抗合谋攻击的门限混合代理多重签名方案

抗合谋攻击的门限混合代理多重签名方案
徐太平;陈勇
【摘要】针对现有门限签名方案在抵抗合谋攻击方面的弱点，结合离散对数问题，提出一个抗合谋攻击的门限混合代理多重签名方案，通过引入关键参数ki ，实现
对实际签名人的私钥的隐藏和对签名成员身份的可追查性，从而有效地抵抗合谋攻击。

理论分析结果表明，该方案满足强不可伪造性和强不可否认性，且能有效地抵抗合谋攻击。

%For the weaknesses of previous threshold signature in against conspiracy attack, combining with the discrete loga-rithm method, this paper proposes a threshold hybrid proxy multi-signature scheme against conspiracy attack. The scheme, through introducing key parameter ki , camouflages actual signer’s private key and traces sign ature memberships, thus effectively against conspiracy attack. Theoretical analysis results show that the scheme not only satisfies strong unforgeability and strong undeniability, but also can effectively against conspiracy attack.
【期刊名称】《计算机工程与应用》
【年(卷),期】2013(000)014
【总页数】5页(P73-76,97)
【关键词】离散对数;门限签名;混合代理多重签名;合谋攻击
【作者】徐太平;陈勇
【作者单位】重庆师范大学计算机与信息科学学院，重庆 401331;重庆师范大学计算机与信息科学学院，重庆 401331
【正文语种】中文
【中图分类】TP309
1 引言
1996年，代理签名首先由Mambo，Usuda和Okamoto在文献[1]中提出，即在一个代理签名方案中，代理签名人代表原始签名人生成有效的签名，实现数字签名权利的委托，常用于原始签名人由于某些原因无法亲自签名的场合。

为了满足实际需求，代理多重签名[2]、多重代理签名[3]和多重代理多签名[4]随即被提出。

代理多重签名是指一位代理人同时代表多个原始签名人进行签名[2]。

为了增加代理多重的灵活性，混合代理多重签名[5-7]和门限签名[7-11]应运而生。

混合代理多重签名是指一部分原始签名人将签名权授予指定的代理签名人，而另一部分原始签名人自己行使签名权[6]。

文献[5]提出了一个基于双线性对的混合代理多重签名，但该方案就安全性方面来说不能抵抗参与签名的实际签名人的合谋攻击[6]；就实施方面而言，一旦有不合作的签名人，则签名将无法正常进行，方案的灵活性和实用性受到限制[7]。

门限签名，于1991年首次被提出，其特性是原始签名人的签名私钥被分成n份，且由n个代理签名者分享保存，只有当t个或t个以上的代理签名人运用各自的代理签名私钥才能产生代表原始签名人对消息的签名，少于t个则不可能。

文献[7]在文献[5]中的方案基础上引入门限签名以增强方案的灵活性和实用性。

由于门限签名系统的强壮性差而出现部分成员可以合谋得到系统密钥的情况，即“合谋攻击[10]”，在(t,n)门限签名方案中，系统的秘密被分成n份部分密钥后分
发给每一个群体成员，当参与签名的成员达到t个或超过t个就可恢复系统密钥。

文献[8]指出在系统的初始化阶段和秘密分发阶段易受合谋攻击，需要在这两个阶段增加相应的参数使得部分密钥隐藏起来，使得系统具有抵抗合谋攻击的能力；文献[9]增加一个硬性条件：任意t个成员的公钥之积均不相等，使得签名具有可追查性，以此来抵抗合谋攻击。

本文在上述研究成果的基础上，提出一个基于离散对数问题的抗合谋攻击的门限混合代理多重签名方案，其应用场景为：在一所高校有多个院系，每个院系都有一名院长，且校方有负责协调各院系开展工作的副校长一名。

当一部分院长出差时，便可以将签名权委托给副校长，文件由副校长和其他未出差的院长共同签署。

若某些签名人对文件内容不满意而拒绝签名，必将影响高校工作的开展。

此时只需要一定数量的签名人参与签名，文件就可以生效。

与文献[7]的方案相比，该方案是基于有限域上的离散对数问题的，并且当发生签名纠纷时，实际签名人和签名验证者可以根据签名(M,V,K,S,U,Y)中的K的唯一性追查出参与此门限混合代理多重签名的t 个成员的身份。

与文献[9]中的门限代理多重签名方案相比，该方案有两点改进：（1）利用关键参数同时实现对参与门限代理多重签名的成员的私钥进行隐藏和对签名成员身份的追查，从这两方面来抵抗合谋攻击；（2）增加了签名权力的授权阶段，使一部分原始签名人将签名权授予指定的代理签名人，接着使这位代理签名人和另外一部分原始签名人共同进行门限代理多重签名，以使得方案具有更大的灵活性和更强的应用性。

2 预备知识
2.1 离散对数问题
定义1有限域G F(p)={0,1,…,p-1}，在其上定义模p的代数运算，即加法：若a,b∈G F(p)，则a+b=x mod p；乘法：若a,b∈G F(p)，则ab=y mod p。

在G F(p)中，所有元素对于加法和乘法满足封闭性，并满足分配率、无零因子条件，构
成一个有限域。

在G F*(p)={1,2,…,p-1}中至少存在一个元素g，使得G F*(p)中任意元素都可以表示成g的某次幂的形式，这样的元素称为G F*(p)的生成元。

定义2（离散对数问题（DLP））设 p是一个素数，g∈G F*(p)是其生成元，已知x∈G F*(p)，求 y=g x mod p，称为模 p的幂运算；但是若 y=g x mod p成立，已知 y求x的问题称为模 p的离散对数问题。

2.2 门限混合代理多重签名
所谓门限混合代理多重签名，是指在一个签名方案中，部分原始签名人将他们的签名授权给指定的代理签名人，然后让代理签名人和其他的部分原始签名人，利用门限代理签名体制生成安全而有效的签名。

门限混合代理多重签名方案由以下五个部分组成：
（1）初始化阶段：设置签名体制的参数、产生原始签名人和代理签名人的密钥对等。

（2）签名权力的授权阶段：部分原始签名人将自己的签名权力委托给指定的代理签名人，代理签名人生成代理密钥。

（3）代理签名密钥生成阶段：代理签名人与其他的部分原始人计算门限秘密共享份额。

（4）代理签名生成过程：任意t个实际签名人生成部分签名，签名合成人合成代
理签名。

（5）代理签名验证过程：验证人验证代理签名的有效性，确定代理签名。

3 抗合谋攻击的门限混合代理多重签名方案
3.1 初始化阶段
设 p是一个大素数，q为 p-1或 p-1的大素因子；g∈Z，且 g q=1 mod p；定
义一个安全的单向哈希函数h:Z→Z。

原始签名人A i(i=1,2,…,l+m)，选择私钥x
Ai∈Z，并计算yA i= mod p，其身份信息为ID i；代理签名人B选择私钥xB∈，
并计算 yB=g xB mod p，其身份信息为ID B。

3.2 签名权力的授权阶段
假设wi(i=1,2,…,l)是原始签名人Ai(i=1,2,…,l)给代理签名人B的授权证书，其中包括A i(i=1,2,…,l)和B的身份信息、代理权限和代理期限等信息。

授权协议如下：（1）原始签名人Ai(i=1,2,…,l)随机选择ri∈Z，计算下列两个等式：
公开Ri和wi，将S A i秘密发送给代理签名人B。

（2）代理签名人B收到后验证：
是否成立。

若等式成立，则接受原始签名人A i的代理授权；否则要求原始签名人A i重新发送。

（3）代理签名人B通过：
计算代理密钥δ，公开代理公钥P B=gδmod p。

3.3 代理签名密钥生成阶段
记n=m+1，设m个实际参与签名的原始签名人Ai(i=l+1,l+2,…,l+m)和代理签名人B组成的签名群为D=(D1,D2,…,D n)，并记D i(i=1,2,…,n)的私钥为 d1=x A l+1,d2=xA l+2,…,d n-1=xA l+m,d n=δ,则对应的公钥为 y1=y A l+1,y2=y A l+2,…,yn-1=yA l+m,yn=P B。

签名密钥生成的具体步骤如下：
（1）D i随机选择关键参数ki∈Z，计算并广播：
其中，签名群D中的任意t个签名人的Ki之积：
均不相等。

（2）D i计算ai0=d i+ki，并随机选择互不相同的a ie∈Z(e=1,2,…,t-1)构造t-1次多项式：
然后计算并公开 mod p。

（3）D i计算 fi(ID j)并秘密发送给D j(j≠i)。

（4）D j收到 fi(ID j)后，验证等式：
是否成立。

若等式成立，则接受此秘密份额；否则要求D i重新发送。

（5）D j计算签名密钥：
并计算和公开：
3.4 代理签名生成阶段
设待签信息为M，签名群D=(D1,D2,…,D n)中任意t个签名人组成集合对消息M 进行签名的过程如下：
（1）签名人 E i随机选择vi∈Z，计算并广播：
（2）签名人E i为待签信息为M产生部分签名(M,V,K,S i,ID i,T i)，并将之秘密发送给签名合成人（可由E中的任何一人担当）：
（3）签名合成人接收到t个部分签名后，通过：
验证部分签名(M,V,K,S i,ID i,T i)的有效性。

（4）若所有部分签名有效，签名合成人则计算：
将门限混合代理多重签名(M,V,K,S,U,Y)发送给签名验证人。

3.5 代理签名验证阶段
签名验证人收到门限混合代理多重签名(M,V,K,S,U,Y)后，验证：
是否成立，若等式成立，在门限混合代理签名(M,V,K,S,U,Y)有效，否则签名无效。

4 抗合谋攻击的门限混合代理多重签名方案分析
4.1 正确性分析
定理1代理签名人B通过验证式（3）成立来确认接受原始签名人A i(i=1,2,…,l)的授权。

证明
定理2签名人D j通过验证式（8）成立来确认秘密份额的有效性。

证明
定理3签名合成人通过验证式（15）成立确认部分签名(M,V,K,S i,ID i,T i)的有效性。

证明
定理4签名验证人通过验证式（16）成立来确定此方案的签名(M,V,K,S,U,Y)的有
效性。

证明
4.2 安全性分析
4.2.1 强不可否认性分析
（1）原始签名人的授权和代理签名人是不可否认的。

由式（2）和式（4）可知，包含原始签名人Ai(i=1,2,…,l)和代理签名人B的身份信息、代理权限和代理期限等信息的授权证书wi被包含在有效的验证等式里，并且w i受到单向哈希函数h 的保护，所以Ai(i=1,2,…,l)和B均不能否认此次授权。

（2）混合代理签名中包含了所有参与混合多重签名的签名人公钥和任意t个实际签名人的K i之积K，所以一旦产生了有效的门限混合代理多重签名，那么就可以识别实际参与签名的成员D=(D1,D2,…,D n)，使他们均无法否认自己的签名行为。

所以此方案满足强不可否认性。

4.2.2 强不可伪造性分析
首先，签名授权是不可伪造的。

代理授权是原始签名人对授权证书wi的签名，攻击者要伪造需知道原始签名人的私钥，而由= mod p求解将面临着求解离散对数难题；若攻击者伪造一个私钥，然后由式（2）计算，由定理1可知此授权不能通过式（3）的验证。

其次，部分签名是不可伪造的。

在部分签名阶段，若通过式（14）伪造部分签名S i，需知道实际参与签名人的关键参数 ki和秘密份额 ci，而要通过式（5）和（10）求出 ki、ci，面临着求解离散对数难题；若攻击者随机选择一个数伪造关键参数k和秘密份额c，然后由式（14）计算部分签名S，由定理3可知 S不能通过式（15）的验证。

最后，门限混合代理多重签名(M,V,K,S,U,Y)是不可伪造的。

要伪造S就得伪造S i，但部分签名S i是不可伪造的；若内部攻击者试图通过式（16）先求出等式右边，再求S，面临着求解离散对数难题。

所以此方案满足强不可伪造性。

4.2.3 抗合谋攻击性分析
本文引入关键参数ki的目的是从两个方面来抵抗合谋攻击，使得方案的安全性更
高：一是签名群D中的签名人用它隐藏自身的私钥，从而使得实际签名人不能通过合谋得到其他实际签名人的真正私钥d i，进而重新分发秘密份额；二是通过判断签名群D中的任意t个成员ki之积是否与签名(M,V,K,S,U,Y)中的K一致来实现签名成员身份的可追查性。

当参与合谋攻击的人数少于t个人时，其攻击难度等价于攻破Shamir(t,n)门限方案，目前在计算上是不可能的。

当参与合谋攻击的人数大于或等于t时，通过式（7）可以重构多项式 fi(x)，从而可求出每个实际签名人的私钥，进而计算出他们各自所分发的秘密份额，达到合谋攻击的目的。

而本文提出的方案中，在构成门限签名之前，实际签名人已经用关键参数ki将私钥d i隐藏成ai0=d i+ki对私钥进行了保护，通过式（7）重构的方法所获取的签名人的私钥是ai0=d i+ki，由于ki 是随机大数，无法通过ai0找到签名人的真实密钥d i，这样也就无法通过合谋真正获取实际签名人的私钥和分发的秘密份额。

所以，本方案是可以有效抵抗对实际签名人的私钥的合谋攻击。

此外，当发生纠纷时，实际签名人和签名验证者可以根据签名(M,V,K,S,U,Y)中的K 的唯一性追查出参与此门限混合代理多重签名的t个成员的身份。

若某t个实际签名人的Ki满足式（6），则参加此次签名的实际签名人为这t个人。

所以，本方案是可以实现对实际签名人身份的可追查性。

4.3 效率分析与比较
本文方案和文献[9]的方案都是基于离散对数构造的，下面对这两个方案的效率进行分析，其中T exp为一次模指数运算花费的时间；T mul为一次模乘运算的花费时间；T h为一次单向hash函数运算花费的时间；T inv为一次模逆运算花费的时间：
本文方案由五个阶段组成，对应的时间效率为：
（1）初始化阶段：T exp；
（2）签名权力的授权阶段：(3l+2)T exp+(l+2)T mul+(l+2)T h；
（3）代理签名密钥生成阶段：(3nt-t-n-1)T exp+(2ntt-2n-4)T mul；
（4）代理签名生成阶段：(4t+1)T exp+(6t+2n-2)T mul+T h；
（5）代理签名验证阶段：5T exp+3 T mul+T h。

文献[9]的签名方案由四个阶段组成，对应的时间效率应为：
（1）初始化阶段，与本文方案的第一阶段和第三阶段对应：(3nt-t+n+1)T
exp+(2nt-t)T mul；
（2）部分签名的生成和验证阶段，与本文方案的第四阶段对应：(4t+1)T
exp+6tT mul+(2t-2)T inv+2T h；
（3）门限签名的生成和验证阶段，与本文方案的第五阶段对应：3 T exp+3T mul+T h；
（4）身份追查算法：(t-1)T mul。

由上述描述可知，本文方案在执行和验证过程中，由于增加了签名权力的授权这一阶段，带来了(3l+2)T exp+(l+2)T mul+(l+2)T h时间消耗，同时，代理签名生成阶段增加了(2n-2)T mul的运算量，即总共增加的运算量是(3l+2)T exp+(l+2n)T mul+(l+2)T h。

但是，本方案的灵活性、实用性和安全性有明显的增强，并且没有涉及到模逆运算。

5 结束语
本文提出了一个基于离散对数问题的抗合谋攻击的门限混合代理多重签名方案，分析表明，该方案在满足强不可伪造性和强不可否认性的同时，通过引入关键参数k i，不但实现了对实际签名人的私钥的隐藏，使得参与合谋攻击的签名成员无法得到其他签名人的实际私钥，还保证了对签名成员身份的可追查性，使得一旦发生纠纷时，可以追查出参与某签名的t个成员的身份，以此有效地解决了抵抗合谋攻击的问题。

此外，在增强方案的灵活性、实用性和安全性方面，本文方案已经取得较
好的效果，但对方案的时间效率方面有待优化，这是进一步研究要解决的问题。

【相关文献】
[1]Mambo M，Usuda K，Okamoto E.Proxy signature for delegating signing
operation[C]//Proc of the 3rd ACM Conference on Computer and Communications Security.New Delhi，India：ACM Press，1996：48-57.
[2]伊丽江，白国强，肖国镇.代理多重签名[J].计算机研究与发展，2001，38（2）：204-206.
[3]祁传达，陶建平，金晨辉.一个安全的多重代理签名方案[J].计算机应用研究，2006（4）：110-111.
[4] 李传目.多重代理多重签名方案[J].计算机工程，2003，29（21）：43-44.
[5]申平，张建中.新的混合代理多重签名方案[J].计算机应用研究，2009，26（2）：711-712.
[6]万世昌，程丽红，张珍.前向安全的混合代理多重签名方案[J].计算机工程与应用，2011，47（12）：80-84.
[7]王勇兵.门限混合代理多重签名方案[J].计算机工程，2012，38（9）：131-133.
[8]王萍妹.门限签名中的合谋攻击问题[J].南平师专学报，2006，25（4）：4-6.
[9]张文芳，何大可，王宏霞，等.具有可追查性的抗合谋攻击(t,n)门限签名方案[J].西南交通大学学报，2007，42（4）：461-467.
[10]Xie Qi，Yu Xiu-yuan.A new(t,n)threshold signature scheme withstanding the conspiracy attack[J].Wuhan University Journal of Natural Sciences，2005，10（1）：107-110.
[11]Gan Y J.Verifiable threshold signature schemes against conspiracy attack[J].Journal of Zhejiang University Science，2004，5（1）：50-54.
[12]Li C M，Hwang T，Lee N Y.Remark on the threshold RSA signature
scheme[C]//Advances in Cryptology-Crypto’93.Berlin：Springer-Verlag，1994，141（5）：307-313.
[13]Zhang Wen-fang，He Da-ke.Security analysis on a threshold signature scheme without a trusted party[C]//Advances in Cryptology-Chinacrypt’2006.Beijing：China Science and Technology Press，2006：45-51.
[14]Wang Ze-cheng，Qian Hai-feng，Li Zhi-bin.Hybrid proxy multi-signature：a new type multi-party signature[J].Information Science，2007，177（24）：5638-5650.
[15]赵泽茂.数字签名理论[M].北京：科学教育出版社，2007.
[16]许春香，李发根，聂旭云，等.现代密码学[M].成都：电子科技大学出版社，2008.。