劉二根　周華靜,2　左黎明,2　王　霞,2

1(華東交通大學(xué)理學(xué)院　江西 南昌 330013)2(華東交通大學(xué)系統(tǒng)工程與密碼學(xué)研究所　江西 南昌 330013)

?

新的基于身份無(wú)可信私鑰生成中心的部分盲簽名方案

劉二根1周華靜1,2左黎明1,2王霞1,2

1(華東交通大學(xué)理學(xué)院江西 南昌 330013)2(華東交通大學(xué)系統(tǒng)工程與密碼學(xué)研究所江西 南昌 330013)

摘要一般的基于身份的簽名方案，存在密鑰托管問(wèn)題。對(duì)周萍等[10]提出的方案進(jìn)行研究，發(fā)現(xiàn)該方案對(duì)于篡改公共信息攻擊并不安全。因此，在原方案的基礎(chǔ)上進(jìn)行改進(jìn)，給出一個(gè)新的基于身份無(wú)可信中心部分盲簽名方案。隨后證明了新方案在隨機(jī)預(yù)言機(jī)模型下對(duì)于適應(yīng)性選擇消息和身份攻擊是存在性不可偽造的，并證明了新方案可抗篡改公共信息攻擊及滿(mǎn)足部分盲性。通過(guò)與已有部分盲簽名方案進(jìn)行效率比較，發(fā)現(xiàn)新方案具有較高的效率。

關(guān)鍵詞基于身份無(wú)可信私鑰生成中心部分盲簽名隨機(jī)預(yù)言機(jī)模型

0引言

盲簽名是數(shù)字簽名中的一種，是由Chaum[1]在1982年首次提出的。所謂盲簽名是指簽名者在不知道消息的具體內(nèi)容的情況下進(jìn)行簽名，并且當(dāng)該簽名公布后，簽名者不能將自己的簽名與消息對(duì)應(yīng)，即滿(mǎn)足不可追蹤性。因此廣泛應(yīng)用與電子現(xiàn)金系統(tǒng)及匿名電子投票等，但是正是由于盲簽名的這種完全匿名性，容易造成簽名的濫用，這樣會(huì)造成簽名者的損失。1996年，Abe等[2]首次提出部分盲簽名的概念，在部分盲簽名中簽名者和簽名請(qǐng)求者事先商量好一個(gè)公共信息，成功解決了盲簽名中簽名的濫用問(wèn)題。部分盲簽名的這種優(yōu)點(diǎn)得到學(xué)者的廣泛關(guān)注，2001年，Chien等[3]基于RSA困難問(wèn)題提出一個(gè)部分盲簽名方案。

公鑰密碼系統(tǒng)包括基于證書(shū)、無(wú)證書(shū)及基于身份的密碼體制，傳統(tǒng)的基于證書(shū)密碼體制中，由證書(shū)生成中心生成用戶(hù)公鑰證書(shū)來(lái)綁定用戶(hù)身份，但是證書(shū)的頒發(fā)、存儲(chǔ)、更新等占用很大花費(fèi)。無(wú)證書(shū)密碼體制由Al-Riyami和Paterson[4]在亞密會(huì)上首次提出的，該體制下不需要公鑰證書(shū)，但是容易存在用戶(hù)公鑰被替換的風(fēng)險(xiǎn)。而Shamir[5]于1984年提出的基于身份密碼體制將用戶(hù)的身份等公共信息作為用戶(hù)公鑰，傳統(tǒng)的基于身份密碼體制需要一個(gè)可信中心生成用戶(hù)私鑰，這就存在密鑰托管問(wèn)題。2003年， Chen等[6]首次提出基于身份無(wú)可信私鑰生成中心的密碼學(xué)思想，并給出一個(gè)具體的簽名方案。至此，基于各類(lèi)密碼體制學(xué)者們分別提出各種部分盲簽名方案。2010年，李明祥等[7]提出一個(gè)高效的無(wú)證書(shū)部分盲簽名方案，同年，馮濤等[8]給出一個(gè)安全的無(wú)可信PKG的部分盲簽名方案。2012年，何俊杰等[9]提出一個(gè)高效的基于身份的部分盲簽名方案。同年，周萍等[10]提出一個(gè)安全無(wú)可信私鑰生成中心的部分盲簽名方案。

本文，通過(guò)對(duì)文獻(xiàn)[10]中部分盲簽名方案的安全性分析，發(fā)現(xiàn)方案存在公共信息被篡改的危險(xiǎn)，在此基礎(chǔ)上提出改進(jìn)方案。并證明了方案的安全性。

1預(yù)備知識(shí)

1.1雙線(xiàn)性對(duì)映射

定義1設(shè)G1、G2分別為q階加法循環(huán)群和乘法循環(huán)群。映射e:G1×G1→G2，滿(mǎn)足下面三條性質(zhì)則稱(chēng)為雙線(xiàn)性對(duì)映射：

2) 非退化性：存在P,Q∈G1，使得e(P,Q)≠1；

3) 可計(jì)算性：對(duì)于任意的P,Q∈G1，存在有效的多項(xiàng)式時(shí)間算法能計(jì)算出e(P,Q)。

1.2離散對(duì)數(shù)問(wèn)題(DLP)

假設(shè)1(離散對(duì)數(shù)困難性假設(shè))假設(shè)算法Ω不能在多項(xiàng)式時(shí)間內(nèi)以一個(gè)不可忽略的概率解得離散對(duì)數(shù)問(wèn)題，則稱(chēng)離散對(duì)數(shù)困難性假設(shè)成立。

1.3安全模型[11]

一個(gè)安全的基于身份無(wú)可信中心的數(shù)字簽名方案，必須滿(mǎn)足正確性和不可偽造性。下面給出安全性和不可偽造性定義。

定義3(正確性)如果一個(gè)基于證書(shū)的數(shù)字簽名方案是由簽名人嚴(yán)格按照簽名算法的步驟產(chǎn)生的，那么該簽名能夠通過(guò)驗(yàn)證等式，即該簽名方案滿(mǎn)足正確性。

下面定義基于證書(shū)數(shù)字簽名的不可偽造性：

定義4(不可偽造性)如果不存在一個(gè)多項(xiàng)式時(shí)間(PPT)的攻擊者F以不可忽略的概率借助挑戰(zhàn)算法C偽造出的簽名來(lái)贏得下面的游戲，則稱(chēng)此簽名方案在適應(yīng)性選擇消息和身份下滿(mǎn)足存在性不可偽造。

游戲(F和C參與游戲)

1) 初始化：挑戰(zhàn)算法C運(yùn)行系統(tǒng)初始化算法，生成系統(tǒng)公開(kāi)參數(shù)并發(fā)送給攻擊者F；

2) 詢(xún)問(wèn)：攻擊者F可以在多項(xiàng)式時(shí)間內(nèi)進(jìn)行下列適應(yīng)性詢(xún)問(wèn)：

① Hash詢(xún)問(wèn)：F可以向C進(jìn)行任意的Hash詢(xún)問(wèn)；

② 密鑰詢(xún)問(wèn)：F可以向C進(jìn)行除目標(biāo)用戶(hù)外的任意用戶(hù)的密鑰詢(xún)問(wèn)；

③ 簽名詢(xún)問(wèn)：F可以向C進(jìn)行任意消息對(duì)應(yīng)的簽名詢(xún)問(wèn)。

3) 偽造：如果攻擊者F通過(guò)上面的詢(xún)問(wèn)得到訓(xùn)練，且在詢(xún)問(wèn)過(guò)程中，F(xiàn)沒(méi)有對(duì)目標(biāo)用戶(hù)的密鑰和簽名進(jìn)行過(guò)詢(xún)問(wèn)，輸出的一個(gè)偽造簽名，并通過(guò)驗(yàn)證等式，則F贏得游戲。

2文獻(xiàn)[10]方案回顧

2.1方案回顧

文獻(xiàn)[10]給出一個(gè)無(wú)可信私鑰生成中心的部分盲簽名方案，該方案包括系統(tǒng)初始化、簽名密鑰生成、簽名及驗(yàn)證四個(gè)算法組成，由簽名者，請(qǐng)求者及驗(yàn)證者三個(gè)實(shí)體共同完成。具體方案描述如下：

1) 系統(tǒng)初始化(Setup)

2) 密鑰生成(KeyGen)

則用戶(hù)公私鑰對(duì)分別為(SA,x)，(PKA1,PKA2)；

3) 簽名(Sign)簽名者A身份為IDA，請(qǐng)求者B身份為IDB，待簽名消息為m∈{0,1}*，設(shè)簽名者與請(qǐng)求者事先協(xié)商好的公共信息為c，計(jì)算gc=e(H3(c),P1)并作為公鑰參數(shù)公開(kāi)，簽名者和請(qǐng)求者進(jìn)行如下交互：

(3) 簽名：A收到盲化消息后，進(jìn)行簽名，計(jì)算S′=kxH3(c)+xh′H1(IDA)SA，將S′發(fā)送給B；

(4) 解盲：B收到盲簽名后，進(jìn)行解盲，計(jì)算S=αS′+βP+H1(IDA)H3(c)，則消息m的部分盲簽名為σ=(S,h,c)。

2.2對(duì)方案的攻擊

通過(guò)對(duì)上述方案的安全性分析，發(fā)現(xiàn)上述方案存在篡改公共信息攻擊。如果攻擊者將公共信息篡改，那么就會(huì)存在簽名被濫用的可能，這會(huì)對(duì)簽名者造成很大的損失或者傷害。具體攻擊過(guò)程如下：

下面證明，如果被不誠(chéng)實(shí)的用戶(hù)T篡改過(guò)公共信息的簽名能通過(guò)驗(yàn)證等式，則說(shuō)明攻擊者攻擊成功，也即方案不能抵抗篡改公共信息攻擊。

=e(H3(c),P1)αkxe(P,P1)βe(xP,P)αβH1(IDA)

=e(αkxH3(c),P1)e(βP,P1)e(xSA,P1)αβH1(IDA)

=e(αkxH3(c)+βP+xαβH1(IDA)SA,P1)

所以：

故：

3方案改進(jìn)

其中系統(tǒng)初始化階段與文獻(xiàn)[10]方案相同，不再贅述。只在密鑰生成、簽名和驗(yàn)證部分進(jìn)行修改。

密鑰生成：

則用戶(hù)私鑰對(duì)為(x,SKA)，公鑰對(duì)為(PKA1,PKA2)。

簽名：在該算法中，需要簽名者與請(qǐng)求者進(jìn)行交互才能完成，設(shè)簽名者為A，身份為IDA，請(qǐng)求者B，身份為IDB，消息m∈{0,1}*，簽名者與請(qǐng)求者事先協(xié)商好的公共信息為c，交互過(guò)程如下：

3) 簽名：A收到h′后，進(jìn)行簽名，計(jì)算S′=kxH3(c)+h′H1(IDA)SKA+xP，將S′發(fā)送給B；

4) 解盲：B收到盲簽名S′后，解盲，計(jì)算S=αS′，則關(guān)于m的消息簽名對(duì)為σ=(S,m,h,r,c)。

驗(yàn)證：驗(yàn)證者收到簽名對(duì)σ=(S,m,h,r,c)后，驗(yàn)證等式r=e(S,Ppub+H1(IDA)P)g-hH1(IDA)是否成立。如果成立，說(shuō)明簽名有效；否則，簽名無(wú)效。

4新方案的安全性分析

4.1正確性

定理1改進(jìn)后的部分盲簽名方案是正確的。

證明：只需證明簽名可以通過(guò)驗(yàn)證等式即可。

e(S,Ppub+H1(IDA)P)g-hH1(IDA)

=e(αS′,Ppub+H1(IDA)P)g-hH1(IDA)

=e(αkxH3(c)+hH1(IDA)SKA+

αβH1(IDA)SKA+αxP,P1)g-hH1(IDA)

=e(H3(c),P1)αkxe(SKA,P1)hH1(IDA)

e(SKA,P1)αβH1(IDA)e(xP,P1)αg-hH1(IDA)

因此，驗(yàn)證等式成立，即方案滿(mǎn)足正確性。

4.2部分盲性

定理2改進(jìn)后的部分盲簽名方案滿(mǎn)足部分盲性。

S=αS′

(1)

h′=α-1h+β

(2)

(3)

由式(1)可以唯一確定α=logS′S，又由式(2)唯一確定β=h′-α-1h，只要此唯一確定的α、β滿(mǎn)足式(3)即可。

因?yàn)楹灻怯行У模虼藵M(mǎn)足驗(yàn)證等式，有：

r=e(S,Ppub+H1(IDA)P)g-hH1(IDA)

=e(αS′,Ppub+H1(IDA)P)g-hH1(IDA)

=e(αkxH3(c)+hH1(IDA)SKA+

αβH1(IDA)SKA+αxP,P1)g-hH1(IDA)

=e(H3(c),P1)αkxe(SKA,P1)hH1(IDA)

e(SKA,P1)αβH1(IDA)e(xP,P1)αg-hH1(IDA)

即由式(1)、式(2)唯一確定的α、β可以使得式(3)成立，也就是說(shuō)存在唯一的α、β使得某個(gè)有效簽名與中間視圖相對(duì)應(yīng)。這樣，簽名者即使簽了名，日后也無(wú)法將自己的簽名與自己的簽名過(guò)程聯(lián)系起來(lái)，即滿(mǎn)足了部分盲性。

4.3公共信息不可篡改性

定理3改進(jìn)后的部分盲簽名方案可以抵抗篡改公共信息攻擊。

證明：改進(jìn)后的方案在簽名等式中無(wú)法完整地提取出含有公共信息的H3(c)來(lái)，因此如果攻擊者想在解盲階段將公共信息替換，通過(guò)將原本的H3(c)消掉是不可行的，也就是說(shuō)攻擊者無(wú)法替換公共信息。因此，改進(jìn)方案可以抵抗篡改公共信息攻擊。

4.4不可偽造性

定理4改進(jìn)后的新的基于身份無(wú)可信中心的部分盲簽名方案在隨機(jī)預(yù)言機(jī)模型下，基于離散對(duì)數(shù)困難性假設(shè)，對(duì)于適應(yīng)性選擇消息及身份攻擊滿(mǎn)足存在不可偽造性。

證明：假設(shè)存在一個(gè)攻擊者F，可以在多項(xiàng)式時(shí)間內(nèi)成功偽造一個(gè)有效簽名，那么只需證明存在一個(gè)概率多項(xiàng)式時(shí)間算法的挑戰(zhàn)者C能夠解決DL問(wèn)題。這與離散對(duì)數(shù)困難性矛盾，因此方案滿(mǎn)足存在不可偽造性。

DL問(wèn)題實(shí)例為，已知(P,aP)，求解a。在證明中，假設(shè)F模擬用戶(hù)進(jìn)行攻擊，C模擬公鑰生成中心回答對(duì)F一系列詢(xún)問(wèn)，包括任意的哈希詢(xún)問(wèn)，部分密鑰詢(xún)問(wèn)，個(gè)人密鑰詢(xún)問(wèn)及簽名詢(xún)問(wèn)，C通過(guò)模擬回答F的詢(xún)問(wèn)維護(hù)相應(yīng)的列表：L1(IDi,h1i)，L2(mi,ci,ri,h2i)，L3(ci,h3i)，Lk(IDi,SKi,PKi1)，Lk′(xi,PKi2)，Ls(mi,hi,ri,ci,Si)。設(shè)目標(biāo)用戶(hù)的身份用ID*表示，C首先生成并公布系統(tǒng)公開(kāi)參數(shù)params，置系統(tǒng)主私鑰為a。下面由F進(jìn)行如下詢(xún)問(wèn)：

H1詢(xún)問(wèn)F向C進(jìn)行身份為IDi的H1詢(xún)問(wèn)，C首先查詢(xún)列表L1，如果L1中存在(IDi,h1i)的項(xiàng)，直接返回h1i給F；否則，C隨機(jī)選取h2i∈RZq*，將h1i返回給F并將(IDi,h1i)添加到列表L1中。

H2詢(xún)問(wèn)F向C進(jìn)行消息為mi的H2詢(xún)問(wèn)，相應(yīng)的公共信息為ci，簽名公開(kāi)參數(shù)為ri，C查詢(xún)列表L2，若如果列表中存在(mi,ci,ri,hi)的項(xiàng)，直接hi給F；否則，C隨機(jī)選取hi∈RZq*，將其返回給F并添加到列表L2中。

部分密鑰詢(xún)問(wèn)F向C進(jìn)行用戶(hù)身份為IDi的部分密鑰詢(xún)問(wèn)，C查詢(xún)相應(yīng)的列表Lk，如果列表中出現(xiàn)(IDi,SKi,PKi1)的項(xiàng)，直接返回(SKi,PKi1)給F；否則，假設(shè)已經(jīng)之前已經(jīng)進(jìn)行過(guò)H1詢(xún)問(wèn)，不然可以先進(jìn)行H1詢(xún)問(wèn)：

2)IDi=ID*時(shí)，C拒絕回答部分私鑰，計(jì)算PKi1=e(P,P1)，其中P1=Ppub+h1iP，返回(-,PKi1)給F。

且無(wú)論上述1)，2)中的哪種情況都將其返回值添加到列表Lk中。

個(gè)人密鑰詢(xún)問(wèn)F向C詢(xún)問(wèn)身份為IDi的用戶(hù)個(gè)人密鑰，C首先查詢(xún)列表Lk′，如果列表中已經(jīng)存在(xi,PKi2)的項(xiàng)，直接將其返回給F；否則：

2)IDi=ID*時(shí)，C拒絕回答個(gè)人私鑰，返回(-,PKi2)給F。

無(wú)論上述1)，2)中的哪種情況都將返回值添加到列表Lk′中。

簽名詢(xún)問(wèn)F向C進(jìn)行消息為mi的簽名詢(xún)問(wèn)，C查詢(xún)列表Ls，如果列表中已經(jīng)存在Ls(mi,hi,ri,ci,Si)的項(xiàng)，直接返回Si給F；否則，假設(shè)在此之前已經(jīng)進(jìn)行過(guò)哈希詢(xún)問(wèn)，不然先進(jìn)行上述詢(xún)問(wèn)：

1)IDi≠I(mǎi)D*時(shí)，C查詢(xún)列表L1，L2，L3，分別得到h1i，hi，h3i的值，并隨機(jī)選取Si，根據(jù)驗(yàn)證等式，計(jì)算ri=e(Si,Ppub+h1iP)g-hih1i。最后將消息簽名對(duì)σi=(Si,mi,hi,ri,ci)返回給F。

2)IDi=ID*時(shí)，C拒絕回答，詢(xún)問(wèn)終止。

r*=e(S*,Ppub+H1(ID*)P)g-h*H1(ID*)

所以，有：

e(S*,Ppub+H1(ID*)P)g-h*H1(ID*)

即：

因此：

解得:

也就是說(shuō)挑戰(zhàn)者C成功解決了離散對(duì)數(shù)問(wèn)題。這與離散對(duì)數(shù)困難性假設(shè)矛盾，因此說(shuō)明攻擊者無(wú)法攻破該方案。即方案在適應(yīng)性選擇消息和身份攻擊下對(duì)于超級(jí)攻擊者F是存在性不可偽造的。

5結(jié)語(yǔ)

將本文改進(jìn)后的方案與文獻(xiàn)[8-10]中發(fā)方案進(jìn)行效率比

較，已知雙線(xiàn)性對(duì)運(yùn)算的時(shí)間復(fù)雜度最大，其次是哈希運(yùn)算，指數(shù)運(yùn)算次之，標(biāo)量乘運(yùn)算的時(shí)間復(fù)雜度基本忽略。用P表示雙線(xiàn)性對(duì)運(yùn)算，H表示哈希運(yùn)算，E表示指數(shù)運(yùn)算，M表示標(biāo)量乘運(yùn)算。比較結(jié)果如表1所示。

表1　各方案效率比較

由表1，本文提出的改進(jìn)方案及文獻(xiàn)[10]中的方案在整個(gè)過(guò)程中僅僅使用了一次雙線(xiàn)性對(duì)運(yùn)算，且改進(jìn)后的方案比原方案使用了更少的哈希運(yùn)算、指數(shù)運(yùn)算及標(biāo)量乘運(yùn)算。因此，改進(jìn)后的方案具有較高的效率。

參考文獻(xiàn)

[1] Chaum D.Blind Signature for Untraceable Payments[C]//Proceeding of the Crypto’82.New York: Plenum Publishing,1982:145-152.

[2] Abe M,Fujisaki E.How to Date Blind Signatures[C]//Proceeding of the Cryptology-AsiaCrypt’96.Heidelberg:Springer-Verlag,1996:244-251.

[3] Chien H Y,Jan J K,Tseng Y M.RSA-Based Partially Blind Signature with Low Computation[C]//IEEE 8thInternational Conference on Parallel and Distributed Systems,2001:385-389.

[4] Al-Riyami S,Paterson K G.Certificateless public key cryptography[C]//Proc. of Cryptology-ASIANCRYPT’03.Berlin,Germany:Springer-Verlag,2003:452-473.

[5] Shamir A.Identity-based cryptosystems and signature schemes[C]//Proceedings of Crypto’84.Berlin:Springer-Verlag,1984,LNCS 196:47-53.

[6] Chen Xiaofeng,Zhang Fangguo,Kim K.A New ID-based Group Signature Scheme from Bilinear Pairings[C]//Proceedings of WISA’03,2003:585-592.

[7] 李明祥,杜光輝,羅新方.高效的無(wú)證書(shū)部分盲簽名方案[J].計(jì)算機(jī)工程與設(shè)計(jì),2010,31(22):4817-4819,4892.

[8] 馮濤,彭偉,馬建峰.安全的無(wú)可信PKG的部分盲簽名方案[J].通信學(xué)報(bào),2010,31(1):128-134.

[9] 何俊杰,王娟,祁傳達(dá).安全高效的基于身份的部分盲簽名方案[J].計(jì)算機(jī)應(yīng)用,2012,32(5):1388-1391.

[10] 周萍,何大可.安全無(wú)可信私鑰生成中心的部分盲簽名方案[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2012,21(6):70-74.

[11] Boneh D,Boyen X.Short Signatures without Random Oracles[C]//LNCS 3027,Advances in Cryptology: Proc. Eurocrypt’04,Springer,2003:56-73.

[12] Pointcheval D,Stern J.Security Proofs for Signatures[C]//LNCS 1070,Advances in Cryptology:Proc.Eurocrypt’96,Springer,1996:387-398.

[13] 文佳駿,左黎明,李彪.一個(gè)高效的無(wú)證書(shū)代理盲簽名方案[J].計(jì)算機(jī)工程與科學(xué),2014,36(3):452-457.

NEW ID-BASED PARTIALLY BLIND SIGNATURE SCHEME WITHOUT TRUSTED PRIVATE KEY GENERATOR

Liu Ergen1Zhou Huajing1,2Zuo Liming1,2Wang Xia1,2

1(SchoolofScience,EastChinaJiaotongUniversity,Nanchang330013,Jiangxi,China)2(SECInstitute,EastChinaJiaotongUniversity,Nanchang330013,Jiangxi,China)

AbstractGeneral ID-based signature schemes have the problem of key escrow. We studied the signature scheme presented by Zhou Ping et al[10], and found that the scheme is not secure for tampering public information attack. Hence, we made improvement based on the original scheme and put forward a new ID-based partial blind signature scheme without trusted centre. Subsequently, we proved that the new scheme was existentially unforgeable under random oracle model against adaptive chosen message and identity attack, and that the new scheme was also able to resist tampering public information attack, as well as satisfied the partial blindness. By comparing with other partially blind signature schemes in efficiency, we found that the new scheme had higher efficiency.

KeywordsID-basedWithout trusted private key generatorPartially blind signature schemeRandom oracle model

收稿日期：2014-12-23。國(guó)家自然科學(xué)基金項(xiàng)目(11061014，6124 0025)；江西省高校科技落地計(jì)劃項(xiàng)目(KJLD12067)；江西省教育廳科研項(xiàng)目(GJJ13339)；華東交通大學(xué)校立科研基金項(xiàng)目(11JC04)。劉二根，教授，主研領(lǐng)域：圖論及其應(yīng)用。周華靜，碩士生。左黎明，副教授。王霞，碩士生。

中圖分類(lèi)號(hào)TP309

文獻(xiàn)標(biāo)識(shí)碼A

DOI:10.3969/j.issn.1000-386x.2016.05.071