（计算机应用技术专业论文）多级代理签名与盲代理签名的研究.pdf

摘要 在数字化的信息社会里，数字签名代替了传统的手写签名和印签，是手写签 名的电子模拟。在使用数字签名的过程中，会遇到需要将签名权利委托给他人的 情况，代理签名在这种背景下应运而生。 代理签名是一种特殊的数字签名，其主要原理是原始签名人将自己的签名能 力或签名权委托给代理签名人，由代理签名人代表原始签名人对所指定的文档进 行签名来完成签名任务。在有些情况下，代理签名人在得到原始签名人的签名权 利后，仍需将这个数字签名权利进一步委托给新的代理签名人，使得新的代理签 名人也能够代表原始签名人生成数字签名，这就是多级代理签名。然而在有些情 况下，尽管代理签名人“忠实 地行使着原始签名人委托给自己的代理签名权利， 但是仍然不想让原始签名人知道自己在那些文件上代表他生成了代理签名，针对 这种特殊应用提出了盲代理签名。 本文主要研究多级代理签名体制和盲代理签名体制，作者取得的主要成果如 下： 1 基于环z 。上圆锥曲线提出了一种一级委托代理签名体制，证明了该方案满足 代理签名的不可伪造性、不可抵赖性、可区分性、密钥依赖性、可注销性。 2 对本文提出的一级委托代理签名体制进行扩展，并结合多重签名和盲签名，提 出了一个基于环z 。上圆锥曲线的多级代理多重盲签名方案，并对其进行了安 全性分析。 3 对一个基于n y b e r g r u e p p e l 签名体制的盲代理多重签名体制进行分析，发现 其中含有孤悬因子，并且代理签名密钥不包含代理签名人的私钥，针对这两 个问题，提出了一个改进的方案。 4 根据上述改进的基于n y b e r g - r u e p p e l 签名体制的盲代理多重签名体制，结合 盲签名提出了一个盲代理多重盲签名方案。 关键字：代理签名；多级代理签名；盲签名；盲代理签名；多重签名 a b s t r a c t i nt h ed i g i t a li n f o r m a t i o ns o c i e t y ，d i g i t a ls i g n a t u r ec a nr e p l a c et h et r a d i t i o n a l h a n d w r i t t e ns i g n a t u r ea n ds e a l s i g n a t u r e ，w h i c h i sa ne l e c t r o n i cs i m u l a t i o no f h a n d w r i t t e ns i g n a t u r e s w ew i l le n c o u n t e rt h en e e dt od e l e g a t et h ed i g i t a ls i g n a t u r e r i g h tt oo t h e r s t os i g nt h ec a s ei nt h ec o u r s eo fu s i n gd i g i t a ls i g n a t u r e i nt h i s s i t u a t i o nt h ep r o x ys i g n a t u r ee m e r g e sa st h et i m e sr e q u i r ei t p r o x ys i g n a t u r ei sas p e c i a lc l a s so fd i g i t a ls i g n a t u r e sw h i c ha l l o w sa no r i g i n a l s i g n e rt od e l e g a t eh i so rh e rs i g n a t u r ec a p a b i l i t yo rs i g n a t u r er i g h tt oad e s i g n a t e d p e r s o nw h o i sc a l l e dap r o x ys i g n e rt os i g no ns p e c i f i e dd o c u m e n t so nb e h a l fo ft h e o r i g i n a ls i g n e r i ns o m ec a s e s ，a f t e ra c c e p t i n gd e l e g a t i o nf r o mt h eo r i g i n a ls i g n e r ，a p r o x ys i g n e rn e e d st oe n t r u s tt h es i g n i n gr i g h tt oo t h e rp r o x ys i g n e ri nt h en e x tg r a d e i no r d e rt o s i g nt h ed o c u m e n to nb e h a l fo fo r i g i n a ls i g n e r ，w h i c hi sn a m e d m u l t i p l e l e v e lp r o x ys i g n a t u r es c h e m e b u ti ns o m es i t u a t i o n s ，p r o x ys i g n e rp e r f o r m s h i sp r o x ys i g n i n ga u t h o r i t yl o y a l l ya n dd o e s n tw a n tt h eo r i g i n a ls i g n e rt ok n o w w h i c hp a p e r sh eh a ss i g n e df o r s ob l i n dp r o x ys i g n a t u r ew a sp r o p o s e dt om e e tt h i s s p e c i a lr e q u i r e m e n t t h i sd i s s e r t a t i o nm a i n l yd i s c u s s e sm u l t i p l e l e v e lp r o x ys i g n a t u r ea n db l i n d p r o x ys i g n a t u r e t h em a i nr e s u l t st h a tt h ea u t h o ro b t a i n e da r ea sf o l l o w s ： f i r s t ，ao n e g r a d e dp r o x ys i g n a t u r es c h e m eb a s e do nc o n i cc u r v e so v e rz ni s p r o p o s e d t h ep a p e rg i v e sp r o o f so ft h eu n f o r g e a b i l i t y , u n d e n i a b i l i t y , d i s t i n g u i s h a b i l i t y ， p r i v a t e k e y d e p e n d e n c ya n dl o g o u t a b i li t y s e c o n d ，ao n e g r a d e dp r o x ys i g n a t u r es c h e m ei se x t e n d e d ，a n dw i t ht h e c o m b i n a t i o no f m u l t i p l es i g n a t u r e a n db l i n d s i g n a t u r e ，am u l t i l e v e l p r o x y m u l t i b l i n ds i g n a t u r es c h e m eb a s e do nc o n i cc u r v e so v e rz ni sp r o p o s e d a n dt h e p a p e rg i v e sa n a l y s i so fi t ss e c u r i t yo ft h es c h e m e t h i r d ，b a s e d o nt h e a n a l y s i so ft h eb l i n dp r o x ya n dm u l t i - s i g n a t u r eo f n y b e r g - r u e p p e ls i g n a t u r es c h e m e s ，as u s p e n d i n g f a c t o ri sf o u n da n dt h ep r i v a t ek e y o ft h ep r o x y s i g n ei sn o ti n c l u d e di nt h ep r o x ys i g n a t u r ek e y s s oa l li m p r o v e m e n ti s p r o p o s e di nv i e wo f t w op r o b l e m s f o u r t h ，ab l i n d p r o x y a n dm u l t i b l i n d s i g n a t u r es c h e m e ，b a s e d o n t h e b l i n d p r o x ya n dm u l t i - s i g n a t u r eo fn y b e r g r u e p p e ls i g n a t u r es c h e m ei sp r o p o s e d ， c o m b i n e dw i t hb l i n ds i g n a t u r e k e yw o r d s ：p r o x ys i g n a t u r e ；m u l t i p l e l e v e lp r o x ys i g n a t u r e ；b l i n ds i g n a t u r e ； b l i n dp r o x ys i g n a t u r e ；m u l t i p l es i g n a t u r e i i i 长沙理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：陵看砀 日期：2 。1 。年臼3 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权长沙理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密口。 作者签名： ( 请在以上相应方框内打“4 ) 黼阳 日期：2 0 10 年占彤日 导师签名：弃蜥 日期： 2 0 10 年乡月多日 第一章绪论 人类社会的发展被计算机网络的产生带入一个信息化的社会。在这个信息化 的社会中，计算机网络可以说是无处不在，它已经成为人们生活中不可或缺的一 部分。人们可以通过计算机网络进行信息的交流，使得以往需要专门设施进行传 输和存储的重要数据以及机密信息可以通过计算机网络来实现，这大大的降低了 信息传输成本，既方便又经济。正因为如此，各种基于计算机网络的政务活动和 商务活动也就迅猛发展起来，伴随着这种发展也产生了一个问题，即怎样确保在 计算机网络上传输的信息的安全。 网络安全的实质就是信息安全，密码学在保护信息安全方面起着关键性的作 用，为解决信息安全问题提供了许多有效的核心技术。而正是由于信息安全的 重要性，以及现代密码学在信息安全中所起到的重要作用，各国政府和研究机构 对密码学引起了重视，使得密码学有了长足的发展。解决信息的保密性已不再是 现代密码学的唯一用途，它也可用于解决信息的可用性、完整性、不可否认和可 控性等。如今社会的各个领域已经被密码学的应用所渗透到，如对数据的加密、 网络安全、电子现金、电子银行、以及用户和信息的认证等。 1 1 选题的背景和意义 现代密码学由多个部分组成，数字签名就是其中的一个重要组成部分，是当 前网络安全研究领域的一个热点。在电子政务、电子银行、电子商务、电子证券 等系统中数字签名是必备的关键技术之一，在日常的安全电子邮件中也有大量的 应用。数字签名是对公钥密码体制的一种应用，它与公钥密码加密不同，公钥密 码加密是利用接收方的公开密钥进行加密，接收方利用自己的秘密密钥进行解 密。而数字签名与之相反，它是用签名者的秘密密钥对消息进行签名，然后接收 者利用签名者的公开密钥来解密，如果能正确解密，则可以确定这个消息是由签 名者发送过来的，因为除了签名者的公开密钥外，其他人的公开密钥是不可能正 确解密该签名过的消息的，而且其他人也不可能拥有他的秘密密钥来生成该签名 过的消息，这就是数字签名的原理。传统的手写签名与印章在网络环境中已不再 实用，被数字签名所代替。由此，签名通过电子设备实现远距离的、快速的传输 就成为可能。数字签名可以提供多个安全方面的服务，例如数据完整性、不可抵 赖性、身份认证等，在电子安全交易、大型网络安全通信中的密钥分配等方面也 有重要应用。在对数字签名的应用中，由于应用环境的特殊需求，对数字签名也 提出了相应的特殊要求，而普通数字签名方案难以提供解决这些特殊需求的方 法，因此，各种具有特殊性质的数字签名方案被相继提出，形成了数字签名研究 中多个值得关注的方向，例如盲签名| 2 1 、群签名，、代理签名等。 在现实世界中，人们由于某种特殊的原因，可能经常需要将自己的某些权力 委托给可靠的人( 代理人) ，让这位可靠的人代表自己去行使这些权利，签名权 就是这些可以委托的权利当中的一种，下面我们举两个这方面的例子。例1 ：某 个经理在外出时需要签署一些文件，而他在外不能签署，那么在他外出期间就可 由他的秘书来代表他完成；例2 ：某学校的校长授权给办公室主任，让办公室主 任代表他为众多的合格毕业生签名。 如果用传统的手写签名来解决这些问题，只需要把印章交给代理人便可，但 是，对于普通的数字签名来说，要解决上述问题则很难用简单的传递签名密钥来 实现，因为印章可以收回，而签名密钥一旦泄漏将不可收回。要解决这个问题， 就必须设计一种新的数字签名方案。于是，作为数字签名的一个重要分支一一代 理签名应运而生。 由上可知，在数字化的信息社会中，数字签名权力的委托是必然会遇到的一 种情况。而要解决这种情况，也将产生许多技术上的挑战，所以，研究代理数字 签名，有着深刻的实用价值和现实意义。而且随着研究的深入，代理签名的应用 也变得越来越广泛，如：电子现金系统、电子选举系统、公平交换协议、分布式 计算机资源的安全访问等。 1 2 代理签名的发展现状和存在的问题 由于代理签名在现实生活中有着广泛的应用，所以一经提出，便受到国内外 学者的广泛关注，并对其进行了深入的探讨与研究。随着研究的深入，在签名的 类别与安全性方面，对代理签名的要求也在不断提高和丰富，各种各样的代理签 名方案相继被提出。 1 2 1 发展现状 代理签名的概念于1 9 9 6 年首次被m a m b o 、u s u d a 和o k a m o t o t 系统地阐述， 在提出此概念的同时给出了一个代理签名问题的解决方法，为密码学和数字签名 的研究与应用开辟了一个新的领域。他们指出，在代理签名方案中应满足以下一 些性质：不可伪造性、不可否认性、可区分性、可验证性、身份可识别性、密钥 依赖性等，同时提出了完全授权代理签名、部分授权代理签名和具有授权证书的 代理签名，并且构造了一个部分授权代理签名的方案。 从19 9 6 年代理签名首次被提出到目前为止，国内外的许多学者对其进行了 深入的探讨与研究，取得了丰富的成果。例如，k i m 、p a r k 、w o n 和z h a n g t 6 ，于 1 9 9 7 年分别提出了一个门限代理签名方案，s u n 、l e e 、h w a n g f 于1 9 9 9 年指出 2 z h a n g 旧和k i m 、p a r k 、w o n l 二的门限代理方案是不安全的，并给出了一个改进方 案。李继国、曹珍富旧，进一步指出s u n 、l e e 、h w a n g 的方案不能抵抗公钥替换 攻击，并给出了一个更安全的不可否认门限代理签名方案m ，。 在现实生活中，某个人可同时接受多个合法签名人的签名权利，或者若干个 代理签名人组成的群体同时接受多个原始签名人的签名权利，我们把前者称为代 理多重签名，后者称为多重代理签名，进一步还提出了多重代理多重签名。伊丽 江等1 9 , j o l 与祁明、h a r n 1 于2 0 0 0 年分别提出了一个代理多重签名。李继国等副与 王晓明、符方伟3 】分别指出他们的方案是不安全的，并提出了相应的改进方案。 2 0 0 1 年，l e e 等人在综合前人研究成果、分析前人方案在不同攻击下的安全 问题的基础上，构造了一个相当完善的强的非指定代理人的代理签名方案。并把 结果用于多重代理签名、自移动代理和可移动代理中“，。 在某些特殊的场合中，需要在代理签名中隐藏代理签名者的身份。s h u m r ” 和w e iv i c t o r f ”，在l e e 等人”，方案的基础上，于2 0 0 2 年给出了一个基于离散对 数的匿名代理签名方案。在此方案中，代理人身份通过一个匿名中心对外不可见， 但在必要时可由匿名中心揭示代理人的身份。随后基于身份的匿名代理签名方案 也被提出。谷利泽等对文献 16 进行了改进，提出了不需要可信第三方参与的匿 名代理签名方案1 17 , 川，2 0 0 3 年，张等人提出了代理环签名1 1 9 等等。 由于代理签名的特殊性能，被诸多学者建议在多个领域中广泛使用，例如： 移动代理心”、移动通信堙“、分布式系统旧“、网格计算心“、电子选举引等。迄今为 止，各式各样的代理签名方案被人们所提出，然而，这其中的绝大多数都是以提 出方案为主，在安全性方面并没有进行严格的分析和证明。因此，有些方案提出 不久便被找出安全漏洞。出现这种状况的重要原因是因为，在代理签名的安全性 方面，人们还缺乏本质的认识，未形成一个严谨的形式化安全性模型”。为了解 决这种局面，2 0 0 3 年，b o l d y r e v a 、p a l a c i o 和w a r i n s c h i 陋引对代理签名进行了形式 化的定义，并建立了代理签名安全性模型，在代理签名的可证安全方向上迈出了 重要的第一步。 1 2 2 存在的问题 作为一种新型的数字签名技术一一代理签名，一经提出便得到了广大学者的 广泛研究，迄今为止，已经取得了丰富的成果，但以下的问题还有待于进一步研 究解决： 怎么样设计即安全又高效的代理签名。在安全性方面，已提出的代理签 名方案中，许多都存在隐患，易受到伪造攻击，而某些方案为了保证安全性又 使得计算更加复杂，通信量更加大，从而导致执行效率低下，因此，怎样构造 安全高效的代理签名方案有待进一步研究。 怎样把代理签名与多重代理签名、门限签名和签密等技术结合，提出新 的方案值得研究。我们需要针对现实生活中某些特殊场合的应用要求，设计一 些满足这些特殊需求的具有特殊性质的代理签名方案。 怎样防止滥用代理签名权利。到目前为止，使用代理授权证书、时间戳 等技术提出了一些防止滥用代理签名权利的方案，但还值得进步研究。 怎样构造具有多人参与验证的门限代理签密方案。现有的许多代理签密 方案中都只有一个签名人和一个验证人，都是不安全的，多人参与验证的门限 代理签密方案还很少涉及，值得研究。 怎样解决原始签名人的在线问题。 怎样设计多级代理签密和多级代理签名方案。 在电子商务与电子政务中，怎样把代理签名技术更好的应用到其中，以 促进网上交易与政务的公开化。 怎样设计具有不可否认性且实用的代理签名方案。 1 3 本文研究的主要内容和研究成果 1 3 1 研究的主要内容 1 研究代理签名体制，对现有的方案进行安全性分析再对其进行改进； 2 研究多级代理签名体制，基于环z n 上圆锥曲线构造多级代理签名方案； 3 研究盲代理签名体制，在n y b e r g - r u e p p e l 签名体制基础上来构造盲代 理签名方案； 4 针对一些特殊场合的应用要求来构造具有特殊性质的代理签名方案。 1 3 2 研究成果 1 在现有代理签名基础上，提出了一个基于环z 。上圆锥曲线的一级、多级代 理签名方案； 2 把多级代理签名体制和多重签名体制以及盲代理签名体制结合起来，提出 了一个新的基于环z n 上圆锥曲线的多级代理多重盲签名方案； 3 对基于n y b e r g r u e p p l e 签名体制的盲代理签名进行了安全性分析，针对存 在的问题，提出了一个改进方案； 4 提出了一个基- 于n y b e r g - r u e p p l e 答_体制的盲代理多重盲签名方案。 1 4 论文章节安排 论文围绕着代理签名中两类特殊的签名体制一一多级代理签名和盲代理签 4 名展开了研究和探讨，阐述了作者近三年来所做的工作。论文章节安排如下： 第一章：简单介绍了所选课题的研究背景、意义、发展现状及其存在的问题。 确立了本文研究的主要内容，给出了本文的研究成果。 第二章：简要介绍了本文研究所需的一些理论基础知识。首先介绍了密码学 的基础知识，包括公钥密码体制、数字签名在通信中的作用以及代理签名，接着 介绍了本文所需的一些数学基础知识，特别介绍了环z n 上圆锥曲线的基础知识。 第三章：首先给出了多级代理签名的概念。然后基于环z 。上圆锥曲线构造 了一个一级代理签名和一个多级代理签名的方案。在此基础上，结合多重签名和 盲签名，提出了一个多级代理多重盲签名方案。 第四章：介绍了盲代理、盲代理多重签名的概念以及基于n y b e r g r u e p p e l 签名体制的盲代理签名协议。分析并改进了一个基于n y b e r g r u e p p e l 签名体制 的盲代理多重签名方案。最后提出了一个基于n y b e r g r u e p p e l 签名体制的盲代 理多重盲签名方案。 第五章：对本论文进行了总结。 第二章基础知识 本章主要介绍了代理签名的定义、分类、应满足的基本性质，以及在论文中 要用到的一些数学基础知识，如代数知识，环z 。上圆锥曲线知识。 2 1 密码学基础 2 1 1 公钥密码体制 在传统的对称密码系统中，加密密钥与解密密钥是相同或类似的，他们之间 可以进行相互的推导，即知道其中的一个密钥，容易推导出另一个密钥。这种加 密体制的速度非常快，加密强度也非常高，能够承受较高级破译力量的攻击与分 析。但由于它们的加密与解密密钥是相同或类似的，使得密钥的分发和管理，在 一个大范围的网络上是一件很困难的事情，满足不了系统的开放性要求和消息的 确认问题，并且它的安全性几乎完全依赖于密钥的安全性心”。 1 9 7 6 年，w d i f i l e 和m e h e l l m a n 发表了著名的论文一一密码学的新方向， 首次提出了公钥密码的思想。在此新思想的基础上，很快出现了“非对称密钥密 码体制 ，即“公钥密码体制”。 采用两个相关的密钥，将加密与解密能力分开是公钥密码算法的最大特点， 其中一个密钥是公开的，称为公开密钥( 假设用丸表示) ，用于加密；另一个密 钥是为用户专用，是保密的，称为秘密密钥( 假设用k j 表示) ，简称秘密钥，用 于解密。为此公钥密码体制也称为双钥密码体制。 公钥密码体制有其重要特性：加密密钥包和密码算法是公开的，而想要由此 计算出秘密密钥k j 在计算上是不可行的，即由加密密钥屯计算解密密钥k d 是困 难的，k d 的安全性不会因公开屯而受损，其中也和幻是成对出现的，它们形成 密钥对。由r m e r k l e 和m h e l l m a n 开发的背包算法是公钥密码体制的第一个算 法。迄今为止，最著名且使用最广泛的是1 9 7 7 年由r 。r i v e r s t 、a s h a m i r 和 l a d l e m a n 提出的r s a 公钥密码体制。e i g a m a l 公钥密码体制和r a b i n 方案也比 较著名幢”。 公钥密码体制的密钥管理，相对来说比较简单，在开放性的使用环境中也适 用，还能抵抗选择明文攻击，安全性好，是数字签名的基础，但是，算法一般比 较复杂，加解密速度慢。 2 1 2 数字签名在网络通信中的作用 对于像身份证、护照、毕业证等一些重要的证件，是通过权威部门的颁发来 6 保证他们的真实性的，采用的防伪方法通常有：信息隐藏和特殊材料制作等。一 般的重要文件或书信( 如遗嘱、合同等) 是根据印章或者亲笔签名来表明其真实 性的。 大量的信息需要在网络环境中存储、传输。信息的接收方可能伪造一份报文， 并声称这份报文来自于发送方，从而获得非法利益。比如，银行通过网络来传送 一张电子支票，接收方就有可能改动支票的金额，并声称是银行发送过来的。同 样地，信息发送方也可能否认发送过的报文，而从中获得非法利益。比如，某客 户给委托人发送一份进行某项股票交易的报文，结果这项股票交易亏损了，客户 为了逃避损失而否认发送过此交易报文。归纳起来，通信双方有可能发生以下一 些情况： 否认：发送方对自己发送过的某一报文加以否认； 伪造：接收方伪造一份报文，然后声称他来自发送方； 冒充：网络上的某个用户，冒充另一个用户来接收或者发送报文； 篡改：接收方对收到的信息进行篡改。 因此，为了解决通信双方的争端、保证网上传输信息的真实性，就迫切需要 一中新的信息安全技术，这种技术就是数字签名技术。 在传统的商业系统中，契约性责任的规定是通过书面文件的印章或亲笔签名 来实现的。印章和签名起到核准、认证、生效的作用。同样地，在电子商务活动 中，传送文件的数据真实性和当事人身份是通过数字签名来证明的。保护数据最 基本的方法是数据加密，但这只能防止第三者获得真实数据，而不能保证通信双 方的相互欺骗。数字签名则可解决伪造、否认、篡改、冒充等问题。使用数字签 名技术使得发送者事后不能否认发送的报文签名，接受者能够核实发送者发送的 报文签名，接受者不能伪造发送者的报文签名，接受者不能对发送者的报文进行 篡改，网络中的某一用户不能冒充另一个用户。 正是由于数字签名具有的这些独特功能，在某些特殊行业，比如金融、商业、 军事等有着广泛的应用，尤其在身份证明、身份鉴别、数据完整性检验、防否认 等方面功能独特。 2 1 3 代理签名体制 1 代理签名的定义 ( 1 ) 描述性定义 代理签名是指，在一个签名方案中，原始签名人把他的签名权利委托给代理 签名人，然后让代理签名人代表他生成有效的签名，。 ( 2 ) 形式化定义 7 定义2 1 设( m ，s ，s k ，p k ，g e n k e y ，s i g n ，v e r ) 是某个数字签名体制，a 、b 为 其中的两个用户，m 为消息集合，s 为签名集合，s k 为私有密钥集合，p k 为公 开密钥集合，g e n k e y 为产生签名密钥算法的集合，s i g n 为签名算法集合，v e r 为签名验证算法集合，他们的秘密密钥、公开密钥对分别是 ( ( ，y 爿) ，( ，y b ) ) 跃肷。如果以下条件成立： a 利用他的私钥x 。，计算出一个数仃，然后将仃秘密地交给b ； 任何人( 包括b ) 在试图求出x 。时，矿不会对求解有任何帮助； 代理签名者b 可以利用仃和x 。，生成一个新的签名密钥仃。日； 存在一个公开的验证算法v e r a 。疗：尸k s m - - y t r u e ，f a l s e ，使得对任何 s s 和m m ，都有v e t a b ：( n ，s ，z ) = t u r e s = s i g n ( c r _ - + 占，m ) ； 任何人在试图求出、仃和矿扣口时，任何数字签名s i g n ( 仃一口，m ) 都不 会对求解有任何帮助。 那我们称用户a 将他的( 部分) 数字签名权利委托给了用户曰，并且称4 为 b 的原始签名人( o r i g i n a ls i g n e r ) ，称b 为彳的代理签名人( p r o x ys i g n e r ) ，称仃 为委托密钥( d e l e g a t i n gk e y ) ，称吒b 为代理签名密钥( p r o x ys i g n i n gk e y ) ，称 以吼丑作为签名密钥对消息小生成的数字签名s i g n ( e r a - - - b 所) 为a 的代理签名。能 够生成代理签名的数字签名体制称为代理签名体制( p r o x ys i g n a t u r es c h e m e ) 。 以下为代理签名体制应当满足的基本性质8 l ： 一，基本的不可伪造性：只有原始签名人本身能生成他的普通数字签名，其 他任何人( 包括代理签名人) 都不能生成。 二、代理签名的不可伪造性：只有代理签名人本身能生成有效的代理签名， 其他任何人( 包括原始签名人) 都不能生成。特别是当原始签名人委托了多个代 理签名人时，代理签名人之间不能相互伪造代理签名。 三、代理签名的可区分性：代理签名与普通数字签名之间应该有明显的区 别，代理签名与代理签名之间也应该有明显的区别。 四，不可否认性：任何签名人( 不管是原始签名人还是代理签名人) 在生成 一个数字签名后，不能再对它加以否认。 五，身份可识别性：根据一个有效的代理签名，原始签名人可以确定出这个 签名是由那个代理签名人所签。 六、密钥依赖性：代理签名密钥依赖于原始签名人的私有密钥。 七，可注销性：如果原始签名人希望只有在某个特定时间段和某个区间之 内，代理签名人才能够代替他生成代理签名，那么就必须在这个时间段和区间之 外，使得代理签名密钥失去作用。 2 代理签名的分类 8 到目前为止，代理签名还没有一个系统的分类，但根据某些性质，有人对其 进行了简单的分类。根据不可否认性，l e eb 、k i mh 和k i mk 1 2 9 , 3 0 把代理签名分 为弱代理签名和强代理签名。仅代表原始签名者的签名为弱代理签名，而代表原 始签名者和代理签名者的签名为强代理签名。根据是否指定代理签名者又把代理 签名分为非指定代理签名与指定代理签名。同时，他们考虑了自代理签名：即原 始签名者和代理签名者是同一个人，原始签名者为他自己本身产生代理密钥对。 m a m b o 、u s u d a 和o k a m o t 0 14 , 3 1 1 三位学者根据代理授权的类型把代理签名分 为：完全代理签名、部分代理签名和基于证书的代理签名。 完全代理签名：在这种签名体制中，原始签名人通过安全通道，直接把 自己的签名密钥传送给代理签名人，这样，代理签名人就拥有与原始签名人一样 的签名密钥，他们之间产生的签名没有任何区别，不满足代理签名的可区分性， 也就不能对代理签名权利进行“监督”，同时也不满足代理签名的不可否认性。 在很多情况下，为了保证自己的安全性，原始签名者不得不修改他的签名密钥， 因此，在商业中不可能使用这种签名。 部分代理签名：在这种签名体制中，原始签名人首先利用自己的签名密 钥生成一个代理签名密钥，然后通过安全通道，把它送给代理签名人，而且必须 保证原始签名者的签名密钥不能由代理签名密钥求出。对于代理签名者所能够签 名的消息的范围并没有限制，因此代理签名者对签名权的滥用也就无法制止。 部分代理签名又可以根据原始签名者是否可以产生同代理签名者一样的代 理签名分为代理非保护的方案与代理保护的方案。 ( a ) 代理非保护代理签名：在这种签名体制中，代理签名人与原始签名人都 知道相同的代理签名密钥，因此，原始签名人也能够生成代理签名，这样他们之 间就有可能发生争论，代理签名者的利益得不到保护。 ( b ) 代理保护代理签名：在这种类型，有效的代理签名只有代理签名者能够 生成，原始签名者不能生成。因此，这种类型可以消除原始签名者和代理签名者 之间的争论。 基于授权证书的代理签名：在此类型中，原始签名者给代理签名者发送 一个授权证书，其中授权证书包含原始签名者与代理签名者的身份信息、授权期 限和代理签名者可以签署的消息类型等。因此，前两种代理签名类型中所存在的 弱点，基于授权证书的代理签名都可以消除。 k i m 、p a r k 和w o n 1 于1 9 9 7 年提出了具有授权证书的部分代理签名概念， 这种代理签名结合了具有授权证书的代理签名和部分代理签名的优点，具有合理 的授权规则和可接受的执行效率，它是至今为止最实用且有效的代理签名。在这 种代理签名中，原始签名人首先利用自己的签名密钥，对一个授权的文件进行签 名，然后将这个签名发送给代理签名人，代理签名人收到这个签名后，结合自己 9 的密钥生成个代理签名密钥，这个密钥只有代理签名人自己一个人知道，这样 他就可以利用这个代理签名密钥进行代理签名。具有合理的安全性和较高的效率 的具有授权证书的部分代理签名，一经提出，便得到了重视和关注，此后本论文 所提的代理签名均指这一类型代理签名。 2 2 数学基础知识 2 2 1 代数知识 群、环、域都是代数系统( 也称代数结构) ，代数系统是对要研究的现象或 过程建立起的一种数学模型，模型中包括要处理的数学对象的集合以及集合上的 关系或运算，运算可以是一元的也可以是多元的，可以有一个也可以有多个，。 设堆是集合s 上的运算，若对v a ，b s ，有口牛b s ，则称s 对运算木是封闭 的。若木是一元运算，v 口s ，有枣a s ，则称s 对运算木是封闭的。 若v a ，b ，c s ，有( a 宰6 ) 事c = a 宰( b 宰c ) ，则称木满足结合律。 定义2 2设 是一个代数系统，宰满足： 封闭性。 结合律。 则称 是半群。 定义2 3设 是一个代数系统，木满足： 封闭性。 结合律。 存在元素e ，g a g ，有a e = e 宰a = a ；e 称为 的单位元。 v a g ，存在元素a ，使得a 木a = 口- 1 a = e ；称a - 1 为元素a 的逆元。则 称 是群。 如果g 是有限集合，则称 是有限群，否则是无限群。有限群中，g 的 元素个数称为群的阶数。 如果群 中的运算掌还满足交换律，即v a ，b g ，有a 木b = b 宰a ，则称 为交换群或a b e l 群。 群中运算掌一般称为乘法，称该群为乘法群。若运算宰改为+ ，则称为加法 群，此时逆元a 1 写成a 。 定义2 4设 是一个群，是整数集合。如果存在一个元素g g ，对 于每一个元素a g ，都有一个相应的f i ，能把a 表示成g ，则称 是循环 群，g 称为循环群的生成元。 定义2 5若代数系统 的二元运算+ 满足： 是a b e l 群。 l o 是半群。 乘法在加法+ 上可分配，即v a ，b ，c r ，有a ( b + c ) = a b + a c 和 ( b + c ) a = b a + c a 。则称 是环。 定义2 6若代数系统 的二元运算+ 和满足： 是a b e l 群。 是a b e l 群，其中0 是+ 的单位元。 乘法在加法+ 上可分配，即v a ，b ，c f ，有a ( b + c ) = ao b + a c 和 ( b + c ) a = b a + c a 。贝0 称 是域。 2 2 2 环z n 上圆锥曲线 1 环z n 上圆锥曲线及其刻划 环乙是一个模n 的剩余类环， y 2 暑锻2 一b x ( m o d n ) ( 2 1 ) 在乙上的解集( x ，y ) ，其中力= p q ， 由上显然有：0 = ( 0 , 0 ) g ( 口，b ) “。 环乙上的圆锥曲线是同余方程： p 、q 为两个不同的奇素数，( 口，胛) = ( 6 ，n ) = 1 ， 记g ( 口，b ) ( 即同余方程( 2 1 ) 的解集) 为： g ( 口，6 ) = ( ( x ，y ) 乙乙i y 2 三饿2 - b x ( m o d n ) ) ( 2 2 ) 其中 c l = 舅( ，) = ( b ( a - t 2 ) ，t b ( a - t 2 ) 。1 ) ，( 口一，2 ，2 ) = 1 ，v t z 。) ， c 2 = b o ) = ( p p b ( a 一，2 ) ，p p b t ( a f 2 ) 。1 ) ，( 口一f 2 ，g ) = 1 ， v t z q ，p p 一1 三l ( m o d q ) ，( 口一t 2 ) ( 口一f 2 ) 一1 兰l ( m o d q ) ， c 3 = p 3 ( t ) = ( q q b ( a f 2 ) ，g g b t ( a 一，2 ) _ ) ，( 口一f 2 ，p ) = 1 ， v t z 。，g g 一兰l ( m o d p ) ，( a - t 2 ) ( a - t 2 ) 一暑l ( m o d p ) 下面以坐标的方式定义环乙上圆锥曲线g ( 口，b ) 中的加法运算0 ，即： 对任意p = ( x i , y 1 ) e ( 口，b ) ，q = ( x 2 , y 2 ) g ( 口，b ) ，定义p 0q 如下3 1 ： ( 1 ) 当p q 时，poq 的定义为 若( x 2 x 1 , 刀) = l ，则p o q ：鼻( r ) c l ，其中f ：丝二堕( m o d 刀) 。 若( x 2 - x l ，刀) = p ，则尸0p = e 2 ( t ) c 2 ， ( 9 若( x 2 一而，甩) = q ，则尸0q = b ( ，) c 3 ， 其中f ：幽( m o d g ) 。 x 2 一x l 其中f ：必( m o d p ) 。 x 2 一x l ( d 若( x 2 x l ，刀) = 刀，贝0p o q = o 。 ( 2 ) 当p = q 时，p0q = 2 p = 2 ( x l ，y 。) 的定义为 若( y l ，门) = 1 ， 则2 p = 鼻( ，) c l ，其中f = 掣( m o d 疗) 。 z y l 若( y l ， ) = p ， 则2 尸= 最( f ) c 2 ，其中，；掣( m o d g ) 。 z y l 若( j ，。，刀) = g ，则2 p = 只( f ) c 3 ，其中，：掣( m o d p ) 。 z y l ( d 若( y l ，z ) = 刀，贝02 p = o 。 为了将更方便的定义g ( 口，b ) 上的另一种运算以及证明在这样的运算下 e ( 口，6 ) 是一个有限加群，下面用另一种方式来刻划e ( 口，6 ) 。由于同余方程( 2 1 ) 的解集等价于同余方程组： i y 2 兰a x 2 一b x ( m o d p ) l y 2 兰缀2 一b x ( m o d q ) ( 2 3 ) 的解集。由中国剩余定理可知，对每一个c a 乙唯一决定一对( c p ，q ) ，其中 c p z 尸，c q z 。这样g ( a ，6 ) 上每一点m = ( x ，y ) g ( 口，6 ) 都能被唯一地表示成 一对【m p ，m 。】- 【( x p ，y p ) ，( x 。，y 。) 】，其中m 尸c p ( 口，6 ) ，m gc q ( 口，6 ) ，并有： x - - - - x ，( m o d p ) ，x 三x q ( m o d q ) ( 2 4 ) y 暑y p ( m o d p ) ，y 兰y q ( r o o d q ) ( 2 5 ) 记这个关系为，通过这个对应关系，e ( 口，6 ) 与c 。( 订，6 ) c q ( 口，6 ) 间是一一对 应的。于是可以通过c p ( 口，6 ) c q ( 口，6 ) 来得到g ( 口，6 ) 的全部点，并通过讨论 c 口( 口，6 ) c q ( 口，b ) 来讨论g ( 口，b ) 的各种性质，。 首先，利用有限域c 上圆锥曲线的点的加法。来定义g ( 口，6 ) 上的加法运算 0 。事实上， c ( 口，b ) 中的加法运算可以通过映射来定义，即 g ( 口，6 ) 山c p ( 口，6 ) q ( 口，6 ) ，g ( 口，6 ) 上每一个点m = ( x ，y ) g ( 口，6 ) ， m 屿【m p ，鸠】，m ，与鸠由( 2 4 ) 、( 2 5 ) 确定，显然o 山【d ，q 】。反之， 设m ，为c p ( 口，6 ) 中任一点，m 。为q ( 口，6 ) 中任点，则通过( 2 4 ) 和( 2 5 ) ，由孙 子定理，可唯一决定g ( 口，6 ) 中点的m ，即 肘，m 。】。m ，矽一1 表的逆映射。 对g ( 口，b ) 中任意两点p 、q ，其加法运算定义为，： 尸o q = ( p po 绯，弓o g ) ( 2 6 ) 有以下命题，： 1 2 命题2 1e ( 口，6 ) 上通过映射和坐标定义的两种加法是一致的。 2 圆锥曲线c 。( 口，b ) 构成一个有限交换群 显然由有限域c 上圆锥曲线( c 。( 口，6 ) ，0 ) 可构成一个有限交换群，这样就可 以得到环z 。上的圆锥曲线( c 。( 口，6 ) ，o ) 满足以下一系列