1. 引言

数字签名技术在现代社会中占有非常重要的地位，为了解决用户不想在签名者签名时泄露自己的消息内容的问题，许多隐藏消息的签名方案被提出。为解决此类问题Chaum于1982年首次提出盲签名，Chaum在文献 [1] 中并没有详细介绍具体的算法和步骤来实现盲签名，而是举了一个投票的例子来解释盲签名。盲签名不仅满足一般签名所具有的性质，还具有不可伪造性、不可追踪性、盲性。因为其性质好，盲签名一被公开就有各种类型的盲签名方案被提出，1985年Chaum给出基于RSA的盲签名体制，2007年韩春霞 [2] 等人提出一种ELGamal体制的盲签名方案，基于有限域上离散对数难解的特点设计了一种盲签名方案。为了解决签名者由于某种原因不能及时对用户进行签名的问题，Mambo于1996年首次提出的代理签名方案， Mambo，Usudu和Okamoto在文献 [3] 中提出了完整的代理签名，部分代理签名和带有权利证书的签名。代理签名也像盲签名一样要满足代理签名被广泛用于网络计算、移动代理等诸多领域，同时有许多学者提出各种各样的代理签名方案 [4] [5] [6] 。

代理盲签名是Lin和Jan [7] 于2000年首次提出的，该方案主要是结合代理签名与盲签名的优点。随着代理盲签名被用于不同的情景，不同的方案也被提出 [8] [9] [10] [11] [12] 。Tan等(2002) [13] 提出了两种分别基于DLP和ECDLP的代理盲签名方案。Lal和Awasthi (2003) [14] 指出Tan等人的代理盲签名方案由于签名接收者的不诚实而遭受一种伪造攻击。与Tan等人的方案相比，Lal和Awasthi进一步提出了一种更加有效和安全的代理盲签名方案，以克服Tan等人的方案中指出的缺点。Sun Hung-Min Sun和Bin-Tsan Hsieh [15] 表明Tan等人的方案不满足不可伪造性和不可链接性，也指出Lal和Awasthi的方案也不具有不可链接性。但是他们没有给出克服不安全感的改进方案。针对Tan等人的方案不满足四种伪造攻击和不可链接性，本文结合文献 [16] 提出了一种的代理盲签名方案，以克服其不安全性，且证明了该方案比以前的方案更安全，更有效。

2. 系统参数及相关符号

设E为有限域 $F_p$ 上的一组点集 $\left(x,y\right)$ ，E的整个加法群是由n的，坐标x和y位于有限域 $F_p$ 且满足三次方程 $y^2=x^3+ax+b\left(modp\right)$ ，且 $4a^3+27b^2\ne 0$ 。

O：原始签名者；

P：代理签名者；

A：签名验证者；

C：签名请求者；

$p,q$ ：两个大素数且 $q|p-1$ ；

g： $g\in Z_p^{\ast }$ 且g的阶为q；

$h\left(\right)$ ：一个安全的单向哈希函数；

$x_u$ ：用户u的私钥；

$y_u$ ：用户u的公钥，且 $y_u=g^{x_u}$ ；

B： $B\in E$ ，B是阶为q的基点；

$Y_u$ ：用户u的公钥， $Y_u=x_{u}B$ ；

$x\left(Q\right)$ ：点Q的x坐标；

$\omega$ ： $O,P$ 协商生成的代理签名委托证书，其中包含 $O,P$ 的身份标识、代理签名者P的代理期限以及签名消息范围；

$A\to C$ ：A发消息给C。

3. 回顾Tan等人提出的代理盲签名方案

Tan等人在Schnorr盲签名的基础上，提出基于DLP和ECDLP的两种数字代理盲签名方案，两种方案都满足代理签名和盲签名的安全性。基于ECDLP的代理盲签名方案是在基于DLP签名方案的基础上提出的椭圆曲线模拟，在这一节我们简单回顾基于ECDLP的代理盲签名方案，同时给出关于该方案的密码分析。

现在我们从代理委托阶段、签名阶段、验证阶段三个方面简单描述Tan等人基于ECDLP的代理盲签名方案。

3.1. 代理委托阶段

步骤1：原始签名者O随机选择 $k_0\in Z_q^{*}$ ，计算 $R_0$ ， $r_0$ 和 $s_0$

$R_0=k_{0}B$ (1)

$r_0=x\left(R_0\right)$ (2)

$s_0=x_0{r}_0+k_0$ (3)

O把 $\left(R_0,r_0,s_0\right)$ 安全地发给代理签名者P。

步骤2：代理签名者P检查等式 $R_0=s_{0}B-r_0{Y}_0$ ，如果等式成立，P接受 $\left(R_0,r_0,s_0\right)$ ，承认原始签名者O的委托签名。同时代理签名者P代理私钥 $s_{pr}=s_0+x_p$ ，上述过程可以用图清晰的描述，具体如图1所示。

3.2. 签名阶段

步骤1：代理签名者P随机选择数 $k\in Z_q^{*}$ ，计算 $T=kB$ ，再把k发给签名验证者A。

步骤2：签名验证者A随机挑选盲因子 $a,b\in Z_q^{*}$ ，计算：

$L=T+bB+\left(-a-b\right)Y_P-a{R}_0-\left(a{r}_0\right)Y_0$ (4)

$r=x\left(L\right)$ (5)

$e=h\left(r\parallel m\right)modq$ (6)

$U=\left(-e+b\right)R_0+\left(-e+b\right)r_0{Y}_0-e{Y}_0$ (7)

$e^{\prime }=\left(e-a-b\right)modq$ (8)

A把 $e^{\prime }$ 发给P。

步骤3：P计算

$s^{\prime }=\left(e^{\prime }{s}_{pr}+k\right)modq$ (9)

P把 $s^{\prime }$ 再发给A。

步骤4：A计算

$s=\left(s^{\prime }+b\right)modq$ (10)

从而关于消息m签名是 $\left(m,U,s,e\right)$ ，具体的过程如图2所示。

3.3. 验证阶段

签名验证者A公开代理盲签名 $\left(m,U,s,e\right)$ ，签名接收者收到签名后，验证下面等式

$e=h\left(x\left(sB-e{Y}_P+e{Y}_0+U\right)\parallel m\right)$ (11)

若等式成立，则说明此签名是有效的；否则签名接收者拒绝接受签名。

3.4. 分析基于ECDLP的代理盲签名方案

在本节中，我们从常见的四个伪造攻击方面分析代理盲签名方案，同时也指出该方案不满足链接性。

1) 原始签名者的伪造

为了伪造一个有效的代理盲签名，原始签名者随机选择 $v\in Z_q^{*}$ ，计算点 ${R^{\prime }}_0=\left(-Y_P+vB\right)modq$ ， ${r^{\prime }}_0=x\left({R^{\prime }}_0\right)$ ，原始签名者利用参数v伪造代理签名者的代理私钥 ${s^{\prime }}_{pr}=\left(x_0{r^{\prime }}_0+v\right)modq$ ，这是因为由 $Y_{pr}=Y_0{r}_0+R_0+Y_P$ ，从而对应 ${s^{\prime }}_{pr}$ 的公钥为 ${Y^{\prime }}_{pr}=Y_0{r^{\prime }}_0+{R^{\prime }}_0+Y_P=\left(x_0{r^{\prime }}_0+v\right)B$ ，由 $Y_0{r^{\prime }}_0+{R^{\prime }}_0+Y_P=Y_0{r^{\prime }}_0+vB$ 知，原始签名者利用伪造的 ${s^{\prime }}_{pr}$ 可验证：

$sB-e{Y}_P+e{Y}_0+Umodp=T+bB+\left(-a-b\right)Y_P-a{R}_0-\left(a{r^{\prime }}_0\right)Y_0$ (12)

由(12)式左边可知：

$\begin{array}{l}sB-e{Y}_P+e{Y}_0+Umodp\\ =\left[\left(e-a-b\right)\left(s_0+x_P\right)+k+b\right]B-e{Y}_P+e{Y}_0+Umodp\\ =\left(e-a-b\right)s_{0}B+\left(e-a-b\right)x_{P}B+T+Bb-e{Y}_P+e{Y}_0+Umodp\\ =T+Bb+\left(e-b\right)\left(Y_0{r}_0+R_0\right)-a\left(Y_0{r}_0+R_0\right)+Y_P\left(-a-b\right)+e{Y}_0+Umodp\\ =T+Bb+\left(-a-b\right)Y_P-a{R}_0-\left(a{r}_0\right)Y_0\end{array}$

从而有 ${s^{\prime }}_{pr}B=Y_0{r^{\prime }}_0+{R^{\prime }}_0+Y_P$ ，因为原始签名者已构造出合适的 ${R^{\prime }}_0$ 和 ${s^{\prime }}_{pr}$ 满足上面的等式，从而 ${s^{\prime }}_{pr}$ 就是一个有效的代理签名私钥，攻击者可以伪造一个有效的代理签名。

2) 签名接受者的伪造

由原方案知 $\left(m,U,s,e\right)$ 是接受者A接收到的关于消息m的代理盲签名，假设接受者对消息 $m^{\prime }$ 伪造出一个有效的签名 $\left(m,U^{\prime },s,e_f\right)$ ，其中 $U^{\prime }=\left(-e+b\right)R_0+\left(-e+b\right)r_0{Y}_0-e_f{Y}_0-Z{Y}_P$ ， $e_f=h\left(r\parallel m\right)modq$ ， $Z=e-e_f$ ，并声称此签名为代理签名者P所签名的。若 $sB-e{Y}_P+e{Y}_0+U^{\prime }mo$ $dp=T+Bb+\left(-a-b\right)Y_P-a{R}_0-\left(a{r}_0\right)Y_0$ 成立，则说明该签名有效。

由等式的左边知：

$\begin{array}{l}sB-e{Y}_P+e{Y}_0+U^{\prime }modp\\ =T+Bb+\left(e-a-b\right)\left(Y_0{r}_0+R_0\right)+Y_P\left(e-a-b\right)-e_f{Y}_P+e_f{Y}_0+U^{\prime }modp\\ =T+Bb+\left(e-a-b\right)\left(Y_0{r}_0+R_0\right)+Y_P\left(e-a-b\right)-e_f{Y}_P+e_f{Y}_0+\left(-e+b\right)\left(R_0+r_0{Y}_0\right)-e_f{Y}_0-Z{Y}_{P}modp\\ =T+Bb+\left(e-a-b\right)\left(Y_0{r}_0+R_0\right)+Y_P\left(e-a-b\right)-e_f{Y}_P+\left(-e+b\right)\left(R_0+r_0{Y}_0\right)-\left(e-e_f\right)Y_{P}modp\\ =T+Bb-a\left(Y_0{r}_0+R_0\right)+\left(-a-b\right)Y_{P}modp\end{array}$

则说明该方案容易受到接受者的一般攻击。

3) 一般伪造攻击

为了伪造一个有效的代理盲签名，攻击者首先为消息m选择一点R，并计算 $e=h\left(x\left(R\right)\parallel m\right)$ ，其次再挑选随机数s，计算 $R=sB-e{Y}_P+e{Y}_0+U$ ，从而签名 $\left(m,U,s,e\right)$ 是该消息m的有效签名，因为 $\left(m,U,s,e\right)$ 可以通过等式 $e=h\left(x\left(sB-e{Y}_P+e{Y}_0+U\right)\parallel m\right)$ 。

4) 签名接收者的一般伪造攻击

a) 恶意的接受者A可以证明签名 $\left(m,U,s,e\right)$ 为代理人F而不是P的签名，A协助没有被授权的F进行代理签名，具体过程如下：在签名阶段时A与P交互信息时，A计算

$U^{\prime }=\left(-e+b\right)R_0+\left(-e+b\right)r_0{Y}_0-e{Y}_{F}modq$ 代替 $U=\left(-e+b\right)R_0+\left(-e+b\right)r_0{Y}_0-e{Y}_{0}modq$ ，这样伪造并不会干扰其他方程，且A可以验证等式 $e=h\left(x\left(sB-e{Y}_P+e{Y}_0+U\right)\parallel m\right)$ ，表明签名 $\left(m,U,s,e\right)$ 是代理签名者F的有

效代理签名，从而证明了F参与该代理盲签名过程。

b) 若攻击者D想要取代原始签名者O的位置，只需与接受者A联合。因为A可以证明D在验证阶段代替O产生有效的代理盲签名，具体步骤如下：A首先计算

$U^{″}=\left(-e+b\right)R_0+\left(-e+b\right)r_0{Y}_0-e{Y}_0-e{Y}_P+e{Y}_{D}modq$ ，修改验证方程为 $e=h\left(x\left(sB-e{Y}_D+e{Y}_D+U\right)\parallel m\right)$ ，这样就可以保证签名组 $\left(m,U^{″},s,e\right)$ 为攻击者D代替O进行盲签名，但实际上O从未将自己的私钥 $x_O$ 交给

D。

5) 关于不可链接性

代理签名者P为了识别已公开的消息m与盲签名之间的关系，记录每次代理签名的中间量，比如

$T\left(s\right)$ ， $e^{\prime }\left(s\right)$ 和 $s^{\prime }\left(s\right)$ 。当签名 $\left(m,U,s,e\right)$ 公开时，P计算 $b^{\prime }=s-s^{\prime }$ ， $a^{\prime }=e-e^{\prime }-b^{\prime }$ 和 $L^{\prime }=T+bB+\left(-a^{\prime }-b^{\prime }\right)Y_P-a^{\prime }{R}_0-\left(a^{\prime }{r}_0\right)Y_{0}modp$ ， $r^{\prime }=x\left(L^{\prime }\right)$ ，其中 $s^{\prime }\in s^{\prime }\left(s\right)$ ， $T\in T\left(s\right)$ ，以及 $e^{\prime }\in e^{\prime }\left(s\right)$ ，最后P检查等式 $L^{\prime }=sB-e{Y}_P+e{Y}_0+U$ 。若等式成立，P知道 $\left(T,e^{\prime },s^{\prime }\right)$ 是与消息m相关的盲消息，从而该方

案不满足不可链接性。

4. 改进的方案

针对Tan等人提出的代理盲签名方案存在的缺陷，本文基于Lal和Awasthi [14] 的代理盲签名方案和柳菊霞 [16] 的基于离散对数的代理签名方案，通过在代理授权阶段引入委托证书改进代理签名私钥，同时去掉签名生成阶段的参数U，使得新方案可以抵抗恶意的原始签名者和接收者的四个伪造攻击，同时方案也具有不可链接性。

4.1. 代理委托阶段

步骤1：原始签名者O随机选择 $k_0\in Z_q^{*}$ ， $k_0\ne 1$ ，计算 $R_0$ ， $r_0$ 和 $s_0$ ：

$R_0=k_{0}B$ (12)

$r_0=x\left(R_0\right)$ (13)

$s_0=x_0+k_0{r}_0\left(modq\right)$ (14)

O把 $\left(R_0,r_0,s_0\right)$ 安全地发给代理签名者P。

步骤2：代理签名者P在收到代理信息 $\left(R_0,r_0,s_0\right)$ 后，验证等式 $s_{0}B=Y_0+R_0{r}_0$ 是否成立。若成立P计算 $s_{pr}=s_0+x_{p}h\left(\omega \right)\left(modp\right)$ 作为代理私钥，从而代理公钥 $Y_{pr}=\left(x_0+k_0{r}_0+x_{p}h\left(\omega \right)\right)B\left(modp\right)$ 。上述过程可

以用图清晰的描述，具体如图3所示。

4.2. 签名阶段

步骤1：代理签名者P随机选择 $k\in Z_q^{*}$ ， $k\ne 1$ ，计算 $T=kBmodp$ ，把T签名请求者C。

步骤2：签名请求者C随机挑选盲因子 $a,b\in Z_q^{*}$ ，计算：

$L=T^2+aB+b{Y}_{pr}+Y_C$ (15)

$r=x\left(L\right)$ (16)

$e=h\left(r\parallel m\right)modq$ (17)

$e^{\prime }=\left(b-e\right)modq$ (18)

C把 $e^{\prime }$ 发给P。

步骤3：P收到 $e^{\prime }$ 后计算

$s^{\prime }=e^{\prime }{s}_{pr}+Tk\left(modq\right)$ (19)

P把 $s^{\prime }$ 再发给C。

步骤4：C收到 $s^{\prime }$ 后计算

$s=s^{\prime }+a+x_C\left(modq\right)$ (20)

从而关于消息m的代理盲签名为 $\left(m,s,e\right)$ ，具体的过程如图4所示。

4.3. 验证阶段

签名接收者收到签名 $\left(m,s,e\right)$ ，通过验证等式：

$e=h\left(x\left(sB+e{Y}_{pr}\right)\parallel m\right)\left(modq\right)$ (21)

若等式成立，则说明此代理盲签名是有效的；否则签名接收者拒绝接受签名。

5. 新方案的分析

5.1. 正确性分析

1) 在代理验证时只有当代理信息 $\left(R_0,r_0,s_0\right)$ 满足等式 $s_{0}B=Y_0+R_0{r}_0\left(modp\right)$ ，代理签名者P才承认原始签名者O的身份，从而计算代理签名私钥。

证明：等式的左边知：

$\begin{array}{c}{s}_{0}B=\left(x_0+k_0{r}_0\right)B\\ =x_{0}B+k_0{r}_{0}B\\ =Y_0+R_0{r}_0\left(modp\right)\end{array}$

等于等式的右边，则等式 $s_{0}B=Y_0+R_0{r}_0\left(modp\right)$ 成立，代理签名者P承认原始签名者O的身份，从而计算代理签名私钥 $s_{pr}$ 。

2) 签名接收者收到签名 $\left(m,s,e\right)$ 后，验证等式(21)，若等式成立，则该代理盲签名是有效的。

证明：要验证 $e=h\left(x\left(sB+e{Y}_{pr}\right)\parallel m\right)\left(modq\right)$ 等价于验证 $L=sB+e{Y}_{pr}\left(modp\right)$ ，从而有

$\begin{array}{c}sB+e{Y}_{pr}=\left(s^{\prime }+a+x_C\right)B+e{Y}_{pr}\\ =\left(e^{\prime }{s}_{pr}+Tk+a+x_C\right)B+e{Y}_{pr}\\ =\left[\left(b-e\right)s_{pr}+Tk+a+x_C\right]B+e{Y}_{pr}\\ =TkB+aB+\left(b-e\right)s_{pr}B+x_{C}B+e{Y}_{pr}\\ =T^2+aB+b{Y}_{pr}+Y_C\\ =L\left(modp\right)\end{array}$

从而有 $e=h\left(x\left(sB+e{Y}_{pr}\right)\parallel m\right)\left(modq\right)=h\left(x\left(L\right)\parallel m\right)\left(modq\right)$ 。

5.2. 安全性分析

1) 抵抗原始签名者伪造的攻击

针对Tan等人的原始签名者伪造攻击，新方案的代理私钥加入签名授权证书 $h\left(\omega \right)$ ，即 $s_{pr}=s_0+x_{P}h\left(\omega \right)\left(modq\right)$ 。当 $h\left(\omega \right)$ 与 $Y_{pr}$ 被公开进行签名时，攻击者无法再次重新计算 $Y_{pr}$ ，因为伪造的签名公钥 ${Y^{\prime }}_{pr}=Y_0+R_0{r}_0+Y_{P}h\left(\omega \right)\left(modp\right)$ ，不能用于验证代理签名。同时也有原始签名者O想伪造消息 $m^{\prime }$ 的有效签名 $\left(m^{\prime },s^{\prime },e_f\right)$ 就必须有一个代理私钥 ${s^{\prime }}_{pr}$ 且有 ${Y^{\prime }}_{pr}={s^{\prime }}_{pr}B\left(modp\right)$ ，攻击者O从等式 $sB+e{Y}_{pr}\left(modp\right)=T^2+aB+b{Y}_{pr}+Y_C$ 入手，即从下列等式分析：

$\begin{array}{c}sB+e{Y}_{pr}\left(modp\right)=\left(e^{\prime }{s^{\prime }}_{pr}+Tk+a+x_C\right)B+e{Y}_{pr}\\ =\left[\left(b-e\right){s^{\prime }}_{pr}+Tk+a+x_C\right]B+e{Y}_{pr}\\ =aB+T^2+\left(b-e\right){s^{\prime }}_{pr}B+Y_C+e{Y}_{pr}\left(modp\right)\end{array}$

则上式变为 $aB+T^2+\left(b-e\right){s^{\prime }}_{pr}B+Y_C+e{Y}_{pr}=T^2+aB+b{Y}_{pr}+Y_C\left(modp\right)$ 入手，从而可得 $\left(b-e\right){s^{\prime }}_{pr}B=\left(b-e\right)Y_{pr}\left(modp\right)$ ，因为O不知道随机数b且也不知道 $e=h\left(r\parallel m\right)$ ，则原始签名者不能伪造

出有效的签名。

2) 抵抗接收者的伪造攻击

由前面分析知接收者想伪造消息 $m^{\prime }$ 签名 $\left(m^{\prime },s,e_f\right)$ ，其中 $e_f=h\left(r\parallel m^{\prime }\right)\left(modq\right)$ ，想要此攻击成立必须有 $sB+e_f{Y}_{pr}\left(modq\right)=T^2+aB+b{Y}_{pr}+Y_C$ 。等式左边为：

$\begin{array}{c}sB+e_f{Y}_{pr}\left(modq\right)=\left(e^{\prime }{s^{\prime }}_{pr}+Tk+a+x_C\right)B+e_f{Y}_{pr}\\ =T^2+aB+\left(b-e\right){s^{\prime }}_{pr}B+Y_C+e_f{Y}_{pr}\left(modq\right)\end{array}$

则可得 $T^2+aB+\left(b-e\right){s^{\prime }}_{pr}B+Y_C+e_f{Y}_{pr}\left(modq\right)=T^2+aB+b{Y}_{pr}+Y_C$ ，有 $\left(b-e\right){s^{\prime }}_{pr}B=\left(b-e_f\right)Y_{pr}\left(modq\right)$ 。因为 $e=h\left(r\parallel m\right)\ne e_f$ ，所以上式不成立，该攻击也不成立。

3) 抵抗一般伪造攻击

这里为克服一般伪造攻击，对U进行删除，从而攻击者无法任找一点R就可以计算出 $R=sB+e{Y}_P$ ，因为s中含有代理私钥 $s_{pr}$ ，由于 $s_{pr}$ 中引入授权证书 $\omega$ ，从而这种攻击是不成立的。且针对签名接收者的一般攻击伪造也不能成功，因为可以伪造的U被删除了，该方案对这种类型的伪造是安全的。

4) 具有不可链接性

针对Tan等人的方案中不满足不可链接性，我们通过在签名阶段引入签名请求者C的私钥 $x_C$ 求代理签名 $s=s^{\prime }+a+x_C\left(modq\right)$ ，即使代理签名者P保留每次签名消息也无法从 $s=s^{\prime }+a+x_C\left(modq\right)$ 中获取盲因子a，假设P在等式 $e^{\prime }=\left(b-e\right)modq$ 中得到b，但是由于不知道a也无法从 $L=T^2+aB+b{Y}_{pr}+Y_C\left(modq\right)$

得到L，从而该方案具有不可链接性。

5.3. 效率分析

在本部分中将计算新提出的方案与Tan等人的方案的计算效率，设M，A和S分别表示求模乘，模加和模减的计算量，用下列的表展示我们的方案与Tan等人的比较，如表1所示。

我们的方案中的每个阶段都有比较少的计算量，除了代理委托阶段它比Tan等人的方案多了2个模乘和1个模加，可以在签名阶段把这部分多出的计算量折中减少了，在某些应用中，代理签名者被委托一次但签名和验证却是多次的，在这种情况下，提议的方案的效率会随着签名和验证次数增加而增加。此外，提议方案的总量为 $13M+10A+S$ ，而Tan等人的方案的计算总量为 $22M+9A+11S$ ，因此，新的方案的计算效率更高。

6. 结语

在本文中我们回顾了Tan等人的方案的基于ECDLP的代理盲签名方案，指出基于ECDLP的方案容易受到多种攻击，且不满足不可链接性。在基于已有的代理盲签名方案中，通过改进代理私钥，在签名阶段引入签名请求者的私钥，提出一种新的基于ECDLP的代理盲签名方案，通过分析发现新方案是正确的，可以抵抗原始签名者和接收者伪造的攻击及抵抗一般伪造攻击，具有不可链接性。比较新方案与Tan等人的方案的计算总量，发现新方案的计算总量低于Tan等人的方案，进一步说明该方案的计算效率高。

致谢

感谢导师范老师对本文在创作过程中提供的帮助与指导。

基金项目

安徽理工大学2022年研究生创新基金立项建设项目(2022CX2134)。

参考文献