[硕士论文精品]可追踪匿名签名及在电子商务中的应用

摘要随着互联网的快速发展，电子商务越来越得到广泛应用，信息安全也越来越受到重视。作为保护信息安全的核心技术之一，数字签名被广泛应用到电子商务中。其中，为了保护用户隐私，往往运用匿名签名。一般地，匿名数字签名可分为无条件匿名签名和可追踪匿名签名。无条件匿名签名的无条件匿名性可能使得签名被滥用，甚至用于犯罪行为。而采用可追踪匿名签名则可有效避免这一不利因素。本文主要研究具有可追踪性的匿名签名群签名、群盲签名、部分盲签名和指定验证者部分盲签名；同时研究这些可追踪匿名签名在电子商务的重要方面电子拍卖、电子现金和电子交换等领域的应用。本文取得的主要成果如下1给出了证明一个承诺值位于特定区间的高效协议。以往证明承诺值X位于区间口，B，采用的方法是先证工A，再重复同样方法证明B工。本文给出了一个新协议，运行一次便可同时证明XA及BX，即J口，B。2针对ACJT群签名方案，给出了一种简单高效的成员撤销方法。首先给出了整除的知识证明协议，群成员签名时，利用该协议零知识证明其公钥证书中的公钥整除群管理员发布的公钥积。所提方法中，撤销一个成员时，群管理员只需一次除法和指数运算，签字和验证过程与当前成员个数和撤销的成员个数均无关，群公钥与成员资格证书也无需变动。3改进了NAKANISHI等提出的VLR群签名方案，使签名长度缩短了约100,6。并利用改进的VLR群签名，给出了一个多拍卖行电子拍卖系统。4基于QSDH假设和DTDH假设，提出了一个新的VLR群签名方案。安全性上，所提出的方案不但满足已有方案所具有的可追踪性和BU匿名性，而且具有防陷害性；签名长度上，所提方案的签名长度比已有方案的签名长度缩短了约1047。5用群盲签名构造了两个无可信中心的多银行公平电子现金系统。用户所在的银行和商家利用SHAMIR秘密共享方案可对用户进行追踪，除中央银行外，无需另外的可信第三方；特殊情形下，银行通过发行有标记的货币来防止洗钱、绑架等犯罪行为。6提出了一个高效的部分盲签名方案，并据此给出了一个公平电子支付协议。所提出的部分盲签名方案，无论在计算量上，还是在签名长度上，都非主流QQ头像HTTP/WWWQQOOKCOM优于已有方案。所给出的公平电子支付协议，无需第三方参与。7提出了一个新的可转换的用户指定验证者部分盲签名方案。同HUANG等方案比，签名长度缩短了25，计算量减少了36。关键词信息安全数字签名电子商务群签名群盲签名部分盲签名指定验证者签名电子现金电子拍卖电子支付ABSTRACTWITHTHEDEVELOPMENTOFINTCMCT，ELECTRONICCOMMERCEISBEINGUSEDWIDELY,ANDTHEIMPORTANCEOFINFORMATIONSECURITYISPAIDMUCHMOREATTENTIONASONEOFTHEMAINTECHNIQUESREALIZINGINFORMATIONSECURITY,DIGITALSIGNATUREISAPPLIEDWIDELYTOELECTRONICCOMMERCEINORDERTOPROTECTTHEPRIVACYOFTHEUSERS，ANONYMOUSSIGNATURESAREUSEDUSUALLYGENERALLY,ANONYMOUSSIGNATURESINCLUDEUNCONDITIONALLYANONYMOUSSIGNATURESANDTRACEABLEANONYMOUSSIGNATURESTHEUNCONDITIONALANONYMITYOFUNCONDITIONALLYANONYMOUSSIGNATURESMAYBEABUSEDANDMAYBEAPPLIEDTOCRIMES，WHILETHETRACEABLEANONYMOUSSIGNATURESCANAVOIDTHESETHISTHESISMAINLY南CUSEDONTHERESEARCHOFTRACEABLEANONYMOUSSIGNATURESINCLUDINGGROUPSIGNATURE，GROUPBLINDSIGNATURE，PARTIALLYBLINDSIGNATUREANDCONVERTIBLEUSERDESIGNATINGCONFILMERPARTIALLYBLINDSIGNATUREALSO，THISTHESISINCLUDESTHEAPPLICATIONSOFTHESETRACEABLESIGNATURESTOSOMEIMPORTANTAREASOFELECTRONICCOMMERCE,SUCHASELECTRONICAUCTION，ELECTRONICCASH，ANDELECTRONICEXCHANGE。THEMAINCONTRIBUTIONSALESUMMARIZEDASFOLLOWS。1ANEFFICIENTPROTOCOLTHATPROVESACOMMITTEDNUMBERLYINGINASPECIFICINTERVALISPROPOSEDTHEEXISTINGPROTOCOLSTHATPROVESACOMMITTEDNUMBERXLYINGINASPECIFICINTERVALA，BMOSTLYPROVETHATINTEGERXISNOLESSTHANAANDTHENREPEATTHESAMEMETHODTOPROVETHATBISNOLESSTHANX。WHILEUSINGTHEPROPOSEDPROTOCOLONLYONCE，AVERIFIERCALLCOFIVINCETHATTHECOMMITTEDNUMBERXISINTHEINTERVAL钆B2。ASIMPLEMEMBERSHIPREVOCATIONMETHODINACJTGROUPSIGNATURESCHEMEISGIVENFIRST，THEKNOWLEDGEPROOFOFDIVISIBILITYISGIVENTHEN，AGROUPMEMBERUSESITTOPROVETHATTHEPUBLICKEYINHISCERTIFICATEDIVIDESEXACTLYTHEPUBLICKEYPRODUCTISSUEDBYTHEGROUPMANAGERINTHEPROPOSEDREVOCATIONMETHOD，THEGROUPMANAGERONLYNEEDSONEDIVISIONANDONEEXPONENTIATIONWHENAGROUPMEMBERISDELETED，WHILETHESIGNINGANDVERIFYINGPROCEDUREAREINDEPENDENTOFTHENUMBEROFCURRENTGROUPMEMBERSANDEXCLUDEDMEMBERS，ASWELLASTHEORIGINALGROUPPUBLICKEYANDMEMBERSHIPCERTIFICATESNEEDNTBECHANGED。3ANIMPROVEDVLRGROUPSIGNATURESCHEMEISGIVENBASEDONNAKANISHIETAISVLRGROUPSIGNATURESCHEME。THESIGNATURELENGTHINTHEIMPROVEDSCHEMEIS非主流QQ头像HTTP/WWWQQOOKCOMSHORTENEDABOUTLOTHANTHATINTHESYSTEMWITHMULTIPLEAUCTIONHOUSESISSIGNATURESCHEMEORIGINALSCHEMEALSO，ANELECTRONICAUCTIONPROPOSEDBASEDONTHEIMPROVEDVLRGROUP4ANEWVLRGROUPSIGNATURESCHEMEISPROPOSEDBASEDONQSDHASSUMPTIONANDDTDHASSUMPTION。THEPROPOSEDSCHEMENOTONLYHASTRACEABILITYANDBUANONYMITYWHICHTHEPREVIOUSSCHEMESALSOHAVE，BUTALSOHASEXCULPABILITY；FURTHERMORE，THESIGNATURELENGTHINTHEPROPOSEDSCHEMEISSHORTENEDABOUT1047THANTHATINTHEEXISTINGSCHEMES。5TWOFAIRELECTRONICCASHSYSTEMS谢血MULTIPLEBANKSANDWITHOUTTRUSTEESARECONSTRUCTEDBYUSEOFGROUPBLINDSIGNATUREINTHEPROPOSEDECASHSYSTEMS，ASHOPOWNINGSUSPICIOUSECOINANDTHEBANKHAVINGISSUEDTHECOINCALLCOLLABORATETOFINDTHEUSERUSINGSECRET矗糠裙SCHEMEWITHTHEHELPOFTHECENTRALBANKFURTHERMORE，UNDERABNORMALSITUATIONSUCHASBLACKMAILING，KIDNAPPINGETC，THEBANKISSUESMARKEDECOINTOPROTECTTHEUSER6ANEFFICIENTPARTIALLYBLINDSIGNATURESCHEMEISPROPOSED，ANDACCORDINGTOIT，AFAIRELECTRONICPAYMENTPROTOCOLISGIVEN。THEPROPOSEDPARTIALLYBLINDSIGNATURESCHEMEHASADVANTAGEINCOMPUTATIONCOSTSANDSIGNATURESIZEOVERTHEEXISTINGSCHEMES。ANDTHEGIVENFAIRELECTRONICPAYMENTPROTOCOLDOESNOTNEEDTRUSTEES7ANEWCONVERTIBLEUSERDESIGNATINGCONFIRMERPARTIALLYBLINDSIGNATURESCHEMEISPROPOSED。INTHEPROPOSEDSCHEME，THESIGNATURELENGTHISSHORTENED25ANDTHECOMPUTATIONCOSTSAREREDUCEDABOUT36THANTHOSEINHUANGETA1SSCHEMEKEYWORDSINFORMATIONSECURITY,ELECTRONICCOMMERCE，GROUPSIGNATURE，GROUPBLINDSIGNATURE,PARTIALLYBLINDSIGNATURE,DESIGNATINGCONFIRMERSIGNATURE，ELECTRONICCASH,ELECTRONICAUCTION，ELECTRONICPAYMENT独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切相关责任。本人签名套盖塾日期删；二生L关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。保密的论文在解密后遵守此规定本学位论文属于保密在一年解密后适用本授权书。本人签名诬垒亟导师签名垂至兰多日期I日期望E璺L非主流QQ头像HTTP/WWWQQOOKCOM第一章绪论第一章绪论随着互联网的快速发展，电子商务越来越得到广泛应用，信息安全也越来越受到重视。作为保护信息安全的重要技术之一，数字签名被广泛应用到电子商务中。为了保护用户隐私，往往采用匿名数字签名。一般地，匿名数字签名可分为无条件匿名签名和可追踪匿名签名。无条件匿名签名的无条件匿名性可能使得签名被滥用，甚至用于犯罪行为。为此，可采用可追踪匿名签名来设计电子商务系统。本章主要介绍具有可追踪性的匿名签名群签名、群盲签名、部分盲签名和指定验证者部分盲签名的简单定义与基本性质；同时简单介绍这些可追踪匿名签名将要用到的电子商务领域电子拍卖、电子现金和电子交换。11数字签名的定义与基本特点1948年，SHANNON发表了“通信的数学理论“一文，宣告了一门崭新的学科信息论的诞生。当今社会，随着计算机和网络技术的快速发展和广泛应用，整个社会的信息化程度愈来愈高。同时，作为信息获取和传递的重要载体的因特网具有开放性、连通性、共享性、动态性等特点，任何人都可以自由地接入，这就使得因特网不但成为人们获取信息的重要途径，而且它也成为公开的攻击对象和目标。为保证计算机和网络信息的安全，人们采用了各种信息安全技术。数字签名技术是其中重要的一种。111数字签名的定义本文主要讨论公钥数字签名。简单而言，公钥数字签名是这样一种密码技术，它采用私钥对消息进行加密而产生签名，而利用公钥对消息进行解密验证签名。由于公钥是公开的，所以任何人都可利用公钥对普通的签名进行验证。数字签名方案主要由以下部分组成1明文消息空间M表示能够进行签名的消息的集合。2签名空间S可能的签名集合。3私钥空间疋可能的私钥有时也称签名密钥的集合。4公钥空间Y与私钥空间相对应的公钥集合。公钥用于验证签名的有效性。5安全参数1。该参数用以产生签名者的私钥和相应的公钥。1影响到签名的长度、签名生成算法所需运行的时间以及签名方案的整体安全性2一可追踪匿名签名及在电子商务中的应用等，其选择应保证签名方案所基于的单向函数的安全性。6有效的密钥生成算法GENL_XXY该算法输入安全参数L。，并在多项式时间内生成一个匹配的私钥，公钥对X，YXXY。7有效的签名生成算法SIGNA4XX_S给定一个消息M州，利用私钥X2C，该算法在多项式时间内生成一个签名S6SIGNM，工。8有效的签名验证算法VERIFYA4XSXY寸臼UE，FALSE。给定一个消息M朋，签名SS和公钥YY，算法输出为TRUE或FALSE。112数字签名的基本特点数字签名应具备以下基本特点1不可伪造性。在不知道签名者私钥的情况下，通常敌手很难有效地伪造一个合法的数字签名。只有掌握签名私钥的签名者才能有效地生残数字签名。2保证消息的完整性。通常，签名者可瓣消息的HASH丞数值进行签名。由于HASH函数具备抗碰撞的特点对于一个安全的HASH函数，通常很难找到两个不同的消息使得它们具有相同HASH值，签名便与原消息绑定在起而形成一个完整的整体。任何对消息的修改都将会导致消息，签名对无法通过验证。因此，签名具备保证消息完整性的特点，即其可防止篡改消息。3不可否认性。对于普通的数字签名，任何人都可利用签名者的公钥对签名进行验证，并通过公钥证书确定签名者的身份。这样，签名者便无法否认自己对消息的签名，即签名具有不可否认性。不可否认性使得签名的接收者霄以确认消息及相应签名的原始来源，并可用来进行身份认证。在实际应用中，往往采用匿名数字签名保护用户隐私。匿名数字签名可以分为可追踪签名人的匿名签名和不可追踪签名人的无条件匿名签名，前者我们称为可追踪匿名签名，嚣者我们称为无条件匿名签名。本文主要研究可追踪匿名签名，主要包括群签名、群盲签名、部分盲签名、和指定验证者部分宙签名。王。2可追踪匿名签名121群签名和群盲签名群签名是GHCHAUM和HEYST在1991年提出的【骐】。在群签名中，群体中的成员非主流QQ头像HTTP/WWWQQOOKCOM第一章绪论可代表整个群体进行匿名签名，验证者只能验证签名是由群体中的成员签的，而不能确知是哪个成员签的，但必要时可由群管理员打开签名来揭露签名人的身份，使得签名人不能否认是自己签的，这就是群签名的可撤销匿名性。群签名同时提供了匿名性和可跟踪性，其匿名性可为合法用户提供匿名保护，其可跟踪性又使得可信机构可以跟踪违法行为，这种特性使得它在电子现金、电子拍卖等领域具有重要应用。群签名研究中，群成员资格撤销问题是实用而又困难的问题。BRESON和STERN46】基于CAMENISCH和STADLER的群签名方案【45】提出了第一个具有撤销成员功能的群签名方案，但该方案要求签名的长度线性依赖于被撤销的成员个数。DAWNSONG241基于ACJT群签名【181提出了两个撤销方案，但其验证算法仍然线性依赖被撤销的成员个数。ATENIESE和TSUDIK23】提出了另外一个签名长度独立于被撤销的成员个数的撤销方案，但其验证算法也线性依赖被撤销的成员个数。CAMCNISCH和LYSYANSKAYA26】给出了一个动态累加器，该累加器允许动态地加入和删除数据，并利用该累加器实现了ACJT群签名中的成员撤销问题，但还存在下述不足1每撤销一个成员，剩余的群成员必须更新自己的证据，而计算量仍然是线性依赖于被撤销的成员个数；2证明一个承诺值在累加器中的计算量很大且复杂；3验证者要定期查看群公钥；4群管理员每次撤销成员要经过很多次指数运算来更新群公钥。CHEN【20】等给出了ACJT群签名的一种撤销方法，签字和验证过程与当前成员个数和撤销的成员个数均无关，群公钥与成员资格证书也无需变动。一般地，签字和验证都与被撤销成员无关的撤销方法不是通用方法，仅对特定群签名方案有效。所以近几年的群签名中，多采用成员撤销信息仅发送给相关验证者，而非所有验证者和签名者的撤销方法。在这种撤销中，尽管验证者的计算量依赖于被撤销成员个数，但签名者的花费很少，签名速度很快。把带有这种撤销方法的群签名称为VLR群签名VERIFIERLOCALREVOCATIONGROUPSIGNATURE。BONEH和SHACHAM提出了一个VLR群签名方案【341，但该方案有后向可关联性，即成员被撤销后，其在撤销前的签名不再保持匿名，能被识别出。为改进这一缺陷，NAKANISHI和FUNABIKI提出了具有后向不可关联性VLR群签名方案【35,36,39】。此后ZHOU等也提出了几个具有后向不可关联性的VLR群签名方案【Y卜38】。而群盲签名，是群签名的盲化，是由LYSYANSKAYA和RAMZAN于1998年提出的_74】，可被用来构造电子现金系统。由于系统中具有群管理员，因而可以利用群签名中的打开算法对用户实现追踪。4一可追踪匿名签名及在电子商务中的应用王。2。2部分盲签名喜签名是FLACHAUM在1982首先提出的翻，是用户与签名人之问的个交互协议。用户有一个消息M霈签名入签名，在发送消息给签名入之前，用户先引入盲化因子对消息腓进行盲化得到州，发送聊给签名人，签名人对M签名得到签名D，发回D给用户，用户对D去盲得到消息M熬签名莎。在签名过程中，签名人不知道被签消息是什么，在签名过后，如果把签名给签名入，他不知道这是什么时候签的，也不知道是签给谁的。盲签名的这种性质称为盲性，它可以用来实现不可跟踪电子现金或无记名选举等。然而，这种无条件匿名性也是一个缺点，可能造成签名被非法使用帮其袍一些问题，如在简单的电子现金系统中，银行发行盲签名作为电子货币，但因为不能嵌入币值和使用期限，就得不同的币值使用不同的公钥，还得维护一个无限增长的数据库以防止电子货币的重复花费，这两点对系统的实用性和高效性有严重的影响。为克服这一点，ABET阡LFUJISAKI髂】提如了部分盲签名的概念。部分盲签名允许签名入在签名中嵌入个和用户一起协商的公共信息，这样一来上述数据痒无限增长的超题就得到解决，因为此时可以把币值和有效期作为公共信息嵌入电子货币中，有效期过后所有电子货币均失效，所对应的为防止重复花费所建立的数据库就可以废除了。岛从ABE和FUJISAKI于1996年引入部分盲签名以来，已有许多部分盲签名方案被提出，如CHICN等提出了一个基于RSA的部分育签名方案，ABE和OKAMOTOIS91在CRYPT02000上提出了第一个可证明安全的部分盲签名方案，【9L一92】提出了更嵩效的可证明安全的部分首签名方案，9097提出了基于双线性对的部分盲签名方案，CHIEN等阳提出了门限部分盲签名，【101104给出了限制性部分盲签名方案等。王。23指定验证者部分盲签名对于一般的数字签名，任何人都可用签名人的公钥验证其有效性，这个性质称药签名的宣认证性SELFAUTHENTICATION。具有自认证性的签名可被任何人镬意传播，适用于诸如公布消息、颁发公钥证书等许多应用场合。但在其它一些场合，如签署健康证明、纳税攀据、遗嘱等一些商业或个入豹敏感消息时，自认证性就提供了比实际需要多余的认证功能，因为在这些情形下，只要相关人员能验证签名就够了，没必要将私密漕息泄露给更多入。例如BOB在纳税时，霈向税务局证明其个人财产状况，为了取信税务局，BOB需要公证机关ALIEE对其个人财产签名，但因为签名涉及的是私人消息，BOB自然得防止其他人滥用签名，例如非主流QQ头像HTTP/WWWQQOOKCOM第一章绪论BOB不想让其他人，包括公证机关，能向他人证明其财产的相关信息，在这种情况下一般的数字签名是不适用的，所以需要一种对验证有一定限制的签名体制。指定验证者签名105107】是对验证者具有限制条件的一种签名。在这种签名中，只有签名人和指定的验证者可以验证一个签名。为了满足签名消息的盲性，2006年，HUANG等【1081通过联合部分盲签名和指定验证者签名的概念，提出了可转换的用户指定验证者部分盲签名。本文给出了一个新的可转换的用户指定验证者部分盲签名，无论签名长度，还是计算量，都优于HUANG等的方案。13基于密码技术的电子商务131电子商务简介电子商务就是基于INTERACT的商务活动。电子商务可分为两个层次，较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用INTERNET能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现。要实现完整的电子商务还会涉及到很多方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。下面给出电子商务的一个简单分类。按照交易对象分类，电子商务可以分为五种类型第一种类型是企业与消费者之间的电子商务简称为BC模式。企业BUSINESS通过INTERACT为消费者CUSTOMER提供一个新型的购物环境网上商店，消费者通过网络在网上购物、在网上支付。由于这种模式节省了客户和企业双方的时间和空间，大大提高了交易效率，节省了不必要的开支，因此网上购物将成为电子商务的一个最热闹的话题。第二种类型是企业间的电子商务简称为BB模式。企业与企业BUSINESSBUSINESS之间，通过INTERNCT或专用网方式进行电子商务活动。企业间的电子商务是电子商务模式中最值得关注和探讨的，因为它最具有发展潜力。第三种类型是消费者和政府之间的电子商务简称为CG模式。政府GOVERNMENT把电子商务扩展到福利费发放、个人税收、电子选举等方面。第四种类型是企业与政府之间的电子商务简称为BG模式。这种商务活动覆盖企业与政府组织间的各项事务。第五种类型是政府之间的电子商务简称为GG模式。政府机构应用现代信6一可追踪匿名签名及在电子商务中的应用息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现政府组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。本文主要讨论依赖公钥密码技术来实现的电子商务的几个重要方面，包括电子拍卖、电子现金和电子支付。132电子拍卖拍卖是一种特殊的现货交易方式，一个由拍卖群体决定价格及分配的过程。一般情况下，拍卖企业接受委托，在规定的时间和地点，按照一定的规则和程序，由拍卖师主持，买方、卖方之间产生一个合理的参与各方都认可的价格，最后把商品卖给出价最高的竟买者。电子拍卖系统是现实拍卖系统的电子化，拍卖主体由若干投标者、拍卖行、注册中心、卖方组成。电子拍卖的基本步骤有1拍卖登记拍卖开始之前，每个投标者首先向注册中心提交拍卖申请，注册中心验证申请的合法性后，分配给每个合法的投标者一个秘密的序列号。2提交标价拍卖行宣布拍卖开始后，每个合法的投标者提交他们的标价公开竞价或者秘密投标给拍卖行。一般情况下，卖方要给出一个最低价位。投标者的标价不能低于最低价位。3结束投标经过一段时间后，拍卖行宣布投标结束即不再接收标价。4宣布结果拍卖行宣布最高价位者获胜并且公开获胜标价。最后，中标者支付等量的货币，卖者将货物给中标者。常见的电子拍卖方式有1按拍卖叫价的方式分为价格递增拍卖英式拍卖，价格递减拍卖荷式拍卖。英式拍卖和荷式拍卖的优点是尽可能的使商品以真实的最高价出售。然而，缺点是拍卖时间与最终的出售价成正比；通信时间随最终出售价的增加而呈超线性增加。2按标价是否公开分为公开标价拍卖及密封式标价拍卖。在电子拍卖中，一般使用密封式标价拍卖。它的优点是可以在单轮通信中完成，拍卖效率高。3按拍卖进行的轮数可分为单轮拍卖如密封式标价拍卖与多轮拍卖如英式拍卖，荷式拍卖。4按获胜价位可分为第一价位最高价位拍卖英式拍卖、荷式拍卖和第二价位拍卖。经济学家VICKREY结合了英式拍卖与密封式标价拍卖的优点，设非主流QQ头像HTTP/WWWQQOOKCOM第一章绪论计出一种新的拍卖方式第二价位拍卖，投标者将标价送给拍卖行，第一价位中标，但中标者只付出第二价位的价格。5按投标次数可分为单标价拍卖和多标价拍卖。单标价拍卖投标者只进行一次投标，通讯时间少、效率高，然而风险也高。多标价拍卖进行实时考虑，风险低，但通讯时间长。6按拍卖成交的次数可分为单级拍卖和分级拍卖。在某些情况下，有必要先进行子拍卖，子拍卖的胜者进入下一级拍卖。理想的拍卖应具有如下性质1标价的秘密性拍卖行在收到所有的合法标价之前无法知道投标者的标价。最理想的情况是在拍卖结束后只有中标者的价位公开。2不可否认性中标者中标后不能反悔，必须支付与获胜标价相等数量的货币。3投标者身份的秘密性投标者的身份在拍卖期间不能泄露。在拍卖结束后，只有中标者的身份泄露。4公平性投标者地位一样，系统设计无偏向性，有办法解决争议和违约。5不可伪造性投标者的投标不能被伪造。6可公开验证性任何人可验证中标者的合法性。133电子现金电子现金ECASH又称为电子货币EMONEY或数字货币DIGITALCASH，是电子商务中电子支付系统的主要支付手段。一个电子现金系统一般包含三个主体用户、商家和银行；四个过程注册账户、提取现金、支付现金和存储现金。一个电子现金系统应该满足匿名性，即现金的使用不泄漏用户的身份。完全匿名的电子现金可以无条件的保护用户的隐私，但这种无条件匿名性有可能使电子现金被用于一些犯罪活动，如行贿、洗钱、绑架、敲诈勒索等【73】。为了防止这些犯罪行为，许多具有可追踪性的电子现金系统公平电子现金系统7578】【80也】，被提出。在公平电子现金系统中，般具有一个可信第三方TTP，在必要时可追踪到电子现金的主人。早期的公平电子现金系统一般是单银行电子现金系统，即用户和商家必须在可追踪匿名签名及在电子商务中的应用同一个银行中交易。这与现实生活中，人们在不同银行有帐户不相符。目前，主要是多银行电子现金系统，其示意图如图11。本文中，提出了不需要可信第三方的多银行公平电子系统，并用群盲签名技术给出了具体实现过程。图11多银行公平电子现金系统134电子交换电子商务就是在网络环境中双方或者多方之间进行的有形商品或者无形商品的交换。交换的一个很重要的前提是要求系统的公平性，即在交换结束后，要么每一方都得到了他所期待的物品或服务，要么每一方都没有得到任何有意义的东西。公平交换协议在电子商务中的很多方面都有着广泛地应用，例如保证邮件系统、电子合同签署、公平电子支付等方面。按第三方是否参与，电子交换可分为无第三方参与的公平交换，交换双方通过逐步完成一定的协议来达到交换的公平性；第三方在线参与的公平交换，第三方参与交换的每一轮协议；最优公平交换，第三方只是在发生纠纷时参与协议。按交换方的数目可分为两方公平交换和多方公平交换。公平交换协议应该满足如下几条性质有效性如果两个参与者行为正确，在不涉及第三方的情况下，仍能获得各自所需的东西。秘密性交换必须保护用户的隐私信息高效实用性协议的效率要高，以保证实用性。不可否认性在进行有效的交换后，交换的任何一方都不能对他所传递和收到的信息进行否认非主流QQ头像HTTP/WWWQQOOKCOM第一章绪论9一公平性在交换结束后，要么每一方都得到他所期待的物品或服务，要么每一方都没有得到任何有意义的东西终止性在协议执行的任何时间，每个参加者可以单方面中止协议而不破坏公平性。14本文的主要工作和内容安排本文主要研究可追踪匿名签名的可追踪性以及它们在电子商务众多领域的应用，主要的研究成果归纳如下1构造群签名方案时，经常用到证明一个承诺值位于某个特定区间的协议。本文给出了证明一个承诺值位于特定区间的高效协议。2群签名中，群成员资格撤销问题是个难题。本文针对ACJT群签名方案，给出了一种简单高效的成员撤销方法。3改进了NAKANISHI等提出的VLR群签名方案，使签名长度缩短了约10。同时，利用所改进的VLR群签名方案，设计了一个多拍卖行电子拍卖系统。4提出了一个新的VLR群签名方案，与已有方案比，所提方案签名长度最短、计算量最少、安全性更强。5用群盲签名构造了两个无特别可信中心的多银行公平电子现金系统。6提出了一个高效的部分盲签名方案，并据此给出了一个公平电子支付协议。7提出了一个新的可转换的用户指定验证者部分盲签名方案。论文共分为六章第一章，介绍了具有可追踪性的匿名签名群签名、群盲签名、部分盲签名和指定验证者部分盲签名的简单定义与基本性质；同时简单介绍这些可追踪匿名签名将要用到的电子商务领域电子拍卖、电子现金和电子交换。第二章，首先简单介绍了群签名的定义和安全性要求。接着给出了群签名中经常用到的一个协议证明一个承诺数在特定区间的协议的高效实现。最后，针对ACJT群签名方案，提出了一个新的成员撤销方法。第三章，介绍了VLR群签名的定义与安全性需求，改进了NAKANISHI等提出的VLR群签名方案，然后提出了一个新的VLR群签名方案，最后给出了VLR群签名在电子拍卖中的一个应用利用所改进的VLR群签名方案，设计了卫可追踪匿名签名及在电子商务中的应用个多拍卖行电子拍卖系统。第四章，介绍了群盲签名的定义，并利用群盲签名，设计了两个无可信中心的多银行公平电子现金系统。第五章，介绍了部分盲签名的定义和安全性需求，并提出了一个新的部分盲签名方案，接着利用所提出的部分盲签名方案设计了一个公平交换协议。第六章，介绍了可转换指定验证者部分盲签名的定义和安全性需求，并提出了一个新的可转换指定验证者部分盲签名方案。非主流QQ头像HTTP/WWWQQOOKCOM第二章群签名可追踪性第二章群签名可追踪性群签名既能让签名人实现匿名签名，必要时又可以通过可信机构撤销匿名性，即可以追踪到签名者。这一特性使得群签名在诸如电子拍卖、电子支付、电子选举等领域有广泛应用。本章主要包含两方面内容。一是在构造群签名方案时，经常需要证明一个承诺值位于一个特定区间内，本文给出了证明承诺值位于特定区间内的一个高效协议。二是早期的群签名方案没有成员资格撤销方法，本文针对ACJT群签名方案给出了一个简单的成员撤销方法。21群签名简介群签名是由CHAUM和HEYST【蜘于1991年提出的，目前已有很多方案肄33，45。48】被提出。群签名中，群成员可以代表群进行匿名签名，除群管理员GM外，任何人无法识别签名者身份。群签名方案一般包含下述算法。系统建立群管理员建立群公钥与自己的私钥。成员加入用户通过和群管理员进行交互加入群，协议结束后，用户获得自己的私钥和成员资格证书。签名群成员用自己的私钥和成员资格证书对消息进行签名。验证任何人可通过验证算法验证签名的正确性。打开必要时，群管理员可以打开签名，发现签名人的身份。撤销群管理员可撤销不诚实的成员，被撤销成员不能再代表群进行签名，但在撤销前的签名仍然有效。群签名方案应该满足如下安全性要求匿名性给定一群签名，除群管理员外任何人都不能确定签名者身份。不可伪造性只有群成员才能代表群进行签名，非成员不能产生群签名。防陷害性群管理员和其他任何成员都不能代表某成员进行签名。不可关联性决定两个群签名是否由同一个群成员所签计算上是困难的。可追踪性群管理员能发现签名者的身份。里可追踪匿名签名及在电子商务中的应用抗联合攻击任意多个群成员相勾结或群成员与群管理员相勾结都不能代替某个群成员进行签名。22承诺值在特定区间的高效证明证明一个承诺数在一个给定的区间内是一个有用的密码协议，这类协议可以被用于群签名1引、电子现金系统【161、公开可证实秘密分享方案191及其它零知识证明协议。如15所述，在已有的协议中，经典证法可证明承诺数在0，2一1内，但效率很低，完成证明需发送1969KB数据；BCDG法及CFT法效率较高，分别需发送275KB和0241KB数据，但不能确切地证明所处区间，即证明的承诺数所处的区间比给定的区间大的多；BOUDOTTL5】给出了可实行确切证明的方法，需发送1975KB数据，但协议形式较复杂；16给出了简化方法，但采取的是与15】一样的方式，先证工A，再重复同样方法证明BZ。本节给出了一个新协议，运行一次便可同时证明XA及BX，从而充分提高了证明效率。221预备知识刀是一个RSA模数，其分解未知。乙表示模咒的剩余类，Z表示乙中对乘法可逆的元素构成的群，INF表示整数行的二进制长度。，T，J是安全参数。胃是一输出为2F比特的抗碰撞HASH函数。2211强RSA假设存在有效算法，当输入I，ZF时输出一RSA模数，Z及一元素Z乏，使得发现EL及USTZU8MODN是不可行的。2212FUJISAKIOKAMOTO承诺ALICE与BOB不知，Z的分解，GZ二，H。ALICE不知LOGGHLOGG，G，H的阶是大于160比特的素数，使得在它们生成的循环群中计算离散对数是不可行的。ALICE随机选取，25NL，25N一1，计算EX，厂G。H7MODN，将EX，作为对Z的关于基G，H的承诺发送给BOB。该承诺方案是统计安全的，即一方面，ALICE不能找到五X2使得E五，IEX2，R2，除非能分解，Z或能解离散对数问题；另一方面EX，统计上没有泄露任何信息给BOB，更加正式地说，即存在一个仿真器可输出关于X的非主流QQ头像HTTP/WWWQQOOKCOM第二章群签名可追踪性仿真承诺，使得该承诺与工的原承诺是统计不可区分的。具体分析见15、17，本文以后简称其为FO承诺。2213CFT证明ALICE用FO承诺方案承诺了一个秘密随机数工0，B，下述证明X卜2TLB，2件7B】的零知识协议简称为CFT证明1ALICE选取WE“0，27B1】和叩2ITANL，2“件5N1】，计算WG”H1MODN，CHW，CCMOD2，DL“W，皿CRRI。如果日CB，2件7B1】，ALICE发送C，D】，皿给BOB，否则重复上述工作。2BOB计算CCMOD2HGQHDE“MODNMOD2且验证DICB，2件7B1。该协议失败的概率小于2。ALICE欺骗BOB成功的概率小于2叫“，在随机预言模式下是统计安全的，BOB不能从证明中获得关于X的任何信息【151。上述CFT证明简记为PKX，R2巨GLXJLLL工2H7B，2“7剀。2214两承诺值相等ALICE知XO，B】，设E巨X，巧GLX啊1，F岛工，R292X吃屹为两个FO承诺，其中，I尺2“NL，2N1，R22“N1，一，25咒一1，JL，82是安全参数。ALICE向BOB证明E，都是对Z的承诺1ALICE取WE尺1，27B1，RL置1，2TTSTB1，R2胄1，2TTS2B1，计算彤GLWHL确MODN，92W吃啦ROODN，C日彤LL，DCXW，DLQRL，砬CR2R12，发送C，D，DL，D2给BOB。2BOB验证C日GLDQECROODNLI92DD2，MODN。上述协议简记为PKX，尸互G。7111易GJ12眨，诚实的证明者总能成功地执行该协议，欺骗者成功的概率小于2叫“，在随机预言模型下，该协议是统计安全的【15】。222所提出的协议2221协议构造ALICE向BOB证明整数X【A,B。我们的方案的主要思想是ALICE选取随机14可追踪匿名签名及在电子商务中的应用整数A0，发送“口20一口6一工60给BOB，ALICE向BOB证明1“确实是上述形式2ICOL_2“R。这便可使BOB确信AXB。否贝0石一口6一工2卅R；再选取随机整数，I，吃，R425，Z1，25，Z一1】，并使得RY2吒口2R2AR3一，Z1，2N1，计算EELMHLMODN，日毛口HNMODN，EE口H巧ROODN，FG。H“MODN，U2G。磊一RYZA2碑2够HMODN，将“，岛，毛，E，送给BOB。STEP2BOBIFGELEX，R194，巨96EX，UG“ESTEP3ALICE与BOB执行PKIY2,，易G比HMODNAE3ELMHLROODN，PK2A，R2，I“3毛毛8H乏MODNA毛互4H巧MODN，PK3CO，I，一RY2口2一口2一RA一FG。H_MODNUG。HRY2A2QA2笋，“MODN，PK4CO，R4FG。厅_275R2TLSR。STEP4BOB验证PKIIL，2，3，4的正确性及“2H“”，若满足，则可确信AXB。2222协议分析下证明上述协议是X口，6】的统计零知识证明，ALICE成功欺骗的概率可忽略，BOB以及攻击者除确信X【口，6外，不能从证明中获得关于工的其它信息。正确性ALICE和BOB执行上述协议后可确信工口，B。证明由STEP2，BOB可算得ELGMH7MODN，巨G此HROODN，G”呸，非主流QQ头像HTTP/WWWQQOOKCOM第二章群签名可追踪性而由PK3，UG。办一RYZA21A2R2A7“ROODN，又由PK2，毛岛8HTROODN，毛E口H马ROODN岛口H牌“MODN，再由PKI，岛巨儿H1ROODNGH7地H1ROODNGYE2HN“ROODN，故EGY2H,RZ1。2斜吩MODNGA2YTY2HRYZA21A2RZA“MODN，从而G“UE5G。一RYZA2A2R2A，3G口2YLY2厅哕声21A2RZA吩ROODN2G。2MY2MODN，所以UAZYLY2COMODN。但ALICE不知，L的分解，从而也不知矽，Z，由强RSA假设，只能是“AYL儿CO，又由PK4，I国I2H“H7，而由STEP4，BOB已验证“2“H甜，故必有咒Y2O，否则若乃Y2是一循环群，阶IGI未知，但LGF的长度，G已知，HO，1寸O，1是一抗碰撞的HASH函数，占L是一个安全参数。假设LRSA假设对所有概率多项式时间算法4，所有多项式砍，及所有足够大的名，存在一个概率算法丁STPZ“。IG，Z，P及1，“4G，Z，E11AG，Z1，K与，口都是安全参数，A占如JI2，如41P，71占托七2，托2，定义22如，22如】，T2N2托，2N2托】。以下简称群管员GROUPMANAGER为GM，尺表示随机选取。建立GM取素数P2P1，Q2Q1，其中P，G是，。比特长的素数。令模NPQ，并取口，口O，G，H月QRN，QRN是模，Z的二次剩余。此外，GM随机选取一秘密值XZPV，令YG。MODN，则群公钥为Y，Z，A，口0，Y，G，H，GM的相应私钥为SP，G，X。加入用户口取暑胄O，2如】，；月0，刀2。将CLG暑JLL；发送给GM。GM验证CLQRN后，选取口，层月O，2如，将Q，屈送给曰。只计算五2口F霉P；ROOD24，将C2口而ROODN送给GM，并向GM证明AC2对基A的离散对数位于，B整数“，V，W的知识ST1U位于卜2如，2屯】，2“等于C2口2山对基口的离散对数，3CLQG岛G“92赴”H”。GM验证C2QRN及以上的证明后，选素数呼R，计算4C2口O地，将4，Q当作名的成员资格证书给霉。P验证口口04ROODN。签名坚可追踪匿名签名及在电子商务中的应用暑取月O，1扯，计算五4YROODN，正GROODN，五GQHMODN。只取，IR0，1托七，IRO，1C如七，R3异O，1占N2。J七1，_月0，1占2J七，并计算ADL石1吃Y，D2互1G，以G_，D491JLZ_，BCHGF|HLIY|F口0|LALJ五JJ互IL五IL吐LL如JI吃IL以IIM，CSL，ICQ一2R,，屯R2一C葺2，S3R3一嵋，S4R4CO。则签名为C，J1，S2，S3，五，互，乃。验证计算CHGIIHIIA0ILALLR。II互II五LI以。TLSLC2N5C2山Y而MODNIITSZE2NG屯ROODNII互。G山ROODNIL五。YS,C2NH“MODNLL聊签名正确当且仅当CC，且SL0，1。如“H1，S20，18如“卜1，S30，152“1卜1，S40，12“1。打开GM计算4五正。，DFJLOG；LOG誓似删。233成员资格撤销的实现基本思想是群管理员发布未被删除成员的相应勺的乘积，合法成员在签字前证明他的Q整除该乘积。2331整除的知识证明设G，阶为矽咒。E是一个公开的整数。一个不知以EJLOG。H的示证者想证明他知一个数P满足PIE，但不泄露P的有关信息，可采用如下方法。示证者执行1取随机数Q，哆，Q，计算YLGQ，Y2G吻，Y3GQ，Y4一蚴均，五GHQ，互94HQ，五石。HQ。非主流QQ头像HTTP/WWWQQOOKCOM第二章群签名可追踪性2随机选取1，吃，R3，R4，R5，R6，计算R191，足G巳，BG吩，心H_，恐G略H1，民G名H吃，马石H。3计算CHGI|HIIEI|Y。LI儿II儿II儿JI五II正JI乃JJ足IL心LLBII蜀II忍II民IL马，墨，ICAB，J2R2一C咤，岛R3一C皑，R4CACQ鸭，R5一CE，S62飞一CA公布L，儿，乃，Y4，互，互，互，C，SL，S2，邑，S4，J5，S6。验证者执