（计算机软件与理论专业论文）代理重密码的研究.pdf

代理重密码的研究 摘要 代理重密码是由b l a z e 等人在欧洲密码会议e u r o c r y p t1 9 9 8 年会上 提出，并由a t e n i e s e 等人在国际顶级安全会议a c mc c s2 0 0 5 和n d s s 2 0 0 5 上给出其规范的形式化定义。在代理重密码中，一个拥有代理重加 密密钥( 代理重签名密钥) 的半可信代理者可以把a l i c e 的密文( 签名) 转换为对同一个明文( 消息) 的b o b 的密文( 签名) ，而这个代理者不 能获得明文( 不能自己产生a l i c e 或者b o b 的签名) 。所谓半可信，指的 是仅仅相信这个代理者一定会按方案进行密文( 签名) 的转换。由于代 理重密码特殊的转换功能，它可以解决很多实际问题，如有效地解决在 数字版权管理( d i g i t a lr i g h tm a n a g e m e n t ，d r m ) 中的跨域操作问题， 即在不修改d r m 系统和功能的前提下，实现在域a 中的数字保护内容也 能在域b 中播放。 代理重密码提出至今已近十年，取得了不少理论和实践结果。但 是，总体来说，代理重密码还处于发展阶段，还有很多问题急需解决。 在a c mc c s2 0 0 5 、a c mc c s2 0 0 7 和e c r y p t 组织在2 0 0 7 年发表的公 钥密码新技术趋势报告中均提出了许多关于代理重密码的公开问题。 本文就是针对这些公开问题展开较为深入系统的研究，在对基本密 码学模块研究的基础上，解决了包括其中四个公开问题在内的一系列问 题。具体而言，本文在第一章介绍绪论和第二章介绍本文用到的复杂性 假设之后，分别在第三、四章介绍了本文在代理重签名和代理重加密方 面获得的研究成果。主要研究成果体现在两方面： 1 、在代理重签名方面， 利用w a t e r s 在e u r o c r y p t2 0 0 5 年会中提出的哈希函数构造方法和配对 技术，提出了第一个在标准模型下可证安全的代理重签名方案一 一& 6 方案。该方案较为高效，签名生成算法只需2 次指数计算，重 签名算法只需2 次指数计算和2 次配对计算，签名验证算法只需2 次 配对计算。该方案的提出，解决了e c r y p t 组织在2 0 0 7 年发表的 公钥密码新技术趋势报告中提出的关于代理重签名的一个公开 问题。 上海交通大学博士学位论文 在现有的代理重签名方案中，用户的公钥都是一些和他们身份无关 的字符串，所以在使用公钥前要对其进行认证，这大大增加了公钥 管理的复杂度。为了简化这个复杂度，本文把基于身份的密码思想 引入到代理重签名中，提出了基于身份的代理重签名概念。在基于 身份的代理重签名方案中，用户的公钥就是他们的身份信息，这就 使得公钥在使用之前就已经被认证。因此，本文在原有代理重签名 安全模型的基础上，提出了基于身份的代理重签名的安全模型，并 在这个模型中提出了第一个在标准模型下可证安全的基于身份的代 理重签名方案一一& d m 6 方案。 通过对多用的单向代理重签名的研究，发现了原有的关于多用的单 向代理重签名方案的安全模型并没有包含所有可能的攻击，如上一 级的a l i c e 和下一级的代理者的合谋攻击。为此本文对其进行了修改 和完善，并且在新的模型里提出了第一个多用的单向代理重签名方 案一一u 方案，给出了随机预言机模型中的安全性证明。该项工 作解决了a t e n i e s e 等人在a c mc c s2 0 0 5 会议上提出的关于代理重签 名的一个公开问题。 通过利用代理签名的思想，本文提出了一个代理重签名的性质转换 器，即可以把原先没有抗合谋攻击属性和暂时属性的方案转换为具 有这两个属性的方案。这个性质转换器的意义在于：一个方案具有 的属性越多，那么它的应用就更广泛。 扩展了代理重签名的应用，即利用代理重签名的特殊转换功能来实 现电子商务中的公平交易。 2 、在代理重加密方面， 选择密文攻击和抗合谋攻击都是代理重加密所需要具有的安全属 性，但是目前所有的代理重加密方案都不能同时具有这两种安全 属性。本文利用f u j i s a k i o k a m o t o 变换，提出了两个有效的既是选择 密文攻击安全又是抗合谋攻击的单向代理重加密方案：s f p 舳方案 和s ；p r e 方案，并在随机预言机模型中给出了它们的证明。 通过利用c a n e t t i h o n h e n b e r g e r 技术、一次签名技术和一次加密技 术，本文提出了一个单向代理重加密构造一一p r e 构造。虽 然p 耻? 构造在效率上没有曲p r e 方案和s 刍p l r e 方案高，但是它能 一一 中文摘要 提供比后两者更高的安全级别，即在标准模型下给出安全证明。该 构造的提出，解决- c a n e t t i 和h o h e n b e r g e r 在a c mc c s2 0 0 7 会议上 提出的关于代理重加密的一个公开问题。 目前已知的选择密文攻击安全的代理重加密方案都是利用配对来 实现的，而研究表明，配对计算的时间比一般的指数运算时间要 大1 5 倍以上，因此这些方案不能用于效率要求较高的环境中。为 了解决这个问题，本文利用知识签名( s i g n a t u r eo fk n o w l e d g e ) 技 术，提出了三个不需要配对的有效的选择密文攻击安全的代理重 加密方案：i p r e 方案、勋喇p r e 方案和s 色p r e 方案。在这三个方 案中，加密算法都只需要5 次指数计算。这些方案的提出，解决 t c a n e t t i 和h o h e n b e r g e r 在a c mc c s2 0 0 7 会议上提出的关于代理重 加密的一个公开问题。 最后，第五章对本文所得到的研究结果进行了总结，并对代理重密 码的发展方向提出了自己的见解。 关键词：代理重密码、代理重签名、代理重加密、配对、可证安全、随 机预言机模型、标准模型 p r o x yr e - c r y p t o g r a p h yr e v i s i t e d a bs t r a c t p r o x yr e c r y p t o g r a p h y ，p r o p o s e db yb l a z ee ta 1 a te u r o c r y p t1 9 9 8a n df o r m a l i z e db y a t e n i e s ee ta 1 a ta c mc c s2 0 0 5a n dn d s s2 0 0 5 ，a l l o w sas e m i t r u s t e dp r o x yw i t hr e k e yt o t r a n s f o r ma l i c e sc i p h e r t e x t ( s i g n a t u r e ) t ob o b sc i p h e r t e x t ( s i g n a t u r e ) ，b u tt h ep r o x yc a n n o t g e tt h ec o r r e s p o n d i n gp l a i n t e x t ( c a n n o tg e n e r a t ea n ys i g n a t u r eo fa l i c eo rb o b ) d u et oi t s t r a n s f o r m a t i o nf u n c t i o n a l i t y , p r o x yr e - c r y p t o g r a p h yc a nb eu s e di nm a n ya p p l i c a t i o n s ，s u c h a sd r m i n t e r o p e r a b l ea r c h i t e c t u r e ，p r i v a c yf o rp u b l i ct r a n s p o r t a t i o n t h o u g hi th a sb e e na b o u t10y e a r ss i n c ei t si n v e n t i o n ，p r o x yr e - c r y p t o g r a p h y i ss t i l li n t h ei n f a n ts t a g e t h e r ea r em a n yo p e np r o b l e m so np r o x yr e c r y p t o g r a p h y , a n dm o s to ft h e m a r ep r o p o s e da ta c mc c s2 0 0 5a n da c mc c s2 0 0 7 i nt h i st h e s i s ，m a n yr e s u l t so np r o x y r e c r y p t o g r a p h y , i n c l u d i n gt h ea n s w e r s t of o u ro p e np r o b l e m s ，a l eo b t a i n e d t h e ya r eu s t e d a sf o l l o w i n g 1 b yu s i n gt h eh a s hf u n c t i o np r o p o s e db yw a t e r sa te u r o c r y p t2 0 0 5 ，t h ef i r s tp r o x y r e s i g n a t u r es c h e m ew h i c hc a nb ep r o v e ds e c u r ei nt h es t a n d a r dm o d e li sp r o p o s e d i nt h i s s c h e m e ，i to n l yn e e d s2e x p o n e n t i a t i o nc o m p u t a t i o n ，2e x p o n e n t i a t i o nc o m p u t a t i o n a n d2p a i r i n gc o m p u t a t i o n ，a n d2p a i r i n gc o m p u t a t i o ni ns i g n i n ga l g o r i t h m ，r e - s i g n i n g a l g o r i t h ma n dv e r i f y i n ga l g o r i t h m ，r e s p e c t i v e l y t h i ss c h e m ei st h ea n s w e ro fo n e o ft h eo p e np r o b l e m so np r o x yr e s i g n a t u r ep r o p o s e di n n e wt e c h n i c a lt r e n d si n a s y m m e t r i cc r y p t o g r a p h y ”( 2 0 0 7 ) b ye c r y p t 2 i np r o x yr e - s i g n a t u r e ，p u b l i ck e y sa r ea r b i t r a r ys t r i n g su n r e l a t e dt ot h e i ro w n e r s i d e n t i t i e s ac e r t i f i c a t ei s s u e db ya na u t h o r i t yi sn e e d e dt ob i n dt h ep u b l i ck e yt oi t so w n e r s i d e n t i t yb e f o r et h ep u b l i ck e y i su s e db yo t h e r s t h i si m p l i e sc o m p l e x i t yo fc e r t i f i c a t e m a n a g e m e n t t os o l v et h i sp r o b l e m ，w ei n t r o d u c et h ei d e ao fi d - b a s e di n t op r o x y r e s i g n a t u r e i ns u c hk i n do fp r o x yr e s i g n a t u r e ，t h ep u b l i ck e yi si t so w n e r si d e n - t i t yi n f o r m a t i o n f u r t h e r m o r e ，w ep r o p o s et h es e c u r i t ym o d e lo fi d - b a s e dp r o x yr e - s i g n a t u r e ，a n dg i v ea l li d - b a s e dp r o x yr e s i g n a t u r ei nt h ep r o p o s e dm o d e l 3 w ef i n dt h a tt h ec u r r e n ts e c u r i t ym o d e lf o rm u l t i u s eu n i d i r e c t i o n a lp r o x yr e - s i g n a t u r e d o e sn o tc o v e ra l lp o s s i b l ea t t a c k s ，s u c ha st h ec o l l u s i o na t t a c kb ya l i c ei naf o r m e r i v 英文摘要 l e v e la n dap r o x yi nal a t t e rl e v e l h e n c e ，w ei m p r o v et h es e c u r i t ym o d e l ，a n dp r o p o s e t h ef i r s tm u l t i u s eu n i d i r e c t i o n a lp r o x yr e s i g n a t u r es c h e m e ，w h i c hi sp r o v e ns e c u r ei n t h er a n d o mo r a c l em o d e l t h i ss c h e m ei st h ea n s w e ro fo n eo ft h eo p e np r o b l e m so n p r o x yr e s i g n a t u r ep r o p o s e db ya t e n i e s ea n dh o h e n b e r g e r a ta c mc c s2 0 0 5 4 a sw ek n o w , t h em o r ep r o p e r t i e st h ep r o x yr e s i g n a t u r es c h e m eh o l d s ，t h em o r ea p p l i c a t i o n si tc a nb eu s e di n h o w e v e r w ef i n dt h a tm a n yp r o x yr e s i g n a t u r es c h e m e s d on o th o l dc o l l u s i o n - r e s i s t a n ta n dt e m p o r a r yp r o p e r t i e s h e n c e ，w ep r o p o s eac o r n o p i l e rw h i c ha d d sc o l l u s i o n r e s i s t a n ta n dt e m p o r a r yp r o p e r t i e st op r o x yr e 。s i g n a t u r e s c h e m e s 5 an e w a p p l i c a t i o no fp r o x yr e s i g n a t u r ei sp r o p o s e d ，i e ，f a i re x c h a n g e 6 t w oe f f i c i e n tc c as e c u r ea n dc o l l u s i o n - r e s i s t a n tu n i d i r e c t i o n a lp r o x yr e - e n c r y p t i o n s c h e m e sa l ep r o p o s e d ，w h i c ha r ep r o v e ns e c u r ei nt h er a n d o mo r a c l em o d e l t oo u r b e s tk n o w l e d g e ，t h e ya r em o r ee f f i c i e n tt h a nt h ee x i s t i n gc c as e c u r ea n dc o l l u s i o n r e s i s t a n tu n i d i r e c t i o n a lp r o x yr e - e n c r y p t i o ns c h e m e s 7 b ya p p l y i n gc a n e t t i h o h e n b e r g e rt e c h n i q u e ，o n et i m es i g n a t u r e ，a n do n et i m es y m m e t r i ce n c r y p t i o n ，w ep r o p o s et h ef i r s tc c a s e c u r ea n dc o l l u s i o n - r e s i s t a n tp r o x yr e e n c r y p t i o ns c h e m ew h i c h c a nb ep r o v e ns e c u r ei nt h es t a n d a r dm o d e l t h i ss c h e m ei s t h ea n s w e ro fo n eo ft h eo p e np r o b l e m so np r o x yr e e n c r y p f i o np r o p o s e db yc a n e t t i - h o h e n b e r g e ra ta c m c c s2 0 0 7 8 t oo u rb e s tk n o w l e d g e ，a l le x i s t i n gc c as e c u r eu n i d i r e c t i o n a lp r o x yr e e n c r y p t i o n s c h e m e sa r ei m p l e m e n t e db yp a i r i n g s h o w e v e r , i ti ss h o w nt h a tt h ec o s to fp a i r i n g c o m p u t a t i o ni s m o r et h a nt h a to fe x p o n e n t i a t i o nc o m p u t a t i o n h e n c e ，w ep r o p o s e t h r e ep r o x yr e e n c r y p t i o ns c h e m e sw i t h o u tp a i r i n g s ，w h i c hc a nb ep r o v e ns e c u r ei n t h er a n d o mo r a c l em o d e l t h e s es c h e m e sa l et h ea n s w e ro n eo ft h eo p e np r o b l e m so n p r o x yl e e n c r y p t i o np r o p o s e db yc a n e t t i h o h e n b e r g e ra ta c m c c s2 0 0 7 k e y w o r d s ：p r o x yr e c r y p t o g r a p h y , p r o x yr e s i g n a t u r e ，p r o x yr e - e n c r y p t i o n ，b i l i n e a r m a p s ，p r o v a b l es e c u r i t y , r a n d o mo r a c l em o d e l ，s t a n d a r dm o d e l v 一 i x p ，q z q z ； o ，1 ) + o ，1 ) n 1 n g g 1 ，g 2 夕 e ( ，) b s e t u p a 5 ，a s a rs ，a 卜s a l l b aob p o l y ( n ) - 1 e eijf enf ecf 0 ，o n 口m e o ( n ) p r e 】 p r ei 用 a d v 主要符号对照表 大素数 0 ，1 ，2 ，q 一1 1 ，2 ，q 一1 任意长度的比特字符串集合 长度为佗的比特字符串集合 正整数n 的1 元表示 阶为素数的有限循环群 双线性配对有关的有限循环群 有限循环群的生成元 双线性配对 双线性配对参数产生算法 元素a 属于( 不属于) 集合s 均匀随机地在集合s 中选取元素a a 和b 的连接 表示相同长度的a 和b 按位求异或 表示死的一个多项式 事件e 的补事件 事件e 和f 的和事件，即或者事件e 发生，或者事件 f 发生 事件e 和f 的积事件，即事件e 和事件f 都发生 事件f 包含事件e ，即事件e 的发生蕴含事件f 的 发生 分别表示预言机，名为n a m e 的预言机 计算复杂度 事件e 发生的概率 事件f 发生的条件下，事件e 发生的条件概率 攻击者a 的优势 上海交通大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工 作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何他个人或集体 已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在 文中以明确方式标明。本文完全意识到本声明的法律结果由本人承担。 学位论文作者虢勖么、 日 期：2 0 0 7 年1 2 月2 9 日 上海交通大学学位论文版权使用授权书 本学位论文作者完全了解上海交通大学有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 ( 保密的论文在解密后应遵守此规定) 学位论文作者签名： 励小 日期：2 0 0 7 年1 2 月2 9 日 臌：枣叮毫 日期：2 0 0 7 年1 2 月2 9 日 第一章绪论 1 1 密码学简要介绍 密码学是- - f l 古老的艺术 6 1 】，它主要用于保障秘密通信。历史上，密码学在人 类战争的进程中起到了举足轻重的作用。如，在公元前1 0 0 年的凯撒大帝时代，古 罗马军队在他们的通信中按一定的秘密规则把字母顺序打乱，以此来达到保密通 信的作用。如此一来，即使信件被敌人截获，敌人也不能获得信件的真实内容。 能够秘密通信是古罗马军队所向披靡的重要原因之一。又如，在二次世界大战 中，盟军成功破解了德军用来秘密通信的加密方案，从而使二次世界大战提前一年 结束。现在，密码学不仅仅用于军事方面，也用于商业和日常生活当中，如银行 中的账户保密、个人计算机的安全防范。当然，直到1 9 4 9 年s h a n n o n 9 6 1 发表了题为 ( c o m m u n i c a t i o nt h e o r yo fs e c r e c ys y s t e m s ) ) 的著名论文后，密码学才由- - i - j 艺术转 变成了一门科学。该论文首次把信息论引入到密码学中，用统计学的观点对信源、 密码源和接收的密文进行了数学的描述和定量的分析，从而把古老的密码学引导到 科学的轨道中来。 在传统的密码系统中，加密和解密所用的密钥是相同的或者可以由一个很容易 得到另一个。这类密码也就是我们所熟知的对称密码系统。对称密码系统有着许多 优点：如，数据加密的速度快，即使用软件实现也基本能达到每秒数百兆字节的 速度；实现简单。当前比较著名的对称加密算法有d e s t 8 0 】、3 d e s t l 0 8 】和a e s t 3 9 1 。但 是，对称密码系统也存在着许多无法弥补的缺陷。如，通信双方都需要保持密钥的 秘密性；密钥的分发和管理十分复杂、代价高昂，特别在大型网络中，如果允许每 个成员之间都能秘密通信的话，那么在整个网络中必须要有成员数平方级数量的密 钥( 成员数为佗的网络，每个成员必须有n 一1 的密钥，所以总共是n ( n 一1 ) 2 个密 钥) ；无法实现数字签名的功能。所谓数字签名，其在功能上与我们实际生活中的 签名一样，起到认证、核准和生效的作用，只是数字签名是以数字的形式出现。 为了解决对称密码系统中的问题，在1 9 7 6 年，d i f f i e 和h e l l m a n 【4 0 l 在他们著名的 论文( ( n e wd i r e c t i o n si nc r y p t o g r a p h y ) ) 中创造性地提出了公钥密码系统的概念。 在这种密码系统中，加密和解密所用的密钥是不相同的，而且在计算上从加密 密钥是推不出解密密钥的，而从解密密钥很容易计算出加密密钥。如此一来， 保密密钥可以公开，而只要保密加密密钥。在公钥密码系统中，加密密钥称为 公钥，而解密密钥称为私钥。所以，加密者和解密者之间不需要有预先商定的 共享密钥，每个用户只需要秘密保存自己的私钥即可。他所需要维护的密钥与用 户群的大小无关，这就大大降低了密钥维护的工作量。同时，加密者在加密前， 上海交通大学博士学位论文 不用和解密者事先商定密钥，大大降低了密钥分发和管理的难度。第一个公钥 加密方案r s a 方案是由r i v e s t 、s h a m i r 和a d l e m a n 9 1 】在1 9 7 8 年提出来的。此后，密码 学家基于不同的计算问题提出了各种不同的公钥加密方案。其中具有代表性的方 案有：基于大整数分解问题的r a b i n 方案【8 引、基于有限域上的离散对数相关问题 的e 1 g a m a l 方案 4 4 1 和e c c 方案【7 7 1 。另一方面，在公钥密码系统中，数字签名方案很 容易实现，只是公钥和私钥的运作顺序正好和公钥加密系统相反。发送者首先通 过自己的私钥对消息进行数字签名，随后当接收者收到消息及其对应的数字签名 后，利用发送者的公钥来验证数字签名的正确性。第一个数字签名方案r s a 也是 由r i v e s t 、s h a m i r 和a d l e m a n 9 1 1 在1 9 7 8 年提出来的。此后，密码学家基于不同的计算 问题提出了各种不同的数字签名方案。其中具有代表性的方案有：基于大整数分解 问题的r a b i n 方案【8 引、基于有限域上的离散对数相关问题的e i g a m a l 方案【4 4 】及其两个 著名的变种s c h n o r r 方案【9 3 ，9 4 和d s s 方案 8 2 】。 在公钥密码学的初期，人们对于公钥密码方案的安全性还没有足够的认识。 对于方案的安全性，人们仅仅是用一种启发式的证明方式来说明攻破方案是和解 决方案所基于的困难问题是相关的，或者仅仅是说明已知的攻击方法不能攻破方 案。这种证明方法已经被事实证明是不可靠的。最典型的一个例子就是基于背包问 题的c h o r - r i v e s t 公钥加密方案 3 4 】。在该方案提出的1 2 年后被完全攻破 6 8 ，1 0 9 1 ，而在此 之前，该方案被认为是十分安全的。当前比较公认的论述方案安全性的方法是在 复杂性理论的框架下提供安全性证明，即把攻破方案的一个攻击规约到解决一个 问题的算法上来。这样的方法叫做“可证安全”，也叫做“形式化证明”。该方法首先 由g o l d w a s s e r 和m i c a l i 5 2 1 提出。 形式化证明一般包括以下三步【7 3 】： 1 形式模型化挑战者( 方案) 和攻击者的行为：该模型化通常是以挑战者和攻击 者之间进行攻击游戏的形式给出的。 2 安全性目标的形式化定义：这里定义攻击者不能以( 不可忽略的) 概率和( 可 承受的) 时间在攻击游戏中的成功。 3 形式化证明一个多项式时间的规约，把对给定目标的所谓攻击规约到解决一个 公认的数学问题；该规约的形式化证明是数学上证明一个定理成立。 根据在形式化证明的第三步是否把密码方案中的某个具体的构件理想化或者黑 盒化，形式化证明又可以分为以下四种类型： 标准模型( s t a n d a r dm o d e l ) ：在这种模型下，没有一个具体构件被理想化。 一2 一 第一章绪论 随机预言机模型( r a n d o mo r a l em o d e l ) 4 5 1 6 】：在这种模型下，哈希函数处理成理 想函数族。简单地说，对于每一个输入的输出都是一个真正的随机数，当然， 相同的输入得到的是相同的输出。 理想密文模型( i d e a lc i p h e rm o d e l ) 1 1 5 】：在这种模型下，所用的对称加密方案处 理成理想函数。简单地说，对于明文和密文之间是真正的随机置换。 一般模型( g e n e r i cm o d e l ) 7 9 ，1 0 4 】：在这种模型下，所基于的群的群操作处理为黑 匣子。 标准模型下证明安全一般认为是上面四种中安全性最高的，而随机预言机模型 下证明安全已经被密码学界普遍接收。虽然有研究表明随机预言机模型下证明安 全不等于实际安全【2 9 ，8 1 , 1 0 1 ，但是这些当前所得到反例都是病态的、刻意的和不自然 的，没有人会那样去设计密码方案【8 7 i 。 1 2 代理重密码学 随着计算机网络带宽技术的发展和计算机多媒体编码的进步，在因特网上进行 数字内容交易变得十分便捷。而在线的网上数字内容交易正以出人意料的速度发 展，一个显著的例子就是苹果公司的i t u n e s 。但是，由于数字内容是可以拷贝和再分 发的，这损害了数字内容生产厂商的利益。为了既能很好地利用在线交易的好处， 又能很好地保护数字内容生产厂商的利益，数字内容生产厂商开发了数字版权管 理( d i 西t a lr i g h t sm a n a g e m e n t ( d r m ) ) 技术来防范数字内容的拷贝和再分发。一 个d r m 系统可以通过绑定数字内容和许可证来保护数字内容的价值。只有拥有许可 证的程序才能读取数字内容。但是，d r m 系统也有自身的一些问题，其中最受争议 的就是它的跨域操作问题，因为d r m 系统没有一个标准，各个数字内容生产商都设 计了各自的一套d r m 系统。如此一来，消费者不能自己决定所购买的数字产品的播 放设备。比如，从i t u n e s 买的数字内容只能在i p o d 上播放。这大大打击了消费者的购 买欲。根据i n d i c a r e 的调查【5 8 1 ，消费者宁愿花更高的价钱来换取跨域操作。 但是，现有的d r m 跨域操作系统都十分之复杂，代价高昂，都要对原有 的d r m 系统进行很大的改动f 匍。这对于已经在d r m 系统中投入巨大的人力和物 力的数字内容生产厂商来说是不能接受的。为了解决这个问题，在2 0 0 6 年的a c m d r m 会议上，t a b a n 等人【1 0 6 提出了一个十分有效的d r m 跨域操作系统。他们在原 有的d r m 系统基础上，增加了一个名为跨域操作管理者( d o m a i ni n t e r o p e r a b i l i t y m a n a g e r ( d i m ) ) 的中间模块。该模块可以把域a 中的密文( 许可证) 转换为 域b 中的密文( 许可证) ，而模块本身不能对密文进行解密，也不能单独生成一个 域a 中或域b 中的许可证。从而安全有效地达到了跨域操作的目的。 一3 一 上海交通大学博士学位论文 很显然，传统的公钥加密方案和数字签名方案是不能实现d i m 的功能的，只有 具备安全转换功能的密码系统才能安全有效地实现d i m 功能，而代理重密码【1 7 , 5 6 就 是这样一种密码系统。 一般来说，代理重密码包括两个部分，一个是代理重签名，一个是代理重加 密。在代理重签名中，一个拥有一些额外信息的半可信代理者可以把舢i c e 的签名转 换为b o b 的对同一个消息的签名，同时，这个代理者不能自己产生a l i c e 或b o b 的任 何一个签名。而在代理重加密中，一个拥有一些额外信息的半可信代理者可以把 用a l i c e 的公钥加密的密文转换为用b o b 的公钥对同一个明文加密的密文，同时，这 个代理者不能获得任何用a l i c e ( b o b ) 的公钥加密的密文所对应明文的任何信息。 另外，代理重密码一般可以有两种分类方法。一类是根据转换的方向，有单向 和双向两类。前一类是只能从a l i c e 转化至l j b o b ，而后一类是既能从a l i c e 转换至l j b o b ， 也能从b o b 转换至l j a l i c e 。另一种分类是根据转换的次数，有单用和多用两类。前 一类是只能从a l i c e 转换至u b o b - - 次，而后一类是可以从a l i c e 转换至l j b o b 然后又转换 到c h a r u e 等等。 从上面的介绍中我们可以发现，代理重密码几乎是天然为d i m 功能设计的。其 实，代理重密码这个概念早在1 9 9 8 年的欧洲密码会议上就由b l a z e 等人提出【1 7 】。但 是，在b l a z e 等人的文章中，他们并没有给出代理重密码规范的形式化定义，特别 是对于代理重签名，使得人们没有很好地认识到代理重密码的好处，并且经常使 人把代理重签名和其他一些签名类型相混淆，如代理签名( p r o x ys i g n a t u r e ) 7 1 7 2 1 、 传递签名( t r a n s i t i v es i g n a t u r e ) 【7 6 1 3 14 1 、多签名( m u l t i s i g n a t u r e ) 7 5 ，2 6 1 、聚合签名 ( a g g r e g a t es i g n a t u r e ) 2 3 1 。这个原因也使得代理重密码发展比较缓慢，在2 0 0 5 年之 前，关于代理重签名的文献只有b l a z e 等人的一篇文章，而关于代理重加密的也只有 区区三篇而已【1 7 6 0 ，5 9 1 。为了改变这种情况，a t e n i e s e 等人【5 ，7 6 】对代理重密码进行了 形式化的定义，特别是把代理重签名与上述提到几种签名类型进行了比较区分【7 1 。 之后，代理重密码引起了广泛的关注，各种各样的代理重密码方案及其应用被提 出 6 3 5 5 ，1 0 6 1 0 7 ，5 7 ，5 4 ，3 6 ，3 2 ，1 0 0 。 1 3 研究内容和主要成果 在上一节我们也提到了，虽然代理重密码早在1 9 9 8 年就被提出，但是却 在2 0 0 5 年后才掀起了研究高潮。因此，代理重密码还有很多公开问题还未被解 决。在本论文中，我们的研究将根据其中的一部分问题展开，具体研究内容和主要 成果如下： 1 对标准模型下的代理重签名进行了研究。提出了第一个在标准模型下可证安全 的代理重签名方案一一方案。该方案解决了文献 4 3 1 q h 提出的关于代理重签 名的一个问题。 一4 一 第一章绪论 2 对标准模型下的基于身份的代理重签名进行了研究。提出了基于身份的代理重 签名的安全模型，并在这个模型中提出了第一个在标准模型下可证安全的基于 身份的代理重签名方案一一& d 一衲方案。 3 对多用的单向代理重签名进行了研究。对原有的多用的单向代理重签名方案 的安全模型进行了改进，提出了第一个多用的单向代理重签名方案一一。方 案，并在随机预言机模型中给出了安全性证明。该方案解决了文献【7 ，4 3 中提 出的关于代理重签名的一个问题。 4 对代理重签名的性质进行了研究。提出了一个性质转换器，即可以把原先没有 抗合谋攻击属性和暂时属性+ 的方案转换为具有这两个属性的方案。 5 对代理重加密进行了研究。提出了两个完全安全 的单向代理重加密方 案踯p 肋方案和s p r e 方案，并在随机预言机模型中给出了它们的证明。 6 对标准模型下的代理重加密进行了研究。提出了第一个在标准模型下可证安全 的单向代理重加密构造一一朋e 构造。该构造解决了文献 3 2 】中提出的关于 代理重加密的一个问题。 7 对不基于配对的代理重加密进行了研究。提出了三个选择密文攻击安全 的代 理重加密方案：岛t p 船方案、勖n i p r e 方案和t p r e 方案。这些方案解决了文 献 3 2 】中提出的关于代理重加密的一个问题。 8 对代理重签名的应用进行了研究。提出了代理重签名的一个新的应用，即公平 交易。 1 4 论文章节安排 第一章首先简要介绍了密码学的基本情况，并由一个d r m 跨域操作问题引出了 本论文的研究内容一一代理重密码，接着对代理重密码进行了简单的介绍。在此基 础上，我们提出了本论文的研究内容和主要成果以及章节安排。 第二章主要介绍了在本论文中所要用到的一些计算复杂性假设。 第三章首先介绍了代理重签名的研究现状及其安全模型，接着介绍了我们所提 的代理重签名方案和安全性证明，及代理重签名新的应用。 第四章首先介绍了代理重加密的研究现状及其安全模型，接着介绍了我们所提 的代理重加密方案和安全性证明。 第五章是对本论文的一个总结及展望。 关于这两个属性的定义请参考第三章的定义。 t 关于完全安全的定义请参考第四章的定义。 l 关于选择密文攻击安全的定义请参考第四章的定义。 一5 一 第二章复杂性假设 在本章中我们将简要介绍在本文中将会用到的一些复杂性假设，包括计 算性d i f f i e h e l l m a n 假设( c d h ) 、弱的计算性d i f f i e h e l l m a n 假设( w c d h ) 、决定 性d i f f i e h e l l m a n 假设( d d h ) 、决定性双线性d i f f i e h e l l m a n 假设( d b d h ) 、决定 性双线性除法d i f f i e h e l l m a n 假设( d b d d h ) 和扩展的离散对数假设( e d l ) 。 2 1 双线性群 由于决定性双线性d i f f i e h e l l m a n 假设( d b d h ) 、决定性双线性除法d i f f i e h e l l m a n 假设( d b d d h ) 是在双线性群中的假设，所以在本节中，我们将简要介绍 有关双线性映射和双线性映射群的有关定义，这些定义都来自于文献 2 1 ，2 2 。 1 群g 1 和群g 2 是两个( 乘法) 有限循环群，他们的阶为素数p ； 2 g 是群g 1 的一个生成元； 3 e 是一个双线性映射e ：g 1 g 1 _ g 2 。 设群g 1 和群g 2 是满足上述条件的两个有限循环群。其中的可接受的双线性映 射e ：g 1 g 1 _ g 2 满足下面的条件： 1 双线性性( b i l i n e a r i t y ) ：对于所有的p iq ，r g 1 ，都满足e ( p q ，r ) = e ( p ，r ) e ( q ，r ) 和e ( p ，q r ) = e ( p ，q ) e ( p 7r ) 。 2 非退化性( n o n d e g e n e r a c y ) ：如果对于所有的q g 1 都满足e ( aq ) = 1 ，那 么p = 0 ，这里p 是无穷远点。 我们说群g 1 是一个双线性群，当且仅当在群g 。里的操作都是有效的，并存在满 足上述要求的群g 2 和双线性映射e 。我们把b s e t u p 记为如下的一个算法：输入一个 安全参数，输出一个双线性映射的公开参数，夕，g 1 ，g 2 ，e ) 。 2 2 复杂性假设 2 2 1 离散对数假设 离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m ，d lp r o b l e m ) ：设g = ( 9 ) 是一个 阶为素数p 的有限循环群，夕是它的一个生成元。离散对数