一个分布式可信中心的门限盲签名方案

胡建军

(甘肃联合大学电子信息工程学院，甘肃兰州 730010)

1979年，SHAMIR提出一种基于拉格朗日插值的(k，n)门限秘密管理方案［1］，随后，ASMUTH和BLOOM于1980年提出一种基于中国剩余定理的(k，n)门限秘密管理方案［2］，这两种方案的共同思想是将一个秘密分成n份，并将秘密份额秘密地分发给n个参与者，n个秘密持有者中任意k个以上的参与者合作，就能够有效地计算出秘密本身，否则就不能获得秘密。

ASMUTH和BLOOM方案的运算量和存储量分别是O(k)和O(n)，而SHAMIR方案的运算量和存储量分别是O(k lg2k)和O(n)［3］，当密钥值较大时，ASMUTH和BLOOM方案要优于SHAMIR方案。尽管如此，由于SHAMIR方案计算简单且易于扩展，30多年来，大量基于门限的研究主要建立在SHAMIR方案基础上［4-9］。然而，无论是哪种门限类型的研究，其共性是要么以单一可信中心为基础，要么以n个可信中心(许多文献称为无可信中心)为基础。由于单一可信中心存在单点失效、中心运行负担过重、通信能力不高等缺陷，而n个可信中心又存在冗余通信过多、客户端性能要求高、数据重复存储等缺陷，因此，为解决这两种方案的不足，笔者以ASMUTH和BLOOM方案及双线性映射为基础，提出一种分布式可信中心的门限盲签名方案。

1 相关知识

1.1 双线性映射

设G1和G2分别是阶为大素数q的加法群和乘法群，P为G1的生成元。假设G1和G2的离散对数问题都是困难问题，则映射e:G1×G1→G2称为双线性映射。双线性是指对于∀P，Q∈G1，a，b∈Z，有 e(aP，bQ)=e(P，abQ)=e(abP，Q)=e(P，Q)ab。

1.2 与双线性映射有关的密码学问题

(1)离散对数问题(DLP):对∀P，Q∈G1，已知Q=nP，则通过Q和P求解n是困难的。

(2)判定Diffie-Hellman问题(DDHP):给定∀P∈G1，a，b，c∈，给定 P，aP，bP，cP，判定 c≡ab(mod q)是困难的。

(3)计算Diffie-Hellman问题(CDHP):对于 a，b∈，∀P∈G1，给定 P，aP，bP，计算 abP是困难的。

通过椭圆曲线上的weil对或tate对容易构造满足以上性质的双线性映射。

2 可信中心分布的门限盲签名方案

2.1 系统初始化

该方案将整个系统分为两级，即全局可信中心和局部可信中心，下面是系统的建立过程。

(1)系统初始化。系统向所有的用户发布公共系统参数{G1，G2，e，P，H，k}，其中 G1、G2是阶为大素数q的循环群，P为G1的生成元，e为双线性映射，定义为e:G1×G1→G2，H为哈希函数，定义为 H:{0，1}*→G1，k 为门限。

(2)建立分布式可信中心。系统随机选择一组满足下列条件的 n+1 个数 t，m1，m2，…，mn，并将其公开:①t＞s;②m1＜m2＜… ＜mn;③对于∀i∈［1，n］，gcd(p，mi)=1，且对于∀i≠j∈［1，n］，gcd(mi，mj)=1，即 n+1 个数 t，m1，m2，…，mn两两互质;④m1m2…mk＞ tmk+2mk+3…mn。

令N=m1m2…mk，则N/t大于任意k-1个mi之积，选择∀r∈［0，N/t-1］，计算 s'=s+rt，si=s'mod mi，i∈［1，n］，系统通过安全信道秘密发送分布式可信中心的秘密份额si并公开身份siP。系统安全保存各可信中心的秘密与身份信息。其中，s为系统身份的秘密，sP为系统公开身份。

2.2 注册申请分布可信中心

分布式可信中心注册申请时，系统通过安全信道秘密发送秘密份额si、签名秘密Wi和随机整数 ri，其中 Wi≠Wj≠s，ri≠rj≠r，∀i≠j∈［1，n］。

2.3 群用户秘密份额的生成

群用户在就近分布式可信中心注册。注册时，就近分布式可信中心计算=Wi+rit，sil=［1，n］，并通过安全信道秘密发送秘密份额sil给注册用户并公开身份silP。

2.4 门限盲签名

假设被签名的消息为M，则签名过程如下:

(1)签名者申请。需要群签名的用户向分布式可信中心提出申请，发送信息(M1，aiP，IDu·H(M))给签名机构，其中随机数∀ai∈Zq，M1=H(M)+aiQi，M为要签名的消息，Qi为分布式可信中心的公开群身份，即Qi=siP。

2.5 签名验证

分布式可信中心通过sil恢复Wi。由于Wi=Wi-rit，而若给定任意k个秘密份sil，由中国剩余定理可知，同余方程组为:

在［0，N1-1］内有唯一解，N1=mi1mi2…mik，假设这个唯一解为x，则=x(mod N1)。

令 b=x-rit，如 果 e(bH(M)P，WiP)e(bP，WiH(M)P)成立，则签名合法，否则为非法签名。

2.6 群用户信息的备份与更新

每个分布式可信中心保存着本地群用户的所有信息，这些信息以增量更新的方式上传到全局可信中心，全局可信中心按照身份标识存储每个分布式可信中心的信息。这样做的好处是可以防止单点失效，实现代理群签名，便于节点的移动，可提高系统的整体通信能力。

3 安全性分析

该方案具有如下性质［10］:

(1)盲性。由于申请签名者选择的∀ai∈Zq是随机的，且H(·)是单向散列的，其他用户不可能获得信息M，因此签名保证了消息的盲性。

(2)可追查性。由于该方案中的签名仲裁是由分布式可信中心完成的，因此如果签名是正确的，那么，群用户的身份是可追查的，这是因为对于可信中心而言，通过查表就可以判断签名的合法性与正确性。

(3)群签名特性。由于可信中心可以通过k个用户的密钥信息求出=x(mod N1)，而恰好为群秘密，因此方案具有群签名特性。

(4)防伪造性。可以分两种情形讨论该方案的防伪造性。①普通用户伪造普通用户。很显然，伪造签名是不可能的，这是因为，假设群用户A要冒充B签名，由于A没有B的私钥而使伪造签名失败。②普通用户伪造分布式可信中心。由于普通用户无法获取分布式可信中心的私钥si，因此他无法将aiQi替换成消息rP，即无法将消息M1替换成消息M2，从而伪造分布式可信中心失败。综合以上两种情形，可以认为方案是可防伪造的。

(5)抗合谋性。如果有t个以上的群用户想要合谋获取M，则合谋失败。这是因为，H(·)是单向散列的，因此如果想要合谋攻击成功，则必须能够求出H(·)的逆，但这是不可能的。

(6)验证简单。检查双线性映射的正确性，即等式 e(bH(M)P，WiP)e(bP，WiH(M)P) 成立，签名合法，验证通过。

4 结论

笔者结合双线性映射、门限身份和门限盲签名，提出了一个分布式可信中心的门限签名方案。该方案通过分布式可信中心完成t-1个群用户的签名，防止了群用户之间的合谋攻击，通过可信中心的裁决，能够追查签名者的不良行为。由于客户端仅需少量的计算，因此该方案对于提高客户端运行效率和减轻客户端维护成本具有重要的意义;又由于可信中心是分布的，因此在很大程度上避免了单点失效问题，提高了系统的通信能力和稳定性。

［1］SHAMIR A.How to share a secret［J］.Comm ACM，1979，22(11):612-613.

［2］ASMUTH C，BLOOM J.A modular approach to key safeguarding［J］.IEEE Transactions on Information Theory，1983，30(3):208-210.

［3］卿斯汉.安全协议［M］.北京:清华大学出版社，2005:229-238.

［4］DESMEDT Y，FRANKEL Y.Shared generation of authentications and signatures［C］//Advances in Cryptology-Crypto'91，Lecture Notes in Computer Science.Berlin:Springeer-Verlag，1992:457-469.

［5］CHAUM D.Blind signatures for untaceable payments［EB/OL］.［2012-04-11］.http://citeseer.ist.psu.edu/cotext/2064/0.html.

［6］CHANGE T Y，YANG C C，HWANG M S.A threshold signature scheme for group communications without a shared distribution center［J］.Future Generation Computer Systems，2004，20(6):1013-1021.

［7］BONEH D，FRANKLIN M K.Identity based encryption from the weil pairing［J］.SIAM Journal on Computing，2003，32(3):586-615.

［8］MIHIR B，CHANTHIP N，NEVEN G.Security proofs for identity-based identification and signature schemes［C］//Proc of the Eurocrypt 2004.Berlin:Springeer-Verlag，2004:244-253.

［9］涂峰，赵一鸣.一种基于身份的门限盲签名方案［J］.计算机工程，2008，34(21):118-119.

［10］胡建军，王伟，裴东林.基于ELGamal数字签名的双向认证方案［J］.计算机工程，2010，36(6):173-174.