无双线性对无证书签名方案探究.docVIP

无双线性对无证书签名方案探究 　　摘要：分析指出目前已知无证书签名方案的不足，提出一种无需双线性对运算的无证书签名方案，在随机预言机模型下证明了方案的不可伪造性，其安全性基于离散对数困难假设，并对比分析了与已知其它无证书签名方案的安全性和性能 关键词：无证书公钥密码体制；无证书签名；无双线性对 中图分类号：TP309.7 文献标识码：A 文章编号：1007-9416（2017）04-0092-03 1 引言 Shamir提出的基于身份的公钥密码体制，简化了基于证书的公钥密码体制中的证书撤销以及密钥管理问题，目前已提出了很多基于该体制的签名方案，但密钥托管仍旧是其固有的缺陷。2003年，Al-Riyami和Paterson首次提出了无证书公钥密码体制，该体制克服了基于身份的公钥密码体制中的密钥托管问题，也避免了证书密码学中证书存储和管理的问题。对于无证书公钥密码体制的研究成为了密码学的热点 2005年，二人又提出了?o证书签名方案，但较为严谨的形式化安全证明并未给出。Huang等人 指出了上述方案具有缺陷，可能遭受密钥替换攻击，并提出了另外的方案和一个全新的安全模型，但此安全模型也不完善，因为不能完全抵抗掉类型I攻击者的攻击。Zhang等人改进了上述安全模型，另外给出了一个高效的签名方案，后续又发表了一种无证书签名方案新的构造方法[2]，并把运用新构造方法实现的方案与其它学者提出的方法进行了对比，整体性能较好。文献[2]中提到若把预运算考虑进去，其签名算法比其它方案效率高。即使考虑预运算，签名验证算法中也会用到双线性对。在有限域中，对比标量乘运算和指数运算，双线性对运算比它们更为耗时，根据文献[1]中指出的，运行一次双线性对运算的时间至少是在椭圆曲线上进行标量乘运算耗费时间的21倍，因此，一个无证书签名方案如果不需要进行双线性对运算，那它将会具有较低的计算复杂度和更高的运算效率。评判一个签名方案是否安全可信的标准为：在较强的安全模型下，即使是基于弱的困难性假设，如果能够证明是安全的，不可伪造的，那么该方案就是安全可信的 本文中的签名方案将DL困难问题替换为BDH困难问题，无论是签名阶段还是验证阶段，算法中均消除了双线性对运算，其安全性基于离散对数困难假设 2 无证书签名方案通用算法及其安全模型 2.1 无证书签名方案通用算法 无证书签名方案中会牵扯到三位参与者：密钥生成中心，签名者，验证者。无证书签名方案主要有以下算法构成： （1）参数初始化算法 输入：安全参数； 输出：系统公开参数，系统主密钥； 密钥生成中心公开系统公开参数，需要保密系统主密钥 （2）部分私钥和秘密值生成算法 输入：签名者身份ID，系统公开参数，系统主密钥； 输出：身份ID签名者的部分私钥，秘密值； 密钥生成中心通过安全的信道把和秘密值返还给签名者 （3）私钥和公钥生成算法 输入：签名者身份ID，系统公开参数，部分私钥，秘密值； 输出：签名者的公钥，私钥 （4）签名算法 输入：系统公开参数，消息，签名者身份ID，公钥，私钥； 输出：签名 （5）验证签名算法 输入：系统公开参数，签名，消息，签名者身份ID，公钥； 输出：1或者0 如果验证通过，输出1，否则输出0 2.2 安全模型 无证书公钥密码体制中具有两种不同类型的攻击者A和B。根据Huang等人发表的论文中定义的攻击者类型，无证书签名方案中常常会面临两种类型的攻击 A：攻击者能够查到签名者的公钥，或者能够替换掉签名者的公钥，但系统主密钥是保密的 B：攻击者能够获取到系统主密钥，但签名者的公钥是保密的，也不能够替换掉签名者的公钥 定义2.1 在A类型的攻击者的攻击下，如果在概率多项式的时间内，攻击者在如下的攻击步骤中没有获得不可忽略的优势，则该无证书签名方案在适应性选择消息攻击下，具有不可伪造性 （1）攻击者输入安全参数，运行初始化参数算法，获得系统公开参数publicParams，系统主密钥是保密的 （2）攻击阶段，攻击者操作如下： Hash查询：任意输入的hash值都可以查询到 部分私钥查询：任意选择签名者的身份ID，通过部分私钥和秘密值生成算法，查询到部分私钥 公钥/私钥查询：任意选择签名者的身份ID，通过私钥和公钥生成算法，查询到对应的公钥/私钥对 签名者公钥替换：任意选择签名者身份ID，选择一个新公钥进行替换 签名查询：任意选择签名者身份ID和明文，对该签名者进行公钥/私钥查询，计算对应的签名 （3）签名伪造：伪造对应身份ID签名者的四元组签名（明文，签名，身份ID，公钥） 由以上可知，若攻击者想获得胜利，当