夏 峰，馮建平，張 瑜

（海南師范大學(xué) 信息科學(xué)技術(shù)學(xué)院，海南 ?？?571158）

基于Schnorr體制的前向安全代理簽名方案

夏 峰，馮建平，張 瑜

（海南師范大學(xué) 信息科學(xué)技術(shù)學(xué)院，海南 ?？?571158）

在分析私鑰進(jìn)化算法在代理簽名中的不同使用情況的基礎(chǔ)上，指出僅在代理者中使用私鑰進(jìn)化算法的代理簽名方案并不具備前向安全性.提出一種基于Schnorr簽名體制的授權(quán)者私鑰進(jìn)化的前向安全代理簽名方案.可將授權(quán)者的私鑰的有效性分為若干時(shí)段，每個(gè)時(shí)段的代理密鑰由該時(shí)段對(duì)應(yīng)的私鑰生成，在驗(yàn)證簽名時(shí)需用到時(shí)段參數(shù)，確保代理簽名的前向安全性.另外，在代理簽名過程增加了授權(quán)消息，用以明確代理者的身份及代理權(quán)限的范圍，有效地防止代理者轉(zhuǎn)讓或?yàn)E用代理權(quán).

代理簽名；前向安全；私鑰進(jìn)化；Schnorr簽名

傳統(tǒng)的代理簽名方案構(gòu)造的代理簽名［1-3］的有效性是基于授權(quán)者的私鑰尚未泄露的基礎(chǔ)，若授權(quán)者的私鑰泄露，則攻擊者可偽造代理密鑰，進(jìn)而偽造代理簽名，授權(quán)者將無法否認(rèn)所偽造的代理簽名，而且私鑰泄露前的代理簽名也變得不可信.授權(quán)者的私鑰泄露后，針對(duì)如何保證在此之前的代理簽名的有效性的問題，1997年，Anderson提出了前向安全簽名的概念［4］，將簽名密鑰的有效期分為若干時(shí)段，若簽名密鑰在某個(gè)時(shí)段泄露，對(duì)手可偽造該時(shí)段以后的數(shù)字簽名，但不能偽造該時(shí)段以前的數(shù)字簽名，即保證在此之前的數(shù)字簽名的安全性.代理簽名中，也可引入前向安全簽名算法.一般地說，代理簽名可分為授權(quán)過程和代理簽名過程，根據(jù)代理簽名中對(duì)前向安全算法的不同使用，可以將其分為以下3種：1）授權(quán)者使用私鑰單向進(jìn)化算法，將授權(quán)者的私鑰有效性分為若干階段，每個(gè)時(shí)段的代理密鑰由該時(shí)段對(duì)應(yīng)的私鑰生成，在驗(yàn)證時(shí)要用到與私鑰對(duì)應(yīng)的時(shí)段參數(shù)，即使某個(gè)時(shí)期授權(quán)者的私鑰泄露，攻擊者也無法偽造在此之前的代理密鑰，因此可確保在此前的代理簽名的安全性.同時(shí)，因?yàn)榇砻荑€只是由授權(quán)者某個(gè)時(shí)段的私鑰生成的，在此時(shí)段之前或之后該代理密鑰均無效，可起到限制代理簽名者的代理簽名期限作用，即自動(dòng)地在簽名文件上加了時(shí)戳.2）代理簽名者進(jìn)行代理簽名時(shí)使用私鑰進(jìn)化算法，即假設(shè)代理密鑰不變化，代理者的私鑰不斷單向進(jìn)化，這種情況可在代理密鑰與代理簽名者的某個(gè)時(shí)段的私鑰失效的情況下，確保在此之前該代理簽名者的代理簽名有效，文獻(xiàn)[5-9]的方案就屬于這種情況.但使用這種方式不能防止在授權(quán)者的私鑰或代理密鑰泄露的情況下，攻擊者通過偽造代理密鑰而偽造代理簽名，因此文獻(xiàn)[5-9]并不具備真正的前向安全性.3）同時(shí)在授權(quán)者與代理簽名者中使用前向安全算法，兩者的私鑰的有效性均分為若干段，并采用單向函數(shù)進(jìn)化，使用這種方式的安全性是要好的多的.基于以上思想，本文構(gòu)造了一個(gè)基于Schnorr體制的授權(quán)者私鑰單向進(jìn)化的前向安全代理簽名方案，為防止代理者濫用代理權(quán)，該方案中，在簽名時(shí)增加了授權(quán)消息用以明確代理者的身份及代理權(quán)限的范圍.

1 基于Schnorr體制的授權(quán)者私鑰進(jìn)化的前向安全代理簽名方案

1.3 委托過程

1）A進(jìn)行以下步驟：

a生成授權(quán)消息mw，該消息包括指定的代理簽名者的身份，簽名授權(quán)的有效期限，代理者可代理簽名的信息范圍等信息.

b選擇隨機(jī)數(shù)k和k′，計(jì)算r=SKjgkmod p，然后計(jì)算出r=H（r，mw），其中，H（·）是一個(gè)強(qiáng)碰撞自由的雜湊函數(shù).再計(jì)算k′=gk′mod p.

d將（j，r，r′，mw，s）秘密地發(fā)給B；

2）B進(jìn)行以下步驟：

2 安全性分析

防止代理權(quán)的濫用：授權(quán)者用授權(quán)消息mw明確了代理者的身份和代理權(quán)限范圍及代理期限，并由 mw生成了 σ=H（j，ej，y，mw），代理密鑰由授權(quán)者的私鑰及σ生成，接收者驗(yàn)證簽名時(shí)必須用到σ，若代理簽名者偽造mw′，因?yàn)镠（·）是一個(gè)強(qiáng)碰撞自由的雜湊函數(shù)，由mw′生成的σ1=H（j，ej，y，mw′）肯定與σ不相等，使得接收者無法通過簽名驗(yàn)證.因此代理簽名者無法偽造授權(quán)消息mw′，從而有效地防止了代理者轉(zhuǎn)讓和濫用代理權(quán).

代理權(quán)的自動(dòng)撤消：授權(quán)者的私鑰是不斷進(jìn)化的，且在驗(yàn)證者驗(yàn)證時(shí)需用到與時(shí)段j對(duì)應(yīng)的參數(shù)ej，因此代理者的簽名權(quán)限只限于授權(quán)者授予其代理密鑰的那個(gè)時(shí)段j，即代理權(quán)在超過該時(shí)段后自動(dòng)撤消.

代理簽名時(shí)間的可追蹤性：授權(quán)者可根據(jù)授予代理者代理權(quán)限的時(shí)段來確定代理簽名者在文件上的簽名時(shí)間段.

強(qiáng)不可偽造性：代理簽名者同時(shí)使用了代理密鑰和自己的私鑰在文件上簽名，因而授權(quán)者和其他人均不能代替代理簽名者偽造代理簽名.

強(qiáng)可驗(yàn)證性：簽名接收人在驗(yàn)證簽名的過程中，需要使用原始簽名人的公鑰，因而能夠確信授權(quán)者認(rèn)同了這份文件.

強(qiáng)可識(shí)別性：簽名接收人在驗(yàn)證簽名的過程中，需要使用代理簽名人的公鑰，且授權(quán)消息中也說明了代理者的身份，因而接收者能夠確定代理人身份.

強(qiáng)不可否認(rèn)性：代理簽名人一旦生成一個(gè)代理簽名以后，不能否認(rèn)自己的行為，因?yàn)榇砗灻咴诤灻惺褂昧俗约旱乃借€，在驗(yàn)證過程中必須要使用其公鑰才能通過驗(yàn)證.

可區(qū)分性：容易看出，代理簽名在形式上不同于普通的簽名，所以代理簽名與普通簽名可以區(qū)分.

3 結(jié)論

安全性分析表明，新方案滿足代理簽名方案的基本安全要求，并且對(duì)授權(quán)者采用私鑰進(jìn)化算法，確保了某個(gè)時(shí)段授權(quán)者私鑰泄露的情況下，在此之前的代理簽名的有效性，同時(shí)還可起到自動(dòng)撤消代理權(quán)和在簽名上加蓋時(shí)戳的作用.為防止代理者濫用代理權(quán)，方案增加了授權(quán)消息明確代理者的身份及代理權(quán)限范圍.此外，該方案的構(gòu)造方法可運(yùn)用到構(gòu)造其他基于離散對(duì)數(shù)的前向安全代理簽名方案中.

［1］Mambo M，Usuda K，Okamoto E.Proxy signatures for delegating signing operation[C]//ACM.Proc 3rd ACMConference on Computer and Communications Secutity，NeWDelhi：ACMPress，1996：48-57.

［2］Lee B，KiMH，KiMK.Secure mobile agent using strong non-designated proxy signature[C]//Springer.Proc of ACISP'2001，Heidelberg：Springer Berlin，2001：474-486.

［3］Zhang K.Threshold proxy signature schemes[C]// Springer.1997 Information Security Workshop，Japan：Springer Berlin，1997：191-197.

［4］Anderson R.Two remarks on public key cryptology.Invited Lecture[C]//Springer.The fourth ACMComputer and Communication Security，Zurich：SWitzerland，1997：1-7.

［5］蔡曉秋，王天銀，張建中.基于Guillou-Quisquater體制的前向安全代理簽名方案[J].西北師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2005，41（4）：27-30.

［6］王曉明，陳火炎，符方偉.前向安全的代理簽名方案[J].通信學(xué)報(bào)，2005，26（11）：38-42.

［7］張波，徐秋亮.一個(gè)強(qiáng)前向安全的代理簽名方案[J].計(jì)算機(jī)工程與應(yīng)用，2006，9：109-110.

［8］牛江品，張建中.基于雙線性對(duì)的前向安全代理簽名方案[J].計(jì)算機(jī)工程，2009，35（6）：164-169.

［9］夏祥勝，洪帆，耿永軍，等.一個(gè)基于雙線性對(duì)的前向安全的代理簽名方案[J].計(jì)算機(jī)科學(xué)，2009，36（4）：90-92.

責(zé)任編輯：黃 瀾

Forward Secure Proxy Signature Scheme Based on Schnorr Signature

XIA Feng，F(xiàn)ENG Jianping，ZHANG Yu（School of Information Science and Technology，Hainnan Normal University，Haikou 571158，China）

The paper deeply analyzes the different use of secret key's evolution in the proxy signature scheme and points out that the secret key's evolution of proxy signer can't ensure the proxy signature scheme is forward secure.A forward secure proxy signature scheme based on the Schnorr signature scheme is proposed.In the scheme，valid of the original signer's secret key is compartmentalized to some phases，and current secret key generates proxy's secret key which is valid only at current phase.Time parameter will be necessary in the validation to ensure the proxy signature is forward security.In the paper，warrant information is used，which include the proxy's ID and the limit of proxy's authority.It can prevent the proxy froMtransferring and abusing proxy's authority.

Proxy signature；Forward secure；secret key's evolution；Schnorr signature

TP 309

A

1674-4942（2010）02-0158-03

2010-03-29

海南師范大學(xué)青年教師科研啟動(dòng)項(xiàng)目（QN 0808）