牛淑芬,李文婷,王彩芬

(西北師范大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,蘭州 730070)

0 概述

自代理重簽名的概念被提出以來[1],研究者相繼設(shè)計(jì)了多種代理重簽名方案[2-4]。代理重簽名的特點(diǎn)主要體現(xiàn)為代理者可將用戶(受托者)的簽名轉(zhuǎn)換成另一用戶(委托者)的簽名,在不獲取兩方用戶私鑰的同時(shí)實(shí)現(xiàn)簽名轉(zhuǎn)換。此特性使其在現(xiàn)有的網(wǎng)絡(luò)環(huán)境下能夠應(yīng)用于數(shù)字版權(quán)管理系統(tǒng)、簡(jiǎn)化證書管理及跨域身份認(rèn)證等方面[5-7]。由于基于身份的公鑰密碼體制[8]可減輕用戶對(duì)證書的依賴,因此結(jié)合兩者優(yōu)勢(shì),基于身份的代理重簽名既能解決繁瑣的密鑰管理問題,又能滿足在簽名轉(zhuǎn)換過程中對(duì)私鑰的保護(hù)。

SHAO等人于2007年首次提出基于身份的代理重簽名方案[9]。2009年,HU等人在強(qiáng)q-SDH困難問題假設(shè)下提出基于身份的代理重簽名方案[10]。2014年,馮婕等人利用目標(biāo)抗碰撞哈希函數(shù)提出一種基于身份強(qiáng)不可偽造的代理重簽名方案[11]。2015年,TIAN等人構(gòu)造了格上基于身份的代理重簽名方案,用于抵抗量子攻擊。2018年,WANG等人利用二次剩余理論提出一種基于身份的代理重簽名方案[13]。由于代理者能夠獲得所轉(zhuǎn)換的消息,因此使用者需要在代理重簽名中添加盲性。為保證代理者的權(quán)益不被濫用,YANG等人于2018年提出部分盲代理重簽名體制[14],并構(gòu)造了可證明安全的簽名方案。

在以上研究中,同類代理重簽名中基于身份的密碼體制存在運(yùn)算開銷大不利于實(shí)際應(yīng)用的問題,且缺少部分盲性,不能對(duì)簽名者隱匿待簽消息內(nèi)容,從而造成消息泄露。本文在文獻(xiàn)[13]方案的基礎(chǔ)上,基于大整數(shù)分解困難問題,提出一個(gè)單向、單用基于身份的部分盲代理重簽名方案,以解決使用雙線性對(duì)運(yùn)算開銷較大這一問題,并通過部分盲性避免惡意簽名濫用。

1 基礎(chǔ)知識(shí)

大整數(shù)分解困難問題為:給定一個(gè)合數(shù)N滿足N=pq,p和q是兩個(gè)大素?cái)?shù),要求輸出p或q。

大整數(shù)分解假設(shè)為:設(shè)l是一個(gè)安全參數(shù),N為一個(gè)合數(shù)滿足N=pq,p和q是兩個(gè)l比特的大素?cái)?shù)。如果不存在概率多項(xiàng)式時(shí)間的敵手tT以不可忽略的概率εR分解合數(shù)N,則稱(tT,εR)大整數(shù)分解假設(shè)成立。

2 形式化定義及安全模型

定義1無雙線性對(duì)的基于身份的部分盲代理重簽名方案由以下9個(gè)算法組成:

1)Setup(1λ)→(par,msk):輸入安全參數(shù)λ,運(yùn)行系統(tǒng)參數(shù)生成算法輸出公開參數(shù)par和系統(tǒng)主密鑰msk。

2)Extract(par,msk,ID)→sk:輸入par、msk和用戶身份信息ID,PKG運(yùn)行密鑰提取算法輸出公私鑰對(duì)(pk,sk)。

3)Rekey(skA,skB)→rkA→B:輸入Alice(受托者)和Bob(委托者)的私鑰skA和skB,PKG運(yùn)行重簽名密鑰產(chǎn)生算法輸出重簽名密鑰rkA→B。

4)Agree(par)→c:輸入par,受托者Alice與代理者Proxy運(yùn)行協(xié)商消息算法生成一個(gè)公共消息c。

5)Sign(par,sk,m,c)→(h,σ):輸入par、c、消息m和受托者私鑰sk,由受托者產(chǎn)生原始簽名σ。

6)Blind(h,c,σA,k,pkA)→(h′,σ′A):輸入c、消息摘要h、原始簽名σA、盲化因子k和受托者公鑰pkA,受托者運(yùn)行盲化算法輸出盲化的消息摘要h′和盲化的原始簽名σ′A,并發(fā)送給代理者。

7)ReSign(rkA→B,c,h′,σ′A,pkA)→σ′B:輸入rkA→B、c、h′、σ′A和pkA,代理者首先驗(yàn)證σ′A的合法性,若不合法,輸出⊥;否則,代理者運(yùn)行重簽名生成算法輸出與委托者公鑰pkB對(duì)應(yīng)的部分盲代理重簽名σ′B,并發(fā)送給受托者。

8)Unblind(σ′B,k,pkB)→σB:輸入部分盲代理重簽名σ′B、盲化因子k和委托者公鑰pkB,受托者首先驗(yàn)證σ′B的合法性,若不合法,輸出⊥;否則,受托者運(yùn)行脫盲算法輸出代理重簽名σB。

9)Verify(m,c,pk,σ)→{0,1}:輸入消息m、公共消息c、對(duì)應(yīng)的公鑰pk和簽名σ,若關(guān)于消息m和公共消息c的簽名σ對(duì)應(yīng)于公鑰pk合法,驗(yàn)證者接受簽名,輸出1;否則,輸出0。

新方案的安全性分別由存在性不可偽造性和部分盲性構(gòu)成。存在性不可偽造性在新方案中要求不存在一個(gè)外部敵手能夠偽造一個(gè)新消息的代理重簽名。下面先以敵手A與挑戰(zhàn)者C的交互游戲來定義方案的存在性不可偽造性。

1)系統(tǒng)建立。挑戰(zhàn)者C運(yùn)行Setup算法獲得系統(tǒng)參數(shù)par、系統(tǒng)主公鑰mpk和系統(tǒng)主密鑰msk,挑戰(zhàn)者將mpk及系統(tǒng)參數(shù)發(fā)送給敵手,保密msk。

2)詢問。敵手A能夠自適應(yīng)地向挑戰(zhàn)者C進(jìn)行以下詢問:

(1)密鑰提取詢問。當(dāng)敵手A提交身份ID的密鑰提取詢問時(shí),挑戰(zhàn)者C運(yùn)行Extract算法輸出skID并返回給敵手A。

(2)重簽名密鑰詢問。當(dāng)敵手A提交(IDA,IDB)的重簽名密鑰詢問時(shí),挑戰(zhàn)者C首先對(duì)身份IDB進(jìn)行密鑰提取詢問來獲得skIDB,然后C運(yùn)行Rekey算法輸出重簽名密鑰rkA→B并返回給敵手A。

(3)簽名詢問。A與C運(yùn)行Agree算法產(chǎn)生公共消息c,當(dāng)敵手A提交(ID,m,c)的簽名詢問時(shí),挑戰(zhàn)者C首先對(duì)身份ID進(jìn)行密鑰提取詢問來獲得skID,然后C運(yùn)行算法輸出原始簽名sig并返回給敵手A。

(4)重簽名詢問。當(dāng)敵手A提交(sig′A,h′,c,IDA,IDB)的重簽名詢問時(shí),挑戰(zhàn)者C首先驗(yàn)證盲化的sig′A是否為對(duì)應(yīng)于pkA關(guān)于盲化消息摘要h′和c的合法簽名,若不合法,輸出⊥;否則,C對(duì)(IDA,IDB)進(jìn)行重簽名密鑰詢問獲得rkA→B,然后運(yùn)行Resign算法輸出部分盲代理重簽名sig′B。假設(shè)攻擊者A在Blind算法中選擇k為盲化因子,A最后運(yùn)行Unblind算法輸出(h,c)的重簽名。

3)偽造。敵手A輸出偽造的簽名(sig*,m*,c*,ID*),若滿足以下條件,敵手A贏得這個(gè)游戲:(1)Verify(sig*,m*,c*,ID*)=1;(2)A沒有進(jìn)行過ID*的密鑰提取詢問;(3)A沒有進(jìn)行過(ID*,m*)的簽名詢問;(4)A沒有進(jìn)行過(sigi,h'*,ci,IDi,ID*)的重簽名詢問,IDi表示任一用戶,sigi表示任何一個(gè)簽名。

定義2若敵手A在以上游戲中攻擊成功的概率是可忽略的,則稱新的部分盲代理重簽名方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的。

部分盲性在新方案中是指代理者不能夠?qū)⒆罱K的代理重簽名與部分盲代理重簽名相對(duì)應(yīng)。參考已有的部分盲簽名方案的安全定義[16-17],下面將通過敵手B與挑戰(zhàn)者D的游戲來定義新方案的部分盲性。

1)系統(tǒng)建立。挑戰(zhàn)者D運(yùn)行Setup算法、Extract算法和Rekey算法,產(chǎn)生系統(tǒng)參數(shù)par、受托者和委托者的密鑰對(duì)(skA,pkA)和(skB,pkB)以及重簽名密鑰rkA→B,發(fā)送par和rkA→B給敵手B。

2)準(zhǔn)備。敵手B選擇兩個(gè)長(zhǎng)度相等可區(qū)分的消息m0和m1,以及公共消息c發(fā)送給挑戰(zhàn)者D。

3)詢問。挑戰(zhàn)者D隨機(jī)選取b∈{0,1},對(duì)消息(m0,c)和(m1,c)運(yùn)行Blind算法,得到盲化的消息摘要與盲化的消息簽名(h′b,c,σ′A,b)和(h′b-1,c,σ′A,b-1)發(fā)送給敵手B進(jìn)行重簽名。B收到(h′b,c,σ′A,b)和(h′b-1,c,σ′A,b-1)后運(yùn)行ReSign算法得到部分盲代理重簽名σ′B,b和σ′B,b-1并返回給挑戰(zhàn)者D。D收到簽名σ′B,b和σ′B,b-1后運(yùn)行Unblind算法進(jìn)行脫盲得到最終重簽名σB,b和σB,b-1,并將(mb,c,σB,b)和(mb-1,c,σB,b-1)返回給敵手B。

4)應(yīng)答。B輸出對(duì)b的猜測(cè)b′,若b=b′,則B贏得了游戲。

B在上述游戲中獲勝的優(yōu)勢(shì)定義為:

Adv(B)=|2Pr[b=b′]-1|

定義3若敵手B在以上游戲中攻擊成功的概率是可忽略的,則稱新的部分盲代理重簽名方案具有部分盲性。

3 具體方案

本文基于WANG等人方案[13]設(shè)計(jì)了一個(gè)無雙線性對(duì)的基于身份的部分盲代理重簽名方案,具體算法如下[18]:

2)Extract算法。輸入系統(tǒng)參數(shù)par、系統(tǒng)主密鑰msk和用戶身份信息ID,PKG運(yùn)行密鑰提取算法計(jì)算用戶私鑰sk=H(ID)dmodN和pk=H(ID)modN,得到公鑰/私鑰對(duì)(sk,pk)。

4)Agree算法。受托者Alice與代理者Proxy協(xié)商一個(gè)公共消息c。

7)ReSign算法。輸入rkA→B、c、h′、sig′A和受托者的公鑰pkA,代理者首先驗(yàn)證(σ′A)2=Rc·pkh′A是否成立,若不成立,輸出⊥;否則,代理者計(jì)算σ′B=rkA→B·σ′A,最后輸出部分盲代理重簽名sig′B=(σ′B,R,IDB)發(fā)送給受托者。

9)Verify算法。輸入消息m、公共消息c、對(duì)應(yīng)的公鑰pk和簽名σ,驗(yàn)證者驗(yàn)證等式σ2=Rc·pkh是否成立,若成立,驗(yàn)證者接受簽名,輸出1;否則,輸出0。

4 安全性證明與效率分析

4.1 正確性證明

本文方案的正確性證明如下:

Rc·H(IDA)d·2h·H(IDA)2k=

Rc·H(IDA)h·H(IDA)2k=

4.2 不可偽造性證明

證明假設(shè)存在一個(gè)敵手A能夠以不可忽略的概率偽造簽名,下面將構(gòu)造一個(gè)算法C作為挑戰(zhàn)者與敵手A進(jìn)行交互游戲,回答A的哈希詢問、密鑰提取詢問、重簽名密鑰詢問、簽名詢問和重簽名詢問,從而解決因子分解問題。具體詢問過程如下:

1)系統(tǒng)建立。挑戰(zhàn)者C運(yùn)行Setup算法獲得系統(tǒng)參數(shù)par、系統(tǒng)主公鑰mpk和系統(tǒng)主密鑰msk,將mpk及系統(tǒng)參數(shù)發(fā)送給敵手,保密msk。

4)密鑰提取詢問。挑戰(zhàn)者C收到敵手A關(guān)于身份IDi的密鑰提取詢問時(shí),C首先查找Hlist列表中是否有(IDi,ui,pki)的項(xiàng),若存在,則返回u給A;否則重新進(jìn)行H()詢問獲得(IDi,ui,pki)的項(xiàng)并添加至列表Hlist,將ui作為回答返回給敵手A。

4.3 部分盲性證明

定理4本文提出的部分盲代理重簽名方案具有部分盲性。

證明敵手B的目的是要將最終的重簽名與部分盲代理重簽名相對(duì)應(yīng),所以,本文假設(shè)挑戰(zhàn)者D擁有任一用戶的私鑰并且能夠產(chǎn)生原始簽名,B擁有重簽名密鑰。下面將以挑戰(zhàn)者D與敵手B的交互游戲來證明。

2)準(zhǔn)備。敵手B選擇兩個(gè)長(zhǎng)度相等可區(qū)分的消息m0和m1,以及公共消息c發(fā)送給挑戰(zhàn)者D。

4)應(yīng)答。B輸出對(duì)b的猜測(cè)b′。

4.4 效率分析

表1 運(yùn)算效率比較

由表1可以看出:文獻(xiàn)[19]的方案使用了7次雙線性對(duì)與2次指數(shù)運(yùn)算,使得一般設(shè)備難以負(fù)擔(dān)其計(jì)算開銷,因此,與本文方案相比實(shí)用性較差;文獻(xiàn)[10]方案雖然增加了部分盲性,但同樣存在計(jì)算開銷大影響實(shí)際應(yīng)用;文獻(xiàn)[20]方案存在的安全漏洞為不能抵御受托者的重簽名偽造攻擊,本文依據(jù)給出的安全模型及證明保證了方案的不可偽造性;與文獻(xiàn)[13]的方案相比,本文方案在重簽名階段計(jì)算效率持平的前提下,增加了部分盲的特性,能夠保護(hù)受托者的隱私并且保證了代理者的權(quán)利不被濫用,可用性更強(qiáng)。

5 結(jié)束語

為解決現(xiàn)有部分盲代理重簽名方案計(jì)算成本高與證書管理難的問題,本文提出一種建立在大整數(shù)分解困難問題上基于身份的部分盲代理重簽名方案,通過避免使用雙線性對(duì)提高了計(jì)算效率。本文方案在隨機(jī)預(yù)言模型下滿足正確性、不可偽造性和部分盲性,效率分析結(jié)果也表明了其性能優(yōu)勢(shì)。本文方案不滿足雙向、多用的特性,在應(yīng)用中具有一定程度的局限性,因此,下一步工作將在此方面對(duì)方案進(jìn)行改進(jìn)。