徐清泉 史寶明 賀元香

摘 要： 基于身份的密碼系統(tǒng)簡(jiǎn)化了公鑰鑰證書(shū)的管理，目前基于身份的數(shù)字簽名已成為公鑰加密的的一個(gè)研究熱點(diǎn)，而安全性是構(gòu)建基于身份的數(shù)字簽名方案的重要因素。介紹了基于身份的數(shù)字簽名技術(shù)，并給出了方案模型和安全模型。應(yīng)用該模型可構(gòu)建安全而又高效的基于身份的數(shù)字簽名方案。

關(guān)鍵詞： 基于身份的數(shù)字簽名； 雙線性對(duì)； Diffie-Hellman問(wèn)題； 可證明安全

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2014）06-25-02

0 引言

數(shù)字簽名是社會(huì)信息化的必然產(chǎn)物。在傳統(tǒng)的現(xiàn)實(shí)社會(huì)里，政治、軍事、外交等領(lǐng)域的文件，命令、條約、商業(yè)契約，以及個(gè)人之間的書(shū)信等都需要手寫(xiě)簽名或加蓋印鑒，以便在法律上能認(rèn)證、核準(zhǔn)，生效。隨著社會(huì)的信息化發(fā)展，越來(lái)越多的文件信息需要以數(shù)據(jù)串的形式通過(guò)網(wǎng)絡(luò)快速傳遞，這些數(shù)據(jù)串的來(lái)源和完整性都需要認(rèn)證，而且這些認(rèn)證常常需要在以后的一段時(shí)期內(nèi)多次重復(fù)，這就需要手寫(xiě)簽名的電子替代物——數(shù)字簽名（digital signature）。一般來(lái)說(shuō)，網(wǎng)絡(luò)世界的真實(shí)性要比現(xiàn)實(shí)世界的真實(shí)性更難于保證。因此對(duì)數(shù)字簽名的需求就顯得更加迫切。

數(shù)字簽名技術(shù)是提供認(rèn)證性，完整性和不可否認(rèn)性的重要技術(shù)，因而是信息安全的核心技術(shù)之一。數(shù)字簽名具有認(rèn)證性、完整性和不可否認(rèn)性的特點(diǎn)，使其在電子商務(wù)和電子政務(wù)系統(tǒng)中起著重要作用，反過(guò)來(lái)，電子商務(wù)和電子政務(wù)系統(tǒng)的快速發(fā)展又有力推動(dòng)著數(shù)字簽名的發(fā)展。目前，數(shù)字簽名技術(shù)已開(kāi)始應(yīng)用于商業(yè)、金融和辦公自動(dòng)化等系統(tǒng)中，數(shù)字簽名同時(shí)作為一種密碼學(xué)原語(yǔ)，被廣泛用于設(shè)計(jì)電子支付、電子投標(biāo)、電子拍賣(mài)，電子彩票、電子投票等應(yīng)用協(xié)議，是安全電子商務(wù)和安全電子政務(wù)的關(guān)鍵技術(shù)之一。在這些具體環(huán)境的刺激下，具有特殊性質(zhì)的數(shù)字簽名，如盲簽名、門(mén)限簽名、基于身份簽名、環(huán)簽名、變色龍簽名等，逐漸發(fā)展成為應(yīng)用密碼學(xué)領(lǐng)域的重要分支。

1 基于身份的數(shù)字簽名技術(shù)的發(fā)展

Shamir提出了基于身份的密碼系統(tǒng)（ID. Based Cryptosystem）的概念[1]，并同時(shí)提出了基于身份的簽名（ID—Based Signature）。所謂基于身份的密碼系統(tǒng)，是指該密碼系統(tǒng)的公鑰是與其私鑰的持有人身份緊密相關(guān)的字符串，如電子郵件地址、姓名、職務(wù)等。一方面，在基于身份的密碼體制下，公鑰的認(rèn)證性問(wèn)題迎刃而解，從而不必要象PKI體制那樣花費(fèi)大量的時(shí)間來(lái)管理公鑰證書(shū)；另一方面，對(duì)于基于身份密碼體制下的用戶（如加密方，簽名驗(yàn)證方）而言，則不必要花費(fèi)額外的時(shí)間來(lái)驗(yàn)證公鑰證書(shū)的真?zhèn)?。在基于身份的密碼體制下，有一個(gè)稱(chēng)作PKG（Private Key Generator）的可信中心負(fù)責(zé)給每個(gè)用戶分發(fā)與其身份對(duì)應(yīng)的私鑰。雖然基于身份的密碼學(xué)具有非常多的優(yōu)勢(shì)，但是一直沒(méi)有得到全面的解決方案。

在2000年，Joux做出了其突破性的工作，在文獻(xiàn)[2]中第一次把本來(lái)用于密碼攻擊的雙線性對(duì)（Bilinear Pairing）成功地用于密碼系統(tǒng)構(gòu)造。在其影響下，Boneh和Franklin[3]首次將雙線性對(duì)應(yīng)用于基于身份加密系統(tǒng)的構(gòu)造，提出了第一個(gè)基于身份的加密系統(tǒng)。隨之，Cha和Cheon[4]利用雙線性對(duì)構(gòu)造了第一個(gè)可證明安全的基于身份的簽名方案。從而，基于身份的公鑰密碼體制在新的數(shù)論工具的刺激下獲得了完整的解決方案。此后，隨著越來(lái)越多的基于身份簽名方案的提出，Bellare，Namprempre，Gregory Neven[5]對(duì)以往的所有基于身份的數(shù)字簽名作了詳細(xì)的分析，提出了構(gòu)造可證明安全的基于身份的數(shù)字簽名方案的模塊化方法，并利用該范例構(gòu)造了一批新的基于身份的數(shù)字簽名方案。另外，大部分簽名類(lèi)型都可以做成基于身份的或基于雙線性對(duì)的版本，這形成了數(shù)字簽名的一個(gè)較大的研究方向。

2 相關(guān)的預(yù)備知識(shí)

2.1 雙線性對(duì)（Bilinear Pairing）

這里簡(jiǎn)要介紹雙線性配對(duì)的基本定義和它需滿足的性質(zhì)，更詳細(xì)的介紹請(qǐng)參考文獻(xiàn)[6]。令G、GT是兩個(gè)p階循環(huán)群，其中p為素?cái)?shù)，g是G的生成元。定義兩個(gè)群上的雙線性映射為e：G×G→GT，且滿足下面的性質(zhì)。

⑴ 雙線性性。e（ga，gb）=e（g，g）ab，對(duì)所有的a，b∈均成立。

⑵ 非退化性。e（g，g）≠，其中是GT的幺元。

⑶ 可計(jì)算性。存在有效算法來(lái)計(jì)算e。

可以注意到：e運(yùn)算是可交換的，因?yàn)閑（ga，gb）=e（g，g）ab=e（gb，ga）。

2.2 Diffie-Hellman問(wèn)題和假定

這里簡(jiǎn)要介紹方案證明中所使用的計(jì)算Diffie-Hellman問(wèn)題和假定，更詳細(xì)的介紹請(qǐng)參考文獻(xiàn)[6-7]。

定義1 CDH問(wèn)題。給定p階循環(huán)群G，其中p為素?cái)?shù)，g是G的生成元，則群G上的CDH問(wèn)題是：已知ga，gb∈G，其中a，b是從Zp隨機(jī)選擇的，計(jì)算gab。

定義2 （ε，t）-CDH假定。如果不存在任何一種概率多項(xiàng)式算法在時(shí)間t內(nèi)，以至少ε的概率解決群G上的CDH問(wèn)題，則稱(chēng)群G上的（ε，t）-CDH假定成立。

3 基于身份的簽名方案模型

基于身份的簽名方案由以下四個(gè)算法構(gòu)成。

⑴ 系統(tǒng)參數(shù)設(shè)置（Setup）。輸入一個(gè)安全參數(shù)，PKG（Private Key Generation）以此來(lái)產(chǎn)生它的系統(tǒng)參數(shù)params和主密鑰，然后PKG將系統(tǒng)參數(shù)params予以公開(kāi)，主密鑰保密。

⑵ 用戶密鑰的產(chǎn)生（Extract）。給定身份u，PKG利用系統(tǒng)參數(shù)params和主密鑰，產(chǎn)生身份u的密鑰du，且PKG能夠?yàn)樗杏脩舢a(chǎn)生密鑰，并通過(guò)安全信道發(fā)送給用戶。

⑶ 簽名（Sign）。用戶得到密鑰，先對(duì)密鑰驗(yàn)證，驗(yàn)證密鑰是否由PKG產(chǎn)生。若驗(yàn)證通過(guò)，則用戶利用其身份u、密鑰du、PKG的系統(tǒng)參數(shù)params來(lái)產(chǎn)生消息m的簽名σ。

⑷ 驗(yàn)證（Verify）。驗(yàn)證者利用PKG的系統(tǒng)參數(shù)params和用戶身份u對(duì)消息m的簽名σ驗(yàn)證。

4 基于身份的安全模型

基于身份簽名的安全模型是自適應(yīng)選擇消息攻擊下存在不可偽造性安全模型的一種自然擴(kuò)展。這個(gè)模型是通過(guò)挑戰(zhàn)者與攻擊者之間的攻擊游戲來(lái)進(jìn)行定義的[7]，攻擊游戲分為以下三個(gè)步驟：

⑴ 系統(tǒng)參數(shù)設(shè)置（Setup）。挑戰(zhàn)者（Challenger）運(yùn)行系統(tǒng)參數(shù)設(shè)置算法，得到系統(tǒng)參數(shù)params和主密鑰。攻擊者得到系統(tǒng)參數(shù)params，但不能獲取主密鑰，挑戰(zhàn)者（Challenger）保密主密鑰。

⑵ 詢(xún)問(wèn)（Queries）。攻擊者向挑戰(zhàn)者（Challenger）自適應(yīng)做一系列不同的詢(xún)問(wèn)，詢(xún)問(wèn)方式如下。

① 密鑰詢(xún)問(wèn)（ExtractQueries）。攻擊者能夠獲取任何身份u對(duì)應(yīng)的密鑰。挑戰(zhàn)者（Challenger）通過(guò)運(yùn)行Extract（params，u）來(lái)進(jìn)行響應(yīng)，并將du發(fā)送給攻擊者。

② 簽名詢(xún)問(wèn)（SignQueries）。攻擊者能夠獲取任意身份u對(duì)消息m的簽名。挑戰(zhàn)者（Challenger）首先通過(guò)運(yùn)行Extract（params，u）獲取身份u的私鑰du來(lái)進(jìn)行響應(yīng)，然后通過(guò)運(yùn)行Sign（params，du，u，m）來(lái)獲取簽名σ，并將其發(fā)送給攻擊者。

⑶ 偽造（Forgery）。攻擊者輸出消息m*、身份u*、簽名σ。

若以下三個(gè)條件成立，則攻擊成功。

① Verify（params，u*，m*，σ*）=accept；

② 攻擊者未對(duì)身份u*做密鑰詢(xún)問(wèn)；

③ 攻擊者未對(duì)（u*，m*）做簽名詢(xún)問(wèn)。

定義3 如果攻擊者A最多運(yùn)行t時(shí)間，最多做qE次密鑰詢(xún)問(wèn)和qs次簽名詢(xún)問(wèn)，以不小于ε的概率贏得上述游戲，則稱(chēng)攻擊者A是基于身份簽名方案的（ε，t，qE，qs）偽造者。如果在基于身份的簽名方案中不存在（ε，t，qE，qs）偽造者，則稱(chēng)方案是（ε，t，qE，qs）安全的。

5 結(jié)束語(yǔ)

數(shù)字簽名技術(shù)在目前的電子商務(wù)系統(tǒng)、電子政務(wù)系統(tǒng)中應(yīng)用非常廣泛，高效而又安全的數(shù)字簽名方案極為重要，本文對(duì)目前的研究熱點(diǎn)——在標(biāo)準(zhǔn)模型下可證明安全的基于身份的數(shù)字簽名方案進(jìn)行研究，給出了基于身份的數(shù)字簽名方案研究所需的數(shù)學(xué)模型以及可證明性安全模型，實(shí)際應(yīng)用中能夠據(jù)此構(gòu)建安全而又高效的數(shù)字簽名方案。

參考文獻(xiàn)：

[1] Shamir A.Identity-based cryptosystems and signature schemes[C]//

Proceedings of the CRYPTO'1984， Santa Barbara， CA，1984：47-53

[2] A.Joux，A one-round protocol for tripartite Diffie-Hellman.

Algorithm Number Theory Symposium-ANTS IV，LNCS 1838，Springer-Verlag，Berlin，2000：385-394

[3] D.Boneh，M.Franklin.1dentity-based encryption from the Weil

pairing.Advances in Cryptology-Crypto'01，LNCS 2139.Berlin：Springer-Verlag，2001：213-229

[4] J.C.Cha， J.H.Cheon. An identity-based signature from gap

Diffie-Hellman groups. In Y Desmedt， editor， Public Key Cryptography-PKC 2003， LNCS 2567，Berlin：Springer-Verlag，2003：18-30

[5] Mihir Bellare，Chanathip Namprempre，Gregory Neven. Security

Proofs For Identity-based Identification And Signature Schemes. Extended abstract in Advances in Cryptology-Asiacrypt.

[6] WatersB. Efficient identity-based encryption without random

oracles//Cramer R ed.EUROCRYPT'2005.LNCS

[7] Paterson K G，Schuldt J C N.Efficient identity-based signatures

secire on the stamdard model// Proceedings of the ACISP'2006.LNCS 4058.Springer-Verlag，2006：207-222