羅江洲

摘要：作為密碼學原語和基本要素之一，數(shù)字簽名在信息安全的認證性、完整性和不可抵賴性等領域發(fā)揮著重要作用。該文主要概括研究了代理簽名、盲簽名、代理盲簽名、指定驗證者簽名和前向安全簽名等若干具有附加性質的數(shù)字簽名，探討了其概念、安全性質及具體應用。

關鍵詞：數(shù)字簽名；代理簽名；盲簽名；代理盲簽名；指定驗證者簽名；前向安全簽名

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2014）21-4985-02

近年來，網(wǎng)上銀行、網(wǎng)絡購物等電子商務迅猛發(fā)展，在進行電子交易時，需要一種憑證來證實交易雙方對交易內容如數(shù)額、時間等信息的認可，也為了防止雙方否認已完成的交易，這就需要數(shù)字簽名技術來提供這種憑證。數(shù)字簽名技術作為密碼學原語，在信息安全的認證性、不可否認性和不可抵賴性等領域起著不可替代的作用。數(shù)字簽名是密碼學的基本要素之一，最早是由Diffie和Hellman[1]于1976年在“New Directions in Cryptography”這篇密碼學領域的革命性論文中提出的，他們提出公鑰密碼學概念的同時也給出了數(shù)字簽名的定義，但沒有提出具體的方案。第一個數(shù)字簽名方案是由Rivest、Shamir和Adleman[2]三人在1978年提出的安全性基于大整數(shù)因子分解困難性問題RSA簽名方案。隨著許多新的密碼體制出現(xiàn)，以及新的困難問題的提出，大量新的數(shù)字簽名方案相繼被提出，如基于身份的簽名、無證書簽名、屬性基簽名、基于格（Lattice）困難問題的簽名等。同時，由于實際需求的變化和現(xiàn)實中簽名場景的日趨復雜，具有附加性質的數(shù)字簽名迅速發(fā)展起來。它們能更好的滿足電子商務、電子政務和通信系統(tǒng)中某些具體簽名場合的需要，與普通簽名相比更具有實用性。

1 代理簽名

代理簽名模擬了現(xiàn)實生活中簽名權力的委托和轉移過程，當原始簽名者由于出差、休假等原因不能直接對文件進行簽名時，就需要一個他指定的人代替其進行簽名。代理簽名的概念最早是由Mambo、Usuda和Okamoto三人提出來的，原始簽名者授權代理者替自己行使簽名權，驗證者在能夠區(qū)分簽名是普通簽名還是代理簽名的同時也可以驗證授權的有效性。代理簽名一般應滿足以下安全性質[3]：

1） 不可偽造性（Unforgeability）：除了原始簽名者，只有指定的代理簽名者才能代表原始簽名者生成合法的代理簽名。

2） 可驗證性（Verifiability）：驗證者可以驗證代理簽名的有效性，同時也能夠確定原始簽名者對代理簽名的認可。

3） 不可否認性（Undeniability）：代理簽名者生成了一個有效的代理簽名以后，他就無法向原始簽名者否認自己的簽名。

4） 可區(qū)分性（Distinguishability）：代理簽名和原始簽名者的簽名是易區(qū)分的。

5） 可識別性（Identifiability）：原始簽名者能從代理簽名中確定代理簽名者的身份。

6） 代理簽名者的不可背離性（Proxy Signers Deviation）：代理簽名者無法生成一個不被其他人發(fā)現(xiàn)是由他所生成的合法的代理簽名。

代理簽名概念被提出后，在發(fā)展過程中又陸續(xù)出現(xiàn)了強代理簽名、代理重簽名、盲代理簽名等具有其他特殊性質的代理簽名，豐富了代理簽名的研究。

2 盲簽名

盲簽名的概念是由Chaum于1982年針對現(xiàn)實生活中的電子投票、匿名貨幣協(xié)議等系統(tǒng)中需要簽名者在不知道消息內容的情況下對其進行簽名而提出的，盲簽名者也不能將簽名結果同其某一次的具體簽名過程相聯(lián)系。盲簽名應滿足以下安全性質[4]：

1） 不可偽造性（Unforgeability）：任何人（除了簽名者）都不能以簽名者的名義生成合法的盲簽名。

2） 盲性（Blindness）：簽名者在不知道簽名消息的具體內容下對消息進行簽名。

3） 不可否認性（Undeniability）：簽名者對某個消息進行盲簽名以后，無法否認其對消息的簽名。

4） 不可追蹤性（Untraceability）：簽名和消息公開以后，簽名者不能確定盲簽名的具體時間，也不能將所簽消息和其擁有者聯(lián)系起來。

3 代理盲簽名

代理盲簽名將代理簽名和盲簽名有機結合，不僅具有代理簽名和盲簽名的特點，還產(chǎn)生很多新的特性，適合更加復雜的實際簽名場景。第一個代理盲簽名方案是由Lin和Jan于2000年提出的。結合代理簽名和盲簽名，代理盲簽名應滿足以下的安全性質[5]：

1） 可區(qū)分性（Distinguishability）：任何人都能夠區(qū)分原始簽名者生成的普通簽名和代理簽名者生成的代理盲簽名，同時也能區(qū)分原始簽名者和代理簽名者。

2） 可驗證性（Verifiability）：驗證者在驗證簽名有效性的同時也能夠從代理盲簽名中確定原始簽名者對所簽名消息的認可。

3） 不可偽造性（Unforgeability）：除了指定的代理簽名者外，其他任何人都不能偽造原始簽名者的授權簽名和有效的代理盲簽名。

4） 可識別性（Identifiability）：任何人都能從代理盲簽名中確定代理簽名者的身份。

5） 不可否認性（Undeniability）：原始簽名者授權代理簽名者生成了有效的代理盲簽名后，他和代理簽名者不能向任何人否認授權及代理盲簽名。

6） 不可濫用性（Prevention of Misuse）：代理簽名者不能將代理簽名密鑰用作生成有效代理簽名以外的其他用途。

7） 盲性（Blindness）：代理簽名者不知道他所簽消息和簽名的任何內容。

8） 不可追蹤性（Untraceability）：當簽名消息公布后，代理簽名者無法將代理盲簽名和他某一次的具體簽名過程聯(lián)系起來。

4 指定驗證者簽名

指定驗證者簽名是Jakobsson等人為解決普通簽名中存在的認證性與隱私性的沖突而提出的。在一些場合，簽名者不希望不加限制的任何人都能驗證自己所作簽名的有效性，這就需要其指定某些驗證者驗證簽名的有效性。由于被指定的驗證者能夠利用自己的私鑰生成一個無法和原始簽名區(qū)分的副本，故除了簽名者指定的驗證者外，其他任何人都無法驗證簽名的合法性。指定驗證者簽名應滿足以下性質[6]：

1） 正確性：對于合法的消息-簽名對，驗證方程必定成立。

2） 不可偽造性：在不知道簽名者私鑰和指定驗證者私鑰的前提下，任何攻擊者偽造一個有效的簽名在計算上是不可行的。

3） 不可區(qū)分性：通常情況下，對于合法的消息-簽名對，無法確定簽名的產(chǎn)生者。

5 前向安全簽名

一般來說，簽名系統(tǒng)的安全性除了包括簽名算法的安全性外，還包括簽名密鑰的安全性。如果簽名密鑰泄露，那么攻擊者可以任意偽造簽名，所有依靠該密鑰產(chǎn)生的簽名也將失效。故為了減輕這種密鑰泄露問題帶來的嚴重影響，1997年Anderson[7]提出了前向安全思想，即采用密鑰單向更新的方法，把簽名密鑰的有效期劃分為若干時間段，保持公鑰在整個有效期內不變。這樣即使當前時間段的簽名密鑰泄露了，由于密鑰是單向更新的，逆向推導上一時間段的密鑰在計算上是不可行的，故不影響該密鑰泄露以前時間段內簽名的安全性，使得簽名具有前向安全性。1999年，Bellare和Miner[8]首次提出了兩個前向安全的數(shù)字簽名方案，并給出了前向安全數(shù)字簽名的形式化定義[8]：

1） 密鑰生成：輸入安全參數(shù)[r]和劃分的時間段總數(shù)[T]，生成初始簽名私鑰和公鑰[（S0，P）]；

2） 密鑰更新：簽名進入第[i]時段后，利用密鑰更新算法[f]計算：[Si=f（Si-1）]。[f]的單向性確保不能由[Si]推導出[Si-1]，計算出[Si]后立即刪除[Si-1]。公鑰[P]在一個有效期內保持不變；

3） 簽名過程：在第[i（1≤i≤T）]時段，輸入消息[m]和簽名密鑰[Si]，輸出第[i]時段的簽名[σi]；

4） 驗證過程：輸入公鑰[P]、第[i]時段的消息[m]和對應的簽名[σi]，輸出“0”或“1”，分別表示拒絕或接受[σi]為第[i]時段的簽名密鑰[Si]在消息[m]上的簽名。

前向安全簽名除了應具備普通簽名的不可偽造性、不可區(qū)分性等安全性質外，還應當具有前向安全性。即當攻擊者獲取第[i]時段的簽名密鑰時，不能偽造第[j（j

6 結束語

與普通的數(shù)字簽名相比，如代理簽名、盲簽名、代理盲簽名、指定驗證者簽名、前向安全簽名等具有附加性質的數(shù)字簽名由于其針對實際生活中的具體簽名場景而設計，有著很強的實用性和針對性，故而在現(xiàn)實的電子交易、電子投票、貨幣協(xié)議等系統(tǒng)中有著廣泛的應用。

參考文獻：

[1] Diffie W， Hellman M. New Directions in Cryptography[J]. IEEE Transactions on Information Theory， 1976（6）：644-654.

[2] Rivest R L， Shamir A， Adleman L. A Method for Obtaining Digital Signatures and Public-Key Cryptosystem[J]. Communications of the ACM， Feb.1978，21（2）：120-126.

[3] 楊曉元.現(xiàn)代密碼學[M].西安：西安電子科技大學出版社，2009.

[4] 楊曉元，魏立線.計算機密碼學[M].西安：西安交通大學出版社，2007.

[5] 禹勇， 具有特殊性質的數(shù)字簽名和簽密方案[D].西安： 西安電子科技大學，2008.

[6] 胡振鵬， 兩種具有特殊性質的數(shù)字簽名研究[D].上海： 華東師范大學，2007.

[7] Anderson R. Invited Lecture[C].Proceedings of the 4th ACM Conference on Computer and Communications Security， Zurich， Switzerland，1997：1-7.

[8] Bellare M， Miner S K.A Forward-Secure Digital Signature Scheme[C].Advances in Cryptology-CRYPTO99， LNCS 1666， Springer-Verlag， Berlin，1999：431-448.