一种基于身份的代理门限环签名方案

别跃军，沈忠华，王　刚

(杭州师范大学理学院，浙江 杭州 310036)

一种基于身份的代理门限环签名方案

别跃军，沈忠华，王刚

(杭州师范大学理学院，浙江 杭州 310036)

摘要：在门限环签名体制中，任何t个或者多于t个环成员可以代表整个环产生一个有效的环签名，代理签名能够实现签名权利的委托.基于双线对难解性的问题，提出一个安全的代理门限环签名方案，少于t个代理环成员无法生成一个有效的代理门限环签名，验证者只能确定代理签名人来自某个环，无法获知代理签名人的身份信息.该方案满足匿名性，并在CDHP问题困难的前提下，满足适应性选择消息攻击下的不可伪造性.

关键词：基于身份；代理签名；门限签名；环签名；双线性对

0引言

随着信息时代的到来，信息安全的重要性也日趋突显，数字签名作为信息安全的重要手段，它能保证信息传输的完整性、对于发送者的身份认证和防止交易中的抵赖发生.文献[1]首次提出了一种基于身份的公钥密码体制，在该密码体制中，可以由用户的身份公开计算得到用户的公钥，可信中心(PKG)可以通过系统密钥生成用户的私钥，简化了证书管理.文献[2]提出了一种代理签名的概念，签名人在自己无法行使签名时，将自己的签名权利委托给代理人，由代理人行使签名权利.文献[3]首次提出了环签名的概念，环签名是一种简化的群签名，它没有群管理者和群建立过程，在环签名中，任何环成员可以利用自己的私钥和环成员的公钥进行匿名签名，使得验证者能够确定签名人来自某个环，却不能确定具体的签名人.文献[4]提出了一种门限环签名，它具有门限签名和环签名的性质，在门限环签名中，任意t个或者多于t个环成员能够代表整个环生成一个环签名，少于t个则无法生成，同时验证者无法确定具体的签名人.文献[5]提出了一种标准模型下可证安全的门限环签名方案.文献[6]提出了一种代理环签名，它具有代理签名和环签名的功能特点，在代理环签名中，代理签名人代替原始签名人进行签名的同时实现代理签名人的匿名性，广泛用于保护代理签名人隐私的问题上.文献[7-8]对于代理环签名做了深化和扩展.文献[9]提出了第一个可证安全的代理门限环签名方案.

本文在双线性对难解性的基础上，基于代理环签名和门限环签名的特点，提出了一种基于身份的代理门限环签名方案，与文献[9]相比，本方案的效率更高，运算量更小.它能够解决如下的实际问题：董事长将签名权利委托给董事会成员，t个及以上环成员可以代表董事长进行匿名签名.

1预备知识

1.1　双线性对的性质

1)双线性：对任意P,Q,R∈G1，

e(P,Q+R)=e(P,Q)e(P,R)，

e(P+Q,R)=e(P,R)e(Q,R)，

e(aP,bQ)=e(abP,Q)=e(P,abQ)=e(P,Q)ab.

2)非退化性：存在P,Q∈G1，满足e(P,Q)≠1.

3)可计算性：对任意P,Q∈G1，存在算法可以高效地计算e(P,Q).

1.2　困难假设

在群G1上有如下3个数学问题：

本文基于DDHP问题易解，而DLP问题和CDHP问题难解的Diffie-Hellman群G1的基础上.同时需注意，双线性分叉问题也是困难的，即给定P∈G1，r∈G2，找到Q∈G1，使得e(P,Q)=r.

2基于身份的代理门限环签名方案

2.1　系统初始化

设G1是阶为大素数q，生成元为P的循环加法群.群G2是阶为q的循环乘法群.

2.2　系统私钥提取

假设实施签名委托的原始签名人的身份为ID0，代理环签名人的身份为IDi，则其分别对应的公私钥对为(QID0,SID0)，(QIDi,SIDi).

2.3　代理公私钥及委托生成

原始签名人A进行如下步骤生成代理环签名人的代理公私钥和签名委托：

1)生成一个委托证书mw，证书中包含原始签名和代理签名人的身份信息、文件类型、有效期等.计算h=H2(M||mw||D0||ID0)；

4)计算xi=hf(IDi)QID0，yi=ahf(IDi)QID0，zi=ahf(IDi)SID0(i=1,…,n)，其中xi为代理环签名人的代理公钥，(yi,zi)代理环签名人的代理私钥对.

将(mw,xi,yi,zi,t)(i=1,…,n)发送给对应的代理环签名人，t为门限值.

2.4　代理验证

代理环签名人收到(xi,yi,zi,t)后，公布xi.计算h=H2(M||mw||D0||ID0)，并做如下验证：

2)验证e(yi,P)=e(xi,P1)，成立则继续，否则终止；

3)验证e(zi,P)=e(xi,P2)，成立则接受委托代理，否则拒绝.

2.5　代理门限环签名生成

真实代理环签名人集合D1={ID1,ID2,…,IDt}，选择一名可信的代理环签名人Ak作为最终的实施和发布签名者.

不包含代理环签名人Ak的集合D2={IDi}(i=1,…,t,i≠k)进行如下步骤：

3)计算hi=H2(M||mw||D0||Ui)，计算Vi=(ei+hi)SIDi+Lizi+liPpub；

并各自将(ci,Ui,hi,Vi)(i=1,…,t,i≠k)发送给可信代理环签名人Ak.

可信代理环签名人Ak进行如下步骤生成代理门限环签名：

3)计算hk=H2(M||mw||D0||Uk)，计算Vk=(ek+hk)SIDk+Lkzk+lkPpub；

2.6　签名验证

1)验证hi=H2(M||mw||D0||Ui)(i=1,…,n)是否成立；

3安全性分析

3.1　方案和验证等式的正确性

2)e(yi,P)=e(haf(IDi)QID0,P)=e(hf(IDi)QID0,aP)=e(xi,P1)；

3)e(zi,P)=e(haf(IDi)SID0,P)=e(hf(IDi)QID0,asP)=e(xi,P2)；

3.2　代理环签名人的匿名性

3.3　代理门限环签名在CDHP困难的前提下满足不可伪造性

4效率分析

相比于双线性对运算而言，群G1加法运算、群G1数乘运算和群G2数乘运算的运算量很小(因为群元素指数运算的计算量相对于双线性对的运算量可以忽略不计)，因而本文只考虑双线性对运算的运算量.黄奕芝等[9]方案的双线性对运算的运算量为3n+t(n为代理环成员数，t为门限值)，而本文为8.

5结语

本文将门限环签名和代理环签名相结合，提出了一种基于身份的代理门限环签名.与黄奕芝等[9]的方案相比，该方案将双线性对的运算次数从O(n)降到了O(1)，提高了效率，不仅满足匿名性，而且满足在CDHP问题困难的前提下，适应性选择消息攻击下的不可伪造性.

参考文献:

[1] Shamir A. ID-based cryptosystems and signature schemes[C]// Proc. CRYPTO’84. Berlin: Springer-Verlag,1984:47-53.

[2] Mambo M, Usuda K, Okamoto E, Proxy signatures for delegating signing operation[C]//Proc.3rd ACM Conference on Computer and Communications Security.New York: ACM Press,1996:48-57.

[3] Rivest, Shamir A, Tauman Y. How to leak a secret[C]//Lecture Notes in Computer Science. Berlin: Springer Verlag,2001:552-565.

[4] Bresson E, Sten J, Szydlo M. Threshold ring Signature and applications to ad-hoc groups[C] //Proc. CRYPTO’02.Berlin, Heidelberg, New York:Springer-Verlag,2002:465-480.

[5] 孙华,钟珞,王爱民.标准模型下可证安全的基于身份门限环签名[J].计算机工程与科学,2013,35(3):92-96.

[6] Amit K, Sunder L. ID-based ring signature and proxy ring signature schemes from bilinear pairings[J]. Internal Journal of Network Security,2007,4(2):187-192.

[7] 张俊茸，任平安.一种基于身份的高效代理环签名方案[J].计算机工程,2011,37(17):90-92.

[8] 夏祥胜,洪帆,崔国华.一个无证书的环代理签名方案[J].小型微型计算机系统,2012,33(4):764-767.

[9] 黄奕芝,王常吉.一种新的代理门限环签名方案[C]//中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集:上册.北京：国防工业出版社，2008:357-360.

[10] Saez G, Herranz J. Forking lemmas for ring signature scheme[C]//INDOCRYPT 2003, LNCS 2947.Berlin, Heidelberg: Springer-Verlag,2003:266-279.

ID-based Proxy Threshold Ring Signature Scheme

BIE Yuejun, SHEN Zhonghua, WANG Gang

(School of Science, Hangzhou Normal University, Hangzhou 310036, China)

Abstract:In the threshold ring signature cryptosystem, any t or more than t ring members can represent the entire ring to generate an efficient ring signature. Proxy signature can realize the delegate signature. A secure ID-based proxy threshold ring signature is proposed based on the intractable problem of bilinear pairings. Less than t ring members can’t generate an efficient proxy threshold ring signature. The verifier can only verify the proxy signer is from one ring, but cannot obtain the identity of the proxy signer. This scheme, which satisfies the anonymity and the unforgeability against adaptive chosen message attacks, is proved on the premise of the hardness of CDHP.

Key words:ID-based; proxy signature; threshold signature; ring signature; bilinear pairings

第14卷第1期2015年1月杭州师范大学学报(自然科学版)JournalofHangzhouNormalUniversity(NaturalScienceEdition)Vol.14No.1Jan.2015

文章编号:1674-232X(2015)01-0087-05

中图分类号:TP309MSC2010: 94A60

文献标志码:A

doi:10.3969/j.issn.1674-232X.2015.01.016

通信作者：沈忠华(1973-)，男，教授，主要从事数论与密码学、信息安全技术等研究.E-mail：ahtshen@126.com

收稿日期：2013-09-26