一種基于身份的代理門(mén)限環(huán)簽名方案

別躍軍，沈忠華，王　剛

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

一種基于身份的代理門(mén)限環(huán)簽名方案

別躍軍，沈忠華，王剛

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

摘要：在門(mén)限環(huán)簽名體制中，任何t個(gè)或者多于t個(gè)環(huán)成員可以代表整個(gè)環(huán)產(chǎn)生一個(gè)有效的環(huán)簽名，代理簽名能夠?qū)崿F(xiàn)簽名權(quán)利的委托.基于雙線(xiàn)對(duì)難解性的問(wèn)題，提出一個(gè)安全的代理門(mén)限環(huán)簽名方案，少于t個(gè)代理環(huán)成員無(wú)法生成一個(gè)有效的代理門(mén)限環(huán)簽名，驗(yàn)證者只能確定代理簽名人來(lái)自某個(gè)環(huán)，無(wú)法獲知代理簽名人的身份信息.該方案滿(mǎn)足匿名性，并在CDHP問(wèn)題困難的前提下，滿(mǎn)足適應(yīng)性選擇消息攻擊下的不可偽造性.

關(guān)鍵詞：基于身份；代理簽名；門(mén)限簽名；環(huán)簽名；雙線(xiàn)性對(duì)

0引言

隨著信息時(shí)代的到來(lái)，信息安全的重要性也日趨突顯，數(shù)字簽名作為信息安全的重要手段，它能保證信息傳輸?shù)耐暾?、?duì)于發(fā)送者的身份認(rèn)證和防止交易中的抵賴(lài)發(fā)生.文獻(xiàn)[1]首次提出了一種基于身份的公鑰密碼體制，在該密碼體制中，可以由用戶(hù)的身份公開(kāi)計(jì)算得到用戶(hù)的公鑰，可信中心(PKG)可以通過(guò)系統(tǒng)密鑰生成用戶(hù)的私鑰，簡(jiǎn)化了證書(shū)管理.文獻(xiàn)[2]提出了一種代理簽名的概念，簽名人在自己無(wú)法行使簽名時(shí)，將自己的簽名權(quán)利委托給代理人，由代理人行使簽名權(quán)利.文獻(xiàn)[3]首次提出了環(huán)簽名的概念，環(huán)簽名是一種簡(jiǎn)化的群簽名，它沒(méi)有群管理者和群建立過(guò)程，在環(huán)簽名中，任何環(huán)成員可以利用自己的私鑰和環(huán)成員的公鑰進(jìn)行匿名簽名，使得驗(yàn)證者能夠確定簽名人來(lái)自某個(gè)環(huán)，卻不能確定具體的簽名人.文獻(xiàn)[4]提出了一種門(mén)限環(huán)簽名，它具有門(mén)限簽名和環(huán)簽名的性質(zhì)，在門(mén)限環(huán)簽名中，任意t個(gè)或者多于t個(gè)環(huán)成員能夠代表整個(gè)環(huán)生成一個(gè)環(huán)簽名，少于t個(gè)則無(wú)法生成，同時(shí)驗(yàn)證者無(wú)法確定具體的簽名人.文獻(xiàn)[5]提出了一種標(biāo)準(zhǔn)模型下可證安全的門(mén)限環(huán)簽名方案.文獻(xiàn)[6]提出了一種代理環(huán)簽名，它具有代理簽名和環(huán)簽名的功能特點(diǎn)，在代理環(huán)簽名中，代理簽名人代替原始簽名人進(jìn)行簽名的同時(shí)實(shí)現(xiàn)代理簽名人的匿名性，廣泛用于保護(hù)代理簽名人隱私的問(wèn)題上.文獻(xiàn)[7-8]對(duì)于代理環(huán)簽名做了深化和擴(kuò)展.文獻(xiàn)[9]提出了第一個(gè)可證安全的代理門(mén)限環(huán)簽名方案.

本文在雙線(xiàn)性對(duì)難解性的基礎(chǔ)上，基于代理環(huán)簽名和門(mén)限環(huán)簽名的特點(diǎn)，提出了一種基于身份的代理門(mén)限環(huán)簽名方案，與文獻(xiàn)[9]相比，本方案的效率更高，運(yùn)算量更小.它能夠解決如下的實(shí)際問(wèn)題：董事長(zhǎng)將簽名權(quán)利委托給董事會(huì)成員，t個(gè)及以上環(huán)成員可以代表董事長(zhǎng)進(jìn)行匿名簽名.

1預(yù)備知識(shí)

1.1　雙線(xiàn)性對(duì)的性質(zhì)

1)雙線(xiàn)性：對(duì)任意P,Q,R∈G1，

e(P,Q+R)=e(P,Q)e(P,R)，

e(P+Q,R)=e(P,R)e(Q,R)，

e(aP,bQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab.

2)非退化性：存在P,Q∈G1，滿(mǎn)足e(P,Q)≠1.

3)可計(jì)算性：對(duì)任意P,Q∈G1，存在算法可以高效地計(jì)算e(P,Q).

1.2　困難假設(shè)

在群G1上有如下3個(gè)數(shù)學(xué)問(wèn)題：

本文基于DDHP問(wèn)題易解，而DLP問(wèn)題和CDHP問(wèn)題難解的Diffie-Hellman群G1的基礎(chǔ)上.同時(shí)需注意，雙線(xiàn)性分叉問(wèn)題也是困難的，即給定P∈G1，r∈G2，找到Q∈G1，使得e(P,Q)=r.

2基于身份的代理門(mén)限環(huán)簽名方案

2.1　系統(tǒng)初始化

設(shè)G1是階為大素?cái)?shù)q，生成元為P的循環(huán)加法群.群G2是階為q的循環(huán)乘法群.

2.2　系統(tǒng)私鑰提取

假設(shè)實(shí)施簽名委托的原始簽名人的身份為ID0，代理環(huán)簽名人的身份為IDi，則其分別對(duì)應(yīng)的公私鑰對(duì)為(QID0,SID0)，(QIDi,SIDi).

2.3　代理公私鑰及委托生成

原始簽名人A進(jìn)行如下步驟生成代理環(huán)簽名人的代理公私鑰和簽名委托：

1)生成一個(gè)委托證書(shū)mw，證書(shū)中包含原始簽名和代理簽名人的身份信息、文件類(lèi)型、有效期等.計(jì)算h=H2(M||mw||D0||ID0)；

4)計(jì)算xi=hf(IDi)QID0，yi=ahf(IDi)QID0，zi=ahf(IDi)SID0(i=1,…,n)，其中xi為代理環(huán)簽名人的代理公鑰，(yi,zi)代理環(huán)簽名人的代理私鑰對(duì).

將(mw,xi,yi,zi,t)(i=1,…,n)發(fā)送給對(duì)應(yīng)的代理環(huán)簽名人，t為門(mén)限值.

2.4　代理驗(yàn)證

代理環(huán)簽名人收到(xi,yi,zi,t)后，公布xi.計(jì)算h=H2(M||mw||D0||ID0)，并做如下驗(yàn)證：

2)驗(yàn)證e(yi,P)=e(xi,P1)，成立則繼續(xù)，否則終止；

3)驗(yàn)證e(zi,P)=e(xi,P2)，成立則接受委托代理，否則拒絕.

2.5　代理門(mén)限環(huán)簽名生成

真實(shí)代理環(huán)簽名人集合D1={ID1,ID2,…,IDt}，選擇一名可信的代理環(huán)簽名人Ak作為最終的實(shí)施和發(fā)布簽名者.

不包含代理環(huán)簽名人Ak的集合D2={IDi}(i=1,…,t,i≠k)進(jìn)行如下步驟：

3)計(jì)算hi=H2(M||mw||D0||Ui)，計(jì)算Vi=(ei+hi)SIDi+Lizi+liPpub；

并各自將(ci,Ui,hi,Vi)(i=1,…,t,i≠k)發(fā)送給可信代理環(huán)簽名人Ak.

可信代理環(huán)簽名人Ak進(jìn)行如下步驟生成代理門(mén)限環(huán)簽名：

3)計(jì)算hk=H2(M||mw||D0||Uk)，計(jì)算Vk=(ek+hk)SIDk+Lkzk+lkPpub；

2.6　簽名驗(yàn)證

1)驗(yàn)證hi=H2(M||mw||D0||Ui)(i=1,…,n)是否成立；

3安全性分析

3.1　方案和驗(yàn)證等式的正確性

2)e(yi,P)=e(haf(IDi)QID0,P)=e(hf(IDi)QID0,aP)=e(xi,P1)；

3)e(zi,P)=e(haf(IDi)SID0,P)=e(hf(IDi)QID0,asP)=e(xi,P2)；

3.2　代理環(huán)簽名人的匿名性

3.3　代理門(mén)限環(huán)簽名在CDHP困難的前提下滿(mǎn)足不可偽造性

4效率分析

相比于雙線(xiàn)性對(duì)運(yùn)算而言，群G1加法運(yùn)算、群G1數(shù)乘運(yùn)算和群G2數(shù)乘運(yùn)算的運(yùn)算量很小(因?yàn)槿涸刂笖?shù)運(yùn)算的計(jì)算量相對(duì)于雙線(xiàn)性對(duì)的運(yùn)算量可以忽略不計(jì))，因而本文只考慮雙線(xiàn)性對(duì)運(yùn)算的運(yùn)算量.黃奕芝等[9]方案的雙線(xiàn)性對(duì)運(yùn)算的運(yùn)算量為3n+t(n為代理環(huán)成員數(shù)，t為門(mén)限值)，而本文為8.

5結(jié)語(yǔ)

本文將門(mén)限環(huán)簽名和代理環(huán)簽名相結(jié)合，提出了一種基于身份的代理門(mén)限環(huán)簽名.與黃奕芝等[9]的方案相比，該方案將雙線(xiàn)性對(duì)的運(yùn)算次數(shù)從O(n)降到了O(1)，提高了效率，不僅滿(mǎn)足匿名性，而且滿(mǎn)足在CDHP問(wèn)題困難的前提下，適應(yīng)性選擇消息攻擊下的不可偽造性.

參考文獻(xiàn):

[1] Shamir A. ID-based cryptosystems and signature schemes[C]// Proc. CRYPTO’84. Berlin: Springer-Verlag,1984:47-53.

[2] Mambo M, Usuda K, Okamoto E, Proxy signatures for delegating signing operation[C]//Proc.3rd ACM Conference on Computer and Communications Security.New York: ACM Press,1996:48-57.

[3] Rivest, Shamir A, Tauman Y. How to leak a secret[C]//Lecture Notes in Computer Science. Berlin: Springer Verlag,2001:552-565.

[4] Bresson E, Sten J, Szydlo M. Threshold ring Signature and applications to ad-hoc groups[C] //Proc. CRYPTO’02.Berlin, Heidelberg, New York:Springer-Verlag,2002:465-480.

[5] 孫華,鐘珞,王愛(ài)民.標(biāo)準(zhǔn)模型下可證安全的基于身份門(mén)限環(huán)簽名[J].計(jì)算機(jī)工程與科學(xué),2013,35(3):92-96.

[6] Amit K, Sunder L. ID-based ring signature and proxy ring signature schemes from bilinear pairings[J]. Internal Journal of Network Security,2007,4(2):187-192.

[7] 張俊茸，任平安.一種基于身份的高效代理環(huán)簽名方案[J].計(jì)算機(jī)工程,2011,37(17):90-92.

[8] 夏祥勝,洪帆,崔國(guó)華.一個(gè)無(wú)證書(shū)的環(huán)代理簽名方案[J].小型微型計(jì)算機(jī)系統(tǒng),2012,33(4):764-767.

[9] 黃奕芝,王常吉.一種新的代理門(mén)限環(huán)簽名方案[C]//中國(guó)電子學(xué)會(huì)第十五屆信息論學(xué)術(shù)年會(huì)暨第一屆全國(guó)網(wǎng)絡(luò)編碼學(xué)術(shù)年會(huì)論文集:上冊(cè).北京：國(guó)防工業(yè)出版社，2008:357-360.

[10] Saez G, Herranz J. Forking lemmas for ring signature scheme[C]//INDOCRYPT 2003, LNCS 2947.Berlin, Heidelberg: Springer-Verlag,2003:266-279.

ID-based Proxy Threshold Ring Signature Scheme

BIE Yuejun, SHEN Zhonghua, WANG Gang

(School of Science, Hangzhou Normal University, Hangzhou 310036, China)

Abstract:In the threshold ring signature cryptosystem, any t or more than t ring members can represent the entire ring to generate an efficient ring signature. Proxy signature can realize the delegate signature. A secure ID-based proxy threshold ring signature is proposed based on the intractable problem of bilinear pairings. Less than t ring members can’t generate an efficient proxy threshold ring signature. The verifier can only verify the proxy signer is from one ring, but cannot obtain the identity of the proxy signer. This scheme, which satisfies the anonymity and the unforgeability against adaptive chosen message attacks, is proved on the premise of the hardness of CDHP.

Key words:ID-based; proxy signature; threshold signature; ring signature; bilinear pairings

第14卷第1期2015年1月杭州師范大學(xué)學(xué)報(bào)(自然科學(xué)版)JournalofHangzhouNormalUniversity(NaturalScienceEdition)Vol.14No.1Jan.2015

文章編號(hào):1674-232X(2015)01-0087-05

中圖分類(lèi)號(hào):TP309MSC2010: 94A60

文獻(xiàn)標(biāo)志碼:A

doi:10.3969/j.issn.1674-232X.2015.01.016

通信作者：沈忠華(1973-)，男，教授，主要從事數(shù)論與密碼學(xué)、信息安全技術(shù)等研究.E-mail：ahtshen@126.com

收稿日期：2013-09-26