标准模型下的新的基于身份的短签名方案New identity-based short signature without random oracles
标准模型下格上基于身份的前向安全签名方案
标准模型下格上基于身份的前向安全签名方案在前向安全签名方案中,即使当前的密钥泄露,也能保证先前生成的签名具有不可伪造性。
目前,前向安全环签名方案都是基于大整数分解和离散对数问题,在量子环境下都不安全,从而提出了标准模型下格上基于身份的前向安全签名方案。
标签:基于身份签名;前向安全;格;小整数解问题1 概述Shamir 等人[1]最早提出基于身份的签名方案,一般的基于身份签名方案必须保证密钥的绝对安全,一旦密钥发生泄漏,生成的签名将无效。
针对这个问题,前向安全概念[2]引入到公钥密码系统中。
Ebri等人[5]构造了高效的基于身份的前向签名方案,但是该方案在密码学领域不能够抵抗量子攻击。
因此,首次提出在标准模型下格上基于身份的前向安全签名方案。
参考文献[1]Shamir A. Identity-based Cryptosystems and Signature Scheme. In:Proceedings of advances in Cryptology-CRYPTO’84,LNCS,vol.196.Spring-Verlag,1984:47-53.[2]Anderson R. Tow remark on public key cryptology [C] //CCS 1997. 1997:462-487.[3]Ebri N,Back J,Shoufan A. Forward-secure signature:new genertic constructions and their applications.J Wireless Mob New,Ubiquitous Comput Dependable Appl,2013,4(1):32-54.[4]李明祥,劉阳,赵秀明.高效格上的基于身份的签名方案[J].计算机应用,2014,3(3):825-828.商玉芳(1990-),女,硕士研究生,主要研究领域为信息安全理论与应用。
基于身份的指定验证者签名新方案
Ab tac : ee we e s c i d o s u s a o p ro ma c n mp re ts c rt n t e c re td sg sr t Th r r u h k n fis e s lw e fr n e a d i e fc e u y i h u r n e i— i n td v rf r sg au e o t s mp ra t o e i n e ur a d f ce t e in t d e i e in t r ae — e i in tr .S i i o tn t d sg s c e n e i n d sg ae v rf r sg a u e i e i i i s h me , e i to cin o nt y b s d sg a u e s h me, r p s d a n w D a e e in td v rfe c e s Th n rdu to fi de i — a e in tr c e t p o o e e I b s d d sg a e e i r i sg au e s h me b s d o h d a t g s o h x si g s h me , itd te i trea e lo t m ft e in tr c e a e n t e a v n a e ft e e itn c e s l e h n e r ltd ag r h o h s i s h me Ca re n s c rt n l z d a d h sgv n te te r m n etfc t n i e u e a p c , a e t e c e . rid o e u i a ay e n a ie h h o e a d c ri a i n s c r s e t g v h y i o c s fc l u ai g a u o t e s he o to ac ltn mo ntt h c me. e r s hs s o d t a h e sg au e s h me p o o e a Th e u h we h tt e n w in tr c e r p s d h d me tt es e ic n t r ft e d sg td v rf rsg au e, v r o e e t ha y b e e ae r s n e h p cf a u e o e inae e i in t r o e c med fc st tma ed lg td p e e — i h i e tn n t e d sg a e e f rsg a u e a h a i i g i h e in td v ri in t r tt e s me t i e me. Ke r s: iia in t r I b s d; e i n t d v rf rsg au e y wo d d gtlsg au e;D— a e d sg ae e i e in tr i
标准模型下基于身份的签名方案
标准模型下基于身份的签名方案夏飞;朱艳琴;罗喜召【期刊名称】《计算机应用与软件》【年(卷),期】2012(29)3【摘要】在标准模型下构建安全高效基于身份的签名方案是目前密码学领域的热点研究问题之一.提出并实现一个标准模型下基于身份的签名方案,其安全性依赖于截断的确定性q-ABDHE假设,并被证明是选择ID-CMA安全的,且具有紧规约,同时该方案的公共参数及签名长度皆为常数级.通过与典型方案对比可知,该方案在参数及签名长度、签名用时以及模型复杂度和易实现性等方面具有一定的优势.而实验结果则表明,该方案在对不同类型文件进行签名操作时有着良好的性能表现,签名所用时间与签名文件大小呈线性变化关系.%It is one of the hottest topics in today' s cryptography to construct a secure and efficient identity-based signature (IBS) scheme in standard model. In this paper, we present and implement a new IBS scheme in standard model, which security property depends on the truncated decisional q-ABDHE assumption and is proved to be choosing ID-CMA secured with tight reduction. Furthermore, the lengths of public parameters and signature of the scheme are all in constant size. Comparing other classic IBS schemes with ours in terms of performance and secure model, the scheme presented in the paper has certain predominance in those areas including the lengths of public parameters and signature, the time of signing, the complexity of model and the easiness in realisation. And the experimental results indicate thatthis scheme performs well in operation of signature on files of different types, and its time cost in signature is in linear relationship to the size of the file.【总页数】4页(P55-57,127)【作者】夏飞;朱艳琴;罗喜召【作者单位】苏州大学计算机科学与技术学院,江苏苏州215006;江苏省计算机信息处理技术重点实验室,江苏苏州215006【正文语种】中文【中图分类】TP309【相关文献】1.标准模型下抗持续泄漏的基于身份加密方案 [J], 谢鸣2.标准模型下可公开验证的匿名IBE方案的安全性分析 [J], 杨启良;周彦伟;杨坤伟;王涛3.标准模型下基于格的身份代理部分盲签名方案 [J], 周艺华;董松寿;杨宇光4.标准模型下的灵活细粒度授权密文一致性检测方案 [J], 邓翔天;钱海峰5.标准模型下证明安全的可追踪属性基净化签名方案 [J], 李继国;朱留富;刘成东;陆阳;韩金广;王化群;张亦辰因版权原因,仅展示原文概要,查看原文内容请购买。
标准模型下基于身份的环签名方案
标准模型下基于身份的环签名方案赵艳琦;来齐齐;禹勇;杨波;赵一【摘要】In this paper,we propose an identity-based ring signature scheme based on Waters dual system encryption technology and the orthogonality property of composite order bilinear group operation.The scheme,relying on two simple static assumptions,is fully secure in the standard model.Due to the merit of Hierarchical identity-based encryption (HIBE),the proposed ring signature scheme achieves unconditional anonymity and has much higher computational efficiency.%本文利用Waters提出的对偶系统加密技术,结合合数阶群上双线性运算的正交性,提出了一个基于身份的环签名方案.该方案在标准模型下是完全安全的,其安全性依赖于两个简单的静态假设.该方案借助分级身份加密(Hierarchical Identity-Based Encryption,HIBE)的思想,使得环签名满足无条件匿名性且具有较高的计算效率.【期刊名称】《电子学报》【年(卷),期】2018(046)004【总页数】6页(P1019-1024)【关键词】对偶系统;基于身份的环签名;标准模型;分级身份加密;匿名性【作者】赵艳琦;来齐齐;禹勇;杨波;赵一【作者单位】陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062【正文语种】中文【中图分类】TP3091 引言环签名是由 Rivest等人[1]首次提出,目的在于保证签名者能够以一种完全匿名的方式进行签名.签名者可以匿名选择签名组,而组成员完全不知道被包括在该组中.任何验证者只能确信这个签名来自群组中的某个成员,但不能确认真实签名者的身份.与群签名[2~5]相比,环签名没有群体建立的过程,也无特殊的管理者.不需要预先加入和撤出单个群体,群体的形成是根据需要在签名前由签名者自己指定.根据环签名的完全匿名性,在特殊环境中有不同应用.例如:电子投票[6],匿名电子举报[7,8],Ad Hoc网络认证[9]等.基于身份的密码体制由Shamir首次提出[10],其中直接将用户的身份(如电话号码、身份证号等)作为公钥,不需要维护所签发的证书列表,因此得到广泛的实际应用.基于身份的环签名结合了环签名和身份签名的性质,由Zhang和Kim首次给出了构造[11].2006年Au等人在标准模型下提出了基于身份可证安全的环签名方案[12].近几年,标准模型下基于身份的环签名成为新的研究热点,提出了很多方案[13~16].2009年Waters[17]为解决分离式策略在HIBE安全性证明中的不足,首次提出对偶系统加密技术.在该技术中密文和密钥可分为两种计算不可区分的形式:正常的和半功能的.正常的密文和密钥在实际方案中使用,而半功能的密文和密钥只用在安全性证明中.并运用对偶系统加密技术构造了更紧的完全安全的HIBE方案.该方案的安全性是基于DBDH假设和判定性线性假设,但密文长度随着层数的增加呈线性递增.2010年Lewko和Waters[18]利用对偶系统加密技术构造了短密文的完全安全的HIBE方案.该方案的安全性是基于合数阶群和三个静态假设为对偶系统加密的实现提供了新方法.2011年Lewko和Waters[19]提出无界的HIBE方案,该方案可以构造任意层数的HIBE而不需要在初始化阶段对层数进行限制.2013年Au等人利用Lewko和Waters[19]无界HIBE方案,构造了基于HIBE标准模型下完全安全身份环签名方案[20],但环签名长度随着环成员增加成线性增长,且计算效率较低.本文受Lewko和Waters利用对偶系统可以构造完全安全HIBE的启发,结合Au 等人所提基于HIBE身份环签名[20]结构,构造了一个新的基于HIBE的身份环签名方案.该方案建立在标准模型下,通过使用对偶系统密码技术和合数阶双线性群系统的双线性运算,利用合数阶双线性运算的子群正交性删除了随机标签的介入,使得密钥和签名只包含3个子群元素.该方案的安全性规约在简单的静态假设下,其安全性证明显示方案是存在性不可伪造的,且具有无条件匿名性.与Au等人提出的方案相比,本文的计算效率更高.2 预备知识2.1 符号概念本文中,G表示一个算法,ψ←RG表示G返回随机值ψ.p1,p2,p3表示三个不同的素数,N=p1p2p3,G和GT为N阶循环群,单位元记为1,g←RG表示随机选取群G中元素g.{0,1}*表示任意长的0,1串.N表示模N的整数环,x←RN表示从N中任取一个元素x.用户身份集合L={ID1,…,IDn}.M∈{0,1}*表示M为任意长的0,1串.{x1,y1,x2,y2,…,xn,yn}表示2n个不同元素,简记为2.2 合数阶双线性群合数阶双线性群被首次使用在文献[21]中.一个群生成算法G,输入安全参数λ,输出双线性群G.构建群系统ψ=(N=p1p2p3,G,GT,e),其中e:G×G→GT是双线性映射,满足以下性质:① 双线性性:∀u,v∈G,a,b←RN,e(ua,vb)=e(u,v)ab;② 非退化性:∃ g∈G,使得e(g,g)在GT中阶为N;令Gp1,Gp2,Gp3分别表示G中阶为p1,p2,p3的子群.同时Gp1p2表示G中阶为p1p2的子群.当hi←RGpi,hj←RGpj且i≠j时,e(hi,hj)是GT中单位元,例如h1←RGp1,h2←RGp2,满足e(h1,h2)=1,我们称Gp1,Gp2,Gp3的这一特性为正交性.2.3 安全性假设以下给出的安全性假设均为静态假设,这些假设在文献[18]中已经证明.假设1 给定群系统生成算法G,构建群系统:ψ=(N=p1p2p3,G,GT,e)←RG,选取参数:g,X1←RGp1,X2,Y2←RGp2,X3,Y3←RGp3,已知D=(ψ,g,X1X2,X3,Y2Y3),T1←RG和T2←RGp1p3是不可区分的.其中T1可以被唯一表示成Gp1,Gp2与Gp3中元素的乘积,称这些元素分别是T1中的Gp1部分,T1中的Gp2部分和T1中的Gp3部分.类似地,T2可以表示成Gp1中和Gp3中元素的乘积.假设2 给定群系统生成算法G,构建群系统:ψ=(N=p1p2p3,G,GT,e)←RG,选取如下参数α,s←RN,g←RGp1,X2,Y2,Z2←RGp2,X3←RGp3.已知D=(ψ,g,gαX2,X3,gsY2,Z2),计算出T=e(g,g)αs是困难的.2.4 基于身份的环签名安全模型一个安全的环签名方案需要同时满足不可伪造性和匿名性,详细安全模型见文献[14].3 基于身份的环签名方案3.1 身份环签名构造环签名是在LW10-HIBE基于身份加密系统基础上构造的.Setup:选择N阶双线性群G(N=p1p2p3,p1,p2,p3为不同的素数),用哈希函数将任意长身份映射到N,因此下文假定任一身份ID∈N,H1:{0,1}*×{0,1}*→N 为抗碰撞的hash函数,选择α←RN,g,u1,u2,h∈Gp1,X3←RGp3,α为主密钥.公开参数Extract:生成身份ID对应的私钥,随机选取计算(1)Sign:L={ID1,ID2,…,IDn}作为身份环签名的身份集合,我们假设实际签名者为IDπ(IDπ∈L),签名消息M∈{0,1}*,计算m=H1(M,L),用dIDπ执行以下步骤① 签名者随机选取② i=1,…,n(2)(3)i=π Aπ(4)(5)③ 输出环签名Verify:给定身份集合L={ID1,ID2,…,IDn}关于消息M∈{0,1}*的环签名验证者计算m=H1(M,L),随机生成s←RN 验证等式:(6)如果成立输出Valid,否则输出Invalid.正确性:从下面的推导中很容易得出方案是正确的.=e(g,g)αs(7)3.2 安全性证明定理1 若假设1,2成立,我们构造的方案满足定义1(方案是不可伪造的).证明签名类型分为两种:正常的和半功能的.通过签名算法生成的合法签名称为正常签名.若签名中Ai,Bi(i=1,…,n)是由Gp1,Gp2,Gp3中元素构成,则称为半功能签名.密钥类型也分为两种:正常的和半功能的.通过密钥算法生成的合法密钥dID=(d0,d1,d2),称为正常密钥.若(d0,d1,d2)是由Gp1,Gp2,Gp3中元素构成,则称为半功能密钥.通过一系列不可区分的游戏来完成安全性证明.第一个游戏是Gamereal不可伪造性游戏,返回给敌手A的密钥和签名都是正常的.其次是Gamerestricted游戏,它与Gamereal的区别在于A询问的身份与挑战身份不能是模p2相等的,比Gamereal中A询问的身份与挑战身份不能是模N相等的限制性更强.同时A生成的哈希值,在mod p2时也是可区分的(即A不能生成两个环身份集合和消息,(L,M)≠(L′,M′),但H1(L,M)=H1(L′,M′)mod p2),在后面的游戏中,将保留这个更加严格的限制.其次是Gamek游戏,前k次询问回答是半功能的.例如:第j 次是密钥询问,j<k,返回给A的密钥为半功能的.如果第j次询问为签名询问,j<k,返回给A的签名也为半功能的.否则,返回密钥和签名都是正常的.最后是游戏GameqE+qS,返回给A的密钥和签名都为半功能的.引理1 如果存在一个敌手A使得GamerealAdvA-GamerestrictedAdvA=ε,模拟者S以ε的优势攻破假设1.证明给定g,X1X2,X3,Y2Y3,S和A模拟游戏Gamereal或Gamerestricted.如果A能以ε的优势区分Gamereal和Gamerestricted,那么A就能找到两个身份ID和ID*,使得ID≠ID*mod N,并且p2整除ID-ID*, S通过这些身份计算p=gcd(ID-ID*,N)得到N的一个非平凡因子.设考虑以下三种情况:① p,q中有一个为p1,另一个为p2p3,通过测试(Y2Y3)p和(Y2Y3)q中有一个为单位元,不失一般性的令p=p1,q=p2p3,S通过检测e(Tp,X1X2)是否为单位元,判断T中是否含有Gp2的成分,若是则T中不含有,否则含有.②p,q中有一个为p2,另一个为p1p3,已经排除第一种可能,通过测试(X1X2)p 和(X1X2)q中有一个为单位元,不失一般性的令p=p1,q=p1p3,S通过检测Tq 是否为单位元,判断T中是否含有Gp2的成分,若是则T中不含有,否则含有.③ p,q中有一个为p3,另一个为p1p2,当1,2都不发生时情况3发生.通过测试(X3)p,(X3)q为单位元,不失一般性的令p=p3,S通过检测e(Tp,Y2Y3)是否为单位元判断T中是否含有Gp2的成分,若是则T中不含有,否则含有.引理2 如果存在一个敌手A使得Gamek-1AdvA-GamekAdvA=ε,模拟者S以ε的优势攻破假设1.证明分为两部分,Part 1中A进行qE次密钥询问.Part 2中A进行qS次签名询问.在进行签名询问时,因为敌手已经进行了qE次密钥询问,得到的密钥都是半功能的,敌手只需进行qS次签名询问,生成相应的签名.设j是Gamek中A所做的密钥询问的次数,S根据j和k的大小关系来返回密钥和签名是正常的或半功能的.证明(Part 1) 当0<k<qE时,A进行qE次密钥询问.Setup:S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek.参数设置如下:随机选择α,a1,a2,b←RN,令g=g,u1=ga1,u2=ga2,h=gb,选择哈希函数H1,公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A.A收到的公开参数与实际公开参数的分布是相同的.Extract Query:A对于身份ID进行生成密钥询问,在游戏Gamek中0<k<qE,敌手进行第j次密钥生成询问.qE>j>k,S使用Extract算法产生正常密钥,随机选择r,t,w,v←RN,计算对于A 来说收到的密钥是正确的.0<j<k,A对身份ID进行第j次生成密钥询问,S生成半功能密钥,随机选择r,z,t,v←RN,计算(8)对于A来说收到的密钥是正确的.j=k,A对身份ID进行第j次生成密钥询问,S计算zk=a1ID+b,随机选择w,v←RN,计算如果T←RG,生成的是半功能密钥,如果T←RGp1p3,生成的是正常密钥(gr为T中的Gp1部分).Signature Query:A发起对群组成员L和消息M的签名询问.对于某个身份ID∈L,S计算m=H1(M,L),随机选取ri,wi,ti,λi←RN,(i=1,…,n),λ1+λ2+…+λn=0,运行Sign算法生成L和M的签名,计算:i=1,…,n,Bi=griX3ti(10)(11)Bπ=gr+rπX3t+tπ(12)对于A来说收到的签名和实际签名是不可区分的.证明(Part 2) 当qE<k<qE+qS时,A进行qS次签名询问.Setup:S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek.参数设置如下:随机选择α,a1,a2,b←RN,令g=g,u1=ga1,u2=ga2,h=gb,选择哈希函数H1,公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A.A收到的公共参数与实际公开参数的分布是相同的.Extract Query:A对于身份ID进行生成密钥询问,在游戏中A已经进行过qE次密钥生成询问,生成密钥都为半功能的.Signature Query:A发起对群组成员L和消息M的签名询问.在游戏Gamek 中qE<k<qE+qS,A对于身份ID进行第j次签名询问.qE+qS>j>k,S计算m=H1(M,L),随机选取ri,wi,ti,λi←RN,(i=1,…,n),λ1+λ2+…+λn=0,运行Sign算法生成L和M的签名,计算正常签名:i=1,…,n(13)Bi=griX3ti(14)Bπ=gr+rπX3t+tπ(16)qE<j<k,S计算m=H1(M,L),随机选取ri,wi,ti,λi←RN,(i=1,…,n),λ1+λ2+…+λn=0,运行Sign算法生成L和M的签名,计算半功能签名:i=1,…,n(17)Bi=griX3ti(18)(19)Bπ=gr+rπ(Y2Y3)tX3tπ(20)j=k,S计算m=H1(M,L),随机选取ri,wi,ti,λi←RN,(i=1,…,n),λ1+λ2+…+λn=0,运行Sign算法生成L和M的签名:i=1,…,n(21)Bi=griX3ti(22)(23)Bπ=grπTX3tπ(24)如果T←RGp1p3,S能够正确的模拟Gamek-1.如果T←RG,S能够正确的模拟Gamek.A能够区分出Gamek-1和Gamek,因此,S可以根据A输出值区分T的两种不同情况.引理3 如果存在一个敌手A使得GamerealAdvA-GameqE+qSAdvA=ε,模拟者S以ε的优势攻破计算性假设2.证明 Setup:S构造(g,gαX2,X3,gsY2,Z2,T) 和A模拟游戏GameqE+qS.S随机选择a1,a2,b←RN ,设置公共参数g=g,u1=ga1,u2=ga2,h=gb,e(g,g)α=e(gαX2,g),选择哈希函数H1,公开参数param={N,g,u1,u2,h,H1,e(gαX2,g)}发给A.Extract Query:A对于身份ID进行第j次生成密钥询问,S生成半功能密钥,随机选择c,r,w,z,t,v,q←RN ,计算(25)Signature Query:A发起对群组成员L和消息M的签名询问.对于某个身份ID∈L,S计算m=H1(M,L),然后运行Sign算法生成L和M的半功能签名.S随机选计算i=1,…,n(26)(27)i=π,(28)(29)Forgery:A输出环成员L和M的签名先计算m=H1(M,L),对于任意的s←RN,S计算(30)这样就计算出e(g,g)αs,敌手A能够以不可忽略的优势ε攻击成功,那么模拟者S以ε的优势攻破计算性假设2.由以上3个引理及一系列游戏得证,我们的方案满足定义1,即我们的方案是不可伪造的.在不可伪造性证明中,敌手无需事先提交挑战身份,而是在密钥提取询问后适应性选择攻击目标,故而本文方案是完全安全的.定理2 我们的方案满足定义2(方案是无条件匿名的).证明通过模拟者S和敌手A之间游戏完成无条件匿名性证明.Game0游戏模拟对身份ID0进行签名,Game1游戏模拟对身份ID1进行签名.如果敌手对两个游戏视图不可区分,那么我们的方案满足无条件匿名性.Game0游戏:(1) 系统参数设置:S输入参数λ,并运行Setup算法生成系统参数param和主密钥α,选择α←RN,g,u1,u2,h∈Gp1,X3←RGp3,选择哈希函数H1.公开参数param={N,g,u1,u2,h,X3,H1,e(g,g)α}和主密钥发送给敌手A.(2) A输出消息M,两个身份ID0,ID1,身份集合L (ID0,ID1∈L)给模拟者.模拟者生成ID0私钥dID0并计算m=H1(M,L),实际签名者IDπ=ID0,用dIDπ=dID0执行以下步骤:① 随机选取② 对于i=1,…,n(31)(32)(33)(34)S生成签名并发送给A.Game1游戏和Game0游戏的不同在于S生成ID1私钥dID1,实际签名者IDπ=ID1,模拟者用dID1生成签名并发送给A.两个签名中存在随机化元素和R1是同分布的,生成签名σ0和σ1也是同分布的.对于A视图Game0和Game1是不可区分的,A识别出实际签名者的优势不大于随机猜测.因此,环签名方案是无条件匿名的.3.3 性能分析下面从计算效率和所用技术把新方案与已有的标准模型下基于身份环签名方案进行对比.用n表示环签名中群组的成员个数,文献[20]的签名长度为4n+4,本文签名长度为2n.相比较文献[20]本文采用合数阶群下两个子群判定性假设(Subgroup),达到基于身份的存在性不可伪造(EUF-CMA).在计算效率上主要对双线性对配对运算,群G中的幂指数运算和群GT中的幂指数运算进行比较,具体的对比如表1所示,在性能比较中,用P表示一个双线性对运算时间,用E表示GT中幂指数运算时间,用F表示G中幂指数运算时间.通过比较可以看出相对于文献[20],本文在签名长度和计算效率得到了很大改进,并满足安全性要求.表1 与标准模型下基于身份的环签名方案对比方案基础方案困难性假设群的类型不可伪造性系统建立私钥提取签名验证文献[20]LW11Subgroup(4个)合数阶EUF-CMA1P7F(7n+7)F(4n+1)P+1E+(4n+6)F本文LW10Subgroup(2个)合数阶EUF-CMA1P5F(4n+2)F2nP+1E+(2n+2)F4 总结本文在标准模型下提出了一个新的基于身份的环签名方案,该方案满足无条件匿名性,且满足存在性不可伪造.与现有的基于身份环签名方案相比,新方案在标准模型下基于HIBE构造了完全安全的身份环签名,在计算效率和安全性上都有了较大改善.我们把构造固定长度的标准模型下安全的基于身份的环签名方案作为下一步研究方向.参考文献【相关文献】[1]RIVEST R,SHAMIR A,TAUMAN Y.How to leak a secret[A].The 7th International Conference on the Theory and Application of Cryptology and InformationSecurity[C].Gold Coast,Australia,2001.552-565.[2]张福泰,张方国,王育民.群签名及其应用[J].通信学报,2001,22(1):77-85.ZHANG Fu-tai,ZHANG Fang-guo,WANG Yu-min.Group signature and itsapplications[J].Journal of Communications,2001,22(1):77-85.(in Chinese)[3]陈泽文,张龙军,王育民,等.一种基于中国剩余定理的群签名方案[J].电子学报,2004,32(7):1062-1065.CHEN Ze-wen,ZHANG Long-jun,WANG Yu-min,et al.A group signature scheme based on Chinese remainder theorem[J].Acta Electronica Sinica,2004,32(7):1062-1065.(in Chinese) [4]张键红,伍前红,邹建成,等.一种高效的群签名[J].电子学报,2005,33(6):1113-1115.ZHANG Jian-hong,WU Qian-hong,ZOU Jian-cheng,et al.An efficient group signature scheme[J].Acta Electronica Sinica,2005,33(6):1113-1115.(in Chinese)[5]李继国,孙刚,张亦辰.标准模型下可证安全的本地验证者撤销群签名[J].电子学报,2011,39(7):1618-1623.LI Ji-guo,SUN Gang,ZHANG Yi-chen.Provably secure group signature scheme with verifier-local revocation in the standard model[J].Acta Electronica Sinica,2011,39(7):1618-1623.(in Chinese)[6]CHOW S S M,SUSILO W,YUEN T H.Escrowed linkability of ring signtures and its applications[A].First International Conference on Cryptology inVietnam[C].Hanoi,Vietnam,2006.175-192.[7]苗付友,王行甫,苗辉,等.一种支持悬赏的匿名电子举报方案[J].电子学报,2008,36(2):320-324. MIAO Fu-you,WANG Xing-Fu,MIAO Hui,et al.An anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2008,36(2):320-324.(in Chinese)[8]王化群,于红,吕显强,等.一种支持悬赏的匿名电子举报方案的安全性分析及设计[J].电子学报,2009,37(8):1826-1829.WANG Hua-qun,YU Hong,LÜ Xian-qiang,et al.Cryptanalysis and design of an anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2009,37(8):1826-1829.(in Chinese)[9]YANG X,WEI W,JOSEPH K L,CHEN X F.Lightweight anonymous authentication for ad hoc group:a ring signature approach[A].International Conference on ProvableSecurity[C].Kanazawa,Japan,2015.215-226.[10]SHAMIR A.Identity-based cryptosystems and signature schemes[A].The Workshop on the Theory and Application of Cryptographic Techniques[C].California,USA,1984.47-53. [11]ZHANG F G,KIM K.ID-based blind signature and ring signature frompairings[A].International Conference on the Theory and Application of Cryptology and Information Security[C].Queenstown,New Zealand,2002.533-547.[12]AU M H,JOSPH K L,YUEN T H,et al.ID-based ring signature scheme secure in the standard model[A].International Workshop on Security[C].Kyoto,Japan,2006.1-16. [13]张跃宇,李晖,王育民.标准模型下基于身份的环签名方案[J].通信学报,2008,29(4):40-44. Zhang Yue-yu,LI Hui,WANG Yu-min.Identity-based ring signature scheme under standard model[J].Journal of Communications,2008,29(4):40-44.(in Chinese)[14]刘振华,胡予濮,牟宁波,等.新的标准模型下基于身份的环签名方案[J].电子与信息学报,2009,31(7):1727-1731.LIU Zhen-hua,HU Yu-pu,MU Ning-bo,et al.New identity-based ring signature in the standard model[J].Journal of Electronics & Information Technology,2009,31(7):1727-1731.(in Chinese)[15]张明武,杨波,姚金涛,等.标准模型下身份匿名签名方案分析与设计[J].通信学报,2011,32(5):40-46.ZHANG Ming-wu,YANG Bo,YAO Jin-tao,et al.Cryptanalysis and design of signature schemes with identity ambiguity in the standard model[J].Journal of Communications,2011,32(5):40-46.(in Chinese)[16]葛爱军,马传贵,张振峰,等.标准模型下固定长度的基于身份环签名方案[J].计算机学报,2012,35(9):1874-1880.GE Ai-jun,MA Chuan-gui,ZHANG Zhen-feng,et al.Identity-based ring signature schemewith constant size signatures in the standard model[J].Chinese Journal of Computers,2012,35(9):1874-1880.(in Chinese)[17]WATERS B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[A].Advances in Cryptology-CRYPTO[C].California,USA,2009.619-636. [18]LEWKO A,WATERS B.New techniques for dual system encryption and fully secure HIBE with short ciphertexts[A].Theory of CryptographyConference[C].Zurich,Switzerland,2010.455-479.[19]LEWKO A,WATERS B.Unbounded HIBE and attribute-based encryption[A].Annual International Conference on the Theory and Applications of Cryptographic Techniques[C].Tallinn Estonia,2011.547-567.[20]AU M H,JOSPH K L,SUSILO W,ZHOU Jian-ying.Realizing fully secure unrestricted ID-based ring signature in the standard model based on HIBE[J].IEEE Transactions on Information Forensics and Security,2013,8(12):1909-1922.[21]BONEH D,GOH E-J,NISSIM K.Evaluating 2-DNF formulas on ciphertexts[A].Theory of Cryptography Conference[C].Cambridge,MA,USA,2005.325-341.。
新的基于身份无可信私钥生成中心的部分盲签名方案
,
scheme and put forward a new ID—based partial blind sign ature scheme without trusted centre.Subsequently,we proved that the new scheme was existentially unforgeable under random oracle m odel against adaptive chosen message and identity attack,and that the new scheme was also able to resist tampering public information attack, as well a s satisf ied the partial blindness. By comparing with other partially blind signature SChemes in efi ciency,we found that the new scheme had higher ef iciency.
Keywords ID-based W ithout trusted private key generator Partially blind sig n ature scheme Random oracle model
标准模型下基于身份的数字签名方案
标准模型下基于身
02
份的数字签名方案
的核心概念
数学基础
01
群论
基于身份的数字签名方案涉及大量的群论知识,如有限群、离散对数等
。群论为该领域提供了丰富的数学工具,用于定义和描述数字签名方案
中的各种概念和操作。
02
密码学
密码学是研究如何保护信息安全的科学。基于身份的数字签名方案是密
码学的一个重要分支,它利用数学和计算机科学的知识来保护信息的机
物联网安全
在物联网应用中,使用基于身份的数字签名方案可以确保 传感器数据的机密性和完整性,以及验证数据来源。
基于身份的数字签名的优势
简化管理
采用基于身份的数字签名方案可以简化密 钥管理过程,因为用户的密钥与其身份相
关联,易于管理和分发。
提高安全性
基于身份的数字签名方案采用用户 的身份信息作为签名的密钥,与其 他类型的签名方案相比,更难以被
• 标准模型下基于身份的数字签名方案的未 来研究方向与挑战
基于身份的数字签
01
名概述
定义与特点
• 基于身份的数字签名定义:基于身份的数字签名是一种数字 签名方案,其中签名者的身份信息被用来生成其数字签名。 这种签名方案具有很高的便捷性,因为签名者不需要向其他 人证明其身份,只需要使用其身份信息就可以生成数字签名 。
在数字签名方案中的应用
在基于身份的数字签名方案中,双线性映射被用于实现签名和验证过程。它可 以将消息和签名者的标识符合并成一个二元组,然后对这个二元组进行签名。 验证者可以通过双线性映射来验证签名的有效性。
困难问题
离散对数问题
离散对数问题是数学中的一个经典难题 ,即在有限群中,给定一个元素的指数 ,如何有效地找到它的阶?在基于身份 的数字签名方案中,离散对数问题被用 于确保签名的安全性和正确性。
一种新的基于身份的代理签名方案
一种新的基于身份的代理签名方案王勇兵;张学亮;仇宾【期刊名称】《计算机工程》【年(卷),期】2011(037)007【摘要】Through the security analysis of an ID-based proxy signature scheme (Journal of Harbin Institute of Technology, 2008, No2), this paper points out it is unsafe and suffers from forgery attack launched by PKG.PKG not only can counterfeite proxy-authorization, but also can forgery a valid proxy signature.An improved scheme based on the property of original scheme is proposed and its security weakness is overcome.In the new scheme, the power of PKG is limited and the benefit of signer is protected, so it is more secure and efficient.%分析一种基于身份的代理签名方案(哈尔滨工业大学学报,2008年第7期),指出其不安全性,容易受到PKG发起的假冒伪造攻击,PKG可以假冒原始签名人代理授权,也可以伪造有效的代理签名.给出改进方案,以纠正原方案的错误,可有效弥补原方案的设计缺陷,限制PKG的权限,保护签名人的利益.【总页数】3页(P157-159)【作者】王勇兵;张学亮;仇宾【作者单位】河北师范大学附属民族学院,石家庄,050091;河北师范大学附属民族学院,石家庄,050091;河北师范大学附属民族学院,石家庄,050091【正文语种】中文【中图分类】TP309【相关文献】1.一种基于身份原始签名者和基于证书代理签名者的代理签名体制 [J], 辛向军;孙垒2.一种格上基于身份的代理签名方案 [J], 王黎3.一个新的基于身份的强代理签名方案 [J], 田秀霞;曹珍富4.新的标准模型下基于身份的代理签名方案 [J], 冀会芳;韩文报;刘连东5.新的基于身份的强指定验证者代理签名方案 [J], 向新银;王晓峰;王尚平;林婷婷;王娟因版权原因,仅展示原文概要,查看原文内容请购买。
标准模型下可托管的基于身份认证密钥协商
标准模型下可托管的基于身份认证密钥协商陈明【期刊名称】《电子学报》【年(卷),期】2015(000)010【摘要】现有会话密钥可托管的 ID-AKA(IDentity-based Authenticated Key Agreement)协议要么存在已知安全缺陷,要么是在随机预言模型下可证明安全。
基于 Boneh 等人定义的安全陷门函数,提出一种会话密钥可托管的 ID-AKA 协议。
在 ID-BJM模型基础上,扩展定义了 ID-AKA 协议分析的标准安全模型。
扩展模型将安全游戏划分为两个阶段,去除了随机预言机,能完备地模拟不同类型敌手的行为。
在扩展模型下,新协议的安全性被规约为多项式时间敌手求解判定性 BDH (Bilinear Diffie-Hellman)难题和判定性 BDHI(Bilinear Diffie-Hellman Inversion)难题,具有可证明安全性。
%In recent years,a few escrowable ID-AKA protocols have been proposed,but none of them are provably securein the standard model while simultaneously having strong security.The main issue is how a simulator is able to deal with reveal-queries withoutthe help of random oracles.In this paper,we presented a method incorporating a built-in security trapdoor function in an es-crowable ID-AKA protocol.The security of our protocol relied on the hardness of the decisional Bilinear Diffie-Hellman Inversion problem.Meanwhile,we extended the security game of ID-AKA protocols to resist stronger adversarial powers,which allowed our security game to capture additional security properties such as perfect forward secrecy,ephemeral secretsreveal resistance and so on.Assuming that no adversary can obtain the master secret key and each party in the protocol has at least one uncompromised se-cret,our scheme is secure.【总页数】9页(P1954-1962)【作者】陈明【作者单位】宜春学院数学与计算机科学学院,江西宜春 336000【正文语种】中文【中图分类】TP309【相关文献】1.标准模型下基于身份的认证密钥协商协议 [J], 叶伟伟;欧庆于2.标准模型下增强的基于属性的认证密钥协商协议 [J], 李强;冯登国;张立武;高志刚3.标准模型下基于身份的认证密钥协商协议 [J], 任勇军;王建东;王箭;徐大专;庄毅4.高效的标准模型下基于身份认证密钥协商协议 [J], 高志刚;冯登国5.高效的标准模型下基于身份认证的密钥协商协议研究 [J], 刘会珍因版权原因,仅展示原文概要,查看原文内容请购买。
标准模型下基于格的身份代理部分盲签名方案
doi:10.3969/j.issn.1671-1122.2021.03.005标准模型下基于格的身份代理部分盲签名方案周艺华,董松寿,杨宇光(北京工业大学信息学部,北京 100124)摘 要:基于格的身份代理盲签名被广泛用于电子商务、电子政务以及软件安全等领域。
针对基于格的代理盲签名中存在的主密钥泄露、恶意用户攻击、签名伪造等问题,文章提出一种标准模型下基于格的身份代理部分盲签名方案。
该方案采用矩阵级联技术构造签名公钥,解决了已有方案中的主密钥泄露问题;采用部分盲签名技术解决了全盲签名方案中恶意用户攻击问题。
安全性分析表明,该方案不仅可以实现代理签名和盲签名的功能,还具有抵抗主密钥泄露攻击、抵抗恶意用户攻击以及自适应选择消息攻击条件下存在不可伪造性(EUF-CMA)等安全特性。
关键词:盲签名;代理签名;格;漏洞;抗量子中图分类号:TP309 文献标志码: A 文章编号:1671-1122(2021)03-0037-07中文引用格式:周艺华,董松寿,杨宇光.标准模型下基于格的身份代理部分盲签名方案[J].信息网络安全,2021,21(3):37-43.英文引用格式:ZHOU Yihua, DONG Songshou, YANG Yuguang. A Lattice-based Identity-based Proxy Partially Blind Signature Scheme in the Standard Model[J]. Netinfo Security, 2021, 21(3): 37-43.A Lattice-based Identity-based Proxy Partially Blind SignatureScheme in the Standard ModelZHOU Yihua, DONG Songshou, YANG Yuguang(Faculty of Information Technology, Beijing University of Technology, Beijing 100124, China)Abstract: A lattice-based identity-based proxy partially blind signature scheme is widely used in E-business, E-government, software security, and many applications. Considering theproblems of master key leakage, malicious user attack and signature forgery in lattice-basedproxy blind signature, a lattice-based identity-based proxy partially blind signature schemeunder the standard model is proposed, which constructs the public key of signature by usingmatrix cascade technology rather than matrix multiplication technology. It solves the problemof master key leakage in the existing schemes, and uses partial blind signature technology tosolve the problem of malicious user attack in the fully-blind signature scheme. The analysisof security shows that the scheme not only realizes the functions of proxy signature and blindsignature, but also contains some security features such as preventing the disclosure of themaster private key, resisting the attacks from malicious user and existential unforgeabilityunder adaptive chosen message attacks(EUF-CMA).Key words: blind signature; proxy signature; lattice; vulnerability; anti-quantum基金项目:国家自然科学基金[62071015]作者简介:周艺华(1969—),男,北京,副教授,博士,主要研究方向为网络与信息安全、多媒体信息检索与内容安全、密码学;董松寿(1996—),男,河南,硕士研究生,主要研究方向为抗量子密码;杨宇光(1976—),女,北京,教授,博士,主要研究方向为信息安全。
基于身份的分等级密码方案研究
摘要标准模型下的密码研究是为了解决随机预言机模型下理想化的安全性证明,而现实应用中,随机预言机模型达不到理想化的安全性证明。
标准模型在实际的应用中,基于某种数学难题来论证方案的安全性,具有实际意义。
标准模型下的密码研究可以应用于很多场景,比如电子商务、云计算中的高效存储以及身份鉴别等应用。
本文主要利用形式化定义和安全性证明来组织方案的,主要进行的工作如下:(1)为解决数据共享系统中隐私部署和效率管理问题,本文构造了一个基于身份的分等级加密(HIBE)方案,在标准模型下达到选择身份和选择明文攻击安全的不可区分性(IND-CIVS-CPA)。
此方案中,利用4个静态假设,对不同素数中的元素构造私钥,生成短的固定密文,并正确解密。
实验结果表明,该CPA安全的分等级加密方案具有固定的3个密文,只需计算两个双线性对,对比同类型方案具有高效性。
根据提出的CPA安全的HIBE方案转换为紧凑型的CCA2安全的HIBE方案。
此方案中我们将根节点虚拟化,任何敌手不可以获得虚拟用的(PKG根节点)的私钥,但是可以用于密文是否有效进行检验。
实验结果中,与CPA安全的HIBE方案比较,加密算法中的指数运算和乘法运算一样,但是多了一次哈希运算。
在解密算法中,指数运算和乘法运算一样,但是多了2次的双线性对的运算。
虽然计算开销有所增加,但是达到了该方案的选择身份和选择密文攻击的不可区分性(IND-CIVS-CCA2)。
(2)基于CPA安全的HIBE,构造了一种通用的基于身份的分等级签名方案。
此方案中,主管用户可以将私钥生成与签名验证委托给下属用户。
在标准模型下,利用双系统技术,此方案被证明选择身份向量和选择密文攻击是存在不可伪造性的(EF-CMA)。
实验结果表明,该方案具有较短的私钥长度和签名长度及较低的计算开销,具有高效性。
关键词:分等级加密,双系统,标准模型,静态假设,分等级签名AbstractIn the standard model, the cryptographic study is to solve the idealized security proof under the random oracle model. In fact, the random oracle model does not achieve an idealized security proof. In the practical application, the standard model demonstrates the security of the scheme based on some mathematical problem and has practical significance. Cryptographic research under the standard model can be applied to many scenarios, such as e-commerce, efficient storage in cloud computing, and identity authentication. This paper mainly uses formal definition and security proof to organize the program. The main work is as follows:(1)This paper constructed an hierarchical identity-based encryption (HIBE) scheme, in order to solve the problem of privacy deployment and efficiency management in data sharing system, which achieved the indistinguishability of selecting identity and selecting plaintext attack security under the standard model (IND-CIVS-CPA). In this scheme, four static hypotheses were used to construct a private key for elements in different prime numbers, generated a short fixed ciphertext, and decrypted it correctly. The experimental results show that the CPA security hierarchical encryption scheme has three fixed ciphertexts, only two bilinear pairs are calculated, and the scheme of the same type is efficient. Converted to a compact CCA2 secure HIBE solution based on the proposed CPA-safe HIBE solution. In this scenario, we virtualized the root node, and any adversary could't get the private key of the virtual (PKG root node), but it could be used to check whether the ciphertext is valid. In the experimental results, compared with the CPA-safe HIBE scheme, the exponential operation and the multiplication operation in the encryption algorithm are the same, but one more hash operation. In the decryption algorithm, the exponential operation is the same as the multiplication operation, but the operation of the bilinear pair is two more times. Although the computational overhead has increased, the selective identity of the scheme and the indistinguishability of the selected ciphertext attack (IND-CIVS-CCA2) have been achieved.(2)Based on CPA security HIBE, a general identity-based hierarchical signature scheme was constructed. In this scenario, the supervisor user could delegate private key generation and signature verification to subordinate users. Under the standard model, using the dual-system technique, this scheme proved that the selection of identity vectors and the selection of ciphertext attacks were unforgeable (EF-CMA). The experimental results show that the scheme has a short private keylength and signature length and low computational overhead, and is highly efficient.Key words: Hierarchical encryption, Dual system, Standard model, Static assumption, Hierarchical signature目录第一章绪论 (1)1.1研究背景与意义 (1)1.2研究现状 (2)1.3本文主要工作 (5)1.4论文组织结构 (6)第二章相关理论知识 (8)2.1数学理论知识 (8)2.1.1 同余及剩余类 (8)2.1.2 拉格朗日插值定理 (9)2.1.3 群,阶 (10)2.2密码学知识 (10)2.2.1 密码学基本概念 (10)2.2.2 可证明安全性 (11)2.2.3 RO模型和标准模型 (12)2.3 双线性映射 (13)2.3.1 双线性对 (13)2.3.2 合数阶双线性群 (13)2.4 复杂性假设 (14)2.5 对偶加密系统 (15)2.6 基于身份的加密方案 (15)2.6.1 IBE方案的形式化定义 (15)2.6.2 IBE方案的安全模型 (16)2.7 基于身份的签名方案 (17)2.7.1 IBS方案的形式化定义 (17)2.7.2 IBS方案的安全模型 (17)2.8 本章小结 (18)第三章基于身份的分等级加密方案 (19)3.1 HIBE形式化定义 (19)3.2 HIBE安全模型 (20)3.3 HIBE方案构造 (21)3.4 HIBE方案分析 (23)3.4.1 正确性分析 (23)3.4.2 安全性分析 (23)3.4.3 有效性分析 (29)3.5 IND-CIVS-CCA2安全的HIBE方案 (30)3.5.1 基本方案 (30)3.5.2 安全性分析 (31)3.6 本章小结 (38)第四章基于身份的分等级签名方案 (39)4.1 HIBS形式化定义 (39)4.2 HIBS安全模型 (40)4.3 HIBS方案构造 (41)4.4 HIBS方案分析 (42)4.4.1 正确性分析 (42)4.4.2 安全性分析 (42)4.4.3 有效性分析 (48)4.5 本章小结 (48)第五章总结与展望 (49)5.1 总结 (49)5.2 展望 (50)参考文献 (51)附录1 攻读硕士学位期间撰写的论文 (54)致谢 (55)第一章绪论1.1研究背景与意义随着计算机网络技术的发展,各种信息服务伴随着人们的生活,人们得益于信息化带来福利的同时,也受到了大量的信息泄露,信息安全得不到有效的保障。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Procedia Engineering 15 (2011) 3445 – 34491877-7058 © 2011 Published by Elsevier Ltd.doi:10.1016/j.proeng.2011.08.645Available online at vailable online at Procedia EngineeringProcedia Engineering 00 (2011) 000–000 /locate/procediaOpen access under CC BY -NC-ND license.3446 Leyou Zhang et al. / Procedia Engineering 15 (2011) 3445 – 3449that it would be more efficient if there was no need for such a binding [6]. It is called identity-based cryptography. Identity-based encryption (IBE) was introduced firstly in [6]. The first identity-based signature(IBS) scheme was proposed by Shamir[6], but the size of generated signature is quite large, which has 2048 bits when one utilizes a 1024-bit RSA modulus. Guillou and Quisquater [7] improved Shamir’s scheme and shortened the signature size to 1184 bits when one uses 1024-bit RSA modulus and 160-bit hash function. Boneh and Franklin [8] founded that bilinear pairings on elliptic curves could be used to make ID-based encryption scheme possible and practical. Now, many IBS schemes [10-16] are proposed based on bilinear pairings. These signatures generated by [10-16] are much shorter and simpler than signatures from schemes in [7,9], which achieve approximately 320-bit size. However, these schemes are provable secure in the random oracles model. Many results have shown that security in the random oracle model does not imply the security in the real world. Security in the standard model usually provides a higher security level than security in the random oracle model. The well known construction of IBS in the standard model was proposed in [17]. It is based on the Waters’s scheme[18]. So the public keys size is much larger than the previous schemes. In addition, the size of the proposed scheme achieves 480 bits. Our Contributions A natural extension of the efforts is to provide a more efficient scheme. We propose a new scheme in this paper. Our scheme contains some desirable features over the previous works, such as constructed in standard model and short public keys and private keys. In addition, The size of signature achieves 320 bits, which is more efficient than the existing schemes. Under the n -CDH assumption, our scheme is provably secure against selective-identity and message attack. 2.Preliminaries2.1. Hardness AssumptionDefinition 1 (n -Exponent Computational Diffie-Hellman Problem) Given a groupG of prime order p with generator g and elements g α,2g α,L ,ng αG ∈, where is selected uniformly at random from αp Z and n ≥ 1, the n -CDH problem in G is to compute 1n g α+.Definition 2 We say that the (t ,)n -CDH assumption holds in a group G , if no adversary running in time at most t can solve the n -CDH problem in G with probability at least .εε2.2. Security DefinitionAn IBS scheme is secure if it satisfies two requirements, Correctness and Existential Unforgeability.The standard notion of security for a signature scheme is called existential unforgeability under a chosen message attack [12-17], which is defined using the following game between a challenger and an adversary A:Inti : The adversary first outputs the challenge identity .***1(,,)n ID v v = Setup The challenger runs algorithm KeyGen to obtain a public key PK and a private key SK . The adversary A is given PK .Queries Proceeding adaptively, A requests signatures on at most s q messages of his choice 1M ,L ,s q M ∈ {0, 1}, under PK. The challenger responds to each query with a signature .(,Sign M σ=)SK i i Forgery A outputs a pair (M ,) and wins the game if (1) M is not any of (σ1M , ,s q M ); (2)Verify (PK ,M ,)=Valid .σDefinition 3 A signature scheme is (t ,) existentially unforgeable under a weak adaptive chosen message attack if no probabilistic polynomial time(running in time at most t ) adversary has a non-negligible advantage in the above game. εε3. Our new construction3447 Leyou Zhang et al. / Procedia Engineering 15 (2011) 3445 – 34493448Leyou Zhang et al. / Procedia Engineering 15 (2011) 3445 – 34493449Leyou Zhang et al. / Procedia Engineering 15 (2011) 3445 – 3449AcknowledgmentThis work is partially supported by the Nature Science Foundation of China under grant (60970119, 60803149), the National Basic Research Program of China(973) under grant 2007CB311201 and the Fundamental Research Funds for the Central Universities of China.References[1] Bellare M., Neven G.. Multi-signatures in the plain public-key model and a general forking lemma. In proceedings of the13th ACM Conference on Computer and Communication Security, 2006, pp. 390-398.[2] Barr K., Asanovic K.. Energy aware lossless data compression. ACM Transactions on Computer Systems, 2006, 24(3): 250-291.[3] Tso R., Gu C., Okamoto T. and Okamoto E.. Efficient ID-based digital signatures with message recovery. In proceedings ofthe 6th international conference on cryptology and network security (CANS 2007), LNCS 4586, 2007, pp.47-59.[4] Zhang F., Susilo W., and Mu Y.. Identity-based partial message recovery signatures (or How to shorten ID-based signatures).In proceedings of FC’05, LNCS 3570, 2005, pp.45-56.[5] Boneh D., Lynn B. and Shacham H.. Short signatures from the Weil pairing. In proceedings of Advances in cryptology –CRYPTO’01, LNCS 2248, 2001, 514-532.[6] Shamir A. . Identity-based Cryptosystems and Signature Schemes. In proceedings of Advances in Cryptology-CRYPTO,LNCS 196,1984, pp. 47-53.[7] Guillou L.C. and Quisquater J.J., A‘paradoxical’ identitybased signature scheme resulting from zero-knowledge. In proceedings of Crypto’88, LNCS 403, 1988, pp. 216-231.[8] Boneh D., Franklin M.. Identity Based Encryption from the Weil Pairing. In proceedings of Advances in Cryptology-CRYPTO, LNCS 2139, 2001, pp. 213-229.[9] Gentry C.. Practical identity-based encryption without random oracles. In proceedings of Advances in Cryptology-EUROCRYPT, LNCS 4404, 2006, pp. 445-464.[10] Cha J.C. and Cheon J.H., An identity-based signature from gap diffie-hellman groups, Cryptology ePrint Archive,Report2002/018, 2002.[11] Hess F., Efficient identity based signature schemes based on pairings, In Proceedings of 9th workshop on selected areas in Cryptography - SAC 2002, LNCS 2595, 2002, pp. 310-324.[12] Paterson K.G., Id-based signatures from pairings on elliptic curves, Cryptology ePrint Archive, Report 2002/004, 2002.[13] Smart N.P., An identity based authenticated key agreement protocol based on the weil pairing, Electronic Letters, 38(13),2002, pp.630–632.[14] Yi X, An Identity-Based Signature Scheme from the Weil Pairing, IEEE Communications Letters, Vol. 7(2), 2003, pp. 76-78.[15] Cha J.C. and Cheon J.H., An identity-based signature from gap Diffie-Hellman groups. In proceedings of PKC 2003,LNCS 2567, 2003, pp. 18-30.[16] X. G Cheng, J. M Liu, and X.M Wang, Identity-based aggregate and verifiably encrypted signatures from bilinear pairing,In proceedings of ICCSA 2005, LNCS 3483, 2005, pp. 1046-1054[17] Paterson K. G., Schuldt J. C. N.. Efficient identity-based signatures secure in the standard. In proceedings of ACISP 2006,LNCS 4058, 2006, pp. 207-222.[18] Waters B.. Efficient identity-based encryption without random oracles. In proceedings of EUROCRYPT 2005, LNCS 3494,2005, pp. 114-127.。