一個(gè)分布式可信中心的門(mén)限盲簽名方案

胡建軍

(甘肅聯(lián)合大學(xué)電子信息工程學(xué)院，甘肅蘭州 730010)

1979年，SHAMIR提出一種基于拉格朗日插值的(k，n)門(mén)限秘密管理方案［1］，隨后，ASMUTH和BLOOM于1980年提出一種基于中國(guó)剩余定理的(k，n)門(mén)限秘密管理方案［2］，這兩種方案的共同思想是將一個(gè)秘密分成n份，并將秘密份額秘密地分發(fā)給n個(gè)參與者，n個(gè)秘密持有者中任意k個(gè)以上的參與者合作，就能夠有效地計(jì)算出秘密本身，否則就不能獲得秘密。

ASMUTH和BLOOM方案的運(yùn)算量和存儲(chǔ)量分別是O(k)和O(n)，而SHAMIR方案的運(yùn)算量和存儲(chǔ)量分別是O(k lg2k)和O(n)［3］，當(dāng)密鑰值較大時(shí)，ASMUTH和BLOOM方案要優(yōu)于SHAMIR方案。盡管如此，由于SHAMIR方案計(jì)算簡(jiǎn)單且易于擴(kuò)展，30多年來(lái)，大量基于門(mén)限的研究主要建立在SHAMIR方案基礎(chǔ)上［4-9］。然而，無(wú)論是哪種門(mén)限類(lèi)型的研究，其共性是要么以單一可信中心為基礎(chǔ)，要么以n個(gè)可信中心(許多文獻(xiàn)稱(chēng)為無(wú)可信中心)為基礎(chǔ)。由于單一可信中心存在單點(diǎn)失效、中心運(yùn)行負(fù)擔(dān)過(guò)重、通信能力不高等缺陷，而n個(gè)可信中心又存在冗余通信過(guò)多、客戶端性能要求高、數(shù)據(jù)重復(fù)存儲(chǔ)等缺陷，因此，為解決這兩種方案的不足，筆者以ASMUTH和BLOOM方案及雙線性映射為基礎(chǔ)，提出一種分布式可信中心的門(mén)限盲簽名方案。

1 相關(guān)知識(shí)

1.1 雙線性映射

設(shè)G1和G2分別是階為大素?cái)?shù)q的加法群和乘法群，P為G1的生成元。假設(shè)G1和G2的離散對(duì)數(shù)問(wèn)題都是困難問(wèn)題，則映射e:G1×G1→G2稱(chēng)為雙線性映射。雙線性是指對(duì)于?P，Q∈G1，a，b∈Z，有 e(aP，bQ)=e(P，abQ)=e(abP，Q)=e(P，Q)ab。

1.2 與雙線性映射有關(guān)的密碼學(xué)問(wèn)題

(1)離散對(duì)數(shù)問(wèn)題(DLP):對(duì)?P，Q∈G1，已知Q=nP，則通過(guò)Q和P求解n是困難的。

(2)判定Diffie-Hellman問(wèn)題(DDHP):給定?P∈G1，a，b，c∈，給定 P，aP，bP，cP，判定 c≡ab(mod q)是困難的。

(3)計(jì)算Diffie-Hellman問(wèn)題(CDHP):對(duì)于 a，b∈，?P∈G1，給定 P，aP，bP，計(jì)算 abP是困難的。

通過(guò)橢圓曲線上的weil對(duì)或tate對(duì)容易構(gòu)造滿足以上性質(zhì)的雙線性映射。

2 可信中心分布的門(mén)限盲簽名方案

2.1 系統(tǒng)初始化

該方案將整個(gè)系統(tǒng)分為兩級(jí)，即全局可信中心和局部可信中心，下面是系統(tǒng)的建立過(guò)程。

(1)系統(tǒng)初始化。系統(tǒng)向所有的用戶發(fā)布公共系統(tǒng)參數(shù){G1，G2，e，P，H，k}，其中 G1、G2是階為大素?cái)?shù)q的循環(huán)群，P為G1的生成元，e為雙線性映射，定義為e:G1×G1→G2，H為哈希函數(shù)，定義為 H:{0，1}*→G1，k 為門(mén)限。

(2)建立分布式可信中心。系統(tǒng)隨機(jī)選擇一組滿足下列條件的 n+1 個(gè)數(shù) t，m1，m2，…，mn，并將其公開(kāi):①t＞s;②m1＜m2＜… ＜mn;③對(duì)于?i∈［1，n］，gcd(p，mi)=1，且對(duì)于?i≠j∈［1，n］，gcd(mi，mj)=1，即 n+1 個(gè)數(shù) t，m1，m2，…，mn兩兩互質(zhì);④m1m2…mk＞ tmk+2mk+3…mn。

令N=m1m2…mk，則N/t大于任意k-1個(gè)mi之積，選擇?r∈［0，N/t-1］，計(jì)算 s'=s+rt，si=s'mod mi，i∈［1，n］，系統(tǒng)通過(guò)安全信道秘密發(fā)送分布式可信中心的秘密份額si并公開(kāi)身份siP。系統(tǒng)安全保存各可信中心的秘密與身份信息。其中，s為系統(tǒng)身份的秘密，sP為系統(tǒng)公開(kāi)身份。

2.2 注冊(cè)申請(qǐng)分布可信中心

分布式可信中心注冊(cè)申請(qǐng)時(shí)，系統(tǒng)通過(guò)安全信道秘密發(fā)送秘密份額si、簽名秘密Wi和隨機(jī)整數(shù) ri，其中 Wi≠Wj≠s，ri≠rj≠r，?i≠j∈［1，n］。

2.3 群用戶秘密份額的生成

群用戶在就近分布式可信中心注冊(cè)。注冊(cè)時(shí)，就近分布式可信中心計(jì)算=Wi+rit，sil=［1，n］，并通過(guò)安全信道秘密發(fā)送秘密份額sil給注冊(cè)用戶并公開(kāi)身份silP。

2.4 門(mén)限盲簽名

假設(shè)被簽名的消息為M，則簽名過(guò)程如下:

(1)簽名者申請(qǐng)。需要群簽名的用戶向分布式可信中心提出申請(qǐng)，發(fā)送信息(M1，aiP，IDu·H(M))給簽名機(jī)構(gòu)，其中隨機(jī)數(shù)?ai∈Zq，M1=H(M)+aiQi，M為要簽名的消息，Qi為分布式可信中心的公開(kāi)群身份，即Qi=siP。

2.5 簽名驗(yàn)證

分布式可信中心通過(guò)sil恢復(fù)Wi。由于Wi=Wi-rit，而若給定任意k個(gè)秘密份sil，由中國(guó)剩余定理可知，同余方程組為:

在［0，N1-1］內(nèi)有唯一解，N1=mi1mi2…mik，假設(shè)這個(gè)唯一解為x，則=x(mod N1)。

令 b=x-rit，如 果 e(bH(M)P，WiP)e(bP，WiH(M)P)成立，則簽名合法，否則為非法簽名。

2.6 群用戶信息的備份與更新

每個(gè)分布式可信中心保存著本地群用戶的所有信息，這些信息以增量更新的方式上傳到全局可信中心，全局可信中心按照身份標(biāo)識(shí)存儲(chǔ)每個(gè)分布式可信中心的信息。這樣做的好處是可以防止單點(diǎn)失效，實(shí)現(xiàn)代理群簽名，便于節(jié)點(diǎn)的移動(dòng)，可提高系統(tǒng)的整體通信能力。

3 安全性分析

該方案具有如下性質(zhì)［10］:

(1)盲性。由于申請(qǐng)簽名者選擇的?ai∈Zq是隨機(jī)的，且H(·)是單向散列的，其他用戶不可能獲得信息M，因此簽名保證了消息的盲性。

(2)可追查性。由于該方案中的簽名仲裁是由分布式可信中心完成的，因此如果簽名是正確的，那么，群用戶的身份是可追查的，這是因?yàn)閷?duì)于可信中心而言，通過(guò)查表就可以判斷簽名的合法性與正確性。

(3)群簽名特性。由于可信中心可以通過(guò)k個(gè)用戶的密鑰信息求出=x(mod N1)，而恰好為群秘密，因此方案具有群簽名特性。

(4)防偽造性?？梢苑謨煞N情形討論該方案的防偽造性。①普通用戶偽造普通用戶。很顯然，偽造簽名是不可能的，這是因?yàn)?，假設(shè)群用戶A要冒充B簽名，由于A沒(méi)有B的私鑰而使偽造簽名失敗。②普通用戶偽造分布式可信中心。由于普通用戶無(wú)法獲取分布式可信中心的私鑰si，因此他無(wú)法將aiQi替換成消息rP，即無(wú)法將消息M1替換成消息M2，從而偽造分布式可信中心失敗。綜合以上兩種情形，可以認(rèn)為方案是可防偽造的。

(5)抗合謀性。如果有t個(gè)以上的群用戶想要合謀獲取M，則合謀失敗。這是因?yàn)?，H(·)是單向散列的，因此如果想要合謀攻擊成功，則必須能夠求出H(·)的逆，但這是不可能的。

(6)驗(yàn)證簡(jiǎn)單。檢查雙線性映射的正確性，即等式 e(bH(M)P，WiP)e(bP，WiH(M)P) 成立，簽名合法，驗(yàn)證通過(guò)。

4 結(jié)論

筆者結(jié)合雙線性映射、門(mén)限身份和門(mén)限盲簽名，提出了一個(gè)分布式可信中心的門(mén)限簽名方案。該方案通過(guò)分布式可信中心完成t-1個(gè)群用戶的簽名，防止了群用戶之間的合謀攻擊，通過(guò)可信中心的裁決，能夠追查簽名者的不良行為。由于客戶端僅需少量的計(jì)算，因此該方案對(duì)于提高客戶端運(yùn)行效率和減輕客戶端維護(hù)成本具有重要的意義;又由于可信中心是分布的，因此在很大程度上避免了單點(diǎn)失效問(wèn)題，提高了系統(tǒng)的通信能力和穩(wěn)定性。

［1］SHAMIR A.How to share a secret［J］.Comm ACM，1979，22(11):612-613.

［2］ASMUTH C，BLOOM J.A modular approach to key safeguarding［J］.IEEE Transactions on Information Theory，1983，30(3):208-210.

［3］卿斯?jié)h.安全協(xié)議［M］.北京:清華大學(xué)出版社，2005:229-238.

［4］DESMEDT Y，F(xiàn)RANKEL Y.Shared generation of authentications and signatures［C］//Advances in Cryptology-Crypto'91，Lecture Notes in Computer Science.Berlin:Springeer-Verlag，1992:457-469.

［5］CHAUM D.Blind signatures for untaceable payments［EB/OL］.［2012-04-11］.http://citeseer.ist.psu.edu/cotext/2064/0.html.

［6］CHANGE T Y，YANG C C，HWANG M S.A threshold signature scheme for group communications without a shared distribution center［J］.Future Generation Computer Systems，2004，20(6):1013-1021.

［7］BONEH D，F(xiàn)RANKLIN M K.Identity based encryption from the weil pairing［J］.SIAM Journal on Computing，2003，32(3):586-615.

［8］MIHIR B，CHANTHIP N，NEVEN G.Security proofs for identity-based identification and signature schemes［C］//Proc of the Eurocrypt 2004.Berlin:Springeer-Verlag，2004:244-253.

［9］涂峰，趙一鳴.一種基于身份的門(mén)限盲簽名方案［J］.計(jì)算機(jī)工程，2008，34(21):118-119.

［10］胡建軍，王偉，裴東林.基于ELGamal數(shù)字簽名的雙向認(rèn)證方案［J］.計(jì)算機(jī)工程，2010，36(6):173-174.