基于格的盲签名方案

一种基于身份的门限盲代理盲签名方案付玮;刘广亮【摘要】为了提高代理盲签名的实用性及安全性,结合秘密共享体制,在基于身份的密码体制下,提出一种新的盲代理盲签名方案.本方案中,我们将盲签名和代理签名结合,使得到的盲代理盲签名方案具有代理签名的权力委托和盲签名的消息匿名性和不可追踪性等特点;同时对代理签名者进行盲化,使得任何人不能从签名中知道代理签名者的身份.在基于身份的密码体制下,引入秘密共享机制,很好的防止了代理签名者权力滥用的问题.本方案具有更好的灵活性、更高的安全性等特性.%In order to improve the security and practicality of proxy blind signature,this paper introduces a blind-proxy blind signature scheme by adopting ID-based cryptography and secret sharing.In this scheme,the combination of proxy signature and blind signature can make the scheme has many characteristics,such as delegation of authority of proxy signature and the untraceability and anonymity of blind signature and so on.At the same time,blind the proxy signer make anyone can't know the identity of the proxy signers.Based on the identity cryptography,to introduce the secret sharing,will be good for solving the problem that the power of the proxy signers is too concentrated.SO this scheme has the better flexibility and higher security characteristics.【期刊名称】《聊城大学学报（自然科学版）》【年(卷),期】2012(025)003【总页数】4页(P85-88)【关键词】基于身份;代理盲签名;门限签名;盲代理【作者】付玮;刘广亮【作者单位】聊城大学计算机学院,山东聊城252059;聊城大学计算机学院,山东聊城252059【正文语种】中文【中图分类】TP3090 引言近年来，随着网络应用的蓬勃发展，普通的数字签名技术作为现代电子商务的重要工具已经无法满足许多特殊的应用要求.门限签名、代理签名和盲签名等许多特殊的数字签名技术被提出和研究.盲签名的概念由Chaum首次提出［1］，此签名方案不同于一般的数字签名之处在于签名请求者首先要选择随机因子“盲化”要签署的消息.因为随机因子由签名请求者秘密选取，所以签名者不能恢复消息的具体内容.用户通过该方案可以得到签名者的签名而无需将要签署消息的具体内容提供给签名者.因此，盲签名可以保护签名接收者的隐私，并使得签名者无法追踪自己的签名.盲签名被广泛的应用于面向隐私的电子服务中，如匿名的电子投票、不可追踪的电子现金交易等.1996年，Mambo等人首次提出代理签名的概念，此签名方案允许原始签名者将签名权力授权给另外一个签名者，被授权的签名者称为代理签名者［2］.被授权后，代理签名者就可代替原始签名者对消息进行签名.后来，又有学者将代理签名和门限签名结合起来提出了门限代理签名［3］.在（t，n）门限代理签名中，只有当n 个代理签名者中的不少于t个人一起合作才能代表原始签名者进行签名.随后，也有人将门限代理签名和盲签名结合，提出门限代理盲签名方案［4，5］.将门限签名、代理盲签名、盲代理签名有机结合起来的方案比较新颖，因此，本文在基于身份的密码体制下提出一种门限盲代理盲签名方案，并分析方案的正确性和安全性.1 相关理论知识1.1 双线性映射令n是一个大素数，G1是一个阶为n的加法循环群，P为它的生成元，GT是一个n阶的乘法循环群.定义在（G1，GT）上的一个双线性对是一个映射关系：e：G1×G1→GT.满足下面的三条性质（1）双线性：对于任意a、b∈Z＊q，给定P、Q、R∈G1，有以下三个等式成立（2）非退化性：如果P是G1的生成元，则e（P，P）≠1，e（P，P）是GT的生成元；（3）可计算性：对于任意P、Q∈G1，存在有效算法计算e（P，Q）.1.2 困难性假设离散对数问题（DLP）：给定P、Q∈G1，找到一个整数n，满足Q＝nP.在G1上有计算性的Diffie-Hellman问题（CDH）：随机选择P∈G1和aP、bP，计算abP.将Diffie-Hellman问题扩展到双线性映射中，我们得到双线性的Diffie-Hellman问题（BDH）：随机选择P∈G1和aP，bP，cP，计算e（P，P）abc.2 基于身份的门限盲代理盲签名方案2.1 系统参数初始化由可信中心TA（Trusted Authority）生成大素数q和两个阶为q的群G1、G2（G1为加法群，G2为乘法群）.定义e：G1×G1→G2是一个双线性映射，令P为G1的生成元，随机选取数s∈Z＊q为系统主密钥，计算可信中心的公钥Ppub ＝sP.选择Hash函数H1：｛0，1｝＊→Z＊q；H2：｛0，1｝＊×G1→G1；H3：｛0，1｝＊×G1→Z＊q.我们假设A为原始签名者，群B＝｛B1，B2，…，Bn｝为n个代理签名者组成的代理签名群.系统公开参数为＜q，G1，G2，e，P，Ppub，H1，H2，H3＞.2.2 身份隐藏对B群中代理签名者的身份进行隐藏，我们通过设置别名的方法实现.身份隐藏的目的是使包括原始签名者在内的任何人不能从签名中确定代理签名者的真实身份，以达到盲化代理签名者的要求［6］.此过程由可信中心TA完成.对B1进行身份隐藏的步骤如下（1）B1首先将自己的身份信息IDB1发送给TA.（2）TA收到后，随机选择kB1，kT1∈［1，q－1］，并计算Z1＝H1（kb1，IDB1）；RT1＝kT1G1＝（XT1，YT1）；ST1＝kT1＋sH1（Z1，XT1）modq. （3）TA将Z1和（RT1，ST1）秘密发送给B1，其中Z1为B1的别名，（RT1，ST1）是对Z1的数字签名，以保证别名的有效性.（4）B1收到别名和对别名的数字签名后，验证ST1G1＝RT1＋H1（Z1，XT1）Ppub是否成立，如果成立，则B1承认别名有效.B群中其他代理签名者的身份隐藏过程同B1，在此不再赘述.记Bi的别名为Zi.2.3 代理私钥的生成2.3.1 部分公钥的生成.原始签名者A和代理签名者Bi分别选择去自己的随机数rA，rBi∈Z＊q，并各自计算RA＝rAP，RBi＝rBiP，将RA、RBi发送给TA；同时A将自己的身份IDA发送给TA，Bi将自己的别名Zi发送给TA.TA分别计算QA＝H2（IDA，RA），Qi＝H2（Zi，RBi）.2.3.2 为代理签名群授权.原始签名人A计算SA＝rAH（mw），其中mw为A发送给代理签名群B的授权证书，用于对代理签名者授权以及界定签名有效期和范围.将SA发送给Bi，Bi验证e（SA，P）＝e（H1（mw），RA）是否成立，若成立，则Bi计算gi＝SA＋rBi，Ri＝giP＝SAP＋RBi，gi为Bi的代理私钥，Ri为Bi的代理公钥.2.4 代理私钥的共享B群中每个代理签名者轮流做庄家对其私钥进行（t，n）门限分割.Bi选择随机数ai1，ai2，…，ait－1∈Z＊q，构造t－1次多项式计算秘密份额fi（Zj），Bi计算得到他所拥有的部分随机数为）.代理私钥gi＝fi （0）＝），其中.然后计算并广播Ki.2.5 签名过程采用（t，n）门限的思想，要求至少t个代理签名者合作才能完成签名.我们假设执行签名的t个代理签名者为｛B1，B2，…，Bt｝，需要签名的消息为M，请求签名者为C.首先，每个Bi随机选择αi∈Z＊q，计算发送给C.然后，C计算，选择随机数t1、t2∈Z＊q作为盲化因子，计算t2.将U和M′，分别发送给t个代理签名者.Bi收到U和M′，后计算V′i＝将V′i，发送给C.最后，C验证e（V′i，P）＝）是否成立，如果成立则对M进行脱盲操作，计算V′＝t1V′，得到签名e（V，M，mw，U′）.2.6 验证验证者收到签名后，验证e（V，P）＝是否成立.如果等式成立则承认签名有效，否则拒绝.3 方案分析本文提出的门限盲代理盲签名方案是在基于身份密码体制下提出的，它不但可以满足常见数字签名的性质（即保障消息的可用性、完整性及签名方的不可抵赖性等），而且引入门限的思想也使该方案具有了防止权力过于集中的特性.3.1 正确性t个代理签名者代表原始签名人所产生签名的正确性，证明如下3.2 盲性在本方案中，由可信中心TA通过设置别名的方式对代理签名群中代理签名者的身份进行隐藏.TA秘密选取随机数，并用其主密钥对别名进行签名，既方便日后查询，又达到了对代理签名者的盲化目的，使包括原始签名者在内的任何人不能从签名中确定代理签名者的真实身份.签名过程中，签名请求者C选取随机数通过哈希函数对消息进行盲化，基于离散对数的难题，因此签名者不能从中获取消息的内容，达到了盲签名的目的［7］.3.3 安全性代理签名者要进行代理签名首先要得到原始签名者的授权，即有授权证书，这既保证了代理签名者的代理权利，又可区分代理签名者和原始签名者.所以方案满足可区分性.此外，签名过程中需要用到原始签名者给代理签名人的部分代理密钥和代理签名者的私钥，因此除了原始签名者和代理签名者外，其他任何人不能伪造签名，因此方案同时满足不可伪造性.4 结语本文基于（t，n）门限的思想，提出了一个新的基于身份的门限盲代理盲签名.该方案采用秘密分割，并对代理签名者和消息进行盲化，增加了安全性，并且能够满足特殊需求.安全性分析表明，该方案满足门限群签名的各项安全性要求，能有效的抵抗伪造性攻击等.基于身份的数字签名具有密钥短、安全性高等优点，并且避免了存取证书等麻烦，因此本方案是一个安全高效的门限代理签名.参考文献【相关文献】［1］ Chaum D.Blind Signature for Untraceable Payments［A］.Advances in Crytology Crypto.Berlin：LNCS，1982.［2］杨淑娣，孔祥立.基于椭圆曲线的代理签名体制研究［J］.聊城大学学报：自然科学版，2011，24（2）：31-33.［3］ Zhang Kan.Threshold proxy signature schemes［A］.Proc of the lst International Workshop on Information Security.London：Springerverlag，1997.［4］李素娟，张福泰.基于ID的代理盲签名［J］.计算机工程，2006，32（17）：203-204. ［5］农强，吴顺祥.一种基于身份的代理盲签名方案的分析与改进［J］.计算机应用，2008，28（8）：1 940-1 942.［6］张建中，马伟芳.椭圆曲线上的盲代理盲签名方案［J］.计算机工程，2010，36（11）：126-130.［7］庄晨婕.基于身份的门限代理盲签名方案［J］.计算机工程2010，36（20）：157-158.。

高效安全的基于身份的部分盲签名方案尹恒;蒋朝惠【摘要】部分盲签名允许签名者在盲签名中明确地嵌入预先协商好的公共信息而不失盲性,它克服了完全盲签名和受限盲签名的缺点.对于目前基于身份的部分盲签名方案中普遍存在效率及安全性不高的问题,提出了一个新的高效安全的基于身份的部分盲签名方案.通过利用选择目标计算性Diffie-Hellman假设和有效地使用预计算,使得方案不仅在随机预言机模型下对自适应选择消息和身份攻击具有不可伪造性,而且降低了总的计算复杂度.与现有的随机预言模型下基于身份的部分盲签名方案比较,所提方案效率最高,比Chow方案(CHOW S,HUI L,YIU S.Two improved partially blind signature schemes from bilinear pairings[C]//Proceedings of ACISP'05.Berlin:Springer-Verlag,2005:316-328.)和何方案(何俊杰,孙芳,祁传达.基于身份部分盲签名方案的分析与改进[J].计算机应用,2013,33(3):762-765.),计算效率分别提高约64.1％和13.2％.因此,该方案能够提高电子投票、电子现金等系统的效率和安全性.【期刊名称】《计算机应用》【年(卷),期】2014(034)007【总页数】4页(P1893-1896)【关键词】盲签名;部分盲签名;双线性对;基于身份;随机预言机模型【作者】尹恒;蒋朝惠【作者单位】贵州大学电子信息学院,贵阳550025;贵州大学计算机科学与技术学院,贵阳550025【正文语种】中文【中图分类】TP3090 引言1984年，Shamir［1］为简化复杂的证书管理首次提出了基于身份的公钥密码体制，用户的公钥可以是用户的姓名、地址、身份证号码等，而用户的私钥则由私钥生成中心(Private Key Generator，PKG)统一生成。

doi ；10.3969/j.is s n.1671-1122.2018.03.006格上基于身份的抗量子攻击的部分盲签名方案-----------------------叶青，周锦，汤永利，王峻峰------------------------(河南理工大学计算机科学与技术学院，河南焦作454000 )摘要：部分盲签名（PB S )是对盲签名（B S )的扩展，其不仅具备了盲签名的盲性，而且解决了盲签名中无法对签名进行追踪这一问题，从而有效解决了盲签名在实际应 用中的诸多问题。

针对目前基于身份的部分盲签名（IBPBS )方案不能抵抗量子攻击 的问题，文章提出了一个格上IBPBS 方案。

方案中使用矩阵采样算法根据用户身份生 成对应的私钥，使用拒绝采样定理对消息进行签名，并且修改了格上部分盲签名方案 中签名所需参数的采样方式，在不影响安全性的前提下，避免了出现签名异常的情况。

文中IBPBS 方案能够有效抵抗量子攻击，并且不会产生异常签名，有效地提高了签名 的成功率，同时也降低了签名通信代价。

最后文章在随机预言模型下，基于格上小整 数解（SIS )问题的困难性证明了方案在选择消息和选择身份攻击下满足存在不可伪造性。

关键词：格；基于身份；部分盲签名；小整数解问题；量子攻击中图分类号：TP 309文献标识码：A 文章编号：1671-1122 ( 2018 ) 03-0046-08中文引用格式：叶青，周锦，汤永利，等.格上基于身份的抗量子攻击的部分盲签名方案[J].信息网络安全，2018 ( 3) ： 46-53.英文弓I 用格式：YE Qing，ZHOU Jin, TANG Yongli，et al. Identity-based Against Quantum Attacks Partially Blind Signature Scheme from Lattice[J]. Netinfo Security, 2018 (3): 46-53.Identity-based Against Quantum Attacks Partially BlindSignature Scheme from LatticeY E Qing , ZH O U Jin , TA N G Y ongli , W A N G Junfeng(College of C omputer Science and Technology , Henan Polytechnic University , Jiaozuo Henan 454000, China )A b stra ct : Partially blind signature is an extension o f blind signature . It not only hasthe blindness in blind signature , but also solves the problem o f tracking signature in blind signature . It effectively solves many problems in the application o f blind signature . In this paper , an identity-based partially blind signature scheme from lattice is proposed for the problem which current relevant schemes cannot resist the quantum attack . A matrix sampling algorithm is used to generate the corresponding private key according to the user’s identity ,收稿日期：2017-12-20基金项目：国家自然科学基金[61300216]; “十三五”国家密码发展基金[M M JJ20170122];河南省高等学校重点科研项目[12A520021，16A520013，18A413001];河南理工大学博士基金[B2014—044，B2016—36]作者简介：叶青（1981—)，女，辽宁，讲师，博士，主要研究方向为密码学；周锦（1991—)，男，河南，硕士研究生，主要研究方向为 密码学；汤永利（ 1972— )，男，河南，教授，博士，主要研究方向为信息安全、密码学；王峻峰（ 1980—)，男，河南，讲师，硕士，主要研究方向为计算机网络安全。

doi：10.3969/j.issn.1671-1122.2021.03.005标准模型下基于格的身份代理部分盲签名方案周艺华，董松寿，杨宇光（北京工业大学信息学部，北京 100124）摘 要：基于格的身份代理盲签名被广泛用于电子商务、电子政务以及软件安全等领域。

针对基于格的代理盲签名中存在的主密钥泄露、恶意用户攻击、签名伪造等问题，文章提出一种标准模型下基于格的身份代理部分盲签名方案。

该方案采用矩阵级联技术构造签名公钥，解决了已有方案中的主密钥泄露问题；采用部分盲签名技术解决了全盲签名方案中恶意用户攻击问题。

安全性分析表明，该方案不仅可以实现代理签名和盲签名的功能，还具有抵抗主密钥泄露攻击、抵抗恶意用户攻击以及自适应选择消息攻击条件下存在不可伪造性（EUF-CMA）等安全特性。

关键词：盲签名；代理签名；格；漏洞；抗量子中图分类号：TP309 文献标志码： A 文章编号：1671-1122（2021）03-0037-07中文引用格式：周艺华，董松寿，杨宇光.标准模型下基于格的身份代理部分盲签名方案[J].信息网络安全，2021，21（3）：37-43.英文引用格式：ZHOU Yihua, DONG Songshou, YANG Yuguang. A Lattice-based Identity-based Proxy Partially Blind Signature Scheme in the Standard Model[J]. Netinfo Security, 2021, 21(3): 37-43.A Lattice-based Identity-based Proxy Partially Blind SignatureScheme in the Standard ModelZHOU Yihua, DONG Songshou, YANG Yuguang(Faculty of Information Technology, Beijing University of Technology, Beijing 100124, China)Abstract: A lattice-based identity-based proxy partially blind signature scheme is widely used in E-business, E-government, software security, and many applications. Considering theproblems of master key leakage, malicious user attack and signature forgery in lattice-basedproxy blind signature, a lattice-based identity-based proxy partially blind signature schemeunder the standard model is proposed, which constructs the public key of signature by usingmatrix cascade technology rather than matrix multiplication technology. It solves the problemof master key leakage in the existing schemes, and uses partial blind signature technology tosolve the problem of malicious user attack in the fully-blind signature scheme. The analysisof security shows that the scheme not only realizes the functions of proxy signature and blindsignature, but also contains some security features such as preventing the disclosure of themaster private key, resisting the attacks from malicious user and existential unforgeabilityunder adaptive chosen message attacks(EUF-CMA).Key words: blind signature; proxy signature; lattice; vulnerability; anti-quantum基金项目：国家自然科学基金[62071015]作者简介：周艺华（1969—），男，北京，副教授，博士，主要研究方向为网络与信息安全、多媒体信息检索与内容安全、密码学；董松寿（1996—），男，河南，硕士研究生，主要研究方向为抗量子密码；杨宇光（1976—），女，北京，教授，博士，主要研究方向为信息安全。