基于身份的強(qiáng)指定驗證者簽名方案

1、第36卷第8期vol.36 no.8計算機(jī)工程computer engineering安全技術(shù)文章編號：10003428(2010)08016703文獻(xiàn)標(biāo)識碼：a中圖分類號：n945基于身份的強(qiáng)指定驗證者簽名方案邵健，曹珍富，魏立斐(上海交通大學(xué)計算機(jī)科學(xué)與工程系，上海200240)摘要：分析基于身份的指定驗證者簽名方案的瀾洞，指出任何人只要獲取一個簽名就可以驗證以后所有的簽名，并提出一個為效的基于 身份的強(qiáng)指定驗證者簽名方案。該方案結(jié)合了單向認(rèn)證密鑰交換協(xié)議中的發(fā)送者前向安全性和已知密鑰安全性等特點。與已知的基于身份 的強(qiáng)指定驗證者簽名方案相比，該方案具有更強(qiáng)的安全性，且簽名和驗證算法更髙效

2、。關(guān)鍵詞：數(shù)字簽名；單向認(rèn)證密鑰交換；指定驗證者簽名id-based strong designated verifier signature schemeshao jian, cao zhen-fu, wei li-fei(department of computer science and engineering, shanghai jiaotong university. shanghai 200240)abstract an id-based designated verifier signature is analyzed, which shows that anyone who i

3、ntercepts one signature can verily subsequence signatures without need of receiver's private key. another id-based designated verifier signature based on one-pass authenticated key exchange(ake) is presented. this scheme has strong security properties such as the known key security and the forwa

4、rd security that are derived from the one-pass ake compared with the existing schemes, the scheme is much more efficient in sign and verify algorithms.key words digital signature; one-pass authenticated key exchange(ake); designated verifier signature1概述現(xiàn)代信息社會中，數(shù)字簽名技術(shù)已經(jīng)被廣泛地用于提供 數(shù)據(jù)i致性驗證和認(rèn)證。然而在標(biāo)準(zhǔn)的數(shù)字簽名

5、方案中，任 何人都可以驗證簽名的有效性，這就不能有效保護(hù)簽名者的 身份。在很多應(yīng)用中人們也需耍讓簽名者來指定驗證者，例 如電子投票、電子貿(mào)易議價等。為解決以上問題，文獻(xiàn)1提 出了指定驗證者簽名的概念。在指定驗證者簽名方案中，只 有指定的接收者才能驗證簽名的有效性，并且驗證者不能夠 向第三方證明該簽名是被發(fā)送者所認(rèn)證的。因此，該方案不 僅提供了消息認(rèn)證功能，而且具有可否認(rèn)性的特點。文獻(xiàn)2 定義了強(qiáng)指定驗證者簽名，即在驗證階段需要驗證者的私鑰 參與才能完成。文獻(xiàn)3提出了第1個基于身份的強(qiáng)指定驗證 者簽名，驗證者的公鑰可以通過其身份點接獲得從而不必獲 得公鑰證書就可以進(jìn)行指定驗證者簽名，文獻(xiàn)14-6

6、提出一系 列基于身份的強(qiáng)指定驗證者簽名方案，其中，文獻(xiàn)6提出一 個高效的基于身份的強(qiáng)指定驗證者簽名方案，并指出在驗證 階段只有驗證者才可以驗證簽名的有效性。本文指出文獻(xiàn)6 方案并不滿足強(qiáng)指定驗證者簽名的屬性，因為任何人只要獲 得過一個簽名，就能夠獲取足夠的信息來驗證以后所有的簽 名。單向認(rèn)證密鑰交換(one-pass ake)協(xié)議是種非交互式的密 鑰分配協(xié)議，雖然與交互式的ake相比，其安全性理論上不 可能達(dá)到完全前向安全，但是由于其非交互式特點以及更 高的效率提升使之非常適用于基于身份的密碼系統(tǒng)。文獻(xiàn)【引 提出一種高效的基于身份的單向ake方案，通信雙方只需要 知道對方的身份不需要交互就能主

7、成共亨密鑰。本文基于文獻(xiàn)【8的單向ake方案構(gòu)造一個高效的基于 身份的強(qiáng)指定驗證者簽名方案,其繼承了單向ake的安全性 特點。2預(yù)備知識和模型介紹2.1雙線性對令心是一個9階加法群，是一個素數(shù)階9的乘法群。 令p是群g的生成元，稱e: gxg t 是一個雙線性映射, 當(dāng)且僅當(dāng)其滿足如下屬性：雙線性性：e(ap,bp) = e(p,p嚴(yán)g zf/ ;非退化性：(p,p)h1；可計算性：存在一個有效的算法能夠計算e(p,p)。2.2 雙線性 diffe-hellman 問題雙線性diffc-hcllman(bdh)問題是指給定了一組 (p,ap,bp,cp),其中,p是g的生成元，gb,c氣碼，求

8、 e(p,p)abc obdh假設(shè)：對丁任意ppt的敵手來說解決bdh問題的 優(yōu)勢是可忽略的。2.3基于身份的強(qiáng)指定驗證者簽名一般模型基于身份的強(qiáng)指定驗證者簽名一般模型主要包括以下 5個算法：(1) 參數(shù)牛成：輸入一個安全參數(shù)k,輸出系統(tǒng)公開參數(shù) 和主密鑰等。(2) 公私鑰提?。狠斎胂到y(tǒng)公開參數(shù)，主密鑰和一個身份 字符串，輸出該“對應(yīng)的公私鑰。(3) 簽名生成：輸入系統(tǒng)公開參數(shù)，簽名者的私鑰s“， 基金項目：國家自然科學(xué)基金資助項目(60673079, 60773086) 作者簡介：邵 健(1984-),男，碩士研究生，主研方向：密碼學(xué), 信息安全;曹珍富，教授、博士、博士生導(dǎo)師；魏立斐,博士

9、研 究生收稿日期：2(x)9-! 1-01 e-mail: cao-zf一168一消息m和指定驗證者的身份iddv ,輸出消息/；/的簽名7 0(4) 簽名驗證：輸入系統(tǒng)公開參數(shù)，簽名者的身份血$, 消息加,指定驗證者的身份iddv及其私鑰s",消息川的簽 名7,輸岀簽名驗證是否成功標(biāo)志。(5) 簽名模擬：指定驗證者可以運(yùn)行該算法來生成一個模 擬簽名，該簽名與簽名者生成的簽名是不可區(qū)分的。2.4安全性定義安全性定義如下：(1) 正確性：是指一個簽名者牛成的簽名一定可以被驗證 者的驗證算法接受。(2) 不可偽造性：在沒有簽名者的私仞或者指定驗證者的 私鑰的情況下，構(gòu)造一個合法的簽名是計

10、算上概率可忽略的。(3) 隱私非傳遞性：是指對所有指定驗證者必存在一個算 法能模擬出簽名，該簽名與簽名者生成的簽名是不可區(qū)分的。 3基于身份的指定驗證者簽名方案描述3.1參數(shù)生成私鑰牛成機(jī)構(gòu)kgc為雙線性映射e選擇兩個群g和 ,選擇主密鑰s弐z； , p為g的生成元，公鑰p何=sp , 2個哈希函數(shù)h：0,1tg,比：gxo"tz；,向所有用 戶公開參數(shù)g,g"e,q,p,pp涵,治出2，主密鑰s為kgc私有。 3.2公私鑰提取用戶提交他的身份信息/d給kgc, pkg計算其相應(yīng)密 鑰s”$h£id),然后安全地發(fā)送給該用戶，該用戶的公鑰 為 qu) = hqd)

11、 o33簽名生成假定簽名者alice和指定驗證者bob的公鑰/私鑰對分別 為qg%、和/s©,需要簽名的消息為m , alice首先 選擇 0 z；，計算 u = rq , h = h2(m,u),v = rhsid ,然 后將簽名©¥)發(fā)送給bobo3.4簽名驗證bob首先計算h = h2(m,u),然后驗證等式e(u,v) = us%,hq恤)是否成立。如果成立，則接受簽名，否則拒絕。 驗證過程如下：e(", v)二 wqg，宀二 e(ql)bjislf)a) = e(s 叫,hq©)3.5簽名模擬bob首先選擇化山；，計算1/1如,心訃2

12、),4對基于身份的指定驗證者簽名方案的攻擊假設(shè)0山)是消息m的簽名，任何人可以根據(jù)0")計 算出h = ij2(m,u),從而得出心口仗口):心心,qg) = e%, hq 屏=e(u,vf之后，當(dāng)攻擊者獲得新消息m那的簽名時，首先 計算護(hù)二2(m*q*),然后驗證等式叫畑=' 0可見，由于獲得了叫,qq),攻擊者不需要 指定驗證者的私鑰也可以很容易驗證簽名，因此該方案是不 安全的。筆者需要史加安全的方案。5新方案描述5.1參數(shù)生成私鑰生成機(jī)構(gòu)pkg為雙線性映射e選擇2個群g和 爲(wèi)，選擇主密鑰£勺石，p為g的生成元，公鑰p；,肋sp ,3 個哈希函數(shù) a：()”tg

13、 , /2:gx0,ir-z； ,()" tn；,向所有用戶公開參數(shù)0、咗t、e、q、p,p»b、 hh2th3),主密鑰s為pkg私有。5.2公私鑰提取給定一個身份id , pkg計算su)=shad)并發(fā)送給身份 力的用戶作為私鑰，對應(yīng)其公鑰為qid =o5.3簽名生成設(shè)簽名者人的身份為id,驗證者b的身份為idh , 4 擁有公私鑰對sa,qa)和b的公鑰qn ,給定消息m ,人首先 隨機(jī)選擇 z；,計算 r = rq, h = h2(rjda idb),然后 計算單向會話密鑰k,之(/ + /.，©),再通過哈希函數(shù)弘 計算a = hgm),最后將(rq)

14、作為簽名發(fā)送給b。 5.4簽名驗證接收到簽名(代。)后，驗證者b首先計算岀，然后計 算出會話密鑰心i之(/? +力0心)，最后驗證等式 a =是否成立，若成立則接受該簽名，否則拒絕。5.5簽名模擬b可以模擬一個合法的簽名，首先選擇一個隨機(jī)數(shù) fz；,然后計算:r' = r'qa, h'=h2(r'jdaid& =仏仗(用+力"»,“)顯然，(/?；)是滿足驗證條件的合法簽名。6安全性分析本節(jié)首先分析該方案是一個安全的強(qiáng)指定驗證者簽名， 然后分析該方案結(jié)合了單向認(rèn)證密鑰交換協(xié)議的前向安全性 和已知密鑰安全性。6.1正確性驗證算法的正確性

15、可由如下等式得到：7 =弘(k.ib，m)=弘 2( r + h)sq, 0), m)=h3(e(r + h)qa fsbm) = h3(kbafm)6.2不可偽造性假設(shè)存在一個敵手m在沒有a或者3的私鑰情況下能夠 偽造出一個合法的指定驗證者簽名(r：l),根據(jù)哈希函數(shù)的 單向性，敵手不可能根據(jù)恢復(fù)出心,，所以，只 能構(gòu)造出ab之間的會話密鑰心“才能構(gòu)造出7',而本方案 所基于的one-pass ake方案已經(jīng)在隨機(jī)預(yù)言機(jī)模型下證明 了如果a可以偽造一個kab ,則可以構(gòu)造一個有效算法解決 bdh問題。顯然，該簽名是不可偽造的。6.3隱私非傳遞性由簽名模擬算法可知，本方案是滿足隱私非傳

16、遞性的， 因為驗證者少所模擬的簽名(r',l)與人所生成的簽名是不可 區(qū)分的，所以b不能向第三方證明該簽名確實是由a簽署的 而不是b所偽造的，而只有b自己知道是不是a所主成的簽 名，因為只有a和b才能生成該簽名。在簽名驗證算法中，需要b的私鑰參與才能成功驗證， 根據(jù)哈希函數(shù)的單向性，只要能夠驗證本方案中的簽名必須 知道會話密鑰，而會話密鑰是需要b的私鑰參與才能生成的, 所以，本方案確實是一個強(qiáng)指定驗證者簽名方案。6.4發(fā)送者前向安全發(fā)送者前向安全是指如果發(fā)送者a的私鑰泄露，則不會 導(dǎo)致a以前利用該私鑰所計算的會話密鑰的泄露。本方案所 基于的one-pass ake方案滿足該安全性，即a

17、發(fā)送過的（rq 所對應(yīng)的kah不會被泄露,則b與 j的關(guān)系也不會泄需， 所以，在這種情況下敵手也不能驗證簽名。6.5已知密鑰安全已知密鑰安全是指即使敵手知道一次會話密鑰，也不能 計算出其他的會話密鑰。對應(yīng)本方案，即使敵手獲得了一次 正確的會話密鑰kba ,也不能計算出其他的kba從而偽造出 <7,所以，在這種情況下，敵手也不能偽造一個簽名。該屬 性増強(qiáng)了指定驗證者簽名的不可偽造性。7性能分析令p為配對操作，m為群g上的模乘，e為群gy上的 指數(shù)操作，円為哈希操作，/為取反操作，假設(shè)在群g上的 加法操作為可忽略。本文方案與其他幾個方案的性能比較結(jié) 果如表1所示。表1算法性能比較方案簽名算法

18、驗證算法文獻(xiàn)方案1p + 3m +1e + 1h + i/2p + 1m +2e + 1h文獻(xiàn)4方案4m+1h + 1i3p + 1h文獻(xiàn)方案2p + 2m +1e + 1h1p + 1m +1e + 1h本文方案ip + 2m +2hip + 1m +2h從表1可以看出，本文方案所需計算量更少，性能更優(yōu)。8 結(jié)束語本文針對文獻(xiàn)6提出的指定驗證者簽名方案給出一個 有效的攻擊方法，并結(jié)合單向認(rèn)證密鑰交互協(xié)議的最新成果, 提出一個高效的基于身份的強(qiáng)指定驗證者簽名方案，不僅具 有更強(qiáng)的安全性特點，而且在運(yùn)算效率上也優(yōu)于現(xiàn)有指定驗 （上接第166頁）rabin-oaep方案對a進(jìn)行解密，恢復(fù)111川和

19、r2,并檢驗 其哈希值。如果解密成功，則bd選擇一個隨機(jī)數(shù)r3 ,以/?2 為 sms4 密鑰加密 r3 和 h（rl r2）,即 b = enr2r3 h（r1iir2）,將b發(fā)送給tag。（4）如果tag解密得到*正確 的h（rwr2）,則可相信bd身份的合法性，并同時得到隨 機(jī)數(shù)朗。tag利用其私鑰x他和預(yù)計算值v =，計算改進(jìn)型 elgamal 簽名 w=xrag（r+ r3 + v）-r （modp他-1）,并 以r2為sms4密鑰加密其證書c環(huán)中的htag , w和v ,即 c =w iiv,將c發(fā)送給bd. （5）bd收到tag的加密消息c后，先用r2解密恢復(fù)得到c環(huán)中的1% 和

20、v , 然后用rabin-pss-mr算法驗證證書的合法性。若證書認(rèn)證 成功，則bd再檢驗tag的改進(jìn)型elgamal簽名是否止確， 即檢驗是否成立。若成立，則bd接 受tag為合法服務(wù)器，雙向認(rèn)證結(jié)束。認(rèn)證結(jié)束后，bd和tag可用尺3作為會話密鑰加密雙方 后續(xù)的通信，以達(dá)到通信保密的目的。本文認(rèn)證方案具有如下優(yōu)勢：（1）由于采用消息可恢復(fù)的 rabin-pss-mr概率簽名作為公鑰的證書，因此在bd向tag 和tag向bd證明其公鑰證書合法性時，只要發(fā)送公鑰證書 （簽名）即可。將方案屮的認(rèn)證方式設(shè)計成適合rfid的非 對稱形式：由bd承擔(dān)在認(rèn)證過程中計算量較大的工作，減 少tag的工作量，以

21、提高系統(tǒng)運(yùn)行效率并節(jié)省帶寬。（3）本文 采用具有消息恢復(fù)功能的rabin-pss-mr概率簽名機(jī)制，該 算法計算量少且避免了選擇消息攻擊，以較小代價換取了可 證明安全性。（4）認(rèn)證協(xié)議運(yùn)行結(jié)束時，通信雙方獲得相同的 證者簽名方案，適用于對隱私性和認(rèn)證性耍求比較高同時運(yùn) 算能力有限的電子商務(wù)和電子政務(wù)中。參考文獻(xiàn)i jakobsson m, sako k, impagliazzo r. designated verifier proofs and their applicationsc/proc. of eurocryp596. berlin, germany: springer-verlag,

22、 1996.2| saeednia s, kramer s, markovitch 0. an efficient strong designated verifier signature schemec/proc. of the 6th infl conf, on inf. security and cryptology. |s. 1.: ieee press, 2(x)3.3 susilo w, zhang fangguo, mu yi. identity-based strong designated verifier signature schemeslcj/proc. of the

23、acispm. s. 1.: ieee press, 2004.14 zhang jianhong. a novel id-based designated verifier signature schemej . information science, 2008, 178(3): 766-773.5j kang baoyuan. a novel identity-based strong designated verifier signature scheme!j|. the journal of systems and software, 2009, 82(2): 270-273. 張學(xué)

24、軍.高效的基于身份的指定驗證者簽名1兒計算機(jī)工程, 2(x)9, 35(5): 13ij32. okamoto t, tso r, okamoto e. one-way and two-party authenticated id-based key agreement protocols using pairing!m|. berlin, germany: s. n.|, 2005.8 gorantla m, boyd c, gonzalez n j. ldbased one-pass authenticated key establishmentc/proc of aisc'o & wollongong, australia: s. nj, 2008.編輯陳文會話密鑰r3,即同時實現(xiàn)了密鑰分配功能。綜上所述