一個可證安全的高效的代理盲簽名方案*

周 明,王 箭

(南京航空航天大學計算機科學與技術學院,江蘇 南京 210016)

一個可證安全的高效的代理盲簽名方案*

周 明,王 箭

(南京航空航天大學計算機科學與技術學院,江蘇 南京 210016)

代理盲簽名結合了代理簽名和盲簽名的優點，在電子商務等領域有著廣闊的應用前景。目前大多數代理盲簽名的安全性是啟發式分析，沒有形式化證明，并且大多沒有考慮多一偽造攻擊。提出了一個新型的代理盲簽名安全模型，并在該模型下提出了一個基于雙線性對的代理盲簽名方案，并在隨機預言機模型下，證明了其在選擇消息/授權文件攻擊下是不可偽造的，其安全性可分別規約為CDH問題和Chosen-Target CDH問題。分析表明,該方案滿足代理盲簽名的主要安全要求，而且和已有的方案相比，本方案更加高效。

代理盲簽名；雙線性對；隨機預言機；多一偽造

1 引言

1983年，Chaum D[1]首次提出了盲簽名的概念，盲簽名方案要求簽名者在不知道待簽名消息的具體內容情況下對消息進行簽名，并且簽名者無法將公布的消息與自己所簽的消息聯系起來。由于具有這些特性，盲簽名在現實生活中有著廣泛的應用，如電子現金、電子投票等。代理簽名的概念是Mambo M等人[2]于1996年首先提出的，在一個代理簽名方案中，一個被指定的代理簽名者可以代表原始簽名者生成有效的簽名。

結合代理簽名和盲簽名特點，在2000年，Lin W D和Jan J A[3]首次提出了代理盲簽名方案。代理盲簽名在實際應用[4]中起著重要作用，所以代理盲簽名一提出便受到廣泛關注。迄今為止，人們已提出了多種代理盲簽名方案，如基于離散對數的代理盲簽名方案[5]、基于身份的代理盲簽名方案[6,7]、無證書代理盲簽名方案[8]等。目前，很多代理盲簽名方案都是啟發式解釋其安全性，沒有嚴格的形式化證明。如Tan方案[4]解釋其安全性，但文獻[9]認為Tan方案[4]存在各種安全問題。設計一個安全高效的代理盲簽名方案并證明其安全性具有重要的意義，也是有一定挑戰性的問題。

本文在分析Huang方案[10]的代理簽名安全模型的基礎上，結合Pointcheval D等人[11]關于盲簽名抵抗 one -more forgery的思想，提出了一個新的代理盲簽名安全模型，相比其他模型，更符合代理盲簽名的安全需求。同時，設計了一個可證安全的高效的代理盲簽名方案，消除了簽名過程中的雙線性對計算，以提高簽名效率。

本文第2節介紹相關的背景知識和定義；第3節提出了新的代理盲簽名安全模型；第4節提出一個高效的代理盲簽名方案；第5節給出方案安全性的形式化分析；第6節將本方案與和文獻[12,13]的方案進行比較; 第7節總結全文。

2 預備知識

2.1 雙線性映射(Bilinear Pairing)

令G1、G2是兩個q階循環群,其中q為素數。Q是G1的生成元。雙線性映射e:G1×G1→G2而且滿足如下條件：

(2)非退化性：e(Q,Q)≠1；

(3)可計算性：對于Q1,Q2∈G1存在有效算法來計算e(Q1,Q2)。

2.2 困難問題假設

定義4Chosen-Target CDH假設：不存在概率多項式時間算法A，以不可忽略的概率解決Chosen-Target CDH問題。

定義5多一偽造(One-more Forgery)[11]：對于多項式有界整數l，(l,l+1) forgery是指一個概率多項式時間敵手A在和簽名者進行l次交互后，以不可忽略的概率生成l+1個簽名。

3 代理盲簽名方案的定義及安全模型

3.1 代理盲簽名方案的定義

在代理盲簽名中有三個參與者，即原始簽名人O、代理簽名人P和簽名請求者U。代理盲簽名PBS(Proxy Blind Signature)由如下算法組成：

(1)系統參數設置算法(Setup):輸入安全參數1k，生成系統參數para。

(2)密鑰生成算法(KeyGen):輸入安全參數1k、系統參數para，生成原始簽名人O和代理簽名人P的公私鑰對(xi,PKi)，i∈{O,P}。

(3)代理授權算法(DelegationGen)：輸入原始簽名人的私鑰xo以及代理授權文件ω。授權文件ω中明確地描述了授權關系、原始簽名人和代理簽名人的身份信息或公鑰信息、允許簽署的消息范圍及期限等。原始簽名人對授權文件ω簽名，輸出代理授權證書σω。

(4)代理授權驗證算法(DelegationVerify)：輸入原始簽名人O的公鑰PKo、代理授權證書σω，代理簽名者驗證σω是否有效。若有效則接受該代理授權；反之，則拒絕或要求O重新授權。

(5)代理簽名密鑰生成算法(ProxyKeyGen)：輸入代理授權證書σω、代理簽名人私鑰xp，輸出代理簽名密鑰skp。

(6)代理盲簽名算法(ProxyBlindSign)：簽名請求者U對消息m執行盲化處理，輸出盲化后的消息m′，P收到m′后用代理簽名密鑰skp和代理授權文件ω進行簽名，輸出相應的代理盲簽名V，U對V進行脫盲處理，輸出消息m的代理盲簽名V′。

(7)代理盲簽名驗證算法(ProxyBlindSignVerify):輸入原始簽名人、代理簽名人的公鑰PKo、PKp和公開代理授權文件ω，消息m以及待驗證的代理盲簽名V′，若該簽名V′有效，則算法輸出TRUE，否則輸出⊥。

一個安全的代理盲簽名必須具有以下特性：正確性、盲特性[ 15]和不可偽造性。

定義6(正確性(Correctness)) 簽名人執行簽名算法后，用戶輸出了簽名V′，如果對于任意常數c和充分大的數n滿足Pr[Verify(m,ω,V′)=TRUE]>1-n-c，則稱代理盲簽名是正確的。

定義7(盲特性[15](Blindness)) 假設S是一個敵意簽名者，S和兩個誠實用戶U0、U1參與下面游戲：

(1)輸入安全系數1k，運行系統設置算法和密鑰生產算法獲得簽名人的公私鑰對(pk,sk)。

(2)S選擇兩個不同的消息(m0,m1)。

(3)隨機選擇b∈R{0,1}(S不知道b)，發送mb給用戶U0，m1-b給用戶U1。

(4)S分別和U0、U1執行盲簽名交互協議。

(5)如果U0、U1各自得到簽名σ(mb)、σ(m1-b)，將簽名發給S，否則將⊥交給S。

(6)S輸出b′∈{0,1}。

如果b′=b，S知道了消息和對應簽名，這時稱S贏得了游戲。如果對于任意概率多項式時間算法S，其贏得上面游戲的概率至多為1/2+k-c，其中k為充分大的數，c為常數。那么，稱這個簽名具有盲特性。

3.2 代理盲簽名方案的安全模型

2003年，Boldyreva A等人[16]給出代理簽名方案的形式化安全模型，并給出了一新的方案，但該模型存在代理簽名密鑰泄露攻擊。2006年，Huang X等人[10]把敵手分為三種類型，進一步改進Boldyreva A的安全模型。2011年Tan Z[4]基于Huang X等人的安全模型提出了一個改進，說明所提方案的不可偽造性。然而，Tan Z的模型只考慮代理簽名人不可偽造性和抵抗多一偽造[11]，沒有考慮惡意原始簽名攻擊，Yu Y[9]指出惡意原始簽名人可以產生任意授權證書以及任意代理人的代理簽名密鑰。

結合Huang X的代理簽名的安全模型和盲簽名特性，本文提出了一個新的代理盲簽名的安全模型。

為了更好地描述代理盲簽名的不可偽造性，本文將擁有不同信息的敵手分為三類：

類型I：敵手Α1擁有原始簽名人與代理簽名人的公鑰和原始簽名人的私鑰。

類型II:敵手Α2擁有原始簽名人與代理簽名人的公鑰和代理簽名人的私鑰。

類型III:敵手Α3擁有原始簽名人與代理簽名人的公鑰，能和簽名人并發或交叉執行盲簽名協議。

三類敵手模擬三類攻擊，其目標是偽裝原始簽名人或者代理簽名人或者用戶以產生有效的簽名：敵手Α1模擬惡意原始簽名者，敵手Α2模擬惡意代理簽名者，敵手Α3模擬惡意用戶。一個安全的代理盲簽名方案應該滿足：Α1不能模擬代理簽名人進行代理盲簽名；Α2沒有原始簽名者的授權，不能進行代理盲簽名；Α3在獲得n個有效的代理盲簽名后，不能根據這n個簽名生成一個新的有效簽名。

(1)敵手Α1的不可偽造性(Unforgeability Against Α1):

如果代理簽名人沒有生成過消息m在授權文件ω下的代理盲簽名V′，敵手Α1生成一個有效的代理盲簽名(m,ω,V′)的成功概率可以忽略不計，那么這個代理盲簽名能夠抵抗Α1偽造攻擊。

下面來描述敵手Α1和挑戰者C之間的交互。

設置：C運行Setup算法得到系統參數para，運行KeyGen算法生成原始簽名人和代理簽名人的公私鑰對(xo,PKo)、(xp,PKp)，然后將(xo,PKo)、PKp發送給敵手Α1。

代理盲簽名詢問：Α1向挑戰者C詢問(m,ω)的代理盲簽名，C運行代理盲簽名算法獲得關于消息m在授權文件ω下的代理盲簽名V并返回給Α1。

輸出：敵手Α1輸出消息簽名組(m*,ω*,V′*)，如果(m*,ω*,V′*)滿足下列條件：

①敵手Α1沒有詢問過(m*,ω*)的代理盲簽名；

②(m*,ω*,V′*)是一個有效的代理盲簽名。

則稱敵手Α1贏得了游戲，定義Α1贏得游戲的概率為Adv(A1) 。

定義8敵手Α1適應性選擇消息/授權文件攻擊代理盲簽名方案，如果在時間t內，經過至多qHi次H1-哈希詢問i∈{1,2}和qPBS次代理盲簽名詢問最后贏得游戲的概率Adv(A1)至少為ε，那么稱敵手Α1能夠(t,qH1,qH2,qPBS,ε)-攻破代理盲簽名方案。如果不存在敵手Α1能夠(t,qH1,qH2,qPBS,ε)-攻破，那么稱方案是(t,qH1,qH2,qPBS,ε)-安全的。

(2)敵手Α2的不可偽造性(Unforgeability Against Α2):

如果原始簽名人沒有將授權文件ω授權給敵手Α2，敵手Α2生成一個有效的授權文件ω的證書σω的概率可以忽略不計，那么這個代理盲簽名能夠Α2抵抗偽造攻擊。

下面來描述敵手Α2和挑戰者C之間的交互。

設置：C運行Setup算法得到系統參數para，運行KeyGen算法生成原始簽名人和代理簽名人的公私鑰對(xo,PKo)、(xp,PKp)，然后將PKo、(xp,PKp)發送給敵手Α2。

代理授權詢問：Α2向挑戰者C詢問授權文件ω的授權，C運行代理授權算法得到授權文件ω的授權證書σω并返回給Α2。

①敵手Α2沒有詢問過ω*的授權證書；

則稱敵手Α2贏得了游戲，定義Α2贏得游戲的概率為Adv(Α2)。

定義9敵手Α2適應性選擇消息/授權文件攻擊代理盲簽名方案，如果在時間t內，經過至多qH1次隨機預言機詢問和qDG次授權詢問最后贏得游戲的概率Adv(Α2)至少為ε，那么稱敵手Α2能夠(t,qH1,qDG,ε)-攻破代理盲簽名方案。如果不存在敵手Α2能夠(t,qH1,qDG,ε)-攻破，那么稱方案是(t,qH1,qDG,ε)-安全的。

(3)敵手Α3的多一不可偽造性(One-more Unforgeability Against Α3):

下面描述敵手Α3和挑戰者C之間的交互。

設置：C運行Setup算法得到系統參數para，運行KeyGen算法生成原始簽名人和代理簽名人的公私鑰對(xo,PKo)、(xp,PKp)，然后將系統參數para、原始簽名人和代理簽名人公鑰(PKo,PKp)發送給敵手Α3。

代理授權詢問：Α3向挑戰者C詢問授權文件ω的授權，C先運行代理授權算法得到授權文件ω的授權證書σω并返回給Α3。

代理盲簽名詢問：Α3向挑戰者C詢問(m,ω)的代理盲簽名，挑戰者C都將配合Α3運行一次盲簽名協議，這里允許Α3并發或交叉地要求執行多個盲簽名。令qPBS為代理盲簽名詢問的次數。

①((mi,ωi)≠(mj,ωj)),i≠j,任意i,j∈1,…,l；

②l嚴格大于qPBS。

則稱敵手Α3贏得了游戲，定義Α3贏得游戲的概率為Adv(A3)。

定義10敵手Α3并發適應性選擇消息代理盲簽名方案，如果在時間t內，經過至多qDG次授權詢問和qPBS次代理盲簽名詢問最后贏得游戲的概率Adv(A3)至少為ε，那么稱敵手Α3能夠(t,qDG,qPBS,ε)-攻破代理盲簽名方案。如果不存在敵手Α3能夠(t,qDG,qPBS,ε)-攻破，那么稱方案抵抗適應性選擇消息下的多一偽造攻擊(t,qDG,qPBS,ε)-安全的。

定義11(不可偽造性(Unforgeability)) 如果不存在Α1、Α2、Α3在適應性選擇消息/授權文件攻破代理盲簽名方案，那么稱代理盲簽名是不可偽造的。

4 一個安全的代理盲簽名方案

在這一節中，將利用雙線性對構造一個新的可證明安全的代理盲簽名方案，而且該方案中簽名過程去掉了雙線性對計算，以提高簽名效率。代理盲簽名中一般包含三方： 原始簽名人、代理簽名人和簽名請求者U。代理盲簽名方案由以下算法組成：

(1)系統參數設置(Setup)：令G1、G2是q階循環群，其中q為素數，Q是G1的生成元,雙線性映射e:G1×G1→G2，定義兩個哈希函數H1、H2:{0,1}*→G1。系統參數 para={G1,G2,q,e,Q,H1,H2}。

(2)密鑰生成算法(KeyGen):該算法生產原始簽名人O的公私鑰對(xo,PKo=xoQ)和代理簽名人P的公私鑰對(xp,PKp=xpQ)。

(3)代理授權算法(DelegationGen)：原始簽名人產生授權文件ω∈{0,1}*，該文件描述了授權關系、原始簽名人和代理簽名人的身份信息、允許簽署的消息范圍及期限等。原始簽名人O對代理簽名人P進行代理授權，O計算σω=xoH1(ω)，然后O把授權證書σω發送給代理簽名人，公開授權文件ω。

(4)代理授權驗證算法(DelegationVerify):代理簽名人驗證e(σω,Q)=e(H1(ω),PKo)是否成立，若成立，代理簽名人接受授權證書σω；否則代理簽名人要求原始簽名人重新發送授權證書，或者終止協議。

(5)代理簽名密鑰生成算法(ProxyKeyGen)：代理簽名人收到有效的授權證書σω，然后生成代理簽名密鑰skp=(σω,xp)。

(6)代理盲簽名算法(ProxyBlindSign):該算法是代理簽名人P和簽名請求者U執行盲簽名交互協議的過程。

①消息發布：簽名請求者U給代理簽名人P發出對消息m∈{0,1}*簽名的請求。

R′=βR=αβH1(ω)

R1=r1H2(m‖ω)+r2Q

R2=r1β

發送R1、R2給代理簽名人P。

④Signing：P計算V=xpR1+αR2σω，并發送V給U。

(7)代理盲簽名驗證算法(ProxyBlindVerify)：驗證者收到簽名δ=(m,ω,R′,V′)后，檢驗等式：

e(V′,Q)=e(H2(m‖ω),PKp)e(R′,PKo)

5 安全性分析

在這一節中，將分析這個代理盲簽名方案安全性的三個方面：正確性、盲特性和不可偽造性。

5.1 正確性

定理1該代理盲簽名方案滿足正確性。

證明

r1αβσω-r2PKp),Q)=

e(xpH2(m‖ω)+αβσω,Q)=

e(xpH2(m‖ω),Q)e(αβxoH1(ω),Q)=

e(H2(m‖ω),PKp)e(R′,PKo)

□

5.2 盲特性

定理2該代理盲簽名方案具有盲特性，簽名者無法得到關于被簽名消息的任何消息。

R′=βR=αiβH1(ω)

(1)

R1i=r1H2(m‖ω)+r2Q

(2)

R2i=r1β

(3)

(4)

從等式(1)中可以推導出β是唯一存在的。又r1=β-1R2i，所以r1也是唯一存在的。同理也存在唯一的盲因子r2滿足r2Q=R1i-r1H2(m‖ω‖U′)，最后證明(r1,r2,β)也滿足等式(4)。推導如下：

因為(m,ω,R′,V′)是有效的簽名，所以e(V′,Q)=e(H2(m‖ω),PKp)e(R′,PKo)。即：

e(V′,Q)=e(H2(m‖ω),PKp)e(R′,PKo)=

e(H2(m‖ω)xp,Q)e(αiβxoH1(ω),Q)=

因此，盲因子(r1,r2,β)總是存在，即使有無限能力的S能成功決定b的概率仍為1/2。因此,本文提出的代理盲簽名方案具有盲特性。

□

5.3 不可偽造性

定理3在隨機預言機模型下，Α1適應性選擇消息/授權文件攻擊該代理盲簽名方案，如果能夠(t,qH1,qH2,qPBS,ε)-攻破，那么存在一個(t′,ε′)算法C解決CDH問題。(t′,ε′)滿足：

t′≤t+(qH1+qH2+3qPBS+2)tsm+(qPBS+1)tadd

其中，e為自然常數，tsm為計算G1群上的標量乘的時間，tadd為計算G1群上的加法時間。

證明假定存在敵手Α1能夠(t,qH1,qH2,qPBS,ε)-攻破代理盲簽名方案，那么算法C能利用Α1解決CDH問題。算法C的挑戰是：在C已知X*=x Q,Y*=y Q的條件下，計算xyQ。算法C模擬挑戰者與Α1進行交互，具體的交互過程如下：

(2)H1-預言詢問：C維護LH1列表(ω,h,H)，當Α1對ω進行H1(ω)詢問時，C應答如下：

①如果ω在列表LH1存在，返回Α1的詢問H1(ω)=H。否則執行②；

(3)H2-預言詢問：C維護LH2列表(ω,m,B,b,c)，當Α1對(m,ω)進行H2(m‖ω)詢問時C應答如下：

①如果(ω,m,B,b,c)在列表LH2存在，返回Α1的詢問H2(m‖ω)=B。否則執行②；

B=H2(m‖ω)=cbQ+(1-c)bX*=

最后C增加一個元組(ω,m,B,b,c)到列表LH2，并回答Α1的詢問H2(m‖ω)=B。

(4)代理盲簽名詢問：C維護LPBS列表(m,ω,r,R′,V′)，當Α1對(m,ω)進行代理盲簽名詢問，C應答如下：如果(m,ω)在列表LPBS存在，返回Α1代理盲簽名詢問(m,ω,R′,V′)。否則執行下面的步驟：

①C查詢LH2得到包含(m,ω)的元組(ω,m,B,b,c)。

②如果c=0，C中止。

(5)輸出：最后Α1中止，輸出一個有效消息簽名對(m*,ω*,R′*V′*)，而(m*,ω*)沒有經過代理盲簽名詢問。算法C在LH2找到元組(ω*,m*,B,b,c)，然后執行下面的步驟：

①如果c=1，C中止。

②如果c=0，H2(m*‖ω*)=bX*，C輸出b-1(V′*-xoR′*)作為xyQ的一個實例，解決了CDH問題。因為(m*,ω*,R′*V′*)是一個有效的代理盲簽名。所以:

e(V′*,Q)=e(H2(m*‖ω*),PKp)e(R′*,PKo)?

e(V′*,Q)=e(bX*,Y*)e(R′*,xoQ)?

e(V′*,Q)=e(bxQ,yQ)e(xoR′*,Q)?

e(V′*-xoR′*,Q)=e(bxQ,yQ)?

e(b-1(V′*-xoR′*),Q)=e(xyQ,Q)

推導出:e(b-1(V′*-xoR′*),Q)=e(xyQ,Q)，由雙線性對的非退化性有：e(b-1(V′*-xoR′*),Q)=e(xyQ,Q)?b-1(V′*-xoR′*)=xyQ。因此，C可以輸出b-1(V′*-xoR′*)作為xyQ的一個實例，解決了CDH問題。

□

現在我們分析算法C成功解決CDH問題的概率和時間。這里考慮三個事件E1、E2、E3：

E1：對于Α1代理盲簽名詢問，C沒有中止。

E2：Α1輸出了一個有效的簽名(m*,ω*,R′*,V′*)。

E3：事件E2發生，而且LH2中包含ω*的元組中的c=0。只有當上述所有事件都發生，C才能成功。即：

P(Csuccess)=P(E1∧E2∧E3)=

P(E1)P(E2|E1)P(E3|E1∧E2)

引理1當Α1代理盲簽名詢問時，C沒有中止的概率至少為(1-1/(qPBS+1))qPBS，即P(E1)≥(1-1/(qPBS+1))qPBS。

證明因為Α1每一次代理授權詢問，C沒有中止的條件是c=1，而Pr[c=1]=1-1/(qPBS+1)，又Α1至多qPBS次代理盲簽名詢問，所以P(E1)≥(1-1/(qPBS+1))qPBS。

□

引理2如果經過Α1代理盲簽名詢問后算法C沒有中止，P(E2|E1)≥ε。

引理3Α1輸出一個有效的簽名，C沒有中止的概率至少為1/(qPBS+1)，所以P(E3|E1∧E2)≥1/(qPBS+1)。

根據引理1,2,3有，C成功解決CDH問題的概率為：

ε′=P(Csuccess)=

P(E1)P(E2|E1)P(E3|E1∧E2)≥

在Setup階段，C需要1次G1群上的標量乘法運算；在H1-預言詢問階段，需要1次G1群上的標量乘法運算；在H2-預言詢問階段，需要1次G1群上的標量乘法運算；在代理盲簽名詢問階段，需要3次G1群上的標量乘法運算和1次G1群上的加法運算；在輸出階段，需要2次G1群上的標量乘法運算和1次G1群上的加法運算。所以，C運行的時間為t+(qH1+qH2+3qPBS+2)tsm+(qPBS+1)tadd。運行算法C時間t′的界限為：

t′≤t+(qH1+qH2+3qPBS+2)tsm+(qPBS+1)tadd

定理4在隨機預機模型下，Α2適應性選擇消息/授權文件攻擊該代理盲簽名方案，如果能夠(t,qH1,qDG,ε)-攻破，那么存在一個(t′,ε′)算法C解決CDH問題。(t′,ε′)滿足：

t′≤t+(qH1+qDG+2)tsm

其中，e為自然常數，tsm為計算G1上的標量乘的時間。

證明與定理3證明類似，假定存在敵手Α2能夠(t,qH1,qDG,ε)-攻破代理盲簽名方案，那么算法C能利用Α2解決CDH問題。算法C的挑戰是：在C已知X*=xQ,Y*=yQ的條件下，計算xyQ。算法C模擬挑戰者與Α2進行交互，具體的交互過程如下：

(2)H1-預言詢問：C維護LH1列表(ω,B,b,c)，當Α2對ω進行H1(ω)詢問時，C應答如下：

①如果ω在列表LH1存在，返回Α1的詢問H1(ω)=B。否則執行②；

B=H1(ω)=cbQ+(1-c)bX*=

最后C增加一個元組(ω,B,b,c)到列表LH1并回答Α1的詢問H1(ω)=B。

(3)代理授權詢問：C維護LDG列表(ω,σω)，當Α2要求對授權文件ω授權查詢時，C應答如下：如果ω在列表LDG存在，返回Α2代理授權詢問σω。否則執行下面的步驟：

①C查詢LH1得到包含ω的元組(ω,B,b,c)。

②如果c=0，C中止。

③如果c=1，C計算σω=bPKo，返回(ω,σω)作為Α2的應答；并增加一個元組(ω,σω)到列表LDG。

①如果c=1，C中止。

e(bxQ,yQ)=e(bxyQ,Q)?

由雙線性對的非退化性得到：

?

與定理4證明類似地有，C成功解決CDH問題的概率和時間為：

t′≤t+(qH1+qDG+2)tsm

□

定理5在隨機預機模型和Chosen-Target CDH難題假設下，該代理盲簽名方案能夠抵抗敵手Α3的One-more Forgery攻擊。

證明假定Α3適應性選擇消息/授權文件的模式下One-more Forgery攻擊該代理盲簽名方案，那么算法C能利用Α3的能力解決Chosen-Target CDH問題。算法C模擬挑戰者與Α3進行交互，具體的交互過程如下：

(2)H1-預言詢問：C維護LH1列表(ω,h,H)，當Α3對ω進行H1(ω)詢問時，C應答如下：

①如果ω在列表LH1存在，返回Α3的詢問H1(ω)=H。否則執行①。

(3)H2-預言詢問：C維護LH2列表(ω,m,Z)，當 Α3對(m,ω)進行H2(m‖ω)詢問時，C應答如下：

①如果(ω,m,Z)在列表LH2存在，返回Α3的詢問H2(m‖ω)=Z。否則執行②；

②C詢問目標預言機ΘT獲得一個隨機點Z∈G1，然后增加元組(ω,m,Z)到列表LH2，并回答Α3的詢問H2(m‖ω)=Z。

(4)代理授權詢問：C維護LDG列表(ω,σω)，當Α3要求對授權文件ω授權查詢時，C應答如下：

①如果ω在列表LDG存在，返回Α2代理授權詢問σω。否則執行②。

②C查詢LH1得到包含ω的元組(ω,h,H),C計算σω=xoH，返回Α2代理授權詢問σω。

(5)代理盲簽名詢問：當Α3詢問(ω,R′,R1,R2)的簽名，C將R1作為輸入詢問幫助預言機ΘH，返回Ra=aR1給C，C查詢列表LDG得到包含ω的元組(ω,σω)，C計算V=Ra+αR2σω，然后返回V作為Α3的代理盲簽名詢問。

所以，C輸出{(Z1,O1),(Z2,O2),…,(Zl,Ol)};qT=qPBS

□

定理6該代理盲簽名是不可偽造的。

證明根據定理3～定理5可知，本文所提代理盲簽名能抵抗Α1、Α2、Α3在適應性選擇消息/授權文件下的攻擊。所以，由定義11可以推論出該代理盲簽名是不可偽造的。

□

6 性能分析

第3節的方案和代理盲簽名方案[12,13]在計算量和安全性的對比如表1所示。表1符號定義：Pa表示雙線性映射中的對運算，Pm表示G1群上的標量乘運算，Ad表示G1群上的加法運算。

在計算量上，根據文獻[17]的研究，雙線性對運算計算最耗時，從表1中可以看出：新方案的雙線性對運算是5次，比文獻[12,13]方案的運算次數都要少，新的方案的計算復雜度大約為5Pa+8Pm+3Ad，而文獻[12,13]方案的計算復雜度分別為7Pa+7Pm+6Ad和7Pa+8Pm+7Ad。因為文獻[12,13]方案在簽名過程采用的G2群元素的指數運算，而G2群元素是通過雙線性運算生成的，所以計算效率低。而新方案改為G1標量乘法運算，消除了代理盲簽名過程中的雙線性對運算，提高了效率，因此新方案比文獻[12,13]方案都要高效。

在安全性上，文獻[12,13]方案在不可偽造性只分析了原始簽名人、代理簽名人的不可偽造攻擊，而沒有考慮方案能否抵抗敵手通過獲得n個簽名來生成n+1個簽名的情況(多一偽造[11])。新方案考慮了三類敵手攻擊，并在建立了安全模型，在隨機預言機模型下證明了方案的不可偽造性。所以，新方案比文獻[12,13]方案更符合代理盲簽名的安全需求。

7 結束語

本文根據代理盲簽名的安全特性，設計了一個新的安全模型，相對其他模型，能抵抗更強的攻擊者。本文提出了一個基于雙線性對的代理盲簽名方案。本方案的安全性建立在CDH假設和Cho-sen Target CDH假設之上，并在隨機預言機模型下證明了方案是安全的。另外，本方案比文獻[12,13]的方案高效，能應用于條件受限環境下的電子現金。設計標準模型下的安全代理盲簽名和安全的電子現金協議是我們下一步的研究方向。

Table 1 Comparison of our scheme with others in computation overhead and security表1 本方案與其他方案在計算量和安全性比較

[1] Chaum D. Blind signatures for untraceable payments[C]∥Proc of Advances in Cryptology,1983:199-203.

[2] Mambo M,Usuda K,Okamoto E. Proxy signatures:Delegation of the power to sign messages[J].IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,1996,79(9):1338-1354.

[3] Lin W D,Jan J K.A security personal learning tools using a proxy blind signature scheme[C]∥Proc of International Conference on Chinese Language Computing,2000:273-277.

[4] Tan Z.An off-line electronic cash scheme based on proxy blind signature[J].The Computer Journal,2011,54(4):505-512.

[5] Su J,Liu J. A proxy blind signature scheme based on DLP[C]∥Proc of 2010 International Conference on Internet Technology and Applications,2010:1-4.

[6] Zhang Q,Wen Q,Chen G. Efficient ID-based proxy blind signature scheme[J]. Wuhan University Journal of Natural Sciences,2007,12(1):105-108.

[7] Gu C,Zhu Y. An efficient ID-based proxy signature scheme from pairings[C]∥Proc of Information Security and Cryptology,2008:40-50.

[8] Zhang B,Xu Q. Certificateless proxy blind signature scheme from bilinear pairings[C]∥Proc of the 2nd International Workshop on Knowledge Discovery and Data Mining,2009:573-576.

[9] Yu Y,Mu Y,Wang G,et al. Cryptanalysis of an off-line electronic cash scheme based on proxy blind signature[J].The Computer Journal,2011,54(10):1645-1651.

[10] Huang X, Mu Y, Susilo W, et al. A short proxy signature scheme:Efficient authentication in the ubiquitous world [C]∥Proc of EUC 2005 Workshops on Embedded and Ubiquitous Computing,2005:480-489.

[11] Pointcheval D, Stern J. Provably secure blind signature schemes[C]∥Proc of Advances in Cryptology(ASIACRYPT’96),1996:252-265.

[12] Huang R,Nong Q.Security analysis of a proxy blind signature and its improved scheme[C]∥Proc of International

Conference on Information Technology,Computer Engineering and Management Sciences,2011:179-182.

[13] Zhang Ni,Xi Xue-feng,Lu Wei-zhong.Analysis and improvement of identity-based proxy blind signature scheme[J].Computer Engineering,2010,16(42):110-112.(in Chinese)

[14] Boldyreva A. Threshold signatures,multisignatures and blind signatures based on the gap-Diffie-Hellman-group signature scheme[C]∥Proc of the 6th International Workshop on Theory and Practice in Public Key Cryptography,2002:31-46.

[15] Gao W,Wang G,Wang X,et al. One-round ID-based blind signature scheme without ROS assumption[C]∥Proc of the 2nd International Conference on Pairing-Based Cryptography-Pairing,2008:316-331.

[16] Boldyreva A,Palacio A,Warinschi B. Secure proxy signature schemes for delegation of signing rights[J]. Journal of Cryptology,2012,25(1):57-115.

[17] Barreto P S L M,Galbraith S D,ó’héigeartaigh C,et al.Efficient pairing computation on supersingular abelian varieties[J]. Designs,Codes and Cryptography,2007,42(3):239-271.

附中文參考文獻:

[13] 張妮,奚雪峰,陸衛忠,等. 基于身份的代理盲簽名方案分析與改進[J].計算機工程,2010,16(42):110-112.

周明(1990-),男,湖南澧縣人，碩士,研究方向為代理盲簽名。E-mail:540195111@qq.com

ZHOU Ming,born in 1990,MS,his research interest includes proxy blind signature.

王箭(1968-),男,江蘇南京人，博士,教授,CCF會員(E200019557M),研究方向為信息安全與應用密碼學。E-mail:wangjian@nuaa.edu.cn

WANG Jian,born in 1968,PhD,professor,CCF member(E200019557M),his research interests include information security, and applied cryptography.

An efficient and provably secure proxy blind signature scheme

ZHOU Ming,WANG Jian

(College of Computer Science and Technology，Nanjing University of Aeronautics and Astronautics，Nanjing 210016,China)

By combining the advantages of blind signatures with proxy signatures, a proxy blind signature can be widely applied in many fields, such as e-commerce. Currently, most of the proposed proxy blind signature schemes only give some heuristic explanations without formal proof, and one-more forgery is seldom considered in many schemes. In the paper, we propose a novel efficient security model and a proxy blind signature scheme based on bilinear parings. The scheme is unforgeable against adaptive chosen message/warrant attacks under the Computational Diffie-Hellman assumption and Chosen-Target Computational Diffie-Hellman assumption in the random oracle model. The analysis shows that the proposed scheme can satisfy the main secure properties of a proxy blind signature. Furthermore, the scheme is more efficient than traditional ones.

proxy blind signature;bilinear pairing;random oracle model;one-more forgery

1007-130X(2015)09-1643-09

2014-10-28;

2015-02-28

TP309

A

10.3969/j.issn.1007-130X.2015.09.007

通信地址：210016 江蘇省南京市雨花臺區寧雙路18號翠嶺銀河A區17棟506

Address:Room 506,Building 17,Zone A,Cuiling Yinhe,18 Ningshuang Rd,Yuhuatai Distric,Nanjing 210016,Jiangsu,P.R.China