基于雙線性對的數(shù)字簽名的安全性研究.pdf

1、在信息技術(shù)日益發(fā)展的今天,我們享受著它給我們帶來高效率、高效益和高質(zhì)量的生活,與此同時也承受著它給我們帶來了前所未有的威脅!信息的數(shù)字化導致其很容易遭受竊聽、截取、修改、偽造、重放等來自各方的各種攻擊手段的攻擊.因此如何保證信息的保密性、完整性、可用性、可控性與可審查性成為信息安全的重要課題.為了實現(xiàn)信息的完整性保護根據(jù)不同的情況可以采用的方式有:使用密碼技術(shù)實施數(shù)字簽名、對信息進行完整性校驗、對用戶進行身份認證等.數(shù)字簽名技術(shù)是提供認

2、證性、完整性和不可否認性的重要技術(shù),其具有的這些特點使其在電子商務(wù)、電子政務(wù)等系統(tǒng)中起著重要作用.反之,這些系統(tǒng)的快速發(fā)展又有力推動著數(shù)字簽名的發(fā)展. 近十年來,橢圓曲線和超橢圓曲線上的雙線性配對函數(shù)得到了廣泛的關(guān)注,但是目前基于雙線性對的密碼系統(tǒng)還處于研究的階段.本文采用超奇異橢圓曲線上的Weil對或經(jīng)改造的 Tate 對來構(gòu)造雙線性對,因此其具有安全性高、密鑰長度短、計算速度快、生成簽名的長度短等有點.本文針對基于雙線性對的

3、數(shù)字簽名方案進行了較為深入的探討. 可證明安全性在最近幾年里作為一個熱點被廣泛地研究,它可以證明密碼算法設(shè)計的有效性.如果設(shè)計的密碼算法能被一些可證明安全性的參數(shù)形式所支持,那么它就被人們廣泛地認為是安全的.一個安全的密碼算法最終要依賴于N P問題,因此真正的安全性證明還遠遠不能達到.然而,各種安全模型和假設(shè)能夠讓我們來解釋所提出的新方案的安全性,根據(jù)證明的數(shù)學結(jié)果確認基本的設(shè)計是沒有錯誤的,因此對所有本文提出的簽名方案進行安全

4、性證明. 基于身份的密碼系統(tǒng)使得任意兩個用戶之間不需要交換公鑰證書而進行安全通信,不必保存公鑰證書列表,也不必使用在線的第三方,只需一個可信的密鑰發(fā)行中心為每個第一次接入系統(tǒng)的用戶發(fā)行一個私鑰.密鑰管理的方便使得基于身份的簽名方案得到相當廣泛的應(yīng)用.但是基于身份的密碼系統(tǒng)有其固有的缺陷,如密鑰托管等.密鑰托管問題會使得一個不誠實的PKG(Private Key Generator)偽造用戶的簽名,從而導致即使PKG是誠實的情況下

5、,用戶同樣會對自己的簽名進行抵賴.為了解決這一問題,本文采用雙線性對設(shè)計一個無可信PKG的基于身份的簽名方案.PKG在本文中并沒有被刪除,它依然必須為用戶生成私鑰,但是用戶可以控制自己的私鑰不被PKG知曉,因為生成的私鑰中包含用戶自己選擇的私鑰.如果不誠實的PKG冒充用戶對某個消息進行簽名,那么用戶可以提交一些自己掌握的信息證明PKG的不誠實行為.由于PKG不再作為一個可信方,本章給出的安全性證明將分為2種情況:PKG不參與的偽造和PK

6、G參與的偽造.安全性證明的結(jié)果表明在假設(shè)計算CDH(Computational Diffie-Hellman)問題是難解的前提下,本方案可以在適應(yīng)性選擇消息攻擊模式下可以抵御存在性偽造和ID攻擊. 盲簽名被廣泛的應(yīng)用于電子商務(wù)(e-commerce)等領(lǐng)域.盲簽名允許用戶取得關(guān)于某個消息的簽名,但是簽名者卻不知道所簽消息的內(nèi)容.Boldyreva提出一個盲簽名方案,并假設(shè)Chosen-Target CDH難解性的前提下證明了其方

7、案的抗偽造性.本文在分析Boldyreva的盲簽名方案存在著可聯(lián)系性(linkability)的基礎(chǔ)上,證明其方案不滿足盲特性.隨后本文提出一個基于雙線性對的盲簽名方案并給出安全性證明:在隨機預(yù)言機模型里,假設(shè)Chosen-Target Inverse CDH問題是難解的前提下,該方案可以抵御自適應(yīng)選擇消息攻擊模式下的one more forgerp,攻擊.和其他的同類盲簽名方案相比,該方案計算量更小,同時具有批驗證和短簽名的特點.本方

8、案的簽名可以達到在相同安全級別下簽名長度只有DSA簽名長度的一半,非常適合電子商務(wù)環(huán)境,如低帶寬通信、低存儲空間、低計算量等.批驗證可以非常方便的驗證一批簽名的有效性,大大提高工作效率,非常適合銀行等采用. 隨著傳感器和無線通信技術(shù)的發(fā)展,基于位置的服務(wù)(LBS,Location BasedServices)可以精確判定一個移動用戶或者設(shè)備所處的位置.由于廣泛的使用相對便宜的蜂窩電話或者其他移動通信設(shè)備,基于位置服務(wù)的提供者亂用

9、這些服務(wù)成為可能,因此在任何時間使用位置技術(shù)跟蹤一個移動用戶成為急需解決的問題.Qi提出個人控制位置隱私的方案(第三章參考文獻[30][31]),該方案采用RSA盲簽名方案.Oi的主要意圖是要消除一個合法移動用戶的真實身份和認證的匿名身份之間的聯(lián)系.第三方,甚至網(wǎng)絡(luò)的管理者都無法將某個用戶的匿名身份和某個用戶的真實身份之間聯(lián)系起來.在執(zhí)行完注冊協(xié)議之后,用戶憑認證匿名身份接入移動網(wǎng)絡(luò),網(wǎng)絡(luò)的管理者無法得知接入者的真實身份,從而無法推斷出

10、某個移動用戶的地理位置.但是本文在隨后關(guān)于注冊協(xié)議的分析中指出Qi的注冊協(xié)議并不能真正的刪除用戶的匿名身份和真實身份之間的聯(lián)系,這個缺陷同樣存在于Qi的重混淆協(xié)議中.本文設(shè)計了一個攻擊方案,可以有效的破解Qi的注冊協(xié)議.基于本文提出的基于雙線性配對的盲簽名方案,并在分析Qi的注冊協(xié)議和重混淆協(xié)議的基礎(chǔ)上,本文提出新的注冊協(xié)議和重混淆協(xié)議.在安全性分析中從密碼分析的角度證實本文提出的解決方案可以消除移動用戶的匿名身份和真實身份之間的聯(lián)系.

11、隨后本文證明所提盲簽名方案可以抵御非法者對認證匿名身份的偽造. 安全性證明的模型主要有兩種:隨機預(yù)言機模型和標準模型.近來很多研究者利用隨機預(yù)言機模型來證明簽名方案或者加密方案的安全性,但是在隨機預(yù)言機模型下可證安全的方案并不代表在標準模型下同樣也安全.隨機預(yù)言機是一個理想的計算模型,無法在實際中實現(xiàn).一般普遍采用hash函數(shù)代替隨機預(yù)言機,因此對在隨機預(yù)言機模型下可證安全的方案的攻擊可以轉(zhuǎn)化為對hash函數(shù)的攻擊.為此設(shè)計在標

12、準模型下可證安全的密碼方案是密碼學的更高的追求.本文提出一個標準模型下的基于雙線性對的盲簽名方案.基于q-SDH(Strong Diffie-Hellman)問題的難解性,本章在標準模型下給出精確的安全性證明.結(jié)論證明本方案在選擇消息攻擊模式下,可以抵御one more forgey攻擊,同時滿足標準的盲簽名方案的要求.與此前提出的簽名方案相比,我們的方案更具效率.以我們了解的情況看,本方案是第一個基于雙線性對的盲簽名方案在標準模型下是