別躍軍，沈忠華，王　剛

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

一種基于身份的代理門限環(huán)簽名方案

別躍軍，沈忠華，王剛

(杭州師范大學(xué)理學(xué)院，浙江 杭州 310036)

摘要：在門限環(huán)簽名體制中，任何t個或者多于t個環(huán)成員可以代表整個環(huán)產(chǎn)生一個有效的環(huán)簽名，代理簽名能夠?qū)崿F(xiàn)簽名權(quán)利的委托.基于雙線對難解性的問題，提出一個安全的代理門限環(huán)簽名方案，少于t個代理環(huán)成員無法生成一個有效的代理門限環(huán)簽名，驗證者只能確定代理簽名人來自某個環(huán)，無法獲知代理簽名人的身份信息.該方案滿足匿名性，并在CDHP問題困難的前提下，滿足適應(yīng)性選擇消息攻擊下的不可偽造性.

關(guān)鍵詞：基于身份；代理簽名；門限簽名；環(huán)簽名；雙線性對

0引言

隨著信息時代的到來，信息安全的重要性也日趨突顯，數(shù)字簽名作為信息安全的重要手段，它能保證信息傳輸?shù)耐暾?、對于發(fā)送者的身份認(rèn)證和防止交易中的抵賴發(fā)生.文獻(xiàn)[1]首次提出了一種基于身份的公鑰密碼體制，在該密碼體制中，可以由用戶的身份公開計算得到用戶的公鑰，可信中心(PKG)可以通過系統(tǒng)密鑰生成用戶的私鑰，簡化了證書管理.文獻(xiàn)[2]提出了一種代理簽名的概念，簽名人在自己無法行使簽名時，將自己的簽名權(quán)利委托給代理人，由代理人行使簽名權(quán)利.文獻(xiàn)[3]首次提出了環(huán)簽名的概念，環(huán)簽名是一種簡化的群簽名，它沒有群管理者和群建立過程，在環(huán)簽名中，任何環(huán)成員可以利用自己的私鑰和環(huán)成員的公鑰進(jìn)行匿名簽名，使得驗證者能夠確定簽名人來自某個環(huán)，卻不能確定具體的簽名人.文獻(xiàn)[4]提出了一種門限環(huán)簽名，它具有門限簽名和環(huán)簽名的性質(zhì)，在門限環(huán)簽名中，任意t個或者多于t個環(huán)成員能夠代表整個環(huán)生成一個環(huán)簽名，少于t個則無法生成，同時驗證者無法確定具體的簽名人.文獻(xiàn)[5]提出了一種標(biāo)準(zhǔn)模型下可證安全的門限環(huán)簽名方案.文獻(xiàn)[6]提出了一種代理環(huán)簽名，它具有代理簽名和環(huán)簽名的功能特點，在代理環(huán)簽名中，代理簽名人代替原始簽名人進(jìn)行簽名的同時實現(xiàn)代理簽名人的匿名性，廣泛用于保護(hù)代理簽名人隱私的問題上.文獻(xiàn)[7-8]對于代理環(huán)簽名做了深化和擴(kuò)展.文獻(xiàn)[9]提出了第一個可證安全的代理門限環(huán)簽名方案.

本文在雙線性對難解性的基礎(chǔ)上，基于代理環(huán)簽名和門限環(huán)簽名的特點，提出了一種基于身份的代理門限環(huán)簽名方案，與文獻(xiàn)[9]相比，本方案的效率更高，運算量更小.它能夠解決如下的實際問題：董事長將簽名權(quán)利委托給董事會成員，t個及以上環(huán)成員可以代表董事長進(jìn)行匿名簽名.

1預(yù)備知識

1.1　雙線性對的性質(zhì)

1)雙線性：對任意P,Q,R∈G1，

e(P,Q+R)=e(P,Q)e(P,R)，

e(P+Q,R)=e(P,R)e(Q,R)，

e(aP,bQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab.

2)非退化性：存在P,Q∈G1，滿足e(P,Q)≠1.

3)可計算性：對任意P,Q∈G1，存在算法可以高效地計算e(P,Q).

1.2　困難假設(shè)

在群G1上有如下3個數(shù)學(xué)問題：

本文基于DDHP問題易解，而DLP問題和CDHP問題難解的Diffie-Hellman群G1的基礎(chǔ)上.同時需注意，雙線性分叉問題也是困難的，即給定P∈G1，r∈G2，找到Q∈G1，使得e(P,Q)=r.

2基于身份的代理門限環(huán)簽名方案

2.1　系統(tǒng)初始化

設(shè)G1是階為大素數(shù)q，生成元為P的循環(huán)加法群.群G2是階為q的循環(huán)乘法群.

2.2　系統(tǒng)私鑰提取

假設(shè)實施簽名委托的原始簽名人的身份為ID0，代理環(huán)簽名人的身份為IDi，則其分別對應(yīng)的公私鑰對為(QID0,SID0)，(QIDi,SIDi).

2.3　代理公私鑰及委托生成

原始簽名人A進(jìn)行如下步驟生成代理環(huán)簽名人的代理公私鑰和簽名委托：

1)生成一個委托證書mw，證書中包含原始簽名和代理簽名人的身份信息、文件類型、有效期等.計算h=H2(M||mw||D0||ID0)；

4)計算xi=hf(IDi)QID0，yi=ahf(IDi)QID0，zi=ahf(IDi)SID0(i=1,…,n)，其中xi為代理環(huán)簽名人的代理公鑰，(yi,zi)代理環(huán)簽名人的代理私鑰對.

將(mw,xi,yi,zi,t)(i=1,…,n)發(fā)送給對應(yīng)的代理環(huán)簽名人，t為門限值.

2.4　代理驗證

代理環(huán)簽名人收到(xi,yi,zi,t)后，公布xi.計算h=H2(M||mw||D0||ID0)，并做如下驗證：

2)驗證e(yi,P)=e(xi,P1)，成立則繼續(xù)，否則終止；

3)驗證e(zi,P)=e(xi,P2)，成立則接受委托代理，否則拒絕.

2.5　代理門限環(huán)簽名生成

真實代理環(huán)簽名人集合D1={ID1,ID2,…,IDt}，選擇一名可信的代理環(huán)簽名人Ak作為最終的實施和發(fā)布簽名者.

不包含代理環(huán)簽名人Ak的集合D2={IDi}(i=1,…,t,i≠k)進(jìn)行如下步驟：

3)計算hi=H2(M||mw||D0||Ui)，計算Vi=(ei+hi)SIDi+Lizi+liPpub；

并各自將(ci,Ui,hi,Vi)(i=1,…,t,i≠k)發(fā)送給可信代理環(huán)簽名人Ak.

可信代理環(huán)簽名人Ak進(jìn)行如下步驟生成代理門限環(huán)簽名：

3)計算hk=H2(M||mw||D0||Uk)，計算Vk=(ek+hk)SIDk+Lkzk+lkPpub；

2.6　簽名驗證

1)驗證hi=H2(M||mw||D0||Ui)(i=1,…,n)是否成立；

3安全性分析

3.1　方案和驗證等式的正確性

2)e(yi,P)=e(haf(IDi)QID0,P)=e(hf(IDi)QID0,aP)=e(xi,P1)；

3)e(zi,P)=e(haf(IDi)SID0,P)=e(hf(IDi)QID0,asP)=e(xi,P2)；

3.2　代理環(huán)簽名人的匿名性

3.3　代理門限環(huán)簽名在CDHP困難的前提下滿足不可偽造性

4效率分析

相比于雙線性對運算而言，群G1加法運算、群G1數(shù)乘運算和群G2數(shù)乘運算的運算量很小(因為群元素指數(shù)運算的計算量相對于雙線性對的運算量可以忽略不計)，因而本文只考慮雙線性對運算的運算量.黃奕芝等[9]方案的雙線性對運算的運算量為3n+t(n為代理環(huán)成員數(shù)，t為門限值)，而本文為8.

5結(jié)語

本文將門限環(huán)簽名和代理環(huán)簽名相結(jié)合，提出了一種基于身份的代理門限環(huán)簽名.與黃奕芝等[9]的方案相比，該方案將雙線性對的運算次數(shù)從O(n)降到了O(1)，提高了效率，不僅滿足匿名性，而且滿足在CDHP問題困難的前提下，適應(yīng)性選擇消息攻擊下的不可偽造性.

參考文獻(xiàn):

[1] Shamir A. ID-based cryptosystems and signature schemes[C]// Proc. CRYPTO’84. Berlin: Springer-Verlag,1984:47-53.

[2] Mambo M, Usuda K, Okamoto E, Proxy signatures for delegating signing operation[C]//Proc.3rd ACM Conference on Computer and Communications Security.New York: ACM Press,1996:48-57.

[3] Rivest, Shamir A, Tauman Y. How to leak a secret[C]//Lecture Notes in Computer Science. Berlin: Springer Verlag,2001:552-565.

[4] Bresson E, Sten J, Szydlo M. Threshold ring Signature and applications to ad-hoc groups[C] //Proc. CRYPTO’02.Berlin, Heidelberg, New York:Springer-Verlag,2002:465-480.

[5] 孫華,鐘珞,王愛民.標(biāo)準(zhǔn)模型下可證安全的基于身份門限環(huán)簽名[J].計算機(jī)工程與科學(xué),2013,35(3):92-96.

[6] Amit K, Sunder L. ID-based ring signature and proxy ring signature schemes from bilinear pairings[J]. Internal Journal of Network Security,2007,4(2):187-192.

[7] 張俊茸，任平安.一種基于身份的高效代理環(huán)簽名方案[J].計算機(jī)工程,2011,37(17):90-92.

[8] 夏祥勝,洪帆,崔國華.一個無證書的環(huán)代理簽名方案[J].小型微型計算機(jī)系統(tǒng),2012,33(4):764-767.

[9] 黃奕芝,王常吉.一種新的代理門限環(huán)簽名方案[C]//中國電子學(xué)會第十五屆信息論學(xué)術(shù)年會暨第一屆全國網(wǎng)絡(luò)編碼學(xué)術(shù)年會論文集:上冊.北京：國防工業(yè)出版社，2008:357-360.

[10] Saez G, Herranz J. Forking lemmas for ring signature scheme[C]//INDOCRYPT 2003, LNCS 2947.Berlin, Heidelberg: Springer-Verlag,2003:266-279.

ID-based Proxy Threshold Ring Signature Scheme

BIE Yuejun, SHEN Zhonghua, WANG Gang

(School of Science, Hangzhou Normal University, Hangzhou 310036, China)

Abstract:In the threshold ring signature cryptosystem, any t or more than t ring members can represent the entire ring to generate an efficient ring signature. Proxy signature can realize the delegate signature. A secure ID-based proxy threshold ring signature is proposed based on the intractable problem of bilinear pairings. Less than t ring members can’t generate an efficient proxy threshold ring signature. The verifier can only verify the proxy signer is from one ring, but cannot obtain the identity of the proxy signer. This scheme, which satisfies the anonymity and the unforgeability against adaptive chosen message attacks, is proved on the premise of the hardness of CDHP.

Key words:ID-based; proxy signature; threshold signature; ring signature; bilinear pairings

第14卷第1期2015年1月杭州師范大學(xué)學(xué)報(自然科學(xué)版)JournalofHangzhouNormalUniversity(NaturalScienceEdition)Vol.14No.1Jan.2015

文章編號:1674-232X(2015)01-0087-05

中圖分類號:TP309MSC2010: 94A60

文獻(xiàn)標(biāo)志碼:A

doi:10.3969/j.issn.1674-232X.2015.01.016

通信作者：沈忠華(1973-)，男，教授，主要從事數(shù)論與密碼學(xué)、信息安全技術(shù)等研究.E-mail：ahtshen@126.com

收稿日期：2013-09-26