使用自認(rèn)證公鑰的盲簽密方案

摘 要:首次結(jié)合自認(rèn)證公鑰技術(shù)和盲簽密思想，基于雙線性對(duì)提出了一個(gè)新的使用自認(rèn)證公鑰的盲簽密方案，并在隨機(jī)預(yù)言機(jī)模型下給出了安全性證明。在ECDL和GBDH問題的困難性假設(shè)下，該方案被證明是安全的。新方案避免了基于身份密碼系統(tǒng)中固有的密鑰托管問題，不需要使用任何公鑰證書。在計(jì)算復(fù)雜性方面，所提方案僅僅需要兩次雙線性對(duì)運(yùn)算，效率非常高。

關(guān)鍵詞:自認(rèn)證公鑰; 盲簽密; 可證明安全性; 隨機(jī)預(yù)言模型; 雙線性對(duì)

中圖分類號(hào):TP309文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001-3695(2009)09-3508-04

doi:10.3969/j.issn.1001-3695.2009.09.088

Blind signcryption scheme using self-certified public keys

YU Hui-fang1，2， WANG Cai-fen2

(1.Dept. of Computer Science， Qinghai Normal University， Xining 810008， China; 2.College of Mathematics Information Science， Northwest Normal University， Lanzhou 730070， China)

Abstract:By merging the concepts of self-certified public key and blind signcryption for the first time， this paper proposed a new blind signcryption scheme from bilinear pairings using self-certified public keys and proved its security in the random oracle model. Proved the scheme to be secure under the hardness of elliptic curve discrete logarithm problem and gap bilinear Diffie-Hellman problem. The new scheme overcame the inherent key escrow problem of identity-based cryptography， no public key certificate was required. Moreover， the proposed was efficient since only two pairing operations were required.

Key words:self-certified public key; blind signcryption; provable security; random oracle model; bilinear pairings

如何使消息既保密又認(rèn)證地進(jìn)行傳輸是信息安全研究的主要目標(biāo)之一。實(shí)現(xiàn)這一目標(biāo)較為理想的方法是簽密[1]，因?yàn)楹灻苣茉谝粋€(gè)合理的邏輯步驟內(nèi)同時(shí)完成加密和簽名兩項(xiàng)功能，而且其通信成本和計(jì)算量遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的先簽名后加密。在電子政務(wù)和電子商務(wù)應(yīng)用中的某些特殊情況下，消息的擁有者想讓簽名者對(duì)消息進(jìn)行簽名而又不希望簽名者知道消息的具體內(nèi)容，同時(shí)簽名者也不想了解所簽署消息的具體內(nèi)容，他只是想讓人們知道他曾經(jīng)簽署過(guò)這個(gè)消息。1982年，Chaum[2]提出的盲簽名能夠解決這個(gè)問題。2005年，Yuen等人[3]利用雙線性對(duì)技術(shù)，首次結(jié)合簽密體制和盲簽名思想，提出了一個(gè)可證明安全的基于身份的盲簽密方案，然而，該方案使用雙線性對(duì)運(yùn)算較多，計(jì)算效率不高。1991年，Girault[4]第一次提出了自認(rèn)證公鑰的概念，同時(shí)構(gòu)建了自認(rèn)證密碼系統(tǒng)，其具有通信成本低、計(jì)算量少、安全性強(qiáng)、效率高等優(yōu)點(diǎn)。

目前，基于證書和基于身份密碼體制的盲簽名方案[5~10]很多，而將自認(rèn)證密碼系統(tǒng)與盲簽密思想結(jié)合在一起的研究成果很少。考慮到自認(rèn)證密碼系統(tǒng)所具有的優(yōu)點(diǎn)，本文首次將自認(rèn)證公鑰技術(shù)與盲簽密思想相結(jié)合，基于雙線性對(duì)提出了一個(gè)新的使用自認(rèn)證公鑰的盲簽密方案，并在隨機(jī)預(yù)言機(jī)模型下給出了其安全性證明。本文提出的方案具有以下特征:a)盲簽密者對(duì)所簽署的消息是不可見的;b)盲簽密者事后不能跟蹤簽密;c)用戶的私鑰由用戶自己生成，認(rèn)證機(jī)構(gòu)CA(certificate authority)無(wú)法假冒用戶，避免了基于身份密碼系統(tǒng)中固有的密鑰托管問題;d)驗(yàn)證者在邏輯單步內(nèi)驗(yàn)證盲簽密的同時(shí)能夠驗(yàn)證公鑰的真?zhèn)危恍枰獙?duì)公鑰進(jìn)行單獨(dú)的認(rèn)證;e)在驗(yàn)證公鑰真實(shí)性時(shí)，不需要額外的證書;f)通信成本低，計(jì)算量少，存儲(chǔ)量小，安全性強(qiáng);g)在ECDL和GBDH問題的困難性假設(shè)下，該方案被證明是安全的;h)在計(jì)算復(fù)雜性方面，新方案僅需要兩次雙線性對(duì)運(yùn)算，比文獻(xiàn)[3]少使用三次，計(jì)算效率很高。

1 預(yù)備知識(shí)

1.1 雙線性對(duì)

設(shè)(G1，+)和(G2，×)是兩個(gè)q階的循環(huán)群，q為一個(gè)大素?cái)?shù)，P為G1的生成元。假定在G1和G2這兩個(gè)群中的離散對(duì)數(shù)問題都是困難的。設(shè)e:G1×G1→G2是滿足以下條件的映射:

a)雙線性性。對(duì)于所有的a，b∈Zq，P，Q∈G1，e(aP，bQ)=e(P，Q)ab。

b)非退化性。P，Q∈G1，使得e(P，Q)≠G1。

c)可計(jì)算性。對(duì)于所有的P，Q∈G1，存在高效的算法能夠計(jì)算出e(P，Q)。

1.2 困難問題

本文提出的方案主要依賴于以下困難問題。

定義1 設(shè)G1，G2是階數(shù)為素?cái)?shù)q的兩個(gè)循環(huán)群，e:G1×G1→G2是一個(gè)雙線性映射，P為G1的生成元，則〈G1，G2，e〉上的bilinear Diffie-Hellman(BDH)問題是:對(duì)于任意的a，b，c∈Zq，給定〈P，aP，bP，cP〉，計(jì)算e(P，P)abc。

定義2 設(shè)G1，G2是階為素?cái)?shù)q的兩個(gè)循環(huán)群，e:G1×G1→G2是一個(gè)雙線性映射，P為G1的生成元。則〈G1，G2，e〉上的decisional bilinear Diffie-Hellman(DBDH)問題是:對(duì)于任意的a，b，c∈Zq，給定〈P，aP，bP，cP〉和h∈G2，判斷h=e(P，P)abc是否成立。

定義3 設(shè)G1，G2是階為素?cái)?shù)q的兩個(gè)循環(huán)群，e:G1×G1→G2是一個(gè)雙線性映射，P為G1的生成元，則〈G1，G2，e〉上的gap bilinear Diffie-Hellman(GBDH)問題是:對(duì)于任意的a，b，c∈Zq，給定〈P，aP，bP，cP〉和預(yù)言機(jī)ODBDH(#8226;)，計(jì)算e(P，P)abc。預(yù)言機(jī)ODBDH(#8226;):給定〈P，aP，bP，cP〉和h∈G2，如果h=e(P，P)abc，輸出1;否則，輸出0。

定義4 設(shè)G1是階為素?cái)?shù)q的循環(huán)群，則G1上的elliptic curve discrete logarithm(ECDL)問題是:已知P和Q是G1中的元素，且Q=nP，求解正整數(shù)n。

2 形式化定義

2.1 使用自認(rèn)證公鑰的盲簽密方案的組成

使用自認(rèn)證公鑰的盲簽密方案由四個(gè)算法組成:系統(tǒng)設(shè)置、用戶注冊(cè)、盲簽密和解簽密。同時(shí)該方案的參與者有認(rèn)證機(jī)構(gòu)CA、消息擁有者M、盲簽密者Alice和接收者Bob。具體算法如下:

a)系統(tǒng)設(shè)置(由CA完成)。輸入安全參數(shù)k，輸出系統(tǒng)主密鑰s和系統(tǒng)參數(shù)params，CA保密s，公開params。

b)用戶注冊(cè)。輸入系統(tǒng)參數(shù)params和用戶u的身份IDu，輸出(IDu，Pu)，這部分由用戶u完成;輸入(IDu，Pu)，輸出(IDu，Qu，xu)，這部分由CA完成;輸入(IDu，Qu，xu)，用戶u先驗(yàn)證xu的合法性，若xu合法，輸出其私鑰Su和公鑰Pu，這部分由用戶u完成。

c)盲簽密。輸入系統(tǒng)參數(shù)params、QB、PB明文、m和盲簽密者Alice的私鑰SA，輸出密文σ=(X，Y，Z)。

d)解簽密。輸入系統(tǒng)參數(shù)params、密文σ、QA、PA以及接收者Bob的私鑰SB，輸出明文m或符號(hào)⊥表示驗(yàn)證失敗。

2.2 使用自認(rèn)證公鑰的盲簽密方案的安全模型

一個(gè)使用自認(rèn)證公鑰的盲簽密方案需要滿足以下一些安全特性:

a)保密性。攻擊者從一個(gè)密文中獲取任何明文信息在計(jì)算上是不可行的。

b)強(qiáng)不可偽造性。消息擁有者、盲簽密者、接收者以及其他任何與方案無(wú)關(guān)的第三方都不可能生成有效的盲簽密。

c)公開驗(yàn)證性。盲簽密的驗(yàn)證不需要接收者的私鑰，可由任何第三方驗(yàn)證。

d)不可否認(rèn)性。一旦盲簽密者協(xié)助消息擁有者創(chuàng)建了一個(gè)有效的盲簽密，就不能否認(rèn)自己的盲簽密行為。

e)前向安全性。如果某個(gè)第三方知道了某個(gè)用戶的私鑰，第三方也不能恢復(fù)出他過(guò)去所簽密消息的明文。

f)盲性。被簽密的消息對(duì)盲簽密者是不可見的。

g)不可跟蹤性。盲簽密者事后不能追蹤簽名。

定義5處理消息的保密性。

定義5 如果沒有任何多項(xiàng)式有界的攻擊者以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下游戲，則稱一個(gè)使用自認(rèn)證公鑰的盲簽密方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性。

假設(shè)攻擊者A1為一般用戶，下面為攻擊者A1和挑戰(zhàn)者Γ共同參與的游戲:

a)Γ輸入安全參數(shù)k，運(yùn)行系統(tǒng)設(shè)置算法，得到系統(tǒng)主密鑰和系統(tǒng)公開參數(shù)，并將系統(tǒng)公開參數(shù)發(fā)送給A1。

b)在詢問階段，A1向Γ請(qǐng)求如下詢問:

哈希函數(shù)值詢問:A1可以對(duì)任意輸入請(qǐng)求所對(duì)應(yīng)的哈希函數(shù)值，Γ返回相應(yīng)的哈希函數(shù)值。

用戶注冊(cè)詢問:A1可以請(qǐng)求任意ID的公鑰和私鑰，Γ運(yùn)行相應(yīng)算法，返回A1所需的請(qǐng)求。

盲簽密詢問:A1可以請(qǐng)求對(duì)任意消息m的盲簽密者IDi和接收者IDj的盲簽密，Γ返回一個(gè)盲簽密。

解簽密詢問:A1選擇兩個(gè)身份IDi、IDj以及密文σ，Γ計(jì)算IDj所對(duì)應(yīng)的私鑰，并把解密的結(jié)果給A1。

c)A1生成兩個(gè)相同長(zhǎng)度的明文m0、m1和希望挑戰(zhàn)的兩個(gè)身份IDi、IDj，IDj的私鑰不能被詢問。Γ隨機(jī)選擇c∈{0，1}，Γ執(zhí)行對(duì)消息mc的盲簽密算法，并將密文σ發(fā)送給A1。

d)在猜測(cè)階段，A1像尋找階段那樣執(zhí)行詢問，但I(xiàn)Dj的私鑰不能被執(zhí)行詢問，也不能對(duì)密文σ執(zhí)行解簽密詢問。

e)最后，輸出c′∈{0，1}對(duì)c的猜測(cè)。如果c′=c，則A1贏得了游戲。

3 使用自認(rèn)證公鑰的盲簽密方案

3.1 系統(tǒng)設(shè)置

a)認(rèn)證機(jī)構(gòu)CA選擇兩個(gè)階為q(q為素?cái)?shù))的加法群G1和乘法群G2，P為G1的生成元。e是G1×G1→G2的雙線性映射。

b)CA選取密碼學(xué)上安全的哈希函數(shù)

H0:{0，1}×G1→G1，H1:{0，1}n×G1→Zq，H2:G2→{0，1}n

c)CA隨機(jī)選取系統(tǒng)主密鑰s∈Zq，計(jì)算其公鑰PCA=sP。

d)CA保密系統(tǒng)主密鑰s，并公開系統(tǒng)參數(shù){G1，G2，P，PCA，e，n，H0，H1，H2}。

3.2 用戶注冊(cè)

身份為IDA的盲簽密者Alice選擇一個(gè)秘密值rA∈R Zq，并計(jì)算PA=rAP，然后盲簽密者Alice發(fā)送(IDA，PA)給CA。

CA收到(IDA，PA)后，計(jì)算QA=H0(IDA，PA)和xA=sQA，并將(IDA，QA，xA)發(fā)給盲簽密者Alice。盲簽密者Alice收到(IDA，QA，xA)后，可通過(guò)以下方程驗(yàn)證xA的合法性:

e(xA，P)=e(QA，PCA)(1)

如果式(1)成立，則盲簽密者Alice就接受xA作為自己的部分私鑰，并計(jì)算SA=rAQA+xA作為自己的私鑰，PA作為自己的公鑰。

采用相似的方法，接收者Bob也獲得自己的部分私鑰以及其公私鑰對(duì)(xB，PB，SB)。

3.3 盲簽密

消息擁有者M和盲簽密者Alice進(jìn)行以下交互協(xié)議，最后由消息擁有者M輸出密文。

a)Alice隨機(jī)選取k∈Zq，計(jì)算R=kP，并將R發(fā)送給M。

b)M收到R后，隨機(jī)選擇a∈Zq，計(jì)算X=aR，h=aH1(m，X)，并將h發(fā)送給Alice。

c)Alice收到h后，計(jì)算V=e(QB，PB+PCA)k，W=k-1hSA，并將(V，W)發(fā)送給M。

d)M收到(V，W)后，計(jì)算ω=Va，Y=H2(ω)m，Z=a-1a-1m。

e)M輸出密文(X，Y，Z)作為盲簽密者Alice對(duì)消息m的盲簽密。

3.4 解簽密算法

接收者Bob收到密文(X，Y，Z)以后，則執(zhí)行以下步驟:

a)計(jì)算

ω=e(X，SB)(2)

b)恢復(fù)消息m=H2(ω)Y;

c)驗(yàn)證式(3)是否成立:

e(X，Z)=e(QA，PA+PCA)H1(m，X)(3)

如果式(3)成立，則說(shuō)明盲簽密(X，Z)和公鑰PA同時(shí)被認(rèn)證，而且接收者Bob認(rèn)為(X，Z)是盲簽密者Alice對(duì)消息m的合法盲簽密;否則，驗(yàn)證失敗，認(rèn)為(X，Z)不合法。

4 正確性分析

本文方案的正確性由式(2)和(3)來(lái)保證。

ω=Va=e(QB，PB+PCA)ka=e(QB，(rB+s)P)ka=e(kaP，(rB+s)QB)ka=e(X，rBQB+xB)ka=e(X，SB)

e(X，Z)=e(kaP，k-1a-1a-1hSA)=e(P，SA)a-1h

=e(P，rAQA+xA)H1(m，X)=e(QA，PA+PCA)H1(m，X)

5 安全性分析

5.1 保密性

本文方案的保密性由下面的定理1給出。

定理1 在隨機(jī)預(yù)言模型中，若存在一個(gè)攻擊者A1能夠在t時(shí)間內(nèi)，以ε的概率贏得定義5中的游戲(他最多能進(jìn)行qb sig次盲簽密詢問，qunsig次解簽密詢問)，則存在一個(gè)算法Γ，能夠在t′ε /(q0q2)的概率解決GBDH問題。其中:Te表示執(zhí)行一次雙線性對(duì)運(yùn)算所需要的時(shí)間;Tm表示計(jì)算一次標(biāo)量乘所需要的時(shí)間。

證明 假設(shè)任意給定一個(gè)隨機(jī)的GBDH問題實(shí)例(P，P1=aP，P2=bP，P3=cP)，在隨機(jī)預(yù)言機(jī)ODBDH的幫助下，算法Γ使用攻擊者A1作為子程序并扮演定義5游戲中的挑戰(zhàn)者計(jì)算出e(P，P)abc。游戲一開始，Γ運(yùn)行系統(tǒng)設(shè)置算法，并將系統(tǒng)公開參數(shù){G1，G2，e，P，n，PCA，H0，H1，H2}發(fā)送給A1，然后執(zhí)行預(yù)言機(jī)模擬。Γ維護(hù)L0、L1和L2三張表，這些表開始都為空，而且L0、L1和L2分別用于跟蹤A1對(duì)預(yù)言機(jī)H0、H1和H2的詢問。

H0詢問:假設(shè)攻擊者A1向Γ詢問(IDi，Pi)的哈希函數(shù)值，如果表L0中已經(jīng)存在，返回相應(yīng)的值給A1;否則，Γ選取ri∈RZq，計(jì)算Pi=riP。然后，Γ隨機(jī)選取t1∈{0，1}，若t1=1，選取b∈RZq，返回Qi=H0(IDi，Pi)=bP=P2，并計(jì)算xi=sQi=sbP，Si=riQi+xi=(ri+s)Qi=cQi=bP3;否則，Γ選取l∈RZq，返回Qi=H(IDi，Pi)=lP，并計(jì)算xi=sQi=slP，Si=riQi+xi=(ri+s)Qi=(ri+s)lP。最后，將(IDi，ri，Pi，Qi，xi，Si，t1)記錄到表L0中。

H1詢問:假設(shè)A1向Γ詢問(mi，Xi)的哈希函數(shù)值，若(m，Xi，H1)在表L1中已經(jīng)存在，返回H1給A1;否則，Γ隨機(jī)選擇一個(gè)在表L1中沒有的值H1∈G1，將H1給A1，同時(shí)將(mi，Xi，H1)記錄到表L1中。

H2詢問:假設(shè)A1向Γ詢問ωi的哈希函數(shù)值，若(ωi，H2)在表L2中已經(jīng)存在，返回H2給A;否則，Γ隨機(jī)選擇一個(gè)在表L2中沒有的值H2∈RZq，將H2給A1，同時(shí)將(ωi，H2)記錄到表L2中。

用戶注冊(cè)詢問:A1可以請(qǐng)求任意ID的公鑰和私鑰，假設(shè)A1在執(zhí)行用戶注冊(cè)詢問前已經(jīng)執(zhí)行過(guò)H0詢問了。如果t1=0，則Γ放棄;否則，Γ返回(Pi，Si)。

盲簽密詢問:A1可以向Γ請(qǐng)求對(duì)任意消息mi關(guān)于盲簽密者I(xiàn)DAi、接收者I(xiàn)DBi的盲簽密，假設(shè)用戶注冊(cè)詢問已經(jīng)執(zhí)行過(guò)，Γ按下面步驟執(zhí)行并回答詢問:

a)Γ首先在表L0中找出記錄(SAi，QBi，PBi);

b)Γ隨機(jī)選擇ki∈Zq，計(jì)算Ri=kiP;

c)Γ隨機(jī)選擇ai∈Zq，計(jì)算Xi=aiRi和hi=aH1(mi，Xi);

d)Γ計(jì)算Vi=e(QBi，PBi+PCA)ki，Wi=k-1ihiSAi;

e)Γ計(jì)算ωi=Vaii，Yi=H2(ωi)mi，Zi=a-1ia-1iWi(其中:H2(ωi)可從H2詢問中得到;H1(mi，Xi)可從H1詢問中得到);

f)最后，Γ將(Xi，Yi，Zi)視為對(duì)消息mi的盲簽密給A1。

解簽密詢問:A1提供密文(Xi，Yi，Zi)，請(qǐng)求恢復(fù)消息明文，假設(shè)A1在執(zhí)行解簽密詢問前已經(jīng)執(zhí)行過(guò)用戶注冊(cè)詢問了。Γ按下面步驟執(zhí)行并回答詢問:

當(dāng)A1詢問(PAi，QAi，Xi，Yi，Zi)是否有效時(shí)，Γ查詢表L0，如果t1=0，則放棄;否則，Γ計(jì)算ωi=e(Xi，SBi)，若H2(ωi)在L2列表中，計(jì)算mi=H2(ωi)Yi，并將〈ωi，mi〉提交給預(yù)言機(jī)ODBDH，如果預(yù)言機(jī)返回1，則盲簽密是有效的，否則無(wú)效。

在經(jīng)過(guò)上述詢問后，A1輸出兩個(gè)希望挑戰(zhàn)的身份{IDA，IDB}和兩個(gè)消息{m0，m1}，但必須滿足IDB的私鑰沒有被詢問，Γ隨機(jī)選取Z′∈G1，c∈{0，1}，令X′=aP=P1，ω=e(X′，SB)，計(jì)算Y′=H2(ω)mc，然后提交密文(X′，Y′，Z′)。

A1再進(jìn)行一次和第一輪相同的詢問，同樣IDB的私鑰沒有被詢問，最后輸出c′∈{0，1}作為對(duì)c的猜測(cè)。如果c′=c，Γ計(jì)算ω=e(X′，SB)=e(P，P)abc，則Γ解決GBDH問題;否則，Γ沒有解決GBDH問題。

概率分析:通過(guò)上面分析，若A1在第一階段對(duì)接收者IDB的私鑰執(zhí)行用戶注冊(cè)詢問，Γ將失敗。可以知道，在q0個(gè)身份中，至少有一個(gè)身份沒有執(zhí)行用戶注冊(cè)詢問，因此，A1不對(duì)IDB執(zhí)行用戶注冊(cè)詢問的概率大于1/q0。在第二階段，如果A1對(duì)ω執(zhí)行H2詢問，Γ將失敗。A1沒有對(duì)ω執(zhí)行H2詢問概率大于1/q2，所以Γ解決問題GBDH的概率大于ε /(q0q2)。

時(shí)間分析:每次盲簽密詢問時(shí)，最多需要一次雙線性對(duì)運(yùn)算，七次標(biāo)量乘;每次解簽密詢問時(shí)，最多需要三次雙線性對(duì)運(yùn)算，零次標(biāo)量乘。所以t′

5.2 盲性

盲性指盲簽密者Alice對(duì)其所簽署的信息是不可見的，Alice不知道她所簽署消息的具體內(nèi)容。由盲簽密算法知，消息擁有者M先計(jì)算X=aR和h=aH1(m，X)，然后將h發(fā)送給盲簽密者Alice。顯然，Alice不知道關(guān)于消息m的任何內(nèi)容。

5.3 不可偽造性

不可偽造性指內(nèi)部攻擊者和外部攻擊者偽造一個(gè)合法的盲簽密在計(jì)算上是不可行的。

本文方案的攻擊者大致可分為四類:盲簽密者Alice、接收者Bob、消息擁有者M和任何與本文方案無(wú)關(guān)的第三方。下面進(jìn)行逐一分析:

a)在盲簽密階段，簽名W=k-1hSA(其中h=aH1(m，X))中雖然有盲簽密者Alice隨機(jī)選取的k以及其私鑰SA，但是對(duì)于盲簽密者Alice來(lái)說(shuō)，仍然有三個(gè)未知數(shù):a、m和X。因此，Alice根本無(wú)法偽造合法的盲簽密。

b)如果接收者Bob聲稱(X，Y，m′)為來(lái)自發(fā)方消息擁有者M(jìn)的盲簽密，那么接收者Bob為了使得偽造的數(shù)據(jù)能夠通過(guò)驗(yàn)證，必須通過(guò)等式ω=Va計(jì)算出a，進(jìn)而去偽造(X，Y)，其中V=e(QB，PB+PCA)k。然而，接收者Bob不知道盲簽密者Alice隨機(jī)選取的k，因而無(wú)法得到V，故也無(wú)法從等式ω=Va計(jì)算出a。實(shí)際上，接收者Bob即使在公開信道上已經(jīng)截獲了V，通過(guò)等式ω=Va計(jì)算出a也是不可能的，因?yàn)榍蠼怆p線性映射的逆是困難的。因此，接收者Bob無(wú)法偽造出合法的盲簽密。

c)消息擁有者M不知道盲簽密者Alice的私鑰SA以及Alice隨機(jī)選取的k，所以即使Alice的私鑰SA被意外泄露或偷走了，消息擁有者M(jìn)試圖通過(guò)R=kP計(jì)算出k，進(jìn)而去偽造(X，Y，Z)也是不可能的，因?yàn)镽=kP由求解k相當(dāng)于破解ECDL難題，因而消息擁有者M(jìn)不可能偽造出合法的盲簽密。

d)任何與本文方案無(wú)關(guān)的第三方即使在公開信道上截獲了(xA，xB，X，Y，Z，R，h，W，V)，但是他卻無(wú)法獲得(s，rA，SA，rB，SB，a，k)。可見，任何與本文方案無(wú)關(guān)的第三方根本無(wú)法偽造出合法有效的盲簽密。

5.4 不可跟蹤性

不可跟蹤性指盲簽密者Alice事后不能跟蹤簽名。

一旦接收者Bob公布了密文(X，Y，Z)，Alice雖然保留了一組數(shù)據(jù)(k，R，h，W，V，rA，xA，SA)，但是她卻沒有辦法從(X，Y，Z)中獲知(s，a，ω，rB，xB，SB)，因而本文方案滿足不可跟蹤性。

5.5 公開驗(yàn)證性

公開驗(yàn)證性指盲簽密的驗(yàn)證不需要接收者Bob的私鑰，可以由任何仲裁者驗(yàn)證。

只要提交(X，Z，m)給任何仲裁者，那么此仲裁者驗(yàn)證等式e(X，Z)=e(QA，PA+PCA)H1(m，X)是否成立即可。若上述等式驗(yàn)證通過(guò)，仲裁者就可以斷定m確為消息擁有者M(jìn)所簽發(fā)。很明顯，在不需要接收者Bob的私鑰SB的情況下，實(shí)現(xiàn)了本文方案的可公開驗(yàn)證性。

5.6 不可否認(rèn)性

不可否認(rèn)性指一旦消息擁有者M要求盲簽密者Alice協(xié)助他創(chuàng)建了一個(gè)有效的盲簽密，那么Alice就不能否認(rèn)自己的盲簽密行為。

在本文方案中，盲簽密者Alice的簽名部分為:R=kP，V=e(QB，PB+PCA)k和W=k-1hSA。如果盲簽密者Alice否認(rèn)自己的盲簽密行為，由于本文方案已經(jīng)被證明滿足可公開驗(yàn)證性，那么只要提交(X，Z，m)給任何仲裁者，此仲裁者就可以通過(guò)檢查e(X，Z)=e(QA，PA+PCA)H1(m，X)是否成立來(lái)驗(yàn)證(X，Z)確為消息m的有效盲簽密。因此，接收者Bob在不需要泄露其私鑰的情況下，只需要公開(X，Z，m)，便可以實(shí)現(xiàn)本文方案的不可否認(rèn)性。

5.7 前向安全性

前向安全性指如果盲簽密者Alice的私鑰被意外泄露或偷走，那么第三方也不能恢復(fù)出以前所簽密消息的明文。

假設(shè)第三方已經(jīng)截獲了在公開信道上傳輸?shù)拿ず灻芙M(X，Y，Z)。如果Alice的私鑰SA被意外泄露或偷走，由于第三方不知道接收者Bob的私鑰SB，故而不可能通過(guò)ω=e(X，SB)計(jì)算出會(huì)話密鑰ω，那么第三方只能通過(guò)ω=e(QB，PB+PCA)ak來(lái)計(jì)算會(huì)話密鑰ω。然而在這個(gè)等式中，a、k對(duì)于第三方來(lái)說(shuō)都是未知的，而且即使第三方已截獲了R，由R=kP計(jì)算出k和由X=aR計(jì)算出a都是不可行的，因?yàn)楠獷CDL問題是個(gè)難解性的問題。第三方通過(guò)第二種方式也無(wú)法計(jì)算出會(huì)話密鑰ω。

由上述可知，第三方從密文(X，Y，Z)中恢復(fù)出盲簽密者Alice以前所簽密消息的明文是不可能的，所以本文方案滿足前向安全性。

6 性能分析

從計(jì)算復(fù)雜性方面分析比較本文方案和文獻(xiàn)[3]方案的性能。在進(jìn)行分析比較時(shí)，考慮了相關(guān)雙線性對(duì)的預(yù)運(yùn)算。兩者的比較結(jié)果總結(jié)在表1中。

表1 本文方案與文獻(xiàn)[3]方案的性能比較

方案盲簽密解簽密

文獻(xiàn)[3]2Pa+4Pm+9E1+1M2+1E2+3Hs3Pa+1Pm+1E1+3Hs

本文7Pm+1Ad+1E2+2Hs2Pa+1Ad+1E2+2Hs

表1中有關(guān)符號(hào)的定義如下:Pa表示G1上的雙線性對(duì)操作，Pm表示G1上的標(biāo)量乘，Ad表示G1上的點(diǎn)加操作，E1表示G1上的指數(shù)操作，M2表示G2上的乘操作，E2表示G2上的指數(shù)操作，Hs表示哈希函數(shù)。

從各種操作的計(jì)算來(lái)看，計(jì)算Pa最耗時(shí)。分析表1可知，在盲簽密過(guò)程中，本文方案沒有使用雙線性對(duì)運(yùn)算，而文獻(xiàn)[3]方案使用了兩次雙線性對(duì)運(yùn)算;在解簽密過(guò)程中，本文方案使用了兩次雙線性對(duì)運(yùn)算，而文獻(xiàn)[3]方案使用了三次雙線性對(duì)運(yùn)算。總體來(lái)說(shuō)，本文方案比文獻(xiàn)[3]方案少用了三次雙線性對(duì)運(yùn)算。可見，本文方案比文獻(xiàn)[3]方案的效率高得多。

7 結(jié)束語(yǔ)

由于已有的盲簽密方案都是證書和基于身份密碼體制的，本文首次結(jié)合自認(rèn)證密碼系統(tǒng)和盲簽密思想，基于雙線性對(duì)構(gòu)造了一個(gè)新的使用自認(rèn)證公鑰的盲簽密方案，并在隨機(jī)預(yù)言模型中給出了其安全性證明。分析表明，本文方案滿足盲簽密的各種安全特性;消除了證書管理問題和密鑰托管問題;具有通信成本低、存儲(chǔ)量小、計(jì)算量少、安全性強(qiáng)和效率高的優(yōu)點(diǎn)，更適合于在實(shí)際中應(yīng)用。

參考文獻(xiàn):

[1]ZHENG Yu-liang. Digital signcryption or how to achieve cost (signature encryption) << cost (signature) + cost (encryption)[C]//Advances in Cryptology-CRYPYO’ 97. Berlin: Springer-Verlag，1997:165-179.

[2]CHAUM D. Blind signature for untraceable payments[C]//Advances in Cryptology-CRYPTO’82. New York: Springer， 1983:199-203.

[3]YUEN T H， WEI V K. Fast and proven secure blind identity-based signcryption from pairings[C]// Proc of Ct-RSA 2005. Berlin: Springer-Verlag， 2005:305-322.

[4]GIRAULT M. Self-certified public keys[C]//Advances in Cryptology-EUROCRYPT’91. Berlin: Springer-Verlag， 1991:491-497.

[5]POINTCHEVAL D， STERN J. Provably secure blind signature schemes[C]//Advances in Cryptology-ASIACRYPT’96.Berlin: Springer， 1996:252-265.

[6]ZHANG Fang-guo， KIM K. Efficient ID-based blind signature and proxy signature from bilinear pairings[C]//Advances in ACISP 2003. Berlin: Springer， 2003:312-323.

[7]CHEN Xiao-feng， ZHANG Fang-guo， LIU Sheng-li. ID-based restrictive partially blind signatures and applications[J]. The Journal of Systems and Software， 2007，80(2):164-171.

[8]鐘軍，何大可. 一種新型的群盲簽名方案[J]. 計(jì)算機(jī)應(yīng)用研究，2008，25(3):927-929.

[9]BOLDYREVA B. Effcient threshold signature， multisignature， and blind signature schemes based on the Gap-Diffie-Hellman-group signature scheme[C]// Proc of PKC’03. London， UK: Springer-Verlag， 2003:31-46.

[10]CARMENISCH J， PIVETEAU J， STADLER M. Blind signatures based on the discrete logarithm problem[C]//Advances in Cryptology-EUROCRYPT’94.Berlin: Springer-Verlag， 1994:428-432.