授权可撤销的有向代理签名方法

摘要

本发明公开了一种授权可撤销的有向代理签名方法，用于解决现有可撤销代理签名方法安全性差的技术问题。技术方案是包括系统建立过程、密钥提取过程、原始签名者的授权过程、授权验证过程、代理签名生成过程、代理签名验证过程、签名公开验证过程以及代理撤销过程。该方法由安全中介SEM负责验证授权和协助代理签名者生成代理签名。安全中介SEM检查签名是否在有效代理期限中，代理签名者是否在公开撤销列表中，验证有效，安全中介SEM为代理签名者发送由安全中介SEM得到的部分代理签名，代理签名者借助安全中介SEM的部分代理签名生成代理签名。反之，安全中介SEM不会为代理签名者提供部分代理签名，提高了可撤销代理签名的安全性。

主权项

1.一种授权可撤销的有向代理签名方法，其特征在于包括以下步骤：(1)系统建立过程；密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2^l，构造一个p阶加法循环群G₁和p阶乘法循环群G₂，构造一个双线性映射e:G₁×G₁→G₂，从p阶加法循环群G₁中选取生成元g，从p阶加法循环群G₁中随机选取g₁，u′，v′，u₁,u₂,…,u_n，v₁,v₂,…,v_n，构造向量u=(u₁,u₂,…,u_n)和v=(v₁,v₂,…,v_n)，n为待签名消息m的长度；密钥生成中心KGC构造并公开系统公共参数π，π构造方法为：π＝(G₁,G₂,e,p,g,g₁,u′,v′,u,v)(2)密钥提取过程；原始签名者A随机选择整数x_A∈Z_p，得到原始签名者A的私钥sk_A=x_A；代理签名者B随机选择整数x_B∈Z_p，得到代理签名者B的私钥sk_B=x_B；签名验证者C随机选择整数x_C∈Z_p，得到签名验证者C的私钥sk_C=x_C，并将私钥信息向密钥生成中心KGC提交；密钥生成中心KGC根据系统公共参数π和原始签名者A，代理签名者B和签名验证者C的私钥分别计算并公开原始签名者A的公钥代理签名者B的公钥和签名验证者C的公钥其中，Z_p为不超过大素数p的正整数集合；(3)原始签名者的授权过程；3a)原始签名者A随机选择两个整数x_A1,x_A2∈Z_p，使得x_A1+x_A2=x_A，同时随机选择两个整数r_A1,r_A2∈Z_p，并计算整数r_A=r_A1+r_A2和代理签名者B的身份其中x_A=sk_A，sk_A为原始签名者A的私钥，Z_p为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G₁的生成元；3b)原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S；σ_B和σ_S的计算方法如下：${\sigma }_B=({\sigma }_{B1},{\sigma }_{B2})=(g_1^{x_{A1}}{\left(u^{\prime }\underset{i\in W}{\Pi }{u}_i\right)}^{r_{A1}},g^{r_{A1}})$${\sigma }_S=({\sigma }_{S1},{\sigma }_{S2})=(g_1^{x_{A2}}{\left(u^{\prime }\underset{i\in W}{\Pi }{u}_i\right)}^{r_{A2}},g^{r_{A2}})$其中，g₁、u′和u₁,u₂,…,u_n为密钥生成中心KGC选取的p阶加法循环群G₁中的元素，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分；3c)原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A；(4)授权验证过程；代理签名者B和安全中介SEM联合验证授权的有效性，首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S；代理签名者B与安全中介SEM验证等式是否成立；若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权；若成立，代理签名者B代替原始签名者A进行签名，执行代理签名的生成过程；其中，pk_A是原始签名者A的公钥，e为密钥生成中心KGC选取的G₁和G₂上的双线性变换，G₁为密钥生成中心KGC选取的p阶加法循环群，G₂为密钥生成中心KGC选取的p阶乘法循环群；(5)代理签名生成过程；5a)代理签名者B向安全中介SEM发送ω,m,R_A和R_B，安全中介SEM检查ω,m,R_A和R_B是否与步骤3c)和步骤(4)收到的ω,m,R_A和R_B完全相同；如果不完全相同，安全中介SEM不为代理签名者B生成部分代理签名；如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中；若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名；否则，安全中介SEM不为代理签名者B提供部分代理签名；其中，m是待签名消息；5b)安全中介SEM协助代理签名者B产生代理签名；首先，安全中介SEM随机选取两个整数r_S,r_M∈Z_p，计算部分代理签名σ_PS如下：${\sigma }_{\mathrm{PS}}=({\sigma }_{\mathrm{PS}1},{\sigma }_{\mathrm{PS}2},{\sigma }_{\mathrm{PS}3})=(g_1^{x_{A2}}{\left(u^{\prime }\underset{i\in W}{\Pi }{u}_i\right)}^{{r_S+r}_{A2}}{\left(v^{\prime }\underset{j\in M}{\Pi }{v}_j\right)}^{r_M},g^{r_S},g^{r_M})$同时，安全中介SEM将部分代理签名σ_PS发给代理签名者B；其中，v′和v₁,v₂,…,v_n是由密钥生成中心KGC选取的p阶加法循环群G₁中的元素，M={i|m_i=1,i=1,2,…,n}为待签名消息m中元素不为0的下标集合，σ_PS1，σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分；5c)代理签名者B收到安全中介SEM产生的部分代理签名σ_PS，首先检查下式是否成立$e({\sigma }_{\mathrm{PS}1},g)R_B=e(g_1,{\mathrm{pk}}_A)e(u^{\prime }\underset{i\in W}{\Pi }{u}_i,{\sigma }_{\mathrm{PS}2}{R}_A)e(v^{\prime }\underset{j\in M}{\Pi }{v}_j,{\sigma }_{\mathrm{PS}3})$若不成立，则代理签名者B不产生代理签名；若成立，则代理签名者B生成代理签名：首先随机选择两个整数r_B,r′_M∈Z_p，计算：${\sigma }_1=\left({\sigma }_{\mathrm{PS}2}{g}^{r_B}{R}_A\right)\oplus {(g_1,{\mathrm{pk}}_C)}^{r_M+r_M^{\prime }}$${\sigma }_2={\sigma }_{\mathrm{PS}3}{g}^{r_M^{\prime }}$${\sigma }_3=g_1^{x_B}{\sigma }_{\mathrm{PS}1}{\sigma }_{B1}{\left(u^{\prime }\underset{i\in W}{\Pi }{u}_i\right)}^{r_B}{\left(v^{\prime }\underset{j\in M}{\Pi }{v}_j\right)}^{r_M^{\prime }}$其中，x_B=sk_B，sk_B为代理签名者B的私钥，pk_C为签名验证者C的公钥，σ₁、σ₂和σ₃分别为代理签名σ的第一部分、第二部分和第三部分；代理签名为σ=(σ₁,σ₂,σ₃)；代理签名者B向签名验证者C发送σ,ω和m；(6)代理签名验证过程；当签名验证者C得到σ,ω和m之后，验证代理签名的有效性；首先利用代理签名σ计算辅助信息然后验证下面等式是否成立：$e({\sigma }_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\prime }\underset{i\in W}{\Pi }{u}_i,\theta )e(v^{\prime }\underset{j\in M}{\Pi }{v}_j,{\sigma }_2)$其中，x_C=sk_C，sk_C为签名验证者C的私钥，pk_B为代理签名者B的公钥；若成立，则代理签名是有效的，否则，代理签名无效；(7)签名公开验证过程；代理签名者B或者签名验证者C向仲裁验证代理签名的有效性；首先代理签名者B或者签名验证者C计算辅助信息然后代理签名者B与签名验证者C向仲裁发送代理签名σ和θ；仲裁利用代理签名σ和辅助信息θ，通过下式验证代理签名的有效性：$e({\sigma }_3,g)=e(g_1,{\mathrm{pk}}_A)e(g_1,{\mathrm{pk}}_B)e(u^{\prime }\underset{i\in W}{\Pi }{u}_i,\theta )e(v^{\prime }\underset{j\in M}{\Pi }{v}_j,{\sigma }_2)$若成立，则说明签名验证者C和代理签名者B成功地向仲裁证明了代理签名的有效性；若不成立，说明签名验证者C与代理签名者B不能向仲裁证明代理签名的有效性，代理签名是无效的；(8)授权撤销过程；当原始签名者A需要撤销对代理签名者B的授权时，原始签名者A向安全中介SEM发送ω和R_A，并要求安全中介SEM将ω和R_A放入公开撤销列表。