代理簽章機制

來源性，其架構如圖 2-3。此機制非常適用於無基礎行動網路環境，以下即就 代理簽章做詳細說明。

圖 2- 3 代理簽章(完全授權)架構

最早討論代理簽章是由 Mambo 等學者於 1996 年所提出，他們所提的概念 是原始簽章者可以指派一個代理人來代為簽章，而此代理人所簽署文件的效力 就等同原始簽章者一樣，但由於他們所提的機制無法解決不可否認性，亦即是 說，代理者可以否認曾經簽署過此份文件，故不適用。所以，後續有很多學者 就此問題提出解決方案。下面將介紹代理簽章的特性及其種類。一般而言，簽 章所代表的含意是它應具有不可偽造性及可驗證性，也因為有此特性方能達到 不可否認性。而代理簽章機制亦是如此。以下即就代理簽章的特性做介紹：

 可區別性：即是驗證者它可以驗證被簽署之文件，到底是由原始簽章者所

簽署或是由代理簽章者所簽署；若為多重代理簽章，除了需符合上述之要 求外，還需要分辨是由那位代理簽章者所簽署。

 不可偽造性：只有原始簽章者所指派代理簽章者，才可產生有效的代理簽

章文件，沒有任何人可偽造此代理簽章。

 可驗證性：驗證者可以從代理簽章者所送過來的公開訊息中驗證此簽章之

合法性，且需能驗證此簽署文件是由原始簽章者所授權。

 識別性：從代理簽章資訊，原始簽章者可識別代理簽章者的身份。

 不可否認性：其效果就和一般數位簽章一樣，即代理簽章者不可否認曾經

簽署過此份文件。

 公平性：代理簽章者不能將代理簽章的權力轉移給它人使用，否則對原始

有代理簽章者之代理金鑰，故無法假冒代理簽章者對文件作簽署。

授權憑證：此種授權方式即由原始簽章者產生一個授權憑證給代理簽章 者，而此授權憑證乃利用原始簽章者之私密金鑰簽署後產生，此憑證內容除了 包括代理簽章者有權力代為執行簽章外，還需包括代理權限與期限及可簽署文 件的類型等等。代理簽章者拿到此憑證之後，即可利用自己的私密金鑰簽署所 代簽之文件，並將憑證一起送給接收者。而驗證者它除了需驗證此簽署文件的 正確性外，還需檢查此憑證之合法性，以確保是否由原始簽章者授權給此代理 簽章者簽署此份文件。

結合授權憑證之部份授權：此授權機制是將第二種與第三種的授權機制結 合起來。原始簽章者先設定代理簽章者所應具有的權力，例如上述的代理權限 與期限、可簽署文件的類型等等，然後再利用自己的私密金鑰連同所規範的簽 署權力加以計算，再將結果送至代理簽章者。代理簽章者收到此訊息後，即利 用此訊息與自己的私密金鑰加以計算，以產生代理金鑰，而代理簽章者所簽署 的文件中亦須包含原始簽署者所規定的簽署權力，因此，只有符合此簽署權力 的簽署文件才具有合法性。