曾麗 李旭東

摘 要：通過(guò)對(duì)劉二根等提出的無(wú)證書(shū)盲簽名方案的分析，發(fā)現(xiàn)該方案在驗(yàn)證過(guò)程中比黃如芬等提出的方案耗時(shí)長(zhǎng)，生成密鑰所占內(nèi)存大等問(wèn)題，提出一種基于橢圓曲線離散對(duì)數(shù)難題（ECDLP）的無(wú)證書(shū)部分盲簽名算法。該算法采用橢圓曲線上的點(diǎn)乘運(yùn)算代替雙線性對(duì)運(yùn)算，提高了簽名和驗(yàn)證過(guò)程中的計(jì)算效率（節(jié)約了 ），并對(duì)改進(jìn)后的方案作了安全性分析。對(duì)比其他三種同類型的方案，結(jié)果表明，改進(jìn)后的方案計(jì)算開(kāi)銷遠(yuǎn)遠(yuǎn)低于其它幾種同類型的方案，具有廣泛實(shí)用價(jià)值。

關(guān)鍵詞：無(wú)證書(shū)；盲簽名；橢圓曲線；離散對(duì)數(shù)難題

中圖分類號(hào)：TP312 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

盲簽名首先由Chaum于1983年提出[1]。該協(xié)議用來(lái)獲得簽名者對(duì)消息的簽名，但是簽名者既不能獲得所簽名消息的內(nèi)容，也不能識(shí)別出用戶隨后獲得的簽名是由自己簽出的。由于不法分子利用簽名者完全不知道所簽署內(nèi)容這一特點(diǎn)，使得一些違法行為如偷稅漏稅、黑市交易洗錢(qián)等難以監(jiān)管。為了能很好地克服盲簽名的這一缺點(diǎn)，Abe和Fujisaki于1996年提出了部分盲簽名的概念[2]。

1984年，Shamir[3]提出了基于身份公鑰密碼體制。基于身份公鑰密碼體制較好地解決了傳統(tǒng)公鑰密碼系統(tǒng)中公鑰證書(shū)的存儲(chǔ)和管理問(wèn)題。但是這又帶來(lái)了一個(gè)新的安全隱患——密鑰托管問(wèn)題。針對(duì)這一問(wèn)題，2003年的亞密會(huì)議上，Al-Riyami和Perterson[4]提出了一種新的公鑰密碼體制成為無(wú)證書(shū)的公鑰密碼體制（簡(jiǎn)記CL-PKC），將盲簽名與無(wú)證書(shū)公鑰密碼體制相結(jié)合可以產(chǎn)生無(wú)證書(shū)盲簽名[5-10]。2012年，黃茹芬等人[7]提出了一個(gè)基于inv-CDH問(wèn)題和q-SDH問(wèn)題的無(wú)證書(shū)盲簽名方案，但通過(guò)分析發(fā)現(xiàn)其存在公鑰替換攻擊這一漏洞。2017年，劉二根等人在黃茹芬等提出方案的基礎(chǔ)上進(jìn)行了改進(jìn)，解決漏洞帶來(lái)的安全隱患，并對(duì)在隨機(jī)預(yù)言機(jī)模型存在不可偽造性進(jìn)行了證明，但是在計(jì)算效率上并沒(méi)有很大的提高。因此，本文在前兩者的基礎(chǔ)上，利用橢圓曲線加密算法，構(gòu)造一個(gè)高效的無(wú)證書(shū)盲簽名方案，并對(duì)該方案的安全性給出了證明。

5.2 方案具有安全性

定理2 所提出的無(wú)證書(shū)盲簽名方案滿足盲性

證明：假設(shè)無(wú)證書(shū)盲簽名為（m，S，h），任意一組盲簽名發(fā)布過(guò)程產(chǎn)生的視圖（U，h'，S'）。隨機(jī)選取盲化因子，下面等式成立：

存在唯一的使得（1-2）式成立。因此，改進(jìn)后的方案具有盲性。

定理3 改進(jìn)的無(wú)證書(shū)盲簽名方案可以抵御偽造攻擊

證明：在改進(jìn)方案中，使用SHA作為哈希函數(shù)。散列函數(shù)的屬性表明，從消息摘要（或散列值）中提取消息是不可行的。給定Yi和G，從等式計(jì)算xi是不可行的。解決這個(gè)問(wèn)題的難點(diǎn)是基于橢圓曲線離散對(duì)數(shù)問(wèn)題。為了通過(guò)驗(yàn)證式（1-2），攻擊者必須從α和β中隨機(jī)選擇任意兩個(gè)值并計(jì)算第三個(gè)值。如果攻擊者隨機(jī)選擇α，β，那么找到h是可行的，因?yàn)樯⒘泻瘮?shù)是不可逆的。再次，如果他選擇h和α或β，那么找到β或α也是不可行的。給定有效簽名（s，h），以這種方式導(dǎo)出另一個(gè)有效簽名（s'，h'）是不可行的，得到滿足。

定理4 所提出的無(wú)證書(shū)盲簽名方案可以承受僅有鑰匙的攻擊

證明：一個(gè)有效的簽名對(duì)必須由攻擊者組成，以使得唯一簽名攻擊成為可能。假設(shè)攻擊者能夠創(chuàng)建簽名對(duì)。然而攻擊者將無(wú)法解開(kāi)簽名對(duì)，因?yàn)樗枰獏?shù) 和 。但是由于ECDLP，提取這兩個(gè)參數(shù)是不可能的。

定理5 所提出的無(wú)證書(shū)盲簽名方案可以抵抗已知的消息攻擊

證明：在已知消息攻擊中，攻擊者可以訪問(wèn)一個(gè)或多個(gè)消息簽名對(duì)，并可以為他的消息生成無(wú)證書(shū)盲簽名。所提出的方案可以抵抗已知的消息攻擊。假設(shè)攻擊者有一個(gè)消息簽名三元組（s，t，m），并且想要為消息m生成簽名。首先，他必須在m上生成盲簽名s'，然后生成無(wú)證書(shū)盲簽名s"。簽名被發(fā)送給驗(yàn)證者進(jìn)行驗(yàn)證。驗(yàn)證者將PKG發(fā)給驗(yàn)證者的公鑰Yi用于消息m。但由于ECDLP問(wèn)題，他無(wú)法攻擊。

6 結(jié)束語(yǔ)

在本節(jié)中，預(yù)先計(jì)算g=e（p，p），并將其作為系統(tǒng)公開(kāi)參數(shù)發(fā)布，解決了對(duì)運(yùn)算比較費(fèi)時(shí)的問(wèn)題。本文是在劉二根等方案的基礎(chǔ)上，結(jié)合橢圓曲線密碼體制的優(yōu)點(diǎn)，提出一種基于橢圓曲線離散對(duì)數(shù)難題（ECDLP）的無(wú)證書(shū)部分盲簽名算法。新算法采用橢圓曲線上的點(diǎn)乘運(yùn)算代替雙線性對(duì)運(yùn)算，大大降低了簽名和簽名驗(yàn)證過(guò)程中的計(jì)算開(kāi)銷，簽名過(guò)程和驗(yàn)證過(guò)程不需要對(duì)運(yùn)算。將改進(jìn)后的方案與其他無(wú)證書(shū)盲簽名協(xié)議進(jìn)行比較，表1顯示了簽名和驗(yàn)證階段所需的計(jì)算時(shí)間和結(jié)果。表中P表示對(duì)運(yùn)算；M表示標(biāo)量乘；E表示指數(shù)運(yùn)算。根據(jù)參考文獻(xiàn)[10]，可以得到關(guān)系式：，，（tm是整數(shù)域上的乘法運(yùn)算，表示一個(gè)基本計(jì)算單元）。

結(jié)果比較表明，改進(jìn)后的方案需要較少的計(jì)算時(shí)間，大約需要1490tm使用160位模塊化橢圓曲線組執(zhí)行簽名和驗(yàn)證階段，是三方案中耗時(shí)最少的一個(gè)，比劉等方案節(jié)約了29tm。我們的方案的主要優(yōu)點(diǎn)是不使用配對(duì)操作簽署和驗(yàn)證過(guò)程。

基金項(xiàng)目：

1.教育部“春暉計(jì)劃”資助（項(xiàng)目編號(hào)： Z2017065）；

2.國(guó)家自然科學(xué)基金資助項(xiàng)目（項(xiàng)目編號(hào)：61401369）。

參考文獻(xiàn)

[1] CHAUM D. Bind signature for untraceable payments[C]//Advances in Cryptology-Crypto82. NewYork： SpringerVerlag，1982：199-203.

[2] ABEM，F(xiàn)UJISAKI E. How to date blind signatures[C]//Advances in Cryptology-Asiacrypt96. Kyongju：SpringerVerlag，1996：244-251.

[3] Shamir A.Identity—based crypt9*ysterr and signature schemes[C]//A dvancesin Cryptology—CRYPT084.Berlin：Spr inger—Verlag， 1984：47-53.

[4] Al-Riyami SS Paterson KG. Certificateless public key cryptography. In： Laih CS， ed. Proc. of the ASIACRYPT 2003. LNCS 2894， Berlin： Springer-Verlag， 2003. 452-473.

[5] 梁紅梅，黃振杰.高效無(wú)證書(shū)簽名方案的安全性分析和改進(jìn)[J].計(jì)算機(jī)應(yīng)用，2010，30（3）：685-687，698.

[6] 邵國(guó)金，薛冰，陳明.基于橢圓曲線DLP問(wèn)題的無(wú)證書(shū)部分盲簽名機(jī)制[J].四川大學(xué)學(xué)報(bào)，2012，1（44）：112-117.

[7] 黃茹芬，農(nóng)強(qiáng)，黃振杰.一個(gè)高效的無(wú)證書(shū)盲簽名方案[J].計(jì)算機(jī)工程，2013，39（2）：130-136.

[8] 文佳駿，左黎明，李彪.一個(gè)高效的無(wú)證書(shū)代理盲簽名方案[J].計(jì)算機(jī)工程與科學(xué)，2014，36（3）：452-457.

[9] 何俊杰，王娟，祁傳達(dá).對(duì)一個(gè)無(wú)證書(shū)盲簽名方案的攻擊與改進(jìn)[J].數(shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2014 ，44（4）：123-128.

[10] Sanjeet Kumar Nayak，Sujata Mohanty，and Banshidhar Majhi.CLB-ECC：Certificateless Blind Signature Using ECC [J].J Inf Process Syst，2017，4（13）：970-986.

[11] 劉二根，王霞，周華靜.一種無(wú)證書(shū)盲簽名方案的分析與改進(jìn)[J].計(jì)算機(jī)應(yīng)用與軟件，2017，2（34）：308-312.