曹 陽(yáng)

(陜西理工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院, 陜西 漢中 723000)

基于ECC存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案

曹 陽(yáng)

(陜西理工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院, 陜西 漢中 723000)

為了解決門(mén)限群簽名方案中聯(lián)合攻擊、偽造攻擊、權(quán)限、抵賴(lài)等問(wèn)題，本文基于hash函數(shù)的單向性、橢圓曲線離散對(duì)數(shù)問(wèn)題的難解性，結(jié)合Shamir(t,n)門(mén)限方案，提出了一種基于ECC存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案，滿(mǎn)足((t1′,n1′;t1,n1)(t2′,n2′;t2,n2))門(mén)限特性。該方案利用公鑰環(huán)境下交互式身份驗(yàn)證的方法，增加成員認(rèn)證密鑰，有效防止密鑰管理中心和簽名服務(wù)者的串通陷害；簽名者通過(guò)等式驗(yàn)證密鑰管理中心分配的秘密份額是否有效；代理授權(quán)份額的生成由原始簽名者和代理簽名者共同完成，單個(gè)簽名的生成使用了簽名者的私鑰和隨機(jī)數(shù)，有效防范抵賴(lài)。安全性分析表明，該方案具有抗聯(lián)合攻擊、強(qiáng)不可偽造性、門(mén)限特性和匿名性等特點(diǎn)，滿(mǎn)足門(mén)限群代理簽名應(yīng)有的性質(zhì)。

特權(quán)集; (t,n)門(mén)限群代理;多重簽名; ECC

門(mén)限群簽名于1991年被Desmedt等[1]首次提出，隨后許多學(xué)者針對(duì)群簽名安全性、應(yīng)用及其實(shí)現(xiàn)提出了不少簽名方案[2-4]。實(shí)際應(yīng)用中，為了解決將簽名權(quán)利委托他人的問(wèn)題，文獻(xiàn)[5]提出了(k,m;t,n)門(mén)限群代理多重簽名方案[5]。為了解決簽名者權(quán)限不同的問(wèn)題，2005年，Chen等[6]基于Shamir秘密共享，使用單簽名構(gòu)造群簽名的思想，引入特權(quán)集，提出了基于離散對(duì)數(shù)問(wèn)題的E.L.Gamal型存在特權(quán)集的門(mén)限群簽名方案[6]。近年來(lái)，為了解決簽名中的安全隱患。在文獻(xiàn)[6]的基礎(chǔ)上，將代理簽名與存在特權(quán)集門(mén)限群簽名思想相結(jié)合的方案[7-13]被不少學(xué)者提出，但仍然存在安全隱患。如文獻(xiàn)[7]所提出的方案安全性需要可信中心的誠(chéng)實(shí)性來(lái)維護(hù)；文獻(xiàn)[8]所提出的方案存在密鑰泄露問(wèn)題；文獻(xiàn)[9]所提出的方案不能抵抗合謀攻擊；文獻(xiàn)[12]所提出的方案每次參與代理簽名的只有1個(gè)特權(quán)者，如果參與的特權(quán)者不止1個(gè)，方案不能實(shí)現(xiàn)。本文針對(duì)門(mén)限群代理多重簽名中存在的聯(lián)合攻擊、偽造攻擊、權(quán)限問(wèn)題、匿名性等安全性問(wèn)題，基于ECC提出了一種存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案。

1 方案構(gòu)成

本文提出的基于ECC存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案要求滿(mǎn)足((t1′，n1′;t1,n1)(t2′,n2′;t2,n2))，即原始簽名群中n1個(gè)簽名用戶(hù)至少有t1個(gè)參與且特權(quán)集中n1′個(gè)特權(quán)用戶(hù)至少有t1′個(gè)參與才能生成合法代理授權(quán)，代理簽名群中n2個(gè)簽名用戶(hù)至少有t2個(gè)參與且特權(quán)集中n2′個(gè)特權(quán)用戶(hù)至少有t2′個(gè)參與才能生成對(duì)消息M的合法群簽名。KMC為可信任密鑰管理中心，負(fù)責(zé)給成員分配密鑰；SC為簽名服務(wù)者，負(fù)責(zé)接收單個(gè)簽名、生成群簽名及追蹤簽名人的身份；SD為簽名秘書(shū)；SV為簽名驗(yàn)證者，負(fù)責(zé)驗(yàn)證簽名是否有效。方案主要由 系統(tǒng)初始化、秘密份額分發(fā)、代理授權(quán)份額生成、代理簽名的生成、代理簽名驗(yàn)證等5個(gè)部分組成。

1.1 系統(tǒng)初始化

密鑰管理中心(KMC)選取有限域上安全橢圓曲線E(Fp)(p為大素?cái)?shù))，且該曲線滿(mǎn)足橢圓曲線離散對(duì)數(shù)問(wèn)題[14]的難解性，G為E(Fp)的基點(diǎn)，其階為q，H()為單向安全hash函數(shù)，F(xiàn)x()為求取E(Fp)上點(diǎn)的坐標(biāo)函數(shù)，公開(kāi)E(Fp),G,q,H(),Fx()。

每個(gè)原始簽名者Ui隨機(jī)選取rUi作為自己的私鑰，RUi=rUimodq作為自己的公鑰，公布RUi；每個(gè)代理簽名者隨機(jī)選取rPi作為自己的私鑰，RPi=rPimodq作為自己的公鑰，公布RPi。

KMC分別為UO和UP構(gòu)造次數(shù)為t1-1和t2-1的秘密多項(xiàng)式f(x)、次數(shù)為t1′-1和t2′-1的秘密多項(xiàng)式g(x)。

WM是原始簽名群授予代理簽名群的證書(shū)，WM中記載了原始簽名者及代理簽名者的身份、證書(shū)的有效期、代理權(quán)限、原始簽名者及代理簽名者的公鑰等信息。

簽名服務(wù)者SC隨機(jī)選取c作為自己的私鑰，將公鑰C=cGmodq連同身份證明材料發(fā)送給KMC；KMC用群密鑰為其產(chǎn)生證書(shū)WC(證書(shū)的生成與成員證書(shū)的生成類(lèi)似)。

(1)原始簽名者Ui隨機(jī)選取aUi，生成AUi=aUiGmodq，并將AUi發(fā)送給SC；代理簽名者Pi隨機(jī)選取aPi，生成APi=aPimodq，并將APi發(fā)送給SC。

(2)SC收到簽名者發(fā)送來(lái)的公鑰后，首先根據(jù)用戶(hù)的身份證明材料為用戶(hù)生成一個(gè)身份IDUi和IDPi(IDUi為原始簽名者的身份，IDPi為代理簽名者的身份)，IDUi和IDPi中包含用戶(hù)的身份標(biāo)志信息；其次計(jì)算SU=WC(IDUi‖AUi),SP=WC(IDPi‖APi),WUi=(IDUi‖AUi‖Su),WPi=(IDPi‖APi‖SP),將WUi和WPi發(fā)送給相應(yīng)的簽名者。

(3)各簽名者將收到的IDUi和IDPi發(fā)送給KMC，KMC確認(rèn)其權(quán)限后為其分發(fā)密鑰碎片。

1.2 秘密份額分發(fā)

1.3 代理授權(quán)份額生成

現(xiàn)假設(shè)已成功選出實(shí)際參與授權(quán)的原始簽名者為DO={U1,U2,…,Ut1}，DO?UO，其中恰有t1′個(gè)特權(quán)用戶(hù)。假設(shè)實(shí)際參與對(duì)消息M簽名的代理簽名者為DP={P1,P2,…,Pt2}，DP?UP，其中恰有t2′個(gè)特權(quán)用戶(hù)。

(1)Ui隨機(jī)選取dUi，計(jì)算DUi=dUimodq，將DUi在原始簽名DO和代理簽名DP中廣播；Pi隨機(jī)選取dPi，計(jì)算DPi=dPiGmodq，將DPi在原始簽名DO和代理簽名DP中廣播。

(3)原始簽名者，若Ui是普通用戶(hù)則計(jì)算ZUi=dUi+fO(xUi)λUi+(d⊕H(WM)rUimodq；若Ui是特權(quán)用戶(hù)則計(jì)算ZUi=dUi+fO(xUi)λUi+gO(yUij)μUij+(d⊕H(WM)rUimodq，其中

YU*j表示第j個(gè)特權(quán)用戶(hù)的特權(quán)身份，發(fā)送ZUi給SD。

代理簽名者，若Pi是普通用戶(hù)則計(jì)算ZPi=dPi+fP(xPi)λPi+(d⊕H(WM))rPimodq；若Ui是特權(quán)用戶(hù)則計(jì)算ZPi=dPi+fP(xPi)λPi+gP(yPij)μPij+(d⊕H(WM))rPimodq，其中

(4)SD收到后ZUi，通過(guò)等式DUi=ZUiG-(d⊕H(WM))RUi-(KUi1λUi+KUi2μUij)modq驗(yàn)證ZUi是否有效。若Ui是普通用戶(hù)則μUij為0，只計(jì)算λUi；若Ui是特權(quán)用戶(hù)，則計(jì)算λUi、μUij；若等式不成立則要求重新發(fā)送。收到ZPi后，通過(guò)等式DPi=ZPiG-(d⊕H(WM))RPi-(KPi1λPi+KPi2μPij)modq驗(yàn)證ZPi是否有效，若Pi是普通用戶(hù)則μPij為0，只計(jì)算λPi；若Pi是特權(quán)用戶(hù)，則計(jì)算λPi、μPi；若等式不成立則要求重新發(fā)送。

1.4 代理簽名的生成

(1)Pi收到(d,ν)后，計(jì)算

d′=Fx(D′)modq。

(2)SC和簽名者Pi認(rèn)證身份。

SC隨機(jī)選取u1，將u1和Wc傳送給Pi；Pi收到u1和Wc后，選取隨機(jī)數(shù)u2，計(jì)算y1=aPi(IDc‖u1‖u2)，并將WPi、y1和u2傳送給SC。

只有雙方通過(guò)認(rèn)證后，簽名者才對(duì)消息M生成單簽名，SC才會(huì)接受簽名者對(duì)M生成的單簽名。

(3)Pi隨機(jī)選取li，計(jì)算Li=liGmodq(i=1,2,…,t2-1)，將Li發(fā)送給簽名服務(wù)者SC。

(4)生成單個(gè)簽名，若Pi是普通用戶(hù)，則對(duì)消息M的單個(gè)簽名為

Si=νli+fP(xPi)λPi+(d⊕H(M))rPimodq

若Pi是特權(quán)用戶(hù)，則對(duì)消息M的單個(gè)簽名為

Si=νli+fP(xPi)λPi+gP(yPij)μPij+ (d⊕H(M))rPimodq

代理簽名為(Li,Si)，將Si通過(guò)安全信道發(fā)送給簽名服務(wù)者SC。

1.5 代理簽名驗(yàn)證

2 方案分析

2.1 正確性分析

證明

=D

2.1.2 單個(gè)簽名有效性驗(yàn)證

證明若是普通用戶(hù)，

e2=SiG-(d⊕H(M))RPi-(KPi1λPi+KPi2μPij)modq

=(νli+fP(xPi)λPi+(d⊕H(M))rPi)G-(d⊕H(WM))RPi-KPi1λPimodq

=νliG+fP(xPi)λPiG+(d⊕H(M))rPiG-(d⊕H(WM))RPi-KPi1λPimodq

=νLi+KPi1λPi+(d⊕H(M))RPi-(d⊕H(WM))RPi-KPi1λPimodq

=νLimodq

若是特權(quán)用戶(hù)，

e2=SiG-(d⊕H(M))RPi-(KPi1λPi+KPi2μPij)modq

=(νli+fP(xPi)λPi+gP(yPij)μPij+(d⊕H(M))rPi)G-(d⊕H(WM))RPi-(KPi1λPi+KPi2μPij)modq

=νliG+(fP(xPi)λPi+gP(yPij)μPij)G+(d⊕H(M))rPiG-(d⊕H(WM))RPi-(KPi1λPi+KPi2μPij)modq

=νLi+(KPi1λPi+KPi2μPij)+(d⊕H(M))RPi-(d⊕H(WM))RPi-(KPi1λPi+KPi2μPij)modq

=νLimodq

因?yàn)閑1=ν-1modq,e1e2=Li，所以單個(gè)簽名有效。

2.1.3 多重簽名驗(yàn)證

=νLmodq

因?yàn)間′=Fx(e1e2)modq=Fx(ν-1νL)=Fx(L)=g，所以多重簽名有效。

2.2 安全性分析

2.2.1 可驗(yàn)證性

本文提出的基于ECC存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案安全性主要依賴(lài)于橢圓曲線離散對(duì)數(shù)問(wèn)題的難解性及hash函數(shù)單向性。由本文有關(guān)正確性證明知，代理授權(quán)份額的生成、單個(gè)簽名的有效性、多重簽名的生成都是可驗(yàn)證的，且正確。

2.2.2 強(qiáng)不可偽造性

代理授權(quán)份額(d,ν)的生成是由所有原始簽名者和代理簽名者共同合作完成，攻擊者想要偽造授權(quán)份額(d,ν)，則必須要偽造簽名者(原始簽名者和代理簽名者)的授權(quán)份額。假設(shè)攻擊者想要偽造(DPi,ZPi)，由ZPi=dPi+fP(xPi)λPi+gP(yPij)μPij+(d⊕H(WM))rPimodq、DPi=dPiGmodq知，fP(xPi)、gP(yPij)為秘密份額，rPi、dPi為代理簽名者選取的隨機(jī)數(shù)，攻擊者想要解出正確的(DPi,ZPi)，他必須知道dPi；而要得到正確的dPi，困難性相當(dāng)于求解橢圓曲線離散對(duì)數(shù)問(wèn)題。同理,(DUi，ZUi)也是不可偽造的，所以代理授權(quán)份額(d,ν)不能被偽造。

代理簽名(g,s)不可偽造，由1.5節(jié)內(nèi)容知代理簽名是由t2個(gè)代理簽名者且恰有t2′個(gè)特權(quán)集用戶(hù)共同完成。若攻擊者不知道(d，ν)，則就不可能偽造單個(gè)代理簽名(Li,Si)；即使攻擊者知道了(d,ν)，由Si=νli+fP(xPi)λPi+gP(yPij)μPij+(d⊕H(M))rPimodq、Li=liGmodq、RPi=rPiGmodq知，攻擊者想要得到正確的li、rPi，問(wèn)題依然是求解橢圓曲線離散對(duì)數(shù)問(wèn)題。若攻擊者獲得了Pi的密鑰，偽造了Pi對(duì)消息M的簽名(Li,Si)，但SC只有在確認(rèn)Pi的身份合法后才會(huì)接受Pi發(fā)送的單個(gè)簽名，攻擊者和SC身份交互認(rèn)證時(shí)，SC就會(huì)發(fā)現(xiàn)提交簽名的簽名者的身份不合法，從而防止(Li,Si)被偽造。所以代理簽名(g,s)不能被偽造。

KMC不能偽造Pi的簽名。假設(shè)KMC和SC串通為簽名者Pi生成WPi′、秘密份額KPi′，由Si=νli+fP(xPi)λPi+gP(yPij)μPij+(d⊕H(M))rPimodq知，KMC要偽造正確的單個(gè)簽名，還必須知道簽名者的li、rPi，KMC由Li=liGmodq、RPi=rPiGmodq求解li、rPi，困難性基于橢圓曲線離散對(duì)數(shù)問(wèn)題。所以KMC無(wú)法偽造Pi的簽名。

2.2.3 抗聯(lián)合攻擊

秘密份額的分發(fā)采用雙秘密共享。代理授權(quán)過(guò)程中，用戶(hù)進(jìn)行聯(lián)合攻擊時(shí)，如果不符合t1′個(gè)特權(quán)用戶(hù)的要求，即使有t1個(gè)或t1個(gè)以上的用戶(hù)參與，由拉格郎日插值公式知，gO(yUij)不能被恢復(fù)，進(jìn)而不能恢復(fù)群密鑰；如果恰有t1′個(gè)特權(quán)用戶(hù)，但不足t1個(gè)用戶(hù)參與，fO(xUi)也不能被恢復(fù)。

類(lèi)似代理簽名生成過(guò)程中，用戶(hù)進(jìn)行聯(lián)合攻擊，如果不符合t2′個(gè)特權(quán)用戶(hù)的要求，即使有t2個(gè)或t2個(gè)以上的用戶(hù)參與，由拉格郎日插值公式知，gP(yPij)不能被恢復(fù)，進(jìn)而不能恢復(fù)群密鑰；如果恰有t2′個(gè)特權(quán)用戶(hù)，但不足t2個(gè)用戶(hù)參與，fP(xPi)也不能被恢復(fù)。所以本文方案抗聯(lián)合攻擊。

2.2.4 不可抵賴(lài)性

在代理簽名生成過(guò)程中，代理簽名者Pi對(duì)消息M的簽名(Li,Si)加入了(d,ν)、隨機(jī)數(shù)li、私鑰rPi，簽名驗(yàn)證過(guò)程中加入了所有代理簽名者的公鑰，所以代理簽名者不能抵賴(lài)自己的簽名。

2.2.5 特權(quán)集門(mén)限特性和匿名性

對(duì)原始簽名群來(lái)說(shuō)，原始簽名者總數(shù)必須≥t1，且特權(quán)集中至少有t1′個(gè)原始簽名者才能代表原始簽名群體UO將簽名權(quán)委托給代理簽名群體UP。同理，對(duì)于代理簽名群體UP來(lái)說(shuō)，代理簽名者總數(shù)必須≥t2，且特權(quán)集中至少有t2′個(gè)代理簽名者才能代表群體UP對(duì)消息M進(jìn)行簽名。所以本文方案具有門(mén)限特性。

本文方案中所有簽名者(原始簽名者和代理簽名者)都擁有自己的身份標(biāo)志，秘密份額的生成與用戶(hù)的真實(shí)身份無(wú)關(guān)，從而實(shí)現(xiàn)匿名性。

2.2.6 防陷害性

由強(qiáng)不可偽造知，攻擊KMC、SC都無(wú)法代理簽名者產(chǎn)生合法的單個(gè)簽名。假設(shè)KMC和SC串通，成功生成代理簽名者的單個(gè)簽名，但不能達(dá)到陷害的目的。因?yàn)?，設(shè)被陷害成員為Pi，KMC冒充Pi和SC執(zhí)行成員加入?yún)f(xié)議，KMC選取隨機(jī)數(shù)aPi′，計(jì)算APi′=aPi′Gmodq， SC為其生成WPi′，KMC為其分配秘密份額，并和原始簽名與代理簽名生成代理授權(quán)份額，選擇隨機(jī)數(shù)rPi′，生成單個(gè)簽名(Li′,Si′)。Pi在遭到陷害后，向仲裁機(jī)構(gòu)提交成員證書(shū)和認(rèn)證公鑰APi，證明自己被陷害。證明過(guò)程：

①仲裁機(jī)構(gòu)隨機(jī)選取k1，并發(fā)送給Pi。

②Pi收到k1，隨機(jī)選取k2，計(jì)算y1=aPi(WPi‖k1‖k2)，并將y1、WPi、k2發(fā)送給仲裁機(jī)構(gòu)。

2.3 安全性比較

方案從抗KMC偽造攻擊、會(huì)話密鑰安全性、抗聯(lián)合攻擊、特權(quán)集門(mén)限特性、匿名性等5個(gè)方面與引言中提到的文獻(xiàn)[7, 8, 9, 12]相比較。安全性比較如表1所示。其中 “√” 表示具有該方面的安全性；“×”表示不具有該方面的安全性；“T1”代表抗KMC偽造攻擊；“T2”代表會(huì)話密鑰安全性；“T3”代表抗聯(lián)合攻擊；“T4”代表參與授權(quán)或代理簽名的特權(quán)用戶(hù)個(gè)數(shù)是否大于1；T5”代表匿名性。

表1 安全性比較Table 1 Comparison of security

3 結(jié)束語(yǔ)

本文提出的基于ECC存在特權(quán)集的(t,n)門(mén)限群代理多重簽名方案，安全性基于橢圓曲線離散對(duì)數(shù)問(wèn)題的困難性、hash函數(shù)的單向性。簽名生成使用了授權(quán)份額、秘密份額和認(rèn)證密鑰，有效防止了KMC和SC的串通陷害及代理簽名者的抵賴(lài)。正確性分析表明，單個(gè)簽名是有效的，多重簽名生成正確可驗(yàn)證。安全性分析表明，該方案具有抗聯(lián)合攻擊、強(qiáng)不可偽造性、不可抵賴(lài)性、特權(quán)集門(mén)限特性和匿名性等安全屬性，具有一定的實(shí)際應(yīng)用價(jià)值。

[1] Desmedt Y, Frankel Y. Shared generation of authenticators and signatures[C]//Advances in Cryptology-CRYPTO’91. Berlin: Springer-Verlag, 1992: 457-469.

[2] Harn L. Group-oriented (t,n) threshold digital signature scheme and digital multi-signature[J]. IEEE Proceedings of Computers and Digital Techniques, 1994, 141(5): 307-313.

[3] Wang C T, Lin C H, Chang C C. Threshold signature schemes with traceable signatures in group communications[J]. Computer Communication, 1998, 21(8): 771-776.

[4] Shi Yi. Design and analysis of a new group of (tj,t,n) threshold group-signature scheme[J]. Journal of the Graduate School of the Chinese Academy of Science, 2001, 18(2): 110-113.

[5] Li L H, Tzeng S F, Hwang M S. Generalization of proxy signature based on discrete logarithms[J]. Computers & Security, 2003, 22(3): 245-255.

[6] Chen W D, Fen D G. A group of threshold group-signature schemes with privilege subsets[J]. Journal of Software, 2005, 16(7): 1289-1295.

[7] 譚作文,劉卓軍，陳偉東.存在特權(quán)集的代理門(mén)限群簽名方案[J].計(jì)算機(jī)工程與應(yīng)用,2004，40(25):31-34. Tan Z W, Liu Z J, Chen W D. Proxy threshold group-oriented signature schemes with privileged subsets[J]. Computer Engineering and Applications, 2004, 40(25): 31-34. (in Chinese)

[8] 王天芹．存在特權(quán)集的門(mén)限代理群簽名方案[J]．計(jì)算機(jī)應(yīng)用研究，2008，25(7):2146-2147． Wang T Q. Threshold proxy group-signature scheme with privilege subsets[J]. Application Research of Computers, 2008, 25(7): 2146-2147. (in Chinese)

[9] 楊長(zhǎng)海,唐西林.具有多種特性的門(mén)限多代理多簽名方案[J].計(jì)算機(jī)工程,2009,35(13): 160-162. Yang C H, Tang X L. Threshold multi-proxy and multi-signature schemes with various characteristics[J]. Computer Engineering, 2009, 35(13): 160-162. (in Chinese)

[10] 董玉蓉,汪學(xué)明.一種改進(jìn)的存在特權(quán)集的門(mén)限群簽名方案[J].計(jì)算機(jī)工程與科學(xué),2011,33(4):13-16. Dong Y R, Wang X M. An improved threshold group signature scheme with a privilege set[J]. Computer Engineering & Science, 2011, 33(4): 13-16. (in Chinese)

[11] 陳道偉,施榮華,樊翔宇.一種存在特權(quán)集門(mén)限群代理多重簽名方案[J].小型微型計(jì)算機(jī)系統(tǒng),2012,33(11):2514-2517. Chen D W, Shi R H, Fan X Y. Threshold group-proxy multi-signature schemes based on privilege subsets[J]. Journal of Chinese Computer Systems, 2012, 33(11): 2514-2517. (in Chinese)

[12] 李志敏,王勇兵.有特權(quán)者的門(mén)限代理簽名方案[J].西北師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,49(3):46-50. Li Z M, Wang Y B. Threshold proxy signature scheme with the privileged[J]. Journal of Northwest Normal University (Natural Science Edition), 2013, 49(3): 46-50. (in Chinese)

[13] 湯鵬志,郭紅麗,何濤.基于雙線性的有特權(quán)集門(mén)限代理簽名方案[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版),2014,37(9):1063-1066. Tang P Z, Guo H L, He T. Threshold proxy signature scheme with privileged subset based on bilinearity[J]. Journal of Hefei University of Technology (Natural Science Edition), 2014, 37(9): 1063-1066. (in Chinese)

[14] 曹陽(yáng),洪歧,陳勇,等.一種基于ECC具有時(shí)間限制的動(dòng)態(tài)秘密共享方案[J].重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版),2014,26(4):556-558. Cao Y, Hong Q, Chen Y,etal. A time-limited dynamic secret-sharing scheme based on ECC[J]. Journal of Chongqing University of Posts and Telecommunications, 2014, 26(4): 556-558. (in Chinese)

A(t,n)thresholdgroup-proxymulti-signatureschemewithprivilegesubsetsbasedonECC

CAO Yang

SchoolofMathematicsandComputerScience,ShaanxiUniversityofTechnology,Hanzhong723000,China

In order to solve the problems of joint attack, forgery attack, permissions and denial in the threshold group signature scheme, this paper puts forward a (t,n) threshold group-proxy multi-signature scheme with privilege subsets of ECC, based on the unidirectional hash function and the intractability of the elliptic curve discrete logarithm problem, and combined with Shamir (t,n) threshold scheme, which meets the features of ((t1′,n1′;t1,n1)(t2′,n2′;t2,n2)) threshold. By means of interactive authentication under the public key environment, the scheme adds the member authentication key so as to effectively prevent the collusion between key management center and signature server. The signer verifies whether the secret share distributed by management center is effective through the equation; the agent authorized share is generated by the original signer and the proxy signer together, and the single signature is produced by using the signer’s private key and random numbers, and this effectively prevent denial. The safety analysis shows that the scheme has merits of resisting the joint strikes, strong unforgeability, threshold peculiarity and anonymity, and it can meet the due nature of threshold group-proxy signature.

privilege subsets; (t,n) threshold group-proxy; multi-signature; ECC

TP393 [

] A

10.3969/j.issn.1671-9727.2017.05.12

1671-9727(2017)05-0623-08

2016-06-02。

國(guó)家自然科學(xué)基金項(xiàng)目(21373132)； 陜西省教育廳科研計(jì)劃項(xiàng)目(17JK0148)。

曹陽(yáng)(1978-)，女，碩士,講師，研究方向：信息安全與計(jì)算機(jī)應(yīng)用, E-mail:cyang0618@sina.com。