一種新的基于雙線性對的代理環(huán)簽名方案

摘 要：給出一個新的基于雙線性對的代理環(huán)簽名方案，與A-S方案相比，該方案更有效，因為在簽名生成時不需要雙線性對運(yùn)算。該方案是代理簽名和環(huán)簽名的結(jié)合，由于它具有代理簽名和環(huán)簽名兩者的優(yōu)點，因此在代理簽名者需要代表原始簽名者簽名，同時又需要提供匿名性時是非常有用的。

關(guān)鍵詞：環(huán)簽名； 代理簽名； 代理環(huán)簽名； 離散對數(shù)難題

中圖法分類號：TP309.2文獻(xiàn)標(biāo)識碼：A

文章編號：1001—3695(2007)02—0125—02

2001年，R.Rivest等人[1]提出了環(huán)簽名概念，它是一種新的匿名簽名技術(shù)，對于簽名者而言是無條件匿名的，它因簽名參數(shù)由一定的規(guī)則首尾相連形成一個環(huán)而得名。代理簽名是1996年由M.Mambo等人[2]提出，利用代理簽名原始簽名人可以將他(她)的簽名權(quán)委托給代理簽名者，對任何消息代理人都可以進(jìn)行簽名，任何知道原始簽名人的公鑰者都可以對簽名進(jìn)行驗證。代理環(huán)簽名是由F.Zhang等人[3]提出，它把代理簽名和環(huán)簽名結(jié)合起來滿足代理簽名和環(huán)簽名的特性。本文結(jié)合文獻(xiàn)[4，5]，給出了一個新的代理環(huán)簽名方案，該方案比文獻(xiàn)[4，6]中的方案（以下簡稱A-S方案）更有效，在簽名生成時不需要對運(yùn)算，而A-S方案在簽名生成時需要2n-1個對運(yùn)算。在簽名驗證時，A-S方案需要兩個對運(yùn)算，但他們的驗證等式是不正確的，本文給出了正確的驗證等式；修改后的A-S方案與本方案同樣在簽名驗證時需要n+1個對運(yùn)算。在電子現(xiàn)金、匿名電子選舉等既需要代理簽名又需要保護(hù)代理簽名者的權(quán)利時，該方案是非常有用的。

1 雙線性對與代理環(huán)簽名

1.1 雙線性對的性質(zhì)

1.2 幾個計算困難性問題

本文中假定DLP，CDHP是計算困難的。

1.3 代理環(huán)簽名的安全性要求

代理環(huán)簽名一般具有以下安全特性：

(1)可區(qū)分性。代理環(huán)簽名區(qū)別于代理簽名者一般的環(huán)簽名。

(2)可驗證性。從代理環(huán)簽名中，任何人都可以驗證簽名的正確性。

(3)不可偽造性。一個授權(quán)的代理簽名者可以產(chǎn)生一個合法的代理環(huán)簽名，但是原始簽名者和第三方不能產(chǎn)生一個合法的代理環(huán)簽名。

(4)不可否認(rèn)性。代理簽名者一旦生成一個合法的環(huán)簽名，就不能再否認(rèn)。

(5)無條件匿名性。攻擊者（包括原始簽名者）也不知道誰是真正的代理環(huán)簽名者。

2 基于雙線性對的短簽名方案及A-S方案

2.1 基于雙線性對的短簽名方案

文獻(xiàn)[5]中給出了一個基于雙線性對的短簽名方案，下面加以簡單介紹。

2.2 A-S方案

2.3 改進(jìn)的A-S方案

3 一個新的代理環(huán)簽名方案

(1)系統(tǒng)參數(shù)設(shè)置

（2）代理鑰的生成

（3）簽名生成

（4）簽名驗證

（5）簽名驗證證明

(1)原始簽名者的密鑰是安全的，代理簽名者和攻擊者由S0H3(ω)不能得出S0，它面臨的是一個離散對數(shù)難題。

5 結(jié)論

本文給出了一個新的基于雙線性對的代理環(huán)簽名方案，它把代理簽名和環(huán)簽名結(jié)合起來。由于具有代理簽名和環(huán)簽名兩者的優(yōu)點，該方案比A-S方案更有效，在簽名生成時不需要對運(yùn)算。在電子現(xiàn)金、匿名電子選舉等既需要

代理簽名又要保護(hù)代理簽名者的權(quán)利時，該方案是非常有用的。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。