（计算机软件与理论专业论文）代理数字签名方案的研究.pdf

西华大学硕士学位论文 代理数字签名方案的研究 计算机软件与理论 研究生冯明君指导教师何明星 随着计算机网络的迅速发展，人们希望通过电子设备实现快速、远距离的 交易，数字签名应运而生，并开始应用于现实社会中。数字签名已经在信息保 密、身份认证、数据完整性、不可否认性以及匿名性等方面发挥了重要作用。 代理数字签名作为一种特殊签名体制，可以实现普通数字签名无法解决的代理 问题。代理数字签名的这种特殊性使得它可以广泛应用于电子选举、移动通信、 移动代理、电子商务等领域。自从1 9 9 6 年m a m b o 、u s u d a 和o k a m o t o 首次提 出代理签名概念以来，人们已提出了多种代理数字签名方案，如代理多重数字 签名方案、门限代理数字签名方案以及盲代理数字签名方案等，代理数字签名 的研究取得了丰硕的成果。然而，已提出的大多数代理签名方案的安全性是基 于方案本身的抗密码分析能力，而没有考虑密钥的安全性。我们知道，任何人 可以通过选用著名的代理签名方案，并选用大的安全参数来保证签名方案的安 全性。但是，如果签名密钥被盗，则会导致灾难性的后果。目前最常见的防止 密钥泄露的解决方法是采用多个服务器对密钥分布式共享，如门限签名方案。 但是，多个服务器的运行成本较高，并且即使采用了分布式多个服务器，可能 由于操作系统的安全漏洞，极有可能使窃密者采用同一手段窃取所有分布式密 钥。因此，分布式所提供的安全性并没有人们想象中的那么高。前向安全技术 是指确保密钥在短期使用时间内是安全的技术，其主要思想是把密钥的使用分 成若干时段，所有时段的密钥对应一个不变的公钥，不同时段使用不同的密钥， 当前时段密钥的泄漏不影响以前时间段密钥的安全性。前向安全数字签名思想 的本质是数字签名的方向控制，即保证密钥丢失时段以前的签名仍是安全有效 的，从而使签名密钥泄露后造成的损失尽可能降到最低。论文首先对分布式密 钥共享方式的代理签名- - - 1 7 限代理签名做了一定研究，给出了安全性更好、功 能更强大的门限代理签名方案，然后对前向和后向安全技术做了一定探索，最 第1 页 西华大学硕士学位论文 后结合前向安全技术，给出了一个具有前向安全的代理签名方案，该方案在保证 前向安全的同时，由于是基于椭圆曲线密码体制的，所以方案本身具有更高的安 全性，且方案的计算量较e c d s a 没有增加。故本文对代理数字签名做了一些有益 的尝试和探索。 本文第一部分为绪论，首先对代理数字签名的产生背景、现实意义和发展 状况进行了介绍，第二部分介绍了一些必要的相关数学和密码知识，第三部分 分别介绍了三种基本数字签名方案和基本代理签名协议，并介绍了对数字签名 方案的主要攻击方法。最后几部分为本文核心内容，对已提出的代理数字签名 方案进行了分析，并提出了新的代理数字签名方案。 本文所取得的主要研究成果如下： 1 对已有的门限代理签名方案中存在的合谋、伪造等攻击进行分析，提出 了一种新的基于双线性对的门限代理签名方案，该方案不仅能抵抗合谋攻击和 伪造攻击，而且可以根据原始签名人的需要，方便地回收部分代理签名人的签名 权。同时，如果部分代理签名人的代理签名密钥泄露，可以方便地更换成新的代 理签名密钥。 2 对一个基于椭圆曲线密码体制的前向安全数字签名方案进行了分析，证 明了该方案并不仅不具有前向安全性，而且存在伪造攻击；随后提出了一种全 新的基于e c c 的前向安全数字签名方案，该方案不仅能真正达到前向安全，而且 还具后向安全特点。 3 结合前向安全技术和代理数字签名特性给出了一种新的基于椭圆曲线的 代理数字签名方案，该方案能真正达到前向安全性，而且在计算量上也较一般 的椭圆曲线数字签名方案没有增加，这使得代理数字签名应用的安全性和实用 性得到了一定的提高。 关键词：数字签名；代理数字签名；门限数字签名；前向安全 第1 i 页 r e s e a r c ho fp r o x yd i g i t a ls i g n a t u r es c h e m e s m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y m a s t e rd e g r e ec a n d i d a t e ：m i n g j u nf e n gs u p e r v i s o r ：p r o f m i n g x i n gh e w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rc o m m u n i c a t i o nn e t w o r k s ，i ti sd e e p l y h o p e dt h a tp e o p l ec a nf i n i s ht h e i rt r a d i n ga c t i v i t i e sq u i c k l yi nt h ed i s t a n c eb yt h e m e a l l so fe l e c t r o n i ca p p a r a t u s a sar e s u l t ，d i g i t a ls i g n a t u r ec a m e i n t ob e i n gw h i c hi s w i d e l yu s e di ne - c o m m e r c e d i g i t a ls i g n a t u r eh a sb e e np l a y i n gav e r yi m p o r t a n t r o l ei nt h ef i e l d so fi n f o r m a t i o ns e c u r i t y , i d e n t i t ya u t h e n t i c a t i o n ，p r o x yd i g i t a l s i g n a t u r ec a ns e t t l e s o m ep r o x yp r o b l e m sw h i c ho t h e rn o r m a ld i g i t a ls i g n a t u r e s d l e m ec a n n ts o l v e b e c a u s eo ft h i sp a r t i c u l a r i t y , p r o x yd i g i t a ls i g n a t u r ec a nb e w i d e l ya p p l i e dt om a n yf i e l d s ，s u c ha s e e l e c t i o n ，m o b i l ec o m m u n i c a t i o n ，m o b i l e a g e n t e c o i p _ l n e r c ea c t i v i t i e sa n d s oo n s i n c et h ey e a ro f19 9 6w h e nm a m b o ，u s u d a a n do k a m o t of i r s t l ya d v a n c e dt h ec o n c e p to fp r o x ys i g n a t u r e ，m a n yp r o x ys i g n a t u r e s c h e m e sh a v eb e e np r o p o s e d ，s u c ha sp r o x ym u l t i - s i g n a t u r es c h e m e ，t h r e s h o l dp r o x y s i g n a t u r es c h e m ea n dp r o x yb l i n dd i g i t a ls i g n a t u r es c h e m e a n dp l e n t i f u la c h i e v e m e n t sh a v eb e e nm a d ei nt h es t u d i e so fp r o x yd i g i t a ls i g n a t u r e h o w e v e r , t h es e c u r i t y o fm a n yp r o x ys i g n a t u r es c h e m e sp r o p o s e da r eb a s e do nt h e i ra n t i 。c r y p t a n a l y s i s a b i l i t i e s ，o t h e rt h a nt h es e c u r i t yo ft h e i rp r i v a t ek e y a sw ea l lk n o w n ，a n y o n ec a n c o n s t r u c tan e wa n ds e c u r i t yp r o x ys i g n a t u r es c h e m et h r o u g hc h o o s i n gaf a m o u s p r o x ys i g n a t u r ea n db i g g e rs e c u r i t yp a r a m e t e r s ，b u t ，o n c et h es i g n a t u r ep r i v a t ek e y w a ss t o l e n t h ed i s a s t e rr e s u l tw i l lc o m e t h ec o m m o nm e t h o dw h i c hp r e v e n t s p r i v a t ek e yb e i n gr e v e a l e d i st os h a r et h ep r i v a t ek e yb ym a n ys e v e r s ，s u c ha s t h r e s h o l ds i g n a t u r es c h e m e h o w e v e r , t h ec o s to f s u c hk i n do fs c h e m e si se x p e n s i v e t h r o u g hm a n y s e v e r ss h a r i n gt h ep r i v a t ek e y , a n de v e ni fb ym a n y s e v e r st os h a r et h e k e y , t h et h i e fc a ng e ta l ls h a r ek e yb yt h es a m em e t h o df o rt h es e c u r i t yh o l eo ft h e s e v e ro p e r a t es y s t e m s ot h es e c u r i t yo ft h ed i s t r i b u t i o ni sn o tt h es a m es e c u r ea s 一 堕兰奎堂堡主堂垡鲨塞 一 - _ _ - _ i _ _ - i _ _ - - - - - - _ _ _ _ 一一 一 p e o p l et h i n k t h et e c h n i q u eo f f o r w a r ds e c u r i t yi sak i n do ft e c h n i q u e st ok e e pt h e p r i v a t ek e ys e c u r ei nas h o r tp e r i o d ，w h o s em a i ni d e a i st h a tt h ek e yr e v e a l i n go ft l i e p r e s e n tp e r i o dd o e s n te f f e c tt h es e c u r i t yo ft h ek e y si np r e v i o u sp e r i o d s ，t h a t m e a n s t h es i g n a t u r e sb e f o r et h ep r e s e n tk e yi sr e v e a l e da r ea l ls e c u r ea n de f f e c t i v e s oi ti s o fg r e a ts i g n i f i c a n c et or e s e a r c hs e c u r ee f f i c i e n tf e a s i b l ep r o x ys i g n a t u r es c h e m e sm c o m b i n i n gf o r w a r ds e c u r i t yt e c h n i q u e t h i sp a p e rm a d es o m em e a n i n g f u la t t e m p t s i nt h ef i e l d sm e n t i o n e da b o v e c h a p t e r l ，i n t r o d u c t i o no ft h eb a c k g r o u n d si nw h i c hp r o x yd i g i t a ls i g n a t u r ee - m e r g e d ，m e a n i n gi nr e a l i t ya n dd e v e l o p m e n t c h a p t e r 2 ，i n t r o d u c t i o no fs o m e r c l a - f i v em a t h e m a t i c sa n dc r y p t o l o g y c h a p t e r 3 ，i n t r o d u c t i o no ft h r e ec l a s s i c a ls i g n a t u r e s y s t e m s ，a n dt h r e eb a s i c a lp r o x ys i g n a t u r ep r o t o c o l s t h ef o l l o w i n gt h r e ec h a p t e r s ， t h em a i np a r to ft h i sp a p e r ，i nt h i sp a r t ，t h ea u t h o ra n a l y z e ds e v e r a la l r e a d y - p r o p o s e d s i g n a t u r es c h e m e sa n dr a i s e ds o m en e wp r o x ys i g n a t u r es c h e m e s t h e l a s tp a r ti st h e c o n c l u s i o n st ot h ep a p e r t h em a i nc o n t r i b u t i o no ft h i sp a p e ra r ea sf o l l o w s ： 1 t h r o u g ht h ea n a l y s i so ft h ee x s i s t e da t t a c k si nt h r e s h o l dp r o x ys i g n a t u r e s c h e m e s ，w ep r o p o s ea n e wt h r e s h o l dp r o x ys i g n a t u r eb a s e do np a r i n g s r h ei l e w s c h e m en o to n l yc a nr e s i s tc o n s p i r a c ya t t a c k ，b u ta l s oc a nr e v o k et h ep r o x ys i g n e r s p r o x ys i g n i n gc a p a b i l i t yc o n v e n i e n t l y ，a n dc a l lc h a n g et h ep a r tp r o x ys i g n e r sp r o x y s i g n i n gk e ye f f e c t i v e l yw h e nn e e d s 2 t h r o u g ht h ea n a l y s i so fa 。f o r w a r ds e c u r i t yd i g i t a ls i g n a t u r es c h e m eo f e c c c r y p t o g r a p h ys c h e m e ，w ep r o v e dt h a ti th a s n of o r w a r ds e c u r i t ya ta 1 1 w ep r o p o s e da n e wd i g i t a ls i g n a t u r es c h e m eb a s e do ne c c ，w h i c hn o to n l yh a sf o r w a r ds e c u r i t y , b u ta l s oh a sb a c k w a r ds e c u r i t y 3 t h r o u g hc o m b i n i n gf o r w a r ds e c u r i t yc h a r a c t e r i s t i ca n dp r o x ys i g n a t u r es c h e 。 m e ，w ep r o p o s e da n o t h e rn e wp r o x yd i g i t a ls i g n a t u r es c h e m ew i t hf o r w a r ds e c u r i t y w h i c hp r o m o t e st h es e c u r i t yi na p p l i c a t i o no ft h ep r o x yd i g i t a ls i g n a t u r e k e y w o r d s ：d i g i t a ls i g n a t u r e ；p r o x yd i g i t a ls i g n a t u r e ；t h r e s h o l dp r o x ys i g n a t u r e ； f o r w a r ds e c u r i t y 第1 v 页 西华大学硕士学位论文 声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得西华大学或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示谢意。 本学位论文成果是本人在西华大学读书期间在导师指导下取得的，论文成 果归西华大学所有，特此声明。 作者签名吗碉庐冲期) 。日 导师签名侈以年j 1 多日 第6 2 页 西华大学硕士学位论文 1 绪论 在人们日常生活及工作中，许多事物需要经过当事者签名来加以认可。而 在传统的以书面文件为载体的事物处理当中，通常采用印章、手写签名、指纹 等方式作为书面签名，以便在法律上能够认证、核准、生效。随着计算机和网 络技术的普及与发展，数字化、电子化的趋势已经波及社会生活的各个方面， 人与人之间的许多交往活动，包括商业贸易、金融贸易以及其他一些经济活动， 不少都是以数字信息的方式通过开放的计算机网络来完成的。因此，在数字化 的信息社会里，如何保护信息使其不受非法的篡改、删除、重放和伪造等攻击， 成为人们噬待解决的重要现实问题n 1 。于是，数字签名技术应运而生。数字签 名技术是给电子文档进行签名的一种电子方法。数字签名与书面签名的区别在 于，书面签名是可以模拟的，签名因人而异，而数字签名是数字串，签名因消 息而异，同一当事人对不同消息的数字签名是不同的，原有文件的修改必然会 反映为签名结果的改变。某一文件的书面签名可被伪造者复制到不同的文件上， 而任一文件的数字签名都不可能被复制到不同的文件上生成伪造签名。随着计 算机网络技术的发展，安全、高效、完整的传递数据信息变得日益重要，数字 签名已成为了现实信息认证的重要工具，并在信息安全、身份认证、数据完整 性、不可否认性及匿名性等方面发挥了重要作用，成为了电子商务与网络安全 的关键技术之一。 一 自从1 9 7 6 年d i f f i e 和h e l i m a n 在他们的著名论文密码学的新方向1 中首次提出数字签名概念以来，为了满足电子商务、电子政务、移动通信、移 动代理等各种实际情况下对数字签名的需要，人们提出了各种各样的数字签名 方案。如群签名、盲签名、代理签名、多重签名、指定接受者的签名3 1 1 等等。 本文对一种具有特殊性质和用途的数字签名代理数字签名进行了研究。 1 1 代理数字签名的研究背景 本节主要介绍代理数字签名的发展背景及其在社会中的重要意义，尤其在 电子商务中的一些实际应用。 我们先从一些实例来说明代理数字签名在社会中的应用。考虑如下问题： 第l 页 西华大学硕士学位论文 ( 1 ) 某公司的经理在某一段时间内，由于健康或其他原因而不能行使他的 数字签名权，那么，该经理不得不委托他的秘书代表他在这段时间内行使他的 数字签名权。 ( 2 ) 某一软件公司为了向客户证实它的程序的可靠性，需要以公司的名义 对所有这些程序进行数字签名。由于程序太多，公司经理无法亲自检测每个程 序，并在程序上签名。一个比较实际的做法是：公司经理将代表公司生成数字 签名的权力委托给每个程序员，让他们各自以公司的名义为他们创作的程序生 成数字签名。 ( 3 ) 某一总行授予所属支行签发电子货币的权力，让他们以总行的名义签 发电子货币，但又不让他们获得总行的签发密钥，以免其滥发电子货币。 类似以上这种数字签名权力的委托问题在现实社会中是很常见的，是信息 化社会必然遇到的一种现象。要解决以上这种数字签名权力的委托问题，人们 必须解决如下问题。 安全性：一般来说，一个人将数字签名权力委托给代理人的时候，希望代 理人只能代表他在特定的时间，对特定的文件进行签名，而不是希望代理人滥 用他的数字签名权力，并且不希望其他任何人能因此伪造有效的数字签名。 可行性：人们希望委托数字签名权力的方法方便、快捷、容易实现。 效率：人们希望委托数字签名权力的方法具有较高的速度和较小的计算量 和通信量等。 普通的数字签名体制不能解决以上问题。因此，设计一种新的特殊的数字 签名体制以解决上述问题成为了一个亟待解决的现实问题。这就是代理数字签 名产生的现实背景。 1 2 代理数字签名及其分类 本节主要介绍代理数字签名的概念、分类、安全性要求及其研究现状。 1 2 1 代理数字签名概念 、 1 9 9 6 年，m a m b o ，u s u d a 和o k a m o t o 腿1 9 1 首先提出了代理数字签名的概念， 给出了解决数字签名权力委托问题的方法。利用代理数字签名体制，一个被称 为原始签名人的用户将他的数字签名权力委托给一个被称为代理签名人的用 第2 页 西华大学硕士学位论文 户，代理签名人代表原始签名人生成的数字签名，称为代理数字签名。 代理数字签名的严格定义如下： 定义1 1 设a ，b 是某个数字签名体制( m ，s ，k ，s i g , v e r ) 的两个用户，他 们的私钥和公钥对分别是o 一，儿) ，o 。，y 口) ，若以下条件满足： ( 1 ) a 利用他的秘密密钥x 。计算出一个数仃。，并将仃。交给b ； ( 2 ) 任何人( 包括b ) 在试图求出工。时，盯。不会对他有任何帮助； ( 3 ) b 可以利用o r 。和x 。生成一个新的签名密钥盯； 。 ( 4 ) 存在一个公开的验证算法v e r a 置，使得任何s s 和m m ，都有 v e t a _ 口( y ，j ，1 ) = t r u e 铮s = s i g ( c r ，加) ； ( 5 ) 任何人试图求出屯，x 矗，o r 一或盯时，任何数字签名j = s i g ( c r ，删) 都 不会对他有任何帮助。 那么我们就称用户a 将他的( 部分) 数字签名权利委托给了用户b ，并且a 为b 的原始签名人，称b 为a 的代理签名人，称盯。为委托密钥，称矿为代理 签名密钥，称以1 7 作为签名密钥对消息m m 生成的数字签名s 辔p ，聊) 为a 的代理数字签名。 定义1 2 能够生成代理数字签名的数字签名体制被称为代理数字签名体制。 一个代理数字签名体制p s = ( p f ，胀，邢，p v ) 一般由以下四个算法组成： ( 1 )系统参数生成算法尸f ：该算法的输入是l ，其中k 为系统安全参 数；输出为系统所需的参数，如原始签名人a 和代理签名人b 的公钥对0 ，y 。) 、 o 占，y 口) 、安全无碰撞h a s h 函数等。尸f 是一个概率算法，系统的安全性估计 依赖于k 。 ( 2 )代理密钥生成算法欢：该算法的输入为原始签名入和代理签名人 的私钥以及一些系统参数，输出为代理密钥盯。p k 一般为概率算法。 ( 3 )代理数字签名生成算法p s ：输入给定消息m 和代理签名密钥1 7 ， 输出代理签名s = s i g ( a ，m ) 。雕为一般概率算法。 ( 4 ) 代理签名验证算法p v ：输入签名s 、消息m 、以及验证公钥y 。， y b 。输出为代理数字签名s 是否合法的结果l 或0 。p v 是一个确定性算法。 1 2 2 代理签名安全性要求 文献8 1 指出代理数字签名应该满足以下五条性质： ( 1 ) 不可伪造性( u n f o r g e a b i l i t y ) ：除了原始签名人，只有指定的代理签 第3 页 西华大学硕士学位论文 名人能够代表原始签名人产生有效的代理数字签名。 ( 2 ) 可验证性( v e r i f i a b i l i t y ) ：从代理数字签名中，验证者能够相信原始 签名人认同了这份签名消息。 ( 3 ) 不可否认性( u n d e n i a b i l i t y ) ：一旦代理签名人代替原始签名人产生 了有效的代理数字签名，他就不能向原始签名人否认他所签的有效代理数字签 名。一 ( 4 ) 可区分性( d i s t i n g u i s h a b i l i t y ) ：任何人都可以区分代理数字签名和 正常的原始签名人的数字签名。 ( 5 ) 可识别性( i d e n t i f i a b l i t y ) ：原始签名人能够从代理数字签名中确定 代理签名人的身份。 为了体现对原始签名人和代理签名人的公平性，l e e 、k i m 等对其中 的一些的性质给出了更强的定义。 ( 6 ) 强不可伪造性( s t r o n gu n f o r g e a b l it y ) ：只有指定的代理签名人能够 产生有效代理签名，原始签名人和其他没有被指定为代理签名人的第三方都不 能产生有效代理签名。 ( 7 ) 强可识别性( s t r o n gi d e n t i f i a b i li t y ) ：任何人都能够从代理签名中 确定代理签名人的身份。 ( 8 ) 强不可否认性( s t r o n gu n d e n i a b i l i t y ) ：一旦代理签名人代替原始签 名人产生了有效的代理数字签名，他就不能向任何人否认他所签的有效代理数 字签名。 ( 9 ) 防止滥用( p r e v e n t i o no fm i s u s e ) ：应该确保代理密钥对不能被用于 其他目的。为了防止滥用，代理签名人的责任应该被具体确定。 从目前的研究来看，一个良好的代理签名除了满足以上性质外，还应具备 隐私保护性、代理的可撤销性龃、算法的简单性和执行的有效性。 1 2 3 代理签名分类 根据不同的标准，代理数字签名有不同的分类方法。 ( 一) 根据数字签名权力委托过程的不同方式，代理数字签名可以分为三 种基本类型：完全代理型、部分代理型和具有授权证书的代理型。 1 完全代理型：原始签名人a 直接把自己的签名密钥x 。通过安全的信道发 给代理签名人b ，使得代理签名人b 拥有他的全部数字签名权力。 第4 页 西华大学硕士学位论文 2 部分代理型：原始签名人a 用自己的签名密钥x 。产生委托密钥盯。，并把 o r 。以安全方式发送给代理签名人b ，代理签名人b 利用盯。和自己的私钥z 8 生 成代理签名密钥仃，利用仃，代理签名人b 可以生成有效代理签名。这种类 型又可分为两种子类型。 ( 1 ) 代理非保护代理签名：除了原始签名者a ，指定的代理签名者b 能够 代替原始签名者a 产生有效代理签名。但是，没有指定为代理签名者的第三方 不能产生有效代理签名。即原始签名者和指定的代理签名者知道相同的代理签 名密钥，能产生相同的有效代理签名，故在这种方案里代理签名人的权益得不 到保障。 ( 2 ) 代理保护代理签名：只有指定的代理签名者b 能够代替原始签名者a 产生有效代理签名，但原始签名者a 和任何其他第三方都不能产生有效代理签 名。因此，这类型的方案可以避免原始签名人和代理签名人之间的争论。 3 具有授权证书的代理型：这种代理签名使用一个称为授权书m 。，的文件来 实现数字签名权力的委托，这种类型又可分为两种子类型。 ( 1 ) 授权代理型：原始签名人a 用他的签名密钥x ，使用普通的签名算 法对授权书m 。进行签名，然后把m 。和对m 。，签名传给代理签名人b 。代理签名 人b 用他自己的私钥x 牙直接对消息进行签名，一个有效的代理数字签名由代理 人b 的数字签名、授权书m 。和原始签名人a 对历。的签名组成。 ( 2 ) 持票代理型：在持票代理签名中，证书m 。是由消息部分和原始签名 人a 对新产生的公钥的签名组成。原始签名人a 把新产生的公钥所对应的私钥 以安全的方式传给代理签名人b 。代理签名人b 用原始签名人a 给他的私钥和 他自己的私钥x 。生成代理数字签名。 上述三种类型的代理数字签名类型，各有优点和不足。完全代理型的优点 是简单方便，容易实现，缺点是原始签名人a 向代理签名人b 暴露了他的私钥 x 。代理签名人b 所产生的签名与原始签名人a 所产生的签名是相同的，所 以完全代理签名不具有可区分性、强不可伪造性、强可识别性和强不可否认性。 因此完全代理不适用于商业应用；部分代理型的优点是可以保护原始签名人a 的私钥x 。，代理数字签名的长度、生成和验证代理数字签名所需计算量和普通 数字签名几乎一样，缺点是许多部分代理型签名方案不满足强不可伪造性和强 不可否认性；具有授权书的代理型的优点是可以保护原始签名人a 的私钥x 和 第5 页 西华大学硕士学位论文 对代理签名人，b 的代理权进行限制，缺点是计算量稍大、签名长度是普通签名 长度的二倍。 ( 二) 根据代理数字签名方案所基于的计算困难性问题，代理数字签名方案 可分为基于离散对数问题的代理数字签名方案和基于素因子分解问题的代理数 字签名方案。 ( 三) 根据代理数字签名方案所具有的特殊性质，代理签名方案可分为指定 代理签名人的代理数字签名方案、多重代理数字签名方案、盲代理数字签名方 案、门限代理数字签名方案等等。 ( 四) 根据原始签名人能否产生代理数字签名，代理数字签名可分为代理保 护型和代理非保护型。 1 2 4 代理签名研究现状 由于代理数字签名在移动通信、移动代理、电子选举、电子拍卖【1 3 以9 】等方 面有着重要的应用，所以一提出便受到广泛关注。国内外学者对其进行了深入 的探讨和研究，并取得了丰硕的研究成果，迄今为止，人们已提出了多种代理 数字签名方案。如门限代理数字签名方案【2 0 - 2 6 1 、代理盲数字签名方案 2 7 - 2 9 1 代 理多重数字签名方案1 3 0 - 3 3 1 、具有跟踪接收者的代理数字签名方案3 乒3 5 1 等等。 目前代理签名主要研究方案大致有以下三种方案： ( 1 ) 典型的代理签名方案即方案中只有一个原始签名者和一个代理签名 者。代理签名的思想最早出现于1 9 9 1 年，在1 9 9 3 年时，n e u m a n 在讨论代理问 题时作为代理问题的子问题也提到了代理签名的概念，但都没有得到很好的发 展。1 9 9 6 年m a m b o 等第一次系统地阐述了代理签名的概念，并根据授权对代理 签名作了分类，即完全授权方案，部分授权方案和证书授权方案，并给出了一 个部分授权代理签名方案，为代理签名奠定了基础。1 9 9 7 年k i m 等结合s c h n o r r 签名方案对m a m b o 等的方案进行了改进，使该方案同时具有部分授权和证书授 权的优点，而s c h n o r r 签名方案的安全性已由d p o i n t c h e v a l 和j s t e r n 证明 是能够抵抗选择明文攻击的。同年p e t e r s e n 和h o r s t e r 应用弱的盲签名8 - 删 提出了一个代理人受保护的代理签名方案。 ( 2 ) 代理多重或多重代理的签名方案代理多重签名方案是指代理签名者同 时是多个原始签名者的代理签名人，而多重代理是指一个原始签名者同时授予 多个代理签名人。把两者相结合，还可以合成多人授权多人代理的签名方案。 第6 页 西华大学硕士学位论文 ( 3 ) 与门限签名结合的代理签名方案s k i m 等曾给出一个简单的门限代 理签名方案z 2 1 。z h a n g k 则系统论述了门限代理签名方案。此外还有 s u n ，h u n g - m i n 等的方案以及黄海平等人提出的基于门限方案的多移动代理机 制等等。因此，与门限签名想结合的代理签名方案有很好的研究价值啼j - 5 幻 后面两个方案都是在第一个方案的基础上建立的，是典型代理签名在不同 环境的应用，其研究结果目前还处于初期，还没有形成独有的鲜明特色。 当前代理签名的研究热点大致可分为以下三点： ( 1 ) 由于代理签名的生成和验证所需的工作量比普通签名大，因此设计出 有效可行的代理签名方案是一个研究热点； ( 2 ) 由于代理签名的签名长度比普通数字签名的长度较长，因此如何减小 代理签名的签名长度是一个有待研究和解决的问题； ( 3 ) 对现有代理签名方案的安全性分析和证明，并针对特殊应用领域设计 出具有附加特殊功能的代理签名方案也是值得研究的问题。 而且，在代理签名研究领域仍有如下问题尚需进一部研究和解决。 ( 1 ) 安全问题：目前很多代理数字签名方案仍存在安全隐患。存在伪造攻 击、公钥替换攻击等。 ( 2 ) 执行效率问题：目前的代理数字签名方案，尤其是门限代理数字签名 方案和代理多重数字签名方案计算复杂性、通信量大、执行效率低。 ( 3 ) 如何利用前向安全思想设计具有不可否认的前向安全代理数字签名方 案。 ( 4 ) 如何利用盲签名、签密、零知识签名等特殊签名方案来实现代理数字 签名。 1 3 论文主要研究成果 作者在代理数字签名方面主要取得了以下研究成果： 1 对已有的门限代理签名方案中存在的合谋、伪造等攻击进行分析，提出 了一种新的基于双线性对的门限代理签名方案，该方案不仅能抵抗合谋攻击， 而且可以根据原始签名人的需要，方便地回收部分代理入的签名权。同时，如果 部分代理签名人的代理签名密钥泄露，可以方便地更换成新的代理密钥。 2 对一个基于椭圆曲线密码体制的前向安全数字签名方案进行了分析，证 第7 页 西华大学硕士学位论文 明了该的方案并不具有前向安全性。提出了一种全新的基于e c c 的前向安全数字 签名方案。该方案不仅能正真达到前向安全，而且还具后向安全特点。 3 结合前向安全技术和代理数字签名特性给出了一种新的基于椭圆曲线的 代理数字签名方案，该方案能达真正达到前向安全性，而且在计算量上也较一 般的椭圆曲线数字签名方案没有增加，这使得代理数字签名应用的安全性和实 用性得到了一定的提高。 1 4 论文结构 本文共分为六部分，分别以绪论、基本理论、代理签名基本协议、门限代 理签名方案、前向安全数字签名方案、前向安全代理签名方案六部分进行论述。 第1 章：主要介绍代理数字签名的产生背景、现实意义、发展现状以及代 理数字签名的概念、安全要求、分类等。 第2 章：主要介绍了一些必要的数学、密码学相关知识和一些必要的假设， 这些知识都是以后各章的基础。 第3 章：主要介绍了三个著名数字签名方案和三种基本的代理数字签名协 议，并介绍了常见数字签名方案的攻击方法。 第4 章：主要介绍了门限代理签名的发展状况，并对门限代理签名中存在 的合谋攻击进行了分析，提出了一种新的基于双线性对的门限代理签名方案， 该方案能抵抗合谋攻击。 一第5 章：主要介绍了前向安全的概念，对已有的一个前向安全数字签名方 案进行了分析，证明了该方案不具有前向安全性，对前向和后向安全技术进行 研究，提出了一种新的基于e c c 的前向安全和后向安全的数字签名方案。 第6 章：结合前向安全技术和代理数字签名特性，给出了一种新的基于椭圆 曲线的代理数字签名方案，该方案能达真正达到前向安全性，而且在计算量上 也较一般的椭圆曲线代理数字签名方案没有增加，这使得代理数字签名应用的 安全性和实用性得到了一定的提高。 第7 章：对论文研究内容的总结和未来研究方向的说明。 第8 页 西华大学硕士学位论文 2 基本理论 本章将介绍一些必要的背景知识，主要是数论、代数知识以及一些必要的 密码学知识，这些知识是以后各章的基础。 2 1 相关数学知识 数学尤其是代数和数论在密码学中具有非常重要的地位，目前所使用的公 钥密码体制的安全性基础主要是数学中的计算困难性问题。迄今有两类主要的 数学难题：一类是基于大数因子分解问题，如r s a 体制和r a b i n 体制；另一类 是基于离散对数问题的，如d s a 体制和e 1 g a m a l 体制。 接下来对后面将要用到的一些数论与代数知识进行必要的简单介绍。 定义2 1 1 整数因子分解问题( t h ei n t e g e rf a c t o r i z a t i o np r o b l e m ) ： 给定整数刀，对，l 进行因子分解 n = p pp p 。 其中p ，是不同的素数，e i 是正整数3 1 。 到目前为止，对于大整数分解的算法复杂度是非多项式时间的，随着大整 数的比特长度的增加而变得越来越困难。 定义2 1 2 欧拉函数( 九) ：设，z 是一个正整数，矽( 以) 的值等于序列 1 ，2 ，甩一1 中与n 互素的整数的个数： 妒( ，1 ) = l k 1sk 7 l - 1 ，g c d ( k ，以) = 1 i 若”的因子分解已知，则很容易计算( 玎) ，但当，l 很大时，若n 的因子分解 未知，则很难计算出矽0 ) 。 定义2 1 3 离散对数( d i s c r e t el o g a r i t h m ) ：设g 是一个有限循环群且 g g 是g 的一个生成元。元素y g 的离散对数是指唯一的整数x ，( o 工 i gj ) ， 使得y = g 。成立。记为：x = l o g 。y 。 若g 不是生成元，y 基于g 的离散对数若存在，则j ，基于g 的离散对数是指 最小的正整数x ，使得) ，= g 。成立。 定义2 1 4 离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m ) ：对于一个有 限循环群g = 和元素y g ，寻找整数z ，( o 戈 1 。对于 y z ：，若存在整数工，使得x 2 = y m o d n 成立，则称y 是模甩的二次剩余( 平 方剩余) ；若不存在整数x ，使得z 2 = y m o d n 成立，则称y 是模r l 的二次非剩余。 所有模r l 的二次剩余和二次非剩余的集合分别记为q r 。和q n r 钉。 若刀的因子分解已知，容易判定一个数是不是模玎的二次剩余，而当刀的因 子分解未知时，判定一个数是否是模刀的二次剩余是一个困难性问题。 定义2 1 6 二次剩余判定问题：给定整数刀和y ，( 0 y 甩) ，判定是否存 在整数x ( o 工 g 2 称为线性映射7 啪。论文中所用到的双线性映射e 是满足 下列三条性质的双线性映射： ( 1 ) 双线性( b i l i n e a r i t y ) ： e ( a p ，6 q ) = e ( p ，q ) 曲，对任意p ，q g l 和口，b z 口： 2 ( 置+ 罡，q ) = g ( 只，q ) e ( p 2 ，q ) ，对任意p 。，罡，q g 1 ( 2 ) 非退化性( n o n d e g e n e r a c y ) ：若p 是g l 的生成元，则e ( p ，p ) 也会 是g ，的生成元，且e ( p ，尸) 1 ( 3 ) 可计算性( c o m p u t a b i l i t y ) ：对任意p ，q g 。而言，存在有效算法 可以计算e ( p ，q ) 。 定义2 1 8 计算性d i f f i e h e l l m a n ( c d h ) 问题：对于一个有限循环群g 和 它的生成元g ，以及两个元素9 4 和9 6 ，寻找对应的元素g ”。 定义2 1 9 判定性d i f f i e b e l l m a n ( d d h ) 问题：对于一个有限循环群g 和 它的生成元g