基于無(wú)證書的盲參數(shù)簽名方案

摘 要：盲簽名因其具有匿名性等特點(diǎn)，而具有廣泛的應(yīng)用領(lǐng)域和應(yīng)用前景，根據(jù)盲化對(duì)象的不同劃分為盲消息簽名和盲參數(shù)簽名。文章利用雙線性對(duì)，提出了基于無(wú)證書的盲參數(shù)簽名方案，方案的簽名密鑰由用戶和密鑰生成中心共同生成，防止簽名偽造，同時(shí)解決了復(fù)雜的證書管理問(wèn)題和密鑰托管問(wèn)題。

關(guān)鍵詞：基于無(wú)證書密碼體制；盲簽名；盲參數(shù)簽名；雙線性對(duì)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）03-0158-02

Certificate-free Blind Parameter Signature Scheme

LIAO Xiaoping

（School of Intelligent Manufacturing，Sichuan University of Arts and Science，Dazhou 635000，China）

Abstract：Because of its anonymity，blind signature has a wide range of application fields and application prospects. It is divided into blind message signature and blind parameter signature according to different blind objects. Based on bilinear pairing，this paper proposes a certificate-free blind parameter signature scheme. The signature key of the scheme is jointly generated by the user and the key generation center to prevent signature forgery. At the same time，it solves complex certificate management problems and key escrow problems.

Keywords：certificate-free cryptosystem；blind signature；blind parameter signature；bilinear pairing

0 引 言

盲簽名的概念由Chaum[1]在1982年首次提出，并基于RSA公鑰密碼系統(tǒng)提出了基于因子分解難題的盲簽名方案[2]。祁明將盲簽名劃分為四種類型：盲消息簽名、盲參數(shù)簽名、弱盲簽名和強(qiáng)盲簽名[3]。在盲參數(shù)簽名方案中，信息的內(nèi)容對(duì)簽名者是公開(kāi)的，而簽名是由簽名者執(zhí)行盲化程序得到盲簽名，因而，簽名者雖然知道信息的簽名結(jié)果，由于不知道用于改變簽名數(shù)據(jù)的具體安全參數(shù)，因而無(wú)法獲得新的簽名。2003年，Ai-Riyam和Paterson[4]提出了無(wú)證書密碼系統(tǒng)，無(wú)證書密碼系統(tǒng)不僅很好的結(jié)合了傳統(tǒng)公鑰密碼系統(tǒng)和身份密碼系統(tǒng)[5]的優(yōu)點(diǎn)，同時(shí)解決了傳統(tǒng)公鑰密碼系統(tǒng)存在復(fù)雜的證書管理問(wèn)題和身份密碼系統(tǒng)存在密鑰托管等問(wèn)題。這種密碼系統(tǒng)由用戶和密鑰生成中心KGC共同生成簽名者的簽名密鑰。一般來(lái)說(shuō)，其過(guò)程為：KGC利用系統(tǒng)主密鑰s和簽名者的身份信息ID生成部分私鑰DID，然后將部分私鑰DID發(fā)送給簽名者。簽名者生成自己的秘密值x，利用x和DID生成自己的簽名密鑰，即KGC并不知道簽名者最后的簽名密鑰，當(dāng)然也無(wú)法偽造簽名者的簽名，而在簽名驗(yàn)證階段，簽名驗(yàn)證者不是通過(guò)公鑰證書而是通過(guò)某種方法來(lái)保證簽名者公鑰的真實(shí)性，無(wú)證書公鑰密碼系統(tǒng)是一種性能優(yōu)良、便于應(yīng)用的公鑰密碼系統(tǒng)。

為此，文章提出基于無(wú)證書密碼系統(tǒng)的盲參數(shù)簽名方案，并討論方案的安全性。

2 新的基于無(wú)證書的盲參數(shù)簽名方案

將無(wú)證書的簽名體制與盲參數(shù)簽名方案相結(jié)合，構(gòu)造出基于無(wú)證書的盲參數(shù)簽名。設(shè)定A為信息m的擁有者，B為簽名者，KGC為密鑰生成中心。

2.1 系統(tǒng)參數(shù)設(shè)定

KGC輸入安全參數(shù)1k，生成以下系統(tǒng)參數(shù)：循環(huán)加法群G1，循環(huán)乘法群G2，G1和G2的階均為q，q為素?cái)?shù)，G1的生成元為P，雙線性對(duì)：ê：G1×G1→G2，選擇兩個(gè)安全的哈希函數(shù)：H1：{0，1}*→G1，H2：{0，1}*→ Z*q，KGC選擇一個(gè)安全的系統(tǒng)主密鑰s，將s秘密保存，計(jì)算系統(tǒng)公鑰：Ppub=sp。最后系統(tǒng)公開(kāi)參數(shù)：{G1，G2，ê，q，P，Ppub，H0，H1}。

2.2 部分私鑰生成

簽名人B將自己的身份信息IDB提交給KGC，KGC首先驗(yàn)證B的身份信息，并計(jì)算：QB=H1（IDB），DB=sQB，DB即為部分私鑰，將DB發(fā)送給B。

2.3 簽名密鑰生成

B收到部分私鑰DB后，首先驗(yàn)證等式：ê（DB，P）=ê（QB，Ppub）是否成立，以驗(yàn)證部分私鑰DB是否合法。若等式成立，B任意選取xB作為自己的秘密值，并計(jì)算：PB=xBQB，SB=xBDB，則（PB，SB）就是B的公私鑰對(duì)。

2.4 簽名過(guò)程

（1）A任意選擇r∈Z*q，計(jì)算：R=rP，并將（m，R）發(fā)送給簽名者B。

（2）B任意選擇k∈Z*q，計(jì)算：R′=kR，S′=k-1（H1（R′）SB+H2（m）Ppub），并將（R′，S′）發(fā)送給A。

（3）A收到（R′，S′）后，計(jì)算：S=r-1S′，則（R′，S）為消息m的盲參數(shù)簽名。

2.5 簽名驗(yàn)證過(guò)程

驗(yàn)證者通過(guò)等式：ê（R′，S）=ê（PB，Ppub）H1（R′）ê（P，Ppub）H2（m）進(jìn)行驗(yàn)證，若等式成立，則簽名有效，否則，簽名無(wú)效。

3 方案安全性分析

3.1 正確性分析

定理1簽名方案是正確的。

證明：（1）等式ê（DB，P）=ê（QB，Ppub）的正確性驗(yàn)證如下：

得證，即簽名方案是正確的。

3.2 盲性分析

定理2簽名方案滿足盲性。

證明：一方面簽名者即使掌握了中間變量（R′，S′），但無(wú)法得到盲參數(shù)r，因?yàn)橥ㄟ^(guò)等式R=rP得到r就必須求解DLP問(wèn)題；另一方面，根據(jù)S′要想得到原消息也是不可能的，因?yàn)槊媾R求解哈希函數(shù)的逆運(yùn)算，這在計(jì)算上是不可行的。因此，在簽名公開(kāi)以后，簽名者無(wú)法將簽名和中間變量進(jìn)行關(guān)聯(lián)，方案滿足盲性。

3.3 不可偽造性分析

定理3簽名方案滿足不可偽造性。

證明：首先，系統(tǒng)主密鑰s是秘密保存的，通過(guò)系統(tǒng)公鑰Ppub=sp得到s面臨求解DLP問(wèn)題，所以主密鑰s是安全的；其次，任何攻擊者要想偽造B的合法簽名，他必須得到簽名人的私鑰SB，即使攻擊者截獲了（R′，S）和S′，在簽名方程S′=k-1（H1（R′）SB+H2（m）Ppub）中，存在未知的k，因此，攻擊者先要得到SB是困難的，攻擊者無(wú)法偽造合法的簽名；再次，信息m的擁有者A也無(wú)法偽造合法的簽名，因?yàn)楹灻連的私鑰SB=xBDB=xBsQB=xBsH1（IDB）中即存在系統(tǒng)主密鑰s也包含簽名者B的身份信息IDB，所以A無(wú)法偽造簽名；最后，密鑰生成中心KGC無(wú)法偽造合法的簽名，因?yàn)镵GC即使知道QB，DB，而簽名者B最后的私鑰SB=xBDB，存在B的秘密值xB，所以KGC無(wú)法模擬簽名者的簽名。

3.4 不可否認(rèn)性分析

定理4上述基于無(wú)證書的盲參數(shù)簽名方案滿足不可否認(rèn)性。

證明：SB=xBDB=xBsQB=xBsH1（IDB），即簽名密鑰SB中包含簽名者B的身份信息IDB，所以，該方案滿足不可否認(rèn)性，簽名者不能對(duì)簽名進(jìn)行否認(rèn)。

4 結(jié) 論

文章首先介紹了根據(jù)盲化對(duì)象的不同，將盲簽名劃分為四種類型，其次介紹了無(wú)證書密碼系統(tǒng)的一般過(guò)程，眾所周知，無(wú)證書密碼系統(tǒng)不僅很好的結(jié)合了傳統(tǒng)公鑰密碼系統(tǒng)和身份密碼系統(tǒng)的優(yōu)點(diǎn)，同時(shí)解決了傳統(tǒng)公鑰密碼系統(tǒng)存在復(fù)雜的證書管理問(wèn)題和身份密碼系統(tǒng)中的密鑰托管等問(wèn)題，具有廣闊的應(yīng)用領(lǐng)域和應(yīng)用前景，進(jìn)一步研究的內(nèi)容很多，文章提出的基于無(wú)證書的盲簽名方案經(jīng)安全性分析證明是安全、可靠的。

參考文獻(xiàn)：

[1] D.Chaum.Blind Signature for Untraceable Payments [J].Advances in Cryptology-CRYPTO’82. New York：Plenum Press，1983：199-233.

[2] D.Chaum.Blind Signatures system [J]. Advances in Cryptology-CRYPTO’83. New York：Plenum Press，1983：153-158.

[3] 祁明，林卓聲.若干盲簽名方案及其在電子商務(wù)中的應(yīng)用 [J].計(jì)算機(jī)工程與設(shè)計(jì)，2000（4）：39-41+49.

[4] Al-Riyami S S，Paterson K G. Certificateless Public Key Cryptography [J]. Asiacrypt，2003，2894（2）：452-473.

[5] Shamir A . Identity-Based Cryptosystems and Signature Schemes [C]// Workshop on the Theory and Application of Cryptographic Techniques. Springer，Berlin，Heidelberg，1984：47-53.

作者簡(jiǎn)介：廖小平（1979-），男，四川營(yíng)山人，講師，碩士研究生，研究方向：信息安全、網(wǎng)絡(luò)安全、密碼學(xué)。