郭　宇　刘　新　杜永兴

(内蒙古科技大学信息工程学院　内蒙古 包头 014010)



基于双线性对的高效代理重签密方案

郭宇刘新杜永兴

(内蒙古科技大学信息工程学院内蒙古 包头 014010)

摘要在公钥密码体制中，通常涉及到三方通信，如何高效地加密与签名成为主要问题。结合代理与签密的思想，设计一种新的代理重签密方案。该方案基于双线性对的性质和离散对数的困难性问题，通过对明文的二次加密与签名，解决了传统签名和加密分时进行的缺陷，并将代理方的签名与普通的签名区分开来，同时可以进行公开验证签名。经过证明分析并与现有其他方案比较，该方案正确，且满足保密性和不可伪造性，高效安全。

关键词代理重签密双线性对离散对数保密性不可伪造性

0引言

代理计算[1]作为一种新型计算，它将个人的操作迁移至代理方，用户将自己的任务委托至第三方完成，这种方式极大程度地降低了用户自己的成本，同时又提高了资源的利用率，所以有关代理方面的计算形式得到了广泛的认可和应用。与此同时，加入代理方的计算后，消息是否安全的问题成为用户担心的热点，如自己交给代理方的信息是否被其他人看到，是否已经被更改，是否已经损坏等。为了使用户能够放心享受代理计算带来的服务，可以应用密码学[2-4]，通过加密解密等对数据进行处理，实现数据的保密性，通过数字签名实现数据的可认证性，所以在此基础上产生签密的概念。另外，代理方作为第三方，理论上是不能知道用户数据的具体内容，它只能按照授权人提供的要求，将所需资源提供给被授权人，所以用户将数据给予代理方之前，需要对数据进行加密处理，防止代理方看到数据，造成消息的泄露。针对这一问题，提出利用代理重加密[5]方案解决。

Blaze[6]在1998年首次提出代理重加密的概念，指出它是一种具有隐私以及认证的数据访问控制体系，并提出了具体的方案。2006年Ateniese[7]提出一种改进的代理重加密方案并解决了其中分布式存储中的安全问题，推进了代理重加密的应用。 2007年Green等人[8]设计了一种基于身份的代理重加密方案，极大简化了公钥部分的处理与设计。近年来，为了进一步提高代理重加密对数据的安全性要求、扩大它的应用领域，Liang[9]在没有随机预言机模型下，设计了CCA安全的代理重加密方案、Kawai[10]设计了一种完全匿名的代理重加密方案，这些方案都从不同的角度提高了数据的安全性。为了实现消息的可认证功能，1999年Gamage[11]提出了代理签密的概念，在代理加密中结合了数字签名，同时实现了保密和认证的功能。在此基础上，zhang[12]提出一种基于短签名的高效代理签密方案，但其密钥管理较复杂。近年来，陈、王等人[13,14]分别设计了一种基于身份的代理重签密，这些方案中虽然签密无需明文参与、也无证书，但效率并非有明显的提高。本文利用加密与签名给出一种具体的代理重签密方案，并分析证明了其正确性、保密性，可区分性、可验证性以及不可伪造性，通过与其他现有的方案进行对比分析，本方案效率较高，对于提高代理签密的效率和可用性具有重要的意义。

1预备知识

1.1双线性对

设G1是由P生成，且阶为素数q的循环加法群，G2是一个循环乘法群，阶仍为q。映射e：G1×G1→G2是一个双线性映射，且满足以下3个条件：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

3) 可计算性：对于所有的P,Q∈G1，存在有效的算法计算e(P,Q)。

1.2相关数学问题的困难性描述

4)GDHP(GapDiffie-Hellman问题)：在多项式时间内，对于群G1上的DDHP容易解决而CDHP难解决，则称群G1为GDH群。

假设DLP问题和CDHP问题是困难的，即在多项式时间内DLP问题、CDHP问题均无法被解决。

2代理重签密的具体过程

本文提出的方案包括6个步骤：初始化、公私钥对生成、转换密钥生成、加密、代理重的签密过程及解密验证阶段，具体过程如下：

1) 系统初始化

{G1,G2,e,q,P,Ppub,H1,H2}

公开。

2) 公私钥对生成

3) 转换密钥生成

(a) 用户按照需要建立一个授权许可证，称之为mw,明确双方的身份信息、授权关系及使用限制等，该用户便成为授权用户A；

4) 签密过程

V=s1H1(mw)

R=nP

w=e(P,P2)n

c=wmmodq

将(R,V,c)发送至代理方；

5) 代理过程

(a) 代理方接收到(R,V,c)， 验证等式：

e(V,P)=e(H1(mw),P1)

是否成立，如果不成立，则拒绝来自此用户的请求；如果成立，那么接受。

c′=e(P,P0)cmodq

V′=k-1(H2(c′)P+P0)

U′=kP

(c) 发送加密消息至被授权人：

(V′,U′,c′,R,mw)

6) 解密验证阶段

(a) 验证等式：

e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)

是否正确，如果成立，则消息有效；否则，消息无效，拒绝接收。

(b) 验证等式正确后，进行解密运算，得到明文：

w′=e(P,s2)n，m=(w′)-1c′modq

3方案分析

3.1正确性

1) 授权者发送消息至代理方后，代理方验证e(V,P)=e(H1(mw),P1)的正确性：

e(V,P)=e(s1H1(mw),P)

=e(H1(mw),P)s1

=e(H1(mw),s1P)

=e(H1(mw),P1)

2) 被授权者收到来自代理方的信息后，验证e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)的正确性：

e(V′,U′)=e(k-1(H2(c′)P+P0),kP)

=e(H2(c′)P+P0P,P)

=e(P0P,P)·e(P,P)H2(c′)

=e((s2-s1)P,P)

=e(P2-P1,P)

所以：

e(V,P)=e(sH1(mw),P)

e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)

3.2保密性

本方案的保密性主要体现在数据的透明性和单向传递性两个方面。数据经过加密至代理方后，进行重加密，他并不知道数据的具体内容，只有需要数据的人通过解密才能得知，所以数据对于代理方是透明的。另外，由于授权许可证mw的限制，授权只能从一个用户到另一个用户，而同时不能反向执行，实现了数据的单向传递性，更好地保证了数据的安全性。

3.3可区分性与可验证性

由于签密密文中包含了授权许可证mw，而最终解密验证时需要用到授权用户A的公钥，因此，该代理签密方案与代理人自行签密可以区分。另外，代理方产生代理签密(V′,U′,c′,R,mw)后，发送至被授权用户B，该用户从授权证书mw中可得知授权用户和代理签名者，同时验证e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)时，用到P1，所以可知该签名经过A同意，可验证性成立。

3.4不可伪造性

本文方案中的关键数据(如密文c,c′,签名等)的不可伪造性是通过加密、hash函数H(*)和基于双线性对的数字签名来保证的。

若伪造者想要伪造c=wmmodq，他必须知道w，而w=e(P,P2)n，R=nP，根据解离散对数的困难性，已知R，无法得到n，故无法得到w， 因此无法伪造密文信息。对于c′=e(P,P0)cmodq，其中P0的值只有代理方知道，而且c满足保密性，伪造者无法得到任何相关信息。最后，签名的过程中包含了授权者的私钥、密文信息，对于密文，该方案满足保密性，所以攻击者是无法进行伪造的。

3.5效率

在本文的效率分析中，假设G1、G2分别表示加法和乘法运算的成本，双线性对的计算成本为e，哈希函数的计算成本为H， 指数运算的成本为exp。则通过与其它现有方案的效率比较，得出如表1所示。

表1　本文方案与其他方案的效率比较

由表可知，本文在G1、G2和双线性对计算方面的成本相对其它方案均有所减少，虽然其它计算成本并非最低，但相对而言已达到很好的效果。另外，转换密钥P0的计算由代理方完成，极大程度简化用户方的运算复杂性。代理方面计算(U′,c′)快速简单，哈希过程与双线性计算成本大大减少。最后阶段通过验证等式e(V′,U′)=e(P2-P1,P)·e(P,P)H2(c′)的正确与否，计算简便快捷，减少了通信量和系统开销。

4结语

签密是将签名与加密有效结合。本文在传统计算的基础上，通过加密、确认、代理重加密及解密等阶段，对数据作一系列处理，在确保消息正确、安全的前提下，利用代理重加密能够转换密钥、二次加密的优势，将信息再次加密，被授权用户需要时可以用自己的私钥解密。增加用户向代理方确认阶段，确保数据来源清楚，使得消息发送者对于自己发出的消息不能抵赖。

代理重签密方面的相关方案日益成熟，目前更多的应用于电子邮件转发、代理服务器等的使用中，而安全问题作为信息传递中的主要障碍和制约因素，关系到使用代理计算的相关企业的生存和发展，因此还需要做更多的尝试与深入的研究。

参考文献

[1] 雷万云.云计算[M].北京:清华大学出版社,2011.

[2] 张焕国,王张宣.密码学引论[M].武汉:武汉大学出版社,2009.

[3]RivestRL,ShamirA,TaumanY.Howtoleakasecret[M].AdvancesinCryptology-ASIACRYPT2001.SpringerBerlinHeidelberg,2001:552-565.

[4]RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1978,21(2):120-126.

[5]BruceSchneier.AppliedCryptography:Protocols,AlgorithmsandSourceCodeinC[M].2nded.Wiley,1995.

[6]BlazeM,BleumerG,StraussM.Divertibleprotocolsandatomicproxycryptography[C]//AdvancesinCryptology-EUROCRYPT’98.SpringerBerlinHeidelberg,1998:127-144.

[7]AtenieseG,FuK,GreenM,etal.Improvedproxyre-encryptionschemeswithapplicationstosecuredistributedstorage[J].ACMTransactionsonInformationandSystemSecurity(TISSEC),2006,9(1):1-30.

[8]GreenM,AtenieseG.Identity-basedproxyre-encryption[C]//AppliedCryptographyandNetworkSecurity.SpringerBerlinHeidelberg,2007:288-306.

[9]LiangK,LiuZ,TanX,etal.ACCA-Secureidentity-basedconditionalproxyre-encryptionwithoutrandomoracles[C]//InformationSecurityandCryptology-ICISC2012.SpringerBerlinHeidelberg,2013:231-246.

[10]KawaiY,TakashimaK.Fully-AnonymousFunctionalProxy-Re-Encryption[J].IACRCryptologyE-PrintArchive,2013:318-391.

[11]GamageC,LeiwoJ,ZhengU.AnEfficientSchemeforSecureMessageTransmissionUsingProxy-signcryption[C]//Procofthe22ndAustralasianComputerScience.Auckland:Springer-Verlag,1999:420-431.

[12]ZhangXuejun,WangYumin.EfficientIdentity-basedProxySigncryption[J].ComputerEngineeringandApplications,2007:43(3):109-111.

[13] 陈善学,周淑贤,姚小凤,等.高效的基于身份的代理签密方案[J].计算机应用研究,2011,28(7):2694-2696.

[14] 王会歌,王彩芬,曹浩,等.新的基于身份的代理重签密[J].计算机应用,2011,31(11):2986-2989.

AN EFFICIENT PROXY RE-SIGNCRYPTION SCHEME BASED ON BILINEAR PAIRING

Guo YuLiu XinDu Yongxing

(School of Information and Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,Inner Mongolia,China)

AbstractIn public key cryptography, usually it involves three parties communication, the way of efficient encryption and signature becomes the major problem. Combining the agent and signcryption ideas, we designed a new proxy re-signcryption scheme. The scheme is based on the property of bilinear pairing and the difficulty of discrete logarithm, by encrypting and signing on plaintext twice, it solves the defect of traditional way in separating the signature and encryption time, while distinguishes the agent signature from ordinary signature. At the same time the signature can be publicly verified. Through provable analysis and comparing it with other existing schemes, this one is correct and satisfies the confidentiality and unforgeability, it is efficient and safe.

KeywordsRe-signcryptionBilinear pairingDiscrete logarithmConfidentialityUnforgeablility

收稿日期：2014-12-27。国家自然科学基金项目(61301073)。郭宇，讲师，主研领域：物联网技术。刘新，讲师。杜永兴，副教授。

中图分类号TP309

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.06.072