（信号与信息处理专业论文）代理签名的研究.pdf

硕士学位论文 摘要 摘要 随着计算机和网络通信技术的发展，数字签名技术应运而生。代理签名是一种 特殊的签名形式，它是由m a m b o 、u s u d u 和o k a m o t o 于1 9 9 6 年首次提出的。在代 理签名中，原始签名人可以将其数字签名的权利委托给代理签名人，让代理人代替 他行使签名权。在移动通信、移动代理、电子商务、电子选举、电子拍卖等方面， 代理签名都有着重要的应用。 结合其他数字签名方案，本文着重对一些代理签名方案进行了研究。主要研究 内容包括： ( 1 ) 对戴等人的指定接收人的代理签名方案和x u e 等人的采用自我认证公钥的 门限代理签名方案进行密码分析，发现它们是不安全的，都不能抵抗伪造攻击。针 对这两个方案的缺陷，对其进行了改进，改进后的方案满足代理签名的所有安全性 要求。 ( 2 ) k a n g 等人结合代理多重签名和盲签名的特性提出了第一类盲代理多重签 名方案和第二类盲代理多重签名方案，通过分析发现第一类盲代理多重签名方案存 在消息拥有者的伪造攻击、原始签名人的伪造攻击和代理签名人的内部伪造攻击等 安全缺陷。在全面分析各种伪造攻击的基础上，对原方案进行了改进，改进后的方 案克服了原方案的安全隐患，并且保留了原方案的优点。 ( 3 ) 基于椭圆曲线密码体制，提出一种新的多重代理多重签名方案，并对方案 的安全性进行分析。方案中，一组原签名人可以共同授权给一组代理签名人，授权 代理签名组的所有成员一起可以代替原签名组成员行使签名权利。 ( 4 ) 基于t w o p a r t ys c h n o r r 签名方案，提出一种指定接收人的代理盲签名方案。 方案中，只有指定接收者才可以恢复消息、验证签名的合法性，通过执行交互的零 知识证明，指定接收入可以向第三方证实签名的有效性。 ( 5 ) 本文定义了代理多重签密的形式化模型，提出一种基于身份的代理多重签 密体制，并对方案的安全性进行了分析。 关键词：数字签名，代理签名，代理多重签名，盲代理签名，代理签密 硕士学位论文 a b s t r a c t a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n to fc o m p u t e ra n dn e t w o r kc o m m u n i c a t i o n t e c h n o l o g y , d i g i t a ls i g n a t u r e a r i s e sa tt h eh i s t o r i cm o m e n t t h ep r o x y s i g n a t u r ei so n ek i n do fs p e c i a ls i g n a t u r e ，i tw a sp r o p o s e df o rt h ef i r s tt i m eb y m a m b o 、u s u d ua n do k a m o t oi n19 9 6 i nap r o x ys i g n a t u r es c h e m e a n o r i g i n a ls i g n e ri sa l l o w e dt od e l e g a t eh i ss i g n i n gp o w e rt oad e s i g n e dp e r s o n o rg r o u p ，w h oi sc a l l e dt h ep r o x ys i g n e ra n dc a ns i g nm e s s a g eo nb e h a l fo f t h eo r i g i n a ls i g n e r p r o x ys i g n a t u r es c h e m e sf i n da p p l i c a t i o n si nav a r i e t yo f c o m p u t i n ge n v i r o n m e n t ss u c h a sm o b i l ec o m m u n i c a t i o n ，m o b i l ea g e n t s ， e l e c t r o n i cc o m m e r c e ，e l e c t r o n i cv o t i n g ，e l e c t r o n i ca u c t i o ne t c c o m b i n e dw i t hs o m eo t h e rd i g i t a l s i g n a t u r es c h e m e s ，i nt h i sp a p e r s o m ep r o x ys i g n a t u r es c h e m e sa r es t u d i e d t h em a i nc o n t r i b u t i o n sa r ea s f o l l o w s ( 1 ) t h r o u g ht h ec r y p t a n a l y s i so fd a ie ta 1 sd e s i g n a t e d - r e c e i v e rp r o x y s i g n a t u r es c h e m ea n dx u ee ta 1 st h r e s h o l dp r o x ys i g n a t u r es c h e m eu s i n g s e l f - c e r t i f i e dp u b l i ck e y s ，i tw a sf o u n dt h a tt h e s es c h e m e sw e r eb o t hi n s e c u r e a g a i n s tt h ef o r g e r ya t t a c k t oe li m i n a t et h ew e a k n e s so ft w os c h e m e s ， i m p r o v e ds c h e m e sw h i c hs a t i s f yt h er e q u i r e ds e c u r ep r o p e r t i e so ft h ep r o x y s i g n a t u r ea r ep r o p o s e d ，r e s p e c t i v e l y ( 2 ) af i r s tc l a s so fb l i n dp r o x ym u l t i s i g n a t u r es c h e m ea n das e c o n d c l a s so fb l i n dp r o x ym u l t i s i g n a t u r es c h e m eo nt h ec o m b i n a t i o no fp r o x y m u l t i 。s i g n a t u r ea n db l i n ds i g n a t u r ew e r ep r o p o s e d b yk a n ge ta 1 h o w e v e r , i t i sf o u n dt h a tt h ef i r s tc l a s so fb l i n dp r o x ym u l t i - s i g n a t u r es c h e m es u f f e r sw i t h m e s s a g eo w n e r sf o r g e r ya t t a c k ，o r i g i n a ls i g n e r sf o r g e r ya a a c ka n dp r o x y s i g n e r si n s i d ef o r g e r ya t t a c k b a s e do nt h ea n a l y s i so ff o r g e r ya t t a c k s ，a n i m p r o v e m e n tt om e n dt h es e c u r i t yl e a k sw a sp r o p o s e d ，w h i c ho v e r c a m et h e d i s a d v a n t a g e s a n dr e t a i n e dt h em e r i t so ft h e o r i g i n a l b l i n d p r o x y m u l t i s i g n a t u r es c h e m e ( 3 ) b a s e do nt h ee l l i p t i cc u r v e ，an e wm u l t i p r o x ym u l t i s i g n a t u r e s c h e m ei s p r o p o s e d f u r t h e r m o r e ，w ea l s oa n a l y z e dt h en e ws c h e m e s s e c u r i t yp r o b l e m i nt h i ss c h e m e ，a no r i g i n a lg r o u po fs i g n e r sc a na u t h o r i z ea g r o u po fp r o x ys i g n e r su n d e rt h ea g r e e m e n to fa l ls i n g e r s ，a n do n l ya ll s i n g e r si np r o x yg r o u pc a ng e n e r a t em u l t i p r o x ym u l t i - - s i g n a t u r e si n s t e a do f t h eo r i g i n a lg r o u po f s i g n e r s i i ( 4 ) b a s e do nt h et w o p a r t ys c h n o r rs i g n a t u r e ，an e wd e s i g n a t e d v e r i f i e r p r o x yb l i n ds i g n a t u r es c h e m ei sp r o p o s e d i nt h i ss c h e m e ，o n l yt h er e c i p i e n t c a nr e c o v e rt h em e s s a g ea n dv e r i f yt h es i g n a t u r e t h r o u g hp e r f o r m i n ga z e r o 。k n o w l e d g ep r o t o c o l ，t h er e c i p i e n tc a np r o v ev a l i d i t yo fs i g n a t u r et oa t h i r dp a r t y ( 5 ) i nt h i sp a p e r w eg i v eaf o r m a ld e f i n i t i o no f p r o x ym u l t i s i g n c r y p t i o n s c h e m ea n dp r o p o s et h ei d b a s e dp r o x ym u l t i s i g n c r y p t i o ns c h e m e f i n a l l y , w ep r o v en e ws i g n a c r y p t i o ns c h e m eh a v i n gh i g hs e c u r i t y k e yw o r d s ： m u l t i - s i g n a t u r e ，p r o x yb l i n d d i g i t a l s i g n a t u r e ，p r o x y s i g n a t u r e ，p r o x y s i g n a t u r e ，p r o x ys i g n c r y p t i o n i i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特n g i 以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：! 矽圣墨i 塑曰期： 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：；影弘! 绨师签名作者签名：! 弘! 羚师签名 日期：尘生年一j f ，。i - 一l , 色, , f 。! 硕士学位论文第一章绪论 1 1 研究背景 第一章绪论 随着信息技术的发展和网络应用的日益普及，人们之间的信息交流呈现出国际 化、网络化、数字化的趋势。如何保证信息的安全，已成为全世界研究的重点。网 络安全应当满足以下性质：信息保密性、信息完整性、不可抵赖性、系统可控性等 等。数字签名技术是网络安全的重要手段之一，它可以保证信息的完整性、鉴别发 送者身份真实性、不可抵赖性和保密性口，。 在现实生活中，人们常常将自己的签名权力( 印签) 委托给可信的代理人，让 代理人代表他们在文件上签名( 盖章) 。例如，一个公司的经理在外度假期间，需要 让他的秘书代替他处理公司的业务，包括以公司的名义在一些文件上签名。为此， 这个经理可以将公司的公章交给秘书，让秘书能够代表公司在文件上盖章。可以看 出，这种委托签名权力的方法有一个特点，即公司的客户不因签名人的变更而受到 影响。无论盖章人是经理还是秘书，客户得到的印签是相同的。因此，在盖章人发 生变化时，一方面客户不需要改变他检验印签的方法，另一方面，公司也不需要花 费时间和金钱去通知每个客户。 在数字化的信息社会里，数字签名代替了传统的手写签名和印签 3 5 1 。在使用数 字签名的过程中，人们仍然会遇到需要将签名权力委托给他人的情况。下面我们先 来举几个例子。 1 、某个公司的经理在某一段时间内，由于健康或其它原因而不能行使数字签名 权，那么，该经理不得不委托他的秘书代表他在这段时间内行使他的数字签名权。 2 、某一软件公司为了向客户证实它出品的程序的可靠性，需要以公司的名义对 所有这些程序进行数字签名。由于程序太多，公司经理无法亲自检测每个程序，并在 这些程序上签名。一个比较实际的做法是：公司经理将代表公司生成数字签名的权 力委托给每个程序员，让他们各自以公司的名义为他们创作的程序生成数字签名。 3 、某一银行总行授予所属支行签发电子货币的权力，让他们以总行的名义签发 电子货币，但又不让他们获得总行的签发密钥，以免其滥发行电子货币。 从以上例子可以看出，数字签名权力的委托是数字化的信息社会必然遇到的一 种现象。 普通的数字签名体制不能解决以上问题。如何设计一种新的特殊的数字签名体 制以安全、可行、有效的方法实现数字签名权力的委托，是人们需要进行认真研究 和解决的一个重要问题。这就是代理签名产生的现实背景。 本课题基于国家自然科学基金项目( 编号：6 0 7 7 3 0 1 3 ) 和湖南省自然科学基金 项目( 编号：0 7 j j y s 0 7 8 ) 两个科研项目。 硕士学位论文第一章绪论 1 2 代理签名的研究现状 1 9 9 6 年，m a m b o 、u s u d a 和o k a m o t o 等提出代理签名的概念p7 1 ，给出了解决数 字签名权力的委托问题的一种方法。由于代理签名在移动通信、移动代理、电子商 务、电子选举、电子拍卖等实际应用中起着重要作用，所以一提出便受到广泛关注， 国内外学者对其进行了深入的探讨与研究。除了基本的代理签名，国内外的学者又 对代理签名的多种扩展形式进行了研究嗍，比如门限代理签名【9 圳1 ，盲代理签名【l l 】， 前向安全的代理签名，一次代理签名【12 1 ，代理多重签名【1 3 1 8 】，多重代理签名【1 7 1 ，多 重代理多重签名f l7 j 等等。 门限代理签名方案1 9 1 0 】是指结合了代理签名和门限签名两种签名特性的签名方 案。门限签名是一种面向群体的数字签名方案，在一个具有n 个成员的群体中，一 个( t ，n ) 门限签名方案要求t 或者更多人合作才能够代表一个群体产生一个有效的 数字签名，少于t 个则不能产生任何关于签名的有效信息。结合门限签名后，降低了 代理签名人伪造的危险性( 如果要伪造，受委托的人必须联合起来一起陷害原始签 名人) ，这样使得授权更加安全，减少了原始签名人授权后为其自身带来的风险。 代理多重签名是指一个代理签名人可以同时代替好几个原始签名人进行签名。 他可以被应用在下面的场合：一个公司要发布一个文件，涉及到财务部门，技术部 门，办公室等等机构，这个文件必须由这些个机构同时签名，或者出一个它们共同 授权的代理签名人进行签名。对于后一种情况，一个解决办法就是使用代理多重签 名。继y i 等【l4 j 提出第一个具体的代理多重签名体制后，许多新的代理多重签名体制 及改进方案相继被提出1 1 5 1 8 j 。 多重代理签名是一种特殊的门限代理签名。多重代理签名的概念首先由h w a n g 等人提出。在一个多重代理签名体制中，一个原始签名人能够授权一个代理群作为 他的代理签名人，只有这个代理群中的所有人合作才能代替原始签名人产生代理签 名。例如，一个总经理可以授权多个部门经理集体代表他行使部分文件的签名权， 只有这些个部门经理一起协作才能产生有效的代理签名。到目前为止，不少多重代 理签名体制已被提出。 盲代理签名是结合了代理签名和盲签名两种类型签名特征的签名方案。盲签名 的概念最早由dc h a u m 于1 9 8 2 年引进【1 蚍0 1 ；在一个盲签名中，接收者b o b 在不让 签名者a l i c e 知道所签内容的情况下而获得签名者a l i c e 的一个盲签名，不可追踪性 和无关联性是盲签名的两大特征。因此它广泛的应用于电子现金和电子选举等领域。 一个盲代理签名方案允许代理签名者代替原始签名者产生一个盲代理签名，该方案 可用在某些特殊场合。 前向安全的代理签名是结合了代理签名和前向安全两种类型签名特征的签名方 案。1 9 9 7 年，r a n d e r s o n 首次提出了前向安全的概念【2 1 1 。前向安全就是把整个有效 2 硕士学位论文第一章绪论 时间分成若干个周期，在每个周期内使用不同的签名密钥产生签名，而验证签名的 公钥在整个有效时间内都保持不变。即使当前周期的签名密钥被泄露，也并不影响 此周期前签名的有效性2 2 1 。从而大大的减少了由于签名密钥泄露而对系统带来的影 响。2 0 0 5 年，王晓明等提出了一种安全的前向代理签名方案】。 代理签名的研究还有其他方面，这里不再一一列举。 1 3 代理签名的概念、分类及其性质 1 3 1 代理签名的概念 1 9 9 6 年，m a m b o u s u d u 和o k a m o t o 首先提出了代理数字签名的概念【6 j 。解决了 数字签名权力委托问题。利用代理数字签名方案，原始代理签名人将其数字签名权 力委托给代理签名人，然后，代理签名人根据原始签名人的意愿代表原始签名人生 成的数字签名，称为代理数字签名【7 j 。 定义1 1 设a ，b 是某个数字签名体带l j ( m ，s ，k ，s i g ，v e r ) 的两个用户，他们 的公私钥对分别为( y a ，一) 和( ，x b ) ，若满足以下条件： ( 1 ) a 利用他的私钥x 。计算出一个委托承诺盯，并将仃发送给b ； ( 2 ) 任何人( 包括b 在内) 根据仃都不能计算出a 的私钥x 。； ( 3 ) b 可以利用仃和x 。计算出一个新的签名密钥x p ： ( 4 ) 存在一个公开的验证算法v e r ( ) ，使得任何m m 和s s ，都有 v e r ( 掰，s ，y a ，y s ) - - t r u e 其中s 2 s i g ( m ，即) ； ( 5 ) 根据仃、s 、儿和，任何人都无法得到、和昂中的任何一个，或 者无法产生一个满足验证等式的有效签名。 则称a 为原始签名人，b 为代理签名人，砩为代理签名密钥。b 用代理签名密 钥x ，对消息m 产生的数字签名s = s i g ( m ，z ，) 即为代理签名人b 根据原始签名人a 的 意愿产生的代理数字签名。 定义1 2 能够产生代理数字签名的数字签名体制称为代理数字签名体制。 一个代理数字签名体制p = ( e ，麒，粥，p y ) 一般由以下四个算法构成： ( 1 ) 系统参数生成算法足：该算法的输入是1 ，其中k 为安全参数；输出为系 统所需的参数，比如：原始签名人a 和代理签名人的公私钥对( y a ，) 和( ，x b ) ， 以及h a s h 函数值等。只是一个概率算法，其安全性依赖于安全参数k 。 ( 2 ) 代理密钥生成算法以：该算法的输入为原始签名人和代理签名人的私钥 信息，以及一些系统参数；输出为代理密钥岛。 ( 3 ) 代理数字签名生成算法船：输入给定消息m 和代理密钥x p ；输出代理签 名s 。 ( 4 ) 代理签名验证算法p y ：输入被签消息m 、代理签名s ，以及验证公钥y 。、 硕士学位论文第一章绪论 ，输出为0 或者l 。该算法是一个确定性算法。 1 3 2 代理签名的分类 到目前为止，国内外学者还没有对代理签名给出系统的分类。l e e 、k i m 和k i m 根据不可否认性质把代理签名分为强代理签名和弱代理签名。强代理签名代表原始 签名者和代理签名者的签名，而弱代理签名仅代表原始签名者的签名。根据是否指 定代理签名者把代理签名分为指定代理签名和非指定代理签名。他们也考虑了自代 理签名：原始签名者为他自己产生一个代理密钥对，即原始签名者和代理签名者是 同一方叫1 。 m a m b o 、u s u d a 和o k a m o t o 把代理签名分为三大类：完全代理签名、部分代理 签名和带委任状的代理签名。 ( 1 ) 完全代理签名 在完全代理签名中，原始签名者直接把自己的签名密钥通过安全信道发送给代 理签名者，他们能产生相同的签名。完全代理签名的优点是简单、方便、容易实现， 缺点是原始签名人向代理签名人暴露了他的秘密密钥，使代理签名人可以在任何文 件上代表原始签名人生成数字签名，而且他生成的代理签名与原始签名人的普通数 字签名没有任何区别，因而原始签名人和代理签名人可以对他们生成的签名互相抵 赖，所以不能制止可能的签名滥用。完全代理签名也不具有可识别性和不可否认性。 在很多情况下，原始签名者过后不得不修改他的签名密钥。因此这种签名不适用于 商业应用。 ( 2 ) 部分代理签名 在部分代理签名方案中，原始签名人使用自己的私钥，产生一个签名密钥s ， 并把s 通过安全信道传送给代理签名人，这时，代理签名人的代理签名和原始签名人 的签名是可区分的，出于安全考虑，要求从代理签名密钥s 不能求出原始签名人的私 钥。使用这种方法有两种类型的方案： 夺代理非保护代理签名：除了原始签名者，指定的代理签名者能够代替原始签名者 产生有效代理签名。但是，没有指定为代理签名者的第三方不能产生有效代理签 名。这时，代理签名密钥就是j 。 令代理保护代理签名：只有指定的代理签名者能够代替原始签名者产生有效代理签 名。但是，原始签名者和第三方都不能产生有效代理签名。这时，代理签名密钥 是由s 和代理签名人的私钥x 。两部分组成。 在部分代理签名中，代理签名者以s 为签名密钥按普通的签名方案产生代理签 名，可以使用修改的验证方程来验证代理签名的有效性。因为在验证方程中有原始 签名者的公钥，所以验证者能够确信代理签名是经原始签名者授权的。人们根据不 同的需要提出了各种各样的部分代理签名。例如，门限代理签名、不可否认代理签 4 硕士学位论文 第一章绪论 名、多重代理签名、具有接收者的代理签名、具有时戳的代理签名和具有证书的部 分代理签名，极大地丰富和发展了部分代理签名。 部分代理签名具有可区分性等性质。但在一些部分代理签名中，原始签名者也 能产生代理签名，这对代理签名者来说是不公平的。这涉及不可否认问题，不可否 认性是指原始签名者和代理签名者不能欺诈性地否认他产生的签名。在实践中，不 可否认性是非常重要的。例如，当签名滥用发生争议时，权威机构必须确定谁是代 理签名的真正签名者。因此，具有不可否认性的部分代理签名是商业应用的理想选 择。 ( 3 ) 带委任状的代理签名 在这种类型的代理签名体制中，使用一个称为委任状的文件来实现数字签名权 利的委托。这种类型的代理签名体制又可进一步分为两种子类型： 代表委托型：在这种类型中，委任状由一条声明原始签名人将数字签名权力委托 给代理签名人的消息和原始签名人对代理签名人的公开密钥生成的普通数字签 名组成，或者委任状仅仅由一条可以证明原始签名人同意将数字签名权力委托给 代理鉴名人的消息构成。代理签名人在得到委任状后，用他自己的在一个普通数 字签名体制中的秘密密钥对一个文件生成数字签名。一个有效的代理签名由代理 签名人生成的这个数字签名和原始签名人交给他的委任状组成。 载体委托型：在这种类型中，原始签名人首先生成一对新的秘密密钥和公开密钥。 委任状由一条声明原始签名人将数字签名权力委托给代理签名人的消息和原始 签名人对新公钥生成的普通数字签名组成。原始签名人将新的秘密密钥秘密地交 给代理签名人，将委任状交给代理签名人。代理签名人在收到委任状和新秘密密 钥后，用新秘密密钥生成普通的数字签名，这个数字签名与委任状一起就构成了 一个有效的代理签名。 以上各种类型的代理签名体制，各有其优点和不足。目前，国内外学者对代理 签名的研究主要集中在部分代理签名和带委任状的代理签名，并且两者往往是交叉 的。因此，部分代理签名和带委任状的代理签名之间并没有严格的界限。总之，部 分代理签名和带委任状的代理签名比完全代理签名更安全。部分代理签名与带委任 状的代理签名相比具有较高的处理速度。而带委任状的代理签名可以毫无修改地使 用普通签名方案来执行签名，并且可以适当地限制所要签的文件，例如，委任状可 以表明授权的有效期，但是，部分代理签名一般不具有这个性质。为了解决这个问 题，部分代理签名要求一个附加的代理撤销协议，通过此协议原始签名者可以撤销 代理签名者的签名能力或已经产生的代理签名。带委任状的部分代理签名具有部分 代理签名和带委任状的代理签名的双方的优点。一般说来，带委任状的部分代理签 名提供了可接受的执行效率和合理的授权规则，例如，代理签名的有效期，原始签 名者的身份，代理签名者的身份等信息嘲。 硕士学位论文第一章绪论 1 3 3 代理签名的性质 m a m b o 、u s u d a 和o k a m o t o 三位学者指出代理签名方案应满足以下性质： ( 1 ) 可验证。 生( v e r i f i a b i l i t y ) ：验证人能从代理签名方案中确信它是由原始签名 人委托的代理签名。 ( 2 ) 可识别性( i d e n t i f i a b i l i t y ) ：原始签名者能够从代理签名中确定代理签名者的 身份。 ( 3 ) 不可否认性( n o n d e n i a b i l i t y ) ：一旦代理签名这代替原始签名者产生了有效 的代理签名，他就不能向原始签名者否认他所签的有效代理签名。 ( 4 ) 可区分性( d i s t i n g u i s h a b i l i t y ) ：原始签名者能够从代理签名中确定代理签名 者的身份。 ( 5 ) 不可伪造性( n o n f o r g e a b i l i t y ) ：除了原始签名者，只有指定的代理签名者能 够代表原是签名者产生有效代理签名。 为了体现对原始签名者和代理签名者的公平性，l e e 、k i m 和k i m 三位学者对其 中的一些性质给出了更合理的定义【2 4 】： ( 1 ) 可验证性( v e r i f i a b i l i t y ) ：从代理签名中，验证者通过自认证或交互形式能 够相信原始签名者认同了这份签名消息； ( 2 ) 强不可伪造性( s t r o n gu n f o r g e a b i l i t y ) ：只有指定的代理签名者能够产生有 效代理签名，原始签名者和没有被指定为代理签名者的第三方都不能产生有效代理 签名； ( 3 ) 强可识别性( s t r o n gi d e n t i f i a b i l i t y ) ：任何人都能够从代理签名中确定代理 签名者的身份； ( 4 ) 强不可否认性( s t r o n gu n d e n i a b i l i t y ) ：一旦代理签名者代替原始签名者产 生了有效的代理签名，他就不能向任何人否认他所签的有效代理签名； ( 5 ) 防止滥用( p r e v e n t i o no fm i s u e ) ：应该确保代理密钥对不能被用于其它目 的。为了防止滥用，代理签名者的责任应当被具体确定。 在l e e 、k i m 和k i m 三位学者的工作之后，代理签名的不可伪造性、不可否认 性和可识别性均指强不可伪造性、强不可否认性和强可识别性。 1 4 本文研究内容 本文主要研究目的是为了构造出更为高效、安全的代理签名体制，从而更适用 于电子商务、公共资源的管理、重要军事命令的签发、投票选举、金融合同。 本文的主要研究成果如下： ( 1 ) 对d a i 等人的指定接收人的代理签名方案口6 1 和x u e 等人的采用自我认证公 钥的门限代理签名方案鲫进行了密码分析，发现它们是不安全的，都不能抵抗伪造 6 硕_ 上学位论文 第一章绪论 攻击。针对这两个方案的缺陷，对其进行了改进，改进后的方案满足代理签名的安 全性要求。 ( 2 ) k a n g 等在2 0 0 7 年提出了一类盲代理多重签名方案【2 引，通过分析发现其存 在代理签名人可以滥用代理权、代理签名可伪造、代理签名可否认等安全缺陷，提 出了一种改进的盲代理多重签名方案，随后分析了新方案的安全性。 ( 3 ) 本文结合椭圆曲线密码体制算法的特性以及多重代理多重签名的特点，设 计了基于椭圆曲线的多重代理多重签名体制。本文提出的多重代理多重签名体制与 其他一些安全性建立在求解大整数因子分解的困难性或求解离散对数问题的困难性 之上的代理数字签名体制相比，具有安全性更高，存储空间占用小，计算量小和处 理速度快，带宽要求低等优点。同时，椭圆曲线资源丰富，在同一个有限域上存在 着大量不同的椭圆曲线，这就为该体制的安全性增加了额外的保证，也为软、硬件 的实现带来了方便。 ( 4 ) 基于t w o p a r t ys c h n o r r 签名方案，提出了一种指定接收人的代理盲签名方 案。在代理授权的过程中，原始签名人和代理签名人通过t w o p a r t ys c h n o r r 签名方案 产生用于代理签名的密钥；在代理签名过程中，签名请求者先用r s a 算法加密消息， 然后使用指定接收人的签名方案获得相应的代理盲签名。方案中，只有指定接收者 才可以恢复消息、验证签名的合法性，通过执行交互的零知识证明，指定接收人可 以向第三方证实签名的有效性。安全性分析表明该方案不仅满足代理盲签名方案的 基本安全要求，而且间接地起到了对代理签名人的代理签名的监督，防止了代理签 名人滥用他们的代理签名权。同时，方案更为高效。 ( 5 ) 定义了代理多重签密的形式化模型，然后提出一种新的基于身份的代理多 重签密体制，并分析了它的安全性，分析结果表明这个新的代理多重签密体制能满 足代理多重签密的所有安全性要求。 1 5 论文的组织结构 本文共分为7 章，具体组织如下： 第一章阐述了数字签名在信息安全中的重要地位，概述了代理签名的背景和国 内外有关代理签名的主要研究方向，着重介绍了代理签名的定义、分类、安全性要 求和研究现状。最后给出了本文研究的基本内容。 第二章介绍了相关的密码学知识，并给出了几个典型的代理签名方案：m u o 代理签名方案，l j 代理盲签名方案，y b x 代理多重签名方案和g l z 代理签密方 案。 第三章中，对戴等人的指定接收人的代理签名方案、x u e 等人的采用自我认证 公钥的门限代理签名方案和k a n g 等的盲代理多重签名方案进行了密码分析，发现它 们是不安全的，都不能抵抗伪造攻击。针对这三个方案的缺陷，对其进行了改进， 7 硕士学位论文第一章绪论 改进后的方案满足代理签名的安全性要求。 第四章首先介绍了椭圆曲线密码体制相关知识，然后提出了一种基于椭圆曲线 的多重代理多重签名方案。 第五章首先介绍了指定接收人签名及其发展现状，然后基于t w o p a r t ys c h n o r r 签名方案，提出了种指定接收人代理盲签名方案。 第六章首先介绍了代理多重签密的形式化模型和代理多重签密的安全性要求， 然后提出了一种基于身份的代理多重签密体制。 第七章是对本文的总结和展望。 8 硕士学位论文第二章预备知识 2 1 相关密码学知识 2 1 1 公钥密码体制 第二章预备知识 1 9 9 7 年r i v e t 、s h a m i r 、a d e l m a n 等人推出了第一个公钥密码体制r s a ，随后又 出现了d s a ( d a t as i g n a t u r ea l g o r i t h m ) 和e c c ( e l l i p t i cc u r v ec r y p t o g r a p h y ) 等公 钥密码体制。公钥密码体制与对称加密体制相比，密钥的管理和分发更加简单，并 可以实现数字签名，这就使得公钥密码体制得到迅速发展。 r s a 体制是第一个公钥密码体制，自诞生之日起，就成为被广泛接受且实现的 通用公钥加密方法。它的安全性基于大整数因子分解难题，而大整数因子分解难题 至今没有有效的方法予以解决，因此可以确保r s a 算法的安全性。 r s a 算法的基本过程描述如下： l 、系统参数： 适当选择n = p q ，( p ，q 均为大素数) ，p d = l m o d # ( n ) ，公布n 、e ，秘密保 存d ，参数n 、e 用于加密和验证签名，参数n 、d 用于解密和产生签名。 2 、签名算法( 对消息m 进行签名) ： 签名过程：签名者计算s i g ( m ) = m dm o d n ，输出：( m ，s i g ( m ) ) 。 验证过程：验证者计算m = ( 阮( 埘) ) 8m o d n 。如果m 。= 聊，则接受签名，否则拒绝 签名。 显然( s i g ( m ) ) 。= 肌出= 聊m o d n ，所以m = 肌。 3 、加密算法( 对消息m 进行加密) ： 加密过程：加密者计算e ( 聊) = 聊。m o d n ，输出：e ( 朋) 。 解密过程：解密者计算m = ( e ( 小) ) dm o d n ，得到m = 聊。 因为( e ( 优) ) d = 所鲥= i nm o d n ，所以m = 肌成立。 4 、r s a 的攻击方式： 穷举攻击：这种攻击方法试图穷举所有可能的私钥。 数学攻击：有很多种数学攻击方法，它们的实质都是试图分解两个素数的乘积。 计时攻击：这类攻击依赖于解密算法的运行时间。 像其他的密码体制一样，r s a 抗穷举攻击的方法也是使用大密钥空间，所以e 和 d 的位数越大越好，但是密钥产生过程和a n 解密过程都包括复杂的计算，因此密钥 越大，系统运行速度越慢，对进行大量安全交易的电子商务更是如此，从而使得其 应用范围越来越受到制约【2 9 1 。 9 硕士学位论文 第二章预备知识 2 1 2 哈希函数和随机预言机模型 哈希函数在密码学中扮演着极其重要的角色。密码学中的哈希函数可用于保障 数据的完整性。哈希函数通常用来构造数据的短“指纹 ，一旦数据发生细微的变化， 该“指纹 会发生彻底的改变。因而，可以用来检测数据的完整性。在签名体制中， 原始长消息经过哈希函数的处理可以生成为固定长度的消息摘要，这样一方面可以 提高速度；另一方面是可以破坏了用于攻击的代数结构。哈希函数可以分带密钥的 哈希函数和不带密钥的哈希函数。 定义2 1 ( h a s h ) - 一个哈希函数族是满足下列条件的四元组( x ，y ，k ，h ) ： 1 x 是所有消息的集合。 2 y 是所有的消息摘要组成的有限集。 3 k 是所有密钥组成的有限空间。 4 对于每个k k ，存在一个哈希函数4 , h ，h 。：x 专y 。 不带密钥的哈希函数族可以看成是l 足i = l 的带密钥哈希函数族的一个特例。密 码哈希函数与计算机其他领域的哈希函数类似，都是将一个较大域的值映到一个较 小值域的函数( 将任意长度的比特串压缩到某一固定长度的比特串的函数) 。下面我 们将对密码哈希函数所必须满足的一些性质进行讨论。从此以后，如果没有特殊声 明，下文将不加区分地把哈希函数看作密码哈希函数。 下面我们列举一些哈希函数的一些性质： 1 散列性：对于任意的输入x ，输出的哈希值日( x ) 应当和区间 o ，2 ”】中均匀分 布的二进制串多项式时间是不可区分的。其中n 是哈希函数的输出长度。 2 抗强碰撞性：找两个输a x 和y ，且x y ，使得h ( x ) = h ( y ) ，在计算上 是不可行的。 3 抗弱碰撞性：给定x ，找到y ，且y x ，使得日( x ) = h ( y ) ，在计算上是 不可行的。 4 单向性：已知一个哈希值w ，找一个输入串x ，使得日( x ) = w ，在计算上是 不可行的。 5 有效性：给定一个输入串x ，日( x ) 的计算可以在关于x 的长度规模的低阶多 项式( 理想情况是线性的) 时间内完成。 在密码学中，很多密码体制都要用到哈希函数h ( 比如m d 5 t 3 们，或者美国标准 s h a 1 ，s h a 一2 5 6 ，s h a 3 8 4 ，s h a 5 1 2 ) 。正如上面所述，使用哈希函数的最初目标 在于缩短签名消息的长度，同时取得完整性与非抵赖性。后来，随着密码学的不断 向前发展，许多密码学家意识到哈希函数在密码体制的安全性中同样扮演着非常重 要的角色。为了进行很好的安全性讨论，同时保持设计的有效性，哈希函数在使用 的时候被假设为一个随机函数。最初，f i a t 和s h a m i r 运用这种思想证明了签名方案 1 0 硕士学位论文第二章预备知识 等价于大整数分解问题。之后，b e l l a r e 和r o g a w a y 正规化了这种思想，抽象出了随 机预言机模型。 随机预言机模型在构建可证安全密码体制时，主要思想在于哈希函数首先被考 虑为随机函数随机预言机。在体制开始设计的时候，系统中的各个角色共享随 机预言机完成操作。当体制设计完成之后，再用实际的哈希函数将此随机预言机替 换掉。 定义2 2 ( 随机预言机) ：哈希函数日： 0 ，l + 专 0 ，1 ”，如果满足一下性质： 1 均匀性：预言机的输出在 o ，1 ) ”上均匀分布； 2 确定性：对于相同的输入，预言机日的输出值必定是相同的； 3 有效性：给定一个输入串x ，h ( x ) 的计算可以在关于x 的长度规模的低阶多 项式( 理想情况是线性) 时间内完成。 其称为随机预言机。 定义2 3 ( 随机预言机模型) ：在证明密码体制的安全性时，如果利用随机预言 机的上述性质，那么这样的证明模型称为随机预言机模型3 1 l 。 实际上，随机预言机的确定性和均匀输出特性意味着随机预言机输出的熵大于 其输入的熵。但是根据香农的熵的理论，一个确定函数决不可能“放大 熵，因此， 实际环境中随机预言机是不存在的。 最初的时候，人们认为一个在随机预言模型下被证明安全的密码系统( 包括协 议) ，自身结构上是没有任何缺点或漏洞的，攻击者只有通过寻找哈希函数的漏洞才 能找到该密码系统的漏洞，进行攻击。然而，最近c a n e t t i 等人发现这个观点还不一 定正确，因为存在一个在随机预言模型下可证安全的密码系统，当用任何一个真正 哈希函数实现时，却是完全不安全的。由于c a n e t t i 等人的系统纯属人工构造，所以 很多人认为一个在随机预言模型下可证安全的密码系统总比没有安全性证明的系统 来得更有说服力。而且一些随机预言模型下可证安全的密码系统已经得到广泛的接 受，甚至已成为标准。 2 1 3 数字签名概念 数字签名一般包括三个过程：系统的初始化过程，签名过程，验证过程。初始 化过程中要产生方案中用到的参数。签名过程是要利用给定的算法对消息m 产生签 名s i g ( m ) 。这种签名过程可以公开也可以不公开。签名验证过程中验证者要利用公开 的验证方法对给定的消息的签名进行验证，得出签名的有效性。 以下是形式化定义： 系统的初始化：基本参数有m 一消息集合，s 一签名集合，k - 密钥集合，s i g 一签名 算法集合，v e r - 验证算法集合。 签名产生与验证过程：对于任意k k ，有签名算法s i g k s i g ，且有对应的验证 1 1 硕士学位论文 第二章预备知识 算法v e r k v e r ，对每一个s i g k ：m _ s ，v e r k ：m s 一( 真，假) ，满足条件：任意x m ， y s ，签名为s i g ( x ) ，验证为： r 真，