基于双线性对的盲签名方案

2009丘第3期
青海师范大学学报(自然科学版)
J our nal of Q i nghai N or m al U ni ve r s i t y(N at ur al Sci en ce)
2009
N O．3基于双线性对的盲签名方案
王萍姝
(青海民族大学数学系，青海西宁810007)
摘要：双线性对是构建密码体制的重要工具，但双线性对运算是最耗时的运算，直接影响着方案的执行效率．利用双线性对提出的盲签名方案与已有方案的双线性对运算相比．具有运算量少，计算效率高的特点．同时，方案具有盲性、不可伪造性等安全特性．
关键词：数字签名I盲签名，双线性对，安全性
中圈分类号："r P309文越标识码：A文章编号：1001--7542(2009)03一0007—03
1引言
自1982年C haum首次提出盲签名概念以来[13，盲签名的理论研究得到了密码界学者的关注，基于各种密码体制的盲签名被提出，如基于R SA体制、E1G am a l体制的盲签名．盲签名应用也有着广泛的背景，如盲签名在电子现金、电子投票、合同签订、遗嘱公证等领域的应用．盲签名是一种特殊的数字签名，它是在签名者不知道被签名消息的情况下所进行的签名，即消息对签名者是盲的；当所签消息被公布后，签名者无法将签名与所公布的消息联系起来，也就是说他并不知道此次签名是他哪一次的签名；签名者对消息所做的签名，任何第三方都不能伪造，满足以上性质的盲签名被认为是安全的．双线性对起初被用来进行M O V攻击和F R攻击．但近几年来，学者们发现用双线性对构造密码方案具有良好性质，因此双线性对在密码方案的设计中得到了广泛地研究和应用，基于双线性对的各种数字签名方案被提出，如文献[2，3]分别提出了基于双线性对的盲签名方案、基于身份的盲签名方案具有盲签名的性质，基于身份的盲签名方案和基于身份的环签名方案．文献[3]是在已有盲签名方案的思想基础之上，提出了新的基于双线性对的盲签名方案，与已有方案相比，文献中的方案克服了原有方案的安全缺陷．
运算量是衡量签名方案设计优劣的一个重要性能指标．利用双线性对工具在设计盲签名时，要注意签名方案的运算量问题，双线性对运算和标量乘运算是两个耗时的密码学运算，它是影响方案执行效率的重要因素．本文从运算量的角度，对文献[2，3]中的计算量进行了分析，认为两个方案的双线性对运算和标量乘运算量较大，如文献[3]达到八个双线性对运算，这影响了方案的执行效率．为此，本文提出了一个基于双线性对的盲签名方案，并与文献[2，3]的运算量进行了对比分析．分析表明，在双线性对运算和标量乘运算量上，本文提出的方案与文献[2，3]相比至少减少一个双线性对运算和四个标量乘运算，这有助于提高方案的执行效率．同时，方案还具有盲签名的盲性和不可链接性等安全特性．
2预备知识
2．1盲签名及其特性
盲签名是一种特殊的数字签名，它与通常数字签名的不同之处在于，盲签名是一个用户和签名者之间的两方协议．协议的基本思想是：用户想要签名者对某个消息签名，但又不想让签名者知道所签消息的内容．盲签名方案主要包括系统参数生成、密钥生成、签名生成和签名验证这几个阶段．
收稿日期：2009一04—21
作者简介：王萍妹(1967一)，女，副教授，硕士，研究向为密码学和应用学．
8青海师范大学学报(自然科学版)2009生
盲签名应具有如下特性：
(1)盲性：签名者对其所签署的消息的具体内容是不可见的．
(2)不可链接性：当签名信息被公布后，签名者不能将签名与盲消息联系起来．
以上的性质是判断一个盲签名性能优劣的基本依据，也是设计盲签名所遵循的标准．
2．2双线性对
设G。

和G2是阶为素数q的加法群和乘法群，P为G。

群的生成元．假设G。

和G2这两个群中的离散对数问题都是困难问题．一个双线性对是P：G。

×G。

一G2的映射，且满足下列性质：
(1)双线性性：e(a P，t O)一e(P，Q)击，对所有P，Q∈G。

和所有a，b∈刃；
(2)非退化性：存在P，Q∈G-，使得e(P，Q)≠1；
(3)可计算性：存在有效算法可以计算e(aP，t o)，对所有P，Q∈G1．
在本文中，假定G。

和G2都是G D H群，且D L是难解的．
3盲签名方案
本文提出的盲签名由用户(消息待签者)、签名者和可信中心共同完成，方案由系统参数生成、密钥生成、盲签名生成和验证四个阶段组成，具体描述如下：
系统参数生成：
可信中心TA C完成系统参数选取．设G。

和G。

分别为阶为q的加法群与乘法群，P为G的生成元，P：G。

×G。

一G2的双线性映射，H：{0，1)。

--,z；为单向的H ash函数．
系统参数为(G。

，G：，e(，)，P，H，q)，并公开．
密钥生成：
TA C随机选取z∈刀，计算Y=xP，．75和y分别作为签名者的密钥和公钥，通过安全信道将z发给签名者．
设用户需要签名者所签的消息为m，盲签名的生成按如下步骤进行：
(1)签名者随机选取r∈Z?，计算R—rP，将R发送给用户，作为签名者的一个承诺．
(2)用户随机选取口，卢∈z?，计算：T一胆，K=H(m，T)aP，Q=e(K，P)，并把盲化后的消息Q 发送给签名者．
(3)签名者用自己的私钥．,117对消息Q签名，V=Q，将V发给送用户．
(4)用户计算S=V,r-1得到消息m脱盲后的盲签名(S，T)，其中口-1是口∈刃中的逆元．
盲签名的验证：
对消息m的盲签名(S，T)，可通过S=e(P，y)州…n验证，如果等式成立，则盲签名(S，丁)作为签名者的有效签名，否则签名无效．
4方案分析
4．1正确性
如果在该方案中，用户和签名者都是诚实的，(S，T)作为签名者的有效签名，则S=e(P，y)小…力．事实上，S=e(K，P)9一一P(H(m，T)aP，y)。

‘=e(P，Y)H‘“D．
4．2安全性分析
(1)盲性：方案具有盲性，即签名者在签名的过程中对所签的消息m是不可见的．这是因为用户发送给签名者的是经过盲化后的消息Q，签名者无法知道盲化因子卢，也就无法知道消息m．另一方面签名者若想从盲化后的消息Q得到消息m，这等于要求解解离散对数问题和面临H a s h函数的单向性．因此，消息m对签名者来说是盲的．
(2)不可伪造性：攻击者想要从Y=zP得到签名者的私钥z，这等于是解G D H群上的离散对问
第3期王萍姝：基于双线性对的盲签名方案9
题．因此，攻击者不能用签名者的私钥z来签名．攻击者如果想使得伪造消息m7的签名('s7，r)成立，则必通过验证方程S7=e(P，y)H‘”’’r’，这仍面临着求解离散对数问题和H as h函数的单向性，这在计算上是不可行的．因此，方案具有不可伪造性．
(3)不可链接性：在签名的过程中，签名者的视图为(R，Q，V)，在签名验证的过程中，签名者的视图为(尺，Q，V，S，T)．当被签信息公开后，签名者从用户对消息m盲化后的Q，还是从S=yfl和丁=脉与自己保存的信息联系起来，都面临着求解离散对数问题．
4．3效率分析
设Pa表示双线性对运算，Pm表示标量乘运算，Pe表示指数运算，P c表示为求逆运算．下面将本文中提出的方案与文献[2]、文献r33中的方案在双线性对运算、标量乘运算和指数运算上的计算量作以比较，如表1所示．从表中比较看出，本文提出的方案对运算量是最少的，因此在计算效率方面高于其他的方案．
表1本方案与文献[2]、文献[3]中的方案计算■比较
5结论
本文从计算量的角度，基于双线性对和数字签名技术设计了一个新的高效的盲签名方案．该方案是通过TA C作为可信的第三方、用户和签名者共同完成的，在签名的生成过程还是验证过程，具有运算量少的优点，提高了协议各方的执行效率．对方案的正确性和安全性也做了分析，表明方案是具有盲性和不可伪造性等特点．
参考文献：
[1]D C ha unm B l i nd s i gna t ur e f or unt r aceabl e pa ym ent s[e1．A dvance s i n C rypt o l og y--C R Y P T082，N e w Y or k；Spr i ng--V er l a g，1983l
199—203．
[2]F．Zhang，K．K i rm I D--B as ed B l i nd Si gnat ur e and R i n g Si gnat ur e f r om Pai r i ng s[C]．L NC S2727A C I S P2002．N ew Y or k Spr inger
—V er l ag，2002t533--547．
[33向新银．郝会兵，党荣香．基于双线性对的盲签名方案[刀．计算机工程与应用，2008，44(11)。

122—123．
A B l i nd Si gna t ur e Schem e f r om B i l i near Pai r i ngs
W A N G Pi ng—s hu
(D e pa r t m e nt of M a t hem at i cs，Q i ngha i U ni ver s i t y f or N at i onal i t i es，X i n i ng810007，Chi na)
A bs t ra c t：
B i l i ne ar pai r i n gs is an i m por t ant t ool t o m ake cr ypt os ys t em，but com put at i on of bi l i near pai r i ngs is m ore t han ot her operat i ons，i n ot her w or ds，i t is t i m e—c ons um i ng，t hat w i l l af f ec t e ffi—c i e ncy of t he i m p l em e nt at i on of t he pr ogr a m．A bl i nd s i g nat u r e s che m e f r om bi l i ne ar par i ngs i s pr o—pos ed i n t hi s paper，t he com put at i on of bi l i ne a r pai r i n gs i s l e ss t han pr esent e d bl i nd sc he m e s，and w hi ch has s ever al s ec uri t y char act eri s t i cs，s uch a s bl i nd ness，non—f or ger y et c．
K ey w or ds：di gi t al s i g nat ure；bl i nd s i g nat ure；b i l i near pai r i ng s；s ecur i t y。