（应用数学专业论文）指定验证者签名方案研究.pdf

河南大学研究生硕士学位论文第1 页 摘要 在现代信息安全系统中，由于数字签名可以提供数据完整性和可鉴别性，满 足电子商务和电子政务等方面的需求，因此，成为保证信息安全的关键技术之一， 在网络通信安全中发挥着十分重要的作用。 指定验证者签名和指定验证者代理签名是两种特殊形式的签名，在指定验证 者签名方案中，只有指定的验证者才能验证签名的有效性；在指定验证者代理签 名中，一个原始签名者可以将他的签名权力委托给一个代理签名者，由该代理签 名者代表他来行使签名权，然后由指定的验证者来验证该代理签名的有效性。由 于这两种签名体制的特殊应用背景，使得它们被广泛应用于电子商务和电子政务 等活动中。通过研究发现，在现阶段的指定验证者签名中主要存在执行效率低、 安全性不高等问题，因此设计出安全、高效的指定验证者签名方案具有重要意义。 本文在这方面做了一些有益尝试，提出了一个新的基于身份的指定验证者签名方 案和一个高效的指定验证者代理签名方案。 本论文的主要研究内容和研究结果包括： 第一，介绍前期预备知识及指定验证者签名的概念和定义，在借鉴现有方案 的优点的同时提出了一个新的基于身份的指定验证者签名方案，给出了方案的相 关算法。对新方案的安全性给予分析和证明，并给出了方案的计算量代价，结果 表明新方案可以满足指定验证者签名的性质。 第二，结合代理签名和指定验证者签名的性质，提出了一个高效的指定验证 者代理签名方案，给出了方案的相关算法。提出的新方案满足代理签名和指定验 证者签名方案各自独特的安全性需求。并对新方案的安全性给予分析及证明，在 计算量等方面和现存方案作了对比，结果表明新方案更加高效和实用。 关键词：数字签名；基于身份；指定验证者签名；指定验证者代理签名 第1 i 页河南大学研究生硕士学位论文 hn l em o d 锄s y s t e m so fi l l f 0 彻口：t i o ns c c u r i 坝勰n l ed i 西t a ls i 掣眦u r e sc a nn o t o i l l yp r 0 、，i d e st h ed a ：t ai n t e 面够a n da u t h 朗d c a t i o n ，b ma l s om e e t sm ed c 釉a n d so f e c 0 蚴e r c ea n de - g o v e m m 髓t ，i tb e 咖eo n eo fn l ek e yt e c h o l o g i e st 0c n s u r em e i l l f o 咖a t i o ns e c u r i t ) ，a i l dp l a y e dav e 巧i m p o 此m tr o l ei n 也en 酣础c 0 姗u i l i c a t i o l l s d e s i g 彻t i e dv e r i f i e rs i g i i 砷瞰s c h e m e 粕dd e s i 鄹瞰e dv 嘶f i e rp r o x ys i 鲫孤鹏 s c h e m ea r et w ot y p e so fs p e c i a ls i 孕k a l l l r e s t h ed e s i 鄹雠e dv e r i 丘e rs i 印a t u r es c h e m e 黝b l e s 舭d e s i 刚c d 、稍丘e rt ov d 矽m ev a l i d 蚵0 fm es i g n a n 鹏，州l e m e d e s i 驴a t e dv e r i f i e rp r o x ys i 印a r t u r es c h e n l ea l l o w sap e r s o nc a l l e dp r o x ys i g n e r ，t 0s i g n o nb e h a l fo f 姐o r i g 砌s i g n e r ，觚d 恤d e s i 雕删v 嘶f i e rv e r i 匆舭v a l i 哟，o fm e p r o x ys i 印a t u r e t t l ep r o p e r 眵锄dc h 锄t e r i s t i c so ft 量l e s et w o 帅e so fs i 鄹咖l r em a k c 也e m 诵d e l yu s e di l le l e c t r o i l i cb u s i n e s sa i l de g o v e m m e n t 触e rr e s e a r c h ，w ef 0 u n d t h a tt h e r ew e r es _ u c hl 血do fi s s u e s 部l o wp e r f 0 n 】姐n c e 锄di n l p e r f e c ts e c u r 时i n 廿l e c 咖e n td e s i 印a t e d - v 丽f i e rs i 印a l l 鹏s oi ti s 妇p o r t a 毗t 0d e s i 萨s e c u r e 锄de 伍c i e n t d e s i 印献e dv e r i f i e fs i 印a n 鹏s c h e m e s i n l i sp 印e r ，s o m ee x p l o r 撕o n sl l a v eb e e nm a d e a n dan c wi d - b a s e dd e s i 印a t e dv e r i f i e rs i 印a n 玳s c h e m ea n dan e we 伍c i e n td e s i 印a t e d v e d 丘e rp r o x ys i g i 】a ：t u r es c h e m ea r e 酉v e nr e s p e c t i v e l y h v eb e e ns 砌i e di nn l i sp a p e ra 1 1 d 也em a i nr e s u l t sa r ea sf o l l o w s ： f i r s t l y ，n l i sp a p e rp r e s e n t 甜t 1 1 ee a d yp r i o rk n o w l e d g e 锄dm ec o n c e 皿o n 锄dn l e d 硝- m i t i o no ft ：h ed e s i g n a t e dv 衙f i e rs i 伊旧土i e p r o p o s e dan e wi d b 嬲e dd e s i 笋a t e d v e r i f i e rs i g t u r es c h e m eb 勰e do nn l ea d v a i n a g e so fm ee x i s t i n gs c h e m e s ，l i s t e d 也e i n 钯r r e l 锄e da l g o r i n l mo fm es c h 锄e 删e do ns e 吼l r i 够a l l a l y z e d 锄dh 弱g i v e nm e m e o r e ma n dc e r t i f i c a t i o ni ns e c u r e 嬲p e c t ，g a v en l ec o s to fc a l c u l 痂ga m o 雌tt 0 也e s c h 锄e t t 伦r e s u l t ss h o w e dn l a tt h en e ws i 印a ：t u r es c l l e r n ep r o p o s e dl t a dm e c tn l e s 1 ) e c i f i cn a n l r eo f 圯d e s i g n 2 l t e dv e r i f i e rs i 印a 1 u r e s e c o n d l y ，c o m b 址m ec h 蹦娥嘶s t i co f 也e 芦0 x ys i 鲫a n 鹏a n d 廿l ed e s i 印a t e d v 耐f i e rs i 印撒聪s c h e m e ，妒0 p o s c dan e we 伍c i 既td e s i 舀斌e dv e r i 矗e rp r 0 x ys i g 咖 s c h e m ew m c hs a t i s 丘e dt h es p e c i a ls e c u r em 咖睇o ft 1 1 ep r o x ys i 掣谢嘶锄dt h e d e s i 鄹雠e dv e d f i e rs i 鄹曲e a n da l s 0g i v e nt t l e 椭魄r e l 劬甜a l g o r i m mo f 也es c h 锄e 河南大学研究生硕士学位论文第1 i i 页 p i r o v 沮l es c c 厕锣o ft h e 联1 ws c h e m ep 】0 p o s e d c o i n i a r e dm l ee 对s t i l 坞s c h e m e s 托缅dt 0m ec a l c l l l a 矗o nw h i l et h er e s u l t si m p l yt 1 1 a tt h e 球? ws d 呦ei sm o r ee 伍c i e n t 粕d 删c a l k e yw o 阿s ：d i 酉t a ls i 印a 士i 鹏；l d e 而够b a s e d ；d e s i g 删t e dv 舐丘e rs i 印a 芏i 聪；d e s i g 髓t i 耐 v e r i f i e rp r 0 ) 哕s i 印a ：t u 关于学位论文独立完成和内容创新的声明 硼删说餮裂 河南大学研究生硕士学位论文第1 页 第1 章绪论 密码学是研究信息及信息安全的传统科学，它起源于保密通信技术。为了实 现数字信息的机密性，使用密码学算法对其进行加密是最有效的办法；为了实现 信息的完整性，对信息进行完整性校验、对用户进行身份认证，使用密码技术实 施数字签名，是当前最实际可行的办法【旧。数字签名【3 卅由公钥密码发展而来，它 在网络安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重 要应用。基于不同的应用背景出现了多种具有特殊用途的数字签名，如代理签名、 群签名、盲签名、指定验证者签名等，尤其是当签名不想被任何人来验证而是只 希望由指定的验证者来验证时，指定验证者签名就是最合适的签名方案。 本文着重对指定验证者签名的相关内容展开研究。 1 1 选题背景 普通的数字签名方案具有签名可以被普遍证实的特点，任何人只需要知道签 名者的公开密钥，就可以在任何时间验证其签名的有效性。随着计算机技术和互 联网技术的快速发展，在不同的应用领域需要不同用途的数字签名方案以满足各 种特殊环境的要求。例如在电子商务中，各个银行需要发行自己的电子货币，但 如果采用普通的数字签名方案进行签署的话，则每笔交易中电子货币所属银行的 身份将众所周知。这些信息的公开有可能使得对手从中得到有关的商业情报。因 此，银行不愿意让每个消费者了解这些信息，研究出一种能解决该类问题的具有 特殊用途的数字签名具有一定的理论的意义。针对这种情况，即对于签名者生成 的某个合法的签名，只有他指定的验证者才能验证签名的真伪，任何第三方都无 法确认签名的有效性，我们称这一类的签名为指定验证者签名【7 。1 5 】。 在商务活动或政务处理中，有时原始签名者因出差或其他原因而不能行使签 名权利，而在这期间的商务活动需要继续进行。自然地，他可以将他的签名权力 授权给不同的个人或者组织来处理不同的业务，被授权的人称为代理签名者，他 可以代替原始签名者行使签名权。为了保证代理人生成的代理签名只有指定的接 收者才能验证，需要用到指定验证者代理签名【1 6 。2 2 】方案。针对现阶段在指定验证 者签名方案的系统性研究中出现的一些问题( 执行效率低、安全性不高等) ，如何 设计出方便高效的指定验证者签名方案和指定验证者代理签名方案，在现实生活 第2 页河南大学研究生硕士学位论文 ( 尤其是电子商务) 中具有十分重要的理论和现实意义。 1 2 研究现状 指定验证者签名是一种具有特殊用途的签名方案，自j a k o b s s o n s a k 0 和 h p a g l i a z z o 首次提出指定验证者签名1 7 j 的基本思想之后，该领域引起签名体制研 究者的广泛关注。r o ns t e i n f e l d 【9 】等人在2 0 0 3 年提出了广义指定验证者签名，扩展 了指定验证者签名方案，它比指定验证者签名多了一个附加性质，即签名的持有 者( 不只是签名者) 可以将签名指定给任何期望得到此签名的指定验证者。在该 方案中，被指定的验证者可以验证消息确实是由签名者所签，但是并不能使第三 方相信这一事实，即实现了不可传递性。基于r 0 ns t e 硫l d 等人的方案， l a g 面1 l a u i n i e 和、研弘a u d 【1 0 】构造了一个更为有效的指定验证者签名方案，与原方案 相比，新方案可以用任意的可被接受的( a d 血s s i b l e ) 双线性对来构造，运算较少， 并且方案的效率更高。s t e i n f e l d ，w 抽g 和p i 印r z y k 于2 0 0 4 年提出了一个安全性 较高的签名方案，该模型允许选择消息攻击，并允许攻击者询问它选择的任意消 息签名对的有效性，然后基于s c l u l o r r 和r s a 签名给出了三个新的指定验证者签 名方案。s a e e d i l i a ，c m e r 和m 酬k o 谢t i 出1 1 2 】在此之后也提出了一个基于s c l l n 叫 签名方案的指定验证者签名方案，该方案具有较好的性质( 称为同时性 ( s i m u l t a b i l 时) ) ，但是由于缺乏良好的安全模型，并不能在选择消息攻击下达到 安全性要求。2 0 0 4 年，h u 锄g ，s u s i l o ，2 拗i n g 和m u 【1 3 】提出s e d i l i a 等人方案的 双线性对的变体，它是一个基于身份的指定验证者签名方案，并在相同的安全模 型下论证了该方案的安全性。该方案与先前的方案相比，不仅具有更少的计算量， 而且签名长度最短。遗憾的是该方案和其他大多数方案一样存在可委托性 ( d e l e g 锨l b i l 匆) 的缺陷l 川。为解决此问题，2 0 0 6 年，k p l l a i l ik l l i i l 甄gs h 撕i 旬a 和a s h u t o s hs a x e m l l5 】提出了一个基于身份的指定验证者签名方案，该方案很好的 解决了此问题，是目前最完善的指定验证者签名方案。 1 3 主要研究内容 本文主要研究特殊数字签名体制中的指定验证者签名方案，并对其最新研究 进展进行分析和总结。指定验证者签名是具有特殊用途的数字签名研究中的一个 重要领域，本文首先研究数字签名方案中经常使用的密码学上的困难性问题及假 河南大学研究生硕士学位论文第3 页 设团之珏，深入学习基于身份的公钥密码学幽明及其在数字签名体制中的应用，并 对具有特殊用途的数字签名方案，包括门限签名【2 9 】、群签名【3 0 。2 】、盲签名【3 习和多 重签名【3 4 】作一简单介绍；同时，对几种典型的指定验证者签名方案进行安全性分 析，研究其中存在的安全性缺陷。针对其特殊的应用背景，提出了一个新的基于 身份的指定验证者签名方案；结合指定验证者签名和代理签名【3 5 ，3 6 】的性质提出一 个新的指定验证者代理签名方案，并与现有的典型方案进行比较，结果表明两个 新方案都具有更好的实用性。 本文的创新点： 1 、解决现有指定验证者签名方案中存在的可委托性缺陷； 2 、在保证签名具有指定验证性的前提下，加入代理委托过程，提出一个高效 的指定验证者代理签名方案。 1 4 论文章节安排 论文的具体安排如下： 第l 章首先阐述文章的研究背景，并对现阶段指定验证者签名的研究现状 进行了介绍。在此基础之上论述了本文的研究内容和创新点。 第2 章介绍本文用到的一些预备知识。首先介绍了签名方案中经常使用的 哈希( h 础) 函数的相关内容，其次详细介绍了若干密码学中的困难性问题和假 设，最后介绍数字签名的相关概念其中包括基于身份的签名体制。 第3 章结合基于身份的签名方案的特性和指定验证者签名的性质，本章构 造了一个基于身份的指定验证者签名方案。首先介绍了指定验证者签名的一般定 义和构造方法，然后给出了新方案的算法过程并对新方案的安全性和计算量等内 容进行了分析。 第4 章结合代理签名和指定验证者签名各自的特性，本章提出了一个高效 的指定验证者代理签名方案。首先对代理签名的概念和定义做了简单介绍，其次 给出了指定验证者代理签名的一般定义，在重点分析一个典型的指定验证者代理 签名方案的基础之上构造了一个高效的指定验证者代理签名方案，并对新方案的 安全性和计算量等内容进行了分析。 第4 页河南大学研究生硕士学位论文 本章小结 首先介绍了文章的选题背景及选题意义，接着介绍了指定验证者签名的研究 现状，列举了本文的研究内容和创新点，确定了本文的研究主旨。最后给出了本 文的组织安排。 河南大学研究生硕士学位论文第5 页 第2 章预备知识 签名方案几乎总是和一个非常快的公开酗l 函数结合使用，将h a s h 函数应 用到数字签名中可以提高数字签名的安全性和速度。另外，数字签名技术是以密 码学理论为基础的，目前所提出的数字签名方案都是基于某个或某些数学问题的 难解性的。本章将首先以哈希函数为内容展开，然后介绍数字签名中经常用到的 困难性问题及假设，然后对双线性对和数字签名的相关内容做简单介绍。 2 1 哈希函数 哈希( h 痂) 函数是密码体制中常用的一类公开函数，一般来说，h 础函数 的值域规模比定义域规模小得多。它主要用于消息完整性检测和消息认证，在数 字签名领域中也有其广泛应用。 2 1 1 哈希函数的定义及性质 哈希函数日( 又称散列函数或杂凑函数) 【3 刀是一公开函数，用于将任意长度 的消息m 映射为较短的、固定长度的一个值日( m ) ，作为认证符，称函数值日( m ) 为杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供了一 种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变。 密码学上的哈希函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的 函数。哈希函数在数字签名中使用广泛，它可以提高数字签名方案的安全性和效 率，同时不泄漏要签名的消息。另外，h 嬲h 函数也广泛应用于完整性检测、消息 的起源认证检测等方面。 定义2 1 一个哈希函数是满足下列条件的三元组( x z 办) 印j ： ( 1 ) x 是所有消息的集合； ( 2 ) 】，是由所有消息摘要组成的有限集； ( 3 ) 对于每个x x ，存在一个对应的y 】，有y = 办似。 其中，x 可以是有限或无限集；】，总是有限集。 基于h a s h 函数的使用范围和攻击难度，h 2 u s h 函数需要满足以下性质： l 、单向性( o n e 鞭t y ) ：给定一个输出y = 办( x ) ，如果不能找到一个工使得 第6 页河南大学研究生硕士学位论文 j l ( x ) = y ，则称该h a s h 函数是单向的或原像稳固的( p r e i i i l a g e i 沁s i s t a i n ) ； 2 、弱抗冲突性( 2 n dp r e i i n a g e r e s i s 切咀c e ) ：给定一个输出y = j i l ( x ) 和对应l 拘输 入x ，很难找到另一个输入z 0 x ) ，满足 ( z ) = 乃( x ) 。该性质用于完整性检测( 即 防止篡改已经提交的数据) ； 3 、强抗冲突性( c o l l i s i o n r e s i 蛾m c e ) ：很难找到一对不同的输入x 和z ，满足 五( z ) = 厅o ) 。该性质主要应用于数字签名领域； 在密码学中，要求h a s h 函数满足以上3 个安全性方面的性质。 显然，对攻击者而言，破解具有性质1 的h a s h 函数是最困难的，其次是2 、3 。 目前攻击主要是针对性质3 的，对h a s h 函数在数字签名方面的应用提出了重大挑 战。此外，h a s h 函数还有其他一些重要性质： 4 、严格雪崩准则( s t r i c ta 、谢锄c h ec r i t e 嘲，s a c ) ：保证当一个输入位发生改 变时输出位将有一半要发生改变； 5 、散列率( h 础r a t c ) ：这是基于分组密码体制e 的h 础函数忍的一个很实 用的运行效率测试手段。如果处理每个消息分组需要进行5 次e 操作，那么散列率 就为l s 。显然，散列率越高，算法的运行就越快。 2 1 2 哈希函数的分类 根据h 鹤h 函数的安全水平将h 嬲h 函数分为两类：一类是强碰撞自由的h a s h 函数( s 仃o n gc o l l i s i o n 6 雠h a s hf 硼l c t i o n ) ；另一类是弱碰撞自由的h 硒h 函数( w 髓k c o l l i s i o n 舭eh a s hf 珊c t i o n ) 。 一个强碰撞自由的h 硒h 函数是满足下列条件的一个函数办： ( 1 ) 办的输入可以是任意长度的任何消息或文件m ； ( 2 ) 五的输出的长度是固定的( 该长度必须足够长，以抵抗生日攻击p 8 4 0 】) ； ( 3 ) 给定厅和m ，计算办是容易的； ( 4 ) 给定而的描述，找两个不同的消息m l 和m 2 ，使办( m 1 ) = 办( m 2 ) 是计算上 不可行的。 强碰撞自由的h 础函数又称强单向h 函数。 一个弱碰撞自由的h a s h 函数是满足下列条件的一个函数j l ： ( 1 ) 办的输入可以是任意长度的任何消息或文件m ； ( 2 ) 乃的输出的长度是固定的( 该长度必须足够长，以抵抗生日攻击) ： 河南大学研究生硕士学位论文第7 页 ( 3 ) 给定办和m ，计算 ( m ) 是容易的； ( 4 ) 给定j j i 的描述和一个随机选择的消息m l ，找另一个消息m 2 ，m 1 m 2 ， 使得厅( m 1 ) = 而( m 2 ) 是计算上不可行的。 显然，强碰撞自由的h 袖函数要比弱碰撞自由的h 础函数的安全性强。 在数字签名中，应用强或弱碰撞自由的h a s h 函数可以阻止签名的伪造或抵赖， 这一点可以由条件( 4 ) 来保证。 为了加强弱碰撞自由的h 蕊函数的安全性，人们建议在弱碰撞自由的h 础 函数中引入随机性。引入随机性的方法有三种：第一种方法是用一个好的分组密 码使用一个真正随机的密钥加密消息，使消息随机化。第二种方法是在对消息进 行h 础之前，给消息随机选择一个前缀，这样的一个随机前缀将有效地随机化 h 础值。第三种方法是从一族h 嬲h 函数中随机选择h a s h 函数而不是随机化消息 本身。 值得注意的是，弱碰撞自由的h 础函数随着重复使用次数的增加，而安全性 逐渐降低，这是因为，同一个弱碰撞自由的h a s h 函数哈希的消息越多，找到一个 消息哈希值等于先前消息哈希值的机会就越大，从而使系统总体安全性降低，而 强碰撞自由的h a s h 函数不会因为重复使用而降低安全性。 2 2 困难问题及假设 数字签名技术是建立在密码学理论基础之上的，根据目前所提出的一些数字 签名方案，它们都是基于某些数学问题的困难性假设的。数字签名可以划分为许 多种类，数字签名方案可以分为基于离散对数问题的签名方案，基于大数分解问 题的签名方案。如e l g a m a l 数字签名方案和d s a 签名方案都是基于离散对数问题 的数字签名方案，而r s a 数字签名方案则是基于大数分解问题的数字签名方案， 在这些方案中，有的是基于一个困难问题的签名，也有的是基于多个困难问题的 签名。基于多个困难问题的签名方案的提出主要是两个困难问题的同时解决比一 个困难问题的解决更难，从而增强了签名方案的安全性。也就是说基于离散对数 问题和大数分解问题同时可解时，数字签名方案才能够被攻破，而在离散对数问 题和大数分解问题其中只有一个可解时，仍然可以保证方案是安全的。根据所用 的标准不同，不同种类的数字签名具有不同的性质、用于不同的场合。 第8 页河南大学研究生硕士学位论文 2 2 1 离散对数问题 定义2 2 离散对数问题【2 3 1 ( d l p ) ：给定素数p 和z ，的两个独立的生成元 口，z d ；求关于口的离散对数。即在【o ，p 一1 】中找出使得下式成立的整数 x ：= 口。1 0 d p 。 给定大素数p ，p l 包含另一个大素因子牙，可构造一个乘法群z f ，它是一个 p 一1 阶循环群，其生成元为整数g ，1 g p 一1 。已知x ，求解y = 矿m o d p 容易。 若已知儿g ，p 求解x 是件十分困难的事情，这就是离散对数求解困难性问题。 假设2 1 离散对数假设1 2 3 】( d l a ) ：存在多项式时间算法k ，以，。为输入， 输出七b i t 长的大素数矽、g ，其中苫是z 。的生成元；对任何多项式时间算法彳， 对任何充分大的参数七，其成功解决d l p 的概率是可忽略的，即 p r o b 【x 卜彳( 厶( z ) ) 】是可以忽略的。 椭圆曲线离散对数问题( 剧初钯溉腑c 坨纪三d g 酬历朋尸，0 6 彪聊，简记为 e c d l p ) ：设( g ，+ ) 是一个有限彳6 p ，加法群，尸是g 的一个g 阶生成元。对任 意给定一个群中的元素q ，计算一个整数 ( 0 疗g 一1 ) ，使得q = 艘成立。 2 2 2d 硼问题与c 明问题 脚问题阱，2 5 】：设( g ，+ ) 是一个a b e l i a n 群( 运算表为加法+ ) ，p 是g 的一个生成元。对任意给定的3 个元卯，弛印g ，确定c = 动( m o 础g ) 是否成立。 c 明问题：设( g ，+ ) 是一个a b e l i 锄群( 运算表为加法+ ) ，p 是g 的一 个生成元。对任意给定的两个元口尸，卯g ，计算( 动) 尸。 事实：剃问题是容易的。 利用w e i l 配对，超奇异椭圆曲线点群上的脚问题可有效地解答。 假定：c 胞问题是困难的。 因为w e i l 配对映射把超奇异椭圆曲线点群上的删问题，归结为有限域上 的c 阳问题，故对于超奇异椭圆曲线e 阢，求解c 明问题的困难度也为亚指数 级s 柏e 印( 口) ，即 l2 e x p ( 1 9 2 2 9 9 9 4 + d ( 1 ) ) ( 1 0 99 7 ) j ( 1 0 9 曰。) j ) ，粤6 ( 2 1 ) 显然，当假定c 朋问题是困难时，相应的离散对数问题d 凹也是困难的。 河南大学研究生硕士学位论文第9 页 2 3 双线性对的相关性质 双线性对( b i l i i i e 盯p a i r i i l g ) 在密码学中得到了重要应用，最初用于计算椭圆 曲线上的离散对数，现在在基于身份的密码体制和密钥协商协议方面具有广泛的 应用。双线性对是利用某些代数问题构造的具有双线性性质的映射，现在常用的 是代数曲线上的w e i l 对和对，这两个映射是代数几何学中的重要研究工具， 在椭圆曲线密码学中具有重要的应用，现在也将利用它们构造的密码系统称为基 于对的密码系统。在密码学中，它们最早只是用来构造椭圆曲线密码和超椭圆曲 线密码系统【4 1 】【4 2 】。近年来，双线性对在密码学中得到了越来越广泛的应用，成为 构建基于身份的密码方案的一种工具。 下面介绍有关双线性对的相关性质【4 3 】m ： 设g 1 是阶为曰的加法循环群，g 2 是阶为g 的乘法循环群，且9 是一个大素数。 尸是g 】的一个生成元，口，6 z 。是两个随机数，假设g 】和g 2 这两个群中的离散对 数问题都是困难问题。 定义2 3 称g 1 和g 2 之间的映射p ：g ，g ，寸g ，为一个双线性对，如果p 满足 以下条件： 双线性性( b i l i n e a r ) ： v p ，q ，r g 】，口，6 z 。 e ( 尸，q + 尺) = e ( 尸，9 弦( p ，灭) ，m g ( p + q ，r ) = p ( p ，r ) p ( qr ) 、。 p ( 卯，6 q ) = p ( 口6 尸，q ) = p ( 尸，口6 q ) = p ( 尸，q ) 肋 非退化性( n o n - d e g e n e 眦) ：对任何户g 1 ，存在q g 1 ，使得p ( p ，q ) 1 ( 1 为群g 的单位元) ； 可计算性( c o m p u 饧b l e ) ：存在一个有效的算法对所有的p ，q g 1 ，能够快速 计算p ( p ，q ) 。可以用超奇异椭圆曲线上的w e i l 对或经改造的t a t e 对来构造双线 性对。有关具体的细节可参见b o n e hd 的文献【4 3 】m 。 2 4 数字签名 电子文档并非真实可信，人们可以很容易地复制或修改这些文档。为了经受 住法律和技术这两方面的考验，必须创建电子文档的数字签名，只有这样，接收 第10 页河南大学研究生硕士学位论文 方才能够向公平的第三方( 如法庭、法官或仲裁者，双方都同意向他们提交材料 以解决问题或争端) 证明该文档的内容是真实可信的，并证明它是由发送方创建 的。另外，必须创建数字签名使发送方无法否认自己的文档签名1 45 | 。数字签名是 当前网络信息安全领域的研究热点。特别是在电子商务、电子银行、电子政务等 应用领域，数字签名是其关键技术之一，在社会生活的各个领域也有极其广阔的 应用前景。美国、欧盟分别在2 0 0 0 年前后，正式颁布了数字签名法律，我国也于 2 0 0 4 年8 月通过了电子签名法。 2 4 1 数字签名概述 数字签名又有人称之为数字签字、电子签名、电子签章等。其提出的初衷就 是在网络环境中模拟日常生活中的手工签名或印章。与传统签字或印章有根本不 同，数字签名的基础是公钥密码学，通过数学的手段来达到传统签字的功能。简 单地说，在公钥密码体制中，仅仅签名者自己掌握私钥，而其对应的公钥是公开 的，那么签名者用自己的私钥变换数据( 加密) ，其他人就可以利用签名者的公钥 来逆变换数据( 解密) ，因为利用其他任何公钥都无法正确逆变换出该私钥变换后 的数据，从而就可以鉴别该数据是谁进行的变换处理，亦即是谁的签名【4 6 | 。 i s o 对数字签名是这样定义的：数字签名是指附加在数据单元上的一些数据， 或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确 认数据单元来源和数据单元的完整性，并保护数据，防止被人( 如接收者) 伪造。 通俗点讲，数字签名是指信息的发送者通过某种签名方法产生的别人无法伪造的 一段“特殊报文”，该“特殊报文”就是签名。数字签名与手工签名一样，签名主 要起到认证、核准和生效的作用。 一个数字签名方案包括两个部分：签名算法和验证算法。a 1 i c e 能够使用一个 ( 私有的) 签名算法s i g 来为消息x 签名，签名结果s i g ( x ) 随后能使用一个公开的 验证算法v e r 得到验证。给定数据对( x ，) ，) ，验证算法根据签名是否有效而返回该 签名为“真”或“假”的答案。具体过程如图2 1 所示。 喇_ 翻r _ 一 0 # 掌；垃j 去s l u 静# 签名f f 0 ；f l f 川! ；i ；i 【f t 王泛i 、e r1 k i 图2 1 数字签名过程 河南大学研究生硕士学位论文第1 1 页 下面对签名方案做一个正式的定义f 4 7 】。 定义2 4 一个签名方案是一个满足下列条件的五元组他月瓦s ) ： 1 田是由所有可能的消息组成的一个有限集合。 2 月是由所有可能的签名组成的一个有限集合。 3 咒为密钥空间，它是由所有可能的密钥组成的一个有限集合。 4 对每一个k 瓦，有一个签名算法s i g k s 和一个相应的验证算法 v e k 。对每一个消息x 口和每一个签名y 月，每一个s i g 足：田j 月和 w r r ：口月专 仃u e ，脚s e ) 都是满足下列条件的函数： ，、i 们孵 y = s 曙【x ， 聊【训) 2 1 触y s 姆( x ) 由x 驴和y 月组成的数据对( x ，y ) 成为签名消息。 数字签名系统包括签名算法、验证算法、签名方、验证方和签名关键值。实 际上，数字签名技术是密码学的另外一种应用，因此密码系统的5 个元素就是数 字签名系统的构成要素，其中签名算法对应加密算法、验证算法对应解密算法、 签名方与验证方分别对应报文的发送方和接收方，签名关键值是指能够标志签名 具有唯一性的关键因素，对应密码系统中的密钥。通常情况下，数字签名技术大 多采用公钥密码技术实现，因为公钥密码系统中的私钥具有惟一性，可以惟一地 标识签名。 公钥密码体制中存在两个密钥：公钥和私钥，其中私钥是只为某个特定实体 所拥有的，他人不可知，基于公钥密码体制的数字签名技术利用私钥的惟一特性。 发送信息的签名方首先利用私钥对报文或者报文摘要进行加密，加密后得到的密 文作为签名，连同相应的报文一起发送给接收方。接收方利用发送方的公钥对签 名解密，并将得到结果与发送的报文或者报文摘要做比较，以确认签名的真实性。 由于发送方的私钥不为他人所知，因此第三方无法伪造签名，私钥的惟一性保证 了签名的惟一性，公钥是公开的，因此接收方只要知道发送方的公钥，就可以验 证签名。为了保证公钥私钥的可靠性，需要第三方仲裁机构参与，该仲裁结构具 有公正合法性，以便发生问题或者争执时，提供相应的证据，作出裁决，例如认 证中心( c a ) 1 4 列。 如前面所述，数字签名通常不是直接对整个报文签名，而是对报文摘要签名。 具体的签名过程以及验证签名过程如图2 - 2 及图2 3 所示。 第1 2 页河南大学研究生硕士学位论文 图2 - 2 发送方签名 图2 - 3 接收方验证签名 发送方砧i c e ，也就是信息的签名方签名过程如图2 2 所示。 ( 1 ) 按双方约定的某个散列算法( 例如s h a - 1 ) 计算报文m 的摘要，得到h ( m ) ： ( 2 ) 利用自己的私钥s k 加密报文摘要值h ( m ) 即计算公式m 。i g _ ( 峋) ， m 。i g 就是签名值； ( 3 ) 将报文m 与签名m s i g 附加在一起，发送信息mjm 。远给通信的接收方。 由于s k 是舢i c e 惟一所拥有的，根据公钥密码体制的特征，除了a l i c e 之外的任 何人都不可能伪造出m 。i g 的值，这样保证了签名的惟一性，换句话说，灿i c e 可以 计算m 。i g 的值且只有他自己可计算，因此舢i c e 对自己发送的信息具有不可抵赖性。 接收方b o b ，也就是签名的验证方收到带有签名的信息mlm 。i 。之后，需要验 证签名，如图2 3 所示。 ( 1 ) b 0 b 首先利用a l i c e 的公钥p k 解密签名信息m 。i g 即计算h ( m ) _ d p k ( m s i g ) 的值； ( 2 ) 按与触i c e 同样的散列算法( 例如s h a 1 ) 计算m 的报文摘要，得到h ( m ) ： ( 3 ) 比较( 1 ) 与( 2 ) 所得结果是否相等，即判断h ( m ) 与h ( m ) 是否相等， 河南大学研究生硕士学位论文第1 3 页 如果相等，说明报文的确来自所声称的签名方，且信息在传输过程中没有被第三 方破坏；否则，则表明信息已经失去安全性。 一种完善的签名方案应满足以下条件： ( 1 ) 签名的比特模式是依赖于消息的报文的，即数字签名是以消息报文作为 输入计算出来的，签名能够对消息的内容进行鉴别； ( 2 ) 数字签名对发送者来说是必须是唯一的，能够防止伪造和抵赖； ( 3 ) 经过签名的消息应该不能够被恶意篡改，任何破坏数据完整性的行为都 应该能够被鉴别出来； ( 4 ) 产生数字签名的算法必须相对简单，易于实现，且能够在存储介质上保 存备份； ( 5 ) 对数字签名的识别、证实和鉴别也必须相对简单，易于实现，如果当事 双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认真 伪； ( 6 ) 无论攻击者采取什么方式，伪造数字签名在计算上是不可行的。 2 4 2 具有特殊用途的签名方案 随着计算机技术的迅速发展及广泛应用，数字签名作为认证的一种重要技术， 已经受到人们的广泛关注与认可，应用到了现实生活中的许多领域。同时，基于 不同的应用背景，对数字签名又提出了许多额外要求，这就出现了多种具有特殊 用途的数字签名方案，例如代理签名、门限签名、群签名、盲签名、指定验证者 签名等等。近年来，特殊数字签名的研究也成为签名领域值得关注的方向之一。 以下对几种具有代表性的特殊数字签名方案作简单介绍。 1 、门限签名 门限签名是最普通、最常使用的群体签名。其方法是将一个群体的签名密钥 分发给群体中的每个成员，使得任何成员个数不少于门限值的子集都可以产生签 名；而任何成员个数少于门限值的子集都无法产生签名。 在o ，玎) 门限签名方案中，群体的签名密钥被所有玎个成员共享，使得任意不 少于f 个成员组成的子集能够代表这个群体签名，而少于f 个成员则不能产生这个 群体的签名。门限签名具有如下优点：( 1 ) 攻击者若想得到签名密钥，必须至少得 到f 个子密钥，这是困难的；( 2 ) 即使某些成员不合作，不愿意出示子密钥，或者 第1 4 页河南大学研究生硕士学位论文 泄漏、篡改子密钥，或者丢失子密钥都不会影响签名消息的认证与恢复：( 3 ) 实现 权力分配，避免滥用职权。一个好的门限签名应具有如下八条性质【2 9 】： ( 1 ) 群特性：只有群体的成员才能完成自己的部分签名，其他人无法伪造其部 分签名； 2 ) 门限特性：只有当完成部分签名的人数不小于门限值时，门限签名才会产 生： ( 3 ) 验证的简单性：验证者验证签名时只需知道群体的公钥； ( 4 ) 匿名性：验证者无法知道是哪些成员做了部分签名； ( 5 ) 可追踪性：事后可以追查出哪些成员做了部分签名； ( 6 ) 不可冒充性：任何签名者的集合无法冒充其他签名者的集合完成签名； ( 7 ) 强壮性：当恶意成员达到或超过门限值时仍无法获得系统的秘密参数； ( 8 ) 稳定性：删除或加入成员时，系统参数无需做大的改动。 根据门限签名方案所基于的数学难解问题，目前的门限签名主要分为三类： 基于大数分解问题的门限签名体制，主要是门限r s a 签名体制；基于离散对数问 题的门限签名体制；以及基于椭圆曲线的门限签名体制。 2 、群签名 由c 胁m 和v a i lh e i j s t 提出的群数字签名( u pd i g i t a ls i g n a n 鹏) 【3 0 1 允许群 中的各个成员以群的名义匿名地签发消息。群数字签名是具有下列三个特性的一 种数字签名： ( 1 ) 只有群的成员才能代表那个群签发消息； ( 2 ) 签名的接收者能验证它是那个群的一个合法签名，但不能揭示它是群中 的哪一个成员产生的； ( 3 ) 在后来发生争端的情况下，借助于群成员或一个可信的机构能识别出那 个签名者。 一个群数字签名方案主要由三个算法即签名算法、验证算法和识别算法( 识 别算法主要用来识别签名者) 组成。这种签名的一个实用的例子是投标，群一所 有的提交投标的公司组成的集合，成员每个公司。每个公司匿名地使用群数 字签名签他的投标，当特定的投标被选中后，那个签名者能被识别出，而所有的 其他投标的签名者仍然是匿名的。如果签名者反悔他的投标，那么无需签名者的 合作，他的身份能被计算出来。 与群数字签名相关的两个概念是群定向数字签名【3 1 1 和多重数字签名f 3 2 】。群定 河南大学研究生硕士学位论文第1 5 页 向数字签名允许群的某些子集代表那个群签名，但它没有提供识别签名者的方法。 多重数字签名要求由许多人来签署一个消息。根据签名过程的不同，多重数字签 名方案可分成广播多重数字签名方案和有序多重数字签名方案。 3 、盲签名 盲数字签名在需要实现某些参加者的匿名性的密码协议中有着广泛而重要的 应用，诸如在选举协议、安全的电子支付系统中等。盲数字签名方案是具有下列 两个特性的一种数字签名方案：( 1 ) 消息的内容对签名者是盲的( 不可见的) ； ( 2 ) 在签名被接收者泄露后，签名者不能追踪签名。目前已有大量的文献讨论了 盲数字签名方案的实现和应用问题。 盲数字签名在签名时，接收者首先将被签的消息进行盲变换，把变换后的消 息( 称为盲消息) 发送给签名者，签名者对盲消息进行签名并把消息送还给接收 者，接收者对签名再做逆盲变换，得出的消息即为原消息的盲签名。这个过程如 图2 4 所示。 接收者a 竺1 两蟊西_ 旦璺l 一西季甭甄田 接收者a 气面丽万1 至至委垂回- 瑶两丽堂竺叫 图2 - 4 盲数字签名方案的签名过程 ，、 盲数字签名在某种程度上是保护了参加者的利益，但可惜的是，盲数字签名 的匿名性能被某些犯罪分子滥用；为了阻止这种滥用，s t a d l e r 的论文【3 3 】中引入了 公平盲数字签名的概念并给出了一些具体实现。公平盲数字签名比盲数字签名多 了一个特性：借助于可信中心可将消息签名对和签名者在签名协议中观察到的对 应的盲消息联系起来。也就是说，通过可信中心，签名者可追踪签名。 4 、多重签名 多重数字签名方案( d i g 蹦m u l t i s i 印a ：t l l r e ) 是一种能够实现多个用户对同一消 息签名的数字签名方案。根据签名过程的不同，多重数字签名方案可分成广播多 重数字签名方案( b r o a d c a s t i n gm u l t i s i 龃a _ t i l r e ) 和有序多重数字签名方