韓春霞,王琳杰 (銅仁學院數(shù)學與計算機科學系;計算機應用技術研究所,貴州 銅仁554300)
2003年Gentry首次提出基于證書的加密概念 (CBE),由此克服了傳統(tǒng)公鑰加密 (PKI)中的證書管理問題以及無證書公鑰加密中對可信第三方的信任問題[1]。與PKI相似,CBE的用戶生成自己的公鑰對并向認證中心 (CA)請求一個證書,該證書除了具有傳統(tǒng)PKI下所具有的所有功能外,還可以在不安全信道進行傳送。此外,CBE不用密鑰托管,所以用戶的私鑰是安全的。
代理簽名方案是原始簽名者將自己的簽名委托給代理簽名人。2000年,Lin等[2]將盲簽名和代理簽名相結合提出了第一個代理盲簽名方案。隨后,由于現(xiàn)實的需求,將代理簽名與多重簽名相結合提出新的代理多重簽名方案[3-4]、多重代理簽名方案[5]及多重代理多重簽名方案[6-7]。多代理簽名是指在一種代理簽名方案中,一組代理簽名人接受一個原始簽名人的簽名權委托權,并且只有此組代理簽名人共同合作才能對消息進行簽名。代理多重簽名是指一個代理者同時代理若干個原始簽名者進行簽名。然而在實際應用中,還可能出現(xiàn)多個原始簽名者委托多個代理簽名者去簽署一些重要文件的情況,這就是多重數(shù)字簽名問題。近幾年,利用雙線性對構造的一些基于身份的代理盲簽名方案被提出[8-10],但是在該類方案中,私鑰生成中心 (PKG)不但可以計算系統(tǒng)內任何用戶的私鑰,而且也可以偽造任何一個用戶的代理盲簽名,但現(xiàn)實中要求PKG絕對可靠是不理想的。下面,筆者對基于證書的多重代理多重盲簽名方案進行了研究。
設G1是P生成的循環(huán)加法群,其階為素數(shù)q,P是G1的生成元,G2是一個階為素數(shù)q的循環(huán)乘法群。雙線性對e:G1×G1→G2,具有以下性質:
(1)雙線性:e(aP,bQ)=e(P,Q)ab,對所有P,Q∈G1和所有的a,b∈,其中表示素數(shù)q的既約剩余類。
(2)非退化性:存在P∈G1,使得e(P,Q)≠1。
(3)可計算性:存在有效算法可以計算e(P,Q),對于所有P,Q∈G1。
(1)離散對數(shù)難題 (DLP)。設P,Q∈G1,要找到一個正整數(shù)n∈,使得滿足Q=nP是困難的。
(2)判斷Diffie-Hellman難題 (DDHP)。?P,aP,bP,cP∈G1,其中a,b,c∈,要判定c≡ab modq是否成立是難題。
(3)計算Diffie-Hellman難題 (CDHP)。?P,aP,bP∈G1,其中a,b∈,計算abP是困難的。
若群G1的CDHP是難解的,而DDHP是容易解的,稱G1是Gap Diffie-Hellman(GDH)群。
利用雙線性對的知識,構造一個基于證書的多重代理多重盲簽名方案。方案參與者包括原始簽名組、代理簽名組、簽名收集者、盲消息擁有者以及任意的驗證者。該方案包括系統(tǒng)初始化、用戶密鑰生成、證書生成及委托、簽名和驗證。
該方案的系統(tǒng)參數(shù):
式中,H1、H2分別是密碼學上2個強無碰撞的安全單向哈希函數(shù)
假設原始簽名授權組成員為Ai(i=1,…,m),身份信息為IDai(i=1,…,m);代理簽名授權組成員為Bj(j=1,…,n),身份信息為IDbj(j=1,…,n)。首先利用哈希函數(shù) H1計算 Qai= H1(IDai),Qbj=H1(IDbj),并將Qai和Qbj公布。每個原始簽名授權組成員Ai(i=1,…,m)選擇隨機數(shù)xai∈作為其私鑰,相應的公鑰為PKai=xaiP;代理簽名人Bj(j=1,…,n)選擇隨機數(shù)xbj∈為其私鑰,相應的公鑰為PKbj=xbjP,mwij表示Ai給Bj的授權(i=1,2,…,m;j=1,2,…,n),包含Ai和Bj的身份信息、代理授權有效期限、授權范圍、代理權限等。
第j個代理簽名者Bj(j=1,…,n)可以按照以下過程從第i個原始簽名者Ai(i=1,…,m)獲得證書。
(1)Bj將身份信息(包括IDbj,Qbj和其他必要認證信息)發(fā)給Ai。
(2)Ai先驗證Bj身份信息的有效性。若Bj的身份信息驗證通過,Ai選擇隨機數(shù)rij∈計算Rij=然后生成Bj的證書Certij= (rijhij+1)xaiQai,再將發(fā)送給代理簽名人Bj。
(3)Bj收到再驗證PKai)是否成立,如果等式成立,則Bj接受簽名,否則拒絕。Bj驗證完原始簽名者Ai所生成的證書Certij后,計算作為自己代理簽名私鑰,因為:
為了完成對消息M的簽名,每位代理簽名人Bj(j=1,…,n)接受信息擁有者UI發(fā)出的簽名申請,且Bj按照如下步驟進行多重盲簽名。
(1)Bj選擇隨機數(shù)每位代理簽名者Bj都將R′j和mwmj;R1j,R2j,…,Rmj;Cert1j,Cert2j,…,Certmj)發(fā)給簽名收集者UC。
(2)UC首先驗證下面等式是否成立,若不成立則終止簽名,否則求出并將rB發(fā)給消息擁有者UI。
(3)UI隨機選擇P1∈G1,β,λ∈,計算R=(P1,P)λ,h2=H2(M,R),h′=h2β,并將h′發(fā)給Bj。
(4)Bj收到h′后,計算V′j= (αjh′+1)Vj,將V′j發(fā)給UC。
(5)UC收到簽名V′j后,驗證,若成立則接受簽名,否則拒絕該簽名或者要求代理人Bj重新簽名;若所有代理簽名人的簽名都通過驗證,則計算并將發(fā)給UI。
(6)UI接受到后,計算V=h2λP1,則消息M的多重代理盲簽名為σ(M)=(M,V,R)并發(fā)送給簽名的接受者。
簽名驗證者收到σ(M)= (M,V,R)后,首先計算h2= H2(M,R),然后驗證e(V,P)=Rh2×是否成立,若等式成立,則接受簽名,否則拒絕,其原因是:
代理盲簽名應滿足可驗證性、可區(qū)分性、可識別性、不可偽造性、不可否認性、盲性及不可追蹤性等安全要求[11-12]。在驗證有效地代理盲簽名σ(M)= (M,V,R)的過程中,代理權限mwij、原始簽名組PKai和代理簽名組的公鑰PKbj及所有用戶的身份信息Qai、Qbj均要出現(xiàn)在驗證算法中,由此驗證基于證書的多重代理多重盲簽名方案滿足可驗證性、可區(qū)分性、可識別性和不可否認性等安全要求。下面重點分析該方案滿足不可偽造性、盲性以及不可追蹤性的安全要求情況。
在該方案中,假如攻擊者想要偽造原始簽名人Ai(i=1,2,…,m)對代理簽名人Bj(j=1,…,n)的委托簽名(mwij,Rij,Certij)面臨CDHP難題。同時,mwij確定除了Bj以外其他任何人不能接受委托而成為代理簽名者,并且Bj的代理簽名私鑰是利用委托簽名(mwij,Rij,Certij)和其私鑰所生成的,因而除了Bj外,其他任何人不能以Bj的名義生成合法的代理密鑰。
用戶UI公布簽名σ(M)= (M,V,R)后,即使Bj保留每一次簽名時的序對(h′,V′j),均不能從h′=h2β與V=+h2λP1中求出P1,β,λ,所以要把該多重代理簽名與其以前某個簽名聯(lián)系起來是不可行的,也不能由已經(jīng)公開的簽名中求出簽名接收者的身份及被簽署內容,因而該方案具有不可鏈接性。
根據(jù)簽名算法,若給定的一個有效的代理盲簽名σ(M)= (M,V,R)且在簽發(fā)過程中用到數(shù)據(jù)(rB,h′,),則下列等式成立:
因此,只需要證明存在2個盲因子(P′1,λ′)滿足e(V-,P)=e(h2λ′P′1,P)。由式(4)可知,盲因子(P1,λ)總是存在且滿足式 (4)的定義,因而該方案具有盲性。
多重代理多重盲簽名綜合了多重代理多重簽名和盲簽名的優(yōu)點,在現(xiàn)實生活中有著廣泛的應用,如電子商務、辦公自動化、電子投票等方面。基于雙線性對提出了基于證書的多代理多盲簽名方案,由安全性分析可知,該方案滿足多重代理多重簽名的不可偽造性、不可否認性、可驗證性等安全特性,同時還滿足盲簽名的不可鏈接性。因此,基于證書的多代理多盲簽名方案具有可行性。
[1]Gentry C.Certificate-based Encryption and the Certificate Revocation Problem [J].Lecture Notes in Computer Science,2003,656:272-293.
[2]Lin W D,Jan J K.A security personal learning tools using aproxy blind signature scheme [A].Proc of International Conference on Chinese Language Computing [C].USA:Chinese Language Computer Society Knowledge Systems Institute,2000:273-277.
[3]伊麗江,白國強,肖國鎮(zhèn) .代理多重簽名:一類新的代理簽名方案 [J].電子學報,2001,29(4):569-570.
[4]何軍,李麗娟,李喜梅,等 .前向安全的代理多重數(shù)字簽名方案 [J].計算機工程,2010,36(14):122-126.
[5]祁傳達,陶建平,金晨輝 .一個安全的多重代理簽名方案 [J].計算機應用研究,2006,4:110-111.
[6]楊長海 .基于身份的門限多代理多盲簽名方案 [J].計算機工程與應用.2010,46(18):121-124.
[7]秦艷琳,吳曉平.基于ECC的多重代理多重盲簽名方案 [J].計算機工程.2010,36(11):134-139.
[8]Zheng D,Huang Z,Chen K F.ID-based proxy blind signature [J].IEEE Computer Society,2004,92:380-383.
[9]Lang W M,Tan Y M,Yang Z K.A new efficient ID-based proxy blind signature scheme [J].IEEE Computer Society,2004,92:407-411.
[10]張學軍,王育民 .高效的基于身份的代理盲簽名 [J].計算及應用,2006,26(11):2586-2588.
[11]農強,吳順祥 .一類新的基于證書的代理盲簽名 [J].計算機工程與應用,2008,44(12):124-165.
[12]王雯娟,黃振杰,郝艷華 .一個高效的基于證書數(shù)字簽名方案 [J].計算及工程與應用,2011,47(6):89-92.