基于無證書的具有指定驗(yàn)證者的代理簽名方案

梁景玲，高德智，張 云，葛榮亮

（山東科技大學(xué) 信息科學(xué)與工程學(xué)院,山東 青島 266510）

在傳統(tǒng)的公鑰密碼體制中，用戶公鑰的可靠性需要由一個(gè)可信任的第三方簽署的證書來保證，但這不可避免的會(huì)存在密鑰托管問題。為解決這一問題，在ASACRYPT2003上Al-Riyami和Paterson[1]提出了無證書公鑰密碼體制。在此體制中，用戶的密鑰由密鑰生成中心使用主密鑰為用戶生成基于身份的部分簽名和用戶自選的秘密值兩部分組成，用戶則將上述兩個(gè)部分聯(lián)合起來獨(dú)立生成私鑰。因?yàn)橛脩舄?dú)立生成私鑰，KGC不知道用戶真正的私鑰，所以不存在基于身份的密鑰托管問題。因此無認(rèn)證公鑰密碼體制一經(jīng)提出就受到了廣泛關(guān)注，一些無證書簽名方案也被陸續(xù)提出[2-3]。

而代理簽名的概念是由Mambo等人[4]1996年首次提出的，當(dāng)某個(gè)簽名人因?yàn)槟撤N原因（如健康、出差等）不能簽名時(shí)，會(huì)將簽名權(quán)利委托給他人行使。代理簽名分為完全授權(quán)、部分授權(quán)和證書授權(quán)。并且代理簽名應(yīng)滿足以下性質(zhì)：可驗(yàn)證性、不可偽造性、可區(qū)分性不可否認(rèn)性和放濫用性等。而在通常的代理簽名中，代理簽名的有效性可以由任何得到原始簽名人和代理簽名人公鑰的人進(jìn)行驗(yàn)證。然而當(dāng)簽名的消息是一些個(gè)人比較敏感的信息時(shí)，原始簽名者只希望自己指定的驗(yàn)證者能夠驗(yàn)證簽名的有效性。為了解決這個(gè)問題，Jacobs等人[5]1996年首次提出了具有指定驗(yàn)證者的代理簽名方案。在這種簽名體制中，簽名者會(huì)選擇一個(gè)具體的驗(yàn)證者，僅有此驗(yàn)證者能夠驗(yàn)證簽名的有效性，這些體制在電子商務(wù)，電子政務(wù)中得到了很好的體現(xiàn)和應(yīng)用。

然而，目前結(jié)合代理簽名的無證書方案很少。文獻(xiàn)[6]提出一個(gè)無證書代理簽名方案，并宣稱該方案不存在密鑰托管問題，能夠滿足代理簽名方案所要求的所有性質(zhì)，且在效率上優(yōu)于已有的基于身份的代理簽名方案。而申軍偉等人[7]隨后指出，文獻(xiàn)[6]雖然滿足代理簽名的所有性質(zhì)，但此方案不滿足可偽造性，不能抵抗替換公鑰攻擊和惡意的攻擊，同時(shí)提出了一個(gè)改進(jìn)的能夠克服樊睿等人方案的新的方案。本文基于申君偉等人的改進(jìn)方案，結(jié)合指定驗(yàn)證者提出了一個(gè)基于無證書的具有指定驗(yàn)證者的代理簽名方案。該方案不存在密鑰托管問題，并且能夠抵制替換公鑰攻擊和密鑰攻擊，可以滿足代理簽名的一切性質(zhì)，同時(shí)具有指定驗(yàn)證性，提高了安全性。

1 預(yù)備知識(shí)

1.1 雙線性對(duì)

假設(shè)群G1和G2分別為階為q的加法群和乘群，P為G1的生成元，假設(shè)群G1和G2中的離散對(duì)數(shù)均為困難問題，兩個(gè)群之間的雙線性映射e:G1×G1→G2滿足如下特性：

1） 雙線性性 對(duì)所有的 P，G∈G1和所有的 a，b∈Z*q：e（aP，bQ）=e（abP，Q）=e（P，abQ）=e（P，Q）ab。

2）非退化性 存在一個(gè) P∈G1，滿足 e（P，P）≠1。

3）可計(jì)算性 對(duì) P，G∈G1，存在一個(gè)有效的算法計(jì)算 e（P，Q）。

對(duì)雙線性映射可以利用橢圓曲線上的Weil對(duì)或Tate對(duì)來構(gòu)造。

1.2 定義幾個(gè)密碼學(xué)問題

是可以忽略的。

3）判斷性 Diffie-Hellman 難題（DDHP）：給定 P、aP、bP、cP∈G1，其中 a，b，c∈，要判定是否成立時(shí)困難的。

我們假設(shè)，在多項(xiàng)式時(shí)間內(nèi)，以上問題都不可解。

假設(shè)G是一個(gè)加法群，在G上的4個(gè)數(shù)學(xué)難題分別是：

1）離散對(duì)數(shù)問題：設(shè)P和G是群中的兩個(gè)元素，要找到某一個(gè)正整數(shù)n∈Z*q，使之滿足Q=nP是困難的。

2）計(jì)算性 Diffie-Hellman 難題（CDHP）：對(duì)?a，b∈Z*q給定 P、aP、bQ，計(jì)算 abP是困難的。

任何多項(xiàng)式時(shí)間內(nèi)算法A能夠成功解決CDH問題的可能性定義為：

2 申君偉等人的無證書代理簽名方案

2.1 系統(tǒng)設(shè)置

G1和G2是階均為q的循環(huán)加群和循環(huán)乘群，P∈G1作為G1的生成元，定義3個(gè)密碼學(xué)上的單向哈希函數(shù)H1:{0，1}*×G1→G1，H2:{0，1}*×G2→，H3:G1→。 最后，KGC選擇 s∈作為自己的私鑰，計(jì)算公鑰Ppub=sP，將s秘密保存，公開系統(tǒng)參數(shù)：params={G1，G2，e，q，P，Ppub，H1，H2，H3}。

2.2 密鑰提取

原始簽名人A隨機(jī)選擇秘密值xA，然后計(jì)算并公開公鑰PA=xAP，KGC分別生成用戶 A的部分私鑰 DA=sQA=sH1（IDA，PA），并通過安全信道傳給 A，A 秘密保存其私鑰為（xA，DA）。通過相同的步驟生成代理簽名者B的公鑰PB以及私鑰對(duì)（xB， DB）。

2.3 代理授權(quán)

A生成一個(gè)授權(quán)許可信息mw來說明包含A和B的身份信息的授權(quán)關(guān)系及其B的權(quán)限。A計(jì)算將（Sw，mw）發(fā)送給 B。B 驗(yàn)證等式 e（Sw，P）=e（QA，Ppub）·是否成立，若成立 B計(jì)算代理簽名密鑰

2.4 代理簽名

當(dāng)要對(duì)消息m簽名時(shí)，代理簽名人B選擇a∈r，計(jì)算r=e （P，P）a，v=H2（mw， m，r），U=vSp+aP，則（U，v，mw）為 B 對(duì) m 的代理簽名。

2.5 驗(yàn)證

驗(yàn)證者首先計(jì)算 QA=H1（IDA，XA），QB=H1（IDB，XB），r=e（U，P）·[e（-QA-QB，Ppub）e（-H1（mw，XA），XA）e（-H1（mw，XB），XB）]v，然后驗(yàn)證等式 v=H2（mw，m，r），若成立則接受簽名，否則拒絕。

3 新提出的方案

3.1 系統(tǒng)設(shè)置

G1為階為q的循環(huán)加群，G2為循環(huán)乘群，階亦是q。P∈G1作為 G1的生成元，定義3個(gè)單向哈希函數(shù) H1:{0，1}*×G1→G1，H2:{0，1}*×G2→。最后，KGC 選擇 s∈作為自己的私鑰，計(jì)算公鑰Ppub=sP，將s秘密保存，公開系統(tǒng)參數(shù)：params={G1，G2，e，q，P，Ppub，H1，H2，}。

3.2 密鑰提取

原始簽名人A隨機(jī)選擇秘密值xA，然后計(jì)算并公開公鑰PA=xAP，KGC分別生成用戶 A的部分私鑰 DA=sQA=sH1（IDA，PA），并通過安全信道傳給 A，A 秘密保存其私鑰為（xA，DA）。代理簽名者B和指定驗(yàn)證者C可以通過相同的步驟生成各自的公鑰 PB，PC和私鑰對(duì)（xB， DB），（xC， DC）。

3.3 代理密鑰生成

A生成一個(gè)授權(quán)許可證書mw來說明包含A、B和C的身份信息及其B的代理權(quán)限、時(shí)間有效期等。A計(jì)算h1=H1（mw，xAPC），Sw=DA+xAh1，然后 A將（Sw，mw）秘密的發(fā)給 B。

B 在接收到（Sw，mw）后，首先驗(yàn)證等式 e（Sw，P）=e（QA，Ppub）e（h1，PA）是否成立。 若成立，B 則計(jì)算代理簽名私鑰 SP=Sw+DB+xBh1；若不成立，則拒絕授權(quán)。

3.4 代理簽名生成

當(dāng)要對(duì)消息m∈{0，1}*簽名時(shí)，代理簽名人B隨機(jī)選擇 a∈Z*q，然后計(jì)算 r=e（P，P）a，v=H2（mw，m，r），U=（vSP+aPC），則B把對(duì)信息m的簽名（U，v，m）發(fā)送給指定驗(yàn)證者C。

3.5 驗(yàn)證

指定驗(yàn)證者C在接收到（U，v，m）簽名后，首先計(jì)算QA=然后驗(yàn)證 v=H2（mw，m，r1）。 若成立，則接受簽名；否則，拒絕簽名。

4 安全性分析

4.1 正確性

指 定 驗(yàn) 證 者 首 先 計(jì) 算 ：H1（mw，xAPC）=H1（mw，xAxCP）=H1（mw，xAPC）=h1

若想驗(yàn)證 v=H2（mw，m，r）的正確性，即驗(yàn)證

因?yàn)椋?/p>

所以：

即驗(yàn)證等式 v=H2（mw，m，r）成立。

4.2 強(qiáng)不可偽造性

因?yàn)榇朔桨甘窃谏昃齻サ热朔桨傅幕A(chǔ)上得出的，所以此方案的授權(quán)過程在隨機(jī)語言模型下可以抵御適應(yīng)性選擇消息攻擊模式的存在性和ID攻擊。又因?yàn)镾w=DA+xAh1是由原始簽名者A使用KGC為其生成的部分私鑰DA和自己自行選取的私鑰 xA以及哈希值 h1=H1（mw，xAPC）產(chǎn)生的，除了原始簽名人本身，就算是包括的任何攻擊者都無法獲得Sw的值。

另外，SP=Sw+DB+xBh1是由代理簽名人B聯(lián)合代理衍生密鑰 Sw和 B本身的私鑰對(duì)（xB，DB）產(chǎn)生的。 同樣，DB是由 KGC為代理簽名人產(chǎn)生的，而xA又是由B自己隨機(jī)選取的。所以，就算KGC和原始簽名人彼此勾結(jié)，他們也無法得到代理簽名私鑰Sp。

4.3 強(qiáng)不可否認(rèn)性

首先原始簽名人和指定驗(yàn)證者都不能對(duì)自己的授權(quán)和代理身份進(jìn)行否認(rèn)。因?yàn)?，在完整的代理簽名生成過程中一直在使用mw，代理簽名人無法更改授權(quán)證書。而授權(quán)證書mw中包括原始簽名人和代理簽名人的身份信息，所以代理簽名人一旦產(chǎn)生了合法的代理簽名，就不能否認(rèn)自己的簽名，同時(shí)原始簽名人也不能否認(rèn)自己的授權(quán)身份。

另外，指定驗(yàn)證者也不能否認(rèn)自己的指定驗(yàn)證身份。因?yàn)樵诤灻A段U=vSP+aPC的產(chǎn)生中，使用了指定驗(yàn)證者的公鑰。所以，指定驗(yàn)證者C也無法否認(rèn)自己的指定驗(yàn)證身份。

4.4 防止惡意的KGC攻擊和公鑰替換攻擊

基于申君偉等人的方案，本方案中原始簽名人、代理簽名人和指定驗(yàn)證人先為自己選擇了秘密值xA、xB和xC，計(jì)算出各自的公鑰PA、PB和PC。然后將A、B和C各自的身份和公鑰聯(lián)合起來，嵌入KGC到為A、B和C生成的部分私鑰里。而且本方案的部分私鑰和秘密值是公開使用的。所以，這樣可以有效的防止惡意的KGC攻擊和公鑰替換攻擊。

4.5 指定驗(yàn)證性

5 結(jié)束語

本文結(jié)合指定驗(yàn)證者簽名方案，在申君偉等人方案的基礎(chǔ)上提出了基于無證書的具有指定驗(yàn)證者的代理簽名方案[7]。經(jīng)驗(yàn)證，該方案可以滿足文獻(xiàn)[7]提出的一切性質(zhì)。同時(shí)，新提出的方案只有指定驗(yàn)證者能夠?qū)ζ浜灻桨高M(jìn)行驗(yàn)證，這保護(hù)了代理簽名人的合法權(quán)益和隱私安全，在電子投票、網(wǎng)上招標(biāo)以及軟件許可等方面有極廣泛的應(yīng)用。此外，無證書公鑰密碼體制能有效解決基于證書密碼體制的證書管理問題和基于身份密碼體制的密鑰托管問題。所以結(jié)合指定認(rèn)證的無證書代理簽名方案在某些電子商務(wù)中的應(yīng)用前景及其廣闊。

[1]Al-RiyamiS，PatersonK.Certificatelesspublickeycryptography[C]//Lecture Notes in Computer Science 2894:Advances in Cryptology Proceeding of Asiacrypt，2003:452-473.

[2]Du H，Wen Q.Efficient and provably-secure certificateless short signature scheme from bilinear pairings[J].Computer Standards&Interfaces，2009（31）：390-394.

[3]Harn L， Ren J， Lin C.Design of DL-based certificateless digital signature[J].The Journal of Systems and Software 2009（82）：789-793.

[4]MamboM，UsudaK，OkamotoE.Proxysignaturesfordelegating signing operation [C]//Proc of the 3rd ACM Conference on Computer and Communications Security，1996:48-57.

[5]Jacobson M，Sako K，Mpacli Azzo R，Designated verifier proofs and their applications:Proc of the EUROCRYPT&96[C].[s.1.]:Springer，1996:142-154.

[6]樊睿，王彩芬，藍(lán)才會(huì)，等.新的無認(rèn)證的代理簽名方案[J].計(jì)算機(jī)工程，2008，28（4）：195-197.FAN Rui， WANG Cai-fen， LA Cai-hui，et al.A new certificatelessproxy signature[J].Computer Engineering，2008，28（4）：195-197.

[7]申君偉，楊曉元，梁中銀，等.一種新的無證書代理簽名方案的分析和改進(jìn)[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（8）：96-98.SHEN Jun-wei， YANG Xiao-yuan， LIANG Zhong-yin， et al.Security analysis and improvement of new certificateless proxy signature[J].Computer Engineering and Applications，2010， 46（8）:96-98.