（应用数学专业论文）代理签名方案.pdf

中山大学硕士学位论文 代理签名方案 论文题目：代理签名方案 专业名称：应用数学 硕士生；杨淑娣 指导教师：姚正安教授、李磊教授 摘要 本文首先分析了信息安全的重要性，阐述了数字签名在信息安全中的重要地 位接着介绍了有关密码学、数字签名和代理签名的基本概念和基本理论数字 签名是手写签名的电子模拟，是密码学的重要问题之一代理签名是一种特殊的 数字签名，它是指当某个签名人( 这里称为原始签名人) 由于某种原因不能签名 时，将签名权委托给他人( 这里称为代理签名人) 替自己行使签名权代理签名由 于其在实际应用中的重要作用，一提出便受到广泛关注代理签名需要满足不可 伪造性、可区分性、不可否认性、可识别性等安全性要求目前，真正意义上安 全有效的方案并不多本文提出一个新的强代理签名方案，经证明，其满足安全 性质要求，然后我们将其推广到代理多签名方案中；鉴于以往的签名方案大多允 许任何人对签名进行验证，为了有效防止代理签名人的欺骗行为，本文设计了一 种定向代理签名，其验证者是由原始签名人指定的，然后我们将其推广到定向代 理多签名方案中 关键词：代理签名：强代理签名；定向代理签名：第一类代理多签名；第 二类代理多签名 中山大学硕士学位论文 代理签名方案 t i t l e ：p r o x ys i g n a t u r es c h e m e s m a j o r ：a p p l i e dm a t h e m a t i c s n a m e ：y a n gs h u d i s u p e r v i s o r ：p r o f e s s o r y a o z h e n g a na n d p r o f e s s o rl 1l e i a b s t r a c t t h i s p a p e r f i r s td e a l sw i t ht h ei m p o r t a n c eo fi n f o r m a t i o n s e c u r i t y a n dt h e s i g n i f i c a n c eo fd i g i t a ls i g n a t u r ei ni n f o r m a t i o ns e c u r i t y s e c o n d l y ，w ei n t r o d u c et h e b a s i cc o n c e p t sa n db a s i ct h e o r i e so f c r y p t o l o g y ，d i g i t a ls i g n a t u r ea n dp r o x ys i g n a t u r e d i g i t a ls i g n a t u r es c h e m ei sa ne l e c t r o n i cs i m u l a t i o no fh a n d w r i t t e ns i g n a t u r ea n di s a n i m p o r t a n tr e s e a r c ht o p i c i n c r y p t o g r a p h y p r o x ys i g n a t u r e ，as p e c i a ld i g i t a l s i g n a t u r e ，e n a b l e s a s i g n e r , c a l l e d a n o r i g i n a ls i g n e r , t od e l e g a t eh i s h e rs i g n i n g c a p a b i l i t yt oa n o t h e rp e r s o n ，c a l l e dap r o x ys i g n e r ，t oc r e a t eas i g n a t u r eo nb e h a l fo f h i m h e rw h e nh ec a n n o ts i g na m e s s a g e f o rs o m e r e a s o n p r o x ys i g n a t u r es c h e m eh a s c a u g h tm u c ha t t e n t i o ns i n c ei t i ss h o w nt ob ev e r yu s e f u li n m a n ya s p e c t s p r o x y s i g n a t u r e s c h e m e sm u s tm e e tt h en e e d so f u n f o r g e a b i l i t y ，d i s t i n g u s h a b i l i t y ， u n d e n i a b i l i t ya n di d e n t i f i a b i l i t y t h e r ea r en o tm a n ys e c u r ea n de f f i c i e n ts c h e m e su p t od a t e i nt h i s p a p e r , w ep r o p o s ean e ws 打o n gp r o x ys i g n a t u r es c h e m e ，w h i c h s a t i s f i e sa l l s e c u r i t yr e q u i r e m e n t sw i t hs t r i c tp r o o f t h e nw ee x t e n dt h i si d e ai n t o p r o x ym u l t i 。s i g n a t u r e s i n c em o s ts i g n a t u r es c h e m e sa l l o we v e r y o n et ov e r i f yt h e v a l i d i t y o ft h e s i g n a t u r e ，i nt h i sp a p e r ，an e wd e s i g n a t e d r e c e i v e rp r o x ys i g n a t u r e s c h e m ei sp u tf o r w a r dt oa v o i dt h em i s u s eo f p r o x ys i g n a t u r e s ，i nw h i c h t h eo r i g i n a l s i g n e rc a n n o m i n a t eap e r s o na st h es i g n a t u r e r e c e i v e r f i n a l l yw e e x t e n dt h ep r o p o s e d i d e ai n t od e s i g n a t e d r e c e i v e r p r o x ym u l t i s i g n a t u r es c h e m e s k e yw o r d s ：p r o x ys i g n a t u r es t r o n gp r o x ys i g n a t u r e ；d e s i g n a t e d r e c e i v e rp r o x y s i g n a t u r e ；f i r s tc l a s sp r o x ym u l t i - s i g n a t u r e ；s e c o n dc l a s sp r o x ym u l t i - s i g n a t u r e 中山大学硕士学位论文 代理签名方案 d p 记号 原始签名人 代理签名人 o i ，( f = 1 ，h ) n 个原始签名人 只，( f _ 1 ，r 1 )n 个代理签名人 v m p ，q z ： 占 ( ) 卅w m 。，( f = 1 ，n ) ( 毛，虬) 月 0 一p s i g n ( ) v e r i f y ( ) 签名验证者 需要签名的消息 两个大素数，q 5 1 2 , 4 a - 7 ，满足g i ( p 一1 ) 模p 的非零剩余类，p 为大素数 z ：中的一个元素，阶数为目，即g - - = l m o d p 安全的单向哈希函数 原始签名人对代理签名人的授权证书，证明代理签名人 的合法性 原始签名人0 ，对代理签名人只( 或p ) 的授权证书 用户“的密钥对，可由一个可信机构颁发：吒为私钥， 保密：y 。为公钥，公开；满足y 。= g m o d p 任取 0 发送消息给p 签名算法 验证算法 v i 中山大学硕士学位论文代理签名方案 1 1 研究背景 第1 章前言 随着人类进入2 l 世纪，网络社会和计算机网络经济的时代正在到来目前， i n t e r n e t 已遍及1 8 0 多个国家和地区，容纳了6 0 多万个网络，世界上拥有超过5 亿台计算机，仅中国就拥有近2 0 0 0 万台计算机人们越来越多的运用计算机来 提供资源共享和交流、在网上进行学术交流和合作开发与研究i n t e r n e t 为贸易 提供了公共平台，网上购物和交易更加普及，网络业已渗透到人们日常生活的各 个方面 互联网是一把“双刃剑”，在传播信息、推动经济发展和方便人们生活的同 时，计算机安全问题也令人担忧在网络时代，病毒、黑客、漏洞、有害代码等 已合流，联合起来攻击网络及其终端设备由于网络易被攻击，致使信息泄露， 轻贝0 引起企业、部门工作紊乱，造成巨大的经济损失，重则危害国家安全和社会 稳定所以，如何保障计算机安全，特别是信息的安全已经成为保证国民经济信 息化建设健康发展的基础，这直接关系到国家安全，影响重大 “谁掌握信息，谁就掌握了世界”，拿破仑的这句名言在今天似乎有着更为 突出的现实意义信息安全已经不仅是一个技术问题、一个业务工作问题，也不 仅是信息化本身的问题，而是事关国家经济安全、社会稳定的全局性战略问题， 是国家安全的重要组成部分 目前，国家信息安全的总体框架已经搭就然而，我们要走的路还很长，法 规与制度现已制定了不少，但真正关键技术仍然掌握在外国人手里，受制于人就 不会有安全，这才是真正令人不安的 中山大学硕士学位论文 代理签名方案 1 2 相关工作 网络安全的本质就是网络上的信息安全信息安全是对信息的完整性、保密 性、真实性、不可否认性和个人隐私的保护 信息安全技术包括：密码技术、认证及抗抵赖技术、访问控制技术、防火墙、 安全审计技术等等在理论上，信息安全是建立在密码学以及安全协议的基础上 的密码学是信息安全的核心，利用密码技术对信息进行加密传输、加密存储、 数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术 更可靠 数字签名 1 ，2 ，3 】是密码学研究的热门课题之一，是当前信息化建设中的关键 安全机制之一它在密钥分配、电子商务、电子银行和电子政务等许多领域都有 重要的应用，利用数字签名，可以实现身份认证、不可否认性、保障数据完整性， 可以解决伪造、抵赖、冒充和篡改等问题特别是其身份鉴别、不可否认性在电 子商务、电子政务等领域都有着重要的作用数字签名是保障网络信息安全的有 力手段 数字签名是手写签名的电子模拟，它比手写签名更具有可靠性数字签名的 实现基础是公钥密码学，使用公钥加密算法和哈希函数，来达到与手写签名的同 样的功能在计算机网络中，要使数字签名代替手写签名，就要求数字签名具有 相应的法律效力，这就要求在法律上规定数字签名的有关条款目前，美国、加 拿大等很多国家都已经颁布了相关的法律条文，我国的数字签名法律的制订工作 也正在抓紧进行 常用的数字签名方案有r s a 4 ，5 】、e c d s a 6 ，7 】、e 1 g a m a l 8 、s c h n o r r 9 ，1 0 ，11 1 签名方案等；另外还出现一些具有特殊用途的数字签名，如。盲签名 1 2 ，1 3 】、群 签名【1 4 ，1 5 ，1 6 】、不可否认签名 1 7 ，1 8 ，1 9 】、环签名 2 0 ，2 1 ，2 2 等 2 中山大学硕士学位论文代理签名方案 代理签名 2 3 ，2 4 ，2 5 是一种特殊的数字签名，它是指当某个签名人( 称为原始 签名人) 由于某种原因不能签名时，将签名权委托给他人( 称为代理签名人) 替自己 行使签名权由于代理签名在实际应用中的重要作用，它自1 9 9 6 年提出以来 2 3 ， 就倍受人们的关注经过广泛研究，目前已出现了各种各样的代理签名方案 2 4 ，2 5 ，2 6 ，2 7 ，2 8 ，2 9 ，3 0 ，3 1 ，3 2 ，3 3 代理签名需要满足不可伪造性、可区分性、不可 否认性、可识别性等安全性要求其中不可否认性和不可伪造性是代理签名方案 的重要性质，为了保证原始签名人和代理签名人各自的利益，代理签名必须具备 不可伪造性；当原始签名人和代理签名人发生争议时，仲裁者必须确定谁是代理 签名的真正签名者，这就使得代理签名必须具备不可否认性例如，l e ee ta 1 2 8 称他们的强代理签名方案和代理多签名方案是安全的，但s u n e ta 1 f 3 4 指出其方 案不具有不可伪造性，因而是不安全的，文献 3 5 1 对l e e e ta 1 2 8 】的代理签名方 案做了改进；l e ee ta 1 【3 6 也指出文献 2 9 】中提出的不可否认代理签名方案是不 安全的由此可见，真正意义上安全有效的代理签名方案尚待进一步研究 1 3 本文研究内容及组成 数字签名是实现电子交易安全的核心技术，是保证交易过程中数据安全( 包 括信息的保密性、真实性、完整性和不可否认性等) 的有效手段代理签名是一 种重要的、具有实际意义的数字签名本文主要研究安全有效的代理签名方案， 并根据现实中的应用，提出多个符合现实情况的代理签名方案 本文共分为5 章，具体组织如下； 第1 章分析了计算机安全的重要性，阐述了数字签名在信息中的重要地位 第2 章介绍了有关密码学、数字签名特别是代理签名的基本概念和基本理 论，给出著名的s c h n o r r 签名方案【1 1 】和l h a m 多重签名方案【3 7 和一个典型的 代理签名方案 中山大学硕士学位论文代理签名方案 第3 章详细讨论了强代理签名方案文中提出了一种新的强代理签名方案， 经严格论述，我们证明给出的方案满足安全性要求然后我们将其推广，形成第 一类和第二类强代理多签名方案 第4 章详细讨论了定向代理签名方案在一般的签名方案中，签名产生后， 任何人都可以验证签名的有效性定向代理签名方案的验证者( 即接受者) 是由原 始签名人指定的，可有效防止代理签名人对原始签名人的欺骗行为我们证明了 该方案是安全的在此基础上，我们将其推广到代理多签名方案中，提出了第一 类和第二类定向代理多签名方案 第5 章对本文进行了总结，并提出了展望 其中，第3 章和第4 章是本文的重点本文提出了六个代理签名方案，我们 对其中的新的强代理签名方案( n s p s s ) 和定向代理签名方案( d r p s s ) 分别编程演 示，并测试成功，程序分别在附录a 2 和a 3 中绘出 文中所用的记号，在前文已经明确列出，所有记号在本文通用 4 中山大学硕士学位论文 代理签名方案 第2 章预备知识 2 1 密码学基础 密码学( c r y p t o g r a p h y ) - - 词来源于古希腊的c r y p t o 和g r a p h e i n 。意思是密写 密码学是一门既古老又年轻的学科，其历史可以追溯到几千年以前古代的 行帮暗语和一些文字猜谜游戏等，实际上就是对信息的加密这种加密方法通过 原始的约定，把需要表达的信息限定在一定的范围内流通古典密码学主要应用 于政治、军事和外交等领域【3 8 3 而现代密码学也是从战争中发展起来的，1 9 5 2 年，信息论创始人数学家香农( c e s h a n n o n ) 在贝尔系统技术杂志( b e l ls y s t e m t e c h n i c a lj o u r n a l ) 上发表了经典论文保密系统的通信理论( t h ec o m m u n i c a t i o n t h e o r yo f s e c r e c ys y s t e m s ) 3 9 ，这篇文章在第二次世界大战结束后即被解密也 正是这篇文章，开启了现代密码学的发展，使密码学成为一门科学 密码学主要包括两个方面：密码编码学( c r y p t o g r a p h y ) ，简称为“编密学”和 密码分析学( c r y p t a n a l y s i s ) 研究密码变化的规律并用之于编制密码以保护秘密信 息的科学，称为密码编码学，从事此行的叫密码编码者( c r y p t o g r a p h e r ) 研究密 码变化的规律并用之于密码以获取信息情报的科学，称为密码分析学，也叫密码 破译学，从事密码分析的专业人员称为密码分析者( c r y p t a n a l y s t ) 前者是实现对 信息保密的，后者是实现对信息反保密的，密码编码学与密码分析学相辅相成， 共处于密码学的统一体中，密码学即是二者的矛盾统一体 下面给出的是一个密码体制的模型( 图2 1 ) 5 中山大学硕士学位论文 代理签名方案 发送者 口 通信通道 口 接收者 自f i 窖_ j 钥t 浮i j 磐移j 图2 1 密码体制模型 假设发送者( s e n d e r ) 想发送消息给接收者( r e c e i v e r ) , 且想要安全的发送信息 他想确信窃听者不能阅读发送的消息 没有加密的信息( m e s s a g e ) 称为明文( p l a i n t e x t ) 用某种方法伪装消息以隐藏 它的内容的过程称为加密( e n c r y p t i o n ) ，加密后的信息称为密3 c ( c i p h e rt e x t ) ，而把 密文转变为明文的过程称为解密( d e c r y p t i o n ) 4 0 明文用m 表示，它可能是位序列、文本文件、位图、数字化的语音序列或数 字化的视频图像等等对于计算机，m 指简单的二进制数据密文用c 表示，它 也是二进制数据加密的过程实质是由明文m 到密文c 的函数，我们称之为加 密函数e ，用数学公式表示：e 咖) = c 相反地。解密的过程实质是由密文c 到明文m 的函数，我们称之为解密函数 d ，解密函数的数学公式为：d ( c ) = m 在一个密码体制中，要求解密变换是加密变换的逆变换，故下面的等式必须 成立：d ( e ( r n ) ) = m 密码算法( a l g o r i t h m ) - 电叫密码( c i p h e r ) ，是用于加密和解密的两个数学函数( 通 常是两个相关的函数：个用于加密，另一个用于解密) 如果算法的保密性是 基于保持算法的秘密，这种算法称为受限钼i ( r e s t r i c t e d ) 的密码算法受限制的密 码算法虽然具有历史意义，但按现在的标准，它们的保密性远远不够因为如果 有人无意泄露了算法的秘密，所有人都必须改变他们的算法，而且受限制密码算 法还有更大的坏处就是密码算法不能进行质量控制或标准化，存在管理上的许多 不便 6 中山大学硕士学位论文代理签名方案 现代密码学用密钥( k e y ) 解决这个问题密钥用k 表示，k 可以是很多数值里 的任意值密钥k 的可能的取值范围叫做密钥空n ( k e ys p a c e ) ，引入密钥k 后的加 解密函数可以写成如下形式，为了不失一般性，我们设加密密钥为k 。，解密密钥 为k 。，k 。和k 。可能相同也可能不同 加密：e t ( m ) i c 解密：b 。( c ) = m 其中巨，是由加密密钥。确定的加密变换，n 。是由解密密钥幻确定的解密 变换并有见。( b ( m ) ) = 卅成立 如果一个密码体制的加密密钥与解密密钥相同，即k 。= k 。，则称为对称密 码体制( s y m m e t r i ck e ye r y p t o s y s t e m ) 或单密钥密码体制、秘密密钥密码体制由 于加解密的密钥相同，对称密码体制的安全性取决于对密钥的保密，它要求发送 者和接收者在安全通信前，商定一个密钥其安全性依赖于密钥的安全性 对称密码体制的代表有1 9 7 7 年美国国家标准局( n b s ，n a t i o n a lb u r e a uo f s t a n d a r d s ) 公布的数据加密标准d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 4 1 ，1 9 9 2 年出现 的国际数据加密算法i d e a ( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ) 4 2 ，4 3 ，2 0 0 1 年美国国家标准技术研究所n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r da n dt e c h n o l o g y ) i e 式公布的高级加密标准a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) 【4 4 等 对称密码体制具有很高的保密强度，可以达到经受较高级破译力量的分析和 攻击，加解密速度快但对称密钥体制加解密使用的是相同的密钥，所以在一个 大范围的网络上，密钥的分发和管理是一件很困难的事情，使它难以满足系统的 开放性要求，无法解决消息确认问题 若一个密码体制的加密和解密分别用两个不同的密钥实现，即女。k 。，则 称为非对称密码体制或双密钥密码体制在一个非对称密码体制中，由加密密钥 ，计算解密密钥是困难的，公开，不会损害的安全性，则可以将女。公开， 中山大学硕士学位论文 代理签名方案 这样的密码体制称为公钥密码体带l j ( p u b l i c - k e yc r y p t o s y s t e m ) ，其中k 。和k d 是成对 出现的，它们形成密钥对，k 。叫做公开密钥( p u b l i ck e y ，简称公钥) ，k 。叫做私人 密钥( p r i v a t ek e y ，简称私钥) 公钥密码体制思想的提出来自w d i f f i e 和m e h e l l m a n 在1 9 7 6 年发表的密 码学的新方向( n e wd i r e c t i o ni nc r y p t o g r a p h y ) - - 文其第一个算法是由r m e r k l e 和m h e l l m a n 开发的背包算法 4 5 ，4 6 】迄今为止最著名、使用最广泛的是由 r r i v e s t 、a s h a m i r 和l a d l e m a n 三位教授于1 9 7 7 年提出的r s a 公钥密码体制 4 ，5 另外比较著名的还有e l g a m a l 公钥密码体错0 1 8 ，r a b i n 方案 4 7 ，4 8 等 公钥密码体制是数字签名的基础，它能适应开放性的使用环境，密钥管理相 对简单，能抵抗选择明文攻击，安全性好但是算法一般比较复杂，加解密速度 慢 2 2 数字签名基础 2 2 1 数字签名基本概念 在日常生活中，经常需要人们签署各种信件和文书，传统上都是用手写签名 或印鉴签名的作用是认证、核准和生效，签名是用来确定需要对该文件负责的 某个人。 随着信息时代的来临，人们希望对越来越多的电子文件进行迅速的、远距离 的签名，这就是数字签名【1 ，2 ，3 】数字签名( d i g i t a ls i g n a t u r e ) 是手写签名的电子模 拟，主要用于对数字消息( d i g i t a lm e s s a g e ) 进行签名，以防消息的冒名伪造或篡改， 亦可用于通信双方的身份鉴另数字签名以电子形式存储消息签名，因此，签名 之后的消息能通过计算机网络传输数字签名广泛应用在密钥分配、电子商务、 电子银行和电子政务等许多领域 中山大学硕士学位论文代理签名方案 数字签名与传统的手写签名有很大的差另t j 4 9 ，5 0 首先，手写签名是被签署文件的物理组成部分，而数字签名不是，所以所使 用的数字签名方案必须设法使签名“绑”到所签名的文件上 第二，手写签名不易拷贝，而数字签名正好相反，因此必须阻止一个数字签 名消息被重复使用，一般通过要求消息本身带有诸如日期等信息来达到阻止签名 被重复使用的目的 第三，手写签名是通过与一个真实的手写签名比较来进行验证，而数字签名 是通过一个公开的验证算法来验证，数字签名是由0 和1 组成的数字串，它因消 息而异，当出现争端时，它能够为仲裁者提供足够的证据来进行裁决，因此，其 安全性远远高于手写签名此外，数字签名依托于计算机网络，其时效性也远远 大于手写签名 数字签名应具有以下特性 3 8 】： ( 1 ) 签名是可信的：任何人都可以验证签名的有效性 ( 2 ) 签名是无法伪造的：除了合法的签名人之外，其他任何人伪造其签 名是困难的 ( 3 ) 签名是不可重复使用的：对一个消息的签名不能通过复制变为另一 个消息的签名否则，任何人都可以发现消息与签名之间的不一致 性，从而可以拒绝签名的消息这可以防止签名滥用 ( 4 ) 签名的消息是不可改变的：经签名的消息不能被篡改否则，任何 人可以发现消息与签名之间的不一致性 ( 5 ) 签名具有不可否认性：签名人事后不能否认自己的签名 随着计算帆信息网络的迅速发展，特别是电子商务的兴起，数字签名的使用 越来越普遍数字签名是防止信息欺诈行为的重要保障 9 中山丈学硕士学位论文 代理签名方案 2 2 2 基于公钥密码的数字签名方案 数字签名方案可以用对称算法实现，也可以用公钥算法实现，但前者除了文 件签名者和文件接受者双方，还需要第三方认证，较麻烦，本文仅讨论基于公钥 密码体制的数字签名方案 下面给出基于公钥密码的一般数字签名方案的签名产生阶段和签名验证阶 段假设d 要发送文件给p ： ( 1 ) o 用其保密的私钥对消息m 加密密文。就是d 对消息的签名 ( 2 ) o 将签名的消息，盯) 传送给p ( 3 ) p 用0 的公钥对口进行解密，得到m 若m = m ，则确认盯是消息m 的有效签名；否则为无效签名 因为私钥是保密的，只有0 自己知道，所以只有0 能对任何消息进行正确签 名另一方面，由于公钥是公开的，所以任何人都可以验证签名的有效性如果 0 否认签名的事实，则p 可将0 产生的密文出示给仲裁者。仲裁者用0 的公钥去 证实其签名的确实性；反之，若p 将收到的密文消息进行伪造篡改，则其不能用 0 的公钥进行加密，仲裁者很容易证明是伪造的 但是，并不是每一个公钥密码体制都可以按照上述方式来设计数字签名方 案，只有满足e 。( d k ( m ) ) = m 的公钥密码体制才可按上述方式来设计数字签名方 案 基于公钥密码的数字签名方案，著名的有r s a 数字签名方案 4 ，5 、e i g a m a l 签名方案【8 】和s c h n o r r 签名方案 9 ，1 0 ，l l 】等 1 0 中山大学硕士学位论文代理签名方案 2 2 3 s c h n o r r 签名方案 1 1 s c h n o r r 签名方案是由c s c h n o r r 于1 9 8 9 年提出的，是一个比较著名的 e i g a m a l 签名方案的变种形式 设p ，q 为两个大素数，q i ( p 1 ) ，g 是z ：中的一个元素，阶数为q ， ( - ) 是 一个安全的单向哈希函数 签名人0 的密钥对为( ，y o ) ，0 要对消息m 进行签名，则o 随机选取 k d 月z ；，计算r o = g bm o d p 和s o = x o h ( m ，t o ) + or o o d q 则( 饧，) 即为对消 g m 的签名d 将，r o ，5 。) 发送给验证者y 验证者检验等式g 。= o 圳名m o d p 是否成立，若成立，则说明( t o ，) 是有 效的签名图2 2 3 简单描述了s c h n o r r 签名的过程 d 计算：k o 月z ：，r o = g bm o d p 5 d = x o h ( m ，r o ) + k om o d q o v ： ( m ，r o ，) y 检验： g 。= y 善“。1 r om o d p 图2 2 - 3 ：s c h n o = 签名方案 2 2 4 l h a r n 3 7 多重签名方案 这是l h a m 在1 9 9 9 年提出的一种多重签名方案，也是基于公钥密码的数字签 名方案在该方案中，对消息的数字签名是由多个签名人联台产生的 设p ，q 为两个大素数，q l ( p - 1 ) ，g 是z ：中的一个元素，阶数为日需要签 中山大学硕士学位论文代理签名方案 名的消息为m ，签名人为# ，其密钥对为( h ，y b ) ，( f - 1 ，n ) 签名的产生过程 ( 1 ) 每个只随机选取一个d ，。z ：，计算d i = 9 4m o d p ，然后将忿发送给其 他签名人p j ，( j f ) ，这样每个只就拥有了所有的d ( 2 ) 每个只收到所有的2 后，计算d = f i d im o d p ，吒= x 8 m - d ：d r o o d q ， 只将( b ，q ) 通过安全信道传送给某个特定的签名人只，这样只就拥有了所有的 ( d j ，q ) ，( f _ 1 ，n ) 。由只来生成最终的代理签名 ( 3 ) 只收到所有的( 口，q ) 后，计算d = y i d im o d p ，然后验证等式 y ：= 9 4 掣m o d p ，( 江1 ，n ) 是否成立，若都成立，则计算 叮= 嚷r o o d q ( m ，盯，d ) 即为n 个签名人只，( f - 1 ，n ) 对消息。联合生成的多 l t 重签名 签名的验证过程 验证者在得到签名( m ，盯，d ) 后，计算y = i - i y ，m o d p ，验证 y = 9 4 d 。m o d p 是否成立，若成立，则证明似，盯，d ) 是有效的签名 2 3 代理签名方案简介 数字签名一直是密码学领域研究的热门问题之一随着数字信息化的发展 1 2 中山大学硕士学位论文 代理签名方案 数字签名技术得到了越来越多的应用，许多具有特殊性质的数字签名方案被提了 出来，譬如：盲签名( b l i n ds i g n a t u r e ) 1 2 ，1 3 、不可否认签名( u n d e n i a b l e s i g n a t u r e ) 1 7 ，1 8 ，1 9 1 、防失败签名( f a i l s t o ps i g n a t u r e ) 5 1 ，5 2 以及群签名( g r o u p s i g n a t u r e ) 1 4 ，1 5 ，1 6 和环签名( r i n gs i g n a t u r e ) 2 0 ，2 1 ，2 2 】等 1 9 9 6 年，m a m b oe l a l 2 3 首先提出了代理签名的概念代理签名 2 3 ，2 4 ，2 5 是一种特殊的数字签名，它是指当某个签名人( 这里称为原始签名人) 由于某种原 因不能签名时，将签名权委托给他人( 这里称为代理签名人) 替自己行使签名 权代理签名在实际应用中有着重要的作用，例如，某公司的总经理可以委托一 个可靠的助手在他出差期间代表他在一些重要文件上签字，如委托授权律师进行 交易等代理签名可以应用在电子交易【5 3 和移动代理的环境 2 6 ，2 7 1 e 7 2 3 1 代理签名方案的安全性要求 文献 5 4 1 对代理签名方案的基本性质进行了归纳代理签名方案应满足以下 基本性质： 性质1 ( 基本的不可伪造性u n f o r g e a b i l i t y ) 除了原始签名人外，任何人( 包括代 理签名人) 都不能生成原始签名人的普通的数字签名这个性质是任何数字签名 方案都应该具备的性质，它可以保证原始签名人的基本安全要求 性质2 ( 代理签名的不可伪造性p r o x ys i g n a t u r esu n f o r g e a b i l i t y ) 除了代理签名 人外，任何人( 包括原始签名人) 都不能生成有效的代理签名特别，若原始签名 人委托了多个代理签名人，那么任何代理签名人都不能伪造其他代理签名人的代 理签名这个性质可以保证代理签名人的基本的安全要求 性质3 ( 代理签名的可区分性d i s t i n g u s h a b i l i t y ) 任何一个代理签名都与原始签 名人的普通的数字签名有明显的区别；不同的代理签名人生成的代理签名之间也 有明显的区别上述三条性质结合起来可以防止签名人之间互相抵赖 中山大学硕士学位论文 代理签名方案 性质4 ( 不可否认性u n d e n i a b i l i t y ) 任何签名人( 不论是原始签名人还是代理签 名人) 在生成一个数字签名后，不能对它加以否认这可由性质1 、2 、3 推导出 来 性质5 ( 可识别性i d e n t i f i a b i l i t y ) j 瓯, 始签名人可以根据一个有效的代理签名确 定出相应的代理签名人的身份利用这个性质，原始签名人可以对代理签名人进 行监督，使代理签名人不能在不被发现的情况下滥用它的代理签名权 钥 性质6 ( 密钥依赖性k e y d e p e n d a b i l i t y ) 代理签名密钥依赖于原始签名人的私 性质7 ( 可注销性c a n c e l l a t i o n ) 若原始签名人希望代理签名人只能在一定时 间区间内拥有生成代理签名的能力，那么必须能够让代理签名人的代理签名密钥 在指定的时刻失去作用。 不可否认性和不可伪造性是代理签名方案的重要性质例如，当原始签名人 和代理签名人发生争议时，仲裁者必须确定谁是代理签名的真正签名者l e ee t a l 2 8 称他们的强代理签名方案和代理多签名方案具有不可伪造性，但s u ne l a 1 【3 4 对其强不可伪造性进行分析，指出他们的代理签名方案是不安全的本文作 者在一个改进的强代理签名方案 3 5 中，对l e ee t a l 【2 8 的代理签名方案进 行改进，改进后的方案具有不可伪造性，可有效的防止原始签名人对代理签名人 的恶意攻击 在实际中，设计一个安全、有效、实用并具有不可否认性和不可伪造性的代 理签名方案有待进一步研究 2 3 2 代理签名方案的分类 李继国等 5 5 1 对代理签名方案进行了系统的分类代理签名的创始人 m a m b o 、u s u d a 和o k a m o t o 将代理签名分为三大类：完全代理签名、部分代理 1 4 中山大学硕士学位论文代理签名方案 签名、和带有授权证书的代理签名 完全代理签名( f u l ld e l e g a t i o n ) ：在完全代理签名方案中，原始签名人直接把 自己的私钥通过安全信道发送给代理签名人，代理签名人用得到的私钥进行代理 签名，产生的签名和原始签名人的签名是相同的，不可区分的 正因为代理签名的不可区分性，所以不能制止潜在的签名滥用完全代理签 名方案也不具有可识别性和不可否认性在很多情况下，原始签名人过后不得不 修改他的私钥因此这种签名不适合商业应用 部分代理签名( p a r f i a jd e l e g a t i o n ) ：在部分代理签名方案中，原始签名人使用 自己的私钥，产生一个签名密钥s ，并把j 通过安全信道传送给代理签名人， 这时，代理签名人的代理签名和原始签名人的签名是可区分的出于安全考虑， 要求从代理签名密钥5 不能求出原始签名人的私钥 部分代理签名又分为两种类型 代理非保护代理签名( p r o x y u n p r o t e c t e dp r o x ys i g n a t u r e ) ：除了原始签名人， 指定的代理签名人能够代替原始签名人产生有效的代理签名但，没有指定为代 理签名人的第三者不能产生有效的代理签名这时，代理签名密钥就是j 代理保护代理签名( p r o x y p r o t e c t e dp r o x ys i g n a t u r e ) ：只有指定的代理签名人 能够产生有效的代理签名其他任何人，包括原始签名人和第三者都不能产生有 效的代理签名这时，代理签名密钥h 是由j 和代理签名人的私钥斗两部分组 成的 人们根据需要提出了形形色色的部分代理签名方案例如，门限代理签名 2 9 】、不可否认代理签名【3 0 、具有时戳的代理签名【3 1 】和具有授权证书的部分代 理签名 2 4 】等，以及第一类代理多签名( 多个原始签名人委托一个代理签名人进行 代理签名) 【3 2 】和第二类代理多签名( 多个原始签名人委托各自的代理签名人联合 进行代理签名) 5 6 ，5 7 】等，极大地丰富和发展了部分代理签名 ! 些盔兰堕主兰垒笙塞 垡墨篷鱼! 生 具有授权证书的代理签名( d e l e g a t i o nb yw a r r a n t ) ：授权证书包含原始签名人 对代理签名人的授权证书、各自的身份信息和签名的有效时间信息等 具有授权证书的代理签名又分为两种类型： 授权代理签名( d e l e g a t ep r o x y ) ：在授权代理签名方案中，原始签名人用自己 的私钥使用普j 露的签名方案签一个文件( 称某某为代理签名人) ，然后。把产生的 授权证书发放给代理签名人。 持票代理签名( b e a r e r p r o x y ) ：在持票代理签名方案中，授权证书是由消息部 分和原始签名人对新产生的公钥的签名组成原始签名人把新产生的公钥所对应 的私钥通过安全信道发放给代理签名人 部分代理签名和具有授权证书的代理签名比完全代理签名更安全部分代理 签名比具有授权证书的代理签名具有更高的处理速度，而具有授权证书的代理签 名可以对签名的文件加以限制，比如在证书上附加授权的有效期限而部分代理 签名不具有这个性质具有授权证书的部分代理签名方案具有部分代理签名和具 有授权证书的代理签名两者的优点一般来说，具有授权证书的部分代理签名方 案提供了可接受的执行效率和合理的授权规则，如原始签名人的身份、代理签名 人的身份和代理签名的有效期等信息 由于代理签名在实际应用中起着重要作用，所以代理签名一经提出，便引起 人们的广泛关注目前的研究主要集中在部分代理签名方案和具有授权证书的代 理签名方案，这两者往往是互相交叉的因而，部分代理签名和具有授权证书的 代理签名之间并没有严格的界限 2 3 3 一个典型的代理签名方案 在这一节中，我们简单介绍一个比较典型的代理签名方案：m a m b oe t a l 2 3 】 中提出的代理签名方案一个代理签名方案应包括三个阶段：授权、代理签名和 1 6 中山大学硕士学位论文 代理签名方案 签名验证阶段 设p ，q n n + n 素数，q l ( p - 1 ) ，g 是z ：中的一个元素，阶数为q 需要签 名的消息为m ，原始签名人为0 ，其密钥对为( x o ，y o ) ，代理签名人为p ，其密 钥对为( z ，y ，) ( 1 ) 授权阶段 在授权阶段，原始签名人0 需要生成一个二元组( s ，k ) ，然后把它传送给代 理签名人p 首先，原始签名人0 随机选择k 。z ：，计算k = g m o d p ， s = x 0 + 膳m o d q 然后，原始签名人将( s ，量) 通过安全信道发送给代理签名人代 理签名人检验等式g5 = y o k 。m o d p 是否成立，若成立，则p 接受( 瓦彤) 否则， 拒绝接受 ( 2 ) 代理签名的产生和验证阶段 当代理签名人要对消息m 进行代理签名时，他使用j 代替执行普通的签名 运算，用它来生成对消息m 的代理签名c r = s i g n ( m ，j ) 然后代理签名人p 把三元 组( m ，叮，k ) 传送给验证者y y 验证时，首先计算5 对应的公钥y = 9 5 = v k ”r o o d p ，用它来检验代理签 名的正确性，即检验等式v e r i f y ( m ，盯，y ) = t r u e 是否成立，若成立，则证明是有效 的代理签名 这是一个代理非保护的代理签名方案，因为代理签名密钥就是s ，除了代理 签名人，原始签名人也可以生成有效的代理签名李继国等人【5 8 指出他们的方 中山大学硕士学位论文代理签名方案 案是不安全的，并给出了相应的改进，这里就不再详细叙述 2 4 本章小结 这一章，我们介绍了一些必要的基础知识，包括密码学、数字签名的基本概 念和基本理论、代理签名的简介等我们特别介绍了著名的s c h n o r r 签名方案、 l h a m 多重签名方案和一个典型的代理签名方案 1 8 中山大学硕士学位论文 代理签名方案 第3 章强代理签名方案 2 0 0 1 年，l e ee