（应用数学专业论文）基于身份的群签名方案研究.pdf

摘要 论文题目：基于身份的群签名方案研究 学科专业：应用数学 研究生：王娟 指导教师：王晓峰副教授 摘要 签名： 签名： 随着信息技术的高速发展和计算机网络技术的广泛应用，信息安全问题显得越来越重 要，已经成为国内外计算机和网络应用领域普遍关注的热门研究课题。数字签名作为认证 的主要手段，为信息安全提供了重要的技术支撑。群签名作为数字签名的重要分支，可以 用来实现一些特殊的认证要求。本文对基于身份的群签名以及群签名中消息的机密性问题 进行了深入地研究。主要工作如下： 总结了群签名方案的发展历史和研究状况，并描述了群签名的定义、安全特性及其应 用前景，同时对群签名的几种变体作了简要介绍。 分析了基于身份的公钥密码系统的特点和基于身份的群签名方案。基于身份的公钥密 码系统，虽然能够简化密钥的管理方式，但是系统必须无条件地信任私钥生成中心，这给 基于身份的公钥密码系统的使用带来了限制。 提出了一个无可信私钥生成中心的基于身份的指定接收者群签密方案。在该方案中， 群签密者代表由n 个成员组成的群对消息进行签密，只有指定接收者可以从群签密密文恢 复出被签密消息的明文，从而验证群签密的有效性，并可以通过指定接收者进一步公开相 关信息，转化为不泄露消息明文但可以被公开验证的群签名。该方案能够同时保证消息的 机密性、可认证性和不可否认性。本方案为开放网络环境下的群体认证以及认证中的机密 性提供了有效的解决方案。 关键词：基于身份的密码系统；私钥生成中心；群签名；群签密 本研究得到以下基金的瓷助 国家自然科学基金( 印8 9 ) 陕西省教育厅自然科学研究计划资助项目( 0 3 1 6 5 ) 西安理工大学科技创新基金( 1 0 8 - 2 1 0 4 0 2 ) 陕西省自然科学基础研究计划资助项目( 2 0 0 5 f 0 2 ) 陕西省教育厅专项科学研究计划资助项目( 0 6 ，】殴1 3 ) 国际合作项目( 日本) 京通株式会社( 1 0 5 0 1 ) 企业项目( 西安) 西安瑞日电子发展有限公司( 1 0 8 - 2 3 0 6 0 8 ) a b s t r a d t i t l e ：r e s e a r c ho nl d e n t i t y - b a s e dg r o u ps i g n a t u r e s c h e m e m a j o r ：a p p l i e dm a t h e m a t i c s n a m e ：j u a nw a n g s i g n a t u r e ： s u p e r v i s o r ：a s s o c i a t ep r o f x i a o f e n gw a n gs i g n a t u r e ： a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n i q u ea n dt h el a r g e - s c a l ea p p l i c a t i o no f n e t w o r kt e c h n i q u e ，i n f o r m a t i o ns e c u r i t yh a sb e e nb e c o m i n gm o r ea n dm o r ei m p o r t a n t , a n di s b e c o m i n gag e n e r a l l yc o n c e r n e dr e s e a r c ht o p i ci nd o m e s t i ca n di n t e m a t i o n a lc o m p u t e ra n d n e t w o r ka p p l i c a t i o nf i e l d a st h em a i nm e a n so ft h ea u t h e n t i c a t i o n , t h ed i 玺t a ls i g n a t u r eh a s p r o v i d e da ni m p o r t a n tt e c h n i q u ef o ri n f o r m a t i o ns e c u r i t y a sa ni m p o r t a n tb r a n c ho ft h ed i g i t a l s i g n a t u r e ，g r o u ps i g n a t u r ec a na c h i e v es o m es p e c i a la u t h e n t i c a t i o nr e q u i r e m e n t s i nt h i sp a p e r , t h ei d e n t i t y - b a s e dg r o u ps i g n a t u r ea n dt h ec o n f i d e n t i a l i t yo fm e 鹳a g ci ng r o u ps i g n a t u r ea r c d i s c u s s e d 1 1 地m a i nw o r k sa r e 勰f o u o w s ： n cr e s e a r c hs t a t u sa n dt h ed e v e l o p m e n tt r e n do ft h eg r o u ps i g n a t u r ea r es u m m u r i z e d n e c o n c e p t ，s o m es e c n r ep r o p e r t i e sa n dt h ea p p l i e df o r e g r o u n do fg r o u ps i g n a t u r es c h e m ea r ea l s o d e s c r i b e d a tt h es a m et i m e ，s o m ev a r i a n t so fg r o u ps i g n a t u r ea r eb r i e f l yi n t r o d u c e d t h ec h a r a c t e r i s t i c so fi d e n t i t y b a s e dc r y p t o s y s t e ma n di d e n t i t y - b a s e dg r o u ps i g n a t u r e s c h e m ea r ea n a l y z e d i ng e n e r a li d e n t i t y - b a s e dc r y p t o s y s t e m , t h ep r o b l e mo fk e ym a n a g e m e n t c a l lb es i m p l i f i e d , b u tp r i v a t ek e yg e n e r a t o rm u s tb eu n c o n d i t i o n a l l yt r u s t e d ，w h i c hr e s t r i c t s t h eu s eo fi d e n t i t y - b a s e dc r y p t o s y s t e m a ni d e m i t y - b a s e dd e s i g n a t e dr e c i p i e n tg r o u ps i g n c r y p t i o ns c h e m ew i t h o u tt r u s t e dp r i v a t e k e yg e n e r a t o rw a sp r o p o s e d i nt h es c h e m e ，a n ym e m b e ro ft h eg r o u pc a ns i g n c r y p to nb e h a l f o ft h eg r o u pw h i c hi sc o m p o s e do fnm e m b e r s o n l yt h ed e s i g n a t e dr e c i p i e n t 伽r e c o v e rt h e s i g n c r y p t e dp l a i nm e s s a g ef r o mt h ec i p h e r t e x tt ov e r i f yt h ev a l i d i t yo ft h eg r o u ps i g n c r y p t i o n 1 1 摇p r o p o s e ds c h e m ec a na l s ob ec o n v e r t e di n t o ag r o u ps i g n a t u r es c h 锄e 、以t hp u b l i c v e r i f i a b i l i t yb yp u b l i s h i n gt h er e l e v a n ti n f o r m a t i o nb yt h ed e s i g n a t e dr e c i p i e n t , w h i c hd o e sn o t d i s c l o s et h ep l a i nm e s s a g e m o r e o v e r , t h ec o n f i d e n t i a l i t y , a u t h e n t i c i t ya n dn o n r e p u d i a t i o no f m e s s a g ea r eg u a r a n t e e ds i m u l t a n e o u s l y n cp r o p o s e ds c h e m ep r o v i d e se f f e c t i v es o l u t i o n st o g r o u p - o r i e n t e da u t h e n t i c a t i o na n di t sc o n f i d e n t i a l i t yi no p e nn e t w o r k k e yw o r d s ：i d e n t i t y - b a s e dc r y p t o s y s t e m , p r i v a t ek e yg e n e r a t o r , g r o u ps i g n a t u r e ，g r o u p s i g n c r y p t i o n 独创性声明 秉承祖国优良道德传统和学校的严谨学风郑重申明：本人所呈交的学位论文是我个 人在导师指导下进行的研究工作及取得的成果。尽我所知，除特别加以标注和致谢的地 方外，论文中不包含其他人的研究成果。与我一同工作的同志对本文所论述的工作和成 果的任何贡献均已在论文中作了明确的说明并已致谢。 本论文及其相关资料若有不实之处，由本人承担一切相关责任 论文作者签名：3 驾沙7 年，月p 曰 论文作者签名：生丛h沙7 年月p 曰 学位论文使用授权声明 本人! 丛在导师的指导下创作完成毕业论文。本人已通过论文的答辩，并 已经在西安理工大学申请博士硕士学位。本人作为学位论文著作权拥有者，同意授权 西安理工大学拥有学位论文的部分使用权，即：1 ) 已获学位的研究生按学校规定提交 印刷版和电子版学位论文，学校可以采用影印、缩印或其他复制手段保存研究生上交的 学位论文。可以将学位论文的全部或部分内容编入有关数据库进行检索；2 ) 为教学和 科研目的，学校可以将公开的学位论文或解密后的学位论文作为资料在图书馆、资料室 等场所或在校园网上供校内师生阅读、浏览。 本人学位论文全部或部分内容的公布( 包括刊登) 授权西安理工大学研究生部办 理。 ( 保密的学位论文在解密后，适用本授权说明) 论文作者签名：缉 导师签名：论文作者签名：坐竺苎导师签名：d 嗥；月l 日 叶 第一章绪论 1 绪论 1 1 引言 随着计算机网络与通信技术的发展，越来越多的社会活动以及经济活动都离不开网 络。在网络给社会和人们的日常生活带来巨大的经济效益和便利的同时，也给一些不法之 徒带来了许多的可乘之机。因此，信息安全问题日益受到世界各个国家研究机构的重视， 大量的人力、物力和财力已经投入到了信息安全问题的研究和解决中。信息安全成为当今 信息社会所迫切需要的信息技术之一。 信息安全的内容广泛，主要包括： ( 1 ) 机密信息的保密性：保证机密信息不会泄漏给未经授权的人。 ( 2 ) 信息的完整性：防止信息被未经授权人的篡改 ( 3 ) 信息的可用性：保证信息和信息系统确实为授权者所用，防止由于计算机病毒或其 他人为因素造成系统的拒绝服务，或者被非法者所用 ( 4 ) 信息的可控性：对信息和信息系统实施安全监控管理，防止非法利用信息和信息系 统。 ( 5 ) 信息的不可否认性：保证信息行为人不能过后否认自己的行为。 总的来说，保证机密信息的安全性涉及面很宽，它包括技术、管理、制度、人员和法 律等诸多方面。 信息技术的发展促使了现代密码学的诞生和发展。现代密码学不仅用于解决信息的保 密性，而且也用于解决信息的完整性、可用性、可控性和不可否认性。因此，可以说密码 学能为保护信息安全提供最有效的手段，也能为信息安全提供关键技术。正是由于信息安 全的重要性以及密码学在信息安全中所起的关键作用，近年来密码学的研究和发展倍受各 国研究机构的重视，在短短的二十年里密码学得到了长足的发展。如今密码学的应用已经 渗透到了社会的各个领域，如对计算机用户的认证、数据加密、消息认证、网络安全、电 子商务和电子政务的安全等等。 数字签名技术是现代密码学主要研究的内容之一，作为保障信息安全的一项重要技 术，它用来实现身份认证、数据完整性保护等等，从而保证了通信双方的利益。因此，研 究数字签名具有十分重要的意义，它对于建立人们对网络安全的信任具有不可替代的作 用为了满足不同应用环境下的需求，人们又提出了许多特殊用途的数字签名方案，例如 群签名、盲签名、代理签名、基于身份的签名等等。 作为数字签名重要分支的群签名是一种证明签名者能够代表某个群体进行签名的 方案，它保证签名者的匿名性，即签名者的身份不会暴露给验证者，但是当发生纠纷 时，这种匿名性可以被群管理员撤销，从而确定签名者的真实身份，这种特性使得群 西安理工大学硕士学位论史 签名有了很广泛的应用。 1 2 群签名的发展历史和研究状况 群签名的概念最初是由c h a u m 和v a n h e y s t 在1 9 9 1 年提出的。群签名作为一种特 殊的数字签名，与一般的数字签名相比，具有匿名性、不可链接性、可追踪性等特点，这 些特点使得群签名除了具有一般数字签名的安全属性外，还具有一些特定的安全属性。一 个群签名方案提供了群成员代表群组对一个消息进行签名的功能，其匿名性是指任何人都 可以使用群公钥来验证签名的有效性，但是除群管理员以外的任何人不知道真实签名者的 身份信息。不可链接性是指要判断两个群签名是否由同一个群成员签署的是计算上困难 的。可追踪性是指当出现纠纷时，群管理员可以利用自己拥有的秘密信息，确定出该群签 名的真实签名者，从而为仲裁提供依据。 群签名的概念被提出之后，学术界开展了广泛地研究，相继在文献【2 ，3 ，4 ，5 ，6 ， 7 】中提出了各种各样的群签名方案，但是这些方案都建立在基于证书的公钥密码系统下 基于证书的公钥密码系统，由于涉及到复杂的证书管理问题，从而给实际应用带来了很大 的限制。 s h a m i r 在文献 8 1 中首次提出的基于身份的密码系统是基于证书的密码系统的很好 的替代品。由于基于身份的公钥密码系统使得用户的公钥能够通过用户的身份信息直接计 算出来，不需要保存每个用户的公钥证书，避免了使用证书带来的存储和管理开销的问题， 简化了基于证书的公钥密码系统下繁琐的密钥管理过程，使得基于身份的群签名成为了新 的研究热点。基于身份的群签名是由p a r k 、k i m 和w o n 最先提出的哼1 ，该方案的效率非 常低，群公钥和签名的长度是和群的大小成比例的。后来学术界又提出了一些基于身份的 群签名方案n m1 l i ，这些方案大多都是基于有限域上的离散对数困难问题的。 近几年来，双线性对即代数曲线上的w e i l 对和t a t e 对开启了密码学的新领域，使得 实现先前不知道的或者不实际的密码学原语成为了可能。更精确地说，它们都是构造基于 身份的密码方案的重要工具。最近几年，在文献【1 2 ，1 3 ，1 4 ，1 5 ，1 6 中提出了大量的 来自于双线性对的基于身份的密码方案。然而，从双线性对设计一个基于身份的群签名方 案仍然不是一个简单的问题。原因是：第一，对于基于身份的系统来说，密钥托管问题是 一个致命的缺点，即称之为私钥生成中心p k g ( p r i v a t ek e yg e n e r a t o r ) 的可信任第三方 知道每个成员的私钥。因此，不诚实的p k g 能够伪造任何成员的签名。第二，用户的公 钥d 不应该揭示他她的身份信息，否则，群签名方案的匿名性就不能够保证。2 0 0 3 年， x i a o f e n gc h e n 等人在文献【1 7 中提出了一个新的来自双线性对的基于身份的群签名方 案该方案解决了密钥托管问题，同时假设只有一个p k g 并且p k g 不再是一个可信的 实体。这个方案的群公钥的大小和签名的长度独立于群成员的个数。该方案的一个缺点是 如果用户想对很多消息签名，相对于每条消息来说，必须生成一个新的密钥对，这对于实 2 第一章绪论 际应用来说，是不现实的。 1 3 存在的问题 随着网络技术的发展，分布式网络技术的应用越来越广泛。在分布式网络环境中，一 般不存在公共基础设施，系统中很难构建公共可信任的私钥生成中，f i , ，这给在分布式网络 环境中构造基于身份的密码协议带来了很大的障碍。与此同时，虽然基于身份的密码系统 能够简化密钥的管理方式，但是系统必须无条件地信任私钥生成中心p k g 。密钥托管问 题是一个致命的缺点，因为p k g 知道系统中每个成员的私钥，不诚实的p k g 能够伪造 任何成员的签名，这也给基于身份的公钥密码系统的使用带来了限制。此外，在目前的群 签名方案中，没有考虑到消息的机密性问题，由此会导致一些机密信息的泄漏，给人们带 来不利的后果。 1 4 本文的研究内容 为了要同时保证消息的机密性和可认证性，本文主要研究了基于身份的群签名方案和 消息的机密性问题。 总结了群签名方案的发展历史和研究状况，并描述了群签名的定义、安全特性及其应 用前景，同时对群签名的几种变体作了简要介绍 分析了基于身份的公钥密码系统的特点和基于身份的群签名方案。基于身份的公钥密 码系统，虽然能够简化密钥的管理方式，但是系统必须无条件地信任私钥生成中心，这给 基于身份的公钥密码系统的使用带来了限制。 提出了一个无可信私钥生成中心的基于身份的指定接收者群签密方案，在该方案中， 群签密者代表由n 个成员组成的群对消息进行签密，只有指定接收者可以从群签密密文恢 复出被签密消息的明文，从而验证群签密的有效性，并可以通过指定接收者进一步公开相 关信息，转化为不泄露消息明文但可以被公开验证的群签名。该方案能够同时保证消息的 机密性、可认证性和不可否认性本方案为开放网络环境下的群体认证以及认证中的机密 性提供了有效的解决方案。 1 5 科学意义和应用前景 社会已经进入以知识经济为主导的信息化时代。随着信息化的逐步加深，计算机技术 及互联网技术的应用已经渗透到社会的各行各业中。对信息是否可以被安全、高效、完整 的传输要求越来越高，也越来越迫切。对于密码学中的数字签名也提出了更高的要求。 数字签名是实现认证的主要手段，在网络身份认证中起着非常重要的作用。互联网上 3 西安理工大学硕士擘位论文 的交易、通讯等都需要进行参与方身份的认证和所传输消息的完整性、真实性认证， 以确保交易、通信的安全进行，并提供有力的法律证明。这使得人们有信心在网络上 进行多种活动，利用网络的方便快捷，促进人们生活、工作效率进一步提高。因此， 在掌握数学理论的基础上，对数字签名的研究在理论和现实上都具有很重要的意义。 群签名作为数字签名的一个重要分支，由于其特殊的性质，使得群签名在电子商务、 电子政务等领域有着广泛的应用前景。到目前为止，虽然对群签名理论已经进行了大量的 研究，也出现了很多比较优秀的方案，但是或多或少都存在问题，能在实际中真正使用的 方案还很少见，尤其是在基于身份的密码系统中，设计并构造不需要公共可信任p k g ， 又能解决消息的机密性问题的群签名方案。具有一定豹理论意义和现实意义。 1 6 论文的章节安排 第二章对密码学、公钥密码体制、h a s h 函数以及论文涉及的数学知识作了简要介绍， 重点对数字签名技术作了详细介绍 第三章对群签名作了系统介绍，包括概述了群签名的定义及其安全特性，回顾了群 签名的发展历程，并指出了现存的群签名方案的缺陷和不足。最后分别对群签名的几种 变体作了简要介绍。 第四章首先对基于身份的密码体制进行介绍，其次介绍了一个基于身份的签名方案所 包括的四个算法及其安全特性并在此基础上详细介绍了一些具体的基于身份的签名方案 并简要分析了它们的优缺点，最后介绍了基于身份的签名方案的发展状况及存在的问题。 第五章首先介绍了基于身份的群签名方案的定义以及所包括的五个算法，分析了基于 身份的群签名方案的发展状况及存在的问题。然后介绍了无可信p k g 基于身份的签名方 案和无可信p k g 基于身份的群签名方案的特点，并分别详细介绍了的具体方案。 第六章首先介绍了签密的概念及其特点，其次简要分析了几个现存的基于身份的签密 方案，重点对论文的核心部分无可信p k g 基于身份的指定接收者群签密方案作了详 细介绍。 第七章总结全文，给出待解决的相关问题。 4 第二章预备知识 2 预备知识 随着互联网的普及，大大推动了现代密码学的研究与发展。本章简单的对论文中涉及 的密码学基础知识以及数学基础知识进行介绍 2 1 密码学简介 密码学是一门古老而又年轻的科学，它用于保护军事和外交通信可追溯到几千年前。 在当今的信息时代，大量的敏感信息通过公共通信设施或计算机网络来进行交换，而这些 信息的秘密性和真实性是人们迫切需要的。因此，现代密码学对于军事、政治、外交和商 业的价值越来越重要。 密码学的发展历史大致可划分为三个阶段： 第一阶段是从古代到1 9 4 9 年。这段时期可看作是密码学的前夜时期，这段时期的密 码技术可以说是- - i - j 技巧性很强的艺术，而不是- - i - j 科学。密码学专家常常是凭借直觉和 信念来进行密码设计和分析，而不是推理证明。 第二阶段是从1 9 4 9 年到1 9 7 5 年。1 9 4 9 年，s h a n n o n 发表的“保密系统的信息理论” | l s l 一文为密码学奠定了坚实的理论基础，使密码学成为- - n 真正的科学。人们将此阶段 使用的加密方法称为传统加密方法，其安全性依赖于密钥的秘密性，而不是算法的秘密性。 第三阶段是1 9 7 6 年至今。d i f f i e 和h e l l m a n 在1 9 7 6 年发表的“密码学的新方向”1 1 9 1 一文中提出了一种崭新的密码设计思想，导致了密码学的一场革命。他们首次证明了从发 送端到接收端无密钥传输的保密通信是可能的，从而开创了公钥密码学的新纪元。 现代密码学以研究秘密通信为基本目的，即研究对传输信息采取何种变换以防止有效 信息被第三者窃取它主要关注的对象是加密和解密方法。加密是指按照某种方式将原始 信息转换成看起来毫无意义的文字；而解密是指授权接收者通过相应的方法将这些文字转 换为发送者所发送的原始信息，而非授权者从这些文字中得不到任何有用的信息。 密码技术除具有保证信息机密性的信息加密功能外，还有数字签名、身份认证，秘密 共享、保证系统安全等功能所以，使用密码技术不仅可以保证信息的机密性，而且可以 保证信息的完整性和不可否认性，防止信息被篡改、伪造和假冒它的主要功能体现在以 下几个方面： ( 1 ) 身份验证与数据的保密性。防止非法用户进入系统及合法用户对系统资源的非法使 用；通过对一些敏感的数据文件进行加密来保护系统之间的数据交换，使得除接收 方外的第三方即使获取数据也无法知道其真实内容。 ( 2 ) 数据的完整性。防止非法用户对进行交换的数据进行无意或恶意的修改。 ( 3 ) 数据的不可否认性。对数据和信息的来源进行验证，以确保数据由合法的用户发出； 防止交换数据在发出后又被否认，同时防止接收方在收到数据后又否认曾收到过此 5 西安理工大学硕士学位论文 数据及篡改数据 2 2 公钥密码体制 密码体制大体可以分成两类：一类是“对称密码体制”；一类是“非对称密码体制”。 对称密码体制是指加密密钥和解密密钥相同，这种密码体制也称为“单钥密码体制”或“私 钥密码体制”；非对称密码体制是指加密密钥和解密密钥不同，这种密码体制也称为“双 钥密码体制”或“公钥密码体制”。 2 2 1 基本原理 “公钥密码体制”是1 9 7 6 年由d i f f i e 和h e l l m a n 提出的n 钉，冲破了长期以来一直沿 用的对称密码体制。在这种密码体制中使用两个不同的密钥，其中一个称为“公钥”( p u b l i c k e y ) ，用于对消息进行加密和对数字签名进行验证，另一个称为“私钥”( p r i v a t ek e y ) ， 用于对消息进行解密和数字签名。公钥公开发布，不需要保密，任何人都可以使用；私钥 由用户保密，只有自己知道，不需要在网络中传送，从公钥推出私钥是数学上的难解问题， 在计算上是不可行的。 2 2 2 公钥密码体制的分类 公钥密码体制根据其所依据的难题一般分为三类：一类是基于大整数因子分解问题 的，其典型代表是r s a 密码体制；一类是基于有限域上离散对数问题的，其典型代表是 e 1 g a m a l 密码体制；还有一类是基于椭圆曲线离散对数难题的，它其实也是基于离散对数 问题的，但在特殊的结构上( 即椭圆曲线上) ，其典型代表是椭圆曲线密码体制。目前， 由于椭圆曲线密码体制较其他公钥密码体制有密钥短、速度快、安全性高的优点使得它越 来越受到更高的重视。 由于公钥密码体制使用了两个不同的密钥，这对在公开的网络上进行保密通信、密钥 分配、数字签名和认证有着深远的影响。 2 3h a s h 函数( 哈希函数) h a s h 函数，又称散列函数或者杂凑函数，它是从明文到密文的不可逆函数，也就是 说只能加密不能还原。一个h a s h 函数h 作用于任意长度的消息m ，能够返回一个固定长 度的散列值h ，其中h 可以被称为是消息m 的“指纹”或者“摘要” 一个密码学上安全的h a s h 函数应具有以下特性： ( 1 ) 公开性：i i ( ) 的描述是公开的，其处理过程无需保密 6 第二章预备知识 ( 2 ) 压缩性：h ( ) 的输入可以是任意的有限长。h ( ) 的输出长度固定。 ( 3 ) 易计算：给定消息m ，计算其散列值h ( m ) 是容易的。 ( 4 ) 单向性：给定散列值y ，要找到m 使得h ( m = y 在计算上是困难的 ( 5 ) 弱抗碰撞性：给定消息m ，要找到另一个与之不同的消息n ，使得h ( m ) = h 0 1 ) 在 计算上是困难的。 ( 6 ) 强抗碰撞性：找到一对不同的消息m 和n 。使得h ( m ) = h ( n ) 在计算上是困难的 h a s h 函数的这些特性使得它天生就对消息有差错检测能力，当消息中的任意一个比 特或者若干个比特发生改变时，都将导致散列值发生改变。这样我们就可以用对消息散列 值的签名代替对消息本身的签名。 h a s h 函数的使用方法为：用h a s h 函数对数据生成散列值并保存，以后每次使用时都 对数据使用相同的h a s h 函数进行散列，如果得到的值与保存的散列值相等，则认为数据 未被修改( 即数据完整性验证) 或两次所散列的原始数据相同( 即口令验证) 。总之，h a s h 函数已经被广泛的应用于数字签名、消息完整性检测和消息源认证等方面。 m d 5 和s h a 一1 是目前最常用的两种h a s h 函数。m d 5 是在9 0 年代初由m r r l a b o r a t o r yf o rc o m p u t e rs c i e n c e 和r s ad a t as e c u d t y a c 的r o n a dlr i v e s t 开发出来的， 经m d 2 、m i ) 3 和m d 4 发展而来。安全散列算法s h a - 1 是由美国国家标准和技术协会 ( n i s t ) 提出，并作为联邦信息处理标准( 肿sp u b1 8 0 1 ) 在1 9 9 5 年公布，它的设计 在很大程度上是模仿硼d 4 的 2 0 0 4 年8 月，在美国加州圣芭芭拉召开的国际密码大会上，来自中国山东大学的 王小云教授在国际会议上首次宣布了她的研究小组近年来的研究成果对m d 5 、 h a 、，a i ，1 2 8 、m d 4 和r i p e m d 等四个著名密码算法的破译结果。2 0 0 5 年2 月，她又 宣布了破译s h a 1 的消息。因为s h a 1 在美国等国家有更加广泛的应用，消息一传出， 在国际社会的反响巨大王小云教授的研究成果表明了数字签名可以伪造，必须及时 添加限制条件，或者重新选用更为安全的密码标准，以保证电子商务的安全。因此。 设计新的h a s h 函数成为密码学界一个重要的急需解决的问题。 2 4 数学基础 本节首先对群、环、域作了简要介绍，其次介绍双线性对的概念及其性质，最后介绍 g a pd i f f i e h e u m a u 群 2 4 1 群、环、域 - 群 非空集合g 中，定义了一种代数运算“，：乘( 或者加) ，且满足下面的条件。则称g 7 西安理工大学硕士学位论文 构成一个群； ( 1 ) 封闭性：对任意口，b e g ，有4 b e g 。 ( 2 ) 结合律：对任意a ，b ，c e g ，有0 6 ) c 1 4 - c ) 。 ( 3 ) 存在单位元e ：对任意a e g ，有e e g ，使ao e - e a a l 口。 ( 4 ) 存在逆元：对任意口e g ，有b e g ，使口b - b 口m e ，称b 为a 的逆元。 群g 的阶是g 中元素的个数，记为l g l 。如果g 的阶有限，则称g 为有限群，否则 称为无限群。 如果群g 中的运算适合交换律，即对任意a ，b e g ，有a b b 4 ，则称g 为a b e l 群或可交换群。 如果群g 中的每一个元素均是群中某一个固定元素4 的某次幂，则称g 是由a 生成的 循环群，其中口是g 的生成元，记为g i 成员加入( j o i n ) ：一个概率性的新用户和群管理员之间的交互协议，产生群成员 的私钥和成员资格证书，并注册新成员的身份。 签名( s i g n ) ：一个概率性的算法，输入群公钥、成员证书、消息小和群成员的私 钥z ，输出一个消息脚的群签名 验证( v e 赳f y ) ：一个任何使用者都可以运行的确定性算法，输入群公钥、消息m 、 1 2 第三章群签名 签名s 辔，输出签名螈是否有效。 打开( o p e n ) ：一个确定性算法，输入消息坍、有效签名s g 和群管理员所拥有的 秘密值，输出签名者的真实身份或者失败信息。 一个安全的群签名方案必须满足以下安全特性： 正确性( c o r r e x x ) ：当验证者验证一个签名时，一个合法的群成员使用签名算法s i g n 产生的群签名一定能够通过验证算法v e r i f y 不可伪造性( u n f o r g e a b i l i t y ) ：非群成员要产生一个通过验证算法的群签名在计算上 是不可行的，也就是说，只有合法的群成员才能代表群生成有效的群签名。 匿名性( a n o n y m i t y ) ：给定对任意消息的群签名，除群管理员外，确定该签名是由哪 个群成员产生在计算上是不可行的。 不可链接性( u n l i k a b i l i t y ) ：确定两个不同的群签名是否来自于同一个群成员在计算 上困难的。 可追踪性( t r a c e a b i l i t y ) ：一个有效的签名可以被群管理员揭开签名者的真实身份。 抗联合攻击( c o a l i t i o n - r e s i s t a n c e ) ：任何由勾结群成员构成的成员子集( 即使是全部 群成员勾结) 都不能伪造出一个合法的群签名，并逃脱群管理员的身份追踪。 开脱性( e x c u l p a b i l i t y ) ：也称为不可欺骗性，群成员和群管理员都不能代表其他群成 员产生群签名，群成员不会对不是由他产生的签名负责 群签名方案可应用于如下的环境：某大型公司的任一职员都可代表公司对某份文件进 行签名。与普通签名方案不同的是，验证者只能确认所得签名的确是由公司中的某个职员 所做出的，但无法得知签名者的真实身份，从而实现了对公司组织结构的隐藏。在验证签 名时，验证者只需知道该公司的一个公钥即可进行验证。由于群签名如此之多的安全特性， 它已经被广泛地应用于电子现金系统、电子投票选举、电子拍卖、电子投标等领域。 3 2 群签名的发展历程 群签名的概念最初是由c h a u m 和v a nh e y s t 在1 9 9 1 年提出的i 1 1 文献【1 】还提 出了四个不同的群签名方案第一个方案具有绝对匿名性，其他几个只具有计算匿名 性这些方案中群公钥的长度都与群成员的个数成线性关系，第一个方案中每个群成 员签署的消息个数是固定的在前两个方案中，群体在创建之后不能加入新的群成员， 即不能动态地进行成员的加入。而且在一些方案中，群管理员为了打开签名需要和群 成员交互这些方案效率不高，不能应用于现实生活之中。 1 9 9 4 年，c h e n 和p e d e r s o n 在不可否认签名的基础上提出了两个新的群签名方案 咙1 ，并解决了文献【1 】中提出的一些公开问题，同时首次提出了允许群体增加新成员 的群签名方案。然而这两个方案存在着群管理员有可能把一个群成员的签名误认为是 另一群成员的签名的缺陷，而且方案会产生一个长度线性依赖于群成员个数的群签名， 西安理工大学硕士学位论文 所以效率很低后来，c a m e n i s c h 在文献【2 3 1 中、p e t e r s e n 在文献【2 4 中都提出了 改进的方案，同时产生了一些群签名的扩展版本，如文献 2 5 ，2 6 ，2 7 ，但是线性依 赖问题仍没有解决。 1 9 9 7 年，c a m e n i s h 和s t a d l e r 首次提出了一个适用于大的群体的群签名方案1 2 1 这个方案提供了定长的签名和群公钥。此方案解决了一直不被期望的性质：( 1 ) 群公 钥的长度或者签名的大小依赖于群的大小；( 2 ) 要加入一个新的群成员，至少必须改 变群的公钥。但是群签名的打开不是很有效。之后，群签名的研究进入了非常活跃的 时期，许多群签名方案被提出“o “绷，这些方案更注重群签名方案的安全性、效率 和实用性。此外，还出现了分级多群签名9 2 9 1 子群签名啪1 等。因此，c a m e n i s h 和s t a d l e r 在文献【2 】中所取得的成果已经成为群签名发展史上的一座里程碑 2 0 0 0 年，a t e n i e s e 、c a m e n i s c h 、j o y e 和t s u d i k 提出了他们的群签名方案【3 1 ，它和 文献【4 】都是在随机预言模型下可证明抗联合攻击的方案，并且比后者更有效，但是 此方案并没有解决群成员的删除问题。 2 0 0 1 年，b r e s s o n 和s t e m 在他们的文献 3 1 】中第一次比较成功的解决了群成员 的删除问题，他们的文章以文献 2 1 为基础，并在签名中引入了证据值来解决群成员 删除问题，不需要改变群公钥和更新成员密钥，并且在被删除的成员不多的情况下很 有效。但是，签名会随着被删除成员的增多而增加，削弱了它的实用性。同年，a t e n i e s e ， s o n g 和t s u d i k 给出了他们的删除方案1 3 2 1 t 他们的方案是c r l ( c e r t i f i c a t e r e v o c a t i o n l i s t ，证书撤消列表) 类的方案，提供了定长的群签名。签名者的计算量是固定的。但 是因为要保存一个列表，同时方案中用到了离散对数知识证明，使得开销增加，而且 验证算法的开销也随着删除成员的增加而增加。 2 0 0 2 年，c a m e n i s c h 和l y s y a n s k a y a 在文献【3 3 】中使用动态累加器来解决群成员 的删除，提供了定长的签名，群公钥长度不变化，此方案以当时被认为最有效的文献 【3 】为基础，而且加入删除机制并没有显著增加运算开销。但是，群公钥包含一个随 着成员增加和减少而不断更新的值，而且在公钥更新后，成员要在本地更新自己的证 据值 2 0 0 3 年，群签名的研究更注重效率和安全性。t s u d i k 和s h o u h u a ix u 在文献【3 4 】 中使用扩展了文献【3 3 】中使用的累加器，并进一步提高了方案的效率文献 7 1 给 出了一个不依赖模数分解知识的方案，文献【3 5 】的方案没有使用门限假设也没有使 用随机预言模型，但是这两个方案都不是很高效。 2 0 0 4 年以后，利用双线性映射构造群签名方案得到了深入研究，b o n e h ，b o y e n ， 和s h a c h a m 的文献 3 6 1 ，还有c a m e n i s c h 和l y s y a n s k a y a l 约文献 3 7 1 都以双线性映射 为基础构造了群签名方案。这些方案的效率比较高，但是依赖于一些新的数论假设。 c a m e n i s c h 和g r o t h y 韬e 文献【3 8 】中进一步提高了方案的效率，并且满足一些在文献【3 5 】 中对群签名的新的安全性定义。文献 3 9 1 构造了动态群签名的新模型并重新定义匿 1 4 第三章群签名 名性、可追踪性和开脱性。文献【4 0 利用双线性对构造了新的动态累加器，提出了 一个具有成员删除功能的群签名方案。 在现存的群签名方案中都会存在以下缺陷中的一个或多个m 1 ： ( 1 ) 群公钥的长度依赖于群的大小。 ( 2 ) 群签名的长度依赖于群的大小。 ( 3 ) 增加新成员需要重新启动整个系统，或者更改所有原有成员的密钥以及改变群公钥。 ( 4 ) 删除群成员需更改群公钥及所有成员的密钥 ( 5 ) 不能抵抗联合攻击。 ( 6 ) 具有链接性( 可以从两个不同的群签名来区分是否来自于同一个签名者) 或广义伪 造性( 任何人可以对任意消息进行签名) 。 在群签名发展的各个时期，还提出了一些将群签名和其他类型的签名结合在一起 的签名方案，如前向安全的群签名4 2 1 、群盲签名4 3 、基于身份的群签名1 7 1 ，还有 一些方案是使用群签名方案来构建电子货币1 。 3 3 群签名的变体 随着对群签名研究的不断深入，人们越来越意识到群签名的重要性，同时结合其 他签名方案产生了许多群签名的变体。为进一步研究群签名开辟了许多新的领域，下 面对其中的几个主要成果作简要介绍。 3 3 1 群盲签名 群盲签名是l y s y a n s k a y 和r a m z a n 在文献【4 3 】中提出的。在他们的群盲签名方案 中，把盲签名概念和群签名概念结合了起来，通过给群签名增加盲性，推广了文献【2 】 中的群签名方案。 一个群盲签名方案应满足以下6 条性质： ( 1 ) 签名的盲性签名人不能看到他签名的消息，而且签名者不能记得他曾对某一文 件签过名，尽管如此，他可以验证他确实对其签名 ( 2 ) 不可伪造性。只有群成员才可产生有效的群签名。 ( 3 ) 签名人身份的不可否认性。群管理员可以确定发布合法签名的签名人的身份 ( 4 ) 签名人的匿名性。除群管理员外，任何人不能确定签名人的身份。 ( 5 ) 不可链接性。在不打开签名的情况下，任何人不能确定两个不同的签名是否是同 一个群成员所产生的 ( 6 ) 开脱性。群管理员和任何群成员都不能以其他群成员的名义进行签名。 与群签名方案类似，一个群盲签名方案也包括创建、加入、签名、验证和打开五 西安理工大学硕士擘位论文 个过程文献【4 3 】不仅给出了群盲签名的概念和一个具体方案，而且还指出了如何 利用群盲签名构造多银行电子现金系统。 3 3 2 环签名 2 0 0 1 年，r i v e s t 等人在如何泄漏秘密的背景下首次提出了环签名的概念4 5 并在最近 引起了人们的重视n 3 幅4 7 1 。环签名是一种匿名签名技术，因签名中参数根据一定的规则 首尾相接组成环状而得名。 环签名可以被视为一种特殊的群签名，它没有管理员，不需要建立群的过程。签名者 可以根据需要临时选择一些成员形成一个群，利用每个成员的公钥和自己的私钥产生环签 名。对于验证者来说，只知道签名者所在的群组，但不知道具体的签名者是谁。环签名提 供了模糊签名者的方法。环签名不同于群签名，环签名可以实现签名者无条件匿名，一旦 环签名出现争议需要打开时，无法追踪签名人的身份环签名的这种无条件匿名性对信息 需要长期保护的特殊环境中非常有用 一个环签名必须满足无条件匿名性和不可伪造性等安全性要求： 无条件匿名性；攻击者即便非法获取了所有可能的签名者的私钥，他能确定出真正的 签名者的概率不超过1 n ，这里n 为环成员( 可能的签名者) 的个数。 不可伪造性：外部攻击者在