（计算机应用技术专业论文）基于已知身份的数字签名方案的研究.pdf

湖北工业大学硕士学位论文 摘要 信息安全是信息学领域的- - i 1 重要的新兴学科，它的核心技术是密码学。密 钥学中公钥密码扮演着越来越重要的角色，而数字签名技术作为公钥密码理论的 一个重要的应用已成为安全电子商务和安全电子政务中的关键技术。 数字签名提供认证性、完整性和不可否认性，是信息安全的核心技术之一。 基于身份的加密和签名技术可以有效地简化传统的( 基于证书的) 公钥密码学环境 中的密钥管理，且利用双线性映射可以高效地实现基于身份的加密和签名技术。 近几年来，国内外学者利用椭圆曲线上的双线性映射的性质和c d h 问题的难解性 提出了若干个基于身份的密码体制和签名方案。通过对这些方案的分析，发现在 这些方案中签名者必须绝对信任一个可信中心机构( 我们称之为t a ) 。由于签名者 的签名私钥是由t a 生成的，因此，t a 可以伪造出签名者的签名并能顺利通过有 效性验证，因此这些签名方案是不能应用于公开的系统环境中。 本文主要研究基于身份的公钥密码学，着重研究基于身份的数字签名技术。 选择合适的安全哈希函数，利用双线性对的一些性质，结合代理签名协议设计出 一种新数字签名。 主要成果有： 1 以本文提出的基于身份的签名方案为基础合理融入代理委托机制，设计出一种 基于身份的代理签名方案。 2 在安全性方面给出具体分析和相关的定理及其证明，在系统性能方面也给出了 具体的分析。 最后，得出的结论是，本文提出的方案是安全可行的，可以应用于公开的商用 环境中，可以应用于电子商务，电子政务等多种使用场合。 关键词；数字签名基于身份双线性映射代理签名 湖北工业大学硕士学位论文 a b s t r a c t i n f o r m a t i o ns e c u r i t yi so n eo ft h er i s i n ga tt h es a m et i m eo fi m p o r t a n c es u b j e c t si n i n f o r m a t i o ns c i e n c ea n dt h et e c h n o l o g i c a lc o r eo fw h i c hi sc r y p t o l o g y i nc r y p t o g r a p h y a r e a , p u b l i c - k e yc r y p t o s y s t e mi sp l a y i n gm o r ea n dm o r ei m p o r t a n tr o l e t h ed i 西t a l s i g n a t u r ep u b l i ck e yc r y p t o g r a p h yt e c h n o l o g ya sa ni m p o r t a n tt h e o r e t i c a la p p l i c a t i o no f p u b l i c k e yc r y p t o s y s t o mh a sb e c o m eas a f e t ya n ds e c u r i t yo ft h ek e yt e c h n o l o g yi n e l e c t r o n i cc o m m e r c e ，t h ee l e c t r o n i cg o v e r n m e n ta f f a i r s a so n eo ft h ep i v o t a lt e c h n o l o g i e so fi n f o r m a t i o ns e c u r i t y , d i g i h a ls i g n a t u r e s p r o v i d e sa u t h e n t i c a t i o n , i n t e g r a l i t ya n di n c o n t e s t a b l e n e s s t h ei d - b a s e de n c r y p t i o na n d s i g n a t u r et e c h n o l o g yc a i ls i m p l i f yk e ym a n a g e m e n ti nt h et r a d i t i o n a l ( c e r t i f i c a t i o n - b a s e d ) p u b l i ck e yc r y p t o l o g ye n v i r o n m e n te f f e c t i v e l y , a n da l s om a yr e a l i z et h ei d b a s e d e n c r y p t i o na n ds i g n a t u r et e c h n o l o g yb yu s i n gt h eb i l i n e a rm a ph i # f l ya n de f f e c t i v e l y i n t h el a s tf e wy e a r s ，t h ed o m e s t i ca n df o r e i g ns c h o l a r sp r o p o s e ds o m ei d - b a s e d c r y p t o s y s t e m sa n ds i g n a t u r es c h e m e s a f t e ra n a l y z i n gt h e s es c h e m e s ，t h e yf o u n dt h a t t h es i g n e rn e e dt ot r u s tat r u s t e d a u t h o r i t y ( w ec a l l e dt a li nt h e s es c h e m e s f o rt h e p r i v a t ek e yo ft h es i g n e rg e n e r a t e df r o mt a s ot ac a nf o r g eav a l i ds i g n a t u r ea n da l l r i g h tp a s s e dv e r i f i c a t i o n t h e r e f o r e , t h e s es c h e m e sc a n n o ta p p l yi nt h ep u b l i cs y s t e m e n v i r o n m e n t n 圮t h e s i sb a s e si t sr e s e a r c ho nt h ei d e n t i t y - b a s e dp u b l i ck e yc r y p t o l o g y a n df o c u s e so ni d e n t i t y b a s e dd i g i t a l s i g n a t u r et e c h n o l o g y s e l e c t t h ea p p r o p r i a t es e c u r i t yh a s hf u n c t i o n ，t h eu s eo fs o m ep r o p e r t i e s o fb i l i n e a rp a i r i n g s ，b i n d i n ga g r e e m e n tp r o x ys i g n a t u r ed e s i g na f l e wk i n do fd i g it a lsi g n a t u r e t h ec o n c l u s i o ni sa sf o l l o w s ： 1 t ot h i sp a p e r , t h ei d e n t i t y - b a s e ds i g n a t u r es c h e m eb a s e do n ar e a s o n a b l em e c h a n i s m f o ri n t e g r a t i o ni n t ot h ea g e n tc o m m i s s i o n e dt od e s i g nak i n do fi d e n t i t y - b a s e dp r o x y s i g n a t u r es c h e m e 2 c a r r i e d0 1 1s e c u r i t ya n a l y z e da n dh a v eg i v e nt h et h e o r e ma n dc e r t i f i c a t i o ni ns e c u r e a s p e c t ，h a v eg i v e nt h ec o n c r e t ea n a l y s i si nt h es y s t e mp e r f o r m a n c ea s p e c t f i n a l l y , c o m et ot h ec o n c l u s i o nt h a tt h es c h e m e sw h i c hw e r ep r o p o s e di nt h i st h e s i s a r es e c u r ea n df e a s i b l e c a nb ea p p l i e di nt h ep u b l i cs y s t e me n v i r o n m e n t , a n dc a na l s ob e a p p l i e di nm a n yk i n d so fs i t u a t i o n s ，s u c ha se l e c t r o n i cc o m m e r c e ，t h ee l e c t r o n i c g o v e r n m e n ta f f a i r sa n ds o0 1 1 k e y w o r d s ：d i g i t a ls i g n a t u r e ；i d e n t i t y - b a s e d ；b i l i n e a rm a p ；p r o x ys i g n a t u r e 湘彬j 煮大謦 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均己在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文储张雠 吼1 年易月y 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名： 啪：叩 彩e t 笙 日 建( 鹤胀，汐 名 f 擀产 煨 庐 教 冲 导 期 湖北工业大学硕士学位论文 第1 章引言 随着计算机网络技术的迅猛发展和大量的应用，信息社会网络化和国际化使 人类社会生活发生了翻天覆地的变化。在日常生活中，出现大量的网络化、数字 化技术的引用，如电子商务、电子政务、网络银行、数字图书馆等。信息化是一 把双刃剑，一方面它为我们的生活提供了大量的便利，另一方面也存在着大量信 息安全的隐患。信息安全已成为当前网络技术发展中的一个关键性的问题。 网络信息安全的目的是保护信息在传递过程中完整、保密和可用。在信息安全 技术中，密码技术的核心地位越来越突出。通过密码技术能够保证信息的保密性、 完整性、可用性和抗抵赖性。密码体制可分为对称密码( 私钥密码) 和非对称密 码( 公钥密码) 两种。在上述的两种密码体制中，公钥密码体制已经成为了最核 心的密码体制。它在信息的安全传递的过程中担负着非常重要的作用，比如数字 签名和消息认证。 1 1 研究背景 在对称密码体制中，用户的加密密钥和解密密钥相同或者实质上是相同的。 实质上相同的意义是指，加密密钥能够非常容易的推导出解密密钥，同时解密密 钥也非常容易能够推导出加密密钥。为了弥补这种缺点带来的影响，在通信中的 信息交互的a 方和b 方必须想办法安全的交互密钥并保存好密钥。在对称密码体 制为基础的加密算法中，执行效率高、速度快都是它的优点体现。但是，如果其 中一个密钥能够非常容易得推导出另外一个密钥，那么随之而来的是密钥的传递 困难问题和安全性保障问题。 1 公钥密码体制是指用户用两个不同的密钥来进行加密和解密。加密密钥是完 全公开的，也就是公钥。解密密钥保密，也就是用户的私有密钥。公钥密码体制 是基于“单向陷门函数”( t r a pd o o ro n e - w a yf u n c t i o n ) 的，即一个函数正 向计算是很容易的，但是反向计算则是非常困难的。陷门的目的是确保攻击者不 能使用公开的信息得出秘密的信息。 2 这样的体制保证了任何人都可以用用户公 开的密钥对信息加密，而只有用户本人能用自己的私有密钥进行解密。另一方面， 经过用户的私有密钥加密的消息也只能通过他的公钥进行解密。 1 9 7 6 年d i f f i e 和h e l l m a n 发表了文章( n e wd i r e c t i o n si nc r y p t o p r a p h y ( 密 码学的新方向) 。在此篇文章中公钥密码体制的思想被提出以来，国内外密码学家 湖北工业大学硕士学位论文 设计出了许多的公钥密码体制。比如r s a 公钥体制：删背包体制，r a b i n 体制， e 1 g a m a l 公钥体制和椭圆曲线密码公钥体制等等。 相对于对称密码，公钥密码有两个优点。第一个优点是使用公钥密码，我们 不需要实现共享密钥。第二个优点是数字签名不但能提供完整性，还可以提供不 可否认性。【2 数字签名是公钥密码体制最重要的应用之一。数字签名技术的进步为网上电 子商务提供了更可靠的信息安全保证。 在公钥密码的加密系统中，发送方先用接收方的公钥加密消息。在消息的解 密过程中，接收方必须用自己的私钥解密消息。这与数字签名系统是恰恰相反的。 在数字签名的过程中，发送方首先用自己的私钥对某消息加密产生数字签名，当 接收方接收到这个消息和对应的数字签名后，利用发送方的公钥来解密证实这个 签名的正确性。数字签名提供了不可否认性的功能。数字签名的不可否认性是指： 签名的接收方能够证实发送方的身份。一方面发送方不能否认其曾经签署过的签 名，另一方面任何人不能伪造和篡改签名。 数字签名算法一般是由以下7 个部分组成： ( 1 ) 明文消息空间m ：这是表示字母表中某一个字符串的集合； ( 2 ) 签名空间s ：所有可能产生和生成的签名的集合； ( 3 ) 私钥空间k ：所有的可能的生成签名密钥集合； ( 4 ) 公钥空间k ：所有可能的用于验证签名的密钥集合； ( 5 ) 密钥生成算法g e n 输入k 通过算法生成k ； ( 6 ) 签名算法s i g n ：用私钥k 对明文m 加密生成签名s ； ( 7 ) 验证算法y e r i f y ：用k 将数字签名s 解密后与明文m 比较后输出判断结果 t u r e ，f a l s e ) 。 安全的数字签名能够验证签名者的身份以和签名产生的时间，同时能证实被 签名的消息的内容。安全的数字签名还可以被第三方验证，达到信息的不可否认 性。 著名的数字签名有第一个数字签名方案r s a 签名、基于整数分解问题的r a b i n 签名、基于有限域上离散对数相关难题的e 1 g a m a l 签名i s 、s c h n o r r 签名 4 和美国 国家数字签名标准d s s 5 。随着实际应用的需要，一些特殊的数字签名也被广泛的 提出。主要包括：代理签名 6 j 、盲签名 7 、可验证的加密签名 8 、不可否认签名 9 j 、 在线离线签名( 1 0 j 、门限签名【1 1 】、环签名 1 2 3 、指定验证者签名 1 3 】、确认者签名【1 4 】， 以及它们各种变型签名等等 1 5 】 1 9 7 6 年，d e f f i e 和h e l l m a n 虽然提出了数字签名的概念，但是他们只是单 2 湖北工业大学硕士学位论文 纯的给出了用公钥密码体制实现数字签名的方法，而没提出数字签名方案。 1 9 7 8 年，r i v e s t ，s h a m i r 和a d l e m a n 提出了第一个数字签名方案，也就是 非常著名的r s a 算法。此算法的核心是基于分解大整数因子困难性的。此后，新 的数字签名方案不断的被提出，其中有著名的e l g a m a l 数字签名方案，s c h n o r r 数 字签名方案，r a b i n 数字签名方案等。 当数字签名技术研究在电子商务、电子政务等领域下快速发展的过程中，根 据实际情况的不同，普通的数字签名方案已经不能满足实际应用的需要了。这些 新的需求，呼唤出了一批新的具有特殊性质和特殊用途的数字签名方案。 盲签名( b li n ds i g n a t u r e ) 概念首先于1 9 8 2 年被c h a u m 提出。盲签名方案的 特点在于，签名者在不知道消息具体内容的情况下可以对消息进行签名，签名人 的签名又可以被文件或消息的拥有者得到。这种签名体制使得用户的隐私权可以 完全的被保障。正是由于这样的特性，使得盲签名在电子商务和电子选举等领域 有着广泛的应用。 7 】 随后，在1 9 8 9 年，不可否认签名( u n d e n i a b l es i g n a t u r e ) 的概念被c h a u m 和 a n t w e r p e 提出。不可否认签名在保护电子出版物的知识产权，电子选举、电子现 金、电子拍卖等各领域都有着不俗的表现，应用范围之广，令人惊叹。【9 】 1 9 9 1 年，群签名( g r o u ps i g n a t u r e ) 的概念被c h a u m 和v a n h e y s t 提出，群签 名方案，如同传统的签名方案，允许签名者向验证者证明：关于消息的签名是其 利用签名密钥得到的。并且，对于任何一个知道群公钥的验证者来说，该签名是 可以公开验证的。 1 6 】然而，群签名是匿名的。任何验证者都无法知道是哪一个群 成员对消息签的名。此外，群签名还具有无法链接性：验证者无法判定多个不同 的签名是否来自同一个群成员的签名。如果验证者对签名者的身份起了疑心，他 可以通过群管理者恢复出签名者的身份。这种签名方式可以用于工程网上招标投 标。 m a m b o ，u s u d a 和o k a m o t 三人又于1 9 9 5 年提出了代理签名( p r o x ys i g n a t u r e ) 的概念。在代理签名中原始人可以将自己的签名能力授权给代理人，这种签名方 案可以让签名人由于某种原因不能行使签名权利时，可以委托其他人代替其行使 签名的权利。 1 7 】 6 年后，r i v e s t 、s h a m i r 和t a u m a n 提出了环签名( r i n gs i n g n a t u r e ) 体制， 环签名因为签名由一定的规则组成一个环而得名。在环签名方案中，环中一个成员 利用他的私钥和其他成员的公钥进行签名，但却不需要征得其他成员的允许，而验 证者只知道签名来自这个环，但不知到谁是真正的签名者。环签名与群签名不同， 没有群管理员，签名用户没有组织结构程序，不用协调一致。它克服了群签名中群 3 湖北工业大学硕士学位论文 管理员权限过大的缺点，对签名者是无条件匿名的。环签名在匿名电子选举、电子 政务、电子现金系统中有广泛应用，还可以用于解决多方计算。 1 8 】 1 9 8 4 年，s h a m i r 发表的论文中提出基于身份( i d b ：i d e n t i t yb a s e d ) 的密码系 统概念，给出了一个基于身份的数字签名方案。 1 9 利用这种方案省去了维护所有 用户公钥目录的系统开销。此后，基于身份的签名方案形成了数字签名的一个非 常时髦的研究方向。 1 2 数字签名的研究意义 在传统社会中文件的签署、商业条约、政治、军事、命令的签署都需要签署 者亲自签名和加盖印章来保证文件的不可否认性。手写签名和印章都能得到法律 的核准和认证。随着科技的不断进步，数字化信息化时代的到来，以上的这些文 件都在网络社会中以字符串的形式存在着。那么也势必找到一种方法来替代传统 意义的手写签名，这就是数字签名。数字签名技术的完善关系着网络传输的真实 性。 为了消除电子商务和电子政务发展过程中的法律障碍，十届全国人大常委会 第十一次会议审议通过了中华人民共和国电子签名法。电子签名法的颁布实施， 确立电子签名与手写签名具有同等的法律效力。 数字签名可以解决否认、伪造、篡改及冒充等问题。数字签名的应用范围十 分广泛，在保障电子数据交换( e d i ) 的安全性上是一个突破性的进展，凡是需要 对用户的身份进行判断的情况都可以使用数字签名，比如加密信件、商务信函、 定货购买系统、远程金融交易、自动模式处理、发送安全电子邮件、访问安全站 点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上 缴税、网上炒股、网上购物和网上报关等等。数字签名技术主要用在插件的安全 性、程序的签名、金融服务行业等，由此带来的经济效益和社会效益是不可低估 的。 1 3 本文主要研究内容及章节安排 本文主要研究基于身份的数字签名学，着重研究基于身份的代理签名技术。 在算法中应用安全的哈希函数，利用双线性对的一些性质，结合代理签名协议设 计出一种新数字签名。 考虑到要解决t a 的伪造攻击问题，于是在该签名方案中引入多个可信中心机 构t a 。这种引入经过分析，能够有效地解决t a 之间的伪造攻击问题，使得本方案 4 湖北工业大学硕士学位论文 在现实的系统环境中可以放心的进行应用。在方案中采用的是使用委任状的代理 授权机制，设计出一种可以应用于公开系统环境中的、基于身份的代理签名方案。 在文章的最后对新的代理签名方案进行详细的安全性分析、理论证明和系统性能 分析。 第2 章主要简要介绍本文研究内容所用到的数论的基础常识和代数的基本理 论知识。同时还包括双线性对的特殊性质，双线性配对所在椭圆曲线上的密码假 设。介绍了哈希函数的特性和约定了本文所提到的哈希函数类型。 第3 章简要介绍基于已知身份的数字签名技术。首先对基于身份数字签名体 系的进行了简要的概述，提出了基于身份的数字签名系统的形式化定义、研究现 状，两种基于身份的数字签名算法h e s s 的签名算法和c h a - c h c o n 基于身份签名方 案。最后介绍了基于身份的特殊签名研究现状。 第4 章主要研究基于身份的代理签名方案及设计。详细和系统介绍代理签名 和3 种代理委托协议。设计出一种新的基于身份的代理签名方案，并对本方案进 行了详细的安全性及代价分析。 5 湖北工业大学硕士学位论文 2 1 数论基础知识 第2 章预备知识 在现代密码学中，经常遇到像大素数分解、开方求根、求解不同模数的联立 同余方程等问题。这些问题都涉及数论的知识领域。所以，以下将介绍一些相关 的预备知识。 2 1 1 因式分解问题 任何一个大整数n ，可以写成一串素数相乘的形式。如方程： n = q i q 2 嘎g t 其中吼为素数。 2 1 2d ；f f i e h e ii m a n 问题 给定素数q ，已知g 、9 4m o d q 、9 6r o o d q z ，乏是乘法循环群。要求解 9 4 6m o d q 在计算上是不可行的。 2 1 3 中国剩余定理 设慨，m 2 ，m 女是两两互素的正整数，若令 m = m l m 2 m t ，m = m ，m ，f = 1 , 2 ，k 则对于任意整数岛，如，以，一次同余方程组 必有唯一解 其中 x 誊m 1 m l b n + m 2 m 2 b 2 + + m 七m 七b k ( m o d m ) ， m i m l 暑l ( m o d m i ) ，i = 1 , 2 ，j i 6 m m m 砸矾 砸 缸；恤 反如 巩 = = = 石 x x 湖北工业大学硕士学位论文 i ii 2 i2 群、环、域 由于双线性对是用于计算椭圆曲线上的离散对数的，然后将某些椭圆曲线上 的离散对数问题归约到一个有限域的离散对数问题，所以，我们先介绍一下群、 环、域的性质。 2 2 1 群 一个不空集合g 对于一个叫做乘法的代数运算来说作成一个群，假如满足以下 公理： a l 封闭性：如果a 和b 都属于g ，则口6 也属于g ； a 2 结合律：对于g 中任意元素a ，b ，a ( b c ) = ( a b ) c 都成立； a 3 单位元：g 中存在一个元素e ，对于g 中任意元素a ，都有a e = e a = a 成 立： a 4 逆元：对于g 中任意元素a ，g 中都存在一个元素a ，使得式 a a = a a 一= e 成立。 如果一个群的元素个数是有限的，则该群称为有限群。并且群的阶等于群中 元素的个数。否则，称该群为无限群。 一个群如果还满足以下的条件，则称为交换群： a 5 交换律：对于g 中任意元素口。b ，都有a b = b a 成立。 2 2 2 环 环r ，有时记做( r ，+ ，) ，是一个有两个二元运算的集合，这两个二元运算分别 称为加法和乘法，且对于r 中的任意元素a ，b ，满足以下公理： a 1 a 5 环r 关于加法是一个交换群；也就是说，r 满足从a 1 到a 5 的所有原则。 对于此种情况下的加法群，我们用0 表示其单位元，一a 表示a 的逆元 m 1 乘法的封闭性：如果a 和b 都属于尺，则口6 也属于r ； m 2 乘法的结合律：对于尺中的任意元素a ，b ，c ，有a ( b c ) = ( a b ) c 成立； m 3 分配律：对于尺中的任意元素口，b ，c ，都有式a ( b + c ) = a b + a c 和式 ( 口+ b ) c 盒a c 十6 c 成立。 环如果还满足以下条件，则称为交换环。 m 4 乘法的交换律：对于r 中的任意元素a , b ，有a b = b a 成立。 交换环还满足以下条件，则称为整环： m 5 乘法单位元：在r 中存在元素l ，使得对于只中任意元素a ，有 7 湖北工业大学硕士学位论文 a l = l a = a 成立。 m 6 无零因子：如果有尺中元素a ，b ，且曲= 0 ，则必有a = 0 或b = 0 。 2 2 3 域 域f 是有两个二元运算的集合，这两个二元运算分别称为加法和乘法，且对 于f 中的任意元素a ，b ，满足以下公理： a i - m 6 域f 是一个整环：也就是说f 满足从a 1 - a 5 以及从m 1 m 6 的所有原 则。 m 7 乘法逆元：对于，中的任意元素( 除0 以外) ，f 中都存在一个元素a 一， 使得式a a = a a = l 成立，除法定义为a b = a b 一。 域，中元素个数称为域的阶( o r d e r ) ，记为o r d f 。若域，阶为一有限 数p ，则称之为有限域，记为g f ( p ) 。 设g = 少，其中p 是素数，m 是一正整数，则称p 为局的特征( c h a r a c t e r i s t i c ) ， 称m 为乃的扩展指数( e x t e n s i o nd e g r e e ) 。对于v f ，有p 声o 。 令，是，非零元素的集合，即f = f o 。 p 是阶为，= p m 1 关于乘法的循环群。p = ，则p 的生成元口称为域f 的本原元素。 2 2 4 离散对数问题( d l p ) 设( g ，) 是一个有限乘法循环群，p 是g 的一个q 阶生成元。如果任意给定 一个群中的元素q ，除非使用穷举做法，否则无法得到一个整数n ( 0 n ”采用s h a 2 2 4 。 湖北工业大学硕士学位论文 第3 章基于已知身份的数字签名技术 数字签名是公钥密码体制最重要的应用之一。在公钥加密系统中，发送方先 用接收方的公开密钥加密消息，然后接收方再用自己的保密私钥解密消息。数字 签名系统与公钥加密系统恰恰相反的。在数字签名的过程中，发送方首先用自己 的私钥对某消息加密产生数字签名，当接收方接收到这个消息和对应的数字签名 后，利用发送方的公钥来解密证实这个签名的正确性。数字签名提供了不可否认 性的功能。数字签名的不可否认性是指：签名的接收方能够证实发送方的身份。一 方面发送方不能否认其曾经签署过的签名，另一方面任何人不能伪造和篡改签名。 相对于私钥体制，公钥体制很好的解决了密钥分发和管理的难题，并且使数 字签名技术得以实现。对于公钥密码体制，公钥通常由用户的私钥代入函数f 中 计算得出，其中f 是从私钥空间映射到公钥空间的单向陷门函数。于是在进行身 份认证的过程中必须事先将主体公钥与用户的实体身份进行捆绑。这个问题的有 效解决是实施公钥密码系统和数字签名系统的基础。为了解决这个问题， k o h n f e l d e r 在1 9 7 9 年提出了公钥证书的概念 2 0 ，公钥证书通常包含这样一些内 容：公钥持有者的身份信息，公钥参数信息，以及由可信第三方( 证书权威c a ) 对该 证书的一个数字签名。c a 是一个可信任的证书机构。它被服务器内所有的用户主 体信赖，并通过间接的方式被更大的域内的主体信赖。 在目前广泛使用的公钥密码体制中，公开密钥的分配是通过证书 ( c e r t i f i c a t e ) 来实现的。证书是由认证中心c a 颁发的，c a 负责管理系统中的所 有用户( 包括人、各种程序、主机) 的证书。认证中心c a 的功能有：证书发放，证 书更新，证书撤销和证书验证。然而，建立和维护基于目录的公钥认证框架会使 系统异常复杂，且成本昂贵。这种高成本、高代价的运行模式是由于普通公钥密 码体制的特点决定的。为了节约成本，避免对于认证中心的依赖，迫切的需要一 种新的密码体制，也就是基于身份的密码体制的提出。 1 2 湖北工业大学硕士学位论文 图2 1 基于证书的签名系统框架图 3 1 基于身份数字签名体系 1 9 8 4 年，s h a m i r 于提出了基于身份的密码体系，解决了这一问题。其主要思 想是：在基于身份的加密( 签名) 体制中，用户的公钥就是用户的身份信息，比如姓 名、身份、地址、电话号码等相关信息作为不可抵赖的用户信息。对应的私钥由 密钥产生中心( k g c ) 的可信任第三方生成，用户在获取自己的私钥时，首先需要向 k g c 认证身份( 类似于向c a 认证) ，然后将私钥生成器p k g 有的一个主密钥和用户 身份信息作为输入，通过特殊的函数计算得出用户的私钥，最后再将私钥传送给 用户。由于公钥就是用户的身份信息，因此省去了公钥与实体信息捆绑的环节， 也就是在使用过程中不需要存放公钥或证书的目录。这样，任意的两个用户进行 安全通信只需要一个可信的密钥分发中心为第一次访问的用户计算一个私钥即 可。 1 3 湖北工业大学硕士学位论文 图2 2 基于身份的签名系统框架图 基于身份的数字签名系统中任意的两个用户都可以安全的通信，而且不需要 保存公钥证书列表，不需要在线的第三方进行认证。这种模式解决了传统的证书 认证系统中系统维护过于复杂，维护费用昂贵的问题。但是基于身份的数字签名 系统也有它存在的缺点。比如，用户依赖k g c 生成私钥，那么谁控制了k g c 谁 就能使整个系统安全丧失。另一方面，大多数用户都将自己的私钥存放在不安全 的客户端中间，一旦私钥被窃取就能仿冒签名。用户客户端私钥泄露的问题对于 系统安全的威胁已经在不断的加剧。 。 3 2 基于身份的数字签名系统的形式化定义 同样于数字签名算法，一个基于身份的数字签名方案也由7 个部分组成：数字 签名算法一般是由以下7 个部分组成：明文消息空间m 、签名空间s 、私钥空间k 、 公钥空间k ，、密钥生成算法g e n 、签名算法s i g n 和验证算法v e r i f y 。在算法中，核 心的是系统初始化，私钥提取，签名生成和签名验证四个算法。 可信机构私钥生成器p k g 执行系统初始化： 系统初始化( ( s t e u p ) ：首先对于系统必须有一个安全参数k 作为输入，p k g 运 行系统建立算法输出系统参数p a r a m s 和系统主密钥m k 。所生成的系统参数p a r a m s 1 4 湖北工业大学硕士学位论文 是应该公开，但是系统主密钥m k 用于保存。 p k g 还要执行私钥提取算法： 私钥提取( ( e x t r a c t ) ：输入公开的p a r a m s 、同时将系统主密钥m k 和用户公开 身份d 作为输入，输出用户的私钥d ，p k g 用安全的信道将算出来的私钥d 返 回给用户； 签名用户执行签名生成算法： 签名生成( ( s i g n ) ：输入一个安全参数r 、系统初始化中算得的p a r a m s 、用户私 钥d 以及待签名消息m 。通过算法可以生成对消息m 的签名o ； 接收签名用户( 验证用户) 执行签名验证算法： 签名验证( v e r i f y ) ：通过此算法，可以将系统参数p a r a m 、签名人身份d 、消 息m 和签名。作为输入，输出则是签名验证结果只可能是1 或0 。 其中，签名算法和验证算法与一般签名方案形式相同。 系统的将明文m 和密钥x 作为输入，算法执行完成之后输出的是对明文m 的 签名，表示为s i g x ( m ) 。对于验证算法( s ，m ) 可以得到“真 或者是“假的验 证结果。 岬芝霎魄= s i g x 似( m ； 3 3 基于身份数字签名 基于身份的密码体制己成为现在密码学中一个热门的研究领域。目前，基于 已知身份的密码体制主要包括：数字签名体制、基于身份的加密体制、密钥协商体 制、身份鉴别体制等。本节主要介绍基于身份的数字签名的研究背景及研究现状。 在基于身份的数字签名方面，s h a m i r 于1 9 8 4 年在文献 1 9 首先提出了基于因 子分解问题的基于身份签名体制。1 9 8 8 年o h t a 和o k a m o t 在f i a t s h a m i r 方案的基 础上进行了扩展 2 1 。其后，一些基于身份的签名体制相继被提出。g u i l o u 和 q u i s q u a t e r 提出了一个应用交互式零知识证明协议的基于身份签名方案，可以利用 附件指明身份。之后，p a t e r s o n 又提出了一个安全性接近于e l g r m a l 签名方案的 基于身份签名方案 2 2 ，并作了简要的安全性分析，但是并没有给出严格的方案安 全性证明。2 0 0 2 年，h e s s 提出了依赖于求解群g 上d i f f i e - h e l l m a n 问题的困难性 的基于身份签名方案 2 3 ，并用随机预言模型证明了其困难性。2 0 0 3 年，c h a 和c h c o n 提出了建立在g d h 群上的i b s 方案 2 4 ，该方案能够抵御适用性选择明文和d 攻 击，与b f i b e 方案效率相当，并证明了其安全性。下面介绍两个数字签名的具体 算法。 1 5 湖北工业大学硕士学位论文 3 4 基于身份的数字签名算法 普通的基于身份的签名方案一般由四个算法组成：系统设置( s e t u p ) ，私钥提取 ( e x t r a c t ) ，签名( s i g n ) 和验证( v 矾匆) 。下面我们就具有代表性的部分算法描述如下。 3 4 1h e s s 的签名算法嘲 2 0 0 2 年，h e s s 提出了一个基于身份的数字签名方案。该方案是建立在求解群 循环群g 上的d i f f i e - h e l l m a n 问题的困难性的基础上的，并且利用了双线性映射的 相关性质。该方案能够抵御适应性选择明文和固定d 攻击。具体算法如下： 系统设置： 可信中心t a 执行以下步骤： ( 1 ) 建立两个群，令g 1 是阶为素数q 的加法循环群，g 2 是阶同为素数q 的乘法 循环群，p cg l 是g l 的一个生成元。一个双线性映射p ：g i g l g 2 。 ( 2 ) 选择两个h a s h 函数 日： o ，1 j g l 如- o ，1 g l 一乏 ( 3 ) 公开系统参数( g i ，q ，e ，p ，q ，q ，h 2 ) ( 4 ) 选择一个安全的整数参数t 乏，计算q = t p 。公开q ，将t 留作系统私有 私钥提取： 一个拥有身份信息d 的用户a l i c e 想获得自己的私钥时，同样向t a 提 出申请。t a 执行以下步骤： ( 1 ) 计算用户a l i c e 的私钥d = t h t ( 删 ( 2 ) 将d 通过安全信道传给a l i c e 签名： 对于明文m ，用户a l i c e 用私钥d 产生签名步骤如下： ( 1 ) 随机选择墨g l ，以及随机数| ez ： ( 2 ) 计算，= 啦，尸) ， ( 3 ) 计算 ，= 皿( 聊，) ， ( 4 ) 计算”= v a t + 魍 ( 5 ) 生成签名为二元组( 1 l v ) 验证： ( 1 ) 计算，= e ( u ，p ) p 假( d ) ，一力 ( 2 ) 如果1 ，= 致伽，) ，则接受签名，否则拒绝签名。 1 6 湖北工业大学硕士学位论文 3 4 2c h n - - c h e o n 基于身份签名方案 绷 2 0 0 3 年，c h a 和c h e o n 提出建立在g d h 群上的基于身份签名方案，该方案能 够抵御适用性选择明文和d 攻击。具体算法如下： 系统设置： k g c 执行以下步骤： ( 1 ) 建立两个群，令g l 是阶为素数q 的加法循环群，g 2 是阶同为素数q 的乘法 循环群，p g l 是g l 的一个生成元。一个双线性映射g ：g 1 x g i 哼g 2 。 ( 2 ) 选择两个h a s h 函数 甄： 0 , 1 oq 岛，： o ，l o l 。乏 ( 3 ) 公开系统参数( g l ，q ，e ，只g ，一，h ：) ( 4 ) 选择一个安全的整数参数f z ，计算q = t p 。公开q ，将t 留作系统私有 私钥提取： 一个拥有身份信息d 的用户a l i c e 想获得自己的私钥时，同样向k g c 提 出申请。k g c 执行以下步骤： ( 1 ) 首先验证用户身份 ( 2 ) 计算用户a l i c e 的公钥= 且( 四) ( 3 ) a l i c e 的私钥d = t n , ( z d ) ( 4 ) 将d 通过安全信道传给a l i c e 签名： 对于明文m ，用户a l i c e 用私钥d 产生签名步骤如下： ( 1 ) 随机选择k e z ： ( 2 ) 计算u = 七， ( 3 ) 计算h = 皿( 研，u ) ， ( 4 ) 计算v = ( j | + h ) d ( 5 ) 生成签名为二元组( u ，v ) 验证： ( 1 ) 计算= 日。( ) ( 2 ) 如果p ( 尸y ) = p ( q ，c ，+ | i i ) ，则接受签名，否则拒绝签名。 3 5 基于身份的特殊签名研究现状。 由于在人们的生活中大量的使用数字签名技术，所以一般的数字签名方案已 1 7 湖北工业大学硕士学位论文 经不能满足需要。针对不同的用户需求，一些新的数字签名方案开始不断被研发 出来，这些方案具有特殊性质和特殊用途，能广泛的应用于现实的开放系统中。 在基于身份的特殊签名研究进展方面，研究成果也是不断的涌现。2 0 0 2 年， z h a n g 和k i m 提出了一种基于身份的盲签名和一种基于身份的环签名方案 2 5 1 。 2 0 0 3 年l i n 提出基于身份的环签名方案 2 e l 。2 0 0 4 年，我国张方国等人提出了基于 身份的群签名机制，其中就利用双线性映射技术。2 0 0 5 年y u e n 和w d 提出了第一 个基于身份的层次签名方案。 2 7 湖北i 业大学硕士学位论文 第4 章基于身份的代理签名方案及设计 随着实际应用中的不同需求，单一的基于身份的数字签名技术已经不能够满 足用户的需要了。多种基于身份的数字签名技术和特殊签名技术相结合的方式为 满足不同的需求提供了技术支持。今年来，基于身份的代理签名方案成为密码学 中一个应用性很高的研究方向。本章将结合椭圆曲线上的双线性对的性质和代理 签名协议，设计一个新的基于身份的代理签名方案，同时在本章的后半部分给出 了详细的安全性分析和效率分析。 4 1 代理签名 顾名思义，代理签名c p r o x ys i g n a t u r e 4 e - 4 7 是用于一方代替另一方进行签 名的特殊的数字签名。代理签名首先要求原始签名人必须是经过授权进行签名的。 原始签名人在由于某种原因无法形式签名权利，又不得不进行签名时，将自己的 签名权力拖过委托的方式交给其他的人来代为行使，也可以叫做委托签名。m a m b o 等人于1 9 9 6 年提出了第一个代理签名方案 6 j 。在代理签名时，用户代理签名人必 须是在以得到原始人的授权委托的前提下，才可以代表原始签名人生成数字签名。 未经过原始签名人的委托，任何人都不得生成代理签名。 一个完整的代理签名方案都包含初始化过程、权力的委托过程、代理签名的 生成过程和代理签名的验证过程。具体各个部分应该具备的功能如下： ( 1