（计算机应用技术专业论文）指定验证者的代理签名体制.pdf

山东大学硕士学位论文 摘要 在现代信息安全系统中，由于数字签名可以提供数据完整性和可鉴别性，满 足电子商务、电子政务的需求，因此，它在当今信息化社会中是一种非常重要的 技术。在代理签名体制中，原始签名者委托他的签名权力给代理签名者，代理签 名者代表原始签名者去对消息进行签名。因为代理签名技术在电子世界中有非常 广泛的应用，越来越多的人去研究代理签名。在分布式计算中，其中包括移动代 理应用中、移动通信中和电子投票应用等等，代理签名都起非常重要的作用。密 码学研究者已经提出很多不同的代理签名体制，其中包括门限代理签名、多代理 签名、代理多签名，盲代理签名和代理者身份保护和代理签名，等等。 最近，p a r k 和l e e 提出了一个移动通信中应用的指定验证者的代理签名体 制。指定验证者的代理签名是指代理签名者产生一个代理签名，并将该签名传递 给指定的签名验证者，由指定的验证者去验证签名的有效性。在移动通信中所应 用的代理签名体制中，移动用户作为原始签名者，移动代理作为代理签名者。这 种签名体制能够保护移动用户的身份，并且可以减少移动用户的计算量，因此， 这种签名体制在移动通信环境中是一种非常有用的方法。虽然，他们声称他们的 体制满足代理签名的所有安全属性，但是，他们的体制不满足不可否认性。因此， 原始签名者和代理签名者在签名后都可以否认他们已经签名这个事实。在这种情 况下，原始签名者和代理签名者的争议不可避免的要发生。 本文首先分析了p a r k - l e e 的指定验证者的代理签名体制，并且指出他们的体 制的弱点。一方面，他们的体制不满足不可否认性。另一方面，他们的体制不满 足指定验证者的限制，也就是说，他们的体制可以被任何人去验证。随后，我们 提出一个更为安全和有效的指定验证者的代理签名体制。我们的体制克服了 p a r k l e e 体制的弱点，满足不可否认性，并且满足指定验证者代理签名的所有安 全属性。与p a r k - l e e 的体制和他人的指定验证者的代理签名体制相比，我们的体 制更为安全和高效，并且具有更少的通信次数和计算量。 关键词：签名、代理签名、指定验证者的签名、安全 山东大学硕士学位论文 a b s t r a c t t h ew o r ko ft h i sp a p e ra i m sa ta oi m p r o v e dn o m i n a t i v ep r o x ys i g n a t u r e s c h e m e ，w h i c ho v e r c o m et h ew e a k n e s so fo t h e rn o m i n a t i v ep r o x ys i g n a t u r e s c h e m e o u rs c h e m ei sm o r e s e c u r ea n de f f i c i e n t d i g i t a ls i g n a t u r ei so n eo ft h em o s ti m p o r t a n tt e c h n i q u e si nm o d e r n i n f o r m a t i o ns e c u r i t y s y s t e m f o ri t sf u n c t i o n a l i t yo fp r o v i d i n gd a t a i n t e g r i t ya n da u t h e n t i c a t i o n i nap r o x ys i g n a t u r es c h e m e ，a no r i g i n a l s i g n e rd e l e g a t e sau s e rc a l l e dp r o x ys i g n e rt os i g nm e s s a g eo nb e h a l fo f t h eo r i g i n a ls i g n e r s i n c ei t si n t r o d u c t i o np r o x ys i g n a t u r eh a sa b s t r a c t e d ag r e a td e a lo fi n t e r e s t n o wp r o x ys i g n a t u r e sh a v ef o u n dn u m e r o u s a p p l i c a t i o n s ，p a r t i c u l a r l yi nd i s t r i b u t e dc o m p u t i n g ，w h i c hi n c l u d em o b i l e a g e n ta p p l i c a t i o n ，m o b i l ec o m m u n i c a t i o n ，a n d e l e c t r o n i c v o t i n g ，e t c v a r i o u sp r o x ys i g n a t u r es c h e m e sh a v eb e e np r e s e n t e d ，s u c ha st h r e s h o l d p r o x ys i g n a t u r e s ，o n e t i m ep r o x ys i g n a t u r e s ，m u l t i p r o x ys i g n a t u r e ，p r o x y m u l t i s i g n a t u r e 。p r o x yb l i n d s i g n a t u r e ，a n dp r o x ya n o n y m o u sp r o x y s i g n a t u r e s r e c e n t l y ，p a r ka n dl e ep r o p o s e dan o m i n a t i v ep r o x ys i g n a t u r es c h e m e f o rm o b i l ec o m m u n i c a t i o n t h en o m i n a t i v cp r o x ys i g n a t u r es c h e m ei sam e t h o d i nw h i c ht h ed e s i g n a t e dp r o x ys i g n e rg e n e r a t e san o m i n a t i v es i g n a t u r ea n d t r a n s m i t si tt oav e r i f i e r ，i n s t e a do ft h eo r i g i n a ls i g n e r i nt h e n o m i n a t i v ep r o x ys i g n a t u r es c h e m ef o rm o b i l ec o m m u n i c a t i o n ，t h em o b i l eu s e r a c t sa st h eo r i g i n a ls i g n e ra n dt h ea g e n te n t i t ya c t sa st h ep r o x ys i g n e r i t i sau s e f u lm e t h o di nt h em o b i l ec o m m u n i c a t i o ne n v i r o n m e n t ，b e c a u s ei t p r o v i d e sm o b i l eu s e r s a n o n y m i t yt h r o u g ht h en o m i n a t i v es i g n a t u r ea n d d e c r e a s e st h em o b i l eu s e r s c o m p u t a t i o n a lc o s tt h r o u g ht h ep r o x ys i g n a t u r e b u t ，t h e i rs c h e m ed o e sn o tp r o v i d en o n r e p u d i a t i o n ，e v e nt h o u g ht h e y c l a i m e dt h a tt h e i rs c h e m ep r o v i d e si t s o ，t h eo r i g i n a l s i g n e ro rp r o x y s i g n e rc a nf a l s e l yd e n yl a t e rt h ef a c t t h a th eg e n e r a t e d t h es i g n a t u r e t h e r e f o r ead i s p u t eb e t w e e nt h eo r i g i n a ls i g n e ra n dt h ep r o x ys i g n e rm a y b eh a p p e n e df r e q u e n t l y i nt h i sp a p e r ，w ef i r s ta n a l y z ep a r k l e e sn o m i n a t i v ep r o x ys c h e m e a n dp o i n to u tt h ep r o b l e mo fp a r k - l e e ss c h e m e ：i e u n l i k et h e i rc l a i m ， t h es c h e m ed o e sn o ts a t i s f yn o n r e p u d i a t i o n ，a n dp a r k l e e sn o m i n a t i v e 山东大学硕士学位论文 p r o x ys i g n a t u r ei su n i v e r s a l l yv e r i f i a b l e t h a ti s ，t h en o m i n a t i v ep r o x y s i g n a t u r ei sv e r i f i e db ya n y o n e n e x tw ep r o p o s ean e wn o m i n a t i v ep r o x y s i g n a t u r es c h e m et h a tp r o v i d e st h en o n r e p u d i a t i o n 。a n dd o e sn o tr e q u i r e as e c u r ec h a n n e lb e t w e e nt h eo r i g i n a ls i g n e ra n dt h ep r o x ys i g n e r c o m p a r e d w i t ht h es c h e m er e c e n t l yp r o p o s e db yp a r kl e e ，o u rs c h e m ei sm o r es e c u r e a n de f f i c i e n t a n do u r ss c h e m e sn e e d sl e s sc o m m u n i c a t i o n sa n dl e s s c o m p u t a t i o n a lc o s t 。 k e y w o r d s ：s i g n a t u r e 、n o m i n a t i v es i g n a t u r e 、p r o x ys i g n a t u r e 、s e c u r i t y 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：丞整 日期：乏型：垒! ! 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：鍪耋垄导师签名 期：丝：生! 旦 山东大学硕士学位论文 1 引言 1 1 背景介绍 数字签名是认证的主要手段之一，也是现代密码学的主要研究内容之一。数字 签名是日常生活中手写签名的电子对应物，它的主要功能是实现用户对电子形式 是存放消息的认证。在文件上手写签名长期以来被用作作者身份的证明，或者至 少是同意文件的内容，主要有以下的特性： 签名是可信的：签名使文件的接受者相信签名者是慎重的在文件上签名 的。 签名不可伪造：签名证明了是签字者而不是其他人在文件上签名。 签名不可重用：签名是文件的一部分，不法之徒不可能将签名移到其他的 文件上。 夺签名文件不可改变：文件签名后，文件不能改变。 签名时不可抵赖的：签名者事后不能声称他没有签过名。 在现实世界里，人们经常需要将自己的某些权力委托给可靠的代理人，让代 理人代表本人去行使这些权力。在这些可以委托的权力中包括人们的签名权。委 托签名权的传统方法是使用印章，因为印章可以在人们之间灵活地传递。数字签 名是手写签名的电子模拟，但是数字签名不能提供代理功能。 1 9 9 6 年，m a m b o 、u s u d a 和o k a m o t o 1 ，2 提出了代理签名的概念，给出了解 决这个问题的一种方法。文献 1 ，2 指出代理签名方案应满足以下六条性质： 夺不可伪造性：除了原始签名者，只有指定的代理签名者能够代表原始签名 者产生有效代理签名。 夺可验证性：从代理签名中，验证者能够相信原始签名者认同了这份签名消 息。 夺不可否认性：一旦代理签名者代替原始签名者产生了有效的代理签名，他 就不能向原始签名者否认他所签的有效代理签名 夺可区分性：任何人都可区分代理签名和正常的原始签名者的签名。 夺代理签名者的不符合性：代理签名者必须创建一个能检测到是代理签名的 有效代理签名。 可识别性：原始签名者能够从代理签名中确定代理签名者的身份。 为了体现对原始签名者和代理签名者的公平性，l e e 、k i m 和k i m 2 1 ，2 2 对其 中的一些性质给出了更强的定义： 山东大学硕士学位论文 夺强不可伪造性：只有指定的代理签名者能够产生有效代理签名，原始签名 者和没有被指定为代理签名者的第三方都不能产生有效代理签名。 夺强可识别性：任何人都能够从代理签名中确定代理签名者的身份。 强不可否认性：一旦代理签名者代替原始签名者产生了有效的代理签名， 他就不能向任何人否认他所签的有效代理签名。 夺防止滥用：应该确保代理密钥对不能被用于其它目的。为了防止滥用。代 理签名者的责任应当被具体确定。 由于代理签名在实际应用中起着重要作用所以代理签名一提出便受到广泛关 注，国内外学者对其进行了深入的探讨与研究。迄今为止人们已提出了多种代理 签名方案。首先m a m b o 、u s u d a 和o k a m o t o 1 ，2 提出了完全代理签名、部分代理 签名和具有授权证书的代理签名。z h a n g 3 提出了具有授权证书的部分代理签名 和门限代理签名。s u n 、l e e 和h w a n g 4 指出z h a n g 3 和k i m 、p a r k 和w o n 5 的 门限代理签名方案是不安全的，并给出了一个改进方案。李继国、曹珍富 6 进一 步指出s u n 、l e e 和h w a n g 4 方案不能抵抗公钥替换攻击，并给出了一个更安全 的不可否认门限代理签名方案。后来s u n 7 提出了具有已知签名者的有效不可否 认门限代理签名方案，具有一些较好的性质。但h w a n g 、l i n 和l u 8 指出s u n 7 的方案也是不安全的，并给出相应的改进。s u n 和c h e n 9 以及s u n 1 0 提出了具 有跟踪接收者的时戳代理签名。最近伊丽江等 1 1 1 3 与祁明、h a r n 1 4 分别提出 了一个新的代理签名方案：代理多重签名。李继国等 1 5 与王晓明、符方伟 1 6 分别指出他们的方案是不安全的，并给出了相应的改进。 不可否认性是代理签名的重要性质，现存的大部分代理签名方案不具有不可 否认性。在实践中，不可否认性是非常重要的。例如，当签名滥用发生争议时， 权威机构必须确定谁是代理签名的真正签名者。m a m b o 等 1 ，2 和k i m 等 5 称他 们的代理保护代理签名方案具有不可否认性，但s u n 和h s i e h 1 7 指出了他们的 代理签名方案是不安全的，并给出了相应的改进。l e e 、h w a n g 和w a n g 1 8 也指 出z h a n g 3 的不可否认代理签名方案是不安全的。h w a n g 和s b i 1 9 提出的方案 能对原始签名者和代理签名者进行公平安全保护。李继国等 2 0 对代理签名的不 可否认性进行了较深入的研究。由此可见，关于不可否认代理签名方案尚待进一 步研究。 按照上述性质去检查，现有的代理签名方案几乎都有缺点。因此，设计一个 安全、有效、实用且具有不可否认性的代理签名方案有待进一步研究。 鳙2i 且 山东大学硕士学位论文 1 2 本文的工作 本文关注于指定验证者代理签名的研究，其中包括原始签名者指定接受者的 代理签名方案与代理签名者指定接受者的代理签名方案。 在代理签名的研究中，首先对代理签名的分类与性质进行研究。在大量分析 前人工作的基础上，对指定验证者的代理签名进行分析。指出前人所提出的指定 验证者的代理签名的安全问题和效率问题，并提出安全性更强、效率更高的指定 验证者的代理签名体制。本文对p a r k 1 e e 的指定接受者的代理签名体制进行分析， 指出其存在的安全问题和效率问题，并提出一种安全性更强、效率更高的指定验 证者的代理签名体制。 1 3 本文的组织 在本文中，我们提出了一个更为安全的原始签名者指定接受者的代理签名方 案。本文的组织如下；第二部分，我们介绍了关于数字签名相关的密码算法、密 码学假设等背景知识，以及数字签名的研究现状和基本数字签名体制。第三部分， 我们介绍了代理数字签名的研究现状和代理签名体制。第四部分，我们描述了 p a r k l e e 的指定接受者的代理签名体制，并进行安全性分析，并提出基于p a r k l e e 的签名体制，我们的更为安全的指定接受者的代理签名体制。第五部分，简单介 绍我们提出的体制的应用。最后给出结论。 山东大学硕士学位论文 2 数字签名 信息安全技术是- - f - j 综合的学科，它涉及信息论、计算机科学和密码学等多 方面知识，它的主要任务是研究计算机系统和通信网络内信息的保护方法以实现 系统内信息的安全、保密、真实和完整。其中信息安全的核心是密码技术。密 码技术是- - f - j 新兴的交叉学科，它涉及计算复杂性理论、算法设计与分析理论、 计算机科学及网络技术、通信技术、数论、信息论、编码理论、概率论和随机过 程理论、有限自动机理论、图论，不定方程、组合数学、代数、量子理论以及公 共策略和法律等方面的知识。密码技术除了提供信息的加密解密外，还提供对信 息来源的鉴别、保证信息的完整和不可否认等功能，而这三种功能都是通过数字 签名来实现。 数字签名是一种实用的认证技术，它的概念首先由d i f f i e 和h e l l m a n 于1 9 7 6 年提出的。虽然数字签名的研究己经近3 0 年了，但只是近1 0 多年来才引起密码 学界、计算机工作者以及各行各业的“泛重视和浓厚兴趣。随着计算机和网络通 信技术的发展，数字签名技术得到了广泛的应用。国内外众多的专家学者对数字 签名的理论、技术和应用进行了深入的探讨与研究。人们根据不同的应用提出了 诸多的数字签名方案。如门限签名 2 8 3 1 、群签名 3 2 3 9 、前向安全的数字签 名 4 0 - 4 5 等。 数字签名已成为信息社会中人们保障网络身份安全的重要手段之一。 2 1 数字签名技术概述 所谓”数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码 进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证， 其验证的准确度是一般手工签名和图章的验证而无法比拟的。”数字签名”是目前电 子商务、电子政务中应用最普遍、技术最成熟的，可操作性最强的一种电子签名 方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一 项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保 传输电子文件的完整性、真实性和不可抵赖性。 数字签名在i s 0 7 4 9 8 2 标准中定义为：”附加在数据单元上的一些数据，或是 对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数 据单元来源和数据单元的完整性，并保护数据，防止被人( 例如接收者) 进行伪 造”。美国电子签名标准( d s s ，f i p s l 8 6 2 ) 对数字签名作了如下解释：”利用一 第4l 且 山东大学硕士学位论文 套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数 据的完整性”。按上述定义p k i ( p u b l i ck e yi n f r a s t r u c t i n o 公钥基础设施) 提供可以 提供数据单元的密码变换，并能使接收者判断数据来源及对数据进行验证。 p k i 的核心执行机构是电子认证服务提供者，即通称为认证机构c a ( c e r t i f i c a t ea u t h o r i t y ) ，p k i 签名的核心元素是由c a 签发的数字证书。它所提供 的p k i 服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利 用证书公钥和与之对应的私钥进行：j n 解密，并产生对数字电文的签名及验证签名。 数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密 码进行签名，来代替书写签名和印章；这种电子式的签名还可进行技术验证，其 验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名 方法可在很大的可信p k i 域人群中进行认证，或在多个可信的p k i 域中进行交叉 认证，它特别适用于互联网和广域网上的安全认证和传输。 数字签名是涉及签名信息和签名人私钥的计算结果。首先，签名人的软件对 发送信息进行散列函数运算后，生成信息摘要( m e s s a g ed i g e s t ) 这段信息所 特有的长度固定的信息表示。然后，软件使用签名人的私钥对摘要进行解密，将 结果连同信息和签名人的数字证书一同传送给预定的接受者。而接受者的软件会 对收到的信息生成信息摘要( 使用同样的散列函数) ，并使用签名人的公钥对签名 人生成的摘要进行解密。接受者的软件也可以加以配置，验证签名人证书的真伪， 确保证书是由可信赖的c a 颁发，而且没有被c a 吊销。如果两个摘要一样，就表 明接受者成功核实了数字签名。 经核实的数字签名向接受者保证了两点：一、信息未经改动；二、信息的确 来自签名人。后者就成了对原产地证明( p r o o fo fo r i g i n ) 的认可，即加密认可这 一概念的基础。 这正是症结所在。更确切地说，经核实的数字签名向接受者保证信息未经改 动，而且信息是用签名人的私钥签名的。但仍存在欺诈的可能性。在私钥持有人 毫不知情的情形下，存人会利用无人照管的台式机对合同进行数字签名。由于“始 终联通”的互联网连接如线缆调制解调器和d s l 日益普及，黑客窃取私钥的机会 也随之激增。消费者的利益就容易受到侵害。 还存在另一种可怕的情景：将欺诈作为理由，即完全是想终止签署合同的签 名人可能以合乎法律为由，拒绝履行合法签署的合同。这样，企业的利益就容易 受到侵害。 山东大学硕士学位论文 数字签名所具有的好处还是不可否认的。例如，数字签名有助于迅速解决纠 纷。向购买者重新发送一份数字签名的采购单，以核实订单要比传真由手写签名 的采购单方便得多。实际上，并非所有纠纷都会导致诉讼。如果是一家公司的工 作人员在采购单上签名，而接受者有数字签名作为证据，就不会有太多纠纷了。数 字签名可以帮助自动化，从而带来诸多好处，包括处理速度更快、效率提高；降 低出错率和管理成本。虽然数字签名不是自动化所必需的，但采用数字签名可以 获得递增效益。 数字签名完全适合于人们往往随手携带的具有上网功能的无线设备。顾客抱 怨，在台式机上进行客户端数字签名仍很不方便，证书注册过程也令人混淆。相 比之下，为无线设备开发应用软件的人正在竭力确保注册过程对用户而言是透明 的。他们从联网世界的缺陷当中汲取了经验。 总地来说，涉足高价值交易如银行和金融行业的公司会首先乐于接受数字签 名，而这些行业的一些公司早已在采用这项技术。台式机和无线平台都将得到支 持，因为消费者在进行这类交易时需要既快速，又方便。 数字签名必须具有下列特征： 夺它必须能验证签名者、签名日期和时间。 夺它必须能认证被签的消息内容。 夺签名应能由第三方仲裁，以解决争执。 因此，数字签名具有认证功能，根据这些特征，数字签名应满足下列条件： 夺签名必须是与消息相关的二进制串。 夺签名必须使用发送方某些特有的信息，以防伪造和否认。 夺产生数字签名比较容易。 夺识别和验证签名比较容易。 夺伪造数字签名在计算上是不可行的。无论是从给定的数字签名伪造消息， 还是从给定的消息伪造数字签名，在计算上都是不可行的。 保存数字签名的拷贝是可行的。 数字签名的分类：直接数字签名和仲裁数字签名。 2 2 数字签名中所用到的背景知识 数字签名是公钥密码学发展过程中最重要的概念之一，下面将数字签名中所 用到的密码学知识介绍如下。 第6l 且 山东大学硕士学位论文 2 2 1r s a 算法 r s a 体制是一种分组密码，其明文和密文均是0 至n 一1 之间的整数，通常n 大 小为1 0 2 4 位二进制数。以下是该算法的描述： 1 密钥产生 随机选择两个大素数p 和q 计算：n = p x q 计算：妒仰) = ( p - 1 ) ( q - 1 ) 选择整数e ：满足g c d ( 矿( n ) ，e ) = i ；i e 妒( ，1 ) 计算d ：d e p - 1 m o d 妒( ，1 ) 公钥：k u = ( 巳，l 私钥：k r = f d ，r 2 加密过程 对于明文m ：其中m n 密文c 为：c = m 。( m o d n ) 3 解密过程 对于密文c ： 明文m 为：m = c 4 ( m o d n ) 以上是r s a 算法的描述，我们在使用此算法时是基于强r s a 假设：即知道n 来分解成p 和q 是多项式的时间复杂度。也就是说大整数的分解问题是难解问题， 在计算上是不可行的。 r s a 方法的优点主要在于原理简单，易于使用。但是，随着分解大整数方法 的进步及完善、计算机速度的提高以及计算机网络的发展( 可以使用成千上万台 机器同时进行大整数分解) ，作为r s a 加解密安全保障的大整数要求越来越大。 为了保证r s a 使用的安全性，其密钥的位数一直在增加，比如，目前一般认为r s a 需要1 0 2 4 位以上的字长才有安全保障。但是，密钥长度的增加导致了其加解密的 速度大为降低，硬件实现也变得越来越难以忍受，这对使用r s a 的应用带来了很 重的负担，对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来 越受到制约。 2 2 2d i 什i e - h e ii m a n 密钥交换 d i f f i e 和h e l l m a l l 在一篇具有独创意义的论文中首次提出了公钥算法，给出了 山东大学硕士学位论文 公钥密码学的定义。该算法的目的是使两个用户能安全地交换密钥。现将该算法 描述如下： 1 全局公开最 q ：素数 口： o t q 且口是q 的本原元 2 用户a 密钥的产生 选择秘密的x ：x q 计算公开的：匕= 口bm o d q 3 用户b 密钥的产生 选择秘密的x f ：x b q 计算公开的：= 口hm o d q 4 用户a 计算机产生密钥 k = ( ) 以m o d q 5 用户b 计算机产生密钥 k = ( l ) m o d q 以上是对d i f f i e h e l l m a n 密钥交换算法的描述，该算法的有效性建立在计算离 散对数是很困难的这一基础之上。 离散对数的计算如下： 考虑方程 y = g 。m o d p 对给定的g ，工，p ，可直接计算出y 。在最坏情况下需执行x 次乘法，并且存在 计算y 的有效算法。 但是，给定y ，g ，p ，计算x 一般非常困难( 即求离散对数) 其难度与r s a 中因子分解素数之积的难度具有相同的数量级。 因此，对大素数而言，我们假定求离散对数是难解问题。 2 2 3 椭圆曲线算法 大多数使用公钥密码学进行加密和数字签名的产品和标准都使用r s a 算法。 我们知道，为了保证r s a 使用的安全性，最近这些年来密钥的位数一直在增加， 这对使用r s a 的应用是很重的负担，对进行大量安全交易的电子商务更是如此。 近来，出现的一种具有强大竞争力的椭圆曲线密码学( e c c ) 对r s a 提出了有力 第8 “ 山东大学硕士学位论文 的挑战。 与r s a 相比，e c c 的主要诱人之处在于，它可以使用比r s a 短得多的密钥 得到相同的安全性，因此可以减少处理负荷。另一方面，虽然关于e c c 的理论已 很成熟，但直到最近才出现这方面的产品，对e c c 的密码分析出刚刚起步，因此 e c c 的可信度还没有r s a 高。 下面描述下基于椭圆曲线的e i g a m a l 体制。 椭圆曲线方程： y 2 = 工3 + a x + b m o d p 1 密钥的产生 取大素数p e 。j ( z ，) 取p e a ( z ，) ，p 为高阶点 j p | = q ，q 也是大素数，p 的阶数为q 取如r z 。，q = d p 公开参数：p ，p ，e o j ，q ，保密：d 2 加密x 取挺r z 。 计算x = k p 计算y 2 = x + k q 3 解密 x = 匕一口k 椭圆曲线加密算法e c c 技术优势，椭圆曲线加密方法与r s a 方法相比，有以 下优点： 1 安全性能更高 加密算法的安全性能一般通过该算法的抗攻击强度来反映。e c c 和其他几种 公钥系统相比，其抗攻击性具有绝对的优势。如1 6 0 位e c c 与1 0 2 4 位r s a 、 d s a 有相同的安全强度。而2 1 0 位e c c 则与2 0 4 8 b i t r s a 、d s a 具有相同的 安全强度。 2 计算量小，处理速度快 虽然在r s a 中可以通过选取较小的公钥( 可以小到3 ) 的方法提高公钥处理 速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与e c c 有可 山东大学硕士学位论文 比性，但在私钥的处理速度上( 解密和签名) ，e c c 远比r s a 、d s a 快得多。因 此e c c 总的速度比r s a 、d s a 要快得多。 3 存储空间占用小 e c c 的密钥尺寸和系统参数与r s a 、d s a 相比要小得多，意味着它所占的存 贮空间要小得多。这对于加密算法在i c 卡一t 的应用具有特别重要的意义。 4 带宽要求低 当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消 息时e c c 带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名 和用于对对称系统的会话密钥传递。带宽要求低使e c c 在无线网络领域具有广泛 的应用前景。 e c c 的这些特点使它必将取代r s a ，成为通用的公钥加密算法。比如s e t 协 议的制定者已把它作为下一代s e t 协议中缺省的公钥密码算法。 2 3 典型的数字签名体制 本节考虑数字签名方案，它基于一种特殊类型的公钥加密系统。 数字签名与传统签名的区别：签名与消息绑定、任何人可验证签名、要考虑 防止签名的复制与重用。 数字签名是传统签名的数字化，具备如下性质：能与所签文件“绑定”、签 名不可否认、易被验证、不可伪造。 数字签名的设计要求：依赖于被签信息一位串模板、使用对发送者唯一的某 些信息、易生成、易识别验证、伪造在计算上不可行、签名存储现实可行。 数字签名的过程：系统初始化、产生签名、验证签名。 以下将几种数字签名方案介绍如下，我们所介绍的方案是基于离散对数和 r s a 体制的。 2 3 1 $ c h n o r r 签名体制 s c h n o r r 签名体制需要以下系统参数。 大素数p 和q ：其中，q ip l 本原元g 。z ： h ( ) ：安全的单向h a s h 函数 m ：要签名的消息 第1 01 i ( 山东大学硕士学位论文 签名者a 的私钥和公钥 和y = g “m o d p s c h n o f f 签名体制是基于离散对数问题的一种签名体制，它可以简单地分为两 个阶段，现描述如下： 1 签名阶段： 签名者a 随机选择挺。z ： 并且计算： ，2 9 m o d p j = x a h ( m ，r ) + k m o d p 其中，盯= ( r ，s ) 是对消息m 的有效签名。 2 验证阶段： 验证者检查以下式子是否成立： g k ) ，p 一r m o d p 若上式成立，则接收此数字签名：若不成立，则认为此数字签名是非法 的或仿冒的，即无效。 上式的验证公式如下： g 。g x a h t m 小 = ) ，磐“一g = ) ，鲁”r m o d p 如果上式成立，则表示此签名是由密钥拥有者a 所签发的合法、有效的数字 签名。 2 3 2e 1 6 a m a l 签名体制 e 1 g a m a l 签名体制需要以下系统参数。 大素数p 和q ：其中，g ip 一1 本原元g 。z ： m = z ：，s = z ：z ，一i e 1 g a m a l 签名体制是基于离散对数问题的一种签名体制，它可以简单地描述如 下。 a e z ：是一个本原元，m = z ；，s = z ：z ，- ，定义 k = “b 吼，历：= 矿m o o p ) 山东大学硕士学位论文 p 口，是公开的，a 是保密的。 对k = ( n 口，a ，历和一个秘密随机数t z ：， 定义 5 国r ( j ，t ) = ( n 万) 其中 ，= 口m o d p ，j = ( 工一a 】) k 一1m o d p - 1 x , y e z ：和艿z p - i 定义 v e r r ( x , y ，0 3 = t r u e 甘7 矿m o d p 2 3 3r s 签名体制 r s a 签名体制需要以下系统参数。 大素数p 和q ：其中，n = p8 9 计算0 ( n ) = ( p - 1 ) ( q 1 ) 选择整数e ：满足g c d ( o ( n ) ，p ) = i ；1 e 矿( n ) 计算d ：d i e - 1 m o d 矿( n ) m ：要签名的消息 签名者a 的私钥：k r = d ，n 签名者a 的公钥：k u = p ，n ) s c h n o r r 签名体制是基于r s a 问题的一种签名体制，它可以简单地分为两个阶 段，现描述如下： 1 签名阶段： 计算： s = m 。r o o d n 其中，( 乩m ，e ) 是对消息m 的有效签名。 2 验证阶段： 验证者检查以下式子是否成立： m = j 。m o d n 若上式成立，则接收此数字签名；若不成立，则认为此数字签名是非法 的或仿冒的，即无效。 上式的验证公式如下： s = ( m 4 ) = m “= m 第1 2 弛 山东大学硕士学位论文 如果上式成立，则表示此签名是由密钥拥有者a 所签发的合法、有效的数字 签名 2 3 4 数字签名标准d s $ 美国国家标准与技术研究所( n i s t ) 发布的联邦信息处理标准f i p s1 8 6 ，称 为数字签名标准( d s s ) 。 d s s 使用的是只提供数字签名功能的算法。与r s a 不同，d s s 是一种公钥方法， 但不能用于加密或密钥分配。 数字签名算法( d s a ) 建立在求离敖对数的团难性以及e 1 g a m a l 和s c h n o r r 最 初提出的方法之上。 d s a 签名体制需要以下系统参数。 全局公钥组成： p ：素数，其中2 p 2 ，5 1 2 l 1 0 2 4 且l 是6 4 的倍数，即l 的位长在5 1 2 至1 0 2 4 之间并且其增量为6 4 位 日：( p 一1 ) 的素因子，其中2 。 q 2 ，即 位长为1 6 0 位 g ：g = h i p - i ) q m o d p ，其中h 是满足l h 1 的任何整数 用户的私钥： 工：随机的或伪随机整数且0 工 q 用户的公钥： y = g 。m o d p 与用户每条消息相关的秘密值： k ：随机的或伪随机整数且0 k b o b ( 代理签名者) ：“，r 3 b o b ： 验证授权签名之合法性： g “= ) ， r ( r o o d p ) 4 b o b ：计算产生代理签名的私钥和公钥： 工p = s + j 口y 8 ( m o d q ) y 。5g = y r 7 y 口h ( m o d p ) 其中，( “，y ) 分别为a l i c e 的私钥与公钥，“口，y 口) 为b o b 的私钥、公钥，他们均 满足关系y = g 。( r o o dp ) 。( “，r ) 是a l i c e 授权b o b 所作之授权签名，然后通过秘 密信道将颤传递给b o b ，等式占“= ) ，。r 7 ( r o o d p ) 为b o b 验证授权签名的验证式， ( x p ，y p ) 则为产生代理签名之私钥与公钥。 该方案存在的缺点： 第1 8 兜 山东大学硕士学位论文 第一，a l i c e 授权签名中没有包含关于b o b 身份或者证书的任何信息； 第二，b o b 可以把授权签名交给第三者m a l l o r y ，m a l l o r y 也能产生一个正确 的代理签名； 第三，代理签名是否由b o b 所作，我们无法证实。 3 2 2 m w 9 7 门限代理签名方案 飚m 等人首次将门限秘密学和代理签名体制相结合，成功的解决了为单个代 理签名人的权力过大的问题，对以后的门限代理签名体制的发展奠定了良好的基 础，下面我们将回顾和分析他们的方案。 3 2 2 1 初始化 叮 系统公用参数：p ，q 是大素数，且q f p - l ，g 厶，是q 阶元素，h ( $ ) 为一 安全的单向散列函数，m w 是授权证书。成员密钥：代理群组g = ( p i ，p 2 ，p n 的每一个成员p i 随机选择x i ez q ，并计算y i = 8 m o dp ，分别作为p i 的私钥和公 钥。原始签名人p o 的密钥：p 0 随机选择x o ez q 并计算y o = g m o d p 分别作为 其私钥和公钥。 3 2 2 2 代理分享生成 原始签名人p 0 执行下列步骤给g 授权签名能力： 1 ) 随机选取埏z ：，并计算k = g k m o d p 。 2 ) 计算归h ( m w , 幻 3 ) 计算代理签名密钥盯= e 肋帆m o d q 。 4 ) 选取一秘密t - i 阶多项式厂锄= 盯拍肘6 3 + 以，1m o dq ，其中皂，乙( ， = 1 ，2 ，t - i ) 。然后计算o f = 厂协，并通过一秘密信道发送给代理签名者 p j ( i = 1 2 ，1 ) 。 5 ) 向代理群g 广播毋= 暑q m o d p 以及( m 。，k ) 。 接收到a 、毋、( ，l 。，k ) 之后，每一个p 。g 验证下面的式子： g 啡= k 岸时砂) m o d p j = l 如果成立，则每一个p j 将研作为他的代理分享。 3 2 2 3 代理签名生成 笫1 9 负 山东大学硕士学位论文 令d = p i ，p 2 ，p ，) 是实际的代理签名人，d 通过下列步骤完成代理签名： 1 ) 每个p l d 随机选取( t - 1 ) 阶多项式：z = 再+ 口加+ a i i x + + a i d 1 x t 1 m o d q ， 其中口m 吼i ”，a i j - i 都是随机数。计算并通过安全的方式发送，( ，) 给p j ( j = 1 。2 ，f ，j f ) ，此外广播g 。g “，g “一。对每一个收到的彻，毋 通过检查如下等式是否成立来验证其有效性： g 州力= g “) j ag a t a - i 厂m o d p 。 如果所有的被验证是有