首页 > 美文阅读

辫群上代理签名体制的分析与设计

更新时间:2022-10-24 00:01:31 阅读: 评论:0


2022年10月24日发
(作者:难忘第一次作文400)

第28卷第9期 计算机应用研究 V01.28 No.9 

2011年9月 Application Research of Computem 

S印.2011 

辫群上代理签名体制的分析与设计水 

隗云 ,张兴凯 ,熊国华。,穆灵 

(1.解放军信息工程大学电子技术学院,郑州450004;2.96610部队,北京1f2203;3.电子技术研究所,北京100195) 

摘要:为了研究抵抗量子分析的密码体制,对两种辫群上的代理签名体制进行分析,指出其不能抵抗已知签 

名的存在性伪造攻击;基于匹配共轭搜索问题的难解性构造了新的代理签名体制。分析表明该体制满足代理签 

名的各种安全需求,且计算效率高、签名长度短。 

关键词:代理签名;辫群;匹配共轭搜索问题;已知签名的存在性伪造 

中图分类号:TP309 文献标志码:A 文章编号:1001—3695(2011)09.3522-02 

doi:10.3969/j.issn.1001—3695.2011.09.090 

Analysis and design of proxy signature schemes over braid groups 

WEI Yun ,ZHANG Xing.kai ,XIONG Guo—hua ,MU Lin 

(1.Institute ofElectronic Technology,PLA Information E w University,Zhengzhou 450004,China;2.Unit 96610,Belling 102208, 

ch 3.Institute ofElectronic Technology,B曲i 100195,chtM) 

Abstract:In order to research quantum cryptanalysis-resistant cryptographic schemes,this paper pointed the security vulnerabilities 

oftwo proxy signature scheln ̄s over braid groups that they could not resist the known—signature existential forgery attack.Then pro- 

posed a new proxy signatrue scheme based on the dificulty ofthe matching eonjugacy search problem.Analysis shows that the pro- 

opsed scheme satisfies the securiyt requirements of proxy signature and has hi gh computing efifciency and a short signature. 

Key words:proxy signature;braid group;matching conjugacy search problem;known—singature existential forgery 

众所周知,目前公钥密码体制最典型的两类安全性假设为 …

,, 生成的有限表示的无限群。其生成元满足: 

整数分解和离散对数的难解性。量子计算 的快速发展使 triro ̄= (1i一川≥2) 

得目前的公钥密码体制面临严重威胁。为了抵抗已知量子算 ro or +】or or +Jorlor +l(1≤ ≤n-2) 

法的攻击,大量学者开始设计非基于数论的、基于非交换代数 

辫群中的元素称为一个n辫或辫元, 称为辫指数。当n= 

的公钥密码体制。辫群的概念由Artin 于1947年首次提出, 

2时,B 为无限循环群,本文不予考虑。令LB RB 分别为生成 

由于具有结构复杂、运算所需的时间和空间很小的特点,辫群 

元or1,ro2,…,orl,以I一1和or【 I+l,orl,以j+2,…, 生成的子群, 

成为了构造抗量子攻击公钥密码体制的新平台之一 。2002 

则对任意 LB ,|BeRB ,有qB= 。对辫元O/,卢∈B ,如果存 

年,Ko等人 首次将辫群用于构造签名体制。 

在辫元s使得 =s~ObS,则称 是共轭的,记做  ̄/3。 

代理签名的概念是Mambo等人 于1996年提出的。在 

这种数字签名中,一个被称为原始签名人的用户,可以将其数 

定义2共轭判断问题(CDP)。给定( ,3/)∈B ×B ,判 

字签名权力委托给另外一个被称为代理签名人的用户,使得在 

断 一口是否成立。 

需要的时候该代理签名人可以代替原始签名人产生有效的数 

定义3共轭搜索问题(CSP)。给定( ,卢)∈B ×B 若 

字签名。2008年,Vermal 和张利利等人 分别基于辫群上的 

存在s使得JB=s~ ,求出至少一个这样的s。 

难解问题提出了代理签名体制,但随后的分析表明,Verma体 

定义4匹配共轭搜索问题(MCSP)。给定(a,卢,7)∈ 

制不能抵抗原始签名人改变攻击及代理签名人改变攻击 。 

B ×B ×B ,  ̄/3,求出一个6EB ,使得 ~6, ~ 。 

2010年,黄文平等人 指出前面的攻击方法同样适用于文献 

定义5求根问题(REP)。给定辫元 = e 及正整 

[8]中的体制,并提出了新的代理签名体制。 数c32,求出满足卢=y 的辫元7。 

本文对文献[8,10]中的签名体制进行分析,指出这两种 

1.2代理签名 

体制都不能抵抗已知签名的存在性伪造攻击。针对这一问题, 

一本文提出了一种新的代理签名体制。 

个安全的代理签名体制应满足以下安全需求 : 

a)强不可伪造性。只有指定的代理签名人才能产生有效 

1 预备知识 

的代理签名,原始签名人或未被指定为代理签名人的第三方都 

不能产生有效的代理签名。 

1.1辫群朋 

b)可验证性。验证人能够验证代理签名的有效性,并且根 

定义1 对自然数n≥2,辫群曰 是由初等辫子or , 

据代理签名的有效性确信原始签名人确实委托了代理人进行 

收藕日期:2Ol1-0l一1l;修回日期:201l 202—22 基金项目:国家自然科学基金资助项目(10501053) 

作者简介:隗云(1982一),女,湖北天门人,博士,CCF会员,主要研究方向为密码协议的设计与分析(weiyun456@sohu.corn);张兴凯(1981.), 

男,助理工程师,硕士,主要研究方向为密码协议的设计与分析;熊国华(1963一),男,高级工程师,博士后,主要研究方向为密码与编码;穆灵 

(1979一),女,助理工程师,硕士,主要研究方向为密码协议的设计与分析. 

第9期 

签名。 

隗云,等:辫群上代理签名体制的分析与设计 ・3523・ 

个代理签名(t 。,m ,OL, , ),他可以随机选择5∈B ,计算 

=c)强可识别性。任何人都能根据代理签名确认其相应的 

代理签名人身份。 

d)强不可否认性。一旦代理签名人代表原始签名人产生 

了有效的代理签名,他就不能否认产生该代理签名的事实。 

e)防止滥用。代理签名人只能在代理授权范围内进行代 

5 5~,声= ~, = 5~,得到一个新的代理签名(£ 。, 

m , , , ),因为声~ , ~ , ~ h及 ~xph也成立。因 

此,该签名体制不能抵抗已知签名的存在性伪造攻击。 

3新的代理签名体制 

3.1 签名体制 

理签名,而不能滥用其代理签名的权力。 

2两种代理签名体制的分析 

原始签名人和代理签名人分别记为Alice和Bob, 。: 一 

{0,1} , :{0,1} 一曰 为抗碰撞的杂凑函数,m {0,1} 

为待签名的消息。 

2.1 文献[8】中签名体制的分析 

1)密钥生成 Alice随机选择 ,‰∈B ,计算y。: 

。。 。n ,秘密保存。。作为私钥,( 。,Y0)为对应的公钥。Bob 

的私钥o 和公钥( ,y )用类似方法产生。 

2)授权Alice计算t。=O,0 (IDP)a0- 并将t。发送给 

Bob,其中,ID 为Bob的身份信息。Bob验证t。~ (ID )及 

£。 ~ (IDP) 。是否成立,若成立,接受t。;否则,拒绝。 

3)代理签名 Bob随机选择奇素数C,计算y=t ,6: 

。 H2(m)o ,则产生的代理签名为(c, ,6)。 

4)验证接收签名(c,y,占)后,验证人验证y~ (I )。, 

YYo~ (ID ) ‰,8~ (m)及 一 (m) 是否成立,若都 

成立,接受签名;否则,拒绝。 

作者声称该体制满足强不可伪造性,且除Alice外的其他 

攻击者要伪造签名面临求解辫群上的求根问题,而事实并非如 

此。一旦Alice得到关于消息m的某个代理签名(c, ,6),他 

就能按如下方式产生一个新的有效代理签名:选择新的奇素数 

c ,并计算 = ,则(c , ,6)满足 ~ (ID ) , Y0~ 

(ID ) 。,8~ (m)及 ~ (m) 。 

对除Alice外的其他攻击者,只要得到两个有效的代理签 

名(c , , )和(c , , ),无须计算求根问题就能求解t。: 

c】,c2都是素数,则存在整数dl、d2满足C1dl+C2d2:1,攻击者 

计算d。和d 后即可得到( ,)dl( :)d2:t。。随后,攻击者也 

能进行上述存在性伪造攻击。 

2.2文献[10】中签名体制的分析 

1)密钥生成Alice和Bob的私钥0。,0 ∈LB ,除此之外 

其他参数同2.1节。 

2)授权Alice选择t∈咫 ,计算 =t%pt 及t0=00m 口 

① l(饥z ),并将(|j},to,m )发送给Bob。Bob计算t 0=to① 

( 。 )并验证t 。~ 是否成立,若成立,接受t。;否则, 

拒绝。 

3)代理签名Bob随机选择6∈B ,计算h= (m lI m), 

=6 6~,』B=bhb~, =6o ha b~,则产生的代理签名为 

(t 0,m , ,卢,y)。 

4)验证验证人计算h= (m ll m),验证£ 0 ~m 。, 

卢~ , ~h,qB~xph及 ~ 是否成立,若都成立,接受签 

名;否则,拒绝。 

从签名体制可知,一旦某个攻击者得到关于消息m的某 

1)密钥生成Alice和Bob的私钥n0,o ∈B ,公钥 。, 

∈LB ,其他参数同2.1节。 

2)授权Alice随机选择e∈RB ,计算t0=。0e (m )e 

n 并通过公开信道将(m ,t。)发送给Bob。其中m 为授权 

书,包含Alice和Bob的身份信息、授权书的有效期及代理权 

限等。 

Bob验证t。~ (m )及toyo~ (m )X0是否成立,若成 

立,接受t。;否则,拒绝。 

3)代理签名Bob随机选择6∈RB ,计算 =o 6 (m lI 

m )6~。 ,则产生的代理签名为(m ,t。, )。 

4)验证验证人计算h = (m )及h:= (m l lm ), 

验证t0~h1,toYo~hi‰, ~h2及 一 2 。是否成立,若都成 

立,接受签名;否则,拒绝。 

3.2体制分析 

1)正确性 由‰∈LB ,e∈RB 可知e~‰=Xoe~,则有 

toYo=n0 (m ) _。酊 (n0 。 ): 

O,0e日2(m )e 0Ⅱ =口0eHz(m ) 0e 0 ~ (m ) 0 

同理,有 ~ (m lI m ) ,体制的正确性由此可得。 

2)强不可伪造性在签名(m ,t。, )中,(m ,t。)由Alice 

通过公开信道发送给Bob,攻击者即使截获该消息,也不能对 

Alice或Bob产生任何安全威胁。因为随机因子e使得攻击者 

不能从t。获得关于Alice私钥的任何信息,而如果攻击者想通 

过将授权书修改为m 进行攻击,要得到满足t 。~ (m,t )及 

0yn~ (m ) 0的t 0将面临求解匹配共轭搜索问题。 

对于Alice而言,虽然知道t。,但不能产生有效的代理签 

名,因为产生满足盯~H2(m lI m )及 ~ (m II m )%的 

也面临求解匹配共轭搜索问题。因此,当匹配共轭搜索问题难 

解时,该体制满足强不可伪造性。 

3)可验证性m 和Alice的公钥都会出现在签名的验证 

式里,且m 包含Aliee和Bob的身份、授权书的有效期及代理 

权限等信息,因此验证人可以确信Alice确实委托了Bob进行 

签名。 

4)强可识别性签名中授权书包含Bob的身份信息,因 

此任何人都能根据代理签名确认其相应的代理签名人身份。 

5)强不可否认性 由体制的强不可伪造性可知,除Bob 

外的任何人都不能产生有效的代理签名,因此一旦Bob代表 

Alice产生了有效的代理签名,他就不能否认产生该代理签名 

的事实。 

6)防止滥用授权书m 包含了授权书的使用期限及代 

理权限等信息,因此代理签名人无法滥用其签名权力。 

文献[10]中体制及新体制需要进行的共轭判断运算、杂 

凑运算次数均相同,但对于乘法运算,两种体制(下转第3534页) 

・3534・ 计算机应用研究 第28卷 

只需计算出全局密钥,即可完成新节点的加入过程。而新增节 

点则通过一次广播,并且其与邻居节点通过Difie—Hellman密 

钥交换即可形成节点之间的会话密钥。可见,本方案的计算和 

3结束语 

本文提出了一种基于多项式的无线传感器密钥管理方案, 

引入一个由节点秘密信息和全局密钥构成的多项式 使只有网 

络中合法节点才能通过该多项式计算出全局密钥,并用其对之 

通信开销随着wSN网络的增大而增加缓慢。本方案的可扩展 

性比较强。 

2.4系统开销分析 

后与邻居节点间会话密钥的中间参数进行加密处理。节点向 

邻居节点广播经全局密钥加密的中间参数来生成节点间唯一 

的会话密钥。性能分析表明,与现有的密钥管理方案相比,本 

方案在抗俘获性、连通性、可扩展性、通信开销和存储开销上有 

较大的改进。 

参考文献: 

[1]AKYILDIZ F,SU W,SANKARASUBRAMANIAM Y,et a1.A sur- 

vey on sensor networks[J].IEEE Communications Magazine, 

2002,40(8):102—114. 

1)内存开销在本方案中,每个节点需要存储的信息有 

全局密钥K、自身的身份标志ID 、自身的秘密信息Hi、g、P以 

及与邻居节点之间的会话密钥。而在E—G和q-composite方案 

中,节点都要保存相当数量的密钥空间才能保证较高的密钥连 

通性。因此本方案的内存开销和随机密钥预分配方案相比有 

较大的优势。 

2)计算开销初始化阶段,每个节点向基站发送秘密信 

息时,需要进行一次哈希运算,一次加密运算;密钥建立阶段, 

节点需要进行一次多项式的模乘运算来获取全局密钥 ,进行 

[2]苏忠,林闯,封富君,等.无线传感器网络密钥管理的方案和协议 

次指数运算、一次加密运算和一次解密运算来形成会话密 

[J].软件学报,2007,18(5):1218—1231. 

[3]ESCHENAUER L,GLIGOR V D.A key management scheme for dis— 

tributed sensor networks[C]//Pmc of the 9th ACM Conference on 

Computer and Communication Security.Washington DC:ACM Press, 

2002:41—47. 

钥。虽然多项式的模乘运算是一种较大开销的运算,但考虑到 

两个因素:a)多项式计算只是在形成或更新全局密钥时计算 

一次;b)相对于使用模乘运算的非对称加密算法而言,多项式 

模乘运算的计算量还是比较小的。因此该方案的计算开销是 

可以接受的。 

[4]PIETRO R D,MANCINI V,ANDME[A.Random key assignment for 

3)通信开销

在本方案中,节点在初始化阶段需要进行 

secure wireless sensor networks[C]//Pmc of ACM Workshop on Sc- 

curity in Ad hoc and Sensor Networks(SASN’03).Washington DC: 

ACM Press,2003:62—71, 

次广播,密钥建立阶段向基站发送一个秘密信息。邻居节点 

之间进行一次广播通信则可以生成节点与所有邻居节点之间 

的会话密钥。而在随机密钥预分配方案 。 中,节点在密钥发 

现阶段需要进行一次广播,两个节点之间存在共享密钥时需要 

[5]CHAN H,PERRIG A,SONG D.Random key pre・distirbution schemes 

for sensor networks[C]//Pmc of IEEE Symposium off Research in 

Security and Privacy.Berkeley:IEEE Computer Society,2003:197-: 

213. 

进行一次通信交互来生成会话密钥,在没有共享密钥时则需要 

通过第三个节点或更多的中间节点来建立通信链路。因此,节 

点要与所有邻居节点(假设为1个)之间形成会话密钥需要进 

[6]CHENG Y,AGRAWAL D P.Distributed pairwise key establishment 

in wielress sensor networks[C]//Proc of the 2006 International Con- 

ferenee on Pervasive Systems&Computing.1as Vegas:CSREA Press。 

2006:54—60. 

行至少1次通信交互。会话密钥更新时,在本方案中,节点只 

需进行一次广播即可。在随机密钥预分配方案中,节点需要与 

所有邻居节点进行一次通信交互才可以完成会话密钥的更新。 

所以,本方案的通信开销要优于随机密钥预分配方案。 

(上接第3523页)分别需运算20次和18次。文献[10]中签名 

由一个二进制串和四个辫元组成,新体制中签名由一个二进制 

[7]杨庚,王江涛,程宏兵,等.基于身份加密的无线传感器网络密钥 

分配方法[J].电子学报,2007,35(t):180—184. 

[3]ARTIN E.Theory of braids[J].Annals of Math,1947(48):101一 

l26. 

串和两个辫元组成。因此,新的签名体制在安全性、计算效率 

和签名长度上都更有优势。 

[4]KO KH,LEE S J,CHEON JH,et a1.New public key cryptosystem 

using braid gToups[C]//Lecture Notes in Computer Science,Vol 

1880.(s.1.]:Springer—Verlag,2000:166—183. 

[5]KO K H,CHOI D H,CHO M S,et a1.New sinatgure scheme using 

conjugacy problem[EB/OL].[2011—01—11].http://eprint.iacr. 

org/2002/168. 

4结束语 

辫群是构造抗量子攻击公钥密码体制的新平台。本文对 

辫群上的代理签名进行了研究,指出了两种体制的安全缺陷, 

[6]MAMBO M,USUDA K,OKAMOTO E.Proxy sinatgure:delegation 

of the power to sign messages[J].IEICE Trans on Fundamentals, 

1996,E79一A(9):1338.1353. 

并提出了新的体制。分析表明,新体制在安全性、计算效率及 

签名长度上都更有优势。 

[7]VERMA GK.A proxy sinatgure scheme OVerbraid groups[EB/OL]. 

参考文献: 

[1]SHOR P.Polynomial—time algorithms for prime factorization and dis— 

[201 1-0l一1 1].http://eprint.iaer.org/2008/160. 

[8]张利利,曾吉文.基于辫群的代理签名体制[J].数学研究, 

2008,41(1):56—64. 

crete logarithms ON a quantum computer[J].SIAM Journal on 

Computing,1997,26(5):1484—1509. 

[9]KUMAR J.Security analysis of a proxy signature scheme over braid 

groups[EB/OL].[2011一Ol一11].http://eprint:iacr.org/2008/ 

158. 

[2] KITAEV A.Quantum measurements and the abelin staabilizer prob— 

lem[EB/OL].[2011一O1—11].http://arxiv.org/quant—ph/ 

95I1O26 

[10]黄文平,宁菊红.基于辫群的代理签名方案的分析与改进[J].计 

算机应用,2010,30(4):1030.1032. 


本文发布于:2022-10-24 00:01:31,感谢您对本站的认可!

本文链接:http://www.wtabcd.cn/fanwen/fan/82/359220.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

上一篇:IBS身份签名技术在网络考试系统中的应用设计
下一篇:得意的萤火虫
标签:电脑设计签名
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
热门标签
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图