一個基于身份的代理簽名的分析與改進

張瑞麗　李順東

(陜西師范大學計算機科學學院　陜西 西安 710119)

?

一個基于身份的代理簽名的分析與改進

張瑞麗李順東

(陜西師范大學計算機科學學院陜西 西安 710119)

針對Wu等人提出的基于身份的代理簽名方案進行分析，指出該方案不滿足公開驗證性和不可偽造性，提出一種改進的基于身份的代理簽名方案。該方案基于雙線性對運算和離散對數的困難性問題，滿足代理簽名的一般性安全要求。經過分析證明，并與現有的其他方案比較，該方案效率較高。

基于身份代理簽名公開驗證性不可偽造性高效

0　引　言

1976年，Diffie和Hellman首次提出數字簽名[1]的概念。 1978年，Rives等人在第一個公鑰密碼體制的基礎上，提出第一個數字簽名方案[2]。隨著各種公鑰密碼學的發展，各類相應的數字簽名方案不斷被提出，主要是基于離散對數和素因子分解的困難性問題。其中影響較大的有ElGamal數字簽名方案[3]、Rabin數字簽名方案[4]等。為了極大程度簡化公鑰部分的設計與管理，1984年Shamir提出基于身份的加密與簽名的思想[5]，方案將用戶的身份信息(如：身份證號、電話號碼、門牌號等)作為公鑰，對消息進行加密或簽名，這種方案的優勢極大，此后基于身份的簽名方案不斷涌現。

隨著科技的迅速發展，各種網絡電子活動應運而生，人們模擬傳統印章可以相互傳遞的功能，提出了一種新型的數字簽名——代理簽名[6]。代理簽名是指原始簽名人將他的簽名權交給代理人，然后由代理人代表自己對消息進行簽名，用以解決數字簽名中的委托問題。這種簽名方式由Mambo等人在1996年提出[7]，方案包括初始化、授權、代理簽名生成和代理簽名驗證四個部分。由于代理簽名應用非常廣泛，多種代理簽名方案被相繼提出。然而，一些代理簽名的原始簽名者也可產生代理簽名，這涉及到是否滿足簽名的不可否認性問題。因此Kim等人提出并設計了一種帶有授權證書的代理簽名方案[8]，該方案指定了代理簽名人，不允許原始簽名者進行簽名，具有不可偽造性和不可否認性，但對于文中授權證書的生成、維護、撤銷等操作需要的成本較高，同時簽名效率降低。Zhang等人提出一種基于身份的代理簽名體制[9]，簡化了公鑰證書的管理，提高了效率，但只進行簡單的分析，并沒有與之相應的安全模型。近年來，多種基于格的新的代理簽名[10-13]被提出，但方案在量子環境下存在安全性缺陷，同時并未擴展到基于身份，可行性受到局限，目前國內外學者主要將代理簽名的研究重點集中在確保安全和提高效率方面。本文針對Wu等人[14]提出的代理簽名，指出方案存在的安全性缺陷，并提出一種新的基于身份的代理簽名，經過正確性、公開驗證性、不可偽造性的證明，并與Xu方案[15]和Wu方案對比，證明該文方案的安全性和高效性。

1　預備知識

1.1雙線性對

設G1是一個由P生成的且階為素數q的循環加法群，G2是一個循環乘法群，階仍為q。映射e：G1×G1→G2是一個雙線性映射，且滿足以下3個性質：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

3) 可計算性：對于所有的P,Q∈G1，存在有效的算法計算e(P,Q)。

1.2一些問題的困難性描述

4)GDHP(GapDiffie-Hellman問題)：在多項式時間內，對于群G1上的DDHP易解決而CDHP難解決，則稱群G1為GDH群。

假設DLP問題和CDHP問題是困難的，則在多項式時間內DLP問題、CDHP問題均無法被解決。

2　文獻[14]方案的回顧

KeyExtract: 給一使用者ID,計算H0(ID)∈G1以及skID=sH0(ID)。

StandardSign： 對消息M進行簽名：

(2) 計算σs=(skID+rH1(M),rP)。

StandardVer： 驗證等式：

e(σs,P)=e(H0(ID),Ppub)e(H1(M),rP)。

σ1=skIDA+rAH1(W,IDA,IDB)+skIDB+rBH2(M,W,IDA,IDB)

σ2=rAP

σ3=rBP

輸出簽名σ=(σ1,σ2,σ3)。

ProxyVer:取(IDA,IDB)、W、M、σ代入下式：

e(σ1,P)=e(H0(IDA),Ppub)e(H0(IDB),Ppub)

e(H1(W,IDA,IDB),σ2)

e(H2(M,W,IDA,IDB),σ3)

如果等式成立則接收M，如果不成立則輸出⊥。

3　對文獻[14]方案的攻擊

文獻[14]方案存在以下安全缺陷：

(1) 該方案不滿足公開驗證性，即在不暴露明文和私鑰的情況下，第三方無法對簽名進行驗證。在ProxyVer階段，方案使用了明文消息M，使得：

e(σ1,P)=e(H1(W,IDA,IDB),σ2)e(H2(M,W,IDA,IDB),σ3)，第三方得到消息M*和IDA、IDB、W、σ，通過計算H2(M*,W,IDA,IDB)使得以上等式成立，由于M*≠M，等式無法成立，因此該方案無法進行公開驗證。

因此，方案不滿足不可偽造性，同時由于能夠偽造，接收者無法知道方案由誰發出，所以方案仍然不具有不可否認性。

4　對文獻[14]方案的改進

KeyExtract: 給一使用者ID,計算H0(ID)∈G1以及skID=sH0(ID)。

StandardSign： 對消息M進行簽名：

(2) 計算σs=skID+rH3(M)。

StandardVer： 驗證等式：

e(σs,P)=e(H0(ID),Ppub)e(H3(M),rP)。

ProxyVer:

取(IDA,IDB)、W、h、σ代入：

e(σ3,P)=e(H1(W,IDA),σ1)e(H0(IDB),Ppub)e(H2(h,IDB),σ2)

如果等式成立則接收M，如果不成立則輸出⊥。

5　方案分析

5.1正確性

StandardVer階段：

e(σs,P)=e(skID+H3(M),P)

=e(skID,P)e(rH3(M),P)

=e(H0(ID),sP)e(H3(M),rP)

=e(H0(ID),Ppub)e(H3(M),rP)

ProxyVer階段：

e(σ3,P)=e(rAH1(W,IDA)+skIDB+rBH2(h,IDB),P)

=e(rAH1(W,IDA),P)e(skIDB,P)e(rBH2(h,IDB),P)

=e(H1(W,IDA),rAP)e(sH0(IDB),P)e(H2(h,IDB),rBP)

=e(H1(W,IDA),σ1)e(H0(IDB),Ppub)e(H2(h,IDB),σ2)

5.2可驗證性

在ProxyVer階段，第三方只需知道明文消息的散列值h，再利用σ及公鑰信息IDA、IDB，即可驗證該簽名。

5.3不可偽造性

假設攻擊者C的身份信息LC不在公鑰集合L中，但是如果他要偽造一個有效的消費信息，他只能偽造一個LC∈L，執行以下過程：

(3) 用戶收到該簽名時，取(IDA,IDB)、W、h、σ代入下式：

如果等式成立則接收M′,如果不成立則輸出⊥。

5.4效率分析

在本文的效率分析中，設哈希函數的計算成本為H，雙線性對的計算成本為P，加法、乘法的計算成本分別為A、M，冪運算的計算成本為W。效率比較如表1所示。

表1　本文方案與其他方案的效率比較

本文方案在初始者計算階段增加一次冪運算，但減少了乘法運算，又能提高簽名的安全性，所以與其他方案相比差距并不大；在代理簽名階段，計算復雜性明顯降低；驗證階段，文獻[14]方案減少了一次哈希函數的計算，但增加了雙線性對的計算量，相比而言，效率較低。綜合考慮，本文方案符合代理簽名的基本要求且效率較高。

6　結　語

代理簽名在信息快速發展的當今，應用越來越廣泛，對它的研究也逐步深入，如多重代理簽名、盲代理簽名、代理群和環簽名等。由于代理簽名涉及到簽名的三方，實際應用中還會涉及到代理服務器、代理商等，所以其安全問題更是成為研究和重視的熱點，這方面需要做更多的嘗試與深入探索。

[1]DiffieW,HellmanME.Newdirectionsincryptography[J].InformationTheory,IEEETransactionson,1976,22(6):644-654.

[2]RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1978,21(2):120-126.

[3]ElGamalT.Apublickeycryptosystemandasignatureschemebasedondiscretelogarithms[C]//AdvancesinCryptology.SpringerBerlinHeidelberg,1985:10-18.

[4]RabinMO.Digitalsignaturefoundationsofsecurecommunication[M].NewYork:AeademicPress,1978.

[5]ShamirA.Identity-basedcryptosystemandsignaturescheme[C]//AdvancesinCryptology-Crypto1984,LNCS196,Heidelberg:Spring-verlag,1984:47-53.

[6] 任偉.數字簽名[M]. 北京：國防工業出版社，2012.

[7]MamboM,UsudaU,OkamotoE.Proxysignaturesfordelegatingsigningoperation[C]//ConferenceonComputerandConmunicationsSeeurity，1996:48-57.

[8]KimS,ParkS,Wond.Proxysignaturesrevisited[C]//ConferenceonInformationandCommunicationsSecurity,LNCS,Springer-Verlag,1997(1334):223-232.

[9]ZhangK.Thresholdproxysignatureschemes[C]//InformationSecurityWorkshop,Japan,1997:191-197.

[10]KimKS,HongD,JeongIR.Identity-basedproxysignaturefromlattices[J].Journalofcommunicationsandnetworks，2013:15(1):1-7.

[11] 余磊.一種基于格的代理簽名方案[J].計算機工程,2013,39(10):123-126.

[12]LyubashevskyV.Latticesignaturewithouttrapdoors[C]//ProceedingsofEurocrypt2012.LNCS7237.Heidelberg:Spring-verlag,2012:738-755.

[13] 江明明.格上的代理重簽名方案[J].西安電子科技大學學報，2014,41(2):20-24.

[14]WuW,MuY,SusiloW,etal.Identity-Basedproxysignaturefrompairings[M]//AutonomicandTrustedComputing.SpringBerlinHeidelberg,2007:22-31.

[15]XuJ,ZhangZ,FengD.ID-basedproxysignatureusingbilinearpairings[J].LectureNotesinComputerScience,2004:359-367.

ANALYSISANDIMPROVEMENTOFID-BASEDPROXYSIGNATURESCHEME

ZhangRuiliLiShundong

(School of Computer Science,Shaanxi Normal University,Xi’an 710119,Shaanxi,China)

WeanalysedtheID-basedproxysignatureschemepresentedbyWuetal.,andpointedoutthatitdoesn’tsatisfythepublicverifiabilityandun-forgeability.ThereforeweproposedanimprovedID-basedproxysignaturescheme.Thisoneisbasedonbilinearpairingscomputationanddifficultyofdiscretelogarithmproblem,itsatisfiesthegeneralsafetyrequirementsofproxysignature.Itisprovedbyanalysisandcomparingwithexistingschemesthatourschemehashigherefficiency.

ID-basedProxysignaturePublicverifiabilityUn-forgeabilityEfficient

2014-09-03。國家自然科學基金面上項目(612724 35)。張瑞麗，碩士生，主研領域：密碼學與信息安全。李順東，教授。

TP309.7

ADOI:10.3969/j.issn.1000-386x.2016.03.069