（信号与信息处理专业论文）盲签名设计及其在电子商务中的应用.pdf

摘要 网络安全的实质是信息安全，信息安全的核心技术之一是密码技术。现代密码技术 是解决信息安全问题的最有效的方法，引起了专家学者的广泛关注和研究。密码学中的 一个重要内容便是数字签名，基于不同的分类标准，可以划分为不同的类型。比如依据 数字签名所基于的数学难题，就可分为基于素因子分解的签名方案、基于离散对数问题 的方案和基于二次剩余问题的签名方案等。 本文简要介绍了盲签名的发展史，盲签名的形式化的定义、性质、特点等；将经典 的d s a 签名方案做了两种改进：第一种方案保持了原方案弱盲签名的性质，即不满足 不可追踪性，但有效降低了运算量；第二种方案将原方案的弱盲签名性改进为强盲签名 性，即满足不可追踪性，这样为其在电子商务中的应用奠定了基础，但运算量略有增加。 最后一章，将改进后的签名方案在电子货币、电子投票方面做了应用，在电子货币 方面给出了具体的协议内容，包括在线和离线电子货币模型，智能卡支持的电子货币模 型等，与实际情况较为接近，可操作性强；基于盲签名的电子投票研究还处于起步阶段， 尚不成熟，本文只给出了电子投票的数学模型，还有待进一步的完善和研究。 关键词：数字签名，d s a 签名改进方案，不可追踪，强盲签名，电子货币，电子投票 a b s t r a c t t h ee s s e n c eo fi n f o r m a t i o ns e c u r i t yi si n t e m e ts e c u r i t ya n dc o d i n gt e c h n i q u ei so n eo f t h ek e yt e c h n i q u e sa b o u ti n f o r m a t i o ns e c u r i t y c o d i n gt e c h n i q u ei st h em o s te f f e c t i v ew a yt o r e s o l v et h ei n f o r m a t i o ns e c u r i t yp r o b l e m ，w h i c hi sc o n c e m e da n ds t u d i e dw i d e l vb vt h e e x p e l s d i g i t a ls i g n a t u r ei ss i g n i f i c a n tc o n t e n to fc o d i n g ，w h i c hc a nb ec l a s s i f i e d i n t o d i f f e r e n tk i n d sa c c o r d i n gt od i f f e r e n ts t a n d a r d s f o re x a m p l e ，a c c o r d i n gt ot h ed i f f i c u l ti s s u e s w h i c hd i g i t a ls i g n a t u r ea r eb a s e do n ，d i g i t a ls i g n a t u r ec a nb ec l a s s i f i e dt ot h eo n e b a s e do n p r i m ef a c t o rd e c o m p o s i t i o n ，t h eo n eb a s e do nd i s c r e t el o g a r i t h ma n dt h eo n eb a s e do n q u a d r a t i cr e s i d u e i ti s b r i e f l yi n t r o d u c e dt h a tt h ed e v e l o p m e n th i s t o r yo fb l i n ds i g n a t u r ea sw e l la si t s d e f i n i t i o na n dc h a r a c t e r si nt h ep a p e r t w oi m p r o v e ds c h e m e sb a s e do nd s a s i g n a t u r ea r e d e s c r i b e d ：o n es c h e m ek e e p st h ec h a r a c t e ro fw e a kb l i n ds i g n a t u r e ，w h i c hm e a n st h a ti tc a n b et r a c e d ，w h i l et h ec a l c u l a t i n ga m o u n ti sd e c r e a s e d ；t h eo t h e ro n em e e t st h ec h a r a c t e ro f s t r o n gb l i n ds i g n a t u r e ，w h i c hm e a n si tc a nn o tb et r a c e da n dl a y sas o l i df o u n d a t i o nf o rt h e a p p l i c a t i o ni ne l e c t r o n i cb u s i n e s s ，b u tt h ec m c u l a t i n ga m o u n ti si n c r e a s e dt os o m ee x t e n t i nt h el a s tc h a p t e r ，t h ei m p r o v e ds i g n a t u r es c h e m ei sa p p l i e dt oe l e c t r o n i cc u r r e n c ya n d e l e c t r o n i cv o t i n g a se l e c t r o n i c c u r r e n c y , s p e c i f i ca g r e e m e n t sa r ed e m o n s t r a t e d w h i c h i n c l u d e st h eo n l i n em o d e l ，o f f - l i n em o d e la n dt h em o d e lb a s e do ni n t e l l i g e n tc a r de t c ，a n d t h e ya r ec l o s et ot h ef a c ta n dc o n v e n i e n tt oi m p l e m e n t h o w e v e r ，t h es t u d ya b o u te l e c t r o n i c v o t i n gb e g a ns o o n e r ，w h i c hi sn o tm a t u r ee n o u g h t h em a t h e m a t i cm o d e lo fe l e c t r o n i c v o t i n gi sg i v e ni nt h i sp a p e r ，a n di td e s e r v e sf u r t h e rs t u d ya n di m p r o v e m e n t k e yw o r d ：d i g i t a ls i g n a t u r e ，i m p r o v e ds c h e m eb a s e do nd s a ，u n t r a c e a b l e ，s t r o n g b l i n ds i g n a t u r e ，e l e c t r o n i cc u r r e n c y ，e l e c t r o n i cv o t i n g 长安大学硕：仁学位论文 1 1研究背景及目的 第一章绪论 随着电子技术和通信技术的迅猛发展，人类社会进入了高度信息化的时代，计算机 网络为信息化的现代社会提供了坚实的基础，然而保障信息传输的安全性和保密性是计 算机网络的一个重要责任，因此，如何在传输信息的过程中保障信息的安全和实现信息 保密成为了计算机网络领域备受关注的话题。媒体曝光的有关资料被窃取或丢失的事件 引起了人们的强烈反响，网络安全问题给一些部门和个人带来了极大的损失和伤害，它 甚至会威胁到国家机密的安全。因此，网络安全问题亟待改善。网络安全的本质就是保 障信息安全，密码技术是保障信息安全的关键技术之一。所以，对密码学的研究是当今 世界的一个热点。 1 1 1 信息安全的重要性 随着计算机网络技术的快速发展，互联网已经覆盖了大部分的地区，人们的日常生 活和互联网的关系越来越密切，如今比较流行的网络电视、网络购物已经开始渗透到人 们的生活中了，还有给人们带来很大方便的电子商务，银行自助服务等。这些为整个社 会的经济发展提供了坚实的技术条件，可见，网络技术和其他信息技术将会对整个社会 产生重大的影响。有人还将因特网看作信息时代发展的标志，并指出因特网不仅给人们 的生活带来了很大的方便，更重要的是他改变了传统产业的发展方向和运行模式。在信 息技术的应用过程中，信息是不可或缺的重要资源，因特网为信息的传播和获取提供了 一种全新的途径，它让整个世界变成了“地球村”，使得我们摆脱了时间和地点的限制， 能够随时与世界范围内的个人或组织进行交流。通过因特网我们可以及时地看到全世界 的新闻和所发生的变化。 根据哲学的基本原理，世界上的事物都是一分为二的，网络也毫不例外。网络在给 人们带来方便和利益的同时也可能会给人们带来了巨大的经济损失。如今黑客遍布计算 机网络，他们处心积虑地利用网络系统的缺陷，对业务系统和数据库进行攻击，这给社 会带来了巨大的损失和麻烦。计算机病毒对系统的攻击、机密信息被窃取、非法链接和 垃圾邮件泛滥、不良信息的传播给青少年的成长带来的负面影响、计算机犯罪层出不 穷这些都严重影响到了国家的政治、军事、经济等各个方面的信息安全，总之，要 保证国家的利益和人们生活的秩序，网络信息安全问题的改善已迫在眉睫。如果不加强 第一章绪论 对网络信息安全的保障，不能有效地解决信息安全问题，信息化将难以得到可持续、健 康长足的发展，与之相关的经济安全、政治安全将难以得到可靠的强有力的保障。 那么什么是信息安全呢【l 】? 从对安全需求的角度出发，信息安全包括完整性、机密 性、可用可控性和不可抵赖性这五个基本要素，对它们的主要特征总结如下： ( 1 ) 完整性：完整性是指网络信息未经授权的情况下不能被修改，即信息在传输 或存储的过程中，不能被蓄意地做出伪造、删除、插入、篡改、重排等破坏性行为和丢 失信息。简而言之，完整性要求网络信息保持信息的原貌不变； ( 2 ) 机密性：机密性是指网络信息只有授权用户才有使用权，不能将它泄露给没 有被授权的用户和实体，更不能被非法利用。保障信息的机密性采用的技术手段主要包 括加密传输、数据的保密储存等； ( 3 ) 可用性：可用性指信息和服务能被已授权用户使用的性质； ( 4 ) 可控性：可控性就是指能够控制网络信息的信息传输过程、信息流流向及信 息内容等。例如，系统资源的访问是可控的，网络用户的身份可以进行验证，用户活动 记录是可以审查的； ( 5 ) 不可抵赖性：也称作不可否认性，它是指网络用户不能否认自己已完成的操 作和已经做出的承诺，具体包含信息发送方不能否认已经发送过的信息，信息接收方同 样不能否认已经接收的信息。 简单的说，信息安全指通过计算机技术、网络技术、密码技术和网络安全技术等保 护网络信息在传输、交换和存储过程中的机密性、完整性、可用性、可控性和不可抵赖 性等。 1 1 2 密码理论在信息安全中的重要作用 信息安全是- - f - j 涉及网络通信技术、计算机技术、应用数学、密码学、法律和管理 等学科知识的综合性学科。密码理论在信息安全中占据着特别重要的位置，它是信息安 全的内核和基础，甚至可以毫不夸张的说，离开了密码学，信息安全无从谈起，由此可 见密码学在信息安全领域的举足轻重突出地位和作用。 密码学主要包括密码编码学和密码分析学两大分支。密码编码学是通过对信息进行 编码从而实现信息隐藏的- - f - i 学科，主要包括信息认证及保密的技术和方法。密码分析 学主要是研究如何破译密码，它的主要宗旨是研究消息的伪造机理和密文的破译。 长安大学硕士学位论文 1 1 3 数字签名技术在网络通信中的作用 一般的书信或重要文件( 如签订合同、支票转移、遗嘱、夫妻财产公正等) 的真实 性是通过检测其亲笔签名或者印章来验证。而其他比较重要的证件，诸如身份证、护照、 学位证和相关行业技术证书等都是由相关主管部门颁发，这些部门通常使用的防伪策略 总的来说有两种，分别是：特殊技艺、材料制作证件和特意隐藏部分识别信息。 在w e b 环境里，海量的数据信息需要进行下载、存储以及进行数据的传输。基于这 种环境，一些电子数据的接收方可以通过相关的技术手段生成一份虚假的报文，并对需 要进行数据欺骗的特定对象声明数据来源于发送方，进而从中牟取非法利益。如：张 由银行通过i n t e m e t 给相关的客户发送一张电子支票，该客户就可以利用特定的技术手 段修改该支票的实际金额，以达到牟取非法利益的目的。相对的，数据信息的发出方也 能通过类似技术手段，修改电子数据，达到获取非法利益的目的。通过上述描述，可以 得出通信时容易发生数据安全问题的几个重要方面： ( 1 )拒绝承认是指数据发送方否认发送过的报文； ( 2 )虚假伪造是指数据接收方制造一份虚假报文，并指明从发送方处获得； ( 3 )假冒顶替是指i n t e m e t 上的某用户冒充实际的报文接收方或者发送方； ( 4 )恶意修改是指对收到的数据进行非正规修改，以达到非法获利的目的。 因而针对上述事实，一种新型的数据信息保密手段用来保障数据的真实有效性就显 得尤为重要，特别在是当今网络普及程度愈加深入的情况下。目前被重点使用的技术就。 是数字签名。 在经典的商业模式里，契约性的各方具体责任是由书面的亲笔签名和印章来规定 的，签名和印章都能够认证、核准和生效相关文件。类似的，在电子商务领域里，数字 签名则是用来验证传递数据有效性凭证。对数据进行加密是保护重要数据的通常做法， 而这种做法也存在着局限性：只能做到保障第三方获得数据信息的真实性，而不能杜绝 作为通信的主客体之间的数据欺骗，而运用数字签名技术技能有效解决单单对数据加密 所产生的信息安全漏洞，它能有效解决否认、假冒、伪造及恶意修改等问题。利用数字 签名技术就能在根本上杜绝上述问题：使得通信结束后，信息发送方无法否认其发送过 报文的既定事实，同时信息的接收方可以对所得到的报文进行确认核实；报文的接收方 也无法对真实的数据进行刻意的伪造；接收方亦不能对收到的报文进行任意的修改；而 报文的实际拥有者也不会被其他不法分子假冒顶替。 盲签名是是数字签名技术的一种，只是在特定情形上会加以使用：签名者对需要进 第一章绪论 行签名文件所涉及的具体内容并不关心，而只是去履行签名这个特定程序，以达到文件 签名生效的目的。以一个实际生活中的具体事例来说：某人需要律师帮他( 她) 签署一份 遗嘱，而律师也并不去看遗嘱的具体内容，这样对遗嘱进行签名就能使其在法律上具有 一定效力，除此之外，该技术还广泛运用在有匿名性的数据需求的重要场合。通常，利 用数字签名就能达到消息认证和消息识别检测的目的，但是在某些情形下，仅仅数字签 名本身无法满足需求，如：在电子选举中，信息保障的要求既需要满足消息的真实可靠 性又需要保证其匿名性。此类情况下，信息的匿名性是通过盲签名协议的盲变换实现的。 在匿名性的实际应用这一问题上，目前是通过盲签名和匿名证书这两种具体技术手段实 现的，而其中匿名证书在应用上有诸多不便，因而实际上只有盲签名技术才真正被应用。 在现实生活中，盲签名在电子选举、数字货币等方面发挥着重大作用。 1 2 盲签名的研究现状及应用 1 9 8 2 年，c h a u m 首次提出了盲签名的概念，盲签名是数字签名技术的一种特殊情 况，它和其他技术的区别在于，盲签名技术的签名者只负责对文件进行签名，而对文件 的其他方面包括具体内容并不关注。基于盲签名的这个技术特点，它在诸多领域获得了 广泛应用，获得了极大的成功。一个盲签名方案不仅能保留有数字签名的各类特性，而 且还具备一些特殊的性质。 ( 1 ) 盲性是指消息的具体内容对于签名者是“不可知的”，即：签名者看不到消 息的具体内容。进而，签名者也无法将自己的签名和被签名的信息一一对应起来。 ( 2 ) 不可追踪性签名者仅仅知道s i g n ( m ) ，m 是指已经被盲化后的消息，因而 不知道s i g n ( m ) ，就意味着签名者就算记录下签名s i g n ( m 7 ) 及其他相关的信息，也不能从 中得出s i g n ( m ) 和s i g n ( m ) 之间的实际联系，因而也就不能对消息所的拥有者进行追踪。 盲签名技术的历史发展为两个阶段，第一阶段，从1 9 8 2 年d c h a u m 在c r y p t o 8 2 上首次提出r s a 盲签名方案【2 1 至9 0 年代初。该阶段，相关学者基于现有的签名协议提 出各自的盲签名协议：o k a m a t o 提出了基于s c h o n o r 签名协议的盲签名【3 】，c a m e n i s c h 等提出了基于d s a 和n y b e r g r u e p p e l 盲签名协议【4 】；第二阶段是从9 0 年代中期至今， 相关学者主要进行以下两个方面的具体工作：第一，研究在各种特殊场合下的盲签名协 议。如b r a n d 提出的受限制的盲签名及其设计的电子货币方案【5 1 ，s t a d l e r 等提出的公平 盲签名方案【6 i ，f a n 等提出的基于二次剩余问题的部分盲方案【7 i ，1 9 9 8 年，f a n 等提出一 4 长安大学硕士学位论文 个部分盲签名方案，此方案能有效减少电子现金系统的计算量和数据库大小。同年，f a n 等又提出一个盲签名方案旨在加强其方案的计算效率。2 0 0 0 年，姚亦峰等提出了运用 二元仿射变换，在h a m 和x u 提出的十八种安全广义e i g a m a l 型数字签名方案的基础 上，构造出相应的十八种盲签名方案，进一步分析并得出其中十二种是强盲签名的方案。 第二，研究盲签名协议与其他密码协议或方法的混合。具体是将盲签名方案与其他方案 进行结合使用，具体包括可证明安全性的引入，椭圆曲线算法的引入，基于身份体系的 引入，椭圆曲线算法的引入，群签名与盲签名结合的群盲签名，代理签名与盲签名结合 的代理盲签名等。 盲签名技术虽然拥有诸多技术优势，但随着时代的发展，相关技术不断更新换代。 盲签名协议也存在了诸多实际问题，主要表现在： 1 如何对已有的盲签名协议以及电子选举，电子货币等协议的安全性进行分析和评 估；如何引入形式化的方法证明盲签名协议安全性。 2 如何使得盲签名协议及算法在利用上更加简单高效；如何去设计符合通信量低， 效率高等实际要求的应用协议。 3 如何使盲签名与其他签名方式结合的更加紧密和有效，如群盲签名，基于身份的 盲签名，代理盲签名等协议。 4 如何在盲签名协议的基础上进行有效的匿名协议的设计实现，使之在应用上更加 广泛。 ； 本文的研究重点主是基于第一和第四这两个方面。对于安全性研究讨论，本文主要 用形式化的语言和数学模型来进行协议描述，而非具体介绍协议，这种方式也为分析协 议提供了一个有益的探索思路。 1 3 论文的组织和主要成果 第一章介绍了信息安全、数字签名、盲签名的由来和发展现状；第二章主要介绍 与盲签名相关的密码协议的数学和密码学基础知识，这在论文设计电子货币，电子版权 和电子选举协议设计中会利用到。第三章主要介绍已有的盲签名方案，第四章对d s a 签名方案做了两种改进，对不同方案的运算量、抗攻击性、实现成本等方面作比较。第 五章对新设计的方案加以应用，首先是在电子货币方面的应用，设计了几种电子货币方 案；然后提出了一个电子投票的数学模型；第六章对论文进行总结并得出结论，分析论 文的不足之处及需要进一步完成的工作。 5 第一章绪论 本章小结：随着电子技术和通信技术的迅猛发展，人类社会进入了高度信息化的时 代，但网络安全问题给一些部门和个人带来了极大的损失，甚至威胁到国家机密的安全。 网络安全的本质就是保障信息安全，密码技术是保障信息安全的关键技术之一。 信息安全是- f l 涉及网络通信技术、应用数学、法律和管理等学科知识的综合性学 科。密码学主要包括密码编码学和密码分析学两大分支。一种新型的数据信息保密手段 即数字签名技术在这种背景下应运而生。 盲签名是数字签名的一种，它和其他签名方式的区别在于，盲签名技术的签名者只 负责对文件进行签名，而对文件的其他方面包括具体内容并不关注。基于盲签名的这个 技术优点，它在诸多领域获得了广泛的应用。 6 长安大学硕七学位论文 第二章相关密码学基础知识 数字签名理论研究涉及到许多的数学理论，如数论、组合理论、线性代数、近世代 数等，都是数字签名理论必不可少的工具。其中数论是数字签名的理论基础之一，下面 我们简单对数论的发展史做一介绍。 数论是数学中历史最悠久，最纯粹的一个重要数学分支。1 9 世纪数学大师高斯就 曾说过：数学是科学的皇后，数论是数学的皇后。数论的核心任务就是研究整数的性质， 尤其是正整数。由于在这些整数的研究过程中，学者们通常会用到其它的数学分支的知 识和方法，因此就派生出了解析数论、概率数论、代数数论等分支学科。因为整数的性 质繁杂深刻，难以研究，所以数论一直以来被视为一门优美漂亮、纯粹的数学学科。美 国纽约大学著名数学家迪克森就有句名言，感谢神使得数论没有被任何应用所玷污。2 0 世纪世界级数学大师哈代也曾说过：数论是一门非常纯粹的数学学科。哈代本人也由于 主要进行数论的研究工作而深受后人的爱戴。 当然，上述两位大数学家所说的并非与当今的现实完全吻合。事实上，在计算机科 学与电子技术非常发达的今天，数论已经突破了纯粹的数学学科的局限，而衍变为一门 颇具应用性价值的学科，例如，数论已经涵盖物理、生物、通信等领域，尤其是在密码 学中有着普遍而深刻的应用。 众所周知，密码设计长时间以来一直是困扰军方的一个难题。要确保军方的密码不 被敌方破译，是一件不容易的事情。例如在二战期间，德军设计了一种性能优良的编制 密码的机器，被称为爱尼格玛机器。德军向部队发布的军令都是先通过爱尼格玛机器加 密，然后再向下级发布的。当时英军就想到，要击败德军，只有破译德军的密码，掌握 德军的军事动向和作战计划。因为这个小组的努力，尤其是图灵出色的工作，他们研究 出了破译该密码的一整套方法，从而提前知悉到德军的军事动向，取得了战斗的主动权， 为英美联军击败德国做出了重要的贡献。有人估算，如果没有图灵等人的研究和贡献， 第二次世界大战至少还要再延长l o 年，给全人类带来的灾难也难以估量。 与其他密码协议相同，本文也需要一些数学基础知识，本章主要阐述与盲签名相关 的一些数学知识及应用背景相关的一些密码协议。在2 1 中我们介绍群、环、域的相关 知识；在2 2 中我们介绍数字签名和h a s h 函数；在2 3 中我们介绍密码学中协议安全的 形式化分析。 7 第二章相关密码学基础知识 2 1 群、环、域相关知识介绍 2 1 1 基本概念以及基本定理 定义2 1 1素数：如果一个整数尸，除了被1 与它自身整除外，而无法被其他整数 整除，那么称该整数p 为素数( 也称为质数) 。 定义2 1 2 模运算：如果一个整数a ，一个正整数n ，a 除以n 的余数通过a ( m o d n ) 表示，则n 称为模。 相对于某个模n 的同余关系被称为一个等价关系，具有等价关系的三点基本性质如 下： ( 1 ) 自反性：相对于随便一个数，a 兰a ( m o d n ) ； ( 2 ) 对称性：如果a 基b ( m o d n ) ，则6 三a ( m o d n ) ； ( 3 ) 传递性：如果a 三b ( m o d n ) ，b 兰c ( m o d n ) ，则口三c ( m o d n ) 。 定义2 1 3 在模数为，2 的运算中，把一切余数一样的整数统称为剩余类，因此， 模疗的剩余类元素一共有 o ，1 ，2 ，n - 1 ) ，通过乙表示，称为完全剩余类。在模，z 的完 全同余类中，如果把一切与胛互素的同余类组成一个全新的集合，则此集合称为模胛的 既约剩余类，通过乏代表。 定义2 1 4 令o ( n ) 为小于n ，且与聆互素的所有整数的个数，即( 门) 表示模，2 既 约剩余类中所有元素的个数，称为欧拉函数。 定理2 1 1 欧拉定理： 若( 口，玎) = 1 ，则 a m ”= 1 m o d n ( 2 1 ) 2 1 2 群、域的定义以及相关定理 定义2 1 5设存在一个非空集合g ，在该非空集合上定义了一个二元运算符“ ， 有如下几个条件： ( 1 ) 结合律：对任何的a , b ，c g ，则有a b c = ( 口6 ) f = 口( 6 c ) 。 ( 2 ) 封闭性：对于任意的a ，b g ，则有a b g 。 ( 3 ) 单位元：存在一个元素j g ，称j 为单位元，如果对任意元素，则有 r 长安大学硕士学位论文 d 1 = 1 口= 口。 ( 4 ) 逆元：对任意a g ，对应存在一个元素a 。1 g ，称a 。1 为逆元，则有 a 口= a - i a = 1 。 把满足上述条件的集合g 称为群，记为 g ， 8 1 ( 5 ) 交换律：对任意如g ，有a 3 = b a 。 如果一个群g 满足交换律，则称g 为a b e l 群，即交换群。如果一个群g 的元素个 数是有限的，则称g 为有限群，否则称g 为无限群。有限群g 的阶等于g 中元素的个 数。 定义2 1 6 如果群g 中每一个元素都是某一元素口g 的幂，即口七g ( k 为整数) ， 则称该群是循环群。所有的循环群都是交换群，在循环群中，认为元素a 生成了群g ， 或认为a 是群g 的生成元。 群的性质： ( 1 ) 群g 中的单位元是唯一的； ( 2 ) 群g 中每一个元素的逆元是唯一的； ( 3 ) 对于任意口，b ，c g ，如果a b = a c ，则b = c ，同样6 a = c a ，则b = c 。 定义2 1 7 域是由一个非空集合f 组成，在f 中定义了二元运算符：“+ ( 加法) 和“ ( 乘法) ，并且满足如下几个条件： ( 1 ) f 是关于加法“+ 的一个交换群，其单位元为“0 ”，a 的逆元为a ； ( 2 ) f 是关于乘法“”的一个交换群，其单位元为“l ”，a 的逆元为口； ( 3 ) ( 无零因子) 对与任何a ，b f ，如果有a b = 0 ，则a = 0 ，或b = 0 ； ( 4 ) ( 分配律) 对与任何以，b ，c f ，有口( 6 + c ) = ( b + c ) a = a b + d c ； 满足这些条件的集合f 称为域，简记为 f ，+ ， 定义2 1 8 在域f 中，在f 中定义了二元运算符减法“ 为口- b = a + ( - b ) ，定 义二元运算符除法“ 为口b = a b 。 在域上进行加法、减法、乘法和除法运算，而运算的结果不会超出域的范围。如实 数集合、有理数集合、复数集合都是域，但是整数集合由于计算结果可能会超出整数范 第二章相关密码学基础知识 围，所以整数集合不是域。 如果f 中包含的元素个数有限，则称f 为有限域。有限域的阶等于有限域中元素的 个数。对于有限域的性质，有以下两个结论成立： 定理2 1 2 每个有限域，的阶必须等于素数的幂。 定理2 1 3 对于任意的素数p 和正整数n ，如果存在p ”的阶域，简记为g f ( p ”) 。 特别地，当n = l 时，有限域g f ( p “) 也称为素数域。 在密码学中，素数域g f ( p ) 或阶为2 ”的域g f ( 2 朋) 是最常见的域，简记为c 或 f1 9 1 i 埘o 2 2 h a s h 函数及数字签名 2 2 1h a s h 函数的定义 定义2 2 1单向函数是这样一个函数，它将定义域全部一一映射到一个值域，使 每个值域的值都有唯一的原像，并且满足如下几个条件： ( 1 ) 正向计算容易。所谓正向计算容易，是指给定x ，容易计算出y = f ( x ) 的值； ( 2 ) 反向计算是不容易的。所谓反向计算不容易，是指给定y ，通过x = 厂1 ( y ) 计算 x 是困难的( 所谓计算困难，是因为计算过程相当复杂，已没有实际意义) 。 定义2 2 2 单向陷门函数是指满足如下几个条件的函数五 ( 1 ) 正向计算容易。所谓正向计算容易，是指给定x ，毛，容易计算出y = f k , ( x ) 的 值； ( 2 ) 反向计算不可行。但是如果知道乞，给定y ，如，容易计算出x = 在1 ( y ) 的值； ( 3 ) 如果不知道如，则反向计算是不可行。即给定y ，不知道如，计算x 是不可行 的。称乞为陷门信息。 对定义2 。2 2 的一些说明： ( 1 ) 当用单向陷门函数作加密函数时，可将k t 公开，称k t 为公开密钥，函数厂 的陷门信息岛称为私有密钥，要保密，不公开。任何人都可以将信息x 加密成y = 五。( x ) ， 然后发送给接收者，由于接收者知道幻，因此可以解密出x - f i 1 ( y ) 的值。 1 n 篓窒奎堂堡主堂垡丝苎 ( 2 ) 假设窃听者获取用后，加密的密文y ，由上面的定义2 2 2 的性质( 3 ) ，他要破 解出信息x 是不可行的，其复杂的计算过程就使破解失去了现实意义。 2 2 2 构造密码系统的单向陷门函数 1 大整数分解 现在存在两个大素数p 和g ，求n = p q ，如果只需一次乘法，反之若已知n ，反向 求出p 和g ，则是几千年来数论学者们的攻克对象，当船很大时，则计算非常困难。到 现在为止，已知的各种大整数分解算法有：试除法、二次筛选法、数域筛选法。 2 离散对数 设p 是一个素数，已知g c ，求y = g 。m o d p ，则称该运算为在模运算意义下的 幂指数运算。反过来，若y = g 。m o d p 成立，即已知y 求x 的问题，则称该运算为在模 运算意义下的离散对数问题( d l p ) 。当前求解离散对数问题依然是困难的。 3 二次剩余问题 设玎为正整数，若整数a ，( a ，n ) = 1 ，如果满足x 2 = a m o d n ，则a 称为模胛的二次 剩余，否则a 为模n 的二次非剩余，用眠表示所有模门的二次剩余集合。给定奇合数 g 和整数a ，判定a 是否是模疗的二次剩余是困难的。 2 2 3 数字签名方案的定义 定义2 2 43 个集合：密钥集合k 、消息集合从签名集合s 和2 个算法，即验证 算法v e r 、签名算法s i g 组成的5 元组( m ，s ，k ，s i g ，v e r ) 称为一个数字签名方 案，k 是包括公开密钥和私有密钥在内的所有密钥的集合，并且要求满足如下几个条件： ( 1 ) 签名算法关于密钥集合k ，对应的签名算法是s i g k s i g ，s i g , ：m s ， 对于随意选择的消息m m ，有s = s i g k ( m ) ，那么s s 为消息聊的签名，将( m ，s ) 传递给签名验证者。 ( 2 ) 验证算法对于密钥集合k ，有签名验证算法 v e t ：m x s 专 t r u e ，f a l s e ft r u e ，y = s 蛾( x ) v e r k ( x , y ) = f 口l s e ，y s i gc l 砖 第二章相关密码学基础知识 签名接收者或验证者收到( m ，s ) 后，计算v e r k ( x ，y ) ，如果v e t k ( x ，y ) = t r u e ，那么 签名有效：反之，则签名无效。 2 2 4 数字签名的分类 ( 1 ) 基于签名人对消息是否可见的分类 基于此的分类，大致可分为盲签名方案和普通数字签名方案。盲签名方案表示签名 者对消息不可见，但事后可以证明消息的存在。进而根据签名者是否可以对消息拥有者 进行追踪盲签名方案又可分为强盲签名方案和弱盲签名方案。 ( 2 ) 基于数学难题的分类 由于数字签名所依据的数学难题不同，因此数字签名方案可分为基于素因子分解的 签名方案、基于离散对数问题的签名方案、基于椭圆曲线离散对数问题的签名方案、基 于离散对数和素因子分解的签名方案、基于二次剩余问题的签名方案等。 ( 3 ) 基于签名人是否受别人委托签名的分类 基于此的分类，可分为代理签名方案和普通数字签名方案。对于代理签名方案，若 授权对象不是一个人，而是多个人，则称为代理多重数字签名方案。 2 3 数字签名的安全性 密码学不断的向前发展，人们更喜欢使用安全协议来达到他们安全传输信息的目 的。但是后来人们发现，现有的安全协议并不如设计者当时设计安全协议时所预想的那 样安全，这些都是已经被验证了的，复杂多变的网络环境给攻击者提供了可乘之机，可 以通过安全协议自身的漏洞来进行各种各样的攻击，从而达到破坏网络安全的目的。基 于复杂网络环境的原因，人们日益重视安全协议的形式化分析方法，并且在数学上能形 式化证明的“安全 的协议更乐于被人们使用。 当前，主要有两类形式化的分析方法。第一类形式化的分析方法是建立在计算理论 的基础上，这类方法先提出一个假设，假设算法可以在多项式时间内完成，则该算法是 容易计算的，如果算法只有在指数级时间内才能够完成，则该算法是无法计算的。所谓 的容易计算，是在有意义的时间内计算出来，无法计算是指计算时间超出了现实意义。 然后再提出一些关于困难问题假设，如有限群上的离散对数问题，r s a 问题， d i 舔e h e l l m a n 问题等，通常是无法在多项式时间内完成这些问题的计算的。最后通过 归约的方法，再应用建立好的安全模型，把所设计的协议归结为某个已知的困难问题， 1 2 长安大学硕士学位论文 找到解决方案，从而达到证明的目的，这就是所谓的可证明安全。具体请参考文献【1 0 , 1 1 】。 另一大类的形式分析就是根据逻辑的理论。对于这类方法，首先设立一些基本的逻 辑推理规则，比如加密能达到何种目标，签名能达到何种目标，然后通过形式化的语言 刻画协议的初始条件和目标。根据逻辑推理规则，如果从初始条件可以推出目标，则认 为该协议是安全的，反之就认为是不安全的。这样的例子譬如k a i l a r 逻辑、b a n 逻辑、 c s 逻辑等。该类的另一种方法是形式化可能的对协议攻击方式，根据所有的攻击方式， 列举出所有一切可能的攻击，如果可以抵御攻击，则认为该协议是安全的，反之就认为 是不安全的。如f d r 工具、m u r 巾等，具体请参考文献【1 2 】。 一般情况下，人们主要通过第一类形式化的分析方法分析简单的、基础的协议，通 过第二类形式化的分析方法分析复杂的协议。而本文的分析方法主要是根据计算理论的 描述方式，同时辅以基于逻辑的描述方式。 2 3 1 数字签名安全性的证明方法 数字签名的安全性主要有以下三个证明方法【”i ： 1 利用相互转化证明 即使很多数字签名方案( 如e 1 g a m a l ) 的安全性目前尚未得到证明，但是由于长时 间以来并没有明显的案例透露说明这些方案是不安全的。所以一个符合逻辑、切实可行 的证明方法是将一些数字签名的安全性归结为这些公认安全的数字签名方案的安全性。 2 可证明安全性 根据计算复杂性理论，把数字签名的安全性归约为一些己知的难以解决的问题，例 如离散对数、大整数分解或者一般n p 完全问题。 3 基于随机问答器模型证明 数字签名方案通常使用h a s h 函数，使用h a s h 函数的目的就是签署许多长的消息时 只需通过一个简短签名，同时，h a s h 函数无碰撞的性质要满足。同理，提出更强的假 设对于给签名方案提供一个关于安全性的证明是非常必要的，因此，一些学者建议把 h a s h 函数当做随机函数，并且给出了称为“随机回答器模型”的数学模型。例如，著 名的s c h n n o r 签名方案便是通过这种方法被证明是安全的。 2 3 2 对数字签名方案的攻击 攻击者称他破译了用户a 的签名方案，如果他可以不可忽略的概率完成下面的操 作：( 通俗的说，相对于某个难题，如果存在一个多项式算法，即指在多项式时间内可 1 3 第二章相关密码学基础知识 解。不可忽略概率是指在多项式时间内能够完成某种操作的概率，这样的概率便是不可 忽略的，反之，就是可忽略的) ( 1 ) 完全攻破计算出a 的秘密陷门信息； ( 2 ) 一般伪造伪造出一个功能等价于a 的签名算法的有效签名算法( 即寻找到 也许不同的但等效的陷门信息) ： ( 3 ) 选择伪造对敌手优先选取的某个特殊消息伪造一个签名； ( 4 ) 存在伪造对至少一个消息伪造一个签名，敌方没有丝毫控制力作用于对他 获取的任何消息及签名。因此它可以是随机的或无意义的。所以，这种伪造对于用户a 而言仅仅是最小的知识泄露。 本章小结；数字签名理论涉及到许多的数学理论，如数论、组合理论、线性代数、 近世代数等，都是数字签名理论必不可少的工具。 数字签名理论与群、环、域等抽象代数的内容密切相关。群具备五个条件，结合律、 封闭性、单位元、逆元和交换律。而域则定义了加法和乘法两种运算，且满足无零因子 和分配律的性质，如果域中的元素个数为有限个，则称该域为有限域。 h a s h 函数由于具备正向计算容易，反向计算不容易的特点，在盲签名方案设计及 其应用中获得了广泛的应用。用来构造单向陷门函数的方法主要基于大整数分解问题、 离散对数问题和二次剩余问题。数字签名根据不同的分类标准可分分为不同的类型。 1 4 长安大学硕士学位论文 3 1 盲签名发展简介 第三章签名方案设计 盲签名是一种特殊的数字签名，盲签名和别的数字签名不一样的是签名方不知道自 己所签发的文件的具体内容。因此盲签名这种数字签名技术在电子选举和电子货币系统 等许多领域得到广泛的应用。在1 9 8 2 年c h a u m 首次提出了盲签名的概念，当时简单定 义的盲签名是先把需要隐蔽的文件用信封包装，如果一个文件仍然包含在信封中的时 候，所有人都不能阅读这个文件。自从c h a u m 提出基于r s a 的签名方案之后，密码学 术界的诸多专家陆续提出了其他的多种盲签名方案，比如：基于离散对数问题的方案、 基于二次剩余问题的方案、基于因子分解问题的方案等等。基于离散对数的方案的第一 次提出是在1 9 9 2 年由o k a m o t o 1 4 l 基于s c h n o r r 签名体制提出的。在1 9 9 4 年， c a m e n i s c h 1 5 】等人又设计了两个关于离散对数问题的盲签名方案。其中第一个方案是对 d s a 进行变形得到的，第二个方案是在n y b e r g r u p p e l 签名体制的基础上得到的。基于 “ 二次剩余方根的盲签名方案的首次出现是在1 9 9 6 年，提出这种方案的f a i l 【1 6 】等人在1 9 9 8 年又针对减小电子现金系统的数据大小和算法计算量这一目的提出了另外一种盲签名 方案。后来f a n 1 7 】等人又对这个盲签名方案的算法效率进行了增强。对于c h a u m 盲签 名方案中存在可能被攻击方计算出签名方的签名，从而对发送方的消息进行攻击的这一 缺点，f a n 隅l 等人特别对c h a u m 盲签名方案的随机性进行了增强。2 0 0 0 年，姚亦峰等 人参考h a m 和x u 的十八种安全广义e 1 g a m a l 型数字签名方案，利用二元仿射变换的 原理，设计出十八种盲签名方案，通过进一步分析最后消除冗余将方案简化到十二种。 2 0 0 1 年，c h e i n 1 9 】等为了避免电子现金系统中数据库比较大的问题和用户重复花费问题， 设计了一种新的盲签名方案，该方案是利用r s a 公钥密码系统生成的。 盲签名技术中还有一个研究方向，就是考虑将别的签名方法融合到盲签名方案中， 这样获得数字签名方案就具有一些特别的功能，具有代表性的是：代理盲签名、有向安 全盲签名方案、公平盲签名等。 当前，盲签名方案不胜枚举，但是由于其研究还不成熟，仍然没有一个成体系的分 类方法，祈明【2 0 】将盲签名分为盲消息签名、强盲签名和弱盲签名。仿照这一分类思路本 文对盲签名进行如下的分类： ( 1 ) 按照盲化对象分 1 5 第三章签名方案设计 首先考虑盲消息签名方案，这种签名方案只是对签名的消息m 进行盲化。在该方案 中，文件签名方在不知道具体信息m 的情况下，只是对盲消息m 进行了签名。在这类 签名方案中或者s i g n ( m ) 包含s i g n ( m ) 中的一部分数据，或者直接s i g n ( m ) = s i g n ( m ) 。但 是电子商务中的电子货币系统通常并不用盲消息签名方案构建。 签名被盲化的方案，其实这种方案属于盲参数签名，允许签名方知道所签名消息m 的真正内容，但是消息拥有方却将签名s i g n ( m ) 本身进行了盲化，也就是消息拥有方将 s i g n ( m 7 ) 改为新的签名s i g n ( m ) ，这种盲参数签名的方法对新签名的验证并没有影响。这 些特征决定了盲参数签名方案可以在电子商务系统c a 中心应用，主要负责将口令授予 给交易双方，而且，在代理签名机制中盲签名方案还可以构建代理签名人和原始签名人 之间的授权方程，因此可以在多层“机制中签发和验证证书。 ( 2 ) 按照消息拥有者是否可以跟踪签名人进行分类 第一种是弱盲签名，在这种签名方案中，消息拥有者盲化了签名s i g n ( m ) 和消息m 。 待s i g n ( m ) 公开时，如果签名方仍然保留有s i g n ( m 7 ) 和相关数据这些