（计算机应用技术专业论文）面向群体的数字签名.pdf

山东大学硕士学位论文 摘要 随着信息技术的发展与应用，信息安全的内涵也在不断延伸，信息安全已经不 仅仅是指物理安全或通信双方的秘密信息传递( 保密通信) ，而扩展到消息的完整 性、认证性、不可否认性、可用性等方面。其中认证与保密是信息安全的两个重 要方面，认证性不能自动提供保密性，而保密性也不能自动提供认证性。数字签 名是认证的主要手段之一，也是现代密码学的重要研究内容。 本文主要围绕以下三种面向群体的数字签名开展研究：门限代理签名、群签名、 坏签名。 商务、政务及同常生活中，经常需要委托他人代替自己行使某些权力或尽到某 种义务，将自己的印章委托给别人以使其代理本人进行签名是经常需要的。校长 秘书在学生毕业证书上加盖校长的手写体人名章可视为校长秘书代理校长进行签 名。与此相应地，在信息化社会中研究某人委托他人代替自己进行数字签名的方 法是一个很有意义的课题。所谓代理数字签名，即是在原始签名人与代理签名人 之间的具有法律效力的协议之下，当原始签名人缺席时，代理签名人可以以原始 签名人的身份对文件进行签署。本文首先在大量分析前人工作的基础上，提出自 己对代理签名进行分类的新方法，同时指出代理签名各性质之间的关系。门限代 理签名方案考虑原始签名人将签名权力授权给一个群体，群体成员以门限方式行 使签名权力的问题，在一个( r ，n ) 门限代理签名体制中，原始签名者可以将他的 签名权利以门限的方式委托给甩个代理签名者，至少t 个代理签名者合作，可以产 生相应的代理签名，而任何少于t 个代理签名者则不能。在研究中发现，目前已经 有很多基于离散对数问题的门限代理签名方案，但是并没有出现一个真正意义上 的基于r s a 密码体制的门限代理签名方案。基于r s a 的代理签名方案仍是一个 未解决的公开问题。鉴于r s a 在理论及应用中的重要性，基于r s a 构造门限代 理签名体制是必要的。于是经过学习与研究，我们构造了一个安全、有效的基于 r s a 体制的门限代理签名方案。在本文的方案中，所有的秘密参数都是分布式产 生的。 群签名方案允许某个组织中的合法成员以组织的名义进行签名，验证者不知道 具体的签名人，当签名发生争议时，可以有系统的权威打开签名，找到实际的签 名者。在群签名方案中，成员删除一直是难以解决的问题之一。2 0 0 3 年，王尚平、 王育民等人在c s 9 7 群签名方案的基础上，利用更新算子的思想，提出了一个“群 签名中成员删除问题的更新算子方案”。本文指出，在该方案中，被删除的群成员 仍然可以做出签名，并且可以被验证者验证，只有群管理员打开签名才能发现签 名者的不合法身份，因而他们的方案存在安全缺陷。 山东大学硕士学位论文 环签名可以将自己隐藏在特定的一组人中间，对消息进行签署并公布，并且可 以不泄漏具体签名人的身份。环签名并不需要有群管理员，不需要建立过程，没 有打开过程，而且不需要合作，任何人选择任何的包括自己在内签署人集合，使 用自己的私钥和其他人的公钥就可以进行签名而不需要其他人的帮助。环签名提 供了一种匿名泄露秘密的巧妙方法。本文对伍前红等人在2 0 0 4 年第八届中国密码 学会议上提出的以胛) 环签名方案进行了分析，指出他们所提出的方案不具有不相 关性，即可以知道两个环签名是否是由同一个( 些) 成员产生的；同时指出他们 的方案不满足匿名性，未参与产生环签名的成员可以通过一个简化的签名算法证 明自己没有制造环签名，也就是揭露了真正签名者的身份。 关键词：数字签名群签名成员删除环签名门限环签名代理签名门限代理签 名r s a 签名体制 n 山东大学硕士学位论文 a b s t r a c t w i t h t h e d e v e l o p m e n t o f t h e i n f o r m a t i o n t e c h n o l o g y , t h e m e a n i n g o f i n f o r m a t i o n s e c u r i t yi se n l a r g e d , i tm e a n sn o to n l yt h ep h y s i c a ls e c u r i t yo rc o m m u n i c a t ei np r i v a c y , b u ta l s ot h em e s s a g e si n t e g r i t y ，a u t h e n t i c a t i o n ，n o n r e p u d i a b l e ，u s a b i l i t ya n ds oo n a m o n gt h e m ，t h ea u t h e n t i c a t i o na n dt h ep r i v a c ya r et w oi m p o r t a n ta s p e c t s ， a u t h e n t i c a t i o nd o e sn o tp r o v i d et h ep r i v a c ya n dt h ep r i v a c yd o e sn o tp r o v i d e a u t h e n t i c a t i o na u t o m a t i c a l l y t h ed i g i t a ls i g n a t u r ei st h ep r i m a r ym e t h o dt op r o v i d et h e a u t h e n t i c a t i o n ，i ti so n eo f t h ei m p o r t a n ta s p e c to f l l s e a r c ho f m o d e mc r y p t o l o g y t h i sp a p e rm a i n l yd i s c u s s e st h r e ek i n do fg r o u po r i e n t e dd i g i t a ls i g n a t u r e s ：g r o u p s i g n a t u r e ，r i n gs i g n a t u r ea n dt h r e s h o l dp r o x ys i g n a t u r e i nt h eb u s i n e s s g o v e r n m e n ta f f a i r so ri no u rd a i l yl i f e ，w eo f t e nn e e dt ot r u s to t h e r s t od os o m e t h i n gi n s t e a do f u s i ti sar e g u l a rr e q u i r e m e n tt od e l e g a t eo u rs e a lt oo t h e r st o s i g ni n s t e a do fu s i tc a nb ev i e wa sap r o x ys i g n a t u r eo ft h ep r e s i d e n tt h a tt h es e c r e t a r y o fp r e s i d e n ts t a m p st h ep r e s i d e n t ss e a lo nt h es t u d e n t sd i p l o m a i na ni n f o r m a t i o n s o c i e t y ，c o r r e s p o n d i n g l y , i ti sas i g n i f i c a t i v es u b j e c tt or e s e a r c ht h em e t h o do fd e l e g a t e t h er i g h to fd i g i t a ls i g n a t u r et oo t h e r s as o c a l l e dp r o x ys i g n a t u r ei st h a tu n d e rt h e p r o t o c o lb e t w e e nt h eo r i e n ts i g n e ra n dt h ep r o x ys i g n e r ，t h ep r o x ys i g n e rc a ns i g nt h e m e s s a g eo nt h eb e h a l fo ft h eo r i e n ts i g n e rw h e nt h e o r i e n ts i g n e ri sa b s e n c e i nt h i s p a p e r ，b a s eo nt h eo t h e r sw o r k s ，w ep r e s e n tan e wm e t h o dt oc l a s s i f yt h ep r o x ys i g n a t u r e si nt h i s p a p e r , a n dt h e nw ed i s c u s st h ec o n d i t i o n so f t h ep r o x ys i g n a t u r ea n dp o i n to u tt h er e l a t i o n sb e t w e e n t h e m t h et h r e s h o l dp r o x ys i g n a t u r ei st h a tt h eo r i e n ts i g n e rd e l e g a t eh i s h e rs i g n i n gc a p a b i l i t yt o ag r o u p ，t h eg r o u pm e m b e r su s et h i sr i g h ti nat h r e s h o l dm e t h o d i na ( f ，胛) t h r e s h o l d p r o x ys i g n a t u r es c h e m e ，t h eo r i g i n a ls i g n e rc a nd e l e g a t eh i s h e rs i g n i n gc a p a b i l i t yt on p r o x ys i g n e r ss u c ht h a ta n y to rm o l lp r o x ys i g n e r sc a ns i g nm e s s a g e so nb e h a l fo ft h e f o r m e r , b u tt 一1o rl e s so ft h e mc a nd on o t h i n g an u m b e ro fs u c hs c h e m e sb a s e do n d l ph a v eb e e ns u g g e s t e d h o w e v e r ，t h e r eh a ss t i l ln oar s a - b a s e dt h r e s h o l dp r o x y s i g n a t u r es c h e m eb yn o w i ti sa no p e nq u e s t i o nt oc o n s t r u c tt h r e s h o l dp r o x ys i g n a t u r e s c h e m eb a s e dr s a b e c a u s eo f t h ei m p o r t a n c eo f r s a s y s t e m ，i ti sn e c e s s a r yt ob u i l da r s a - b a s e dt h r e s h o l dp r o x ys i g n a t u r es c h e m e i nt h i sp a p e rw ec o n s t r u c tas e c u r e r s a b a s e dt h r e s h o l dp r o x ys i g n a t u r es c h e m e a l lt h es e c r e tp a r a m e t e r si nt h i ss c h e m e a r eg e n e r a t e di nd i s t r i b u t e dm e t h o d a g r o u ps i g n a t u r es c h e m ea l l o w sm e m b e r so f ag r o u pt os i g nm e s s a g e so nb e h a l f o f l l 山东大学硕士学位论文 t h eg r o u p s i g n a t u r ec a nb ev e r i f i e dw i t hr e s p e c tt oas i n g l eg r o u pp u b l i ck e y , b u tt h e y d on o tr e v e a lt h ei d e n t i t yo ft h es i g n e r h o we v e r , t h e r ee x i s t sad e s i g n a t e dg r o u p m a n a g e rw h oc a n ，i nc a s eo fal a t e rd i s p u t e ，o p e ns i g n a t u r e s ，i e ，r e v e a lt h ei d e n t i t yo f t h es i g n e r m e m b e rd e l e t i o ni so n eo ft h ek i t t l e s tp r o b l e m si ng r o u ps i g n a t u r es c h e m e s i nt h ep a p e r 叫n e ws o l u t i o ns c h e m ef o rt h em e m b e rd e l e t i o np r o b l e mi ng r o u p s i g n a t u r eb yu s eo f r e n e wo p e r a t o r ，w a n gs h a n g p i n ga n dw a n gy u m i ng i v ean e w m e t h o dt os o l v et h ep r o b l e m ，i n2 0 0 3 i nt h e i rs o l u t i o n ，an e wm e t h o do fs oc a l l e d “r e n e wo p e r a t o r i su s e d b u tw ep o i n to u tt h a ti nt h e i rs c h e m e ，t h em e m b e rw h oh a d b e e nd e l e t e df r o mg r o u pc a ns t i l l g i v eo u tag r o u ps i g n a t u r et h a t c a l lp a s st h e v e r i f i c a t i o ns u c c e s s f u l l y o n l yw h e nt h eg r o u pm a n a g e ro p e n st h es i g n a t u r e ，t h es i g n e r s i l l e g i t i m a t ei d e n t i t yc a nb eu n c o v e r e d ，s ot h e r eh a ss o m ew e a k n e s si nt h es e c u r i t yo f m e i rs c h e m e r i n gs i g n a t u r e ，w h i c hm a k e si tp o s s i b l et os p e c i f ya s e to fp o s s i b l es i g n e r sw i t h o u t r e v e a l i n gw h oa c t u a l l yp r o d u c e dt h es i g n a t u r e ，u n l i k eg r o u ps i g n a t u r e s ，r i n gs i g n a t u r e s h a v en og r o u pm a n a g e r s ，n os e t u pp r o c e d u r e s ，1 1 0r e v o c a t i o np r o c e d u r e s ，a n dn o c o o r d i n a t i o n ：a n yu s e rc a nc h o o s ea n ys e to fp o s s i b l es i g n e r sw h i c hi n c l u d e sh i m s e l f ， a n ds i g na n ym e s s a g eb yu s i n gh i ss e c r e tk e ya n dt h eo t h e r s p u b l i ck e y s ，w i t h o u t g e r i n gt h e i ra p p r o v a lo ra s s i s t a n c e 硒n gs i g n a t u r e sp r o v i d eaw a yt ol e a ka u t h o r i t a t i v e s e c r e t si na na n o n y m o u sw a y t h i sp a p e rf i r s t l yi n 仃o d u c e st h es i t u a t i o na n dt h ep r o g r e s s o ft h er e s e a r c ha b o u tr i n gs i g n a t u r e f o rt h e ( f ，胛) t h r e s h o l dr i n gs i g n a t u r es c h e m e p r o p o s e db yw ue ta 1 i nc h i n a c r y p t 2 0 0 4 ，w ep o i n to u tt h a ti td o e sn o ts a t i s f yt h e u n l i n k a b l i t y , w ec a nl e a r nw h e t h e rt w or i n gs i g n a t u r e sh a v eb e e ni s s u e db yt h es 锄e g r o u pm e m b e r ( s ) ；a l s oi td o e sn o ts a t i s f yt h ea n o n y m i t y , t h eg r o u pm e m b e rw h oh a s n o te o n c e m e dw i t l lt h er i n gs i g n a t u r ec a l l p r o v et h a th ed i dn o tp r o d u c et h er i n g s i g n a t u r ev i aas i m p l es i g n a t u r e ，t h a ti s ，i tr e v e a l st h er e a lm e m b e r sw h oh a v ep r o d u c e d r i n gs i g n a t u r e k e y w o r d s ：d i g i t a ls i g n a t u r e , g r o u ps i g n a t u r e , m e m b e rd e l e t i o n ，r i n gs i g n a t u r e ， t h r e s h o l dr i n gs i g n a t u r e ，p r o x ys i g n a t u r e ，t h r e s h o l dp r o x ys i g n a t u r e ， s i g n a t u r es c h e m eb a s e dr s a l v 原创性声明和关丁论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导卜| ，独 市进行研究所取得的成果。除文中已经注明引用的内容外，本论丈不 包含任何其他个人或集体己经发表或撰写过的科研成果。对本义的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：盘监 日期：型堕：生：篁 关于学位论文使用授权的声明 本人完全了解【1 东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：盎监导师签名 期：兰! 三： 山东大学硕士学位论文 1 1 综述 第1 章引言 随着信息技术的发展与应用，信息安全的内涵也在不断的延伸，其中认证与保 密是信息安全的两个重要方面，认证性不能自动提供保密性，而保密性也不能自 动提供认证性。保密的目的是防止敌方获得机密信息。认证的目的主要有两个： 第一，信源识别( 或称身份认证) ，即验证发信人确实不是假的；第二，检验发送 信息的完整性( 或称信息认证) ，也就是说，即使信息确实是经过授权的信源发送 者发送的，也要验证在传送过程中是否被篡改、重放或延迟。 数字签名是认证的主要手段之一，也是现代密码学的主要研究内容之一。数字 签名是日常生活中手写签名的电子对应物，它的主要功能是实现用户对电子形式 是存放消息的认证。在文件上手写签名长期以来被用作作者身份的证明，或者至 少是同意文件的内容，主要有以下的特性： 签名是可信的：签名使文件的接受者相信签名者是慎重的在文件上签名 的。 签名不可伪造：签名证明了是签字者而不是其他人在文件上签名。 签名不可重用：签名是文件的一部分，不法之徒不可能将签名移到其他的 文件上。 签名文件不可改变：文件签名后，文件不能改变。 签名时不可抵赖的：签名者事后不能声称他没有签过名。 数字签名与传统签名相比有许多特点。首先，在数字签名中签名同消息是分开 的，需要一种方法将签名与消息绑定在一起，而在传统的手写签名中，签名是被 签名消息的一部分；其次，在签名验证的方法上，数字签名利用一种公开的方法 对签名进行验证，任何人都可以队签名进行验证，而手写签名的验证是由经验丰 富的消息接受者通过与以前的签名进行比较来确定的；最后，在数字签名中，有 效签名的复制同样是有效的签名，而在传统的手写签名中，签名的复制是无效的。 因此，在数字签名的方案设计中要预防签名的非法重复使用。 显然，数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对 数问题制定了自己的数字签名标准( d $ s ) ，部分州己制定了数字签名法。法国是 第一个制定数字签名法的国家，其他国家也正在实施之中。中国也已于十届全国 人大常委会第十一次会议2 0 0 4 年8 月2 8 日表决通过了电子签名法，将于2 0 0 5 年 4 月1 日起实施。这部法律规定，可靠的电子签名与手写签名或者盖章具有同等的 法律效力。电子签名法的通过，标志着我国首部“真正意义上的信息化法律”已正式 山东大学硕士学位论文 诞生，这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。 一般数字签名方案包括三个过程：系统初始化过程、签名的产生过程和签名的 验证过程。系统的初始化过程产生数字签名方案用到的一切参数；签名的产生过 程由签名者利用给定的算法对消息产生签名；签名的验证过程由签名的验证者利 用公开的验证算法对给定消息的签名进行验证，得到签名的有效性。下面给出一 般的数字签名的形式化定义： 1 、系统的初始化过程： 产生签名方案中的基本参数( msk 跚陋尼) ，其中，m 表示消息空间；s 表示签名空间；k 表示密钥空间，包含公钥与私钥；册表示签名算法空间；v e r 表示签名验证算法空间。 2 、签名产生过程： 对于密钥空间k ，相应的签名算法为j 辔f s i g ，s i g f ：m j s ，对任意的消 息m m ，有s = s i g r ( r h ) ，那么s s 为消息m 的签名，将( r n ，s ) 发送到签名验证 者。 3 、签名验证过程： 对于密钥空间足，有签名验证算法v e r k ：m s _ t r u e ，f a l s e ， v e r r ( x , y ) - 麓j i 黝罐桃醋懒慨幅琦靴郜引m ) ， 若s = j 喀。( m ) ，签名有效，否则签名无效。 数字签名方案使用的公钥密码算法主要分为3 类，1 、基于离散对数问题，包 括有限域上的离散对数以及椭圆曲线上的离散对数，代表方案有e i g a m a l 签名方 案、s c h n o r r 签名方案，d s s ( 数字签名标准) 等。2 、基于大素因子分解，代表 方案为r s a 签名方案。3 、基于二次剩余问题，代表方案有r a b i n 数字签名方案。 目前数字签名的研究内容非常丰富，包括一般签名和面向群体的签名。面向群 体的签名包括门限代理签名，群签名，环签名等，它与具体应用环境密切相关。 门限体制最早是用于解决密钥管理的问题，在一个( f 栉) 门限体制中，密钥k 以门限的方式委托给以个保管者，使得至少t 个保管者者合作，才可以恢复出相应 的密钥k ，而任何少于t 个代保管者则不能 代理签名的概念来源于手写签名的应用。在日常生活中经常出现委托别人代替 自己签名的事情，与此相对应的数字签名便是代理数字签名。在原始签名人与代 理签名人之间的具有法律效力的协议之下，当原始签名人缺席时，代理签名人可 以以原始签名人的身份对文件进行签署。为了防止单一的代理签名人权利太大， 于是引入了门限体制，在一个( f ，疗) f - j 限代理签名体制中，原始签名者可以将他 的签名权利以门限的方式委托给拧个代理签名者，至少，个代理签名者合作，可以 山东大学硕士学位论文 产生相应的代理签名，而任何少于t 个代理签名者则不能。 群签名方案允许某个组织中的合法成员以组织的名义进行签名，验证者不知道 具体的签名人，当签名发生争议时，可以有系统的权威打开签名，找到实际的签 名者。群签名可应用于电子投票、电子拍卖等。 环签名可以视为一种特殊的群签名，他是在如何泄露秘密的背景下提出的，它 可以使某个想要披露秘密的人，将自己隐藏在自己选择的一组人中间，对消息进 行签署并公布。验证者可以验证秘密确实是有这一组人中的某一个公开的，但是 任何人都不能够找出到底是哪一个人泄露了秘密，环签名提供了一种匿名泄露秘 密的巧妙方法。 1 2 本文的工作 本文关注于面向群体数字签名的研究，其中主要包括门限代理签名，群签名与 环签名。 在代理签名的研究中，首先对代理签名的分类与性质进行研究。在大量分析前 人工作的基础上，提出自己对代理签名进行分类的新方法，同时指出代理签名各 性质之间的关系。同时在研究中发现目前已经有很多基于离散对数问题的门限代 理签名方案，但是并没有出现一个真正意义上的基于r s a 密码体制的门限代理签 名方案。基于r s a 的代理签名方案仍是一个未解决的问题。鉴于r s a 在理论及 应用中的重要性，基于r s a 构造门限代理签名体制是必要的。于是经过学习与研 究，我们构造了一个安全、有效的基于r s a 体制的门限代理签名方案。在本文的 方案中，所有的秘密参数都是分布式产生的。这也是首次出现的一个真正意义上 的基于r s a 体制的门限代理签名方案 在群签名方案中，成员删除一直是难以解决的问题之一。2 0 0 3 年，王尚平、 王育民等人在c s 9 7 群签名方案的基础上，利用更新算子的思想，提出了一个“群 签名中成员删除问题的更新算子方案”。本文指出，在该方案中，被删除的群成员 仍然可以做出签名，并且可以被验证者验证，只有群打开管理员打开签名才能发 现签名者的不合法身份，因而他们的方案存在安全缺陷。 而在环签名的研究中，对伍前红等人在2 0 0 4 年第八届中国密码学会议上提出 的( t ) 环签名方案进行了评述，指出他们所提出的方案不具有不相关性，即可以 知道两个环签名是否是由同一个( 些) 成员产生的；同时指出他们的方案不满足 匿名性，未参与产生环签名的成员可以通过一个简化的签名算法证明自己没有制 造环签名，也就是揭露了真正签名者的身份。 山东大学硕士学位论文 1 3 本文的组织 本文将在以下的第二章介绍相关的密码算法、密码学假设等背景知识，然后在 第三章首先介绍门限代理签名的发展，提出我们的新代理签名的分类方法，讨论 代理签名应满足的性质之间的关系，最后，主要介绍我们的基于r s a 的门限代理 签名方案。第四章首先回顾群签名的发展历史，然后分析w a n g w a n g 群成员删除 方案中存在的安全漏洞。第五章首先介绍环签名，然后分析w u 门限环签名方案 的安全漏洞。第六章对面向群体的数字签名有待进一步的研究进行了展望。 4 山东大学硕士学位论文 第2 章背景知识 2 1 相关密码学问题与假设 2 1 1s t r o n g - r s ap r o b l e m l e tn = p qb ea nr s a 1 i k em o d u l u sa n dl e tgb eac y c l i cs u b g r o u po fzo f o r d e r gn 0 9 2 ( g ) = 乇g i v e n 栉a n dzeg ，t h es t r o n g r s ap r o b l e mc o n s i s t so ff i n d i n g 甜ga n de zs a t i s l y i n gz 量u e ( m o d n 、 2 1 2s t r o n g - r s aa s s u m p t i o n t h e r ee x i s t sap r o b a b i l i s t i cp o l y n o m i a l - t i m ea l g o r i t h mkw h i c ho ni n p u tas e c u r i t y p a r a m e t e r 如o u t p u t sap a i r ( ，z ，z ) s u c ht h a t , f o ra l lp r o b a b i l i s t i cp o l y n o m i a l - t i m e a l g o r i t h m sp ，t h ep r o b a b i l i t yt h a tp c a l ls o l v et h es t r o n g r s ap r o b l e mi sn e g l i g i b l e 2 1 3d e e i s i o n a id i f f i e h e l l m a np r o b l e m l e tg = b ea c y c l i c g r o u p g e n e r a t e d b y g o f o r d e ru 爿g 1w i t h f l 0 9 2 ( “) = 如g - i v c r lg , 旷或a n dg 。g ，t h ed e c i s i o n a ld i f f i e - h e l l m a np r o b l e m c o n s i s t so f d e c i d i n gw h e t h e rt h ee l e m e n t s 皆a n d 毫a r ee q u a l 2 1 4d e c i s i o n a ld i f f i e - h e i l m a na s s u m p t i o n t h e r ei sn op r o b a b i f i s t i cp o l y n o m i a l t i m ea l g o r i t h mt h a td i s t i n g u i s h e sw i t h n o n n e g l i g i b l ep r o b a b i l i t yb e t w e e nt h ed i s t r i b u t i o n sd a n dr ，w h e r ed = 吨，雪，窖，9 5 w i t hx , y ，z r z 。a n d r 2 毽，雪，窖，9 5w i t hx ，y r z 。 2 2 相关的基本的数字签名体制 2 2 1r s a 签名体制 设刀= p 和g 是素数，m = s = - z ，定义胆 ( 马na 县功：r f p q , b 口是 素数，a b ；l ( m o d ( ( 胛) ) ) ，值力和b 公开，值ag 和a 保密。对胆( 见p ，o 县功， 定义 s i g ( 力= x 4m o d n 和 5 山东大学硕士学位论文 v e r k ( x ，y ) = t r u e 亡x 皇y 6m o d n 工，y z 。 2 2 2e i g a m a l 签名体制 设p 是一个素数，它满足在z ，中离散对数问题是难处理的。口z ：是一个本 原元，m = z ：，s = z ；z ，t ，定义 k = ( p ，口，口，) ：= 口4r o o d p ) 值p ，a ，卢是公开的，4 是保密的。 对足= ( 弘口，a ，) 和一个秘密随机数k z ：， 定义 s i g r ( x ，女) = ( y ，艿) 其中 y = 口r o o d p ，占= ( x a r ) k r o o d p 一1 x c x ，z ；和占z p 1 定义 v e r x ( x ，y ，= t r u e p y 6 a lr o o d p 2 2 3 数字签名标准 设p 是5 1 2 比特的素数，它满足z v 中离散对数问题是难处理的。且g 是一个整除 p - 1 的1 6 0 比特的素数，口z ；是模p 的q 次单位根。m = z 二，s = z 口z g ，定 义k = ( p ，q ，a ，口，) ：= 口4m o d p ) ，值p ，q ，a ，是公开的，4 是保密的。 对足= ( p ，q ，口，a ，) 和一个秘密随机数k ，1 k q - 1 ， 定义 s i g r ( 五k ) = ( y ，回 其中 y = ( 口r o o d p ) r o o d q ，j = ( x + a r ) k - 1 m o d q 对x z ；和，艿z 。，验证是通过完成下列计算来进行的 e l = x 6 1 m o d q e 2 = 芦。m o d q v e r x ( x ，万) = t r u e 营( a 勺r o o d p ) m o d q = y 2 3 相关秘密共享方案 2 3 1 磊中s h a m i r 的似肝) 秘密共享方案 初始化 业錾择n 个不同的易中的非零元素，鼬孙坚! 三! ! 墅! 三! 三! ：! 坌旦二 6 山东大学硕士学位论文 个值而，值葺是公开的 子秘密分配 2 、假设d 打算共享一个秘密值k z 。，d 秘密的选择( 独立随机的) 乙中的t - 1 个元素q ，4 2 ，。q l 。 3 、对1 i 月，d 计算出y ，= a ( x ，) ， 4 、对l ，1 l ，d 把子秘密舅分配给p p d om ， x q 川 +k = 、j 口 里 这 山东大学硕士学位论文 第3 章新型门限代理签名方案 3 1 门限代理签名发展综述 在现实世界里，人们经常需要将自己的某些权利委托给可靠的代理人，让代理 人代表本人去行使这些权力。1 9 9 6 年m a m b ou s u d a 和o k a m o t o 首先提出了代理签 名的概念 2 2 - 2 3 。在原始签名人与代理签名人之间的具有法律效力的协议之下， 当原始签名人缺席时，代理签名人可以以原始签名人的身份对文件进行签署。由 于代理签名在实际应用中起着重要作用，所以代理签名一提出便受到广泛关注， 国内外学者对其进行了深入的探讨与研究。随着代理签名安全性要求也不断的提 高，出现了各种各样的代理签名方案。 为了避免单独的代理签名人的权力过大，出现了( 劫门限代理签名方案 2 5 ， 3 0 ，将代理签名的权利分散给疗个人，当其中至少 个人合作时，可以产生合法的 代理签名。随着门限机制的引入，如何确定那些产生代理签名的人的具体身份就 成为一个问题，于是出现了已知签名者的代理签名方案 2 9 以及后续的改进方案。 以上方案都是基于离散对数问题，而基于r s a 问题的门限代理签名方案也已出现 3 7 但被指出具有安全漏洞 4 8 ，并且不是一个真正的门限方案。在将门限机制 引入代理签名的同时，也带来了合谋攻击的安全弱点，并且目前没有很好的解决。 随着电子商务以及电子政务的发展出现了许多特殊的代理签名，比如指定验证 者的代理签名 4 7 ，一次代理签名 4 4 ，非指定代理者的代理签名，之后又出现 了使用别名来隐藏代理人身份的非指定代理者代理签名 3 5 3 ，代理多重签名 5 1 ， 多重代理签名等。但是还有很多特殊的代理签名没有被讨论到，比如在指定代理 签名者的方案中如何使代理签名者匿名，并且可以被追踪? 这种特性可以应用于 电子投票，电子拍卖以及电子招标中，而目前还没有出现满足这一特性的代理签 名方案。 当原始签名人将签名的权利委托给代理签名人之后，如何防止代理权的滥用? 如何撤销代理权? 代理签名人接受代理权后，代理权是否可以再次委托? 如何委 托? 可委托的权限如何限定? 2 2 中也提到了代理签名权的撤销问题，并提出了 两种解决的办法，一个是由原始签名人建立代理签名人列表并随时更新，另一个 是原始签名人更新自己的公钥，但这并没有很好的解决撤销代理权的问题。而其 他的几个问题目前也没有很好的讨论。 随着椭圆曲线密码算法的发展，也出现了一些基于身份的代理签名方案 4 5 ， 4 9 ，5 0 。 还有一些针对代理签名方案的攻击与分析的文章 2 7 ，2 8 ，4 0 ，4 2 ，4 3 ，4 6 ， 山东大学硕士学位论文 5 3 ，5 4 ，5 7 ，这些文章中，使用各种不同的攻击方法，涉及了大量现有的代理签 名方案，指出了它们存在的安全漏洞。如果按照强不可伪造性、强不可否认性、 可识别性、代理权的可撤销性、代理权的防止滥用来衡量，现有的代理签名方案 几乎都有缺点。因此设计一个安全、有效、实用的代理签名方案有待进一步研究。 本节第二部分将对代理签名的分类进行研究，提出一个新的分类方式，第三部 分研究代理签名的性质，指出代理签名各性质之间的关系。第四部分构造了个 基于r s a 体制的门限代理签名方案，这是首次出现的一个真正意义上的基于r s a 体 制的门限代理签名方案。 3 2 代理签名的分类及概念 3 2 1 相关工作 在1 9 9 6 年，m a m b o 等人提出了三类代理签名： 1 完全授权( f n i ld e l e g a t i o n ) ：在完全授权中，代理签名者被授予原始签名者相 同的秘密j ，从而，代理签名者可以产生一个与原始签名者相同的签名。 2 部分授权( p a r t i a ld e l e g a t i o n ) ：在部分授权中，需要从原始签名人的秘密s 中产 生一个新的代理签名密钥盯，盯被秘密的传送给代理签名者，代理签名者使用 。产生代理签名。而且要求从仃不能推出s 。在 2 2 1 ，还指出这类代理签名的 验证只需要原始签名人的公钥。( 现在看来这种要求并不是总是成立。满足这 种要求可以对验证者隐藏代理签名者的身份，但对某些验证者需要知道代理签 名者身份的方案，这种要求不是必需的一注。) 从保护代理签名人的角度可以 分成两类： _ 代理非保护代理签( p r o x y - u n p r o t e c t e dp r o x ys i g n a t u r e ) ：除原始签名 者与代理签名者之外的第三方不能伪造代理签名。( 意味着代理签名人 可以伪造代理签名) 一代理保护代理签名( p r o x y p r o t e c t e dp r o x ys i g n a t u r e ) ：只有代理签名者 能够产生代理签名，第三方合原始签名者都不能伪造代理签名。 3 使用授权书授权( d e l e g a t i o nb yw a r r a n o ：在这种代理签名方式下，需要用到授 权书。授权书是由原始签名者签署的，证明代理签名者是被合法授权的一份证 书文件。( 授权书中可以包含的信息包括：原始签名人身份、代理签名人身份， 代理签名人被授予的权限范畴、代理权的时限等一注) 。按照授权书的构成， 可以分成两类： 授权代理签名( d e l e g a t ep r o x y ) ：原始签名人只对授权信息文件做一个 数字签名，然后把授权文件与文件的