基于身份的指定验证人代理签名方案

张 慧

0 引 言

Mambo、Usuda和Okamoto在1996年首先提出了代理签名的概念[1-2].代理签名就是原始签名人授权指定的代理人代表他对信息进行签名.近年来，有许多不同类型的签名方案[3-4]被提出来.然而，代理签名人代表原始签名人行使代理权时，其签名可以被任何第三方进行验证.在某些情况下，例如电子商务中的电子投票、电子投标，只希望指定的验证人才能验证代理签名.1996年，Jakobsson等[5]首次提出了指定验证人签名这个概念，实现了只有指定验证人才能验证签名人签名的特性.Dai和Wang等[6-7]指出，指定验证人的代理签名方案必须满足：可验证性、身份识别性、不可伪造性、限制验证性、指定不可否认性.

基于身份的密码体制最早由Shamir[8]提出.在一个基于身份的密码体制中，用户的公钥可以是用户的姓名、地址、身份证号码等，用户的私钥由认证中心(CA)产生.Boneh和Franklin[9]为基于身份的加密体制定义了一个安全的模型，它的结构基于双线性Diffie-Hellman(BDH)问题.双线性映射及相关计算问题的提出和椭圆曲线上Weil对和Tate对的成功应用，使得基于身份的密码体制可以高效地实现.

文献[10]给出了一个基于身份的代理签名方案，本文在此基础上做了进一步改进.结合指定验证人签名思想，利用椭圆曲线上的双线性对性质，提出了一个新的基于身份的指定验证人代理签名方案.分析表明，该方案是安全有效的.

1 相关概念和理论基础知识

1．1 双线性对

设G1是由P生成的循环加法群，其阶为素数q，G2是一个阶为q的循环乘法群.具有以下性质的映射e称为双线性映射：G1×G1→G2：

2)非退化：存在一个P∈G1，满足e(P,P)≠1.

3)可计算：对P,Q∈G1，存在一个有效的算法计算e(P,Q).

1．2 几个困难性假设

2)给定(P,aP,bP,cP)判断c是否等于ab称为判定Diffie-Hellman难题(DDHP)；

3)给定(P,aP,bP)计算abP称为计算Diffie-Hellman难题(CDHP)；

4)如果在多项式时间内存在一个概率算法能解决DDHP而不能解决CDHP称为间隙Diffie-Hellman难题(GDHP).

2 基于身份的指定验证人代理签名方案

2．1 系统设置

2．2 密钥提取

原始签名人A、代理签名人B和指定验证人C分别将各自的身份信息IDA、IDB、IDC提交给PKG.PKG计算QIDA=H1(IDA)、QIDB=H1(IDB)、QIDC=H1(IDC)作为公钥，SIDA=sQIDA、SIDB=sQIDB、SIDC=sQIDC作为私钥，并通过安全信道将它们分别发送给A、B、C.

2．3 代理密钥的生成

2．4 签 名

B计算VP=e(QIDC,SP)，UP=H1(m,VP).则(m,mw,VA,VB,QP,VP,UP)即为有效的代理签名，将其发送给C.

2．5 验 证

指定验证人C收到签名信息后，验证UP=H1(m,e(SIDC,QP))是否成立.如果成立，则接受签名，否则拒绝.

3 安全性分析

3.1 可验证性

e(QIDC,SP)=e(QIDC,SW+rBSIDB)=e(QIDC,SW)e(sQIDC,rBQIDB)=

e(QIDC,rASIDA)e(QIDC,hASIDA)e(SIDC,VB)=

e(SIDC,VA+hAQIDA+VB)=e(SIDC,QP),

即有H1(m,e(SIDC,QP))=H1(m,e(QIDC,SP)).所以签名UP=H1(m,VP)确实是B生成，并且能通过C的验证.

3.2 不可否认性

原始签名人A对授权信息mw进行了签名，同时代理签名人B的信息中也包含mw.在签名验证过程中要用到mw和QIDA，QIDB.所以一旦签名完成，A就不能否认其授权身份，B也不能否认其代理人身份.

3.3 不可伪造性

假设攻击者O要想通过SP=SW+rBSIDB来伪造m的代理签名，那么必须知道rB与SIDB.但是由于rB的随机性，以及SIDB=sQIDB.通过Ppub=sP求解s相当于求解离散对数问题，非常困难.所以该方案能够抵抗随机选择密文攻击.

3.4 可区分性

可以看出，QIDA，QIDB和QIDC都会出现在代理签名的验证过程中，同时代理签名(m,mw,VA,VB,QP,VP,UP)包含授权信息mw，在形式上明显不同于普通签名，很好地满足了可区分性.

3.5 防止滥用性

由于有了授权信息mw的限制，而mw就出现在代理签名的验证等式中，因此B不能签署未经授权的信息，当然也不能把签名权利非法转给其他人.

4 结 语

基于身份的指定验证人代理签名方案在电子商务等方面有广泛的应用.文章在刘慧鹏等人的研究基础上，结合椭圆曲线上的双线性对性质，应用指定验证人签名思想，提出了一个新的基于身份的指定验证人代理签名方案.该方案实现了只有指定验证者才能验证代理签名，而任何第三方都不能验证的特性，进一步加强了代理签名的安全性.

[1] Mambo M, Usuda K, Okamoto E. Proxy signatures for delegating signing operation[C]//Proc 3rd ACM Conference on Computer and Communications Security(CCS’96). New York: ACM Press,1996:48-57.

[2] Mambo M, Usuda K, Okamoto E. Proxy signature: delegation of the power to sign messages[J]. IEICE Trans Fundamentals,1996,E79-A(9):1338-1353.

[3] 谢琪.一类门限代理签密方案的分析与改进[J].杭州师范大学学报:自然科学版,2006,5(2):92-117.

[4] 任敏.基于公钥密码的Kerberos认证系统的研究[D].济南:山东师范大学,2006.

[5] Jakobsson M, Sako K, Impagliazzo R. Designated verifier proofs and their applications[C]//Lecture Notes in Computer Science 1070: Advances in Cryptology-Eurocrypt’96. Berlin: Springer-Verlag,1996:143-154.

[6] Dai Jiazhu, Yang Xiaohu, Dong Jinxiang. Designated-receiver proxy signature scheme for electronic commerce[C]//Proc of IEEE International conference on System, Man and Cybernetics. Chiba: Springer,2003,384-389.

[7] Wang Guilin. Designated-verifier proxy signatures for e-commerce[C]//Proc of the 20th International Information Security Conference(SEC2005). Chiba: Springer,2005,409-423.

[8] Shmama A. Identity-based cryptosystems and signature schemes[C]//Blaklegr, Chaumd Advance in Cryptology: Crypto’84. Berlin: Springer,1984:7-53.

[9] Bonem D, Franklin M. Identity-based encryption from the Weil pairing[J]. Advances in Cryptology, LNCS,2001,2139:213-229.

[10] 刘慧鹏,蓝才会,丁永军,等.一个基于身份的代理签名方案[J].兰州交通大学学报,2008,27(1):120-123.