指定验证者的门限代理签名方案.doc

第3A期唐朝霞等：指定验证者的门限代理签名方案87指定验证者的门限代理签名方案唐朝霞, 徐秋亮（山东大学 计算机科学与技术学院，山东 济南 250101 ）摘 要：对Guilin Wang的指定验证者代理签名体制进行扩展，提出了首个非基于身份的、安全的、指定验证者的门限代理签名方案。新的方案使得：t个或大于t个代理签名者代替原始签名者签名时可以指定一个验证者，只有这个指定的验证者可以验证代理签名的有效性；在需要的情况下，真正的代理签名者或指定的验证者可以将指定验证者代理签名转化为可公共验证的代理签名。关键词：门限代理签名；指定验证者代理签名；合谋攻击中图分类号：TP309.7 文献标识码：A 文章编号：1000-436X(2008)3A-0082-05Threshold proxy signature scheme with designated-verifierTANG Zhao-xia, XU Qiu-liang (College of Computer Science and Technology, Shandong University, Jinan 250101, China)Abstract: The Guilin Wangs designated-Verifier proxy signaure scheme was extended and the first non-ID-based and safe threshold proxy signature scheme with designated-verifier was proposed. In the new sheme,when t or more proxy singers coorperatively sign messages on behalf of the original signer,they can designate a verifier and only the designated verifier can check the validity of the proxy signature;when it is desired,the proxy signers or the designated verifier can further convert the proxy signatures into pulic verifiable ones.Key words: threshold proxy signature;designated-verifier proxy signature;conspiracy attack1 引言1996 年Mambo Usuda 和Okamoto首先提出了代理签名的概念1,2，解决了数字签名中签名权的委托问题，之后代理签名得到广泛研究111。收稿日期：2008-01-101997年Kim等人将门限的概念引入到代理签名，提出了一个门限代理签名体制3。所谓门限代理签名是指将代理签名密钥在指定的n个代理签名者中分布，每个代理签名者获得一份代理密钥份额，只有n个代理签名者中的t个或更多个代理签名者协作才能代替原始签名者产生一个代理签名，任何少于t个的不诚实的代理签名者不能伪造一个代理签名。另外，在现实应用中，可能会出现代理签名者否认自己参与了代理签名及签名权力的滥用等问题，针对这些问题，Sun等人提出了一个具有已知签名人的门限代理签名体制4，通过ASID的使用，使得代理签名者的身份公开。关于门限代理签名的有文献3,4,810。指定验证者代理签名是指原始签名者将他的签名权力授权给代理签名者时任命一个人为签名接收者，签名只可由指定验证者验证并接受，防止了代理签名的滥用。指定验证者代理签名最早由Dai等人5提出，之后，Guilin Wang通过原始签名者的伪造攻击指出Dai等人的体制并不安全，提出了一个新的、有效的、安全的指定验证者代理签名体制6。2005年Guilin Wang通过提出一个可证安全的代理签名体制，得到了新的、安全的指定验证者代理签名体制7。在普通的门限代理签名方案中，任何人都能验证门限代理签名的有效性。然而，在某些情况下，并不希望任何人都能验证门限代理签名，而是希望只有指定的验证者才能验证门限代理签名。这在实际中是需要的，如公司经理Alice要外出度假几个星期，而在这期间一些事务仍需处理，于是Alice将她的签名权力授权给她的所有助手，希望他们能处理与不同客户之间的事务，而且为了安全，希望只有t个或更多个助手协作才能处理一项事务，单个助手不能单独处理与客户之间的事务。假设t个助手协作处理与客户Cindy的事务，在处理过程中，会产生一些带有能够验证和不可否认的代理签名的中间文档。为了保护这些文档的机密性和真实性，希望只有指定的验证者可以验证这些代理签名的有效性，即只有Cindy可以验证t个助手生成的代理签名的有效性，而且为了满足不可否认，Cindy需要能够将指定验证者代理签名转化为可公共验证的代理签名。对于这类应用我们就需要指定验证者的门限代理签名。目前，关于指定验证者的门限代理签名的有文献11,12，其中文献11是指定验证者群的方案，文献12是基于身份的方案。而本文结合Guilin Wang的指定验证者代理签名体制7和当前已有的门限代理签名的思想，对Guilin Wang的方案进行扩展，提出了首个安全的、非基于身份的、指定单个验证者的门限代理签名方案。本文的结构组织如下：第2节，简要描述Guilin Wang的指定验证者代理签名体制；第3节，描述本文提出的指定验证者门限代理签名方案；第4节，给出提出的体制的安全性分析；第5节是结束语。2 Guilin Wang的指定验证者代理签名体制系统参数：2个大素数p、q，且、q阶元素，安全单项函数、。原始签名者Alice，代理签名者Bob，指定验证者Cindy的私钥分别为,，相应的经CA认证过的公钥为，。授权书，其信息括授权周期、授权信息的类别以及原始签名者和代理签名者的身份等。2.1 代理密钥生成1) Alice随机选择，计算，将发送给Bob。2) Bob随机选择，计算 ，并将发送给Alice。3) Alice收到后，检查是否成立。如果成立，则计算,，并将发送给Bob。4) Bob收到后，计算，检验，,是否成立。如果所有的验证成立，则Bob计算，最终得到他的代理密钥对，2.2 代理签名生成Bob随机选择，计算， ，最终关于信息m的代理签名为。2.3 代理签名验证为了验证代理签名的有效性，验证者Cindy执行以下操作：1) 检查信息m是否与一致。如果不一致，则停止；否则，继续。2) 分别检查Alice和Bob是否是中所描述的原始签名者和代理签名者。3) 计算， ，得到和代理签名公钥。4) 检验等式是否成立。若成立，则是信息m的有效的代理签名。 3 提出的指定验证者门限代理签名方案系统管理员SA负责系统的初始化及公共信息的管理，原始签名者Alice，指定验证者Cindy，代理签名者群，为每个代理签名者的身份标识。3.1 初始化、，原始签名者Alice 的公私钥，指定验证者Cindy的公私钥，授权书等参数同第2节。代理签名者的私钥为，经CA认证的公钥为。 3.2 秘密份额生成1) SA选择一个群私钥xG，计算群公钥，并交给CA认证。2) SA随机选择一个t1次多项式(1)其中， 。对每个，SA计算并由安全信道发送秘密份额，相应的公开信息为。3.3 代理密钥份额的生成1) 原始签名者Alice随机选择,计算,并将发送给SA。2) SA收到后，随机选择，计算，随机选择t1次多项式(2)其中， 。对每个，计算并由安全信道发送，相应的公开信息为，同时SA将发送给Alice。3) Alice收到后，检查是否成立。如果成立，则计算, 。将发送给每个代理签名者。随机选择一个t1次多项式(3)其中，。计算并秘密地发送给每个代理签名者相应的秘密份额，公开信息 。4) 每个代理签名者收到后, 计算，检查，是否成立，若成立，计算， 。即为代理签名者的代理密钥份额。3.4 代理签名份额的生成不失一般性，令为真正的代理签名者，ASID为D中所有代理签名者的身份。1) 随机选择，保密，并将，通过安全信道发送给。2) 得到所有的后，每个计算，(4)即为代理签名者生成的代理签名份额。3.5 代理签名生成1) 将发送给授权成员（clerk）2) 接收到后，授权成员通过验证等式是否成立来验证个人代理签名的有效性，如果等式成立，则是关于信息m 的有效的个人代理签名，如果所有的个人代理签名都被验证是有效的，则授权职员计算关于信息m的代理签名为 。3.6 代理签名验证指定的验证者Cindy接收到代理签名，通过得到原始签名人和代理签名人的身份信息，同时从ASID中得到真正的代理签名者的身份，从CA获得这些代理签名者的公钥。然后Cindy执行以下操作：1) 检查信息m是否与一致。如果不一致，则停止；否则，继续。2) 分别检查Alice和Bob是否是中所描述的原始签名者和代理签名者。3) Cindy计算，通过检查等式(5)是否成立来验证代理签名的有效性。4 安全性分析本文提出方案的安全性基于单向hash函数（OWHF）,离散对数问题（DLP）以及计算 Diffie-Hellman（CDH）问题假设13。1) 原始签名者Alice和系统管理员SA不能伪造代理签名。由于每个代理签名者的代理密钥份额是由原始签名者Alice、系统管理员SA和代理签名者三方生成的，原始签名者不能得到代理签名者的代理密钥份额，且由式(4)可知签名时要使用代理签名者的私钥和代理签名者选择的秘密参数，因此原始签名者自己不能伪造代理签名。同样系统管理员SA自己也不能伪造代理签名。另外，虽然原始签名者和系统管理员合作可以得到每个代理签名者的代理密钥份额，但由于不知道代理签名者的私钥和秘密随机数，因此，即使他们协作也不能伪造代理签名。2) 可以抵抗伪造攻击。根据式令，可以得到。基于DLP和OWHF假设，给定，和，找到能够满足上面等式的和是困难的。给定，和可以计算一个使等式成立的，但是在DLP和OWHF假设下，由计算 和是困难的。因此提出的方案可以抵抗伪造攻击。3) 可以抵抗合谋攻击。由验证阶段可知：验证时，验证者从中获得原始签名者和授权的代理签名者的身份，从ASID中获得真正的代理签名者的身份，并使用这些代理签名者的公钥来验证代理签名的有效性，因此要使得验证式(5)成立，代理签名的生成必须使用ASID中所声明的正确的代理签名者的私钥。虽然在中的t个代理签名者合谋，使用他们的，由式(1)、式(2)和式(3)可以重构，和，由此容易地得到其他代理签名者的，。但是，基于DLP假设，给定，从式(4)推出是困难的，所以他们不能从式(4)推导出的密钥。因此，t个恶意的代理签名者不能假冒别的代理签名者生成有效的代理签名，即提出的体制可以抵抗合谋攻击。4) 满足可识别性、不可否认性和防止滥用从最终的代理签名中的ASID，验证者可以知道谁是真正的代理签名者，满足了可识别性，并且由于身份公开，参与签名的代理签名者不能否认自己参与了代理签名，满足不可否认性的同时还防止了签名权力的滥用。5) 只有指定的验证者Cindy可以验证代理签名的有效性由验证阶段可知，验证代理签名的有效性时，需要从公共信息中恢复出。在DLP是困难的和h为单向随机函数的假设下，由或是均不能得到或，因此，第三方要验证代理签名的有效性，需要能通过使用和恢复出，即输入，第三方能输出，而文献13中证明了这个问题与CDH问题同样困难。因此，在CDH假设下，只有指定的验证者Cindy可以验证代理签名的有效性。另外，如果需要，Cindy可以简单地通过释放（或是每个代理签名者揭漏），而使指定验证者的代理签名转化为一个可公共验证的代理签名。5 结束语本文通过将指定验证者代理签名进行扩展，提出了首个非基于身份的、安全的、指定验证者的门限代理签名方案，实现了只有指定验证者才能验证门限代理签名以及必要时可将指定验证者代理签名转化为公共可验证的代理签名的特性，并通过对方案进行安全性分析，证明了该方案具有不可伪造性，不可否认性，可识别性，可以抵抗合谋攻击及防止滥用等性质。参考文献：1MAMBO M, USUDA K, OKAMOTO E. Proxy signatures for delegating signing operationA. Proc 3rd ACM Conference on Computer and Communications SecurityC. New York, 1996.48-57. 2MAMBO M, USUDA K, OKAMOTO E. Proxy signature: delegation of the power to sign messagesJ. IEICE Trans Fundamentals,1996, E79-A (9): 1338-1353. 3KIM S, PARK S, WON D. Proxy signatures, revisitedA. Information and Communications Security (ICICS97), LNCS 1334C. Springer- Verlag, 1997. 223-232. 4SUN H M. An efficient nonrepudiable threshold proxy signature scheme with known signersJ. Computer Communications, 1999, 22( 8): 717-722.5DAI J Z, YANG X H, DONG J X. Designated-receiver proxy signature scheme for electronic commerceA. Proc of IEEE International Conference on SystemsC. Man and Cybernetics, 2003. 384-389. 6WANG G L. Designated-verifier proxy signatures for e-commerceA. IEEE 2004 International Conference on Multimedia and Expo (ICME 2004)C. Taipei, Taiwan, 2004. 7WANG G L. Designated-verifier proxy signature schemesA. Security and Privacy in the Age of Ubiquitous Computing (IFIP/ SEC 2005)C. 2005. 409-423. 8HSU C L, WU T S, WU T C. New nonrepudiable threshold proxy signature scheme with known signersJ. The Journal of Systems and Software,2001,58(5):119 -124. 9YANG C Y, TZENG S F, HWANG M S. On the efficiency of nonrepudiable threshold proxy signatures with known signersJ. Journal of Systems and Software, 2004,73(3):507 -514.10TAN Z W, LIU Z J. On the security of some