（计算机应用技术专业论文）代理签名方案的研究.pdf

摘要 数字签名是密码学的重要组成部分之一，它可以保证信息的完整性、真实性 和不可否认性。针对不同的应用背景，产生了各种特殊的数字签名，使得数字签 名的应用更加深入和广泛 本文的主要内容是代理签名方案的研究。代理签名作为一种新型的数字签名 方案，首先是由m a m b o 等人在1 9 9 6 年提出。当原始签名人由于某种不可避免的 原因不能执行签名时，他可以将其数字签名的权力委托给代理签名人，让代理人 代替他行使签名权。代理签名在移动通信、移动代理、电子商务、电子选举、电 子拍卖等方面都有着重要的应用。 围绕着代理签名的安全性和效率问题以及其密钥泄漏问题，本文所做的工作 主要有： 1 提出了一个基于双线性配对的代理签名方案，并证明其是可证安全的，还证 明了其比z h a n g 等人的方案有更高的效率。 2 带证书恢复的代理签名可以降低代理签名的通信量，提高效率本文对 a w a s t h i l a l 提出的带证书恢复的代理签名方案进行了安全性分析，指出其不 具备不可否认性，并对其进行了改进，提出了两个新的方案，并分别证明了 两个方案的安全性。 3 为了解决密钥泄漏问题，提出了前向安全代理签名方案。方案采用密钥不断 更新的方法，保证了代理签名方案的前向安全性，即当代理签名者的代理密 钥泄漏后，攻击者不能伪造当前时段以前的代理签名，从而很大程度地减小 了密钥泄漏所带来的损失。 关键词：数字签名，代理签名，双线性配对，证书恢复，前向安全 a b s t r a c t d i g i t a ls i g n a t u r e s ，o n eo ft h em o s ti m p o r t a n tc o m p o n e n t so fc r y p t o g r a p h y , 啪 p r o t e c tt h ei n t e g r i t y , a u t h e n t i c i t ya n du n d e n i a b i l i t yo fi n f o r m a t i o n b a s eo nd i f f e r e n t a p p l i c a t i o n s ，a l lk i n d so fs p e c i a ld i g i t a ls i g n a t u r e sa r cu s e dw i d e l ya n dd e e p l yi n p r a c t i c e t h em a i nc o n t e n to ft h i sp a p e ri st h er e s e a r c ho fp r o x ys i g n a t u r es c h e m e a sa k i n do fn e w d i g i t a ls i g n a t u r es c h e m e s , p r o x ys i g n a t u r ei sf i r s tp r o p o s e db ym a m b o e t a 1 i n1 9 9 6 i na p r o x ys i g n a t u r es c h e m e a no r i g i m ls i g n e ri sa l l o w e dt od e l e g a t eh i s s i g n i n gp o w e rt oad e s i g n e dp a s o no rg r o u p w h oi sc a l l e dt h ep r o x ys i g n e ra n dc a n s i g nm e s s a g e so nb e h a l f o f t h eo r i g i n a ls i g n e r p r o x ys i g n a t u r ep l a y s 锄i m p o r t a n tr o l e i nt o m ea p p l i c a t i o n ss u c ha sm o b i l ec o m m u n i c a t i o n , m o b i l ea g e n t s ，e l e c t r o n i c c o m m c l g e , e l e c t r o n i cv o t i n g ，e l e c t r o n i ca u c t i o ne t c m y c o n t r i b u t i o n sa r e ： 1 ap r o x ys i g n a t u r es c h e m ef r o mb i l i n e a rp a i r i n g si sp r o p o s e di nt h i sp a p e r w e p r o v e i ti ss e c u r ea n dal i t t l em o r ee f f i c i e n tt h a nz h a n ge ta 1 ss c h e m e 2 t h ep r o x ys i g n a t u r es c h e m eo fw a r r a n tr e c o v e r yc 妣r e d u c et h ec o m m u n i c a t i o n s a n di n c r e a s et h ee f f i c i e n c y t h i sp a p e rp o i n t so u tt h a tt h ep r o x ys i g n a t u r es c h e m e o fw a r r a n tr e c o v e r yp r o p o s e db ya w a a t h ia n dl a li sn o ts e c u r ew h i c hd o e s n t e n s u r et h ep r o p e r t yo fu n d e n i a b i l i t ya n dg i v e st w oi m p r o v e ds c h e m e s a n dt h e n , t h es e c u r i t yo f t h et w oi m p r o v e ds c h e m e si sp r o v e d 3 p r o p o s e saf o r w a r d - s e c u r ep r o x ys i g n a t u r es c h e m ei no r d e rt od e a lw i t l lt h ek e y e x p o s u r ep r o b l e ma n dp r o v eo u rs c h e m ei sf o r w a r ds e c u r eb yu p d a t i n gs e c r e tk e y f r e q u e n t l y w h e nt h ep r o x ys i g n a t u r es e c r e tk e y i ss t o l e n , t h ea t t a c k e rc a n n o tf o r g e t h ef o r m e rp r o x ys i g n a t u r e a n dt h e nw ec a nr e d u c et h el o s s ，w h i c hc a u s e db yt h e k e ye x p o s u r et oag r e a te x t e n t k e y w o r d s ：d i g i t a ls i g n a t u r e ，p r o x ys i g n a t u r e , b i l i n e a rp a i r i n g s ，w a r r a n tr e c o v e r y , f o r w a r ds e c u r i t y 学位论文独创性声明： 本人所呈交的学位论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果。与我一同工 作的同事对本研究所做的任何贡献均已在论文中作了明确的说明并 表示了谢意。如不实，本人负全部责任 论文作者( 签名) ；圣鱼鱼2 0 0 7 年3 月2 8e t 学位论文使用授权说明： 河海大学、中国科学技术信息研究所、国家图书馆、中国学术 期刊( 光盘版) 电子杂志社有权保留本人所送交学位论文的复印件或 电子文档，可以采用影印、缩印或其他复制手段保存论文本人电子 文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外， 允许论文被查阅和借阅。论文全部或部分内容的公布( 包括刊登) 授权 河海大学研究生院办理。 论文作者( 签名) ：圣篮笠2 0 0 73 月2 8 日 第一章绪论 第一章绪论 计算机技术的高速发展为人类提供了高度的自动化和现代化，网络的迅 猛发展为人们提供了便捷、快速的信息交流方式，使我们人类社会迅速进入 了信息化时代。互联网的发展和壮大使得人们足不出户就可以洞晓天下人和 事，极大的方便了人们的学习、工作和生活。现在，计算机应用已经渗透到 政治、经济、军事、科学文化和家庭生活等社会的各个领域。然而，现代信 息技术也是一把双刃剑，它给人们带来方便的同时，也带来了许多麻烦。由 于信息的传递、存储、处理等过程往往是在开放的通信网络上进行的，所以 信息容易受到窃听、截取、修改、伪造、重放等各种攻击手段的威胁。因此， 与通信技术的高速发展相对应，信息安全成了信息社会急需解决的最重要的 问题之一。 信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学 等多方面知识。它的主要任务是研究计算机系统和通信网络内信息的保护方 法，以实现系统内信息的安全、保密、真实和完整。其中，信息安全的核心 是密码技术。密码技术是一门新兴的交叉学科，它涉及计算复杂度理论、算 法设计与分析理论、计算机科学和网络技术、通信技术、数论、信息论、编 码理论、图论、不定方程、组合数学、代数以及公共策略和法律等方面的知 识。密码技术除了提供信息的加解密外，还提供对信息来源的鉴别、保证信 息的完整性和不可否认性等功能，而这三种功能都是通过数字签名来完成的。 1 1 数字签名的研究背景 数字签名是以电子形式对一个消息进行签名的方法。签名的消息可以在 计算机网络中传送。在数字签名中，签名不再是传统意义上的签名，而是通 过某种特定算法将签名连接到消息上。同样，对签名的验证，也不再是把传 统签名与真实签名进行比较，而是利用公开的已知的验证算法进行验证。数 字签名必须保证以下几点：接收者能够核实发送者对报文的签名；发送者事 后不能抵赖对报文的签名；接收者不能伪造对报文的签名。 数字签名已经成为国内外研究人员的一个研究热点。数字签名已经从最 初的普通电子签名发展到了很多种具有特殊应用领域的数字签名，其中包括： 前向安全的数字签名、门限签名、群签名、盲签名、代理签名、不可否认签 名、具有消息恢复功能的签名等。 美国于1 9 9 4 年公布了基于有限域上离散对数问题的数字签名标准 河海大学硕上学位论文 ( d d s ) ，并于2 0 0 0 年通过了数字签名法案。欧洲等其他国家也正在制定自 己的数字签名标准和数字签名法案。2 0 0 4 年8 月2 8 日，十届全国人大常委会 第十一次会议表决通过了电子签名法，从此签名具有了法律效力，从而为 网络社会中的电子商务、电子政务的发展打下基础，也进一步促进了数字签 名自身的发展。 1 2 代理签名的研究背景及现状 1 2 1 代理签名的产生背景 不论是手写签名和印签，还是数字签名，它们都代表了签名人的一种权 力。我们称之为签名人签名权力( p o w e r o f s i g n i n g ) 。在手写签名中，签名权力 依赖于签名人的书写习惯和书法特征；在印签中，签名权力依赖于签名人掌 握的印章；在数字签名中，签名权力依赖于签名人的密钥。 容易看出，印签和手写签名之间有一个主要区别：生成印签的印章可以 在不同的用户之间方便地传递，只要是相同的一枚印章，则不论其使用者是 谁，都可以生成相同的印签；而生成手写签名的书法特征却是无法在不同的 用户之间传递的，不同的人生成的手写签名是不同的。 在现实生活中，人们常常根据印章的可传递性( t r a n s f e r a b i l i t y ) ，将自己的 签名权力( 印签) 委托给可信的代理人，让代理人代表他们在文件上盖章( 签名) 。 例如，一个公司的经理在外出度假期间，需要让他的秘书代替他处理公司的 业务，包括以公司的名义在一些文件上签名。为此，这个经理可以将公司的 公章交给秘书，让秘书能够代表公司在文件上盖章。可以看出，这种委托签 名权力的方法有一个特点，即公司的客户不因签名人的变更而受到影响。无 论盖章人是经理还是秘书，客户得到的印签是相同的。因此，在盖章人发生 变化时，一方面客户不需要改变他检验印签的方法，另一方面，公司也不需 要花费时间和金钱去通知每个客户。 在数字化的信息社会里，数字签名代替了传统的手写签名和印签。在使用数 字签名的过程中，人们仍然会遇到需要将签名权力委托给他人的情况。下面 我们先来举几个例子。 1 某个公司的经理在某一段时间内，由于健康或其它原因而不能行使数 字签名权，那么，该经理不得不委托他的秘书代表他在这段时间内行使他的 数字签名权。 2 某一软件公司为了向客户证实它出品的程序的可靠性，需要以公司的 名义对所有这些程序进行数字签名。由于程序太多，公司经理无法亲自检测 2 第一章绪论 每个程序，并在这些程序上签名。一个比较实际的做法是：公司经理将代表 公司生成数字签名的权力委托给每个程序员，让他们各自以公司的名义为他 们创作的程序生成数字签名。 3 某一银行总行授予所属支行签发电子货币的权力，让他们以总行的名 义签发电子货币，但又不让他们获得总行的签发密钥，以免其滥发行电子货 币。 从以上例子可以看出，数字签名权力的委托是数字化的信息社会必然遇 到的一种现象。但是，人们在将自己的数字签名权力委托给他人的时候，需 要考虑以下几个问题： 安全性( s e c 嘶t y ) ：一般来说，一个人将数字签名权力委托给代理人的时 候，希望代理人只能代表他在特定的时间、对特定的文件生成数字签名，而 不希望代理人“滥用”他的数字签名权力，并且不希望非法的攻击者能因此 伪造出有效的数字签名，等等。 可行性( p r a c t i c a b i l i t y ) ：人们希望委托数字签名权力的方法方便、有效、 容易实现。 效率( e f f i c i e n c y ) ：人们希望委托数字签名权力的方法具有较高的速度和较 小的计算复杂性、通信复杂性等等。 普通的数字签名体制不能解决以上问题。如何设计一种新的特殊的数字 签名体制以安全、可行、有效的方法实现数字签名权力的委托，是需要人们 进行认真研究和解决的一个重要问题。这就是代理签名产生的现实背景。 1 2 2 代理签名的研究现状 1 9 9 6 年，m a m b o 、u s u d a 和o k a m o t o 1 , 2 1 提出了代理签名的概念，给出 了解决数字签名权力的委托问题的一种方法。由于代理签名在移动通信、移 动代理、电子商务、电子选举、电子拍卖等实际应用中起着重要作用，所以 一提出便受到广泛关注，国内外学者对其进行了深入的探讨与研究。迄今为 止，人们已提出了多种代理签名方案 1 1 3 】。首先，m a m b o 、u s u d a 和o k 锄o t o 【1 捌 提出了完全代理签名、部分代理签名和具有授权证书的代理签名。z h a n g 3 j 提 出了具有授权证书的部分代理签名和门限代理签名。李继国、曹珍富【4 】在其基 础上给出了一个更安全的不可否认门限代理签名方案。后来，s u n 5 1 提出了具 有已知签名者的有效不可否认门限代理签名方案，具有一些较好的性质。s u n 和c h e n 6 以及s u n q 提出了具有跟踪接收者的时戳代理签名。最近，伊丽江 等【0 1 与祁明、h a m 1 l 】分别提出了一个新的代理签名方案：代理多重签名。 河海大学硕上学位论文 1 3 代理签名概念、安全性要求及其分类 1 3 1 代理签名的概念 一个被称为原始签名者的用户将他的数字签名权委托给一个被称为代理 签名者的用户，代理签名者代表原始签名者生成的数字签名，称为代理签名。 代理签名的定义如下： 定义1 - 1 设a ，b 是某个数字签名体制( m ，s ，k ，s i g ，v e r ) 的两个用户， 其中m 是消息集合，s 是签名集合，x 是密钥集合( 4 9 含公钥p k 和私钥艇) ， s l g 是签名算法集合，v e r 是签名验证算法集合。他们的私钥和公钥对分别是 ( x a ，y 。) ，( ，y 。) ，若满足以下条件： 1 a 利用他的私钥x 。计算出一个委托承诺盯，并且将盯交给b ； 2 任何人( 包括b ) 根据盯无法计算出a 的私钥x 。； 3 b 可以利用g r 和x 。，生成一个新的签名密钥x ，； 4 存在一个公开的验证算法g e g o ，使得任何s s 和m m ，都有 v e r ( m ，j ，y ，y 口) = t r u e ，其中s = $ 1 g ( m ，砷) ； 5 根据盯，s ，y a 和y 。，任何人都无法得n x 。，和x ，中的任何一个，或者 无法产生一个满足验证等式的有效签名。 那么我们就称用户a 将他的( 部分) 数字签名权利委托给了用户b ，并且称 a 为原始签名者，b 为代理签名者，称砩为代理密钥。b 用代理密钥x ，对消 息坍生成的数字签名j = $ 1 g ( m ，x ，) 即为代理签名者根据原始签名者a 的意愿 产生的代理签名。 定义1 - 2 能够生成代理签名的数字签名体制被称为代理签名体制。 一个代理签名体制p = ( 只，p k ，殿，p v ) 一般由以下四个算法组成： 1 系统参数生成算法只：该算法的输入是1 ，其中k 为安全参数；输出 为系统所需的参数，如原始签名者a 和代理签名者b 的公私钥对( j ，。，x 。) 和 ( y b ，) 、安全无碰撞h a s h 函数等。足是一个概率算法，系统的安全性依赖 于安全参数k 。 2 代理密钥生成算法p k ：该算法的输入为原始签名者和和代理签名者 的私钥信息以及一些系统参数，输出为代理密钥x ，。p k 一般也为概率算法。 3 代理签名生成算法尸s ：输入给定消息m 和代理密钥x ，输出代理签 名s = s i g ( m ，x ，) 。邢一般也为概率算法。 4 代理签名验证算法p v ：输入签名s 、消息m 、以及验证公钥j ，) ，b ， 4 第一章绪论 输出为代理签名是否合法的结果l 或0 。p v 是一个确定性算法。 1 3 2 代理签名的安全性要求 文献【1 ，2 】指出代理签名方案应满足以下六条性质： 不可伪造性( u n f o r g e a b i l i t y ) ：除了原始签名者，只有指定的代理签名者能 够代表原始签名者产生有效的代理签名。 可验证性( v e r i f i a b i l i t y ) ：从代理签名中，验证者能够相信原始签名者认同 了这份签名消息。 不可否认性( u n d e n i a b i l i t y ) ：一旦代理签名者代替原始签名者产生了有效的 代理签名，他就不能向原始签名者否认他所签的有效代理签名。 可区分性( d i s t i n g u i s h a b i l i t y ) ：任何人都可区分代理签名和正常的原始签名 者的签名。 代理签名者的不符合性( p r o x ys i g n e r sd e v i a t i o n ) ：代理签名者必须创建一 个能检测到是代理签名的有效代理签名。 可识别性( i d e n t i f i a b i l i t y ) ：原始签名者能够从代理签名中确定代理签名者 的身份。 为了体现对原始签名者和代理签名者的公平性，l e e 、h k i m 和k k i m l l 2 , 1 3 】 对其中的一些性质给出了更强的定义： 强不可伪造性( s t r o n gu n f o r g e a b i l i t y ) ：只有指定的代理签名者能够产生有 效的代理签名，原始签名者和没有被指定为代理签名者的第三方都不能产生 有效代理签名。 强可识别性( s t r o n gi d e n t i f i a b i l i t y ) ：任何人都能够从代理签名中确定代理签 名者的身份。 强不可否认性( s t r o n gu n d e n i a b i l i t y ) 一旦代理签名者代替原始签名者产生 了有效的代理签名，他就不能向任何人否认他所签的有效代理签名。 防止滥用( p r e v e n t i o no fm i s u s e ) ：应该确保代理密钥对不能被用于其它目 的。为了防止滥用，代理签名者的责任应当被具体确定。 从目前的研究来看，良好的代理签名除了满足以上性质外，还应具备代 理签名的可撤销性( 原始签名者可随时撤销代理签名者的代理签名权，文献 1 4 】 对此进行了相应的讨论) 、算法的简单性和执行的有效性。 1 3 3 代理签名的分类 m a m b o 、u s u d a 和0 k 锄o t o 【1 捌把代理签名分为三大类：完全代理签名、 部分代理签名和具有证书的代理签名。 河海人学硕士学位论文 1 完全代理签名( f u l ld e l e g a t i o n ) ：在完全代理签名中，原始签名者直接 把自己的签名密钥通过安全信道发送给代理签名者，代理签名者拥有原始签 名者的全部数字签名权力，他们能产生相同的签名。 完全代理签名的优点是简单、方便、容易实现，缺点是原始签名者向代 理签名者暴露了他的密钥，使得代理签名者所产生的签名与原始签名者所产 生的签名是不可区分的，所以不能制止可能的签名滥用。完全代理签名也不 具有可识别性和不可否认性。在很多情况下，原始签名者过后不得不修改他 的签名密钥。因此这种签名不适用于商业应用。 2 部分代理签名( p a r t i a ld e l e g a t i o n ) ：在部分代理签名中，原始签名者使 用自己的签名密钥计算出一个新的代理密钥，并把这个新的代理密钥以安全 的方式发送给代理签名者。使得代理签名者：( 1 ) 不能根据这个代理密钥计算 出原始签名者的密钥；( 2 ) 能利用这个新的代理密钥生成代理签名；( 3 ) 验证 代理签名时，必须要用到原始签名者的公开密钥。使用这种方法有两种类型 的方烈1 ，2 】： ( 1 ) 代理非保护代理签名( p r o x y - u n p r o t e c t e dp r o x ys i g n a t u r e ) ：除了原始签 名者，只有指定的代理签名者能够代替原始签名者产生有效的代理签名。没 有指定为代理签名者的第三方不能产生有效代理签名。 ( 2 ) 代理保护代理签名( p r o x y - p r o t e c t e dp r o x ys i g n a t u r e ) ：只有指定的代理 签名者能够代替原始签名者产生有效代理签名。但是，原始签名者和第三方 都不能产生有效代理签名。 部分代理签名的优点是代理签名者难以获得原始签名者的“主”密钥， 从而只能获得原始签名者的“部分”数字签名权力，代理签名的长度和普通 数字签名一样，代理签名的生成和验证过程所需的工作量与普通数字签名的 生成和验证所需要的工作量差别不大。这种类型的缺点是需要人们精心地去 设计，不能直接使用普通的数字签名体制来实现。 人们根据不同的需要提出了各种各样的部分代理签名。例如，门限代理 签名、不可否认代理签名、多重代理签名、具有接收者的代理签名、具有时 戳的代理签名和具有证书的部分代理签名，极大地丰富和发展了部分代理签 名。 3 具有证书的代理签( d e l e g a t i o nb yw a r r a n t ) ：使用这种方法有两种类型 的方案【1 5 1 6 l ： ( 1 ) 授权代理签名( d e l e g a t ep r o x y ) ：在授权代理签名中，原始签名者用他 的签名密钥使用普通的签名方案签一个证书，然后，把产生的证书发给代理 签名者。这个证书由一条声明原始签名者将数字签名权力委托给代理签名者 的消息和原始签名者对代理签名者的公开密钥生成的普通数字签名组成，或 6 第一章绪论 者仅仅由一条可以证明原始签名者同意将数字签名权力委托给代理签名者的 消息构成。代理签名者得到证书后，用他自己的在一个普通数字签名体制中 的密钥对一个文件生成数字签名。一个有效的代理签名由代理签名者生成的 这个数字签名和原始签名者发给他的证书组成。 ( 2 ) 持票代理签名( b e a r e rp r o x y ) ：在持票代理签名中，原始签名者首先生 成一对新的私钥和公钥。证书是由声明原始签名者将数字签名权力委托给代 理签名者的消息和原始签名者对新产生的公钥的签名组成。原始签名者把新 产生的公钥所对应的私钥以安全的方式发给代理签名者。代理签名者收到此 证书和私钥后，用这个私钥产生新的数字签名，这个数字签名和证书一起构 成了一个有效的代理签名。 具有证书的代理签名的优点是：( 1 ) 代理签名者不能获得原始签名者的私 钥；( 2 ) 原始签名者可以利用证书对代理签名者的数字签名权力进行限制，例 如可以明确指出代理签名者可以在什么时间范围内，对什么类型的文件进行 代理签名等；( 3 ) 可以直接使用任何普通的数字签名体制来实现。 这种类型的缺点是：( 1 ) 代理签名的长度比普通的数字签名长度大的多 ( 一般两倍以上) ；( 2 ) 代理签名的生成和验证所需的工作量比普通数字签名 的生成和验证所需要的工作量大的多( 需要执行两次以上普通的签名生成运 算和两次以上的签名验证运算) 。 总之，部分代理签名和具有证书的代理签名比完全代理签名更安全。部 分代理签名与具有证书的代理签名相比具有较高的处理速度。而具有证书的 代理签名可以毫无修改地使用普通签名方案来执行签名，并且可以适当地限 制所要签的文件，例如，证书可以表明授权的有效期。但是，部分代理签名 一般不具有这个性质。为了解决这个问题，部分代理签名要求一个附加的代 理撤销协议，通过此协议原始签名者可以撤销代理签名者的签名能力或已经 产生的代理签名。具有证书的部分代理签名具有部分代理签名和具有证书的 代理签名的双方的优点。一般说来，具有证书的部分代理签名提供了可接受 的执行效率和合理的授权规则，例如，代理签名的有效期，原始签名者的身 份，代理签名者的身份等信息。 上述分类方法是最常用的分类方法，还有一些其它的分类方法。现简单 介绍如下： 根据代理签名方案所基于的数学难题，代理签名方案可以分为基于离散 对数问题的代理签名方案和基于素因子分解问题的代理签名方案。 根据代理签名方案所具有的特殊性质，代理签名方案可分为代理多重数 字签名方案、盲代理签名方案、门限代理签名方案等。 7 河每大学硕士学位论文 1 4 本文研究的基本思路 由于在商业中有着重要的应用，代理签名日益引起人们的关注，国内外 许多学者对其进行了深入的研究，提出很多的方案，但如何使其更好地满足 当前不同网络环境的要求，这也是亟需解决的问题。目前代理签名方案存在 的典型问题有：安全性和效率问题；密钥泄漏问题；原始签名者在线问题等 等。 本文主要围绕下面几个方面的问题展开研究： 1 安全性问题：目前已经有很多很好的数字签名方案有了理论上的安全 性证明，保证了数字签名在实际应用中的安全性。但代理签名作为一种特殊 的数字签名，由于算法复杂性的增加，一直没有很好的可证安全的代理签名 方案提出，很多代理签名方案都存在安全隐患，如伪造攻击，公钥替换攻击 等。 2 效率问题：从应用角度看，目前的代理签名方案仍然存在计算复杂性 高、通信量大、执行效率低等问题。目前已经有降低通信量的“证书恢复” 代理签名方案提出，使得在代理签名交互过程中尽量减少证书传送的次数， 但是此方案仍然有很大的安全隐患。如何提出一个安全的带证书恢复的代理 签名方案，也是本文要解决的问题之一。 3 密钥泄漏问题：普通的数字签名安全性包括签名的安全性和签名密钥 的安全性。目前的研究主要集中在前者。对于后者来说，一旦签名密钥被泄 漏，将会给整个系统带来灾难性的后果，因此也是一个非常重要的研究方向。 目前已经提出了一些前向安全数字签名方案来解决这个问题，但对于代理签 名来讲，一直没有很好的具有前向安全特性的代理签名方案提出，如何将前 向安全的概念很好的与代理签名方案相融合，也是一个很有意义的课题。 1 5 论文的组织结构 本文共分为5 章，具体组织如下： 第l 章阐述了数字签名在信息安全中的重要地位，概述了代理签名的背 景和国内外有关代理签名的主要研究方向，着重介绍了代理签名的定义、安 全性要求和研究现状。最后给出了本文研究的基本思路。 第2 章介绍了相关的密码学知识和数学知识，列举了几个典型的代理签 名方案。 第3 章提出了一个可证安全的代理签名方案，并给出了形式化的安全性 证明和效率分析。 第一章绪论 第4 章对一个具有证书恢复的代理签名方案进行了安全性分析，并提出 了两个改进的具有证书恢复的代理签名方案。 第5 章提出了前向安全代理签名方案和前向安全多重代理签名方案。 第6 章对本文进行了总结，并提出了展望。 9 河海大学硕士学位论文 2 1 相关数学知识 第二章预备知识 我们知道，数论中存在许多难题，这些问题在现在和今后一个相当长的时期 不可能得到很好的解决。公钥密码体制尤其是许多数字签名协议的设计也正是基 于这些数学难题的。这里我们主要介绍一下大数分解问题和离散对数问题。 2 1 1 大数分解问题 在数论中，存在整数唯一分解定理，任何一个大于1 的整数，如果不论因子 的次序，能唯一的表示成素数的乘积，即 定理2 1 【1 7 】整数唯一分解定理：任一大于l 的整数能表示成素数的乘积， 即对于任一整数a 1 ，有 a 2 p l p 2 p 。， 其中p l ，p 2 ，磊是素数。并且若 a 2 q l q 2 g 。， 其中q l ，9 2 ，q m 是素数，则 p 1 p 2 p 。， q i q 2 蔓q 。， m = n ，q ，= p ，( f = 1 , 2 ，疗) 这是对数论研究所得出的重要结论，也是对数论深入研究的重要基础。 整数唯一分解定理虽然在理论上阐明了整数的可分解性，然而在现实中，我 们如果仅知道两个大素数的乘积，来求出这两个大素数也即对这个积进行分解却 是极端困难的。人们很早就从事对数论这门古老学科的研究，但大数分解问题始 终未得到很好地解决。在现在技术能力下，大数分解问题在短时间内不会得到妥 善地解决。 公钥密码体制尤其是数字签名的很多算法都是基于数学难题而设计的。大数 分解这一数学难题为某些好的密码协议的设计提供了良好的基础和安全保证。例 如现在广泛应用的r s a 体制【1 8 l 签名方案被认为是安全性最好的方案之一，它的 安全性就是建立在此问题基础上的。 2 1 2 离散对数问题 定义2 - 1 1 9 1 ( d i s c r e t el o g a r i t h m ( d l ) ) ：设g 是一个有限循环群，且 1 0 第二章预各知识 g g 是g 的一个生成元。元素y g 的离散对数是指：使得y = g 。成立的最小 非负整数x ( o x q g i ) ，记为：x = l o g 。y 。 定义2 - 2 离散对数问题( d i s c r e = t el o g a r i t h mp r o b l e m ( d l p ) ) ：对于一个有限循 环群g - 和元素) ，g ，寻找整数0 x q g i ) ，使得y = g 。成立。 定义2 - 3 判定d i f f i e h e l l m a n 问题( d e c i s i o nd i f f i e h e l l m a np r o b l e m ( d d h p ) ) ：对于一个有限循环群g 和它的生成元g ，以及三元组对( 9 4 ，9 6 ，g ) ， 判断g = g “是否成立。 定义2 - 4 计算d i f i l e h e l l m a n 问题( c o m p u t a t i o n a ld i 伍e h e l l m a np r o b l e m ( c d h p ) ) ：对于一个有限循环群g 和它的生成元g ，以及两个随机元素矿和矿， 计算出p “。 离散对数求解难题为密码协议的设计提供了坚实的基础。许多性能良好的密 码算法都基于这一难题设计的，例如著名的e 1 0 a m a l 数字签名 2 0 1 。 2 1 3 双线性配对 双线性配对指的是两个循环群( c y c l i cg r o u p ) 之间相对的线性映射( b i l i n e a r m a p ) 关系设g 。是一个加法群，阶是大素数g 。g 2 是一个乘法群，同样以q 为 阶。双线性映射e ：g x g l - 9g ，满足如下特性： 1 双线性：v p ，q ，r g t ，a , b z ， e ( p + q r ) = e ( p ，r ) p ( q ，r ) ， e ( p ，q + r ) = e ( p ，r ) e ( p ，q ) ， e ( a p ，b q ) = e ( p ，q ) ”； 2 非退化性：存在尸，q g l ，使得e ( p ，q ) 1 ； 3 可计算性：对所有的p ，o g i ，存在一个有效的算法计算e ( p ，q ) 。 利用椭圆曲线上的w e l l 配对或t a t e 配对可以构造满足以上条件的双线性映 射，方法可参考文献 2 1 1 1 2 2 。 2 1 4g d h 群 假设g 是一个椭圆曲线上的q 阶的加法群，g 为大素数。下面我们描述几个 基于g 的困难问题： 一离散对数问题( d l p ) ：给定g 中两个元素尸和q ，计算整数行，满足q = n p 。 一判定d i f f i e h e l l m a nf n 题( d d h p ) ：x c a ，b ，c z ：，给定p ，a p ，b p ，c p ，判断 eia b r o o d q 是否成立。 河海大学硕士学位论文 一计算d i f f i e - h e l l m a nf 掘( c d h p ) ：对口，b 乏，给定p ，a p ，b p ，计算d 6 p 。 当群g 上的d d h p 是容易的，而c d h p 是困难的时，称群g 为g a p d i f f i e - h e l l m a n ( o d h ) 群。这样的群可以在有限域的超椭圆曲线上找到。利用椭圆曲线 上的w e i l 配对或t a t e 配对可以构造满足以上条件的双线性映射，更为详细的介 绍可参考文献 2 1 】。 2 2 相关密码学知识 2 2 1 公钥密码体制 为了保证通信的安全性，加密技术应运而生。该技术是实现安全通信的重要 保证，并且也是所有网络上通信安全所依赖的基本技术。目前，普遍应用的有私 有密钥加密技术和公开密钥加密技术，除此之外还有一些基于非数学的密码技 术，主要包括：量子密码、信息隐藏、基于生物特征的识别技术与理论。 早期出现的私有密钥加密机制，加密和解密使用相同的密钥，所以又称为对 称密码体制或单密钥体制。该机制由于加密和解密的密钥相同，所以密钥不能公 开，所以又称为私有密钥密码体制。最有影响的私有密钥密码体制之一是d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 算法t 2 3 。这种机制，加密速度快，但密钥的管理是个 令人头疼问题，当n 较大时，个人相互通信时需要n ( n 一1 ) 2 个密钥，数值很大， 故无法有效管理。 为了解决私有密钥机制的密钥管理问题，1 9 7 6 年d i f f i e - h e l l m a n 提出了公开 密码体制思想 2 4 1 ，1 9 7 7 年由r i v e s t 、s h a m i r 和a d l e m a n 推出的第一个公钥体制 r s a 体制【1 8 1 。该机制用作加密的密钥不同于用作解密的密钥，而且解密密钥不 能根据加密密钥计算出来( 至少在合理假定的长时间内) 。加密密钥叫做公开密 钥( 简称公钥) ，解密密钥叫做私人密钥( 简称私钥) 。在实际应用中，公钥可以 用来加密和验证数字签名，而私钥可以用来解密和数字签名。每个通信方公开自 己的公钥，关键保护好自己的私钥即可。公钥密码体制有两种模型：一种用于加 密( 如图2 1 ) ；另一种用于认证( 如图2 2 ) 。 定义2 5 公钥密码体制：形式上，一个公钥密码体制有以下要素构成：随机 参数空间r 、私钥空间s k 、公钥空间雎、明文空间p 、密文空间c 、密钥生 成算法k e y g e n ：r 专s k p k 、加密算法e n c r y ：p k p 寸c 和解密算法 d e c r y ：s k c p 。 对于任意的，r ，x s k ，y p k ，m p ，c c ，如果( 石，y ) = k e y g e n ( r ) ， c = e n c r y ( y ，加) ，那么以下两个性质成立： 第二章预备知识 图2 - 1 咄w 商岫 图2 - 2 i | # 酬l h m 国 l 兰l l 篓兰 i i - - - - - j ，汹* n o u t p n t 国 r 轴自i i 哪 n 日糟t ( 1 ) 由x 很容易计算出y ，反之，由y 很难计算x ； ( 2 ) 研= d e c r y ( x ，c ) 。 假设一个用户b o b 想要让其他人向他发送秘密消息，那么b o b 首先选择一 个随机参数：，r ，计算( x ，y ) = k e y g e n ( r ) ，然后将y 公开，将( r ，x ) 保密。当 用户a l i c e 想要向b o b 秘密地发送消息m p 时( 图2 - 1 ) ，她首先查找到b o b 的公 钥y ，然后计算出密文c = e n c r y ( y ，圻) ，并将c 发送给b o b 。b o b 在收到后，恢 复消息m = d e c r y ( x 。c ) 。任何攻击者只能截获密文，却无法恢复明文。 利用公钥密码体制，疗个用户之间两两进行秘密通信，只需要胛对密钥就可 河海人学硕士学位论文 以了。而且，用户的公钥可以公开，无需在不同的用户之间传输密钥，不再需要 所谓的安全信道，这是对称密码体制无可比拟的优越性。因此，公钥密码体制可 以有效地避免密钥分配和密钥管理的难题。 目前所使用的公钥体制的安全性主要基于数学中的困难问题。基本的有两大 类：一类是基于大数因子分解问题，比如r s a 体制、r a b i n 体制【2 5 噜；另一类 是基于离散对数问题，如e 1 g a m a l 体制。 2 2 - 2 数字签名方案 政治、军事、外交、商业等方面的文件，如命令、条约、契约，以及个人之 间的书信等，传统上采用手写签名或印章，以便在法律上能认证、核准、生效。 手写签名或印章能提供以下功能： 1 鉴别性：可以通过签名鉴别文件的真伪； 2 不可伪造性：任何人不能伪造签名者本人的签名； 3 不可抵赖性：签名者本人不能对自己做的签名进行抵赖。 随着信息化时代的到来，人们需要进行远距离的交互、远距离的信息传达或 网上交易。这样，传统手写签名就受到地域和时间的限制。数字签名顺应时代的 潮流，实现了人们远距离交互的需求。 d i f f i e 和h e l l m a n 利用公钥密码学的思想提出了数字签名的概念【2 4 】。 一般数字签名方案包括3 个过程：系统的初始化过程、签名产生过程和签名 验证过程。系统的初始化过程产生数字签名方案用到的一切参数；签名产生过程 中，用户利用给定的算法对消息产生签名；签名验证过程中，验证者利用公开的 验证方法对给定消息的签名进行验证，得出签名的有效性。 1 系统初始化过程 产生签名方案中的基本参数，如：m ，s ，k ，s i g ，v e r ，其中m 是消息集合， s 是签名集合，足是密钥集合( 包含公钥p k 和私钥蹯) ，s i g 是签名算法集合， v e r 是签名验证算法集合。 2 签名产生过程 对于密钥集合k ，相应的签名算法为s i g z s i g ，s i g r ：m - - - s 。对任意的 消息m m ，有j = s i g r ( m ) ，那么s s 为消息m 的签名，将( m ，s ) 发送给签名 验证者。 3 签名验证过程 对于密钥集合缸有签名验证算法v e r x ：m s 斗 t r u e ，f a l s e ， w r r ( 脚，s ) ： 1 姗5 。5 喀f ( 脚) ”7 【f a l s es j 瞎( 埘) 1 4 第二章预备知识 签名验证者收到( m ，s ) 后，计算v e t r ( m ，j ) ，若v e r r ( m ，s ) = t r u e ，签名有效； 否则，签名无效。 按照不同的标准，数字签名方案有不同的分类方法。 1 基于数学难题的分类 根据数字签名方案所基于的数学难题，数字签名方案可以分为基于离散对数 问题的签名方案和素因子分解问题的签名方案。e 1 g a m a l 数字签名方案和d s a 数字签名方案【2 6 】都是基于离散对数问题的数字签名方案，而r s a 数字签名方案 是基于素因子分解问题的数字签名方案。将离散对数问题和因子分解问题结合起 来，又可以产生同时基于离散对数和素因子分解问题的数字签名方案。例如，1 9 9