（检测技术与自动化装置专业论文）环签名及其应用的研究.pdf

环签名及其应用的研究 摘要 数字签名作为保证信息完整性和进行身份认证的重要工具，己成为信 息安全领域的一项关键技术。在现实环境中，为适应不同应用的需要，产 生了许多特种签名方案，如：群签名、环签名、盲签名、代理签名、门限签 名等。其中，环签名以其可以实现签名人完全匿名性的特性，成为近年密 码学界的研究热点。近来，随着对环签名研究的不断深入，基于环签名的 应用也日益涌现。在环签名研究取得许多重要成果的同时，仍有许多公开 问题急待解决，如：环签名大小与环成员个数成正比的问题，环签名中存 在的密钥泄露问题等。本文以解决这些问题为切入，以提高效率和结合应 用为出发点，对简短环签名、前向安全环签名、关联环签名、可否认环签 名和环签密进行了研究。 本文首先综述了环签名的研究进展。以环签名的发展为线索，从环签 名的基本概念、环签名的分类( 包括门限环签名、关联环签名、可撤销匿 名的环签名、可否认的环签名等) 、环签名的应用等方面进行了研究。并总 结了环签名领域存在的问题及进一步的研究方向。 在对已有环签名方案进行了系统研究的基础上，采用单向累加器技术 提出了可证安全的简短环签名方案，并将其用于构造高效的多方同时生效 签名协议。该方案解决了环签名中存在的签名长度与环成员个数线性成正 比的公开问题。 为了解决环签名存在的密钥泄露问题，采用了前向安全理论，并基于 环z n 上圆锥曲线的性质，如明文嵌入、阶的计算、点的运算及在圆锥曲线 中逆元计算十分容易等，构造了前向安全的环签名方案。此外，基于双线 性对，构造了在标准模型下可证安全的前向安全环签名方案。 在将环签名与群签名比较研究之后，构造了简短的关联环签名方案， 并提出了基于该方案的公平电子现金协议。此外，首次采用关联环签名和 盲环签名设计了公平的多银行电子现金协议。该协议既可以避免基于群签 名的电子现金协议存在的成员撤销问题，还可以追踪重复花费者的身份， 保护发币银行的匿名性，防止银行间的不正当竞争。 哈尔滨1 二程大学博士学位论文 采用简短环签名方案，并结合基于身份的c h a m e l e o n 哈希函数，构造 了安全、高效的可否认环签名方案。与已有的可否认环认证方案相比，该 方案是唯一一个既满足可否认环认证需求，且签名大小不依赖于环成员个 数的方案。 利用无证书密码系统的优点，提出了一种可验证的无证书环签密方案 模型，并基于双线性对构造了具体方案。该方案使用无证书密码系统生成 用户密钥，在达到数据保密性和认证性的同时，消息的发送者可以完全匿 名地发送消息，并且在需要证实签密人身份的时候，可以公开验证其身份。 最后，总结论文工作，提出了需继续研究的问题。 关键词：数字签名；环签名；累加器；电子现金；无证书密码系统 a b s t r a c t d i g i t a ls i g n a t u r ei so n eo ft h eg r e a tt o o l si ni n f o r m a t i o n s e c u r i t y i no r d e rt o a d a p tt od i f f e r e n ta p p l i c a t i o ne n v i r o n m e n t s ，m a n ys p e c i f i cs i g n a t u r es c h e m e s n a v eb e e l lp r o p o s e d ，s u c ha s g r o u ps i g n a t u r e ，b l i n ds i g n a t u r e ，p r o x ys i g n a t u r e ， t h r e s h o l d s i g n a t u r e ，r i n gs i g n a t u r ea n dt h el i k e a saw i d e l yu s e ds i 髓栅e s c n e m e ，n n gs i g n a t u r ea c h i e v e st h ep r o p e r t yo fu n c o n d i t i o n a la n o n y m i t yf o r s l g n e r s a n di th a sb e c o m et h ef o c u so ft h ec r y p t o g r a p h yr e s e a r c h w i t ht h e i n 。d e p t hs t u d yo fr i n gs i g n a t u r e ，av a r i e t yo fr i n gs i g n a t u r es c h e m e sa n dt h e a p p l i c a t i o n sa r ep u tf o r w a r dr e c e n t l y h o w e v e r , t h e r ee x i s tm a n y p r o b l e m st ob e s o l v e d f o ri n s t a n c e ，t h ep r o b l e mo ft h es i g n a t u r es i z ed e p e n d i n go n t h e 毋o u p s 1 z e ，t h ep r o b l e mo fk e ye x p o s u r ea n dt h ep r o b l e mo fw h e t h e rt h er i n gs i 阻a m r e c a nb eu s e dt oc o n s t r u c to t h e r p r o t o c o l si n s t e a do ft h eg r o u ps i g n a t u r e ，e r e t m s d l s s e r t a t i o na l m st o p r o p o s en e ws c h e m e st os o l v et h ep r o b l e m sm e n t i o n e d a b o v e ，a n dt oa p p l yt h er i n gs i g n a t u r et os o m e a p p l i c a t i o n s t h ea c h i e v e m e n t si nt h e f i e l do fr i n gs i g n a t u r ea n di t s a p p l i c a t i o n sa r e s u r v e y e df i r s t t h ec o n c e p t ，s o r t sa n da p p l i c a t i o n so f r i n gs i g n a t u r ea r es t u d i e d 1h e n ，s o m ep r o b l e m sa n do p e np r o b l e mi n t h i s f i e l da r ec o n c l u d e d a f t e r s t u d y i n gt h ep r o p o s e dr i n gs i g n a t u r es c h e m e s ，ap r o v a b l ys e c u r es h o r t r i n g s l g n a t u r eb a s e do no n e 。w a ya c c u m u l a t o ri sp r o p o s e d ，w h i c hi sa l s ou s e dt o c o n s t r u c tm u l t i 。p a r t yc o n c u r r e n ts i g n a t u r e s t h i si sa s o l u t i o nt ot h ep r o b l e mo f t h es l g n a t u r es i z ed e p e n d i n go nt h e g r o u ps i z e w i t ht h ep u r p o s eo f s o l v i n gt h ek e ye x p o s u r ep r o b l e m ，t h ef o n v a r d s e c u r e t h e o r yl sa d o p t e d a n daf o r w a r d s e c u r er i n gs i g n a t u r es c h e m eb a s e do nc o l l i c c l l i v eo v e rz n1 5 p r e s e n t e d , w h i c hi se a s i e rt o a c c o m p l i s hf o re m b e d d i n g p l a i n t e x t ，c o m p u t i n ge l e m e n to r d e ra n dp o i n t si nc u r v e s ，a n ds p e e d i n gu pt h e 1 n v e r s eo p e r a t i o n i na d d i t i o n ，n e wf o r w a r d s e c u r er i n gs i g n a t u r es c h e m eb a s e d o nb i l i n e a rp a l r m g si sa l s op r o p o s e d , w h i c hi sp r o v e dt ob es e c u r ei ns t 2 u l d 铷? d m o d e l 哈尔滨t 程大学博十学位论文 a f t e rc o m p a r i n gt h er i n gs i g n a t u r ew i t hg r o u ps i g n a t u r e s ，as h o r tl i n k a b l e r i n gs i g n a t u r es c h e m ei sp r e s e n t e d an e wf a i re - c a s hp r o t o c o lb a s e do nt h e p r o p o s e ds c h e m ei sa l s og i v e n t h a tp r o v i d e sas o l u t i o nf o rm e m b e rr e v o c a t i o n p r o b l e mo fe x i s t i n ge - c a s hp r o t o c o lb a s e do ng r o u ps i g n a t u r e s m o r e o v e r , an e w m u l t i b a n ke - c a s hs y s t e mb yu s i n gb l i n dr i n gs i g n a t u r e sa n dl i n k a b l e r i n g s i g n a t u r e s i s p r e s e n t e d ，b y w h i c ht h ec l i e n ta n o n y m i t yc o n t r o la n db a n k a n o n y m i t yc o n t r o la r ea c h i e v e dr e s p e c t i v e l y a ni d e n t i t y - b a s e dd e n i a b l er i n gs i g n a t u r es c h e m eb a s e do nt h es h o r tr i n g s i g n a t u r e i nt h ed i s s e r t a t i o ni s g i v e n i nt h es c h e m e ，a l li d e n t i t y - b a s e d c h a m e l e o nh a s hf u n c t i o ni sa d o p t e d i tc a nb ec o n c l u d e dt h a tt h es c h e m ei st h e o n l ys c h e m ew h i c hs a t i s f i e st h er e q u i r e m e n t so ft h ed e n i a b l er i n ga u t h e n t i c a t i o n a n dt h ec o n s t a n t s i z es i g n a t u r e an e wm o d e lo fv e r i f i a b l ec e r t i f i c a t e l e s s r i n gs i g n c r y p t i o ns c h e m e s ( v c r s s ) i sp r o p o s e d i ti sa ni m p o r t a n tc r y p t o g r a p h i cp r i m i t i v ef o rp r i v a t e a n da n o n y m o u sc o m m u n i c a t i o n a ne f f i c i e n tv c r s ss c h e m eb a s e do nb i l i n e a r p a i r i n gi sa l s og i v e n i na n o n y m o u sc o m m u n i c a t i o n s ，t h es c h e m ea l l o w st h e m e s s a g es e n d e rt os e n dt h em e s s a g ea n o n y m o u s l y , w h i l et h ec o n f i d e n t i a l i t y a n da u t h e n t i c i t yo ft h em e s s a g ea r er e a l i z e da tt h es a m et i m e i fn e c e s s a r y , t h e r e a ls e n d e rc a np r o v eh i s h e ri d e n t i t y t h es c h e m ed o e sn o tr e q u i r et h eu s eo f a n yc e r t i f i c a t et oe n s u r et h ea u t h e n t i c i t yo fp u b l i ck e y s ，a n dt h et h ep r o b l e mo f k e ye s c r o w i se l i m i n a t e d f i n a l l y , t h ew o r ko ft h ed i s s e r t a t i o ni sc o n c l u d e d k e yw o r d s ：d i g i t a ls i g n a t u r e ；r i n gs i g n a t u r e ；a c c u m u l a t o r s ；e - c a s h ； c e r t i f i c a t e l e s sc r y p t o g r a p h y 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导下，由 作者本人独立完成的。有关观点、方法、数据和文献的引用已在 文中指出，并与参考文献相对应。除文中己注明引用的内容外， 本论文不包含任何其他个人或集体己经公开发表的作品成果。对 本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 作者( 签字) ：专矜骖 日期：加8 年占月, re t 第1 章绪论 1 1 研究背景及意义 第1 章绪论 自1 9 7 6 年d e f f i e 和h e l l m a n 提出数字签名的概念以来n 3 ，数字签名技 术引起了学术界尤其是密码学界和计算机网络界的广泛重视，特别是随着 i n e t e m e t 的飞速发展和电子商务的提出，数字签名技术获得了更加广泛的研 究和应用。数字签名技术作为保障网络信息安全的核心技术之一，具有认 证性，完整性和不可否认性等特点。随着数字签名的广泛应用，在不同的 领域要求具有特殊功能的数字签名方案以适应具体应用，这样的签名包括： 短签名、群签名、环签名、盲签名、代理签名、门限签名、可证实签名、 不可否认签名等等。比如，在现实环境中，出于公正、商业机密和保护用 户隐私的动机，诸如电子现金、电子投票、电子选举、匿名通信等一些具 体应用，客观要求保密用户的身份和位置等隐私信息。此时，迫切需要提 出满足信息安全和匿名业务需求的匿名签名技术。 按照匿名性的可控程度，可将匿名签名分为不可追踪签名人的无条件 匿名签名和可追踪的群签名。在对信息需要进行长期保护的一些特殊环境 中，无条件匿名技术起着关键作用。环签名作为一种新型无条件匿名签名 技术，是r r i v e s t 等人于2 0 0 1 年在“安全泄露秘密”的背景下首先提出的。 它是一种特殊的面向群体的签名，不需要群的建立过程，没有管理员，签 名者只需随意选取一部分成员公钥，再通过自己的私钥来产生一个签名， 这样减少了很多复杂的交互证明过程。环签名最大的特点是签名者具有完 全匿名性，可以保护签名者的隐私，且易于高效实现。环签名在匿名电子 选举、电子政务、电子货币系统、密钥分配以及多方安全计算中都有广泛 的应用，而成为当前研究的一个热点。 目前，关于环签名的研究在国内刚刚开始，理论体系尚不健全。随着 各种类型环签名方案的相继被提出，经研究发现环签名领域有许多问题急 待解决。如：针对环签名存在的签名大小与环成员个数成正比的问题，如 何构造签名大小固定的环签名方案；如何解决环签名中存在的密钥泄露问 题；为了避免群签名存在的成员撤销问题，能否用环签名取代群签名构造 哈尔滨下程大学博+ 学位论文 更加高效的相关协议( 如：电子现金协议) 等。本论文将对环签名存在的 若干问题和相关属性进行系统研究，利用可证明安全的思想指导各种类型 环签名方案的设计和改进，并尝试将环签名应用于电子现金协议，公平交 换协议和匿名通信系统中。这无论是对环签名的理论研究还是实际应用都 具有非常重要的意义。一方面，通过研究环签名目前存在的问题，给出解 决方案，可以进一步完善环签名的理论体系；另一方面，通过研究环签名 的相关属性及其应用，能够将其用于具有特殊功能( 如：无条件匿名) 的 应用领域，解决现实应用问题。 本章首先系统研究环签名的定义，分类，应用及其存在的问题，其次 介绍本论文的主要工作和组织结构。 1 2 环签名的研究现状 2 0 0 1 年，r i v e s t 等人在如何匿名泄露秘密的背景下提出了一种新型签 名技术，称为环签名( 鼬n gs i g n a t u r e ) 瞳3 ( 图1 1 ) 。环签名可以被视为一种特 殊的群签名，它没有可信中心，没有群的建立过程，对于验证者来说签名 广一。伍。瓦够 y r - 岛乡弋 9 y 2 = 9 2 ( x 2 ) 、 ， 一 e 。一e k f i g 1 1t h er i n gs i g n a t u r es c h e m ep r o p o s e db yr i v e s te ta 1 第1 章绪论 自环签名的概念被提出后，引起了各国学者的广泛关注。2 0 0 2 年， m a s a y u k ia b e 等人提出了如何使用不同签名方案产生的公钥来构造 1 - o u t o f 行签名口1 。f a n g g u oz h a n g 等将基于身份的密码系统和双线性对用于 构造基于身份的环签名方案h 1 。e m m a n u e lb r e s s o n 等提出了门限环签名的概 念，并将其应用于a d h o c 网络晦1 。鉴于隐私保护的需求，m o n in a o r 提出 了可否认的环认证方案哺，。 2 0 0 3 年，w i l l ys u s i l o 等在文献 6 的基础上提出了非交互的可否认环认 证方案口1 。j i q i a n gl v 等提出了环签名的匿名撤销方案可验证的环签名 方案哺1 。c h o n g z h ig a o 等基于n y b e r g - r u e p p e l 签名方案提出了新的环签名方 案旧1 。j a v i e rh e r r a n z 等提出了用于环签名方案安全性证明的分叉引理n 们。 f a n g g u oz h a n g 等将代理签名与环签名结合，提出了代理环签名的概念1 。 l i q u nc h e n 等用环签名方案构造了同时生效签名协议n 2 1 。d u n c a ns w o n g 等 提出了环签名方案的另一种构造方法：r e e d s o l o m o n ( r s ) c o d e 构造法，并 给出了相应的门限方案n 引。 2 0 0 4 年，j o s e p hk l i u 等与p a t r i c ke t s a n g 等就签名人身份的关联问题 进行了详细的讨论n 钔。y e v g e n i yd o d i s 等讨论了a d h o c 群体的匿名认证 问题，并提出了基于单向累加器n 朝的环签名方案n 引。g a nz h i 等使用在阀下 信道中嵌入认证信息的方法，提出了更高效的可验证环签名方案n 。a m i tk a w a s t h i 等提出了高效的基于身份的环签名和代理环签名方案n 引。j a v i e r h e 盯a n z 等提出了新的基于身份的环签名方案n 引。j i q i a n gl v 等将环签名与 认证加密结合提出环认证加密方案0 。t i a n j i ec a o 等指出文献 2 0 】的方案不 满足签名人可验证性和接收者可验证性，并提出了改进方案晗。王继林等 基于环签名思想提出了一种类群签名方案口2 | 。t o n yk c h a n 等提出了盲环签 名的概念晗引。 2 0 0 5 年，针对门限环签名，文献 2 4 ，2 5 又进行了进一步的研究。k c l e e 等提出了另一个匿名撤销的环签名方案心引。p a t r i c ke t s a n g 等设计了简短的 关联环签名方案，并将其用于电子投票、电子现金等系统中阻引。l a nn g u y e n 将基于双线性对的累加器用于构造基于身份的环签名方案，其签名大小是 固定不变的汹1 。q i a n h o n gw u 等构造了高效盲环签名方案汹3 。j o s e p hk l i u 等针对密钥泄露问题，首次提出了前向安全的环签名和密钥封装的环签名 哈尔滨t 程大学博士学位论文 方案，并推广至门限方案。 2 0 0 6 年，f a n g g u oz h a n g 等对文献 2 8 的认证方案进行了分析和改进口1 l 。 y i q u nc h e n 等提出了适用于p 2 p 网络的基于身份的匿名指定环签名方案曙引。 已有环签名方案的安全性证明几乎全是在随机预言模型中考虑的。然而， 该模型没有全面考虑实际攻击者的能力，因而该模型对于环签名来说安全 性较弱。随着环签名的不断发展，s h e r m a ns m c h o w 等基于双线性对，首 次提出了在标准模型中( g 一珂) d s j s d h 假设下可证安全的环签名方案口。同 年，a d a mb e n d e r 等分析了已有环签名方案的安全模型，全面考虑了实际攻 击者能力后给出了更加可靠的模型，并提出了在标准模型下可证安全的两 个环签名方案m 3 。黄欣沂等基于签密思想提出了基于身份的环签密方案嘲。 此外，m a nh oa u 等指出文献 2 7 的方案存在安全缺陷，并提出了新的简短 关联环签名方案m 3 。 从环签名发展的整个过程来看，它的发展经历了三个阶段： 2 0 0 1 2 0 0 2 ，以r i v e s t 提出环签名的概念为标志，这一阶段的工作主要 是参考r i v e s t 观点，提出具体的签名方案； 2 0 0 3 2 0 0 4 ，在经过两年对环签名的概念和意义的认识和理解后，一些 密码界人士开始对环签名进行研究。这一时期涌现了很多新思想、新模型 和新方案，是环签名发展的关键时期； 2 0 0 5 现在，这一阶段更加注重环签名的安全性、效率和实用性的研究。 有安全高效的环签名方案的研究，有环签名与通常的数字签名相互转化的 研究，还有环签名的推广方面的研究。 1 2 1 环签名基本概念 定义1 1 ( 环签名) 假定有n 个用户，每一个用户u ；拥有一个公钥y i 和 与之对应的私钥x i 。环签名是一个能够实现签名者无条件匿名的签名方案， 它主要由下列算法组成： ( 1 ) 密钥生成g e n 一个概率多项式时间算法，输入为安全参数k ， 输出为公钥和私钥。这里假定g e n 为每一个用户u ，产生一个公钥y ，和私 钥x ，并且不同用户的公私钥可能来自不同的公钥体制，如有的来自r s a ， 4 第1 章绪论 有的来自d l 。 ( 2 ) 签名s i g n ：一个多项式时间算法，在输入消息m 和n 个环成员的 公钥l = y 。，y ：，y 。) 以及其中一个成员的私钥t 后，对消息m 产生一个签 名尺，其中尺中的某个参数根据一定的规则呈环状。 ( 3 ) 验证v e r i f y ：一个确定性算法，在输入( m ，尺) 后，若r 为m 的环 签名则输出“t r u e ，否则为“f a l s e ”。 环签名因为其签名隐含的某个参数按照一定的规则组成环状而得名。 而在之后提出的许多方案中不要求签名的构成结构成环形，只要签名的形 成满足自发性、匿名性和群特性，也称之为环签名。 定义1 2 ( 环签名的安全性) 环签名必须满足以下安全性要求： ( 1 ) 正确性：如果按照正确的签名步骤对消息进行签名，并且在传播 过程中签名没有被篡改，那么环签名满足签名验证等式。 ( 2 ) 无条件匿名性：攻击者即使非法获取了所有可能签名者的私钥， 他能确定出真正的签名者的概率不超过1 肋，这里”为成员( 可能签名者) 的 个数。 ( 3 ) 不可伪造性：外部攻击者在不知道任何成员私钥的情况下，即使 能够从一个产生环签名的随机预言者那里得到任何消息m 的签名，他成功 伪造一个合法签名的概率也是可以忽略的。 1 2 2 环签名的分类与述评 环签名由于它的自发性、无条件匿名性和群特性而具有广泛的应用领 域。然而不同的应用领域要求环签名还应具有一定的特殊属性，如：门限 特性、关联性、可撤销匿名性、可否认性等。依据不同的应用需求，环签 名所具有的特殊属性也不尽相同。按照环签名所涉及的不同属性，把现有 的环签名方案归纳为以下四类并分别予以述评。 ( 1 ) 门限环签名 门限机制是团队或组织内部成员分享权力和秘密的重要方法。在已有 的诸多门限签名方案中，人们大都采用a s h a m i r 提出的基于l a g r a n g e 插值 的门限方案或g r b l a k l e y 提出的基于几何的门限方案。 哈尔滨丁程大学博士学位论文 2 0 0 2 年，b r e s s o n 等人将门限机制应用于文献 2 】的环签名方案，构造 出门限环签名方案( b s s ) ，并在随机预言模型中证明该方案是安全的瞄1 。 b s s 使用了公平划分的技术，使验证者确信n 个成员的群中至少有k 个成 员签署了信息，但是并不知道是哪k 个成员做了签名。 2 0 0 3 年，d u n c a ns w o n g 等人提出使用新技术：r e e d s o l o m o nc o d e 构 造环签名和门限环签名方案的方法n 3 1 。之后，j o s e p hk l i u 等人考虑允许多 个签名人使用不同公钥体制的情况，提出了可分( s e p a r a b l i l i t y ) 的概念。j o s e p h k “u 将可分性与门限环签名结合，给出了可以混合使用基于r s a 和基于 d l 公钥体制的可分门限环签名方案。 2 0 0 4 年，s h e r m a ns m 等人提出了第一个基于身份的门限环签名方案。 该方案是建立在秘密分享技术之上的，在随机预言模型中是不可伪造的， 并且对于群成员属于不同可信机构的情况仍然适用。同年，j o s e p hk l i u 等对环签名方案的安全模型进行了级别划分，并给出了三个级别的安全模 型，同时指出同一方案在不同的安全模型下会有不同的安全性能。j o s e p hk l i u 等提出了基于知识协议部分证明的门限环签名方案，给出了与之对应的 安全模型。p a t r i c kp t s a n g 等人将可分性与关联性用于门限环签名，首次提 出了可分关联的门限环签名方案，并给出了方案的安全模型。特别的，p a t r i c k p t s a n g 等人还提出了针对关联环签名的指责关联性和抗诽谤性的安全概 念。j a v i e rh e r r a n z 和g e r m a ns a e z 提出了基于身份的分布式环签名的概念。 针对一般集合和门限集合，他们分别提出了两个具体方案，并且给出了在 c d h 问题难解的情况下，方案的安全性证明过程。该方案允许签名人选择 任意的存取结构，而不仅局限于门限结构。2 0 0 4 年，伍前红等人在第八届 中国密码学术会议上提出了一种基于离散对数公钥体制的( f ，z ) 环签名。其 主要思想是：为了产生一个( f ，z ) f - j 限环签名，每个参与的签名者p 都在基 于离散对数的( 1 ，刀) 环签名口1 中嵌入一个零知识证明。这个零知识证明暗示 着尸知道与公钥列表中的某个公钥对应的私钥，但不知道具体是哪一个。 最后，t 个参与者的子签名构成了( f ，n ) f - j 限环签名。 2 0 0 5 年，t o s h i y u k ii s s h i k i 和k e i s u k et a n a k a 针对“当t 相对于n 较大 时b s s 方案低效”的缺点，提出了改进方案昭钔。该方案是通过对陷门单向 函数进行修改并结合公平划分的思想而提出的。相对于b s s 方案使用公平 6 第1 章绪论 划分是为了保证方案的正确性和匿名性，文献 2 4 的方案运用公平划分可以 确保方案的正确性和不可伪造性。 m a nh oa u 等人指出应该针对不同的匿名性需求提出不同的环签名方 案，并且首次提出了不使用双线性对的基于身份的门限环签名方案和基于 身份的关联门限环签名方案。他们还给出了在以上两个方案中添加身份证 ( i d e n t i t ye s c r o w ) 的方法。身份证使可信机构可以在特定场合撤销环签名的匿 名性。 ( 2 ) 关联环签名 关联环签名是具有签名人关联性的环签名。签名人关联性是指通过关 联环签名可以确定某两个签名是否由同一用户代表同一群体签署产生。 2 0 0 4 年，j o s e p hk “u 等首次提出了关联环签名的概念，并指出关联 环签名是满足自发性、匿名性和关联性的一种环签名。他们给出了第一个 关联环签名方案( l s a g ) ，并用改造后的分叉引理证明了方案的安全性， 同时，基于该方案构造了一个不需注册的电子投票系统n4 1 。同年，p a t r i c kp t s a n g 等在l s a g 的基础上，将“可分”的概念与关联环签名结合，首次提 出了可分关联环签名方案，并给出了相应的门限方案。同时，他们还提出 方案的安全模型，并引入了关联性的两个新安全概念：指责关联性和抗诽 谤性口7 1 。文献 3 7 】还将“确定两个签名是否由同一群体签署产生”称为“群 体指向”关联性。在某些情况下，如：在a d h o c 网络中群体成员不断变 化，大部分环签名是由不同的群体产生。若此时签名的群体成员固定不变， 则环签名的匿名性将会遭到破坏，此时就需要使用不同的环签名方案。为 了适应这种情况，文献 3 7 1 引入了“事件指向 关联性的概念，就是指“两 个签名是否由同一事件触发产生，而不关心它们是否代表同一个群体 。 2 0 0 5 年，针对于关联环签名方案的多种攻击情况，j o s e p hk l i u 等提 出了更强的安全模型，并给出了两个可证安全的多项式结构方案。同年， 在文献 2 8 】提出的签名大小固定的环签名方案基础上，p a t r i c kp t s a n g 等首 次提出了简短关联环签名方案，并将其用于构造首例同时满足多种属性的 电子投票系统。他们还给出了新的安全性假设：关联决策r s a ( l d r s a ) 假 设1 。 2 0 0 6 年，m a nh oa u 等指出文献【2 7 】的简短关联环签名因为方案中存 7 哈尔滨t 程大学博士学位论文 在授权中心而有安全缺陷。引。考虑了实际攻击者的能力后，文献 3 6 】综述了 现有关联环签名的所有安全模型，提出了更实用的新模型，并基于此模型 提出了一个新的简短关联环签名方案( n s l r s ) 。随后，l i u 等又提出了具 有指定关联性的关联环签名方案3 。其中，n l s r s 是目前高效且最实用的 关联环签名方案。 ( 3 ) 可撤销匿名性的环签名 环签名是匿名技术的一种，然而在有些情况下需要撤销其匿名性。比 如在某些场合，要给泄密者( 签名人) 颁奖，需要真实签名人证实其身份。 这时就需要撤销环签名的匿名性。 鉴于上述问题，l vj q 等于2 0 0 3 年提出了签名人证实算法基于双离散 对数的可验证环签名方案哺1 。2 0 0 4 年，g a nz 等使用在阀下信道中嵌入认 证信息的方法，提出了更高效的可验证环签名方案n 刀。2 0 0 5 年，k cl e e 等 基于r i v e s t 等提出的环签名方案提出了可转换的环签名方案啪1 。如果签名 人需要证实其身份，他可以通过泄露有关环签名的秘密信息将环签名转换 为普通签名，这样任何验证者都可以获得其身份信息。y u i c h ik o m a n o 等于 2 0 0 6 年提出的可否认环签名方案也可以撤销匿名性。与普通环签名相比， 可否认的环签名可以通过使用零知识交互协议，允许验证人与签名人或环 中的其他成员交互信息来确认究竟是谁产生了签名。与文献 8 ，1 7 ，2 6 的 方案相比，可否认的环签名除了可以证实真实签名人身份外，非真实签名 人还可以证明自己未签署的行为。同年，c h i h h u n gw a n g 等将指定确认者 签名( d c s ) 和指定验证者证明方案结合，提出了具有签名人身份可验证 性的环签名方案( w l 0 6 ) 啪 。 与之前的方案均可以公开验证签名人身份不同，w l 0 6 只允许指定的验 证方验证签名人身份，且验证方不能向其他人证明签名人的身份。w l 0 6 本质上是一个具有不可转移性的零知识协议。它与d c s 的不同之处在于： 在签名生成阶段，将个转换证据置于不完全的签名中。签名人可以通过 交互协议向验证方证明他知道以a 为底b 的对数，这样在不泄露对数值的 前提下证明了签名人的身份。文献【3 9 】还指出可以通过双线性对构造高效简 洁的可验证签名人身份的环签名方案，并将其用于低功耗的设备中。近来， z h a n g 等提出了基于n y b e r g - r u e p p e l 签名的可验证环签名方案h 引。该方案 8 第1 章绪论 仅使用了哈希函数就达到了撤销匿名的需求。此外，f u j i s a k i 等提出了具有 可控匿名性的可追踪环签名方案n 。 ( 4 ) 可否认的环认证和环签名 可否认认证方案是使消息接收者可以对其所收到的消息来源进行认 证，但无法向第三方证明发送者身份的一种认证方案。由于其在电子投票 系统和电子商务中有着极其重要的作用，设计高效的可否认认证方案成为 密码学界的一个热点问题。2 0 0 2 年，m o n in a o r 将可否认认证与环签名结 合，提出了可否认环认证的概念阳1 。可否认环认证是指：签名人可以使指定 验证者确信签名是由某群体中的成员产生的，但不泄露签名人的身份信息。 而此验证者不能使其他人确信此消息确实已被认证。 可否认的环认证满足以下要求： ( 1 ) 消息发送者可以证明确实是群s 中的某成员对消息进行了认证； ( 2 ) 具有不可伪造性，任何攻击者都不可能使消息接收者接受不是由 群s 中成员发送的消息； ( 3 ) 在零知识协议下，认证是可否认的。因为接收者可以生成不可区 分的合法认证信息； ( 4 ) 认证应该隐藏消息发送者的身份信息； ( 5 ) 方案不能假定验证者是群体s 中的一员，验证者也不需要公布其 公钥。 m o n in a o r 基于强加密方案，首次提出了有效的可否认环认证方案 ( m n 0 2 ) 。2 0 0 3 年，w i l l ys u s i l o 等指出m n 0 2 由于具有交互过程而需要秘 密信道，此外其签名长度也比普通的环签名要长很多。他们提出了非交互 的可否认环认证方案( w s 0 3 ) 口1 。w s 0 3 的认证过程不需要证明人和验证 人交互，仅要求指定验证者公开一个卡梅隆哈希函数供签名人签名使用。 w s 0 3 的签名长度与普通环签名一样长。同时，针对多验证者的情况，w i l l y s u s i l o 等提出了可否认的环到门限环的认证方案和可否认的环到环的认证 方案。随后，w i l l ys u s i l o 等对可否认的环认证作了进一步的研究h2 l 。然而 m n 0 2 与w s 0 3 的验证过程都不能公开进行。2 0 0 6 年，k o m a n o 等提出了可 公开验证的可否认环签名方案( y k 0 6 ) h 3 1 。然而，y k 0 6 与m n 0 2 、w s 0 3 不同，它们分别是为了解决不同的实际问题而提出的。y k 0 6 可以用于解决 9 哈尔滨下程大学博士学位论文 r i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i i 萱i i i i i i 环签名方案由于其具有无条件匿名性使得签名人可以诬陷群中的其他非真 实签名人的问题。它由四个多项式时间算法组成( k e y g e n ，s i g n ，v e r i f y , c o n d i s ) 。y u i c h ik o m a n o 等讨论了y k 0 6 的安全性需求，并证明了方案在 随机预言模型中d d h 问题假设下是安全的。使用y k 0 6 不但真实签名人可 以证明其身份，非真实签名人还可以证实自己未签署某消息的事实。然而 该方案在签名和验证阶段的计算开销比群签名还要大，因此构造安全高效 的可否认环签名方案仍是一个公开问题。 1 2 3 具有特殊性质的环签名 近年来，随着环签名研究的不断深入，将环签名与其他密码技术结合 产生了许多具有特殊性质的环签名方案，如代理环签名、盲环签名、环签 密等。 ( 1 ) 代理环签名 代理环签名是将代理签名和环签名结合产生的满足匿名性、不可伪造 性、可验证性、不可否认性和不可分辨性的新型签名体制。2 0 0 3 年，f a n g g u o z h a n g 等人在文献 4 4 】的基础上首次提出了代理环签名方案n 。当一个实体 把签名权力授予很多代理者时，这些代理者组成了代理签名者集合，每个 代理者都可以代替原始签名者执行签名操作，而代理者并不希望任何人( 包 括授权者) 揭开它的身份。此时，群签名和一般的代理签名就都不适用了。 f a n g g u oz h a n g 等人所提出的代理环签名方案恰好适合上述情形。2 0 0 5 年， w e i m i nl a n g 等对文献 1 1 的方案进行改进，提出了更加高效的代理环签名 方案h 别。其中，方案所需的有关双线性对的计算量从o 铆) 减小为o ( 1 ) 。2 0 0 6 年，l i 等给出了代理环签名的形式化定义和安全模型，并构造了简短的代 理环签名方案m 6 1 。与已有的代理环签名方案相比，该方案的执行效率最高。 ( 2 ) 盲环签名 t o n yk c h a n 等于2 0 0 5 年首先提出了盲s a g 签名的概念，并且基于 s c h n o r r 盲签名方案构造了基于环结构心一3 和c d s 结构的盲s a g 签名方案。 方案的安全性基于随机预言模型中的s c h n o r rr o s 问题和一般的群模型乜射。 同年，q i a n h o n gw u 等指出已有盲环签名方案由于其群成员动态变化存 1 0 第1 章绪论 在易被攻击的缺点钊，而其作者并未提及。基于此问题，为了确保安全， 防止群成员变化带来的“选择群公钥攻击 ，文献 2 9 】提出了基于静态群体 的盲环签名方案，并在扩展r o s 假设下证明了方案的安全性。此外，当群 公钥产生后，用该方案得到的签名大小、时空代价及相关参数交互的复杂 度都是固定的，对于低带宽的情况下更加适用。2 0 0 6 年，j a v i e rh e r r a n z 针 对上述两个盲环签名方案的缺陷，提出了在c