新的無證書的門限代理簽名方案

馬陵勇，廉玉忠

（東莞理工學(xué)院 城市學(xué)院計(jì)算機(jī)與信息科學(xué)系，廣東 東莞 523106）

代理簽名的概念首先是由Mambo等［1-2］提出的，在原始簽名人與代理簽名人之間形成的某種授權(quán)協(xié)議下，代理簽名人可以行使原始簽名人的簽名權(quán)對文件進(jìn)行有效簽名.當(dāng)代理簽名的接收者驗(yàn)證一個代理簽名時，需要同時驗(yàn)證簽名和原始簽名者的授權(quán)協(xié)議.代理簽名的實(shí)用性較強(qiáng)，目前仍是數(shù)字簽名領(lǐng)域研究的熱點(diǎn)課題之一.

傳統(tǒng)的代理簽名大多是基于證書的公鑰密碼系統(tǒng)（PKI）［3］和基于身份的公鑰密碼系統(tǒng)（ID-PKC）.在基于證書的公鑰密碼系統(tǒng)中，由于需要驗(yàn)證用戶公鑰的真實(shí)性和有效性，使得基于證書的公鑰密碼系統(tǒng)的效率不高，為了克服這個缺點(diǎn)，Shamir［4］提出基于身份的公鑰密碼體制的概念.在該體制中，用戶的公鑰就是用戶的身份信息，因此不必保存公鑰證書列表，也不必使用在線的第三方.但是在這種體制中，用戶的私鑰完全由可信中心（PKG）產(chǎn)生，這就使得該簽名體制不可避免地有一個致命的缺陷，就是密鑰托管問題.基于這個問題，Al-Riyami和Paterson［5］于 2003年提出無證書的公鑰密碼系統(tǒng)，該系統(tǒng)同樣要用到一個第三方KGC，與基于身份的密碼系統(tǒng)不同，基于證書的密碼系統(tǒng)中的 KGC 并不是生成用戶的完整私鑰，而只是生成用戶的部分私鑰，用戶的完整私鑰由用戶和KGC通過一定合作產(chǎn)生，因此，無證書密碼體制并不是簡單的基于身份的密碼體制.無證書密碼體制一經(jīng)提出就受到廣泛關(guān)注，把無證書密碼體制的概念加入到代理簽名中可以提出非常有效的無證書代理簽名方案［6-9］.

數(shù)字簽名的安全性取決于簽名所使用的密鑰，門限技術(shù)可以將簽名密鑰以門限方式分散給多人管理，由此可以部分解決密鑰管理中的密鑰泄露和密鑰遺失問題.將門限簽名引入到代理簽名制中，就形成門限代理簽名，在一個（t，n）門限代理簽名中，原始簽名人給n個代理人進(jìn)行授權(quán)，而在簽名階段，只有不少于t個人同意合作，才能生成有效的代理簽名，這就實(shí)現(xiàn)了對代理簽名權(quán)力的分配和對代理密鑰的分散保管，提高了系統(tǒng)安全性，文獻(xiàn)［10-11］分別提出一個高效安全的門限代理簽名方案，但都是基于證書的.

本文在文獻(xiàn)［9］中利用拉格朗日插值公式引入門限思想，提出一個新的高效安全的無證書門限代理簽名方案.

1 預(yù)備知識

定義1雙線性對

設(shè)G1是一個階為素?cái)?shù)q的加法循環(huán)群，P是它的一個生成元；G2是一個階為q的乘法循環(huán)群.映射e:G1×G2→G2滿足

（1）雙線性性：對于任意U,V∈G1,a,b∈Z*q，e(aU,bV)=e(U,V)ab；

（2）非退化性：存在U,V∈G1，使得e(U,V)≠1G2；

（3）可計(jì)算性：對于任意的U,V∈G1，存在已給高效的算法來計(jì)算e(U,V)的值.

則稱這個映射為雙線性對.

定義2離散對數(shù)問題

給定一個階為q的循環(huán)群G，它的一個生成元g以及h∈G，找到一個值

定義3計(jì)算Difiie-Hellman問題

給定一個階為q的循環(huán)群G，它的一個生成元P以及aP,bP∈G且值未知），計(jì)算abP∈G.

2 新的無證書的門限代理簽名方案

2.1 系統(tǒng)參數(shù)生成

設(shè)(G1,+)和(G2,·)均是階為q的循環(huán)群，e:G1×G2→G2是雙線性映射，H1,H2：是5個安全的密碼學(xué)哈希函數(shù).密鑰生成中心（KGC）隨機(jī)選擇作為系統(tǒng)主密鑰并保密，P是G1的一個生成元，系統(tǒng)公鑰為PPub=tP，設(shè)g=e(P,P)，公開參數(shù)

2.2 代理產(chǎn)生

設(shè)原始簽名者的身份為ID0，秘密值x0,公鑰P0,委托證書mw，部分私鑰為D0,其中P0=x0P，Q0=H1(ID0‖P),D0=tQ0，私鑰為S0=D0+x0T0=D0+x0H2(ID0‖P0).

代理產(chǎn)生階段，原始簽名者計(jì)算

（1）隨機(jī)選擇r0∈，計(jì)算y0=gr0；

（2）計(jì)算h0=H3(mw‖y0‖ID0‖P0)，K0=r0P-h0S0；

（3）簽名w和mw,σw=(y0,K0)).

2.3 代理生成驗(yàn)證

代理群管理員DC（是由安全中心選擇的可信賴的群組管理員）收到原始簽名者的簽名w=(mw,σw=(y0,K0))后驗(yàn)證簽名的正確性

（1）計(jì)算：T0=H2(ID0‖P0)，Q0=H1(ID0‖P)；

（2）驗(yàn)證等式y(tǒng)0=e(K0,P)e(P0,h0T0)e(PPub,h0Q0)是否成立，若成立，則接收簽名，否則拒絕.

2.4 代理私鑰生成

設(shè)代理簽名者為{B1,B2,…,Bn} ,Bi的身份為IDi，秘密值為xi，公鑰為Pi，部分私鑰Di，其中Pi=xiP，Qi=H1(IDi‖P)，Di=tQi，管理員DC計(jì)算

則代理私鑰為KP=K0+DP+XPH1(ID0‖P).

2.5 代理分享階段

群管理員DC隨機(jī)選擇(t-1)個數(shù)ai，構(gòu)造安全多項(xiàng)式，計(jì)算yi=f(i)作為代理私鑰，計(jì)算ui=e(IDi,yi)為代理公鑰，并發(fā)送給代理簽名者Bi，其中i=1,2,…,n.

2.6 代理簽名階段

設(shè)參與簽名的代理者為t人，其中t≤n,對消息m進(jìn)行代理簽名，每個參與者各自計(jì)算KPi=yiLi，并發(fā)送給管理員DC.

DC計(jì)算

（2）隨機(jī)選擇rp∈,計(jì)算RP=rPP；

（3）計(jì)算hP=H4(m‖mw‖y0‖Rp‖u)，gP=H5(m‖mw‖y0‖RP‖PP)；

（4）計(jì)算VP=K0+gPDP+(rP+hPXP)QP；

（5）代理簽名wP=(m,mw,δ=(y0,RP,VP)).

2.7 代理簽名驗(yàn)證

收到代理簽名者的簽名后驗(yàn)證簽名的正確性.

（1）消息m是否在委托證書mw的范圍內(nèi)，若不是，則拒絕簽名；否則，執(zhí)行（2）.

（2）計(jì)算Q0=H1(ID0‖P),T0=H2(ID0‖P0)

（3）驗(yàn)證等式

是否成立，當(dāng)且僅當(dāng)?shù)仁匠闪?，則驗(yàn)證人接受簽名；否則，拒絕簽名.

3 正確性

3.1 代理生成的驗(yàn)證

3.2 代理簽名階段的驗(yàn)證

因?yàn)?/p>

所以

4 性能分析

（1）安全性：該門限代理簽名方案的安全性可以由文獻(xiàn)［9］證明，它是一個可證明安全的、不可抵賴的無證書門限簽名方案.

（2）門限性：加入了門限思想，可由多個代理簽名者共享代理密鑰，僅需要t個成員就可以實(shí)現(xiàn)簽名，這就解決代理簽名者如部分成員脫機(jī)或有事不能參與時，簽名無法順利完成，增強(qiáng)方案的實(shí)用性和靈活性.

（3）高效性：該方案利用拉格朗日插值公式實(shí)現(xiàn)門限性的共享性，并沒有降低方案的高效性，仍具有方案［9］的高效性.

5 結(jié)論

在文獻(xiàn)［9］提出的無證書代理簽名方案中引入門限思想，提出一個新的無證書門限代理簽名方案，新方案具有門限性、安全性和高效性.在該方案中是通過拉格朗日插值公式實(shí)現(xiàn)門限方法的，如何把其他實(shí)現(xiàn)門限的方法和代理簽名方案結(jié)合是今后需要研究的一個方向.

［1］MAMBO M，USUDA K，OKAMOO E.Proxy signature：delegation of the power to sign message［J］.IEICE Transactions on Fundamentals，1996，E79-A：1338-1354.

［2］MAMBO M，USUDA K，OKAMOO E.Proxy signature for delgating signing operation［C］//Proc of the 3rdACM Confer?ence on Computer and Communications Security.ACM Press，1996.

［3］KIM S J，PARK S J，WON D H.Proxy signatures［C］//Revisited.ICICS’97，LNCS1334［S.L.］：Springer-Verlag，1997：223-232.

［4］SHAMIR A.Identity based cryptosystems and signature schemes［C］//BLAKELY G R，CHAUM D.Proceedings of Cryp?to 1984，California，USA，1984，196：47-53.

［5］AL-RIYAMI S，PATERSON K.Certificateless public key cryptography［C］//LAIH C S.Proceedings of the Asiacrypt 2003，Taipei，Taiwan，2003，2894：312-323.

［6］LI X，CHEN K，SUN L.Certificateless signature and proxy signature schemes from bilinear pairings［J］.Lithuanian Mathematical Journal，2005，45：76-83.

［7］CHOI K，LEE D.Certificateless proxy signature schemes［C］//Proceedings of the 3rdInternational Conference on Multi?media，Information Technology and its Applications-MITA2007，Manila，Philippines，2007：437-440.

［8］杜紅珍，溫巧燕，李文敏，等.高效的無證書強(qiáng)代理簽名方案［J］.北京郵電大學(xué)學(xué)報(bào)，2008，31（6）：18-21.

［9］宋萬干，陳虎，張福泰.新的無證書代理簽名方案［J］.計(jì)算機(jī)工程與應(yīng)用，2011，47（4）：97-101.

［10］LEE N Y.Treshold proxy signature［J］.IEEE Trans，on Computer and Digital Techniques，1999，146（5）：259-263.

［11］ZHANG K.Threshold proxy signature schemes［C］//Information Security Workshop，Japan,1997：191-197.