新的代理盲簽名方案及其在電子現(xiàn)金中的應用

（1.陜西師范大學 數(shù)學與信息科學學院， 西安 710062;2.中國人民解放軍95927部隊， 河北 滄州 061022）

摘 要：在普通的代理簽名中，原始待簽消息對代理簽名者來說是完全可見的，而在現(xiàn)實應用中，原始待簽消息可能含有原始簽名者或消息接收者的一些機密，這時讓代理簽名者看到待簽消息的明文是不合理的。針對這一問題，將盲簽名的體制引入代理簽名中，給出了一個新的代理盲簽名方案。通過分析表明，該方案不僅能滿足代理盲簽名所要求的所有性質(zhì)，而且代理密鑰的傳輸無須使用安全的秘密通道；同時，可以應用到電子現(xiàn)金等現(xiàn)實領(lǐng)域中。

關(guān)鍵詞：代理簽名;盲簽名;代理盲簽名

中圖分類號：TP309 文獻標志碼：A

文章編號：10013695(2009)01034703

New proxy blind signature scheme and itsapplication in electronic cash

ZHANG Jianzhong1，WANG Jie1，LIU Qinxi2

（1.School of Mathematics Information Science， Shaanxi Normal University， Xi’an 710062， China;2.Unit 95927 of PLA，Cangzhou Hebei 061022， China)

Abstract:In ordinary proxy signature， the original message to be signed was complete plain text to the proxy signer. But in reality， there may be some private information contained in the message to be signed， at this circumstance， it was not reasonable for the proxy singer to see the plain text. In order to solve this problem，used the blindsignature mechanism in proxy signature，presented a new proxy blind signature scheme.It is showed by analyzing that the proposed scheme can satisfy the fulfill properties of a proxy blind signature.Furthermore， it is not need a secure channel to transmit the proxy message. At the same time，the scheme can be used in electronic cash.

Key words:proxy signature; blind signature; proxy blind signature

0 引言

Chaum于1982年首次提出了盲簽名的概念[1]。盲簽名是指簽名者并不知道所簽文件的具體內(nèi)容(即對簽名者而言，消息被盲化處理過)而文件的擁有者又能從簽名人關(guān)于盲化后文件的簽名中得到簽名人關(guān)于真實文件的簽名。盲簽名有兩個特征:a)簽名者不能看到簽名信息;b)簽名者不能將盲簽名與盲信息對應起來。由于盲簽名技術(shù)在電子貨幣構(gòu)造和電子投票設計等應用中對匿名性所起的特殊作用，國內(nèi)外學者在此領(lǐng)域花費了許多心血并取得了許多研究成果[2，3]。

代理簽名是指原始簽名者將其簽名權(quán)委托給代理簽名者，這樣代理簽名者可以代表原始簽名者對任何消息進行簽名。自從Mambo等人[4，5]首次提出代理簽名以后，許多學者對代理簽名進行了深入研究，并提出一些代理簽名方案[6，7]。但是以前的大部分代理簽名方案都需要一個安全的信道來傳送代理簽名密鑰，而在實際應用中，一個真正安全的信道是很難找到的，因此，考慮能否在不安全的信道上傳送代理密鑰。

隨著電子現(xiàn)金和匿名性選舉技術(shù)的不斷發(fā)展，在實際應用中有時需要將以上所提的兩種數(shù)字簽名相結(jié)合，因此提出了許多代理盲簽名方案[8~13]；但代理盲簽名同代理簽名一樣，也需要一個安全的信道來傳送代理密鑰。基于這樣的考慮，本文結(jié)合OkamotoSchnorr[12]盲簽名方案提出了一個新的代理盲簽名方案。與其他代理盲簽名方案相比，該方案不僅無須一個安全的信道傳送代理密鑰，而且具有可驗證性、不可偽造性、不可鏈接等特性。

一個代理盲簽名方案可分為代理授權(quán)、簽名和驗證三個階段。比普通的盲簽名多了授權(quán)的內(nèi)容， 驗證的復雜度也增加了。代理盲簽名是近年來出現(xiàn)的一種新的簽名技術(shù)， 它可用于電子商務中CA 證書、電子現(xiàn)金、電子選票的簽發(fā)等， 對于構(gòu)建電子商務的服務平臺也是很重要的一環(huán)。

1 新的代理盲簽名方案

該方案的參與者包括原始簽名者（A）、代理簽名者（B）、簽名接受者（C）。這里假設存在一個由系統(tǒng)管理員建立的公告牌，每個參與者享有讀上傳文件和下載的權(quán)限，但不能更改或刪除公告牌上的內(nèi)容。當然考慮到公告牌上的容量限制，公告牌擁有在一定時間內(nèi)自動更新的能力，本方案中需要公布的內(nèi)容全部采用公告牌公布。

11 初始化過程

a)系統(tǒng)首先選擇:n=p1p2=(2qp′1+1)(2qp′2+1)和一個階為q的g∈QRn，且p1=p2=3 mod 4。其中：p1、p2、p′1、p′2、q均為安全的大素數(shù)；QRn為模n的平方剩余集合，然后選擇一個安全的單向散列函數(shù)h，公布(n，q，g，h)。

b)原始簽名者A制定代理授權(quán)書mw(其主要包括A和B的標志代號，B的代理期限，代理簽名文件的范圍等)，A選擇隨機數(shù)xA∈Z*n作為私鑰，計算yA=gxA mod n作為公鑰；接著選擇一對整數(shù)（e，d），且滿足gcd(e，φ(n))=1，ed=1 mod φ(n)，φ(n)=(p1-1)(p2-1)，公布(mw，yA，e)。

代理簽名者B首先選擇隨機數(shù)

xB∈Z*n作為私鑰，計算yB=gxB mod n作為公鑰，最后B公布yB。

12 代理授權(quán)階段

原始簽名人A將簽名權(quán)委托給代理簽名人B，授權(quán)過程如下：

A首先計算δ=yxAB mod n，yδ=gδ mod n，t=(δ×ymwA)d mod n，然后公布B為他的代理簽名人，公布參數(shù)yδ ，并將代理授權(quán)信息(t，mw)發(fā)送給代理簽名人B；B收到（t，mw）后，首先計算δ=yxBA mod n，然后驗證te=?δ×ymwA mod n，如果等式成立，則B接受代理，并計算s=δ+xBh(mw，yA) mod q，s就為B的代理簽名密鑰。

13 簽名生成階段

假設C要求B代表A對消息m進行盲簽名，他將執(zhí)行以下過程：

a)B隨機選擇w1∈RZ*q，并計算x=gw1 mod n，并將x發(fā)送給C。

b)C首先計算α=yδ×yh(mw，yA)B mod n接著隨機選擇w2，w3∈RZ*q，并計算

x*=gw2×αw3×x mod n，e*=h(x*，m)，e′=e*+w3 mod q

最后，將e′發(fā)送給代理簽名者B。

（a）代理簽名者B收到e′后，計算y，y=w1+e′×s mod q，并將它發(fā)送給C。

（b）當C收到y(tǒng)后，計算y*，y*=y+w2 mod q則(e*，y*)就是B對消息m的代理盲簽名。

14 簽名驗證階段

生成代理盲簽名（e*，y*）后，任何人能夠驗證其有效性。

a）以與C相同的方式計算α。

b)計算x*=gy*×α-e* mod n。

c)計算e*′=h(x*，m)。

驗證e*′=e*是否成立，如果等式成立，則說明(e*，y*)就為有效的代理盲簽名。

2 方案的正確性分析

定理1 除了原始簽名者A，只有代理簽名者B用自己的私鑰可以恢復δ，且如果等式te=δ×ymwA mod n成立，則A就為真實的代理授權(quán)者。

證明 因為 δ=yxAB mod n=gxB×xAmod n=(gxA)xB mod n=yxBA mod n，xB是B的私鑰，所以除了原始簽名者A，只有代理簽名者B用自己的私鑰xB可以恢復δ。又因為ed=1 mod φ(n)，t=(δ×ymwA)d mod n，且d是A秘密的信息，所以 te=(δ×ymwA)ed=δ×ymwA) mod n。該等式成立，說明A為真實的代理授權(quán)者。

定理2 (e*，y*)是代理簽名者B使用代理簽名私鑰s代表原始簽名者A對消息m所產(chǎn)生的盲簽名。

證明 因為

x=gw1 mod n α=yδ×yh(mw，yA)B mod n=gδ+xBh(mw，yA)mod n=gs mod n

x*=gw2×αw3×x mod n，e*=h(x*，m)，e′=e*+w3 mod q

y=w1+e′×s mod q，y*=y+w2 mod q

所以gy*×α-e*=gy+w2×α-e*=gw1+e′×s+w2×α-e*mod n=gw1+(e*+w3)×s+w2×α-e* mod n=gw1×(gs)(e*+w3)×gw2×α-e*mod n=gw1×α(e*+w3)×gw2×α-e*mod n=gw1×αe*×αw3

×αw2×α-e* mod n=

gw1×gw2×αw3 mod n=gw2×αw3×x mod n=x*mod n

e*=h(x*，m)，所以e*′=h(x*，m)=e*。

因此(e*，y*)是消息m的簽名，由1.3節(jié)簽名生成階段可知，代理簽名者B使用代理私鑰s完成對消息m簽名，而且在簽名過程中，B不知道消息m的任何內(nèi)容，所以(e*，y*)是B代表A對消息m的盲簽名。

3 方案安全性分析

這一簽名體制既具有代理簽名的特征，又具有盲簽名的特征。具體安全特征如下：

a)不可偽造性。代理密鑰不可偽造：因為代理密鑰s=δ+xBh(mw，yA) mod q，δ為A和B共有的信息，除了A和B外，任何人都不知道δ，如果攻擊者想從t=(δ×ymwA)dmod n中求δ，因為攻擊者不知道d，求解d面臨求大整數(shù)的分解問題，攻擊者無法得到δ；另外，xB為B的私鑰，攻擊者不知道δ和xB，因此，也就無法得到代理密鑰s。假如攻擊者知道y，想通過y=w1+e′×s mod q來獲取代理密鑰s，但因為w1、w2、w3是隨機選取的， 且x*=gw2×αw3×x mod n，e*=h(x*，m)，e′=e*+w3 mod q，攻擊者不知道w1和e′，所以也不能夠獲得代理密鑰s。

原始簽名者A不能夠進行偽造：A不能夠?qū)δ硞€消息偽造簽名，因為簽名需要代理簽名密鑰s，s=δ+xBh(mw+yA)mod q，A雖然知道δ，但不知道B的私鑰xB，求解xB面臨解離散對數(shù)問題，所以，A不能夠進行偽造。

b）不可抵賴性。因為代理簽名密鑰s=δ+xBh(mw+yA)mod q，它是由A和B的共有信息δ與B的私鑰xB共同產(chǎn)生的，任何人，甚至是原始簽名者均不可能獲得代理者B的私鑰xB，也就無法得到代理簽名密鑰s。只有代理簽名人B才能夠生成有效的簽名，所以B對一個消息進行有效的代理盲簽名后就無法進行抵賴。

c)簽名信息的隱藏性。在這一體制中，由于h是一個安全的哈希函數(shù)，且w2、w3是C隨機選取的，B不可能從e*=h(x*，m)恢復出m的內(nèi)容。該方案具有盲簽名的信息隱藏性。

d）身份的真實性。當A將（t，mw）發(fā)送給B后，B首先恢復δ，因為δ只有A和B知道，所以只要等式te=δ×ymwA mod n成立，則說明A就是合法的代理授權(quán)者。另外，在驗證簽名時通過B的公鑰來驗證，因此，只要驗證等式能夠通過，則說明B就是合法的代理簽名者。

e）可注銷性。A如果想注銷B的代理簽名密鑰s，那么A就可以宣布yδ不再有效，從而注銷后B生成的代理簽名無效。

f）不可鏈接性。因為代理簽名者B是對消息m進行盲簽名的，盲因子是C隨機選取的，且h為安全的哈希函數(shù)，所以代理簽名者B不能夠把對消息m的簽名與先前對某個消息的簽名聯(lián)系起來。

g)現(xiàn)有的一些代理簽名方案及代理盲簽名方案，委托代理簽名均采用秘密方式發(fā)送給代理簽名人，而本方案無須用秘密方式發(fā)送委托代理信息給代理簽名人。代理簽名人是通過計算δ=yxBA mod n，

s=δ+xBh(mw，yA)mod q而得到代理簽名密鑰s，并通過原始簽名人公開的一些代理參數(shù)來驗證的。因為代理簽名人B必須用他的私鑰xB才能計算出正確的δ，才能得到正確的代理簽名密鑰s。否則計算出的δ將不等于原始簽名者公開的代理參數(shù)t中的δ，驗證等式te=δ×ymwA mod n也就無法通過。又因為任何人均無法得到B的私鑰，所以任何攻擊者均不能計算出正確的代理簽名密鑰，沒有正確的代理簽名密鑰，也就無法產(chǎn)生通過代理簽名驗證等式的代理簽名。因此本方案能抵抗假冒代理簽名人事件的發(fā)生，而且又無須安全的通信信道傳送代理簽名委托信息，所以本方案的方法簡單、方便、安全，且具有實用性。

4 新方案在電子現(xiàn)金中的應用

在電子現(xiàn)金的應用中，為解決匿名性問題，盲簽名被廣泛地使用。但在實際應用中，為了防止電子現(xiàn)金的二次花費，需要一個已花費的電子現(xiàn)金數(shù)據(jù)庫。隨著時間的增長，這個數(shù)據(jù)庫會變得非常龐大。一般情況下，銀行在電子現(xiàn)金的應用中會指定一個它所信賴的部門或其分支來代表銀行發(fā)行電子現(xiàn)金，而銀行只需對用戶賬戶進行管理。

下面應用所提出的代理盲簽名方案來實現(xiàn)電子現(xiàn)金的發(fā)行和使用。筆者分別用B、P、U、C表示銀行、代理部門、用戶和商家。新的電子現(xiàn)金方案分為四個階段。

41 代理階段

a)銀行B首先選擇n=p1p2=(2qp′1+1)(2qp′2+1)和一個階為q的g∈QRn，選擇一個安全的單向散列函數(shù)h，公布(n，q，g，h)；然后制定代理授權(quán)書mw選擇隨機數(shù)xA∈Z*n作為私鑰，計算yA=gxA mod n作為公鑰；接著選擇一對整數(shù)（e，d），且滿足gcd(e，φ(n))=1，ed=1 mod φ(n)，公布(mw，yA，e)。

代理部門P選擇隨機數(shù)xB∈Z*n作為私鑰，計算yB=gxB mod n作為公鑰，最后公布yB。

b)銀行B首先計算δ=yxAB mod n，yδ=gδ mod n，t=(δ×ymwA)d mod n;然后公布代理部門P的代號及參數(shù)yδ；最后將(t，mw)發(fā)送給代理部門P。

c)代理部門P計算δ=yxBA mod n，然后驗證等式te=δ×ymwA mod n是否成立，如果等式成立，則代理部門P接受代理，并計算s=δ+xBh(mw，yA)mod q作為代理簽名密鑰。

42 取款過程

設m為用戶U的取款信息，包括(數(shù)量、面值、賬號、時間)。用戶U向銀行提出取款要求，并向銀行提交自己的身份信息，銀行驗證U的身份信息，確保無誤后，允許U向代理部門P進行以下協(xié)議：

a）代理部門P隨機選擇w1∈RZ*q，并計算x=gw1 mod n，并將x發(fā)送給用戶U。

b)用戶U首先計算α=yδ×yh(mw，yA)B mod n，接著隨機選擇w2，w3∈RZ*q并計算x*=gw2×αw3×x mod n，e*=h(x*，m)，e′=e*+w3 mod q；最后，將e′發(fā)送給代理部門P。

c）代理部門P計算y=w1+e′×s mod q，并將它發(fā)送給用戶，同時通知銀行電子現(xiàn)金已經(jīng)發(fā)送， 銀行扣除該用戶相應的金額。

d）用戶計算y*=y+w2 mod q，所得電子現(xiàn)金就為(m，e*，y*)。

43 支付過程

a）用戶U提供給商家C電子現(xiàn)金(m，e*，y*)。

b）商家C計算α=yδ×yh(mw，yA)B mod n，

x*=gy*×α-e* mod n，e*′=h(x*，m)并驗證e*′=e*是否成立，如果等式成立。則將電子現(xiàn)金(m，e*，y*)傳送給銀行B，銀行通過代理部門P查詢該電子現(xiàn)金是否消費過，如確定未使用，則在商家C賬戶上增加相應的金額。

44 存款過程

存款的過程比較簡單，經(jīng)過一段交易周期后，商家將收到的電子現(xiàn)金到銀行處存儲。商家將在支付中得到的電子現(xiàn)金coin=(m，e*，y*)和自己的賬號傳遞給銀行，銀行首先對電子現(xiàn)金的有效期進行檢查，確認是否有效，若無誤，則開始搜索電子現(xiàn)金數(shù)據(jù)庫，如果搜索失敗，表明此電子現(xiàn)金是第一次使用，銀行將此(m，e*，y*)和交易日期存入數(shù)據(jù)庫，并將此現(xiàn)金的數(shù)額存入商家的賬戶；若搜索成功，則表明在消費者和商家中肯定有一個是欺詐者。若新發(fā)送來的電子現(xiàn)金交易日期、時間與搜索到的相同，說明商家在重復使用電子現(xiàn)金。否則說明用戶在重復使用同一電子現(xiàn)金。

以上的協(xié)議過程是新的代理盲簽名方案在電子現(xiàn)金上的應用，它具有以下性質(zhì)：

a）不可跟蹤性。由于簽名數(shù)據(jù)都是由消費者計算出來的，代理部門在簽署電子現(xiàn)金后，無法對電子現(xiàn)金進行跟蹤;同時簽名數(shù)據(jù)中沒有消費者的身份信息，商家收款后也無法確定消費者的身份，因此它具有不可跟蹤性。

b）安全性。由簽名過程可知，電子現(xiàn)金的形成需要代理簽名部門的代理密鑰，它是由銀行和代理部門的密鑰產(chǎn)生的，其他任何人均不可能知道代理簽名私鑰，因此消費者無法偽造電子現(xiàn)金。

c）不可重復花費。由于消費者每次花費電子現(xiàn)金時，均需要銀行和代理部門在線驗證電子現(xiàn)金是否被使用過，在本方案中，消費者不能重復花費電子現(xiàn)金。

5 結(jié)束語

代理簽名是近年來出現(xiàn)的一種新的簽名技術(shù)，具有廣泛的應用前景，特別是與盲簽名、多重簽名等其他簽名的結(jié)合使用，如電子商務中，CA證書的簽發(fā)、電子支票或電子貨幣的分發(fā)等。因此研究安全高效的代理盲簽名方案具有重要的意義。本文提出了一個新的代理盲簽名方案及其在電子現(xiàn)金領(lǐng)域的實際應用，而且在本方案中代理授權(quán)信息的傳輸可以在任何信道上進行，這樣也就節(jié)省了通信費用，提高了通信效率及安全性。

參考文獻：

［1］

CHAUM D.Blind signatures for untraceable payments[C]//Proc of Advances in Cryptology Crypto.New York:SpringerVerlag，1982:199203.

［2］CHAUM D，F(xiàn)IAT A，NAOR M.Untraceable electronic cashLNCS 403[C]//Proc of Crypto’88.New York:SpringerVerlag，1998:319327.

［3］ABE M， FUJISAKI E. How to date blind signatures[C]//Proc of Advances in Cryptology AISACRYPT’ 96.Berlin:Springer Verlag，1996:244251.

［4］MAMBO M，USUDA K，OKMAMOTO E.Proxy signatures delegation of the power to sign message[J].IEICE Trans on Functional，1996，E79A(9):13381354.

［5］MAMBO M，USUDA K，OKMAMOTO E. Proxy signatures for delegating signing operation[C]//Proc of the 3rd ACM Conference on Computer and Communications Security.New York:ACM Press，1996:4857.

［6］KIM S，PARK S，WON D.Proxy signatures， revisited[C]//Proc of Information and Communications Security.London:SpringerVerlag，1997:223232.

［7］YI L， BAI G， XIAO G.Proxy multisignature scheme[J].Electronics Letters，2000，36(6):527528.

［8］TAN Z，LIU Z，TANG C.Digital proxy blind signature schemes based on DLP and ECDLP[C]//Proc of MM Research Preprints，MMRC， AMSS， Academia， Sinica.Beijing:[s.n.]，2002:212217.

[9]LAL S，AWASTHI A K.Proxy blind signature scheme cryptology ePrint archive:report[EB/OL].(20030702).http://eprint.iacr.org/.

[10]王蜀洪，王貴林，鮑豐，等.對一個基于離散對數(shù)代理盲簽名的密碼分析[J].軟件學報，2005，16(5):911915.

［11］ 王天銀，蔡曉秋，張建中. 一種安全有效的代理盲簽名方案[J].計算機工程，2007，33(2):148149.

［12］OKAMOTO T. Provable secure and practical identification schemes and corresponding signature schemes[C]//Proc ofCrypto’92.London:SpringerVerlag， 1992：3153.

［13］王天銀，蔡曉秋，張建中.基于雙線性對的新型代理盲簽名方案[J].計算機應用研究，2007，24(2):130131.