m_挠群上一种基于身份的聚合签名方案
- 格式:pdf
- 大小:183.75 KB
- 文档页数:5
⑵密钥提取 :每个用户可根据自己的身份向 PKG索取签名密钥. 用户把自己的身份 I D 发送给 PKG,接到 用户的申请后 , PKG计算 Q ID = H 2 ( I D ) , D ID = sQ ID 并把 D ID 发送给相应的用户 . D ID 即为该用户的签名密钥 . ⑶签名 : 对给定的消息 M , 签名者随机选取 r ∈ Z m , 计算 U = rQ ID , h = H 1 (M , U ) 和 V = ( r +h ) D ID . 消息 M 的签名是 σ = ( U, V ) , 并且发送给验证者 . ⑷验证 : 接收到 σ后 , 验证者计算 h = H 1 (M , U ) , Q = U + hQ ID , 判断 ^ e ( P, V ) 和 ^ e ( Ppub , Q ) 是否相等 . σ是消息 M 的正确签名当且仅当 ^ e ( P, V ) = ^ e ( Ppub , Q ) .
R ∈E [m ]
∑ ( <Q
0
+ R > - < R > ) 的E 上的有理函数 , 其中 Q 0 ∈ E ( F qk ) 并且满足 mQ 0 =Q;
τ = P +R;μ P 是一个平移变换 , 即 τ P (R ) m 是F q k中 m 次单位根所形成的F q k 的子群 . 定理 1 W eil对具有下列性质 : ab 3 ⑴双线性性 : e ( aP, bQ ) = e ( P, Q ) , Π a, b ∈ Z m ; P, Q ∈ E [m ]. ⑵恒等性 : e ( P, P ) = 1, Π P ∈ E [m ]. ⑶非退化性 : 存在 P, Q ∈ E [m ], 使得 e ( P, Q ) ≠ 1. ⑷可计算性 : Π P, Q ∈ E [m ], 存在有效的算法计算 e ( P, Q ) . 关于 W eil对的可计算性 , V. M iller曾给出一个有效的计算 W eil对的方法 . W eil对的恒等性使得在构 造各种密码或签名方案时很不方便 . 所以在密码学中应用的是 W eil对的一个变形 . 定义 4 设 P 是E( Fq ) [m ] 的一个生成元 ,W eil对的变形可定义为 : ^ e ( P, P ) = e ( P,φ ( P ) ) ,φ是椭圆 曲线E上的一个自同态并且满足条件 φ ( P ) 和 P 线性无关 . 注意到 φ ( P ) 也是一个 m 2 挠点 , 但因为E( Fq ) [m ]是循环群而且 φ ( P ) 和 P线性无关 , 所以 φ ( P ) 只能 存在 于 E( F q ) [m ] 之 外 . φ ( P ) 生 成 另 外 一 个 循 环 群 E( F q i ) [m ], 而 且 E [m ] = E ( F q ) [m ] E ( F q i ) [m ]. 显然 ^ e ( P, P ) ≠1, 因为 φ ( P ) 和 P 线性无关 . 假设在 E ( F q ) [m ] 和F qk 上计算离散对数问题 (DLP )是困难的 ,在 E ( F q ) [m ] 上考虑以下两个问题 : ⑴计算 D iffie 2 Hell m an 问题 ⑵决策 D iffie 2 Hell m an 问题
[5]
1 准备工作
1 1 1 m 2 挠群
设 E是有限域Fq上的椭圆曲线 , E ( F q ) 表示坐标在Fq中的所有点的集合 . 又设 m 是一个大的素数并且 满足条件 m | # E ( F q ) , m 8 q - 1, k 是满足条件 m | q - 1的最小正整数 . E ( F q k ) 表示坐标在Fqk中的所有点 的集合 . 由相应的数学知识可知 : E ( E q ) 和E( F qk ) 都是加法群 . 定义 1 设 P 是E上一个点 , m 是满足条件 m P = O 的最小正整数 , 称点 P 为 m 2挠点 .
b mod m Ζ ^ e ( P, P )
c ab
3
m c
, P ∈ E ( F q ) [m ], ^ e ( aP, bP ) = ^ e ( P, P ) , ^ e ( P,
ab
=^ e ( P, P ) Ζ ^ e ( aP, bP ) = ^ e ( P, cP ) . 从而 m 2 挠群是 GDH 群 .
1 13 基于身份的签名方案 L. Cha和 L. Cheon给出的基于身份的签名方案包括 4 个算法 :
⑴系统建立 : 设 G = E ( F q ) [m ] 是一个挠群 , m 应满足的条件如前面所述 , P 是G的一个生成元 . H 1 :
{ 0, 1 } Ppub
3 3 ×G → Z m 和 H 2 : { 0, 1 } → G 是两个密码 Hash函数 . 私钥产生中心 ( PKG) 随机选取 s ∈ Z m , 计算 = sP. 系统的公开参数是 ( G , P, Ppub , H 1 , H 2 ) , s是系统的主钥 . 3
所谓聚合签名
[ 1, 2, 8 ]
就是 n 个不同的用户对 n 个不同的消息分别进行签名 , 所有这些签名能够合成一个
签名 , 而验证方只需对合成后的签名进行验证便可以确信签名是否来自指定的 n 个用户 . 自从 1984 年 [3] Sham ir首次提出基于身份的签名方案 以来 , 相继推出了很多基于身份的加密体制和签名方案 . 但早期的 方案因计算过于复杂而很难推广 . 自从 D. Boneh 于 2001 年首次把双线性对引入密码学建立了一种简单有 [4] 效的基于身份的加密体制 以后 ,利用双线性对所特有的性质 ,具有各种特殊性质的 、 基于身份的加密体制 和签名方案被相继提出 . 这些体制的共同特点是简单而且有效 . L. Cha 和 L. Cheon 在 GDH 群上构造了一种 基于身份的签名方案 ,该方案简单 、 有效 ,而且具有良好的叠加性 ,其安全性也得到了证明 . 下面以该方案 为基础来构筑一个基于身份的聚合签名方案 .
k
收稿日期 : 2004 2 08 2 23 基金项目 : 国家重点基础研究发展规划 ( 973) 资助项目 ( G1999035803) ; 国家自然科学基金资助项目 ( 60373104) 作者简介 : 程相国 ( 1969 2) ,男 ,西安电子科技大学博士研究生 .
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved.
西安电子科技大学学报 (自然科学版 ) 第 32 卷 428
定义 2 所有 m 2挠点所形成的点集 , 形成一个加法群 , 称之为 m 2挠群 , 记作E[ m ] . 令 E ( F q ) [m ] = E [m ] ∩ E ( F q ) , 显然E( Fq ) [m ] 是E( Fq ) 的一个循环子群 , 因为 m 是一个素数 . 1 12 W e il对 定义 3 W eil对 e是如下定义的一个二元函数 : e: E [m ] ×E [m ] →μ = ( gQ . τ m , e ( P, Q ) P ) / gQ , gQ 是 算子为 D iv ( gQ ) =
3
2 基于身份的聚合签名方案
聚合签名方案包括 6 个算法 : ⑴系统建立 : 同 113 节 ⑴. ⑵密钥提取 : 假设系统中共有 n 个成员 , 记作 P1 , P2 , …, Pn. 每个成员 Pi 把自己的身份 I D i 发送给 PKG 索取自己的签名密钥 . 接到用户的申请后 , PGK计算 Q ID i = H 2 ( I D i ) , D ID i = sQ ID i 并把 D ID i 发送给 Pi. D ID i 即
摘要 : 以 Cha和 Cheon给出的基于身份的签名方案为基础 ,在椭圆曲线中的 m 2挠群上给出一种基于身 份的聚合签名方案 , 并证明该方案在随机预言模型下是安全的 . 因为 m 2挠群和基础方案都具有一些良 好的性质 , 所以该方案与基础方案一样简单有效 . 基于身份的聚合签名方案的提出为验证人员对多个 基于身份的签名 (这些签名是多个用户分别用自己的身份对多个不同的消息进行签名所得 ) 进行一次 性验证提供了方便 . 关键词 : 聚合签名 ; 基于身份的签名 ; W eil对 ; m 2 挠群 ; GDH 群 中图分类号 : TP309 文献标识码 : A 文章编号 : 1001 2 2400 (2005) 03 2 0427 2 05
An I D 2ba sed aggrega te signa ture schem e from m 2torsion groups
CHEN G X iang 2guo, L IU J ing 2 m ei, WAN G X in 2 m ei
( State Key Lab. of Integrated Service Networks, Xidian Univ . , Xi′ an 710071, China ) Abstract: Based on the I D 2based signature scheme given by Cha and Cheon, we p ropose an I D 2based aggregate signautre scheme from m 2torsion group s of ellip tic curves . It is p rovably secure in the random oracle model . Due to the nice p roperties of m 2torsion group s and the base scheme, it turns out that our scheme is as efficient as the base scheme. An I D 2based aggregate signature p rovides the one 2tim e verification of many different I D 2based signautres on many diferent messages by many users . Key W ords: aggregate signature; I D 2based signature; W eil pairing; m 2torsion group; GDH group