強(qiáng)不可偽造的雙向代理重簽名方案

馮 婕,藍(lán)才會(huì),,郟伯榮,楊小東

(1.蘭州城市學(xué)院信息工程學(xué)院,蘭州730070;2.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,蘭州730070)

強(qiáng)不可偽造的雙向代理重簽名方案

馮 婕1,藍(lán)才會(huì)1,2,郟伯榮1,楊小東2

(1.蘭州城市學(xué)院信息工程學(xué)院,蘭州730070;2.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,蘭州730070)

在代理重簽名中,一個(gè)擁有重簽名密鑰的半可信代理者可以把受托者的簽名轉(zhuǎn)換為委托者對(duì)同一消息的簽名(即重簽名),但該代理者不能單獨(dú)生成受托者或委托者的簽名。標(biāo)準(zhǔn)模型下的代理重簽名方案多數(shù)是存在不可偽造性的,無(wú)法阻止敵手對(duì)已經(jīng)簽名過(guò)的消息重新偽造一個(gè)合法的簽名。為此,利用基于密鑰的目標(biāo)抗碰撞雜湊函數(shù),提出一種新的雙向代理重簽名方案。在計(jì)算Diffie-Hellman困難問(wèn)題的假設(shè)下,證明該方案在適應(yīng)性選擇消息攻擊下是強(qiáng)不可偽造的。分析結(jié)果表明,與已有強(qiáng)不可偽造的雙向代理重簽名方案相比,該方案的系統(tǒng)參數(shù)和重簽名的長(zhǎng)度短,且重簽名的計(jì)算量小。

雙向代理重簽名;強(qiáng)不可偽造性;存在不可偽造性;標(biāo)準(zhǔn)模型;系統(tǒng)參數(shù);目標(biāo)抗碰撞雜湊函數(shù)

1 概述

代理重簽名具有轉(zhuǎn)換簽名的功能,在跨域身份認(rèn)證、驗(yàn)證網(wǎng)絡(luò)路徑和構(gòu)造審查系統(tǒng)等方面有廣泛的應(yīng)用前景［1-3］。代理重簽名是近年來(lái)密碼學(xué)領(lǐng)域的一個(gè)熱點(diǎn)研究方向,研究者先后提出了一系列代理重簽名方案［4-7］。然而,在標(biāo)準(zhǔn)模型下的多數(shù)代理重簽名方案［8-10］滿足存在不可偽造性,即要求敵手不能對(duì)一個(gè)新的消息產(chǎn)生一個(gè)的合法簽名。強(qiáng)不可偽造性具有更強(qiáng)的安全性［11-13］,保證敵手不僅無(wú)法偽造新的消息的簽名,也不能偽造已經(jīng)簽名的消息的合法簽名,可有效防止電子投票、電子現(xiàn)金和數(shù)字版權(quán)等的篡改。

具有強(qiáng)不可偽造性的代理重簽名的研究剛剛起

步,公開(kāi)的相關(guān)文獻(xiàn)較少。2012年,Vivek等人［14］提出了2個(gè)具有強(qiáng)不可偽造性的雙向代理重簽名方案(下文簡(jiǎn)稱Vivek1方案和Vivek2方案),但這2個(gè)方案具有大量的系統(tǒng)公開(kāi)參數(shù),對(duì)存儲(chǔ)空間的要求比較高。本文利用較弱的基于密鑰的目標(biāo)抗碰撞(Target Collision Resistant,TCR)雜湊函數(shù)［15］,提出了一個(gè)強(qiáng)不可偽造的雙向代理重簽名方案。

2 預(yù)備知識(shí)

假設(shè)M1和M2分別為TCR雜湊函數(shù)的輸入和輸出消息空間,K為密鑰空間,其中,k∈K,利用下面的游戲定義一個(gè)TCR雜湊函數(shù)Hk:K×M1→M2的安全性:敵手首先輸出消息m1∈M1;挑戰(zhàn)者然后隨機(jī)選取k∈K,并將k發(fā)送給敵手;最后敵手輸出消息m2∈M1。如果Hk(m1)=Hk(m2)且m1≠m2,則敵手贏得游戲。

定義如果敵手在多項(xiàng)式時(shí)間t內(nèi)贏得上述游戲的概率ε是可忽略的,那么稱TCR雜湊函數(shù)Hk是(t,ε)安全的［15］。

3 改進(jìn)的強(qiáng)不可偽造雙向代理重簽名方案

3.1 方案描述

利用TCR雜湊函數(shù),構(gòu)造一個(gè)高效的雙向代理重簽名方案,具體描述如下:

(1)系統(tǒng)參數(shù)生成算法(Setup):根據(jù)群(G1,G2)的定義,在G1中隨機(jī)選取4個(gè)元素g2,v,m0和m1;K為TCR雜湊函數(shù)的密鑰空間,選取一個(gè)TCR雜湊函數(shù)Hk:{0,1}?→Zp,其中,k∈K;公開(kāi)系統(tǒng)參數(shù)cp=(G1,G2,p,e,g,g2,v,m0,m1,k,Hk)。

(3)重簽名密鑰生成算法(ReKey):利用受托者的私鑰skA=α和委托者的私鑰skB=β,為代理者生成重簽名密鑰rkA→B的過(guò)程如下:

(4)簽名生成算法(Sign):對(duì)于待簽名的消息M,簽名者首先隨機(jī)選取,然后計(jì)算σ1=gs和h=Hk(M‖σ1),并檢查h的最右邊比特值u∈{0, 1};利用私鑰sk=α計(jì)算,最后輸出消息M的簽名。

(5)重簽名生成算法(ReKey):輸入一個(gè)重簽名密鑰rkA→B,一個(gè)消息M,一個(gè)公鑰pkA和一個(gè)簽名σA=(σA1,σA2),首先驗(yàn)證σA的合法性,如果Verify (pkA,M,σA)=0,輸出⊥;否則,輸出對(duì)應(yīng)于公鑰pkB的消息M的簽名σB=(σB1,σB2,σB3)=(σA1,rkA→B·σA2·(mu2vh2)r,gr),其中r∈Z?p,h2=Hk(M‖σB3),u2是h2的最右邊比特值。

(6)簽名驗(yàn)證算法(Verify):該算法分簽名和重簽名2種情形:

1)對(duì)于公鑰pk,消息M和簽名σ=(σ1,σ2),首先計(jì)算h=Hk(M‖σ1),檢查h的最右邊比特值u∈{0,1};然后驗(yàn)證e(σ2,g)=e(σ1,muvh)e(pk,g2)是否成立,如果成立,輸出1;否則,輸出0。

2)對(duì)于公鑰pk和消息M的重簽名σ=(σ1,σ2,σ3),首先計(jì)算h=Hk(M‖σ1)和h2=Hk(M‖σ3),檢查h和h2的最右邊比特值u,u2∈{0,1};驗(yàn)證e(σ2,g)=e(σ1,muvh)e(pk,g2)e(σ3,mu2vh2)是否成立,如果成立,輸出1;否則,輸出0。

3.2 正確性分析

案中重簽名的強(qiáng)不可偽造性。

3.3 安全性分析

定理若TCR雜湊函數(shù)Hk是(t,ε/2)安全的或G1上的(t,ε/8)-CDH假設(shè)成立,則本文提出的雙向代理重簽名方案是(t,ε)強(qiáng)不可偽造的。

假設(shè)Mi是第i次詢問(wèn)簽名和重簽名預(yù)言機(jī)的輸入,預(yù)言機(jī)返回相應(yīng)的簽名(Mi,σi=(σi1,σi2))和重簽名(Mi,σi=(σi1,σi2,σi3)),令q=qS+qRS,hi=Hk(Mi‖σi1),hi2=Hk(Mi‖σi3),i=1,2,…,q。A輸出消息的偽造為(M?,σ?=,令。將的偽造分成2類:

類型1:h?≠hi,i=1,2,…,q;

類型2:h?=hi,存在i∈{1,2,…,q}。

建立:令g1=gα,g2=gβ,隨機(jī)選取4個(gè)元素x,,計(jì)算m0=gx,m1=gt2gy和v=gz,運(yùn)行Setup算法得到系統(tǒng)其他參數(shù),并將(g,g1,g2,v,m0,m1,k)發(fā)送給敵手。

當(dāng)pki未被攻陷時(shí),公鑰pki=gα+xi隱含了對(duì)應(yīng)的密鑰為α+xi,簽名σj=(σj1,σj2)的正確性驗(yàn)證過(guò)程如下:

于是有:

(4)重簽名預(yù)言機(jī)OReSign:敵手輸入2個(gè)公鑰(pki,pkj),一個(gè)消息Mi和一個(gè)簽名σi,如果Verify (pki,Mx,σi)=0,敵手輸出⊥;否則,進(jìn)行如下操作:如果pki和pkj中有一個(gè)已被攻陷,返回一個(gè)重簽名σj=OSign(pkj,Mi);如果pki和pkj均已被攻陷或均未被攻陷,運(yùn)行重簽名生成算法和查詢重簽名密鑰生成預(yù)言機(jī),然后返回一個(gè)重簽名σj=ReSign (ReKey(pki,pkj),pki,Mi,σi);

建立:令k=k?,運(yùn)行Setup算法得到系統(tǒng)其他參數(shù),將(G1,G2,p,e,g,pk?,g2,v,m0,m1,k,Hk)發(fā)送給敵手。

3.4 有效性分析

下面將已有的一些雙向代理重簽名方案和本文提出的方案進(jìn)行效率和安全屬性比較,其結(jié)果見(jiàn)表1。假定所有方案選擇相同長(zhǎng)度的大素?cái)?shù)p,其中,|·|表示元素長(zhǎng)度;E表示指數(shù)運(yùn)算;P表示雙線性對(duì)運(yùn)算;n表示W(wǎng)aters簽名方案［16］中的簽名消息長(zhǎng)度;Y表示具有此種屬性;N表示不具有此種屬性。

表1 簽名方案的效率和安全屬性比較

從表1可以看出,Smd方案［5］和Smd改進(jìn)方案［6］不滿足強(qiáng)不可偽造性,并且具有較長(zhǎng)的系統(tǒng)公開(kāi)參數(shù)長(zhǎng)度。文獻(xiàn)［14］提出的2個(gè)方案滿足強(qiáng)不可偽造性,但與這2個(gè)方案相比,本文方案具有更短的系統(tǒng)公開(kāi)參數(shù)長(zhǎng)度和重簽名長(zhǎng)度,并且重簽名驗(yàn)證的計(jì)算量更小,同時(shí)滿足密鑰最優(yōu)性。

4 結(jié)束語(yǔ)

為了提高代理重簽名方案的安全性能,基于目標(biāo)抗碰撞雜湊函數(shù)和CDH困難問(wèn)題假設(shè),本文提出一個(gè)強(qiáng)不可偽造的雙向代理重簽名方案,并在標(biāo)準(zhǔn)模型下給出了新方案的安全性證明。分析結(jié)果表明,與已有的強(qiáng)不可偽造雙向代理重簽名方案相比,新方案在系統(tǒng)公開(kāi)參數(shù)長(zhǎng)度、重簽名長(zhǎng)度、安全屬性等方面具有較大的優(yōu)勢(shì)。

［1]Hao Shengang,Li Zhang,Muhammad M.A Union Authentication Protocol of Cross-domain Basedon Bilinear Pairing［J］.Journal of Software,2013,8(5): 1094-1100.

［2]Zhang Longjun,Zhang Jianhe,Xia Ang,et al.Domain AuthenticationProtocolBasedonCertificate Signcryption in Ipv6 Network［C］//Proceedings of International Conference on Information Engineering and Applications.London,UK:Springer,2013:213-220.

［3]Hong Xuan,Long Yu.A Novel Unidirectional Proxy Resignature Scheme and Its Application for MANETs［J］.Journal of Computers,2012,7(7):1796-1800.

［4]Ateniese G,Hohenberger S.Proxy Re-signatures:New Definitions,Algorithms,andApplications［C］// Proceedings of ACM CCS’05.Alexandria,USA:ACM Press,2005:310-319.

［5]Shao J,Cao Z,Wang L,et al.Proxy Re-signature Schemes Without Random Oracles［C］//Proceedings of INDOCRYPT’07.Chennai,India:［s.n.］,2007:197-209.

［6]Kiate K,Ikkwon Y,Secogan L.Remark on Shao et al Bidirectional Proxy Re-signature Scheme in Indocrypt’07［J］.International Journal of Network Security,2009, 8(3):308-311.［7]Benoit L,Damien V.Multi-use Unidirectional Proxy Resignatures［C］//Proceedingsofthe15thACM Conference on Computer and Communications Security.Alexandria,USA:ACM Press,2008:511-520.

［8]Deng Y,Du M,You Z,et al.A Blind Proxy Resignatures Scheme Based on Standard Model［J］.Journal of Electronics&Information Technology,2010,32(5): 1119-1223.

［9]He Defei.A Novel Blind Proxy Re-signature Scheme［J］.Computer Applications and Software,2012,29(3): 294-296.

［10]Rawat S S,Shrivastava G K.Improved Id-based Proxy Re-signcryption Scheme［C］//Proceedingsof 2012 IEEE CICN’12.Mathura,India:［s.n.］,2012:730-733.

［11]Buchmann J,Dahmen E,Ereth S,et al.On the Security of the Winternitz One-time Signature Scheme［J］.International Journal of Applied Cryptography,2013, 3(1):84-96.

［12]劉振華,胡予濮,張襄松.標(biāo)準(zhǔn)模型下高效的強(qiáng)不可偽造簽名方案［J］.江蘇大學(xué)學(xué)報(bào):自然科學(xué)版,2013, 34(3):309-313.

［13]魏春艷,蔡曉秋.標(biāo)準(zhǔn)模型下的高調(diào)無(wú)證書短簽名方案［J］.計(jì)算機(jī)工程,2012,38(13):119-121.

［14]Vivek S S,Selvi S S D,Rangan C P,et al.Strongly Unforgeable Proxy Re-signature Schemes in the Standard Model［EB/OL］.(2012-10-10).http://eprint.iacr.org/2012/080.pdf.

［15]Matsuda T,Attrapadung N,Hanaoka G,et al.A CDH-based Strongly Unforgeable Signature Without Collision Resistant Hash Function［C］//Proceedings of ProvSec’07.Wollongong,Australia:［s.n.］:2007:68-84.

［16]Waters B.Efficient Identity-based Encryption Without Random Oracles［C］//Proceedings of EuroCrypt’05.Aarhus,Danish:［s.n.］,2005:114-127.

編輯 索書志

Bidirectional Proxy Re-signature Scheme with Strong Unforgeability

FENG Jie1,LAN Caihui1,2,JIA Borong1,YANG Xiaodong2
(1.School of Imformation Engineering,Lanzhou City University,Lanzhou 730070,China;
2.College of Computer Science&Engineering,Northwest Normal University,Lanzhou 730070,China)

In a proxy re-signature scheme,a semi-trusted proxy is allowed to transform a signature from a delegatee into a signature from a delegator on the same message using the re-signature key.But the proxy cannot generate signatures for either the delegatee or the delegator.Proxy re-signature schemes in the standard model are existentially unforgeable,which cannot prevent forgeries from forging valid signatures on new messages not previously re-signed.Based on target collision-resistant hash function,a bidirectional proxy re-signature scheme is proposed.Under computational Diffie-Hellman assumption,the proposed proxy re-signature scheme is provably secure against strong forgery under adaptive chosen message attacks.Moreover,the new scheme has some advantages over the available schemes,such as short system parameters,short re-signature and low re-signature computation cost.

bidirectional proxy re-signature;strong unforgeability;existential unforgeability;standard model;system parameter;Target Collision Resistant(TCR)hash function

馮 婕,藍(lán)才會(huì),郟伯榮,等.強(qiáng)不可偽造的雙向代理重簽名方案［J］.計(jì)算機(jī)工程,2015,41(3):116-119,124.

英文引用格式:Feng Jie,Lan Caihui,Jia Borong,et al.Bidirectional Proxy Re-signature Scheme with Strong Unforgeability［J］.Computer Engineering,2015,41(3):116-119,124.

1000-3428(2015)03-0116-04

:A

:TP309.7

10.3969/j.issn.1000-3428.2015.03.022

國(guó)家自然科學(xué)基金資助項(xiàng)目(61262057,61163038,61063041);國(guó)家檔案局科技計(jì)劃基金資助項(xiàng)目(2014-X-33);甘肅省自然科學(xué)基金資助項(xiàng)目(1308RJYA039);蘭州市科技計(jì)劃基金資助項(xiàng)目(2013-4-22);西北師范大學(xué)青年教師科研能力提升計(jì)劃基金資助項(xiàng)目(NWNU-LKQN-10-22)。

馮 婕(1976-),女,講師、碩士,主研方向:代理重簽名,信息管理系統(tǒng);藍(lán)才會(huì),副教授、博士;郟伯榮,副教授;楊小東,副教授、博士。

2014-05-13

:2014-07-08E-mail:lzfenjie@163.com