（计算机应用技术专业论文）盲签名理论研究及其应用.pdf

辽宁科技大学硕士论文 摘要 摘要 随着计算机网络技术的发展，信息系统的安全性问题变得越来越重要。数字 签名作为一种具有消息完整性认证、可鉴别性、抗抵赖性和加密功能的技术在计 算机网络安全通信中占有重要的地位。随着签名技术在军事、通信、电子商务等 领域的深入应用，普通的数字签名已无法满足人们的特殊需要，于是以数字签名 为基础的具有特殊用途的签名方案成为本文研究的主题。 盲签名作为一种特殊类型的数字签名，由于它能够保障签名申请者的匿名性， 所以在电子现金系统和电子选举系统中有着广泛的应用前景。本文主要围绕盲签 名的相关理论和应用展开。作者在阅读大量国内外文献的基础上，在盲签名及其 应用方面作了一些有益的探索和尝试，主要取得了以下的研究成果： ( 1 ) 对基于椭圆曲线的o k a m o t o s c h n o r r 签名构造盲签名方案，得到一系列盲 签名方案，并对其进行了理论证明和分析。 ( 2 ) 对张彤、王育民提出的部分盲签名方案进行了分析，并将其在椭圆曲线上 进行了模拟，得到了基于椭圆曲线的部分盲签名方案。这为应用原始方案提供了 一条新途径。 ( 3 ) 针对目前多重盲签名方案的研究成果很少这一情形，提出了三个新的基于 椭圆曲线的多重盲签名方案。该方案使得多个签名人能够同时对盲化的消息实施 签名，而且签名长度不会随签名人数增加而增加。 f 4 ) 介绍了电子现金和电子选举的相关知识，并将盲签名方案具体应用到电子 现金中，提出了一个新的电子现金方案，有力地说明了盲签名的重要作用。 关键词：椭圆曲线，盲签名，电子现金，电子选举 辽宁科技大学硕士论文 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rn e t w o r kt e c h n o l o g y , t h es e c u r i t yi s s u eo f i n f o r m a t i o ns y s t e mb e c o m e sm o r ea n dm o r ei m p o r t a n t t h ed i g i t a ls i g n a t u r e ，w h i c hh a s t h ep r o p e r t yo fa u t h e n t i c a t i o n ，i n t e g r i t ya n dn o n r e p u d i a t i o n ，p l a y sa ni m p o r t a n tr o l ei n c o m p u t e r n e t w o r ks e c u r i t y w i t h d e e p l y a p p l y i n g i n t o m i l i t a r y ，c o m m u n i c a t i o n ， e c o m m e r c e ，e t c ，n o r m a ld i g i t a ls i g n a t u r ec a n ts a t i s f ys p e c i a lr e q u i r e m e n to fp e o p l e ， t h e r e f o r e ，s p e c i a ld i g i t a ls i g n a t u r es c h e m e s ，w h i c ha r eo nt h eb a s i so fd i g i t a ls i g n a t u r e ， a r et h ef o c u so f t h i sp a p e r a sas p e c i a ld i g i t a l s i g n a t u r e ，b l i n ds i g n a t u r e c a ni n s u r e s i g n i n gr e q u e s t e r s a n o n y m i t y t h u si t h a saw i d ep r o s p e c ti nt h ee l e c t r o n i cc a s ha n de l e c t r o n i cv o t i n g s y s t e m s i n t h i s p a p e r , w em a i n l y d i s c u s sb l i n d s i g n a t u r e st h e o r y a n di t s a p p l i c a t i o n t h ew r i t e rh a sm a d es o m ep r o g r e s si n b l i n ds i g n a t u r eb yr e a d i n gm a n y l i t e r a t u r e s t h ef o l l o w i n ga r et h em a i nr e s e a r c hr e s u l t s ： ( 1 ) as e r i e so fo k a m o t o s c h n o r rb l i n ds i g n a t u r es c h e m e sb a s e do ne l l i p t i cc u r v e a r eg o tw i mt h et h e o r yp r o v i n ga n da n a l y s i s ， ( 2 ) z h a n gt o n ga n dw a n gy u m i n sp a r t i a lb l i n ds i g n a t u r es c h e m e sa r ea n a l y z e d a n dt h r e ep a r t i a lb l i n ds i g n a t u r es c h e m e sb a s e do ne l l i p t i cc u r v ea r ed e s i g n e d o u r s c h e m e sp r o v i d ean e wa p p r o a c ho fa p p l y i n gt h eo r i g i n a ls c h e m e s ( 3 ) a sv e r yf e wr e s e a r c ho nm u l t i b l i n ds i g n a t u r es c h e m e ，t h r e en e wm u l t i b l i n d s i g n a t u r es c h e m e sb a s e do ne l l i p t i cc u r v ea r ep r o p o s e d i ti sp o s s i b l ef o rm a n ys i g n e r s t os i g nab l i n d e dm e s s a g eb yu s i n gt h e s es c h e m e s t h es i z eo ft h ed i g i t a ls i g n a t u r ei s u n c h a n g e a b l ea n dw i l ln o tb ei n c r e a s e da st h en u m b e r o fs i g n a t o r i e si n c r e a s e s ( 4 ) t h ep r i m a r yk n o w l e d g eo ft h e e l e c t r o n i cc a s ha n de l e c t r o n i cv o t i n ga r e i n t r o d u c e d t h e nt h eb l i n ds i g n a t u r es c h e m ei sa p p l i e dt ot h ee l e c t r o n i cc a s h ，f r o m w h i c hw ec a nk n o wt h ei m p o r t a n c eo ft h eb l i n ds i g n a t u r e k e yw o r d s ：e l l i p t i cc u r v e ，b l i n ds i g n a t u r e ，e l e c t r o n i cc a s h ，e l e c t r o n i c v o t i n g i i 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得辽宁科技大学或其它教育机构的学位或证书而使用过的材料，与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了谢意。 签名：盥盎电日期：照2 ：兰：17 关于论文使用授权的说明 本人完全了解辽宁科技大学有关保留、使用学位论文的规定， 即：学校有权保留送交论文的复印件，允许论文被查阅和借阅：学校 可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手 段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：篮盔宝导师签名：垒里2 兰日期：业，7 、，? 辽宁科技大学硕士论文第一章绪论 1 1 信息安全 第一章绪论 计算机技术和通信网技术的高度发展和广泛应用，为人们提供了便捷、快速 的信息交流方式，使我们人类社会迅速进入了信息化时代，但同时也带来了许多 亟待解决的问题。因为信息需要在网上传输，这就很可能造成信息的泄漏、删除、 修改和伪造等各种人为因素的攻击，因此，如何保证信息系统的安全性是当前和 今后相当长一个时期内的重要研究课题。随着我国信息化进程的加快，网络化将 向政府机关、经济部门、军队、学校、社会团体以及家庭等方面延伸，先进的计 算机系统把整个社会乃至军队联系起来。信息系统的安全性解决不好将直接影 响到国家安全和社会稳定。 信息安全的核心内容是如何保证信息在系统中的保密性( c o n f i d e n t i a l i t y ) 、认证 性( a u t h e n t i c a t i o n ) 和完整性( i n t e g r i t y ) 。保密性是指防止攻击者破译系统中的机密信 息，保证信息不泄漏给未经授权的人：认证性是指任何不知密钥的人构造一个密 文，由接收者用自己的密钥来解读这个消息，从而得到认证的目的；完整性是指 验证信息在存储或发送过程中未被纂改、重放、延迟等，它反映了信息的精确性 与可靠性。 数字签名作为一种新生事务，它的产生、发掌和逐步壮大，有其固有的合理 性。数字签名具备消息认证、身份认证、信息完整性认证等多种功能。它是实现 信息安全的重要工具之一，也是现代密码学的主要研究内容之一。 1 2 数宇签名 在政治、军事、外交等活动中签署文件，商业上签订契约和合同，以及日常 生活中签署书信、支票等事务上，传统方式是采取手写签名或印章，使之能产生 法律效力。这是因为：签名是可信的；签名是不可伪造的；签名是不可抵赖的： 签名是不可重用的；签名的文件是不可改变的。 随着社会的信息化时代到来，人们希望通过互联网进行迅速的远程贸易合同 的签名、希望在网上进行电子支付、电子投票、电子拍卖等活动，这样，传统手 写签名就受到地域和时间的限制，因而需要手写签名的电子替代物川。数字签名顺 辽宁科技大学硕士论文 第一章绪论 应时代的潮流，实现了网络身份识别认证、网络资源授权等要求。数字签名是1 9 7 6 年由d i f f i e 和h e l l m a n 在“密码学的新方向”一文【2 1 中首次提出的，随后引起了学 术界尤其是密码学界和计算机网络界的高度重视，特别是随着i n t e r n e t 、i n t r a n e t 的迅猛发展和广泛应用，数字签名技术已应用到证券、银行、电子商务、数据库 安全、身份认证、民主选举等方面，市场前景极为广阔、潜力巨大。 1 2 1 数字签名的定义 普通的数字签名方案包括三个过程：系统初始化、签名产生、签名验证。其中， 系统初始化过程产生数字签名方案所用到的一切参数；签名产生过程中，签名者 利用签名算法对给定的消息进行签名；签名验证过程中，接收者利用公开的验证 算法对给定消息的签名进行验证，进而判断签名的有效性。下面给出数字签名的 形式化定义 ( 1 ) 系统初始化过程 产生签名方案中的基本参数( m ，s ，k ，s i g ，v e r ) ，其中： 1 ) m 是消息的有限集； 2 ) s 是签名的有限集； 3 1k 是密钥的有限集，包括私钥s k 和公钥p k ； 4 ) s i g 是签名算法的有限集； 5 ) v e r 是验证算法的有限集。 ( 2 ) 签名产生过程 对于密钥集合k ，相应的签名算法为s i g 。s i g ，s i g 。：m 寸s ，对任意的 消息m m ，有s = s i g 。( m ) ，则s s 为消息的签名，将( m ，s ) 发送给接收者。 f 3 ) 签名验证过程 对于密钥集合影，有签名验证算法 y c r ：m s 一 t r u e ，f a l s e ，、j r u e ，s 2s z g x 【m j 馏r k ， 2 1 f a l s e ，j j i g e ( 卅) 接收者收到( 肌，j ) 后，计算v e r x ( x ，y ) ，若w k ( x ，y ) = t r u e ，则签名有效；否 则，签名无效。 辽宁科技大学硕士论文 第一章绪论 1 2 2 数字签名的特性及其功能 一个安全有效的数字签名方案应具有以下特征： ( 1 ) 签名的可信性。签名使消息的接收者相信签名者是慎重地签了该消息。 ( 2 ) 签名的不可伪造性。除了合法的签名者之外，其他任何人要伪造其签名是 困难的。 ( 3 ) 签名的不可抵赖性。任何签名者在产生签名后，无法抵赖自己对消息的签 名。 ( 4 ) 签名的不可复制性。对一个消息的签名不能通过复制作为对其他消息的签 名。 ( 5 ) 签名消息的不可改变性。一旦签名的消息被纂改，则任何人都可以发现消 息和签名之间的不一致性，签名不再成立。 具有上述特征的数字签名的功能主要有三个：第一，接收者能够证实发送者 的身份；第二，发送者事后不能否认发送的报文签名；第三，接收者或非法攻击 者不能伪造、纂改报文。由于数字签名具有以上功能因此在军事、商业和政治 等领域有着广泛的用途。 1 2 3 数字签名的分类 按照不同的标准，数字签名有不同的分类方法。 ( 1 ) 基于接收者验证签名方式的分类 根据接收者验证签名的方式可将数字签名分为真数字签名( t r u ed i g i t a ls i g n a t u - r e ) 和仲裁数字签名( a r b i t r a t e dd i g i t a ls i g n a t u r e ) 4 1 两类。在真数字签名中，签名者直 接把签名消息发送给接收者，接收者无需求助于第三方就能验证签名。而在仲裁 数字签名中，签名者把签名消息经由可信第三方( 仲裁者) 发送给接收者，接收者不 能宜接验证签名，签名的合法性是通过仲裁者作为媒介来保证，也就是说接收者 要验证签名必须与仲裁者合作。 ( 2 ) 基于数字签名的特性和功能的分类 根据数字签名的特性和功能，可以将其分为普通数字签名和具有特殊性质的 数字签名【5 1 。普通数字签名包括r s a 数字签名、e l g a m a l 数字签名、s c h n o r r 数字 签名、美国的数字签名标准算法( d s s d s a ) 、椭圆曲线数字签名( e c d s a ) 、有 限自动机数字签名等。特殊数字签名包括亩签名、群签名、代理签名、不可否认 辽宁科技大学硕士论文第一章绪论 签名、门限签名、具有消息恢复功能的签名等，它与具体的应用环境有着密切的 关系。其中，盲签名是本文所要研究论述的内容。 ( 3 ) 基于数学难题的分类 根据数字签名方案所基于的数学难题，可以将其分为基于整数因子分解问题 ( i n t e g e rf a c t o r i z a t i o np r o b l e m ) 的数字签名方案、基于离散对数问题( d i s c r e t e l o g a r i t h mp r o b l e m ) 的数字签名方案和基于椭圆曲线离散对数问题( e l l i p t i cc u r v e d i s c r e t el o g a r i t h mp r o b l e m ) 的数字签名方案j 。r s a 数字签名方案是基于整数因子 分解问题的，d s a 、e 1 g a m a l 、s c h n o r r 等数字签名方案是基于离散对数问题的， 而e c d s a 数字签名方案是基于椭圆曲线离散对数问题的。将整数因子分解问题和 离散对数问题相结合，又可以产生同时基于整数因子分解问题和离散对数问题的 数字签名方案，如1 9 9 4 年h a m 设计的数字签名方案。 1 3 盲签名的研究背景、发展阶段及应用 数字签名作为一项重要的计算机安全技术，它的基本作用是保证传送的信息不 被纂改和伪造，并能确认签名者的身份。传统数字签名的一个基本特征是签名者 知道所签消息的内容，但随着数字签名的应用和发展，我们会遇到如下的情形： 即在某些特殊情况下，消息的拥有者想让签名者对消息进行签名而又不希望签名 者知道消息的具体内容，同时签名者也不想了解所签消息的具体内容，他只是想 让人们知道他曾经签署过这个消息。盲签名正是这样一种特殊的数字签名。1 9 8 2 年，c h a u m 首先提出了亩签名的概念1 7j 。在此之后，旨签名便因为其潜在的应用价 值得到了密码学界的极大关注。人们做了许多努力陆续提出了一些性能良好的盲 签名方案，如r s a 盲签名方案、e i g a m a l 盲签名方案、s c h n o r r 盲签名方案、 n y b e r g r u e p p e l 盲签名方案等等。 卣签名在其发展过程中，大致可以划分为三个不同的历史阶段【8 j 。 ( 1 ) 1 9 8 2 年1 9 9 4 年：盲签名的提出与初步探索阶段。1 9 8 2 年，c h a u m 提出了 首个盲签名方案r s a 盲签名方案，随后又提出了一个无法追踪支付系统中的 盲签名方案。1 9 9 3 年，o k a m o t o 提出了第一个基于离散对数的盲签名方案。1 9 9 4 年，c a m e n i s c h 等又提出了一个基于离散对数的盲签名方案。 化) 1 9 9 5 年1 9 9 6 年：盲签名的进一步研究阶段。强盲签名的概念在这一阶段 被提出，并称1 9 9 5 年l h a m 提出的盲签名为强盲签名。1 9 9 6 年，f a n 和l e i 提 出了一个基于二次剩余的有效盲签名方案。随后，他们又提出了一个对于二次计 算复杂度几乎最小的、更有效的盲签名方案。 4 辽宁科技大学硕士论文第一章绪论 ( 3 ) 1 9 9 7 年现今：盲签名深入、交叉研究阶段。2 0 0 0 年，e l s a y e dm o h a m m e i d 等提出了一种新的基于e 1 g a m a l 的盲签名方案。同年，姚亦峰等提出了利用二元 仿射变换，由h a m 和x u 提出的1 8 种安全的广义e i g a m a l 型数字签名方案出发， 构造其盲签名方案的方法。2 0 0 1 年，h u n g y uc h i e n 等将部分盲签名应用于r s a 上，提出了一种低计算复杂度的部分盲签名方案。同年，钟鸣等提出了种基于 比特承诺的盲签名方案，张方国等提出了两种基于椭圆曲线的盲签名方案。2 0 0 3 年，史有辉等提出了一种基于x m l 的r s a 盲签名方案。 数字签名技术是网络通信中保障信息安全的关键技术，而盲签名作为当前广 泛使用的数字签名技术的重要组成部分之，对于具有匿名性要求的网络通信具 有独特的地位和作用。盲签名技术自从c h a u m 首次提出后，已经被广泛地应用于 电子支付、电子选举、电子拍卖等领域中，本文第五章将重点讨论盲签名在电子 现金和电子选举领域的应用。 此外，盲签名在匿名证券交易、口令认证、遗嘱签署、c a 证书的颁发和密钥 分配等领域也有重要的应用。总之，j 、l 是那些要求考虑用户匿名性的应用场所， 盲签名技术都将发挥重要的作用。 1 4 椭圆曲线密码体制的理论研究现状 椭圆曲线( e l l i p t i cc u r v e ) 是代数几何的一个分支，在过去的1 5 0 多年里得到了 广泛的研究，并形成了成熟完善的理论。将椭圆曲线应用于密码学上最早是由n e a l k o b l i t z 9 1 和v i c t o rm i l l e r 1 0 】在1 9 8 5 年分别独立提出的，他们虽然没有发明新的使用 椭圆曲线的密码体制，但将有限域上的椭圆曲线应用于已存在的d i f f i e h e l l m a n 密 钥分配体制及e l g a m a l 体制中，这就是椭圆皓线密码体制的开端。椭圆曲线公钥 密码是目前己知的公钥密码中，对每一比特所提供加密强度最高、处理速度最快、 开销最低的一种体制，是椭圆曲线理论在密码学上一次全新的应用。 椭圆曲线密码体制一经提出便成为密码学中的一个研究热点，十几年来关于 椭圆曲线密码的各类研究成果层出不穷。这期间，国内外学者对椭圆曲线密码算 法进行了初步的研究，对椭圆曲线密码系统的安全性作了深入的分析，对椭圆曲 线的数点问题( p o i n tc o u n t i n gp r o b l e m ) 作了进一步的探讨；同时，提出了许多实现 椭圆曲线密码体制的快速算法，其中具有代表性的有k o b l i t z 、m i l l e r 、m e n e z e s 、 v a n s t o n e 、s i l v e r m a n 等人，他们提出了许多方法，且仍在研究中。除此之外，人们 还将椭圆曲线应用到签名方案的设计中， 提出，如基于椭圆曲线的数字签名方案、 一系列基于椭圆曲线的签名方案被陆续 基于椭圆曲线的盲签名方案、基于椭圆 辽宁科技大学硕士论文 第一章绪论 曲线的多重盲签名方案、基于椭圆曲线的部分盲签名方案、基于椭圆曲线的代理 签名方案等等。 如今，椭圆曲线密码体制的研究日渐成熟，许多标准化组织也在着手制定关 于椭圆曲线密码体制的相关标准。如t l e e e 组织制定的公钥密码标准p 1 3 6 3 ，1 9 9 9 年美国国家标准协会( a n s i ) $ i 定的椭圆曲线数字签名算法( e c d s 标准a n s i x 9 6 2 等等l 。其中，a n s ix 9 6 2 标准的发布成为椭圆曲线密码体制标准化的一个 重要里程碑。此外，i s o i e c1 4 8 8 8 、i e t f 、a t mf o r u m 、c i r t i t o m1 0 等标准相继 被颁布。电子商务安全协议s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n s ) 的制定者已经把 椭圆曲线密码体制作为下一代s e t 协议中缺省的公钥密码算法。同时，为了鼓励开 发基于椭圆曲线密码体制的应用产品，几个国际标准化组织也把椭圆曲线密码体 制作为新的信息安全标准【l 引。这将提高椭圆曲线密码体制在世界范围内的通用性， 使椭圆曲线密码体制在全球的广泛应用成为可能。 密码学界普遍认为椭圆曲线密码体制必将成为计算机网络、数据通信、电子 商务，特别是新一代环境受限系统如移动通信系统和智能卡系统的最理想的安全 解决方案。目前，国外已有用椭圆曲线进行加解密和数字签名的产品出现在市场 上。国内也有几家公司和研究机构在做椭圆曲线密码体制的实现，但还未发现有 比较成功的产品出现。 1 5 作者的研究成果 本人在认真阅读学习大量文献资料的基础上，对盲签名理论、椭圆曲线密码 理论进行了系统、深入地研究，对各种典型的盲签名方案进行了分析；讨论了部 分盲签名、多重盲签名这两种特殊盲签名，并探讨了盲签名技术的应用。现将作 者所取得的研究成果总结如下： ( 1 ) 对现有的盲签名方案进行了深入地分析、研究，提出了一个新的基于椭圆 曲线的盲签名方案，并对其进行了理论证明和分析。结果表明该方案不仅同时满 足盲性、不可追踪性和不可伪造性，而且还具有强盲性。 ( 2 ) 介绍了部分盲签名的概念和协议，阐明其相对一般盲签名的优越性。然后 将张彤、王育民提出的三种基于有限域上离散对数的部分盲签名算法在椭圆曲线 上进行了模拟，得到了三种基于椭圆曲线离散对数的部分盲签名方案。与有限域 上离散对数问题的情形不同，目前对椭圆曲线离散对数问题还没有有效的解法， 因此新方案比原方案具有更高的安全性。新方案实质上是原始方案在不同密码假 设上的实现，这为应用原始方案提供了一条新途径。 辽宁科技大学硕士论文第一章绪论 ( 3 ) 介绍了多重数字签名签名的概念和分类，然后设计了三个新的基于椭圆曲 线的多重盲签名方案，并对其安全性进行了详细的分析。分析表明该方案能够实 现多个签名人同时对盲化的消息实施签名，并且可以同时满足盲性和不可伪造性。 此外，因为椭圆曲线密码体制有着自己独特的优越性，这使得新的多重盲签名方 案具有更小的密钥长度、更快的签名速率和执行速度。 ( 4 ) 本文针对盲签名的应用，首先介绍了电子现金的相关知识和典型的电子现 金方案，并基于盲签名技术提出了一个新的电子现金方案。其次，介绍了电子选 举的相关知识和基于盲签名的电子选举协议，从而更加有力地说明了盲签名的作 用和重要性。 1 6 论文结构与组织 本文主要研究基于椭圆曲线的盲签名，全文共分六章，各章的内容安排如下： 第一章主要介绍信息安全领域的背景及意义；数字签名的定义、特性及功能， 数字签名的分类；盲签名的研究背景、发展阶段及应用；椭圆曲线密码体制的理 论研究现状。 第二章主要介绍本文中所涉及到的些数论知识和相关的密码学知识，包括 数论中的概念、私钥密码体制和公钥密码体制基础、哈希函数的概念和安全性以 及本文的符号约定。 第三章主要介绍本文中用到的有关椭圆曲线密码学方面的基础理论知识。首 先介绍了椭圆曲线的概念、椭圆曲线点的基本运算及椭圆曲线的优势；其次，讨 论了椭圆曲线离散对数问题及攻击现状：再次，讨论了选取安全椭圆曲线的条件； 最后介绍了椭圆曲线数字签名算法。 第四章首先介绍了盲签名的概念、性质以及分类；其次，详细地介绍了几种 典型的盲签名方案，并结合自己的研究状况，提出了一个新的基于椭圆曲线的盲 签名方案；再次，给出了部分盲签名的概念及现有的部分盲签名方案，阐述了其 相对于一般盲签名方案的优越性，并在椭圆曲线上模拟了基于有限域上离散对数 的部分盲签名方案：最后，重点介绍了多重盲签名，鉴于目前关于多重盲签名方 案的研究成果很少，于是在这方面做了些探索，设计了三个基于椭圆曲线的多 重盲签名方案。 第五章主要讨论了盲签名在电子现金、电子选举中的应用。首先介绍了电子 现金的一些相关知识及两个典型的电子现金方案，并给出了一个基于盲签名的电 子现金的具体实现方案，旨在着重研究盲签名在电子现金的消费领域中的应用问 辽宁科技大学硕士论文 第一章绪论 题；然后介绍了电子选举的一些相关知识和基于盲签名的电子选举的基本步骤。 第六章对全文总结，并指出了进一步的研究方向。 辽宁科技大学硕士论文 第二章数学基础和相关密码学知识 2 1 数学基础 第二章数学基础和相关密码学知识 盲签名作为一种特殊的数字签名，它和数字签名一样有着较深的数学背景。 本节就论文中所涉及到的数论、代数中的相关基本概念做一简单介绍。 定义2 1 1 如果a 是一个整数，h 是一个正整数，定义a m o d ”为“除以n 的余 数。称运算符为m o d 的运算为模运算。对任意整数口，可以表示为 a = f a n 】1 7 + ( a m o d 月) a 定义2 1 2 对任意整数 和任意整数口和b ，如果盯l ( a 一6 ) ，那么我们称a 和b 模珂同余，电为a ；b ( m o d 1 。 定义2 1 3 设a z 。，如果存在b z 。，使得a b ；l ( m o d n ) 成立，则称b 为a 在 模打下的乘法逆元，记为d 。 定义2 1 4 设g 是个群，若g 中有一个元素o 使得对于g 中的每个元素 b ，都存在一个整数k 使得b = a 成立，则称g 是一个循环群，“称为群g 的一个 生成元。 定义2 1 5 整数的因子分解问题( i f p ) ：给定一个正整数, ，找出 t 的所有素因 子，可以表示为 = p ，“p ：2 p 。，其中m 。1 ，p ，是互不相同的素数。 定义2 1 6 离散对数问题( d l p ) ：设p 是素数，口是模p 的生成元，固定p 和口， 则离散对数问题可以表达为：给定z ：，找到唯一的整数k ，0 k p 一2 ，使 得口；f l ( m o d p ) 。 在当前的公钥密码体制中，整数因子分解问题和离散对数问题是两个著名的 数学难题，其困难程度可以通过计算复杂性理论来描述。此外，已公认的安全实 用的公钥体制还有椭圆曲线离散对数体制，它所依据的数学难题是椭圆曲线离散 对数问题( e c d l p ) 的难解性。本文将在第三章第二节详细讨论椭圆曲线离散对数问 题。总之，这三类数学难题为某些好的密码协议尤其是数字签名的算法设计提供 了良好的基础和安全保证。例如，现在广泛应用的r s a 体制签名方案就是基于整 数因子分解问题提出的，并且被认为是安全性最好的方案之一：著名的e 1 g a m a l 数字签名算法是基于离散对数问题设计的，而椭圆监线数字签名算法( e c d s a ) 是 基于椭圆曲线离散对数问题设计的。 辽宁科技大学硕士论文第二章数学基础和相关密码学知识 2 2 密码学基础 密码学是研究密码系统和通信系统的一门科学，它包括两个方面1 6 j ：密码编码 学和密码分析学。密码编码学是研究对数据进行变换的原理、手段和方法的技术 和科学，其目的是隐减数据的真实内容，以防止数据被无察觉的纂改和非法使用。 密码分析学是为了取得秘密的消息，而对密码系统及其流动的数据进行分析，是 对密码原理、手段和方法进行分析、攻击的技术和科学。密码技术是实现信息安 全的重要技术。从当前的密码学体制来看，可分为私钥密码体制和公钥密码体制。 其中，公钥密码体制是密码学的重要组成部分。数字签名的基础就是公钥密码体 制。 1 9 7 6 年，w | d i f i l e 和m h e l l m a n 在“密码学的新方向”一文中提出了公钥密 码的思想( 2 】，首次证明了在发送端和接收端无密钥传输的保密通讯是可能的，这是 密码学历史上的一个重大成就。第一个比较完善的公钥密码算法著名的r s a 算法由r i v e s t 、s h a m i r 和a d l e m a n 提出。截止至目前，比较重要的公钥密码算法 还有e i g a m a l 算法和椭圆曲线密码算法等等，其安全性是以某种数学问题的难解 性为基础的。 公钥密码与所有以前的密码方法都大相径庭：一是以前的密码算法都基于代 换与置换操作，而公钥密码使用数学函数进行变换；二是公钥密码体制将加密和 解密功能分开，使用两个不同的密钥( 加密密钥和解密密钥) ，而传统密码算法只使 用一个密钥。 公钥密码体制有两种模型：一种用于保密通信( 如图2 1 ) ，即接收方b 的公钥 作为加密密钥，再以接收方b 的私钥作为解密密钥，从而可实现多个用户加密的 消息只能由一个用户解读；另一种用于认证( 如图2 2 ) ，即以发送方a 的私钥作为 加密密钥，再以发送方a 的公钥作为解密密钥，从而可实现由一个用户加密的消 息可由多个用户解读。 公钥密码体制有着传统密码体制无法比拟的优越性。利用公钥密码体制，无 需在不同的用户之问传输密钥，因为用户的公钥公开，这有效地避免了密钥分配 和密钥管理的难题。总之，公钥密码体制的提出在密码学史上是划时代的事件，它 为解决计算机网络中的安全提供了新的理论和技术基础i l i ”j 。 辽宁科技大学硕士论文第二章数学基础和相关密码学知识 加密算法e解密算法d 加密算法e 蚓2 解密算法d a 的私钥k 1a 的公钥k 2 图2 2 2 3 哈希函数 这里我们首先介绍一下单向函数的概念。若一个函数i ，满足下面两个条件， 则称为单向函数。 ( i ) 对于所有属于厂定义域内的任一x ，求解出f ( x ) 是很容易的； ( 2 ) 对于所有属于厂值域内的任一y ，要求解出x ，使之满足f ( x ) = y 在计算 上是不可行的。 也就是说，单向函数是一个满足以下条件的函数：它将一个定义域映射到一 个值域，使得很容易计算出函数值，但由函数值求解出原像在计算上不可行。 密码学上的哈希函数蝤1 ( 也称杂凑函数、散列函数) 实质上是一种单向函数，它 是一种将任意长度消息压缩到固定长度消息摘要的函数。将哈希函数应用到数字 签名里有如下好处： f 1 1 可破坏数字签名方案的某些数学性质，如同态性： ( 2 1 通过对消息摘要签名取代对消息签名，可以提高签名的速度： ( 3 ) 签名可以不包括原消息，增强了保密性； h 文 一 辽宁科技大学硕士论文第二章数学基础和相关密码学知识 ( 4 ) 可以用公钥密码实现保密用私钥密码实现数字签名，从而将加密和签名分 开处理。 哈希函数的安全性是指：在现有的计算资源下，找到一个碰撞是不可能的。 根据哈希函数的安全性水平，可将其分为强碰撞自由的哈希函数和弱碰撞自由的 哈希函数。因本文中我们考虑强碰撞自由的哈希函数，所以这里只对它做一简单 的介绍。 一个强碰撞自由的哈希函数日( ) 应具有以下几个性质：1 4 ( ) 的输入可以是任 意长度的消息或文件m ：h ( ) 的输出长度固定( 该长度要足够长以抵抗所谓的生同 攻击) ；给定h 和m ，很容易计算出h ( m ) ；给定h ( ) ，找出两个不同的消息m 。和 m ：，使得h ( m ，) = t t ( m ：) 在计算上是不可行的，即找出一对碰撞消息在计算上是 不可行的。 一般来说，哈希函数是公开的，不涉及保密密钥。哈希函数主要用于消息的 完整性认证、消息的来源认证检测和提高数字签名的有效性等方面。 现有的哈希函数主要有：s n e f r u 算法、n h a s h 算法、m d 4 算法、m d 5 算法、 s h a 等。在2 0 0 4 年8 月1 7r 召开的国际密码学会议上，来自山东大学的王小云 教授破解了一直在国际上被广泛应用的两大密码算法m d 5 、s h a 1 ，引起了国际 社会尤其是国际密码学领域的广泛关注和极大反响。 2 4 符号约定 为了简便起见，现将本文中用到的符号作如下约定： z 表示全体整数； z 。= 枷z 。1 1 a ”一1 ) 表示整数模肝集： z ：= 扣z 。fg c d ( a ，行) = 1 表示z 。的乘法群： 这里需特别指出，当n 为素数时有z ：= z 。 庐( n ) = | z ：l 为e u l e r 函数，即( ) 表示小于m 且与胛互素的正整数个数 k 。k 表示k 是从有限集k 中随机选取的元素： ( 表示两个比特串的连接； 月，( ) 表示取点的z 坐标： ( ) 是一个可将任何位串转化为整数的单向哈希函数。 辽宁科技大学硕士论文第三章椭圆曲线密码体制 第三章椭圆曲线密码体制 1 9 8 5 年，n e a lk o b l i t z 和v i c t o rm i l l e r 分别提出了椭圆曲线密码体带l j ( e l l i p f i c c u r v e c r y p t o s y s t e m ，缩写为e c c ) ，引起了当时信息安全界的极大关注。椭圆曲线 密码体制不是像r s a 密码体制或e i g a m a l 密码体制那样建立在一个大整数分解或 素域乘法群离散对数问题之上，而是建立在由椭圆曲线上的点构成a b e l 群加法群 所构造的离散对数计算困难性的基础之上的u o , 1 6 。由于椭圆曲线密码体制要达到 同样的安全强度需要的密钥长度短，且椭圆曲线所基于的域的运算位数远远小于 传统离散对数的运算位数，其运算在计算机的软件和硬件上都很容易实现，所以 本文在第四章对基于椭圆曲线的盲签名进行了研究。 3 1 椭圆曲线 3 1 1 椭圆曲线的概念 椭圆曲线不是通常所指的椭圆。所谓椭圆曲线是指亏格为1 的平面代数曲线， 通常用e 表示。一般地，可以用w e i e r s t r a s s 方程描述： y 。+ a l x y + a 3 y = x + a 2 x 2 + a 4 x 十口6 ( 2 1 ) 其中口，f ，i = 1 , 2 ，3 ，4 ，6 ，f 是一个域，可以是有理数域，复数域或有限域 g f ( q ) 。满足上面的点( z ，y ) 及一个特殊的无穷远点0 就构成椭圆衄线。在密码学 中，我们通常在有限域( 伽罗瓦域) g f ( q ) 上研究椭圆曲线e ，特别是大素数域 g f ( p ) 和特征为2 的有限域g f ( 2 ) 。 当日= p 时，选择的域便是g f ( p ) ，这时若定义在有限域g f ( p ) 上的椭圆曲线 的特征值不等于2 和3 ，即c h a r ( g f ( p ) ) 2 ，3 ，n ( 2 1 ) 式可化简为： y 2 = 工3 + o x + b ，( a ，b g f ( p ) ，4 a 3 + 2 7 b2 0 ) ( 2 2 ) 当q = 2 “时，选择的域便是g f ( 2 ”) ，这时( 2 i ) 式可化简为： y 2 + x y = x + 骶2 十b ，( d ，b g f ( 2 1 ) ，b 0 ) ( 2 3 ) 在实际的椭圆曲线密码学应用中，最常用的是以上两种形式的椭圆曲线。本 文只研究由式( 2 2 ) 所定义的椭圆曲线。 定义3 1 在基于有限域f ，的椭圆曲线上的点构成的群的元素个数称为该群的 辽宁科技大学硕士论文第三章椭圆曲线密码体制 阶，常表示为# ( e ( 只) ) 。 定义3 2 设p 是椭圆曲线e ( g f ( q ) ) 上的一点，若存在最小的正整数，z ，使得 n p = 0 成立，则称行是p 点的阶。 3 1 2 椭圆曲线点的基本运算 ( 1 ) 椭圆曲线的点加运算 下面先从几何角度讨论椭圆曲线e 的点加运算。如图3 1 所示，设p 和q 是椭 圆曲线e 上不同的两个点，连接点p 和q 交椭圆曲线e 于另一点m ，过点m 作平 行于纵坐标轴的直线与曲线e 相交于点r ，则r 为p 和q 两点之和，记为 r = p + q 。 y 炎。 p = ( x 1 ，y ：卜一 i r 。( x 3 ，y 3 ) 图3 1 根据以上几何方法可以得到椭圆曲线点加运算的计算公式 p = ( x l ，y ，) e ，贝0 一p = ( x 。，- y ) 。若q = ( z 2 ，y 2 ) e ，且q 一p r = p + q = ( b ，y ，) e 有如f 的计算公式： x 3 = 2 一x 1 一。2 y 3 = 五( x i x 3 ) 一y 2 ：! ! 二羔! x 2 一x l 其中五为连接点p 和q 直线的斜率。 设 则 辽宁科技大学硕士论又第三章椭圊曲线密码体制 以下是点加运算的算法实现。 函数功能：计算椭圆曲线上的两相异点尸和q 的和r = p + q ； 参数：输入为椭圆曲线e 的系数e c u r ，点p = ( z ，y 1 ) e ，q = ( x 2 ，y 2 ) e ， 其中e c u r 包含椭圆曲线方程y 2 = x 3 + a x + b ( m o d q ) 的系数d ，b ，q ；输出为点 r = ( x 3 ，y 3 ) e 。 p o i n te c s u m ( p o i n tp ，p o i n te ，c u r v ee c u r ) p o i n tr ( o ，o ) ； i n tx , y ，z ； i f ( p x 2 = 0 & & p y = = 0 、 r e t u m q ； i f ( q x 2 2 0 & & q y 2 2 0 1 r e t u r np ； x = q x p x ： y 2 q y p y ； i f ( x = = 0 、 t o u t ”x 2 = x1 ” e n d l ； r e t u m r ： i