2006年7月
July 2006
计 算 机 工 程Computer Engineering 第 第14期
Vol 32卷.32 № 14 ·安全技术·
文章编号:1000—3428(2006)14—0136—02
文献标识码:A
中图分类号:TP309
基于身份的可认证的盲签名方案感恩的心歌谱
田秀霞1,曹珍富2
(1. 上海电力学院计算机科学与技术系,上海 200090;2. 上海交通大学计算机科学与技术系,上海 200030)
摘 要:在基于身份的盲签名基础上,提出了一个基于身份的可认证的盲签名方案,它有效地实现了用户身份的认证功能与盲签名的融合,使盲签名在电子商务和电子现金支付业务中的使用更加安全有效,使得用户不再需要额外的认证系统来验证身份合法性,大大提高了系统工作效率。
关键词:双射对;盲签名;可认证盲签名协议
Identity-bad Authenticated Blind Signature Scheme
TIAN Xiuxia 1, CAO Zhenfu 2
(1. Department of Computer Science & Technology, Shanghai University of Electric Power, Shanghai 200090;
2. Department of Computer Science & Technology, Shanghai Jiaotong University, Shanghai 200030)
【Abstract 】On the ba of blind signature, this paper prents an identity-bad(ID-bad) authenticated blind signature scheme, it implements effectively ur ΄s identity authenticated function and blind signature, makes blind signature more cret and effective in electric business and cash charge business, makes ur not need exceed certified system to vertify identity legal, it im
proves system work efficiency. 【Key words 】Bilinear pairings; Blind signature; Authenticated blind signature protocol
盲签名的概念首先由Chaum [1]于1983年引入。盲签名在电子现金和电子投票等中提供了用户信息的匿名特性。盲签名允许用户获得信息的有效签名,但是签名者却不知道需要签名的信息和结果签名。
基于身份的加密和签名方案首先由Shamir [2]于1984年提出,主要是为了简化基于证书的公钥体制对公钥证书的管理。其主要思想就是利用用户的身份作为其公钥而不是一个随机的毫无意义的数字 。
基于身份的盲签名首先由Zhang 和Kim [3]于2002年引入,方案基于双射对性质。
f开头的英文单词1 基于身份的可认证的盲签名方案
本文在文献[3]中的基于身份的盲签名基础上提出了一
个基于身份的可认证的盲签名方案,它有效地实现了用户身份的认证功能与盲签名的融合,使得盲签名在电子商务和电子现金支付业务中的使用更加安全有效,用户不再需要额外的认证系统来验证身份合法性。大大提高了系统工作效率,使得用户可以及时有效地得到签名者的有效签名,这正是当今电子商务和电子现金业务要求的最基本的特性:及时,安全,有效,方便。
基于身份的可认证的盲签名方案如下:
参数说明:G 1是加法循环群,G 2是次数为q 的乘法循环群,p 是次数为q 的G 1的生成元,q 是大素数。e 211:ˆG G G →×是双射对,H 和H ,H ,′,l 固定长度。其中都是无冲突哈希函数。U ,S 分别表示用户和签名者,他们的公钥和私钥表示依次为:Q ,Q ,分别表示用户和签名者的身份信息。
q G Ζ→×1*}1,0{:→}1,0{:2→l q H →}1,0{}1,0{:44321,,,H H H H ,,11*2}1,0{:G q G 3′u u S s s S s u ID ID 和创建:PKG 根据输入的安全参数k 生成系统参数params 和系统主密钥s 。 },,,,,,,ˆ,,{432121H H H H P P q e
G G params pub = 其中。
sP P pub =密钥生成:输入用户和签名者的身份信息,输出其公钥
)(2u u ID H Q =,Q ,私钥是,。其中和分别是用户和签名者的身份信息。
)(2s s ID H =Ζ∈==Ζ∈++=′u u sQ S =s s sQ S =u ID s ID 共享密钥计算:签名者随机选取一个r ,计算共享密钥和传送参数s R ,把R 送给用户。
*
q )),(ˆ(3u s rQ S e H k =rQ 盲化信息:用户计算共享密钥k ,然后随机选择a 作为盲因子,并计算R 和
,将h 和′发给签名者。
)),(ˆ(3u S R e
H *,q b s s abQ akQ aR b R m H a h +′=−),(11m 验证用户合法性:签名者计算,如果l )(4k h H l ⊕=m ′=,
则是合法用户,进行签名,否则拒绝签名。
签名:若用户身份合法,则签名者送回V ,。
s S h k r V )(++=去盲因子:用户计算aV V =′去掉盲因子,输出用户信息的签名},,{V R m ′′,),(V R ′′就是信息m 的签名。
签名验证:当且仅当下列式子成立时,接受签名。 ),),((ˆ),(ˆ1pub s P Q R m H R e P V e
′+′=′ 通过下列式子来确认其正确性,下面是其推导过程: ),(ˆ),(ˆP aV e P V e
=′),)((ˆP S ah ak ar e s ++= ),)),(((ˆ1pub s P Q ab R m H ak ar e
+′++= 基金项目:国家自然科学基金资助项目(60072018);国家杰出青
年科学基金资助项目(60225007);国家教育部高等学校博士点基金资助项目(20020248024);华为科技基金资助项目(YJCB2003016DC);上海市基础研究重点项目(04JC14055) 作者简介:田秀霞(1976—),女,助教、硕士,主研方向:网络安全,密码学与电子商务中的安全问题;曹珍富,教授、博导 收稿日期:2005-10-23 E-mail :
—136
—
),),()((ˆ1pub s s P Q R m H Q ab ak ar e
′+++= ),),((ˆ1pub s P Q R m H R e
′+′= 如果上式成立,就说明签名是一个签名者的有效签名。
2 本方案的安全性和效率分析
2.1 盲性证明
假设)是消息m 正确的签名,是签名过程中相互传送的相应的信息。在签名过程中总是存在两个盲因子,因为两个盲因子都是随机选取的,所以签名的盲性自然就满足了。详细请参看文献[3,4]。
,,(V R m ′′),,(V h R *,q b a Ζ∈给定一个有效的签名和公共的传送信息,那么下列式子一定成立。
),,(V R m ′′),,(V h R *,q b a Ζ∈)),(ˆ(3u s S rQ e
爱是坟墓
H k = (1) s (2)
s abQ akQ aR R ++=′)(mod ),(11q b R m H a h +′=− (3) s S h k r V )(++= (4) aV V =′ (5)
通过式(5),可以得到V V a /′=,再由式(3)可以计算出且该值在),()/(11R m H V V h b ′′−=−q Ζ中是唯一的。通过计算出
来的a ,
b 代入式(2),再联合式(1)(在用户是合法的情况下),则证明是正确的。
很明显,由于双射对的非退化性,下式成立。
ˆ(,)s s p R aR akQ abQ e
R P ′′=++⇔ub ) ˆ(,s s pub e
aR akQ abQ P =++ 因此只需要验证a ,b 满足下列式子即可
),(ˆ),(ˆpub s s pub P abQ akQ aR e P R e ++=′由于是一个有效的签名,即 ),,(V R m ′′),),((ˆ),(ˆ1pub s P Q R m H R e P V e
′+′=′,有 ),(ˆpub s s P abQ akQ aR e
++ ),)),()/()(/()/()/((ˆ11pub s s P Q R m H V V h V V kQ V V R V V e
′′−′+′+′=− 11),)),((ˆ),)/()/()/((ˆ−′′+′+′=pub s pub s s s P Q R m H e P hQ V V kQ V V rQ V V e ),(ˆ),(ˆ),))(/((ˆ1pub s P R e P V e P S h k r V V e
′′++′=− ),(ˆ),(ˆ),)/((ˆ1pub P R e P V e P V V V e
′′′=−),(ˆpub P R e ′= 这说明盲因子在整个签名过程中是始终存在的。 2.2 不可伪造性
不可伪造用户信息和不可假冒用户:假设另一用户f ,想用自己的信息m ′来伪造合法用户要签名的信息m ,那么如果
想通过签名方的验证,他必须通过计算,获得正确的共享秘密信息。但是由于用户的私钥只有用户知道,
因此他无法得到正确的k ,只能随机选择一k 来代替k ,或
者通过用自己的私钥计算,其中是用户f 的私钥。由于(基于GDH 难题)
,因此当用户f 通过计算(因为a ,b 是用户随机选取
的,所以),,他将送给签名者,之后签名者验证用
户的合法性。签名者计算,并比较l 和m )),(ˆ(3u S R e
H k =′)),(ˆ(3f S R e
H k =′f S k k ′=/s s Q b a Q k a R a R ′′+′′+′=′′b b a a ′=/′=/,)(mod ),(11
q b R m H a h ′+′′′′=′−)(4k h H m ′⊕′=′′m h ′′′,)(4k h H l ⊕′=′′是否相等,如果相等则对传送的盲化消息签名,否则拒绝签名。对于假冒用户,其被拒绝签名的原因同上。
不可伪造签名:假设一用户f 想伪造签名者的签名,那么他必须通过计算获得共享的秘密信息k ,但由于签名者的私钥只有签名者本人拥有,因此他随机选择一k ′或用自己的
私钥计算)),(ˆ(3u f Q r S e
H k ′=′(r 是签名者随机选取的,所以r r ′=/),然后计算签名f S h k r V )(+′+′=′,传给用户进行签名有效性的验证,用户方对签名信息去盲V a V ′=′′,并通过
验证等式),),((ˆ),(ˆ1pub s P Q R m H R e P V e
′+′=′′是否成立来决定是否接受签名。其验证如下: ˆˆ(,)(,)e
V P e aV P ′′′= ),)((ˆP S ah k a r a e
f +′+′= ),)),(((ˆ1pub f P Q ab R m H k a r a e
+′+′+′= ),),()((ˆ1pub f f P Q R m H Q ab k a r a e
′++′+′= ),),((ˆ1pub s P Q R m H R e
′+′=/ (因为f Q ab k a r a R )(+′+′=/′,,所以用户拒绝接受签名)水果沙拉的做法
s f Q Q =/2.3 不可否认性
只要成立,签名者就无法拒绝自己的签名。
1ˆˆ(,)((,),)s pub e V P e R H m R Q P ′′′=+2.4 该方案的效率分析
循环日记怎么写(1)避免了盲签名在实际应用中同其它认证系统协同工作时可能出现的一些安全问题。
(2)用户得到签名的耗时少。在签名的过程中对用户进行验证,这样不但减少了由频繁交互带来的不安全性,又使得系统的执行效率大大提高。
(3)软硬件开销小。不再需要一个额外的认证系统来验证用户身份的合法性,而是直接将认证系统的认证功能巧妙地融合到了盲签名方案中。
荷包蛋怎么煮
康熙女儿(4)只需要进行两次交互就可以实现认证和签名,而采用认证和盲签名分离的系统,则需要至少3次交互。
3 结论
随着电子商务、电子政务、电子银行等网上业务的展开,
如何更好地保证网络用户的利益,使他们的交易数据安全、有效、快速到达目的地,是我们当前、今后研究的重点,只有用户担心的问题安全解决了,网络应用才可能被广大用户接受,电子商务等才称得上是真正的电子商务。
致谢 作者衷心感谢那些为改进本文而提出他(她)们宝贵建议的匿名评审者。
想要被舔
参考文献
1 Chaum D. Blind Signatures for Untraceable Payments[C]. Proc. of Advances in Cryptology-crypto, NY , 1983: 199-203.
2 Shamir A. Identity-bad Cryptosystems and Signature Schemes[C]. Proc. of Advances in Cryptology-crypto. Spring-Verlay, 1984: 47-53.
3 Zhang F, Kim K. ID-bad Blind Signature and Ring Signature from Pairings[C]. Proc. of the Asiacrypt LNCS, 2002: 533-547.
4 Zhang F, Kim K. Efficient ID-bad Blind Signature and Proxy Signature from Bilinear Pairings[C]. Proc. of Information Security and Privacy. Spring-Verlay, 2003: 312-323.
—137—
