CN102387019A

CN102387019A - 无证书部分盲签名方法

Info

Publication number: CN102387019A
Application number: CN2011103177546A
Authority: CN
Inventors: 刘景伟; 孙蓉; 何剑辉; 白宝明
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2011-10-19
Filing date: 2011-10-19
Publication date: 2012-03-21
Anticipated expiration: 2031-10-19
Also published as: CN102387019B

Abstract

本发明涉及一种无证书部分盲签名方法，主要解决现有技术中的部分盲签名方法实用性差的问题，其实现步骤是：1)密钥生成中心从mod q的整数乘法群

中随机选取一个整数s_PKG作为自己的私钥秘密保存，并公开其系统参数：{G₁，q，l，P，G₂，e，H，h，Q_PKG}；2)签名者生成部分私钥s₁和部分公钥Q₁，密钥生成中心生成另外一部分私钥S₂和公钥Q₂，并通过安全认证信道发送给签名者，签名者取得其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；3)签名者进行签名；4)验证者利用签名者的公钥对(Q₁，Q₂)验证签名的有效性。本发明既消除了对证书的需求，又无密钥托管的弊端，还具有部分盲性，同时简单高效，实用性和安全性好，可用于电子现金交易和电子选举中。

Description

无证书部分盲签名方法

技术领域

本发明属于信息安全技术领域，涉及一种无证书部分盲签名方法，适用于数字签名与认证中，尤其适用于电子现金交易和电子选举中。

背景技术

数字签名作为保障网络信息安全的手段之一，可以有效解决网络信息传输中的伪造、抵赖、冒充和篡改问题，是实现电子交易安全的核心技术之一，在保证交易的安全性、真实性以及不可否认性等方面具有重要的应用。在密钥分配、电子银行、电子政券、电子商务和电子政务等领域均有重要的应用价值。

然而在某些特殊的情况，消息拥有者既想让签名者对他所拥有的信息签名，又不想让签名者知道信息的内容，同时签名者并不在意他签署的内容，只是想让别人知道他签署过这条消息。为了解决这个问题，1982年Chaum首先提出了盲签名的概念，简单地说，盲签名是一种特殊类型的数字签名，它是一个双方协议：先由签名请求者对原始信息进行盲化，然后发送给签名者；签名者对盲化后的信息进行签名并返还给签名请求者；签名请求者去盲化，最终得到签名者关于原始信息的正确签名。由于盲签名协议能够通过盲变换有效地隐藏身份信息，因此其广泛地应用于既需要认证消息的有效性又需要保证匿名性的场合，比如电子选举和电子现金的应用中。Abe和Fujisaki在Advances inCryptology-Asiacrypt’96首先提出了部分盲签名的概念，部分盲签名允许签名者在签名中嵌入一个和用户一起协商的公共信息。

Shamir在1984年首先提出了基于ID的密码系统IBC。在这个系统中，用户可以使用自己的身份作为公钥。与传统密码系统相比，IBC系统简化了整个密钥管理过程，但是它却引入另外一个问题-密钥托管问题，即私钥生成中心PKG知道所有用户的私钥，从而可以伪造任何用户的签名。为了解决IBC系统固有的密钥托管问题，在2003年的亚洲密码学会议上，AIRiyami和Paterson提出了无证书的公钥密码系统CL-PKC，在CL-PKC系统中，密钥生成中心KGC不再拥有用户的完整私钥，它只提供用户的部分私钥，另外一部分私钥为用户自己选取的秘密值，从而解决了密钥托管问题。

盲签名协议与CL-PKC系统的结合一直是该领域学者研究的重点，然而直到近年来，仍然只有较少的无证书部分盲签名方案被提出，但大部分计算复杂度高，实用性差。例如，C.j.Wang在A Certificateless Restrictive Partially Blind Signature Scheme中提出了无证书限制性部分盲签名方案并给出了一个简要的安全证明。但是该方案由于算法复杂，执行效率较低，因而实用性较差。

发明内容

本发明的目的在于克服上述已有技术的不足，提出一种计算简单、执行效率高的无证书部分盲签名方法，以改善其实用性能。

为了达到上述目的，本发明将部分盲签名协议和无证书的公钥密码系统CL-PKC结合，使得签名方法既消除了对证书的需求，又无密钥托管的弊端，还具有部分盲性，同时简单高效，安全性好。其实现步骤包括如下：

(1)建立一个系统参数{G₁，q，l，P，G₂，e，H，h，Q_PKG}

其中，<G₁，+>是一个阶为素数q的循环加法群；l是安全系数，q＞2^l；P是G₁的生成元；<G₂，·>是一个阶为素数q的循环乘法群；e是一个双线性对映射，将G₁中的任意两个元素，映射到G₂上的一个元素，e(G₁，G₁)→G₂；H和h是两个无碰撞安全杂凑函数，H是将长度不等的0/1序列映射到G1上的一个元素的杂凑函数，H：{0，1}^*→G₁；h是将长度不等的0/1序列映射到mod q的整数乘法群上的一个元素的杂凑函数，

Q_PKG是密钥生成中心PKG的公钥；

(2)签名者从mod q的整数乘法群

中随机选取一个整数s₁作为他的部分私钥；

(3)签名者计算Q₁＝s₁P作为他的部分公钥；

(4)密钥生成中心PKG获取签名者的身份信息id和部分公钥Q₁，计算签名者的另外一部分公钥Q₂＝H(id，Q₁)和另外一部分私钥S₂＝sP_KGQ2，并将S₂通过安全认证信道发送给签名者，使签名者获得其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)；

(5)签名者从mod q的整数乘法群

中随机选取三个不相等的整数k、c和d，计算一次性随机信息a＝e(Q₂，Q_PKG)^k和一次性保护信息B＝cP+dZ，并将(a，B)发送给签名请求者，其中Z＝H(α，P)是公共信息α的承诺信息；

(6)签名请求者从循环加法群G1中随机选取一个整数T1，从mod q的整数乘法群中随机选取三个不相等的整数t₂，t₃，t₄，计算待签名信息β的承诺信息

及γ的盲化信息τ＝γ-t₂-t₄ mod q，并将τ发送给签名者，其中ψ＝B+t₃P+t₄Z是对公钥隐藏信息a和保护信息B的验证信息；

(7)签名者进行盲签名，即计算签名后的盲化信息v＝τ-d mod q和签名后的验证信息U＝kS₂-vs₁Q₂，并将(U，v，c，d)作为盲签名发送签名者；

(8)签名请求者对接收到的盲签名(U，v，c，d)进行去盲，即计算：Ω＝U+T₁，ω＝v+t₂ mod q，Δ＝(c+t₃)P和δ＝d+t₄ mod q，并将(Ω，ω，Δ，δ)作为签名者对公共信息α和待签名信息β的签名信息，其中Ω是去盲后的验证信息，ω是对去盲后的盲化信息，Δ是去盲后的部分签名验证信息，δ是去盲后的另外一部分签名验证信息；

(9)验证者收到身份信息为id的签名者对公共信息α和待签名信息β的签名信息(Ω，ω，Δ，δ)后，验证ω+δ＝h(e(Ω，P)·e(Q₂，Q₁)^ωPβ，Δ+δZ，Z)mod q是否成立，若该式成立则通过验证，否则失败。

本发明具有以下优点：

(1)安全性好

本发明中的无证书部分盲签名方法通过采用无证书的公钥密码系统CL-PKC，消除了签名方案对证书的需求；而在CL-PKC中，签名者自己生成部分私钥和公钥，密钥生成中心PKG生成另外一部分私钥和公钥，从而解决了密钥托管的问题，因为PKG只有签名者的部分私钥；

本发明中的无证书部分盲签名方法通过将密钥生成以及签名、验证过程建立在循环群上，而循环群上的CDH难题，为本发明中的签名方法提供安全保证；在随机预言机模型下，该方法被证明能够抵抗适应性选择消息攻击和ID攻击下的存在性伪造。

(2)具备部分盲性

本发明中的无证书部分盲签名方法通过在签名过程中嵌入公共信息α，使其具有部分盲性，以消除全盲签名的弊端。

(3)执行效率高

本发明中的无证书部分盲签名方法需要进行G₁上的加法运算和乘法运算，mod q的整数乘法群

上的乘法运算，G₂上的指数运算以及G₁到G₂的双线性映射对运算e；其中以对运算e，G₂上的指数运算，G₁上的乘法运算这三种运算最复杂，所以其数量是执行性能方面的关键因素，本发明通过采用杂凑函数

将签名和验证过程中的部分步骤建立在

上以减少这三种运算的数量，从而提高了执行效率。

附图说明

图1是本发明的数字签名流程图；

图2是本发明的密钥生成子流程图。

具体实施方式

参照图1，本发明是一种无证书部分盲签名方法，其实施步骤为：

步骤1，密钥生成中心PKG建立系统参数，具体步骤如下：

(1a)根据安全需要，确定安全系数l和素数q的大小，利用椭圆曲线构造满足双线性映射e(G₁，G₁)→G₂的循环加法群<G₁，+>和循环乘法群<G₂，·>，简便起见，本实施例选用美国国家标准技术局NIST所推荐的素数域上的P-192椭圆曲线；

(1b)选择以下无碰撞杂凑函数H：{0，1}^*→G1和本实施例选用杂凑函数SHA-1；

(1c)从mod q的整数乘法群

中随机选取一个整数s_PKG作为自己的私钥，并计算Q_PKG＝s_PKGP作为自己的公钥；

(1d)公开系统参数{G₁，q，l，P，G₂，e，H，h，Q_PKG}，并将s_PKG作为秘密保存；

步骤2，签名者的密钥生成

参照图2，本步骤的具体实现如下：

(2a)签名者从mod q的整数乘法群

中随机选取一个整数s₁作为他的部分私钥；

(2b)签名者计算Q₁＝s₁P作为自己的部分公钥；

(2c)密钥生成中心PKG获取签名者的身份信息id和部分公钥Q₁后，计算签名者的另外一部分公钥Q₂＝H(id，Q₁)和另外一部分私钥S₂＝s_PKGQ₂，并将S₂通过安全认证信道发送给签名者，使签名者获得其私钥对(s₁，S₂)和公钥对(Q₁，Q₂)。

步骤3，签名者进行签名

签名方案涉及到一个签名者和签名请求者之间的交互过程，包括如下步骤：

(3a)协商公共信息：签名者从mod q的整数乘法群

中随机选取三个整数k、c和d，计算一次性随机信息a＝e(Q₂，Q_PKG)^k和一次性保护信息B＝cP+dZ，并将(a，B)发送给签名请求者，其中α是公共信息，Z＝H(α，P)是α的承诺信息；

(3b)待签名信息盲化：签名请求者从G₁中随机选取T₁，从mod q的整数乘法群

中随机选取三个整数t₂、t₃和t₄，计算待签名信息β的承诺信息

及γ的盲化信息τ＝γ-t₂-t₄mod q，并将τ发送给签名者，其中

ψ＝B+t₃P+t₄Z是对信息(a，B)的验证信息；

(3c)签名者进行盲签名：即计算签名后的盲化信息v＝τ-d mod q和签名后的验证信息U＝kS₂-vs₁Q₂，并将(U，v，c，d)作为部分盲签名发送签名者；

(3d)签名请求者对接收到的盲签名(U，v，c，d)进行去盲：即计算Ω＝U+T₁，ω＝v+t₂ mod q，Δ＝(c+t₃)P和δ＝d+t₄ mod q，并将(Ω，ω，Δ，δ)作为签名者对公共信息α和待签名信息β的签名信息，其中Ω是去盲后的验证信息，ω是对去盲后的盲化信息，Δ是去盲后的部分签名验证信息，δ是去盲后的另外一部分签名验证信息；

步骤4，签名验证

验证者收到身份信息为id的签名者对公共信息α和待签名信息β的签名信息(Ω，ω，Δ，δ)后，验证ω+δ＝h(e(Ω，P)·e(Q₂，Q₁)^ωPβ，Δ+δZ，Z)mod q是否成立，若该式成立则通过验证，否则失败。

本发明中的效果可通过以下仿真进一步说明：

为验证本发明中的无证书部分盲签名方法的执行效率，我们在PDA上进行了仿真运行，其运算数量与现有A Certiffcateless Restrictive Partially Blind Signature Scheme方法中的运算数量进行比较，具体结果见下表1

表1本方法与现有方法的运算数量比较

表1中的符号“P”表示e上的对运算的数量，“E”表示G₂上指数运算的数量，“M”表示G₁上乘法运算的数量。

从表1中可以看出，本方法中的运算数量比A Certificateless Restrictive Partially BlindSignature Scheme方法中的运算数量少，可知本方法在执行效率上比A CertificatelessRestrictive Partially Blind Signature Scheme方法高的多。

Claims

1.一种无证书部分盲签名方法，包括如下步骤：

(1)建立一个系统参数{G₁，q，l，P，G₂，e，H，h，Q_PKG}

其中，<G₁，+>是一个阶为素数q的循环加法群；l是安全系数，q＞2^l；P是G₁的生成元；<G₂，·>是一个阶为素数q的循环乘法群；e是一个双线性对映射，将G₁中的任意两个元素，映射到G₂上的一个元素，e(G₁，G₁)→G₂；H和h是两个无碰撞安全杂凑函数，H是将长度不等的0/1序列映射到G₁上的一个元素的杂凑函数，H：{0，1}^*→G₁；h是将长度不等的0/1序列映射到mod q的整数乘法群