網絡間的代理簽密模型

摘要:該論文結合代理簽名法、密鑰協議協定、簽密法與網絡間代理人和驗證者之間的關系設計了代理簽密法，此方法具備完美正向安全特性，并可達到降低計算及通訊的成本。在網絡中代理人和驗證者之間僅需要二種代理簽密模型:一對一完美正向安全的代理簽密法;一對多完美正向安全的代理簽密法。文中分別針對這二種模型進行介紹。

關鍵詞:完美正向安全;代理簽密法;簽密法

中圖分類號:TP301文獻標識碼:A文章編號:1009-3044(2009)33-9569-03

Proxy signcryption Model Based on the Relations of Proxy and Verifiers in Internet

YAO Bao-yan

(Xi'an Siyuan University， Xi'an 710000， China)

Abstract: The proxy signcryption scheme with proxy signature， key agreement protocol， signcryption scheme and the relationship of proxy and verifiers has perfect forward secrecy， at the same time it can low the cost. There are only two kinds of proxy and verifiers in Internet:point-to-point proxy signcryption scheme with perfect forward secrecy;point-to-multipoint proxy signcryption scheme with perfect forward secrecy.It will introduce the two models respectively in this paper.

Key words: proxy signcryption scheme with perfect forward secrecy; proxy signcryption scheme; signcryption scheme

現實生活中一般人習慣以印鑒辨識簽署者的身份及文件真偽，當印鑒持有人因為某些原因無法親自用印時，印鑒持有人可將印鑒轉交可信賴的代理人代為用印。在處理電子文件或其他商業交易中，亦可能需授權可信賴的第三者，代為行使數位簽署的行為。其中如公文簽署或裁決，常因人事調動或請假須由職務代理人于代理期間代為執行業務，或因涉及業務專業性并經法律規范下，需委托專業代理公司或專業人員代理執行文件簽署之行為，例如股票、債券、票券等有價證券簽證，必須經由具公信力的金融機構或政府機關簽證后，才能于市場公開上市交易;目前信托法、不動產及債權證券化等相關法案的草案大都已交付立法機關審查中或已經立法機關審查通過，將來這些有價證券渴望順應潮流趨于無實體化，成為電子有價證券，并開放于公開市場或網際網絡上交易買賣，這些電子有價證券亦須經發行機構及認證機構簽證而成為有效的電子有價證券。可運用代理簽密法的架構執行電子有價證券買、賣交易及簽證等作業，買方能于交易中驗證電子有價證券的真偽，而證券機構亦可驗證交易的合法性，依據交易執行電子有價證券過戶程序，并且于交易通訊過程可保護交易內容的機密性。

1 一對一完美正向安全的代理簽密法

1.1 簽署代理授權書簽名階段

假設某個原簽密者U0將含有原簽密者身分信息、代理簽密者身分信息、授權期限及授權范圍等信息組合而成的代理授權書mw，運用Schnorr簽名法產生代理授權書簽名，并透過公開網絡傳送給代理簽密者Ua。U0執行下列步驟:

步驟1.隨機選擇一個整數v0∈Z*q，并計算

r0=gv0 mod p(1)

s0=v0+x0·H(mw，r0) mod q(2)

步驟2.將代理授權書簽名(mw，r0，s0)透過公開網絡傳送給Ua。

1.2 產生代理私鑰階段

當Ua收到Ua之代理授權書簽名后，首先驗證代理授權簽名的正確性，并利用此代理授權書、代理授權書簽名及其私鑰計算代理私鑰。

步驟3.驗證代理授權簽名:

(3)

如果(3)式成立，則確認(mw，r0，s0)為U0的代理授權簽名。

步驟4.計算代理私鑰:

Xp=H(mw，r0)·xa+s0 mod q(4)

1.3 產生代理簽密本文階段

Ua于驗證U0之代理授權簽名為有效之數字簽名后，假設Ua將訊息m之代理簽密本文給驗證者Ub時，需執行以下的步驟:

步驟5.Ua計算密鑰協議訊息ra

ra=yb H(m) mod p(5)

將ra傳送給Ub。

步驟6.Ub收到ra時，隨機選擇一個整數vb∈Zq*，計算密鑰協議訊息rb傳給Ua

rb=ravb mod p(6)

步驟7.Ua接收到Ub密鑰協議訊息rb，隨機選擇一個整數va∈Zq*，計算交談密鑰kp

(7)

隨即以適當長度將kp分割為k1與k2。

步驟8.Ua計算簽密本文

r=KHk2(m，bind_info)(8)

s=(va-xp·r) mod q(9)

c=Ek1(m)(10)

將步驟4所產生之簽密本文、代理授權書及代理授權書簽名的訊息(c，r，s，mw，r0)傳送給Ub，其中bind_info表示驗證者的識別信息，例如驗證者的公鑰或憑證。

1.4 驗證代理簽密本文階段

Ub收到Ua所傳送的(c，r，s，mw，r0)，執行下列步驟:

步驟9.計算代理公鑰

(11)

步驟10.計算交談密鑰

(12)

隨即以適當長度將kp分割為k1與k2。

步驟11.使用k2將訊息密文解密成明文

m=Dk1(c)(13)

步驟12.驗證下列等式(14)，若等式成立，則m為合法且為Ua所發送的原始訊息

r=KHk2(m，bind_info)(14)

2 一對多完美正向安全代理簽密

簽署代理授權書簽名階段與一對一完美正向安全代理簽密一樣，產生代理私鑰階段與一對一完美正向安全代理簽密一樣。這里不贅述。

2.1 產生代理簽密本文階段

Ua于驗證U0之代理授權簽名為有效之數位簽名后，假設Ua將訊息m之代理簽密本文給驗證者Ri(i=1，…，n)時，需執行以下的步驟:

步驟1.Ua計算密鑰協議訊息ri

Ri=yiH(m) mod p(15)

將ri傳送給Ri(i=1，…，n)。

步驟2. Ri(i=1，…，n)收到ri時，隨機選擇一個整數vi∈Zq*，計算密鑰協議訊息ri'傳送給Ua

ri'=rivi mod p(16)

步驟3.Ua接收到Ri(i=1，…，n)密鑰協議訊息ri，隨機選擇一個整數vi'∈Zq*，計算交談密鑰ki

(17)

隨即以適當長度將ki分割為ki1與ki2。

步驟4.Ua計算簽密本文

Ua任選一個加密密鑰K，并計算h=KHK(m)及利用c=EK(m‖h)的加密式來將m加密成密文c

Ti=KHk12(m‖h‖bind_info)(18)

Si=(vi'-xp·Ri) mod q(19)

Ci=Eki1(K)(20)

將步驟4所產生之簽密本文、代理授權書及代理授權書簽名的訊息(mw，r0，c，c1，t1，s1，…，cn，tn，sn)傳送給Ri(i=1，…，n)。

2.2 驗證代理簽密本文階段

Ri(i=1，…，n)收到UA所傳送的(mw，r0，c，c1，t1，s1，…，cn，tn，sn)，執行下列步驟:

步驟5.計算代理公鑰

(21)

步驟6.計算交談密鑰

(22)

隨即以適當長度將ki分割為ki1與ki2。

步驟7.使用ki1獲得密鑰K

K=Dki1(ci) (23)

步驟8.使用 將訊息密文解密成明文

w=Dk(c)(24)

并將w分成m、h和bind_info

步驟9.檢查是否h可以從h=KHK(m)得到和是否ti可以從KHKi2(w)計算得到。

3 結論

該論文所提出的代理廣播簽密法之授權方式為具代理授權書的部分授權方式，原簽密者簽署代理授權書簽名時，并不需藉由安全信道傳送代理授權信息，直接使用公開網絡，將代理授權書簽名傳送給代理簽密者，代理簽密者運用此簽名及其私鑰產生代理私鑰，原簽密者及其它第三者均無法得知代理私鑰，所以本方法所產生之代理簽名為保護代理的代理簽名;因代理公鑰含原簽密者之公鑰、代理簽密者之公鑰及授權書簽名，所以驗證者于驗證代理簽名時，可視為同時驗證授權書簽名，較之授權書代理簽名的授權方式，需驗證代理簽名及授權簽名，本方法提供較佳之驗證簽名效率。

參考文獻:

[1] Li JG， Cao ZF， Zhang YC. Nonrepudiable proxy multi-signature scheme[J]. Journal of Computer Science and Technology， 2003， 18(3):399-402.

[2] 李繼國，曹珍富，張亦辰.代理多重簽名方案的密碼分析與修改[J].高技術通訊，2003，13(4):1-5.

[3] Lee， B， Kim H， Kim K. Strong proxy signature and its application[C]// Procceedings of the 2001 Symposium on Cryptography and Information Security， SCIS'01， 2001，2/2:603-608.

[4] Lee J Y， Cheon J H， Kim S. An Analysis of Proxy Signature: Is a Secure Channel Necessary[C]. Topics in Cryptology-CT-RSA， LNCS 2612，2003:68-79.

[5] Wang G， Bao F， Zhou J， et al. Security analysis of some proxy signatures[C]. Proceedings of 2003 International Conference on Information Security and Cryptology， ICISC 2003， LNCS 2971， 2003:305-319.