張 慧

0 引 言

Mambo、Usuda和Okamoto在1996年首先提出了代理簽名的概念[1-2].代理簽名就是原始簽名人授權(quán)指定的代理人代表他對信息進(jìn)行簽名.近年來，有許多不同類型的簽名方案[3-4]被提出來.然而，代理簽名人代表原始簽名人行使代理權(quán)時(shí)，其簽名可以被任何第三方進(jìn)行驗(yàn)證.在某些情況下，例如電子商務(wù)中的電子投票、電子投標(biāo)，只希望指定的驗(yàn)證人才能驗(yàn)證代理簽名.1996年，Jakobsson等[5]首次提出了指定驗(yàn)證人簽名這個(gè)概念，實(shí)現(xiàn)了只有指定驗(yàn)證人才能驗(yàn)證簽名人簽名的特性.Dai和Wang等[6-7]指出，指定驗(yàn)證人的代理簽名方案必須滿足：可驗(yàn)證性、身份識別性、不可偽造性、限制驗(yàn)證性、指定不可否認(rèn)性.

基于身份的密碼體制最早由Shamir[8]提出.在一個(gè)基于身份的密碼體制中，用戶的公鑰可以是用戶的姓名、地址、身份證號碼等，用戶的私鑰由認(rèn)證中心(CA)產(chǎn)生.Boneh和Franklin[9]為基于身份的加密體制定義了一個(gè)安全的模型，它的結(jié)構(gòu)基于雙線性Diffie-Hellman(BDH)問題.雙線性映射及相關(guān)計(jì)算問題的提出和橢圓曲線上Weil對和Tate對的成功應(yīng)用，使得基于身份的密碼體制可以高效地實(shí)現(xiàn).

文獻(xiàn)[10]給出了一個(gè)基于身份的代理簽名方案，本文在此基礎(chǔ)上做了進(jìn)一步改進(jìn).結(jié)合指定驗(yàn)證人簽名思想，利用橢圓曲線上的雙線性對性質(zhì)，提出了一個(gè)新的基于身份的指定驗(yàn)證人代理簽名方案.分析表明，該方案是安全有效的.

1 相關(guān)概念和理論基礎(chǔ)知識

1．1 雙線性對

設(shè)G1是由P生成的循環(huán)加法群，其階為素?cái)?shù)q，G2是一個(gè)階為q的循環(huán)乘法群.具有以下性質(zhì)的映射e稱為雙線性映射：G1×G1→G2：

2)非退化：存在一個(gè)P∈G1，滿足e(P,P)≠1.

3)可計(jì)算：對P,Q∈G1，存在一個(gè)有效的算法計(jì)算e(P,Q).

1．2 幾個(gè)困難性假設(shè)

2)給定(P,aP,bP,cP)判斷c是否等于ab稱為判定Diffie-Hellman難題(DDHP)；

3)給定(P,aP,bP)計(jì)算abP稱為計(jì)算Diffie-Hellman難題(CDHP)；

4)如果在多項(xiàng)式時(shí)間內(nèi)存在一個(gè)概率算法能解決DDHP而不能解決CDHP稱為間隙Diffie-Hellman難題(GDHP).

2 基于身份的指定驗(yàn)證人代理簽名方案

2．1 系統(tǒng)設(shè)置

2．2 密鑰提取

原始簽名人A、代理簽名人B和指定驗(yàn)證人C分別將各自的身份信息IDA、IDB、IDC提交給PKG.PKG計(jì)算QIDA=H1(IDA)、QIDB=H1(IDB)、QIDC=H1(IDC)作為公鑰，SIDA=sQIDA、SIDB=sQIDB、SIDC=sQIDC作為私鑰，并通過安全信道將它們分別發(fā)送給A、B、C.

2．3 代理密鑰的生成

2．4 簽 名

B計(jì)算VP=e(QIDC,SP)，UP=H1(m,VP).則(m,mw,VA,VB,QP,VP,UP)即為有效的代理簽名，將其發(fā)送給C.

2．5 驗(yàn) 證

指定驗(yàn)證人C收到簽名信息后，驗(yàn)證UP=H1(m,e(SIDC,QP))是否成立.如果成立，則接受簽名，否則拒絕.

3 安全性分析

3.1 可驗(yàn)證性

e(QIDC,SP)=e(QIDC,SW+rBSIDB)=e(QIDC,SW)e(sQIDC,rBQIDB)=

e(QIDC,rASIDA)e(QIDC,hASIDA)e(SIDC,VB)=

e(SIDC,VA+hAQIDA+VB)=e(SIDC,QP),

即有H1(m,e(SIDC,QP))=H1(m,e(QIDC,SP)).所以簽名UP=H1(m,VP)確實(shí)是B生成，并且能通過C的驗(yàn)證.

3.2 不可否認(rèn)性

原始簽名人A對授權(quán)信息mw進(jìn)行了簽名，同時(shí)代理簽名人B的信息中也包含mw.在簽名驗(yàn)證過程中要用到mw和QIDA，QIDB.所以一旦簽名完成，A就不能否認(rèn)其授權(quán)身份，B也不能否認(rèn)其代理人身份.

3.3 不可偽造性

假設(shè)攻擊者O要想通過SP=SW+rBSIDB來偽造m的代理簽名，那么必須知道rB與SIDB.但是由于rB的隨機(jī)性，以及SIDB=sQIDB.通過Ppub=sP求解s相當(dāng)于求解離散對數(shù)問題，非常困難.所以該方案能夠抵抗隨機(jī)選擇密文攻擊.

3.4 可區(qū)分性

可以看出，QIDA，QIDB和QIDC都會出現(xiàn)在代理簽名的驗(yàn)證過程中，同時(shí)代理簽名(m,mw,VA,VB,QP,VP,UP)包含授權(quán)信息mw，在形式上明顯不同于普通簽名，很好地滿足了可區(qū)分性.

3.5 防止濫用性

由于有了授權(quán)信息mw的限制，而mw就出現(xiàn)在代理簽名的驗(yàn)證等式中，因此B不能簽署未經(jīng)授權(quán)的信息，當(dāng)然也不能把簽名權(quán)利非法轉(zhuǎn)給其他人.

4 結(jié) 語

基于身份的指定驗(yàn)證人代理簽名方案在電子商務(wù)等方面有廣泛的應(yīng)用.文章在劉慧鵬等人的研究基礎(chǔ)上，結(jié)合橢圓曲線上的雙線性對性質(zhì)，應(yīng)用指定驗(yàn)證人簽名思想，提出了一個(gè)新的基于身份的指定驗(yàn)證人代理簽名方案.該方案實(shí)現(xiàn)了只有指定驗(yàn)證者才能驗(yàn)證代理簽名，而任何第三方都不能驗(yàn)證的特性，進(jìn)一步加強(qiáng)了代理簽名的安全性.

[1] Mambo M, Usuda K, Okamoto E. Proxy signatures for delegating signing operation[C]//Proc 3rd ACM Conference on Computer and Communications Security(CCS’96). New York: ACM Press,1996:48-57.

[2] Mambo M, Usuda K, Okamoto E. Proxy signature: delegation of the power to sign messages[J]. IEICE Trans Fundamentals,1996,E79-A(9):1338-1353.

[3] 謝琪.一類門限代理簽密方案的分析與改進(jìn)[J].杭州師范大學(xué)學(xué)報(bào):自然科學(xué)版,2006,5(2):92-117.

[4] 任敏.基于公鑰密碼的Kerberos認(rèn)證系統(tǒng)的研究[D].濟(jì)南:山東師范大學(xué),2006.

[5] Jakobsson M, Sako K, Impagliazzo R. Designated verifier proofs and their applications[C]//Lecture Notes in Computer Science 1070: Advances in Cryptology-Eurocrypt’96. Berlin: Springer-Verlag,1996:143-154.

[6] Dai Jiazhu, Yang Xiaohu, Dong Jinxiang. Designated-receiver proxy signature scheme for electronic commerce[C]//Proc of IEEE International conference on System, Man and Cybernetics. Chiba: Springer,2003,384-389.

[7] Wang Guilin. Designated-verifier proxy signatures for e-commerce[C]//Proc of the 20th International Information Security Conference(SEC2005). Chiba: Springer,2005,409-423.

[8] Shmama A. Identity-based cryptosystems and signature schemes[C]//Blaklegr, Chaumd Advance in Cryptology: Crypto’84. Berlin: Springer,1984:7-53.

[9] Bonem D, Franklin M. Identity-based encryption from the Weil pairing[J]. Advances in Cryptology, LNCS,2001,2139:213-229.

[10] 劉慧鵬,藍(lán)才會,丁永軍,等.一個(gè)基于身份的代理簽名方案[J].蘭州交通大學(xué)學(xué)報(bào),2008,27(1):120-123.