安全的服務(wù)器輔助驗(yàn)證代理重簽名方案

李海蕓

(天水師范學(xué)院 電子信息與電氣工程學(xué)院，甘肅 天水 741001)

安全的服務(wù)器輔助驗(yàn)證代理重簽名方案

李海蕓

(天水師范學(xué)院 電子信息與電氣工程學(xué)院，甘肅 天水 741001)

大多數(shù)代理重簽名方案需要復(fù)雜的雙線性對(duì)運(yùn)算，無(wú)法適用于計(jì)算能力較弱的低端計(jì)算設(shè)備。為了提高簽名驗(yàn)證算法的計(jì)算性能，提出了一個(gè)可證明安全的雙向服務(wù)器輔助驗(yàn)證代理重簽名方案，能有效抵抗合謀攻擊和選擇消息攻擊。分析結(jié)果表明，新方案減少了復(fù)雜的雙線性對(duì)運(yùn)算，提高了簽名驗(yàn)證速度，在效率上優(yōu)于同類代理重簽名方案。

服務(wù)器輔助驗(yàn)證簽名；代理重簽名；雙線性對(duì)；合謀攻擊

引言

代理重簽名能實(shí)現(xiàn)數(shù)字簽名的轉(zhuǎn)換，[1]在云存儲(chǔ)、電子政務(wù)文件傳輸系統(tǒng)、數(shù)字版權(quán)管理系統(tǒng)等方面有廣泛的應(yīng)用前景。[2-3]Blaze等人[1]在1998年的歐密會(huì)上首次提出了代理重簽名的概念。2005年Ateniese等人[4]提出了一個(gè)可證安全的雙向多用代理重簽名方案（下文簡(jiǎn)稱Sbi方案）和兩個(gè)單用單向的代理重簽名方案。2007年Shao等人[5]構(gòu)造了第一個(gè)標(biāo)準(zhǔn)模型下安全的代理重簽名方案和一個(gè)基于身份的代理重簽名方案-Sid-mb方案。Libert等人[6]設(shè)計(jì)了一個(gè)標(biāo)準(zhǔn)模型下安全的單向多用代理重簽名方案；然而，該簽名方案的重簽名驗(yàn)證開銷隨著簽名層數(shù)的增加呈線性增長(zhǎng)。目前大部分代理重簽名方案[7-9]的簽名驗(yàn)證算法需要復(fù)雜的雙線性對(duì)運(yùn)算，無(wú)法適用于計(jì)算能力較弱的低端計(jì)算設(shè)備。Wang等人[10]提出兩個(gè)單向的服務(wù)器輔助驗(yàn)證代理重簽名方案，但無(wú)法抵抗服務(wù)器和非法代理者的合謀攻擊。[11]為了克服這些安全缺陷，結(jié)合服務(wù)器輔助驗(yàn)證簽名和代理重簽名的安全特性，本文基于Sbi方案[4]構(gòu)造了一個(gè)具有短簽名長(zhǎng)度的雙向服務(wù)器輔助驗(yàn)證代理重簽名方案。新方案將簽名驗(yàn)證的大部分計(jì)算任務(wù)轉(zhuǎn)移給一個(gè)計(jì)算能力很強(qiáng)的服務(wù)器執(zhí)行，驗(yàn)證者以較小的計(jì)算代價(jià)完成簽名的驗(yàn)證，提高了簽名的驗(yàn)證速度，大大降低了驗(yàn)證者的計(jì)算量，并證明了新方案能有效抵抗合謀攻擊和存在性不可偽造攻擊。

1　預(yù)備知識(shí)

1.1雙線性映射

假設(shè)G1和G2是兩個(gè)階為素?cái)?shù)p的循環(huán)群，g是G1的生成元，e：G1×G1→G2是滿足以下條件的雙線性映射。[5]

(3)可計(jì)算性：有一個(gè)多項(xiàng)式時(shí)間的算法計(jì)算e(g1,g2)，其中g(shù)1,g2∈G1.

1.2服務(wù)器輔助驗(yàn)證代理重簽名的形式化定義

服務(wù)器輔助驗(yàn)證代理重簽名由兩部分組成：一個(gè)普通的代理重簽名和一個(gè)服務(wù)器輔助驗(yàn)證協(xié)議。[12]設(shè) SAVPRS=(Setup,KeyGen,ReKey,Sign,ReSign, Verify,SAV-Setup,SAV-Verify)是一個(gè)服務(wù)器輔助驗(yàn)證代理重簽名方案，具體定義如下：

(1)Setup(1η)→cp：給定一個(gè)安全參數(shù)η，系統(tǒng)參數(shù)生成算法輸出系統(tǒng)參數(shù)cp.

(2)KeyGen(cp)→(pk,sk)：給定系統(tǒng)參數(shù)cp，密鑰生成算法輸出一個(gè)公鑰/私鑰對(duì)(pk,sk).

(3)ReKey(pkA,skA,pkB,skB)：給定一個(gè)受托者和一個(gè)委托者的公私鑰對(duì)(pkA,skA)和(pkB,skB)，重簽名密鑰生成算法輸出一個(gè)半可信代理者的重簽名密鑰rkA→B，其中skA是可選的。

(4)Sign(m,sk)：給定一個(gè)消息m和一個(gè)私鑰sk，簽名生成算法輸出一個(gè)對(duì)應(yīng)于公鑰pk的消息m的簽名σ.

(5)ReSign(rkA→B,m,pkA,σA)：給定重簽名密鑰rkA→B，消息m在受托者公鑰 pkA下的簽名σA，如果Verify(pkA,m,σA)=0，輸出⊥；否則，重簽名生成算法生成一個(gè)對(duì)應(yīng)于委托者公鑰pkB的重簽名σB.

(6)Verify(m,pk,σ)：給定消息m在公鑰pk下的簽名σ，如果σ是合法簽名，簽名驗(yàn)證算法輸出1；否則如果σ是一個(gè)非法簽名，輸出0.

(7)SAV-Setup(cp)：輸入系統(tǒng)參數(shù)cp，服務(wù)器輔助驗(yàn)證參數(shù)生成算法輸出一個(gè)字符串VString.

(8)SAV-Verify(VString,m,pk,σ)：給定驗(yàn)證者的秘密字符串VString，消息m在公鑰pk下的簽名σ，如果服務(wù)器讓驗(yàn)證者確信σ是一個(gè)有效簽名，服務(wù)器輔助驗(yàn)證協(xié)議輸出1；否則，該協(xié)議輸出0.服務(wù)器輔助驗(yàn)證協(xié)議實(shí)際上是服務(wù)器和驗(yàn)證者之間的一個(gè)交互協(xié)議，驗(yàn)證者擁有較弱的計(jì)算能力，不能單獨(dú)完成整個(gè)簽名的驗(yàn)證過(guò)程，通過(guò)執(zhí)行SAV-Verify協(xié)議，借助服務(wù)器來(lái)輔助驗(yàn)證。

定義1令Φ-Verify和Φ-SAV-Verify分別表示驗(yàn)證者在Verify算法和SAV-Verify算法中的計(jì)算量，如果Φ-SAV-Verify＜Φ-Verify，則稱SAVPRS方案是節(jié)約計(jì)算的。[10,12]

定義2如果一個(gè)代理重簽名方案PRS在自適應(yīng)選擇消息攻擊下是存在不可偽造的，相應(yīng)的服務(wù)器輔助驗(yàn)證代理重簽名方案SAVPRS的服務(wù)器輔助驗(yàn)證協(xié)議SAV-Verify是完備的，則稱SAVPRS方案在合謀攻擊和自適應(yīng)選擇消息攻擊下是安全的。[10]

2　新的服務(wù)器輔助驗(yàn)證代理重簽名方案

基于改進(jìn)的Shao方案，[4]本節(jié)提出了由以下8個(gè)算法組成一個(gè)雙向的服務(wù)器輔助驗(yàn)證代理重簽名方案。

(1)系統(tǒng)參數(shù)生成算法(Setup)

選取一個(gè)大素?cái)?shù)p，兩個(gè)階為p的循環(huán)群G1和G2，G1的一個(gè)任意生成元g，一個(gè)雙線性映射e：G1×G1→G2，H：{0,1}*→G1是一個(gè)密碼學(xué)哈希函數(shù)，系統(tǒng)參數(shù)為cp=(G1,G2,p,e,g，H).

(2)密鑰生成算法(KeyGen)

(3)重簽名密鑰生成算法(ReKey)

已知一個(gè)受托者和一個(gè)委托者的私鑰skA=α和skB=β，為半可信代理者生成重簽名密鑰rkA→B=β/α(modp).

(4)簽名生成算法(Sign)

對(duì)于消息m，受托者利用私鑰skA=α計(jì)算消息m的原始簽名σA=H(m)α.

(5)重簽名生成算法(ReSign)

已知受托者的公鑰pkA，消息m和原始簽名σA=H(m)α，代理者首先驗(yàn)證σA的合法性。如果Verify(pkA,m,σA)=0，輸出⊥；否則，代理者借助重簽名密鑰rkA→B計(jì)算消息m的重簽名

(6)簽名驗(yàn)證算法(Verify)

給定一個(gè)公鑰pk，一個(gè)消息m和一個(gè)待驗(yàn)證的簽名σ，驗(yàn)證者檢驗(yàn)等式e(σ,g)=e(H(m),pk)是否成立。如果等式成立，輸出1；否則，輸出0.

(7)服務(wù)器輔助驗(yàn)證參數(shù)生成算法(SAV-Setup)

(8)服務(wù)器輔助驗(yàn)證協(xié)議(SAV-Verify)

給定VString，一個(gè)公鑰pk和一個(gè)消息簽名對(duì)(m,σ)，驗(yàn)證者和服務(wù)器之間的服務(wù)器輔助驗(yàn)證交互協(xié)議如下：

(1)驗(yàn)證者發(fā)送(σ,S)給服務(wù)器。

(2)服務(wù)器計(jì)算K1=e(σ,S)，將K1發(fā)送給驗(yàn)證者。

(3)驗(yàn)證者K2=e(H(m).pk)s，并檢驗(yàn)等式K1=K2是否成立。如果等式成立，輸出1；否則，輸出0.

3　安全性證明與性能分析

3.1正確性分析

令σ=H(m)sk是消息m對(duì)應(yīng)于公鑰pk的簽名，字符串VString=(s,S)，則有

所以，當(dāng)σ是消息m的合法簽名時(shí)，等式K1=K2成立。

由于Sign算法輸出的原始簽名與ReSign算法輸出的重簽名滿足計(jì)算不可區(qū)分性，因此本文提出的新方案具有透明性和多用性。因?yàn)橹睾灻荑€rkA→B=β/α=1/rkB→A，所以新方案滿足雙向性。代理者只需保存一個(gè)重簽名密鑰rkA→B，因此新方案滿足密鑰最優(yōu)性。

3.2安全性分析

本文提出的新方案基于Sbi方案，[4]而文獻(xiàn)[4]已證明Sbi方案是存在不可偽造的。因此，根據(jù)第2節(jié)的定義2，為了證明了新方案的安全性，只需證明新方案的服務(wù)器輔助驗(yàn)證協(xié)議SAV-Verify是完備的。

定理1新方案的服務(wù)器輔助驗(yàn)證協(xié)議SAV-Verify在合謀攻擊和自適應(yīng)性選擇消息攻擊下是完備的。

證明：采用文獻(xiàn)[10,12]的方法來(lái)證明新方案的完備性。令A(yù)是SAV-Verify協(xié)議的攻擊者，在協(xié)議中扮演服務(wù)器的角色；C是SAV-Verify協(xié)議的挑戰(zhàn)者，在協(xié)議中扮演驗(yàn)證者的角色。給定一個(gè)消息的非法簽名后，A的任務(wù)是讓C確信這個(gè)非法簽名是合法的。挑戰(zhàn)者C與攻擊者A進(jìn)行如下的交互操作：

建立：挑戰(zhàn)者C通過(guò)執(zhí)行Setup算法獲得系統(tǒng)參數(shù)cp，隨機(jī)選取3個(gè)元素，計(jì)算兩個(gè)公私鑰對(duì)(pkA,skA)=(ga,a)和(pkB,skB)=(gb,b)，一個(gè)重 簽名 密 鑰 rkA→B=b/a(modp)和 字 符串VString=(s*,S*=gs*)，并將 {cp,rkA→B}發(fā)送給A.

查詢：攻擊者A收到參數(shù)后，向挑戰(zhàn)者C發(fā)起若干次的服務(wù)器輔助驗(yàn)證詢問(wèn)。挑戰(zhàn)者C通過(guò)與A執(zhí)行SAV-Verify協(xié)議，對(duì)每次的詢問(wèn)(mi,σi)進(jìn)行響應(yīng)，并將協(xié)議的輸出結(jié)果發(fā)送給A.

輸出：經(jīng)過(guò)有限次的詢問(wèn)結(jié)束后，攻擊者A最后輸出一個(gè)消息和非法簽名（m*，σ*）.假設(shè)Ωm*表示m*在公鑰pkB下的合法簽名集合，則σ*?Ωm*.挑戰(zhàn)者C收到(m*,σ*)后，將(σ*，S*)發(fā)送給攻擊者A；A接著計(jì)算,并將返回給C；C然后計(jì)算.下面分析等式成立的概率是1/(p-1).

①由于S*=gs*且，因此攻擊者A通過(guò)S*獲得s*的概率是1/(p-1).

因?yàn)閟*是從中隨機(jī)選取的，所以攻擊者A尋找s*使得上述等式成立的概率是1/(p-1).綜上所述，攻擊者A是讓挑戰(zhàn)者C確信非法簽名σ*是是合法簽名的概率是1/(p-1).由于素?cái)?shù)p足夠大，攻擊者A成功的概率是可忽略的，因此新方案的服務(wù)器輔助驗(yàn)證協(xié)議SAV-Verify在合謀攻擊和自適應(yīng)性選擇消息攻擊下是完備的。

定理2在隨機(jī)預(yù)言模型下，Sbi方案在自適應(yīng)性選擇消息下滿足存在不可偽造性。[4]

結(jié)合第2.2節(jié)的定義2、4.2節(jié)的定理1和定理2，得到下面的定理3.

定理3本文提出的新方案在標(biāo)準(zhǔn)模型下能有效抵抗合謀攻擊和自適應(yīng)選擇消息攻擊。

3.3性能比較分析

下面將本文提出的新方案與Sbi方案[4]進(jìn)行簽名驗(yàn)證者的計(jì)算開銷比較。為了便于比較，假設(shè)兩個(gè)方案選取相同安全強(qiáng)度的大素?cái)?shù)p.由于乘法、加法、哈希函數(shù)等運(yùn)算的計(jì)算量，相對(duì)于雙線性對(duì)和冪運(yùn)算而言比較小，因此將不再詳細(xì)討論這些運(yùn)算的開銷。具體比較結(jié)果如下表所示。

表1　驗(yàn)證者的計(jì)算開銷比較

從表1可以看出，在本文提出的新方案中，簽名驗(yàn)證算法Verify需要2個(gè)雙線性對(duì)運(yùn)算，服務(wù)器輔助驗(yàn)證協(xié)議SAV-Verify需要1個(gè)雙線性對(duì)運(yùn)算和2次冪運(yùn)算，因此新方案是節(jié)約計(jì)算的。由于雙線性對(duì)的運(yùn)算量大于冪運(yùn)算，因此新方案具有較高的計(jì)算效率，大大提高了簽名的驗(yàn)證速度。

4結(jié)束語(yǔ)

基于Ateniese等人[4]提出的具有短簽名長(zhǎng)度的雙向代理重簽名案，構(gòu)造了一個(gè)安全有效的服務(wù)器輔助驗(yàn)證代理重簽名方案。由于新方案的簽名長(zhǎng)度短，并有效減少了復(fù)雜的雙線性對(duì)運(yùn)算，極大的節(jié)約了驗(yàn)證者的計(jì)算量，非常適用于低端計(jì)算設(shè)備。下一步的工作是服務(wù)器輔助驗(yàn)證門限代理重簽名方案。

[1]BLAZE M,BLEUMER G,STRAUSS M.Divertible protocols and atomicproxy cryptography[C].Proceedings of EUROCRYPT'98,Helsinki,Finland,May31-June4,1998：127-144.

[2]HAO SHEN-GANG,LI ZHANG,GHULAM MUHAMMAD. A union authentication protocol of cross-domain based on bilinear pairing[J].Journal of Software,2013,8(5)：1094-1100.

[3]NGUYEN T C,SHEN W,LUO Z,et al.Novel Data Integrity Verification Schemes in Cloud Storage[M].Computer and Information Science.Springer International Publishing,2015：115-125.

[4]ATENIESE G,HOHENBERGER S.Proxy re-signatures：new definitions,algorithms,and applications[C].Proceedings of the 12th ACM CCS,Alexandria,USA,Nov.7-11,2005：310-319.

[5]SHAO J,CAO Z,WANG L,et al.Proxy re-signature schemes without random oracles[C].Proceedings of INDO-CRYPT 2007,Chennai,India,Dec.9-13,2007：197-209.

[6]LIBERT B,VERGNAUD D.Multi-use unidirectional proxy resignatures[C].Proceedings of the 15th ACM Conference on Computer and Communications Security,Alexandria,USA, Oct.27-31,2008：511-520.

[7]WEI W.An identity-based blind proxy re-signature scheme [J].Computer Applications and Software,2012,29(10)：308-313.

[8]YANG X,LI C,LI Y,et al.Divisible on-line/off-line proxy re-signature[J].Appl.Math,2015,9(2)：759-767.

[9]YANG X,WANG C,ZHANG L,et al.On-line/off-line thresh old proxy re-signatures[J].Chinese Journal of Electronics, 2014,23(2).

[10]WANG Z,LV W.Server-aided verification proxy resignature[C].Proceedings of Trust,Security and Privacy in Computing and Communications,Melbourne,Australia,July16-18, 2013：1704-1707.

[11]WANG Z,WANG L,YANG Y,et al.Comment on Wu et al.'s server-aided verification signature schemes[J].IJ Network Security,2010,10(2)：158-160.

[12]WU W,MU Y,SUSILO W,et al.Provably secure server-aid ed verification signatures[J].Computers&Mathematics with Applications,2011,61(7)：1705-1723.

〔責(zé)任編輯李德錄〕

Secure Sever-Aided Verification Proxy Re-Signature Scheme

Li Haiyun
(School of Electronic Information and Electrical Engineering,Tianshui Normal University,Tianshui Gansu741001,China）

Most proxy re-signature schemes require expensive bi-linear pairing operations,which are not suitable for low-power devices.To improve the performance of signature verification algorithm,a bidirectional sever-aided verification proxy re-signature is proposed.This scheme can effectively resist collusion attacks and adaptive chosen message attacks.Analysis results show that the proposed scheme reduces computation cost of pairing operation,and it greatly reduces speeds up signature verification.The proposed scheme is more efficient than the existing proxy re-signature schemes.

sever-aided verification signature;proxy re-signature;bilinear pairing;collusion attack

TP309

A

1671-1351（2015）05-0004-04

2015-06-15

李海蕓(1979-)，女，甘肅天水人，天水師范學(xué)院電子信息與電氣工程學(xué)院講師，碩士。