一类无证书签名方案的构造方法.docVIP

一类无证书签名方案的构造方法 张磊，张福泰 （南京师范大学数学与计算机科学学院 南京 210097） 摘要：无证书密码体制(CL-PKC)是新近提出的一类新型公钥密码体制。它保持了基于身份的密码体制(ID-PKC)不需要使用公钥证书的优点，又较好地解决了基于身份的公钥体制所固有的密钥托管问题。对无证书体制下安全高效的签名方案的设计方法的研究是受到高度关注的研究课题。本文给出了一类无证书签名方案的构造方法，并在一个很强的安全模型下对用该方法所构造的方案的安全性进行了证明。文中对新构造的方案与已有的一些同类方案的性能进行了比较。结果显示我们的方案在整体性能上有一定的优势。 关键词：无证书密码系统；计算Diffie-Hellman问题；双线性对；无证书签名；随机预言模型 1、引言 在基于证书的传统公钥密码系统下，为了保证系统的安全性，用户的公钥由CA颁发的证书进行认证。 然而在实际应用中证书的产生、管理、传输、验证等过程不仅复杂而且代价很高。为了简化证书管理过程，降低运行代价，Shamir[1]在1984年首次提出了基于身份的密码系统。在基于身份的密码系统中不再使用证书来认证用户的公钥，因为用户的公钥就是能惟一代表他身份的一个公开信息，比如说他的电话号码或者email地址。在该系统中，用户的私钥需要由一个可信中心(PKG)产生。正是由于这一点，基于身份的密码系统有一个与生俱来的缺陷，那就是密钥托管问题――即PKG知道任何用户的私钥。为了解决基于身份的密码系统中的密钥托管问题，Al-Riyami和Paterson[2]在2003年提出了无证书的密码系统。在无证书密码系统中用到一个第三方KGC，其作用是帮助用户生成自己的私钥。但是KGC并不是生成用户的完整私钥，而只是生成用户的部分私钥。用户的完整私钥由用户自己随机选取的一个秘密值以及KGC帮他生成的部分私钥结合起来产生。而用户的公钥由用户自己根据系统参数以及自己的秘密值进行一定运算生成。 数字签名是信息安全中的一个重要工具，它提供真实性，不可否认性，数据完整性等安全服务。相对于传统公钥体制和基于身份的公钥体制下的数字签名而言，无证书签名优势在于：其一，签名验证者在验证签名时无需像在传统公钥密码系统下那样验证签名者公钥的有效性；其二，没有基于身份的密码系统中的密钥托管问题。最早的无证书签名由Al-Riyami 和 Paterson[2]提出，然而他们对该方案没有给出形式化的安全性证明。在ACISP 2005会议上，Huang等人[3]指出了其中的缺陷，那就是第一类攻击者可以任意伪造签名。另外，Huang等人提出了一个修改方案并定义了无证书签名的安全模型。但该模型并不能完全捕获到第一类攻击者的行为，一个典型的例子就是Yap等人的方案[4]。该方案在[3]中的模型下被证明是安全的，但事实上，对它的各种各样的攻击陆续被提出[5,6]。同时我们看到，现有文献中有不少无证书签名方案[7,8,9]的安全性是在这个模型下证明的，因而这些方案的真正安全性还有待于探讨。在[10]中Zhang等人给出了一个改进的安全模型，并给出了一个高效的签名方案。文献[11]进一步提出了无证书签名的一个更强的安全模型。 本文研究在目前提出的最强的安全模型下，高效无证书签名方案的设计。我们提出了一类无证书签名方案的构造方法。在这种构造方法下，所得的签名方案结构简捷运行高效，并在一定意义下性能优于现有的其它无证书签名方案。我们的构造基于双线性映射。其安全性基于一个经典的困难问题--计算Diffie-Hellman问题。同时, 我们在随机预言模型下[12]，利用[11]中的安全模型我们对所构造的签名方案的安全性进行了证明。 2、预备 2.1 双线性映射及数学困难问题 假设是一个阶为素数的加法群，是它的一个生成元；是一个阶为的乘法群。若一个映射满足以下三条性质，则我们称这个映射为双线性映射。 1、双线性性：对于任何，。 2、非退化性：存在使得 3、可计算性：对于任何的，存在一个高效的算法来计算的值。 定义 1：离散对数问题：给定一个阶为的循环群，它的一个生成元，以及，找到一个值使得。 定义 2：计算Diffie-Hellman(CDH)问题：给定一个阶为的循环群，它的一个生成元，以及（其中且其值未知），计算。 2.2 无证书签名方案 一个无证书签名方案由系统参数生成，部分密钥生成，设置秘密值，设置私钥，设置公钥，签名以及验证7个算法组成。通常，前两个算法由KGC执行，而其它算法由签名或验证用户执行。以下是各个算法的描述： 系统参数生成：输入安全参数k，输出系统主密钥master-key和系统公开参数params。其中系统公开参数params向系统中的全体用户公开，而主密钥master-key则由KGC秘密保存。 部分密钥生成：输