基于身份数字签名方案的研究.doc

中南大学硕士学位论文基于身份数字签名方案的研究姓名：陈玲玲申请学位级别：硕士专业：应用数学导教师：亢保元20081001关键词信息安全，密码学，基于身份的数字签名，代理签名，盲签 名ABSTRACTInformation society is being pushed onto a new advanced level by computer network and communication technologies, which have made great effects on government, military affairs, culture education, and finance, etc. In a large number of network storage and transmission of data in need of protection, such as personal medical records, credit card account numbers, passwords landing network, or corporate strategy report, forecast sales, technical details Canbing, research, personnel files, and so on. These data may be stolen, exposed, tampering and forgery in the proess of storage and transmission.As the network environment and network information resources to deepen the growing dependence. Information has become an important resource in our society, information security is one of the rising subjects in information science and its core of technology is cryptology. In cryptological area, public-key cryptosystem because of its unmatched advantages compared with the traditional cryptoystem, especially in key management, is playing an increasingly important role.As a new branch of public-key cryptosystem, digital signature is a key technology of the secure B2B(Business to Business)and government affair in recent years.Digital signature, which can provide authentication, integrity and non-repudiation, is a key technique of information security. Compared with the Certificated Authority based (CA-based) cryptography, Identity-based (ID-based) signature can simplify the key management procedure from the view point of the efficiency and convenience. Identity based signature using pairing technology on elliptical curves has become one of the pop research problems.The main research of this thesis for identity-based signature in public-key cryptography includes identity-based proxy signature, blind signature, proxy blind signature and so on. The main contributions are as follows:1. Discuss two classic ID-based signature schemes in detail. And compare their computation efficiency. Present the security proof for ID-based signature. Point out Some open problems in ID-based signature.2. Discuss one ID-based signature scheme without trusted PrivateKey Generator (PKG) which was proposed resently, analysis it effective and security. The author introduces the concept of proxy signature and blind signature into Identity-Based encryption system. Then the author proposed two new efficient identity-based signature schemes:proxy signature and blind signature without a trusted party by using the bilinear pairing defined on DifFie-Hellman problems and Discrete Logarithm problem. After detailedly discussing on its arithmetic security and efficiency, these new schemes were proved to be strong unforgettable and undeniable with comparison with other schemes-3. Analyzes a scheme proposed by LeesID-Based Proxy Blind Signature Scheme，it pointed out the the existence of security flaws and improved.Furtuer,the author propose a new scheme which can satisfy all security for proxy blind signatures requirements,this paper proves that the safety scheme more efficient than the existing ones.KEY WORDS information security, cryotography, identity-based digtital signature, proxy signature, blind signatureIII硕士学位论文符号说明符号说明文中所涉及到的符号定义如下：G,：阶为大素数g的由P生成的加法循环群，通常取为有限域尸,中的椭圆曲线 上有理点群的一个加法子群；G, ：阶为大素数g的乘法循环群，通常取为有限域Fg中的椭圆曲线上有理点群 的一个乘法子群；P. PeG|为Gi的生成元； e：的双线性映射；/,. /”仏、仏、仏均为强无碰撞的哈希函数，它们的定义分别如下-/, ： 0,1xG,-Z； JI, ： 0,1xG,G,；H, ：0,1 -G,；s： seZ；,系统主密钢，系统中所有用户的私明均由它生成； 系统公销；Alice(简称A)的私钥，是密钢生成中心PKG根据申请人A的身份生成， = sQ丨Da，其中= H肌)为A的公朗； S丨Db: Bob(简称B)的私钢，是密钢生成中心PKG根据申请人B的身份/)/主成，S丨Db = sQ,其中2叫=为B的公钢； m,-.原始签名人制定的代理授权证书，详细描述了代理的诸多事宜，如原始签 名人和代理签名人的身份，代理签名人的代理期限，代理签名文件的范围 等。表示双线性映射中的对操作； P：表示上的标量乘； A,.表示G,上的点加操作； Mfi.表示G2上的乘操作；表示上的指数运算； /,：表示哈希函数运算。原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的成果。尽我所知，除论文中特别加以标注和致谢的地方外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其 他单位的学位或证明而使用过的材料。与我共同工作的同志对本研究所作 的贡献已在论文的致谢语中作了明确的说明。作纖fe. 日期:J8-年j丨月关于学位论文使用授权说明本人了解中南大学有关保留、使用学位论文的规定，即：学校有权保 留学位论文，允许学位论文被查阅；学校可以公布学位论文的全部或部分 内容，可以采用复印、缩印或其他手段保存学位论文；学校可根据国家或 湖南省有关部门规定送交学位论文。作體名：jly导师签名：“叛日期:/月J硕士学位论文第一章绪论第一章绪论本章主要介绍密码学以及数字签名的相关术语、发展史、研究现状、发展趋 势，最后介绍了本文的主要工作，以及本文的内容安排。1.1密码学概述1.1.1信息安全的重要性随着计算机和通信技术的发展，网络已经成为全球信息基础设施的主要组成 部分。它为人们交换信息，促进科学、技术、文化、教育、生产的发展，对现代 人类的生活质量的提高都带来了深刻的影响。同时，网络作为一把双刃剑，在推 动人类进步的同时，也给保障国家安全带来了极大的挑战。由于网络的发展具有 全球性、开放性、无缝链接性、共享性及动态性，任何人都可以方便地接入，其 中不乏一些具有恶意的用户。因此，信息安全已成为当前网络发展与应用中亟待 解决的问题之一。信息安全反映的是信息系统对于因系统故障、人为失误、恶意破坏以及各种 自然灾害而引起正常业务中断的抵抗能力，它包括以下五方面的内容：机密性（Confidentiality):是指信息的拥有者有权保持数据的秘密性，只 有得到授权的用户才可以获得该信息。机密性是信息安全的重要方面，在一般的 系统安全控制措施中，通常采用口令设置、身份验证、存取控制、数据加密等技 术满足信息的机密性要求。完整性（Integrity):是指程序和数据的存在状态应该与它们原来的存在 状态相同，信息不能被非法修改，无论这种修改是偶然无意还是蓄谋恶意的。完 整性反映了信息的精确度与可靠性。可用性（Availability):是保证信息及信息系统确实可随时为经授权的主 体所用（对信息进行访问或操作）而不受到干扰或阻碍。解决可用性问题可通过 提高信息系统的准确性、双机备份、加强系统管理，阻止非法操作等措施和方法 来实现。可控性（Controllability):是指网络信息的信息流流向、信息传播和信息 内容等具有控制能力的特性。比如，系统资源的访问是可以梓制的，网络用户的身份可以进行身份验证，用户活动记录是可以审计的。不可抵赖性（Non-Repudiation)是指用户不能否认自己的行为。这点对 于政府或仲裁机构监管信息系统保证信息安全有很重要的作用。概括地说，信息安全就是指通过计算机技术、网络技术、密码技术和网络安 全技术等保护网络信息在传输、交换和存储过程中的机密性、完整性、可用性、 可控性、不可抵赖性等。1.1. 2密码学的基本概念密码学（Crypto丨ogy) 12】以认识密码变换的本质、研究密码保密与破译的基 本规律为对象，主要以可靠的数学方法和理论为基础，对解决信息安全中的机密 性、数据完整性，认证和身份识别、信息的可控性，以及不可抵赖性等提供系统 的理论方法和技术。密码学包括两个分支：密码编码学（Cryptography)和密码 分析学(Cryotanalysis)。密码编码学是对信息进行编码实现信息隐藏的一门学科， 主要研究实现信息保密和认证的方法和技术。密码分析学是研究如何破译密码的 一门学科，主要目的是研究密文的破译和消息的伪造。密码学是在编码与破译的矛盾斗争中发展起来的，并随着计算机等先进科学 技术的发展与应用，已成为一门综合性、交叉性的学科。它与语言学、数学、电 子学、信息论、计算机科学等有着广泛而密切的联系。1.1. 3密码体制分类密码体制（Cryptosystem): 个密码体制或密码系统是指由明文（空间）、 密文（空间）、密锡（空间）、加密算法以及解密算法组成的一个五元集合体。密码体制从原理上可分为单明密码体制（Onekeycryptosystem)与双明密码 体制(Doublekeycryptosystem)两类。单钢密码体制对明文的消息加密有两种方式：一是明文消息按字符（如二元 数字）逐位地加密，称之为流密码；另一种是将明文消息分组（含有多个字符)， 逐位地进行加密，称之为分组密码。单钥体制不仅可用于数据加密，也可用于消 息的认证。在单钥密码体制中，使用的密销必须完全保密，且加密密钢与解密密钢相同， 或从加密密钥可推出解密密明，反之亦可。所以，单钥密码体制又称为秘密密销 密码体制（Secret key cryptosystem) 传统密码体制（Traditional cryptosystem) 或对称密码体制（Symmetric cryptosystem)。典型的单钢密码体制有：DES。三 重 DES、AES、IDEA、Blowfish 等。在双销密码体制中。每个使用密码体制的主体（个人、团体或某系统）均有 一对密钢：一个可公开，称为公钢；另一个密钥则必须保密，称为私钩，且不能 从公钥推出私钢（或者说从公钢推出私f月在计算上是困难的)所以双钢密码体 制又称为公明密码体制或非对称密码体制（Asymmetric cryptosystem),公钢密码体制（Public key cryptosystem)的显著特点是有两个本质上完全不 同的密纟月，任何人均可以向持有私朗的人发送秘密信息，即利用私朗持有人的相 应公钥对信息加密后通过公开信道发送给私钢持有人。而只有私钢持有人才可用 他的私钢解密接收到的加密信息。如果私朗持有人用他的私明对信息进行加密，那么任何人都可用他相应的公 钢来解密经私钢持有人加密后的信息，据此任何人可验证该信息确实来自相应的 私明持有人，其他人则无法实现这种“加密”，这就是数字签名算法的基本原理。 传统密码体制只可用来对信息进行加密，保障信息的机密性。而公钢密码体 制不仅可用来对信息进行加密，还可对信息进行数字签名。在公销加密算法中， 任何人可用信息接收者的公明对信息进行加密，信息接受者则用他的私钢进行解 密。而在数字签名算法中，签名者则用他的私朗对信息进行签名，任何人可用他 的公明验证其签名。因此，公明密码体制不仅可保障信息的机密性，还具有抗抵 赖性以及身份识别的功能。自从公朗密码学问世以来，学者们提出了许多公钢密码体制，它们的安全性 都是基于复杂的数学难题。下面介绍两个著名的公朗密码体制。一、RSA密码体制RSA是由R. Rivest、A. Shamir及L. Adleman在1977年共同发明的，其安全性是建立在大整数因子分解困难性基础上的。RSA密码体制设 = pg，；和9是素数。令明文空间和密文空间分别是P 和 C，= C = Z 定义密钥空间 /： = n,p,q,d,e) ： de = lmod(/j)。对 K = n,p,q,d,e),定义加密变换=, JceZ和解密变换k () = mod yeZo 公开、 e ,保密；？、 q , d。RSA的安全性是基于大整数的素因子分解的困难性。如果密码分析者能在多 项式时间内从用户的公钢力求出P和那么RSA系统将是不安全的。尽 管目前大整数的素数分解仍然是一个困难性问题，但由于计算能力的不断强大及 大整数因子分解方法的不断提高与改进，以前被认为相对安全的密销已在越來越 短的时间内被破解。如1994年4月，采用二次蹄法在网络上通过分布式计算， 用8个月时间破解了 RSA-129 (即密明长度为129为十进制，约420比特位）。 1996年4月，利用广义数域蹄选法破解了 RSA-130:1999年8月利用推广的数域蹄选法破解了 RSA-155(约512比特的密钢)。所以当前应用RSA密码体制一般 建议采用1024比特至2048比特的密钢。 二、ElGama丨密码体制ElGamal公钢密码体制是1985年7月由Taher ElGamal发明的，它是建立在解有限乘法群上的离散对数问题的困难性基础之上的一种公钢密码体制。该密码 体制至今认被认为是一个安全性较好的公明密码体制，目前被广泛应用于许多密 码协议中。ElGamal密码体制设/是一个素数，且离散对数问题（DLP)在Z丨上是 难解的，aeZ;是一个本原元，令明文空间尸=Z丨，密文空间C = Z丨xZ丨，定义 密明空间/： = (/，a,；): /? = a。mod/?。P，ct，公开，保密。对 /： = (/7，0：，口，釣和一个秘密的随机数走2/_,，定义6(1，幻=02)，其中 y, =amodp y = xfi modp。对少丨，jzeZ，定义解密算法 (Vi，)=Cvrmod p。易知，对每一个固定的e K ,对一切少,，少2 e ， 有 dK(e“x，k) = x 0在使用ElGamal密码体制时，所有成员可以选取同样的素数p和生成元g， 此时；？和g不必作为公幵密朗的一部分而发布，这可减小公明的长度。使用固 定g则可以通过预计算来加快取幂运算。然而使用共同系统参数的一个潜在的 缺点是必须保证模足够大。ElGamal密码体制的一个缺点是“消息扩展”， 即密文长度是所对应明文长度的两倍。自从非对称密码学诞生以来，人们提出了各种各样的非对称密码算法。除 了上述两种算法外，还有Rabin算法、McEliece算法、Merkle-Hellman背包算 法13】、椭圆曲线密码体制、有限自动机算法等。1.1.4密码体制的攻击类型密码体制的攻击，即密码分析法，可分为4种基本类型，表1-1列举了攻击 者对密码体制的这4种攻击类型，类型的划分由攻击者可获取的信息量决定。其 中，最困难的攻击类型是唯密文攻击，这种攻击的手段一般是穷搜索法，即对截 获的密文依次用所有可能的密胡试译，直到得到有意义的明文。只要有足够多的 计算时间和存储容量，原则上穷搜索法总是可以成功的。但实际中，任何一种能 保障安全要求的实用密码都会设计得使这一方法在实际上是不可行的。敌手因此 还需对密文进行统计测试分析，为此需要知道被加密的明文的类型，比如英文文 本，法文文本、MD-DOS执行文件、Java源列表等。如果在一个密码体制中，密码破译者无论知道多少密文以及采用何种方法都 不能得到任何关于明文或密文的信息，则称其为无条件安全的（Unconditioned硕士学位论文第一章绪论攻击类型加密算法 截获的部分密文secure)密码体制。Shannon证明了只有一次一密，即密销至少和明文一样长时， 才能达到无条件安全。然而，无条件安全的密码体制会给密钢管理带来非常大的 压力，所以这样的密码体制一般是不实际的。具有实际应用意义的密码体制是指 在密码破译者利用现有的有限资源在预定时间内不可破解的密码体制，这样的密 码体制称为计算上安全的（Computationally secure)密码体制。表1-1对密码体制的攻击类型攻击者掌握的内容唯密文攻击 (Ciphertext only attack) 已知明文攻击 (Know-plaintext attack) 加密算法 截获的部分密文 一个或多个明文密文对 选择明文攻击 (Chosen-plaintext attack) 加密算法 截获的部分密文自己选择的明文消息以及由密钢产生的相应密文 选择密文攻击 (Chosen-ciphertext attack) 加密算法 截获的部分密文自己选择的密文消息以及相应的被破解的明文 1.1. 5密码学与信息安全的关系保障信息安全的核心技术是密码技术。信息安全是密码学研究与发展的目 的。保证（数字）信息机密性的最有效方法是使用密码算法对其进行加密。保证 信息完整性的有效方法主要有两种技术：一种是使用密码技术或密码函数对信息 进行完整性检验；另一种是使用密码算法对信息进行数字签名，即数字签名技术。 数字签名技术也是实现信息不可抵赖性的主要手段。1.2数字签名概述1.2.1数字签名的研究背景、功能随着社会的信息化发展，越来越多的文件书信需要以数据串的形式通过网络快速传递，这些数据串的來源和完整性都需要认证，而且这些认证常常需要在以 后的一段时期内多次重复，这就需要手写签名的电子替代物一数字签名 (Digital Signature)0一般來说，网络世界的真实性要比现实世界的真实性更难于保证，因此对数 字签名的需求就显得更加迫切。数字签名由公钢密码发展而来，是提供认证性、 完整性和不可否认性的重要技术。在电子商务活动日益盛行的今天，数字签名技 术已受到人们的广泛关注和认可，各国对数字签名（又可称为电子签名）的使用 已颁布了相应的法案，如美国国会在2000年6月通过电子签名全球与国内贸 易法案。按该项法案规定，电子签名将与普通合同签字在法庭上具有同等的法 律效力。韩国早在1999年就颁布了电子商务基本法”和一项使数字签名合法化 的法案。、其次新加坡、日本、欧盟等电子商务开展的较早的国家和地区也都相 继通过法案赋予数字签名法律效力，2004年8月，第十届全国人大常委会通过 了中华人民共和国电子签名法，该法已于2005年4月起施行，它将对我国电 子商务，电子政务的发展起到及极其重要的促进作用。归纳起来，数字签名技术可以解决伪造、篡改、冒充、抵赖等问题，其功能 表现为以下几方面：机密性数字签名中报文不要求加密，但在网络传输中，可以将报文信 息用接受方的公钢进行加密，以保证信息的机密性。完整性数字签名与原始文件或其摘要一起发送给接受者，一旦信息被 篡改，接受者可通过计算摘要和验证签名来判断该文件无效，从而保证了数据的 完整性。身份认证在数字签名中，用户的公明是其身份的标志，当使用私明签 名时，如果接受方或验证方用其公胡进行验证并获通过，那么可以肯定签名人就 是拥有相应私销的那个人。身份认证包括通信实体认证和数据源认证。防伪造除签名人外，任何其他人不可能伪造消息的签名，因为签名密 明即私f月只有签名者自己知道，其他人不可能构造出正确的签名数据。防抵赖数字签名既可作为身份认证的依据，也可作为签名者签名操作 的证据，防止抵赖。要防止接收者的抵赖，可以在数字签名系统中要求接收者返 回一个自己签名的表示收到的报文，给发送者或受信任第三方。如果接收者不返 回任何信息，此次通信可终止或重新开始，签名方也没有任何损失，由此双方均 不可抵赖。防重放攻击如在电子商务中，公司A向公司B发送了一份商品订单， 如果有攻击者中途截获订单并发送多份给公司B，这样会导致公司B以为公司 A订购了多批商品。在数字签名中，通常采用了对签名报文加盖时间戳或添加处理流水号等技术，可以防止这种重放攻击。1.2.2数字签名应满足的要求数字签名是手写签名的数字化形式，类似于手写签名，数字签名应具有具有 以下性质14】：1、能够验证签名产生者的身份，以及产生签名的日期和时间。2、能用于证实被签消息的内容。3、数字签名可由第三方验证，从而能解决通信双方的争执。由此可见，数字签名具有认证功能。为实现上述3个条件，数字签名应满足 以下要求：1、签名的产生必须使用发送方独有的一些信息以防伪造和否认。2、签名的产生应较为容易。3、签名的识别和验证应较为容易。4、对已知的数字签名构造一新的消息或对已知的消息构造一假冒的数字签 名在计算上都是不可行的。数字签名与手书签名的区别在于，手书签名是模拟的，且因人而异。数字签 名是0和1的数字串，因人和消息而异。数字签名和消息认证的区别在于，消息 认证使收方能验证消息发送者及所发消息内容是否被篡改过，当收发者之间没有 厉害冲突时，这对于防止第三者的破坏来说足够了，但当收者和发者之间有厉害 冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此时须借助满足前述 要求的数字签名技术。安全的数字签名实现的条件：发方必须向收方提供足够的非保密信息，以便 使其能验证消息的签名；但又不能泄露用于产生签名的机密信息，以防止他人伪 造签名。此外，还有赖于仔细设计的通信协议。1.2.3数字签名方案的形式化定义数字签名有两种：一种是对整体消息的签名，-种是对压缩消息的签名。每 一种中又可分为两个子类：一类是确定性(Deterministic)数字签名，其明文与密 文是一一对应的，它对特定的消息的签名不变化；一类是随机化的(Randomized) 或概率式数字签名。数字签名方案15】通常包括三个主要过程。系统的初始化过程，即参数建立 (Parameter setup)，签名产生过程（Signature generation)及签名验证过程 (Signature verification)。系统初始化过程产生签名方案用到的一切参数；签名 产生过程中，用户利用给定的算法对消息产生签名；签名验证过程中，验证者利 用公开的验证算法对给定消息的签名进行验证，得出签名是否有效的结论。定义1.1称由3个集合，消息集合M、密f月集合A：、签名集合和两个算 法即签名算法SIG,验证算法VER组成的5元组(从，K S, SIG, VER伪 一个数字签名方案，其中A：是包括公钥和私钢在内的所有密明的集合，并要求满 足下列条件：1、签名算法：对于密胡集合/：，相应的签名算法为，sigKeS,sig:M-S, 对任意的消息weA/,有igm那么为消息m的签名，将 (m，。传递到签名验证者。2、验证算法：对于密销集合/：，有签名验证算法 verf. :MxS True,False(True :y = sig(x) ver(x,y) = , .,、 、False : y 本 sigKx)签名接受者或验证者收到(m,力后，计算mv(;c，；)，若verK(x:y) = Tyue，签名有 效，否则，签名无效。1.2.4对数字签名的攻击对数字签名的攻击分为两类，一种是无消息攻击(No-Message Attack),攻击 者只知道签名者的公钢，对签名进行攻击；另一种是已知消息攻击 (Known-Message Attack),攻击者需要知道一系列的消息签名对，对签名进行攻 击。根据攻击者已知的这一系列消息签名对的选取方式，已知消息攻击又细分为 以下四种：简单已知消息攻击(Plain Chosen-Message Attack):攻击者知道一些消息及 相应的签名，但这些消息不是由攻击者选择的。普遍选择消息攻击(Generic Chosen-Message Attack)：攻击者可以选择消息 ，请求签名服务得到签名，但这些消息的选择是在攻击者知道签名者 的公钢之前进行的。有向选择消息攻击(Oriented Chosen-Message Attack):攻击者可以选择消 息m，m2，m,请求签名服务得到签名，但这些消息的选择是在攻击者知道签名 者的公钥之后，知道其它签名之前就进行的。适应性选择消息攻击(Adaptively Chosen-Message Attack)：攻击者可以选 择消息/ni，m:，/W,请求签名服务得到签名，而且攻击者可以根据已得到的消息 签名对來选择新的消息请求签名。上述四种已知消息攻击的攻击性是逐渐增强的，适应性选择消息攻击是最强 的，一般安全的签名方案要求要能够抵抗这种攻击。攻击数字签名的目的在于伪造签名，6011%355616】按签名伪造的程度递减， 将签名伪造分为以下四类：完全破解(Tota丨Break):攻击者计算出签名者的私明。 普遍伪造(Universal Forgery)：攻击者构造出一个高效的算法，能够对任 何消息计算出有效的签名。选择伪造(Selection forgery)：对攻击者优先选择的某个特殊消息进行签名。存在伪造(Existential Forgery):攻击者只能产生一对新的消息签名对，攻 击者对他获得的消息及其签名没有任何控制作用。定义1. 2 (安全的数字签名）：一个签名方案在适应性选择消息攻击下能够抵 抗存在伪造，则称此签名是安全的数字签名。1.2.5数字签名的研究现状1976年Diffie和Hellman在“密码学新方向” 17】中利用公销密码学的思想提 出了数字签名的概念，但是并没有提出具体的签名方案，第一个数字签名方案是 在两年后，即1978年，由Rivest、Shamir和Adleman给出的基于大整数分解困 难性的著名的RSA签名方案81，他们同时给出了著名的RSA公钥密码方案，他 们也因此共同获得2002年的图灵奖。此后的二十几年里，新的数字签名方案如 雨后春笑般不断涌现，其中比较著名的有：ElGamal数字签名方案丨9、Schnorr 数字签名方案1。】、Rabin数字签名方案111】、DSA数字签名方案li2l、Okamoto数 字签名方案|13】、Fiat-Shamir数字签名方案等。随着对数字签名研究的不断深入，同时也由于电子商务、电子政务的快速发 展，简单模拟手写签名的一般数字签名已不能完全满足需要，因此多年来提出了 许多具有特殊性质或特殊功能的数字签名，如1982年Chaum引入了盲签名(Blind Signature) ； 1984年Shamiri6】提出了基于身份的密码系统（ID-Based Cryptosystem)的概念，并同时提出了基于身份的签名(丨D-Based Signature); 1991年 Desmedt 和 Frankel 引入了门限签名(Threshold Signature)； Chaum 和 Heyst 引 入了群签名(Group Signatureyi81; Mambo, Usuda 和 Okamoto 引入了代理签名 (Proxy Signature)丨 191; 1997 年 Zheng 引入了签密(SigncryptionfGl，这睡签名体制 还可以组合成更加复杂的签名体制。硕士学位论文第一章绪论另外，早期的数字签名方案虽都是基于各种困难题提出來的，但.缺少严格 的安全性证明，可证明安全概念提出以后，特别是Pointcheva丨和stem提出著名 的分叉技术(Forking Techniquefil以后，可证明安全问题也成了数字签名的一个 重要研究内容。1.3本文章节安排第二章系统地介绍了一种具有特殊性质的数字签名一一基于身份的签名的 概念，用途及其数学背景知识；对两种典型的基于身份的签名方案及其安全性证 明和效率分析作出了总结，并对其中一个方案存在的安全缺陷给出了改进方案。 第三章介绍了一种基于身份无需可信中心的数字签名方案，并分析了其效 率。概述了代理签名的基本概念，提出了一个基于身份无需可信中心的代理签名 方案，并将本文方案与已有的方案从效率和安全性方面进行了比较。第四章介绍了盲签名的基本概念、研究背景及现状，提出了一种基于身份无 需可信中心的盲签名方案。结合代理签名和盲签名，提出了代理盲签名的概念， 分析了已有的基于身份的代理盲签名方案，指出其存在的伪造攻击，并进行了改 进。最后提出了一种高效的基于身份的代理盲签名方案，并分析了其效率和安全 性。III硕士学位论文第二章基:F身份的数字签名第二章基于身份的数字签名基于身份的数字签名比传统数字签名有着更多优势，本章主要介绍了基于身 份的数字签名的研究背景、定义、现状及有待解决的问题，并详细研究了已有的 基于身份的签名方案。2.1基于身份的签名方案的发展及研究现状2.1.1基于身份的数字签名提出的背景在传统的签名方案和公钢加密方案中，用户的公钢可以为任意的字符串，与 用户的身份没有直接的联系，这就存在如何确保公朗的拥有者就是所宣称的身 份，能够使签名的验证者或者消息的加密者能够确认只有宣称者才能拥有此密 .月。传统的公钢基础设施（Public Key Infrastructure, PKI)用具有可信证书机构 (Certification Authority, CA)颁发公朗证书的形式来建立用户身份与其持有的 公胡之间的联系。简单地说，公销证书是一段包含用户身份信息、用户公钢信息 以及身份验证机构数字签名的数据。CA的数字签名可以确保证书信息的真实性。 但是PKI的证书管理存在一些缺点，如证书保存、撤销、发布和验证需要占用 较多资源，且管理复杂。1984年ShamiiJi6出基于身份的加密、签名、认证的设想，其中身份可以 是用户的姓名、身份证号码、地址、电子邮件地址等。系统中每个用户都有一个 身份，用户的公钢就是用户的身份，或者是可以通过一个公幵的算法根据用户的 身份可以容易地计算出来，而私明则是由可信中心统一生成。在基于身份的密码 系统中，任意两个用户都可以安全通信，不需要交换公明证书，不必保存公钢证 书列表，也不必使用在线的第三方，只需一个可信的密钢发行中心为每个第一次 接入系统的用户分配一个对应其公钢的私明就可以了。基于身份的密码系统不存 在传统CA颁发证书所带來的存储和管理幵销问题。2.1. 2基于身份的签名方案的形式化定义基于身份的数字签名由以下4个算法组成：97硕士学位论文第二章基丁-身份的数字签名Setup (系统初始化)：输入一个安全参数k，输出系统参数params和系统私 销mk,该算法由PKG运行，最后，密钢产生机构PKG (Private Key Generation) 公幵系统参数params,并保存系统私钢mk;Extract (用户密钢生成)：输入系统参数、系统私朗和用户的身份ID，输出 用户的私钥，0)兵1，其中设1为群的单位元；3、可计算性：对于任意P，Qe(7,，存在高效的算法能计算出e(P，0)。 利用超奇异楠圆曲线或超椭圆曲线上的Weil对和Tate对可以构造出满足以上条件的双线性对11213】。 二、一些困难问题以下是循环群G,中常见的一些数学问题，被称作困难性问题或困难性假设。 在基于身份的数字签名研究中它们起着不可或缺的作用，数字签名的安全性通常 被归约为解决其中某个问题的困难性。1、离散对数难题（Discretelogarithm problem，DLP)。设P和0是群中的两 个元素，要找到某个正整数使之满足0 = 是困难的。2、决策Diffie-Helhmn 难题（Decision Diffie-Hellman prob丨em，DDHP)。已 知/，0?，0/6,，其中，a/，W其中fl，6eZ:，求出是困难的。4、间隙Diffie-Hellman 难题（Gap Diffie-Hellman prob丨em, GDHP)。是指这 样一类问题，在群G,上，给定P, aP, bP, cPeG,容易判定： = 761110(1分是 成立的，但是计算a&P是困难的，换句话说，在群上，DDHP易于解决而CDHP 难以解决，则我们称此群为间隙Diffie-He丨丨man群，简记为GDH群。这里我们假设CDHP和DLP是困难问题，即对该问题不存在具有不可忽略 概率值的多项式时间算法。在群G,上，DDHP不是困难问题而CDHP是困难问 题，即群为间隙Diffie-HeHman群。这类群存在于超奇异椭圆曲线上。事实上， 容易知道，如果存在双线性对e: G.XG.-G,那么在G,上DDHP问题是可解 的，这只需验证式e(八=是否成立。由于Weil对或Tate对都可以构造双线性对，因此可在超奇异棉圆曲线或超椭圆曲线