CN101051901A - 一种代理签名的方法及系统 - Google Patents

Abstract

本发明提供了一种代理签名的方法及系统。属于电子商务应用领域。为了解决现有技术中存在的可操作性差、实际中难以实现服务器的不可否认性的缺点，本发明提供了一种代理签名的方法，包括初始化系统参数、根据系统参数生成代理签名者的私钥、原始签名者生成代理签名者的代理密钥、代理签名者生成对消息的代理签名、验证代理签名的步骤。本发明还提供了一种代理签名的系统，包括初始化系统参数模块，私钥生成模块，代理密钥生成模块，代理签名生成模块、验证签名模块和提取代理签名者身份模块。采用本发明所述技术方案不但满足服务器强的不可否认性，并且具有保护代理签名者的特性，同时安全性基于RSA难题。

Description

一种代理签名的方法及系统

技术领域

本发明属于电子商务应用领域，特别涉及一种代理签名的方法及系统。

背景技术

随着我国信息化建设速度的不断加快，作为国家信息化基础设施的互联网日益完善，已形成支持电子商务应用的平台。所以电子商务的实现方法成为研究热点。

移动代理是一段自治的软件实体，在某种程度上，移动代理可以被看成是代理签名者代理原始签名者(需要代理的实体)产生签名。可以应用到电子商务领域，并且可以在互联网上不同的运行环境间迁移，跨平台运行。移动代理在没有人类直接干预的情况下可以完成大部分问题的求解任务，能够代表用户自主执行任务，因此可以利用移动代理自动处理商务过程的某些环节。例如，代理顾客在网上寻找和购买物品、代理一个客户与别的客户签定合同、代理商家出售物品等。

移动代理技术应用到电子商务领域，与Internet上传统交易比较，至少在以下方面拥有其特有的优势：提高商务处理的效率，易于使用，具有的移动性、协同性等较好地弥补互联网技术的不足，减轻网络的负担，使电子商务更好地适应网络环境的多样性和多态性，并进入智能化时代。

因为网络环境中分布式的实体是不可信的，并且有的时候还是敌意性的，所以用代理签名来实现移动代理的难处在于构造一个在分布式的网络环境下安全、可靠的代理签名方案，该方案应该能够抵抗授权权力的滥用。

一个好的移动代理方案应该具有：安全性上能够保护原始签名者和代理签名者的身份、服务器不可否认和易于实现。许多学者对此做出了很大的努力，其中，Sander提出了加密函数计算的概念，试图通过与加密函数结合来隐藏原始签名者的签名。接着Kotzanikolaous等人基于RSA难题的不可觉察的签名实现了基于加密函数计算的体制：原始签名者/顾客利用RSA签名产生购买物品需求信息的签名，并且构造一个经过加密处理的签名函数，然后将其交给代理签名者，代理签名者/服务器代理原始签名者产生对出价信息的签名。尽管Kotzanikolaous等人提出的不可觉察签名函数方案成功地隐藏了顾客的身份信息，但是不能提供交易的公平性，因为不可觉察签名体制可以代表顾客签定有效的协议，但服务器可以抵赖他产生的签名。

Kim等人应用代理签名构造出了移动代理方案，并且提出了一次性签名，保证签名只能一次性有效。Otomura等人推广了基本的代理签名体制并提出了多重代理签名体制，很多个顾客可以授权同一个移动代理，并且提出了一个高效的移动代理方案。但是上面两种方案都不能保证服务器的不可否认性。

B.Lee等人又提出了基于RSA难题和Schnorr签名的安全移动代理的概念及不指定代理签名者的代理签名的思想，在他们的体制中，顾客A首先产生一个购买物品的需求信息req_A并且产生对req_A的签名，然后将req_A和签名发送给移动代理。移动代理将在网络间迁移、广播出去并寻找合适的服务器。当一个合适的服务器B获得移动代理发布的信息后，产生一个和req_A相适应的出价信息bid_B。接着B产生一个代理签名密钥和一个对应消息req_A和bid_B的签名并交给移动代理。最后，当A从移动代理那里获得代理签名后，通过验证出价信息的一致性即： ${\mathrm{bid}}_B\stackrel{?}{\∈}\left\{{\mathrm{req}}_A\right\},$ 可以验证购买的物品是否是其真正需要的。因为基于RSA难题和Schnorr的签名具有相似性，所以这里简要介绍B.Lee等人基于Schnorr签名的移动代理方案，该方案具体如下：

I.参数设置

选择两个大素数p，q，并且q|p-1，g是Z_p ^*的q阶子群的生成元，假设A是一个顾客，公私钥对为(x_A，y_A)，其中x_A是顾客的私钥，y_A是顾客的公钥，顾客A的公、私钥满足 $y_A=g^{x_A}\mathrm{mod}p;$ B是一个服务机构，公私钥对为(x_B，y_B)，其中x_B是服务机构的私钥，y_B是服务机构的公钥。

ID_A和ID_B分别为A和B的身份。req_A表示A对要购买物品的描述，bid_B表示B对req_A的出价的承诺。

II.移动代理准备阶段

该阶段由顾客A完成，具体过程为：

A选择k_A∈_RZ_q ^*，计算 $r_A=g^{k_A},$ s_A＝x_Ah(req_A，r_A)＝k_A。发送(req_A，r_A，s_A)至移动代理。移动代理在网络上将服务请求迁移并广播出去。

III.代理执行阶段

该阶段由服务机构B完成，具体过程为：

B得到移动代理的请求后，将适合购买需求的物品出售给A。B首先检查 $g^{s_A}=y_A^{h({\mathrm{req}}_A,r_A)}{r}_A$ 是否成立，从而验证从移动代理获取的信息的有效性。然后，B产生代理密钥x_P＝s_A+s_B， $y_P=g^{x_P}=y_A^{h({\mathrm{req}}_A,r_A)}{r}_A{y}_B.$ B产生适合req_A的出价信息bid_B，并用代理密钥x_P产生对消息(ID_A，req_A，ID_B，bid_B，r_A)的Schnorr签名σ_P＝S(x_P，m)。将(ID_A，req_A，ID_B，bid_B，r_A，σ_P)发送给移动代理。移动代理将此作为交易存根并转交给A。

V.验证签名的正确性

当A从移动代理处接收到(ID_A，req_A，ID_B，bid_B，r_A，σ_P)，可以通过执行下面的算法验证交易的正确性。验证签名 $V(y_P,m,{\mathrm{\σ}}_P)\stackrel{?}{=}\mathrm{ture}$ 的正确性。这里 $y_P=y_A^{h({\mathrm{req}}_A,r_A)}{r}_A{y}_B$ 并且m＝(ID_A，req_A，ID_B，bid_B，r_A)。然后检查交易的一致性： ${\mathrm{bid}}_B\stackrel{?}{\∈}\left\{{\mathrm{req}}_A\right\}.$ 这个验证阶段可以由任何人来完成。

但是，上述方案没有给出验证req_A和bid_B是否一致的具体方案，所以可操作性差。

综上所述，现有技术的缺点如下：

(1)Kim等人提出的应用代理签名构造出的移动代理方案、Kotzanikolaous等人提出的基于RSA难题的不可觉察签名函数方案和Otomura等人提出的多重代理签名体制，都不能保证服务器的不可否认性；

(2)B.Lee等人基于RSA难题和Schnorr签名的移动代理方案，可操作性差，只是一个理想的模型，实际很难应用。

发明内容

为了解决现有技术中存在的可操作性差、实际中难以实现服务器不可否认性的缺点，本发明提供了一种代理签名的方法和系统。该方法和系统以基于身份的密码体制和具有消息恢复的签名体制为基本模块，所以用户的公钥信息不需要单独认证，并且移动代理的信息不需要单独的发送。

本发明所述方案具体如下：

本发明提供了一种代理签名的方法，所述方法包括以下步骤：

步骤A：通过初始化系统参数，生成系统的主密钥、公开钥和原始签名者的私钥；

步骤B：根据系统参数生成代理签名者的私钥；

步骤C：原始签名者生成代理签名者的代理密钥，并将所述代理密钥发送给代理签名者；

步骤D：代理签名者根据所述代理签名者的私钥和代理密钥生成对消息的代理签名；

步骤E：验证代理签名并获得所述消息。

所述步骤B具体包括以下步骤：

步骤B1：代理签名者选择秘密信息并将其加密，然后将加密后的秘密信息和代理签名者的身份信息发送给别名发布权威；

步骤B2：别名发布权威根据所述秘密信息和其身份信息生成代理签名者的注册信息和别名，并将所述注册信息存储在本地数据库，将所述别名发送给代理签名者；

步骤B3：代理签名者收到所述别名后生成代理签名者的私钥。

所述步骤C具体包括以下步骤：

步骤C1：原始签名者生成授权证书；

步骤C2：所述原始签名者根据原始签名者的私钥对所述授权证书进行签名，得到代理密钥，并将所述代理密钥发送给代理签名者；

步骤C3：代理签名者收到所述代理密钥后进行验证，如果验证通过，接受所述代理密钥；否则拒绝。

所述方法还包括以下步骤：

步骤F：验证者通过别名发布权威获取代理签名者的真实身份。

所述步骤F具体包括以下步骤：

步骤F1：验证者将对消息的代理签名提交给别名发布权威；

步骤F2：别名发布权威收到所述代理签名后对其正确性进行验证；核实所述代理签名为正确签名后，从本地数据库中提取该代理签名者的身份和加密信息，发送给验证者；

步骤F3：验证者接收所述代理签名者身份和加密信息后，根据所述代理签名者身份和加密信息验证所述别名发布权威的可靠性。

本发明还提供了一种代理签名的系统，所述系统包括：初始化系统参数模块、私钥生成模块、代理密钥生成模块、代理签名生成模块和验证签名模块；

所述初始化系统参数模块用于通过初始化系统参数，生成系统的主密钥、公开钥和原始签名者的私钥；

所述私钥生成模块用于根据系统参数生成代理签名者的私钥；

所述代理密钥生成模块用于原始签名者生成代理签名者的代理密钥，并将所述代理密钥发送给代理签名者；

所述代理签名生成模块用于代理签名者根据所述代理签名者的私钥和代理密钥生成对消息的代理签名；

所述验证签名模块用于验证代理签名并获得所述消息。

所述系统还包括提取代理签名者身份模块；

所述提取代理签名者身份模块用于验证者通过别名发布权威获取代理签名者的真实身份。

综上所述，通过本方案，可以解决服务器的不可否认性问题，具体体现在：

(1)代理签名者(或称为移动代理或服务器)和别名发布权威交互操作，得到经过别名发布权威认证的私钥(这个私钥是将来产生签名的私钥的一部分)；

(2)原始签名者(顾客)要购买物品时，授权代理签名者(或称为移动代理或服务器)一个代理密钥(这个密钥是将来产生签名的私钥的另一部分)；

(3)将(1)和(2)分别产生的私钥合成起来产生代理签名。

综合来说，将实际的服务器/代理签名者的身份隐藏起来(通过(1)里的与别名发布权威交互得到认证的私钥)，因为签名的验证需要用到别名发布权威和原始签名者(顾客)的公钥，所以保证了签名的不可伪造性。别名发布权威在里面扮演的角色为：隐藏了实际的代理签名者的身份，但是经过验证是有效的签名一定是可以被别名发布权威追踪出来的(因为对(1)里面的交互过程，别名发布权威记录了交互过程的一些具体的细节，即代理签名者的注册信息，可以用于追踪一个有效签名的实际签名者)，从而我们的方案能够隐藏代理签名者的身份的同时，在出现争议的时候代理签名者的身份又是可以被恢复出来，即满足不可否认性。

本发明的有益效果是：

本方案提出了基于身份的不指定代理签名者的代理签名体制，同时具有可恢复消息的特性，不但满足服务器强的不可否认性，并且具有保护代理签名者的特性，同时安全性基于RSA难题。

附图说明

图1是本发明所述代理签名方法流程图；

图2是本发明所述提取代理签名者身份流程图；

图3是本发明所述代理签名系统示意图。

具体实施方式

下面将参照附图和实施例对本发明进行进一步说明，但并不作为对本发明的限定。

本发明提出了一种代理签名的方法和系统，该方法和系统是基于身份的不指定代理签名者的代理签名，具有可恢复消息的特性，并用其构造移动代理方案。

在基于身份的签名体制中，签名者首先从可信的第三方即私钥生成机构PKG获得对应其身份的签名私钥。然后签名者用签名私钥产生签名。任何验证者只需利用签名产生者的身份作为用户的公钥来验证签名的正确性，不需要通过验证公钥证书的有效性来检查签名的正确性。

本发明所述方案具体如下：

参见图1，本发明所述代理签名的方法步骤如下：

步骤101：通过初始化系统参数，生成系统主密钥和公开钥：

选择N，满足N＝pq，其中p和q是p和q是两个大的安全素数，即p和q的乘积N大于1024个比特位，且p-1，q-1含有大的素因子，即p-1，q-1大于512个比特位的素因子。

选择一个随机数e，满足gcd(e，φ(N))＝1，其中φ(N)是N的欧拉函数；

选择一个整数d，满足ed＝1 modφ(N)；

选择三个哈希函数：h:{0，1}^*→Z_φ(N)，H:{0，1}^*→Z_N，H₁:{0，1}^*→{0，1}^k，其中*指任意长度，k指0，1序列的长度为k，k的长度取决于实际使用时选择的哈希函数的输出比特位长度，一般128或160；

私钥生成机构将所述d作为系统主密钥，将Pub＝(N，e，h，H，H₁)作为系统公开钥。

步骤102：输入用户u_i的身份ID_i，私钥生成机构采用FDH-RSA算法产生用户u_i的私钥

${\mathrm{sk}}_{{\mathrm{ID}}_i}=H{\left({\mathrm{ID}}_i\right)}^d\mathrm{mod}N$

这里的用户也称作原始签名者。

步骤103：代理签名者P选择秘密信息k_α∈Z_N，通过计算r_α＝k_α ^e mod N将秘密信息k_α加密，然后将代理签名者P的身份ID_P和加密信息r_α发送给别名发布权威T；该别名发布权威是一个权威机构，用于保证代理签名者的可靠性。

虽然代理签名者将秘密信息r_α发送给了别名发布权威，但是基于离散对数难题下，别名发布权威T不能根据接收到的r_α计算代理签名者P选取的秘密信息k_α，从而保证了协议的正确性和公平性。

步骤104：别名发布权威T收到代理签名者P的身份ID_P和加密信息r_α后，计算h_P＝h(r_α‖ID_P)，选择k_T∈Z_N，计算r_T＝k_T ^e mod N，r＝r_αr_T mod N和 $s_T^{\′}=H{\left({\mathrm{ID}}_T\right)}^{\mathrm{dh}\left(h_P\right|\left|r\right)}{k}_T\mathrm{mod}N,$ 生成代理签名者的注册信息(h_P，r_α，ID_P)和别名(s_T′，h_P，r_T)；其中ID_T是别名发布权威T的身份，h_P、r、r_T、s_T′是用于别名发布权威T记录注册的代理签名者的身份信息的。

步骤105：别名发布权威T将代理签名者的注册信息(h_P，r_α，ID_P)存储到本地数据库中，并且将代理签名者的别名(s_T′，h_P，r_T)发送给代理签名者P。

步骤106：代理签名者P收到(s_T′，h_P，r_T)以后，计算r＝r_αr_T mod N，和代理签名者的私钥s_T，s_T＝s_T′k_α mod N，并验证其是否满足下式

      s_T ^e＝H(ID_T)h(h_P‖r)r_αr_T＝h(ID_T)h(h_P‖r)r mod N，

即验证别名发布权威签名的正确性，如果不满足，说明别名发布权威没有按照协议的规定正确操作，将终止协议，代理签名者P可以要求别名发布权威重新执行交互算法。

步骤107：原始签名者O首先生成授权证书m_ω，所述授权证书中记录了签名权利的信息，例如：1999年1月1日至2000年1月1日委托该代理签名者所作签名有效。

步骤108：原始签名者O选择随机的k₁∈Z_N，计算r₁＝k₁ ^e mod N，并公开r₁。

步骤109：原始签名者O利用自己的私钥H(ID₁)^d mod N对所述授权证书m_ω进行签名，得到代理密钥 $s_1=H{\left({\mathrm{ID}}_1\right)}^d{k_1}^{H\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right)}\mathrm{mod}N,$ 并将其秘密发送给代理签名者P。

步骤110：当代理签名者P收到所述代理密钥s₁以后，通过原始签名者的身份信息ID₁和代理签名者的身份信息ID₂、公开信息r₁、授权证书，检查 $s_1=H{\left({\mathrm{ID}}_1\right)}^d{k_1}^{H\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right)}\mathrm{mod}N$ 是否成立，如果等式成立，代理签名者P接受原始签名者O的签名作为经过授权的代理密钥；否则拒绝。

步骤111：代理签名者P选择k₂∈Z_N，并通过下式计算(r₂，s₂)

              r₂＝s₁ ^-ek₂ ^-e(m‖H₁(m))mod N

              s₂＝s_T ^-1k₂ mod N

其中m指消息。

步骤112：生成对消息m的代理签名(r₁，r₂，s₂，m_ω，h_P，r)，这里代理签名者P将s_T保密，所以该代理签名(r₁，r₂，s₂，m_ω，h_P，r)是不指定代理签名者身份的，隐藏代理签名者身份，是从保护代理签名者的隐私考虑的，这样能更好地开展匿名的电子交易。

步骤113：当第三方对上述消息的代理签名产生怀疑时，通过验证等式

$r_{2}H\left({\mathrm{ID}}_1\right){r_1}^{h\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right|\left|D_2\right)}{s_2}^e{s_T}^e=r_{2}H\left({\mathrm{ID}}_1\right){r_1}^{h\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right|\left|D_2\right)}{s_2}^{e}H{\left({\mathrm{ID}}_T\right)}^{h\left(h_P\right|\left|r\right)}r\mathrm{mod}N$

是否成立来检验签名的正确性，这里的第三方泛指所有对所述代理签名有怀疑的人。如果成立，说明代理签名是正确的，接受该签名，并通过(m‖H₁(m))＝r₂s₁ ^ek₂ ^e获得消息m，即步骤114；如果不成立，则消息m的代理签名是错误，返回步骤111重新进行对消息的代理签名。

参见图2，在出现争端的时候，代理签名者的真实身份可以被别名发布权威追踪出来的，从而保证了交易的公平性，提取代理签名者身份的具体步骤为：

步骤201：验证者V将消息的代理签名(r₁，r₂，s₂，m_ω，h_P，r)提交给别名发布权威T。

步骤202：别名发布权威T检查等式

$r_{2}H\left({\mathrm{ID}}_1\right){r_1}^{h\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right|\left|D_2\right)}{s_2}^e{s_T}^e=r_{2}H\left({\mathrm{ID}}_1\right){r_1}^{h\left(r_1\right|\left|m_{\mathrm{\ω}}\right|\left|{\mathrm{ID}}_1\right|\left|D_2\right)}{s_2}^{e}H{\left({\mathrm{ID}}_T\right)}^{h\left(h_P\right|\left|r\right)}r\mathrm{mod}N$

是否成立。

步骤203：如果成立，消息m的代理签名(r₁，r₂，s₂，m_ω，h_P，r)正确，别名发布权威T从本地数据库中提取代理签名者的身份ID_P和加密信息r_α，并将其发送给验证者V。

步骤204：如果不成立，则消息m的代理签名(r₁，r₂，s₂，m_ω，h_P，r)错误，取消代理签名者身份。

步骤205：验证者V收到r_α和代理签名者的身份ID_P后，验证h_P＝h(r_α‖ID_P)判断所述别名发布权威T的可靠性，以防止他人发送恶意信息。

如图3所示，本发明还提供了一种代理签名系统，该系统包括：初始化系统参数模块、私钥生成模块、代理密钥生成模块、代理签名生成模块和验证代理签名模块；

该初始化系统参数模块用于通过初始化系统参数，生成系统的主密钥、公开钥和原始签名者的私钥；

该私钥生成模块用于根据系统参数生成代理签名者的私钥；

该代理密钥生成模块用于原始签名者生成代理签名者的代理密钥，并将所述代理密钥发送给代理签名者；

该代理签名生成模块用于代理签名者根据所述代理签名者的私钥和代理密钥生成对消息的代理签名；

该验证签名模块用于验证代理签名并获得所述消息。

另外，该系统还包括验证签名模块或提取代理签名者身份模块；

该提取代理签名者身份模块用于验证者通过别名发布权威获取代理签名者的真实身份。

以上只是本发明的优选实施方式进行了描述，本领域的技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。

Claims (9)

1.一种代理签名的方法，其特征在于，所述方法包括以下步骤：

步骤A：通过初始化系统参数，生成系统的主密钥、公开钥和原始签名者的私钥；

步骤B：根据系统参数生成代理签名者的私钥；

步骤C：原始签名者生成代理签名者的代理密钥，并将所述代理密钥发送给代理签名者；

步骤D：代理签名者根据所述代理签名者的私钥和代理密钥生成对消息的代理签名；

步骤E：验证代理签名并获得所述消息。

2.如权利要求1所述的一种代理签名的方法，其特征在于，所述步骤B具体包括以下步骤：

步骤B1：代理签名者选择秘密信息并将其加密，然后将加密后的秘密信息和代理签名者的身份信息发送给别名发布权威；

步骤B2：别名发布权威根据所述秘密信息和其身份信息生成代理签名者的注册信息和别名，并将所述注册信息存储在本地数据库，将所述别名发送给代理签名者；

步骤B3：代理签名者收到所述别名后生成代理签名者的私钥。

3.如权利要求1或2所述的一种代理签名的方法，其特征在于，所述步骤C具体包括以下步骤：

步骤C1：原始签名者生成授权证书；

步骤C2：所述原始签名者根据原始签名者的私钥对所述授权证书进行签名，得到代理密钥，并将所述代理密钥发送给代理签名者；

步骤C3：代理签名者收到所述代理密钥后进行验证，如果验证通过，接受所述代理密钥；否则拒绝。

4.如权利要求1或2所述的一种代理签名的方法，其特征在于，所述方法还包括以下步骤：

步骤F：验证者通过别名发布权威获取代理签名者的真实身份。

5.如权利要求3所述的一种代理签名的方法，其特征在于，所述方法还包括以下步骤：

步骤F：验证者通过别名发布权威获取代理签名者的真实身份。

6.如权利要求4所述的一种代理签名的方法，其特征在于，所述步骤F具体包括以下步骤：

步骤F1：验证者将对消息的代理签名提交给别名发布权威；

步骤F2：别名发布权威收到所述代理签名后对其正确性进行验证；核实所述代理签名为正确签名后，从本地数据库中提取该代理签名者的身份和加密信息，发送给验证者；

步骤F3：验证者接收所述代理签名者身份和加密信息后，根据所述代理签名者身份和加密信息验证所述别名发布权威的可靠性。

7.如权利要求5所述的一种代理签名的方法，其特征在于，所述步骤F具体包括以下步骤：

步骤F1：验证者将对消息的代理签名提交给别名发布权威；

步骤F2：别名发布权威收到所述代理签名后对其正确性进行验证；核实所述代理签名为正确签名后，从本地数据库中提取该代理签名者的身份和加密信息，发送给验证者；

步骤F3：验证者接收所述代理签名者身份和加密信息后，根据所述代理签名者身份和加密信息验证所述别名发布权威的可靠性。

8.一种代理签名的系统，其特征在于，所述系统包括：初始化系统参数模块、私钥生成模块、代理密钥生成模块、代理签名生成模块和验证签名模块；

所述初始化系统参数模块用于通过初始化系统参数，生成系统的主密钥、公开钥和原始签名者的私钥；

所述私钥生成模块用于根据系统参数生成代理签名者的私钥；

所述代理密钥生成模块用于原始签名者生成代理签名者的代理密钥，并将所述代理密钥发送给代理签名者；

所述代理签名生成模块用于代理签名者根据所述代理签名者的私钥和代理密钥生成对消息的代理签名；

所述验证签名模块用于验证代理签名并获得所述消息。

9、如权利要求8所述的一种代理签名的系统，其特征在于，所述系统还包括提取代理签名者身份模块；

所述提取代理签名者身份模块用于验证者通过别名发布权威获取代理签名者的真实身份。

Images