（计算机应用技术专业论文）数字签名中的容侵密钥管理研究.pdf

、：? _ l 川i i ii iii i iii ii ii i iiiii y 17 5 0 2 7 2 西华大学学位论文独创性声明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学乎论文作者挠觑指导教师鲐仄。以 日期：驴口占， 日期 彳。否 西华大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，在校 攻读学位期间论文工作的知识产权属于西华大学，同意学校保留并向国家 有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅，西 华大学可以将本论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复印手段保存和汇编本学位论文。( 保密的论文在解 密后遵守此规定) 学位论文作者签名：硫 日期： l 口尼、 6 径r 小 。 么 力 名签师 教0锄填 判日 西华大学硕士学位论文 摘要 随着计算机科学技术的发展，电子商务、电子政务、电子金融得到广泛应用，人们 希望通过互联网进行迅速的、远距离的贸易合同的签名。因此，数字签名技术应运而生。 数字签名是一种以电子形式给一个消息签名的方法，是只有信息发送方才能够进行的签 名，是任何其他人都无法伪造的一段数字串。数字签名有诸多应用，包括认证、授权、 数据完整性和不可抵赖性。由此可见，数字签名技术在网络通信中的重要作用和特殊位 置。 然而，由于互联网的开放性和无政府状态，任何人都可以自由地接入互联网，使得 有些不诚实者就有可能采用各种非法手段进行破坏与攻击，这使得互联网成为一个不安 全的网络，可以说敌手的入侵攻击是在所难免的。此外，由于个人原因导致一些秘密信 息的泄露与丢失也是时有发生的，那么这些秘密信息就有可能被一些不诚实者用来做一 些不法之事。无论以何种方式，敌手一旦得到签名私钥，那么他不仅可以任意伪造签名， 而且在密钥泄露之前时间段中由签名者签署的有效签名可能会变成无效签名。这即意味 着整个签名体制因为签名私钥的泄露而全面崩溃，随之带来的损失也是巨大的。因此， 构造一个能容忍敌手入侵和密钥泄露的数字签名体制是非常重要且具有很大意义的。 本文主要研究这种具有容侵性质的数字签名体制，这种签名体制不仅可以加大敌手 入侵的难度，而且可以尽量减小由于签名私钥泄露带来的损失。 本文首先分析了a s p 前向安全签名方案的安全性，提出了一个攻击并指出该方案 不具备前向安全性，之后改进并提出了一个高效的前向安全数字签名方案( w h 方案) ， 更新密钥只需一次h a s h 运算而且满足前向安全性。然后对密钥隔离签名体制进行了分 析，考虑将入侵检测机制加入密钥隔离签名体制，使其更具实用性。 为了解决基于身份签名体制中的密钥托管问题，本文基于r s a 方案和s c t m o r r 方案 提出了两个有效的没有对运算的无证书签名方案( w h z 方案和z w 方案) ，然后将这两 个方案与l j c 无证书签名方案进行了性能上的比较，结果说明本文提出的方案是更加有 效的。本文还将前向安全签名模型和无证书签名模型相结合，提出了前向安全无证书签 名模型，增强了无证书签名体制的容侵性。 此外，本文对w h z 方案在随机o r a c l e 模型下进行了形式化的安全性证明，证明了该 方案满足适应性选择消息下的不可伪造性。 最后，利用c 抖程序语言，本文对z w 方案进行了仿真实现，其运行结果表明了算 法的正确性、可行性和高效性。 数字签名中的容侵密钥管理研究 关键词：前向安全数字签名；密钥泄漏；无证书签名；密钥托管：离散对数问题； 机o r a c l e 模型 西华大学硕士学位论文 a b s t r a c t w i 廿1t h ed e v e l o p m e n to fc o m p u t e rs c i e n c ea n dt e c h n o l o g y , e - c , o n l m e r c e ，e - g o v e r n m e n t , e - f i n a n c ea r ew i d e l yu s e d ，p e o p l eh o p et om a k er a p i da n dl o n g d i s t a n c et r a d ec o n t r a c t s i g n a t u r e st h r o u g ht h ei n t e r n e t t h e r e f o r e ，d i g i t a ls i g n a t u r et e c h n o l o g yc o m e si n t ob e i n g d i g i t a ls i g n a t u r ei st h em e t h o dw h i c hi sa ne l e c t r o n i cf o r ms i g n a t u r eo nam e s s a g e ，o n l yt h e s e n d e rc a nm a k ea n di ti sas t r i n gw h i c hc a nn o tb ef i o r g e db ya n yo t h e r s d i g i t a ls i g n a t u r e s h a v em a n y 印p l i c a t i o n s ，i n c l u d i n ga u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，d a t ai n t e g r i t ya n d n o n - r e p u d i a t i o n ，s oi ti sp l a y i n ga ni m p o r t a n tr o l ei nn e t w o r kc o m m u n i c a t i o n h o w e v e r , d u e t ot h eo p e n n e s so ft h ei n t e m e t , a n y o n ec a nf r e e l ya c c e s st h ei n t e m e t ，s o m e d i s h o n e s tp e r s o n sc a nm a k eu s eo fv a r i o u si l l e g a lw a y st od e s t r o ya n da t t a c kt h ei n t e r n e t ，i t c a nb es a i dt h a tt h ei n v a s i o no fa d v e r s a r yi si n e v i t a b l e i na d d i t i o n ，t h ee x p o s u r ea n dl o s so f s e c r e ti n f o r m a t i o nw h i c hi sd u et op e r s o n a lr e a s o n so f t e no c c u r s ，s ot h es e c r e ti n f o r m a t i o ni s l i k e l yt ob eu s e db ys o m ed i s h o n e s tp e r s o n st od os o m ec r i m i n a lt h i n g s o n c et h es e c r e tk e y i s e x p o s e d ，a l ls i g n a t u r e s ，n o to n l ya r ea l lf u t u r es i g n a t u r e sw i l ln o tb ev a l i da n ym o r e ，b u ta l s o t h o s et h a tw e r ei s s u e db yt h es i g n e rb e f o r ei n v a l i d i tm e a n st h a tt h ew h o l es i g n a t u r es y s t e m c o l l a p s e s ，a n dt h el o s si se n o r m o u s t h e r e f o r e ，c o n s t r u c t i n gar o b u s ti n t r u s i o n - r e s i l i e n td i 舀t a l s i g n a t u r es c h e m e i so fg r e a ts i g n i f i c a n c e t h i st h e s i sf o c u s e so nt h ei n t r u s i o n r e s i l i e n td i g i t a ls i g n a t u r es y s t e mw h i c hc a nd e d u c e t h ed a m a g ec a u s e db yk e ye x p o s u r ea n dp r o v i d ew i t ht h eg r e a t e s ts e c u n t yf o rt h e c o m m u n i c a t i o ns y s t e m t h em a i nc o n t r i b u t i o n so ft h i st h e s i sa r ea sf o l l o w s t h i st h e s i sf i r s ta n a l y z e st h es e c u r i t yo fa s ps c h e m ea n ds h o wa l la t t a c kt op o i n to u tt h a t a s ps c h e l t l ed o e s n ts a t i s f yt h ef o r w a r ds e c u r i t y t h e nw em o d i f ya n di m p r o v ea s ps c h e m e t oo v e r c o m et h es h o r t c o m i n g t h em o s tp r o m i n e n tp e r f o r m a n c eo ft h ei m p r o v e ds c h e m ei s t h a ti th a st h em o s te f f i c i e n tk e yu p d a t eo fa l lk n o w ns c h e m e s ，o n l yr u n n i n gj u s tah a s h f u n c t i o no n c e t h e nw ea n a l y z et h ek e y - i n s u l a t e ds i g n a t u r es y s t e m ，c o n s i d e ra d d i n gi n t r u s i o n d e t e c t i o ns y s t e mt ok e y - i n s u l a t e ds i g n a t u r es y s t e ma n dm a k e i tm o r ep r a c t i c a l t os o l v et h ek e ye s c r o wp r o b l e mi ni d e n t i t y - b a s e dp u b l i ck e yc r y p t o g r a p h y , w ep r o p o s e t w on e we f f i c i e n tc e r t i f i c a t e l e s sp u b l i ck e ys i g n a t u r es c h e m e sw i t h o u tp a i r i n gb a s e do nt h e r s as i g n a t u r es c h e m ea n dt h es c h n o r rs i g n a t u r es c h e m e ( w h zs c h e m ea n dz ws c h e m e ) t h e nw ec o m p a r et h ep e r f o r m a n c eo fl j cs c h e m ew i 也m a to fo u rt w os c h e m e s ，i ts h o w st h a t o u rs c h e m e sa r em o r ee f f e c t i v e w ea l s oc o m b i n et h ef o r w a r ds e c u r i t ys i g n a t u r em o d e la n d t h ec e r t i f i c a t e l e s ss i g n a t u r em o d e l ，p r o p o s eaf o r w a r ds e c u r i t yc e r t i f i c a t e l e s ss i g n a t u r em o d e l t oe n h a n c et h es e c u r i t yo ft h ec e r t i f i c a t e l e s ss i g n a t u r es y s t e m i i la d d i t i o n ，w ep r o v ew h zs c h e m ei n 也er a n d o mo r a c l em o d e l ，s h o wt h a to u rs c h e m ei s e x i s t e n t i a l l yu n f o r g e a b l ea g a i n s ta d a p t i v e l yc h o s e n - m e s s a g ea t t a c k s i l l 数字签名中的容侵密钥管理研究 l a s t l y , w eu s et h ec + + c o m p i l e dl a n g u a g et or e a l i z eo u rz w s c h e m e t h ee x p e r i m e n t r e s u l t sd e m o n s t r a t et h a tt h ea n a l y s i si st r u ea n do u rs c h e m ei sf e a s i b l ea n de f f i c i e n ti n p r a c t i c e k e yw o r d s ：f o r w a r ds e c u r i t yd i g i t a ls i g n a t u r e ；k e ye x p o s u r e ；c e r t i f i c a t e l e s ss i g n a t u r e s c h e m e ；k e ye s c r o w ；d i s c r e t el o g a r i t h mp r o b l e m ；r a n d o mo r a c l em o d e l 西华大学而学壁论文 目录 摘要i a b s l l a c t i i i l 绪论1 1 1 研究目的和意义l 1 2 国内外研究现状和发展趋势2 1 3 论文主要研究成果5 1 4 论文结构6 2 基本理论8 2 1 密码学相关知识8 2 2 数字签名概念及基本方案13 2 3 数字签名的主要攻击模式1 7 2 4 本章小结：l8 3 前向安全数字签名体制1 9 3 1 前向安全数字签名简介1 9 3 2 对a s p 方案的回顾和攻击2 0 3 3 一个改进的有效的前向安全数字签名方案2 2 3 4 安全性分析2 4 3 5 性能分析2 4 3 6 密钥隔离数字签名简介2 5 3 7 对密钥隔离数字签名体制的分析2 7 3 8 本章小结2 8 4 无证书数字签名体制2 9 4 1无证书数字签名简介2 9 4 2 无证书数字签名安全模型2 9 4 3 一个有效的可证明安全的没有对运算的无证书签名方案3 3 4 4 一种新型的基于d l p 的无证书签名方案3 5 4 5 安全性分析3 6 4 6 性能比较3 7 4 7 前向安全无证书数字签名模型3 7 4 8 本章小结。3 8 5 安全性证明3 9 v 数字签名中的容侵密钥管理研究 5 1国内外研究现状3 9 5 2 随机o r a c l e 模型简介4 0 5 3 安全性证明中的归约理论4 l 5 4 形式化的安全性证明4 2 5 5 本章小结4 6 6 算法的实现4 8 6 1m i r a c l e 库简介4 8 6 2 运行环境。4 8 6 3实现目标4 8 6 4 无证书签名算法的实现4 9 6 5 本章小结5 3 7结论5 4 参考文献。5 6 攻读硕士学位期间发表的学术论文与参加的科研项目。6 1 至炙谢6 2 v i 西华大学硕士学位论文 1绪论 1 1 研究目的和意义 1 9 7 6 年，d i f f i e 和h d l m a n n 发表了著名的论文密码学的新方向【l 】，提出了公钥 密码体制的新思想，证明了在发方和收方之间不需要传递密钥的保密通信是可能的，它 使密码学发生了一场变革，在密码学的发展历史上具有里程碑式的重要意义，公钥密码 具有传统密码不可取代的优势。以此为基础，一种通过数学的方法来实现传统手写签名 功能的新技术数字签名技术诞生了。 随着计算机科学技术的发展，电子商务、电子政务、电子金融等得到广泛应用，人们 希望通过互联网进行迅速的、远距离的贸易合同的签名。因而，数字签名技术应运而生。 数字签名是一种以电子形式给一个消息签名的方法，是只有信息发送方才能够进行的签 名，是任何其他人都无法伪造的一段数字串，这段特殊的数字串同时也是对签名真实性 的一种证明。在电子信息的传输过程中，通过数字签名来达到与传统手写签名相同的效 果。数字签名可以解决通信双方的否认、伪造、篡改及冒充等问题。使用数字签名技术 使得发送者事后不能否认发送的消息签名、接收者能够核实发送者发送的消息签名、接 收者不能伪造发送者的消息签名、接收者不能对发送者的消息进行篡改、网络中的某一 用户不能冒充另一用户。数字签名技术的功能具体表现为：完整性、身份认证、防伪造、 防抵赖、防重放攻击。正是由于数字签名具有的独特功能和实际用途，在一些特殊行业， 比如金融、商业、军事等有着广泛的应用，尤其在数据完整性检验、身份鉴别、身份证 明、防否认等方面，功能独特。由此可见，数字签名技术在网络通信中的重要作用和特 殊位置。 然而，由于互联网的开放性和无政府状态，任何人都可以自由地接入互联网，使得 有些不诚实者有可能采用各种非法手段进行破坏与攻击，这使得互联网成为一个不安全 的网络。虽然人们通过杀毒系统、防火墙、入侵检测系统、密码系统等安全防护措施在 一定程度上阻碍了敌手的破坏与攻击，但是面对当今形形色色的各种攻击手段，这些防 护措施最终还是无法完全阻止敌手的入侵。可以说敌手的入侵攻击是在所难免的。此外， 由于个人原因导致一些秘密信息的泄露与丢失也是时有发生的，比如由于个人马虎大 意，把存有签名私钥的存储设备遗失了，那么这个签名私钥就有可能被一些不诚实者用 来做一些不法之事。无论以何种方式，敌手一旦得到签名私钥，那么他不仅可以任意伪 造签名，而且在密钥泄露之前时间段中由签名者签署的有效签名可能会变成无效签名。 这即意味着整个签名体制因为签名私钥的泄露而全面崩溃，随之带来的损失也是巨大 数字签名中的容侵密钥管理研究 的。因此，构造一个能容忍敌手入侵和密钥泄露的数字签名体制是非常重要且具有重要 意义的。这种签名体制可以最大限度的降低由于密钥泄露造成的损失和影响，为通信系 统提供尽可能好的安全性。 本文主要研究这种具有容侵性质的数字签名体制，这种签名体制不仅可以加大敌手 入侵的难度，而且可以尽量减小由于签名私钥泄露带来的损失。因为数字签名是公钥密 码的一个重要的应用，所以数字签名中也会存在一对不相同的密钥。而在签名过程中， 签名者是用私钥进行签名的，验证者是用公钥进行验证的，因此需要对密钥进行正确完 善的管理。但是密钥的管理是一件非常复杂的事情，很难实现完美管理，而这种具有容 侵性质的数字签名体制无疑能更好的适应当今信息全球化的网络时代，它会对社会经济 发展和国家安全战略有重大影响，可以说数字签名中的容侵密钥管理研究具有重要的理 论意义和广阔的实际应用前景。 1 2 国内外研究现状和发展趋势 近年来，关于具有容侵性质的数字签名体制的研究取得了很多突破性的进展。最初 的一个针对签名私钥泄露问题的方法是通过对验证公钥证书的撤销来防止敌手在得到 签名私钥后进行签名的伪造。但是这种方法无法保证签名私钥泄露之前由签名者签署的 所有签名的有效性，而且公钥证书的撤销也会加大工作量本来就很大的证书管理机构 c a 的工作负荷。此外，如果用户仍然需要一个签名体制，那么他必须重新启动一个新 的签名体制，这也是一件工作量很大的事情。另一个方法是利用时戳机制【2 】证明一个文 件的创造时间。 ， 1 9 7 9 年，b l a k l e y 和s h a m i r 通过秘密共享的方法把密钥分给一组个体从而加大敌手 获取密钥的难度3 4 1 ，之后相继出现了许多秘密共享的方案【5 , 6 , 7 , 8 , 9 , 1 0 】。1 9 8 9 年，d e s m e d t 和f r a n k e l 提出了门限密码系统，构造了门限签名方案【1 1 1 ，利用秘密共享的方法把签名 私钥分给一组预定个数个体，当签名时，每个个体利用自己的份额计算一个部分签名。 这些部分签名最终合并成为一个可验证的签名。如果一个敌手想伪造一个签名，那么他 必须攻破不少于门限个数的个体。但是一个个体的入侵成功也许会成为敌手找到攻破所 有个体方法的突破口，因为所有个体一般都是运行一个普通的操作系统，一旦这个突破 1 3 被找到，那么所有的个体都将被攻破。1 9 9 7 年，h e r z b e r g 等人提出了主动公钥和签名 系统【1 2 】，主动签名进一步加强了门限签名的安全性，在不更改签名私钥的情况下，每个 个体都会周期性地更新他们的秘密份额。如果一个敌手想伪造一个签名，那么在下次更 新之前，他必须攻破门限个数个体。文献 3 ，4 ，1 1 ，1 2 】都是基于秘密共享提出的方法，但 它们都有一个共同的缺点，就是秘密份额的分发代价很大。 2 西华大学硕士学位论文 1 9 9 7 年，a n d e r s o n 在一个a c mc c s 会议的邀请报告中正式提出了前向安全的数 字签名的概念【l3 1 。此后，许多学者对有关前向安全的数字签名体制进行了大量的研究： 这些研究可以分为两类：一类是基于特殊的数论假设，修改具体的数字签名方案：另一 类是把标准的数字签名方案作为一个黑盒子构造一般的前向安全的数字签名方案。 在第一类中，1 9 9 9 年，b e u a r e 和m i n e r 给出了前向安全详细的形式化概念，构造 了第一个有效解决密钥泄露问题的前向安全的数字签名体制【1 4 1 。此方案是基于 b l u m w i l l i 锄s 整数分解的困难性，尽管方案中私钥、公钥以及签名的长度不会随总共 的时间段数r 线性增长，但是私钥和公钥的长度很长。2 0 0 0 年，a b d a l l a 和r e y z i n 在 1 3 】 的基础上缩短了私钥和公钥的长度【1 5 】，但是是以签名和验证的时间作为代价的。2 0 0 1 年，i t k i s 和r e y z i n 基于g q 方案构造了一个方案【1 6 】，此方案的密钥很短，签名算法和 验证算法很有效，每一个算法只需要两个短指数的模幂运算。2 0 0 2 年，k o z l o v 和r e y z i n 构造了一个快速密钥更新的方案【1 7 】，该方案对密钥的更新只需要一个模幂运算，所以容 许时间段较短的情况。由于密钥更新更快速，密钥泄露后无效的签名会更少，从而进一 步增强了安全性。2 0 0 4 年，k a n g 等人基于c a n e t t i 等人提出的加密方案【l8 】构造了两个前 向安全数字签名体制【l9 】，这两个方案中密钥生成算法的时间和密钥更新算法的时间都是 固定的，优于文献 1 4 】中基于树的前向安全数字签名体制。2 0 0 6 年，b o y e n 等人介绍了不 可信的密钥更新前向安全数字签名的概念，密钥的更新是作为第二层安全性在密钥的加 密下执行的【2 们。同年，d u c - l i e r n 等人基于双线性对提出了一个新的前向安全数字签名 方案【2 ，该方案中的安全参数是独立于丁的，该方案的密钥演化的时间周期也是无限的， 且密钥和签名的长度都是固定不变的。2 0 0 8 年，g u a n 等人在【9 】的基础上利用h a s h 链构 造了一个具有后向检测性质的前向安全数字签名体制瞄】，即在签名通过验证后可以利用 后向检测的方法检测签名私钥是否已经泄露，这进一步增强了【9 】的安全性。但是经过仔 细分析，利用选择明文攻击可以攻破该方案的后向检测性质，所以关于前向安全数字签 名中的后向检测问题还有待于进一步的研究。 在第二类中，1 9 9 7 年，a n d e r s o n 提出了第一个方案 1 3 】，签名者需要为每个时间段 ( 丁是时间段个数) 都注册一个私钥，签名私钥的长度随丁线性增长。1 9 9 9 年，b e l l a r e 和m i n e r 简要地描述了一个基于二叉树的方案 1 4 】，它将需要注册私钥的个数的复杂度 减少到0 0 0 9 t ) ，但是签名的长度很长，验证时间也很长，两者都是随o ( 1 0 9 丁) 增长。 第一个实用的一般的前向安全数字签名体制是k r a w c z y k 在2 0 0 0 年提出来的【2 3 1 。该方案 的初始阶段，签名者利用惟一一对注册的私钥和公钥为每个时间段都生成一个证书，则 一共有丁个证书，证书链不需要保密。但是，如果某个时间段的证书丢失了，那么在这 个时间段将没有签名生成。因此，可否通过其他的方法来代替证书的功能还有待于进一 数字签名幸约容侵密钥管理研究 步的研究。比如，可否将群签名中群管理员的公钥可以验证任何合法群成员的签名的思 想借鉴一下，从而完善该方案。2 0 0 2 年m a l k i n 等人利用m e r k l e 树证明链和二叉树的 思想，取代了在初始阶段生成的丁个证书，方案被分成子树，在每个子树的结束都生成 l o g t i 个秘纠2 4 1 。因此，该方案将私钥的存储量复杂度从o ( r ) 降到o ( 1 0 9 t ) 。但是，这 是以密钥更新算法的更新时间以1 0 9 增长为代价的。此外，他们还构造了第一个总时间 段的个数不必预先固定的前向安全数字签名方案【2 5 1 。各个算法的执行时间都是独立于丁 的，但是随t ；线性增长。2 0 0 8 年a l o m a i r 等人构造了一个高效的前向安全数字签名体制 【2 6 1 ，尤其体现在其密钥更新算法是用h a s h 函数进行更新，可以说是目前最快的密钥更 新算法。但是经过仔细分析，该方案不具有前向安全的性质，只是一个普通的标准的数 字签名方案。不过该文献提供了一个很好的构造方法，因此，关于构造用h a s h 函数进 行密钥更新的前向安全数字签名体制还有待于进一步的研究。 此外，对于具有特殊性质的数字签名体制，同样也存在着密钥泄露的问题，一些学 者对此也做过一些相关研究。2 0 0 1 年，s o n g 提出了一个前向安全群签名方案【2 7 】。2 0 0 3 年，d u e 等人基于强r s a 假设提出了一个前向安全盲签名方案【2 引。具有特殊性质的前 向安全数字签名体制的研究工作有很多，但是总体来说这方面的工作还是有所欠缺，有 待于进一步加强。比如环签名【2 9 】、代理签名【3 0 1 、知识签名【3 l 】、签密【3 2 】等具有特殊性质 的数字签名体制的前向安全性的问题还有待进一步的研究。 前向安全数字签名体制可以有效减少由于签名私钥泄露所带来的损失，但是它有一 个缺点，一旦某一时间段的签名私钥泄露了，那么敌手可以利用公开的单向函数计算得 到将来的所有签名私钥，这对一个签名体制来说也是至关重要的，因此，关于同时具有 前向安全性质和后向安全性质的数字签名体制还有待于进一步的研究。 2 0 0 2 年，d o d i s 等人针对公钥体制下密钥泄露的问题又提出了一个新的解决方法一 一密钥隔离公钥密码系统【3 3 1 。2 0 0 3 年，d o d i s 等人给出了一个利用任何标准签名方案构 造一个强( 一1 ，) 密钥隔离签名方案的一般方法 3 4 1 。但是这个方法构造出来的方案中签 名算法和验证算法都不是很有效。然后他们又基于离散对数假设构造了一个强( f ，) 密 钥隔离签名方案，这个方案中签名算法和验证算法相对于上一个方案就快了很多，但是 是以密钥更新算法时间和密钥长度的复杂度为d ( f ) 为代价。另外，他们还基于任意陷门 签名方案构造一个强( 一1 ，) 密钥隔离签名方案，该方案比第一个方案更加有效。2 0 0 4 年，d e l e i t o 等人构造了一个新的强( 一1 ，忉密钥隔离签名方案【3 引，该方案相比之前的 方案更加有效，密钥的长度是固定的而且独立于? 。此外，该方案的安全性相比之前的 方案也有所增强，即在某一时间段所有的秘密都泄露了，那么方案仍然具有前向安全的 4 西华大学硕士学位论文 性质。他们还提出了一个前向安全数字签名方案的交体，如果一个敌手想计算出将来的 签名私钥，那么之前他必须再一次攻破该方案。2 0 0 8 年，o h t a k e 等人构造了一个高效 的强密钥隔离签名方案【3 6 】，该方案中的公钥和签名的长度相比之前的方案更短，因此很 适合一些存储设备有限或者通信量大的通信系统。但是该方案中由用户掌管的私钥在整 个生命周期中都是固定不变的，这将会削弱该方案的安全性。2 0 0 2 年，i t k i s 和r e y z i n 在密钥隔离数字签名体制的基础上提出了入侵弹性数字签名体制【3 7 1 。 在公钥密码体制中，密钥的管理是由公开密钥基础设施p k i 进行管理的，p 是由 公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的 法律基础共同组成的，密钥的管理是一件非常复杂的事情。2 0 0 3 年，a 1 r i y a r n i 等人提 出了一个新的概念无证书的公钥密码学【3 8 】。这种密码体制可以看作是一种介于基于 证书的公钥密码体制和基于身份的公钥密码体制之间的密码体制，它可以大大简化密钥 的管理。 目前，多数安全协议的设计现状是：提出一种安全协议后，基于某种假想给出其安 全性论断；如果该协议在很长时间仍不能被破译，大家就广泛接收其安全性论断；一段 时间后可能发现某些安全漏洞，于是对协议再作必要的改动，然后继续使用；这一过程 可能周而复始。这样的设计方法存在以下问题：新的分析技术的提出时间是不确定的， 在任何时候都有可能提出新的分析技术；这种做法使我们很难确信协议的安全性，反反 复复的修补更增加了人们对安全性的担心，也增加了实现代价或成本。1 9 9 3 年，r o g a w a y 和b d l a r e 提出了安全性证明的随机预言机模型【3 9 1 。基于r o m 证明安全性的技术是一个 有用的试验台：在该试验台上性能不好的密码体制应该被丢弃，它被人们认为是一个很 好的工程准则。然而我们证明方案在r o m 下的安全性时，由于假设签名或加密的明文 是均匀随机的，所以可以证明。但是，在实际应用的真实世界中，不存在均匀随意的明 文，所以任何实际实现都显然不是安全的。因此，c a n e t t i 、g o l d r e i e h 和h a l e v i 对基于 r o m 的安全性证明持相当否定的态度【4 0 ，4 l 】，并坚持在标准模型中考虑安全性。因此， 对数字签名体制进行安全性证明是有意义且必要的，关于构造可证明安全的密钥容侵数 字签名体制还有待于进一步的研究。 综上所述，数字签名体制不仅要满足基本的安全特性，而且更应该考虑使其具有密 钥容侵的能力，这也是本论文的主要研究内容。 1 3 论文主要研究成果 在本文中，作者取得的研究成果主要有以下几点： 数字签名宇皇窖蛋客锈管墨研究 1 对文献 2 0 中前向安全数字签名方案进行了安全性的分析，并且给出了一个攻 击，指出该方案不满足前向安全性。然后对该方案进行了改进，克服了这个缺点。我们 的方案可以抵抗我们给出的这个攻击，并且满足前向安全性。我们的方案最突出的性能 是拥有最高效的密钥更新算法，更新密钥只需要运行一次h a s h 运算。我们改进的前向 安全签名方案的安全性可以证明等价于解离散对数的困难性。 2 大多数的无证书签名方案都是基于椭圆曲线的，而且由于对运算的高代价，导致 这些方案比较低效。本文基于r s a 签名和s c h n o r r 签名提出了一个新的有效的没有对运 算的无证书签名方案。该方案在随机o r a c l e 模型下是可证明安全的。 3 基于s c h n o r r 签名提出了一种新型的基于d l p 的无证书签名方案。在离散对数 假设下，证明了该方案是计算上不可伪造的。另外，和文献 5 8 】中的一个没有对运算的 无证书签名方案相比较，我们的两个无证书方案需要的计算量更少，方案更有效。我们 的方案不需要任何公钥证书去验证每个用户的公钥，解决了在基于身份密码体制中的密 钥托管问题。 4 将数字签名中的无证书模型和前向安全模型相结合，提出了一种新的模型，增强 了无证书签名的容侵性。 5 利用c + + 程序语言实现了一个无证书签名方案，证明了我们设计的算法的正确 性和可行性。 1 4 论文结构 本文共分为七部分，分别以绪论、基本理论、前向安全数字签名体制、无证书数字 签名体制、安全性证明、算法的实现、总结与展望七部分进行论述。 第l 章主要介绍了数字签名中的容侵密钥管理研究的目的和意义以及国内外对前向 安全数字签名体制、密钥隔离数字签名体制、入侵弹性数字签名体制的研究现状和发展 趋势。 第2 章主要介绍了一些密码学、数学相关知识，数字签名的基本概念以及几个经典 的数字签名方案，并介绍了数字签名方案常见的几种攻击模式和方法。 第3 章主要介绍了前向安全数字签名体制，分析了a s p 前向安全签名方案的安全 性，给出了一个攻击并提出一个改进的方案( w h 方案 后又简单介绍了密钥隔离数字签名体制和入侵弹性数字 体制的有效性和可行性进行了分析。 6 西华大学硕士学位论文 第4 章主要介绍了无证书数字签名体制，提出两个新型的有效的无证书签名方案 ( w h z 方案和z w 方案) ，分析了两个新方案的性能，最后又提出一个新的前向安全 无证书数字签名模型，增强了无证书签名的容侵性。 第5 章主要介绍了安全性证明的国内外研究现状，回顾了一下无证书签名的安全模 型，并在随机o r a c l e 模型下对w h z 无证书签名方案进行了安全性证明。 第6 章进行了算法的实现。利用c + + 程序语言，对本文提出的z w 无证书签名方案 进行了编程实现，其运行结果表明了算法的正确性和可行性，证明了z w 方案是一个高 效的无证书签名方案。 第7 章对本文进行了总结，而且对今后的研究内容和目标进行了展望。 数字签名中的容侵密钥管理研究 2 基本理论 本章将首先介绍一些基本的密码学相关知识，主要包括数学基础知识和公钥密码体 制的知识，之后介绍了数字签名的基本概念和一些典型的数字签名基本方案，最后介绍 数字签名体制的安全目标和常见攻击方法。本章主要参考文献 6 5 1 。 2 1 密码学相关知识 计算机网络的产生把我们带进一个信息化社会。在信息社会里，计算机网络已成为 现代社会赖以生存的物质基础，大量传输和存储信息的安全保密和防伪问题成为人们关 注的一个重要问题。当前，网络安全的形势不容乐观，已严重威胁到人们正常的生活。 网络安全的实质是信息安全，信息安全的核心技术之一是密码技术。普遍的观点认为， 密码技术是解决信息安全的最有效的方法，因此，密码学的研究成为当前国际上的一个 研究热点，它是信息安全的核心和基石。 2 1 1数学基础 在数字签名研究中需要用到许多数学理论，如数论、线性代数、近世代数、复杂性 理论、组合论等，均为数字签名理论不可缺少的工具。本节简单介绍数字签名理论中需 要用到的有关数论、群伦、有限域理论、复杂度理论和密码学中常用到的一些困难性问 题。 定义2 1 【6 5 】( 素数) 如果整数p l ，且仅能被1 和它自身整除，而不能被其他整数 整除，则称整数p 为素数。 定义2 2 t 6 习( 最大公约数) 设a ，b 为整数不全为0 。能同时整除口和b 的最大正整 数称为最大公约数，记为g c d ( a ，b ) 。 定义2 3 【6 5 】( 模运算) 设口是一个整数，l 是一个正整数。口除以刀的余数用a ( m o d n ) 表示，珂称为模。 定义2 4 【6 5 】( 剩余类) 在模数为n 的运算中，将所有同余的整数称为剩余类，这样， 模，l 的剩余类元素有 o ，1 ，2 ，刀一1 ) ，用乙表示，称为完全剩余类。在模n 的完全剩余类 中，若将所有与刀互素的剩余类形成一集合，则称此集合为模万的既约剩余类，用z ：表 示。 。 定义2 5 【6 5 】( 欧拉函数) 设一是一个正整数。令e ( n ) 为小于刀且与, 互素的所有正整 数的个数，即9 ( 刀) 为模，z 既约剩余类中元素的个数，则称伊( 玎) 为欧拉函数。 8 西华大学硕士学位论文 定理2 1 【6 5 】( 欧拉定理) 若( a t 力) = 1 ，则口妒“) = 1 m o d n 。 定理2 2 【6 5 】( 费尔马定理) 若p 为一素数，且( 口，p ) = l ，则口p 1 = 1 r o o d p 。 定义2 6 【6 习( 生成元) 当p 是素数时，若存在一个整数口，使得它的不同幂对应模p 的非零的剩余类，也即模运算a m o d p ，口2 m o d p ，口川m o d p 是各不相同的整数， 并且组成了从1 到p 的所有整数，则称这个整数口为素数p 的本原元，也称为生成元。 定义2 7 t 6 习( 群) 设一个非空集合g ，在g 上定义了一个二元运算“ 符，满足如 下条件： ( 1 ) 封闭性：对于任意口，b g ，有a b g 。 ( 2 ) 结合律：对任何的口，b ，c g ，有a b c = ( 口6 ) c = a ( 6 c ) 。 ( 3 ) 单位元：存在一个元素1 g ，称为单位元，对任意元素，有口- 1 = 1 口= 口。 ( 4 ) 逆元：对任意口g ，存在一个元素a _ g ，称为逆元，使得口口一= 口一口= 1 。