0 引言

1996年，Mambo等^[1-2]针对现实生活中数字签名权力的委托问题提出了代理签名的概念.代理签名可以看作是数字签名的扩展形式.RSA算法^[3]、Elgamal算法^[4]、Schnorr算法^[5]是常用的可用于数字签名的算法，这些算法主要依赖于离散对数问题或大数因子分解问题.1985年，Koblitz和Miller^[6-7]分别提出将椭圆曲线应用到公钥密码系统.椭圆曲线公钥密码体制依赖的椭圆曲线离散对数问题相较于前两类难题，更加难以求解.2003年白国强等^[8]设计出基于椭圆曲线的代理数字签名；2005年张宁等^[9]指出文献[8]中原始签名者也能生成有效的代理签名，对此进行了改进；2007年高胜^[10]对文献[9]进一步改进，提高了方案效率.此外，其他基于椭圆曲线的代理签名的研究也在进行.2004年纪家慧等^[11]改进了ECDSA，并提出新的代理签名体制；2007年左为平等^[12]指出文献[11]存在原始签名者能伪造代理签名者的普通签名的情况，并提出避免此攻击的方案；2010年胡兰兰等^[13]指出文献[12]中原始签名者仍可伪造代理签名，并进行改进；2017年郭青霄等^[14]基于SM2算法^[15]提出一种新的代理签名方案.一般来说，不采用授权书的代理签名方案存在一些固有的局限性^[16].文献[14]中的方案也是如此，其安全性要由证书来保证，如果没有公开证书将代理签名者的身份和授权信息绑定，则方案不满足可识别性和不可否认性.

本文借鉴文献[17]中的授权信息的构造方法，在文献[14]方案的基础上加以改进，改进的方案将原方案中证书的信息加入到授权信息生成过程中，使得验证代理签名的同时也是在验证证书中的内容，从而无须额外生成和验证证书，提高效率的同时保证了代理签名的安全性.

1 代理签名

代理签名是指在代理签名方案中，被指定的代理签名者可以代表原始签名者生成有效的签名.

文献[1-2]指出代理签名应满足可验证性、可区分性、不可伪造性、可识别性和不可否认性等性质.之后，文献[18-19]在一定程度上加强了不可伪造性、可识别性、不可否认性的定义.

可以认为代理签名分为4大类：完全代理签名、部分代理签名、具有证书的代理签名^[1-2]以及具有证书的部分代理签名^[17].本文仅对后3类进行介绍.

部分代理签名中的代理签名密钥是由原始签名者的私钥计算生成的.代理签名者使用代理签名密钥进行签名，验证者仍使用原始签名者公钥进行验证，以确保签名消息得到了原始签名者的认可.

具有证书的代理签名方案需要借助证书来实现签名权力的委托.原始签名者需要使用私钥对同意授权某人的文件进行签名，生成授权证书.之后，代理签名者使用自己的私钥或原始签名者为其生成的代理签名密钥进行签名.验证者不仅要对代理签名进行验证，还要对证书进行验证.

具有证书的部分代理签名是部分代理签名和具有证书的代理签名的结合.原始签名者首先对授权文件签名，但不同于具有证书的方案，代理签名者会结合授权文件的签名和私有信息计算代理签名密钥，利用此密钥对消息签名.这样，代理密钥还是由原始签名者私钥计算出来的，验证者仍使用原始签名者公钥验证代理签名，但无需再验证授权文件的签名，既保证了安全性，又提高了效率.

文献[14]的方案虽然是部分代理签名，但可识别性和不可否认性仍需证书的保证，而证书的生成和验证会影响方案的效率，因此，本文将设计一种更加高效的具有证书的部分代理签名方案.

2 文献[14]的方案 2.1 初始化参数

选取SM2公钥密码算法^[15]中推荐的椭圆曲线参数，G是椭圆曲线中阶为n的基点.假设Alice是原始签名者，私钥为${d_{\rm{A}}} \in \left[ {1, n - 2} \right], $公钥为${P_{\rm{A}}} = {d_{\rm{A}}}G, $私钥保密，公钥公开；假设Bob是代理签名者，代表原始签名者Alice签名；验证者Carol对生成的代理签名进行验证.

2.2 代理授权

首先，Bob进行如下操作.

B1：用随机数生成器生成随机数${k_b} \in \left[ {1, n - 1} \right], $计算椭圆曲线上的点$ {G_b} = {k_b}G$；

B2：Bob将G_b发送给Alice.

Alice收到来自Bob的信息后，进行下面的步骤：

A1：用随机数生成器生成随机数$ {k_a} \in \left[ {1, n - 1} \right], $计算椭圆曲线上的点${G_a} = {k_a}G$；

A2：计算椭圆曲线上的另一个点${G_{ab}} = ({x_1}, {y_1}) = {k_a}{G_b}; $

A3：计算$ {r_{ab}} = {x_1}{\rm{mod}}\;n, $若r_ab=0则返回步骤A1；

A4：计算${s_{\rm{A}}} = k_a^{ - 1}{r_{ab}}{d_{\rm{A}}}{\rm{mod}}\;n$若s_A=0则返回步骤A1；

A5：Alice将(G_a, G_ab, s_A)作为授权信息发送给Bob.

其中：G_a和G_ab需要公开并在证书中与Bob的身份绑定，而s_A需秘密发送给Bob.

2.3 授权验证及代理密钥的生成

Bob收到授权信息后，对授权信息进行验证，验证过程如下.

B3：计算椭圆曲线上另一点G′_ab=(x₂, y₂)=k_bG_a；

B4：计算r′_ab=x₂mod n，若s_AG_a≠r′_abP_A，拒绝委托；否则，接受委托并执行步骤B5；

B5：计算d_P=s_Ak_b^-1mod n，d_P即为代理签名密钥.

2.4 代理签名的生成

当Bob代替Alice对消息M进行签名时，Bob使用的签名密钥是d_P，签名过程如下.

B6：置$\bar M = {Z_{\rm{A}}}\left\| M \right.$，其中Z_A按照SM2公钥密码算法标准^[15]由用户身份和曲线参数的哈希得到；

B7：计算$ e = H\left( {\bar M} \right)$；

B8：用随机数生成器生成随机数k∈[1, n-1]，计算(x₃, y₃)=kG_ab；

B9：令r=(e+x₃)mod n，若r=0或r+k=n则返回步骤B8；

B10：计算代理签名s=((1+d_P)^-1(k-rd_P))mod n，若s=0则返回步骤B8；

B11：此时消息M的代理签名是(G_a, G_ab, r, s).

2.5 代理签名的验证

为了验证收到的消息M′及其代理签名(G_a, G_ab, r′, s′)，验证者Carol进行以下验证步骤.

C1：检验r′∈[1, n-1]和s′∈[1, n-1]是否成立，若不成立则验证不通过；

C2：置$\bar M\prime = {Z_{\rm{A}}}\left\| {M\prime } \right.$，计算$e\prime = H\left( {\overline {M\prime } } \right)$；

C3：计算r_ab=x₁mod n；

C4：计算t=(r′+s′)mod n，若t=0，则验证不通过；

C5：计算椭圆曲线点X=(x′₃, y′₃)=s′G_ab+tr_abP_A，计算R=(e′+x′₃)mod n，当且仅当R=r′时接受签名；否则拒绝签名.

2.6 方案存在的不足

文献[14]方案的某些性质依赖授权证书的存在.若没有证书，则验证者不能识别出代理签名生成者的身份；若一个原始签名者授权了多个代理签名者，则代理签名者可以对自己生成的有效代理签名进行否认，方案不满足不可否认性.此外，代理签名者可以利用已知信息伪造其他授权信息和代理签名密钥，进而伪造代理签名.虽然伪造的代理签名仍是由代理签名者生成的，看似对方案的安全性威胁不大，但若代理签名者为逃避责任每次都用伪造的代理签名密钥进行签名，而验证者在不知情的情况下接受了伪造的代理签名，那么当需要确定代理签名者身份时，即使原始签名者记录了授权信息与代理签名者身份的对应关系，也无法找出代理签名的真正生成者.

代理签名者伪造授权信息及代理签名密钥的方式是：使用随机数生成器产生随机数${\tilde k_b} \in \left[ {1, n - 1} \right]$，计算${{\tilde G}_{ab}} = {{\tilde k}_b}{G_a} = ({{\tilde x}_{ab}}, {{\tilde y}_{ab}}), {{\tilde r}_{ab}} = {{\tilde x}_{ab}}{\rm{mod}}\;n, {{\tilde s}_{\rm{A}}} = {s_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{\rm{mod}}\;n, {{\tilde d}_P} = {{\tilde s}_{\rm{A}}}{{\tilde k}_b}^{ - 1}{\rm{mod}}\;n.$伪造的授权信息(${{\tilde s}_{\rm{A}}}, {G_a}, {{\tilde G}_{ab}}$)仍满足授权验证方程；此外，代理签名者使用新的点${{\tilde G}_{ab}}$以及代理签名密钥${{\tilde d}_P}$生成的关于消息M的代理签名也可通过验证，分析如下：

1) 若授权信息(${{\tilde s}_{\rm{A}}}, {G_a}, {{\tilde G}_{ab}}$)是有效的，则需满足${{\tilde s}_{\rm{A}}}{G_a} = {{\tilde r}_{ab}}{P_{\rm{A}}}$.因为

$ {{\tilde s}_{\rm{A}}}{G_a} = {s_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{G_a} = k_a^{ - 1}{r_{ab}}{d_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{k_a}G = {d_{\rm{A}}}{{\tilde r}_{ab}}G = {{\tilde r}_{ab}}{P_{\rm{A}}}, $

所以${{\tilde s}_{\rm{A}}}{G_a} = {{\tilde r}_{ab}}{P_{\rm{A}}}$成立，伪造的授权信息可通过验证.

2) 若代理签名者对消息M进行签名时使用的是${{\tilde G}_{ab}}$和$ {{\tilde d}_P}$，即用随机数生成器生成k∈[1, n-1]，计算$\left( {{{\tilde x}_3}, {{\tilde y}_3}} \right) = k{{\tilde G}_{ab}}$；令$\tilde r = \left( {e + {{\tilde x}_3}} \right)\bmod \;n$，若$\tilde r = 0或\tilde r + k = n$，则重新选择k；计算代理签名$\tilde s = \left( {{{\left( {1 + {{\tilde d}_P}} \right)}^{ - 1}}\left( {k - \tilde r{{\tilde d}_P}} \right)} \right)\bmod \;n$，若$\tilde s = 0$则重新选择k；得到消息的代理签名$\left( {{G_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s} \right) $.令$t = \tilde s + \tilde r, \tilde X = ({{\tilde x'}_3}, {{\tilde y'}_3}) = \tilde s{{\tilde G}_{ab}} + t{{\tilde r}_{ab}}{P_{\rm{A}}}, R = (e + {{\tilde x'}_3}){\rm{mod}}\;n$，当且仅当$R = \tilde r $时($ {G_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s$)有效.

由$\tilde s = \left( {{{\left( {1 + {{\tilde d}_P}} \right)}^{ - 1}}\left( {k - \tilde r{{\tilde d}_P}} \right)} \right){\rm{mod}}\;n, 有k = \left( {\tilde s + {{\tilde d}_P}\left( {\tilde s + \tilde r} \right)} \right){\rm{mod}}\;n = \left( {\tilde s + {{\tilde d}_P}t} \right){\rm{mod}}\;n$, 所以：

$ \begin{array}{l} {k{{\tilde G}_{ab}} = \left( {\tilde s + {{\tilde d}_P}t} \right){{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + {{\tilde d}_P}t{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + {{\tilde s}_{\rm{A}}}{{\tilde k}_b}^{ - 1}t{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + {s_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{{\tilde k}_b}^{ - 1}t{{\tilde G}_{ab}} = }\\ {\tilde s{{\tilde G}_{ab}} + {k_a}^{ - 1}{r_{ab}}{d_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{{\tilde k}_b}^{ - 1}t{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + {k_a}^{ - 1}{r_{ab}}{d_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{{\tilde k}_b}^{ - 1}t{{\tilde k}_b}{{\tilde G}_a} = }\\ {\tilde s{{\tilde G}_{ab}} + {k_a}^{ - 1}{r_{ab}}{d_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}{{\tilde k}_b}^{ - 1}t{{\tilde k}_b}^{ - 1}t{k_a}G = \tilde s{{\tilde G}_{ab}} + + t{{\tilde r}_{ab}}{P_{\rm{A}}}.} \end{array} $

故$\left( {{{\tilde x}_3}, {{\tilde y}_3}} \right) = k{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + t{{\tilde r}_{ab}}{P_{\rm{A}}} = ({{\tilde x'}_3}, {{\tilde y'}_3}), \tilde r = (e + {{\tilde x}_3}){\rm{mod}}\;n = (e + {{\tilde x'}_3}){\rm{mod}}\;n = R$，即$R = \tilde r$.所以伪造的代理签名(${G_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s$)可通过验证.

在文献[14]中，将授权信息与代理签名者和原始签名者的身份信息绑定生成证书的方法确实在很大程度上防止了上述伪造，这是因为即使恶意代理签名者生成了另外的授权信息($ {{\tilde s}_{\rm{A}}}, {G_a}, {{\tilde G}_{ab}}$)和代理签名(${G_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s$)，如果验证者没有找到与${{\tilde G}_{ab}}$对应的可证明有效的证书，就可以认为代理签名(${G_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s$)无效.但从系统复杂性来看，证书的生成与验证都会降低整体方案的效率.

3 改进的方案 3.1 初始化参数

m_W：授权证书信息，可以包含原始签名者及代理签名者的身份信息、代理签名者的权限等.

其他参数与文献[14]相同.

3.2 代理授权

此阶段的步骤B1~B2及步骤A1~A3与2.2节相同，其他步骤为

A4：计算e₀=H(m_W‖r_ab)；

A5：计算s_A=k_a^-1(e₀+r_abd_A)mod n，若s_A=0则返回步骤A1；

A6：Alice将(m_W, G_a, G_ab, s_A)作为代理签名的授权信息发送给Bob.

其中：m_W、G_a和G_ab需要对外公开，而s_A需秘密发送给Bob.

3.3 授权验证及代理密钥的生成

Bob验证授权信息.

B3：计算椭圆曲线上另一点G′_ab=(x₂, y₂)=k_bG_a；

B4：计算e₀=H(m_W‖r_ab)；

B5：计算r′_ab=x₂mod n，若s_AG_a≠r′_abP_A+e₀G时拒绝委托；否则，接受委托并执行步骤B6；

B6：计算d_P=s_Ak_b^-1mod n，d_P即为代理签名密钥.

3.4 代理签名的生成

Bob使用密钥d_P对消息M进行签名，签名过程同文献[14]，代理签名的形式变为(m_W, G_a, G_ab, r, s).

3.5 代理签名的验证

为了验证收到的消息M′及其数字签名(m_W, G_a, G_ab, r′, s′)，验证者Carol应执行以下操作.

C1：检验r′∈[1, n-1]和s′∈[1, n-1]是否成立，若不成立则验证不通过；

C2：置$\bar M' = {Z_{\rm{A}}}\left\| {M'} \right.$，计算$e' = H\left( {\bar M'} \right)$；

C3：计算r_ab=x₁mod n；

C4：计算e′₀=H(m_W‖r_ab)；

C5：计算t=(r′+s′)mod n，若t=0，则验证不通过；

C6：计算椭圆曲线点X=(x′₃, y′₃)=s′G_ab+tr_abP_A+te′₀G，计算R=(e′+x′₃)mod n，当且仅当R=r′时接受签名；否则不接受签名.

3.6 正确性验证 3.6.1 代理授权验证的正确性

当Bob收到正确的授权信息(m_W, G_a, G_ab, s_A)时，应有s_AG_a=r′_abP_A+e₀G.

证明  因为(x₂, y₂)=G′_ab=k_bG_a=k_b(k_aG)=k_a(k_bG)=k_aG_b=G_ab=(x₁, y₁)，所以x₂mod n=x₁mod n，即r′_ab=r_ab.由s_A=k_a^-1(e₀+r_abd_A)mod n=k_a^-1(e₀+r′_abd_A)mod n，得s_Ak_amod n=(e₀+r′_abd_A)mod n，进而有s_Ak_aG=(e₀+r′_abd_A)G=e₀G+r′_abd_AG，又因为k_aG=G_a，d_AG=P_A，所以s_AG_a=r′_abP_A+e₀G.

3.6.2 代理签名验证的正确性

当Carol收到正确的签名(m_W, G_a, G_ab, r′, s′)时，应有R=r′.

证明  假设有一个有效的签名s′=((1+d_P)^-1(k-r′d_P))mod n，可得

$ k = ((1 + {d_P})s\prime + r\prime {d_P}){\rm{mod}}\;n = (s\prime + {d_P}\left( {s\prime + r\prime } \right)){\rm{mod}}\;n, $

即$ k = (s\prime + {d_P}t){\rm{mod}}\;n, $得

$ \begin{array}{l} k{G_{ab}} = (s\prime + {d_P}t){G_{ab}} = s\prime {G_{ab}} + {d_P}t{G_{ab}} = s\prime {G_{ab}} + {s_{\rm{A}}}{k_b}^{ - 1}t{G_{ab}} = s\prime {G_{ab}} + {k_a}^{ - 1}({e_0} + {r_{ab}}{d_{\rm{A}}}){k_b}^{ - 1}t{G_{ab}} = \\ s\prime {G_{ab}} + {k_a}^{ - 1}({e_0} + {r_{ab}}{d_{\rm{A}}}){k_b}^{ - 1}t{k_a}{k_b}G = s\prime {G_{ab}} + ({e_0} + {r_{ab}}{d_{\rm{A}}})tG = s\prime {G_{ab}} + t{r_{ab}}{P_{\rm{A}}} + t{e_0}G. \end{array} $

故$({x_3}, {y_3}) = k{G_{ab}} = s\prime {G_{ab}} + t{r_{ab}}{P_{\rm{A}}} + t{e_0}G = s\prime {G_{ab}} + t{r_{ab}}{P_{\rm{A}}} + te{\prime _0}G = (x{\prime _3}, y{\prime _3})$，所以$r\prime = e + {x_3} = e\prime + x{\prime _3} = R $，即r′=R.

3.7 安全性分析

改进方案的安全性仍然是基于哈希函数的单向性和椭圆曲线离散对数问题的困难性.

3.7.1 不可伪造性

1) 原始签名者的普通签名的不可伪造性

在代理签名方案中，代理签名者无法从授权信息(m_W, G_a, G_ab, s_A)中获取原始签名者的私钥d_A.这是因为s_A=k_a^-1(e₀+r_abd_A)mod n，e₀和r_ab的值很容易计算，要想根据s_A的值求出d_A的值，就要先求出k_a的值.而无论是通过G_a=k_aG还是G_ab=k_aG_b计算k_a，都是求解椭圆曲线离散对数问题，这是一个计算上不可行的困难问题.故代理签名者无法伪造原始签名者的普通签名.其他攻击者在不知道s_A的值的情况下更难伪造原始签名者的普通签名.

2) 授权信息的不可伪造性

i) 未被授权的攻击者伪造授权信息.伪造有效的授权信息等价于求(m_W, G_a, G_ab, s_A)，使得s_AG_a=r_abP_A+e₀G成立，e₀=H(m_W‖r_ab).e₀是哈希函数值，哈希函数具有单向性，因此，攻击者必须先确定m_W和r_ab的值.r_ab=x₁mod n，x₁是G_ab的横坐标，故也要确定G_ab的值，由此，r_abP_A+e₀G的值确定.

如果攻击者随意选择一个点作为G_a，根据s_AG_a=r_abP_A+e₀G求解s_A，则是一个椭圆曲线离散对数难题；如果攻击者根据s_A=k_a^-1(e₀+r_abd_A)mod n，G_a=k_aG求解，则有(e₀+r_abd_A)G=r_abP_A+e₀G，攻击者根据此式求解d_A是椭圆曲线离散对数难题，也就无法进一步求出s_A.

如果攻击者想通过随机构造一个s_A来求解G_a，由于s_A=k_a^-1(e₀+r_abd_A)mod n，G_a=k_aG，e₀和r_ab的值已先确定，d_A对于除原始签名者之外的人是未知的，而通过原始签名者公钥求解私钥又是困难的，所以，通过确定d_A来求解k_a进而求解G_a是不可行的.

ii) 恶意的代理签名者利用已知信息伪造授权信息.文献[14]中，代理签名者伪造授权信息是通过构造新的点${{\tilde G}_{ab}} = \left( {{{\tilde x}_{ab}}, {{\tilde y}_{ab}}} \right), 并令{{\tilde r}_{ab}} = {{\tilde x}_{ab}}\bmod \;n$，利用等式s_AG_a=r_abP_A，即k_a^-1r_abd_AG_a=r_abP_A，在等式两边同时乘以$r_{ab}^{ - 1}{{\tilde r}_{ab}}$，消去等式两边原有的r_ab，引入新的值${{\tilde r}_{ab}}$，使得等式仍然成立，此时，令$ {{\tilde s}_{\rm{A}}} = {s_{\rm{A}}}r_{ab}^{ - 1}{{\tilde r}_{ab}}, 9\left( {{{\tilde s}_{\rm{A}}}, {{\tilde G}_{ab}}} \right)$仍满足验证方程${{\tilde s}_{\rm{A}}}{G_a} = {{\tilde r}_{ab}}{P_{\rm{A}}}$.

本方案中，授权验证等式为s_AG_a=r_abP_A+e₀G，即k_a^-1(e₀+r_abd_A)G_a=r_abP_A+e₀G.若采用相同的构造方式，则有$ {{\tilde s}_{\rm{A}}}{G_a} = {{\tilde r}_{ab}}{P_{\rm{A}}} + r_{ab}^{ - 1}{{\tilde r}_{ab}}{e_0}G$.只有当$ r_{ab}^{ - 1}{{\tilde r}_{ab}}{e_0} = {{\tilde e}_0}$，即${{\tilde s}_{\rm{A}}}{G_a} = {{\tilde r}_{ab}}{P_{\rm{A}}} + {{\tilde e}_0}G $时授权信息才能通过验证.若代理签名者Bob要想伪造出与自己身份无关的授权信息，还需保证${{\tilde m}_W}$中代理签名者的身份信息为其他用户的信息，所以${{\tilde m}_W} \ne {m_W} $.如果${{\tilde r}_{ab}} \ne {r_{ab}}$，根据哈希函数的单向性，很难计算出与${{\tilde e}_0}$对应的${{\tilde m}_W}$；即使${{\tilde r}_{ab}} = {r_{ab}}$，根据哈希函数的抗碰撞性，也很难找到${{\tilde m}_W} \ne {m_W}$，使得${{\tilde e}_0} = {e_0}$.

3) 代理签名的不可伪造性

i) 未被授权的攻击者伪造代理签名.未被授权的攻击者伪造有效的代理签名等价于求(m_W, G_a, G_ab, r, s)，使得存在某个随机数k，满足kG_ab=sG_ab+tr_abP_A+te₀G. (x₃, y₃)=kG_ab，e₀=H(m_W‖r_ab)，e=H(M)，r=(e+x₃)mod n，t=(r+s)mod n，根据哈希函数的单向性，攻击者必须先确定M、M、m_W、G_ab和r_ab的值.

如果通过构造k来确定(r, s)的值，因为(x₃, y₃)=kG_ab，r=(e+x₃)mod n，根据k、e和G_ab的值可以进一步计算出r.由kG_ab=sG_ab+tr_abP_A+te₀G和t=(r+s)mod n，可以得到kG_ab-r(r_abP_A+e₀G)=s(G_ab+r_abP_A+e₀G)，此时求解s意味着求解椭圆曲线离散对数问题.

如果通过构造(r, s)来确定k的值，无论是根据kG_ab=sG_ab+tr_abP_A+te₀G对k进行求解，还是根据r=(e+x₃)mod n和(x₃, y₃)=kG_ab进行求解，都是求解椭圆曲线离散对数问题.

ii) 原始签名者伪造代理签名.假设原始签名者想利用已知信息计算出代理签名密钥，进而伪造代理签名.根据d_P=s_Ak_b^-1mod n，要计算代理签名密钥，首先要确定k_b的值，而k_bG=G_b，根据G_b求解k_b是椭圆曲线离散对数难题，故原始签名者无法获取代理签名密钥.假设原始签名者想直接伪造某个代理签名，则难度如同未被授权的攻击者伪造代理签名.

iii) 恶意的代理签名者伪造其他代理签名.在本方案中，代理签名者Bob要伪造出不能识别出自己身份的代理签名，仍需伪造新的授权证书信息$ {{\tilde m}_W}$，使得${{\tilde m}_W} \ne {m_W} $，同时求出另一个(${{\tilde G}_a}, {{\tilde G}_{ab}}, \tilde r, \tilde s$)使得等式$k{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + t{{\tilde r}_{ab}}{P_{\rm{A}}} + t{{\tilde e}_0}G$成立.如果Bob利用类似2.6节的方法进行伪造，则计算$ k{{\tilde G}_{ab}}$可得$k{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + t{{\tilde r}_{ab}}{P_{\rm{A}}} + r_{ab}^{ - 1}{{\tilde r}_{ab}}{e_0}tG $，此情况同恶意代理签名者伪造授权信息，无论$ {{\tilde r}_{ab}}$与r_ab是否相同，恶意代理签名者都很难伪造出新的${{\tilde m}_W}$，使得$k{{\tilde G}_{ab}} = \tilde s{{\tilde G}_{ab}} + t{{\tilde r}_{ab}}{P_{\rm{A}}} + t{{\tilde e}_0}G $成立.如果代理签名者想要直接伪造其他人的代理签名，则难度如同未被授权的攻击者伪造代理签名.

3.7.2 可区分性

1) 代理签名(m_W, G_a, G_ab, r, s)的形式与普通签名(r, s)的形式不同. 2)即使对同一代理签名者进行多次授权，也可以对不同授权情况下生成的代理签名加以区分.这是因为，原始签名者和代理签名者在每次授权过程中，生成的授权信息不同.3) m_W中有代理签名者的身份信息，所以不同代理签名者生成的代理签名之间也可以区分.

3.7.3 可识别性和不可否认性

有效代理签名(m_W, G_a, G_ab, r, s)中的m_W不能被包括代理签名者在内的任何人篡改.因此，一旦有效的代理签名被生成，就可以通过m_W识别出代理签名者的身份，使得代理签名者无法进行否认.

4 方案实现

实验主机配置为1.80 GHz、i5-3337U CPU、4 GB RAM，系统为Ubuntu16.10，编程语言为Golang1.7.6.

4.1 初始化参数 4.1.1 椭圆曲线参数

采用SM2椭圆曲线公钥密码算法标准^[15]推荐的素数域256位椭圆曲线，即y²=x³+ax+b.对于曲线参数，同样采用SM2椭圆曲线公钥密码算法标准^[15]中的推荐，如表 1所示.

4.1.2 原始签名者公私钥

原始签名者的公私钥如图 1所示.

4.2 方案各阶段实验结果

代理授权的生成、代理授权的验证及代理密钥的生成、代理签名的生成和代理签名的验证的实验结果分别如图 2~5所示.

4.3 方案复杂性

文献[14]中的方案除授权信息的生成外还有授权证书的生成.此外，验证者验证代理签名时需要进行两次验证：一次是证书上签名的验证，另一次是代理签名的验证.假设文献[14]中证书上的签名为标准SM2数字签名，表 2是对标准SM2数字签名、文献[14]中的代理签名方案与改进的SM2代理签名方案的复杂性比较，由于Hash运算速度很快，椭圆曲线上的加法运算也很高效^[20].故本文主要对点乘次数T_M、表示模乘次数T_MM、表示模逆次数T_INV进行比较.实验对3种方案的签名和验证时间进行了多次测试，计算得到的平均时间如表 3所示.

由表 3可见，标准SM2数字签名、原SM2代理签名方案和改进的代理签名方案的签名生成时间相差不大，这是因为两种代理签名方案中的签名算法与标准SM2签名算法所需运算次数相同；原SM2代理签名方案中，总验证时间约是标准验证时间的2.03倍，原因是总验证时间等于证书验证时间与代理签名的验证时间之和；改进后的代理签名方案的验证时间接近标准SM2验证时间的1.5倍，这是由于代理签名验证过程比标准签名验证过程多了两次数乘运算和一次点乘运算.从总体上来说，改进方案的代理签名生成效率与文献[14]中的方案相近，验证效率提高了约26%.

5 总结

本文分析并指出了文献[14]方案的不足，并进行了改进.改进的方案无需可信任方生成证书，但仍能满足可验证性、不可伪造性、可区分性、可识别性和不可否认性.与原方案相比，虽然改进的方案中增加了部分运算，但减少了原方案中证书的生成和验证过程.总体来说，改进方案的效率比原方案有所提高.