（计算数学专业论文）具有前向安全的数字签名的研究与改进.pdf

中文摘要 随着计算机和网络技术的快速发展，人类社会已进入信息化时代，随之而 来的是备受关注的信息安全问题数字签名技术是信息安全的核心技术之一 在军事、政治、外交等活动中有广泛的应用并且在身份认证、数据完整性和 抗否认等方面发挥着不可替代的作用随着电子签名法的实施数字签名的应 用将变得更加普遍面对各种各样的应用背景，研究具有不同特色的数字签名 就更具现实意义本文重点研究了具有前向安全的数字签名方案，主要工作如 下： 1 总结了数字签名的的研究背景及研究现状描述了数字签名的原理和分 类，同时简单介绍了代理数字签名以及签名的前向安全性 2 提出了一个指定验证人的前向安全的数字签名方案通过对h w 方案 的分析指出该方案容易收到攻击者的攻击，所以是不安全的在原方案的基础 上，我们提出一个指定验证人的签名方案，使其弥补了原方案的不足，并讨论了 其安全性 3 提出了一种新的前向安全的匿名代理签名方案通过对w - z 方案的分 析指出该方案易受到原始签名人和验证人合谋的攻击而且在追踪签名过程 中无法明确找出代理签名人的身份为了弥补以上缺点，我们给出了原方案的 一个改进方案，使改进后的方案不但可以有效抵抗上述攻击，而且还可以明确 揭示代理签名人的身份。具有可追踪性 4 提出一种新的指定验证人的代理签名方案该方案不仅满足前向安全 性还具有匿名性和可跟踪性 关键词 数字签名，代理签名，前向安全，匿名性 a b s t r a c t ( 英文摘要) w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n o l o g i e s ，h u m a nb e - i n g sh a v ee n t e r e di n t ot h ei n f o r m a t i o ne r a ，t h u st h es e c u r i t yp r o b l e mo fi n f o r - m a t i o nh a sb e c o m et h ef u n d a m e n t a lm a t t e r t h ed i g i t a ls i g n a t u r ei so n eo f t h ec o r et e c h n i q u e si ni n f o r m a t i o ns e c u r i t y i th a sb e e nw i d e l yu s e di nr a i l - i t a r y 、p o l i t i c s 、d i p l o m a c y , e t c ，a n dh a sb e e np l a y i n ga ni r r e p l a c e a b l er o l ei n t h ef i e l d so fi d e n t i t ya u t h e n t i c a t i o n 、d a t ai n t e g r i t ya n dn o n r e p u d i a t i o n ，e t c d i g i t a ls i g n a t u r ew i l lb e c o m em o r ea n dm o r ep o p u l a ra f t e rt h ee - s i g n a t u r el a w i sc a r r i e do u t f a c i n gv a r i o u sa p p l i c a t i o nb a c k g r o u n d s ，i th a sm o r ep r a c t i c a l s i g n i f i c a n c et os t u d yd i g i t a ls i g n a t u r e sh a v i n gd i f f e r e n tf e a t u r e s w ef o c u so n a n a l y z i n gf o r w a r d s e c u r ed i g i t a ls i g n a t u r e si nt h i sp a p e r t h em a i nw o r ki sa s f o l l o w s ： 1 t h eh i s t o r ya n dd e v e l o p m e n to fd i g i t a ls i g n a t u r ei ss u m m a r i z e d a n di t s p r i n c i p l ea n dc l a s s i f i c a t i o na r ed e s c r i b e d a tt h es a l n et i m e ，p r o x ys i g n a t u r ea n d f o r w a r d - s e c u r i t yo fd i g i t a ls i g n a t u r ea r ee a s i l yi n t r o d u c e d 2 ad e s i g n a t e d v e r i f i e rf o r w a r d - s e c u r i t ys i g n a t u r es c h e m ei sp r o p o s e d b y a n a l y z i n gt h eh ws c h e m e ，w ei n d i c a t et h a ti ti sa t t a c k e de a s i l yb yt h ea t t a c k e r ， s oi t i sn o ts e c u r e b a s e do nt h eo r i g i n a ls c h e m e ，w ep r o p o s ead e s i g n a t e d v e r i f i e rs i g n a t u r es c h e m e t h en e ws c h e m eo v e r c o m e st h es h o r t a g eo ft h eo r i g i n a l s c h e m e ，a n di t ss e c u r i t yi sd i s c u s s e d 3 an e wf o r w a r d s e c u r i t ya n o n y m o u sp r o x ys i g n a t u r ei sp r o p o s e d b y a n a l y z i n gt h e 乙zs c h e m e w ei n d i c a t et h a ti ti sa t t a c k e de a s i l yb yt h eo r i g i n a l s i g n e ra n dv e r i f i e r ，a n dt h ei d e n t i t yo fp r o x ys i g n e rc a n tb ef o u n dd e f i n i t e l y d u r i n gt h et r a c e a b l ep r o c e s s t oo v e r c o m et h es h o r t a g e ，w eg i v ea ni m p r o v e d s c h e m e i tc a nn o to n l yr e s i s tt h ea t t a c kb u ta l s or e v e a lt h ei d e n t i t yo fp r o x y s i g n e r s o ，i th a st h ep r o p e r t yo ft r a c e a b i l i t y 4 an e wd e s i g n a t e d - v e r i f i e rp r o x ys i g n a t u r ei sp r e s e n t e d i ti sn o to n l y f o r w a r d s e c u r eb u ta l s oa n o n y m o u sa n dt r a c e a b l e k e y w o r d s d i g i t a ls i g n a t u r e ，p r o x ys i g n a t u r e ，f o r w a r d s e c u r i t y , a n o n y m i t y 1 1 1 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版。 本人允许论文被查阅和借阅。本人授权西北大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。同时授权中国科学技术信息研 究所等机构将本学位论文收录到中国学位论文全文数据库或其它 相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名：庭鹞5 萤一一指导教师签名：辇型兰 刀叩年么月仁日矽a c 年多月，p 日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研 究工作及取得的研究成果。据我所知，除了文中特别加以标注和 致谢的地方外，本论文不包含其他人已经发表或撰写过的研究成 果，也不包含为获得西北大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 学位论文作者签名：庞侑偶 加哆年6 月z 日 西北大学硕士学位论文 第一章引言 1 1 信息安全的背景及意义 随着计算机网络和通信技术的飞速发展，人们之间的信息交流呈现出国际 化、网络化、数字化、智能化、宽带化的趋势可以说人类社会已经进入了 “信息时代 ，信息时代的主要特征是信息成了社会中最重要的一种资源和 财富，信息的交流和处理手段成了人们生活中必不可少的组成部分，使得过去 人们想象不到的许多事情都变成了现实现在，计算机已经被应用到政治、经 济、军事、科学文化和家庭生活等各个领域，网络信息交换也逐步成为人们获 取和交换信息的主要形式，信息安全变得越来越重要然而现代信息技术是一 把双刃剑，它一方面给人类带来了巨大的好处，另一方面又给人类带来了前所 未有的威胁由于信息的存储、传递和处理等过程往往是在开放的通信网络上 进行所以信息容易受到窃听、截取、修改、伪造和重放等各种攻击手段的威 胁因此，与通信技术的高度发展相对应，信息安全成了信息社会急需解决的晟 重要的问题之一密码技术在解决网络信息安全的问题中发挥着重要作用信 息安全服务要依赖各种安全机制来实现而许多安全机制则需要依赖于密码技 术使用密码技术不仅可以有效保障信息的机密性而且可以保护信息的完整 性和真实性防止信息被篡改、伪造和假冒等因此，密码技术是信息安全的 基础技术是信息安全学科建设和信息系统安全工程实践的基础理论之一 信息安全在其发展过程中经历了三个阶段：2 0 世纪6 0 年代以前人们强 调的主要是信息交换过程中的信息保密性对安全理论和技术的研究也只侧重 于密码学，这一阶段的信息安全可以简单称为信息保密f i n f o r m a t i o np r i v a c y ) 2 0 世纪6 0 年代后半导体和集成电路技术的飞速发展推动了计算机软硬件 的发展计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全 的关注已经逐渐扩展为以保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用 性( a v a i l a b i l i t y ) 为目标的信息安全( i n f o r m a t i o ns e c u r i t y ) 从2 0 世纪8 0 年 】 第一章引言 代开始，由于互联网技术的飞速发展信息无论是对内还是对外都得到极大 开放，由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经不 仅仅是传统的保密性、完整性和可用性三个原则了，由此衍生出了诸如可控 性( c o n t r o l l a b i l i t y ) 、认证性( a u t h e n t i c i t y ) 、不可否认性( n o n r e p u d i a t i o n ) 等其他的原则和目标，信息安全也转化为从整体角度考虑其体系建设的信息保 障( i n f o r m a t i o na s s u r a n c e ) 1 1 对于运行系统中的信息而言，它的安全性就体 现在保密性( c o n f i d e n t i a l i t y ) 、数据完整性( d a t ai n t e g r i t y ) 、实体认证( e n t i t y a u t h e n t i c a t i o n ) 、签名( s i g n a t u r e ) 、消息认证( m e s s a g ea u t h e n t i c a t i o n ) 、可 用性( a v a i l a b i l i t y ) 、授权( a u t h o r i z a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、可 控性( c o n t r o l l a b i l i t y ) 、收据与确认( r e c e i p ta n dc o n f i r m a t i o n ) 、不可否认 性( n o n - r e p u d i a t i o n ) 这几个方面，而密码学则是研究与信息保密、数据完整 性、实体认证等相关的数学技巧f 2 】 1 2 密码学的背景及意义 密码学是一门古老的学科，大概自人类社会出现战争便产生了密码f c i p h e r ) 因为长期以来密码技术仅用于军事、政治、外交等要害部门的保密通 信使得密码技术的研究工作也是秘密进行的所以密码学始终给人们一种神 秘感信息技术的发展迅速改变了这一切随着计算机和通信技术的迅猛发展 大量的敏感信息常通过公共通信设施或计算机网络进行交换。特别是因特网的 广泛应用、电子商务和电子政务的迅速发展越来越多的个人信息需要严格保 密，如银行账号、个人隐私等正是这种对信息的机密性和真实性的需求，密码 学才逐渐揭去了神秘的面纱走进公众的生活简单的说密码学是研究信息 系统安全的一门学科它主要包括两个分支即密码编制学和密码分析学密 码编制学是对信息进行编码实现信息隐蔽的一门学科其主要目的是寻求保护 信息保密性和认证性的方法：密码分析学是研究分析破译密码的学科其主要 目的是研究加密消息的破译和消息的伪造密码编制学和密码分析学既相互对 2 西北大学硕士学位论文 立又相互促进地发展密码技术的基本思想是对消息做秘密变换，变换的算法 即称为密码算法，而决定秘密变换的秘密参数叫做密钥( k e y ) 在密钥的作用 下，把有意义的明文( p l a i n t e x t ) 变换成无意义的密文( c i p h e r t e x t ) 的变换叫 做加密算法( e n d y m i o n ) ，相应的逆变换叫解密算法( d e c r y p t i o n ) 若在密钥 的作用下把消息变换成一种“证据”用来说明某个实体对消息内容的认可。则 称变换为签名算法( s i g n a t u r e ) ，相应的逆算法称为验证算法( v e r i f i c a t i o n ) 3 1 根据密钥的特点，密码体制可分为公钥体制( p u b l i c k e ys y s t e m ) 和私钥体 制( p r i v a t e k e ys y s t e m ) 在私钥密码体制中，一对加密或解密算法使用的 密钥相同或实质相同在公钥体制中，加密或解密算法使用的密钥不同。而且 从一个难于得到另一个按照加密方式，密码系统又可以分为流密码f s t r e a m c i p h e r ) 和分组密码或块密码( b l o c kc i p h e r ) 前者将明文按位( b i t ) 加密，后 者将明文分成定长的块( b l o c k ) 加密大部分公钥密码系统属于块密码1 4 】 任何一个密码系统至少包括下面四个组成部分： ( 1 ) 未加密的报文，也称明文 ( 2 ) 加密后的报文，也称密文 ( 3 ) 加密解密设备或算法，以及加密和解密的规则和协议 f 4 1 加密解密的密钥【5 】 发送方用加密密钥通过加密设备或算法将信息加密后发送出去接收方 在收到密文后用解密密钥将密文解密恢复为明文如果传输中有人窃取他 只能得到无法理解的密文从而对信息起到保密作用 密码学的研究发展大概有三个阶段： 第一阶段是从古代到1 9 4 9 年这一时期可以看作是科学密码学的前夜时 期这阶段的密码技术可以说是一种艺术，而不是一种科学，密码学家常常是凭 直觉和信念来进行密码设计和分析而不是推理和证明 第二阶段是从1 9 4 9 到1 9 7 5 年1 9 4 9 年s h a n n o n 发表的保密系统的 信息理论【6 】一文为私钥密码系统建立了理论基础，从此密码学成为一门学 科这段时期密码学理论的研究工作进展不大公开的密码学文献很少1 9 6 7 3 第一章引言 年k a h n 出版了一本专著破译者该书没有任何新的技术思想，只记述了 一段值得注意的完整经历，包括政府仍然认为是秘密的一些事情它的意义在 于不仅记述了1 9 6 7 年之前密码学发展的历史，而且使许多不知道密码学的人 了解了密码学 第三阶段是从1 9 7 6 年至今1 9 7 6 年d e f f i e 和h e l l m a n 发表的文章 n e w d i r e c t i o ni nc r y p t o g r a p h y 【7 】一文导致了密码学上的一场革命他们首次 证明了在发送者和接受者之间无密钥传输的保密通信是可能的从此开辟了公 钥密码学的新纪元【3 】 密码是实现秘密通讯的主要手段是隐蔽语言、文字、图象的特种符号 凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来不为第三者 所识别的通讯方式称为密码通讯【8 】在计算机上实现的数据加密其加密或解 密变换是由密钥控制实现密钥是用户按照一种密码体制随机选取，它通常是 一随机字符串，是控制明文和密文变换的唯一参数 密码技术在信息安全中的应用除了提供信息的加密解密外，还具有对信息 来源进行鉴别、保证信息的完整性和不可否认性等功能而这三种功能都是通 过数字签名实现的数字签名的目的是提供一种手段使得一个实体把他的身 份与某个信息捆绑在一起一个消息的数字签名实际上是一个数它仅仅依赖 于签名者知道的某个秘密。也依赖于被签名信息本身所以。一般将数字签名看 成是一种证明签名者身份和所签署内容真实性的一段信息 1 3 数字签名的研究背景及现状 数字签名是对传统手写签名的模拟在实现身份认证、数据完整性、不可 抵赖性等方面都有重要应用，是计算机信息安全的核心技术之一，利用这种技 术，签名的接收者可以确定签名发送者的身份是否真实同时，发送者不能否认 发送的消息，接收者也不能篡改接收到的消息在现实生活中，数字签名已在越 来越多的产品及协议中得到应用。尤其在电子邮件、电子银行、电子商务和电 4 西北大学硕士学位论文 子政务等许多领域有重要应用价值是当前信息化建设中的关键安全机制之一 1 3 1 数字签名的研究背景 在电子商务时代网上商务活动频繁，许多事物需要经过当事者签名来加 以认可在传统的以书面文件为载体的事物处理当中，通常采用印章、手写签 名、指纹等方式作为书面签名以便在法律上能够认证、核准、生效随着计 算机和网络技术的普及与发展数字化、电子化的趋势已经波及社会生活的各 个方面，人与人之间的许多交往活动，包括商业贸易、金融贸易以及其他一些 经济活动，不少都是以数字信息的方式通过开放的计算机网络来完成的因此。 人们希望在保护信息不受非法的篡改、删除、重放和伪造等攻击的同时，能够 通过数字通信网络进行迅速的、远距离的贸易合同的签名于是，数字签名技 术应运而生数字签名技术是给电子文档进行签名的一种电子方法，它利用密 码技术进行，其安全性取决于密码体制的安全程度，可以获得比传统签名更高 的安全性数字签名的目的同样是保证信息的完整性和真实性。即消息内容没 有被篡改而且签名也没有被篡改，消息只能始发于所声称的发方数字签名与 书面签名的区别在于，书面签名是可以模拟的签名因人而异而数字签名是数 字串，签名因消息而异、同一当事人对不同消息的数字签名是不同的、原有文件 的修改必然会反映为签名结果的改变某一文件的书面签名可被伪造者复制到 不同的文件上而任一文件的数字签名都不可能被复制到不同的文件上生成伪 造签名随着计算机网络技术的发展，安全、高效、完整的传递数据信息变得 日益重要数字签名己成为了现实信息认证的重要工具并在信息安全、身份 认证、数据完整性、不可否认性及匿名性等方面发挥了重要作用成为了电子 商务与网络安全的关键技术之一 作为保障网络信息安全的重要手段数字签名主要有以下特性： 1 防伪造：其他人不能冒充签名者对消息进行签名接收方能鉴别发送方 所宣称的身份： 5 第一章引言 2 防篡改：对消息进行签名后，消息的内容不能更改； 3 防抵赖：签名者事后不能声称他没有签过名【9 ，1 0 1 签名因消息而异、即同一个人对不同的消息签名，其结果是不同的对消息 的修改也必然会导致签名结果的改变，消息与其签名两者不可分割但是在数 字签名中有效签名的复制同样是有效的签名因此，在数字签名的方案设计中 要预防签名的非法重放可以通过在签名报文中添加流水号、时间戳等技术来 抵抗重放攻击 早期的数字签名是利用传统的对称密码来实现的，非常复杂，安全性也不 高自公开密钥密码体制出现以后，数字签名技术日益成熟，逐步走向实用化 目前在德国、日本、加拿大以及美国等许多国家都颁布和实施了各自的有关 数字签名的法律使得在这些国家数字签名与传统签名一样具有法律效力我 国的电子签名法于2 0 0 4 年8 月在十届全国人大常委会第十一次会议上获 得通过。它规定了数字签名的程序和合法性从定义、适用范围、认证规范、 法律责任等诸多方面给出了法律规范 数字签名技术的研究与使用拓宽了密码学的研究范围和领域在网络 通信、身份认证中占有独特的地位随着信息时代的到来网络应用中涉及 到伪造、抵赖、冒充、篡改和身份鉴别的问题都可以用数字签名技术来解 决 1 1 ，1 2 ，1 引作为一种核心有效的信息安全技术数字签名技术的应用面将越来 越广需要数字签名技术支撑的应用系统也将越来越多数字签名将成为网络 信息安全体系的基础与支柱 1 3 2 数字签名的研究现状 自1 9 7 6 年数字签名技术被提出以来就一直受到各国学者的广泛关注和 研究，并取得了大量的研究成果，随之各种数字签名方案被纷纷提出，其中包括 普通的数字签名方案和具有特殊性质、特定功能的特殊类型的数字签名方案 对数字签名的研究与对公钥密码的研究是同时开始的1 9 7 6 年d i f f i e 6 西北大学硕士学位论文 和h e l l m a n 发表了著名的密码学的新方向m ，提出了公钥密码系 统( p u b l i c k e yc r y p t o s y s t e m ) 的概念，为信息安全提供了新的理论和 技术支持，开创了密码学的一个新时代公钥密码系统可以有两种用法：一是 用公钥进行加密，密文只有私钥持有者才能解密，这可实现多对一的保密通 信；另一个是用私钥进行加密，所有持有公钥的人都可以解密，并有理由相信 消息发自该公钥对应私钥的持有人，这可实现一对多的认证通信【1 4 1 后一 种用法是公钥密码系统的一个非常重要的新特点即能提供认证性在1 9 7 6 年，d i f h e 和h e l l m a n 就指出利用公钥密码系统的后一种用法可以实现单向认 证( o n e - w a ya u t h e n t i c a t i o n ) ，接收者只需把密文作为证据保留下来，就可以在 必要的时候证明消息的来源，这就是最初的数字签名思想显然。一开始d i m e 和h e l l m a n 是不区分公钥密码系统和数字签名系统的但后来的发展和研究表 明公钥密码系统和数字签名系统是应该区分的。因为人们发现有些公钥密码方 案并不适合用来签名，而有更多的方案则是专门用来签名的 1 9 7 8 年。由r i v e s t ，s h a m i r 和a d l e m a n 一起提出了基于大整数分解困难 性的r s a 数字签名方案，他们同时给出了著名的r s a 公钥密码方案【1 5 i 此 后的二十几年里，新的数字签名方案如雨后春笋般不断涌现，其中比较著名 的有：e l g a m a l 数字签名方案、s c h n o r r 数字签名方案、r a b i n 数字签名方 案、d s a ( d i g i t a ls i g n a t u r ea r i t h m e t i c l 数字签名方案、o l ：c a m o t o 数字签名方 案等【1 6 1 7 ，18 1 随着对数字签名不断深入的研究，同时也由于电子商务、电子政务的快 速发展简单模拟手写签名的一般数字签名己不能完全满足需要因此人们又 进一步提出了许多具有特殊性质或特殊功能的数字签名如1 9 8 2 年c h a u m 引入了盲签名【1 9 】，使签名者在仅看到盲化文件的情况下实现对原文件的签 名从而实现了电子货币的匿名性c h a u m 和a n t w e r p e n 于1 9 8 9 年提出了 不可否认签名【2 0 1 ，适用于保护电子出版物的知识产权，可防止复制或散布签 名者签署文件的可能性使签名的验证需在签名者合作的情况下才可实现 1 9 9 1 年b p f i t z m a n n 提出了防失败签名算法【2 1 1 该算法使得假如签名密钥被 7 第一章引言 泄漏，签名被伪造时，签名者可产生一个证据证明他并未签署过这样一个签名， 这样可证明该系统不能再使用在普通数字签名方案中，无论是签名者还是 验证者都只有一个用户参加，这在实际应用中具有很大的局限性，于是，1 9 8 3 年i t a k u r a 和n a k a m u r a 引入了多重签名的概念群签名则是相对较新的一 类数字签名，它是c h a u m 和v a n h e i s t 于1 9 9 1 年首先提出的一种数字签名方 案【冽群签名在电子选举，电子拍卖，电子现金中有着重要的应用c h a u m 还 在1 9 9 4 年引入了指定证实人签名矧，解决了一种实际应用中可能遇到的问题， 即签名接收者希望与签名者以交互方式来验证签名的有效性1 9 9 6 年m a m b o 等人提出了代理签名的概念【2 5 1 用以解决实际中可能存在的签名权力的委托 和代理问题随后人们又相继提出了许多适用于不同场合的数字签名，将这些 签名组合又提出了群盲签名、代理盲签名、代理多重签名等【9 】 总之。在电子商务、电子政务以及现代密码学快速发展的推动下数字签 名己发展成为内容丰富、应用广泛的信息安全核心技术之一 1 4 论文的研究内容与章节安排 本文围绕数字签名和代理签名进行了深入研究并在以下几个方面作出了自 己的贡献： 一、对一种前向安全的数字签名方案进行了分析指出其虽然满足前向安 全性但容易受到攻击者的攻击，所以方案是不安全的在原方案基础上做了改 进构造了一个指定验证人的签名方案并证实了其安全性 二、对一种前向安全的匿名代理签名方案进行了分析。在指出该方案容易 受到原始签名人和签名验证人合谋攻击的同时提出了一种改进方案使其可 以抵抗上述攻击满足了签名的安全性要求并具有了原方案不满足的可追踪 性 三、基于一种具有前向安全性质的指定验证人代理签名方案提出了具有 新特点的代理签名方案使其不仅满足前向安全的性质还满足匿名性和可跟 8 西北大学硕士学位论文 踪性 本文共分为四部分，分别以引言、数字签名、代理数字签名、结论四部分 进行论述 第一章中主要介绍了信息安全、密码学的相关知识以及数字签名的研究背 景、数字签名的研究现状等 第二章中首先介绍了数字签名的定义、原理、分类及具有前向安全的数字 签名，然后通过对一个具有前向安全的数字签名方案进行分析，提出一个改进 方案。并对改进后的方案进行了安全性分析 第三章中首先介绍了代理签名的性质和分类，然后对一个具有前向安全的 匿名代理签名方案进行了分析，并在其基础上提出了一个改进方案最后给出 了一种新型的代理签名方案并对其进行了分析 第四部分结论中我们对数字签名的发展前景进行了展望，并对本文所做的 工作进行了简单总结，同时提出了几个仍需继续研究的问题 9 第二章数字签名 第二章数字签名 一般的书信或者重要文件f 如签订合同、遗嘱、收养关系、夫妻财产关系 等) 是根据亲笔签名或印章来证明其真实性的些重要的证件，如护照、身份 证、驾照、毕业证和技术等级证书等是通过权威部门颁发通常采用的防伪方 法是：特殊材料制作或信息隐藏等在网络环境中需要存储、传输大量信息 信息的接收方可以伪造一份报文，并声称是发送方发送过来的，从而获得非法 利益比如，银行通过网络传送一张电子支票，接收方就可能改动支票的金额， 并声称是银行发送过来的同样地，信息的发送方也可以否认发送过报文，从而 获得非法利益比如，客户给委托人发送一份进行某项股票交易的报文。结果这 项股票交易亏损了客户为了逃避损失否认发送交易的报文归纳起来通信双 方可能发生下列情况： ( 1 ) 否认：发送方不承认自己发送过某一报文 ( 2 ) 伪造：接收方自己伪造一份报文，并声称它来自发送方 ( 3 ) 冒充：网络上的某个用户冒充另一个用户接收或发送报文 ( 4 ) 篡改：接收方对收到的信息进行篡改 因此，需要新的信息安全技术来保证传输信息的真实性解决通信双方的 争端这种技术就是数字签名技术【9 】 在传统的商业系统中书面文件的亲笔签名或印章是用来规定契约性的责 任的签名或印章起到认证、核准、生效的作用同样地，在电子商务活动中， 传送的文件是通过数字签名来证明当事人身份与数据真实性的数据加密是保 护数据的最基本方法但也只能防止第三者获得真实数据它不能保证通信双 方的相互欺骗数字签名则可以解决否认、伪造、篡改及冒充等问题一个数 字签名方案至少要满足以下三个条件： ( 1 1 不可否认性：签名者事后不能否认做过签名 ( 2 ) 不可伪造性：其他人不能伪造签名 1 0 西北大学硕士学位论文 ( 3 ) 可仲裁性：当双方对一个签名的真实性发生争执时，第三方应能解决争 执1 2 6 】 2 1 数字签名的定义 数字签名是附加在数据单元上的一些数据或是对数据单元所作的密码变 换，这种数据和变换允许数据单元的接收者用以确认数据单元的来源和数据单 元的完整性，并保护数据，防止被他人伪造从动态过程看数字签名技术就是 利用数据加密技术、数据变换技术，根据某种协议来产生一个反映被签署文件 和签署人特性的数字化签名【2 7 i 一般数字签名方案包括三个过程：系统的初始化过程、签名的产生过程和 签名的验证过程下面给出数字签名的形式化定义： ( 1 ) 系统的初始化过程：产生签名方案中的基本参数( m ，s ，k ，s i g ，v e r ) ， 其中m 是消息集合，s 是签名集合，k 是密钥集合，包含私钥s k 和公钥p k ； s i g 是签名算法集合v e r 是签名验证算法集合 ( 2 ) 签名产生过程：对于密钥集合k ，相应的签名算法为8 i 鲰s i g ，s i g k ： m s ，对任意的消息m m ，有8 = s i 鲰( m ) ，那么，s s 为消息y 1 1 的签名， 将( m ，8 ) 发送到签名验证者 ( 3 ) 验证签名过程：对于密钥集合k ，有签名验证算法 v e r k ：m s 一 t r u e ，f a l s e ，即：v e r k ( r n ，8 ) = t r u e f a l s e ，s = s i g k ( m ) 签 名验证者收到( m ，s ) 后，计算v e r k ( m ，s ) ，若v e r k ( m ，s ) = t r u e ，则签名有效； 若v e r 知( m ，s ) = f a l s e ，则签名无效【2 8 】 2 2 数字签名的原理和分类 2 2 1 数字签名的原理 在公钥密码学中密钥是由公开密钥和私有密钥组成的密钥对数字签名 就是用私有密钥进行加密，接收方用公开密钥进行解密，由于从公开密钥不能 1 1 第二章数字签名 推算出私有密钥，所以公开密钥不会损害私有密钥的安全公开密钥无须保密、 可以公开传播，而私有密钥必须保密因此，当某人用其私有密钥加密消息时， 能够用他的公开密钥正确解密，就可以肯定该消息是某人签字的，这就是数字 签名的基本原理【9 】因为其他人的公开密钥不可能正确解密该加密过的消息， 其他人也不可能拥有该人的私有密钥而制造出该加密过的消息 实现数字签名的算法很多，任何公钥密码算法都可以用于实现数字签名 为了说明其工作原理，先介绍一个概念哈希( h a s h ) 函数又称为杂凑函数、散 列函数、消息摘要或数据摘要等。它把任意长度的消息变换为一个固定长度的 散列值当消息哪怕只有一个比特位产生变化时，数据摘要显著地发生变化，不 论消息长度如何，其目的是把大的消息压缩了，变短了，因此，称数据摘要为数 据指纹当消息在插入、篡改、重排之后，其数据指纹也要发生变化，显然可以 提供完整性服务 通俗地说，数字签名就是由信息的发送者通过一个单向h a s h 函数对要传 送的报文进行处理产生别人无法伪造的一般数字串这个数字串用以认证报文 的来源并核实报文是否发生了变化发送者用自己的私有密钥加密数据传给接 收者，接收者用发送者的公钥解开数据后，就可确定消息来源，同时也是对发送 者发送信息的真实性的一个证明发送者不能抵赖 2 2 2数字签名的分类 ( 1 ) 基于数学难题的分类 根据数字签名方案所基于的数学难题，数字签名方案可分为基于离散对数 问题的签名方案、基于素因子分解问题的签名方案、基于椭圆曲线离散对数问 题的数字签名方案、基于离散对数和素因子分解的数字签名方案、基于二次剩 余问题的签名方案等比如e l g a m a l 数字签名方案和d s a 数字签名方案都 是基于离散对数问题的数字签名方案 2 9 而众所周知的r s a 数字签名方案是 基于素因子分解问题的数字签名方案将离散数字签名系统的研究与实现对数 1 2 西北大学硕士学位论文 问题和因子分解问题结合起来，又可以产生同时基于离散对数和素因子分解问 题的数字签名方案 ( 2 ) 基于签名用户的分类 根据签名用户的不同，数字签名可分为单用户签名和多用户签名多个用 户的签名方案又称多重数字签名方案根据签名过程的不同，多重数字签名方 案可分为有序多重数字签名方案和广播多重数字签名方案【3 0 0 ( 3 ) 基于数字签名是否具有恢复特性的分类 根据签名是否具有恢复特性。数字签名可分为两类一类是不具有消息自 动恢复的特性，另一类是具有消息自动恢复的特性 ( 4 ) 基于签名人对消息是否可见的分类 根据签名人对消息是否可见数字签名分为普通数字签名方案和盲签名方 案盲签名方案表示签名者对消息不可见，但事后可以证明消息的存在又根据 签名者是否可以对消息拥有者进行追踪分为弱盲签名方案和强盲签名方案 ( 5 ) 基于签名人是否受别人委托签名的分类 根据签名人是否受人委托数字签名分为普通数字签名方案和代理签名方 案如果授权的不是一个人而是多个人这时的数字签名方案称为代理多重数 字签名方案【9 】 5 2 3 具有前向安全的数字签名 对于普通的数字签名其安全性包括两个方面：一方面是签名的安全性即 数字签名方案抵抗密码分析的安全性；另一方面是签名密钥的安全性即签名 密钥保管的安全性前者依赖于方案中的安全假设和安全参数一般情况下可 以选用著名的数字签名( 如r s a 签名方案e l g a m a l 签名方案) 和大的安全 参数来保证数字签名的抗密码分析的安全性而对于后者来说一旦签名秘密 密钥被泄漏将会给整个系统带来灾难性的后果在现实世界中一个聪明的敌 手主要还是针对后者进行攻击也就是说签名的秘密密钥的泄漏是在所难免 1 3 第二章数字签名 的，一旦签名的密钥被敌手知道后，那么所有的签名，即使是很久以前的也不能 保证安全性 为了解决这个问题、人们提出了很多不同的方法试图降低系统密钥在传输 中泄漏的机会常见的方法就是密钥的分布式共享，例如门限签名方案但是这 种方法耗费巨大，尤其对于单个用户来说实施起来太昂贵，而且可能由于操作 系统的安全漏洞，极有可能使盗窃者采用同一个手段窃取所有的分布式密钥 因此分布式所能提供的安全性没有人们想象的那么高 基于这样的背景，1 9 9 7 年a n d e r s o n 首次提出了前向安全的概念【3 1 】主要 思想是将密码学系统整个生命期分成若干个时段系统的秘密值在每个时段不 断的变化对于通过进化得到的每个时段的秘密值要求当前时段秘密值的泄漏 不影响基于以前时段的秘密值的安全性前向安全的思想被分别应用于数字签 名和公钥加密中得出相应的密码学方案 2 4 具有前向安全的数字签名的改进方案 随着公钥密码体制的深入和电子商务的迅猛发展，数字签名在众多领域越 来越显示其重要的作用但在有些情况下数字签名常常面对签名密钥泄露的 威胁，为了解决密钥泄露的问题，以保证签名密钥泄漏时，保护部分签名的安全， 就产生了前向安全数字签名的思想 前向安全签名就是把整个签名有效时间分成若干个时段在每个签名时段 使用不同的签名密钥进行签名，而签名公钥在整个过程中保持不变这样即使 第i 时段的密钥泄露了也不会影响i 时段之前签名方案的安全性文献3 2 1 提 出了一种基于e l g a m a l 的前向安全数字签名，文献3 3 1 对该方案进行了分析， 指出该方案不具有前向安全性，并给出了一个改进方案在本文中，对文献f 3 3 1 进行了安全性分析指出该方案虽然满足前向安全性但容易受到攻击者的攻 击故而方案是不安全的本文在其基础上做了改进构造了一个指定验证人的 签名方案，不但满足前向安全性还能有效抵抗攻击者的攻击 1 4 西北大学硕士学位论文 2 4 1 h w 数字签名方案回顾 ( 1 ) 密钥生成 设t 是密钥的生存时间周期，生成两大素数q 1 ，q 2 ，使得p l = 2 q 1 + 1 ，p 2 = 2 q 2 + 1 均为素数，令佗= p i p 2 ，g = ( g ) 是阶为n 的一个群； 生成t 个素数e l ，e 2 ，e t 兹，再随机选择一个x 0 【1 ，n 】，计 算x l = z ；1 m o d 九； 计算公钥y = z f 纷”押m o dn ，并公开参数p k = 扎，zy ，e l ，e 2 ， e t ，夕) ( 2 ) 私钥更新算法 设第j 时间段的密钥为巧，系统一旦进入时间段j ，签名者使用拥有 的j 一1 时间段的密钥x j 一1 进行计算，若歹= t + 1 ，则巧为空串，对其余 的j ( 1 j r ) ，令x j = 孛1 m o d 他，计算出x j 后，立即删除x j 一1 ( 3 ) 签名算法 设m 是待签名的消息则每一个时间段签名算法为： 随机选择w z ，计算r = x j 9 叫m o dn ，v = 一8 t m o d 礼； 对该时间段的每一个签名，随机选择k 磊，计算让= v k m o d 几； 计算盯= h ( j ，r ，乱，m ) ，8 = k 一盯 ，签名结果为( 8 ，盯，j ，r ) ( 4 ) 验证算法 当收方收到签名者在时间段j 对消息m 的签名( 8 ，仃，j ，r ) 后， 计算r 7 = r c j + 1 e r r o o d 礼，v2 夕e 。r m o d 佗，乱7 = v s ( 秒r 甲r o o d 死； 验证盯= h ( j ，r ，心7 ，m ) 是否成立，若成立，则认为该签名是真实的，否 则拒绝该签名【3 3 1 2 4 2 伪造攻击 假设签名处在第j 个时间段，g 为攻击者，m 7 是g 的伪造消息，攻击者g 对m 7 的伪造签名如下： 1 5 第二章数字签名 g 随机选择w ，k 磊，令口= g e j + 1 e r m o d7 1 , ，r = 一( 勺+ 1 e r ) g w m o d 佗， u = v k m o d 礼，仃= h ( j ，7 ，让，m ，) ，8 = k 一仃叫，对消息m 7 的伪造签名 为( s ，盯，j ，7 ) 验证签名：计算，= r e j + l e r m o dn ， = g e j + l 。r r o o d 礼， 乱7 = v s ( 秒r 7 ) 盯r o o d 凡= g e j + 1 8 r ( 七一口伽) ( y r ) 口r o o d 礼 2 夕勺+ 1 8 r ( 七一。1 。) 秒口r e # + 1 - e r 口r o o d n = g e j + l - - e r ( 七一口t