（计算机软件与理论专业论文）代理签名技术的研究.pdf

代理签名技术的研究 摘要 数字签名在电子商务中的应用中占有重要地位。作为数字签名的一个分支 代理签名，由于其在电子银行，电子商务、移动代理等实际应用中的重要作用，一 提出便受到广泛关注，成为研究热点。因此研究代理签名的技术有定的理论意义 和实用价值。 本文首先分析了信息安全的重要性，闸述了数字签名在信息安全中的重要地位。 然后介绍了有关密码学、数字签名和代理签名的基本概念和基本理论。介绍了近期 的几种较为典型的代理签名方案。为了拓展代理签名的应用范围，在广泛研究了各 种代理签名方案的基础上，对限制次数的代理签名做了一定程度上的研究。主要方 法是在现有代理签名方案的幂础j 上结台前向安全的思想加以改进，得到的研究成果 如下： 1 在基于h a t s h a m i r 方案的代理签名的基础上，参考b e l l a r e 等人提出 的前向安全数字签名体制，修改原体制参数及泌过程，使代理密钥具 有前向安全性质，提出一个具有前向安全性质的限制次数代理签名方 案： 2 为了提高效率，将第一个方案的思想移植到基于离散对数问题的签名乃 案中，提出一个基于离散对数的限制次数代理签名方案，该方案在签名 各个阶段的计算公式明显精简，具有较高的效率。 关键词：数字签名；代理签名；前向安全；双线性对 r e s e a r c ho fp r o x ys i g n a t u r et e c h n o l o g y a b s t r a c t d i g i t a ls i g n a t u r ep l a y sai m p o r t a n tr o l ei ne l e c t r o n i cc o m m e r c e p r o x ys i g n a t u r e ，a s ab r a n c ho fd i g i t a ls i g n a t u r e ，h a sb e e nah o tr e s e a r c hp o i n ta ss o o na si t sa p p e a r a n c e b e c a u s ei t ss i g n i f i c a n tf u n c t i o ni nm a n ya s p e c t s ，s u c ha se l e c t r o n i cc o m m e r c e ，m o b i l e a g e n t ，e t c s ot h er e s e a r c hf o rp r o x ys i g n a t u r et e c h n o l o g yh a sa c a d e m i ca n da p p l yv a l u e j nac e r t a i ne x t e n t t h i st h e s i sf i r s td e a l sw i t ht h e i m p o r t a n c eo fi n f o r m a t i o ns e c u r i t y a n dt h e s i g n i f i c a n c eo fd i g i t a ls i g n a t u r ei ni n f o r m a t i o ns e c u r i t y s e c o n d l y ，w ei n t r o d u c et h eb a s i c c o n c e p t sa n db a s i ct h e o r i e so fc r y p t o l o g y ，d i g i t a ls i g n a t u r ea n dp r o x ys i g n a t u r e t h e n p r e s e n t ss e v e r a lr e p r e s e n t a t i v ek i n d ss c h e m e sr a i s e dr e c e n t l y i no r d e rt oe x p a n dt h e a p p l i c a t i o nf i e l d so fp r o x ys i g n a t u r e ，t h ek i n do fn u m b e r - l i m i t e dp r o x ys i g n a t u r ew a s r a i s e di nt h i s p a p e rb a s e do nt h er e s e a r c h o ff o r m e rs c h e m e s t h em a i nm e t h o di s c o m b i n i n gt h et h o u g h to ff o r w a r ds i g n a t u r ew i t hs o m ep r o x ys i g n a t u r ea l r e a d yb e e n r a i s e d o u rr e s e a r c ha c h i e v e m e n t sa r ef o l l o w s ： 1 b a s e do nt h ef i a t s h a m i r ep r o x ys i g n a t u r es c h e m e s ，m o d i f y i n gt h es c h e m e s 。p a r a m e t e r sa n dp r o t o c o lp r o c e d u r e si nv i r t u eo fs o m er e f e r e n c e sf r o mt h e f o r w a r d s e c u r i t yd i g i t a ls i g n a t u r es c h e m e sr a i s e db yb e l l a r e ，w er a i s ea n u m b e r l i m i t e dp r o x ys i g n a t u r es c h e m e sw i t hf o r w a r ds e c u r i t yp r o p e r t y t h e p r o x ys e c r e tk e yi sf o r w a r ds e c u r i t yi nt h i ss c h e m e 2 s e c o n d ，w ec o m b i n et h em a i ni d e ai nf i r s ts c h e m ew i t ht h ed i s c r e t el o g a r i t h m p r o x ys i g n a t u r es c h e m e sf o rt h es a k eo fe f f i c i e n c y t h e nw er a i s ea n e w n u m b e r - l i m i t e d p r o x ys i g n a t u r e s c h e m e sb a s e do nd i s c r e t e l o g a r i t h m p r o b l e m i ti so b v i o u st h a tt h ec o m p u t ee q u a t i o n si nt h i ss c h e m ea r es i m p l e r t h e nt h ef o r m e r s ot h i ss c h e m eh a sh i g he f f i c i e n c y k e y w o r d s ：d i g i t a ls i g n a t u r e ；p r o x ys i g n a t u r e ；f o r w a r ds e c u r i t y ；。b i l i n e a rp a i r i n g s 第一章引言 第一章引言 1 1 研究背景 计算机网络的发展，使网络社会和计算机网络经济的时代正在到来。目前， i n t e r n e t 已遍及1 8 0 多个国家和地区，容纳了6 0 多万个网络，世界上拥有超过1 0 亿台计算机，中国网民数量已近1 亿。人们越来越多的运用计算机来提供资源共享 和交流、在网上进行学术交流和合作开发。人们之间的信息交流呈现出国际化、网 络化、数字化、个人化、智能化、宽带化的趋势，金融电子化的步伐大大加快，这 种电子化、数字化的趋势己经波及社会生活的几乎所有的方面。“数字化经济” ( d i g i t a le c o n o m y ) 的图景已经浮现，电子商业、电子银行和电子货币的研究、实 施和标准化正在紧锣密鼓地进行中。许多传统上基于纸面的，常常需要签名盖章的 重要凭证，诸如纸币、存单、支票、股票、公函、合同、租约、遗嘱、选票、法律 文书、身份证件、学历证书等等，己陆续转化为数字电子媒体的形式出现。这种转 化方兴未艾，前景辉煌，虽然未必会有百分之百的转化，但对社会、经济、商业、 金融乃至个人生活各方面的影响将是深刻的。 然而互联网是一把“双刃剑”，在传播信息、推动经济发展和方便人们生活的同 时，计算机安全问题也令人担忧。由于信息的存储、传递、处理等过程往往是在开 放的通信网络上进行，所以信息容易受到窃听、截取、修改、伪造、重放等各种攻 击的威胁。各种攻击手段，病毒、黑客、漏洞、有害代码等己合流，联合起来攻击 网络及其终端设各。由于网络易被攻击，致使重要信息( 如国家机密、商业机密和 个人隐私等) 泄露或篡改，轻则引起企业、部门工作紊乱，造成巨大的经济损失， 重则危害国家安全和社会稳定。另外，以非法入侵和非法获利为目的的信息犯罪日 益增多也对网络的安全运行和进一步发展提出了挑战。所以，如何保障计算机安全， 特别是信息的安全己经成为保证国民经济信息化建设健康发展的基础，这直接关系 到国家安全，影响重大。 “准掌握信息，谁就掌握了世界，拿破仑的这句名言在今天似乎有着更为突出 的现实意义。信息安全已经不仅是一个技术问题、一个业务工作问题，也不仅是信 息化本身的问题，而是事关国家经济安全、社会稳定的全局性战略问题，是国家安 全的重要组成部分。 目前，国家信息安全的总体框架已经搭就然而，我们要走的路还很长，法规 与制度现已制定了不少，但真正的关键技术仍然掌握在外国人手里，受制于人就不 会有安全，这刊是真正令人不安的。 青岛大学硕士学位论文 1 2 密码学与数字签名 网络安全的本质就是网络上的信息安全。信息安全是对信息的完整性、保密 性、真实性、不可否认性和个人隐私的保护。其中心内容是保证信息在信息系统中 的保密性和认证性。所谓信息的保密性，是指信息在生成、传递、处理、保存等过 程中，不能被未授权者所提取。信息的认证性，是指信息在生成、传递、处理、保 存等过程中，不能非法地窜改、删除、重放和伪造等。解决信息安全问题的核心技 术是密码学技术。密码技术是一门交叉学科，它涉及计算复杂性理论、算法设计与 分析理沧、计算机科学及网络技术、通信技术、数论、信息论、编码理论、概率论 和随机过程理沦、有限自动机理论、图论、不定方程、组合数学、代数、量子理论 以及公共策略和法律等方面的知识。 密码学的基本思想和技术是将一种形式的消息变换成另外一种形式的消息。因 此，从某种意义卜i 讲，密码学也是研究消息“变换”方法的一门科学。我们称密码 学中用到的各种变换为密码算法。例如，如果一个变换能够将一个有意义的消息( 称 为明文) 变换成无意义的消息( 称为密文) ，从而使非授权人难以读取明文的内容， 那么称这个变换为加密算法。如果一个变换能将一个消息变换成一种“证据”，用来 证明某个实体对消息内容的认可，那么称这个变换为一个签名算法。 每个密码算法一般都有一个“逆”算法，他们一般是成对出现和存在的。例如， 一个加密算法的“逆”算法称为解密算法，一个签名算法的“逆”算法称为验证算 法等。这些算法通常都是在一组密钥( k e y ) 的控制下进行的。如加密算法中用到的 密钥称为加密密宅 ；j ，解密算法用到的密钥称为解密密钥，签名算法用到的密钥称为 签名密钥，验证算法用到的密钥称为验证密钥等。 根据密钥的特点，密码体制( c r y p t o s y s t e m ) 可以分为单钥体制( o n e k e ys y s t e m ) 和双钥体制( t w o k e ys y s t e m ) 两种。单钥体制又称为私钥体制( p r i v a t e k e y s y s t e m ) ，双钥体制又称为公钥体制( p u b l i e k e ys y s t e m ) 。在单钥体制中，一对加 密和解密( 或签名和验证) 算法使用的密钥相同，或实质上等同，即从一个容易得 出另一个：在双钥体制中，加密和解密( 或签名和验证) 算法使用的密钥不i 司，而 且从一个难于得到另一个。 密码技术除了提供信息的加密解密外，还提供对信息来源的鉴别、保证信息的 完整和不可否认等功能，而这三种功能都是通过数字签名实现。利用数字签名，可 以实现身份认汪、不可否认性、保障数据完整性，可以解决伪造、抵赖、冒充和篡 改等问题特别是其身份鉴别、不可否认性在电子商务、电子政务等领域都有着重 要的作用。数字签名是保障网络信息安全的有力手段。单钥和双钥体制都可以用来 生成数字签名，然而单钥体制由于其自身的缺陷有很大的局限性。 2 第一章引言 在公钥系统中，p k i ( p u b l i ck e yi n f r a s t r u c t u r e 公开密钥基础设施) 占有重 要的地位，它二十世纪八十年代美国学者提出的概念。目前已经成为一个被广泛接 受的网络安全体系结构。为推进p k i 在联邦政府范围内的应用，1 9 9 6 年成立了联邦 p k i 指导委员会。1 9 9 9 年，p k i 论坛成立。2 0 0 0 年4 月，美国国防部宣布要采用p k i 安全倡议方案。依据2 0 0 1 年1 2 月6 日至7 日在荷兰海牙召开的p k i 政府论坛会议 资料表明，主要发达国家高度重视p k i 建设，更加关注p k i 与网络应用的融合。与 会的英国、挪威、瑞典、荷兰、西班牙、加拿大和美国等国政府代表都介绍了本国 p k i 建设现状和发展规划，亦对p k i 发展持乐观态度。 p k i 以c a ( c e r t i f i c a t i o na u t h o r i t y 认证中心) 技术为核心，c a 技术的关键 是数字签名。网络环境中的数字签名类似于现实中“传统的”手写签名，每天每个 人都可能遇见签名的问题，未来信息化社会中的数字签名的重要性不言而喻。典型 的数字签名包括两部分：签名算法和验证算法。签名者a 1 i c e 拥有一对公私钥，a 1 i c e 利用签名算法和私钥产生一个有效的签名，验证者b o b 可以通过公开渠道得到a i c e 的公钥，b o b 将用验证算法结合a 1 i c e 的公钥对a l jc e 签名的合法性进行验证。数 字签名经过多年的研究己经得到了许多比较成熟的签名算法。如美国数字签名标准 d s a ，事实上的工业标准r s a ，还有其他众多类型的e 】g a m a l 类签名方案等。数字签 名是传统的“手写签名”的电子对应物。 现实中，我们常遇到下述情况：如行政官员要出外度假而暂时无法对各种文件 进行签名；总经理希望部门经理就其部门的问题代表他进行签名；繁忙的高校校长 希望办公室主任为众多的合格毕业生代替他作签名等等。这些情况用传统的“手写 签名”解决只需把印章交给代理人即可。但是普通的数字签名则很难用简单的传递 签名密钥来解决上述问题，因为印章可以收回而签名密钥一旦泄漏将不可收回。这 就需要设计一种新的数字签名方案，这种新的数字签名方案就是我们要研究的代理 签名。 代理签名是在标准签名的基础上改进形成的。典型的代理签名可被看作三部分， 即：原签名者、代理签名者和验证者。原签名者对授权信息用自己私钥做一个签名， 把其作为授权发给代理签名者；代理签名者验证授权，确认无误后，利用授权产生 代理公私钥，利用代理公私钥和标准的签名算法就可以产生一个代理签名：验证者 验证时需要同时验证授权和代理签名的正确性。 这就是代理签名的基本模式，在此模式的基础上为了满足各种不同情况的安全 需要可设计不同的代理签名体制。在理论研究方面人们的研究目的主要有：( i ) 提 出新概念，如m a m b o 等人首次提出了代理签名体制的概念，z h a n g “1 提出了不可抵 赖代理签名体制和门限代理签名体制的概念，k i m ”1 等提出了带委任状的部分委托型 代理签名体制的概念等；( 2 ) 给出新体制。一般地，每当人们提出一个新概念的时 青岛大学硕士学位沦文 候，都会给出相应的新体制；( 3 ) 发现或发明代理签名体制的用途。研究方法主要 有：( 1 ) 将代理签名体制与一些特殊性质结合起来得到新概念和新体制；( 2 ) 研究 在实际应用中遇到的各种新问题，寻找解决方案；( 3 ) 对普通的数字签名体制进行 仔细的分析，找出可以将它们转化为代理签名体制的途径；( 4 ) 利用各种密码分析 工具，分析代理签名体制的安全性、可行性，效率等。 本文的研究目的是综合分析现有方案，提出新体制。主要成果是针对代理签名 方案中缺少对代理人签名次数的限制而进行的研究，基于因子分解难题提出了一个 具有前向安全性质的代理签名方案，为了提高效率，对已有的方案进行改进，又提 出了一个基于离散对数的限制次数代理签名方案，方案满足代理签名所需要的安全 性。 1 3 国内外研究现状 自从1 9 9 6 年m a m b o “3 等人引入代理签名的概念以来，因其在实际应用中的重要 作用，国内外学者对其进行了深入的探讨与研究。2 0 0 3 年李继国“1 等对代理签名做 了综述，阐述了当时在授权代理、门限代理、多代理、不可否认性的代理方面的进 展。之后，人们在代理签名的方案形式、效率改进及应用方面又做了许多工作。如 前向安全的代理、限制性代理签名、盲代理、匿名代理、时控代理、多重代理多重 签名、基于零知识签名的代理、基于身份的代理、指名代理”“等。在体制的数学基 础上，大多是基于大数的因子分解难题或者离散对数问题( 如椭圆曲线等) ，随着双 线性对的应用，基于双线性对的代理签名方案”1 也得到研究。针对代理签名只能 提供授权的的认证而不能提供保密性，1 9 9 9 年，g a m a g e ”等通过组合代理签名和加 密技术扩展了代理签名的概念，提出了代理签密的概念，。吉文峰o ”等利用代理签密 设计出适合于移动通信环境下用于移动设备的加密方式，显示出代理签名体制在移 动电子商务中有较好的前景。 1 4 本文研究内容及组成 数字签名是实现电子交易安全的核心技术，是保证交易过程中数据安全( 包括 信息的保密性、真实性、完整性和不n ：否认性等) 的有效手段代理签名是一种重 要的、具有实际意义的数字签名。本文主要研究限制签名次数的代理签名方案，拓 展了代理签名的应用范围。主要内容有： 第一章分析了信息安全的重要性，阐述了数字签名、代理签名的意义。 第二章介绍了有关密码学、数字签名特别是代理签名的基本概念和基本理论，给出 基于两种数学难题的代理签名方案。 第三章分析了几种现有代理签名方案。 4 第一章引言 第四章详细讨论了限制次数签名方案，包括基于因子分解难题的方案和基于离散对 数的改进方案。 第五章对本文进行了总结，并提出了展望。 青岛大学硕二 学位论文 2 1 数字签名基础 第二章代理签名基本概念 2 1 1 数字签名基本概念 数字签名是使用加密算法制成的数字标签，加于消息上的一串比特流，或者是加 过密的比特流，解密后得出消息。此标签通过密钥制成，而且不访问密钥，就不可 能仿制标签。通常使用私钥签名文件，并使用同一私钥打开别人发送的加密文件。 数字签名能够实现以下功能： ( 1 ) 收方能够证实发方的身份； ( 2 ) 发方事后不能否认所发送的报文： ( 3 ) 收方或非法者不能伪造、篡改报文。 数字签名有多种分类方法，按照被签名的消息大小分类有两种：一种是对整体消 息的签名，它是消息经过密码变换的被签消息整体，解密之后同时解出原文；一种 是对压缩消息( 出叫消息摘要m e s s a g ed i g e s t ) 的签名，它是附加在被签名消息之 后或某一特定位置上的一段图样。按照签名的生成是否随机可分为确定性数字签名 和随机化的数字签名。确定性数字签名( d e t e r m i n i s t i c ) 其明文与密文一一对应， 它对一特定消息的签名不变化，如r s a ；为了抵抗公钥替换攻击，后来出现了随机 化的或概率式( r a n d o m jz e d ) 数字签名，它对同一消息的签名是随机变化的，取决 于签名算法中的随机参数的取值。 数字签名一般由五个基本组成部分：消息空间m ，签名空问4 ，密钥空间k ， 两个最主要的算法：签名算法s 和验证算法y 。对于每一个k k ，有一签名算法， 易于计算s = 瓣。( m ) 。 2 1 2 数字签名体制的密码学基础 对称密钥和公开密钥都可以做数字签名。只是对称密钥一般只能构造一次性的 签名方案，密钥量大，缺乏灵活性。 1 9 8 7 年r a l p hm e r k l e “”提出了一个基于对称秘密密钥密码的数字签名方案，该 方案利用树型结构产生无限多的一次签名这个方案的基本思想是在某些公开文档 中放入树的根文件，从而鉴别它。根节点对一个消息签名，并鉴别捌中的子节点， 这些节点的每一个都对消息签名，并对它的子节点鉴别，一直延续下去。使用的是 没有陷门的单向函数( o n e w a yf u n c t i o nw i ih o u tt r a p d o o r ) 公钥密码体制( p u b l i c k e yc r y p t o g r a p h y ) 基于带陷门的单向函数( ao n e w a y f u n c t i o nw i t ht r a p d o o r ) 。什么是单向函数呢? 单i 旬函数计算起来很容易，但求逆 6 第二章代理签名基本概念 却很困难。也就是随，己知z ，我们很容易计算出f ( x ) ，但已知f ( x ) ，却难于计算 出z 。一个例子是打破盘子再拼起来。陷门单向函数是有一个有秘密陷门的一类特 殊的单向函数。它在一个方向上易于计算而反方向却难于计算。但是，如果你知道 那个秘密，你也能很容易地在另一个方向上计算出这个函数。一个例子是拆分表， 拆分开的许多小表不易重新拼装起来，但是如果你知道各个表安装的顺序，就可以 很容易的拼装起来。 目前多数公钥体制是基于这些问题。：多项式求根、离散对数( d s c r e t e l o g a r i t h m ) 、大整数分解( f a c t o r i z a t i o np r o b l e m ) 、背包问题( k n a p s a c kp r o b l e m ) 、 d i f f i e - h e l i m a n 问题、二次剩余问题( q u a d r a t i cr e s i d u e ) 、模n 的平方根( s q r o o t ) 问题。 2 1 3 特殊的数字签名方案 不可否认签名( u n d e n i a b l ed i g i t a ls i g n a t u r e ) ：在签名人合作的条件下爿能 验证签名。不可否认的数字签名除了一般签名体制中的签名算法和验证算法外，还 需要有否认协议，即利用否认协议证明一个伪造的签名确实是假的。如果签名人拒 绝参与执行否认协议就证明签名事实上是真的由他签署的。 多重数字签名( m u l t i s i g n a t r e ) ：多个签名人对同一份消息共同进行签名。 防失败签名( f a i 卜s t o p ) ：这是一种强化安全性的数字签名，可防范有充足计算 资源的攻击者，当a 的签名尝到攻击，甚至分析出，4 的私钥的条件下，乜难以伪造爿 的签名，a 也难以抵赖自己的签名。 群签名( g r o u ps i g n a t u r e ) 、多重签名和群签名是不同的，前者是一次又一次 的签名，每一次都是个有效的签名，如以前要批准一个项目利，要到多个部门去 盖章，每一个盖章都盖在一张公文上，都是有效的，但群签名是必须这些人都签名 刊。有效，少了一个都无效。 盲签名( b l i n ds i g n a t u r e ) ( 盲签名在电子投票、数字现金中都有应用) ：让某人 对一个文件签名，但又不让他知道文件内容。 流签名( s t r e a ms i g n a t u r e ) ：对网上的流数据，比如在线的电影、电视、视频 会议签名，防止盗版或伪造，是刑实时性要求较高的签名算法。 2 2 代理签名及其分类 本节主要介绍代理签名的概念、分类、安全性要求及基本体制。 2 2 1 代理签名概念 1 9 9 6 年，m a m b o 、u s u d a 和o k a m o t o ”1 首先提出了代理签名的概念，给出了解决 数字签名权力委托问题的方法。利用代理签名体制，一个被称为原始签名人的用户 青岛大学硕士学位论文 将他的数字签名权委托给一个被称为代理签名人的用户，代理签名人代表原始签名 人生成的数字签名，称为代理签名。 定义2 1 ：设a ，b 是某个数字签名体制( m ，s ，k ，s 1 g ，v e r ) 的两个用户，他们 的私钥和公钥对分别是 。，n ) ， 。，y 。) 若以下条件满足： ( 1 ) 爿利用他的秘密密钥工。计算出一个数盯，并且将仃交给b ； ( 2 ) 任何人( 包括口) 在试图求z 。时，口不会对他有任何帮助； ( 3 ) b 可以利用盯和，生成一个新的签名密钥盯。； ( 4 ) 存在一个公开的验证算v e t a b ，使得任何s s 和m e m ，都有 v e r a 口( y ，s ，m ) = t r u e s = s i g ( a 。，m ) ； 公式2 一( 1 ) ( 5 ) 任何人在试图求出由x a ，口或由d 。时，任何数字签名由s i g ( ( 7 。一。，m ) 都不 会对他产生帮助。 那么我们就称用户a 将他的( 部分) 数字签名权利委托给了用户口，并且称爿为 口的原始签名人，称b 为a 的代理签名人，称由盯为委托密钥，称仃。一。为代理签名 密钥，称以o 。作为签名密钥对消息e m 生成的数字签名s i g ( ( 7 。口，m ) 为a 的代 理数字签名。 定义2 2 ：能够生成代理签名的数字签名体制被称为代理签名体制。 一个代理签名体制p s = ( p g ，p j k ，p s ，p v ) 一般由以下四个算法组成： ( 1 ) 系统参数生成算法p g ：该算法的输入是1 ，其中k 为安全参数：输出为系 统所需的参数，如原始签名人爿和代理签名人b 的公私钥对0 。，y 。) ， 。，) ，。) 、安全 无碰撞h a s h 函数等。p g 是一个概率算法，系统的安全性评估依赖于k 。 ( 2 ) 代理密钥生成算法尸k ：该算法的输入为原始签名人和和代理签名人的私钥 以及一些系统参数，输出为代理密钥仃。_ 。p k 一般为概率算法。 ( 3 ) 代理签名生成算法j p s ：输入给定消息和代理密钥b ，输出代理签名 s = s i g ( ( 7 b ，m ) 。p s 一般为概率算法。 8 第二章代理签名基本概念 ( 4 ) 代理签名验征算法p y ：输入签名s 、消息卅、以及验证公钥y a , y 。，输出 为代理签名s 是否合法的结果1 或0 。p v 是一个确定性算法。 有时，为了确定代理签名人，还有一个附加的代理签名人身份识别算法丹， 输入一个有效的代理签名5 ，将会输出代理签名人的身份，d 。 2 2 2 代理签名安全性要求 文献指出代理签名应该满足以下六条性质： ( 1 ) 不可伪造性( u n f o r g e a b l i t y ) ：除了原始签名人，只有指定的代理签名人能 够代表原始签名人产生有效的代理签名： ( 2 ) 可验证性( v e r i f i a b l i t y ) ：从代理签名中，验证者能够相信原始签名人认同 了这份签名消息； ( 3 ) 不可否认性( u n d e n i a b l i t y ) ：一旦代理签名人代替原始签名人产生了有效的 代理签名，他就不能向原始签名人否认他所签的有效代理签名； ( 4 ) 可区分性( d i s t i n g u i s h a b i t y ) ：任何人都可区分代理数字签名和正常的原 始签名人的数字签名： ( 5 ) 代理签名人的不符合性( p r o x ys i g n e r sd e v ia t i o n ) ：代理签名人必须创建 一个能检测到是代理签名的有效代理签名； ( 6 ) 可识别性( i d e n t i f i a b l1 t y ) ：原始签名人能够从代理数字签名中确定代理 签名人的身份； + 为了体现对原始签名人和代理签名人的公平性，l e e 、k i m ”6 1 等对其中的一些性 质给出了更强的定义。 ( 7 ) 强不可伪造性( s t r o n gu n f o r g e a b l i t y ) ：只有指定的代理签名人能够产生有 效代理签名，原始签名人和没有被指定为代理签名人的第三方都不能产生有效代理 签名。 ( 8 ) 强可识别性( s t r o n gi d e n t i f i a b l jt y ) ：任何人都能够从代理签名中确定代 理签名人的身份。 ( 9 ) 强不可否认性( s t r o n gu n d e n i a b l i t y ) ：一旦代理签名人代替原始签名人产 生了有效的代理签名，他就不能向任何人否认他所签的有效代理签名。 ( 1 0 ) 防止滥用性( p r e v e n t i o no f 。m i s u s e ) ：应该确保代理密钥对不能被用于 其它目的。为了防止滥用，代理签名人的责任应当被具体确定。 另外，文献”指出代理数字签名还应该满足可撤销性( 原始签名人可以随时撤销 他委托给代理签名人的签名权力) 。 2 2 3 代理签名分类 根据不同的标准，代理签名有不同的分类方法。 9 青岛大学硕士学位论文 1 根据数字签名权力委托过程的不同方式，代理签名可以分为三种基本类型： 完全代理型、部分代理型和具有授权书的代理型： ( 1 ) 完全代理型：原始签名人a 直接把自己的签名密钥z 。通过安全信道发送给 代理签名人口，使得代理签名人口拥有他的全部数字签名权力。 ( 2 ) 部分代理型：原始签名人爿用自己的签名密钥x 。产生委托密钥口，并把仃 以安全方式发送给代理签名人口，代理签名人口利用盯和其私钥z 。，生成代理签名 密钥盯。，。，利用盯。，代理签名人b 可以生成有效代理签名。 ( 3 ) 具有授权书的代理型：这种代理签名使用一个称为授权书m 。的文件来实现 数字签名权力的委托，这种类型又可分为两种子类型： 授权代理型：原始签名人，4 用他的签名密钥x 。使用普通的签名算法对授权书 m 。进行签名，然后把m 。和对卅。的签名传给代理签名人b 。代理签名人口用他的私 钥x 。直接对消息m 进行签名，一个有效的代理签名由代理人b 的数字签名、授权书 m 。和原始人爿对。的签名组成。 持票代理型：在持票代理签名中，证书, q t 。是由消息部分和原始签名人爿刺新 产生的公钥的签名组成。原始签名人a 把新产生的公钥所对应的私钥以安全的方式 传给代理签名人b 。代理签名人口用原始签名人a 给他的私钥和他自己的私钥戈。生 成代删数字签名。 i = - 述三种类型的代理签名类型，各有优点和不足。完全代理型的优点是简单方 便，容易实现，缺点是原始签名人a 向代理签名人b 暴露了他的私钥_ ，代理签名 人口所产生的签名与原始签名人a 所产生的签名是相同的，所以完全代理签名不具 有可区分性、强不可伪造性、强可识别性和强不可否认性。因此完全代理型不适用 于商业应用。部分代理型的优点可以保护原始签名人4 的私钥x 。，代理签名的长度、 生成和验证代理签名所需计算量和普通数字签名几乎一样，缺点是许多部分代理型 签名方案不满足强不可伪造性和强不可否认性：具有授权书的代理型的优点是可以 保护原始签名人a 的私钥工。和对代理人b 的代理权进行限制，缺点是计算量稍大、 签名长度约是普通签名长度的二倍。 1 n 第二章代理签名基本概念 部分委托型的代理签名体制不具有其他两种类型的缺点，可以说是一种比较理 想的代理签名体制。这种类型的缺点，但同时也是它的迷人之处是：需要人们花费 时间去精心设计。 2 根据代理签名方案所基于的数学难题，代理签名方案可分为基于离散对数问 题的代理签名方案和基于素因子分解问题的代理签名方案。 3 根据代理签名方案所具有的特殊性质，代理签名方案可分为代理多重数字签 名方案、旨代理数字签名方案、门限代理数字签名方案等等。 4 根据原始签名人能否产生代理数字签名，代理数字签名又可分为代理保护型 和代理非保护型。 2 3 用于构造代理签名的普通数字签名体制 如同群签名体制、盲签名体制等一些具有特殊性质的数字签名体制一样，具体 的代理签名体制需要以普通的数字签名体制为基础才能设计出来。为此，我们在本 节介绍一些可被我们用来构造代理签名体制的普通数字签名体制。 2 3 1 基于素数域上离散对数问题的数字签名体制 基于素数域上离散对数问题的数字签名体制是一类常用的数字签名体制，其中 包括著名的e 1 g a m a l 签名体制、d s a 签名体制、o k a m o t o 签名体制、以及可以概括许 多签名体制的离散对数签名体制等。 我们首先简单介绍制。么是离散对数问题： 设g 是一个乘法群，口是g 中任意一个元素。对于给定的b g ，如果存在一个 整数x ，使得a 。= b ，那么称x 是以口为底b 的离散对数，记作x = l o g 。b 。在给定n ，b 的情况下，去求z = l o g 。b 的问题称为离散对数问题。 有三种群上的离散列数问题在密码学中比较有用。它们是素数域的乘法群、特 征为2 的有限域的乘法群和有限域上的椭圆曲线群。其中素数域的乘法群上的离散 对数问题可以表述如下： 设p 是一个素数，g 是z ：的一个生成元。已知整数口，求整数b ，使得等式 g6 ；a ( m o dp 、成立。 如果p 是一个适当的大素数，那么以上这个离散对数问题就可被公认为困难问 题，即不存在多项式时间算法来求解。 2 3 1 1 离散对数签名体制 e 1 g a m a l 、i ) s a 、o k a m o t o 等签名体制都可归结为离散对数签名体制的特例。文献 i l 青岛大学硕二b 学位论文 。7 3 洋细阐述了这种体制的构造： 1 体制参数 p ：大素数： q ：为p 一1 或p 一1 的大素因子； g ：g 月z ：且g 9 s l ( m o d p ) ； 用户爿的秘密密钥x ：1 x q ： 用户a 的公开密钥y ：y = gx ( m o dp 1 。 2 数字签名的生成过程 对于待签名的消息m ，a 进行以下步骤： ( 1 ) 计算m 的杂凑值h ( m ) ； ( 2 ) 选择随机数k ：1ckcq ，计算出，= g ( m o dp ) ： ( 3 ) 从签名方程u k = b 十c x ( m o dq ) 中解出s 。方程的系数口，b ，c 有许多种不同的 选择方法，表2 1 给出了这些可能选择中的- 4 , 部分。 以( r ，s ) 作为生成的数字签名。 3 ，数字签名的验证过程 数宇签名的收方在收到消息m ，和数字签名( r ，s ) 后，可以按照以下方程验证： v e r ( y ，( r ，j ) ，州) = t r u e r 。= g b y ( m o dp ) ； 公式2 一( 2 ) 表2 i 参数u ，b ，c 可能的置换取值表 l r 。 sh ( ) r h ( m 、 5 】 r h ( m 1 h ( m 如 l h ( 卅) r rs 1 月( hrs i 2312e lg a m a i 签名体制 文献”最早介绍了e g a m a l 签名体制，并以作者的名字命名，该体制方案如下 1 2 笙三主垡翌筌鱼苎查塑查 1 体制参数 p ：大素数； g ：g 是z ：的一个生成元； x ：用户a 的秘密密钥z 与z ：； y ：用户a 的公开密钥y = gx ( m o d p ) 。 2 数字签名的生成过程 对于待签名的消息m ，a 进行以下步骤： ( 1 ) 计算m 的杂凑值h ( m ) ； ( 2 ) 选择随机数t ：t z ：，计算出r = g 。( m o dp ) ： ( 3 ) 计算出s = ( n ( m ) 一x r ) k ( r o o dp 一1 ) 以( r ，5 ) 作为生成的数字签名a 3 签名验证过程： 数字签名的收方在收到消息m 和数字签名( r ，s ) 后，先计算h ( m ) ，并按下式验 证： 瞻r ( v ，( r ，s ) ，h ) ) 。y7 ，5 ：g n ( ( r o o dp ) 公式2 - ( 3 ) 这个签名体制的正确性可以由以下等式证明 y ，5 5g “+ “。；g ”( r o o dp ) 公式2 一( 4 ) 2 3 2 基于因子分解问题的签名体制 设。是一个合数，那么找出n 的所有素因子是一个困难问题。这个问题称为因 予分解问题。下面介绍的两个数字签名体制都基于这个问题的困难性a 2 32 1f i a t s h a m ir 签名体制 我们先介绍一下二次剩余的概念： 定义2 3 ：设n 是两个素数p ，目的乘积，且y z 若存在整数x ，使得z2 = y r o o d n 一 重鱼查兰堡主堂垡堡塞 成立，则称y 是模h 的二次剩余( t h eq u a d r a t i cr e s i d u o sjt y ) ；若不存在整数x ， 使得z 2 ；y m o d 月成立，则称y 是模n 的二次非剩余。若n 的因子分解己知，容易判 定一个数是否是模n 的二次剩余，而当n 的因子分解未知时，判定一个数是否是模h 的二次剩余是一个困难性问题。 文献基于二次剩余问题提出了f i a t s h a m i r 体制，体制内容如下： 1 体制参数 n ：h = p q ，其中p 和q 是两个秘密的大素数： 尼：一个固定的正整数。 y l l _ ) ，：，y 。：用户a 的公开密钥，对任何f ( 1 s is 七) ，y 都是模h 的二次剩余； x 。，z ! ，k ：用户a 的秘密密钥，对任何f ( 1s is t ) ，x i ：万( m o dn ) ； 2 数字签名的生成过程 对于待签名的消息，a 进行以f 步骤： ( 1 ) 随机选取一个正整数t ； ( 2 ) 随机选取f 个介于l 和n 之间的数_ ，r 2 ，o 并对任何j ( 1sjs f ) ，计算 出r ，= r ? ( m o dn ) ； ( 3 ) 计算杂凑值h ，r 。，r 2 ，r ，) ，并依次呶出h ( m ，r 。，月：，r ，) 的前舡个 比特值6 1 l ，6 6 2 l ，一，6 2 b ，b n ； q 对任嘶( h 。算出5 ，”，i l z 孙m ) 以( ( 6 儿，b n ，6 ：1 ，一，6 ”b ，b 。) ，( 5 】 ，s ，) ) 作为对，l 的数字签名。 3 数字签名的验证过程 数字签名的收方在收到消息m和数字签名 ( ( 6 。b ，b ：，b ：坟l ，一，b 。) ，( s l ，一，s ，) ) 后，用以下步骤来验证： 1 对任何，( 1 s ，s f ) ，训算出r j = s ，2 兀y ( m 。d 一) ； 1 4 第二章代理签名基本概念 ( 2 ) 计算u ( m ，r ：，月：，r t ) ； ( 3 ) 验证厶1 1 ，一，b 。b ：一，b 2 钆l 一，b 。是否依次是h ，尺：，尺：，r j ) 的前舡个 比特。如果是，则以上数字签名是一个有效的数字签名。 这个签名体制的正确性可以由以下算式证明： r j = 中冉y ( m 。dn ) = ( r i i ：i x ) 2 。冉，( m 。d 一) - - - r ? ，冉( 工h ) = r 7 - = r ( m o d n ) 公式2 一( 5 ) 2 3 2 2g u ii | o u - - q u is q u a r e r 签名体制 文献”基于因子分解问题提出了g u i l l o u q u i s q u a t e r 体制，内容如下： 1 体制参数 n ：n = p q ，p 和q 是两个秘密的大素数。 v ：( v ，( p 一1 ) 国一1 ) ) = 1 ； 用户a 的秘密密钥是x ：x e z ：； 用户a 的公开密钥是y ：y e z ：，且x ”y = l ( m o d 月) 2 数字签名的生成过程 对于待签名的消息m ，a 进行以下步骤： ( 【) 随机选择一个数z ：，计算出t = t9 ( m o dn ) ； ( 2 ) 计算出杂凑值：e = h ( m ，7 1 1 ，且使1spcv ；否则，重新进行步骤( 1 ) ； ( 3 ) 计算出s = k x 。m o dn 以( e ，s ) 作为对m 的数字签名 3 数字签名的验证过程 数字签名的收方在收到消息m 和数字签名e ，s ) 后，用以下步骤来验证： ( 1 ) 训算出t 。