[硕士论文精品]基于群签名的扩展签名方案的研究

摘要数字签名技术是现代密码学的主要研究内容之一，群签名作为一种特殊的数字签名，与一般的数字签名相比具有匿名性、可追踪性、非关联性等特点，这些特点使得群签名除了具有一般数字签名的安全属性外，还具有一些额外的安全属性。但随着电子商务与电子政务的迅猛发展，许多应用环境对群签名提出了多种特殊的要求，而传统的群签名方案难以提供较好的解决办法，于是各种基于群签名的扩展签名方案被相继提出，成为了群签名研究中一个值得关注的方向。本文的研究成果如下1、基于代理签名的构造思想提出了一种前向安全的群签名方案，该方案模仿代理签名中原始签名人授权代理签名人的过程进行群成员加入的构造，保证该签名的匿名性、可跟踪性和前向安全性等安全性能的同时，还使得群大小可变且大小不受限制。2、提出了一种具有前向安全性的动态子群签名方案，该方案有效回避了针对RSA公钥签名体制的同模攻击问题，使得方案具有匿名性、可跟踪性、前向安全性、非关联性、抗假冒群中心攻击、抗伪造攻击、抗假冒群成员攻击和抗联合攻击等比较全面的安全性能；该方案能够动态地添加和撤销群成员，且由于中国剩余定理的引入，该方案避免了使用知识签名，使得方案在成员加入及成员撤销的过程中有着比较高的效率。3、基于环签名的构造思想提出了一种具有前向安全性的扩展群签名方案，该方案除了具备比较完善的安全性能外，还使得签名接收者也参与到了签名的打开阶段，有效地限制了群管理员的权限，并且，群成员还可以根据自身的安全需求，自由设定签名时的匿名范围和签名密钥的更新频率，从而实现运算效率与安全性的平衡。关键词群签名扩展群签名前向安全子群签名环签名QQ心情短语HTTP/WWWYULUMEABSTRACTTHEDIGITALSIGNATURETECHNOLOGYISONEOFTHEMAINRESEARCHFIELDSINMODEMCRYPTOLOGYASAKINDOFSPECIFICDIGITALSIGNATURE，GROUPSIGNATUREPOSSESSESTHEFEATURESOFANONYMITY,TRACEABILITY,NONRELATIONANDSOON，WHICHMAKEITHAVESOMESECURITYATTRIBUTESTHATTHECOMMONDIGITALSIGNATURESDONOTPOSSESSWITHTHERAPIDDEVELOPMENTOFELECTRONICCOMMERCEANDELECTRONICGOVEMMENT，SOMEAPPLICATIONENVIRONMENTHASMANYSPECIALREQUIREMENTSFORGROUPSIGNATUREWHICHTHETRADITIONALGROUPSIGNATURESCHEMESCANNOTMEETPERFECTLYTHUS，MANYKINDSOFEXTENDEDGROUPSIGNATURESCHEMESBASEDOILGROUPSIGNATUREAREPUTFORWARDANDCATCHINGMOREANDMOREATTENTIONINTHERESEARCHESOFGROUPSIGNATURETHISPAPERHASTHEFOLLOWINGFINDINGS1BASEDONTHEPROXYSIGNATURE，THISPAPERPUTSFORWARDAGROUPSIGNATURESCHEMEWITHFORWARDSECURITYWHICHIMITATESTHEPROCESSINWHICHTHEORIGINALSIGNERQUALIFIESTHEPROXYSIGNERTOADDGROUPMEMBERSSOTHATTHEANONYMITY,FORWARDSECURITYANDTRACEABILITYASWELLASTHEFLEXIBILITYOFTHESIZEOFTHEGROUPCANBEACHIEVED2。THISPAPERPUTSFORWARDADYNAMICSUBGROUPSIGNATURESCHEMEWITHFORWARDSECURITYWHICHAVOIDSEFFECTIVELYTHESAMEMODEATTACKTORSAPUBLICKEYSIGNATURESYSTEMANDTHUSPOSSESSESANONYMITY,TRACEABILITY,FORWARDSECURITY,NONRELATION，ANDTHEABILITYTORESISTAGAINSTTHECENTRALIZEDATTACKOFCOUNTERFEITGROUPS，THEFORGERYATTACK，MEMBERATTACKOFCOUNTERFEITGROUPSANDCOLLUSIVEATTACKTHISSCHEMECANALSOADDANDREVOKEGROUPMEMBERSWITHOUTSIGNATUREOFKNOWLEDGE，THISSCHEMEISFAIRLYEFFICIENTINTHEPROCESSOFMEMBERJOININGANDTHEREVOCATIONOFMEMBERSHIPBECAUSEOFCHINESEREMAINDERTHEOREM3INSPIREDBYTHEIDEAOFRINGSIGNATURE，THISPAPERPUTSFORWARDANEXTENDEDGROUPSIGNATURESCHEMEWITHFORWARDSECURITYPOSSESSINGCOMPARATIVELYPERFECTSAFETY,THESCHEMEALSOALLOWSTHESIGNATURERECIPIENTPARTICIPATETHEOPENINGSTAGEOFTHESIGNATUREANDTHUSEFFECTIVELYLIMITSTHEAUTHORITYOFTHEGROUPMANAGEBESIDES，THEGROUPNMEMBERSCANSETFLEXIBLYTHEUPDATEFREQUENCYOFTHESECRETKEYSOFTHESIGNATUREANDCHOOSEFREELYTHEANONYMOUSRANGEOFTHESIGNATUREINTHISSCHEMETOREACHABALANCEBETWEENTHEOPERATIONEFFICIENCYANDSECURITYKEYWORDSGROUPSIGNATURE；EXTENDEDGROUPSIGNATURE；FONVARDSECURE；SUB。GROUPSIGNATURE；RINGSIGNATUREIIIQQ心情短语HTTP/WWWYULUME原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名丛ELAN址年月卫日学位论文版权使用授权书本人了解中南大学有关保留、使用学位论文的规定，即学校有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公众提供信息服务。作者躲生坠导师签名趔吼斗年月望日中南人学硕士学位论文第一章绪论第一章绪论本章先是简单介绍了数字签名的概念，给出了几个常见的数字签名体制，随后介绍了群签名发展及研究现状并列举了多个基于群签名的扩展签名。最后说明了本文的内容概要及结构。11研究背景随着近几年网络技术的迅猛发展，人类已经进入了信息时代，同时也带来了电子商务和电子政务的迅猛发展。每天都有大量的信息在网络上进行交换，信息安全显得尤为重要。不安全的协议会给电子政务、电子商务、网络银行、网络科研、远程教育、远程医疗等领域带来严重的损失。为此，数字签名应运而生，并开始应用于商业、军事等各种用途中。数字签名可以实现数据的完整性、来源的真实性和不可否认性。因此在进行身份认证、密钥分发、信息认证等方面数字签名都有重要的作用。在R常生活中，使用手写签名和印章很多，而要在网络上实现电子文档的签名和印章，则需要数字签名。数字签名同手写签名一样具有法律效力。群签名作为一种特殊的数字签名，与一般的数字签名相比，具有匿名性、可追踪性、非关联性等特点，这些特点使得群签名除了具有一般数字签名的安全属性外，还具有一些额外的安全属性，因而群签名方案的构造具有特殊性。但随着电子商务与电子政务大范围的应用与普及，许多应用环境对群签名提出了多种特殊的要求，而传统的群签名方案难以提供较好的解决办法，因此各种基于群签名的扩展签名方案被相继提出，成为了群签名研究中一个值得关注的方向。12研究现状121数字签名政治、军事、外交等的文件、条约和命令，商业活动中的契约、合同以及个人的声明、书信等等，传统上都采用手写签名或者公章印章，一旦发生纠纷就可以在法庭上进行认证。随着计算机通信网络的发展，人们希望通过计算机网络实现远距离的身份认证和电子信息交换，数字签名就是对手写签名的电子模拟。QQ心情短语HTTP/WWWYULUME中南大学硕十学位论文第一章绪论L、数字签名的形式化定义一个完善的数字签名至少应具备以下三个特性1不可否认性即签名人事后不能否认自己曾经的签名。2不可伪造性任何其他人不能伪造签名。3可仲裁性如果签名人与验证方发生争执，签名可由可信的第三方仲裁来确定真伪。数字签名方案一般包括三个过程系统的初始化、签名产生和签名验证。系统的初始化用来产生数字签名方案会用到的一切参数；签名产生过程中，用户通过某一算法对小心进行签名；签名验证过程中，验证者通过一个公丌的验证算法对签名进行验证以确认该签名是否有效。其原理如图11。发送方私钥发送方公钥图11数字签名原理下面给出数字签名的形式化定义1系统的初始化产生签名方案的基本参数M，S，K，SIG，VER，其中M表示消息集合；S表示签名集合；K表示密钥集合，包括私钥和公钥；SIG表示签名算法集合；VER表示签名验证算法集合。2签名产生对于密钥集合K，相应的签名算法SIGRSIG，S辔KM专S，对任意的消息埘M，有SSIGKM，那么SS为消息M的签名，签名者将M，S发送给签名验证人。2中南人学硕士学位论文第一章绪论3签名验证对于密钥集合K，有签名验证算法，PKMXS专TRUE，FALSEVPKX，YTRUE,YSIGXXI签名验证人收到沏，5后，计算VPKX，Y，VERXX，YTRUE，则为有效签名；否则为无效签名。2、RSA签名方案RLRIVEST，ASHAMIR和LADLEMAN在1978年提出了一种基于大数分解困难性问题的公钥密码系统【31，称之为RSA公钥密码系统，该系统可用作加密和数字签名。RSA签名算法的安全性基于分解N的困难性，其签名方案如下系统参数P，Q是大素数，整数刀PQ，选择E并计算D，使得EDLMODQ，N，公开E，N，并将P，Q，D保密。签名产生若对消息MZ。进行签名，则计算SMDMODNL则S就是消息M的签名。签名验证签名验证人得到M，S后，利用签名人的公钥刀，E计算MSEMODN若上式成立，则说明该签名有效，否则该签名无效。3、EIGAMAI签名方案TE1GAMAL在1985年提出了一种基于离散对数的公钥密码系统【41，该系统既可用于数据加密也可用于数字签名，其算法的安全性是基于计算有限域上离散对数的困难性，它是一种概率的双钥方案，即对同一明文消息，由于随机参数选择的不同而会得到不同的签名。其签名方案如下系统参数P是一个大素数，G为ZP中乘法子群Z；的一个生成元或本原元，用户密钥XZ。计算YGMODP，则X为密钥，P，Q，Y为公钥。签名产生给定消息M，签名人秘密选取一个随机数KZ并计算日聊QQ心情短语HTTP/WWWYULUME中南大学硕七学位论文第一章绪论人。，GMODPSHM一XRKMODP一1NSSIG。所，七，J为签名人对消息M的签名，将研，S发送给验证签名验证验证人收到M，S后，先计算HM，再验证Y7，5GH”MODP若等式成立则签名有效，否则签名无效。这是因为YRRSGX,G孙G洲KMODPGH蛳1MODP4、SCHNORR签名方案CSCHNORR在1989年提出了SCHNORR签名方案【5】，它的安全性同样基于求离散对数的困难性，也是概率的双钥方案。其方案如下系统参数两个大素数P，Q，满足GPL，G为Z中的元素且99三LMODP，用户密钥为X，11个用户包括自己产生一个环签名。也就是说，签名人可以指定自己的匿名范围并且被指定的用户可能不知道自己已经被包含在其中。13本文的内容和章节安排论文围绕着提出的一些基于群签名的扩展签名方案，较全面地介绍了相关知识，着重讨论了本文提出的签名方案及其安全性能。论文的章节安排如下第一章介绍了数字签名、群签名的概念、发展、研究现状等群签名领域的基本内容以及几种常见的基于群签名的扩展签名方案。第二章介绍本论文用到或相关的基本工具和基本知识。第三章介绍了群签名的前向安全性，提出了一种前向安全的群签名方案，并对其进行了安全性分析。第四章对子群签名及动态群签名进行了概述，提出了一种前向安全的动态子群签名方案，并对其进行了安全性分析。第五章对环签名进行了概述，提出了一种基于环签名构造思想的前向安全群签名方案，并对其进行了安全性分析。第六章对本文的研究内容进行总结并对下一步的研究工作进行计划和展望。10中南人学硕士学位论文第二章基础知识第二章基础知识密码学是FQ涉及广泛的学科，它需要多个数学领域的知识，包括数论、群论、舆论、线性代数、概率论及信息论等。数字签名系统的安全性都基于某种数论上困难性问题的假设，这些困难性问题构成了数字签名系统的基础。知识证明是来被较多地运用到数字签名系统当中，已成为构造数字签名系统的一个重要工具。21代数与数论基础知识定义211群设G是非空集合，在G中定义了一种代数运算，称为乘法，记为“，对于G中任意两个元素A，B都唯一确定G中一个元素A幸B，称为A，B的乘积。如果G对这种运算满足下面几个条件1结合律对G中任意3个元素A，B，C都有0掌6木C口木B木C2单位元素的存在G中存在一个元素E，对于G中任意元素A，都有EAA宰E口3逆元素的存在对G中任一元素A，都可找到G中一个元素A，使得以一L宰AA幸口E那么G就称为一个群。E称为G的单位元，A1称为A的逆元。如果G中元素的个数IGI有限，则称G为有限群，IGI称为G的阶。定义212阿贝尔群如果对于所有的A，BG均有口木BB木AG则群G称为阿贝尔群，阿贝尔群就是交换群。定义213循环群、群生成元如果存在一个元素AG，对任意BG，都存在一个整数I0，使得BA，则群G就称为循环群，元素A称为G的一个生成元，G也称为由A生成的群。当一个群由A生成的时候，记作G口。循坏群的生成元也称为这个群的单位元的本原根。Z。表示整数模N的剩余类所构成的集合，在模N的加法下构成一个阶为N的阿贝尔群Z在普通乘法模11下构成一个乘法群，阶为缈【行，其中妒门称为欧拉函数。定义214欧拉函数设11是一个正整数，缈门的值等于1，2，川一L中与N互素的整数的个数QQ心情短语HTTP/WWWYULUME中南大学硕学位论文第二章基础知识缈甩L承ILK刀一L，GCDK，刀1IKK若整数N分解为兀所，其中P。表示不同的素数，则缈刀以兀11P，ILTL特别地缈PP一1，P为素数。22困难性问题困难性问题是指在合理有限的资源范围内没有一个可行的算法能够有效解决该问题。实际上，人们并没有办法证明这样的算法是不存在的，但又不得不假设没有这样的算法存在，因为人们找不出这样的算法。下面给出了一些在数字签名中经常使用到的一些困难性问题。221大数分解问题在公钥密码体制中，大数分解问题是运用最广泛和最普遍的一个问题，如RSA密码体制、RABIN密码体制等都是基于大数分解问题的典型体制。定义221整数分解问题给定一个整数N，找出它的素因子。即找到不同的素数P，和正整数E，使得甩ELP；2P。定义222RSA问题给定正整数N，E和整数D，P，Q是两个不同的素数，满足GDCE，P一1G一1L，找出一个整数M，使得DM8MODN。假设221RSA假设存在概率多项式时I日J算法K对于输入安全参数，输出满足RSA问题要求的条件P，D，刀；对所有概率多项式时间算法P，算法P解决RSA问题的概率可以忽略。即PRTA珊。LP，D，门K2七，MPE，D，刀JL。假设222强RSA假设12中南大学硕士学位论文第二章基础知识存在概率多项式时间算法K对于输入安全参数如，输出满足强RSA问题要求的条件D，玎；对所有概率多项式时间算法P，算法P解决强RSA问题的概率可以忽略。即PRP,。ID，摊K2屯，P，班_ED，瓣I3且为整数，N的分解为门兀P，JACOBI符号定义为詈始口JO可以看出，JACOBI符号是LEGENDRE符号的推广，JACOBI符号不要求P必须为奇素数。224表示问题表示问题是离散对数问题的一种推广。14中南人学硕七学位论文第二章基础知识定义221LG是一个N阶有限循环群，GI，92，G，G是G中不同的生成元，AG，如果数组X卜X。满足OX，玎一1，1FM并使得口兀醇，则数组XX胛是AG关于GL，92，G。G的表示。任意一个AG关于生成元GL，92，G，G有力”1个不同的表示。定义2，212表示问题RP给定一个N阶循环群G，G中的生成元数组G。，92，G，和元素A求解而X，0X，刀一L，LFM并使得口兀G，。23中国剩余定理设ML，M2，聊是两两互素的J下整数，令M聊IM2MMLMLM2M2M女M，其中M。MM，待1,2，K。同时满足同余方程组C兰YLMODMLC三Y2MODM2C三YMODM的正整数解是C暑YLMLNLY2M22肌膨以MODM其中F是满足同余方程MM三LMODMF，I1,2K的正整数解。24哈希函数哈希函数HASH函数，又称杂凑函数，是在密码学以及信息安全领域有着广泛应用的密码算法，是安全认证协议中的重要模块。在数字签名中，如果使用签名算法对长文件进行签名时，需要将文件分割成若干个固定长度的文件段逐一进行签名运算，然后再将这些签名连接起来构成文件的最终签名。而这样做会出现以下几个问题1文件的签名过长。2长文件在签名时往往耗费较多时间。3不能保证签名文件的完整性。因此，在对长文件进行数字签名时，通常都会通过哈希函数压缩文件的长度，同时利用哈希函数的特性来保护文件的完整性。简单的说，哈希函数是一个消息空间到摘要空间的映射，它将任意长度的数15QQ心情短语HTTP/WWWYULUME中南人学硕士学位论文第二章基础知识据映射为定长的二元串，记为HX专Y。其中X为消息空间，Y为摘要空间。而一个安全的哈希函数必须使得以下三个问题是难解的1原像问题即给定一个消息摘要Y，是否能够找到X，使得HXY。不能有效解决原像问题的哈希函数称为单向的或者抗原像。2弱抗碰撞即给定一个消息X，是否能够找到一个FX，使得HXHX。3强抗碰撞是否能够找出一X，使得HX日X。由此可以得出哈希函数最重要的三个特性压缩性、单向性和抗碰撞性。哈希函数主要有两类带密钥的哈希函数和不带密钥的哈希函数。不带密钥的哈希函数任何人都可以计算，它仅仅是输入串的函数；带密钥的哈希函数是输入串和密钥的哈希函数，只有持有密钥的人才能够计算出哈希值。目前具有代表性的哈希函数有MD5、SHA1，RIPEMD等，这些哈希函数长期以来被认为是安全的，并有着非常广泛的应用。但在2004年召开的国际密码大会上，来自中国山东大学的王小云教授首次宣布了对MD5、HAVAL128、MD4和RIPEMD等四个著名密码算法的破译结果。2005年王小云又宣布了破译SHA1的消息。王小云的研究成果表明了从理论上讲数字签名可以伪造，必须即使增加限制条件，或者重新选择更为安全的密码标准，从而保证电子商务的安全。设计新的哈希函数称为密码学界一个急需解决的重要问题。25知识签名知识签名以零知识证明为基础，采用单向非交互协议证明自己知道某些信息，但又不泄露该信息。交互的零知识证明可以通过哈希函数转换为非交互证明或签名。为了和非交互知识证明区别开来，把这种类型的签名称为知识签名。设GG是阶为N的循环群，A为Z中的元素。定义251双重离散对数称满足G扣1Y的最小正整数X，为YG基于G和A的双重离散对数。定义252离散对数的E次根称满足GOOY的最小正整数X，为YG基于G的离散对数的E次根。在知识签名的过程中，运算是在群GG上进行的。有些方案中的签名者知道该群的阶，而有些方案中的签名者并不知道群的阶，这时签名者只需要知道群阶的比特长度。不妨设群GG的阶的比特长度为，。16中南入学硕士学位论文第二章基础知识定义253设AL为系统的一个安全特征，称满足C4G0YIL95Y。|IM的数对C，SO，1R辱2”。，201VK是消息MO，1关于Y基于G的离散对数的知识签名。记作S以扛YG口IM。如果知道满足XLOGP少的密钥XO，1L，则可以通过如下方法计算消息MO，1的签名1任意选取，0，18“，计算FG2CHG0YIIF0M3S，CXIN，Z若上述指数运算全在Z上，则可以任意选取，Z，97MODP，疗IP1，然后计算CHGL|YI|M与J，一CXMODN。定义25一设AL为系统的一个安全特征，称满足CHGOHOY。II少IL95片IIHY2OM的数对C，5O，LR牛2TEK，9烈7，“J是消息M0，1关于Y，基于G和Y基于H相等的离散对数的知识签名。记作SPK口TYLG。AY2H。；M。如果知道满足乃GX和Y2H。的密钥XO，1L，则可以通过如下方法计算消息MO，L的签名1任意选取广O，L烈七“，计算，L97和，2H72CHGLLHILYIILY20F2LIM3S，一CXIN，Z除此之外还有多种知识签名，包括基于双重离散对数的知识签名，基于离散对数E次根的知识签名等等，在此不再累述。26本章小节数字签名的安全性基本上都是建立在数论假设的基础之上的，因此数论假设与困难性问题的研究对于数字签名的构造有着举足轻重的意义；哈希函数凭借着自身压缩性、单向性和抗碰撞性等特点在数字签名及其他信息安全领域有着极为重要的应用知识签名以零知识证明为基础，已成为密码学领域的一个基本工具，被广泛应用于各种密码协议当中。本章简单介绍了代数与数论的基础知识，给出了哈希函数与中国剩余定理基本概念并对哈希函数的特性做了简单的描述，给出了几个常用的困难性问题及数论假设和两种常见的知识签名。这部分的知识在密码学及数字签名领域有着非常广泛的应用，是构造群签名的技术基础。17QQ心情短语HTTP/WWWYULUME中南大学硕学位论文第二章一种前向安全的群签名方案第三章一种前向安全的群签名方案一直以来，前向安全都是群签名体制所面临的一个重要问题，使用前向安全的概念可以减轻群签名密钥泄露的危害，即如果某一群成员的签名密钥不幸泄露，该成员此前产生的群签名依然有效并且无须重新签署。基于此，本章借鉴代理签名的构造思想提出了一种前向安全的群签名方案，该方案除了满足传统群签名的所有安全属性外，还具备了前向安全性。31群签名的前向安全性在现实生活中，“非密码”原因的密钥泄露问题是对密码协议的最大威胁，如人为的错误使系统被攻击导致密钥的泄露等等。前向安全和秘密分享是解决因密钥泄露造成危害的两种较常见的方法，但使用秘密分享的方法涉及多个实体且耗费较大，每个系统可能受到相似的攻击，并且也不适合群签名方法。而前向安全的方法不存在这样的不足，因而本文主要对前向安全性进行研究。前向安全的概念是由ANDERSON在1997年首次提出【491，并应用于传统的数字签名当中。其思想本质上就是把整个签名有效时间分成若干个时段，在每个时段使用不同的签名密钥进行签名，而签名验证公钥则在整个签名有效时问内不发生变化。通常用户先注册一个公钥PK并保存相应的私钥SK。，将公钥的有效时间分为K个有效时间段，分别记为正，乃，瓦。在时间段L，私钥为SK，在时间段2，私钥为SK，以此类推。私钥从SK，到SK川的变换是利用单向函数H来实现。当SK生成以后，就可以删除SK，了。这样即使在时问段I泄露了SK。，攻击者也无法获得SK。，SK，SK，SKN。这样就提供了前向安全性。图31显示了整个签名私钥的变化过程。时间段2L时间段3时间段KIIHHH_SKZ。_。_。SKK图31私钥的更新过程前向安全数字签名方案主要有四个组成部分1密钥生成算法；2密钥18KS段问ILHILI三I中南大学硕十学位论文第三章一种前向安全的群签名方案更新算法；3签名算法4签名验证算法。1密钥生成算法由时间总数T与安全参数K共同生成初始密钥、公钥对SKO，PK，OJO2密钥更新算法在有效期内公钥PK保持不变，而秘密钥则随着时间的变化而更新变化。SK，记为第那I丁时间段的秘密钥，进入I时间段后，首先计算SKIHSKH，这里的H是个单向函数，确保不能由SK，计算出SKJL，求得SK，后立即删除SK，。3签名算法用第I1FT时间段的秘密钥SK，对消息M进行签名，产生在第I时问段内对消息M的签名。4用公钥PK和消息M来验证一个签名是否确实为第I时间段的签名密钥SK对消息M的签名。由此可得，虽然前向安全的群签名并不能避免密钥泄露，但是人们可以利用前向安全的概念使得群签名密钥泄露后的损失减小，即当一个群成员的签名密钥泄露以后，该成员之前所产生的群签名仍然有效且不需要重新签名，并且一个群成员的签名密钥的泄露不会影响到其他成员的签名。32前向安全群签名的模型及安全要求具有前向安全性的群签名是一种特殊的群签名，同传统的群签名一样，它允许群成员代表整个群来进行签名，任何人都可以通过群公钥来验证该签名的正确性，但验证人无法从签名当中得到有关于签名人的任何信息。如果发生争执，验证人可以通过群管理员来揭示签名人的真实身份。一个具有前向安全性的群签名方案一般由以下几个算法构成1建立SETUP一个概率算法，输入一个安全参数L，输出群管理员的秘密钥，系统公开参数。2加入JOIN如果个新用户想加入群，那么该用户可以通过一个与群管理员的交互协议来加入，通过这个协议群管理员向新成员提供秘密钥和一个成员资格，并注册他的身份。3更新EVOLVE一个确定性算法，输入一个时间段I的群签名钥，输出相应时间段IL的群签名钥。4签名SIGNATURE一个概率性算法，输入群公钥、群成员的私钥，要签名的消息M和时间段I，最后输出一个对消息M的签名I，SIGNM。5验I正VERIFY一个确定性算法，输入群公钥、群签名I，SIGNM和消息M，这个算法就是验证SIGNM是否是在时间段I内对消息M的签名，如果SIGNM是，说明I，SIGNM有效，否则无效。19QQ心情短语HTTP/WWWYULUME中南人学硕十学位论文第三章一种前向安全的群签名方案6打开OPEN一个确定性算法，输入消息M，相应于M的签名，群公钥和群管理员的私钥，输出签名者的真实身份。7撤销REVOCATION个确定性算法，输入一个签名，根据撤销列表中的撤销标记来确定一个群成员是否被撤销。一个具有前向安全的群签名应该满足以下安全特性1正确性CORRECTNESS通过群签名算法SIGN产生的群签名一定可以通过群签名验证算法VERIFY。2不可伪造性UNFORGEABILITY仅仅合法的群成员能够代表群来进行有效的签名。3匿名性ANONYMITY已知一个消息的签名，任何人群管理员除外揭露产生群签名的群成员在计算上是困难的。4非关联性UNLINKABILITY决定两个不同的群签名是否由同一个群成员产生在计算上是困难的。5可跟踪性TRACEABLITY一个可信第三方总是可以通过OPEN算法来打开一个签名并能识别签名者的真实身份。这个可信的第三方可能是群管理员也可能是其他的某个实体。6抗陷害攻击EXCULPABILITY任何人都不能伪造其他群成员来代表群对消息进行签名。7抗联合攻击COLIATIONRESISTANCE任何人之间的勾结都不能伪造能够通过验证的群签名。8公开可撤销性PUBLICREVOKABILITY群管理员能够撤销一个群成员以致于被撤销的群成员以后不能产生合法的签名。9回溯公开可撤销性RETROACTIVEPUBLICREVOKABILITY一个群成员的签名密钥的泄露，并不影响其他群成员的签名，即使用其他群成员的签名密钥产生的签名仍然有效，并具有匿名性和不可连接性。10后向不可连接性BACKWARDUNLINKABLITY一个群成员在时间段J内的签名密钥的泄露并不影响时间段I以前的签名，即在时间段以前所产生的签名仍然有效，具有匿名性和不可连接性。33一种前向安全的群签名方案本章借鉴代理签名的构造思想，提出了一种前向安全的群签名方案，该方案模仿代理签名中原始签名人授权代理签名人的过程进行群成员加入的构造，在保证前向安全性的同时，使得群大小可变且大小不受限制。中南大学硕学位论文第三章一种前向安全的群签名方案331符号表示一GM表示群管理员一仍。表示A的身份一X月，圮表示A的公私钥对一SPK表示对消息的知识证明签名一G是循环群G的生成元一|表示比特串联一豚表示某成员在第I时段下的签名密钥332系统建立群成员GM选取两个大素数P和Q且满足QIP一1，G是Z的一个阶为Q的生成元。GM选择一个整数X删作为他的私钥，并计算出G”MODP作为他的公钥，再选择一个无碰撞的HASH函数H。把公钥的有效期分成T个时间段，GM公开P，G，T，日333成员加入假如一个用户B想加入群，B需要与管理员GM执行一个交互操作协议来获得成员资格证书。其操作如下1用户B随机选取一个整数X。，作为自己的私钥保存起来；2计算G儿MODP，并以作为自己的身份标识ID口；3计算一个空串的知识证明签名C，SSPKR峨G打，将1D8，C，S发送给群管理员GM。群管理员GM收到丹，C，S，首先验证C，S的J下确性，验证无误后为B产生成员资格整数1GM随机选取一个整数K8，并计算删HID|，|IK占；2GM再随机选取一个整数K。，计算RBG“MODP，S占X爿日仞KIIKMODP3将，S曰，肋删作为B的成员证书发送给B，其中删是用户B被管理员盲化了的身份标识。GM将10曰，C，S，K口，K月保存至群成员数据库中，再建立一个公告牌PUBLIC，公开皿肼并记录下其加入时间。群成员B随机选取一个整数SK。L，使得PL”1，计算D，使ED三11NOD矽，2。将D作为群中心的私钥。群中心再分别选择循环群Z；和Z的生成元GP和G，构造如下等式FGPMODP。【G。ROODQ由G生成的群G是群Z中阶数最大的循环子群，群中心根据中国剩余定理计算G并将其公开。建立如下两表，分别用来记录成员U，的参数M，变化情况和系统公钥参数C变化情况，以实现前向安全性。表4_1成员U，的参数历，变化表表4_2公钥参数C变化表设系统中现有K个成员，分别具有参数所，M，M，则F毫YLMLNLJ，2M2N2YMINMODM，其中只MINF的获取过程见成员加入部分。将N，E，C作为系统公钥公布出来。2、成员加入若A想加入该群成为群成员U，群中心进行如下操作29QQ心情短语HTTP/WWWYULUME中南火学硕学位论文第四章一种前向安全的动态子群签名方案1选择坼L，Y川Z使之满足以LY川兰LMOD矽N；2随机选择素数M川Y川使得GEDM川，M，L，1,2K；3重新计算C兰YLMLNLY2M2N2YIM，N，YKLM“IN川ROODM，其中新的M、M，、，都通过原来的M、M、。得出，即MMLM2MML2MM女L；M，M，M女1；NJN，M川MODM，；其中，是满足同余方程M，N，暑LMODM，F_1,2K1的正整数解；4群中心在表4一L中新建一项用于记录该成员参数M的变化情况；在表42中将新的C及其起始时间和上一个C的废除时间记录下来并在公告板上发布新的C5群中心将朋川，朋川D，YKLG秘密发送给成员吼L。当成员接收之后，首先验证等式GG机1肌1MODN和M川MLL8MODN两等式均成立后，成员巩选择MKLGH“作为自己的签名密钥。3、签名协议设群组成员URU。组成签名子群，则子群成员分别对消息M进行签名计算SG矿MODN，IL肌，得子群签名为M，SI，MIS。，M。；子群通知群中心签名完毕，群中心为每一个签名成员，F_LM，重新选择大于Y，的素数MI，使GCDM，M，L，JLF1，并重新计算MMLM2MT1；M，MM，F_1,2K1；C三YLMINLY2M2N2Y“LMLNKIMODM。群中心更新表41和表42中的相关内容，并将新的C公布。4、验证协议若B对子群签名M，S，M。S。，M。进行验证，则进行如下操作1分别计算出Y，CMODM，F1，；2验证M个Y，是否各不相同，若存在相同，则说明有成员进行了重复签名，则签名无效，若通过则进行下一步；3验证等式G”SYMODN，IL聊若成立则说明该子群签名正确。30中南大学硕十学位论文第四章种前向安全的动态子群签名方案其验证过程为STMODNG”门MODNG”5、签名打开打开签名聊，S。，M。S。，M。时，群管理员从签名中取出M，扛1聊，从各成员的参数M表中找到ML所，对应的成员即子群签名人。6、成员撤销设当前有K个成员，则C兰YLMINLY2M2N2YKMINKMODM，撤销成员U时，群中心进行如下操作1选择随机数少，代替Y，并重新计算C三YLMLNLY2M2N2Y，M，NYMNMODM；2在公告板上发布C并在公钥参数C变化表中将新的C及其起始时间和上一个C的废除时间记录下来；3在成员U，的参数M变化表中将最后一条记录的废除时间记录下来。成员撤销完成。44安全性能分析L、匿名性由于每签一次名，签名成员的参数M，都会更新，而S，也会随着脚，的变化而变化，攻击者无法将由签名M，S，M。S，M。中得到的S，M，与具体的签名成员联系起来，因此实现匿名性。2、可跟踪性在群中心的表41中记录着任何一个成员，包括己被撤销成员的参数M变化情况，群管理员可以根据签名中的M；来识别出签名者的身份。3、前向安全性由于每签一次名，签名成员的参数M。都会更新，即便攻击者获得了成员U，的密钥M，G毛，则该密钥是没有签过名的，他也无法由此获得成员U。之前的密钥，因此该成员之前的签名依然是安全有效的，系统具备前向安全性。4、非关联性由于签名成员的密钥M，G而在每次签名后都会更新，每次同一成员的签名S，M，也会不同，因此攻击者无法将两个不同的签名与同一个签名成员联系起来，由此实现非关联性。5、抗假冒群中心攻击群成员UI在接收群中心发来的消息朋，聊，Y，G而时，会首先验证等式QQ心情短语HTTP/WWWYULUME中南大学硕十学位论文第四章一种前向安全的动态子群签名方案GG乃MODN和M，沏8MODN，若不成立，则表明该消息来自于非法的群中心，成员UJ将不予理会。而攻击者由于不知道群中心的私钥D，因此无法假冒群中心。倘若攻击者为群中的成员U，其直接通过Y，来计算X，的困难性等价于求N的因式分解；而通过G来计算X；，是在求模数是奇合数的离散对数问题，而这是一个比求N的因式分解更难的困难性问题。因此，新方案避免了针对RSA的同模攻击，使得攻击者即便是群成员也无法分解模数N，从而无法通过计算获取群中心的私钥。6、抗伪造攻击若A想伪造子群过去某一时刻的签名，则A需要获得该子群当时的签名密钥G，M。，G“，MG而，M，其中M，MM，可从该子群当时的签名中获取，并可通过Y，CMODM，来获取该子群成员的公钥Y，但由Y，直接计算出XJ是不可行的。而通过S，GX,MODN直接计算出G而根据强RSA假设也是困难的。7、抗假冒群成员攻击若A试图冒充子群进行签名，则A需要获得该子群的G，G“，G以及该子群现阶段的参数M。，M，M，。根据前面的分析，要想获取G而，G以，G是不可行的，除此之外，由于子群在每一次签名之后都会更新参数M，M，M，因此，通过以往的签名来获取该子群现阶段的参数M，M，M。也是不可行的。8、抗联合攻击假设一些成员和群管理员勾结，想伪造某一子群进行签名。则他们必须获得该子群的密钥G“，M。，G毛，MG，M，由群管理员可以提供该子群成员现阶段的参数M。，M“，M，根据前面的分析，任何人包括群成员均无法获取群中其他成员的G而，群管理员虽然可以由Y，CMODM，计算出该子群成员的公钥Y，但同样无法通过Y，得出X，也无法通过S，G矿MODN直接计算出G再。45本章小结本章首先简单介绍了子群签名的概念，然后给出了动态群签名的正式定义并对其性质与发展状况进行了简单的描述，本章最后给出了一种具备前向安全性能的动态子群签名方案，该方案能够动态地添加和撤销群成员，并且具有匿名性、可跟踪性、前向安全性、非关联性、抗假冒群中心攻击、抗伪造攻击、抗假冒群成员攻击和抗联合攻击等比较全面的安全性能尤其在实现前向安全的方法上，该方案区别于上一章方案中的密钥定时更新，采用每签一次名更新一次密钥，使得该方案在低签名频率的情况下降低了运算开销；除此之外，由于中国剩余定理的引入，该方案避免了使用知识签名，使得方案在成员加入及成员撤销的过程中有着比较高的效率。32中南人学硕士学位论文第五章一种基于环签名构造思想的前向安全群签名方案第五章一种基于环签名构造思想的前向安全群签名方案本章首先对坏签名的概念和性质进行了阐述，然后比较了环签名与群签名各自的特点并讨论了坏签名的一些主要应用环境，最后给出了一种基于环签名构造思想的前向安全群签名方案，并对其进行了安全性能分析及效率分析。51环签名概述环签名是一种无条件匿名签名方案，由于签名中的参数根据一定的规则首尾相接而得名。为了生成环签名，签名人必须公布一个包含他本人在内的可能签名人的任意集合或称为匿名范围，然后通过自己的私钥和他人的公钥计算出环签名。511环签名的概念2001年，RIVEST，SHAMIR和TAUMAN三位密码学家首次提出了一个新的数字签名形式环签名145。环签名是一种具有无条件匿名性的签名方式，它能证明签名是来自N个人中的某一人，却无法确定是哪一位。如果一个用户需要对一个消息产生签名，并且他想要签名的验证人在相信签名人就是某一用户集合中成员的同时，无法得知自己的真实身份，即他想保持完全的匿名性，那么他可以利用环签名来实现。在环签名方案中，没有预先定义的用户群，没有设置、改变或删除群的过程，无需分配密钥，也无法撤销签名人的匿名性，除非签名人自己愿意暴露身份。环签名方案是自由建立的，签名人无需环中其他成员的同意或协助，只需知道其他成员的公钥即可生成环签名，也就是说，签名人可以指定自己的匿名范围，并且被指定的用户可能不知道自己被包含在其中。不同的成员可使用不同的独立的公钥进行签名，具有不同的密钥和签名大小。一个有效的环签名仅仅公开可能的签名人集合，而不会暴露签名人的真正身份，从而为签名人提供了完全的匿名性。对于一个具有无限计算能力的攻击者来说，即使他能对同一个签名人发动无限多次选择消息攻击，他依然没有任何办法来确定签名人的真实身份，也无法将签名人的多个签名关联起来。一个环签名方案一般由以下三个部分组成1密钥生成过程。个概率算法，其输入为安全参数K，输出为公钥和私钥对这里假定密钥生成算法为每一个用户U，1,2，产生一个公钥Y。和一QQ心情短语HTTP/WWWYULUME中南大学硕士学位论文第五章一种基丁环签名构造思想的前向安全群签名方案个私钥ZI；2签名过程。一个概率算法，输入为待签名消息M和任意，个成员的公钥以及签名人的私钥，该真实签名人的公钥包含在1个成员的公钥列表之中。输出为对消息M产生的签名万3签名验证过程。一个确定性算法，算法输入为签名组M，万。如果万是消息M的有效签名则输出“TRUE”，并接受该签名。否则输出“FALSE”，拒绝接收。环签名生成如图51所示。ZVYR2Y393X3Y2292X2图51环签名生成图在文献【451中，RIVEST等人给出了第一个基于RSA密码体制的环签名方案。方案中用到了一个称为组合函数的函数CY，Y，Y，输入密钥K，初始值V和任意值YL，Y，Y，O，16，B是使26大于所有模数伟的一个数，力，是公钥P刀，E，的一部分。该签名方案主要步骤女NF1环签名的产生设M是所签消息，X，是签名人的私钥，E，最，E是全体成员的公钥。签名者计算KNM，选择一个值VO，1Y，为其他成员选取随机数X。O，L广，LF，FS，计算Y。G，一签名者从下列环方程中解出Y，中南人学硕十学位论文第五章一种基丁环签名构造思想的前向安全群签名方案C，YL，Y2，Y，签名者利用他的私钥X。计算出消息RN的签名，该签名是一个2R1元组鼻，最，E；V；而，X，2验证环签名验证者首先计算YJGJX，F1,2，再计算出K聊，最后验证下面等式是否成立CI，M，Y2，Y，V若成立，则签名有效；否则为无效签名。512环签名的性质一个环签名方案必须满足下面的性质1正确性按照正确签名步骤生成的环签名必须要被任何验证人接受。2无条件匿名性攻击者即便非法获取了所有可能的签名人的私钥，他能确定出真J下的签名人的概率也不超过IN。如果攻击者是环中除签名人外的另一个成员，他猜测出签名人身份的概率也不超过1N1，这里N为环成员可能的签名人的个数。3不可伪造性在所有不可伪造性的定义【6】中，考虑最强的一种外部攻击者在不知道任何成员私钥的情况下，即使能够得到任何他选择的不同于RN的消息的有效环签名，他也不能成功伪造消息M的一个有效环签名。在实际的应用过程中，人们会进一步发现环签名的优点在于1无需启动系统环签名不需要管理员来启动系统，签名人选择所有可能的签名者公布他们的公钥形成一个列表就可以进行环签名。因此环签名特别适合移动自组网群体，因为其中没有管理员，所有的成员地位都是平等的。2无需与他人合作每一个签名者可以独立的对任意消息生成一个环签名，不需要与其它任何可能的签名者交互或合作。当其它签名人不愿意或无法合作时，环签名是一种很有效的匿名签名方式。签名人只要获得所选择的环中其他成员的公钥即可，也许环中成员永远不会知晓自己曾参与过某一签名的生成，这一点并不会对所生成的环签名产生任何影响。3无条件匿名性这是无条件匿名签名的显著特点。因此当匿名性是关键的安全要求时，环签名提供了很好的解决方法。但是，任何环签名的大小都与环的大小成线性增长，因为签名必须列举