黃月英,禹勇,姜建國

(1.湛江師范學(xué)院 基礎(chǔ)教育學(xué)院,廣東 湛江 524300;2.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,四川 成都 610054;3.西安電子科技大學(xué) 計(jì)算機(jī)學(xué)院,陜西 西安 710071)

Mambo, Usuda 和Okamoto等人[1]于1996 年提出了第一個代理簽名方案,利用代理簽名機(jī)制,代理簽名人可以代表原始簽名人對消息簽名.近年來,基于不同的應(yīng)用出現(xiàn)了不同形式的代理簽名方案,如張寧等人[2]提出的基于橢圓曲線的代理簽名方案與Sun等人[3-4]提出的帶有時(shí)間戳的代理簽名方案.在代理簽名密鑰泄漏或者代理簽名人濫用代理簽名權(quán)力,需要提前撤銷該代理簽名人的代理權(quán)力時(shí),原始簽名人束手無策.禹勇等人[5]提出了一個具有快速撤銷功能的代理簽名方案,他們的方案基于雙線性對,不是基于橢圓曲線的,實(shí)際操作性不強(qiáng).

借鑒Dan Boneh等人在文獻(xiàn)[6]中的思想,本文中提出了一個具備快速撤銷功能的代理簽名方案,引入了一個安全中介SEM,其作用是：(1)幫助合法的代理簽名人生成有效的代理簽名;(2)監(jiān)督代理簽名人是否按照授權(quán)證書的規(guī)定簽名;(3)檢查代理簽名人的簽名權(quán)利是否被撤銷.代理簽名人只有與SEM合作才能生成有效的簽名.提出的方案基于橢圓曲線,計(jì)算有效且簽名長度短.

1 提出的代理簽名的方案

1.1方案描述在提出的方案中,除了代理簽名驗(yàn)證人外,還包含3方：原始簽名人A、代理簽名人B和安全中介SEM,任何人都可以驗(yàn)證代理簽名的有效性.SEM是一個半可信在線第三方,負(fù)責(zé)驗(yàn)證代理授權(quán)和計(jì)算部分代理簽名.在驗(yàn)證代理授權(quán)時(shí),SEM檢查代理期限是否有效,代理簽名人是否在撤銷列表中.如果都有效,SEM給代理簽名人發(fā)送部分代理簽名,沒有SEM的幫助,代理簽名人無法獨(dú)立生成一個有效的代理簽名.因此,如果某個代理簽名是在代理期限時(shí)間外生成的,那么代理簽名人無法聲稱該簽名是在代理期限時(shí)間內(nèi)生成的,驗(yàn)證者可驗(yàn)證代理簽名的發(fā)生時(shí)間.并且,提出的方案具有快速撤銷的功能,如果原始簽名人要提前撤銷某個代理簽名人的簽名權(quán),他只需通知SEM停止給該代理簽名人提供幫助.方案描述如下：

代理簽名方案一般需要涉及3方的參與.首先由A提出委托請求,SEM接受請求后生成部分代理簽名,發(fā)送給B;B在此基礎(chǔ)上再生成完整的代理簽名.在這個方案中系統(tǒng)參數(shù)可以在可信第三方或原始簽名人或代理簽名人中任何一個產(chǎn)生.在這里假設(shè)是原始簽名人A來選取系統(tǒng)參數(shù).

(1)初始化過程

A 進(jìn)行如下操作：

①選擇E為定義在域F上的一條橢圓曲線,P∈E是E上一個階為n的點(diǎn).

②隨機(jī)選擇正整數(shù)kA,0

B生成自己的密鑰對:

③隨機(jī)選擇正整數(shù)kB,0

SEM生成自己的密鑰對:

④隨機(jī)選擇正整數(shù)kB,0

⑤選擇散列函數(shù)H.公開系統(tǒng)參數(shù){E,n,P,PA,PB,PS,H} .

(2)委托過程(包括部分代理簽名的生成)

①原始簽名人A生成授權(quán)證書w,在w中包含原始簽名人、指定的代理簽名人和SEM的身份,簽名授權(quán)的有效期限,需要簽名的消息范圍以及其它授權(quán)信息.

③A將{w,σB,Q0}公開地傳送給B,將{w,σS,Q0}公開地傳送給SEM.

B在收到{w,σB,Q0}后,利用已知的系統(tǒng)公開參數(shù)和自己的私鑰驗(yàn)證委托信息的有效性.

SEM在收到{w,σS,Q0}后,首先,SEM檢查條件：(1)授權(quán)證書w中的代理期限是否有效;(2){w,Q0}是否在自己的撤銷列表中.如果{w,Q0}在SEM的撤銷列表中,表明該代理簽名人的簽名權(quán)力已被撤銷.若代理期限有效且{w,Q0}不在撤銷列表中,SEM給代理簽名人提供簽名幫助.然后,利用已知的系統(tǒng)公開參數(shù)和自己的私鑰驗(yàn)證委托信息的有效性,再用自己的私鑰生成部分代理簽名密鑰.

⑥解密σS.計(jì)算kSQ0=(xS,yS),σS′=σS·xS.

(3)代理簽名的生成過程

B對需要簽字的消息m ,這里假設(shè)0

①B對SEM送來的{s1,Q1}進(jìn)行驗(yàn)證,判斷等式s1P=r1(PA+r0Q0+PSH(w))是否成立,等式成立則接受,否則要求SEM重新發(fā)送.

證明過程如下：

②隨機(jī)選擇正整數(shù)k2,0

(4)代理簽名的驗(yàn)證過程

C在收到簽名{m,s2,w,Q0,Q2},通過以下計(jì)算進(jìn)行驗(yàn)證.

②判斷等式x′modn≡x2modn 是否成立,成立此代理簽名有效.

驗(yàn)證過程的正確性可證明如下:

(5)授權(quán)撤銷

原始簽名人可以提前撤銷B的簽名權(quán),此時(shí),原始簽名人只需通知SEM把{w,Q0}加入撤銷列表中.當(dāng)代理簽名人請求SEM幫助他生成代理簽名時(shí),SEM檢查代理授權(quán)日期是否過期以及在撤銷列表中是否包含{w,Q0},只要有一個條件成立,SEM都不會為該代理簽名人提供簽名幫助.一旦SEM發(fā)現(xiàn)某個代理權(quán)限已經(jīng)過期,他就從撤銷列表中刪除對應(yīng)的{w,Q0}項(xiàng),以免撤銷列表長度無限增加.

1.2安全性分析該方案的安全性基于橢圓曲線離散對數(shù)問題(ECDLP) 的困難性,在整個方案中,總假設(shè)ECDLP是難解的.

(1)正確性SEM的部分代理簽名驗(yàn)證和B的代理簽名驗(yàn)證都是正確的.在前面已經(jīng)做過證明,這里不再贅述.

(2)可驗(yàn)證性 在提出的方案中,對消息的代理簽名由{ m,s2,w,Q0,Q2}組成.簽名驗(yàn)證人可以從授權(quán)中得知原始簽名人、代理簽名人和SEM的身份,并且,由于在代理簽名驗(yàn)證中使用到原始簽名人的公鑰PA,簽名驗(yàn)證人可以相信對該消息的簽名是經(jīng)過原始簽名人同意的.

(4)強(qiáng)可區(qū)分性 原始簽名者的公鑰及代理簽名者的公鑰都會出現(xiàn)在代理簽名的驗(yàn)證等式里,而且授權(quán)信息也包含在代理簽名和簽名驗(yàn)證等式里面,因此任何人都可以從授權(quán)信息里識別代理簽名者的身份,很好地滿足可區(qū)分性.

(5)強(qiáng)不可否認(rèn)性 由于授權(quán)信息,包含在有效的驗(yàn)證等式里,因此代理簽名人不能更改.原始簽名人對授權(quán)信息進(jìn)行了簽名,而代理簽名的驗(yàn)證等式中也包含了此授權(quán),一旦做了授權(quán)簽名,原始簽名人就不能否認(rèn)自己的簽名,并且原始簽名人私鑰包含在其中,A想要否認(rèn)自己的簽名是不可能的.代理密鑰里面有代理簽名者的私鑰,一旦代理簽名者為原始簽名者創(chuàng)建了一個有效的代理簽名,他就無法否認(rèn)自己的簽名.

(6)防止簽名權(quán)利濫用 由代理簽名生成過程可知,只有代理簽名人B與SEM合作才能代表原始簽名人生成有效的代理簽名,因此,SEM要對代理簽名負(fù)責(zé).一經(jīng)發(fā)現(xiàn)代理簽名人B濫用簽名權(quán)利,原始簽名人立即通知SEM停止給B提供簽名幫助,這樣因B得不到SEM的部分代理簽名而無法生成有效的代理簽名,達(dá)到了即時(shí)撤銷的目的.除代理簽名人之外的其他人都無法濫用簽名權(quán),因?yàn)樗麄儾荒苌捎行У拇砗灻?

2 結(jié)束語

已有的攻擊算法表明[7],基于ECDLP 的困難性要高于一般乘法群上的離散對數(shù)問題的困難性,且橢圓曲線所基于的域的運(yùn)算位數(shù)遠(yuǎn)小于傳統(tǒng)離散對數(shù)的運(yùn)算位數(shù),很容易在計(jì)算機(jī)的軟件和硬件上實(shí)現(xiàn).現(xiàn)有的代理簽名方案大多是基于離散對數(shù)問題和大數(shù)因子分解問題的方案,文獻(xiàn)[2]中提出了基于橢圓曲線的代理數(shù)字簽名,但是這個方案不能提前撤銷代理簽名人的權(quán)利.本文中對SEM的引入較好地解決了代理快速撤銷問題,并且基于橢圓曲線,實(shí)際操作性強(qiáng),且該方案具有快速撤銷的功能.

參考文獻(xiàn)：

[1] Mambo M,Usuda K,Okamoto E.Proxy Signatures:Delegation of the power to sign measages[J].IEICE Trans,1996,E792A(9):13382-1354.

[2] 張寧,傅曉彤,肖國鎮(zhèn).對基于橢圓曲線的代理簽名的研究與改進(jìn)[J].西安電子科技大學(xué)學(xué)報(bào):自然科學(xué)版,2005,32(2):280-283.

[3] Sun H M,Chen B J.Time-stamped proxy signatures with traceable receivers[C]//Proceedings of the ninth national conference on Information security, Taiwan: Chaoyan University of Technology,1999:247-253.

[4] Sun H M. Design of time-stamped proxy signatures with traceable receivers[C]//IEE Proc.Computers & Digital Techniques:147(6).London: IEE,2000:462-466.

[5] 禹勇,楊波,孫穎,等.具有快速撤銷功能的代理簽名方案[J].西安電子科技大學(xué)學(xué)報(bào)：自然科學(xué)版,2007,34(4)：638-641.

[6] Boneh D, Ding X, Tsudik G. A method for fast revocation of public key certificates and security capabilities[C]// Proceedings of the 10th USENIX Security Symposium. Washington D C,2001:297-308.

[7] 張方國,陳曉峰,王育民.橢圓曲線離散對數(shù)的攻擊現(xiàn)狀[J].西安電子科技大學(xué)學(xué)報(bào):自然科學(xué)版,2002,29(3):3982402.