（计算机应用技术专业论文）安全的无可信pkg的部分盲签名方案的研究与设计.pdf

硕f j 学位论文 摘要 在基于公钥基础设施p k i 的密码体制中，我们通过数字证书来建立用户的公 钥与其身份之间的关联。由于数字证书管理复杂系统开销大，故而s h a m i r 提出了 基于身份的密码体制( i b c ，i db a s e dc r y p t o s y s t e m ) ，在基于身份的系统中用户的 身份信息( 如姓名、学号、邮箱地址等) 可以作为其公钥，而系统用户的私钥则是 由一个称为私钥生成中心( p k g ，p r i v a t ek e yg e n e r a t o r ) 的系统可信成员计算得到。 由于系统内每个用户的私钥都是p k g 利用主密钥生成的，这样私钥生成中心便很 容易的知道了每个用户的私钥，导致了基于身份的密码系统所固有的密钥托管问 题。由于移动网络的快速发展，在许多特定的应用环境下( 比如a dh o c 网络) 一个 群组内并不存在一个可被所有成员均信任的中心，如果该中心被攻击者攻陷后会 给系统带来严重的后果，所以设计基于身份的高效、安全的无可信中心的i b c 方 案就显得很有吸引力。 盲签名不同于一般的数字签名，该签名技术具备如下特点：首先签名者并不 知道他所签发文件的具体内容；其次签名者也不可能将签名过程与最终所得的签 名对应起来。完全的盲签名技术使得签名者对自己签署过的消息一无所知，为保 护签名者的权益，于是提出了部分盲签名。部分盲签名可以将用户和签名者事先 协商好的公共信息嵌入到签名中。 本文的主要工作是对基于身份的无可信p k g 的签名体制及部分盲签名进行 了研究，所做的研究工作如下： 首先，设计了一个基于身份的无需可信任p k g 的签名方案，其安全性依赖于 g d h 群上的c d h p 问题。由于私钥生成中心( p k g ) 只能生成部分私钥，故其不能 够伪造合法用户的签名，从而解决了密钥托管问题。该方案能抵抗适应性选择消 息攻击和i d 攻击下的存在性伪造。 其次，在我们提出的无可信p k g 的签名基础上，结合部分盲签名机制，设计 了一个有效的基于身份的无可信私钥生成中一l , ( p k g ) 的部分盲签名方案。方案中 p k g 不能够伪造合法用户的签名，因为它只能生成一部分私钥。在随机预言模型 下，新方案能抵抗适应性选择消息攻击和身份攻击下的存在性伪造。 关键词：基于身份的签名；密钥托管；双线性对；部分盲签名 a b s t r a c t i nt r a d i t i o n a lc a - b a s e d c r y p t o s y s t e m s ，t h eb i n d i n gb e t w e e np u b l i ck e ya n d i d e n t i t yo ft h es i g n e ri so b t a i n e dv i aad i g i t a lc e r t i f i c a t e t os i m p l i f yt h ec e r t i f f c a t e m a n a g e m e n tp r o c e s s ，a ni d - b a s e d c r y p t o s y s t e m ( i b c ) b a s e d o n i n t e g e r f a c t o r i z a t i o np r o b l e mw a sp r o p o s e d b ys h a m i r ，w h i c ha l l o w sau s e rt ou s eh i s i d e n t i t ya st h ep u b l i ck e y b u tt h e r ea r es o m ed r a w b a c k si ni d b a s e ds y s t e m s t h e m o s tc r i t i c i s ma g a i n s ti d b a s e ds y s t e m si s t h a tp k gk n o w st h ep r i v a t ek e vo fa 1 1 u s e r s ，s oi t i sa b l et oi m p e r s o n a t e a n yu s e rt os i g nad o c u m e n to rd e c r y p ta n e n c r y p t e dm e s s a g e i ti m p l i e st h a tt h ep k gm u s tb e t r u s t e du n c o n d i t i o n a l l v o t h e r w i s et h es y s t e m sw i l ls o o nb ec o l l a p s e d h o w e v e r ，i tw o u l db e d i f f i c u i tt 0 a s s u m et h ee x i s t e n c eo fat r u s t e d p a r t yi na na dh o en e t w o r k ，w h e r et h e c o m m u n i c a t i o np a r t i e sa r ec h a n g i n gf r e q u e n t l y ab l i n ds i g n a t u r es c h e m ei sap r o t o c o lf o ro b t a i n i n gad i g i t a l s i g n a t u r ef r o ma s l g n e r ，b u tt h es i g n e rc a nn e i t h e rl e a r nt h em e s s a g e sh e s h es i g nn o rt h es i g n a t u r e s t h er e c i p i e n t so b t a i na f t e r w a r d s ap a r t i a l l y b l i n ds i g n a t u r ea l l o w sas i g n e rt 0 e x p l i c i t l ye m b e dap r e 。a g r e e dc o m m o ni n f o r m a t i o ni n t oab l i n ds i g n a t u r ew i t h o u tt h e l o s so fb l i n d n e s sp r o p e r t y t h em a i nw o r ki n t h i s p a p e ri st or e s e a r c ho nt h ei d b a s e ds i g n a t u r es c h e m e a b o v em e n t i o n e d t h em a i nr e s u l t sa r ea sf o l l o w s ： 1 w ec o n s t r u c ta ne f f i c i e n ti d - b a s e d s i g n a t u r es c h e m ew i t h o u tt r u s t e dp k g ， w h i c hs e c u r i t yr e l i e so nt h eh a r d n e s so ft h ec d h p i nt h i ss c h e m e ，p k g i sp r e v e n t e d f r o mf o r g i n gal e g a lu s e r ss i g n a t u r eb e c a u s ei to n l yg e n e r a t e st h e p a r t i a l l yp r i v a t e k e y - t h es c h e m ei sp r o v e dt ob es e c u r ea g a i n s te x i s t e n t i a lf o r g e r y0 na d a p t i v e l v c h o s e nm e s s a g ea n di da t t a c k ，a s s u m i n gc d h pi si n t r a c t a b l e 2 a ne f f i c i e n ti d b a s e dp a r t i a l l yb l i n ds i g n a t u r es c h e m ew i t h o u tt r u s t e dp k g w a s p r o p o s e d i nt h i ss c h e m e ，p k gw a sp r e v e n t e df r o mf o r g i n gal e g a lu s e r ，ss i g n a t u r e b e c a u s ei to n l yg e n e r a t e dp a r t i a lp r i v a t ek e y t h ep r o p o s e ds c h e m ew a s p r o v e dt ob e s e c u r ea g a i n s te x i s t e n t i a lf o r g e r yo na d a p t i v e l yc h o s e nm e s s a g ea n di da t t a c k t h e s e c u r i t yo fs c h e m er e l i e do nt h eh a r d n e s so ft h ec d h p k e yw o r d s ：i d _ b a s e ds i g n a t u r e ；k e y e s c r o w ；b i l i n e a r p a i r i n g ；p a r t i a l l yb l i n d s i g n a t u r e i l 硕 ：学位论文 插图索引 图1 1 盲签名协议过程2 图1 2 论文研究路线图5 图2 1 具有消息摘要的数字签名过程1 3 图2 2 基于身份的用户密钥生成过程1 5 图2 3 基于身份的签名系统1 5 图3 1 无可信p k g 的密码系统中用户私钥生成图2 1 图4 1c h o w 方案盲签名过程示意图3 0 图4 2 无可信p k g 部分盲签名过程示意图3 3 i 安伞的无可信p k g 的部分肓签名方案的研究与设计 量舅基! 量曼曼皇鼍i i 一一一i i i i i i i i ! 曼寡 附表索引 表3 1 基于l d 的无需可信p k g 签名方案执行效率比较2 5 表4 1 基于身份的盲签名方案的分类2 9 表4 2 无可信p k g 部分盲签名方案与c h o w 方案计算量比较3 7 i v 兰州理工大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均 已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名：互乡彳幸 日期：彩年节月侈日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同 时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据 库，并通过网络向社会公众提供信息服务。 作者签名：玛彳书 刷醴轹沾。消 日期：砀年月5 日 日期：矽年砂月5 日 硕 ：学位论文 1 1 盲签名概述 第1 章绪论 盲签名是一种特殊的数字签名。通常情况下，签名者必须知道他需要签署的 文件内容之后，他才会对该文件签名。有时文件的拥有者想让签名者对他所拥有 的文件签名，但是又不想泄露文件的内容；而签名者并不在意他所签署文件的内 容，只是想让别人知道他曾经签署过这个文件，这种情况下就要利用盲签名技术。 c h a u m 关于盲签名曾经给出了一个非常直观的说明：所谓盲签名，就是先将要隐 蔽的文件放进信封里，当文件在一个信封中时，任何人都不能读它。对文件签名 就是通过在信封里放一张复写纸，当签名者在信封上签名时，他的签名便透过复 写纸签到了文件上。 盲签名不仅保留了数字签名的各种特性，而且还拥有下面的两条性质：盲性 和不可跟踪性。正是这些特点，使得盲签名这种技术可广泛用于许多领域，在认 证的同时不泄露内容，如合同、遗嘱的公证、电子货币、电子投票等。近年来， 国内外学者对盲签名理论进行了深入的探讨与研究，并取得了丰富的研究成果， 各类具有特殊属性的盲签名方案被相继提出。 盲签名的一个最简单的应用就是用它来签署遗嘱。立遗嘱者想让律师在自己 的遗嘱上签字，使之具有法律效力，但他又不想让律师知道遗嘱的具体内容。于 是，他可以采用盲签名的形式让律师对遗嘱签字。基于这种应用背景，人们很自 然就会利用到盲签名技术。 盲签名广泛地应用于需要保证匿名性的场合。通常的数字签名，在消息认证 和鉴别上发挥着巨大作用。但在很多场合比如电子选举和电子现金的应用中，既 需要认证消息的有效性又需要保证匿名性。在这种情况下，盲签名协议通过盲变 换能有效的隐藏身份信息。 随着网络技术的发展，盲签名技术在电子现金的应用方面已进入了实用的阶 段。首先，顾客可以从银行得到有效的电子现金，为了保护顾客的消费隐私，银 行不得记录顾客的消费情况：同时商家可以验证电子现金的有效性，但不能得到 消费者的身份信息，也有效保护了消费者隐私。商家凭收据可以在银行提取现金 或者通过转帐获取交易商品的成本与利润。当然，消费者不能重复使用电子现金。 同样电子选举中有两个原则：首先，要实现投票人的无记名投票，投票人的 信息不能被泄露，如果选票信息中包含了投票人的信息，则失去了无记名性；其 次，不能出现伪造选票和有选票遗漏等作弊现象，要保证选举结果的公正性。盲 安全的无可信p k g 的部分胄签名方案的研究0 设计 签名技术在电子选举中的应用，满足了以上两个原则。 下面通过一个具体的协议来说明盲签名的思想和实现过程，如图1 1 。 设a 为消息拥有者，b 为签名者。a 希望b 对他的某个消息或文件进行签名， 但又不想让b 知道签署文件的内容；b 并不关心消息或文件的具体内容，他只是 保证在将来某一时刻以公证人的身份来证实签名的真实性。一般来说，一个盲签 名协议包含如下几个步骤： 用户a 用户a s i g n ) 盲变换cl m 逆盲变换c 7 r 西，) 图1 1 盲签名协议过程 签名者b 对 消息m 签名 s i g n ( m ) ( 1 ) a 将原消息m 在盲因子的作用下通过盲变换，得到盲消息朋，然后将盲 消息m7 传送给签名者b 。 ( 2 ) b 对盲消息肌签名，并将其签s i g n 伽7 ) 传送给a 。 ( 3 ) a 将其去除盲因子，得到原消息m 的签名s i g n ( m ) 。 1 2 可证明安全性理论 设计实现任意期望函数性的安全协议是密码学的重要内容，密码协议设计中 一个非常重要的步骤是对该协议的安全性评估和分析，在长期的科研探索中，科 研人员总结了两种密码协议安全性定义方法，它们是信息论和计算复杂度方法， 下面将分别给予说明。 评价一种加密机制是否是安全的，并不是一件轻松的事情。在加密体制中， 如果从密文不能得到对应明文的任何信息，我们认为这个私钥或者公钥加密体制 是安全的或者是信息论安全的，即与密文中尚存的明文信息量有关。如果密文存 在明文信息，这种加密机制就视为不安全。分析数据表明，在系统中如果使用的 密钥长度大于等于明文的长度时，才能达到完美的安全性。这样一来，在实际应 用中带来了困难。人们显然希望使用中等规模长度的密钥，才能更加有效。在签 名体制中，即使拥有无限计算能力的攻击者成功伪造的概率也小到可以忽略，则 我们认为签名体制是完备的或者是信息论安全的。 另外一种比较实用的获得密码安全性的方法是计算复杂度方法，安全性证明 就是要证明获取这些信息在计算上是不可行的。密文是否包含明文信息并不重 要，关键是明文信息能否被有效的提取出来。研究表明使用计算复杂度方法，在 2 坝卜学位论文 密钥长度远小于通过此加密机制发送的消息的总长度时还能保证安全性。为合法 用户提供有效的算法，使非法攻击者的篡改、破译算法的计算不可行，现代密码 学就是建立在这样的一个对抗基础之上的。 在安全的加密算法中，一个诚实合法的用户可以利用他的私钥从加密密文中 恢复出明文信息，而不知道用户私钥的攻击者不能在概率多项式时间内从密文恢 复出明文。因此，安全的加密算法的存在就意味着有这样的种工作，它只能由 非确定性多项式时间机而不能由确定性多项式时间机来完成。 设计一个密码协议的一般结构包括确定一个由m 个输入到m 个输出的随机过 程。我们假定这些参与方互相信任，所有的参与方将自己的输入信息发送给一个 可信任的中心，由该中心计算输出结果，并将相关的结果发送给每个参与方。这 样一来，密码协议的关键问题是这个重要的可信任中心能够在多大程度上被互不 信任的参与方模拟。 在多方安全计算中，我们比较参加两种协议执行的攻击者的结果，第一种是 参加实际协议的执行，第二种是参与理想协议的执行，该理想协议是由可信任方 帮助计算期望函数性的协议。如果攻击者在前者现实模型中获得的信息同样可以 在理想模型背景中得到，则协议能模拟理想背景而且是安全的。这意味着在理想 背景中满足的性质可通过一个协议的执行，使得这些性质在现实背景中也能满 足。在某些情况下，通过对理想模型的限制或规定来进行相应的安全定义。密码 学中关于安全的概念是这样定义的，对于现实模型的任意的合适的攻击者，在相 应的理想模型中存在相应的攻击者，使得对函数性计算的影响基本相同。 上个世纪8 0 年代，g o l d w a s s e r 等人系统地论述了可证安全这一理论。他们设 计了加密和签名体制【1 , 2 】，该体制在计算复杂度假设下被证明是安全的。尽管该 体制在理论上具有非常重要的意义，然而它是在计算复杂度假设下建立的，由于 它强调的是多项式时间、可忽略概率等概念，所以科研人员普遍认为该体制实用 性不强，因此制约了这一领域的发展。直到上世纪末期出现了面向实际的可证安 全( p r a c t i c e o r i e n t e dp r o v a b l es e c u r i t y ) 的概念【3 1 ，主要是随机谕示模型方法论1 4 j 被b e l l a r e 等提出后，才使得这一理论在实用中情况大为改观。然而c a n e t t i 、 g o l d r e i c h 和h a l e v i 却有着与此相反的看法【5 1 ，他们给出在随机模型下可证安全的 密码协议，然而该协议实际上并不安全。实际上可证明安全中的定义和归约正在 成为实际分析算法的强大工具，并得到很多实用的成果。面向实际的可证安全理 论取得了巨大的成功，已被国际学术界广为接受。 可证明安全性理论是目前信息安全领域研究工作中的一个热点，一般而言， 其证明过程如下所述：首先确定密码学协议的安全目标。通常情况下，我们在构 造一个数字签名方案时，它的安全目标是保证签名的不可伪造性。当然了加密方 案的安全目标是保证加密信息的机密性。其次根据攻击者的攻击能力构造一个攻 3 安全的无可信p k g 的部分肖签名方案的研究与设计 击模型，并指出该模型对密码学方案安全性定义，对某个基于数学难题的特定方 案或协议，在此模型的基础上利用归约论断的方法去分析它。如果攻击者能成功 的破译了某个密码学方案，则攻击者一定是成功的破译了某个密码学基础难题。 1 3 选题意义 数字签名是社会信息化的必然要求，随着计算机网络的日益流行和各类数据 挖掘技术的飞速发展，越来越多的信息都需要在计算机网络中来传递，这些重要 数据的完整性都需要得到有效的认证和保护。结合密码体制形成的现代密码学首 要任务是消息认证和数字签名。消息认证和数字签名都与数据的真实性有关。要 完成这一任务，就需要手写签名的电子替代物擞字签名。数字签名是提供数据 认证性、完整性和不可否认性的重要技术，是信息安全的核心技术之一。在电子 商务和电子政务中起着重要的作用，被广泛应用于电子支付、电子拍卖、电子投 标、电子投票等协议。 数字签名是信息安全的核心技术之一，美国自上世纪中后期以来出台了一系 列的数据加密标准，欧盟也出资支持制定新的密码学标准，有些国家或地区也己 通过法案赋予数字签名法律效力。中华人民共和国在2 0 0 4 年通过了一部电子签名 法，标志着数字签名技术与手写签名具有同等的法律效力。2 0 0 7 年，在北京召开 “身份通”启动大会，该系统可以利用公民的身份信息，生成有效的数字代码和 标志，可广泛应用于银行、商场、办公、虚拟社区等所有需要确认身份真实性的 网络信息交流活动中。这些数字代码是由身份信息随机计算得到的，既确认了个 人身份的真实性，又有效地避免个人信息曝光，保护了个人隐私。随着基于计算 机网络技术的电子商务、电子政务等各种应用的发展，我们国家对安全的具有各 种特殊性质的数字签名的需求也越来越迫切。 在各类计算机网络应用技术不断普及的今天，对现有签名方案的安全性分析 方法和攻击方式将不断发展，社会的发展对于数字签名技术的安全性也有了更高 的要求。在0 4 年的国际密码学会议( c r y p t 0 2 0 0 4 ) 上，科学家们发现了破解数种哈 希函数的方法，其中包括曾经认为安全的m d 4 、m d 5 、h a v a l 1 2 8 等算法。这 表明随着技术的进步，现有的密码技术面临着新的挑战和机遇。由此可见，数字 签名技术的发展是无止境的。随着整个社会的发展，国家信息安全技术越来越受 到军队和国家安全部门的高度重视，政府也将不断加大在信息安全产业中的投 入。 综上所述，基于身份的数字签名技术对于具有匿名性要求的网络通信具有独 特的地位和作用，研究盲签名技术具有理论上的前瞻性，应用上的可行性。同时， 随着计算机网络技术的发展，人们对信息安全的要求也将越来越高，这将极大地 4 硕i j 学位论文 曼曼曼曼曼曼皂曼曼曼曼曼鼍! 曼曼! 皇! 曼曼曼曼曼曼曼! ! 曼曼笪! 曼曼曼皇曼曼曼曼! 曼! ! 曼曼曼曼曼曼! ! 曼! 皇! i i i = i = i i i 皇曼舅曼曼曼曼皇! 皇曼鼍曼曼 推动盲签名技术的研究和应用。毫无疑问，盲签名技术具有比较长远的发展空间 和广阔的市场前景。数字签名作为信息安全关键技术，将在我国的信息化建设中 将发挥越来越重要的作用。 1 4 本文的主要研究工作 本篇论文主要对基于身份的签名体制和密码学可证明安全性理论进行了研 究。最主要的研究包含以下内容：研究了基于双线性对和基于身份的签名方案； 对基于身份的签名方案中的密钥托管问题进行了研究；研究了基于身份的部分盲 签名体制，本文的研究思路如图1 2 所示。 图1 2 论文研究路线图 本文所总结的主要研究成果如下： ( 1 ) 针对基于身份的签名体制中存在的密钥托管问题，提出了一种新基于身 份的无可信p k g 的签名方案，并对该方案做了性能对比及安全性分析证明。 ( 2 ) 研究了基于身份的部分盲签名体制，在现有盲签名方案的基础上结合基 于身份的无可信p k g 的签名方案，提出了一个安全的无可信p k g 的部分盲签名方 案，而且在随机预言模型下给出了其安全性证明。 1 5 本文的内容安排 论文较全面地介绍了基于身份的数字签名及其相关知识，着重讨论了本文提 出的无可信p k g 的签名方案及其安全性。文章的组织结构如下： 第一章首先对盲数字签名的基础理论进行了介绍，其次介绍了密码学可证明 安全性理论的基本知识，接着通过各国政府和机构对计算机数据安全性的重视表 明了本课题的研究意义，最后对本文的研究思路做了概括。 第二章对数字签名的相关背景知识做了较全面的介绍，主要包括数字签名的 数学基础、安全模型、数字签名的基本概念以及数字签名的形式化描述方法，并 5 安令的无可信p k g 的部分盲签名方案的研究与设计 且提出了基于身份的密码学中存在的密钥托管问题。最后介绍了几种典型的基于 身份的数字签名方案。 第三章针对基于身份的签名体制中存在的密钥托管问题，提出了一种新的基 于身份的无可信p k g 的签名方案，并对该方案做了性能对比及安全性分析证明。 第四章通过利用g a pd i f f i e h e l l m a n ( g d h ) 群，结合基于身份的无可信中心 签名机制和部分盲签名机制，提出了一个新的基于身份的无可信p k g 的部分盲签 名方案。该方案不仅能满足部分盲签名所要求的各种性质，而且具有较高的效率。 最后，对全文进行总结。 6 硕 学位论文 第2 章数字签名相关理论及典型方案 2 1 双线性对 2 1 1 双线性对的性质 j o u x 在文献【6 】中首先利用椭圆曲线中的w e i l 对构造了一轮三方密钥交换协 议，b o n e h 等用w e i l 对构造了一个基于双线性对的加密体制【7 】和签名体制【引。从 此，以双线性对为基础的密码系统成为一个研究热点问题。关于双线性对详细的 定义参看文献【7 ，8 】，关于双线性对的运算方法见参考文献【9 】，双线性对满足下 面性质： 设g ，是由p 生成的循环加法群，其阶为素数q ；g ，是具有相同阶q 的乘法 循环群。设在群g ，和g 2 中离散对数问题是困难的。在g ，中，将加法运算记做“+ ”， v a e z ，v p eg l ，a p = p + p + + p ；在g 中，将乘法运算记做“， c a z ，v w eg 1 ， 酽= w - w - 一w 。 双线性对是指具有下列性质的映射e ：g 】x g 】_ g 2 ： ( 1 ) 双线性：e ( a p ，b q ) = e ( p ，q ) ，对所有p ，q e g l 和所有a , b ez ：； ( 2 ) 非退化性：存在p ，q g l 使得，p 僻q ) 一1 ； ( 3 ) 可计算性：存在有效算法可以计算e ( p ，q ) ，对所有p ，q e g l 。 群g 1 可以取有限域上的超奇异椭圆曲线或超椭圆曲线，双线性对可以用超 奇异椭圆曲线上的w e i l 对或经改造的t a t e 对来构造。 2 1 2 与双线性对相关的困难问题 设群g ，是g 阶循环加法群，p 为g ，的生成元，可定义以下数学问题： ( 1 ) 离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m ，d l p ) - 给定p ，q g l ，找出 正整数，l z ，使得p = n q 。 ( 2 ) 判定d i f f i e h e l l m a n 问题( d e c i s i o nd i f f i e h e l l m a np r o b l e m ，d d h p ) ：给 定p ，口p ，b p ，c p g 1 ，其中a , b ，c z ：，判断c = a b ( m o d 留) 是否成立。 ( 3 ) 计算d i f f i e h e l l m a n 问题( c o m p u t a t i o n a ld i f f i e h e l l m a np r o b l e m ， c d h p ) ：给定尸，a p ，6 p g l ，对4 ，6 z ：，求出a b p 。 在本文中，我们认为离散对数问题( d l p ) 和计算d i f f i e h e l l m a n 问题( c d h p ) 是难解的。 定义2 1g a pd i f f i e h e l l m a n 群( g d h ) ：在群g 1 中，如果存在多项式时间算 7 安伞的无可信p k g 的部分盲签名方案的研究与设计 法可以解决d d h p ，但计算c d h p 是困难的，则称群g l 茭t j g a pd i f f i e - h e l l m a n 群。 2 2h a s h 函数简介 简单讲，单向函数是一种易于计算而难求逆的函数。函数厂易于计算表示存 在一个多项式时间的算法，当输入为x 时输出为似) 。我们说难以求逆，是指给定 输入) ，求其在厂的作用下，求y 的逆元是困难的。 一类被广泛认为是困难问题的可计算的数论问题是在有限域中求解离散对 数。d l p 函数类是通过3 个子算法0 0 l p ，d d l p ，f d l p ) 来定义的。 当输入1 时，算法i d l p 均匀地选择一个素数p ，使得2 小1 s p s 2 n ，还有一个模p 乘 法群中的一个生成元g ，然后输出( p ，g ) 。存在一个可以均匀地产生素数的概率多 项式时间算法，并可以对p 1 进行因数分解，其中p 是产生的素数。另一种方法是 均匀地产生一个形为2 q + 1 的素数p ，其中q 也是一个素数。然而后一种方法必须假 设关于此类素数的d l p 是难题。利用对p 1 的因数分解，并通过在这个群中随机 选择一个元素并检验其是否是p 1 阶，我们可以找到一个本原元素。 对于算法d d l p ，当输入( p ，g ) 时，它均匀地选择一个以p 1 为模的余项。输入 ( ( p ，g ) ，x ) 时，算法f d l p 输出： d l p p ，o = g xm o dp 因此，对d l p p , g 求逆等于对以p 为模的离散对数( g 为基) 求解。对每个上述形 式的每一个( p ，g ) ，函数d l p p , a 引入了一个模p 1 的加法群到模p 乘法群的一一对 应映射。因此d l p p 。g 引入了一个集合 1 ，p 1 上的置换。 其他群上的指数也可以作为单向函数合法的候选形式，只要这个群上的离散 对数问题是困难的。例如在椭圆曲线上的点构成的群上，离散对数问题就是困难 的。 h a s h 函数是单向函数，也被称为散列函数。h a s h 函数在数字签名中起着非 常重要的作用，任意长度的消息串在h a s h 函数的作用下，压缩成长度固定的一 个消息摘要。 无碰撞的h a s h 函数是满足下列条件： 首先，它的输入可以是任意长度的任何消息或文件； 其次，该函数的输出长度是固定的： 第三，给定哈希函数和消息，计算哈希值是容易的； 最后，给定日( 给定的哈希函数) 的描述，找两个不同的消息历l 和m 2 ，使得 h ( m 1 ) = h 伽2 ) 在计算上是不可行的( 如果有两个消息m l 和m 2 ，m j = m 2 ，但矾m 1 ) = h ( m 2 ) ，则我们称这两个消息是碰撞消息或这两个消息碰撞) 。h a s h 在数字签名技 术中有着很好的性质： 8 硕卜学位论文 ( 1 ) 在数字签名中引入h a s h 函数，可以提高签名的速度； ( 2 ) 在数字签名中引入h a s h 函数，可使得破坏数字签名方案的数学结构比如 同态结构等等； ( 3 ) 在数字签名中引入h a s h 函数，可将签名变换和加密变换分开来，用私钥 密码体制实现保密，而用公钥密码体制实现数字签名。通过这种分离，可在计算 机网络的不同层中提供消息的完整性和机密性。 2 3 零知识协议 典型的密码学问题包括如何在互不信任的多方之间透露事先确定的消息片 段。也就是说，每个参与方都拥有秘密，并且他们都想透露这些秘密的一部分。 这些秘密是由一些大家都知道的信息决定的或者部分信息决定的，因此说透露秘 密的正确值是有意义的。问题就在于如何验证最近透露的秘密部分，而不泄露秘 密的其他部分。如下例： 假定一个系统中的所有用户都在一个可以公开访问的存储介质上保存他们 的文件备份，该文件备份是用各自的密钥加密的。又假定某一时刻，一个用户a 想要将他的一个文件( 该文件存放在他的备份中) 里某条记录的明文提供给另一 个用户b 。一个简单的解决办法是a 将文件发送给b 。这种解决问题的方法是b 没 有办法知道a 是真的将真正的记录发送给了他，还是从其他地方随便给他发送了 一个记录。如果a 将他的密钥出示给了b ，a 可以很简单的证明他发送的记录是 正确的。然而，这样做会使a 的所有的文件内容都泄露给了b 。a 当然不会希望 这种事情发生，问题是a 能否使b 确信他的确将正确的记录透露给了b 而又不会泄 露其他知识。 一个类似的问题可以正式地描述如下。令厂是一个单向置换，b 是关于厂的一 个核心断言。假设a 有一个字符串工，而另一方b ，只有触) 。而且假定a 想要将6 0 ) 透露给b ，而又不泄露其他任何信息。显然的方法是让a 把6 ) 发给b ，但是正如 上面解释过的一样，b 没有办法知道a 是否真的发送了正确的比特。a 实际上可以 通过将x 也发送给b 来证明他发送了正确的比特，但这也违背了a 的初衷。同样的， 这个问题也归结为a 如何向b 证明他给了正确的比特6 仅) ，同时又不泄露额外的知 识。 上面的问题就是证明一个论断而又不泄露其他任何信息是否是可能的。这样 的证明只要存在，就叫做零知识，并且在密码协议的设计中扮演着中心角色。 g o l d w a s s e r 等【1 0 l 首次提出了零知识证明概念，在一个密码学协议运行过程 中，证明者向验证者证明某个命题的正确性，然而验证者却得不到关于命题的任 何有用的信息。 9 安伞的无可信p k g 的部分盲签名方案的研究弓设计 通常情况下，零知识协议有两个参与方：证明者p 和验证者v 。p 具备特定的 知识信息；而v 用来验证证明者是否真的知道这个特定的信息。安全的协议要具 有下面几个性质： 完备性( c o m p l e t e n e s s ) ：假定p 、v 都是诚实合法的用户，如果证明者p 真的 知道某个特定的内容，则验证者v 可以通过验证知识证明的协议并且相信p 。 合理性( s o u n d n e s s ) ：假如证明者p 不知道这个特定的知识内容，则它能使验 证者v 验证通过知识证明的协议从而相信它的概率是可忽略的。 零知识性( z e r o k n o w l e d g e ) ：指在协议执行后，验证者v 虽然能够相信证明者p 确实知道特定的知识，但v 却得不到关于该知识的任何有用信息，因此不能向 其它人证明它( 验证者) 知道这个知识。 2 4 随机预言模型简介 在复杂性理论中使用预言机最初是为了获得可约性概念。预言机是一种能够 被扩展向外界提问的机器。我们来看一个具体的实例，在该例子中始终通过被称 做预言的一些函数厂： o ，1 ) 一 o ，1 时来回答问题，也就是质疑。如果预言机提出 问题q ，那么他得到答案( q ) 。此时我们说预言机拥有预言厂。 b e l l a r e 和r o g a w a y 4 l 提出的著名的随机问答器r o 模型方法论是目前为止可 证明安全性理论最成功的实际应用，几乎所有国际安全标准体系都要求提供至少 在r o 模型中可证明安全性的设计，而当前可证明安全性的方案也大都基于r o 模 型。r o 模型中的主要观点如下：假定各方共同拥有一个公开的随机问答器 ( r a n d o mo r a c l e ) ，就可以在密码理论和应用之间架起一座“桥梁”。具体办法是， 当设计一个协议p 时，首先在r o 模型( 可看成是一个理想模拟环境) 中证明声的正 确性，然后在实际方案中用“适当选择 的函数日取代该o r a c l e ( 潜在论断是理想 模拟环境和现实环境在敌手看来是多项式时间计算不可区分的) 。一般来说，这 样设计出来的协议可以和当前协议的实现效率相当。 随机预言方法由两步构成：首先设计一个理想系统，其中所有的参与方都可 以访问一个真正随机函数的预言，并证明这个理想系统是安全的，这种情况下可 以说这种体制在随机预言模型下是安全的。其次，用一个好的密码学哈希函数代 替随机预言，并把这个函数的简单描述提供给所有参与方包括攻击者，希望得到 的体制是安全的。 可证明安全性理论的一个重要的方法是归约论断推理方法，其证明步骤就是 把一个待证明的复杂的协议安全性问题归结为某些数学难题( 如大数分解或求解 离散对数等) 。在r o 模型中的归约论断一般表现为：首先形式化定义方案的安全 性，假设p p t 敌手能够以不可忽略的概率破坏协议的安全性( 如伪造签名) ；然后 1 0 硕仁学位论文 模仿者s ( 就是设计者或分析者) 为敌手提供一个与实际环境不可区分的模拟环 境( r o 模型) ，回答敌手的所o r a c l e 询问( 模拟敌手能得到的所有攻击条件) ：最 后利用敌手的攻击结果( 如一个存在性的伪造签名) 设法解决基础难题。 2 5 数字签名体制 数字签名这一概念在非计算化的世界里是不存在的，随着信息时代的来临和 数字通信技术的飞速发展，特别是通信技术与计算机网络技术的结合，把人类社 会推向了网络化、信息化的时代。在计算机网络应用系统中扮演者重要的角色， 当引入商务环境下的计算机通信这一概念时，就有必要讨论数字签名了。加密机 制和签名方法的数字化，以及将计算复杂度的方案引入到信息安全之中，使得加 密机制和签名方法相关联成为可能。不可伪造的签名机制应满足以下几点g ( 1 ) 用户可以有效地生成在他所选的文件上的签名； ( 2 ) 用户能够有效地校验所给出的字符串是否是另一用户在特定文件上的签 名； ( 3 ) 如果用户本身没有在文件上签名，则其他用户不能有效的伪造他的签名。 对不可伪造的数字签名的简单描述其实也清楚地表达了手写签名的本质特 点。这些特点分别对应于：每个人具有签名的能力，全体成员达成共识的校验过 程，以及人们相信用一种可以通过校验的方法伪造签名是不可行或者是困难的。 把数字签名问题归入密码学拓宽了密码学研究的领域，使之从特殊的安全通 信问题扩展到有关限制系统内部或外部成员不诚实的行为窃取信息的各种问题。 2 5 1 数字签名的基本概念 信息技术正在改变着传统的生产、经营和生活方式，这些都给我们的生活带 来了高效率、高效益和高质量。然而，我们必须清醒的认识到现代信息技术就像 一把双刃剑，它不仅给人类带来巨大的好处，而且给我们带来了前所未有的威胁。 数字信息的保存、运算、传递等过程大部分是在开放的通信网络上进行的，所以 这些敏感的数字信息很容易遭受窃听、截取、修改、伪造、重放等来自恶意威胁 者的种主动攻击和被动攻击的威胁。由于数字签名可以实现网络身份认证、数据 完整性保护和不可否认性，在计算机网络应用系统中扮演者重要的角色。 自从1 9 7 6 年d i f f i e 和h e l l m a n i l lj 提出了公钥密码体制的思想后，密码学中出现 了公钥密码学。公钥密码体制中的加密密钥与解密密钥是一组相对的密钥，每一 组密钥对包含两把互相对应的密钥，一把是可以公开的加密密钥( 即公钥) ；另 一把是必须保持秘密的解密密钥( 即私钥) ，而且从用户的公钥很难推导出其私 钥。在该体制中因为加密与解密的密钥不同，所以又称其为非对称密码系统。 1 1 安令的无可信p k g 的部分盲签名方案的研究卜了设计 曼曼曼鼍皇鼍皇曼曼皇曼! ! ! 蔓鼍曼曼曼曼量曼皇曼曼! 鼍曼曼i _ ii = i 曼曼! 曼曼曼! 曼曼曼曼鼍曼曼鼍曼! 曼詈曼曼皇皇曼曼曼曼曼曼曼曼曼曼 非对称密码技术的一个重要应用就是身份验证。当a 用自己的私钥加密消息 后发送给b ，如果b 用a 的公钥可以解密该消息密文，b 就能肯定此消息来自a ， 因为只有a 拥有加密该消息的私钥，上述方法通常称为数字签名。 在计算机网络环境下，数字签名技术实现了手写签名和传统印章的功能。签 名是一个由待签消息和签名人的私钥共同计算出来的随机数值，数字签名可用于 实现消息的来源认证和完整性认证。在现代商务和政务系统中，可用于保证不可 否认性和完整性。 签名体制和消息认证体制都是确认数据的方法，签名体制和消息认证体制的 区别在于：“签名”是普遍可验证的，而认证标志只要求能够被可以产生它们的 那些参与方验证。消息认证体制有时也被称为消息认证码，消息认证体制和签名 体制的区别还可以认为是验证密钥是私有的还是公开的，消息认证体制中攻击者 不知道验证密钥，而签名体制中包括攻击者在内的所有人都知道验证密钥。 为了计算出一个有效的签名，系统要公开一定的验证参数，不但可以使验证 者检查签名结果的有效性，而且又不会透露产生签名的秘密数据，这样可以较好 的保护签名者的签名结果。数字签名技术是实现消息认证的一个非常重要技术手 段。总的来讲，数字签名方案由系统参数空间、消息空间、签名空间以及密钥生 成、签名和验证算法构成。下面我们给出了数字签名体制的定义【1 2 】及签名的一 般过程图，如图2 1 所示。 定义2 2 一个数字签名体制由以下部分组成： ( 1 ) 一个明文消息空间m ：某字母表中串的集合； ( 2 ) 一个签名空间4 ：是可能的签名构成的集合； ( 3 ) 一个签名密钥空间k ：用于生成签名的可能的密钥构成的集合； 一个验证公钥空间k ：用于验证签名的可能的密钥构成的集合； ( 4 ) 一个有效的密钥生成算法g e n ：n k k ，k 和f 分别为私钥和公钥空 间； ( 5 ) 一个有效的签名算法s i g n ：mx k 呻s ； ( 6 ) 一个有效的验证算法v e r ：mx sx k _ t r u e ，f a l s e