（計(jì)算機(jī)軟件與理論專業(yè)論文）基于身份的盲簽名及其應(yīng)用.pdf

摘要 論文題目：基于身份的盲簽名及其應(yīng)用 專業(yè)：計(jì)算機(jī)軟件與理論 申請人：付霞 導(dǎo)師：陳曉峰副教授 摘要 數(shù)字簽名技術(shù)是提供認(rèn)證性，完整性和不可否認(rèn)性的重要技術(shù)，是信息安全 的核心技術(shù)之一。盲簽名作為一種具有特殊性質(zhì)的數(shù)字簽名，由于待簽名的消息 對于簽名者是保密的，所以它在匿名電子現(xiàn)金和匿名電子投票中有著廣泛的應(yīng)用 前景。傳統(tǒng)的簽名方案是基于p k i 的框架進(jìn)行設(shè)計(jì)的，其公鑰的驗(yàn)證需要c a 發(fā) 布的證書來保證?；谏矸莸暮灻桨覆淮嬖趥鹘y(tǒng)的由c a 頒發(fā)公鑰證書所帶來 的存儲和管理殲銷的問題，所以它是基于證書的公鑰密碼體制的一個(gè)很好的代 替。 傳統(tǒng)的基于身份的簽名方案存在一個(gè)內(nèi)在的缺陷，密鑰托管問題。目前基于 身份的盲簽名方案大都是建立在傳統(tǒng)的基于身份的簽名方案之上的，所以都存在 密鑰托管問題。本文提出了一個(gè)新的基于雙線性對的基于身份的盲簽名方案，該 方案沒有密鑰托管問題，并且在r a n d o mo r a c l e 下分析了它的安全性。 限制性盲簽名首先是由b r a n d s 提出的，用來解決電子現(xiàn)金中重復(fù)花費(fèi)問題。 第一個(gè)基于身份的限制性盲簽名方案是由c h e n ，z h a n g ，l i u 提出的1 1 8 ，在論 文中他們設(shè)計(jì)了一個(gè)限制性的部分盲簽名，給出了在r a n d o mo r a c l e 下的安全性 證明，并且討論了它在電子現(xiàn)金中的應(yīng)用，但在論文中他們沒有討論密鑰托管問 題。本文對他們的方案進(jìn)行了改進(jìn)，使其沒有密鑰托管問題，并且分析了它在電 子現(xiàn)金中的應(yīng)用。 關(guān)鍵詞：盲簽名，基于身份的密碼學(xué)系統(tǒng)，雙線性對 摘要 t i t l e ：i d e n t i t y b a s e db l i n ds i g n a t u r ea n di t sa p p l i c a t i o n m a j o r ：c o m p u t e r s o t h v a r ea n d t h e o r y n a m e ： f u x i a s u p e r v i s o r ：c h e nx i a o f e n g a s s o c i a t ep r o f e s s o r a b s t r a c t d i g i t a ls i g n a t u r e ，w h i c hc a np r o v i d ea u t h e n t i c a t i o n , i n t e g r i t ya n dn o n r e p u d i a t i o n , i sak e yt e c h n i q u eo fi n f o r m a t i o ns e c u r i t y a sas p e c i a ld i g i t a ls i g n a t u r e ，b l i n d s i g n a t u r eh a sap r o p e r t y t h a tt h ec o n t e n to f t h em e s s a g es i g n e dk e e p ss e c r e tf r o mt h e s i g n e r t h u si th a sa w i d ep r o s p e c ti nt h ea n o n y m o u se - c a s ha n da n o n y m o u se 。v o t i n g t h et r a d i t i o n a ls i g n a t u r es c h e m e sa r eb a s e do np k i ，a n dt h e i rp u b l i ck e y sv e r i f i c a t i o n i se n s u r e db yc e r t i f i c a t e si s s u e db yc a c o m p a r e dw i t ht h ec e r t i f i c a t e db a s e dp u b l i c k e yc r y p t o s y s t e m , i d e n t i t y - b a s e d ( s i m p l yi d b a s e d ) p u b l i ck e yc r y p t o s y s t e mc a n s i m p l i f yt h ek e ym a n a g e m e n tp r o c e d u r ea n dr e d u c es t o r a g es p a c e ，s o i ti sag o o d a l t e r n a t i v ef o rc e r t i f i c a t e - b a s e dp u b l i ck e ys e t t i n g k e y e s c r o wi sa ni n h e r e n tp r o b l e mi nt h et r a d i t i o n a li d - b a s e ds i g n a t u r es c h e m e s c u f f e n t i y ，i d b a s e db l i n ds 遮n a t u r es c h e m e sa r ea l lb a s e do nt h et r a d i t i o n a ls i g n a t u r e s c h e m e s , s ot h e ya r ew i t hk e y - e s c r o wp r o b l e m s i nt h i sp a p e r , w ep r o p o s ean e w i d b a s e db l i n ds i g n a t u r es c h e m ew i t h o u tk e y e s c r o wp r o b l e mf r o mb i l i n e a rp a i r i n g s , a n da n a l y z ei t ss e c u r i t yi nt h er a n d o mo r a c l em o d e l r e s t r i c t i v eb l i n dm g n a t l l r ef i r s ti n t r o d u c e db yb r a n d si su s e dt os o l v et h e d o u b l e - s p e n d i n gp r o b l e mi n e c a s h t h ef i r s ti d b a s e dr e s t r i c t i v eb l i n ds i g n a t u r e s c h e m ei sp r o p o s e db yc h e n , z h a n g ，l i ui nt h ep a p e r 【1 8 t h e yd e s i g n e da n i d - b a s e dr e s t r i c t i v ea n dp a r t i a l l yb l i n ds i g n a t u r es c h e m e ，a n dg a v ei t ss e c u r i t yp r o o f i nt h er a n d o mo r a c l em o d e l t h e ya l s oa n a l y z e di t sa p p l i c a t i o ni ne - c a s h , b u tt h e yd i d n a tt h i n ka b o u tt h ek e y e s c r o wp r o b l e m i nt h ep a p e r , w em a k es o m ei m p r o v e m e n to i l t h e i rs c h e m e t h ei m p r o v e ds c h e m eh a sn ok e y - e s c r o wp r o b l e m , a n dw ea n a l y z ei t s a p p l i c a t i o ni ne - c a s h k e yw o r d s ：b f i n ds i g n a t u r e ，i d - b a s e dc r y p t o g r a p h y , b i f i n e a rp a i r i n g s l i 第1 章緒論 1 1 引言 第1 章緒論 隨著社會的信息化發(fā)展，越來越多的文件書信需要以數(shù)據(jù)串的形式通過網(wǎng)絡(luò) 快速傳遞，這些數(shù)據(jù)串的來源和完整性都需要認(rèn)證，而且這些認(rèn)證常常需要在以 后的一段時(shí)期內(nèi)多次重復(fù)，這就需要手寫簽名的電子替代物數(shù)字簽名( d i g i t a l s i g n a t u r e ) 。一般來說，網(wǎng)絡(luò)世界的真實(shí)性要比現(xiàn)實(shí)世界的真實(shí)性更難于保證， 因此對數(shù)字簽名的需求就顯得更加迫切。數(shù)字簽名技術(shù)是提供認(rèn)證性，完整性和 不可否認(rèn)性的重要技術(shù)，因而是信息安全的核心技術(shù)之一。作為重要的數(shù)字證據(jù)， 美國，新加坡，日本，韓國，歐盟等電子商務(wù)開展的較早的國家和地區(qū)都相繼通 過法案賦予數(shù)字簽名法律效力，中國全國人大也于2 0 0 4 年8 月通過了中華人 民共和國電子簽名法，數(shù)字簽名將與手寫簽名一樣具有同等的法律效力。數(shù)字 簽名的特性可抵御的網(wǎng)絡(luò)威脅包括：認(rèn)證性，即可辨別信源的真實(shí)性以防冒充； 數(shù)據(jù)完整性保護(hù)，即抵御數(shù)據(jù)的篡改或重排；不可否認(rèn)性，即信源事后不可否認(rèn)， 以防其抵賴。一般還使用加密技術(shù)保護(hù)信息機(jī)密性，以防截聽攻擊。特別是認(rèn)證 性、完整性和不可否認(rèn)性的特點(diǎn)使其在電子商務(wù)和電子政務(wù)系統(tǒng)中起重要作用； 反過來，電子商務(wù)和電子政務(wù)系統(tǒng)的快速發(fā)展又有力推動著數(shù)字簽名的發(fā)展。 在傳統(tǒng)的簽名方案中，用戶的公鑰可以為任意的字符串，與用戶的身份沒有 直接的聯(lián)系，這就存在如何確保公鑰的擁有者就是所宣稱的身份，能夠使簽名的 驗(yàn)證者確認(rèn)只有宣稱者才能擁有此密鑰。傳統(tǒng)的公鑰基礎(chǔ)設(shè)施( p u b l i ck e y i n t a s t r u c t u r e ，p i c a ) 用具有可信證書機(jī)構(gòu)( c e r t i f i c a t i o na u t h o r i t y , c a ) 頒發(fā)公鑰證 書的形式來建立用戶身份與其持有的公鑰之間的聯(lián)系。簡單地說，公鑰證書是一 段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。c a 的 數(shù)字簽名可以確保證書信息的真實(shí)性。但是p k i 的證書管理存在一些缺點(diǎn)，如 證書保存、撤銷、發(fā)布和驗(yàn)證需要占用較多資源，且管理復(fù)雜。 1 9 8 4 年s h a m i r 2 7 提出基于身份的加密，簽名的設(shè)想，其中身份可以是用戶 的姓名，身份證號碼，地址，電子郵件地址等。系統(tǒng)中每個(gè)用戶都有一個(gè)身份， 用戶的公鑰就是用戶的身份，或者是可以通過一個(gè)公開的算法根據(jù)用戶的身份可 第l 章緒論 以容易地計(jì)算出來，而私鑰則是由可信中心統(tǒng)一生成。在基于身份的密碼系統(tǒng)中， 任意兩個(gè)用戶都可以安全通信，不需要交換公鑰證書，不必保存公鑰證書列表， 也不必使用在線的第三方，只需一個(gè)可信的密鑰發(fā)行中心為每個(gè)第一次接入系統(tǒng) 的用戶分配一個(gè)對應(yīng)其公鑰的私鑰就可以了?；谏矸莸拿艽a系統(tǒng)不存在傳統(tǒng) c a 頒發(fā)證書所帶來的存儲和管理開銷問題。 從1 9 8 4 年s h a m i r 提出基于身份的簽名思想以來，各國的許多學(xué)者都對基于 身份的簽名做了研究，也取得了很多成果。近年來由于雙線性對被成功地應(yīng)用于 基于身份的密碼體系，極大地推動了此方面的研究，但是基于身份的簽名方案還 存在如下的密鑰托管問題( k e y - e s c r o wp r o b l e m ) ： 由于在傳統(tǒng)的基于身份的簽名方案中都有一個(gè)密鑰生成中心p k g ( p r i v a t e k e y g e n e r a t i o n ) ，用戶的私鑰是由p k g 用主密鑰生成的，因此p k g 知道所有用 戶的私鑰，這對簽名的不可否認(rèn)性構(gòu)成了極大的威脅。因?yàn)閜 k g 可以以任何用 戶的名義對任意消息進(jìn)行簽名，所以一般都假設(shè)p k g 是絕對可信的，但這畢竟 是一個(gè)不可忽視的安全隱患。b o n e h 和f r a n k l i n 8 建議使用秘密共享方案由多個(gè) p k g 共享主密鑰，這樣就使得每個(gè)p k g 都不可能單獨(dú)知道用戶的私鑰，但是足 夠多的p k g 一起共謀還是能偽造用戶的簽名，沒有從根本上解決這個(gè)問題，另 外這也會帶來計(jì)算和通信的額外開銷。c h e n ，z h a n g 和k i m 三人在論文【1 7 中提 出了一個(gè)不需要可信任第三方的基于身份的簽名方案，并且在隨機(jī)預(yù)言( r a n d o m o r a c l e ) 模型下證明了其安全性。該方案將用戶的私鑰分成互相關(guān)聯(lián)的兩部分，一 部分由用戶自己生成并掌握，另一部分由p k g 生成。在該簽名方案中，如果第 三方即密鑰生成中心偽造某個(gè)用戶的簽名，那么該用戶事后可以提出有力的證據(jù) 證明該簽名是偽造的。這種方法是目靜解決此問題最優(yōu)的辦法，但也存在些計(jì) 算和通信的開銷問題。因此能否找到一個(gè)p k g 無法偽造簽名的高效的基于身份 的簽名方案，依然是人們關(guān)心的一個(gè)重要問題。 盲簽名作為一種具有特殊性質(zhì)的數(shù)字簽名，由于待簽名的消息對于簽名者是 保密的，所以它在匿名電子現(xiàn)金和匿名電子投票中有著廣泛的應(yīng)用前景。傳統(tǒng)的 盲簽名方案是基于p k i 的框架進(jìn)行設(shè)計(jì)的，其公鑰的驗(yàn)證需要c a 發(fā)布的證書來 保證?；谏矸莸拿ず灻桨覆淮嬖趥鹘y(tǒng)的由c a 頒發(fā)公鑰證書所帶來的存儲和 管理丌銷的問題。 第l 章緒論 研究基于身份的盲簽名方案是一件比較有意義的事情，因?yàn)橛脩舻墓€可以 簡單地從用戶的身份信息中直接計(jì)算出來。例如，假如某個(gè)銀行要發(fā)放電子現(xiàn)金， 該電子現(xiàn)金是用基于身份的盲簽名簽署的。那么當(dāng)用戶和商家驗(yàn)證電子現(xiàn)金的時(shí) 候，就不需要從數(shù)據(jù)庫中獲取銀行的公鑰，而可以直接從銀行的身份信息中直接 計(jì)算出來。例如，銀行的公鑰可以由這些信息組成：國家名| 城市名0 銀行名0 年 份。 1 9 9 3 年，b r a n d s 在論文【7 】中第一次提出了限制性盲簽名的概念，并且設(shè)計(jì) 了第一個(gè)限制性盲簽名方案。限制性盲簽名允許接收者接收某個(gè)消息的簽名，而 簽名者不知道消息的內(nèi)容，但消息的選擇是受限制的，必須滿足給定的限制性條 件。由于消息的選擇受到某些規(guī)則的限制，比如消息中必須包含用戶的身份信息 等，所以限制性盲簽名能很好的應(yīng)用到電子現(xiàn)金中來解決重復(fù)花費(fèi)問題。 電子現(xiàn)金成為電子商務(wù)的一個(gè)重要內(nèi)容。通過電子現(xiàn)金人們可以在網(wǎng)上匿名 的購物，如同在超市使用貨幣和信用卡一樣方便。電子現(xiàn)金必須滿足兩個(gè)重要的 性質(zhì)即匿名性和不可重復(fù)花費(fèi)。匿名性一般由盲簽名保證，防止重復(fù)花費(fèi)的方式 有很多種，比如可以是在線支付，切割選擇技術(shù)，限制性盲簽名技術(shù)，用帶有觀 察者的電子錢包預(yù)防重復(fù)花費(fèi)等。在這幾種方式中，在線支付容易使銀行成為整 個(gè)系統(tǒng)的瓶頸，切割選擇技術(shù)效率比較低，相對來說限制性盲簽名的效率較高， 但解決重復(fù)花費(fèi)的最好的方式是預(yù)防重復(fù)花費(fèi)方式。 1 2 基于身份的簽名方案的研究現(xiàn)狀 1 9 8 4 年，s h a m i r 為了簡化密鑰管理過程在論文 2 7 中提出了第一個(gè)基于身 份的加密和簽名方案。自從那以后，又有一些基于身份的加密和簽名方案被提出 2 0 ，2 3 ，2 9 ，3 0 。在2 0 0 0 年，s a k a i ，0 h g i s h i 和k a s a h a r a 在論文 2 8 中提出了 第一個(gè)基于雙線性對的基于身份的簽名方案，但沒有給出安全性證明。之后，密 碼學(xué)家們又提出了許多基于雙線性對的基于身份的簽名方案 1 3 ，2 2 ，2 4 ，2 8 。 傳統(tǒng)的基于身份的簽名方案存在一個(gè)內(nèi)在的缺陷，密鑰托管問題。因?yàn)槊荑€ 生成中心知道每個(gè)用戶的私鑰，所以他可以偽造任何用戶的簽名。所以在傳統(tǒng)的 基于身份的簽名方案中，我們需要假設(shè)密鑰生成中心是無條件可信任的，否則系 第1 章緒論 統(tǒng)將很快崩潰。然而，在現(xiàn)實(shí)生活中很難找到這樣的一個(gè)無條件可信任的第三方。 c h e n ，z h a n g 和k i m 三人在論文 1 7 中提出了一個(gè)不需要可信任第三方的基于身 份的簽名方案。在該簽名方案中，如果第三方即密鑰生成中心偽造某個(gè)用戶的簽 名，那么該用戶事后可以提出有力的證據(jù)證明該簽名是偽造的。 盲簽名作為數(shù)字簽名的一種特殊的類型，它允許接收者接收某個(gè)消息的簽 名，而簽名者不知道消息的內(nèi)容，所以它在匿名電子現(xiàn)金和匿名電子投票中發(fā)揮 著重要的作用。1 9 8 2 年，c h a u m 在論文 1 2 中第一次提出了盲簽名的概念，并給 出了第一個(gè)r s a 盲簽名方案。在那之后，密碼學(xué)家們基于不同的數(shù)學(xué)問題又提出 了一些盲簽名方案 1 6 ，2 6 3 。第一個(gè)基于身份的盲簽名方案是由z h a n g 和k i m 在 2 0 0 2 年提出的 3 1 ，該方案是基于傳統(tǒng)的基于身份的簽名方案進(jìn)行盲化的，所 以需要一個(gè)可信任的第三方。2 0 0 3 年，他們又提出了另一個(gè)基于身份的盲簽名 方案，該方案在性能上得到了提高，但仍然需要個(gè)可信任的第三方 3 2 。目前 基于身份的盲簽名方案大都是建立在傳統(tǒng)的基于身份的簽名方案之上的，所以都 存在密鑰托管問題。 本文提出了一個(gè)新的基于身份的盲簽名方案，該方案是對c h e n ，z h a n g 和k i m 三人提出的方案 1 7 進(jìn)行盲化的，所以該盲簽名方案不存在密鑰托管問題。同時(shí) 因?yàn)榉桨缚梢钥醋魇莦 h a n g 和k i m 方案 3 2 的延展，所以效率也比較高。 限制性盲簽名首先是由b r a n d s 在1 9 9 3 年提出的【7 】，用來解決電子現(xiàn)金中重 復(fù)花費(fèi)問題。2 0 0 5 年，c h e n ，z h a n g ，l i u 三人在論文【1 8 】中提出了第一個(gè)基于 身份的限制性盲簽名方案，在論文中他們還把限制性盲簽名和部分盲簽名結(jié)合起 來，設(shè)計(jì)了一個(gè)限制性的部分盲簽名，給出了在r a n d o mo r a c l e 下的安全性證聽， 并且討論了它在電子現(xiàn)金中的應(yīng)用，但在論文中他們沒有討論密鑰托管問題。本 文對他們的方案進(jìn)行了改進(jìn)，使其沒有密鑰托管問題，并且利用改進(jìn)后的方案設(shè) 計(jì)了兩個(gè)電子現(xiàn)會系統(tǒng)。 第1 章緒論 1 3 論文結(jié)構(gòu) 本文的剩下部分組織如下：在第2 章給出了本文要用到的密碼學(xué)中的一些基 本的預(yù)備知識和一些相關(guān)概念和性質(zhì)的形式化定義。第3 章給出了本文設(shè)計(jì)的基 于身份的盲簽名方案的詳細(xì)描述，并對本文所設(shè)計(jì)的方案進(jìn)行了安全性分析。在 這一章，我們同時(shí)給出了本文對c h e n ，z h a n g ，l i u 的限制性盲簽名方案 1 8 改 進(jìn)后的方案。第4 章分析了改進(jìn)后的限制性盲簽名方案在電子現(xiàn)金中的應(yīng)用。第 5 章對本論文進(jìn)行了總結(jié)。 第2 章預(yù)備知識 第2 章預(yù)備知識 在這一章，我們將給出本文要用到的密碼學(xué)中的一些基本的預(yù)備知識，同時(shí) 我們也給出了一些相關(guān)概念和性質(zhì)的形式化定義。 2 1 雙線性對 設(shè)g 。是由生成元p 生成的循環(huán)加法群，它的階是素?cái)?shù)g 。g 2 是一個(gè)循環(huán)乘 法群，階也是q 。設(shè)口，b 是z 中的元素。我們假設(shè)在群g ，和g 2 上的離散對數(shù) 問題是困難的。一個(gè)雙線性對是一個(gè)映射e ：g l x g i 哼g 2 ，具有下面的性質(zhì)： 1 雙線性：e ( a p ，6 q ) = e ( p ，q ) “，p 和q g l ； 2 不可退化性：存在p 和q g 。，滿足e ( p ，o ) 1 ： 3 可計(jì)算性：對于所有的p ，q g 。，有一個(gè)有效的算法計(jì)算p ( p ，9 ) 。 2 2g a pd i f f i e - h e l l m a n 群 設(shè)g 是由生成元p 生成的循環(huán)加法群，它的階是素?cái)?shù)q 。假設(shè)在群g 中， 逆運(yùn)算和乘法運(yùn)算都是計(jì)算有效的。在群g 。中，我們介紹下面的問題 1 離散對數(shù)問題( d i s c r e t el o g a r i t h mp r o b l e m , d l p ) ：給定兩個(gè)元素j p 和q ， 計(jì)算”z ：，滿足q = n p 。 2 計(jì)算d i f f i e h e l l m a n 問題( c o m p u t a t i o nd i f f i e h e l l m a np r o b l e m , c d h p ) ： 給定p ，a p ，b p ，計(jì)算a b p ，這里訂，b z 。 3 判定d i f l i e h e l l m a n 問題( d e c i s i o nd i f f i e h e l l m a np r o b l e m , d d h p ) ：給 定p ，a p ，b p ，c p ，判斷c = - - a b m o d q 是否成立，這罩口，b ，c z 。 如果在某個(gè)群上，d d h p 問題在多項(xiàng)式時(shí)間是可解的，但是不存在一個(gè)多項(xiàng) 式時(shí)| 日j 復(fù)雜度的算法以一個(gè)不可忽略的概率去求解c d h p 問題，我們就稱這個(gè) 6 第2 章預(yù)備知識 群為g a pd i f t i e h e l l m a n 群。這樣的群己證明存在。更多細(xì)節(jié)請參考【8 ，1 3 ，2 5 。 2 3 基于身份的密鑰生成 基于身份的公鑰密碼體制，最早是由s h a m i r 提出的。它允許用戶的公開信 息，比如名字，地址或是電子郵件地址等等，而不是一個(gè)任意的字符串作為用戶 的公鑰。用戶的私鑰由密鑰生成中心( p k g ) 計(jì)算生成，然后通過安全的信道發(fā) 送給用戶。 基于身份的密碼生成過程如下： g j 是由生成元p 生成的循環(huán)加法群，它的階是素?cái)?shù)g 。6 2 是一個(gè)循環(huán)乘法 群，階也是口。一個(gè)雙線性對是一個(gè)映射e ：g l g 1 一g 2 。定義兩個(gè)安全哈希函 數(shù)q ： o ，1 ) g 1 寸乙和： o ，1 ) jg 1 。 建立( s e t u p ) ：p k g 選擇一個(gè)隨機(jī)數(shù)j 乏并且計(jì)算= s p 。中心發(fā)布系統(tǒng) 數(shù)p a r a m s = g l ，g 2 ，e ，q ，尸 巴6 ，h i ，坎) ，并且把s 作為主密鑰，只有它自己 一個(gè)人知道。 提取：( e x t r a c t ) 用戶提交他她的身份信息1 d 給p k g 。p k g 計(jì)算用戶的公 鑰9 ，d = h 2 ( ，并且把= s 鰳作為用戶的私有密鑰發(fā)給用戶。 2 4 數(shù)字簽名及其安全性定義 數(shù)字簽名的概念最早是由d i f f i e h e l l m a n 在1 9 7 6 年提出的，它是提供認(rèn)證 性，完整性和不可否認(rèn)性的重要技術(shù)，是信息安全的核心技術(shù)之一。在這一節(jié)， 本文將給出數(shù)字簽名及其安全性的形式定義。下面的數(shù)字簽名及其安全性的定義 參考論文 2 5 。 2 4 1 數(shù)字簽名定義 定義1 ( 數(shù)字簽名) 一個(gè)數(shù)字簽名方案s 由三個(gè)概率多項(xiàng)式時(shí)自j 算法( k e y g e n , 7 第2 章預(yù)備知識 s i g v e r ) 組成： 1 k e y g e n 是一個(gè)1 斗研c 密鑰生成算法，以1 為輸入，其中k n 是 安全參數(shù)，輸出( 脹，s k ) ，其中蹦眠是公鑰的集合，s k 媧 賦是私鑰的集合。 2 s i g 是一個(gè)蹴朋一口夠簽名算法，以船，m 為輸入，輸出簽名 仃= ( m ) = s i g ( s k ，m ) ，其中m 是消息空間，s 1 9 s 是簽名空問。對所 有的r r t m ，盯s i g s 。 3 v e r 是一個(gè)蛾m s i q s 一 r e j e c t ，a c c e p t 驗(yàn)證算法，其中 慚( 麒，m ，o ) = a c c e p t 當(dāng)且僅當(dāng)。是s i g ( s k ，m ) 的可能輸出。對所有的m 塒和oe s i g s 。 2 4 2 數(shù)字簽名的安全性定義 奪適應(yīng)性選擇消息攻擊：攻擊者知道簽名者的公鑰，并且可以要求簽名者為其 簽署任何他她想要的消息的簽名，并且攻擊者可以根據(jù)以前的消息簽名對， 適應(yīng)性的對簽名者進(jìn)行簽名詢問。 奪存在性偽造：攻擊者給出一個(gè)新的消息一簽名對。 定義2 ( 安全數(shù)字簽名方案) 如果個(gè)簽名方案在適應(yīng)性選擇消息攻擊下滿足 存在性偽造是計(jì)算上不可能的，那么我們就說這個(gè)簽名方案是安全的。 2 5 基于身份的數(shù)字簽名定義 1 9 8 4 年，s h a m i r 為了簡化密鑰管理過程在論文 2 7 中提出了第一個(gè)基于身 份的加密和簽名方案。下面本文給出基于身份的數(shù)字簽名的一個(gè)形式化定義。 定義3 ( 基于身份的數(shù)字簽名) 一個(gè)基于身份的數(shù)字簽名方案是一個(gè)五元組 ( p k g ，s e t u p ，e x t r a c t ，s i g n i n g ，v e r i f i c a t i o n ) 。 1 p k g 是一個(gè)可信任機(jī)構(gòu)，它可以發(fā)放一個(gè)防竄擾的設(shè)備用來傳送秘密信 息給用戶。它執(zhí)行兩個(gè)操作：系統(tǒng)建立和用戶私鑰的生成。 8 第2 章預(yù)備知識 2 s e t u p 是一個(gè)概率多項(xiàng)式時(shí)間算法，該算法的輸入是一個(gè)安全參數(shù)k ，并 且返回系統(tǒng)參數(shù)( p a r a m s ) 和主密鑰( m a s t e r k e y ) 。 3 e x t r a c t 是一個(gè)概率多項(xiàng)式時(shí)間算法，它以p a 隊(duì)m s ，m a s t e r k e y 和任意 1 d e o ，1 ) + 作為輸入，返回私鑰s , o 。這里，d 是簽名者的身份，并且作為 簽名者的公鑰使用。 4 s i g n i n g 是一個(gè)概率多項(xiàng)式時(shí)間算法，它以p a r a m s ，簽名者的身份i d ， 簽名者的私鑰和待簽名的消息m 作為輸入，輸出簽名盯。 5 v e r i f i c a t i o n 是一個(gè)多項(xiàng)式時(shí)間算法，它以p a r a m s ，簽名者的身份i d ， 消息m 和簽名盯為輸入，輸出簽名的驗(yàn)證結(jié)果接受( a c c e p t ) 或者拒絕 ( r e j e c t ) 。 2 6 基于身份的盲簽名及其安全性定義 在這一節(jié)，本文將給出一個(gè)基于身份的盲簽名的形式定義。一個(gè)基于身份的 盲簽名方案，可以認(rèn)為是一個(gè)普通的盲簽名和一個(gè)基于身份的數(shù)字簽名的結(jié)合， 即它是一個(gè)盲簽名，只是用來驗(yàn)證該盲簽名的公鑰是簽名者的身份而己。下面的 基于身份的盲簽名定義參考論文 3 1 。 2 6 1 基于身份的盲簽名定義 定義4 ( 基于身份的盲簽名) 一個(gè)基于身份的盲簽名方案( 簡記為i d b s s ) 是 一個(gè)六元組( p k g ，s e t u p ，u s e r ，e x t r a c t ，s i g n e r ，v e r i f i c a t i o n ) 。 1 p k g 是一個(gè)可信任機(jī)構(gòu)，它可以發(fā)放一個(gè)防竄擾的設(shè)備用來傳送秘密信 息給用戶。它執(zhí)行兩個(gè)操作：系統(tǒng)建立和用戶私鑰的生成。 2 s e t u p 是一個(gè)概率多項(xiàng)式時(shí)間算法，該算法的輸入是一個(gè)安全參數(shù)k ，并 且返回系統(tǒng)參數(shù)( p a r a m s ) 和主密鑰( m a s t e r k e y ) 。 3 e x t r a c t 是一個(gè)概率多項(xiàng)式時(shí)間算法，它以系統(tǒng)參數(shù)( p a r a m s ) ，主密鑰 ( m a s t e r k e y ) 和任意d o ，1 ) 作為輸入，返回私鑰s ，。這罩肋是簽 名者的身份，并且作為簽名者的公鑰使用。 9 第2 章預(yù)備知識 4 s i g n e r 和u s e r 是一對概率交互的圖靈機(jī)，兩個(gè)圖靈機(jī)都有下面的帶子： 一個(gè)只讀輸入帶，一個(gè)只寫輸出帶，一個(gè)讀寫工作帶，一個(gè)只讀隨機(jī)帶， 兩個(gè)通信帶。s i g n e r 和u s e r 參與簽名發(fā)布協(xié)議并且在多項(xiàng)式時(shí)間停止。 在協(xié)議的最后，s i g n e r 要么輸出完成( c o m p l e t e d ) ，要么輸出沒有完成 ( n o t c o m p l e t e d ) ，并且u s e r 要么輸出失敗( f a i l ) ，要么輸出消息m 的 簽名盯沏) 。 5 v e r i f i c a t i o n 是一個(gè)概率多項(xiàng)式時(shí)間算法，它以( d , m ，盯( 所”作為輸入， 并且輸出接受( a c c e p t ) 或者拒絕( r e j e c t ) 。 2 6 2 基于身份的盲簽名的安全性定義 基于身份的盲簽名的安全性包括兩個(gè)方面的要求，一個(gè)是盲性，另一個(gè)是不 可多一偽造性。當(dāng)一個(gè)盲簽名方案同時(shí)滿足上面這兩個(gè)要求時(shí)，我們就說該盲簽 名方案是安全的。像論文 2 5 ，3 13 一樣，本文給出關(guān)于這兩個(gè)性質(zhì)的形式化定義。 定義5 ( 盲性( b l i n d n e s s ) ) 設(shè)a 是一個(gè)簽名者，或一個(gè)概率多項(xiàng)式時(shí)間算法， 它控制著簽名者。a 和兩個(gè)誠實(shí)的用戶( v o 和u ) 參與了下面的游戲。 1 ( ，) 卜e x t r a c t ( p a r a m s ，偽) 。 2 ( m o ，鉑) 卜a ( i d ，) ( a 產(chǎn)生兩個(gè)消息) 。 3 選取6 o ，1 ) ( 即b 是一個(gè)隨機(jī)比特，對a 是保密的) 。把和一。分 別放在和的只讀輸入帶上。 4 a 以任意的順序與和u 參與簽名發(fā)靠協(xié)議。 5 如果u 和u 分別在它們的私有帶上輸出了a ( m d 和盯( 碼一。) ，則把這些 輸出發(fā)送給a ，否則發(fā)送上給a 。 6 a 輸出比特b 0 ，1 ) 。 如果b = b ，則a 知道消息和每個(gè)用戶對應(yīng)的簽名。在這種情況下，我們就 說a 在該游戲中獲勝。 1 0 第2 章預(yù)備知識 我們說一個(gè)基于身份的簽名方案是盲化的，如果滿足對于所有的概率多項(xiàng)式 時(shí)間算法a ，a 在上面的游戲中最多以1 2 + 1 k 的概率獲勝，其中七足夠大，c 是一個(gè)常量。 定義6 ( 不可多一偽造性( o n e m o r eu n f o r g e a b i l i t y ) ) 對于任何一個(gè)概率多項(xiàng)式 時(shí)間算法u ，如果u 在與合法的簽名者a 最多交互，次之后，u 輸出，+ 1 個(gè)有 效簽名的概率最多是l k ，那么我們就說這個(gè)盲簽名方案是( ，l + 1 ) 不可偽造的。 其中| j 足夠大，c 是一個(gè)常量。交互可以是適應(yīng)性的或以任意的間斷性的方式進(jìn) 行。 2 7 限制性盲簽名 限制性盲簽名最早是由b r a n d s 提出的，用來解決電子現(xiàn)金中重復(fù)花費(fèi)問題。 下面本文給出限制性盲簽名的一個(gè)形式化定義。 定義7 ( 限制性( r e s t r i c t i v e n e s s ) ) 假設(shè)m 是一個(gè)消息，在盲簽名協(xié)議發(fā)布之 前，用戶u 知道m(xù) 關(guān)于生成元組( 蜀，既) 的一個(gè)表示( q ，q ) 。當(dāng)協(xié)議執(zhí)行完 后，假設(shè)( 6 l ，屯) 是用戶u 知道聊1 關(guān)于生成元組( 蜀，g 。) 的一個(gè)表示。其中m 是m 盲化后的消息。如果存在兩個(gè)函數(shù)，1 和，2 ，滿足下面的關(guān)系： ，i ( q ，吼) = ，2 ( 6 l ，鞏) 那么這個(gè)協(xié)議就被稱為是限制性盲簽名協(xié)議。函數(shù)，l 和1 2 被稱為協(xié)議關(guān)于生成元 組( 蜀，g k ) 的盲不變函數(shù)。 第3 章新的基于身份的盲簽名方案 第3 章新的基于身份的盲簽名方案 目前基于身份的盲簽名方案大都是建立在傳統(tǒng)的基于身份的簽名方案之上 的，所以都存在密鑰托管問題。在這一章，我們將給出一個(gè)新的基于雙線性對的 基于身份的盲簽名方案，該盲簽名方案沒有密鑰托管問題。并且本文也將給出對 c h e n ，z h a n g ，l i u 的基于身份的限制性盲簽名方案 1 8 改進(jìn)后的方案，改進(jìn)后 的方案也沒有密鑰托管問題。 3 1 一個(gè)新的基于身份的盲簽名方案 假設(shè)g l 是一個(gè)g a pd i f f i e h e l l m a n 群，其階為素?cái)?shù)g 。g 2 是一個(gè)循環(huán)乘法 群，它的階也是q 。一個(gè)雙線性對是一個(gè)映射e ：g 1 g l _ g 2 。定義兩個(gè)安全哈 希函數(shù)h i ： o ，1 ) g l 斗乙和h 2 ： o ，1 ) g l 寸g l 。 奪建立( s e t u p ) p k g 選擇一個(gè)隨機(jī)數(shù)s 乏，并且計(jì)算= s p 。中心發(fā)布系統(tǒng)參數(shù) p a r a m $ = g i ，g 2 ，e ，g ，p ，何，皿) ，并且把j 作為主密鑰，只有它自己一個(gè)人知 道。 奪提取( e x t r a c t ) 簽名者提交他她的身份信息i d 給p k g ，并且向他證明自己的身份。簽名者 隨機(jī)地選取一個(gè)整數(shù)，z 作為他她的長期的私鑰，并且把護(hù)發(fā)送給p k g 。p k g 計(jì)算s = s q ，o = s h z ( ，d0 r ，妒) ，并且把s 。通過安全信道發(fā)送給簽名者。這里丁 是，的生命周期。簽名者的私鑰是和r ，公鑰是i d 。 為了安全，簽名者應(yīng)該在每個(gè)周期時(shí)間7 后更新自己的密鑰。為了簡便，在 這單我們不討論這個(gè)問題。 奪盲簽名發(fā)布協(xié)議( b 1 i n ds i g n a t u r ei s s u i n gp r o t o c 0 1 ) 假設(shè)肌是要簽名的消息。設(shè)口e r 表示均勻隨機(jī)選取。協(xié)議執(zhí)行過程如圖l 。 1 2 第3 章新的基于身份的盲簽名方案 u s e r s i g n e r a z ： 竺：鯊 計(jì)算【，= 口q ，d 口，乏 b z 計(jì)算u = a u + a p q , o 所。= 6 p 十h 2 ( 珊，u ) m - - - - - - - - - - - - - - - - - - - 計(jì)算v = 瑚 礦 _ - 一 計(jì)算礦= r h 2 ( ，u ) h = a 一h ( 聊，u + y ) + - - - - - - - 斗 計(jì)算w = ( 口+ ) s f d - - 一 計(jì)算肜= 口 圖1 盲簽名發(fā)布協(xié)議 一簽名者( s i g n e r ) 隨機(jī)地選取一個(gè)數(shù)口乏，計(jì)算u = a q i d ，并且發(fā)送u ， ，戶給用戶( u s e r ) ，其中u 是s i g n e r 對u s e r 的一個(gè)承諾。 一 ( 盲化) u s e r 隨機(jī)地選取三個(gè)盲因子口，b r 乏，計(jì)算u - - - a u + 筇q 名 和坍= b p + h 2 ( 州，u ) ，并且發(fā)送新給s i g n e r ，其中坍是盲化后的消息。 一 ( 簽名) s i g n e r 返回v 給u s e r ，這罩v = r m 。 一 ( 脫盲+ 盲化) u s e r 計(jì)算v = 嗎( m ，u ) 和_ ，= 口h 。( 聊，u + 礦) + ，并且 第3 章新的基于身份的盲簽名方案 發(fā)送h 給s i g n e r 。 一 ( 簽名) s i g n e r 返回形給u s e r ，這里w = ( a + 廳) 。 一 ( 脫盲) u s e r 計(jì)算w = a w ，輸出 m ，u ，礦，t ，r p ) 。 則( u + ，v ，。，r ，護(hù)) 是消息m 的盲簽名。 驗(yàn)證( v e r i f i c 8 t i o n ) 驗(yàn)證者首先計(jì)算鰳= h 2 ( 1 d i i t ，尸) ，h z ( m ，u ) ，和h t ( m ，u + 礦) 。如果 下面的兩個(gè)驗(yàn)證等式成立，我們就接受這個(gè)簽名。 e ( w ，p ) = e ( u + q ( m ，u + y ) q ，d ，) p ( 礦，p ) = e ( h 2 ( m ，u ) ，r p ) 3 2 新的基于身份的盲簽名方案的分析 3 2 1 正確性( c o r r e c t n e s s ) 因?yàn)閜 ( 形，p ) = e ( a w ，p ) = e ( a 0 + 而) s j d ，p ) = e ( a a s q m + o t h s q f o ，p ) = e ( a a s q m ，p ) e ( a h s q i ，p ) = e ( q i o ，尸) “?！?又因?yàn)閑 ( u + q ，u + y ) 如，) = p ( u ，s p ) e ( h , ( 肌，u + y ) q ，d ，s p ) = e ( a u + 筇鰳，s p ) e ( h l ( m ，u + 礦) ，s p ) = e ( a u + a l ? q , o ，s p ) e ( ( a h a p 、q m ，s p 、 = e ( a u ，s p ) e ( v t f l q ，o ，s p ) e ( a h q i o ，s p ) e ( c t f l q i o ，s p ) 一1 = e ( a , u ，s p ) e ( a h 如，s p ) = e ( a a q i o ，s p ) e ( o t h q n 9 ，s p ) = p ( q i ，d ，j p ) 州”6 1 4 第3 章新的基于身份的盲簽名方案 所以有e ( w ，p ) = p ( u + q 沏，u + y ) q k ，p 瑚6 ) 成立。 因?yàn)閑 ( v ，p ) = e ( r h 2 ( 腳，u ) ，力= f ( h 2 ( 所，u ) ，妒) 所以有e ( v 。，p ) = p ( 馬( 塒，u ) ，堋成立。 3 2 2 安全性證明 定理1 本方案滿足盲性( b l i n d n e s sp r o p e r t y ) 。 證明：為了證明盲性，我們證明給出任一個(gè)有效的簽名( m ，u + ，礦，r ，r p ) 和簽 名者在任一次簽名協(xié)議中所見到的信息( u ，m ，v ，h ，) ，都存在唯一的盲因子 b , a ，嘞石。因?yàn)槊ひ蜃? ，口，。乏是隨機(jī)選取地，所以簽名方案的盲性自然 也得到滿足。下面本文給出一個(gè)比較形式的證明。 給出一個(gè)有效的簽名( 肌，u ，礦，r ，和簽名者在任一次簽名協(xié)議中所見 到的信息( u ，m ，v ，h ，) ，則對于6 ，口，z 下面的等式必須成立。 u = 口u + 筇9 ，d ( 1 ) m = b p + 必( 肌，u ) h = 盯一1 h i ( 所，u + 礦) + w = c t w ( 2 ) ( 3 ) ( 4 ) 很明顯，從等式( 4 ) 可得出口乏是唯一存在的，即口= l o g ，+ 。再從等 式( 3 ) ，我們可以得到= h - ( 1 0 9 ，w ) 。q ( 所，u + 礦) 也是唯一存在的。從等式 ( 2 ) 也可以很明顯看出，b z 二是唯一存在的?，F(xiàn)在我們只要證明口，也滿足 第一個(gè)等式。根據(jù)雙線性對的不可退化性質(zhì)，我們有： u j = a u 七鄙q e ( u ，p m o = e ( a u + a z q ”p 。0 所以我們只需要證明口，滿足等式p ( u 。，) = e ( a u + 筇如，) 就可以了。注 意到，( m ，u ，y ，w ，r ，r 尸) 是一個(gè)有效的簽名，即 第3 章新的基于身份的盲簽名方案 e ( w ，p ) = e ( u + q ( 所，u + 礦) ! 孫，0 ) = p ( ) p ( 喝( 腳，u + y ) 如，) 即有：e ( h i ( m ，u + y ) q 。，厶6 ) = p ( u ，j ) p ( 形，p ) 1 我們有： e ( a u + a f l q ，o ，厶 ) = e ( ( 1 0 9 w ) u + ( 1 0 9 w ) ( 矗一( 1 0 9 w ) - 1 啊( 加，u + 礦1 ) ) 1 2 d ，乙m ) = e ( ( i o g w + ( 1 0 9 w ) h o d ，) p ( q ( m ，u + y ) ，厶6 ) - 1 = e ( ( 1 0 9 w ) ( a + h ) s q l o ，p ) e ( u 1 ，匕) p ( ，p ) 一1 = e ( w 。，p ) e ( u ，匕 ) p ( 形，p ) 。 = p ( u ，只。) 所以有等式p ( u ，) = e ( a u + a f l q l o ，0 。) 成立。 定理2 在隨機(jī)預(yù)言模型下，并且假設(shè)群g 中的c d h p 問題是困難的，本方案在 適應(yīng)性選擇消息攻擊和l d 攻擊下滿足存在性偽造是計(jì)算上不可能的。 證明：假設(shè)a 是一個(gè)敵手( a d v e r s a r y ) ，他她擁有系統(tǒng)參數(shù) p a r a m s = g i ，g 2 ，e ，g ，p ，q ，h 2 ) 和身份為i d 的簽名者( s i g n e r ) 對應(yīng)的公鑰 0 , o 。a 試圖偽造s i g n e r 的一個(gè)有效的消息一簽名對。 首先，我們假設(shè)a 實(shí)行i d 攻擊，即a 詢問e x t r a c t 姥次，這罩有崛i d ， r , p r p ，i = i ，姥。e x t r a c t 向a 返回繞個(gè)對應(yīng)的密鑰。如果a 能得到 ( 膨，p ，) ，滿足凰( 刪l i t ，p ) = h 2 ( 1 di it ，印) ，那么a 就能偽造