劉二根，王 霞

（華東交通大學(xué)理學(xué)院，江西 南昌330013）

前向安全代理盲簽名方案的分析與改進(jìn)

劉二根，王 霞

（華東交通大學(xué)理學(xué)院，江西 南昌330013）

通過(guò)對(duì)Manoj等人提出的前向安全的代理盲簽名方案進(jìn)行安全性分析，發(fā)現(xiàn)該方案在代理授權(quán)和代理盲簽名階段存在攻擊偽造問(wèn)題。由此提出了改進(jìn)的前向安全的基于離散對(duì)數(shù)的代理盲簽名方案。新方案在代理授權(quán)階段將單向散列函數(shù)嵌入到短簽名中，并改進(jìn)了簽名階段，克服了原方案的缺陷。在效率上，只比原方案多一次哈希運(yùn)算,但具有更高的安全性，新方案滿足可驗(yàn)證性、可區(qū)分性、不可偽造性、不可否認(rèn)性等性質(zhì)。

代理盲簽名；前向安全；不可偽造性；代理密鑰

1982年，Chaum首次提出了盲簽名的概念[1]。所謂盲簽名，就是簽名者在不知道所簽署的消息的具體內(nèi)容的情況下進(jìn)行簽名，由于這一特性，使得盲簽名廣泛的應(yīng)用于電子現(xiàn)金、電子商務(wù)等領(lǐng)域。1996年，Mambo等人首次提出了代理簽名的概念[2]，所謂代理簽名，就是當(dāng)簽名者因?yàn)槟承┰颍瑹o(wú)法親自簽名，這時(shí)他需要委托他人代替自己簽名。例如，某公司有一份緊急文件需要經(jīng)理簽名，但他在外地出差不能親自簽名，這時(shí)他可以將簽名權(quán)委托給他的秘書(shū)，等等。

盲簽名和代理簽名相結(jié)合，可以產(chǎn)生代理盲簽名。2000年，Lin和Jan首次提出了代理盲簽名的概念[3]，各種代理盲簽名方案也應(yīng)運(yùn)而生[4-6]。目前，國(guó)內(nèi)外提出了各種類(lèi)型的代理盲簽名，如無(wú)證書(shū)的代理盲簽名方案，基于離散對(duì)數(shù)問(wèn)題的代理盲簽名，基于身份的代理盲簽名等。但這些方案中有些存在缺陷，如不能抵抗公鑰替換攻擊，不能滿足不可追蹤性和不可鏈接性，不能抵抗簽名偽造攻擊等。2010年，魏春艷等人提出了一個(gè)無(wú)證書(shū)代理盲簽名方案[7]，但葛榮亮等人發(fā)現(xiàn)該方案不滿足不可追蹤性[8]；2011年，黃雋等人提出了一個(gè)無(wú)證書(shū)代理盲簽名方案[9]，但張建中等人發(fā)現(xiàn)該方案不能抵抗公鑰替換攻擊和惡意的KGC攻擊[10]。代理盲簽名同時(shí)具有代理簽名和盲簽名的性質(zhì)，使得其能夠廣泛的應(yīng)用于電子現(xiàn)金、電子商務(wù)、電子選舉等領(lǐng)域。但一旦代理密鑰泄露，那么之前的所有簽名都變成無(wú)效的。在研究代理盲簽名的同時(shí)，人們逐漸轉(zhuǎn)向研究安全性能高和降低密鑰泄露所帶來(lái)的損失的代理盲簽名，即具有前向安全的代理盲簽名方案。1997年，Anderson[11]首先提出了前向安全的概念，為了使簽名具有前向安全性，就要采用密鑰更新的方法，即使代理密鑰泄露，也不會(huì)影響之前所有時(shí)段的代理盲簽名。2011年，魏俊懿等人[12]提出了一個(gè)前向安全的無(wú)證書(shū)代理盲簽名方案，2013年何濱等人[13]指出方案[12]不能滿足盲性和原始簽名者的偽造攻擊。2014年，Manoj等人提出一個(gè)前向安全的代理盲簽名方案[14]，通過(guò)分析發(fā)現(xiàn)，方案在代理授權(quán)和代理盲簽名階段均存在攻擊偽造。本文提出了一個(gè)改進(jìn)的方案，能夠克服原有方案的缺陷，具有更高的安全性，但在計(jì)算復(fù)雜度上只比原方案多一次哈希運(yùn)算。

1 預(yù)備知識(shí)

離散對(duì)數(shù)問(wèn)題（DLP）：給定素?cái)?shù)p，Zp*的生成元g和Zp*元素a，尋找一個(gè)整數(shù)x，0≤x≤p-1，使得a=gxmod p。

2 方案[14]回顧和安全性分析

2.1 方案[14]回顧

本方案包括原始簽名者A、代理簽名者B和簽名接收者R。

2）代理授權(quán)。首先生成一個(gè)包括雙方身份、代理權(quán)限、代理期限等信息的授權(quán)證書(shū)mω，原始簽名者A選擇一個(gè)隨機(jī)數(shù)，計(jì)算r0=gk0mod p，短簽名s0=xA+k0yBmod q，并將（r0,s0）發(fā)送給代理人B。B收到（r0,s0）驗(yàn)證等式是否成立，若成立，則計(jì)算代理私鑰xp=s0+xB0yAmod q和其對(duì)應(yīng)的代理公鑰yp=gxpmod p。

3）代理私鑰更新。當(dāng)簽名進(jìn)入第i個(gè)周期的時(shí)候，用第i-1個(gè)周期的私鑰xBi-1來(lái)計(jì)算本周期的私鑰，計(jì)算出xBi后將xBi-1刪除。然后代理簽名者計(jì)算本周期的代理私鑰x′p=s0+xBiyAmod q，代理公鑰y′p=gxpmod p。

5）簽名驗(yàn)證。驗(yàn)證者收到關(guān)于消息m的簽名（r*，s*，e*）后，驗(yàn)證等式

是否成立，若成立則（r*，s*，e*）是有效的代理盲簽名，否則，簽名無(wú)效。

2.2 方案[14]的安全性分析

方案[14]在代理授權(quán)和代理盲簽名過(guò)程中均存在攻擊偽造，攻擊方法類(lèi)似于文獻(xiàn)[6]。

1）原具有前向安全的代理盲簽名方案在代理授權(quán)階段存在一定的攻擊。在代理授權(quán)階段，代理簽名者在收到（s0,r0）后卻告知原始簽名者自己并沒(méi)有收到，從而原始簽名者在其發(fā)送請(qǐng)求下，不得不重新發(fā)送（s′0，r′0）給原始簽名者。那么，代理簽名者可以由等式s0=xA+k0yBmod q，s′0=xA+k′0yBmod q，可得s0-s′0=（k0-k′0）yBmod q，左右兩邊同時(shí)加上x(chóng)A，從而有s"0=s0-s′0+xA=xA+（k0-k′0）yBmod q。，用（s"0，r"0）代替原來(lái)的（s′0,r′0），（s"0，r"0）可以通過(guò)驗(yàn)證等式gs"0=yAr0"yBmod p，接下來(lái)，代理簽名者可以利用自己生成的（s"0，r"0）來(lái)計(jì)算代理密鑰xp=s"0+xB0yAmod q。

在代理授權(quán)階段存在問(wèn)題的原因主要是在等式s0=xA+k0yBmod q中，當(dāng)代理簽名人得到兩組變量（s′0,r′0），（s0,r0）就可以通過(guò)將這兩個(gè)等式相減從而將原始簽名者的私鑰xA消掉，那么代理簽名者可以形成自己的（s"0,r"0）從而進(jìn)行代理密鑰的計(jì)算，也就是不需要原始簽名者對(duì)其進(jìn)行授權(quán)。為了能夠防止原始簽名者的私鑰xA被消掉，可以通過(guò)將等式s0=xA+k0yBmod q改為s0=xAH2（mω，r0）+k0yBmod q。

2）原具有前向安全的代理盲簽名方案在代理盲簽名階段存在簽名偽造問(wèn)題。攻擊者在不知道簽名接收者私鑰的情況下也能構(gòu)造一個(gè)關(guān)于消息m在指定周期的簽名，這是因?yàn)榭梢杂脕?lái)yR代替gxR，獲得本周期的代理公鑰y′p，那么r*=（r）αgβyR（y′p）-酌mod p，最終就會(huì)得到一個(gè)關(guān)于消息m在這一周期的代理盲簽名（r*，s*，e*），代理密鑰的更新并不會(huì)影響簽名的偽造。

在代理盲簽名階段存在簽名偽造的原因是在等式r*=（r）αgβ+xR（y′p）-酌mod p，由于yR=gxRmod p可以用yR來(lái)代替gxR，也就是在不知道簽名接收者私鑰的情況下，攻擊者可以偽造出關(guān)于消息m的代理盲簽名（r*，s*，e*）。為了防止這種攻擊，可以改變代理盲簽名的部分過(guò)程，簽名接收者隨機(jī)選取盲化因子α，β，酌∈Z*p，等式r*=（r）αgβ+xR（y′p）-酌mod p，改為r*=（r）αgβ（y′p）-酌mod p，等式s*=αs+βmod q改為s*=αs+β-xRmod q，其余不變。

3 改進(jìn)的方案及安全性分析和效率分析

3.1 改進(jìn)的方案

本文的方案是在方案[14]的基礎(chǔ)上做的改進(jìn)，本方案包括原始簽名者A、代理簽名者B和簽名接收者R。

1）系統(tǒng)初始化。選擇大素?cái)?shù)p，q，使得q｜p-1，g∈Z*q是階為q的元。（xA,yA）是原始簽名者A的密鑰對(duì)，其中xA為私鑰，yA=gxAmod p為公鑰；（xB,yB）是代理簽名者B的密鑰對(duì)，其中xB為私鑰，yB=gxBmod p為公鑰；（xR,yR）是簽名接收者R的密鑰對(duì)，其中xR為私鑰，yR=gxRmod p為公鑰，H0、H1是安全的Hash函數(shù)。

2）代理授權(quán)。首先生成一個(gè)包括雙方身份、代理權(quán)限、代理期限等信息的授權(quán)證書(shū)mω，原始簽名者A選擇一個(gè)隨機(jī)數(shù)，計(jì)算r0=gk0mod p，短簽名s0=xAH0（mω，r0）+k0yBmod q，并將（r0,s0）發(fā)送給代理人B。B收到（r0,s0）驗(yàn)證等式是否成立，若成立，則計(jì)算代理私鑰xp=s0+xB0yAmod q和其對(duì)應(yīng)的代理公鑰yp=gxpmod p。

3）代理私鑰更新。當(dāng)簽名進(jìn)入第i個(gè)周期的時(shí)候，用第i-1個(gè)周期的私鑰xBi-1來(lái)計(jì)算本周期的私鑰xBi=，計(jì)算出xBi后將xBi-1刪除。然后代理簽名者計(jì)算本周期的代理私鑰x′p=s0+xBiyAmod q，代理公鑰yp′=gx′pp。

4）簽名產(chǎn)生。

③代理簽名者B收到e后，計(jì)算s=k-ex′pmod q，并把s發(fā)送給R。

④簽名接收者R收到s后，計(jì)算s*=αs+β-xRmod q，（mω，r*，s*，e*）是關(guān)于消息m的代理盲簽名。

5）簽名驗(yàn)證。驗(yàn)證者收到關(guān)于消息m的簽名（r*，s*，e*）后，驗(yàn)證等式

是否成立，若成立則（r*，s*，e*）是有效的代理盲簽名，否則，簽名無(wú)效。

3.2 安全性分析

2）可區(qū)分性。因?yàn)槭跈?quán)證書(shū)mω包括雙方的身份信息等，因此任何人可通過(guò)mω知道對(duì)應(yīng)的代理簽名者。

3）不可否認(rèn)性。因?yàn)槭跈?quán)證書(shū)mω包括原始簽名者和代理簽名者身份信息、代理權(quán)限、代理期限等內(nèi)容，所以一旦代理盲簽名有效，那么原始簽名者和代理簽名者都不可以否認(rèn)自己的簽名。

4）不可偽造性。由短簽名s0=xAH0（mω，r0）+k0yBmod q，可知要想知道原始簽名者的私鑰xA，那么首先要求出k0，但r0=gk0mod p，求k0相當(dāng)于解離散對(duì)數(shù)問(wèn)題，這是困難的，因此代理簽名者不能假冒原始簽名者進(jìn)行代理授權(quán)。代理密鑰x′p=s0+xBiyAmod q，要想知道代理密鑰要首先知道代理簽名者B的私鑰xBi，因此其他人不知道xBi的情況下是無(wú)法進(jìn)行代理盲簽名的。想要找到滿足簽名驗(yàn)證等式的一組有效簽名（r*，s*，e*）是困難的。

5）前向安全性。由于第i個(gè)周期代理簽名者的私鑰xBi=x2Bi-1mod q，代理私鑰x′p=s0+xBiyAmod q，在不知道本周期代理簽名者私鑰的情況下是無(wú)法進(jìn)行本周期代理私鑰的計(jì)算的。假設(shè)第i個(gè)周期的代理私鑰被泄露，那么攻擊者能夠知道本周期代理簽名者的私鑰xBi，但不能求得第i-1個(gè)周期代理簽名者的私鑰xBi-1，從而無(wú)法知道第i個(gè)周期的代理私鑰，也無(wú)法偽造第i個(gè)周期之前的代理盲簽名。

3.3 效率分析

新方案是將原方案代理授權(quán)階段的s0=xA+k0yBmod q改成s0=xAH1（mω，r0）+k0yBmod q,代理盲簽名階段的r*=（r）αgβ+xR（y′p）-ymod p改成r*=（r）αgβ（y′p）-ymod p，s*=αs+βmod q改成s*=αs+β-xRmod q，并在原方案中加入了授權(quán)證書(shū)mω。新的方案能夠抵抗在代理授權(quán)階段和代理盲簽名階段的攻擊和偽造，但在計(jì)算復(fù)雜度上只是增加了一次哈希運(yùn)算。

4 結(jié)論

本文提出了一個(gè)改進(jìn)的無(wú)證書(shū)代理盲簽名方案，克服了原方案的缺陷，同時(shí)保留了原方案的前向安全性，使得代理密鑰泄露后的損失減??；即使代理密鑰泄露，攻擊者也無(wú)法偽造過(guò)去時(shí)段的代理盲簽名，之前的簽名仍然有效。改進(jìn)的方案具有可驗(yàn)證性、不可否認(rèn)性、可區(qū)分性、不可偽造性等性質(zhì)。由于代理盲簽名具有盲簽名的特點(diǎn)，也具有代理簽名的特點(diǎn)，它可以廣泛的應(yīng)用于需要保護(hù)用戶隱私和匿名性的場(chǎng)合，如電子現(xiàn)金、電子商務(wù)等。

[1]CHAUM D.Blind signatures for untraceable payments[C]//Advance in Cryptology-Crypto’82，1983：199-203.

[2]MAMBO M，Usuda K，Okamoto E.Proxy signatures for delegating signing operation[C]//Proceedings of 3rd ACM Conference on Computer and Communications Security.New York:ACM Press，1996：48-57.

[3]LIN W D，JAN J K.A security personal learning tools using a proxy blind signature scheme[C]//Proc of International Conference on Chinese Language Computing，2000：273-277.

[4]張學(xué)軍，王育民.高效的基于身份的代理盲簽名[J].計(jì)算機(jī)應(yīng)用，2006，26（11）：2586-2588.

[5]陳玲玲，亢保元，張磊.一種高效的基于身份的代理盲簽名方案[J].華東交通大學(xué)學(xué)報(bào)，2008，25（1）：113-116.

[6]張碧軍，何明星.一個(gè)基于代理盲簽名的電子選舉方案[J].西華大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，32（4）：10-13.

[7]魏春艷，蔡曉秋.新的無(wú)證書(shū)代理盲簽名方案[J].計(jì)算機(jī)應(yīng)用，2010，30（12）：3341-3342.

[8]葛榮亮，高德智，梁景玲，張?jiān)?無(wú)證書(shū)代理盲簽名方案的安全性分析及改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2012，32（3）：705-706.

[9]黃雋，杜偉章.無(wú)證書(shū)代理盲簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2011，47（31）：73-75.

[10]張建中，楊麗.無(wú)證書(shū)代理盲簽名方案的密碼學(xué)分析與改進(jìn)[J].計(jì)算機(jī)工程與應(yīng)用，2014，50（4）：90-93.

[11]ANDERSON R.Invited lecture[C]//Proceedings of the 4th ACM Conference on Computer and Communications Security，Zurich, Switzerland，1997：1-7.

[12]魏俊懿，楊曉元，余丹.一種前向安全的無(wú)證書(shū)代理盲簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2011，47（34）：95-97.

[13]何濱，杜偉章.前向安全無(wú)證書(shū)代理盲簽名方案的分析與改進(jìn)[J].計(jì)算機(jī)工程與應(yīng)用，2013，49（22）：104-109.

[14]MANOJ KUMAR CHANDE，BALWANT SINGH THAKUR.An improved proxy blind signature scheme with forward security[J]. International Journal of Computer Applications，2014（85）：1-4.

Analysis and Improvement of Forward Secure Proxy Blind Signature Scheme

Liu Ergen,Wang Xia
(School of Science,East China Jiaotong University,Nanchang 330013,China)

Through the security analysis of the forward secure proxy blind signature scheme proposed by Manoj et al.,this study found out that the scheme can not resist the forgery attack during proxy phase and signature generation phase.In order to avoid these attacks,an improved forward secure proxy blind signature scheme was presented based on DLP.The improved scheme overcame the drawbacks in the original scheme by embedding oneway hash function in short signature during proxy phase and improving signature generation phase.In the efficiency,the improved scheme was more secure with one more hash operation compared with the original scheme, which has verifiability,distinguishability,unforgeability,nonrepudiation,etc.

proxy blind signature;forward secure;unforgeable;proxy key

TP309

A

1005-0523（2015）06-0110-05

(責(zé)任編輯 姜紅貴)

2015-06-23

國(guó)家自然科學(xué)基金項(xiàng)目（11361024，11261019，61472138，61263032）；江西省高?？萍悸涞赜?jì)劃項(xiàng)目（KJLD12067）；華東交通大學(xué)校立科研基金項(xiàng)目（11JC04）；江西省科技廳科技項(xiàng)目（20151BDH80071）。

劉二根（1965—），男，教授，研究方向?yàn)閳D論及其優(yōu)化，信息安全。