[发明专利]可撤销代理签名强不可伪装性的实现方法

摘要

本发明公开了一种可撤销代理签名强不可伪装性的实现方法，用于解决现有可撤销代理签名方法安全性差的技术问题。技术方案是包括原始签名者的授权过程，授权验证过程，代理签名生成过程，签名有效性验证过程以及代理撤销过程。本发明用相同的方式生成原始签名者对代理签名者的授权，通过引入抗碰撞散列函数生成代理签名，避免了攻击者在没有用户私钥的情况下被伪造签名，从而实现了可撤销代理签名的强不可伪装性，并且证明该代理签名在标准模型下提高了可撤销代理签名的安全性。

主权项

一种可撤销代理签名强不可伪装性的实现方法，其特征在于包括以下步骤：(1)原始签名者的授权过程；1a)原始签名者A随机选择整数xb,xs∈Zp，使得xb+xs＝xA，同时随机选择两个整数rb，rs∈Zp，并计算整数rA＝rb+rs和代理签名者B的身份其中xA＝skAx，skAx为原始签名者A的私钥skA的第一部分，Zp为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G1的生成元；1b)原始签名者A计算代理签名者B的部分授权密钥σB和安全中介SEM的部分授权密钥σS，然后，向代理签名者B发送代理签名者B的部分授权密钥σB，同时向安全中介SEM发送安全中介SEM的部分授权私钥σS；σB和σS的计算方法如下：σB=(σB1,σB2)=(gxbyA(u′Πi∈Wui)rb,grb)]]>σS=(σS1,σS2)=(gxsyA(u′Πi∈Wui)rs,grs)]]>其中，yA＝skAy，skAy为原始签名者A的私钥skA的第二部分，u′和u1,u2,…,un是密钥生成中心KGC选取的p阶加法循环群G1中的元素，W＝{i|ωi＝1,i＝1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σB1和σB2分别为代理签名者B的部分授权密钥σB的第一部分和第二部分，σS1和σS2分别为安全中介SEM的部分授权密钥σS的第一部分和第二部分；委任状是指原始签名人将自己的签名权限委托给代理的一种证明；1c)原始签名者A向代理签名者B发送ω,σB和RA，同时向安全中介SEM发送ω,σS和RA；(2)授权验证过程；代理签名者B和安全中介SEM共同验证ω,σB,σS和RA的有效性；首先代理签名者B计算RB＝e(σB1,g)，并向安全中介SEM发送ω和RB，同时安全中介SEM计算RS＝e(σS1,g)，并向代理签名者B发送ω和RS；代理签名者B与安全中介SEM验证等式是否成立；若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权；若成立，代理签名者B代替原始签名者A进行签名，执行代理签名生成过程；其中，pkAx和pkAy分别为原始签名者A的公钥pkA的第一部分和第二部分，e为密钥生成中心KGC选取的G1和G2上的双线性变换，G1为密钥生成中心KGC选取的p阶加法循环群，G2为密钥生成中心KGC选取的p阶乘法循环群；(3)代理签名生成过程；3a)代理签名者B向安全中介SEM发送ω，m，RA和RB，安全中介SEM首先检查ω，m，RA和RB是否与步骤1c)和步骤(2)收到的ω，m，RA和RB完全相同；若不完全相同，安全中介SEM不为代理签名者B提供部分代理签名；若完全相同，安全中介SEM需要确认下列两个条件：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和RA是否在公开撤销列表中；若授权在委任状ω规定的有效代理期限内且ω和RA均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名；否则，安全中介SEM不为代理签名者B提供部分代理签名；其中，m是待签名消息；3b)安全中介SEM协助代理签名者B产生代理签名：首先，安全中介SEM随机选取两个整数r1,k1∈Zp，并计算整数生成部分代理签名σPS如下：σPS=(σPS1,σPS2,σPS3)=(gxsyA(u′Πi∈Wui)r1+rs(m·v)h1k1,gr1,gh1k1)]]>同时，安全中介SEM向代理签名者B发送部分代理签名σPS；其中，v是由密钥生成中心KGC选取的p阶加法循环群G1中的元素，H为定义在{0,1}*×G1×G2→Zp上的抗碰撞散列函数，σPS1、σPS2和σPS3分别为部分代理签名σPS的第一部分、第二部分和第三部分，“||”表示链接操作；3c)代理签名者B收到安全中介SEM发送的部分代理签名σPS后，首先检查下式是否成立e(σPS1,g)RB=e(pkAx,pkAy)e(u′Πi∈Wui,RAσPS2)e(m·v,σPS3)]]>若不成立，则代理签名者B不生成代理签名；若成立，则代理签名者B生成代理签名：首先随机选择两个整数r2,k2∈Zp，并计算整数最后，生成代理签名如下：σ=(σ1,σ2,σ3)=(gxAyAgxByB(u′Πi∈Wui)r~(m·v)h~,gr1+r2,gh~)]]>其中，和xB＝skBx，yB＝skBy,skBx和skBy分别为代理签名者B的私钥skB的第一部分和第二部分，σ1、σ2和σ3分别为代理签名σ的第一部分、第二部分和第三部分；代理签名为σ＝(σ1,σ2,σ3)；代理签名者B向签名验证者C发送σ，ω和m；(4)签名有效性验证过程；签名验证者C通过验证下式是否成立来验证代理签名σ的有效性：e(σ1,g)=e(pkAx,pkAy)e(pkBx,pkBy)e(u′Πi∈Wui,RAσ2)e(m·v,σ3)]]>如果成立，则代理签名σ是有效的，否则，代理签名σ无效；其中，pkBx和pkBy分别为代理签名者B的公钥pkB的第一部分和第二部分；(5)代理撤销过程；当原始签名者A需要对代理签名者B的授权进行撤销时，原始签名者A向安全中介SEM发送ω和RA，并要求安全中介SEM将ω和RA放入公开撤销列表。