论文研究-一个高效的基于证书数字签名方案.pdf

所需积分/C币:5 2019-09-11 03:33:28 528KB .PDF

基于证书公钥密码学是Gentry在Eurocrypt 2003上首次提出的,它克服了传统公钥系统中存在的证书管理问题和基于身份公钥系统中存在的密钥托管问题。基于计算性Diffie-Hellman假设,构造一个Shnorr型的高效的基于证书数字签名方案,并在随机预言机模型(Random Oracle Model)下证明其安全性。该方案在签名算法中不需要任何双线性对运算,在签名验证算法中只需要一个双线性对运算,在效率上优于已有的基于证书数字签名方案。
王雯娟,黄振杰,郝艳华:一个高效的基于证书数字签名方案 2011,47(6 证明若σ=(h,)是由签名算法产生的对消息m对应于否有(D,*,*)∈UK-list,若(ID,*,*)∈UK-ist,则6用 身份DA和公钥PKA的签名,那么可以很容易地计算得到 (1D,PK1,⊥)替换已有记录;否则,6向UK-list增加记录 h=H2(mlle(P, v)(e(pkc, Pe(PK, Pd) (D,PK1,⊥) H, (mle(P scP,+s, P)(e(Pkc, P )e(PK,pd))= (6)Sg询间:当A1输入请求(D,PKm,m)时,B1先判 2(mK(K,P1)(PK,P1)(e(PKe,P)(PKPD)=断D是否已经创建,如果没有,则6不做任何操作。否则 H,(m(e(PKc, Pe(PK,, P))=H2(mlU)=h B1按如下方式应答 引理1对于上述的基于证书签名方案,在随机预言机模 ①PD=PD*时,随机选择h∈Z。,V∈G1,令U= 型下,如果一个概率多项式时间的攻击者A1能够赢得博弈c(p,D)e(PKc,PD)(PKm,P),检查h和(m)是否在H2-ft Gamel,那么存在概率多项式时间的攻击者B1能解G1上的中出现,如果均未出现,则输出(m,U,h,V),并将(m,U)h加 CDH问题。 入H2-list;否则,重新选值和计算。 证明假设A1是第一类攻击者,(P,aP,bP)是CDH问题 2)当PD≠PⅠD*时,随机选取r,h∈Z。,计算U= 的一个随机实例,ID*是假定的目标ID,构造如下的61,它可 (e(PKC,P1(PKm,Pm),F=(r-h)(mPKc+smP)。检香 以利用A1计算出abP。首先,B1令PKC=aP,PID*=PKC‖ h和(mU)是否在H2-lt中出现,如果均未出现,则输出 PKID ID* (m,U,h,V),将(m,U),h加入H2-list;否则,重新选值和计算。 下面B开始模拟预言机服务,记为 CserKey Gen,H1,H2 下面来证眀,B在不知道私钥的情况下模拟出来的签名 CertGen, ReP lace PublicKey,sgns61要维护UK-lst(1D,与用签名算法得到的签名是不可区分的,首先,考虑下面两个 PKD,s)列表米保存用户的身份mD和公私钥对,H1-list(/ 分布(其中∈,表示随机选择): m,y1n,Pm,Pm)列表来保存Hash函数H1的值,Cert-lis(D (1)当PD=PD*时: Cer)列表来保存用户的身份ID和相应的公钥证书Cert h∈R2V∈RG1 H2-list(OmU).列表来保存Hash函数H2的值。在下面的 ={(U,h,V) U=e(P, (e(pkc, Pp)e(PKIp. P D)) 证明过程中*表示通配符,⊥表示值为空。 (1) UserKey Gen询问:当A1询问ID的公私钥对时,B1 r,h∈n乙 先检查是否有(D,*,*)∈UK-list s=0,h, v)U=(e(PKc, PD)e(PK p, PiDr ①若存在,则6返回(Pkm,S)给A1; V-(-h)s ②否则,61随机选取SD∈z满足(*,*,SD)UK-ist, 假设(X,t,Y是个有效签名,其中X=G2t∈乙,Y∈G 令D=P返回(PKm,sm)给A1,并把(D,PKm,sD记满足x=e(P,Y)e(PE,PK1D)(PKm,P1),那么有下面的概 录到UK-list中,这时称ID已被创建 率关系: (2)Ⅳ1询问:A1会提出两种类型的I1询问。种是对 Pr(U, h, r)=(X,t,rl= PD= PK,PK1DD的询问,PK1是请求认证的公钥,ID是用 X=e(P, v(e(pkc, Pkp)e(Pn, PD)) rv=h 1 户的身份信息;另一种是对(PKpD)的询问。当A1提出询 问时,B1先查询H1-lst中是否已经存在询问的值,存在则直 Pr(,h)=(X,1,= 接返回给A1。否则B1根据不同类型的询问计算如卜 (e(Pkc, pip)et PID=H(PiD)= bP(PID=PID) xDP(PD≠PID) Y=(r-h)s PID=H(PKIDIID)=VIDP (2)当PD≠PD*时: 其中 xn,yDE H-ist是在Z。中随机选择的,计算结束后将 r,h∈Z 值存入H1-list中。 s=0U,h, vlU=(e(PKc, P)e(PKI, PD) (3)H2询问:当A1询问任意(ml)对应的H2的值时,B1 V=(r-hw PK+sPn) 先耷询H2-list看mU)是否被询问过,如果询问过则返回相 r,h∈nz 应的值h,否则随机选择h∈Z。且hH2-list,返回h给A (U, h, V)U=(e(PKc, PiD)e(PK D, PID) 并将(m,U),h存入H2-list (4) CertGen询问:当A1询问用户ID对应公钥的证书 很显然,上述两个分布是相同的。 时,B查询Cert-list中是否存在相应的值,如存在则返回给 因此,上面模拟出来的签名与用签名算法得到的签名是 1。否则B1查询UK-lit列表看ID是否被创建,如已经不可区分的。所以由分叉引理可知,B1可以在时间 创建比较是否有PD=PID*,如果不等,则令Cerm=xbP,将7s1206860T/内生成两个有效签名(PD米,m,U,h,V)和 结果保存到cert-list中。如果PD≠PID*,6拒绝。 (PⅠD*,m,U,h,)满足h≠h,其中Q表示A1可询问随机预 (5) ReplacePublicKey询问:当A1发送(D,PK)给61言机的次数,R表示A1可询问签名的次数,得U=(P 表示A向B请求用PKD替换用户ID的公钥时,B1检查是)e(PKC,P1D)e(PK1nPm)=e(P,p)e(PKc,Pl(PKm,Pm) 2011,47(6) Computer Engineering and Applications计算机工程与应用 可以计算出V-V=(h-h)(abP+ SIp yp. P),最后B1得到的。目前,对基于证书数字签名的研究还不够深入,对具有附 abP=(-)(h-h)- SD VID* P。 加性质的基于证书数字签名的研究还较少,今后可以沿着这 引理2对于上述的基于证书签名方案,在随机预言机模个方向作进一步的研究。 型下,如果一个概率多项式时的攻击者A2能够赢得博弈 Game2,那么存在概率多项式时间的攻击者B2够解G1上的参考文献: CDH问题。 [1 Gentry C Certificate-based encryption and the certificate revoca 证明引理2的证明思路同引理1类似,假设A42是第二 tion problem[C]//Biham E LNCS 2656: Cryptology-Eurocrypt 类攻击者,(P,aP,bP)是CDH问题的一个随机实例,Ace是 2003.[S1. ] Springer-Verlag, 2003: 272-293 个诚实的用户,A2知道Alic的公钥PK和身份ID4,最 [2] Yum D H, Lcc P J. Identity-bascd cryptography in public kcy management[C]/LNCS 3093: EuroPKI 2004[S 1. ] Springer, 2004 后A2要伪造一个 Alice的签名。构造B2用于模拟预言机服 务回答2的询问,A2可伪造一个有效签名,最后B2可借助 [3 Galindo D, Morillo P, Rafols C Breaking Yum and Lee generic 2用分叉引理计算得到abP=(-V)h-h)-x,PKc,解G1上 constructions of cerlilicate-less and certilicate-based encryption 的CDH问题(具体证明过程略)。 schemes[ C]/NCs 4043 EuroPKI 2006[S..]: Springer, 2006: 81-91 定理2上述基丁证书数字签名方案在适应性选择消息,14 Dodis y, Katz J Chosen-Ciphertext security of multiple encryp- 选择身份以及替换公钥攻击下是存在不可伪造的。 tion[C]LNCS 3378: Theory of Cryptography Conference, TCC 证明证明直接由引理1,引理2可得。 2005.[S: Springer,2005:188-209 定理3上述基于证书数字签名方案是安全的 [5] Al-riyami S, Paterson K GCBE from CL-PKE: A generic con- 证明证明直接由定理1,定理2可得。 truction and cfficicnt schcmc[C//LNCS 3386: Public Kcy Cryp tography, PKC 2005.S1.: Springer, 2005: 398-415 6效率分析 [6 Kang B G, Park J H. It is possible to have CBe from CL-PKE? Report2005/431[r/ol].2005.http://eprint.iacr.org 将簽名方案和已有可证明安全的基于证书答名方案进行 [7] Galindo D, Morillo P, Rafols C Improved cerlificale-based en 比较,M表示G1上的标量乘,SM表示G1或G2上形如aP+bQ cryption in the standard model[J]. The Journal of Systems and 的同时标量乘,P表示“对”运算,E表示指数运算。 Software,2008,81:1218-1226 表13个基于证书签名方案比较 [8 Kang B G, Park J II, Ilahn S GA certificate-based signature 签名算法验证算法签名长度 scheme[CI/LNCS 2964: Ct-RSA04[. I ] Springer, 2004: 99-111 本文方案 1E+IM 1P+1E G1×Z [9 Li J, Huang X, Mu Y, et al. Certificate-based signature Security 文献[8]方案3 GaZa modcl and efficient construction[C]/LNCS 4582: EuroPKI'07 文献[9]方案1M+2SM3P [S: Springer,2007:110-125 从表1可以看到本文的签名方案无论是计算效率还是签 [10] Au M, Liu J, Susilo W, et al. Certificate based (linkable) ring 名的长度都优于已有的可证明安全的基于证书签名方案 signature[CV/LNCS 4464: ISPEC'07[S1. ] Springer, 2007: 79-92 [11] Liu K, Baek J, Susilo W, el al. Cerlificate-based signature schemeswithoutpairingsorrandomOraclesleb/ol].http:// 7结语 基于CDH假设,提出一个更为合理的Shom型基于证书12] Pointcheval d, Stem JSecurity arguments for digital signatures 签名方案,在随机预言机模型下可证明安全。通过效率比较, and blind signatures[J] Journal of Cryptology, 2000, 13(3) 该方案在现有可证明安全的基于证书签名方案中是最高效 361-369 (上接77页) 与应用,2003,39(36):147-149 种通过设定传输时延可信域的方法将影响计算同步误差[2]刘继承,谭丽,陈娟,等NTP在多媒体通信中的应用门现代计算 的不对等时延突变的信息包进行滤除的方法。通过仿真实验 机,2008,295:93-95 可以看出,进行优化后的改进型NTP协议可以有效滤除时延[3]王晓华,张磊,田畅.一种改进型NTP协议设计与仿真[计算机工 突变信息包,保留绝大多数正常时延信息包,这样对于提高同 程与应用,2007,43(29):116-118 步误差的精度和稳定同步误差变化过程都起到很好的作用 [4]愈小兵,网络性能测量技术及其性能指标的统计分析门硫磷设计 与粉体工程,20071):42-45 参考文献: [5]盛骤,谢世千,潘承毅概率论与数理统计[M北京:高等教育出版 「]宋妍,朱爽基于NTP的网络时间服务系统的研究[计算机工程 社,2002

...展开详情
img
  • 至尊王者

    成功上传501个资源即可获取

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐