隋曉芹, 劉培順

(中國(guó)海洋大學(xué) 信息科學(xué)與工程學(xué)院, 青島 266000)

安全高效的移動(dòng)終端數(shù)字簽名方案①

隋曉芹, 劉培順

(中國(guó)海洋大學(xué) 信息科學(xué)與工程學(xué)院, 青島 266000)

終端數(shù)字簽名技術(shù)是保證終端應(yīng)用安全的重要手段, 由于移動(dòng)終端上使用的計(jì)算資源有限和安全限制,移動(dòng)終端不能保證私鑰的安全. 本文在身份門限簽名的數(shù)字簽名技術(shù)的基礎(chǔ)上, 將移動(dòng)終端與簽名服務(wù)器相結(jié)合, 設(shè)計(jì)出一種安全高效的解決方案. 該方案將密鑰分發(fā)成2部分, 其中1份存儲(chǔ)在簽名服務(wù)器上, 另外1份分發(fā)給移動(dòng)終端, 簽名需要這兩部分合作完成簽名. 通過基于身份的門限簽名技術(shù), 有效實(shí)現(xiàn)移動(dòng)終端在私鑰不能保證安全的情況下的安全數(shù)字簽名.

移動(dòng)終端; 數(shù)字簽名; 門限簽名; 基于身份的密碼

1 引言

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展, 智能移動(dòng)終端在電子商務(wù), 移動(dòng)辦公中的應(yīng)用越來越廣泛. 移動(dòng)終端一般是通過無線方式與其他設(shè)備進(jìn)行交互. 目前針對(duì)移動(dòng)終端的攻擊越來越多, 許多惡意應(yīng)用能夠竊取用戶存儲(chǔ)在終端上的私有數(shù)據(jù), 攻擊終端與服務(wù)器的通信. 在移動(dòng)辦公中, 必須保證電子公文的真實(shí)性、完整性和不可抵賴性. 在文獻(xiàn)[1]中, 為了保證數(shù)字簽名過程中私鑰的安全, 采用 USB 密碼鑰匙(USB key)作為客戶端裝置來存儲(chǔ)私鑰. 但使用USB 密碼鑰匙需要主機(jī)擁有 USB 接口, 雖然目前出現(xiàn)了帶有藍(lán)牙接口或音頻接口的USB 密碼鑰匙, 但上述設(shè)備仍存在如下缺點(diǎn): 由于藍(lán)牙協(xié)議的開放性, 無法保證藍(lán)牙 USB密碼鑰匙設(shè)備與主機(jī)通訊的安全性; 帶音頻接口的USB 密碼鑰匙設(shè)備, 無法解決不同移動(dòng)終端間音頻接口的兼容性問題.

1984年, 基于身份的密碼體制[2]第一次被Shamir提出, 即將用戶的私人信息作為身份識(shí)別標(biāo)識(shí), 來加強(qiáng)對(duì)密鑰的管理. 隨后, 不同基于身份的安全模型被相繼提出, 如文獻(xiàn)[3]中, Hess F等人提出了基于身份的雙線性對(duì)加密方案, 采用雙線性對(duì)技術(shù), 但存在計(jì)算上的復(fù)雜性. 文獻(xiàn)[4～7]中分別是對(duì)基于身份的門限簽名方案的優(yōu)化及證明, 其中文獻(xiàn)[7]中對(duì)公鑰的產(chǎn)生方式雖然通過所參與簽名的成員身份來定, 而共享密鑰是系統(tǒng)的主密鑰保存在PKG上, 這樣只有PKG知道完整的共享密鑰, 在設(shè)計(jì)上存在不完整性. 本文在基于身份門限簽名的基礎(chǔ)上進(jìn)行改進(jìn), 提出了可以應(yīng)用到移動(dòng)終端上的一種更加高效安全的數(shù)字簽名方案.

本方案的主要方法是通過將移動(dòng)終端與簽名服務(wù)器相結(jié)合, 密鑰分發(fā)成m份, 其中1份作為主要部分密鑰存儲(chǔ)在簽名服務(wù)器上, 另外m-1份分發(fā)給用戶所持有的不同移動(dòng)終端. 有效簽名, 則必須由簽名服務(wù)器與用戶所持有的任一移動(dòng)終端上的密鑰結(jié)合生成;在生成簽名時(shí), 簽名服務(wù)器首先通過身份口令驗(yàn)證用戶終端傳來的密鑰是否為PKG分發(fā)給用戶的部分私鑰, 驗(yàn)證成功后再與之結(jié)合生成門限簽名. 這樣即使攻擊者獲取了移動(dòng)終端上的部分密鑰, 也無法通過簽名服務(wù)器上的驗(yàn)證, 從而無法獲得完整的密鑰, 保證了移動(dòng)終端上數(shù)字簽名的安全.

2 基于身份的門限簽名方案

鑒于移動(dòng)終端自身的一些局限性, 用戶私鑰保存在移動(dòng)終端上并不能保證足夠的安全性, 本文提出了一種基于身份門限簽名的數(shù)字簽名方案, 不僅能夠保證信息來源的正確性和完整性, 更能在移動(dòng)終端上簽名私鑰不能保證安全的情況下實(shí)現(xiàn)安全的數(shù)字簽名.圖1描述了該方案的基本實(shí)現(xiàn)過程. 由圖可看出門限簽名的基本過程主要包括在簽名方進(jìn)行: 系統(tǒng)參數(shù)建立、PKG產(chǎn)生密鑰并分發(fā)、驗(yàn)證及生成門限簽名(驗(yàn)證終端部分密鑰的有效性); 在驗(yàn)證方進(jìn)行公鑰解密和結(jié)果驗(yàn)證.

圖1 基于身份門限簽名的數(shù)字簽名過程

2.1 系統(tǒng)參數(shù)建立

令G1為q階的加法循環(huán)群,G2為q階的乘法循環(huán)群, 其中q為大素?cái)?shù), 設(shè)g為G1的生成元, 由密鑰管理中心PKG隨機(jī)從中選擇一個(gè)隨機(jī)數(shù)r, 計(jì)算(a是從Zq中隨機(jī)選取的隨機(jī)數(shù)),并將作為系統(tǒng)主密鑰進(jìn)行保存. 另存在一個(gè)雙線性映射e:G1×G1→G2,且存在兩個(gè)單向哈希函數(shù)隨機(jī)選取μ',μi∈G1, 長(zhǎng)度為nμ的向量μ=(μi), 選擇基點(diǎn)P∈G1, 計(jì)算Ppub=g''·P并將其作為系統(tǒng)公鑰.最后由PKG公開系統(tǒng)參數(shù)為

2.2 密鑰的生成和分發(fā)

門限密鑰的生成算法由兩部分構(gòu)成, 即存儲(chǔ)在簽名服務(wù)器上的主要部分密鑰S′和分發(fā)給用戶持有的不同移動(dòng)終端的部分密鑰S1, S2...Sm-1. 其中分發(fā)給不同移動(dòng)終端的部分密鑰的生成是由PKG根據(jù)用戶所持有的移動(dòng)終端的手機(jī)號(hào)碼T作為身份ID并結(jié)合用戶名來產(chǎn)生的, 其中N'代表用戶名的數(shù)值表示形式.主要部分密鑰將由系統(tǒng)主密鑰g''生成并存儲(chǔ)在簽名服務(wù)器上.

① 主要部分密鑰的生成算法:

主要部分密鑰由系統(tǒng)主密鑰來確定, 結(jié)合PKG公布的公開參數(shù), 利用雙線性對(duì)計(jì)算得出主要部分密鑰S′=e(g′′,g′), 并將其存儲(chǔ)在簽名服務(wù)器上.

② 部分密鑰的生成算法:

設(shè)用戶持有n個(gè)移動(dòng)終端, 分別為R1, R2, ...Rn,另設(shè)移動(dòng)終端的身份IDi是一個(gè)長(zhǎng)度為nμ的二進(jìn)制串,用集合W來表示身份ID中比特值為1的位置, 即集合W?{1,2,3···nμ}. 由PKG隨機(jī)選取一個(gè)d∈, 計(jì)算出每個(gè)移動(dòng)終端持有的部分密鑰為:

計(jì)算Pi=e(g,g')N'并將其公開, 然后將Si通過安全通道傳送給Ri, 同時(shí)將移動(dòng)終端的登錄密碼r'傳送到簽名服務(wù)器上保存. 另外當(dāng)用戶有新的移動(dòng)終端加入時(shí),只需要用戶名及移動(dòng)終端的手機(jī)號(hào)碼就可以生成部分密鑰, 實(shí)現(xiàn)動(dòng)態(tài)簽名.

2.3 驗(yàn)證及門限簽名的生成

本文中進(jìn)行門限簽名的簽名密鑰由簽名服務(wù)器上存儲(chǔ)的主要部分密鑰和用戶持有的任一移動(dòng)終端上的部分密鑰組成, 因此在進(jìn)行門限簽名之前, 首先需要對(duì)用戶移動(dòng)終端進(jìn)行判別, 即通過簽名服務(wù)器上存有的該終端的登錄密碼r'來確保該終端是否具有進(jìn)行簽名的權(quán)限; 若驗(yàn)證成功, 證明該終端具有進(jìn)行簽名的權(quán)限后, 再對(duì)其部分密鑰進(jìn)行驗(yàn)證, 驗(yàn)證傳來的部分密鑰是否為PKG分發(fā)給用戶的部分密鑰. 根據(jù)等式若等式成立, 則簽名服務(wù)器接受該部分密鑰并進(jìn)行簽名; 若不成立, 則簽名服務(wù)器拒絕簽名請(qǐng)求, 并通知PKG重新生成部分密鑰.

進(jìn)行門限簽名的合成者必須是由簽名服務(wù)器和任一移動(dòng)終端組成. 通過計(jì)算得出:

則最終門限簽名為:

數(shù)字簽名為:Eσ(M',M). 當(dāng)接收方(驗(yàn)證方)收到簽名后, 用公鑰Ppub解密得到門限簽名, 再根據(jù)公開參數(shù)及參與簽名的移動(dòng)終端身份對(duì)消息M的簽名進(jìn)行驗(yàn)證, 若滿足等式:則驗(yàn)證方接受該簽名, 即簽名有效; 否則將拒絕, 即認(rèn)為簽名無效.

3 方案的分析

3.1 正確性

本方案通過對(duì)門限簽名生成算法[8]進(jìn)行驗(yàn)證, 證明方案的正確性, 具體步驟如下:

① 部分密鑰的驗(yàn)證:

② 門限簽名算法的驗(yàn)證:

3.2 安全性

定理1[9]. 如果基本簽名方案是不可偽造的安全方案, 且相應(yīng)的門限簽名方案是可模擬的, 則可證明此門限簽名是不可偽造的.

定義1. 如果門限簽名方案可模擬, 需要滿足以下性質(zhì):

(1) 密鑰生成及分發(fā)的過程是可模擬的. 輸入公鑰、公開的系統(tǒng)參數(shù)以及移動(dòng)終端的身份ID和用戶名數(shù)值表示形式N', 存在一個(gè)模擬器能夠模擬攻擊者

A'在密鑰生成及分發(fā)中輸出公鑰的視圖.

(2) 簽名過程是可模擬的. 輸入公鑰、公開的系統(tǒng)參數(shù)、消息摘要M'以及任一個(gè)終端的登錄密碼r'和某個(gè)移動(dòng)終端的部分密鑰, 存在一個(gè)模擬器能夠模擬攻擊者進(jìn)行簽名的視圖.

定理2. 本文提出的基于身份門限簽名方案是可模擬的.

證明: (1) 密鑰生成及分發(fā)過程: 給定公開的系統(tǒng)參數(shù)、移動(dòng)終端的身份ID, 即手機(jī)號(hào)T, 以及用戶名的數(shù)值表示形式N', 則攻擊者A'可以計(jì)算得出:

(2) 簽名過程: 給定系統(tǒng)公鑰、公開的系統(tǒng)參數(shù)、消息摘要M'以及任一個(gè)終端的登錄密碼r'和某個(gè)移動(dòng)終端的部分密鑰. 通過正確的登錄密碼r', 可以獲取簽名的權(quán)限. 由部分密鑰Si=(Si1,Si2)及等, 攻擊者可以滿足等式:從而獲得簽名服務(wù)器上的主要部分密鑰S', 計(jì)算得出最終得到簽名σ=(σ1,σ2,σ3). 因此, 簽名過程也是可模擬的.

定理3. 本文提出的基于身份門限簽名方案是安全的.

證明: 由定理2可知本文的門限簽名方案是可模擬的, 再根據(jù)定理1可知本方案是不可偽造的. 另外,基于用戶的身份進(jìn)行數(shù)字簽名, 能夠?qū)崿F(xiàn)對(duì)發(fā)送消息用戶身份的認(rèn)證, 同時(shí)接收消息的用戶也能對(duì)接收的消息及數(shù)字簽名進(jìn)行驗(yàn)證. 從而保證了移動(dòng)終端在通信中信息的完整性、用戶的身份認(rèn)證以及通信的不可抵賴性.

由此證明本文所提出的基于身份門限簽名的方案在移動(dòng)終端數(shù)字簽名中是安全的, 值得應(yīng)用.

3.3 高效性

本方案中e(g'',g')能夠通過預(yù)先計(jì)算而得, 因此減少了在驗(yàn)證部分的雙線性對(duì)的計(jì)算次數(shù), 另外, 本方案涉及到的系統(tǒng)參數(shù)也有所減少, 使方案在計(jì)算上更加簡(jiǎn)化. 下面分析本方案與其他兩個(gè)參考文獻(xiàn)方案在高效性上的比較. 其中Le、Lm、Lp分別表示一次指數(shù)運(yùn)算、乘法運(yùn)算和雙線性對(duì)運(yùn)算,nm和nu分別表示一個(gè)消息m和身份u的比特位數(shù). 如表1所示.

表1 三種方案高效性比較

文獻(xiàn)[9]方案本文方案

4 結(jié)語(yǔ)

綜上本文中提出的數(shù)字簽名方案具有不可偽造性、健壯性和不可抵賴性, 能夠抵抗適應(yīng)性選擇消息攻擊, 有效解決移動(dòng)終端密鑰存儲(chǔ)困難的難題, 同時(shí)提高了移動(dòng)終端在信息傳輸中的安全, 該方案應(yīng)用到移動(dòng)終端上, 將能夠更好地實(shí)現(xiàn)移動(dòng)終端的數(shù)字簽名.

1 王蕓,趙長(zhǎng)江.安全的移動(dòng)終端數(shù)字簽名方案.中國(guó)科技信息,2015,(22):52–54.

2 Shamir A. Identity-Based Cryptosystems and Signature Schemes. New York: Springer-Verlag, 1984: 47–53.

3 Hess F. Effcient identity based signature schemes based on pairings. SAC’02, LNCS 2595. Springer-Verlag. 2003. 310–324.

4 黃梅娟.新的基于身份的門限簽名方案.計(jì)算機(jī)與數(shù)字工程, 2013,(4):625–626.

5 郝立峰.移動(dòng)終端上一種基于身份數(shù)字簽名方案的研究[碩士學(xué)位論文].武漢:華中科技大學(xué),2011.

6 呂鑫,王志堅(jiān),許峰.基于雙線性對(duì)的新型門限簽名方案.計(jì)算機(jī)科學(xué),2011,38(4):111–114.

7 張建中,高歡歡,趙柄冀.標(biāo)準(zhǔn)模型下基于身份的模型簽名方案.計(jì)算機(jī)工程與應(yīng)用,2012,48(23):77–80.

8 徐靜.標(biāo)準(zhǔn)模型下可證安全的門限簽名方案.計(jì)算機(jī)學(xué)報(bào), 2006,29(9):1636–1640.

9 鄭廣亮,魏立線.高效的基于身份的門限簽名方案.計(jì)算機(jī)工程與科學(xué),2013,(8):37–38.

Safe and Efficient Mobile Terminal Digital Signature Scheme

SUI Xiao-Qin, LIU Pei-Shun
(College of Information Science and Engineering, Ocean University of China, Qingdao 266000, China)

Digital signature technology is an important way to ensure the safety of terminal application. But due to the limited computing resources and security constraints on the mobile terminal, the mobile terminal can not guarantee the security of the private key. This paper designs a safe and efficient solution based on the digital signature technology, combining mobile terminal with signature server. The key is distributed into two parts, one part is stored in the signature server and the other is distributed to mobile terminals, the signature must include the two parts. Through this identity-based threshold signature technology, we realize the secure mobile terminal digital signature in the case of signature key can’t guarantee safety.

mobile terminal; digital signature; threshold signature; identity-based cryptography

微智慧移動(dòng)互聯(lián)系統(tǒng)信息安全技術(shù)服務(wù)(20140500)

2016-03-26;收到修改稿時(shí)間:2016-05-12

10.15888/j.cnki.csa.005515