（计算机软件与理论专业论文）基于身份的盲签名及其应用.pdf

摘要 论文题目：基于身份的盲签名及其应用 专业：计算机软件与理论 申请人：付霞 导师：陈晓峰副教授 摘要 数字签名技术是提供认证性，完整性和不可否认性的重要技术，是信息安全 的核心技术之一。盲签名作为一种具有特殊性质的数字签名，由于待签名的消息 对于签名者是保密的，所以它在匿名电子现金和匿名电子投票中有着广泛的应用 前景。传统的签名方案是基于p k i 的框架进行设计的，其公钥的验证需要c a 发 布的证书来保证。基于身份的签名方案不存在传统的由c a 颁发公钥证书所带来 的存储和管理歼销的问题，所以它是基于证书的公钥密码体制的一个很好的代 替。 传统的基于身份的签名方案存在一个内在的缺陷，密钥托管问题。目前基于 身份的盲签名方案大都是建立在传统的基于身份的签名方案之上的，所以都存在 密钥托管问题。本文提出了一个新的基于双线性对的基于身份的盲签名方案，该 方案没有密钥托管问题，并且在r a n d o mo r a c l e 下分析了它的安全性。 限制性盲签名首先是由b r a n d s 提出的，用来解决电子现金中重复花费问题。 第一个基于身份的限制性盲签名方案是由c h e n ，z h a n g ，l i u 提出的1 1 8 ，在论 文中他们设计了一个限制性的部分盲签名，给出了在r a n d o mo r a c l e 下的安全性 证明，并且讨论了它在电子现金中的应用，但在论文中他们没有讨论密钥托管问 题。本文对他们的方案进行了改进，使其没有密钥托管问题，并且分析了它在电 子现金中的应用。 关键词：盲签名，基于身份的密码学系统，双线性对 摘要 t i t l e ：i d e n t i t y b a s e db l i n ds i g n a t u r ea n di t sa p p l i c a t i o n m a j o r ：c o m p u t e r s o t h v a r ea n d t h e o r y n a m e ： f u x i a s u p e r v i s o r ：c h e nx i a o f e n g a s s o c i a t ep r o f e s s o r a b s t r a c t d i g i t a ls i g n a t u r e ，w h i c hc a np r o v i d ea u t h e n t i c a t i o n , i n t e g r i t ya n dn o n r e p u d i a t i o n , i sak e yt e c h n i q u eo fi n f o r m a t i o ns e c u r i t y a sas p e c i a ld i g i t a ls i g n a t u r e ，b l i n d s i g n a t u r eh a sap r o p e r t y t h a tt h ec o n t e n to f t h em e s s a g es i g n e dk e e p ss e c r e tf r o mt h e s i g n e r t h u si th a sa w i d ep r o s p e c ti nt h ea n o n y m o u se - c a s ha n da n o n y m o u se 。v o t i n g t h et r a d i t i o n a ls i g n a t u r es c h e m e sa r eb a s e do np k i ，a n dt h e i rp u b l i ck e y sv e r i f i c a t i o n i se n s u r e db yc e r t i f i c a t e si s s u e db yc a c o m p a r e dw i t ht h ec e r t i f i c a t e db a s e dp u b l i c k e yc r y p t o s y s t e m , i d e n t i t y - b a s e d ( s i m p l yi d b a s e d ) p u b l i ck e yc r y p t o s y s t e mc a n s i m p l i f yt h ek e ym a n a g e m e n tp r o c e d u r ea n dr e d u c es t o r a g es p a c e ，s o i ti sag o o d a l t e r n a t i v ef o rc e r t i f i c a t e - b a s e dp u b l i ck e ys e t t i n g k e y e s c r o wi sa ni n h e r e n tp r o b l e mi nt h et r a d i t i o n a li d - b a s e ds i g n a t u r es c h e m e s c u f f e n t i y ，i d b a s e db l i n ds 遮n a t u r es c h e m e sa r ea l lb a s e do nt h et r a d i t i o n a ls i g n a t u r e s c h e m e s , s ot h e ya r ew i t hk e y - e s c r o wp r o b l e m s i nt h i sp a p e r , w ep r o p o s ean e w i d b a s e db l i n ds i g n a t u r es c h e m ew i t h o u tk e y e s c r o wp r o b l e mf r o mb i l i n e a rp a i r i n g s , a n da n a l y z ei t ss e c u r i t yi nt h er a n d o mo r a c l em o d e l r e s t r i c t i v eb l i n dm g n a t l l r ef i r s ti n t r o d u c e db yb r a n d si su s e dt os o l v et h e d o u b l e - s p e n d i n gp r o b l e mi n e c a s h t h ef i r s ti d b a s e dr e s t r i c t i v eb l i n ds i g n a t u r e s c h e m ei sp r o p o s e db yc h e n , z h a n g ，l i ui nt h ep a p e r 【1 8 t h e yd e s i g n e da n i d - b a s e dr e s t r i c t i v ea n dp a r t i a l l yb l i n ds i g n a t u r es c h e m e ，a n dg a v ei t ss e c u r i t yp r o o f i nt h er a n d o mo r a c l em o d e l t h e ya l s oa n a l y z e di t sa p p l i c a t i o ni ne - c a s h , b u tt h e yd i d n a tt h i n ka b o u tt h ek e y e s c r o wp r o b l e m i nt h ep a p e r , w em a k es o m ei m p r o v e m e n to i l t h e i rs c h e m e t h ei m p r o v e ds c h e m eh a sn ok e y - e s c r o wp r o b l e m , a n dw ea n a l y z ei t s a p p l i c a t i o ni ne - c a s h k e yw o r d s ：b f i n ds i g n a t u r e ，i d - b a s e dc r y p t o g r a p h y , b i f i n e a rp a i r i n g s l i 第1 章绪论 1 1 引言 第1 章绪论 随着社会的信息化发展，越来越多的文件书信需要以数据串的形式通过网络 快速传递，这些数据串的来源和完整性都需要认证，而且这些认证常常需要在以 后的一段时期内多次重复，这就需要手写签名的电子替代物数字签名( d i g i t a l s i g n a t u r e ) 。一般来说，网络世界的真实性要比现实世界的真实性更难于保证， 因此对数字签名的需求就显得更加迫切。数字签名技术是提供认证性，完整性和 不可否认性的重要技术，因而是信息安全的核心技术之一。作为重要的数字证据， 美国，新加坡，日本，韩国，欧盟等电子商务开展的较早的国家和地区都相继通 过法案赋予数字签名法律效力，中国全国人大也于2 0 0 4 年8 月通过了中华人 民共和国电子签名法，数字签名将与手写签名一样具有同等的法律效力。数字 签名的特性可抵御的网络威胁包括：认证性，即可辨别信源的真实性以防冒充； 数据完整性保护，即抵御数据的篡改或重排；不可否认性，即信源事后不可否认， 以防其抵赖。一般还使用加密技术保护信息机密性，以防截听攻击。特别是认证 性、完整性和不可否认性的特点使其在电子商务和电子政务系统中起重要作用； 反过来，电子商务和电子政务系统的快速发展又有力推动着数字签名的发展。 在传统的签名方案中，用户的公钥可以为任意的字符串，与用户的身份没有 直接的联系，这就存在如何确保公钥的拥有者就是所宣称的身份，能够使签名的 验证者确认只有宣称者才能拥有此密钥。传统的公钥基础设施( p u b l i ck e y i n t a s t r u c t u r e ，p i c a ) 用具有可信证书机构( c e r t i f i c a t i o na u t h o r i t y , c a ) 颁发公钥证 书的形式来建立用户身份与其持有的公钥之间的联系。简单地说，公钥证书是一 段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。c a 的 数字签名可以确保证书信息的真实性。但是p k i 的证书管理存在一些缺点，如 证书保存、撤销、发布和验证需要占用较多资源，且管理复杂。 1 9 8 4 年s h a m i r 2 7 提出基于身份的加密，签名的设想，其中身份可以是用户 的姓名，身份证号码，地址，电子邮件地址等。系统中每个用户都有一个身份， 用户的公钥就是用户的身份，或者是可以通过一个公开的算法根据用户的身份可 第l 章绪论 以容易地计算出来，而私钥则是由可信中心统一生成。在基于身份的密码系统中， 任意两个用户都可以安全通信，不需要交换公钥证书，不必保存公钥证书列表， 也不必使用在线的第三方，只需一个可信的密钥发行中心为每个第一次接入系统 的用户分配一个对应其公钥的私钥就可以了。基于身份的密码系统不存在传统 c a 颁发证书所带来的存储和管理开销问题。 从1 9 8 4 年s h a m i r 提出基于身份的签名思想以来，各国的许多学者都对基于 身份的签名做了研究，也取得了很多成果。近年来由于双线性对被成功地应用于 基于身份的密码体系，极大地推动了此方面的研究，但是基于身份的签名方案还 存在如下的密钥托管问题( k e y - e s c r o wp r o b l e m ) ： 由于在传统的基于身份的签名方案中都有一个密钥生成中心p k g ( p r i v a t e k e y g e n e r a t i o n ) ，用户的私钥是由p k g 用主密钥生成的，因此p k g 知道所有用 户的私钥，这对签名的不可否认性构成了极大的威胁。因为p k g 可以以任何用 户的名义对任意消息进行签名，所以一般都假设p k g 是绝对可信的，但这毕竟 是一个不可忽视的安全隐患。b o n e h 和f r a n k l i n 8 建议使用秘密共享方案由多个 p k g 共享主密钥，这样就使得每个p k g 都不可能单独知道用户的私钥，但是足 够多的p k g 一起共谋还是能伪造用户的签名，没有从根本上解决这个问题，另 外这也会带来计算和通信的额外开销。c h e n ，z h a n g 和k i m 三人在论文【1 7 中提 出了一个不需要可信任第三方的基于身份的签名方案，并且在随机预言( r a n d o m o r a c l e ) 模型下证明了其安全性。该方案将用户的私钥分成互相关联的两部分，一 部分由用户自己生成并掌握，另一部分由p k g 生成。在该签名方案中，如果第 三方即密钥生成中心伪造某个用户的签名，那么该用户事后可以提出有力的证据 证明该签名是伪造的。这种方法是目静解决此问题最优的办法，但也存在些计 算和通信的开销问题。因此能否找到一个p k g 无法伪造签名的高效的基于身份 的签名方案，依然是人们关心的一个重要问题。 盲签名作为一种具有特殊性质的数字签名，由于待签名的消息对于签名者是 保密的，所以它在匿名电子现金和匿名电子投票中有着广泛的应用前景。传统的 盲签名方案是基于p k i 的框架进行设计的，其公钥的验证需要c a 发布的证书来 保证。基于身份的盲签名方案不存在传统的由c a 颁发公钥证书所带来的存储和 管理丌销的问题。 第l 章绪论 研究基于身份的盲签名方案是一件比较有意义的事情，因为用户的公钥可以 简单地从用户的身份信息中直接计算出来。例如，假如某个银行要发放电子现金， 该电子现金是用基于身份的盲签名签署的。那么当用户和商家验证电子现金的时 候，就不需要从数据库中获取银行的公钥，而可以直接从银行的身份信息中直接 计算出来。例如，银行的公钥可以由这些信息组成：国家名| 城市名0 银行名0 年 份。 1 9 9 3 年，b r a n d s 在论文【7 】中第一次提出了限制性盲签名的概念，并且设计 了第一个限制性盲签名方案。限制性盲签名允许接收者接收某个消息的签名，而 签名者不知道消息的内容，但消息的选择是受限制的，必须满足给定的限制性条 件。由于消息的选择受到某些规则的限制，比如消息中必须包含用户的身份信息 等，所以限制性盲签名能很好的应用到电子现金中来解决重复花费问题。 电子现金成为电子商务的一个重要内容。通过电子现金人们可以在网上匿名 的购物，如同在超市使用货币和信用卡一样方便。电子现金必须满足两个重要的 性质即匿名性和不可重复花费。匿名性一般由盲签名保证，防止重复花费的方式 有很多种，比如可以是在线支付，切割选择技术，限制性盲签名技术，用带有观 察者的电子钱包预防重复花费等。在这几种方式中，在线支付容易使银行成为整 个系统的瓶颈，切割选择技术效率比较低，相对来说限制性盲签名的效率较高， 但解决重复花费的最好的方式是预防重复花费方式。 1 2 基于身份的签名方案的研究现状 1 9 8 4 年，s h a m i r 为了简化密钥管理过程在论文 2 7 中提出了第一个基于身 份的加密和签名方案。自从那以后，又有一些基于身份的加密和签名方案被提出 2 0 ，2 3 ，2 9 ，3 0 。在2 0 0 0 年，s a k a i ，0 h g i s h i 和k a s a h a r a 在论文 2 8 中提出了 第一个基于双线性对的基于身份的签名方案，但没有给出安全性证明。之后，密 码学家们又提出了许多基于双线性对的基于身份的签名方案 1 3 ，2 2 ，2 4 ，2 8 。 传统的基于身份的签名方案存在一个内在的缺陷，密钥托管问题。因为密钥 生成中心知道每个用户的私钥，所以他可以伪造任何用户的签名。所以在传统的 基于身份的签名方案中，我们需要假设密钥生成中心是无条件可信任的，否则系 第1 章绪论 统将很快崩溃。然而，在现实生活中很难找到这样的一个无条件可信任的第三方。 c h e n ，z h a n g 和k i m 三人在论文 1 7 中提出了一个不需要可信任第三方的基于身 份的签名方案。在该签名方案中，如果第三方即密钥生成中心伪造某个用户的签 名，那么该用户事后可以提出有力的证据证明该签名是伪造的。 盲签名作为数字签名的一种特殊的类型，它允许接收者接收某个消息的签 名，而签名者不知道消息的内容，所以它在匿名电子现金和匿名电子投票中发挥 着重要的作用。1 9 8 2 年，c h a u m 在论文 1 2 中第一次提出了盲签名的概念，并给 出了第一个r s a 盲签名方案。在那之后，密码学家们基于不同的数学问题又提出 了一些盲签名方案 1 6 ，2 6 3 。第一个基于身份的盲签名方案是由z h a n g 和k i m 在 2 0 0 2 年提出的 3 1 ，该方案是基于传统的基于身份的签名方案进行盲化的，所 以需要一个可信任的第三方。2 0 0 3 年，他们又提出了另一个基于身份的盲签名 方案，该方案在性能上得到了提高，但仍然需要个可信任的第三方 3 2 。目前 基于身份的盲签名方案大都是建立在传统的基于身份的签名方案之上的，所以都 存在密钥托管问题。 本文提出了一个新的基于身份的盲签名方案，该方案是对c h e n ，z h a n g 和k i m 三人提出的方案 1 7 进行盲化的，所以该盲签名方案不存在密钥托管问题。同时 因为方案可以看作是z h a n g 和k i m 方案 3 2 的延展，所以效率也比较高。 限制性盲签名首先是由b r a n d s 在1 9 9 3 年提出的【7 】，用来解决电子现金中重 复花费问题。2 0 0 5 年，c h e n ，z h a n g ，l i u 三人在论文【1 8 】中提出了第一个基于 身份的限制性盲签名方案，在论文中他们还把限制性盲签名和部分盲签名结合起 来，设计了一个限制性的部分盲签名，给出了在r a n d o mo r a c l e 下的安全性证听， 并且讨论了它在电子现金中的应用，但在论文中他们没有讨论密钥托管问题。本 文对他们的方案进行了改进，使其没有密钥托管问题，并且利用改进后的方案设 计了两个电子现会系统。 第1 章绪论 1 3 论文结构 本文的剩下部分组织如下：在第2 章给出了本文要用到的密码学中的一些基 本的预备知识和一些相关概念和性质的形式化定义。第3 章给出了本文设计的基 于身份的盲签名方案的详细描述，并对本文所设计的方案进行了安全性分析。在 这一章，我们同时给出了本文对c h e n ，z h a n g ，l i u 的限制性盲签名方案 1 8 改 进后的方案。第4 章分析了改进后的限制性盲签名方案在电子现金中的应用。第 5 章对本论文进行了总结。 第2 章预备知识 第2 章预备知识 在这一章，我们将给出本文要用到的密码学中的一些基本的预备知识，同时 我们也给出了一些相关概念和性质的形式化定义。 2 1 双线性对 设g 。是由生成元p 生成的循环加法群，它的阶是素数g 。g 2 是一个循环乘 法群，阶也是q 。设口，b 是z 中的元素。我们假设在群g ，和g 2 上的离散对数 问题是困难的。一个双线性对是一个映射e ：g l x g i 哼g 2 ，具有下面的性质： 1 双线性：e ( a p ，6 q ) = e ( p ，q ) “，p 和q g l ； 2 不可退化性：存在p 和q g 。，满足e ( p ，o ) 1 ： 3 可计算性：对于所有的p ，q g 。，有一个有效的算法计算p ( p ，9 ) 。 2 2g a pd i f f i e - h e l l m a n 群 设g 是由生成元p 生成的循环加法群，它的阶是素数q 。假设在群g 中， 逆运算和乘法运算都是计算有效的。在群g 。中，我们介绍下面的问题 1 离散对数问题( d i s c r e t el o g a r i t h mp r o b l e m , d l p ) ：给定两个元素j p 和q ， 计算”z ：，满足q = n p 。 2 计算d i f f i e h e l l m a n 问题( c o m p u t a t i o nd i f f i e h e l l m a np r o b l e m , c d h p ) ： 给定p ，a p ，b p ，计算a b p ，这里订，b z 。 3 判定d i f l i e h e l l m a n 问题( d e c i s i o nd i f f i e h e l l m a np r o b l e m , d d h p ) ：给 定p ，a p ，b p ，c p ，判断c = - - a b m o d q 是否成立，这罩口，b ，c z 。 如果在某个群上，d d h p 问题在多项式时间是可解的，但是不存在一个多项 式时| 日j 复杂度的算法以一个不可忽略的概率去求解c d h p 问题，我们就称这个 6 第2 章预备知识 群为g a pd i f t i e h e l l m a n 群。这样的群己证明存在。更多细节请参考【8 ，1 3 ，2 5 。 2 3 基于身份的密钥生成 基于身份的公钥密码体制，最早是由s h a m i r 提出的。它允许用户的公开信 息，比如名字，地址或是电子邮件地址等等，而不是一个任意的字符串作为用户 的公钥。用户的私钥由密钥生成中心( p k g ) 计算生成，然后通过安全的信道发 送给用户。 基于身份的密码生成过程如下： g j 是由生成元p 生成的循环加法群，它的阶是素数g 。6 2 是一个循环乘法 群，阶也是口。一个双线性对是一个映射e ：g l g 1 一g 2 。定义两个安全哈希函 数q ： o ，1 ) g 1 寸乙和： o ，1 ) jg 1 。 建立( s e t u p ) ：p k g 选择一个随机数j 乏并且计算= s p 。中心发布系统 数p a r a m s = g l ，g 2 ，e ，q ，尸 巴6 ，h i ，坎) ，并且把s 作为主密钥，只有它自己 一个人知道。 提取：( e x t r a c t ) 用户提交他她的身份信息1 d 给p k g 。p k g 计算用户的公 钥9 ，d = h 2 ( ，并且把= s 鳓作为用户的私有密钥发给用户。 2 4 数字签名及其安全性定义 数字签名的概念最早是由d i f f i e h e l l m a n 在1 9 7 6 年提出的，它是提供认证 性，完整性和不可否认性的重要技术，是信息安全的核心技术之一。在这一节， 本文将给出数字签名及其安全性的形式定义。下面的数字签名及其安全性的定义 参考论文 2 5 。 2 4 1 数字签名定义 定义1 ( 数字签名) 一个数字签名方案s 由三个概率多项式时自j 算法( k e y g e n , 7 第2 章预备知识 s i g v e r ) 组成： 1 k e y g e n 是一个1 斗研c 密钥生成算法，以1 为输入，其中k n 是 安全参数，输出( 胀，s k ) ，其中蹦眠是公钥的集合，s k 娲 赋是私钥的集合。 2 s i g 是一个蹴朋一口够签名算法，以船，m 为输入，输出签名 仃= ( m ) = s i g ( s k ，m ) ，其中m 是消息空间，s 1 9 s 是签名空问。对所 有的r r t m ，盯s i g s 。 3 v e r 是一个蛾m s i q s 一 r e j e c t ，a c c e p t 验证算法，其中 惭( 麒，m ，o ) = a c c e p t 当且仅当。是s i g ( s k ，m ) 的可能输出。对所有的m 埘和oe s i g s 。 2 4 2 数字签名的安全性定义 夺适应性选择消息攻击：攻击者知道签名者的公钥，并且可以要求签名者为其 签署任何他她想要的消息的签名，并且攻击者可以根据以前的消息签名对， 适应性的对签名者进行签名询问。 夺存在性伪造：攻击者给出一个新的消息一签名对。 定义2 ( 安全数字签名方案) 如果个签名方案在适应性选择消息攻击下满足 存在性伪造是计算上不可能的，那么我们就说这个签名方案是安全的。 2 5 基于身份的数字签名定义 1 9 8 4 年，s h a m i r 为了简化密钥管理过程在论文 2 7 中提出了第一个基于身 份的加密和签名方案。下面本文给出基于身份的数字签名的一个形式化定义。 定义3 ( 基于身份的数字签名) 一个基于身份的数字签名方案是一个五元组 ( p k g ，s e t u p ，e x t r a c t ，s i g n i n g ，v e r i f i c a t i o n ) 。 1 p k g 是一个可信任机构，它可以发放一个防窜扰的设备用来传送秘密信 息给用户。它执行两个操作：系统建立和用户私钥的生成。 8 第2 章预备知识 2 s e t u p 是一个概率多项式时间算法，该算法的输入是一个安全参数k ，并 且返回系统参数( p a r a m s ) 和主密钥( m a s t e r k e y ) 。 3 e x t r a c t 是一个概率多项式时间算法，它以p a 队m s ，m a s t e r k e y 和任意 1 d e o ，1 ) + 作为输入，返回私钥s , o 。这里，d 是签名者的身份，并且作为 签名者的公钥使用。 4 s i g n i n g 是一个概率多项式时间算法，它以p a r a m s ，签名者的身份i d ， 签名者的私钥和待签名的消息m 作为输入，输出签名盯。 5 v e r i f i c a t i o n 是一个多项式时间算法，它以p a r a m s ，签名者的身份i d ， 消息m 和签名盯为输入，输出签名的验证结果接受( a c c e p t ) 或者拒绝 ( r e j e c t ) 。 2 6 基于身份的盲签名及其安全性定义 在这一节，本文将给出一个基于身份的盲签名的形式定义。一个基于身份的 盲签名方案，可以认为是一个普通的盲签名和一个基于身份的数字签名的结合， 即它是一个盲签名，只是用来验证该盲签名的公钥是签名者的身份而己。下面的 基于身份的盲签名定义参考论文 3 1 。 2 6 1 基于身份的盲签名定义 定义4 ( 基于身份的盲签名) 一个基于身份的盲签名方案( 简记为i d b s s ) 是 一个六元组( p k g ，s e t u p ，u s e r ，e x t r a c t ，s i g n e r ，v e r i f i c a t i o n ) 。 1 p k g 是一个可信任机构，它可以发放一个防窜扰的设备用来传送秘密信 息给用户。它执行两个操作：系统建立和用户私钥的生成。 2 s e t u p 是一个概率多项式时间算法，该算法的输入是一个安全参数k ，并 且返回系统参数( p a r a m s ) 和主密钥( m a s t e r k e y ) 。 3 e x t r a c t 是一个概率多项式时间算法，它以系统参数( p a r a m s ) ，主密钥 ( m a s t e r k e y ) 和任意d o ，1 ) 作为输入，返回私钥s ，。这罩肋是签 名者的身份，并且作为签名者的公钥使用。 9 第2 章预备知识 4 s i g n e r 和u s e r 是一对概率交互的图灵机，两个图灵机都有下面的带子： 一个只读输入带，一个只写输出带，一个读写工作带，一个只读随机带， 两个通信带。s i g n e r 和u s e r 参与签名发布协议并且在多项式时间停止。 在协议的最后，s i g n e r 要么输出完成( c o m p l e t e d ) ，要么输出没有完成 ( n o t c o m p l e t e d ) ，并且u s e r 要么输出失败( f a i l ) ，要么输出消息m 的 签名盯沏) 。 5 v e r i f i c a t i o n 是一个概率多项式时间算法，它以( d , m ，盯( 所”作为输入， 并且输出接受( a c c e p t ) 或者拒绝( r e j e c t ) 。 2 6 2 基于身份的盲签名的安全性定义 基于身份的盲签名的安全性包括两个方面的要求，一个是盲性，另一个是不 可多一伪造性。当一个盲签名方案同时满足上面这两个要求时，我们就说该盲签 名方案是安全的。像论文 2 5 ，3 13 一样，本文给出关于这两个性质的形式化定义。 定义5 ( 盲性( b l i n d n e s s ) ) 设a 是一个签名者，或一个概率多项式时间算法， 它控制着签名者。a 和两个诚实的用户( v o 和u ) 参与了下面的游戏。 1 ( ，) 卜e x t r a c t ( p a r a m s ，伪) 。 2 ( m o ，铂) 卜a ( i d ，) ( a 产生两个消息) 。 3 选取6 o ，1 ) ( 即b 是一个随机比特，对a 是保密的) 。把和一。分 别放在和的只读输入带上。 4 a 以任意的顺序与和u 参与签名发靠协议。 5 如果u 和u 分别在它们的私有带上输出了a ( m d 和盯( 码一。) ，则把这些 输出发送给a ，否则发送上给a 。 6 a 输出比特b 0 ，1 ) 。 如果b = b ，则a 知道消息和每个用户对应的签名。在这种情况下，我们就 说a 在该游戏中获胜。 1 0 第2 章预备知识 我们说一个基于身份的签名方案是盲化的，如果满足对于所有的概率多项式 时间算法a ，a 在上面的游戏中最多以1 2 + 1 k 的概率获胜，其中七足够大，c 是一个常量。 定义6 ( 不可多一伪造性( o n e m o r eu n f o r g e a b i l i t y ) ) 对于任何一个概率多项式 时间算法u ，如果u 在与合法的签名者a 最多交互，次之后，u 输出，+ 1 个有 效签名的概率最多是l k ，那么我们就说这个盲签名方案是( ，l + 1 ) 不可伪造的。 其中| j 足够大，c 是一个常量。交互可以是适应性的或以任意的间断性的方式进 行。 2 7 限制性盲签名 限制性盲签名最早是由b r a n d s 提出的，用来解决电子现金中重复花费问题。 下面本文给出限制性盲签名的一个形式化定义。 定义7 ( 限制性( r e s t r i c t i v e n e s s ) ) 假设m 是一个消息，在盲签名协议发布之 前，用户u 知道m 关于生成元组( 蜀，既) 的一个表示( q ，q ) 。当协议执行完 后，假设( 6 l ，屯) 是用户u 知道聊1 关于生成元组( 蜀，g 。) 的一个表示。其中m 是m 盲化后的消息。如果存在两个函数，1 和，2 ，满足下面的关系： ，i ( q ，吼) = ，2 ( 6 l ，巩) 那么这个协议就被称为是限制性盲签名协议。函数，l 和1 2 被称为协议关于生成元 组( 蜀，g k ) 的盲不变函数。 第3 章新的基于身份的盲签名方案 第3 章新的基于身份的盲签名方案 目前基于身份的盲签名方案大都是建立在传统的基于身份的签名方案之上 的，所以都存在密钥托管问题。在这一章，我们将给出一个新的基于双线性对的 基于身份的盲签名方案，该盲签名方案没有密钥托管问题。并且本文也将给出对 c h e n ，z h a n g ，l i u 的基于身份的限制性盲签名方案 1 8 改进后的方案，改进后 的方案也没有密钥托管问题。 3 1 一个新的基于身份的盲签名方案 假设g l 是一个g a pd i f f i e h e l l m a n 群，其阶为素数g 。g 2 是一个循环乘法 群，它的阶也是q 。一个双线性对是一个映射e ：g 1 g l _ g 2 。定义两个安全哈 希函数h i ： o ，1 ) g l 斗乙和h 2 ： o ，1 ) g l 寸g l 。 夺建立( s e t u p ) p k g 选择一个随机数s 乏，并且计算= s p 。中心发布系统参数 p a r a m $ = g i ，g 2 ，e ，g ，p ，何，皿) ，并且把j 作为主密钥，只有它自己一个人知 道。 夺提取( e x t r a c t ) 签名者提交他她的身份信息i d 给p k g ，并且向他证明自己的身份。签名者 随机地选取一个整数，z 作为他她的长期的私钥，并且把护发送给p k g 。p k g 计算s = s q ，o = s h z ( ，d0 r ，妒) ，并且把s 。通过安全信道发送给签名者。这里丁 是，的生命周期。签名者的私钥是和r ，公钥是i d 。 为了安全，签名者应该在每个周期时间7 后更新自己的密钥。为了简便，在 这单我们不讨论这个问题。 夺盲签名发布协议( b 1 i n ds i g n a t u r ei s s u i n gp r o t o c 0 1 ) 假设肌是要签名的消息。设口e r 表示均匀随机选取。协议执行过程如图l 。 1 2 第3 章新的基于身份的盲签名方案 u s e r s i g n e r a z ： 竺：鲨 计算【，= 口q ，d 口，乏 b z 计算u = a u + a p q , o 所。= 6 p 十h 2 ( 珊，u ) m - - - - - - - - - - - - - - - - - - - 计算v = 瑚 矿 _ - 一 计算矿= r h 2 ( ，u ) h = a 一h ( 聊，u + y ) + - - - - - - - 斗 计算w = ( 口+ ) s f d - - 一 计算肜= 口 图1 盲签名发布协议 一签名者( s i g n e r ) 随机地选取一个数口乏，计算u = a q i d ，并且发送u ， ，户给用户( u s e r ) ，其中u 是s i g n e r 对u s e r 的一个承诺。 一 ( 盲化) u s e r 随机地选取三个盲因子口，b r 乏，计算u - - - a u + 筇q 名 和坍= b p + h 2 ( 州，u ) ，并且发送新给s i g n e r ，其中坍是盲化后的消息。 一 ( 签名) s i g n e r 返回v 给u s e r ，这罩v = r m 。 一 ( 脱盲+ 盲化) u s e r 计算v = 吗( m ，u ) 和_ ，= 口h 。( 聊，u + 矿) + ，并且 第3 章新的基于身份的盲签名方案 发送h 给s i g n e r 。 一 ( 签名) s i g n e r 返回形给u s e r ，这里w = ( a + 厅) 。 一 ( 脱盲) u s e r 计算w = a w ，输出 m ，u ，矿，t ，r p ) 。 则( u + ，v ，。，r ，护) 是消息m 的盲签名。 验证( v e r i f i c 8 t i o n ) 验证者首先计算鳓= h 2 ( 1 d i i t ，尸) ，h z ( m ，u ) ，和h t ( m ，u + 矿) 。如果 下面的两个验证等式成立，我们就接受这个签名。 e ( w ，p ) = e ( u + q ( m ，u + y ) q ，d ，) p ( 矿，p ) = e ( h 2 ( m ，u ) ，r p ) 3 2 新的基于身份的盲签名方案的分析 3 2 1 正确性( c o r r e c t n e s s ) 因为p ( 形，p ) = e ( a w ，p ) = e ( a 0 + 而) s j d ，p ) = e ( a a s q m + o t h s q f o ，p ) = e ( a a s q m ，p ) e ( a h s q i ，p ) = e ( q i o ，尸) “。“ 又因为e ( u + q ，u + y ) 如，) = p ( u ，s p ) e ( h , ( 肌，u + y ) q ，d ，s p ) = e ( a u + 筇鳓，s p ) e ( h l ( m ，u + 矿) ，s p ) = e ( a u + a l ? q , o ，s p ) e ( ( a h a p 、q m ，s p 、 = e ( a u ，s p ) e ( v t f l q ，o ，s p ) e ( a h q i o ，s p ) e ( c t f l q i o ，s p ) 一1 = e ( a , u ，s p ) e ( a h 如，s p ) = e ( a a q i o ，s p ) e ( o t h q n 9 ，s p ) = p ( q i ，d ，j p ) 州”6 1 4 第3 章新的基于身份的盲签名方案 所以有e ( w ，p ) = p ( u + q 沏，u + y ) q k ，p 瑚6 ) 成立。 因为e ( v ，p ) = e ( r h 2 ( 脚，u ) ，力= f ( h 2 ( 所，u ) ，妒) 所以有e ( v 。，p ) = p ( 马( 埘，u ) ，堋成立。 3 2 2 安全性证明 定理1 本方案满足盲性( b l i n d n e s sp r o p e r t y ) 。 证明：为了证明盲性，我们证明给出任一个有效的签名( m ，u + ，矿，r ，r p ) 和签 名者在任一次签名协议中所见到的信息( u ，m ，v ，h ，) ，都存在唯一的盲因子 b , a ，嘞石。因为盲因子6 ，口，。乏是随机选取地，所以签名方案的盲性自然 也得到满足。下面本文给出一个比较形式的证明。 给出一个有效的签名( 肌，u ，矿，r ，和签名者在任一次签名协议中所见 到的信息( u ，m ，v ，h ，) ，则对于6 ，口，z 下面的等式必须成立。 u = 口u + 筇9 ，d ( 1 ) m = b p + 必( 肌，u ) h = 盯一1 h i ( 所，u + 矿) + w = c t w ( 2 ) ( 3 ) ( 4 ) 很明显，从等式( 4 ) 可得出口乏是唯一存在的，即口= l o g ，+ 。再从等 式( 3 ) ，我们可以得到= h - ( 1 0 9 ，w ) 。q ( 所，u + 矿) 也是唯一存在的。从等式 ( 2 ) 也可以很明显看出，b z 二是唯一存在的。现在我们只要证明口，也满足 第一个等式。根据双线性对的不可退化性质，我们有： u j = a u 七鄙q e ( u ，p m o = e ( a u + a z q ”p 。0 所以我们只需要证明口，满足等式p ( u 。，) = e ( a u + 筇如，) 就可以了。注 意到，( m ，u ，y ，w ，r ，r 尸) 是一个有效的签名，即 第3 章新的基于身份的盲签名方案 e ( w ，p ) = e ( u + q ( 所，u + 矿) ! 孙，0 ) = p ( ) p ( 喝( 脚，u + y ) 如，) 即有：e ( h i ( m ，u + y ) q 。，厶6 ) = p ( u ，j ) p ( 形，p ) 1 我们有： e ( a u + a f l q ，o ，厶 ) = e ( ( 1 0 9 w ) u + ( 1 0 9 w ) ( 矗一( 1 0 9 w ) - 1 啊( 加，u + 矿1 ) ) 1 2 d ，乙m ) = e ( ( i o g w + ( 1 0 9 w ) h o d ，) p ( q ( m ，u + y ) ，厶6 ) - 1 = e ( ( 1 0 9 w ) ( a + h ) s q l o ，p ) e ( u 1 ，匕) p ( ，p ) 一1 = e ( w 。，p ) e ( u ，匕 ) p ( 形，p ) 。 = p ( u ，只。) 所以有等式p ( u ，) = e ( a u + a f l q l o ，0 。) 成立。 定理2 在随机预言模型下，并且假设群g 中的c d h p 问题是困难的，本方案在 适应性选择消息攻击和l d 攻击下满足存在性伪造是计算上不可能的。 证明：假设a 是一个敌手( a d v e r s a r y ) ，他她拥有系统参数 p a r a m s = g i ，g 2 ，e ，g ，p ，q ，h 2 ) 和身份为i d 的签名者( s i g n e r ) 对应的公钥 0 , o 。a 试图伪造s i g n e r 的一个有效的消息一签名对。 首先，我们假设a 实行i d 攻击，即a 询问e x t r a c t 姥次，这罩有崛i d ， r , p r p ，i = i ，姥。e x t r a c t 向a 返回绕个对应的密钥。如果a 能得到 ( 膨，p ，) ，满足凰( 删l i t ，p ) = h 2 ( 1 di it ，印) ，那么a 就能伪造