可授权的。
本文基于Sun 等人证明的强指定验证者签名可授权性进行改进,提出了一种新的双线性对下的基于身份的强指定验证者签名方案,并分析新方案的安全性要求和签名效率。
2 相关知识2.1 双线性对令G 1、G 2分别是一个阶为大素数q 的加法群和乘法群。
p 是群G 1的生成元,称e : G 1×G 1→G 2是一个双线性映射,当且仅当其满足如下属性:双线性性:(,)(,)a b ab e p p e p p =, ,q a b Z ∀∈; 非退化性:(,)1e p p ≠;可计算性:存在一个有效的算法能够计算(,)e p p 。
2.2 相关的数学难题BDH 问题:设p 是G 1的生成元,已知,,a b c p p p*1(,,,)q a b c Z p G ∈∈,计算(,)abc e p p 。
3 新的IBSDVS 方案IBSDVS 方案流程如下: (1)PKG 设置私钥生成机构PKG 生成双线性映射e 的2个群G 1和140 计 算 机 工 程 2012年9月5日G 2,并随机选择主密钥*R q s Z ∈。
P 为G 1的生成元,公钥PUB P sP =。
2个哈希函数:H 1:*1{0,1}G →,H 2:**1{0,1}q G Z ×→,向所有用户公开参数{G 1,G 2,e ,q ,P , P PUB , H 1,H 2}。
(2)密钥提取用户给出身份ID ,PKG 计算密钥ID S =sH 1(ID ),然后通过安全信道发送给用户,用户公钥为ID Q =H 1(ID )。
(3)指定验证者签名假定签名者Signer 要签名的消息为M ,其公钥/私钥对分别为IDs Q /IDs S 。
Signer 首先选择*R q r Z ∈,计算IDv U rQ =,1()IDs V r H S −=+,其中,H =H 2(M , (,)IDs e U S )。
然后将签名(,)U V σ=发送给验证者Verifier 。
(4)指定验证者验证验证者Verifier 的公钥/私钥对 为/IDv IDv Q S ,其收到签名σ后,首先计算H =H 2(M , (,)IDs IDv e rQ S ),验证等式(,)(,)(,)IDv IDs IDv e U V e Q H e Q S =。
如果成立则接受签名σ,否则拒绝。
4 安全性分析4.1 正确性正确性分析如下:(,)e U V =1(,())IDv IDs e rQ r H S −+=1(,)(,)IDv IDv IDs e rQ r H e Q S −(,)IDv e Q H (,)IDs IDv e Q S其中,(,)IDs IDv e Q S =(,IDv e rQ )IDs Q =(,)r IDv IDs e Q Q =(,)IDv IDs e Q S 。
4.2 不可传递性指定验证者Verifier 首先选择*'R q r Z ∈,然后计算''IDs U r Q =,1''(')IDv V r H S −=+,其中,'H =H 2(M ,(',)IDv e U S ),生成模拟签名'(',')U V σ=,并且也能使验证等式成立:(',')(,')(,)IDv IDs IDv e U V e Q H e Q S =。
也就是说,不能确定某一签名是Signer 生成的还是由Verifier 模拟的,因此,方案满足不可传递性。
4.3 不可伪造性定理1(不可伪造性) 假设存在一个对手F 在t 时间内最多做1H q 次H 1及2H q 次H 2随机预言机询问、E q 次密钥提取询问、S q 次签名询问的情况下,能以不小于ε的概率区分出2种有效的密文,那么F 能以不小于ε′的概率解决BDH 问题,假设为算法Y 。
证明:对手F 能以不小于ε′的概率解决BDH 问题,即能在已知p 、a p 、b p 、c p (,,a b *1,q c Z p G ∈∈)的情况下,计算出(,)abc e p p 。
系统公钥PUB P 、Singer 身份s ID 和Verifier 身份v ID 都是已知的,通过密钥提取算法可得:IDs Q =H 1(s ID ),IDv Q = H 1(v ID )。
P 是G 1的生成元,因此,可以得到IDs Q aP =,IDv Q bP =,PUB P cP =。
系统设置:F 收到算法Y 发送的系统参数{G 1, G 2,e ,q ,P ,P PUB , H 1, H 2}。
其中,H 1, H 2是由Y 控制的随机预言机,H 1, H 2相对应的询问的表为1H L 、2H L (初始时为空)。
H 1询问:首先F 对i ID 进行H 1询问,然后Y 就开始查找表1H L ,并且给出如下回答:IDi Q =H 1(i ID )=aP ,if i s ID ID =;IDi Q =H 1(i ID )=bP ,if i v ID ID =;否则,IDi Q =H 1(i ID )=i t P ,*i R q t Z ∈,并在表1HL 中增加(i ID ,IDi Q ,i t )。
密钥提取询问:首先F 对i ID 进行密钥提取询问,然后Y 开始查找密钥提取表。
如果i S ≠或i V ≠,则Y 就将i ID 对应的密钥i t cP 返回;否则,Y 就提示模拟失败并 停止。
H 2询问:首先F 对(i M ,(,)i i e U S )进行H 2询问,然后Y 就开始查找2H L 表。
如果(i M ,(,)i i e U S ,i H )∈H 2,就将2i H 输出给F ;否则Y 输出2i H ∈*qZ ,并在表2H L 中增加(i M ,(,)i i e U S ,i H )。
签名询问:首先F 对消息i M ,签名者i ID 和指定验证者j ID 进行询问,Y 可做出如下回应:如果i S ≠或i V ≠,则Y 计算Signer 的私钥IDi i S t cP =,再选择*i R qr Z ∈,并计算i i i U rQ =,i H =H 2(i M ,(,)i i e U S ),i V =1r−(i H +IDi S );如果j S ≠且j V ≠,则Y 计算Verifier 的私钥j j S t cP =,再选择*j R q r Z ∈,并计算j j j U r Q =,j H =H 2(i M ,(,)j j e U S ),1()j j IDj V r H S −=+;否则,退出协议。