張瑞麗　李順東

(陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院　陜西 西安 710119)

?

一個(gè)基于身份的代理簽名的分析與改進(jìn)

張瑞麗李順東

(陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院陜西 西安 710119)

針對(duì)Wu等人提出的基于身份的代理簽名方案進(jìn)行分析，指出該方案不滿足公開(kāi)驗(yàn)證性和不可偽造性，提出一種改進(jìn)的基于身份的代理簽名方案。該方案基于雙線性對(duì)運(yùn)算和離散對(duì)數(shù)的困難性問(wèn)題，滿足代理簽名的一般性安全要求。經(jīng)過(guò)分析證明，并與現(xiàn)有的其他方案比較，該方案效率較高。

基于身份代理簽名公開(kāi)驗(yàn)證性不可偽造性高效

0　引　言

1976年，Diffie和Hellman首次提出數(shù)字簽名[1]的概念。 1978年，Rives等人在第一個(gè)公鑰密碼體制的基礎(chǔ)上，提出第一個(gè)數(shù)字簽名方案[2]。隨著各種公鑰密碼學(xué)的發(fā)展，各類(lèi)相應(yīng)的數(shù)字簽名方案不斷被提出，主要是基于離散對(duì)數(shù)和素因子分解的困難性問(wèn)題。其中影響較大的有ElGamal數(shù)字簽名方案[3]、Rabin數(shù)字簽名方案[4]等。為了極大程度簡(jiǎn)化公鑰部分的設(shè)計(jì)與管理，1984年Shamir提出基于身份的加密與簽名的思想[5]，方案將用戶(hù)的身份信息(如：身份證號(hào)、電話號(hào)碼、門(mén)牌號(hào)等)作為公鑰，對(duì)消息進(jìn)行加密或簽名，這種方案的優(yōu)勢(shì)極大，此后基于身份的簽名方案不斷涌現(xiàn)。

隨著科技的迅速發(fā)展，各種網(wǎng)絡(luò)電子活動(dòng)應(yīng)運(yùn)而生，人們模擬傳統(tǒng)印章可以相互傳遞的功能，提出了一種新型的數(shù)字簽名——代理簽名[6]。代理簽名是指原始簽名人將他的簽名權(quán)交給代理人，然后由代理人代表自己對(duì)消息進(jìn)行簽名，用以解決數(shù)字簽名中的委托問(wèn)題。這種簽名方式由Mambo等人在1996年提出[7]，方案包括初始化、授權(quán)、代理簽名生成和代理簽名驗(yàn)證四個(gè)部分。由于代理簽名應(yīng)用非常廣泛，多種代理簽名方案被相繼提出。然而，一些代理簽名的原始簽名者也可產(chǎn)生代理簽名，這涉及到是否滿足簽名的不可否認(rèn)性問(wèn)題。因此Kim等人提出并設(shè)計(jì)了一種帶有授權(quán)證書(shū)的代理簽名方案[8]，該方案指定了代理簽名人，不允許原始簽名者進(jìn)行簽名，具有不可偽造性和不可否認(rèn)性，但對(duì)于文中授權(quán)證書(shū)的生成、維護(hù)、撤銷(xiāo)等操作需要的成本較高，同時(shí)簽名效率降低。Zhang等人提出一種基于身份的代理簽名體制[9]，簡(jiǎn)化了公鑰證書(shū)的管理，提高了效率，但只進(jìn)行簡(jiǎn)單的分析，并沒(méi)有與之相應(yīng)的安全模型。近年來(lái)，多種基于格的新的代理簽名[10-13]被提出，但方案在量子環(huán)境下存在安全性缺陷，同時(shí)并未擴(kuò)展到基于身份，可行性受到局限，目前國(guó)內(nèi)外學(xué)者主要將代理簽名的研究重點(diǎn)集中在確保安全和提高效率方面。本文針對(duì)Wu等人[14]提出的代理簽名，指出方案存在的安全性缺陷，并提出一種新的基于身份的代理簽名，經(jīng)過(guò)正確性、公開(kāi)驗(yàn)證性、不可偽造性的證明，并與Xu方案[15]和Wu方案對(duì)比，證明該文方案的安全性和高效性。

1　預(yù)備知識(shí)

1.1雙線性對(duì)

設(shè)G1是一個(gè)由P生成的且階為素?cái)?shù)q的循環(huán)加法群，G2是一個(gè)循環(huán)乘法群，階仍為q。映射e：G1×G1→G2是一個(gè)雙線性映射，且滿足以下3個(gè)性質(zhì)：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

3) 可計(jì)算性：對(duì)于所有的P,Q∈G1，存在有效的算法計(jì)算e(P,Q)。

1.2一些問(wèn)題的困難性描述

4)GDHP(GapDiffie-Hellman問(wèn)題)：在多項(xiàng)式時(shí)間內(nèi)，對(duì)于群G1上的DDHP易解決而CDHP難解決，則稱(chēng)群G1為GDH群。

假設(shè)DLP問(wèn)題和CDHP問(wèn)題是困難的，則在多項(xiàng)式時(shí)間內(nèi)DLP問(wèn)題、CDHP問(wèn)題均無(wú)法被解決。

2　文獻(xiàn)[14]方案的回顧

KeyExtract: 給一使用者ID,計(jì)算H0(ID)∈G1以及skID=sH0(ID)。

StandardSign： 對(duì)消息M進(jìn)行簽名：

(2) 計(jì)算σs=(skID+rH1(M),rP)。

StandardVer： 驗(yàn)證等式：

e(σs,P)=e(H0(ID),Ppub)e(H1(M),rP)。

σ1=skIDA+rAH1(W,IDA,IDB)+skIDB+rBH2(M,W,IDA,IDB)

σ2=rAP

σ3=rBP

輸出簽名σ=(σ1,σ2,σ3)。

ProxyVer:取(IDA,IDB)、W、M、σ代入下式：

e(σ1,P)=e(H0(IDA),Ppub)e(H0(IDB),Ppub)

e(H1(W,IDA,IDB),σ2)

e(H2(M,W,IDA,IDB),σ3)

如果等式成立則接收M，如果不成立則輸出⊥。

3　對(duì)文獻(xiàn)[14]方案的攻擊

文獻(xiàn)[14]方案存在以下安全缺陷：

(1) 該方案不滿足公開(kāi)驗(yàn)證性，即在不暴露明文和私鑰的情況下，第三方無(wú)法對(duì)簽名進(jìn)行驗(yàn)證。在ProxyVer階段，方案使用了明文消息M，使得：

e(σ1,P)=e(H1(W,IDA,IDB),σ2)e(H2(M,W,IDA,IDB),σ3)，第三方得到消息M*和IDA、IDB、W、σ，通過(guò)計(jì)算H2(M*,W,IDA,IDB)使得以上等式成立，由于M*≠M(fèi)，等式無(wú)法成立，因此該方案無(wú)法進(jìn)行公開(kāi)驗(yàn)證。

因此，方案不滿足不可偽造性，同時(shí)由于能夠偽造，接收者無(wú)法知道方案由誰(shuí)發(fā)出，所以方案仍然不具有不可否認(rèn)性。

4　對(duì)文獻(xiàn)[14]方案的改進(jìn)

KeyExtract: 給一使用者ID,計(jì)算H0(ID)∈G1以及skID=sH0(ID)。

StandardSign： 對(duì)消息M進(jìn)行簽名：

(2) 計(jì)算σs=skID+rH3(M)。

StandardVer： 驗(yàn)證等式：

e(σs,P)=e(H0(ID),Ppub)e(H3(M),rP)。

ProxyVer:

取(IDA,IDB)、W、h、σ代入：

e(σ3,P)=e(H1(W,IDA),σ1)e(H0(IDB),Ppub)e(H2(h,IDB),σ2)

如果等式成立則接收M，如果不成立則輸出⊥。

5　方案分析

5.1正確性

StandardVer階段：

e(σs,P)=e(skID+H3(M),P)

=e(skID,P)e(rH3(M),P)

=e(H0(ID),sP)e(H3(M),rP)

=e(H0(ID),Ppub)e(H3(M),rP)

ProxyVer階段：

e(σ3,P)=e(rAH1(W,IDA)+skIDB+rBH2(h,IDB),P)

=e(rAH1(W,IDA),P)e(skIDB,P)e(rBH2(h,IDB),P)

=e(H1(W,IDA),rAP)e(sH0(IDB),P)e(H2(h,IDB),rBP)

=e(H1(W,IDA),σ1)e(H0(IDB),Ppub)e(H2(h,IDB),σ2)

5.2可驗(yàn)證性

在ProxyVer階段，第三方只需知道明文消息的散列值h，再利用σ及公鑰信息IDA、IDB，即可驗(yàn)證該簽名。

5.3不可偽造性

假設(shè)攻擊者C的身份信息LC不在公鑰集合L中，但是如果他要偽造一個(gè)有效的消費(fèi)信息，他只能偽造一個(gè)LC∈L，執(zhí)行以下過(guò)程：

(3) 用戶(hù)收到該簽名時(shí)，取(IDA,IDB)、W、h、σ代入下式：

如果等式成立則接收M′,如果不成立則輸出⊥。

5.4效率分析

在本文的效率分析中，設(shè)哈希函數(shù)的計(jì)算成本為H，雙線性對(duì)的計(jì)算成本為P，加法、乘法的計(jì)算成本分別為A、M，冪運(yùn)算的計(jì)算成本為W。效率比較如表1所示。

表1　本文方案與其他方案的效率比較

本文方案在初始者計(jì)算階段增加一次冪運(yùn)算，但減少了乘法運(yùn)算，又能提高簽名的安全性，所以與其他方案相比差距并不大；在代理簽名階段，計(jì)算復(fù)雜性明顯降低；驗(yàn)證階段，文獻(xiàn)[14]方案減少了一次哈希函數(shù)的計(jì)算，但增加了雙線性對(duì)的計(jì)算量，相比而言，效率較低。綜合考慮，本文方案符合代理簽名的基本要求且效率較高。

6　結(jié)　語(yǔ)

代理簽名在信息快速發(fā)展的當(dāng)今，應(yīng)用越來(lái)越廣泛，對(duì)它的研究也逐步深入，如多重代理簽名、盲代理簽名、代理群和環(huán)簽名等。由于代理簽名涉及到簽名的三方，實(shí)際應(yīng)用中還會(huì)涉及到代理服務(wù)器、代理商等，所以其安全問(wèn)題更是成為研究和重視的熱點(diǎn)，這方面需要做更多的嘗試與深入探索。

[1]DiffieW,HellmanME.Newdirectionsincryptography[J].InformationTheory,IEEETransactionson,1976,22(6):644-654.

[2]RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1978,21(2):120-126.

[3]ElGamalT.Apublickeycryptosystemandasignatureschemebasedondiscretelogarithms[C]//AdvancesinCryptology.SpringerBerlinHeidelberg,1985:10-18.

[4]RabinMO.Digitalsignaturefoundationsofsecurecommunication[M].NewYork:AeademicPress,1978.

[5]ShamirA.Identity-basedcryptosystemandsignaturescheme[C]//AdvancesinCryptology-Crypto1984,LNCS196,Heidelberg:Spring-verlag,1984:47-53.

[6] 任偉.數(shù)字簽名[M]. 北京：國(guó)防工業(yè)出版社，2012.

[7]MamboM,UsudaU,OkamotoE.Proxysignaturesfordelegatingsigningoperation[C]//ConferenceonComputerandConmunicationsSeeurity，1996:48-57.

[8]KimS,ParkS,Wond.Proxysignaturesrevisited[C]//ConferenceonInformationandCommunicationsSecurity,LNCS,Springer-Verlag,1997(1334):223-232.

[9]ZhangK.Thresholdproxysignatureschemes[C]//InformationSecurityWorkshop,Japan,1997:191-197.

[10]KimKS,HongD,JeongIR.Identity-basedproxysignaturefromlattices[J].Journalofcommunicationsandnetworks，2013:15(1):1-7.

[11] 余磊.一種基于格的代理簽名方案[J].計(jì)算機(jī)工程,2013,39(10):123-126.

[12]LyubashevskyV.Latticesignaturewithouttrapdoors[C]//ProceedingsofEurocrypt2012.LNCS7237.Heidelberg:Spring-verlag,2012:738-755.

[13] 江明明.格上的代理重簽名方案[J].西安電子科技大學(xué)學(xué)報(bào)，2014,41(2):20-24.

[14]WuW,MuY,SusiloW,etal.Identity-Basedproxysignaturefrompairings[M]//AutonomicandTrustedComputing.SpringBerlinHeidelberg,2007:22-31.

[15]XuJ,ZhangZ,FengD.ID-basedproxysignatureusingbilinearpairings[J].LectureNotesinComputerScience,2004:359-367.

ANALYSISANDIMPROVEMENTOFID-BASEDPROXYSIGNATURESCHEME

ZhangRuiliLiShundong

(School of Computer Science,Shaanxi Normal University,Xi’an 710119,Shaanxi,China)

WeanalysedtheID-basedproxysignatureschemepresentedbyWuetal.,andpointedoutthatitdoesn’tsatisfythepublicverifiabilityandun-forgeability.ThereforeweproposedanimprovedID-basedproxysignaturescheme.Thisoneisbasedonbilinearpairingscomputationanddifficultyofdiscretelogarithmproblem,itsatisfiesthegeneralsafetyrequirementsofproxysignature.Itisprovedbyanalysisandcomparingwithexistingschemesthatourschemehashigherefficiency.

ID-basedProxysignaturePublicverifiabilityUn-forgeabilityEfficient

2014-09-03。國(guó)家自然科學(xué)基金面上項(xiàng)目(612724 35)。張瑞麗，碩士生，主研領(lǐng)域：密碼學(xué)與信息安全。李順東，教授。

TP309.7

ADOI:10.3969/j.issn.1000-386x.2016.03.069