[发明专利]授权可撤销的有向代理签名方法

摘要

本发明公开了一种授权可撤销的有向代理签名方法，用于解决现有可撤销代理签名方法安全性差的技术问题。技术方案是包括系统建立过程、密钥提取过程、原始签名者的授权过程、授权验证过程、代理签名生成过程、代理签名验证过程、签名公开验证过程以及代理撤销过程。该方法由安全中介SEM负责验证授权和协助代理签名者生成代理签名。安全中介SEM检查签名是否在有效代理期限中，代理签名者是否在公开撤销列表中，验证有效，安全中介SEM为代理签名者发送由安全中介SEM得到的部分代理签名，代理签名者借助安全中介SEM的部分代理签名生成代理签名。反之，安全中介SEM不会为代理签名者提供部分代理签名，提高了可撤销代理签名的安全性。

主权项

一种授权可撤销的有向代理签名方法，其特征在于包括以下步骤：(1)系统建立过程；密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2l，构造一个p阶加法循环群G1和p阶乘法循环群G2，构造一个双线性映射e:G1×G1→G2，从p阶加法循环群G1中选取生成元g，从p阶加法循环群G1中随机选取g1，u′，v′，u1,u2,…,un，v1,v2,…,vn，构造向量u＝(u1,u2,…,un)和v＝(v1,v2,…,vn)，n为待签名消息m的长度；密钥生成中心KGC构造并公开系统公共参数π，π构造方法为：π＝(G1,G2,e,p,g,g1,u′,v′,u,v)(2)密钥提取过程；原始签名者A随机选择整数xA∈Zp，得到原始签名者A的私钥skA＝xA；代理签名者B随机选择整数xB∈Zp，得到代理签名者B的私钥skB＝xB；签名验证者C随机选择整数xC∈Zp，得到签名验证者C的私钥skC＝xC，并将私钥信息向密钥生成中心KGC提交；密钥生成中心KGC根据系统公共参数π和原始签名者A，代理签名者B和签名验证者C的私钥分别计算并公开原始签名者A的公钥代理签名者B的公钥和签名验证者C的公钥其中，Zp为不超过大素数p的正整数集合；(3)原始签名者的授权过程；3a)原始签名者A随机选择两个整数xA1,xA2∈Zp，使得xA1+xA2＝xA，同时随机选择两个整数rA1,rA2∈Zp，并计算整数rA＝rA1+rA2和代理签名者B的身份其中xA＝skA，skA为原始签名者A的私钥，Zp为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G1的生成元；3b)原始签名者A计算代理签名者B的部分授权密钥σB和安全中介SEM的部分授权密钥σS，然后，向代理签名者B发送代理签名者B的部分授权密钥σB，同时向安全中介SEM发送安全中介SEM的部分授权密钥σS；σB和σS的计算方法如下：σB=(σB1,σB2)=(g1xA1(u′Πi∈Wui)rA1,grA1)]]>σS=(σS1,σS2)=(g1xA2(u′Πi∈Wui)rA2,grA2)]]>其中，g1、u′和u1,u2,…,un为密钥生成中心KGC选取的p阶加法循环群G1中的元素，W＝{i|ωi＝1,i＝1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σB1和σB2分别为代理签名者B的部分授权密钥σB的第一部分和第二部分，σS1和σS2分别为安全中介SEM的部分授权密钥σS的第一部分和第二部分；3c)原始签名者A向代理签名者B发送ω,σB和RA，同时向安全中介SEM发送ω,σS和RA；(4)授权验证过程；代理签名者B和安全中介SEM联合验证授权的有效性，首先代理签名者B计算RB＝e(σB1,g)，并向安全中介SEM发送ω和RB，同时安全中介SEM计算RS＝e(σS1,g)，并向代理签名者B发送ω和RS；代理签名者B与安全中介SEM验证等式是否成立；若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权；若成立，代理签名者B代替原始签名者A进行签名，执行代理签名的生成过程；其中，pkA是原始签名者A的公钥，e为密钥生成中心KGC选取的G1和G2上的双线性变换，G1为密钥生成中心KGC选取的p阶加法循环群，G2为密钥生成中心KGC选取的p阶乘法循环群；(5)代理签名生成过程；5a)代理签名者B向安全中介SEM发送ω,m,RA和RB，安全中介SEM检查ω,m,RA和RB是否与步骤3c)和步骤(4)收到的ω,m,RA和RB完全相同；如果不完全相同，安全中介SEM不为代理签名者B生成部分代理签名；如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和RA是否在公开撤销列表中；若授权在委任状ω规定的有效代理期限内且ω和RA均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名；否则，安全中介SEM不为代理签名者B提供部分代理签名；其中，m是待签名消息；5b)安全中介SEM协助代理签名者B产生代理签名；首先，安全中介SEM随机选取两个整数rS,rM∈Zp，计算部分代理签名σPS如下：σPS=(σPS1,σPS2,σPS3)=(g1xA2(u′Πi∈Wui)rS+rA2(v′Πj∈Wvj)rM,grS,grM)]]>同时，安全中介SEM将部分代理签名σPS发给代理签名者B；其中，v′和v1,v2,…,vn是由密钥生成中心KGC选取的p阶加法循环群G1中的元素，M＝{i|mi＝1,i＝1,2,…,n}为待签名消息m中元素不为0的下标集合，σPS1，σPS2和σPS3分别为部分代理签名σPS的第一部分、第二部分和第三部分；5c)代理签名者B收到安全中介SEM产生的部分代理签名σPS，首先检查下式是否成立e(σPS1,g)RB=e(g1,pkA)e(u′Πi∈Wui,σPS2RA)e(v′Πj∈Wvj,σPS3)]]>若不成立，则代理签名者B不产生代理签名；若成立，则代理签名者B生成代理签名：首先随机选择两个整数rB,r′M∈Zp，计算：σ1=(σPS2grBRA)⊕e(g1,pkC)rM+rM′]]>σ2=σPS3grM′]]>σ3=g1xBσPS1σB1(u′Πi∈Wui)rB(v′Πj∈Wuj)rM′]]>其中，xB＝skB，skB为代理签名者B的私钥，pkC为签名验证者C的公钥，σ1、σ2和σ3分别为代理签名σ的第一部分、第二部分和第三部分；代理签名为σ＝(σ1,σ2,σ3)；代理签名者B向签名验证者C发送σ,ω和m；(6)代理签名验证过程；当签名验证者C得到σ,ω和m之后，验证代理签名的有效性；首先利用代理签名σ计算辅助信息然后验证下面等式是否成立：e(σ3,g)=e(g1,pkA)e(g1,pkB)e(u′Πi∈Wui,θ)e(v′Πj∈Wvj,σ2)]]>其中，xC＝skC，skC为签名验证者C的私钥，pkB为代理签名者B的公钥；若成立，则代理签名是有效的，否则，代理签名无效；(7)签名公开验证过程；代理签名者B或者签名验证者C向仲裁验证代理签名的有效性；首先代理签名者B或者签名验证者C计算辅助信息然后代理签名者B与签名验证者C向仲裁发送代理签名σ和θ；仲裁利用代理签名σ和辅助信息θ，通过下式验证代理签名的有效性：e(σ3,g)=e(g1,pkA)e(g1,pkB)e(u′Πi∈Wui,θ)e(v′Πj∈Wvj,σ2)]]>若成立，则说明签名验证者C和代理签名者B成功地向仲裁证明了代理签名的有效性；若不成立，说明签名验证者C与代理签名者B不能向仲裁证明代理签名的有效性，代理签名是无效的；(8)授权撤销过程；当原始签名者A需要撤销对代理签名者B的授权时，原始签名者A向安全中介SEM发送ω和RA，并要求安全中介SEM将ω和RA放入公开撤销列表。