楊倩倩,范自強(qiáng)

(安徽理工大學(xué) 數(shù)學(xué)與大數(shù)據(jù)學(xué)院, 安徽 淮南, 232001)

數(shù)字簽名技術(shù)在現(xiàn)代社會中占有非常重要的地位,為了解決用戶不想在簽名時(shí)泄露自己信息的問題,許多隱藏消息的簽名方案被提出.為解決此類問題Chaum于1982年首次提出盲簽名,Chaum在文獻(xiàn)[1]中并沒有詳細(xì)介紹具體的算法和步驟來實(shí)現(xiàn)盲簽名,盲簽名不僅滿足一般簽名所具有的性質(zhì),還具有以下性質(zhì):

1)不可偽造性.每個(gè)簽名者都有自己的私鑰.在進(jìn)行簽名時(shí),簽名者利用自己的私鑰對消息進(jìn)行簽名,除簽名者自己外,沒有人能有效地偽造出他的簽名.

2)盲性.簽名者在簽名時(shí)不知道待簽名消息的具體內(nèi)容.

3)不可追蹤性.當(dāng)簽名被公開時(shí),簽名者并不能通過該簽名追溯到簽名時(shí)間和簽名內(nèi)容.

盲簽名一被公開就有許多學(xué)者提出各種類型的盲簽名方案,1985年Chaum給出基于RSA的盲簽名體制,2007年韓春霞[2]等人提出一種ELGamal體制的盲簽名方案利用離散對數(shù)難解的特點(diǎn)設(shè)計(jì)了一種盲簽名方案.2019年李鳳銀等人[3]提出一種新的RSA盲簽名.

為了解決簽名者由于某種原因不能及時(shí)對用戶進(jìn)行簽名的問題,Mambo,Usudat和Okamoto[4]于1996年首次提出代理簽名方案,代理簽名也像盲簽名一樣要滿足代理簽名被廣泛用于網(wǎng)絡(luò)計(jì)算、移動代理等諸多領(lǐng)域,同時(shí)有許多學(xué)者提出各種各樣的代理簽名方案[5-7].

代理盲簽名由Lin和Jan[8]于2000年首次提出,該方案主要是結(jié)合代理簽名與盲簽名的優(yōu)點(diǎn).隨著代理盲簽名被用于不同的情景,不同的方案也被提出,比如代理多重簽名[9-10]、群代理簽名、代理多重盲簽名[11]、 多重代理多重盲簽名[12-13]等.多重代理簽名方案是一個(gè)原始簽名者委托多個(gè)代理簽名者代替簽名,只有這些代理簽名者相互合作才能生成有效的代理私鑰,對消息進(jìn)行簽名.代理多重盲簽名是一個(gè)代理人同時(shí)為一組原始簽名者進(jìn)行盲簽名,但是在實(shí)際中也存在多個(gè)原始簽名者委托多個(gè)代理簽名者對重要文件進(jìn)行盲簽名,這就需要引入多重代理多重簽名方案.本文在文獻(xiàn)[14-16]的基礎(chǔ)上提出一種新的基于離散對數(shù)多重代理多重盲簽名,在新方案的代理授權(quán)階段利用Schnorr簽名方案.新的方案較已存在的方案,可以抵抗原始簽名者內(nèi)部攻擊,方案通過正確性分析和安全性分析可知是安全有效的.

1 預(yù)備知識與符號規(guī)定

1.1 離散對數(shù)問題

1.2符號定義

p,q:兩個(gè)大素?cái)?shù),q|p-1.

h(·):安全的強(qiáng)哈希函數(shù).

‖:比特串的并.

Ai:第i個(gè)原始簽名者,A1,A2,…,An表示原始簽名組的n個(gè)成員.

xAi:Ai的私鑰.

yAi:Ai的公鑰,yAi=gxAi.(modp)(i=1,2,…,n)

Bj:第j個(gè)原始簽名者,B1,B2,…,Bm表示代理簽名組的m個(gè)成員.

xBj:Bj的私鑰.

yBj:Bj的公鑰,yBj=gxBj(modp)(j=1,2,…,m).

UI:消息的擁有者.

UC:消息的接收者.

mwij:原始簽名者Ai與代理簽名者Bj協(xié)商生成的代理委托證書,其中包括原始簽名者Ai與代理簽名者Bj的身份標(biāo)識,代理簽名者Bj的代理期限,以及文件M的范圍等.

2 代理授權(quán)過程

2.1授權(quán)過程

原始簽名者Ai(i=1,2,…,n)和代理簽名者Bj(j=1,2,…,m)執(zhí)行以下步驟完成授權(quán)信息簽名.

1)原始簽名者Ai隨機(jī)選擇兩個(gè)大素?cái)?shù)p0和q0,計(jì)算模數(shù)n0=p0q0,φ(n0)=(p0-1)(q0-1).在選擇一個(gè)大整數(shù)e,要滿足gcd(e,φ(n0))=1,且ed≡1(modφ(n0)),其中p0,q0,d為私鑰,Ai公布n0和e.

2.2代理密鑰生成

1)Bj驗(yàn)證原始簽名者Ai所有的授權(quán)簽名(rij,mwij,sij,tij)(1≤i≤n,1≤j≤m),若所有簽名都成立,Bj接下來開始計(jì)算代理密鑰.

3 代理簽名階段

(1)

e′=h(r‖M)(modq)

(2)

(3)

UI將e*發(fā)給代理簽名者Bj.

4 簽名驗(yàn)證階段

任何一個(gè)驗(yàn)證者都可以利用多重代理多重盲簽名(M,s,e′)驗(yàn)證等式

(4)

若等式(4)成立,驗(yàn)證者接受簽名,否則拒絕簽名.

5 新方案分析

5.1正確性分析

定理3:(M,s,e′)是代理簽名者Bj使用代理私鑰xij代表原始簽名者Ai對文件M進(jìn)行的多代理多重盲簽名.

5.2安全性分析

1)不可偽造性

在新提出的方案中,假如攻擊者想要偽造原始簽名者Ai(1≤i≤n)對代理簽名者Bj(1≤i≤m)的授權(quán)簽名(rij,mwij,sij,tij),不僅要解決因式分解困難問題,而且還要解決離散對數(shù)困難問題.若要偽造tij,首先知道δij=yBjxi(modn0),但攻擊者并不知道Ai的私鑰,同時(shí)也不知道p0和q0.若要偽造rij,攻擊者也必須知道kij,但kij是Ai隨機(jī)挑選的,從而求解rij也將面臨離散對數(shù)困難問題.同時(shí)代理委托證書mwij也確保除Bj以外的人不能成為代理簽名者,因?yàn)樽C書中有Bj的身份標(biāo)識,且Bj在確認(rèn)授權(quán)信息后,結(jié)合授權(quán)簽名和自己的私鑰生成代理簽名私鑰xij.因此,除了代理簽名者Bj,任何攻擊者都不能偽造合法的代理簽名.

2)安全通道

在多重代理多重盲簽名授權(quán)階段,原始簽名者Ai不需要通過一個(gè)安全的傳輸信道來傳遞參數(shù)δij.因?yàn)橛啥ɡ?知,除了原始簽名者,只有Bj知道δij,其他人想要求出δij將要面臨求解Ai或Bj的私鑰,即求解離散對數(shù)問題.假設(shè)攻擊者得到(tij,mwij),但是由于Bj的身份標(biāo)識已經(jīng)在mwij中,即使其他人求解出來δij也是不被承認(rèn)的,從而代理授權(quán)信息以及簽名信息是不需要通過安全信道的.

3)不可鏈接性

4)不可否認(rèn)性

由定理1知Ai為真實(shí)的多重代理授權(quán)人,從授權(quán)簽名(mwij,sBj,rBj,e)中知這是Ai委托m個(gè)代理簽名者Bj利用代理私鑰xij進(jìn)行的盲簽名.因?yàn)閟Bj中有Ai的私鑰xAi,從而Ai不能否認(rèn)對Bj的授權(quán).同樣代理私鑰xij中含有Bj的私鑰xBj,且從多重代理多重盲簽名(M,s,e′)中也知道Bj不能否認(rèn)對文件M的代理簽名.

5)多代理簽名的可區(qū)分性

授權(quán)證書mwij中有Ai和Bj的身份標(biāo)識,在授權(quán)階段和簽名階段均用到Ai和Bj的公鑰yAi和yBj,所以代理簽名與一般的簽名很容易被其他人識別出來.

6)盲性

7)防濫用性

由于(M,s,e′)是代理簽名者Bj使用代理私鑰xij對文件M進(jìn)行的多重代理多重盲簽名.由定理3的證明可知,單個(gè)或少于m個(gè)代理簽名者Bj都會導(dǎo)致此多重盲簽名失敗,阻止了某個(gè)Bj對簽名權(quán)的濫用.

8)可注銷性

若原始簽名者Ai不想再委托Bj代理簽名,只需要廣播授權(quán)參數(shù)δij不再使用,從而Bj的代理私鑰xij將會失效,同時(shí)由Bj產(chǎn)生的代理簽名也不會再有效.

9)抵抗原始簽名者內(nèi)部攻擊

6 結(jié) 語

隨著網(wǎng)絡(luò)科技的進(jìn)步,人們的生活變得網(wǎng)絡(luò)化和信息化,越來越多網(wǎng)絡(luò)攻擊和非法入侵都讓信息安全這一領(lǐng)域變得具有挑戰(zhàn)性.如何保障信息的安全性、保密性和真實(shí)性是當(dāng)前社會的關(guān)注點(diǎn),數(shù)字簽名也開始變得重要.本文基于多重代理多重簽名和盲簽名的提出一種新的多重代理多重盲簽名,它綜合了多重代理多重簽名和盲簽名的優(yōu)點(diǎn),具有很強(qiáng)的安全性.該方案在原來方案的代理私鑰生成時(shí)加入新的參數(shù),使得代理私鑰更加難以被攻擊者破解.經(jīng)過正確性和安全性分析新的方案不需要安全通道可以抵抗原始簽名者的內(nèi)部攻擊,具有不可偽造性、不可否認(rèn)性、可區(qū)分性和防濫用性,同時(shí)也滿足盲簽名的盲性和不可鏈接性.