文佳駿，左黎明，李 彪

(華東交通大學(xué)基礎(chǔ)科學(xué)學(xué)院，江西 南昌 330013)

一個(gè)高效的無證書代理盲簽名方案

文佳駿，左黎明，李 彪

(華東交通大學(xué)基礎(chǔ)科學(xué)學(xué)院，江西 南昌 330013)

結(jié)合多篇文獻(xiàn)發(fā)現(xiàn)現(xiàn)有的方案并不高效，在文獻(xiàn)[5]的基礎(chǔ)上提出了一種高效的無證書代理盲簽名方案。本方案通過對部分密鑰的適當(dāng)修改來減少雙線性對運(yùn)算；同時(shí)，由于網(wǎng)絡(luò)服務(wù)的不斷提升，利用通訊耗時(shí)替代運(yùn)算耗時(shí)同樣能夠提升效率。與多種方案的簽名算法與驗(yàn)證算法作效率分析對比得出，該方案在效率上具有極大的提升，且方案滿足不可偽造性、不可否認(rèn)性、可鑒別性和盲性等性質(zhì)。

無證書代理盲簽名；DLP困難問題；效率分析

1 引言

代理簽名[1]在1996年由Mambo M等提出，它是在原簽名者由于特殊原因無法進(jìn)行簽名時(shí)，將自己的簽名權(quán)授權(quán)給代理簽名者，使之能夠代替原簽名者執(zhí)行簽名，且驗(yàn)證者能夠驗(yàn)證該簽名的合法性。盲簽名的概念[2]是在1982年美國密碼學(xué)會(huì)議上由Chaum D提出的，它的特點(diǎn)是簽名者無法獲知簽名消息的具體內(nèi)容，且簽名后無法鏈接該消息，因此特點(diǎn)而廣泛應(yīng)用在電子支付、電子投票等領(lǐng)域。結(jié)合代理簽名和盲簽名的特點(diǎn)提出了代理盲簽名。

無證書公鑰密碼體制CL-PKC(Certificateless Public Key Cryptography)[3]是在2003年亞密會(huì)上由Al-Riyami和Paterson提出的。它的特點(diǎn)在于不存在密鑰托管問題和證書管理耗費(fèi)，由密鑰生成中心KGC(Key Generate Center)依據(jù)參與者的身份生成對應(yīng)的部分私鑰，通過安全信道傳遞給參與者，然后參與者再通過隨機(jī)選取秘密值與部分密鑰結(jié)合成自己的私鑰。

研究人員將代理盲簽名和無證書公鑰體制的優(yōu)點(diǎn)相結(jié)合，提出了無證書代理盲簽名方案。分析近幾年關(guān)于無證書代理盲簽名方案的相關(guān)文獻(xiàn)得出：該類方案主要是基于離散對數(shù)困難問題DLP(Discrete Logarithm Problem)和雙線性對分叉問題提出的，文獻(xiàn)[4]中的簽名方案是基于多線性映射的概念提出的，能夠防止由于密鑰生成中心不誠信行為而產(chǎn)生的偽造簽名。

本文基于離散對數(shù)困難問題提出了一個(gè)無證書代理盲簽名方案，通過對比文獻(xiàn)[5～9]說明本方案在性能上具有極大的提升。

2 預(yù)備知識(shí)

2.1 雙線性映射

(2)非退化性：存在P∈G1，滿足e(P,P)≠ρ，其中ρ是G1的幺元；

(3)可計(jì)算性：對所有的Q、R∈G1，存在有效算法可以計(jì)算e(Q,R)。

2.2 數(shù)學(xué)困難問題假定

(2)計(jì)算性Diffie-Hellman問題：若已知aQ、bQ、Q∈G1，在a、b未知的情況下，計(jì)算abQ是困難的。

(3)逆計(jì)算性Diffie-Hellman問題：若已知P、aP∈G1，計(jì)算a-1P是困難的。

(4)雙線性對分叉問題：若已知Q、R∈G1,U∈G2，找到滿足等式U=e(Q,R)的R∈G1是困難的。

3 代理盲簽名的特點(diǎn)

一個(gè)安全可靠的代理盲簽名通常滿足五個(gè)特點(diǎn)：

(1)不可偽造性：原簽名者授權(quán)給代理簽名者后，除了代理簽名者以外的任何人(包括原簽名者)都無法進(jìn)行代理簽名。

(2)不可否認(rèn)性：如果代理簽名者產(chǎn)生了一個(gè)合法有效的代理簽名，則無法否認(rèn)其合法性和有效性。

(3)可鑒別性：任何人都可以通過合法方式鑒別出該代理簽名所對應(yīng)的代理簽名者。

(4)盲性：代理簽名者進(jìn)行簽名時(shí)無法獲知該簽名的任何信息。

(5)不可鏈接性：簽名消息公布后，代理簽名者無法從簽名消息準(zhǔn)確得知該簽名所對應(yīng)的原始消息。

4 無證書代理盲簽名方案

4.1 原簽名方案

文獻(xiàn)[5]中的無證書簽名方案是基于無證書密碼體制和代理盲簽名提出的。方案涉及的成員包含：密鑰生成中心KGC、原簽名者A、代理簽名者B、用戶C和驗(yàn)證者。方案由如下六個(gè)算法組成：系統(tǒng)參數(shù)的生成、部分密鑰提取、用戶密鑰生成、代理密鑰生成、代理盲簽名和驗(yàn)證。該方案可以描述如下：

(1)系統(tǒng)參數(shù)的生成。

(2)部分密鑰提取。

設(shè)原簽名者A和代理簽名者B的身份信息分別為IDA和IDB，KGC計(jì)算UA=H1(IDA)和UB=H1(IDB)，并為其生成部分密鑰pskA=sUA和pskB=sUB，將pskA、pskB通過安全信道分別傳送給A、B。

(3)用戶密鑰的生成。

(4)代理密鑰的生成。

①原簽名者A建立一個(gè)用于說明雙方身份、授權(quán)范圍期限等內(nèi)容的授權(quán)許可證信息mw，然后計(jì)算UB=H1(IDB),生成一個(gè)短簽名Sw=xAH3(mw)UB+pskA，并將(mw,Sw)通過安全信道發(fā)送給B。

②代理簽名者B首先驗(yàn)證等式：

(1)

是否成立。如果不成立則終止代理過程，否則計(jì)算代理簽名密鑰：Sp=Sw+xBH3(mw)UA+pskB。

(5)代理盲簽名的生成。

④C首先計(jì)算UA=H1(IDA)和UB=H1(IDB),然后驗(yàn)證：

e(V′,Ppub)={[e(UB,PKA)e(

UA,PKB)]H3(mw)e(UA+UB,Ppub)}h′U

(2)

是否成立。若不成立，拒絕V′，否則計(jì)算V=αV′+βP，則消息m的代理盲簽名方案為σ=(V,U′,mw)。

(6)代理盲簽名的驗(yàn)證。

驗(yàn)證者首先計(jì)算UA=H1(IDA)和UB=H1(IDB)：

U″=e(V,Ppub){[e(UB,PKA)e(

UA,PKB)]H3(mw )e(UA+UB,Ppub)}-h

然后驗(yàn)證:

h=H2(m,U″)

(3)

是否成立。如果等式成立接受簽名，否則拒絕簽名。

4.2 新簽名方案

本文的無證書代理盲簽名方案是在原簽名方案的基礎(chǔ)上做了一些改進(jìn)，本節(jié)所給出方案在簽名階段無需過多雙線性配對運(yùn)算。

本方案的成員包含：密鑰生成中心KGC、原簽名者A、代理簽名者B、用戶C和驗(yàn)證者。方案由系統(tǒng)參數(shù)的生成、部分密鑰的生成、用戶密鑰的生成、代理密鑰的生成、代理盲簽名的生成和代理盲簽名的驗(yàn)證六個(gè)部分組成。方案具體描述如下：

(1)系統(tǒng)參數(shù)的生成。

(2)部分密鑰的生成。

定義原簽名者A和代理簽名者B的身份信息分別為IDA和IDB，KGC計(jì)算UA=H1(IDA)和UB=H1(IDB)，由此生成其部分密鑰pskA=s-1UAP和pskB=s-1UBP，并將(pskA,UA)和(pskB,UB)通過安全信道分別傳送給A和B。

(3)用戶密鑰的生成。

(4)代理密鑰的生成。

①原簽名者A如果要將簽名權(quán)限授權(quán)給代理簽名者B，首先需要生成一個(gè)用于說明雙方身份信息、代理權(quán)限、授權(quán)范圍和期限等內(nèi)容的授權(quán)許可證書mw;然后生成Sw=xAH3(mw,PKA)UB+pskA，并計(jì)算EAB=e(UA,PKB);最后將(mw,Sw,EAB)通過安全信道發(fā)送給B。

②代理簽名者B收到(mw,Sw,EAB)后首先驗(yàn)證等式：

(4)

是否成立。如果等式不成立,拒絕接受代理授權(quán)，反之則計(jì)算代理簽名密鑰：Sp=Sw+xBH3(mw,PKB)UA+pskB，并計(jì)算EBA=e(UB,PKA)。

(5)代理盲簽名的生成。

④C首先計(jì)算UA=H1(IDA)和UB=H1(IDB),然后驗(yàn)證等式：

e(V′,Ppub)=

(5)

是否成立。如果等式不成立,拒絕V′接受代理授權(quán)；反之，則先計(jì)算V=αV′+βP，得出消息m的代理盲簽名方案為σ=(V,U′,mw)。

(6)代理盲簽名的驗(yàn)證。

驗(yàn)證者首先計(jì)算UA=H1(IDA)、UB=H1(IDB)、EAB和EBA：

U″=e(V,Ppub)

然后驗(yàn)證:

h=H2(m,U″)

(6)

是否成立。如果等式不成立，拒絕簽名，否則接受簽名。

5 方案分析

5.1 正確性分析

(1)生成代理密鑰階段的驗(yàn)證等式(4)的證明。

e(Sw,Ppub)=e(xAH3(mw)UB+pskA,Ppub)=e(xAH3(mw)UB,Ppub)e(pskA,Ppub)=e(UB,xAPpub)H3(mw)e(s-1UAP,sP)=e(UB,PKA)H3(mw)gUA

(2)生成代理盲簽名階段的驗(yàn)證等式(5)的證明。

(3)驗(yàn)證簽名階段的驗(yàn)證等式(6)的證明。

首先對e(V,Ppub)進(jìn)行恒等變換：

由此U″=e(V,Ppub){[e(UB,PKA)e(UA,PKB)]H3(mw)gUA+UB}-h=U′

因此得證h=H2(m,U″)。

5.2 安全性分析

(1)不可偽造性。

(2)不可否認(rèn)性。

在前文提到，mw是一個(gè)包含說明雙方身份信息、代理權(quán)限、授權(quán)范圍和期限等內(nèi)容的授權(quán)許可證書，并且在生成短簽名中利用安全強(qiáng)碰撞的Hash函數(shù)對其進(jìn)行了散列，因此攻擊者無法偽造該授權(quán)許可證書和短簽名。所以，代理簽名者B一旦代理盲簽名成功，則無法否認(rèn)該簽名。

(3)可鑒別性。

由于mw是一個(gè)包含說明雙方身份信息的授權(quán)許可證書，所以任何人都可以通過該授權(quán)許可證書鑒別出對應(yīng)的代理簽名者B。

(4)盲性。

由于用戶C對消息m使用Hash函數(shù)進(jìn)行了散列，而且隨機(jī)選取了一對盲因子α和β，這使得代理簽名者B要想獲得消息m的內(nèi)容，必須得到這對盲因子且對Hash函數(shù)求逆，代理簽名者B無法獲得消息m的真實(shí)內(nèi)容。因此，該方案是具有盲性的。

(5)不可鏈接性。

公布簽名消息σ=(V,U′,mw)后，由于V=αV′+βP，而α和β是用戶C隨機(jī)選取的盲因子，簽名者無法得知，進(jìn)而也就無法得出V和V′的關(guān)系。因此，該方案是具有不可鏈接性的。

6 性能分析

下面列出各文獻(xiàn)中方案的簽名表達(dá)式和驗(yàn)證等式，并對各文獻(xiàn)的方案性能進(jìn)行分析，最后與本方案作一個(gè)對比,如表1所示。結(jié)果表明本方案在性能上有極大的提升。

文獻(xiàn)[5]方案簽名表達(dá)式為：

文獻(xiàn)[5]方案驗(yàn)證等式為：

文獻(xiàn)[10]方案簽名表達(dá)式為：

文獻(xiàn)[10]方案驗(yàn)證等式為：

e(V,Ppup)=U[e(QA,PA)e(QB,PB)e(

rA,H2(w,rA))]H3(m,U)

文獻(xiàn)[11]方案簽名表達(dá)式為：

文獻(xiàn)[11]方案驗(yàn)證等式為：

e(S,P)=Ke(QB,PKA)H3(mw)H2(M,K)e(

QA,PKB)H3(mw)H2(M,K)e(QA+QB,Pub)H2(M,K)

文獻(xiàn)[12]方案簽名表達(dá)式為：

文獻(xiàn)[12]方案驗(yàn)證等式為：

e(T,P)=e(QA+QB,P0)e(U,PA)e(V,PB)e(W,R)

文獻(xiàn)[13]方案簽名表達(dá)式為：

文獻(xiàn)[13]方案驗(yàn)證等式為：

e(T′,P)=e(QA+QB,P0)e(

U,PA)e(V,PB)e(W′,R′)

7 結(jié)束語

本文基于無證書公鑰密碼體制提出一種無證書代理盲簽名方案，該方案是安全有效的，它不依賴于證書，擺脫了密鑰托管的限制，且是在數(shù)學(xué)DLP困難問題的基礎(chǔ)上建立起來的，安全性更高，表1中的數(shù)據(jù)說明該方案在性能上有極大的提升。

[1]MamboM,UsudaK,OkamotoE.Proxysignature:Delegationofthepowertosignmessage[J].IECETransactionsonFundamentals, 1996,E79-A(9):1338-1353.

[2]ChaumD.Blindsignaturesforuntraceablepayments[C]∥ProcofCrypto’82, 1982:199-203.

[3]Al-riyamiS,PatersonK.Certificatelesspublickeycryptography[C]∥ProcofAsiacrypt’03, 2003:452- 473.

[4]TangPeng-zhi,LiBiao,LiXiao-xiong.Thecertificatelessproxyblindsignatureschemebasedonmultilinearpairing[J].JournalofHefeiUniversityofTechnology, 2012,35(5):613-616.(inChinese)

[5]WeiChun-yan,CaiXiao-qiu.Newcertificatelessproxyblindsignaturescheme[J].JournalofComputerApplications,2010,30(12):3341-3342.(inChinese)

[6]FanCI,SunW,HuangVS-M.Provablysecurerandomizedblindsignatureschemebasedonbilinearpairing[J].ComputersandMathematicswithApplications, 2010, 60(2):285-293.

[7]KoblitzN,MenezesAJ,VanstoneSA.Thestateofellipticcurvecryptography[J].Design,CodesandCryptography, 2000,19(2-3):173-193.

[8]MenezesA,vanOorschotP,VanstoneCS.Handbookofappliedcryptography[M].Florida:BocaRaton,CRCPress, 1997.

[9]ZhangY,LiuW,LouW,etal.Securingmobileadhocnetworkswithcertificatelesspublickeys[J].IEEETransactionsonDependableandSecureComputing, 2006,3(4):386-399.

[10]ZhangJian-zhong,PengLi-hui,XueRong-hong.Certificatelessproxyblindsignaturescheme[J].ComputerEngineering,2011,37(14):122-123.(inChinese)

[11]ZhangJian-zhong,YangLi.Cryptographyanalysisandimprovementoncertificatelessproxyblindsignaturescheme[J].ComputerEngineeringandApplications,2013,49(22):100-103.(inChinese)

Table 1 Certificateless of proxy blind signature scheme efficiency analysis

[12] Chen Hu,Song Ru-shun. Certificateless proxy signature and proxy blind signature schemes[J]. Computer Engineering and Applications,2009,45(10):92-97.(in Chinese)

[13] Wu Chen-huang,Liang Hong-mei,Chen Zhi-xiong.Improvement of certificateless proxy blind signature schemes[J]. Computer Engineering and Applications,2011,47(1):89-91.(in Chinese)

[14] Cai Guang-xing, Chen Hua. New ID-based proxy blind signature scheme from bilinear pairings[J]. Computer Engineering,2007,33(9):145-147.(in Chinese)

[15] Chen Ling-ling, Kang Bao-yuan, Zhang Lei. A kind of high efficient identity-based proxy blind signature scheme[J]. Journal of East China Jiaotong University,2008,25(1):113-116.(in Chinese)

附中文參考文獻(xiàn)：

[4] 湯鵬志，李彪，李曉雄.基于多線性映射的無證書代理盲簽名方案[J]. 合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版), 2012,35(5):613-616.

[5] 魏春艷，蔡曉秋.新的無證書代理盲簽名方案[J].計(jì)算機(jī)應(yīng)用,2010,30(12):3341-3342.

[10] 張建中，彭麗慧，薛榮紅. 一個(gè)無證書代理盲簽名方案[J]. 計(jì)算機(jī)工程,2011,37(14):122-123.

[11] 張建中，楊麗.無證書代理盲簽名方案的密碼學(xué)分析與改進(jìn)[J]. 計(jì)算機(jī)工程與應(yīng)用,2013,49(22):100-103.

[12] 陳虎，宋如順. 無證書代理簽名和代理盲簽名方案[J]. 計(jì)算機(jī)工程與應(yīng)用,2009,45(10):92-97.

[13] 吳晨煌，梁紅梅，陳智雄.一個(gè)無證書代理盲簽名方案的改進(jìn)[J].計(jì)算機(jī)工程與應(yīng)用,2011,47(1):89-91.

[14] 蔡光興，陳華. 一種新的基于身份的代理盲簽名方案[J]. 計(jì)算機(jī)工程,2007,33(9):145-147.

[15] 陳玲玲，亢保元，張磊. 一種高效的基于身份的代理盲簽名方案[J].華東交通大學(xué)學(xué)報(bào),2008,25(1):113-116.

WEN Jia-jun,born in 1990,MS candidate,his research interest includes information security.

左黎明(1981-),男，江西鷹潭人，碩士，講師，CCF會(huì)員(E200013632M)，研究方向?yàn)樾畔踩头蔷€性系統(tǒng)。E-mail:Limingzuo@126.com

ZUO Li-ming,born in 1981,MS,lecturer,CCF member(E200013632M)，his research interests include information security, and nonlinear system.

李彪(1988-),男,江西南昌人，碩士生，研究方向?yàn)樾畔踩?。E-mail:175413481@qq.com

LI Biao,born in 1988,MS candidate,his research interest includes information security.

An efficient certificateless proxy blind signature scheme

WEN Jia-jun,ZUO Li-ming,LI Biao
(School of Basic Science,East China Jiaotong University,Nanchang 330013,China)

Considering that multiple references found that the existing scheme is not efficient, based on reference[5], it proposes a certificateless proxy blind signature scheme with high efficiency. The scheme is based on the appropriate modification of partial key to reduce the operation time of bilinear pairings. Meanwhile, due to the continuous improvement of the network service, replacing the operation time by the communication time can improve the efficiency. By comparing the proposal with various signature algorithms and verification algorithms, it is proved that our scheme improves the efficiency greatly and satisfies unforgeability, nonrepudiation, identification, blindness, etc.

certificateless proxy blind signature;DLP difficult issues;efficiency analysis

2012-08-10;

2012-12-21

國家自然科學(xué)基金資助項(xiàng)目(11061014)；江西省教育廳科研項(xiàng)目(GJJ11675,GJJ11678)；華東交通大學(xué)校立科研基金資助項(xiàng)目(11JC04)

1007-130X(2014)03-0452-06

TP309.7

A

10.3969/j.issn.1007-130X.2014.03.013

文佳駿(1990-),男,江西萍鄉(xiāng)人，碩士生，研究方向?yàn)樾畔踩?。E-mail:wen_jxpx@me.com

通信地址：330013 江西省南昌市華東交通大學(xué)基礎(chǔ)科學(xué)學(xué)院

Address:School of Basic Science,East China Jiaotong University,Nanchang 330013,Jiangxi,P.R.China