（计算机应用技术专业论文）强代理签名的研究与应用.pdf

哈尔滨工程大学硕士学位论文 摘要 在日常生活中，人们经常需要将自己的某些权力委托给可靠的代理人， 让代理人代表他去行使这些权力，如签名权的委托。在电子化的信息社会， 同样需要签名权的代理，数字签名是传统签名的电子模拟，但是数字签名不 能提供代理签名功能。这样，代理签名作为一种特殊的数字签名应运而生。 在当今快速发展的电子信息社会县，代理签名的应用越来越广泛，同时对代 理签名提出了更高要求，并根据这些要求提出了强代理签名的概念。已有的 各种代理签名不能应用于实际的主要原因就是它们不能很好的满足强代理签 名的性质。 本文对强代理签名进行了深入研究和探讨。首先，介绍了强代理签名的 概念和性质，对已有的各种强代理签名体制进行分析，提出新的强代理签名 体制，并证明了新体制的安全性和有效性；其次，把盲签名和强代理签名结 合起来提出了强代理盲签名的概念，介绍了强代理盲签名的性质及研究现状， 从强代理性和强盲性上对已有的基于离散对数的代理盲签名进杼分析，提出 新的强代理盲签名方案，并证明了新方案的安全性和有效性；最后，本文给出 了强代理签名在电子现金签发系统中的应用，对电子现金签发协议进行详细 设计，并论证了系统在理论上的有效性和可行性。 关键词：数字签名；代理签名：强代理签名；强代理盲签名 哈尔滨工程大学硕士学位论文 a b s t r a c t i nd a i l yl i f e ，p e o p l eo f t e nn e e dd e l e g a t et h e i rp o w e r st or e l i a b l ep r o x i e sw h o p e r f o r mt h e s ep o w e r so nt h e i rb e h a l s u c ha sd e l e g a t i n gs i g n a t u r ep o w e r i n e l e c t r i o ns o c i e t y ，d e l e g a t i n gp o w e ro fs i g n a t u r ei sa l s on e e d e d ，d i g i t a ls i g n a t u r ei s e l e c t r o n i cs i m u l a t i o no f t r a d i t i o n a ls i g n a t u r e ，b u td i g i t a ls i g n a t u r ec a r l tf u n c t i o na s p r o x ys i g n a t u r e t h u sp r o x ys i g n a t u r ec o m e si n t ob e i n ga sas p e c i a ld i g i t a l s i g n a t u r e i nf a s td e v e l o p i n gi n f o r m a t i o ns o c i e t y ，p r o x ys i g n a t u r ei sm o l la n d m o r ea p p l i e d ，i nt h es a n l et i m ei t sr e q u i r e m e n t se v e nh i g h e r , ac o n c e p to fs t r o n g p r o x ys i g n a t u r ew a sa d v a n c e dw i t ht h e s er e q u i r e m e n t s t h er e a s o nw h yt h e e x i s t i n gp r o x ys i g n a t u r e sc a n tb ep u ti np r a c t i c ei sm a i n l yt h e s es i g n a t u r e sc a n t c o m eu pt ot h eq u a l i t i e so fs t r o n gp r o x y s i g n a t u r e s t r o n gp r o x ys i g n a t u r ei sr e s e a r c h e da n dd i s c u s s e di n t h i sp a p e r f i r s tt h e c o n c e p ta n dq u a l i t i e so fs t r o n gp r o x ys i g n a t u r ea r ei n t r o d u c e d ，t h ee x i s t i n gs t r o n g p r o x ys i g n a t u r e sa r ea n a l y z e d ，an e ws t r o n gp r o x ys i g n a t u r ei sp r e s e n t e d ，a n dt h e s e c u r i t ya n dv a l i d i t yo fn e ws y s t e ma r ep r o v e d s e c o n d l yt h ec o n c e p to fs 订o n g p r o x yb l i n ds i g n a t u r ei sa d v a n c e dw i t hc o m b i n a t i o no fb l i n ds i g n a t u r ea n ds t r o n g p r o x ys i g n a t u r e ，i t st h eq u a l i t i e sa n dr e s e a r c ha c t u a l i t ya r ei n u o d u c e d ，t h ee x i s t i n g p r o x yb l i n ds i g n a t u r e sb a s e do i ld i s c r e t el o g a r i t h ma r ea n a l y z e df r o mt h eq u a l i f i e s o fs t r o n gp r o x ya n ds t r o n gb l i n d ，an e ws t r o n gp r o x yb l i n ds i g n a t u r es c h e m ei s a d v a n c e d ，a n dt h es e c u r i t ya n dv a l i d i t yo fi ti sp r o v e da s w e l l l a s t l yt h e a p p l i c a t i o no fs t r o n gp r o x ys i g n a t u r ei ne l e c t r o n i cc a s hs i g n sa n di s s u e ss y s t e mi s p r e s e n t e d ，t h ee l e c t r o n i cc a s hs i g n sa n di s s u e sp r o t o c o li sp a r t i c u l a r l yd e s i g n e d ， a l s ot h ev a l i d i t ya n df e a s i b i l i t yi nt h e o r yo fs y s t e mi sd e m o n s t r a t e d k e y w o r d s ：s i g n a t u r e ；p r o x ys i g n a t u r e ；s t r o n gp r o x ys i g n a t u r e ；s t r o n gp r o x y b l i n ds i g n a t u r e 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指 导下，由作者本人独立完成的。有关观点、方法、数据 和文献的引用已在文中指出，并与参考文献相对应。除 文中已注明引用的内容外，本论文不包含任何其他个人 或集体已经公开发表的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者( 签字) ： 日期：抄6 年a 月岵日 堕堡鎏三堡盔堂堡主堂焦堡茎 第1 章绪论 1 1 研究背景 1 1 1 信息安全的重要性及密码学 信息安全在分布式计算环境中对信息的传输、存储、访问提供安全保护。 以防止信息被窃取、篡改和非法操作。需要保护的内容不仅有信息与数据、 信息与数据处理服务，还包括传输、存储信息与数据的通信设施和通信设备。 具体而言信息安全需达到如下目标。 1 ) 保密性：不能向非授权用户或过程泄露信息和数据。 2 ) 完整性：信息和数据不能被非授权用户或过程利用、修改和删除。 3 ) 可用性：当授权用户或过程使用时，保护信息和数据可以合法被使用。 4 ) 可控性：信息和数据被合法使用时，保证可以控制授权用户或过程使 用方法和权限m 。 信息安全技术涉及到的领域相当广泛，如：数学、计算机、信息论、编码 学、密码学、通信技术、管理技术等各种学科，其中，密码学作为最有效的 核心技术在保护信息的保密性、完整性、认证性等方面发挥着关键作用。密 码学的最早使用可以追溯到四千多年前的古埃及，作为信息保密的手段，密 码技术本身也处于秘密状态，基本上局限于军事目的。随着计算机网络和通 信技术的迅速发展，特别是因特网、电子商务等技术的逐步兴起，“信息” 在人们社会生活中的地位和作用越来越重要。“信息安全”也成为当前人们 的一个时尚话题，密码学作为信息安全的关键技术也已经进入了快速发展阶 段。 密码学( c r y p t o l o g y ) 是信息系统安全的一门科学，它包括两个分支：密 码编码学( c r y p t o g r a p h y ) 和密码分析学( c r y p t a n a l y s i s ) 。密码编码学是寻 求保证信息保密性或认证性的方法，密码分析学研究加密信息的破译或信息 的伪造。 密码技术的基本思想是对消息做秘密变换。设已知信息m ，通过变换e x 哈尔滨工程大学硕士学位论文 得到密文c ，即：c = e 。( m ) ，这个过程称为加密，参数x 称为密钥，e 为加密算 法，m 为明文，c 为密文；从密文c 恢复明文m 的过程称为解密，即：m = d k ( c ) ， 其中d 为解密算法，k 为解密密钥。在对称密码体制中加密密钥x 和解密密钥k 相同，在公开密码体制中，加密密钥x 和解密密钥k 不同，而且解密密钥不能 从加密密钥推导出来。下面分别给出基于对称密码和公开密码的经典保密通 信模型： 加密解密 ( 安全信道) 图1 1 基于对称密码的秘密通信模型 图1 2 基于公开密码的秘密通信模型 1 1 2 数字签名及代理签名 为了鉴别文件或书信的真伪，传统的方法是，要求相关人员在文件或书 信上亲笔签名或印章。签名起到认证、核准和生效的作用。在日常生活中， 使用手写签字和印章随处可见，如签署合同，办理证明等。手写签字与印章 不论在个人、单位，乃至政府、军事、外交处理信件、商业契约文件等都常 使用。如果在网络上实现签字和印章的电子化，其优点是无疑的。随着计算 机网络、电子邮政、电子支付系统和办公自动化系统的广泛应用，以计算机 为基础的事务处理中，也出现了真实性认证的问题，于是数字签名便应运而 生。数字签名就是在电子文档上附上一个比特串来达到签名的效果。数字签 名是保证电子数据真实性的有效手段，对签名的目的和要求可归纳为如下几 每基 由 盟 哈尔滨工程大学硕十学位论文 点：( 1 ) 签名是不可伪造的；( 2 ) 签名是不可抵赖的；( 3 ) 签名是不可改变的： ( 4 ) 签名是不可重复使用的；( 6 ) 签名是容易验证的w 。 1 9 7 6 年，w h i t f i e l dd i f f i e 和m a r t i nh e l l m a n ”，首先提出了数字签名的概 念。已有多种实现数字签名的方法。常用的数字签名算法有：r s a 、d s s 、 e c d s a 、e l g a m a l 、s c h n o r r 等。这些方法可分为两类：直接数字签名和有仲 裁的数字签名。直接数字签名只涉及到通信双方。设消息接收者b 已经或者 可以获得消息发送者a 的公钥y a 。发送者a 用其私钥x 。对整个消息m 或消息散 列码h ( m ) ( h 是一单向散列函数) 进行加密来形成数字签名s 。通过对整个消息 和签名进行再加密来实现消息和签名的机密性。可采用b 的公钥y 。或双方共享 的密钥( 对称加密) 来进行加密。当b 收到被加密过的签名后，首先用自己 的密钥x 。或双方共享的密钥对其进行解密，再用a 的公钥y a 进行解密后，就可 以验证出签名的正确性。现用一个签名过程模型图对典型的数字签名过程描 述如下： 图1 3 数字签名过程 图1 4 数字签名验证过程 在日常生活中，人们经常需要将自己某些权力委托给可靠的代理人，让 代理人代表他去行使某些权力，如签名权的委托。在电子化的信息社会，同 样需要签名权的代理，数字签名是传统签名的电子模拟，但是数字签名不能 提供代理签名功能。这样，代理签名作为一种特殊的数字签名应运而生。1 9 9 6 年，m a m b o 、u s u d a 和0 k a m o t o n ，* ，首先提出了代理签名的概念，并给出了解 决这个问题的一种签名方案，在这种方案中，原始签名人能将签名权力委托 哈尔滨工程火学硕士学位论文 给一被称为代理签名人的人，同时又不暴露自己的私钥。代理签名人根据原 始签名提供给他的信息，计算出代理私钥，并用这个代理私钥可以完成对任 何消息的签名。 代理签名方案应满足以下六条性质n “。 1 ) 不可伪造性：除了原始签名者，只有指定的代理签名者能够代表原始 签名人产生有效的代理签名； 2 ) 可验证性：从代理签名中，验证者能够验证代理签名是否有效，并根 据有效的代理签名可以确认原始签名人认同被签的文件； 3 ) 不可否认性：一旦代理签名者代替原始签名者产生了有效的代理签名， 他就不能向原始签名者否认他所签的有效代理签名； 4 ) 可区分性：任何人都可区分代理签名和正常的原始签名者的签名； 5 ) 代理签名人的不符合性：代理签名人必须创造一个能检测到是代理签 名的有效代理签名； 6 ) 可识别性：原始签名人能够从代理签名中确定代理签名人的身份。 代理签名一经提出便受到广泛关注，国内外学者对其进行了深入的研究 和探讨并取得丰富的研究成果。研究的重点除代理签名的安全性和效率问题 外，又提出了能满足不同需要的代理签名。如：门限代理签名、多重代理签 名、不可否认代理签名、确定接收者的代理签名、具有时戳的代理签名和具 有证书的部分代理签名。还有把代理签名技术和其它技术结合起来提出的多 种特殊代理签名。如：基于身份的代理签名、基于知识签名的代理签名、代 理盲签名等。 1 2 强代理签名研究的现状和意义 在当今快速发展的电子信息社会里，代理签名应用越来越广泛，同时对 代理签名也提出了更高要求。例如代理签名的很多应用中都要求体现出原始 签名人和代理人的公平性，这也是很多已有的代理签名不能得到实际应用的 原因。2 0 0 1 年，b l e e 等m 首先提出了强代理签名的概念，并把代理签名分为 强代理签名和弱代理签名。之后，k s h t t m 等”1 又给出了一种匿名强代理签名 方案，该方案需要一个第三方的参与，目的是为了在出现争议或有别的需要 哈尔滨工程大学硕士学位论文 时，由第三方揭示代理签名人身份。但s u n 等”1j i q i n g m 都认为b l e e 等提出的 强代理签名、强代理多签名和k s h u m 等的匿名代理签名都是不安全的，不能 抵抗原始签名人的伪造攻击。谷利泽等n w 也对文献7 给出的方案进行了分析， 并在此方案的基础上提出了不需要可信任方参与的匿名代理签名方案。杨淑 娣等“”对文献6 给出的方案进行改进，提出一种新的强代理签名方案，并证明 出新方案是安全的，能够抵抗原始签名人的伪造攻击。谭作文等m ，基于代理 签名理论和前向安全理论，提出了一个前向安全的强代理签名方案。还有田 秀霞等m 的基于身份的强代理签名和吴斌等1 的基于r s a 强代理签名方案的提 出，都极好的丰富和发展的强代理签名理论。 根据代理签名密钥是否由原始签名人生成将代理签名分为：未对代理人 提供保护的代理签名和对代理人提供保护的代理签名。强代理签名就属于对 代理人提供保护的代理签名。强代理签名具有强不可伪造性，可以有效地防止 原始签名人对代理签名人的恶意欺骗。而一般的代理签名总是不能很好地满 足强不可伪造性、强不可否认性等，这些性质往往是代理签名在实际中所必 须的。这也是弱代理签名不能应用于实际的主要原因。而强代理签名可以广 泛地应用到开放的、分布式的网络环境中且不需作任何信任假设。 1 3 文章结构 本文对强代理签名理论进行了深入、系统的研究。对已有的各种强代理 签名体制和代理盲签名体制进行分析，提出新的强代理签名体制和强代理盲 签名体制，并证明了新体制的安全性和有效性。本文还给出了强代理签名在 电子现金签发系统中的应用。 本文章节安排如下： 第一章主要介绍强代理签名研究的背景、现状及意义。 第二章首先介绍强代理签名的概念和性质，然后分别研究了基于离散对 数的强代理签名和基于因子分解的强代理签名，研究结果表明这些体制都存 在安全方面的缺陷，最后提出了一个新的匿名代理签名方案，并证明了新方 案的安全性。 第三章介绍了强代理盲签名的概念，并根据强代理签名和强盲签名的性 哈尔滨工程大学硕士学位论文 质总结出强代理盲签名的性质。然后对基于离散对数的代理盲签名方案进行 了深入的研究，分析了方案在强代理性和强盲性方面的缺陷。最后分别提出 了一个基于离散对数的强代理盲签名和基于因子分解的强代理盲签名，并给 出方案的安全性和有效性证明。 第四章叙述了电子现金的概念、分类和基本特征。然后基于强代理签名 构造了一种电子现金签发协议，并证明了协议的安全性和有效性，最后基于 协议构造了一个电子现金签发系统，并对该系统进行详细设计。 6 堕丛鎏三型奎堂堡主堂焦丝茎 第2 章基本的强代理签名及其安全性分析 2 1 强代理签名的性质及分类 为了体现出原始签名人和代理人的公平性，2 0 0 1 年，b l e e 等把代理签名 分为强代理签名和弱代理签名，并给出强代理签名除要满足代理签名的基本 性质外，还需要满足以下四条性质。 1 ) 强不可伪造性：只有指定的代理签名人能够产生有效代理签名，原始 签名人和任何没有被指定为代理签名人的第三方都不能产生有效的代理签 名。 2 ) 强可识别性：任何人都能够从代理签名中确定代理签名人的身份。 3 ) 强不可否认性：一旦代理签名人代替原始签名人产生了有效的代理签 名，他就不能向任何人否认他所签的有效的代理签名。 4 ) 防止滥用：应该确保代理密钥对不能用于其他目的。为了防止滥用， 代理签名人的责任应当被具体确定。 利用强代理签名体制，一个被称为原始签名人的用户，可以将他的数字 签名权力委托给另外一个被称为代理签名人的用户。代理签名人代表原始签 名人生成的数字签名，称为代理签名。强代理签名和普通的代理签名一样， 都可以由以下几个步骤组成。 1 ) 初始化过程：选定签名体制的参数，计算出各个参与方的密钥对： 2 ) 签名权的代理过程：原始签名人将自己的签名权力委托给代理签名人； 3 ) 代理签名的生成过程：代理签名人代表原始签名人对消息生成数字签 名： 4 ) 代理签名的验证过程：验证者验证代理签名的有效性。 强代理签名体制的分类 根据基于的数学难题的不同，强代理签名可分为基于素因子分解的强代 理签名和基于离散对数的强代理签名；如：基于r s a 的强代理签名方案的安 全性依赖分解大数的难题。而基于s c h n o r r 和e 1 g a m a l 的强代理签名体制的安 全性依赖计算有限域上离散对数难题。还有把代理签名理论和别的理论结合 哈尔滨工程大学硕士学位论文 起来提出的新的强代理签名，如：具有前向安全的强代理签名方案，匿名的 强代理签名方案和基于身份的强代理签名方案等。 2 2 基本的强代理签名方案研究 2 2 1 基于素因子分解的强代理签名方案及安全性分析 r s a 密码系统是较早提出的一种公丌钥的密码系统。1 9 7 8 年，美国麻省 理工学院( m i t ) 的r i v e s t ，s h a m i r 年1 a d l e m a n 在题为获得数字签名和公开钥 密码系统的方法的论文中提出了基于数论的非对称( 公开钥) 密码体制，称 为r s a 密码体制。r s a 是建立在“大整数的素因子分解困难问题”基础上的， 是一种分组密码体制。r s a 算法是第一个能同时用于加密和数宇签名的算法， 也易于理解和操作。r s a 是被研究得最广泛的公钥算法，从提出到现在已近 二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀 的公钥方案之一。目前，基于因子分解的强代理签名方案的研究主要是对基 于r s a 的强代理签名方案的研究。下面给出两个基于r s a 的强代理签名方案。 系统初始化及参数说明： 为了获取r s a 密钥对，每个参与者需做下面工作：令n 印q ，p , q 是大素 数，选e ( 1 e 妒( n ) = ( p - 1 ) ( q 一1 ) ) ，并计算出d 使e d - - - 1m o d ( 妒( n ) ) ，且要求 e ，d e z 。，公开n 和e ，将p ，q 和d 保密。h ( ) 是一单向哈希函数，m 。是授 权晚明书，m 是要签署的消息。方案的参与者有：原始签名者a ，密钥对为 ( n a ，e a ，d a ) ，代理签名者b ，密钥对为( 1 a b ，e l i ，d b ) 。 1 ) 基于r s a 的强代理签名体制l ”1 步骤1 ：授权代理过程 原始签名人a 计算k = h ( m 。) 幽m o dr l a ，并把( 卅。，k ) 秘密发送给代理人b ， b 收到。，k ) 后，验证等式：k e m o dn a ：h ( m 。) ，若成立，则规定代理私钥 为( 。，k ，d b ) ，代理公钥为( n a ，e a ，n b ，e b ) 。 步骤2 ：代理签名过程 b 首先确定待签名的消息m 符合授权说明书m 。的要求，才能执行对消 息m 的签名。b 计算x = h ( m 。，m ) “m o d n b ，y = h ( m 。) 。m o d n a 和z = k 。m o dr l a ， 哈尔滨工程大学硕士学位论文 这时的a = ( x ，y ，z mm ) 就是一个有效的强代理签名。 步骤3 ：代理签名的验证 任何人都可以通过下面的方法验证签名a = ( x ，y ，z mm ) 的有效性。 ( 1 ) 验证等式：x e 5m o dn b ：h ( m 。，m ) ； ( 2 ) 验证等式：y2 - h ( m 。) 。m o dn a ； ( 3 ) 验证等式：z e 。m o dn a ：y ： ( 4 ) 验证o ： m 。) 。 只有上面的4 个等式验证都正确时，才能断定签名o = ( x ，y ，z mm ) 是 一个有效的强代理签名。 2 ) 基于r s a 的强代理签名体制2 t “1 步骤1 ：a 选取整数e p ( 0 e p c p ( n a ) ) 且g c d ( e p ，o ( n a ) ) = 1 ，计算d p a ，满 足e pd p a = 1m o d 妒( 嘞) 。这里的e p 是代理公钥，d p a 是代理私钥。再计算 a = h ( m 。) 4 “幽m o dh a , 传送m 。，a ，e p ) 给b ，这里不需要秘密传送。 步骤2 ：b 先判断e p 是否小于p ( b ) 或g c d ( e p ，妒口) ) = 1 ，若不真，则要 求a 减小e p 且重新执行步骤1 。否则，验证等式h ( m 。) ：a e e m o dh a , 若不 成立，则返回步骤1 ，验证为真，则计算d p b ，满足e p d p b = 1m o d 妒0 b ) 。 步骤3 ：对于所签消息m ，b 计算= h ( m ) d p e d bm o dn b ，以( m ，a ，卢，m 。， e p ，n a ，e a ，n b ，e b ) 为m 的有效的代理签名。 步骤4 ：签名的验证可通过检验下面等式是否成立来判断。 h ( m 。) a e p 8 。r o o dn a( 2 1 ) ( 聊) 二即m o d n b( 2 2 ) 3 ) 对基于r s a 的强代理签名体制的安全性分析 上面给出的两个体制都是基于r s a 密码体制的，因此它们的安全性依 赖于r s a 的安全性。如果要从r s a 体制出发来分析强代理签名的安全性， 只需分析r s a 体制本身的安全性即可。r s a 建立在大整数的因式分解难题 上。实际上，人们推测r s a 的安全性依赖于大整数的因式分解问题，但谁 也没有在数学上证明从c ( 密文) 和e 计算1 2 1 ( 明文) 需要对n 进行因式分 解。可以想象可能会有完全不同的方式去分析r s a 。然而，如果这种方法能 9 哈尔滨工程大学硕士学位论文 让密码解析员推导出d ，则它也可以用作大整数因式分解的新方法。最难以 令人嚣信的是，有些r s a 变体已经被证明与因式分解同样困难。甚至从r s a 加密的密文中恢复出某些特定的位也与解密整个消息同样困难。另外，对 r s a 的具体实现存在一些针对协议而不是针对基本算法的攻击方法。r s a 面临的攻击主要有三种：选择密文攻击、公共模数攻击和小指数攻击。这三 种攻击方法用来对“基于r s a 的强代理签名”进行攻击也应该是有效的。 r s a 是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种 攻击的考验，逐渐为人们接受，被普遍认为是目前最优秀的公钥方案之一。 因此，从r s a 体制本身出发来研究对“基于r s a 的强代理签名”的攻击， 在实际中还没有好的效果。 从对强代理签名体制的性质分析发现一上面的两个基于r s a 的强代理 签名体制都是不安全的，不能抵抗原始签名人的伪造攻击。 ( 1 ) 体制1 面临的原始签名人的攻击方法 恶意的原签名人a 若要对消息m 进行签名，并声称此签名是由代理人b 所为，只需从等式xe b m o d n b = h ( m 。，聊) 解出x ( 这在数学计算上是可行的) ， 同样令y = h ( m 。) 。m o d a 和z = k 。m o d a ，这时g = m 厶m 。，m ) 就是一个有 效的代理签名。因为代理签名验证中的四个等式显然都成立。 ( 2 ) 体制2 面临的原始签名人的攻击方法 恶意的原签名人a 若要对消息m 进行签名，并声称此签名是由代理人b 所为，所用的方法和上面一样，只要从等式厅( 珊) = f i e , , e , m o d l i b 解出卢即可。 这时的( m ，a ，卢me p ，n a e a ，n b ，e b ) 也是一个有效的代理签名。 由于上面的两个体制都不能抵抗原始签名人的攻击，也就都不具备强不 可伪造性和强不可否认性，当然也就不满足强代理签名的安全性要求。 2 2 2 基于离散对数的强代理签名方案及安全性分析 基于离散对数的强代理签名体制是建立在“求解离散对数难题”上，是 目前最常见、研究最活跃的强代理签名体制。比较典型的有基于o k a m o t o ， e l g a m a l 和s c h n o r r 的强代理签名体制。 1 0 堕叠堡兰型查堂堡主堂垡笙苎 为便于对这种体制进行研究，首先简单介绍什么是离散对数问题： 设g 是一个乘法群，a 是g 中任意一个元素。对于给定的b g ，如果 存在一个整数x ，使得a x = b ，那么称x 是以a 为底b 的离散对数，记作x = l o g 。“。在给定a 、b 的情况下，去求x = l o g 。6 的问题称为离散对数问题。 有三种群上的离散对数问题在密码学中比较有用。它们是素数域的乘法 群、特征值为2 的有限域的乘法群和有限域上的椭圆曲线群。其中素数域 的乘法群上的离散对数问题可以表述如下。 设p 是一个素数，g 是z 。的一个生成元。已知整数a ，求整数b ， 使得等式9 6 一a ( m o dp ) 成立。 如果p 是一个适当的大素数，那么以上这个离散对数问题就被公认为 困难问题，即不存在多项式时间算法来求解【1 5 ，。 1 ) 基于s c h n o r r 的强代理签名 1 6 1 参数说明： a ：原始签名人 b ：代理签名人 v ：签名验证者 m ： 待签名的消息 p ，q ：两个大素数，满足q ( p - 1 ) g ：ge r z p 且9 41 1 ( r o o dp ) h f l ：单向哈希函数 m 。：授权证书 x u ，y u ：用户u 的私钥和公钥，且满足y 。= g x m o d p 步骤1 ：授权代理过程 原签名人a代理签名人b 选择随机数置a r z q ，计算“= g “m 。d p s a2 x a h ( m w ，r a ) + k a m o d q ! 竺：! ! ：塑 - g 如：y 警”以r a m o d p 哈尔滨工程大学硕士学位论文 步骤2 ：代理签名和签名验证阶段 代理签名人b签名验证者v 计算石p = s + x b m o d q 盯2 s i g n ( m ，x p ) ( m ，仃，r a ，m 。 1 1 。t 计算y p = y a h ( m w , r a ) r a y b m o d p 验证v e r i f y ( m ，口，y p ) ：t r u e 2 ) 代理签名人匿名的强代理签名体制n ， 方案参与者有原始签名人o ，代理签名人p ，签名验证者v ，和可信中 心t ，h p 是p 的别名，i d p 是p 的身份信息，x 。是代理私钥，y ，是代理公 钥。其它参数同体制l 。 步骤1 ：获取别名 可信中心t代理签名人p ! 坐 选择随机数k p ，k t e r z ： 计算h p = h ( k e , i d e ) ，r r = g b m o d p ( h p ，印，s t ) s t = x r h ( h e ，r t ) + k t m o d q - - - - - - - - - - - - - - - - - - - - - - 一 g 却：y t h ( h p ，) r tm o dp 步骤2 ：授权代理过程 原签名人0代理签名人p 选择随数k o e r z ：，r 0 = g k o m o d p s d = x o h ( m 。，r o ) + k 。m o dq ! 生：垒：型 g ”：y 。6 “，。m o dp 步骤3 ：代理签名和验证 哈尔滨工程大学硕士学位论文 代理签名人p 计算x j ，= s 。+ j 7m o d q ， o = s i g n ( m 。x p ? ) 签名验证人v ( 卅，仃，匕，m 。，i d o ，h p ，) - - - - - - - - - - - - y n ：y 。“( ”w , t o ) r 。y r6 ( “p , r t ) 7 rm o d p 步骤4 ：揭示代理签名人p 的身份 签名验证人v 可信中心t h p ： ( t p ，i d p ) 安全性分析： 首先分析体制1 的安全性。体制1 是在文献1 6 中提出，并给出了安全 性证明。证明的基础还是基于s c h n o r r 体制的安全性，并没有从强代理签名 方案本身来证明。文献8 认为b l e e 等的强代理签名方案是不安全的，不能 抵抗原始签名人的伪造攻击，攻击方法如下。 一个恶意的原始签名人a 计算：_ = y 口r o o dp ， 这时x p = 硝h ( m 。，r a ) m o dq 就是一个有效的代理签名私钥，而( m ，盯， r a 。，m 。) 就是消息m 的一个有效代理签名。因为： y e = y a h ( r ay br a r o o dp = g x a ( “”r a ) y 曰r a m o dp = g x a ( r a ) y by 曰一l m o dp = g x a h ( m w , r a ) m o dp = g x er o o d p 去一 哈尔滨工程大学硕士学位论文 本方案也不能抵抗原始签名人的公钥替换攻击，分析发现，无论是伪造 攻击还是公钥替换攻击，都有一般性的攻击方法。 ( 1 ) 一般性的原签名人伪造攻击。 恶意的原始签名人a 要伪造对消息m 的签名，只需从等式 y p = y 一 ( m w ，_ ) y 口r a m o d p 入手，令y bf a m o dp = g f ( ”一) r o o dp ，( f ( r ，b ) 是r ，b 的函数，r 是a 能得到的数 据，b 是随机数) ，从中计算出r a 。即可。因为： 帅= y 甜m w , r a ) y br a m o d p = y ( ”w ，_ ) g f ( r , b ) m o dp = g x a ( ，“) g f ( r , b ) m o dp = g x em o d p 并令却= ( 确h ( m 。，r a ) + ，( r ，6 ) ) m o dq ，这时的却就是一个有效的代理 签名私钥。 ( 2 ) 一般性的原始签名人公钥替换攻击。 恶意的原签名人a 选择随机数却，月z 。+ ，并构造下面的等式： y p = ( y f f ) 6 ( “一r a ) y br a m o d p = g x pr o o d p 从中计算出y 。，a 把自已的公钥替换为y 4 就可执行对消息m 的有效代理 签名了。计算过程如下： ( “) h ( m 一, r a y 口 a m o dp = g x pm o dp ( “) 6 ( ，啪) m o dp = ( y b _ ) 一1g x p r o o dp = 7 r a 、一 ( 优w _ ) 却 ( m ”，_ ) - lmodya(yb g m o d p 2 l 47 。“ 哈尔滨工程大学硕士学位论文 进一步分析表明体制2 ，b l e e 等m 提出的非指定的强代理签名方案和强 代理多签名方案都是不安全的，都不能抵抗原始签名人的伪造攻击和公钥替 换攻击。具体的攻击方法和上面提到的一样，这里不再赘述。因此，这四种 方案都不满足强代理签名性质的第一条：强不可伪造性。因此，这四种方案 都不算是强代理签名方案。 3 1 新的基于身份的强代理签名方案“” 参数定义： g ，是次数为q ( 大素数) 的加法循环群，p 是g 1 的生成元ag 2 是一个 次数为q 的乘法循环群。双射对就是映射e ：g lx g l 一g 2 ，基于的数学难 题是b d h p ( b i l i n e a rd i f f i e h e l l m a np r o b l e m ) ，详细内容见d b o n e ha n d m f r a n k l i n t l l h ： o ，1 ) g 2 斗z 口，h 1 ： 0 ，l + 专g 1 m 。：授权说明书，且h 1 ( m 。) 是g 1 上的点 u ：原始签名人 i d u ，q 慨= h l ( z 见) ，s 蛾= s q l d u 分别是用户u 的身份、公钥和相 应的私钥。 方案的参与者有原始签名人0 ，代理签名人p ，签名验证者v 和私钥生 成中心p k g 。 步骤1 ：系统初始化 私钥生成中心( p k g ) 随机选择se z q ，计算p 。6 = s p ，公开系统参 数p a r a m a s = g 1 ，g 2 ，含，q ，p ，p 口曲，研，团，s 作为主密钥。 步骤2 ：密钥生成 o 和p 分别提供各自的身份信息o ，p 给p k g ，p k g 再分别计算 他们的私钥s 皿，s ，。 步骤3 ：授权代理过程 o 随机选择，z 。，计算签名s 。= r h l ( 州。) + s 皿，然后把s 。通过安 全信道发送给p ，并公开参数r p ，m 。 步骤4 ：代理签名密钥生成 哈尔浜工程人学硕士学位论文 p 收到s 。后，验证等式( s 。，p ) ：( q ( m 。) ，r p ) ( p p 曲，q ) ，等式成立则接受 签名，并计算代理签名密钥s 2 s 。+ s 脚和代理签名公钥q w p = q 1 d o + q m r 。 步骤5 ：代理签名生成 p 随机选择x6 2 4 ，计算k = 3 ( p ，p 6 ) 1 ，k = h ( m ，足) s = x p p 曲一姆叩 ，这时的( 珊，r p ，m 。，s ，i ) 就是一个有效的代理签名。 步骤6 ：代理签名的验证 v 收到签名( m ，r p ，m 。，s ，k ) 后，验证等式： 世：( p ，s ) 岔( p 砌，q 。) 含( 啊，h l ( 珑。) ) 如果等式成立则接受签名，否则，v 判定代理签名无效而拒绝接受签名。 安全性分析： 分析表明本方案不能抵抗原始签名人的伪造攻击，方法如下。 恶意的原签名人0 想要对消息m 签名，并声称是代理签名人p 所为， 只需按照下面方法执行。 原签名人0 选择随机数r 乙+ ，x z g + ，k _ g ( p ，p p 曲) 。， k = p h ( m ，k ) 。伪造的代理私钥为s w p = + 喝。) ，s 叩。就是一个有效 的代理签名密钥，这时生成的签名s = 妒p u b - p p 曲n ( m ，足) q 脚一s 邶。就是 一个有效的强代理签名。证明如下： 含( p ，s ) 岔( p p u bq 邶) 酋( 印，日l ( 晰。) ) = 岔( p ，x p p 曲一p p 曲n ( m ，k ) g 怫一ks ”) ( p p 加q 岬) 。9 ( ，p ，峨( m 。) ) = g ( p ，x p w 6 ) a ( p ，一p p 曲h ( m ，k ) q l o p ) 岔( p , - ks ) 拿( p p u bq 即) ( r p ，h l ( m 。) ) = g ( p ，x p 。b ) # ( p , - s ph ( m ，k ) q 口，) 1 岔( p , - ks i d 。一kn h l ( 卅。) ) 套( p 删6 ，q 岬) 岔( ，p ，h l ( m 。) ) = ( p ，x p p 曲) 0 ( s p ，k q 脚) ( p , - ks i d 。) 参( p , - kr h l ( m 。) ) 岔( p 芦种，9 ，d 0 + g 脚) 拿( 伊，h l ( m 。) ) = g ( p ，x p p 曲) g ( p p 曲，q 1 0 e ) 一。岔( p 6 ，q i d o ) 一参 ( 慨h l ( 聊。) ) 一3 ( p d ，q ) 0 ( p p 咖q i d p ) ( r p ，( m 。) ) = 3 ( p ，p 础) 。 = k 2 3 一个新的匿名强代理签名方案及其分析 2 3 1 新的匿名强代理签名方案 新方案是对文献l o 给出的方案进行改进。为了便于分析和改进，首先简 单回顾并分析原方案。 方案的参加者包括：原始签名者( m ) 、代理签名者( p ) 、签名验证者 ( v ) 。 1 ) 方案回顾 ( 1 ) 初始化过程 选择大素数p 和q ( 满足安全要求) ，其中，qj 邑p 一1 的大素数因子，然 后选择耳，其值在1 和p 之间且满足，= 1 ( m o dp ) 。h 为安全的哈希杂凑 函数，。二s i g n ( m ，j ) 和v e r i f y ( 玛以v ) 分别为基于离散对数的签名算法和对应 的验证算法( m 为消息，s 和v 为签名者密钥对，v m o dp ) ，m 和p 的密 钥对分别为( x m ，y g m o dp ) 和( x p 蛐= g 却m o dp ) 。 ( 2 ) 代理者秘密生成s p 首先，原始签名者m 将其标志i d 。和代理授权m 。通过安全通道发送给代理 签名者p ，其中代理授权m 。包括代理签名有效时间、代理签名消息范围等， 哈尔滨工程大学硕士学位论文 代理签名者p 收到m 。后秘密生成s p ，其生成过程如下： 原始签名者m代理签名者p i d m ，m w - - - - - - - - - - - - - - - - - - - i 廓r z ，k p = m o d1 3 , s t , = x p + k p 酶m o dg l rz ，k 1 = 矿1 m o dp ， s i = x ph ( k p ，i d p ，k 1 ) + k l m o dg 厨，i d p ，k i ，s l i 一 n 西兰帅脚1 0 蛐k im o d p 如果上述等式成立，原始签名者m 秘密保存( k p ，i d p ) 以备日后需要时 揭示代理签名者身份，然后计算y p i 郧雉m 。dp 并写入。中。