（计算机应用技术专业论文）基于身份的数字签名及签密技术研究.pdf

摘要 摘要 随着对数字签名研究的不断深入，随着电子商务、电予政务的快速发展，对 数字签名的研究己从一般数字签名发展成研究满足具有特殊性质的数字签名。基 于身份的公钥加密系统的概念是指在该体系中，用户在相互通信时，一方只需要知 道另一方的诸如电子邮件地址这样的用户身份信息以及由私钥发生器所提供的公 共参数即可。签密就是在一个逻辑步骤内同时完成数字签名和加密两种功能，其 所需的代价一般低于“先签名后加密”，因而是种实现既保密又认证地传输及 消息存储的理想方法。 本文主要讨论基于身份公钥加密系统中的代理签密、门限代理签密、代理( 部 分) 盲签名等3 种数字签名和签密技术，主要研究成果有： 1 分析了一个由l i 和c 狲提出的基于身份的代理签密方案，并给出了安全 性攻击，证明了该方案不满足强不可伪造性和前向安全性，给出了能同时满足这 两种性质的改进方案，并且给出了安全性证明，而且在本文给出的方案中不需要 事先建立好安全信道，这样方案的效率就会比l i c 狲方案有较大的提升。 2 提出了一个能同时满足保密性，可认证性和不可否认性的一种在双线性对 偶映射下的基于身份的门限代理签密方案，并给出了安全性分析。 3 在基于身份公钥加密系统中引入代理签名和( 部分) 盲签名的概念，利用 双线性群对上计算d i 街e h e l l m 柚难题和离散对数难题的假设，借助双线性映射 提出了一种基于身份的代理( 部分) 盲签名方案，方案的安全性也在文中作了分 析。 关键词：基于身份公钥加密系统签密代理签名门限签名( 部分) 盲签名 a b s t r a c t a b s t r a c t a st h ed e e p e n i n go f 廿l ed i g i t a ls i g n a t t i r er c s e a r c h 锄dt l l em p i dd e v e l o p m e n to f e - c o m m e r c e锄d e g o v e m m e n t ， r c s e a r c h0 n d i g i t a ls i g n a t u r c s w i la d d i t i o n a l p r o p e r t i e sb e c o m e sam a i nr e s e a r c hd i m c t i o n i n 廿l ec o n c e p to fi d e n t i 妒b a s e d e n c l y p t i o ns y s t 锄，u r s j u s tn e e dl 【i l o we a c ho n e si d e n t i 毋i n f o m a t i o ns u c ha se m a i l a d d r e s s 锄dp u b l i cp 甜a m e t e r sp r o v i d e db yf 啊v a t ek e yg e n e r a t o ns i g n c r y p d o nc a n a c h i e v eb o t ht l l es i g n a t u r e 姐de n c r y p t i o nf u n c t i o ni na1 0 9 i cs t e p 舳di sw i t ht h ec o s t l o w e rt l l a t lc o m m o nw a y “f i r s ts i 舭a t u f ea n dm e n c 啷p t i o n ”，t h u si sa ni d e a lw a yt o h i e v ei n f o l t n a l i o ns t o m g ea i l d 帆n s m i 怕| ds e c 眦i y 锄dv e r i f i a b l y i nt l l i s t h e s i s ，w ed i s c u s s s e v e 穗ii d e n t i 妒b a ds i g i l a n l r e 锄ds i 印c d p t i o n s c h e m e sw 妯a d d t i o n a ip r o p e r t i e s ，i n c l l l d i n gp f o 珂s i 弘c r y p t i o n ，岫s h o l dp r o 口 s i g n c r y p t i o na i l dp r o 巧p a n i a l l yb l i n ds 远n a n l 咒1 1 h em a mc o n t r i b u t i o n sa r e 嬲 f o l l a w s 1 _ t h e 卸t h o ra l i a l y z e su - c h e ns c h e m e 粕dg i v e st l l r c e 种【a d ( st op r o v e l a tt h c s 6 h 啪ed o e sn o ts a l i s 黟s 咖gu b r g e a b i l 姆柚df b 柳a r ds c c 谢峨a tt h es a m et i m e ， w e p r o p o s e “，0n e ws c h e m e sw h i c hc 柚s a t i s 母t l l e m f u r n l 锄o m ，t h e r ei sn os e c u r c c h a n n e ln e e d e di no l i rs c h c m e ss o 廿1 e ya r em o e m c i e n tt h 锄u - c 髓ns c h e m e 2 t h ea u t h o rp r o p o s 趾i d e i l t i 妒b 嬲e d 由m s h o l dp r o x ys i 印c r y p t i o ns c h e m e 觚mb i l i n e 盯p a 黼n g sw h i c hc a i ls a t i s 母s e c 谢吼v 舐f i a b i l 时a i l dn o n 司e n i a b l ea tt h e s 黝et i m e t h es e c u r i t y 锄a l y s i so f t h es c h e m ei sa l s op r o p o s e d 3 1 1 l ea u t h o ri n 的d u c e st h ec o n c 印to fp r o l 呵s i 印a t u r c 舭dp a r t a l l yb l i l l d s i g n a t l l r ei n t oi d e n t i 铲b a s e de n c i y p t i o ns y s t e m s ow ep f o p o s ea ni d 锄t i 妒b a d p r o x yp a r t i a l l yb l i n ds i 鲈a n 雌s c h 啪e 觚nb i l i n e 盯p a m n g sb a s e do nd i 艏c h e l h n a n p r o b l e m sa n dd i s c m t el o g 撕t l l mp m b l e m t h es c u r n y 锄a l y s i si sa l s op r o p o s e d k e y w o r d s ：i d e n t i t y - b 懿e de n c r y p n 佃s y s t e ms 培c r y p t i o np r 0 珂s j g n a t u 代 t h r 髂h o ms i g n a t u 心p a r t i a l 咿b u n d 鳓g 蛆t i i n 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作过的同志对本研究所 做的任何贡献已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于保密在年解密后适用本授权书。 本人签名： 导师签名： 日期垒：5 ：2 ：鲨 日期2 q ! ：2 ：! 第一章绪论 第一章绪论 1 1 信息安全与密码学 随着计算机网络以及通信技术的飞速发展，人们之间的信息交流呈现出国 际化、网络化、数字化、智能化、宽带化的趋势，可以说人类已经进入了“信 息时代”。信息时代的主要特征是信息成了社会中最重要的一种资源和财富，信 息的交流和处理手段成了人们生活必不可少的组成部分，过去人们想象不到的 许多事情都已经变成了现实。现在，计算机应用已经渗透到政治、经济、军事、 科学文化和家庭生活等各个领域。然而现代信息技术是一把双刃剑，它一方面 给人类带来了巨大的好处，另一方面又给人类带来了前所未有的威胁。由于信 息的存储；传递和处理等过程往往是在开放的通信网络上进行，所以信息容易 受到窃听、截取、修改、伪造和重放等各种攻击手段的威胁。因此，与通信技 术的高度发展相对应，信息安全成了信息社会急需解决的最重要的问题之一。 信息安全的中心内容是保证信息在信息系统中的保密性和认证性。所谓信 息的保密性，是指信息在生成、传递、处理和保存等过程中，不能被未授权者 所提取。所谓信息的认证性，是指信息在生成、传递、处理和保存等过程中， 不能被非法地窜改、删除、重放和伪造等。解决信息安全问题是一个庞大的系 统工程，需要综合运用数学、计算机、信息论、编码学、密码学、通信技术、 管理技术等各种学科和技术的研究成果，并且需要在实践中不断提高和不断探 索。其中，密码学给解决信息安全问题提供了许多有效的核心技术，在保护信 息的保密性、认证性等方面发挥着关键性的作用。 简单地说，密码学是研究信息系统安全的一门学科。它主要包括两个分支， 即密码编制学和密码分析学。密码编制学是对信息进行编码实现信息隐蔽的一 门学科，其主要县的是寻求保护信息保密性和认证性的方法，密码分析学是研 究分析破译密码的学科，其主要目的是研究加密消息的破译和消息的伪造。密 码编制学和密码分析学既相互对立又相互促进地发展。 密码技术的基本思想是对消息做秘密变换，变换的算法即称为密码算法。 而决定秘密变换的秘密参数叫做密钥( k e y ) 。在密钥的作用下，把有意义的明 文( p l a i n t c 】( t ) 变换成无意义的密文( c p h e r t e x t ) 的变换叫做加密算法 ( e n c 叫p t i o n ) ，相应的逆变换叫解密算法( 融r y p t i o n ) 。若在密钥的作用下把消 息变换成一种“证据”，用来说明某个实体对消息内容的认可，则称变换为签名 算法( s i 翊矗t u r c ) ，相应的逆算法称为验证算法( f i & a t i o n ) 。 根据密钥的特点，密码体制可分为公钥体制( p i 】b l i c - k e ”y s t e m ) 和私钥体制 基于身份的数字签名及签密技术研究 ( p r i v a t e k e ys y s t e m ) 。在私钥密码体制中，一对加密或解密算法使用的密钥相 同或实质相同。在公钥体制中，加密或解密算法使用的密钥不同，而且从一个 难于得到另一个。 信息安全在其发展过程中经历了三个阶段：2 0 世纪6 0 年代以前，人们强调 的主要是信息交换过程中的信息保密性，对安全理论和技术的研究也只侧重于 密码学，这一阶段的信息安全可以简单称为信息保密( i n f o 蚴a t i o n p r i v a c y ) 。2 0 世纪6 0 年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发 展，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注 己经逐渐扩展为以保密性( c o n f i d e n t i a l i 动、完整性( i m e g r 时) ，用性( a v a i l a b i l i t y ) 为口标的信息安全( i n f o m a t i o ns e c 埘神从2 0 世纪8 0 年代开始，山于互联网 技术的飞速发展，信息无论是对内还是对外都得到极大开放，由此产生的信息 安全问题跨越了时间和空间，信息安全的焦点己经不仅仅是传统的保密性、完 整性和可用性三个原则了，由此衍生出了诸如可控性( c o n t r o u a b i l i t y ) 、认证性 ( a u t i l e n t i c i 神、不可否认性( n o n - r e p u d i a t i o n ) 等其他的原则和口标，信息安全 也转化为从整体角度考虑其体系建设的信息保障( i n f o m a t i o na s s u r 锄c e ) 。 1 2 基于身份公钥加密系统的提出背景及研究现状 从s h 踟i r 在8 4 年美洲密码学年会上【l 】提出基于身份的密码系统 ( i n d t i 铲b a de n c r y p t i o ns y s t e m ，以下简称为i 腿) 的设想到现在已有2 1 年， 从那以后，基于身份的加密方案提出了许多，但都有这样那样的缺点。直到2 0 0 1 年的美洲密码学年会，b o n e h 和f r a 蚰“i n f 2 l 才提出了第一个可行的基于身份的 加密方案( 以下简称b f 方案) ，也因此引起了新的研究m e 的热潮。然而，迄 今为止，该领域内仍然有许多重要的公开问题有待解决，例如构造在标准计算 模型下( 而不是r a n 】) o mo r a c l e 模型下) 选择密文安全的i b e 系统( 由1 2 瞧 出) 。 s h a m i r 希望能简化在e m a i l 领域对证书的管理l l j ，使发信人不需要查询收 信人证书中的公钥就能给收信人发送只有收信人( 相关的可信第三方除外，例如 s h 锄i r 原文中提到的“m i s t e dk e yg c n e m t i o nc e n t 粥”) 才能解读的密信 8 4 年美洲密码学年会后，和m e 相关的领域如基于身份的数字签名方案 ( i d e m i 砂b a s e ds i g n a t u r es c h e m e ) 及基于身份的鉴别方案( i d e n t i 铲b a s c d a u t l l e n t i c a t i o ns c h e m e ) 都提出了许多可行方案【3 】【”，已经得到满意解决。但唯独 i b e 领域还没有可行的解决方案，许多提出的方案都有这样那样的缺点：有的方 案假设用户不会合谋，有的方案执行效率低，有的方案需要防篡改的硬件支持。 从b f 方案以后，许多相关的改进、引申的文章纷纷出现，使基于身份的加密 第一章绪论 ( m e ) 及其理论基础和实现工具的研究重新成为研究热点。 在b f 方案提出的同时，c o c l 【s 独立的提出了一套完全不同的m e 方法，该 方法基于在环z n z 上区分二次剩余与非剩余的困难，其中n 是两个大素数的 乘积，可参考【5 】。由于该方法密文长度比明文增加很多，实现效率比b f 方案低， 所以后来的相关文献较少提到，这种方案让人们知道毋e 方案的实现方法可以 是多种多样的。 除了以上介绍的c o c l ( s 方案，在椭圆曲线及r s a 这两个主流的公钥系统中， 还有两种更实用的m e 系统，一种是基于椭圆曲线上特殊代数结构，利用群之 间双线性映射性质的b f 方案【2 】，安全性依赖于双线性d i 彘- h e l l n 娜假设，本文 所提出的几种方案就是基于这种假设；另一种是基于r s a ，利用密钥分拆性质 的i d e m i 铲b 鹪e d m c d i a 自c d r s a 【6 】用【船，基于和r s a 相同的安全性假设。 以上这些m e 方案都基于特定的密码系统，所依赖的复杂性假设也互不相 同。但他们都有一个共同的特点：证明收信者身份的任务由收信人自己完成换 句话说，只有当收信人向可信第三方( 例如b f 方案中的p k g ) 证明了自己的身 份后，可信第三方才利用相关信息及自己的秘密生成此信件的解密密钥并传给 收信人，此时收信人才能利用传回的解密密钥解读信件。这也是i b e 方案的本 质特点之一。 而在p k i 系统中，保证收信人身份的任务由发信人来做，即由发信人查找 收信方的公钥，用此公钥( 协助) 加密信件，然后把加密的信件发送给收信人 所以i b e 方案与普通方案( 如普通p k i 系统) 的一个重要区别在与：普通方案中 确保只有收信人能读信的方法是发信人查找收信人的证书从而获得收信人的公 铜并用公钥加密信件，既确保收信人身份的任务是发信人做的；而i b e 方案中 确保收信人身份的任务是收信人自己做的，既收信人为获得解密秘钥需向可信 第三方( 如根结点) 证明自己的身份。 这种区别能使m e 方案做到普通方案做不到的事。这也是m e 方案比普通 方案的优越所在： 1 当收信人每次更新自己的证书时，发信人不需要重新获取收信人的公钥 2 即使收信人还没建立起自己的公钥，发信人也一样可以给收信人发信 3 由于解密密钥的生成需要可信第三方的参与，发信人可对信的接收条件 作出一些限制( 如限制只有某个时间之后收信人才能读信) ，由可信第三方确认 条件成立( 如已经过了限制的时间) 时才发解密密钥给收信人。 尽管人们对i b e 系统研究了很长时间，然而迄今为止，在该领域内仍然有 一些重要的问题没有解决，例如构造在标准计算模型下( 而不是r a n d o m o r a c l e 模型下) 选择密文安全的m e 系统。 基于身份的数字签名及签密技术研究 l - 3 数字签名技术 公钥密码体制在实际应用中包含数字签名和数字信封两种方式。数字签名 是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收 者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘 要，并通过与自己用收到的原始数据产生的哈希哈希摘要对照，便可确信原始 信息是否被篡改。这样就保证了数据传输的不可否认性。 1 3 1 数字信封 数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信 人才能阅读信的内容：数字信封则采用密码技术保证了只有规定的接收人才能 阅读信息的内容。数字信封中采用了单钥密码体制和公钥密码体制。信息发送 者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码， 被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解 密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称 密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。典型的数 字签名和数字信封的会话过程如下： 1 信息发送者a 使用一单向散列函数对信息生成信息摘要a h a s h ( m ) 。 2 信息发送者a 使用自己的签名私钥签名信息摘要。 3 信息发送者a 生成一个对称密钥( 会话密钥) ，用该对称密钥加密原始 信息，签名及自己的证书( 证书中有自己的签名公钥信息) ，生成加密信息。 4 信息发送者a 从信息接收者b 的证书中得到b 的k e y 加密公钥，然后 用其加密对称密钥( 会话密钥) ，生成数字信封。 5 a 将加密信息和数字信封发送给b 。 6 b 用k e y 加密私钥解密数字信封，得到对称密钥( 会话密钥) 7 b 用对称密钥解密加密信息，得到a 的证书，原始信息，a 对信息摘 要的签名。 8 b 从a 的证书中得到a 的签名公钥，然后用其对a 的信息摘要的签 名进行解密，得到信息摘要。 9 b 使用一单向散列函数对原始信息生成信息摘要b h 鹊h ( m ) 。 1 0 比较a h a s h ( m ) 与b h a s h ( m ) 的信息摘要是否一致，若是，则a 发送 信息，b 接收信息的整个过程完成。该过程保证了数据传输的安全性，数据的 完整性及不可篡改性。 第一章绪论 数字签名应用很多的r s a 算法是基于大数的因子分解难题，由于计算水 平的迅速提高，人们逐渐可以用计算机分解更大的数，因此r s a 算法的密钥 也就越来越长。然而长密钥带来一个问题，非对称加密算法运算速度较慢，造 成使用上的不方便。图1 1 是一个典型的应用数字签名和数字信封技术的密码 系统。 霪 胁 图1 1 应用数字签名和数字信封技术的密码系统 1 3 2 数字签名的分类 基于数学难题的分类 可以将数字签名方案按照公开密钥密码算法建立的数学基础进行分类：建 立在大整数素因子分解基础上( 例如：r i v e s t s h 姗i r 和a d l e m a l l 于1 9 7 8 年提出 了基于r s a 公钥算法的数字签名方案【9 】) 、建立在有限域的离散对数问题上( 如 e l g a m i 于1 9 8 5 年提出的一种基于离散对数的公钥密码算法和数字签名方案 ”o j ，k i s t 于1 9 9 1 年提出了数字签名算法d s a 等等) 以及建立在椭圆曲线( e c c ) 上的密码算法( 如1 9 9 2 年s c o t tv a n s t o n e 首一先提出的椭圆曲线数字签名算法 e c d s a l “j ) 。将离散对数和素因子分解问题结合起来，又可以产生同时基于离 散对数和素因子分解难题的数字签名方案，这一种数字签名方案只有当离散对 数问题和素因子分解问题同时可解时才是不安全的，而在离散对数问题和素因 6 基于身份的数字嚣名驶箍密技术研究 子问题只有一个可解时，这种方案仍是安全的。还有一种素因子分解的特殊情 况，就是二次剩余问题，这是数学中单独的一个难题，基于二次剩余问题同样 可以设计多种数字签名方案，例如，r a b i n 数字签名方案，1 9 9 7 年n y a n g 和s o n g 所设计的快速数字签名方案等。 基于特殊用途的分类 当一般数字签名方案不能满足某些特别的签名需要时，便需要借助于特殊 数字签名，以下是一些常用的特殊数字签名。 ( 1 ) 盲签名：当签名者签署一份不知道内容的文件时，就需要使用盲签名。 由于盲签名具有匿名的性质，因而在电子货币和电子投票系统中得到了广泛的 应用。 ( 3 ) 群签名：允许一个群体中的成员以整个群体的名义进行数字签名，并且 验证者能够确认签名者的身份。群签名中最重要的是群密钥的分配，要能够高 效处理群成员的动态加入和退出。一般的群密钥的管理可以分为两大类别：集中 式密钥管理( 密钥管理员产生密钥并分发给每一个群成员) 和分散式密钥管理 ( 由所有群成员共同建立群密钥) 。 ( 4 ) 门限签名：在有n 个成员的群体中，至少有t 个成员才能代表群体对文 件进行有效的数字签名。门限签名通过共享密钥方法实现，它将密钥分为n 份， 只有当将超过t 份的子密钥组合在一起时才能重构出密钥。门限签名在密钥托 管技术中得到了很好的应用，某人的私钥由政府的n 个部门托管，当其中超过 t 个部门决定对其实行监听时，便可重构密钥。 ( 5 ) 代理签名：允许密钥持有者授权给第三方，获得授权的第三方能够代表 签名持有者进行数字签名。m 锄b o 首次提出了代理签名的概念，之后，代理签 名开始被广泛研究。目前提出了三种不同的代理机制：全权代理、部分代理和授 权代理。 ( 6 ) 门限代理签名：为了控制代理签名中授权的第三方不会乱用签名，此方 案将密钥分配给n 个代理者，只有超过t 个人联合时才可以重构密钥。通过这 样的方法可以限制代理者的权限。可阻看出，门限代理签名实际上是门限签名 和代理签名的综合应用。 ( 7 ) 不可否认的门限代理签名：用来防止门限代理签名中的t 个签名者同谋 重构签名，该方案中参与代理签名的t 人均不可否认其签名。 基于签名用户数量的分类 根据签名用户的数量，可以将数字签名方案分为单个用户签名的数字签名 方案和多个用户签名的数字签名方案。一般的数字签名是单个用户签名方案， 而多个用户的签名方案又称为多重数字签名方案。随着分布式网络系统的发展， 第一章绪论 在分布式的环境中实现高效率、抗攻击的多重数字签名显得尤其重要。1 9 8 3 年， 由l t a l u r a l 【首次提出多重数字签名的概念并提出一个签名次数固定的签名方 案。之后，各种不同的多重数字签名方案被相继提出，1 9 8 6 年，b 0 y d 1 2 】用( n ，n ) 群签名的概念描述了多重数字签名，并提出了一个( n ，n ) 群签名方案，该方案 中如果群体成员多于两人，则大多数成员只能进行盲签名。1 9 9 1 年，d e s m e d t 和f r 蚴k c l 首先提出了基于r s a 基础的( t n ) 门限数字签名协议，在这一协议中， 用一个信任的密钥认证中心来确定群体密钥和成员密钥，( n ，n ) 门限数字签名可 以轻易扩展为多重数字签名。建立在大整数分解难题基础上的多重数字签名方 案，由于签名者选用不同的n 作为公钥，因而会有两大难题： ( 1 ) 签名次序受到限制： ( 2 ) 验证过程需要有不同的n ( 与签名人数成正比) ，这样便不能成为很好的 多重数字签名方案。 e l g 蛐i 于1 9 8 5 年提出的一种基于离散对数的公钥密码算法和数字签名 方案，这种数字签名方案适用于单个用户的数字签名。对于e l g 锄i 提出的数 字签名方案有许多变形，通称为e l g a m i 型数字签名方案。1 9 9 4 年，l h 帅 和y - x u 提出了设计e l g 咖i 型数字签名的规则，并给出了所有安全的e l g 锄i 数字签名方案。1 9 9 4 年，h a m 首次设计了一种基于离散对数难题的多重数字签 名方案【l3 1 。根据签名的过程不同，可把多重数字签名方案分为广播多重数字签 名和顺序多重数字签名两种。 随着对数字签名研究的不断深入，随着电子商务、电子政务的快速发展， 对数字签名的研究己从一般数字签名发展成研究满足特定需要、具有特殊性质 或特殊功能的数字签名，具有特殊性质的数字签名己成为数字签名的主要研究 方向。 本文主要讨论基于身份的代理签密、门限代理签密、代理( 部分) 盲签名等3 种数字签名和签密技术，主要成果有： 1 分析了一个由l i 和c 眦n 提出的基于身份公钥加密系统中的代理签密 方案【1 4 】，并给出了安全性攻击，证明了该方案不满足强不可伪造性和前向安全 性，给出了能同时满足这两种性质的改进方案，并且给出了安全性证明，而且 在本文给出的方案中不需要事先建立好安全信道，这样方案的效率就会比 l i c 既n 方案有较大的提升。 2 提出了一个能同时满足保密性，可认证性和不可否认性的一种在双线性 对偶映射下的基于用户身份的门限代理签密方案，并给出了安全性分析。 基于身份的数字签名及签密技术研究 3 在基于身份公钥加密系统中引入代理签名和( 部分) 盲签名的概念，利 用双线性群对上计算d i m e h e l l m 柚难题和离散对数难题的假设，借助双线性 映射提出了一种基于身份的代理( 部分) 盲签名方案，方案的安全性也在文中 作了分析。 1 5 本文的组织结构 本文主要研究了基于身份公钥加密系统中的几种具有特殊性质的数字签名 及签密技术的研究。 第一章首先介绍信息安全与密码学技术，然后介绍数字签名技术的概念， 并且分析了基于身份公钥加密系统提出的背景和研究现状。最后介绍了本文的 主要研究成果。 第二章主要介绍本论文中将用到的有关基于身份公钥加密系统的基本理论 知识。首先介绍椭圆曲线、有限域上的椭圆曲线公钥密码体制，接着介绍了有 限域上椭圆曲线阶的计算以及离散对数问题，然后介绍了有限域上椭圆曲线公 钥密码体制以及存在的一些对椭圆曲线攻击的算法。最后给出了双线性映射的 基本概念以及利用双线性对的基于身份数字签名方案的般形式。 第三章主要构造了基于身份的代理签密方案。首先代理签名的发展背景、 代理签名体制的内容及发展状况、应满足的安全性质以及签密技术和前向安全 性。然后给出了基于身份的代理签密方案的基本结构，并详细分析了l i c h e n 方案。最后给出了两个改进方案，并且分析了方案的安全性和效率。 第四章主要构造了基于身份的门限代理签密方案。首先介绍门限签名的概 念以及发展现状，然后介绍了可验证秘密分享方面的内容。最后给出了基于身 份的门限代理签密方案并且分析了它的安全性。 第五章主要构造了基于身份的代理( 部分) 盲签名方案。首先介绍了盲签 名的概念、性质、研究背景及发展现状。然后介绍了( 部分) 盲签名以及基于 身份的( 部分) 盲签名的一般概念。最后给出了基于身份的代理( 部分) 盲签 名方案并且分析了它的安全性。 第六章对本文作了一个简要的总结，并对研究的方向进行了进一步的展望。 第二章预备知识 第二章预备知识 数字签名是现代密码学的重要组成部分，目前人们已经提出了许多基于离散 对数、大数分解、r s a 及其变形等数学难题的数字签名方案。s h 姗i r 在1 9 8 4 年为 简化基于证书的加密体制中繁琐的密钥管理工作提出了基于身份的加密和签名方 案。后来陆续有许多基于身份的加密和签名方案被提出基于身份的密码体制的基 本思想就是利用用户身份的相关信息作为该用户的公钥，也就是说，用户的公钥 能够通过用户的身份信息直接计算出来，而不是通过证书发放中心颁发的证书来 确定。双线性对( b i l i n e 盯p a m n g s ) ，来自代数曲线上的w e i l 对和t a c e 对，是代数 几何学中的重要研究工具在密码学中，它们最早只是用来攻击椭圆曲线密码和超 椭圆曲线密码系统近年来，双线性对在密码学中得到了越来越广泛的应用，人们 提出了许多基于g d h 群的数字签名方案，成为构建基于身份的密码方案的一种工 具。 2 1 椭圆曲线的理论基础 由于椭圆曲线密码体制中所涉及到的椭圆曲线是建立在有限域上的。因此在 讨论椭圆曲线密码的相关理论之前首先讨论有限域的有关性质。 2 1 1 群和域的概念 定义2 一l 设g 是一个非空集合，若在g 上定义一个二元运算“十”满足下 列条件，称( g + ) 是一个群。 封闭性；对任何4 ，6 g ，有口+ 6 e g 。 结合律：对任何d ，玩c g ，有( a + b ) + c - a + ( b + c ) 。 存在单位p e g ，便得对任何口e g ，有a + e = e + a _ a 。 对任何e e g ，存在逆元a _ 1 ，使得a + a _ i = a - 1 + a = e 成立。 如g 还满足对任意口，6eg ，有a + 脚十a ，则称g 为可交换群或者阿贝尔( a b e l ) 群。 定义2 2 设r 是一个非空集合，在r 中定义了加和乘两种二元运算，加法 记为“+ ”，乘法记为“，如满足下列条件，称( r + ，) 是一个域。 限，+ ) 是可交换群，对于加法的单位元称为零元素。 r 中的全体非零元素对乘法构成可交换群。 乘法在加法上是可分配的，即对任何口，6 c g ，有 a ( b + c ) = a b + a c ，( b + c ) a = b a + c a 。 基于身份的数字签名及签密技术研究 域中元素的个数称为域的阶。如果一个域的阶是有限的，此域便称为有限域。 根据有限域的定义得到下面的结论： 如p 为素数，则集合r = o ，l ，2 ，p l 在模p 加法和模p 乘法下是阶为 p 的域。由于r 是由素数p 构成的域，所以通常也称r 为素域，并以g f ( p ) 表示。如p = 2 ，便得到二元域g f ( 2 ) 。 如有一个素数p ，则一定可以找到g f ( p ) 上的一个m 次既约多项式分f ( x ) ， 以它为模构造一个p n 阶的有限域g f o “) ，f ( x ) 为域中多项式( f i e l d p o l ”o m i a l ) 。 并且该域包含了g f o ) 上所有m 次既约多项式的全部根。如果f 【x ) 的一个根 为a ，则可把p n 阶有限域中的每一个元素，表示成系数在g f o 。) 上且次数低 于m 的a 多项式。 2 1 2 素数域f p 及其相关运算 由前面的论述知如果p 是素数，则由 o ，l ，2 ，p 1 ) 所构成的集合在模p 加法和模p 乘法下构成一个有限域。记为f p ( p 2 ) ，当p = 2 时记为f 2 在f p 中的 运算定义如下： 加法：模p 加法，d ，6 印，a + b = r ，r 是a + b 被p 除所得余数， o ，p l 】。 乘法：模p 乘法，口 6 e 印，a b = s ，s 是a b 被p 除所得余数，s 【0 ，p 一1 】。 求逆：若a 是f p 中的非零元，a 的逆元a _ 1 就是f p 中的唯一元素c ，且满足 a c o l 。 2 1 3 特征为2 的域f 姗及其表示 由结论知如p 为素数则可构造一个有限域叫g f 0 “) ，当p = 2 时，记g f ( 2 “) 为f 2 m 。如无特别说明以后f 2 m 便是g f ( 2 n ) 。f 2 m 常称作“特征为2 的有限域” 或“二元有限域”。 f 2 m 中的元素可以用不同的基来表示，某些基使f 2 m 中的元素的运算效率较 高。f 2 m 中的元素在椭圆曲线密码体制的表示有两种基：多项式基( p o l y n o m i a l b a s i s ) 和正规基( n o m “b 器i s ) 。 设，( z ) = x 1 + 厶一l x ”1 + + z x + 是f 2 m 的域中多项式，a 是它的根，则f 2 m 中所有2 “个元素可用 给每一只q u 北。 2 ) 代理签密者曰首先向私钥发生器申请得到日= 墨( 田) e q 和耳= 堤( 碗，c d ， 随后验证等式e ( ，) = p ( ，q o ) p ( u 。，日。) 是否成立。如果成立则p 计算 s 。= d ，+ 三0 作为自己的代理签密份额。 3 ) 每一只随机选取卜，1 次多项式g i ( x ) = a x7 + s i ，多项式系数为 嘞eg i 。然后公布4 ，= e ( p ，嘞) ( ，= l 2 卜一1 ) 其中可以用下列公式计算： p ( ，j ，) = p ( ，知，日l ( ，) ) 口( 0 m ，三g o ) 口( u ，三日。) ( 4 3 ) 。 玎一 最后只通过安全信道向每一只( _ ，f ) 发送品( ，) 。 4 ) 接收到g ( d 后，p 验证等式e ( p ，g ( f ) ) = 兀；是否成立。如果成立 则只计算自己所拥有的代理签密密钥份额印，= g t ( f ) 。 i = l 代理签密阶段 基于身份的数字签名及签密技术研究 ( 1 ) 每一只q 删上选取f 1 次多项式z o ) ：艺z ，+ 6 。，多项式系数为白， ，爿 然后公布日= 匆，p 最后日通过安全信道向每一弓( _ ，f ) 发送z o ) 。在接收到，( ，) ，一1 之后，只验证等式 ( _ ，) p = ，b 。是否成立，如果成立则每一只计算自 t - 0 n 己所拥有的秘密份额_ = 六( f ) 。 = 1 ( 2 ) 用组d = 毋，只，只 来表示实际参与签密的代理签密者的集合。每一 只d 应用拉格朗日插值公式来计算葺3 礓其中，7 - = n 拦。2 ”了与。 然后他计算： g h = h ( 册。) ，七l ，= p ( 尸，尸o ) “，也，= p ( 厶6 ，q ) ( 4 4 ) 最后每一只ed 通过安全信道向一个指定的可信任第三方发送( 七l ，艺，) 。 ( 3 ) 为了对信息柳( 0 ，1 ) + 进行代理签密，指定的可信任第三方将计算： t ：= 峨( 兀t ：，) c = 啄( 砷， r = 马( c ，七1 )( 4 5 ) 然后它向每一只d 发送，e ( 4 ) 接收到，后，每一只岳d 计算蜀= 一嘞，并通过安全信道把它传 回给指定的可信任第三方。 f ( 5 ) 可信任第三方计算s = 叶。s 。， j ，i其帆= n ”。吉，并且把最 终的代理签密结果( 埘。，己0 ，c ，r ，s ) 发送给签密的接收方b o b 。 解签密阶段 验证者b o b 在接收到门限代理签密结果( 聊。，u 。，c ，s ) 后，首先向私钥发 第四章基于身份的门限代理签密方案 生器申请得到q ，= 日( 皿) g 。和乩= 皿，乩) 。然后计算： 七i = p ( p ，s ) e ( ，q ，) e ( u 。，日，) n 七：= 日3 ( 8 ( s ，q 协) e ( q ，d 弛) 78 ( ，u 。) 7 ) 埘= d ：( c ) 如果，日：( c ，) 则返回上。如果相等则接收签密结果，并接受信息。 4 6 安全性分析 ( 1 ) 方案的正确性由下列推导来证明： 月 ：= g ( p ，s ) e ( p 脚，q ，) e ( u 。，h 。) 7 “ l “ n “ = e ( p ，叶s ，) 8 ( ，g ) 7e ( u 。，日。) 7 “ i “ t “ = e ( p ，亿) e ( p ，仉幽) e ( c 。，q ) e ( 玑，巩) 7 “ l - “ * “ = e ( p ，t 7 ，) p ( p ，7 ，g l ( f ) ) 。e ( 0 _ ，q j ) e ( u 。，) 7 忙li ；l f = li ，o l “ ” 6 = p ( 尸，7 7 ，) p ( p ，g 。( o ) ) 1 e ( 0 。，q ，) p ( e ，日。) i “ “ = p ( ，7 ，) e ( p ，l + 矾) ”e ( 厶。，q ) e ( u 。，日，) 7 j ，1拓1 i t o f “ h “ “ = e 叩) q 。，q ) 1 “乩，风) ”e ( 厶。，q ) 蛾，巩) 7 i = l间瑚 一 ， p ( p ，p 耐) “1 = 兀七。= j 同样的，t ；= 女：也由上述推导证明。 ( 4 6 ) ( 4 7 ) 4 8 基于身份的数字签名及签密技术研究 ( 2 ) 因为在代理签密阶段每个代理人的代理签密份额j 。：d 。+ 上包含了代理 阼 签密人尸的私钥吐，则如果没有代理签密人的私钥信息，第三方和源签密者均不 能产生有效的代理签密，从而该方案满足强不可伪造性。 ( 3 ) 由于在解签密阶段验证者需要通过私钥发生器计算公钥信息q i = 日。( p ，) ， 则任何验证者都能确定出那些代理签密人参与了签密活动，从而说明该方案具有 强可识别性。 ( 4 ) 源签密者发给代理人的授权信息m 中包含了源签密人和代理签密人的身份 信息，门限值，代理人所能代理的信息范围以及代理期限。而在解签密阶段授 权信息必须通过验证，代理签密方没有办法修改授权信息。因此代理签密方无法 超越授权的权限，而且在有效的代理签密结果被创建之后，他们就不能否认自己 参与过代理签密活动。从而本方案满足强不可否认性和不可滥用性。 4 7 本章小结 代理签名方案是一般数字签名方案的一种变体，并且已经在很多领域有着重 要的应用。门限值为( f ，n ) 的代理签名方案是代理签名方案的一种变体，它将代理 签名密钥分配给聆个代理签名者，使得只有大于等于门限值f 的代理签名者合作才 能产生有效的代理签名。在基于用户身份的加密体系和签密的思想下，本文提出 了一种在双线性对偶映射下的基于用户身份加密体系中的门限代理签密方案，并 在文中证明了该方案满足强不可伪造性、可验证性、强可识别性、强不可否认性 和不可滥用性。 第五章基于身份的代理部分百签名方案 第五章基于身份的代理部分盲签名方案 5 1 育签名的研究背景及发展现状 任何事物的产生都是由一定的时代背景的，盲签名作为一类特殊的箍名，它 的产生和发展是在科技进步和网络发展的前提下，数字签名要实现功能多样化的 要求下，逐步发展起来的。 随着数字签名的应用和发展，遇到下面情形：那就是消息的拥有者想让签名 者对消息进行签名而又不想让签名者知道消息的具体内容，同时签名者也不想了 解所签消息的具体内容，他只是想让人们知道他曾经签署过这个消息。 自从1 9 8 2 年d c h a m m l 首先提出盲签名的概念以来，盲签名便因为其潜在 的应用价值而得到密码学界的广泛关注。于是，各种体制的盲签名如r s a 盲签名、 e l g m a l 盲签名、s c h n o ”盲签名等便如雨后春竹脱颖而出。 正如任何事物的发展一样，盲签名在其发展过程中，经历了从无到有，从少 到多的不同发展阶段。可以将其分成两个不同的历史阶段。第一个阶段是从1 9 8 2 年一1 9 9 6 年，这一阶段的t 作主要集中在对盲签名方案研究上，许多性能良好的 盲箍名就是在这一时期提出的；第二个阶段是从1 9 9 6 年至今。这一阶段虽然对盲 签名方案本身的研究兴趣有增无减，但更多的研究是集中在盲签名在电子商务和 电子政务中的应用与实现这一更深层面上。 盲签名的一个最简单、最直接的应用就是用它来签署遗嘱。立遗嘱者想让律 师