不可连接的前向安全可撤销匿名代理签名体制方案

　　代理签名是即原始签名人可以把签名的权利委托给一位或者多位代理签名人，由代理签名人代替他生成有效的签名。

　　但是代理签名有2个弊端，即前向安全和不可连接性，针对以上问题，本文提出一个不可连接的前向安全可撤销匿名代理签名体制。

　　1 模型和安全需求

　　在可撤销匿名代理签名体制中，原始签名人能够为被允许进行代理签名的代理签名人进行代理授权，代理签名人可以代表原始签名人对文件进行代理签名。匿名代理签名体制的过程：建立、代理授权、代理签名、验证和匿名撤销。在具有前向安全和不可连接性的可撤销匿名代理签名体制中增加另一个过程：演化。

　　一个具有前向安全和不可连接性的可撤销匿名代理签名应该具有正确性、强不可伪造性、匿名性、可揭示匿名性、防止滥用性、不可连接性、前向安全性、代理签名权可回收性等性质。

　　2 体制的设计分析

　　（1）原始签名人产生的签了名的对代理签名人进行授权的证书；（2）代理签名人用来在签名过程中实际产生代理签名。因此，任意安全的可撤销匿名代理签名体制的两个普通签名体制一定要满足不可伪造性。

　　前向安全的可撤销匿名代理签名体制有安全性、前向安全性。

　　由于原始签名人需要将权利进行必要的限制，有时需要收回权限。所以出现了有效时间制度。一种支持动态回收代理授权的实际可行方法是：当代理签名人的代理授权被回收时，原始签名人发放授权证书回收列表。当一个用户在某一时间段获得对一个文件的代理签名后，他首先要检查该签名者代理授权是否已被回收，然后再验证签名的正确性。该方法的关键在于设计一个能使用回收列表并仍具有匿名性和不可连接性的代理签名体制。回收列表应包含可验证的回收信息，但不能包含代理签名人身份的信息，以保证匿名性和不可连接性。基于以上的安全需求，本文提出的前向安全可撤销匿名代理签名体制的设计思想为：当代理签名人在任意时间段t用他的代理签名密钥签署一个消息时，基于Ct计算一个值，使它成为签名数据的一部分，而回收信息则是（Ci,i），其中Cti为代理授权证书中演化到时间段i的那部分信息，i表示回收在时间段i进行。在验证签名者以授权是否被回收时，使用的验证信息为签名时间段t签名所使用的Ct和基于Ct计算的值。如果在时间段t（i<t<T），验证者收到一个签名，在收到的签名数据中包含t时间段基于Ct计算的值，他首先查看回收列表CRL中的回收信息，当他获得（Ci,i）时，同样不知道是哪个代理签名人的代理授权被回收，这时只需利用在演化阶段使用的公开的单向函数对Ci作演化运算，得到Ct，然后用t时间段的基于Ct计算的值来验证（Ci,i）是否成立。这样，在签名的验证阶段，无需额外的签名计算和交互信息，不但计算量较小，而且效率较高。

　　3.7 收回代理签名权

　　如果原始签名人O希望在时间段j收回P的代理签名权，则只需在回收列表CRL里公布回收信息（cu,j,j）。假如验证者具备在时间段i的签名（u2,r1,r2,r3,m,i）（i>j），首先必须验证签名部分的正确性，然后查询回收列表CRL中是否存在（cu,j,j），若存在，则计算cu,j，并验证r1=cu2u,imod n是否成立，若成立，则表明原始签名人O对代理签名人P的代理签名授权已经被回收。

　　将前向安全概念引入匿名代理签名中，提出了一种不可连接的前向安全可撤销匿名代理签名体制，该体制将用户的真实身份信息隐藏在原始签名人颁发的授权证书中，代理签名人的身份除对原始签名人外是保密的，很好地实现了匿名代理签名，必要时原始签名人可以不需要可信中心而揭示代理签名人的真实身份。真正实现了匿名代理签名的不可连接性，即代理签名人的某个代理签名的匿名性被撤销，但并不影响其余的代理签名的匿名性。