基于双线性对的无证书签名与群签名方案
合集下载
一种基于双线性对的可验证无证书环签密方案
bl erp i n s a as ie . Us g te s h me te in a ar g w s l o gvn i i i h c e , h me sg e d r c l a o y u l e d te mesg , a d te n sa e sn e al n n mo sy sn h sae n h
c n d n ai d a t e t i f t e me s g r e l e t t e s me t . I e e s r , t e r a in r C r v i o f e t l y a u h n i t o s a e a e r ai d a a i i i t n cy h z h me f n c s a y h l sg e a p o e h s e n ie t y h s t e s h me h s b e r v o b e u e i h a d m rc e mo e . d n i .T u h c e a e n p o e t e s c r n t e rn o o a l d 1 t d Ke r s i au e i g sg c p in e t ia ee s cy ts se y wo d :sg t r ;rn i r t ;e r f tl s rp o y tm;b l e r p i n n n y o ie i n a ar g i is
S p. 2 0 e 07
种 基 于双 线 性 对 的 可 验证 无证 书环 签 密 方 案
王玲 玲 , 国印 , 张 马春 光 ( 尔滨 工程 大 学 计 算机 科 学 与技 术 学院 , 尔滨 10 0 ) 哈 哈 50 1
摘
(igi @ hb u e u a) 1 l g re . d .n n n 要 : 于无 证 书密码 体 制 , 出 了一 种 可验证 的环 签 密方 案 模 型 , 给 出 了基 于双 线 性 对 的 基 提 并
无证书群签密方案
统参 数 为 ( 1G , Байду номын сангаасH , 日 ,0 。 G , P,, oH , 2P )
2 用户公私钥 的生成 : ) 需执行 以下 4 个步骤 : ① 提取部分私钥 : 利用系统主密钥 s K C为用户生成部分私钥 。 ,G 当输入用户 A的身份信息 I ∈ D
{ ,} 时 , G 0 1 K C计 算并 输 出 A的部 分私钥 D =s = s ( 。 肋 ) ② 设 置 秘密 值 : 用户 A在 中随机选 取一 个值 作 为其 秘密值 。
{ ,} ×{ ,}t 0 1 ×G 一z : 2 1 01 0 1 ×G ×{ , } , G一G.x{ ,} 0 l 屹×{ ,} 其 中 见 , 01 , l1 分别表示身 7 , 份和消息的比特长度 ; 密钥生成 中心( G 在 z K C) 中随机选取主密钥 s计算系统公钥 P , 。=s , P 公开系
③ 可计算 性 : 存在 有 效 的多 项式 时 间算 法 计算 e 。 2 计 算 Dfe—Hema 题 ( D ) i i f l n问 l C H): 定 一 个 阶 为 q的 循 环 群 G , 成 元 为 P, 已 知 P 和 给 生 若 口
b 口 b∈z 已知 ) 求解 a P。 P( , , b
第2 7卷 第 4期
V0 . No. 127 4
荆 楚 理 工 学 院 学报
J un lo ig h iest fT c n lg o ra fJn c u Unv ri o e h oo y y
21 02年 4 月
Ap . 0 2 r2 1
无 证 书 群 签 密 方 案
朱 清 芳
( 阳师范学 院 数学与科学学 院 , 洛 河南 洛 阳 4 12 ) 7 02
2 用户公私钥 的生成 : ) 需执行 以下 4 个步骤 : ① 提取部分私钥 : 利用系统主密钥 s K C为用户生成部分私钥 。 ,G 当输入用户 A的身份信息 I ∈ D
{ ,} 时 , G 0 1 K C计 算并 输 出 A的部 分私钥 D =s = s ( 。 肋 ) ② 设 置 秘密 值 : 用户 A在 中随机选 取一 个值 作 为其 秘密值 。
{ ,} ×{ ,}t 0 1 ×G 一z : 2 1 01 0 1 ×G ×{ , } , G一G.x{ ,} 0 l 屹×{ ,} 其 中 见 , 01 , l1 分别表示身 7 , 份和消息的比特长度 ; 密钥生成 中心( G 在 z K C) 中随机选取主密钥 s计算系统公钥 P , 。=s , P 公开系
③ 可计算 性 : 存在 有 效 的多 项式 时 间算 法 计算 e 。 2 计 算 Dfe—Hema 题 ( D ) i i f l n问 l C H): 定 一 个 阶 为 q的 循 环 群 G , 成 元 为 P, 已 知 P 和 给 生 若 口
b 口 b∈z 已知 ) 求解 a P。 P( , , b
第2 7卷 第 4期
V0 . No. 127 4
荆 楚 理 工 学 院 学报
J un lo ig h iest fT c n lg o ra fJn c u Unv ri o e h oo y y
21 02年 4 月
Ap . 0 2 r2 1
无 证 书 群 签 密 方 案
朱 清 芳
( 阳师范学 院 数学与科学学 院 , 洛 河南 洛 阳 4 12 ) 7 02
高效的无证书紧致有序多重签名方案
c y t s t m nd b ln a a rn e h o o y he s h me i o a t h e g h o i n t r s f e , n o s n tg o wi h u e ft e r p o yse a ii e r p i g t c n l g .T c e sc mp c ,t e l n t f sg a u e i i d a d d e o r w t t e n mb r o i x h h
polm) rbe :在群 G 上 ,给定 (,Pb ),其中, 口b 1 Pa , P ,∈Z ,计
算 aP 。 b
给直接上级。这类签字系统对应 的就是有序 多重数字签名 。 有序多重数字签名就是签名顺序 固定 的多重签名 。文献[】 1 提 出了多重签名 。此后,研究人员对多重签名及有序多重签名 进行 了相应 的研 究 。。文 献【—J J 67研究了无证书有序 多重签 名 ,但它们的方案不满足紧致性 ,同时效率 也比较低 。紧致 性是 指最终 多用户 多重签名 的长度和 单用户 签名的长 度相 当,签名 的长度不随签名人数 的改变而变化 。因此 ,设计
中图 分类号: P0 T39
高效 的无证 书 紧致有序 多重 签名 方案
张 玉磊
( 西北师范大学数学与信息科 学学院,兰州 7 0 7 ) 3 0 0
奠
要 :基于无证书公钥密码体制和双线性对技术,提 出一种高效、紧致 的无证书有序多重签名方案。该方案得到的签名长度 固定 ,不随
签 名人数 的改变 而变化 ,需 要的双线 性对运 算数 固定 ,且 签名算 法和验 证算法 的复杂 度与签 名人数 无关 。方案 的安全性依 赖于 计算
1 概述
在现实生活中,有时需要多个用户对 同一消息按固定的 顺序进行签名 ,例如,电子政务 中的文件逐级审批制度 。各
polm) rbe :在群 G 上 ,给定 (,Pb ),其中, 口b 1 Pa , P ,∈Z ,计
算 aP 。 b
给直接上级。这类签字系统对应 的就是有序 多重数字签名 。 有序多重数字签名就是签名顺序 固定 的多重签名 。文献[】 1 提 出了多重签名 。此后,研究人员对多重签名及有序多重签名 进行 了相应 的研 究 。。文 献【—J J 67研究了无证书有序 多重签 名 ,但它们的方案不满足紧致性 ,同时效率 也比较低 。紧致 性是 指最终 多用户 多重签名 的长度和 单用户 签名的长 度相 当,签名 的长度不随签名人数 的改变而变化 。因此 ,设计
中图 分类号: P0 T39
高效 的无证 书 紧致有序 多重 签名 方案
张 玉磊
( 西北师范大学数学与信息科 学学院,兰州 7 0 7 ) 3 0 0
奠
要 :基于无证书公钥密码体制和双线性对技术,提 出一种高效、紧致 的无证书有序多重签名方案。该方案得到的签名长度 固定 ,不随
签 名人数 的改变 而变化 ,需 要的双线 性对运 算数 固定 ,且 签名算 法和验 证算法 的复杂 度与签 名人数 无关 。方案 的安全性依 赖于 计算
1 概述
在现实生活中,有时需要多个用户对 同一消息按固定的 顺序进行签名 ,例如,电子政务 中的文件逐级审批制度 。各
一种基于双线性对的动态群签名方案
a b c ∈G1 其 中 , b c Z 判 断 a 兰 P,P,P) , 口, , ∈ , b
c dq是 否成 立. mo
4 )Ga i i Hel n G pDfe l f— ma ( DH) 题 : DH 问 问 C
( 1 , , , , 中 ,1 ,Ⅱ V・ ( -k , 3 …, ) 其 =志 贝 有 2 D) -
P , ∈ G1 口, Z . Q ; b∈
( 。 )= ( 1 一 1 O, , ), ( )一 ( , , ) 夕t 11O .
2 )非 退 化 性 : 在 P, ∈ G。 满 足 e P, 存 Q , (
Q) 1 1为循 环乘法 群 G ≠ , 的 幺元 .
因此 , 有
S in e a d Te h o o y Ch n s a 4 0 0 C i a ce c n c n l g , a g h 1 0 4, h n )
Ab t a t sr c :The Zha ta r p s g a ur c m e wa na y e a i hi c m e d o e lg ou i n t e s he s a l z d, nd we fnd t s s he o
量 空 间访 问结构 , 如果 存 在 函数 : D) K P U{ 一
满 足 特 性 : ( ) 一 ( , , , )∈ < ( = 1) [ 1o … o P)
1 预 备 知 识
1 1 双 线 性 映 射 .
( 口 .' H , 中 , ∈A> A ∈F. 句 话 口 2 .口 ) 其 P : 换
( )一 ( 1, ) 户1 O, O ,
( )一 ( , , ) 夕2 10 1 ,
设G 为一生成 元 为 P 的加 法 循 环 群 , G。为
基于双线性对的盲签名方案
2009丘第3期青海师范大学学报(自然科学版)J our nal of Q i nghai N or m al U ni ve r s i t y(N at ur al Sci en ce)2009N O.3基于双线性对的盲签名方案王萍姝(青海民族大学数学系,青海西宁810007)摘要:双线性对是构建密码体制的重要工具,但双线性对运算是最耗时的运算,直接影响着方案的执行效率.利用双线性对提出的盲签名方案与已有方案的双线性对运算相比.具有运算量少,计算效率高的特点.同时,方案具有盲性、不可伪造性等安全特性.关键词:数字签名I盲签名,双线性对,安全性中圈分类号:"r P309文越标识码:A文章编号:1001--7542(2009)03一0007—031引言自1982年C haum首次提出盲签名概念以来[13,盲签名的理论研究得到了密码界学者的关注,基于各种密码体制的盲签名被提出,如基于R SA体制、E1G am a l体制的盲签名.盲签名应用也有着广泛的背景,如盲签名在电子现金、电子投票、合同签订、遗嘱公证等领域的应用.盲签名是一种特殊的数字签名,它是在签名者不知道被签名消息的情况下所进行的签名,即消息对签名者是盲的;当所签消息被公布后,签名者无法将签名与所公布的消息联系起来,也就是说他并不知道此次签名是他哪一次的签名;签名者对消息所做的签名,任何第三方都不能伪造,满足以上性质的盲签名被认为是安全的.双线性对起初被用来进行M O V攻击和F R攻击.但近几年来,学者们发现用双线性对构造密码方案具有良好性质,因此双线性对在密码方案的设计中得到了广泛地研究和应用,基于双线性对的各种数字签名方案被提出,如文献[2,3]分别提出了基于双线性对的盲签名方案、基于身份的盲签名方案具有盲签名的性质,基于身份的盲签名方案和基于身份的环签名方案.文献[3]是在已有盲签名方案的思想基础之上,提出了新的基于双线性对的盲签名方案,与已有方案相比,文献中的方案克服了原有方案的安全缺陷.运算量是衡量签名方案设计优劣的一个重要性能指标.利用双线性对工具在设计盲签名时,要注意签名方案的运算量问题,双线性对运算和标量乘运算是两个耗时的密码学运算,它是影响方案执行效率的重要因素.本文从运算量的角度,对文献[2,3]中的计算量进行了分析,认为两个方案的双线性对运算和标量乘运算量较大,如文献[3]达到八个双线性对运算,这影响了方案的执行效率.为此,本文提出了一个基于双线性对的盲签名方案,并与文献[2,3]的运算量进行了对比分析.分析表明,在双线性对运算和标量乘运算量上,本文提出的方案与文献[2,3]相比至少减少一个双线性对运算和四个标量乘运算,这有助于提高方案的执行效率.同时,方案还具有盲签名的盲性和不可链接性等安全特性.2预备知识2.1盲签名及其特性盲签名是一种特殊的数字签名,它与通常数字签名的不同之处在于,盲签名是一个用户和签名者之间的两方协议.协议的基本思想是:用户想要签名者对某个消息签名,但又不想让签名者知道所签消息的内容.盲签名方案主要包括系统参数生成、密钥生成、签名生成和签名验证这几个阶段.收稿日期:2009一04—21作者简介:王萍妹(1967一),女,副教授,硕士,研究向为密码学和应用学.8青海师范大学学报(自然科学版)2009生盲签名应具有如下特性:(1)盲性:签名者对其所签署的消息的具体内容是不可见的.(2)不可链接性:当签名信息被公布后,签名者不能将签名与盲消息联系起来.以上的性质是判断一个盲签名性能优劣的基本依据,也是设计盲签名所遵循的标准.2.2双线性对设G。
一种高效的无证书聚合签名方案
的离 散对数 问题都是 困难 问题 ,且 2个群 之 间的双 线性对 e G× I÷ 2 : l G - G 是满足以下条件的映射 :
基 金项 目: 国家 自然科学基金资助项 目(1 6 0 1; 育部科 学技术 6 0 34 ) 教 研 究基 金资助重点 项 目(0 18 ;甘肃省教 育厅基金资 助重点项 目 284)
sgn t r c me b s d on b l e r p ii g i au e s he a e i n a a rn .Th s s h me u e i d n e h i u s a d ha h f n to s wi h u lc k y b n e n o t e p ril i i c e s s b n i g t c q e n s u c n t t e p b i e i d d i t a ta n i h h p i a e k y g n r t g a d sg a u e a g rt ms I a o v r blm a e tfc t l s u lc k y c y t r p y i h r s n e o ub i rv t e e e a i n i n t r o ih . t n s l e t p o e t tc ri ae e sp b i e r p og a h n t e p e e c ft n l C he h i wo p l c k y s b tt to t c .An l ss d mo ta e ha he s h me C r v n x se t lf r e n e d p i e c os n me s g t c s a s mi g e u si i n at k u a a y i e nsr t s t tt c e a p e e te it n a o g r u d r a a t h e — s a e at k s u n . n i y v a Co mpa e t e k o o u i n , e p o os d s h meha e s a c l tn o t r d wi t n wn s l to s t r p e c e sl s lu a i g c s . hh h c
基 金项 目: 国家 自然科学基金资助项 目(1 6 0 1; 育部科 学技术 6 0 34 ) 教 研 究基 金资助重点 项 目(0 18 ;甘肃省教 育厅基金资 助重点项 目 284)
sgn t r c me b s d on b l e r p ii g i au e s he a e i n a a rn .Th s s h me u e i d n e h i u s a d ha h f n to s wi h u lc k y b n e n o t e p ril i i c e s s b n i g t c q e n s u c n t t e p b i e i d d i t a ta n i h h p i a e k y g n r t g a d sg a u e a g rt ms I a o v r blm a e tfc t l s u lc k y c y t r p y i h r s n e o ub i rv t e e e a i n i n t r o ih . t n s l e t p o e t tc ri ae e sp b i e r p og a h n t e p e e c ft n l C he h i wo p l c k y s b tt to t c .An l ss d mo ta e ha he s h me C r v n x se t lf r e n e d p i e c os n me s g t c s a s mi g e u si i n at k u a a y i e nsr t s t tt c e a p e e te it n a o g r u d r a a t h e — s a e at k s u n . n i y v a Co mpa e t e k o o u i n , e p o os d s h meha e s a c l tn o t r d wi t n wn s l to s t r p e c e sl s lu a i g c s . hh h c
基于双线性对的前向安全无证书签名技术研究
s i g n a t u r e s c h e me b a s e d o n f o r w a r d — s e c u r e d i g i t a l s i g n a t u r e a n d c e r t i i f c a t e l e s s s i g n a t u r e .T h i s s c h e me e n s u r e s i t s f o r wa r d - s e c u i r t y t h r o u g h r e g ・
何 巍 习 军
( 新余学 院数学 与计算机科学学 院 江西 新余 3 3 8 0 0 4 )
摘
要
针对无证 书签名 的密钥 泄露问题 , 基于前 向安全数 字签名 和无证书签名 , 提 出一种 新的前向安全 无证 书签名方案 。该 方
案通过定期更新用 户秘 密值 , 来保证方案 的前 向安全性 , 同时保 留 了由 K G C生成用 户公钥 并公开 的特点 , 来抵抗 不诚实 K G C下的 公 钥替 换攻击。安全性分析表 明, 提 出的新技术具有前 向安全性 , 可判别 K G C的不诚 实性行 为 , 抵 抗不诚 实 K G C下 的公 钥替换攻 击, 并在 随机预 言机模 型下可抵抗适应性选择消息攻 击下的存在 性伪造。
Ab s t r a c t Ai mi n g a t t h e p r o b l e m o f e e r t i i f e a t e l e s s s i g n a t u r e’ S k e y e x p o s u r e,t h i s p a p e r p u t s f o r wa r d a n e w f o wa r r d — s e c u r e e e r t i i f c a t e l e s s
改进的无证书混合签密方案_周才学
射,如果满足以下性质:^来自a) 双线性性: 对所有 P,Q∈G1 ,a,b∈Zq ,有 e( aP,bQ) =
^
e(
P,Q)
ab 。
^
b) 非退化性: 存在 P,Q∈G1 ,满足 e( P,Q) ≠1G2 。 c) 可计算性: 对所有 P,Q∈ G1 ,存在一个有效算法计算
本文对文献[10]进行了安全性分析,分析表明文献[10] 在内部安全模式下存在保密性攻击。本文基于双线性对提出 一个改进的无证书混合签密方案,在随机预言机模型中,对改 进方案进行了安全性证明。
1 预备知识
1. 1 定义
定义 1 双线性对。设 G1 为循环加群,其阶为素数 q; G2
^
为具有相同阶的循环乘群。称 e: G1 × G1 →G2 为一个双线性映
中图分类号: TP309
文献标志码: A
文章编号: 1001-3695( 2013) 01-0273-05
doi: 10. 3969 / j. issn. 1001-3695. 2013. 01. 070
Improved certificateless hybrid signcryption scheme
无证 书 签 密[4] 把 无 证 书 体 制 和 签 密 的 思 想 相 结 合,既 具 有无证书体制的优点又具有签密的高效率。然而,一般的签密 方案不能签密任意长的消息,一般的公钥加密也存在同样的问 题,于是文献[5]提出了混合加密的思想。混合加密由密钥封 装技术( KEM) 和 数 据 封 装 技 术 ( DEM) 两 部 分 组 成。KEM / DEM 混合结构的最大优点是将整个加密算法分为相互独立的 两部分,各部分的安全性可以分别研究。2005 年,文献[6]引 入了一种新的混合加密结构 tag-KEM / DEM。Tag-KEM 是在密 钥封装 KEM 中连同另外一个信息 tag 一起封装,它实际上是 一种可认证的 KEM,可如同一般 KEM 那样与 DEM 结合形成 混合密码体制,但用 tag-KEM 代替 KEM 可以得到性能更好的 混合密码。已有研究表明,在这种新的混合结构下,如果 tag-
基于双线性对的群签密方案
( aebly 和不可伪造性 (noga i y t ca it) r i u f ebl )的安全缺陷. r i t
目前 ,最 好 的基 于身 份 的群签 名是 文献 『 5 1中 C e 、Z al hn h ̄ g和 Ki 提 出来 的 ,该群 签 名 的公钥 m
和签 名 长度是 一 个独立 于 群成 员 的 常数 .而且 该方 案是 被证 明安全 的 ,它 的安 全 是建 立在 基 于身 份 的
公钥 加密 系统之 上.我们 利用 文献 『1 1 构造 一个 新 的基 于双 线性对 的群 签密 方 案.
收 稿 日期 :2 0 —0 —0 07 7 3
作者简介:林齐 平 (9 8 ,男 ,广 东揭 阳人 ,韩 山师 范学院数 学与信息 技术 系教师,硕士 1 7 一)
3 3
维普资讯
群签密方案是把群签名和加密结合在一起实现的,如文献 f .由于群签名有很多性质和 限制,致 3 1
使很 难 构造 出 能够 满足 所有 的群签 名 性 质 同 时安 全有 效 的方 案 . 同样 的, 构造 一个 群 签密 方 案也 必 须
首先满足群签名的所有性质 ,这样的群签密方案更难实现.在文献 『] Wa g等就分析了文 『 中的 4中 n 3 1 群签密方案,指出文 [ 中的群签密方案跟很多群签 名一样 ,存在抵抗合谋攻击 ( aio ) 3 ] c li 、被跟踪 o tn
b . ∈
离散对数问题 ( L ) D P :给定两个群元素 P ∈G1Q ∈G1 , ,要找出一个整数 礼∈ 使得 Q =礼 P.
决策 Df — em n问 i e l a 题:设 口 , P∈G , i fHl P6 c 1 其中口b ∈z , , c g 判定是否有 c b o q. , =a( d ) m
目前 ,最 好 的基 于身 份 的群签 名是 文献 『 5 1中 C e 、Z al hn h ̄ g和 Ki 提 出来 的 ,该群 签 名 的公钥 m
和签 名 长度是 一 个独立 于 群成 员 的 常数 .而且 该方 案是 被证 明安全 的 ,它 的安 全 是建 立在 基 于身 份 的
公钥 加密 系统之 上.我们 利用 文献 『1 1 构造 一个 新 的基 于双 线性对 的群 签密 方 案.
收 稿 日期 :2 0 —0 —0 07 7 3
作者简介:林齐 平 (9 8 ,男 ,广 东揭 阳人 ,韩 山师 范学院数 学与信息 技术 系教师,硕士 1 7 一)
3 3
维普资讯
群签密方案是把群签名和加密结合在一起实现的,如文献 f .由于群签名有很多性质和 限制,致 3 1
使很 难 构造 出 能够 满足 所有 的群签 名 性 质 同 时安 全有 效 的方 案 . 同样 的, 构造 一个 群 签密 方 案也 必 须
首先满足群签名的所有性质 ,这样的群签密方案更难实现.在文献 『] Wa g等就分析了文 『 中的 4中 n 3 1 群签密方案,指出文 [ 中的群签密方案跟很多群签 名一样 ,存在抵抗合谋攻击 ( aio ) 3 ] c li 、被跟踪 o tn
b . ∈
离散对数问题 ( L ) D P :给定两个群元素 P ∈G1Q ∈G1 , ,要找出一个整数 礼∈ 使得 Q =礼 P.
决策 Df — em n问 i e l a 题:设 口 , P∈G , i fHl P6 c 1 其中口b ∈z , , c g 判定是否有 c b o q. , =a( d ) m
可追踪的无证书多级代理签名方案
d o i : 1 0. 3 9 6 9 / i . i s s n . 1 0 0 1 . 3 6 9 5 . 2 0 1 3 . 0 6 . 6 1
Tr a c e a b l e mu l t i — l e v e l p r o x y s i g n a t u r e s c h e me i n c e r t i ic f a t e l e s s c r y p t o g r a p h y
E n g i n e e r i n g,X i d i a n U n i v e r s i t y ,X i ’ a n 7 1 0 0 7 1 ,C h i n a )
Abs t r a c t : Th i s p a pe r pr o p o s e d a c o ns t r uc t i o n o f t r a c e a b l e mul t i — l e v e l pr o x y s i g na t u r e s c h e me i n c e r t i f i c a t e l e s s s e t t i ng us i n g
的安全证 明。它 的安全 性基 于计 算 D i f l i e — He l l m a n问题 的 困难 性 。所提 出的 方 案满 足诸 如 可验 证 性 、 不可 否认
性、 可识 别性 、 防 止签 名滥 用等安 全性质 。该 多级 代理 签名 方案具 有前 向可追踪 性和 后 向扩展 的灵活性 。 鉴于方
陈
7 1 0 0 7 1 、
虎 ,魏仕 民 ,朱 昌杰 ,宋万干
( 1 . 淮北 师 范大 学 计 算 机科 学与技 术 学院 ,安 徽 淮 北 2 3 5 0 0 0 ;2 .西安 电子科 技 大 学 通 信 工 程 学 院 ,西安
基于无证书体制的签名和签密方案研究
成本效益
无证书密码体制可以降低证书管理的成本和复 杂性,同时也可以减少因证书过期、丢失等原 因引起的安全问题。
无证书密码体制的历史与发展
历史
无证书密码体制的概念最早由Shamir在 1984年提出,但直到2003年才由 AdiShamir提出一种实用的无证书密码体 制。此后,无证书密码体制得到了广泛的 研究和应用。
VS
发展
随着网络安全技术的不断发展,无证书密 码体制也在不断改进和完善。目前,无证 书密码体制已经被广泛应用于电子商务、 电子政务、远程认证等领域。同时,研究 者们也在不断地探索新的无证书密码算法 和实现方法,以进一步提高其安全性和效 率。
02
无证书密码体制的算法原理
数学基础
群论
01
无证书密码体制基于群论中的一些性质,如群中的加法、乘法
不易验证身份
由于无证书密码体制中用户没有证书,难以验证用户的身份信息。
解决方案一:优化算法设计
采用高效的密码算法
针对性能瓶颈,可以通过优化密码算法设计,提高密码计算速度。例如,采用更 高效的加密解密算法,减少密码学计算的时间。
精简密钥信息
针对存储空间不足的问题,可以通过精简密钥信息,减少存储空间的使用。例如 ,采用压缩技术或短密钥等。
保护投票隐私
无证书密码体制可以确保投票者的投票内容不被泄露,保护个人隐私。
防止投票篡改
通过使用无证书签名方案,可以对投票结果进行验证,确保投票结果的准确性和公正性。
提高投票效率
无证书密码体制可以实现批量验证,提高投票处理的效率。
电子现金系统
保护用户隐私
无证书密码体制可以确保电子现金的交易过程不被第三方恶意追踪和窃取,保护用户隐私 。
详细描述
无证书密码体制可以降低证书管理的成本和复 杂性,同时也可以减少因证书过期、丢失等原 因引起的安全问题。
无证书密码体制的历史与发展
历史
无证书密码体制的概念最早由Shamir在 1984年提出,但直到2003年才由 AdiShamir提出一种实用的无证书密码体 制。此后,无证书密码体制得到了广泛的 研究和应用。
VS
发展
随着网络安全技术的不断发展,无证书密 码体制也在不断改进和完善。目前,无证 书密码体制已经被广泛应用于电子商务、 电子政务、远程认证等领域。同时,研究 者们也在不断地探索新的无证书密码算法 和实现方法,以进一步提高其安全性和效 率。
02
无证书密码体制的算法原理
数学基础
群论
01
无证书密码体制基于群论中的一些性质,如群中的加法、乘法
不易验证身份
由于无证书密码体制中用户没有证书,难以验证用户的身份信息。
解决方案一:优化算法设计
采用高效的密码算法
针对性能瓶颈,可以通过优化密码算法设计,提高密码计算速度。例如,采用更 高效的加密解密算法,减少密码学计算的时间。
精简密钥信息
针对存储空间不足的问题,可以通过精简密钥信息,减少存储空间的使用。例如 ,采用压缩技术或短密钥等。
保护投票隐私
无证书密码体制可以确保投票者的投票内容不被泄露,保护个人隐私。
防止投票篡改
通过使用无证书签名方案,可以对投票结果进行验证,确保投票结果的准确性和公正性。
提高投票效率
无证书密码体制可以实现批量验证,提高投票处理的效率。
电子现金系统
保护用户隐私
无证书密码体制可以确保电子现金的交易过程不被第三方恶意追踪和窃取,保护用户隐私 。
详细描述
一个新的无证书环签密方案
A w ri c tls n i n r p i n S h me Ne Ce t a ee sRi g S g c y t c e i f o
HoU ng i HE -f n Ho -x a. Ye e g
( co l f o S h o mmu i t n a d Ifr t n E gn eig X ’ l U ies y o C nc i n noma o n i r , i a nv r t ao i e n l i
设 G 是 由 P生成 的加法循 环群 , 阶为素数 q。 : G 是一个乘法循环群 , 阶也为 q, G 和 G 中离散对数 在 ,
问题是难解 的。
1 1 双 线 性 对 .
文中利用双线性对构造 了一个新的无证书环签密
方案 , 该方案基于文献 [ 2 的环签名方案 。算 法构造 1]
发送 并 同时具有 保密 性和 认证性 , 收方 仅知道 消息 来 自于某 个 群体 , 不 能 确认 是 这个 群 体 中 的哪 个 成员 。在 随机 预 接 但
言模 型下 , 基于决 定性 双线 性 Dfe H l a ii em n困难 问题假 设 , 中方 案是 安全 的。较 之传 统 的 “ — l 文 先签 名 后加 密 ” 模式 , 的 文
e fc i e fe t . v Ke r s c r f ae e s p b i y c p o r p y; n i a u e; g ey fo Di e y wo d : e ti t ls u lc k r t g a h r g s ic e y i gn t r f n r p n; f -He l n r b e i i i l ma p o l m
b tt e a t a n e e i su k o u cu l h e S d rr man n n wn. e s h me i r v e s c r n t e r n o o a l d l n e e h r n s s u Th c e sp o e t b e u e i a d m r ce mo e d rt a d e sa s mpt nso d O h u h i o f h e ii n b l e Di —He l n r b e . mp r d wi e ta i o a ”sg au et e n r p i n”p r d g , h ss h me i r t e d c so a i n a f e l i r i lma p o l m Co a e t t r d t n h h i l in tr ne c h y t o a a i m t i c e mo e s
基于双线性对的环签名方案
群 签 名[是 一种 重要 的匿名 签 名技 术 , 这种 匿 1 但
名 同时 出现的 , 但把所 有可 能的签 名者 的某 种信 息按一 定规 则 链 成环 状 以达 到 隐 匿 具体 签 名 人 的 想 法 , 到 最 近 才 由 直 R vs 等人正式 明确 提 出并引 起人 们 的重视 。Ri s 等 人 iet v t e 利 用对称加 密技术 和组 合函数 给 出了一个基 于 R A 的高效 S
家提 出了一个 新 的数 字 签名 形 式 : 签 名 [。 因签 名 环 2 ] 隐含 的某个参 数按 照 一定 的规 则组 成 环状 而得 名 , 并 在最 近 引起人 们 的普遍 重 视 。环 签和 群签 名不 同 , 环 签名 可 以实现 签 名者 的无 条件 匿 名性 , 即任 何 人都无 法追 踪 签名人 的身份 ; 而群 签 名 中群 管理 员 的陷 门信 息可 揭露 出具 体 签名 者 环签 名 的这种 无条 件 匿名性 在对 信 息需要 长期 保 护 的一些 特殊 环 境 中非常 有用 。 例如 , 即使Rs 被攻破 也 须保 护 匿名 性 的场合 。 签 A 环 名是 一 种具有 无 条件 匿名 性 的签 名方 式 , 它能 证 明签
的环 签 名 方 案 , 证 明 了 这 个 方 案 在 理 想 的 对 称 加 密 算 法 E 并
名性 是 可 控制 的 , 当发 生 争 执 时 , 管 理员 可 以揭露 群 签名 者 的: 身 份 。在 实 际 的应用 中 , 真实 用户 希 望能 够
对群管理员的这种特权给 以必要的约束 , 以防止其滥
研究与设计
截 型电脑 应 用
20 0 6年第名 方 案
蔡 庆 华
摘 要 : 目前 双线性 映射 作为一种 构建密码体制 的新工具 , 密码 学领 域 中引起 了普遍 的关 注, 在 并在 数字签 名 中得到 应用 。 而环签名 因没有群 管理员 、 没有加 入和撤 出群体过 程 , 签名者 只要 随机 选择 若 干签名人 , 用 自己私钥和 其他人 的会 钥进行 签 利 名, 环签名方案在保护签名人 身份 不泄露情 况下非 常有用。 利用双线性 映射 的特性介绍 了一个数字签名 方案 , 并在 此基础上提 出
一种新的无双线性对的无证书安全签密方案
签密的最大优势就是将加密和认证结合 , 在一个逻辑步骤
密方案 , 但该 方案 运算量 非常 大 。2 0 1 1 年, 刘 文 浩等 人 提
出 了一个无双线性对的无证书签密方案 , 该方案计算复杂度较
里同时实现了信息 的机密性和不 可否认性 , 并且 与传 统的 “ 先 签名后加密” 方式 相 比较具有 更低 的通信 开 销 和更少 的计 算
d e r t h e s e c u r e c iቤተ መጻሕፍቲ ባይዱr c u ms t a n c e . Ke y wo r d s:c e r t i f i c a t e l e s s ;s i g n c r y p t i o n;s e c u r i t y ;r a n d o m o r a c l e mo d e l
夏 昂, 张龙军
( 武警 工程 大学 信 息工程 系, 西安 7 1 0 0 8 6 )
摘
要 :针 对现有 的无证 书签 密方 案存在 安全 性 不 高、 计 算效 率较 低 等诸 多不足 , 在S h a r m i l a签 密方 案的 基础
上, 设计 了一种新的无双线性对的无证书安全签密方案 , 并在随机预 言模型下证明 了方案具有机 密性和不可伪 造性。同时, 该方案不需要双线性对和指数运算, 并且在确保安全性的前提下, 仅比现有的最高效签密方案 多出
Ne w s e c u r e c e t i ic f a t e l e s s s i g n c r y p t i o n s c h e me wi t h o u t p a i r i n g
X I A A n g , Z H A N G L o n g — j u n
08现代密码学之基于双线性对及身份的数字签名
第八部分
基于双线性对和基于身份的数字签名
主要内容 一、基于双线性对的数字签名方案 二、基于身份的数字签名方案 三、签密方案
4.5 基于双线性对的证书签名方案
一、双线性对及有关难题
定义1(非对称双线性对): 设k为安全参数,p是一个素数,满足2k<p≤2k+1。
G1和G2为两个具有相同阶p的加法群,GT为一个阶为p的乘 法群,令P和Q分别为G1和G2的生成元。
该签名方案的签名长度大约为160比特。设G1为由P生 成的循环加法群,其阶为q,G2为具有相同阶q的循环 乘法群,e:G1×G1→G2为一个双线性映射。定义一 个安全的杂凑函数H:{0,1}*→G1*。系统参数为 {G1,G2,q,e,P,H}。
(1)密钥生成(Key Generation):签名用户随机选 取x∈Zq*,作为私钥,并计算Y=xP作为公钥。
计算的耗时如下: (1)对运算:47.40ms (2)标量乘运算:6.83ms (3)点加运算:0.06ms 因此,一个基于双线性对设计的密码体制中,
对运算的次数是衡量该体制的一个重要指标。
4.5.2 签名方案
两个利用双线性对实现的基于公钥证书的签名方案。
一、Boneh-Lynn-Shacham短签名方案
e(U,V)。
如果e存在,则(G1,G2)称为对称双线性映射群。 对称双线性对服从交换律,即对任意U,V∈G1,有
e(U,V)=e(V,U)。
这种映射可以通过有限域上的超奇异椭圆曲线或超 奇异超椭圆曲线中的Weil对或Tate对推导出来。
非对称双线性对与对称双线性对相比,前者在相同 安全条件下群的规模可以更小,因而更适用于带宽 受限的方案设计中。
计算
abP∈G1, 这里a,b∈Zq*是未知的整数。
基于双线性对和基于身份的数字签名
主要内容 一、基于双线性对的数字签名方案 二、基于身份的数字签名方案 三、签密方案
4.5 基于双线性对的证书签名方案
一、双线性对及有关难题
定义1(非对称双线性对): 设k为安全参数,p是一个素数,满足2k<p≤2k+1。
G1和G2为两个具有相同阶p的加法群,GT为一个阶为p的乘 法群,令P和Q分别为G1和G2的生成元。
该签名方案的签名长度大约为160比特。设G1为由P生 成的循环加法群,其阶为q,G2为具有相同阶q的循环 乘法群,e:G1×G1→G2为一个双线性映射。定义一 个安全的杂凑函数H:{0,1}*→G1*。系统参数为 {G1,G2,q,e,P,H}。
(1)密钥生成(Key Generation):签名用户随机选 取x∈Zq*,作为私钥,并计算Y=xP作为公钥。
计算的耗时如下: (1)对运算:47.40ms (2)标量乘运算:6.83ms (3)点加运算:0.06ms 因此,一个基于双线性对设计的密码体制中,
对运算的次数是衡量该体制的一个重要指标。
4.5.2 签名方案
两个利用双线性对实现的基于公钥证书的签名方案。
一、Boneh-Lynn-Shacham短签名方案
e(U,V)。
如果e存在,则(G1,G2)称为对称双线性映射群。 对称双线性对服从交换律,即对任意U,V∈G1,有
e(U,V)=e(V,U)。
这种映射可以通过有限域上的超奇异椭圆曲线或超 奇异超椭圆曲线中的Weil对或Tate对推导出来。
非对称双线性对与对称双线性对相比,前者在相同 安全条件下群的规模可以更小,因而更适用于带宽 受限的方案设计中。
计算
abP∈G1, 这里a,b∈Zq*是未知的整数。
无双线性配对的无证书代理环签名方案
的 乘法 运算 ( n 表 示环成 员的 个数 ) , 证 明 系统是 己知最 有效 的无证 书代理 环签名 方案 。
关 键词 :环 签名 ;代Fra bibliotek 环签 名 ;计算 D i f i e — He l l ma n假设 ;无双线性 对运 算 ;无证 书
中图分 类号 :T P 3 0 9 文献标 志码 :A 文章编 号 :1 0 0 1 - 3 6 9 5 ( 2 0 1 3 ) 1 2 — 3 7 9 7 — 0 3
第3 0卷 第 1 2期
2 0 1 3年 1 2月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f Co mp u t e r s
Vo 1 . 3 0 No . 1 2
De c .2 0 1 3
无双 线 性 配对 的无 证 书 代 理环 签 名 方 案 水
双 线性 对运 算和指数 运 算的无证 书代 理环 签名 方案 。该 方案 只 需进 行 简单的 椭 圆曲线上 的乘 法运算 , 并基 于计
算D i f f i e . He l l ma n假设 和 离散 对数 困难 问题证 明 了其安 全 性。 通过 对 方案 的 复 杂性 分析 , 只 需要 进 行 2 n+1次
张春生 , 苏本跃 , 姚绍文
( 1 . 安庆 师 范学院 计 算机 与信 息学 院 , 安徽 安庆 2 4 6 1 3 3; 2 . 云南 大学 软件 学 院,昆明 6 5 0 0 9 1 )
摘
要: 针 对现 有 的代 理环 签名 方案都 是基 于双 线性 对运算 或指数 运算且 计 算效率 不高 的问题 , 提 出了一种 无
无证书代理签名方案
名方案不需要公钥证书,解决了传统公钥密码技术中证书管理与认
证的问题,在应用中带来极大的便利.无证书公钥密码体制,需要一个
可信第三方 KGC.与基于身份的密码体制下的 PKG 不同,KGC 根据用
户的身份 ID 为用户生成部分私钥,用户根据 KGC 产生的部分私钥和
自己产生的秘密值共同生成私钥,所以 KGC 不知道用户的私钥,解决
中央 高 校 基 本 科 研 业 务 费 重 点 培 育 专 项
(2016B10114) ;中 美计算机科学研究中 心 开
放课题 ( KJR16039)
作者简介
张亦辰,女,博士,副教授,研究方向为密
码学理论与技术.zyc_718@ 163.com
1 河海大学 计算机与信息学院,南京,211100
( 包括原始签名者) 否认这个自己生成的签名.
困难问题假定,在随机预言模型下证明
了方案的安全性. 与已有的同类方案的
性能进行了比较,结果表明提出的方案
在计算代价和通信代价上有一定的优势.
关键词
无证书签名;双线性对;代理签名;
随机预言模型
中图分类号 TP309
文献标志码 A
0 引言
2003 年,Al⁃Riyami 等 [1] 提出无证书公钥密码体制.无证书公钥签
全的无证书短代理签名方案,该方案能适应带宽受限的环境. 为了处
理密钥泄露问题,Li 等 [16] 提出了一个前向安全的无证书代理签名方
案,基于计算 Diffie⁃Hellman 困难问题假定,在随机预言模型下证明了
Copyright©博看网 . All Rights Reserved.
案、部分授权方案和证书授权方案.文献[10] 中的方案由于代理签名
证的问题,在应用中带来极大的便利.无证书公钥密码体制,需要一个
可信第三方 KGC.与基于身份的密码体制下的 PKG 不同,KGC 根据用
户的身份 ID 为用户生成部分私钥,用户根据 KGC 产生的部分私钥和
自己产生的秘密值共同生成私钥,所以 KGC 不知道用户的私钥,解决
中央 高 校 基 本 科 研 业 务 费 重 点 培 育 专 项
(2016B10114) ;中 美计算机科学研究中 心 开
放课题 ( KJR16039)
作者简介
张亦辰,女,博士,副教授,研究方向为密
码学理论与技术.zyc_718@ 163.com
1 河海大学 计算机与信息学院,南京,211100
( 包括原始签名者) 否认这个自己生成的签名.
困难问题假定,在随机预言模型下证明
了方案的安全性. 与已有的同类方案的
性能进行了比较,结果表明提出的方案
在计算代价和通信代价上有一定的优势.
关键词
无证书签名;双线性对;代理签名;
随机预言模型
中图分类号 TP309
文献标志码 A
0 引言
2003 年,Al⁃Riyami 等 [1] 提出无证书公钥密码体制.无证书公钥签
全的无证书短代理签名方案,该方案能适应带宽受限的环境. 为了处
理密钥泄露问题,Li 等 [16] 提出了一个前向安全的无证书代理签名方
案,基于计算 Diffie⁃Hellman 困难问题假定,在随机预言模型下证明了
Copyright©博看网 . All Rights Reserved.
案、部分授权方案和证书授权方案.文献[10] 中的方案由于代理签名
一种新的基于双线性对的代理环签名方案
一种新的基于双线性对的代理环签名方案中图法分类号:TP309.2文献标识码:A2001年,R.Rivest等人[1]提出了环签名概念,它是一种新的匿名签名技术,对于签名者而言是无条件匿名的,它因签名参数由一定的规则首尾相连形成一个环而得名。
代理签名是1996年由M.Mambo等人[2]提出,利用代理签名原始签名人可以将他(她)的签名权委托给代理签名者,对任何消息代理人都可以进行签名,任何知道原始签名人的公钥者都可以对签名进行验证。
代理环签名是由F.Zhang等人[3]提出,它把代理签名和环签名结合起来满足代理签名和环签名的特性。
本文结合文献[4,5],给出了一个新的代理环签名方案,该方案比文献[4,6]中的方案(以下简称A-S方案)更有效,在签名生成时不需要对运算,而A-S方案在签名生成时需要2n-1个对运算。
在签名验证时,A-S方案需要两个对运算,但他们的验证等式是不正确的,本文给出了正确的验证等式;修改后的A-S方案与本方案同样在签名验证时需要n+1个对运算。
在电子现金、匿名电子选举等既需要代理签名又需要保护代理签名者的权利时,该方案是非常有用的。
1 双线性对与代理环签名1.1 双线性对的性质1.2 几个计算困难性问题本文中假定DLP,CDHP是计算困难的。
1.3 代理环签名的安全性要求代理环签名一般具有以下安全特性:(1)可区分性。
代理环签名区别于代理签名者一般的环签名。
(2)可验证性。
从代理环签名中,任何人都可以验证签名的正确性。
(3)不可伪造性。
一个授权的代理签名者可以产生一个合法的代理环签名,但是原始签名者和第三方不能产生一个合法的代理环签名。
(4)不可否认性。
代理签名者一旦生成一个合法的环签名,就不能再否认。
(5)无条件匿名性。
攻击者(包括原始签名者)也不知道谁是真正的代理环签名者。
2 基于双线性对的短签名方案及A-S方案2.1 基于双线性对的短签名方案文献[5]中给出了一个基于双线性对的短签名方案,下面加以简单介绍。
基于双线性配对的密码学算法
基于双线性配对的密码学算法 1、数据加密原理 我们将构建⼀个⾼效⽆证书签密⽅案。
因为转换不能识别的范式加密和签名⽅案成组合证书协议,我们采⽤扩展传统的签密法的做法⽤⽆证书密钥验证机制,以基于⾝份的技术来配对验证关联的公共密钥。
传统的密码系统按照⽤户选择⾃⼰的私钥范式,计算对应的公钥,并提交给认证机构,其验证他们的⾝份,并颁发证书连接这些⾝份和公共密钥。
此在创建⼀个认证的基础设施需要数字证书管理(也被称为公钥基础结构,或PKI)可能被证明繁琐的维护。
沙⽶尔引⼊的基于⾝份的(IB)密码学的概念在试图减轻PKI的负担。
在IB加密,私钥不是由⽤户选择的,⽽是发出由受信任的权威称为密钥⽣成局(KGB)或信托机构(TA)和公共密钥由任意的字符串替换代表⽤户的⾝份,避免需要证书完全。
在另⼀⽅⾯,它具有隐含建⽴⼀个密钥托管机构的缺点,由于克格勃具有从任何⽤户恢复机密信息的能⼒。
我们遵循⼀个相当独特的⽅法,设计⼀个⽆证书签密⽅法。
代替与结合基于⾝份的加密⽅法的同样基于⾝份的签名⽅案,并将结果转换为⽆证书协议中,我们与传统的签名延长证书的加密⽅法⽅案,但要避免使⽤证书后者组件使⽤基于⾝份的技术来验证公共验证密钥。
⽆证书公钥密码体制是在基于⾝份的公钥密码体制的基础上提出来的⼀类新型公钥密码体制。
它既保持了基于⾝份的公钥密码体制不需要使⽤公钥证书的优点, ⼜较好地解决了它所固有的密钥托管问题。
签密把公钥加密和数字签名有机结合在⼀起, 能够在⼀个合理的逻辑步骤内同时完成公钥加密和数字签名两项功能, ⽽其计算量和通信成本都要低于传统的“先签名后加密”模式。
在基于⾝份的加密体制中,发送者可以在接收者还没有私钥的情况下加密⼀个消息给接收者,接收者可以在收到密⽂之后,才向PKG申请私钥进⾏解密,这是基于⾝份的密码体制的⼀个重要特征。
⽽⽆证书加密体制,设置私钥和设置公钥在设置秘密值之后运⾏,都有⽤户⾃⼰来完成,⽤户的私钥实际上⽤有两部分,解决了基于⾝份的密码体制中的秘钥托管问题,也消除了基于PKI的密码体制中的公钥证书了。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
定义 3计算 Difie—Hellman问题。给定一个阶为 q的循 环 群 G,它 的一 个 生 成 元 P 以及 aP,bP∈G (其 中 ,“,b∈Z 且
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
D ecem ber 201 1
中图分类号:TP393
基 于双 线性 对 的无证 书签名 与群 签名 方案
李凤银 ,刘培玉 ,朱振方
(1.山东师范大学信息科学与工程 学院,济南 250014;2.曲阜师范大学计算机科学学院 ,山东 日照 276826)
摘 要 :传统数字签名方案 的证书存储和管理开销较大 ,基于 身份 的数字签名方案无法解决其固有的密钥托管 问题 ,而无证 书签名方案无 需使 用公钥证 书,且没有密钥托管 问题 。为此 ,提 出一 个基于双线性 映射 的无证书签名方案 ,并在随机预言机模型下证 明其安全性。在此 基础 上设计一 个无证 书群签名 方案 ,其 安全性建立在计算 Difie—Hellman问题的困难性假设上 。性能分析表明 ,2种签名方案在保证 安全 性 的前提 下 ,具有较 高的执 行效 率。 关健 词 :无证书密码体制 ;群签名 ;双 线性映射;Difie—Hellman问题 ;随机预言机
1 概 述
无证书密码体制的概念 由 A1一Riyami S S和 Paterson K G 于 2003年提 出 ,既能解决基于身份的公钥 系统所 固有 的密 钥托管 问题 ,又能保持其不需使用公钥证书 的优点 。于是 , 无证书密码体制 以其安全、高效 的特性受到密码学界 的广泛 关注 。一些无证书签 名和群签 名方案 应运而生 。群签名 的 概念 由 Chaum D和 Heyst V E于 1991年提 出 J,它以独特 的 性质 引起人们 的关注并被广泛研究 。群 签名 允许群体 中任一 成 员代表整个群体对消息进行匿名签名。群签名可 以公开验 证 ,且在发 生纠纷 时,群管理员可以打开群签名 以揭露签名 者 的真 实身份 。但在具体实现中 ,基于 传统 密码体制 的群签 名方案无法避免对所涉及 的公钥证书的存储、传输及管理等 所带来 的额外开销 。为克服这个不足 ,文 献[4】提出基于 身份 的群签名方案。但基于身份 的公钥系统所固有的密钥 托管 问 题 ,对 该体制 下 的群签名 方案构成 了潜在 的安全 威胁 。文 献[2】给出了无证书群签名方案 ,但 其方案不仅使 用了零知识 证 明协议 ,而且签名和验证的运算代价 都很 高。本文基于双 线性 映射设计 出一个新的无证书签名方案 ,并利 用随机预言 机模型证明了它的安全性 。基于该无证书签名方案 ,本文设
2.College of Computer Science,Qufu Normal University,Rizhao 276826,China) [Abstract]Traditional digital signature schemes need ment overhead for the use of certificates,while the
=( , )。
(7)验 证 验证 者按如下方式验证 身份为 ,公钥为 P,。的用户对 消息 的签名 是否有效 。计算 R e(V,P)·e(Q , )~,然 后检 验等式 h=H (M lI1DllR l1 )是否成立 ,当且仅当等式 成立 ,承认 签名 为合 法签名 ,输 出 1;否则签名非法 ,输出 0。 3.2 安全性证 明 下面 利用文 献【6]方法对本文方案进行安全性证明。 定理 1在随机预言机模 型下,若群 Gl中的 CDH问题是 困难的 ,那么 3.1节 中所构造 的无证书签名方案对于第 1类 攻 击 者 是 安 全 的 。 证 明 :假设 C想解决 Gl中的 CDH问题 ,其输 入为 (aP, bP),他需要计算出 abP。假设 AI是第 1类攻击者 ,他 能以不 可忽略 的概率攻破本文签名方案 。下面证明 C 能够利用 A 的能力 解决 CDH问题 。
(1)双线性 :对于任何 U,V∈G , ,b∈Z:,e(aU,bY):
e(U, ) 。
(2)I1 ̄退化性 :存在 U,V∈Gj,使 e(U,V)≠1 。
(3)可计算性 :对于任何 的 U,V∈G.,存在一个高效 的算 法计算 e(U, )的值 。
定义 2离散对数问题。给定一个阶为 q的循环群 G,它 的一个生成元 g以及 h∈G,找到一个值 a∈Z 使得 h=g“。
Certificateless Signature and G roup Signature Schem es Based 0n Bilinear Pairings
LI Feng.yin ,一,LIU Pei.yu ,ZH U Zhen.fang (1.School of Information Science and Engineering,Shandong Normal University,Jinan 250014,China;
identity—based digital signature schemes fail to solve the inherent key—escrow problem.Certificateless signature schemes need no certificates and can solve the key-escrow problem .This paper presents a certificateless signature scheme from bilinear pairings,and verifies its security under the random oracle machine.It designs a certificateless group signature schem e from the certificateless signature scheme,and its security is founded under the assumption of the computational Difi e—Hellman problem .Performance analysis shows that both signature schemes are secure and have high performing ef i ciency.
(6)签 名 假 设 签 名者 的身份 为 ,公 钥 为 ,私钥 为 S = X.DIo,当输 入一个消息 M,该签名者按 以下方式对消息
进 行 签 名 :1)随机 选 取 r∈Z ,计 算 R=g ;2)计 算 : h=H2(M ll,DllRI1 ), V=r·P+h-SffJ∈Gl;3)输 出签 名
(1)参 数 设 置 参照 3.1节 c 设置系统参数 params={P,Gj,G2,P, ,g, H。,日 },其 中 , Po=a·P,并将 系统参数传给 AI。这里将 Hash函数 和 看成 随机预言机 。 C为响应 AI的 日l询 问、H2询 问、部分私钥询问、公钥 询问、公钥 替换 询问、秘密值询 问和签名询问 ,必须 维护 以 下 3个列表 :列表 日 ,其每一项的格 式为 (,D, ,Q ,D ); 列表 ,其 格式 为 (M,ID,R,P, );列表 ‘,其格 式为 (IO,X, )。限于 篇幅,此处仅给 出公钥替换 询问和签名询问 , 其余参 阅文 献[5]。 (2)公钥替换询问
当 C接收到 AI的关于 用户 ,D 的公钥替换询 问 ( , )
时,C检索 “ 找到 ( , ),设置 xi=J_、 = 。 (3)签 名 询 问 当 A 请求公钥为 尸j,身份为 ,D 的用户对消息 的签名
无证书签名 方案 的安全性可 用挑战者 C 和攻击者 A 或 AII间的 2个 游戏 定义 。
定义 4 一个无证书 签名方案 在适应性选择 消息攻 击下 是存在不可伪造 的,当且仅 当任何计 算能 力多项 式受限的攻 击者赢得 以上 2个游戏 的概率是可以忽略 的。
在下文 中说一个签名 方案是 安全 的,即指它在适应性选 择消息攻击下是存在不可伪造的 。
3 基于双线性对 的无证书签名方案
3.1 签 名方案 签名方案 的具体步骤如下 : (1)系统参 数生成 输入一个安全参数 k,KGC选定满足 2.1节所述性质 的
Gi,G2,选定 P为 Gl的一个 生成元 ,计算 g=e(p,P),并 随机选取 ∈ 作为系统主密钥 ,记 =sP,选择 Hash
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
D ecem ber 201 1
中图分类号:TP393
基 于双 线性 对 的无证 书签名 与群 签名 方案
李凤银 ,刘培玉 ,朱振方
(1.山东师范大学信息科学与工程 学院,济南 250014;2.曲阜师范大学计算机科学学院 ,山东 日照 276826)
摘 要 :传统数字签名方案 的证书存储和管理开销较大 ,基于 身份 的数字签名方案无法解决其固有的密钥托管 问题 ,而无证 书签名方案无 需使 用公钥证 书,且没有密钥托管 问题 。为此 ,提 出一 个基于双线性 映射 的无证书签名方案 ,并在随机预言机模型下证 明其安全性。在此 基础 上设计一 个无证 书群签名 方案 ,其 安全性建立在计算 Difie—Hellman问题的困难性假设上 。性能分析表明 ,2种签名方案在保证 安全 性 的前提 下 ,具有较 高的执 行效 率。 关健 词 :无证书密码体制 ;群签名 ;双 线性映射;Difie—Hellman问题 ;随机预言机
1 概 述
无证书密码体制的概念 由 A1一Riyami S S和 Paterson K G 于 2003年提 出 ,既能解决基于身份的公钥 系统所 固有 的密 钥托管 问题 ,又能保持其不需使用公钥证书 的优点 。于是 , 无证书密码体制 以其安全、高效 的特性受到密码学界 的广泛 关注 。一些无证书签 名和群签 名方案 应运而生 。群签名 的 概念 由 Chaum D和 Heyst V E于 1991年提 出 J,它以独特 的 性质 引起人们 的关注并被广泛研究 。群 签名 允许群体 中任一 成 员代表整个群体对消息进行匿名签名。群签名可 以公开验 证 ,且在发 生纠纷 时,群管理员可以打开群签名 以揭露签名 者 的真 实身份 。但在具体实现中 ,基于 传统 密码体制 的群签 名方案无法避免对所涉及 的公钥证书的存储、传输及管理等 所带来 的额外开销 。为克服这个不足 ,文 献[4】提出基于 身份 的群签名方案。但基于身份 的公钥系统所固有的密钥 托管 问 题 ,对 该体制 下 的群签名 方案构成 了潜在 的安全 威胁 。文 献[2】给出了无证书群签名方案 ,但 其方案不仅使 用了零知识 证 明协议 ,而且签名和验证的运算代价 都很 高。本文基于双 线性 映射设计 出一个新的无证书签名方案 ,并利 用随机预言 机模型证明了它的安全性 。基于该无证书签名方案 ,本文设
2.College of Computer Science,Qufu Normal University,Rizhao 276826,China) [Abstract]Traditional digital signature schemes need ment overhead for the use of certificates,while the
=( , )。
(7)验 证 验证 者按如下方式验证 身份为 ,公钥为 P,。的用户对 消息 的签名 是否有效 。计算 R e(V,P)·e(Q , )~,然 后检 验等式 h=H (M lI1DllR l1 )是否成立 ,当且仅当等式 成立 ,承认 签名 为合 法签名 ,输 出 1;否则签名非法 ,输出 0。 3.2 安全性证 明 下面 利用文 献【6]方法对本文方案进行安全性证明。 定理 1在随机预言机模 型下,若群 Gl中的 CDH问题是 困难的 ,那么 3.1节 中所构造 的无证书签名方案对于第 1类 攻 击 者 是 安 全 的 。 证 明 :假设 C想解决 Gl中的 CDH问题 ,其输 入为 (aP, bP),他需要计算出 abP。假设 AI是第 1类攻击者 ,他 能以不 可忽略 的概率攻破本文签名方案 。下面证明 C 能够利用 A 的能力 解决 CDH问题 。
(1)双线性 :对于任何 U,V∈G , ,b∈Z:,e(aU,bY):
e(U, ) 。
(2)I1 ̄退化性 :存在 U,V∈Gj,使 e(U,V)≠1 。
(3)可计算性 :对于任何 的 U,V∈G.,存在一个高效 的算 法计算 e(U, )的值 。
定义 2离散对数问题。给定一个阶为 q的循环群 G,它 的一个生成元 g以及 h∈G,找到一个值 a∈Z 使得 h=g“。
Certificateless Signature and G roup Signature Schem es Based 0n Bilinear Pairings
LI Feng.yin ,一,LIU Pei.yu ,ZH U Zhen.fang (1.School of Information Science and Engineering,Shandong Normal University,Jinan 250014,China;
identity—based digital signature schemes fail to solve the inherent key—escrow problem.Certificateless signature schemes need no certificates and can solve the key-escrow problem .This paper presents a certificateless signature scheme from bilinear pairings,and verifies its security under the random oracle machine.It designs a certificateless group signature schem e from the certificateless signature scheme,and its security is founded under the assumption of the computational Difi e—Hellman problem .Performance analysis shows that both signature schemes are secure and have high performing ef i ciency.
(6)签 名 假 设 签 名者 的身份 为 ,公 钥 为 ,私钥 为 S = X.DIo,当输 入一个消息 M,该签名者按 以下方式对消息
进 行 签 名 :1)随机 选 取 r∈Z ,计 算 R=g ;2)计 算 : h=H2(M ll,DllRI1 ), V=r·P+h-SffJ∈Gl;3)输 出签 名
(1)参 数 设 置 参照 3.1节 c 设置系统参数 params={P,Gj,G2,P, ,g, H。,日 },其 中 , Po=a·P,并将 系统参数传给 AI。这里将 Hash函数 和 看成 随机预言机 。 C为响应 AI的 日l询 问、H2询 问、部分私钥询问、公钥 询问、公钥 替换 询问、秘密值询 问和签名询问 ,必须 维护 以 下 3个列表 :列表 日 ,其每一项的格 式为 (,D, ,Q ,D ); 列表 ,其 格式 为 (M,ID,R,P, );列表 ‘,其格 式为 (IO,X, )。限于 篇幅,此处仅给 出公钥替换 询问和签名询问 , 其余参 阅文 献[5]。 (2)公钥替换询问
当 C接收到 AI的关于 用户 ,D 的公钥替换询 问 ( , )
时,C检索 “ 找到 ( , ),设置 xi=J_、 = 。 (3)签 名 询 问 当 A 请求公钥为 尸j,身份为 ,D 的用户对消息 的签名
无证书签名 方案 的安全性可 用挑战者 C 和攻击者 A 或 AII间的 2个 游戏 定义 。
定义 4 一个无证书 签名方案 在适应性选择 消息攻 击下 是存在不可伪造 的,当且仅 当任何计 算能 力多项 式受限的攻 击者赢得 以上 2个游戏 的概率是可以忽略 的。
在下文 中说一个签名 方案是 安全 的,即指它在适应性选 择消息攻击下是存在不可伪造的 。
3 基于双线性对 的无证书签名方案
3.1 签 名方案 签名方案 的具体步骤如下 : (1)系统参 数生成 输入一个安全参数 k,KGC选定满足 2.1节所述性质 的
Gi,G2,选定 P为 Gl的一个 生成元 ,计算 g=e(p,P),并 随机选取 ∈ 作为系统主密钥 ,记 =sP,选择 Hash