廖小平，鄧小亞，成淑萍

（四川文理學院 計算機學院，四川 達州 635000）

簡單地說，數字簽名方案提夠了手寫簽名的密碼學類比，其實他提夠了更強的安全保障。數字簽名作為一種強大的工具已被多個國家接受為具有法律效力；可用于合同或證明文件的證明，用于對個人或公司的認證，并可作為復雜安全協議的組成部分。數字簽名同時能夠用于安全的分發(fā)和傳輸公鑰。

在實際的應用中，除了普通的數字簽名外，還有些特殊的數字簽名方案，代理數字簽名方案就是其中的一種，代理數字簽名這個概念是由Mambo、Usada和Okamoto[1]于1996年首次提出的。它的主要思想是當原始簽名人因某種原因不能行使簽名權利時，將簽名權委派給其他人替自己行使簽名權。由原始簽名者（部分）授權代理簽名者，使代理簽名者產生代替原始簽名者的簽名就是代理簽名。

近年來，人們提出了許多新型的代理簽名方案[2]，如強代理簽名和弱代理簽名等方案。新型的代理簽名方案出現了新的一些特點[3-5]，新型的代理簽名方案不同于以往各類型的代理簽名方案，它的特點是：1）在代理簽名中隱藏代理簽名者身份，驗證者無法從代理簽名中識別代理者身份，在出現爭議時，驗證者可以通過原始簽名者揭示代理簽名者的身份；2）為了防止代理簽名被偽造，所以新方案要求任何人包括原始簽名者都不可能偽造代理簽名。這種特點的簽名方案在實際應用中得到了廣泛的應用。例如原始簽名者希望對外保密代理簽名者身份，又不能完全信賴代理簽名者，代理簽名者要防止原始簽名者偽造代理簽名對自己進行誣陷。本文提出的新方案滿足這類需求。

1 預備知識

1.1 離散對數知識

定義[6]：設G是一個有限階的循環(huán)群，且g是G中的階為q的生成元，使得y=gx成立的一個最小非負整數x（0≤x≤q）成為元素y∈G的離散對數，記為x=logyg。

1.2 離散對數問題（DLP）

定義[7]：給定一個大素數p，p-1含另一個大素數因子q，則域Zp的乘法群Z*p是一個p-1階循環(huán)群，設g是Z*p的一個生成元，1

1.3 計算 Diffie-Hellman問題（CDHP）[8]

定義：對于一個有限循環(huán)群Z*p，g是Z*p的生成元，給定元素ga和gb，計算出gabmod p，其中p為素數。

1.4 判定 Diffie-Hellman問題（DDHP）[8]

定義：給定一個有限循環(huán)群G，G的生成元為g，以及群元素 ga，gb，gc，判斷 gc=gabmod p 是否成立。

2 新方案的實現

2.1 系統(tǒng)參數初始化

任意選擇兩個大素數p和q且滿足條件q|p-1，g∈Z*p并且滿足 gq=1mod p（g≠1）；定義 h（·）為安全的哈希函數；定義mw是授權書，主要用來描述原始簽名者A對代理簽名者B代理權限的約定，主要包括A的標識，B的代理期限、簽名消息范圍等內容；A為原始簽名者，B為代理簽名者；V為驗證者；原始簽名者A的私鑰為xA，公鑰為mod p并將yA公開；代理簽名者B的私鑰為xB，公鑰為mod p并將yB公開；xp為原始簽名者A和代理簽名者B共同生成的代理私為對應的代理公鑰；代理簽名者B的標識為IDB；簽名者的標識為 IDP；需要簽名的消息為 m，σ=Sig（m，x）是簽名者用私鑰x對消息m的一個離散對數型數字簽名；Ver（y，σ，m）與簽名算法相對應的驗證算法；y為簽名者的公鑰；返回值為真或者為假。

2.2 代理密鑰對生成算法

1）原始簽名者A隨機選擇數kA∈，計算rA=gkAmod p，A把（mw，rA）通過安全信道發(fā)送給B。B如果認為授權是合法的，則生成自己的代理私鑰sB，r1和s1。過程如下：

然后 B 把生成的密鑰值及身份標識（rB，IDB，r1，s1）通過安全信道發(fā)送給A。A驗證等式是否成立，若成立，則 A 秘密保存（rB，yB，IDB），以備用來揭示代理者的身份，最后A計算YP=yBrBrBmod p，并將其寫入mw中。2）原始簽名者A利用 1）中得到的kA和rA，計算

然后 A 把（rA，sA，mw）通過安全信道發(fā)送給 B，B 驗證等式是否成立，若成立，B秘密保存（rA，sA，mw，sB）。

2.3 代理簽名算法

代理簽名人B首先驗證消息m是否符合授權證書mw的約定，若m滿足要求，則B利用代理私鑰xP產生代理簽名σP=Sig（m，xP），得到代理簽名值（m，σP，mw，rA，yA）。

2.4 代理簽名驗證算法

1）驗證者 V 得到代理簽名值（m，σP，mw，rA，yA），首先驗證消息m是否符合mw的約定，若m滿足要求則進入下一步，否則認為代理簽名σP無效。

2）驗證者 V 利用代理簽名（m，σP，mw，rA，yA）計算：

其中 yP是從 mw中取得， 然后檢驗等式 Ver （yP，σP，m）=true是否成立，若成立，則認為代理簽名有效，否則無效。

2.5 揭示代理者身份算法

1）驗證者V向原始簽名者A提供代理簽名（m，σP，mw，rA，yA），A使用代理簽名驗證算法驗證代理簽名的有效性，如果有效，則進入下一步。

2）原始簽名者A從mw中取出YP，然后依次取出在代理密鑰對生成階段保存的（rB，yB，IDB），判斷等式 YP=yBrBrBmod p是否成立，如果存在（rB，yB，IDP）滿足這個等式，則 IDP是實現代理簽名（m，σP，mw，rA，yA）的代理簽名者。

3 方案的安全性分析

3.1 可驗證性

定理1代理簽名者B使用代理私鑰xP，代表原始簽名者A 對消息 m 簽名，驗證者 V 利用代理簽名（m，σP，mw，rA，yA）計算代理公鑰：

然后使用yP驗證相應的代理簽名，那么yP=gxPmod p

證明 由于

即：yP=gxPmod p成立 證畢

由于代理簽名（m，σP，mw，rA，yA）包含 yA，表明這是原始簽名者A承認的代理簽名。

3.2 不可偽造性

3.2.1 代理簽名的不可偽造性

1）根據yP，偽造者無法偽造xP。 這是因為mod p，而（rA，sA）是 A 對 mw的簽名，yP包含在 mw中，rA，sA，mw，YP都是不可更改和偽造的，所以偽造者不可能通過計算yP偽造xP，又已知yP求xP是離散對數問題。

2）根據，xP=sA+sBmod q，如果偽造者想偽造代理簽名者B的代理簽名，偽造者必須同時具備以下兩個條件：

第一個條件：偽造sA，因為

而A的私鑰xA和kA對偽造者都是無法得到的，所以偽造者不可能偽造sA。又由于原始簽名者A和代理簽名者B之間的交互都是經過安全通道完成的，所以偽造者不可能冒充B或直接竊取sA。

第二個條件：偽造sB，由于

而B的私鑰xB，kB和rB對偽造者都是無法得到的，所以偽造者也不可能偽造sB。

所以，根據xP=sA+sBmod q，偽造者不可能得到xP。

3）原始簽名者A也不可能偽造代理簽名者B的代理簽名，雖然 A 可得到 sA，卻無法得到 sB，這是因為 sB=（xB+kBrB）yAmod q，B的私鑰 xB和kB（雖 A可知rB，但已知 rB推出 kB是離散對數問題）對于A是無法獲得的，所以A也是不可能得到xP。

3.2.2 公鑰的不可偽造性

總之，除了代理簽名者B，任何人都無法偽造代理簽名。

3.3 防止代理權濫用

防止代理權限濫用包含兩層含義：

1）防止代理權的轉移：原始簽名者A對代理簽名者B的代理授權信息是 （mw，rA，sA），（rA，sA）是 A 對 m 的簽名，所以（rA，sA，mw）都是不可更改的，且 YP包含在 mw中，代理公鑰：

即一旦原始簽名者A指定代理簽名者B，yP就已經確定，除非 B 把 xP給他的代理者，否則 B 不能利用（rA，sA，mw）再次代理授權。

2）防止代理簽名者越權：代理簽名驗證算法的第1步就是驗證消息m是否符合代理授權書mw的約定，如果不符合，那么簽名無效，所以A可以充分利用代理授權書mw有效約束B代理權限范圍。

3.4 匿名性和身份確認

驗證者 V 利用代理簽名（m，σP，mw，rA，yA）計算代理公鑰：

驗證這個代理簽名，（m，σP，mw，rA，yA）沒有包含代理簽名者身份，雖然已知，但rB對于V是無法得到的，已知YP是無法推出yB的，由此可見，驗證者V能夠驗證代理簽名的有效性，但并不知代理簽名者的身份。

在必要時，在原始簽名者A的幫助下，驗證者V利用揭示代理者身份的算法，能夠揭示代理簽名者的身份。

3.5 不可否認性

首先，從代理簽名生成方式可以看到，有效代理密鑰生成包括了代理簽名人B的身份信息，因此，他不能否認自己對消息m的代理簽名。其次，從不可偽造性證明也可以看到，原始簽名人及任何第三方不能偽造代理簽名，所以代理簽名人不能否認由原始簽名人揭示的代理簽名是由自己產生的。因此，該方案能滿足不可否認性。

4 結束語

現在滿足匿名性的代理數字簽名方案很多，但大部分方案還存在一定的安全缺陷，主要原因在于要滿足匿名性同時還必須公開足夠的數據以提供驗證者驗證，本文提出的安全匿名代理數字簽名方案在滿足匿名性的同時還滿足了其他很多的要求，比如不可偽造，不可否認等，所以該方案具有更高的安全性。

[1]Mambo M，Usuda K，Okamoto E.Proxy Signatures for Delegating Signing Operation[C]//Proceedings of the 3rd ACM Conference on Computer and Communications Security，New Dehi，India，1996:48-57.

[2]張建中，薛榮紅，彭麗慧.一種基于身份的代理環(huán)簽名方案[J].計算機工程，2011，37（17）：126-148.ZHANG Jian-zhong，XUE Rong-hong，PENG Li-hui.Id-based proxy ring signature scheme[J].Computer Engineering，2011，37（17）：126-148.

[3]谷利澤，張勝，楊義先.一種新型的代理簽名方案[J].電子與信息學報，2005，27（9）:58-62.GU Li-ze，ZHANG Sheng，YANG Yi-xian.A new proxy signature scheme[J].Journal of Electronics&Information Technology，2005，27（9）:58-62.

[4]魯榮波，何大可，王常吉，等.對一種新型代理簽名方案的分析與改進[J].電子與信息學報，2007，29（10）:116-119.LU Rong-bo，HE Da-ke，WNANG Chang-ji，et al.Cryptanalysis and improvement of a new proxy signature scheme[J].Journal of Electronics&Information Technology，2007，29（10）:116-119.

[5]鮑皖蘇，隗云，鐘普查.原始簽名人匿名的代理環(huán)簽名研究[J].電子與信息學報，2009，31（10）:2392-2396.BAO Wan-su，WEI Yun，ZHONG Pu-cha.Research on proxy ring signature with anonymity of the original signer[J].Journal of Electronics&Information Technology，2009，31（10）:2392-2396.

[6]柯召，孫琦.數論講義[M].北京：高等教育出版社，2001.

[7]Wang X Y，Yu H B，et al.Efficient collision search attacks on SHA-0 [C]//In Proc.the 25th Int.Cryptology Conf.（CRYPTO），2005:1-16

[8]Douglas R.Stinson.密碼學原理與實踐[M].3版.馮登國，譯.北京：電子工業(yè)出版社，2009.