一種可相互認證的盲簽名方案

摘要:盲簽名主要用于安全電子現金及電子投票等協議中，用以保護消費者及投票人的隱私。該文利用雙線性映射的特性，提出了一種新的可相互認證的盲簽名方案，該方案可應用于基于身份的密碼體制中，滿足強盲簽名的安全要求，而且用戶和簽名者之間可以相互認證，有效的避免了盲簽名在應用中的一些潛在的不安全問題。

關鍵詞:盲簽名;雙線性對;可相互認證

中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2009)27-7615-02

An Authenticated Blind Signature Scheme

LIU Bin1，2

(1.Department of Science Computer， Suzhou University， Suzhou 215021， China; 2.Department of Science， Anhui Business College of Vocational Technology， Wuhu 241000， China)

Abstract: Blind Signature is always used in secure electronic cash schemes and electronic voting protocols to protect consumer and voters’ privacy. An authenticated blind signature scheme is proposed in this paper， in which some characteristics of bilinear map are used. This scheme can be used in ID-Based cryptosystem and can satisfy all the requests of blind signature scheme. What’s more， this sechme allows users and signers authenticate each other to avoid some potential insecure problem when a blind signature scheme is used in a real application.

Key words: blind signature; bilinear map; authenticate each other

盲簽名的概念是David Chaum在文獻[1]中提出的，它是指簽名者并不知道所簽文件或消息的具體內容，而文件或消息的擁有者又可以得到簽名人關于真實文件或消息的簽名。除了要滿足通常的簽名方案的安全要求外，一個強盲簽名方案還應滿足2個條件[2]:

1) 被簽消息對簽名者是盲的;

2) 簽名人事后不能追蹤簽名。

盲簽名主要用于安全電子現金及電子投票等協議中，用以保護消費者及投票人的隱私。

近幾年來，基于身份的密碼體制成為密碼學界的又一個研究熱點。這種密碼體制最初是由Shamir[3]于1984年提出，但直到2001年才由Boneh和Franklin[4]利用Weil Pairing和Tate Pairing給出了一個很好的實現方案。該體制目的是為了簡化密鑰管理。在基于身份的密碼體制中，用戶的公鑰是直接從其身份信息(如姓名、身份證號、E-mail地址等)得到，而私鑰則是由一個稱為私鑰生成中心(PKG)的可信方生成的。自2001年來，人們相繼提出了許多實用的基于身份的密碼方案。

Zhang和Kim[5]則于2002年首次引入了基于身份的盲簽名。

本文利用雙線性映射提出一個盲簽名方案，該方案完全滿足強盲簽名的安全要求，而且可以實現簽名者和用戶之間的相互認證，可以有效的避免盲簽名在應用中的一些潛在的不安全問題。

1 雙線性映射

設G1，G2為兩個階均為大素數q的群。其中G1是一個加法循環群，G2是一個乘法循環群。設P是G1的任意一個生成元。假設離散對數問題(DLP)在G1和G2中都是困難的。密碼學雙線性映射是指一個滿足下列性質的映射:e:G1×G2→G2:

雙線性:對于?坌P，Q，R∈G1，a，b∈Fq*，有

1) e(P+Q，R)=e(P，R)e(Q，R)

2) e(P， Q+R)=e(P，Q)e(P，R)

3) e(aP，bP)=e(P，P)ab

非退化性:存在P，Q∈G1，使e(P，Q)≠1，即雙線性映射e不能將G1×G2中所有的元素映射到G2中的單位元;

可計算性:對于所有的P，Q∈G1，存在一個有效的多項式時間算法來計算e(P，Q)。

2 可相互認證的盲簽名方案

2.1 參數說明

PKG(Private Key Generator)隨機選取s∈Zq*作為系統的私鑰(Master Key)，再隨機選取點P∈G1并計算Ppub=sP作為系統的公鑰，然后選取H1，H2，H3，其中H1為一個映射，H2，H3為單向散列函數，三者滿足H1:{0，1}*→G1、H2:{0，1}*→{0，1}l、H3:G1→{0，1}l，系統公開(P，Ppub， H1，H2，H3)。

簽名者和用戶分別擁有并公開自己的身份IDs和IDu，該ID是一字符串，可以是姓名、身份證號、E-mail地址等，用于唯一標志該成員的身份，他們向PKG提交自己的身份，PKG計算Qs=H1(IDs)和Qu=H1(IDu)分別作為簽名者和用戶的公鑰，Ss=sQs和Su=sQu作為簽名者和用戶的私鑰，通過安全信道返還給他們。

設x(Q)和y(Q)分別表示點Q∈G1的x軸和y軸的坐標，A||B表示比特串A和B相聯。

2.2 可相互認證的盲簽名

2.2.1 盲簽名產生過程

1) 簽名者S隨機選擇數r∈RZq*，計算共享密鑰k=e(Ss，rQu)和參數R=rQs，將R發給用戶U;

2) 用戶U收到R后，同樣可計算出雙方的共享密鑰k'=e(rQs，Su)=k，然后隨機選擇消息m的盲因子t∈RZq*，計算v=t×(k+H2(m||x(kQs)||y(kQs))和c=H2(v||k)，將v和c返還給簽名者S;

3) 簽名者S收到v和c之后，驗證是否有等式H2(v||k)=c成立，不成立則拒絕進行簽名，否則計算z=v×Ss，將z發送給用戶U，則(rQs，z)就是對消息m的盲簽名。

4) 用戶U接收到簽名者S對消息 的盲簽名(rQs，z)之后，計算z'=t-1×z、h'=H2(m||x(kQs)||y(kQs))，然后驗證是否有等式e(P，z)=e(Ppub，(k+h')Qs)成立，不成立則拒絕該簽名，否則接受該簽名。

2.2.2 盲簽名驗證過程

如果第三方希望檢驗簽名者S對消息m的簽名，則用戶U只需出示(m，kQs，z')，第三方檢驗是否有e(P，z')=e(Ppub，kQs+H2(m||x(kQs)||y(kQs))Qs)成立即可，等式成立，則表明該簽名有效，否則，該簽名無效。

3 方案安全性分析

3.1 盲性分析

在整個簽名的過程中，雙方相互一共傳遞了(R，v，c，z)四個數據，因此，在簽名過程中盲因子t∈RZq*始終存在，盲因子的隨機性保證了簽名的盲性。

3.2 不可跟蹤性

簽名者S在整個簽名的過程中僅擁有被盲化的消息m的散列值，因此，單向散列函數的單向性和簽名方案的盲性保證了簽名者無法事后追蹤簽名。

3.3 不可偽造性

不可偽造信息:假設惡意用戶L希望用消息m'偽造U的消息m來騙取簽名，由于L沒有U的私鑰Su，故L無法計算出共享密鑰k=e(rQs，Su)，同樣也無法計算出正確的v，進而無法偽造校驗信息c=H2(v||k)，在盲簽名產生過程的第三步檢驗用戶合法性時就會被簽名者檢驗出來。

不可偽造簽名:假設惡意用戶L想偽造簽名者S的簽名，由于L沒有S的私鑰，故他無法偽造合法的盲簽名z=vSs，因此在盲簽名產生過程的第四步用戶檢驗等式e(P，t-1×z)=e(Ppub，(k+h')Qs)是否成立時就會被用戶檢驗出來。

如果合法用戶U想偽造簽名者S的簽名，同意由于U沒有S的私鑰，因此U無法提供正確的z'，則在第三方檢測等式e(P，z')=e(Ppub，kQs+H2(m||x(kQs)||y(kQs))Qs)是否成立時即可被檢測出來。

3.4 不可否認性

從方案的不可偽造性可知，在整個簽名過程中，簽名者和用戶是相互認證的，任何一方都不能單獨偽造簽名;每次簽名中所帶有的雙方各自獨立選取的隨機數也避免了重放以前簽名數據的可能;如果沒有簽名者和用戶選擇的隨機數和私鑰，惡意用戶也無法偽造簽名。因此，只要用戶U能出示消息及簽名數據(m，kQs，z')使得等式e(P，z')=e(Ppub，kQs+H2(m||x(kQs)||y(kQs))Qs)成立，簽名者就無法抵賴，同樣，用戶也無法否認他曾經發送過消息m。

3.5 相互驗證性

不可冒充用戶:由于用戶私鑰只有用戶本人所有，因此，在盲簽名產生過程的第二步，惡意用戶無法偽造校驗值c，也就無法通過第三步簽名者驗證等式H2(v||k)=c是否成立這一檢驗了。此外，由于k是利用簽名者隨機選取的數r計算的，k的隨機性杜絕了惡意用戶實施重放攻擊的可能。

不可冒充簽名者:由于簽名者的私鑰只有簽名者本人擁有，因此，在盲簽名產生過程的第三步，惡意用戶無法計算出正確的z'=v×Ss，也就無法在盲簽名產生過程的第四步通過用戶對等式e(P，z')=e(Ppub，(k+h')Qs)是否成立的驗證，同樣，用戶隨機選取的盲因子t保證了惡意用戶無法通過重放以前的數據來冒充簽名者。

3.6 方案效率分析

該文的方案是在基于身份的密碼體制之下的，基于身份的密碼體制大大簡化了對公鑰的管理程序，減輕了管理公鑰的負擔。

該文方案里，整個簽名過程僅使用了群中的標量乘、雙線性映射以及散列運算，比以往的模冪運算要節省很多的計算開銷和通信開銷。

該文方案無需額外的權威認證機構對用戶身份和簽名者身份進行認證，直接將簽名和認證過程糅合到一塊，大大減小了軟硬件的開銷。

4 結束語

本文利用雙線性映射的一些特性，提出了一種新的盲簽名方案，該方案允許用戶和簽名者能相互認證對方的身份，滿足強盲簽名方案所需的安全要求，而且該方案用于基于身份的密碼體制中，大大減輕了公鑰的管理負擔。

參考文獻:

[1] Chaum D.Blind Signature Systems[C]//Proceedings of the Crypto’83.New York:springer-Verlag，1998:153-156.

[2] Harn L.Cryptanalysis of the Blind Signature Based on the Discrete Logarithm Problem[J].Electronic Letters，1995，31(14):1136-1137.

[3] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in CRYPTO’84 ，LNCS196.Berlin:Springer-Verlag，1984:47-53.

[4] Boneh D，Franklin M.Identity Based Encryption from the Weil Pairing[J].SIAM J. of Computing，2003，32(3):586-615.

[5] Zhang F，Kim K.ID-based Blind Signature and Ring Signature from Pairings[C].Advances in Asiacrypt，LNCS，2002:533-547.

[6] Cha J C，Cheon J H.An Identity-Based Signature from Gap Diffie-Hellman Groups[C].Advances in PKC 2003，LNCS2567.Springer-Verlag，2003:18-30.