（计算机应用技术专业论文）基于不需要可信方的代理签名方法研究.pdf

基于不需要可信方的代理签名方法研究 摘要 随着信息技术的发展和网络应用的日益普及，人们之间的信息交流呈现出国际化、 网络化、数字化的趋势。安全是网络发展的一个关键因素，信息安全理论与技术就变得 越来越重要。数字签名技术是信息安全理论与技术的基础和重要保证，它可以保证信息 的完整性，鉴别发送者身份真实性和不可抵赖性，在保护网络通信安全方面起着重要的 作用。在数字签名技术中使用的数字证书，可以在由计算机网络构建的虚拟世界中实现 身份识别和认证等功能。 在现实世界中，人们因为某种特殊原因，经常需要将自己的某些权利委托给可靠的 代理人，由代理人代表本人行使这些权利。在这些可以委托的权利中包含签名权，而在 电子化信息社会中也会遇到签名权委托的问题，但最初的数字签名并不具备代理功能。 1 9 9 6 年，由m a m b o ，u s u d a 和o k a m o t o 提出了代理签名的概念，给出了解决数字签 名权力的委托问题的一种方法。代理签名是指具有签名权力的原始签名人在不泄漏自己 的签名私钥的前提下授权代理签名人，由代理签名人代表原始签名人生成一个有效的代 理签名，代理签名接收方在验证代理签名是否有效的同时还可以验证原始签名人是否授 权。代理签名方案是一种新型的数字签名技术，在移动通信、移动代理、电子商务、电 子选举、电子拍卖等实际应用中起着重要作用。 自代理签名的概念被提出以来，代理签名因其良好的性质引起人们的普遍关注。研 究人员提出了许多在基本代理签名基础上进行扩展而来的新型的签名方案，如：代理多 重签名，门限代理签名，基于身份的代理签名，盲代理签名，具有证书撤销功能的代理 签名，主格代理签名，一次性代理签名，匿名代理签名等。 本论文的研究成果包括以下几个方面： 1 对典型代理签名方案进行密码学分析，发现该方案不具有强不可伪造性；且由 于基于离散对数问题，实现效率不高，数据冗余量大。本文基于椭圆曲线公钥密码体制 ( e c c ) 构造了一个新的不需要可信方的匿名代理签名方案，对新方案的各项基本性质进 行了具体分析。新方案具有强不可伪造性，且签名结果不含冗余数据，安全性高，实现 速度快，具有良好的实际应用前景。 2 分析了现有的基于身份的盲签名和代理盲签名，发现这些系统都需要无条件信 任私钥产生中心p k g 。因为p k g 可以计算系统内任何用户的私钥，也可以伪造任何用户 的签名。利用双线性映射理论，结合代理签名和盲签名优点，在基于身份的公钥密码体 制中，提出了一种基于身份无可信中心的代理盲签名方案。该方案有效的克服了现有方 案的安全缺陷，并满足代理签名和盲签名所需要的各种安全性要求。其计算量虽有少量 增加，但仍低于其他同类方案。 关键词：数字签名代理签名公钥密码体制无可信方 基于不需要可信方的代理签名方法研究 a b s i r a g l w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rc o m m u n i c a t i o nn e t w o r k ，p e o p l eh o p e t oi m p l e m e n tr a p i da n dl o n g 。d i s t a n c ec o m m u n i c a t i o nb ym e a n so fe l e c t r o n i c a p p a r a t u s t h ev o g u eo fi n t e r n e ti sm a k i n gt h ec h a n g e so ft h ep e o p l e sl i f es t y l e w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，t h et h e o r ya n dt e c h n o l o g yo fi n f o r m a t i o n s e c u r i t yb e c o m em o r ea n dm o r ei m p o r t a n t s e c u r i t yi s o n eo ft h ek e ye l e m e n t s o ft h ed e v e l o p m e n to fi n t e r n e t s oi th a sb e c o m ea ni m p o r t a n tr e s e a r c ha r e a d i g i t a lc e r t i f i c a t i o nc a nt a k et h ep l a c eo fi d e n t i f i c a t i o na n dv e r i f i c a t i o ni n v i r t u a lw o r l dc o n s t r u c t e db yc o m p u t e rn e t w o r k a sar e s u l t ，d i g i t a ls i g n a t u r e ， w h i c hi sw i d e l yu s e di ns o c i e t yn o w a d a y s ，c o m e si n t ob e i n ga n dh a sb e e np l a y i n g av e r yi m p o r t a n tr o l ei nt h ef i e l d s o fi n f o r m a t i o ns e c u r i t y m o r eo f t e nt h a nn o t ，p e o p l et h i n ki ti sam u s tt oe n t r u s ts o m eo ft h e i rr i g h t s ， i n c l u d i n gt h er i g h to fs i g n a t u r e ，t os o m er e li a b l ea g e n t s ，t h e n ，t h ea g e n t sc a n e x e r c i s et h er i g h t sb ys t a n d i n gf o rt h e m i nr e a lli f e ，p e o p l ea l w a y se n t r u s t s o m er i g h t st oat r u s t e dp r o x y ，i ti st h et r u s t e dp r o x yw h oe x e r t st h e s er i g h t s i nt h e s ee n t r u s t e dr i g h t s ，s i g n i n gr i g h ti si n c l u d e d s i g n i n gr i g h ta l s ow i l l b ee n c o u n t e r e di nv i r t u a li n f o r m a t i o nw o r l d b e i n gal e g a lr e p l a c e m e n tf o r h a n d - w r i t t e ns i g n a t u r e s ，d i g i t a ls i g n a t u r ed o e sn o th a v ea g e n t i a lf u n c t i o ni n f i r s t a sak i n do fn e wd i g i t a ls i g n a t u r es c h e m e s ，p r o x ys i g n a t u r ei sf i r s tp r o p o s e d b ym a m b o ，u s u d aa n do k a m o t oi n1 9 9 6 t h ep r o x ys i g n a t u r ei sas i g n a t u r es c h e m e t h a ta no r i g i n a ls i g n e rd e l e g a t e sh i s h e rs i g n i n gc a p a b i l i t yt oap r o x ys i g n e r w i t h o u tl e a k i n gh i so rh e rp r i v a t ek e y ，a n dt h e nt h ep r o x ys i g n e rc r e a t e sav a l i d s i g n a t u r eo nb e h a l fo ft h eo r i g i n a ls i g n e r ，t h er e c e i v e r o ft h es i g n a t u r e v e r i f i e st h es i g n a t u r ei t s e l fa n dt h eo r i g i n a ls i g n e r sd e l e g a t i o nt o g e t h e r p r o x ys i g n a t u r es c h e m e sa r et h ev a r i a t i o no fd i g i t a ls i g n a t u r es c h e m e s i fa m a n g e rd e l e g a t e sh i sr i g h t st oh i ss e c r e t a r i e sw h i l eh et r a v e l i n go u t s i d e ，t h e s e c r e t a r i e sc a ns i g nt h em e s s a g eo nb e h a l fo ft h em a n g e r f u r t h e r m o r e ，v a r i o u se x t e n s i o n so ft h eb a s i cp r o x ys i g n a t u r ep r i m i t i v eh a v e b e e nc o n s i d e r e d t h e s ei n c l u d ep r o x ym u l t i s i g n a t u r e ，t h r e s h o l dp r o x y s i g n a t u r e s ，i d b a s e dp r o x ys i g n a t u r e s ，b l i n dp r o x ys i g n a t u r e s ，p r o x ys i g n a t u r e s w i t hw a r r a n tr e c o v e r y ，n o m i n a t i v ep r o x ys i g n a t u r e s ，o n e t i m ep r o x ys i g n a t u r e s ， a n dp r o x y a n o n y m o u sp r o x ys i g n a t u r e s p r o x ys i g n a t u r e sh a v ef o u n dn u m e r o u s p r a c t i c a la p p l i c a t i o n s ， i n c l u d ee l e c t r o n i cp a y m e n ts y s t e m ，e - c o m m e r c e ， 墨! 至至墨! 堡空竺垡垩釜兰查兰翌窒 e 1 e c t r o n i ca u c t i o n d i s t r i b u t e d s y s t e m s ， g r i dc o m p u t i n g ， m o b l l e a g e n t a p p l i c a t i o n s ，d i s t r i b u t e ds h a r e do b j e c ts y s t e m s ，g l o b a l d i s t r i b u t i o nn e t w o r k s , a n dm o b il ec o m m u n i c a t i o n s t h em a ina c h ie v e m e n t sc o n t a in e dint h i sp a p e ra r ea sf o ll o w s ： 1 i ti sf o u n dt h a tt h ep r o x ys i g n a t u r es c h e m eh a sn o t g o tt h ep r o p e r t yo t s t r o n gu n f o r g e a b ili t ya n dl o wi m p l e m e n t a t i o ne f f i c i e n c ya n dr e d u n d a n td a t ao f t h ec o n s t r u c t i o no f d i s c r e t el o g a r i t h mp r o b l e m t h i sp a p e r p r o p o s e san e w a n o n y m o u s p r o x ys i g n a t u r es c h e m ew i t h o u t t r u s t e d p a r t yb a s e do ne c c ，a n da n a l y z e s t h ee s s e n t i a ls e c u r i t yc h a r a c t e r si th a s i ts h o w st h a tt h en e ws c h e m ec a nk e e p t h ep r o p e r t yo ft h eu n f o r g e a b ilit ya n dd o e sn o th a v et h er e d u n d a n td a t a 1n s i g n a t u r e i ta l s oh a st h eq u a li t yo fh i g h s e c u r i t ya n dh i g he f f i c i e n c y o f i m p le m e n t a tio n 2 i ti sa n a l y z e st h ee x i t i n gi d b a s e db l i n ds i g n a t u r e sa n dp r o x ys i g n a t u r e s i t i sf o u n dt h a tt h e s es y s t e m sn e e dt ot r u s ta p k gu n c o n d i t i o n a ll y b e c a u s ep k g c a nc o m d u t et h ep r i v a t ek e yo fa n yu s e ri ns y s t e m ，i tc a nf o r g e ab l i n ds l g n a t u r e o rap r o x ysig n a t u r eo fa n yo n e b a s e do nt h e o r yo fw ei lp a r i n ga n di d - b a s e d c r y p t o g r a p h ys y s t e m ，an e wi d b a s e dp r o x yb l i n ds i g n a t u r ew i t h o u tt r u s t e dp a r t y i sd r e s e n t e d a ni m p r o v e dp r o x yb l i n ds i g n a t u r es c h e m ew a sp r o p o s e d ，w h i c h c a n r e s o l v et h es e c u r i t yp r o b l e m se x i s t i n gi nt h eo r i g i n a ls c h e m ea n d s a t i s f yo t h e r r e q u i r e dp r o p e r t i e s o fap r o x yb li n ds i g n a t u r e s c h e m e t h ec a l c u l a t l v e c o m p l e x i t yi sl o w e rt h a nt h a to f t h eo t h e rs c h e m e sd e s p i t ea1 i t t l e i n c r e a s e k e yw o r d s ：d i g i t a ls i g n a t u r e ，p r o x ys i g n a t u r e ，p k i ，n o n t r u s t e dp a r t y 基于不需要可信方的代理签名方法研究 学位论文独创性声明 本人承诺：所呈交的学位论文是本人在导师指导下所取得的研究成果。论文中除特 另t j ) j h 以标注和致谢的地方外，不包含他人和其他机构已经撰写或发表过的研究成果，其 他同志的研究成果对本人的启示和所提供的帮助，均己在论文中做了明确的声明并表示 谢意。 学位论文作者签名：茧坚 学位论文版权的使用授权书 本学位论文作者完全了解辽宁师范大学有关保留、使用学位论文的规定，及学校有 权保留并向国家有关部门或机构送交复印件或磁盘，允许论文被查阅和借阅。本文授权 辽宁师范大学，可以将学位论文的全部或部分内容编入有关数据库并进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文，并且本人电子文档的内容和纸质 论文的内容相一致。 保密的学位论文在解密后使用本授权书。 - ， 学位论文作者签名：堡立坠 指导教师签 签名日期： 二d d 7 年6 月1 0 日 3 4 基于不需要可信方的代理签名方法研究 第一章绪论 1 1 课题背景及意义 随着网络环境的迅速发展和信息技术运用的深入和普及，信息安全变得日益重要。 然而，在互联网的实际应用过程中，传播信息和存储信息的安全问题如何保障，以及如 何实现防伪、识别等功能的问题，日益凸显出来。保障计算机网络信息安全，维护国家 安全，对推动经济发展，构建和谐社会意义重大。 为了实现网络信息安全，人们提出了一种核心技术密码学。密码学是在编码与 破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用成为一门综合性的尖端 科学。1 9 4 9 年，著名科学家香农发表了一篇论文，题为“保密通信的信息理论”，首次将 信息论的原理和技术引入密码学，用统计学的观点和数学描述、定量分析等方法将信源、 密码源和密文进行分析和描述，使密码学正式成为了一门科学。它与语言学、数学、电 子学、声学、信息论、计算机科学等有着广泛而密切的联系。如今，密码学的研究范围 宽泛且复杂，其中包括：分组密码d e s ，公钥密码p k i ，数字签名d i g i t a ls i g n a t u r e ， 认证协议c a ，单向散列函数h a s h ，等等，而密码学的应用也已涉及到保护政府重要信 息、电子政务、电子投票、网上购物( 如支付宝) 、网络银行、电子现金、付费电视等 领域。密码学的技术提供了丰富的功能，例如：加密、解密，鉴别文档或信息的来源， 通过散列函数保证信息完整性，不可抵赖性，不可否认性等等。这些功能都是利用数字 签名技术来实现的。 传统“手写签名”的电子对应物就是电子签名，也叫数字签名。这是一种非常实用 的认证技术。1 9 7 6 年，由d i f f i e 和h e l l m a n 首先提出了数字签名的概念。在日常生活 中，人们经常需要签署各种文件、合同、协议等等，为了使这些合同、文件、协议具有 法律意义，并被认证机构核准和生效，常用的方法是赋予某人或某机构权力，用其手写 签名与印章签署即可。但，在如今的信息时代，随着电子商务和电子政务的应用，如何 对点子文档和文件进行签名，或完成快速、批量、远程签名等功能，还要实现与手写签 名相似的法律意义，就需要一种完善、实用的数字签名技术。在数字签名技术的应用过 程中，对其功能和安全要求也复杂且多样。通过对普通数字签名的变形或功能上的丰富， 形成了一系列数字签名方法，如：代理签名、门限签名、失败一终止签名、群签名、多 重签名等。 在现实生活中，常常遇到以下几种情况：因休假或临时外出，需他人对某一时段的 文件进行代理签署；因工作繁忙或工作量大，对某一类文件委托他人进行统一的、批量 的签署等等。在这些情况中，如果用传统手写签名或印章，只需要在任务完成时，收回 代理权或直接收回印章即可。但在电子签名中，私钥一旦泄漏，将无限复制不可回收， 无法使签名私钥重复利用。解决上述问题，设计一种使用的数字签名方案，就是我们要 研究的代理签名。 基于不需要可信方的代理签名方法研究 数字签名权力的委托( d e l e g a t i o no ft h ed i g i t a ls i g n i n gp o w e r ) 是数字化的信 息社会必然遇到的一种现象。但，每当将自己的签名权委托给代理人的时候，需注意到 以下几个问题： ( 1 ) 安全性( s e c u r i t y ) ：原始签名人如何将签名权转交给代理签名人时，使代理签 名功能限制在特定范围内，即代理签名人只能代表他在某一特定的时间、对某些特定的 文件生成数字签名，而不希望代理人“滥用”他的签名权力，如篡改，删除，非法签署， 并且不希望非法的攻击者能因此伪造出合法的数字签名，等等。 ( 2 ) 可行性( p r a c t i c a b i l i t y ) ：在实际应用中，人们希望委托数字签名权力的方法 简便、高效、容易实现。 ( 3 ) 效率( e f f i c i e n c y ) ：原始签名人将代理权限交给代理签名人的方法具有较高的 速度和较小的计算复杂性、通信复杂性，等等。 因此，如何以安全、可行、有效的方法，完成签名权完全转移，是代理签名体制的 进一步研究内容，将之称为：数字签名权力的代理问题( p r o x yp r o b l e mo ft h ed i g i t a l s i g n a t u r ep o w e r ) 。 1 2 代理签名研究现状 1 9 9 6 年，m a m b ou s u d a 和o k a m o t o 三人在文献 1 ，2 中首次提出代理签名这一概念， 因其具有“代理这一特殊功能，一经提出，立即被许多领域所应用。也推动了代理签 名体制的进一步研究。目前，许多功能和原理不同的代理签名方案被相继提出口刮。比如 m a m b o 和他的团队提出基于接受者验证签名方式分类的三种代理签名：完全代理签名、 部分代理签名和具有授权证书的代理签名。随后，z h a n g 口1 将后两种功能合成，形成具有 授权证书的部分代理签名，并提出一种新的门限签名。2 0 0 0 年，y il u 等陋3 与祁明、h a r n 旧1 分别将多重签名技术与代理签名技术相融合，提出一种：代理多重签名。2 0 0 1 年，l e e 等人口仉将前述研究成果综合分析，并用不同方法对代理签名方案进行攻击，分析其安 全性能，进而设计了一个非常完善的强非指定代理人的代理签名方案。这种代理签名方 案可应用于可移动代理，自移动代理和多重代理签名。2 0 0 2 年，s h u m 和w e iv i c t o r u 到 在l e e 等人方案n 们的基础上设计了一个新的代理签名方案，这种方案可对代理签名人身 份进行保护。其原理是：通过一个可信中心t ，对代理人身份标识进行变换，是其他人 无法识别，确保代理人匿名性。签名过后，如有需要，还可以恢复其身份标识，以揭示 身份，但是需要可信第三方。谷利泽n 3 1 4 3 等提出的解决方案弥补了文献 1 2 的不足，不 需要可信任方参与。文献 1 5 给出一个基于身份信息i d 的匿名代理签名方案，并对其 安全性、可行性和效率进行了分析判断。其他关于代理签名方案的研究参见文献 1 6 2 2 。 一个完整的代理签名体制分为以下几个步骤： ( 1 ) 初始化：确定参数、使用的基本数学模型、用户信息等。 基于不需要可信方的代理签名方法研究 ( 2 ) 签名权的转移：将原始签名人私钥进行变换，交给代理签名人。 ( 3 ) 生成代理签名：代理签名人用普通数字签名算法生成签名。 ( 4 ) 验证代理签名：验证人验证生成的代理签名是否有效。 截至目前，代理签名方案的模式不外乎以上四个步骤，其安全性令人怀疑。即使假 定其安全性不亚于基于大整数因式分解r s a 和基于离散对数d s a 两种数学难题而设计的 数字签名体系，但因为方案仍含有漏洞，大部分代理签名方案无法满足现实应用中的安 全要求。特别是在怎样通过签名区分原始签名人与代理签名人身份的问题上，几乎没有 文献进行论证。这样，无法保证签名人私钥的正常使用。比如：原始签名人伪造代理私 钥，进行伪造代理签名；代理签名人否认他生成的某个签名等情况。因为代理签名在近 年来的实际应用领域非常广泛，提出并设计一个功能完善的代理签名方案迫在眉睫。本 文写作的目的，就是通过总结前人在代理签名领域的研究成果，查找不足，设计一种安 全高效的代理签名方法，并应用到实际生活中。 1 3 本文主要研究内容与组织结构 数字签名是电子商务、电子政务应用与开展的核心技术，是保障网络安全、维护网 络秩序的重要手段。代理签名是一种特殊功能的数字签名，有很高的使用价值。本文详 细介绍了代理签名的实用价值、存在意义，并分章介绍了代理签名的概念性质，及几个 典型代理签名方案。后续章节中，对一个基于椭圆曲线的代理签名方案e c d s a 进行了分 析，并把一个基于离散对数d s a 的代理签名方案平移到椭圆曲线e c c 中来，提出了一个 基于椭圆曲线不需要可信方的匿名代理签名方案。文章着重研究了匿名代理问题，首先 分析了谷利泽等人提出的基于离散对数d s a 的匿名代理签名方案，指出了其中存在的安 全问题。针对问题给出了一个改进方案。并对基于身份无可信中心的匿名代理签名问题 进行了探讨，设计了一个安全的、可行的、高效的代理签名方案。 本文共分六部分，分别以绪论、代理签名体制研究、基于椭圆曲线不需要可信方的 匿名代理签名方案、基于身份无可信中心的代理盲签名方案、一个小型非对称密钥加密 系统的实现和总结与展望等进行论述。 第一章：绪论。主要介绍了数字签名中代理签名的研究背景及意义、国内外代理签 名的研究现状及本文主要讨论的内容与组织结构。 第二章：代理签名方法与体制研究。第一，介绍了代理签名的定义，并用形式化语 言进行了描述；列举了代理签名的基本性质；按不同分类方式对其进行了分类；介绍了 几种代理签名的关键技术。第二，介绍了几种经典代理签名方案，对方案所具有的性质 做了详细讨论。研究了一个经典的匿名代理签名方案，一个经典的基于身份的代理签名 方案。 第三章：基于椭圆曲线不需要可信方的匿名代理签名方案。研究了一个经典的基于 离散对数d s a 的匿名代理签名方案，对方案的不足及存在的漏洞依次指出，并讨论和设 基于不需要可信方的代理签名方法研究 计了改进方法，对方案性能做了综合分析。 第四章：对基于身份的代理盲签名方案进行了研究，总结了前人在该类方案设计中 的不足，提出了一个安全高效的代理签名方案。通过分析，新方案满族匿名性，保证消 息安全等特殊要求，是一个安全可行的代理签名方案。 第五章：一个小型非对称加密系统的实现。设计了一个小型非对称加密系统，实现 了数字签名系统的部分功能。 第六章：总结与展望。对全文进行了总结。对提出的新代理签名方案的几点不足给 出了改进建议，并对数字签名系统研究领域的前景进行了展望。 基于不需要可信方的代理签名方法研究 第二章几种代理签名体制研究 2 1 代理签名的原理与分类 2 1 1 代理签名的定义 代理签名的概念是由m a m b o 、u s u d a 和o k a i n o t o 【1 ，2 】三人在1 9 9 6 年第一次提出。如 同r 常生活中的手写签名一样，在电子签名里，代理者通过得到原始签名人的代理权， 行使原始签名者赋予的某种权力，生成有效的数字签名。 1 代理签名的语言描述定义 定义1 1 ：代理签名是：在数字签名体制中，原始签名人由于某种原因不能签名时， 将签名权赋予代理签名人，由代理签名人行使该项权力的行为。 定义1 2 ：代理多重签名是：代理人得到多名原始签名人的代理权，分别对相应文 档进行签名的过程。 定义1 3 ：门限代理签名是：n 个人参与的签名系统，其中t 个或多于t 个人达到共 识，确定对某文件签名，便可由他们各自拥有的签名私钥构成一个私钥组，对文件进行 签名。 2 代理签名的形式化语言定义 定义1 4 ：设有一数字签名系统( m ，s ，k ，s i g ，v e r ) ，m 是所要签署的消息，s 是得到的签名，k 是原始签名人与代理签名人的公钥与私钥，s i g 是所使用的数字签名 算法，v e r 是对应的签名验证算法，a 、b 是该系统的两个用户，使用的密钥对分别是 ( 颤，v 4 ) 和( ，) 。在下面的条件约束下，构成代理签名系统： ( 1 ) a 利用自己的私钥s 。，计算出代理密钥仃，把仃通过安全信道发送给b ； ( 2 ) 任何人在试图求出s 。时，代理密钥仃不会提供任何信息，同时也不会对求解有任 何帮助； ( 3 ) 代理签名者b 可以利用代理密钥盯和自己的私钥s 疗，生成一个新的代理签名密 钥； ( 4 ) 存在一个公开的验证算法，一方面可以验证代理签名本身的合法性，另一方面又 可以验证授权信息。 ( 5 ) 任何人在试图求出，或仃时，任何数字签名结果s 切口( 肌) 都不会提供任何信 息，同时也不会对求解有任何帮助。 则：( 1 ) a 为原始签名人，b 为代理签名人。 ( 2 ) 盯为代理( 委托) 密钥。 ( 3 ) 由_ 占作为代理密钥对，消息m 生成的电子签名s i g ( a 4 - - bm ) 为原始签名 人a 的代理签名。 类似地，可以描述出代理多重签名和门限代理签名及其他特殊功能数字签名的形式 基于不需要可信方的代理签名方法研究 化语言定义。由于篇幅有限，不予列举和描述。 2 1 2 代理签名的基本模型 代理签名基本过程包含有一下几个部分： ( 1 ) 注册：通过c a 认证中心的帮助，在原始签名人和代理签名人分别注册过后，得 到含有各自身份并经c a 签名的数字证书。 ( 2 ) 授予代理签名权：原始签名人将授权时段、权力范围等信息合并成授权证书发送 给代理签名人。 ( 3 ) 签名：代理签名人将授权证书信息通过变换生成代理签名私钥，用普通数字签名 算法生成数字签名，然后把这个签名发送给验证者。 ( 4 ) 验证：验证者将原始人和代理签名人的某些信息，例如：数字证书、代理人生成 的签名公钥，利用l d a p 协议从目录服务器l d a p 中取出。然后验证该代理签名是否有 效。 其工作过程如下图所示： 图2 1 代理签名的基本模型 注： 目录服务器l d a p 存储了大量数字签名需使用的证书和证书作废表，为系统中的 用户提供证书状态，并提供查询下载服务。 c a 认证中心负责生成并签发数字证书，它是公钥密码系统的核心部分。在公钥 密码体制中，一般需要一个可信的第三方提供用户与公钥之间的匹配关系。 2 1 3 代理签名需满足的性质 以下五条基本性质是每个代理签名方案所必须具备的： ( 1 ) 不可伪造性：除了原始签名人指定的代理人，其他任何人不能产生有效的代理签 名。 ( 2 ) 可验证性：验证者可以根据代理签名的签名结果判断这个签名是否经原始签名人 许可，是否是合法签名。 ( 3 ) 不可否认性：在代理人对消息m 进行签名过后，原始签名人可以通过生成的签 基于不需要可信方的代理签名方法研究 名追踪到代理签名人且他对所签文件不能否认。 ( 4 ) 可区分性：原始签名人与代理签名人生成的签名不同，且可有签名本身区分。 ( 5 ) 可识别性：原始签名人可通过签名结果分辨出是哪位代理人做的代理。 在文献 1 1 ，3 5 中，增强了上述性质的定义，给出如下性质： ( 1 ) 强不可伪造性：除了产生代理签名的代理人，其他任何人，包括原始签名人都无 法产生有效的代理签名。 ( 2 ) 强可识别性：任何人都可通过签名结果分辨出是哪位代理人做的代理。 ( 3 ) 强不可否认性：在代理人对消息m 进行签名过后，任何人可以通过生成的签名 追踪到代理签名人且他对所签文件不能否认。 ( 4 ) 阻止滥用：代理签名人的职责范围由授权证书明确确定，保证代理签名私钥不被 用于其他目的。 目前，学术界对代理签名体制的研究中，完全满足上述九条性质的签名系统少之又 少。另外，代理签名系统随着足部研究，用户又提出了一些新的要求，例如： ( 1 ) 可撤消性：在代理时段过后，如何撤消代理授权。 ( 2 ) 算法的简洁性和执行的高效性。 因此，怎样设计出安全性能高，实用效果好的代理签名方案，是我们需要研究的问 题。 2 1 4 代理签名的分类 目前，代理签名的分类方法并不统一，国际上也没有进行规范约束。常见的分类方 式有以下几种： ( 1 ) 由l e e 、k i m 和m 1 1 , 3 5 1 根据代理签名是否满足不可否认性将代理签名分为代 表原始签名人和代理签名人的强代理签名和仅代表原始签名人的弱代理签名。 ( 2 ) 根据签名是否需要指定代理人，将代理签名分为指定代理签名和非指定代理签 名。 ( 3 ) 对代理人是原始签名人的情况，可设计自代理签名，即原始签名人为他自己产生 一个代理签名私钥。 下面具体介绍由m a m b o 、u s u d a 和o k a m o t o 1 , 2 1 提出的分类方法：将代理签名分为 三大类：完全代理签名、部分代理签名和有授权证书的代理签名。 ( 1 ) 完全代理签名 完全代理签名，即原始签名人直接将自己的签名私钥原封不动的发送给代理签名 者。其中，可能需要一个安全信道帮助传送。这样生成的代理签名与原始签名人生成的 数字签名完全相同，所以不能制止签名滥用。同时，由于签名私钥的泄漏，自完成代理 之后，原始签名人需放弃原有的私钥，重新设置。所以，这种签名不适用于商业用途。 ( 2 ) 部分代理签名 基于不需要可信方的代理签名方法研究 部分代理签名的签名原理：原始签名人拥有私钥，由变换得到代理签名私钥s ， 通过安全信道将s 传送给代理签名人。原始签名人利用签署文件，代理签名人利用s 签署文件。两者的签名结果可以区分。根据安全要求，由s 求的过程不可行。应用这 种方法形成的代理签名方案有以下两种： 代理非保护代理签名( p r o x y u n p r o t e c t e dp r o x ys i g n a t u r e ) ：代理签名私钥就是s 。此 时，原始签名人将s 通过安全信道赋予哪个签名者，哪个人就可以产生有效的代理签名， 没有被赋予签名私钥的人无法产生签名。 代理保护代理签名( p r o x y p r o t e c t e dp r o x ys i g n a t u r e ) ：代理签名私钥由s 和代理人自 己产生的私钥x 。两部分组成。此时，除代理人本身外，其他任何人，包括原始签名者都 无法产生有效的代理签名。 在部分代理签名中，代理签名人用持有的代理私钥s 通过普通数字签名算法产生代 理签名，在用验证方程验证。 研究者根据不同需要提出了多种不同功能的代理签名方案。如：门限代理签名( 在 n 个人组成的小组中，有t 个或t 个以上的人同意签名，则签名有效) ，具有时间戳的代 理签名( 对签名的时段予以限制) ，具有证书的代理签名( 证书中包含授权时段、授权 范围) ，等等。丰富了代理签名的整个体系。 ( 3 ) 使用授权证书的代理签名方案 分为以下两种类型签名方案： 授权代理签名( d e l e g a t ep r o x y ) ：在这种方案中，原始签名人将自己的签名私钥经 过普通数字签名后，形成授权信息，交给代理签名者，代理签名者每次签名之前出示该 授权信息，在完成其职责。 持票代理签名( b e a r e rp r o x y ) ：在持票代理签名又称为具有授权证书的代理签名体 制中，授权证书包含了授权范围，授权时间，代理私钥等信息，其中代理私钥是原始签 名人变换得到的，可直接用于代理签名人签署文件。 2 2 一种基于离散对数的匿名代理签名方案 在实际应用中，有时需要对代理签名人身份进行保密，因为一个代理签名人可能拥 有多项原始签名人的委托授权，此时，若代理签名人遇到攻击，攻击者可得到代理签名 人的所有信息，安全性同样无法得到保障。或者，代理签名人因所执行的任务比较敏感， 他不希望让除原始签名人外的任何人知道自己的身份信息，此时，我们需要保护代理签 名人，隐藏其身份信息。即，使代理签名人匿名。此时，任何人无法从生成的代理签名 中识别代理签名人身份，只有在必要时，揭示或公开其身份。例如：在使用电子投票过 程中，虽然保证了原始签名人身份不公开，但，一经代理，代理签名人身份无法保证匿 名，或者当某公司审批某项人事变动时，不希望给审批人带来不必要的麻烦，或使职员 之间的关系发生猜测是，就必须使用匿名代理签名方案。 基于不需要可信方的代理签名方法研究 2 0 0 2 年，s h u m 和w r e i 提出了一个匿名代理签名方案【1 2 】，其基本思想是引入一个可 信任方作为发送别名的权威机构，代理签名人将他的i d 发给这个可信任方得到一个相 应的别名，利用别名的信息来生成代理签名。这种方案不需要代理签名人的认证密钥， 实现了匿名性，在可信任方的帮助下亦可实现可跟踪性。下面对该方案进行描述和分析。 2 2 1 方案描述 本方案由以下部分组成：系统初始化、产生并发送别名、授权、生成代理签名、验 证代理签名、代理签名人身份公开，具体内容如下： 1 ) 系统初始化 原始签名者a 选取p 和q 两个大素数，并且q l p 一1 ，z ：为素数域上的乘法群，g 是上的q 阶生成元，g ez ：，且g a 兰1 m o d p 。a 为原始签名人，b 为代理签名人，v 为签名验证人，t 为可信的别名发送权威。a 的身份标识为i d a ，b 的身份标识为i d a ， 原始签名人私钥为确，x a z ：，公钥为y 一，y a = g 硝m o d p ；代理签名人私钥为， z ；，公钥为y b ，y s = g 和m o d p ；可信方t 的私钥为x r ，x t z ：，公钥为y r ， y r = g 即m o d p 。h 0 为安全的单向h a s h 函数，m 。为a 给b 的授权证书，m 为要签名的 消息，s i g n ( ) 为签名算法，v e r i f y 0 为验证算法。 2 ) 产生并发送别名 b 发送身份标识仍。给t 。 t 随机选取，k7 ，z ：，计算= 办( k b ，i d s ) ，_ = g b m o d p ， 曲= 坼办( ，) + bm o d p 。t 发送别名给b ，连同对的数字签名( ，s r ) 来证明别名 的有效性，即发送( ，吩，s r ) 给b 。t 记录所有3 个一组的( ，k 口，i d s ) ，用于以后揭示b 的身份。b 验证g 甘= 辨刖m o d p 若等式成立，则b 承认别名有效。 3 ) 授权 a 随机选择k a 乏，计算乙= g “m o d p ，屯= x a h ( m 。，么) + 丸m o dp ，a 发送 ( m 。，幺，s 一) 给b 。b 验证g 如= y ! 铆 白乃m o dp ，若该等式成立，则代理签名人b 承认授 权有效。 4 ) 生成代理签名 b 计算x p = s r + 已m o d p 作为代理签名秘密密钥，对消息r n 生成普通的数字签名 仃= s i g n ( x ，m ) ，则代理签名为( 朋，仃，m w ，吩，么) 。 5 ) 验证代理签名 v 先验证m 适合于m 。，再计算代理签名公开密钥y p = y ：w 白厶所h m o d p ，验证 v e r i f y ( m ，仃，y e ) = 护“p 若成立，则签名有效。 基于不需要可信方的代理签名方法研究 6 ) 代理签名人身份公开 在需要的时候，t 可以公开代理签名人b 的身份信息，方法如下： v 发送给t ，t 收到后发送对应的( k b ，i d b ) 给v ，v 验证h b = ( ，i d b ) 是否成立， 若成立，则。对应的b 即为签名的代理签名人。 2 2 2 方案分析 s h u m 和w e i 提出的这种匿名代理签名方案公布之后，引起了学术界的广泛关注， 并对方案的性能进行了深入分析。其中，文献 4 6 ，4 7 指出方案不具有强不可伪造性，即 除其他人之外原始签名人可以伪造代理签名，并分别给出了对该方案的原始签名人伪造 攻击方法。这说明该方案并不完善，并且由于其是利用离散对数问题构造的，因此也存 在实现效率不高的缺陷。 2 3 一种不需要可信方的匿名代理签名方案 上一节中提到的体制中包括一个发布别名的协议( 使用了一个可信第三方) 来保密 代理签名人身份。从引入代理签名的目的来分析，其签名权是由原始签名人通过变化的 签名私钥赋予的，他只是代替原始签名人完成某项特殊功能，生成签名的。代理签名人 只需要向原始签名人负责。然而可信第三方的存在改变了代理签名的初衷。王长林6 3 提出了一种不需