一种基于身份的多重盲签名方案

摘要：在多重签名中，原始签名人可以授权签名者作为其委托，签名者只有在收集了所有原始签名人的授权信息后，经过计算才能产生其签名。目前许多的签名方案都是基于证书公钥系统的，而双线性配对在密码学的各种应用延伸使得一些基于身份的签名方案也不断提出。该文集合盲签名技术提出一种完善的基于身份的多重盲签名方案模型，并分析其安全性能。

关键词：基于身份；多重签名；盲签名；数字签名

中图分类号：TP302文献标识码：A文章编号：1009-3044(2011)22-5409-03

数字签名是以电子形式存在于数据信息之中的，用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可的数据。数字签名技术用途非常广泛，在信息安全，包括身份认证、数据完整性、不可否认性等方面，特别是在大型网络安全通讯中的密钥分配、认证及电子商务系统中，都具有重要作用。

文献[1]中XU Guo-shen等提出一个新的双线性配对中基于身份的顺序多重签名系统，系统中实行一个原始签名者给多个签名人授权，多个签名人按照系统设定的顺序来签名。在文献[2]中，Rajeev Anand Sahu与Sahadeo Padhye提出一种多重多重签名方案，每一位签名人都与一位签名人一一对应，即多对多签名。文献[3]中，Min-Shiang Hwang等提出一种有序的多重多重签名方案，在文献[2]的方案基础上，定制签名者签名的顺序。协议使用大因子分解的困难性假设，在计算复杂度与通信条件都有一定的优势。

1 相关签名体制

1.1 基于身份的签名

在传统的签名体制中，通常私钥是由用户自己保存并使用，而公钥是以数字证书的形式保存，在加密或验证时使用。Shamir于1984年提出基于身份的密码体制概念，同时给出一个基于整数分解困难性的签名方案。许多学者对基于身份的数字签名做了大量研究，也取得了很多成果，但基于身份的签名体制仍存在很多的问题。

1.2 签名技术

签名技术最早由Mambo、Usuda和Okamoto在1996年提出，所谓签名是指在一个签名方案中，签名人代表原始签名人生成有效的签名。Manbo等人提出是完全签名、部分签名和具有授权证书的签名。2000年，Yi Lu等人提出多种签名方案[6]。2001年Lee等人提出强的非制定人的签名方案[7] 等。

1.3 多重签名与盲签名技术

多重数字签名即多个用户需要对同一消息进行数字签名的体制，按签名顺序而言，多重数字签名分为顺序多重签名与广播多重签名。自多重数字签名的概念提出以来，基于不同数学难题的签名方案也就应运而生。Chaum在1982年首先提出盲签名的概念。一个盲签名方案不仅仅保留有数字签名的各类特性，而且还拥有盲性、不可追踪性等一些特殊的性质。蔡晓秋等在文献[4]中基于椭圆曲线或超奇异椭圆曲线的双线性对提出一种新的多重盲签名方案，结合多重签名与盲签名的优点，在实际中具有一定的应用价值。文献[5]中，何佳等提出一种基于椭圆曲线的多重盲签名方案，在椭圆曲线上实现多个原始签名人委托签名人参加匿名性的密码协议等活动。

2 一种高效的基于身份的多重盲签名方案

本文基于身份的多重盲签名方案是建立在身份的数字签名技术、多重签名和盲签名技术相结合的理论上，借助于椭圆曲线上的双线性对的基础上进行，用户的公钥由自己的身份信息ID决定，私钥由认证中心计算颁发。

设多重盲签名参与方有密钥产生中心KGC、原始签名用户U1，U2，U3，……Un，签名用户B、信息拥有者Um，和验证人，方案由系统初始化、密钥产生、委托过程、签名过程和验证过程组成。

2.1 初始化

1）生成两个阶为素数q的群(G1，+)和（G2・ ）,一个配对映射e: G1×G1G2 ,

任意选择一个生成元P∈G1 。

2）选取s∈z*q作为主密钥， Ppub = sP作为系统公钥。

3）选择Hash函数h:{0,1}* G1 ，该Hash函数把用户的身份ID映射到G1中的一个元素。另一个Hash函数为h:{0,1}* Zq，该Hash函数把消息m映射到Zq中的一个元素。则公开的系统参数是 ( G1 , G2 ,e ,n ,q ,P , Ppub ,h ,h1)，s保密。

2.2 密钥产生

设原始签名人的身份标识为IDi，计算其公钥QIdi= h(IDi) ,签名者将其公钥发送给密钥产生中心，密钥产生中心验证其身份后，按私钥提取算法计算其私钥SIDi=sQIdi，并通过安全信道传递给签名用户。则签名用户U1，U2，U3，……Un的公钥分别为QIdi = h(IDi)，私钥SIDi=sQIdi，签名用户B的公私钥对为 (QIdB , S IdB)。

2.3 委托过程

设原始签名用户U1，U2，U3，……Un和签名者共同协商产生的授权书为mw（详细描述了的诸多事宜，如原始签名人和签名人的身份标志、权限和时限等)。

1）原始签名人Ui首先计算e0 = h1(mw)；

2）任意选取Ki∈Rz*q ，计算Ri = e(P ,Ppub) ki，Vi=KiPpub + e0SIdi并将 (Ri ,Vi ，mw)发送给B。

3）B接受到(Ri ,Vi ，mw)后，验证签名的有效性后，首先计算e0 = h1(mw)，验证e(Vi,P)=e(QIdi ,Ppub)e0Ri是否成立。若不成立，则要求Ui重新执行步骤（1）或拒绝接受委托；如果等式成立，则接受Ui的委托，并计算签名私钥：

vw = v1+ v2+……+ vn + e0SIdB。

2.4 签名过程

1）消息拥有者Um随机选择一个整数α∈RZ*q，并计算r@= e(P ,Ppub)α，m@= αh1(m) mod q，将 (r@, m@)发送给签名者B。

2）B随机地选择一个整数KB∈RZ*q，

则多重盲签名为 (c ,r ,S , R1 ,R2 ,……Rn , mw)

2.5 验证过程

验证者接收到签名(c ,r ,S , R1 ,R2 ,……Rn , mw)后，检查验证式

是否成立，如果成立，则接受签名；否则拒绝签名。

3 该方案的安全性分析

从公钥替换攻击、盲性、不可否认性、签名的可区分性、抵赖签名、可验证性等方面验证该方案都是可行的。攻击者从系统的公钥Ppub获得私钥s是不可能的。因为假定DLP是困难问题，即从系统的公钥不可能获取私钥。另外攻击者包括消息拥有者不可能冒充签名人来伪造签名。因为签名方程中含有签名人的私钥，即使信息拥有者也无法伪造符合条件的变量，使得构造符合签名的可能性几乎为零。

4 结束语

多重盲签名作为一种新的签名技术，在物联网安全通信、电子商务等方面都有广泛的应用前景。在本文中，我们基于双线性对上数字签名计算复杂性低、同样安全级别的签名短等优点，集合多重签名与盲签名体制，提出一种完善的基于身份的多重盲签名方案模型，其不仅满足电子商务活动中多位原始签名者需要委托签名者代表他们进行签名的特质，对签名者屏蔽签发文件的具体内容，还提高了盲签名的效率，并且保证了签名的多重安全性，因此可广泛应用于匿名性电子商务领域。

参考文献：

[1] XU Guo-sheng,YANG Yi-xian,GU Li-ze,et,al.ID-Based Multi-Proxy Sequential Signature System from Bilinear Pairing[C].2007 IEEE/WIC/ACM International Conference on Web Intelligence and Intelligent Agent Technology,2007:315-318,

[2] Rajeev Anand Sahu,Sahadeo Padhye.An ID-Based Multi-Proxy Multi-Signature Scheme[C].International Conference on Computer and Communication Technology(ICCCT),2010:60-63.

[3] Min-Shiang Hwang,Shiang-Feng Tzeng,Shu-Fen Chiou.An Ordered Multi-Proxy Multi-Signature Scheme[C].International Conference on Intelligent Systems Design and Applications(ISDA)2008,3:308-313.

[4] 蔡晓秋,李金周,王天银.高效的多重盲签名方案[J].计算机工程与应用,2009,45(36).

[5] 何佳,游林,陈小娥.基于椭圆曲线的多重盲签名[J].海南师范大学学报,2008(9).

[6] Yi Lu.Proxy multi-signature scheme:A new type of proxy signature scheme[J].Electron letter,2000(6).

[7] Lee B,Kim H.Strong proxy signature using strong non-designated proxy signature[C].Proc of ASCISP,2001.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文