基于無證書的具有指定驗證者的代理簽名方案

梁景玲，高德智，張 云，葛榮亮

（山東科技大學 信息科學與工程學院,山東 青島 266510）

在傳統的公鑰密碼體制中，用戶公鑰的可靠性需要由一個可信任的第三方簽署的證書來保證，但這不可避免的會存在密鑰托管問題。為解決這一問題，在ASACRYPT2003上Al-Riyami和Paterson[1]提出了無證書公鑰密碼體制。在此體制中，用戶的密鑰由密鑰生成中心使用主密鑰為用戶生成基于身份的部分簽名和用戶自選的秘密值兩部分組成，用戶則將上述兩個部分聯合起來獨立生成私鑰。因為用戶獨立生成私鑰，KGC不知道用戶真正的私鑰，所以不存在基于身份的密鑰托管問題。因此無認證公鑰密碼體制一經提出就受到了廣泛關注，一些無證書簽名方案也被陸續提出[2-3]。

而代理簽名的概念是由Mambo等人[4]1996年首次提出的，當某個簽名人因為某種原因（如健康、出差等）不能簽名時，會將簽名權利委托給他人行使。代理簽名分為完全授權、部分授權和證書授權。并且代理簽名應滿足以下性質：可驗證性、不可偽造性、可區分性不可否認性和放濫用性等。而在通常的代理簽名中，代理簽名的有效性可以由任何得到原始簽名人和代理簽名人公鑰的人進行驗證。然而當簽名的消息是一些個人比較敏感的信息時，原始簽名者只希望自己指定的驗證者能夠驗證簽名的有效性。為了解決這個問題，Jacobs等人[5]1996年首次提出了具有指定驗證者的代理簽名方案。在這種簽名體制中，簽名者會選擇一個具體的驗證者，僅有此驗證者能夠驗證簽名的有效性，這些體制在電子商務，電子政務中得到了很好的體現和應用。

然而，目前結合代理簽名的無證書方案很少。文獻[6]提出一個無證書代理簽名方案，并宣稱該方案不存在密鑰托管問題，能夠滿足代理簽名方案所要求的所有性質，且在效率上優于已有的基于身份的代理簽名方案。而申軍偉等人[7]隨后指出，文獻[6]雖然滿足代理簽名的所有性質，但此方案不滿足可偽造性，不能抵抗替換公鑰攻擊和惡意的攻擊，同時提出了一個改進的能夠克服樊睿等人方案的新的方案。本文基于申君偉等人的改進方案，結合指定驗證者提出了一個基于無證書的具有指定驗證者的代理簽名方案。該方案不存在密鑰托管問題，并且能夠抵制替換公鑰攻擊和密鑰攻擊，可以滿足代理簽名的一切性質，同時具有指定驗證性，提高了安全性。

1 預備知識

1.1 雙線性對

假設群G1和G2分別為階為q的加法群和乘群，P為G1的生成元，假設群G1和G2中的離散對數均為困難問題，兩個群之間的雙線性映射e:G1×G1→G2滿足如下特性：

1） 雙線性性 對所有的 P，G∈G1和所有的 a，b∈Z*q：e（aP，bQ）=e（abP，Q）=e（P，abQ）=e（P，Q）ab。

2）非退化性 存在一個 P∈G1，滿足 e（P，P）≠1。

3）可計算性 對 P，G∈G1，存在一個有效的算法計算 e（P，Q）。

對雙線性映射可以利用橢圓曲線上的Weil對或Tate對來構造。

1.2 定義幾個密碼學問題

是可以忽略的。

3）判斷性 Diffie-Hellman 難題（DDHP）：給定 P、aP、bP、cP∈G1，其中 a，b，c∈，要判定是否成立時困難的。

我們假設，在多項式時間內，以上問題都不可解。

假設G是一個加法群，在G上的4個數學難題分別是：

1）離散對數問題：設P和G是群中的兩個元素，要找到某一個正整數n∈Z*q，使之滿足Q=nP是困難的。

2）計算性 Diffie-Hellman 難題（CDHP）：對?a，b∈Z*q給定 P、aP、bQ，計算 abP是困難的。

任何多項式時間內算法A能夠成功解決CDH問題的可能性定義為：

2 申君偉等人的無證書代理簽名方案

2.1 系統設置

G1和G2是階均為q的循環加群和循環乘群，P∈G1作為G1的生成元，定義3個密碼學上的單向哈希函數H1:{0，1}*×G1→G1，H2:{0，1}*×G2→，H3:G1→。 最后，KGC選擇 s∈作為自己的私鑰，計算公鑰Ppub=sP，將s秘密保存，公開系統參數：params={G1，G2，e，q，P，Ppub，H1，H2，H3}。

2.2 密鑰提取

原始簽名人A隨機選擇秘密值xA，然后計算并公開公鑰PA=xAP，KGC分別生成用戶 A的部分私鑰 DA=sQA=sH1（IDA，PA），并通過安全信道傳給 A，A 秘密保存其私鑰為（xA，DA）。通過相同的步驟生成代理簽名者B的公鑰PB以及私鑰對（xB， DB）。

2.3 代理授權

A生成一個授權許可信息mw來說明包含A和B的身份信息的授權關系及其B的權限。A計算將（Sw，mw）發送給 B。B 驗證等式 e（Sw，P）=e（QA，Ppub）·是否成立，若成立 B計算代理簽名密鑰

2.4 代理簽名

當要對消息m簽名時，代理簽名人B選擇a∈r，計算r=e （P，P）a，v=H2（mw， m，r），U=vSp+aP，則（U，v，mw）為 B 對 m 的代理簽名。

2.5 驗證

驗證者首先計算 QA=H1（IDA，XA），QB=H1（IDB，XB），r=e（U，P）·[e（-QA-QB，Ppub）e（-H1（mw，XA），XA）e（-H1（mw，XB），XB）]v，然后驗證等式 v=H2（mw，m，r），若成立則接受簽名，否則拒絕。

3 新提出的方案

3.1 系統設置

G1為階為q的循環加群，G2為循環乘群，階亦是q。P∈G1作為 G1的生成元，定義3個單向哈希函數 H1:{0，1}*×G1→G1，H2:{0，1}*×G2→。最后，KGC 選擇 s∈作為自己的私鑰，計算公鑰Ppub=sP，將s秘密保存，公開系統參數：params={G1，G2，e，q，P，Ppub，H1，H2，}。

3.2 密鑰提取

原始簽名人A隨機選擇秘密值xA，然后計算并公開公鑰PA=xAP，KGC分別生成用戶 A的部分私鑰 DA=sQA=sH1（IDA，PA），并通過安全信道傳給 A，A 秘密保存其私鑰為（xA，DA）。代理簽名者B和指定驗證者C可以通過相同的步驟生成各自的公鑰 PB，PC和私鑰對（xB， DB），（xC， DC）。

3.3 代理密鑰生成

A生成一個授權許可證書mw來說明包含A、B和C的身份信息及其B的代理權限、時間有效期等。A計算h1=H1（mw，xAPC），Sw=DA+xAh1，然后 A將（Sw，mw）秘密的發給 B。

B 在接收到（Sw，mw）后，首先驗證等式 e（Sw，P）=e（QA，Ppub）e（h1，PA）是否成立。 若成立，B 則計算代理簽名私鑰 SP=Sw+DB+xBh1；若不成立，則拒絕授權。

3.4 代理簽名生成

當要對消息m∈{0，1}*簽名時，代理簽名人B隨機選擇 a∈Z*q，然后計算 r=e（P，P）a，v=H2（mw，m，r），U=（vSP+aPC），則B把對信息m的簽名（U，v，m）發送給指定驗證者C。

3.5 驗證

指定驗證者C在接收到（U，v，m）簽名后，首先計算QA=然后驗證 v=H2（mw，m，r1）。 若成立，則接受簽名；否則，拒絕簽名。

4 安全性分析

4.1 正確性

指 定 驗 證 者 首 先 計 算 ：H1（mw，xAPC）=H1（mw，xAxCP）=H1（mw，xAPC）=h1

若想驗證 v=H2（mw，m，r）的正確性，即驗證

因為：

所以：

即驗證等式 v=H2（mw，m，r）成立。

4.2 強不可偽造性

因為此方案是在申君偉等人方案的基礎上得出的，所以此方案的授權過程在隨機語言模型下可以抵御適應性選擇消息攻擊模式的存在性和ID攻擊。又因為Sw=DA+xAh1是由原始簽名者A使用KGC為其生成的部分私鑰DA和自己自行選取的私鑰 xA以及哈希值 h1=H1（mw，xAPC）產生的，除了原始簽名人本身，就算是包括的任何攻擊者都無法獲得Sw的值。

另外，SP=Sw+DB+xBh1是由代理簽名人B聯合代理衍生密鑰 Sw和 B本身的私鑰對（xB，DB）產生的。 同樣，DB是由 KGC為代理簽名人產生的，而xA又是由B自己隨機選取的。所以，就算KGC和原始簽名人彼此勾結，他們也無法得到代理簽名私鑰Sp。

4.3 強不可否認性

首先原始簽名人和指定驗證者都不能對自己的授權和代理身份進行否認。因為，在完整的代理簽名生成過程中一直在使用mw，代理簽名人無法更改授權證書。而授權證書mw中包括原始簽名人和代理簽名人的身份信息，所以代理簽名人一旦產生了合法的代理簽名，就不能否認自己的簽名，同時原始簽名人也不能否認自己的授權身份。

另外，指定驗證者也不能否認自己的指定驗證身份。因為在簽名階段U=vSP+aPC的產生中，使用了指定驗證者的公鑰。所以，指定驗證者C也無法否認自己的指定驗證身份。

4.4 防止惡意的KGC攻擊和公鑰替換攻擊

基于申君偉等人的方案，本方案中原始簽名人、代理簽名人和指定驗證人先為自己選擇了秘密值xA、xB和xC，計算出各自的公鑰PA、PB和PC。然后將A、B和C各自的身份和公鑰聯合起來，嵌入KGC到為A、B和C生成的部分私鑰里。而且本方案的部分私鑰和秘密值是公開使用的。所以，這樣可以有效的防止惡意的KGC攻擊和公鑰替換攻擊。

4.5 指定驗證性

5 結束語

本文結合指定驗證者簽名方案，在申君偉等人方案的基礎上提出了基于無證書的具有指定驗證者的代理簽名方案[7]。經驗證，該方案可以滿足文獻[7]提出的一切性質。同時，新提出的方案只有指定驗證者能夠對其簽名方案進行驗證，這保護了代理簽名人的合法權益和隱私安全，在電子投票、網上招標以及軟件許可等方面有極廣泛的應用。此外，無證書公鑰密碼體制能有效解決基于證書密碼體制的證書管理問題和基于身份密碼體制的密鑰托管問題。所以結合指定認證的無證書代理簽名方案在某些電子商務中的應用前景及其廣闊。

[1]Al-RiyamiS，PatersonK.Certificatelesspublickeycryptography[C]//Lecture Notes in Computer Science 2894:Advances in Cryptology Proceeding of Asiacrypt，2003:452-473.

[2]Du H，Wen Q.Efficient and provably-secure certificateless short signature scheme from bilinear pairings[J].Computer Standards&Interfaces，2009（31）：390-394.

[3]Harn L， Ren J， Lin C.Design of DL-based certificateless digital signature[J].The Journal of Systems and Software 2009（82）：789-793.

[4]MamboM，UsudaK，OkamotoE.Proxysignaturesfordelegating signing operation [C]//Proc of the 3rd ACM Conference on Computer and Communications Security，1996:48-57.

[5]Jacobson M，Sako K，Mpacli Azzo R，Designated verifier proofs and their applications:Proc of the EUROCRYPT&96[C].[s.1.]:Springer，1996:142-154.

[6]樊睿，王彩芬，藍才會，等.新的無認證的代理簽名方案[J].計算機工程，2008，28（4）：195-197.FAN Rui， WANG Cai-fen， LA Cai-hui，et al.A new certificatelessproxy signature[J].Computer Engineering，2008，28（4）：195-197.

[7]申君偉，楊曉元，梁中銀，等.一種新的無證書代理簽名方案的分析和改進[J].計算機工程與應用，2010，46（8）：96-98.SHEN Jun-wei， YANG Xiao-yuan， LIANG Zhong-yin， et al.Security analysis and improvement of new certificateless proxy signature[J].Computer Engineering and Applications，2010， 46（8）:96-98.