CN103825882A - 可撤销代理签名强不可伪装性的实现方法 - Google Patents

Abstract

本发明公开了一种可撤销代理签名强不可伪装性的实现方法，用于解决现有可撤销代理签名方法安全性差的技术问题。技术方案是包括原始签名者的授权过程，授权验证过程，代理签名生成过程，签名有效性验证过程以及代理撤销过程。本发明用相同的方式生成原始签名者对代理签名者的授权，通过引入抗碰撞散列函数生成代理签名，避免了攻击者在没有用户私钥的情况下被伪造签名，从而实现了可撤销代理签名的强不可伪装性，并且证明该代理签名在标准模型下提高了可撤销代理签名的安全性。

Description

可撤销代理签名强不可伪装性的实现方法

技术领域

本发明涉及一种可撤销代理签名方法，特别是涉及一种可撤销代理签名强不可伪装性的实现方法。

背景技术

代理签名常被用来实现从一方到另一方签名权利的传递。随着电子商务的发展，代理签名技术的用途已越来越广泛。代理签名过程包含三个实体：原始签名者、代理签名者和签名验证者。原始签名者因某些原因不能亲自签名，将签名权利传递给代理签名者，由代理签名者代为签名，最后由签名验证者验证代理签名和授权。

文献“Secure proxy signature scheme with fast revocation in the standard model，Journal of China Universities of Posts and Telecommunications,2009,16(4):116-124”提出了标准模型下授权可撤销的代理签名方法。该方法第一次利用安全中介SEM(SecurityMediator)实现标准模型下代理签名的授权撤销。该方法的主要步骤是：第一，建立并公开系统公共参数，同时生成原始签名者和代理签名者的公私钥；第二，原始签名者生成代理签名者的部分授权私钥和安全中介SEM的部分授权私钥，并分别发送给代理签名者和安全中介SEM；第三，安全中介SEM生成部分代理签名，然后代理签名者对部分代理签名和待签名消息加密生成代理签名；第四，签名验证者验证授权和代理签名的有效性；第五，若需要，原始签名者对代理签名者授权撤销。该方法解决了标准模型下代理签名的授权撤销问题，但是还存在一些缺陷。在这个方法中，攻击者很容易在没有私钥的情况下获得待签名消息的有效签名，也就是说这个方法不具有强不可伪装性，不能抵抗自适应选择消息攻击和自适应选择委任状攻击。

发明内容

为了克服现有可撤销代理签名方法安全性差的不足，本发明提供一种可撤销代理签名强不可伪装性的实现方法。该方法包括原始签名者的授权过程，授权验证过程，代理签名生成过程，签名有效性验证过程以及代理撤销过程。本发明用相同的方式生成原始签名者对代理签名者的授权，通过引入抗碰撞散列函数生成代理签名，避免了攻击者在没有用户私钥的情况下被伪造签名，从而实现可撤销代理签名的强不可伪装性，并且证明该代理签名在标准模型下可以提高安全性。

本发明解决其技术问题所采用的技术方案是：一种可撤销代理签名强不可伪装性的实现方法，其特点是包括以下步骤：

(1)原始签名者的授权过程。

1a)原始签名者A随机选择整数x_b,x_s∈Z_p，使得x_b+x_s=x_A，同时随机选择两个整数r_b，r_s∈Z_p，并计算整数r_A=r_b+r_s和代理签名者B的身份其中x_A=sk_Ax，sk_Ax为原始签名者A的私钥sk_A的第一部分，Z_p为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G₁的生成元。

1b)原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S。σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g^{x_b{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_b},g^{r_b})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_s},g^{r_s})$

其中，y_A=sk_Ay，sk_Ay为原始签名者A的私钥sk_A的第二部分，u′和u₁,u₂,…,u_n是密钥生成中心KGC选取的p阶加法循环群G₁中的元素，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分。

1c)原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A。

(2)授权验证过程。

代理签名者B和安全中介SEM共同验证ω,σ_B,σ_S和R_A的有效性。首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S。代理签名者B与安全中介SEM验证等式

是否成立。若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权。若成立，代理签名者B代替原始签名者A进行签名，执行代理签名生成过程。

其中，pk_Ax和pk_Ay分别为原始签名者A的公钥pk_A的第一部分和第二部分，e为密钥生成中心KGC选取的G₁和G₂上的双线性变换，G₁为密钥生成中心KGC选取的p阶加法循环群，G₂为密钥生成中心KGC选取的p阶乘法循环群。

(3)代理签名生成过程。

3a)代理签名者B向安全中介SEM发送ω，m，R_A和R_B，安全中介SEM首先检查ω，m，R_A和R_B是否与步骤1c)和步骤(2)收到的ω，m，R_A和R_B完全相同。若不完全相同，安全中介SEM不为代理签名者B提供部分代理签名。若完全相同，安全中介SEM需要确认下列两个条件：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中。若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名。否则，安全中介SEM不为代理签名者B提供部分代理签名。

其中，m是待签名消息。

3b)安全中介SEM协助代理签名者B产生代理签名：首先，安全中介SEM随机选取两个整数r₁,k₁∈Z_p，并计算整数

生成部分代理签名σ_PS如下：

${\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})=(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{h_1{k}_1},g^{r_1},g^{h_1{k}_1})$

同时，安全中介SEM向代理签名者B发送部分代理签名σ_PS。

其中，v是由密钥生成中心KGC选取的p阶加法循环群G₁中的元素，H为定义在{0,1}^*×G₁×G₂→Z_p上的抗碰撞散列函数，σ_PS1、σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分，“||”表示链接操作。

3c)代理签名者B收到安全中介SEM发送的部分代理签名σ_PS后，首先检查下式是否成立

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_{\mathrm{PS}2})e(m\·v,{\mathrm{\σ}}_{\mathrm{PS}3})$

若不成立，则代理签名者B不生成代理签名。

若成立，则代理签名者B生成代理签名：首先随机选择两个整数r₂,k₂∈Z_p，并计算整数

最后，生成代理签名如下：

$\mathrm{\σ}=({\mathrm{\σ}}_1,{\mathrm{\σ}}_2,{\mathrm{\σ}}_3)=(g^{x_A{y}_B}{g}^{x_B{y}_B}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{\tilde{r}}{(m\·v)}^{\tilde{h}},g^{r_1+r_2},g^{\tilde{h}})$

其中， $\tilde{r}=r_1+r_2+r_b+r_s$ 和 $\tilde{h}=h_1{k}_1+h_2{k}_2,$ x_B=sk_Bx，y_B=sk_By,sk_Bx和sk_By分别为代理签名者B的私钥sk_B的第一部分和第二部分，σ₁、σ₂和σ₃分别为代理签名σ的第一部分、第二部分和第三部分。

代理签名为σ=(σ₁,σ₂,σ₃)。代理签名者B向签名验证者C发送σ，ω和m。

(4)签名有效性验证过程。

签名验证者C通过验证下式是否成立来验证代理签名σ的有效性：

$e({\mathrm{\σ}}_1,g)=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e({\mathrm{pk}}_{\mathrm{Bx}},{\mathrm{pk}}_{\mathrm{By}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_2)e(m\·v,{\mathrm{\σ}}_3)$

如果成立，则代理签名σ是有效的，否则，代理签名σ无效。

其中，pk_Bx和pk_By分别为代理签名者B的公钥pk_B的第一部分和第二部分。

(5)代理撤销过程。

当原始签名者A需要对代理签名者B的授权进行撤销时，原始签名者A向安全中介SEM发送ω和R_A，并要求安全中介SEM将ω和R_A放入公开撤销列表。

本发明的有益效果是：该方法包括原始签名者的授权过程，授权验证过程，代理签名生成过程，签名有效性验证过程以及代理撤销过程。本发明用相同的方式生成原始签名者对代理签名者的授权，通过引入抗碰撞散列函数生成代理签名，避免了攻击者在没有用户私钥的情况下被伪造签名，从而实现了可撤销代理签名的强不可伪装性，并且证明该代理签名在标准模型下提高了可撤销代理签名的安全性。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

本发明可撤销代理签名强不可伪装性的实现方法具体步骤如下：

名词解释：

SEM：安全中介，Security Mediator；

KGC：密钥生成中心，Key Generation Center，负责生成原始签名者A、代理签名者B的公钥；

A：原始签名者；

B：代理签名者；

C：签名验证者；

sk_A：原始签名者A的私钥，包括sk_Ax和sk_Ay两个部分；

sk_B：代理签名者B的私钥，包括sk_Bx和sk_By两个部分；

pk_A：原始签名者A的公钥,包括pk_Ax和pk_Ay两个部分；

pk_B：代理签名者B的公钥,包括pk_Bx和pk_By两个部分；

π：系统公共参数；

l：密钥生成中心KGC选取的系统安全参数；

p：密钥生成中心KGC选取的大素数，满足p>2^l；

Z_p：不超过大素数p的正整数集合；

G₁：密钥生成中心KGC选取的p阶加法循环群；

G₂：密钥生成中心KGC选取的p阶乘法循环群；

e：密钥生成中心KGC选取的G₁和G₂上的双线性变换，即e:G₁×G₁→G₂；

g：p阶加法循环群G₁的生成元，由密钥生成中心KGC选取；

H：抗碰撞散列函数，本发明中的H为{0,1}^*×G₁×G₂→Z_p上定义的抗碰撞散列函数；

m：待签名消息，长度为n，表示为m=(m₁,m₂,…,m_n)；

ω：委任状，包括有效代理期限，待签名消息类型，原始签名者A和代理签名者B的身份等信息，表示为ω={ω₁,ω₂,…,ω_n}；

W：委任状ω中元素不为0的下标集合，即W={i|ω_i=1,i=1,2,…,n}；

u′：密钥生成中心KGC随机选取的p阶加法循环群G₁中的元素；

v：密钥生成中心KGC随机选取的p阶加法循环群G₁中的元素；

u：由u₁，u₂，…，u_n组成的向量，即u=(u₁,u₂,…,u_n)，u_i是由密钥生成中心KGC随机选取的p阶加法循环群G₁中的元素，其中i={1,2,…,n}；

R_A：原始签名者A赋予代理签名者B的身份信息；

R_B：p阶乘法循环群G₂中的元素，由代理签名者B计算e(σ_B1,g)得到；

R_S：p阶乘法循环群G₂中的元素，由安全中介SEM计算e(σ_S1,g)得到；

σ_B：代理签名者B的部分授权密钥，由原始签名者A产生，包含σ_B1和σ_B2两个部分；

σ_s：安全中介SEM的部分授权密钥，由原始签名者A产生，包含σ_S1和σ_S2两个部分；

σ_PS：由安全中介SEM生成的部分代理签名，包含σ_PS1，σ_PS2和σ_PS3三个部分；

σ：代理签名者B生成的代理签名，包含σ₁，σ₂和σ₃三个部分；

m·v：待签名消息m与整数v的乘积；

||：链接操作，例如：“m||ω”表示m的比特串的尾部和ω的比特串的首部链接起来构成的新的比特串。

步骤1、系统建立过程。

密钥生成中心KGC根据安全参数l选取一个大素数p，其中p>2^l，构造p阶加法循环群G₁和p阶乘法循环群G₂，构造一个双线性映射e:G₁×G₁→G₂，从p阶加法循环群G₁中选取生成元g，从p阶加法循环群G₁中选取u′,v,u₁,u₂,…,u_n，构造向量u=(u₁,u₂,…,u_n)，n为待签名消息m的长度，构造定义在{0,1}^*×G₁×G₂→Z_p上的抗碰撞散列函数H，其中Z_p为不超过大素数p的正整数集合。

密钥生成中心KGC构造并公开系统公共参数π，π＝(G₁,G₂,e,p,g,u′,v,u,H)。

步骤2、密钥提取过程。

原始签名者A随机选择两个整数x_A，y_A∈Z_p，构成私钥sk_A=(sk_Ax,sk_Ay)=(x_A,y_A)，代理签名者B随机选择两个整数x_B，y_B∈Z_p，构成私钥sk_B=(sk_Bx,sk_By)=(x_B,y_B)，并向密钥生成中心KGC提交私钥信息。密钥生成中心KGC根据系统公共参数π和原始签名者A、代理签名者B的私钥分别计算原始签名者A的公钥 ${\mathrm{pk}}_A=({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})=(g^{x_A},g^{y_A}),$ 和代理签名者B的公钥 ${\mathrm{pk}}_B=({\mathrm{pk}}_{\mathrm{Bx}},{\mathrm{pk}}_{\mathrm{By}})=(g^{x_B},g^{y_B}),$ 并公开原始签名者A和代理签名者B的公钥。

其中，sk_Ax和sk_Ay分别为原始签名者A的私钥sk_A的第一部分和第二部分，sk_Bx和sk_By分别为代理签名者B的私钥sk_B的第一部分和第二部分，pk_Ax和pk_Ay分别为原始签名者A的公钥pk_A的第一部分和第二部分，pk_Bx和pk_By分别为代理签名者B的公钥pk_B的第一部分和第二部分。

步骤3、原始签名者的授权过程。

原始签名者A随机选择整数x_b,x_s∈Z_p，使得x_b+x_s=x_A，同时随机选择两个整数r_b，r_s∈Z_p，并计算整数r_A=r_b+r_s和代理签名者B的身份

原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S。σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g^{x_b{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_b},g^{r_b})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_s},g^{r_s})$

其中，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分。

原始签名者A向代理签名者B发送ω，σ_B和R_A，同时向安全中介SEM发送ω，σ_S和R_A。

步骤4、授权验证过程。

为了验证授权的有效性，代理签名者B首先计算R_B=e(σ_B1,g)并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S。代理签名者B与安全中介SEM验证等式 $R_B{R}_s=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A).$ 若不成立，代理签名者B和安全中介SEM均要求原始签名者A重新发送授权。若成立，则代理签名者B代替原始签名者A签名，执行代理签名生成过程。

步骤5、代理签名生成过程。

代理签名者B向安全中介SEM发送ω,m,R_A和R_B，安全中介SEM检查ω,m,R_A和R_B是否与步骤3和步骤4收到的ω,m,R_A和R_B完全相同。如果不完全相同，安全中介SEM不向代理签名者B提供部分代理签名。如果完全相同，安全中介SEM检验下面的两个条件是否成立：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中。若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名。否则，安全中介SEM不会提供任何部分代理签名。

首先，安全中介SEM随机选取两个整数r₁,k₁∈Z_p，计算

生成部分代理签名σ_PS如下：

$\begin{array}{c}{\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})\\ =({\mathrm{\σ}}_{S1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_1}{(m\·v)}^{h_1{k}_1},g^{r_1},g^{h_1{k}_1})\\ =(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_1+r_s}{(m\·v)}^{h_1{k}_1},g^{r_1},g^{h_1{k}_1})\end{array}$

同时，安全中介SEM向代理签名者B发送部分代理签名σ_PS。

其中，σ_PS1,σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分，第二部分和第三部分，m?v为待签名消息m与整数v的乘积，“||”表示链接操作。

代理签名者B收到安全中介SEM发送的部分代理签名σ_PS后，首先通过验证下式是否成立来验证部分代理签名σ_PS的有效性：

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_{\mathrm{PS}2})e(m\·v,{\mathrm{\σ}}_{\mathrm{PS}3})$

若上述等式不成立，代理签名者B不生成代理签名。

若成立，则代理签名者B生成代理签名，首先随机选择两个整数r₂,k₂∈Z_p，并计算 $h_2=H\left(m\right||\mathrm{\ω},{\mathrm{\σ}}_{B2},g^{k_2}),$ 生成代理签名σ：

$\begin{array}{c}\mathrm{\σ}=({\mathrm{\σ}}_1,{\mathrm{\σ}}_2,{\mathrm{\σ}}_3)\\ =({\mathrm{\σ}}_{\mathrm{PS}1}{\mathrm{\σ}}_{B1}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_2}{(m\·v)}^{h_2\·k_2}{g}^{x_B\·y_B},{\mathrm{\σ}}_{\mathrm{PS}2}{g}^{r_2},{\mathrm{\σ}}_{\mathrm{PS}3}{g}^{h_2\·k_2})\\ =(g^{x_A{y}_A}{g}^{x_B{y}_B}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_1+r_2+r_b+r_s}{(m\·v)}^{h_1{k}_1+h_2{k}_2},g^{r_1+r_2},g^{h_1{k}_1+h_2{k}_2})\\ =(g^{x_A{y}_A}{g}^{x_B{y}_B}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{\tilde{r}}{(m\·v)}^{\tilde{h}},g^{r_1+r_2},g^{\tilde{h}})\end{array}$

其中， $\tilde{r}=r_1+r_2+r_b+r_s$ $\tilde{h}=h_1{k}_1+h_2{k}_2,$ σ₁,σ₂和σ₃分别为代理签名σ的第一部分，第二部分和第三部分。

因此，代理签名为σ=(σ₁,σ₂,σ₃)。代理签名者B向签名验证者C发送σ，ω和m。

步骤6、签名有效性验证过程。

代理签名者B生成代理签名σ之后，签名验证者C通过验证下式是否成立来验证代理签名σ的有效性。

$e({\mathrm{\σ}}_1,g)=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e({\mathrm{pk}}_{\mathrm{Bx}},{\mathrm{pk}}_{\mathrm{By}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_2)e(m\·v,{\mathrm{\σ}}_3)$

步骤7、代理撤销过程。

若原始签名者A因为某些原因需在给定有效代理授权期限之前撤销对代理签名者B的授权，原始签名者A只需通知安全中介SEM将与代理签名者B身份对应的ω和R_A放在公开撤销列表中。一旦代理签名者B为待签名消息m签名时，安全中介SEM将首先检查有效代理期限以及检查对应的ω和R_A是否在公开撤销列表中。若有效代理期限没过期并且ω和R_A不在公开撤销列表，安全中介SEM才会为代理签名者B提供部分代理签名。一旦安全中介SEM发现有效代理期限过期，公开撤销列表中对应的ω和R_A则被去掉，以免增加公开撤销列表的长度。

本发明与现有技术相比具有如下优点：

1、本发明是第一个既实现强不可伪装性又可对代理签名者B撤销授权的标准模型下的代理签名，并且证明该发明在标准模型下的安全性，安全性与其它相关方法相比较高。

2、本发明通过使用抗碰撞散列函数改变代理签名的构造方式，从而避免在普通代理签名中，容易被攻击者在没有用户私钥的情况下生成有效签名的危险，可抵抗自适应选择消息攻击和自适应选择委任状攻击，从而实现强的不可伪装性。

3、本发明的系统公共参数较其它标准模型的代理签名少，所以存储需求较少，另外，本发明实现了较多的功能，但是计算复杂度较其他方法并没有明显的增加。

Claims (1)

1.一种可撤销代理签名强不可伪装性的实现方法，其特征在于包括以下步骤：

(1)原始签名者的授权过程；

1a)原始签名者A随机选择整数x_b,x_s∈Z_p，使得x_b+x_s=x_A，同时随机选择两个整数r_b，r_s∈Z_p，并计算整数r_A=r_b+r_s和代理签名者B的身份

其中x_A=sk_Ax，sk_Ax为原始签名者A的私钥sk_A的第一部分，Z_p为不超过大素数p的正整数集合，g为由密钥生成中心KGC选取的p阶加法循环群G₁的生成元；

1b)原始签名者A计算代理签名者B的部分授权密钥σ_B和安全中介SEM的部分授权密钥σ_S，然后，向代理签名者B发送代理签名者B的部分授权密钥σ_B，同时向安全中介SEM发送安全中介SEM的部分授权私钥σ_S；σ_B和σ_S的计算方法如下：

${\mathrm{\σ}}_B=({\mathrm{\σ}}_{B1},{\mathrm{\σ}}_{B2})=(g^{x_b{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_b},g^{r_b})$

${\mathrm{\σ}}_S=({\mathrm{\σ}}_{S1},{\mathrm{\σ}}_{S2})=(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{r_s},g^{r_s})$

其中，y_A=sk_Ay，sk_Ay为原始签名者A的私钥sk_A的第二部分，u′和u₁,u₂,…,u_n是密钥生成中心KGC选取的p阶加法循环群G₁中的元素，W={i|ω_i=1,i=1,2,…,n}为委任状ω中元素不为0的下标集合，n为待签名消息m的长度，σ_B1和σ_B2分别为代理签名者B的部分授权密钥σ_B的第一部分和第二部分，σ_S1和σ_S2分别为安全中介SEM的部分授权密钥σ_S的第一部分和第二部分；

1c)原始签名者A向代理签名者B发送ω,σ_B和R_A，同时向安全中介SEM发送ω,σ_S和R_A；

(2)授权验证过程；

代理签名者B和安全中介SEM共同验证ω,σ_B,σ_S和R_A的有效性；首先代理签名者B计算R_B=e(σ_B1,g)，并向安全中介SEM发送ω和R_B，同时安全中介SEM计算R_S=e(σ_S1,g)，并向代理签名者B发送ω和R_S；代理签名者B与安全中介SEM验证等式

是否成立；若不成立，代理签名者B与安全中介SEM要求原始签名者A重新发送授权；若成立，代理签名者B代替原始签名者A进行签名，执行代理签名生成过程；

其中，pk_Ax和pk_Ay分别为原始签名者A的公钥pk_A的第一部分和第二部分，e为密钥生成中心KGC选取的G₁和G₂上的双线性变换，G₁为密钥生成中心KGC选取的p阶加法循环群，G₂为密钥生成中心KGC选取的p阶乘法循环群；

(3)代理签名生成过程；

3a)代理签名者B向安全中介SEM发送ω，m，R_A和R_B，安全中介SEM首先检查ω，m，R_A和R_B是否与步骤1c)和步骤(2)收到的ω，m，R_A和R_B完全相同；若不完全相同，安全中介SEM不为代理签名者B提供部分代理签名；若完全相同，安全中介SEM需要确认下列两个条件：第一，授权是否在委任状ω规定的有效代理期限内；第二，ω和R_A是否在公开撤销列表中；若授权在委任状ω规定的有效代理期限内且ω和R_A均不在公开撤销列表中，安全中介SEM向代理签名者B提供部分代理签名；否则，安全中介SEM不为代理签名者B提供部分代理签名；

其中，m是待签名消息；

3b)安全中介SEM协助代理签名者B产生代理签名：首先，安全中介SEM随机选取两个整数r₁,k₁∈Z_p，并计算整数生成部分代理签名σ_PS如下：

${\mathrm{\σ}}_{\mathrm{PS}}=({\mathrm{\σ}}_{\mathrm{PS}1},{\mathrm{\σ}}_{\mathrm{PS}2},{\mathrm{\σ}}_{\mathrm{PS}3})=(g^{x_s{y}_A}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{h_1{k}_1},g^{r_1},g^{h_1{k}_1})$

同时，安全中介SEM向代理签名者B发送部分代理签名σ_PS；

其中，v是由密钥生成中心KGC选取的p阶加法循环群G₁中的元素，H为定义在{0,1}^*×G₁×G₂→Z_p上的抗碰撞散列函数，σ_PS1、σ_PS2和σ_PS3分别为部分代理签名σ_PS的第一部分、第二部分和第三部分，“||”表示链接操作；

3c)代理签名者B收到安全中介SEM发送的部分代理签名σ_PS后，首先检查下式是否成立

$e({\mathrm{\σ}}_{\mathrm{PS}1},g)R_B=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_{\mathrm{PS}2})e(m\·v,{\mathrm{\σ}}_{\mathrm{PS}3})$

若不成立，则代理签名者B不生成代理签名；

若成立，则代理签名者B生成代理签名：首先随机选择两个整数r₂,k₂∈Z_p，并计算整数 $h_2=H\left(m\right||\mathrm{\ω},{\mathrm{\σ}}_{B2},g^{k_2})$ 最后，生成代理签名如下：

$\mathrm{\σ}=({\mathrm{\σ}}_1,{\mathrm{\σ}}_2,{\mathrm{\σ}}_3)=(g^{x_A{y}_B}{g}^{x_B{y}_B}{\left(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i\right)}^{\tilde{r}}{(m\·v)}^{\tilde{h}},g^{r_1+r_2},g^{\tilde{h}})$

其中， $\tilde{r}=r_1+r_2+r_b+r_s$ 和 $\tilde{h}=h_1{k}_1+h_2{k}_2,$ x_B=sk_Bx，y_B=sk_By,sk_Bx和sk_By分别为代理签名者B的私钥sk_B的第一部分和第二部分，σ₁、σ₂和σ₃分别为代理签名σ的第一部分、第二部分和第三部分；

代理签名为σ=(σ₁,σ₂,σ₃)；代理签名者B向签名验证者C发送σ，ω和m；

(4)签名有效性验证过程；

签名验证者C通过验证下式是否成立来验证代理签名σ的有效性：

$e({\mathrm{\σ}}_1,g)=e({\mathrm{pk}}_{\mathrm{Ax}},{\mathrm{pk}}_{\mathrm{Ay}})e({\mathrm{pk}}_{\mathrm{Bx}},{\mathrm{pk}}_{\mathrm{By}})e(u^{\′}\underset{i\∈W}{\mathrm{\Π}}{u}_i,R_A{\mathrm{\σ}}_2)e(m\·v,{\mathrm{\σ}}_3)$

如果成立，则代理签名σ是有效的，否则，代理签名σ无效；

其中，pk_Bx和pk_By分别为代理签名者B的公钥pk_B的第一部分和第二部分；

(5)代理撤销过程；

当原始签名者A需要对代理签名者B的授权进行撤销时，原始签名者A向安全中介SEM发送ω和R_A，并要求安全中介SEM将ω和R_A放入公开撤销列表。