基于雙線性對的門限代理盲多重簽名方案

 收稿日期：2008-01-19；

修回日期：2008-03-24

基金項目：國家自然科學基金資助項目(60773013)



作者簡介：陳澤梅(1984-)，女，湖南懷化人，碩士研究生，主要研究方向為計算機通信和網絡安全(chenzemei1002@126.com);

王國才(1963-)，男，副教授，碩導，主要研究方向為計算機通信保密安全和計算機網絡.

（中南大學 信息科學與工程學院 長沙 410075）

摘要：

該方案是門限代理多重簽名與盲簽名的有機集成，既解決了代理簽名方案中代理簽名人權利過于集中的問題，又通過盲簽名實現了簽名的匿名性和不可追蹤性。在該數字簽名方案的基礎上，采用雙線性對的簽名和驗證方式，提出了基于雙線性對的門限代理盲多重簽名方案，極大地提高了門限代理盲多重簽名的安全性和實現速度。

關鍵詞：雙線性對； 門限代理簽名； 多重簽名； 盲簽名

中圖分類號：TP309

文獻標志碼：A

文章編號：1001-3695(2008)10-3100-02

Threshold proxy blind multi-signature scheme based on bilinear pairings

CHEN Ze-mei WANG Guo-cai

(School of Information Science Engineering Central South University Changsha 410075 China)

Abstract:

The scheme combined a threshold proxy multi-signature scheme and a blind signature one it not only distributed the power of the proxy signer ，but also realized the anonymity and non-trail in signature by using a blind signature scheme. Based on this new method and using bilinear pairings presented a threshold proxy blind multi signature scheme based on bilinear pairings. Because of using bilinear pairings the security and speed of threshold proxy blind multi-signature was greatly enhanced.

Key words：bilinear pairings; threshold proxy signature; multi-signature; blind signature

1982年，Chaum首次提出了盲簽名的概念。一個盲簽名方案不僅保留有數字簽名的各類特性，而且還擁有一些特殊的性質，使得盲簽名在電子商務、數字現金和電子投票等領域都有較大的應用價值。在數字簽名的實現中，人們經常要將自己的某些權利委托給可靠的代理人，讓代理人代表本人去行使這些權利。而且在現實世界里，經常會有多個簽名者通過門限簽名方案授權給多個代理人中的部分去代表本人進行簽名。這種簽名方式稱為門限代理多重數字簽名。

目前，將盲簽名與門限代理多重簽名結合的方案不多見，尤其是基于雙線性對的門限代理盲多重簽名方案就沒有。正是針對這一點，本文提出一種新型的門限代理盲多重簽名方案，并分析了該方案的安全性和效率。

1雙線性對

1.1雙線性對的概念

令G1和G2分別為階數是素數q的加群和乘群，再令P為加群G1的生成元。假設G1和G2這兩個群中的離散對數問題都是困難問題。令e:G1×G1→G2為滿足下列性質的雙線性對:

a)雙線性:e(aP，bQ)=e(P，Q)ab對所有P，Q∈G1和所有a，b∈Z都滿足；

b)非退化性:e(P，Q)=1，對任意Q∈G1都有P=O；

c)可計算性:存在有效算法可以計算e(P，Q)，對所有P，Q∈G1。

鑒于目前對于橢圓曲線簽名體制的討論很多，在本文的方案中筆者選擇基于橢圓曲線的Wail對或經改造的Tate對來構造雙線性對。

1.2數學難題

在這樣的G1群上，定義以下幾個密碼學問題：

a)離散對數(DL)問題:給定P，Q∈G1，找出整數n使得P=nQ，若這樣的n存在;

b)計算Diffie-Hellman(CDH)問題:給定三元組(P，aP，bP)∈G31，對a，b∈Zq，找出abP;

c)決策Diffie-Hellman(DDH)問題:給定四元組(P，aP，bP，abP)∈G41，對于a，b，c∈Zq，判斷c=ab(mod q)是否成立。

d)Gap Diffie-Hellman(GDH)問題:這是一類GDH問題困難而DDH問題容易的問題。

2基于雙線性對的門限代理盲多重簽名方案

2.1系統參數的建立

a)設群G1和G2是階數為素數q，且滿足1.1節中假設的群。這里取G1為有限域上的橢圓曲線構成的加群，令G為它的生成元。e:G1×G1→G2為一個安全的雙線性對，選擇兩個hash函數H:{0，1}→G1和H1:{0，1}→Zq。

b)Ai(i=1，2，…，m)表示m個授權人，他們的私鑰為ki∈Zq，對應的公鑰為PAi=kiG，身份標志為IAi。

c)Bj(j=1，2，…，n)表示n個代理簽名人，他們的私鑰為dj∈Zq，對應的公鑰為PBj=djG，身份標志為IBj。

d)上面所有的公鑰均被CA認證并公開。

e)該方案由四個階段構成，分別是代理私鑰生成階段、代理私鑰共享階段、簽名階段和驗證階段。

2.2代理私鑰生成階段

授權組中所有成員A1A2…Am一起授權給代理人Bj，執行步驟如下:

a)Ai計算Ki= kiH1(mw)，將Ki和mw發送給代理人Bj。其中，mw為授權代理組發給Bj的授權證書，它包括代理終止時間、授權人和代理簽名人的身份以及門限值t和代理時間等。

b)代理人Bj檢驗m個等式(1)：e(Ki，G)=e(H1(mw) PAi)是否成立。

c)若上面m個等式都成立，則代理人Bj計算gj=K1+K2+…+Km+dj，則gj為代理簽名人的代理私鑰，代理公鑰為Pj=gjG=P1+P2+…+Pm+PBj。

2.3代理私鑰共享階段

代理簽名組中每個成員Bj做莊家，進行(t，n)門限秘密分享，分享的秘密為Bj的代理私鑰gj，步驟如下：

a)每個Bj隨機選擇一個多項式fj(x)使得fj(0)=gj，計算秘密份額fj(IBi)。

b)Bi將得到n個代理簽名人Bj的代理私鑰份額。記f(x)=f1(x)+f2(x)+…+fn(x)，那么Bi得到的代理私鑰的總額為f(IBi)=f1(IBi)+f2(IBi)+…+fn(IBi)，即Bi得到的分享私鑰為ski=f(IBi)，并廣播分享公鑰Pki=f(IBi)G。

2.4簽名階段

不失一般性，在代理簽名組中選t個成員組成實際的代理簽名組{B1，B2，…，Bt}，對消息m進行簽名。

a)每個簽名成員Bi隨機選取ri∈Zq，計算Z=H(mw)，Ui=riZ，將Ui發送給用戶；

b)用戶計算U=U1+U2+…+Ut，并隨機選取α，β∈Zq作為盲因子對消息進行盲化，計算U′=αU+αβH(mw)，h=α-1H1(m‖U′)+β，將h和U發送給每個簽名成員。

c)每個簽名成員Bi計算S′i=μiski(U+hZ)。其中μi=∏tj=1i≠1[-IBj/(IBi-IBj)]，并將S′i發送給用戶。

d)用戶收到S′i后驗證等式(2)：e(S′i，G)=e(μiU+μihH(mw)，Pki)是否成立，成立則計算S′=∑ti=1S′i，并進行脫盲變換S=αS′，最后得到簽名(S，m，mw，U′)。

2.5驗證階段

a)接收者收到關于m的代理盲簽名后，首先根據mw判斷該簽名是否在有效的授權時間內，若有效則進行下一步；反之拒絕。

b)接收者驗證等式(3)：e(S，G)= e(U′+H1(m‖U′)H(mw)，∑ni=1Pi)是否成立，成立則為合法簽名。證明等式(1)~(3)的正確性：

等式(1):e(Ki，G)=e(kiH1(mw)，G)=e(H1(mw)，kiG)=e(H1(mw)，PAi)。證畢。

等式(2):e(S′i，G)=e(μiski(U+hZ)，G)=e((U+hZ)μi，skiG)=e(μiU+μihH(mw)，Pki)。證畢。

等式(3):e(S，G)=e(αS′，G)=e(α∑ti=1S′i，G)=e(α∑ti=1μiski(U+hZ)，G)=e(αgi(U+hZ)，G)=e(α(U+hZ)，giG)=e(α(U+hZ)，∑ni=1Pi)=e(αU+αH(mw)(α-1H1(m‖U′)+β)，∑ni=1Pi)= e(αU+H(mw)H1(m‖U′)+αβH(mw)，∑ni=1Pi)=e(U′+H1(m‖U′)H(mw)，∑ni=1Pi)。證畢。

3門限代理盲多重簽名方案的分析

3.1方案的安全性

對門限代理盲多重簽名方案的安全性分析應該從以下幾個方面考慮：

a)該方案在驗證簽名時，使用了原始簽名人和代理簽名人的公鑰，實現了原始簽名權和代理簽名權的有效分離;

b)該方案可以限制代理簽名的有效時間和代理范圍，因為在授權證書中，原始簽名人設定了代理終止時間和代理消息的范圍;

c)該方案中任意少于t個成員組成的團體都無法獲得群私鑰，即使攻擊方獲得t-1個成員的私鑰，要獲得群私鑰也是困難的;

d)該方案中用戶加盲變換中的α和β是隨機選取的，這使得H1在Zq上也是隨機的，簽名方要想通過H1來獲得消息m是基于橢圓曲線離散對數困難問題的(ECDLP)，所以每位參與簽名者都沒有辦法獲知消息的內容，這就保證了消息的盲簽名性。

從這些角度看出，該方案在滿足盲簽名和門限代理多重簽名的要求下，對于消息的簽名是安全的。

3.2方案的效率

方案所用的運算主要包括G1中點的加法、點數乘、Zq中的乘法和除法、哈希函數的運算、雙線性對的運算等。與現有的各種基于RSA和離散對數的門限簽名和盲簽名相比，本文所用的雙線性對方案計算的效率更高，更具有實際應用價值。

4結束語

本文利用雙線性對構造了一個新型門限代理盲多重簽名方案。利用了雙線性對在密碼學應用中的各種好處和橢圓曲線密碼體制密鑰量小、安全性高和靈活性強的特點，將盲簽名和門限代理多重簽名方案結合起來，有效保護消息發送方的隱私權，對于簽名方也由密鑰獨享變換為門限共享，提高了整個系統的安全性。該方案具有安全性強和效率高的優點。

參考文獻：

[1]MAMBO M USUDA K OKAMOTO E. Proxy signatures: delegation of the power to sign Message[J].IEICE Trans on Fundamentals of Electronic Communication and Computer Science，1996，E79-A(9):1338-1354.

[2]MAMBO M USUDA K OKAMOTO E. Proxy signature for delegating signing-operation[C]//Proc of the 3rd ACM Conference on Computer and Communications，Security.New York:ACM，1996:48-57.

[3]伊麗江，白國強，肖國鎮.代理多重簽名方案：一類新的代理簽名方案[J].電子學報，2001，29(4):569-570.

[4]ZHANG K. Threshold proxy signature schemes[C]//Proc of Information Security Workshop. 1997:191-197.

[5]李繼國，曹富珍，張亦辰，等.代理多重簽名方案的密碼分析與修改[J].高技術通訊，2003，13(4):1-5.

[6]譚作文，劉卓軍，唐春明.基于離散對數的代理盲簽名[J].軟件學報，2003，14(11): 1931-1935.

[7]馬春波，敖珺，何大可.基于雙線性映射的多重簽名與群簽名[J].計算機學報，2005，28(9):1558-1563.

[8]KRAWCZYK H. Simple forward-secure signatures from any signature scheme[C]//Proc of the 7th ACM Conference on Computer and Communications Security. 2000:108-115.

[9]MIYAJI A. Another countermeasure to forgeries over message recovery signature[J].IEICE Trans on Fundamentals of Electronic Communication and Computer Science，1997，E80-A(11):2191-2200.

[10]李漩，施榮華，羅敏.一種基于Mambo型代理多重簽名的改進方案[J].計算機工程與應用，2004，40(17):162-163，167.