基于身份不可授权的强指定验证者签名方案

————————————

基金项目基金项目：：中国科学院自动化研究所复杂系统与智能科学重点实验室开放课题基金资助项目(20070101)；辽宁省教育厅高等学校科学研究基金资助项目(2008334)

作者简介作者简介：：李 聪(1986－)，男，硕士研究生、CCF 会员，主研方向：密码学；闫德勤，教授、博士 收稿日期收稿日期：：2011-10-21 修回日期修回日期：：2011-12-12 E-mail ：conanlee2002@

基于身份不可授权的强指定验证者签名方案

李 聪，闫德勤

(辽宁师范大学计算机与信息技术学院，辽宁 大连 116081)

摘 要：针对目前基于身份的强指定验证者签名方案可授权及效率不高的问题，提出一种基于身份的强指定验证者签名方案。对基于双线性对的签名方案进行安全性证明以及效率分析。性能分析结果证明，与已有方案相比，该方案满足不可传递性、不可伪造性及不可授权性，双线性对运算和模乘运算相应减少，签名效率更高。

关键关键词词：不可授权性；双线性对；基于身份；不可伪造性；不可传递性

Strong Designated Verifier Signature Scheme

Based on Identity Non-delegatability

LI Cong, YAN De-qin

(School of Computer Science and Information Technology, Liaoning Normal University, Dalian 116081, China)

【Abstract 】Aiming at the delegatability and inefficiency problems of current identity-based strong designated verifier signature schemes, a new efficient identity-based strong designated verifier signature scheme is proposed, which includes signature scheme based on bilinear pairings, security proof and efficiency analysis, performance analysis results show that the new scheme can satisfy the security requirements of non-transferability, unforgetability, non-delegatability. Compared with other existing schemes, the new scheme which reduces the computational cost of bilinear pairings and modular multiplication is more efficient.

【Key words 】non-delegatability; bilinear parings; ID-based; unforgetability; non-transferability DOI: 10.3969/j.issn.1000-3428.2012.17.039

计 算 机 工 程 Computer Engineering 第38卷 第17期

V ol.38 No.17 2012年9月

September 2012

·安全技术安全技术·· 文章编号文章编号：：1000—3428(2012)17—0139—03 文献标识码文献标识码：：A

中图分类号中图分类号：：TP309

1 概述

1984年，Shamir 提出了基于身份的密码体制[1]，其主要思想是以能标识用户身份的信息作为公钥，如姓名、电话等。而用户的私钥可以由安全可信的私钥生成中心(PKG)生成，这样就解决了传统使用公钥证书带来的各种

问题。2001年，Boneh 和Franklin 利用双线性对提出了 第1个基于身份的加密方案[2]，这种体制很快得到了国内外学者的关注并发表很多基于身份的加密方案的论文，如Waters 方案[3]、Boneh 方案[4]等，并相应地应用于指定验证者签名。2007年，Kancharla 等人[5]提出双线性对下的基于身份的强指定验证者签名方案，并给出安全性证明其是不可伪造、不可传递和不可授权的。但2010年，Sun 等人[6]证明该方案是可授权的。

本文基于Sun 等人证明的强指定验证者签名可授权性进行改进，提出了一种新的双线性对下的基于身份的强指定验证者签名方案，并分析新方案的安全性要求和签名

效率。

2 相关知识

2.1 双线性对

令G 1、G 2分别是一个阶为大素数q 的加法群和乘法群。p 是群G 1的生成元，称e : G 1×G 1→G 2是一个双线性

映射，当且仅当其满足如下属性：

双线性性：(,)(,)a b ab e p p e p p =, ,q a b Z ∀∈； 非退化性：(,)1e p p ≠；

可计算性：存在一个有效的算法能够计算(,)e p p 。 2.2 相关的数学难题

BDH 问题：设p 是G 1的生成元，已知,,a b c p p p

*

1(,,,)q a b c Z p G ∈∈，计算(,)abc e p p 。

3 新的IBSDVS 方案

IBSDVS 方案流程如下： (1)PKG 设置

私钥生成机构PKG 生成双线性映射e 的2个群G 1和

140 计 算 机 工 程 2012年9月5日

G 2，并随机选择主密钥*

R q s Z ∈。P 为G 1的生成元，公钥

PUB P sP =。2个哈希函数：H 1:*1{0,1}G →，H 2：

**1{0,1}q G Z ×→，向所有用户公开参数{G 1,G 2,e ,q ,P , P PUB , H 1,

H 2}。

(2)密钥提取

用户给出身份ID ，PKG 计算密钥ID S =sH 1(ID )，然后通过安全信道发送给用户，用户公钥为ID Q =H 1(ID )。

(3)指定验证者签名

假定签名者Signer 要签名的消息为M ，其公钥/私钥

对分别为IDs Q /IDs S 。Signer 首先选择*

R q r Z ∈，计算

IDv U rQ =，1

()IDs V r H S −=+，其中，H =H 2(M , (,)IDs e U S )。

然后将签名(,)U V σ=发送给验证者Verifier 。

(4)指定验证者验证

验证者Verifier 的公钥/私钥对 为/IDv IDv Q S ，其收到签名σ后，首先计算H =H 2(M , (,)IDs IDv e rQ S )，验证等式

(,)(,)(,)IDv IDs IDv e U V e Q H e Q S =。如果成立则接受签名σ，否

则拒绝。

4 安全性分析

4.1 正确性

正确性分析如下：

(,)e U V =1(,())IDv IDs e rQ r H S −+=1(,)(,)

IDv IDv IDs e rQ r H e Q S −(,)IDv e Q H (,)IDs IDv e Q S

其中，(,)IDs IDv e Q S =(,IDv e rQ )IDs Q =(,)r IDv IDs e Q Q =(,)IDv IDs e Q S 。 4.2 不可传递性

指定验证者Verifier 首先选择*

'R q r Z ∈，然后计算

''IDs U r Q =，

1''(')IDv V r H S −=+，其中，'H =H 2(M ,(',)IDv e U S )，生成模拟签名'(',')U V σ=，并且也能使验证等式成立：(',')(,')(,)IDv IDs IDv e U V e Q H e Q S =。也就是说，不能确定某一签名是Signer 生成的还是由Verifier 模拟的，因此，方案满足不可传递性。

4.3 不可伪造性

定理1(不可伪造性) 假设存在一个对手F 在t 时间内最多做1

H q 次H 1及2

H q 次H 2随机预言机询问、E q 次密钥提

取询问、S q 次签名询问的情况下，能以不小于ε的概率区分出2种有效的密文，那么F 能以不小于ε′的概率解决BDH 问题，假设为算法Y 。

证明：对手F 能以不小于ε′的概率解决BDH 问题，

即能在已知p 、a p 、b p 、c p (,,a b *

1,q c Z p G ∈∈)的情况下，计算出(,)abc e p p 。

系统公钥PUB P 、Singer 身份s ID 和Verifier 身份v ID 都是已知的，通过密钥提取算法可得：IDs Q =H 1(s ID )，IDv Q = H 1(v ID )。P 是G 1的生成元，因此，可以得到IDs Q aP =，

IDv Q bP =，PUB P cP =。

系统设置：F 收到算法Y 发送的系统参数{G 1, G 2,e ,q ,P ,P PUB , H 1, H 2}。其中，H 1, H 2是由Y 控制的随机预言机，H 1, H 2相对应的询问的表为1

H L 、2

H L (初始时为空)。

H 1询问：首先F 对i ID 进行H 1询问，然后Y 就开始

查找表1

H L ，并且给出如下回答：

IDi Q =H 1(i ID )=aP ，if i s ID ID =；IDi Q =H 1(i ID )=bP ，

if i v ID ID =；否则，IDi Q =H 1(i ID )=i t P ，*

i R q t Z ∈，并在表1

H

L 中增加(i ID ,IDi Q ,i t )。

密钥提取询问：首先F 对i ID 进行密钥提取询问，然后Y 开始查找密钥提取表。如果i S ≠或i V ≠，则Y 就将

i ID 对应的密钥i t cP 返回；否则，Y 就提示模拟失败并 停止。

H 2询问：首先F 对(i M ,(,)i i e U S )进行H 2询问，然后Y 就开始查找2

H L 表。如果(i M ,(,)i i e U S ,i H )∈H 2，就将

2i H 输出给F ；否则Y 输出2i H ∈*

q

Z ，并在表2

H L 中增加(i M ,(,)i i e U S ,i H )。

签名询问：首先F 对消息i M ，签名者i ID 和指定验证者j ID 进行询问，Y 可做出如下回应：如果i S ≠或i V ≠，

则Y 计算Signer 的私钥IDi i S t cP =，再选择*

i R q

r Z ∈，并计算i i i U rQ =，i H =H 2(i M ,(,)i i e U S )，i V =1

r

−(i H +IDi S )；如果j S ≠且j V ≠，则Y 计算Verifier 的私钥j j S t cP =，再

选择*j R q r Z ∈，并计算j j j U r Q =，j H =H 2(i M ,(,)j j e U S )，

1()j j IDj V r H S −=+；否则，退出协议。最后，Y 将相应的签

名(j U ,j V )给F 。

验证询问：首先F 对消息i M ，签名者i ID 和指定验证者j ID 的签名(j U ,j V )进行询问，Y 验证(,)(,)i j S V =或者

(,)(,)i j V S =是否成立。如果成立，则退出；否则Y 计算

Verifier 的私钥PUB j i S t P =，因而，签名的有效性可以按照4.1节验证算法进行验证。

输出：F 能以不小于ε的概率输出一个有效的关于签

名者i ID 和指定验证者j ID 的签名(*U ,*V ,*M )。如果

(,)(,)i j S V =或(,)(,)i j V S =，那么Y 输出(*U ,*V ,*M )，否

则Y 将提示模拟失败并停止。通过观察计算，(,)(,)

i j S V =或(,)(,)i j V S =的概率是1

1

2/((1))H H q q ε−，并且最终签名应

该满足*

*

(,)e U V =*

*

(,)IDv e Q H *

*(,)IDs IDv e Q S ，那么可以推导出

**(,)e U V /**(,)IDv e Q H =(,)IDs IDv e Q S =(,)e aP bcP =(,)abc e P P ，即

Y 能以不可忽略的概率1

1

2/((1))H H q q ε−解决BDH 问题，这

与BDH 困难假定相矛盾。

4.4 不可授权性

根据文献[7]可知，攻击者如果得到性线对12(,)T T =

1((),)V IDs rH ID r S −,*

R q r Z ∈，那么签名将不再是可授权的，

所以，基于文献[6]的一些IBSDVS 是可授权的。而新方案首先能够保证即使已知12(,)T T 也是无法模拟签名的。其次分析新方案中的关键部分V =1()IDs r H S −+，由于IDs S 是不可知的，除非Singer 直接授权，因此无法计算有效签名。最后，分析验证部分(,)e U V =(,)IDv e Q H (,)IDs IDv e Q S ：

(,)IDv e Q H 中的H =H 2(M ,(,)IDs e U S )，而无论要计算H 中(,)IDs e U S ，还是(,)IDs IDv e Q S ，必须知道IDs S 或IDv S ，所以，

除了授权私钥是不可能模拟有效签名的。

综上分析可知，除非知道IDs S 与IDv S 才能产生有效签