（通信与信息系统专业论文）基于椭圆曲线的门限代理多重签名的研究与实现.pdf

摘要 数字签名的概念首先由d i 街e 和h e l l m a n 于1 9 7 6 年提出。随着 计算机和网络通信技术的发展，数字签名这种用于保证信息完整性、 不可否认性、不可伪造性的技术得到了广泛的应用。人们根据不同的 应用需求提出诸多具有特殊功能的数字签名，如群签名、盲签名、多 重签名，以及门限签名、代理签名等。 本文研究的是门限代理多重签名，将门限签名、代理签名和多重 签名有机的结合在一起，并基于椭圆曲线密码体制，设计出基于椭圆 曲线的门限代理多重签名方案，用于解决现实生活中的某些实际问 题，如：m 个原始签名人同时委托n 个代理签名人在一个文件上签名， 而这n 个代理签名人无法同时聚集在一起，我们就可以用门限代理多 重签名方案来解决，只要n 个代理签名人中大于或等于t 个人同意签 名，这些人就可以代表m 个原始签名人进行签名。因此，本文的研 究具有很强的现实意义。 本文在介绍了门限签名、代理签名和多重签名的基本概念以及典 型签名方案后，提出了新的签名方案：基于椭圆曲线的门限代理多重 签名方案，给出了方案的具体算法过程，并对方案的安全性和效率进 行了分析。再在这个新签名方案的基础上添加了盲签名的特性，提出 了另一个新的签名方案：基于双线性对的门限代理盲多重签名方案。 最后，用m a p l e 软件对基于椭圆曲线的门限代理多重签名方案进行实 现，选取一组参数进行程序运行后得到所给文件的门限代理多重签 名，并通过验证程序验证签名结果的正确性。 关键词信息安全，数字签名，椭圆曲线，门限代理多重签名 a b s t r a c t t h e c o n c e p t o fd i g i t a l s i g n a t u r ew a sp r o p o s e db yd i f f i ea n d h e l l m a ni n19 7 6 w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dc o m m u n i c a t i o n t e c h n o l o g i e s ，d i g i t a ls i g n a t u r ei su s e dw i d e l yb e c a u s ei tc a nb eu s e dt o p r o t e c tt h ei n t e g r i t y , n o n r e p u d i a t i o na n du n f o r g e a b i l i t yo ft h ei n f o r m a t i o n p e o p l ep r o p o s em a n yd i g i t a ls i g n a t u r e sw h i c hh a v em a n ys p e c i a l f u n c t i o n sa c c o r d i n gt ot h ed i f f e r e n t a p p l i c a t i o n n e e d s ，s u c ha sg r o u p s i g n a t u r e ，b l i n ds i g n a t u r e ，m u l t i p l es i g n a t u r e ，a n dt h r e s h o l ds i g n a t u r e ， p r o x ys i g n a t u r e t h es t u d i e so ft h i sp a p e ri st h et h r e s h o l dp r o x ym u l t i p l es i g n a t u r e w h i c hp u t st h et h r e s h o l ds i g n a t u r e ，t h ep r o x ys i g n a t u r ea n dt h em u l t i p le s i g n a t u r et o g e t h e r , a n db a s e do ne l l i p t i cc u r v e ，d e s i g nas c h e m e ：at h r e s h o l d p r o x ym u l t is i g n a t u r es c h e m eb a s e do ne l l i p t i cc u r v e ，t os o l v es o m e p r o b l e mi nr e a ll i f e f o re x a m p l e ：mo r i g i n a ls i g n e r sc o m m i s s i o n e dn p r o x ys i g n e r st ot a k eas i g n a t u r eo nap a p e rt o g e t h e r ，b u tnp r o x ys i g n e r s c a nn o tg e tt o g e t h e ra tt h es a m et i m e ，s ow ec a nu s et h r e s h o l dp r o x ym u l t i s i g n a t u r et os o l v et h i sp r o b l e m a sl o n ga sto rm o r et h a ntp r o x ys i g n e r s a g r e et ot a k eas i g n a t u r e ，t h o s ep e o p l ec a nr e p r e s e n tmo r i g i n a ls i g n e r st o s i g n s o ，t h i ss t u d yh a sas t r o n gp r a c t i c a ls i g n i f i c a n c e a f t e rg i v i n gt h eb a s i cc o n c e p t so ft h ed i g i t a ls i g n a t u r e ，t h et h r e s h o l d s i g n a t u r e ，t h ep r o x ys i g n a t u r ea n dm u l t i p l es i g n a t u r ea sw e l la st h e i r t y p i c a ls 1 9 n a t u r es c h e m e s ，t h ep 印e rp r o p o s ean e ws i g n a t u r es c h e m e ：a t h r e s h o l dp r o x ym u l t is i g n a t u r es c h e m eb a s e do n e l l i p t i cc h iv e ，g i v e c o n c r e t ea l g o r i t h mp r o c e s so ft h es c h e m e ，a n dc a r r yo nt h ea n a l y s i st ot h e s e c u r i t ya n dt h ee f f i c i e n c yo ft h es c h e m e s t h e na d dt h ec h a r a c t e r i s t i c so f b l i n ds i g n a t u r ei nt h i sn e ws c h e m e ，i tg i v ea n o t h e rn e w s i g n a t u r es c h e m e ： at h r e s h o l dp r o x yb l i n dm u l t is i g n a t u r es c h e m eb a s e do nb i l i n e a r p a i r i n g s a tl a s t ，i tr e a l i z e st h ea l g o r i t h mp r o c e s so fat h r e s h o l dp r o x ya n dm u l t i s i g n a t u r es c h e m eb a s e do ne l l i p t i cc u r v eb ym a p l es o f t w a r e ，s e l e c t sa g r o u pp a r a m e t e r s t os u b s t i t u t ei n c o m p i l e dp r o c e d u r e s ，o b t a i n st h e t h r e s h o l dp r o x ym u l t i p l es i g n a t u r er e s u l to ft h e g i v e nd o c u m e n t ，a n d t h r o u g ht h es i g n a t u r ev e r i f i c a t i o np r o c e s st ov e r if yt h ec o r r e c t n e s so ft h e r e s u l t s k e yw o e d si n f o r m a t i o ns e c u r i t y ，d i g i t a ls i g n a t u r e ，e l l i p t i cc u r v e ， t h r e s h o l dp r o x ym u l t i p l es i g n a t u r e 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：j 雌 日期： 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允 许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：犁 导师签名独酗日期：哥年工月塑日 中南大学硕士学位论文第一章绪论 1 1 研究背景及意义 第一章绪论弗一旱珀化 随着计算机网络以及通信技术的飞速发展，人们之间的信息交流呈现出国际 化、网络化、数字化、智能化、宽带化的趋势，可以说人类已经进入了“信息时 代”。信息时代的主要特点是信息成了社会中最重要的一种资源和财富，信息的 交流和处理手段成了人们生活必不可少的组成部分，过去人们想象不到的许多事 情都已经变成了现实。现在，计算机应用已经渗透到政治、经济、军事、科学、 文化和家庭生活等各个领域。然而现代信息技术是一把双刃剑，它一方面给人类 带来了巨大的好处，另一方面又给人类带来了前所未有的威胁。由于信息的存储、 传递和处理等过程往往是在开放的通信网络上进行，所以信息容易受到窃听、截 取、修改、伪造和重放等各种攻击手段的威胁。因此，与通信技术的高度发展相 对应，信息安全成了信息社会急需解决的最重要的问题之一。 信息安全是对信息的保密性、完整性和可用性的保护。数字签名技术是保障 这种安全需要的一种重要手段，它可以保证信息完整性、鉴别发送者身份真实性 与不可否认性。数字签名技术是当前网络安全的研究热点之一，它使人们可以实 现远距离的身份认证、密钥分配、电子交易等，已经被广泛应用到电子商务、电 子银行、电子政务等领域。 数字签名的概念首先由d i f f i e 和h e l l m a n 于1 9 7 6 年提出。随着计算机和网 络通信技术的发展，数字签名这种用于保证信息完整性、不可否认性、不可伪造 性的技术得到了广泛的应用。人们根据不同的应用需要提出诸多具有特殊功能的 数字签名，如群签名、盲签名、多重签名，以及门限签名、代理签名等。门限签 名主要应用于需要将签名权力以门限的方式分散在群组的各成员间的场合中。在 一个( f ，n ) 门限签名中，群组的签名密钥被n 个成员以门限方式共享，其中不少 于t 个成员能够合作代表这个群组签名，而少于t 个成员无法完成群组的签名。 这种签名体制能够实现对群组签名密钥的分散保护以及对群组中n 个成员权力 的分散。代理签名主要应用于需要将签名权力委托给其他人，使其代表自己签名 的场合，如某公司的经理因公务或身体健康等原因不能行使签名权力时，他可以 将自己的签名权力委托给助手，让其代表自己签署公司的文件。在数字签名过程 中，不仅仅有个人单独签名的需要，有时也需要多个用户对同一消息进行签名认 证。能够实现多个用户对同一消息进行签名的数字签名称为多重数字签名。多重 数字签名与现实生活中多人手写签名最大的不司之处在于手写签名的长度与签 中南大学硕士学位论文 第一章绪论 名人数成正比，而多重数字签名长度与单个签名长度一致；对多重数字签名进行 验证时也只需验证这个最终形成的多重数字签名即可。现实生活中，经常会有多 个原始签名人将签名权授予于多人，而这多个代理签名人又无法聚齐，这样就提 出了门限代理多重签名方案来解决这个问题。( f ，n ) 门限代理多重签名体制实现 了多人授权代理的需求，实现了对代理签名权力的分配和对代理密钥的分散保 管，提高了安全性，在电子商务、电子政务、企业管理等方面有着广阔的应用前 景。 目前门限代理多重签名技术尚不成熟，仍存在很多安全和性能方面的问题有 待解决。如何设计安全有效的门限代理多重签名方案是近年来密码学的研究热点 之一。将门限代理多重签名方案应用到我们的实际生活中也是我们需要解决的问 题之一。因此，无论是从理论角度还是从应用角度来看，开展对门限代理多重签 名技术的研究，不但具有重要的学术价值而且还是对国家安全和国家信息化建设 具有极为重要的意义。 1 2 基于椭圆曲线的f - l 艰代理多重数字签名的研究现状 1 2 1 门限代理多重数字签名的研究现状 代理签名的概念最初是由m a m o b 等人【1 】于1 9 9 6 年提出的。在代理签名体制 中，一个签名人，称为原始签名人，将自己的签名权力委托给一个指定的人，称 为代理签名人，使其能够代表自己进行签名。到目前为止，几乎所有的代理签名 方案都是按这样的模式进行构造的。下面介绍两个典型的代理签名方案： 1 、m u o 代理体制 ( 1 ) 初始化过程：p 为大素数，g 为大素数且qp - 1 ，g 是z ：的一个生成元， x a ( 一z ：) 为用户的秘密密钥，y 彳为用户彳的公开密钥，y _ = g “m o d p 。 ( 2 ) 代理授权过程： 彳随机选取一个数尼rz ：，计算出k = g m o d q ； 彳计算出仃= x 彳+ k k ( m o d q ) 。并将万，k 秘密地发送给b ； b 验证等式9 6 = y a k ( m o d p ) 是否成立。如果不成立，则b 要求a 重新 执行步骤1 或终止协议。 ( 3 ) 代理签名的生成过程：对某个消息m ，b 用代理密钥。生成普通的数字签 名s = s i g ( o r ，m ) ，则以( s ，k ) 作为对m 的代理签名。 ( 4 ) 代理签名的验证过程： 计算出1 ，= y 。k ( m o d p ) ； 验证：v e r ( y 一，( s ，k ) ，竹) = t r u e 等价于v e r ( v ，s ，m ) = t r u e 。 2 中南大学硕士学位论文 第一章绪论 v e r ( v ，j ，所) = t r u e 可以像普通数字签名一样验证。 2 、l k k 代理体制 ( 1 ) 初始化过程：p 为大素数，q 为大素数且gp 一1 ，g 是z 的一个生成元，日 是安全散列函数，m 。是a 给b 的委托状，乃是用户彳的秘密密钥，其中x a 詹乏， y 一是用户么的公开密钥，y _ = g “m o d p 。 ( 2 ) 代理授权过程： a 随机选取一个数k 乏，计算出_ = g bm o d p ； a 计算e = n ( m 。，r a ) ，s 彳= e x _ + 九m o d q ，并将( 朋。，s 爿，r a ) 秘密的发送 给b ； b 验证等式g = y ；r a ( m o d p ) 是否成立。如果不成立，则b 要求a 重新 执行步骤1 ，或终止协议；如果接受授权，则生成代理私钥石，= s 4 + j 口( m o d p ) ， 计算代理签名公钥为y ，= g 却= y e a r a y 占( m o d p ) 。 ( 3 ) 代理签名的生成过程：对某个消息m ，b 生成普通的数字签名， 仃= s i g n ( x p ，m ) ，则以( 盯，m ，s 爿，r a ，m 。，y p ) 作为代理签名。 ( 4 ) 代理签名的验证过程：如果代理签名的收方收到了消息m 和代理签名后， 那么他进行以下步骤来验证代理签名的有效性： 验证y 口= y ；r a y b ( m o d p ) 是否成立，以及m m 。) 是否成立。 验证v e r ( y p ，( 脚。，s 一，乙) ，m ) = t r u e 等价于v e r ( y p ，仃，m ) = t r u e ，可以像普 通数字签名一样进行验证。 门限签名主要解决一个群体作为一个整体进行数学签名时的某些需求。在一 个( f ，z ) 门限代理签名中，原始签名人将代理签名密钥以( z ，z ) 门限方式分发给n 个代理人，他们中不少于t 个人合作可代表原始签名人完成代理签名。d e s m e d t 和f r a n k e l 是门限密码学的创始者，他们首先提出了门限密码系统的思想，并基 于e 1 g a m a l 密码方案，设计了第一个( f ，1 ) 门限密码体制【2 1 。同时，该文还指出 了该思想用于r s a 方案时失败的原因。两年后，他们解决了上述困难，构造了 第一个门限数字签名方案【3 】。下面介绍“等人的门限签名方案。该方案主要分 为三个阶段：系统初始化阶段、门限签名的生成阶段以及门限签名的验证阶段， 由可信中心t c 、n 个签名者 u 。，“：，“。) 组成的群组和一个签名合成者c 来共同 完成。 ( 1 ) 初始化阶段 t c 选择、计算以下参数： 选择两个大素数p ，q ，使得qp l 。 在g f ( p ) 中选择一个元素g ，满足g ，= l m o d p 。 选定一个安全的单向h a s h 函数( ) 。 中南大学硕士学位论文 第一章绪论 随机选择一个t 一1 次多项式 f ( x ) = 口o + a t x + + a t - i x 卜1 ( m o d q ) 其中a f r 1 ，q 一1 o = 1 , 2 ，j 一1 ) 。 将a 。= f ( o ) ，y = g f o m o d p 分别作为群私钥和群公钥；为各成员 r i ( 待1 , 2 ，以) 选择公开身份标志i d l e 胄【1 ，q - 1 】，并计算成员“，的私钥f ( i d , ) 和公钥y i = g f ( 玛m o d p 。 最后，t c 公开p ，q ，日( ) ，y ，i d , ，y i ( 江1 , 2 ，z ) ，并向各成员秘密发 送f ( i d ，) 。 ( 2 ) f - j 限签名的生成阶段 群组中t 个成员同意代表整个群组对消息m 进行签名，不失一般性，假设这 f 个成员为“。，“：，“，组成群组g ，与签名合成者c 执行以下操作完成门限签名。 每个“，g ，选择随机数k ，足【l ，q - i 】，广播= g 岛m o d p 。 g ，中的成员收到其他t 1 个成员的后，计算 z i i = f 【i8 j ) g o 甜，g r 计算 ， ， 一皿i s f2 尺一1 ( r + ，( 聊) ) 尼f + f ( i d i ) - ，：! ：! ，f 赢m 。d p 然后将朋的部分签名( s ，1 ) 发送给签名合成者c 。 。 c 计算尺： nm o dp ，然后由下式验证各个部分签名 i = 1 土 g s r ：r ，+ h t m ly 当j l t i j d i j d j m o dp 若是t 个部分签名都通过了上式的验证，c 计算 s = 圭j f ( m o d q ) f = i 并且按照下式构造一个插值多项式五( y ) h ( y ) ：圭皿f i 盟 i = 1 。户l ，f y f y _ ， 作为完成该签名的签名者的身份识别函数。m 的门限签名即为s ，r ， ( y ) 。 ( 3 ) 门限签名的验证阶段 验证者根据以下等式验证门限签名s ，r ，j l l ( y ) g 黯= r r + h f m 。h ( y ) r o o dp 若等式成立则该签名是合法的，若不成立，则该签名是伪造不合法的。 w ut z o n g c h e n 和c h o us h u l i n 4 】于1 9 9 6 年根据因子分解问题提出了两种多重 数字签名方案：有序多重数字签名和广播多重数字签名。有序多重签名指签名者 按照一定的顺序对消息进行签名；广播多重签名指提供者将消息广播给所有签名 者，签名者独自对消息进行签名，然后，转给签名收集者，由他来形成多重数字 签名。文献【5 】则给出了多重签名的形式化定义。文献f 6 1 提出了基于m e t a e i g a m a l 4 中南大学硕士学位论文 第一章绪论 签名的多重签名方案。在国内，多重签名的研究浪潮也很高。1 9 9 6 年提出了基 于s c h n o 仃签名的多重签名方案【7 】，1 9 9 7 年祁明和肖国镇在m r 型签名方案和 e 1 g a m a l 型签名方案上，提出了3 个具有特殊次序的多重签名方案【8 】。下面介绍 两个典型的多重签名方案： l 、用散列函数实现多重签名 ( 1 ) a 对文件的散列值进行签名，得到s 。 ( 2 ) b 对文件的散列值进行签名，得到s 疗。 ( 3 ) b 把签名s 。交给a 。 ( 4 ) a 把文件，s 。，s 。一起传送给接收者。 ( 5 ) 接收者可以验证两个人的签名。 这个只是一种最简单的多重签名方案，还有很多不理想的地方，但是它满足 了多重签名方案的要求，实现多个人对消息进行签名。 2 、用g q 身份鉴别方案构造多重签名 此方案中假定两个人a 和b 签署文件，c 为签名验证者。a 和b 都有各自 唯一密码对( 爿，只) ，( 口，s b ) ；公开参数为( ，z ，e ) 。 签名过程如下： ( 1 ) a 选择随机数以，1 - n - 1 ，计算l = m o d n ；把l 发送给b 。 ( 2 ) b 选择随机数，1 t r u e ，f a l s e 签名验证者收到( m ，s ) 后，计算v e t k ( m ，s ) ，若v e r t ( m ，s ) = t r u e ，签名有效；否 则，签名无效。 数字签名的过程如下图所示： 臣困 l 原始信息 t l 摘要算法 r l 签名方私 l 钥加密 山 i 签名信息 回 - - - - - - 一 i 原始信息l 上 摘要信息l 结果比较l t 签名方公l 钥解密i 签名信息l 图2 - 2 数字签名过程示意图 对称密钥和公开密钥都可以做数字签名。只是对称密钥一般只能构造一次性 的签名方案，密钥量大，缺乏灵活性。 1 9 8 7 年r a l p hm e r k l e l 3 3 1 提出了一个基于对称密钥密码的数字签名方案，该 方案利用树型结构产生无限多的一次签名。这个方案的基本思想是在某蝗公开文 档中放入树的根文件，从而鉴别它。根节点对一个消息签名，并鉴别树中的子节 1 2 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 点，这些节点的每一个都对消息签名，并对它的子节点鉴别，一直延续下去。使 用的是没有陷门的单向函数。 数字签名技术的应用研究引起了学术界尤其是密码学界和计算机网络界的 广泛重视。特别是随着电子通信和计算机网络的应用，作为数据安全技术之一的 数字签名技术的地位和作用，越来越显示出其优越性。 2 2 门限代理多重签名技术基础 2 2 1 代理签名基础 不论是手写签名，印签，还是数字签名，它们都代表了签名人的一种权力， 这种权力可以称之为签名人的签名权力。在现实生活中，人们常常将自己的签名 权力委托给可信的代理人，让代理人代表他们在文件上盖章或签名。b i j o u ，一个 公司的经理外出渡假期间，需要他的秘书代替他处理公司的业务，包括以公司的 名义在一些文件上签名。为此，这个经理可以将公司的公章交给秘书，让秘书能 够代表公司在文件上盖章。可以看出，这种委托签名权力的方法有个特点，即公 司客户不因签名人的变更而受到影响，他们收到的印签都是相同的。 在数字化的信息社会里，数字签名代替了传统的手写签名和印签。在使用数 字签名的过程中，人们仍然会遇到需要将签名权力委托给他人的情况。针对数字 签名权力的委托和代理问题，m a m b o 等人于1 9 9 6 年提出了一种特殊的数字签名 体制代理签名体常l j ( p r o x ys i g n a t u r es c h e m e s ) 1 1 1 。 利用代理签名体制，一个被称为原始签名人( o r i g i n a ls i g n e r ) 的用户，可以将 他的数字签名权力委托给另外一个被称为代理签名人( p r o x ys i g n e r ) 的用户。代理 签名人代表原始签名人生成的数字签名，称为代理签名( p r o x ys i g n a t u r e ) 。 l 、代理签名体制 任何一个代理签名体制都可以由以下几个部分组成： ( 1 ) 初始化过程。在这个过程中，选定签名体制的参数、用户的密钥等； ( 2 ) 数字签名权力的委托过程。在这个过程中，原始签名人将自己的数字签名 权力委托给代理签名人； ( 3 ) 代理签名的生成过程。在这个过程中，代理签名人代表原始签名人生成数 字签名； ( 4 ) 代理签名的验证过程。在这个过程中，验证人验证代理签名的有效性。 2 、代理签名的分类 到目前为l e ，国内外学者还没有对代理签名给出系统的分类。m a m b o ， u s u d a 和o k a m o t o 根据数字签名权力的委托过程的不同方式，把代理签名分为三 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 大类：完全代理签名、部分代理签名和具有证书的代理签名。 ( 1 ) 完全代理签名( f u l ld e l e g a t i o n ) 在这种类型的代理签名体制中，原始签名人直接把自己的签名密钥通过安全 的信道发送给代理签名人，使得代理签名人拥有他的全部数字签名权力。原始签 名人与代理签名人有相同的签名密钥，因此代理签名与原始签名是相同的。完全 代理签名中，代理签名和原始签名不可区分，不能制止可能的签名滥用，也不具 有可识别性和不可否认性。很多情况下，原始签名人过后不得不修改他的签名密 钥。因此这种签名不适用于商业应用。 ( 2 ) 部分代理签名( p a r t i a ld e l e g a t i o n ) 在这种类型的代理签名中，原始签名人使用自己的签名密钥产生一个新的 代理签名密钥，并把这个代理签名密钥秘密地交给代理签名人。出于安全的考虑， 使得： 代理签名人不能根据这个代理签名密钥计算出原始签名人真正的签名密 钥； 代理签名人能利用代理签名密钥生成代理签名； 验证代理签名时，必须用到原始签名人的公开密钥。 在部分代理签名中，代理签名人用代理签名密钥按普通的签名体制产生代理 签名，可以使用修改的验证方程来验证代理签名的有效性，因为在验证方程中有 原始签名人的公钥，所以验证者能够确信代理签名是经过原始签名人授权的。 部分代理签名具有可区分性等性质。但在一些部分代理签名中，原始签名人也能 产生代理签名，这对代理签名人来说是不公平的，因为这涉及到不可否认问题。 例如，当签名滥用发生争议时，权威机构必须确定准是代理签名的真正签名人。 ( 3 ) 具有证书的代理签名( d e l e g a t i o nb yw a r r a n t ) 在这种类型的代理签名中，使用一个称为证书的文件来实现数字签名权力的 委托。这种类型的代理签名又可进一步分为两种子类型： 授权代理签名( d e l e g a t ep r o x y ) ：证书由一条可以证明原始签名人同意将 数字签名权力委托给代理签名人的消息和原始签名人对代理签名人的公开密钥 生成的普通数字签名组成，或者证书仅仅由一条可以证明原始签名人同意将数字 签名权力委托给代理签名人的消息构成。代理签名人得到证书后，用自己的密钥 签名，一个有效的代理签名由证书和代理人的签名构成。 持票代理签名( b e a r e rp r o x y ) ：原始签名人首先生成一对新的秘密密钥和 公开密钥，证书由一条声明原始签名人将数字签名权力委托给代理签名人的信息 和原始签名人对新公钥生成的普通数字签名组成。原始签名人将新的秘密密钥秘 密地交给代理签名人，将证书也交给代理签名人，代理签名人用新秘密密钥生成 1 4 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 普通的数字签名。这个数字签名与证书一起就构成了一个有效的代理签名。 l e e 和k i m 在 3 4 1 、 3 5 1 中根据不可否认性质把代理签名分为强代理签名和 弱代理签名。 ( 1 ) 强代理签名：代表原始签名人和代理签名人的签名，一旦代理签名人产生 了有效的代理签名，他就不能向任何人否认他所签的有效代理签名。 ( 2 ) 弱代理签名：仅代表原始签名人的签名，它不能提供代理签名人的不可否 认性。 3 、代理签名的关键技术 ( 1 ) 授权的方式 授权的方式直接影响代理签名的安全性。授权时原始签名人首先要让代理签 名人相信其是合法的授权人，即授权中明确包含原始签名人的身份信息；其次授 权中应明确包含授权信息，即规定代理签名者权力的范围，必要时还要包含代理 签名者的身份信息，这可以用证书实现。因此典型的代理签名授权是原始签名者 用自己的私钥对授权信息( 证书) 做签名，然后把证书和签名作为授权发给代理 签名者。 ( 2 ) 产生代理签名密钥对的方式 代理签名的私钥应该含有授权信息、代理签名者的身份信息或者生成代理签 名时用到的代理签名者己注册的签名私钥( 间接表明代理签名者的身份) 。只有 这样，代理签名验证时才可以既验证代理签名本身的合法性，又验证授权。 ( 3 ) 通信中使用安全信道问题 在大多数数字签名方案中，往往需要一个安全通道传输部分变量，也就是说 这些变量是非常重要的，不能被攻击者获取。从理论上讲，方案显得非常容易， 只须进行文字说明即可。但在实际应用中，要做到这点是非常不易的，即使做到 了，计算效率往往又是不高的。 2 2 2 门限签名基础 ( f ，刀) 门限方案是指将秘密拆分成n 个子秘密分别发送给n 个人保管，其中不 少于t 个人合作才可以恢复秘密，而任意t 1 个人不能恢复秘密。若是少于t 个人 则得不到关于被分享秘密的任何信息，则称该方案是完备的。 从信息论的角度来看，可以用条件熵的概念来定义( f ，n ) 门限签名方案。设 秘密k 分成i t 个子秘密k 。，k 一k 。，并满足对任意t 个不同下标的集合 瓴，f 2 ，i ，) 1 , 2 ，刀) 均有 h ( kk ，k ”足) = 0 h ( kk ，k 如，k 一。) = h ( k ) 中南大学硕士学位论文 第二章基于椭圆曲线的门限代理多重签名技术的理论基础 这样的方案称为( f ，刀) 门限方案，并且是完备的。 在亿力) 门限签名方案中，群体的签名密钥被所有，z 个成员共享，使得任意不 少于f 个成员组成的子集能够代表这个群体签名，而少于f 个成员则不能产生这 个群体的签名。 门限签名具有如下优点： ( 1 ) 攻击者若想得到签名密钥，必须至少得到t 个子密钥，这是困难的。 ( 2 ) 即使某些成员不合作，不愿意出示子密钥，或者泄露、篡改子密钥，或者 丢失子密钥都不会影响签名消息的认证与恢复。 ( 3 ) 实现权力分配，避免滥用职权。 一个好的门限签名应具有如下八条性质： ( 1 ) 群特性：只有群体的成员才能完成自己的部分签名，其他人无法伪造其部 分签名。 ( 2 ) 门限特性：只有当完成部分签名的人数不小于门限值时，门限签名才会产 生。 ( 3 ) 验证的简单性：验证者验证签名时只需要知道群体的公钥。 ( 4 ) 匿名性：验证者无法知道是哪些成员做了部分签名。 ( 5 ) 可追查性：事后可以追查出哪些成员做了部分签名。 ( 6 ) 不可冒充性：任何签名者的集合无法冒充其他签名者的集合完成签名。 ( 7 ) 强壮性：当恶意成员达到或超过门限值时仍无法获得系统的秘密参数。 ( 8 ) 稳定性：删除或加入成员时，系统参数无需做大的改动。 根据门限签名方案所基于的数学难题，目前的门限签名主要分为三类：基于 大数分解问题的门限签名体制，主要是门限r s a 签名体制；基于离散对数问题 的门限签名体制；以及基于椭圆曲线的门限签名体制。 门限签名是一种具有门限性能的签名体制，在电子商务、电子政务等方面都 有着广泛的应用。 门限签名能够实现决策的最优化或是民主化。如企业、政府等进行决策时， 可将一个密钥发给一个决策组中的每个成员，各成员采用门限签名进行投票，投 票值达到一定门限时，才能合成决议的有效签名，使得决议生效。这样既保证决 策是由多个人参与完成的，实现民主化，又保证了决策是由决策群组中达到一定 数目的人通过才生效的，实现最优化。 门限签名可以用于提高系统的可靠性。如在电子拍卖系统中，拍卖方设定n 个拍卖代理服务器。各投标者将自己的密钥分为甩个子密钥，对标值进行( t ，n ) 门限签名，将生成的n 个部分签名分别提交给各服务器。在t 个服务器不出错的 情况下，合成f 个服务器收到的部分签名，能够得至0 投票人对标值的i 、j 限签名。 1 6 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 这样，拍卖系统能够容忍，l t 个拍卖代理服务器出现问题，系统的可靠性得到了 保证。 门限签名能够实现密钥分存和权力支配。如基于门限签名的电子支票系统 中，企业将支付和签收密钥分配给多个人保管，在支付和签收电子支票的时候， 要求多人合作完成。这样通过门限签名的门限特性实现了签名权力的分散；群特 性、防冒充性和强壮性实现签名安全性的要求；匿名性能够实现对企业内部组织 结构的保护；可追查性可以实现对内部成员的审查；验证的简单性及较高的稳定 性能够优化系统的性能。因此，一个安全性能优良的门限签名方案应用与电子支 票系统中，能够保证企业帐户的安全性和可靠性，实现对支付和签收行为的有效 监督和管理。 2 2 3 多重签名基础 在数字签名过程中，有时需要多个用户对同一消息进行签名和认证。能够实 现多个用户对同一消息进行签名的数字签名称为多重数字签名。根据签名过程的 不同，多重数字签名方案可分为两类：一类为有序多重数字签名方案，另一类是 广播多重数字签名方案。 在有序多重数字签名方案中，由消息发送者规定消息签名顺序，然后消息发 送到第一个签名者，除了第一个签名者外，每一位签名者收到签名消息后，首先 验证上一签名的有效性，如果签名有效，继续签名，然后将签名消息发送到下一 个签名者；如果签名无效，拒绝对消息签名，终止整个签名。当签名验证者收到 签名消息后，验证签名消息的有效性，如果有效，则多重签名有效；否则，多重 签名无效。 在广播多重签名方案中，消息发送者同时将消息发送给每一位签名者签名， 然后签名者将消息发送到签名收集者，由收集者对签名消息进行整理并发送给签 名验证者。签名验证者验证多重签名的有效性。 无论是有序多重数字签名方案，还是广播多重数字签名方案，都包含消息发 送者、消息签名者和签名验证者。在广播多重数字签名方案中还包含数字收集者。 2 2 4 盲签名基础 盲签名的概念是由d a v i d c h a u m 于1 9 8 2 年提出的。盲签名在数字现金， 电子投票等领域都有较大的应用价值，特别足目前的数字现金，大部分都是采用 盲签名的原理实现。 盲签名是指签名接收者在不让签名者知道所签名消息内容的情况下，而又能 1 7 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 得到签名者对消息的签名所采取的一种特殊的数字签名技术。盲签名的基本思想 是签名接收者把明文消息m 通过盲变换变为m ，m 隐藏了明文消息m 的具体内 容；然后把m 传给签名者进行签名，签名者对m 进行签名后，得到签名结果 s ( m ，) ；最后签名接收者取回s ( m ，并验证s ( m 确实是签名者对m 的签名， 然后采用去盲变换得到m 的签名s f ，聊j ，这就是签名者对消息m 的签名结果。 盲签名不仅保留了数字签名的各类特性，而且还拥有以下一些特殊的性质： ( 1 ) 盲性：消息的内容对签名人来说是盲化的，签名人看不到消息的原始内容， 这一点是盲签名与其它签名的显著区别。 ( 2 ) 不可追踪性：签名者仅知s ( m ，而不知吖肌，j ，即使签名者保留s ( m ) 及 其它有关数据，仍难以找出s ( m ，) 和吖垅夕之间的内在联系，不可以对消息m 的 拥有者进行追踪。 由于采用不同的技术，基于不同问题以及实际应用中对盲化程度的不同要 求，盲签名可以有众多不同的类型，根据对不同参数的盲化及盲化强度，可以将 其大致归类如下： ( 1 ) 盲参数签名：签名者知道所签署的消息m 的具体内容，按协议的设计，签 名收方可改变原签名参数，即改变吖聊) 得到新的签名，但不影响对新签名的认 证。所以签名者虽签了名，但不知或不全知新签名的具体内容。 ( 2 ) 弱盲签名：签名者仅知道盲化后的消息聊的签名s ( m 夕而不知吖朋) ，这 里吖聊 是签名收方利用s ( m ，所求得的。如果签名者存储s ( m 夕或其它有关数 据，待s ( m ，j 公开后，签名者可以找到s ( m ，和吖m ，j 的内在联系，从而达到对消 息拥有者的跟踪。 ( 3 ) 强盲签名：无论签名者存储多少协议中间信息，他都无法将s ( m ，j 和吖所夕 进行联系，而且签名收方的身份具有无条件的不可追踪性。 2 3 椭圆曲线密码体制基础 2 3 1 椭圆曲线密码体制基础 很多基于有限域乘法群上的密码协议都可以移植到椭圆曲线上，椭圆曲线密 码体制具有与现存的公钥密码体制相同的安全性，而密钥长度却相对要短。较短 的密钥意味着较窄的带宽和较小的内存要求。这些密码系统在某些内存和处理能 力都受限的环境如智能卡的设计中是相当重要的。这些密码系统大致可以分为以 下几类：密钥交换系统、消息加密解密方案、数字签名方案等。 l 、椭圆曲线简介 下面对文中所用到的椭圆曲线的基本概念进行简单的介绍，包括有限域、椭 1 8 中南大学硕士学位论文第二章基于椭圆曲线的门限代理多重签名技术的理论基础 圆曲线以及素数域上椭圆曲线的运算法则。 ( 1 ) 有限域 域是对常见的数系( 如有理数q 、实数r 和复数c ) 及其基本特性的抽象。域 由一个集合f 和两种运算共同组成，这两种运算分别为加法( 用+ 表示) 和乘法 ( 用表示) ，并满足下列算术特性： ( f ，+ ) 对于加法运算构成加法交换群，单位元用0 表示。 f ，i j r d ，夕对于乘法运算构成乘法交换群，单位元用i 表示。 分配律成立：对于所有的a , b ，c f ，都有r 口+ 6 ) c = a c + b c 。 若集合f 是有限集合，则称域为有限域。 有限域中元素的个数称为有限域的阶。存在一个g 阶有限域，当且仅当g 是一个素数的幂，即q = p “，其中p 是一个素数并称为域，的特征，m 是一个 正整数。若m = i ，则域f 就称为素域；若m 2 ，则域f 就称为扩域。其中，阶 为2 ”的域称为二进制域或特征为2 的有限域。 ( 2 ) 素域上的椭圆曲线及其运算法则 域f 上的椭圆曲线e 由下述w e i e r s t r a s s 方程定义： e ：y 2 + a l x y + a 3 y 2 工+ 口2 x 2 + a 4 x + a 6 其中a 1 ，a 2 ，a 3 , a 4 ，a ；f 且a 0 ，a 是e 的判别式，具体定义如下： a = 一6 2 2 魄一8 坟一2 7 魄2 + 9 b 2 b 4 b 6 b 2 = a ；+ 4 a 2 b 4 = 2 a 4 + a l a 3 b 6 = a ；+ 4 a 6 b s = 口i 以+ 4 a 2 a 6 一以l a 3 a 4 + a 2 口3 2 一口； 若域，的特征值不等于2 或3 ，则椭圆曲线e 变换为y 2 = x 3 + 甜+ 6 ，其中 a ，b f ，曲线的判别式是a = 一1 6 ( 4 a 3 + 2 7 b 2 ) 。本文后面的讨论都将基于这个域 上的椭圆曲线。根据“弦和切线”法则，e ( f ) 上的两个点相加得到e ( f ) 上的第三 个点。点集合e ( f ) 及其这种加法运算构成一个加法交换群，并且o o 为其无穷远 点。就是这个群被用来构建椭圆曲线密码体制。该群上的运算法则如下： 单位元：对于所有的p e ( f ) ，p + o o = o o + p = p 。 负元素：若p = ( x ，y ) e ( f ) ，则( x , y ) +