无对的可转换去中心基于属性指定证实者签名

张 健 ，黄振杰，杨晓莉

(1.福建省粒计算及其应用重点实验室，福建漳州363000;2.闽南师范大学计算机学院，福建漳州363000)

基于属性密码学(Attribute-based Cryptography)，简称属性密码学，因其能高效实现细粒度访问控制，具有广泛应用前景而成为近年密码学研究的热门方向[1].属性密码学最早的公开研究源于基于属性加密(Attribute-based Encryption,ABE)[2]，后来拓展到基于属性签名(Attribute-based Signature,ABS)[3]等方面.与一般数字签名相比，基于属性签名不仅具有很强的匿名性，而且相比于群签名、环签名等传统匿名性签名还具有更丰富的签名策略. 2011 年Maji 等[3]提出了一个基于属性签名的一般性结构. 2014 年Okamoto 等[4]提出了一个基于属性签名方案，其访问结构可支持与、或和非3 种门限结构.2014 年Tang 等[5]利用多线性映射和2016年Sakai等[6]利用双线性映射分别构造了访问结构为电路的基于属性签名方案.

在通常的属性签名中，用户的所有属性所对应的密钥都由一个属性中心颁发的，所以该中心必须是完全可信的. 为降低对中心的高信任要求，多权威基于属性签名(Multi-authority Attribute-Based Signature, MA-ABS)[3]和去中心基于属性签名(Decentralized Attribute-Based Signature, DABS)[7]相继出现. 在MA-ABS 中，密钥是由一个证书权威中心(Certificate Authority,CA)和多个分管不同属性的属性权威(Attribute Authority,AA)协同颁发和管理；而在DABS 中，把CA 去掉了，而且每一个AA 相互独立，负责颁发其管理的属性密钥. 在MA-ABS 和DABS 中，通常都使用用户全局标识来达到了防共谋攻击的目的. 有些方案可以做到对这个全局标识进行隐藏，达到签名不可联接性，有些方案的签名则是可联接的. 去中心基于属性密码的研究始于Lewko 等[8]的去中心属性加密.2013 年Okamoto 等[7]首次提出去中心多权威属性签名方案.

一般的数字签名都是可公开验证的，但在某些场合下公开验证并不合适，Chaum 等[9]提出不可否认签名(Undeniable Signature, US)的概念，其特点是没有签名人的合作不可能完成签名的验证工作. 但如果签名人不在或不合作，签名的验证就无法及时进行. Chaum[10]提出指定证实者签名(Designated Confirmer Signature,DCS)的概念，签名人可以指定某一证实者，赋予他对签名进行证实或否认的能力.

据笔者所知，目前还没有去中心基于属性指定证实者签名的研究报道.本文基于Cramer等[11]的证据隐藏证明协议，构造一个无双线性对的可转换去中心基于属性指定证实者签名(Convertible Decentralized Attribute-based Designated Confirmer Signature,CDABDCS)方案，具有较高的效率，最后证明了其安全性.

1 研究工具

1. 1 离散对数相等零知识证明

G 是阶为大素数p 的循环群，g 为G 的生成元. 假设证明人P 知道秘密值u = DL(U,g)= DL(W,V )，（使用DL(U,g)记U关于g的离散对数，下同）. 通过交互协议可向验证人V证明DL(U,g)= DL(W,V )[12]，可称之为EDLZKP协议.

引理1[12]EDLZKP协议具有如下性质：

1) 如果DL(U,g)= DL(W,V )，则验证人接受证明；

2) 如果DL(U,g)≠DL(W,V )，则验证人接受证明的概率是可忽略的；

3) 该协议是零知识的，即任何人都可通过仿真算法产生一个与真实副本不可区分的仿真副本.

1.2 离散对数不相等零知识证明

假设证明人P 知道秘密值u = DL(U,g)，通过交互协议可向验证人V 证明DL(U,g)≠DL(W,V )[12]，可称之为NEDLZKP协议.

引理2[12]NEDLZKP协议具有如下性质：

1) 如果DL(U,g)≠DL(W,V )，则验证人接受证明；

2) 如果DL(U,g)= DL(W,V )，则验证人接受证明的概率是可忽略的；

3) 该协议是零知识的.

1.3 相等签名

在我们的可转换签名方案中使用了相等签名[13]，即把给定的签名转换成公开可验证签名，以下作简要介绍. 首先选择一个素数p 阶循环群G 和消息m，其中g 和h 为G 的两个生成元，选择一个防碰撞哈希函数H:{0,1}*→Z*p，随机选择一个数x ∈Z*p作为秘密值，然后计算出y = gx,z = hx. 最后随机选择k ∈Z*p，计算c = H(g||h||y||z||gk||hk||m)，s = k - cx(modp)，则称二元组(c,s)是一个关于消息m 的相等签名，可表示为SEQDL(g,h,y,z,m). 在验证阶段，验证人得到相等签名(c,s)后，计算K = gsyc，K′= hszc，而后验证等式c = H(g||h||y||z||K||K′||m)是否成立，成立则验证通过，否则不通过. 上面的相等签名SEQDL(g,h,y,z,m)可扩展成n对离散对数相等的相等签名和n个离散对数相等的相等签名，限于篇幅，省略了细述部分.

1.4 (t,n)门限方案

文献[11]介绍了一种比Shamir(t,n)门限方案更有效的(t,n)门限方案.

1.5 门限签名方案

Cramer 等[11]给出一个用Σ 协议构造证据隐藏证明协议的方法. 如果选择Schnorr 协议[14]作为其基础Σ协议，使用(t,n)门限方案[11]作为其秘密分享方案，再使用Fiat-Shamir转换[15]可得到TS方案.

TS方案

1) 系统建立算法

选择一个素数p 阶循环群G，其中g 为G 的生成元. 选择防碰撞的哈希函数H2:{0,1}*×Gn→Z*p.随机选取秘密值xi∈Z*p作为私钥，计算公钥Yi= gxi，i = 1,…,n.

2) 签名算法

不妨假设签名人S拥有密钥{x1,x2,…,xt}.

因为Schnorr 协议和(t,n)门限方案满足文献[11]定理8 的条件，所以由文献[11]定理8 和Fiat-Shamir转换定理[15]，可得到引理.

引理3 如果离散对数问题是困难的，则上述门限签名方案是不可伪造的.

引理4 上述门限签名方案中，签名所使用的私钥（证据）是隐藏的，也是不可区分的.

2 去中心基于属性指定证实者签名

2.1 组成

一个去中心基于属性指定证实者签名方案包含4 种角色：属性权威中心AA；签名人S；指定证实者C和验证人V. CDABDCS 方案由9 个算法和4 个协议组成：系统建立算法，属性权威中心公私钥生成算法，指定证实者公私钥生成算法，用户密钥生成算法，指定证实者签名算法，签名人转换算法，签名人转换验证算法，指定证实者转换算法和指定证实者转换验证算法；签名人证实协议，签名人否认协议，指定证实者证实协议，指定证实者否认协议.

2.2 安全模型

基于属性签名一般应具有正确性、不可伪造性、属性隐私性等性质，而指定证实者签名一般应具有隐藏性、不可传递性等性质，所以ABDCS应具有不可伪造性、隐藏性、属性隐私性和不可传递性等性质.

不可伪造性保证：只有拥有满足访问结构所需属性私钥才能产生有效签名. 其定义通过敌手A 和挑战者C 之间的游戏Game 1 来定义. 在Game 1 中，挑战者C 建立系统，在多项式时间内，敌手A 可适应性地进行谕言机询问，最后敌手A 输出一个有效签名，则称敌手A 赢得游戏.

定义1 对于一个去中心基于属性指定证实者签名方案，如果任何多项式时间敌手A 赢得上面游戏Game 1的概率都是可忽略的，就称其在适应性选择消息攻击下是不可伪造的.

隐藏性保证：除了签名人和指定证实者外，任何第三方都不能判定签名是否有效. 其定义通过敌手A 和挑战者C 之间的游戏Game 2 来定义. Game 2 同Game 1，然后敌手A 提交挑战后可重复进行询问，最后敌手A 输出一个正确的签名猜测，则称敌手A 赢得游戏.

定义2 对于一个去中心基于属性指定证实者签名方案，如果任何多项式时间敌手A 赢得上面游戏Game 2的概率都是可忽略的，就称其是隐藏的.

属性隐私性保证：由签名不能确定签名人具有哪些属性. 其定义通过敌手A 和挑战者C 之间的游戏Game 3 来定义. Game 3 同Game 1，然后敌手A 提交挑战后可重复进行询问，最后敌手A 输出一个正确的属性猜测，则称敌手A 赢得游戏.

定义3 对于一个去中心基于属性指定证实者签名方案，如果任何多项式时间敌手A 赢得上面游戏Game 3的概率都是可忽略的，就称其具有属性隐私性.

不可传递性保证：证实和否认协议的证据是不可传递的，即验证人虽能通过证实和否认协议确信签名有效与否，但他不能从中得到任何知识以向第三方证实或否认签名. 其定义通过敌手A 和挑战者C 之间的游戏Game 4 来定义. Game 4 同Game 1，然后敌手A 提交挑战后可重复进行询问，最后敌手A 输出一个正确的猜测，则称敌手A 赢得游戏.

定义4 对于一个去中心基于属性指定证实者签名方案，如果任何多项式时间敌手A 赢得上面游戏Game 4的优势都是可忽略的，就称其是不可传递的.

3 无对的可转换去中心基于属性指定证实者签名方案

1) 系统建立

选择一个素数p 阶循环群G 和生成元g. 再选择4 个哈希函数H1:G2×{0,1}∗⋅2→Z*p，H2:{0,1}*×G2n+1→Z*P，H3:{0,1}*→Z*p，H4:{0,1}*→Z*p. 设属性总体为Ω ={A1,A2,…,An}.

2) 权威中心公私钥生成

每个属性权威中心Ai随机选取xi∈Z*p作为自己的私钥，计算公钥yi= gxi.

3) 指定证实者公私钥生成

指定证实者C 随机选取xc∈作为自己的私钥，计算公钥yc= gxc.

4) 用户密钥生成

用户U 提交其全局身份gid到属性权威中心Ai，属性权威中心为其生成对应属性Ai的密钥：随机选取ki∈，计算ri=，ei= H1(ri,yi,gid,Ai)，si= ki+ eixi，将(si,ri)通过保密信道发送给用户U. 对于不具备的属性Aj，用户U 自己随机选取rj∈G.

5) 签名

⑥ 计算di= w - cisi，i = 1,…,t；输出签名：σ =(gid,ci,di,Ri,,ri,yc),i = 1,…,n.

主要探讨各种现代教学媒体在教学各环节中的应用，有助于幼儿表达方式多元化，使教学过程更生动活泼。从各媒体优势出发，如视频展台在示范和观察中的作用，音响在创设情境中的作用，电子白板的交互和整合优势在教学中的应用，摄像机在幼儿活动过程评价和提供贴近幼儿生活的间接经验中的作用，相机在幼儿活动结果评价和记录活动过程中的作用，计算机的动画、改编电影、集成多媒体教学资源等对教学的影响。

6) 签名人证实协议

验证人V不能自己验证签名σ 的真实性，可与签名人S进行交互来确认签名是由S签的：

①V计算z = H2(m,,R′2,…,,R1,R2,…,Rn,yc)；

③ V 和S 进 行 交 互 验 证：S 使 用 秘 密 值s′i通 过EDLZKP 协 议 向 验 证 人V 证 实DL(Ri,g)=DL(,yc)，其中Yi=，ei= H1(ri,yi,gid,Ai)，i = 1,…,n；

④以上全通过，则接受签名.

7) 签名人否认协议

签名人S可通过如下交互协议使验证人V相信签名σ 是无效的：

①-②同签名人证实协议, 有一个不通过，则签名为无效签名；

③ V 和S 进行交互验证：S 使用秘密值s′i通过NEDLZKP 协议向验证人V 证实存在某个i，有DL(Ri,g)≠DL(R′igdi,yc)，其中Yi= ri，ei= H1(ri,yi,gid,Ai).

8) 指定证实者证实协议

指定证实者C 可通过如下交互协议使验证人V相信签名是由S签的：

①-②同签名人证实协议；

③ V 和C 进行交互验证：C 使用其私钥xc通过EDLZKP 协议向验证人V 证实DL(yc,g)=DL(,Ri)，其中Yi=，ei= H1(ri,yi,gid,Ai)，i = 1,…,n；

④以上全通过，则签名为有效签名.

9) 指定证实者否认协议

指定证实者C 可通过如下交互协议使验证人V相信签名σ 是无效的：

①-②同签名人证实协议, 有一个不通过，则签名为无效签名；

③ V 和C 进行交互验证：C 使用其私钥xc通过NEDLZKP 协议向验证人V 证实存在某个i，有DL(yc,g)≠DL(gdiYici,Ri)，其中Yi= ri，ei= H1(ri,yi,gid,Ai).

10) 签名人转换

11) 签名人转换验证

得到转换后的签名σ′后，验证人V通过如下验证步骤来验证σ′：

①-②同签名人证实协议；

⑤如果以上验证都通过，则接受此签名有效.

12) 指定证实者转换

13) 指定证实者转换验证

得到转换后的签名σ′后，验证人V通过如下验证步骤来验证σ′：

①-②同签名人证实协议；

④最后验证如下等式是否成立

⑤如果以上验证都通过，则接受此签名有效.

4 安全性分析

本方案的正确性可通过简单计算得到.

引理5 如果存在敌手A 能以εA的优势伪造本文方案的签名，那么存在敌手B 能以εB= εA/q 的优势伪造门限签名（TS）方案的签名，其中q为A请求用户私钥的最多全局身份个数.

证明 我们把ABDCS 方案的安全性归约到TS 方案的安全性，最后归约到离散对数问题. 在下面的归约中，即A 是ABDCS 方案的攻击者，B 是TS 方案的攻击者，C 是TS 方案的挑战者，C 为B 提供谕言机服务.同时B又是ABDCS方案的挑战者，为A提供谕言机服务. 其中所有的询问服务都是完善的，而且如果A输出的是ABDCS的有效签名，那么B输出的则是TS的有效签名. 限于篇幅，省略了其细述部分.

由引理3和引理5，我们有

定理1 如果离散对数问题是困难的，则本文方案是不可伪造的.

定理2 如果弱DDH 问题是困难的，那么本方案是隐藏的.

证明 在Game 2 中，收到挑战签名σ =(ci,di,Ri,R′i,ri,yc)和Bt×n后，为了判定σ 是有效签名还是随机签名，敌手至少需要对某个i 判定DL(yc,g)= DL(R′i,Ri)是否成立，等价于判定属于弱DDH问题的哪个分布，敌手至少需要解1次弱DDH问题，因此，其优势不高于解弱DDH问题的优势.

由引理4，我们有

定理3 本文方案是属性隐私的.

定理4 本文方案是不可传递的.

证明 引理1 和引理2 分别保证本文方案的证实协议和否认协议是零知识的，所以本方案是不可传递的.

5 结束语

本文将基于属性与指定证实者签名结合，并引入去中心概念，基于Cramer 等的证据隐藏证明协议，构造一个无双线性对CDABDCS方案，并具有较高的效率.