基于證書的多重代理多重盲簽名方案研究

韓春霞，王琳杰 （銅仁學院數學與計算機科學系；計算機應用技術研究所，貴州 銅仁554300）

2003年Gentry首次提出基于證書的加密概念 （CBE），由此克服了傳統公鑰加密 （PKI）中的證書管理問題以及無證書公鑰加密中對可信第三方的信任問題［1］。與PKI相似，CBE的用戶生成自己的公鑰對并向認證中心 （CA）請求一個證書，該證書除了具有傳統PKI下所具有的所有功能外，還可以在不安全信道進行傳送。此外，CBE不用密鑰托管，所以用戶的私鑰是安全的。

代理簽名方案是原始簽名者將自己的簽名委托給代理簽名人。2000年，Lin等［2］將盲簽名和代理簽名相結合提出了第一個代理盲簽名方案。隨后，由于現實的需求，將代理簽名與多重簽名相結合提出新的代理多重簽名方案［3－4］、多重代理簽名方案［5］及多重代理多重簽名方案［6－7］。多代理簽名是指在一種代理簽名方案中，一組代理簽名人接受一個原始簽名人的簽名權委托權，并且只有此組代理簽名人共同合作才能對消息進行簽名。代理多重簽名是指一個代理者同時代理若干個原始簽名者進行簽名。然而在實際應用中，還可能出現多個原始簽名者委托多個代理簽名者去簽署一些重要文件的情況，這就是多重數字簽名問題。近幾年，利用雙線性對構造的一些基于身份的代理盲簽名方案被提出［8－10］，但是在該類方案中，私鑰生成中心 （PKG）不但可以計算系統內任何用戶的私鑰，而且也可以偽造任何一個用戶的代理盲簽名，但現實中要求PKG絕對可靠是不理想的。下面，筆者對基于證書的多重代理多重盲簽名方案進行了研究。

1 準備知識

1.1 雙線性對

設G1是P生成的循環加法群，其階為素數q，P是G1的生成元，G2是一個階為素數q的循環乘法群。雙線性對e：G1×G1→G2，具有以下性質：

（1）雙線性：e（aP，bQ）＝e（P，Q）ab，對所有P，Q∈G1和所有的a，b∈，其中表示素數q的既約剩余類。

（2）非退化性：存在P∈G1，使得e（P，Q）≠1。

（3）可計算性：存在有效算法可以計算e（P，Q），對于所有P，Q∈G1。

1.2 相關的數學難題

（1）離散對數難題 （DLP）。設P，Q∈G1，要找到一個正整數n∈，使得滿足Q＝nP是困難的。

（2）判斷Diffie－Hellman難題 （DDHP）。?P，aP，bP，cP∈G1，其中a，b，c∈，要判定c≡ab modq是否成立是難題。

（3）計算Diffie－Hellman難題 （CDHP）。?P，aP，bP∈G1，其中a，b∈，計算abP是困難的。

若群G1的CDHP是難解的，而DDHP是容易解的，稱G1是Gap Diffie－Hellman（GDH）群。

2 多重代理多重盲簽名方案分析

利用雙線性對的知識，構造一個基于證書的多重代理多重盲簽名方案。方案參與者包括原始簽名組、代理簽名組、簽名收集者、盲消息擁有者以及任意的驗證者。該方案包括系統初始化、用戶密鑰生成、證書生成及委托、簽名和驗證。

2.1 系統初始化過程

該方案的系統參數：

式中，H1、H2分別是密碼學上2個強無碰撞的安全單向哈希函數

2.2 用戶密鑰生成過程

假設原始簽名授權組成員為Ai（i＝1，…，m），身份信息為IDai（i＝1，…，m）；代理簽名授權組成員為Bj（j＝1，…，n），身份信息為IDbj（j＝1，…，n）。首先利用哈希函數 H1計算 Qai＝ H1（IDai），Qbj＝H1（IDbj），并將Qai和Qbj公布。每個原始簽名授權組成員Ai（i＝1，…，m）選擇隨機數xai∈作為其私鑰，相應的公鑰為PKai＝xaiP；代理簽名人Bj（j＝1，…，n）選擇隨機數xbj∈為其私鑰，相應的公鑰為PKbj＝xbjP，mwij表示Ai給Bj的授權（i＝1，2，…，m；j＝1，2，…，n），包含Ai和Bj的身份信息、代理授權有效期限、授權范圍、代理權限等。

2.3 證書生成及委托過程

第j個代理簽名者Bj（j＝1，…，n）可以按照以下過程從第i個原始簽名者Ai（i＝1，…，m）獲得證書。

（1）Bj將身份信息（包括IDbj，Qbj和其他必要認證信息）發給Ai。

（2）Ai先驗證Bj身份信息的有效性。若Bj的身份信息驗證通過，Ai選擇隨機數rij∈計算Rij＝然后生成Bj的證書Certij＝ （rijhij＋1）xaiQai，再將發送給代理簽名人Bj。

（3）Bj收到再驗證PKai）是否成立，如果等式成立，則Bj接受簽名，否則拒絕。Bj驗證完原始簽名者Ai所生成的證書Certij后，計算作為自己代理簽名私鑰，因為：

2.4 簽名過程

為了完成對消息M的簽名，每位代理簽名人Bj（j＝1，…，n）接受信息擁有者UI發出的簽名申請，且Bj按照如下步驟進行多重盲簽名。

（1）Bj選擇隨機數每位代理簽名者Bj都將R′j和mwmj；R1j，R2j，…，Rmj；Cert1j，Cert2j，…，Certmj）發給簽名收集者UC。

（2）UC首先驗證下面等式是否成立，若不成立則終止簽名，否則求出并將rB發給消息擁有者UI。

（3）UI隨機選擇P1∈G1，β，λ∈，計算R＝（P1，P）λ，h2＝H2（M，R），h′＝h2β，并將h′發給Bj。

（4）Bj收到h′后，計算V′j＝ （αjh′＋1）Vj，將V′j發給UC。

（5）UC收到簽名V′j后，驗證，若成立則接受簽名，否則拒絕該簽名或者要求代理人Bj重新簽名；若所有代理簽名人的簽名都通過驗證，則計算并將發給UI。

（6）UI接受到后，計算V＝h2λP1，則消息M的多重代理盲簽名為σ（M）＝（M，V，R）并發送給簽名的接受者。

2.5 驗證過程

簽名驗證者收到σ（M）＝ （M，V，R）后，首先計算h2＝ H2（M，R），然后驗證e（V，P）＝Rh2×是否成立，若等式成立，則接受簽名，否則拒絕，其原因是：

3 安全性分析

代理盲簽名應滿足可驗證性、可區分性、可識別性、不可偽造性、不可否認性、盲性及不可追蹤性等安全要求［11－12］。在驗證有效地代理盲簽名σ（M）＝ （M，V，R）的過程中，代理權限mwij、原始簽名組PKai和代理簽名組的公鑰PKbj及所有用戶的身份信息Qai、Qbj均要出現在驗證算法中，由此驗證基于證書的多重代理多重盲簽名方案滿足可驗證性、可區分性、可識別性和不可否認性等安全要求。下面重點分析該方案滿足不可偽造性、盲性以及不可追蹤性的安全要求情況。

3.1 不可偽造性

在該方案中，假如攻擊者想要偽造原始簽名人Ai（i＝1，2，…，m）對代理簽名人Bj（j＝1，…，n）的委托簽名（mwij，Rij，Certij）面臨CDHP難題。同時，mwij確定除了Bj以外其他任何人不能接受委托而成為代理簽名者，并且Bj的代理簽名私鑰是利用委托簽名（mwij，Rij，Certij）和其私鑰所生成的，因而除了Bj外，其他任何人不能以Bj的名義生成合法的代理密鑰。

3.2 不可鏈接性

用戶UI公布簽名σ（M）＝ （M，V，R）后，即使Bj保留每一次簽名時的序對（h′，V′j），均不能從h′＝h2β與V＝＋h2λP1中求出P1，β，λ，所以要把該多重代理簽名與其以前某個簽名聯系起來是不可行的，也不能由已經公開的簽名中求出簽名接收者的身份及被簽署內容，因而該方案具有不可鏈接性。

3.3 盲性

根據簽名算法，若給定的一個有效的代理盲簽名σ（M）＝ （M，V，R）且在簽發過程中用到數據（rB，h′，），則下列等式成立：

因此，只需要證明存在2個盲因子（P′1，λ′）滿足e（V－，P）＝e（h2λ′P′1，P）。由式（4）可知，盲因子（P1，λ）總是存在且滿足式 （4）的定義，因而該方案具有盲性。

4 結 語

多重代理多重盲簽名綜合了多重代理多重簽名和盲簽名的優點，在現實生活中有著廣泛的應用，如電子商務、辦公自動化、電子投票等方面?；陔p線性對提出了基于證書的多代理多盲簽名方案，由安全性分析可知，該方案滿足多重代理多重簽名的不可偽造性、不可否認性、可驗證性等安全特性，同時還滿足盲簽名的不可鏈接性。因此，基于證書的多代理多盲簽名方案具有可行性。

［1］Gentry C.Certificate－based Encryption and the Certificate Revocation Problem ［J］.Lecture Notes in Computer Science，2003，656：272－293.

［2］Lin W D，Jan J K.A security personal learning tools using aproxy blind signature scheme ［A］.Proc of International Conference on Chinese Language Computing ［C］.USA：Chinese Language Computer Society Knowledge Systems Institute，2000：273－277.

［3］伊麗江，白國強，肖國鎮 .代理多重簽名：一類新的代理簽名方案 ［J］.電子學報，2001，29（4）：569－570.

［4］何軍，李麗娟，李喜梅，等 .前向安全的代理多重數字簽名方案 ［J］.計算機工程，2010，36（14）：122－126.

［5］祁傳達，陶建平，金晨輝 .一個安全的多重代理簽名方案 ［J］.計算機應用研究，2006，4：110－111.

［6］楊長海 .基于身份的門限多代理多盲簽名方案 ［J］.計算機工程與應用.2010，46（18）：121－124.

［7］秦艷琳，吳曉平.基于ECC的多重代理多重盲簽名方案 ［J］.計算機工程.2010，36（11）：134－139.

［8］Zheng D，Huang Z，Chen K F.ID－based proxy blind signature ［J］.IEEE Computer Society，2004，92：380－383.

［9］Lang W M，Tan Y M，Yang Z K.A new efficient ID－based proxy blind signature scheme ［J］.IEEE Computer Society，2004，92：407－411.

［10］張學軍，王育民 .高效的基于身份的代理盲簽名 ［J］.計算及應用，2006，26（11）：2586－2588.

［11］農強，吳順祥 .一類新的基于證書的代理盲簽名 ［J］.計算機工程與應用，2008，44（12）：124－165.

［12］王雯娟，黃振杰，郝艷華 .一個高效的基于證書數字簽名方案 ［J］.計算及工程與應用，2011，47（6）：89－92.