張 慧

0 引 言

Mambo、Usuda和Okamoto在1996年首先提出了代理簽名的概念[1-2].代理簽名就是原始簽名人授權(quán)指定的代理人代表他對信息進行簽名.近年來，有許多不同類型的簽名方案[3-4]被提出來.然而，代理簽名人代表原始簽名人行使代理權(quán)時，其簽名可以被任何第三方進行驗證.在某些情況下，例如電子商務中的電子投票、電子投標，只希望指定的驗證人才能驗證代理簽名.1996年，Jakobsson等[5]首次提出了指定驗證人簽名這個概念，實現(xiàn)了只有指定驗證人才能驗證簽名人簽名的特性.Dai和Wang等[6-7]指出，指定驗證人的代理簽名方案必須滿足：可驗證性、身份識別性、不可偽造性、限制驗證性、指定不可否認性.

基于身份的密碼體制最早由Shamir[8]提出.在一個基于身份的密碼體制中，用戶的公鑰可以是用戶的姓名、地址、身份證號碼等，用戶的私鑰由認證中心(CA)產(chǎn)生.Boneh和Franklin[9]為基于身份的加密體制定義了一個安全的模型，它的結(jié)構(gòu)基于雙線性Diffie-Hellman(BDH)問題.雙線性映射及相關計算問題的提出和橢圓曲線上Weil對和Tate對的成功應用，使得基于身份的密碼體制可以高效地實現(xiàn).

文獻[10]給出了一個基于身份的代理簽名方案，本文在此基礎上做了進一步改進.結(jié)合指定驗證人簽名思想，利用橢圓曲線上的雙線性對性質(zhì)，提出了一個新的基于身份的指定驗證人代理簽名方案.分析表明，該方案是安全有效的.

1 相關概念和理論基礎知識

1．1 雙線性對

設G1是由P生成的循環(huán)加法群，其階為素數(shù)q，G2是一個階為q的循環(huán)乘法群.具有以下性質(zhì)的映射e稱為雙線性映射：G1×G1→G2：

2)非退化：存在一個P∈G1，滿足e(P,P)≠1.

3)可計算：對P,Q∈G1，存在一個有效的算法計算e(P,Q).

1．2 幾個困難性假設

2)給定(P,aP,bP,cP)判斷c是否等于ab稱為判定Diffie-Hellman難題(DDHP)；

3)給定(P,aP,bP)計算abP稱為計算Diffie-Hellman難題(CDHP)；

4)如果在多項式時間內(nèi)存在一個概率算法能解決DDHP而不能解決CDHP稱為間隙Diffie-Hellman難題(GDHP).

2 基于身份的指定驗證人代理簽名方案

2．1 系統(tǒng)設置

2．2 密鑰提取

原始簽名人A、代理簽名人B和指定驗證人C分別將各自的身份信息IDA、IDB、IDC提交給PKG.PKG計算QIDA=H1(IDA)、QIDB=H1(IDB)、QIDC=H1(IDC)作為公鑰，SIDA=sQIDA、SIDB=sQIDB、SIDC=sQIDC作為私鑰，并通過安全信道將它們分別發(fā)送給A、B、C.

2．3 代理密鑰的生成

2．4 簽 名

B計算VP=e(QIDC,SP)，UP=H1(m,VP).則(m,mw,VA,VB,QP,VP,UP)即為有效的代理簽名，將其發(fā)送給C.

2．5 驗 證

指定驗證人C收到簽名信息后，驗證UP=H1(m,e(SIDC,QP))是否成立.如果成立，則接受簽名，否則拒絕.

3 安全性分析

3.1 可驗證性

e(QIDC,SP)=e(QIDC,SW+rBSIDB)=e(QIDC,SW)e(sQIDC,rBQIDB)=

e(QIDC,rASIDA)e(QIDC,hASIDA)e(SIDC,VB)=

e(SIDC,VA+hAQIDA+VB)=e(SIDC,QP),

即有H1(m,e(SIDC,QP))=H1(m,e(QIDC,SP)).所以簽名UP=H1(m,VP)確實是B生成，并且能通過C的驗證.

3.2 不可否認性

原始簽名人A對授權(quán)信息mw進行了簽名，同時代理簽名人B的信息中也包含mw.在簽名驗證過程中要用到mw和QIDA，QIDB.所以一旦簽名完成，A就不能否認其授權(quán)身份，B也不能否認其代理人身份.

3.3 不可偽造性

假設攻擊者O要想通過SP=SW+rBSIDB來偽造m的代理簽名，那么必須知道rB與SIDB.但是由于rB的隨機性，以及SIDB=sQIDB.通過Ppub=sP求解s相當于求解離散對數(shù)問題，非常困難.所以該方案能夠抵抗隨機選擇密文攻擊.

3.4 可區(qū)分性

可以看出，QIDA，QIDB和QIDC都會出現(xiàn)在代理簽名的驗證過程中，同時代理簽名(m,mw,VA,VB,QP,VP,UP)包含授權(quán)信息mw，在形式上明顯不同于普通簽名，很好地滿足了可區(qū)分性.

3.5 防止濫用性

由于有了授權(quán)信息mw的限制，而mw就出現(xiàn)在代理簽名的驗證等式中，因此B不能簽署未經(jīng)授權(quán)的信息，當然也不能把簽名權(quán)利非法轉(zhuǎn)給其他人.

4 結(jié) 語

基于身份的指定驗證人代理簽名方案在電子商務等方面有廣泛的應用.文章在劉慧鵬等人的研究基礎上，結(jié)合橢圓曲線上的雙線性對性質(zhì)，應用指定驗證人簽名思想，提出了一個新的基于身份的指定驗證人代理簽名方案.該方案實現(xiàn)了只有指定驗證者才能驗證代理簽名，而任何第三方都不能驗證的特性，進一步加強了代理簽名的安全性.

[1] Mambo M, Usuda K, Okamoto E. Proxy signatures for delegating signing operation[C]//Proc 3rd ACM Conference on Computer and Communications Security(CCS’96). New York: ACM Press,1996:48-57.

[2] Mambo M, Usuda K, Okamoto E. Proxy signature: delegation of the power to sign messages[J]. IEICE Trans Fundamentals,1996,E79-A(9):1338-1353.

[3] 謝琪.一類門限代理簽密方案的分析與改進[J].杭州師范大學學報:自然科學版,2006,5(2):92-117.

[4] 任敏.基于公鑰密碼的Kerberos認證系統(tǒng)的研究[D].濟南:山東師范大學,2006.

[5] Jakobsson M, Sako K, Impagliazzo R. Designated verifier proofs and their applications[C]//Lecture Notes in Computer Science 1070: Advances in Cryptology-Eurocrypt’96. Berlin: Springer-Verlag,1996:143-154.

[6] Dai Jiazhu, Yang Xiaohu, Dong Jinxiang. Designated-receiver proxy signature scheme for electronic commerce[C]//Proc of IEEE International conference on System, Man and Cybernetics. Chiba: Springer,2003,384-389.

[7] Wang Guilin. Designated-verifier proxy signatures for e-commerce[C]//Proc of the 20th International Information Security Conference(SEC2005). Chiba: Springer,2005,409-423.

[8] Shmama A. Identity-based cryptosystems and signature schemes[C]//Blaklegr, Chaumd Advance in Cryptology: Crypto’84. Berlin: Springer,1984:7-53.

[9] Bonem D, Franklin M. Identity-based encryption from the Weil pairing[J]. Advances in Cryptology, LNCS,2001,2139:213-229.

[10] 劉慧鵬,藍才會,丁永軍,等.一個基于身份的代理簽名方案[J].蘭州交通大學學報,2008,27(1):120-123.