国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

ISRSAC 上基于身份的代理環(huán)簽名方案設(shè)計

2023-11-10 02:17:24袁煜淇張艷碩
北京電子科技學院學報 2023年3期
關(guān)鍵詞:簽名者私鑰公鑰

袁煜淇 劉 寧 張艷碩

北京電子科技學院, 密碼科學與技術(shù)系,北京市 100070

1 引言

1.1 研究背景及意義

數(shù)字簽名技術(shù)在數(shù)據(jù)安全和隱私保護中發(fā)揮著尤為重要的作用,大部分簽名算法是基于公鑰密碼體制的,其中經(jīng)典算法RSA 是1977 年由Rivest 等[1]提出的,其安全性依賴于大整數(shù)分解困難問題。 但隨著量子計算機的出現(xiàn),其安全性遭受威脅。 不斷有學者提出以RSA 為基礎(chǔ)的變種算法,以改進其安全性。 2015 年,Arora 等[24]通過添加額外的第三素數(shù)到公私鑰的構(gòu)成中以增加參數(shù)n 因子分解的復(fù)雜性,并提出了一種加快整個網(wǎng)絡(luò)的數(shù)據(jù)交換過程中RSA 算法實現(xiàn)的改進形式,但容易受到選擇密文攻擊。 2016年,Mustafi 等[25]提出利用雙變量雙射函數(shù)的優(yōu)化方案。 2018 年,Thangavel 等[2]提出了“用于云數(shù)據(jù)機密性的改進RSA 安全密碼系統(tǒng)(ISRSAC)”,同時證明ISRSAC 算法的安全性高于RSA。

同時,隨著技術(shù)發(fā)展衍生出大量新型應(yīng)用場景,傳統(tǒng)數(shù)字簽名技術(shù)所實現(xiàn)的功能無法滿足實際應(yīng)用需求,故學者們不斷提出特殊類型的數(shù)字簽名以適應(yīng)使用場景,代理環(huán)簽名正是其中之一。 1996 年,Mambo 等[3]提出代理簽名的概念以滿足簽名權(quán)可授權(quán)委托的使用需求。 2001年,Rivest 等[4]提出環(huán)簽名的概念,主要思想是可實現(xiàn)以匿名方式發(fā)布可靠信息。 2003 年,Zhang 等[5]提出代理環(huán)簽名的概念,結(jié)合代理簽名和環(huán)簽名的功能,滿足了原始簽名人簽名權(quán)的委托代理及身份匿名的隱私保護需求,能夠有效解決代理簽名者的隱私保護問題。

在上述基于RSA 的改進算法及具備特殊功能的簽名方案的研究背景下,討論研究基于新型算法構(gòu)造的具有特殊性質(zhì)的簽名方案,對密碼技術(shù)應(yīng)用于諸如電子現(xiàn)金、電子投票、匿名通信等對用戶身份隱私保護具有較高要求的領(lǐng)域有重要的理論意義和實用價值。

1.2 國內(nèi)外研究現(xiàn)狀

ISRSAC 算法是在公鑰密碼體制下以傳統(tǒng)RSA 算法為基礎(chǔ)的改進安全性的新型算法,而數(shù)字簽名的安全性極大程度依賴于其核心算法的安全性,故基于ISRSAC 構(gòu)造的數(shù)字簽名相比于基于傳統(tǒng)RSA 算法的簽名方案而言,具有更高的 安 全 性。 2015 年,Thangavel 等[6]提 出 了ESRKGS 算法,該算法將RSA 中的大整數(shù)分解由兩個素數(shù)改進為四個素數(shù),增加了破解難度。2018 年,Thangavel 等[7]再次提出了ISRSAC 算法以改進了Lvy 等人指出的缺陷,進一步增強方案的安全性。 2021 年,Yang 等[8]構(gòu)造了基于ISRSAC 的數(shù)字簽名方案,在此基礎(chǔ)上分別設(shè)計了代理簽名方案、廣播多重簽名方案和有序多重簽名方案。 2022 年,劉等[9]在Yang 等人的基礎(chǔ)上,設(shè)計了基于ISRSAC 的按序代理多重簽名以及廣播代理多重簽名方案。 同年,張等[10]基于ISRSAC 算法構(gòu)造了一個環(huán)簽名方案,并證明了一系列安全性質(zhì)。 目前,不斷有學者以ISRSAC為基礎(chǔ)構(gòu)造出適用于不同場景的數(shù)字簽名方案,將該算法的安全性優(yōu)勢與數(shù)字簽名技術(shù)結(jié)合,并研究討論其在各領(lǐng)域上的應(yīng)用。

代理環(huán)簽名的概念是Zhang 等[5]人在2003年提出的,將代理簽名和環(huán)簽名兩者的功能特性結(jié)合,在實現(xiàn)簽名權(quán)委托代理的同時有效保護了代理簽名人的匿名性。 2004 年,Cheng 等[11]首次提出基于身份的代理環(huán)簽名,簡化了公鑰證書管理。 2008 年,Schuldt 等[12]人提出了一個基于身份的代理環(huán)簽名方案。 2009 年,陳等[13]人提出了基于RSA 的代理環(huán)簽名方案。 2014 年,Asaar[14]給出了基于身份的代理環(huán)簽名定義及其安全模型,證明了基于RSA 假設(shè)的隨機預(yù)言機模型下身份基代理環(huán)簽名方案是安全的。2015 年,張等[15]基于雙線性對運算和離散對數(shù)的困難性問題,提出了基于身份的代理簽名。2018 年,趙等[16]提出了基于身份及RSA 的簡短代理環(huán)簽名方法,縮短密鑰及簽名長度以提高計算效率。 2019 年,Liu 等[17]提出了一種高效的車載代理環(huán)簽名方案。 2022 年,袁等[18]通過對SM2 算法進行改進,提出了一種高效的門限環(huán)簽名方案。

1.3 主要工作及組織結(jié)構(gòu)

本文在文獻[16]的基礎(chǔ)上做出研究,設(shè)計并提出了一個ISRSAC 上基于身份的代理環(huán)簽名方案。 在隨機預(yù)言模型下,基于ISRSAC 的方法被證明是安全的。 對于本文在ISRSAC 算法基礎(chǔ)上提出的基于身份的代理環(huán)簽名方案設(shè)計,首先在方案構(gòu)造上是基于公鑰密碼體制,相比于以往基于雙線性對來構(gòu)造身份基代理環(huán)簽名的方法做出了創(chuàng)新;同時,方案的安全性與構(gòu)成代理環(huán)的成員數(shù)量無關(guān),實現(xiàn)了強不可偽造性;此外,引入安全性高于RSA 的ISRSAC 算法,比現(xiàn)有的基于身份的代理環(huán)簽名安全性更高。 最后,對方案計算代價進行研究分析,并結(jié)合其他方案做出對比說明,進一步突出方案的計算實現(xiàn)的效率。

本文主要內(nèi)容安排如下:第1 節(jié),主要介紹論文研究的背景意義,概述公鑰密碼體制下的數(shù)字簽名技術(shù)發(fā)展現(xiàn)狀,并對ISRSAC 算法和代理環(huán)簽名國內(nèi)外研究現(xiàn)狀進行闡述。 第2 節(jié),圍繞設(shè)計ISRSAC 及基于身份的代理環(huán)簽名方案過程中涉及到的密碼學知識進行介紹說明。 第3節(jié),本節(jié)介紹了方案設(shè)計的相關(guān)知識和方案設(shè)計的具體內(nèi)容。 第4 節(jié),對方案的正確性及安全性進行進一步分析及對比說明。 第5 節(jié),對本文主要工作和成果進行總結(jié)概述。

2 基礎(chǔ)知識

本節(jié)將引入相關(guān)指標說明ISRSAC 算法的安全性高于RSA。 再依次介紹基于ISRSAC 的一般數(shù)字簽名、環(huán)簽名以及代理環(huán)簽名方案。

2.1 ISRSAC 算法的安全性

ISRSAC 是以RSA 為基礎(chǔ)的改進算法,通過強化大整數(shù)分解的復(fù)雜性,并引入隨機數(shù),使得時間復(fù)雜度這一指標隨著算法復(fù)雜程度增加而增大。 具體說明如下:

(1) 強化大整數(shù)分解難題。 對于大整數(shù)N的生成,由RSA 中兩個大素數(shù)p,q相乘,改進為兩個大自然數(shù)p-1,q-1 和兩個大素數(shù)相乘,增加了因式分解的難度。 因而現(xiàn)有的攻擊方法通過因式分解求得私鑰的時間復(fù)雜度指標增大。

(2) 引入隨機數(shù)增大攻破難度。 ISRSAC 算法中在私鑰生成過程中定義了一個新的安全函數(shù)α(n), 同時引入了一個隨機數(shù)r以生成α(n)。 因此,即使攻擊者破解得到p,q,但由于r的隨機性,也使攻擊者無法破解得到私鑰d。

由上述兩方面可以明確,ISRSAC 在理論上大大提升了算法破解的時間復(fù)雜度,使得其安全性遠高于傳統(tǒng)RSA,該結(jié)論也在Yang 等[8]人的文章中得到證明。

2.2 基于ISRSAC 的數(shù)字簽名方案

該簽名算法中,使用ISRSAC 生成公私鑰對。 算法流程分為三個階段:密鑰生成算法、簽名生成算法、簽名驗證算法。 具體如下:

(1) 密鑰生成算法:

隨機選取大素數(shù)p,q且p≠q,p,q >3;計算n=p·q·(p-1)·(q-1),m=p·q;隨機選取整數(shù)r,其中r滿足條件p >2r <q,再計算得到;選取公鑰e,其中1<e <α(n),gcd(e,α(n))=1;計算私鑰d, 其中d·e≡1(bmodα(n))。 綜上,確定公鑰(e,m) 和私鑰(d,n)。

(2) 簽名生成算法:

假設(shè)明文為M, 哈希函數(shù)為H, 哈希值為H(M)。 私鑰為(d,n),計算S≡H(M)dbmodm作為H(M) 的簽名。

(3) 簽名驗證算法:

驗證消息M上的簽名S,使用同一哈希函數(shù)計算H(M),用公鑰(e,m)驗證H(M)≡Sebmodm是否正確。 如果等式正確,則接受簽名。

2.3 基于ISRSAC 的環(huán)簽名方案

2022 年,張等人提出一個基于ISRSAC 的環(huán)簽名方案,這一方案主要包含三個算法:密鑰生成算法、環(huán)簽名生成算法、環(huán)簽名驗證算法。

(1) 密鑰生成算法

與基于ISRSAC 的一般數(shù)字簽名方案一致,使用ISRSAC 生成公私鑰對。

(2) 環(huán)簽名生成算法

(3) 環(huán)簽名驗證算法

2.4 基于ISRSAC 的代理環(huán)簽名方案

基于ISRSAC 算法的代理環(huán)簽名方案分為四個階段:系統(tǒng)建立、用戶密鑰生成階段、簽名階段以及驗簽階段。

(1) 系統(tǒng)建立:通過ISRSAC 算法生成公私鑰對分別為(e,m),(d,n); 選擇兩個Hash 函數(shù):H1:{0,1}*→Zm*,H2:{0,1}*→{0,1}a;公開系統(tǒng)參數(shù)(m,e,H1,H2),CA將私鑰(d,n)作為主密鑰。 隨機生成一些素數(shù)作為H1函數(shù),本方案選擇SM3 函數(shù)作為H2函數(shù)。

(2) 用戶密鑰生成階段1) 獨立用戶密鑰生成。

CA根據(jù)每個用戶的身份生成唯一編號ID:ID=H1(身份信息) 作為每個用戶公鑰pk,S為用戶ID集合: (ID1,ID2,…,IDn) ∈S;CA計算用戶私鑰sk=(ID)dbmodn并以安全方式發(fā)送給用戶。 用戶收到密鑰后通過ID≡(sk)ebmodm進行驗證。 上述用戶密鑰生成過程可由一個CA單獨完成,雖然用戶信任CA, 但實際應(yīng)用中由于CA知道每個用戶的密鑰,具有過大權(quán)限則不能對它進行合理約束。

2) 聯(lián)合用戶密鑰生成。

(3) 簽名階段

(4) 驗簽階段

3 ISRSAC 上基于身份的代理環(huán)簽名方案

本節(jié)設(shè)計并提出了一個ISRSAC 上基于身份的簡短代理環(huán)簽名方案,該方案包括6 個算法:密鑰生成(Generation)、提取(Extract)、代理委托(Delegation)、驗證委托(VerifyDelegation)、簽名(Sign)和驗證(Verify)。 該方案能夠有效縮短密鑰和簽名長度,提高了計算效率;在實現(xiàn)上不受代理密鑰暴露攻擊的影響,具有強不可偽造性。

3.1 符號說明

注意:如果算法A是(t,qg,qp,qe,qe,qprs,e)有界的,即算法的運行時間最多為t, 使得最多在時間qg查詢預(yù)言機G,在時間qp查詢隨機預(yù)言機P,在時間qe查詢Extract, 在時間qd查詢ProxyDelegation 和在時間qs查詢Sign 預(yù)言機,可以至少以ε的概率贏得游戲。

符號 含義 說明X 是一個集合x $←X 表示分配給x 的操作x 是從集合X 均勻隨機選擇的一個元素x1‖x2‖…xn表示一個編碼為字符串組成的對象的有效回收 x1,x2,…xn,是對象空字符串|x | 表示x 的比特長度θ ←C(x1,…xn)#表示算法C 輸入x1,…輸出到θ

3.2 相關(guān)知識

(1) ISRSAC 假設(shè)

(2) 基于身份的簽名[13]

在簽名認證的過程中,將主體公鑰與之身份信息相關(guān)聯(lián)是十分有意義的,基于此,Shamir[19]提出了一種基于身份的公鑰密碼體制。

密鑰生成算法為:公鑰=H(身份信息); 私鑰=F(主密鑰,公鑰)。

該密鑰生成與傳統(tǒng)公鑰密碼體制相反,該計算過程無法公開,只限于特定的主體,以實現(xiàn)對計算出的密鑰的保密。 在該公鑰密碼體制中,用戶可以使用身份信息等作為公鑰,再用公鑰生成私鑰,此即為基于身份的公鑰密碼體制。 在Shamir 的基于身份的簽名方案中包括4 步算法[20]。

建立:這個算法由TA(可信機構(gòu))運行來生成系統(tǒng)參數(shù)和主密鑰;

用戶密鑰的生成:這個算法也由TA執(zhí)行,輸入主密鑰和一條任意的比特串id∈{0,1}*,輸出與id對應(yīng)的私鑰;

簽名:一個簽名算法。 輸入一條消息和簽名者的私鑰,輸出一個簽名;

驗證:一個簽名的驗證算法。 輸入一個消息、簽名對和id,輸出True 或False。

(3) 安全模型

Yu[21]等提出對基于身份的代理環(huán)簽名方法選擇身份攻擊,存在A1,A2,A3三種類型的潛在敵手。 安全模型中需要滿足代理簽名者身份的不可偽造性并且對抗適應(yīng)性選擇消息可實現(xiàn)存在性不可偽造。 若方案對2、3 型敵手安全,則對1 型敵手也是安全的。 在挑戰(zhàn)者C和敵手A之間開始以下游戲,驗證方案對A1、A2、A3敵手的不可偽造性。

C運行算法ParaGen,用安全參數(shù)l獲得系統(tǒng)參數(shù)para和主密鑰(mpk,msk),然后發(fā)送主密鑰給A。A將密鑰與各身份IDu對應(yīng)并運行KeyExtract 算法,C將私鑰xu返回給敵手。 敵手A可以基于消息空間描述符ω上原始簽名者的身份ID0和身份集ID請求授權(quán),ID是ID0在ω上簽名權(quán)委托代理的身份集。C運行KeyExtract得到x0并返回σ0:

對于A=A2,E0:ID0* 沒有被要求作為一個Extract 查詢;E1:(ω*,ID*) 對沒有被要求作為身份下的一個ProxyDelegation 查詢。 敵手A2定義為:如果沒有有界的(t,qg,qe,qd,ε) 敵手A贏得游戲,基于身份的代理環(huán)簽名(t,qg,qe,qd,ε) 存在不可偽造性抵抗自適應(yīng)性選擇消息(權(quán)證)和選擇身份攻擊。

3.3 方案設(shè)計

根據(jù)基于ISRSAC 的代理環(huán)簽名以及基于身份的簽名的構(gòu)造方法,本節(jié)設(shè)計并提出了ISRSAC 上基于身份的代理環(huán)簽名方案。 其中,ID0表示每個原始簽名人身份,ID和ID~表示委托代理的身份集及每個子集。 假設(shè):委托代理中代理簽名者的身份數(shù)量為n(n≥2);ID的每個子集ID~大小為z(z≥2)。 ISRSAC 上基于身份的代理環(huán)簽名方案由6 個算法構(gòu)成,分別為:密鑰生成(Generation),密鑰提?。‥xtract),代理委托 ( ProxyDelegation ), 代 理 驗 證(VerifyDelegation),簽名(Sign)和驗證(Verify),各算法的具體流程如下。

(1) 系統(tǒng)參數(shù)及密鑰生成(Generation):

輸入系統(tǒng)參數(shù)l, 輸出系統(tǒng)參數(shù)Para和系統(tǒng)主密鑰(msk,mpk), 即: (Para,(msk,mpk))←ParaGen(l)。

系統(tǒng)參數(shù)如下:假設(shè)l0,l1,lN∈N, 且P0:{0,1}*→{0,1}l0,P0:{0,1}*→{0,1}l1,G:{0,1}*→Z*N是隨機預(yù)言機。 設(shè)KGisrsac是ISRSAC 密鑰對產(chǎn)生器,輸出四元組(n,m,e,d),使α(n)>2ln,e的長度大于l0和l1位。 密鑰分配中心KGisrsac生成ISRSAC 參數(shù)(n,m,e,d)。 發(fā)布mpk=(e,m) 作為主密鑰,并保持主密鑰msk=(d,n) 的秘密。 因此,公共參數(shù)是Para=(P0,P1,G) 和mpk。

(2) 密鑰提?。‥xtract):

輸入Para,mpk主密鑰msk=d和用戶身份的IDu;輸出身份IDu相應(yīng)的密鑰(密鑰分配中心計算xu=G(IDu)dbmodm, 并將安全且經(jīng)過身份驗證的通道上的用戶密鑰xu發(fā)送給身份為IDu的用戶),即xu←Extract(Para,mpk,msk,IDu)。

(3) 委托代理(ProxyDelegation):

若身份ID0的原視簽名人決定將其簽名權(quán)委托給具有身份集ID的委托代理,則采用該算法。 輸入Para,mpk,ID0,ID的原始簽名者的密鑰x0,信息空間描述符ω∈{0,1};輸出一個授權(quán)σ0,即σ0←ProxyDelegation(Para,mpk,ID0,ID,x0)。

系統(tǒng)參數(shù)如下:設(shè)ω是一個信息空間描述符,具有身份ID0的原始簽名者愿意將他的簽名權(quán)委托給具有身份集ID的代理簽名組,授權(quán)σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),其中r0←Z*N且c0=P0(R0‖ω‖ID)。 然后,原始簽名者發(fā)布授權(quán)σ0(ω,ID)。

(4) 代理驗證(VerifyDelegation):

輸入Para,ID0,ID,ω,σ0,如果σ0是一個有效的授權(quán),輸出為1,否則為0。 即{0,1} ←VerifyDelegation(Para,mpk,ID0,ID,ω,x0)。

系統(tǒng)參數(shù)如下:假設(shè)原始簽名人的身份ID0,代理簽名人的身份集ID,信息空間描述符ω和授權(quán)σ0,如果關(guān)系s0e=R0G(ID0)c0適用,驗證者檢查,其中c0=P0(R0‖ω‖ID)。 如果結(jié)果如上所述,該授權(quán)是有效的;否則,該授權(quán)無效。

(5) 簽名(Sign):

(6) 驗證(Verify):

輸入Para,ID0,ID,ID~,ω,message,θ,如果θ是一個基于身份的有效代理環(huán)簽名,輸出是1,否則為0,即{0,1} ←Verify(Para,mpk,ID0,ID~,ω,message,θ)。

系統(tǒng)參數(shù)如下:鑒于原始簽名者的身份ID0和代理簽名者的身份集ID及ID~,消息空間描述符ω, 消息message, 代理環(huán)簽名θ, 驗證過程如下:

1) 如果message∈ω檢查;否則,停止;

2) 如果ID~?ID,檢查;否則,停止;

3) 對于0 ≤u≤z-1,計算Ru=re和cu+1=P1(RuG(IDu)cuR0G(ID0)c0‖ID‖ID~‖IDu‖ω‖message)

接受簽名當且僅當cz=c0, 其中c0=P0(R0‖ω‖ID)。

4 ISRSAC 上基于身份的代理環(huán)簽名方案分析

4.1 正確性分析

下面將對上述方案進行正確性分析,方案的正確性可驗證如下:

由上述等式可驗證方案的正確性。

4.2 安全性分析

下面對方案的安全性進行具體分析,證明該方案中代理簽名者身份隱私具有無條件匿名性并在隨機預(yù)言模型下該方案具有強不可偽造性。在證明過程中,若ISRSAC 上基于身份的代理環(huán)簽名方案對2、3 型敵手是安全的,那么它對1 型敵手也能確保安全,為了證明所構(gòu)造的方案具有不可偽造性,需要證明他是不可偽造的敵手A2,A3。

引理4.1[22]

首先介紹安全模型證明過程中運用的分裂引理。

假設(shè)A?X×Y,使得Pr[(x,y)∈A]≥δ。對任何α < δ, 定義B={(x,y) ?X×Y|Pry′∈Y[(x,y) ∈A] ≥δ-a} 和B-=(X×Y)B,有如下聲明:

(1) Pr[B] ≥α;

(2) ?(x,y)∈B,Pry′∈Y[(x,y)∈A]≥δα;

定理4.2

證明:對敵手A2, 構(gòu)造算法B, 輸入(n,m,e,y=γe) 運行A2,輸出是算法B運行A2,在輸入mpk=(e,m) 和回答A2的預(yù)言機查詢時,由于A2擁有所有代理簽名人的密鑰,可以模擬代理環(huán)簽名,因此預(yù)言機訪問Sign是沒有必要的,消除了方案的不可偽造性。 假設(shè)算法CA2保持最初的空關(guān)聯(lián)組T[·] 和TP0[·],并回答如下A2的預(yù)言機查詢。

(1)P0(R0‖ω‖ID) 查詢:

(2)G(IDu) 查詢:

(3) 基于IDu的Extract 查詢:

算法B 查找T[IDu]=(b,xu,Xu), 如果這項尚未定義,它執(zhí)行查詢G(IDu)。 如果b=0,則B返回xu; 否則,設(shè)置badPE←true, 中止A2執(zhí)行。

(4) 基于身份ID0的(ω,ID) ProxyDelegation查詢:

最后,假設(shè)如果B不中止簽名模擬,在時限t內(nèi),至少以概率ε,用原始簽名者身份ID0對消息m和授權(quán)ω,A2輸出一個有效的偽造(R0,s0,c0)。 首先,計算B不中止回答A2的查詢的概率下界,需要計算η=Pr[?badPE]Pr[?badDG|?badPE],其中作為A2對Extract 和ProxyDelegation 分別查詢的結(jié)果,事件badPE和badDG表明B中止簽名模擬。 這些概率計算如下:

1) 要求1:

證明:B在A2的Extract 查詢中中止的概率為Pr[?badPE]。 對Extract 查詢,當b=1 時,B以概率1-β中止且badPE←true。 故在一個Extract 查詢中Pr[?badPE] 為β,且對于大部分qE的查詢,該概率值至少是βqE。

2) 要求2:

證明:事件?badPE和?badDG是獨立的,故Pr[?badDG| ?badPE] = Pr[?badDG]。 在ProxyDelegation 查 詢 中,B中 止 的 概 率 為Pr[?badDG]。 當查詢badDG←true時,B中止,該事件的概率包含兩部分,一是以前查詢P0發(fā)生的ProxyDelegation 模擬中(R0‖ω‖ID) 產(chǎn)生的概率,二是B以前在ProxyDelegation 模擬中使用相同隨機性R0的概率。 前者用于qdProxyDelegation 查詢的概率至少為qd(qd+qP0)2-lN,后者用于qdProxyDelegation 查詢的概率至少為q2d2-lN。 因此,B不中止簽名仿真的概率至少是η≥βqE-qd(2qd+qP0)2-lN。 由于偽造是有效的,因此有s0e=R0(G(ID0))c0,在原始簽名者身份ID0下,A2沒有要求ProxyDelegation 算法授權(quán)(ω‖ID),并且ID0沒有要求Extract 查詢。 另外,G(ID0)=xe0y的概率是1-β。 然后B為ID0查找T[·] 以獲取值x0, 并以概率ε1≥ε(1-β)η≥ε(1-β)βqE-qd(2qd+qP0)2-lN返回有用的輸出(R0,s0,c0,x0)。 因此,B以概率ε1≥返回可用的輸出(R0,s0,c0,x0)。

由于P0是隨機預(yù)言機,除非在攻擊期間被詢問,c0=P0(R0‖ω‖ID) 事件發(fā)生的概率小于2-l0。 而很可能在成功攻擊期間查詢(R0‖ω‖ID),對預(yù)言機P0查詢后生成有效偽造概率的下界是ε2≥ε1- 2-l0。 之后B使用預(yù)言機重放技術(shù)[23]解決ISRSAC 問題。B算法采用兩份A2,猜測固定參數(shù)1 ≤p≤(qP0+qd),希望p是查詢(R0‖ω‖ID) 到預(yù)言機P0的索引,猜測的概率是算法B給出了相同的系統(tǒng)參數(shù),相同的身份和相同的隨機比特序列給兩份A2,并返回相同的直到查詢預(yù)言機第p次查詢隨機應(yīng)答。 對第p次查詢預(yù)言機P0,B給Hash 查詢Pp兩個隨機應(yīng)答c0和c′0,使得c0≠c′0。 因此,在A2從P0查詢相同的(R0‖ω‖ID)后,B獲得兩個有用的輸出(R0,s0,c0,x0) 和(R0,s′0,c′0,x0)。 利用引理1 計算B返回一個有用對的概率。

算法B的運行時間t′是A2的2 倍,加上響應(yīng)Hash 查詢所需的時間,qEExtract 和qdProxy-Delegation 查詢的時間。 假設(shè)ZN中l(wèi)(多)次模指數(shù)運算需要te時間,當所有其他操作需要時間為零,由于每個隨機預(yù)言機G或Extract 查詢需要的時間最多為1 次指數(shù)運算,1 個授權(quán)模擬需要2 次指數(shù)運算,B的運行時間為t′ ≤2(t+(qG+qE+2qd)te),證明完成。

定理4.3

證明:證明對于敵手A3, 構(gòu)造算法B, 輸入((e,m),y=y(tǒng)ebmodm) 運行A3,目標是輸出γ=bmodm。 算法B運行A3,在輸入mpk=(e,m) 和應(yīng)答A3的預(yù)言機查詢時,打破該方法的存在不可偽造性。A3擁有原始簽名者的私鑰,故可以模擬授權(quán),預(yù)言機訪問ProxyDelegation 是沒有必要的。 假設(shè)算法B保持初始的空關(guān)聯(lián)數(shù)組T[·],TP0[·],TP1[·],并且應(yīng)答A3的預(yù)言機查詢?nèi)缦隆?/p>

(1)P0(R0‖ω‖ID) 查詢:

如果定義TP0[R0‖ω‖ID],則B返回它的值,否則B選擇返回TP0[R0‖ω‖ID] 給A3。

(3)G(IDu) 查詢:

(4) 基于IDu的Extract 查詢:

算法B查找T[IDu]=(b,xu,Xu), 若該項無定義,則執(zhí)行查詢G(IDu)。 當b=0 時,B返回xu;否則,設(shè)置badPE←true,中止執(zhí)行A3。

最終,如果B在簽名模擬中沒有中止,在時限t內(nèi),假定在消息message和空間描述符ω上,基于原始簽名者的身份ID0和代理簽名者的身份集ID,ID~,A3至少以概率ε輸出有效的偽造θ=(R0,r0,…,rz-1,c0)。 得到B不中止應(yīng)答A3查 詢 的 概 率 的 下 界, 需 要 計 算η=Pr[?badPE]Pr[?badPS|?badPE],事件badPE和badPS分別表示因A3的Extract 和Sign 查詢,B中止簽名模擬。 概率計算如下。

3) 要求3:Pr[?badPE] ≥βqE

證明:同要求1 中證明。

4) 要求4:

證明:事件?badPE和?badPS是獨立的,所以Pr[?badPS| ?badPE] =Pr[?badPS]。 在Sign 查詢中,Pr[?badPS] 是B中止的概率。 如果對Sign 查詢badPS←true,B中止,并且該事件的概率包括在上一個對預(yù)言機P1查詢時Sign 模擬中(RuG(IDu)cuR0G(ID0)c0‖ID‖ID~‖IDu‖ω‖message) 產(chǎn)生的概率和在Sign 模擬中B以前使用相同的隨機Ru的概率。 對大多數(shù)qs,前者的概率最多是qs(qs+qK1)2-lN; 對大多數(shù)qprsSign查詢,后者的概率最多是

算法B執(zhí)行另外的隨機預(yù)言機查詢G(IDu)為偽造的身份查找T[IDu]=(b,xu,Xu),并返回(R0,r0,…,rz-1,c0, {xu}0≤u≤z-1,x0,message,ω)。因此,返回一個有用輸出的概率至少是ε(1-β)η≥ε(1-β)βqE-qs(2qs+qP1)2-lN。 對于取得最大化值,代替β的

利用引理4.1,將Y分解為(Y′cv),其中Y′是對P1的不同查詢所有隨機響應(yīng)的集合,除查詢Qv,其應(yīng)答表示為cv。 引理保證了執(zhí)行(X,Y) 的子集Ωu,v的存在,例如Pr[Ωu,v |γ′u,v] ≥

算法B的運行時間t′是A3的兩倍,包括t加上響應(yīng)Hash 查詢、qEExtract 查詢和qSSign 查詢所需的時間。 假設(shè)在ZN中,當所有其他操作時間都為零,1 次(多次)指數(shù)運算所需時間是te,由于每個隨機預(yù)言機G 或Extract 查詢需要最多1 次指數(shù)運算,1 次Sign 模擬需要(2z+1) 指數(shù)運算,B的運行時間是t′≤2(t+qG+qE+(2z+1)qs)te,證明完畢。

定理4.4

4.3 對比分析

下面將本文設(shè)計代理環(huán)簽名方案與李等、Asaar 等、趙等、Liu 等、魏等提出的方案分別從所用算法、授權(quán)生產(chǎn)和驗證代價、代理環(huán)簽名生成和驗證代價以及簽名長度這幾個方面展開對比分析如下表所示。

簽名方案 基本算法 授權(quán)生成代價代理環(huán) 授權(quán)驗證代價代理環(huán)簽名生成代價代理環(huán)簽名驗證代價 簽名長度李[23] 雙線性對 3n 3n+2 0 2 (n +1)Z*N Asaar[14] RSA 2exp 2exp (2n+1)exp (n+2)exp (n+2) Z*N趙[16] RSA 2exp 2exp (n+3)exp (2n+1)exp (n+1) Z*N +l1 Liu[17] 橢圓曲線 2(n-1) 2n 2n n nZN*袁[18] SM2 2n 2n n 3n nZN*本文方案 ISRSAC 2exp 2exp (n+1)exp (2n+3)exp (n +1)Z*N +l1

由以上對比分析可看出本文方案的優(yōu)勢在于以下幾個方面:一是基于ISRSAC 算法,一方面相比于基于雙線性對的方案簡化了運算步驟且避免了配對運算,降低了計算復(fù)雜度提高了運算效率;另一方面,相比于基于RSA 的方案,以更安全的ISRSAC 算法為基礎(chǔ),在算法層面有效提升了密碼體制抵抗攻擊時被破解的難度系數(shù),具有更高的安全性、抗攻擊性,有廣闊的應(yīng)用前景。 二是基于身份密碼體制,對于傳統(tǒng)公鑰密碼體制而言,相比于李等人基于證書的方案,建立并維護公鑰證書基礎(chǔ)設(shè)施往往會帶來系統(tǒng)冗雜、成本過高等一系列問題,導(dǎo)致此類簽名方案難以在諸如移動自組網(wǎng)等特殊網(wǎng)絡(luò)環(huán)境中應(yīng)用。 本文方案結(jié)合了節(jié)點公鑰與身份信息,不再需要維護龐大的公鑰證書,能夠有效降低系統(tǒng)復(fù)雜度并顯著減少維護代價。 三是計算代價與簽名長度,本方案在大幅提升安全性能的同時,相比于同類型基于RSA 的方案,在計算花費代價和簽名長度方面并未顯著增長,且在“授權(quán)”部分,相比于雙線性對算法,在“授權(quán)”部分的計算代價從O(n) 降低為O(1) 級別,具有更優(yōu)的運行效率。

5 總結(jié)

本文結(jié)合趙等人提出的基于身份及RSA 的簡短代理環(huán)簽名方法,引入了安全性更高的ISRSAC 算法,從ISRSAC 假設(shè)出發(fā),設(shè)計并構(gòu)造了一個可證明安全的ISRSAC 上基于身份的代理環(huán)簽名方案,并驗證方案正確性,在隨機預(yù)言機下對方案安全性進行分析說明,結(jié)果表明方案具有強不可偽造性,且基于身份和ISRSAC 算法的實現(xiàn)方式,理論上具備更高的安全性,且使安全性與代理環(huán)中代理簽名者的數(shù)量無關(guān)。 此外,本方案相比于雙線性對的實現(xiàn)方式,避免了配對計算,使運算復(fù)雜度降低,提高了運行效率,更易于實現(xiàn)。

綜上所述,本文設(shè)計的ISRSAC 上基于身份的代理環(huán)簽名方案,能夠有效應(yīng)用于電子現(xiàn)金、電子投票、電子選舉、匿名通信等對用戶隱私保護需求更高的領(lǐng)域中,并在日后的諸多電子業(yè)務(wù)中具有廣泛的應(yīng)用前景。

猜你喜歡
簽名者私鑰公鑰
基于離散對數(shù)新的多重代理多重盲簽名方案
比特幣的安全性到底有多高
基于改進ECC 算法的網(wǎng)絡(luò)信息私鑰變換優(yōu)化方法
勞動者代簽名 用人單位應(yīng)否支付雙倍工資
一種基于混沌的公鑰加密方案
一種基于虛擬私鑰的OpenSSL與CSP交互方案
基于變形ElGamal簽名體制的強盲簽名方案
商情(2016年45期)2017-01-17 21:04:39
HES:一種更小公鑰的同態(tài)加密算法
SM2橢圓曲線公鑰密碼算法綜述
基于格的公鑰加密與證書基加密
嘉荫县| 隆化县| 新蔡县| 秭归县| 新干县| 高要市| 柘城县| 平乐县| 东台市| 南阳市| 商洛市| 安新县| 五河县| 金堂县| 深水埗区| 芜湖县| 澄城县| 故城县| 沁源县| 肃宁县| 贡山| 西青区| 综艺| 高邑县| 保定市| 泸水县| 沙洋县| 临桂县| 泰来县| 静宁县| 威远县| 上思县| 梅河口市| 阿图什市| 古丈县| 东丰县| 大冶市| 高陵县| 渭南市| 莎车县| 稻城县|