（计算机软件与理论专业论文）门限盲签名及其应用.pdf

ab s t r a c t a s t h e p r o g r e s s o f g l o b a l i n f o r m a t i o n a d v a n ced r a p i d l y , t h e s t u d i e s a n d r e a l i z a t i o n s o f e l e c t r o n i c c o m m e r ce c o m e t o b e h o t s p o t s f o r t h e a c a d e m e a n d b u s i n e s s a ll o v e r t h e w o r l d . t h e s e c u r i t y o f e l e c t r o n ic c o m m e r ce i s o n e o f t h e m o s t i m p o rt a n t o b s t a c l e s t o h o l d b a c k i t s d e v e l o p m e n t . ho r d e r t o g u a r a n t e e t h e s e c u r i t y o f t h e e l e c t r o n i c c o m m e r ce t r a n s a c t i o n d a t a a n d s t a t u s a u t h e n t i c a t i o n o f t h e t r a n s a c t i o n , b o t h s i d e s h a s u s e d d i g i ta l s i g n a t u r e t e c h n o l o g y i n t h e c r y p t o l o g y . i n t h e e l e c tr o n i c c o m m e r ce , b e c a u s e t h e m o s t e s s e n t i a l q u e s t i o n i s t h e s e c u r i t y p r o b l e m , o n l y t h e d i g i t a l s i g n a t u r e m a y s o l v e t h e s e c u r i t y p r o b l e m s u c h a s d e n i a l , f o r g e , t a m p e r i n g a n d s o o n . t h u s , t h e d i g i t a l s i g n a t u r e h a s b e c o m e m o r e a n d m o r e i m p o rt a n t . t h i s t h e s i s m a i n l y i n t r o d u ce s p r i n c i p l e a n d s e c u r i t y p e r f o r m a n ce o f t h e b l i n d s i g n a t u r e a l g o r i t h m a n d th e t h r e s h o l d s i g n a t u r e a l g o r i t h m , a n d t h e n i n t r o d u ce s s e v e r a l c o n c r e t e s i g n a t u r e s s c h e m e s a n d a n a l y z e s t h e i r s a f e t y p e r f o r m a n ce. i n t h i s f o u n d a t i o n , w e d e s i g n t h e t h r e s h o l d b l i n d s i g n a t u r e a l g o r i t h m a n d p r o v e a c c u r a c y w i t h m a t h e m a t i c s t h e o ry . t h e n w e a l s o m a k e a n a n a l y s i s o f t h i s s c h e m e s p e r f o r m a n ce. t h e m o s t p r o m i n e n t p e r f o r m a n ce o f t h i s s c h e me i s t h a t i t h a s t h e i n v a s i o n t o l e r a n ce a b i l i ty , w h e n t h e s u b s y s t e m i s d e s t r u c t e d i n s o m e s i t u a t i o n , a s l o n g a s t h e r e a r e m o r e t h a n t h e t h r e s h o l d n u m b e r s u b s y s t e m s w o r k i n g n o r m a ll y , t h e n t h e o v e r a l l s y s t e m c o u l d c o n t i n u e w o r k , t h u s t h is s c h e m e e n h a n c e s t h e o v e r a ll s y s t e m s e c u r i t y p e r f o r m a n ce . f i n a l l y , w e u s e t h i s n e w s i g n a t u r e a l g o r i th m t o d e s 妙 a n e w e l e c t r o n i c c a s h p r o t o c o l . k e y w o r d s : e l e c t r o n i c c o m m e r ce; b l i n d s i g n a t u r e ;s i g n a t u r e ; b l i n d t h r e s h o l d s i g n a t u r e ; n 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、 使用学位论文的 规定，同意如下 各项内 容: 按照学校要求提交学位论文的印刷本和电 子版本;学校有权保存学 位论 文的印 刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存 论 文;学校有权提供目 录检索以及提供本学位论文全文或者部分的阅览服务; 学 校有权按有关规定向国家有关部门或者机构送交论文的 复印件和电 子版;在 不以 赢利为目 的的前提下，学校可以适当复制论文的部分或全部内容用于学术 活动。 学位论文作者签名: 年月日 经指导教师同意，本学位论文属于保密，在年解密后适用本授权书。 指导教师签名:学位论文作者签名: 解密时间: 年月日 各密级的最长保密年限及书写格式规定如下: 内部5 年 ( 最长 5 年，可少于 6 年) 秘密*1 0 年 ( 最长 1 0年，可少于1 0 年) 机密2 0 年 ( 最长 2 0 年，可少于2 0 年) 南开大学学位论文原创性声明 本人郑重声明: 所呈交的学位论文，是本人在导师指导下，进行研究工作 所取 得的成果。除文中已 经注明引用的内容外， 本学位论文的研究成果不包含 任何 他人创作的、己公开发表或者没有公开发表的作品的内 容。 对本论文所涉 及的 研究工作做出贡献的 其他个人和集体， 均己 在文中以明确方式标明。本学 位论 文原创性声明的法律责任由 本人承担。 学位论文作者签名: 年月日 第一章概述 第一章概述 第一节研究背景和现状 随着计算机网络的迅速发展，人们对网络服务的需求日 益增加，电子商务 和电 子政务已经走近日 常生活，网络信息的保密性、完整性和可用性越来越受 到了 前所未有的重视， 解决这些问 题的唯一有效手段就是使用现代密码技术。 密码技术很早就出现了， 人类在几千年前就使用了朴素的 密码技术以 保存、 传递机密的政治、军事信息。这一时期的密码主要靠的是直觉和手工计算，并 没有严格的理论作为基础，因此这时候的密码不是一种技术，而是一种艺术。 直到1 9 4 9 年， s h a n n o n l l 发表了 题为“ 保密系统的 通信理论” 的 论文， 由 此奠定 了信息论的理论基础，从而诞生了一个新学科密码学.由于密码学的应用 一般仅限于政府和军事部门，而且正处于冷战时期，密码学受到了各国政府的 严格限 制， 所以密码学没有公开的广泛的进行交流，当然这方面的 研究也没有 取得多 少 有用的成果。1 9 6 7年， i . a h n 12 1 在其出 版的 破译者 一书中， 对密码 学的 发展 状况进行了 深入详实的总结。 随后， d i ff e 和h e l l m a n l3 】 一起发 表了 题为 “ 密码学的新方向”的论文，最终导致了密码学上的一场革新，一种新的密码 加密体制成生了，该论文首次证明了 无共享密钥的保密通信是可能的， 而在此 之前使用的密码加密体制都属于私钥密码加密体系，即信息的发送方和接收方 使用的都是相同的密钥， 而该密钥需要在信息传递之前，通信双方就共享了密 钥。 随 后， 密码学家r iv e s t . s h a m i r 和a d l e m a n 4 1 设计出了 第 一个实 用的 公 钥密 码体制一 - r s a 。到目 前为止， r s a仍然在广泛的应用，是最受欢迎的公钥密 钥体制之一，只是随着人们计算能力的增加，它的密钥长度比以 前更长了。与 此同时， 美国国家标准局( n b s ) 采纳了i b m公司的密钥加密 算法， 公 布了 美国 数据加 密标准d e s s 1 ， 并很快得到了 许多公司和机构的认同 和使用， 从 而广泛应 用于诸多工商领域。随着计算机软件和硬件的飞速发展和提高，以 及密码学研 究的深入开展，致使 d e s , r s a已经不再是无法破解的了，新的代替算法己经 产生， 他们是高级加密标准a e s 6 1 和基于椭圆曲 线的e c c 7 算法. 密码技术的研究内 容很多，主要包括算法、协议的设计分析和实 现两大方 第一章概述 面。 在算法的设计分析方面，主要研究加解密算法、数字签名算法、 h a s h算法 及伪随机数的生成算法;在协议方面，主要包括认证协议、身份识别协议、知 识证明协议、密钥交换协议、密钥托管协议、电子支付协议等。 信息产业己经成为新的支柱性产业，电子商务、网络银行、电子证券、电 子支付、移动通信和电子选举已 经逐渐走入百姓生活，给互联网带来巨大的发 展商机。国家目 前已 经颁布了电 子商务标准、电子商务法和电 子签名法等相关 法规，有力的保障了 这一新兴产业的快速发展。电子政务的应用是对传统事务 处理流程的改 变，是中国加入世贸组织后转变政府职能、提高政府科学决策和 依法行政的质量和效率、增强政府监管和服务能力的必然要求， 对经济和社会 的发展具有重要的意义。目 前， 我国已 经把发展信息产业作为新的经济增长点， 已经初步建成了电子政务、电子选举、网络银行、电 子证券等系统，取得了良 好的经济效益和社会效益。然而，这些系统给我们带来无限商机的同时，也出 现了新形式的网络犯罪并呈上升趋势，直接影响了网络经济的健康、可持久发 展。如何在开放的网络环境中，解决安全问题、避免犯罪，实现信息的保密性、 完整性、不可伪造性、认证性、可用性、可控性和不可否认性成为了人们关注 的焦点问题。 目 前，信息安全问题己 经成为我们迫切需要研究并解决的热点和难点问题。 而密码技术则是电子政务、电子商务、电子银行、电子证券、电子支付、身份 认证等的核心技术，由 于目 前密码技术仍不完善，存在许多有待进一步解决的 安全问题，而且，随着网络应用范围的逐渐扩大，各种特殊安全需求的出现， 使密码学的研究和应用无疑是越来越具有重要的意义。 第二节数字签名的研究现状及分类 随着现代加解密技术的发展，用户对电子商务和电子政务的依赖性越来越 大。为了方便用户安全，放心地使用这些应用，从而出现了数字签名，它可以 对文件进行签名，效果和手写签名一样，数字签名与文件内容相关，而且除非 得到签名者的签名密钥，否则数字签名是无法伪造的，所以它能为电子文件提 供合法有效的安全保证。数字签名技术的基础是公开密钥密码学，是现代密码 学的 主要研究 领域之一。 数字签名主要有以 下的 特性8 1 . 不可伪造性:只有合法签名人能够生成签名，其他人不能伪造签名。 第一章概述 不可重用性: 签名是文件的一部分， 不能 将签名剪切粘贴到其他文件。 消息完整性:文件签名以后，就不能再更改了。 不可抵赖性:签名人不能否认对文件的签名。 数字签名方案一般包括三个主要过程:系统初始化过程、签名的产生过程 和签名的验证过程。系统的初始化过程产生数字签名方案需要用到的一切参数: 签名的产生过程由 签名人利用给定的签名算法对消息进行签名;签名的验证过 程由签名验证者利用公开的验证算法对给定消息的签名进行验证，证实签名的 合法有效性。 根据数字签名方案所基于的数学难题，可以将数字签名方案分为基于离散 对数问 题的 签名方 案 和基于大整数分解问 题的 签名方案。 e i g a m a l 9 1 数字签名方 案和d s a数字签名方案都是基于离散对数问题的数字签名方案，而众所周知的 r s a数字签名方案和 r a b i n l a 1 签名方案则 是基于大整数分解问 题的数字签 名方 案。本文将详细介绍基于大整数分解的数字签名方案，并提出相应的门限 盲签 名方案，另外， 根据所产生的签名者与签名对象的数量情况，可将数字签名方 案 1 1 11 2 1 分为 面向 单 个 用户的 数字 签名方 案和 面向 群 体的 数字签名方案。 大多 数 的数字签名是面向 单个用户的签名方案即一个签名者对应一个签名对象。而面 向群体的数字签名方案所代表的是多个用户的签名方案即多对多的对应关系， 包括多重数字签名，群签名，门限签名等，面向 群体的门限数字签名正是我们 研究的重点。 在数字签名的 应用中，由于应用环境不同， 需求也就不同，从而产生了 一 些具有特殊性质的数字签名，包括群签名、盲签名、代理签名、门限签名等。 c h a u m和h e y s t 1 3 1在1 9 9 1 年 首 次 提出 了 群 签 名 的 概 念。 在群 签 名 方 案中 ， 一个群中的任意一个成员可以 用匿名的方式代表整个群体对消息进行签名，但 是当发生纠纷时， 一个指定的群管理员可以 确定签名者的具体身份。群签名在 电 子选举、电 子拍卖、电子现金中有着极其重要的 应用，早期的群签名效率都 非常低，这是因为群公钥和群签名的长度随着群成员的增加而迅速增大。 s t a d l e r 1 4 1在1 9 9 7 年 提 出 了 一 个高 效的 群 签 名 方 案 ， 该 方 案的 群公 钥 和 群 签 名的 长度与群成员的人数无关，从此以后，群签名技术得到了极大的发展。 c h a mp s )在1 9 8 2 年首次提出 了 盲 签 名的 概 念。 在盲签 名中， 签名者 在 不知 道消息内容的情况下对消息进行签名，当消息泄漏后，签名者也不能追踪签名， 因此， 盲签名在电子现金中有着重要应用。 c h a u m提出的盲签名方案是基于r s a 第一章概述 算法的， 此后， 相应的 基于离散对数的 盲签名方案【 1 6 也产生了。 普通 盲签名方 案由 于签名者对消息完全无法追踪，因而不利于保护签名者的利益， 更容易被 不法分子利用进行敲诈、洗黑钱等不法行为，政府和银行业正在致力于研发可 追踪的 盲签名方案，然而这样却会伤害到普通用户的合法权利，侵犯个人隐私， 自由主义者和广大用户普遍持反对态度。 m a m h o 1 1 7 j 等人在1 9 9 6 年首先提出了 代理签名方案， 利用代理签 名方案， 一 个被称为原始签名人的用户，可以将他的数字签名的权力委托给另外一个被称 为代理签名人的用户，代理签名人代表原始签名人行使数字签名的权利。目 前 绝大多数代理签名都是基于离散对数的，基于大整数分解的 代理签名目 前还没 有很好的方案，已 有的方案或多或少存在一些瑕疵，是目 前研究的重点.代理 签名体制的一个很好的应用是为用户自己 生成代理签名密钥， 使用户可以 长期 有效的 保护自己的私钥， 避免过多的使用私钥，当 代理签名密钥使用一段时间 后， 可以再重新生成新的代理签名密钥， 从而取代旧的代理签名密钥。 s c h n o 日 z 在1 9 9 3 年以s c h n o r r 签名为基础提出了 一个门限 签名方案，由于 只 需 要 计 算 秘 密的 线 性 组 合， 因 此 性 能 较 好. s h o u p 1 9l 在1 9 9 9 年 首 先 提出 了 基 于l a g r a n g e 插值公 式的门 限 签名 方案， 在 ( t , n ) 门限 签名 方案中 ， 群体的 签名 密钥被所有n 个成员共享， 使得任意不少于t 个成员组成的子集能够代表整个群 体进行签名， 而少于t 个成员则不能产生这个群体的签名，门限 签名具有门限秘 密共享体制的所有特点。 第三节论文的主要工作和章节安排 作者主要对目 前数字签名的安全性分析和方案设计进行了 初步的研究，对 盲签名和门限签名进行了深刻的研究和探讨，围绕着目 前在数字签名领域中最 新的一些热点问题，阐述了 作者所提出的新型的数字签名方案门限盲签名 方案，随后设计分析了 其在网络中的应用实例，较全面地概括了 作者在四年多 来所做的工作及取得的成绩。论文的组织结构如下: 第一章概括介绍了密码学的背景和现状，介绍了数字签名理论和网络应用 现状，最后，介绍了 本文的研究内 容和作者的主要贡献和创新之处以 及论文的 组织结构。 第一章概述 第二章介绍了 盲签名的定义以及两个经典的盲签名方案:c h a u m盲签名方 案 ( 盲r s a方案) 和s c h n o r r 盲签名方案， 详细阐述了这两个签名方案的设计 原理和盲化过程，并对其性能进行了分析。 第三章介绍了门 限 签名的定义、门限 签名的 安全需求， 并详细介绍 s h o u p 的门限r s a签名方案的设计原理和盲化过程，并对其性能进行了分析。 第四章根据前两章介绍的签名方法， 把门限签名，盲签名组合起来，作者 提出了一种基于r s a签名算法的新型的组合签名方法门限盲签名方案，该 方案在不降低安全性能的情况下，同时满足门限 签名和盲签名的 特性，使系统 增加了入侵容忍的能力，因而可以为现有的电子商务和电 子政务的应用提供更 好的安全特性，具有一定的商业价值。 第五章根据新设计出的门限盲签名方案，介绍如何将它应用在电子现金系 统中， 从而满足入侵容忍的 特性，并对该方案和现有电 子现金方案进行了比 较。 第六章总结和展望。 第二章 盲签名体制 第二章盲签名体制 第一节盲签名的定义 盲 签名 ( b l in d s i g n a t u r e ) 的 概 念 最 早 是由c h a u m l9 于1 9 8 2 年 提出 的。 顾 名 思 义，就是要求签名者在不知道文件内容的情况下对文件进行签名，不仅如此， 它还要求签名者在事后即使看到某个消息m以及自己对该消息的合法签名 s i g ( m ) ，也不能判断出自 己 是 在何时、 何地、为何人进行的 签名，尽管此时他 能够验证该签名的合法性。c h a u m用一个形象的示例说明了盲签名:首先， 把 待签名文件放入一个带有复写纸的信封中 ( 盲化)密封。然后，签名人直接在 信封上签名，该签名透过复写纸复写到里面的文件上。签名过程中，签名者不 能打开信封，因而签名者无法知道所签文件的具体内容是什么。签名完成后， 文件持有人打开信封 ( 脱盲) ，取出己 签名的文件。对于该文件，签名者可以认 出自己的签名，即验证签名的合法性，但他不能在签名和文件间建立联系，即 盲签名是一种具有下面两种特性的数字签名方案: ( 1 ) 盲性: 消 息的 内 容 对 签名 者 来说 是不 可见的 。 ( 2 ) 不可链接性: 签名者事后不能将 签名与盲消息联系 起来。 盲签名的 这种 特性能满足许多电 子商务和电 子政务的保密需求，即在认证的同时不泄漏内 容， 因此，在电 子合同、电子遗嘱的公证，电子货币 和电子投票等系统中得到很好 的应用。 第二节盲签名的发展状况及研究意义 自c h a u m提出盲签名的概念以 来， 盲签名便因其潜在的商业应用价值而得 到密码学界的 广泛关注， 相应的 各种体制的 盲签名120 1 2 8 2 2 1 2 3 1 如r s a盲签名、 e l g a m a l 盲签名、 s c h n o r r 盲签名等相继产生。盲签名在其发展过程中，大致经 历了两个阶段: 第一个阶段是从 1 9 8 2年到 1 9 %年，这一阶段的工作主要集中在盲签名方 第二章盲签名体制 案的研究上， 产生了 许多安全性能良 好的盲签名。 第二个阶段是从1 9 9 6 年至今， 主要是研究盲签名如何更好的在电子商务和电子政务中发挥作用，为用户提供 更加安全、快捷的网 络服务。 随着网络经济时 代的 到来，电子商务己 逐步从理论阶段走向了广大用户的 使用推广阶段，使传统的 经济模式发生了重大转变。电 子商务与传统经济模式 的根本不同在于用户和商家之间通过网络进行交易， 交易双方不用见面，因此， 这种方式可以降低交易的 成本，拓宽交易的范围， 提高交易的效率，是一种互 惠互利的方式。目前，电 子商务在全国各地己 经陆续开展， 逐步崭露头角， 但 是与传统经济模式相比， 它占的比重还是相对很小的，相当多的商家和用户仍 持谨慎观望态度，他们的主要顾虑是交易的安全性。由于交易是在双方不见面 的情况下进行，因而如何识别双方的合法身份，保护交易数据安全传输等一系 列的安全问 题，成为电 子商务能否被广大用户认可的关键性的问题。电子商务 的安全性是通过以 密码学为基础的算法和协议来保障的， 盲签名算法是实现电 子商务的关键技术。盲签名由于它的盲性在电子商务和电 子政务中有着广泛的 应用前景， 而且必将有更多的领域会使用盲签名技术，同时这也会促进盲签名 技术的进一步发展。 第三节盲签名的分类 到目 前为止，已 经提出了 许多种不同的盲签名，包括盲消息签名、盲参数 签名、弱盲签名和强盲签名等，但是这些方案是按不同的标准划分的，因此它 们之间存在重复性， 为了 更加系统的了 解盲签名，下面，作者将较详细的对盲 签名进行划分: 1 .按照不同的盲化对象划分可以分为盲消息签名方案和签名被盲化方案: 盲消息签名方案就是仅对待签名的消息m进行盲化。 在盲消息签名方案中， 签名者对盲消息m签名， 并不知道真实消息抓的具体内 容。这类签名的特征是 s ig ( m ) - s ig ( m ) 或s ig ( m ) 包 括s ig ( m ， 中的 部 分 数 据。 盲 消 息 签 名 方案 一 般 用 于 构造电子货币 支付系统和电 子选举系统。 盲参数签名方案就是签名被盲化方案， 签名者知道所签消息m的具体内容， 消息拥有者仅对签名s i g ( m ) 进行了盲化，即改变s ig ( m ， 而得到新的签名 第二章盲签名体制 s i g ( m ) ， 但又不影响 对新签名的 验证. 盲参 数签名的 这些性质可以 用于电 子商 务系统中， c a中心为 交易双方颁发口 令， 另外， 利用盲参数签名方案还可以 构 造代理签名机制中的原始签名人和代理签名人之间的授权方式，以 用于多层c a 机制中证书的签发和验证。 2 .按照消息拥有者对签名人是否可以追踪划分可以分为弱盲签名和强盲签名: 弱盲 签名是指在签 名方案中， 消息 拥有者对消息m和签名s i g ( m ， 进行了 盲 化。 若 签名 者 保留s ig ( m ) 及 有关 数据， 待m 公 开 后， 签名 者 可以 找出 s ig ( m ) 和 s i g ( m ， 之间 的内 在联 系， 从而达到 对消息 m 拥有者的 追踪。 强 盲签名是指 在签名方案中， 消息拥有者 对消 息m和签 名s ig ( m ， 进行了 盲 化。 即 使 签 名 者 保留s ig ( m ， 及 其它 有关数 据， 仍 难以 找出s ig ( m ) 和s ig ( m ) 之间 的内在联系，不可能对消息m的拥有者进行追踪。在电子支付系统和电子投票 系统中， 为了 保障用户和投票者的匿名性及保密性，往往都采用强盲签名技术。 3 .按照签名人数的多少可划分为简单盲签名和多重 ( 群)盲签名: 如果签名人为一个人，则这时的签名就是普通的盲签名;如果签名人为一 群人， 则这时的签名就是多重 ( 群) 盲签名，该类签名方案必须经过多人同时 盲签名才可以生效。 4 .按照签名人是否接受别人的代理可划分为简单盲签名和代理盲签名: 如果签名人不受别人委托，这时的签名就是普通的盲签名;如果原始签名 人委托代理签名人行使其签名权，则这时的签名就称为代理盲签名。 第四节r s a的盲签名方案 c h a u n 。 盲签名方案是第一个盲签名方案， 它是以r s a数字签名方案为基础 而开发出 来的。 下面， 作者首先介绍r s a数字签名方案， 然后再介绍基于r s a 的盲数字签名方案。 第二章 盲签名体制 2 .4 . 1 原始r s a数字签名 d i ff i 。 和h e l l m a n i 于1 9 7 6 年首 先提出 公钥密码 机制的 理论设想， 此后的 两 年， m i t 的r o n a l d r iv is t . a d i s h a m ir 和l a n a d le m a r 0 l 提出 了 第一 个公 钥密 码 算法， 简称为r s a算法， r s a在目 前仍就是使用最广泛的一种公钥密码体系， 它的 基础是数论的欧拉定理，它的安全性倚赖于大整数的因数分解的困难性， 以 下是r s a数字签名算法的步骤: 取 两 个 素 数p 和 4 降密 ) ; 计 算 n - p r ( 公 开 ) ， q, ( n ) - ( p - 1 x 4 - 1 ) 降密 ) ; 3 .随 机 选 取整数e ， 满 足1 n ( n 为门限 成员总数) ，计算私钥d ，使得满足: d e 一 1 mo d m ( 4 . 2 ) 3 .随机选取次数为t - 1 的多项式: f (x ) - 叉 几 a ,x f ， 其 中 a 。 一 d ， a , e z , ( - , 2 ,.,n ) ( 4 .3 ) 4 .计算如下的d , ， 并将d , 秘密发 送给成 员u , : d , 一 f ( i ) l n !( m o d m) ( 4 .4 ) 5 。选择几的 生 成 元v 和j a c o b i 符 号 为 一 1 的u ， 并计 算 v , - v m o d n e l n ( i - 1 , 2 , k, n ) ( 4 . 5 ) 第四章门限盲签名体制 b 。公 开 n , e , n !, u , v ,v , ( i - 1 , 2 , ., n ) , h ( x ) , h ( x ) 为 无 冲 突的 哈 希函 数. 部 分 盲 签 名的 生 成 及 验 证 阶 段， 假 设b o b 希 望 得 到 成 员u , 对 其 消 息m e s s a g e 的盲签名， 执行如下操作: 1 .设。 - h 伽e s s a g e ) ， b o b 随 机 选 择 盲 因 子; 乓孔， 并 计 算 盲 消 息: m o 一 m r ( m o d n ) ( 4 .6 ) 其中n来自 于可 信中 心公 布的 参数， 然后发送给所有的u , ; 2 .然后u ; 计 算: m, . n . , x- j ( m s i n ) - 1 m o u , , x- j ( m o i n ) - - 1 ( 4 . 7 ) 这样， 我 们总能 得出 j 帆! 刃- 1 ， 于 是认可 计 算部分 签名; s , 一 d ; 2 d , m o d n ( 4 . 8 ) b o b 可以 用文【 1 9 1 中 提到的 协议判断: lo g , v , 一 lo g , , s , ( 4 .9 ) 是否成立，来证明部分盲签名密钥是否真实有效。_ 门 限 盲 签 名的 生 成及 验 证 阶 段 ， 如 果 有t 个 成 员u , 都 产生了 正 确的 部 分 签 名 s , ， 则门 限盲 签名s 可由 下 式 计算出 来: w - u s m o d n (- m , m o d n ) s - w 衅m o d n ( - m , m o d n ) ( 4 . 1 0 ) 其中 整 数 a . , 定 义 为 : a . , 一 ” !c a e z , c b 一 n,. , .,x , / (x , - x , ) m o d m ( 4 . 1 1 ) 而a , b 是使下式成立的整数 第四章门限盲签名体制 4 a+e b-1 mo dn( 4 . 1 2 ) 盲签名接收者b o b 可以验证: s ， 一 n ; m o d n ( 4 . 1 3 ) 是否成立，