（应用数学专业论文）代理签名方案研究(1).pdf

代理签名方案研究 张晓敏 摘要代理签名是指原始签名者把自己的签名权授予代理签名者，代理签名 者代表原始签名者行使原始签名者的签名权当验证者验证代理签名时，既能验 证这个签名的有效性，也能确信这个签名是原始签名者认可的签名 1 9 9 6 年，m a m b o 等人首次提出代理签名的概念并介绍了其实现方法，自此， 代理签名引起了密码研究机构的浓厚兴趣，新方案不断被提出，而且，许多延伸 代理签名的方案也被人们所关注，如门限代理签名、指定验证者的代理签名、代 理多重签名等等代理签名也被广泛运用在具有“代理”性质的应用中，如分布 式计算、电子投票、电子付费、网络计算、移动代理等 本文在分析原有代理签名方案的基础上，主要研究了前向安全的代理签名方 案，并针对电子投票及移动通信中的应用，提出了相应的解决方案 本文所取得的主要研究成果如下： 1 对s h u m w e i 方案、p l 方案和s l 方案分别进行了攻击及改进 2 分析并改进了w c f 方案，提出了前向安全的代理多重签名方案及基于椭 圆曲线的前向安全的代理签名方案 针对w c f 方案的缺陷，提出了一个改进的前向安全的代理签名方案，使得 代理签名者的签名密钥具有真正意义上的前向安全性在强r s a 假定、计算式 d i 珩e - h e l l m 加问题及有限域上离散对数问题难解的假设下，该方案具有良好的安 全性 将前向安全的思想与代理多重数字签名结合，提出了一个前向安全的代理多 重签名方案，该方案不仅满足一般代理多重签名方案的性质，而且具有前向安全 性 提出了一个基于椭圆曲线的前向安全的代理签名方案在强r s a 假定和椭圆 曲线离散对数问题难解的假设下，该方案具有良好的安全性 3 针对在电子投票及移动通信系统中的应用，分别提出了具体的解决方案 针对在电子投票中的应用，对d y d 方案进行了分析及改进，提出了一种具 有消息保密的指定验证者的代理签名方案，在有限域上离散对数难解的假设下该 方案具有良好的安全性 针对在低带宽移动通信系统中的应用，结合具有消息恢复的数字签名方案， 提出了一个具有消息恢复的指定验证者的代理签名方案，在有限域上离散对数难 解的假设下该方案具有良好的安全性 关键词：密码学；数字签名；代理签名；前向安全 r e s e a r c ho fp 删【ys i g l l a t u l l es c h e m e z h a n gx i a o m i n a b t 礴d ：p r o x ys i 印a t i i 化sa 北s i 印a t l l t cs c t l e m e si nw h i c h 趾耐g i n a ls i 印e rd c l e g a t 鹤 h 盯s i 割i i i l g p a b i l i t yt oap r o x ys i g n e r 柚dt h e nt h cp m x ys i 孕l e fc 化a t 鸭ap r o x y s i 舯a t u r c 衄b e h a l fo ft h eo 一百n a ls i 印c lw h ar e c c i v e rv e i i f i 鹳ap r o x ys i 印a t i i ”，h e 锄v c r i 黟b o t ht b es j 印a t u r ci 协e l fa n d 鲥g i n a ls i g n e 内a g 嗽m e n tt o 驴t l l c r h1 9 9 6 ，p m x ys i 印a t u m 锄di t se f ：f i d e n t l u t j w e i n 仃甜u c c db ym 锄b oe i c s i n c ct h 髓p r o x ys i 伊a t u 聆s c h e m e sh a v ee n j o y e dac o n s i d c r a b l ca w 毗n to fi n t e 删 丘锄t h em s e a r c hi n s t i t u t c n e wp r o x ys i g n a t u 咒s c h 锄e sh a v eb e e np m p o s c d f u n h e 唧o r c ，v a i o u se x t e n s i o n so ft h eb 舔i cp m x ys i 舯a t l i 陀h a v eb c c 0 雌i d e 砌 1 n h e j n c l u d ct l l r c s h o l dp r 瞰ys j 卿a t u r c s ，n 伽i n a t j v cp r 呱ys i 舯a t u r e s 柚dp r o x y m u l t i - s i 印a t u f c se f c p m x ys i 卸a t i l r c sh a v eb e 钮a p p l i c di nm 锄ya d 岫lf i e l 峨 p a n i c u l a n yi n d i s t r j b l l t e dc o l n p u 缅g ，c v o t e ，e p a y m e m ，画d 姗p u t i n 岛m 0 ；b n e 咖m u l l i c a t j o 蕊e 峨w h c 托d c l c g a t j 伽o fr i 曲t si sq u i t ec o m m b a d t h cc x i s t 蛐tp r 0 1 哆s i 酗a t u 螨，伽rr c a f c h 叙嬲n 圮f b 刑a r d s 咖r c p r o x ys c h 锄e s a t t h e 鞠m et i m e ，w cs o l v e dt h ep m b l e m sc x i 卧c dj n 争v o t e 柚dm o b n e o 啪m u n i c a t i o 璐 m a i n 咖l t r i b u t i 硼so ft h i sp a p c ra r cs u m m a r i z e d 觞f o n o w s ： 1 a n a l y z e dt l l es e c i i m i e so fs h u m w c is c h e m c ，p ls c h e m c 柚ds l h 锄e 2 1 i l l p m v c dt l i ew 二c fs c h e m c p r o 胛l s c daf o r w 缸d s e c u ”p r o x ym u l t i s i 印a t 眦 s c h e m e ， 卸daf 0 1 w 盯d s e c u r cp f o x ys i 印a t l l ms c h e m cb 舔e d e l l i p t i cc u r v c 明姚y s l c m 越m i n ga tt h cn a w si nw - c - fs c h e m c 觚i m p r o v c df b 唧a r ds e c u 化p r o x ys i 印a t u m s c h e m cw 舔p m p o s c d 1 1 i en 刖h e m ep r i ) p o d 觚c v o l u t i 咖p m x ys i 印e f sk c y u n d c rt h es t 姗gr s aa s s 哪p t i 柚dd i 墒c - h e l l m 卸呻b l e n l ，t l l en e ws c h e m ew 鹤 t n l l yf 0 州a r ds c c i 陀， af 0 删a r d s c c l l r cp r o x ym u l t i - s i 朗a t u r es c h e m ew 雒p i o p 璐c d 伽t h eb a s i so ft h e f o r w a f d 一c i l r i t ya n dp r o x ym u l l i s i 凹a t u 佗s c h e m e s t h cn e ws c h e m cs a t i s f j e s s e c i l r i t i e so fg e n e m ip r o x ym u l t i s i 印a t u r c h e m e s 卸df o 眦a r d - s e c i l f i t y af o r w a r d s e c i l r ep r o x ys i 印a t u r cs c h e m eb a s c do ne l l j p t i c 伽r v ec r y p t o s y s t e mw 蠲 p r o p o d t 1 l en e ws c h e m ei ss e c u 坨u n d e rt h es t m n gr s a 鹤s u m p t i o na n dt h ed i f f i c u l t y m o fd l i p t i cc u r v ed i s c r c t el o g a r i t h mp m b l e m 3 s o l v e dt h ep r o b i e m sc x i s t c di ne - v o t e 柚dm o b i l cc o 咖u n i c a t i o 璐 a n a l y z c dt h e 咖r i t yo fd y d h e m e ，a n dp m p o s c dam e 鹞a g cp r o t e d i 蛐p r 瓤y s i 印a t u 托h c m ew i t hd e s i 印a t c dv e r i 商i r u n d e rt h e 勰s u m p t i o no ft l i e d j s c ”t e l o 鲥t l u m s s c c i l m y t h es c h 啪ei ss e c i l 卸dv a l i d an c wd e s i n a t e dv 鲥f i 盱p m x y s i 印a t l l 佗s c h e m ew i t hm e s s a g cr e o a v e r yi sp m p 0 d t of c d u c c st h ec o 咖c i c a t i 蛐s t u n d e rt h e 筋s u m p t i o no ft h cd i s c r c t el o g a r i t h l n s s 删r i t y t h cs c h e m ei ss e 伽r e 柚dv a i i d k e y w o r d 懿c r y p t o l o g y ；d i 舀t a ls i g n a t l i 托；p m x ys i 印a t u r e ；f o r w a r ds e c u r i t y 学位论文独创性声明 本人声明所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经注明引用的内容外，论文中不包含其他个人已经 发表或撰写过的研究成果，也不包含为获得陕西师范大学或其它教育机构的学位 或证书而使用过的材料。对本文的研究做出重要贡献的个人和集体，均已在文中 作了明确说明并表示谢意。 学位论文使用授权声明 本人同意研究生在校攻读学位期间论文工作的知识产权单位属陕西师范大 学。本人保证毕业离校后，发表本论文或使用本论文成果时署名单位仍为陕西师 范大学。学校有权保留学位论文并向国家主管部门或其它指定机构送交论文的电 子版和纸质版；有权将学位论文用于非赢利目的的少量复制并允许论文进入学校 图书馆、院系资料室被查阅；有权将学位论文的内容编入有关数据库进行检索 有权将学位论文的标题和摘要汇编出版。 第一章绪言 1 第一章绪言 随着网络信息技术的出现和快速发展，世界范围的信息交流日益方便快捷， 同时网络还给人们提供更多的商业和科学研究的机会一旦网络上传递的重要信 息( 如国家机密、商业机密和个人隐私等) 被截获或篡改，国家、企业和个人将蒙 受巨大损失另外，以非法入侵和非法获利为目的的信息犯罪日益增多，这也对 网络的安全运行和进一步发展提出了挑战人们对信息安全要求越来越强烈，这 些现实的需求成为信息安全研究的主要动力信息安全技术是一门综合性学科， 它涉及信息论、计算机科学和密码学等多方面知识，它的主要任务是研究计算机 系统和通信网络内信息的保护方法以实现系统内信息的安全、保密、真实和完整 其中，密码技术是信息安全的核心作为一门新兴的交叉学科，它涉及计算复杂性 理论、算法设计与分析理论、计算机科学及网络技术、通信技术、数论、信息论、 编码理论、概率论和随机过程理论、有限自动机理论、图论、不定方程、组合数 学、代数、量子理论以及公共策略和法律等方面的知识密码技术除了提供信息 的加密解密外，还提供对信息来源的鉴别、保证信息的完整性和不可否认性等功 能，而这些功能都是通过数字签名来实现的 数字签名是一种实用的认证技术，它的概念首先是由d i 确e 和h e u m 卸【1 】于1 9 7 6 年提出的虽然对数字签名的研究己经有3 0 年了，但只是近十几年来才引起密码 学界、计算机工作者以及各行各业的广泛重视和浓厚兴趣随着计算机和网络通 信技术的发展，数字签名技术得到了广泛的应用国内外众多的专家学者对数字 签名的理论、技术和应用进行了深入的探讨与研究人们根据不同的应用提出了 诸多的数字签名方案如门限签名【2 一、群签名i 删、具有消息恢复的签名【吼1 2 1 ，盲 签名【1 孓堋、多重签名1 1 矗1 川和前向安全的数字签名1 2 呲1 】等 1 1 代理签名的研究背景、内容和现状 1 1 1 代理签名的研究背景 在现实世界里，人们经常需要将自己的某些权力委托给可靠的代理人，让代 理人代表本人去行使这些权力，在这些可以委托的权力中包括人们的签名权例 如，我们可以考虑下面的问题： 2代理签名方案研究 某个公司的经理在某段时间内，由于健康或其它原因而不能行使签名权， 那么，该经理不得不委托他的秘书或其他人代表他在这段时间内行使签名 权； 某一软件公司为了向客户证实他的程序的可靠性，需要以公司的名义对所 有程序进行签名，由于程序太多，公司经理无法亲自检测签名每个程序， 一个比较实际的做法是，公司经理将代表公司签名的权利委托给每个程序 员，让他们各自以公司的名义为他们编写的程序签名； 某一总行授予所属支行签发电子货币的权利，让他们以总行的名义签发电 子货币，而又不让他们获得总行的签发密钥，以免滥发电子货币 从以上例子可以看出，数字签名权利的委托是数字化的信息社会必然遇到的 一种现象数字签名是手写签名的电子模拟，但是一般的数字签名不能提供这些 代理功能人们在将自己的数字签名权利委托给他人的时候，需要考虑以下几个 问题： 安全性：一般来说，一个人将签名权委托给代理人的时候，希望代理人只能 代表他在特定的时间，对特定的文件生成数字签名，而不希望代理人滥用他的数 字签名权利，并且不希望非法的攻击者能因此伪造出有效的数字签名； 可行性：人们希望委托数字签名权利的方法方便、有效、容易实现； 效率：人们希望委托数字签名权利的方法具有较高的速度和较小的计算复杂 性、通信复杂性 如何以安全、可行、有效的方法实现数字签名权利的委托，是需要人们进行 研究和解决的问题 1 9 9 6 年，m a m b o 、u 姒d a 和o k a m o t o 首先提出了代理签名的概念1 2 埘l ，给出 了解决数字签名权力委托问题的方法 1 1 2 代理签名的研究内容及现状 1 9 9 6 年，m 砌b 0 、u 鲫d a 和o k 枷o i o 提出利用代理签名体制，解决数字签名 权利中的委托问题一个被称为原始签名者的用户将他的签名权委托给一个被称 为代理签名者的用户，代理签名者代表原始签名者生成的数字签名，称为代理签 名 一般的代理签名体制由以下几部分组成： 初始化过程：在这个过程中，选定签名体制的参数、用户的密钥等； 第一章绪言 3 数字签名权利的委托过程：即代理权生成过程，在这个过程中，原始签名 者将自己的数字签名权利委托给代理签名者： 代理签名的生成过程：在这个过程中，代理签名者代表原始签名者生成有 效的代理签名； 代理签名的验证过程：在这个过程中，签名验证者验证代理签名的有效性 由于代理签名在移动通信、移动代理、电子商务、电子选举、电子拍卖等方 面有着重要的应用【肄剀，所以一经提出便受到广泛关注国内外学者对其进行了深 入的探讨与研究，并取得了丰硕的研究成果迄今为止，人们已经提出了多种代 理签名方案，如门限代理签名方案f 雏蚓、代理盲签名方案【埘日、代理多重签名方 案【3 n 、具有跟踪接收者的代理签名方案1 4 “3 l 等等 然而，仍然存在如下问题尚需进一步研究和解决： 代理签名的安全性：目前很多代理签名方案存在安全隐患例如，无法抵 抗伪造攻击，公钥替换攻击i 删等因此，设计一个能同时抵抗现存各种攻 击的代理签名方案是一个需要解决的问题 执行效率问题：目前的代理签名方案，尤其是门限代理签名方案和多重代 理签名方案计算复杂性高，通信量大，执行效率低因此，如何设计简单、 有效的代理签名方案有待进一步研究 原始签名者在线问题：现有的代理签名方案几乎都是原始签名者、代理签 名者和接收者之间进行的交互协议由于在每次代理签名中都有原始签 名者的参与，这就违背了代理签名的初衷代理签名是由于原始签名者 到外地出差或由于事务繁忙而无法脱身才将签名权委托给可信的代理签 名者来行使其权力的一种行为因此，从本质上来说，真正的代理签名在 签名过程中不应该有原始签名者的参与 如何利用向前安全数字签名的思想设计安全、有效的前向安全代理签名方 案及前向安全的代理多重签名方案? 如何解决电子商务、电子投票、移动代理等应用中代理权的转让问题? 如何有效解决签名权不断转移的多重代理签名问题及代理签名权的撤销 问题? 如何利用定向签名、零知识签名等特殊签名方案来实现代理签名? 针对代理签名只能提供授权的认证而不能提供保密性1 9 9 9 年，g a m a g c 等通过组合代理签名和加密技术扩展了代理签名的概念，提出了代理签密1 4 5 l 的概念，解决了这一问题在代理签密方案中，只有指定的接收者能够解密 4代理签名方案研究 和验证代理签密的有效性当代理签名人否认他所签的代理签密时，如何保 护接收者的利益? 如何利用现有的代理签名方案设计安全有效的多级代理签名方案也是尚 待解决的问题 1 2 论文的章节安排和主要研究成果 本节给出本文的章节安排和主要研究成果 本文在分析原有代理签名方案的基础上，主要研究了前向安全的代理签名方 案，并针对电子投票及移动代理中的应用，提出了相应的解决方案 文章共分为五部分，分别以绪论、预备知识、一般代理签名体制、前向安全 的代理签名体制、指定验证者的代理签名体制五部分进行论述 第一章：主要介绍代理签名的研究背景、现状以及存在的主要问题，介绍论 文内容安排和主要研究结果 第二章：主要介绍必备的密码知识、数学基础及数论假设 第三章：主要介绍代理签名的概念、性质、分类及一般代理签名方案的结构， 并对s h 啪w e i 方案进行了密码分析及改进 第四章：首先主要介绍提出前向安全的数字签名方案的意义及前向安全的代 理签名方案的研究现状 针对w - d f 方案的缺陷，提出了一个改进的代理签名方案，w - d f 方案虽然 实现了授权密钥的前向安全，但由于代理签名者的私钥不具有前向安全性，使得 整个方案在代理签名者的私钥泄漏后不具有安全性本文在此基础上提出了一个 改进的前向安全的代理签名方案，新方案不对授权密钥进行进化，而是对代理签 名者的私钥进行进化，使得代理签名者的签名密钥具有真正意义上的前向安全性 在强兄跗假定、计算式d i f f i e h e l l m a l l 问题及有限域上的离散对数问题难解的假设 下该方案是安全有效的 对于前向安全的代理多重数字签名方案的研究，目前仍处于空白，本文将前 向安全的思想与代理多重数字签名结合，提出了一个前向安全的代理多重签名方 案，该方案不仅满足一般代理多重数字签名方案的安全要求，而且具有前向安全 性，即使代理签名者在某一时段的私钥泄漏，攻击者也无法伪造该时段之前的代 理签名 考虑到目前的前向安全代理签名方案大部分是基于一般有限域上的离散对数 第一章绪言5 问题，运算量大，签名长，传输困难，因而不易实现而椭圆曲线密码体制是 种基于椭圆曲线离散对数问题的公钥密码体制，因其所具有的安全性高、密钥长 度短和带宽要求低等优势，受到越来越多的关注近年来研究者也提出了基于椭 圆曲线的前向安全签名方案，但是都不具有真正的前向安全性，本文在此基础上， 提出了一个简单的基于椭圆曲线的前向安全的代理签名方案在强兄翻假定下和 椭圆曲线离散对数难解问题下，该方案具有良好的安全性 第五章：首先主要介绍指定验证者的数字签名方案及指定验证者的代理签名 方案的研究背景并对p l 方案和s l 方案分别进行了攻击 针对在电子投票中的应用，戴佳筑等提出提出了一个特殊的方案具有消 息保密的指定验证者的代理签名方案来解决这一问题，但该方案存在安全漏洞， 本文对原方案进行了分析，提出了一种具有消息保密的指定验证者的代理签名方 案，并在离散对数难解的假设下分析了新方案的安全性 针对在低带宽移动通信系统中的应用，本文结合具有消息恢复的数字签名方 案，提出了一个具有消息恢复的指定验证者的代理签名方案，并且在离散对数难 解的假设下分析了它的安全性由于指定的签名验证者可以通过消息恢复验证代 理签名，在签名传输中不用传输消息本身，而只需要传输消息摘要，从而降低了 通信成本 第二章预备知识 7 第二章预备知识 本章将介绍一些预备知识，主要是关于数论、代数学知识和密码学的内容， 这些内容是以后各章的理论基础 2 1 相关数学知识 数学尤其是代数学和数论在密码学中具有非常重要的地位，目前所使用的公 钥密码体制，其安全性主要是基于数论中的困难问题基本有两大类：一类是基 于大数因子分解问题的，比如，r s a 体制和r a b i n 体制：另一类是基于离散对数 问题的，如d s a 体制和e l g 枷a l 体制 下面对后面将要用到的数论与代数学知识进行简单介绍 定义2 1 1 整数因子分解问题( 劢p 砌f 曙盯而c f d r 泐砌n 肋6 绷) 【舶】：给定整数 h ，对疗进行因子分解 - p ，p ；2 p p 其中p 。是不同的素数，e 。是正整数 定义2 1 2 欧拉函数妒( n ) l 牾l ：设n 是一个正整数，矿o ) 的值等于序列 1 ，2 ，豇一1 中与厅互素的整数的个数： 伊( n ) 一i 七h 七鲥一1 ，g c d ( 七，月) - 1 ) i 若厅的因子分解已知，则很容易计算妒o ) ，但当厅很大时，若席的因子分解未 知，则很难计算伊伽) 定义2 1 3 离散对数( d 括c r 班o g r 砌m ) m ：设g 是一个有限循环群且g g 是g 的一个生成元元素y g 的离散对数是指唯一的整数工，( o 工t p i ) ，使得 _ ) r - g 。成立记为： 善i l o g 。y 8代理签名方案研究 若g 不是生成元，y 基于g 的离散对数( 若存在) 是指最小的正整数x ，使得 y - g 。成立 定义2 1 4 离散对数问题( d 妇c r p 把工d g r 洳历p r d 6 砌t ) i 明：对于一个有限循环 群g - g ) 和元素y g ，寻找整数工( 0 工c l g l ) ，使得y - g 。成立 定义2 1 s 计算d 0 弦一k 朋h 鲫( c d h ) 问题【4 刀：对于一个有限循环群g 和它 的生成元g ，以及两个元素9 4 和9 6 ，寻找对应的元素g 。 定义2 1 6 决策d 泓一h 幽加开( d d h ) 问题1 4 7 l ：对于一个有限循环群g 和它 的生成元g ，以及三元组( g4 ，9 6 ，g ) ，判断g 。一g “是否成立5 ”3 】 定义2 1 7g 印d 伽一胁砌册( g d h ) 问题l 明：这是一类c d h 问题困难而 删问题容易的问题 定义2 1 8g 口p 雅一胁鲫( g d 日) 群1 4 7 1 ：这是一种c d h 问题困难而 d d h 问题容易的群 这样的g d h 群可以在超奇异椭圆曲线或超椭圆曲线上找到 定义2 1 9 二次剩余( 功e 伽d 阳f f c ，部豇缸砂) 【4 7 l ：设开是两个素数p ，目的乘积， 且y z 。，若存在整数x ，使得工2 一y m o d 月成立，则称y 是模n 的二次剩余( 平方 剩余) ；若不存在整数工，使得x 2 一y m o d 月成立，则称y 是模n 的二次非剩余所 有模 的二次剩余和二次非剩余的集合分别记为q r 。和q m t 若一的因子分解已知，容易判定一个数是否是模疗的二次剩余，而当n 的因子 分解未知时，判定一个数是否是模开的二次剩余是一个困难性问题 定义2 1 1 0 二次剩余问题( 劢p 卿n 加f f cr 嚣妇砂p r d 6 切n ) 1 4 刀：给定整数厅 和) ，( o y n ) ，判定是否存在整数工( 0 工n ) ，使得z 2 一y m o d n 成立 第二章预备知识 9 2 2 相关密码学知识 本节主要介绍后面各章将要用到的相关密码学知识 2 2 1 公钥密码体制 公钥密码技术是由d i f f i e 和h e l l n l 柚于1 9 7 6 年首次提出的一种密码技术与 私钥密码体制相比，公钥密码体制有两个不同的密钥，它可将加密功能和解密功 能分开朋。一个密钥被称作私钥，像在对称密码体制中一样，该密钥被秘密保存 另一个密钥称作公钥，不需要保密，给定公钥，要确定私钥在计算上是不可行的 公钥密码体制有两种基本类型，一种是加密模型如图2 1 ，另一种是认证模型，如 图2 2 b 的公钥b 的私钥 ll 密文 明文七画j 匦卜明文 图2 1 加密模型 a 的私钥a 的公钥 l 密文j 明文_ 叫a 加密卜叫b 解密l 叫明文 r 1 广1 图2 2 认证模型 因为加密与解密的密钥不同，所以又称为非对称密码系统它的缺点是速度 慢，与私钥密码体制相比，大概慢了百倍至千倍但由于对称密码体制不适合直 接应用于大规模的网络上因为仅密钥的分发、认证就是一大难题，所以一般私 钥密码体制配合公钥密码体制一起应用，结合两种体制的长处，来对信息进行保 护 1 0代理签名方案研究 2 2 2 数字签名方案 一般数字签名方案包括三个过型删：系统初始化过程、签名生成过程和签名 验证过程 系统初始化过程 产生数字签名方案中的基本参数( m ，s ，k ，s ，g ，陋r ) ，其中：肼消息集合， s 一签名集合，k 一密钥集合，包含私钥和公钥，s 昭签名算法集合，陋r 一 签名验证算法集合 签名生成过程 对于密钥集合k 。相应的签名算法为s 培。s ，g ，啦。：j l f s ，对任意的 消息所m ，有5 - 磁。咖) ，则s s 为消息用的签名 签名验证过程 对于密钥集合鬣，有签名验证算法： 坩k ：肼s 一 m p ，丘觇 签名验证者收到妇，j ) 后，计算比k 妇，s ) ，若阳k 如，s ) 一孤p ，签名有效：否则， 签名无效 数字签名必须满足以下三点： 1 签名是发送者用自己的私钥进行签署的，接收者在验证签名正确后，能识 别发送者的身份 2 发送者事后不能否认对消息的签名 3 经过签名的文件若经过任何修改，则无法通过验证，确保文件的完整性 一般认为数字签名方案还应该满足自适应选择消息攻击下的安全性 自从数字签名的概念提出之后，人们提出了许多不同的数字签名体制，比较 著名的数字签名体制有：s c l l n o 玎体制1 4 7 l 、r s a 体制m 、e l g 枷a l 体制【4 7 l 、d s s 体 制【4 7 l 、f i a t s h a m i r 体制m 等 2 2 3 单向胁妇函数 单向月i 妫函数l 删就是把任意长度的明文比特映射为固定长度k 比特的函数 第二章预备知识 1 l 即日0 ： o 册一 o j ， 记消息为小，协幽值 - 日似) ，一个安全的单向胁妫函数应该至少满足以 下要求： 1 输入长度是任意的； 2 输出长度是固定的； 3 给定坍，很容易计算 ； 4 给定| i i ，根据 一日伽) 计算m 很难，即求逆不可行； 5 给定埘，要找到另一消息肼，并满足h 伽) 一日西) 在计算上是不可行的 6 给定h ( ) ，要找两个不同的和坍：，使得日，) 。h 劬：) 在计算上是不 可行的 满足前五条性质的单向砌妨函数称为弱单向日口妫函数，满足以上六条性质 的单向胁曲函数称为强胁曲函数，即安全胁曲函数单向胁 函数的安全性 依赖于输出的比特长度，一般要求输出长度至少为七= 1 6 0 比特比较流行的单向 胁妫函数有：5 ：黝一l 、 缈2 、j l 仿4 、膨d 5 等 2 3 数论假设 本节给出一些必要的数论假设，这些是以后各章的代理签名方案的安全性基 础 假设1 ( 强r 翻假设) ；已知一( 雄为两个大素数p ，吁的乘积，且不知道p ，口) 和c z 二，则找出一组数r ( r ，1 ) ，a z ：，且满足a 7 - c m o d 刀是一个非常困难的 问题【铷 假设2 ( 离散对数假设) ：对于一个阶数很大的有限循环群g - tg ，和元素 ) ，g ，寻找整数石( 0 石t i g b ，使y g 。成立在计算上是不可行的 假设3 ( d 0 弘一f k 砌l 册假设) ：在g 印d 移p 一手，j 砌l 鲫群上c d 日问题是一 个非常困难的问题 1 2代理签名方案研究 2 4 本章小结 本章主要介绍了一些必要的数学、密码学相关知识和一些必要的假设，作为 以后章节的理论基础 第三章代理签名方案 1 3 第三章代理签名方案 在现实世界中，人们经常需要将自己的某些权利委托给可靠的代理人，让代 理人代表本人去行使这些权利在这些可以委托的权利中包括人们的签名权 1 9 9 6 年，m 锄b o 、u s u d a 和0 k a m 0 1 0 f 2 城】提出了代理签名的概念，给出了解决这 个问题的一种方法 代理签名作为一种密码技术，无论在政治领域、军事领域，还是在商业领域 都具有广泛的用途例如代理数字签名在移动通信，移动代理、电子商务、电子 选举、电子拍卖【2 4 。2 9 l 等方面都有着重要的应用 本章主要介绍代理签名的发展状况与分类，接着对一个代理签名方案的安全 性进行分析，证明它不能抵抗原始签名者的伪造攻击，然后对其进行了改进 3 1 1 代理签名的概念 3 1 代理签名的发展 代理签名的严格定义如f ： 定义3 1 l 勰j 设a ，b 是某个数字签名体制( 肘，s ，k ，s ，g ，陋尺) 的两个用户，他们 的私钥公钥对分别是( b ，_ ) ，。) ，o 。，_ ) ，。) ，若满足以下条件： 1 a 利用他的秘密密钥_ 计算出一个数仃，并且将盯交给b ； 2 任何人( 包括b ) 在试图求屯时，仃不会对他有任何帮助； 3 b 可以利用盯和生成一个新的签名密钥口。； 4 存在一个公开的验证算法q ，使得任何s s 和肼肘，都有 w q ( ) ，4 ，胁) 一z h p j - 啦( 哟q ，脚) ； 5 任何人在试图求出_ ，h ，盯或o - 。时，任何数字签名啦( 。，坍) 都不 会对他产生帮助 1 4代理签名方案研究 那么我们就称用户a 将他的( 部分) 数字签名权利委托给了用户b ，并且称a 为b 的原始签名者，b 为a 的代理签名者，盯为委托密钥，。为代理签名密钥， 以d - 。作为签名密钥对消息用m 生成的数字签名s f g ( 。，所) 为a 的代理数字 签名 定义3 2 i 删能够生成代理数字签名的数字签名体制被称为代理数字签名体制 一个代理数字签名体制尸s - ( p f ，麒，j f 嗒，p 矿) 一般由以下四个算法组成： 1 系统参数生成算法毋：该算法的输入是r ，其中七为安全参数；输出为系 统所需的参数，如原始签名者a 和代理签名者b 的私钥公钥对0 。，y 。) 、( h ，y 口) 、 安全无碰撞协如函数等尸；是一个概率算法，系统的安全性评估依赖于七 2 代理密钥生成算法p k ：该算法的输入为原始签名者和代理签名者的私钥 以及一些系统参数，输出为代理密钥。麒一般为概率算法 3 代理数字签名生成算法船：输入给定消息m 和代理密钥吒。，输出代理 签名j - 啦p 。，m ) 嚣一般为概率算法 4 代理签名验证算法：输入签名s 、消息m 、以及验证公钥) 。，y 。输出 结果为1 或o 几，是一个确定性算法 有时，为了确定代理签名者，还有一个附加的代理签名者身份识别算法，输 入一个有效的代理数字签名s ，将会输出代理签名人的身份，d 3 1 2 代理签名的安全性要求 文献【2 2 ，2 3 1 指出一般的代理签名方案应该满足以下六条性质： 不可伪造性 ，咖r g p 4 6 矗砂) ：除了原始签名人，只有指定的代理签名者能够代 表原始签名者产生有效的代理数字签名 可验证性( 熠r 伽6 f f 秒) ：从代理数字签名中，验证者能够相信原始签名者认同 了这份签名消息 第三章代理签名方案 1 5 不可否认性 砌妇6 的，) ；一旦代理签名者代替原始签名者产生了有效的代 理数字签名，他就不能向原始签名者否认他所签的有效代理数字签名 可区分性 脚函h 口6 的，) ：任何人都可区分代理数字签名和正常的原始签名 者的数字签名 代理签名人的不符合性( p 唧s 谤研s 如咖砌n ) ：代理签名者必须创建一个 能检测到是代理签名的有效代理签名 可识别性似蹦伽6 的，) ；原始签名者能够从代理数字签名中确定代理签名者 的身份 为了体现对原始签名者和代理签名者的公平性，i 船、l 【i m 【艄q 等对其中的一 些性质给出了更强的定义 强不可伪造性g 咖棚6 p ) ：只有指定的代理签名者能够产生有效代 理签名，原始签名者和没有被指定为代理签名者的第三方都不能产生有效代理签 名 强可识别性o 舭唧g 触嘶f 咖醐吵) ；任何人都能够从代理数字签名中确定代理 签名者的身份 强不可否认性 ，n 昭肼d 绷缸6 协r ) ：一旦代理签名者代替原始签名者产生了 有效的代理数字签名，他就不能向任何人否认他所签的有效代理数字签名 防止滥用( p r p 坩h f 鲫d ，m 缸郴e ) ：应该确保代理密钥对不能被用于其它目的 为了防止滥用，代理签名者的责任应当被具体确定 另外，文献【5 1 】指出代理数字签名还应该满足可撤销性( 原始签名者可以随时 撤销他委托给代理签名者的签名权力) 本文认为代理签名方案必须满足可验证性、可区分性、强不可伪造性及强不 可否认性，其他安全性质应根据具体应用来考虑是否要求达到 3 1 3 代理签名的发展 由于代理签名在实际应用中起着重要作用，所以代理签名一经提出就受到广 1 6代理签名方案研究 泛关注，国内外学者对其进行了深入的探讨与研究迄今为止，人们已经提出了 多种代理签名方案首先，m 锄b 0 、u 鲫d a 和o t o 【娜i 将代理签名按照代理方 式的不同，分为完全代理签名、部分代理签名和具有授权证书的代理签名 z h a n 一删提出了具有授权证书的部分代理签名和门限代理签名s u n 、k e 和 h w a n g 【3 1 1 指出z l l 卸一划和瞄m 、p a r k 和w b n 【3 2 】的门限代理签名方案是不安全的， 并给出了一个改进方案李继国、曹珍富1 3 3 】进一步指出s u n 、k e 和h w 柚g 的方 案不能抵抗公钥替换攻击，并给出了一个更安全的不可否认门限代理签名方案 后来，s u n i 驯提出了具有已知签名者的有效不可否认门限代理签名方案，具有一些 较好的性质但h w 柚g 、i j n 和i j l l ”j 指出s 吼的方案也是不安全的，并给出相应 的改进s u n 和c h 曲1 4 2 l 以及s u n l 4 3 j 提出了具有跟踪接收者的时戳代理签名伊丽 江等【勰j 与祁明、h a m f 叫分别提出了一个新的代理签名方案：代理多重签名李继国 等1 5 2 l 与王晓明、符方伟i 帅1 分别指出他们的方案是不安全的，并给出了相应的改进 不可否认性是代理签名的重要性质，不可否认性是指原始签名者和代理签名 者不能欺诈性地否认他产生的签名在实践中，不可否认性是非常重要的例如， 当签名滥用发生争议时，权威机构必须确定谁是代理签名的真正签名者因此， 具有不可否认性的部分代理签名是商业应用的理想选择现有的大部分代理签名 方案不具有不可否认性m 锄b o 等1 2 k 2 4 】和l ( i m 【3 2 】等称他们的代理保护代理签名方 案具有不可否认性，但s u n 和h s i e h l 5 3 】指出了他们的代理签名方案是不安全的，并 给出了相应的改进k e 、h w 柚g 和w 柚一卅也指出z h 卸g l 捌的不可否认签名方案 是不安全的h w a n g 和s h i l 5 5 j 提出的方案能对原始签名者和代理签名者进行公平安 全保护李继国等啪j 对代理签名的不可否认性进行了较深入的研究 3 1 4 代理签名的分类 到目前为止，国内外学者还没有对代理签名给出系统的分类i _ 、m 1 5 7 侧 等根掘不可否认性质把代理签名分为强代理签名和弱代理签名强代理签名代表 原始签名者和代理签名者的签名，而弱代理签名仅代表原始签名者的签名根据 是否指定代理签名者把代理签名分为指定代理签名和非指定代理签名他们也 考虑了自代理签名：原始签名者为他自己产生一个代理密钥对，即原始签名者和代 理签名者是同一方 目前，研究者比较认同的分类方法是m 踟b o 、u s u d a 和o k a m o t o l 2 ”4 】提出的 分类方法，他们按照代理签名者的权限把代理签名分为三大类：完全代理签名、 第三章代理签名方案 1 7 部分代理签名和具有证书的代理签名、 完全代理签名( 如i id e l e g a n o n ) 在完全代理签名中，原始签名者直接把自己的 签名密钥通过安全信道发送给代理签名者，他们能产生相同的签名 由于代理签名者所产生的签名与原始签名者所产生的签名是不可区分的，所 以不能制止可能的签名滥用完全代理签名也不具有可识别性和不可否认性 在很多情况下，原始签名者在代理行为结束后不得不修改他的签名密钥因此这 种代理方式在大多数签名应用中不适用 部分代理签名( p 删a id d e 龋o n ) 在部分代理签名中，原始签名者使用自己的 签名密钥s 产生代理签名密钥盯，并把口以安全的方式发送给代理签名者出于 安全考虑，要求从代理签名密钥盯不能求出原始签名者的密钥j 使用这种方法有 两种类型的方案： 代理非保护代理签名( p m 碍- 帅p m t e c t e dp r 慨ys i 印a t u r 时直接使用盯生成代 理签名，因此除了原始签名者和代理签名者能产生有效代理签名，任何其他人都 不能产生有效代理签名 代理保护代理签名( p m 碍- p 阿t e c i e dp m 碍s i 纳a t u 嘲代理签名者用盯和自己 的私钥生成新的代理签名密钥，只有代理签名者能产生有效代理签名，原始签名 者和第三方都不能产生有效代理签名 在部分代理签名中，代理签名者以盯为签名密钥按普通的签名方案产生代理 签名，可以使用修改的验证方程来验证代理签名的有效性因为在验证方程中有 原始签名者的公钥，所以验证者能够确信代理签名是经原始签名者授权的因此 部分代理签名具有可区分性的性质人们根据不同的需要提出了各种各样的部分 代理签名例如，门限代理签名、不可否认代理签名、多重代理签名、具有接收 者的代理签名、具有时戳的代理签名和具有证书的部分代理签名，极大地丰富和 发展了部分代理签名 但在一些部分代理签名( 主要是代理非保护代理签名) 中，原始签名者也能 产生有效的代理签名，这对代理签名者来说是不公平的 具有证书的代理签名( d e i e g a “蛐b yw a m n t ) 使用这种方法有两种类型的方 案： 授权代理签名( d d e g a t ep m x y ) 在授权代理签名中，原始签名者用他的签名密 钥使用普通的签名方案为一个文件签名，生成所谓的代理授权证书，然后，把代 理授权证书发给代理签名者 持票代理签名( b 聪r p m 碍) 在持票代理签名中，证书是由消息部分和原始签 1 8代理签名方案研究 名者对新产生的公钥的签名组成原始签名者把新产生的公钥所对应的私钥以安 全的方式发给代理签名者 总之，部分代理签名和具有证书的代理签名比完全代理签名更安全部分代 理签名与具有证书的代理签名相比具有较高的处理速度，而具有证书的代理签名 可以毫无修改地使用普通签名方案来执行签名，并且可以适当地限制所要签的文 件，例如，证书可以标明授权的有效期，但是，部分代理签名一般不具有这个性 质为了