孫 穎，許春香，吳 淮，陳艾東

(電子科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 成都 610054)

作為日常生活中手寫簽名的電子替代物，數(shù)字簽名已經(jīng)成為保證信息完整性、不可抵賴性和實(shí)現(xiàn)認(rèn)證的重要手段，并受到學(xué)術(shù)界的廣泛研究。隨著電子商務(wù)和電子政務(wù)的不斷發(fā)展，普通的數(shù)字簽名已經(jīng)不能滿足人們?nèi)粘Ｉ钊找姘l(fā)展的需求，眾多有特殊性質(zhì)的數(shù)字簽名技術(shù)被相繼提出，由文獻(xiàn)[1]提出的代理簽名就是其中的一種，其主要功能是實(shí)現(xiàn)簽名的授權(quán)。在代理簽名中，一個(gè)原始簽名人將其簽名權(quán)利委托給代理簽名人之后，代理簽名人就可以代表原始簽名人進(jìn)行簽名。這種授權(quán)的情況廣泛存在于現(xiàn)實(shí)生活中，如經(jīng)理不在時(shí)，授權(quán)其簽名權(quán)利給其秘書。文獻(xiàn)[1]按照授權(quán)類型不同，把代理簽名分為完全授權(quán)、部分授權(quán)和基于委托書的授權(quán)3類。在完全授權(quán)中，原始簽名人把自己的簽名密鑰直接交給代理簽名人，使代理簽名人具有與其相同的簽名能力。顯然，完全授權(quán)的方式是不實(shí)際和不安全的。在部分授權(quán)中，代理簽名人可以獲得一個(gè)與原始簽名人密鑰不同的代理密鑰，使代理人生成的簽名與原始簽名人的簽名不同。該方式的缺點(diǎn)是無法限制代理簽名人的簽名范圍，代理簽名人可以對任意消息簽名。該缺點(diǎn)可在基于委托書授權(quán)的簽名方式中得到彌補(bǔ)，委托書中詳細(xì)描述了代理簽名人的簽名范圍、授權(quán)有效期以及代理人和授權(quán)人的身份等信息。代理簽名提出后，引起了研究學(xué)者的極大關(guān)注，成為密碼學(xué)的一個(gè)研究熱點(diǎn)。

文獻(xiàn)[2]首先提出了強(qiáng)代理簽名的概念，但強(qiáng)代理簽名需滿足可區(qū)分性、可驗(yàn)證性、強(qiáng)不可偽造性、可識別性、不可否認(rèn)性和可防止簽名權(quán)利被濫用。之后，很多代理簽名方案及其變形方案被相繼提出，如門限代理簽名[3-4]、代理盲簽名[5]、匿名代理簽名[5-6]、代理多重簽名[7]、一次代理簽名[8-9]、指定驗(yàn)證人代理簽名[10-11]等。

文獻(xiàn)[12]提出了一種新的代理簽名方案，該方案的特色是可以用于授權(quán)的控制。該文獻(xiàn)首先提出了一個(gè)基本代理簽名方案，并聲稱該方案滿足代理簽名的所有安全性質(zhì)之后，該文發(fā)現(xiàn)該基本方案適用于在電子支票系統(tǒng)中限制代理簽名人的金融授權(quán)，因此基于該基本方案，設(shè)計(jì)了一個(gè)新方案，并提出了一個(gè)具體的協(xié)議，用于解決代理環(huán)境中電子支票的授權(quán)控制問題；最后結(jié)合前向安全思想，提出了一個(gè)具有代理撤銷功能的多個(gè)代理簽名人的代理簽名方案，用于更新代理密鑰，以便解決代理簽名密鑰的泄露問題。雖然該文獻(xiàn)聲稱其所有的方案都是安全的，并且給出了一些安全性分析，但本文的研究發(fā)現(xiàn)，該文獻(xiàn)的方案并不安全，一個(gè)敵手可以成功偽造代理簽名密鑰，冒充誠實(shí)的代理簽名人生成有效的代理簽名，說明該文獻(xiàn)的方案不滿足數(shù)字簽名應(yīng)該具備的最重要、最基本的不可偽造性，有重大的安全缺陷。

為了修正該文獻(xiàn)方案的缺陷，本文將分析該代理簽名方案，找出其安全性漏洞，并提出一個(gè)改進(jìn)的新算法，以抵抗代理簽名密鑰偽造攻擊。

1 文獻(xiàn)[12]的基本方案

1.1 基本代理簽名方案

1.2 對基本方案的分析

1) 首先，敵手制作一個(gè)委托書w，其中詳細(xì)說明了原始簽名人和代理簽名人的身份、授權(quán)期限、授權(quán)簽名的范圍等授權(quán)信息。

1.3 對基本方案的改進(jìn)

2) 代理簽名生成。擁有代理簽名密鑰對

2 電子支票的可控授權(quán)協(xié)議與分析

文獻(xiàn)[12]利用其基本代理簽名方案設(shè)計(jì)了一個(gè)電子支票的可控授權(quán)協(xié)議，應(yīng)用場景如下。

1) 首先，敵手制作一個(gè)委托書其中的授權(quán)信息可以由敵手任意設(shè)置。

文獻(xiàn)[12]結(jié)合代理簽名和前向安全的思想，提出了一個(gè)前向安全的代理簽名方案，用于方便代理撤銷。與本文之前的分析方法類似，文獻(xiàn)[12]的前向安全代理簽名方案仍然容易遭受代理簽名密鑰偽造攻擊，在此不再重復(fù)。

3 結(jié)束語

本文分析了文獻(xiàn)[12]最近提出的一系列代理簽名方案的安全性，包括基本的代理簽名方案、電子支票的可控授權(quán)協(xié)議和前向安全的代理簽名方案，指出這些方案的不安全之處，即一個(gè)惡意的敵手可以成功偽造代理簽名密鑰，假冒誠實(shí)的代理簽名人生成驗(yàn)證有效的代理簽名。本文給出了相應(yīng)的修正方法，使修正后的方案可以抵抗代理簽名密鑰偽造攻擊。

[1] MAMBO M, USUDA K, OKAMOTO E. Proxy signature:Delegation of the power to sign messages[J]. IEICE Trans Fundamentals, 1996, E79-A(9):1338-1353.

[2] LEE B, KIM H, KIM K. Strong proxy signature and its applications[C]//SCIS 2001. Oiso, Japan: The Institute of Electronics, Information and Communication Engineers,2001: 603-608.

[3] SHAO Z H. Improvement of threshold proxy signature scheme[J]. Computer Standsrds & Interface, 2004, 27:53-59.

[4] ZHANG K. Threshold proxy signature scheme[C]//Proc of the 1997 Information Security Workshop. Tatsunokuchi,Ishikawa, Japan: Springer-Verlag, 1997: 191-197.

[5] ZHANG Fang-guo, NAINI R S, LIN C Y. New proxy signature, proxy blind signature and proxy ring signature schemes from bilinear pairings[R]. Cryptology ePrint Archive Report, 2003.

[6] YU Yong, XU Chun-xiang, HUANG Xin-yi, et al. An efficient anonymous proxy signature scheme with provable security[J]. Computer Standards & Interfaces, 2009, 31(2):348-353.

[7] YI L, BAI G, XIAO G. Proxy multi-signature scheme: a new type of proxy signature scheme[J]. Electron Lett, 2000,36(6): 527-528.

[8] KIM H, BAEK J, LEE B, et al. Secrets for mobile agent using one-time proxy signature[C]//The Institute of Electronics, Information and Communication Engineers.Oiso, Japan: [s.n.], 2001: 845-850.

[9] MEHTA M, HARN L. Efficient one-time proxy signatures[J]. IEE Proceedings of Communications. 2005,152(2): 129-133.

[10] ZHANG Jian-hong. An improved designated-verifier proxy signature scheme[C]//International Conference on Networking, Architecture and Storage 2007. Guilin, China:IEEE Press, 2007: 77-82

[11] YU Yong, XU Chun-xiang, ZHANG Xiao-song, et al.Designated verifier proxy signature scheme without random oracles[J]. Computers and Mathematics with Applications, 2009, 57(8): 352-1364.

[12] SUNITHA N R, AMBERKER B B. Proxy signature scheme for controlled delegation[J]. Journal of Information Assurance and Security, 2008, 2: 159-174.