湯鵬志，劉啟文，左黎明

（華東交通大學(xué)理學(xué)院，南昌 330013）

一種基于身份的部分盲簽名改進方案

湯鵬志，劉啟文，左黎明

（華東交通大學(xué)理學(xué)院，南昌 330013）

對現(xiàn)有基于身份的部分盲簽名方案進行安全性分析，發(fā)現(xiàn)大多方案存在公共協(xié)商信息可被篡改的漏洞，即攻擊者可以在不被察覺的情況下將盲化的消息乘以部分盲因子，從而消除掉方案中的部分盲特性，同時可以偽造簽名中的公共協(xié)商信息。為此，提出一種改進的部分盲簽名方案，以解決基于身份的部分盲簽名方案中公共協(xié)商信息被偽造的問題。分析方案的部分盲性和不可偽造性，證明其滿足部分盲性。在隨機預(yù)言機模型下，改進方案對適應(yīng)性選擇消息和身份攻擊是不可偽造的，與現(xiàn)有基于身份的部分盲簽名方案相比，具有更高的效率。

部分盲簽名；基于身份；隨機預(yù)言機模型；雙線性對；偽造

1 概述

盲簽名是一種非常有用的密碼技術(shù)［1-2］，它允許簽名者在不知道簽名內(nèi)容的情況下與簽名申請者交互產(chǎn)生一個合法的簽名。盲簽名必須具備盲性和不可偽造性這2個基本特性。盲性是指允許一個用戶獲得一個關(guān)于消息 m的簽名，但是，簽名者不知道任何關(guān)于m的信息；并且，簽名是不可追蹤的，也就是說當m的簽名公布時，簽名者不能確定什么時候?qū)進行了簽名。不可偽造性是指簽名者才能產(chǎn)生合法的簽名。由于盲性和不可偽造性，盲簽名被廣泛應(yīng)用在電子現(xiàn)金系統(tǒng)［3-5］和電子選舉系統(tǒng)中［6-7］，保護用戶的隱私。 但是在電子現(xiàn)金系統(tǒng)中，盲簽名有較大的缺陷，例如，銀行的數(shù)據(jù)庫必須保存每個使用過的電子貨幣以防貨幣被重復(fù)使用，這使得數(shù)據(jù)量成幾何級數(shù)增加。另外，由于盲簽名的不可追蹤，使得一些違法行為如偷稅漏稅、黑市交易洗錢等難以監(jiān)管。為了解決這些問題，文獻［8］提出了部分盲簽名的概念。部分盲簽名是盲簽名的一種擴展，允許為用戶產(chǎn)生關(guān)于某個消息m的盲簽名，簽名中需嵌入一個由用戶和簽名者協(xié)商的聲明信息c，聲明信息c在整個簽名過

程中都是可見的。在電子現(xiàn)金系統(tǒng)中，部分盲簽名比盲簽名效率更高。自部分盲簽名的概念提出以來，各種部分盲簽名方案隨即被提出。不過在很多方案中，存在用戶和簽名者協(xié)商的聲明信息c被替換的漏洞。文獻［9］指出文獻［10］的方案中，存在聲明信息 c被替換的漏洞。文獻［11］指出文獻［12］方案也存在聲明信息 c可替換的漏洞。文獻［13］提出了一種高效無證書盲簽名方案，并在隨機預(yù)言機下證明了該方案是安全的。文獻［14］提出了一種無秘密信道的高效無證書部分盲簽名方案，證明了該方案在隨機預(yù)言機下是安全的。與基于證書的簽名體制相比，基于身份的簽名體制簡化了密鑰的管理、驗證及傳輸?shù)冗^程。

在文獻［15］提出的基于身份的簽名方案基礎(chǔ)上，文獻［16］提出了一個高效的基于身份的部分盲簽名方案，通過分析該方案，發(fā)現(xiàn)攻擊者可以在不被察覺的情況下替換用戶和簽名者協(xié)商的聲明信息c；在文獻［16］方案的基礎(chǔ)上提出了一種改進方案，改進方案不僅滿足部分盲性，并且可以防止敵手替換聲明信息c；同時，在隨機預(yù)言機模型下，證明了改進方案對適應(yīng)性選擇消息和身份攻擊是不可偽造的，并且比文獻［16］方案更高效。

本文首先給出對文獻［16］的攻擊方法，然后提出一個改進方案，并進行安全性分析，最后分析了改進方案的效率。

2 預(yù)備知識

定義1 雙線性映射：假設(shè) G1是一個階為大素數(shù)q的加法循環(huán)群，P是它的一個生成元，G2是一個階為q的乘法循環(huán)群。若映射e：G1×G1→G2滿足以下3條性質(zhì)，則稱這個映射為雙線性映射。（1）雙線性性：對于任意（aU，bV）=e（U，V）ab。

（2）非退化性：存在 U，V∈G1，使得 e（U，V）≠1G2。

（3）可計算性：對于任何的U，V∈G1，存在一個高效的算法來計算e（U，V）的值。

定義2 計算Diffie-Hellman問題（CDHP）：任給計算abP。

定義3 判定Diffie-Hellman問題（DDHP）：任給，判斷c=ab mod P是否成立。

如果在群G1上，DDHP容易但CDHP困難，則G1稱為間隙Diffie-Hellman群（GDH群）。

3 對文獻［16］方案的攻擊

攻擊 假定敵手是簽名申請者A，A與簽名者S協(xié)商約定的聲明信息 c，系統(tǒng)設(shè)置和密鑰提取同文獻［16］方案。

（3）盲簽名：S收到h*后，計算V′=h*k′Ppub+ H3（c）SID，把V′發(fā)給A。

（4）脫盲：A收到 V′后，計算 V=H3（c′）H3（c）-1V′+βhPpub。消息（m，c）的部分盲簽名為（U，V）。

事實上，由 h*=H3（c）H3（c′）-1h′易知，V′= H3（c）（h′k′H3（c′）-1Ppub+SID），V=（h′k′Ppub+H3（c′）SID）+βhP，可以驗證以下等式成立：

e（V，P）=e（hU+H3（c′）QID，Ppub）

因此，通過以上步驟，得到了一個合法的簽名（ID，m，c′，（U，V）），成功地用c′替換了c。為了抵抗這種攻擊，提出一個改進方案，不僅能抵抗攻擊1，而且比文獻［16］中的方案更高效。

4 方案改進

4.1 系統(tǒng)設(shè)置

可信中心CA隨機選取階為q的加法交換群G1和乘法交換群G2，G1是GDH群。P是G1的一個生成元。構(gòu)造雙線性對e：G1×G1→G2。隨機選擇系統(tǒng)主密鑰系統(tǒng)公鑰為Ppub=sP，選擇強hash函數(shù)和 H3：公開系統(tǒng)參數(shù)

P，Ppub，H1，H2，H3｝。

4.2 用戶密鑰生成

用戶 U發(fā)送身份 IDU∈｛0，1｝n給可信中心CA，CA計算QU=H1（ID），SU=sQU，通過安全信道將SU發(fā)送給用戶 U。U驗證 e（SU，P）=e（QU，Ppub）是否成立；若成立，接受SU作為簽名私鑰，否則拒絕。

4.3 簽名

用戶A為部分盲簽名申請者，用戶B為簽名者；m為待簽名消息，c∈｛0，1｝*為A和B協(xié)商的聲明信息；部分盲簽名方案如下：

（3）盲簽名：B收到 h′后，計算 V′=（h′k′+

H3（c））Ppub+SB，將V′發(fā)給用戶A。

（4）脫盲：A收到V′后，計算V=V′+βhPpub。消息m的部分盲簽名為（c，U，V）。

4.4 驗證

驗證者收到部分盲簽名（IDB，m，c，（U，V））后，先計算QB=H1（ID），h=H2（ID，m，c，U），H3（c），驗證等式e（V，P）=e（hU+H3（c）P+QID，Ppub）是否成立。如果成立，（IDB，m，c，（U，V））為有效的部分盲簽名，否則簽名無效。

5 安全性分析

定理1 改進方案的驗證等式是正確的。

證明：

所以驗證等式e（V，P）=e（hU+H3（c）P+QB，Ppub）正確。

定理2 改進方案滿足部分盲性。

證明：給定一個有效簽名（ID，m，c，（U，V））和任一組部分盲簽名發(fā)布過程中簽名者保留下來的視圖（k′，U′，h′，V′），令：

其中，h=H2（ID，m，c，U），式（1）和式（2）可以確定唯一一組解（α，β）；而（ID，m，c，（U，V））是一個有效簽名，從而有：

另一方面，有：

聯(lián)立式（1）～式（4），有：

所以，e（V′+βhPpub，P）=e（V，P），即V=V′+ βhPpub；因此，如果消息m的盲化因子是 α，β，那么盲簽名發(fā)布過程中簽名者保留下來的簽名視圖（K′，U′，h′，V′）所對應(yīng)的簽名就是（IDB，m，c，（U，V））；故在有效盲簽名和任意視圖之間都存在唯一的α和β，使得簽名和視圖相對應(yīng)，即使簽名者擁有無限的計算資源，也無法確定盲簽名發(fā)布過程中的簽名視圖與簽名之間的對應(yīng)關(guān)系。

定理3 改進方案可以抵抗攻擊1。

證明：在部分盲簽名方案中，聲明信息c被替換的主要原因是可以通過構(gòu)造參數(shù)從簽名中提取聲明信息c。改進方案中，簽名 V′=（h′k′+H3（c））Ppub+SB，如果攻擊者在 h′中嵌入 H3（c），即 h′= H3（c）h*，則V′=H3（c）［（h*k′+1）Ppub+H3（c）-1SB］，顯然攻擊者無法完整地將H3（c）提取出來。因此，改進方案可以抵抗攻擊1。

定理4 如果一個適應(yīng)性選擇消息和身份攻擊的偽造者可以在多項有界的時間 t內(nèi)以不可忽略的優(yōu)勢Adν攻破改進方案，那么存在一個算法可以在多項式有界的時間t′內(nèi)以不可忽略的優(yōu)勢Adν′求解CDHP問題；其中，t′=（t+t1qH1+t2qH2+t3qH3+分別是隨機預(yù)言機H1，H2，H3的提問次數(shù)；qE是密鑰提取次數(shù)；qS是簽名詢問次數(shù)；t1，t2，t3分別是詢問一次隨機預(yù)言機H1，H2，H3所需的時間；t4是一次密鑰提取所需的時間；t5是一次簽名詢問的時間。

證明：假設(shè)存在一個攻擊者A以概率Adν在時間t內(nèi)攻破改進方案；下面構(gòu)造一個算法 B解決CDHP問題。

算法B的輸入是一個CDHP問題實例。已知P，χP，yP∈G1，其中，χ，y∈Z*q，目標是計算 χyP∈G1。為了充分利用攻擊者A的攻擊能力，算法B模擬挑戰(zhàn)者與攻擊者 A進行交互，回答攻擊者 A的H1，H2，H3隨機預(yù)言詢問、密鑰詢問和簽名詢問。由于改進方案是對文獻［16］的一種改進，因此，兩者安全性分析非常類似，3個哈希詢問以及密鑰提取詢問與原方案基本相同。具體過程如下：

（1）系統(tǒng)設(shè)置

選取階為素數(shù) q的加法交換群G1和乘法交換群G2，P是 G1的一個生成元。構(gòu)造雙線性對 e：G1×G1→G2。系統(tǒng)公鑰為Ppub=χP，即用χ模擬系統(tǒng)主密鑰，選擇隨機預(yù)言機 H1：｛0，1｝*→G1，H2：系統(tǒng)公開參數(shù)Params=｛G1，G2，q，P，Ppub，H1，H2，H3｝，將系統(tǒng)公開參數(shù)Params發(fā)送給攻擊者A。

（2）H1詢問

攻擊者A至多能做qH1次H1詢問，B通過維護由（IDi，QIDi，a）組成的一個列表L1仿真H1。B隨機地選擇K（1≤K≤qH1），記IDK=ID*。當B收到A關(guān)于IDi（1≤i≤qH1）的詢問，B首先檢查L1：

1）如果L1中已經(jīng)存在項（IDi，QIDi，ai），則B將QIDi返回給A作為IDi的H1哈希值。

2）否則，A沒有做過關(guān)于IDi的H1詢問。若i= K，則B選取令QID*=b（yP）；若i≠K，

（3）H2詢問

A至多能做qH2次H2詢問，B通過維護由（IDi，mi，ci，Ui，hi）組成的列表L2仿真H2。當B收到A關(guān)于（IDi，mi，ci，Ui）（1≤i≤qH2）的詢問，B首先查詢L2：若L2中已經(jīng)存在項（IDi，mi，ci，Ui，hi），將hi作為回復(fù)返回給A；否則，B選取hi∈RZ*q，將hi作為回復(fù)返回給A，并將（IDi，mi，ci，Ui，hi）添加到L2中。

（4）H3詢問

A至多能做 qH3次 H3詢問，B通過維護由組成的列表L3仿真H3。當B收到A關(guān)于ci（1≤i≤qH3）的詢問時，B首先檢查L3：若L3中已經(jīng)存在項那么 B將作為回復(fù)返回給 A。否則，B隨機地選取hi∈RZ*q，將hi=H3（ci）作為回復(fù)返回給A，并將添加到L3中。

（5）密鑰提取詢問

A至多能做qE次密鑰提取詢問。當B收到A關(guān)于IDi（0≤i≤qE）的密鑰提取詢問（假設(shè)已經(jīng)做過關(guān)于IDi的H1詢問，否則先做關(guān)于IDi的H1詢問），B從列表L1中找出項（IDi，QIDi，ai）：若IDi≠ID*，B計算SIDi=χQIDi=χ（aiP）=ai（χP），將SIDi返回給A；否則，算法B終止。

（6）簽名詢問

A最多能做qS次簽名詢問。當B收到A關(guān)于的簽名詢問（假設(shè)已經(jīng)做過關(guān)于IDi的H1詢問和關(guān)于ci的H3詢問，否則先做關(guān)于IDi的H1詢問和關(guān)于ci的H3詢問，且A沒有做過關(guān)于IDi的密鑰提取詢問），B查詢L1和L3，從中找出項（IDi，QIDi，ai）和（ci，）；然后隨機選取k，，計算若hi）已經(jīng)在L2中，那么重新選取k和h，并計算U；計算并將添加到L2。B將σ=（U，V）作為回復(fù)返回給A。

因為：

（7）偽造

如果B沒有終止，那么A在沒有做過關(guān)于ID*的密鑰提取詢問和關(guān)于（ID*，m*，c*）的簽名詢問的條件下，以一個不可忽略的概率偽造一個關(guān)于消息（m*，c*）的簽名（ID*，U，V）。根據(jù)分叉引理［17］，通過對A哈希重放，B可以得到關(guān)于消息m*，c*的2個有效簽名和（ID*，其中，QID*=byP，是隨機預(yù)言機H1關(guān)于詢問ID*的應(yīng)答；h，h′是隨機預(yù)言機H2關(guān)于詢問（ID*，m*，c*，U）的應(yīng)答；h～是隨機預(yù)言機H3關(guān)于詢問c*的應(yīng)答，并且h≠h′。

（8）CDGHP問題的求解

聯(lián)立上述兩式，可得：

χyP即為算法 B的輸出。因此，群 G1上的CDHP問題（P，χP，yP）得以解決。

以上描述了算法B的模擬過程，下面分析算法B模擬成功概率和所需的時間。挑戰(zhàn)者與攻擊者A進行1/Adν輪交互（挑戰(zhàn)者與攻擊者進行一輪交互包括qH1+qH2+qH3次隨機預(yù)言機詢問，qE次密鑰詢問，qs次簽名詢問）能夠成功偽造一個合法的簽名，所需時間為Adν；成功分叉的概率是；因此，算法 B成功輸出的χyP的優(yōu)勢為，所需時間為：故定理4得證。

6 性能分析

由于方案中計算資源消耗主要分布在簽名發(fā)布和簽名驗證階段，而用戶密鑰生成一次，可以用于多次簽名，因此只考慮簽名發(fā)布和簽名驗證階段的時間復(fù)雜度。為了方便描述，用Tpair表示一次雙線性運算所需的時間，用Tmul表示群G1中一次標量乘運算所需的時間，用Texp表示群G2中一次冪乘運算所需的時間，TH表示一次Map2Point哈希運算所需的時間。

其他的計算花費，如G1中的加法運算、G2中的乘法運算等相對Tmul，Tpair，Texp可忽略不計。

將改進方案與其他方案進行計算性能方面的比較，如表1所示。改進方案在簽名發(fā)布階段只有5次G1中的標量乘法運算，比文獻［16］方案少了一次群G1中的標量乘運算；相對于文獻［12］方案在簽名發(fā)

布階段具有明顯優(yōu)勢；雖然，文獻［11］方案在簽名驗證階段比改進方案更高效，但是，其也存在類似文獻［16］方案中的安全漏洞。具體數(shù)據(jù)比較如表1所示；因此，改進方案是一種較為安全高效的部分盲簽名方案。

表1 計算復(fù)雜度比較

7 結(jié)束語

在文獻［16］基于身份的部分盲簽名方案基礎(chǔ)上，本文提出一種新的安全高效的部分盲簽名方案。通過調(diào)整簽名和哈希函數(shù)的參數(shù)，解決了原方案中協(xié)商信息被消除替換的漏洞。但新方案的安全性依賴于哈希函數(shù)的隨機性，且存在密鑰托管問題。因此，下階段的工作是在隨機預(yù)言機模型和標準模型下，研究基于自證明公鑰的部分盲簽名方案。

［1］ Chaum D.Blind Signature for Untraceable Payments［C］// Proceedings of Crypto’82.Berlin，Germany：Springer，1983：199-203.

［2］ Chaum D.Security Without Identification：Transaction Systems to Make Big Brother Obsolete［J］.Communications of the ACM，1985，28（10）：1030-1044.

［3］ Chaum D，F(xiàn)iat A，Naor M.Untraceable Electronic Cash［C］//Proceedings of Crypto’88.Berlin，Germany： Springer，1988：319-327.

［4］ Chaum D，Den B，Van E，et al.Efficient O ff-line Electronic Check［C］//Proceedings of Eurocrypt’89. Berlin，Germany：Springer，1990：294-301.

［5］ Brands S.Untraceable Off-line Cash in Wallets with Observers［C］//Proceedings of Crypto’93.Berlin，Germany：Springer，1993：302-318.

［6］ 孟江濤，馮登國，胡振宇.電子選舉的安全協(xié)議［J］.中國科學(xué)院研究生院學(xué)報，2002，19（3）：295-305.

［7］ 王文龍，王澤成，李志斌.基于橢圓曲線的電子選舉協(xié)議［J］.計算機工程，2003，29（22）：144-145.

［8］ Abe M，F(xiàn)ujisaki E.How to Date Blind Signatures［C］//Proceedings of Cryptology-Asiacrypt’96. Berlin，Germany：Springer-Verlag，1996：244-251.

［9］ 辛向軍，李發(fā)根，肖國鎮(zhèn).對幾種部分盲簽名方案的安全性分析與改進［J］.西安電子科技大學(xué)學(xué)報，2006，33（6）：953-955.

［10］ 張 彤，王育民.幾種部分盲簽名的算法設(shè)計及其安全性分析［J］.西安電子科技大學(xué)學(xué)報，2004，31（6）：963-966.

［11］ 崔 巍，辛 陽，胡程瑜，等.高效的基于身份的（受限）部分盲簽名［J］.北京郵電大學(xué)學(xué)報，2008，31（4）：53-57.

［12］ 李明祥，鄧艷君，安廣文.一種高效的基于身份的部分盲簽名方案［J］.計算機應(yīng)用研究，2010，27（11）：4299-4302.

［13］ 黃茹芬，農(nóng) 強，黃振杰.一個高效的無證書盲簽名方案［J］.計算機工程，2013，39（2）：130-136.

［14］ 湯鵬志，李曉雄，左黎明，等.高效安全無證書部分盲簽名［J］.計算機機工程與設(shè)計，2013，34（2）：439-446.

［15］ Shim K A.An ID-based Aggregate Signature Scheme with Constant Pairing Computations［J］.Journal of System s and Software，2010，83（10）：1873-1880.

［16］ 何俊杰，王 娟，祁傳達.安全高效的基于身份的部分盲簽名方案［J］.計算機應(yīng)用，2012，32（5）：1388-1391.

［17］ Pointchevel D，Stern J.Security Proofs for Signature Schemes［C］//Proceedings of Eurocrypt’96.Berlin，Germany：Springer，1996：387-398.

編輯 顧逸斐

A Modified Scheme of Partially Blind Signature Based on ID

TANG Pengzhi，LIU Qiwen，ZUO Liming
（School of Science，East China Jiaotong University，Nanchang 330013，China）

The security of the existing ID-based partial blind signature scheme proposed is analyzed.Most schemes with the loophole that public consultations vulnerability information can be tampered with，the adversary can get rid of the partial blind property of the signature without being detected by multiplying the reverse of the partial blind factor to the blind message，and the adversary can forge the public consultations vulnerability information in the signature.To cope with the problem that the consultation public information may be forged in some schemes，it presents a modified ID-based partial blind signature scheme.Partially blind and unforgeable of the modified scheme are analyzed，and it proves that new scheme has partial blindness.The modified scheme has adaptive chosen ID and ciphertext security in the random oracle model，and has more efficiency than the previous partial blind signature schemes.

partially blind signature；ID-based；random oracle model；bilinear pairing；forgery

湯鵬志，劉啟文，左黎明.一種基于身份的部分盲簽名改進方案［J］.計算機工程，2015，41（10）：139-143.

英文引用格式：Tang Pengzhi，Liu Qiwen，Zuo Liming.A Modified Scheme of Partially Blind Signature Based on ID［J］.Computer Engineering，2015，41（10）：139-143.

1000-3428（2015）10-0139-05

A

TP301

10.3969/j.issn.1000-3428.2015.10.026

國家自然科學(xué)基金資助項目（61240025）；江西省高校科技落地計劃基金資助項目（KJLD12067）；華東交通大學(xué)校立科研基金資助項目（11JC04）。

湯鵬志（1961-），男，教授，主研方向：信息安全；劉啟文（通訊作者），碩士研究生；左黎明，副教授、碩士。

2014-08-25

2014-10-17E-mail：liuqiwengu@163.com