基于橢圓曲線的強無證書盲簽名方案

曾麗 李旭東

摘 要：通過對劉二根等提出的無證書盲簽名方案的分析，發現該方案在驗證過程中比黃如芬等提出的方案耗時長，生成密鑰所占內存大等問題，提出一種基于橢圓曲線離散對數難題（ECDLP）的無證書部分盲簽名算法。該算法采用橢圓曲線上的點乘運算代替雙線性對運算，提高了簽名和驗證過程中的計算效率（節約了 ），并對改進后的方案作了安全性分析。對比其他三種同類型的方案，結果表明，改進后的方案計算開銷遠遠低于其它幾種同類型的方案，具有廣泛實用價值。

關鍵詞：無證書；盲簽名；橢圓曲線；離散對數難題

中圖分類號：TP312 文獻標識碼：A

1 引言

盲簽名首先由Chaum于1983年提出[1]。該協議用來獲得簽名者對消息的簽名，但是簽名者既不能獲得所簽名消息的內容，也不能識別出用戶隨后獲得的簽名是由自己簽出的。由于不法分子利用簽名者完全不知道所簽署內容這一特點，使得一些違法行為如偷稅漏稅、黑市交易洗錢等難以監管。為了能很好地克服盲簽名的這一缺點，Abe和Fujisaki于1996年提出了部分盲簽名的概念[2]。

1984年，Shamir[3]提出了基于身份公鑰密碼體制。基于身份公鑰密碼體制較好地解決了傳統公鑰密碼系統中公鑰證書的存儲和管理問題。但是這又帶來了一個新的安全隱患——密鑰托管問題。針對這一問題，2003年的亞密會議上，Al-Riyami和Perterson[4]提出了一種新的公鑰密碼體制成為無證書的公鑰密碼體制（簡記CL-PKC），將盲簽名與無證書公鑰密碼體制相結合可以產生無證書盲簽名[5-10]。2012年，黃茹芬等人[7]提出了一個基于inv-CDH問題和q-SDH問題的無證書盲簽名方案，但通過分析發現其存在公鑰替換攻擊這一漏洞。2017年，劉二根等人在黃茹芬等提出方案的基礎上進行了改進，解決漏洞帶來的安全隱患，并對在隨機預言機模型存在不可偽造性進行了證明，但是在計算效率上并沒有很大的提高。因此，本文在前兩者的基礎上，利用橢圓曲線加密算法，構造一個高效的無證書盲簽名方案，并對該方案的安全性給出了證明。

5.2 方案具有安全性

定理2 所提出的無證書盲簽名方案滿足盲性

證明：假設無證書盲簽名為（m，S，h），任意一組盲簽名發布過程產生的視圖（U，h'，S'）。隨機選取盲化因子，下面等式成立：

存在唯一的使得（1-2）式成立。因此，改進后的方案具有盲性。

定理3 改進的無證書盲簽名方案可以抵御偽造攻擊

證明：在改進方案中，使用SHA作為哈希函數。散列函數的屬性表明，從消息摘要（或散列值）中提取消息是不可行的。給定Yi和G，從等式計算xi是不可行的。解決這個問題的難點是基于橢圓曲線離散對數問題。為了通過驗證式（1-2），攻擊者必須從α和β中隨機選擇任意兩個值并計算第三個值。如果攻擊者隨機選擇α，β，那么找到h是可行的，因為散列函數是不可逆的。再次，如果他選擇h和α或β，那么找到β或α也是不可行的。給定有效簽名（s，h），以這種方式導出另一個有效簽名（s'，h'）是不可行的，得到滿足。

定理4 所提出的無證書盲簽名方案可以承受僅有鑰匙的攻擊

證明：一個有效的簽名對必須由攻擊者組成，以使得唯一簽名攻擊成為可能。假設攻擊者能夠創建簽名對。然而攻擊者將無法解開簽名對，因為他需要參數 和 。但是由于ECDLP，提取這兩個參數是不可能的。

定理5 所提出的無證書盲簽名方案可以抵抗已知的消息攻擊

證明：在已知消息攻擊中，攻擊者可以訪問一個或多個消息簽名對，并可以為他的消息生成無證書盲簽名。所提出的方案可以抵抗已知的消息攻擊。假設攻擊者有一個消息簽名三元組（s，t，m），并且想要為消息m生成簽名。首先，他必須在m上生成盲簽名s'，然后生成無證書盲簽名s"。簽名被發送給驗證者進行驗證。驗證者將PKG發給驗證者的公鑰Yi用于消息m。但由于ECDLP問題，他無法攻擊。

6 結束語

在本節中，預先計算g=e（p，p），并將其作為系統公開參數發布，解決了對運算比較費時的問題。本文是在劉二根等方案的基礎上，結合橢圓曲線密碼體制的優點，提出一種基于橢圓曲線離散對數難題（ECDLP）的無證書部分盲簽名算法。新算法采用橢圓曲線上的點乘運算代替雙線性對運算，大大降低了簽名和簽名驗證過程中的計算開銷，簽名過程和驗證過程不需要對運算。將改進后的方案與其他無證書盲簽名協議進行比較，表1顯示了簽名和驗證階段所需的計算時間和結果。表中P表示對運算；M表示標量乘；E表示指數運算。根據參考文獻[10]，可以得到關系式：，，（tm是整數域上的乘法運算，表示一個基本計算單元）。

結果比較表明，改進后的方案需要較少的計算時間，大約需要1490tm使用160位模塊化橢圓曲線組執行簽名和驗證階段，是三方案中耗時最少的一個，比劉等方案節約了29tm。我們的方案的主要優點是不使用配對操作簽署和驗證過程。

基金項目：

1.教育部“春暉計劃”資助（項目編號： Z2017065）；

2.國家自然科學基金資助項目（項目編號：61401369）。

參考文獻

[1] CHAUM D. Bind signature for untraceable payments[C]//Advances in Cryptology-Crypto82. NewYork： SpringerVerlag，1982：199-203.

[2] ABEM，FUJISAKI E. How to date blind signatures[C]//Advances in Cryptology-Asiacrypt96. Kyongju：SpringerVerlag，1996：244-251.

[3] Shamir A.Identity—based crypt9*ysterr and signature schemes[C]//A dvancesin Cryptology—CRYPT084.Berlin：Spr inger—Verlag， 1984：47-53.

[4] Al-Riyami SS Paterson KG. Certificateless public key cryptography. In： Laih CS， ed. Proc. of the ASIACRYPT 2003. LNCS 2894， Berlin： Springer-Verlag， 2003. 452-473.

[5] 梁紅梅，黃振杰.高效無證書簽名方案的安全性分析和改進[J].計算機應用，2010，30（3）：685-687，698.

[6] 邵國金，薛冰，陳明.基于橢圓曲線DLP問題的無證書部分盲簽名機制[J].四川大學學報，2012，1（44）：112-117.

[7] 黃茹芬，農強，黃振杰.一個高效的無證書盲簽名方案[J].計算機工程，2013，39（2）：130-136.

[8] 文佳駿，左黎明，李彪.一個高效的無證書代理盲簽名方案[J].計算機工程與科學，2014，36（3）：452-457.

[9] 何俊杰，王娟，祁傳達.對一個無證書盲簽名方案的攻擊與改進[J].數學的實踐與認識，2014 ，44（4）：123-128.

[10] Sanjeet Kumar Nayak，Sujata Mohanty，and Banshidhar Majhi.CLB-ECC：Certificateless Blind Signature Using ECC [J].J Inf Process Syst，2017，4（13）：970-986.

[11] 劉二根，王霞，周華靜.一種無證書盲簽名方案的分析與改進[J].計算機應用與軟件，2017，2（34）：308-312.