存在特權(quán)集的門限代理群簽名方案

摘 要：基于特權(quán)集的思想，提出一種存在特權(quán)集的門限代理群簽名方案：只有滿足條件的普通用戶和特權(quán)用戶的共同參與才能生成有效的代理群簽名。部分成員合謀無法偽造簽名，從而可以抵抗合謀攻擊。該方案具有特權(quán)集與門限特性、簽名的不可偽造性、驗(yàn)證的匿名性與身份的可追查性等良好特性。

關(guān)鍵詞：門限群簽名；秘密共享方案；代理簽名

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2008)07-2146-02



Threshold proxy groupsignature scheme with privilege subsets

WANG Tianqin



(Institute of Data Knowledge Engineering，Henan University，Kaifeng Henan 475001，China)

Abstract:On the idea of privilege subset， this paper presented a threshold proxy groupsignature scheme with privilege subsets， which could withstand conspiracy attacks. It had the properties of anonymity and traceability. A valid signature can only be generated under the cooperation of proper proxy signers.

Key words：threshold groupsignature；secret sharing scheme；proxy signature

數(shù)字簽名是現(xiàn)代密碼學(xué)的主要研究?jī)?nèi)容之一，其主要功能是實(shí)現(xiàn)用戶對(duì)電子形式存放消息的認(rèn)證。在日常生活中，經(jīng)常會(huì)發(fā)生委托別人代替自己簽名的事情，與此相應(yīng)的電子對(duì)應(yīng)物是所謂的代理數(shù)字簽名^[1]。近幾年來，代理數(shù)字簽名體制的研究有了很大進(jìn)展。(t，n)門限代理群簽名是指任意t或更多代理者合作生成代表群的有效代理簽名的體制，參見文獻(xiàn)[2~5]。注意到，這些代理簽名方案中，所有代理者的權(quán)限等同，但實(shí)際應(yīng)用中的情況并不總是這樣。文獻(xiàn)[6]給出了解決各簽名成員權(quán)限不相等問題的思路。

本文應(yīng)用文獻(xiàn)[6]中有關(guān)特權(quán)集的設(shè)計(jì)思想，提出一種存在特權(quán)集的門限代理群簽名方案：只有滿足條件的普通用戶和特權(quán)用戶共同參與才能生成有效的代理群簽名，部分成員合謀無法偽造簽名，從而可以抵抗合謀攻擊。

為敘述方便起見，首先給出文中所使用的符號(hào)與記號(hào)。

Gq：有限域GF（p）中階為q的循環(huán)群，p、q為大素?cái)?shù)；

Z*q：集合{1，2，…，q-1}；

X‖Y：消息X和消息Y的逐比特連接。

協(xié)議中涉及的主體如下:

KAC：可信中心，負(fù)責(zé)系統(tǒng)參數(shù)選取及全局密鑰的產(chǎn)生與分配；

SC：簽名服務(wù)機(jī)構(gòu)，負(fù)責(zé)頒布簽名；

U0：原始簽名者，其公開的身份信息用v0∈Z*q表示；

G：n個(gè)代理者U1，U2，…，Un組成的群體，群身份信息用Gid表示，每個(gè)代理者Ui的公開身份信息用vi∈Z*q，i=1，2，…，n表示；

G1：G的特權(quán)子集，其中每個(gè)特權(quán)者Uj，j∈{1，2，…，r}的公開特權(quán)身份信息用Uj∈Z*q表示；

V0：群簽名的驗(yàn)證者。

1 對(duì)文獻(xiàn)[ 6]方案的分析

文獻(xiàn)[6]提出一種(t1，n1；t，n)門限群簽名方案。其基本過程如下：

a)初始化。KAC選取系統(tǒng)參數(shù)。

b)秘密鑰碎片產(chǎn)生。KAC采用雙重Shamir秘密共享方案^[7]在G中各普通成員之間及G1中各特權(quán)成員之間分配秘密鑰碎片。

c)群簽名的產(chǎn)生與驗(yàn)證。參加簽名的各用戶依據(jù)自己的不同身份(普通用戶或特權(quán)用戶)生成各自的簽名，將結(jié)果發(fā)送給SC；SC在驗(yàn)證了所有個(gè)體簽名合法的前提下，生成群簽名；最后，V0依據(jù)驗(yàn)證方程確定群簽名的有效性。

2(t1，n1；t，n)門限代理群簽名方案

2．1 基本思想

借鑒文獻(xiàn)[6]的思想，由KAC負(fù)責(zé)群密鑰與秘密密鑰碎片的產(chǎn)生，每個(gè)普通用戶得到一個(gè)秘密密鑰碎片，特權(quán)用戶將獲得兩個(gè)秘密密鑰碎片，由KAC計(jì)算并公開其對(duì)應(yīng)的公開密鑰。原始簽名者依據(jù)自己的簽名密鑰計(jì)算代理密鑰，并負(fù)責(zé)代理秘密密鑰碎片的分配。單簽名結(jié)果依賴用戶所分配的群秘密密鑰碎片、代理秘密密鑰碎片以及用戶自己的私鑰。SC負(fù)責(zé)單簽名的驗(yàn)證及代理群簽名的生成。

需要說明的是，方案中所有公鑰的真實(shí)性和完整性可以通過使用公鑰證書來保證。

2．2 系統(tǒng)初始化

KAC執(zhí)行如下操作:

a)選取大素?cái)?shù)p、q滿足q|(p-1)，Gq的生成元g，安全hash函數(shù)h。

b)計(jì)算w=v0‖Gid‖t1‖n1‖t‖n‖time。這里time表示代理簽名的有效日期。

c)公開p、q、g、h、w。用戶Ui，i=0，1，2，…，n操作如下：秘密隨機(jī)選取私鑰xi∈Z*q，公開對(duì)應(yīng)公鑰yi=gxi mod p。

2．3 群密鑰與秘密密鑰碎片產(chǎn)生

群密鑰：KAC秘密隨機(jī)選取兩個(gè)次數(shù)分別為(t-1)、(t1-1)的多項(xiàng)式f(x)，g(x)∈Gq[x]。

秘密密鑰：XG=(f(0)+g(0))mod q；

公開密鑰：YG=gXG mod p；

秘密密鑰碎片分發(fā)：KAC對(duì)XG采用雙重Shamir秘密共享方案進(jìn)行碎片分發(fā)，即i=1，2，…，n。如果Ui是普通用戶，則得到秘密碎片γi=f(vi) mod q，并由KAC公開δi=gγi mod p。若Ui是特權(quán)用戶，則得到秘密碎片

γi=f(vi) mod q，γ′i=g(ui) mod q

，并由KAC公開δi=gγi mod p，δ′i=gγ′i mod p。

2．4 代理秘密密鑰碎片產(chǎn)生

原始簽名者U0執(zhí)行如下操作，使代理組G中成員得到代理簽名秘密密鑰碎片：

a)秘密隨機(jī)選取k∈Z*q，計(jì)算并公開K=gk mod p；

b)生成代理簽名密鑰

σ=k+x0h(w‖K);

c)U0秘密隨機(jī)選取Gq上t-1次多項(xiàng)式

f0(x)=σ+b1x+b2x2+…+bt-1xt-1，

計(jì)算并公開Bj=gbj mod p（j=1，2，…，t-1）；

4)Ui（i=1，2，…，n）從U0獲得秘密碎片σi=f0(vi) mod q，

驗(yàn)證式（1）是否成立：

gσi≡yh(w‖K)0K∏t-1j=1Bvjij mod p

(1)

若式(1)成立，則Ui接受σi作為其秘密代理碎片。

定理1秘密代理碎片的正確性可由式(1)驗(yàn)證。

證明 由σi的計(jì)算過程知：

因此，σi的正確性可由式(1)驗(yàn)證。證畢。

2．5 代理簽名的產(chǎn)生與驗(yàn)證

給定待簽名信息M，不妨假設(shè)只有t個(gè)成員參加簽名，且恰為U1，U2，…，Ut。其中有t1個(gè)特權(quán)用戶。

簽名過程如下：

3 分析與討論

下面分析代理簽名方案所具有的特性：

a)特權(quán)集與門限特性。由定理3的證明易見，如果不滿足特權(quán)條件，即使有t個(gè)以上用戶參加簽名，g(0)的恢復(fù)也是不可能的，從而得不到群秘密密鑰，無法生成有效的群簽名；如果不足t個(gè)用戶參加簽名，即使g(0)可以恢復(fù)，但卻不能恢復(fù)f(0)，同樣無法生成有效的群簽名。

b)簽名的不可偽造性。由文獻(xiàn)[6]中的定理3知，在基本ElGamal簽名的安全性假設(shè)下，該方案可以抵抗任意t-1個(gè)成員的合謀攻擊；盡管任意t個(gè)滿足特權(quán)條件的用戶合謀可以得到任意用戶的群秘密密鑰碎片與代理秘密密鑰碎片，但由于代理單簽名生成中需要用戶秘密密鑰的參與，無法通過偽造個(gè)體簽名來偽造群簽名。

c)驗(yàn)證的匿名性與身份的可追查性。驗(yàn)證者利用各簽名者公開密鑰的乘積y、群公鑰和原始簽名者公鑰驗(yàn)證簽名的有效性，無法確定簽名者的身份，因此具有簽名驗(yàn)證的匿名性；SC知道簽名者身份，如果得到許可，由SC追查簽名者身份是平凡的。

需要說明的是該方案中，將特權(quán)集的思想嵌入群秘密密鑰碎片的產(chǎn)生過程。同樣，在代理碎片的產(chǎn)生過程中也可以實(shí)現(xiàn)特權(quán)集。

4 結(jié)束語

本文將多重秘密共享和代理簽名技術(shù)結(jié)合在一起，提出了一種存在特權(quán)集的門限代理群簽名方案。該方案除了滿足一般代理簽名體制的基本性質(zhì)之外，還具有特權(quán)集與門限特性、簽名的不可偽造性、驗(yàn)證的匿名性與身份的可追查性等良好特性，具有重要的實(shí)際應(yīng)用價(jià)值。



參考文獻(xiàn)：

［1］MAMBO M，USUDA K，OKAMOTO E.Proxy signature for delegating signing operation[C]//Proc of the 3th ACM Conference on Computer and Communications Security.1996:48-57.

[2] SUN H M.An efficient nonrepudiable threshold proxy signature scheme with known signers[J].Computer Communications，1999，22(8):717-722.

[3] LI Z C，ZHANG J M，LUO Jun，et al.Grouporiented (t，n) threshold digital signature schemes with traceable signers[C]//Proc ofLecture Notes in Computer Science2040.London: SpringerVerlag， 2001:57-69.

[4] TSAI C S，TZENG S F，HWANG M S.Improved nonrepudiable threshold proxy signature scheme with known signers[J].Informatica，2003，14(3):393-402.

[5] XUE Qingshui，CAO Zhenfu.Security analysis and improvement of some threshold proxy signature schemes[J].Journal of Communication and Computer，2005，2(1):17-25.

[6] 陳偉東，馮登國(guó).一類存在特權(quán)集的門限群簽名方案[J].軟件學(xué)報(bào)，2005，16(7):1289-1295.

[7] 馮登國(guó)，裴定一. 密碼學(xué)導(dǎo)引[M].北京:科學(xué)出版社，1999.

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。”