一種存在特權(quán)集的多重代理多重簽名方案

曹陽

(陜西理工大學(xué) 數(shù)學(xué)與計算機科學(xué)學(xué)院,陜西 漢中 723000)

一種存在特權(quán)集的多重代理多重簽名方案

曹陽

(陜西理工大學(xué) 數(shù)學(xué)與計算機科學(xué)學(xué)院,陜西 漢中 723000)

特權(quán)集;多重代理;多重簽名;離散對數(shù)問題

0 引言

Desmedt[1]等人于1991年首次提出了門限簽名思想,要求群中參與簽名的人數(shù)必須為t個或t個以上才能生成合法的群簽名。實際應(yīng)用中,又會遇到簽名者將簽名權(quán)利委托給他人的情況,Kim[2]和Zhang[3]將代理簽名和門限共享機制相結(jié)合提出了門限代理簽名方案。為了解決簽名者權(quán)限不同的問題,陳偉東、馮登國[4]等人2005年把特權(quán)集引入到門限簽名方案中,并提出了特權(quán)集門限方案。近年來,為了解決簽名中的安全隱患,在文獻[4]的基礎(chǔ)上,將代理簽名與存在特權(quán)集門限群簽名思想相結(jié)合的方案[5-17]被不少學(xué)者提出,但仍然存在安全隱患,如文獻[5]所提出的方案存在可信密鑰認證中心KAC(Key Authentication Center)權(quán)力過大,成員的秘密份額中沒有加入成員的任何信息,致使KAC很容易發(fā)起偽造攻擊、內(nèi)部成員會成功發(fā)起合謀攻擊;文獻[6]所提出的方案存在KAC偽造攻擊、密鑰泄露問題;文獻[7]所提出的方案不能抵抗合謀攻擊、仍然存在KAC偽造攻擊;文獻[8]所提出的方案不能抵抗合謀攻擊和偽造攻擊;文獻[9]所提出的方案每次參與代理簽名的只有一個特權(quán)者,如果有大于一個以上的特權(quán)者參與,方案不能實現(xiàn)。

本文針對門限代理簽名中存在的內(nèi)部成員合謀攻擊、可信密鑰認證中心KAC及簽名者偽造攻擊、簽名方權(quán)限不同等安全問題,結(jié)合文獻[11]提出的安全性分析,提出了一種存在特權(quán)集的多重代理多重簽名方案,并對方案的正確性進行證明,安全性進行分析。

1 方案構(gòu)成

1.1 初始化

(1)選取安全大素數(shù)p,q且q|p-1;取本原元α,α∈Fq,Fq為有限域;H()為無碰撞的安全單向hash函數(shù);M表示待簽名的消息。

(4)計算保密原始簽名群UO密鑰vUo=(fO(0)+gO(0))modq,公開UO群公鑰VUO=αvUOmodp;計算保密代理簽名群UP密鑰vUP=(fP(0)+gP(0))modq,公開UP群公鑰VUP=αvUPmodp。

(5)授權(quán)證書WM,WM記載了簽名群、代理簽名群用戶的身份信息,證書有效期限,公鑰信息、簽名權(quán)限等。

(6)公布所有的公鑰和H()。

1.2 秘密共享階段

(1)

(2)

(3)

(4)

若等式成立,普通用戶計算公開VPi=(VPi1=αaPimodp,VPi2=1),特權(quán)用戶計算公開VPi=(VPi1=αaPimodp,VPi2=αaPi′modp)。

1.3 代理授權(quán)份額生成

按照任意t1個或t1個以上的原始簽名者且特權(quán)集中至少有t1′個原始簽名者可以代表群體UO將簽名權(quán)委托給群體UP的要求?，F(xiàn)假設(shè)已成功選出實際參與授權(quán)的原始簽名者為DO={U1,U2,…,Ut1},DO?UO,其中有t1′個特權(quán)用戶,選取其中一名簽名者為簽名秘書SD。代理簽名過程中必須滿足t2個或t2個以上的代理簽名者且特權(quán)集中至少有t2′個代理簽名者可以代表群體UP對消息M進行簽名。假設(shè)實際參與對消息M簽名的代理簽名者為DP={P1,P2,…,Pt2},DP?UP,其中恰有t2′個特權(quán)用戶。

GUi=ci+(aUiλUi+aUi′μUij+sUi)H(WM‖C‖D‖S)modq

YU*j表示第j個特權(quán)用戶的特權(quán)身份,發(fā)送GUi給SD。

1.4 代理簽名生成

假設(shè)實際參與對消息M簽名的代理簽名者為DP={P1,P2,…,Pt2},DP?UP,其中恰有t2′個特權(quán)用戶。

YP*j表示第j個代理特權(quán)用戶的特權(quán)身份,計算GPi′=g+GPimodq,VPi′=αGPi′modp,公開VPi′。

1.5 代理群簽名驗證

2 方案分析

2.1 正確性分析

因為普通用戶正確性證明和特權(quán)用戶類似,以下證明皆證明特權(quán)用戶的正確性。

(1)代理授權(quán)份額生成正確性。

證明:

由以上證明知,代理授權(quán)份額生成是正確的。

證明:

VPi'=αGPi′=α(g+GPi)=αgαGPi=

由以上證明知,等式能判斷代理簽名者中是否存在冒充。

(3)單個簽名的有效性。

證明:

αδPi=αGPi′H(M‖R)-rPiR=α(g+GPi)H(M‖R)-rPiR=

所以:αδPiRPiR=(Ct2-1Di(VUOt2-1SUt2-1VPi1λPiVPi2μPij2SPi)H(WM‖C‖D‖S))H(M‖R),單個簽名有效。

(4)代理簽名的有效性。

證明:

(C(SUVUO)H(WM‖C‖D‖S)D(SPVUP)H(WM‖C‖D‖S))H(M‖R)=

(CD(SVUOVUP)H(WM‖C‖D‖S))H(M‖R)

由以上證明知,對消息M的(t2′,n2′;t2,n2)多重代理多重群簽名是有效的。

2.2 安全性分析

(1)可驗證性

通過上述正確性證明知,方案中代理授權(quán)份額生成、判斷代理簽名者中是否存在冒充、單個簽名有效性、代理簽名有效性都是可驗證的,且正確。代理授權(quán)份額生成、代理簽名生成、代理群簽名驗證中利用了單向hash函數(shù)的不可求逆性及求解離散對數(shù)的困難性,以確保方案的安全性。

(2)特權(quán)集門限特性

方案中必須滿足任意t1個或t1個以上的原始簽名者且特權(quán)集中至少有t1′個原始簽名者可以代表原始簽名群體UO將簽名權(quán)委托給代理簽名群體UP的要求,在代理簽名過程中也必須滿足t2個或t2個以上的代理簽名者且特權(quán)集中至少有t2′個代理簽名者可以代表群體UP對消息M進行簽名。否則,無論是原始簽名群體還是代理簽名群體都無法生成群簽名密鑰。

(3)不可偽造性

(4)抗內(nèi)部成員合謀攻擊性

原始簽名群內(nèi)部t1個用戶聯(lián)合,無法實現(xiàn)合謀攻擊。代理授權(quán)過程中,采用雙秘密共享。如果原始簽名群內(nèi)部有t1個用戶一起合謀攻擊,但特權(quán)用戶少于t1′個,由拉格朗日插值公式知,他們無法恢復(fù)群密鑰vUo=(fO(0)+gO(0))modq;即使恰有t1’個特權(quán)用戶,他們也無法恢復(fù)群密鑰,因為他們的秘密份額aUi=fO(bUi+XUi),aUi′=gO(bUi+YUij)中加入了隨機數(shù),任何人都無法得到,所以原始簽名群內(nèi)部t1個用戶一起合謀攻擊無法實現(xiàn)。

代理簽名群內(nèi)部t2個用戶聯(lián)合,無法實現(xiàn)合謀攻擊。代理簽名過程中,也采用雙秘密共享。如果代理簽名群內(nèi)部有t2個用戶一起合謀攻擊,但特權(quán)用戶少于t2′個,由拉格朗日插值公式知,他們無法恢復(fù)群密鑰vUP=(fP(0)+gP(0))modq;即使恰有t2′個特權(quán)用戶,也無法恢復(fù)群密鑰,因為aPi=fP(bPi+XPi),aPi′=gP(bPi+YPij)中加入了隨機數(shù),任何人都無法得到,所以代理簽名群內(nèi)部t2個用戶一起合謀攻擊無法實現(xiàn)。

(5)匿名性和可追蹤性

方案中所有簽名用戶都擁有一個身份標識,秘密份額的生成與用戶的真實身份無關(guān),進而實現(xiàn)匿名性。簽名過程中,簽名密鑰中加入了原始簽名者和代理簽名者的身份和私鑰,簽名服務(wù)機構(gòu)SC將化名身份XUi,XPi代入身份識別函數(shù)H()中即可追蹤到簽名人的身份。

2.3 安全性比較

方案從抗會話密鑰安全性、KAC偽造攻擊、特權(quán)集門限特性、抗聯(lián)合攻擊、匿名性五個方面與引言中提到的文獻[6-9]相比較。安全性比較如表1所示。其中 “Y” 表示具有該方面的安全性;“N”表示不具有該方面的安全性;“S1”代表抗KAC偽造攻擊;“S2”代表會話密鑰安全性;“S3”代表抗聯(lián)合攻擊;“S4”代表參與授權(quán)或代理簽名的特權(quán)用戶個數(shù)是否大于1;“S5”代表匿名性。

表1 安全性比較Table 1 Comparison with security

3 結(jié)束語

基于離散對數(shù)問題的難解性、hash函數(shù)的單向性及大數(shù)分解的困難性,提出了一種存在特權(quán)集可驗證的門限多重代理多重簽名方案。安全分析表明,方案具有不可偽造性、抗合謀攻擊性、可驗證性、匿名性和可追蹤性等特點,具有一定的應(yīng)用價值。

[1] Desmedt Y,Frankel Y.Shared Generation of Authenticators and Signatures[A].Advances in Cryptology-CRYPTO′91[C].Berlin:Springer-Verlag,1992:457-469.DOI:10.1007/3-540-46766-1-3.

[2] KIM S,PARK S,WON D.Proxy Signatures Revisited[C]∥Proceedings of the 1st International Conference.[S.1.]:Springer,1997:223-232.DOI:10.1007/BFb0028478.

[3] Zhang K.Threshold Proxy Signature Schemes [C]∥Proceedings of the 1st Interna-tional Workshop [S.1.]:Springer,1998:282-290.DOI:10.1007/978-3-642-20291-9-39.

[4] 陳偉東,馮登國.一類存在特權(quán)集的門限群簽名方案[J].軟件學(xué)報,2005,16(7):1289-1295.

[5] 王澤成,斯桃枝,李志斌.安全增強的存在特權(quán)集的門限群簽名方案[J].計算機工程與應(yīng)用,2007,43(9):151-153.

[6] 王天芹.存在特權(quán)集的門限代理群簽名[J].計算機應(yīng)用研究,2008,25(7):2146-2147.

[7] Yang C,Tang X.Th Reshold Multi-proxy and Multi-signature Schemes with Various Characteristics[J].ComputerEngineering,2009,35(13):160-162.

[8] 王志波,李雄,杜萍.共享可驗證的不可否認門限多代理多重簽名方案[J].計算機工程與應(yīng)用,2011,47(9):93-96.

[9] 李志敏,王勇兵.有特權(quán)者的門限代理簽名方案[J].西北師范大學(xué)學(xué)報(自然科學(xué)版),2013,49(3):46-50.

[10] 董玉蓉,汪學(xué)明.一種改進的存在特權(quán)集的門限群簽名方案[J].計算機工程與科學(xué),2011,33(4):0013-0016.

[11] 王勇兵,王際川.對存在特權(quán)集的門限群簽名方案的安全性分析[J].計算機工程與應(yīng)用,2010,46(9):80-82.

[12] 陳道偉,施榮華,樊翔宇.一種存在特權(quán)集的門限群代理多重簽名方案[J].小型微型計算機系統(tǒng),2012,33(11):2514-2517.

[13] 趙之洛,繆祥華,唐鳴，等.一種共享驗證門限的多代理多重簽名方案[J].黑龍江科技大學(xué)學(xué)報,2014,24(3):317-322

[14] 湯志鵬,郭紅麗,何濤.基于雙線性的有特權(quán)集門限代理簽名方案[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版),2014,9:1063-1066.

[15] 周鋒.HECC雙線性對特權(quán)集的門限群簽名方案[J].信息通信,2015,6:76-76.

[16] 徐海峰,洪峰.可證明安全的單向可變門限代理重簽名方案[J].計算機工程, 2016,42(4):143-146.

[17] 汪雄,鄧倫治.可證明安全的基于身份的不可否認簽名方案[J].計算機應(yīng)用,2016,36(10):2738-2741.

AMulti-proxyandMulti-signatureSchemewithPrivilegeSubsets

CAO Yang

(SchoolofMathematicsandComputerScience,ShaanxiUniversityofTechnology,Hanzhong723000,China)

Facing the problems of collusion attack, forgery attack, different signature permissions in threshold multi-proxy and multi-signature scheme, this paper takes the advantage of unipolarity of hash function and the intractability of discrete logarithm problem,combines with the Shamir (t,n) threshold scheme, and puts forward a multi-proxy and multi-signature scheme with privilege subsets.In the scheme, if there are arbitraryt1or more thant1original signers and there are at leastt1’ privilege users in the privilege subsets, they can represent the original signature groupUOto relegate the signature right to proxy signature groupUP. If there aret2or more thant2proxy signers, and there are at leastt2’ privilege users in the subsets, they can represent the proxy signature groupUPto sign on messageM. The safety analysis shows that the scheme possesses the security properties which a threshold proxy signature should have.

privilege subsets;multi-proxy;multi-signature;discrete logarithm problem

10.13451/j.cnki.shanxi.univ(nat.sci.).2017.04.011

2016-12-16；

2017-02-07

國家自然科學(xué)基金(21373132)；陜西省教育廳科研計劃項目(17JK0148)

曹陽(1978-)，女，四川人，碩士講師，研究方向：信息安全與計算機應(yīng)用。E-mail:cyang0618@sina.com

TP393

A

0253-2395(2017)04-0736-07