2012年5月 计算机工程与设计 Mav 2O12 第33卷第5期 COMPUTER ENGINEERING AND DESIGN VoL 33 No.5 基于身份的可验证门限数字签名方案 李 曦,王晓明,程娜 (西华大学数学与计算机学院,四川成都61O039) 摘要:在分析现有门限签名和可验证秘密共享的基础上,提出了一种基于身份的可验证秘密共享方法。并针对目前基于 离散对数和椭圆曲线的门限签名系统安全性不高、且实现效率低、难以应用到拥有大规模成员的系统中的问题,利用基于 身份的可验证秘密共享方法,提出了一种基于身份的可验证门限签名方案。该签名方案充分考虑了门限签名的实现效率, 避免了复杂计算,并能有效抵抗密钥恢复攻击、方程攻击、合谋攻击、假冒攻击等常见的攻击。 关键词:公钥密码;基于身份的密码体制;门限数字签名;可验证秘密共享;双线性配对 中图法分类号:TP309 文献标识号:A 文章编号:1000—7024(2012)05—1742—04 Secure threshold verifiable signature scheme based on identity LI Xi,WANG Xiao-ming,CHENG Na (School of Mathematics and Computer Engineering,Xihua University,Chengdu 610039,China) Abstract:After analyzing the present threshold signature schemes and verifiable secret sharing(VSS)methods,an identity based on VSS method is proposed.According to those problem that most of present threshold signature schemes based on dis— crete logarithm and elliptic curve difficult tO apply tO the system with large-scale members because of low efficiency and security, a new identity-based threshold verifiable signature scheme using VSS is.proposed.The new scheme avoids the complex mathe— matical computations and is more efficient.The scheme is proved to be effective against some common attacks such as key recovery attacks,equation attacks,collusion attacks,impersonation attacks and SO on. Key words:public cryptography;identity-based cryptography;threshold signature;VSS;bilinear pairings 0引 言 种门限签名,组成员各自选择私钥并协商产生公钥。文献 E63主要针对在门限签名中如何安全的进行秘密共享以及 门限签名采用秘密共享的方法来实现。当各个成员出 分布式产生密钥等问题,采用分布式密钥产生协议提出了 示子密钥后用一定的方法可以恢复出签名密钥,而其它成 双线性配对门限签名方案。随后,文献ET]在文献[6] 员无法从计算上恢复出该密钥。密钥共享协议将秘密信息 的基础上,提出了一种基于身份的无密钥托管门限签名方 进行分散管理,极大的减小了成员受到攻击而导致秘密信 案,由多个签名成员分布式产生部分签名,然后集中产生 息泄露的概率,减少了持有秘密信息的成员的责任,同时 完整签名。上述门限签名方案在性能方面未作充分考虑, 还降低了攻击者破译秘密信息的成功率¨1]。 无论签名产生、还是签名校验,都需要大量计算,很难应 学者们对门限数字签名进行了不断的深入研究,使之 用到具有大规模成员的系统中。文献E8]提出一种基于身 得到发展和应用。文献E2]提出了一种分布式门限签名方 份的门限签名方案,但该方案没有考虑秘密共享的可 案,其中包括基于离散对数提出分布式密钥生成、校验、 验证性。 更新协议,但该方案无法抵抗合谋攻击和内部伪造攻击E 。 本文在基于身份的密码体制基础上提出了一种可验证 基于秘密共享协议,文献E33通过改进文献E43中的离 (t,n)门限签名方案,该方案满足可验证秘密共享的要 散对数门限签名方案,利用重构哈希码进行签名校验,使 求:每个成员即可以对密钥分发者及所分发的子密钥进行 之能够抵抗上述攻击。文献Es]基于Elgamal系统提出一 验证,同时任意构造完整门限签名的成员也可以对每个成 收稿日期:2011-05—06;修订日期:2011-07—25 基金项目:l ̄Jl[省教育厅青年基金项目(10ZB082);西华大学校重点科研基金项目(Z1022615);四Jil省计算机软件与理论重点学科基金 项目(SZD0802—09—1) 作者简介:李曦(1981一),女,湖北应城人,博士,讲师,研究方向为网络与信息安全;王晓明(1977一),男,四川简阳人,博士,讲 师,研究方向为人工智能与模式识别;程娜(1982一),女,四川双流人,博士,讲师,研究方向为泛函分析。E-mail:lixil3@gmail.coin 第33卷第5期 李曦,王晓明,程娜:基于身份的可验证门限数字签名方案 Q —H1( D)为成员P9的公钥。Pf,收到s 的值后, 验证式(3)是否成立 员的子密钥进行验证。此外,列举了本方案抵抗以下几 种常见的攻击的情况:密钥恢复攻击、方程攻击、合谋 攻击、假冒攻击。本方案在保证安全性的前提下,极大的 降低了门限签名的计算量,提高了签名生成、签名校验 的效率。 8(P,s毒 )一P(P ,Q。) .(3) 若式(3)成立,则成员P ,的私钥即为s ;否则, 成员P.向KGC返回错误信息。密钥分发之后,KGC不再 1基于身份的可验证(t, )门限数字签名方案 定义1(双线性配对)G1、G2分别为 阶加法群、乘 参与方案的密码过程。 验证成员私钥的式(3)证明如下 e(P,s )一e(P,f(ij)QD) 法群, 为大素数,P是G 的一个生成元。双线性对e: G1×G1一G2满足条件: (1)双线性性:V P ,Pz,P,Q1,Q,Q∈G1,有 e(P1+P2,Q)一e(P1,Q)e(P2,Q) e(P,Q1+Q)一e(P,Q1)e(P,Q2) Va,bEZ ,V P,Q∈G1,有 e(口P,bQ)一e(P,Q) e(一P,Q)一e(P,~Q)一e(P,Q)_1 (2)非退化性:j P,Q∈G1,满足e(P,Q)≠1, 其中1为G2的单位元。 (3)可计算性:对于VP,Q∈Gl,存在高效的算法能 计算出e(P,Q)。 1.1系统建立 设E是定义在有限域 上的椭圆曲线,密钥生成中心 KGC(key generation center)在E(F0)中选择一个加法 群G1和一个乘法群G2,阶均为大素数,z,其中P为G 的 生成元。令e:Gl×Gl—G2为一个双线性配对。 KGC随机选择一个组数a0,&1,a2….,aH∈ , 计算P脚=a。P。建立£一1次多项式方程 厂(z)一(以o+口1z+口2Iz。+…+吼一1z )modq 对于 一1,2….,n,1≤£≤ ,1≤ ≤ ,设A表示多 个发送者的集合,其中A一{P1,P2….,P )。B∈A是 发送者集合中的一个签名组成员集合,其中B一{P Pf2,…P )。KGC计算P 一f(ii)P,并向成员p,广 播,其中ID为成员组的公开身份码。每个P,.成员收到广 播信息后验证式(1)是否成立。 ∑L P ’一 (1) =1 式中:L ——拉格朗日系数。若式(1)不成立,则成员 P拒绝来自KGC的消息,并返回错误信息。 1.2密钥生成和分发 令组成员 的系统私钥为f(O)一ao,组成员P 的 系统公钥则为 —f(O)P—a。P。KGC选择两个公开的 单向抗强碰撞Hash函数:H :{0,1) 一G】和H2:{0, 1) 一Z0。KGC作为可信任的分发者,计算成员私钥 s 一f( )QID (2) 并通过安全的通道分发给每个组成员P,,其中, 一e(f(ij)P,QD)一P(P ,Q皿) 上述参数如表1所示。 表1本方案中的参数 1.3部分签名生成 设签名成员组B一{Pi ,P …Pi,)中是参与数字签名 的t个成员。每个签名成员P (1≤ ≤£)随机的选取k ∈ ,并计算 和rJ的值,其中 M|一kiP幽 rj=kiYi 每个签名成员Pt通过安全的通道,向其他(£一1)个 签名成员发送( , )。当签名成员P .收到所有其他成 员发送来的( ,rJ)后,计算 “一∑ (4) J=i r一∑ (5) J 1 一H2(“,r, (6) 一L。(P + ’)modq (7) 签名成员Pf对消息M产生的部分数字签名为 一 ( , )。 1.4完整门限签名生成 签名组B一{P P …P )中任意一个成员均可以 构造完整的门限签名。这名构造完整门限签名的成员收到 所有签名成员的部分签名后,首先验证每个部分签名的有 效性 8( ,P)一e(P+hQ ̄D,P ) , (8) 若式(8)成立,则 一( , )作为成员P. 的有 效签名被接受。设所有成员的部分签名均被验证有效,则 构造完整门限签名的成员计算 “一∑ ; 一∑ 一(“, )即为消息M的完整门限数字签名。 计算机工程与设计 1.5门限签名校验 2012往 未知的参数数量也成倍数增加;未知参数的数量总是远远 大于攻击者所获得的有效方程的数量,因此本方案能抵抗 方程恢复攻击。 (9) 接收者收到 一( , )后,对门限数字签名进行校 验,验证式是否成立 e( ,P)一e(P+^QD,P脚) 2.3合谋攻击 其中,h=H (M, )。若式(9)成立,则门限数字签名 正确,否则门限数字签名不正确。 验证部分签名的式(8)证明如下 B集合中任意不大于(t一1)名的成员合谋,试图通 过重构多项式f(z)来获取系统密钥f(o)和其他成员的 私钥s 是困难的。根据拉格朗日插值多项式定理,若已 知t个或更多签名成员的秘密参数厂(ID),那么(t一1) 次多项式f(z)则由下式唯一确定 g( ,P)一e(Lij(P + s≥ ),P) 一e(L,p (ij),P)t(L , s≥ ,P) 一e(Lijf(IDij)P,P)e(Li ̄hf(IDij)Q皿,P) 一e(L ̄iP,f(IDii)P)e(LijhQm,f(ID ̄j)P) 一g(L,P,P )e(L hQ∞,P ’) 一 )一 ̄s(IV , X-1Ellk 因此不大于(t一1)名的成员合谋无法重构多项式, (z),故而无法得到系统密钥和其他成员的私钥。该方案能 抵抗合谋攻击。 2.4假冒攻击 (L。P+L_hQ。,P (ij )一8(P+hQm,P ’) 。 验证门限签名的式(9)证明如下 一∑ 一∑(L ,(P + ≥’)) J一1 J一1 假冒攻击可能有以下3种情形: (1)攻击者试图假冒某签名成员P.。即使攻击者截 获了其他签名成员发送给P,的消息,从中获取了 和r 值,其中1≤点≤ ,是≠ ,但由于签名成员P 。的私钥s 未知,因此攻击者无法通过方程(7)生成P.的签名( , r,)。故攻击者假冒某签名成员PI 是不可行的。 (2)攻击者试图通过选择性明文消息M,伪造一个满 足方程(9)的有效门限签名(“, )。要构造一个满足方 一L。P +E L ̄jhS(I 一P脚+ 皿 Litf(IDi ̄) J一1 P(zJ,P)一 (P + ∞∑L5f(6),P) 一g(P ,P)e( m∑L ,厂( ),P) J一1 一P(P ,P)P(hQ肋,∑Liif(i )P) J=l 程(9)的有效门限签名,攻击者随机选择“和r,需要找 到一个使方程(9)的成立的 ,是困难的;或者攻击者随 —e(PM,P) (hQfD,∑L P2 ) J—l —P(Pp.b,P)P(五QD,P )一 (P+ QⅢ,P ) 机选择U和 ,需要找到一个使方程(9)的成立的r,同 样是困难的。因为若采用上述方法,攻击者面临破解单向 Hash函数问题(虽然已有方法在一定条件下破解Hash函 数,但本方案基于随机预言模型,假设Hash函数无法破 2安全性分析 2.1密钥-l荻复攻击 攻击者试图通过某签名成员的m 及其公钥Q毋,获 解)。故攻击者伪造门限签名(“, )是不可行的。 (3)攻击者试图利用两个有效的门限签名来获取系统 取该成员的私钥s 是困难的。因为系统多项式-厂(z)是 秘密的,攻击者无法通过式(2)得到签名成员的私钥。同 密钥f(O)。若攻击者已知系统密钥f(O),那么攻击者能 够伪造任意消息的门限签名。令(蚴,V )和(“。, )是 分别是对应消息M 和M2的两个有效签名。此时,攻击者 需要获得上述两个门限签名中的n和r2两个参数的值 一理,攻击者试图通过签名组的公钥 恢复出系统私钥厂 (O)是困难的。 2.2方程攻击 攻击者试图通过某签名成员产生的部分签名v,,由方 程(7)得到该成员的私钥s 是困难的。若给定一个消 息M,以及某签名成员对此消息的部分签名v,,攻击者无 法从方程(7)计算获得私钥s ,因为方程(7)还有两 L P +H2( M1)・∑ s modq LzP 4-Hz(U2 ̄t"2 )’ s m。dq 一由上述两个式子得到方程 f1 个参数未知: 一Hz(“,r,M)中的“和r。攻击者虽然 可以获得某个已攻破签名成员的“ 和r,值,但无法获得其 他所有签名成员的 和 值,其中1≤愚≤t,忌≠ 。由式 (4)和式(5)知,攻击者无法获得参数U和r的值,因此 研一 一H (“ ,n,M)・∑L s ’+ f2 H (U2 ̄r2 M2)‘ s (1O) 攻击者无法计算出成员的私钥s 。而且,随着攻击者用 来破解私钥的消息和部分签名数量的增加,那么攻击者所 方程(10)中有4个未知参数:r 、r2、参与消息M1 签名的所有成员的私钥s (1≤ ≤ )、参与消息 签 第33卷第5期 名的所有成员的私钥5 李曦,王晓明,程娜:基于身份的可验证门限数字签名方案 (1≤ ≤f2),求解方程(1o)是 的运算。本文所提方案在部分签名产生、部分签名校验、 门限签名产生、门限签名校验4个阶段均避免了幂指 数运算。 (3)在门限签名产生阶段,在保证安全性的基础上, 困难的。而且,随着攻击者用来破解密钥的消息和签名数 量的增加,攻击者所未知的参数数量也成倍数增加;未知 参数的数量总是远远大于攻击者所获得的有效方程的数量。 故攻击者利用有效门限签名来获取系统密钥是不可行的。 本文所提方案仅用加法产生门限签名,避免了计算量很大 将这种情况扩展,容易证明本方案能抵抗明文攻击。 综上所述,本方案能抵抗假冒攻击。 3性能分析 本方案中签名所涉及的主要运算包括:幂指数、乘法、 求逆、哈希、异或、加法、取模、配对。由于哈希、异或、 加法、取模这3种运算的运算速度比其他运算的速度快得 多,因此,在作性能比较时,元素的上述运算均忽略不计, 仅考虑幂指数、乘法、配对、求逆4种计算量较大的运算。 本文所提出的门限签名方案将分别与文献[6]、文献[9]、 文献[1O]、文献[11]、文献E12]中所提出的几种典型 的门限签名方案进行比较,如表2所示。其中,P表示配 对运算;Exp表示幂指数运算;Mul表示乘法运算;Inv表 ㈣ ㈣咖9 8 7 6示求逆运算;rt表示成员总数;t表示 个成员中的门 限个数。 表2门限签名方案性能比较 本文所提出的基于身份的可验证(t,”)门限数字签 名方案在性能上有以下优点: (1)在一个( , )门限数字签名方案中,要在t个成 员中分布式的产生部分签名,这个一个比较耗时的过程。 而在所有的运算当中,双线性配对运算是最耗费计算资源 和计算时间的。本文所提方案避免了在每个签名成员产生 部分签名这个阶段的配对运算,大大减少了签名成员的 计算量。 (2)在有限域中,幂指数运算也是一个耗时、耗资源 的幂指数、乘法、配对、求逆计算。 (4)在保证安全性的基础上,无论在门限签名的每个 阶段中,还是在签名总计算量上,本文尽量减少复杂运算、 提高签名效率来设计门限签名方案。 与其它几种典型的门限签名方案相比,本文所提方案 的门限签名总计算量随着门限成员数t的增加优势越明显, 如图1所示。本文以国际通常约定的换算标准,将其它运 算换算成乘法运算来衡量总计算量l_1 。 蜮 ㈣ 5 4 划 3 2 咖0 门限成员数t 二妻禁 一文献[9]—文献】=妻藤[ 1 。1j 二紊嬖 1一本文 图1 门限签名总计算量比较 在上述的性能分析中,若采用预计算,将与被签名消 息无关的数据预先计算,则可以进一步提高签名效率。 4结束语 本文提出了一种基于身份的可验证门限(t, )签名 方案,该方案满足可验证秘密共享的要求,既能对密钥分 发者及所分发的子密钥进行验证,同时也能对每个成员的 子密钥进行验证。在保证安全性的基础上,所提方案避免 了在每个签名成员产生部分签名这个阶段的配对运算,大 大减少了签名成员的计算量;在部分签名产生、部分签名 校验、门限签名产生、门限签名校验4个阶段均避免了幂 指数运算;仅用加法产生门限签名,避免了计算量很大的 幂指数、乘法、配对、求逆计算;无论在门限签名的每个 阶段中,还是在签名总计算量上,设计时尽量减少复杂运 算。通过理论及数据分析,本文所提出的方案与其它几种 典型的门限签名方案相比,性能更优。 参考文献: [1]HARN L,LIN C.Authenticated group key transfer protocol based on secret sharing[J].IEEE Transactions on Computers, 2010,59(6):842-846. (下转第1856页) ・ 1856 ・ 计算机系统,2009,30(8):1663—1667.] 计算机工程与设计 2012正 付青,等.一种改进的人工鱼群算法[J].计算机工程, 2008,34(1o):192—194.J [7]Qu LD,HE DX.Novel artificial fish-school algorithm based on chaos search[I3.Computer Engineering and Applications, 2010,46(22):40—42(in Chinese).[曲良东,何登旭.一种 混沌人工鱼群优化算法[J].计算机工程与应用,2010,46 [u]FAN YJ,WANG DD,SUN MM.Improved artificial fish- school algorithm口].Journal of Chongqing Normal Universi— ty(Natural Science Edition),2007,24(3):23—26(in Chi— (22):40—42.] E8]WANG MW,TAO HL,XIONG XY.A Collaborative filte— ring recommendation algorithm based on iterative bidirectional nese). [范玉军,王冬冬,孙明明.改进的人工鱼群算法 _J].重庆师范大学学报(自然科版),2007,24(3): 23—26.] Be]LI DY,DU Y.Artificial intelligence with uncertainty[M]. Chapman&Hall/CRC Taylor&Francis Group,2008. clustering[J].Journal of Chinese Information Processing, 2008,22(4):61—74(in Chinese).[王明文,陶红亮,熊小 勇.双向聚类迭代的协同过滤推荐算法[J].中文信息学报, 2008,22(4):61—74.J E13]Lee J S,Jun C H,Lee J,et a1.Classiifcation-based collabo— rative filtering using market basket data_J].Expert Systems with Applications,2005,29(3):700—704. E9]WANG HY,ZHANG YG.An improved artificial fish-swarIn algorithm of solving clustering analysis problem[J].Computer Technology and Development,2010,20(3):84—91(in Chi— [14]Papagelis M,Plexousakis n Qualitative analysis of user based and item-based prediction algorithms for recommendation nest).[王会颖,章义刚.求解聚类问题的改进人工鱼群算法 [J].计算机技术与发展,2010,2O(3):84—91.] E1o]wANG LG,HONG Yi,ZHAO FQ,et a1.Improved Artifi— agents[J].Engineering Applications of Artificial Intelli— gence,2005,18(7):781—789. [15]Min S H,Han I.Dynamic fuzzy clustering for recommender cial Fish Swarm Algorithm[J].Computer Engineering, 2008,34(10):192—194(in Chinese).[王联国,洪毅,赵 systems[c].Proceedings of Advances in Knowledge Discovery and Data Mining,2005:480 485. (上接第1745页) [2]Merve J V,Dawoud D S,McDonald S A fully distributed proac— tively secure threshold-multisignature scheme[J].IEEE Transac— tions on Parallel and Distributd Systems,2007,18(4):47—51.e [8]ZHOU Hong,LI Xi.A secure identity-based threshold signature scheme from Tate pairing,international conference on advanced Info colnnl tchnoleogy[C].NewYork:ACM,2008:1-5. [9]CHENG X,LIU J,WANG X.An identity-based signature and its threshold version rC].International Conference on Ad— vanced Information Networking and Applications.Taiwan: IEEE Computer Society,2005:973—977. [3]Joshi S D,Ganesh Mante.Discrete logarithm based(t,n) threshold group signature scheme[J].International Journal of Computer Applications,2011,21(2):23—27. [4]Li F,Yu J,Ju H_A new threshold group signature scheme based on discrete logarithm problem[C].International onference on SofCtware Engineering,Artificia1 Intelligence, [1O]LIU Jenshiuh,HUANG Shaonong.Identity-based threshold proxy signature from bilinear pairings[J].Informatica, 2010,21(1):41—56. Networking and Parallel/Distributed Computing. Qingdao: IEEE Computer ociSety,2007:1176—1182. [11]LI F,Yu Y|An efficient and provably secure ID-based [5]Camenisch J,Groth J.Group signatures:Better efficiency and new theoretical aspects[C].Security in Communication Net— works.Berlin:Springer-Verlag,2005:120—133. threshold Signcryption scheme[c].International Conference on Communications,Circuits and Systems.Xiamen:IEEE omputer SCociety,2008:488 492. [6]Back J,Zheng Y.Identity-based threshold signature scheme from the bilinear pairings[C].International Conference on In formation Technology:Coding and Computing. Berlin: Springer-Verlag,2004:124 128. [12]PIING Huaxi,FENG Dengguo.A forward sec ̄e threshold signa— ture schemefrombilinearmirig LnJ].Journal ofComputerResearch andDevdopment,2007,44(4):574-580(in Chinese). [彭华 熹,冯登国.一个基于双线性映射的前向安全门限签名方案 [7]Chen X,Zhang F,Konidala D,et a1.New ID-based threshold signature scheme from bilinear pairings[Cj.Progress in Cryp— tology.Berlin:Springer-Verlag,2005:371—383. 口].计算机研究与发展,2007,44(4):574—580.] [13]SMART Nige1.Cryptography:An introduction(3rd ed) [EB/OL].http://hdI.handle.net/123456789/78,2011.