（计算机应用技术专业论文）基于身份的签名方案研究.pdf

河南大学研究生硕士学位论文 。 第1 页 摘要 基于身份的加密和签名技术可以有效地简化传统的( 基于证书的) 公钥密码 学环境中的密钥管理，且利用双线性映射可以高效地实现基于身份的加密和签名 技术。近几年来，国内外学者利用椭圆曲线上的双线性映射的性质和c d h 问题的 难解性提出了若干个基于身份的密码体制和签名方案。通过对这些方案的分析， 发现在这些方案中签名者必须绝对信任一个可信中心机构( 我们称之为t a ) 。由 于签名者的签名私钥是由t a 生成的，因此，t a 可以伪造出签名者的签名并能顺 利通过有效性验证，因此这些签名方案是不能应用于公开的系统环境中。 本文的主要研究结果如下： 在基于身份的签名方案的设计与分析中，主要的研究工作是基于在扩展的基 于身份的b o n e h f r 卸【l l 【l i n 公钥加密体制中引入两个1 a 来有效防止1 a 破解攻击的 原理，提出了一种基于身份的签名方案。在安全性方面进行了分析并给出了相关 的定理及其证明，在系统性能方面也给出了具体的分析。 在基于身分的代理签名方案和盲签名方案的设计与分析中，主要的研究工作 是以本文提出的基于身份的签名方案为基础，合理融入代理委托机制，设计出一 种基于身份的代理签名方案，同时，结合盲签名的特点和现有盲签名方案的优点， 设计出一种基于身份的盲签名方案。在安全性方面给出具体的分析和相关的定理 及其证明，在系统性能方面也给出了具体的分析。 最后，得出的结论是，本文提出的方案是安全可行的，可以应用于公开的系 统环境中，可以应用于电子商务、电子政务等多种使用场合。 关键字：数字签名；基于身份；可信中心机构；双线性映射；w e i l 配对 第1 i 页河南大学研究生硕士学位论文 a b s t r a c t t h ei d 二b a s e de n c r ) 叫i o na 1 1 ds i g n a n 聆t e c l l i l o l o g yc 趾s 呻1 迅k e ym a i l a g e m e n t i 1 1t l l e 缸a d i t i o i l a l ( c e r t i f i c a t i o n b a u s e d ) p u b l i ck e yc r ) t o l o g ye 岫衄e n te f f e c t i v e l y ，a n d a l s om a y 删i z en l ei d b a s e de n c 聊t i o n 锄ds i g n a t u r e 协c t l l l o l o g yb yu s 洫gt l l eb i l 洫e a r m 印l l i g l l l y 锄de 航c t i v e l y i n 也el a s tf e wy e a r s ，m ed o m e s t i ca n df o r e i g ns c h o l a r s p r o p o s e ds o m em - b a s e dc r y l t o s y s t e m s 距ds i 印狐聆s c h e m e s 触e ra i l a 】y z i n gt 1 1 e s e s c h e m e s ，n l e yf o 岫dm a t 廿l es i g n e rn e e dt o 似at m s t e d - a u m o r i 够( 、ec a l l e dt a ) i 1 1 也e s es c h e m e s f o rm ep r i v 习i t ek e yo ft 1 1 es i g n e rg e n e r a t e d 丘o mt s ot ac a nf o 唱ea v a l i ds i g n a t i l r e 锄da 1 1r i g h tp 硒s e dv e r i f i c a t i o n t l l e r ef o r e ，m e s es c h e m e sc 锄o ta p p l y i 1 1t h ep u b l i cs y s t e m 朗v i r o i l i n e n t t h er e s e a r c h e so fn l i st l l e s i sa sf 0 1 l o 、v s ： i nt h ed e s i g na n d 觚a l y s i so ft l l ei d b a s e ds i g i l a t l l r es c h e m e ，t l l em a 协r e s e a r c h p r o p o s e sa n e wi d - b 嬲e ds i 罂舭s c h e m ew | 1 i c hb a s e do n 也ep r i n c i p l eo fi n 仃0 d u c e s 似o1 at op r e v e n tt h ea ：t t a c ko ft a ，sd e c r ) ，p te f r e c t i v e l yi i ln l ee x p 锄d i n gi d - b a u s e d b o n e h f r 铷f l l ( 1 i np u b l i ck e yc 呷t o s y s t e m c 枷e do ns e c 耐够a i l a l y z e da i l dh a l s 百v e n t h et l l e o r e m 觚dc e r t i f i c a t i o ni 1 1s e c u r ea u s p e 吒a 1 1 dh a sa l s og i v e nm ec o n c r e t ea i l a l y s i s i 1 1t l l es y s t e mp e 墒m 趾c ea s p e c t d 嘶n gt h ed e s i g m n ga 1 1 d 锄a l y s i so ft 1 1 ei d - b 硒e dp r o x ys i g i l a ：t u i es c h e m e 锄d b l i n ds i 印a t u r es c h e m e ，m em a i nr e s e a r c h e s 盯ei i n p o r tap r o x ye n 仉_ s tm e c h a n i s m r e a s o n a b l y ，锄dp r o p o s ean e wi d b a s e dp r o x ys i 鄂眦u r es c h e m e ，锄da tt h es 锄et i m e ， c o n 如i 1 1 e dt l l ec b a 阳肿e r i s t i co f l eb l i i l ds i 舒咖j r ea i l dm em e r i to ft l l ee x i s t i n gb l i i l d s i g m 衄es c h e m e ，p r o p o s ean e wi d - b a s e db l i i l ds i 印a t u r es c h e m e ，w k c ha r eb a s e do n an e wi d - b 嬲e ds i g n a t u r es c h e m ep r o p o s e di i lt l l i st 1 1 e s i s 刖s oc 硎e do ns e c u r i t y 锄m y z e da n dh a v e 百v e nt h et 1 1 e o r e ma n dc e n i f i c a t i o ni i l s e c u r ea s p e c t ，h a v eg i v e nt l l e c o n c r e t e 删y s i si 1 1t 1 1 es y s t e mp e 晌衄a n c ea s p e c t f i i l a l l y ，t l l ec o n c l u s i o ni s l a t l es c h e m e sw h i c hw e r ep r o p o s e dmt h i st h e s i sa r e s e c u r e 锄df e 嬲i b l e ，c 趾印p l yi i lt h ep u b l i cs y s t e me 1 1 v i r 0 呲1 e i l t 锄dc a l la l s oa p p l yi 1 1 m a r l yk i i l d so fs i t u a t i o 玛s u l c ha s 廿1 ee l e c t r o l l i cc o m m e r c e ，m ee l e c t r o l l i cg o v e m m e n t a i b i r sa n ds oo n k e yw o r d s ：d i g i t a ls i 粤l a n l r e ；i d e n t i 够- b a s e d ；t m s t e d - a u t l l o r i t ) ，；b i l i n e a rm a p ； w 西l 咖g 关于学位论文独立完成和内容创新的声明 本人向河南大学提出硕士学位中请。本人郑重声明：所呈交的学位论文是 本人在导师的指导下独立完成酌，对所研究的课题有新的见解。据我所知，除 文中特别加以说明、标注和致谢的地方外，论文中不包括其他人已经发表或撰 写过的研究成果，也不包括其他人为获得任何教育、科研机构的学位或证书而 使用过的材 了明确酌说 本人经 了解并同意 中作 完全 国家 图书馆、科研信息机构、数据收集机构和本校图书馆等提供学位论文( 纸质文 本和电子文本) 以供公焱检索、查阎本孔授权河赢大学出于宣扬、展览学校 学术发展和进行学术交流等冉钠j 碗虿瞄幕琢影印 缩印、扫描和拷贝等复制手 学住获得者( 学位论文作者) 签名：叠荦 一 2 0o 占年6 月f o 曰 学位论文指导教师签名：圣墨茎 2 0 祁年厂月d 日 河南大学研究生硕士学位论文第1 页 第1 章引言 随着计算机网络的蓬勃发展，网络服务的日益增多，以及电子商务的深入和 广泛应用，信息的保密性、完整性和可用性受到了前所未有的重视，解决这一问 题的唯一有效手段就是使用现代密码技术。 1 1 选题背景 密码学是一门古老而又年青的科学，它用于保护军事和外交通信可追溯到几 千年前。在当今的信息时代，大量的敏感信息如病历、法庭记录、资金转移、私 人财产等常常通过公共通信设施或计算机网络来进行交换，而这些信息的机密性、 完整性和抗否认性是人们迫切需要的。因此，现代密码学【l 刮的应用已经不再局限 于军事、政治和外交，其商用价值和社会价值也已得到了充分肯定。 在现代密码学中，如何构造不可伪造的数字签名、设计容错协议、以及与此 密切相关的伪随机数发生器和零知识证明都已成为现代密码学的主要内容u 7 。1 4 l 。随 着现代通信技术和计算技术的迅速发展，尤其是全球互联网的迅猛发展，以及互 联网上各种服务的广泛开展，各种机构和个人信息在网上存储、传输的增长，使 得网络安全成为与互联网的生存和发展密切相关的技术。研究和应用各种密码技 术就成为保障网络安全的关键环节。 数字签名【1 1 。1 1 7 】是对手写签名的模拟，通过分析手写签名的特点，一个数字签 名方案至少要满足以下三个条件： 1 、不可否认性：签名者事后不能否认他签署的签名。 2 、不可伪造性：其它任何人不能伪造签名者的签名。 3 、可仲裁性：当签名双方对一个签名的真实性发生争执时，第三方仲裁机构 可以帮助解决争执。 数字签名算法与公钥加密算法类似【3 ，6 9 】【1 8 捌，是私钥或公钥控制下的数学变 换，而且通常可以从公钥加密算法派生而来。签名是利用签名者的私钥对消息进 行计算、变换，而验证则是利用公钥检验该签名是否是由签名者签署。只有掌握 了签名者的私钥才能计算、伪造签名者的签名，从而实现了不可否认性、不可伪 造性和可仲裁性。 第2 页河南大学研究生硕士学位论文 数字签名技术应用十分广泛，数字签名在包括身份认证识别、数据完整性保 护、信息不可否认及匿名性等许多信息安全领域中都有重要的用途。甚至可以说 有信息安全的地方，就有数字签名。特别是在网络安全通信、电子商务等系统中 数字签名都具有重要作用l l 孓1 。7 。 传统的数字签名在验证时需要用到签名者的公钥，这需要借助于公钥基础设 施( p ) 来实现，在实际应用时较为复杂。 1 2 研究现状 1 9 8 4 年s b a m i r 首先提出了基于身份的加密体制和签名方案1 9 j ，使用基于身份 的加密和签名技术可以有效简化传统的( 基于证书的) 公钥密码学环境中的密钥 管理【9 】【1 0 】【2 3 】【2 4 】。此后，人们发现利用双线性映射【1 0 1 2 】【2 3 】可以高效实现密码学上基 于身份的加密、签名等应用。近几年来，人们利用椭圆曲线上双线性映射的性质 和c d h 问题的难解性提出了若干新的基于身份的密码体制和签名方案【1 0 儿2 3 。3 2 j 。通 过对这些方案的分析发现，一个有效的基于身份的密码系统应满足下列基本条件： 1 ) 用户之间既不需要交换私钥，也不需要交换公钥； 2 ) 不需要公共的证书服务器； 3 ) 只在系统建立阶段需要一个可信的机构为系统中每个用户生成密钥，且用 户绝对信任该可信机构。 其中需要我们关注的是第三个条件，即：用户必须绝对相信可信中心机构( t r u s t e d a u t l l o r i 够，t a ) 。而现实中用户是不可能绝对相信t a 的，因为用户的密钥是由t a 生成的，t a 可以破解任何用户加密的密文和伪造任何用户的签名；且t a 在理论 研究中是绝对可信的，但在现实应用中并不是绝对可信的。因此，基于身份的公 钥密码系统不适合应用到公开的系统环境中，适合在一个封闭的、t a 对整个系统 中的的信息具有法律上的所有权的系统环境中使用。很不幸，这是一个非常苛刻 的条件。 在有些方案【2 7 3 2 】中，用户密钥是由k g c ( 密钥生成中心，k e yg e n e m _ t i o n c e n t e r ) 或p k g ( 私钥产生中心，p r i v a t ek e yg e n e r a t o r ) 生成的，通过对这些方案 分析，我们发现k g c 或p l 的作用与t a 是一样的，即：都是作为产生用户密钥 的第三方机构，使用k g c 或p k g 并没有解决第三方破解用户密文和伪造用户签 名这个本质问题。因此，这些方案同样不适合应用到一个公开的系统环境中。 2 0 0 3 2 0 0 5 年，c h e nx i a 0 f e n g ，l i a oj i a i l 等人分别提出了一种无可信中心的 基于身份的签名方案【3 3 35 1 ，其原理是：签名者随机选取一个随机数作为私钥的一 河南大学研究生硕士学位论文第3 页 部分，计算对应的参数，然后将参数、随机数的使用期限以及其身份信息i d 一起 发送给t a ，由t a 生成签名公、私钥。在这类方案中t a 可以轻易地、成功地伪 造出签名者的签名且顺利地通过验证，验证者会将其作为有效的签名接收并进行 后期工作。一但验证者与签名者因为签名的有效性而产生争议时，签名者可以通 过一个交互协议1 3 3 j 1 3 4 j 来证明：在同一个使用期限内不可能出现两个不同的随机数 ( 签名者随机选取的) ，从而证明此签名是t a 伪造的。这种方案对签名有效性的 验证具有严重的事后性，即不能有效地防止t a 的伪造攻击。在扩展的 b o n e h f m 】 1 l 【l 访公钥加密体制【1o 】中引入了两个t a ，在该密码体制中：只有这两 个t a 完全合谋才能破解该密码体制，但加、解密过程中运算量增加了一倍。 如何设计出一个可以应用到一个公开的系统环境中的基于身份的加密体制和 签名方案是一个值得关注和研究的问题。 1 3 研究内容和创新点 本文的研究内容是：着重研究基于身份的公钥密码学【吼1 2 】和基于身份的签名技 术【2 3 3 5 1 ，选择合适的安全哈希函数1 0 m 】【2 3 ，3 8 矧，设计出一种基于身份的签名方案。 在该签名方案中引入多个t a ，用于解决t a 的伪造攻击问题，并有效地解决t a 之间的伪造攻击问题，使得本方案可以应用于公开的系统环境中，最后对新方案 进行安全性分析、理论证明和系统性能分析。在新方案的基础上，合理融入代理 授权机制，设计出一种可以应用于公开系统环境中的、基于身份的代理签名方案， 解决代理签名权利的滥用性和不可伪造性，并对新的代理签名方案进行安全性分 析、理论证明和系统性能分析。同时，根据盲签名的定义和特性及现有盲签名方 案的优点，设计出一种可以应用于公开系统环境中的、基于身份的盲签名方案， 并解决不可伪造性、无关性和不可追踪性，对新的盲签名方案进行安全性分析、 理论证明和系统性能分析。 本文的创新点： l 、在新的签名方案中引入多个t a ，用于解决t a 的伪造攻击问题，并有效地 解决t a 之间的伪造攻击问题，使得本方案可以应用于公开的系统环境中。 2 、在新方案的基础上，合理融入代理授权机制，设计出一种基于身份的代理 签名方案；同时，根据盲签名的定义和特性及现有盲签名方案的优点，设计出一 种基于身份的盲签名方案。 第4 页河南大学研究生硕士学位论文 1 4 论文组织安排 论文的具体安排如下： 第2 章简要介绍本文研究内容所用到的密码学基本概念和常识，包括椭圆 曲线上双线性映射的性质、几个著名的密码学问题、基于身份的数字签名方案以 及安全h a s h 函数，对与本文研究的主要内容相关的代理签名和盲签名也做了简单 的介绍。 第3 章研究基于身份的公钥密码学和基于身份的签名技术，设计出一种基 于身份的签名方案，在该方案中引入多个t a ，解决了t a 的伪造攻击，并有效地 解决t a 之间的伪造攻击问题，并对该方案的安全性进行分析、论证，并对性能进 行分析。 第4 章以第3 章提出的签名方案为基础，合理融入代理授权机制，设计出 一种基于身份的代理签名方案，解决代理签名权利的滥用性和不可伪造性，并对 该方案进行安全性分析、理论证明和系统性能分析。 第5 章以第3 章提出的签名方案为基础，根据盲签名的定义和特性及现有 盲签名方案的优点，设计出一种基于身份的盲签名方案，并解决不可伪造性、无 关性和不可追踪性，对新的盲签名方案进行安全性分析、理论证明和系统性能分 析。 本章小结 首先对密码学进行了简单的介绍；接着简单的介绍了数字签名、数字签名的 应用前景，以及基于身份的密码系统的研究现状及分析；给出了本文主要的研究 内容和创新点，确定了本文的研究主旨；最后给出本文的组织安排。 河南大学研究生硕士学位论文第5 页 第2 章基本概念 基于身份的数字签名与传统的数字签名一样都是基于数学上某种问题的难解 性设计的，和数学有着密切的关系。许多数学知识，如计算复杂性、离散对数问 题( d l p ) 、椭圆曲线、椭圆曲线离散对数问题( e c d l p ) 、椭圆曲线上的双线性 映射、单向安全h 础函数等都是我们进行基于身份的数字签名研究的基础。 2 1 计算复杂性问题和密码学假设 计算复杂性理论是构造安全的密码系统的理论基础，而密码学假设是构造密 码系统的前提。 2 1 1 计算复杂性 计算复杂性理论1 1 - 3 】【5 。7 】【1 1 】是密码系统安全性定义的理论基础，也是构造安全的 现代密码系统的理论依据，因而它对现代密码学的理论研究及实际应用的发展起 着非常重要的作用。研究问题的计算复杂性能够使人们弄清被求解问题的固有难 度，评价所用算法的优劣能够使人们获取更有效的算法。 算法的复杂性由该算法需要的最大( 或平均) 时间和存储空间来度量。由于 算法解决问题不同规模的实例所需的时间和存储空间往往不同，通常将它们表示 为问题实例的规模疗的函数。如果一个算法的复杂性是d ( ) ，则此算法是多项式 算法。 问题的复杂性就是解决此问题最有效的算法的复杂性。在确定型图灵机上存 在多项式算法可解的问题称为易处理的，否则称为难处理的。所有易处理问题的 集合称为p 类问题；在非确定型图灵机上存在多项式算法可解的问题称为n p 问题， 所有n p 问题的集合称为n p 类问题；如果有一个n p 问题，每个n p 问题都可以 用多项式算法转化为它( 多项式归约) ，那么称它为n p c 问题，所有n p c 问题的 集合称为n p c 类问题。 在破译密码时还经常使用一种概率算法，概率算法意味着在算法的某些执行 步骤要做随机选择。算法可能会失败，但可以使失败的概率任意小。概率算法是 第6 页河南大学研究生硕士学位论文 一种很有效的破译密码方法。 2 1 2 密码学假设 在密码学的研究中一般都假设解决下面这些问题在计算上是不可行的( 即不 存在多项式解决算法) 1 1 3 】【5 1 4 】【2 3 ，2 4 】，与本文研究工作相关的密码学问题分别是离散 对数问题( d l p ) 、椭圆曲线离散对数问题( e c d l p ) 、判定d i 街e h e l l m a l l 问题 ( d d h p ) 、计算d i 伍e h e l l m a l l 问题( c d h p ) 和( 乏l pd i 伍e h e l h 啪问题( g d h p ) 。 l 、离散对数问题( d i s c r e t el o g r 弛mp r o b l 锄，简记为d l p )设( g ，) 是 一个有限乘法群，p 是g 的一个g 阶生成元。对任意给定一个群中的元素q ，计 算一个整数刀( 0 ，2 9 1 ) ，使得尸”= q 成立。 2 、椭圆曲线离散对数问题( e 1 l i p t i cc u r v ed i s c r e t el o g a r i 她p r o b l e m ，简记为 e c d l p ) 设( g ，+ ) 是一个有限a b e l 加法群，尸是g 的一个g 阶生成元。对任 意给定一个群中的元素q ，计算一个整数甩( 1 刀g 一1 ) ，使得q = 玎p 成立。 3 、判定d i 伍e h e l l m a l l 问题( d e c i s i 彻d i 衔e h e l l m 锄p r o b l e m ，简记为d d h p ) 设( g ，+ ) 是一个有限a b e l 加法群，尸是g 的一个g 阶生成元。对任意给定3 个 数口，6 ，c z 。，给定尸、卯、6 尸、印，判定c = 口6m o dg 是否成立。 4 、计算d i 伍e h e l l m a n 问题( c o m p u t a t i o r l a ld i 币e h e l l m a 玎p r o b l e m ，简记为 c d h p ) 设( g ，+ ) 是一个有限a b e l 加法群，尸是g 的一个g 阶生成元。对任意 给定2 个数口，6 z 。，给定p 、卯、6 尸，计算口6 p 。 5 、q 琊d i 衔e h e l l m a l l 问题( g a pd i 币e h e l l m 锄p r o b l e m ，简记为g d h p ) 设 ( g ，+ ) 是一个有限a b e l 加法群，尸是g 的一个g 阶生成元。在群g 中，当d d 肿 计算是容易的，但c d h p 计算是困难时，称群g 为g a pd i 伍e - h e l h l l a n ( g d h ) 群。 本文所研究的课题的安全性主要是基于d l p 、e c d l p 和c d h p 是难解的。 2 1 3 椭圆曲线上双线性映射及其性质 令g 1 为由尸生成的阶为g 的循环加法群，g 2 为同阶的循环乘法群。假定在群 g l ，g 2 中计算离散对数问题是困难的。双线性映射协1 2 1 口3 心1 是指满足下列性质的 一个映射： pg 1 g 1 一g 2 ( 1 ) 双线性 河南大学研究生硕士学位论文第7 页 b 甲，q ，r g 】，口，6 z 。 p ( 只q + 尺) = p ( 尸，q ) p ( p ，r ) p ( 尸+ q ，r ) = p ( p ，r ) p ( q ，r ) p ( 口p ，6 q ) = p ( 口6 尸，q ) = p ( 尸，口6 q ) = g ( 尸，q ) 动 ( 2 ) 非退化性 对任何尸g l ，存在q g 1 ，使得e ( 尸，q ) 1 ( 1 为群g 2 的单位元) ( 3 ) 可计算性 对所有的p ，q g 】，存在有效的算法计算p ( p ，q ) 这三条性质主要用于基于身份的公钥密码体制和基于身份的签名方案中。 2 2 数字签名 数字签名【1 1 1 7 】是一种以电子形式存储消息签名的方法。一个数字签名方案包 括两个部分：签名算法和验证算法。签名者a 1 i c e 能够使用一个( 私有的) 签名算 法s 堙来为消息x 签名，签名结果s 辔 ) 随后能使用一个公开的验证算法垤，得到 验证。给定数据对( x ，y ) ，验证算法根据签名是否有效而返回该签名为“真”或“假 的答案。 根据伪造签名所需的计算能力，我们将数字签名分为无条件安全的数字签名 和计算上安全的数字签名。现有的数字签名大多是计算上安全的。计算上安全的 数字签名是指伪造数字签名在计算上是不可行的。无条件安全的数字签名指无论 花费多大的时空代价都无法伪造数字签名。在实践中，无条件安全的数字签名的 实现不太有效因而无法应用，对数字签名的研究主要是设计计算上安全的数字签 名。 2 2 1 基于身份的数字签名方案 1 9 8 4 年s b a m j r 提出了一种基于身份的加密方案例( 简称i b e ( i d e n t i 够- b a s e d e n c d 研i o n ) ) 的思想，并征询具体的实现方案，方案中不使用任何证书，直接将 用户的身份作为公钥，以此来简化公钥基础设施p ( p u b l i ck e yi n 觚蛐l r e ) 中基于证书的密钥管理过程。直到2 0 0 1 年，b o n e h 和f r a u 【1 1 ( 1 i i l 使用椭圆曲线上的 双线性映射和c d h 问题的难解性，提出了第一个实用的基于身份的公钥密码体制 【l o 】和基于身份的签名方案【2 3 1 。此后，人们利用椭圆曲线上的双线性映射和c d h 问 第8 页河南大学研究生硕士学位论文 题的难解性提出了若干个新的基于身份的签名方案团。3 2 】。 基于身份的签名方案除了具有传统的签名方案的特性外，还具有以下几个特 点： l 、用户之间既不用交换私钥也不用交换公钥。 2 、不需要公共的证书服务器。 3 、只在系统建立阶段需要一个可信的机构( t r u s t e da l n h o r i t ) r ，t a ) 为系统中 的每个用户生成密钥，且用户绝对信任该可信机构。 2 2 2 代理签名 代理签名( p r o x ys i g n a ：t l i r e ) 【1 3 】【1 4 】是一种具有特殊用途的数字签名，代理签名 就是原始签名人将自己的签名权力委托给某人来代替自己签名，也称为委托签名。 m 锄b o 等人于1 9 9 6 年提出了第一个代理签名方案【3 引，利用代理签名，原始签名 人可以将他的签名权力委托给另外一个被称之为代理签名人的用户，这样代理签 名人就可以代表原始签名人生成数字签名。 任何一个代理签名方案都包含以下几个部分： 初始化过程：在这个过程中，选定签名方案的参数、用户的密钥等； 权力的委托过程：在这个过程中，原始签名人将自己的签名权力委托给代理 签名人； 代理签名的生成过程：在这个过程中，代理签名人代表原始签名人生成数字 签名； 代理签名的验证过程：在这个过程中，验证人验证代理签名的有效性。 根据数字签名权力的委托方式的不同，可将代理签名分为完全代理签名、部 分代理签名和带委任状( 证书) 的代理签名三种基本类型【1 3 】【1 4 】【4 0 删。 目前，国内外学者对代理签名的研究重点在于对部分代理和带委任状( 或证 书) 的代理，并且往往是将两者的优点结合起来进行研究【7 - 1 0 】【2 5 。2 7 】f 2 9 ，3 0 】【4 0 4 3 1 。 一个有效的代理签名应满足以下特性； 1 ) 不可伪造性：除了代理签名人外，任何人( 包括原始签名人) 都不能生成 有效的代理签名。 2 ) 可区分性：任何一个代理签名都与原始签名人的普通数字签名有明显的区 别；不同的代理人生成的代理签名之间也有明显的区别。 3 ) 不可抵赖性：代理签名人不能否认由其生成的、被认为是有效的代理签名。 4 ) 可证实性：原始签名人可以根据一个有效的代理签名确定出相应的代理签 河南大学研究生硕士学位论文第9 页 名人的身份。 5 ) 密钥依赖性：代理签名密钥依赖于原始签名人的秘密密钥。 6 ) 可注销性：原始签名人可以收回代理签名人的签名权力。 2 2 3 盲数字签名 盲数字签名( b l i n ds i g i 】劬u r e ) 【1 1 】【1 3 j 【1 4 1 简称盲签名，也是一种具有特殊性质的 数字签名。这种签名要求签名人能够在不知道被签名消息的内容的情况下对消息 进行签名。另外，即使签名人在以后看到了被签名的消息以及他对这个消息的签 名后，他也不能判断出这个签名是他在什么时候为什么人签署的。 盲签名有非常重要的实际应用价值。在电子现金系统中，一个文件可能代表 着一个电子货币，签名者可能代表着发行货币的银行。因为电子货币都是被盲签 名的，所以消费者在使用电子货币时能够保持自己的匿名性。 自d a 啊dc h a u m 于1 9 8 2 年利用r s a 公钥密码体制设计出第一个盲签名方案【3 刀 以来，国内外学者重点研究了盲签名，并将盲签名分为强盲签名和弱盲签名两类 【1 1 】【1 3 】【1 4 】【2 5 2 刀【2 9 3 2 】【3 5 ，3 7 】【4 4 5 们。 盲签名除了具备普通数字签名的基本特性外，还具有以下特性： 1 ) 盲性：签名人不知道他所签消息的内容和任何相关的信息。 2 ) 不可追踪性：在签名公开后，签名人无法将他所签的消息与签名使用人联 系起来。 3 ) 无关性：同一使用人的两条不同消息的签名不能建立起联系。 2 3 哈希函数 密码学上的h 础函数【8 】【1 1 】【12 1 【3 8 - 3 9 】( 也称杂凑函数) ，是一种将任意长度的消 息压缩到某一固定长度的消息摘要( m e s s a g ed i g e s t ) 的函数。将h a u s h 函数应用到 数字签名中可带来下列一些好处： ( 1 ) 可提高数字签名的速度。 ( 2 ) 可破坏数字签名方案的某种数学结构，比如同态结构。 ( 3 ) 可将数字签名和加密变换区分开来，可用私钥密码体制实现保密，而用 公钥密码体制实现签名。在i s o 的公开系统参考模型中，这种分离的一个优点是 可在计算机网络的不同层次中提供消息的完整性和机密性。 h 础函数除了可以用于数字签名方案中之外，还可以用于其它方面，比如： 第1 0 页河南大学研究生硕士学位论文 消息的完整性检测、消息的认证等。 根据h a s h 函数的安全水平人们将h a s h 函数分成两大类：一类是强无碰撞的 h 2 l s h 函数( 鼬m n gc o l l i s i o n 舶eh a s hf 岫“0 n s ) ；另一类是弱无碰撞的h a s h 函数 ( w b a kc 0 1 l i s i o n 右r e eh a s hf u n c t i o l l s ) 。 定义2 1 一个强无碰撞的h a s h 函数是满足下列条件的函数8 】【1 1 】【1 2 】： ( 1 ) 日的输入可以是任意长度的任何消息或文件尬 ( 2 ) h 的输出长度是固定的( 该长度必须足够长以便能抵抗所谓的生日攻击， 根据今天的计算技术和能力，至少应为1 6 0 比特) ； ( 3 ) 给定日和m 计算日( m ) 是容易的； ( 4 ) 给定日的描述，找两个不同的消息m ，和m ，使得日( m ) = 日( m ，) 在计 算上是不可行的( 如果有两个消息m ，丝，m 心，使得日( m ) = 日( m ，) ，我们 就说这两个消息是碰撞消息或这两个消息碰撞) 。 一个强无碰撞的h a s h 函数暗含着单向性，所以强无碰撞的h a s h 函数又称强 单向h 嬲h 函数。一个弱无碰撞的h a s h 函数与一个强无碰撞的h a s h 函数的前三个 条件完全一样，不同的只是第四个条件。在一个弱无碰撞的h a s h 函数中，( 4 ) 给 定日的描述和一个随机选择的消息m ，找到另一个消息旭，m m ，使得： 日( m ) = h ( m ，) 在计算上是不可行的。 显然，强无碰撞的h a s h 函数要比弱无碰撞的h a s h 函数的安全性强。 2 3 1 安全h a s h 函数 安全h a l s h 算法( s e c u r eh a s ha l g o r i t l l l ：i l s ) 在1 9 9 3 由n i s t 提议作为标准，并 被采纳为f i p s1 8 0 。2 0 0 1 年5 月3 0 日，n i s t 公布f i p s1 8 0 2 的草案接受公众的 评审。这次标准1 3 8 j 包括s h a 2 5 6 、s h a 3 8 4 和s h a 51 2 ，这三个新的h a s h 函数也 是迭代函数，但他们比s h a 1 具有更复杂的描述。s h a 1 和s h a 2 5 6 可以处理消 息长度小于2 6 4 位的消息，分组长度是5 1 2 位；而s h a 3 8 4 和s h a 5 1 2 可以处理 消息长度小于2 1 2 8 位的消息，分组长度是1 0 2 4 位。2 0 0 4 年2 月2 5 日，s h a 2 2 4 也被加入了f i p s1 8 0 2 这个标准【3 9 。s h a 2 2 4 的工作原理和s h a 2 5 6 完全相同， 只是取出s h a 2 5 6 消息摘要最左边的2 2 4 位作为s h a 2 2 4 的消息摘要值。 2 0 0 5 年王小云等人提出了对s h a 1 的碰撞搜索攻击【5 卜5 3 j ，该方法用于攻击完 全版的s h a 0 时，所需要的运算次数少于2 埘；攻击5 8 步的s h a 1 时，所需的运 算次数少于2 3 3 ；他们还分析指出，用他们的方法攻击7 0 步的s h a 1 时，所需的 运算次数少于2 5 0 ；而攻击8 0 步的s h a 1 时，所需要的运算次数少于2 6 9 ，这些数 河南大学研究生硕士学位论文第1 1 页 据表明，广泛应用于网络安全上的s h a 一1 已经不安全了。 2 3 2 本文研究中所用到的单向无碰撞h a s h 函数 设有两个阶为g 循环群( g l ，+ ) 与( q ，) ，其中q 为大素数。p q 且是g 1 的生 成元。 1 、日 o ，1 专g l 该h 曲函数用于将用户的仍映射成g l 中的元素。即： ( 1 ) 设x o ，1 ) ； ( 2 ) 输入：x ； ( 3 ) 输出：q ( x ) g l 。 2 、吼 o ，1 ) g 2jz 4 该h 础函数用于将由o 、1 组成的消息与g 2 中的元素映射成z q 中的元素。即： ( 1 ) 设x 0 ，1 ) ，y ( 艺； ( 2 ) 输入：x 和y ； ( 3 ) 输出：吼( x ，y ) z 口。 3 、马 0 ，1 ) 寸 o ，1 ” 该h a s h 函数用于将由0 、1 组成的不定长度的消息映射成长度为以的摘要。 即： ( 1 ) 设x 0 ，1 ) ； ( 2 ) 输入：x ； ( 3 ) 输出：b ( x ) 0 ，l ”。 在本文研究中，如果不作具体说明，h a s h 函数马为s h a - 2 2 4 。 本章小结 本章是本文研究的理论基础，首先简要介绍了密码学上的基本概念和常识， 包括计算复杂性问题、几个著名的密码学问题及假设和椭圆曲线上双线性映射及 性质；其次简要介绍了基于身份的数字签名算法、代理签名和盲签名；最后简要 的介绍了h a s h 函数，包括强无碰撞的h 嬲h 函数和弱无碰撞的h a s h 函数并给出与 本文研究相关的h 2 l s h 函数。 第1 2 页河南大学研究生硕士学位论文 第3 章基于身份的签名方案的设计与分析 一般来说，为了在现实世界中应用密码技术，需要有一种机制能够随时验证 某公钥与某主体身份之间的联系。有两种方法可以实现此目的：一种称为公钥证 书机制( p u b l i ck e vc e r t i f i c a t i o ni i l 丘a s 蚋l c t i o n ) ；另一种称做基于身份的公钥密码 学( i d - b a s e dp u b l i ck e yc 州o g r a p h y ) 。基于身份的签名方案是基于身份的公钥密 码学的一种应用。本章以第2 章介绍的基本工具为基础设计出一个可以应用于公 开系统环境中的基于身份的数字签名方案。 3 1 引言 一个可以应用于公开系统环境中的基于身份的数字签名方案应有三部分组 成：可信中心机构( t a ，待1 刀2 ) 、签名者、验证者。其中甩个t a 之间的关 系是秘密的随机独立的关系，即：任何一个t a 均不知道其他t a 的任何秘密信息。 且需要满足以下三个性质： 可验证性：根据签名和公开的信息可以验证签名的有效性。 不可伪造性：任何第三方都不能伪造签名者的签名。 不可否认性：签名者不可否认由他生成的且被认可的签名。 3 2 签名方案 本方案由以下几个阶段组成：系统参数建立、签名密钥合成、签名算法、验 证算法。 3 2 1 系统参数建立 系统参数建立分以下几步： 1 ) 建立两个群：g 1 为由尸生成的阶为g ( g 为一个大素数) 的循环加法群，g 2 为同阶的循环乘法群。以及改进的w e i l 配对p ：g 1 g 1jg 2 。 2 ) 选取两个密码学意义上的单向h a s h 函数： 河南大学研究生硕士学位论文第1 3 页 日 o ，l 一g 1 该h a s h 函数用于将用户的d 映射到g 中的元素。 致 0 ，1 g 2 专z 口 该h a s h 函数用于将由0 、1 组成的消息与g 2 中的元素映射到z 。中的元素。公布选 定的系统参数( g l ，g 2 ，e ，p ，g ，q ，皿) 。 以上两步可以由某个t a 采用离线的方式来完成，并公布出来。 3 ) t a i 随机选取墨z 。作为自己的私钥，计算并公开自己的公钥毛，= t 尸， 保密s ，其中o = l 刀，甩2 ) 。 从以上三步可知，本系统中公开的系统参数有： ( g l ，g 2 ，e ，尸，g ，吼，如。，毛：，) ，其中拧2 。 3 2 2 签名者签名密钥的生成 设仍表示签名者的唯一可识别的身份。在对签名者完成了离线身份识别并确 定仍的唯一性后，t a ；( f = 1 以，玎2 ) 执行下面的协议来生成签名者的密钥碎片： 1 ) 计算如= q ( 伪) ( 鳓作为签名者的基于其身份仍的公钥) 。 2 ) 计算= 薯鳓( 作为签名者的基于其身份皿的私钥碎片) ，并通过安 全信道秘密发送给签名者。 签名者接收到d 删后，为了防止t a ；之间相互伪造攻击，签名者执行下面的协 议来合成签名私钥： 1 ) 验证等式p ( 屯，p ) = p ( 鳓，毛，) 是否成立? 若成立，则接收屯；否则，抛 弃并请求t a i 重新生成并发送，或者认为该t a i 是不诚实的，终止与t a 。的 协议。 2 ) 收集到所有的碎片屯后，计算：如= u = 1 刀，甩2 ) ，则如为签 名者的签名私钥。此时，签名者基于其身份的签名密钥为( ，) 。 本阶段的计算可以采用离线的方式完成。 3 2 3 签名算法 签名者合成签名私钥后，对消息聊进行签名，签名算法如下： 1 ) 签名者随机选取两个随机数毛，屯z 。，计算： 第1 4 页河南大学研究生硕士学位论文 曰= 毛尸 b = 也尸 签名者保密局，如，e ，昱。 2 ) 计算： ，= p ( 毋，昱) ，厂g 2 矿= ( m ，) 3 ) 计算： u = + 岛月 则( u ，) 为签名者对消息肌的签名。将签名附加到消息所上，并发送给验证者。 3 2 4 验证算法 验证者接收到签名者对消息m 的签名( u ，) 后对签名进行验证： 首先计算： = 匕， f = l 然后验证等式： ，p ( u ，尸) = p ( 鳓，易) 矿，是否成立? 若成立，则签名有效；否则，签名 无效。 3 3 安全性分析 本章提出的基于身份的签名方案的安全性是基于假设d l p 、e c d l p 和c d h p 是难解的。安全性分析如下： 1 ) 可验证性：一个有效的签名中应包含了签名者和t a 。( 扛1 胛，玎2 ) 的密钥 信息，验证者可以根据签名和公开的信息来验证签名的有效性。验证过程如下： 河南大学研究生硕士学位论文第1 5 页 p ( q ，d ，巳) y ，= p ( 鳓，毛，) 矿r = p ( 鳓，_ 即_ = p ( 4 鳓，p ) 矿r = p ( ，尸) p ( 互，最) ( 3 一1 ) = p ( m ，p ) e ( 奶弓，尸) = p ( + 也丘，聊 = p ( u ，尸) 等于左边，故等式成立。由本方案生成的签名具有可验证性。 2 ) 不可伪造性：本方案生成的签名具有