数字签名的概念首先由Diffie和Hellman^[1]提出, 可用于合同、证书文件等的证明, 也可作为复杂安全协议的组成部分. 随着研究的深入, 许多具有特殊性质的数字签名方案相继被提出, 如盲签名^[2]、代理签名^[3], 或两种技术相结合的代理盲签名方案, 所有的数字签名方案中都需要安全地保存签名密钥, 因为一旦签名密钥泄露, 由这个签名密钥所签署的所有签名都将变得无效, 为了解决这个问题, 前向安全^[4]技术被提出, 前向安全技术在很大程度上解决了因签名密钥泄露而带来的严重危害, 如在文献[5,6]中分别给出了安全的方案. 肖红光等人提出首个前向安全代理盲签名方案^[7], 但该方案的前向安全性仅限于代理私钥, 而签名并不具备前向安全性, 文献[8]进一步指出该方案不能抵抗原始签名人的伪造攻击, 同时通过对代理授权方式和盲签名过程的改进提出了一个新的方案. 张席等提出了一种新的前向安全代理盲签名方案^[9], 但该方案不能抵抗伪造攻击, 不具备不可伪造性. Manoj等设计了一个前向安全的代理盲签名方案^[10], 文献[11]中发现该方案在代理授权和代理盲签名阶段均存在伪造攻击, 并基于离散对数给出了改进的前向安全代理盲签名方案, 改进后方案的特点是在代理授权阶段将单向散列函数嵌入到签名中, 并对签名阶段进行了改进. 周萍等人基于二次剩余难题, 提出两种前向安全的代理盲签名方案^[12], 随后在其博士论文中^[13]对其进行了改进, 经分析发现无论是原方案还是改进后的方案, 都存在信息拥有者对信息进行否认的问题, 因为整个方案中没有信息拥有者的私钥信息, 信息拥有者可以否认签名所用的信息是自己提供的, 针对周萍等人方案(以下简称ZP方案)存在的安全问题, 本文提出一种改进方案, 改进的方案中信息拥有者无法否认自己提供的信息, 信息拥有者参与了签名的过程, 改进的方案既保持了原方案的优点, 又能防止信息拥有者否认, 从而使方案具有更好的实用性.

1 ZP方案

ZP方案回顾, 方案的参与者包括: 原始签名者A, 代理签名者B、信息拥有者C, m_w是授权证书, 内容包含A和B的身份、授权代理签名的权限、范围和代理签名有效期等信息, 将有效周期划分为T个时间段.

1.1 系统参数

选择一个q阶的元 $g \in {Q_n}$ , 其中Q_n是 $Z_n^*$ 中所有模n平方剩余数构成的乘法子群. A任意选取三个大素数q, q₁, q₂, 并且计算出 ${p_1} = 2q{q_1} + 1$ , ${p_2} = 2q{q_2} + 1$ , ${n_1} = {p_1}{p_2}$ , 并将n₁通过安全信道发送给B. B也任意选取两个大素数p₃和p₄, 并且计算 ${n_2} = {p_3}{p_4}$ , $n = {n_1}{n_2}$ , 并且将n₂和n通过安全信道发送给A. 选择两个抗强碰撞安全单向哈希函数:

$\begin{array}{l}{H_1}:Z_n^* \times {\left\{ {0,1} \right\}^*} \to Z_q^*\\{H_2}:Z_{T + 1}^* \times Z_n^* \times {\left\{ {0,1} \right\}^*} \times {\left\{ {0,1} \right\}^*} \to Z_q^*\end{array}$

原始签名者A任意选择一个x_A作为自己的私钥, ${x_A}{ \in _R}Z_q^*$ , 计算出公钥 ${y_A} = {g^{{x_A}}}od n$ , ${y_A} \in Z_n^*$ .

代理签名者B任意选择一个x_B作为自己的初始私钥, ${x_{{B_0}}} \in Z_n^q$ , 计算出公钥 ${y_B} = x_{{B_0}}^{{2^{T + 1}}}od n$ , ${y_B} \in Z_n^*$ , 其中T为代理签名者B签名密钥有效期内划分的时间段数. 再选择公私钥对 $\left( {x_B',y_B'} \right)$ , 且 $x_B' \in Z_q^*$ , $y_B' = {g^{x_B'}}od n$ , $y_B' \in Z_n^*$ , 然后B将y_B和 $y_B'$ 发送给原始签名者A.

信息拥有者C任意选择一个x_C作为自己的私钥, ${x_C}{ \in _R}Z_q^*$ , 计算出公钥 ${y_C} = {g^{{x_C}}}od n$ , ${y_C} \in Z_n^*$ .

原始签名者A公开系统的参数 $\{ {H_1},{H_2},n,g,{y_A},{y_B},$ $y_B',T \}$ 并且A和B删除 $\left\{ {q,{q_1},{q_2},{p_3},{p_4},{n_1},{n_2}} \right\}$ .

1.2 代理授权

(1) 原始签名者A任意选取k_A, ${k_A} \in {}_RZ_q^*$ , 计算: ${r_A} = {g^{{k_A}}}od n$ , $h = {H_1}\left( {{r_A},{m_w}} \right)$ , ${\sigma '} = h{x_A} + {k_A}\left( {od q} \right)$ , 然后将 $\left( {{r_A},{\sigma '},{m_w}} \right)$ 通过秘密信道发送给代理签名者B.

(2) 代理签名者B收到原始签名者A发送来的 $\left( {{r_A},{\sigma '},{m_w}} \right)$ 后, 验证等式 ${g^{{\sigma '}}} = y_A^{{H_1}\left( {{r_A},{m_w}} \right)}{r_A}\left( {od n} \right)$ 是否成立, 如果不成立, 要求原始签名者A重新发送授权信息, 或者代理签名者B停止代理, 如果成立, 则接受原始签名者A发送的代理授权信息 $\left( {{r_A},{\sigma '},{m_w}} \right)$ , 并且计算 $\sigma {\rm{ = }}{\sigma '} + x_B'\left( {od q} \right)$ .

1.3 更新代理密钥

在 $i\left( {1 \le i \le T} \right)$ 时段即将开始时, 代理签名者B利用i–1时段的私钥 ${x_{{B_{i - 1}}}}$ 通过密钥更新算法 ${x_{{B_i}}} = x_{{B_{i - 1}}}^2$ $\left( {od q} \right)$ 计算得到第i时段的私钥, 然后将i–1时段的私钥 ${x_{{B_{i - 1}}}}$ 安全的删除, 则代理签名者B在第 $i\left( {1 \le i \le T} \right)$ 时段的签名密钥为 $\left( {{x_{{B_i}}},\sigma } \right)$ .

1.4 代理盲签名生成

设C拥有信息m, 需要B代表A对m进行签名, A, B, C三者共同通过以下步骤完成对m的代理盲签名.

(1) 代理签名者B任意选择两个数 ${k_B},u \in {}_RZ_q^*$ , 并且计算: ${r_B} \!=\! {g^{{k_B}}}od n$ , $w \!=\! {x_{{B_i}}}{g^u}od n$ , 然后将 $\left( {{r_A},{r_B},w,{m_w}} \right)$ 通过秘密信道发送给信息拥有者C.

(2) 信息拥有者C任意选择三个随机数 $\alpha ,\beta ,\lambda \in {}_RZ_q^*$ , 秘密保存, 并且计算: $h = {H_1}\left( {{r_A},{m_w}} \right)$ , ${r_c} = {r_B}{g^{\alpha \cdot {2^{T + 1 - i}}}}{\left( {y_A^h{r_A}y_B'} \right)^\beta }\left( {od n} \right)$ , $W{\rm{ = }}w{g^\lambda }\left( {od n} \right)$ , 若r_C=0, 则C必须从新选择α, β, λ直到 ${r_C} \ne 0$ 为止. 计算: $e = {H_2}\left( {{r_C},W,{m_w},m,i} \right)$ , ${e'} = e - \beta \left( {od q} \right)$ , 并且将e'通过安全信道发送代理签名者B.

(3) 代理签名者B收到e'后, 计算: ${s'} = {2^{T + 1 - i}} \cdot u \cdot {r_A} + $ $ {k_B} - {e'}\sigma \left( {od q} \right)$ , 则s'就是代理签名者B对信息m的盲签名, 将s'通过安全信道秘密发送给信息拥有者C.

(4) 信息拥有者C收到s'后, 计算: $s = {s'} + \alpha \cdot {2^{T + 1 - i}} + $ $ \lambda \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)$ , 最后得到代理签名者B对信息m的盲签名是: $\left( {s,W,e,{r_A},{m_w},i} \right)$ .

1.5 验证签名

任何人都可以验证盲签名 $\left( {s,W,e,{r_A},{m_w},i} \right)$ 的有效性, 验证过程如下:

(1) 验证人首先根据授权信息m_w检查签名授权信息是否正确, 如m是否在授权签名信息的有效范围内、代理签名权是否过期、代理权限是否在有效范围内等, 如果签名授权信息m_w不正确, 则否认签名.

(2) 在验证授权信息m_w正确后, 计算: $h \!=\! {H_1}\left( {{m_w},{r_A}} \right)$ , $R \!=\! {\left( {{W^{ - {2^{T + 1 - i}}}} \cdot {y_B}} \right)^{{r_A}}}{\left( {y_A^h \cdot {r_A} \cdot y_B'} \right)^e}{g^s}\left( {od n} \right)$ , ${e'} = {H_2}\left( {R,W,{m_w},m,i} \right)$ , 然后比较等式 ${e'} = e$ 是否成立. 如果成立, 则 $\left( {s,W,e,{r_A},{m_w},i} \right)$ 是信息m的有效代理盲签名.

2 ZP方案安全性分析

对ZP方案的正确性、强盲性、前向安全性以及代理签名安全性的分析请参见文献[10], 此处只对不可否认性从三个方面进行分析.

(1) 原始签名人不能否认自己对代理签名人的授权, 即不能否认自己的签名授权, 在代理授权阶段, ${\sigma '} = h{x_A} + {k_A}\left( {od q} \right)$ 中包含了原始签名者A的私钥x_A, 并且在验证过程中用到了原始签名者A的公钥, 所以原始签名者A无法否认自己的签名授权.

(2) 代理签名人不能否认自己的代理签名, 即代理签名人不能对自己的代理签名进行否认, 在代理盲签名生成阶段, $w = {x_{{B_i}}}{g^u}od n$ 和 ${s'} = {2^{T + 1 - i}} \cdot u \cdot {r_A} + $ $ {k_B} - {e'}\sigma \left( {od q} \right)$ 中包含了代理签名者B的签名密钥为 $\left( {{x_{{B_i}}},\sigma } \right)$ , 并且在验证的过程中用到了代理签名者B的公钥, 所以, 代理签名人不能对自己的代理签名进行否认.

(3) 信息拥有者C能对签名进行否认, 即信息拥有者C否认提供信息m用于签名, 因为在整个签名过程中没有用到信息拥有者C的私钥.

通过分析发现, ZP方案中原始签名者无法否认自己的签名授权, 代理签名人不能对自己的代理签名进行否认, 但信息拥有者可以对签名的信息进行否认, 否认自己提供过信息m用于签名.

3 ZP方案的改进

针对ZP方案中存在的安全问题, 提出一种改进方案, 改进方案中的系统参数、代理授权、更新代理密钥与原方案相同.

3.1 代理盲签名生成

A, B, C三者共同通过以下步骤完成对m的代理盲签名.

(1) 代理签名者B任意选择两个数 ${k_B} \in {}_RZ_q^*$ , $u \in {}_RZ_q^*$ , 并且计算: ${r_B} = {g^{{k_B}}}od n$ , $w = {x_{{B_i}}}{g^u}od n$ , 然后将 $\left( {{r_A},{r_B},w,{m_w}} \right)$ 通过秘密信道发送给信息拥有者C.

(2) 信息拥有者C任意选择三个随机数 $\alpha ,\beta ,\lambda \in {}_RZ_q^*$ , 秘密保存, 并且计算: $h = {H_1}\left( {{r_A},{m_w}} \right)$ , ${r_c} = {r_B}{g^{\alpha \cdot {2^{T + 1 - i}}}}$ ${\left( {y_A^h{r_A}y_B'} \right)^{{x_C}\beta }}\left( {od n} \right)$ , $W{\rm{ = }}w{g^\lambda }\left( {od n} \right)$ , 若 ${r_C} = 0$ , 则C必须从新选择α, β, λ直到 ${r_C} \ne 0$ 为止. 计算: $e = {H_2}\left( {{r_C},W,{m_w},m,i} \right)$ , ${e'} = e - {x_C}\beta \left( {od q} \right)$ , 并且将e’通过安全信道发送代理签名者B.

(3) 代理签名者B收到e'后, 计算: ${s'} = {2^{T + 1 - i}} \cdot u \cdot {r_A} + $ $ {k_B} - {e'}\sigma \left( {od q} \right)$ , 则s'就是代理签名者B对信息m的盲签名, 将s'通过安全信道秘密发送给信息拥有者C.

(4) 信息拥有者C收到s'后, 计算: $s = {s^{'}} + \alpha \cdot {2^{T + 1 - i}} + \lambda \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)$ , 最后得到代理签名者B对信息m的盲签名是: $\left( {s,W,e,{r_A},{m_w},i} \right)$ .

4 改进方案的安全性分析

新方案的强盲性、前向安全性以及代理签名安全性的分析请参见文献[10], 此处只对正确性和信息拥有者C的不可否认性进行分析.

4.1 正确性分析

证明: 因为:

$\begin{array}{l}{x_{{B_i}}} = x_{{B_{i - 1}}}^2\left( {od q} \right){\rm{ = }}x_{{B_{i - 2}}}^{{2^2}}\left( {od q} \right)\\\quad\quad\!\!\!\!\!{\rm{ = }}x_{{B_{i - 3}}}^{{2^3}}\left( {od q} \right){\rm{ = }} \cdots = x_{{B_0}}^{{2^i}}\left( {od q} \right)\end{array}$

所以:

$\begin{array}{l}x_{{B_i}}^{{2^{T + 1 - i}}}\left( {od q} \right) = x_{{B_0}}^{{2^{T + 1}}}\left( {od q} \right)\\{y_B} = x_{{B_0}}^{{2^{T + 1}}}{\rm{ = }}x_{{B_i}}^{{2^{T + 1 - i}}}od n\end{array}$

代理签名者B收到原始签名者A发送来的 $\left( {{r_A},{\sigma '},{m_w}} \right)$ 后, 验证等式 ${g^{{\sigma '}}} = y_A^{{H_1}\left( {{r_A},{m_w}} \right)}{r_A}\left( {od n} \right)$ 是否成立, 由:

${g^{{\sigma '}}} = {g^{h{x_A} + {k_A}}} = {g^{h{x_A}}} \cdot {g^{{k_A}}} = y_A^h \cdot {r_A} = y_A^{{H_1}\left( {{r_A},{m_w}} \right)}{r_A}\left( {od n} \right)$

所以等式成立.

${g^\sigma } = {g^{{\sigma '} + x_B'}} = {g^{{\sigma '}}} \cdot {g^{x_B'}} = y_A^h \cdot {r_A} \cdot y_B'\left( {od n} \right)$

由签名过程知:

$\begin{aligned}s & = {s'} + \alpha \cdot {2^{T + 1 - i}} + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)\\ &={2^{T + 1 - i}} \cdot u \cdot {r_A} + {k_B} - {e'}\sigma + \alpha \cdot {2^{T + 1 - i}} + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)\\ & = {2^{T + 1 - i}} \cdot u \cdot {r_A} + {k_B} - \left( {e - {x_C}\beta } \right)\sigma + \alpha \cdot {2^{T + 1 - i}} + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)\\ &={2^{T + 1 - i}} \cdot u \cdot {r_A} + {k_B} - e\sigma + {x_C}\beta \sigma + \alpha \cdot {2^{T + 1 - i}} + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)\\ &={2^{T + 1 - i}} \cdot u \cdot {r_A} + {k_B} + \alpha \cdot {2^{T + 1 - i}} + {x_C}\beta \sigma - e\sigma + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}\left( {od q} \right)\end{aligned}$

又因为:

$\begin{aligned}{r_c} & = {r_B}{g^{\alpha \cdot {2^{T + 1 - i}}}}{\left( {y_A^h{r_A}y_B'} \right)^{{x_C}\beta }}\left( {od n} \right)\\ &\quad\!\!\!\!\!\!\!{\rm{ = }}{g^{{k_B} + \alpha \cdot {2^{T + 1 - i}}}} \cdot {g^{{x_C}\beta \sigma }}\left( {od n} \right)\\ & = {g^{{k_B} + \alpha \cdot {2^{T + 1 - i}} + {x_C}\beta \sigma }}\left( {od n} \right)\end{aligned}$

所以:

$\begin{aligned}{g^s} & = {g^{{2^{T + 1 - i}} \cdot u \cdot {r_A} + {k_B} + \alpha \cdot {2^{T + 1 - i}} + {x_C}\beta \sigma - e\sigma + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}}}\left( {od n} \right)\\ & = {g^{{2^{T + 1 - i}} \cdot u \cdot {r_A} + \eta \cdot {2^{T + 1 - i}} \cdot {r_A}}} \cdot {g^{ - e\sigma }} \cdot {g^{{k_B} + \alpha \cdot {2^{T + 1 - i}} + {x_C}\beta \sigma }}\left( {od n} \right)\\ & = {g^{\left( {u + \eta } \right){2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\\ & = {\left( {{g^u} \cdot {g^\eta }} \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\\ & = {\left( {wx_{{B_i}}^{ - 1} \cdot {g^\eta }} \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\\ & = {\left( {Wx_{{B_i}}^{ - 1}} \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\end{aligned}$

即得到:

${g^s} = {\left( {Wx_{{B_i}}^{ - 1}} \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)$

根据式子求r_C:

$\begin{array}{l}{g^s}x_{{B_i}}^{{2^{T + 1 - i}} \cdot {r_A}} = {\left( W \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\\{g^s}{\left( {x_{{B_i}}^{{2^{T + 1 - i}}}} \right)^{{r_A}}} = {\left( W \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\\{g^s}y_B^{{r_A}} = {\left( W \right)^{{2^{T + 1 - i}} \cdot {r_A}}} \cdot {\left( {{g^\sigma }} \right)^{ - e}} \cdot {r_C}\left( {od n} \right)\end{array}$

所以:

$\begin{aligned}{r_C} & = {g^s}y_B^{{r_A}}{\left( {{W^{ - {2^{T + 1 - i}}}}} \right)^{{r_A}}} \cdot {\left( {{g^\sigma }} \right)^e}\left( {od n} \right)\\ & = {\left( {{W^{ - {2^{T + 1 - i}}}}{y_B}} \right)^{{r_A}}}{g^s} \cdot {\left( {y_A^h \cdot {r_A} \cdot y_B'} \right)^e}\left( {od n} \right)\end{aligned}$

即可得到: ${e'} = e$ 成立, 所以该签名方案是正确的.

4.2 信息拥有者C的不可否认性分析

在签名形成过程中, 信息拥有者C任意选择三个随机数 $\alpha ,\beta ,\eta \in {}_RZ_q^*$ 对信息m进行盲化, 由 ${r_c} = $ $ {r_B}{g^{\alpha \cdot {2^{T + 1 - i}}}}{\left( {y_A^h{r_A}y_B'} \right)^{{x_C}\beta }}\left( {od n} \right)$ 和 ${e'} = e - {x_C}\beta \left( {od q} \right)$ 知道签名中包含了信息拥有者C的私钥x_C, 所以, 代理签名人无法否认自己的签名, 信息拥有者也无法否认信息被签名.

5 结束语

文章分析了ZP等人提出的前向安全代理盲签名方案, 并给出了改进方案, 经安全分析表明, 改进后的方案不仅保留了原方案的优点, 而且解决了信息拥有者可以对信息进行否认的问题, 可实现特殊应用领域的要求, 应用领域较广.