基于身份的强指定验证者签名方案

1、第36卷第8期vol.36 no.8计算机工程computer engineering安全技术文章编号：10003428(2010)08016703文献标识码：a中图分类号：n945基于身份的强指定验证者签名方案邵健，曹珍富，魏立斐(上海交通大学计算机科学与工程系，上海200240)摘要：分析基于身份的指定验证者签名方案的澜洞，指出任何人只要获取一个签名就可以验证以后所有的签名，并提出一个為效的基于 身份的强指定验证者签名方案。该方案结合了单向认证密钥交换协议中的发送者前向安全性和已知密钥安全性等特点。与已知的基于身份 的强指定验证者签名方案相比，该方案具有更强的安全性，且签名和验证算法更髙效

2、。关键词：数字签名；单向认证密钥交换；指定验证者签名id-based strong designated verifier signature schemeshao jian, cao zhen-fu, wei li-fei(department of computer science and engineering, shanghai jiaotong university. shanghai 200240)abstract an id-based designated verifier signature is analyzed, which shows that anyone who i

3、ntercepts one signature can verily subsequence signatures without need of receiver's private key. another id-based designated verifier signature based on one-pass authenticated key exchange(ake) is presented. this scheme has strong security properties such as the known key security and the forwa

4、rd security that are derived from the one-pass ake compared with the existing schemes, the scheme is much more efficient in sign and verify algorithms.key words digital signature; one-pass authenticated key exchange(ake); designated verifier signature1概述现代信息社会中，数字签名技术已经被广泛地用于提供 数据i致性验证和认证。然而在标准的数字签名

5、方案中，任 何人都可以验证签名的有效性，这就不能有效保护签名者的 身份。在很多应用中人们也需耍让签名者来指定验证者，例 如电子投票、电子贸易议价等。为解决以上问题，文献1提 出了指定验证者签名的概念。在指定验证者签名方案中，只 有指定的接收者才能验证签名的有效性，并且验证者不能够 向第三方证明该签名是被发送者所认证的。因此，该方案不 仅提供了消息认证功能，而且具有可否认性的特点。文献2 定义了强指定验证者签名，即在验证阶段需要验证者的私钥 参与才能完成。文献3提出了第1个基于身份的强指定验证 者签名，验证者的公钥可以通过其身份点接获得从而不必获 得公钥证书就可以进行指定验证者签名，文献14-6

6、提出一系 列基于身份的强指定验证者签名方案，其中，文献6提出一 个高效的基于身份的强指定验证者签名方案，并指出在验证 阶段只有验证者才可以验证签名的有效性。本文指出文献6 方案并不满足强指定验证者签名的属性，因为任何人只要获 得过一个签名，就能够获取足够的信息来验证以后所有的签 名。单向认证密钥交换(one-pass ake)协议是种非交互式的密 钥分配协议，虽然与交互式的ake相比，其安全性理论上不 可能达到完全前向安全，但是由于其非交互式特点以及更 高的效率提升使之非常适用于基于身份的密码系统。文献【引 提出一种高效的基于身份的单向ake方案，通信双方只需要 知道对方的身份不需要交互就能主

7、成共亨密钥。本文基于文献【8的单向ake方案构造一个高效的基于 身份的强指定验证者签名方案,其继承了单向ake的安全性 特点。2预备知识和模型介绍2.1双线性对令心是一个9阶加法群，是一个素数阶9的乘法群。 令p是群g的生成元，称e: gxg t 是一个双线性映射, 当且仅当其满足如下属性：双线性性：e(ap,bp) = e(p,p严g zf/ ;非退化性：(p,p)h1；可计算性：存在一个有效的算法能够计算e(p,p)。2.2 双线性 diffe-hellman 问题双线性diffc-hcllman(bdh)问题是指给定了一组 (p,ap,bp,cp),其中,p是g的生成元，gb,c气码，求

8、 e(p,p)abc obdh假设：对丁任意ppt的敌手来说解决bdh问题的 优势是可忽略的。2.3基于身份的强指定验证者签名一般模型基于身份的强指定验证者签名一般模型主要包括以下 5个算法：(1) 参数牛成：输入一个安全参数k,输出系统公开参数 和主密钥等。(2) 公私钥提取：输入系统公开参数，主密钥和一个身份 字符串，输出该“对应的公私钥。(3) 签名生成：输入系统公开参数，签名者的私钥s“， 基金项目：国家自然科学基金资助项目(60673079, 60773086) 作者简介：邵 健(1984-),男，硕士研究生，主研方向：密码学, 信息安全;曹珍富，教授、博士、博士生导师；魏立斐,博士

9、研 究生收稿日期：2(x)9-! 1-01 e-mail: cao-zf一168一消息m和指定验证者的身份iddv ,输出消息/；/的签名7 0(4) 签名验证：输入系统公开参数，签名者的身份血$, 消息加,指定验证者的身份iddv及其私钥s",消息川的签 名7,输岀签名验证是否成功标志。(5) 签名模拟：指定验证者可以运行该算法来生成一个模 拟签名，该签名与签名者生成的签名是不可区分的。2.4安全性定义安全性定义如下：(1) 正确性：是指一个签名者牛成的签名一定可以被验证 者的验证算法接受。(2) 不可伪造性：在没有签名者的私仞或者指定验证者的 私钥的情况下，构造一个合法的签名是计

10、算上概率可忽略的。(3) 隐私非传递性：是指对所有指定验证者必存在一个算 法能模拟出签名，该签名与签名者生成的签名是不可区分的。 3基于身份的指定验证者签名方案描述3.1参数生成私钥牛成机构kgc为双线性映射e选择两个群g和 ,选择主密钥s弐z； , p为g的生成元，公钥p何=sp , 2个哈希函数h：0,1tg,比：gxo"tz；,向所有用 户公开参数g,g"e,q,p,pp涵,治出2，主密钥s为kgc私有。 3.2公私钥提取用户提交他的身份信息/d给kgc, pkg计算其相应密 钥s”$h£id),然后安全地发送给该用户，该用户的公钥 为 qu) = hqd)

11、 o33签名生成假定签名者alice和指定验证者bob的公钥/私钥对分别 为qg%、和/s©,需要签名的消息为m , alice首先 选择 0 z；，计算 u = rq , h = h2(m,u),v = rhsid ,然 后将签名©¥)发送给bobo3.4签名验证bob首先计算h = h2(m,u),然后验证等式e(u,v) = us%,hq恤)是否成立。如果成立，则接受签名，否则拒绝。 验证过程如下：e(", v)二 wqg，宀二 e(ql)bjislf)a) = e(s 叫,hq©)3.5签名模拟bob首先选择化山；，计算1/1如,心讣2

12、),4对基于身份的指定验证者签名方案的攻击假设0山)是消息m的签名，任何人可以根据0")计 算出h = ij2(m,u),从而得出心口仗口):心心,qg) = e%, hq 屏=e(u,vf之后，当攻击者获得新消息m那的签名时，首先 计算护二2(m*q*),然后验证等式叫畑=' 0可见，由于获得了叫,qq),攻击者不需要 指定验证者的私钥也可以很容易验证签名，因此该方案是不 安全的。笔者需要史加安全的方案。5新方案描述5.1参数生成私钥生成机构pkg为双线性映射e选择2个群g和 爲，选择主密钥£勺石，p为g的生成元，公钥p；,肋sp ,3 个哈希函数 a：()”tg

13、 , /2:gx0,ir-z； ,()" tn；,向所有用户公开参数0、咗t、e、q、p,p»b、 hh2th3),主密钥s为pkg私有。5.2公私钥提取给定一个身份id , pkg计算su)=shad)并发送给身份 力的用户作为私钥，对应其公钥为qid =o5.3签名生成设签名者人的身份为id,验证者b的身份为idh , 4 拥有公私钥对sa,qa)和b的公钥qn ,给定消息m ,人首先 随机选择 z；,计算 r = rq, h = h2(rjda idb),然后 计算单向会话密钥k,之(/ + /.，©),再通过哈希函数弘 计算a = hgm),最后将(rq)

14、作为签名发送给b。 5.4签名验证接收到签名(代。)后，验证者b首先计算岀，然后计 算出会话密钥心i之(/? +力0心)，最后验证等式 a =是否成立，若成立则接受该签名，否则拒绝。5.5签名模拟b可以模拟一个合法的签名，首先选择一个随机数 fz；,然后计算:r' = r'qa, h'=h2(r'jdaid& =仏仗(用+力"»,“)显然，(/?；)是满足验证条件的合法签名。6安全性分析本节首先分析该方案是一个安全的强指定验证者签名， 然后分析该方案结合了单向认证密钥交换协议的前向安全性 和已知密钥安全性。6.1正确性验证算法的正确性

15、可由如下等式得到：7 =弘(k.ib，m)=弘 2( r + h)sq, 0), m)=h3(e(r + h)qa fsbm) = h3(kbafm)6.2不可伪造性假设存在一个敌手m在没有a或者3的私钥情况下能够 伪造出一个合法的指定验证者签名(r：l),根据哈希函数的 单向性，敌手不可能根据恢复出心,，所以，只 能构造出ab之间的会话密钥心“才能构造出7',而本方案 所基于的one-pass ake方案已经在随机预言机模型下证明 了如果a可以伪造一个kab ,则可以构造一个有效算法解决 bdh问题。显然，该签名是不可伪造的。6.3隐私非传递性由签名模拟算法可知，本方案是满足隐私非传

16、递性的， 因为验证者少所模拟的签名(r',l)与人所生成的签名是不可 区分的，所以b不能向第三方证明该签名确实是由a签署的 而不是b所伪造的，而只有b自己知道是不是a所主成的签 名，因为只有a和b才能生成该签名。在签名验证算法中，需要b的私钥参与才能成功验证， 根据哈希函数的单向性，只要能够验证本方案中的签名必须 知道会话密钥，而会话密钥是需要b的私钥参与才能生成的, 所以，本方案确实是一个强指定验证者签名方案。6.4发送者前向安全发送者前向安全是指如果发送者a的私钥泄露，则不会 导致a以前利用该私钥所计算的会话密钥的泄露。本方案所 基于的one-pass ake方案满足该安全性，即a

17、发送过的（rq 所对应的kah不会被泄露,则b与 j的关系也不会泄需， 所以，在这种情况下敌手也不能验证签名。6.5已知密钥安全已知密钥安全是指即使敌手知道一次会话密钥，也不能 计算出其他的会话密钥。对应本方案，即使敌手获得了一次 正确的会话密钥kba ,也不能计算出其他的kba从而伪造出 <7,所以，在这种情况下，敌手也不能伪造一个签名。该属 性増强了指定验证者签名的不可伪造性。7性能分析令p为配对操作，m为群g上的模乘，e为群gy上的 指数操作，円为哈希操作，/为取反操作，假设在群g上的 加法操作为可忽略。本文方案与其他几个方案的性能比较结 果如表1所示。表1算法性能比较方案签名算法

18、验证算法文献方案1p + 3m +1e + 1h + i/2p + 1m +2e + 1h文献4方案4m+1h + 1i3p + 1h文献方案2p + 2m +1e + 1h1p + 1m +1e + 1h本文方案ip + 2m +2hip + 1m +2h从表1可以看出，本文方案所需计算量更少，性能更优。8 结束语本文针对文献6提出的指定验证者签名方案给出一个 有效的攻击方法，并结合单向认证密钥交互协议的最新成果, 提出一个高效的基于身份的强指定验证者签名方案，不仅具 有更强的安全性特点，而且在运算效率上也优于现有指定验 （上接第166页）rabin-oaep方案对a进行解密，恢复111川和

19、r2,并检验 其哈希值。如果解密成功，则bd选择一个随机数r3 ,以/?2 为 sms4 密钥加密 r3 和 h（rl r2）,即 b = enr2r3 h（r1iir2）,将b发送给tag。（4）如果tag解密得到*正确 的h（rwr2）,则可相信bd身份的合法性，并同时得到随 机数朗。tag利用其私钥x他和预计算值v =，计算改进型 elgamal 签名 w=xrag（r+ r3 + v）-r （modp他-1）,并 以r2为sms4密钥加密其证书c环中的htag , w和v ,即 c =w iiv,将c发送给bd. （5）bd收到tag的加密消息c后，先用r2解密恢复得到c环中的1% 和

20、v , 然后用rabin-pss-mr算法验证证书的合法性。若证书认证 成功，则bd再检验tag的改进型elgamal签名是否止确， 即检验是否成立。若成立，则bd接 受tag为合法服务器，双向认证结束。认证结束后，bd和tag可用尺3作为会话密钥加密双方 后续的通信，以达到通信保密的目的。本文认证方案具有如下优势：（1）由于采用消息可恢复的 rabin-pss-mr概率签名作为公钥的证书，因此在bd向tag 和tag向bd证明其公钥证书合法性时，只要发送公钥证书 （签名）即可。将方案屮的认证方式设计成适合rfid的非 对称形式：由bd承担在认证过程中计算量较大的工作，减 少tag的工作量，以

21、提高系统运行效率并节省带宽。（3）本文 采用具有消息恢复功能的rabin-pss-mr概率签名机制，该 算法计算量少且避免了选择消息攻击，以较小代价换取了可 证明安全性。（4）认证协议运行结束时，通信双方获得相同的 证者签名方案，适用于对隐私性和认证性耍求比较高同时运 算能力有限的电子商务和电子政务中。参考文献i jakobsson m, sako k, impagliazzo r. designated verifier proofs and their applicationsc/proc. of eurocryp596. berlin, germany: springer-verlag,

22、 1996.2| saeednia s, kramer s, markovitch 0. an efficient strong designated verifier signature schemec/proc. of the 6th infl conf, on inf. security and cryptology. |s. 1.: ieee press, 2(x)3.3 susilo w, zhang fangguo, mu yi. identity-based strong designated verifier signature schemeslcj/proc. of the

23、acispm. s. 1.: ieee press, 2004.14 zhang jianhong. a novel id-based designated verifier signature schemej . information science, 2008, 178(3): 766-773.5j kang baoyuan. a novel identity-based strong designated verifier signature scheme!j|. the journal of systems and software, 2009, 82(2): 270-273. 张学

24、军.高效的基于身份的指定验证者签名1儿计算机工程, 2(x)9, 35(5): 13ij32. okamoto t, tso r, okamoto e. one-way and two-party authenticated id-based key agreement protocols using pairing!m|. berlin, germany: s. n.|, 2005.8 gorantla m, boyd c, gonzalez n j. ldbased one-pass authenticated key establishmentc/proc of aisc'o & wollongong, australia: s. nj, 2008.编辑陈文会话密钥r3,即同时实现了密钥分配功能。综上所述