基于离散对数的多重代理部分盲签名

李彦　高德智　张伟哲

【摘 要】‘多代一的模式不只是增加了多个代理人，而是为了防止代理人滥用权力和消息的保密性，这样的签名模式在现实生活中起着很重要的作用，运用离散对数的困难性，在加上部分盲签名的盲性的特点，使得该方案更加安全。

【关键词】离散对数；代理签名；部分盲签名；多重代理部分盲签名

A Multi-proxy Partially Blind Signature Scheme Based on DLP

LI Yan GAO De-zhi ZHANG Wei-zhe

（Shandong University of Science and Technology，Qingdao Shandong 266590，China）

【Abstract】‘More than one person instead of a persons model not only increase proxy more signers，but to prevent the abuse of power and message confidentiality，which play an important role in ture-life. Based on the difficulty in computing discrete logarithm and blinding of treatment，the scheme is more secure.

【Key words】Discrete logarithm problem； Proxy signature； Partially blind signature； Multi- proxy partially blind signature

0 引言

沒有根基也许可以建一座小屋，但绝对不能造一座坚固的大厦。没有安全的方案就不可能保护信息的安全性。随着数字签名的出现，盲签名在1983年被Chaum[1]提出，在进行盲签名的过程中，签名者只是充当公证人以证实签名的真实性，因为所签内容对签名人不可见。而部分盲签名[2-3]的出现，保护了签名人的权力，同时提高了效率和安全性。随着社会的发展，人们对安全的意识也提高了，签名技术也随之提高，各类盲签名相继而生。

代理签名于1996年Mambo，Usuda和Okamoto[4-5]提出，把代理签名分为完全，部分和具有证书的代理签名。各种代理都有自己所有的优势，针对不同的问题，运用不同的代理签名方式。例如祁明等[6]人于2000年的签名方案试图将代理人的身份作为授权，更加贴近生活的代理模式。代理签名不断的变化为了寻求更加安全和运算量小的模式。

在离散对数的前提下，ElGamal[7]在1985年提出了数字签名方案，因为离散对数相较于其他运算更加简单，因此运用了离散对数构造了该方案，并且‘多代一的签名模式使得多个代理人之间相互制衡，相互合作去完成签名过程，增加了攻击者破解该方案的不可能性，保护了参与者的利益不受损，使得方案更加安全。

1 符号的说明

系统参数：p，q是两个大素数，且满足q|p-1；g∈Zp*是其生成元；H（.）是一种单向安全的哈希函数且H：{0，1}*→Zq*。A：原始签名人；xA； A的私钥；yA；A相应的公钥，yA=g modp；Bi；第i个代理签名人；xi；Bi的私钥；yi；Bi相应的公钥，yi=g modp；W；用户；Uc；签名收集者；mwi；A与Bi的授权文件，该文件包括A与Bi授权期限和内容及他们的身份信息等；m；待签名的消息；c；用户和签名者共同协商的一个常数。

2 该方案的签名过程

2.1 委托阶段

（1）A计算Ki=g modp，其中k∈Zq*是A随机选取的；

（2）A计算ei=H（mwi，Ki）， =xAei+kiKimodq，并用安全的通道A把K ，m ， 发送给Bi；

（3）Bi接收K ，m ， 后，首先验证ei=H（m ，Ki）再验证g =y K modp，若成立，则说明Bi接受了A的委托，Bi计算代理签名密钥σi= +xiKimodq，相应的代理签名公钥g =y K y modp，通过代理签名公钥可以看出A与Bi存在一定的关系。

2.2 签名阶段

（1）Bi计算Ri=g modp，其中ri∈Zq*是Bi随机选取的，Bi把Ri发送给Uc，Uc收集后，计算R= Rimodp，并R将发送给W。

（2）W接收R后，随机选取两个盲因子α，β∈Zq*，并计算U=gα（g ） y modp，e=H（U，m|c）modq，V=β-1emodq，然后将V发送给Bi。

（3）Bi接收后，计算Si=xiV+σi+rimodq，并将Si发送给Uc，Uc接收后，计算S= S ，并把S发送给W。

（4）W接收S后，开始了脱盲的过程：S'=α+βSmodq。 则多重代理部分盲签名为σ=（m ，Ki，m，c，e，S'）。

2.3 验证阶段

验证过程：验证者接受到签名后σ=（m ，Ki，m，c，e，S'），验证e=H（ y ） g y ，m|cmodq是否成立，若成立，则验证者承认该签名。 若不成立，则拒绝。

3 分析安全性

3.1 正确性

等式成立，说明方案的正确性。

3.2 不可否认性

A不可否认授权Bi，Bi不可否认对消息签名。由于A与Bi进行委托过程中，Bi接收了由A发送来的K ，m ， ，Bi进行了保留，Bi可以证明A进行了授权。同样在部分盲签名阶段，Bi利用了ri，xi，σi这些数据，而这些数据只有Bi有，从而Bi不可否认对消息进行了签名。

3.3 匿名性

当签名σ=（m ，Ki，m，c，e，S'）公布后，验证者从签名中可以获取A授权了多个代理人，却从签名中无法推出签名是由那些代理人所签，由于签名被用户盲化，Bi也无法从自己保留的数据及公布的签名中推出自己所签的部分。

3.4 不可伪造性

从本方案中涉及的人员进行分析。A无法对签名进行伪造，若A想伪造，必须从σi= +xiKimodq中获取多个代理人的私钥xi，获取一个代理人私钥成功的概率为1/q，那么获得多个代理人（下转第135页）（上接第172页）的私钥的概率可以忽略。Bi无法从 =xAei+kiKimodq获取ki，xA，因为面临着离散对数的困难性。Uc只收集了代理人的部分中间变量，无法从方案中获取任何人的私钥。故方案不可伪造。

4 结束语

离散对数在数字签名中的运算相对简单及结合多代理和部分盲签名的优势，对构造该方案起着至关重要的作用。‘多代一的部分盲签名方案既有代理签名的不可伪造性等，又结合了部分盲性的特点，运用它们的优势，使得方案更加完善，从而更好地保護了用户的合法权益和增加了签名的安全性。

【参考文献】

[1]Chaum D. Blind signatures for Untraceable Payments[C].//advances in Cryptology-CRYTO82. New York：Plenum press，1982：199-203.

[2]Abe M，Fujisaki E. How to date blind signature [C]. //Proc of the Asiacrypt.Berlin： Springer-Verlag，1996： 244-203.

[3]Chow S，Hui L，Yiu S et al. Two improved partially blind signature schemes from bilinear pairings. http：//eprint.iacr.org/2004/108.

[4]Mambo M，Usuda K，Okamoto E. Proxy signature for delegating signing operation [C]. Proc.3rd ACM Comference on computer and communication security. 1996. 48-57.

[5]Mambo M，Usuda K，Okamoto E. Proxy signatures： delegation of the power to sign messages [J]. IEICE Trans.Fundamentals ，1996，E79-A（9）： 1338-1354.

[6]祁明，林卓声.若干盲签名方案及其在电子商务中的应用 [J].计算机工程与设计，2000，21（4）：39-41.

[7]ElGamal T. A public key crytosystem and a signature scheme based on discrete logarithms [J]. IEEE Transaction on information theory，1985，31（4）： 469-472.

[责任编辑：朱丽娜]