郭銀芳

（太原大學(xué)教育學(xué)院 計算機(jī)科學(xué)系，山西 太原030001）

0 引言

代理簽名方案必須滿足下面的要求:

1）不可偽造性.除了原始簽名方，被委派的代理簽名方也可以代表原始簽名方產(chǎn)生一個有效的代理簽名.

2）可驗(yàn)證性.通過代理簽名，可以使驗(yàn)證者信服原始簽名方同意代理簽名方對消息簽名.

目前存在三種委托類型:全部委托、部分委托和授權(quán)委托.在全部委托中，原始簽名方將自己的私鑰給了代理簽名方作為代理簽名的私鑰.因此，由原始簽名方還是代理簽名方產(chǎn)生的簽名無法區(qū)分.在部分委托中，代理簽名私鑰由原始簽名私鑰產(chǎn)生，但是從代理簽名的私鑰得出原始簽名的私鑰在計算上是不可行的.然而，從簽名中我們無法確定消息的真正簽名方.為了避免爭論，代理簽名應(yīng)具有不可否認(rèn)性（Nonrepudiation）.最后一種委托是使用委任狀.委任狀由原始簽名人產(chǎn)生.委任狀對于一段明確的時間和原始簽名人的身份有效.且通過附加的委任狀能夠驗(yàn)證代理簽名者.按照上面的描述，從安全的觀點(diǎn)來看，部分委托和授權(quán)委托比全部委托更安全.比較全部委托和部分委托這兩種類型，授權(quán)委托對于驗(yàn)證者要求更多的交流費(fèi)用和計算代價來驗(yàn)證代理簽名.通過上面的討論，我們可以得出部分委托是最理想的類型.一個數(shù)字簽名方案允許原始簽名方對消息簽名，且每個人可以驗(yàn)證消息的真實(shí)簽名的有效性[1].然而，沒有人可以偽造其他消息的簽名.因此簽名方不能對他曾經(jīng)的簽名抵賴.然而，在代理簽名方案中，關(guān)于部分委托類型的代理簽名方案存在分歧，除了代理簽名方的代理簽名密鑰，原始簽名人可以得到另一個代理簽名密鑰且保存它，隨后冒充代理簽名方來得到一個有效的代理簽名.這個問題通過使用不可否認(rèn)性質(zhì)來解決，即可以確定簽名方的身份.所以，目前研究最多的代理簽名為具有不可否認(rèn)性的部分委托代理簽名.直到現(xiàn)在，代理簽名已經(jīng)得到了廣泛的討論和研究，而且得到很多的應(yīng)用，特別是在權(quán)力的委托和普遍的分布式計算，比如電子貨幣系統(tǒng)，電子商業(yè)中的移動代理，移動通訊[2]，網(wǎng)格計算，全球分布式網(wǎng)絡(luò)和分布式共享系統(tǒng).

提名簽名是Kim等[3]在1995年提出的.提名簽名是提名者（簽名者）和被提名者（驗(yàn)證者）一起產(chǎn)生一個簽名，從而產(chǎn)生如下性質(zhì):1）只有被提名者能夠驗(yàn)證簽名是否有效；2）只有被提名者可以向第三方證明提名簽名的有效性.簽名的使用完全由簽名的接收者控制.

提名代理簽名是指被委派的代理簽名者（提名者）產(chǎn)生提名簽名且代表原始簽名人傳遞給被提名者（驗(yàn)證者）.為了構(gòu)造一個提名代理簽名方案，必須滿足下面四個條件[4，5]:

1）原始簽名者能夠委托其簽名能力給代理簽名者.

2）僅僅委派的代理簽名者能夠提名驗(yàn)證者且構(gòu)造提名代理簽名.

3）僅僅被提名者（即驗(yàn)證者）能夠驗(yàn)證提名者（代理簽名者）的簽名.

4）如果必要，僅僅被提名者能夠向第三方證明由提名者發(fā)行給他的簽名是有效的.

按照上面的性質(zhì)，我們知道僅僅被提名的驗(yàn)證者能夠驗(yàn)證簽名的有效性.沒有驗(yàn)證者的幫助，第三方無法知道誰是提名代理簽名中給定的確切簽名者.因此提名代理簽名方案提供了簽名者的匿名性.如果將這個方案使用在移動通信中，我們可以獲得兩個好處.首先，移動用戶和代理商的匿名性保證.其次，由于移動用戶能夠委派一個代理商作為代理簽名者，移動用戶的計算費(fèi)用可以通過代理商減少.因此，這種提名代理簽名方案在移動通訊環(huán)境中是很有用的.

2001年，H.U.Park和I.Y.Lee將提名簽名和代理簽名結(jié)合起來，提出了提名代理簽名方案[2].在提名代理方案中，原始簽名方將簽名權(quán)利委托給代理簽名方，代理簽名方代表原始簽名方產(chǎn)生提名簽名.提名代理簽名在移動通信中是一個重要的工具.在移動通信系統(tǒng)中，移動用戶的存儲量和計算能力都有限，往往需要一個有著較大存儲量和較強(qiáng)計算能力的代理實(shí)體來完成存儲和計算任務(wù).例如，移動用戶充當(dāng)原始簽名方，代理實(shí)體充當(dāng)代理簽名方接受原始簽名方的授權(quán)后，進(jìn)行代理簽名.提名代理簽名僅僅可以由被提名者確認(rèn).這樣，移動用戶和代理實(shí)體的身份才能得到保護(hù)，匿名性才能得以保障[5].See Lee[5]指出文獻(xiàn)[2]不具有不可否認(rèn)性.然而2005年，Zhang等提出Seo Lee方案也不具有不可否認(rèn)性而且他們提出兩個新的提名代理簽名方案，聲稱原始簽名方和代理簽名方之間不需要安全信道.

本文按照提名代理簽名應(yīng)滿足的條件分析了兩個提名代理簽名方案:Zhang等的方案.指出這兩個不滿足提名代理簽名方案條件的第三條和第四條，即提名者也可以驗(yàn)證一個提名代理簽名的有效性而且提名者也可以證實(shí)一個提名代理簽名有效與否.事實(shí)上，之前所構(gòu)造的這些提名代理簽名方案的一個致命弱點(diǎn)是在生成簽名階段中，僅由簽名者一方生成.也就是說提名簽名的有效生成的一個必要條件是必須由提名者和被提名者合作才能夠生成.

1 對Zhang等兩個改進(jìn)方案的安全性分析

1.1 Zhang等的第一個方案

1.1.1 代理簽名密鑰生成階段

除了（σ，Mw，T，K）（σ，Mw，T，K和Seo Lee方案中的相同），原始簽名人還需要發(fā)送基于K的知識證明的一個簽名，即g（c，s）＝SPK[γ:K＝gγmodp].當(dāng)代理簽名方接到（σ，Mw，T，K）和（c，s），檢驗(yàn)等式·KK是否成立，且基于知識證明（c，s）的簽名是否成立.

若所有的驗(yàn)證都已經(jīng)通過，他按照下面的方式生成消息M的提名代理簽名:

Step 1 代理簽名方G隨機(jī)選取r，R∈RZp且計算α＝gR－rmodp.

Step 2 代理簽名方G計算，E＝H（YB‖α‖D‖M‖Mw），SP＝r－σPEmodq.最后，（D，α，SP，K，T，Mw，（c，s））是關(guān)于消息M的提名代理簽名.

1.1.2 提名代理簽名驗(yàn)證階段

Step 1 驗(yàn)證方B首先驗(yàn)證基于K的知識證明的簽名（c，s）是否成立.

1.2 Zhang等的第二個方案

在Seo Lee方案的代理簽名密鑰生成階段中，當(dāng)代理簽名方通過·KK檢驗(yàn)（σ，Mw，T，K）有效后，代理簽名方計算自己的簽名密鑰

1.2.1 代理簽名密鑰生成階段

Step1 代理簽名方G隨機(jī)選取r，且計算α＝gR－rmodp.

Step2 代理簽名方G計算，E＝H（YB‖α‖D‖M‖Mw），SP＝r－σPEmodq.最后，（D，α，SP，K，T，Mw）是關(guān)于消息M的提名代理簽名.

1.2.2 提名代理簽名驗(yàn)證階段

當(dāng)驗(yàn)證方收到消息－－簽名對（M，D，α，SP，K，T，Mw）后，計算

最后通過檢驗(yàn)

來驗(yàn)證簽名有效與否.

1.3 Zhang等兩個方案的安全性分析

1.3.1 提名者也能夠驗(yàn)證簽名有效與否

而且提名者（代理商）知道值R，因此通過檢驗(yàn)

1.3.2 提名者能夠向第三方證實(shí)一個簽名有效與否

分析相似于上面，提名者（代理商）能夠通過下面的方程向第三方證明簽名有效與否:

2 結(jié)束語

本章通過提名代理簽名方案應(yīng)滿足的性質(zhì)分析了Zhang等提名代理簽名方案[6].指出Zhang等方案不滿足提名性，提名人也可以驗(yàn)證提名代理簽名的有效性而且提名人也可以向第三方證實(shí)一個提名代理簽名有效性.

[1]ElGamal T.Public key cryptosystem and signature scheme based on discrete logarithms[J].On Information Theory，1985，31:469－472

[2]Park H U，Lee I Y.A digital nominative proxy signature scheme for mobile communications[C]∥Proceedings of Information and Communications Security（ICICS＇01），Lecture Notes in Computer Science 2229，Springer－Verlag，2001:451－455

[3]Kim S J，Park S J，Won D H.Nominative signatures[C]∥Proceedings of International Conference on Electronics，Information and Communications（ICEIC＇95），1995:68－71

[4]Zhang J，Wu Q，Wang Y.An improved nominative proxy signature scheme for mobile communication[C]∥Proceedings of 18thInternational Conference on Advanced Information Networking and Application，2004，2:23－26

[5]Seo S H，Lee S H.New nominative proxy signature scheme for mobile communication[C]∥Proceedings of Security and Protection of Information （SPI＇03），2003:149－154

[6]Zhang J H，Zou J C，Wang Y M.Two modified nominative proxy signature schemes for mobile communicatioin[C]∥Proceedings of IEEE International Conference on Networking，Sensing and Control，2005:1 054－1 057

[7]Chaum D，Antwerpen H.Undeniable signatures[C]∥Proceedings of Advances in Cryptology－Proceedings of CRYPTO’89，Lecture Notes in Computer Science 435，Springer－Verlag，1989:212－216