（通信与信息系统专业论文）群盲签名在电子现金系统中的应用研究.pdf

摘要 群盲签名方案具有群签名和盲签名的特点，在电子商务、电子政务、网上选 举和投标等场合都有重要的应用。本论文以g a t e n i e s e 和j c a m e n i s c h 基于离散对 数问题的能抗合谋攻击的群签名方案为基础，根据a l y s y a n s k a y a 和z r a m z a n 提 出的盲化知识签名思想，提出了一种有效的群盲签名方案并分析了其安全性。该 方案克服了c p o p e s c u 的群盲签名方案的缺点，具有不可链接性；d b o n e h ，x b o y e n 等基于椭圆曲线上的双线性对构造的群签名方案不具有可开脱性，本论文改进了 该方案，提出了一种更为有效的短群签名方案，该方案具有签名更短和可开脱特 性。进而将该短群签名方案盲化，使其具有盲签名特性，更适合实际电子现金系 统中使用。 电子现金支付是电子商务的核心和关键环节。本论文研究了电子现金系统的 组成和安全性问题，并成功地结合对电子货币作标记的抗勒索方法和上述的两个 群盲签名，构造了两个有效的能同时抗勒索和防止重复消费的公平电子现金方案。 关键词：群盲签名离散对数双线性对知识签名公平电子现金 a b s t r a c t g r o u pb l i n ds i g n a t u r es c h e m e sc o m b i n ep r o p e r t i e so fg r o u ps i g n a t u r e sa n db l i n d s i g n a t u r e s ，w h i c hi sw i d e l yu s e di ne l e c t r o n i co b r l l m e r c e ，e l e c t r o n i cg o v e r n m e n t ，v o t i n g a n db i d d i n g t h i sp a p e rp r e s e n t sa ne f f i c i e n tg r o u pb l i n ds i g n a t u r es c h e m ew h o s eb a s i c i sg a t e n i e s ea n dj c a m e n i s c h sp r o v a b l ys e c u r ec o a l i t i o n r e s i s t a n tg r o u ps i g n a t u r e s c h e m eb a s e do nd i s c r e t el o g a r i t h mp r o b l e ma n da l y s y a n s k a y a sb l i n ds i g n a t u r e so f k n o w l e d g e ，t h e n ，a n a l y z e si t ss e c u r i t y t h es c h e m eo v e r c o m e st h ed i s a d v a n t a g eo ft h e c p o p e s c u s ，a n dh a st h ep r o p e r t yo fu n l i n k a b i l i t y d b o n e ha n dx b o y e np r o p o s e da g r o u ps i g n a t u r es c h e m eb a s e do nb i l i n e a rp a i r i n g sw h i c hc a nb ef o u n di ne l l i p t i c c h i v e b u ti td o e s n th a v et h ee x c u l p a b i l i t y p r o p e r t y t h i sp a p e ri m p r o v e d t h a t s c h e m e ，a n dp r o p o s e dam o r ee f f i c i e n ts h o r tg r o u ps i g n a t u r es c h e m ew h o s el e n g t ho f s i g n a t u r ei se v e ns h o r t e ra n ds a t i s f i e st h ee x c u l p a b i l i t yp r o p e r t y f u r t h e r m o r e ，w eb l i n d t h a ts h o r tg r o u ps i g n a t u r es c h e m e ，a n dm a d ei ts u i t a b l ef o rp r a c t i c a le - c a s hs y s t e m e - c a s hp a y m e n ti st h ek e r n e la n dp i v o t a lt a c h ei ne l e c t r o n i cc o m n l e r c e t h i sp a p e r s t u d i e so nt h ec o m p o n e n to fe - c a s hs y s t e ma n di t ss e c u r i t y f i n a l l y , c o m b i n gt h ei d e ao f m a r k i n ga n do u rt w op r o p o s e dg r o u pb l i n ds i g n a t u r es c h e m e s ，w es u c c e s s f u l l yp r o p o s e d t w of a i re - c a s hs c h e m e sw h i c hc a np r e v e n tt h eb l a c k m a i l i n ga n dd o u b l e - s p e n d i n g k e yw o r d s ：g r o u p b l i n ds i g n a t u r ed i s c r e t el o g a r i t h mb l i n e a rp a i r i n g s s i g n a t u r eo fk n o w l e d g e f a i re l e c t r o n i cc a s h 独创性( 或创新性) 声明 y8 5 8 6 0 6 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：嫠j 盈癌 日期： 麴 垄z 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在解密后遵 守此规定) 本人签名：彭招君： 同期： 导师签名 日期：丝。f 。兰2 第一章绪论 第一章绪论 本章首先简单介绍了数字签名和群签名的现状与应用，其次简要说明了群盲 签名和电子现金系统，最后给出了本论文主要研究的问题和取得的成果。 1 1 数字签名简介 随着计算机和通信网络的广泛应用，信息的安全性已受到人们的普遍重视， 信息安全已不仅仅局限于政治、军事以及外交等领域，而是现在也与人们的日常 生活日益相关。特别地，随着个人通信、多媒体通信、电子邮件、电子商务以及 电子政务等系统的发展，信息系统的安全保护问题就更加显著了。 信息系统安全的中心内容是保证信息在系统中的保密性、认证性和完整性。 保密性是使截获者在不知密钥的情况下不能解读密文的内容，而认证性是使任何 不知密钥的人不可构造出一个密文，使意定的接收者解密成一个可理解的消息。 认证的目的是使接收者相信消息确实是由它自己所声称的那个信源发出，它还保 证通信双方的通信连接不被第三方介入，以假冒其中的一方而进行非授权的传输 或接收。完整性是保证所接收的消息未经复制、插入、窜改、重排或重放。传统 的密码体制的主要功能是信息保密，而现代密码体制还应保证信息在系统中的可 认证性和完整性，这样可以保证在公开信道上安全地传输信息。 认证理论和技术是最近二十年来随着网络的普遍应用而发展起来的，它已经 成为通信安全学的一个重要的领域。认证系统主要包括以下几个方面的内容：1 1 消息认证；2 ) 身份认证；3 ) 数字签名。消息认证是解决在通信双方利害一致的条件 下，如何防止第三方伪造和破坏的问题；身份认证技术是用于提供通信方身份认 证性的安全机制，它通过检测证明方拥有什么或者知道什么来确认证明方的身份 是否合法。而数字签名则解决当通信双方为竞争对象时，如何远距离迅速地利用 电子签名代替传统的书写签名和印签的问题。 数字签名是电子商务、电子政务、电子银行、电子证券等系统必备的关键性 技术。它在信息安全，包括身份认证、数据完整性、不可否认性及匿名性等方面 都有重要应用，特别是大型网络安全通信中的密钥分配、认证以及电子商务系统 中具有重要作用，数字签名是实现认证的重要工具。著名的电子商务协议s e t 协 议就是采用数字签名咀保证客户、商家和银行之间的认证，并确保交易数据的安 全性、完整可靠性和交易的不可否认性的。 群盲签名在电子现金系统中的应用研究 1 2 群盲签名及其应用 1 2 1 群盲签名的研究意义 由于因特网的飞速发展，人们的生活方式也有所变化。越来越多的人已经成 为网络用户，人们可以坐在计算机前了解发生在世界各地的新闻，或者学习、娱 乐：同时也可以借助i n t e m e t 进行证券交易、购物等商务活动。金融业务的电脑化、 支付系统的电子化将大大地促进金融和商务的发展，为金融机构、生产销售商家 以及社会个人提供方便灵活的交易形式，代表着金融发展的方向。电子商务的范 围和规模在不断扩大，形式新颖的交易形式，要求与之配套的全新支付系统，即 所谓的电子支付。 电子支付是电子商务的核心和关键环节。所谓电子支付是指通过网络进行的 货币支付，实际上是在网络上把传统的支付方式( 现金、信用卡或支票) 转化为电子 的形式。而电子货币是指用一定的现金或存款从银行兑换出代表相同金额的数据， 并以可读写的电子形式存储起来。当使用者需要清偿债务时，通过电子方式将该 数据直接转移给支付对象。这种数据就称为电子货币。 为了使电子货币能与传统的货币支付方式( 现金、票据和信用卡) 一样能保持货 币的匿名性及消费的匿名性，我们将运用有关的密码技术以组建这样的电子现金 系统。自从数字签名概念被提出之后，签名方案不仅得到不断的发展，还被广泛 的应用于我们的电子生活中。特别是群签名、盲签名以及群盲签名等由于具有匿 名性和盲性能很好地适用于电子商务中。 1 2 2 群盲签名在电子现金系统中的应用 近年来，国内外有很多研究群签名的学者将群签名结合盲签名特性应用于电 子现金系统中。群盲签名的应用主要是为电子现金系统提供解决方案。下面我们 将介绍一个由多个银行组成的在线支付的电子现金系统【l l 。 考虑一个系统，其中有一个大的银行群，他们由国家的中央银行控制，而每 个银行可以分发电子现金。我们希望这样的系统具有下列性质： 夺每个银行不能跟踪它所发放的任何现金，就像纸币一样，人们可以匿名 地使用它们。 夺一个商家只要利用群公钥就可验证银行签名的电子货币，来确保它所收到 的任何现金的有效性。 夺存在一个整个银行群体的群公钥，这个公钥的大小与银行个数无关。当更 多的银行加入群体时无需更改公钥，因此这个体制当参与银行个数较大时仍然是 实用的。 给定一个电子现金只有中央银行能证明它是由银行群中的哪一个银行发 第一章绪论 出的，即使商家能验证电子货币的有效性 的电子现金。这个限制给出另一个匿名性 身份，同时又隐藏了他所使用的银行。 它也不能确定顾客是由哪家银行提取 因为我们既隐藏了支付电子现金人的 呤包括中央银行在内的任何银行都不能代表其他银行发出现金，即任何银行 包括中央银行都不能陷害别的银行。 新的实用体制是关注于多家银行参与的模式。它有以下实用背景：首先，商 家只需利用群公钥验证电子货币的有效性：第二，由于签名的盲性，用户的身份 对商家和商家使用的银行都是匿名的；第三，商家和商家的银行都不能确定客户 的银行( 另一层匿名性1 ；第四，收到电子现金的银行只需用群公钥来验证电子现金； 最后，如果出现任何电子现金的矛盾，群管理员可以干涉并进行银行身份的确认。 为了使电子现金系统满足以上要求，我们可将能发放现金的的银行组成一个 群体，中央银行为该群的管理员。每个银行( 群成员) 从群管理员那里得到自己的成 员证件。开户用户想从银行取款时，银行可对所提取的电子货币进行群盲签名， 并从用户帐户中减去相应的款项。用户用银行发布的电子现金进行消费时，商家 只要利用群公钥就可验证该电子现金的有效性，若有效，则商家将商品卖给消费 者。若无效，则拒绝本次交易。交易成功后，商家将该电子货币存入其开户的银 行，银行在验证了该电子货币的有效性后，将相应的款项拨入商家的帐户。 不论是用户还是商家，谁都不希望在交易过程中的各个环节出现不应该有的 损失，更不愿意因为尝试崭新的交易形式而承担风险。除此之外，用户也要求新 型的交易手段不至于危及个人的隐私，等等。虽然每个用户对于电子现金系统的 要求不尽相同，但通常应满足以下几点： 夺不可伪造性：同普通货币相同，电子货币必须不可伪造： 夺不可重复消费：如同不允许分钱用在两处花一样，不可以将一条支付消 息发往不同的受付方。 夺匿名性：参与交易的各方可能会希望对交易进行保密。保密性就意昧着要 限制他人对与交易有关的各种信息的了解。例如支付方和受付方的身份、提取的 电子货币的数目和日期、购物的内容和数量，等等。通常而言，保密性要求有关 的信息仅仅限于当事人知道。在希望匿名或不可跟踪的情况下，有关个人身份的 信息甚至对当事人也要保密，比如一般情况下，不可能确定两次支付是否是由同 一个用户参与的。当然，在特殊情况下，例如银行对某笔支付质疑时，可以撤销 用户的匿名性。 电子货币支付的基本要求还有方便合法用户的正常交易，同时又要防止某些 用户不正当的非授权支付。由于基于网络的各种商务活动越来越频繁，一部分商 业服务转向电子化是大势所趋，作为网络应用的一部分，电子商务以及与其相伴 的电子现金系统必将逐渐得到广泛的应用。相应地，盲群签名的研究与应用也日 4 群盲签名在电子现金系统中的应用研究 益显得重要。 1 3 本论文的章节安排 本文研究了各种现有的群签名方案及其安全性，特别是群盲签名方案的设计 及其安全性分析。将c p o p e s c u 的群盲签名方案改进成一个具有不可链接性的群盲 签名方案；另外改进了d b o n e h 等提出的短群签名方案，提出了一种新的盲短群 签名，并将其运用到电子现金系统中。 第二章介绍了密码学中的一些相关的重要概念与技术；说明了数字签名和群 签名的概念、应满足的特性，介绍了一些典型的群签名方案及其安全性分析；描 述了与群签名相关的一些内容。 第三章分析了群盲签名。介绍了群盲签名的设计要求和原理；然后我们介绍 了改进的基于g a t e n i e s e 和j c a m e n i s c h 的抗合谋攻击的群盲签名方案并对其安全 性进行了分析：最后我们分析了基于椭圆曲线上的双线性对的改进的短群签名方 案，并提出了以此为基础的群盲签名方案，并对此进行了安全性分析。 第四章研究电子现金系统的组成及其安全性问题，将上述提到的群盲签名应 用于该系统中，使该电子现金系统能很好地抵抗勒索及防止重复消费问题。 最后，结束语中对全文的研究工作进行了总结，并指出了可以继续探索的方 向。 第二章数字签名与群签名 第二章数字签名与群签名 本章首先介绍了密码学中一些基本概念和技术，然后介绍了数字签名和群签 名相关的基础知识，最后给出了几种群签名方案的原理和安全性分析。 2 1 密码学基础 密码是一门古老的技术，但自密码技术诞生直至第二次世界大战结束，对于 公众而言，密码技术始终处于一种未知的保密状态，主要应用于政治、军事以及 外交等领域。现代信息技术的迅速发展改变了这一切。随着计算机和通信技术的 迅猛发展，大量敏感信息要通过公共通信设备或计算机网络进行交换，特别是 i n t e m e t 的广泛应用、电子商务和电子政务的迅速发展，越来越多的个人信息需要 严格保密，如：信用卡帐户、银行账号、个人隐私等。正是这种对信息的机密性 和真实性的需求，密码学才逐渐揭去了神秘的面纱，走进公众的日常生活中。现 在，密码理论与技术的应用已经覆盖了国防、军事、政府、金融、商业和文教等 领域。 2 1 1 密码学发展历史 密码学这门古老而又年轻的学科，其历史可以追溯到几千年以前，其发展过 程大致可以分为以下三阶段： 第一阶段是从几千年前到1 9 4 9 年，这时期的密码成为古典密码，主要应用于 政治、军事以及外交等领域，可以说，自从有了战争，就有了保密通信，交战双 方都为了保护自己的通信安全，窃取对方的情报而研究各种信息加密技术和密码 分析技术。在1 9 4 9 年以前，密码技术基本上可以说是一门技巧性很强的艺术，而 不是- - f 7 科学，在这一时期，密码专家常常是凭借自己的直觉和信念来进行密码 设计和分析，而不是推理证明。 第二阶段是从1 9 4 9 年到1 9 7 5 年。1 9 4 9 年c ，e ，s h a n n o n 发表了一篇具有划时 代意义的文章，“保密系统的通信理论”【2 。这篇文章产生了信息论，信息论为对 称密钥密码系统建立了基础，从此密码学成为门学科，但科学理论的产生并没 有使密码学丧失艺术的一面，一直到今天，密码学仍是一门非常艺术的科学。由 于各国政府的限制，加上密码学应用局限在政府和军事部门，所以这段时期密码 学的进展不大，公开的密码学文献也很少。 第三阶段为1 9 7 6 年至今。1 9 7 6 年，w d i f f i e 和m e h e l l m a n 发表了“密码学 的新方向”【3 】，提出了一种崭新的密码体制，导致了密码学发展史上的一场革命， 产生了新的双钥体制公钥体制，使得收发双方无需事先交换密钥就可以建立 群盲签名在电子现金系统中的应用研究 保密通信，从而开创了公钥密码学的新纪元。1 9 7 7 年，美国国家标准局正式公布 了数据加密标准d e s ，将d e s 算法公开，从而揭开了密码学的神秘面纱，从此， 密码学的研究进入了一个崭新的时代。随着计算机网络的迅速发展，特别是近年 来电子商务的兴起，现代密码学的应用已不仅仅局限于政治、军事以及外交等领 域，其商用价值和社会价值也已得到了充分的肯定。 2 1 2 公钥密码学简介 传统对称密码体制可以在一定程度上解决保密通信的问题，但随着计算机和 网络的飞速发展，保密通信的需求越来越广泛，对称密码体制的局限性就逐渐表 现出来，己不能完全适应应用的需要。主要表现在以下三方面： ( 1 ) 密钥管理的困难性问题。任何两个用户间要进行保密通信就需要一个密 钥，不同用户间进行保密通信时必须使用不同的密钥。这样，当网络中的用户数 量增加时，密钥的数量将急剧增大，将给密钥的安全管理和传递带来很大的困难。 ( 2 ) 陌生人之间的保密通信问题。电子商务等网络应用提出了互不认识的网络 用户间进行秘密通信问题，而对称密码体制的密钥分发方法要求密钥共享各方互 相信任，因此它不能解决陌生人间的密钥传递问题，也不能支持陌生人间的保密 通信。 ( 3 ) 数字签名问题。对称密码体制难以从机制上提高数字签名功能，也就不能 实现通信中的抗抵赖需求。 f 是由于对称密码体制存在上述局限性，促使人们产生了建立新的密码体制 的愿望。1 9 7 6 年美国斯坦福大学的博士生w d i f f i e 和他的导师m e 。h e l l m a n 教授 发表了“密码学的新方向，【3 】的论文，第一次提出公钥密码学的新思想，文中没有 提出实际的加密算法。1 9 7 8 年美国麻省理工学院的三名密码学者 r l r i v e s t ，a s h a m i r 和l m a d l e m a n 提出了一种基于大整数分解困难性的公钥密 码，简称r s a 密码【4 】。r s a 密码既可以用于加密，又可用于数字签名，安全、易 懂，因此应用广泛。 公钥密码体制是非对称的，它由两个密钥形成一个密钥对，一个被密钥拥有 者保管，不涉及分发问题；另一个可以公开，基于公开的渠道就可事先分发，大 大提高了分发的方便性，而且还支持数字签名，用两个密钥中的任何一个密钥加 密的内容，都可以用对应的另一个密钥解密。这就解决了对称密码体制中的密钥 管理、分发和数字签名难题。公钥密码体制将加密和解密能力分开，因而可以实 现多个用户加密的消息只能由一个用户解读，或者只能由一个用户加密消息而使 第二章数字签名与群签名 多个用户可以解读。前者可用于公共网络中实现保密通信，而后者可用于认证系 统中对消息进行数字签名。 公钥体制用于加密的框图 5 】如图2 1 所示，其加密过程有以下几步： 要求接收消息的端系统，产生一对用来加密和解密的密钥，如图中的接收 者b ，产生一对密钥雕。，脑。，其中胱。是公开钥，s k 。是秘密钥。 端系统b 将加密密钥( 如图中的p k 。) 予以公开。另一密钥则被保密( 图中 的嫩。) 。 a 要想向b 发送消息小，则使用b 的公开钥加密m ，表示为c = e l , x 。 r n ， 其中c 是密文，e 是加密算法。 b 收到密文c 后，用自己的秘密钥艇。解密，表示为m = d 。 c ，其中d 是 解密 图2 1 公钥体制加密的框图 因为只有b 知道s k 口，所以其他人都无法对c 解密。 公钥密码体制用于认证系统如图2 2 所示。用户a 用自己的秘密钥s k 。对消 息m 加密，表示为c = e 。 m 将c 送给b 。b 用a 的公开钥雕。对c 解密，表示为m = d 。 c 厂= 二刊翌墅卜e i 艘。 i = ，止一 因为从m 得到的c 是经 图22 公钥体制的认证框图 过a 的秘密钥胧。加密的， 群盲签名在电子现金系统中的应用研究 只有a 才能做到。所以c 可作为a 对m 的数字签名。另一方面，由于其他人没有 a 的秘密钥s k 。，故不可能伪造密文c ，在用a 的公开钥解密时得到有意义的消 息m 。因此上述过程实现了对消息来源和消息完整性的认证。 公钥密码算法是公钥密码体制的核心。这些算法可基于不同的计算问题，但 是在理论上都保证了由解密密钥得到加密密钥是不可行的。公钥密码思想的创始 人d i f f i e 和h e l l m a n 在其研究中指出：计算复杂性可以被用作人们设计加密算法的 基础，而n p 完全问题则是一个理想的解决途径，但并非所有的n p 完全问题都可 以用于密码领域。通过检验，人们已经找到了若干可用于密码的这类问题。在没 有解密密钥的情况下，进行破译必须解决这些n p 完全问题。迄今为止，人们已经 研究出了许多种公钥密码算法。除了r s a 算法之外，建立在不同计算问题之上的 其他公钥密码算、法【6 有： 基于“子集和”难题的m e r k l e h e l l m a nk n a p s a c k 公钥算法。通过证明已 经知道除c h o r - r i v e s t 算法外的各种k n a p s a c k 算法是不安全的； 令基于代数编码系统的m c e l i e c e 公钥密码算法； 夺基于有限域中离散对数难题的e 1 g a m a l 公钥密码算法； 夺目前被认为安全的k n a p s a c k 型公钥密码算法； 夺基于因子分解问题的r a b i n 算法； 夺椭圆曲线公钥算法。 公钥系统的安全性主要取决于构造公钥算法所依赖的数学问题。要求加密函 数具有单向性，即求逆的困难性。因此，设计公钥密码体制的关键是先要寻求一 个合适的单向函数【”。 定义2 1 令函数厂是集a 到集b 的映射，以厂：a 呻丑表示。着对任意 _ x 2 ，x i ，x ：a ，有，( 一) f ( x 2 ) ，则称，为单射，或l 一1 映射，或可逆的函数。 ，为可逆的充要条件是，存在函数g ：b _ a ，使对所有x a 有烈，( 堋= x 定义2 - - 2 一个可逆函数厂：a _ 曰，若它满足： 1 ) 对所有工a ，易于计算厂( 工) ； 2 ) 对“几乎所有x a ”由f ( x 1 求x “极为困难”，以至于实际上不可能做到， 则厂称为一单向函数。 定义中的“极为困难”是对现有的计算资源和算法而言。 单向函数是求逆困难的函数，而陷门单向函数是在不知陷门信息下求逆困难 的函数，当知道陷门信息后，求逆是易于实现的。目前有许多函数被认为是单向 函数。然而，人们还没有通过严格的证明得到某个函数的确为单向函数这一结论。 可以用于构造公钥密码的单向函数有：多项式求根，离散对数，大整数分解，背 包问题，d i f f i e - - h e l l m a n 问题，二次剩余问题，模n 的平方根问题等。 第二章数字签名与群签名 9 2 1 3 杂凑函数 杂凑( h a s h ) 函数是认证算法的基本组成部分，是一公开函数，用于将任意长的 数字串m 映射成一个较短的、固定长度的数字串h ( m ) ，作为认证符，称函数值 h ( m ) 为杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供 了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生 改变。杂凑函数一般用来提供消息认证，有6 种基本使用方法，详情请参见文献7 1 ， 它可与单钥加密算法和公钥密码算法结合使用，提供认证、保密和数字签名功能。 杂凑函数的目的是为需认证的数据产生一个“指纹”。为了能够实现对数据的 认证，杂凑函数应该满足以下条件： 夺函数的输入可以是任意长； 夺函数的输出是固定长； 夺已知石，求h ( x ) 较为容易，可用硬件或软件实现。 夺已知h ，求使得t f ( x ) = h 的x 在计算上是不可行的，这一性质称为函数的 单向性，称h ( x ) 为单向杂凑函数； 夺已知x ，找出y ( y x ) 使得h ( y ) = t t ( x ) 在计算上是不可行的，如果单向杂 凑函数满足这一性质，则称其为弱单向杂凑函数； 夺找出任意两个不同的输入x ，y ，使得h ( y ) = 日( 砷在计算上是不可行的，如 果单向杂凑函数满足这一性质，则称其为强单向杂凑函数。 最后两个条件给出了杂凑函数无碰撞性的概念，如果杂凑函数对不同的输入 可产生相同的输出，则称该函数具有碰撞性。 杂凑函数主要是用于数字签名的产生阶段。两个较有名的杂凑函数是m d 5 和s h a - 1 8 2 1 4 零知识证明 假设以p 表示示证者，以v 表示验证者，p 向v 证明他知道某种事物或拥有 某样东西。p 通过一种有效的数学方法，使v 可以检验每一步成立，最终确信p 知道其秘密，而又能保证不泄露p 所知道的信息，这就是所谓零知识证明问题。 零知识证明需满足下述条件： 夺示证者几乎不可能欺骗验证者，若p 知道证明，则可使v 几乎确信p 知道 证明；若p 不知道证明，则他使v 相信他知道证明的概率近于零； 夺验证者从示证者那里得不到任何有关证明的知识，特别是他不可能向其他 人出示此证明。 q u i s q u a t e r 掣9 1 给出一个解释零知识证明的通俗例子。有一个洞，如图2 - 3 所 不9 群盲签名在电子现金系统中的应用研究 4r 一 图2 3 零知识证明概念图解 设p 知道咒语，可打开c 和d 之间的秘密门，不知道者都将走向死胡同中。 现在来看p 如何向v 出示证明使其相信他知道这个秘密，但又不告诉v 有关咒语。 1 1v 站在a 点； 2 ) p 进入洞中任意一点c 或者d ； 3 ) 当p 进洞之后，v 走到b 点： 4 ) v 叫p ：( a ) 从左边出来，或者( b ) 从右边出来； 5 ) p 按要求实现( 以咒语，即解数学难题帮助) ； 6 ) p 和v 重复执行以上5 个步骤共n 次。 若p 不知道咒语，则在b 点，只有5 0 的机会猜中v 的要求，协议执行n 次，则 只有2 ”的机会完全猜中。 零知识证明分为交互式的和非交互式的。 2 1 5 数字签名 数字签名是电子信息技术发展的产物，是针对电子文档的一种签名确认方式。 其目的是提供一种手段，使一个实体把他的身份与某个信息捆绑在一起。一个消 息的数字签名实际上是数，它不仅仅依赖于签名者知道的某个秘密，也依赖于被 签名信息本身。所以数字签名是一种证明签名者身份和所签署内容真实性的一段 信息。 手写签名与数字签名的区别是：首先，手写签名是所签文件的物理组成部分， 数字签名必须与所签文件捆绑在一起。其次，手写签名通过与标准签名比较或检 查笔迹来验证，伪造签名比较容易。数字签名是通过公开的验证算法来验证。好 的数字签名算法应该使伪造签名十分困难。最后，手写签名不易复制。签名是一 个二进制信息，十分容易复制。所以必须防止数字签名重复使用。 数字签名主要用于对数字消息进行签名，以防消息的冒名伪造或窜改，亦可 以用于通信双方的身份鉴别，数字签名应具有如下特性： 1 1 签名是可信的：任何人都可以验证签名的有效性。 2 1 签名是不可伪造的：除了合法的签名者之外，任何其他人伪造其签名是困 难的。 第一二章数字签名与群签名 3 ) 签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签 名。如果对一个消息的签名是从别处复制得到的，则任何人都可以发现消息与签 名之间的不一致性，从而可以拒绝签名的消息。 4 ) 签名的消息是不可改变的：经签名的消息不能被窜改。一旦签名的消息被窜 改，则任何人都可以发现消息与签名之间的不一致性。 5 ) 签名是不可抵赖的：签名者事后不能否认自己的签名。 数字签名的形式是多种多样的，例如通用数字签名、仲裁数字签名、不可否 认签名、盲签名、群签名、门限签名等，能够适合各种不同类型的应用。 2 1 6s c h n o r r 签字体制 s c h n o r r 签名体制是由c s c h n o r r 在1 9 8 9 年提出的一种签字体制，该方案的 安全性是基于求离散对数的困难性。它是一种非确定性的双钥体制，即对同一明 文消息，由于随机参数选择不同而有不同的签字。以该方案和e i g a m a l 煞字体制u 1 为基础设计的d s s 签字体制1 2 】，于1 9 9 4 年底正式成为美国联邦信息处理标准f i l e s p u b l 8 6 ) 。d s s 签名标准具有较大的兼容性和适用性，已经成为网络中安全体系的 基本构件之一。d s s 签字体制具体内容请参见文献【1 2 】，本文只介绍其中的s c h n o r r 签名体制，它在后文中的知识签名中有很重要用途。 其具体算法如下： 1 体制参数 p ，q 为两大素数，且有gp l ，q 1 6 0 b i t 的整数，p 是大于等于5 1 2 b i t 的整数，保 证z ，中求解离散对数困难；g 为z ：中的元素，且g ，；l m o d p ：x 为用户密钥， 且1 x 1 则群公钥为y = ( n ，e ，g ，g ，a ，a ，s ) 若a l i