探讨浅谈附加性质的数字签名有何意义

　　摘要：随着许多新的密码体制出现，以及新的困难问题的提出，大量新的数字签名方案相继被提出，如基于身份的签名、无证书签名、属性基签名、基于格(Lattice)困难问题的签名等。同时，由于实际需求的变化和现实中签名场景的日趋复杂，具有附加性质的数字签名迅速发展起来。它们能更好的满足电子商务、电子政务和通信系统中某些具体签名场合的需要，与普通签名相比更具有实用性。

　　1 代理签名

　　代理签名模拟了现实生活中签名权力的委托和转移过程，当原始签名者由于出差、休假等原因不能直接对文件进行签名时，就需要一个他指定的人代替其进行签名。代理签名的概念最早是由Mambo、Usuda和Okamoto三人提出来的，原始签名者授权代理者替自己行使签名权，验证者在能够区分签名是普通签名还是代理签名的同时也可以验证授权的有效性。代理签名一般应满足以下安全性质[3]：

　　1) 不可伪造性(Unforgeability)：除了原始签名者，只有指定的代理签名者才能代表原始签名者生成合法的代理签名。

　　2) 可验证性(Verifiability)：验证者可以验证代理签名的有效性，同时也能够确定原始签名者对代理签名的认可。

　　3) 不可否认性(Undeniability)：代理签名者生成了一个有效的代理签名以后，他就无法向原始签名者否认自己的签名。

　　4) 可区分性(Distinguishability)：代理签名和原始签名者的签名是易区分的。

　　5) 可识别性(Identifiability)：原始签名者能从代理签名中确定代理签名者的身份。

　　6) 代理签名者的不可背离性(Proxy Signer’s Deviation)：代理签名者无法生成一个不被其他人发现是由他所生成的合法的代理签名。

　　代理签名概念被提出后，在发展过程中又陆续出现了强代理签名、代理重签名、盲代理签名等具有其他特殊性质的代理签名，丰富了代理签名的研究。

　　2 盲签名

　　盲签名的概念是由Chaum于1982年针对现实生活中的电子投票、匿名货币协议等系统中需要签名者在不知道消息内容的情况下对其进行签名而提出的，盲签名者也不能将签名结果同其某一次的具体签名过程相联系。盲签名应满足以下安全性质[4]：

　　1) 不可伪造性(Unforgeability)：任何人(除了签名者)都不能以签名者的名义生成合法的盲签名。

　　2) 盲性(Blindness)：签名者在不知道签名消息的具体内容下对消息进行签名。

　　3) 不可否认性(Undeniability)：签名者对某个消息进行盲签名以后，无法否认其对消息的签名。

　　4) 不可追踪性(Untraceability)：签名和消息公开以后，签名者不能确定盲签名的具体时间，也不能将所签消息和其拥有者联系起来。

　　3 代理盲签名

　　代理盲签名将代理签名和盲签名有机结合，不仅具有代理签名和盲签名的特点，还产生很多新的特性，适合更加复杂的实际签名场景。第一个代理盲签名方案是由Lin和Jan于2000年提出的。结合代理签名和盲签名，代理盲签名应满足以下的安全性质[5]：

　　1) 可区分性(Distinguishability)：任何人都能够区分原始签名者生成的普通签名和代理签名者生成的代理盲签名，同时也能区分原始签名者和代理签名者。

　　2) 可验证性(Verifiability)：验证者在验证签名有效性的同时也能够从代理盲签名中确定原始签名者对所签名消息的认可。

　　3) 不可伪造性(Unforgeability)：除了指定的代理签名者外，其他任何人都不能伪造原始签名者的授权签名和有效的代理盲签名。

　　4) 可识别性(Identifiability)：任何人都能从代理盲签名中确定代理签名者的身份。

　　5) 不可否认性(Undeniability)：原始签名者授权代理签名者生成了有效的代理盲签名后，他和代理签名者不能向任何人否认授权及代理盲签名。

　　6) 不可滥用性(Prevention of Misuse)：代理签名者不能将代理签名密钥用作生成有效代理签名以外的其他用途。

　　7) 盲性(Blindness)：代理签名者不知道他所签消息和签名的任何内容。

　　8) 不可追踪性(Untraceability)：当签名消息公布后，代理签名者无法将代理盲签名和他某一次的具体签名过程联系起来。

　　4 指定验证者签名

　　指定验证者签名是Jakobsson等人为解决普通签名中存在的认证性与隐私性的冲突而提出的。在一些场合，签名者不希望不加限制的任何人都能验证自己所作签名的有效性，这就需要其指定某些验证者验证签名的有效性。由于被指定的验证者能够利用自己的私钥生成一个无法和原始签名区分的副本，故除了签名者指定的验证者外，其他任何人都无法验证签名的合法性。指定验证者签名应满足以下性质[6]：

　　1) 正确性：对于合法的消息-签名对，验证方程必定成立。

　　2) 不可伪造性：在不知道签名者私钥和指定验证者私钥的前提下，任何攻击者伪造一个有效的签名在计算上是不可行的。

　　3) 不可区分性：通常情况下，对于合法的消息-签名对，无法确定签名的产生者。

　　5 前向安全签名

　　一般来说，签名系统的安全性除了包括签名算法的安全性外，还包括签名密钥的安全性。如果签名密钥泄露，那么攻击者可以任意伪造签名，所有依靠该密钥产生的签名也将失效。故为了减轻这种密钥泄露问题带来的严重影响，1997年Anderson[7]提出了前向安全思想，即采用密钥单向更新的方法，把签名密钥的有效期划分为若干时间段，保持公钥在整个有效期内不变。这样即使当前时间段的签名密钥泄露了，由于密钥是单向更新的，逆向推导上一时间段的密钥在计算上是不可行的，故不影响该密钥泄露以前时间段内签名的安全性，使得签名具有前向安全性。1999年，Bellare和Miner[8]首次提出了两个前向安全的数字签名方案，并给出了前向安全数字签名的形式化定义[8]：

　　1) 密钥生成：输入安全参数[r]和划分的时间段总数[T]，生成初始签名私钥和公钥[(S0，P)];

　　2) 密钥更新：签名进入第[i]时段后，利用密钥更新算法[f]计算：[Si=f(Si-1)]。[f]的单向性确保不能由[Si]推导出[Si-1]，计算出[Si]后立即删除[Si-1]。公钥[P]在一个有效期内保持不变;

　　3) 签名过程：在第[i(1≤i≤T)]时段，输入消息[m]和签名密钥[Si]，输出第[i]时段的签名[σi];

　　4) 验证过程：输入公钥[P]、第[i]时段的消息[m]和对应的签名[σi]，输出“0”或“1”，分别表示拒绝或接受[σi]为第[i]时段的签名密钥[Si]在消息[m]上的签名。

　　前向安全签名除了应具备普通签名的不可伪造性、不可区分性等安全性质外，还应当具有前向安全性。即当攻击者获取第[i]时段的签名密钥时，不能伪造第[j(j　　6 结束语

　　与普通的数字签名相比，如代理签名、盲签名、代理盲签名、指定验证者签名、前向安全签名等具有附加性质的数字签名由于其针对实际生活中的具体签名场景而设计，有着很强的实用性和针对性，故而在现实的电子交易、电子投票、货币协议等系统中有着广泛的应用。

　　参考文献：

　　[1] Diffie W， Hellman M. New Directions in Cryptography[J]. IEEE Transactions on Information Theory， 1976(6)：644-654.

　　[2] Rivest R L， Shamir A， Adleman L. A Method for Obtaining Digital Signatures and Public-Key Cryptosystem[J]. Communications of the ACM， Feb.1978，21(2)：120-126.

　　[3] 杨晓元.现代密码学[M].西安：西安电子科技大学出版社，2009.

　　[4] 杨晓元，魏立线.计算机密码学[M].西安：西安交通大学出版社，2007.

　　[5] 禹勇， 具有特殊性质的数字签名和签密方案[D].西安： 西安电子科技大学，2008.

　　[6] 胡振鹏， 两种具有特殊性质的数字签名研究[D].上海： 华东师范大学，2007.

　　[7] Anderson R. Invited Lecture[C].Proceedings of the 4th ACM Conference on Computer and Communications Security， Zurich， Switzerland，1997：1-7.

　　[8] Bellare M， Miner S K.A Forward-Secure Digital Signature Scheme[C].Advances in Cryptology-CRYPTO’99， LNCS 1666， Springer-Verlag， Berlin，1999：431-448.

期刊VIP网，您身边的高端学术顾问

文章名称： 探讨浅谈附加性质的数字签名有何意义

文章地址： http://www.qikanvip.com/jisuanjiwangluo/15771.html