资源描述:
《标准模型下基于身份的可证安全签名方案.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第33卷第10期武汉大学学报#信息科学版Vol.33No.102008年10月GeomaticsandInformationScienceofWuhanUniversityOct.2008文章编号:1671-8860(2008)10-1076-04文献标志码:A标准模型下基于身份的可证安全签名方案1,22张乐友胡予濮(1西安电子科技大学应用数学系,西安市太白南路2号,710071)(2西安电子科技大学计算机网络与信息安全教育部重点实验室,西安市太白南路2号,710071)摘要:在标准模型下设计高效可证明安全的签名方案具有现实意义。基于Waters和Pa
2、terson最近提出的签名方案,提出了两种有效的标准模型下的基于身份的签名方案:一种为(t,n)门限方案,在计算Diffie-Hel-lman假设(CDH问题)下,方案被证明具有不可伪造性和健壮性;另一种为分级签名方案,该方案签名算法效率高,仅需两次指数运算。在CDH困难问题假设下,该方案被证明是安全的。关键词:(t,n)门限签名方案;分级签名方案;标准模型;可证明安全;CDH问题中图法分类号:TP309[1][7,8]基于身份的密码体制最初是由Shamir于的签名方案,提出了一种有效的标准模型下1984年提出,其目的是为了简化密钥管理。在基基于身份的
3、(t,n)门限签名方案,其安全性基于一于身份的密码体制中,用户的公钥是直接从其身般的困难问题假设。份信息(如姓名、身份证号、E-mail地址等)得到,在基于身份的密码系统中,只有一个PKG而私钥则是由一个称为私钥生成中心(PKG)的会影响到系统的效率,这和基于证书的密码系统可信方生成。自1984年来,人们相继提出了许多十分类似,因此,需要一种基于分级身份的密码系实用的基于身份的签名方案,但一个满意的基于统。本文提出了一种标准模型下的分级签名方[2]身份的加密方案直到2001年才被提出。目前,案,该方案的安全性同样基于一般的困难问主要存在标准模型和随机预
4、言机模型两种方法。题)))CDH问题,安全证明不需要随机预言机。在随机预言机模型中,Hash函数看作是理想的,而实际应用的Hash函数却并非如此,因而有一1预备知识些密码学家(如Canetti、Goldreich等)对基于随机预言机的安全性证明持否定态度,他们也的确1.1CDH问题提出了一些签名和加密方案,在随机预言机模型定义1计算Diffie-Hellman问题(CDH问[6]下证明安全的,但在实际中是不安全的。为获题)。设G为素数阶p的循环群,g为G的生成abab得令人高度信任的方案,在标准模型下设计出高元,对任意的a,bIzp,已知g、g,计算g
5、。解效可证明安全的门限签名方案具有现实意义。决CDH问题是利用PPT算法A满足对E>0,abab在过去的几年里,门限签名有了很大的发展,E=Prob[gzA(g,g,g)],如果E是可忽略然而目前大多数的门限签名都是在随机预言机模的,称CDH问题是困难的。[3-5]型下证明安全的。文献[10]首次提出了标准1.2双线性映射模型下的(t,n)门限短签名方案,但其安全性基于设G、G1为素数阶p的循环群,g为G的生成一个强的困难问题假设(SDH)。文献[12]基于元,则双线性映射^e:G@GyG1具有如下性质。一般的困难问题假设(CDH问题)提出了标准模1)
6、双线性性,对所有的u,vIG,a,bIzp,都abab型下的(t,n)门限签名方案,但此方案并不是基于有^e(u,v)=^e(u,v)。身份的。本文利用Waters与Paterson最近提出2)非退化性,^e(g,g)X1。收稿日期:2008-08-28。项目来源:国家自然科学基金资助项目(60473029)。第33卷第10期张乐友等:标准模型下基于身份的可证安全签名方案1077LLL3)实效性,对于任意u,vIG,^e(u,v)是实际R1=0Ri1i,R2=0Ri2i,R3=0Ri3iiI8iI8iI8有效可计算的。式中,Li为相应的Lagrange
7、系数。4)签名验证算法(ThV)。给定公钥Y、消息2基于身份的门限签名方案M及签名R,计算:ncID-1^e(g1,g2)=^e(R1,g)#^e(R2,uc00uii)#2.1基于身份的门限签名方案i=1[8][7]n基于Paterson与Waters签名方案,本文m-1^e(R3,u00uii)i=1给出了门限签名方案。如果成立,输出有效信息;否则,输出无效。1)系统建立(SystemSetup)。设G、G1为素2.2门限签名的安全性分析数阶p的循环群,随机选取AIzp,g为G的任意2.2.1正确性A生成元,计算g1=g,随机选取g2,h,u0,u
8、c0IG签名的正确性:与两个n维向量U=(ui),Uc=(uci),其中ui,uciIncID