一種后向安全的混合代理多重簽名方案

萬世昌

（商洛學(xué)院數(shù)學(xué)與計算機應(yīng)用學(xué)院，陜西商洛726000）

一種后向安全的混合代理多重簽名方案

萬世昌

（商洛學(xué)院數(shù)學(xué)與計算機應(yīng)用學(xué)院，陜西商洛726000）

以一個隨機數(shù)為種子，連續(xù)做散列運算，計算中生成的有序散列值就構(gòu)成了一條單向散列鏈。將單向散列鏈引入代理簽名方案中，設(shè)計了一個混合代理多重簽名方案。新方案中當(dāng)前時段的散列值參加簽名運算并在驗證階段得到驗證，保證了方案的后向安全性，如果當(dāng)前時段密鑰丟失，今后時段簽名也不會被假冒。最后分析了方案的安全性和效率。

單向散列鏈；代理簽名；混合代理多重簽名；后向安全性

數(shù)字簽名是利用公鑰技術(shù)產(chǎn)生的一種類似于物理簽名的電子文檔。由于數(shù)字簽名中包含了簽名人的身份，所以能夠在網(wǎng)絡(luò)交易中認(rèn)證簽名人并且防止簽名人抵賴。Rivest[1]提出第一個數(shù)字簽名方案后，大量的數(shù)字簽名方案不斷被提出。在某些情況下簽名人可能不在現(xiàn)場，必須委托別人進行簽名，為了適應(yīng)這種情況Mambo等[2]提出了代理簽名。在代理簽名機制中，原始簽名人可以指定一個代理人代理自己簽名。隨后代理簽名受到廣大研究者的關(guān)注，并把這種機制進行了細(xì)化研究，提出了在不同場合使用的代理簽名體制，如代理盲簽名、代理環(huán)簽名、代理多重簽名[3-8]等簽名體制。在一個代理多重簽名方案中，指定的一個代理人代表多個原始簽名人進行簽名。但是如果有部分原始簽名人剛好在場他可以自己完成簽名，而其余的原始簽名人委托代理人進行簽名，適應(yīng)這種特殊情況的簽名稱為混合代理多重簽名。隨后出現(xiàn)了很多混合代理多重簽名方案，如文獻(xiàn)[9-10]，在這些方案中，如果當(dāng)前秘鑰泄露，已有的簽名將不再安全。Anderson[11]首次提出前向安全的概念，文獻(xiàn)[12]在文獻(xiàn)[10]基礎(chǔ)上將前向安全概念應(yīng)用到混合代理多重簽名方案中，提出一個前向安全的混合代理多重簽名方案，但是該方案并沒有實現(xiàn)后向的安全性。何濱等[13]提出了一個前向安全的無證書代理盲簽名方案，利用單向散列鏈解決了簽名的后向安全性。本文將單向散列鏈引入混合代理多重簽名方案中，設(shè)計了一個混合代理多重簽名方案。新方案既有原方案的前向安全性又增加了后向安全性，如果當(dāng)前時段密鑰丟失，今后時段簽名也不會被假冒。最后對安全性和效率做了分析。

1 相關(guān)知識

1.1 雙線性對

假設(shè)由生成元p生成的階為q的循環(huán)加法群為G1(其中q為素數(shù))，階為q的循環(huán)乘法群為G2；并假定在這兩個群中解決DL問題是困難的。那么一個映射e:G1×G1→G2稱為雙線性對，其具有的性質(zhì)為：

1)對于?P，Q，R∈G1以及?a，以下等式成立：

2)對于?P，Q∈G1有e(P，Q)=e(Q，P)-1。

3)在群G1中?P∈G1使得e(P，P)≠1。

4)對于P，Q∈G1，一定有確定的算法計算e(P，Q)。

下面是群G1中的幾個問題：

3)如果群G1中判定問題是容易的，計算問題是難解的，那么就稱群G1為GDH群。

1.2 單向散列鏈

隨機選取a作為散列鏈的初始值,通過將單向散列函數(shù)H(·)進行遞歸運算Hk(a)=H(Hk-1(a))得到一組散列值序列a，H(a)，H2(a)，…，Hk(a)，…，HT(a)，其中參數(shù)(k＝1，2，…，T；H0(a)=a)，就稱這組散列值序列為長度為T，初始值為a的單向散列鏈。其滿足以下性質(zhì)：

1)知道Hk(a)但沒有獲得值a,無法計算出Hk-1(a)。

2)通過Hk(a)可以驗證Hk-1(a)的正確性,即計算H(Hk-1(a))=Hk(a)若等式成立說明Hk-1(a)是正確的。

2 簽名描述

2.1 系統(tǒng)參數(shù)

假設(shè)由生成元p生成的階為q的循環(huán)加法群為G1（其中為q安全的大素數(shù)），階為q的循環(huán)乘法群為G2，雙線性對e:G1×G1→G2是G1×G1到G2的一個雙線性的映射，另外定義三個安全的Hash函數(shù)H1:{0，1}*→G1，，。將以下系統(tǒng)參數(shù)(G1，G2，e，q，p，H1，H2，H3)公開。本簽名方案的參與者有l(wèi)個原始簽名人，私鑰為，(0≤i≤l)，公鑰是PAi=xAiP；一個代理簽名人B，其私鑰為xB，公鑰是PB。在全部的原始簽名人中假設(shè)Ai(0≤i≤l1)個需要代理人代理自己簽名，剩余的原始簽名人Aj(l1＜j≤l1＋l2=l)自己參與簽名。原始簽名人Ai指定一個合理的時間段1，2，…，T，將原始簽名人Ai(0≤i≤l1)給代理簽名人B的委托授權(quán)記為wi(0≤i≤l1)，wi內(nèi)容涵蓋Ai、B的身份、權(quán)限以及代理權(quán)的有效期限等。

2.2 簽名權(quán)委托

Ai(0≤i≤l1)生成隨機數(shù)，計算等式:

則Ri=riP，Ri，wi為公共參數(shù)，然后把SAi傳遞給B，B收到SAi后，計算下列等式是否成立：

如果等式成立，那么B認(rèn)為Ai委托有效，等式不成立則認(rèn)為Ai的委托無效，或者告訴Ai重發(fā)SAi。

2.3 生成代理密鑰

令xB，0=xB，則代理簽名人B初始密鑰為：

代理簽名人B根據(jù)S0計算出公共參數(shù)，記，當(dāng)一個時間段變?yōu)閗(0＜k≤T)時，B通過k-1時間段的私鑰xB，k-1算出當(dāng)前時間段私鑰xB，k以及當(dāng)前時間段的簽名密鑰Sk:

代理簽名人B把時間段更新為下一時間段，為了保證安全性，銷毀xB，k-1和Sk-1。生成一個隨機數(shù)，將其作為散列鏈的初始值并保密存放。計算z0=H3T(a)，銷毀計算中的臨時值并公開z0，將其用于后向安全驗證。

2.4 簽名完成

1)原始簽名人Aj(l1＜j≤l1＋l2)參與消息M的簽名，生成隨機數(shù)，并計算：

公開(uj，vj)。

2)代理簽名人B參與消息M的簽名，生成兩個連續(xù)的散列值zk，zk+1，其中zk=H3(zk+1)計算，g=e(P，P)，隨機選取，計算：

公開(u，v)。

3)B得到全部vj以后，計算等式(12)確定vj的有效性，其余原始簽名人計算等式(13)確定v的有效性:

如果所有vj，v都是有效的則B計算：

那么最后生成的簽名為：(k，wi，，uj，u，M，Zk，zk+1)(0≤i≤l1，l1＜j≤l1+l2).

2.5 驗證簽名

簽名驗證人D得到(k，wi，，uj，u，M，Zk，zk+1)簽名后，先比較時間段k與真正的時間段值是否一致，如果不一致則認(rèn)為簽名無效。如果一致，則閱讀委托授權(quán)信息wi，看委托權(quán)限是否超出范圍或者代理權(quán)是否過期，如果委托權(quán)限超出范圍或代理權(quán)過期則拒絕接受簽名，否則，算出h，并計算下列等式：

若等式成立再驗證zk+1正確性，若下式成立

則D認(rèn)為簽名有效。

3 可行性證明

定理1若文中(15)式成立，則混合代理簽名(k，wi，，uj，u，M，Zk，zk+1)是有效的。

證明：

此式成立說明混合代理簽名(k，wi，，uj，u，M，Zk，zk+1)是有效的。

定理2若(16)式，(17)式成立，則混合代理簽名(k，wi，，uj，u，M，Zk，zk+1)中zk+1是正確的。

證明：

以上兩式成立說明zk+1是正確的。

4 安全性及效率分析

前向安全性：若k時間段B的簽名密鑰泄露，攻擊者想要獲得k時間段之前的簽名秘鑰需要解模合數(shù)平方根問題，其困難性等價于因子分解問題，因此不可能成功。代理簽名是前向安全的。

后向安全性：若第k時間段B的簽名密鑰泄露，攻擊者想要偽造第k+1時間段簽名必須要知道zk+2，但是散列函數(shù)是單向的，由zk+2容易計算出zk+1，通過zk+1計算出zk+1是不可行的，任意偽造一個z'k+2也無法通過驗證等式，保證了方案的后向安全性。

抵抗偽造攻擊：攻擊者在沒有獲得k時間段的代理密鑰時不可能偽造簽名，如果攻擊者獲得了k時間段的代理密鑰，那么由前向安全性和后向安全性的分析可知，簽名是前向安全和后向安全的，攻擊者不能偽造過去和未來時間段的簽名。

其他安全性：委托授權(quán)信息wi(0≤i≤l1)在驗證等式中出現(xiàn)，驗證人能夠識別原始簽名人和代理簽名人的身份以及委托權(quán)限和有效期；參加簽名所有人的公鑰也在驗證等式中出現(xiàn)，驗證人可以確認(rèn)簽名的正確性；以上分析的兩個方面保證了簽名的可驗證性、不可否認(rèn)性也能防止代理權(quán)的濫用。

效率分析：方案中主要涉及的運算包括雙線性對運算、群G1上的乘法運算、群G1上的加運算和Zq上的乘法運算，分別用Pa、Pm、Ad、Mu表示。其中委托代理權(quán)的原始簽名人數(shù)量為m,參加簽名的原始簽名人數(shù)量為n，由于散列運算速度相對其他運算速度較快，所以不計散列運算的計算量。那么本文方案和文獻(xiàn)[12]方案的計算復(fù)雜度分析如表1。

表1 本文方案和文獻(xiàn)[12]計算復(fù)雜度

本文的方案在文獻(xiàn)[12]方案的基礎(chǔ)上增加了單向散列鏈，雖然少量增加了雙線性對和標(biāo)量乘法運算，計算量有所增加，但是能夠使方案具備后向安全性。

5 結(jié)語

本文利用單向散列鏈，設(shè)計了一個混合代理多重簽名方案。新方案既有原方案的前向安全性又增加了后向安全性，如果當(dāng)前時間段密鑰丟失，今后時間段簽名也不會被假冒，最后對安全性和效率做了分析。本文的方案較復(fù)雜，下一步的研究方法是考慮如何設(shè)計更加簡單高效的簽名方案。

[1]RiVest R L,Shamir A,Adleman L.A method for obtaining digital signaures and public key cryptosystems[J].Communications of the ACM,February 1978,21(2):120-126.

[2]Mambo M,Usuda K,Okamoto E.Proxy signature: dellegation of the power to sign messages[J].IEI-CE Trans Fundamentals,1996,79(9):1338-1354.

[3]伊麗江,白國強,肖國鎮(zhèn).代理多重簽名[J].計算機研究與發(fā)展,2001,38(2):204-206.

[4]祁傳達(dá),陶建平,金晨輝.一個安全的多重代理簽名方案[J].計算機應(yīng)用研究,2006,23(4):110-111.

[5]李傳目.多重代理多重簽名方案[J].計算機工程,2003,29(21):43-44.

[6]Zhang J.Improvement of a forward-secure multi-proxy signature scheme[J].Journal of Networks,2011,6(9): 1272-1279.

[7]Huang P H，Wen H A，Wang C H,et al.Proxy multisignature schemes[J].Informatica,2007,18(1):55-60.

[8]Tiwari N，Padhye S，He D.Efficient ID-based multiproxy multisignature without bilinear maps in ROM[J].Annals of telecommunications,2013,68(3-4):231-237.

[9]Wang Z C,Qian H F,Li Z B.Hybrid proxy multisignature:a new type multi-party signature[J]. Information Sciences,2007,117(24):5638-5650.

[10]申平,張建中.新的混合代理多重簽名方案[J].計算機應(yīng)用研究,2009,26(2):711-712.

[11]Anderson R.Two remarks on public key cryptology[C] //The Fourth ACM Computer and Communication Security.New York：ACM Press,1997:151-160.

[12]萬世昌,程麗紅,張珍.前向安全的混合代理多重簽名方案[J].計算機工程與應(yīng)用,2011,47(12):80-82.

[13]何濱,杜偉章.前向安全無證書代理盲簽名方案的分析與改進[J].計算機工程與應(yīng)用,2013,49(22):104-109.

（責(zé)任編輯：李堆淑）

A Backward Secure Hybrid Proxy Multi-Signature Scheme

WAN Shi-chang
（College of Mathematics and Computer Application，Shangluo University，Shangluo 726000,Shaanxi）

A random number is taken as the seed,the hash operation is done continuously,and the orderly hash values generated in the calculation constituted a one-way hash chain.A hybrid proxy multi-signature scheme was designed by the one-way hash chain.The hash value of the current period in the new scheme to participate in the signature calculation and has been verified in the signature verification phase,it ensured the backward security of the scheme.Once the secret keys of proxy signers were lost,signatures of past and future periods can not be forged by an attacker.At last the security and efficiency of the proposed scheme were analyzed.

one-way hash chain;proxy signature;hybrid proxy multi-signature;backward security

TN918.1

A

1674-0033（2015）06-0015-04

10.13440/j.slxy.1674-0033.2015.06.004

2015-10-26

萬世昌，男，陜西商南人，碩士，講師