金婷婷，鄧倫治*，蔣昊天

(1.貴州師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，貴州 貴陽(yáng) 550001；2.北京航空航天大學(xué)自動(dòng)化科學(xué)與電氣工程學(xué)院，北京 100083)

?

一個(gè)改進(jìn)的基于身份具有消息恢復(fù)功能代理簽名方案

金婷婷1，鄧倫治1*，蔣昊天2

(1.貴州師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，貴州 貴陽(yáng) 550001；2.北京航空航天大學(xué)自動(dòng)化科學(xué)與電氣工程學(xué)院，北京 100083)

在具有消息恢復(fù)功能簽名方案中，原始信息被包含在簽名中，其不需要發(fā)送給驗(yàn)證者，因此降低了簽名的長(zhǎng)度。Singh和Verma提出了一個(gè)具有消息恢復(fù)功能的基于身份的代理簽名方案，Niu等人指出了其方案是不安全的，然后給出了一個(gè)改進(jìn)方案，并宣稱改進(jìn)方案是安全的。然而通過(guò)對(duì)Niu等人給出方案的分析，發(fā)現(xiàn)其方案依然是不安全的，當(dāng)攻擊者獲得一個(gè)有效簽名時(shí)，他可以對(duì)任何一個(gè)消息進(jìn)行偽造簽名。為了解決該方案的安全缺陷，對(duì)其方案進(jìn)行了改進(jìn)，改進(jìn)的方案可以有效抵抗偽造攻擊。與之前的方案相比，效率更高。

基于身份密碼；代理簽名；消息恢復(fù)；偽造攻擊；安全性

0 引言

在傳統(tǒng)公鑰密碼體制中，有一個(gè)可信的證書(shū)頒布機(jī)構(gòu)(CA)，其負(fù)責(zé)向用戶頒發(fā)證書(shū)，綁定用戶的公鑰與私鑰，因此帶來(lái)了證書(shū)管理的問(wèn)題。1984年，Shamir[1]提出了基于身份的密碼體制，有一個(gè)可信的私鑰產(chǎn)生中心(PKG)，將用戶的身份信息(身份證號(hào)碼，郵箱地址等)作為用戶的公鑰，PKG利用系統(tǒng)公鑰，根據(jù)用戶身份信息生成用戶私鑰，并將其發(fā)送給用戶，從而解決了證書(shū)管理的問(wèn)題。1996年，Mambo[2，3]首次提出代理簽名的概念，它是一種用來(lái)解決數(shù)字簽名權(quán)力的代理問(wèn)題的特殊的數(shù)字簽名，在該方案中，驗(yàn)證者需要同時(shí)驗(yàn)證簽名和原始簽名人的代理協(xié)議。在具有消息恢復(fù)功能簽名中，原始信息被附加到簽名中，無(wú)需和簽名一起發(fā)送給代理簽名者，任何人無(wú)需任何秘密信息的情況下都可恢復(fù)含于簽名中的消息，其最大限度地減少了簽名的總長(zhǎng)度，特別適合在寬帶受限的網(wǎng)絡(luò)環(huán)境中使用。

利用雙線性對(duì)技術(shù)，文獻(xiàn)[4]提出了第一個(gè)基于身份的代理簽名方案。在代理簽名方案的基礎(chǔ)上，文獻(xiàn)[5]提出了一個(gè)帶消息恢復(fù)功能的基于身份的數(shù)字簽名方案。文獻(xiàn)[6、7]對(duì)該簽名方案進(jìn)行了改進(jìn)，分別給出了一個(gè)效率更高的方案。文獻(xiàn)[8、9]分別給出了一個(gè)具有更高安全性要求的基于身份的代理簽名方案。文獻(xiàn)[10]使用自認(rèn)證公鑰提出了一個(gè)帶消息恢復(fù)功能的代理簽名方案。文獻(xiàn)[11]給出了一個(gè)基于身份的具有部分消息恢復(fù)功能的簽名方案，在標(biāo)準(zhǔn)模型下，該方案對(duì)自適應(yīng)選擇消息攻擊是存在不可偽造的。文獻(xiàn)[12]提出了一個(gè)帶消息恢復(fù)功能的基于身份的代理簽名方案，該方案的安全性規(guī)約為CDH問(wèn)題。最近，文獻(xiàn)[13]對(duì)文獻(xiàn)[12]中方案進(jìn)行了分析，給出了一個(gè)改進(jìn)的方案。通過(guò)仔細(xì)的研究，發(fā)現(xiàn)文獻(xiàn)[13]中的改進(jìn)方案也不滿足不可偽造性，當(dāng)攻擊者獲得一個(gè)有效的代理簽名時(shí)，他可以使任何消息的簽名成為有效簽名。本文對(duì)其方案的不足進(jìn)行了改進(jìn)。

1 預(yù)備知識(shí)

1.1 雙線性映射

設(shè)G1是一個(gè)素?cái)?shù)q階加法循環(huán)群，P是G1的一個(gè)生成元，G2是一個(gè)素?cái)?shù)q階乘法循環(huán)群。一個(gè)雙線性對(duì)是一個(gè)映射e:G1×G1→G2，滿足雙線性、非退化性和可計(jì)算性。

2)非退化性：存在P，Q∈G1，滿足e(P，Q)≠1。

3)可計(jì)算性：對(duì)于任意的P，Q∈G1，存在有效的多項(xiàng)式時(shí)間算法，可以計(jì)算出e(P，Q)。

1.2 困難問(wèn)題假設(shè)

2)計(jì)算Diffie-Hellman(CDH)問(wèn)題：設(shè)G1是一個(gè)q階加法循環(huán)群，P是G1的一個(gè)生成元，已知aP，bP，是否能計(jì)算出abP。

3)判定Diffie-Hellman問(wèn)題：設(shè)G1是一個(gè)q階加法循環(huán)群，P是G1的一個(gè)生成元，已知aP，bP，cP，問(wèn)等式cP=abP是否成立。

4)計(jì)算雙線性Diffie-Hellman問(wèn)題：設(shè)G1是一個(gè)q階加法循環(huán)群，P是G1的一個(gè)生成元，已知aP，bP和cP，是否能計(jì)算出e(P，P)abc。

1.3 符號(hào)約定

1)a‖b：兩個(gè)字符串a(chǎn)和b的串聯(lián)；

2)⊕：在二進(jìn)制系統(tǒng)中的XO-R計(jì)算；

3)[x]10：把x∈{0，1}*用十進(jìn)制表示；

4)[y]2：把y∈Z用二進(jìn)制表示；

2 Niu等方案的回顧

本文回顧了Niu等的方案，該方案由以下7個(gè)步驟組成，并且涉及到3個(gè)主要實(shí)體：原始簽名者A、代理簽名者B和驗(yàn)證者C。

2)私鑰生成：輸入用戶U的身份IDU∈{0，1}*，PKG計(jì)算U的私鑰dU=sH0(IDU)和公鑰qU=H0(IDU)，并通過(guò)安全信道把(qU,dU)發(fā)送給U。

4)代理授權(quán)驗(yàn)證：當(dāng)B收到WA→B=(mw,rA,S)后，先計(jì)算hA=H1(mw,rA)，qA=H0(IDA)，然后驗(yàn)證等式e(S,P)=e(qA,Ppub)hA·rA是否成立，如果成立，則接受WA→B；否則，認(rèn)定WA→B是無(wú)效的。

5)代理密鑰生成：B接受WA→B=(mw,rA,S)后，計(jì)算代理簽名密鑰dP=hA·dB+S，這里hA=H1(mw,rA)。

rB=e(p,p)kB，

hB=H1(m,rB)，

β=F1(m)‖(F2(F1(m))⊕m)，

α=[β]10，

VB=H2(v)+α，

U=kBP+hBdP。

然后通過(guò)安全信道把δ=(rA,hB,VB,mw,U)發(fā)送給C。

7)代理簽名驗(yàn)證/消息恢復(fù)：C接收到代理簽名δ=(rA,hB,VB,mw,U)后，首先檢查A與B的信息與mw所含信息是否一致。若符合則進(jìn)行以下計(jì)算：

hA=H1(mw,rA)，

α=VB-H2(e(U,P)·e(qA+qB,Ppub)-hAhB)，

β=[α]2

3 Niu等方案的分析

通過(guò)觀察代理簽名中的式子VB=H2(v)+α與代理簽名驗(yàn)證算法中的式子α=VB-H2(e(U,P)·e(qA+qB,Ppub)-hA hB)，看等式v=e(U，P)·(qA+qB,Ppub)-hAhB是否成立。

驗(yàn)證如下：

e(U，P)·e(qA+qB，Ppub)-hAhB

=e(kBP+hBdp，P)·e(qA+qB，Ppub)-hAhB

=e(kBP，P)·e(hBdp，P)·

e(qA+qB，Ppub)-hAhB

=e(P，P)kB·e(dp，P)hB·e(qA+qB，Ppub)-hAhB

=rB·e(hAdB+hAdA+kAP，P)hB·e(qA+qB，Ppub)-hAhB

=rB·e(hAdB+hAdA)hB·e(kAP，P)hB·

e(qA+qB，Ppub)-hAhB

=rB·e(qA+qB，Ppub)hAhB·e(kAP，P)hB·

e(qA+qB，Ppub)-hAhB

=v

α=VB-H2(v)，

β=[α]2=F1(m)‖(F2(F1(m))⊕m)。

因此，若攻擊者能夠得到一個(gè)有效的簽名δ=(rA,hB,VB,mw,U)，他能從等式e(U，P)·(qA+qB,Ppub)-hAhB=v中計(jì)算出v，這里hA=H1(mw,rA)，但是在驗(yàn)證階段對(duì)hB并沒(méi)有進(jìn)行任何的檢驗(yàn)， 并不能體現(xiàn)hB的值是隨著rB的值一起改變的，換句話說(shuō)，對(duì)不同的消息m，選取相同hB進(jìn)行簽名，都是可以通過(guò)驗(yàn)證算法的。因此，對(duì)任意的消息m*∈{0，1}l2，攻擊者可以進(jìn)行如下計(jì)算：

β*=F1(m*)‖(F2(F1(m*))⊕m*) ，

α*=[β*]10，

當(dāng)驗(yàn)證者收到簽名δ*后，計(jì)算：

hA=H1(mw，rA)，

β*=[α*]2，

4 改進(jìn)的方案

在Niu等的方案中，當(dāng)攻擊者獲得一個(gè)有效的代理簽名δ后，他可以通過(guò)驗(yàn)證等式v=e(U,P)·e(qA+qB,Ppub)-hAhB計(jì)算出v，所以攻擊者在不知道代理私鑰的前提下，可以對(duì)任意的消息進(jìn)行簽名，且為有效簽名。為了阻止這種攻擊，下面對(duì)代理簽名、代理簽名驗(yàn)證/消息恢復(fù)進(jìn)行了改進(jìn)。

rB=e(P,P)kB，

hB=H1(m,rB)，

v = rAhB·rB，

β=F1(m)‖(F2(F1(m))⊕m)，

α=[β]10，

VB=H2(v)+α，

U=hAP+hBdP。

2)代理簽名驗(yàn)證/消息恢復(fù)：當(dāng)C收到δ后，先檢查A與B的信息與是否一致，若一致，繼續(xù)以下計(jì)算：

hA=H1(mw,rA)，

檢驗(yàn)v=e(U,P)·e(qA+qB,Ppub)-hAhB是否成立，若成立，則進(jìn)行以下計(jì)算：

α=VB-H2(v)，

β=[α]2，

改進(jìn)方案的驗(yàn)證等式與Niu的方案相同，

α=VB-H2(v)，

β=[α]2=F1(m)‖(F2(F1(m))⊕m)，

5 安全性和效率分析

5.1 安全性分析

為了證明以上定理，首先定義一個(gè)的具有消息恢復(fù)功能的通用數(shù)字簽名方案。

參數(shù)設(shè)置：給定λ作為安全參數(shù)，生成密鑰對(duì)的過(guò)程如下：

2)隨機(jī)選取mw∈{0,1}*，對(duì)委托消息mw使用密鑰dA，應(yīng)用文獻(xiàn)[6]的方法計(jì)算簽名(mw,rA,UA)。

3)計(jì)算hA=H1(mw,rA)和dp=hA·d+UA。

4)公開(kāi)參數(shù)為(G1,G2,H0,H1,F1,F2,e,q,p,Q,qA,mw,,hA,rA)，私鑰為dp。

簽名驗(yàn)證：接受者收到簽名δ=(rA,rp,hB,VB,mw,U)后，計(jì)算

hA=H1(mw,rA)，

α=VB-H2(e(U,P)·e(qA+Q,Ppub)-hAhB)，

β=[α]2。

定理的證明 通常假定攻擊者A在進(jìn)行私鑰生成，代理授權(quán)，代理密鑰生成，代理簽名算法之前，可以對(duì)任何的身份ID向H0進(jìn)行多次密鑰詢問(wèn)。

1)挑戰(zhàn)者B運(yùn)行系統(tǒng)參數(shù)算法，生成一組參數(shù)

params=(G1,G2,H0,H1,H2,F1,F2,e,Ppub,q,Q,qA,mw,rA,λ,l1,l2,hA)。

2)令Ppub←aP，i←1。

3)令Clist，Dlist，Glist，Slist初始為空集。

qH0。

5)B把公開(kāi)參數(shù)params發(fā)送給A，并讓A模擬本中改進(jìn)的簽名方案，在密鑰生成階段，B通過(guò)以下方法推到A要獲取的預(yù)言信息。

H0查詢：輸入指定身份ID，B檢查H0(ID)是否被定義，若未定義，則

并且讓IDi←ID，i←i+1，并把H0(ID)返回給攻擊者A。

私鑰查詢：攻擊者A向B輸入IDi，如果i=t，則終止算法，否則計(jì)算di=xiPpub響應(yīng)A，并將(IDi,di)加入集合Clist。

代理授權(quán)查詢：輸入IDi和委托信息mw，如果i≠t，B計(jì)算di=xiPpub作為其密鑰對(duì)mw使用文獻(xiàn)[6]提出的簽名方案進(jìn)行簽名并獲得(r0,s0)，否則，按如下的步驟推到的代理委托權(quán)。

2)計(jì)算r0=e(S0,P)·e(Q,Ppub)-h0；

3)如果攻擊者A向H1做過(guò)(mw,r0)查詢，則算法終止(出現(xiàn)碰撞)，否則設(shè)置H1(mw,r0)=h0，并計(jì)算W=(mw,r0,S0)來(lái)響應(yīng)攻擊者，同時(shí)把(IDi,mw,W)加入集合Dlist。

代理私鑰查詢：輸入代理簽名者IDj的身份和委托書(shū)W=(mw,r0,S0)，如果j=t，則終止算法，否則B計(jì)算dp=H1(mw,r0)xjPpub+S0來(lái)響應(yīng)攻擊者A，并把(W,IDj,dp)加入集合Glist。

2)檢查H1(mw,r0)是否被定義，若未定義，通過(guò)(mw,r0)詢問(wèn)隨機(jī)預(yù)言機(jī)H1并返回h=H1(mw,r0)；

3)計(jì)算rp= e(U',P)·(e(xiP, + Q)hhp·r0hp)-1，Up=U′；

4)如果攻擊者A向H2進(jìn)行過(guò)(rp,r0)詢問(wèn)，則終止算法(出現(xiàn)碰撞)，否則計(jì)算Vp= H2(r0hp·rp) + [β]10，其中β=F1(m)‖(F2(F1(m))⊕m)；

5)輸出δ=(r0,rp,hp,Vp,mw,Up)，并把(W,m,δ)加入到集合Slist中。

偽造：如果攻擊者A用指定的身份信息和代理簽名者身份信息獲取了簽名(W,m,δ)=((mw,r0,S0),m,(r0,rp,hp,Up,mw,Vp))，并滿足PVerify((m,δ),IDi)=1，(W,m,δ)，?Slist，(IDj,dj)?Clist，(IDj,W,dp)?Glist，j=t，則B成功偽造了簽名δ=(r0,rp,hp,Vp,mw,Up)和應(yīng)用的代理私鑰dp=aQ，其中h=H1(mw,r0)。

所以，在隨機(jī)預(yù)言模型下，在自適應(yīng)選擇身份和消息攻擊條件下，本文改進(jìn)的方案是不可偽造和可委托的，其安全性規(guī)約為CDH問(wèn)題。

5.2 效率分析

6 結(jié)束語(yǔ)

在一些需要低消耗的環(huán)境，特別是寬帶受限的網(wǎng)絡(luò)中，需要長(zhǎng)度更短一些的簽名，因此具有消息恢復(fù)功能的簽名具有更強(qiáng)的適應(yīng)性。通過(guò)對(duì)Niu等人方案的分析，發(fā)現(xiàn)其方案是不安全的，因此，本文給出了完整的攻擊算法和改進(jìn)方案。

[1] SHAMIR A.Identity-based cryptosystems and signature scheme[C].Advances in Cryptology’196,LNCS 196.Berlin:Springer,1984:47-53.

[2] MAMBO M,USUDA K,OKAMOTO E.Proxy signatures: Delegation of the power to sign message[J].IEICE Transactions Fundamentals of Electronic Communications and Computer Science,1996,E97-A(9):1338-1354.

[3] MAMBO M,USUDA K,OKAMOTO E. Proxy signing operation [C].Proceedings of the 3rdACM Conferenceon Computer and Communication Security(CCS)，New York ：ACM Press,1996:48-57.

[4] ZHANG F,KIM K.Efficient ID-based blind signature and proxy signature from bilinear pairings[C].ACISP’2003，LNCS 2727.Berlin:Springer-Verlag，2003:312-323.

[5] ZHANG F，SUSILO W，MU Y.Identity based partial message recovery signature(or how to shorten ID-based signature)[C]//FC’2005,LNCS-3570.Berlin:Springer,2005:45-56.

[6] GU C，ZHU Y.Probable secuirty of ID-based proxy signature schemes[C].ICCNMC’2005,LNCS 3619.Berlin:Springer-Verlag,2005:1277- 1286.

[7] TSO R，GU C，OKAMOTO E.An efficient ID-based digital signature scheme with message Recovery[C].Cryptology and Network Security,LNCS 4856.Berlin:Springer,2007:47-59.

[8] WU W，MU Y，SUSILO W,et al. Identity based proxy signature from pairing[C].The 4thInternational Conference on Autonomic and Trusted Computing,LNCS 4610.Berlin:Springer-Verlag,2007:22-31.

[9] WANG B.A new identity based proxy signature scheme [EB/OL].Cryptology Eprint Archive Report，2008.http://www.Eprint.iacr.org/2008/323.

[10]WU T，HSU C，LIN H.Self certified multi proxy signature sche-me with message recovery[J].Zhejiang Univ Sci,2009,10(2):290-300.

[11]劉振華，張襄松，田緒安，等.標(biāo)準(zhǔn)模型下基于身份的具有部分消息恢復(fù)功 能的簽名方案[J].北京工業(yè)大學(xué)學(xué)報(bào)，2010,36(5):654-658.

[12]SINGH H，VERMA G K.ID-based proxy signature scheme with message recovery[J].The Journal of Systems and Software，2012，85:209-214.

[13]牛永正，亢保元，許昊.改進(jìn)的基于身份的代理簽名方案[J].計(jì)算機(jī)應(yīng)用，2015，35(SI):63-65.

An improved ID-based proxy signature scheme with message recovery

JIN Tingting1,DENG Lunzhi1*,JIANG Haotian2

(1.School of Mathematical Science, Guizhou Normal University, Guiyang, Guizhou 550001,China;2.School of Automations Science and Electrical Engineering, Beihang University,Beijing,100083,China)

A digital signature scheme with message recovery is a signature scheme in which the original message of the signature is not required to be transmitted together with the signature, so it can reduce the length of the signature. Singh and Verma proposes a new ID-based proxy signature scheme with message recovery. Niu et al. pointed out the scheme was unsafe, and proposed an improved scheme, and announced the improved scheme is safe. The scheme was found insecure through the analysis, the attacker can give a forgery signature when he gets a valid signature. In order to overcome the weakness of the scheme, an improved scheme was proposed, which can resist the forgery attack. Compared with the previous schemes, the improved scheme is more efficient.

ID-based cryptography; proxy signature; message recovery; forgery attack; security

1004—5570(2016)06-0098-06

2016-06-28

國(guó)家自然科學(xué)基金項(xiàng)目(61562012)；貴州省教育廳創(chuàng)新群體重大研究項(xiàng)目(黔教合KY字2016[026])

金婷婷(1990-)，女，碩士研究生，研究方向：密碼學(xué),E-mail：804083709@qq.com.

*通訊作者：鄧倫治(1979-)，男，教授，博士，研究方向：密碼與信息安全，E-mail：381651551@qq.com.

TP391

A