（计算机应用技术专业论文）盲签名的理论研究与应用.pdf

摘要 摘要 随着计算机网络技术的发展，网络信息安全问题日益突出，人们利用各种技 术解决其问题。其中最主要的是密码学，它为解决信息安全问题提供了许多实用 的技术，其核心技术之一的数字签名技术被广泛应用于军事、通信、电子商务等 领域，它在身份认证、数据完整性和抗否认等方面拥有其他技术无法替代的作用。 盲签名是一种特殊的数字签名。通常情况下，签名者必须知道他需要签署的 信息是什么，他才会去签名。但是在某些特殊的情况，会有消息拥有者想让签名 者对他所拥有的信息签名，但是又不想让签名者知道信息的内容，而签名者并不 在意他签署的内容，而只是想让别人知道他签署过这条消息。事实上，在匿名性 这一问题上，现在只能通过盲签名或匿名证书来实现，而匿名证书难于部署和撤 销，只有盲签名才是方便可行的办法。总之，盲签名由于它具有的消息认证的权 威性和信息拥有者身份的匿名性在电子商务和电子政务中有着广泛的应用前景。 本文主要围绕盲签名的相关理论和应用展开，作者在阅读大量国内外文献的 基础上，在盲签名及其应用方面作了一些有益的探索和尝试，主要取得了以下的 研究成果： ( 1 ) 对现有的盲签名体制进行了深入地研究和分析，针对己有的两个代理盲 签名方案的安全性进行了分析和总结。结合自己的研究在基于身份的密码体制下 设计了一种新的代理盲签名方案，分析表明该方案不仅具备盲签名的所有特性而 且具有较高的执行效率。 ( 2 ) 通过运用一个公开的确定性算法，将离散对数密码体制下的 o k a m a t o s c h n o r r 盲签名方案，成功转化成了一个新的部分盲签名方案。分析表 明该方案在获得了部分盲签名所具有的优点的同时没有给系统引入任何多余的 工作量，同时也没有降低原有o k a m a t o s c h n o r r 盲签名方案的安全性，是一个安 全、高效的部分盲签名方案。 ( 3 ) 基于盲签名技术设计了一种匿名电子投票协议，该协议能够保证投票人 身份的完全匿名性，可以有效地防止一人多票或一票多投现象的发生，并且能够 在一次选举中统计不同类别人的投票情况。在这个协议的基础上提出了匿名电子 投票的设计方案，对系统各功能模块进行了详细设计，并给出了部分算法的实现。 关键词盲签名；代理盲签名；部分盲签名；电子投票；电子现金 a b s t r a c t a b s t r a c t w i t ht h e d e v e l o p m e n to fc o m p u t e rn e t w o r kt e c h n o l o g y , t h ep r o b l e mo f i n f o r m a t i o ns e c u r i t yb e c o m e sm o r ea n dm o r ei m p o r t a n t c r y p t o l o g yp r o v i d e sm a n y p r a c t i c a lw a y sf o rs o l v i n gs u c hp r o b l e m a st h ec o f et e c h n i q u eo fc r y p t o l o g y , d i g i t a l s i g n a t u r ei sb e i n gu s e dw i d e l yi nt h ea r e ao fm i l i t a r ya f f a i r s ，c o m m u n i c a t i o na n d e l e c t r o n i cc o m m e r c eb e c a u s ed i g i t a ls i g n a t u r eh a st h eu n i q u ep r o p e r t i e so fi d e n t i t y a u t h e n t i c a t i o n ，d a t ai n t e g r i t ya n dn o n - r e p u d i a t i o n b l i n di sas p e c i a ld i g i t a ls i g n a t u r e n o r m a l l y , t h es i g n e rn e e d st ok n o wt h e c o n t e n to ft h em e s s a g e ，b u ts o m e t i m e st h em e s s a g eh o l d e rd o e sn o tw a n tt h es i g n e rt o k n o wt h ec o n t e n ta n dt h es i g n e rd o e sn o tc a r ea b o u tt h ec o n t e n tt o o i nf a c t ，b l i n d s i g n a t u r ea n da n o n y m i t yc e r t i f i c a t ea r et h eo n l yw a y st oe n s u r ea n o n y m i t y , b e c a u s e a n o n y m i t yc e r t i f i c a t ei sd i f f i c u l tt od e p l o ya n dd i s p o s e ，b l i n ds i g n a t u r ei sc o n v e n i e n t a n df e a s i b l e i naw o r d ，b l i n ds i g n a t u r ei sc e r t a i nt oh a v eaw i d e l yf o r e g r o u n do f a p p l i c a t i o nb e c a u s ei tc a np r o v i d em e s s a g ea u t h e n t i c a t i o na n dm e s s a g eh o l d e r s a n o n y m i t y i nt h i sp a p e r , w ef o c u so nb l i n ds i g n a t u r e st h e o r ya n da p p l i c a t i o n t h em a i n w o r ki nt h i st h e s i si sa sf o l l o w s ： ( 1 ) s e v e r a lb l i n ds i g n a t u r es c h e m e sh a v eb e e nd e e p l ya n a l y s e d ，a m o n gt h o s e s c h e m e st w op r o x yb l i n d s i g n a t u r e ss e c u r i t y h a v eb e e n c a r e f u l l ya n a l y s e d m o r e o v e r ，an e wi d e n t i t y - b a s e dp r o x yb l i n ds i g n a t u r ei sp r o p o s e d t h ef o l l o w i n g a n a l y s i ss h o w st h i ss c h e m eh a sa l lt h ep r o p e r t i e so fb l i n ds i g n a t u r ea l o n gw i t l lab e t t e r p e r f o r m a n c e ( 2 ) t h ek n o w no k a m a t o - s c h n o r rb l i n ds i g n a t u r es c h e m eh a sb e e ns u c c e s s f u l l y t u m e di n t oan e we f f i c i e n t p a r t i a l l y b l i n d s i g n a t u r eb ym e a n so fap u b l i c l y d e t e r m i n i s t i ca l g o r i t h m i ns u c ham a n n e r , t h ep r o p o s e ds c h e m en o to n l ye n j o y st h e s a m es e c u r ep r o p e r t i e sa st h eb l i n do k a m o t o s c h n o r rs i g n a t u r eb u ta l s oh a sa l lt h e a d v a n t a g e so f p a r t i a l l yb l i n ds i g n a t u r ew i t h o u tb r i n g i n go u ta n ya d d i t i o n a lw o r k l o a d ( 3 ) a na n o n y m o u se l e c t r o n i cv o t ep r o t o c o li sp r o p o s e do nt h eb a s i so fp a r t i a l l y b l i n ds i g n a t u r et e c h n o l o g ya n dt h es e c u r i t ya n a l y s i so ft h i sp r o t o c o li sp r e s e n t e di n d e t a i l t h ep r o t o c o lc a ne n s u r et h ea n o n y m i t yo ft h ev o t e r si d e n t i t ya n dp r e v e n to n e p e o p l ef r o mh a v i n gt w ov o t e so rt h es a m ev o t ei sb e i n gt h r o w nm a n yt i m e s f u r t h e r m o r e ，a na n o n y m o u se l e c t r o n i cv o t es y s t e ms c h e m eb a s e do nt h i sp r o t o c o li s p r o p o s e d t h i sp a p e ra l s op r o v i d e s t h ed e s i g no ff u n c t i o nm o d u l e sa n ds o m e i i i 北京工业大学工学硕上学位论文 k e y w o r d s b l i n ds i g n a t u r e ；p r o x yb l i n ds i g n a t u r e ；p a r t i a l l yb l i n ds i g n a t u r e ； e l e c t r o n i cv o t e ；e l e c t r o n i cc a s h i v 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：奎；友一日期：超埤一 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：羹堡导师签名：日期：丝塑：尘! 丝 第1 章绪论 1 1 研究背景 第1 章绪论 计算机技术和通信网技术的高度发展和广泛应用，为人们提供了便捷、快速 的信息交流方式，使人类社会迅速进入了信息化时代，但同时也带来了许多亟待 解决的问题。因为信息需要在网上传输，这就很可能造成信息的泄漏、删除、修 改和伪造等各种人为因素的攻击。因此，如何保证信息系统的安全性是当前和今 后相当长一个时期内的重要研究课题。随着我国信息化进程的加快，网络化将向 政府机关、经济部门、军队、学校、社会团体以及家庭等方面延伸，先进的计算 机系统将把整个社会乃至军队联系起来。信息系统的安全性解决不好，将直接影 响到国家安全和社会稳定。 信息安全的核心内容是如何保证信息在系统中的保密性、完整性、可用性、 可控性和可审查性。保密性是指防止攻击者破译系统中的机密信息，保证信息不 泄漏给未经授权的人。完整性是指验证信息在存储或发送过程中未被纂改、重放、 延迟等，它反映了信息的精确性与可靠性。可用性就是保证信息及信息系统确实 为授权使用者所用。可控性就是对信息及信息系统实施安全监控。可审查性是指 对出现的网络安全问题提供调查的依据和手段。 数字签名作为一种新生事务，它的产生、发展和逐步壮大，有其固有的合理 性。数字签名具备消息认证、身份认证、信息完整性认证等多种功能。它是实现 信息安全的重要工具之一，也是现代密码学的主要研究内容之一。 1 2 研究意义 数字签名技术，是公钥密码中最重要的部分之一。用数字签名协议签署了一 份数字文档，和用手写签名类似，这个签名是难以伪造的，对每一份签署的文件 都可以鉴别文件真伪，签名者不能抵赖他签署过的文件。数字签名和手写签名一 样具有法律效力，但它实现起来无地点限制。因此，数字签名被广泛的应用于身 份认证、密钥分配、电子交易等方面。 盲签名f l 堤一种特殊的数字签名。通常情况下，签名者必须知道他需要签署 的信息是什么，他才会去签名。但是在某些特殊的情况，会有消息拥有者想让签 名者对他所拥有的信息签名，但是又不想让签名者知道信息的内容，而签名者并 不在意他签署的内容，而只是想让别人知道他签署过这条消息。d c h a u m 关于 盲签名曾经给出了一个非常直观的说明：所谓盲签名，就是先将要隐蔽的文件放 北京t 业大学工学硕一l ：学位论文 进信封里，当文件在个信封中时，任何人都不能读它。对文件签名就是通过在 信封里放一张复写纸，当签名者在信封上签名时，他的签名便透过复写纸签到了 文件上。 盲签名的一个最简单的应用就是用它来签署遗嘱。立遗嘱者想让律师在自己 遗嘱上签字，使之具有法律效力，但他又不想让律师知道遗嘱的具体内容，于是， 他可以采用盲签名的形式让律师对遗嘱签字。基于这种应用背景下，产生了盲签 名。盲签名广泛地应用于需要保证匿名性的场合。通常的数字签名，在消息认证 和鉴别上发挥着巨大作用，但在很多场合比如电子选举和电子现金的应用中，既 需要认证消息的有效性又需要保证匿名性。在这种情况下，盲签名协议通过盲变 换能过有效的隐藏身份信息。 当前随着网络技术的发展，用盲签名生成电子现金用于商品交易成为可能。 消费者可以从银行得到有效的电子现金，银行不能对消费者的消费状况进行跟 踪，有效保护了消费者的消费隐私；同时商家可以验证电子现金的有效性，但不 能得到消费者的身份信息，也有效保护了消费者隐私。商家凭收据可以在银行提 取现金或者通过转帐获取交易商品的成本与利润。当然，消费者不能重复使用电 子现金。在电子选举中，有两个需要遵循的原则：首先，投票人的利益不能受到 侵犯，即从选票信息中不能得到投票人的信息，实现投票人的无记名投票；其次， 要保证选举结果的公正性，即不能出现伪造选票和有选票遗漏等作弊现象。盲签 名技术在电子选举中的应用，满足了以上两个原则。 事实上，在匿名性这一问题上，现在只能通过盲签名或匿名证书来实现，而 匿名证书难于部署和撤销，只有盲签名才是方便可行的办法。总之，盲签名由于 它具有的消息认证的权威性和信息拥有者身份的匿名性在电子商务和电子政务 中有着广泛的应用前景。随着科技的进步，必将有更多的领域会应用盲签名技术， 同时这也会促进盲签名技术的进步。 1 3 研究现状 盲签名( b l i n ds i g n a t u r e ) 是一种能保护用户隐私的数字签名，是由c h a u m 在 c r y p t o 8 2 首先提出的，它使得用户能够得到签名人的签名却不让签名人知道其 所签消息是什么，签名人也不可能将签名过程与最终签名对应起来。 盲签名的这种性质称为盲性，它在诸如电子现金、电子拍卖、电子选举等许 多同时需要匿名性和认证性的应用场合起到关键作用，比如可以用来实现不可 跟踪电子现金或无记名选举，因此得到广泛的研究。在c h a u m 提出盲签名的概 念后，人们分别基于因子分解问题，离散对数问题，二次剩余等问题相继提出各 种盲签名方案。现有的大多数盲签名方案是基于离散对数的，主要的有： 2 第1 章绪论 o k a m o t o t 2 】给出的s c h n o r r 盲签名方案，c a m e n i s c h 等【3 】给出的变形d s a 和 n y b e r g r u e p p e l 消息恢复签名的盲化方案，p o i n t c h e v a l h l 给出的o k a m o t o 签 名方案的盲化方案，h o r s t e r 等在 5 中对比h a r n 等叩3 的广义e 1 g a m a l 签名对更 广义的m e t a e i g a m a l 签名进行了盲化。国内最主要的成果是姚亦峰等盯1 在广义 e 1 g a m a l 签名盲化方面的工作。 较早研究盲签名安全性证明的是j u e l s ，l u b y 和o s t r o v s k y 嘲，他们给出 了盲签名的安全性定义和一个安全方案，尽管该方案并不实用。后来， p o i n t c h e v a l 和s t e r n 等呻3 使用分叉技术在随机预言机模型下证明了 4 方案的 安全性。在2 0 0 0 年，l i n 和j a n n 刚第一个提出了代理盲签名方案，t a n n 妇等人提 出了一种基于s c h n o r r 盲签名的代理盲签名方案，这种方案既具有盲签名的性质 又具有代理签名的性质。l a i 和a w a s t h i n 羽于2 0 0 3 年提出了一种代理盲签名方案， 该方案比t a n 方案的计算简单些。吴克力于2 0 0 4 年提出了一种公平的群盲签 名方案，该方案结合已有的公平盲签名和群签名思想，对一种群盲签名增添公平 性而得到。a b e 和f u j i s a k iu 钔在a s i a c r y p t 9 6 提出部分盲签名 ( p a r t i a l l y b l i n ds i g n a t u r e ) 的概念部分盲签名允许签名人在签名中嵌入一 个和用户一起协商的公共信息。随后，有多个部分盲签名方案被提出，第一个可 证明安全的部分盲签名方案是a b e 和o k a m o t o u 5 1 在c r y p t o2 0 0 0 提出的，紧接 着的是m a i t l a n d 和b o y d n 6 1 的可证明安全限制性部分盲签名( r e s t r i c t i v e p a r t i a l l yb 1 i n ds i g n a t u r e ) 方案。基于r o s 问题和离散对数问题，y a n g 和 j a n n 刀最近提出另一个可证明安全限制性部分盲签名方案2 0 0 3 年z h a n g ， s a f a v i n a i n i 和s u s i l o u 别提出一个基于双线性对的部分盲签名方案。除了已提 出的各种基于不同困难性问题的盲签名方案之外，还已提出了公平盲签名、门限 盲签名、群盲签名、消息恢复盲签名、代理盲签名等许多不同类型的盲签名方案， 同时盲签名技术也已广泛应用于构造电子现金、电子选举等应用系统。 目前学者们研究的重点主要是在两个方面，第一是各种特殊场合下面的盲签 名协议，如b r a n d 提出的受限制的盲签名及其设计的电子货币方案n 9 1 ，s t a d l e r 等乜提出的公平盲签名方案，f a n 等幢妇提出的基于二次剩余问题的部分盲签名方 案，以及相关的一些电子货币口州1 ，电子选举乜置矧协议的设计。第二是盲签名协 议与其他密码协议或方法的混合，如可证明安全性的引入，基于身份体系乜7 侧 的引入，椭圆曲线算法咖一的引入，群签名与盲签名结合的群盲签名，代理签名 与盲签名结合的代理盲签名口2 1 等。 盲签名一提出便受到广泛关注，但尚有许多问题需要进一步研究和解决： ( 1 ) 目前很多盲签名方案还存在隐患，各种盲签名方案的安全性还有待进一 步的检验。 ( 2 ) 目前大部分盲签名方案的计算复杂度高、通信量大、计算效率低，因此 3 北京t 业大学工学硕i j 学位论文 如何设计简单有效的盲签名方案还有待进步研究。 ( 3 ) 如何更好的将盲签名和其它特殊签名相结合，如群签名、代理签名，构 造群盲签名、代理盲签名。 ( 4 ) 如何有效的将盲签名技术运用于实际环境中以解决匿名认证的需求。 综上所述，盲签名技术对于具有匿名性要求的网络通信具有独特的地位和作 用，研究盲签名技术具有理论上的前瞻性，应用上的可行性。同时，随着计算机 网络技术的发展，人们对信息安全的要求也将越来越高，这将极大地推动盲签名 技术的研究和应用，毫无疑问，盲签名技术具有比较长远的发展空间和广阔的市 场前景。 1 4 本文工作 盲签名不仅具有普通数字签名所提供的身份认证和消息认证功能，还具有自 己独有的的盲性和不可追踪性质，这使得盲签名技术可以广泛地应用于需要匿名 性和签名认证性的领域，比如电子选举和电子现金等领域。本文对盲签名理论进 行了系统、深入地研究，对基于身份密码体制和离散对数密码体制下的盲签名进 行了分析与改进，并基于部分盲签名方案提出了一个电子投票协议。现将作者在 这期间所做的工作总结如下： ( 1 ) 对现有的盲签名体制进行了深入地研究和分析，并总结了盲签名技术在 电子投票、电子现金系统中的广泛应用。 ( 2 ) 对已有的基于身份的代理盲签名方案进行了分析，并基于e h e s s 提出的 基于身份密码体制下的数字签名设计了一种新的代理盲签名方案，对其进行了理 论证明和安全性分析，结果表明该方案在满足代理盲签名所要求的所有性质的基 础上还具有较高的执行效率。 ( 3 ) 基于在随机预言机模型下被证明是强安全的o k a m a t o s c h n o r r 盲签名方 案，通过运用一个公开确定性算法在生成签名人的私钥和公钥时导入了部分盲签 名中所需的公共信息，构造了一个新的部分盲签名方案。分析表明该方案在满足 盲性和不可追踪性的同时还具有较高的安全性。 ( 4 ) 基于盲签名技术设计了一种存在多类投票人的匿名电子投票协议，对其 安全性进行了详细地分析，然后基于该协议设计了一个存在多类投票人的匿名电 子投票系统，该系统可以在一次选举中统计不同类别中的人对某一问题的看法， 最后对该系统进行了详细设计，并给出了部分算法的实现。 1 5 论文的结构与组织 第一章主要介绍了信息安全领域的背景及意义，对盲签名技术的的研究背 4 第1 章绪论 景、研究意义及研究现状作了简要的介绍。 第二章主要介绍了一些要用到的数论知识和相关的密码学知识。包括离散对 数问题、哈希函数、公钥密码体制、数字签名、数字证书等密码学基本概念以及 盲签名技术在电子商务、电子政务中的广泛应用。 第三章首先介绍了一些经典的盲签名方案，对其优劣进行了分析比较。其次， 介绍了代理盲签名的概念，对已有的两个代理盲签名方案的安全性进行了分析和 总结，并结合自己的研究构造了一个高效的基于身份的代理盲签名方案。再次， 介绍了部分盲签名的密码学定义及性质，并基于离散对数困难问题提出了一个新 的部分盲签名方案，对该方案进行了详细的安全性分析和性能分析。最后，简单 介绍了群盲签名的概念和性质。 第四章基于部分盲签名技术设计了一种存在多类投票人的匿名电子投票协 议，对其进行了安全性分析，然后基于该协议提出了一个存在多类投票人的匿名 电子投票系统，给出了系统的详细设计以及部分算法的实现。 第五章首先介绍了电子现金的研究现状及其满足的性质与分类，接着介绍了 两个现有的电子现金方案，并对其性能和安全性进行了分析，着重研究盲签名在 电子现金中的应用及其实现问题。 第2 章相关概念j 幕础理论 第2 章相关概念与基础理论 盲签名是一种特殊的数字签名，它和数字签名一样有较深的数学和密码学背 景。数论中的大数分解问题、离散对数求解以及密码学中的哈希函数函数和数字 证书等问题，都是我们进行盲签名研究的基础。 2 1 数论基础 我们知道，数论中存在许多难题，这些问题在现在和今后一个相当长的时期 不可能得到很好的解决。密码学尤其是许多数字签名协议的设计也正是基于这些 数学难题的。关于盲签名的数论基础，我们主要介绍一下大数分解问题和离散对 数问题。 2 1 1 大素数分解问题 在数论中，存在整数唯一分解定理，任何一个大于1 的整数，如果不论因子 的次序，能唯一的表示成素数的乘积，即 定理口3 1 ( 整数唯一分解定理) 任一大于1 的整数能表示成素数的乘积，即对 于任一整数a l ，有 a = p 1 p 2 p 刀，p 1 p 2 p 疗 其中p l 仍风是素数。并且若 a = q l q 2 g 脚，q l q 2 q 研 其中q l q 2 g m 是素数，则 m = 刀，q f = p f ( 江1 ，2 ，乃) 这是对数论研究所得出的重要结论，也是对数论深入研究的重要基础。 整数唯一分解定理虽然在理论上阐明整数的可分解性，然而在现实中，我们 如果仅知道两个大素数的乘积，来求出这两个大素数也即对这个积进行分解却是 极端困难的。人们很早就从事对数论这门古老学科的研究，但大数分解问题始终 未得到很好地解决。在可以预见的未来，大数分解问题不会、也不可能得到妥善 地解决。 密码学协议尤其是数字签名的好多算法都是基于数学难题而设计的。大素数 7 北京工业人学丁学硕j j 学位论文 分解这一数学难题，为密码协议的设计提供了良好的基础和安全保证。例如现在 广泛应用的r s a 体制签名方案被认为是安全性最好的方案之一，它就是基于此 问题提出的。 2 1 2 离散对数问题 在本节主要介绍离散对数的一些有关知识。 设仁( 曲代表由g 生成的阶为q 的循环群，x 为乙的元素，y g 。 定义m 1 ( 离散对数) 称满足g j = y 的最小整数x ，为y g 基于g 的离散对 数。 离散对数求解是一个困难问题，也就是说：如果知道y 和g ，而它们的值又 都比较大，那么求解x 是很困难的，可以说在计算上是不可行的。 离散对数求解难是一直存在的问题，它为密码协议的设计提供了坚实的基 础。许多性能良好的密码算法都基于这一难题设计的，例如著名的s c h n o r r 数字 签名方案和e l g a m a l 数字签名方案。 2 2 哈希函数 这里我们首先介绍一下单向函数的概念。若一个函数f 满足下面两个条件， 则称为单向函数。 ( 1 ) 对于所有属于f 定义域内的任一x ，求解出f 是很容易的。 ( 2 ) 对于所有属于f 值域内的任一y ，要求解出工，使之满足f 可在计算上 是不可行的。 也就是说，单向函数是一个满足以下条件的函数：它将一个定义域映射到一 个值域，使得很容易计算出函数值，但由函数值求解出原像在计算上不可行。 密码学上的哈希函数口5 1 ( 也称杂凑函数、散列函数) 实质上是一种单向函数， 它是一种将任意长度的消息压缩到固定长度消息摘要的函数。将哈希函数应用到 数字签名早有如下好处： ( 1 ) 可破坏数字签名方案的某些数学性质，如同态性。 ( 2 ) 通过对消息摘要签名取代对消息签名，可以提高签名的速度。 ( 3 ) 签名可以不包括原消息，增强了保密性。 ( 4 ) 可以用公钥密码实现加密、用私钥密码实现数字签名，从而将签名和加 密分开处理。 h a s h 函数除了可用于数字签名之外，还可以用于其他方面，譬如消息的完 第2 章相关概念。j 基础理论 整性检测、消息的来源认证检测等方面。为保证消息的完整性，及时发现消息 是否被非法篡改，可以在消息传输之前先对消息做h a s h 变换，然后对消息和计 算出的h a s h 值进行传输，对于接收到的消息也做h a s h 变换。将传输前的消息 的h a s h 变换值与接收到的消息的h a s h 变换值作比较，如果两者相同，则可以 认为消息在传输过程中没有被篡改，否则消息一定被非法篡改了。 h a s h 函数的安全性是指：在现有的计算资源下，找到一个碰撞是不可能的。 综上所述，一个密码学上安全的h a s h 函数应具有以下性质： ( 1 ) h 0 的输入可以任意长。 ( 2 ) h 0 的输出长度固定。 ( 3 ) 对于任意消息的哈希值日( 肌) ，计算m 是不容易的。 ( 4 ) 给定h ( m ) ，找出一对碰撞消息在计算上不可行的。 目前己经设计出大量的h a s h 函数，如s n e f r u 算法n _ h a s h 算法、m d 4 算 法、m d 5 算法、s h a 等。哈希函数在数字签名中能够生成消息的摘要( 也称作 消息指纹) ，而后签名方用自己的私钥对消息的哈希值进行加密处理，然后发给 第三方进行验证，从而在数字签名方案中提供消息完整性服务，以防止攻击方对 消息进行篡改。 2 3 公钥密码体制 自从1 9 7 6 年d i f f i e 和h e l l m a n 两人在“密码学的新方向”娜1 中提出了公钥 密码体制的新思想后，密码学中出现了一门新兴的学科公钥密码学。公钥密码体 制中的加密密钥与解密密钥是一组相对的密钥。每一组密钥对包含两把互相对应 的密钥，一把为可以公开的加密密钥( 简称“公钥”) ；另一把是必须保持秘密的 解密密钥( 简称“私钥”) ，而且从公钥很难推导出私钥。因为加密与解密的密钥 不同，所以又称作非对称密码系统。公钥密码体制有两种基本类型，一种是加密 模型如图2 1 ，另一种是认证模型如图2 2 。 非对称密码技术的另一个重要应用是身份验证。当a 用自己的私钥加密消 息后发送给b ，如果b 用a 的公钥可以解密消息密文，b 就能肯定消息来自 a ，因为只有a 拥有加密该消息的私钥，上述方法通常称为数字签名。由于用 非对称密码技术生成的数字签名可以鉴别实体的身份，因此可以用非对称密码技 术提供抗抵赖服务，其核心是数字签名。正因为公钥加密系统还能够很容易地实 现数字签名。因此，最适合于电子商务、电子政务的应用需要。 9 北京1 = 业大学丁学硕j 学位论文 2 4 数字签名 b 的公钥b 的私钥 图2 1 加密模型 f i g u r e2 - 1e n c r y p t i o nm o d e l a 的私钥a 的公钥 图2 - 2 认证模型 f i g u r e2 - 2a u t h e n t i c a t i o nm o d e l 明文 明文 在政治、军事、外交等活动中签署文件，商业上签订契约和合同，以及日常生 活中签署书信、支票等事务上，传统方式是采取手写签名或印章，使之能产生法律 效力。这是因为签名是可信的；签名是不可伪造的；签名是不可抵赖的；签名是 不可重用的；签名的文件是不可改变的。 随着社会的信息化时代到来，人们希望通过互联网进行迅速的远程贸易合同 的签名、希望在网上进行电子支付、电子投票、电子拍卖等活动。这样，传统手 写签名就受到地域和时间的限制，因而需要手写签名的电子替代物。数字签名顺 应时代的潮流，实现了网络身份识别认证、传输消息认证等要求。数字签名是 1 9 7 6 由d i 伍e 和h e l l m a n 在“密码学的新方向”一文中首次提出的。随后引起了 学术界尤其是密码学界和计算机网络界的高度重视，特别是随着i n t e r n e t 、i n t r a n e t 的迅猛发展和广泛应用，数字签名技术已应用到证券、银行、电子商务、数据库 1 0 第2 章相关概念。i 基础理论 安全、身份认证、民主选举等方面，市场前景极为广阔、潜力巨大。 2 4 1 数字签名的定义 普通的数字签名方案包括三个过程：系统初始化、签名产生、签名验证。其 中，系统初始化过程产生数字签名方案所用到的一切参数；签名产生过程中，签名 者利用签名算法对给定的消息进行签名；签名验证过程中，接收者利用公开的验 证算法对给定消息的签名进行验证，进而判断签名的有效性。下面给出数字签名 的形式化定义： ( 1 ) 系统初始化过程 产生签名方案中的基本参数( 必s k s i g v e r ) ，其中 1 ) m 是消息的有限集； 2 ) s 是签名的有限集； 3 ) k 是密钥的有限集，包括私钥s k 和公钥肷； 4 ) s i g 是签名算法的有限集； 5 ) v e r 是验证算法的有限集； ( 2 ) 签名产生过程 对于密钥集合相应的签名算法为s g i s i g ，s i g t ：m 专s ，对任意的 消息m m ，有s = s i g 。( m ) ，则s s 为消息的签名，将( ，2 ，s ) 发送给接收者。 ( 3 ) 签名验证过程 对于密钥集合五有签名验证算法 v e r ：m s 专 t r u e ，f a l s e v e r k ( m ，j ) = 麓i 篙j 翟， 接收者收到( m ，j ) 后，计算v e r k ( m ，j ) ，若v e r k ( m ，s ) = t r u e ，则签名有效：否 则，签名无效。 2 4 2 数字签名的特性及其功能 一个安全有效的数字签名方案应具有以下特征： ( 1 ) 签名的可信性。签名使消息的接收者相信签名者是慎重地签了该消息。 ( 2 ) 签名的不可伪造性。除了合法的签名者之外，其他任何人要伪造其签名是 困难的。 ( 3 ) 签名的不可抵赖性。任何签名者在产生签名后，无法抵赖自己对消息的签 北京t 业人学t 学硕l j 学位论文 名。 ( 4 ) 签名的不可复制性。对一个消息的签名不能通过复制作为对其他消息的 签名。 ( 5 ) 签名消息的不可改变性。一旦签名的消息被纂改，则任何人都可以发现消 息和签名之间的不一致性，签名不再成立。 具有上述特征的数字签名的功能主要有三个：第一，接收者能够证实发送者 的身份；第二，发送者事后不能否认发送的报文签名；第三，接收者或非法攻击 者不能伪造、纂改报文。由于数字签名具有以上功能，因此在军事、商业和政治 等领域有着广泛的用途。 2 4 3 数字签名的分类 按照不同的标准，数字签名有不同的分类方法： ( 1 ) 基于数学难题的分类 根据数字签名方案所基于的数学难题，可以将其分为基于整数因子分解问题 的数字签名方案、基于离散对数问题的数字签名方案和基于椭圆曲线离散对数问 题的数字签名方案。r s a 数字签名方案是基于整数因子分解问题的，s c h n o r r 、 e l g a m a l 、d s a 等数字签名方案是基于离散对数问题的，e c d s a 数字签名方案 是基于椭圆曲线离散对数问题的。将整数因子分解问题和离散对数问题相结合， 又可以产生同时基于整数因子分解问题和离散对数问题的数字签名方案。 ( 2 ) 基于签名用户的分类 根据签名用户的情况，可将数字签名方案分为单个用户签名的数字签名方 案和多个用户的数字签名方案。一般的数字签名是单个用户签名方案，而多个 用户的签名方案又称多重数字签名方案( m u l t i s i g n a t u r es c h e m e ) 。根据签名过 程的不同，多重数字签名可分为有序多重数字签名方案( s e q u e n t i a l m u l t i s i g n a t u r es c h e m ) 和广播多重数字签名方案( b r o a d c a s t i n gm u l t i s i g n a t u r e s c h e m e ) 。 ( 3 ) 基于数字签名所具有特性的分类 根据数字签名方案是否具有消息自动恢复特性( m e s s a g er e c o v e r y ) ，可将数字 签名方案分为两类：一类不具有消息自动恢复的特性，另一类具有消息恢复的特 性。一般的数字签名不具有消息自动恢复特性，例如最初的e 1 g a r n a l 数字签名。 1 9 9 4 年，n y b e r g 和r u e p p l e 首次提出一类基于离散对数问题的具有消息自动恢 复特性的数字签名方案。 ( 4 ) 具有特殊性质的数字签名 代理签名口7 1 ：代理签名实现的功能是原始签名人把他的签名权授权给代理 1 2 第2 章相关概念与基础理论 人，由代理人代表他对任何消息进行签名，消息接收者或签名验证者可以区分是 普通签名还是代理签名。 群签名方案m 1 ：1 9 9 1 年，c h a u m 和h e y s t 首先提出群签名( g r o u ps i g n a t u r e ) 的概念，该方案允许合法用户以用户组的名义签名，即代表群体执行签名，验证 者从签名不能判定签名者的真实身份，但能通过群管理员查出真实签名者。具有 签名者匿名、只有权威才能辨认签名者等多种特点，在实际应用中有广泛应用。 群签名研究重点在群公钥的更新、签名长度固定和群成员加入与撤消上。由于群 签名方案中，群管理员具有特殊的身份，可以对群成员的签名进行跟踪，因此严 格地说，不具有完全匿名性，在需要完全匿名性要求的情况下，无法满足。于是 环签名这一概念应运而生，它与群签名较为相似，最大的特点是对签名者的身份 是不可追踪的，具有完全匿名性。 知识签名m 1 ：零知识证明是通信双方在交互的过程中，一方在不向对方泄漏 信息具体内容的情况下证明自己知道这些知识。交互的零知识证明可以通过单向 哈希函数转化为非交互的证明或签名，即密码学中的许多身份鉴别方案可以转化 为数字签名方案。为了区别交互的零知识证明，密码学家称这样的签名为知识签 名。知识签名在许多密码方案中都有应用，因为单向哈希函数的应用，减少了算 法中参数的个数，并且使得算法安全性有所提高。 2 4 4 数字签名的应用 随着数字签名与普通签名有同等效力的法规出台，数字签名技术的研究与应 用将进入一个新的阶段。随着电子政务、电子商务等应用的普及和认识的提高， 人们对数字签名本身的安全要求也在不断提高。对已有签名方案的安全分析和攻 击将不断升级，密码学中各种算法的安全性将面临严峻的考验。另一方面，需要 依靠数字签名技术的网络应用呈快速增长的趋势。例如：2 0 0 4 年的美国总统大 选已开始部分采用网上投票，据称，世界上搞网上投票和电子投票的不止美国一 家，瑞上、英国也己开始尝试这种新的投票方法。随着信息化的发展，我国信息 安全技术的研究和产业已受到党和国家的高度重视，信息安全的地位越来越高， 越来越引起政府的重视，投入上也越来越大。数字签名技术由于其能有效地防止 信息的伪造、确定信息的来源和判断信息是否完整的能力，使其在信息安全中有 着极其重要的作用。 2 4 5 盲签名的应用 盲签名是一种特殊的数字签名，国内外学者对其进行了深入的探讨与研究并 取得了丰富的研究成果。盲签名所具有的匿名性使得这种技术可广泛用于许多领 北京工业大学t 学硕一i j 学位论文 域，如电子现金系统和电子投票系统的构造等。 电子现金又称为数字现金，它最大的特点是能满足用户的匿名要求，也就是 它能够保证用户的身份不能被他人知道。而在电子信用卡支付系统和电子支票支 付系统中，用户的身份能够被银行知道，银行可以跟踪用户的消费情况，从而无 法保护用户的隐私权。电子现金的安全性和可靠性等主要是依靠密码技术来实现 的，主要有分割选择技术、零知识证明、认证、盲签名等。电子现金支付具有其 特殊性。 电子投票作为消息认证系统的重要课题之一和作为盲签名的重要应用，近 年来之所以受到广泛关注，主要是由于它可以省去通常投票活动在组织工作、选 票采集、选票统计和安全保密等方面所需花费的大量人力和物力；其次，投票人 也可以不必去有关管理部门所设置的特定的投票处。因此，与通常的投票相比， 电子投票既省钱、省力又安全。 2 5 数字证书 为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等 措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一 个可以被验证的标识，这就是数字证书。数字证书是各实体( 持卡人、个人、商 户、企业、网关、银行等) 在网上信息交流及商务交易活动中的身份证明，其作 用类似于日常生活中的身份证。该数字证书具有唯一性。它将实体的公开密钥同 实体本身联系在一起，为实现这一目的，必须使数字证书符合x 5 0 9 国际标准， 同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机 构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是数字 证书认证中心( c e r t f i c a t e a u t h o r i t y ，c a ) 。信息安全系统中的各参与方完全信赖 c a ，他们基于c a 所颁发的证书中的信息来彼此的认证对方已经用对方的公钥 加密消息后发送给真实的接收方。 数字证书认证中心是整个网上电子交易安全的关键环节。它主要负责产生、 分配并管理所有参与网上交易的实体所需的身份认证数字证书以及维护一个已 撤销证书的列表( c r l ) 。每一份数字证书都与上一级的数字签名证书相关联，最 终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构一 根认证中心( 根c a ) 。 电子交易的各方都必须拥有合法的身份，即由数字证书认证中心机构签发的 数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从 而解决了用户信任问题。c a 涉及到电子交易中各交易方的身份信息、严格的加 密技术和认证程序。基于其牢固的安全机制