（计算机软件与理论专业论文）门限数字签名理论及应用研究.pdf

摘要 摘要 随着计算机应用及网络的普及，人类进入了信息时代，生活方式发生了巨大 的改变，人们可以通过网络进行学习、工作、交流，互通信息的有无。然而，在 享受网络带来的便利的同时，信息的安全问题也层出不穷，信息在传递过程中可 能被窃听、篡改、伪造、删除等，这给人们的生活又带来了不必要的麻烦。数字 签名作为一种保障信息安全的技术应运而生，在确保信息的完整性、不可伪造性、 不可否认性方面发挥了重要的作用。 而在现实的应用中，一个秘密往往需要进行分散保存，只有一定量的合法参 与者联合才能恢复秘密，这就是秘密共享。利用此思想进行签名，即将签名的权 利分散在一部分人手中，一定量的合法参与者联合才能生成有效的签名。门限签 名体制自被提出以来，受到了广大学者的青睐，对将门限体制与其他一些特殊签 名联合的研究也越来越多，其应用也越来越广泛，如密钥托管、电子商务、电子 投票等。 本文在广泛阅读相关文献和深入研究的基础上，总结了门限签名的研究进 展，并分析了门限特性在群签名及盲签名等方案中的应用，指出了y u a n l u n gy u 等人所提门限群签名方案( y c 方案) 不能抵抗联合攻击，任意f 个成员合谋可 以获得群私钥及群成员私钥，不负责任地产生一个能通过验证的群签名；本文对 此进行了改进，通过改变密钥生成方式，使得合谋攻击过程面临椭圆曲线离散对 数困难性，改进的方案能抵御合谋攻击。 此外，在总结前人关于门限盲签名方案研究的基础上，将一个基于身份的门 限盲签名用于电子投票协议的注册过程，有效地制止了签证人在注册过程冒充投 票人的情况，提高了电子投票过程的公正性。 关键词：门限密码体制，门限群签名，门限盲签名，电子投票 摘要 a b s t r a c t g l o b a l i z a t i o no ft h ei n t e r a c ta n dt h ea p p l i c a t i o no fc o m p u t e rh a sc h a n g e dt h e s t u d y i n ga n dw o r k i n ga n d c o m m u n i c a t i o n so nb o t ht h ep e r s o n a la n db u s i n e s sl e v e l s n e t w o r ki sc o n v e n i e n t ，a tt h es a l l et i m e ，p e o p l es h o u l dc o n s i d e rt h es e c u r i t y m e s s a g em a yb ee a v e s d r o p p e d 、t a m p e r e d 、f o r g e do rd e l e t e di nt h en e t w o r k , i ti sa t r o u b l et ou s e r a st h et e c h n o l o g yo fe n s u r i n gi n f o r m a t i o ns e c u r i t y ，d i g i t a ls i g n a t u r e e m e 唱e sa n dp l a y sa ni m p o r t a n tr o l ei np r o t e c t i n gi n t e g r a l i t y 、u n f o r g e a b i l i t y 、 u n d e n i a b i l i t y a sap r a c t i c a la p p l i c a t i o n , as e c r e tn e e d st ob ed i v i d e di n t os e v e r a lp i e c e sf o r k e e p i n g ，c e r t a i nn u m b e ro fp i e c e sc a nr e c o n s t r u c tt h es e c r e li t i ss e c r e ts h a r i n g s e c r e ts h a r i n gi st h eb a s i so ft h r e s h o l dc r y p t o s y s t e m ，i ti st od i v i d et h es e c r e tk e yi n t o s e v e r a ls h a r e s ，ac e r t a i nn u m b e ro fs h a r e sc a ng e n e r a t et h es i g n a t u r e s i n c et h ei d e ao f t h r e s h o l ds i g n a t u r ep r o p o s e d ，t h et h r e s h o l ds i g n a t u r eh a sb e e nt h eh o ts p o ti nt h e c r y p t o g r a p h ya r e a t h es t u d y i n g f o ri n t e g r a t i n gt h et h r e s h o l ds i g n a t u r ea n do t h e r s p e c i a ln a t u r eo ft h es i g n a t u r ei sm o r ea n dm o r e ，t h ea p p l i c a t i o ni sw i d e ra n dw i d e r , f o re x a m p l e ，k e ye s c r o w , e - b u s i n e s s ，e l e c t r o n i cv o t i n ge t c t h i sp a p e rs u m m a r i z e dt h ep r o g r e s so fs t u d y i n go nt h r e s h o l ds i g n a t u r es c h e m e ， a n da n a l y z e da p p l i c a t i o no ft h r e s h o l df o rg r o u ps i g n a t u r ea n db l i n ds i g n a t u r e a n e r r o rw a sp o i n t e di ny cs c h e m e a sat h r e s h o l dg r o u ps i g n a t u r e ，y ce x i s t sap r o b l e m ， a n y to u to fnm e m b e r sc a ng e tg r o u pp r i v a t ek e ya n da l lm e m b e r s k e y , s ot h e y c a l lg e n e r a t et h eg r o u ps i g n a t u r e t h i sp a p e ri m p r o v e dy cs c h e m e ，b yc h a n g i n gt h e w a yo fk e yg e n e r a t i o n ，m a k i n gt h ep r o c e s so fa t t a c kf a c e dt h ed i f f i c u l t yo fe l l i p t i c c u r v ed i s c r e t el o g a r i t h m t h ei m p r o v e ds c h e m ec a nr e s i s tc o n s p i r a c ya t t a c k i n a d d i t i o n ，b ys u m m a r i z i n gt h er e s e a r c ho ft h r e s h o l db l i n ds i g n a t u r es c h e m e ，w ep u t t h ei d - b a s e dt h r e s h o l db l i n do nt h ee l e c t r o n i cv o t i n gs c h e m e ，i tp r e v e n ti m i t a t i o nb y t h r e s h o l db l i n ds i g n a t u r es c h e m e ，a n dt h ei m p a r t i a l i t yi s i m p r o v e dw h e np e o p l e c o n d u c te l e c t r o n i cv o t i n g k e yw o r d s ：t h r e s h o l dc r y p t o s y s t e m s ；t h r e s h o l dp r o x ys i g n a t u r e ；t h r e s h o l d g r o u ps i g n a t u r e ；t h r e s h o l db l i n ds i g n a t u r e ，e l e c t r o n i cv o t i n g 论文原创性声明内容： 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内 容外，本论文不包含任何其他个人或集体已经发表或撰写过 的作品成果。对本文的研究作出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律结 果由本人承担。 学位论文作者签名：钏钆 日期：矽尸年l ，月彤日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即： 学校有权保留学位论文并向国家主管部门或其指定机构送 交论文的电子版和纸质版，有权将学位论文用于非赢利目的 的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，。有权将学位论文的内容编入有关数据库进行检索，可以 采用复印、缩印或其他方法保存学位论文。 ， 学位论文作者签名：朝惶导师签名：丑霄老 日期：矽r 口年r 月毕日日期：纠b 年月1 日 第章绪论 第一章绪论 1 1 课题研究的背景和意义 随着信息技术的飞速发展，个人、组织以及国家之间的信息交流与经济活动 日益呈现出国际化、网络化的趋势，信息产业已逐步兴起。各种以网络为平台的 活动，正在改善人们生活、学习、工作的方式，极大地提高了人们的生产力，但 同时也带来了安全隐患。因此，如何保护个人隐私信息、企业的秘密信息和国家 机密信息成为亟待解决的现实问题。信息安全成为信息社会密切关注的问题之 一。信息安全包括保密性( p r i v a c y ) 、认证性( a u t h e n t i c a t i o n ) 、可用性( a v a i l a b i l i t y ) 、 可控性( c o n t r o l l a b l e ) 以及不可否认性( r e p u d i a b l e ) 。对信息的加密、签名成为保障 信息安全不可或缺的一个重要步骤。 数字签名技术作为对传统手写签名的模拟，使得签名的接收者可以验证签名 发送者的身份，同时发送者也不能否认签名的消息，在保障信息的完整性、不可 否认性和不可伪造性等方面起到了不可估量的作用。在现实应用中，人们根据不 同的需要提出了具有特殊性质的数字签名，如群签名、代理签名、盲签名以及门 限签名等。 门限签名主要面向群体，利用它可以将签名权力分散给群体中各成员，一个 o ，疗) f - j 限签名是指群体的签名密钥由，z 个成员共享，其中不少于，个成员联合可 以代表该群体产生有效的签名。这种方式可实现对群体签名密钥的分散保护，同 时也分散了群体成员的权力。 群签名方案允许群中合法参与者以群体的名义签名，具有签名者匿名、只有 权威才能辨认签名者等多种特点。群签名的应用非常广泛【1 i ，在公共资源管理、 金融合同签署以及电子现金系统中，群签名都可以发挥重要作用。 盲签名主要应用于需要保护消息的具体内容的场合，如在电子投票系统中， 投票人不希望其他人知道选票内容，允许投票人先将选票盲化，而后让签名者对 第一章绪论 盲化的选票进行签名。盲签名因为具有盲性这一特点，可用于保护用户的隐私权。 在上述的群签名和盲签名中，签名的权力往往掌握在个体的手中，这就存在 签名者的可靠性和密钥的保管问题，签名者是否会滥用签名权力? 密钥是否会被 他人窃取? 为了解决这些问题，将门限签名引入到群签名、盲签名和代理签名体 制中，形成门限群签名、门限盲签名和门限代理签名，使得各种签名体制在保持 原有特性的情况，增加门限特性，即可以实现签名权力的分散及密钥的分存，有 利于提高其安全性。增加了门限特性的各类特殊签名，在电子商务、电子政务、 企业管理、电子投票、电子现金等方面有着广阔的应用前景。目前针对门限签名 和门限群签名、门限盲签名的研究很多，但仍存在很多安全和性能方面的问题有 待解决。因此，如何设计安全有效的门限签名及具有门限特性的各类特殊签名是 近年来密码学界的热点课题之一。 1 2 国内外研究现状 在一个( ，刀) f - j 限签名方案中，疗个成员共享群体的签名密钥，只有t 个或t 个 以上成员联合时才能代表这个群体签名，而任何少于t 个成员联合则不能产生这 个群体的签名。d e s m e d t 等人首次提出了门限签名的概念【2 】，并构造了第一个门 限签名方案【3 j 。随后，诸多学者在该领域进行了深入的研究，前期的重点在于门 限签名的构造，即如何将门限签名与一般的签名体制有效结合，不同门限签名方 案被提出1 4 - 5 i 。随着构造方法的成熟，人们将重点逐步转为在分析总结已有签名方 案的基础上，提出新的更安全性能更高的方案 6 - 9 1 。 在门限签名方案中，子密钥的分发是一个关键的步骤。根据子密钥分发方式 的不同，现有门限签名方案可分为两种类型：有可信任中心的门限签名方案和分 布式( 无可信中心) 门限签名方案。两种类型各有优缺点，前一种类型计算量和 通信量较小，有助于提高系统性能，但容易使可信任中心成为系统瓶颈和脆弱点； 后一种类型适合于各成员互不信任的网络环境，但计算量和通信量较大。此外， 根据门限签名方案所基于的数学难题，目前的门限签名主要分为三类：基于大数 分解问题的门限签名体制、基于离散对数问题的门限签名体制以及基于椭圆曲线 的门限签名体制。 2 第章绪论 基于大数分解问题的门限签名体制，主要是r s a 门限体制。d e s m e d t 等人 在首次提出门限签名体制时就指出了门限r s a 体制所面临的困难1 2 j ，即由r s a 的密钥结构所带来的问题。为解决此问题，他们采用了复杂的代数结构【3 j 来构造 基于r s a 体制的门限签名，随后也有很多关于门限r s a 签名的研究【8 】- 1 0 - 1 2 1 。 但这些方案在安全性和效率两方面都不够理想。 构造基于离散对数签名体制的门限签名比构造门限r s a 签名体制相对容 易。h a m 最早提出基于e i g a m a l 签名体制的门限签名方案，该方案是一个( 厶疗) 门 限方案，其签名长度等于e i g a m a l 签名的长度，但该签名体制的安全性与e 1 g a m a l 签名的等价关系还有待证明。1 9 9 5 年，l a n g f o r d 提出了基于d s s 签名体制的门 限签名方案【1 3 】，该方案是安全的，但是完成一个签名需要，2 一t + 1 个成员的合作。 g e r m a r o 等人对l a n g f o r d 的方案进行了改进，将秘密共享方法与d s s 签名结合 起来，完成签名需要的成员数降低为2 ，+ 1 。这些方案主要研究了门限签名的构 造问题，但基本都不具有强壮性、不可冒充性及可追查性等。 椭圆曲线密码体制与r s a 密码体制和离散对数密码体制相比较，具有特殊 的构造方式和优点。因此，对基于椭圆曲线密码体制的门限签名的研究，主要有 两大类，一类侧重于构造方法的研究，另一类侧重讨论在与其他两类门限签名体 制相比之下所具有的优点。在构造方法上，h a ny i l i a n g 等人提出了可验证门限 签名方案【1 4 1 ，该方案能够抵御群组外部的攻击及群组内部单个成员的攻击，但 无法抵御群组内部成员的合谋攻击：在与其他两类门限签名体制的比较上， t z e r - s h y o n gc h e r t 等人分析了椭圆曲线密码体制具有密钥长度短等优点，并提出 了一个门限签名方案【i5 1 ，通过对方案执行性能进行分析，可看出在椭圆曲线密 码体制上构造的门限签名的优良特性。另外，文献 1 6 】结合动态秘密共享方案与 椭圆曲线密码，周期性的更新密钥，解决了外部攻击者攻击群体密钥的问题，提 高了密钥的安全性。总之，椭圆曲线密码体制具有密钥长度短、占用存储空间小、 计算速度快等优点。现有方案实现了椭圆曲线密码与门限方案的有效结合，在门 限签名方案上有效地发挥了椭圆曲线的优点。但是，这些方案在安全性方面大多 存在一些不足之处，如无法抵御合谋攻击、伪造签名等攻击方式，在实际应用中 欠缺可追查性、强壮性等所需性质。 第一章绪论 在应用上，门限签名的思想常常被用来与其他具有特殊性质的数字签名联合 使用，形成诸如门限代理签名、门限盲签名、门限群签名、门限多签名等方案。 近年来，一些学者针对门限签名与群签名、盲签名等的结合进行了研究。 1 3 本文的研究内容和组织 本文对门限签名体制的研究进展进行了跟踪，并将工作重点放在门限数字签 名体制与其他特殊的数字签名体制的结合上。最主要的研究内容包含以下几部 分：分析了y c 门限群签名方案并进行了改进：改进了一个门限盲签名方案，并 在此基础上构造了一个匿名的电子投票协议。 本论文章节安排如下： 第二章主要介绍论文中涉及到的一些数论知识和相关的密码学基本知识，包 括几个著名的密码学问题，这部分只做简单的介绍。 第三章主要分析了y c 门限群签名方案的缺点，并对此进行了相应的改进。 第四章给出了一个基于身份的门限盲签名方案，并在此基础上构造了一个匿 名的电子投票协议。 第五章对本篇论文进行了总结，并对未来的工作进行了展望。 4 第二章相关理论与技术 第二章相关理论与技术 2 1 数论基础 许多密码学体制的安全性都建立在某个数论问题的困难性之上。所谓困难性 是指在合理有限的资源条件下找不到一个可行的算法来解决这个问题，即计算上 的不可行性。在现实情况下是指用运算速度最快的计算机和目前最优的算法在数 年、数十年甚至上百年内不能计算出这个问题的结果。 2 1 1 大整数分解问题 整数的唯一分解定理指出，任何一个整数厅( ihi 1 ) 在不考虑因子次序的 情况下，可唯一地表示为若干素数的乘积，即甩= 兀p 产，其中p ，是互不相同的 j 素数，a 。为自然数。 找出给定大整数n 的素因子p 。即为大整数分解问题。在数论中，大整数分解 问题是一个古老的问题。分解一个大数理论上很简单，但是实际过程很费时。目 前针对大整数的分解有一些比较有效的算法，如对大于“0 位左右的十进制整数 来说，目前最有效的分解算法是数域筛选法( n f s ) ；而二次筛选法( q s ) 对低于1 1 0 位的十进制整数来说，是目前已知的最快算法。 随着计算机技术的发展，大数分解已迅速发展起来，但大数分解技术的发展 未来仍不可知。1 0 2 4 比特的数在目前看来仍是安全的。现在广泛应用的基于大 数分解问题提出的r s a 密码体制，仍被认为是安全性最好的体制之一。 2 1 2 离散对数问题 离散对数问题是公钥密码体制中的一个基本问题，它的安全性决定了以离散 对数为基础的很多密码算法和方案的安全性。如d i f f j e h e l l m a m 密钥交换协议、 第二章相关理论与技术 e i g a m a l 型密码体南i j 等。一般地，离散对数定义如下： g 是一个有限循环群，且g g 是g 的一个生成元，元素a g ，整数x ( 0 x 一1 ) 满足g 皇a 则称x 为以g 为底口的离散对数，表示为l o g ga 。 对于一个有限循环群g - - 和元素a g ，寻找整数x ，使g 暑a 成立就 是一个离散对数问题。 下面说明椭圆曲线离散对数问题：已知椭圆曲线e 及其生成元g ，随机选择 一个整数d ，容易计算q = d g ，而给定q 和g 计算d 就是椭圆曲线上的离散 对数问题，这是一个难解的问题。 2 2h a s h 函数 h a s h 函数又称散列函数或杂凑函数，它能将任意长度的消息转换到规定长 度的消息摘要。在实际中有广泛的应用，在密码学和数据安全技术中，它是实现 有效、安全可靠的数字签名和认证的重要工具，是安全认证协议中的重要模块。 h a s h 函数是一个单向函数，指给定一个c ，很难找到一个x ，使得 h a s h ( x ) = c 。h a s h 函数按照其安全性可分为弱抗碰撞的h a s h 函数和强抗碰撞的 h a s h 函数。通常说的抗碰撞指的是强抗碰撞。h a s h 函数的抗碰撞性可定义如下： 一个h a s h 函数是弱无碰撞的，当且仅当对给定一个消息x ，找到一个消息 z x ，使得h a s h ( x ) = h a s h ( x ) 是计算上不可行的。 一个h a s h 函数是强无碰撞的，当且仅当，如果找到一对( x ，x ) ，x 。x 使得 h a s h ( x 。) = h a s h ( x ) 是计算上不可行的。 2 3 数字签名的形式化定义 6 第二章相关理论与技术 随着科技的迅猛发展，信息时代已经来临，通过网络进行通信的方式越来越 普及。然而网络在为人们带来便利的同时，也充满着安全隐患。为保障信息的安 全，在网络上需要认证身份、核实信息，保证数据的有效性等，因此数字签名方 法就被创立并应用于商业通信、电子邮件、电子转帐和办公自动化等“保密 系 统中。 2 3 1 签名的定义 一个数字签名方案通常由两部分组成：签名算法和验证算法。签名算法是一 个由密钥控制的函数。对任意一个消息工，一个密钥k ，签名算法产生一个签名 y = s i g 。( x ) 。算法是公开的，但密钥是保密的。验证算法v e r ( x ，y ) 也是公开的， 它通过v e r ( x ，y ) = t r u e 或f a l s e 来验证签名。 数字签名方案通常被定义为一个五元组( m ，n ，k ，s ，v ) ，其中 ( 1 ) m 是所有待签名消息的有限集合，即消息空间： ( 2 ) n 是签名的有限集合，即签名空间； ( 3 ) k 是所有签名密钥的有限集合，即密钥空间； ( 4 ) s 是签名算法的集合，它是一个映射，当输入签名密钥k k 和消息 x m 时，输出消息的签名少，即 s ：m k n ，y = s g t ( x ) ( 5 ) v 是一个验证算法的集合，当输入签名y 和验证公钥时，有 矿：m n 一 ( t r u e ，忍觇) 暖嚣慧臻勰 7 第二章相关理论与技术 一般的数字签名及验证过程可描述如下： 图2 1 数字签名及验证 数字签名是对传统手写签名的模拟，其主体也是签名者和验证者，因此也应 满足手写签名的一般性质： ( 1 ) 不可伪造性：任何人不能伪造签名者的签名： ( 2 ) 不可否认性：签名者事后不能否认自己的签名； ( 3 ) 可追踪性：发生纠纷时，可以通过第三方追查出签名者。 同时，数字签名具有手写签名远不可及的在网络上实现的快速、远距离传输 和认证的特点。这些特点使得自从d i f f i e 和h e l l m a n 利用公钥密码体制提出数字 签名的概念以来，数字签名技术得到了很大发展。目前，人们己提出了各种各样 的数字签名体制，门限签名体制就是其中非常重要的一类。 2 3 2r s a 签名算法 r i v e s t ，s h a m i r 和a d l e m a n 在19 7 8 年发表的“am e t h o df o ro b t a i n i n gd i g i t a l s i g n a t u r e sa n dp u b l i c - k e yc r y p t o s y s t e m s 一文中提出了一种公钥密码，这就是r s a 公钥密码，它是基于大数因子分解困难性设计的，r s a 签名算法具体实现如下： 产生公钥私钥： ( 1 ) 选取两个长度相当的大素数p ，q ，计算n = p q ，c o ( n ) = ( p 1 ) ( g 1 ) ； 8 第二章相关理论与技术 ( 2 ) 然后随机选取密钥e ，1 e 缈( ，z ) ，使得( p ，伊( ，z ) ) = 1 ； ( 3 ) 通过e d 童l ( m o d c , o ( n ) ) 计算d 。 其中( p ，甩) 公开，作为公钥；( d ，1 ) 保密，作为私钥。 签名过程： 签名者a 对消息m z ：进行签名，签名者a 只需计算o r = r o o dn 。 验证过程： 验证者得到消息签名对( m ，盯) 后，根据签名者a 的公钥( e ，n ) ，计算 m 三o - em o dn ，若等式成立，则签名验证成功；否则签名验证失败。 2 3 3s c h n o r r 数字签名算法 s c h n o r r 签名方案由s c h n o r r 提出，基本上是e 1 g a m a l 的变形，但在相同的 安全级别下，其签名长度比e i g a m a l 签名短得多，并且比r s a 短一半。其系统 实现过程描述如下： 系统初始化： 选择两个大素数p 和g ，且满足qip l ，p 2 5 1 2 ，q 2 1 6 0 ，再选择g z p ， 满足9 9 量l ( m o dp ) ，g l ；建立杂凑函数日： o ，l hz p 。 主体公私钥的建立： 用户a 选取一个随机数x z ；，并计算y 暑g ( r o o dp ) ，a 的公钥为 ( p ，g ，g ，y ，h ) ，私钥为x 。 签名过程： a 选取随机数k 尺z p ，并生成一个签名对( p ，s ) ，其中：，毫g t ( m o d p ) ， 9 第二章相关理论与技术 e 暑h ( mi i ，) ，s 兰，+ x e ( m o d q ) 。 验证过程： 给定一个消息签名对( 朋，( p ，j ) ) ，验证者的验证过程为：，兰g 。y 8 ( r o o d p ) ， e 暑h ( mi t ，。) ，v e r i g y ( m ，鲥，) ( 历，( s ，p ) ) = t r u e ，e = p 。 2 4 具有特殊性质的数字签名 2 4 1 门限数字签名 把秘密共享技术应用于数字签名方案中就形成了门限签名。门限签名是一种 “面向群体”的签名方式，它主要应用于需要将签名权力以门限的方式分散在群 组的各参与者间的场合中。在一个( f ，2 ) 门限签名中，群组的签名密钥被n 个参与 者以门限方式共享，其中不少于t 个参与者能够合作代表这个群组签名，而少于t 个参与者则无法完成该群组的签名。一般地，我们不能简单地使用门限方案分割 密钥，用时再合成，这种做法显然是不可取的。例如，在r s a 门限签名方案中， 简单地将r s a 的私钥d 使用门限方案分割是不合适的。因为在一次秘密的恢复 过程中，个或，个以上的参与者通过出示各自的子秘密恢复密钥d 后，密钥d 已 经暴露了。 有效的门限签名方案应该做到：每个成员对消息使用自己的子密钥签名得到 部分签名，签名机构每次使用t 个部分签名可获得整个签名，而已知任何少于，个 的部分签名均不能获得整个签名的任何信息。并且己知部分签名不能获得密钥和 子密钥的任何信息。 门限签名最初由d e s m e d t 等人f 2 】引进。随着电子商务和电子政务的发展，越 来越多的新应用被提了出来，由此出现了门限签名的许多变体，包括：门限代理 签名、门限盲签名、门限多签名、门限群签名以及门限环签名等等。这些方案在 门限签名的基础上，增加了一些新的属性，例如门限多签名方案中使用了多重签 名的思想保证可跟踪性。这些新类型的门限签名适用于一些特别的应用，例如门 1 0 第二章相关理论与技术 限盲签名可用于不记名投票系统。当前对门限签名的研究大都集中于门限代理签 名和门限群签名。 2 4 2 门限群签名方案 1 9 9 1 年，c h a u m 和h e y s t 首次提出群签名方案。群签名方案允许组中合法 参与者以组的名义签名，具有签名者匿名、只有权威才能辨认签名者等多种特点， 在实际中有非常广泛的应用【1 7 1 。 一般的群签名方案由群成员( 签名者) 、消息接收者( 签名验证者) 和权威 或群管理中心组成，具有以下特点： ( 1 ) 只有群中合法参与者才能为消息签名，签名即为群签名； ( 2 ) 消息接收者可以验证群签名的有效性，但不能辨别签名者，即签名者 匿名： ( 3 ) 一旦发生争论，从消息的群签名权威或组中心可以辨别签名者。 自从第一个群签名方案被提出来以后，经过l o 几年的发展，相关学者给出 了比较完善的群签名的定义、安全性及效率要求。 一个群签名方案通常包含以下几个过程： c ，4 选择系统参数，产生相关密钥： 群成员公、私钥；群公、私钥 图2 - 2 群签名方案执行过程 名 名 触蝴o凇勰几u黻衄 第二章相关理论与技术 ( 1 ) 密钥产生：产生群成员公钥和私钥，并使群管理者得到一个用来打开 群成员身份的私钥； ( 2 ) 群签名过程：群成员u 利用自己的私钥对消息m 进行签名，签名即为 群签名： ( 3 ) 群签名验证过程：签名验证者用群公钥对群签名消息进行验证，判断 签名的有效性。 在实际应用过程中，群中的成员可能发生变更，如某个新成员的加入，或者 某个已有成员的退出。因此，可以在上面的定义中加入成员加入和撤销过程。另 外，在发生纠纷时，还需要加入群签名的打开过程，即群管理者通过自己的私钥 确定某个群签名的签名者身份。 一个方案要在实际中得到应用就必须保证它是安全的，一个好的群签名方案 应该满足以下的安全性要求： ( 1 ) 匿名性：只有群管理者可以确定签名者的身份，其他任何人都无法得 到签名者的身份信息； ( 2 ) 不可伪造性：只有合法的群成员才能代表群体产生有效的群签名； ( 3 ) 可追查性：群管理者在必要的情况下可以通过打开一个签名来确定出 签名者的身份，而且签名者不能阻止一个合法签名的打开； ( 4 ) 正确性：验证者能鉴别一个群签名的有效性： ( 5 ) 抵抗联合攻击：即使几个群成员串通在一起也不能产生一个合法的不 能被追查的群签名。 另外，从实用的角度考虑，我们希望一个群签名方案有较高的效率。它主要 依赖于以下几个参数：( 1 ) 群公钥的大小；( 2 ) 群签名的长度；( 3 ) 群签名和验 证过程的效率：( 4 ) 初始化、加入、撤消以及打开过程的效率。 在群签名方案中，防止联合攻击和群成员撤销是两个非常重要的问题。在现 实应用中，群组成员总是动态的，实现高效的群成员撤销是一个关键问题。文献 1 2 第二章相关理论与技术 【1 8 】提出了一个基于中国剩余定理的群签名方案，该方案可以实现简单快速的群 成员的加入与撤销，但该方案无法抵御联合攻击，且群中心可以冒充群成员生成 合法群签名；文献 1 9 】针对该问题利用s c h n o r r 方案提出了新的解决办法。 门限群签名是群签名的推广，即只有一组成员( 如f 1 限值，个) 联合才能代 表群组签名，且签名成员的身份可查。这种签名技术结合了群签名和门限特性， 签名的权力由多个成员掌握，具有门限签名的特点，但不能将门限签名和门限群 签名等同起来。一般来说，门限群签名应具备以下性质【2 0 】： ( 1 ) 正确性：所有诚实的授权子集产生的签名必须能够通过验证； ( 2 ) 不可伪造性：只有群体中的合法成员才可以生成有效的部分签名； ( 3 ) 门限特性：只有当签名人数不小于门限值时，才可以生成有效的门限 群签名； ( 4 ) 匿名性：签名的验证者不知道该签名是群体中哪些成员签署的； ( 5 ) 不可链接性：只能群管理员才能判断两个门限群签名是否由相同的授 权组所签； ( 6 ) 抗陷害性：任何小组不能假冒其他小组生成门限群签名； ( 7 ) 可跟踪性：发生纠纷时可以追查出签名组成员的真实身份： ( 8 ) 抗联合攻击：任何小组不能产生不可跟踪的有效门限群签名。 文献 7 】给出了一种基于离散对数的门限群签名方案( 以下简称w l c 方案) ， 但w l c 方案存在一定的缺陷，王贵林、卿斯汉在文献 2 l 】中对w l c 方案进行 了分析，指出在w l c 方案中，门限个成员合谋可以获取大部分系统参数，从而 可伪造有效的群签名。针对文献 2 l 】所描述的攻击，王斌等人【2 2 1 对w l c 方案进 行了改进，采用多重签名和批验证的方法有效防止了合谋攻击。 2 4 3 门限盲签名方案 盲签名是由d a v i dc h a u m 于1 9 8 2 年提出的。盲签名是指消息发送者先将消 第二章相关理论与技术 息进行盲化，签名者对盲化后的消息进行签名，所得签名即为盲签名，最后消息 接收者对盲签名除去盲因子，得到关于原消息的签名。利用盲签名的盲性，可以 隐藏所签署消息的具体内容，从而保护用户的隐私权，所以在电子商务和电子选 举等领域有着广泛的应用。 盲签名是一种特殊的数字签名技术，签名者无法获得消息的具体内容。一个 盲签名方案包括签名者和签名接收者两个实体，它允许签名接收者让签名者对给 定的消息进行签名，但不泄露关于消息和消息签名的任何信息。其过程可描述如 下： 设u 为签名接收者，s 为签名者。 盲化 签名 o 去盲 u 将消息m 乘一个随机数k 得m ， k 通常称为盲因子，m 为盲化消息 图2 - 3 盲签名过程 一个安全的盲签名应该具有以下的性质： l 、不可伪造性。任何人都不能以他人的名义生成有效的盲签名。这是一 条最基本的性质。 2 、不可否认性。对签署过的某个消息，签名者无法否认。 3 、盲性。签名者只对某个盲化的消息进行签名，因此不能得到消息的具 体内容。 1 4 第二章相关理论与技术 4 、不可跟踪性。消息的签名公开后，签名者自己也不能确定是何时签署 了这条消息。 满足上面几条性质的盲签名，被认为是安全的。设计满足上述性质的盲签名 是设计者所追求的目标，同时，这四条性质也被作为判断盲签名性能优劣的根据。 另外，在设计盲签名时，还要考虑可操作性和实现的效率。 在盲签名方案中引入门限特性可实现门限盲签名，第一个门限盲签名方案由 j u a n g 等人提出，此后几年，关于门限盲签名的方案不断涌现，但这些已有的门 限盲签名方案大多数都是基于离散对数问题的【2 3 】，自从双线性对被引入数字签 名后，v o t 2 4 1 等人提出了基于双线性的门限盲签名方案，随后，陆洪文等人 2 5 - 2 6 1 陆续提出了基于双线性对的门限盲签名方案。然而，已有的门限盲签名方案大多 基于传统的p k i 架构，其过程繁琐，维护成本较高。而在基于身份的密码系统 中，用户的公钥可以利用自身的身份进行计算，使用方便。文献【2 7 1 最早利用 双线性对提出了基于身份的门限盲签名方案，但其运算过程较为复杂，随后，文 献【2 8 】提出了一种操作简单、易于实现的基于身份的门限盲签名方案。 2 5 秘密共享 在现实生活中，我们经常需要保存一些秘密信息，但如果把秘密信息存放在 一个地方的话，安全性得不到保证，我们可以用秘密分存思想来解决这类问题。 即将秘密分割成若干份子秘密，各子秘密单独存放，这样做的目的是防止秘密过 于集中，且可以用来防止秘密丢失、被破坏或被篡改所带来的严重危害，这种做 法也经常被用来进行密钥管理。自从b l a k l e y 和s h a m i r 与1 9 7 9 年分别提出这种 思想以来，秘密共享的理论和技术达到了空前的发展和应用，特别是其应用至今 仍受到人们的关注。 一 秘密共享是在玎个参与者之间共享秘密s 的方法。( ，n ) 门限秘密共享技术是 门限密码的基础，指将一个秘密信息s 利用密码技术分拆成n 份，每一份称为该 秘密s 的子秘密t ，由聆个成员p l , p ：，p 。分别拥有，只有t 个合法成员的子秘 密才可以恢复该秘密信息，其中任何一个或m ( m ，) 个成员合作都不知道该 第二章相关理论与技术 秘密信息。利用秘密共享技术可以控制任何需要多个人共同控制的秘密信息、命 令等。例如，一个国家的核发射命令只有国家元首、国防部长、军队司令等人都 同意时才能发射：银行金库有两个以上的管理人员管理钥匙等。 s h a m i r 的秘密共享方案简单、实用，得到了广泛的应用。它属于o ，以) 门限 秘密共享方案，通过构造一个卜1 次多项式，并将所要共享的秘密作为这个多项 式的常数项，将秘密分成n 个部分分别分给n 个参与者，当t 个或f 个以上的参与 者联合时，利用l a g r a n g e 插值公式可以恢复出所共享的秘密s ，但少于，个参与 者联合不能得到关于共享秘密的任何信息。 s h a m i r 提出的门限秘密共享方案是建立在有限域呱上的，当q 取适当大的 素数幂时，该方案具有良好的特性泅1 ： ( 1 ) 每个子秘密的大小与原秘密大致相同，没有数据扩展； ( 2 ) 对固定的秘密s ，可动态地增加或删除子秘密，而无需改变现有的子 秘密； ( 3 ) 已知f 个或，个以上子秘密时，恢复秘密s 是十分容易的。 其构造方法如下： 2 5 1 系统初始化 1 秘密分发者d 选择w 个不同的非零元素t g f ( p ) ，l f w ( 其中p 为素 数，满足p w + 1 ) ，将t 分配给参与者p ，1 i w ，且的值是公开的。 2 5 2 子密钥分发阶段 2 如果d 想在w 个参与者异，最，只中共享密钥k g f ( p ) ，则d 独立随 机地选择g f ( p ) 中的，一1 个元素口l ，口2 ，a f - l 。 1 6 第二章相关理论与技术 t - i 3 d 构造卜- 1 次多项式为a ( x ) = k + a x 7 ，计算y ，= 口( 一) ，l f w ，并将 y ，分配给参与者只作为他的子密钥。 2 5 3 秘密恢复阶段 w 个参与者中的任意f 个参与者( 如只，最，只) 联合，可以重构多项式口( x ) 和共享密钥k ： m ，2 鼽j = t ；职，嚣， l ，s f ，j ，“，一“j肛嘉儿；恩再- - x i i，= lk ，g ，j t ，“ 一“f s h a m i r 门限秘密共享方案是完善的秘密共享，但仍然存在两个问题【3 0 】： 一是秘密分发者的诚实问题，若秘密分发者故意将错误的子秘密分发给某个 合法成员，该成员如何验证其正确性； 二是成员的诚实性问题，若在重构秘密信息时，某些恶意成员提供假的子密 钥，其他成员能否鉴别。 对以上两个问题的研究，导致出现了可验证秘密共享( v e r i f i a b l es e c r e t s h a r i n g ，v s s ) 方案。v s s 允许群成员在无需重构秘密的情况下验证子密钥的正 确性。f e l d m a n 于1 9 8 7 年提出了第一个可验证秘密共享方案，在该方案中诚实 的参与者可以通过确定子秘密的正确性来保证所恢复秘密信息的正确性。另一个 v s s 方案的特征是：在一个秘密共享方案中，所有人都可以验证子秘密的正确性， 我们称这样的方案为可公开验证的秘密共享方案( p v s s ) 。这就解决了分发者的 诚实问题。 鉴于秘密共享的特性，任何需要多方共享分存的秘密都适合采用该技术，如 密钥的分散管理、数据安全等，同时它与数字签名、身份认证等技术结合可产生 新的应用领域。 1 7 第二章相关理论与技术 2 6 基于身份的公钥密码体制 在传统的公钥基础设施p k i 中，采用数字证书来管理公钥，通过可信的第 三方机构把用户的公钥和用户的其他身份信息捆绑起来，实现公钥的认证。然而， p k i 在实践中面临可扩展性和证书的管理等问题。为了解决这些问题，s h a m i r 于1 9 8 4 年提出了基于身份密码体制的概念，即采用用户的公开身份信息或者身 份信息的演化作为其公钥，无需公钥存贮介质，这有利于减轻维护用户公钥带来 的系统开销。目前，使用双线性对技术来构造基于身份的公钥密码体制是一个研 究热点。 令g l 、g 2 是阶为q ( q 是大素数) 的两个群。双线性对是指满足下列性质 的一个映射e ：g i xg lj g 2 。 ( 1 ) 双线性：对所有的尸、q g l ，口，b z 。，有p ( 尸。，q 6 ) = e ( p ，q ) 曲： ( 2 ) 非退化性：存在p 、o g l ，使得e ( p ，q ) 1 。 ( 3 ) 可计算性：对所有的尸、q g 。，存在有效的算法计算e ( p ，q ) l 。 使用双线性对构造的基于身份的公钥密码体制，其参与者包含私钥生成中心 p k g 和一组用户。主要步骤包括系统参数建立和用户私钥产生，过程描述如下： 设( g ，+ ) 和( g ：，) 为q 阶循环群，p 为g 的生成元。定义其上的双线性对为 e ：g l xg i 专g 2 ；h l 和h 2 是两个h a s h 函数，其中h i ： o ，l + xg l 寸g l ， h 2 ： o ，l xg i z ：。 ( 1 ) 系统参数建立：p k g 选择s 尺z ：，计算= s p ，将s 秘密保存，公 开系统参数：p a r a m s = g l ，g 2 ，e ，q ，p ，q ，2 。 ( 2 ) 用户私钥产生：用