基于雙線性對的新型代理盲簽名方案

摘 要：針對目前已提出的代理盲簽名方案中存在的安全性缺陷，提出了一個基于雙線性對的新型代理盲簽名方案，并對所提方案進行了安全性分析。新方案滿足代理盲簽名的全部安全性要求，并且具有通信量小、計算復雜性低等優點。

關鍵詞：代理盲簽名； 雙線性對； 盲性； 不可鏈接性

中圖法分類號：TP309.2文獻標識碼：A

文章編號：1001—3695(2007)02—0130—02

1996年，Mambo等人[1，2]首先提出了代理簽名的概念。所謂代理簽名就是指在一個代理簽名方案中，一個被指定的代理簽名者可以代表原始簽名者生成有效的簽名。目前人們已經提出了許多種代理簽名方案[3—5]，代理盲簽名方案是其中重要的一種，它結合了代理簽名和盲簽名的優點，在實際中具有非常重要的應用價值。Lin和Jan于2000年提出了第一個代理盲簽名方案[6]，文獻[7]提出了一個基于離散對數的代理盲簽名方案，并把該方案平移至橢圓曲線上，Lal和Awasthi指出文獻[7]提出的方案不能抵抗偽造攻擊，并基于M-U-O代理簽名方案提出了一個新的代理盲簽名方案[8]。然而上述方案都不能抵抗偽造攻擊，并且都不具有不可鏈接性[9—11]。文獻[12]給出了一個基于雙線性對的代理盲簽名方案，具有一些較好的性質，但容易發現在該方案中，密鑰認證中心也可以產生代理盲簽名，因此要求密鑰認證中心是絕對可信的，在實際中是不現實的，并且也不滿足不可鏈接性。本文提出了一個基于雙線性對的新型代理盲簽名方案，新方案具有盲性、不可鏈接性、強不可偽造性，并且滿足代理盲簽名方案的其他安全性要求。

1 預備知識

1.1 雙線性對

1.2 代理盲簽名的安全性要求

作為代理簽名和盲簽名的結合，代理盲簽名應該滿足下列安全性要求[7—12]：

(1)可驗證性。從代理盲簽名中，驗證者能夠相信原始簽名人認同了這份簽名消息。

(2)可區分性。任何人都可區分代理盲簽名和正常的原始簽名人的簽名。

(3)強可識別性。任何人都能夠從代理盲簽名中確定代理簽名人的身份。

(4)強不可偽造性。只有指定的代理簽名人能夠產生有效代理盲簽名，原始簽名人和沒有被指定為代理簽名人的第三方都不能產生有效代理盲簽名。

(5)強不可否認性。一旦代理簽名人代替原始簽名人產生了有效的代理盲簽名，他就不能向任何人否認他所簽的有效代理盲簽名。

(6)防止濫用。應該確保代理簽名密鑰不能被用于其他目的。 

(7)盲性。代理簽名人對其所簽的消息是不可見的，即代理簽名人不知道他所簽的消息內容。

(8)不可鏈接性。當簽名消息被公布后，代理簽名人無法知道這是他哪一次的簽名。

2 基于雙線性對的新型代理盲簽名方案

2.1 初始化過程

2.2 代理密鑰產生協議

2.3 代理盲簽名產生協議

于是用戶U得到對消息m的代理盲簽名(mω，U，m，s)。

2.4 代理盲簽名的驗證

驗證者收到對消息m的代理盲簽名(mω，U，m，s)后，驗證：

若上式成立，則簽名有效。簽名的有效性可由下式說明：

3 代理盲簽名方案分析

3.1 安全性

所提代理盲簽名方案滿足第1.2節提出的安全性要求。

由于有效的代理盲簽名(mω，U，m，s)中有授權書mω，而且證書mω、原始人A和代理人B的公鑰YA，YB都要在代理盲簽名的驗證過程中出現，易證明新的代理盲簽名方案滿足可區分性、可驗證性、強可識別性、強不可否認性、抗濫用性。下面分析所提出的新方案滿足強不可偽造性、盲性和不可鏈接性。

（1）強不可偽造性。攻擊者不能偽造原始人A對授權書mω的簽名(mω，U，σA)，因為授權書mω是用Boneh等人提出的短簽名體制[14]進行簽名的，而該體制已經被證明在隨機Oracle模式下是安全的，因此攻擊者不能通過偽造另外一個授權書m′ω的方法來偽造代理盲簽名；攻擊者也不能冒充代理人B對消息m′偽造代理盲簽名，因為他沒有代理人B的代理密鑰σ。下面證明若攻擊者（包括原始人A）沒有代理密鑰σ，即使他與用戶U聯合也不能產生代理人B對任意消息m′的有效代理盲簽名(mω，U，m′，s)。

證明：由于攻擊者不知道代理人B的代理密鑰σ，所以攻擊者不能利用代理密鑰σ來進行簽名。攻擊者和用戶U要想使偽造的對消息m′的代理盲簽名(mω，U，m′，s)通過驗證，則他們必須使(mω，U，m′，s)滿足驗證：

然而e是一個安全的雙線性對，找到一組數(mω，U，m′，s)滿足上式在計算上是不可行的，所以滿足強不可偽造性。（2）盲性。用戶U使用了盲因子α對消息m進行盲化，代理簽名人B只對消息m的變形m進行簽名，并未看到m，因此m對代理簽名人B是盲的。

（3）不可鏈接性。最后的代理盲簽名(mω，U，m，s)是由用戶U進行脫盲變化后形成的，由于群G1上離散對數問題是難解的，所以代理簽名人B不能通過s=as′計算出盲因子a。因此，即使代理簽名人B保存了s′，m，當代理盲簽名(mω，U，m，s)公布后，他也不能確定(mω，U，m，s)是他的哪一次簽名。所以，新方案具有不可鏈接性。

3.2 性能

容易看出，所提出的代理盲簽名方案中，在各個階段所用雙線性對的次數是非常少的，并且原始簽名人A和代理簽名人B之間、代理簽名人B和用戶U之間的交互次數以及需要傳遞的數據量也是很小的。由強不可偽造性的證明可知，新方案在原始簽名人和代理簽名人之間并不需要秘密信道，這在實際中是非常方便的，并且由于所提方案是基于橢圓曲線或超奇異橢圓曲線，所以還具有密鑰長度小、代理盲簽名長度短的優點。

4 結束語

代理盲簽名作為一種新的簽名技術具有廣泛的應用前景，可用于電子商務中CA證書、電子現金、電子選票的簽發等方面，然而目前已提出的許多方案在安全性等方面皆有不足之處。本文基于雙線性對提出了一個新的代理盲簽名方案，經過分析可知，新方案滿足代理盲簽名方案的各種安全性要求，并且具有通信量小、算法復雜性低等優點，因此具有一定的實際應用價值。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。