（通信与信息系统专业论文）（tn）门限签名认证存取控制技术的研究与应用.pdf

摘要 随着计算机应用的计算机网络的发展和普及，信息安全问题逐渐 成为近年来信息技术领域的研究热点。存取控制技术的研究是信息安 全领域一项重要的研究课题，它的研究对于保证信息的完整性和认证 性有着重要的意义。 ( t ，n ) 门限签名是普通数字签名的个推广，其含义为：一个包 含n 个成员的群中任意t 个可以代表群进行数字签名，而少于t 个群 成员则不能生成有效的群签名。( t ，n ) 门限签名认证存取控制技术的 研究与应用是一个有着重要实用价值的研究课题，它能够在特定的背 景下得到广泛的应用。 本文的研究内容是( t , n ) 门限签名认证存取控制技术的应用。本 文理论与实际相结合，将目前最新理论研究成果应用到实际当中，以 v c 和d e l p h i 为开发工具、s q ls e r v e r 为数据库开发了一个网上项目 评审系统。 本文首先分析当前门限签名认证存取控制技术的研究背景，并简 要介绍了国内外的理论和实际研究进展。在介绍了公钥密码学与数字 签名和门限签名的概念之后，本文介绍了几种代表性的门限群签名方 案，这些方案都是将s h a m i r 秘密分享原理应用到公钥密码系统中得 出的成果。本文选取了一种改进的门限r s a 签名方案进行了具体的设 计和实现，利用u s b k e y 充当电子钥匙在网络环境下实现门限签名认 证存取控制技术，在实现大数的运算过程中，采用了许多最新的研究 成果提高了大数的运算效率，随后介绍了门限签名认证存取控制技术 在一个实际项目中应用。最后总结了本文所做的一些工作，并对下一 步工作进行了展望。 。关键字信息安全，门限签名，认证，存取控制 a b s t r a c t w i t ht h ep o p u l a r i z a t i o na n dt h ed e v e l o p m e n to fc o m p u t e rn e t w o r k ， i n f o r m a t i o ns e c u r i t yb e c o m e st h eh o t s p o ti ni tf i l e d a c c e s sc o n t r o l t e c h n o l o g yi sa ni m p o r t a n tr e s e a r c hp r o j e c t ，i ti sv e r ys i g n i f i c a n tf o r g u a r a n t e et h ei n t e g r a l i t ya n da u t h e n t i c a t i o no fi n f o r m a t i o n ( t , n ) t h r e s h o l ds i g n a t u r ee x t e n d sf r o mt h ec o m m o ns i g n a t u r e ，i tm e a n s t h a ta n yto ft h eg r o u pi n c l u d i n gnp a r t i c i p a t o r sc a ns i g n a t u r et h ef i l e s r e p r e s e n t i n g t h eg r o u p ，w h i l el e s st h a nt p a r t i c i p a t o r s c a nn o t t h e r e s e a r c ho f ( t ，n ) t h r e s h o l ds i g n a t u r ea c c e s sc o n t r o lt e c h n o l o g yi su t i l i t y ， f o ri tc a nb ew i d e l yu s e di ns o m ee n v i r o n m e n t t h er e s e a r c hc o n t e n t so ft h i sp a p e ri st h ea p p l i c a t i o no f ( t ，n ) t h r e s h o l d s i g n a t u r ea u t h e n t i c a t i o na c c e s sc o n t r o lt e c h n o l o g y t h ep a p e rc o m b i n e d t h et h e o r yw i t hp r a c t i c e ，u s i n gt h ed e v e l o p i n gt o o l ss u c ha sv c ，d e l p h i a n ds q ls e r v e rd a t a b a s ec o n s t r u c t e dap r o j e c tc e n s o rs y s t e m t h ep a p e ri n c l u d e f i r s t l ya n a l y s e s t h er e s e a r c h b a c k g r o u n do f t h r e s h o l d s i g n a t u r e a u t h e n t i c a t i o na c c e s sc o n t r o l t e c h n o l o g y a n d i n t r o d u c e st h ee v o l v e m e n to ft h e o r ya n dp r a c t i c ei nt h ew o r l d a f t e r i n t r o d u c i n g p u b l i ck e yc r y p t o l o g y , s i g n a t u r e s ，a n dt h ec o n c e p to f t h r e s h o l ds i g n a t u r e s ，t h i sp a p e ri n t r o d u c e ss e v e r a lr e p r e s e n t a t i v e ( t ，n ) t h r e s h o l ds i g n a t u r e s ，w h i c ha r ec o m b i n e dt h es h a m i rs e c r e ts h a r i n ga n d p u b l i ck e yc r y p t o l o g y s e l e c t i n g o n eo ft h e s es c h e m e s ( a l li m p r o v e d t h r e s h o l dr s as i g n a t u r e ss c h e m e ) t h ep a p e rd e s i g n sa n di m p l e m e n t sa s y s t e m ，i nw h i c ht h eu s b k e yi s u s e da s ad i g i t a l k e y d u r i n gt h e i m p l a n t i n gp r o c e s s ，a l o to fn e wr e s e a r c h p r o d u c t i o n sa r e u s e df o r i m p r o v i n gt h eb i gi n t e g e ro p e r a t i o ne f f i c i e n c y a np r o j e c tu s i n gt h e t h r e s h o l ds i g n a t u r ea u t h e n t i c a t i o na c c e s sc o n t r o lt e c h n o l o g yi sa l s o i n t r o d u c e di nt h ep a p e nf i n a l l yi tc o n c l u d e st h ew o r ko ft h ep a p e ra n d p r e s e n t ss o m ee x p e c t a t i o n k e y w o r d s i n f o r m a t i o ns e c u r i t y , t h r e s h o l ds i g n a t u r e s ，a u t h e n t i c a t i o n ， a c c e s sc o n t r o l 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者虢驰吼盟年工膻日 关于学位论文使用授权说明 本人了解巾南大学自天保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅：学校可以公布学位 论文的全部或部分内容，町以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：鞋 导师签 日期舻月 目 硕十学仲论文第一章绪论 1 1 课题背景 第一章绪论 随着计算机网络应用的同益广泛和深入，计算机网络在给人们带来方便快 捷、给企业带来效率和利润的同时，也带来了日益严重的安全问题。各种各样的 安全威胁给人们带来的不仅仅是烦恼，也吞噬着企业的利润。现在通过i n t e r n e t 可以连接到世界上的几乎任何一台计算机。越来越多的证据表明计算机信息系统 的安全性是十分脆弱的，基于计算机网络的信息系统的安全问题已经成为非常严 重的问题，而且己阻碍了网络应用的深化和推广，研究存取控制认证技术将大大 地提升网络系统的安全性。 虽然目前很多政府机关和企事业单位都为电脑配备了网络防火墙，但我国每 年仍有许多信息资产通过电脑流失了。因为网络防火墙只能阻止来自网络的攻 击，而更多电脑泄密都是由于电脑中的信息在存储环节没有得到应有的保护造成 的。遗憾的是，现有的计算机系统基本上处于不设防状态，客观上留下很大的安 全隐患，这将给国家造成灾难性的后果。 本课题基于国家自然科学基金项目计算机网络分布式资源认证存取控制问 题的研究( n 0 6 0 1 7 3 0 4 1 ) 。 1 2 信息安全与密码学 随着计算机通信和网络技术的高速发展，信息安全成为当今的信息社会所迫 切需要解决的科学技术之一。笼统地讲信息安全的研究目的归于四个方面【l l ： 保密性( p r i v a e y ) ：信息应当是保密的，只有授权方能够获取该信息。信息 在生成、传递、处理、保存等过程中，不能被未授权者所提取。 完整性( i n t e g r a l i t y ) ：信息应当是完整的，它能够保证不受无意或有意的损 坏，如修改、重排序或替换。 认证性( a u t h e n t i c a t i o n ) ：信息应当是可认证的，只有授权方能修改该信息。 信息在生成、传递、处理、保存等过程中，不能被非法地窜改、删除、重放和伪 造等。 可用性( a v a i l a b i l i t y ) ：信息应当是可用的，授权方一定能提取得到该信息。 密码技术是信息安全的主要技术之一，它很早就由于保密需要而出现。如恺 撤大帝就利用了密码技术秘密发送下达给执行宫的重要命令。现在密码技术已经 硕十学付论文 第一章绪论 发展演化为一门系统的科学密码学。 简单地说，密码学以研究秘密通信为目的i z j 。它包括两个分支，即密码编制 学和密码分析学。密码编制学是对信息进行编码变换实现信息隐藏的- - f 3 学问， 而密码分析学是研究分析破译密码的学问，两者相互对立，又相互促进地共同向 i i i f 发展。密码学的基本思想是将一种形式的消息变换成另外一种形式的消息。因 此从某种意义上讲，密码学也是研究研究消息变换方法的一门科学。我们称密码 学中用到的各种变换算法和实现它的方法为密码体制( c r y p t o s y s t e m ) ，被隐蔽的 消息称为明文( p l a i n t e x t ) ；密码体制可将明文变换成另一种隐蔽的形式，称为密 文( c i p h e r t e x t ) 。这种变换过程称为加密( e n c r y p t i o n ) ，其逆过程，即由密文恢 复出明文的过程称之为解密( d e c r y p t i o n ) 。对明文进行加密所采用的一组规则称 作加密算法，而对密文进行解密时采用的一组规则称作解密算法。这些算法通常 都是在一组密钥的控制下进行的，分别称之为加密密钥和解密密钥。 已有许多密码体制能够提供保密与认证的需要，如r s a 、i d e a 、a e s 等。 但是这些体制并不足以保证信息的安全性。本质上密码系统的安全性应该完全依 赖于密钥的安全。这在许多情况下是有好处的，因为它使得具有大量信息的信息 系统的安全性简单地归于一个规模很小的密钥。然而同时它也使得需要设计一些 有效的方法，甚至一些非密码学方法来保护密钥。丢失密钥就可能引起严重的后 果，应此必须研究一些方法来解决或者避免这个问题，本文介绍的( 姐) 门限签 名技术就是解决这个问题的一种方法。 1 3 国内外研究现状 目前研究门限签名方案的理论比较多。门限签名的概念最先由d e s m e d t 和 f r a n k e l 于1 9 9 1 年提出“1 ，主要分为两大类：一类基于r s a 密码系统，其代表方 案主要是s h o u p 在2 0 0 0 年的欧洲密码会议上提出的一个切实可行的门限r s a 签 名方案“，之后徐秋亮”1 ，王贵林“1 等人对其进行了改进：另一类基于e i g a m a l 密 码系统，其代表方案主要有d e s m e d t ”、w a n g ”1 、冯登国”1 、王贵林“，王斌1 等 人提出的方案。 但是将门限签名认证存取控制技术应用到实际产品当中的公司几乎没有，相 对而占清华紫光公司推出了u s b k e y 的s ( s e c u r e ) 锁1 是比较突出的产品，但 是它只解决了存取控制技术的一个方面，并没有解决密钥分存的问题。紫光s 锁通过u s b 安全子系统和安全c o s ( c h i po p e r a t i n gs y s t e m ) 给计算机配臂一 个封闭、安全的运行环境，从硬件级上解决了计算机身份认证和文件保密等安全 问题。紫光s 锁可使普通p c 或笔记本迅速具备身份认证、文件保护、查毒杀毒、 黑客防御等安全保护功能，概括起来该产品具有以下主要功能： 2 硕十学位论文 第一章绪论 锁计算机：锁定整个计算机，防止他人非法使用电脑； 锁程序：可以将应用程序锁定，不插入电子钥匙程序就无法运行： 文件保险箱：自由创建虚拟磁盘保险箱，自定义保险箱大小保护任何类型文 件： 碎纸功能：删除后的文件用恢复软件无法恢复； 动态加密技术：将数据进行动态加解密，保证在任何情况下磁盘文件始终是 密文，这样磁盘在任何情况下丢失都不会导致数掘泄密。 1 4 研究目的与意义 本文研究的目的在于研究门限签名认证存取控制技术的应用，选择合适的门 限签名方案，利用u s b k e y 充当电子钥匙，就能够彻底解决普通用户和机密用户 的计算机安全问题，并且能够适用于网络环境，防止用户电脑数据的丢失和泄密。 清华紫光推出的s 锁主要针对普通用户设计，无法满足特殊用户的要求，而 本文研究的基于门限签名认证存取控制技术的应用意昧着对一个有n 个成员的 群组进行授权后，必须要n 个成员中的t 个以上同时插入u s b k e y 电子钥匙j 能 通过认证获得授权。当n = t = l 时就是普通的认证存取控制，当n t l 时就是一般 情况下的门限签名认证存取控制。本文研究的门限签名认证存取控制技术将能够 很好地解决密钥管理和密钥分享问题，防止密钥丢失导致灾难性的后果。 1 5 论文工作介绍 本文首先介绍了本课题的来源与选题目的和意义，分析和介绍了国内外在该 领域的研究现状，然后理论结合实际将目前的理论研究成果应用到实际当中，利 用u s b k e y 充当电子钥匙，研究门限签名认证存取控制技术在网络环境当中的应 用，以v c 和d e l p h i 为开发工具、s o ls e r v e r 为数掘库丌发了能够分享密钥的 电子安全系统。， 、。 本文共分为六章第一章为绪论，主要是分析当的门限签名认证存取控制技 术的研究背景，以及简要介绍国内外的理论和实际研究进展：第二章是相关的理 论基础介绍，主要介绍了公钥密码学与数字签名、公钥密码算法、r s a 密码系统、 e i g a m a l 密码系统、群签名和门限签名的概念：第三章主要是介绍s h a m i r 秘密 分享原理和相关的几种代表性的门限群签名方案，即基于r s a 公钥密码系统和基 于离散对数的( t ，n ) 门限群签名方案，并分析了他们的特性；第四章是具体的 门限签名认证存取控制技术实现的设计，主要介绍了如何利用u s b k e y 充当电 子钥匙在网络环境下实现门限签名认证存取控制技术；以及系统实现过程中的一 硕十学付论文第一章绪论 些算法实现问题，第五章主要介绍了门限签名认证存耿控制技术在一个实际项目 中的应用，第六章是结论与展望，总结了本文所做的一些工作，并对一些不足之 处进行了展望。 4 硕十学静论文第一二章密码学理论基础 2 1 公钥密码学 第二章密码学理论基础 1 9 7 6 年，d i t f i e 和h e i i m a n 发表了7 r 仓i j 忭的论文“密码学的新方向”，提出 了公钥密码体制的思想。，给密码学的发展带来了划时代的变革。公钥密码体制 的最大特点在于采用两个密钥将加密和解密分丌：两个密钥的成对出现，一个是 公丌的加密密钥，个是秘密的解密密钥，且从其中一个推算出两外一个或从密 文分析出明文在计算t 是不可行的：通信双方无需事先交换密钥就可以进行保密 通信。虽然s h a n n o n 在1 9 4 0 年就证明了理论上不可破译的单钥密码体制的存在 性，但是密钥管理始终是单钥密码体制的一个主要难题。假设n 个用户每两个都 要想进行保密通信，那么他们必须通过安全信道交换大约旦! ：斗个密钥。随 z 着大型计算机网络的发展，密钥管理变得越束越重要。币是这个背景，j 产生了 公钥密码体制的思想。利刑公钥密码体制，这n 个用户进行两两保密通信，只需 要n 对密钥就可以了。而且，无需安全信道以交换密钥。可见，公钥密码体制能 够很好地解决密钥管理问题。 一个公钥密码体制由以下要素构成： 随机参数空l 目j ：r ( r a n d o m ) ； 秘密密钥空问：p r k ( p r i v a t ek e y ) ： 公丌密钥空删：p u k ( p u b l i ck e y ) ； 明文空1 1 日j ：p ( p l a i n t e x t ) ： 密文空问：c ( c i p h e r t e x t ) ； 密钥生成算法：k e y g e n ( k e yg e n e r a t ei o n ) ； 加密算法：e n c ( g n c r y p t i o n ) ： 解密算法：d e c ( d e c r y p ti 0 1 1 ) ： 对于任意r r ，x p r k ，y p u k ，m p ，c c ，若( x ，y ) ：k e y g e n ( r ) ，c = e n c ( y ，m ) ， 则有以下两个条件成立： ( 1 ) 由x 容易计算出y ，但是由y 计算出x 在计算上是不可行的； ( 2 ) m = d e c ( x c ) 。 如果用户a 1 i c e 想要让其他人向她发送消息，那么a li c e 首先随机选择一个 参数r e r ，计算出( x ，y ) = k e y g e n ( r ) ，并将y 公丌，将x 作为自己的私钥。当 硕十学竹论文第一二章密码孚理论基础 用户b o b 想要给a l i c e 秘密地发送消息me p 时，他首先检索到a 1 i c e 的公丌密 钥y ，然后用该密钥计算出密文c = e n c ( y ，m ) ，发送给a i i c e 。a 1 i c e 收到c 后，恢 复m 如下：m - - d e c ( x ，c ) 。“窃听者”只能知道密文c 和公丌密钥y ，但他不能根 据c 和y 得到解密密钥x ，因而不能计算出明文消息。 随着电子信息时代的柬临，人们越柬越希望通过数字通信网进行迅速的、远 距离的交易。在这种数字化的信息世界罩，传统的手写签名和印签已经难以发挥 作用，因此人们迫切需要一种具有手写签名和印签功能的数字化签名方法。这正 是数字签名技术产生的背景。 在有些公钥密码体制中，若以秘密密钥作为加密密钥而以公丌密钥作为解密 密钥，则可实现由一个用户加密的消息而使得能够公丌解读，这就可用于数字签 名，一个数字签名体制由以下要素构成： 随机参数空问：r ： 秘密密钥空1 1 日j ：p r k ； 公丌密钥空f b j ：p u k ； 消息空问：m ( m e s s a g e ) ； 签名空阃：s ( s i g n a t u r e ) ： 密钥生成算法：k e y g e n ； 签名生成算法：s i g n ； 签名验证算法：v e r ( v e r i f y ) ； 对于任意r r ，x p r k ，y p u k ，m m ，s s ，若( x ，y ) = k e y g e n ( r ) ，s = s i g n ( x ，m ) ， 则有以下两个条件成立： ( 1 ) 由x 容易计算出y ，但是由y 计算出x 在计算上是不可行地： ( 2 ) v e r ( y ，s ，m ) = a c c e p t ： ( 3 ) 若不知道x ，则难以求出m m 和s s ，使得v e r ( y ，s ，m ) = a c c e p t ； 如果用户a 1i c e 想对消息f i l em 签名，那么a 1i c e 首先随机选择一个参数r er ， 计算出( x ，y ) = k e y g e n ( r ) ，并将y 公丌，将( r ，x ) 保密，然后计算出s = s i g n ( x ，m ) 。 用户b o b 收到签名( s ，m ) 后，他首先检索到a l i c e 的公丌密钥y 。然后计算 v e r ( y ，s ，m ) ，如果v e r ( y ，s ，m ) = a c c e p t ，那么b o b 确信s 是a 1 i c e 对消息m 的有 效签名，否则他认为这个签名是无效的。 2 2 公钥密码算法 1 9 7 6 年以来，许多公丌密钥算法被提出，但其中许多是不安全的，只有少数 几个既安全又实用，这些算法大多基于一些数论难题。在这些安全实用的公钥算 法中，些适宜于加密，一些适用于数字签名，有两个算法既适合加密又适合数 6 硕十学付论文 第一章密码学理论基础 字签名r s 驴”和e 1 g a m a l 1 体制。 2 2 1r s a 密码系统 设n 是两个不同的大素数p ，q 之积，即n = p q ，用妒( ) 表示n 的e u l e r 函数 值，即妒( ) = ( p - 1 ) ( q 1 ) 。用户选取密钥指数对e ，d ez 二，使得e d = i r o o d ( p ( n ) ， 用户公丌( n 。e ) 作为加密或签名验证密钥，而保密d 为解密或签名密钥( 此外 p ，q 也须保密) 。r s a 系统的明文和密文空日j 均为z 。 r s a 加解密算法：对于任何明文消息m z 。，加密算法为 f ；，行r m o d n 相对应的解密算法为 m i c m o d n r s a 数字签名算法：对于给定的消息m z 其数字签名为 s ；m 7 m o d n 相应的验证算法方法为：首先计算m ；j m o d n ，如果y = 蒯就接受签名， 否则拒绝。 2 2 2e i g a m a i 密码系统 e l g a m a l 密码系统的安全性基于离散对数问题的困难性。设p 是一个大的素 数，且域z ，上的离散对数问题足难处理的。又设g 是域z ，的一个本原元( 即z ： 中阶为p - l 的元素) 。明文空b j 为p = z ：，密文空f b j 为c ；z ：，密钥空问为 ( p ，g ，x ，y ) ；y ：g m o d p ，其中x 是秘密密钥，y 是公丌密钥。p 、g 、y 均公丌，而 x 保密。 e 1 9 a m a l 加解密算法：定义加密算法为： ( 珊女) = ( c i ，c 二) 。，f z ：，女z 川是一个随机数，其中 w + q = g m o d p 巳= m y r o o d p 定义解密算法为： d ( f i ，c ! ) = c ! ( f ? ) 一。m o d p f 1 c 2 z ： e 1 g a m a l 数字签名算法：定义签名算法为： s i g n ( m t ) = r j ) ，t z 其中t z 。为一随机数，而r ，s 分别为 ，= g 。m o d p ，s = ( ，”一, - x ) k 。m o d ( p - 1 ) 定义签名验证算法为： v e r ( m r ，j ) 真y 7 厂= g m o d p m r z ； z p l 7 硕士学位论文 第二章密码学理论基础 对于e 1 g a m a l 密码系统必须注意，如果随机数k 泄漏则系统可以被破解。 2 3 数字签名 政治、军事、外交等的文件、命令和条约，商业中的契约、合同以及个人的 书信、声明等，传统上都采用手写签名或公章印章，一旦发生纠纷就可以在法庭 上进行认证、核准。随着计算机通信网的发展，人们希望通过电子设备和计算机 网络实现远距离的电子信息交换，数字签名应用而生，并开始在商业系统和个人 生活中充当重要角色。 数字签名( d i g i t a ls i g n a t u r e ) ，是对手写签名( h a n d w r i t i n gs i g n a t u r e ) 的电子模拟。数字签名的相关主体也是签名方( 即发送方) 和验证方( 即接受方) 。 且类似于手写签名，数字签名也应满足以下条件； 可证实性：验证方能够方便而准确地确认、证实发方的签名； 发方不可否认性：签名一旦发放，发方就不能否认该签名是他签署的。 但数字签名和手写签名之间也有很大的区别，具体表现在三方面： ( 1 ) 执行媒体不同：手写签名的签署和验证都是人工的，所以签名容易被 模仿、伪造；验证容易失误、容易发生纠纷。而数字签名的执行媒体是计算机( 或 其他类似的电子设备) ，所以伪造非常困难，验证过程快速、准确，结果公正， 不容易发生纠纷； ( 2 ) 签名特征不同：手写签名因人而异，而数字签名则因人、因消息而异； ( 3 ) 时空效果不同：手写签名的支撑媒体( 如纸张) 容易损坏、遗失，传 送也不方便；而数字签名则易于长期保存，远距离传送。 为了实现签名目标，签名方必须公开足够的验证信息，以便使验证方能顺利 地检查签名的真伪；但又不能泄露产生签名的机密信息，以防止他人伪造自己的 签名。签名一旦发送，消息的签署者就承担了对所签消息的责任。 数字签名在包括身份认证识别、数据的完整性保护、信息不可否认性及匿名 性等许多信息安全领域中都有重要的用途。甚至可以毫不夸张地说，有信息安全 的地方就有数字签名。特别是在大型网络安全信息、电子商务系统的密钥分配、 用户认证等过程中，数字签名都具有重要作用。 签名与加密有所不同，加密的目的是保护信息不被非授权用户获取，而签名 的目的是使消息的接收者确信信息的发送者是谁、信息是否被他人篡改。另外， 消息加解密可能是一次性的，所以要求它在解密之前是安全的即可；而一个签名 的消息( 比如文件、合同等) 很可能在签署了许多年之后才验证其有效性，而且 还可能要进行多次验证，因此签名的安全性和防伪造性的要求更高。 0 硕士学位论文第二章密码学理论基础 。2 4 群签名简介 群签名( g r o u ps i g n a t u r e ) 是面向群体密码学中的一个课题，1 9 9 1 年由 d c h a u m 和e v a nh e y s t 提出“j c a m e n i s h 和m s t a d l e r ”，j c a m e n i s h 和 m m i c h e l s ，l e e 和c h a n g n 明，t s e n g 和j a n 删等人对群签名进行了改进和完善。 在一个群签名方案中，一个群体中的任意一个成员可以以匿名的方式代表整个群 体对消息进行签名。与其他数字签名一样，群签名是可以公开验证的，而且可以 只用单个群公钥来验证。 一个好的群签名方案应该具有以下特性： ( 1 ) 匿名性。给定一个群签名后，除了唯一的群管理员之外，确定签名人 的身份在计算上是不可行的； ( 2 ) 不关联性。在不打开群签名的情况下，确定两个不同的签名是否为同 一个成员签署在计算上是不可行的； ( 3 ) 可跟踪性。群管理员在必要的时候可以打开一个签名，确认签名者的 身份； ( 4 ) 抗联合攻击性。即使所有的群成员一起也不能推测出群管理员的密钥； ( 5 ) 防陷害攻击。包括群管理员在内的任何人都无法以其他成员身份产生 合法的群签名。 群签名可用于投标中，所有应邀参加投标的公司组成一个群体，且每个公司 都要匿名地采用群签名对自己的标书签名。当选中一个满意的标书时，就可识别 出签名的公司，而其他标书仍保持匿名。中标者若想反悔已无济于事，因为就算 没有他参加的情况下，他的签名仍然可以被正确地识别出来。群签名还可以应用 在公共资源的管理、电子商务、金融合同的签署等方面例乜1 。 2 5f - j 限群签名简介 门限群签名的概念由d e s m e d t 和f r a n k e l 于1 9 9 1 年提出嘲，群成员中的任 意t 个可以代表群组进行数字签名，而少于t 个群成员则不能生成有效的群签名。 根据分存秘密的分发方式的不同，门限群签名方案可以分为两种类型：带秘密分 发中心的门限群签名和无需信任中心的门限群签名。门限群签名方案要求能够满 足以下性质嗌1 ： 群签名特性：只有群内成员可以生成有效的部分签名； 门限特性：只有部分签名数大于门限是才能生成有效的群签名； 匿名性：签名的验证者无法知道哪些成员参与了签名； 9 硕士学位论文第二章密码学理论基础 可追查性：事后发生纠纷是可以追查出签名成员； 强壮性：恶意成员大于门限时仍然无法获取系统秘密参数； 稳定性：添加删除成员时，无需或只需少量更改系统参数。 2 6 智能卡操作系统( s m a r t c o s ) 智能卡操作系统矧( s m a r tc a r do p e r a t i n gs y s t e m ) 是掩模在智能卡内单 片机r o m 中的可执行代码。它的主要功能是控制外界对应用数据的存取、与接口 设备通信及维护应用数据的保密性和完整性；c o s 还可提供用于应用数据管理的 功能。 卡内操作系统( c o s ) 必须解决以下几个问题：数据的操作，鉴别与证实，安 全机制。从接口设备发出命令到卡发送回应答这一过程可以划分为4 个阶段 ( 1 ) 传输管理 传输管理主要是根据所使用的传输协议，发送a t r ( a n s w e rt or e s e t ) 信息， 对读写设备发出的命令进行接收，并对其正确性作出判断，这种判断只针对传输 过程中的错误，而不涉及命令的具体内容； ( 2 ) 应用管理 应用管理的主要任务是对智能卡接收到的命令进行可执行性进行判断。c o s 的实现一般采用了状态机的管理模式，在具体执行一条命令之前，应用管理首先 根据当前的状态和任务来决定此命令是否合法，这些信息都包含在应用控制文件 中： ， ( 3 ) 安全管理 安全机制对与s m a r t c o s 来讲至关重要，它涉及到卡的认证与核对方式的选 择，包括c o s 在对卡中文件进行存取操作时的权限控制机制，还涉及到卡中信息 的保密机制，c o s 的安全机制一般需要实现如下3 个功能：信息加密、认证与核 对、数据( 文件) 存取的安全控制； ( 4 ) 文件管理 c o s 一般通过给每种应用建立相应的文件来实现对各应用的管理。为应用及 数据提供保密存储手段，将数据组织成带不同功能的文件，并进行多层次管理， 所以应用也分多个层次。文件一般分为以下3 种文件：m f ( 主文件，形成文件系 统的根，覆盖整个用户内存，相当与操作系统的根目录) ，d f ( 从文件，m f 的下 一层，它可包含基本文件和其他低级别的d f ，相当于操作系统的目录) 、e f ( 基 本文件，为应用和管理信息保存直接的数据，它可存在于上述两层的任意一层之 中，相当与操作系统的文件) 。文件的操作结构为树型目录结构，与普通的 w i n d o w s 操作系统的目录结构相似。 1 0 硕士学位论文第二章密码学理论基础 本文采用的u s b k e y 实际上也是一个带有s m a r t c o s 的硬件设备，系统利用 u s b k e y 存储签名私钥，这样私钥存储的安全性问题就交给了s m a r t c o s 的安全性 来保障，在本系统中选用了通过中国人民银行银行卡检测中心检测的s m a r t c o s ( 明华澳汉科技股份有限公司的u s b k e y ) 来保证私钥的安全性。 硕十学停论文 第三章门限群签名方案介绑与分析 第三章门限群签名方案介绍与分析 门限群签名方案根据秘密共享方式的不同可以分为两大类，一类为基于 s h a m i r 密钥分存原理的门限群签名，目前的绝大多数都采用这种秘密共享原理； 另一类为阿斯木斯一布隆( a s m u t h b l o o m ) 体系。1 。根据分存秘密的分发方式的 不同，门限群签名方案又可以分为两种类型：带秘密分发中心的门限群签名和无 需信任中心的门限群签名。本章首先介绍了s h a m i r 门限共享原理，然后介绍了 几种具有代表性的门限群签名方案，并且分析了他们的安全性和效率。 3 1s h a m ir 门限共享方案 ( t ，n ) 门限秘密分享方案汹1 是在n 个参与者的集合中分享密钥k 的方法，以这 个方法任何t 个参与者都能计算出k 的值，而任意t 1 个参与者则不能得到k 的任 何信息。以下简要介绍s h a m i r l 3 限方案。 设k 乙，随机选择乙j ：0 q t 一1 次多项式，( r ) = 口o4 - o x + q 2 x 2 + + q l x “， 且满足f ( o ) = k ( 即a o = k ) ，分发给每个用户u 的秘密份额为f ( u ，) ，其中“，为 用户u 的公开信息，任意t 个用户都可以利用公式3 - 1 重构k = f ( 0 ) ： k = ，( 虬) 兀 ( 3 3 2w l cf 3 限群签名方案 w l c 门限群签名方案“1 是一个基于s h a m i r 密钥分存原理，带有秘密分发中心 的门限群签名方案。该方案由可信任的秘密分发中心( s d c ) 选择系统参数和分发 秘密。整个方案由仞始化、部分签名的生成和验证、群签名的生成和验证这3 个阶段组成。 3 2 1 初始化阶段 设有n 个成员，门限为t ，s d c 选择、计算以下参数： ( i ) 选择3 个大素数p 、p 、q ，使得p i ( p 1 ) 和q i ( p - i ) 成立： ( 2 ) 选择g f ( p ) 中阶为p 的元素g 以及g f ( p ) 中阶为q 的元素口，并选择单 向h a s h 函数h ： ( 3 ) 选择一个( t 1 ) 次多项式：厂( 工) - - - a o + q 工+ q l ，。r o o d q ，其 1 2 硕+ 学付论文 第三章门限群签名方案介绍与分析 中，口，【1 ，q 一1 】； ( 4 ) 将= 厂( 0 ) 和y = g 一”分别作为群秘密密钥和群公开密钥： ( 5 ) 为各成员选择化名e 1 ，q 一1 】，并计算成员的秘密密钥口7 和公开密钥 只= g 。7 m o d p ； ( 6 ) 最后s d c 公丌p 、p 、q 、g 、口、y 、h 和( 只，t ) ，并向各成员秘密发送 口m i 。 3 2 2 部分签名的生成和验证 若t 个成员构成的小组x ( i ) 同意对某消息i l l 进行签名，则每个成员z ( i i ) 选择、计算以下各参数，以生成部分签名： ( 1 ) = 口m o d p 。，其中龟 1 ，q - 1 ； ( 2 k 矿饥 哆砌”舯艚张：铲，巍，者； ( 3 ) = g r o o d p ，其中【l ，p 1 】； ( 4 ) 4 = 町( 一c 矗7 ) r o o dp 。： ( 5 ) 发送部分签名( 只，m ，t ，i ) 给预定的群签名生成者d c ( d e s i g n a t e d c o m b i n e r ) 。d c 按式3 - 2 是否成立来判定各部分签名是否有效： g ；( ) m o d p ( 3 - 2 ) 3 2 3 群签名的生成和验证 如果d c 收到的t 份部分签名都是有效的，则其按如下步骤生成群签名： f， ( 1 ) 计算尺= 兀r o o d p 和s = 丌t m o d p ： ，。i，l - ( 2 ) 计算身份确定礅= t e l “，观；静 ( 3 ) ( m ，r ，s ，啊( ) ，) ) 就是群签名 接收者可以用式3 - 3 确定门限群签名是否成立： 9 5 y ( ”) 8r o o d p ( 3 - 3 ) 硕十学伊论文 第二章限群签名方案介鲥与分析 3 2 4 方案的安全性分析 文献 2 3 分析了改方案的安全性缺陷，指出在没有任何有效的群签名时t 个成员构成的小组k ( i ) 通过合谋获耿系统的秘密参数的办法，即t 个成员根据 掌握的秘密份额，构造插值多项式： f ( 工) = 兀口儿州。m o d p = 口九m o d p ( 3 4 ) _ e 厂 由于可以掌握系统其他成员的秘密密钥口九”，从而伪造群签名在w l c 方 案中，只和f 存在线性关系，攻击者根掘已有的群签名可以伪造t 个成员的群签 名。 攻击者先选定需要伪造签名的消息m ，再计算h ( m ) 。假设攻击者已经获 得了消息m 的有效群签名( r ，s ) ，他再计算h ( m ) ，根据置= 口。h ( m ) g r o o d p 攻击者得到t t ( m 墨= 口- ，( ，t i ) h ( 晰，( r o o d p 。令h ( 掰) = ，t f ( m ) s ，= i h ( m ) 则r 。= 月何铆) ，s = s ( m 9 攻击哲可以构造新的群签名( r ，s ) 。而 ( r ，s ) 满足验证等式：g ；y 月m o d p 就可以欺骗群签名的接收者。 3 3 无可信中心的门限群签名方案 由于在许多特定的应用环境下，一个可被所有小组成员信任的可信中心并不 存在，所以无可信中心的门限群签名方案“”就显得很有吸引力，它是一种基于 s h a m i r 密钥分存原理的e i g a m a l 型门限群签名。先由所有的组成员选定公共参 数p 、q 、g 、h ，他们是f ( ；a r e a l 签名方案的参数。 3 3 1 密钥生成阶段 每个成员u ( i = l ，2 - - n ) 公丌自己的标志号x ，然后每个成员选择一个t 一1 次 多i 页式， ) m o d q 0 为其余n 一1 个成员计算 ，= l ( x ，) m o d q ，并通过广播方 式将 ，发送给u ，在每个成员都完成以上步骤后，组成员u 计算 - = 一，m o d q 。然后定义一个新函数f ( x ) = ，( x ) m o d q ，此时 = f ( t ) 。 i ，l u 在 1 ，p - t _ f _ 选一个随机数k ，把x = t ，m o d q 作为组成员u 的秘钥，而 只= g 。m o d p 作为u 。的公钥。令；g 。m o d p ，u 把r 通过广播的方式发送给 硕十学 奇论文 第二章f j 限群签名方棠介绍与分析 其他成员每个成员计算r = 兀r ，m o d p ，t 个成员利用多项式插值 f t 。，= t 喜，c ，n ，芸三戋，n w a ，然后就把，= g o r m o a p 作为组的公 钥，相应的组秘钥x 为x = f ( o ) + 女，r o o d q 。 ，；i 3 3 2 部分签名生成与验证阶段 假没参与签名的成员为集合s ( u ，u 二1 3 , ) 。u 在 1 ，q - 1 上选择一个新的 随机数t ，计算7 ：矿m o d j p 及：g ，一m o d p ，然后将t 和z 通过广播方式发 送给参与签名的其他成员。收到所有的t 和z 后，u 计算r = z ，m o d p ，然后 暇吲托朋神- r l , ( k , ) - m o d q 耕弘，n ，者，( m r ，t ) 就是 生成的部分签名，部分签名的有效性可以用式3 5 验证 r ( z ) = ( y ，