一个无可信中心的门限群签名方案

一种高效的基于身份的无可信中心的签名方案邓胜国;张彰;宋明明【摘要】在研究现有的基于身份的签名方案基础之上,提出了一种新的基于身份的无可信中心的签名方案,该方案通过分心被证明是安全的,与其他的一些方案相比,具有更高的执行效率.【期刊名称】《广西民族大学学报（自然科学版）》【年(卷),期】2010(016)002【总页数】4页(P54-56,62)【关键词】基于身份;无可信中心;数字签名【作者】邓胜国;张彰;宋明明【作者单位】广西民族大学,数学与计算机科学学院,广西,南宁,530006;广西民族大学,数学与计算机科学学院,广西,南宁,530006;广西民族大学,数学与计算机科学学院,广西,南宁,530006【正文语种】中文【中图分类】TP3090 引言1984年，Shamir[1]提出了一种基于身份的加密签名方案.这种加密和签名体制很贴近实际，因此引起了许多学者的兴趣，对基于身份的加密和签名体系的研究成果丰富，提出了不少的签名方案.2000年，Joux[2]提出了一个基于椭圆曲线上的双线性对的基于身份的Deffie-Hellman密钥协议.此后人们对双线性对上的密码方案的研究逐渐升温，Hess[3]于2003年提出了一种高效的基于身份的签名方案.基于身份的密码体制相对于基于证书的密码体制有了很大的进步，因为前者很好的解决了证书的颁发和管理带来的诸多繁琐问题，但是这种密码体制也存在一个非常重要的问题——密钥托管问题.为了解决这个问题，Boneh和Franklin[4]提出了使用多个PKG的方法，每个PKG只生成部分的私钥，这样避免了密钥托管问题，但是此方案通信量太大，计算代价高，因而实际应用不太现实.Chen[5]等构造了不需要可信PKG的基于身份的签名方案，但是效率较低.受Chen的启发，Liao[6]也提出了一种无可信中心的签名方案，效率较文献[5]提高了，但是我们发现该方案是可以普遍伪造的[7].在文献[8]的基础之上，本文提出了一种新的基于身份的无可信中心的签名方案，该方案执行效率较高，应用前景比较广阔.1 相关数学问题1.1 双线性对的定义和性质设G1，G2是两个阶为q的循环群，P为大素数.其中G1为加法群，G2为乘法群.我们定义e:G1×G2是一个双线性映射.它具有以下性质：(1) 双线性性：对任意的P,Q,R∈G1有e(P+Q,R)=e(P,R)e(Q,R)e(P,Q+R)=e(P,Q)e(P,R)并且对任意的a,b∈Z*，有e(aP,bQ)=e(P,Q)ab(2) 非退化性：存在P,Q∈G1，P≠0,满足e(P,Q)≠1.(3) 可计算性：对任意的P,Q∈G1存在一个有效的算法计算e(P,Q).我们可以根据椭圆曲线上的Weil和Tate 配对来构造上述的双线性对.1.2 基于双线性对的困难问题(1)离散对数问题(DLP):对于给定的Q=xP∈G1，求x∈.(2)计算Diffie-Hellman问题(CDHP):对于a,b∈，给定P, aP,bP∈G1,计算abP.(3)判定Diffie-Hellman问题(DDHP):给定P, aP,bP,cP∈G1,其中a,b,c∈，判定c=ab mod q是否成立.2 基于身份无可信中心签名方案的形式化定义及其攻击类型2.1 基于身份的无可信中心签名方案的形式化定义[7]定义1：一个完整的基于身份的无可信中心签名方案包括4个部分(Setup,Extract,Sign,Verify):Setup(系统初始化)：这是一个概率算法，PKG运行此算法来生成系统参数params和系统主密钥s.Extract(私钥解析)：这是PKG与用户之间的交互协议，首先用户选取秘密值s1，计算Q1=h(s1,params)(h是一个确定的单向函数)，将用户ID以及Q1发送给PKG，PKG验证无误后，输入参数params,ID,Q1以及s，输出相应ID的部分私钥S2.Sign(签名算法)：这是一个概率算法，输入用户的部分私钥S2和秘密值s1，消息m和系统参数params，输出消息的签名σ.Verify(验证算法)：这是一个确定算法，输入用户的ID，params以及消息/签名对(m,σ),输出“1”，签名有效；否则输出“0”，签名无效.2.2 基于身份的无可信中心签名方案的攻击类型[8]在一个基于身份的签名方案中,PKG可能扮演以下3种角色:(1)可信的:PKG是诚实的.(2)消极不诚实：PKG有可能将签名的部分私钥S2泄露给敌手.(3)积极不诚实:PKG生成一个合法的签名公钥对,和合法的私钥对,用以绑定用户的ID,然后将其泄露给敌手.由此,我们定义3种类型的敌手:类型1:敌手没有用户的部分私钥和秘密值.类型2:敌手知道用户的部分密钥或者系统的主密钥.类型3:敌手有用户的秘密值和部分私钥,但为PKG伪造的,与用户的真正的秘密值和私钥不同.3 具体的签名方案3.1 Setup(系统参数的建立)PKG(密钥生成中心)选择椭圆曲线有理点群阶为q的加法群G1和乘法群G2,P是G1的一个生成元,e:G1×G2为双线性对.H1,H2为两个无碰撞的哈希函数.PKG随机选取一个s∈作为系统的主密钥,计算Ppub=sP;PKG保存s,公开系统参数(G1,G2,e,q,P,Ppub,H1,H2).3.2 Key-Extract(用户密钥的生成)假设ID是用户唯一可识别的身份,PKG对用户的ID进行识别以确定其唯一性,用户的密钥生成过程如下:(1)用户随机选择一个整数s1∈,计算Q1=s1P,保密s1并将其作为秘密值,公开Q1,并将其连同用户身份信息ID发送给PKG.(2)PKG验证用户身份后计算Q2=H1(ID,Q1),S2=sQ2.公开Q2,并将S2通过安全信道将其发送给用户.这样用户的公钥对就是(Q1,Q2),私钥对就是(s1,S2).3.3 Sign(签名生成)设欲签名的消息为m,签名人随机选取一个整数k∈,k保密.计算r=e(Q1,Q2)k;v=H2(m,r);U=ks1Q2-vS2;则消息m的签名为(r,U).3.4 Verify(签名验证)验证者首先计算v=H2(m,r),然后根据验证等式：r=e(U,P)e(Q2,Ppub)v,是否成立,若成立,则接受签名,否则拒绝该签名.4 方案分析4.1 方案的正确性验证者可以根据签名和公开的信息来验证签名的正确性，验证过程如下：(1)验证者首先计算v=H2(m,r).(2)e(U,P)e(Q2,Ppub)v=e(ks1Q2-vS2,P)e(Q2,Ppub)v=e(ks1Q2,P)e(-vS2,P)e(Q2,Ppub)v=e(Q2,Q1)ke(Q2,Ppub)-ve(Q2,Ppub)v=e(Q2,Q1)k=r.该等式成立，方案是正确的.4.2 安全性分析4.2.1 对于第1类敌手A，因为敌手没有签名者的秘密值和部分私钥，如果敌手A 欲伪造对消息m的签名，A首先随机选择一个k′∈,计算r′=e(Q1,Q2)k′,v=H2(m,r′),U′=k′′.其中,分别随机取自和G1，因为≠s1,并且≠S2.因此不能通过验证等式r′=e(U′,P)e(Q2,Ppub)v′.伪造签名无效.4.2.2 对于第2类敌手B，分两种情形考虑：(1)B知道签名用户的部分私钥S2.首先B随机选择k′∈，计算r′=e(Q1,Q2)k′,v=H2(m,r′),U′=k′.其中随机取自，容易证明对消息m的伪造签名不能通过验证等式：r′=e(U′,P)e(Q2,Ppub)v′.伪造签名无效.(2)B知道系统主密钥s.因为S2=sQ2,而s1是用户的秘密值,因此这种情形可以转化为(1).4.2.3 对于第3类敌手X (即积极不诚实的PKG),X拥有合法的公钥对,和私钥对,,但是与用户的真正的密钥不同,这样X可以伪造一个“合法”的对消息m签名(r′,U′),可以通过验证等式r′=e(U′,P)e(Q2,Ppub)v′.然而,用户可以提供证据来证明该签名是伪造的.假设仲裁者是CA,首先用户把Q1发送给CA,然后使用“知识证明”来证明他知道S2=sH1(ID,Q1)；CA选择一个安全整数a∈,计算aP并将其发送给用户,用户计算e(S2,aP).若等式e(S2,aP)=e(Q2,Ppub)a成立,则仲裁者可以判定PKG 是不诚实的,因为身份ID同时对应着两个公钥对(Q1,Q2)和,,而主密钥只有PKG知道.4.3 效率分析在我们的方案中,预设了很多对运算,在正式签名之前,可以预先计算r=e(Q1,Q2)k 中的e(Q1,Q2).在签名的验证之前,也可以预先计算e(Q2,Ppub).因为在我们的方案中有较多的预运算,因此方案的执行效率相对较高.在表1中,给出本方案与其他方案的效率比较.其中“e”为对运算,“M”表示乘法运算;“E”表示指数运算;“A”表示加法运算;“H”表示哈希函数运算.显然，本文提出的签名方案效率是最高的. 表1 与其他的基于身份无可信中心的签名方案的比较方案预签名签名预验证验证Chen 方案 / 3M+2H+2A1H4e+2H+1M+2ALiao方案1M2M+1H+1A1e2e+1H+1M 蔡方案[9] /4M+1A+1H1e2e+1E+1M+1H 本文方案1e4M+1A+1H1e1e+1E+1M+1H5 结语本文针对现有的基于身份的签名方案中密钥托管问题,提出一种更为高效的基于身份的无可信中心的签名方案.在本方案中,任何人不能伪造合法用户的签名,即便PKG 能伪造,用户也可以根据跟踪算法证明PKG伪造了签名.新方案由于在签名过程和验证过程均可以预计算,因而使得整个方案的执行效率较高.[参考文献]【相关文献】[1]SHAMIR A. Identity-based cryptosystems and signature schemes[C].//LNCS 2248: Advances in Cryptology, Asiacrypt 2001.Berlin:Springer, 2001:514-532.[2]JOUX.A. A one round protocol for tripartite Diffie-Hellman[C].//LNCS 1838.Algorithmic Number Theory Symposium .ANTS-IV. Berlin: Spring-Verlag, 2000:385-394.[3]BONEH D, FRANKLIN M, Identity-based encryption from the Weil pairing[C].//LNCS 2139.Cryptology-CRYPTO 2001.Berlin: Springer-Verlag,2001:213-229 .[4]Hess F. Efficient identity based signature schemes based on Pairings[C].SAC2002, LNCS 2595, Berlin:Springer-Verlag, 2003：310-324.[5]Chen X, Zhang F and Kim K.ID-based multi-proxy signature scheme from Bilinear Pairings[A].In Proceedings of WISA'2003,August 2003,Jeju Island(KR), 585-592.[6]Liao jian, Xiao Jun-fang, Qi Ying-hao..ID-based signature scheme without trusted PKG[C].//LNCS 3822: CISC 2005.Berlin:Springer,2005,1:53-62.[7]杜红珍.数字签名技术的若干问题研究[D].北京邮电大学博士论文,2009.[8]刘景伟，等.高效的基于ID的无证书签名方案[J].通信学报,2008,29(2):87-94.[9]蔡光兴,陈华.高效的基于ID的无可信中心的签名方案[J].计算机应用研究,2009,7: 2571- 2573.。

安全的无可信PKG的部分盲签名方案
冯涛;彭伟;马建峰
【期刊名称】《通信学报》
【年(卷),期】2010(031)001
【摘要】利用gap Diffie-Hellman(GDH)群,在部分盲签名机制的基础上,提出了一个有效的基于身份的无可信私钥生成中心(PKG,private key generator)的部分盲签名方案.方案中PKG不能够伪造合法用户的签名,因为它只能生成一部分私钥.在随机预言模型下,新方案能抵抗适应性选择消息攻击和身份攻击下的存在性伪造,其安全性依赖于CDHP问题.该方案满足正确性和部分盲性,与Chow方案相比具有较高的效率.
【总页数】7页(P128-134)
【作者】冯涛;彭伟;马建峰
【作者单位】兰州理工大学,计算机与通信学院,甘肃,兰州,730050;福建师范大学,网络安全与密码技术重点实验室,福建,福州,350007;西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071;兰州理工大学,计算机与通信学院,甘肃,兰州,730050;西安电子科技大学,计算机网络与信息安全教育部重点实验室,陕西,西安,710071
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于身份无可信PKG的聚合签名方案 [J], 姜含之
2.安全无可信私钥生成中心的部分盲签名方案 [J], 周萍;何大可
3.无可信 PKG 的盲签名方案的安全性分析及改进 [J], 李莎;李虓;何明星;罗大文
4.无可信 PKG 的盲签名方案的安全性分析及改进 [J], 李莎;李虓;何明星;罗大文;杜亚军
5.高效无可信PKG的新型盲签名方案 [J], 周萍;何大可
因版权原因，仅展示原文概要，查看原文内容请购买。

第31卷第1期通信学报V ol.31No.1 2010年1月Journal on Communications January 2010 安全的无可信PKG的部分盲签名方案冯涛1,2,3，彭伟1，马建峰3(1. 兰州理工大学计算机与通信学院, 甘肃兰州 730050;2. 福建师范大学网络安全与密码技术重点实验室, 福建福州 350007;3. 西安电子科技大学计算机网|络与信息安全教育部重点实验室, 陕西西安 710071)摘要：利用gap Diffie-Hellman(GDH)群，在部分盲签名机制的基础上，提出了一个有效的基于身份的无可信私钥生成中心(PKG，private key generator)的部分盲签名方案。

方案中PKG不能够伪造合法用户的签名，因为它只能生成一部分私钥。

在随机预言模型下，新方案能抵抗适应性选择消息攻击和身份攻击下的存在性伪造，其安全性依赖于CDHP问题。

该方案满足正确性和部分盲性，与Chow方案相比具有较高的效率。

关键词：基于身份的签名；密钥托管；双线性对；部分盲签名中图分类号：TP309 文献标识码：A 文章编号：1000−436X(2010)01-0128-07Provably secure partially blind signature without trusted PKGFENG Tao1,2,3，PENG Wei1，MA Jian-feng3(1.School of Computer and Communication, Lanzhou University of Technology, Lanzhou 730050, China;2. Key Lab of Network Security and Cryptology, Fujian Normal University, Fuzhou 350007, China;3. Ministry of Education Key Laboratory of Computer Networks and Information Security, Xidian University, Xi’an 710071, China)Abstract: Using gap Diffie-Hellman groups, based partially blind signature scheme, an efficient ID-based partially blind signature scheme without trusted private key generator (PKG) was proposed. In this scheme, PKG was prevented from forging a legal user’s signature because it only generated partial private key. Under the random oracle model, the pro-posed scheme was proved to be secure against existential forgery on adaptively chosen message and ID attack. The secu-rity of scheme relied on the hardness of the computational Diffie-Hellman problem (CDHP). The proposed scheme satis-fies security properties: correctness and partial blindness. Compared with the Chow et al.’s scheme, the new scheme needs less computational cost and is more efficient.Key words: ID-based signature; key escrow; bilinear pairing; partially blind signature收稿日期：2009-09-02；修回日期：2009-12-21基金项目：国家高技术研究发展计划(“863”计划)基金资助项目(2007AA01Z429)；国家自然科学基金资助项目(60972078)；甘肃省高等学校基本科研业务费基金资助项目(0914ZTB186)；甘肃省自然科学基金资助项目(2007GS04823)；兰州理工大学博士基金资助项目(BS14200901)；网络安全与密码技术福建省高校重点实验室开放课题(09A006)Foundation Items: The National High Technology Research and Development Program of China (863 Program)(2007AA01Z429); The National Natural Science Foundation of China(60972078); Universities Basic Scientific Research Operation Cost of Gansu Prov-ince(0914ZTB186); The Natural Science Foundation of Gansu Province (2007GS04823); The Ph.D. Programs Foundation of Lanzhou University of Technology (BS14200901); Funds of Key Lab of Fujian Province University Network Security and Cryptology (09A006)第1期冯涛等：安全的无可信PKG的部分盲签名方案·129·1引言传统的基于PKI的密码体制中，用户的公钥与其身份之间的绑定关系是通过数字证书形式来获得的，证书管理过程需要很大的计算量和较强的存储能力。