（通信与信息系统专业论文）代理盲签名方案的研究与设计.pdf

摘要 计算机网络的普及给人们的日常生活带来了极大的便利，把我们带入到一个 信息化的社会。随着计算机网络技术的发展，信息安全问题日益突出。数字签名 技术保证了传输信息的真实性。但是简单模拟手写签名的一般数字签名已经不能 满足实际应用的需求，根据各种各样的应用背景，许多具有特殊性质的数字签名 方案应运而生，代理盲签名就是其中典型的一种。代理盲签名作为代理签名和盲 签名结合在电子商务中有着重要的作用。 本论文针对代理盲签名体制进行了分析和研究，主要工作如下： 1 通过对一种基于身份的代理盲签名方案的分析，指出该方案不具有不可追 踪性，代理签名人可以将盲消息的签名和消息签名联系起来。在此基础上提出一 种改进的基于身份的代理盲签名方案，克服了原方案的安全缺陷，并保留已有方 案的其它优点，具有一定的实用价值。 2 将代理盲签名和无证书签名方案相结合，构造出了无证书代理盲签名方案， 使签名避免了基于证书密码系统的证书管理问题和基于身份的密钥托管问题，能 够防止不可信的密钥管理机构伪造签名。并对构造出的方案进行安全性分析，分 析结果表明新方案不仅具有代理盲签名所有的性质，而且还具有很高的效率。 3 构造出一种具有消息恢复指定接收人的代理盲签名方案，指定接收人能够 直接从签名中恢复消息，从而减少了系统的通信量，使得通信效率高。并且从对 方案的安全性分析结果表明，构造出的方案具有较高的安全性，具有一定的实用 价值。 最后，总结了本文的工作，并展望代理盲签名体制的研究和发展。 关键词：代理盲签名；代理签名；盲签名；无证书；消息恢复 a b s t r a c t t h ep o p u l a r i z a t i o no fc o m p u t e rn e t w o r kh a sb r o u g h t g r e a tc o n v e n i e n c e t o p e o p l e sd a i l yl i f e ，a n dt a k e su si n t oa ni n f o r m a t i o n a ls o c i e t y w i t ht h ed e v e l o p m e n t o fc o m p u t e rn e t w o r kt e c h n o l o g y ，t h ei n f o r m a t i o ns e c u r i t yp r o b l e m sh a v eb e c o m e i n c r e a s i n g l yp r o m i n e n t t h et e c h n o l o g yo fd i g i t a ls i g n a t u r ee n s u r e st h ea u t h e n t i c i t y o fi n f o r m a t i o nt r a n s m i s s i o n h o w e v e r ，t h eg e n e r a ls i g n a t u r e ，w h i c hi sas i m p l e s i m u l a t i o no fh a n d w r i t t e ns i g n a t u r e ，c a nn o tm e e tt h ep r a c t i c a ln e e da n ym o r e ，u n d e r t h ev a r i o u sa p p l i c a t i o nb a c k g r o u n d s ，m a n yd i g i t a ls i g n a t u r es c h e m e sw i t hs p e c i a l p r o p e r t i e s h a v ee m e r g e d ，a n dp r o x yb l i n d s i g n a t u r e i sat y p i c a lo n e a st h e c o m b i n a t i o no fp r o x ys i g n a t u r ea n db l i n ds i g n a t u r e ，p r o x yb l i n ds i g n a t u r ep l a y sa n i m p o r t a n tr o l ei ne l e c t r o n i cc o m m e r c e i nt h i st h e s i s ，p r o x yb l i n ds i g n a t u r es c h e m e sa r ea n a l y z e da n ds t u d i e d ，t h em a i n r e s u l t sa r ed e s c r i b e da sf o l l o w s f i r s t l y ，ak i n do fi d e n t i t y - b a s e dp r o x yb l i n ds i g n a t u r es c h e m ei sa n a l y z e d ，a n di t i sf o u n dt h a tt h es c h e m ec a n ts a t i s f yt h eu n l i n k a b i l i t yp r o p e r t y t h ep r o x ys i g n e r c o u l dm a k eal i n k a g eb e t w e e nam e s s a g e s i g n a t u r ea n d t h e c o r r e s p o n d i n gb l i n d m e s s a g es i g n a t u r e a ni m p r o v e di d e n t i t y b a s e dp r o x yb l i n ds i g n a t u r e s c h e m ei s p r o p o s e d ，w h i c hc a nr e s o l v et h es e c u r i t yp r o b l e m se x i s t i n gi nt h eo r i g i n a ls c h e m e ， a n dr e t a i n st h em e r i t so ft h eo r i g i n a ls c h e m e i th a ss o m ea p p l i c a t i o nv a l u e s e c o n d l y ，c o m b i n i n gp r o x yb l i n ds i g n a t u r ew i t hc e r t i f i c a t e l e s ss i g n a t u r es c h e m e ， ac e r t i f i c a t e l e s sp r o x yb l i n ds i g n a t u r es c h e m ei sp r o p o s e d t h i ss c h e m ec a no v e r c o m e t h ep r o b l e mo ft h ec e r t i f i c a t em a n a g e m e n ti nt h ec e r t i f i c a t e b a s e dp u b l i ck e y c r y p t o s y s t e ma n dt h ei n h e r e n tk e ye s c r o wp r o b l e mi nt h ei d e n t i t y - b a s e dp u b l i ck e y c r y p t o s y s t e m ，b e i n ga b l et op r e v e n tf o r g i n gs i g n a t u r e sb yu n t r u s t e dk e ym a n a g e m e n t a g e n c i e s as e c u r i t ya n a l y s i so ft h es c h e m ei sg i v e n ，t h ef o l l o w i n ga n a l y s i ss h o wt h a t t h i ss c h e m en o to n l yh a sa l lt h ep r o p e r t i e so fp r o x yb l i n ds i g n a t u r e ，b u ta l s ow i t ha b e t t e rp e r f o r m a n c e t h i r d l y ，ap r o x yb l i n ds i g n a t u r es c h e m ew i t hd e s i g n a t e dm e s s a g er e c o v e r y r e c e i v e rw a sc o n s t r u c t e d t h ed e s i g n a t e dr e c e i v e rc a nr e c o v e r m e s s a g e s f r o m s i g n a t u r ed i r e c t l y ，e n a b l i n g ar e d u c t i o no f s y s t e m s c o m m u n i c a t i o na n da n i m p r o v e m e n ti nt h ec o m m u n i c a t i o ne f f i c i e n c y t h er e s u l t so fs a f e t ya n a l y s i ss h o w e d t h a tt h es c h e m ep o s s e s s e dh i g h e rs e c u r i t yf e a t u r ea n dg a i n e dac e r t a i np r a c t i c a lv a l u e c o n s e q u e n t l y a tt h ee n do ft h i s p a p e r ，w e s u m m a r i z et h ew h o l eo ft h et h e s i sa n dt h e p r o s p e c t i v ed e v e l o p i n go fp r o x yb l i n ds i g n a t u r es c h e m ei nt h ef u t u r e k e yw o r d s ：p r o x y b l i n d s i g n a t u r e ；p r o x ys i g n a t u r e ；b l i n ds i g n a t u r e ； c e r t i f i c a t e i e s s ；m e s s a g er e c o v e r y 1 1 i 第一章绪论 随着计算机网络的普及和快速发展，人类社会已经被计算机网络带入到一个 信息化的社会。人们的生产方式、生活习惯和思想观念随着信息技术的广泛应用 发生了极大的变化，信息技术推动了人类社会的发展，加速了人类文明的进步。 随着信息社会的到来，信息技术在国民经济建设、社会发展、国防、科学研究、 教育等领域的作用日益凸显，信息产业也成为新的经济增长点。传统的信息传递， 具有时间上和空间上的局限性，计算机网络的应用打破了这些传统，由于计算机 网络得到了快速普及，信息的发布以及传输变得更加的便捷快速，这使人们能够 方便地利用互联网或者其他媒介获取、处理和传播数字信息，同时也带来了一个 问题，就是如何保证信息的安全。 1 1 研究背景及意义 当今社会里，计算机网络起着至关重要的作用，并已深入到人们日常生活的 各个领域。人们可以在计算机网络中方便快捷地获取想要得到的信息。但是如果 网络不安全，信息的安全性也将受到影响，如何使信息进行安全秘密地传输，如 何防止信息被他人篡改等问题是人们迫切需要解决的。信息如果不安全，会严重 干扰社会的正常秩序，甚至会对世界格局带来影响，于是需要一种技术来保证信 息的安全传输，这种技术就是密码技术。密码技术可以有效地对信息保密或者是 防止他人对信息任意的篡改，因而人们对密码技术的研究报以极高的热情。人们 将越来越依赖于密码技术，根据人们在现实生活中的不同需求，各种各样的基于 密码的应用系统将不断出现，更安全更高效的密码技术将更好地服务于社会。 信息安全的核心技术是密码学，大多数信息安全问题都是依赖于密码学才得 以解决。密码学同样在保护信息的机密性和认证性方面起着重要的作用。密码学 的关键点在于设计一个安全有效的算法，例如数据加密、数字签名、消息摘要以 及相应的密钥管理协议等算法，这些算法有以下两个主要作用：一方面，通过加 密变换，直接对信息进行加密运算，保证信息的机密性，通过消息摘要变换检测 信息的完整性，通过数字签名保护信息的抗否认性；另一方面，作用于身份认证 和安全协议等，并为其提供一个很好的理论支撑。 1 近年来，数字签名在大型网络安全通信中的密钥分配，认证和电子商务系统 中有着重要的作用，它普遍是基于公钥密码体制。数字签名技术主要是用于用户 对电子形式存放消息的认证，它是现代密码学中的一个重要分支。1 9 7 6 年，d i f f i e 和h e l l m a n 年首次提出数字签名的概念【1 】，数字签名在信息社会中有着广泛的应 用，深入到社会的各个领域。根据不同的应用背景，需要一些具有特殊功能的数 字签名，如盲签名、代理签名、环签名、群签名、签名加密等。 代理签名和盲签名都是数字签名体系中重要的一员，它们具有一些特殊的性 质。盲签名是由c h a u m 于1 9 8 2 年首次提出的【2 1 ，它在需要匿名的密码系统中有着 广泛的应用。在盲签名的过程中，签名人并不知道所要签名消息的具体内容，并 且签名者不能够追踪签名，在某种程度上保护了个人的隐私。由于具有这些特有 的性质，在一些特殊的应用情况下，盲签名通常与其他数字签名相结合，形成j 种新的签名，如群盲签名、代理盲签名、盲环签名等。1 9 9 6 年，m a m b o ，u s u d a 和o k a m o t o 首次系统地阐述了代理签名的概念【3 - 4 】，在代理签名过程中，用户出于 某种原因不能亲自签名，便需要委托他人代表自己进行签名。根据人们的不同需 求，代理签名也常常与其他数字签名相结合，形成新的数字签名以满足人们的需 要。在实际生活中，一种数字签名仅仅具有自身的特性并不能满足应用中的需求， 在某些情形下往往需要同时用到代理签名和盲签名的特性。例如，用户电子现金 的存取款往往是通过银行系统下面的分行处理的。l i n 和j a n 于2 0 0 0 年结合了代理 签名和盲签名，首次提出了代理盲签名的概念【5 】。代理盲签名不仅具有代理签名 的所有性质，而且还要具有盲签名的所有性质，因此代理盲签名作为一种新的数 字签名技术在现实生活中有着广泛而重要的应用。如在设计电子商务，电子选举 系统中，代理盲签名技术是不可或缺的。目前已有一些代理盲签名方案相继被提 出，然而一些代理盲签名方案的安全性还有不足之处，对代理盲签名的研究还需 要更进一步的深入。因此，如何设计出一种即安全又高效的代理盲签名方案，并 且具有一些特殊性质的代理盲签名方案，有着非常重要的意义。 1 2 代理盲签名的研究现状和存在的问题 代理盲签名具有非常好的实用价值，引起了国内外学者的广泛关注和深入研 究。随着研究的不断深入，各种各样的代理盲签名方案相继被提出，但在这些方 2 案中，有些存在不足之处。 1 2 1 研究现状 自l i n 和j a n 首次提出代理盲签名的概念【5 】，代理盲签名不仅具有代理签名的 所有性质，而且具有盲签名的所有性质。由于其具有非常好的实用价值，因此代 理盲签名作为一种新的数字签名技术在现实生活中有着广泛而重要的应用，受到 了众多学者的关注。t a n 等人在s c h n o r r 盲签名的基础上，结合代理签名提出了一 个基于离散对数的代理盲签名【6 - 7 】，但是后来w a n g 等人经分析，指出t a n 等人的方 案容易受到伪造攻击，并不具有不可链接的性质，是不安全的 8 】。针对t a n 等人方 案的缺陷，a w a s t h i 和l a l 给出了改进方案方案【9 】，a w a s t h i 和l a l 的方案以m a m b o 的 方案为基础，效率比t a n 的方案要高。 随着学者们对代理盲签名方案研究的不断深入，最近一些基于不同体制的代 理盲签名方案相继被提出 1 0 - 1 9 】。现有的大部分代理盲签名方案都是建立在传统的 公钥密码体制的基础上，但是这样带来了一系列的问题。如在通信系统中，一个 用户a 使用另一用户b 的公钥时，必须要对b 的证书进行检查，以保证b 的公钥合 法性、正确性，这样就需要额外的时间来验证b 的公钥证书，降低了系统的效率。 同时，如果通信系统中用户较多，随之带来的问题是用户证书的增多，于是需要 大量的存储空间，也来了证书管理问题，耗费了大量的人力物力。1 9 8 4 年，s h a m i r 首次提出了基于身份的密码体制的概念 2 0 1 ，解决了由于证书问题带来的困扰。在 基于身份的公钥密码体制中，用户的公钥由能够确认用户身份的信息构成，如用 户的姓名、e m a i l 、身份证号等。可信的认证中心颁发用户私钥。在基于身份的 公钥密码体制的通信系统中，新加入的用户取得一个由可信中心颁发的一个私钥， 就可以与系统中的用户进行安全的通信，不再需要检查用户公钥证书，由此带来 了通信效率的很大提高。同时，也不必保存繁多的公钥证书及其对公钥证书进行 繁琐的管理。由于基于身份密码体制具有这些良好的特性，使得众多学者对其进 行研究和探索。后来，人们研究发现利用双线性映射和椭圆曲线上w e i l 对和t a t e 对可以高效地实现基于身份的加密、签名。于是，一些利用双线性对构造的基于 身份的代理盲签名方案相继被提出 2 1 - 2 5 】。文献【2 6 】指出文献 2 1 1 q b 的方案不满足不 可伪造性，原始签名人可以伪造一个有效的代理盲签名，代理签名人可以滥用代 理签名权，而且该方案不满足不可追踪性，并对方案进行改进。但后来文献 2 7 】 3 指出文献 2 6 的方案不满足不可追踪性，并提出了改进方案。文献 2 8 】指出文献 2 4 】 不满足不可伪造性，文献 2 4 】在代理密钥生成阶段，密钥产生泄漏，代理人得到 原始签名人的私钥，可以伪造原始签名人的签名或任何授权，且原方案有关签名 盲性的证明存在错误，并提出一种改进的代理盲签名方案。文献 2 9 1 指出文献 2 5 】 的方案不具有盲性，同时提出一种改进方案，克服了原方案不具有盲性的安全隐 患。 在传统的公钥密码体制中，证书的管理费时费力，基于身份的签名方案虽然 解决并简化了证书的管理，但是不能解决不可信的密钥生成中心伪造签名人进行 签名。2 0 0 3 年，a 1 r i y a m i 和p a t e r s o n 提出的无证书公钥密码体系 3 0 】f 艮好地解决了 基于证书和基于身份体制中出现的一些问题。该密码体制的基本思想是：密钥生 成中心生成用户的部分私钥，然后通过安全信道发送给签名人，签名人收到后， 结合自己的密钥和部分私钥通过某种算法生成最终的签名私钥，同时生成公钥用 于加密或签名验证。由于无证书公钥系统的优势非常突出，基于无证书公钥系统 也陆续提出了一些签名方案【3 1 3 3 】，但基于无证书公钥密码体制的代理盲签名方案 还为数较少，由于代理盲签名应用上对安全性和高效性的要求，将无证书公钥密 码与代理盲签名相结合进行研究是具有现实意义的。 1 2 2 存在的问题 目前，代理盲签名技术仍然需要更加完善，代理盲签中存在的问题有待解决。 出于满足应用的需求，人们提出了一些代理盲签名方案，但是一些方案并不是非 常安全的。由于代理盲签名方案的特殊性，决定了它必须具备代理签名和盲签名 的所有要求，从而导致对于它的设计复杂度较高。已有的方案中，其不安全性的 造成主要集中在以下两个方面，一种是容易遭受到伪造攻击，另一种是并不能完 全保证匿名。这两个问题也分别是代理签名和盲签名所要解决的。另外，代理盲 签名本身的设计复杂度就比较高，一些方案为了达到保证安全性的目的，在算法 设计上较为复杂，使得计算量增多，从而导致了算法的效率不高。另外，根据不 同的需求，如何将代理盲签名方案与其他一些数字签名方案的性质相结合也是一 个值得研究的问题，如构造具有消息恢复的代理盲签名【3 4 3 5 】、多级代理盲签名方 案【3 6 3 7 】、基于身份的门限代理盲签名方案【3 8 】等等。在构造代理盲签名方案时，不 仅仅是要在算法上准确无误，也要在逻辑上合理。有些方案仅仅只是在公式计算 4 上是正确的，却理解错了代理盲签名方案的概念，从而使之在实际应用中没有多 大意义。学者们在代理盲签名的设计中得到了一些研究成果，但减少通信量以提 高效率和克服各种安全缺陷的代理盲签名方案还需更进一步的研究。随着人们对 代理盲签名方案的深入研究，目前存在的一些问题必将得到解决。 1 3 研究的主要内容、研究成果 1 3 1 研究的主要内容 1 ) 针对当前一些代理盲签名方案的安全性缺陷进行分析，如可伪造性、可链 接性、不具有盲性等进行分析，努力找到解决的办法，使方案更加完善。 2 ) 研究无证书公钥密码体制和具有消息恢复性质数字签名的性质和特点，研 究其签名体制的构造方法，并结合代理盲签名方案构造出无证书代理盲签名方案和 具有消息恢复特性指定接收人的代理盲签名方案。 3 ) 一些代理盲签名方案为保证其安全性，在算法设计上较为复杂，比如选取 较多的哈希函数，选择较多的随机数或秘密值等，以克服某些安全缺陷，但过于 复杂的算法使得计算量变高，从而导致效率低下。努力找到更好的解决方案，使 得解决方案安全缺陷的同时，签名效率也得以提高。 1 3 2 研究成果 1 ) 通过对一种基于身份的代理盲签名方案的分析，指出该方案不具有不可追 踪性，当签名被公开后，代理签名人可以将消息和消息签名联系起来，即签名是 可追踪的。在此基础上通过对签名交互式协议中多加入盲因子，并在签名过程中 变动公式，从而使方案避免了原方案的缺陷。 2 ) 无证书方案解决了基于身份的方案中不可信的密钥生成中心伪造签名人进 行签名的问题。构造出的无证书代理盲签名方案避免了基于证书密码系统的证书 管理问题和基于身份的密钥托管问题，能够防止不可信的密钥管理机构伪造签名。 并对构造出的方案进行各种安全性分析，同时给出效率对比，结果表明新的方案 是安全的，并具有很高的效率。 3 ) 构造出一种具有消息恢复指定接收人的代理盲签名方案，在指定接收人收 到签名的消息后，通过算法上的设计，接收人经过计算可以恢复出原始消息，从 而减少了系统的通信量，使得通信效率高。并且由方案的安全性分析结果表明， 5 构造出的方案具有较高的安全性，具有一定的实用价值。 1 4 论文结构安排 本文主要研究了代理盲签名，结合无证书和消息恢复，构造出了无证书的代 理盲签名方案和具有消息恢复指定接收人的代理盲签名方案，并对一种基于身份 的代理盲签名方案进行安全性分析，分析的结果证明了方案不满足不可链接性， 并给出改进方案。 本论文安排如下： 第一章：概述了研究背景和意义，介绍了相关领域的研究现状，给出了本文 主要研究内容及目前研究中存在的问题，最后阐明了本文结构安排。 “ 第二章：介绍了研究代理盲签名所需要用到的相关理论知识，包括数字签名， 公钥密码体制，代理签名以及盲签名的概念和原理。并且介绍了构造代理盲签名 方案时所要用到的一些数学知识，包括双线性映射，h a s h 函数等。 第三章：对基于身份签名体制的概念和优点进行简要的阐述，然后对一种基 于身份的代理盲签名方案进行了安全性分析，指出了其并不具有不可追踪性，并 在算法上予以改进。通过添加盲因子，从而使方案达到代理人无法追踪签名的要 求。 第四章：介绍了无证书签名体制的概念和模型，通过对无证书体制的分析， 结合代理盲签名，构造了一种无证书代理盲签名方案，并给出了方案的安全性证 明及效率分析。 第五章：介绍了消息恢复体制的概念，结合消息恢复和代理盲签名，提出了 一种具有消息恢复的指定接收人的代理盲签名方案，最后给出了相应的安全性分 析。 最后，本章总结概括了本文的研究工作，提出进一步研究的方向。 6 第二章基础知识 弟一早荃佃函刘以 代理盲签名的构造离不开数学理论的支撑，数学知识是构造代理盲签名方案 的基石。本章首先介绍了保密通信系统、代理签名、盲签名、代理盲签名的定义 及其应满足的基本性质。然后介绍了代数知识，双线性对，哈希函数，数学困难 问题等，与本文构造代理盲签名一些相关数学基础知识。作为本文的预备知识部 分，为后续的研究提供基础。 2 1 密码学基础知识 本节对保密通信系统，公钥密码体制，代理签名，盲签名的基本概念和性质， 数学模型进行简要介绍。为更好的构造安全高效的代理盲签名方案打下良好的基 础。 2 1 1 保密通信系统 通信的双方可以由一个保密的通信系统安全保密地传输其需要发送的信息， 未经授权者或攻击者无法获取信息。在一个通信系统中，预定的接收者能够接收 的消息，但是可能存在一些未经授权的人想要获取保密的消息，这类人通常称为 截收者。截收者有时通过技术手段能够获取到传送的密文，并且通过密码分析， 可以从密文中分析得到明文，有时更可能窃取得到密钥从而盗用用户身份。这是 一种被动攻击，也就是说截收者只能通过对密文的密码分析，从而得到他想要拥 有的消息。如果在一个保密的通信系统中，有非法者为了达到某种目的，主动对 系统进行攻击，通过各种手段伪造信息，删除信息或者冒充合法用户等，破坏了 系统的安全，影响了人们在系统中应有的秩序。这种攻击方式为主动攻击。 保密的系统为了能够抵抗密码分析，能够保证信息的安全保密，应当具备下 面的一些条件： 1 ) 在理论上，系统应该是无法破译的。但理想的保密系统很难实现，现实生 活中使用的保密系统如果可能被破译，则破译其所需要的时间、费用等远超现有 的资源和条件，这是实际不可破译。 2 ) 密钥是否安全是决定系统是否安全的关键因素，并不是取决于系统算法上 7 的保密性。这是著名的k e r c k h o f f 原则。 3 ) 在一个密钥空间中，系统算法应当可以用于所有的密钥。 4 ) 加密和解密的算法在实际应用中是可以实现的，保密系统也是易于实现的， 在使用上非专业人员应该通过简单的训练便可以熟练地掌握。 s h a n n o n 的保密通信模型如图2 1 所示： 2 1 2 公钥密码体制 图2 1s h a n n o n 保密通信系统 在一些密码体制中，有一类密码体制在加密和解密的过程中，采用的是同一 个密钥，加密过程和解密过程是一个互逆的计算。因为它的加解密密钥是相同的， 称之为对称密码体制，有时也称单钥密码体制。在单钥密码体制中，加解密的效 率较高，速度也较快。但由于其在加解密过程中，使用的是相同的密钥，这就需 要通信双方在开始通信之前完成密钥的分配，这样就使其存在有风险，并且如果 想与系统中的任意用户进行通信，就需要拥有更多的密钥，从而给密钥的管理带 来很大的难度。w d i m e 和m h e l l m a n 在1 9 7 6 年，首次提出了公钥密码体制的概 念。与单钥密码体制不同，公钥密码体制的密钥对是互为不同的，一个用于加密， 一个用于解密。加密密钥公开使用，称之为公钥。解密密钥由用户秘密地保存， 用于解密。这样解决了单钥密码体制中密钥过多而造成的不便。 单钥密钥体制和公钥密码体制如图2 2 所示： 8 量 密钥k 一明文 一明 ( a ) 单钥密码体制 加密密钥p k 解密密钥s 一密文c 一明文m 一明文m 。八i 固) 公钥密码体制 图2 2 单钥和公钥密码体制 设p k 为用户公钥，s 为用户私钥，加密算法表示为e ，解密算法表示为d 。 公钥密码算法的原则： 1 ) 麟和s 是互为不同的。 2 ) 只需要进行少许的计算，就可以得出s ，p k 。 3 ) 通过肷对消息m 进行加密，便可以计算出密文c ，这一过程是容易实现 的。 4 ) 对c 进行解密，在计算上是容易的。 3 ) 若攻击者知道麒，想要得到s 在计算上是不可行的。 。 6 ) 攻击者已知p k 和c ，想要计算出所在理论或实际上是不可行的。 7 ) 若麒用于加密，则s 就用于解密，反之亦然。 公钥密码体制的提出，引起了国际上广泛的关注，一些经典的算法也相继被 提出，如r s a ，e 1 g a m a l ，e c c 等算法。 e i g a m a l 密码体制，由t a h e re 1 g a m a l 在1 9 8 5 年提出 3 9 1 ，是一种基于有限域 上离散对数的非对称密码体制。由于e 1 g a m a l 体制有较好的安全性，时隔3 0 多 年。仍然得到了广泛的应用。 e 1 g a m a l 密码体制具体内容介绍如下： 1 ) 选取密钥： 9 随机选取一个大素数p ，再选择艺的一个生成元g z 二( 乙是一个由 o ，p 一1 做模p 的加法和乘法运算构成的有p 个元素的有限域，乏是z p 中的非零 元构成的乘法群) ，用户随机选择整数x z ：一。作为自己的私钥，计算】，= g xm o d p 。 以( 函p ，】，) 作为公钥，x 作为私钥。 2 ) 加密过程 设被加密的明文消息为m z p ，随机选取一个整数，z ：一且( ，p - 1 ) = 1 ，计 算a = 9 7r o o d p ，b = m y 7m o d p ，得密文为( 口，6 ) 。 3 ) 解密过程 收到密文( 口，6 ) 后，使用私钥x ，通过式a - x b m o d p 恢复出明文消息m 。解密 运算：a - 。b m o d p = ( g r ) 叫m ( g 。) 7r o o d p = m 。 2 1 3 数字签名基本概念 “ 传统的签名是手写签名，在信息技术盛行的今天，手写签名已经不能满足人 们的需求，信息技术的广泛应用和公钥密码体制的发展，带动了数字签名的产生。 近年来，数字签名在大型网络安全通信中的密钥分配，认证和电子商务系统中有 着重要的作用，它普遍是基于公钥密码体制。数字签名是信息社会化的产物，是 传统签名的电子对应物，是一种以电子形式存储消息签名的方法。数字签名能够 用于向接收方证实消息被信源方签署，也可以用于存储的数据或程序的完整性认 证。 数字签名若要保证安全，必须具备： 1 ) 签名是对文档的一种映射，不同的文档内容所得到的映射结果是不一样的， 即签名与文档具有一一对应的关系。 2 ) 签名应当基于签名者唯一性特征，从而确定签名的不可伪造性和不可否认 性。 3 ) 同传统签名类似，数字签名也可以带有时间戳，以获得前向安全性，即当 前密钥的泄漏不会影响以前签名的有效性。 数字签名如果要在实际生活中有良好的应用，必须保证其安全性。如要满足 依赖性、唯一性、可验证性、不可伪造性、可用性等条件，这样就可以实现认证 功能。 在数字签名中，签名算法y = s i g t ( x ) 的作用是对消息x 产生签名，七为密钥， 1 0 这是一个不可逆的过程，于是对于没有拥有k 的人不可能生成合法的签名，并且 s i g 是公开的。验证算法v e r ( x , y ) 是公开的，它通过v e r ( x ，y ) = t u r e 或v e r ( x ，力= f l a s e 来检验签名的合法性。 数字签名的形式化定义： 设是p 消息的有限集合，s 是签名的有限集合，k 是密钥的有限集合。 签名算法是一个映射： s i g ：p xk s ，y = s i g ( z ) 其中k 为密钥，s 为签名，p 为消息。 验证算法也是一个映射： 。、 一j v e r 、：p x s _ t u r e ，f l a s e n 如果y 三s i g k ) ，坝0v e r ( x ，y ) = t u r e ；如果y s i g i ( 功，则v e r ( x ，y ) = f l a s e 。“ 。 对任意k k ，v e t k 是公开的而s i g 是保密的，二者都是多项式时间函数，同 时还要求，在不知道k 的情况下，对任意消息x ，找到s s 使得v e r k ( m ，s ) = t u r e 是 困难的，即保证签名不可伪造。 如果对消息直接签名，如果是一个很长的消息，首先把消息通过分组，然后 逐组分别进行签名，这样做的结果是签名速度慢、签名结果长，还可能带来安全 性方面的问题，解决这些问题的办法之一是在对消息签名之前进行安全h a s h 变 换。 随着信息技术的广泛应用，出于应用需求，需要某些具有特定功能的数字签 名。目前已提出了众多不同种类的数字签名方案，依据不同的标准可以将这些方 案进行不同的分类。如依据签名者情况的不同，可分为单数字签名，多重数字签 名、群签名、代理数字签名、盲签名等。不同的数字签名方案具有不同的特点， 适用于不同的应用环境。 2 1 3 代理签名体制 日常生活中，人们有时并不是总能够亲自进行签名，这时就要通过一种能够 证实自己身份的物体或信息，让他人代替自己进行签名。如把自己的印章等交给 他人，让他人代表自己盖章。在数字化技术盛行的今天，很多情况下都是以数字 形式进行签名的，这就需要代理签名来保证用户的合法利益。为了保证代理签名 的安全性，代理签名必须要具备基本不可伪造性、代理签名的不可伪造性、代理 1 1 签名的可区分性、不可抵赖性、身份识别性、密钥依赖性、可注销性、强不可伪 造性、强可识别性、防止滥用性。如果以上条件都满足，那么代理签名就是安全 的。针对代理签名，学者们已提出多种方案【4 0 - 4 2 j 。 代理签名的形式化定义： 设勤为a 的私钥，公钥为y a ，为b 的私钥，公钥为y b ，跆，是验证算法， 待签名的消息为聊代理签名过程： 1 ) a 用x 。计算出万，并发送万给b 。 2 ) b 结合艿和x 。，计算代理密钥s ，并生成代理公钥p 。 3 ) b 用s 对m 签名，生成m 。 4 ) 验证，若v e r ( m ，尸) = t u r e ，说明是一个合法的代理签名，否则是非法的。 5 ) 如果知道盯，p ，仍然无法求出h ，。 这个过程如图2 3 ： 2 1 4 盲签名体制 拒 绝 代 理 或 请 求 重 发 图2 3 代理签名过程图 在数字签名过程中，有时需要对待签名的信息进行秘密保护，以达到某种需 求。盲签名很好的满足了这一条件，保证了用户的利益。盲签名是指，在签名过 程中，对消息进行变换以达到秘密性，这一过程叫做盲化。然后签名者对盲化后 1 2 的消息进行签名，这时他并不知道原消息的具体内容，这是对消息的盲签名。最 后再由消息的拥有者对盲签名作出某种变换，予以公布，形成最终的签名，这一 过程是脱盲，从而达到即使消息公开，签名者也不会知道自己作出的签名是哪一 个，保护了用户消息的秘密性。这个过程如图2 4 所示。盲签名具有独特的性质， 已有多种盲签名方案被提出【4 3 4 6 】。 盲签名有以下两个重要的特性： 1 ) 盲性： 签名人对于原消息的内容是不可见的，也可以认为通过盲化后的消息无法求 出原始消息。 2 ) 不可追踪性： 、， ， 签名者可以得到被盲化后的消息，但是他始终无法利用盲化后的消息与公布 的签名之间产生关联。这样就保障了用户和消息的匿名性，即签名者不可追踪消 息。 接收者a 接收者a 2 2 数学基础知识 图2 4 盲签名方案的签名过程 代理盲签名是建立在数学难题上面的，合理的运用数学知识可以构造出高效 的代理盲签名方案。本小节介绍常用的一些数学知识，如有限域理论，双线性对， 相关数学难题等。 2 2 1 代数知识 定义2 1 两个整数a ，b 如果： 1 ) c 是a 的因子也是b 的因子，即提口，b 的公因子。 2 ) a 和b 的任一公因子，也是c 的因子。 则称c 是两个整数口，b 的最大公因子，表示为c = g c d ( a ，b ) 。 定义2 2 定义乙为小于刀的所有非负整数集合，即： 1 3 乙= 0 ，1 ，2 ，1 一l 称乙为模行的同余类集合。 定义2 3 设玎是一正整数，小于玎且与n 互素的正整数个数称为玎的欧拉 ( e u l e r ) 函数，记为伊( 玎) 。 定理2 1 费尔马( f e r m a t ) 定理若p 是素数，口是正整数且g c d ( a ，p ) = 1 ，则： a p 1 兰l m o d p f e r m a t 定理也可以写成如下形式： 设p 是素数，a 是任意正整数，则：a p - - a m o d p 。 定理2 2 欧拉( e u l e r ) 定理若a 和刀互素，则口9 ( f - l m o d n 。 r 定义2 4g 是一个非空集合，在g 上定义了一个二元运算符“ ，满足如下 条件： 1 ) 封闭性：如果a ，b g ，有a b g 。 2 ) 结合律：对任何口，b ，c g ，有a 幸b * c = ( 口宰6 ) 宰c = 口木( 6 木c ) 。 3 ) 单位元：存在一个元素1 g ，称为单位元，对任意元素有a * l = l * a = a 。 4 ) 逆元：对任意a g ，存在一个元素口1 g ，称这个元素为逆元，使得 口幸口一= a 1 口= 1 。 如果集合g 满足以上四个特性，则g 称为群，记为 g ，枣 。 定义2 5 如果一个群满足对任意口，b g ，有a 木b = b 口，则称为交换群或a b e l 群。 定义2 6 如果一个群g 中的元素是有限的，则称该群为有限群，否则称为无 限群。 定义2 7 有限群的阶等于群中元素的个数。 定义2 8 如果群中每一个元素都是某一个元素a g 的幂a g ( 七为整数) ，则 称该群为循环群。循环群总是交换群，在循环群中，认为元素a 生成了群g ，或a 是群g 的生成元。 定义2 9 域由一个非空的集合f 组成，在结合f 中定义了两个二元运算符： “+ ( 加法) 和“( 乘法) ，并满足： 1 ) f 关于加法“+ 是一个交换群，其单位元为“0 ”，a 的逆元为一a 。 2 ) f 关于非零元素的乘法“”是一个交换群，其单位元为“1 ”，口的逆元 1 4 为a 。 3 ) ( 分配律) 对任何口，b ，c f ，有ax ( 6 + c ) = p + c ) x a = a xb + g x c 。 4 ) ( 无零因子) 对任何a , b f ，如果有a xb = 0 ，则口= o 或b = 0 。 这样的集合，称为域，记为 f ，+ ， 定义2 1 0 域是一个可以在其上进行加法、减法、乘法和除法运算而结果不 会超出域的集合。如有理数集合、实数集合、复数集合都是域，但是整数集合不 是域( 因为除法得到的分数超出整数集合的范围) 。 定义2 1 1 如果f 中只包含有限个元素，则称其为有限域。 定义2 1 2 有限域中元素的个数称为有限域的阶。 ， 在密码学中，最常见的域一般为阶为p 的素数域乃或阶为2 ”的域互，。 有限域c 定义为整数集合 o ，1 ，2 ，p - 1 ) ，按照通常的加法，乘法代数运算在模p 的意义下，构成一个整数有限域。 c 的加法：如果口，6 ，则a + b - r m o d p ，0 a c 的乘法：如果仍b c ，则口b - r m o d p ，c 。 令巧表示0 中所有非零元素的集合，可以证明名至少存在一个元素g ，使 得c 中的任意非零元素都可以表示成g 的某次方幂的形式，这样的元素g 称为c 的 本原元，或者称为生成元。 有限域e 。可以按如下方法构造：令厂( x ) = x 朋+ 厶一l x m 。1 + + a x 2 + f , x + f o 是e 上次数为聊的不可约多项式，即f ( x ) 不能不能分解为最上两个次数小于m 的多项 式的积，其中z e ( o f m - 1 ) 。有限域由五上所有次数小于m 的多项式组成， 即厶= 口肼1 x 埘- 1 + a m 一2 x 舻2 + + t h x + a o ，其中q o ，1 ) 。 的加法：如果多项式a , b ，其中a = 口朋- l x 剃+ 一2 x ”2 + + a o ， b = 1 + b m 一2 x 矾一2 + + b , x + b o ；则c = a + b = c m l x 州+ c m 2 x 朋一2 + + q x + c o ，其中 q = ( q + b f ) m o d 2 ，1 s i m 一1 。 五。的乘法：如果多项式口，b 最。，其中口= 口埘一l x 卅- 1 + 一2 x 扩2 + + a o ， b = 屯1 x 所一1 + 屯一2 x m 一2 + + b , x + b o ：则多项式c = 卵b = c m l x ”- 1 + 气一2 x “一2 + + q x + c o = ( - l x 扩1 + a m 一2 x ”2 + + 口0 ) ( 6 卅一l 工胂- 1 + 吒一2 x ”_ 2 + + b l x + b 0 ) 被厂( z ) 除得到的剩余。 2 2 2 单向散列函数 一般在对消息进行签名时，都是对消息直接签名。如果消息过大，就意味着 1 5 系统将要传输更多的数据，导致通信效率的低下。这种情况下就需要对一种对消 息进行变换的函数，从而达到数据压缩的功能。这个函数就是哈希( h a s h ) 函数。 h a s h 函数应该满足以下基本要求