陳仁群， 左黎明， 湯鵬志

（華東交通大學(xué) 基礎(chǔ)科學(xué)學(xué)院，江西 南昌 330013）

盲簽名的概念是Chaum在1982年美國密碼學(xué)會上提出的［1］。一個盲簽名方案是用戶與簽名者之間的一個交互協(xié)議。文獻［2－3］首先提出了代理簽名的概念，文獻［4］提出了代理多重簽名的概念，使之有了更大的應(yīng)用。國內(nèi)外學(xué)者相繼提出了很多代理多重簽名方案，如基于身份的代理多重簽名方案［5］和前向安全的代理多重簽名方案［6］等。為了實現(xiàn)數(shù)字現(xiàn)金和電子商務(wù)等［7］活動中的匿名性和不可追蹤性，人們將盲簽名和代理多重簽名方案相結(jié)合，提出了盲代理多重簽名方案［8－9］。在代理多重簽名方案中，經(jīng)過一個原始簽名授權(quán)組的授權(quán)，被指定的代理簽名人可以代表這個簽名組生成有效的簽名。本文先對一個基于橢圓曲線的代理盲多重簽名方案［10］進行安全性分析，再基于雙線性配對提出一個安全、高效的代理盲多重簽名方案，并對改進方案進行了較為詳細的安全性分析。

1 對原方案的回顧及分析

1.1 方案回顧

1.1.1 初始化

系統(tǒng)參數(shù)：記作｛D＝（q，a，b，E，G，n，h），H｝，其中，q為有限域的元素個數(shù)，有p＝q或q＝2m；Fq為有限域中元素的表示方法；a，b∈Fq，定義Fq上的橢圓曲線：p＞3時，y2＝x3＋ax＋b，或當p＝2時，y2＝x3＋ax＋b；E為Fq上非奇異的安全橢圓曲線；G為E（Fq）的一個點，階為n；n為一個素數(shù)，n＞2160且n＞4；余因子h＝#E（Fq）／n，h?n，利用h可以較快地找到滿足以上條件的基點G；H為一個安全的哈希函數(shù)。

1.1.2 委托過程

1.1.3 代理盲多重簽名的生成

B接到簽名請求后，隨機選取k∈，計算R＝kG，并把R傳給用戶U。

U隨機選取α，β，λ∈，計算r＝xRmodn，V＝αR＋βG＋λPP＝（xV，yV），u＝xVmodn，c＝H（m‖u）modn，C＝α－1r－1（cu－λ）modn，并將C傳給B；B收到C后，計算s＝rCsP－k（modn），并將s傳給U。

1.1.4 代理盲多重簽名的驗證

1.2 對文獻方案的安全性分析

偽造的代理簽名密鑰為：

相應(yīng)的代理簽名公鑰為：

A1完成偽造私鑰公鑰對后，隨機選擇k∈，計算），將R傳給U。

U隨機選取α′，β′，λ′∈，計算：

將C′傳給A1，A1收到計算s′＝rC′sP′－k（modn），并將傳給U。

因此，任意驗證者可以驗證由偽造的sP′產(chǎn)生的代理盲多重簽名，即惡意的原始簽名A1在沒有其他原始簽名人和代理簽名人參與的情況下，也可偽造出一個代理盲多重簽名給任意的驗證者驗證。

2 改進的代理盲多重簽名方案

改進的簽名方案是基于雙線性配對的，該方案參考了文獻［11－13］。

2.1 預(yù)備知識

2.1.1 雙線性映射

定義1 令G1、G2分別為階為大素數(shù)q的循環(huán)加法群和循環(huán)乘法群［14］，設(shè)P為G1的一個生成元，即G1＝（P）。雙線性對是指滿足以下性質(zhì)的一個映射，即e：G1×G2→G2。

（1）雙線性。e（aP，bQ）＝e（P，Q）ab，對任意P，Q∈G1，任意a，b∈Zq均成立。（2）非退化性。存在P，Q∈G1，使e（P，Q）≠1。（3）可計算性。對任意P，Q∈G1，存在一個有效的算法計算e（P，Q）。

2.1.2 Gap Diffe－Hellman群

與雙線性對有關(guān)的數(shù)學(xué)問題［7］如下：

（1）散對數(shù)問題（DLP）。任意給定G中2個元素P、Q，求n∈，使Q＝nP成立。

（2）計算 Diffie－Hellman問題（CDHP）。給定P，aP，bP∈G，其中，a，b∈，計算abP。

（3）判定 Diffie－Hellman問題（DDHP）。給定P，aP，bP，cP∈G，對于a，b，c∈，判定c＝abmodq是否成立。

（4）Diffie－Hellman差距問題。在群G1上CDHP難解而DDHP易解，則稱群G1為GDH群。GDH群通常存在于有限域上的超奇異橢圓曲線或超橢圓曲線中，雙線性對可由 Weil對或Tate對獲得。本文所提出的方案是基于GDH群的，假定G1、G2上的DLP和CDHP都是難解的，并假定雙線性對分叉問題是難解的，即給定P∈G1，r∈G2，找到Q∈G1，使r＝e（P，Q）成立是困難的。

2.2 基于雙線性對的代理簽名方案

2.2.1 系統(tǒng)初始化

本文構(gòu)造的方案共有以下幾類參與者：密鑰的分布者、原始簽名者、代理簽名者和驗證者。給定一個秘密k∈，密鑰的發(fā)布者隨機選擇P2，P3，…，Pm∈K，令V＝（P1，P2，…，Pm），其中，P1＝k。由矢量空間秘密共享方法［9］可知，秘密k＝c1x1＋…＋cmxm，若有一個授權(quán)子集D＝｛A1，…，Am｝存在。其中ci∈K可被任何參與者計算，即任何參與者都能計算出秘密k＝c1x1＋…＋cmxm。秘密發(fā)布者通過安全信道為每個原始簽名人Ai發(fā)布一個秘密作為私鑰，并計算其公鑰代理簽名人B隨機選擇作為自己的私鑰，并公開其公鑰yB＝xBP。公布系統(tǒng)參數(shù)（G1，G2，P，q，e（·，·），H0（·），H1（·），yB）。

2.2.2 代理簽名階段

（1）原始簽名人組Ai，i∈（1，…，m）產(chǎn)生授權(quán)證書mw（內(nèi)含代理授權(quán)的有效期限與授權(quán)范圍、原始簽名人組Ai與代理簽名人B各自的身份等諸多代理的相關(guān)信息），原始簽名人組Ai隨機選取ri∈，計算Ui＝riP，ti＝H0（mw，Ui）（H0：｛0，1｝×G2→為安全的哈希函數(shù)），xi＝，并將（xi，t）發(fā)送給代理簽名人B。

（3）用戶U先將需要進行代理簽名的消息m盲化，方法如下：先隨機選取k∈，計算M＝k－1H1（m）（H1：｛0，1｝→G1為安全的哈希函數(shù)），U將得到的M發(fā)送給代理簽名人B。

（4）代理簽名人B接收到M后，計算θ′＝xM，然后將得到的θ′發(fā)給用戶U。

（5）用戶U接收到θ′后，驗證e（kθ′，P）＝e（H1（m），yH0（mw，Ui））是否成立。若成立，用戶U計算θ＝kθ′，把代理簽名去盲后，得到對消息m的代理盲簽名（mw，m，θ，Ui）。至此，代理盲簽名步驟已完畢。

任意驗證者可對消息m的代理盲簽名（mw，m，θ，Ui）進行有效性驗證，e（θ，P）＝e（H1（m），yH0（mw，Ui）），若成立，則簽名有效。

2.2.3 正確性分析

2.3 安全性分析

2.3.1 不可偽造性

2.3.2 可驗證性

在有效的代理盲多重簽名（mw，m，θ，Ui）中含有代理授權(quán)書mw，代理授權(quán)書涵蓋了原始簽名人Ai與代理簽名人B的身份、代理簽名文件的范圍和代理授權(quán)終止的時間、代理權(quán)限范圍等確切信息，因此任何人都能夠區(qū)分原始簽名人Ai與代理簽名人B的簽名。本代理盲多重簽名方案滿足了代理盲簽名的可驗證性、可區(qū)分性、可識別性、不可否認性和防止濫用性。

2.3.3 盲性

用戶U通過哈希函數(shù)H1（m）盲因子k對消息m進行了盲化，化成H1（m），并進一步轉(zhuǎn)化成M，代理簽名人B在整個代理簽名過程中根本無法看到m，也無法根據(jù)接收到的M求解出m，哈希函數(shù)H1（m）不可解，盲因子k也未知，因此消息m對代理簽名人B來說是盲性的。

2.3.4 不可鏈接性

鑒于雙線性對DLP問題的難解性，在θ＝kθ′中，已知θ與θ′，無法求解k。即使代理簽名人B在公布的簽名（mw，m，θ，Ui）中獲取θ后保存了θ′、M，但仍無法通過θ＝kθ′計算出盲因子k。由此，代理簽名人B無法確定（mw，m，θ，Ui）是他的第幾次簽名，所以本方案是滿足不可鏈接性的。

2.4 效率分析

本方案中只用了雙線性對2次，全部用于驗證等式是否成立。另外，原始簽名人Ai、代理簽名人B、用戶U三方之間，彼此通信次數(shù)很少，并且信息通信量也很小，該設(shè)計提高了運行效率。與文獻［9］的方案相比，不用進行Zq中的求逆運算，而且基于雙線性對可以提高方案的安全性。

3 結(jié)束語

本文先對一個基于橢圓曲線的盲多重代理簽名進行安全性分析，發(fā)現(xiàn)其存在可偽造性，進一步基于雙線性對提出了改進的盲多重代理簽名方案，并進行了較為詳細的安全性分析，該方案不但能抵抗強偽造攻擊，而且具有不可追蹤性、可驗證性。對方案的效率性分析表明，與文獻［9］的方案相比，本方案具有更高的效率。由于雙線性對運算較復(fù)雜，利用較少的雙線性對運算，設(shè)計出更加安全、效率更高的方案是進一步研究的重點。

［1］ Chaum D.Blind signatures for untraceble payments［M］.New York：Plenum Press，1983：199－203.

［2］ Mambo M，Usuda K，Okamoto E.Proxy signature：delegation of the power to sign messages［J］.IEICE Trans on Fundamentals of Electronics Communications and Computer Sciences，1996，E79－A（9）：1338－1354.

［3］ Mambo M，Usuda K，Okamoto E.Proxy signature for delegating signing operation［C］／／Proc of the 3rd ACM Conference on Computer and Communications Security.New Delhi，India：ACM Press，1996：48－57.

［4］ Yi Lijiang，Bai Guoqiang，Xiao Guozhen.Proxy multi－signature schemes［J］.Electronic Letters，2000，36 （6）：527－528.

［5］ 左為平，王彩芬，樊 睿，等.一種基于身份的代理多重簽名方案［J］.西北師范大學(xué)學(xué)報：自然科學(xué)版，2007，43（4）：33－36.

［6］ 賀 軍，李麗娟，李喜梅，等.前向安全的代理多重簽名方案［J］.計算機工程，2010，36（1）：422－426.

［7］ 孟純煜，殷新春，宋春來.基于身份的盲簽名在電子現(xiàn)金中的應(yīng)用［J］.合肥工業(yè)大學(xué)學(xué)報：自然科學(xué)版，2007，30（10）：1265－1266，1270.

［8］ 彭麗慧，張建中.基于雙線性對的代理簽名方案［J］.計算機工程，2010，36（24）：132－141.

［9］ 祁 明，Harn L.基于離散對數(shù)的若干新型代理簽名方案［J］.電子學(xué)報，2000，28（11）：111－115.

［10］ 王 璐，亢保元.對兩個代理盲多重簽名的分析和改進［J］.計算機與數(shù)學(xué)工程，2012，40（10）：102－104.

［11］ Padro C，Saez G.Detection of cheaters in vector space secret sharing schemes［J］.Journal of Designs，Codes and Cryptography，1999，16（1）：75－85.

［12］ 紀家慧，李大興.來自雙線性配對的新的代理多簽名、多代理簽名和多代理多簽名體制［J］.計算機學(xué)報，2004，27（10）：1429－1435.

［13］ Rong Xinglu，Zheng Fucao，Yuan zhou.Proxy blind multisignature scheme without a secure channel［J］.Applied Mathematics and Computation，2005，164（1）：179－187.

［14］ Boneh D，Lynn B，Shacham H.Short signatures from the weil pairing［C］／／Proc of ASIACRYPT'01.Berlin：Springer－Verlag，2001：514－532.