计算机应用   2016, Vol. 36 Issue (11): 3098-3102  DOI: 10.11772/j.issn.1001-9081.2016.11.3098
0

引用本文 

任小康, 陈培林, 曹源, 李亚楠, 杨小东. 基于身份的服务器辅助验证部分盲签名方案[J]. 计算机应用, 2016, 36(11): 3098-3102.DOI: 10.11772/j.issn.1001-9081.2016.11.3098.
REN Xiaokang, CHEN Peilin, CAO Yuan, LI Yanan, YANG Xiaodong. Partially blind signature scheme with ID-based server-aided verification[J]. Journal of Computer Applications, 2016, 36(11): 3098-3102. DOI: 10.11772/j.issn.1001-9081.2016.11.3098.

基金项目

国家自然科学基金资助项目(61662069,61262057);甘肃省科技计划项目(145RJDA325);国家档案局科技项目计划项目(2014-X-33);甘肃省高等学校科研项目(2014-A011,2015B-220);兰州市科技计划项目(2013-4-22);西北师范大学青年教师科研能力提升计划项目(NWNU-LKQN-13-23,NWNU-LKQN-14-7)

通信作者

杨小东(1981-), 男, 甘肃甘谷人, 副教授, 博士, CCF会员, 主要研究方向:密码学nwnurxk@163.com

作者简介

任小康(1963-), 男, 甘肃兰州人, 教授, 硕士, 主要研究方向:数字图像处理;
陈培林(1989-), 男, 甘肃通渭人, 硕士研究生, 主要研究方向:多媒体安全;
曹源(1988-), 男, 山东潍坊, 硕士研究生, 主要研究方向:多媒体技术;
李亚楠(1990-), 男, 山东沂州人, 硕士研究生, 主要研究方向:网络安全

文章历史

收稿日期:2016-04-10
修回日期:2016-06-20
基于身份的服务器辅助验证部分盲签名方案
任小康, 陈培林, 曹源, 李亚楠, 杨小东    
西北师范大学 计算机科学与工程学院, 兰州 730070
摘要: 为了克服基于身份部分盲签名方案的安全性依赖强和签名验证计算开销大等缺陷,结合基于身份的部分盲签名和服务器辅助验证签名,提出了基于身份的服务器辅助验证部分盲签名体制,将签名验证的大部分计算任务委托服务器执行,有效减少了验证者的计算开销。利用双线性映射,设计了一个具体的基于身份服务器辅助验证部分盲签名方案,并在标准模型下证明所提方案是安全的。分析结果表明,所提方案大幅降低了签名验证算法的计算复杂度,在效率上优于Li方案(LI F, ZHANG M, TAKAGI T.Identity-based partially blind signature in the standard model for electronic cash.Mathematical and Computer Modelling, 2013, 58(1):196-203)和Zhang方案(ZHANG J, SUN Z.An ID-based server-aided verification short signature scheme avoid key escrow.Journal of Information Science and Engineering, 2013, 29(3):459-473)。
关键词: 基于身份的服务器辅助验证    部分盲签名    不可伪造性    双线性对    标准模型    
Partially blind signature scheme with ID-based server-aided verification
REN Xiaokang, CHEN Peilin, CAO Yuan, LI Yanan, YANG Xiaodong     
College of Computer Science and Engineering, Northwest Normal University, Lanzhou Gansu 730070, China
Background: This work is partially supported by the National Natural Science Foundation of China (61662069, 61262057), the Natural Science Foundation of Gansu Province (145RJDA325), the Science and Technology Project of State Archives Administration of China (2014-X-33), the Research Fund of Higher Education of Gansu Province (2014-A011, 2015B-220), the Science and Technology Project of Lanzhou City of China (2013-4-22), the Foundation for Excellent Young Teachers by Northwest Normal University (NWNU-LKQN-13-23, NWNU-LKQN-14-7).
REN Xiaokang, born in 1963, M. S., professor. His research interests include digital image processing.
CHEN Peilin, born in 1989, M. S. candidate. His research interests include multimedia security.
CAO Yuan, born in 1988, M. S. candidate. His research interests include multimedia technology.
LI Yanan, born in 1990, M. S. candidate. His research interests include network security.
YANG Xiaodong, born in 1981, Ph. D., associate professor. His research interests include cryptography.
Abstract: Combined ID-based partially blind signature and server-aided verification signature, a partially blind signature scheme with ID-based server-aided verification was presented to overcome the shortcomings of ID-based partially blind signature schemes such as strong security assumption and high computation cost. Most computing tasks of signature verification were accomplished by a server, and it greatly reduced computational overhead of verifier. Based on bilinear mapping, a partially blind signature scheme with specific ID-based server-aided verification was proposed. This scheme was proven to be secure in the standard model. Analysis results show that the proposed scheme greatly reduces computational complexity of signature verification. The proposed scheme is more efficient than Li's scheme (LI F, ZHANG M, TAKAGI T. Identity-based partially blind signature in the standard model for electronic cash. Mathematical and Computer Modelling, 2013, 58(1):196-203) and Zhang's scheme (ZHANG J, SUN Z. An ID-based server-aided verification short signature scheme avoid key escrow. Journal of Information Science and Engineering, 2013, 29(3):459-473).
Key words: ID-based server-aided verification    partially blind signature    unforgeability    bilinear pairing    standard model    
0 引言

部分盲签名不仅具有盲签名的特性,还能有效解决盲签名体制中的签名滥用问题,被广泛应用于电子银行、电子投票等领域[1-2]。Chow等[3]在2005年给出了基于身份部分盲签名的形式化安全定义,并构造了一个具体的实现方案,但基于该安全模型设计的方案无法抵抗篡改协商消息攻击,用户获得盲签名后可以修改与签名者提前协商的共同消息[4-8]。一个在随机预言模型下可证明安全的密码系统,在现实中无法确保它的安全性[9]。2013年,Li等[10]构造了一个在标准模型下安全的身份部分盲签名方案(下文简称为Li方案),并基于该方案设计了一个高效的电子银行系统。但是,Li方案进行签名验证时,存在耗时的双线性对计算[11],不能很好地应用于低端计算设备(如智能卡等)。因此,随着移动互联网的飞速发展,很有必要研究新型的签名体制,降低部分盲签名方案中验证签名所需要的双线性对计算开销。

本文将基于身份部分盲签名体制和服务器辅助验证签名体制相结合,提出了基于身份的服务器辅助验证部分盲签名。将签名验证的绝大部分计算工作委托给一个服务器执行,验证者只需进行少量的计算,不仅能提高签名验证的效率,还能有效降低验证者的计算负担。基于Li方案[10],构造了一个具体的基于身份服务器辅助验证部分盲签名方案,并在给出的安全模型中证明新方案满足部分盲性、不可伪造性和完备性。与Li方案等相比,验证者在新方案中具有更低的计算开销。通过对相关领域的文献搜索,目前还没有关于标准模型下的基于身份服务器辅助验证部分盲签名研究的公开文献。

1 预备知识 1.1 双线性映射

假设G1G2是阶为素数p的循环群,gG1的一个生成元,如果满足以下条件,则称e:G1×G1G2是一个双线性映射[2]

双线性性 对任意的a, bZp*,满足e(ga, gb)=e(g, g)ab

非退化性 e(g, g)≠1G2

可计算性 对任意的g1, g2G1,存在一个有效的算法计算e(g1, g2)。

1.2 CDH假设

计算性Diffie-Hellman(Computational Diffie-Hellman,CDH)问题:给定三元组(g, ga, gb)∈G13,这里a, bZp*是未知的,计算gabG1

定义1 CDH假设。若不存在任何一个多项式时间算法,能以不可忽略的概率求解G1上的CDH问题,则称群G1上的CDH问题是困难的[10]

2 形式化安全定义

一个基于身份的服务器辅助验证部分盲签名方案包括下面8个算法,其中前4个算法是一个基于身份的部分盲签名方案,后2个算法是一个验证者和服务器之间的交互协议,服务器可以是具有强大计算能力的云服务提供商,验证者是计算能力较弱的云计算终端(如智能手机等)。

1) Setup (1η) → cp:输入安全参数η,密钥生成中心(Private Key Generator, PKG)运行系统参数生成算法生成公开参数cp和自己的秘密主密钥msk

2) Extract (msk, ID) → dID:给定用户身份ID和主密钥msk,PKG运行密钥提取算法生成ID的私钥dID

3) Blind (m, c, t) → h:给定用户与签名者协商的共同消息c、消息m和盲化因子t,用户运行盲化算法生成m的盲化消息h

4) Sign (h, c, dID) →$\tilde \sigma $:给定用户与签名者协商的共同消息c、盲化消息h和身份ID的私钥dID,签名者运行签名算法生成h的部分盲签名$\tilde \sigma $

5) Unblind ($\tilde \sigma $, t) → σ:给定盲签名$\tilde \sigma $和盲化因子t,用户运行脱盲算法生成消息m和共同消息c的签名σ

6) Verify (m, pk, σ) → {0, 1}:给定用户身份ID、消息m、共同消息c和签名σ,验证者运行签名验证算法检验σ的合法性,如果σ是对应于ID的关于mc的签名,输出1;否则,输出0。

7) SAV-Setup (cp) → VString:给定系统参数cp,验证者运行服务器辅助验证参数生成算法生成一个秘密的字符串VString

8) SAV-Verify(VString, m, ID, c, σ) → {0, 1}:给定字符串VString、用户身份ID、消息m、共同消息c和签名σ,验证者运行服务器辅助验证算法,在服务器的协助下验证σ的正确性:若当σ是对应于IDmc的合法签名,输出1;否则,输出0。

定义2 令ΦVerify表示验证者在Verify算法中的计算开销,ΦSAV-Verify表示验证者在SAV-Verify算法中的计算开销。若ΦSAV-Verify < ΦVerify,则称基于身份的服务器辅助验证部分盲签名方案是计算节约的。

一个基于身份的服务器辅助验证部分盲签名方案至少应满足签名的部分盲性、不可伪造性和服务器辅助验证算法的完备性。部分盲性能确保签名者无法将消息的最后签名与盲签名相对应,不可伪造性保证攻击者不能伪造任何一个消息的有效签名,完备性保证服务器不能让验证者确信一个非法签名是合法的。在基于身份服务器辅助验证部分盲签名的安全模型中,服务器与签名者合谋后能生成任何用户的私钥和任何消息的签名,因此不能用一个安全定义同时描述三个安全属性:部分盲性、不可伪造性和完备性。文献[3, 11]已定义了基于身份部分盲签名方案的部分盲性和不可伪造性,下面将借助攻击者A和挑战者C之间的安全游戏,定义服务器辅助验证算法的完备性。在这个游戏中,攻击者A掌握主密钥和签名密钥,它的任务是让挑战者C相信自己发送的非法签名是合法的。

系统建立 C执行Setup、Extract和SAV-Setup三个算法,生成公开参数cp、主密钥msk、一个身份/私钥对(ID, dID)和字符串VString,并发送给A

查询 因为A已拥有dIDmsk,所以A只需向C发起服务器辅助验证询问。对于A提交的每次询问(mi, σi),CA分别扮演验证者和服务器的角色执行SAV-Verify协议,并将运行结果返回给A

输出 攻击者A经过有限次的询问后,最后将AC协商的共同消息c*、消息m*和字符串σ*发送给C,令Ωm*m*c*对应于身份ID的所有合法签名集合,σ*Ωm*。如果SAV-Verify(VString, m*, c*, ID, σ*)=1且Verify (m*, c*, ID, σ*)=0,即攻击者A让挑战者C确信σ*是对m*c*的合法签名,则称攻击者A赢得游戏。

定义3 若攻击者A在以上游戏中获胜的概率是可忽略的,则称服务器辅助验证算法SAV-Verify满足完备性。

借鉴基于身份服务器辅助验证签名的安全性定义[12-13],下面给出基于身份的服务器辅助验证部分盲签名的安全性定义。

定义4 若基于身份的部分盲签名方案满足部分盲性和不可伪造性,服务器辅助验证算法满足完备性,则称相应的基于身份服务器辅助验证部分盲签名方案是安全的。

3 基于身份的服务器辅助验证部分盲签名方案

基于Li等提出的基于身份部分盲签名方案[10],提出一个基于身份的服务器辅助验证部分盲签名方案。用nu表示签名者身份的比特长度、nm表示待签名消息的比特长度和nc表示用户和签名者协商的共同消息的比特长度。

1)Setup算法。

PKG运行系统参数生成算法,输出公开参数cp=(G1, G2, p, e, g, g1, g2, w′, w1, …, wnu, v′, v1, …, vnm, x′, x1, …, xnc, Ppub)。其中:G1G2是阶为素数p的循环群,gG1的一个生成元,e:G1×G1G2是一个双线性映射;PKG在G1上随机选取元素g2aZp*,计算自己的主密钥msk=g2αg1=gαPpub=e(g2, g1),在G1上随机选取元素w′, w1, …, wnu, v′, v1, …, vnm, x′, x1, …, xnc

2) Extract算法。

PKG为签名用户生成私钥,具体描述如下所示。

3)Blind算法。

用户和签名者首先协商一个共同消息c={c1, c2, …, cnc}∈{0, 1}nc,然后用户随机选取tZp*作为消息m={m1, m2, …, mnm}∈{0, 1}nm的盲化因子,计算$h = {\rm{ }}{((v'\prod\limits_{i = 1}^{{n_m}} {v_i^{{m_i}}} ) \cdot (x'\prod\limits_{j = 1}^{{n_c}} {x_j^{{c_j}}} ))^t}$,发送盲化消息h给签名者。

4)Sign算法。

对于盲化消息h,签名者随机选取rZp*,利用私钥dID=(d1, d2)计算σ1=grσ2=d2σ3=d1hr,发送部分盲签名σ=(σ1, σ2, σ3)给用户。

5)Unblind算法。

用户随机选取yZp*,利用盲化因子t对部分盲签名σ=(σ1, σ2, σ3)进行脱盲处理,计算σ2=σ2σ1=(σ1)tgy${\sigma _3} = {\bar \sigma _3}{((v'\prod\limits_{i = 1}^{{n_m}} {v_i^{{m_i}}} ) \cdot (x'\prod\limits_{j = 1}^{{n_c}} {x_j^{{c_j}}} ))^y}$,生成消息m和共同消息c的签名σ=(σ1, σ2, σ3)。

6)Verify算法。

给定nu比特长度的用户身份IDnm比特长度的消息mnc比特长度的共同消息c及签名σ=(σ1, σ2, σ3),如果等式

$\begin{array}{l} e({\sigma _3},g) = \\ \;\;\;\;\;\;\;\;\;\;{P_{pub}} \cdot e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{\sigma _2}) \cdot e((v'\prod\limits_{i = 1}^{{n_m}} {v_i^{{m_i}}} )(x'\prod\limits_{j = 1}^{{n_c}} {x_i^{{c_j}}} ),{\sigma _1}) \end{array}$

成立,则验证者接受σ是合法签名,输出1;否则,验证者认为σ是非法签名,输出0。

7)SAV-Setup算法。

验证者随机选择两个元素b, zZp*,并设置字符串VString=(b, z)。这里要求VString仅对验证者是已知信息,对服务器和其他用户而言是未知信息。

8)SAV-Verify算法。

验证者与服务器执行如下所示的交互协议,验证者借助服务器的强大计算能力来验证签名的合法性。

4 安全性证明与有效性分析 4.1 合理性分析

1)密钥提取算法的合理性。

对于身份ID对应的私钥${d_{ID}} = ({d_1},{d_2}) = (g_2^\alpha {\rm{ }}{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )^s},{g^s}) \in G_1^2$,其正确性验证如下:

$\begin{array}{*{20}{l}} {e({d_1},g) = e(g_2^\alpha {{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )}^s},g)}\\ {\;\;\;\;\;\;\;\;\;\;\; = e(g_2^\alpha ,g)e({{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )}^s},g)}\\ {\;\;\;\;\;\;\;\;\;\;\; = e({g_2},{g^\alpha })e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{g^s})}\\ {\;\;\;\;\;\;\;\;\;\;\; = {P_{{\rm{pub}}}} \cdot e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{d_2})} \end{array}$

2)服务器辅助验证算法的正确性验证。

对消息mc的部分盲签名

$\begin{array}{l} \bar \sigma = ({{\bar \sigma }_1},{{\bar \sigma }_2},{{\bar \sigma }_3}) = \\ ({g^r},{g^s},g_2^\alpha {(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )^s}{((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ))^{rt}}) \end{array}$

通过脱盲算法得到签名

$\begin{array}{l} \sigma = ({\sigma _1},{\sigma _2},{\sigma _3}) = \\ ({g^{rt + y}},{g^s},g_2^\alpha {(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )^s}{((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ))^{rt + y}}) \end{array}$

于是有

$\begin{array}{*{20}{l}} {{K_3} = e({\sigma _3},g) = }\\ {e(g_2^\alpha {{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} )}^s}{{((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ))}^{rt + y}},g) = }\\ {{P_{{\rm{pub}}}} \cdot e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{g^s})e((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ),{g^{rt + y}}) = }\\ {{P_{{\rm{pub}}}} \cdot e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{\sigma _2})e((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ),{\sigma _1}) = }\\ {{P_{{\rm{pub}}}} \cdot e{{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,{{({\sigma _2})}^{1/b}})}^b} \cdot } \end{array}$
$e{((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ),{({\sigma _1})^{1/z}})^z} = {P_{{\rm{pub}}}} \cdot e{(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{I{D_i}}} ,\sigma '2)^b} \cdot {\rm{ }}$
$\begin{array}{l} e{((v'\prod\limits_{j = 1}^{{n_m}} {v_j^{{m_j}}} )(x'\prod\limits_{k = 1}^{{n_c}} {x_k^{{c_k}}} ),\sigma '1)^z} = \\ {P_{{\rm{pub}}}} \cdot {({K_1})^z} \cdot {({K_2})^b} \end{array}$
4.2 安全性分析

由于本文新方案所基于的Li方案[10],已在标准模型下证明满足部分盲性和不可伪造性,因此根据第2章的定义4,只要证明服务器辅助验证算法满足完备性,就可证明本文新方案是安全的。

定理1 新方案的服务器辅助验证算法是完备的。

证明 令A表示服务器辅助验证算法SAV-Verify的攻击者,A拥有主密钥和签名密钥,将发送给挑战者C一个非法的消息签名对(m*, σ*),它的目标是让C确信σ*是消息m*的合法签名。

系统建立 C通过运行Setup算法和SAV-Setup算法产生系统参数cp、主密钥msk和字符串VString=(b*, z*),发送{cp, msk}给A

查询 由于A拥有主密钥mskA运行Extract算法可以获得任意用户的私钥,执行Sign算法能产生任意消息的签名,因此A只对C进行服务器辅助验证询问。对于A发起的询问(mi, σi),AC分别扮演服务器和验证者的角色执行SAV-Verify算法,将运行的结果发送给A

输出经过有限次的询问后,攻击者A将伪造消息m*c*对应于身份ID*的非法签名σ*=(σ1*, σ2*, σ3*)发送给挑战者C,满足Verify (m*, c*, ID, σ*)=0,这里c*AC提前协商的共同消息。挑战者C利用VString=(b*, z*)计算(σ1*)′=(σ1*)1/z*和(σ2*)′=(σ2*)1/b*,将{ID*, m*, c*, (σ1*)′, (σ2*)′}发送给A。攻击者A计算两个双线性对$K_1^* = e((v'\prod\limits_{i = 1}^{{n_m}} {v_i^{m_i^*}} )(x'\prod\limits_{j = 1}^{{n_c}} {x_i^{{c_j}*}} ),(\sigma _1^*)')$$K_2^* = e(w'\prod\limits_{i = 1}^{{n_u}} {w_i^{ID_i^*}} ,(\sigma _2^*)')$,并给挑战者C发送(K1*, K2*)。挑战者C利用σ3*计算K3*=e(σ3*, g),并运行SAV-Verify算法验证σ*的合法性。

下面分析等式K3*=Ppub·(K1*)z*·(K2*)b*成立的概率是1/(p-1)2

1)因为(σ1*)′=(σ1*)1/z*和(σ2*)′=(σ2*)1/b*,而b*z*Zp*中随机选取的,所以攻击者A利用σ*正确伪造出(σ*)′的概率是1/(p-1)2

2)AC确信σ*是消息m*c*的有效签名,必须满足等式K3*=Ppub·(K1*)z*·(K2*)b*,但b*, z*Zp*,因此攻击者A找到满足以上等式的元素b*z*的概率是1/(p-1)2。由此可见,对于一个非法的消息签名对,A能让C确信是合法签名的概率是1/(p-1)2,即新方案的SAV-Verify算法满足完备性。

验证者在新方案的服务器辅助验证算法中,将σ1σ2的幂运算值σ1=(σ1)1/zσ2=(σ2)1/b发送给服务器,而服务器不知道参数bz,因而能有效抵抗已有针对服务器和签名者的合谋攻击[14-15]

定理2 在标准模型下,Li方案满足部分盲性和不可伪造性,其安全性依赖于CDH困难问题[10]

文献[10]已证明Li方案具有部分盲性和存在不可伪造性,详细证明请参阅文献[10]的定理1和定理2。

定理3 在标准模型下,本文提出的基于身份服务器辅助验证部分盲签名方案是安全的。

证明 由第2章的定义4可知,只有新方案所基于的部分盲签名方案满足部分盲性和不可伪造性,并且服务器辅助验证算法满足完备性,才能证明新方案是安全的。由于定理2已证明新方案所关联的Li方案在标准模型下具有部分盲性和存在不可伪造性,定理1证明了新方案的服务器辅助验证算法是完备的,因此很容易推导出新方案在标准模型下是安全的。

4.3 性能比较

为了表述方便,用Chow方案和Zhang方案分别表示Chow等[3]与Zhang等[11]提出的基于身份部分盲签名方案。假定所有方案选择相同长度的素数p,以及相同阶的群G1G2。由于计算量比较大的密码学操作是双线性对与幂运算,因此不再详细讨论其余运算操作。用M1表示G1上的幂运算,用M2表示G2上的幂运算,用P表示双线对运算的数量,所有方案的比较结果如表 1所示。

表 1 计算开销与安全性能比较

表 1可以看出,验证者在本文新方案中进行4次幂运算和1次双线性对,在Li方案中需要进行3次双线性对,但幂运算的计算量远远小于双线性对,因此根据定义2可得知新方案是计算节约的。与其他方案相比,验证者在新方案中进行签名验证时所需要的双线性对数量最小,因而具有较低的计算复杂度,非常适用于各类低端计算设备。

5 结语

结合基于身份部分盲签名和服务器辅助验证签名,提出了基于身份的服务器辅助验证部分盲签名体制,将签名验证的计算任务委托给服务器去执行,有效减轻了验证者的计算负担。基于Li等提出的基于身份部分盲签名方案,构造了一个基于身份的服务器辅助验证部分盲签名方案,其安全性不依赖于理想的随机预言机。下一步的工作是设计具有更短公开参数的基于身份服务器辅助验证部分盲签名方案。

参考文献
[1] TAHAT N, ABDALLAH E E. A proxy partially blind signature approach using elliptic curve cryptosystem[J]. International Journal of Mathematics in Operational Research, 2016, 8 (1) : 87-95. doi: 10.1504/IJMOR.2016.073280
[2] CHEN L, WEN Q. Cryptanalysis and improvement of a certificateless partially blind signature[J]. IET Information Security, 2015, 9 (6) : 380-386. doi: 10.1049/iet-ifs.2014.0293
[3] CHOW S S M, HUI L C K, YIU S M, et al. Two improved partially blind signature schemes from bilinear pairings[C]//Proceedings of the 10th Australasian Conference on Information Security and Privacy. Berlin:Springer, 2005:316-328.
[4] 张学军, 王育民. 高效的基于身份的部分盲签名[J]. 计算机工程与应用, 2007, 43 (11) : 211-212. ( ZHANG X J, WANG Y M. Efficient identity-based partially blind signature[J]. Computer Engineering and Applications, 2007, 43 (11) : 211-212. )
[5] 闫东升. 一个新的高效的基于身份的部分盲签名方案[J]. 计算机工程与应用, 2008, 44 (2) : 137-139. ( YAN D S. Novel and efficient ID-based partially blind signature scheme[J]. Computer Engineering and Applications, 2008, 44 (2) : 137-139. )
[6] 崔巍, 辛阳, 胡程瑜, 等. 高效的基于身份的(受限)部分盲签名[J]. 北京邮电大学学报, 2008, 31 (4) : 53-57. ( CUI W, XIN Y, HU C Y, et al. Efficient ID-based (restrictive) partially blind signature[J]. Journal of Beijing University of Posts and Telecommunications, 2008, 31 (4) : 53-57. )
[7] 李明祥, 杜光辉, 罗新方. 高效的无证书部分盲签名方案[J]. 计算机工程与设计, 2010, 31 (22) : 4817-4819. ( LI M X, DU G H, LUO X F. Efficient certificateless partially blind signature scheme[J]. Computer Engineering and Design, 2010, 31 (22) : 4817-4819. )
[8] 李明祥, 李峰, 王涛. 部分盲签名综述[J]. 计算机应用研究, 2012, 29 (12) : 4437-4440. ( LI M X, LI F, WANG T. Survey of partially blind signature[J]. Application Research of Computers, 2012, 29 (12) : 4437-4440. )
[9] CANETTI R, GOLDREICH O, HALEVI S. The random oracle methodology, revisited[J]. Journal of the ACM, 2004, 51 (4) : 557-594. doi: 10.1145/1008731
[10] LI F, ZHANG M, TAKAGI T. Identity-based partially blind signature in the standard model for electronic cash[J]. Mathematical and Computer Modelling, 2013, 58 (1) : 196-203.
[11] 张延红, 陈明. 标准模型下增强的基于身份部分盲签名[J]. 四川大学学报(工程科学版), 2014, 46 (1) : 95-101. ( ZHANG Y H, CHEN M. Extended identity-based partially blind signature scheme in the standard model[J]. Journal of Sichuan University(Engineering Science Edition), 2014, 46 (1) : 95-101. )
[12] ZHANG J, SUN Z. An ID-based server-aided verification short signature scheme avoid key escrow[J]. Journal of Information Science and Engineering, 2013, 29 (3) : 459-473.
[13] WU W, MU Y, SUSILO W, et al. Provably secure server-aided verification signatures[J]. Computers & Mathematics with Applications, 2011, 61 (7) : 1705-1723.
[14] WANG Z, WANG L, YANG Y, et al. Comment on Wu et al.'s server-aided verification signature schemes[J]. International Journal of Network Security, 2010, 10 (2) : 158-160.
[15] WU H, XU CX, DDENG J, et al. On the security of server-aided verification signature schemes[J]. Journal of Computational Information System, 2013, 9 (4) : 1449-1454.