基于复合离散对数高效有向数字签名.docVIP

基于复合离散对数高效有向数字签名 　　摘 要：现有的有向数字签名方案均采用了增加签名方和验证方的指数运算来实现接收者直接验证签名。提出了一个基于复合离散对数的有向数字签名方案，其运算量、签名的长度等效于离散对数的数字签名。相对于现有的有向数字签名方案，该方案在计算量和通信成本等方面有显著提高。 　　关键词：有向数字签名； 复合离散对数； 有向验证性； 不可否认性 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2007)06-0136-03 　　 　　0 引言?? 　　数字签名作为一种密码原创为保障消息的认证性和完整性提供了一种强大的工具。普通的数字签名均具有一个通用的属性，也就是其签名可以被任何人验证。但是在有些场合，数字签名的签名者和接收者为了保护自己的隐私和利益，不想具有公开验证的功能，于是在交换协议［1］、数字签名的基础上添加了一些限制属性，以避免潜在的对数字签名的滥用。不可抵赖数字签名［2］就是这样一种数字签名，其签名只能在签名者的帮助下才能得到验证，以保护签名者的利益。Chaum在文献[3]中提出了一种指定验证人数字签名，以弥补不可抵赖数字签名的缺陷(也就是避免当签名者离线时也能验证签名的有效性)。在Aurocrypt’92上，文献[4]提出了有向数字签名(Directed Signature)的概念并设计了相应的方案。其后，C.H.Lim和P.J.Lee［5］设计了另外一个有向数字签名方案，并提出了一些应用。假设用户Alice想向用户Bob发送消息，那么有向数字签名就是满足如下性质的一个数字签名：?? 　　（1）有向性。只有接收者Bob才能验证发送者A的签名，而其他人如果没有得到Alice或Bob的帮助，则对签名的信息将一无所知。?? 　　（2）可公开验证性。如果发生纠纷，接收者Bob可以向一个可信第三方(Trusted Party for short， TP)证明签名的有效性。?? 　　在许多的应用场合，签名消息具有个人或者商业敏感性，如税单、健康检查表等。在这些场合下，有向数字签名是最理想的数字签名之一。?? 　　本文提出了一个基于复合离散对数的高效有向数字签名方案。该数字签名方案具有一般的数字签名方案的效率，签名时只需要进行一次指数运算，而文献[4, 5]中的方案则需要三次指数运算；验证时该方案只需要进行两次指数运算，而文献[4, 5]中的方案仍需要三次指数运算。此外本文方案的签名长度比文献[4, 5]中的方案都要短，因此无论是计算量，还是通信开销，该方案都优于文献[4, 5]中提出的方案。?? 　　 　　1 复合离散对数 　　 　　2 有向数字签名方案?? 　　2.1 形式化定义?? 　　定义1 形式化地说，一个有向签名方案(DS=KeyGen,DSign,DVerify,PVerify)涉及两个参与方，即Alice和Bob，且由以下四个算法组成：?? 　　（1）KeyGen。这是用户密钥产生协议，运行这个协议之后，Alice 能够获得他的签名私钥??SK??A及对应用来验证她的签名的公钥PK??A??；Bob获得了他的解密密钥??SK??B和相应的加密密钥PK??B??。?? 　　（2）Sign。类似传统的签名算法，输入〈??SK??A，PK??B,m??〉，输出Alice对消息??m 的签名s??。?? 　　（3）DVerify。类似传统的签名验证算法，输入〈??PK??A,SK??B,m;s〉，如果s?? 是有效的签名，则输出1，否则输出0。?? 　　（4）PVerify。这是Bob和任何一个可信第三方之间的一个零知识的协议，它能保证Bob可以向任何一个可信第三方证明Alice的签名的有效性。?? 　　2.2 高效有向数字签名方案?? 　　KeyGen 为了建立本文的系统，需要一个可信的权威机构(Trusted Authority for short, TA)来产生并发布公共参数，TA按以下步骤进行：?? 　　（1）(TA-1)选择一个安全的RSA模??N= pq，这里的p和q是随机大素数，具有相同的比特长度，并且p-1和q-1??非光滑； 　　 　　3 安全性分析 　　3.1 安全模型?? 　　本文从三个方面来考虑有向签名方案DS=(KeyGen,DSign,DVerify)的安全性，即不可否认性、有向验证性和可公开验证性。假设PPT 表示概率多项式时间。这里首先给出不可否认性的安全模型。?? 　　签名的不可否认性指的是除了Alice谁也不能生成有效的签名??s??来构造有效的密文，即Alice的签名是不可伪造的。其形式化定义是通过随机预言机模型下［8］的Game 1 来描述的，这是挑战者C与一攻击者F之间一个