基于双线性对代理盲签名方案.docVIP

基于双线性对代理盲签名方案 　　【 摘 要 】 代理盲签名在电子商务中CA、证书、电子现金、电子选票的签发等方面有着广泛的应用。本文基于双线性对提出了一种代理盲签名方案，通过安全性分析，该签名具有可验证性、盲性、不可否认性、不可伪造性、不可链接性和可区分性等特性。 　　【 关键词 】 代理盲签名；双线性对；方案；安全性 　　1 引言 　　数字签名是现代密码学的重要组成部分，1976年，Difile-Hellman首次提出公钥密码体制，在这之后，关于数字签名的各种算法层出不穷，使得数字签名技术得到了广泛应用。1982年，Chaum提出了基于RSA的盲签名方案，签名者在不知道被签消息内容的情况下对消息进行签名，该签名具有盲性和不可追踪性。1996年，Mambo等人又提出了代理签名的概念，即一个被指定的委托代理签名人可以代表原始签名人生成有效的代理签名。目前，关于代理签名研究比较多，如Zhang等提出了具有授权证书的部分代理签名和门限代理签名，Yi等提出了代理多重签名方案。2000年，Lin和Jan提出了代理盲签名方案，文献[6]提出了一个基于离散对数的代理盲签名方案，并把该方案平移至椭圆曲线上。Lal和Awasthi基于M-U-O代理签名方案提出了一种新代理盲签名方案，然而这些方案都不能抵抗伪造攻击，并且都不具有不可链接性。文献[8]提出了一个基于双线性对的代理盲签名方案，在该方案中，密钥认证中心也可以产生代理盲签名，因此要求密钥认证中心是绝对可信的，在实际中是不现实的，并且也不满足不可链接性。本文在文献[9]和文献[10]的基础上提出了一种基于双线性对的代理盲签名方案，方案具有盲性、不可链接性、不可伪造性等特性，满足代理盲签名方案的各项安全性要求。 　　2 预备知识 　　2.1 双线性对 　　令G1和G2分别是阶为大素数q的循环加法群和循环乘法群，P是G1的一个生成元，假设G1和G2中的离散对数都是困难问题。令e：G1×G1→G2为满足下列特性的双线性对： 　　（1）双线性：e（aP，bQ）=e（P，Q）ab=e（abP，Q）=e（P，abQ），其中P，Q∈G1；a，b∈Z*q。 　　（2）非退化性：存在P∈G1，其满足e（P，P）≠1。 　　（3）可计算性：任意取P，Q∈G1，存在有效算法计算e（P，Q）。 　　把满足上述特性的双线性映射叫做可容忍的双线性映射。可以用超椭圆曲线上的Weil对或经改造的Tate对来构造双线性对。 　　2.2 代理盲签名 　　代理盲签名通常具有几种特性。 　　（1）可验证性：原始签名人、委托代理签名人以及消息拥有者都可以验证代理盲签名。 　　（2）盲性：委托代理签名人虽然对消息签了名，但其并不知晓消息的具体内容。 　　（3）不可否认性：原始签名人授权给委托代理签名人其代理签名权后，委托代理签名人就可以代表原始签名人对消息进行代理盲签名。一旦委托代理人对消息进行代理盲签名后，无论是原始签名人还是委托代理签名人，都不能否认该签名。 　　（4）不可伪造性：只有合法的委托代理签名人才可以产生代理盲签名，其他任何人包括原始签名人都不能伪造委托代理签名人的签名。 　　（5）不可链接性：代理盲签名被公开后，委托代理签名人无法将代理盲签名与以前的签名联系起来。 　　（6）可区分性：任何人都可以通过消息的签名来确定该签名是委托代理签名人所签的代理盲签名还是原始签名人自己所签的名。 　　3 基于双线性对的代理盲签名方案 　　假设Cindy有一消息M需要Alice签名，且其消息内容具有一定的保密性，而原始签名人Alice由于种种原因不能对该消息进行签名，Alice委托代理签名人Bob为该消息签名。为此，采用了基于双线性对的代理盲签名方案，本方案共有五个部分组成：系统初始化、密钥生成、委托过程、签名过程和验证过程。 　　3.1 系统初始化 　　设G1是一个阶为大素数q的GDH群，G2是一个阶为大素数q的循环乘法群。双线性对映射e：G1×G1→G2。 　　P是G1的一个生成元，散列函数h1：{0，1}*→Zq，h2：{0，1}*→G1，系统公开参数为（G1，G2，e，q，P，h1，h2） 　　3.2 密钥生成 　　原始签名人Alice任意选取随机数kA∈Z*q作为其私钥，秘密保存好，然后计算PA=kAP，将PA作为其公钥，并在系统内部公开。同样，委托代理签名人Bob任意选取随机数kB∈Z*q作为其私钥，秘密保存好，然后计算PB=kBP，将PB作为其公钥，并在系统内部公开。 　　3.3 委托过程 　　（1）原始签名人Alice计算σ=kAh2（ω），其中ω为原始签名人Alice的授权书，ω包括其授权的范围、期限和委托人的ID等相关信息。然后将（σ，ω）发送至委托代理签名人Bob。 　　（2）委托代理签名人Bob收到原始签名