一种基于证书的代理环签名方案

————————————作者简介作者简介作者简介作者简介：：：：陈辉焱(1969－)，男，高级工程师、博士，主研方向：密码学，信息安全；李巍、苏艳芳，硕士收稿日期收稿日期收稿日期收稿日期：：：：2011-09-05修回日期修回日期修回日期修回日期：：：：2011-11-19E-mail：：：：point7003@126.com一一一一种种种种基于证书的代理环签名方案基于证书的代理环签名方案基于证书的代理环签名方案基于证书的代理环签名方案陈辉焱陈辉焱陈辉焱陈辉焱1，，，，李李李李巍巍巍巍2，，，，苏艳芳苏艳芳苏艳芳苏艳芳2(1.北京电子科技学院信息安全系，北京100070；2.西安电子科技大学通信工程学院，西安710071)摘摘摘摘要要要要：：：：针对基于身份的代理环签名方案中的密钥托管和私钥分发问题，提出一种基于证书的代理环签名方案。在随机预言模型中分析证明该方案具有正确性、不可伪造性、无条件匿名性和不可分辨性。与现有方案相比，该方案中的双线性对运算开销由O(n)降到了O(1)，效率得到了提高。关键词关键词关键词关键词：：：：代理环签名；双线性对；密钥托管；私钥分发；随机预言模型Certificate-basedProxyRingSignatureSchemeCHENHui-yan1,LIWei2,SUYan-fang2(1.DepartmentofInformationSecurity,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,China;2.CollegeofCommunicationEngineering,XidianUniversity,Xi’an710071,China)【【【【Abstract】】】】ThispaperproposesanewCertificate-basedProxyRingSignature(CB-PRS)schemeagainsttheproblemsofkeyescrowandprivatekeydistributionexistingintheID-basedproxyringsignaturescheme.Itanalyzesandconcludesthattheschemepossessesthepropertiesofcorrectness,unforgeability,unconditionalanonymityandindistinguishabilityinrandomoraclemodel.Comparedwiththeexistingschemes,theschemehashigherefficiencybecausethebilinearoperationmakesthecomputationalcomplexityreducedtoO(1)fromO(n).【【【【Keywords】】】】proxyringsignature;bilinearpairings;keyescrow;privatekeydistribution;randomoraclemodelDOI:10.3969/j.issn.1000-3428.2012.16.038计算机工程ComputerEngineering第38卷第16期Vol.38No.162012年8月August2012····安全技术安全技术安全技术安全技术····文章编号文章编号文章编号文章编号：：：：1000————3428(2012)16————0149————04文献标识码文献标识码文献标识码文献标识码：：：：A中图分类号中图分类号中图分类号中图分类号：：：：TP3091概述概述概述概述环签名[1]是一种很好的以匿名方式透露可靠消息的技术，可以被看作是一个简化的群签名方案。在环签名中没有群管理员，没有群建立和群成员吊销过程，环成员的信息要作为最终签名结果的一部分。任何用户都可以用自己的私钥和环中其他成员的公钥进行签名而不需要其他成员同意，从而保证了签名者的匿名性，使验证者可以确信签名来自一个环，但不知道谁是真正的签名者。代理签名的概念由文献[2]提出。在代理签名中，原始签名人可以将其签名权利授权给代理签名人，之后代理签名人就可以代表原始签名人进行签名，当验证者验证一个代理签名时，需要同时验证签名和原始签名人的授权协议。任何知道原始签名人的公钥者都可对签名进行验证。随着信息社会的不断发展，可能会出现如下应用需求：原始签名人因为某些原因需要把签名权利授权给其他人，而代理签名人不希望包括原始签名人在内的任何人能追踪到他的身份，这就需要生成一个签名人集合，集合中的任何一个人都有同样的权利代表原始签名人进行签名。为解决这个问题，文献[3]提出代理环签名的概念，文献[4]给出了具体方案。随后，此类方案得到了进一步研究[5-8]。但上述方案都是基于身份的，如果密钥生成中心失信，方案将是不安全的。本文提出一个基于证书的代理环签名(Certificate-basedProxyRingSignature,CB-PRS)方案，该方案使用一个认证中心(CertificateAuthority,CA)来负责签发和管理证书，CA生成的证书仅作为解密密钥的一部分，虽然CA知道证书，但不知道用户私钥，因此，无法对用户的签名进行伪造，由此解决了基于身份的代理环签名方案中的密钥托管问题；用户的公私钥对则由用户自己生成，因此，也不需要由CA通过安全信道进行分发。2基础知识基础知识基础知识基础知识2.1双线双线双线双线性对性质性对性质性对性质性对性质1G是由P生成的加法群，阶为素数q；2G是阶为q的乘法群。双线性对是一个映射112:eGGG×→，它满足如下性质：(1)双线性1,,PQRG∃∈，有：(,)(,)(,)(,)abeaPbQePQeabPQePabQ===其中：*,qabZ∈(,)(,)(,)ePQRePQePR+=150计算机工程2012年8月20日(,)(,)(,)ePQRePReQR+=(2)非退化性1,PQG∃∈，使(,)1ePQ≠。(3)可计算性存在一个有效的算法计算(),ePQ，其中，1,PQG∈。2.2计算困难性问题计算困难性问题计算困难性问题计算困难性问题计算困难性问题描述如下：(1)离散对数问题(DiscreteLogarithmProblem,DLP)：给定1,PQG∈，寻找*qaZ∈，使Qab=。(2)判定性Diffie-Hellman问题(DecisionDiffie-HellmanProblem,DDHP)：对于*,,qabcZ∈，给定P、aP、bP、cP，确定modcabq=是否成立。(3)计算性Diffie-Hellman问题(ComputationDiffie-HellmanProblem,CDHP)：对于*,qabZ∈，给定P、aP、bP，计算abP。(4)双线性对Diffie-Hellman问题(BilinearDiffie-HellmanProblem,BDHP)：对于*,,qabcZ∈，给定P、aP、bP、cP，计算(,)abcePP。2.3CB-PRS的预备知识的预备知识的预备知识的预备知识代理环签名方案一般包括4个参与方：认证中心，授权人(原始签名者)，代理人(真实签名者)和验证者。CB-PRS方案的步骤如下：(1)KeyGen输入安全参数1k，输出系统参数Pararm，并使用Pararm生成用户的公私钥对(,)PKS及系统的主密钥。(2)Sig算法以消息M和私钥s作为输入，输出M的签名σ。(3)Ver该算法通常为确定性算法，输入(,,)PKMσ，输出0或1。当(,,)1PKMσ=时，认为σ是M的合法签名，否则拒绝。(4)DCG该算法包含2个子算法：1)代理授权算法原始签名者生成授权信息ω，ω包含时间戳、授权期限及授权范围等有关信息。原始签名者生成自己的公/私钥对后将授权信息和公钥0pk发送给CA，CA生成证书Cert并返回给原始签名者，原始签名者利用自己的私钥计算AP，并将(,)APω发送给环中某个接收者。2)代理签名密钥生成算法环中某个接收者验证授权证书是否为真正的原始签名者授权的，如果是，则环中的被授权人发送授权信息ω和公钥ipk给CA。CA计算并返回证书Certi给被授权人，被授权人计算代理签名密钥proxyS，否则，拒绝接受委托代理。(5)PRS输入消息M、代理签名密钥proxyS以及与proxyS中is相对应的公钥集合L中的ipk，输出环签名proxyσ。(6)PRV输入消息M、原始签名人公钥0pk、环签名proxyσ、环成员公钥集合L，当接受或拒绝时分别输出1或0。CB-PRS方案的安全性需求包括：(1)可验证性验证者可通过生成的代理环签名验证是否为经授权的合法签名。(2)不可伪造性环中只有被合法授权的用户才能生成有效的代理环签名，而包括原始签名者在内的其他人均不能生成合法代理环签名。(3)无条件匿名性任何人(包括原始签名者)都不能通过代理环签名确认真实签名者的身份。(4)不可辨别性任何人都无法辨别一个有效的签名是由原始签名者还是由代理签名者签署的。(5)不可否认性群中某个真实签名者代表授权人生成了一个合法的代理环签名，则他不能向授权人否认他所签署的有效的代理环签名。(6)可区分性任何人都可区分代理签名方产生的是代理环签名还是普通签名。定义定义定义定义1CB-PRS方案的不可伪造性以(KeyGen,Sig,Ver,DCG,PRS,PRV)表示一个代理环签名方案，k表示系统安全参数，A表示攻击者，定义攻击者的优势为()Pr[()1]AkExpk==，如果在下面的游戏中攻击者优势()Ak是可忽略的，那么就说生成的签名是一个满足不可伪造性的代理环签名方案。(1)KeyGen以1k作为输入，输出系统参数Pararm，并通过Pararm获得用户密钥对。(2)攻击者A要求与原始签名者进行交互，则原始签名者运行DCG中的代理授权算法，并由A选择授权ω。在交互过程中，A以环中某个签名者的身份运行DCG中的代理签名密钥生成算法。(3)A向签名预言sO询问(,)ipkM，输出(,)iSpkM，其中，ipk表示签名者的公钥；M表示要签名的消息。(4)A向代理环签名预言PRSO询问'(,,,)ipkMLω，输出'PRS(,,,)ipkMLω，其中，ipk表示原始签名者的公钥，要求'LL⊆并且环中真实签名者spkL⊆。攻击者A输出伪造签名***proxy(,,,,)ipkLMωσ或**(,,)ipkMσ。1)如果伪造签名形如***proxy(,,,,)ipkLMωσ，PRV(,,ipkω***proxy,,)1LMσ=并且没有向代理环签名预言PRSO询问过**(,,,)ipkLMω，则返回1。2)如果伪造签名形如**(,,)ipkLM，且没有向签名预言第38卷第16期151陈辉焱，李巍，苏艳芳：一种基于证书的代理环签名方案SO询问*(,)ipkM，也没有向代理授权预言机询问过*(,)ipkM，则返回1；否则，返回0。定义定义定义定义2CB-PRS方案的无条件匿名性以(KeyGen,Sig,Ver,DCG,PRS,PRV)表示一个代理环签名方案，k表示系统参数，A表示攻击者，*L表示环中所有代理签名人的公钥集合。那么A(包括原始签名人在内)即使拥有无限的计算资源和*L中所有用户的代理签名私钥，他猜到真实签名者*spkL∈的概率最大为*1/L。3基于证书的代理环签名方案基于证书的代理环签名方案基于证书的代理环签名方案基于证书的代理环签名方案一个具体的CB-PRS方案包含以下4个算法：(1)KeyGen1)设1G是P生成的阶为q的加法群，2G为阶为q的乘法群，112:eGGG×→为双线性对，1H、2H为2个安全的密码哈希函数：*11:{0,1}HG→**2:{0,1}qHZ→系统参数1212,,,,,,PararmGGeqPHH=，CA的系统主密钥为CpkxP=，x为私钥。2)原始签名者选择一个随机数*0qsZ∈为其私钥，并计算公钥：