基于证书的多重代理多重盲签名方案研究

韩春霞，王琳杰 （铜仁学院数学与计算机科学系；计算机应用技术研究所，贵州 铜仁554300）

2003年Gentry首次提出基于证书的加密概念 （CBE），由此克服了传统公钥加密 （PKI）中的证书管理问题以及无证书公钥加密中对可信第三方的信任问题［1］。与PKI相似，CBE的用户生成自己的公钥对并向认证中心 （CA）请求一个证书，该证书除了具有传统PKI下所具有的所有功能外，还可以在不安全信道进行传送。此外，CBE不用密钥托管，所以用户的私钥是安全的。

代理签名方案是原始签名者将自己的签名委托给代理签名人。2000年，Lin等［2］将盲签名和代理签名相结合提出了第一个代理盲签名方案。随后，由于现实的需求，将代理签名与多重签名相结合提出新的代理多重签名方案［3－4］、多重代理签名方案［5］及多重代理多重签名方案［6－7］。多代理签名是指在一种代理签名方案中，一组代理签名人接受一个原始签名人的签名权委托权，并且只有此组代理签名人共同合作才能对消息进行签名。代理多重签名是指一个代理者同时代理若干个原始签名者进行签名。然而在实际应用中，还可能出现多个原始签名者委托多个代理签名者去签署一些重要文件的情况，这就是多重数字签名问题。近几年，利用双线性对构造的一些基于身份的代理盲签名方案被提出［8－10］，但是在该类方案中，私钥生成中心 （PKG）不但可以计算系统内任何用户的私钥，而且也可以伪造任何一个用户的代理盲签名，但现实中要求PKG绝对可靠是不理想的。下面，笔者对基于证书的多重代理多重盲签名方案进行了研究。

1 准备知识

1.1 双线性对

设G1是P生成的循环加法群，其阶为素数q，P是G1的生成元，G2是一个阶为素数q的循环乘法群。双线性对e：G1×G1→G2，具有以下性质：

（1）双线性：e（aP，bQ）＝e（P，Q）ab，对所有P，Q∈G1和所有的a，b∈，其中表示素数q的既约剩余类。

（2）非退化性：存在P∈G1，使得e（P，Q）≠1。

（3）可计算性：存在有效算法可以计算e（P，Q），对于所有P，Q∈G1。

1.2 相关的数学难题

（1）离散对数难题 （DLP）。设P，Q∈G1，要找到一个正整数n∈，使得满足Q＝nP是困难的。

（2）判断Diffie－Hellman难题 （DDHP）。∀P，aP，bP，cP∈G1，其中a，b，c∈，要判定c≡ab modq是否成立是难题。

（3）计算Diffie－Hellman难题 （CDHP）。∀P，aP，bP∈G1，其中a，b∈，计算abP是困难的。

若群G1的CDHP是难解的，而DDHP是容易解的，称G1是Gap Diffie－Hellman（GDH）群。

2 多重代理多重盲签名方案分析

利用双线性对的知识，构造一个基于证书的多重代理多重盲签名方案。方案参与者包括原始签名组、代理签名组、签名收集者、盲消息拥有者以及任意的验证者。该方案包括系统初始化、用户密钥生成、证书生成及委托、签名和验证。

2.1 系统初始化过程

该方案的系统参数：

式中，H1、H2分别是密码学上2个强无碰撞的安全单向哈希函数

2.2 用户密钥生成过程

假设原始签名授权组成员为Ai（i＝1，…，m），身份信息为IDai（i＝1，…，m）；代理签名授权组成员为Bj（j＝1，…，n），身份信息为IDbj（j＝1，…，n）。首先利用哈希函数 H1计算 Qai＝ H1（IDai），Qbj＝H1（IDbj），并将Qai和Qbj公布。每个原始签名授权组成员Ai（i＝1，…，m）选择随机数xai∈作为其私钥，相应的公钥为PKai＝xaiP；代理签名人Bj（j＝1，…，n）选择随机数xbj∈为其私钥，相应的公钥为PKbj＝xbjP，mwij表示Ai给Bj的授权（i＝1，2，…，m；j＝1，2，…，n），包含Ai和Bj的身份信息、代理授权有效期限、授权范围、代理权限等。

2.3 证书生成及委托过程

第j个代理签名者Bj（j＝1，…，n）可以按照以下过程从第i个原始签名者Ai（i＝1，…，m）获得证书。

（1）Bj将身份信息（包括IDbj，Qbj和其他必要认证信息）发给Ai。

（2）Ai先验证Bj身份信息的有效性。若Bj的身份信息验证通过，Ai选择随机数rij∈计算Rij＝然后生成Bj的证书Certij＝ （rijhij＋1）xaiQai，再将发送给代理签名人Bj。

（3）Bj收到再验证PKai）是否成立，如果等式成立，则Bj接受签名，否则拒绝。Bj验证完原始签名者Ai所生成的证书Certij后，计算作为自己代理签名私钥，因为：

2.4 签名过程

为了完成对消息M的签名，每位代理签名人Bj（j＝1，…，n）接受信息拥有者UI发出的签名申请，且Bj按照如下步骤进行多重盲签名。

（1）Bj选择随机数每位代理签名者Bj都将R′j和mwmj；R1j，R2j，…，Rmj；Cert1j，Cert2j，…，Certmj）发给签名收集者UC。

（2）UC首先验证下面等式是否成立，若不成立则终止签名，否则求出并将rB发给消息拥有者UI。

（3）UI随机选择P1∈G1，β，λ∈，计算R＝（P1，P）λ，h2＝H2（M，R），h′＝h2β，并将h′发给Bj。

（4）Bj收到h′后，计算V′j＝ （αjh′＋1）Vj，将V′j发给UC。

（5）UC收到签名V′j后，验证，若成立则接受签名，否则拒绝该签名或者要求代理人Bj重新签名；若所有代理签名人的签名都通过验证，则计算并将发给UI。

（6）UI接受到后，计算V＝h2λP1，则消息M的多重代理盲签名为σ（M）＝（M，V，R）并发送给签名的接受者。

2.5 验证过程

签名验证者收到σ（M）＝ （M，V，R）后，首先计算h2＝ H2（M，R），然后验证e（V，P）＝Rh2×是否成立，若等式成立，则接受签名，否则拒绝，其原因是：

3 安全性分析

代理盲签名应满足可验证性、可区分性、可识别性、不可伪造性、不可否认性、盲性及不可追踪性等安全要求［11－12］。在验证有效地代理盲签名σ（M）＝ （M，V，R）的过程中，代理权限mwij、原始签名组PKai和代理签名组的公钥PKbj及所有用户的身份信息Qai、Qbj均要出现在验证算法中，由此验证基于证书的多重代理多重盲签名方案满足可验证性、可区分性、可识别性和不可否认性等安全要求。下面重点分析该方案满足不可伪造性、盲性以及不可追踪性的安全要求情况。

3.1 不可伪造性

在该方案中，假如攻击者想要伪造原始签名人Ai（i＝1，2，…，m）对代理签名人Bj（j＝1，…，n）的委托签名（mwij，Rij，Certij）面临CDHP难题。同时，mwij确定除了Bj以外其他任何人不能接受委托而成为代理签名者，并且Bj的代理签名私钥是利用委托签名（mwij，Rij，Certij）和其私钥所生成的，因而除了Bj外，其他任何人不能以Bj的名义生成合法的代理密钥。

3.2 不可链接性

用户UI公布签名σ（M）＝ （M，V，R）后，即使Bj保留每一次签名时的序对（h′，V′j），均不能从h′＝h2β与V＝＋h2λP1中求出P1，β，λ，所以要把该多重代理签名与其以前某个签名联系起来是不可行的，也不能由已经公开的签名中求出签名接收者的身份及被签署内容，因而该方案具有不可链接性。

3.3 盲性

根据签名算法，若给定的一个有效的代理盲签名σ（M）＝ （M，V，R）且在签发过程中用到数据（rB，h′，），则下列等式成立：

因此，只需要证明存在2个盲因子（P′1，λ′）满足e（V－，P）＝e（h2λ′P′1，P）。由式（4）可知，盲因子（P1，λ）总是存在且满足式 （4）的定义，因而该方案具有盲性。

4 结 语

多重代理多重盲签名综合了多重代理多重签名和盲签名的优点，在现实生活中有着广泛的应用，如电子商务、办公自动化、电子投票等方面。基于双线性对提出了基于证书的多代理多盲签名方案，由安全性分析可知，该方案满足多重代理多重签名的不可伪造性、不可否认性、可验证性等安全特性，同时还满足盲签名的不可链接性。因此，基于证书的多代理多盲签名方案具有可行性。

［1］Gentry C.Certificate－based Encryption and the Certificate Revocation Problem ［J］.Lecture Notes in Computer Science，2003，656：272－293.

［2］Lin W D，Jan J K.A security personal learning tools using aproxy blind signature scheme ［A］.Proc of International Conference on Chinese Language Computing ［C］.USA：Chinese Language Computer Society Knowledge Systems Institute，2000：273－277.

［3］伊丽江，白国强，肖国镇 .代理多重签名：一类新的代理签名方案 ［J］.电子学报，2001，29（4）：569－570.

［4］何军，李丽娟，李喜梅，等 .前向安全的代理多重数字签名方案 ［J］.计算机工程，2010，36（14）：122－126.

［5］祁传达，陶建平，金晨辉 .一个安全的多重代理签名方案 ［J］.计算机应用研究，2006，4：110－111.

［6］杨长海 .基于身份的门限多代理多盲签名方案 ［J］.计算机工程与应用.2010，46（18）：121－124.

［7］秦艳琳，吴晓平.基于ECC的多重代理多重盲签名方案 ［J］.计算机工程.2010，36（11）：134－139.

［8］Zheng D，Huang Z，Chen K F.ID－based proxy blind signature ［J］.IEEE Computer Society，2004，92：380－383.

［9］Lang W M，Tan Y M，Yang Z K.A new efficient ID－based proxy blind signature scheme ［J］.IEEE Computer Society，2004，92：407－411.

［10］张学军，王育民 .高效的基于身份的代理盲签名 ［J］.计算及应用，2006，26（11）：2586－2588.

［11］农强，吴顺祥 .一类新的基于证书的代理盲签名 ［J］.计算机工程与应用，2008，44（12）：124－165.

［12］王雯娟，黄振杰，郝艳华 .一个高效的基于证书数字签名方案 ［J］.计算及工程与应用，2011，47（6）：89－92.