徐清泉 史宝明 贺元香

摘 要： 基于身份的密码系统简化了公钥钥证书的管理，目前基于身份的数字签名已成为公钥加密的的一个研究热点，而安全性是构建基于身份的数字签名方案的重要因素。介绍了基于身份的数字签名技术，并给出了方案模型和安全模型。应用该模型可构建安全而又高效的基于身份的数字签名方案。

关键词： 基于身份的数字签名； 双线性对； Diffie-Hellman问题； 可证明安全

中图分类号：TP393 文献标志码：A 文章编号：1006-8228（2014）06-25-02

0 引言

数字签名是社会信息化的必然产物。在传统的现实社会里，政治、军事、外交等领域的文件，命令、条约、商业契约，以及个人之间的书信等都需要手写签名或加盖印鉴，以便在法律上能认证、核准，生效。随着社会的信息化发展，越来越多的文件信息需要以数据串的形式通过网络快速传递，这些数据串的来源和完整性都需要认证，而且这些认证常常需要在以后的一段时期内多次重复，这就需要手写签名的电子替代物——数字签名（digital signature）。一般来说，网络世界的真实性要比现实世界的真实性更难于保证。因此对数字签名的需求就显得更加迫切。

数字签名技术是提供认证性，完整性和不可否认性的重要技术，因而是信息安全的核心技术之一。数字签名具有认证性、完整性和不可否认性的特点，使其在电子商务和电子政务系统中起着重要作用，反过来，电子商务和电子政务系统的快速发展又有力推动着数字签名的发展。目前，数字签名技术已开始应用于商业、金融和办公自动化等系统中，数字签名同时作为一种密码学原语，被广泛用于设计电子支付、电子投标、电子拍卖，电子彩票、电子投票等应用协议，是安全电子商务和安全电子政务的关键技术之一。在这些具体环境的刺激下，具有特殊性质的数字签名，如盲签名、门限签名、基于身份签名、环签名、变色龙签名等，逐渐发展成为应用密码学领域的重要分支。

1 基于身份的数字签名技术的发展

Shamir提出了基于身份的密码系统（ID. Based Cryptosystem）的概念[1]，并同时提出了基于身份的签名（ID—Based Signature）。所谓基于身份的密码系统，是指该密码系统的公钥是与其私钥的持有人身份紧密相关的字符串，如电子邮件地址、姓名、职务等。一方面，在基于身份的密码体制下，公钥的认证性问题迎刃而解，从而不必要象PKI体制那样花费大量的时间来管理公钥证书；另一方面，对于基于身份密码体制下的用户（如加密方，签名验证方）而言，则不必要花费额外的时间来验证公钥证书的真伪。在基于身份的密码体制下，有一个称作PKG（Private Key Generator）的可信中心负责给每个用户分发与其身份对应的私钥。虽然基于身份的密码学具有非常多的优势，但是一直没有得到全面的解决方案。

在2000年，Joux做出了其突破性的工作，在文献[2]中第一次把本来用于密码攻击的双线性对（Bilinear Pairing）成功地用于密码系统构造。在其影响下，Boneh和Franklin[3]首次将双线性对应用于基于身份加密系统的构造，提出了第一个基于身份的加密系统。随之，Cha和Cheon[4]利用双线性对构造了第一个可证明安全的基于身份的签名方案。从而，基于身份的公钥密码体制在新的数论工具的刺激下获得了完整的解决方案。此后，随着越来越多的基于身份签名方案的提出，Bellare，Namprempre，Gregory Neven[5]对以往的所有基于身份的数字签名作了详细的分析，提出了构造可证明安全的基于身份的数字签名方案的模块化方法，并利用该范例构造了一批新的基于身份的数字签名方案。另外，大部分签名类型都可以做成基于身份的或基于双线性对的版本，这形成了数字签名的一个较大的研究方向。

2 相关的预备知识

2.1 双线性对（Bilinear Pairing）

这里简要介绍双线性配对的基本定义和它需满足的性质，更详细的介绍请参考文献[6]。令G、GT是两个p阶循环群，其中p为素数，g是G的生成元。定义两个群上的双线性映射为e：G×G→GT，且满足下面的性质。

⑴ 双线性性。e（ga，gb）=e（g，g）ab，对所有的a，b∈均成立。

⑵ 非退化性。e（g，g）≠，其中是GT的幺元。

⑶ 可计算性。存在有效算法来计算e。

可以注意到：e运算是可交换的，因为e（ga，gb）=e（g，g）ab=e（gb，ga）。

2.2 Diffie-Hellman问题和假定

这里简要介绍方案证明中所使用的计算Diffie-Hellman问题和假定，更详细的介绍请参考文献[6-7]。

定义1 CDH问题。给定p阶循环群G，其中p为素数，g是G的生成元，则群G上的CDH问题是：已知ga，gb∈G，其中a，b是从Zp随机选择的，计算gab。

定义2 （ε，t）-CDH假定。如果不存在任何一种概率多项式算法在时间t内，以至少ε的概率解决群G上的CDH问题，则称群G上的（ε，t）-CDH假定成立。

3 基于身份的签名方案模型

基于身份的签名方案由以下四个算法构成。

⑴ 系统参数设置（Setup）。输入一个安全参数，PKG（Private Key Generation）以此来产生它的系统参数params和主密钥，然后PKG将系统参数params予以公开，主密钥保密。

⑵ 用户密钥的产生（Extract）。给定身份u，PKG利用系统参数params和主密钥，产生身份u的密钥du，且PKG能够为所有用户产生密钥，并通过安全信道发送给用户。

⑶ 签名（Sign）。用户得到密钥，先对密钥验证，验证密钥是否由PKG产生。若验证通过，则用户利用其身份u、密钥du、PKG的系统参数params来产生消息m的签名σ。

⑷ 验证（Verify）。验证者利用PKG的系统参数params和用户身份u对消息m的签名σ验证。

4 基于身份的安全模型

基于身份签名的安全模型是自适应选择消息攻击下存在不可伪造性安全模型的一种自然扩展。这个模型是通过挑战者与攻击者之间的攻击游戏来进行定义的[7]，攻击游戏分为以下三个步骤：

⑴ 系统参数设置（Setup）。挑战者（Challenger）运行系统参数设置算法，得到系统参数params和主密钥。攻击者得到系统参数params，但不能获取主密钥，挑战者（Challenger）保密主密钥。

⑵ 询问（Queries）。攻击者向挑战者（Challenger）自适应做一系列不同的询问，询问方式如下。

① 密钥询问（ExtractQueries）。攻击者能够获取任何身份u对应的密钥。挑战者（Challenger）通过运行Extract（params，u）来进行响应，并将du发送给攻击者。

② 签名询问（SignQueries）。攻击者能够获取任意身份u对消息m的签名。挑战者（Challenger）首先通过运行Extract（params，u）获取身份u的私钥du来进行响应，然后通过运行Sign（params，du，u，m）来获取签名σ，并将其发送给攻击者。

⑶ 伪造（Forgery）。攻击者输出消息m*、身份u*、签名σ。

若以下三个条件成立，则攻击成功。

① Verify（params，u*，m*，σ*）=accept；

② 攻击者未对身份u*做密钥询问；

③ 攻击者未对（u*，m*）做签名询问。

定义3 如果攻击者A最多运行t时间，最多做qE次密钥询问和qs次签名询问，以不小于ε的概率赢得上述游戏，则称攻击者A是基于身份签名方案的（ε，t，qE，qs）伪造者。如果在基于身份的签名方案中不存在（ε，t，qE，qs）伪造者，则称方案是（ε，t，qE，qs）安全的。

5 结束语

数字签名技术在目前的电子商务系统、电子政务系统中应用非常广泛，高效而又安全的数字签名方案极为重要，本文对目前的研究热点——在标准模型下可证明安全的基于身份的数字签名方案进行研究，给出了基于身份的数字签名方案研究所需的数学模型以及可证明性安全模型，实际应用中能够据此构建安全而又高效的数字签名方案。

参考文献：

[1] Shamir A.Identity-based cryptosystems and signature schemes[C]//

Proceedings of the CRYPTO'1984， Santa Barbara， CA，1984：47-53

[2] A.Joux，A one-round protocol for tripartite Diffie-Hellman.

Algorithm Number Theory Symposium-ANTS IV，LNCS 1838，Springer-Verlag，Berlin，2000：385-394

[3] D.Boneh，M.Franklin.1dentity-based encryption from the Weil

pairing.Advances in Cryptology-Crypto'01，LNCS 2139.Berlin：Springer-Verlag，2001：213-229

[4] J.C.Cha， J.H.Cheon. An identity-based signature from gap

Diffie-Hellman groups. In Y Desmedt， editor， Public Key Cryptography-PKC 2003， LNCS 2567，Berlin：Springer-Verlag，2003：18-30

[5] Mihir Bellare，Chanathip Namprempre，Gregory Neven. Security

Proofs For Identity-based Identification And Signature Schemes. Extended abstract in Advances in Cryptology-Asiacrypt.

[6] WatersB. Efficient identity-based encryption without random

oracles//Cramer R ed.EUROCRYPT'2005.LNCS

[7] Paterson K G，Schuldt J C N.Efficient identity-based signatures

secire on the stamdard model// Proceedings of the ACISP'2006.LNCS 4058.Springer-Verlag，2006：207-222