有效的基于身份的代理環簽名方案

(西華大學 數學與計算機學院， 成都 610039)



摘 要：

以往的代理環簽名有一個共同的缺陷，即簽名生成和驗證時需要太多的對運算，而大大影響了效率，給出了一個有效的基于身份的代理環簽名。該方案在簽名生成時不需要對運算，在簽名驗證時無論用戶有多少，僅需兩個對運算，因此比以往的方案更有效。由于其具有代理簽名和環簽名兩者的優點，在代理簽名者想代表原始簽名者簽名，同時需要提供匿名性時是非常有用的。

關鍵詞：環簽名； 代理簽名； 代理環簽名；離散對數難題

中圖分類號：TN918.4 文獻標志碼：A

文章編號：10013695(2008)12370502



Efficient IDbased proxy ring signature scheme



LUO Dawen， HE Mingxing ， LI Xiao

(School of Mathematics Computer Engineering， Xihua University， Chengdu 610039， China)



Abstract:The existed proxy ring signature schemes have a common flaw. There is too much pairings computation at signature. This paper proposed an efficient IDbased proxy ring signature scheme. As compared with the existed proxy ring signature schemes， this scheme was more efficient because it has no computational cost of bilinear pairings at signature generation and only two pairings computation at signature verification. It has advantages of proxy signature and ring signature. It is very useful when proxy signers needed to sign messages on behalf of the original entity while providing anonymity.

Key words：ring signature； proxy signature； proxy ring signature； discrete logarithm problem



2001年，Rivest等人^[1]提出了環簽名概念，它是一種新的匿名簽名技術，對于簽名者而言是無條件匿名的，它因簽名參數由一定的規則首尾相連形成一個環而得名。代理簽名是1996年由Mambo等人^[2]提出，利用代理簽名，原始簽名人可以將他(她)的簽名權委托給代理簽名者，對任何消息代理人都可以進行簽名，任何知道原始簽名人的公鑰者都可對簽名進行驗證。2003年張等人^[3]提出了代理環簽名的概念，它把代理簽名與環簽名結合起來，滿足代理簽名和環簽名的特性。此后。文獻[4~6]給出了幾個代理環簽名方案，文獻[4，6]中的方案在簽名生成時需要2n-1個對運算，在簽名驗證時需2個對運算；但文獻[7]中指出了它們的驗證等式是不正確的，修改過后的方案在簽名驗證時需要n+1個對運算。文獻[5] 中的方案在簽名生成時需要2n-1個對運算，在簽名驗證時需2個對運算，但是對原始簽名者而言簽名不是匿名的。1984年，Shamir^[8]提出了基于身份的密碼體制，由于根據每一個人的姓名、email地址等都可以方便地計算其公鑰，用戶不再需要公鑰證書，與傳統的基于PKI的密碼體制相比更加安全有效。本文在文獻[9]的基礎上給出了一個有效的基于身份的代理環簽名方案，該方案在電子現金、匿名電子選舉等既需要代理簽名又要保護代理簽名者的權利時是非常有用的。

1雙線性對的性質、幾個數學問題及代理環簽名的安全性要求

1. 1 雙線性對的性質

G1是由P生成的加法群，階為素數q；G2是階為q的乘法群。雙線性對是一個映射e：G1×G1→G2，它滿足如下性質：

a） 雙線性性。對于a，b∈Zq，有e(aP，bQ)=e(P，Q)ab 。

b） 非退化性。P，Q∈G1，使e(P，Q)≠1。

c） 可計算性。存在有效的算法計算e(P，Q)，其中P，Q∈G1。

1. 2 幾個數學問題

a）離散對數問題（DLP）：尋找n∈zq*，使Q=nP。

b）決定性DiffieHellman問題（DDHP）：已知P、aP、bP、cP，確定c=ab mod q是否成立。

c）計算性DiffieHellman問題（CDHP）：已知P、aP、bP，計算abP。

d）雙線性對DiffieHellman問題（BDHP）：已知P、aP、bP、cP，計算e(P，P)abc。

1. 3 代理環簽名的安全性要求

a) 可區分性。代理簽名區別于代理簽名者一般的數字簽名。

b) 可驗證性。從代理簽名中，任何人都可以驗證簽名是否正確。

c) 不可偽造性。一個授權的代理簽名者可以產生一個合法的簽名，但是原始簽名者和第三方不能產生一個合法的簽名。

d) 不可否認性。代理簽名者一旦生成一個合法的簽名，就不能再否認。

e) 無條件匿名性。攻擊者（包括原始簽名者）也不知道誰是真正的代理簽名者。

本文中假定DLP、CDHP是困難的。

2 有效的基于身份的代理環簽名方案

2. 1 系統參數設置

3 安全性分析

a）無條件匿名性。代理簽名者是無條件匿名的，因為隨機選擇的ri是均勻分布的，任何人（包括原始簽名者）由簽名σ=(m，U0，U1，U2，…，Un，V)猜出代理簽名者的概率不會超過1/n。

b）可驗證性。由驗證證明可知，任何人都可以驗證簽名正確與否。

c）不可否認性。由于簽名中含有簽名者的身份信息，真實的代理簽名者一旦生成一個合法的簽名，就不能再否認。

d）可區分性。代理環簽名區別于一般的數字簽名，因為代理鑰Si與SIDi私鑰不同。

e）不可偽造性:

(a)原始簽名者的密鑰是安全的，代理簽名者和攻擊者由SW=SID0H1(ω)不能得出SID0，它面臨的是一個離散對數難題；

(b)不能偽造代理鑰Si，因為Si=SW+SIDiH1(ω)是兩個簽名之和，要解出Si，就要知道SID0和SIDi，由SID0H1(ω)和SIDiH1(ω)去求SID0和SIDi，這是一個離散對數難題。

4 有效性分析

與文獻[4~6]中的方案相比，該方案在簽名生成時不需要對運算，文獻[4~6]中的方案需要2n-1個對運算；在簽名驗證時，無論用戶有多少，該方案只需要兩個對運算，而在文獻[4，6]中的方案需要n+1個對運算，在文獻[5]中的方案雖然也只需兩個對運算，但是文獻[5]中的方案對真實的簽名者而言不是匿名的。從簽名生成和簽名驗證兩方面來看，本文的方案更有效。

5 結束語

本文給出了一個有效的基于身份的代理環簽名，它在簽名生成時不需要對運算，在簽名驗證時無論用戶有多少僅需2個對運算，因此比以往的方案更有效。

參考文獻：

[1]RIVEST R， SHAMIR A， TAUMAN M. How to leak a secret[C]//Proc of ASIACRYPT20018. Berlin: SpingerVerlag， 2001:552565.

[2]MAMBO M， USUDA K， OKAMOTO E. Proxy signature：delegation of the power to sign messages[J]. IEICE Trans on Fundamentals， 1996， E79A(9): 13381354.

[3]ZHANG Fangguo， NAINI R S， LIN C Y. New proxy signature， proxy blind signature and proxy ring signature scheme from bilinear pairings[EB/OL].(2003). http:// eprint.iacr.org/2003/104.

[4]AWASTHI A K， LAL S. A new proxy ring signature scheme[C]//Proc of RMS’04. 2004:2933 .

[5]CHENG Wenqing， LANG Weimin， YANG Zongkai， et al. An identitybased proxy ring signature scheme from bilinear pairings[C]//Proc of the 9th ISCC’04. Washington DC: IEEE Computer Society， 2004:424429.

[6]AWASTHI A K， LAI S. IDbased ring signature and proxy ring signature schemes from bilinear pairings[EB/OL].(2004).http://eprint.iacr.org/2004/184.

[7]羅大文，何明星，董麗莉. 一種新的基于雙線性對的代理環簽名方案[J]. 計算機應用研究，2007， 24(2):125126，154.

[8]SHAMIR A. An identitybased cryptosystems and signature scheme[C]//Proc of CRYPTO’84. Berlin: SpingerVerlag，1984:4753.

[9]CHOW S Siuming M， YIU S M， HUI L C K. Efficiet identity based ring signature[C]//Proc of ACNS’05. Berlin: SpringerVerlag， 2005:499512.