标准模型下可证安全的基于身份的高效签名方案.doc

标准模型下可证安全的基于身份的高效签名方案( 李继国，姜平进 (河海大学计算机及信息工程学院,南京210098) 摘 要：基于身份的公钥密码体制克服了传统公钥密码体制所带来的公钥证书存储和管理开销问题；大多数基于身份的数字签名方案的安全性是基于随机预言模型进行证明，但随机预言机的实现方式可能会导致方案的不安全，如哈希函数，往往返回的结果并不是随机的。本文提出一种高效的基于身份的签名方案，并且在标准模型下证明方案自适应选择消息攻击是存在不可伪造的CDH困难假定。与现有的标准模型下安全的基于身份的签名方案相比，方案的通信代价更小，执行效率更高。 关键词: 基于身份的签名；双线性对；标准模型；CDH-问题；选择消息攻击 中图法分类号: TP309 引言 1984年，Shamir提出基于身份的公钥密码体制[1]，在这种体制中，Shamir建议使用能标识用户身份的信息为公钥，比如名字、IP地址或者Email地址。基于身份密码体制的主要优势在于它减轻了用户对公钥证书的需要和依赖。2001年，Boneh和Franklin利用Weil配对技术(Weil pairing)提出了第一个安全、实用的基于身份的加密方案[2]，自从那之后，基于身份的密码体制引起了国内外众多学者的广泛关注并得到迅速发展，提出了大量的基于身份的加密和签名方案[3,4,5,6,7,8,9,10]，这些方案都是在随机预言模型(Random Oracle Model)下被证明是安全的。随机预言模型作为一种理想化的计算模型，是由Bellare和Rogaway于1993年提出的[11]。在这个模型中，任何具体的对象例如哈希函数，都被当作随机对象。它允许人们规约参数到相应的计算，哈希函数被作为一个随机预言返回值，对每一个新的询问，将得到一个随机的应答。但在具体的数字签名方案中，因为使用的哈希函数是具体的，对于询问的应答结果不一定是随机的，这就有可能导致方案的不安全[12,13,14]。而另一方面不需要随机预言模型(Without Random Oracle Model)的证明，即在标准模型(Standard Model)下的证明能够清楚地表明除非其所基于的困难问题被破解，否则一个可证安全的密码方案不可能被攻破。因此如果我们在方案的安全证明过程中不依赖理想化的随机预言模型，那么该方案的安全性证明将能够提供更充分的保障[15]。因此设计在标准模型下可证安全的基于身份的数字签名方案是本文研究工作的动机之一。 近年来，基于标准模型下的安全性证明受到广泛关注。2004年，Boneh和Boyen构造了两种在标准模型下证明安全的基于身份的加密方案[16]，第一个构造是基于经典的双线性Diffie-Hellman (Bilinear Diffie-Hellman) 假定，第二个构造是基于非标准的双线性Diffie-Hellman求逆(Bilinear Diffie-Hellman Inversion)假定。方案安全性证明中所使用的攻击模型是选择身份攻击模型，比Boneh和Franklin方案[2]证明中所用的攻击模型弱。后来他们又提出一种新的方案[17]，在Boneh和Franklin方案中的攻击模型下，证明了方案的安全性，但是方案的运行效率不高，他们也提出一个公开问题：基于判定双线性Diffie-Hellman (Decision Bilinear Diffie-Hellman) 假定或同等标准假定，设计标准模型下安全、高效的基于身份的加密体制。因此，研究标准模型下安全的基于身份的高效密码体制是当前需要迫切解决的问题，这也是本文研究工作的另外一个动机。2005年，Waters首次创造性地提出了标准模型下安全的基于身份的高效加密方案[18]，并且方案的安全性可规约为判定双线性Diffie-Hellman假定，从而很好地解决了Boneh和Boyen提出的公开问题[17]，同时他也指出该方法可用来构造标准模型下安全、高效的基于身份的签名方案，方案的安全性可规约为计算Diffie-Hellman假定。2006年，Paterson和Schuldt基于Waters方案[18]，提出一个标准模型下安全、高效的基于身份的签名方案[19]。由此可见，Waters方法已经成为当前构造标准模型下安全的密码协议的主流技术之一。 使用Waters方法，在Paterson和Schuldt方案(简记为PS方案) [19]的基础上，在不改变攻击模型和困难问题假设的前提下加以改进，提出一个新的标准模型下安全、高效的基于身份的签名方案。方案的安全性可规约为计算Diffie-Hellman假定。方案的通信代价与PS方案相当，方案的签名算法计算量与PS方案，方案的验证算法计算量减小了三分之一。 本文第2节介绍了相关的