您的位置:360文档中心› 对一个基于RSA门限代理签名方案的分析与改进

对一个基于RSA门限代理签名方案的分析与改进

合集下载

基于RSA的前向安全的防欺诈的门限数字签名方案

基于RSA的前向安全的防欺诈的门限数字签名方案

( oeeo o p t c neScunN r a nvrt,hn d 10 8,i u n C i Clg Cm ue Si c,i a om lU i sy C eg u60 6 Sc a , hn l f r e h ei h a)
Ab t a t sr c P o o e r a d s c r n h a・ r o rs od dgt l i n t r c e , ih b s d o S ii ls n t r c e n r p s d a f w r —e u ea d c e t o f h e h l ii g au e s h me wh c a e n R A d gt i au e s h mea d o p t as a g
维普资讯
第2 5卷 第 6期 20 0 8年 6月
计算机 应 用与软件
Co u e p iai n n ot a e mp trAp l t s a d S f r c o w
Vo . 5 No. 12 6
Jn 0 8 u .2 0

M nr ie 对前 向签名进行 了形式化定义 , 出了一套系统公钥保持 提
0 引 言
数字签名技术作 为信 息安全领 域的一项 重要技术 , 当今 在
不变 , 私钥不断更新 的前 向数字签 名方 案。此后文献 [ 和文 4] 献[] 5 根据此方案分别提 出了一种 基于椭 圆曲线 密码体制 的前 向的数 字签名方案和基 于 E G ma 的前 向数字签名方案 , 文 La l 但 献[ ] 6 和文献[ ] 7 分别指 出 了上述 两种方案 不是真正 的前 向更 新的签名方案 , 并提 出了新的可前向更新的签名方案。
的信息时代所起到的作用 越来越 大。特别 在 电子商 务领域 , 数

基于RSA密码体制的门限代理签名方案

基于RSA密码体制的门限代理签名方案

中 圈分类 T 39 号; P0・ 2
基 于 RS 密码 体 制 的 门限代 理 签名 方案 A
黄梅娟
( 鸡文理 学院数学系 ,陕西 宝鸡 7 1 1) 宝 2 0 3 摘 要 :为解决现有 门限代理 签名方案存在的安全隐患 ,结合离散对 数问题 ,提 出一个基于 RS 密码体制的门限代理签名方案。理论分 A
第3 8卷 第 8 期
V0 . 8 13






21 0 2年 4月
Aprl 201 i 2
N O. 8
Co utrEn ne rng mp e gi e i
安全 技术 ・
文章编号:1 0 48 02 8 00— 2 文献标识 0 —32( 1 o— 15 0 0 2 ) 码:A
ofp e i u A— s d t r s o d p o y s g t r c e . a y i e u t ho t a h e s he a e it h rg n l ine ’ i s d ra t c r v o s RS ba e h e h l r x ina u e s h me An l ss r s ls s w h t e n w c me c n r s s e o i i a g rS n i e t k t t s a a d t e p o y sg e s o p r c ta k.Be i e ,t e n w s he s t fe n n r p d a i n e i a l y e o n z b l y a d t e e u iy n h r x i n r ’c ns ia y a t c sd s h e c me a ii s o — e u i t ,v rf bi t ,r c g ia ii n o h r s c rt s o i i t r q ie n s An st d n a e fsmp iiy o i n n r c s , n w o e u r me t . d i ha a va t g so i lct fsg i g p o e s a d l c mmu i a i n . t he o n c to s

简析RSA数据加密算法的分析与改进

简析RSA数据加密算法的分析与改进

简析RSA数据加密算法的分析与改进摘要:RSA加密算法中存在着大素数查找的问题,导致RSA运算速度缓慢。

本文利用小素数筛值法、偶数排除法、小素数整除法等方法对伪素数进行了初步的剔除,然后利用米勒-拉宾法来进行素数的检测,从而大大地改善了对素数的探测效果。

实验证明,与传统Miller-Rabin方法比较,该方法在较短的时间内产生大素数,而不是大素数的几率低于0.1%。

因此,RSA的加密速度和RSA的可操作性都得到了改善。

关键词:RSA数据加密算法改进引言:当前,信息化已成为社会发展的中心趋势,它作为一种重要的战略资源,随着互联网的发展突破了传统的空间和区域概念,使真正意义上的全球信息化逐渐呈现在我们的面前,但由于互联网的互联性、共享性和可开发性,假冒、篡改、泄露等一系列问题也需要我们去正面认识与解决。

因此,网络时代确保信息安全始终是一个重要的课题。

为了保障网络中的数据安全性,信息加密技术一定是最主要且最基础的保护方式。

在大多数情况下,只有通过加密技术才能进一步确保网络中的数据通信安全。

为了达到对资料数据的加密处理,一般可以采用多种加密算法技术。

目前,已公布的加密算法主要有DESRC4和FEAL-N等,RSA是在1977年由RSA、AdiShamirh和LenAdleman三位科研人员在美国麻省理工大学开发的,而RSA命名是基于三个开发者的姓名组合和零知识证明算法等密钥算法所命名。

在这些算法中,RSA算法是综合效果最佳的,对于它的普遍应用,以及更多被证实的安全性测试,本文都将针对此进行更深入的研究和完善,从而尽可能再提高它的性能,使RSA算法具备更佳的可操作性。

1公开RSA加密算法RSA加密属于公开密钥加密算法,它自身具有很强的代表性,对于密钥来说,不论是加密,还是解密,在关联中都存在着些许的差异。

在公开密钥算法里,加密密钥是透明化的,而对于此,解密密钥就具备鲜明的私有性。

众所周知,对于公钥和私钥,在被包含的RSA加密算法里,它们具备对数据进行加密的时效性,理论上没有任何限制;而另一个关键在于对应的解密过程,无法从根本上进行密钥的相互的推导,那么在某种程度上就能更好地解决在传输过程中因密钥丢失而造成的安全隐患。

一种有效的RSA算法改进方案

一种有效的RSA算法改进方案
r s l s o h t te d c y t n s e d a d s c rt e e f RS a e b e u sa t l i r v d T e v ra t c n b e u t h w t a h e r p i p e n e u y lv l o A h v e n s b tn i l mp o e . h a n a e s o i ay i e ce t mp e n e n p r ll n h a al l mp e n ain o e v r n n mu i o e d v c s c n f r e mp o e t e i f in l i lme td i aa e d t e p r l l me tt ft ai t h — r e ie a u t ri r v y l a ei o h a o c h h

要 :S R A算 法的解 密性能 与大数模 幂运 算的实现效率有 着直接 的关 系。提 出一种 R A算 法的 改进 方案 , S 通
过 将 R A 解 密 时 的 一 些 运 算 量 转 移 到 加 密方 , 且 运 用 多素 数 原 理 使 得 解 密 时 大 数 模 幂 运 算 的 模 位 数 和 指 数 位 数 减 S 并 小 。 实验 结 果 表 明 该 方 案 不 仅 提 高 了 R A 密码 系统 的安 全 性 , 且 提 升 了 R A 密 码 系统 解 密 的 性 能 , 该 方 案 易 于 S 而 S 且 并 行 实现 , 可使 得 基 于 多核 平 台的 R A 系统 的 性 能 得 到 进 一 步 提 升 。 S
第3 O卷 第 9期
21 0 0年 9月
计 算机 应 用
J u n lo mp trAp l a in o r a f Co u e p i t s c o

ISRSAC_上基于身份的代理环签名方案设计

ISRSAC_上基于身份的代理环签名方案设计

第31卷第3期北京电子科技学院学报2023年9月Vol.31No.3JournalofBeijingElectronicScienceandTechnologyInstituteSep.2023ISRSAC上基于身份的代理环签名方案设计袁煜淇㊀刘㊀宁㊀张艳硕北京电子科技学院,密码科学与技术系,北京市㊀100070摘㊀要:数字签名作为核心密码技术之一,对数据安全保护起着重要作用㊂代理环签名是一种兼具环签名和代理签名两者功能的特殊类型的数字签名,适用于对用户身份信息有较高保护需求的领域㊂RSA作为数字签名的基础算法之一,其安全性随着量子计算的快速发展而遭受威胁㊂2018年,M.Thangaval等人在RSA的基础上提出ISRSAC算法,该算法通过增加因式分解复杂性并引入随机数实现对传统RSA安全性的改进㊂在赵等人基于身份及RSA的代理环签名的基础上做出了改进,结合更安全的ISRSAC算法设计并提出了一个基于身份的代理环签名方案,并对方案的正确性及安全性展开分析,同时与其他方案进行对比说明,结果表明该方案具有强不可伪造性㊁匿名性等,能够有效保护授权信息,在匿名电子投票等领域具有很好的现实意义和应用价值㊂关键词:ISRSAC;身份基签名;代理环签名;安全性中图分类号:TP309㊀㊀㊀文献标识码:㊀㊀A文章编号:1672-464X(2023)3-62-77∗㊀基金项目:中央高校基本科研业务费专项资金资助(328202226)㊁ 信息安全 国家级一流本科专业建设点和国家重点研发计划基金资助项目(项目编号:2017YFB0801803)∗∗㊀作者简介:袁煜淇(2000-),女,研究生在读,网络空间安全专业㊂E⁃mail:1210346807@qq.com刘宁(1999-),女,研究生在读,网络空间安全专业㊂E⁃mail:1724916925@qq.com张艳硕(1979-),男,通信作者,副教授,博士,硕士生导师,从事密码数学理论研究㊂E⁃mail:zhang_yanshuo@163.com1㊀引言1 1㊀研究背景及意义数字签名技术在数据安全和隐私保护中发挥着尤为重要的作用,大部分签名算法是基于公钥密码体制的,其中经典算法RSA是1977年由Rivest等[1]提出的,其安全性依赖于大整数分解困难问题㊂但随着量子计算机的出现,其安全性遭受威胁㊂不断有学者提出以RSA为基础的变种算法,以改进其安全性㊂2015年,Arora等[24]通过添加额外的第三素数到公私钥的构成中以增加参数n因子分解的复杂性,并提出了一种加快整个网络的数据交换过程中RSA算法实现的改进形式,但容易受到选择密文攻击㊂2016年,Mustafi等[25]提出利用双变量双射函数的优化方案㊂2018年,Thangavel等[2]提出了 用于云数据机密性的改进RSA安全密码系统(ISR⁃SAC) ,同时证明ISRSAC算法的安全性高于RSA㊂同时,随着技术发展衍生出大量新型应用场景,传统数字签名技术所实现的功能无法满足实际应用需求,故学者们不断提出特殊类型的数字签名以适应使用场景,代理环签名正是其中之一㊂1996年,Mambo等[3]提出代理签名的概念第31卷ISRSAC上基于身份的代理环签名方案设计㊀以满足签名权可授权委托的使用需求㊂2001年,Rivest等[4]提出环签名的概念,主要思想是可实现以匿名方式发布可靠信息㊂2003年,Zhang等[5]提出代理环签名的概念,结合代理签名和环签名的功能,满足了原始签名人签名权的委托代理及身份匿名的隐私保护需求,能够有效解决代理签名者的隐私保护问题㊂在上述基于RSA的改进算法及具备特殊功能的签名方案的研究背景下,讨论研究基于新型算法构造的具有特殊性质的签名方案,对密码技术应用于诸如电子现金㊁电子投票㊁匿名通信等对用户身份隐私保护具有较高要求的领域有重要的理论意义和实用价值㊂1 2㊀国内外研究现状ISRSAC算法是在公钥密码体制下以传统RSA算法为基础的改进安全性的新型算法,而数字签名的安全性极大程度依赖于其核心算法的安全性,故基于ISRSAC构造的数字签名相比于基于传统RSA算法的签名方案而言,具有更高的安全性㊂2015年,Thangavel等[6]提出了ESRKGS算法,该算法将RSA中的大整数分解由两个素数改进为四个素数,增加了破解难度㊂2018年,Thangavel等[7]再次提出了ISRSAC算法以改进了Lvy等人指出的缺陷,进一步增强方案的安全性㊂2021年,Yang等[8]构造了基于ISRSAC的数字签名方案,在此基础上分别设计了代理签名方案㊁广播多重签名方案和有序多重签名方案㊂2022年,刘等[9]在Yang等人的基础上,设计了基于ISRSAC的按序代理多重签名以及广播代理多重签名方案㊂同年,张等[10]基于ISRSAC算法构造了一个环签名方案,并证明了一系列安全性质㊂目前,不断有学者以ISRSAC为基础构造出适用于不同场景的数字签名方案,将该算法的安全性优势与数字签名技术结合,并研究讨论其在各领域上的应用㊂代理环签名的概念是Zhang等[5]人在2003年提出的,将代理签名和环签名两者的功能特性结合,在实现签名权委托代理的同时有效保护了代理签名人的匿名性㊂2004年,Cheng等[11]首次提出基于身份的代理环签名,简化了公钥证书管理㊂2008年,Schuldt等[12]人提出了一个基于身份的代理环签名方案㊂2009年,陈等[13]人提出了基于RSA的代理环签名方案㊂2014年,Asaar[14]给出了基于身份的代理环签名定义及其安全模型,证明了基于RSA假设的随机预言机模型下身份基代理环签名方案是安全的㊂2015年,张等[15]基于双线性对运算和离散对数的困难性问题,提出了基于身份的代理签名㊂2018年,赵等[16]提出了基于身份及RSA的简短代理环签名方法,缩短密钥及签名长度以提高计算效率㊂2019年,Liu等[17]提出了一种高效的车载代理环签名方案㊂2022年,袁等[18]通过对SM2算法进行改进,提出了一种高效的门限环签名方案㊂1 3㊀主要工作及组织结构本文在文献[16]的基础上做出研究,设计并提出了一个ISRSAC上基于身份的代理环签名方案㊂在随机预言模型下,基于ISRSAC的方法被证明是安全的㊂对于本文在ISRSAC算法基础上提出的基于身份的代理环签名方案设计,首先在方案构造上是基于公钥密码体制,相比于以往基于双线性对来构造身份基代理环签名的方法做出了创新;同时,方案的安全性与构成代理环的成员数量无关,实现了强不可伪造性;此外,引入安全性高于RSA的ISRSAC算法,比现有的基于身份的代理环签名安全性更高㊂最后,对方案计算代价进行研究分析,并结合其他方案做出对比说明,进一步突出方案的计算实现的效率㊂本文主要内容安排如下:第1节,主要介绍论文研究的背景意义,概述公钥密码体制下的数字签名技术发展现状,并对ISRSAC算法和代理环签名国内外研究现状进行阐述㊂第2节,围绕设计ISRSAC及基于身份的代理环签名方案过㊃36㊃北京电子科技学院学报2023年程中涉及到的密码学知识进行介绍说明㊂第3节,本节介绍了方案设计的相关知识和方案设计的具体内容㊂第4节,对方案的正确性及安全性进行进一步分析及对比说明㊂第5节,对本文主要工作和成果进行总结概述㊂2㊀基础知识㊀㊀本节将引入相关指标说明ISRSAC算法的安全性高于RSA㊂再依次介绍基于ISRSAC的一般数字签名㊁环签名以及代理环签名方案㊂2 1㊀ISRSAC算法的安全性ISRSAC是以RSA为基础的改进算法,通过强化大整数分解的复杂性,并引入随机数,使得时间复杂度这一指标随着算法复杂程度增加而增大㊂具体说明如下:(1)强化大整数分解难题㊂对于大整数N的生成,由RSA中两个大素数p,q相乘,改进为两个大自然数p-1,q-1和两个大素数相乘,增加了因式分解的难度㊂因而现有的攻击方法通过因式分解求得私钥的时间复杂度指标增大㊂(2)引入随机数增大攻破难度㊂ISRSAC算法中在私钥生成过程中定义了一个新的安全函数α(n),同时引入了一个随机数r以生成α(n)㊂因此,即使攻击者破解得到p,q,但由于r的随机性,也使攻击者无法破解得到私钥d㊂由上述两方面可以明确,ISRSAC在理论上大大提升了算法破解的时间复杂度,使得其安全性远高于传统RSA,该结论也在Yang等[8]人的文章中得到证明㊂2 2㊀基于ISRSAC的数字签名方案该签名算法中,使用ISRSAC生成公私钥对㊂算法流程分为三个阶段:密钥生成算法㊁签名生成算法㊁签名验证算法㊂具体如下:(1)密钥生成算法:随机选取大素数p,q且pʂq,p,q>3;计算n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q;随机选取整数r,其中r满足条件p>2r<q,再计算得到α(n)=(p-1)(q-1)(p-2r)(q-2r)2r;选取公钥e,其中1<e<α(n),gcd(e,α(n))=1;计算私钥d,其中d㊃eʉ1(bmodα(n))㊂综上,确定公钥(e,m)和私钥(d,n)㊂(2)签名生成算法:假设明文为M,哈希函数为H,哈希值为H(M)㊂私钥为(d,n),计算SʉH(M)dbmodm作为H(M)的签名㊂(3)签名验证算法:验证消息M上的签名S,使用同一哈希函数计算H(M),用公钥(e,m)验证H(M)ʉSebmodm是否正确㊂如果等式正确,则接受签名㊂2 3㊀基于ISRSAC的环签名方案2022年,张等人提出一个基于ISRSAC的环签名方案,这一方案主要包含三个算法:密钥生成算法㊁环签名生成算法㊁环签名验证算法㊂(1)密钥生成算法与基于ISRSAC的一般数字签名方案一致,使用ISRSAC生成公私钥对㊂(2)环签名生成算法签名者通过随机n-1个用户的公钥,以及自己的公钥形成一个公钥环L={P1,P2, ,Pn},其中Pi=(ei,mi),i=1,2, ,n,签名者为其中第π(1ɤπɤn)个用户,再利用自身私钥(dπ,nπ)和公钥环L通过下列算法生成对消息M的环签名:计算Sπ=H1(M)dπ㊃ᵑni=1,iʂπH1(M)-ei2(bmodm);Si=H1(M)eπei(modm),输出关于M的环签名(S1,S2, ,Sn)㊂(3)环签名验证算法验证者收到消息Mᶄ及环签名值(S1ᶄ,S2ᶄ, ,Snᶄ)后进行验证:计算H1(Mᶄ),ᵑni=1Sᶄiei;判断ᵑni=1SᶄieiʉH1(Mᶄ)(bmodm)是否成立㊂2 4㊀基于ISRSAC的代理环签名方案基于ISRSAC算法的代理环签名方案分为㊃46㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀四个阶段:系统建立㊁用户密钥生成阶段㊁签名阶段以及验签阶段㊂(1)系统建立:通过ISRSAC算法生成公私钥对分别为(e,m),(d,n);选择两个Hash函数:H1:{0,1}∗ңZm∗,H2:{0,1}∗ң{0,1}a;公开系统参数(m,e,H1,H2),CA将私钥(d,n)作为主密钥㊂随机生成一些素数作为H1函数,本方案选择SM3函数作为H2函数㊂(2)用户密钥生成阶段1)独立用户密钥生成㊂CA根据每个用户的身份生成唯一编号ID:ID=H1(身份信息)作为每个用户公钥pk,S为用户ID集合:(ID1,ID2, ,IDn)ɪS;CA计算用户私钥sk=(ID)dbmodn并以安全方式发送给用户㊂用户收到密钥后通过IDʉ(sk)ebmodm进行验证㊂上述用户密钥生成过程可由一个CA单独完成,虽然用户信任CA,但实际应用中由于CA知道每个用户的密钥,具有过大权限则不能对它进行合理约束㊂2)联合用户密钥生成㊂为此在设计方案时由多个独立的CA联合生成密钥,通过多个分密钥联合生成用户密钥:Did=Did(1)+Did(2)+Did(3)+, +Did(n),可有效约束CA㊂具体方案如下:每个分CAi选择整数ei,满足,gcd(ei,α(n))=1,计算di:ei㊃diʉbmodα(n),给定初始值:C0=ID,e=1㊂随机选择一些CAi,1ɤiɤk(k为CA个数),计算:Ciʉ(Ci-1)dibmodn,eʉei㊃ebmodα(n)㊂得到:skʉCkʉ(ID)dbmodn,d=ᵑiɪCAdi(bmodα(n)),IDʉ(sk)ebmodm,eʉᵑiɪCAei(bmodα(n))㊂(3)签名阶段原始签名者A需要向环内成员签名时,A将消息msgA(R M L)发送给CA,即包括自己身份㊁期限的授权信息R,需要签名的消息集M和代理签名成员集合信息L={ID1,ID2, ,IDn}㊂CA收到消息后,生成含有A信息的密钥,并通过安全的方式发送给A:SAʉ(H2(R M L))dbmodn㊂A在收到来自CA的密钥后,通过SAeʉH2(R M L)bmodm验证㊂确认无误后,A随机选择整数rɪuZ∗m,计算代理信息:tʉrebmodm,sʉSA㊃r(H2(t M))bmodm,并发送给环内授权成员IDɪL㊂环内代理成员IDsɪL接收到A发来的代理信息(s,t)后进行验证:seʉH2(R M L)㊃tH2(t M)bmodm㊂确认无误后,代理L签署信息㊂首先对所有的iɪ{1,2, ,n}ɡiʂs,随机均匀㊁一致的选择riɪuZ∗m,再计算:tiʉriebmodm,hi=H2(IDi,ti,M,L)㊂随机选择一个rsɪuZ∗m,计算tsʉrseᵑiʂs(IDi)-hibmodm,如果有(ts=1)ᶱ(ts=ti,iʂs),则重新计算ti,hi,否则计算hs=H2(IDs,ts,M,L)㊂IDS用A的授权信息s生成自己的代理密钥skᶄsʉskshs㊃sbmodm㊂计算σʉskᶄsᵑni=1ribmodn㊂最后生成代理环签名:Ω={R,M,L,t,t1, ,tn,h1, ,hn,σ}(4)验签阶段对于签名的每个接收者首先选择IDiɪL验证:hi=H2(IDi,ti,M,L),i=1,2, ,n,进而验证:σeʉᵑ1ɤiɤn(tiIDihi)㊃tH2(t M)H2(R M L)bmodm㊂如果两者相等,则说明签名验证结果正确,反之错误,拒绝签名㊂3㊀ISRSAC上基于身份的代理环签名方案㊀㊀本节设计并提出了一个ISRSAC上基于身份的简短代理环签名方案,该方案包括6个算法:密钥生成(Generation)㊁提取(Extract)㊁代理委托(Delegation)㊁验证委托(VerifyDelegation)㊁签名(Sign)和验证(Verify)㊂该方案能够有效缩短密钥和签名长度,提高了计算效率;在实现上不受代理密钥暴露攻击的影响,具有强不可伪㊃56㊃北京电子科技学院学报2023年造性㊂3 1㊀符号说明注意:如果算法A是(t,qg,qp,qe,qe,qprs,e)有界的,即算法的运行时间最多为t,使得最多在时间qg查询预言机G,在时间qp查询随机预言机P,在时间qe查询Extract,在时间qd查询ProxyDelegation和在时间qs查询Sign预言机,可以至少以ε的概率赢得游戏㊂表1㊀符号说明符号含义说明xƔѳX表示分配给x的操作X是一个集合x是从集合X均匀随机选择的一个元素x1 x2 xn表示一个编码为字符串组成的对象的有效回收x1,x2, xn,是对象#空字符串|x|表示x的比特长度θѳC(x1, xn)表示算法C输入x1, 输出到θ3 2㊀相关知识(1)ISRSAC假设ISRSAC密钥生成器KGisrsac是生成四元组(n,m,e,d)的算法,其中n=p㊃q㊃(p-1)㊃(q-1),m=p㊃q且e㊃dʉbmod(α(n)),其中α(n)=(p-1)(q-1)(p-2r)(q-2r)2r㊂算法B打破KGisrsac和ISRSAC单向性的有利条件定义为:Advow-isrsacKGisrsac(B)=pr(n,m,e,d)ѳKGisrsac;γѳZNy=γebmodmγѳB(n,m,e,y)éëêêêêùûúúúú即B打破了ISRSAC相对于KGisrsac的(tᶄ,εᶄ)的单向性,如果B以tᶄ的时间运行,并且有利条件为Advow-isrsacKGisrsac(B)ȡεᶄ㊂(2)基于身份的签名[13]在签名认证的过程中,将主体公钥与之身份信息相关联是十分有意义的,基于此,Shamir[19]提出了一种基于身份的公钥密码体制㊂密钥生成算法为:公钥=H(身份信息);私钥=F(主密钥,公钥)㊂该密钥生成与传统公钥密码体制相反,该计算过程无法公开,只限于特定的主体,以实现对计算出的密钥的保密㊂在该公钥密码体制中,用户可以使用身份信息等作为公钥,再用公钥生成私钥,此即为基于身份的公钥密码体制㊂在Shamir的基于身份的签名方案中包括4步算法[20]㊂建立:这个算法由TA(可信机构)运行来生成系统参数和主密钥;用户密钥的生成:这个算法也由TA执行,输入主密钥和一条任意的比特串idɪ{0,1}∗,输出与id对应的私钥;签名:一个签名算法㊂输入一条消息和签名者的私钥,输出一个签名;验证:一个签名的验证算法㊂输入一个消息㊁签名对和id,输出True或False㊂(3)安全模型Yu[21]等提出对基于身份的代理环签名方法选择身份攻击,存在A1,A2,A3三种类型的潜在敌手㊂安全模型中需要满足代理签名者身份的不可伪造性并且对抗适应性选择消息可实现存在性不可伪造㊂若方案对2㊁3型敌手安全,则对1型敌手也是安全的㊂在挑战者C和敌手A之间开始以下游戏,验证方案对A1㊁A2㊁A3敌手的不可伪造性㊂C运行算法ParaGen,用安全参数l获得系统参数para和主密钥(mpk,msk),然后发送主密钥给A㊂A将密钥与各身份IDu对应并运行KeyExtract算法,C将私钥xu返回给敌手㊂敌手A可以基于消息空间描述符ω上原始签名者的身份ID0和身份集ID请求授权,ID是ID0在ω上签名权委托代理的身份集㊂C运行KeyExtract得到x0并返回σ0:σ0ѳDelegationGen(Para,mpk,ID0,ID,ω,x0)㊂A可请求message有关于ID到C的代理环签名㊂此外,敌手A为ω和ID提供了一个具有㊃66㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀身份ID0的原始签名者的授权σ0,该授权由DelegationGen算法得到或由A产生㊂C检查σ0是一个有效授权,在授权中具有身份ID0的原始签名者将ω的签名权授权给具有身份集ID的委托代理,满足ID⊆ID,messageɪω㊂若上述不成立,返回#;否则,C运行KeyExtract算法获得对应于身份IDj的一个代理签名者密钥xj,IDjƔѳID,再运行ProxyRingSign算法生成代理环签名θ并返回给敌手A㊂最后,输出一个关于原始签名者身份ID0和代理签名者身份集ID∗的基于身份的有效代理环签名(message∗,ω∗,θ∗),其中ID∗⊆ID∗,ID(是损坏的代理签名者的集合,并赢得游戏㊂对于A=A1,E0:ID0∗和ID∗中所有身份未被请求给Extract查询机,即A1没有密钥对应于它们;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询;E2:m∗没有被要求作为身份集ID∗下的一个Sign查询㊂敌手A1定义为[14]:如果没有有界的(t,qg,qe,qd,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A2,E0:ID0∗没有被要求作为一个Extract查询;E1:(ω∗,ID∗)对没有被要求作为身份ID0∗下的一个ProxyDelegation查询㊂敌手A2定义为:如果没有有界的(t,qg,qe,qd,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qd,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂对于A=A3,E0:ID∗中每个身份都没有被要求作为一个Extract查询;E1:message没有被要求作为身份集ID∗⊆ID∗下的一个Sign查询㊂敌手A3定义为:如果没有有界的(t,qg,qe,qs,ε)敌手A赢得游戏,基于身份的代理环签名(t,qg,qe,qs,ε)存在不可伪造性抵抗自适应性选择消息(权证)和选择身份攻击㊂3 3㊀方案设计根据基于ISRSAC的代理环签名以及基于身份的签名的构造方法,本节设计并提出了ISRSAC上基于身份的代理环签名方案㊂其中,ID0表示每个原始签名人身份,ID和ID表示委托代理的身份集及每个子集㊂假设:委托代理中代理签名者的身份数量为n(nȡ2);ID的每个子集ID大小为z(zȡ2)㊂ISRSAC上基于身份的代理环签名方案由6个算法构成,分别为:密钥生成(Generation),密钥提取(Extract),代理委托(ProxyDelegation),代理验证(VerifyDelegation),签名(Sign)和验证(Verify),各算法的具体流程如下㊂(1)系统参数及密钥生成(Generation):输入系统参数l,输出系统参数Para和系统主密钥(msk,mpk),即:(Para,(msk,mpk))ѳParaGen(l)㊂系统参数如下:假设l0,l1,lNɪN,且P0:{0,1}∗ң{0,1}l0,P0:{0,1}∗ң{0,1}l1,G:{0,1}∗ңZ∗N是随机预言机㊂设KGisrsac是ISR⁃SAC密钥对产生器,输出四元组(n,m,e,d),使α(n)>2ln,e的长度大于l0和l1位㊂密钥分配中心KGisrsac生成ISRSAC参数(n,m,e,d)㊂发布mpk=(e,m)作为主密钥,并保持主密钥msk=(d,n)的秘密㊂因此,公共参数是Para=(P0,P1,G)和mpk㊂(2)密钥提取(Extract):输入Para,mpk主密钥msk=d和用户身份的IDu;输出身份IDu相应的密钥(密钥分配中心计算xu=G(IDu)dbmodm,并将安全且经过身份验证的通道上的用户密钥xu发送给身份为IDu的用户),即xuѳExtract(Para,mpk,msk,IDu)㊂㊃76㊃北京电子科技学院学报2023年(3)委托代理(ProxyDelegation):若身份ID0的原视签名人决定将其签名权委托给具有身份集ID的委托代理,则采用该算法㊂输入Para,mpk,ID0,ID的原始签名者的密钥x0,信息空间描述符ωɪ{0,1};输出一个授权σ0,即σ0ѳProxyDelegation(Para,mpk,ID0,ID,x0)㊂系统参数如下:设ω是一个信息空间描述符,具有身份ID0的原始签名者愿意将他的签名权委托给具有身份集ID的代理签名组,授权σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),其中r0ѳZ∗N且c0=P0(R0 ω ID)㊂然后,原始签名者发布授权σ0(ω,ID)㊂(4)代理验证(VerifyDelegation):输入Para,ID0,ID,ω,σ0,如果σ0是一个有效的授权,输出为1,否则为0㊂即{0,1}ѳVerifyDelegation(Para,mpk,ID0,ID,ω,x0)㊂系统参数如下:假设原始签名人的身份ID0,代理签名人的身份集ID,信息空间描述符ω和授权σ0,如果关系s0e=R0G(ID0)c0适用,验证者检查,其中c0=P0(R0 ω ID)㊂如果结果如上所述,该授权是有效的;否则,该授权无效㊂(5)签名(Sign):输入Para,mpk至少包含两个身份的代理签名者的身份集ID,ω的一个有效授权σ0和ID满足ID⊆ID,代理签名者的密钥xj,对应身份IDjƔѳID⊆ID和消息messageɪω㊂输出是基于身份的代理环签名θ㊂即θѳSign(Para,mpk,ID0,ID,ID,(message,ω,σ0),xj)㊂系统参数如下:具有身份IDjƔѳID⊆ID(jɪ{0, ,z-a})的代理签名者可以匿名签名消息messageɪω,代表具有如下所述的密钥xj和有效授权σ0的且身份为ID0的原始签名者㊂1)代理签名者IDj选择rƔѳZ∗N,计算R=rebmodm,cj+1=P1(R ID ID IDj ω message)㊂2)对于j-1ɤuɤj+1代理签名者IDj选择rƔѳZ∗N并且计算Ru=rebmodm和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)㊂3)代理签名者IDj计算rj=rsuxjcjbmodm㊂4)在消息message和消息空间描述符ω上,基于原始签名者的身份ID0和代理签名者的身份子集ID⊆ID,代理环签名是θ=(R0,r0, ,rz-1,C0)㊂(6)验证(Verify):输入Para,ID0,ID,ID,ω,message,θ,如果θ是一个基于身份的有效代理环签名,输出是1,否则为0,即{0,1}ѳVerify(Para,mpk,ID0,ID,ω,message,θ)㊂系统参数如下:鉴于原始签名者的身份ID0和代理签名者的身份集ID及ID,消息空间描述符ω,消息message,代理环签名θ,验证过程如下:1)如果messageɪω检查;否则,停止;2)如果ID⊆ID,检查;否则,停止;3)对于0ɤuɤz-1,计算Ru=re和cu+1=P1(RuG(IDu)cuR0G(ID0)c0 IDID IDu ω message)接受签名当且仅当cz=c0,其中c0=P0(R0 ω ID)㊂4㊀ISRSAC上基于身份的代理环签名方案分析4 1㊀正确性分析下面将对上述方案进行正确性分析,方案的正确性可验证如下:㊃86㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀由rj=rsuxjcjbmodm,R=rebmodm,xu=G(IDu)dbmodm,授权信息σ0=(R0,s0)=(r0ebmodm,r0x0c0bmodm),可以得到验证等式rjeG(IDj)cjR0G(ID0)c0(bmodm)=rs0xjcjæèçöø÷eG(IDj)cjR0G(ID0)c0(bmodm)=res0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=Rs0exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0x0c0)exjecjG(IDj)cjR0G(ID0)c0(bmodm)=R(r0e)x0c0exjcjeG(IDj)cjR0G(ID0)c0(bmodm)=RR0G(ID0)dc0eG(IDj)dcjeG(IDj)cjR0G(ID0)c0(bmodm)=R(bmodm)由上述等式可验证方案的正确性㊂4 2㊀安全性分析下面对方案的安全性进行具体分析,证明该方案中代理签名者身份隐私具有无条件匿名性并在随机预言模型下该方案具有强不可伪造性㊂在证明过程中,若ISRSAC上基于身份的代理环签名方案对2㊁3型敌手是安全的,那么它对1型敌手也能确保安全,为了证明所构造的方案具有不可伪造性,需要证明他是不可伪造的敌手A2,A3㊂引理4 1[22]首先介绍安全模型证明过程中运用的分裂引理㊂假设A⊂XˑY,使得Pr[(x,y)ɪA]ȡδ㊂对任何α<δ,定义B={(x,y)⊂XˑY|PryᶄɪY[(x,y)ɪA]ȡδ-a}和B-=(XˑY)B,有如下声明:(1)Pr[B]ȡα;(2)∀(x,y)ɪB,PryᶄɪY[(x,y)ɪA]ȡδ-α;(3)Pr[B|A]ȡαδ㊂定理4 2若ISRSAC函数与KGisrsac的关联是(tᶄ,εᶄ)单向的,并且εᶄȡε22(1-2-l0)4(qP0+qd),tᶄɤ2(t+(qG+qE+2qd)te),其中ε2ȡε4qE-qd(2qd+qP0)2-lN-2-l0,在Z∗N中te是一个指数的时间,qG,qP0,qE,qd分别是查询预言机G,P0,Extract,ProxyDelegation的次数,那么该方案对敌手A2是(t,qG,qP0,qd,ε)安全的㊂证明:对敌手A2,构造算法B,输入(n,m,e,y=γe)运行A2,输出是γ=y1ebmodm㊂算法B运行A2,在输入mpk=(e,m)和回答A2的预言机查询时,由于A2拥有所有代理签名人的密钥,可以模拟代理环签名,因此预言机访问Sign是没有必要的,消除了方案的不可伪造性㊂假设算法CA2保持最初的空关联组T[㊃]和TP0[㊃],并回答如下A2的预言机查询㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],B返回它的值;否则,B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,并返回TP0[R0 ω ID]给A2㊂(2)G(IDu)查询:如果T(IDu)=(b,xu,Xu),B返回Xu㊂如果这项尚未定义,则选择xuƔѳZ∗N,并且b=0的概率是β,b=1的概念是1-β㊂如果b=0,则B设置Xu=xeu;如果b=1,设置Xu=xeuybmodm㊂它存储T[IDu]ѳ(b,xu,Xu),并返回Xu给A2㊂(3)基于IDu的Extract查询:算法B查找T[IDu]=(b,xu,Xu),如果这项尚未定义,它执行查询G(IDu)㊂如果b=0,则B返回xu;否则,设置badPEѳtrue,中止A2㊃96㊃北京电子科技学院学报2023年执行㊂(4)基于身份ID0的(ω,ID)ProxyDelegation查询:算法B执行查询G(ID0),查找T[IDu]=b,xu,Xu㊂如果b=0,则B执行ProxyDelegation算法模拟ID0的授权,因为B知道原始签名者的密钥x0㊂如果b=1,B首先选择c0Ɣѳ{0,1}l0和s0ƔѳZ∗N,并计算R0ѳs0eX0-C0bmodm㊂如果TP0[R0 ω ID]已经被定义,则B设置badDGѳtrue并且中止;否则,设置TP0[R0 ω ID]ѳc0,返回σ0=(R0,s0,c0)给A2㊂最后,假设如果B不中止签名模拟,在时限t内,至少以概率ε,用原始签名者身份ID0对消息m和授权ω,A2输出一个有效的伪造(R0,s0,c0)㊂首先,计算B不中止回答A2的查询的概率下界,需要计算η=Pr[ badPE]Pr[ badDG| badPE],其中作为A2对Extract和ProxyDel⁃egation分别查询的结果,事件badPE和badDG表明B中止签名模拟㊂这些概率计算如下:1)要求1:Pr[ badPE]ȡβqE㊀㊀证明:B在A2的Extract查询中中止的概率为Pr[ badPE]㊂对Extract查询,当b=1时,B以概率1-β中止且badPEѳtrue㊂故在一个Extract查询中Pr[ badPE]为β,且对于大部分qE的查询,该概率值至少是βqE㊂2)要求2:Pr[ badDG| badPE]ȡ1-qd((qd+qP0)2-lN)-q2d2-lN㊀㊀证明:事件 badPE和 badDG是独立的,故Pr[ badDG| badPE]=Pr[ badDG]㊂在ProxyDelegation查询中,B中止的概率为Pr[ badDG]㊂当查询badDGѳtrue时,B中止,该事件的概率包含两部分,一是以前查询P0发生的ProxyDelegation模拟中(R0 ω ID)产生的概率,二是B以前在ProxyDelegation模拟中使用相同随机性R0的概率㊂前者用于qdProxyDel⁃egation查询的概率至少为qd(qd+qP0)2-lN,后者用于qdProxyDelegation查询的概率至少为q2d2-lN㊂因此,B不中止签名仿真的概率至少是ηȡβqE-qd(2qd+qP0)2-lN㊂由于伪造是有效的,因此有s0e=R0(G(ID0))c0,在原始签名者身份ID0下,A2没有要求ProxyDelegation算法授权(ω ID),并且ID0没有要求Extract查询㊂另外,G(ID0)=xe0y的概率是1-β㊂然后B为ID0查找T[㊃]以获取值x0,并以概率ε1ȡε(1-β)ηȡε(1-β)βqE-qd(2qd+qP0)2-lN返回有用的输出(R0,s0,c0,x0)㊂因此,B以概率ε1ȡε4qE-qd(2qd+qP0)2-lN返回可用的输出(R0,s0,c0,x0)㊂由于P0是随机预言机,除非在攻击期间被询问,c0=P0(R0 ω ID)事件发生的概率小于2-l0㊂而很可能在成功攻击期间查询(R0 ω ID),对预言机P0查询后生成有效伪造概率的下界是ε2ȡε1-2-l0㊂之后B使用预言机重放技术[23]解决ISRSAC问题㊂B算法采用两份A2,猜测固定参数1ɤpɤ(qP0+qd),希望p是查询(R0 ω ID)到预言机P0的索引,猜测的概率是1qP0+qd㊂算法B给出了相同的系统参数,相同的身份和相同的随机比特序列给两份A2,并返回相同的直到查询预言机第p次查询随机应答㊂对第p次查询预言机P0,B给Hash查询Pp两个随机应答c0和cᶄ0,使得c0ʂcᶄ0㊂因此,在A2从P0查询相同的(R0 ω ID)后,B获得两个有用的输出(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂利用引理1计算B返回一个有用对的概率㊂假定Γ表示A2成功执行的集合,B返回有用输出的成功概率是在空间(X,Y)上,其中X是随机位和B占用除了与预言机P0相关的随机预言机响应的集合;Y是随机预言机响应预言机㊃07㊃第31卷ISRSAC上基于身份的代理环签名方案设计㊀P0的集合㊂因此,Pr[(X,Y)ɪΓ]=ε2㊂用引理1,分裂了有关P0到(Yᶄ,c0)的随机性Y,除了结果为c0的第k次查询,Y是所有到P0不同查询的随机响应的集合㊂引理1保证Ω每个子集的存在,使得Pr[Ω|Γ]ȡγδ=12,并且对每个(X,Y)ɪΩ,Prc0ᶄ[(X,Yᶄ,cᶄ0)ɪΓ]ȡδ-γ=ε22(qP0+qd)㊂如果B用固定(X,Yᶄ)和随机选择的cᶄ0ɪ{0,1}l0重放攻击,它得到另一个成功对((X,Yᶄ),cᶄ0),使得c0ʂcᶄ0以概率ε2(1-2-l0)4(qP0+qd)㊂A2成功执行两次后,B得到((X,Yᶄ),c0)和((X,Yᶄ),cᶄ0),c0ʂcᶄ0,即以概率εᶄȡε22(1-2-l0)4(qP0+qd)得到有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0)㊂从有用对(R0,s0,c0,x0)和(R0,sᶄ0,cᶄ0,x0),B计算y的ISRSAC算法反演如下㊂由于输出是基于有效的伪造,因此se0=R0(xe0y)c0,seᶄ0=R0(xe0y)cᶄ0㊂此外,还得到x0(cᶄ0-c0)s0sᶄ0æèçöø÷e=y(c0-cᶄ0)bmodm㊂由于c0ʂcᶄ0ɪ{0,1}l0并且e是一个长度严格大于l0的素数,即e>c0-cᶄ0,因此gcd(e,(c0-cᶄ0))=1㊂使用扩展Euclidean算法,可以找到a,bɪZ,使得ae+b(c0-cᶄ0)=1㊂得出y=yae+b(c0-cᶄ0)=yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷ebmodm㊂算法B以概率εᶄ输出yax0(cᶄ0-c0)ssᶄæèçöø÷bæèçöø÷作为y的ISRSAC反演㊂算法B的运行时间tᶄ是A2的2倍,加上响应Hash查询所需的时间,qEExtract和qdProxy⁃Delegation查询的时间㊂假设ZN中l(多)次模指数运算需要te时间,当所有其他操作需要时间为零,由于每个随机预言机G或Extract查询需要的时间最多为1次指数运算,1个授权模拟需要2次指数运算,B的运行时间为tᶄɤ2(t+(qG+qE+2qd)te),证明完成㊂定理4 3若与KGisrsac相关的ISRSAC函数是(tᶄ,εᶄ)单向的,并且εᶄȡ(ε1-z2-l0)2(1-2-l0)8(qP1+qs)(qP1+qs+1),tᶄɤ2(t+(qG+qE+(2z+1)qs)te)㊂当ε1ȡε4qE-(2q2s+qsqP1)2-lNæèçöø÷,在Z∗N中te是一个指数的时间,qG,qP0,qP1,qE,q分别是预言机G,P0,P1,Extract,Sign的查询数量,那么该方案对敌手A3是(t,qG,qP,qE,qPrs,ε)安全的㊂证明:证明对于敌手A3,构造算法B,输入((e,m),y=yebmodm)运行A3,目标是输出γ=y1ebmodm㊂算法B运行A3,在输入mpk=(e,m)和应答A3的预言机查询时,打破该方法的存在不可伪造性㊂A3拥有原始签名者的私钥,故可以模拟授权,预言机访问ProxyDelegation是没有必要的㊂假设算法B保持初始的空关联数组T[㊃],TP0[㊃],TP1[㊃],并且应答A3的预言机查询如下㊂(1)P0(R0 ω ID)查询:如果定义TP0[R0 ω ID],则B返回它的值,否则B选择TP0[R0 ω ID]Ɣѳ{0,1}l0,返回TP0[R0 ω ID]给A3㊂(2)P1(RuG(IDu)cuR0G(ID0)c0 ID ID IDuω message)查询:如果定义TP1[RuH(IDu)cuR0H(ID0)c0 ID ID IDuω message],则B返回它的值;否则,B选择TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]Ɣѳ{0,1}l1返回给A3TP1[RuG(IDu)cuR0G(ID0)c0 ID ID IDu ω message]㊂㊃17㊃。

基于RSA密码体制的门限代理签名

基于RSA密码体制的门限代理签名

K eywords RSA ;proxy signature;threshold;threshold proxy signature
引 口
代理签名方 案最 早是 由 Mambo等 人提 出的[ , 在一个 代 理签名 方 案 中 ,代 理 签 名 者 可 以代 表 原 始 签名 者产 生有效 的 签名 +Kim 与 Zhang等人 分 别 独
维普资讯
第 3O卷 第 2期 2007年 2月
计 算 机 学 报
CH INESE J0URNAL 0F C0M PUTERS
Vo1. 30 No.2 Feb. 2007
基 于 RSA密 码体 制 的 门 限代 理 签 名
蒋 瀚” 徐秋亮” 周永彬
关 键 词 RSA;代 理 签 名 i门 限 ;f-I限 代 理 签 名 中图 法 分 类 号 TP309
Threshold Proxy Signature Schem e Based on RSA Cryptosystem s
JIANG Han” XU Qiu—Liang” ZHOU Yong~Bin ’
Abstract In a (£,n)threshold proxy signature scheme,the original signer delegates the power of signing messages to a designated proxy group of n m em bers. A ny t or more proxy signers of the group can cooperatively issue a proxy signature on behalf of the original signer,but(£一 1)or less proxy signers cannot.Previously,all of the proposed threshold proxy signature schemes have been based on the discrete logarithm problem ,and there has not a RSA —based schem e However。

基于RSA和ELGamal的代理签名方案

基于RSA和ELGamal的代理签名方案

字签名方案. 在数字签名过程中为了较强 的安全性, 可将这两种方案合统一起来 . 基于大整数分解问题 的R A S 签名方案, 和基于有 限域上的离散对数问题的E G m l L aa 签名方案, 只要将一个签名方案的安全性建立在两个困 难 问题的基础之上, 那么该方案的比R A S 签名方案与E G ma - L a  ̄ 名方案的安全性都高. g 基于此理论, 文献【 8 构造
第 3 卷第 4 7 期
南 Ju a fSo twest 民 ersi 学 学 a i a 然e at rlSce c diin om l o uh i v t f r ton l i u a in eE t y o N i sN t ・ o
西ห้องสมุดไป่ตู้

族大


学版
J 1 2 1 u. 0 1
Un
文 章编 号 : O32 4 (O o ・5 1 5 l0—8 32 l)4o 5— 1 0
基 于 R A和 E G ma 的代理签名方 案 S L a l
刘 翠翠,辛小 龙
f 西北大学数 学 系,陕西西安 7 0 2 ) 1 17 摘 要 :代理签名作 为一种特殊 的签名体制, 在许 多领域都有广泛 的应用前景. 此文研 究的代理签名是基于 R A 方案 S
当 D为其 中的两个因子时, D =m /( / 令 r m, 为整数), - 1
叹 = _1d ] 法上可( 立 J 1 mf , 同,证) . ) 。 方 = p 木 成
( 当 0 , 入 证(式 然 立 故 证 b = 时 代 验 水 显 成 , 得 。 ) )
22 基 于 RS . A和 E Ga l L ma 的数 字 签名方 案 I ’ 1

一种基于RSA密码体制的门限代理签名方案的设计与分析

一种基于RSA密码体制的门限代理签名方案的设计与分析

1 引言
19 年由 M. m o 96 Ma b 等人[首次提 出了代理签名方案 , 3 ] 它使得代理者在不暴露原始签名者私钥的情况下以原始签名 者的身份对消息 进行 签 名。在实 际应 用 中存在 这样 一种 情 况: 一个原始签名者指派 的代理者不止一个 , 而是由多个代理
生 的过程 中, 没有验证代理共享 的步骤 , 这使得在整个签名过 程 中, 无法察觉代理签名者 的恶意行 为。除此之外 , 该方案还 存在着代理签 名长度较长 的缺点 , 因此 不利 于在对带 宽要求
u t t i n t r sv r h r. li e sg a u e i e y s o t ma Ke wo d P o y sg a u e y rs r x i n t r ,Th e h l r x i n t r ,RSA r p o y t m r s o d p o y sg a u e c y t s se

基 于 目前并没有较完善 的基 于 R A 密码体 制 的门 限代 S 理签名方案 提出 , 提出了一种新 的基 于 R A的 门限代 理 本文 S 签名方案 , 案满 足 所有代 理 要求[ , 且方 案 具 有低 交 该方 1并 ] 互, 计算复杂度低 , 签名长度短和及时发现恶意代理签名 者的 优点。另 外 , 过结 合 M.B lr 等 人 提 出的 P S签 名 方 通 e le a S 案[ 中消息处理 的思 想使 得安全 性增 强 。本文 第 2 给 出 1 1 ] 节
维普资讯
计算机科学 20V 1 3Q 1 06 o 3N.0 .

种基 于 RS A密 码 体 制 的 门 限代 理签 名 方 案 的设 计 与分 析 )
程 曦 戚 文峰
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

An l ss a d I p o e n n a Th e h l o y S g a u e a y i n m r v me t o r s o d Pr x i n t r
S h me Ba e n t e RS c e s d o h A y t s s e Cr p o y t m
Q h a d l L me0 i h n u iC u n aI iYa i Jn C e h i
( iy n om lU i ri , iy n 6 0 0 X n a g N r a nv s y X n a g 4 4 0 ) e t
( L nom t n E gn eig U i ri ,h n zo 5 0 4 P A Ifr ai n ie r nv s y Z e gh u 4 0 0 ) o n e t
Ab t a t T i a e An lz s h ma e v r bl y f sr c : h s p p r ay e t e n u ea i t o HL s h me, n r v s h a HL s h me xs d s g r me t i L ce a d p o e t t L c e e it if u e n i b d y t e r x sg e s a n t rn sg au e . s i r v d in t r ag r h , e c e i r v d i n tr  ̄ l 。 p o y in r c n o b g in r s h i t Alo mp e s au e lo t m t s h me mp e s au e o g i h o g
名 ( 群 签 名 ) 由 n个 成 员 的组 成 的签 名 组 中 任 何 £1 ≤n 或 ; ( ≤t ) 个 或 £ 以上 成 员都 可 代 表 签名 组 进 行 有 效 签名 称 为 (。 ) 个 t 门限 n 多 重 签 名 ; 名 者 委 托 别 人 代 替 自己 签 名 称 为 代理 签 名 ; 名 签 签
增加 , 但仍 远 远 低 于其 它 门限 代 理 签 名 方 案 。
关键 词 数 字 签 名 秘 密共 享 门 限代 理 签名
L ga g 插 值 多项 式 arn e
文章 编 号 10 . 3 1 (o 6 1- 10 0 文 献标 识 码 A 0 2 8 3 一 2 o )6 0 5 - 3 一 中国 分 类号 T 3 9 P0
ag r m e p d wn t e s c r y n p a t a i t f o gn l s h me t e c c lt e c mp e i n e t e c e s lo i h t k e s o h e u t a d r ci b l y o r i a c e , a u a i o lx t u d r oh r s h me i c i i h l v y
摘 要 对 H J 方 案 的 可操 作 性 进 行 了分 析 , 明 了 H L方 案 存 在 严 重 缺 陷 。 理 签 名 者 根 本 无 法 产 生 自 己的 签 名 。 I. I 证 L 代 文
章通过修 改签 名算法对原方案进 行 了改进 , 使得 改进后 的方案仍然保持 了原 方案安全、 实用的特性 , 其计算 量 虽有 少
1 引言
Rv s和 Sa i‘ 人 于 17 iet h mr 等  ̄ 9 8年 最 早 提 出 数 字 签 名 方 案 , 随 后 许 多 学 者 对 数 字 签 名 进行 了大 量 研 究 。 然 而 在 许 多 情 况 下 , 个 文 件 有 时 需 要 多 个 人 进 行 签 名 。 时 签 名 者 需 要 委 托 一 有 别 人 代替 自己签 名 。 一 个 文 件 上 多个 人进 行 签名 称 为 多 重 签 在
t o g a e n r a e h u h h s a fw i c e s , .
Ke wo d :d g t in t r 。e r t s a n t r s o d p x i n t r ,a r n e i tr oai n fr l y rs ii sg a u s c e h r g, e h l r y sg au e lg a g ne p lt o mu a l a e i h o o
维普资讯
对一个基于 R A 门限代理签名方案的分析与改进 S
祁传 达 李 亚 梅 金 晨辉 z ( 阳师范 学院 , 南信 阳 4 4 0 ) 信 河 6 0 0 ( 解放 军信 息 工程 大 学 , 州 4 0 0 ) 郑 5 0 4
E- i: ih a d @sn .O mal q c u n a i aC r n
体制 的 门限代理签名 方案 ( 以下 称 之 为 HI. 案 ) 其 计 算 量 J方 I ,
和 通 信 量 分 别 只有 上 述 门 限代 理 签名 方 案 ( K m 方 案 等 ) 如 i 的
5 %和 8 . w n - u “u等 人 指 出他 们 提 出 的 方 案 比 其 它 门 % H agL 一 一 限 代 理 签 名 方 案 更 安 全 实 用 。 更 本 文 将 指 出 H L方 案设 计 上 存 在 严 重 的 缺 陷 .该 缺 陷 导 L 致 代 理 签 名 者 ( 12 … , ) / , , n 无法 生 成 自己 的 部 分 代 理 签 名 , = 因而 HL L方 案 根 本 无法 使 用 。 然 后我 们 对 HL L方 案进 行 了改 进 。 正 了 H L方 案 设 计 上 的错 误 。 进 后 的 方 案 仍 然保 持 了 更 L 改 原方案安全 、 实用 的特 性 。 计 算 量 虽 有 少量 增 加 , 仍 远 远 低 其 但
相关文档
最新文档