存在特權集的門限代理群簽名方案

摘 要：基于特權集的思想，提出一種存在特權集的門限代理群簽名方案：只有滿足條件的普通用戶和特權用戶的共同參與才能生成有效的代理群簽名。部分成員合謀無法偽造簽名，從而可以抵抗合謀攻擊。該方案具有特權集與門限特性、簽名的不可偽造性、驗證的匿名性與身份的可追查性等良好特性。

關鍵詞：門限群簽名；秘密共享方案；代理簽名

中圖分類號：TP309 文獻標志碼：A

文章編號：1001-3695(2008)07-2146-02



Threshold proxy groupsignature scheme with privilege subsets

WANG Tianqin



(Institute of Data Knowledge Engineering，Henan University，Kaifeng Henan 475001，China)

Abstract:On the idea of privilege subset， this paper presented a threshold proxy groupsignature scheme with privilege subsets， which could withstand conspiracy attacks. It had the properties of anonymity and traceability. A valid signature can only be generated under the cooperation of proper proxy signers.

Key words：threshold groupsignature；secret sharing scheme；proxy signature

數字簽名是現代密碼學的主要研究內容之一，其主要功能是實現用戶對電子形式存放消息的認證。在日常生活中，經常會發生委托別人代替自己簽名的事情，與此相應的電子對應物是所謂的代理數字簽名^[1]。近幾年來，代理數字簽名體制的研究有了很大進展。(t，n)門限代理群簽名是指任意t或更多代理者合作生成代表群的有效代理簽名的體制，參見文獻[2~5]。注意到，這些代理簽名方案中，所有代理者的權限等同，但實際應用中的情況并不總是這樣。文獻[6]給出了解決各簽名成員權限不相等問題的思路。

本文應用文獻[6]中有關特權集的設計思想，提出一種存在特權集的門限代理群簽名方案：只有滿足條件的普通用戶和特權用戶共同參與才能生成有效的代理群簽名，部分成員合謀無法偽造簽名，從而可以抵抗合謀攻擊。

為敘述方便起見，首先給出文中所使用的符號與記號。

Gq：有限域GF（p）中階為q的循環群，p、q為大素數；

Z*q：集合{1，2，…，q-1}；

X‖Y：消息X和消息Y的逐比特連接。

協議中涉及的主體如下:

KAC：可信中心，負責系統參數選取及全局密鑰的產生與分配；

SC：簽名服務機構，負責頒布簽名；

U0：原始簽名者，其公開的身份信息用v0∈Z*q表示；

G：n個代理者U1，U2，…，Un組成的群體，群身份信息用Gid表示，每個代理者Ui的公開身份信息用vi∈Z*q，i=1，2，…，n表示；

G1：G的特權子集，其中每個特權者Uj，j∈{1，2，…，r}的公開特權身份信息用Uj∈Z*q表示；

V0：群簽名的驗證者。

1 對文獻[ 6]方案的分析

文獻[6]提出一種(t1，n1；t，n)門限群簽名方案。其基本過程如下：

a)初始化。KAC選取系統參數。

b)秘密鑰碎片產生。KAC采用雙重Shamir秘密共享方案^[7]在G中各普通成員之間及G1中各特權成員之間分配秘密鑰碎片。

c)群簽名的產生與驗證。參加簽名的各用戶依據自己的不同身份(普通用戶或特權用戶)生成各自的簽名，將結果發送給SC；SC在驗證了所有個體簽名合法的前提下，生成群簽名；最后，V0依據驗證方程確定群簽名的有效性。

2(t1，n1；t，n)門限代理群簽名方案

2．1 基本思想

借鑒文獻[6]的思想，由KAC負責群密鑰與秘密密鑰碎片的產生，每個普通用戶得到一個秘密密鑰碎片，特權用戶將獲得兩個秘密密鑰碎片，由KAC計算并公開其對應的公開密鑰。原始簽名者依據自己的簽名密鑰計算代理密鑰，并負責代理秘密密鑰碎片的分配。單簽名結果依賴用戶所分配的群秘密密鑰碎片、代理秘密密鑰碎片以及用戶自己的私鑰。SC負責單簽名的驗證及代理群簽名的生成。

需要說明的是，方案中所有公鑰的真實性和完整性可以通過使用公鑰證書來保證。

2．2 系統初始化

KAC執行如下操作:

a)選取大素數p、q滿足q|(p-1)，Gq的生成元g，安全hash函數h。

b)計算w=v0‖Gid‖t1‖n1‖t‖n‖time。這里time表示代理簽名的有效日期。

c)公開p、q、g、h、w。用戶Ui，i=0，1，2，…，n操作如下：秘密隨機選取私鑰xi∈Z*q，公開對應公鑰yi=gxi mod p。

2．3 群密鑰與秘密密鑰碎片產生

群密鑰：KAC秘密隨機選取兩個次數分別為(t-1)、(t1-1)的多項式f(x)，g(x)∈Gq[x]。

秘密密鑰：XG=(f(0)+g(0))mod q；

公開密鑰：YG=gXG mod p；

秘密密鑰碎片分發：KAC對XG采用雙重Shamir秘密共享方案進行碎片分發，即i=1，2，…，n。如果Ui是普通用戶，則得到秘密碎片γi=f(vi) mod q，并由KAC公開δi=gγi mod p。若Ui是特權用戶，則得到秘密碎片

γi=f(vi) mod q，γ′i=g(ui) mod q

，并由KAC公開δi=gγi mod p，δ′i=gγ′i mod p。

2．4 代理秘密密鑰碎片產生

原始簽名者U0執行如下操作，使代理組G中成員得到代理簽名秘密密鑰碎片：

a)秘密隨機選取k∈Z*q，計算并公開K=gk mod p；

b)生成代理簽名密鑰

σ=k+x0h(w‖K);

c)U0秘密隨機選取Gq上t-1次多項式

f0(x)=σ+b1x+b2x2+…+bt-1xt-1，

計算并公開Bj=gbj mod p（j=1，2，…，t-1）；

4)Ui（i=1，2，…，n）從U0獲得秘密碎片σi=f0(vi) mod q，

驗證式（1）是否成立：

gσi≡yh(w‖K)0K∏t-1j=1Bvjij mod p

(1)

若式(1)成立，則Ui接受σi作為其秘密代理碎片。

定理1秘密代理碎片的正確性可由式(1)驗證。

證明 由σi的計算過程知：

因此，σi的正確性可由式(1)驗證。證畢。

2．5 代理簽名的產生與驗證

給定待簽名信息M，不妨假設只有t個成員參加簽名，且恰為U1，U2，…，Ut。其中有t1個特權用戶。

簽名過程如下：

3 分析與討論

下面分析代理簽名方案所具有的特性：

a)特權集與門限特性。由定理3的證明易見，如果不滿足特權條件，即使有t個以上用戶參加簽名，g(0)的恢復也是不可能的，從而得不到群秘密密鑰，無法生成有效的群簽名；如果不足t個用戶參加簽名，即使g(0)可以恢復，但卻不能恢復f(0)，同樣無法生成有效的群簽名。

b)簽名的不可偽造性。由文獻[6]中的定理3知，在基本ElGamal簽名的安全性假設下，該方案可以抵抗任意t-1個成員的合謀攻擊；盡管任意t個滿足特權條件的用戶合謀可以得到任意用戶的群秘密密鑰碎片與代理秘密密鑰碎片，但由于代理單簽名生成中需要用戶秘密密鑰的參與，無法通過偽造個體簽名來偽造群簽名。

c)驗證的匿名性與身份的可追查性。驗證者利用各簽名者公開密鑰的乘積y、群公鑰和原始簽名者公鑰驗證簽名的有效性，無法確定簽名者的身份，因此具有簽名驗證的匿名性；SC知道簽名者身份，如果得到許可，由SC追查簽名者身份是平凡的。

需要說明的是該方案中，將特權集的思想嵌入群秘密密鑰碎片的產生過程。同樣，在代理碎片的產生過程中也可以實現特權集。

4 結束語

本文將多重秘密共享和代理簽名技術結合在一起，提出了一種存在特權集的門限代理群簽名方案。該方案除了滿足一般代理簽名體制的基本性質之外，還具有特權集與門限特性、簽名的不可偽造性、驗證的匿名性與身份的可追查性等良好特性，具有重要的實際應用價值。



參考文獻：

［1］MAMBO M，USUDA K，OKAMOTO E.Proxy signature for delegating signing operation[C]//Proc of the 3th ACM Conference on Computer and Communications Security.1996:48-57.

[2] SUN H M.An efficient nonrepudiable threshold proxy signature scheme with known signers[J].Computer Communications，1999，22(8):717-722.

[3] LI Z C，ZHANG J M，LUO Jun，et al.Grouporiented (t，n) threshold digital signature schemes with traceable signers[C]//Proc ofLecture Notes in Computer Science2040.London: SpringerVerlag， 2001:57-69.

[4] TSAI C S，TZENG S F，HWANG M S.Improved nonrepudiable threshold proxy signature scheme with known signers[J].Informatica，2003，14(3):393-402.

[5] XUE Qingshui，CAO Zhenfu.Security analysis and improvement of some threshold proxy signature schemes[J].Journal of Communication and Computer，2005，2(1):17-25.

[6] 陳偉東，馮登國.一類存在特權集的門限群簽名方案[J].軟件學報，2005，16(7):1289-1295.

[7] 馮登國，裴定一. 密碼學導引[M].北京:科學出版社，1999.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”