韓春霞，王琳杰 （銅仁學(xué)院數(shù)學(xué)與計(jì)算機(jī)科學(xué)系；計(jì)算機(jī)應(yīng)用技術(shù)研究所，貴州 銅仁554300）

2003年Gentry首次提出基于證書的加密概念 （CBE），由此克服了傳統(tǒng)公鑰加密 （PKI）中的證書管理問題以及無證書公鑰加密中對(duì)可信第三方的信任問題［1］。與PKI相似，CBE的用戶生成自己的公鑰對(duì)并向認(rèn)證中心 （CA）請(qǐng)求一個(gè)證書，該證書除了具有傳統(tǒng)PKI下所具有的所有功能外，還可以在不安全信道進(jìn)行傳送。此外，CBE不用密鑰托管，所以用戶的私鑰是安全的。

代理簽名方案是原始簽名者將自己的簽名委托給代理簽名人。2000年，Lin等［2］將盲簽名和代理簽名相結(jié)合提出了第一個(gè)代理盲簽名方案。隨后，由于現(xiàn)實(shí)的需求，將代理簽名與多重簽名相結(jié)合提出新的代理多重簽名方案［3－4］、多重代理簽名方案［5］及多重代理多重簽名方案［6－7］。多代理簽名是指在一種代理簽名方案中，一組代理簽名人接受一個(gè)原始簽名人的簽名權(quán)委托權(quán)，并且只有此組代理簽名人共同合作才能對(duì)消息進(jìn)行簽名。代理多重簽名是指一個(gè)代理者同時(shí)代理若干個(gè)原始簽名者進(jìn)行簽名。然而在實(shí)際應(yīng)用中，還可能出現(xiàn)多個(gè)原始簽名者委托多個(gè)代理簽名者去簽署一些重要文件的情況，這就是多重?cái)?shù)字簽名問題。近幾年，利用雙線性對(duì)構(gòu)造的一些基于身份的代理盲簽名方案被提出［8－10］，但是在該類方案中，私鑰生成中心 （PKG）不但可以計(jì)算系統(tǒng)內(nèi)任何用戶的私鑰，而且也可以偽造任何一個(gè)用戶的代理盲簽名，但現(xiàn)實(shí)中要求PKG絕對(duì)可靠是不理想的。下面，筆者對(duì)基于證書的多重代理多重盲簽名方案進(jìn)行了研究。

1 準(zhǔn)備知識(shí)

1.1 雙線性對(duì)

設(shè)G1是P生成的循環(huán)加法群，其階為素?cái)?shù)q，P是G1的生成元，G2是一個(gè)階為素?cái)?shù)q的循環(huán)乘法群。雙線性對(duì)e：G1×G1→G2，具有以下性質(zhì)：

（1）雙線性：e（aP，bQ）＝e（P，Q）ab，對(duì)所有P，Q∈G1和所有的a，b∈，其中表示素?cái)?shù)q的既約剩余類。

（2）非退化性：存在P∈G1，使得e（P，Q）≠1。

（3）可計(jì)算性：存在有效算法可以計(jì)算e（P，Q），對(duì)于所有P，Q∈G1。

1.2 相關(guān)的數(shù)學(xué)難題

（1）離散對(duì)數(shù)難題 （DLP）。設(shè)P，Q∈G1，要找到一個(gè)正整數(shù)n∈，使得滿足Q＝nP是困難的。

（2）判斷Diffie－Hellman難題 （DDHP）。?P，aP，bP，cP∈G1，其中a，b，c∈，要判定c≡ab modq是否成立是難題。

（3）計(jì)算Diffie－Hellman難題 （CDHP）。?P，aP，bP∈G1，其中a，b∈，計(jì)算abP是困難的。

若群G1的CDHP是難解的，而DDHP是容易解的，稱G1是Gap Diffie－Hellman（GDH）群。

2 多重代理多重盲簽名方案分析

利用雙線性對(duì)的知識(shí)，構(gòu)造一個(gè)基于證書的多重代理多重盲簽名方案。方案參與者包括原始簽名組、代理簽名組、簽名收集者、盲消息擁有者以及任意的驗(yàn)證者。該方案包括系統(tǒng)初始化、用戶密鑰生成、證書生成及委托、簽名和驗(yàn)證。

2.1 系統(tǒng)初始化過程

該方案的系統(tǒng)參數(shù)：

式中，H1、H2分別是密碼學(xué)上2個(gè)強(qiáng)無碰撞的安全單向哈希函數(shù)

2.2 用戶密鑰生成過程

假設(shè)原始簽名授權(quán)組成員為Ai（i＝1，…，m），身份信息為IDai（i＝1，…，m）；代理簽名授權(quán)組成員為Bj（j＝1，…，n），身份信息為IDbj（j＝1，…，n）。首先利用哈希函數(shù) H1計(jì)算 Qai＝ H1（IDai），Qbj＝H1（IDbj），并將Qai和Qbj公布。每個(gè)原始簽名授權(quán)組成員Ai（i＝1，…，m）選擇隨機(jī)數(shù)xai∈作為其私鑰，相應(yīng)的公鑰為PKai＝xaiP；代理簽名人Bj（j＝1，…，n）選擇隨機(jī)數(shù)xbj∈為其私鑰，相應(yīng)的公鑰為PKbj＝xbjP，mwij表示Ai給Bj的授權(quán)（i＝1，2，…，m；j＝1，2，…，n），包含Ai和Bj的身份信息、代理授權(quán)有效期限、授權(quán)范圍、代理權(quán)限等。

2.3 證書生成及委托過程

第j個(gè)代理簽名者Bj（j＝1，…，n）可以按照以下過程從第i個(gè)原始簽名者Ai（i＝1，…，m）獲得證書。

（1）Bj將身份信息（包括IDbj，Qbj和其他必要認(rèn)證信息）發(fā)給Ai。

（2）Ai先驗(yàn)證Bj身份信息的有效性。若Bj的身份信息驗(yàn)證通過，Ai選擇隨機(jī)數(shù)rij∈計(jì)算Rij＝然后生成Bj的證書Certij＝ （rijhij＋1）xaiQai，再將發(fā)送給代理簽名人Bj。

（3）Bj收到再驗(yàn)證PKai）是否成立，如果等式成立，則Bj接受簽名，否則拒絕。Bj驗(yàn)證完原始簽名者Ai所生成的證書Certij后，計(jì)算作為自己代理簽名私鑰，因?yàn)椋?/p>

2.4 簽名過程

為了完成對(duì)消息M的簽名，每位代理簽名人Bj（j＝1，…，n）接受信息擁有者UI發(fā)出的簽名申請(qǐng)，且Bj按照如下步驟進(jìn)行多重盲簽名。

（1）Bj選擇隨機(jī)數(shù)每位代理簽名者Bj都將R′j和mwmj；R1j，R2j，…，Rmj；Cert1j，Cert2j，…，Certmj）發(fā)給簽名收集者UC。

（2）UC首先驗(yàn)證下面等式是否成立，若不成立則終止簽名，否則求出并將rB發(fā)給消息擁有者UI。

（3）UI隨機(jī)選擇P1∈G1，β，λ∈，計(jì)算R＝（P1，P）λ，h2＝H2（M，R），h′＝h2β，并將h′發(fā)給Bj。

（4）Bj收到h′后，計(jì)算V′j＝ （αjh′＋1）Vj，將V′j發(fā)給UC。

（5）UC收到簽名V′j后，驗(yàn)證，若成立則接受簽名，否則拒絕該簽名或者要求代理人Bj重新簽名；若所有代理簽名人的簽名都通過驗(yàn)證，則計(jì)算并將發(fā)給UI。

（6）UI接受到后，計(jì)算V＝h2λP1，則消息M的多重代理盲簽名為σ（M）＝（M，V，R）并發(fā)送給簽名的接受者。

2.5 驗(yàn)證過程

簽名驗(yàn)證者收到σ（M）＝ （M，V，R）后，首先計(jì)算h2＝ H2（M，R），然后驗(yàn)證e（V，P）＝Rh2×是否成立，若等式成立，則接受簽名，否則拒絕，其原因是：

3 安全性分析

代理盲簽名應(yīng)滿足可驗(yàn)證性、可區(qū)分性、可識(shí)別性、不可偽造性、不可否認(rèn)性、盲性及不可追蹤性等安全要求［11－12］。在驗(yàn)證有效地代理盲簽名σ（M）＝ （M，V，R）的過程中，代理權(quán)限mwij、原始簽名組PKai和代理簽名組的公鑰PKbj及所有用戶的身份信息Qai、Qbj均要出現(xiàn)在驗(yàn)證算法中，由此驗(yàn)證基于證書的多重代理多重盲簽名方案滿足可驗(yàn)證性、可區(qū)分性、可識(shí)別性和不可否認(rèn)性等安全要求。下面重點(diǎn)分析該方案滿足不可偽造性、盲性以及不可追蹤性的安全要求情況。

3.1 不可偽造性

在該方案中，假如攻擊者想要偽造原始簽名人Ai（i＝1，2，…，m）對(duì)代理簽名人Bj（j＝1，…，n）的委托簽名（mwij，Rij，Certij）面臨CDHP難題。同時(shí)，mwij確定除了Bj以外其他任何人不能接受委托而成為代理簽名者，并且Bj的代理簽名私鑰是利用委托簽名（mwij，Rij，Certij）和其私鑰所生成的，因而除了Bj外，其他任何人不能以Bj的名義生成合法的代理密鑰。

3.2 不可鏈接性

用戶UI公布簽名σ（M）＝ （M，V，R）后，即使Bj保留每一次簽名時(shí)的序?qū)Γ╤′，V′j），均不能從h′＝h2β與V＝＋h2λP1中求出P1，β，λ，所以要把該多重代理簽名與其以前某個(gè)簽名聯(lián)系起來是不可行的，也不能由已經(jīng)公開的簽名中求出簽名接收者的身份及被簽署內(nèi)容，因而該方案具有不可鏈接性。

3.3 盲性

根據(jù)簽名算法，若給定的一個(gè)有效的代理盲簽名σ（M）＝ （M，V，R）且在簽發(fā)過程中用到數(shù)據(jù)（rB，h′，），則下列等式成立：

因此，只需要證明存在2個(gè)盲因子（P′1，λ′）滿足e（V－，P）＝e（h2λ′P′1，P）。由式（4）可知，盲因子（P1，λ）總是存在且滿足式 （4）的定義，因而該方案具有盲性。

4 結(jié) 語

多重代理多重盲簽名綜合了多重代理多重簽名和盲簽名的優(yōu)點(diǎn)，在現(xiàn)實(shí)生活中有著廣泛的應(yīng)用，如電子商務(wù)、辦公自動(dòng)化、電子投票等方面?；陔p線性對(duì)提出了基于證書的多代理多盲簽名方案，由安全性分析可知，該方案滿足多重代理多重簽名的不可偽造性、不可否認(rèn)性、可驗(yàn)證性等安全特性，同時(shí)還滿足盲簽名的不可鏈接性。因此，基于證書的多代理多盲簽名方案具有可行性。

［1］Gentry C.Certificate－based Encryption and the Certificate Revocation Problem ［J］.Lecture Notes in Computer Science，2003，656：272－293.

［2］Lin W D，Jan J K.A security personal learning tools using aproxy blind signature scheme ［A］.Proc of International Conference on Chinese Language Computing ［C］.USA：Chinese Language Computer Society Knowledge Systems Institute，2000：273－277.

［3］伊麗江，白國強(qiáng)，肖國鎮(zhèn) .代理多重簽名：一類新的代理簽名方案 ［J］.電子學(xué)報(bào)，2001，29（4）：569－570.

［4］何軍，李麗娟，李喜梅，等 .前向安全的代理多重?cái)?shù)字簽名方案 ［J］.計(jì)算機(jī)工程，2010，36（14）：122－126.

［5］祁傳達(dá)，陶建平，金晨輝 .一個(gè)安全的多重代理簽名方案 ［J］.計(jì)算機(jī)應(yīng)用研究，2006，4：110－111.

［6］楊長海 .基于身份的門限多代理多盲簽名方案 ［J］.計(jì)算機(jī)工程與應(yīng)用.2010，46（18）：121－124.

［7］秦艷琳，吳曉平.基于ECC的多重代理多重盲簽名方案 ［J］.計(jì)算機(jī)工程.2010，36（11）：134－139.

［8］Zheng D，Huang Z，Chen K F.ID－based proxy blind signature ［J］.IEEE Computer Society，2004，92：380－383.

［9］Lang W M，Tan Y M，Yang Z K.A new efficient ID－based proxy blind signature scheme ［J］.IEEE Computer Society，2004，92：407－411.

［10］張學(xué)軍，王育民 .高效的基于身份的代理盲簽名 ［J］.計(jì)算及應(yīng)用，2006，26（11）：2586－2588.

［11］農(nóng)強(qiáng)，吳順祥 .一類新的基于證書的代理盲簽名 ［J］.計(jì)算機(jī)工程與應(yīng)用，2008，44（12）：124－165.

［12］王雯娟，黃振杰，郝艷華 .一個(gè)高效的基于證書數(shù)字簽名方案 ［J］.計(jì)算及工程與應(yīng)用，2011，47（6）：89－92.