一个新的多重代理盲签名方案

覃海艳，蔡光兴

(湖北工业大学 理学院，湖北 武汉 430068)

盲签名的概念由D.Chaum 最先提出[1,2],它要求签字者对其所签消息是盲的.代理签名由Mambo、Usuda和Okamoto最先提出[3],它指当某个签名人因某种原因不能签名时，将签名权委托给他人(代理人)替自己行使签名权.在2000年，LIN和JAN结合代理签名和盲签名各自的特点最先提出了代理盲签名.多重代理盲签名是代理盲签名的延伸，被授权的代理签名者代替多个签名者进行签名，它应该满足不可链接性，盲性以及不可伪造性等安全性要求，不可伪造性指只有被授权的代理签名者才能产生有效的代理签名，其他任何人不能伪造签名.不可链接性指签名结果产生以后，代理签名者不能将签名结果和签名信息联系起来.盲性是盲签名一个重要特性.文献[4]指出文献[5]中方案不具有不可伪造性和不可链接性，但没有给出一个改进的方案.本文受文献[6]的启发，提出一个新的多重代理盲签名方案，该方案能够满足不可伪造性和不可链接性.

1 方案的分析[5]

1.1 原始签名人的伪造攻击

1.2 链接性攻击

文献[5]方案中，签名(e*,y*)产生后，代理签名者B根据自己保留的信息(w1i,xi,ei,yi)计算出w2′=y*-yi(modp)，w3′=ei-e*(modq)，并检验e'*=e*是否成立.对所有的i，若成立，则具有不可链接性，但是文献[5]方案该等式并不是对所有的i成立.

2 对方案的改进

2.1 系统初始化

2.2 代理子密钥的产生与验证阶段

B检验gsi=yiH(mw,ri)riyB(modp)，若成立，B接受(ri,si,mw).

2.3 代理密钥的产生阶段

2.4 代理盲签名阶段

(iii)B收到e′后，计算s′=w1-e′·sk(modq)，并将s′传给C；

(iv)C收到s′后验证gs′αe′(modp)=x是否成立，若成立，计算s=w4·s′+w2(modq)，(e*,s)为对消息m的代理盲签名.

2.5 代理盲签名验证阶段

xw4gw2α-e*+w3w4αe*=xw4gw2αw3w4(modp)=x*.

3 安全性分析

3.1 不可伪造性

3.2 不可链接性

3.3 不可否认性

由上面的证明和条件(i)(ii)易知A不能否认对B的授权，B也不能否认对C的代理盲签名.

3.4 可区分性

由子密钥验证阶段和签名验证阶段易知均使用Ai和B的公钥yB,因此很容易区分原始签名人和代理签名人.

3.5 防滥用性

在子密钥产生阶段，原始签名人在授权书中明确了代理权限，代理期限等，因此防止了代理签名人的滥用.

3.6 可注销性

若原始签名人A想收回B的代理签名权，只需宣布α不再有效，B生成的代理签名便会随之失效.

4 结论

本文针对文献[4]提出的方案[5]不具有不可伪造性和不可链接性等问题，对原方案进行了改进，克服了原有的不安全，不诚实的原始签名人不能伪造签名，代理签名人也不能追踪签名，这使得改进后的方案更加安全.

[1] Chaum D.Blind Signature for Untraceable Payments[C]//Proc. of Crypto’82.New York, USA:Plenum Press,1983:199-203.

[2] 王育民,张彤,黄继武.信息隐藏—理论与技术[M].北京:清华大学出版社,2006:139-144.

[3] Mambo M, Usuda K,Okamoto K.Proxy Signature: Delegation of the Prower to Sign Message[J]. IEICE Trans on Fundam,1996,79(9):1 338-1 353.

[4] 王国瞻,亢保元,成林.多重代理盲签名分析[J].计算机工程,2010,36(8):130-131.

[5] Lu Rongxing, Cao zhenfu, Zhou Yuan. Proxy Blind Multi-signature Scheme without a Secure Channel [J].Applied Mathematics and Cumputation,2005,164(1):179-187.

[6] 毛卫霞,李志霞,柳烨.一个新的多代理盲签名方案[J].计算机工程与应用,2010,46(12):82-84.