（通信与信息系统专业论文）环签名体制研究与应用.pdf

摘要 本文主要研究环签名方案和环签名在电子商务中的应用。 随着计算机通信网的迅速发展，数字签名己在信息安全、身份认证、数据完 整性、不可否认性与匿名性等方面发挥了重要作用。环签名作为一种特殊的数字 签名，它能够允许环中的任何一个环成员代表环进行签名，且满足无条件签名者 匿名性。环签名因其特有的性质，使得它可以广泛地应用在电子选举、电子投标、 公平交易等许多电子商务与电子政务活动中。 本文分别介绍了构建在基于证书的密码体制，基于身份的密码体制和无证书 的密码体制上的环签名方案。并介绍了基于环签名的同时生效签名方案。同时生 效签名是为了解决交易的公平性而提出的，利用它交易双方可以实现都获得对方 的签名文件或者都不能获得，最后给出了基于同时生效签名的无需第三方的公平 电子商务协议。 关键词：环签名同时生效签名电子支付公平性 a b s t r a c t t h i st h e s i sm a i n l yd i s c u s s e st h er i n gs i g n a t u r es c h e m ea n di t sa p p l i c a t i o n st ot h e e - c o m m e r c e w i t ht h ef a s td e v e l o p m e n to fi n t e m e t ，d i g i t a ls i g n a t u r e sh a v ep l a y e da ni m p o r t a n t r o l ei nt h ea s p e c t so fi n f o r m a t i o ns e c u r i t y , i d e n t i t ya u t h e n t i c a t i o n ，d a t ai n t e v i t y , n o n r e p u d i a t i o n ，a n o n y m i t ya n ds o0 1 1 r i n gs i g n a t u r e s a l es o r t so fs p e c i a ld i g i t a l s i g n a t u r e s ，w h i c hc a na l l o wa n yr i n gm e m b e r s t os i g nm e s s a g e so nb e h a l fo ft h er i n g w h i l er e m a i n i n gu n c o n d i t i o na n o n y m i ty t h es a l i e n tf e a t u r e so fr i n gs i g n a t u r e sm a k e t h e mm o r ea p p l i c a b l ei nt h ea c t i v i t i e so fe l e c t r o n i cc o m m e r c ea n de l e c t r o n i cp o l i t i c s s u c ha se l e c t r o n i cv o t m 舀e l e c t r o n i cb i d i n g , a n df a i re x c h a n g ea n ds of o r t h t h i sp a p e rm a i n l yi n t r o d u c e st h r e er i n gs i g n a t u r es c h e m e s , w h i c ha r er e s p e c t i v e l y b a s e do nc e r t i f i c a t e ，i d e n t i t ya n dc e r t i f i c a t e l e s sp u b l i ck e yc r y p t o g r a p h y t h e ni ta l s o p r e s e n t sc o n c u r r e n ts i g n a t u r e sb u i l tb a s e do nr i n g s i g n a t u r e si n o r d e rt oa c h i e v e f a i r n e s se x c h a n g eo fs i g n a t u r e s b ye n g a g i n gi nac o n c u r r e n ts i g n a t u r ep r o t o c o l ，e i t h e r e a c hp a r t yo b t a i n st h eo t h e r ss i g n a t u r e ，o rn e i t h e rp a r t yd o e s f i n a l l y , af a i re l e c t r o n i c c o m m e r c ep r o t o c o lw i t h o u tt h et h i r dp a r t yb a s e do nc o n c u r r e n ts i g n a t u r e si sp r e s e n t e d k e y w o r d s ：r i n gs i g n a t u r e s c o n c u r r e n ts i g n a t u r e s e p a y m e n t f a i r n e s s 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技大学 或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一些相关责任。 本人签名： 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读 学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或 使用论文工作成果时署名单位仍然为珏安电子科技大学。学校有权保留送交论文的复印件， 允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其 它复制手段保存论文。( 保密的论文在解密后遵守此规定) 本学位论文属于保密，在年后解密后适用本授权j b 。 本人签名 导师签名：蠹丝堑 日期： 趟z ： ：= ： 第一章绪论 第一章绪论 本章首先介绍论文研究的背景和意义；接着介绍了电子支付中采用的关键技 术；最后给出论文的内容安排。 1 1 论文研究的背景和意义 政治、军事、外交的文件、命令和条约，商业中的契约以及个人之问的书信 等，传统上采用手书签字或印章，以便在法律上能认证、核准、生效。随着计算 机通信网的发展，人们希望通过电子设备实现快速、远距离的交易，数字签名应 运而生，并开始应用于商业通信系统。数字签名已在信息安全、身份认证、数据 完整性、不可否认性以及匿名性等方面发挥了重要作用，特别是大型网络安全通 信中的密钥分配、认证以及电子商务系统中具有重要应用。数字签名是实现认证 的重要工具。 电子商务是运用现代信息技术和网络技术，依托i n t e m e t 进行营销宣传、业 务洽谈以及支付结算等商务活动的新型网上贸易方式。这种基于i n t e r n e t 的先进 信息技术与传统信息资源相结合的电子商务，已只益成为各国经济新的增氏点。 电子商务不仅是目前i n t e m e t 应用的最大热点，同时也是促进i n t e m e t 继续发展的 主要动力。 与传统的商业系统相比，电子商务具有交易花费成本低、资金更安全、资金 结算速度快、节省人力物力、方便等特点，随着电子商务的蓬勃兴起，网上商务 活动正日益成为大众所接受的社会活动方式，其内涵在不断地延伸而由于互联网 络的匿名性和开放性，电子商务的安全防范将较常规商务活动具有不可比拟的复 杂性。安全电子商务必须考虑可能遭受的多方面的恶意攻击与欺准，不仅是外部 的( l l 如非涉及到交易活动的第三方1 ，而且涉及内部交换过程中数掘的完整性真 实性验证、用户认证等等。而现有许多的商务活动订= 暴露着越来越多的来自内部 攻击的安全隐患。因此，对于相互熟悉或陌生的交易双方，必须考虑在交易过程 的同时建立一种互信机制，以保证各自的经济利益、隐私信息等不受到侵犯。大 多数电子商品，如电子支票、电子机票或电子合同等，其合法性的基础都在于数 字签名。因此大部分的应用，都将焦点放在数字签名的公平交换上。举例而言， 2环签名体制研究与麻用 假设a 方愿意给b 方一纸电子支票，以交换一张电子机票。问题在于：a 和b 要如何进行交换，才能使双方都能得到对方的东西，或者什么都得不到呢? 这便是电子商务中公平交换问题的最简单应用，而解决这一问题就必须依靠数字 签名技术。因此，对于网络市场而言，数字签名的公平交换技术对于电子商务 化c o m m e r c e ) 以及其他电子交易来说，都是强而有力的支援。 因此本文对环签名技术以及其在电子商务中实现公平交换的研究，对电子商 务的安全公平机制的完善是具有很大现实意义的。 环签名是一种新的匿名签名技术，因签名中参数c f ( f = 1 , 2 ， ，h ) 根据一定的规 则首尾相接组成环状而得名。环签名不同于群签名，环签名可以实现无条件匿名， 即无法追踪签名人的身份，而群签名中群管理员的陷门信息可揭露具体签名者的 身份。一个环签名方案必须满足下面两个安全性要求： ( 1 ) 无条件匿名性：即无法追踪签名者的身份。攻击者即便非法获取了所有 可能的签名者的私钥，他能确定出真正的签名者的概率不超过1 咒，这里，l 为可能 的签名者的个数。 ( 2 ) 不可伪造性：外部攻击者在不知道任何成员的私钥的情况下，即使能够 从一个产生环签名的随机预言模型那得到任何消息肘的签名，他也不能成功伪造 一个合法签名。 此外，环签名还有一个显著特征，即实际签名者可在所有用户中任意选取参 与签名的用户( 包括自己) 来产生一个环签名，而不必通知被选用户，也不需要 其他环成员的协助，所需要的仅仅是他们的公钥。 同时生效签名是为了解决公平交换数字签名而提出的，同时生效签名应该成 对出现。本文提到的同时生效签名都是由两个相关的环签名构成，每个环签名中 都有同一个秘密，当该秘密公丌时，两个环签名的模糊性同时被去除，达到同时 生效的目的。 1 2 电子支付中的关键技术 电子商务( e c ，e l e c t r o n i cc o m m e r c e ) 是利用现有的计算机硬件、软件和网络基 础设施，通过出一定的协议连接起朱的电子网络环境进行的各种各样商务活动方 式【”。电子支付是电子商务的关键环节，是电子商务得以顺利发展的基础。电子 支付指的是电子交易的当事人，包括消费者、商家和金融机构之问，使用安全电 子手段，通过网络进行的货币或资金流转，即把包括电子现金、电子票据、信用 第一章绪论 3 卡、借记卡、智能卡等的支付信息，通过网络安全地传送到银行或相应的处理机 构来实现电子支付。 互联网本身的开放性，给电子支付带来了极大的发展空间，同时也使网上交 易面临种种危险。电子支付过程中各交易实体问的信息传递面临的安全威胁主要 有：信息被窃取、信息被篡改、身份被假冒和交易行为被否认等。因此电子支付 的安全性要求主要有信息的机密性、数掘完整性、交易者身份的确认性或者匿名 性、行为的不可否认性等【2 l 。 1 ) 信息机密性( c o n f i d e n t i a l i t y ) 电子商务建立在开放的网络环境上，许多数据如账户、密码是敏感信息。有 时，交易的内容本身就是秘密。因此必须对这些敏感信息进行加密，确保信息不 被未授权的第三方所获得。即使被截获， 2 ) 数据完整性( d a mi n t e g r i t y ) 数据输入时的意外差错或欺诈行为， 截获者也得不到有价值的信息。 数据传输中信息的丢失、重复、错序、 被篡改，都可能导致贸易各方信息的差异。因此，网上交易的信息要能做到确保 其完整性，即要求接收者收到的数据与发送者发送的数据相同。 3 ) 身份认证性( v e r i f i c a t i o no fi d e n t i t y ) 电子商务活动是在虚拟的网络环境中进行的，要使交易成功首先耍对数据和 信息的来源进行验证，以确保发送方的真实身份。防止冒名顶替的发生。而如果 支付的一方期望实现匿名支付，则必须同时保障另一方的利益不受损失。 4 ) 不可抵赖性( n o n r e p u d i a t i o n ) 有时贸易一方会感觉交易对自己不利，或者为了获取不当的利益，他便企图 否认某些交易行为，这会损害另一方的利益。因此要求系统具备审查能力，使发 送方对发送信息不能抵赖，接收方对收到信息也不能否认。 安全是电子支付成败的关键。目前电子支付的安全问题同益成为制约电子商 务发展的瓶颈，这一问题在我国突出体现为实现电子支付的公平性，即确保交易 双方在交易过程中处于平等的地位。公平的电子支付方案必须保证交易的双方在 交易的各个步骤始终处于平等的地位，从而确保各自的利益不受损失，打消普通 消费者的顾虑，扩展电子支付的使用人群和业务范围。因此，设计公平的电子支 付方案在我国有着更加重要的现实意义。 公平的电子支付首先必须是安全的。密码学作为最有效的核心技术在保护信 息的保密性、完整性、认证性等方面发挥着关键作用。 密码学是信息系统安全的一门科学。密码技术的基本思想是对消息做秘密变 换，变换的算法即称为密码算法。而决定秘密变换的秘密参数叫做密钥。在密钥 的作用下，把有意义的明文变换成无意义的密文的变换叫做加密算法，相应的逆 变换叫解密算法。若在密钥的作用下把消息变换成一种“证据”，用来说明某个实 4 环签名体制研究与府用 体对消息内容的认可，则称变换为签名算法，相应的逆算法称为验证算法。 现代密码学的基本原则是：一切密码寓于密钥之中。即密码算法可以是公开 的，密文的安全性完全依赖于对密钥保密。 基于密钥的算法依据所使用的密钥通常分为两类：对称密码算法和非对称密 码算法。 对称密码算法：有时又叫传统密码算法，就是加密密钥能够从解密密钥中推 算出来，反过来也成立。在大多数对称算法中，加解密密钥是相同的。这样的算 法也叫单密钥算法。它要求发送者和接收者在安全通信之前，商定一个密钥。泄 漏暂钥就意味着仔何人都能对消息进行加解密。只要通信需要保密，密钥就必须 保密。由于每次传输都必须将密钥与对方分享，因此对称密码算法的密钥管理比 较复杂。其优点是保密强度高，计算开销小，处理速度快。常用的对称密码算法 有d e s 、t r i p l ed e s 、a e s 、b l o w f i s h 和r c 4 等。 非对称密码算法：也叫公丌密钥算法。加密密钥与解密密钥不同，并且不可 能由加密密钥计算出解密密钥( 至少在合理假定的期限内) 。每个用户都有两个密 钥：一个在信息团体内公开，称为公丌密钥( 简称公钥) ，另一个由用户秘密保存， 称为私人密钥( 简称私钥) 。用一个密钥加密信息，只有用相应的另一个密钥才能 解密。这种密码算法计算丌销大，处理速度慢。优点是便于密钥管理、分发。更 主要的是其拥有信息认证等功能，能够实现签字签名。若用公钥加密；私钥解密， 可实现多个用户加密信息，只能由一个用户解读，这可用于保密通信；若以私钥 加密；公钥解密，能实现由一个用户加密的信息而由多个用户解密，则可用于数 字签名。常用的非对称密码算法有r s a 、r a b i n 密码、e i g a m a l 密码和椭圆曲线 密码等，r s a 是目前使用比较广泛的非对称密码算法。 数字信封是对称密码算法与非对称密码算法的巧妙结合。信息发送端随机地 选择一只密钥，采用对称密码算法对欲传送的明文信息加密。再用接收端的公钥， 将对称加密时所用的那只密钥加密，得到数字信封。将数字信封和加过密的信息 一起传送给接收端。只有这个指定的接收端j 。能打丌信封，取得对称加密密钥， 用它来解开传送来的加密信息，得到明文。可以看出数字信封是一种高效、安全 的秘密信息传输技术。 数字签名是实现交互双方的身份认证、保证传输数据的完整性、确保签名行 为的不可抵赖性等的关键技术。它建立在非对称密码算法基础之上，是指签名人 使用私有密钥对欲发送的信息进行非对称加密处理，生成一段密文信息，附着在 原文上一起发送。这段信息类似现实中的签名或印章。接收方收到原文及附着信 息后，用签名人的公丌密钥对附着信息解密，将解密结果与附在一起的原文进行 比对，判断原文真伪。如果为真，就可以确定： 1 ) 消息确实由掌握签名密钥的人签名，从而实现身份认证； 第一章绪论 5 2 ) 收到的信息未被篡改，从而保证完整性； 3 ) 签名人事后不能否认曾经对该信息签名，保证了不可抵赖性。 数字签名根据所加密内容的不同可分为两种：一种是对原始消息整体进行加 密，再与原文一同传送。接收方收到后，对其中的密文进行解密，将解密结果与 原文比对，从而确定签名真伪。由于原始信息可能是一个较大的文件，并且非对 称加密及解密算法本身比较复杂，所以这种方法效率较低，只在原文件很小的情 况下使用；另一种是先以单向散列函数作用于原文，得到其单向散列值。再对单 向散列值进行加密，与原文一同传送。接收方收到后，求得原文的单向散列值， 将其与解密结果对比，确定签名真伪。这种方法尽管多出两次单向散列函数计算， 但是非对称加解密的操作对象不是原始消息本身，而是其单向散列值。所以，总 的看来，其效率要高于前面一种，也是广泛采用的做法。 数据加密与数字签名是安全电子支付体系的根基。 1 3 论文的主要贡献及内容安排 本文研究了环签名技术和基于环签名技术的同时生效签名技术，并在此基础 上着力于研究如何在低信任度甚至无信任的条件下保障电子支付的公平拄这一难 题，在公平支付协议方面，设计了无须涉及任何其他的第三方( 从而彻底去除了交 易双方对该第三方的可信性的怀疑和担心) 的公平电子支付方案。协议的公平性的 满足是不需要以双方的相互信任作为支撑的。 论文第二章主要论述证书密码体制下的环签名方案；第三章进一步讨论了基 于身份的环签名方案；第四章介绍了无证书密码体制下的环签名方案；第丘章研 究了基于环签名构建的同时生效签名，并且在此设计了针对数字型商品和实物型 商品无信任支撑的公平电子支付方案，并对其安全性能进行了分析。 由于作者水平有限，论文中的不足之处在所难免，敬请读者批评指正! 第二章环签名 第二章环签名 环签名作为一种密码技术，能够用来隐藏组织的内部结构，故无论在政治领 域，军事领域、还是商业领域都具有广泛的用途例如它可以用在电子选举 ( e l e c t r o n i cv o t i n g ) 、电子投标( e l e d m n i cb i d d i n g ) ，以及不可跟踪的电子现金系统 ( u n t r a c e a b l ee l e c t r o n i cc a s hs y s t e m ) - t j 身份托管( i d c n t i t ye s c r o w ) 等许多电子政务与 电子商务活动中。 2 1 数字签名基础知识 数字签名是建立在密码学基础上，通常借助单向哈希函数实现的一种模拟现 实签名的一种密码学算法。 2 1 1 数字签名基础知识 一般而占，数字签名大都是在公开密钥系统和单向哈希函数基础上建立起来 的。 1 公开密钥算法 1 9 7 6 年，d i f e 和h e l l m a n 提出了公开密钥剪法( p u b l i c k e ya l g o r i t h m ) 的概念。 公丌密钥算法又称为非对称密钥算法，其特点是作加密的密钥不同于用作解密的 密钥，而且解密密钥不能在合理的时间内根据加密密钥计算出束。因此加密密钥 可以公开，任何人都可以利用加密密钥对一个明文进行加密，但是只有用相应的 解密密钥才可以对密文进行解密。在公丌密钥算法中，能够被公开的加密密钥叫 公丌密钥( p u b l i ck e y ) ，而用于解密的密钥仅由密钥拥有者秘密保存，称为私有密 钥( p r i v a t ek e y ) 。公丌密钥算法既可以用作信息加解密，又可以用于数字签名。 安全的公开密钥系统，可以达到以下功能： a 保护信息机密：任何人均可将明文加密成密文，只有拥有解密密钥的人， 才能解密。 b 方便密钥分配及管理：在公开密钥算法中，每个节点只拥有一对密钥( 公丌 密钥私有密钥1 ，密钥对往往由节点自己产生。其它节点可以方便地获取一个节 点的公丌密钥，从而实现与该节点的安全通信。 c 不可否认性：由于只有节点自己j 。捌有其私有密钥，若他先用私有密钥将 明文加密( 签名) 成密文( 签名文) ，则任何人均能用对应公丌密钥将密文解密( 验i i e ) 成明文，并与原来的明文对照。由于只有该节点j 能将明文签名，任何人均能验 8 环签名体制研究与应用 证且无法伪造。公开密钥算法用于n 解密时，往往效率较低，因此不宜用于大量 数据的加密和解密。公开密钥算法的加解密通常用于秘密密钥的交换。 目前，常用的公开密钥算法有r s a ，椭圆曲线密码算法、e i g a m a l 算法、r a b i n 算法和利用双线性对( b i l i n c a rp a i r i n g s ) 实现的基于身份的公开密钥算法等。公开密 钥算法的加密懈密和数字签名的过程如图2 1 和图2 2 所示。 明文p 一- - - 明文p - - - - + e r - ( p ) = c 密文c - - - + l 陕z ( c ) ：p 图2 1 公开密钥用于加解密 i 及。( p ) ：c 签名c - - - - - - + 解密 明文p - - - - - - - - - - - - - + 明文p - 加密解密 图2 2 公开密钥用r 数字签名 2 单向哈希函数 哈希( h a s h ) 函数能够接受一个可变长度的字符串输入，返回一个固定长度的 字符串，又称哈希值或散列值。这种转换是一种压缩映射，也就是，散列值的空 i 日j 通常远小于输入值的空问，不同的输入可能会散列成相同的输出。而不可能从 散列值来唯一的确定输入值。 对于任意长度的消息m ，单向哈希函数h ( m ) 返凹固定长度的字符串h ，同 时具有如下特征： ( 1 ) 可计算性：给定m ，很容易计算h ； ( 2 ) 单向性：给定h ，根据h ( m ) ；h 计算m 是不可行的； ( 3 ) 抗碰撞性：又分为弱抗碰撞性和强抗碰撞性。所谓弱抗碰撞性，是指给定 m ，要找到另一个消息m ，使得h ( m = h ( m ) = h 在计算上也是不可行的。可 见，单向哈希函数的重要特性就是它能够赋予消息m 唯一的“指纹”。所谓强抗 碰撞性，是指发现两个随机的消息膨和m ，使得h ( m ；h ( m ) 在计算上是不可 行的。具备了强抗碰撞特征的单向哈希函数可以有效避免生只攻击。 ( 4 ) 映射分布均匀性和差分分布均匀性：哈希值中，为0 的b i t 和为1 的b i t ，其 第二章环签名 9 总数应该大致相等：输入中一个b i t 的变化会引起哈希值中将有一半以上的b i t 改 变，即所谓“雪崩效应”( a v a l a n c h ee f f e c t ) ；要使哈希值中出现1b i t 的变化，则输 入中至少会有一半以上的b i t 必须发生变化。其实质是必须使输入中每一个b i t 的 信息，尽量均匀的反映到输出的每一个b i t 上去；输出中的每一个b i t ，都是输入中尽 可能多b i t 的信息共同作用的结果。 单向哈希函数是数字签名的基础，建立在单向哈希函数基础上的数字签名算 法可以解决节点身份验证、不可抵赖性的问题。 日前常用的单向哈希函数主要有：m d 5 ，h a v a l - 1 2 8 ，m d 4 ，r i p e m d ，s h m a c 等。其中，最常用的单向哈希函数包括m d 5 ，s h a 等。m d 5 首先将消息充 填为长度5 1 2 位的倍数。然后以5 1 2 位分组来处理输入文本，每一分组又划分为 1 6 个3 2 位子分组。算法的输出是由四个3 2 位分组级联形成一个1 2 8 位的散列值。 s h a ( 安全散列算法) 与m d 5 非常相似，但输出1 6 0 位的散列值，因此被认为更安 全。 目前为止，有研究工作【3 1 表明，m d 5 已经可以在数小时内被破解，同时 h a v a l - 1 2 8 、m d 4 r i p e m d 等算法也己经被破解。s h a - 0 也可以在执行2 3 9 次哈 希运算后被破解，破解s h a - 1 的时| b j 复杂度也有望降低到较低的值，从而在合理 的时l 日j 内破解该算法。因此迫切需要建立更安全的哈希函数，以满足未来应用的 需求。 2 1 2 数字签名 在合适的公丌密钥管理系统下，借助于单向哈希函数，就可以根据不同的应 用环境和需求建立各种具体的数字签名协议了。 1数字签名的基本概念 数字签名是密码学研究的重要内容之一。是现实生活中手写签名在计算机网 络环境中的对应实现。其主要功能是用作签名者身份的证明，表示对所签内容的 认可。 为了实现其基本功能，数字签名至少具备以下基本功能： ( 1 ) 签名是可信的：数字签名应该能够使接受者确信签名者慎重地检查并认可 了被签名的文件。 ( 2 ) 签名不可伪造：数字签名应该能够证明文件上的签名确实是签名者本人亲 自( 或经授权后) 签署的，而不是其它人伪造的。 ( 3 ) 签名不可抵赖：签名者事后不能否认他( 她) 的签名。 ( 4 ) 签名不可篡改：签名者对文件签名以后，任何其它人都不可能对文件内容 进行更改而不被发现。 1 0 环签名体制研究与应用 ( 5 ) 签名不可重用：任何人都不可能将对一个文件的签名移植到另外一个文件 上。 根据数字签名标准d s s ( d i g i t a is i g n a t u r es t a n d a r d ) ，数字签名一般包含如下步 骤： ( 1 ) 签名者用一个哈希函数( 如s h a 1 或者m d 5 等) 对消息肘进行散列运算， 获得固定长度的消息摘要m d ； ( 2 ) 签名者将自己的私人密钥和消息摘要m d 进行数字签名算法( d s a ) 运算， 从而产生数字签名d s l ： ( 3 签名者将产生的数字签名d s l 连同消息一起发送给验证者； ( 4 ) 验证者用相刚的哈希函数对消息进行散列获得消息摘要m d ，通过数字签 名算法d s a 对消息摘要和签名者的公丌密钥进行运算获得数字签名d s 2 。如果 d s l 和d s 2 相等，则数字签名通过验证，否则数字签名验证失败。如图2 3 所以。 签名过程 i 璺| 2 3 公钥数字签名验让过 验让过程 2 面向应用的数字签名协议 在实际应用环境中，除了普通的数字签名协议，如r s a l 4 1 e i g a m a l 5 1 ，s c h n o i t 数字签名协议【6 】等之外，不同的应用需求往往要求数字签名算法具有不同的特点 和功能，因而就产生了各种不同的数字签名协议，如： ( 1 ) 不可抵赖数字签名( u n d c n i a b l cs i g n a t u r e ) 1 7 j s j 与普通的数字签名类似，不可抵赖数字签名同样依赖于签名的文件和签名者 的私有密钥。但是，不可抵赖数字签名只有在得到签名者同意的情况下j4 能够被 验证。该类签名的基本过程如下： a 签名者向验证者出示一个签名； b 验证者产生一个随机数并送给签名者； c 签名者利用随机数和其私有密钥进行计算，将结果送给验证者。签名者只 在签名有效时4 执行上述计算。 d 验证者确认这个结果。 ( 2 ) 指定确认人签名( d e s i g i l a t e dc o n f i r m e rs i g n a t u r e ) 1 9 1 1 1 0 i 在一些机构内部可能经常需要使用不可抵赖数字签名协议，丽且不希望每个 第一二章环签名 签名者经常忙于对其签名进行确认。这类签名允许签名者在不可抵赖数字签名协 议中指定特定的人对签名对进行确认，而不必让签名者亲自对签名进行确认。签 名者a l i c e 能够对文件进行签名，并使验证者b o b 相信签名是真的。同时a l i c e 也可以指定c a r o l 作为其签名的确认入，对签名进行确认。a l i c e 甚至可以在未经 c a r o l 同意的情况下指定其为签名确认人。 指定确认人签名是不可抵赖数字签名和标准签名的折衷。它一方面能够使签 名者限定其签名的确认人，同时又能够防止签名者签名后拒绝确认或否认其签名。 在保护不可抵赖数字签名的同时有防止了签名者滥用这种保护。 代理签名( p r o x ys i g n a t u r e ) 当一个人在旅行中不便对文件进行数字签名，而又很必须签名时，可以通过 代理签名达到上述目的。这类签名允许原始签名者a l i c e 将其签名权委派给另一 个人d a v i d ( 代理签名者1 ，使d a v i d 代为签名而不泄露a l i c e 的私有密钥。在这种 签名中，a l i c e 为了能够将签名权委派给d a v i d 而不泄露自己的私有密钥，往往需 要将自己私有密钥信息隐藏到一个矢量中，将该矢量而不是私有密钥交给d a v i d ， d a v i d 通过该矢量和自己的私有密钥对签名文件进行数字签名。 代理签名不仅具有不可伪造性、可验证性、不可抵赖性的标准签名的特性， 还具有可区别性、可识别性。可区别性允许任何人都可以区别代理签名和正常签 名；可识别性允许原始签名者从代理签名中识别代理签名者的身份。 ( 4 ) 群签名( g r o u ps i g n a t u r e ) i n ! 群签名是一种签名者模糊的签名，它指定一组节点，只有组内的节点爿可以 对文件进行签名，验证者可以验证签名的有效性但无法确定签名者的身份。在出 现争议时签名能够被打开，从而揭露签名者的身份。这种签名可以依赖可信第三 方( 1 t r p ) 来实现，t r p 首先生成很大的公钥私钥对空| 日j ，并以随机顺序公开。然 后将从该空间划分为若干不重叠的公钥，私钥对表，将每个表分配给一个组成员， 每个组成员签名时，从自己表中取出一个密钥对。验证者在验证签名时需要参考 t r p 的密钥对空闯。在发生争议时，由t r p 揭示签名者的身份。 此外还有其它一些签名算法，如盲签名等。 2 2 环签名 环签名是一种新的匿名签名技术，因签名中参数c ( f = 1 ，2 ，n ) 根掘一定的规 则首尾相接组成环状而得名。r i v e s t 等人首先明确提出了这一概念【1 2 j ，并在最近 引起了人们的重视【1 3 1 卯。环签名不同于群签名，环签名可以实现无条件匿名，即 无法追踪签名人的身份，而群签名中群管理员的陷门信息可揭露具体签名者的身 份。环签名的这种无条件匿名性一方面在对信息需要长期保护的一些特殊环境中 环签名体制研究与应用 非常有用，例如，即使r s a 被攻破也须保护匿名的场合。一个环签名方案必须满 足下面两个安全性要求： ( 1 ) 无条件匿名性：即无法追踪签名者的身份。攻击者即便非法获取了所有 可能的签名者的私钥，他能确定出真正的签名者的概率不超过】n ，这罩n 为可能 的签名者的个数。 ( 2 ) 不可伪造性：外部攻击者在不知道任何成员的私钥的情况下，即使能够 从一个产生环签名的随机预言模型那得到任何消息m 的签名，他也不能成功伪造 个合法签名。 此外，环签名还有一个显著特征，即实际签名者可在所有用户中任意选取参 与签名的用户( 包括自己) 来产生一个环签名，而不必通知被选用户，也不需要 其他环成员的协助，所需要的仅仅是他们的公钥。也就是说，签名者可以指定自 己的匿名范围，而被指定的用户可铯并不知道自己被包含在其中。 2 2 1 环签名的提出 环签名是由r i v e s t 等提出了这样一个问题1 1 2 1 ：如何泄漏秘密? b o b 是内阁的 一员，他想向记者透露总理的违法行为，而b o b 必须是匿名的，但是又要记者确 信这一透露确实来自于一个内阁成员。很显然b o b 不能给记者发送一个标准的数 字签名信息，因为它虽然让记者确信这条信息来自于内阁成员，但是无疑电直接 暴露了b o b 的身份。另一方面b o b 也不能发送给记者一份匿名的消息，因为它剥 离了发信者的身份信息，记者也没有任何理由相信该消息来自内阁成员。标准的 群签名也不能解决这个问题，它要求其他成员提前合作来建立签名，而且b o b 的 身份也易受到群管理员的攻击，因为管理员有可能已经被总理控制了。 环签名可以很好的解决这个问题。b o b 用环签名签名信息后发送给记者，环 签名上写有每一位作为环成员的内阁成员的名字。记者和读者都可以验证该消息 的签名者是内阁成员，但都不能确定哪一位是签名者。这样就完美的保护了揭秘 者的身份。 1 环签名的定义 所有可能的签名者构成环，每一位可能的签名者称为环成员，实际产生签名 的环成员称之为签名者( s i n g e r ) ，每一位其他的环成员称之为非签名者( n o n s i g n e r ) 我们假定每位可能的签名者都分配有公钥n 和相应的私钥& 。普通的环签名 除了要求一个单向置换函数用柬产生和验证签名外，没有其他的特殊要求。 定义环签名由以下两个算法实现： 签名算法r i n g s i g n 伽，p l ，p 乳s ) ：输入是，个环成员的公钥p 1 ，p r 、 待签名消息t n 和第s 个环成员( 实际的签名者) 的私钥& ，输出是环签名o r 。 第一二章环签名 1 3 验证算法r i n g v e r i f y ( 卅，口) ：输入是消息m 和签名o r ，输出是t r u e 或者 f a i s c 。 2 2 2r s a 版本的环签名【1 2 】 假定i c c 希望对消息m 进行环签名，环的大小是r ，环成员分别是 4 ，a 2 ，a ，。其中签名者a l i c e 是a ，1 s r 。本环签名的构造需要用到门限置 换、对称加密、h a s h 函数以及一个复合函数，下面逐一介绍。 1r s a 门限置换 每一位环成员a 。有一个r s a 公钥p i = ( m ，o ) ，厶上的单向门限置换正满足： ，0 ) ；驴( m o d 吩)式( 2 - 1 ) 我们瑕定只有正知道怎样利用门限信息有效地计算逆置换，- 1 ，这一点符合 最初的对于公钥加密的d i f f i e h e l l m a n 模型【1 6 | 。 2扩展门限置换到共同的域 即使所有的模n ，的b i t 位数相同，不同的环成员的门限r s a 置换的域的大小 也将不同，这样要将各自的签名组合起束就显得困难，因此我们要把所有的门限 置换扩展n - 个共同的域 o ，矿上，矽大与所有的模n t 。对于每一个厶，上的门限 置换，我们在 o ，妒上定义扩展门限置换舅，对于任意的b b i t 的输入，l 定义两个 非负整数吼和，满足m = q , n 。+ ，0 墨，使得 舯学吖 2 嘲彰i ，玎e 憋巴 式( 2 2 ) 如果我们选取足够大的b ( 比如比任何的托位数大1 6 0 个h i 0 ，那么随机选择 的肼经过岛扩展后不变的概率就可以忽略不计。函数舅无疑是在 o ，矿上的一个 置换，而且是一个单向的门限置换，因为只有那些知道如何逆转f 的人才能有效 地逆转岛。 3 对称加密 我们假定存在被公共定义的一个对称加密算法e ，使得对任意长度，的密钥 k ，函数e 都是在b b i t 串上的一个罟换。这里我们使用随机( 置换) 预言机模型，假 定所有人都能获得预言机对于毛o ) 和巨1 0 ) 形式的新的提问提供的真正的随机 的回答，仅当这些答案和先前的一致时，那么匠就是一个罟换了( 参见 1 7 】) 。 4h a s h 函数 我们假定存在被公共定义的抗冲突的h a s h 函数h ，它将任意输入映射成长度 为f 的b i t 串，这个b i t 串将作为对称加密算法e 的密钥。我们把h 认为一个随机 预言机。( 因为h 不需要置换，不同的置换可能得到相同的结果，因此不接受h ” 1 4 环签名体制研究与应用 的查询。) 5 复合函数 定义复合函数 q ，( y l ，y ：，y ，) ， 式( 2 - 3 ) 输入为密钥七，初始化变量v ，以及 o l b 上的任意值y l ，y ：，y ，。每一个这样的 复合函数都有一个子函数e ，并且输出值z o ，1 r ，对于任意的固定值k 和v 有如 - f 性质： 置换性：对于每一个s ( 1 ss ，) 和所有任意固定的只( f s ) ，函数g ，是从咒 到输出z 之问的一对一映射。 有效性：对于每一个s 0 量s s ，) ，给定一个b b i t 的z 以及除了y ，以外的所有只 的值，能够有效地找到一个b b i t 的值y 。，满足 g ，( y l ，y 2 ，y ，) = z 。 式( 2 。4 ) 不知道门限的情况下求解不可行性：给定k ，v 和z ，如果敌手不能逆转门限函 数g 。，g ：，g ，中的任何一个，他想从方程 q ，( 9 1 “) ，g ： ：) ，g ，似) ) = z 式( 2 - 5 ) 中求解出，z ：，是不可行的。 利用对称加密函数臣构造了复合函数 c ，( y 。，y ：，y ，) 一邑( y ，o t o 。o 乓( 只一：o b ( o 乓( y l o v ) ) ) ) ) 。式( 2 6 ) 函数中用到的序列( m ，y 2 ，y ，) 出只= 舅“) 计算得出，如图2 4 所示。 v o e k t y l = 9 1 ( x 1 ) t x 1 - _ e 置一 t y2 = g2 ( x2 ) t x 2 呻。一e x z t y ，= g ，( x ，) t x r 图2 4 复合函数线状图 显然该复合函数满足置换性，因为异或( x o r ) 、& 和最函数都是置换的。其次知 道了k 以后上式就可以从初始值v 丌始向i j 计算，也可以从最后的z 丌始向后计 算，从而可以唯一的计算出任何未知的值y ，即满足了有效性。通过把待签消息 m 的h a s h 值指定为对称密钥k 和强制输出z 等于输入y ，本函数可以用来验证签 名，相应的等式变为 g ，( y 。，y 2 ，y ，) 一y ， 式( 2 7 ) 第二章环签名 图2 4 中的线性也变成了图2 5 中的环形。 埽，蛙) e 夕 6 ) ，那么有a bb i t s 可以潜在地用来进行潜信道通信。而 随机数是阈下信道的载体。 阂下信道也存在于环签名方案中。在一个有，个成员的环中，环签名消耗了， 个随机数：y ，( f = 1 ，r ，f j ) ，这些随机数构成了一个宽带阈下信道，这罩将利 用这个阈下信道传输签名者的秘密身份信息。 为了方便起见，我们将在初始值中嵌入秘密信息，r i v e s t 等在【1 2 】中说明了初 始值可以是任意值，即使是全0 也不会有损安全性。这里将选择一些特殊值，但 对于验证者来说仍然具有随机性，之后签名者可以解密此特殊值束证明自己j 是 环成员中真正的签名者。 首先给出一个一次身份方案，即只能用来证明身份一次。但是这个一次身份 方案用在环签名中非常合适，因为没有必要证明真实签名者多次。签名者按照下 面步骤完成签名： 1 签名者选择一个随机数r 。 2 签名者按照r i v e s t 等提出的环签名进行签名，但是令其中的 v = h ( h ( r ，d ) ) ，其中，d 是签名者的身份信息。 等到环签名公开以后，签名者认为是时候公丌自己的身份了，那么他就公丌 环签名体制研究与应用 t h ( r0i d ) ，然后任意验证者可以按如下方式验证签名和签名者公开的信息： 1 按照r i v e s t 等提出的方法验证环签名的有效性，如果验证通过，则进入2 ； 否则拒绝。 2 如果v h ( o ，则相信公开t 的人是签名者；否则拒绝。 更进一步，如果签名者要公布自己的身份，那么它可以公开随机数兄和国，那么 上面验证算法的因该加上第三步： 3 如果t h ( r0 i d ) ，则相信公丌r 和，d 的人是签名者。 笔者注意到这样用身份信息，d 的形式虽然简单，但是却存在问题，即b o b 可 以在嵌入信息时嵌入其他环成员的身份信息，d ，比如a l i c e 的，然后诬陷总统有 不法行为，最后再公布r 和j d ，验证者一看是a l i c e 的，但是a l i c e 是冤枉的。 当然，a l i c e 也可以声称自己是无辜的，因为b o b 可以这样做。由此看来，只简 单的利用，d 是不够的，笔者认为应该在隐藏的信息里加上签名者的普通数字签 名。笔者简单修改如下： 签名生成算法： 1 签名者选择一个随机数r 。 2 签名者按照r i v e s t 等提出的环签名进行签名，但是令其中的 v 一 ( 俾0 0 s i g n 。( r ) ) ) ，其中，d 是签名者的身份信息，s i g n p 僻) 是, 签名者用自己的私钥p 对r 进行r s a 签名1 4 j o 验证算法： 1 按照r i v e s t 等提出的方法验证环签名的有效性，如果验证通过，则进入2 ； 否则拒绝。 2 如果v = o ) ，则相信公丌t 的人是签名者；否则拒绝。 更进一步，如果签名者要公御自己的身份，那么它可以公开随机数r 、和 s i g n 。俾) ，那么上面验证算法的因该加上一下两步： 3