對(duì)前向安全代理盲簽名方案的分析與改進(jìn)①

廖小平

(四川文理學(xué)院 智能制造學(xué)院,達(dá)州 635000)

(達(dá)州智能制造產(chǎn)業(yè)技術(shù)研究院,達(dá)州 635000)

數(shù)字簽名的概念首先由Diffie和Hellman[1]提出,可用于合同、證書(shū)文件等的證明,也可作為復(fù)雜安全協(xié)議的組成部分. 隨著研究的深入,許多具有特殊性質(zhì)的數(shù)字簽名方案相繼被提出,如盲簽名[2]、代理簽名[3],或兩種技術(shù)相結(jié)合的代理盲簽名方案,所有的數(shù)字簽名方案中都需要安全地保存簽名密鑰,因?yàn)橐坏┖灻荑€泄露,由這個(gè)簽名密鑰所簽署的所有簽名都將變得無(wú)效,為了解決這個(gè)問(wèn)題,前向安全[4]技術(shù)被提出,前向安全技術(shù)在很大程度上解決了因簽名密鑰泄露而帶來(lái)的嚴(yán)重危害,如在文獻(xiàn)[5,6]中分別給出了安全的方案. 肖紅光等人提出首個(gè)前向安全代理盲簽名方案[7],但該方案的前向安全性僅限于代理私鑰,而簽名并不具備前向安全性,文獻(xiàn)[8]進(jìn)一步指出該方案不能抵抗原始簽名人的偽造攻擊,同時(shí)通過(guò)對(duì)代理授權(quán)方式和盲簽名過(guò)程的改進(jìn)提出了一個(gè)新的方案. 張席等提出了一種新的前向安全代理盲簽名方案[9],但該方案不能抵抗偽造攻擊,不具備不可偽造性. Manoj等設(shè)計(jì)了一個(gè)前向安全的代理盲簽名方案[10],文獻(xiàn)[11]中發(fā)現(xiàn)該方案在代理授權(quán)和代理盲簽名階段均存在偽造攻擊,并基于離散對(duì)數(shù)給出了改進(jìn)的前向安全代理盲簽名方案,改進(jìn)后方案的特點(diǎn)是在代理授權(quán)階段將單向散列函數(shù)嵌入到簽名中,并對(duì)簽名階段進(jìn)行了改進(jìn). 周萍等人基于二次剩余難題,提出兩種前向安全的代理盲簽名方案[12],隨后在其博士論文中[13]對(duì)其進(jìn)行了改進(jìn),經(jīng)分析發(fā)現(xiàn)無(wú)論是原方案還是改進(jìn)后的方案,都存在信息擁有者對(duì)信息進(jìn)行否認(rèn)的問(wèn)題,因?yàn)檎麄€(gè)方案中沒(méi)有信息擁有者的私鑰信息,信息擁有者可以否認(rèn)簽名所用的信息是自己提供的,針對(duì)周萍等人方案(以下簡(jiǎn)稱ZP方案)存在的安全問(wèn)題,本文提出一種改進(jìn)方案,改進(jìn)的方案中信息擁有者無(wú)法否認(rèn)自己提供的信息,信息擁有者參與了簽名的過(guò)程,改進(jìn)的方案既保持了原方案的優(yōu)點(diǎn),又能防止信息擁有者否認(rèn),從而使方案具有更好的實(shí)用性.

1 ZP方案

ZP方案回顧,方案的參與者包括： 原始簽名者A,代理簽名者B、信息擁有者C,mw是授權(quán)證書(shū),內(nèi)容包含A和B的身份、授權(quán)代理簽名的權(quán)限、范圍和代理簽名有效期等信息,將有效周期劃分為T(mén)個(gè)時(shí)間段.

1.1 系統(tǒng)參數(shù)

選擇一個(gè)q階的元,其中Qn是中所有模n平方剩余數(shù)構(gòu)成的乘法子群.A任意選取三個(gè)大素?cái)?shù)q,q1,q2,并且計(jì)算出,并將n1通過(guò)安全信道發(fā)送給B.B也任意選取兩個(gè)大素?cái)?shù)p3和p4,并且計(jì)算并且將n2和n通過(guò)安全信道發(fā)送給A. 選擇兩個(gè)抗強(qiáng)碰撞安全單向哈希函數(shù)：

原始簽名者A任意選擇一個(gè)xA作為自己的私鑰,,計(jì)算出公鑰

代理簽名者B任意選擇一個(gè)xB作為自己的初始私鑰,,計(jì)算出公鑰,,其中T為代理簽名者B簽名密鑰有效期內(nèi)劃分的時(shí)間段數(shù). 再選擇公私鑰對(duì),且,然后B將yB和發(fā)送給原始簽名者A.

信息擁有者C任意選擇一個(gè)xC作為自己的私鑰,,計(jì)算出公鑰

原始簽名者A公開(kāi)系統(tǒng)的參數(shù)并且A和B刪除

1.2 代理授權(quán)

(1) 原始簽名者A任意選取kA,,計(jì)算：然后將通過(guò)秘密信道發(fā)送給代理簽名者B.

(2) 代理簽名者B收到原始簽名者A發(fā)送來(lái)的后,驗(yàn)證等式是否成立,如果不成立,要求原始簽名者A重新發(fā)送授權(quán)信息,或者代理簽名者B停止代理,如果成立,則接受原始簽名者A發(fā)送的代理授權(quán)信息,并且計(jì)算

1.3 更新代理密鑰

1.4 代理盲簽名生成

設(shè)C擁有信息m,需要B代表A對(duì)m進(jìn)行簽名,A,B,C三者共同通過(guò)以下步驟完成對(duì)m的代理盲簽名.

(1) 代理簽名者B任意選擇兩個(gè)數(shù),并且計(jì)算,然后將通過(guò)秘密信道發(fā)送給信息擁有者C.

(2) 信息擁有者C任意選擇三個(gè)隨機(jī)數(shù),秘密保存,并且計(jì)算：,,若rC=0,則C必須從新選擇α,β,λ直到為止. 計(jì)算：,并且將e'通過(guò)安全信道發(fā)送代理簽名者B.則s'就是代理簽名者B對(duì)信息m的盲簽名,將s'通過(guò)安全信道秘密發(fā)送給信息擁有者C.

(3) 代理簽名者B收到e'后,計(jì)算m的盲簽名是：

(4) 信息擁有者C收到s'后,計(jì)算,最后得到代理簽名者B對(duì)信息

1.5 驗(yàn)證簽名

(1) 驗(yàn)證人首先根據(jù)授權(quán)信息mw檢查簽名授權(quán)信息是否正確,如m是否在授權(quán)簽名信息的有效范圍內(nèi)、代理簽名權(quán)是否過(guò)期、代理權(quán)限是否在有效范圍內(nèi)等,如果簽名授權(quán)信息mw不正確,則否認(rèn)簽名.

(2) 在驗(yàn)證授權(quán)信息mw正確后,計(jì)算：,然后比較等式是否成立. 如果成立,則是信息m的有效代理盲簽名.

2 ZP方案安全性分析

對(duì)ZP方案的正確性、強(qiáng)盲性、前向安全性以及代理簽名安全性的分析請(qǐng)參見(jiàn)文獻(xiàn)[10],此處只對(duì)不可否認(rèn)性從三個(gè)方面進(jìn)行分析.

(1) 原始簽名人不能否認(rèn)自己對(duì)代理簽名人的授權(quán),即不能否認(rèn)自己的簽名授權(quán),在代理授權(quán)階段,中包含了原始簽名者A的私鑰xA,并且在驗(yàn)證過(guò)程中用到了原始簽名者A的公鑰,所以原始簽名者A無(wú)法否認(rèn)自己的簽名授權(quán).

(2) 代理簽名人不能否認(rèn)自己的代理簽名,即代理簽名人不能對(duì)自己的代理簽名進(jìn)行否認(rèn),在代理盲簽名生成階段,和中包含了代理簽名者B的簽名密鑰為,并且在驗(yàn)證的過(guò)程中用到了代理簽名者B的公鑰,所以,代理簽名人不能對(duì)自己的代理簽名進(jìn)行否認(rèn).

(3) 信息擁有者C能對(duì)簽名進(jìn)行否認(rèn),即信息擁有者C否認(rèn)提供信息m用于簽名,因?yàn)樵谡麄€(gè)簽名過(guò)程中沒(méi)有用到信息擁有者C的私鑰.

通過(guò)分析發(fā)現(xiàn),ZP方案中原始簽名者無(wú)法否認(rèn)自己的簽名授權(quán),代理簽名人不能對(duì)自己的代理簽名進(jìn)行否認(rèn),但信息擁有者可以對(duì)簽名的信息進(jìn)行否認(rèn),否認(rèn)自己提供過(guò)信息m用于簽名.

3 ZP方案的改進(jìn)

針對(duì)ZP方案中存在的安全問(wèn)題,提出一種改進(jìn)方案,改進(jìn)方案中的系統(tǒng)參數(shù)、代理授權(quán)、更新代理密鑰與原方案相同.

3.1 代理盲簽名生成

A,B,C三者共同通過(guò)以下步驟完成對(duì)m的代理盲簽名.

(1) 代理簽名者B任意選擇兩個(gè)數(shù),,并且計(jì)算：,,然后將通過(guò)秘密信道發(fā)送給信息擁有者C.

(2) 信息擁有者C任意選擇三個(gè)隨機(jī)數(shù)秘密保存,并且計(jì)算：,若,則C必須從新選擇α,β,λ直 到為止. 計(jì)算：,并且將e’通過(guò)安全信道發(fā)送代理簽名者B.

(3) 代理簽名者B收到e'后,計(jì)算,則s'就是代理簽名者B對(duì)信息m的盲簽名,將s'通過(guò)安全信道秘密發(fā)送給信息擁有者C.

(4) 信息擁有者C收到s'后,計(jì)算：,最后得到代理簽名者B對(duì)信息m的盲簽名是

4 改進(jìn)方案的安全性分析

新方案的強(qiáng)盲性、前向安全性以及代理簽名安全性的分析請(qǐng)參見(jiàn)文獻(xiàn)[10],此處只對(duì)正確性和信息擁有者C的不可否認(rèn)性進(jìn)行分析.

4.1 正確性分析

證明： 因?yàn)椋?/p>

所以：

代理簽名者B收到原始簽名者A發(fā)送來(lái)的后,驗(yàn)證等式是否成立,由：

所以等式成立.

由簽名過(guò)程知：

又因?yàn)椋?/p>

所以：

即得到：

根據(jù)式子求rC：

所以：

4.2 信息擁有者C的不可否認(rèn)性分析

在簽名形成過(guò)程中,信息擁有者C任意選擇三個(gè)隨機(jī)數(shù)對(duì)信息m進(jìn)行盲化,由知道簽名中包含了信息擁有者C的私鑰xC,所以,代理簽名人無(wú)法否認(rèn)自己的簽名,信息擁有者也無(wú)法否認(rèn)信息被簽名.

5 結(jié)束語(yǔ)

文章分析了ZP等人提出的前向安全代理盲簽名方案,并給出了改進(jìn)方案,經(jīng)安全分析表明,改進(jìn)后的方案不僅保留了原方案的優(yōu)點(diǎn),而且解決了信息擁有者可以對(duì)信息進(jìn)行否認(rèn)的問(wèn)題,可實(shí)現(xiàn)特殊應(yīng)用領(lǐng)域的要求,應(yīng)用領(lǐng)域較廣.

1Diffie W,Hellman ME. New directions in cryptography.IEEE Transactions on Information Theory,1976,22(6)：644-654. [doi： 10.1109/TIT.1976.1055638]

2Chaum D. Blind signatures for untraceable payments. In：Chaum D,Rivest RL,Sherman AT,eds. Advances in Cryptology. New York. Plenum Press. 1983. 199-233.

3Mambo M,Usuda K,Okamoto E. Proxy signatures for delegating signing operation. Proceedings of the 3rd ACM Conference on Computer and Communications Security.New Delhi,India. 1996. 48-57.

4Anderson R. Two remarks on public key cryptology. Invited Lecture,4th Annual Conference on Computer and Communications Security. New York,NY,USA. 1997.

5李運(yùn)發(fā),鄒德清,韓宗芬,等. 基于前向安全的組簽名體制研究. 計(jì)算機(jī)研究與發(fā)展,2006,43(12)： 2069-2075.

6曹正軍,劉麗華. 兩個(gè)指定驗(yàn)證人簽名方案的安全性分析.軟件學(xué)報(bào),2008,19(7)： 1753-1757.

7肖紅光,譚作文,王鍵. 一種前向安全的代理盲簽名方案.通信技術(shù),2009,42(5)： 193-196.

8何濱,杜偉章. 前向安全代理盲簽名方案的分析及改進(jìn). 計(jì)算機(jī)工程與應(yīng)用,2015,51(18)： 104-108,164. [doi： 10.3778/j.issn.1002-8331.1310-0066]

9張席,杭?xì)g花. 前向安全的代理盲簽名方案. 計(jì)算機(jī)工程與應(yīng)用,2010,46(24)： 101-103,145. [doi： 10.3778/j.issn.1002-8331.2010.24.030]

10Manoj KC,Balwant ST. An improved proxy blind signature scheme with forward security. International Journal of Computer Applications,2014,85(15)： 1-4. [doi： 10.5120/149 14-3321]

11劉二根,王霞. 前向安全代理盲簽名方案的分析與改進(jìn). 華東交通大學(xué)學(xué)報(bào),2015,32(6)： 110-114.

12周萍,何大可. 兩種具有前向安全性質(zhì)的代理盲簽名方案.計(jì)算機(jī)工程與應(yīng)用,2012,48(5)： 51-53,155.

13周萍. 特殊數(shù)字簽名體制的研究[博士學(xué)位論文]. 成都： 西南交通大學(xué),2013. 111-116.