覃海艷，蔡光興

(湖北工業(yè)大學 理學院，湖北 武漢 430068)

盲簽名的概念由D.Chaum 最先提出[1,2],它要求簽字者對其所簽消息是盲的.代理簽名由Mambo、Usuda和Okamoto最先提出[3],它指當某個簽名人因某種原因不能簽名時，將簽名權(quán)委托給他人(代理人)替自己行使簽名權(quán).在2000年，LIN和JAN結(jié)合代理簽名和盲簽名各自的特點最先提出了代理盲簽名.多重代理盲簽名是代理盲簽名的延伸，被授權(quán)的代理簽名者代替多個簽名者進行簽名，它應該滿足不可鏈接性，盲性以及不可偽造性等安全性要求，不可偽造性指只有被授權(quán)的代理簽名者才能產(chǎn)生有效的代理簽名，其他任何人不能偽造簽名.不可鏈接性指簽名結(jié)果產(chǎn)生以后，代理簽名者不能將簽名結(jié)果和簽名信息聯(lián)系起來.盲性是盲簽名一個重要特性.文獻[4]指出文獻[5]中方案不具有不可偽造性和不可鏈接性，但沒有給出一個改進的方案.本文受文獻[6]的啟發(fā)，提出一個新的多重代理盲簽名方案，該方案能夠滿足不可偽造性和不可鏈接性.

1 方案的分析[5]

1.1 原始簽名人的偽造攻擊

1.2 鏈接性攻擊

文獻[5]方案中，簽名(e*,y*)產(chǎn)生后，代理簽名者B根據(jù)自己保留的信息(w1i,xi,ei,yi)計算出w2′=y*-yi(modp)，w3′=ei-e*(modq)，并檢驗e'*=e*是否成立.對所有的i，若成立，則具有不可鏈接性，但是文獻[5]方案該等式并不是對所有的i成立.

2 對方案的改進

2.1 系統(tǒng)初始化

2.2 代理子密鑰的產(chǎn)生與驗證階段

B檢驗gsi=yiH(mw,ri)riyB(modp)，若成立，B接受(ri,si,mw).

2.3 代理密鑰的產(chǎn)生階段

2.4 代理盲簽名階段

(iii)B收到e′后，計算s′=w1-e′·sk(modq)，并將s′傳給C；

(iv)C收到s′后驗證gs′αe′(modp)=x是否成立，若成立，計算s=w4·s′+w2(modq)，(e*,s)為對消息m的代理盲簽名.

2.5 代理盲簽名驗證階段

xw4gw2α-e*+w3w4αe*=xw4gw2αw3w4(modp)=x*.

3 安全性分析

3.1 不可偽造性

3.2 不可鏈接性

3.3 不可否認性

由上面的證明和條件(i)(ii)易知A不能否認對B的授權(quán)，B也不能否認對C的代理盲簽名.

3.4 可區(qū)分性

由子密鑰驗證階段和簽名驗證階段易知均使用Ai和B的公鑰yB,因此很容易區(qū)分原始簽名人和代理簽名人.

3.5 防濫用性

在子密鑰產(chǎn)生階段，原始簽名人在授權(quán)書中明確了代理權(quán)限，代理期限等，因此防止了代理簽名人的濫用.

3.6 可注銷性

若原始簽名人A想收回B的代理簽名權(quán)，只需宣布α不再有效，B生成的代理簽名便會隨之失效.

4 結(jié)論

本文針對文獻[4]提出的方案[5]不具有不可偽造性和不可鏈接性等問題，對原方案進行了改進，克服了原有的不安全，不誠實的原始簽名人不能偽造簽名，代理簽名人也不能追蹤簽名，這使得改進后的方案更加安全.

[1] Chaum D.Blind Signature for Untraceable Payments[C]//Proc. of Crypto’82.New York, USA:Plenum Press,1983:199-203.

[2] 王育民,張彤,黃繼武.信息隱藏—理論與技術[M].北京:清華大學出版社,2006:139-144.

[3] Mambo M, Usuda K,Okamoto K.Proxy Signature: Delegation of the Prower to Sign Message[J]. IEICE Trans on Fundam,1996,79(9):1 338-1 353.

[4] 王國瞻,亢保元,成林.多重代理盲簽名分析[J].計算機工程,2010,36(8):130-131.

[5] Lu Rongxing, Cao zhenfu, Zhou Yuan. Proxy Blind Multi-signature Scheme without a Secure Channel [J].Applied Mathematics and Cumputation,2005,164(1):179-187.

[6] 毛衛(wèi)霞,李志霞,柳燁.一個新的多代理盲簽名方案[J].計算機工程與應用,2010,46(12):82-84.