【文章內(nèi)容簡介】 339。H 并 再次 利用 IA 的 能 力，它 可以 得到 另一 個偽 造 5 * * * *( , 39。 ( 39。, 39。) , , )M h V I D P? ? 。 從而 C 得 到 了 兩 個 有 效 的 偽 造 ，并且 它 們 滿 足* 0( , ) ( ( , ) ( , ) ) hR e V P e U P e Q P ?? 與 *39。039。, ) ( ( , ) ( , ) ) hR V P e U P e Q P ?? 。其中 **2 ( , )U H ID P P???， 并以 **( , , , )ID P U? 的形式 存在于 2listH 中 ， *1 ()Q H ID bP??。 這樣就 有 * * 39。00( , ) ( ( , ) ( , ) ) ( 39。, ) ( ( , ) ( , ) )hhe V P e U P e Q P e V P e U P e Q P???。 因此， C 可以計算出 CDH 問題的解 1 *( 39。) ( 39。) abP h h V V P?? 。 定理 2： 在隨機預(yù)言模型下，若群 G1中的 CDH 問題是困難的，那么我們的無證書簽名方案對于第二 類攻擊者是安全的。 證明：假設(shè) C 是一個 CDH 困難問題的解決者，其困難問題的輸入為 ( , )aPbP ， 他 的目 標(biāo) 是計算 abP 。假設(shè) IIA 是第二類攻擊者，他 能攻破我們的簽名方案。 以下 我們看 C 如何利用 IIA 來解決 CDH 問題。 首先， C 選擇 系統(tǒng)主密鑰 *qsZ? ，計算 0P sP? ，選擇 系統(tǒng)參數(shù) params = { e, G1, G2, P, P0, H1, H2, H3}。然后 C 將系統(tǒng)參數(shù) 與主密鑰 給 IIA 。這里我們將哈希函數(shù) 23,HH看成隨機預(yù)言機。并且為了簡單起見，我們假設(shè)以下 IIA 的詢問都是不同的。 公鑰 詢問： C 維護(hù)一個列表 listK ，其每一項的格式為 ( , , )IDID x P 。這個列表被初始化 為 一個空表。假設(shè) IIA最多能做 Kq 次公鑰詢問， C 在 [1, Kq ]中隨機選取一個值 J 。 當(dāng) C 接收到 IIA 的一個關(guān)于身份為 iID 的用戶的公鑰詢問時， C 首先檢索 listK 。若 l i st K 中有一項 ( , , )i i iID x P ，則 C 返回 iP 作為回答。否則，若 iJID ID? ，C 隨機選擇 *iqxZ? ，設(shè)置 iiP xP? ； 而當(dāng) iJID ID? 時， 設(shè)置 ix?? ， iP aP? 。最后， C 返回 iP 作為回答并將 ( , , )i i iID x P 加入到 listK 。 2H 詢問： C 維護(hù)一個列表 2listH ，其格式為 ( , , , )IDID P U? 。 該 列表起初是空的。當(dāng) C 收到 IIA 對 2( , )iiH ID P的詢問 時 ， C 首先判定 iID 是否等于 JID 。若 iJID ID? ， C 隨機選擇 *iqZ?? ，計算 iiUP?? ；否則設(shè)置i??? ， iU bP? 。最后 C 將 ( , , , )i i i iID P U? 加入到 2listH 并將 iU 返回給 IIA 。 3H 詢問： C 維護(hù)一個列表 3listH ，其格式為 ( , , , , )IDM ID R P h。這個列表被初始化 為 一個空表。當(dāng) IIA 詢問 3 ( , , , )i i i iH M ID R P時 ， C 隨機選擇 *iqhZ? ，將 ( , , , , )i i i i iM ID R P h加入到 3listH 并將 ih 返回給 IIA 。 秘密值 詢問：當(dāng) C 接收到 IIA 的關(guān)于身份為 iID 的 用戶的 秘密值 詢問時，若 iJID ID? ， C 終止 。否則， C首先生成該用戶的公鑰，然后 檢索 listK 找到 ( , , )i i iID x P 。若 ix ?? ，表明關(guān)于身份 iID 的公鑰已經(jīng)被替換，因此 C 無法正確回答 IIA 的 秘密值 詢問， C 返回 ? ；否則 C 返回 ix 。 公鑰替換 詢問： 當(dāng) C 接收到 IIA 的一個關(guān)于身份為 iID 的用戶的公鑰替換詢問 39。( , )iiIDP 時， 若 iJID ID? ，C 終止，否則， C 檢索 listK 找到 ( , , )i i iID x P 并設(shè)置 39。,i i ix P P?? ? 。 簽名 詢問 ： 當(dāng) IIA 向 C 請求身份為 iID ，公鑰為 iP 的用戶對消息 iM 在的簽名時 ， C 按照如下步驟回答該詢問： 隨機選擇 * 1,i q ih Z V G??。 計算 0( , ) ( ( , ) ( , ) ) ihi i i i iR e V P e U P e Q P ?? ， 其中 21( , ) , ( )i i i i iU H I D P Q H I D??。 設(shè)置 3 ( , , , )i i i iH M ID R P= ih 。 返回 ( , )iihV 最后， IIA 輸出一個偽造 * * * *( , ( , ) , , )M h V I D P? ? 。若 * JID ID? ， C 終止。否則，根據(jù) Forking Lemma，C 選擇不同的 Hash 函數(shù) 339。H 并再次利用 IIA 的能力，它可以 得到另一個偽造 * * * *( , 39。 ( 39。, 39。) , , )M h V I D P? ? 。 6 從而 C 得 到 了 兩 個 有 效 的 偽 造 ， 并且 它 們 滿 足 * 0( , ) ( ( , ) ( , ) ) hR e V P e U P e Q P ?? 與*39。0( 39。, ) ( ( , ) ( , ) ) hR e V P e U P e Q P ?? 。 其中 * aP? ， **2 ( , )U H ID P bP??， 并以 **( , , , )ID P bP? 的形式存在于 2listH 中。 于是就有等式 * * 39。00( , ) ( ( , ) ( , ) ) ( 39。, ) ( ( , ) ( , ) )hhe V P e U P e Q P e V P e U P e Q P???。 由 我們設(shè)置 可 知 ， 39。( 39。, ) ( ( , ) ( , ) ) ( ( , ) ( , ) )hhe V V P e b P a P e Q sP e b P a P e Q sP???? 因此 ， C 可以計算 出 CDH 問題的解 1( 39。) ( 39。) abP h h V V sQ? 。 5. 效率分析及應(yīng)用 在計算和通信效率方面， 我們將 用本文的方法所構(gòu)造 的方案與一些 目前能在 [11]中 模型下 證明 是 安全的方案 ，以及 幾個效率比較高，但是安全性未能有效證明的方案進(jìn)行比較。我們用 P 表示一個雙線 性 對 運算， S 表示群 G1 中的 標(biāo)量乘運 算， E 表示群 G2 中的 冪 運 算 ， H 表示一個 哈希到群 G1 的 運 算。 用 P1 表示G1 中的 一個 點的長度，用 P2 表示 G2 中的 一個 點的長度，用 Z1表示 *qZ 中的 一個 點的長度 。 比較結(jié)果如下表所示 表 1 方案 簽名 驗證 （預(yù)計算） 簽名長度 公鑰長度 安全性 [7]中方案 1 2S 2P,2S,1H(2P,2S) 2P1 1P1 未知 [7]中方案 2 1S,1E 1P,2S,1E(1P,1E) 1P1, 1P2 1P1 未知 [10]中方案 3S,2H 4P,3H(3P,2H) 2P1 1P1 安全 [14] 中方案 1 1S,1H 3P,1H(2P,1H) 1P1 1P1 未知 [14] 中方案 2 3S,1E 2P,2S,1E,1H(1P,2S,1E) 2Z1,1P1 1P1 安全 [15]中方案 1S,2E 1P,1S,2E(1P,2E) 2Z1,1P1 1P2 安全 我們的方案 2S， 1E 3P， 1H（ 1P， 1E） 1Z1,1P1 1P1 安全 從 表 1 中 可以看出，在簽名階段我們的方案未涉及到雙線性對計算，并且在效率上 與其它方案 相差無幾。在驗證階段， 當(dāng)不考慮預(yù)計算 時我們的方案比 [10]中方案效率高 一點 ， 而與 [14]中方案 1 效率 基本相同。與 [7,15] 中方案及 [14]中方案 2 相比雖然效率略低，但 我們 方案 的簽名 長度是 [14]中方案 2 及 [15]中方案的 2/3，與 [7]中方案比我們的簽名方案有較高的安全級別 。當(dāng)考慮預(yù) 計算時 ， 本文簽名方案 的驗證算法比[10,14,15] 中 方案 及 [7