（计算机软件与理论专业论文）基于身份的不可传递性环签名与环签密算法研究.pdf

中国科学技术大学硕士学位论文 摘要 摘要 数字签名在提供消息完整性的同时，还能确保消息来源的真实性，使得消 息具有不可否认性，在网络安全协议中具有重要而广泛的用途。网络环境中的一 些数字签名应用，往往要求一方的实体在参与应用过程中能够保持自己身份的隐 私性，同时要求另一方不能向第三方故意泄露接收到的数字签名。在此基础上的 另一类应用，还希望在签名传输过程中对消息明文进行加密以保证消息的机密 性。这就要求这些数字签名应具有签名者身份模糊性和不町传递性，甚垒有些时 候还应具有消息机密性。然而现存的签名算法尚不能完全满足此类要求。因此， 针对此类应用的独特需求，基于现有的密码学理论构造合适的签名算法是非常必 要的。 为了满足第一类应用需求，本文借鉴变色龙哈希方案为变色龙签名引入不 可传递性的思想，设计了一个特殊的基于身份的哈希方案f c h a s h 。该哈希方寨 能够与满足h e r r a n z s a c z 通用环签名定义的环签名方案紧密结合，利用指定接收 者的公钥和私钥赋予其伪造签名的能力。通过将f c h a s h 方案与一个满足通用环 签名定义的环签名方案r s i g 有机融合。构造了一个基于身份的不可传递性环签 名方案i n r s s 。分析表明，该环签名方案具有签名者身份模糊性、不可传递性和 第三方不可伪造性，能够很好地满足第一类应用需求； 接下来，针对具有更高安全要求的第二类应用需求，本文在i n r s s 方案的 基础上利用环签密技术，通过将消息的密文信息积恢复解密密钥的关键信息有机 融合在不可传递性环签名方案中，构造了一个基于身份的不可传递性环签密方案 i n r s c s 。分析表明该方案除了具有签密者身份模糊性、不可传递性、第三方不 可伪造性外还具有消息的机密性，另外在计算开销卜与i n r s s 方案的计算丌销 相当，很好地满足了第二类应用需求。 最后，作为对本文设计的两个签名方案的应用实践，本文以i n r s c s 方案 为核心算法，合理增加自证明信息生成算法和自证明信息验证算法，实现了一个 简单的支持悬赏功能的匿名电子举报系绕。该举掇系统具有举报者匿名性、举报 内容机密性、举报不可伪造性、举报不可传递性和举报者身份自证明性，能够较 好地满足匿名电子举报应用的要求。 关键词：基于身份，环签名，环签密，身份模糊性，不可传递性，消息机密性， 不可伪造性 中国科学技术大学硕士学位论文 捕舞 a b s t r a c t d i g i t a ls i g n a t u r e s c a np r o v i d ei n t e g r i t yo ft h em e s s a g e g u a r a n t e ct h e a u t h e n t i c i t yo ft h es o u r c e ，a n dm a k em e s s a g eu n d e n i a b l e s ot h e ya r ev e r yi m p o r t a n t a n dw i d e l yu s e di nm a n y s e c u r i t yp r o t o c o l s s o m ea p p l i c a t i o n so f d i g i t a ls i g n a t u r e si n n e t w o r ke n v i r o n m e n tr e q u i r et h ei d e n t i t yo fo n ep a r to fp a r t i c i p a t o r st ob ep d v a m ； m e a n w h i l et h eo t h e rp a r ts h o u l dn o ti n t e n t i o n a l l yl e a kt h er e c e i v e dd i g i t a ls i g n a t u r et o a n yt h i r dp a r t i na d d i t i o n ，s o m eo t h e ra p p l i c a t i o n sf u r t h e rr e q u i r ek e e p i n gt h es i g n e d m e s s a g et ob ec o n f i d e n t i a l s o ，d i g i t a ls i g n a t u r es c h e m ei ns u c hk i n do fa p p l i c a t i o n s s h o u l db es i g n e r - a m b i g n o u s ，n o n - t r a n s f e r a b l e ，a n ds o m e t i m e sc o n f i d e m i a | ，b u t e x i s t i n gs i g n a t u r ea l g o r i t h m sc a nn o te f f e c t i v e l ym e e ts u c hr e q u i r e m e n t s t h e r e f o r e ，i t i sv e r yi m p o r t a n ta n dn e c e s s a r yt oc o n s t r u c ts u i t a b l es i g n a t u r ea l g o r i t h mf o rt h ea b o v e t w ok i n do f a p p l i c a t i o n sb a s e do nc r y p t o g r a p h i ct h e o r y a l l o w i n gf o rt h ef i r s tk i n do fa p p l i c a t i o n s ，t h et h e s i sd e s i g n sas p e c i a li d b a s e d h a s hs c h e m ef c h a s h t h i sh a s hs c h e m ec o u l dc l o s ei n c o r p o r a t ew i t l lr i n gs i g n a t u r e s c h e m e sw h i c ha c c o r d 丽mh e r r a r t z s a e zg e n e r i cr i n gs i g n a t u r ed e f i n i t i o na n d m a k ei tn o n t r a n s f e r a b l e b yi n c o r p o r a t i n gf c h a s hw i t har i n gs i g n a t u r es c h e m e r s i g n , t h i st h e s i sc o n s t r u c ta ni d b a s e dn o n - t r a n s f e r a b l er i n gs i g n a t u r es c h e m e i n r s s a n a l y s i ss h o w st h a ti n r s si ss i g n e r - a m b i g u o u s ，n o n t r a n s f e r a b l ea n d u n f o r g e a b l e ，a n ds a t i s f a c t o r i l ym e e tt h er e q u i r e m e n t s o f f i r s tk i n do f a p p l i c a t i o n ； n e x t ，i no r d e rt on e e tt h ef l n t h e rr e q u i r e m e n to ft h es e c o n dk i n do fa p p l i c a t i o n ， t h i st h e s i sc o n s t r u c ta l li d b a s e dr i n gs i g n c r y p t i o ns c h e m e ( i n r s c s ) o nt h eb a s i so f i n r s sb yu s i n gt h et h e h n o l o g yo fr i n gs i g n c r y p t i o n t h i ss c h e m ei n c o r p o r a t e st h e c i p h e r t e x to fm e s s a g ea n dt h ek e yi m f o r m a f i o nw h i c hu s e dt or e c o v e rt h ed e c r y p t i o n k e y i ni t a n a l y s i ss h o w st h a ti n r s c si sn o to n l ys i g n e r - a m b i g u o u s ，n o n - t r a n s f e r a b l e a n du n f o r g e a b l ea si n r s si s ，b u ta l s oi sc o n f i d e n t i a l i na d d i t i o n , i n r s c s s c a l c u l a t i o nc o s ti sa p p r o x i m a t et oi n r s s s s oi n r s c sc a ns a t i s f a c t o r i l ym e e tt h e r e q u i m m c n t so f s e c o n dk i n do f a p p l i c a t i o n s ； f i n a l l y , a se na p p l i c a t i o no f t h e a b o v et w oa l g o r i t h m s ，t h et h e s i sd e s i g n sas i m p l e a n o n y m o u se - p r o s e c u t i o ns y s t e mw i t hr e w a r ds u p p o r tb yi n r s c sa sc o r ea l g o r i t h m w h i c hi n c o r p o r a t es e l f - p r o o fm e c h a n i s mt oa l l o wt h es i g n e rt od i s c l o s ei t si d e n t i t yi f n e s s a r y t h i se - p r o s e c u t i o ns y s t e mi ss i g n e r - a m b i g u o u s ，c o n f i d e m i a l ，u n f o r g e a b l e ， n o n - t r a n s f e r a b l ea n d s e l f - p r o v a b l e a n d 。c o u l d m e e tt h er e q u i r e m e n t so f 雒 e - p r o s e c u t i o ns y s t e m ， i i 中国科学技术大学硕士学位论文摘要 k e y w o r d s ：i d b a s e d , r i n gs i g n a t u r e ，r i n gs i g n c r y p t i o n , s i g n e r - a m b i g u o u s ， n o n - t r a n s f e r a b l e ，c o n f i d e n t i a l ，u n f o r g e a b l e l n 中国科学技术大学学位论文相关声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究 工作所取得的成果。除已特别加以标注和致谢的地方外，论文中 不包含任何他人已经发表或撰写过的研究成果。与我一同工作的 同志对本研究所做的贡献均已在论文中作了明确的说明。 本人授权中国科学技术大学拥有学位论文的部分使用权， 即：学校有权按有关规定向国家有关部门或机构迭交论文的复印 件和电子版，允许论文被查阅或借阅，可以将学位论文编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文。 保密的学位论文在解密后也遵守此规定。 作者签名： 缈7 年多月目 中国科学技术大学硕士学位论文 第l 乖0 f 苦 第1 章引言 随着互联网技术的发展，互连网的应用也一步步进入人们的生活，方便着 人们的生活。人们不仅希望通过网络获得学习、交流、娱乐的满足，同时还希望 将一些传统的事务转移到网络上进行，从而使之更加快捷高效。在这些应用中往 往需要利用数字签名保证消息的完整性、消息来源的真实性以及消息的不可否认 性。 通常情况下，现有的签名技术能满足大部分应用的需要。然而对于一些特 殊的应用需求，现有的签名技术却无法满足。例如在一个电子心理疾病诊断系统 中，患者与医师通信时要对消息进行签名，为保护患者的隐私，往往要求数字签 名能对患者的身份保密，同时要求含有患者病情信息的数字签名不能被医师故意 泄露。类似的应用有很多，它们都有一个共同的特点：要求一方的实体在参与应 用过程中能够保持自己身份的隐私性，同时要求另一方不能向第三方故意泄露接 收到的数字签名。在某些对安全性要求更高的应用中，例如在一个电子举报系统 中，人们希望满足以上两点的同时对消息加密保证消息的机密性。针对这类应用 的独特需求，基于现有的密码学理论构造合适的签名算法是非常必要的。 在保护签名者身份隐私性方面，环签名( r i n gs i g n a t u r e ) 是很好的选择，它 是签名者身份模糊( s i g n e r - a m b i g u o u s ) 的数字签名，接收者只知道该签名来e i 某 个实体的集合但不能确切地知道签名者的身份；环签密( r i n gs i g n c r y p t i o n ) 可以用 较小的代价给签密者提供无条件匿名性的同时，保护签密消息的机密性；签名的 不可传递性( n o n t r a n s f e r a b l e ) 最初来源于变色龙签名，它使得签名的特定接收者 能以签名者的身份任意伪造接收到的签名，从而保证签名的特定接收者无法以令 人信服的方式将签名消息泄露出去。上述第一类应用需求的核心算法实质上就是 一种拥有不可传递性的环签名算法，本文称为不可传递性环签名；而对于更高安 全需求的那类应用来说，实质上就是一种具有不可传递性的环签密算法，本文称 之为不可传递性环签密。 本文的研究内容就是要构造出满足上述应用需求的不可传递性环签名和不 可传递性环签密算法。 密钥管理系统是数字签名算法的基石，选择一个适用的密钥管理系统是设 中国科学技术大学硕士掌位论文 第1 章引言 计一个合理的数字签名算法的关键。接下来，本章将首先介绍密钥管理系统，然 后再对数字签名与数字签密的基本概念作简单的介绍。 1 1 密钥管理系统概述 密钥管理系统【1 】【2 1 【3 】【4 】【5 1 是密码系统的重要组成部分，它涉及密钥的产生、分 配、传送、保管、销毁一整套管理手段，主要任务是保证密码系统中密钥的安全。 密钥管理系统是数字签名的基础，在数字签名过程中签名者首先需要通过密钥管 理协议获得有效密钥才能完成签名。下面就密钥管理系统分类和常用密钥管理协 议作简要的阐述。 1 1 1 密钥管理系统分类 现存的密钥管理系统按有无管理中心可分为具有管理中心的密钥管理系统 和不具有密钥管理中心的密钥管理系统： 1 ) 具有管理中心的密钥管理系统 这种管理系统在一个网络中有一个密钥分发中心( k e yd i s t r i b u t i o n c e n t e r - k d c ) 负责给网络中的其它用户分配会话密钥。该密钥管理协议可以采 用对称密钥密码算法和公钥密码算法两种方式实现。 在采用对称密钥密码算法的协议中，每个用户都与k d c 共享一个单独的密 钥。最简单的k d c 密钥分发协议是大嘴蛙( w i d e m o u t hf r o g ) 1 6 1 1 7 1 ： 其示意图如图1 1 所示： j 1a ，k a ( b k 。) r 一 犬 o 1 习 = ： 叫k 舱k 曲p o n ， 图1 - ! 大嘴蛙密钥分发协议 通信双方a l i c e 和b o b 按如下步骤获得会话密钥k s -( 1 ) ：a l i c e 选择一个 会话密钥l ( s ，然后告诉k d c 他想用k s 与b o b 通话，这条消息用a l i c e 与k d c 的共享密钥k a 加密。( 2 ) ：k d c 解密a l i c e 发来的消息，获得b o b 的名字和会 中国科学技术大学硕士学位论文第1 牵引言 话密钥，然后构成一条包含a l i c e 的名字和会话密钥的新消息，并将这条消息发 给b o b 。这条消息用b o b 和k d c 的共享密钥k b 加密。 在采用公钥密码算法的协议中，k d c 只保存自己的私钥，每个用户都知道 k d c 的公钥。其密钥分发的步骤与大嘴蛙的步骤一致，不同的是用户a l i c e 向 k d c 发送的消息用k d c 的公钥加密，而k d c 发送给b o b 的消息则用k d c 的 私钥加密。 2 ) 不具有管理中心的密钥管理系统 此类管理系统的特点是没有一个密钥管理中心负责网络中的密钥分发，典型 的就是d i f f i e 和h e l l m a n 共同提出的d i f f i e h e l l m a n 公开密钥协议1 8 】，它使得一 个系统中的两个用户可以直接进行密钥协商以却定会话密钥，该算法的有效性建 立在计算离散对数是很困难的这一基础之上。此外还有一种称为基于门限密码系 统的分布式密钥管理系统，此类密钥管理系统是利用门限密码系统将传统密钥分 发认证中心承担的功能分散到多个节点上，有这些节点共同承担原来单个的分 发，认证中心的功能，此类系统并不能算真正的不具有管理中心的密钥管理系统。 1 1 2 密钥管理系统举例 常用的密钥管理协议有基于对称算法的密钥管理、基于公开密钥基础设施 p k i 的密钥管理和基于身份的密钥管理，下面本文对这些协议作简要介绍： 1 ) 基于对称算法的密钥管理 在基于对称算法的密钥管理系统中，一般都存在一个密钥分配中心k d c ，每 个客户与密钥分配中心共享一个密钥，此密钥用于分配。客户之间的通信用一个 临时会话密钥加密，典型的就是大嘴蛙协议( 图卜1 ) 。实际上没有必要把密钥 分配功能限定在单个k d c 上，当网络规模很大的时候这样做是不实际的。这个时 候可以使用层次式k d c 。 2 ) 基于公开密钥基础设施p k i 的密钥管理i l l i ，l 公钥基础设施p k i ( p u b l i ek e yi n f r a s t r u c t u r e ) 踟是一种以公开密钥算法为基 础，统一解决密钥发布、管理、和使用的系统，它由公开密钥密码技术、数字证 书、证书发放机构( c a ) 和关于公开密钥的安全策略等基本成分共同组成。 p k i 体系中的密钥管理主要体现在对各类证书所使用的公、私密钥对的管 中国科学技术大学硕士学位论文第1 牵l 苦 理上，用户私钥由自己或委托c a 服务机构生成，并用合适的存储介质妥善保存， 其对应的公钥由安全可靠的途径发送到c a ，供其他用户进行查询。密钥的保存、 更新、撤销等管理方式根据p k i 的管理策略而定。 3 ) 基于身份的密钥管理1 1 0 1 1 1 1 i i l 2 i 基于身份的密钥管理系统是种特殊的公开密钥系统，在这种系统中，用户 的公开密钥可以由用户的身份标识如i d 号、名称、m 地址、m a c 地址、电子邮 箱等，或者是这些信息的某种组合，或者是这些信息经过某种简单运算( 如哈希 运算) 的结果。节点的私有密钥往往是公开密钥与某个秘密参数运算之后的结果。 在这种公钥系统中，知道了一个节点的身份标识信息也就知道了该节点的公开密 钥，无须节点间通过交换证书获取彼此的公开密钥。因此基于身份的公钥管理系 统是种无证书公钥管理系统，相对于p k i 而言，更灵活简单，效率更高。 鉴于基于身份的密钥管理系统简单、灵活、高效的特点，本文设计的签名方 案和签密方案将采用基于身份的密钥管理系统。关于基于身份的密钥管理系统更 详细的介绍将在第2 章给出。 1 2 数字签名概述 数字签名是公钥密码学发展过程中最重要的概念之一，它可以提供其它方法 难以实现的安全性。本小节先简要介绍数字签名的理论基础，然后介绍数字签名 的概念并对常用数字签名方案举例，最后单独介绍本文要用到的环签名与环签密 的概念。 1 2 1 数字签名理论基础 1 ) 公钥密码体制 1 9 7 6 年d i f f 和h e i l m a n 首次提出了公开密钥算法的概念【引，利用公钥密码 体制可以实现加密解密、密钥交换和数字签名。 个公钥算法具有如下步骤： ( 1 ) 每个用户产生一对密钥用于加密和解密。用于加密的密钥不同于用于 解密的密钥，而且解密密钥不能在合理的时间内根据加密密钥计算出来，因此加 密密钥可以公开，任何人都可以利用加密密钥对一个明文进行加密，但足j l 囱+ f j 4 中闺科学技术大学硕士学位论文第1 章0 i 宣 相应的解密密钥才可以对密文进行解密。 ( 2 ) 每个用户将其加密密钥公开，解密密钥保持私有。 ( 3 ) 当用户a 向用户b 发消息时，a 用b 的公钥对消息加密。 ( 4 ) 用户b 收到消息后，用其私有密钥对消息解密。 在公开密钥算法中，能够被公开的加密密钥叫公开密钥( p u b l i ck e y ) ，而用 于解密的密钥仅由密钥拥有者秘密保存，称为私有密钥( p d v a t ek e y ) 。 目前，常用的公开密钥算法有r s a ”1 ，椭圆曲线密码算法【4 】、e i g a m a l 算法【1 6 1 、和利用双线性对( b i l i n e a rp a i r i n g s ) 实现的基于身份的公开密钥算法【1 0 1 等。 。 2 ) 单向哈希m a s h ) 函数 哈希函数的目的就是产生文件，消息或其它数据块的“指纹”。哈希函数的 哈希值h 由形如h = h ( m ) 的函数h 生成并且必须满足下列性质： ( 1 ) h 可应用于任意大小的数据块m 。 ( 2 ) h 产生定长的输出。 ( 3 ) 对任何给定的m ，计算h ( m ) 很容易。 ( 4 ) 对任何给定的哈希值h ，找到满足h ( m ) = h 的m 在计算上是不可行的。 此特性称为单向性。 ( 5 ) 对任何给定的m ，找到满足m ，m 且h ( m ，) = h o 田的m 在计算上是 不可行的。此特性称为抗弱碰撞性。 ( 6 ) 找到任何满足h ( m ，) = h ( m ) 的偶对( m ，m ) 在计算上是不可行的。此 特性称为抗碰撞性。 单向哈希函数是数字签名的基础，建立在单向哈希函数基础上的数字签名算 法可以解决节点身份验证、不可抵赖性的问题。 目前常用的单向哈希函数主要有：m d 5 t 7 】【l8 1 、安全哈希算法( s h a ) i 1 9 】等。 1 2 2 数字签名 数字签名是现实生活中手写签名在计算机网络环境中的对应实现，一个数字 签名必须满足以下条件： ， ( 1 ) 签名者对某段消息n l 签名后不能否认他曾对i 1 1 签过名。 中国科学技术大学硕士学位论文第1 章引言 ( 2 ) 其他人不能伪造出签名者的签名。 ( 3 ) 签名具有可验证性，在公钥体制下的签名协议，任何人都可以对签名 者的签名进行验证。 根据美国国际标准与技术研究所( n i s t ) 发布的数字签名标准( d s s ) ，一 个标准的数字签名过程如图1 2 所示： 图1 - 2 数字签名标准d s s ( 1 ) 签名者生成签名：首先利用哈希函数h 生成消息m 的的哈希值h ，然 后为此次签名产生一个随机数k ，将h 和k 作为签名函数s i g 的输入，签名函数 s i g 依赖于签名者的私钥k r a 和全局公钥k u g 。生成的签名由两部分组成，标配 为s 和r 。 ( 2 ) 签名者将消息m 和m 的签名( s 和r ) 一起发送给接收者。 ( 3 ) 接收者对签名进行验证：接收者对收到的消息m 利用哈希函数h 产 生哈希值h ，这个h 和签名( s 和r ) 一起作为验证函数v e r 的输入，验证函数 v e r 依赖于全局公钥k u g 和签名者的公钥k u a 。若验证函数的输出等于签名中 的r ，则签名是有效签名，否则为无效签名。 1 1 经典数字签名协议 最早的数字签名是r s a 签名算法【】3 1 ，它是基于r s a 公钥密码系统的。在 r s a 签名中，签名者首先用哈希函数对要签名的消息作哈希运算输出定长的哈 希码，然后用自己的私钥对该哈希码加密生成签名，然后发送消息及其签名给接 收者。接收者用发送方的公钥对签名解密，然后将解密结果与消息的哈希码对比， 如果相等则是有效签名，否则为无效签名。 e i g a m a l 签名算法0 6 1 是基于离散对数的算法，它由e i g a m a l 在1 9 8 4 年提出， 后来k o b i t z 和m i l l e r 分别提出了基于有限域椭圆曲线的e l g a m a l 签名算法。 6 中国科学技术大学硕士学位论文 第1 章0 苦 除此之外，常用的经典数字签名算法还有：d s a ( d i g i t a ls i g n a t u r ea l g o r i t h m ) 签名算法，s c h n o r r 数字签名协议【2 0 】、n y b e r g r u e p p e l 签名算法【2 1 1 等等。 劫特殊类型数字签名协议 为了满足特殊应用的需求，人们往往要需要根据不同的应用环境设计不同类 型的数字签名方案。下面本文对一些特殊类型的数字签名协议作简单介绍。 ( 1 ) 传递性签名( t r a n s i t i v es i g n a t u r e ) 1 2 2 l 传递性签名( t r a n s i t i v e si g n a t u r e ) 是一种同念签名( h o m o m o r p h i cs g n a t u r e ) 剐。 在同态签名系统中，消息空间定义有一个算子o ( 这个算子可以自行定义) 。如果 签名者对消息x 和y 进行了签名，则任何人都可以计算出x o y 的签名。传递性签名 是i 刍m i c a l i 和r i v e s t 2 2 1 在2 0 0 2 年提出的，它可以对一个图的边进行传递性签名。 ( 2 ) 团体签名( g r o u ps i g n a t u r e ) l z 4 1 团体群签名( g r o u p si g n a t u r e ) 是签名者模糊的数字签名。团体签名方案预先 确定一个团体，只有这个团体内的成员才可以签名，任何人都可以验证签名，确 认是这个团体内成员的签名，但是却找不出是哪个成员签的名。在发生争端的时 候，签名者的真实身份可以由特定人员( 例如管理者) 来揭示。环签名( r i n g s i g n a t u r e ) 是一类特殊的团体签名方案，可以保证任何时候都不能揭示签名者的真 正身份。环签名与环签密是本文的重要基础，本文在l ，2 ，4 小节中单独介绍。 此外还有一些特殊类型的数字签名如：不可抵赖签名( u n d e n i a b l e s i g n a t u r e ) | 2 5 1 1 2 6 、4 弋理签g ( p r o x ys i g n a t u r e ) t 2 7 1 、指定确认人签名( d e s i 蛐a t e d c o n f i r m e rs i g n a t u r e ) t 2 s 2 9 等等。 1 2 3 环签名与环签密 与团体签名类似，环签名【划f 3 ”也是一种签名者模糊( s i g u e r - a m b i g u o u s ) 的 数字签名，作为一种特殊的团体签名，环签名可以保证任何时候都不能揭示签名 者的真正身份，从而对签名者起到有力的保护。在环签名的生成过程中，环中不 同成员生成的环签名对其它节点而苦并没有区别，生成的环签名虽然能够使验j e 者确信该签名是环中的某个成员生成的，但是验证者无法确定签名者的确切身 份。真正的签名者在生成环签名时，只用到了环中其它成员公开密钥，而在使用 时并不需要通知这些成员。 中国科学技术大学硕士学位论文 第1 章引言 在实际应用中，人们不仅希望签名者的身份得到有力的保护，同时还希望对 签名的明文信息加以保护，即不希望带有数字签名的消息在传送过程中被恶意攻 击者窃取。传统的做法是采用先签名后加密的技术同时达到这两个目的，其运算 代价是两者之和，效率比较低。1 9 9 7 年y u l i a n g z h e n g 首先提出了签密 ( s i 驴c 聊d o n ) 【3 2 1 的概念，其主要思想是把加密系统和签名系统的功能结合起来， 在逻辑上同时实现数据的保密性和认证性，但是比传统的先签名后加密( s i g n a t u r e t h e ne n c r y p t i o n ) 的方法效率高。环签密1 3 ”可以用较小的代价给签密者提供无条件 匿名性的同时保护签密消息的安全性。 1 2 4 变色龙签名( c h a m e i e o ns i g n a t u r e ) i 矧f 3 5 1 1 1 3 7 l 变色龙签名【3 4 1 3 5 3 6 1 1 3 7 】是一种基于“先哈希再签名”的签名方案。与以往的 数字签名相比它的最大特点是不可传递性( n o n - t r a n s f e r a b l e ) ，即该签名只能被指 定的验证者验证，而且该验证者没有能力把该签名的有效性证明给第三方。另外， 变色龙签名还具有不可否认性( n o n - r e p u d i a t i o n ) ，签名者无法否认自己的签名，同 时能够否认不是来自自己的签名。 本文将借鉴变色龙签名的思想构造一个基于双线性对的哈希方案( 本文称为 伪变色龙哈希f c h h ) 为环签名方案和环签密方案引入不可传递性，达到有效 防止应用组织机构的故意泄密行为。 1 3 本文研究内容、结构以及贡献 网络环境中的一类特殊应用要求实体在参与应用的过程中既保持自己身份 的隐私性，同时保证应用组织方具有中立性不故意泄密。另外还有某些对安全性 要求更高的一类应用，不仅希望满足以上两点的要求，还希望在消息传输过程中 对消息加密保证消息的机密性。本文的目的就是针对这两类应用的独特需求，基 于现有的密码学理论，构造出满足此独特需求的不可传递性环签名和不可传递性 环签密方案。 本文的以下章节安排如下： 第2 章是对相关研究工作的概述和分析。首先将介绍双线性对和基于身份的 密钥管理系统，它们是本文将要提出的基于身份的不可传递性环签名和不可传递 中陶科学技术大学硕士学位论文第1 章刑鲁 性环签密算法的基础。然后分析环签名与环签密的研究现状，指出现存蚪签名年u 环签密不具有不可传递性，不能满足本文提出的特殊应用需求。最后还将对变色 龙签名的研究现状作介绍，并详细介绍基于身份的变色龙哈希的定义以及其安全 性要求，为本文借鉴变色龙哈希思想为环签名和环签密引入不可传递性，提供充 足的背景知识。 第3 章将针对身份隐私性和不故意泄密的独特需求，有机融合不可传递性和 环签名的签名者身份模糊性，设计一个基于身份的不可传递性环签名方案i n r s s ( i d - b a s e d n o n t r a n s f e r a b l er i n gs i g n a t u r es c h e m e ) ，并对该方案的正确性、签 名者身份模糊性、不可传递性及不可伪造性作分析证明。 第4 章将在第3 章的基础上利用环签密技术设计一个基于身份的不可传递忡 环签密方案i n r s c s ( i d b a s e d n o n t r a n s f e r a b l er i n gs i g n c r y p t i o ns c h e m e ) ，该 方案能以近似于i n r s s 方案的计算开销同时实现签名者身份模糊性、消息机密 性和不可传递性。本章的后半部分将对这些特性作分析证明。 第5 章将以i n r s c s 方案为核心算法，在上层合理增加自证明信息生成算法 和自证明信息验证算法，实现一个简单的支持悬赏功能的匿名电子举报系统。随 后，将分析证明该电子举报系统具有举报者匿名性、举报内容机密性、举报不可 伪造性、举报不可传递性和举报者身份自证明性，基本上满足人们对一个电子举 报系统的要求，是一个合理的电子举报系统。 第6 章是全文的总结及对未来的展望。 本文的工作与创新点如下： ( 1 ) 首先，在基于身份的密钥管理系统中，设计了一个新的基于身份的环 签名方案r s i g 。该环签名方案形式上符合通用环签名定义，并且分析表明具有 签名者身份模糊性和第三方不可伪造性，是一个安全合理的环签名方案。但与现 存的环签名方案一样，r s 远不具有不可传递性； ( 2 ) 其次，为了设计出一个具有不可传递性环签名方案，本文借鉴变色龙 哈希为变色龙签名引入不可传递性的思想，构造了一个基于双线性对的伪变色龙 哈希方案f c h a s h 。该哈希方案能与r s i g 方案有机融合，并利用接收者的公钥和 私钥赋予其伪造签名的能力； 。 ( 3 ) 通过将r s i g 与f c h a s h 有机融合，构造了一个基于身份的不可传递性 9 中国辑学技术大学硕：卜学位论文 第l 章引言 环签名方案i n r s s 。该方案不仅具有环签名的签名者身份模糊性，同时具备签名 的不可传递性，很好地满足了第一类特殊应用的需求； ( 4 ) 然后，在( 3 ) 的基础上利用环签密技术构造了一个基于身份的不可传 递性环签密方案i n r s c s ，分析表明该环签密方案除了具有签密者身份模糊性、 不可传递性、第三方不可伪造性外还具有消息的机密性，另外在计算开销上与 i n r s s 方案的计算开销相当； ( 5 ) 最后，以i n r s c s 方案为核心算法，在上层合理增加自证明信息生成算 法和自证明信息验证算法，实现了一个简单的支持悬赏功能的匿名电子举报系 统。分析表明该电子举报系统具有举报者匿名性、举报内容机密性、举报不可伪 造性、举报不可传递性和举报者身份自证明性，基本能满足人们对一个电子举报 系统的要求。 1 4 小结 网络环境中的一类特殊应用要求实体在参与应用的过程中既保持自己身份 的隐私性，同时保证应用组织方具有中立性不故意泄密。在此类应用中还有某些 对安全性要求更高的一类应用，不仅希望满足以上两点的要求，还希望在消息传 输过程中对消息明文加密保证消息的机密性。这就要求在这些应用中的数字签名 应具有签名者模糊性和不可传递性，甚至有些时候还要有消息机密性。针对这类 特殊应用中数字签名的特点，本文将设计出满足需求的不可传递性环签名和不可 传递性环签密方案。 密钥管理系统是数字签名的基础，本章首先对密钥管理系统作了简单介绍， 然后介绍了数字签名的概念，并单独介绍了本文中将要用到的环签名、环签密与 变色龙签名。在本章的最后部分给出了本文的研究内容、结构和创新点。 1 0 中国科学技术大学硕士学位论文 第2 章相关工作研究现状 第2 章相关工作研究现状 本文将要设计的签名方案依赖的背景知识包括：双线性对、基于身份的密钥 系统、基于身份的环签名与环签密和基于身份的变色龙签名。本章将讨论这些背 景知识研究现状，分析现存环签名、环签密方案在特殊应用环境中的不足，并详 细介绍基于身份的变色龙哈希的定义以及其安全性要求，为以后借鉴变色龙哈希 思想提供充足的知识。 2 1 双线性对( b i l i n e a rp a i r i n g ) | 3 8 | d 9 1 1 4 0 l 在介绍其它背景知识之前，本文首先介绍一下双线性对的概念。 双线性对计算是基于身份的密码系统中的一种主要操作，利用它可以构造各 种基于身份的密码系统，如基于身份的加解密方案、基于身份的认证密钥一致 性协议、基于身份的数字签名方案等。双线性对的基本概念如下： 假设p 是g 1 的一个生成元，g l 是一个由p 生成的阶( o r d e r ) 为素数q 的 循环加法群( c y c l i ca d d i t i v eg r o u p ) ，g 2 为一个循环乘法群( c y c l i cm u l t i p l i c a t i v e g r o u p ) ，其阶也为q ，映射e ：g l x g l 一g 2 是一个双线性映射，如果它满足如 下条件： 1 ) 双线性：e ( x i + x 2 ，= e ( x i ，y ) e ( x 2 ，y ) 并且 e ( x ，y l + y 2 ) = e ( x , y 1 ) e ( x ，y 2 )x ，x l ，x 2 ，y ，y i ，y 2 g l 或者： e ( m x ，n y ) = e ( x ，y ) ”x ，y g 1 并且m , n z q ； 2 ) 非退化：存在x g 1 和y e g l 使得 e o y ) l ； 3 ) 可计算性：对于所有的x ，y g 1 ，存在有效的算法可以计算g s e ( x ，。 即可以在多项式时间内完成对e ( x ，的计算。 下面本文给出g 1 上几个数学问题的描述： 定义2 “离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m d l p ) ： 给定g l 上的两个元素x 和y ，求一个整数n ，如果存在这样的整数n ，使 得y = n x 。 中国科学技术丈学硕： 学位论文 第2 章相关工作研究现状 定义2 2 ：计算性d i f f i e h e l l m a n 问题( c o m p u m f i o n a ld i f f i e - h e l l m a np r o b l e m c d h ：p ) ： 对于a ，b z q ，x e g l ；给定( x ，a x ，b x ) ，计算a b x 。 定义2 3 ：判定性d i f f i e h e l l m a n 问题( d e c i s i o n a ld i f f i e h e l l m a np r o b l e m d d h p ) ： 对于a b ，c z a + ；给定x e g i ，( e x ，a x ，b ) ( ) ，判断c ；a bm o dq 是否成 立。 定义2 4 ： g a pd i f f i e h e l l m a n 问题( g a pd i f f i e h e l l m a np r o b l e m g d h p ) ： 如果存在多项式时间的算法可以解决g 1 上的d d h p ，但不存在任何算法 可以在多项式时间内以不可忽略的概率解决g 1 上的c d h p ，则g l 是一个g d h 群。 中文总假定d d h p 在( 3 2 上是难解问题，而c d h p 和d l p 在g 1 和g 2 上都 是难解问题，即不存在任何算法能够在多项式时间内以不可忽略的概率解决这些 问题。 2 2 基于身份的密钥系 基于身份的密钥系统管理最早是由s h a m i r 于1 9 8 4 年在基于身份的密钥系 统【4 1 1 中提出。在基于身份的密钥管理协议中，每个实体的公开密钥往往就是该 实体的身份标识信息，如i d 号、名称、i p 地址、m a c 地址、电子邮箱等，或者 是这些信息的某种组合，或者是这些信息经过某秘简单运算，如哈希运算的结果。 实体的私有密钥往往是公开密钥与某个秘密参数运算之后的结果。在这种公钥系 统中，知道了一个实体的身份标识信息也就知道了该实体的公开密钥，无须实体 间通过交换证书获取彼此的公开密钥。因此基于身份的公钥管理系统是一种无证 书公钥管理系统，相对于p k i 而言，更灵活简单，效率更高。 2 2 。1 传统的基于身份的密钥管理系统0 1 洲i i1 1 2 1 传统的基于身份的公钥管理系统中，往往包含一个私有密钥生成器p k g ( p r i v a t ek e yg e n e r a t o r ) 。p k e 生成自己的公开密钥，然后随机选择一个秘密 参数s 作为系统的主密钥，并将s 与公开密钥进行运算从而获得自己的私有密钥。 中国科学技术大学颂士学位论文第2 章相关工作研究现状 一个实体根据自己的身份标识信息得到自己的公开密钥后，将自己的公开密钥提 交给p k g ；p k g 将该实体的公开密钥与参数s 进行运算就得到了相应的私有密 钥，然后将该私有密钥返回该实体。 一个实体a ( 假设其身份标识为i d a ) 从传统的基于身份的密钥管理系统获 得其私钥的过程如图2 1 所示： r k = h l i u 天 s k a = s p k 凸 豳2 - 1 传统的基于身份的密钥管理系统 ( 1 ) 初始化系统：假设g l 为一个由p 生成的阶为素数q 的循环加法群， p k g 随机选取一个值s z q 叶仁为其主密钥，令p p u b =