无证书的代理盲签名方案

概念， 在无证书公钥密码系统中用户的私钥不再由密钥生成 中心 （KGC） 单独生成， 而是由密钥生成中心生成的部分私钥 和用户自己选取的秘密值两部分结合产生， 这就有效地避免 了基于身份密码系统的密钥托管问题。同时又不需要任何证 书的使用， 解决了基于证书公钥系统的证书管理问题， 更加适 合低带宽和低功率环境中的安全应用。 1983 年 Chaum 首先提出盲签名的概念[2]， 它要求签名人能 在不知道被签文件内容的情况下对文件进行签名。主要用于 安全电子现金、 电子投票等协议中， 用以保护消费者及投票人 的隐私。1996 年， Mambo、 Usuda 和 Okamoto[3]首先提出了代理 签名的概念， 它是指原始签名人把他的签名权授给代理人， 代 理人代表原始签名人行使他的签名权。将代理签名和盲签名 相结合， 可以提出一些代理盲签名方案， 代理盲签名方案不但 具有盲签名和代理签名的优点， 而且还能产生新的特点， 能解 决许多实际存在的问题， 运用前景非常广阔。 2000 年， Lin 和 Jan 将代理签名和盲签名相结合首次提出了代理盲签名的概 念 ， 之后， Tan 等人提出了一种基于离散对数的代理盲签名

)
ter） 、 原始签名人 A、 代理签名人 B、 盲签名的持有者 C 四个参 与者。共 5 个阶段， 分别是： 系统参数设置、 密钥提取、 代理密 钥生成、 代理签名生成和签名验证。
是否成立， 若成立则 σ (m) 为一个有效的代理盲签名。
3.1 系统参数设置
选取安全的双线性对映射 e:G1 ´ G1 ® G 2 ， 其中群 G1 和
* * Hash 函数 H1:{0 1}* ® G1 ，H 2:{0 1}* ´ G 2 ® Z q ，H3:G1 ® Z q ，
e(P S + P 2)(e(Q A m w P B))

=
e(P P1 + P 2 + vS P )(e(Q A Y A)e(Q B Y B))
证书签名方案的证书管理问题和基于身份签名方案的密钥托管问题。分析表明， 该方案不仅满足代理盲签名所要求的所有性 质， 而且方案中密钥生成中心 （KGC） 与用户间不再需要可信的安全通道， 更加适合实际应用。 关键词： 无证书公钥密码体制； 代理盲签名； 双线性对 DOI： 10.3778/j.issn.1002-8331.2011.13.031 文章编号： 1002-8331 （2011） 13-0110-03 文献标识码： A 中图分类号： TP309
Y B))

K ′ = Ke(P P 2) v = H 2 (m RK ′) + β ， 发送 v 给 B。
（3） B 计算并发送 S = P1 + vS P 给 C。 （4） C 计算 S ′ = S + P 2 v′ = v - β 。 则对消息 m 的签名为 σ (m) = (S ′ v′ m m w) 。
bQ) = e(P Q)ab 。
（2） 非退化性： 存在 P Q Î G1 ， 使得 e(P Q) ¹ 1 。 （3） 可计算性： 对于所有的 P Q Î G1 ， 存在一个有效的算 法计算 e(P Q) 。
基金项目： 国家自然科学基金 （the National Natural Science Foundation of China under Grant No.60842006） ； 部委科研基金课题。 作者简介： 余丹 （1986—） ， 男， 硕士， 主要研究领域为密码学与信息安全； 杨晓元 （1959—） ， 男， 教授， 硕士生导师； 陈海滨 （1987—） ， 男， 硕士。 E-mail： hbchenwj@ 收稿日期： 2009-09-04； 修回日期： 2009-11-24
[4]
2 预备知识 2.1 双线性对映射
假设 G1 和 G 2 分别为循环加法群和循环乘法群， 且阶均为
G1 的生成元为 P ， 素数 q ， 并且 G1 和 G 2 上的离散对数问题是
难解的。两个循环群之间的一个双线性对映射 e:G1 ´ G1 ® G 2 是满足以下性质的映射： （1） 双线性： 对于所有的 P Q Î G1 和 a b Î Ζ* 有 e(aP q ，
110
2011， 47 （13）
Computer Engineering and Applications 计算机工程与应用
无证书的代理盲签名方案
2 余 丹 1， 杨晓元 1， ， 陈海滨 1 1 2 YU Dan ， YANG Xiaoyuan1， ， CHEN Haibin1
1.武警工程学院 网络与信息安全武警部队重点实验室， 西安 710086 2.西安电子科技大学 计算机网络与信息安全教育部重点实验室， 西安 710071 1.Key Lab of Network & Information Security of APF， Engineering College of Armed Police Force， Xi’ an 710086， China 2.Key Lab of Computer Network & Information Security of the Ministry of Education， Xidian University， Xi’ an 710071， China YU Dan， YANG Xiaoyuan， CHEN Haibin.Certificateless proxy blind signature puter Engineering and Applications， 2011， 47 （13） ： 110-112. Abstract： A certificateless proxy blind signature scheme is presented， which satisfies the security properties of both proxy signature scheme and blind signature scheme.Based on certificateless public cryptosystem， it avoids the using of certificate in certificate-based signature scheme and removes key escrow in ID-based signature scheme.Analysis shows that the proposed scheme can satisfy all the required properties of a proxy blind signature， and it does not need the confidential channel between KGC and users. Key words：certificateless public key cryptography； proxy blind signature； bilinear pairing 摘 要： 结合代理签名和盲签名的特点， 提出了一种无证书的代理盲签名方案。新方案采用了无证书公钥密码体制， 解决了基于
一个安全有效的代理盲签名应满足以下的性质： （1） 可验证性。验证人可验证签名的正确性， 并确信原始 签名人对所签消息的认可。 （2） 不可伪造性。任何不知道代理签名私钥的人都不可 能产生正确的签名。 （3） 不可否认性。一旦代理人代表授权人产生了一个合 法的代理签名， 不能否认这个签名。 （4） 可鉴别性。每个人都可鉴别代理人产生的代理盲签 名和正常盲签名。 （5） 盲性。签名人的协议信息和消息-签名对是不可链接 的。即给定若干次签名会话的协议信息和若干个消息 - 签名 对， 签名人不能确定协议信息和消息-签名对的对应关系。
3.5
签名验证
对已知消息 m 的无证书代理盲签名 σ (m) = (S ′ v′ m m w) ， 验
- v′ H3(H1(m w P B))
3
基于无证书代理盲签名
本 方 案 包 括 密 钥 生 成 中 心 KGC （Key Generation Cen-
证者验证等式 v′ = H 2 (m e(P S ′)(e(Q A Y A)e(Q B Y B))
的身份信息和授权关系， 同时也说明该授权关系的使用限制 等内容。A 计算一个短签名 S w = H3(H1(m w P B))S A ， 将 (m w S w) 发送给代理签名人 B， B 验证等式 e(S w P) = e(Q A Y A)
P B)) 。
H3(H1(m w P B))
2.2 代理盲签名的性质
余 定义以下几个数学难题：
丹， 杨晓元， 陈海滨： 无证书的代理盲签名方案
2011， 47 （13）
111
己选取的， 因此他可以通过计算 D A = D′ A - α(sP) 来获得部分 私钥， 同时通过验证等式 e( D A P) = e(Q A P pub) 来检查部分私 钥正确性。 （3） 私钥生成： A 计算 S A = x A D A = x A sQ A 作为他的私钥。 同 理 代 理 签 名 人 B 的 私 钥 为 S B = x B sQ B ， 公 钥 为 PB =
- v′ H3(H1(m w P B))
- v′ H3(H1(m w P B))

=
公开 {G1 G 2 e q P P pub H1 H 2 H3} 。
e(P P1 + P 2)e(P v(S A + S B)H3(H1(m w P B)))* (e(Q A Y A)e(Q B Y B))
1
引言
2003 年 Al-Riyami 和 Paterson[1] 提出了无证书公钥密码的
方案[5]。 结合盲签名和代理签名的优点， 本文提出一个无证书的 代理盲签名方案， 新方案基于无证书公钥密码体制， 既克服了 证书的管理问题， 也解决了密钥的托管问题， 且满足代理盲签 名所要求的安全性质。同时方案中利用盲化技术使得密钥生 成中心 （KGC） 与用户间不再需要可信的安全通道。

S P = S w + S B H3(H1(m w|| 是否成立， 若成立则计算代理签名密钥：
3.4
代理签名生成
代理签名人 B 对 C 的消息 m 进行盲签名， 过程如下： （1） B 选取 P1 Î G1 ， 计算并发送 K = e(P P1) 给 C。
* （2） C 选 取 P 2 Î G1 β Î RZ q 计 算 R = (e(Q A Y A)e(Q B βH3(H1(m w P B))
< X B Y B > 。
（1） DLP （离散对数问题） ： 给定 P Q Î G1 ， 求满足 Q = aP 的整数 a。 （2）DDHP（确 定 Diffie-Hellman 问 题）： 给定四元组
* (P aP bP abP) Î G14 ， 对 a b c Î Ζ q 判断 c = ab(mod q) 是否
成立。
* a b Î Ζ q P Î G1 ， （3） CDHP （计算 Diffie-Hellman 问题） ： ，
3.3
代理密钥生成
原始签名人 A 建立一个许可信息 m w 来明确说明包含 A 和 B
已知 P aP bP ， 计算 abP 。 （4） GDHP （Gap Diffie-Hellman） 问题： 如 果 在 群 G1 上 ， DDHP 容易但 CDHP 困难， 则 G1 被称为 GDH 群。
G 2 的阶为大素数 q ， 令 P 为群 G1 的生成元。选择 s Î R Z 作
* q
4 性能分析 4.1 可验证性
e(P S ′)(e(Q A Y A)e(Q B Y B))
- v′ H3(H1(m w P B))

=
为系统主密钥， 计算 P pub = sP ， 将 s 秘密保存， 选择 3 个安全