基于身份的指定驗證者代理簽名方案

摘要：在代理簽名中，原始簽名人能將其數字簽名權力委托給代理簽名人；在指定驗證者簽名方案中，只有事先指定的驗證者才能驗證簽名的有效性。綜合上述兩種方案的優點，利用Weil對的雙線性映射，構造了一個基于身份的指定驗證者代理簽名方案，并對其安全性進行簡要的分析。

關鍵詞：代理簽名； 雙線性對； 指定驗證者簽名； 基于身份

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2007)07－0120－03

0引言

代理數字簽名的概念是由Mambo等人[1，2 ]首次提出的。在代理簽名方案中，原始簽名者把他的簽名權力委托給代理簽名者，代理簽名者就可以代表原始簽名者對消息簽名。當收到一個消息的簽名后，一個驗證者不僅要驗證該簽名的有效性，還要驗證它是否是在原始簽名者同意的情況下的簽名。代理簽名在很多方面都有很好的應用，如電子現金、分布式共享系統等。但是如一般的簽名方案那樣，單純的代理數字簽名不能防止一些不受歡迎的驗證者去驗證簽名的有效性。例如：軟件銷售商不希望沒有被授權的用戶得到軟件的使用權。

Jakobsson等人[3]在1996年首次提出指定驗證者簽名這個概念。在這種體制中，簽名者選擇一個具體的驗證者；在簽名驗證階段，只有這個驗證者可以驗證簽名的有效性，其他任何人都不能驗證該簽名是否有效。因為驗證者自己可以獨立生成一個簽名副本，該副本與真正的原始簽名不可區分。這樣的簽名體制在電子商務、電子政務中有很多用途。它可以有效地解決認證性和隱私性的沖突。

基于身份的簽名方案首先由Shamir[4]于1984 年提出，主要是為了簡化基于證書的公鑰體制對公鑰證書的管理。其主要思想就是利用用戶的身份作為其公鑰而不是一個隨機的毫無意義的數字 。

在文獻[5，6]中提出的指定驗證者代理簽名，結合了代理簽名和指定驗證者簽名方案的優點，在現實中有很好的應用。例如消費者在購買一些軟件商品時，從代理商那里購買這些商品，就需要代理商保證這些商品的性能、質量等。但是消費者可能不完全相信代理商，他需要確認這些商品確實由聲稱的制造商生產。同時，消費者在購買這些產品后，不能把這些產品轉交給其他人使用。此時，指定驗證者代理簽名方案能保證：①這些商品是制造者授予某些代理者銷售的；②由指定驗證者簽名，消費者不能把對此商品的驗證權轉交給其他人。 

但是文獻[5]中提出的方案不滿足防止原始簽名者的偽造。也就是說，原始簽名者可以代替代理簽名者偽造代理簽名。在文獻[6]中的方案密鑰生成階段，原始簽名者和代理簽名者要交互多次并且具有公鑰系統中密鑰生成與保管等復雜的問題。在文獻[6]中指出，只要有指定驗證者的私鑰（如指定驗證者有意泄露自己的私鑰），任何人都可以去驗證簽名的有效性。因為他不滿足指定驗證者可以生成和原始簽名不可區分的副本的要求。

本文構造了一個基于身份的指定驗證者代理簽名方案。新方案具有基于身份的特性，并把指定驗證者簽名和代理簽名相結合，克服了文獻[5，6]中提出的指定驗證者代理簽名方案的缺點，并且滿足指定驗證者代理簽名方案應該滿足的安全性要求。

1雙線性映射和雙線性Diffie－Hellman問題

1．1雙線性映射

2指定驗證者代理簽名方案的一般定義和安全需求

2．1指定驗證者代理簽名方案的一般定義

指定驗證者代理簽名是指原始簽名者在指定代理簽名者的同時，指定對代理簽名的驗證者。它能夠保障只有指定的驗證者才能驗證代理簽名的正確性。

2．2指定驗證者代理簽名方案的安全需求

Dai和Wang等人[5，6]指出的指定驗證者代理簽名方案應滿足的安全性如下：

（1）可驗證性：從代理簽名中驗證者能確定這是原始簽名者同意的。

（2）身份識別性：從代理簽名中任何人都能得到此代理簽名者的身份。

（3）不可偽造性：除了代理簽名者外，原始簽名者和第三方不能被指定為代理者，也不能生成代理簽名。

（4）限制驗證性：只有被指定的驗證者才能驗證此簽名的有效性。

（5）指定不可否認性：原始簽名者不能否認是他指定了驗證接收者。

3基于身份的指定驗證者代理簽名方案

3．1方案中的參數

5結束語

本文構造了一個基于身份的指定驗證者代理簽名方案，并對其安全性進行了分析。該方案具有基于身份的特性，使簽名方案更加高效；并把指定驗證者簽名和代理簽名相結合，同時兼具兩者優點，在現實中可以得到廣泛的應用。

參考文獻：

[1]MAMBO M， USUDA K， OKAMOTO E. Proxy signatures for delegating signing operation: proc.of the 3rd ACM Conference on Computer and Communications Security[C].[S.l.]: ACM Press， 1996:48－57.

[2]MAMBO M， USUDA K， OKAMOTO E. Proxy signatures: delegation of the power to sign messages[J]. IEICE Trans. Fundam.， 1996，E79－A(9):1338－1354.

[3]JAKOBSSON M， SAKO K， IMPAGLIAZZO R. Designated verifier proofs and their applications: proc.of the EUROCRYPT’96[C].[S.l.]: Springer， 1996:142－154.

[4]SHAMIR A. Identity－based cryptosystems and signature schemes: Advances in Cryptology－CRYPTO， LNCS[C].[S.l.]:[s.n.]，1984:47－53.

[5]DAI Jiazhu， YANG Xiaohu， DONG Jinxiang. Designated－receiver proxy signature scheme for electronic commerce: proc.of IEEE International Conference on Systems，Man and Cybernetics[C].[S.l.]: IEEE， 2003:384－389.

[6]WANG Guilin. Designated－verifier proxy signatures for e－commerce: proc.of the 20th International Information Security Conference (SEC2005)[C]. Chiba， Japan: Springer， 2005:409－423.

[7]SILVEMAN J H. The arithmetic of elliptic curves[M]. New York: Springer－Verlag， 1986:96－99.

[8]BONEH D， FRANKLIN M. Identity－based encryption from the weil pairing: Advance in Cryptology－CRYPTO2001[C]. New York: Springer－Verlag， 2001:341－346.

[9]PATERSON K. ID－based signatures from pairing on elliptic curves[EB/OL].(2002－10－01).http://epring.iacr.org.

[10]SUSILO W， ZHANG Fangguo， MU Yi. Identity－based strong designated verifier signature schemes: ACISP2004，LNCS 3108[C].[S.l.]:[s.n.]， 2004:313－324.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”