第33卷第10期武汉大学学报#信息科学版Vol.33No.10 2008年10月GeomaticsandInformationScienceofWuhanUniversityOct.2008 文章编号:1671-8860(2008)10-1076-04文献标志码:A 标准模型下基于身份的可证安全签名方案 1,22 张乐友胡予濮 (1西安电子科技大学应用数学系,西安市太白南路2号,710071) (2西安电子科技大学计算机网络与信息安全教育部重点实验室,西安市太白南路2号,710071) 摘要:在标准模型下设计高效可证明安全的签名方案具有现实意义。基于Waters和Paterson最近提出的 签名方案,提出了两种有效的标准模型下的基于身份的签名方案:一种为(t,n)门限方案,在计算Diffie-Hel-l man假设(CDH问题)下,方案被证明具有不可伪造性和健壮性;另一种为分级签名方案,该方案签名算法效 率高,仅需两次指数运算。在CDH困难问题假设下,该方案被证明是安全的。 关键词:(t,n)门限签名方案;分级签名方案;标准模型;可证明安全;CDH问题 中图法分类号:TP309 基于身份的密码体制最初是由Shamir[1]于的签名方案[7,8],提出了一种有效的标准模型下 1984年提出,其目的是为了简化密钥管理。在基基于身份的(t,n)门限签名方案,其安全性基于一 于身份的密码体制中,用户的公钥是直接从其身般的困难问题假设。 份信息(如姓名、身份证号、E-mail地址等)得到,在基于身份的密码系统中,只有一个PKG 而私钥则是由一个称为私钥生成中心(PKG)的会影响到系统的效率,这和基于证书的密码系统 可信方生成。自1984年来,人们相继提出了许多十分类似,因此,需要一种基于分级身份的密码系 实用的基于身份的签名方案,但一个满意的基于统。本文提出了一种标准模型下的分级签名方 身份的加密方案直到2001年才被提出[2]。目前,案,该方案的安全性同样基于一般的困难问 主要存在标准模型和随机预言机模型两种方法。题)))CDH问题,安全证明不需要随机预言机。 在随机预言机模型中,Hash函数看作是理想的, 而实际应用的Hash函数却并非如此,因而有一1预备知识 些密码学家(如Canetti、Goldreich等)对基于随 机预言机的安全性证明持否定态度,他们也的确1.1CDH问题 提出了一些签名和加密方案,在随机预言机模型定义1计算Diffie-Hellman问题(CDH问 下证明安全的,但在实际中是不安全的[6]。为获题)。设G为素数阶p的循环群,g为G的生成 abab 得令人高度信任的方案,在标准模型下设计出高元,对任意的a,bIzp,已知g、g,计算g。解 效可证明安全的门限签名方案具有现实意义。决CDH问题是利用PPT算法A满足对E>0, 在过去的几年里,门限签名有了很大的发展,E=Prob[gabzA(g,ga,gb)],如果E是可忽略 然而目前大多数的门限签名都是在随机预言机模的,称CDH问题是困难的。 型下证明安全的[3-5]。文献[10]首次提出了标准1.2双线性映射 模型下的(t,n)门限短签名方案,但其安全性基于设G、G1为素数阶p的循环群,g为G的生成 一个强的困难问题假设(SDH)。文献[12]基于元,则双线性映射^e:G@GyG1具有如下性质。 一般的困难问题假设(CDH问题)提出了标准模1)双线性性,对所有的u,vIG,a,bIzp,都 型下的(t,n)门限签名方案,但此方案并不是基于有^e(ua,vb)=^e(u,v)ab。 身份的。本文利用Waters与Paterson最近提出2)非退化性,^e(g,g)X1。 收稿日期:2008-08-28。 项目来源:国家自然科学基金资助项目(60473029)。 第33卷第10期张乐友等:标准模型下基于身份的可证安全签名方案1077 LLL 3)实效性,对于任意u,vIG,^e(u,v)是实际R1=0Ri1i,R2=0Ri2i,R3=0Ri3i iI8iI8iI8 有效可计算的。 式中,Li为相应的Lagrange系数。 4)签名验证算法(ThV)。给定公钥Y、消息 2基于身份的门限签名方案M及签名R,计算: n cID-1 ^e(g1,g2)=^e(R1,g)#^e(R2,uc00uii)# 2.1基于身份的门限签名方案i=1 [8][7]n m-1 基于Paterson与Waters签名方案,本文^e(R3,u00uii) i=1 给出了门限签名方案。 如果成立,输出有效信息;否则,输出无效。 1)系统建立(SystemSetup)。设G、G1为素 2.2门限签名的安全性分析 数阶p的循环群,随机选取AIzp,g为G的任意 2.2