梁林

（安徽農(nóng)業(yè)大學(xué) 經(jīng)濟(jì)技術(shù)學(xué)院，安徽 合肥 230011）

一種新的基于身份的代理盲簽名方案

梁林

（安徽農(nóng)業(yè)大學(xué) 經(jīng)濟(jì)技術(shù)學(xué)院，安徽 合肥 230011）

研究一個(gè)簽名方案，指出該方案的代理密鑰生成階段存在安全隱患，不法者可以偽造原始簽名者的簽名或授權(quán).本文為克服這一困難，先根據(jù)橢圓曲線(xiàn)上的雙線(xiàn)性對(duì)的特性，再通過(guò)增加盲因子的方法，設(shè)計(jì)了一個(gè)更安全可靠的基于身份的代理盲簽名方案.

代理盲簽名；雙線(xiàn)性對(duì)；基于身份；安全性

1 引言

盲簽名[1]的概念是Chaum在1983年時(shí)第一次提出，M. Mambo在1996年提出了代理簽名[2]的概念.將代理簽名與盲簽名相結(jié)合形成了代理盲簽名[3].因?yàn)閭鹘y(tǒng)的公鑰密碼體制是在公鑰結(jié)構(gòu)證書(shū)PKI的基礎(chǔ)上來(lái)形成的，而在證書(shū)的管理過(guò)程中，尤其是在密鑰的管理上，是需要花費(fèi)很高的計(jì)算成本和存儲(chǔ)消費(fèi)的.為了簡(jiǎn)化傳統(tǒng)公鑰密碼體制，減少開(kāi)支，1984年Shamir提出了一種新思想，基于身份的密碼系統(tǒng)[4].基于身份的密碼體制的優(yōu)越性在于，它不需要保存用戶(hù)的公鑰證書(shū)，用戶(hù)的公鑰是可以根據(jù)自己的身份信息直接計(jì)算出來(lái)的，而私鑰則是由可信中心來(lái)統(tǒng)一生成得到.在基于身份的密碼體制的基礎(chǔ)上，人們又利用橢圓曲線(xiàn)的雙線(xiàn)性對(duì)，構(gòu)造出基于身份的代理盲簽名方案，基于身份的密碼體制已經(jīng)成為密碼學(xué)的一個(gè)新研究熱點(diǎn).

文獻(xiàn)[5]就是通過(guò)利用橢圓曲線(xiàn)上的雙線(xiàn)性對(duì)，構(gòu)建了一個(gè)基于身份的代理盲簽名方案.但分析后發(fā)現(xiàn)，在方案的代理密鑰生成階段卻存在著安全隱患，不法者可以偽造原始簽名者的簽名或授權(quán).為克服這一困難，本文利用計(jì)算離散對(duì)數(shù)的困難性，根據(jù)橢圓曲線(xiàn)上的雙線(xiàn)性對(duì)所具有的特殊性質(zhì)，設(shè)計(jì)了一個(gè)安全可靠的基于身份的代理盲簽名方案.

2 雙線(xiàn)性映射

設(shè)G1、G2是循環(huán)群，q為它們的階（q是一個(gè)大素?cái)?shù)）.G1是加法循環(huán)群，G2是乘法循環(huán)群，設(shè)e：G1×G1→G2是一個(gè)雙線(xiàn)性映射，它滿(mǎn)足下面三個(gè)性質(zhì)：

（1）雙線(xiàn)性：?P,Q∈G1,a,b∈Zq,e(aP,bQ)=e(P,Q)ab；

（2）非退化性：存在P,Q∈G1,使得e(P,Q)不等于G2的單位元；

（3）可計(jì)算性：對(duì)任意P,Q∈G1存在有效的算法計(jì)算e (P,Q).

在雙線(xiàn)性對(duì)中存在以下幾個(gè)數(shù)學(xué)難題：

（1）DLP（Discrete Logarithm Problem）：設(shè)P,Q∈G1求解n∈Zq*，使得Q=nP.

（2）CDHP（Computational Diffie-Hellman Problem）：設(shè)P∈G1,a,b∈Zq*，給定P,aPO,bP,計(jì)算abP.

（3）DDHP（Decision Diffie-Hellman Problem）：設(shè) P∈G1，a,b,c∈Zq*,給定P,aP,bP,cP,判定c≡abmodq.是否成立.

（4）GDHP（Gap Diffie-Hellman Problem）：在循環(huán)群G1中，DDHP是易解的，即在多項(xiàng)式內(nèi)DDHP是容易求解的；而CDHP卻是比較復(fù)雜的，目前還沒(méi)有可行的算法來(lái)求解CDHP.此時(shí)稱(chēng)循環(huán)群G1為GDH群.

3 文獻(xiàn)[5]方案描述

3.1 系統(tǒng)參數(shù)設(shè)置

設(shè)G1、G2是循環(huán)群，q為它們的階（q是一個(gè)大素?cái)?shù)）.G1是加法循環(huán)群，G2是乘法循環(huán)群.

HGC首先選擇P∈G1，設(shè)e:G1×G1→G2為一個(gè)雙線(xiàn)性映射.定義密碼學(xué)上3個(gè)Hash函數(shù)：H1(·):{0,1}*→G1，H2(·): {0,1}*×G2→Zq*，H3(·):G1→Zq*，然后KGC再選擇t∈RZq*，計(jì)算Ppub=tP，其中t保密存儲(chǔ)，稱(chēng)為系統(tǒng)主密鑰.

公開(kāi)系統(tǒng)參數(shù)：params={G1,G2,w,q,P.Ppub,H1(·),H2(·),H3(·)}.

方案參與者分別為：原始簽名者A，代理簽名者B和盲簽名的持有者C.

3.2 密鑰提取

A與B先將自己的身份信息IDA,IDB提交給KGC，然后由KGC計(jì)算他們的公鑰/密鑰對(duì)，分別為PKA=H1(IDA)，SKA=tPKA，PKB=H1(IDB)，SKB=tPKB.最后，再將這些信息安全地發(fā)送給A與B.

3.3 代理密鑰生成

先由原始簽名者A創(chuàng)建一個(gè)許可證W，主要包括參與者的身份信息，代理期限，簽名文件的范圍等.

3.3.1 原始簽名者A計(jì)算：

然后將(W,SW)發(fā)送給代理簽名者B.

3.3.2 代理簽名者B計(jì)算并驗(yàn)證：

是否成立.如果是成立的，可以計(jì)算得到代理簽名密鑰：

3.4 代理簽名生成

3.4.1 代理簽名者B選擇P1∈G1，計(jì)算K=e(P1,P)，然后將(K, W)發(fā)送給盲簽名的持有者C.

3.4.2 盲簽名的持有者C選擇P2=∈G1，b∈RZq*,計(jì)算

然后將c發(fā)送給代理簽名者B.

3.4.3 代理簽名者B計(jì)算S=cSp+P1，然后將S發(fā)送給盲簽名的持有者C.

3.4.4 盲簽名的持有者C計(jì)算S'=S+P2,c'=c-b，

則σ(m)=(S',c',m,W)為消息m的基于身份的代理盲簽名.

3.4.5 簽名驗(yàn)證驗(yàn)證下式

是否成立.若成立，說(shuō)明簽名σ(m)=(S',c,m,W)是有效性的.若不成立，則什么簽名是無(wú)效的.

4 本文基于身份的代理盲簽名方案

4.1 文獻(xiàn)[5]方案安全性分析

在文獻(xiàn)[5]描述的代理密鑰生成過(guò)程中，由A先計(jì)算一個(gè)短簽名SW=H3(H1(W))SKA，然后再將(W,SW)發(fā)送給B.在這個(gè)過(guò)程中，由于W,H1,H3是公開(kāi)已知的，因此B是可以計(jì)算出H3(H1(W))∈Zq*，并且B又已知SW∈G1，所以可以容易計(jì)算出SKA∈G1.也就是說(shuō)，B是能夠計(jì)算出H3(H1(W))∈Zq*的逆運(yùn)算H3(H1(W))-1∈Zq*，進(jìn)而可以計(jì)算出H3(H1(W))-1SW=H3(H1(W))-1H3(H1(W))SKA=SKA，也就是說(shuō)A的授權(quán)或簽名是可以偽造的.因此，在文獻(xiàn)[]描述的簽名方案中存在著安全問(wèn)題.

4.2 方案設(shè)計(jì)描述

為了克服文獻(xiàn)[5]中的安全問(wèn)題，設(shè)計(jì)了下面的新方案：

4.2.1 系統(tǒng)參數(shù)設(shè)置

本文系統(tǒng)參數(shù)設(shè)置與文獻(xiàn)[5]系統(tǒng)參數(shù)設(shè)置基本相同，但需要將第三個(gè)哈希函數(shù)進(jìn)行更改，由原來(lái)的H3(·)G1→Zq*改成H3(·):{0,1}*→Zq*.

4.2.2 密鑰提取

A與B先將自己的身份信息IDA,IDB提交給KGC，然后由KGC計(jì)算他們的公鑰/密鑰對(duì)，分別為PKA=H1(IDA)，SKA=tpKA，PKB=H1(IDB)，SKB=tpKB.最后，再將這些信息安全地發(fā)送給A與B.

4.3 代理密鑰生成

A首先需要?jiǎng)?chuàng)建一個(gè)授權(quán)證書(shū)W，其中應(yīng)該包括A和B的身份信息、授權(quán)關(guān)系以及授權(quán)使用權(quán)限等內(nèi)容.

4.3.1 A隨機(jī)選擇rA∈RZq*，再計(jì)算

然后將(W,SW,RA)發(fā)送給B.

4.3.2 B收到(W,SW,RA)后驗(yàn)證

若上式成立，計(jì)算得到代理簽名者B的代理盲簽名密鑰：

4.4 代理簽名生成

4.4.1 B隨機(jī)選擇P1∈G1，計(jì)算

然后將(K,W,RA)發(fā)送給C.

4.4.2 C隨機(jī)選擇P2∈G1,b∈RZq*，計(jì)算

然后將c發(fā)送給B.

4.4.3 B收到c后，計(jì)算

再將S發(fā)送給C.

4.4.4 C接收到S后，計(jì)算

則σ(m)=(S',c',m,W,RA)為消息m的基于身份的代理盲簽名.

4.4.5 簽名驗(yàn)證

在獲得消息m的簽名σ(m)=(S',c',m,W,RA)后，驗(yàn)證者就可以通過(guò)下式

對(duì)簽名進(jìn)行驗(yàn)證，驗(yàn)證其是否有效.

4.3 安全性分析

4.3.1 可驗(yàn)證性

從代理簽名σ(m)=(S',c',m,W,RA)的生成過(guò)程來(lái)分析，我們可以計(jì)算

所以，代理簽名是可驗(yàn)證的.

4.3.2 不可偽造性

因?yàn)橛蒏GC保存著主密鑰t，要通過(guò)Ppub=tp得到t，也就是破解DLP，而DLP是在目前是無(wú)法破解的.所以，沒(méi)有B的密鑰(P1,SKB)和代理密鑰Sp，他的簽名是無(wú)法偽造的.

4.3.3 盲性

C將信息m盲化c成是通過(guò)以下兩個(gè)步驟來(lái)實(shí)現(xiàn)的：

(1)C隨機(jī)選擇P2∈G1,b∈RZq*，計(jì)算

(2)C再利用b對(duì)消息m進(jìn)行盲化：

顯然，在不知道P2,b的情況下，B是無(wú)法通過(guò)上面式子獲得c與m之間的聯(lián)系的.所以方案符合盲性要求.

4.3.4 不可否認(rèn)性

因?yàn)锽在建立代理盲簽名時(shí)已經(jīng)將他自己的身份信息嵌在代理密鑰中，所以代理盲簽名一旦生成，他就不能向A否認(rèn).

4.3.5 可區(qū)分性

簽名驗(yàn)證時(shí)，由于授權(quán)證書(shū)W,PKA,PKB都是需要使用的，所以代理盲簽名與一般的簽名是可以區(qū)分的.

4.4 性能分析

本文主要從方案的計(jì)算復(fù)雜性方面來(lái)分析，并與參考文獻(xiàn)[5]進(jìn)行比較：

表4.1 本文方案與文獻(xiàn)[5]方案的計(jì)算復(fù)雜性比較

表中Pa表示雙線(xiàn)性對(duì)操作，Pm表示G1上的標(biāo)量乘法，Ad表示G1上的點(diǎn)加操作，ExG2表示G2上的指數(shù)運(yùn)算，MuG2表示G2上的標(biāo)量乘法，Hs表示哈希函數(shù).計(jì)算過(guò)程中，Pa的計(jì)算是最耗時(shí)的，其次是Pm.另外考慮到雙線(xiàn)性對(duì)e((PKA+ PKB),Ppub)可進(jìn)行預(yù)計(jì)算，因此計(jì)算復(fù)雜性暫時(shí)不考慮.

所以，從表4.1可以得到，文獻(xiàn)[5]方案的計(jì)算復(fù)雜度大約是4Pa+3Pm數(shù)量級(jí)，本文方案的計(jì)算復(fù)雜度大約是6Pa+ 3Pm數(shù)量級(jí)，在代理密鑰生成階段和簽名驗(yàn)證階段各增加了1Pa，代理簽名階段的計(jì)算復(fù)雜度沒(méi)變.所以本文方案比文獻(xiàn)[5]方案的計(jì)算復(fù)雜度略高些.

再將本文方案與其他方案從計(jì)算復(fù)雜性方面進(jìn)行分析，結(jié)果如下：

表4.2 本文方案與其他方案的計(jì)算復(fù)雜性比較

從表4.2可以得到，文獻(xiàn)[6]方案和文獻(xiàn)[7]方案的計(jì)算復(fù)雜度分別大約是7Pa+7Pm數(shù)量級(jí)和3Pa+8Pm數(shù)量級(jí)，而本文方案的計(jì)算復(fù)雜度大約是6Pa+3Pm數(shù)量級(jí).很明顯，本文方案的計(jì)算復(fù)雜度比這兩個(gè)方案的計(jì)算復(fù)雜度都低.

5 結(jié)束語(yǔ)

綜上所述，為克服文獻(xiàn)[5]方案中代理密鑰生成階段存在的安全隱患，本文通過(guò)增加盲因子的方法，構(gòu)建了一個(gè)新的基于身份的代理盲簽名方案.增加盲因子可以有效地提高代理密鑰的安全性，以此來(lái)保證方案的安全性.因?yàn)樵诖砻荑€生成過(guò)程中增加盲因子了，所以計(jì)算復(fù)雜度就要比文獻(xiàn)[5]方案要略高些，但與其他一些方案相比，計(jì)算復(fù)雜度依然還是較低的.

〔1〕Chaum D.Blind signatures for untraceable payments[C] //Proc of Advances in Cryptology Crypto.New York: Springer-Verlag,1982:199-203.

〔2〕Mambo M,Usdua K,Okamoto E.Proxy signatures: Delegation of the power to sign message[J].IEICE Trans on Functional,1996,E79-A(9):1338-1354.

〔3〕Lin W D,Jan J K.A security personal learning tools using a proxy blind signature scheme[C].Proceedings of International Conference on Chinese Language Computing.USA:Chinese Language Computer Society Knowledge Systems Insitute,2000,273-277.

〔4〕Shamir A.Identity-based cryptosystems and signature schemes[A].Blakley G R,Chaum D.Advancesin Cryptologu:CRYPTO1982[C].Berlin:Springer,1984,47-53.

〔5〕陳玲玲，亢保元，張磊.一種高效的基于身份的代理盲簽名方案，華東交通大學(xué)學(xué)報(bào)，2008,25（1）：113-116.

〔6〕Dong Z,Zheng H,Chen K F,et al ID-based proxy blind signature[A].Proceedings of the 18tn International Conferences on Advanced Information Networking and Applications (AINA 2004)[C].Los Alamippos:IEEE Computer Society,2004.380-383.

〔7〕Lang W M,Tan Y M,Yang Z K,et al.A new efficient ID-based proxy blind signature scheme[A].Proceedings of the Ninth Internations(ISCC 2004)[C].Los Alamippos:IEEE Computer Society,2004.407-411.

TP309

A

1673-260X（2017）02-0022-03

2016-09-07

安徽省質(zhì)量工程（2014jyxm666）