一种门限代理盲签名方案

一种门限代理盲签名方案
戚艳军;冀汶莉
【摘要】Example of an electronic election, the paper presents threshold proxy blind signature scheme using bilinear pairings based on the blind signature. This scheme combined proxy signature and threshold signature. The paper analyses the process of scheme and effectiveness, safety, blind, efficiency of the scheme in detail. By analyzing and proofing, we conclude that this scheme has feature of easier process and better efficiency.%以电子选举为例,在盲签名的基础上将双线性对作为工具,结合代理签名和门限签名,提出了基于双线性对的门限代理盲签名方案.详细分析了方案的实现过程,并对该方案的有效性、安全性、盲性和方案效率进行分析论证.通过分析及论证,得出该方案的实现过程简单,效率较高.
【期刊名称】《现代电子技术》
【年(卷),期】2012(035)009
【总页数】3页(P70-72)
【关键词】电子选举;双线性对;门限签名;代理签名;盲签名
【作者】戚艳军;冀汶莉
【作者单位】西北政法大学信息与计算机系,陕西西安710063;西安科技大学通信与信息工程学院,陕西西安710054
【正文语种】中文
【中图分类】TN918.91-34
0 引言
数字签名是电子商务和电子政务中信息安全的核心技术之一。

如今，投票选举等许多传统的生活方式正在朝着网络化的方向发展，由于现实选举中选民的匿名性和少数服从多数的选举原则，使得电子选举在实现过程中也要实现上述这两个特性。

在盲签名中，由于签名人对所签消息透明并且对消息具有不可追踪性，被广泛地应用于电子支付、电子选举中。

代理签名是指签名人可以通过委派将签名权利授权给代理人，由代理人对消息进行签名。

而门限签名方案首先由Desmedt和Frankel 提出的，其基本思想来源于Shamir的(t,n)秘密共享[1]。

电子选举首先需要使用盲选票隐匿选民的身份；其次，选民可以将选举权利委托给代理人实施选举。

为了防止代理人权限过于集中，即多个签名人(选举人)同时将选举权利授权给同一个代理人，可以结合门限签名对消息进行签名。

因此，采用门限代理盲签名可以实现整个电子选举的过程，并且能够保证整个选举过程的安全性、公平性和合法性。

本文以双线性对为工具，根据上述应用要求，构造基于双线性对的门限代理盲签名方案。

1 双线性映射及性质
<G1,+>和<G2,×>是以大素数q为阶的循环群。

G1的生成元为p,双线性对e是一个满足双线性、非退化性、可计算性的一个映射e:G1×G1→G2。

双线性对的性质在很多文献中有详细说明，可以参看文献[2-3]中的描述。

2 基于双线性对的门限代理盲签名方案
该方案中，由可信中心的一个群签名人负责整个选举成员的信息和签名的生成。

假设系统有m个成员(即选举人)，他们全部委托给n个代理人实现签名，只要有t 个符合条件的代理人参与，代理人就可以对一个选票即明文M产生盲签名。

本文
在GDH(GapDiffie-Hellman)群[2]的基础上构建一个电子选举的门限代理盲签名
方案。

该签名系统由系统参数建立、向代理人授权、代理密钥生成、盲签名生成和验证五个部分构成。

2.1 系统参数建立
系统明文待签消息串M∈{0,1}*，选取两个安全的单向哈希函数：H1:{0,1}*→G1。

PKG随机选取计算C=as，将s作为系统主密钥保存，系统公开参数(a,C)。

2.2 代理过程
(1) 签名人A：假设系统有m个签名人，他们的身份用表示，私钥为：对应的公钥为：pAi=sip，这里i=1,2,…,m。

(2) 被委托人，即代理签名人B：设系统有n个代理人，他们的身份用表示，私钥为：对应的公钥为：pBj=djp，j=1,2,…,n。

(3) 授权过程
签名人和代理人的私钥由式子Spri=aH1(Vm)生成，这里Vm包括签名人身份信
息ID、授权期限、门限值等。

授权人A任意选取b∈RG1，计算r=e(b,p)，
v=H2(PB,r)，U=vsA，这里PB为代理人的公钥，sA为签名人的私钥，通过安全
信道将(U,r)安全地发送给代理人B，代理人计算e(U,p)和e(pA,C)vr,如果
e(U,p)=e(pA,C)vr，则(U,r)是A授权给B的证书，B利用授权证书计算自己的代
理签名私钥KBj=U+dBj。

2.3 代理密钥生成
由于本方案采用的是门限签名，所以授权人经过授权后，需要在授权人之间分享代理签名人Bj的代理私钥KBj，采用Shamir门限结构计算代理人的代理私钥，过
程如下[2-5]：
(1) 每一个Bj随机选择一个多项式fj(x)，使得fj(0)=KBj，可以用代理人Bj的身份信息代替x，计算Bj的影子，即私密份额Pi=fj(IDBj)；
(2) Bj得到n个代理人的代理私钥份额。

Bj的分享私钥通过信道向所有代理人广播分享公钥，为PKj=SKjp。

(3) Bj的分享私钥SKj可以从t个私密份额进行重构，给定任意t个私密份额SK1，SK2，…，SKt，由拉格朗日插值公式可以重构多项其中可以将共享的秘密信息回
复出来。

2.4 盲签名过程
在n个代理人中选取t个人员对消息M进行盲签名。

(1) 每一个代理人员随机选取pi ∈R G1 ，计算Di=e(pi,p)，i=1,2,…,t，将Di发
送给用户。

(2) 用户(即选票委员会)计算随机选取计算D′=Dte(p0,p)， h=t-1H2(M,D′)，将
D和h发送给每一个签名成员。

(3) 每一个签名人Bi计算Si=liSKjhH1(Vm)+pi，将签名Si发送给用户。

(4) 用户收到Si后，验证每一个e(Si,p)=e(lihH1(Vm)+lipi,PKi)是否成立，若不成立，可以说明该签名人是假冒的;否则，计算并进行脱盲变换S=tS0+p0。

整个系
统得到的签名σ(M)=(S,M,D′,Vm)，会话信息为(D,h,S0)[4,6-8]。

3 方案分析
以上详细描述了门限代理盲签名方案的整个过程，下面重点讨论该方案的有效性、安全性、不可追踪性以及签名效率。

3.1 有效性证明
上述整个门限代理盲签名过程对签名消息M的验证过程如下：
=
=
所以，证得整个门限代理盲签名过程的正确性。

3.2 安全性证明
该方案的安全性从以下几点进行说明：
(1) 本方案采用的是门限签名。

门限签名的安全性是基于t个签名成员都同时存在才能够获得签名私钥，由2.3节可知，任何t-1个签名成员都无法通过拉格朗日插值公式计算获得签名私钥。

(2) 授权人和签名人分离。

授权人通过给代理人发放授权证书，从而进一步控制了代理签名的有效性。

(3) 采用GDH群建立盲签名方案。

而GDH问题是一类CDH问题困难而DDH问题容易的问题。

从而使得攻击者无法得到代理人的签名密钥，即使攻击者伪造一个有效签名σ′(M)，也无法从等式e(Si,p)=e(liD+lihH1(Vm),PKi)中获得Si，因为攻击者将面临双线性对分叉问题，从而保证系统的安全性。

3.3 盲性证明
在签名过程中，用户使用盲化因子t,p0对消息进行盲化，将盲化消息发送给每一个代理签名人Bi，签名人使用自己的签名私钥对盲化的消息h进行签名。

从3.1节有效性证明中可以看出，在整个签名过程中，盲化因子t,p0始终存在在签名的整个过程中，因此，签名人无法得到原始信息M的内容。

3.4 不可追踪性证明
在整个签名过程中，代理人Bi无法将其对盲消息的签名和具体的消息联系起来。

证明如下：假设破译者得到有效签名(S,M,D′,Vm)，它无法和签名过程中产生的会话信息(D,h,S0)联系起来。

从:
(1)
D′=Dte(p0,p)
(2)
h=t-1H2(M,D′)
(3)
S=tS0+p0
(4)
从式(1)～式(4)可看出，盲因子t,p0始终存在，代理人无法将其签名和哪一个盲消息联系起来，因此，签名具有不可追踪性。

3.5 效率分析
本方案需要经过两次认证过程，一次是授权人给代理人发放授权证书的过程，另一次是用户验证每一个代理人签名是否合法。

整个签名过程需要4次双线性对运算，群G1中的加法运算2次，数乘运算4次，运算次数较少，运算效率较高。

4 结语
以电子选举为例，本文在盲签名的基础上，提出了基于双线性对的代理门限盲签名方案，将代理签名、门限签名和盲签名相结合，用户的身份和密钥绑定，节省了用户从系统中获取公钥的时间，减少系统交互次数，提高了系统执行效率。

在实际应用中，门限代理签名可以防止代理人权利过于集中，同时，结合盲签名技术，使得签名消息对代理签名人透明。

参考文献
[1]袁彪.代理门限签名体制及其应用研究[D].成都：四川师范大学，2006.
[2]陈泽梅，王国才.基于双线性对的门限代理盲多重签名方案[J].计算机应用研究，2008，25(10)：3100-3102.
[3]MAMAO M, USUDA K, OKAMOTO E. Proxy signatures:delegation of the power to sign message [J]. IEICE Transaction on Fundamentals of Electronic Communication and Computer Science, 1996, 79 (9): 1338-1354.
[4]农强，郝艳华，吴顺祥.基于身份的(t,n)门限盲签名方案[J].计算机工程与设计，2009，30(5):1068-1070.
[5]YI L J, BAI G Q, XIAO G Z. Proxy multi-signature scheme: a new type of proxy signature scheme [J]. Electronics Letters, 2000, 36(6): 527-528. [6]夏祥胜，洪帆，耿永军，等.一个基于双线性对的前向安全的代理签名方案[J].计算机科学，2009,36(4)：90-94.
[7]HSU C L, WU T C. New nonrepudiable threshold proxy signature with known signers [J]. Journal of Systems and Software, 2001 (58): 119-124. [8]HSU C L, WU T S, WU T C. Improvement of threshold proxy signature scheme [J]. Applied Mathematics and Computation, 2003, 136: 315-321.。