标准模型下高效的强不可伪造短签名方案

强不可伪造的基于身份服务器辅助验证签名方案杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【摘要】标准模型下的基于身份签名方案大多数是存在性不可伪造的,无法阻止攻击者对已经签名过的消息重新伪造一个合法的签名,并且验证签名需要执行耗时的双线性对运算.为了克服已有基于身份签名方案的安全性依赖强和计算代价大等缺陷,提出了一个强不可伪造的基于身份服务器辅助验证签名方案,并在标准模型下证明了新方案在合谋攻击、自适应选择身份和消息攻击下是安全的.分析结果表明,新方案有效减少了双线性对的计算量,大大降低了签名验证算法的计算复杂度,在效率上优于已有的基于身份签名方案.【期刊名称】《通信学报》【年(卷),期】2016(037)006【总页数】7页(P49-55)【关键词】基于身份服务器辅助验证签名;强不可伪造性;合谋攻击;标准模型【作者】杨小东;杨苗苗;高国娟;李亚楠;鲁小勇;王彩芬【作者单位】西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070;西北师范大学计算机科学与工程学院,甘肃兰州730070【正文语种】中文【中图分类】TP309基于身份密码体制是一种将用户身份标识作为公钥的密码体制，用于解决公钥基础设施PKI/CA中数字证书的存储和管理开销等问题[1]。

在基于身份的密码体制中，用户的E-mail地址等唯一身份标识作为用户的公钥，密钥生成中心PKG借助主密钥生成相应的用户私钥。

由于不再需要使用传统的公钥证书，因而大大减轻了密钥的管理与分发开销。

2001年，Boneh和Franklin[2]利用双线性对工具首次构造出高效的基于身份加密方案；随后国内外学者对基于身份密码体制进行了大量的研究，并取得一系列原创性研究成果[3~6]。

签字制度设计方案模板一、引言签字制度是企业、机关、学校等组织中常用的一种管理手段，通过对各项事务进行签字确认，确保责任的明确和事务的顺利进行。

为了规范签字行为，提高管理效率，本文将为您介绍一种签字制度设计方案模板。

二、设计目标1. 明确签字责任，确保事务顺利进行。

2. 提高管理效率，降低人为失误。

3. 增强团队协作，促进组织发展。

三、设计原则1. 合法性原则：签字制度应符合国家法律法规及组织内部规章制度。

2. 明确性原则：签字制度中的各项规定应明确具体，便于操作和执行。

3. 合理性原则：签字制度应兼顾组织利益和个人权益，公平合理。

4. 简便性原则：签字程序应简便快捷，提高工作效率。

四、签字制度设计内容1. 签字范围：明确哪些事务需要签字，如合同签订、资金支出、人员调动等。

2. 签字权限：根据事务性质和重要性，分级设定签字权限。

例如，重大合同需经上级领导审批签字。

3. 签字流程：设定签字流程，包括签字人、审核人、审批人等。

例如，资金支出需经财务部门审核、主管领导审批。

4. 签字材料：规定签字所需材料，如报告、申请表、合同等。

5. 签字时间：明确签字时间要求，如事务发生后多久内需签字。

6. 签字方式：确定签字方式，如纸质签字、电子签字等。

7. 签字记录：建立签字记录档案，保存签字相关信息，以便查询和追溯。

五、签字制度实施与监督1. 培训与宣传：对组织成员进行签字制度培训，提高其对签字制度的认识和重视。

2. 制度落实：确保签字制度在实际工作中得到有效执行。

3. 监督与检查：定期对签字制度执行情况进行检查，发现问题及时整改。

4. 考核与激励：将签字制度的执行情况纳入个人绩效考核，对合规行为的予以奖励，对违规行为进行处罚。

六、签字制度变更与废止1. 签字制度变更：随着组织发展和管理需要，对签字制度进行适时调整。

2. 签字制度废止：当签字制度不再符合组织需求时，予以废止，并重新制定。

七、结论签字制度设计方案模板是一种通用性强、实用性高的管理工具，有助于明确责任、提高效率、促进团队协作。

标准模型下基于身份的环签名方案赵艳琦;来齐齐;禹勇;杨波;赵一【摘要】In this paper,we propose an identity-based ring signature scheme based on Waters dual system encryption technology and the orthogonality property of composite order bilinear group operation.The scheme,relying on two simple static assumptions,is fully secure in the standard model.Due to the merit of Hierarchical identity-based encryption (HIBE),the proposed ring signature scheme achieves unconditional anonymity and has much higher computational efficiency.%本文利用Waters提出的对偶系统加密技术,结合合数阶群上双线性运算的正交性,提出了一个基于身份的环签名方案.该方案在标准模型下是完全安全的,其安全性依赖于两个简单的静态假设.该方案借助分级身份加密(Hierarchical Identity-Based Encryption,HIBE)的思想,使得环签名满足无条件匿名性且具有较高的计算效率.【期刊名称】《电子学报》【年(卷),期】2018(046)004【总页数】6页(P1019-1024)【关键词】对偶系统;基于身份的环签名;标准模型;分级身份加密;匿名性【作者】赵艳琦;来齐齐;禹勇;杨波;赵一【作者单位】陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;陕西师范大学计算机科学学院,陕西西安710062;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;陕西师范大学计算机科学学院,陕西西安710062【正文语种】中文【中图分类】TP3091 引言环签名是由 Rivest等人[1]首次提出，目的在于保证签名者能够以一种完全匿名的方式进行签名．签名者可以匿名选择签名组，而组成员完全不知道被包括在该组中．任何验证者只能确信这个签名来自群组中的某个成员，但不能确认真实签名者的身份．与群签名[2～5]相比，环签名没有群体建立的过程，也无特殊的管理者．不需要预先加入和撤出单个群体，群体的形成是根据需要在签名前由签名者自己指定．根据环签名的完全匿名性，在特殊环境中有不同应用．例如：电子投票[6]，匿名电子举报[7,8]，Ad Hoc网络认证[9]等．基于身份的密码体制由Shamir首次提出[10]，其中直接将用户的身份(如电话号码、身份证号等)作为公钥，不需要维护所签发的证书列表，因此得到广泛的实际应用．基于身份的环签名结合了环签名和身份签名的性质，由Zhang和Kim首次给出了构造[11]．2006年Au等人在标准模型下提出了基于身份可证安全的环签名方案[12]．近几年，标准模型下基于身份的环签名成为新的研究热点，提出了很多方案[13～16]．2009年Waters[17]为解决分离式策略在HIBE安全性证明中的不足，首次提出对偶系统加密技术．在该技术中密文和密钥可分为两种计算不可区分的形式：正常的和半功能的．正常的密文和密钥在实际方案中使用，而半功能的密文和密钥只用在安全性证明中．并运用对偶系统加密技术构造了更紧的完全安全的HIBE方案．该方案的安全性是基于DBDH假设和判定性线性假设，但密文长度随着层数的增加呈线性递增．2010年Lewko和Waters[18]利用对偶系统加密技术构造了短密文的完全安全的HIBE方案．该方案的安全性是基于合数阶群和三个静态假设为对偶系统加密的实现提供了新方法．2011年Lewko和Waters[19]提出无界的HIBE方案，该方案可以构造任意层数的HIBE而不需要在初始化阶段对层数进行限制．2013年Au等人利用Lewko和Waters[19]无界HIBE方案，构造了基于HIBE标准模型下完全安全身份环签名方案[20]，但环签名长度随着环成员增加成线性增长，且计算效率较低．本文受Lewko和Waters利用对偶系统可以构造完全安全HIBE的启发，结合Au 等人所提基于HIBE身份环签名[20]结构，构造了一个新的基于HIBE的身份环签名方案．该方案建立在标准模型下，通过使用对偶系统密码技术和合数阶双线性群系统的双线性运算，利用合数阶双线性运算的子群正交性删除了随机标签的介入，使得密钥和签名只包含3个子群元素．该方案的安全性规约在简单的静态假设下，其安全性证明显示方案是存在性不可伪造的，且具有无条件匿名性．与Au等人提出的方案相比，本文的计算效率更高．2 预备知识2.1 符号概念本文中，G表示一个算法，ψ←RG表示G返回随机值ψ．p1,p2,p3表示三个不同的素数，N=p1p2p3，G和GT为N阶循环群，单位元记为1，g←RG表示随机选取群G中元素g．{0,1}*表示任意长的0，1串．N表示模N的整数环，x←RN表示从N中任取一个元素x．用户身份集合L={ID1,…,IDn}．M∈{0,1}*表示M为任意长的0，1串．{x1,y1,x2,y2,…,xn,yn}表示2n个不同元素，简记为2.2 合数阶双线性群合数阶双线性群被首次使用在文献[21]中．一个群生成算法G，输入安全参数λ，输出双线性群G．构建群系统ψ=(N=p1p2p3,G,GT,e)，其中e:G×G→GT是双线性映射，满足以下性质：① 双线性性：∀u,v∈G，a,b←RN，e(ua,vb)=e(u,v)ab；② 非退化性：∃ g∈G，使得e(g,g)在GT中阶为N；令Gp1,Gp2,Gp3分别表示G中阶为p1,p2,p3的子群．同时Gp1p2表示G中阶为p1p2的子群．当hi←RGpi,hj←RGpj且i≠j时，e(hi,hj)是GT中单位元，例如h1←RGp1,h2←RGp2，满足e(h1,h2)=1，我们称Gp1,Gp2,Gp3的这一特性为正交性．2.3 安全性假设以下给出的安全性假设均为静态假设，这些假设在文献[18]中已经证明．假设1 给定群系统生成算法G，构建群系统：ψ=(N=p1p2p3,G,GT,e)←RG，选取参数：g,X1←RGp1,X2,Y2←RGp2,X3,Y3←RGp3,已知D=(ψ,g,X1X2,X3,Y2Y3)，T1←RG和T2←RGp1p3是不可区分的．其中T1可以被唯一表示成Gp1，Gp2与Gp3中元素的乘积，称这些元素分别是T1中的Gp1部分，T1中的Gp2部分和T1中的Gp3部分．类似地，T2可以表示成Gp1中和Gp3中元素的乘积．假设2 给定群系统生成算法G，构建群系统：ψ=(N=p1p2p3,G,GT,e)←RG，选取如下参数α,s←RN，g←RGp1，X2,Y2,Z2←RGp2，X3←RGp3．已知D=(ψ,g,gαX2,X3,gsY2,Z2)，计算出T=e(g,g)αs是困难的．2.4 基于身份的环签名安全模型一个安全的环签名方案需要同时满足不可伪造性和匿名性，详细安全模型见文献[14]．3 基于身份的环签名方案3.1 身份环签名构造环签名是在LW10-HIBE基于身份加密系统基础上构造的．Setup：选择N阶双线性群G(N=p1p2p3，p1,p2,p3为不同的素数)，用哈希函数将任意长身份映射到N，因此下文假定任一身份ID∈N，H1:{0,1}*×{0,1}*→N 为抗碰撞的hash函数，选择α←RN，g,u1,u2,h∈Gp1，X3←RGp3，α为主密钥．公开参数Extract：生成身份ID对应的私钥，随机选取计算(1)Sign：L={ID1,ID2,…,IDn}作为身份环签名的身份集合，我们假设实际签名者为IDπ(IDπ∈L)，签名消息M∈{0,1}*，计算m=H1(M,L)，用dIDπ执行以下步骤① 签名者随机选取② i=1,…,n(2)(3)i=π Aπ(4)(5)③ 输出环签名Verify：给定身份集合L={ID1,ID2,…,IDn}关于消息M∈{0,1}*的环签名验证者计算m=H1(M,L)，随机生成s←RN 验证等式：(6)如果成立输出Valid，否则输出Invalid．正确性：从下面的推导中很容易得出方案是正确的．=e(g,g)αs(7)3.2 安全性证明定理1 若假设1，2成立，我们构造的方案满足定义1(方案是不可伪造的)．证明签名类型分为两种：正常的和半功能的．通过签名算法生成的合法签名称为正常签名．若签名中Ai,Bi(i=1,…,n)是由Gp1,Gp2,Gp3中元素构成，则称为半功能签名．密钥类型也分为两种：正常的和半功能的．通过密钥算法生成的合法密钥dID=(d0,d1,d2)，称为正常密钥．若(d0,d1,d2)是由Gp1,Gp2,Gp3中元素构成，则称为半功能密钥．通过一系列不可区分的游戏来完成安全性证明．第一个游戏是Gamereal不可伪造性游戏，返回给敌手A的密钥和签名都是正常的．其次是Gamerestricted游戏，它与Gamereal的区别在于A询问的身份与挑战身份不能是模p2相等的，比Gamereal中A询问的身份与挑战身份不能是模N相等的限制性更强．同时A生成的哈希值，在mod p2时也是可区分的(即A不能生成两个环身份集合和消息，(L,M)≠(L′,M′)，但H1(L,M)=H1(L′,M′)mod p2)，在后面的游戏中，将保留这个更加严格的限制．其次是Gamek游戏，前k次询问回答是半功能的．例如：第j 次是密钥询问，j<k，返回给A的密钥为半功能的．如果第j次询问为签名询问，j<k，返回给A的签名也为半功能的．否则，返回密钥和签名都是正常的.最后是游戏GameqE+qS，返回给A的密钥和签名都为半功能的．引理1 如果存在一个敌手A使得GamerealAdvA-GamerestrictedAdvA=ε，模拟者S以ε的优势攻破假设1．证明给定g,X1X2,X3,Y2Y3，S和A模拟游戏Gamereal或Gamerestricted.如果A能以ε的优势区分Gamereal和Gamerestricted，那么A就能找到两个身份ID和ID*，使得ID≠ID*mod N，并且p2整除ID-ID*， S通过这些身份计算p=gcd(ID-ID*,N)得到N的一个非平凡因子．设考虑以下三种情况：① p,q中有一个为p1，另一个为p2p3，通过测试(Y2Y3)p和(Y2Y3)q中有一个为单位元，不失一般性的令p=p1,q=p2p3，S通过检测e(Tp,X1X2)是否为单位元，判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．②p,q中有一个为p2，另一个为p1p3，已经排除第一种可能，通过测试(X1X2)p 和(X1X2)q中有一个为单位元，不失一般性的令p=p1,q=p1p3，S通过检测Tq 是否为单位元，判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．③ p,q中有一个为p3，另一个为p1p2，当1，2都不发生时情况3发生．通过测试(X3)p,(X3)q为单位元，不失一般性的令p=p3，S通过检测e(Tp,Y2Y3)是否为单位元判断T中是否含有Gp2的成分，若是则T中不含有，否则含有．引理2 如果存在一个敌手A使得Gamek-1AdvA-GamekAdvA=ε，模拟者S以ε的优势攻破假设1．证明分为两部分，Part 1中A进行qE次密钥询问．Part 2中A进行qS次签名询问．在进行签名询问时，因为敌手已经进行了qE次密钥询问，得到的密钥都是半功能的，敌手只需进行qS次签名询问，生成相应的签名．设j是Gamek中A所做的密钥询问的次数，S根据j和k的大小关系来返回密钥和签名是正常的或半功能的．证明(Part 1) 当0<k<qE时，A进行qE次密钥询问．Setup：S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek．参数设置如下：随机选择α,a1,a2,b←RN，令g=g，u1=ga1，u2=ga2，h=gb，选择哈希函数H1，公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A．A收到的公开参数与实际公开参数的分布是相同的．Extract Query：A对于身份ID进行生成密钥询问，在游戏Gamek中0<k<qE，敌手进行第j次密钥生成询问．qE>j>k，S使用Extract算法产生正常密钥，随机选择r,t,w,v←RN，计算对于A 来说收到的密钥是正确的．0<j<k，A对身份ID进行第j次生成密钥询问，S生成半功能密钥，随机选择r,z,t,v←RN，计算(8)对于A来说收到的密钥是正确的．j=k，A对身份ID进行第j次生成密钥询问，S计算zk=a1ID+b，随机选择w,v←RN，计算如果T←RG，生成的是半功能密钥，如果T←RGp1p3，生成的是正常密钥(gr为T中的Gp1部分)．Signature Query：A发起对群组成员L和消息M的签名询问．对于某个身份ID∈L，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算：i=1,…,n，Bi=griX3ti(10)(11)Bπ=gr+rπX3t+tπ(12)对于A来说收到的签名和实际签名是不可区分的．证明(Part 2) 当qE<k<qE+qS时，A进行qS次签名询问．Setup：S构造(g,X1X2,X3,Y2Y3,T)和A模拟Gamek-1或Gamek．参数设置如下：随机选择α,a1,a2,b←RN，令g=g，u1=ga1，u2=ga2，h=gb，选择哈希函数H1，公共参数param={N,g,u1,u2,h,H1,e(g,g)α}发给A．A收到的公共参数与实际公开参数的分布是相同的．Extract Query：A对于身份ID进行生成密钥询问，在游戏中A已经进行过qE次密钥生成询问，生成密钥都为半功能的．Signature Query：A发起对群组成员L和消息M的签名询问．在游戏Gamek 中qE<k<qE+qS，A对于身份ID进行第j次签名询问．qE+qS>j>k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算正常签名：i=1,…,n(13)Bi=griX3ti(14)Bπ=gr+rπX3t+tπ(16)qE<j<k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名，计算半功能签名：i=1,…,n(17)Bi=griX3ti(18)(19)Bπ=gr+rπ(Y2Y3)tX3tπ(20)j=k，S计算m=H1(M,L)，随机选取ri,wi,ti,λi←RN,(i=1,…,n)，λ1+λ2+…+λn=0，运行Sign算法生成L和M的签名：i=1,…,n(21)Bi=griX3ti(22)(23)Bπ=grπTX3tπ(24)如果T←RGp1p3，S能够正确的模拟Gamek-1．如果T←RG，S能够正确的模拟Gamek．A能够区分出Gamek-1和Gamek，因此，S可以根据A输出值区分T的两种不同情况．引理3 如果存在一个敌手A使得GamerealAdvA-GameqE+qSAdvA=ε，模拟者S以ε的优势攻破计算性假设2．证明 Setup：S构造(g,gαX2,X3,gsY2,Z2,T) 和A模拟游戏GameqE+qS．S随机选择a1,a2,b←RN ，设置公共参数g=g，u1=ga1，u2=ga2，h=gb，e(g,g)α=e(gαX2,g)，选择哈希函数H1，公开参数param={N,g,u1,u2,h,H1,e(gαX2,g)}发给A．Extract Query：A对于身份ID进行第j次生成密钥询问，S生成半功能密钥，随机选择c,r,w,z,t,v,q←RN ，计算(25)Signature Query：A发起对群组成员L和消息M的签名询问．对于某个身份ID∈L，S计算m=H1(M,L)，然后运行Sign算法生成L和M的半功能签名.S随机选计算i=1,…,n(26)(27)i=π,(28)(29)Forgery：A输出环成员L和M的签名先计算m=H1(M,L)，对于任意的s←RN，S计算(30)这样就计算出e(g,g)αs，敌手A能够以不可忽略的优势ε攻击成功，那么模拟者S以ε的优势攻破计算性假设2．由以上3个引理及一系列游戏得证，我们的方案满足定义1，即我们的方案是不可伪造的．在不可伪造性证明中，敌手无需事先提交挑战身份，而是在密钥提取询问后适应性选择攻击目标，故而本文方案是完全安全的．定理2 我们的方案满足定义2(方案是无条件匿名的)．证明通过模拟者S和敌手A之间游戏完成无条件匿名性证明．Game0游戏模拟对身份ID0进行签名，Game1游戏模拟对身份ID1进行签名．如果敌手对两个游戏视图不可区分，那么我们的方案满足无条件匿名性．Game0游戏：(1) 系统参数设置：S输入参数λ，并运行Setup算法生成系统参数param和主密钥α，选择α←RN，g,u1,u2,h∈Gp1，X3←RGp3，选择哈希函数H1．公开参数param={N,g,u1,u2,h,X3,H1,e(g,g)α}和主密钥发送给敌手A．(2) A输出消息M，两个身份ID0,ID1，身份集合L (ID0,ID1∈L)给模拟者．模拟者生成ID0私钥dID0并计算m=H1(M,L)，实际签名者IDπ=ID0，用dIDπ=dID0执行以下步骤：① 随机选取② 对于i=1,…,n(31)(32)(33)(34)S生成签名并发送给A．Game1游戏和Game0游戏的不同在于S生成ID1私钥dID1，实际签名者IDπ=ID1，模拟者用dID1生成签名并发送给A．两个签名中存在随机化元素和R1是同分布的，生成签名σ0和σ1也是同分布的．对于A视图Game0和Game1是不可区分的，A识别出实际签名者的优势不大于随机猜测．因此，环签名方案是无条件匿名的．3.3 性能分析下面从计算效率和所用技术把新方案与已有的标准模型下基于身份环签名方案进行对比．用n表示环签名中群组的成员个数，文献[20]的签名长度为4n+4，本文签名长度为2n．相比较文献[20]本文采用合数阶群下两个子群判定性假设(Subgroup)，达到基于身份的存在性不可伪造(EUF-CMA)．在计算效率上主要对双线性对配对运算，群G中的幂指数运算和群GT中的幂指数运算进行比较，具体的对比如表1所示，在性能比较中，用P表示一个双线性对运算时间，用E表示GT中幂指数运算时间，用F表示G中幂指数运算时间．通过比较可以看出相对于文献[20]，本文在签名长度和计算效率得到了很大改进，并满足安全性要求．表1 与标准模型下基于身份的环签名方案对比方案基础方案困难性假设群的类型不可伪造性系统建立私钥提取签名验证文献[20]LW11Subgroup(4个)合数阶EUF-CMA1P7F(7n+7)F(4n+1)P+1E+(4n+6)F本文LW10Subgroup(2个)合数阶EUF-CMA1P5F(4n+2)F2nP+1E+(2n+2)F4 总结本文在标准模型下提出了一个新的基于身份的环签名方案，该方案满足无条件匿名性，且满足存在性不可伪造．与现有的基于身份环签名方案相比，新方案在标准模型下基于HIBE构造了完全安全的身份环签名，在计算效率和安全性上都有了较大改善．我们把构造固定长度的标准模型下安全的基于身份的环签名方案作为下一步研究方向．参考文献【相关文献】[1]RIVEST R,SHAMIR A,TAUMAN Y.How to leak a secret[A].The 7th International Conference on the Theory and Application of Cryptology and InformationSecurity[C].Gold Coast,Australia,2001.552-565.[2]张福泰,张方国,王育民.群签名及其应用[J].通信学报,2001,22(1):77-85.ZHANG Fu-tai,ZHANG Fang-guo,WANG Yu-min.Group signature and itsapplications[J].Journal of Communications,2001,22(1):77-85.(in Chinese)[3]陈泽文,张龙军,王育民,等.一种基于中国剩余定理的群签名方案[J].电子学报,2004,32(7):1062-1065.CHEN Ze-wen,ZHANG Long-jun,WANG Yu-min,et al.A group signature scheme based on Chinese remainder theorem[J].Acta Electronica Sinica,2004,32(7):1062-1065.(in Chinese) [4]张键红,伍前红,邹建成,等.一种高效的群签名[J].电子学报,2005,33(6):1113-1115.ZHANG Jian-hong,WU Qian-hong,ZOU Jian-cheng,et al.An efficient group signature scheme[J].Acta Electronica Sinica,2005,33(6):1113-1115.(in Chinese)[5]李继国,孙刚,张亦辰.标准模型下可证安全的本地验证者撤销群签名[J].电子学报,2011,39(7):1618-1623.LI Ji-guo,SUN Gang,ZHANG Yi-chen.Provably secure group signature scheme with verifier-local revocation in the standard model[J].Acta Electronica Sinica,2011,39(7):1618-1623.(in Chinese)[6]CHOW S S M,SUSILO W,YUEN T H.Escrowed linkability of ring signtures and its applications[A].First International Conference on Cryptology inVietnam[C].Hanoi,Vietnam,2006.175-192.[7]苗付友,王行甫,苗辉,等.一种支持悬赏的匿名电子举报方案[J].电子学报,2008,36(2):320-324. MIAO Fu-you,WANG Xing-Fu,MIAO Hui,et al.An anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2008,36(2):320-324.(in Chinese)[8]王化群,于红,吕显强,等.一种支持悬赏的匿名电子举报方案的安全性分析及设计[J].电子学报,2009,37(8):1826-1829.WANG Hua-qun,YU Hong,LÜ Xian-qiang,et al.Cryptanalysis and design of an anonymous E-prosecution scheme with reward support[J].Acta Electronica Sinica,2009,37(8):1826-1829.(in Chinese)[9]YANG X,WEI W,JOSEPH K L,CHEN X F.Lightweight anonymous authentication for ad hoc group:a ring signature approach[A].International Conference on ProvableSecurity[C].Kanazawa,Japan,2015.215-226.[10]SHAMIR A.Identity-based cryptosystems and signature schemes[A].The Workshop on the Theory and Application of Cryptographic Techniques[C].California,USA,1984.47-53. [11]ZHANG F G,KIM K.ID-based blind signature and ring signature frompairings[A].International Conference on the Theory and Application of Cryptology and Information Security[C].Queenstown,New Zealand,2002.533-547.[12]AU M H,JOSPH K L,YUEN T H,et al.ID-based ring signature scheme secure in the standard model[A].International Workshop on Security[C].Kyoto,Japan,2006.1-16. [13]张跃宇,李晖,王育民.标准模型下基于身份的环签名方案[J].通信学报,2008,29(4):40-44. Zhang Yue-yu,LI Hui,WANG Yu-min.Identity-based ring signature scheme under standard model[J].Journal of Communications,2008,29(4):40-44.(in Chinese)[14]刘振华,胡予濮,牟宁波,等.新的标准模型下基于身份的环签名方案[J].电子与信息学报,2009,31(7):1727-1731.LIU Zhen-hua,HU Yu-pu,MU Ning-bo,et al.New identity-based ring signature in the standard model[J].Journal of Electronics & Information Technology,2009,31(7):1727-1731.(in Chinese)[15]张明武,杨波,姚金涛,等.标准模型下身份匿名签名方案分析与设计[J].通信学报,2011,32(5):40-46.ZHANG Ming-wu,YANG Bo,YAO Jin-tao,et al.Cryptanalysis and design of signature schemes with identity ambiguity in the standard model[J].Journal of Communications,2011,32(5):40-46.(in Chinese)[16]葛爱军,马传贵,张振峰,等.标准模型下固定长度的基于身份环签名方案[J].计算机学报,2012,35(9):1874-1880.GE Ai-jun,MA Chuan-gui,ZHANG Zhen-feng,et al.Identity-based ring signature schemewith constant size signatures in the standard model[J].Chinese Journal of Computers,2012,35(9):1874-1880.(in Chinese)[17]WATERS B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[A].Advances in Cryptology-CRYPTO[C].California,USA,2009.619-636. [18]LEWKO A,WATERS B.New techniques for dual system encryption and fully secure HIBE with short ciphertexts[A].Theory of CryptographyConference[C].Zurich,Switzerland,2010.455-479.[19]LEWKO A,WATERS B.Unbounded HIBE and attribute-based encryption[A].Annual International Conference on the Theory and Applications of Cryptographic Techniques[C].Tallinn Estonia,2011.547-567.[20]AU M H,JOSPH K L,SUSILO W,ZHOU Jian-ying.Realizing fully secure unrestricted ID-based ring signature in the standard model based on HIBE[J].IEEE Transactions on Information Forensics and Security,2013,8(12):1909-1922.[21]BONEH D,GOH E-J,NISSIM K.Evaluating 2-DNF formulas on ciphertexts[A].Theory of Cryptography Conference[C].Cambridge,MA,USA,2005.325-341.。

一种高效的基于身份的无可信中心的签名方案邓胜国;张彰;宋明明【摘要】在研究现有的基于身份的签名方案基础之上,提出了一种新的基于身份的无可信中心的签名方案,该方案通过分心被证明是安全的,与其他的一些方案相比,具有更高的执行效率.【期刊名称】《广西民族大学学报（自然科学版）》【年(卷),期】2010(016)002【总页数】4页(P54-56,62)【关键词】基于身份;无可信中心;数字签名【作者】邓胜国;张彰;宋明明【作者单位】广西民族大学,数学与计算机科学学院,广西,南宁,530006;广西民族大学,数学与计算机科学学院,广西,南宁,530006;广西民族大学,数学与计算机科学学院,广西,南宁,530006【正文语种】中文【中图分类】TP3090 引言1984年，Shamir[1]提出了一种基于身份的加密签名方案.这种加密和签名体制很贴近实际，因此引起了许多学者的兴趣，对基于身份的加密和签名体系的研究成果丰富，提出了不少的签名方案.2000年，Joux[2]提出了一个基于椭圆曲线上的双线性对的基于身份的Deffie-Hellman密钥协议.此后人们对双线性对上的密码方案的研究逐渐升温，Hess[3]于2003年提出了一种高效的基于身份的签名方案.基于身份的密码体制相对于基于证书的密码体制有了很大的进步，因为前者很好的解决了证书的颁发和管理带来的诸多繁琐问题，但是这种密码体制也存在一个非常重要的问题——密钥托管问题.为了解决这个问题，Boneh和Franklin[4]提出了使用多个PKG的方法，每个PKG只生成部分的私钥，这样避免了密钥托管问题，但是此方案通信量太大，计算代价高，因而实际应用不太现实.Chen[5]等构造了不需要可信PKG的基于身份的签名方案，但是效率较低.受Chen的启发，Liao[6]也提出了一种无可信中心的签名方案，效率较文献[5]提高了，但是我们发现该方案是可以普遍伪造的[7].在文献[8]的基础之上，本文提出了一种新的基于身份的无可信中心的签名方案，该方案执行效率较高，应用前景比较广阔.1 相关数学问题1.1 双线性对的定义和性质设G1，G2是两个阶为q的循环群，P为大素数.其中G1为加法群，G2为乘法群.我们定义e:G1×G2是一个双线性映射.它具有以下性质：(1) 双线性性：对任意的P,Q,R∈G1有e(P+Q,R)=e(P,R)e(Q,R)e(P,Q+R)=e(P,Q)e(P,R)并且对任意的a,b∈Z*，有e(aP,bQ)=e(P,Q)ab(2) 非退化性：存在P,Q∈G1，P≠0,满足e(P,Q)≠1.(3) 可计算性：对任意的P,Q∈G1存在一个有效的算法计算e(P,Q).我们可以根据椭圆曲线上的Weil和Tate 配对来构造上述的双线性对.1.2 基于双线性对的困难问题(1)离散对数问题(DLP):对于给定的Q=xP∈G1，求x∈.(2)计算Diffie-Hellman问题(CDHP):对于a,b∈，给定P, aP,bP∈G1,计算abP.(3)判定Diffie-Hellman问题(DDHP):给定P, aP,bP,cP∈G1,其中a,b,c∈，判定c=ab mod q是否成立.2 基于身份无可信中心签名方案的形式化定义及其攻击类型2.1 基于身份的无可信中心签名方案的形式化定义[7]定义1：一个完整的基于身份的无可信中心签名方案包括4个部分(Setup,Extract,Sign,Verify):Setup(系统初始化)：这是一个概率算法，PKG运行此算法来生成系统参数params和系统主密钥s.Extract(私钥解析)：这是PKG与用户之间的交互协议，首先用户选取秘密值s1，计算Q1=h(s1,params)(h是一个确定的单向函数)，将用户ID以及Q1发送给PKG，PKG验证无误后，输入参数params,ID,Q1以及s，输出相应ID的部分私钥S2.Sign(签名算法)：这是一个概率算法，输入用户的部分私钥S2和秘密值s1，消息m和系统参数params，输出消息的签名σ.Verify(验证算法)：这是一个确定算法，输入用户的ID，params以及消息/签名对(m,σ),输出“1”，签名有效；否则输出“0”，签名无效.2.2 基于身份的无可信中心签名方案的攻击类型[8]在一个基于身份的签名方案中,PKG可能扮演以下3种角色:(1)可信的:PKG是诚实的.(2)消极不诚实：PKG有可能将签名的部分私钥S2泄露给敌手.(3)积极不诚实:PKG生成一个合法的签名公钥对,和合法的私钥对,用以绑定用户的ID,然后将其泄露给敌手.由此,我们定义3种类型的敌手:类型1:敌手没有用户的部分私钥和秘密值.类型2:敌手知道用户的部分密钥或者系统的主密钥.类型3:敌手有用户的秘密值和部分私钥,但为PKG伪造的,与用户的真正的秘密值和私钥不同.3 具体的签名方案3.1 Setup(系统参数的建立)PKG(密钥生成中心)选择椭圆曲线有理点群阶为q的加法群G1和乘法群G2,P是G1的一个生成元,e:G1×G2为双线性对.H1,H2为两个无碰撞的哈希函数.PKG随机选取一个s∈作为系统的主密钥,计算Ppub=sP;PKG保存s,公开系统参数(G1,G2,e,q,P,Ppub,H1,H2).3.2 Key-Extract(用户密钥的生成)假设ID是用户唯一可识别的身份,PKG对用户的ID进行识别以确定其唯一性,用户的密钥生成过程如下:(1)用户随机选择一个整数s1∈,计算Q1=s1P,保密s1并将其作为秘密值,公开Q1,并将其连同用户身份信息ID发送给PKG.(2)PKG验证用户身份后计算Q2=H1(ID,Q1),S2=sQ2.公开Q2,并将S2通过安全信道将其发送给用户.这样用户的公钥对就是(Q1,Q2),私钥对就是(s1,S2).3.3 Sign(签名生成)设欲签名的消息为m,签名人随机选取一个整数k∈,k保密.计算r=e(Q1,Q2)k;v=H2(m,r);U=ks1Q2-vS2;则消息m的签名为(r,U).3.4 Verify(签名验证)验证者首先计算v=H2(m,r),然后根据验证等式：r=e(U,P)e(Q2,Ppub)v,是否成立,若成立,则接受签名,否则拒绝该签名.4 方案分析4.1 方案的正确性验证者可以根据签名和公开的信息来验证签名的正确性，验证过程如下：(1)验证者首先计算v=H2(m,r).(2)e(U,P)e(Q2,Ppub)v=e(ks1Q2-vS2,P)e(Q2,Ppub)v=e(ks1Q2,P)e(-vS2,P)e(Q2,Ppub)v=e(Q2,Q1)ke(Q2,Ppub)-ve(Q2,Ppub)v=e(Q2,Q1)k=r.该等式成立，方案是正确的.4.2 安全性分析4.2.1 对于第1类敌手A，因为敌手没有签名者的秘密值和部分私钥，如果敌手A 欲伪造对消息m的签名，A首先随机选择一个k′∈,计算r′=e(Q1,Q2)k′,v=H2(m,r′),U′=k′′.其中,分别随机取自和G1，因为≠s1,并且≠S2.因此不能通过验证等式r′=e(U′,P)e(Q2,Ppub)v′.伪造签名无效.4.2.2 对于第2类敌手B，分两种情形考虑：(1)B知道签名用户的部分私钥S2.首先B随机选择k′∈，计算r′=e(Q1,Q2)k′,v=H2(m,r′),U′=k′.其中随机取自，容易证明对消息m的伪造签名不能通过验证等式：r′=e(U′,P)e(Q2,Ppub)v′.伪造签名无效.(2)B知道系统主密钥s.因为S2=sQ2,而s1是用户的秘密值,因此这种情形可以转化为(1).4.2.3 对于第3类敌手X (即积极不诚实的PKG),X拥有合法的公钥对,和私钥对,,但是与用户的真正的密钥不同,这样X可以伪造一个“合法”的对消息m签名(r′,U′),可以通过验证等式r′=e(U′,P)e(Q2,Ppub)v′.然而,用户可以提供证据来证明该签名是伪造的.假设仲裁者是CA,首先用户把Q1发送给CA,然后使用“知识证明”来证明他知道S2=sH1(ID,Q1)；CA选择一个安全整数a∈,计算aP并将其发送给用户,用户计算e(S2,aP).若等式e(S2,aP)=e(Q2,Ppub)a成立,则仲裁者可以判定PKG 是不诚实的,因为身份ID同时对应着两个公钥对(Q1,Q2)和,,而主密钥只有PKG知道.4.3 效率分析在我们的方案中,预设了很多对运算,在正式签名之前,可以预先计算r=e(Q1,Q2)k 中的e(Q1,Q2).在签名的验证之前,也可以预先计算e(Q2,Ppub).因为在我们的方案中有较多的预运算,因此方案的执行效率相对较高.在表1中,给出本方案与其他方案的效率比较.其中“e”为对运算,“M”表示乘法运算;“E”表示指数运算;“A”表示加法运算;“H”表示哈希函数运算.显然，本文提出的签名方案效率是最高的. 表1 与其他的基于身份无可信中心的签名方案的比较方案预签名签名预验证验证Chen 方案 / 3M+2H+2A1H4e+2H+1M+2ALiao方案1M2M+1H+1A1e2e+1H+1M 蔡方案[9] /4M+1A+1H1e2e+1E+1M+1H 本文方案1e4M+1A+1H1e1e+1E+1M+1H5 结语本文针对现有的基于身份的签名方案中密钥托管问题,提出一种更为高效的基于身份的无可信中心的签名方案.在本方案中,任何人不能伪造合法用户的签名,即便PKG 能伪造,用户也可以根据跟踪算法证明PKG伪造了签名.新方案由于在签名过程和验证过程均可以预计算,因而使得整个方案的执行效率较高.[参考文献]【相关文献】[1]SHAMIR A. Identity-based cryptosystems and signature schemes[C].//LNCS 2248: Advances in Cryptology, Asiacrypt 2001.Berlin:Springer, 2001:514-532.[2]JOUX.A. A one round protocol for tripartite Diffie-Hellman[C].//LNCS 1838.Algorithmic Number Theory Symposium .ANTS-IV. Berlin: Spring-Verlag, 2000:385-394.[3]BONEH D, FRANKLIN M, Identity-based encryption from the Weil pairing[C].//LNCS 2139.Cryptology-CRYPTO 2001.Berlin: Springer-Verlag,2001:213-229 .[4]Hess F. Efficient identity based signature schemes based on Pairings[C].SAC2002, LNCS 2595, Berlin:Springer-Verlag, 2003：310-324.[5]Chen X, Zhang F and Kim K.ID-based multi-proxy signature scheme from Bilinear Pairings[A].In Proceedings of WISA'2003,August 2003,Jeju Island(KR), 585-592.[6]Liao jian, Xiao Jun-fang, Qi Ying-hao..ID-based signature scheme without trusted PKG[C].//LNCS 3822: CISC 2005.Berlin:Springer,2005,1:53-62.[7]杜红珍.数字签名技术的若干问题研究[D].北京邮电大学博士论文,2009.[8]刘景伟，等.高效的基于ID的无证书签名方案[J].通信学报,2008,29(2):87-94.[9]蔡光兴,陈华.高效的基于ID的无可信中心的签名方案[J].计算机应用研究,2009,7: 2571- 2573.。