本發(fā)明屬于信息安全技術(shù)領(lǐng)域，涉及多變量公鑰系統(tǒng)及消息的代理認(rèn)證，特別涉及一種基于多變量的可抗合謀攻擊的代理重簽名方法。

背景技術(shù)：

代理重簽名是指一個(gè)半可信任的代理人(他擁有一個(gè)和受托人A與委托人B的信息相關(guān)的重簽名密鑰)負(fù)責(zé)將受托人A對(duì)某一消息的簽名轉(zhuǎn)化為委托人B對(duì)同一消息的簽名，同時(shí)，要求代理人只有重簽名密鑰，無(wú)法獲悉受托人A及委托人B的私鑰，并且不能代表委托人B或者受托人A生成新的簽名。

代理重簽名的安全性分為內(nèi)部安全性和外部安全性。外部安全性：非法第三方不能與簽名參與方合謀。內(nèi)部安全性：委托人B與代理人或代理人與受托人A無(wú)法合謀，即委托人B與代理人合謀或代理人與受托人A合謀都不能對(duì)此簽名方案攻擊泄露。內(nèi)部安全和外部安全確保方案的安全。

一個(gè)代理重簽名方案是由五個(gè)多項(xiàng)式時(shí)間算法(密鑰生成，生成重簽名密鑰，簽名，重簽名，驗(yàn)證)構(gòu)成，其中(密鑰生成,簽名,驗(yàn)證)是標(biāo)準(zhǔn)的簽名產(chǎn)生和驗(yàn)證算法?！吧芍睾灻荑€”是重簽名密鑰生成算法：輸入受托人A和委托人B的公私鑰對(duì)，產(chǎn)生一個(gè)重簽名密鑰?！爸睾灻笔侵福捍砣耸褂弥睾灻荑€可將受托人A的簽名轉(zhuǎn)換為委托人B的簽名?！爸睾灻笔峭ㄟ^(guò)重簽名生成算法來(lái)執(zhí)行：輸入一個(gè)重簽名密鑰rk_A→B、一個(gè)消息、一個(gè)A的簽名和一個(gè)用戶A的公鑰。該算法的正確性是指，輸出一個(gè)對(duì)應(yīng)于用戶B的公鑰的同一個(gè)消息的B的簽名；否則，輸出⊥。

傳統(tǒng)的網(wǎng)絡(luò)代理簽名體制大致可分為三類(lèi)：一類(lèi)是基于RSA的代理簽名體制；一類(lèi)是基于離散對(duì)數(shù)的代理簽名方案；最后一類(lèi)是基于橢圓曲線的代理簽名方案。然而這些方案的安全理論均是基于數(shù)論中的大整數(shù)分解和離散對(duì)數(shù)的 困難性。然而，美國(guó)科學(xué)家Peter Shor于1995年提出了一種量子分解算法，它通過(guò)利用量子計(jì)算的并行性，可以在多項(xiàng)式時(shí)間內(nèi)快速分解出大數(shù)的質(zhì)因子和離散對(duì)數(shù)問(wèn)題，也就是說(shuō)，量子計(jì)算機(jī)的產(chǎn)生，對(duì)現(xiàn)有基于傳統(tǒng)密碼體制的數(shù)字簽名的安全性構(gòu)成了嚴(yán)重的威脅。

多變量公鑰體制是有限域上根據(jù)多變量非線性方程組的求解問(wèn)題而設(shè)計(jì)的密碼系統(tǒng)，其安全性基于求解一組多變量多項(xiàng)式方程是一NP-C問(wèn)題，目前被認(rèn)作是量子時(shí)代的一種安全的密碼體制備選方案，04年提出的簽名方案Flash入選了歐洲密碼計(jì)劃NRSSIE，成為密碼研究中具有潛力的技術(shù)之一。

孫昌毅,李益發(fā),斯雪明.基于多變量公鑰密碼體制的代理重簽名方案[J].計(jì)算機(jī)工程,2012,38(17):116-118.首次基于多變量體制的Rainbow方案提出一種代理重簽名方案，但遺憾的是正如文中3.3節(jié)所說(shuō)該方案不能抗合謀攻擊“…代理人與受托人合謀…委托人的私鑰信息會(huì)泄露…”。因此，本發(fā)明以多變量公鑰體制為基礎(chǔ)，設(shè)計(jì)一種可抗合謀攻擊的代理重簽名方案，以為量子計(jì)算機(jī)時(shí)代提供一種安全代理簽名的候選方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問(wèn)題在于克服上述現(xiàn)有技術(shù)的缺點(diǎn)，提供一種可有效地抵抗合謀攻擊、效率高、安全可靠、適用于消息代理認(rèn)證環(huán)境、為信息安全和信任體系的建立提供基礎(chǔ)技術(shù)的基于多變量的可抗合謀攻擊的代理重簽名方法。

解決上述技術(shù)問(wèn)題所采用的技術(shù)方案是由下述步驟組成：

(1)生成系統(tǒng)

(1.1)建立二次方程組為：

式中的a₁₁₁～a_nnn,b₁₁～b_nn,c₁～c_n均為有限域上的元素，n是有限的正整數(shù)，i,j為取自1～n的正整數(shù)，該二次方程組記為Q，根據(jù)(1)的構(gòu)造，得相應(yīng)Q^-1為：

式中的均取自同一個(gè)有限域。

(1.2)分別取有限域上的可逆仿射變換T、S和H，他們的一般形式如下，其中T為：

S為：

H為：

x₁～x_n,y₁～y_n,u₁～u_n,v₁～v_n,δ₁～δ_n,t₁₁～t_nn,s₁₁～s_nn,h₁₁～h_nn均為有限域上的元素，y₁～y_n,v₁～v_n均為自變量；T、S和H為秘密鑰，H用于產(chǎn)生代理重密鑰；T和S共同封裝二次方程組Q即(1)式的結(jié)構(gòu)，即將S、Q、T，依次進(jìn)行代入計(jì)算，記為，表示從右向左依次代入，得到二次方程組為公鑰，記為P：

式中的d₁₁₁～d_nnn,e₁₁～e_nn,f₁～f_n均為有限域上的元素，上述給出的公鑰P和秘密鑰S、秘密鑰T具有關(guān)系：

(2)生成密鑰

代理重簽名時(shí)，可信第三方要首先產(chǎn)生隨機(jī)密鑰、受托人密鑰、代理重簽名密鑰，并且為便于驗(yàn)證代理重簽名的正確性，還需要產(chǎn)生委托人的密鑰。

(2.1)產(chǎn)生隨機(jī)密鑰

隨機(jī)密鑰由兩部分構(gòu)成?？尚诺谌綇挠邢抻蛑须S機(jī)選擇兩組不同的數(shù) 和分別代入H中即(5)式，分別得到：

該變換記為為隨機(jī)密鑰的一部分。

該變換記為為隨機(jī)密鑰的另一部分；隨機(jī)密鑰和均為隨機(jī)產(chǎn)生，且一次有效，即僅在本次代理重簽名中有效，下次代理重簽名需重新生成。

通過(guò)線性反解，得出隨機(jī)密鑰的逆，記為為：

通過(guò)線性反解，得出隨機(jī)密鑰的逆，記為為：

(2.2)產(chǎn)生受托人A的密鑰

受托人A的密鑰包括秘密鑰、隨機(jī)秘密鑰、公鑰、隨機(jī)公鑰四部分。

1)產(chǎn)生受托人A的秘密鑰

可信第三方從有限域中隨機(jī)選擇兩組數(shù)為t_AB11,…,t_ABnn,t′_AB1,…,t′_ABn和s_A11,…,s_Ann,s′_A1,…,s′_An，將t_AB11,…,t_ABnn,t′_AB1,…,t′_ABn代入T即(3)式中，得到：

該變換不僅為受托人A的一部分秘密鑰，也是委托人B的一部分秘密鑰，所以不再分別記為T(mén)_A，T_B，而是統(tǒng)一記為T(mén)，T發(fā)送給受托人A，成為受托人A秘密鑰的一部分。

將s′_A1,…,s′_An代入S即(4)式中，得到受托人A秘密鑰的另一部分：

該變換記為S_A，受托人A的秘密鑰由T和S_A兩部分構(gòu)成，始終不變，并由A秘密保存。

利用線性反解得出T的逆，記為T(mén)^-1，為：

2)產(chǎn)生受托人A的隨機(jī)秘密鑰

可信第三方對(duì)受托人A的秘密鑰S_A即(11)式，通過(guò)線性反解法得S_A的逆，記為為：

將代入到隨機(jī)秘密鑰即(6)式中，生成：

該變換記做發(fā)送給受托人A，成為受托人A的隨機(jī)秘密鑰，在代理重簽名時(shí)，受托人A用隨機(jī)秘密鑰代替秘密鑰進(jìn)行簽名。

3)產(chǎn)生受托人A的公鑰

可信第三方將S_A即(11)式中代入到Q即(1)式中，得到的結(jié)果再代入到T即(10)式中，得到受托人A的公鑰：

該變換記為P_A。

4)產(chǎn)生受托人A的隨機(jī)公鑰

可信第三方將即(8)式中代入到受托人A的公鑰P_A即(15)式中，得到：

該變換記為為受托人A的隨機(jī)公鑰。

(2.3)產(chǎn)生委托人B的密鑰

委托人B的密鑰包括秘密鑰、公鑰、隨機(jī)公鑰三部分。

1)產(chǎn)生委托人B的秘密鑰

委托人B的秘密鑰由兩部分構(gòu)成，其中一部分為受托人A的秘密鑰T，另一部分由可信第三方產(chǎn)生：可信第三方從有限域中隨機(jī)選擇一組數(shù)為 s′_B1,…,s′_Bn，將s′_B1,…,s′_Bn代入S即(4)式中，得到委托人B秘密鑰的另一部分：

該變換記為S_B，委托人B的秘密鑰由T和S_B兩部分構(gòu)成，并由B秘密保存。

對(duì)S_B經(jīng)過(guò)線性反解得S_B的逆，記為為：

2)產(chǎn)生委托人B的公鑰

可信第三方將S_B即(17)式代入到Q即(1)式中，得到的結(jié)果再代入到委托人B的秘密鑰即(10)式T中，得到委托人B的公鑰：

該變換記為P_B。

3)產(chǎn)生委托人B的隨機(jī)公鑰

可信第三方把即(9)式代入到P_B即(19)式中，得到：

該變換記為為委托人B的隨機(jī)公鑰。

(3)生成重簽名密鑰

可信第三方將即(8)式代入到受托人A的秘密鑰S_A即(11)式中，將得到的結(jié)果再代入到委托人B的秘密鑰即(18)式中，再將得到的結(jié)果再代入到委托人B的隨機(jī)密鑰即(7)式中，得到代理人進(jìn)行重簽名的重簽名密鑰 為：

該變換記為rk_A→B。

(4)受托人A產(chǎn)生簽名

已知消息M，其編碼記為(u₁,…,u_n)，受托人A將編碼(u₁,…,u_n)代入到受托人A的秘密鑰的逆T^-1即(12)式中，得到的結(jié)果記為(y_A1,…,y_An)，再將(y_A1,…,y_An)代入Q^-1即(2)式中，得到的結(jié)果記為(x_A1,…,x_An)，再將(x_A1,…,x_An)代入到即(14)式中，得到的結(jié)果為(δ_A1,…,δ_A1)，其中，經(jīng)過(guò)即(13)式得到的結(jié)果記為(v_A1,…,v_An)，(δ_A1,…,δ_A1)為受托人A對(duì)消息(u₁,…,u_n)的簽名。

(5)代理人產(chǎn)生重簽名

代理人產(chǎn)生重簽名需要兩步：

(5.1)代理人收到受托人A對(duì)消息(u₁,…,u_n)的簽名(δ_A1,…,δ_A1)，首先用受托人A的隨機(jī)公鑰即(16)式驗(yàn)證簽名(δ_A1,…,δ_A1)的正確性：即將簽名(δ_A1,…,δ_A1)代入到(16)式中，檢驗(yàn)得到的結(jié)果是否為原消息(u₁,…,u_n)，若是，則(δ_A1,…,δ_A1)為正確簽名；否則拒絕重簽名。

(5.2)若(δ_A1,…,δ_A1)為受托人A對(duì)消息(u₁,…,u_n)的正確簽名，則代理人將(δ_A1,…,δ_A1)代入到重簽名密鑰即(21)式中，得到(rk₁,…,rk_n)，即為代理重簽名，代理重簽名(rk₁,…,rk_n)和受托者A簽名(δ_A1,…,δ_A1)具有關(guān)系(rk₁,…,rk_n)＝rk_A→B(δ_A1,…,δ_A1)。

(6)重簽名正確性驗(yàn)證

將重簽名(rk₁,…,rk_n)代入到委托人B的隨機(jī)公鑰即(20)式中，檢驗(yàn)其結(jié)果是否為原消息(u₁,…,u_n)，即是否等于(u₁,…,u_n)，若相等，則說(shuō)明該重簽名(rk₁,…,rk_n)為正確簽名，否則重簽名無(wú)效。

在本發(fā)明的生成密鑰步驟(2)中,本發(fā)明的受托人隨機(jī)密鑰的逆和委托人B的隨機(jī)密鑰均為隨機(jī)產(chǎn)生，僅一次有效。

在本發(fā)明的生成密鑰步驟(2)中，本發(fā)明的隨機(jī)密鑰和隨機(jī)密鑰由可信第三方產(chǎn)生，受托者和委托者均無(wú)法預(yù)測(cè)，并由可信第三方秘密保存，且僅一次有效。

在本發(fā)明的生成密鑰步驟(2)中，本發(fā)明的隨機(jī)密鑰和隨機(jī)密鑰為一次、可逆、仿射變換。

在本發(fā)明的密鑰生成步驟(2)中，本發(fā)明的受托人A的秘密鑰T與委托人B的秘密鑰T相同。

由于本發(fā)明采用可信第三方產(chǎn)生代理重簽名中受托人和委托人使用的兩個(gè)隨機(jī)密鑰和用這兩個(gè)隨機(jī)密鑰和分別生成新的重簽名密鑰，代理人使用該重簽名密鑰將受托人對(duì)某一消息的簽名轉(zhuǎn)換成委托人對(duì)同一消息的簽名，并且由于隨機(jī)密鑰的保密性，無(wú)論是委托人與代理人合謀，還是代理人與受托人合謀，均不能得到另一人的秘密鑰，可有效地抵抗合謀攻擊。代理重簽名中所使用的重簽名密鑰是由受托人和委托人的隨機(jī)密鑰和共同構(gòu)成，該隨機(jī)密鑰均由可信第三方隨機(jī)產(chǎn)生，僅一次有效，受托人和委托人均無(wú)法預(yù)測(cè)，并由可信第三方秘密保存，僅一次有效。所使用的兩個(gè)隨機(jī)密鑰和互不相同，均為一次仿射變換。

本發(fā)明與現(xiàn)有技術(shù)相比，可抵抗常規(guī)的量子攻擊，具有效率高、安全可靠、抵抗受托人與代理人和代理人與委托人的合謀攻擊等優(yōu)點(diǎn)，可用于代理重簽名。

附圖說(shuō)明

圖1是代理重簽名原理示意圖

圖2是本發(fā)明實(shí)施過(guò)程圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明，但本發(fā)明不限于這些實(shí)施例。

實(shí)施例1

以二次方程組中n＝2，即自變量和方程個(gè)數(shù)均為2個(gè)為例，基于多變量的可抗合謀攻擊的代理重簽名方法步驟如下：

(1)生成系統(tǒng)

選擇系統(tǒng)參數(shù)：取一個(gè)有限域F₅,即該域元素為{0,1,2,3,4}，運(yùn)算為模5加和模5乘，一個(gè)元素o的逆元是指滿足與o相乘再模5為1的元素，記為o^-1，即在F₅上有：-5＝0mod 5、-4＝1mod 5、-3＝2mod 5、-2＝3mod 5、-1＝4mod5，1^-1＝1,2^-1＝3,3^-1＝2,4^-1＝4；取n＝2，即自變量和方程個(gè)數(shù)均為2個(gè)；取a₁₁₁＝0,a₁₁₂＝1,a₁₂₂＝0,b₁₁＝0,b₁₂＝0,c₁＝0；a₂₁₁＝0,a₂₁₂＝0,a₂₂₂＝0,b₂₁＝1,b₂₂＝0,c₂＝0，則二次方程組Q為：

相應(yīng)的Q的逆Q^-1為

(2)生成密鑰

(2.1)產(chǎn)生隨機(jī)密鑰

可信第三方從有限域中隨機(jī)選擇兩組數(shù)代入(5)式，得到為：

為：

為隨機(jī)產(chǎn)生，一次有效，即僅在本次代理重簽名中有效，下次代理重簽名需重新生成；

對(duì)式(2-6)和式(2-7)分別用線性反解法求逆得

為：

(2.2)產(chǎn)生受托人A的密鑰

受托人A的密鑰包括秘密鑰、隨機(jī)秘密鑰、公鑰、隨機(jī)公鑰四部分；

1)產(chǎn)生受托人A的秘密鑰

可信第三方從有限域中隨機(jī)選擇一組數(shù)t_AB11＝1,t_AB12＝0,t′_AB1＝2；t_AB21＝0,t_AB22＝2,t′_AB2＝0,代入到(3)式，得到受托人A的秘密鑰T(因?yàn)槿_B＝T_A，均記為T(mén))為：

再隨機(jī)選擇一組數(shù)s_A11＝2,s_A12＝0,s′_A1＝0；s_A21＝0,s_A22＝1,s′_A2＝0，代入(4)式，得到受托人A的秘密鑰S_A為：

對(duì)T即(2-10)式線性反解得T^-1為：

T和S_A構(gòu)成受托人A的秘密鑰，由A秘密保存；

2)產(chǎn)生受托人A的隨機(jī)秘密鑰

可信第三方對(duì)S_A即(2-11)式線性反解得為：

將代入到即(2-6)式中，得到受托人A的隨機(jī)秘密鑰記為(δ_A1,δ_A2)

受托人A用隨機(jī)秘密鑰對(duì)消息進(jìn)行簽名；

3)產(chǎn)生受托人A的公鑰

可信第三方將S_A代入到Q即(2-1)式中，得到的結(jié)果再代入到T即(2-10)式中，得到的受托人A的公鑰P_A，即

4)產(chǎn)生受托人A的隨機(jī)公鑰

將代入到受托人A的公鑰P_A即(2-15)式中，即將v₁,v₂分別作為x₁,x₂代入到受托人A的公鑰P_A中得到為：

(2.3)產(chǎn)生委托人B的密鑰

委托人B的密鑰包括秘密鑰、公鑰、隨機(jī)公鑰三部分；

1)產(chǎn)生委托人B的秘密鑰

由前述知，委托人B的秘密鑰的一部分也為T(mén)，為(2-10)式：

可信第三方從有限域中隨機(jī)選擇一組數(shù)s_B11＝0,s_B12＝1,s′_B1＝0；s_B21＝1,s_B22＝0,s′_B2＝1,，代入(4)式，得到委托人B的秘密鑰S_B為：

對(duì)S_B即(2-17)式線性反解得為：

T和S_B構(gòu)成委托人B的秘密鑰，由B秘密保存；

2)產(chǎn)生委托人B的公鑰

可信第三方將S_B即(2-17)式代入到Q即(2-1)式中，得到的結(jié)果再代入到T即(2-10)式中，得到的委托人B的公鑰P_B，即

3)產(chǎn)生委托人B的隨機(jī)公鑰

將即(2-9)式代入到委托人B的公鑰P_B即(2-19)式中，即將v₁,v₂代入P_B中得到為：

(3)生成重簽名密鑰

可信第三方將秘密鑰即(2-8)式代入到受托人A的秘密鑰S_A即(2-11)式中，得到的結(jié)果再代入到委托人B密鑰即(2-18)式中，再將得到的結(jié)果再代入到秘密鑰即(2-7)式中，得到代理人進(jìn)行重簽名的重簽名密鑰rk_A→B為：

(4)受托人A產(chǎn)生簽名

取消息M，其編碼記為(u₁,u₂)＝(0,1)，將得到的結(jié)果代入到T^-1即(2-12)式中，得(y1,y2)＝(3,3)，將(y1,y2)＝(3,3)再代入到Q^-1即(2-2)式中結(jié)果為(x₁,x₂)＝(0,2)，再將(x₁,x₂)＝(0,2)代入到即(2-14)式中，得到的結(jié)果為(δ_A1,δ_A2)＝(1,1)，即為受托人A對(duì)消息(0,1)的簽名；

(5)代理人產(chǎn)生重簽名

代理人產(chǎn)生重簽名需要兩步：

(5.1)代理人對(duì)收到受托人A對(duì)消息(0,1)的簽名(δ_A1,δ_A2)＝(1,1)，首先用 受托人A的隨機(jī)公鑰即(2-16)式驗(yàn)證簽名(1,1)的正確性：將簽名(δ_A1,δ_A2)＝(1,1)代入到A的隨機(jī)公鑰即(2-16)式中，得結(jié)果為(0,1)，與原始消息相等，即受托人A對(duì)消息(0,1)的簽名為正確；

(5.2)因?yàn)?δ_A1,δ_A2)＝(1,1)為受托人A對(duì)消息(0,1)的正確簽名，則代理人將(δ_A1,δ_A2)＝(1,1)代入到重簽名密鑰rk_A→B即(2-21)式中，得到結(jié)果為(rk₁,rk₂)＝(1,1)，即為代理人對(duì)受托人A簽名的重簽名；

(6)重簽名正確性驗(yàn)證

將重簽名(rk₁,rk₂)＝(1,1)代入到委托人B的隨機(jī)公鑰即(2-20)式中，得到(0,1)，與原始消息相等，則該重簽名(rk₁,rk₂)＝(1,1)為正確簽名；

上述的為可信第三方隨機(jī)產(chǎn)生，系數(shù)均取自有限域，具有可逆性，且僅一次有效，即僅在本次代理重簽名中有效，下次代理重簽名需重新生成。

本發(fā)明可以抵抗合謀攻擊：

(1)受托人A通過(guò)隨機(jī)秘密鑰和秘密鑰T對(duì)消息(u₁,…,u_n)進(jìn)行簽名，簽名可表示為

(2)代理人通過(guò)重簽名密鑰將受托人A的簽名(δ_A1,…,δ_A1)轉(zhuǎn)換為委托人B的簽名時(shí)，簽名為：(rk₁,…,rk_n)＝rk_A→B(δ_A1,…,δ_A1)。

(3)若委托人B直接對(duì)該消息(u₁,…,u_n)進(jìn)行簽名，則為： 結(jié)果記為(δ_B1,…,δ_B1)。由于：

即對(duì)同一個(gè)消息，代理人產(chǎn)生的簽名(rk₁,…,rk_n)和委托人B產(chǎn)生的簽名(δ_B1,…,δ_B1)相同，因此，重簽名正確且有效。

本發(fā)明的安全性分析：

代理重簽名的安全性包括外部安全性和內(nèi)部安全性。

(1)外部安全性分析

當(dāng)存在外部非法第三方時(shí)，非法第三方無(wú)法與簽名參與方進(jìn)行合謀。這是因?yàn)?，非法第三方在沒(méi)有代理重簽名密鑰的情況下，若想偽造重簽名，則只能根據(jù)委托人B的隨機(jī)公鑰進(jìn)行簽名偽造，即需要計(jì)算需要利用委托人B的隨機(jī)公鑰求逆，求解委托人B的隨機(jī)公鑰即為有限域上求解非線性方程組解的問(wèn)題，該問(wèn)題為多變量公鑰體制的安全基礎(chǔ)，無(wú)法求解出，非法第三方無(wú)法與參與者合謀獲取有效簽名，外部攻擊無(wú)效，本發(fā)明滿足外部安全性。

(2)內(nèi)部安全性分析

(2.1)僅有重簽名密鑰代理人無(wú)法自行代表委托人B或者受托人A進(jìn)行消息簽名。

(2.2)當(dāng)委托人B可信，受托人A不可信，代理人與受托人A合謀。受托人A和代理人有重簽名密鑰和A的秘密鑰S_A、隨機(jī)秘密鑰由于秘密鑰是可信第三方隨機(jī)產(chǎn)生，并且與不相同，均為第三方秘密保存，在本次代理重簽名中受托人A無(wú)法獲得的信息，從重簽名密鑰rk_A→B和受托人A的秘密鑰S_A、隨機(jī)秘密鑰中無(wú)法獲得無(wú)法獲得委托人B的秘密鑰信息S_B，委托人B的秘密鑰S_B仍為安全，方案可靠。

(2.3)當(dāng)委托人B不可信，受托人A可信，委托人B和代理人合謀時(shí)，委托人B和代理人只有重簽名密鑰和委托人B的秘密鑰S_B、隨機(jī)密鑰由于秘密鑰是可信第三方隨機(jī)產(chǎn)生，并且與不相同，均為第三方秘密保存，即在本次代理重簽名中委托人B無(wú)法獲得的信息，從重簽名密鑰rk_A→B和B的秘密鑰S_B、隨機(jī)密鑰中無(wú)法獲得無(wú)法 獲得A的秘密鑰信息S_A，受托人A的秘密鑰S_A仍為安全，方案可靠。

(3)隨機(jī)密鑰和安全性分析

隨機(jī)密鑰和是由可信第三方秘密、隨機(jī)產(chǎn)生，分配給受托人A和委托者B，由于隨機(jī)密鑰和僅一次有效，在下一次代理重簽名時(shí)需要第三方重新產(chǎn)生，在本次代理重簽名完成后，隨機(jī)密鑰和即刻失效，可有效地防止受托人A和委托人B對(duì)隨機(jī)密鑰的重復(fù)使用，可有效地抵抗合謀攻擊。

本發(fā)明所應(yīng)用的理論基礎(chǔ)如下：

(1)有限域

有限域是一個(gè)包含兩個(gè)運(yùn)算加和乘的有限個(gè)元素的集合，且滿足對(duì)加法和乘法均具有結(jié)合律、交換律、非零元有逆元和乘法對(duì)加法的分配率等性質(zhì)。域中元素的個(gè)數(shù)稱為該域的階數(shù)，q階有限域，常記為或簡(jiǎn)記為有限域上的運(yùn)算為模運(yùn)算。

(2)多變量問(wèn)題

多變量問(wèn)題也簡(jiǎn)稱為多變量二次-問(wèn)題。由于多變量公鑰密碼體制的安全性是基于有限域上求解一組多變量非線性多項(xiàng)式方程：

p₁(x₁,…,x_n)＝p₂(x₁,…,x_n)＝…＝p_m(x₁,…,x_n)＝0，

求解該問(wèn)題為一NP-C問(wèn)題，其中p_i的系數(shù)和變量均取自有限域通常方程p_i取為二次，基于多變量問(wèn)題構(gòu)造的方案，前安全性基礎(chǔ)來(lái)自于從公鑰二次方程的直接破解的困難性，即已知公鑰求解方程組為一個(gè)非多項(xiàng)式時(shí)間完全(NP-C)困難問(wèn)題。

(3)變換

F是一個(gè)有限域，(y₁,…,y_n)＝f(x₁,…,x_n),x_i,y_i∈F稱之為一個(gè)變換，是指存在變化規(guī)則使得(x₁,…,x_n)經(jīng)過(guò)該變化規(guī)則變成為(y₁,…,y_n)，該變化規(guī)則記為f。