代理花刺代理验证

Vol.
16,No.
62005JournalofSoftware软件学报1000-9825/2005/16(06)1190指定验证人的(t,n)门限代理签名方案王晓明1+,符方伟21(暨南大学计算机系,广东广州510632)2(南开大学数学科学学院,天津300071)A(t,n)ThresholdProxySignatureSchemewithSpecifiedVerifiersWANGXiao-Ming1+,FUFang-Wei21(DepartmentofComputer,Ji'nanUniversity,Guangzhou510632,China)2(SchoolofMathematicsScience,NankaiUniversity,Tianjin300071,China)+Correspondingauthor:Phn:+86-20-85220781,Fax:+86-20-85228335,E-mail:wxmsq@eyou.
com,http://www.
jnu.
edu.
cnReceived2003-09-26;Accepted2004-01-06WangXM,FuFW.
A(t,n)thresholdproxysignatureschemewithspecifiedverifiers.
JournalofSoftware,2005,16(6):11901196.
DOI:10.
1360/jos161190Abstract:Theconceptofspecifiedverifiersisfirstintroducedintothethresholdproxysignature,anda(t,n)thresholdproxysignatureschemewiththespecifiedverifiersisproposed.
Intheproposedscheme,anytormoreproxysignerscansignamessageonbehalfofanoriginalsignerforthespecifiedverifiers,andonlythespecifiedverifierstogetherareabletoverifythevalidityoftheproxysignature.
Inordinary(t,n)proxythresholdsignatureschemes,anyonecanverifythevalidityoftheproxysignature.
Insomeapplications,however,itisrequiredthataproxysignaturecouldbeverifiedonlybythespecifiedverifierstogether,thatis,noaverifiercangainanadvantageoftheknowledgeofthevalidityoftheproxysignaturebeforetheotherverifiersknowitsvalidity(e.
g.
tenders,bits).
Furthermore,theproposedschemecanalsorevoketheproxysignaturerightoftheproxysignersdelegatedbytheoriginalsigneriforiginalsignerneeds.
Keywords:digitalsignature;thresholdproxysignature;signatureforspecifiedverifiers摘要:将指定验证人概念引入门限代理签名,提出了一个指定验证人的(t,n)门限代理签名方案.
该方案不仅实现了门限代理签名,而且还能实现只有指定验证人一起才能验证门限代理签名的特性.
在普通的门限代理签名方案中,任何人都能验证门限代理签名的有效性.
然而,在某些情况下,只希望指定的验证人一起才能验证门限代理签名.
这在实际中是需要的,如电子商务中的电子投标等.
另外,该方案还具有在原始签名人需要时,收回某个代理签名人代理权的特性.
关键词:数字签名;门限代理签名;指定验证人签名SupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.
60172060(国家自然科学基金);theNaturalScienceFoundationofGuangdongProvinceofChina(广州省自然科学基金);theNaturalScienceFoundationofJi'nanUniversityofChina(暨南大学自然科学基金)作者简介:王晓明(1960-),女,重庆人,博士,教授,主要研究领域为计算机网络安全,现代密码学;符方伟(1963-),男,教授,博士生导师,主要研究领域为信息论,计算机网络安全,现代密码学,编码理论.
王晓明等:指定验证人的(t,n)门限代理签名方案1191中图法分类号:TP309文献标识码:A在代理签名方案中引入秘密分存就形成了门限代理签名方案.
(t,n)门限代理签名就是将一个代理签名密钥分成n份子代理签名密钥,n个代理签名人分别拥有各自的子代理密钥.
各代理签名人利用自己的分存子代理密钥所签署的签名叫做部分代理签名.
当部分代理签名的个数大于或等于t时,这些部分代理签名按着某种方式结合,产生了有效的门限代理签名.
门限代理签名的目的是当原始签名人因公务或身体健康等原因不能行使签名权利时,将签名权委托给其他人替自己行使签名权.
门限代理签名在许多领域都有重要的应用,如电子商务中CA证书的签发,电子支票的分发等.
在普通的门限代理签名方案[15]中,任何人都能验证门限代理签名的有效性.
然而,在某些情况下,并不希望任何人都能验证门限代理签名,而只有指定的验证人一起才能验证门限代理签名.
这在实际中是需要的,如电子商务中的电子投标等.
1996年,Laih等人提出了指定验证人的多重数字签名方案[6],实现了只有指定验证人一起才能验证多重数字签名的特性.
然而,文献[7]指出Laih的方案是不安全的,即验证群中的特别验证者Clerk能单独验证多重数字签名.
针对如何将指定验证人这一概念引入门限代理签名中,如何克服Laih等人方案中的Clerk能单独验证多重数字签名的缺点.
针对这些问题,本文提出了一个指定验证人的门限代理签名方案.
该方案不仅实现了代理签名,指定验证人一起才能验证门限代理签名的特性,而且克服了Laih等人的指定验证人的多重数字签名方案中的Clerk能单独验证多重数字签名的缺点.
另外,已有的代理签名方案不具有收回代理权的特性.
本方案能在原始签名人需要时,收回给某个代理签名人的代理权.
1Laih等人的方案[6]1.
1密钥产生阶段设Gs={Us1,Us2,…,Usn}为有n签名人的群,Gv={Uv1,Uv2,…,Uvm}为有m验证人的群.
在每个群里都有一个特别成员(clerk),Gs的Clerk为Usc,Gv的Clerk为Uvc.
可信中心选择两个大素数p和q,且q|(p1),一个阶为q的生成元g∈Zp.
每个Usi∈Gs的私钥为si∈Zq*,公钥为Y.
每个Upgissimod=gmjv1∏==′vj∈Gv的私钥为vj∈Zq*,公钥为,GpgYjvvjmod=s的公钥为Y,Gpgnissimod1∏==′v的公钥为Y.
pvjmod1.
2多重数字签名的产生设待签名消息为m,为了完成对m的签名,群Gs中所有签名人需要执行以下步骤:(1)每个Usi∈Gs选择一个随机数1(2)Usc计算,并对Gpxxniimod1∏==s中所有签名人广播x.
(3)每个Usi计算e=h(x‖m)和qesrwiiimod+=,然后送wi给Usc.
(4)收到所有wi(i=1,2,…,n)后,Usc计算e=h(x‖m)和,则多重数字签名为(e,w,m).
qwwniimod1∏==1.
3多重数字签名的验证为了完成对多重数字签名(e,w,m)的验证,Gv中所有验证人一起完成以下步骤:(1)每个Uvj∈Gv计算(1)pYgxjveswjmod])([′=并送xj给Uvc.
(2)Uvc计算(2)pxxmjjmod1∏==1192JournalofSoftware软件学报2005,16(6)并对Gv的所有验证人广播x.
(3)每个Uvj验证e=h(x‖m),如等式成立,则(e,w,m)是有效的多重数字签名.
2文献[7]对Laih等人方案的攻击文献[7]指出,Laih等人的方案是不安全的,因为验证群Gv的CLerk能单独验证多重数字签名.
由式(1)和式(2)得(3)′=∑′∑′′=′====∏pYxYpYYYgxewvvsmjveswvveswmjjmjjjmod])([)(mod)()(])([1111如Uvc曾协助Gv验证过一次签名(e,w),则他就拥有x,那么Uvc就能利用式(3)计算出,从此他就能单独验证所有G∑′=mjjvsY1)(s的签名了.
例如,现有一个Gs对信息m~的签名(we~,~),Uvc首先计算,然后验证)pYxeewvmod}](~~1′=Yxvw)({[)~′~||~(~mxhe=.
若等式成立,则签名(we~,~)有效.
因此,Uvc能单独验证多重数字签名.
3本文提出的指定验证人的(t,n)门限代理签名方案设uo是一个原始签名人,Gp={up1,up2,…,upn}为有n代理签名人的群,Gv={uv1,uv2,…,uvm}为指定验证人的群.
在每个群里都有一个管理人,群Gp的管理人为GP,主要负责系统的初始化,验证部分代理签名,结合部分代理签名产生代理签名.
群Gv的管理人为GV,主要帮助指定验证人验证代理签名.
另外,假定P={up1,up2,…,upt}(t≤n)代表Gs对信息M进行签名.
3.
1初始化系统初始化需要以下几个步骤:(1)GP首先选择两个大素数p和q,且q∣(p1),一个阶为q的元素g(即gq=1modp),一个安全的单向Hash函数h,然后公布p,q,g,h.
(2)原始签名人uo,代理签名人upi和指定验证人uvj的密钥分别是(i=1,2,…,n,j=1,2,…,m),公钥为,(i=1,2,…,n),(j=1,2,…,m),公钥都经过CA(certificateauthority)验证过.
*,,qjioZvk∈ρpgYoomodρ=pgyikimod=pgyjvvjmod=(3)IDi(i=1,2,…,n)为代理签名人upi的身份标识.
(4)代理群Gp的密钥是,公钥为Y,指定验证群G*qGZk∈pgGkGmod=v的公钥为Y.
pymjvjvmod1∏==3.
2分存秘密的生成GP首先选择一个随机多项式(4)qxaxaxakxfttGmod.
.
.
)(11221++++=其中(i=1,2,…,t1)为随机整数,然后计算*qiZa∈niqIDfzii,.
.
.
,2,1,mod)(==(5)和相应的参数(6)nipguizi,.
.
.
,2,1,mod==(7)nipyzwGkiii,.
.
.
,2,1,mod==最后,送wi给upi,并公布ui(i=1,2,…,n).
王晓明等:指定验证人的(t,n)门限代理签名方案11933.
3代理密钥的生成原始签名人uo委托他的签名权给代理签名人(i=1,2,…,n),uo和每个upi需要完成以下步骤:(1)uo首先选择一个随机整数,计算*qZ∈α(8)pgAmodα=qAmhcwomod)||(ρα+=(9)其中mw是一个含有门限值、委托签名的有效期、原始签名人和代理签名人身份标志的委托证书.
然后,再选择一个随机多项式(10)qxcxcxccxfttmod.
.
.
)(11221++++=′其中(i=1,2,…,t1)为随机整数,计算*qiZc∈niqIDfbii,.
.
.
,2,1,mod)(=′=(11)(12)nipybDoiii,.
.
.
,2,1,mod==ρ最后,送Di给upi,并公布[.
)1,.
.
.
,2,1(mod,,==tjpgCAmjcjw(2)收到Di后,upi首先计算pYwzikGiimod=,pYDbikoiimod=,然后验证(13)pguizimod=(14)pCAYgtjIDjAmhobjiwimod11)||(∏==如果式(13)、式(14)成立,则upi计算qAmhzbwiiimod)||(+=γ(15)作为他的代理密钥.
3.
4代理签名的生成若代理签名Gp中的任意t个代理签名人代表原始签名人对信息M进行签名,则每个代理签名人需要完成以下步骤:Pupi∈(1)每个选择随机数,计算Pupi∈*,qiiZ∈δβ(16)pgdiimod1β=(17)pgdiimod2δ=(18)pYdiiiiddvimod1123δβ+=送(IDi,di1,di2,di3)给GP.
(2)收到所有(IDi,di1,di2,di3)(i=1,2,…,t)后,GP计算(19)pdRtidiimod131∏==(20)pdStidiimod~121∏==送)~,(SR给P中的每个代理签名人.
(3)收到)~,(SR后,每个Pupi∈计算)||||~||(PSIDMSRhe=(21)qekLdsiiiiiimod)(2++=γβ(22)1194JournalofSoftware软件学报2005,16(6)送si给GP.
其中,PSID是所有代理签名人的身份标志的连接.
qIDIDIDLtijjjijimod)(,11∏≠==~(4)GP计算)||||||(PSIDMSRhe=,验证(23)pyCuYAdgtjeiLIDjAmhiodisijiwiimod}])({[11)||(12∏==若式(23)成立,则(si,di1,di2,di3)是有效的部分代理签名,GP计算(24)qsStiimod1∑==则信息M的代理签名是),,,,~,(PSIDmAeSSw.
3.
5代理签名的验证为了验证信息M的代理签名,验证群中所有指定验证人一起完成以下步骤:(1)每个,计算vvjGu∈(25)pyYYAgSRtiveiAmhGoSjjwmod}])([~{1)||(∏==送Rj给GV.
(2)收到所有Rj(j=1,2,…,m),GV计算(26)pRRmjjmod1∏==′送R'给验证群Gv中的每个验证人.
(3)每个验证vvjGu∈)||||~||(PSIDMSRhe′=(27)如果式(27)成立,则信息M的代理签名是有效的.
3.
6收回代理签名权如果原始签名人想收回代理签名人uppiG∈的代理签名权,则送与upi对应的给GP.
ibg当收到每个代理签名人的部分代理签名(IDi,di1,di2,di3),GP首先取出,然后验证ibg(28)pCAYgtjIDjAmhobjiwimod11)||(∏==如果式(28)成立,则upi是一个被收回代理签名权的代理签名人,因此,upi的部分代理签名无效.
于是,upi的代理权就被收回.
3.
7方案性能的分析(1)代理签名人通过验证式(14)是否成立来确认bi的有效性.
证明:根据式(8)~式(11),得到pCAYCggggggtjIDjAmhotjIDjAmhIDcIDccIDfbjiwjiwotitiiimod11)||(11)||(.
.
.
)(111∏∏==++′====ρα.
(2)GP能通过验证式(23)是否成立来确认部分代理签名si的有效性.
证明:根据式(6)、式(14)~式(16)和式(22)得pyCuYAdgdgggeiLtjIDjAmhiodiekLAmhzbdiekLdsijiwiiiwiiiiiiiiimod)(11)||(1]))||([(1)(222===∏=+++γβ.
(3)签名验证人通过验证式(27)是否成立来确认代理签名的有效性.
证明:根据式(4)、式(5)、式(8)、式(10)、式(11)、式(15)和式(22),得王晓明等:指定验证人的(t,n)门限代理签名方案1195qekAmhkcdekAmhzbLdsStititiiwGtiiiiwiiiiiimod)||(}])||(([{111122∑∑∑∑====+++=+++==ββ,pyYYAggetiiAmhGodSwtiiimod)(1)||(12∑=∏==β,pyYYAggetiiAmhGoStidwiimod)(1)||(12===∏∏β,根据式(17)~式(20)、式(25)、式(26)和上式得.
mod)()()(}])([~{1131)(111111121)||(1111112212121pRdYyygggdyYYAgSRRtitiditidddvmjdvdvmjtimjtivtiddtivddivetiiAmhGomjSmjjiiiiiiiijiijjiiiijiiijw∏∏∏∏∏∏∏∏===+=============′βδβδβδβ~~根据式(21)和上式得)||||||()||||||(PSIDMSRPSIDMSRhe′==.
(4)原始签名人不能伪造代理签名.
因为原始签名人无法获得代理签名人的密钥ki和秘密参数zi.
因此,原始签名人不能伪造代理签名.
(5)本方案能抵抗伪造攻击.
根据式(19)、式(28)得pyYYAdgtiidiwiPSIDMSdhtitiiAmhGodiSmod)(1132||||~||11)||(1==∏==∏∏.
令Y,则上式可以写为pYYAAmhGoPwmod)()||(=pyYdgtiidiiPSIDMSdhtitiiPdiSmod1132||||~||111==∏==∏∏.
假定SddYPSIDMiiP~,,,,,32ddPSIDMii在离散对数的问题(DLP)和单向Hash函数的假设下,无法找出一对(S,di1)满足上式;若假定SSdi~,,3,,,,21pYAmhGwmod))||(,则能找出一个Yp满足上式,然而无法找出(mw,A)使成立.
YAYoP(=根据式(25)、式(26)得,.
即使知道,又知道M,mpyYYAgSRRRjwvmjPSIDMSRhtiiAmhGoSmjjmod)(~1)||||~||(1)||(1∏∏∏=====′=SSR∑=tjjv1w,A,则在DLP和单向Hash函数的假定下,也无法找出满足上式的(~,,y),而且从得到vpmodgjjvv=j是离散对数的问题.
因此提出的方案能抵抗伪造攻击.
(6)本方案能抵抗合谋攻击.
代理签名群Gp中t个恶意代理签名人可能把他们的zi和bi发送给攻击者U,企图进行合谋攻击.
虽然,U已有t个代理签名人的秘密参数zi和bi,他能重新构造多项式函数f(x),f(x)',恢复系统秘密参数kG和c,于是他就能获得其他代理签名人upj的秘密参数zj和bj,也就是说,他能计算出其他人的代理密钥iγ,但是他不能冒充其他代理签名人upj产生有效的代理签名.
因为他不知道其他代理人upj的密钥kj,而在代理签名时要用到kj(见式(22)),即在验证代理签名时,必须用代理签名人的公钥yj(见式(25)~式(27)),否则,代理签名无效.
如果攻击者U获得其他代理签名人upk的秘密参数zk和bk后,企图利用自己的私钥kt进行代理签名,那么在验证代理签名时,必须用攻击者U的公钥来验证,否则验证方程是不成立的.
然而,原始签名人在委托他的代理签名权时,已经说明了哪些人拥有代理签名权(见代理密钥生成部分中的mtyw),并且在验证部分代理签名有效性时,要用到代理签名人的身份标志IDi及与IDi相对应的公钥yi(见式(23)),而攻击者U无法更改mw和IDi.
那么验证时也就不能用攻击者U的公钥,从而攻击者U伪造的代理签名无法通过验证方程(式(23)),因此伪造的代理签名无效.
若攻击者ty1196JournalofSoftware软件学报2005,16(6)企图根据sj=βjdj1+(Ljγj+kj)emodq求出kj,但因不知道随机数βj,而无法求出kj.
所以,攻击者不能假冒别人产生有效的代理签名.
因此,本方案能抵抗合谋攻击.
(7)验证群中的管理人和验证人都不能单独验证代理签名.
根据式(25)、式(26)得(29)pyYYASYRmjjwmjjvetiiAmhGovSvmod}])({[~111)||(∑∑=′===∏假定AmSSew,,~,,,如果又能知道和,就能计算出R′,从而能够单独验证代理签名,然而v∑=mjjvS1~∑==∏mjjwvetiiAmhGoyYYA11)||()(pgyjvvjmod=j是每个指定验证人的密钥,从求vj是离散对数的问题.
因此,任何其他人无法知道vj.
另外,根据式(17),式(20)和式(29)可以写为pYYRyYYAedvSvvtiiAmhGotiiimjjwmod)()(111111)||(==∑′=∑=∏δ.
若知道Y和R',则能计算出.
然而,∑=tiiidv11δ∑=∏=mjjwvtiiAmhGoyYYA11)||()(iδ是由代理签名人upi选的随机数,所以任何人都不能计算出.
因此,指定验证人和GV都不能单独验证代理签名.
∑=tivY1iid1δ(8)本方案不需要安全信道.
建立一个安全信道是很昂贵的,有时也是很困难的.
在本方案中,因为每个代理签名人只要用他的密钥就能计算出所需秘密参数.
因此,不需要安全信道.
4结束语提出一个(t,n)门限代理签名方案,实现了指定验证人一起才能验证门限代理签名的特性.
任何指定验证人和验证群中的管理人GV都不能单独验证门限代理签名.
在离散对数的问题和单向Hash函数的假定下,分析了各种可能的攻击,得出了本方案是安全的结论.
另外,本方案还具有收回代理签名权的特性,这是很多代理签名方案都不具备的特性.
References:[1]HwangMS,LuJL,LinIC.
Apractical(t,n)thresholdproxysignatureschemebasedontheRSAcryptosystem.
IEEETrans.
onknowledgeanddataengineering,2003,15(6):15521560.
[2]SunHM.
Anefficientnonrepudiablethresholdproxysignatureschemewithknownsigners.
Computersignatureschemewithknownsigners.
ComputerCommunications,1999,22(8):712722.
[3]HsuCL,WuTS,WuTC.
Improvementsofgeneralizationofthresholdsignatureandauthenticatedencryptionforgroupcommunications.
InformationProcessingLetters,2002,81:4145.
[4]HsuCL,WuTS,WuTC.
Newnonrepudiablethresholdproxysignatureschemewithknownsigners.
TheJournalofSystemsandSoftware,2001,58:119-124.
[5]ZhangK.
Thresholdproxysignatureschemes.
In:InformationSecurityWorkshop(ISW'97).
LNCS1396,Berlin:Springer-Verlag.
1997.
191197.
[6]LaihCS,YenSM.
Multisignatureforspecifiedgroupofverifiers.
JournalofInformationScienceandEngineering,1996,12(1):282292.
[7]WHH.
Weaknessinsomemultisignatureschemesforspecifiedgroupofverifiers.
InformationProcessingLetters,2002,83(2):9599.