（计算机科学与技术专业论文）基于身份的群盲签名的电子现金方案的研究.pdf

硕上学位论文 摘要 电子商务的普及使得越来越多的人热衷于网上交易，这就对现代支付体系提 出了更高的要求，电子现金作为一种新的电子支付方式，较之信用卡、电子支票 等支付方式具有匿名性、离线可支付性和可转移性等明显优势，但也存在如撤销 成员、可转移性、可分割性及多银行等技术难题亟待解决。群签名作为一种密码 技术，能够用来隐藏组织的内部结构，在许多领域都有广泛的用途，因而目前电 子现金系统的安全性大都基于群签名技术。 本文对一种现有的基于椭圆曲线w e ip a i r i n g 特性的基于身份的签名方法进 行扩展，并与盲签技术相结合，提出了一个新的基于身份的盲签名方法。然后把 该盲签名方法转换成一种群盲签名方案，该新的群签名的特点是群签名及群公钥 的长度都与群成员的个数无关，因此对群成员较多的大群更为实用。 同时，论文基于新提出的群盲签名方案，构造了一个新的电子现金方案，该 方案具有以下几个方面的特点：( 1 ) 适合于多银行的支付环境；( 2 ) 不需要电子证 书发放中心；( 3 ) 可以匿名支付使得商家及银行都无法得知消费者的真实身份， 但是在重复花费发生时银行可以在可信任机构的协助下追查出该消费者的信息； ( 4 ) 具有较高的安全性和较短的密钥长度。这些特点使得提出的电子现金系统方 案有较大的实用性。 关键词：群签名；电子现金；多银行；群盲签名；基于身份 i i 基于身份的种盲签名的电子现金方案的研究 a b s t r a c t t h ep o p u l a r i t yo fe c o m m e r c ee n a b l e dm o r ea n dm o r ep e o p l ea r ei n t e r e s t e di n o n l i n et r a d i n g ，w h i c ha l s om a k e sh i g h e rd e m a n d so np a y m e n ts y s t e m s c o m p a r e d w i t ht h ec r e d i tc a r da n de l e c t r o n i cc h e c kp a y m e n t so ro t h e re l e c t r o n i cp a y m e n t m e t h o d s ， t h e r ea r eo b v i o u sa d v a n t a g e sf o re c a s h ，s u c ha sa n o n y m i t y ，o f l i n e a f f o r d a b i l i t ya n dt r a n s f e r a b l e b u tn o wt h e r ea r em a n yp r o b l e m si nt h er e s e a r c ho f e l e c t r o n i cc a s hs y s t e mt ob es o l v e d ，s u c ha sm e m b e r s h i pr e v o c a t i o n ，t r a n s f e r a b 订i t y ， d i v i s i b i l i t y ，m u l t i p l e - b a n k sa n ds o o n a sab r a n c ho fc r y p t o g r a p h y ，t h eg r o u p s i g n a t u r eo f f e r st h ea b i l i t yt oh i d ei n t e r i o rs t r u c t u r eo ft h eo r g a n i z i n g s ot h es c h e m e c a nb ew i d e l yu s e di nm a n yd o m a i n s a tp r e s e n t ，t h es e c u r i t yo ft h ee l e c t r o n i cc a s h s y s t e m sa r ea l lb a s e do ng r o u ps i g n a t u r et e c h n o l o g i e s t h i sp a p e rp r e s e n t sab l i n ds i g n a t u r es c h e m ef r o mc u r r e n ti d e n t i t y - b a s e d s i g n a t u r e s ，a n dt h e nc o n v e r t si tt oag r o u pb l i n ds i g n a t u r es c h e m e t h i ss c h e m ei s p r o p e rf o rl a r g eg r o u pt h a th a v em a n yg r o u pm e m b e r sb e c a u s et h el e n g t ho ft h e s i g n a t u r ea n dt h eg r o u pp u b l i ck e yi sn o td e c i d e db yt h en u m b e ro fm e m b e r s t h i sp a p e rp r e s e n t san e we c a s hs c h e m ef r o mt h eg r o u pb l i n ds i g n a t u r es c h e m e t h en e we l e c t r o n i cc a s hs c h e m eh a st h ef o l l o w i n ga d v a n t a g e s ：( 1 ) i t ss u i t a b l ef o rt h e e n v i r o n m e n to fm u l t i p l eb a n k s ；( 2 ) i td o e s n tr e q u i r ee - c e r ti s s u e dc e n t e r ；( 3 ) i to f f e r s a n o n y m o u sp a y m e n t ，w h i c hm e a n sm e r c h a n t sa n db a n k sh a v en ow a yo fk n o w i n g t h e t r u ei d e n t i t yo ft h ec o n s u m e r s h o w e v e r ，r e p e a ts p e n dc a nb et r a c e db yt h eb a n kw i t h t h ea s s i s to ft h et r u s t yi n s t i t u t i o n ；( 4 ) i th a sh i g h e rs e c u r i t ya n ds h o r t e rk e yl e n g t h t h e s ea d v a n t a g e sm a k eo u re - c a s hs c h e m eh a v eg o o dp r a c t i c a lv a l u e k e yw o r d s ：g r o u ps i g n a t u r e ；e l e c t r o n i cc a s h ；m u l t i p l eb a n k s ；g r o u pb l i n d s i g n a t u r e ；i d e n t i t y b a s e d i i i 硕士学位论文 插图索引 图1 1 复合式银行架构2 图1 2 简化的电子支付系统模型一3 图1 3 公平的匿名离线电子现金系统模型4 图1 4 多银行发行的匿名离线电子支付系统模型5 图2 1 基于身份的密码系统的加密解密数字签名1 2 图3 1 群签名示意图1 9 图3 2 盲签名示意图2 2 图3 3 基于身份的盲签名2 4 图4 1 系统架构2 9 图4 。2 系统流程3 0 v i 基于身份的群盲签名的电子现会方案的研究 附表索引 表2 1 椭圆曲线e 2 3 ( 1 ，1 ) 上的点一15 表2 2e c c 与r s a 的安全性比较【34 1 1 7 表3 1 本论文提出的盲签名效率与文献 5 6 的比较2 7 v l i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或者集体已经发表或者撰写的成果作品。对本文的研究做出重 要贡献的个人和集体i 均已在文中以明确方式表明。本人完全意识到本声 明的法律后果由本人承担。 作者签名： 裳凶哺 日期： 沙护少年么月尹日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留，使用学位论文的规定，同意 学校保留并向国家有关部门或者机构送交论文的复印件和电子版，允许论 文被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或者部分内 容编入有关数据库进行检索，可以采用影印，缩印或者扫描等复制手段保 存和汇编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“ ) 作者签名：裳品略 导师签名：雾宕改 日期： 矽哆年月圹日 日期：沙。7 年月尹 目 硕士学位论文 1 1 研究背景及意义 第1 章绪论 随着计算机、网络和信息技术的快速发展，基于互联网的电子商务给传统的 商务活动注入了新的活力。商家与商家之间、商家与消费者之间在开放的互联网 上，能通过电子手段实现方便快捷的商务交易【l 】。中国的电子商务从1 9 9 8 年下 半年开始发展，电子商务逐步成为研究和应用的热点。目前，尽管电子商务在我 国己经取得了部分成功的应用，但总体上仍处于起步阶段。 在电子商务中，客户借助互联网用电子货币实现电子支付，获取自己想要的 实物商品或者虚拟商品，因而电子支付是最为核心和关键的环节。当前用于支付 的电子货币主要有储值卡、电子信用卡( 借记卡) 、电子支票和电子现金。由于前 三种支付方式在支付时存在一定的缺陷1 2 】，目前普遍采用的电子现金支付方式。 电子现金又称数字现金，是电子现金公司( 银行) 发行并承诺其价值、可以识 别其面值验证其真伪且不可伪造的一串加密数据。电子现金是纸币的电子等价 物，理论上可以实现纸币的所有功能，例如保护用户的消费隐私，防止拒绝支付 和交易成本低等诸多优点，备受关注，成为电子支付研究的热点。如何提供一个 安全且有效的电子支付机制，已经成为一个广泛被讨论与研究的议题，论文正是 在这样的背景下开展的。 通常，电子支付机制只针对单一银行环境，但是现实生活中存在多银行环 境，且每一个银行都可以发行电子现金供其客户使用。由于每个银行都是独立的 主体，所以必须拥有各自的私钥并公开其相对应的公钥。对于商家而言，要想同 时收取不同银行所发行的电子现金，必须拥有每一个银行的验证信息及其公钥， 当系统中银行的数量增多时，商家所需存放的信息也将成比例的增加，从而导致 效率不高和密钥管理不便，即扩充性问题。 在一个复合式银行的电子支付架构里，银行将不再局限于单一银行，而是由 多个银行所组成的复合式银行。如图1 1 所示，虽然实际上有多个银行存在，但 对消费者或商家而言可视为单一银行，采用该架构可解决上述扩充性问题。 一个复合式银行架构的电子支付机制应该具有下列特性： 1 ) 独立的发行：架构中的各个银行都是一个独立的个体，每个银行都可以 发行各自的电子现金供其客户使用，并且没有银行可以假冒其它银行来发行其对 应的电子现金。 2 ) 统一的验证：虽然各个银行都可以独立的发行电子现金，但是商家只需 。季，蕾参 银行1 银行2 巍一 消费者 喜 银行n 商家 图1 1 复台式银行架构 使用一把公开的验证密钥即可验证不同银行所发行电子现金的合法性。除此以 外，在理想的情况下我们希望公钥的长度和系统中银行的数量无关，并且当有任 何银行加入或离开系统时，无需更新公钥。 3 ) 集中的管理：有一个可信任的机构来统管理各个银行并且发布验证电 子现金所需的公开信息，此机构可以是一个国家的中央银行或是财政部。 本论文探讨如何在复合式银行架构的环境下建构安全有效的电子货币支付机 制，延伸了p a t e r s o n 基于椭圆曲线密码系统的基于身份的签名方法，并与盲签名 技术结合构造新的群盲签名方法，并将其应用于电子支付系统中，使得消费者可 以匿名消费，而商家只需用一把群公钥即可验证不同银行所发行的匿名电子现金 的合法性。此外，当发生重复消费问厦时，银行可以在可信任机构的帮助下追查 出消费者的身份。 1 2 国内外研究现状 电子现金有着很大的应用前景，与传统货币的不同在于电子现金的实现都是 基于某种特定的密码技术。由于现有密码系统的多样性，即使在同一密码系统 中，也存在多种不同的假设。例如，有的电子现金系统使用r s a 密码体制来保证 安全性，有的系统用离散对数假设来保证匿名的可撤销性，所以。到目前为止， 对电子现金系统的研究主要集中在一个简化的电子支付系统的模型上，即匿名离 线的电子支付系统或者是对该模型的某个性质的扩展。 1 2 1 匿名离线的电子现金系统 匿名离线的电子支付系统模型的交易过程如图1 2 所示，该模型由三个具有 概率多项式计算能力的实体组成：银行丑( b a n k ) 、顾客u ( u s e 0 和商家g s h o p ) 。 其中银行是电子现金的管理者，对电子现金进行安全监视：顾客是电子现金的消 费者；商家是接受电子现金的实体。 2 狰 m 十学位论文 消赞青 银行 图l2 简化的电子支付系统模型 电予现金的交易包括四个过程：开户、取款、支付和存款。在一个电子现金 的生命周期中，c ，首先执行开户协议在b 建立账户；并执行取款协议，从占处 获得一张电子现金；在购物时，u 和s 共同执行支付协议，花费电子现金：而s 和b 执行存款协议，将电子现金存入口。如果银行口和商家s 舍作也无法跟踪 到顾客u 的信息，则这个电子现金系统就是匿名的。 匿名电子现金方案最早由c h a u m 、f i a t 和n a o r 提出，其安全性基于 些 随机性假设而且没有给出证明。c h a u m - f i a t n a o r 方案给出如何构造电子现金系 统的思想，为以后的研究奠定了基础。取款和支付协议中的零知识证明采用分割 选择( c u t a n d - c h o o s e ) 技术，因此，系统的通信、计算和存储开销较大。 o k a n o t o 和o h t a 【4 1 引入开户协议改进上述方案，他们将取款协议中最复杂的 部分，改为只在开户时进行( 同样采用分割选择技术) ，使系统的效率有所提高。 d a m g a r d ”利用两方密码协议和零知识证明构造了个安全性可证明的在线 电子支付系统。p n z m a n n 和w a i d n e r l 5 】指出并改正了系统中的一些小错误，在假 定存在陷门单向置换函数的前提下，给出了构造安全性可证明的离线电子支付系 统的方法。他们为构造安仝性可证明的电子现金系统奠定了基础。 f r a n k l i n 和y u n 一”将系统的安全性和分割选择协议的有效性结合起来，提出 了基于离散对数问题和可信第三方的离线电子现金系统。 f e r g u s o n l 7 1 提出了个单向电子现金方案，他巧妙地将r s a 签名用于电子现 金的茸验证中。然而，该方案的安全性没有得到证明，并且效率也不理想； b r a n d s 例系统是到目前为止比较有效的系统，它的安全性基于s c h n o r r 签名 和素数阶群的表示问题( 等价于离散对数问题) 。在该方案中，电子现金的匿名性 得到无条件的保证，其不可伪造性和不可重用性在离散对数问题和一个合理的髓 机数假设以及单向散列函数的安全性下可以正明。 7 巍 基于身份的群肓签名的电子现金方案的研究 12 2 公平的匿名离线电子现金系统 完全匿名的电子支付系统可能为犯罪分子提供了可乘之机，例如洗钱和匿名 勒索。未来的电子支付系统应该具有不完全匿名性或条件匿名性，将这样的电子 支付系统称为公平的电子支付系统，因为它在保证合法用户的匿名性和撤销非法 用户的匿名性之问取得了“平橱”。公平的匿名离线电子现金系统模型如图13 所示。它在简化模型的基础上，引入了一个可信机构可信机构只会在绝对必要 时才撤销电子现金的匿名性。 货币跟踪 所有者跟踪 消费者 付费 向家 国l3 公平的匿名离线电子现金系统模型 模型中增加了两个跟踪协议： 1 1 货币跟踪( 或基于取款信息的跟踪) ：根据银行在取款过程中获取的信 息，可信机构可以协助银行计算出所提取的电子现金，一旦现金被存储，很容易 识别出来。 2 ) 所有者跟踪( 或基于支付存款信息的跟踪) ：根据银行在存款过程中获取 的信息，呵信机构可以协助银行计算出电子现金取款人的账号，进而确定其真实 身份。 1 2 3 匿名离线可分的电子现金系统 o ka i l o t o 和o h t a 川于1 9 9 1 年首次提出了一个可分的匿名离线电子支付系 统，在该系统中，用户可以将电子现金分成任意金额进行支付，直到总数达到浚 电子现金的总额为止。匿名离线可分的电子现金系统模型和简化电子支付模型基 本相同。该系统的主要实现技术是o k a n o t o 和o h t a 提出的二叉树方法。 1 2 4 银行发行的匿名离线电子支付系统 硕学位论文 s t e f a nb r a n d s 在 1 0 中阐述了多银行实现思想( 如图14 ) ：每个银行使用不 州的签名机制，例如利用自己私钥签名，独市发行电子现金代用券。如果系统内 银行数量很少，则所有银行对应的公钥表可以存放在每个用户的本地数据库中： 银行数量较多时，可以使用公钥证书技术。这样，每个商j 占都可以检验所有银行 发行的电千现金代异 券的有效性。为了解决多银行之间的资金结算，需要一个结 算中心，结算中心的设训可以照搬现实生活中的交易体制。 资金 耋黉 、资金结i 算 、 消费者 赞 商家 围14 多银行发行的匿名离线电子支付系统模型 1 9 9 8 年，l y s y a n s k a y a 和r a m z a n l 基于综合盲签名和群签名，提出了群盲 签名的概念，并给出将电子支付系统扩展为安全的分布式电子银行系统的思想。 1 9 9 9 年，r a n z a n 更详细地阐述了这一思想。所有银行构成银行群，群权威为 总行。若顾客希望从银行取款，他首先生成一个随机串，银行在随机串上应用群 盲签名，得到电子现金，从顾客账户上扣款：顾客可以将电子现金支付给商店， 后者利用群公钥校验电子现金上的银行签名。若验证通过商店接受电子现金， 并在适当的时候存储到银行中。商店所在银行也校验屯了现金的有教性，并利用 全局己花费的电子现金数据库，像单银行那样检查是否出现双重支付，“事后” 发现双重支付者。l y s y a n s k a y a 和r a m z a n 并没有实现这一思想。文献 1 3 】足一种 匿名性可撤销的多银行电子现金方案，但其签名长度太长，计算量太。顾客、商 家、银行都需要做较多的计算，这限制了它的实用性。 2 0 0 4 年国内学者首次利用代理签名技术，构造了一个多银行的电子现金方 案”，每个发币银行必须接受来自中央银行和可信第三方的莛同委托才能代表 整个群签发有效的电子现金，即利用代理签名技术构造发币委托陆议，实现中央 银行与发币银行的签发电予现金能力的转移。但是，该方案无法克服中央银行与 幂f 易份疗勺群百签钙的电子现金方案的研究 可信第三方合伙冒充发币银行签发电子现金。而且该方案是在线的，虽然能有效 防止重复花费，但是对于小额支付来说，效率太低，成本太高。 1 2 5 电子支付机制的安全需求 一般而言，电子货币支付的安全需求可以分为基本安全需求与额外安全需求 两个不同层级： 基本安全需求： 1 ) 不可伪造性：一般人无法自行伪造电子现金，只有经过授权的银行才可 以合法地发行电子现金。 2 ) 不可延伸性：任何人无法更改电子现金的面额或是从中延伸出其它面额 的电子现金。 3 ) 不可重复使用性：电子现金经由合法程序提取出后只能被使用一次，而 无法重复使用于多笔交易中。 4 ) 匿名性：电子现金的合法持有者可以匿名地消费，即使是发行电子现金 的银行，也无法追持有者的身份，然而一旦有非法消费的行为发生时( 例如重复 消费) ，银行可以在可信任机构的协助下追踪出该消费者。 5 ) 不可冒用性：电子现金只有经合法程序提取出的持有者可以使用，其它 人( 如银行、商家) 即使接触到合法的电子现金，也不能使用该笔电子现金。 6 ) 验证的效率性：在电子货币支付系统验证电子现金的合法性、信息交 换、及储存空间等，应有高效的运作机制。 额外安全需求： 1 ) 不可连结性：除了消费者本身外，任何人无法得知某两个电子现金是否 为同一使用者所花费。 2 ) 可分割性：电子现金的面额具有可分割性，即可将较大面额的电子现金 分割成较小的面额来使用，使得电子现金更具有弹性。 3 ) 可转移性：如同现实生活中的钱币，电子现金在提取的后可以流通于不 同的使用者。 4 ) 可撤消性：经由合法程序提取出来的电子现金可以被暂时或永久撤消使 用，例如被他人强迫提取的电子现金，的后可经由合法程序撤消使用。 5 ) 可归还性：经合法程序提取出来的电子现金，若无法被商家或银行接受 时，消费者可获得应有的归还。 1 3 本文完成的主要工作 本论文探讨如何在多银行架构的环境下建构安全且有效的电子货币支付机 制，延伸了p a t e r s o n 基于椭圆曲线密码系统的基于身份的签名方法，并与盲签技 6 硕士学位论文 术结合发展出一群盲签名方法，并将其应用于电子支付系统中，使得消费者可以 匿名的消费，而商家只需用一把群公钥即可验证不同银行所发行的匿名电子现金 的合法性。此外，当发生重复消费问题时，银行可以在可信任机构的帮助下追查 出消费者的身份。论文中所提出的电子支付机制具有以下几项优点： 1 ) 适用于多银行的支付环境。 利用我们所提出的群盲签名方式，系统中任何主体只需要一把公钥即可验证 任何银行所发行电子现金上数字签名的合法性，而无需拥有各别银行的公钥。 2 ) 不需电子证书发放中心。 基于身份的密码系统与一般公钥系统如r s a 最大不同在于它的公钥可以是 使用者的基于身份的，例如名字、电子邮件地址或其它公开的身份信息，而不是 毫无关系的随机数，因此我们的系统不需要电子证书来保障公钥的合法性。 3 ) 匿名支付及重复花费时的追查机制。 在电子货币支付机制中，电子现金可视为一份电子文件，消费者必须利用盲 目签名方法来取得银行的数字签署，以证明该电子现金的合法性，当消费者以此 电子现金支付时，商家及银行皆无法得知消费者的真实身份而达到匿名支付的目 的。然而当电子现金有重复花费时，银行可以在可信任机构的协助下追查出该消 费者的信息。 4 ) 较高的安全性及较短的密钥长度。 1 4 本文的内容结构 本论文的章节安排如下： 第1 章主要介绍论文的研究背景，研究意义，国内外电子现金研究现状， 可能的创新点及章节安排。 第2 章主要介绍预备知识，包括相关基础理论，基于身份的密码系统，椭 圆曲线密码系统，椭圆曲线的w e i lp a i r i n g 特性。 第3 章先介绍群盲签名的相关知识，然后提出了一个新的群盲签名方案。 第4 章主要介绍利用新的签名方案设计的多银行电子现金方案，然后对其 安全性进行分析。 最后是结论和展望。 基于身份的群盲签名的电了现金方案的研究 2 1 基础理论 第2 章预备知识 在本节中，主要介绍相关的数论知识，数论中的难解问题，和哈希函数等群 签名的相关基础理论。 2 1 1 相关的数论知识 数论很长一段时间里被当作一种纯理论的数学分支，没有多少实际应用。但 当电子通信以及计算机技术迅速发展以后，数论中的很多理论在通信和计算机科 学中得到广泛应用。尤其在密码学中，数论显示出了突出的作用。大多数公钥密 码体制的安全性都是建立在数论中的基础上的。本小节就介绍和公钥密码体制紧 密联系的问题。下面给出的一些定义与文献 15 】中定义类似。 1 群 令g 是一个非空集合，是定义在g 上的二元运算，：g g g 。对于g 中的任意元素口，6 ，c ，如果口6 = 6 口，就称二元运算满足交换律。如果 ( 口6 ) c = 口( 6 c ) ，就称二元运算满足结合律。对于元素p g ，如果对于任 意的元素口g ，都有p 口= 口e ，就称元素p 为集合g 中的单位元。对于元素口 g ，如果存在元素6 g ，使得6 口= 口6 = p ，其中p 为集合g 中的单位元， 就称元素6 为元素口在集合g 中的逆元。 。 定义2 1 群：令g 是一个非空集合，口，6 ，c ，是g 中的元素，是定义 在g 上的二元运算。如果集合g 中的元素满足下列性质，就称g 为群： 1 1v d ，6 g ，d 6 g 2 ) 结合律成立：v 口，6 ，c g ，6 ) c = ( 口- 6 ) c ； 3 1 集合g 中存在唯一的一个单位元p ； 4 ) 对于集合g 中的任意一个元素，在g 中都有与之对应的逆元存在。 群中的单位元与任意元素的逆元都是唯一的；如果定义在群上的二元运算为 “加法”，用符号“+ ”表示，那么通常用o 表示其单位元，二元运算为“乘 法”，用符号表示，则用1 表示其单位元。对于“加法 而言，元素口的逆元 表示为口，对于“乘法”来说，元素口的逆元表示为口。或l 口。对于“加法 而言，口脚表示聊个口相加，口+ 口+ + 口。对于“乘法 来说，口聊表示所个口相 乘，口口口。口硼表示垅个1 口相乘，口o 口口。 一个群g 中任意一对元素满足口6 = 6 口，即满足交换律，则称群g 为阿 贝尔群；一个群g 中的元素是有限多个，则称群g 为有限群；如果群g 是有限 8 硕f ：学位论文 群，则群g 中元素的个数就是群g 的阶数，通常用l g l 表示；一个群g 称为循环 群，如果群g 中存在元素口g ，使得群g 中的任意元素6 g ，6 可以写成 矿，x z 。元素口称为循环群g 的生成元。循环群g 可记为g = ( 口) 表示群g 是 由生成元口产生的。对于任意的群g 来说，群中的元素6 的阶数定义为 o r d ( 6 ) = 玎，其中玎是最小的正整数使得6 一= 1 。一个有限群中的任意元素的阶数 可以整除有限群的阶数。对于循环群g 而言，它的阶数为聊，元素口为其生成 元，则口的阶数为聊。循环群g 中的任意元素6 = d 。，那么，元素6 的阶数为 聊g c d ( 聊，f ) 。此外，元素6 为循环群g 的生成元当且仅当g c d ( 聊，f ) = 1 。因此，如 果聊是素数，那么，循环群g 中除了单位元1 都是生成元。 日互g 称为群g 的子群，如果集合日对于定义在g 上的二元运算满足群定 义的四个性质。子群日的阶数整除群g 的阶数。群g 的任意元素口生成的群为 g 的子群，o r d ( 口) = ( 口) 。因此，任意元素口的阶数可以整除群g 的阶数。 2 群乙和乙 关于整数模所的集合，记为乙，定义在乙上的二元运算为“加法 ，用符 号+ 表示。乙构成一个加法阿贝尔群。对于v 口，6 z m ，口+ 6 的结果为( 口+ 6 ) m o d 所。乙+ 表示由与整数聊互素的正整数构成的集合，定义在乙+ 上的运算为 “乘法”，用符号表示。乙+ 构成一个乘法群，它的阶数为欧拉函数缈( 聊) 。对 于v 口，6 z 卅，口，6 的运算结果为( 口，6 ) m o d 聊。 定义2 29 函数：令，z 是一个正整数。欧拉函数妒( 聊) 指由正整数尼构成的 集合的阶数。其中后 刀，并且g c d ( 毛，z ) = l 。即： 9 ( 聆) = l 尼1 1 尼 ，s 为系统私 钥，系统公钥为厶。= s 尸， g l ，g 2 ，占，刀，p ，玩，皿) 为公开参数。 2 产生密钥 对身份信息为仍 o ，1 ) 的使用者，其公钥为q d = q ( 仍) ，p k g 计算其私钥 为d l d = s q l d o 3 加密信息 要使用身份信息仍来加密信息m ，m o ，1 ) ”，使用者进行下列步骤： 1 ) 计算公钥q ，d = q ( 肋) g l 2 ) 随机选择一整数，乙+ 1 3 基于身份的群肓签名的电予现会方案的研究 3 ) 产生密文c = ( ，p ，mo 哎( 占( ，厶6 ) 7 ) ) g l o ，1 r 4 解密信息 c = ( u ，y ) 为一使用公钥如= q ( ) 来加密的密文，使用者可以其私钥 d ，d = s 来解开信息矿o4 ( 占( ，u ) ) = m 。 证明： 吾( ，u ) = 缸翰，尸) = 占( ，矿= 占( ，) 7 矿。也( 占( ，u ) ) = yo 皿( 占( 鳓，e 曲) 7 ) = m 0 4 ( 占( 锄，) 7 ) o 红( 占( q ，d ，厶。) ) = m 2 3 椭圆曲线密码系统( e l l i p t i cc u r v ec r y p t o s y s t e m s ) 一般公钥密码系统的安全性都是基于复杂的数学难题，例如r s a 密码系统 的安全即建构在大整数因子分解问题之上，攻击者很难在可接受的时间之下，将 一大整数分解而得到两个质数因子。通常，为了得到更高的安全性，必须增加密 钥的长度形成更大的整数，但是密钥长度的增加将导致较长的计算时间及效率 降低的问题。 1 9 8 5 年，k o b l i t z 【3 0 1 和m i l l e r 【3 1 1 分别提出了一套安全性更高的公钥密码系 统，称为椭圆曲线密码系统( e l l i p t i cc u r v ec r y p t o s y s t e m s ，简称e c c ) 。其安全性 是建立在椭圆曲线离散对数问题( e 1 1 i p t i cc u r v ed i s c r e t el o g a r i t h mp r o b l e m ，简称 e c d l p ) 之上。e c c 不属于任何公司的专利品，因此可以自由发展不受任何国家 的管制，最大优点是在同样的安全性之下所需的密钥长度较其它密码系统如 r s a 短，例如密钥长度为1 6 0 位的e c c ，其安全性即相当于密钥长度为1 0 2 4 位 的r s a ，因此e c c 特别适用在智能卡等运算能力及内存有限的系统上。近年来 椭圆曲线密码系统的相关研究相当受到瞩目，而各种国际标准也先后制订。从安 全性及效率的观点看来，e c c 有着相当重要的前景，是一种可能在近期内某些 方面取代r s a 的密码系统。 2 3 1 椭圆曲线( e l l i p t i cc u r v e ) 椭圆曲线并非椭圆形，因为它具有像计算椭圆周长的三次立方函数因而称 之，通常椭圆曲线指的是满足下列方程式的( x ，y ) 所组成的曲线，其中口，6 ，c ， d 及g 为有理数。 y 2 + 咧+ 砂= x 3 + c x 2 + 出+ p( 2 1 ) 方程中的参数取自域f 上，这里f 可以是有理数域，实数域或有限域。在密码 学中，我们比较关心的是有限域上的椭圆曲线。 1 4 硕士学位论文 2 3 2 有限域内的椭圆曲线 在密码学观点里，我们关心的是在有限域内的椭圆曲线，尤其是取质数p 同 余( m o d p ) 的椭圆曲线群，此外为了计算方便一般都将( 2 1 ) 式简化为下列型式： y 2 = x 3 + 饿+ 6 ( m o d p )( 2 2 ) 其中口、6 为小于p 之正整数且4 口3 + 2 7 6 2 ( m o dp ) o ，以满足椭圆曲线群的封闭 性。通常我们用e 。( 口，6 ) 表示( 2 2 ) 式，且在密码学应用上，我们只对( 0 ，o ) 到仞一l ， p 一1 ) 间满足( 2 2 ) 式的正整数点感兴趣，即正整数点( x ，少) e 。( 口，6 ) ，0 = x ，少 p ，且 满足y 2 = x 3 + 缎+ 6 ( m o dp ) ，而这些点可由下列步骤求出： 1 ) 对每个满足o = x 。 2 群成员注册阶段 假设有新的群成员职要加入此群，群管理员首先替其产生匿名身份码 么皿，并计算该成员的公钥以及私钥如下： q 舡d1 = h i ( 、a i d l 、) ，d a i d i = s q 舡d t o 3 群盲签名产生阶段 与3 2 2 节基于身份的盲签名的产生阶段相同，参考图3 3 ，此时群成员的签 名人b o b 用群管理员所分发的匿名私钥9 佃。来签署文件。 4 群盲签名验证阶段 若要验证匿名成员彳仍占对信息的群盲签名( 尼s ) ，验证者首先计算舍( 尺，s ) 并和占( 尸，p ) 也( 占( 尼，q 以) 以( 霄) 比较，若两者相同，则可确定( r ，鼬确实是某群成 员对信息所产生的群盲签名。 基于身份的群商签名的电了现金方案的研究 5 群盲签名开封阶段 给定任何合法的群签名( 尺，回以及签署成员的匿名身份码么仍，群管理员可 以追查出签署成员的真实身份，因为群管理员知道任何匿名身份码么m ，与群成 员u 的对应关系，此关联是在群成员注册阶段所建立的。 3 2 4 安全性分析 我们提出的群盲签名除满足3 2 2 节的四点安全性外，也满足下列安全性： 1 不可伪造性( u n f o r g e a b i l i t y ) ： 我们假设一拥有文件m 的请求者以正常