定向签名

定向签名，也称为定向代理签名，是将指定验证者签名和代理签名的思想相结合而构成的一种特殊的数字签名。在一个定向签名方案中，签名人所作的任何签名都是针对指定接收人的，只有指定的接收人才可以验证定向签名的有效性，而其他任何人都无法验证定向签名是否有效，即便是签名人自己。

由于定向签名具有定向性，因此它可以保障数字签名的安全性，使受攻击和受伪造的几率降低。当签名消息涉及到接收人的隐私时，定向签名也能够有效地解决隐私保护的问题。

除了满足指定验证者签名的性质和代理签名的性质以外，定向签名还要满足如下性质： 

1. 可识别性：指定验证者能够从强指定验证者代理签名中确定相应的代理签名者的身份。 
2. 不可伪造性：这里的不可伪造性即包含对代理签名者的不可伪造性，也包括对原始签名者的不可伪造性。

一个定向签名方案一般包含以下过程：

1. 原始签名人授权：原始签名人利用他的私钥对授权信息进行签名，然后将此签名发送给代理签名人。
2. 代理签名密钥生成：代理签名人收到原始签名人对授权信息的签名，用原始签名人的公钥验证签名的有效性。若验证通过，则计算代理签名密钥，否则拒绝接受。
3. 指定验证人代理签名生成：对待签名的消息，代理签名人使用授权信息、指定验证人公钥和自己的私钥生成指定验证人代理签名，并将其发送给指定验证人。
4. 指定验证人代理签名验证：指定验证人收到代理签名之后，利用自己的私钥、原始签名人和代理签名人的公钥来验证代理签名的有效性。

一般的数字签名方案通常包括四个主要过程：系统的参数生成过程、密钥提取过程，代理密钥生成过程，代理签名产生过程和签名验证过程。

1. 系统参数生成：密钥生成中心（KGC）选取一个安全参数作为输入，生成系统参数； 
2. 密钥提取过程：输入安全参数后，将输出参与者的公钥和私钥(PKi，SKi) ( i = 1，2，...n)，其中PKi为参与者的公钥，SKi为用户的私钥； 
3. 代理密钥生成过程：原始签名者设计一种算法，在算法中出入原始签名者的私钥与授权证书。发送给代理签名人，代理签名者验证证书后，利用原始签名者发送的信息与自己的私钥生成代理私钥。 
4. 代理签名产生过程：设计一种算法，在这种算法中输入代理私钥和指定验证者的公钥以及待签名消息m ，可以生成签名S 。
5. 签名的验证过程：设计一种算法，在这种算法中输入验证者的私钥以及原始签名者与代理签名者的公钥和消息m来进行验证，如果验证算法通过，返回 True，指定验证者接收签名S ；否则，返回 False，指定验证者拒绝该签名。

1指定验证者签名简介

指定验证者签名是一种数字签名体制。在这种体制中,签名者选择一个具体的验证者，在签名验证阶段,只有这个验证者可以验证签名的有效性,其他任何人都不能验证该签名是否有效。

指定验证者签名是一种非交互式的不可否认签名，同时又是一种具有特殊用途的签名，只有被指定的人才能对签名进行验证。同时，指定验证者不能使第三方相信签名的有效性，因为指定验证者可以生成签名副本，而副本与原始签名是不可区分的。

2指定验证者签名类型

（1）强指定验证者的签名

强指定验证者的签名是在指定验证者的签名的基础上提出的概念，它对安全性的要求更高，要求任何验证者都能生成一个与原始签名相同的副本，保证这样的签名与原始签名不能区分。

（2）普遍指定验证者签名

普遍指定验证者签名比一般的指定验证者签名又多了一个性质，即消息的拥有者(不一定是签名者)可以任意去指定该消息的验证者。在这个方案中，被指定的验证者确实可以验证消息的有效性，并证明该签名是由签名者所签的，但是他并不能向第三方去证明这个事实，这样就实现了签名的不可传递性。当然，当消息的拥有者与签名者是同一个人时，这种普遍指定验证者签名其实就是指定验证者签名。 

（3）基于身份的强指定验证者签名(SZM方案)

它的安全模型与Markowitch 的模型基本相同，只是把基于证书的公钥密码体制扩展到基于身份的公钥密码体制上。其实，该方案(SZM方案)的结构与SKM方案相同，是SKM方案的变型。在 2004 年的PKC年会上，Steinfeld  等人证明了如何用Sehnorr/RSA方案构造普遍指定验证者签名方案。Zhang等人把普遍指定验证者签名方案的概念推广到基于身份的普遍指定验证者签名方案并且提出两个方案(SWP方案)，随后，普遍指定验证者签名的概念不断发展。

代理签名

代理签名流程图

1 代理签名概念

代理签名是指当一个签名人不方便或没有时间去签署一个必须要签署的消息时，它可以通过一个授权证书将自己的签名权利委托给可靠的代理人，请代理人去代表自己行使这些签名权。当验证者验证一个代理签名时，需要同时验证签名与原始签名者的授权证书。这在电子商务中的电子投标、电子投票等领域得到广泛的应用。代理签名与一般数字签名的不同之处在于在代理签名者在签名之前，原始签名者必须要对代理签名者进行一个授权。

2代理签名类型

完全代理签名、部分代理签名和具有授权证书的代理签名、具有授权证书的部分代理签名和门限代理签名、具有已知签名者的有效不可否认门限代理签名方案、具有跟踪接收者的时间戳代理签名、代理多重签名等。 

3代理签名性质

不可伪造性(unforgeability)：除了原始签名者，只有指定的代理签名者能够代表原始签名者产生有效代理签名。 

可验证性(verifiability)：从代理签名中，验证者能够相信原始签名者认同了这份签名消息。

不可否认性(undeniability)：一旦代理签名者代替原始签名者产生了有效的代理签名，他就不能向原始签名者否认他所签的有效代理签名。 

可区分性(distinguishability)：任何人都可区分代理签名和正常的原始签名者的签名。 

代理签名者的不符合性(proxy signer’s deviation)：代理签名者必须创建一个能检测到是代理签名的有效代理签名。 

可识别性(identifiability)：原始签名者能够从代理签名中确定代理签名者的身份。

为了体现对原始签名者和代理签名者的公平性，有学者对其中的一些性质给出了更强的定义： 

强不可伪造性(strong  unforgeability)：只有指定的代理签名者能够产生有效代理签名，原始签名者和没有被指定为代理签名者的第三方都不能产生有效代理签名。 

强可识别性(strong identifiability)：任何人都能够从代理签名中确定代理签名者的身份。 

强不可否认性(strong  undeniability)：一旦代理签名者代替原始签名者产生了有效的代理签名，他就不能向任何人否认他所签的有效代理签名。 

防止滥用(prevention of misuse)：应该确保代理密钥对不能被用于其它目的。为了防止滥用，代理签名者的责任应当被具体确定。

4代理签名分类

1完全代理签名(full  delegation)

在完全代理签名中，原始签名者直接把自己的签名密钥通过安全信道发送给代理签名者，他们能产生相同的签名。 由于代理签名者所产生的签名与原始签名者所产生的签名是不可区分的，所以不能制止可能的签名滥用。完全代理签名也不具有可识别性和不可否认性。在很多情况下，原始签名者过后不得不修改他的签名密钥。因此这种签名不适用于商业应用。 

2部分代理签名(partial delegation)

在部分代理签名中，原始签名者使用自己的签名密钥s 产生代理签名密钥σ ，并把σ 以安全的方式发送给代理签名者。出于安全考虑，要求从代理签名密钥σ 不能求出原始签名者的密钥s 。

使用这种方法有两种类型的方案： 

（1）代理非保护代理签名(proxy-unprotected  proxy  signature)：除了原始签名者，指定的代理签名者能够代替原始签名者产生有效代理签名。但是，没有指定为代理签名者的第三方不能产生有效代理签名。 

（2）代理保护代理签名(proxy-protected  proxy  signature)：只有指定的代理签名者能够代替原始签名者产生有效代理签名。但是，原始签名者和第三方都不能产生有效代理签名。 

在部分代理签名中，代理签名者以σ 为签名密钥按普通的签名方案产生代理签名，可以使用修改的验证方程来验证代理签名的有效性。因为在验证方程中有原始签名者的公钥，所以验证者能够确信代理签名是经原始签名者授权的。人们根据不同的需要提出了各种各样的部分代理签名。例如，门限代理签名、不可否认代理签名、多重代理签名、具有接收者的代理签名、具有时间戳的代理签名和具有证书的部分代理签名，极大地丰富和发展了部分代理签名。 部分代理签名具有可区分性等性质。但在一些部分代理签名中，原始签名者也能产生代理签名，这对代理签名者来说是不公平的。这涉及不可否认问题，不可否认性是指原始签名者和代理签名者不能欺诈性地否认他产生的签名。在实践中，不可否认性是非常重要的。例如，当签名滥用发生争议时，权威机构必须确定谁是代理签名的真正签名者。因此，具有不可否认性的部分代理签名是商业应用的理想选择。

3具有证书的代理签名(delegation by warrant) 

（1）授权代理签名(delegate proxy)：在授权代理签名中，原始签名者用他的签名密钥使用普通的签名方案签一个文件（称某某为代理签名者），然后，把产生的证书发给代理签名者。

（2）持票代理签名(bearer proxy)：在持票代理签名中，证书是由消息部分和原始签名者对新产生的公钥的签名组成。原始签名者把新产生的公钥所对应的秘密钥以安全的方式发给代理签名者。

部分代理签名和具有证书的代理签名比完全代理签名更安全。部分代理签名与具有证书的代理签名相比具有较高的处理速度。而具有证书的代理签名可以毫无修改地使用普通签名方案来执行签名，并且可以适当地限制所要签的文件，例如，证书可以表明授权的有效期，但是，部分代理签名一般不具有这个性质。为了解决这个问题，部分代理签名要求一个附加的代理撤销协议，通过此协议原始签名者可以撤销代理签名者的签名能力或已经产生的代理签名。具有证书的部分代理签名具有部分代理签名和具有证书的代理签名的双方的优点。一般说来，具有证书的部分代理签名提供了可接受的执行效率和合理的授权规则，例如，代理签名的有效期，原始签名者的身份，代理签名者的身份等信息。

另有学者根据不可否认性质把代理签名分为强代理签名和弱代理签名。

强代理签名代表原始签名者和代理签名者的签名，而弱代理签名仅代表原始签名者的签名。根据是否指定代理签名者把代理签名分为指定代理签名和非指定代理签名。