基于離散對數的多重代理部分盲簽名

李彥　高德智　張偉哲

【摘 要】‘多代一的模式不只是增加了多個代理人，而是為了防止代理人濫用權力和消息的保密性，這樣的簽名模式在現實生活中起著很重要的作用，運用離散對數的困難性，在加上部分盲簽名的盲性的特點，使得該方案更加安全。

【關鍵詞】離散對數；代理簽名；部分盲簽名；多重代理部分盲簽名

A Multi-proxy Partially Blind Signature Scheme Based on DLP

LI Yan GAO De-zhi ZHANG Wei-zhe

（Shandong University of Science and Technology，Qingdao Shandong 266590，China）

【Abstract】‘More than one person instead of a persons model not only increase proxy more signers，but to prevent the abuse of power and message confidentiality，which play an important role in ture-life. Based on the difficulty in computing discrete logarithm and blinding of treatment，the scheme is more secure.

【Key words】Discrete logarithm problem； Proxy signature； Partially blind signature； Multi- proxy partially blind signature

0 引言

沒有根基也許可以建一座小屋，但絕對不能造一座堅固的大廈。沒有安全的方案就不可能保護信息的安全性。隨著數字簽名的出現，盲簽名在1983年被Chaum[1]提出，在進行盲簽名的過程中，簽名者只是充當公證人以證實簽名的真實性，因為所簽內容對簽名人不可見。而部分盲簽名[2-3]的出現，保護了簽名人的權力，同時提高了效率和安全性。隨著社會的發(fā)展，人們對安全的意識也提高了，簽名技術也隨之提高，各類盲簽名相繼而生。

代理簽名于1996年Mambo，Usuda和Okamoto[4-5]提出，把代理簽名分為完全，部分和具有證書的代理簽名。各種代理都有自己所有的優(yōu)勢，針對不同的問題，運用不同的代理簽名方式。例如祁明等[6]人于2000年的簽名方案試圖將代理人的身份作為授權，更加貼近生活的代理模式。代理簽名不斷的變化為了尋求更加安全和運算量小的模式。

在離散對數的前提下，ElGamal[7]在1985年提出了數字簽名方案，因為離散對數相較于其他運算更加簡單，因此運用了離散對數構造了該方案，并且‘多代一的簽名模式使得多個代理人之間相互制衡，相互合作去完成簽名過程，增加了攻擊者破解該方案的不可能性，保護了參與者的利益不受損，使得方案更加安全。

1 符號的說明

系統(tǒng)參數：p，q是兩個大素數，且滿足q|p-1；g∈Zp*是其生成元；H（.）是一種單向安全的哈希函數且H：{0，1}*→Zq*。A：原始簽名人；xA； A的私鑰；yA；A相應的公鑰，yA=g modp；Bi；第i個代理簽名人；xi；Bi的私鑰；yi；Bi相應的公鑰，yi=g modp；W；用戶；Uc；簽名收集者；mwi；A與Bi的授權文件，該文件包括A與Bi授權期限和內容及他們的身份信息等；m；待簽名的消息；c；用戶和簽名者共同協(xié)商的一個常數。

2 該方案的簽名過程

2.1 委托階段

（1）A計算Ki=g modp，其中k∈Zq*是A隨機選取的；

（2）A計算ei=H（mwi，Ki）， =xAei+kiKimodq，并用安全的通道A把K ，m ， 發(fā)送給Bi；

（3）Bi接收K ，m ， 后，首先驗證ei=H（m ，Ki）再驗證g =y K modp，若成立，則說明Bi接受了A的委托，Bi計算代理簽名密鑰σi= +xiKimodq，相應的代理簽名公鑰g =y K y modp，通過代理簽名公鑰可以看出A與Bi存在一定的關系。

2.2 簽名階段

（1）Bi計算Ri=g modp，其中ri∈Zq*是Bi隨機選取的，Bi把Ri發(fā)送給Uc，Uc收集后，計算R= Rimodp，并R將發(fā)送給W。

（2）W接收R后，隨機選取兩個盲因子α，β∈Zq*，并計算U=gα（g ） y modp，e=H（U，m|c）modq，V=β-1emodq，然后將V發(fā)送給Bi。

（3）Bi接收后，計算Si=xiV+σi+rimodq，并將Si發(fā)送給Uc，Uc接收后，計算S= S ，并把S發(fā)送給W。

（4）W接收S后，開始了脫盲的過程：S'=α+βSmodq。 則多重代理部分盲簽名為σ=（m ，Ki，m，c，e，S'）。

2.3 驗證階段

驗證過程：驗證者接受到簽名后σ=（m ，Ki，m，c，e，S'），驗證e=H（ y ） g y ，m|cmodq是否成立，若成立，則驗證者承認該簽名。 若不成立，則拒絕。

3 分析安全性

3.1 正確性

等式成立，說明方案的正確性。

3.2 不可否認性

A不可否認授權Bi，Bi不可否認對消息簽名。由于A與Bi進行委托過程中，Bi接收了由A發(fā)送來的K ，m ， ，Bi進行了保留，Bi可以證明A進行了授權。同樣在部分盲簽名階段，Bi利用了ri，xi，σi這些數據，而這些數據只有Bi有，從而Bi不可否認對消息進行了簽名。

3.3 匿名性

當簽名σ=（m ，Ki，m，c，e，S'）公布后，驗證者從簽名中可以獲取A授權了多個代理人，卻從簽名中無法推出簽名是由那些代理人所簽，由于簽名被用戶盲化，Bi也無法從自己保留的數據及公布的簽名中推出自己所簽的部分。

3.4 不可偽造性

從本方案中涉及的人員進行分析。A無法對簽名進行偽造，若A想偽造，必須從σi= +xiKimodq中獲取多個代理人的私鑰xi，獲取一個代理人私鑰成功的概率為1/q，那么獲得多個代理人（下轉第135頁）（上接第172頁）的私鑰的概率可以忽略。Bi無法從 =xAei+kiKimodq獲取ki，xA，因為面臨著離散對數的困難性。Uc只收集了代理人的部分中間變量，無法從方案中獲取任何人的私鑰。故方案不可偽造。

4 結束語

離散對數在數字簽名中的運算相對簡單及結合多代理和部分盲簽名的優(yōu)勢，對構造該方案起著至關重要的作用。‘多代一的部分盲簽名方案既有代理簽名的不可偽造性等，又結合了部分盲性的特點，運用它們的優(yōu)勢，使得方案更加完善，從而更好地保護了用戶的合法權益和增加了簽名的安全性。

【參考文獻】

[1]Chaum D. Blind signatures for Untraceable Payments[C].//advances in Cryptology-CRYTO82. New York：Plenum press，1982：199-203.

[2]Abe M，Fujisaki E. How to date blind signature [C]. //Proc of the Asiacrypt.Berlin： Springer-Verlag，1996： 244-203.

[3]Chow S，Hui L，Yiu S et al. Two improved partially blind signature schemes from bilinear pairings. http：//eprint.iacr.org/2004/108.

[4]Mambo M，Usuda K，Okamoto E. Proxy signature for delegating signing operation [C]. Proc.3rd ACM Comference on computer and communication security. 1996. 48-57.

[5]Mambo M，Usuda K，Okamoto E. Proxy signatures： delegation of the power to sign messages [J]. IEICE Trans.Fundamentals ，1996，E79-A（9）： 1338-1354.

[6]祁明，林卓聲.若干盲簽名方案及其在電子商務中的應用 [J].計算機工程與設計，2000，21（4）：39-41.

[7]ElGamal T. A public key crytosystem and a signature scheme based on discrete logarithms [J]. IEEE Transaction on information theory，1985，31（4）： 469-472.

[責任編輯：朱麗娜]