（计算机应用技术专业论文）盲签名理论及其在电子现金中的应用研究.pdf

硕士论文 盲签名理论及其在电子现金中的应用研究 摘要 数字签名是信息安全的核心技术之一，它具有消息认证、身份认证等重要功能。随 着数字签名技术在电子商务、电子政务等领域的深入应用，普通的数字签名技术已经不 能满足网络信息技术的发展需求，因此具有特殊用途的签名体制应运而生，如盲签名、 群签名、代理签名等。盲签名是指接收者在不让签名者获取所签署消息具体内容的情况 下进行签名的特殊数字签名，这种签名在电子现金和电子选举等环境中应用广泛。本文 主要围绕盲签名的相关理论及其在电子现金中的应用展开。 本文首先讨论了盲签名的概念、性质及分类、基于因子分解问题的盲签名方案和基 于离散对数问题的盲签名方案及其安全性分析。其次讨论了群签名、群盲签名、代理签 名及代理盲签名的概念和性质，并对一个典型的群盲签名方案和代理盲签名方案分别进 行了分析和改进。最后介绍了电子现金的一些初步知识及其发展状况，提出了一种基于 r s a 盲签名的电子现金方案，该方案具有不可伪造性、不可重复花费性、可撤销匿名性 和离线支付等特点。 关键词：数字签名，盲签名，群盲签名，代理盲签名，电子现金 a b s t r a c t 硕士论文 a b s t r a c t d i g i t a ls i g n a t u r ei so n eo ft h ec o r et e c h n o l o g yg u a r a n t e e i n gt h ei n f o r m a t i o ns e c u r i t y , w h i c hh a ss o m ei m p o r t a n tf u n c t i o n ss u c ha sm e s s a g ec e r t i f i c a t i o n ，a u t h e n t i c a t i o nc e r t i f i c a t i o n , e t c w i t l lt h ea p p l i c a t i o no fd i g i t a ls i g n a t u r et e c h n o l o g yi na r e a ss u c ha se - c o m m e r c e ， e - g o v e r n m e n t ，t h eo r d i n a r yd i g i t a ls i g n a t u r et e c h n o l o g yh a sb e e nu n a b l et om e e td e m a n df o r t h ed e v e l o p m e n to fn e t w o r ki n f o r m a t i o nt e c h n o l o g y t h e r e f o r ea l ls o r t so fs p e c i a ls i g n a t u r e s w e r ep r o d u c e d , s u c ha sb l i n ds i g n a t u r e ，g r o u ps i g n a t u r e , p r o x ys i g n a t u r e ，e t c b l i n ds i g n a t u r e i sas p e c i a ld i g i t a ls i g n a t u r eb a s e do nt h ec o n d i t i o nt h a tt h es u b s c r i b e rh a sn oa c c e s st ot h e s p e c i f i cc o n t e n t so fs i g n e df i l e s ，w h i c hh a sb r o a da p p l i c a t i o ni nt h ee - c a s ha n de - e l e c t i o n e n v i r o n m e n t t h i sp a p e ra i m st od i s c u s st h ea p p l i c a t i o n so ft h e b l i n ds i g n a t u r ei nt h e e l e c t r o n i cc a s hb a s e do nr e l e v a n tt h e o r i e s 砸sp a p e rf i r s td i s c u s s e st h ec o n c e p to fb l i n ds i g n a t u r e ，t h ep r o p e r t ya n dc a t e g o r y , t h e b l i n ds i g n a t u r es c h e m e sb a s e do nf a c t o r i n gp r o b l e ma n dd i s c r e t el o g a r i t h mp r o b l e ma n dt h e i r s e c u r i t ya n a l y s i s t h e ni td i s c u s s e st h ec o n c e p ta n dp r o p e r t yo ft h eg r o u ps i g n a t u r e ，t h eg r o u p b l i n ds i g n a t u r e ，p r o x ys i g n a t u r e ，p r o x yb l i n ds i g n a t u r e m e a n w h i l eat y p i c a lg r o u pb l i n d s i g n a t u r es c h e m ea n dap r o x yb l i n ds i g n a t u r es c h e m ea r ea n a l y z e da n di m p r o v e d f i n a l l y , t h e a r t i c l ei n t r o d u c e ss o m ep r e l i m i n a r yk n o w l e d g eo ft h ee l e c t r o n i cc a s ha n di t sd e v e l o p m e n t ， a n dp u t sf o r w a r da ne - c a s hs c h e m eb a s e do nr s ab l i n ds i g n a t u r e t h es c h e m eh a sf e a t u r e sa s f o l l o w i n g ：i tc a n n o tb ef 0 玛e da n ds p e n tr e p e a t e d l y , m a yr e v o k ea n o n y m i t ya n do f f - l i n e p a y m e n t s k e yw o r d ：d i g i t a ls i g n a t u r e ，b l i n ds i g n a t u r e ，g r o u pb l i n ds i g n a t u r e ，p r o x yn i n d s i g n a t u r e ，e l e c t r o n i cc a s h i i 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在本学 位论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或公布 过的研究成果，也不包含我为获得任何教育机构的学位或学历而使用过的 材料。与我一同工作的同事对本学位论文做出的贡献均已在论文中作了明 确的说明。 研究生签名：2 。口孑年扩月砷日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或上 网公布本学位论文的部分或全部内容，可以向有关部门或机构送交并授权 其保存、借阅或上网公布本学位论文的部分或全部内容。对于保密论文， 按保密的有关规定和程序处理。 研究生签名： 2 。口3 年矿月砷日 硕士论文盲签名理论及其在电子现金中的应用研究 1 绪论 1 1 信息安全 计算机技术的高度发展为人类提供了高度的自动化和现代化，网络的迅猛发展，为 人们提供了便捷、快速的信息交流方式，使人类社会迅速进入了信息化时代。在一些发 达国家，计算机已经广泛应用于政治、军事、经济、教育、商业和家庭生活等各个社会 领域，互联网的发展和壮大极大的方便了人们的学习、工作和生活。 然而，事物具有两面性，科学也是一把双刃剑，它给人们带来方便的同时，也引发 了许多新问题。计算机技术和网络技术虽然使人们可以便捷地交流信息，但因为信息需 要在网上传输，这就很可能造成信息的泄漏、删除、修改和伪造等各种人为因素的攻击。 因此，如何保证信息系统的安全性是当前和今后相当长一个时期的重要研究课题。 信息系统安全的核心内容是如何保证信息在系统中的保密性、认证性和完整性。传 统的密码体制，主要的功能是信息的保密，而现代的密码体制还应保证信息的认证性和 完整性。信息的保密性和认证性是不同的，保密性要求攻击者获取信息的密文后不能解 读其内容，而认证性是任何不知道密钥的人构造一个密文，由接收者用自己的密钥来解 读这个消息，从而达到认证的目的。 数字签名是认证的主要手段之一，也是现代密码学的主要研究内容之一。数字签名 具备消息认证、身份认证等重要功能，是实现信息安全的一种重要工具。 1 2 数字签名 1 2 1 数字签名的概念 政治、军事、外交、商业等领域的文件如法律、命令、条约、合同等，传统上使用 手写的签名，使之能产生法律效力。手写签名具有以下功能： ( 1 ) 鉴别功能：可以通过签名鉴别文件的真伪。 ( 2 ) 不可伪造性：任何人不能伪造签名者本人的签名。 ( 3 ) 不可抵赖性：签名者本人不能对自己做的签名进行抵赖。 手写签名之所以具有上述功能是因为每个人的书写特征是不同的，因而可以鉴别每 个人的笔迹。 随着社会的信息化时代到来，人们需要安全便捷地进行远程信息传递或网上交易。 这样，传统手写签名就受到地域和时间的限制，因而需要手写签名的电子替代物以满足 以上需求。数字签名顺应时代的需要，实现了人们安全远程交互的需求。 数字签名是1 9 7 6 年由d i f f i e 和h e l l m a n 在“密码学的新方向 一文【1 】中首次提出的， 1 绪论硕士论文 随后引起了学术界尤其是密码学界和计算机网络界的广泛重视，特别是随着i n t e m e t 、 i n t r a n e t 的飞速发展和应用，数字签名技术已应用到电子商务、数据库安全、身份认证、 病毒检测、软件保护、民主选举等方面。 数字签名是一种证明签名者身份和所签署内容真实性的一段信息。普通数字签名方 案包括三个过程：系统初始化、签名产生、签名验证。下面给出数字签名的形式化定义。 1 系统初始化过程 产生签名方案中的基本参数( m ，s ，k ，s i g , v e r ) ，其中： m ：消息集合；s ：签名集合：k ：密钥集合，包括私钥和公钥；s i g ：签名算法集 合；v e r ：签名验证算法集合。 2 签名产生过程 对于密钥集k ，相应的签名算法j ：m s ，对任意的消息m m ，有s = s i g x ( 掰) ， 则s s 为消息m 的签名，将( m ，s ) 发送给签名验证者。 3 签名验证过程 对密钥集k ，有签名验证算法v e r x ：m s 专 t r u e ，f a l s e ， 毗加 麓二：嚣 签名验证者收到( m ，s ) 后，计算v e r x ( m ，s ) ，若v e r r ( m ，s ) = t r u e ，签名有效；否则， 签名无效。 数字签名同手写签名相比，具有巨大的优势： ( 1 ) 手写签名由于是模拟的，因此很容易被人仿造，当收发双方一旦出现争端，第三 方不容易仲裁；而数字签名是由0 和1 组成的数字串，它因消息而异，而且当收发双方 出现争端时，它能给仲裁者提供足够的证据来进行裁决，因此其安全性高于前者。 ( 2 ) 数字签名依靠网络的传输，它的实现不受时间和地域的限制，其时效性远高于手 写签名。 1 2 2 数字签名的作用及特征 数字签名的作用主要有两个：第一，信源识别( 或称身份认证) ，即接收者能够核实 发送者发送的报文签名，发送者事后也不能否认发送的报文签名；第二，检验发送消息 的完整性( 或称为消息认证) ，即验证消息在传送的过程中是否被篡改、重放或延迟。 数字签名应具有以下特性： ( 1 ) 签名是可信的。签名使消息的接收者相信签名者慎重地签署了该消息。 ( 2 ) 签名是不可伪造的。除了合法的签名者之外，任何其他人伪造其签名是困难的。 ( 3 ) 签名是不可复制的。对一个消息的签名不能通过复制变为另一个消息的签名。如 果对一个消息的签名是从别处复制得到的，则任何人都可以发现消息和签名之间的不一 2 硕士论文盲签名理论及其在电子现金中的应用研究 致性，从而可以拒绝签名的消息。 ( 4 ) 签名后的消息是不能更改的。一旦签名的消息被篡改，则任何人都可以发现消息 和签名之间的不一致性。 ( 5 ) 签名是不可否认的。签名者不能事后声称他没有签署过该消息。 1 2 3 数字签名的分类 根据接收者验证签名的方式可将数字签名分为真数字签名和仲裁数字签名两类。在 真数字签名中，签名者直接把消息发送给接收者，接收者无需求助于第三方就能验证签 名。而在仲裁数字签名中，签名者把签名消息经由可信第三方( 仲裁者) 发给接收者，接 收者通过与仲裁者合作来验证签名的合法性。 从计算能力上分，可将数字签名分为无条件安全的数字签名和计算上安全的数字签 名。现有的数字签名大部分都是计算上安全的，如r s a 数字签名 2 1 、e i g a m a l 数字签名 3 1 等等。所谓无条件安全的数字签名是指具有无限计算资源( 如时间、空间、设备、资金 等) 的攻击者也无法攻破该数字签名；计算上安全的数字签名是指任何伪造者伪造签名 者的签名是计算上不可行的。文献【4 】提出了第一个无条件安全的数字签名，这种签名的 签名者和接收者都是无条件安全的。理论上，这种数字签名在许多应用中能代替计算上 安全的数字签名，但在实际应用中因签名需要复杂的交互密钥生成协议及其签名很长而 不能被应用。 根据数字签名的功能将数字签名分为普通数字签名和具有特殊性质的数字签名【5 1 。 普通数字签名有r s a 数字签名、e 1 g a m a l 数字签名、f i a t s h m i r 数字签名、s c h n o r r 数字 签名、美国的数字签名标准算法( d s s d s a ) 、椭圆曲线数字签名、有限自动机数字签名 等等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限 签名、具有消息恢复功能的签名等，它与具体应用环境密切相关。 根据数字签名方案基于的数学难题，数字签名方案可分为基于离散对数问题的签名 方案和基于素因子分解问题的签名方案。e 1 g a m a l 签名方案和d s a 签名方案属于前者， 而r s a 方案则属于后一类。 数字签名方案的分类是相对而言的，并非一定要把某一数字签名方案归于某一类。 上述分类只是对现有的数字签名方案进行大体概括，以求对其有一总体印象。 1 3 盲签名理论研究现状 盲签名的概念是由d c h a u i 】一于1 9 8 2 年首先提出的。盲签名是一种特殊的数字签 名，它与通常的数字签名的不同之处在于，签名者并不知道他所要签发文件的具体内容。 盲签名除了具备通常数字签名的特性之外，还具有以下两种特性： ( 1 ) 盲性：消息的内容对签名者来说是不可见的。 1 绪论 硕士论文 ( 2 ) 不可追踪性：签名者事后不能将签名与盲消息联系起来。 盲签名的这种特性能适应许多商务和政务活动的保密需求：在认证的同时不泄漏内 容，如合同、遗嘱的公证，保付支票的使用，电子货币、电子投票等。 由于网络技术的发展进步，在商业活动中采用盲签名技术生成电子现金用于商品交 易成为可能。消费者可以从银行得到有效的电子现金，银行不能对消费者的消费状况进 行跟踪，有效保护了消费者的消费隐私；同时商家可以验证电子现金的有效性，但不能 得到消费者的身份信息，也有效保护了消费者隐私。商家以电子收据在银行获取现金或 通过转账获取交易货物的成本和利润。 在电子选举中，有两个需要遵循的原则： ( 1 ) 投票人的利益不受侵犯，即从选票信息中不能得到投票人的信息，实现投票人的 无记名投票。 ( 2 ) 保证选举结果的公正，即不能出现伪造选票和有效选票遗漏等作弊现象。 盲签名技术在选举协议中的应用，满足了以上两个原则。 自从d 。c h a u m t 6 j 提出盲签名的概念以来，盲签名便因其潜在的应用价值而得到密码 学界的广泛关注。近年来，国内外学者对盲签名理论进行了深入的探讨研究，并取得了 丰富的研究成果。人们分别基于因子分解问题( 即f p ) 、离散对数问题( 即d l p ) 、二次剩 余问题( 即q r ) 相继提出各种盲签名方案。 基于因子分解问题的盲签名方案的研究成果主要有： 1 9 8 3 年，c h a u m 7 j 基于r s a 公钥密码系统提出了一个盲签名方案。1 9 9 2 年，s o l m s 等【8 1 提出一种完美的勒索和洗钱的方法。1 9 9 3 年，m i c a l i 提出公平密码系统的概念以防 止犯罪分子对密码系统的滥用。然而，s t a d l e r 等1 9 1 认为匿名性和不可追踪性仍有可能被 犯罪分子所滥用。为了避免犯罪分子的这种行为，s t a d l e r 建议在匿名支付系统中应该建 立一个可信的第三方，例如法官。c o h e n 等【l0 1 认为一个签名伪造策略( 消息选择攻击的 一个分支) 可能会给r s a 数字签名系统带来麻烦。因此，f a n 等【l i 】提出了一个盲签名方 案以增强c h a u m 盲签名方案的随机性，这样攻击者就不能计算出签名者的签名以避免 消息选择攻击的威胁。2 0 0 1 年，c h i e n 等【l2 】基于r s a 公钥密码系统提出了一个部分盲 签名方案，该方案可以减少数据库的大小以及避免电子现金系统的重复花费。 基于离散对数问题的盲签名方案的研究成果主要有： 1 9 9 2 年，o k a m o t o 1 3 1 基于s c h n o r r 签名体制提出了一个盲签名方案。1 9 9 4 年 c a m e n i s c h 等1 1 4 j 基于离散对数问题提出了两个盲签名方案。第一个方案来源于d s a 的 变形，第二个方案是以n y b e r g r u e p p e l 签名体制为基础的。2 0 0 0 年，m o h a m m e d 等【l 5 j 基于e i g a m a l 数字签名体制提出了一个盲签名方案。 基于二次剩余问题的盲签名方案的研究成果主要有： f a n 等i l6 j 于1 9 9 6 年提出一个盲签名方案，该方案的安全性是基于二次剩余方根的 4 硕士论文盲签名理论及其在电子现金中的应用研究 难解性。1 9 9 8 年，f a n 等【1 7 】提出一个部分盲签名方案，该方案能减少电子现金系统的计 算量和数据库的大小。然而，h w a n g 掣”】指出该方案不能满足不可追踪性的要求。同一 年，f a n 等【1 9 j 又提出一个盲签名方案以提高文献 1 4 e e 方案的计算效率。 现有的大多数电子现金系统都是基于由单个银行发行电子现金的模型，所有的用户 与商家在同家银行拥有账户。而在现实世界中，电子现金可能是在一个中央银行监控 下，由一群银行发行的。为了适应多银行电子现金系统的需求，因此，a l y s y a n s k a y a 和z r a m z a n 【2 0 】将盲签名和群签名相结合提出了群盲签名的概念并给出了一个具体的方 案，该方案是通过在j c a m e n i s c h 和m s t a d l e r 的群签名基础上增加盲性质实现的。 人们考虑到电子现金可能是由开户银行的一个有效分支机构进行盲签名，因此， 2 0 0 0 年l i n 和j a n 2 1 1 将代理签名和盲签名相结合提出了第一个代理盲签名方案。在此以 后，谭作文等1 2 2 j 于2 0 0 2 年提出了一个基于s c h n o r r 盲签名的代理盲签名方案，s l a l 和 a k a w a s t h i l 2 3 1 于2 0 0 3 年提出了一个基于m a m b o 代理签名的代理盲签名方案。 盲签名由于它的盲性在电子商务和电子政务中有着广泛的应用前景。随着科技的进 步，必将有更多的领域会应用盲签名技术，同时这也会促进盲签名技术的发展进步。 1 4 电子商务安全 随着i n t e m e t 的迅速发展和广泛应用，其安全性已变得日益重要起来。对于生存和 依赖于i n t e m e t 的电子商务，安全问题更是网上企业和消费者急待解决的头等大事。电 子商务安全是一个复杂的系统问题，其主要的安全要素有：保密性、完整性、认证性、 不可抵赖性、不可拒绝性、访问控制性。有许多技术和方法被用来保护i n t e m e t 上电子 商务的安全，主要有加密，数字签名及认证技术、访问控制技术、病毒防治技术等。 而在庞大复杂的电子商务系统中，电子支付是电子商务的核心环节。电子支付指的 是电子交易的当事人，包括消费者、厂商和金融机构，使用安全电子手段通过网络进行 的货币或资金流转，即把新型支付手段( 包括电子现金、信用卡、借记卡、智能卡等) 的 支付信息，通过网络安全地传送到银行或相应的处理机构来实现电子支付。电子支付具 有方便、快捷、高效和经济的优势，但由于其工作环境是基于i n t e m e t 开放的系统平台， 使得安全问题成为控制电子支付发展的命脉。 随着计算机技术和通信技术的发展，电子支付的方式越来越多，大致可以分为三大 类：( 1 ) 电子货币类，如电子现金、电子钱包等；( 2 ) 电子信用卡类，包括智能卡、借记卡、 电话卡等：( 3 ) 电子支票类，包括电子支票、电子汇款等。其中，电子现金是指以电子化 数字形式存在的现金货币，是目前重点研究的电子支付方式之一。为确保电子现金的全 面安全，必须建立完善的电子现金系统协议，以达到所需的各种安全要素。其中，数字 签名技术是一个重要的方面。通过数字签名体制的介绍可知，数字签名技术可以提供消 息的完整性，身份认证以及不可抵赖的性质。因此设计安全的电子支付协议，签名技术 i 绪论 硕士论文 是一个关键技术。而盲签名是基于数字签名设计的，具有比数字签名更为特殊的性质， 盲签名技术作为近年来出现的一种新型签名技术，在电子商务中有着广范的应用。 1 5 本文章节安排 本文首先对目前的几个经典盲签名方案进行了研究与分析，其次在目前方案中选取 一个典型的群盲签名方案和代理盲签名方案进行了分析和改进，最后研究了盲签名在电 子现金中的应用情况，并给出了一种改进的基于r s a 盲签名电子现金方案。 第二章介绍了本文涉及的一些概念和问题，包括数论、代数中的概念、对称密码体 制和公钥密码体制基础、h a s h 函数的概念及其安全性、知识签名以及本文的符号约定。 第三章讨论了盲签名的概念、性质及分类、基于因子分解问题的盲签名方案( r s a 盲签名) 及其安全性分析、基于离散对数问题的盲签名方案及其安全性分析，其中讨论 了e i g a m a l 盲签名、s c h n o r r 盲签名、n y b e r g r u e p p e l 盲签名方案的设计与分析。 第四章讨论了群签名及群盲签名的概念和性质，并对l r 9 8 群盲签名方案进行了分 析和改进，改进后的方案可以有效抵抗合谋攻击。 第五章讨论了代理签名及代理盲签名的概念和性质，并对谭作文等的代理盲签名方 案进行了分析和改进，改进后的方案能够有效抵抗广泛的伪造攻击。 第六章介绍了电子现金的一些初步知识及其发展状况，讨论了一种现有的盲签名电 子现金方案的设计与分析，并给出了一种改进的基于r s a 盲签名电子现金方案，该方 案具有不可伪造性、不可重复花费性、可撤销匿名性和离线支付等特点。 最后，结束语中对全文的研究工作进行了总结，并指出了进一步的研究方向。 6 硕士论文 盲签名理论及其在电予现金中的应用研究 2 基础知识 盲签名是一种特殊的数字签名，它与数字签名一样都是基于数学上某种在计算上是 困难性问题设计的，和数学有着密切的关系。许多数学知识如因子分解问题( f p ) 、离散 对数问题( d l p ) 、二次剩余问题( q r ) 等都是设计盲签名的基础。盲签名的研究还涉及密 码学中的单向函数和知识签名等内容。 2 1 数学基础 本节简单介绍论文中用到的数论、代数中的相关基本概念。 定义2 1 对任意整数n 和任意整数a 和b ，若ni ( 口一6 ) ，则称i 1 1 和b 模1 1 同余，记 为a 言b ( m o d n ) 。 定义2 2 设a z 。，若存在x 乙，使得a x 暑l ( m o d n ) ，则称x 为a 在模n 的乘法 逆元，可记为口。 定义2 3 设a z ：，若同余式x 2 兰a ( m o d n ) 有解，则称a 是模n 的二次剩余，否则， 称a 是模n 的二次非剩余。 定义2 4 设g 是一个群，如果g 中有一个元素t l , 使得对于每一个b g ，都存在一 个整数i 使得b = 口，则称g 是一个循环群，g t 称为g 的一个生成元。 定义2 5 设g 是一个群，a g 。若存在整数t ，使得a = 1 ，则定义这样的最小正 整数t 为a 的阶。若这样的t 不存在，则a 的阶定义为o o 。 定义2 6 因子分解问题：给定一个正整数n ，找出n 的所有素因子。即 疗= p i e i p 2 e 2 p ，其中b 是互不相同的素数，e i l 。 定义2 7r s a 问题：给定一个正整数n ，刀= p q ，p 和q 是两个不同的奇素数，有 正整数e ，使得g e d ( e ，( p 一1 ) ( g 一1 ) ) = 1 成立，另有整数c ，找出一个整数m ，使得 m 8 暑c ( m o d n ) 成立。 定义2 8 离散对数问题( d l p ) ：设有素数p ，a 是z 的生成元，z 二，找出一个整 数x ，0 x p 一2 ，使得口。兰f l ( m o d p ) 成立。 2 2 密码学基础 密码学是研究密码系统或通信安全的- i 1 科学，包括密码编码学和密码分析学两个 分支。密码编码学主要任务是寻求产生安全性高的有效密码算法和协议，以满足对消息 进行加密或认证的要求；密码分析学研究破译密码或伪造认证信息，实现破取机密信息 或进行诈骗破坏活动。密码技术是信息安全技术的核心。 目前的密码学体制可分为对称密钥密码体制和公开密钥密码体制。 7 2 基础知识硕士论文 在对称密钥密码体制( 也叫做传统密码体制) 中，可以从解密密钥推算得到加密密钥 ( 反过来也成立) ，在大多数对称密钥算法中加密密钥和解密密钥是相同的。 在传统的密码体制中，加密和解密使用的是同一个密钥，而且密钥的分配和保存必 须是秘密的，那么1 1 个用户若要两两之间进行秘密通信，总计需要通过安全信道交换 n ( n 一1 ) 1 2 个密钥，这就给密钥管理带来极大的不便。而且传统密码体制的主要作用是 保护信息的机密性，一般不能提供信息的认证性。 1 9 7 6 年d i f f i e 和h e l l m a n 在“密码学的新方向 一文i l 】中首次提出了公开密钥密码 体制( 简称公钥密码体制) 概念，它是密码学历史上的一个重大成就，给密码学的发展和 应用带来了革命性的变革。公钥密码体制的显著特点是可以提供信息的认证性，公钥密 码体制的诞生，使得密码学不仅能够保护信息的机密性，而且还能够提供信息的认证性。 在公钥密码体制中，加密密钥和解密密钥不同，而且解密密钥不能根据加密密钥计 算出来( 至少在合理假定的长时间内) ，加密密钥能够公开，因此也叫做公开密钥( 简称公 钥) ，解密密钥叫做私人密钥( 简称私钥) 。 若以公钥作为加密密钥，以用户私钥作为解密密钥，则可实现多个用户加密的消息 只能由一个用户解读，可用于保密通信；反之，以用户私钥作为加密密钥而以公钥作为 解密密钥，可实现由一个用户加密的消息而使多个用户解读，实现数字签名的作用。 利用公钥密码体制，n 个用户之间两两进行秘密通信只需要n 对密钥，而且密钥交 换不需要安全信道。因此公钥密码体制能够较好地解决密钥管理的问题。 公钥密码体制自1 9 7 6 年由d i 伍e 和h e l l m a n 提出之后，作为密码学的一个新的分 支，得到了很大的发展。目前公钥密码体制的安全性主要是基于数学上的两大困难问题： 一个是大整数分解问题，代表算法如r s a 算法、r a b i n 算法；另一个是离散对数问题， 代表算法如e i g a m a l 算法、s c h n o r r 算法和d s a 算法等。 2 3h a s h 函数 h a s h 函数( 也称为散列函数) 就是把任意长的输入消息串转换成固定长度输出串( 称 为h a s h 值、消息摘要、指纹) 的一种函数。h a s h 函数在数字签名中具有如下作用： ( 1 ) 可破坏数字签名方案的某些数学性质，如同态性。 ( 2 ) 通过对消息摘要签名取代对消息签名，可以提高签名的速度。 ( 3 ) 签名可以不包括原信息，增强了保密性。 h a s h 函数的安全性是指：在现有的计算资源下，找到一个碰撞是不可能的。安全 的h a s h 函数的存在性依赖于单向函数的存在性。根据h a s h 函数的安全水平，h a s h 函 数分为强无碰撞的h a s h 函数和弱无碰撞的h a s h 函数。下面给出几个定义： 定义2 9 弱无碰撞：h a s h 函数h 称为是弱无碰撞的，是指对给定消息z x ，在计 算上几乎找不到，x ，x ，使得向( x ) = 办( ，) 。 r 硕士论文盲签名理论及其在电子现金中的应用研究 定义2 1 0 强无碰撞：h a s h 函数h 被称为是强无碰撞的，是指在计算上几乎不可能 找到不同的x 、，使得h ( x ) = h ( x ) 。 定义2 1 1 单向的：称h a s h 函数h 为单向的，是指计算h 的逆函数h 一，在计算上 不可行。 h a s h 函数主要用于完整性校验和提高数字签名的有效性。一个安全的h a s h 函数应 该至少满足以下几个条件：输入长度任意：输出长度固定；对每一个给定的输入值，计 算h a s h 值是容易的：h a s h 函数应该是强无碰撞的。 目前，设计h a s h 函数的基本方法有以下几种： ( 1 ) 利用某些数学难题如因子分解问题、离散对数问题等设计h a s h 函数； ( 2 ) 利用某些传统密码体制如d e s 等设计h a s h 函数； ( 3 ) 直接设计h a s h 函数，这种算法不基于任何假设和密码体制，是当今比较流行的 一种设计方法。美国的安全杂凑算法( s h a ) ，m d 4 ，m d 5 等属于此类算法。 2 4 知识签名 零知识证明是通信双方在交互的过程中，一方在不向对方泄漏信息具体内容的情况 下证明自己知道这些知识。交互的零知识证明可以通过单向散列函数转化为非交互的证 明或签名，为了区别于交互的零知识证明， 知识签名在许多密码方案中都有应用， 数个数，并且使得算法安全性有所提高。 许多密码学家称这样的签名为知识签名。 由于单向散列函数的应用，减少了算法中参 定义2 1 2 知识签名：设p ，q 为两个大素数并r ql ( p 一1 ) ，g 为z 。的q 阶生成元， h 为单向散列函数，令z z 口为签名者的私钥，y = g 。m o d p 为其公钥，则称满足 c = h ( gi iyf | 9 5 y 。0m ) 的数对( c ，s ) 是消息m z p 关于y 基于g 的离散对数的知识签名。 如果知道满足x = l o g 。y 的秘密密钥x ，则可以通过如下方法计算对消息r i l 的签名： ( 1 ) 选择随机数，z 口，并计算f = 9 7r o o d p 。 ( 2 ) 计算c = h ( g0y l | m ) 。 ( 3 ) 计算s = ，- 一c x m o d q 最后，可以将( c ，s ) 作为对消息r n 的签名。 验证者可以验证如下等式： c = h ( gl iyi i9 5 y 。i im ) 来确定签名是否有效。 2 5 符号约定 本文中出现的符号： 9 2 基础知识 硕士论文 l o z 是整数集。 乙= o ，1 ，2 ，甩一1 是整数模n 的集合。 乙的乘法群z = a 乙i g c d ( a ，n ) = 1 ) 。 矽( 刀) = 爿z 二l 为欧拉函数，即( 玎) 定义为不大于n 且与n 互素的正整数个数。 i i 表示两个( 二进制) 串的联结。 a 足a 表示a 是从有限集a 中随机选取的元素。 o ，1 ) 。表示长度为，的所有二进制字符串。 e l i 表示二进制串c 从左数第i 位的值。 硕士论文盲签名理论及其在电子现金中的应用研究 3 盲签名 数字签名是一种重要的密码与计算机网络安全技术，它的使用可以保证所传送的信 息不被篡改和伪造，并能确认签名者的身份。而盲签名的概念首先由d c h a u m 6 1 于1 9 8 2 年提出，它是一种特殊的数字签名，它与通常的数字签名的不同之处在于，盲签名是在 发送者a 和签名者b 之间的一个两方协议。签名者并不知道他所要签发消息的具体内 容，而消息拥有者又可获得签名者关于真实消息的有效签名。它的基本思想是：a 欲让 b 对消息签名，但又不想让b 知道消息的具体内容。 3 1 盲签名概念、性质和分类 3 1 1 盲签名的概念 关于盲签名，d c h a u m 用一个形象的事例说明了盲签名：所谓的盲签名，就是先将 文件放入一个带有复写纸的信封( 盲化) ，签名人直接在信封上签名，透过复写纸写到文 件上。这个过程中信封没有打开，所以无法了解文件的真实内容。而除去盲因子的过程 就是打开信封，签名者可以验证签名，但他不能在签名和文件间建立联系。 下面给出盲签名的定义。 定义3 1 盲签名：接收者在不让签名者获取所签署消息具体内容的情况下进行签名 所采取的一种特殊的数字签名技术，它除了满足一般的数字签名条件外，还必须满足下 面的两条性质： ( 1 ) 盲性：签名者对其所签署的消息的具体内容是不可见的。 ( 2 ) 不可追踪性：当签名信息被公布后，签名者不能将签名与盲消息联系起来。 3 1 2 盲签名的性质和实现效率 一般来说，一个好的盲签名应该具有以下性质： 不可伪造性：除了签名者本人以外，任何人都不能以他的名义生成有效的盲签名。 这是一条最基本的性质。 不可否认性：签名者一旦签署了某个消息，他无法否认自己对消息的签名。 盲性：签名者对其所签署的消息的具体内容是不可见的。 不可追踪性：当签名信息被公布后，签名者不能将签名与盲消息联系起来。 满足上面几条性质的盲签名，被认为是安全的。这四条性质既是设计盲签名应遵循 的标准，同时也是判断盲签名性能优劣的依据。 另外，方案的可操作性和实现效率也是设计盲签名时所必须考虑的重要因素。一个 盲签名的可操作性和实现速度取决于以下几个方面： 3 盲签名 硕士论文 ( 1 ) 密钥的长度： ( 2 ) 签名的长度； ( 3 ) 签名算法和验证算法。 3 1 3 盲签名分类 到目前为止，虽然提出了许多种不同的盲签名，但还没有对各种盲签名进行系统的 分类。从不同角度可对盲签名进行如下的分类1 2 4 ： ( 1 ) 按照不同的盲化对象划分： 盲消息签名方案：盲消息签名仅对待签名的消息m 进行了盲化。在盲消息签名方案 中，签名者对盲消息m 签名，并不知道真实消息m 的具体内容。这类签名的特征是 s i g ( m ) = s i g ( m ) 或s i g ( m ) 含s i g ( m ) 中的部分数据。盲消息签名方案在电子商务中一般不 用于构造电子货币支付系统。 盲参数签名方案：在盲参数签名方案中，签名者知道所签消息m 的具体内容，消息 拥有者仅对签名s i g ( m ) 进行了盲化，即改变s i g ( m ) 而得到新的签名s _ j g ( m ) ，但又不影 响对新签名的验证。盲参数签名的这些性质可以用于电子商务系统c a 中心为交易双方 颁发口令，另外，利用盲参数签名方案还可以构造代理签名机制中的原始签名人和代理 签名人之间的授权方程，以用于多层c a 机制中证书的签发和验证。 ( 2 ) 按照消息拥有者对签名人是否可以追踪进行分类： 弱盲签名：在弱盲签名方案中，消息拥有者对消息m 和签名s f g ( m ) 进行了盲化。 若签名者保留s i g ( m 7 ) 及有关数据，待s i g ( m ) 公开后，签名者可以找出s f g ( m ) 和s i g ( m ) 的 内在联系，从而达到对消息m 拥有者的追踪。 强盲签名：在强盲签名方案中，消息拥有者对消息m 和签名s i g ( m 7 ) 进行了盲化。 即使签名者保留s i g ( m ) 及其它有关数据，仍难以找出s i g ( m ) 和s i g ( m ) 之间的内在联系， 不可能对消息m 的拥有者进行追踪。在电子支付系统和电子投票系统中，为了保障用户 和投票者的匿名性及保密性，往往都采用强盲签名技术。 ( 3 ) 按照签名人数的多少来划分： 简单盲签名( 同盲消息签名方案) ： 盲签名。 多重盲签名：若签名人为一群人， 案必须经多人盲签名才可生效。 如果签名人为一个人，则这时的签名就是普通的 则这时的签名就是多重盲消息签名。该类签名方 ( 4 ) 按照签名人是否接受别人的代理来来划分： 简单盲签名：如果签名人不受别人委托，这时的签名就是普通的盲签名。 代理盲签名：如果原始签名人委托代理签名人行使其签名权，则这时的签名就称为 代理盲签名。 1 2 硕士论文 盲签名理论及其在电子现金中的应用研究 3 2 基于因子分解问题的盲签名方案 3 2 1r s a 签名方案 基于大数分解的r s a 签名方案由以下几个部分组成： ( 1 ) 初始化阶段： 签名者b 随机选取两个大素数p 和q ，计算： 刀2p q 矽( 刀) = ( p 1 ) ( g 一1 ) 。 b 随机选取大整数e ，1 e ( 疗) ，满足g c d ( e ，( 玎) ) = 1 。 b 利用扩展的欧几里德算法计算唯一的整数d ，1 d 矽( 刀) ，满足e d 兰l m o d # ( n ) 。 b 公开e ，l l ，秘密保存p ，q 和d 。 b 的公钥是( 疗，p ) ，私钥是d 。 ( 2 ) 签名阶段： 签名者b 用私钥d 对消息m 进行签名s = m dm o d n ，将s 发送给签名的索取者a 。 ( 3 ) 验证阶段： a 利用b 的公钥( 门，p ) 可以验证如下等式 s 8 量m m o d n 是否成立，由此可确定签名是否有效。若成立，则验证了s 是b 对m 的签名，否 则拒绝。 3 2 2r s a 盲签名方案 基于大数分解的盲签名方案是由d c h a u mf 6 】首先提出的，该盲签名方案基于上述 r s a 签名体制，由以下几个部分组成： ( 1 ) 初始化阶段： 签名者b 随机选取两个大素数p 和q ，计算： r l = p q 矽( 玎) = ( p - 1 ) ( q - 1 ) 。 b 随机选取大整数e ，1 e ( 刀) ，满足g c d ( e ，( 行) ) = 1 。 b 利用扩展的欧几里德算法计算唯一的整数d ，1 d 矽( 力) ，满足耐三l m o d # ( n ) 。 b 公开e ，n 和一个安全的单向哈希函数h ，秘密保存p ，q 和d 。 b 的公钥是( 刀，p ) ，私钥是d 。 ( 2 ) 盲化阶段： 签名的索取者a 有消息m z ，随机选取一个整数，乙，计算m = r h ( m ) m o d n 。 a 将朋发送给b 。 3 盲签名 硕士论文 ( 3 ) 签名阶段： 签名者b 计算，= ( m ) d m o d n ，将s 发送给a 。 ( 4 ) 脱盲阶段： 签名的索取者a 计算s = s r m o d n ，s 就是消息m 的签名。 ( 5 ) 验证阶段： a 可以验证如下等式 ( s ) 2 兰h ( m ) m o d n 是否成立，由此可确定签名是否有效。若成立，则验证了s 是b 对m 的签名，否 则拒绝。 整个过程中，签名者b 无法看到真正的消息m ，这是因为盲化因子r 。与其相乘将其 盲化。最后，签名的索取者a 将b 对盲化后的消息聊的签名s r 进行脱盲，即除去盲化 因子r ，最终得到消息签名对( s ) 。( 聊，s ) 确实是b 的签名( 用他的公钥可以验证该签 名的合法性) ，但对b 来说，它是陌生的，因为b 无法将这个签名与自己具体的某次签 名行为联系起来。 r s a 签名体制的安全性依赖大数分解的困难性，分解n 是最常用的攻击方法，攻击 者只要能分解n ，很容易求出签名者的私钥。所以，n 的取值应尽可能大些。目前r s a 的一些硬件实现使用5 1 2 位二进制数n ( 相当1 5 4 位十进制数) ，不能提供长期的安全性。 要保证长期安全性应该至少使用1 0 2 4 位。 另外，为了防止攻击者的穷举攻击，在构造n 时所选择的p 和q 的长度不应相差过 大，数值上不要太接近，并且p 1 和q 1 有大的素因子。 3 3 基于离散对数的盲签名方案 3 3 1e i g a m a l 盲签名方案 1 9 8 5 年，t e 1 g a m a l 3 j 基于离散对数问题提出了公钥密码体制，该方案