不可连接的前向安全可撤销匿名代理签名体制-AET-电子技术应用

不可连接的前向安全可撤销匿名代理签名体制

来源:电子技术应用2011年第1期

段明秀，鲁荣波，李建锋

吉首大学数学与计算机科学学院，湖南吉首 416000

摘要： 将前向概念引入匿名代理签名中，提出一个不可连接的前向安全可撤销匿名代理签名体制，其特点在于代理签名人的身份除对原始签名人外是保密的，代理签名人可以根据原始签名人的授权产生前向安全的签名，验证者可以验证代理签名的正确性，但无法揭示代理签名人的身份，出现争议时原始签名人可以揭示代理签名人的真实身份，而这个过程不需要可信中心参与。

关键词： 代理签名可撤销匿名性匿名代理签名前向安全不可连接性

中图分类号： TP309
文献标识码： A
文章编号： 0258-7998(2011)01-0135-03

An unlinkability and anonymity-revoking proxy signature with proxy signer privacy protection and forward security

Duan Mingxiu, Lu Rongbo, Li Jianfeng

College of Mathematics and Computer science, Jishou University, Jishou 416000,China

Abstract： The concept of forward security is introduced into the anonymity-revoking proxy signature, an unlinkabity and anonymity-revoking proxy signature with forward security are proposed in this paper.The feature of the new scheme is that it can protect of the proxy signer’s privacy against the other third parties and the proxy signer can generate the proxy signature with forward security by the original signer granted, the verifier can validate the proxy signature, but it cannot confirm the identity of the proxy signer. When the dispute exists, the original signer can unveil the identity of the proxy signer without the trust center involved.

Key words : proxy signature；anonimity-revoking；proxy signature with proxy signer privacy protection；forward security；unlinkability

    代理签名的概念最早由Mambo、Usuda和Okamoto[1]提出的，即原始签名人可以把签名的权利委托给一位或者多位代理签名人，由代理签名人代替他生成有效的签名。自代理签名的概念提出以来，代理签名方案就成为密码学研究者关注的焦点，并提出了各种不同的代理签名方案[2-4]。在一些特殊实际应用中，需要保护参与者即代理签名人的隐私，这样就产生了所谓的匿名代理签名[5]，并成为了研究热点[5-9]。但其大部分方案存在安全缺陷，参考文献[5]和参考文献[12]提出的方案不能抵抗原始签名人的伪造攻击[6]；参考文献文献[7]提出的方案不能有效地撤销代理签名的匿名性[10]，也不满足不可否认性并且不能抵抗联合攻击[8]；参考文献[11]提出的方案不能满足不可否认性[13]。
   前向安全和不可连接性是匿名代理签名体制所面临的两个重要问题，使用前向安全的概念可以减少由于代理签名密钥暴露所带来的危害，即如果代理签名密钥被泄露，以前产生的代理签名依然有效而不需重新签署。同时，一个理想的可撤销匿名代理签名应该还提供这样一条性质：单独从某些代理签名中不能判断这些代理签名是否为同一个代理签名人代表同一个原始签名人所生成，即匿名代理签名应该满足不可连接性。这样，即使代理签名人的某个代理签名的匿名性被撤销，并不影响其余的代理签名的匿名性。目前大部分匿名代理签名方案并不满足不可连接性[5，11-12]，因此某个代理签名的匿名性被撤销就意味着与之相连接的所有代理签名的匿名性被撤销。针对以上问题，本文提出一个不可连接的前向安全可撤销匿名代理签名体制。
1 模型和安全需求
   在可撤销匿名代理签名体制中，原始签名人能够为被允许进行代理签名的代理签名人进行代理授权，代理签名人可以代表原始签名人对文件进行代理签名。匿名代理签名体制的过程：建立、代理授权、代理签名、验证和匿名撤销。在具有前向安全和不可连接性的可撤销匿名代理签名体制中增加另一个过程：演化。
　   一个具有前向安全和不可连接性的可撤销匿名代理签名应该具有正确性、强不可伪造性、匿名性、可揭示匿名性、防止滥用性、不可连接性、前向安全性、代理签名权可回收性等性质。
2 体制的设计分析
    可撤销匿名代理签名体制同普通代理签名一样，使用两个不同的普通签名体制来实现:(1)原始签名人产生的签了名的对代理签名人进行授权的证书;(2)代理签名人用来在签名过程中实际产生代理签名。因此,任意安全的可撤销匿名代理签名体制的两个普通签名体制一定要满足不可伪造性。
   前向安全的可撤销匿名代理签名体制除了应具有普通匿名代理签名体制所具有的安全性质外，还应具有前向安全性。即把要使用公钥的总时间分为T个阶段，并在不同时间段使用不同的代理签名密钥(公钥保持不变)，在演化阶段，通过密钥更新算法由当前代理签名密钥计算出后继代理签名密钥。其中，更新算法应该使用单向函数，这样才能保证该算法的前向安全性。与普通的代理签名体制不同的是,首先在生成代理签名授权证书时，应包含可演化信息部分。在签名时，要同时使用代理签名公钥、消息m和代理签名人的签名密钥，而且还应包含时间段i的信息。在签名密钥中应包含代理签名成员的私钥和演化到时间段i的证书信息。正常情况下，验证的次数可能比签名的次数要多，而匿名性撤销只有当争端出现时才使用，所以在设计体制时，应尽量把较大的计算量放在匿名性撤销阶段。同时，由于回收代理签名权利的需要，必须保证当前时间段签名所使用的签名密钥是未被回收的，因此签名和验证阶段效率的高低在前向安全可撤销匿名代理签名体制中更为突出。
    由于原始签名人希望对代理签名人代理签名权利进行限制，所以在某个时刻回收代理签名授权是很自然的事情。在普通的代理签名中，原始签名人只需要在授权证书中包含授权范围、有效期等授权参数就可对代理签名进行限制，但在前向安全的可撤销匿名代理签名中，这种方法可能有很大的局限性，这是因为原始签名人可能希望在某个签名时间段i对代理签名授权进行回收，这个时间段i是动态的，在代理授权的时候是不能确定的。因此，采用普通代理签名时以上使用的方法是行不通的。一种支持动态回收代理授权的实际可行方法是：当代理签名人的代理授权被回收时，原始签名人发放授权证书回收列表(CRL)。当一个用户在某一时间段获得对一个文件的代理签名后，他首先要检查该签名者代理授权是否已被回收，然后再验证签名的正确性。该方法的关键在于设计一个能使用回收列表并仍具有匿名性和不可连接性的代理签名体制。回收列表应包含可验证的回收信息，但不能包含代理签名人身份的信息，以保证匿名性和不可连接性。基于以上的安全需求，本文提出的前向安全可撤销匿名代理签名体制的设计思想为：当代理签名人在任意时间段t用他的代理签名密钥签署一个消息时，基于Ct计算一个值，使它成为签名数据的一部分，而回收信息则是(Ci,i)，其中Cti为代理授权证书中演化到时间段i的那部分信息，i表示回收在时间段i进行。在验证签名者以授权是否被回收时，使用的验证信息为签名时间段t签名所使用的Ct和基于Ct计算的值。如果在时间段t(i<t<T)，验证者收到一个签名，在收到的签名数据中包含t时间段基于Ct计算的值,他首先查看回收列表CRL中最新的回收信息,当他获得(Ci,i)时，同样不知道是哪个代理签名人的代理授权被回收，这时只需利用在演化阶段使用的公开的单向函数对Ci作演化运算，得到Ct，然后用t时间段的基于Ct计算的值来验证(Ci,i)是否成立。这样，在签名的验证阶段，无需额外的签名计算和交互信息，不但计算量较小，而且效率较高。

3.7 收回代理签名权
    如果原始签名人O希望在时间段j收回P的代理签名权，则只需在回收列表CRL里公布回收信息(c_u,j,j)。假如验证者具备在时间段i的签名(u2,r1,r2,r3,m,i)(i>j),首先必须验证签名部分的正确性,然后查询回收列表CRL中是否存在(c_u,j,j)，若存在,则计算cu,j，并验证r1=c^u2_u,imod n是否成立，若成立，则表明原始签名人O对代理签名人P的代理签名授权已经被回收。
   将前向安全概念引入匿名代理签名中，提出了一种不可连接的前向安全可撤销匿名代理签名体制，该体制将用户的真实身份信息隐藏在原始签名人颁发的授权证书中，代理签名人的身份除对原始签名人外是保密的，很好地实现了匿名代理签名，必要时原始签名人可以不需要可信中心而揭示代理签名人的真实身份。真正实现了匿名代理签名的不可连接性，即代理签名人的某个代理签名的匿名性被撤销，但并不影响其余的代理签名的匿名性。
参考文献
[1] MAMBO M, USUDA K, OKAMOTO E. Proxy signature:Delegation of the power to sign messages[J]. IEICE Transaction on Fundamentals of Electronics Communications and Computer Science, 1996,E79-A(9):1338-1354.
[2] ZHANG K. Threshold proxy signature schemes[C]//In: Proc of the 1st Int’l Information Security Workshop (ISW’97), Berlin:Springer-Verlag,1997:191-197.
[3] LAL S, AWASTHI A K, Proxy blind signature scheme[EB/OL]. Available at http:/eprint.iacr.org/2003/072.
[4] YI Li Jiang，BAI Guo Qiang, XIAO Guozhen, proxy multisignature scheme[J]. Electronic Letter, 2000,36:527-528.
[5] SHUM K, WEI V K. A Strong proxy signature scheme with proxy signer privacy protection[C]//The 11th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises(WETICE’02). Los Angeles: IEEE Computer SOC,2002: 55-56.
[6] SUN Hung Min, HSIEH Bin Tsan. Cryptanalysis of a strong proxy signature scheme with proxy signer privacy protection[C]//In: Proc of the IEEE 37th Annual 2003 international conference on security Technology. Los Angeles:IEEE Computer SOC, 2003:474-476.
[7] 王晓明，符方伟. 可撤销匿名性的盲代理签名方案[J].计算机学报,2003, 26(1):51-54.
[8] 傅晓彤，杨礼珍，肖国镇. 对可撤销匿名性的盲代理签名方案的标记[J].计算机学报,2005,28(8):1404-1407.
[9] 鲁荣波，何大可，王常吉.指定验证方的门限验证匿名代理签名方案[J].中国铁道科学，2007,28(2):110-113.
[10] 曹正军，刘木兰. 一个盲代理签名方案的安全性分析[J]. 中国科学院研究生院学报，2006,23 (2):145-148.
[11] FU Xiong Tong, KOU Wei Dong, XIAO Guo Zhen. A proxy signature scheme with proxy signer privacy anonymity[C]//In:Proc of the IEEE international conference on E-Commerce Technology for Dynamic E-Business (CEC-East’04), New York: IEEE Press, 2004:257-260.
[12] 谷利泽，张胜，杨义先.一种新型的代理签名方案[J].电子与信息报,2005,29(9):1463-1466.

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容