一個高效的無證書代理盲簽名方案

文佳駿，左黎明，李 彪

(華東交通大學基礎科學學院，江西 南昌 330013)

一個高效的無證書代理盲簽名方案

文佳駿，左黎明，李 彪

(華東交通大學基礎科學學院，江西 南昌 330013)

結合多篇文獻發現現有的方案并不高效，在文獻[5]的基礎上提出了一種高效的無證書代理盲簽名方案。本方案通過對部分密鑰的適當修改來減少雙線性對運算；同時，由于網絡服務的不斷提升，利用通訊耗時替代運算耗時同樣能夠提升效率。與多種方案的簽名算法與驗證算法作效率分析對比得出，該方案在效率上具有極大的提升，且方案滿足不可偽造性、不可否認性、可鑒別性和盲性等性質。

無證書代理盲簽名；DLP困難問題；效率分析

1 引言

代理簽名[1]在1996年由Mambo M等提出，它是在原簽名者由于特殊原因無法進行簽名時，將自己的簽名權授權給代理簽名者，使之能夠代替原簽名者執行簽名，且驗證者能夠驗證該簽名的合法性。盲簽名的概念[2]是在1982年美國密碼學會議上由Chaum D提出的，它的特點是簽名者無法獲知簽名消息的具體內容，且簽名后無法鏈接該消息，因此特點而廣泛應用在電子支付、電子投票等領域。結合代理簽名和盲簽名的特點提出了代理盲簽名。

無證書公鑰密碼體制CL-PKC(Certificateless Public Key Cryptography)[3]是在2003年亞密會上由Al-Riyami和Paterson提出的。它的特點在于不存在密鑰托管問題和證書管理耗費，由密鑰生成中心KGC(Key Generate Center)依據參與者的身份生成對應的部分私鑰，通過安全信道傳遞給參與者，然后參與者再通過隨機選取秘密值與部分密鑰結合成自己的私鑰。

研究人員將代理盲簽名和無證書公鑰體制的優點相結合，提出了無證書代理盲簽名方案。分析近幾年關于無證書代理盲簽名方案的相關文獻得出：該類方案主要是基于離散對數困難問題DLP(Discrete Logarithm Problem)和雙線性對分叉問題提出的，文獻[4]中的簽名方案是基于多線性映射的概念提出的，能夠防止由于密鑰生成中心不誠信行為而產生的偽造簽名。

本文基于離散對數困難問題提出了一個無證書代理盲簽名方案，通過對比文獻[5～9]說明本方案在性能上具有極大的提升。

2 預備知識

2.1 雙線性映射

(2)非退化性：存在P∈G1，滿足e(P,P)≠ρ，其中ρ是G1的幺元；

(3)可計算性：對所有的Q、R∈G1，存在有效算法可以計算e(Q,R)。

2.2 數學困難問題假定

(2)計算性Diffie-Hellman問題：若已知aQ、bQ、Q∈G1，在a、b未知的情況下，計算abQ是困難的。

(3)逆計算性Diffie-Hellman問題：若已知P、aP∈G1，計算a-1P是困難的。

(4)雙線性對分叉問題：若已知Q、R∈G1,U∈G2，找到滿足等式U=e(Q,R)的R∈G1是困難的。

3 代理盲簽名的特點

一個安全可靠的代理盲簽名通常滿足五個特點：

(1)不可偽造性：原簽名者授權給代理簽名者后，除了代理簽名者以外的任何人(包括原簽名者)都無法進行代理簽名。

(2)不可否認性：如果代理簽名者產生了一個合法有效的代理簽名，則無法否認其合法性和有效性。

(3)可鑒別性：任何人都可以通過合法方式鑒別出該代理簽名所對應的代理簽名者。

(4)盲性：代理簽名者進行簽名時無法獲知該簽名的任何信息。

(5)不可鏈接性：簽名消息公布后，代理簽名者無法從簽名消息準確得知該簽名所對應的原始消息。

4 無證書代理盲簽名方案

4.1 原簽名方案

文獻[5]中的無證書簽名方案是基于無證書密碼體制和代理盲簽名提出的。方案涉及的成員包含：密鑰生成中心KGC、原簽名者A、代理簽名者B、用戶C和驗證者。方案由如下六個算法組成：系統參數的生成、部分密鑰提取、用戶密鑰生成、代理密鑰生成、代理盲簽名和驗證。該方案可以描述如下：

(1)系統參數的生成。

(2)部分密鑰提取。

設原簽名者A和代理簽名者B的身份信息分別為IDA和IDB，KGC計算UA=H1(IDA)和UB=H1(IDB)，并為其生成部分密鑰pskA=sUA和pskB=sUB，將pskA、pskB通過安全信道分別傳送給A、B。

(3)用戶密鑰的生成。

(4)代理密鑰的生成。

①原簽名者A建立一個用于說明雙方身份、授權范圍期限等內容的授權許可證信息mw，然后計算UB=H1(IDB),生成一個短簽名Sw=xAH3(mw)UB+pskA，并將(mw,Sw)通過安全信道發送給B。

②代理簽名者B首先驗證等式：

(1)

是否成立。如果不成立則終止代理過程，否則計算代理簽名密鑰：Sp=Sw+xBH3(mw)UA+pskB。

(5)代理盲簽名的生成。

④C首先計算UA=H1(IDA)和UB=H1(IDB),然后驗證：

e(V′,Ppub)={[e(UB,PKA)e(

UA,PKB)]H3(mw)e(UA+UB,Ppub)}h′U

(2)

是否成立。若不成立，拒絕V′，否則計算V=αV′+βP，則消息m的代理盲簽名方案為σ=(V,U′,mw)。

(6)代理盲簽名的驗證。

驗證者首先計算UA=H1(IDA)和UB=H1(IDB)：

U″=e(V,Ppub){[e(UB,PKA)e(

UA,PKB)]H3(mw )e(UA+UB,Ppub)}-h

然后驗證:

h=H2(m,U″)

(3)

是否成立。如果等式成立接受簽名，否則拒絕簽名。

4.2 新簽名方案

本文的無證書代理盲簽名方案是在原簽名方案的基礎上做了一些改進，本節所給出方案在簽名階段無需過多雙線性配對運算。

本方案的成員包含：密鑰生成中心KGC、原簽名者A、代理簽名者B、用戶C和驗證者。方案由系統參數的生成、部分密鑰的生成、用戶密鑰的生成、代理密鑰的生成、代理盲簽名的生成和代理盲簽名的驗證六個部分組成。方案具體描述如下：

(1)系統參數的生成。

(2)部分密鑰的生成。

定義原簽名者A和代理簽名者B的身份信息分別為IDA和IDB，KGC計算UA=H1(IDA)和UB=H1(IDB)，由此生成其部分密鑰pskA=s-1UAP和pskB=s-1UBP，并將(pskA,UA)和(pskB,UB)通過安全信道分別傳送給A和B。

(3)用戶密鑰的生成。

(4)代理密鑰的生成。

①原簽名者A如果要將簽名權限授權給代理簽名者B，首先需要生成一個用于說明雙方身份信息、代理權限、授權范圍和期限等內容的授權許可證書mw;然后生成Sw=xAH3(mw,PKA)UB+pskA，并計算EAB=e(UA,PKB);最后將(mw,Sw,EAB)通過安全信道發送給B。

②代理簽名者B收到(mw,Sw,EAB)后首先驗證等式：

(4)

是否成立。如果等式不成立,拒絕接受代理授權，反之則計算代理簽名密鑰：Sp=Sw+xBH3(mw,PKB)UA+pskB，并計算EBA=e(UB,PKA)。

(5)代理盲簽名的生成。

④C首先計算UA=H1(IDA)和UB=H1(IDB),然后驗證等式：

e(V′,Ppub)=

(5)

是否成立。如果等式不成立,拒絕V′接受代理授權；反之，則先計算V=αV′+βP，得出消息m的代理盲簽名方案為σ=(V,U′,mw)。

(6)代理盲簽名的驗證。

驗證者首先計算UA=H1(IDA)、UB=H1(IDB)、EAB和EBA：

U″=e(V,Ppub)

然后驗證:

h=H2(m,U″)

(6)

是否成立。如果等式不成立，拒絕簽名，否則接受簽名。

5 方案分析

5.1 正確性分析

(1)生成代理密鑰階段的驗證等式(4)的證明。

e(Sw,Ppub)=e(xAH3(mw)UB+pskA,Ppub)=e(xAH3(mw)UB,Ppub)e(pskA,Ppub)=e(UB,xAPpub)H3(mw)e(s-1UAP,sP)=e(UB,PKA)H3(mw)gUA

(2)生成代理盲簽名階段的驗證等式(5)的證明。

(3)驗證簽名階段的驗證等式(6)的證明。

首先對e(V,Ppub)進行恒等變換：

由此U″=e(V,Ppub){[e(UB,PKA)e(UA,PKB)]H3(mw)gUA+UB}-h=U′

因此得證h=H2(m,U″)。

5.2 安全性分析

(1)不可偽造性。

(2)不可否認性。

在前文提到，mw是一個包含說明雙方身份信息、代理權限、授權范圍和期限等內容的授權許可證書，并且在生成短簽名中利用安全強碰撞的Hash函數對其進行了散列，因此攻擊者無法偽造該授權許可證書和短簽名。所以，代理簽名者B一旦代理盲簽名成功，則無法否認該簽名。

(3)可鑒別性。

由于mw是一個包含說明雙方身份信息的授權許可證書，所以任何人都可以通過該授權許可證書鑒別出對應的代理簽名者B。

(4)盲性。

由于用戶C對消息m使用Hash函數進行了散列，而且隨機選取了一對盲因子α和β，這使得代理簽名者B要想獲得消息m的內容，必須得到這對盲因子且對Hash函數求逆，代理簽名者B無法獲得消息m的真實內容。因此，該方案是具有盲性的。

(5)不可鏈接性。

公布簽名消息σ=(V,U′,mw)后，由于V=αV′+βP，而α和β是用戶C隨機選取的盲因子，簽名者無法得知，進而也就無法得出V和V′的關系。因此，該方案是具有不可鏈接性的。

6 性能分析

下面列出各文獻中方案的簽名表達式和驗證等式，并對各文獻的方案性能進行分析，最后與本方案作一個對比,如表1所示。結果表明本方案在性能上有極大的提升。

文獻[5]方案簽名表達式為：

文獻[5]方案驗證等式為：

文獻[10]方案簽名表達式為：

文獻[10]方案驗證等式為：

e(V,Ppup)=U[e(QA,PA)e(QB,PB)e(

rA,H2(w,rA))]H3(m,U)

文獻[11]方案簽名表達式為：

文獻[11]方案驗證等式為：

e(S,P)=Ke(QB,PKA)H3(mw)H2(M,K)e(

QA,PKB)H3(mw)H2(M,K)e(QA+QB,Pub)H2(M,K)

文獻[12]方案簽名表達式為：

文獻[12]方案驗證等式為：

e(T,P)=e(QA+QB,P0)e(U,PA)e(V,PB)e(W,R)

文獻[13]方案簽名表達式為：

文獻[13]方案驗證等式為：

e(T′,P)=e(QA+QB,P0)e(

U,PA)e(V,PB)e(W′,R′)

7 結束語

本文基于無證書公鑰密碼體制提出一種無證書代理盲簽名方案，該方案是安全有效的，它不依賴于證書，擺脫了密鑰托管的限制，且是在數學DLP困難問題的基礎上建立起來的，安全性更高，表1中的數據說明該方案在性能上有極大的提升。

[1]MamboM,UsudaK,OkamotoE.Proxysignature:Delegationofthepowertosignmessage[J].IECETransactionsonFundamentals, 1996,E79-A(9):1338-1353.

[2]ChaumD.Blindsignaturesforuntraceablepayments[C]∥ProcofCrypto’82, 1982:199-203.

[3]Al-riyamiS,PatersonK.Certificatelesspublickeycryptography[C]∥ProcofAsiacrypt’03, 2003:452- 473.

[4]TangPeng-zhi,LiBiao,LiXiao-xiong.Thecertificatelessproxyblindsignatureschemebasedonmultilinearpairing[J].JournalofHefeiUniversityofTechnology, 2012,35(5):613-616.(inChinese)

[5]WeiChun-yan,CaiXiao-qiu.Newcertificatelessproxyblindsignaturescheme[J].JournalofComputerApplications,2010,30(12):3341-3342.(inChinese)

[6]FanCI,SunW,HuangVS-M.Provablysecurerandomizedblindsignatureschemebasedonbilinearpairing[J].ComputersandMathematicswithApplications, 2010, 60(2):285-293.

[7]KoblitzN,MenezesAJ,VanstoneSA.Thestateofellipticcurvecryptography[J].Design,CodesandCryptography, 2000,19(2-3):173-193.

[8]MenezesA,vanOorschotP,VanstoneCS.Handbookofappliedcryptography[M].Florida:BocaRaton,CRCPress, 1997.

[9]ZhangY,LiuW,LouW,etal.Securingmobileadhocnetworkswithcertificatelesspublickeys[J].IEEETransactionsonDependableandSecureComputing, 2006,3(4):386-399.

[10]ZhangJian-zhong,PengLi-hui,XueRong-hong.Certificatelessproxyblindsignaturescheme[J].ComputerEngineering,2011,37(14):122-123.(inChinese)

[11]ZhangJian-zhong,YangLi.Cryptographyanalysisandimprovementoncertificatelessproxyblindsignaturescheme[J].ComputerEngineeringandApplications,2013,49(22):100-103.(inChinese)

Table 1 Certificateless of proxy blind signature scheme efficiency analysis

[12] Chen Hu,Song Ru-shun. Certificateless proxy signature and proxy blind signature schemes[J]. Computer Engineering and Applications,2009,45(10):92-97.(in Chinese)

[13] Wu Chen-huang,Liang Hong-mei,Chen Zhi-xiong.Improvement of certificateless proxy blind signature schemes[J]. Computer Engineering and Applications,2011,47(1):89-91.(in Chinese)

[14] Cai Guang-xing, Chen Hua. New ID-based proxy blind signature scheme from bilinear pairings[J]. Computer Engineering,2007,33(9):145-147.(in Chinese)

[15] Chen Ling-ling, Kang Bao-yuan, Zhang Lei. A kind of high efficient identity-based proxy blind signature scheme[J]. Journal of East China Jiaotong University,2008,25(1):113-116.(in Chinese)

附中文參考文獻：

[4] 湯鵬志，李彪，李曉雄.基于多線性映射的無證書代理盲簽名方案[J]. 合肥工業大學學報(自然科學版), 2012,35(5):613-616.

[5] 魏春艷，蔡曉秋.新的無證書代理盲簽名方案[J].計算機應用,2010,30(12):3341-3342.

[10] 張建中，彭麗慧，薛榮紅. 一個無證書代理盲簽名方案[J]. 計算機工程,2011,37(14):122-123.

[11] 張建中，楊麗.無證書代理盲簽名方案的密碼學分析與改進[J]. 計算機工程與應用,2013,49(22):100-103.

[12] 陳虎，宋如順. 無證書代理簽名和代理盲簽名方案[J]. 計算機工程與應用,2009,45(10):92-97.

[13] 吳晨煌，梁紅梅，陳智雄.一個無證書代理盲簽名方案的改進[J].計算機工程與應用,2011,47(1):89-91.

[14] 蔡光興，陳華. 一種新的基于身份的代理盲簽名方案[J]. 計算機工程,2007,33(9):145-147.

[15] 陳玲玲，亢保元，張磊. 一種高效的基于身份的代理盲簽名方案[J].華東交通大學學報,2008,25(1):113-116.

WEN Jia-jun,born in 1990,MS candidate,his research interest includes information security.

左黎明(1981-),男，江西鷹潭人，碩士，講師，CCF會員(E200013632M)，研究方向為信息安全和非線性系統。E-mail:Limingzuo@126.com

ZUO Li-ming,born in 1981,MS,lecturer,CCF member(E200013632M)，his research interests include information security, and nonlinear system.

李彪(1988-),男,江西南昌人，碩士生，研究方向為信息安全。E-mail:175413481@qq.com

LI Biao,born in 1988,MS candidate,his research interest includes information security.

An efficient certificateless proxy blind signature scheme

WEN Jia-jun,ZUO Li-ming,LI Biao
(School of Basic Science,East China Jiaotong University,Nanchang 330013,China)

Considering that multiple references found that the existing scheme is not efficient, based on reference[5], it proposes a certificateless proxy blind signature scheme with high efficiency. The scheme is based on the appropriate modification of partial key to reduce the operation time of bilinear pairings. Meanwhile, due to the continuous improvement of the network service, replacing the operation time by the communication time can improve the efficiency. By comparing the proposal with various signature algorithms and verification algorithms, it is proved that our scheme improves the efficiency greatly and satisfies unforgeability, nonrepudiation, identification, blindness, etc.

certificateless proxy blind signature;DLP difficult issues;efficiency analysis

2012-08-10;

2012-12-21

國家自然科學基金資助項目(11061014)；江西省教育廳科研項目(GJJ11675,GJJ11678)；華東交通大學校立科研基金資助項目(11JC04)

1007-130X(2014)03-0452-06

TP309.7

A

10.3969/j.issn.1007-130X.2014.03.013

文佳駿(1990-),男,江西萍鄉人，碩士生，研究方向為信息安全。E-mail:wen_jxpx@me.com

通信地址：330013 江西省南昌市華東交通大學基礎科學學院

Address:School of Basic Science,East China Jiaotong University,Nanchang 330013,Jiangxi,P.R.China