前向安全代理盲簽名方案的分析與改進

劉二根，王 霞

（華東交通大學理學院，江西 南昌330013）

前向安全代理盲簽名方案的分析與改進

劉二根，王 霞

（華東交通大學理學院，江西 南昌330013）

通過對Manoj等人提出的前向安全的代理盲簽名方案進行安全性分析，發(fā)現(xiàn)該方案在代理授權和代理盲簽名階段存在攻擊偽造問題。由此提出了改進的前向安全的基于離散對數(shù)的代理盲簽名方案。新方案在代理授權階段將單向散列函數(shù)嵌入到短簽名中，并改進了簽名階段，克服了原方案的缺陷。在效率上，只比原方案多一次哈希運算,但具有更高的安全性，新方案滿足可驗證性、可區(qū)分性、不可偽造性、不可否認性等性質(zhì)。

代理盲簽名；前向安全；不可偽造性；代理密鑰

1982年，Chaum首次提出了盲簽名的概念[1]。所謂盲簽名，就是簽名者在不知道所簽署的消息的具體內(nèi)容的情況下進行簽名，由于這一特性，使得盲簽名廣泛的應用于電子現(xiàn)金、電子商務等領域。1996年，Mambo等人首次提出了代理簽名的概念[2]，所謂代理簽名，就是當簽名者因為某些原因，無法親自簽名，這時他需要委托他人代替自己簽名。例如，某公司有一份緊急文件需要經(jīng)理簽名，但他在外地出差不能親自簽名，這時他可以將簽名權委托給他的秘書，等等。

盲簽名和代理簽名相結(jié)合，可以產(chǎn)生代理盲簽名。2000年，Lin和Jan首次提出了代理盲簽名的概念[3]，各種代理盲簽名方案也應運而生[4-6]。目前，國內(nèi)外提出了各種類型的代理盲簽名，如無證書的代理盲簽名方案，基于離散對數(shù)問題的代理盲簽名，基于身份的代理盲簽名等。但這些方案中有些存在缺陷，如不能抵抗公鑰替換攻擊，不能滿足不可追蹤性和不可鏈接性，不能抵抗簽名偽造攻擊等。2010年，魏春艷等人提出了一個無證書代理盲簽名方案[7]，但葛榮亮等人發(fā)現(xiàn)該方案不滿足不可追蹤性[8]；2011年，黃雋等人提出了一個無證書代理盲簽名方案[9]，但張建中等人發(fā)現(xiàn)該方案不能抵抗公鑰替換攻擊和惡意的KGC攻擊[10]。代理盲簽名同時具有代理簽名和盲簽名的性質(zhì)，使得其能夠廣泛的應用于電子現(xiàn)金、電子商務、電子選舉等領域。但一旦代理密鑰泄露，那么之前的所有簽名都變成無效的。在研究代理盲簽名的同時，人們逐漸轉(zhuǎn)向研究安全性能高和降低密鑰泄露所帶來的損失的代理盲簽名，即具有前向安全的代理盲簽名方案。1997年，Anderson[11]首先提出了前向安全的概念，為了使簽名具有前向安全性，就要采用密鑰更新的方法，即使代理密鑰泄露，也不會影響之前所有時段的代理盲簽名。2011年，魏俊懿等人[12]提出了一個前向安全的無證書代理盲簽名方案，2013年何濱等人[13]指出方案[12]不能滿足盲性和原始簽名者的偽造攻擊。2014年，Manoj等人提出一個前向安全的代理盲簽名方案[14]，通過分析發(fā)現(xiàn)，方案在代理授權和代理盲簽名階段均存在攻擊偽造。本文提出了一個改進的方案，能夠克服原有方案的缺陷，具有更高的安全性，但在計算復雜度上只比原方案多一次哈希運算。

1 預備知識

離散對數(shù)問題（DLP）：給定素數(shù)p，Zp*的生成元g和Zp*元素a，尋找一個整數(shù)x，0≤x≤p-1，使得a=gxmod p。

2 方案[14]回顧和安全性分析

2.1 方案[14]回顧

本方案包括原始簽名者A、代理簽名者B和簽名接收者R。

2）代理授權。首先生成一個包括雙方身份、代理權限、代理期限等信息的授權證書mω，原始簽名者A選擇一個隨機數(shù)，計算r0=gk0mod p，短簽名s0=xA+k0yBmod q，并將（r0,s0）發(fā)送給代理人B。B收到（r0,s0）驗證等式是否成立，若成立，則計算代理私鑰xp=s0+xB0yAmod q和其對應的代理公鑰yp=gxpmod p。

3）代理私鑰更新。當簽名進入第i個周期的時候，用第i-1個周期的私鑰xBi-1來計算本周期的私鑰，計算出xBi后將xBi-1刪除。然后代理簽名者計算本周期的代理私鑰x′p=s0+xBiyAmod q，代理公鑰y′p=gxpmod p。

5）簽名驗證。驗證者收到關于消息m的簽名（r*，s*，e*）后，驗證等式

是否成立，若成立則（r*，s*，e*）是有效的代理盲簽名，否則，簽名無效。

2.2 方案[14]的安全性分析

方案[14]在代理授權和代理盲簽名過程中均存在攻擊偽造，攻擊方法類似于文獻[6]。

1）原具有前向安全的代理盲簽名方案在代理授權階段存在一定的攻擊。在代理授權階段，代理簽名者在收到（s0,r0）后卻告知原始簽名者自己并沒有收到，從而原始簽名者在其發(fā)送請求下，不得不重新發(fā)送（s′0，r′0）給原始簽名者。那么，代理簽名者可以由等式s0=xA+k0yBmod q，s′0=xA+k′0yBmod q，可得s0-s′0=（k0-k′0）yBmod q，左右兩邊同時加上xA，從而有s"0=s0-s′0+xA=xA+（k0-k′0）yBmod q。，用（s"0，r"0）代替原來的（s′0,r′0），（s"0，r"0）可以通過驗證等式gs"0=yAr0"yBmod p，接下來，代理簽名者可以利用自己生成的（s"0，r"0）來計算代理密鑰xp=s"0+xB0yAmod q。

在代理授權階段存在問題的原因主要是在等式s0=xA+k0yBmod q中，當代理簽名人得到兩組變量（s′0,r′0），（s0,r0）就可以通過將這兩個等式相減從而將原始簽名者的私鑰xA消掉，那么代理簽名者可以形成自己的（s"0,r"0）從而進行代理密鑰的計算，也就是不需要原始簽名者對其進行授權。為了能夠防止原始簽名者的私鑰xA被消掉，可以通過將等式s0=xA+k0yBmod q改為s0=xAH2（mω，r0）+k0yBmod q。

2）原具有前向安全的代理盲簽名方案在代理盲簽名階段存在簽名偽造問題。攻擊者在不知道簽名接收者私鑰的情況下也能構造一個關于消息m在指定周期的簽名，這是因為可以用來yR代替gxR，獲得本周期的代理公鑰y′p，那么r*=（r）αgβyR（y′p）-酌mod p，最終就會得到一個關于消息m在這一周期的代理盲簽名（r*，s*，e*），代理密鑰的更新并不會影響簽名的偽造。

在代理盲簽名階段存在簽名偽造的原因是在等式r*=（r）αgβ+xR（y′p）-酌mod p，由于yR=gxRmod p可以用yR來代替gxR，也就是在不知道簽名接收者私鑰的情況下，攻擊者可以偽造出關于消息m的代理盲簽名（r*，s*，e*）。為了防止這種攻擊，可以改變代理盲簽名的部分過程，簽名接收者隨機選取盲化因子α，β，酌∈Z*p，等式r*=（r）αgβ+xR（y′p）-酌mod p，改為r*=（r）αgβ（y′p）-酌mod p，等式s*=αs+βmod q改為s*=αs+β-xRmod q，其余不變。

3 改進的方案及安全性分析和效率分析

3.1 改進的方案

本文的方案是在方案[14]的基礎上做的改進，本方案包括原始簽名者A、代理簽名者B和簽名接收者R。

1）系統(tǒng)初始化。選擇大素數(shù)p，q，使得q｜p-1，g∈Z*q是階為q的元。（xA,yA）是原始簽名者A的密鑰對，其中xA為私鑰，yA=gxAmod p為公鑰；（xB,yB）是代理簽名者B的密鑰對，其中xB為私鑰，yB=gxBmod p為公鑰；（xR,yR）是簽名接收者R的密鑰對，其中xR為私鑰，yR=gxRmod p為公鑰，H0、H1是安全的Hash函數(shù)。

2）代理授權。首先生成一個包括雙方身份、代理權限、代理期限等信息的授權證書mω，原始簽名者A選擇一個隨機數(shù)，計算r0=gk0mod p，短簽名s0=xAH0（mω，r0）+k0yBmod q，并將（r0,s0）發(fā)送給代理人B。B收到（r0,s0）驗證等式是否成立，若成立，則計算代理私鑰xp=s0+xB0yAmod q和其對應的代理公鑰yp=gxpmod p。

3）代理私鑰更新。當簽名進入第i個周期的時候，用第i-1個周期的私鑰xBi-1來計算本周期的私鑰xBi=，計算出xBi后將xBi-1刪除。然后代理簽名者計算本周期的代理私鑰x′p=s0+xBiyAmod q，代理公鑰yp′=gx′pp。

4）簽名產(chǎn)生。

③代理簽名者B收到e后，計算s=k-ex′pmod q，并把s發(fā)送給R。

④簽名接收者R收到s后，計算s*=αs+β-xRmod q，（mω，r*，s*，e*）是關于消息m的代理盲簽名。

5）簽名驗證。驗證者收到關于消息m的簽名（r*，s*，e*）后，驗證等式

是否成立，若成立則（r*，s*，e*）是有效的代理盲簽名，否則，簽名無效。

3.2 安全性分析

2）可區(qū)分性。因為授權證書mω包括雙方的身份信息等，因此任何人可通過mω知道對應的代理簽名者。

3）不可否認性。因為授權證書mω包括原始簽名者和代理簽名者身份信息、代理權限、代理期限等內(nèi)容，所以一旦代理盲簽名有效，那么原始簽名者和代理簽名者都不可以否認自己的簽名。

4）不可偽造性。由短簽名s0=xAH0（mω，r0）+k0yBmod q，可知要想知道原始簽名者的私鑰xA，那么首先要求出k0，但r0=gk0mod p，求k0相當于解離散對數(shù)問題，這是困難的，因此代理簽名者不能假冒原始簽名者進行代理授權。代理密鑰x′p=s0+xBiyAmod q，要想知道代理密鑰要首先知道代理簽名者B的私鑰xBi，因此其他人不知道xBi的情況下是無法進行代理盲簽名的。想要找到滿足簽名驗證等式的一組有效簽名（r*，s*，e*）是困難的。

5）前向安全性。由于第i個周期代理簽名者的私鑰xBi=x2Bi-1mod q，代理私鑰x′p=s0+xBiyAmod q，在不知道本周期代理簽名者私鑰的情況下是無法進行本周期代理私鑰的計算的。假設第i個周期的代理私鑰被泄露，那么攻擊者能夠知道本周期代理簽名者的私鑰xBi，但不能求得第i-1個周期代理簽名者的私鑰xBi-1，從而無法知道第i個周期的代理私鑰，也無法偽造第i個周期之前的代理盲簽名。

3.3 效率分析

新方案是將原方案代理授權階段的s0=xA+k0yBmod q改成s0=xAH1（mω，r0）+k0yBmod q,代理盲簽名階段的r*=（r）αgβ+xR（y′p）-ymod p改成r*=（r）αgβ（y′p）-ymod p，s*=αs+βmod q改成s*=αs+β-xRmod q，并在原方案中加入了授權證書mω。新的方案能夠抵抗在代理授權階段和代理盲簽名階段的攻擊和偽造，但在計算復雜度上只是增加了一次哈希運算。

4 結(jié)論

本文提出了一個改進的無證書代理盲簽名方案，克服了原方案的缺陷，同時保留了原方案的前向安全性，使得代理密鑰泄露后的損失減??；即使代理密鑰泄露，攻擊者也無法偽造過去時段的代理盲簽名，之前的簽名仍然有效。改進的方案具有可驗證性、不可否認性、可區(qū)分性、不可偽造性等性質(zhì)。由于代理盲簽名具有盲簽名的特點，也具有代理簽名的特點，它可以廣泛的應用于需要保護用戶隱私和匿名性的場合，如電子現(xiàn)金、電子商務等。

[1]CHAUM D.Blind signatures for untraceable payments[C]//Advance in Cryptology-Crypto’82，1983：199-203.

[2]MAMBO M，Usuda K，Okamoto E.Proxy signatures for delegating signing operation[C]//Proceedings of 3rd ACM Conference on Computer and Communications Security.New York:ACM Press，1996：48-57.

[3]LIN W D，JAN J K.A security personal learning tools using a proxy blind signature scheme[C]//Proc of International Conference on Chinese Language Computing，2000：273-277.

[4]張學軍，王育民.高效的基于身份的代理盲簽名[J].計算機應用，2006，26（11）：2586-2588.

[5]陳玲玲，亢保元，張磊.一種高效的基于身份的代理盲簽名方案[J].華東交通大學學報，2008，25（1）：113-116.

[6]張碧軍，何明星.一個基于代理盲簽名的電子選舉方案[J].西華大學學報：自然科學版，2013，32（4）：10-13.

[7]魏春艷，蔡曉秋.新的無證書代理盲簽名方案[J].計算機應用，2010，30（12）：3341-3342.

[8]葛榮亮，高德智，梁景玲，張云.無證書代理盲簽名方案的安全性分析及改進[J].計算機應用，2012，32（3）：705-706.

[9]黃雋，杜偉章.無證書代理盲簽名方案[J].計算機工程與應用，2011，47（31）：73-75.

[10]張建中，楊麗.無證書代理盲簽名方案的密碼學分析與改進[J].計算機工程與應用，2014，50（4）：90-93.

[11]ANDERSON R.Invited lecture[C]//Proceedings of the 4th ACM Conference on Computer and Communications Security，Zurich, Switzerland，1997：1-7.

[12]魏俊懿，楊曉元，余丹.一種前向安全的無證書代理盲簽名方案[J].計算機工程與應用，2011，47（34）：95-97.

[13]何濱，杜偉章.前向安全無證書代理盲簽名方案的分析與改進[J].計算機工程與應用，2013，49（22）：104-109.

[14]MANOJ KUMAR CHANDE，BALWANT SINGH THAKUR.An improved proxy blind signature scheme with forward security[J]. International Journal of Computer Applications，2014（85）：1-4.

Analysis and Improvement of Forward Secure Proxy Blind Signature Scheme

Liu Ergen,Wang Xia
(School of Science,East China Jiaotong University,Nanchang 330013,China)

Through the security analysis of the forward secure proxy blind signature scheme proposed by Manoj et al.,this study found out that the scheme can not resist the forgery attack during proxy phase and signature generation phase.In order to avoid these attacks,an improved forward secure proxy blind signature scheme was presented based on DLP.The improved scheme overcame the drawbacks in the original scheme by embedding oneway hash function in short signature during proxy phase and improving signature generation phase.In the efficiency,the improved scheme was more secure with one more hash operation compared with the original scheme, which has verifiability,distinguishability,unforgeability,nonrepudiation,etc.

proxy blind signature;forward secure;unforgeable;proxy key

TP309

A

1005-0523（2015）06-0110-05

(責任編輯 姜紅貴)

2015-06-23

國家自然科學基金項目（11361024，11261019，61472138，61263032）；江西省高?？萍悸涞赜媱濏椖浚↘JLD12067）；華東交通大學校立科研基金項目（11JC04）；江西省科技廳科技項目（20151BDH80071）。

劉二根（1965—），男，教授，研究方向為圖論及其優(yōu)化，信息安全。