抗合謀攻擊的聚合簽名方案設(shè)計與分析.pdf

1、在當(dāng)代密碼學(xué)中，數(shù)字簽名被用于證明一個消息或文件的真實性。在很多應(yīng)用中，需要涉及大量的數(shù)字簽名的傳輸與驗證問題。聚合簽名技術(shù)是一種用于將多個單獨的數(shù)字簽名聚合成為一個單獨的聚合簽名的方法。通過使用聚合簽名，系統(tǒng)中傳輸大量消息、簽名對的通信代價可以大大降低。因此，聚合簽名是一種提高這些系統(tǒng)使用效率的有力工具。就聚合簽名方案的安全性而言，一個聚合簽名的有效性應(yīng)當(dāng)保證用于聚合的所有單獨簽名的有效性。這樣，驗證聚合簽名的驗證人才有理由相信每個用

2、戶確實對相應(yīng)的消息做了簽名。然而，目前很多的聚合簽名方案并不能滿足這樣的安全性要求。
　　在本論文中，我們主要研究基于身份聚合簽名(Identity-based AggregateSignature，IBAS)和無證書聚合簽名（Certificateless Aggregate Signature，CLAS）方案。在基于身份背景下，我們首先以一個具體的基于身份聚合簽名方案為例，說明原有方案的安全性缺陷。該方案潛在的安全隱患在于系統(tǒng)

3、中的用戶有可能偽造出無效的但是可以聚合成有效聚合簽名的單獨簽名。在前面的方案中，沒有考慮這種類型的攻擊，攻擊者的能力也被限制不能發(fā)起這種攻擊。因此，我們重新定義了基于身份聚合簽名方案的安全模型并且給出一個新的構(gòu)造。在我們的方案中，產(chǎn)生聚合簽名的聚合算法使用了哈希函數(shù)來保證聚合簽名有效當(dāng)且僅當(dāng)每個單獨簽名都有效。與以往方案不同的是，聚合者在進(jìn)行簽名的聚合操作時，需要輸入單獨簽名和聚合簽名驗證者的公鑰。聚合簽名的不可偽造性是通過哈希函數(shù)的抗

4、碰撞性保證的。此外，基于一些經(jīng)典的困難問題假設(shè)，即計算Diffie-Hellman(computational Diffie-Hellman，CDH)假設(shè)和聚合算法用到的哈希函數(shù)是抗碰撞的，我們證明新的方案滿足重新定義的安全模型下的安全性要求。該方案的另一個優(yōu)點是:系統(tǒng)中用戶在進(jìn)行簽名前不需要共同協(xié)商統(tǒng)一的隨機信息或者同步一個時鐘，即每個用戶的簽名工作可以是獨立完成的。
　　在無證書背景下，我們首先分析了最近由Cheng等人提出的

5、構(gòu)造。在他們的方案中，所基于的無證書數(shù)字簽名方案(Certificateless Signature，CLS)存在一個缺陷使得它并不能抵抗惡意KGC(Key Generation Center)攻擊。我們對方案做了一些改進(jìn)使之滿足無證書數(shù)字簽名的安全模型。隨后，我們對無證書聚合簽名的概念和安全模型做了進(jìn)一步的研究和探討。與基于身份的體制類似，我們認(rèn)為無證書聚合簽名方案的聚合算法也應(yīng)該要保證聚合簽名的有效性與每個用于聚合的單獨簽名的有效性

6、是等價的。鑒于此，我們證明以往的無證書聚合簽名方案中沒有考慮到不同用戶之間合謀的情況，也不能滿足該安全性要求。因此，我們重新定義了無證書聚合簽名方案的安全模型。在新的安全模型中，攻擊者允許獲得所有簽名用戶的私鑰，攻擊者的目標(biāo)是偽造出可以聚合成有效聚合簽名的無效單獨簽名?；谝陨辖Y(jié)果，我們構(gòu)造了新的無證書聚合簽名方案以及該方案安全性的證明。我們改進(jìn)了計算聚合簽名的聚合算法，在新的算法中使用了哈希函數(shù)。聚合者必須輸入單獨簽名和實現(xiàn)選定的聚合

7、簽名驗證人的公鑰來產(chǎn)生聚合簽名，并且產(chǎn)生有效聚合簽名的唯一方法就是通過所有的有效的單獨簽名。
　　在基于身份和無證書公鑰密碼體制下，我們新提出的聚合簽名方案都是抗合謀攻擊的，即攻擊者不能偽造出可以聚合成為有效聚合簽名的無效的單獨簽名，即使攻擊者掌握所有簽名用戶的私鑰。與傳統(tǒng)方式將所有單獨簽名——傳輸與驗證相比，我們新的方案中聚合簽名的長度幾乎是單獨簽名長度的一半，并且驗證聚合簽名的計算代價也比驗證單獨簽名的代價低。具體而言，假設(shè)聚