淺析前向安全無證書代理盲簽名方案的改進

霍鑫++邢賓++李曉寧

摘 要：本文對最近何和杜學者提出的一個前向安全無證書代理盲簽名方案進行了改進，并對改進方案的安全性和有效性進行了分析。分析結果顯示，改進的方案不僅能克服原方案存在的缺陷，而且在不增加計算負擔的情況下減少了簽名的長度。因此，改進的方案具有更好的性能。

關鍵詞：代理盲簽名；無證書簽名；前向安全

中圖分類號：TP309 文獻標識碼：A

在傳統的公鑰密碼系統中，公鑰要有證書管理機構進行頒布和管理，這樣大大增加了管理的成本。而在基于身份的公鑰密碼系統中，由于用戶的私鑰由PKG（私鑰鍵生成中心）產生并發布給用戶，因此PKG知道用戶的私鑰，這樣降低了用戶的密鑰安全性。為了克服這兩個問題，無證書公鑰密碼體制被提出，它很好的解決了證書管理和密碼托管的問題，引起很多學者和專家的興趣，成為密碼學研究領域的一個熱點。本文在何和杜學者的方案基礎上進行改進，提出一個改進的方案。分析顯示，改進的方案是安全的而且更有效。

1本文提出的改進的方案

基于我們之前的一篇文章分析，何和杜學者的方案之所以不安全主要是因為兩個參數γ和V沒有設置好。因此，如果合理的設置γ和V，那么就能彌補何和杜學者方案存在的缺陷，使其成為一個安全、有效的前向安全的無證書代理盲簽名方案。基于這個思路，我們提出一個簡單的改進方案。

改進的方案與何和杜學者的方案具有同樣的結構，即也是由6個部分組成：系統設置、密鑰提取、代理授權、密鑰更新、簽名產生和密鑰驗證。其中，密鑰提取和密鑰更新兩個部分的設置與何和杜學者的方案完全一樣。我們在系統設置、代理授權、密鑰驗證和簽名產生這四個部分進行了改進。具體改進的部分描述如下：

（1）系統設置：像何和杜學者的方案那樣設置系統參數。選擇一個加法循環群G1和一個乘法循環群G2，這兩個群的階都是大素數q。選擇來自群G1的一個生成元p∈，定義e： G1×G1→G2是一個雙線性配對。隨機選擇s∈，計算Ppub=sP和g=e（P，P）。定義四個密碼學單向哈希函數H1：{0，1}*× G1× G1→G1，H2：{0，1}*×G2→，H3： {0，1}*→ 和H4：{0，1}*×G2×→。 那么s作為系統的主密鑰秘密保存。定義para ={ G1， G2，e，q， P，Ppub， H1， H2， H3， H4}。除此之外，再增加一個系統參數，單向密碼學哈希函數H5： G2→。所以改進方案的系統參數為paras = （para， H5）。

（2）代理授權：O選擇整數k∈，計算r=gk，h=H2（mw，r），VA=hSA+kH5（r）P，發送（mw，r，VA）給P作為代理授權。然后和原方案一樣設置初始代理簽名密鑰（R0，S0）。

（3）簽名產生：O和P之間像原方案那樣執行簽名操作，最后將（U，K，Zi，Ri，mw，r，zi+1）作為m上的代理盲簽名發布。

（4）密鑰驗證：對于消息m上的代理盲簽名（U，K，Zi，Ri，mw，r，zi+1），R計算QA=H1（IDA，PA），QB=H1（IDB，PB），h= H2（mw，r）和V= H4（m，K，PA，PB），然后驗證下面三個等式是否成立：

e（U，P）=KrH5（r）Ve（hQA，YA）Ve（YB，Ri）Ve（XB，QB）V，Zi=gH3（zi+1），z0=H3i+1（zi+1）。

2 改進方案的安全性和效率分析

（1）效率分析

為了突出我們的改進方案的有效性，我們將提出的方案與何和杜學者的方案從計算花費和簽名參數個數兩個方面進行比較。為了方便比較，我們考慮花費比較高的計算操作，包括G2上的指數操作，G1的對操作和G1或G2上的乘法操作。從表1可以看出，我們改進的方案和原方案相相比，在計算代價上，我們的改進方案只在代理授權階段和驗證階段各增加了一個的乘法，即kH5（r）和H5（r）V，相比對操作等其它G1的操作，這是計算代價可以忽略不計。但是相比原有的方案，我們改進方案的代理盲簽名參數個數減少了一個，我們將V作為驗證中通過計算才能獲得的參數，這樣減少了一個參數，所以簽名長度更短。

E表示G2上的一次指數操作，Pair表示G1上的一次對計算操作，M表示G1或G2上的一次乘法操作。

（2）安全性分析

在驗證方程中，我們將原來的rv改成了rH5（r）v，這樣如果惡意原始簽名者想通過重新設置r來消除e（YB，Ri）和e（XB，QB）是不可能的。因為，r被指數H5（r）限制，其中H5是一個單向的密碼學哈希函數。這樣就避免了惡意原始簽名者的偽造攻擊。此外，我們將V從代理盲簽名中去掉，這樣限制驗證者只能通過計算V=H4（m，K，PA，PB）來獲得V進行簽名的驗證。這樣惡意的普通用戶不可能隨意對V進行取值，間接的限制了對K的篡改。這樣，改進的方案抵制了惡意的原始簽名者和惡意的普通用戶的修改。改進方案的盲性、其它安全屬性證明同原方案。

結語

本文提出了一個改進的前向安全無證書代理盲簽名方案。同時也對改進方案的安全性和效率進行了分析，分析結果表明改進的方案具有更好的安全性和有效性。

參考文獻

[1] 李鳳銀，劉培玉，朱振方.高效的無證書簽名方案[J].計算機工程與應用，2011， 47（10）：23-26.

[2] 何濱，杜偉章.前向安全無證書代理盲簽名方案的分析與改進[J].計算機工程與應用，2013，49（22）：104-109.endprint

摘 要：本文對最近何和杜學者提出的一個前向安全無證書代理盲簽名方案進行了改進，并對改進方案的安全性和有效性進行了分析。分析結果顯示，改進的方案不僅能克服原方案存在的缺陷，而且在不增加計算負擔的情況下減少了簽名的長度。因此，改進的方案具有更好的性能。

關鍵詞：代理盲簽名；無證書簽名；前向安全

中圖分類號：TP309 文獻標識碼：A

在傳統的公鑰密碼系統中，公鑰要有證書管理機構進行頒布和管理，這樣大大增加了管理的成本。而在基于身份的公鑰密碼系統中，由于用戶的私鑰由PKG（私鑰鍵生成中心）產生并發布給用戶，因此PKG知道用戶的私鑰，這樣降低了用戶的密鑰安全性。為了克服這兩個問題，無證書公鑰密碼體制被提出，它很好的解決了證書管理和密碼托管的問題，引起很多學者和專家的興趣，成為密碼學研究領域的一個熱點。本文在何和杜學者的方案基礎上進行改進，提出一個改進的方案。分析顯示，改進的方案是安全的而且更有效。

1本文提出的改進的方案

基于我們之前的一篇文章分析，何和杜學者的方案之所以不安全主要是因為兩個參數γ和V沒有設置好。因此，如果合理的設置γ和V，那么就能彌補何和杜學者方案存在的缺陷，使其成為一個安全、有效的前向安全的無證書代理盲簽名方案。基于這個思路，我們提出一個簡單的改進方案。

改進的方案與何和杜學者的方案具有同樣的結構，即也是由6個部分組成：系統設置、密鑰提取、代理授權、密鑰更新、簽名產生和密鑰驗證。其中，密鑰提取和密鑰更新兩個部分的設置與何和杜學者的方案完全一樣。我們在系統設置、代理授權、密鑰驗證和簽名產生這四個部分進行了改進。具體改進的部分描述如下：

（1）系統設置：像何和杜學者的方案那樣設置系統參數。選擇一個加法循環群G1和一個乘法循環群G2，這兩個群的階都是大素數q。選擇來自群G1的一個生成元p∈，定義e： G1×G1→G2是一個雙線性配對。隨機選擇s∈，計算Ppub=sP和g=e（P，P）。定義四個密碼學單向哈希函數H1：{0，1}*× G1× G1→G1，H2：{0，1}*×G2→，H3： {0，1}*→ 和H4：{0，1}*×G2×→。 那么s作為系統的主密鑰秘密保存。定義para ={ G1， G2，e，q， P，Ppub， H1， H2， H3， H4}。除此之外，再增加一個系統參數，單向密碼學哈希函數H5： G2→。所以改進方案的系統參數為paras = （para， H5）。

（2）代理授權：O選擇整數k∈，計算r=gk，h=H2（mw，r），VA=hSA+kH5（r）P，發送（mw，r，VA）給P作為代理授權。然后和原方案一樣設置初始代理簽名密鑰（R0，S0）。

（3）簽名產生：O和P之間像原方案那樣執行簽名操作，最后將（U，K，Zi，Ri，mw，r，zi+1）作為m上的代理盲簽名發布。

（4）密鑰驗證：對于消息m上的代理盲簽名（U，K，Zi，Ri，mw，r，zi+1），R計算QA=H1（IDA，PA），QB=H1（IDB，PB），h= H2（mw，r）和V= H4（m，K，PA，PB），然后驗證下面三個等式是否成立：

e（U，P）=KrH5（r）Ve（hQA，YA）Ve（YB，Ri）Ve（XB，QB）V，Zi=gH3（zi+1），z0=H3i+1（zi+1）。

2 改進方案的安全性和效率分析

（1）效率分析

為了突出我們的改進方案的有效性，我們將提出的方案與何和杜學者的方案從計算花費和簽名參數個數兩個方面進行比較。為了方便比較，我們考慮花費比較高的計算操作，包括G2上的指數操作，G1的對操作和G1或G2上的乘法操作。從表1可以看出，我們改進的方案和原方案相相比，在計算代價上，我們的改進方案只在代理授權階段和驗證階段各增加了一個的乘法，即kH5（r）和H5（r）V，相比對操作等其它G1的操作，這是計算代價可以忽略不計。但是相比原有的方案，我們改進方案的代理盲簽名參數個數減少了一個，我們將V作為驗證中通過計算才能獲得的參數，這樣減少了一個參數，所以簽名長度更短。

E表示G2上的一次指數操作，Pair表示G1上的一次對計算操作，M表示G1或G2上的一次乘法操作。

（2）安全性分析

在驗證方程中，我們將原來的rv改成了rH5（r）v，這樣如果惡意原始簽名者想通過重新設置r來消除e（YB，Ri）和e（XB，QB）是不可能的。因為，r被指數H5（r）限制，其中H5是一個單向的密碼學哈希函數。這樣就避免了惡意原始簽名者的偽造攻擊。此外，我們將V從代理盲簽名中去掉，這樣限制驗證者只能通過計算V=H4（m，K，PA，PB）來獲得V進行簽名的驗證。這樣惡意的普通用戶不可能隨意對V進行取值，間接的限制了對K的篡改。這樣，改進的方案抵制了惡意的原始簽名者和惡意的普通用戶的修改。改進方案的盲性、其它安全屬性證明同原方案。

結語

本文提出了一個改進的前向安全無證書代理盲簽名方案。同時也對改進方案的安全性和效率進行了分析，分析結果表明改進的方案具有更好的安全性和有效性。

參考文獻

[1] 李鳳銀，劉培玉，朱振方.高效的無證書簽名方案[J].計算機工程與應用，2011， 47（10）：23-26.

[2] 何濱，杜偉章.前向安全無證書代理盲簽名方案的分析與改進[J].計算機工程與應用，2013，49（22）：104-109.endprint

摘 要：本文對最近何和杜學者提出的一個前向安全無證書代理盲簽名方案進行了改進，并對改進方案的安全性和有效性進行了分析。分析結果顯示，改進的方案不僅能克服原方案存在的缺陷，而且在不增加計算負擔的情況下減少了簽名的長度。因此，改進的方案具有更好的性能。

關鍵詞：代理盲簽名；無證書簽名；前向安全

中圖分類號：TP309 文獻標識碼：A

在傳統的公鑰密碼系統中，公鑰要有證書管理機構進行頒布和管理，這樣大大增加了管理的成本。而在基于身份的公鑰密碼系統中，由于用戶的私鑰由PKG（私鑰鍵生成中心）產生并發布給用戶，因此PKG知道用戶的私鑰，這樣降低了用戶的密鑰安全性。為了克服這兩個問題，無證書公鑰密碼體制被提出，它很好的解決了證書管理和密碼托管的問題，引起很多學者和專家的興趣，成為密碼學研究領域的一個熱點。本文在何和杜學者的方案基礎上進行改進，提出一個改進的方案。分析顯示，改進的方案是安全的而且更有效。

1本文提出的改進的方案

基于我們之前的一篇文章分析，何和杜學者的方案之所以不安全主要是因為兩個參數γ和V沒有設置好。因此，如果合理的設置γ和V，那么就能彌補何和杜學者方案存在的缺陷，使其成為一個安全、有效的前向安全的無證書代理盲簽名方案。基于這個思路，我們提出一個簡單的改進方案。

改進的方案與何和杜學者的方案具有同樣的結構，即也是由6個部分組成：系統設置、密鑰提取、代理授權、密鑰更新、簽名產生和密鑰驗證。其中，密鑰提取和密鑰更新兩個部分的設置與何和杜學者的方案完全一樣。我們在系統設置、代理授權、密鑰驗證和簽名產生這四個部分進行了改進。具體改進的部分描述如下：

（1）系統設置：像何和杜學者的方案那樣設置系統參數。選擇一個加法循環群G1和一個乘法循環群G2，這兩個群的階都是大素數q。選擇來自群G1的一個生成元p∈，定義e： G1×G1→G2是一個雙線性配對。隨機選擇s∈，計算Ppub=sP和g=e（P，P）。定義四個密碼學單向哈希函數H1：{0，1}*× G1× G1→G1，H2：{0，1}*×G2→，H3： {0，1}*→ 和H4：{0，1}*×G2×→。 那么s作為系統的主密鑰秘密保存。定義para ={ G1， G2，e，q， P，Ppub， H1， H2， H3， H4}。除此之外，再增加一個系統參數，單向密碼學哈希函數H5： G2→。所以改進方案的系統參數為paras = （para， H5）。

（2）代理授權：O選擇整數k∈，計算r=gk，h=H2（mw，r），VA=hSA+kH5（r）P，發送（mw，r，VA）給P作為代理授權。然后和原方案一樣設置初始代理簽名密鑰（R0，S0）。

（3）簽名產生：O和P之間像原方案那樣執行簽名操作，最后將（U，K，Zi，Ri，mw，r，zi+1）作為m上的代理盲簽名發布。

（4）密鑰驗證：對于消息m上的代理盲簽名（U，K，Zi，Ri，mw，r，zi+1），R計算QA=H1（IDA，PA），QB=H1（IDB，PB），h= H2（mw，r）和V= H4（m，K，PA，PB），然后驗證下面三個等式是否成立：

e（U，P）=KrH5（r）Ve（hQA，YA）Ve（YB，Ri）Ve（XB，QB）V，Zi=gH3（zi+1），z0=H3i+1（zi+1）。

2 改進方案的安全性和效率分析

（1）效率分析

為了突出我們的改進方案的有效性，我們將提出的方案與何和杜學者的方案從計算花費和簽名參數個數兩個方面進行比較。為了方便比較，我們考慮花費比較高的計算操作，包括G2上的指數操作，G1的對操作和G1或G2上的乘法操作。從表1可以看出，我們改進的方案和原方案相相比，在計算代價上，我們的改進方案只在代理授權階段和驗證階段各增加了一個的乘法，即kH5（r）和H5（r）V，相比對操作等其它G1的操作，這是計算代價可以忽略不計。但是相比原有的方案，我們改進方案的代理盲簽名參數個數減少了一個，我們將V作為驗證中通過計算才能獲得的參數，這樣減少了一個參數，所以簽名長度更短。

E表示G2上的一次指數操作，Pair表示G1上的一次對計算操作，M表示G1或G2上的一次乘法操作。

（2）安全性分析

在驗證方程中，我們將原來的rv改成了rH5（r）v，這樣如果惡意原始簽名者想通過重新設置r來消除e（YB，Ri）和e（XB，QB）是不可能的。因為，r被指數H5（r）限制，其中H5是一個單向的密碼學哈希函數。這樣就避免了惡意原始簽名者的偽造攻擊。此外，我們將V從代理盲簽名中去掉，這樣限制驗證者只能通過計算V=H4（m，K，PA，PB）來獲得V進行簽名的驗證。這樣惡意的普通用戶不可能隨意對V進行取值，間接的限制了對K的篡改。這樣，改進的方案抵制了惡意的原始簽名者和惡意的普通用戶的修改。改進方案的盲性、其它安全屬性證明同原方案。

結語

本文提出了一個改進的前向安全無證書代理盲簽名方案。同時也對改進方案的安全性和效率進行了分析，分析結果表明改進的方案具有更好的安全性和有效性。

參考文獻

[1] 李鳳銀，劉培玉，朱振方.高效的無證書簽名方案[J].計算機工程與應用，2011， 47（10）：23-26.

[2] 何濱，杜偉章.前向安全無證書代理盲簽名方案的分析與改進[J].計算機工程與應用，2013，49（22）：104-109.endprint