趙澤茂 王向陽(yáng) 許春根

①(杭州電子科技大學(xué)通信工程學(xué)院 杭州 310018)②(南京理工大學(xué)應(yīng)用數(shù)學(xué)系 南京 210094)

1 引言

自Shamir在1984年提出了基于身份的密碼體制的概念以后，基于身份的加密和簽名方案相繼被提出。在基于身份的密碼體制中，用戶的公鑰可以是用戶的姓名、地址、E-mail、身份證號(hào)碼等，用戶的私鑰則由可信任的認(rèn)證中心(CA)產(chǎn)生。顯然，公鑰不證自明，大大減少密鑰的認(rèn)證復(fù)雜度，不存在由CA頒發(fā)公鑰證書(shū)所帶來(lái)的存儲(chǔ)和管理開(kāi)銷(xiāo)的問(wèn)題，有關(guān)基于身份的密碼體制的研究進(jìn)展見(jiàn)參考文獻(xiàn)[1]。

生物特征在以其獨(dú)特的優(yōu)勢(shì)廣泛應(yīng)用于網(wǎng)絡(luò)身份認(rèn)證。目前，對(duì)生物特征的研究主要集中在兩個(gè)方向：一是基于傳統(tǒng)的生物特征識(shí)別技術(shù)，如指紋識(shí)別技術(shù)等，現(xiàn)已發(fā)展成相當(dāng)成熟的實(shí)用技術(shù)；二是基于生物特征的密鑰產(chǎn)生技術(shù)，這是目前研究的熱點(diǎn)問(wèn)題之一。前者主要用于身份認(rèn)證，后者必須解決生物特征信息的模糊性與密鑰的精確性之間的矛盾。文獻(xiàn)[2-4]研究了如何從生物特征中提取公鑰或私鑰的問(wèn)題，其中文獻(xiàn)[4]引入的模糊機(jī)制最為實(shí)用，它把生物特征的模糊性與密鑰的精確性有機(jī)地統(tǒng)一起來(lái)。利用生物特征設(shè)計(jì)數(shù)字簽名的研究成果很多，如文獻(xiàn)[5-7]。在基于身份的加密中，接收者的隱私性也受到了廣泛關(guān)注，于是匿名的基于身份加密(Identity-Based Encryption，IBE)的概念就被提了出來(lái)[8]，隨后，2008年，Boneh and Hamburg在Asiacrypt2008上給出了廣義的基于身份的加密的方案[9]，文獻(xiàn)[10]將指紋特征用于加密和認(rèn)證方案的設(shè)計(jì)，文獻(xiàn)[11] 提出一個(gè)基于身份的無(wú)需第三方可信任的密鑰產(chǎn)生(Private Key Generation，PKG)系統(tǒng)的簽名方案，2009年，文獻(xiàn)[12]提出基于多重生物特征身份的簽名方案。相比于其他的生物特征信息而言，虹膜信息構(gòu)造公鑰具有以下幾點(diǎn)好處。首先，可節(jié)約時(shí)間和空間。因?yàn)楹缒ば畔⒕哂腥梭w所固有的唯一性且可直接提取，用戶無(wú)須向權(quán)威機(jī)構(gòu)證明自己的身份。其次，可進(jìn)一步提高系統(tǒng)的安全性和可靠性。因?yàn)楹缒o(wú)法復(fù)制，失竊或被遺忘，且噪音引起的誤差干擾相對(duì)較小。在這些基于生物特征信息構(gòu)造的加密和簽名方案中，普遍沒(méi)有考慮到單個(gè)PKG系統(tǒng)可以隨意偽造用戶簽名的安全隱患。本文提出的基于虹膜信息的簽名方案引進(jìn)兩個(gè)PKG系統(tǒng)，主要是為了彌補(bǔ)單個(gè)PKG系統(tǒng)中隨意偽造用戶簽名的缺陷，在隨機(jī)預(yù)言機(jī)模型下，證明了該方案可抵抗在適應(yīng)性選擇消息和身份下的存在性偽造攻擊，并能有效抵抗“生日攻擊”。

2 預(yù)備知識(shí)

2.1 雙線性映射

設(shè)G1是一個(gè)由P產(chǎn)生的循環(huán)加法群，它的階為q，G2是一個(gè)階為q的循環(huán)乘法群，q為大素?cái)?shù)，假定在G1, G2上的離散對(duì)數(shù)問(wèn)題(DLP問(wèn)題)都是困難問(wèn)題。雙線性映射是指具有下列性質(zhì)的一個(gè)映射: G1×G1→G2。

(1)雙線性：對(duì)任意的P, Q, R∈G1；有對(duì)任意的a, b∈；有(aP, bQ)=(P, Q)ab。

(2)非退化性：存在P, Q∈G1，使得e(P, Q)≠1。

(3)可計(jì)算性：對(duì)于P, Q∈G1，存在一個(gè)高效的算法計(jì)算e(P, Q)。

本方案依賴以下困難性問(wèn)題。

(1)離散對(duì)數(shù)問(wèn)題(DLP)：對(duì)給定的Q=nP∈G1，求n∈。

(2)雙線性對(duì)求逆問(wèn)題：已知a=e(P, Q)，給定P∈G1，求Q∈G1。

(3)計(jì)算Diffie-Hellman問(wèn)題 (CDHP)：對(duì)a, b∈，給定P, aP, bP∈G，計(jì)算abP。1

(4)判定Diffie-Hellman問(wèn)題 (DDHP)：給定P, aP, bP, cP∈G1，其中a, b, c∈，判定c≡abmod p是否成立。

(5)間隙Diffie-Hellman問(wèn)題(GDHP)：在群G1上，DDHP易于解決而CDHP難以解決，則稱此群為間隙Diffie-Hellman群。

2.2 基于隨機(jī)問(wèn)答器攻擊模型定義

基于身份的數(shù)字簽名的基于隨機(jī)問(wèn)答器攻擊模型是由Cha和Cheon[13]給出的攻擊模型補(bǔ)充得到的。

設(shè)Sim為攻擊算法，C為預(yù)言機(jī)，它們參與如下游戲G。

(1)預(yù)言機(jī)C運(yùn)行Setup，并發(fā)送系統(tǒng)參數(shù)SP給Sim。

(2) Sim可以向預(yù)言機(jī)C請(qǐng)求如下的服務(wù)。

(a)身份Hash函數(shù)H1服務(wù)：對(duì)于Sim給出的任何身份ID，C計(jì)算H1(ID)并將其發(fā)送給Sim。

(b)Extract服務(wù)：對(duì)于Sim給出的任何身份ID，C運(yùn)行Extract得到對(duì)應(yīng)于ID的私鑰并將其發(fā)送給Sim。

(c)詢問(wèn)Hash函數(shù)H2服務(wù)：對(duì)于Sim給出的任何消息m和U∈G1，C計(jì)算H2(m, U)并將其發(fā)送給Sim。

(d)Signing服務(wù)：對(duì)于Sim給出的任何身份ID和消息m，C返回對(duì)應(yīng)于ID和消息m的簽名給Sim。

(3)最后Sim輸出簽名(ID,m, U, E, V)，其中ID未向Extract詢問(wèn)過(guò)，(ID,m)未向Signing詢問(wèn)過(guò)。

稱Sim贏得游戲當(dāng)且僅當(dāng)(ID,m, U, E, V)能通過(guò)Verification的驗(yàn)證。

一個(gè)由Setup，Extract，Signing和Verification等4個(gè)算法組成的基于身份的數(shù)字簽名方案，如果不存在多項(xiàng)式時(shí)間算法Sim以不可忽略的優(yōu)勢(shì)贏得游戲G，則稱該方案在適應(yīng)性選擇消息下能抵抗偽造攻擊。

3 虹膜信息的提取與嵌入

3.1 虹膜信息的模糊提取

[3]，虹膜信息的提取過(guò)程如圖1所示。

虹膜圖像采集：通過(guò)虹膜采集設(shè)備獲取虹膜圖像。

虹膜圖像預(yù)處理：虹膜圖像預(yù)處理算法主要解決虹膜圖像的平移、瞳孔的縮放和光照不均等原因?qū)ψR(shí)別結(jié)果產(chǎn)生的干擾，以獲得紋理清晰便于識(shí)別的虹膜圖像。該算法主要進(jìn)行虹膜內(nèi)外邊緣定位、歸一化和圖像增強(qiáng)等。

虹膜特征提取與編碼：虹膜特征提取與編碼是整個(gè)過(guò)程最關(guān)鍵的一步。特征提取主要包括圖像有效區(qū)域選擇和濾波器的設(shè)計(jì)，經(jīng)過(guò)濾波器后可提取一系列表示虹膜圖像紋理特征的參數(shù)，這些參數(shù)最終編碼成表示虹膜紋理的n位特征碼h。

圖1 虹膜信息的提取過(guò)程框圖

模糊提取器[3]：輸入虹膜特征編碼h，得到隨機(jī)串U和公開(kāi)的串V。模糊提取器可以容忍一定數(shù)量的錯(cuò)誤，即如果輸入h輕微的變化為h'，輸出的隨機(jī)串U是一樣的。Dodis等人[2]定義了函數(shù)Gen和Rep來(lái)構(gòu)建模糊提取器，函數(shù)Gen是輸入虹膜特征編碼h，輸出隨機(jī)串U和公開(kāi)的串V，函數(shù)Rep是輸入h'和公開(kāi)的串V恢復(fù)隨機(jī)串U，如圖2所示。

圖2 函數(shù)Gen和Re p示意圖

現(xiàn)在使用漢明距離度量在M={0,1}k空間中構(gòu)建一個(gè)模糊提取器(M, k, t)。定義kbit 的糾錯(cuò)編碼函數(shù)Ce:M→{0,1}k，解碼函數(shù)Cd:{0,1}k→M 。函數(shù)Gen(h)輸出參數(shù)U∈{0,1}k，且V=b⊕Ce(U)。同樣，Rep(h',V)=Cd(V⊕h')=U 當(dāng)且僅當(dāng)dis(h,h')≤t。在此過(guò)程中，只需提供虹膜信息就可以生成和恢復(fù)隨機(jī)串U，無(wú)需密鑰介入。

3.2 將虹膜信息嵌入到橢圓曲線

為了將輸出串U嵌入到橢圓曲線中，使用一個(gè)標(biāo)準(zhǔn)哈希函數(shù)H，即安全哈希算法SHA-1，先將輸出串U映射到集合A={0,1}160上，這與文獻(xiàn)[3]相同。然后使用一個(gè)嵌入函數(shù)g將160位字節(jié)串A映射到G上，其中G是橢圓曲線E(Fp)上的點(diǎn)組成的一個(gè)子群。即Pu=g(H(U))，其中Pu是對(duì)應(yīng)串U的點(diǎn)。

字節(jié)串U=U1U2…Uk嵌入到橢圓曲線上Pu點(diǎn)可采用如下方法。

(2)轉(zhuǎn)換X1到橢圓曲線的點(diǎn)(XP,YP)：首先計(jì)算α=+aX+bmod p ，然后計(jì)算αmodp的平方1根。如果存在平方根，則XP=X1，=αmodp ，點(diǎn)Pu=(XP,YP)，否則計(jì)算X1=X1+i ，(i為預(yù)先根據(jù)實(shí)際設(shè)定的比較小的整數(shù)值，如i=1)，重復(fù)步驟(2)，直到找到點(diǎn)Pu=(XP,YP)。

4 基于虹膜信息的簽名方案

基于虹膜信息的簽名方案，與普通的基于身份簽名方案相比，系統(tǒng)還包括一個(gè)虹膜庫(kù)，用來(lái)存放簽名者的虹膜數(shù)據(jù)，虹膜庫(kù)由驗(yàn)證者來(lái)保管。參考文獻(xiàn)[2]，為了避免單個(gè)PKG有太大的權(quán)力隨意偽造簽名者的簽名，本方案引進(jìn)了兩個(gè)獨(dú)立的密鑰生成機(jī)構(gòu)PKG1和PKG2。該方案包括系統(tǒng)建立，密鑰生成，簽名算法和驗(yàn)證算法等4個(gè)算法。

系統(tǒng)參數(shù)建立：設(shè)G1, G2分別是加法群和乘法群，階為q，且在G1, G2中離散對(duì)數(shù)問(wèn)題都是難解的。設(shè)e是由橢圓曲線上的Weil配對(duì)派生得到G1×G1到G2的雙線性映射，H1:{0,1}*→G1, H2:{0,1}n×G2→Zq*，是兩個(gè)公開(kāi)的單向加密Hash函數(shù)，其中H1是標(biāo)準(zhǔn)哈希函數(shù)SHA-1，是哈希函數(shù)H:{0,1}*→{0,1}160和嵌入函數(shù)g :{0,1}160→G1的組合，即H1(U)=g(H(U))。PKG1和PKG2分別獨(dú)立隨機(jī)選取s1∈R和s2∈R作為系統(tǒng)私鑰，計(jì)算Ppub1=s1P 和Ppub2=s2P作為系統(tǒng)公鑰，公開(kāi)系統(tǒng)參數(shù)為

用戶密鑰生成：假設(shè)用戶給出的虹膜特征信息h∈M，兩個(gè)PKG首先利用模糊提取器(M, k, t)中的Gen函數(shù)輸出參數(shù)U∈{0,1}k和V=h⊕Ce(U)∈{0,1}n。然后分別計(jì)算A的公鑰QA=H1(U)∈G1和部分私鑰SAi=siQA,(i =1,2)。最后通過(guò)安全信道分別將私鑰傳送給用戶，并公開(kāi)串V。

簽名算法：設(shè)m∈{0,1}*為待簽名的消息，用戶A簽名過(guò)程如下：

(1)任意選取兩點(diǎn)P1, P2∈G1，計(jì)算r1=e(P, P1),r2=e(P, P2)；

(2)計(jì)算v1=H2(m, r1),v2=H2(m, r2)；

(3)計(jì)算w=P1+v1SA1+v2SA2；則(w, v1, v2)為用戶A對(duì)消息m∈{0,1}*的簽名。驗(yàn)證算法：驗(yàn)證者收到用戶A的簽名后，為了驗(yàn)證用戶A對(duì)消息的簽名(w, v1, v2)，提取用戶A的虹膜信息H'∈M，使用模糊提取器(M, k, t)中的Rep函數(shù)恢復(fù)串U，當(dāng)且僅當(dāng)dis(h, h')≤t時(shí)，計(jì)算

然后計(jì)算QA=H1(U)∈G1，和r1=e(w, P) e(QA,?Ppub1)v1e(Q,A?Ppub2)v2，最后檢查v=H(m, r)是否成立？當(dāng)且僅當(dāng)?shù)仁匠闪⒑灻行А?/p>

本方案是正確的。因?yàn)?/p>

即等式v1=H2(m, r1)成立。

5 安全性分析

定理1 本方案在一定程度上消除了單個(gè)PKG可以任意偽造簽名的安全隱患。

證明 公鑰由簽名者的虹膜數(shù)據(jù)生成，任何攻擊者無(wú)法偽造。只有輸入模糊提取器的虹膜數(shù)據(jù)與庫(kù)中的虹膜數(shù)據(jù)差別不大的時(shí)候，才可以計(jì)算簽名者的公鑰，才可以利用其公鑰驗(yàn)證簽名方案。而且，本方案引進(jìn)了兩個(gè)獨(dú)立的PKG，每個(gè)PKG只能生成用戶的部分私鑰，所以單個(gè)PKG并不能偽造簽名者的簽名，除非兩個(gè)PKG聯(lián)合攻擊。所以，本方案在一定程度上消除了單個(gè)PKG可以任意偽造簽名的安全隱患。

定理2 在隨機(jī)預(yù)言機(jī)模型下，本方案在選擇性消息和身份下是不可偽造安全的。

證明 若攻擊者C能以不可忽略的概率在小于時(shí)間T經(jīng)qs次簽名提問(wèn)和qh次Hash提問(wèn)偽造本方案，且通過(guò)了驗(yàn)證方程贏得游戲G，則可以構(gòu)造一種算法Sim在小于時(shí)間T'計(jì)算y=e(Q, P)中Q，即計(jì)算出雙線性對(duì)求逆問(wèn)題。根據(jù)雙線性對(duì)求逆問(wèn)題困難性，不存在多項(xiàng)式時(shí)間算法Sim以不可忽略的概率偽造本方案而贏得游戲G，即本方案在隨機(jī)預(yù)言機(jī)模型下，在選擇性消息和身份攻擊下是不可偽造的。

設(shè)G1是加法循環(huán)群，階為q，其生成元為P∈G1，構(gòu)造Sim算法，給定一個(gè)雙線性映射e，在適應(yīng)性選擇消息和身份攻擊下，如果攻擊者C能以不可忽略的概率偽造本方案，則構(gòu)造算法Sim的目標(biāo)是計(jì)算y=e(Q, P)中Q。

U-Hash(H1)提問(wèn)：系統(tǒng)維護(hù)一個(gè)由(Ui, Qi)(其中1≤i≤qh1)構(gòu)成的H1表。當(dāng)攻擊者C提問(wèn)虹膜數(shù)據(jù)Ui，若(Ui, Qi)∈H1表，系統(tǒng)用Qi回答，否則，系統(tǒng)隨機(jī)選取λi∈，計(jì)算：Qi=λiP，用Qi回答，并添加(Ui, Qi)到H1表，并相對(duì)應(yīng)保存λi。

消息-Hash(H2)提問(wèn)：系統(tǒng)維護(hù)一個(gè)由(mj, rj,vj)(其中1≤j≤qh2)構(gòu)成的H2表。攻擊者C提問(wèn)(mj, rj)，若(mj, rj, vj)∈H2表，用vj作答，否則，系統(tǒng)隨機(jī)選取αj∈，令vj=αj作為回答，并添加到H2表。

簽名提問(wèn)：攻擊者提問(wèn)對(duì)消息mg的簽名，系統(tǒng)在H1表中搜索(Ug, Qg)，在H2表中搜索兩組(mg1,rg1,vg1),(mg2,rg2,vg2)。系統(tǒng)選取點(diǎn)Pg∈G1，令rg1=e(P, Pg)，wg=Pg+vg1λgPpub1+vg2λgPpub2，簽名回答為(wg, vg1,vg2)。

因?yàn)?/p>

輸出 攻擊者C與U-Hash(H1)預(yù)言機(jī)、消息-Hash(H2)預(yù)言機(jī)、簽名提問(wèn)預(yù)言機(jī)聯(lián)合，以不可忽略的概率輸出對(duì)消息m偽造簽名(wg, vg1,vg2)。

利用重放技術(shù)，Sim算法可得到對(duì)消息的兩個(gè)有效偽造簽名(w, v1, v2)和(w′, v1′,v2′)，兩個(gè)簽名的驗(yàn)證等式為

若在簽名提問(wèn)中兩次選取的P是相同的，則r1r1′=，則通過(guò)兩個(gè)驗(yàn)證等式可得到可知，隨機(jī)選擇v1, v2,v1′,v2′，可相應(yīng)的得到

即成功的計(jì)算出了y=e(Q, P)中Q。由雙線性對(duì)求逆問(wèn)題困難性可知，不存在多項(xiàng)式時(shí)間算法Sim以不可忽略的概率偽造本方案，即在隨機(jī)預(yù)言機(jī)模型下，該方案在選擇性消息和身份下是不可偽造安全的。

定理3 本方案可以有效抵抗“生日攻擊”。

證明 簽名時(shí)P是從G1中隨機(jī)選取的，選中G1中任一元素的概率均為1/q。隨著簽名次數(shù)的增加，出現(xiàn)相同的P的概率將會(huì)大大提高。這就是所謂的“生日問(wèn)題”?！吧諉?wèn)題”是說(shuō)：在23個(gè)人中出現(xiàn)兩個(gè)人生日相同的概率就會(huì)大于0.5。其計(jì)算公式是：在一個(gè)有m個(gè)人的集體里，至少兩人的生日在同一天的概率為p=1?365m。同樣地，在方案中，從G1中隨機(jī)取元素，在取了m次后，出現(xiàn)相同元素的概率為p=1?。要使概率p大于0.5, m大約取就行了。可見(jiàn)“生日攻擊”比直接求離散對(duì)數(shù)更容易破解簽名私鑰，這樣就大大降低了簽名方案的安全性。

假設(shè)攻擊者在本方案中獲得簽名人對(duì)消息的兩個(gè)簽名(m, w, v1, v2)和(m',w',v1',v2')，且消息的簽名選擇了相同的點(diǎn)P1, P2，即兩個(gè)簽名具有相同的r。根據(jù)簽名算法有：w=P1+v1SA1+v2SA2,w'=P1+v1'SA1+v2'SA2，在這兩個(gè)等式中含有3個(gè)未知數(shù)(P1, SA1,SA2)，因而，攻擊者無(wú)法求解出SA1和SA2，即攻擊者無(wú)法獲得簽名人的私鑰，從而攻擊者無(wú)法冒充簽名者對(duì)任何消息的簽名?！吧展簟睂?duì)本方案不起任何作用。

6 結(jié)論

由于基于身份的公鑰密鑰系統(tǒng)避免了基于證書(shū)的公鑰密碼系統(tǒng)中繁瑣的證書(shū)管理，在實(shí)際應(yīng)用中比較方便快捷，同時(shí)使用虹膜信息作為身份可以節(jié)省許多空間和時(shí)間。本方案利用虹膜信息構(gòu)造公鑰，將虹膜信息應(yīng)用于簽名方案中，提出一種基于虹膜信息的身份簽名方案。該方案引進(jìn)了兩個(gè)PKG，防止單個(gè)PKG隨意偽造簽名，且在隨機(jī)預(yù)言機(jī)模型下，具有在選擇性消息和身份下的不可偽造安全，并能有效抵抗“生日攻擊”。

參 考 文 獻(xiàn)

[1] 張方國(guó)，陳曉峰. 基于身份的密碼體制綜述[R]. 中國(guó)密碼學(xué)會(huì)組編．中國(guó)密碼學(xué)發(fā)展報(bào)告. 北京：電子工業(yè)出版社，2009, 8:1-31.Zhang Fang-guo and Chen Xiao-feng. An overview on the identities-based cryptosystem[R]. Chinese Association for Cryptologic Research, Report on Chinese Cryptologic researchment. Beijing: Publishing House of Electronics Industry, 2009, 8: 1-31.

[2] Dodis Y, Reyzin L, and Smith A. Fuzzy extractors: How to generate strong keys from biometrics and other noisy data[C].Advances in Cryptology-EUROCRYPT 2004, Interlaken,Switzerland, 2004: 523-540.

[3] Burnett A, Duffy A, and Dowling T. A Biometric Identity Based Signature Scheme[Z]. http://eprint.iacr.org/2004/176.pdf.

[4] Sahai A and Waters B. Fuzzy identity-based encryption.Eurocrypt’05, Springer, 2005, LDCS, 3494: 457-473.

[5] Baek J, Susilo W, and Zhou J. New constructions of fuzzy identity-based encryption[C]. ASIACCS’07, Sydney: ACM,2007: 368-370.

[6] 劉曉東, 將亞麗, 李大興. 兩種基于生物特征信息的簽名方案[J]. 山東大學(xué)學(xué)報(bào)(理學(xué)版), 2007, 42(12): 24-28.Liu Xiao-dong, Jiang Ya-li, and Li Da-xing. Two biometric identities based signature schemes [J]. Journal of Shandong University(Natural Science), 2007, 42(12): 24-28.

[7] 田捷，楊鑫. 生物特征加密技術(shù)概述[J]. 中國(guó)自動(dòng)識(shí)別技術(shù)，2008, (2): 98-102; 2008, (3): 93-97; 2008, (4): 93-98.Tian Ji and Yang Xin. A Servey on Biometric Encryption[J].China Auto-ID, 2008, (2): 98-102; 2008, (3): 93-97; 2008, (4):93-98.

[8] Izabache M and Pointcheval D. New anonymity notion for identity-based encryption. SCN’08, Springer-Verlag, 2008,LNCS 5229: 375-391.

[9] Boneh D and Hanburg M. Generalized identity based and broadcast encryption schemes. Asiacrypt 2008, LNCS 5350:455-470.

[10] Jiang Wei-qiang, Huang Zheng-quan, and Yang Yi-xian, et al..ID-based authentication scheme combined with identitybased encryption with fingerprint hashing[J]. The Journal of China Posts and Telecommunications, 2008, 15(4): 75-80.

[11] 周亮，李大鵬，楊義先. 基于身份的無(wú)需可信任PKG的簽名方案[J]. 通信學(xué)報(bào)，2008, 29(6): 8-12.Zhou Liang, Li Da-peng, and Yang Yi-xian. ID-based signature without trusted PKG[J]. Journal of Communications, 2008, 29(6): 8-12.

[12] 趙學(xué)鋒，辛小龍. n-撓群上基于多重生物特征身份的簽名方案[J]. 計(jì)算機(jī)工程，2009, 35(14): 148-150.

[13] Cha J and Cheon J. An identity-based signature from Gap Diffie-Hellman groups. PKC 2003, Berlin: Springer-Verlag,2003, LNCS 2567: 18-30.