[摘要] 針對電子商務(wù)領(lǐng)域的安全問題，利用基于身份的密碼體制，提出了一種高效的數(shù)字簽名算法。這種算法可以解決代理簽名的問題，而且具有簽名長度短、系統(tǒng)開銷小、安全程度高等特點。

[關(guān)鍵詞] 數(shù)字簽名 代理簽名 可公開驗證

一、引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，全球經(jīng)濟一體化進程的加快，電子商務(wù)在世界范圍內(nèi)日漸得到普及和應(yīng)用。但與此同時，交易的風(fēng)險性和不確定性也大大增加，安全問題已經(jīng)成為電子商務(wù)發(fā)展的瓶頸。近幾年來，由于數(shù)字簽名技術(shù)的廣泛運用，電子商務(wù)系的統(tǒng)安全性得到了較好的保證。

然而，在現(xiàn)代商務(wù)活動中，我們常常會遇到一些需要把某些權(quán)力轉(zhuǎn)交給特定的代理人，人代理人代為行使這些權(quán)利。比如，又一個單位的董事長需要出國考察，在考察期間，為了不耽誤公司的正常工作，董事長可以委托一個特定的人員代為行使董事長的權(quán)力。為此，基于身份的密碼體制就成為解決問題的關(guān)鍵?；谏矸莸拿艽a學(xué)是由Shamir于1984年提出的。其主要觀點是，系統(tǒng)中不需要證書，可以使用用戶的標識如姓名、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個被稱作私鑰生成器PKG（Private key generator）的可信任第三方進行計算得到?；谏矸莸拿艽a系統(tǒng)的主要好處是可以減少證書存儲和管理開銷。

1996年Mambo、Usuda和Okamoto中給出了解決上述事例的方法，首先提出了代理簽名的概念，并提出了一個簡單的代理簽名方案。代理簽名是指原始簽名者可以將其簽名權(quán)力授權(quán)給代理簽名者，然后代理簽名者就可以代表原始簽名者進行簽名，當(dāng)驗證者驗證一個代理簽名時，需要同時驗證簽名和原始簽名者的授權(quán)協(xié)議。然而，代理簽名者代理原始簽名者行使代理權(quán)時，其簽名可以被任何第三方進行驗證。在某些情況下，并不希望任何人都能驗證代理簽名，而只有指定的驗證人才能驗證代理簽名。這在實際中是需要的，如電子商務(wù)中的電子投標，電子投票等。

文獻介紹了其他的幾種代理簽名方案，但是這些方案在安全性方面都不同的有缺陷。1996年，Jakobsson等介紹了一個新的原語——指定驗證者簽名，指定驗證者簽名是指一個原始簽名者可以使指定驗證者相信他的申明是正確的，實現(xiàn)了只有指定驗證者才能驗證原始簽名者的簽名的特性，原因是指定驗證者可以生成與原始簽名者不可區(qū)分的簽名，該簽名雖然外人不能區(qū)分，是由原始簽名者還是指定驗證者所生成的，但卻可以驗證，并可以確定是他們二者之一所生成。文獻中Jakobsson等人也首次提出了一種強指定驗證者簽名方案的概念，強指定驗證者簽名是指只有指定驗證者可以驗證原始簽名者的簽名的有效性，但是他對簽名的驗證不能使第三方相信此簽名是由誰生成的，因為強指定驗證者能模擬原始簽名者生成一個相同的副本，而且只有強指定驗證者可以驗證簽名。后來Saeednia，Vergnaud和Laguil-laumie給出其形式化的定義，并進一步的加以延伸。如何將強指定驗證的特性引入到代理簽名體制中，值得深入的研究。

2004年，Li和Chen提出了一個基于身份的代理簽密方案，但是文獻證明文獻[7]中的方案不具有強不可偽造和前向安全的性質(zhì)。在本文中，通過結(jié)合代理簽名的思想，提出了一個驗證代理簽名的方案。該方案實現(xiàn)了代理簽名只能被指定驗證人才能驗證的特性，還具有簽名長度短和計算開銷小的優(yōu)點。

二、雙線性配對和GDH群

下面描述一些常用的與雙線性映射有關(guān)的數(shù)學(xué)問題。

定義1（雙線性配對）設(shè)G1是階為q的循環(huán)加法群，G2是階為q的循環(huán)乘法群，q是一個大素數(shù)，雙線性配對是一個映射e:G1×G1→G2，滿足：

（1)雙線性:對任意的P，Q∈G1，對任意a，b∈Zq，有e(aP，bQ)=e(P，Q)ab。

（2)非退化性:存在P，Q∈G1，使得e(P，Q)≠1。

（3)可計算性:對所有P，Q∈G1，則e(P，Q)是實際可計算的。

定義2（GDH群）如果對于一個群G，求解其上的CDH問題是困難的，而其上的DDH問題是多項式時間可解的，則稱群G為GDH群。具體描述如下：

DLP（Discrete Logarithm Problem）:已知兩個群元素P、Q，找一整數(shù)n使得Q=nP立。

DDHP（Decision Diffie-Hellman Problem）:對于a，b，c∈RZq*，P∈G1，已知P、aP、bP、cP，判斷c=ab mod q是否成立。

CDHP（Computational Diffie-Hellman Problem）:對于a，b∈RZq*，P∈G1，已知P、aP、bP，計算abP。

GDHP（Gap Diffie-Hellman Problem）:如果在群G1上，DDHP容易但CDHP困難，則G1被稱為GDH群。

三、一種基于身份代理認證的數(shù)字簽名方案

本文構(gòu)造了一個新的基于身份代理認證的不可否認數(shù)字簽名方案。該方案是為適應(yīng)電子商務(wù)領(lǐng)域中簽名長度短、系統(tǒng)開銷小、安全程度高等特點而設(shè)計的，方案過程如下:

1.系統(tǒng)初始化

給定安全參數(shù)k，PKG選擇階為素數(shù)q的群G1、G2，群G1的生成元P，雙線性映射e:G1×G1→G2。定義密碼學(xué)上安全的hash函數(shù):H：{0，1}*→Zq*，H1：{0，1}*→G1，H2:G2→{0，1}n，H3:{0，1}n×G2→Zq*。然后，PKG選擇主密鑰s∈RZq*，計算Ppub=sP，選擇安全的對稱加密算法（E，D）（對應(yīng)的明文、密文、密鑰長度均為n）。最后，PKG保密s，并公開系統(tǒng)參數(shù)：{G1，G2，n，q，e，P，Ppub，H，H1，H2，H3，E，D}。

2.方案的實施過程

為敘述方便，我們假定原簽密人為A，代理簽密者為T，簽密接收人為B。在簽名過程中，用戶將其身份信息ID提交給PKG，PKG計算公鑰QID=H1(ID)，簽密密鑰為SID=S-1QID，解簽密密鑰為DID=sQID。那么，我們把原簽密人為A相應(yīng)的公鑰、簽密密鑰和解簽密密鑰分別簡記為QA，SA，DA），簽密接收人T的各項記為（QT，ST，DT），代理簽密者B的相應(yīng)各項記為（QB，SB，DB）。

(1)原簽密人A計算一個簽名SW=H（mW）SA，然后將（mW，SW）發(fā)給代理簽密者T。T計算并驗證以下等式是否成立:如果成立，則C計算SAT=SW+H(mW）ST，并將SAT作為有效的代理簽密密鑰。

(2)對消息m∈{0，1}n簽密時，代簽人T選擇隨機數(shù)x＇∈RZq計算QB=H1(IDB)，

則為代簽人的代理簽密。

(3)收到時，B計算，如果，B接收m，否則拒絕。

借鑒文獻的方法，可以證明解密的過程。

四、方案安全性分析

結(jié)論1所提方案是一個可公開驗證的代理簽名方案。

分析:在該方案中，對于消息m，任何第三方可通過(mw，c，r，S)首先恢復(fù)出k1′，然后驗證r=H3(c，k1′)是否成立來檢驗密文的來源和合法性。

結(jié)論2所提方案具有不可偽造性。

分析:在代理簽名方案中，在原始簽名者對代理簽名者進行授權(quán)階段，原始簽名者用簽名方案對授權(quán)信息進行簽名，由簽名的不可偽造性可知，任何人不能偽造原始簽名者對授權(quán)信息的簽名。在代理簽名階段，除PKG和指定驗證者之外，任何沒有代理簽名密鑰的人不可能對消息m偽造一個有效的指定驗證者代理簽名。攻擊者要想得到代理簽名者的私鑰，必須獲得SB=sQB，這需要知道s，而從Ppub=sP求解s相當(dāng)于求解離散對數(shù)問題。因此，方案在離散對數(shù)困難問題假設(shè)下具有不可偽造性。

五、結(jié)論

本文在分析現(xiàn)有基于身份認證的基礎(chǔ)上，提出一種基于身份代理認證的數(shù)字簽名方案。在這種方案中，只有指定接收者才能解密密文和恢復(fù)消息明文，并可以認證消息和簽名的有效性。該方案實現(xiàn)了代理簽名只能被指定驗證人才能驗證的特性，還具有簽名長度短和計算開銷小的優(yōu)點。這種方案對于電子商務(wù)領(lǐng)域的電子支付、電子招投標等商務(wù)活動的安全性有一定的借鑒意義。

參考文獻:

[1]Mambo M，Usuda K，Okamoto E.Proxy signature：delegation of thepower to sign messages[J].IEICE Transactions on Fundamentals，1996，E792A（9）：1338～1353

[2]李繼國曹珍富李建中等:代理簽名的現(xiàn)狀與進展[J].通信學(xué)報，2003，24(10):114～124

[3]Axelsson S.Intrusion detection systems:a survey and taxonomy，No99-15[R].Dept of Computer Engineering，Chalmers University ofTechnology，2000～03

[4]Au Wai-Ho，Chan K C C.FARM:a data mining system for discover-ing fuzzy association rules[C]//The 1999 IEEE International FuzzySystems Conference，F(xiàn)UZZ-IEEE’99，Seoul，South Korea，22 Aug.-25 Aug.1999，c1999，33:1217～1222

[5]BaoHai-yong，Caozhen-fu，WangSheng-bao，Identity-based threshold proxy signatures scheme with known ，signers [Z].TAMC，2006

[6]Li Xiang-xue，Chen Ke-fei. Identity based proxy-signcryptions theme from pairings[C]//Zhang Liang-jie，Li Ming-lu，Amit P S，et al. Proceedings of the IEEE International Conference on Ser-vices Computing（SCC 2004）.Los Alamitos，California：IEEE Computer Society Press，2004：494～497

[7]Wang Meng，Li Hui，Liu Zhi-jing. Efficient identity based proxy-inscription schemes with forward security and public verifiability.[C]//Lu Xi-change，Zhao Wei. The Third International Conference on Networking and Mobile Computing（ICCNMC 2005）.Berlin：Springer-Vela，2005，3619：982～991

[8]王艷 于佳李大興:前向安全的基于身份代理簽名方案.計算機工程與設(shè)計，2007.11(28):5103～5104

[9]張學(xué)軍王育民:高效的基于身份的代理簽密[J].計算機工程與應(yīng)用，2007，43(10):109～111