基于雙線性對的高效代理重簽密方案

郭　宇　劉　新　杜永興

(內蒙古科技大學信息工程學院　內蒙古 包頭 014010)

?

基于雙線性對的高效代理重簽密方案

郭宇劉新杜永興

(內蒙古科技大學信息工程學院內蒙古 包頭 014010)

摘要在公鑰密碼體制中，通常涉及到三方通信，如何高效地加密與簽名成為主要問題。結合代理與簽密的思想，設計一種新的代理重簽密方案。該方案基于雙線性對的性質和離散對數的困難性問題，通過對明文的二次加密與簽名，解決了傳統簽名和加密分時進行的缺陷，并將代理方的簽名與普通的簽名區分開來，同時可以進行公開驗證簽名。經過證明分析并與現有其他方案比較，該方案正確，且滿足保密性和不可偽造性，高效安全。

關鍵詞代理重簽密雙線性對離散對數保密性不可偽造性

0引言

代理計算[1]作為一種新型計算，它將個人的操作遷移至代理方，用戶將自己的任務委托至第三方完成，這種方式極大程度地降低了用戶自己的成本，同時又提高了資源的利用率，所以有關代理方面的計算形式得到了廣泛的認可和應用。與此同時，加入代理方的計算后，消息是否安全的問題成為用戶擔心的熱點，如自己交給代理方的信息是否被其他人看到，是否已經被更改，是否已經損壞等。為了使用戶能夠放心享受代理計算帶來的服務，可以應用密碼學[2-4]，通過加密解密等對數據進行處理，實現數據的保密性，通過數字簽名實現數據的可認證性，所以在此基礎上產生簽密的概念。另外，代理方作為第三方，理論上是不能知道用戶數據的具體內容，它只能按照授權人提供的要求，將所需資源提供給被授權人，所以用戶將數據給予代理方之前，需要對數據進行加密處理，防止代理方看到數據，造成消息的泄露。針對這一問題，提出利用代理重加密[5]方案解決。

Blaze[6]在1998年首次提出代理重加密的概念，指出它是一種具有隱私以及認證的數據訪問控制體系，并提出了具體的方案。2006年Ateniese[7]提出一種改進的代理重加密方案并解決了其中分布式存儲中的安全問題，推進了代理重加密的應用。 2007年Green等人[8]設計了一種基于身份的代理重加密方案，極大簡化了公鑰部分的處理與設計。近年來，為了進一步提高代理重加密對數據的安全性要求、擴大它的應用領域，Liang[9]在沒有隨機預言機模型下，設計了CCA安全的代理重加密方案、Kawai[10]設計了一種完全匿名的代理重加密方案，這些方案都從不同的角度提高了數據的安全性。為了實現消息的可認證功能，1999年Gamage[11]提出了代理簽密的概念，在代理加密中結合了數字簽名，同時實現了保密和認證的功能。在此基礎上，zhang[12]提出一種基于短簽名的高效代理簽密方案，但其密鑰管理較復雜。近年來，陳、王等人[13,14]分別設計了一種基于身份的代理重簽密，這些方案中雖然簽密無需明文參與、也無證書，但效率并非有明顯的提高。本文利用加密與簽名給出一種具體的代理重簽密方案，并分析證明了其正確性、保密性，可區分性、可驗證性以及不可偽造性，通過與其他現有的方案進行對比分析，本方案效率較高，對于提高代理簽密的效率和可用性具有重要的意義。

1預備知識

1.1雙線性對

設G1是由P生成，且階為素數q的循環加法群，G2是一個循環乘法群，階仍為q。映射e：G1×G1→G2是一個雙線性映射，且滿足以下3個條件：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

3) 可計算性：對于所有的P,Q∈G1，存在有效的算法計算e(P,Q)。

1.2相關數學問題的困難性描述

4)GDHP(GapDiffie-Hellman問題)：在多項式時間內，對于群G1上的DDHP容易解決而CDHP難解決，則稱群G1為GDH群。

假設DLP問題和CDHP問題是困難的，即在多項式時間內DLP問題、CDHP問題均無法被解決。

2代理重簽密的具體過程

本文提出的方案包括6個步驟：初始化、公私鑰對生成、轉換密鑰生成、加密、代理重的簽密過程及解密驗證階段，具體過程如下：

1) 系統初始化

{G1,G2,e,q,P,Ppub,H1,H2}

公開。

2) 公私鑰對生成

3) 轉換密鑰生成

(a) 用戶按照需要建立一個授權許可證，稱之為mw,明確雙方的身份信息、授權關系及使用限制等，該用戶便成為授權用戶A；

4) 簽密過程

V=s1H1(mw)

R=nP

w=e(P,P2)n

c=wmmodq

將(R,V,c)發送至代理方；

5) 代理過程

(a) 代理方接收到(R,V,c)， 驗證等式：

e(V,P)=e(H1(mw),P1)

是否成立，如果不成立，則拒絕來自此用戶的請求；如果成立，那么接受。

c′=e(P,P0)cmodq

V′=k-1(H2(c′)P+P0)

U′=kP

(c) 發送加密消息至被授權人：

(V′,U′,c′,R,mw)

6) 解密驗證階段

(a) 驗證等式：

e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)

是否正確，如果成立，則消息有效；否則，消息無效，拒絕接收。

(b) 驗證等式正確后，進行解密運算，得到明文：

w′=e(P,s2)n，m=(w′)-1c′modq

3方案分析

3.1正確性

1) 授權者發送消息至代理方后，代理方驗證e(V,P)=e(H1(mw),P1)的正確性：

e(V,P)=e(s1H1(mw),P)

=e(H1(mw),P)s1

=e(H1(mw),s1P)

=e(H1(mw),P1)

2) 被授權者收到來自代理方的信息后，驗證e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)的正確性：

e(V′,U′)=e(k-1(H2(c′)P+P0),kP)

=e(H2(c′)P+P0P,P)

=e(P0P,P)·e(P,P)H2(c′)

=e((s2-s1)P,P)

=e(P2-P1,P)

所以：

e(V,P)=e(sH1(mw),P)

e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)

3.2保密性

本方案的保密性主要體現在數據的透明性和單向傳遞性兩個方面。數據經過加密至代理方后，進行重加密，他并不知道數據的具體內容，只有需要數據的人通過解密才能得知，所以數據對于代理方是透明的。另外，由于授權許可證mw的限制，授權只能從一個用戶到另一個用戶，而同時不能反向執行，實現了數據的單向傳遞性，更好地保證了數據的安全性。

3.3可區分性與可驗證性

由于簽密密文中包含了授權許可證mw，而最終解密驗證時需要用到授權用戶A的公鑰，因此，該代理簽密方案與代理人自行簽密可以區分。另外，代理方產生代理簽密(V′,U′,c′,R,mw)后，發送至被授權用戶B，該用戶從授權證書mw中可得知授權用戶和代理簽名者，同時驗證e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)時，用到P1，所以可知該簽名經過A同意，可驗證性成立。

3.4不可偽造性

本文方案中的關鍵數據(如密文c,c′,簽名等)的不可偽造性是通過加密、hash函數H(*)和基于雙線性對的數字簽名來保證的。

若偽造者想要偽造c=wmmodq，他必須知道w，而w=e(P,P2)n，R=nP，根據解離散對數的困難性，已知R，無法得到n，故無法得到w， 因此無法偽造密文信息。對于c′=e(P,P0)cmodq，其中P0的值只有代理方知道，而且c滿足保密性，偽造者無法得到任何相關信息。最后，簽名的過程中包含了授權者的私鑰、密文信息，對于密文，該方案滿足保密性，所以攻擊者是無法進行偽造的。

3.5效率

在本文的效率分析中，假設G1、G2分別表示加法和乘法運算的成本，雙線性對的計算成本為e，哈希函數的計算成本為H， 指數運算的成本為exp。則通過與其它現有方案的效率比較，得出如表1所示。

表1　本文方案與其他方案的效率比較

由表可知，本文在G1、G2和雙線性對計算方面的成本相對其它方案均有所減少，雖然其它計算成本并非最低，但相對而言已達到很好的效果。另外，轉換密鑰P0的計算由代理方完成，極大程度簡化用戶方的運算復雜性。代理方面計算(U′,c′)快速簡單，哈希過程與雙線性計算成本大大減少。最后階段通過驗證等式e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)的正確與否，計算簡便快捷，減少了通信量和系統開銷。

4結語

簽密是將簽名與加密有效結合。本文在傳統計算的基礎上，通過加密、確認、代理重加密及解密等階段，對數據作一系列處理，在確保消息正確、安全的前提下，利用代理重加密能夠轉換密鑰、二次加密的優勢，將信息再次加密，被授權用戶需要時可以用自己的私鑰解密。增加用戶向代理方確認階段，確保數據來源清楚，使得消息發送者對于自己發出的消息不能抵賴。

代理重簽密方面的相關方案日益成熟，目前更多的應用于電子郵件轉發、代理服務器等的使用中，而安全問題作為信息傳遞中的主要障礙和制約因素，關系到使用代理計算的相關企業的生存和發展，因此還需要做更多的嘗試與深入的研究。

參考文獻

[1] 雷萬云.云計算[M].北京:清華大學出版社,2011.

[2] 張煥國,王張宣.密碼學引論[M].武漢:武漢大學出版社,2009.

[3]RivestRL,ShamirA,TaumanY.Howtoleakasecret[M].AdvancesinCryptology-ASIACRYPT2001.SpringerBerlinHeidelberg,2001:552-565.

[4]RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1978,21(2):120-126.

[5]BruceSchneier.AppliedCryptography:Protocols,AlgorithmsandSourceCodeinC[M].2nded.Wiley,1995.

[6]BlazeM,BleumerG,StraussM.Divertibleprotocolsandatomicproxycryptography[C]//AdvancesinCryptology-EUROCRYPT’98.SpringerBerlinHeidelberg,1998:127-144.

[7]AtenieseG,FuK,GreenM,etal.Improvedproxyre-encryptionschemeswithapplicationstosecuredistributedstorage[J].ACMTransactionsonInformationandSystemSecurity(TISSEC),2006,9(1):1-30.

[8]GreenM,AtenieseG.Identity-basedproxyre-encryption[C]//AppliedCryptographyandNetworkSecurity.SpringerBerlinHeidelberg,2007:288-306.

[9]LiangK,LiuZ,TanX,etal.ACCA-Secureidentity-basedconditionalproxyre-encryptionwithoutrandomoracles[C]//InformationSecurityandCryptology-ICISC2012.SpringerBerlinHeidelberg,2013:231-246.

[10]KawaiY,TakashimaK.Fully-AnonymousFunctionalProxy-Re-Encryption[J].IACRCryptologyE-PrintArchive,2013:318-391.

[11]GamageC,LeiwoJ,ZhengU.AnEfficientSchemeforSecureMessageTransmissionUsingProxy-signcryption[C]//Procofthe22ndAustralasianComputerScience.Auckland:Springer-Verlag,1999:420-431.

[12]ZhangXuejun,WangYumin.EfficientIdentity-basedProxySigncryption[J].ComputerEngineeringandApplications,2007:43(3):109-111.

[13] 陳善學,周淑賢,姚小鳳,等.高效的基于身份的代理簽密方案[J].計算機應用研究,2011,28(7):2694-2696.

[14] 王會歌,王彩芬,曹浩,等.新的基于身份的代理重簽密[J].計算機應用,2011,31(11):2986-2989.

AN EFFICIENT PROXY RE-SIGNCRYPTION SCHEME BASED ON BILINEAR PAIRING

Guo YuLiu XinDu Yongxing

(School of Information and Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,Inner Mongolia,China)

AbstractIn public key cryptography, usually it involves three parties communication, the way of efficient encryption and signature becomes the major problem. Combining the agent and signcryption ideas, we designed a new proxy re-signcryption scheme. The scheme is based on the property of bilinear pairing and the difficulty of discrete logarithm, by encrypting and signing on plaintext twice, it solves the defect of traditional way in separating the signature and encryption time, while distinguishes the agent signature from ordinary signature. At the same time the signature can be publicly verified. Through provable analysis and comparing it with other existing schemes, this one is correct and satisfies the confidentiality and unforgeability, it is efficient and safe.

KeywordsRe-signcryptionBilinear pairingDiscrete logarithmConfidentialityUnforgeablility

收稿日期：2014-12-27。國家自然科學基金項目(61301073)。郭宇，講師，主研領域：物聯網技術。劉新，講師。杜永興，副教授。

中圖分類號TP309

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.06.072