群盲签名的理论研究与应用
一种改进的群盲签名方案
0 引 言
群 签 名 的概 念 是 1 9 9 1年 由 D . C h a u m和 E v a n . He y s t _ 】 首 次提 出 。群 签名 方案 包 括 多个 群 成 员 和 一
选举 、 电子现 金等 诸 多领 域 。
1 9 9 8年 , 在 国 际金 融 密 码会 议 ( F C 9 8 ) 上, A n 计 算 机 与 现 代 化 J I S U A N J I Y U X I A N D A I H U A
总第 2 1 3期
文 章编 号 : 1 0 0 6 - 2 4 7 5 ( 2 0 1 3 ) 0 5 - 0 0 9 9 - 0 4
一
种 改 进 的群 盲 签 名 方 案
t h a t L P O8 s c h e me u s e s i f x e d v lu a e f a s s e c u i r t y p a r a me t e r ,t hi s l e a d s t o t h e g r o u p p u b l i c k e y a n d s i g n a t u r e l e n g t h h a v i n g l i n e a r r e l a t i o n s h i p w i t h t h e s i z e f o g r o u p,S O i t s c lc a u l a t e d c o mp l e x d e g r e e,s p a c e c o mp l e x d e g r e e nd a c o mmu n i c a t i o n c o mp l e x d e g r e e
h a v e l i n e a r r e l a t i o n s h i p wi t h l ,t h e r e f o e r he t o r i g i n l a s c h e me e f i c i e n c y i s l o w.T h e i mp r o v e d s c h e me p r o p o s e d i n hi t s p a p e r i m- p r o v e s e ic f i e n c y b y s e l e c t i n g n e w s e c u it r y p ra a m e t e r . Ke y wo r d s :g ro u p b l i n d s i g n a t re u ;i fo n r ma t i o n s e c u i r t y
盲签名、群签名及共同不可约多项式
摘要盲签名和群签名的概念是由Chaum首次提出的.由于盲签名和群签名能分别为用户和签名者提供很好的匿名性,所以它们在电子货币和电子投票等实用系统中都有着广泛的应用.本文首先介绍了盲签名和群签名的研究及应用现状,然后分别详细介绍作者在盲签名和群签名领域所做的工作.除此之外,本文还讨论了两个不同数域上的共同不可约多项式的性质.盲签名要求签名者在不知道消息内容的情况下对消息进行签名,即使以后签名者得到一个消息签名对,他也不能确定这个消息的来源.本文不仅对已提出的盲签名方案进行概述,指出其优缺点,而且还分析丁分别由Lietal和Heetal针对两种不同的盲签名提出的两种关联方法,并证明他们的方法无效.另外,本文还提出了一个新的基于椭圆曲线的盲签名方案.群签名允许群成员代表整个群体进行签名.而且,一旦发生争议,群管理人熊够识别出签名者.本文不仅对已提出的群签名方案进行概述,指出其优缺点,而且还分析了现有的群签名方案中所存在的一些问题,并指出其研究方向.此外,我们还分析了分别由Posescu和王晓明等提出的两个群签名方案,并分别给出了一种通用攻击方法,所以这两个方案仍然是不安全的.由不可约多项式构造的有限域有着很好的性质,可以用来设计更加安全高效的密码系统,从而不可约多项式的研究对现代密码学的发展有着重要的意义.在本文中,我们首次提出了在不同数域上寻找共同不可约多项式的问题,并证明其不一定存在.而且,我们还给出了一种从割圆多项式中寻找共同不可约多项式方法.此外,文中还给出了一些命题.在附录里,我们还给出了一个特殊的乘法群中所有元素阶的分布.关键词公钥密码学,椭圆曲线,数字签名,盲签名,群签名,不关联性,通用攻击,不可约多项式,割圆多项式AbstractTheconceptsofblinddigitalsignatureandgroupdigitalsignaturearefirstlyproposedbyChaum.Bothareimportanttomanypracticalapplicationssuchaselectroniccashandvoting.Thisthesis6rstsurveystheachievementsinthesetwofieldsandtheirapplications、andthenweintroduceOllrworkonblindsignatureandgroupsignatureindetailrespectively.Inaddition,wealsoflJscus8thepropertiesotthecommonhrre(1uclDiepolvnommisovertwoamerentnnll—fields.BlindsignaturesrequirethatasignerbeabletosignamessagewithoutknowingitsCOn-tents.Moreover,shouldthesignereverseethemessage-signaturepair,heshouldnotbeabletodeterminewhenorforwhomhesignedit.Inthisthesis,wegiveabroadoverviewoftheproposedblindsignatures.WealsoanalyzetwolinkingstrategiespresentedbyLietalandHeetalrespectively,anddemonstratebothattacksareinvalid.Inaddition,wealsogiveanewblindsignatureschemebasedonellipticcurve,whichcanprotectuseruntraceable.Groupsignatureschemesallowagroupmembertoanonymously8ignongroup’sbehalf.Moreover,incaseofanonymityInisliBe,agroupmanagercanrecovertheissuerofasignature.Thisthesisgivesabroadoverviewofthepmpeaedgroupsignatures.Someproblemsinthestudyofthisfieldarepresentedandseveralmainresearchdirectionsarepointedouta8well.Wealsoanalyzethesecurityoftwogroupsignaturesrecentlyproposedrespectively蚵PosescuandWangeta1..andshowthatboths(_hemesareuniversallyforgeable.Finitefieldsconstructedbyirreduciblepolynomialshavegoodpropertiesthatcanbeap-pliedtodesignmoresecureandefficientcryptosystems.Inthisthesis,wefirstputforwardtheproblemoffindingthecommonirreduciblepolynomialsovertwodifferentfinitefieldsandprovethatthecommonirreduciblepolynomialsdonotalwaysexist,Amethodtofindthecoininoilirreduciblepolynomialsfromcyclotomicpolynomialsispresentedandsomepropositionsarealsoprovided.Intheappendi】(,wealsogivethedistributionoftheorderoftheelementsinaspecialmultiplicativegroup.Keywordspublickeycryptography,ellipticcurve,digitalsignature,blindsignature,groupsignature,unlinkability,univeraalforgery,irreduciblepolynomial,cyclotomicpolynomialII致谢非常感谢陈鲁生教授.本文从选题到定稿自始至终得到了陈老师悉心严格的指导,使我对密码学这个广阔的学术领域有了更加透彻的认识.在南开大学求学的近7年中,我深深地感受到了陈老师渊博的知识,严谨的作风,谦逊的为人和广阔的胸怀.在此,谨向陈老师在这几年来对我的指导和教诲表示衷心的感谢.感i捌'ttl!!:ttt教授和符方伟教授.两位老师均给予我耐心的指导和帮助,他们敏锐的学术洞察力以及博大糟深的知识让我受益匪浅.感谢数学院各位授课老师,他们严谨的治学作风和一丝不苟的工作精神很值得我学习.感谢党委刘艳霞老师以及学院办公室的各位老师,感谢他们在工作上对我的关心和支持.作者还要感谢数学学院信息论方向的所有同学.尤其要感谢廖嘉,符景云,张青坡,王立鹏,尚越,张勇.感谢他们在我南开求学的7年里给予我的诸多关怀和帮助.感谢室友李艳婷和曲艳萍同学,与她们同窗三年的朝夕相处,将是我一生美好的回忆.深深感谢含辛茹苦养育我的父母.母亲几次重病期问,总是对我隐瞒病情。
无证书群签名方案及其应用研究
具有广泛的应用前景。
目前,无证书群签名方案的研究尚处于初级阶段,还存在一些尚未解决 的问题和挑战,因此对其进行深入研究具有重要的理论和应用价值。
研究现状与问题
目前已有的无证书群签名方案存在一 些问题,如计算开销大、难以实现高 效的验证等。
无证书群签名方案能够简化合同签署流程,无需寄送纸质合同或面对面签署,节省了时间 和经济成本。
提高合同签署的安全性
无证书群签名方案能够防止合同被篡改或伪造,同时也可以保护签署者的隐私和安全。
在数字版权保护中的应用
01
防止盗版和侵权行为
无证书群签名方案可以防止数字内容 的盗版和侵权行为,保障版权所有者 的利益。
实验设备
为保证实验结果的客观性,本次实验采用了高性能计算机作为实验设备,并确保所有设备均来自于同一厂商,且采用相同的 配置。
数据来源
为了更好地模拟实际应用场景,实验所采用的数据均来自于真实场景,并经过适当处理以保护隐私。
环境搭建
实验环境基于通用的软件开发平台进行搭建,确保与实际应用场景的相似性。
性能指标与评估方法
无证书群签名的特点
无证书群签名具有安全性高、灵活性好、易于管理等优点,在电子投票、电 子支付、电子医疗等场景中具有广泛的应用前景。
无证书群签名的关键技术
密钥生成技术
无证书群签名的密钥生成需要使用成员的私钥和 群密钥,通过加密算法生成签名密钥。
签名生成技术
无证书群签名的签名生成需要使用成员的私钥和 签名密钥,通过加密算法生成签名。
性能指标
无证书群签名方案的性能指标主要包括签名的生成速度、验证速度、存储空间占用以及通信开销等。
基于散列算法的RSA盲签名方案设计论文
基于散列算法的RSA盲签名方案设计论文RSA盲签名方案是一种较为常见的数字签名算法,其中盲签名阶段的散列算法在整个方案中起着至关重要的作用。
本文旨在探讨如何在RSA盲签名方案中设计基于散列算法的方案,以提高方案的安全性和可信度。
1. RSA盲签名方案简介RSA盲签名方案是一种数字签名算法。
它既满足RSA签名的安全性要求,又能保护信息的隐私性和匿名性。
RSA盲签名方案由四个阶段组成:第一阶段:信息盲化。
发送者将要签名的消息进行盲化,使得签名者无法得知原始消息的任何信息。
第二阶段:签名阶段。
发送者将盲化后的信息发送给签名者,签名者对信息进行签名。
第三阶段:去盲化。
发送者将签名后的信息进行去盲化,还原成原始消息。
第四阶段:校验阶段。
发送者对签名进行校验,以确保签名的正确性和完整性。
2. 散列算法在RSA盲签名方案中的作用在RSA盲签名方案中,散列算法扮演了非常重要的角色。
其作用如下:1. 确保消息的完整性。
散列算法将消息转换成固定长度的摘要,该摘要具有唯一性,且消息的任何细微变化都会导致摘要的变化。
因此,根据摘要可以检测到任何意外的改动,从而确保消息的完整性。
2. 保护隐私。
在RSA盲签名方案中,通过对消息先行进行盲化和去盲化的处理,可以保护消息的隐私性和不可知性。
而散列算法正是在盲化阶段对消息进行处理,从而保护了消息的隐私性。
3. 签名阶段的验证。
在签名阶段,签名者使用散列算法对收到的盲化信息进行处理,并使用私钥对其进行签名。
在校验阶段,发送者收到签名者签名后的信息,将其使用公钥进行解密,并使用相同的散列算法对原始消息进行处理,将处理的结果与校验获得的值进行比较,从而校验签名的正确性。
3. 基于散列算法的RSA盲签名方案设计在设计基于散列算法的RSA盲签名方案时,需要考虑以下几点:1. 选择适当的散列算法:首先,需要选择一种安全可靠的散列算法。
一般来说,可以选择SHA-1、SHA-256或SHA-512等算法。
网络安全论文盲签名
网络安全论文盲签名浅谈盲签名在电子现金中的运用摘要盲签名是一种特殊的数字签名。
通常状况下,签名者必需知道他需求签署的信息是什么,他才会去签名。
但是在某些特殊的状况,会有音讯拥有者想让签名者对他所拥有的信息签名,但是又不想让签名者知道信息的内容,而签名者并不在意他签署的内容,而只是想让他人知道他签署过这条音讯。
理想上,在匿名性这一效果上,如今只能经过盲签名或匿名证书来完成,而匿名证书难于部署和撤销,只要盲签名才是方便可行的方法。
关键字:盲签名电子现金运用注释1.1盲签名盲签名允许音讯者先将音讯盲化,然后让签名对盲化的音讯停止签名,最后音讯拥有者对签字除去盲因子,失掉签名者关于原音讯的签名。
也就是接纳者在不让签名者获取所签署音讯详细内容的状况下所采取的一种特殊的数字签名技术。
1.1.1盲签名的分类(1)盲参数签名方案:签名者知道所签名的音讯m的详细内容。
按协议的设计,签名方可改动原签名参数,即改动s(m)失掉新的签名,但不影响对新签名的认证。
所以,签名者虽然签了名,但不知或不全知新签名的详细内容。
(2)弱盲签名方案:签名者仅知道盲音讯m 的签名sig(m )而不知s (m),sig(m)是签名收方应用sig(m )所求得的。
假设签名者存储sig(m )或其它有关数据,待sig(m)地下后,签名者可以找到sig(m )和sig(m)的内在联络,从而到达对音讯m的跟踪。
(3)强盲签名方案:签名者无法将sig(m )和sig(m)停止联络 j。
1.1.2盲签名的基本性质(1)不可伪造性。
除了签名者自己外,任何人都不能以他的名义生成有效的盲签名。
这是一条最基本的性质。
(2)不可供认性。
签名者一旦签署了某个音讯,他无法否认自己对音讯的签名。
(3)盲性。
签名者虽然对某个音讯停止了签名,但他不能够失掉音讯的详细内容。
(4)不可跟踪性。
一旦音讯的签名地下后,签名者不能确定自己何时签署的这条音讯。
2.1电子现金电子现金是一种以电子数据方式流通的,能被客户和商家普遍接受的、经过Intemet购置商品和效劳时运用的货币。
群签名体制的研究【文献综述】
文献综述信息与计算科学群签名体制的研究随着现今网络特别是Internet的高速发展, 利用网络作为信息交流和信息处理变得越来越普遍, 社会的传统事务和业务动作模式受到前所未有的冲击. 同时随着通信的网络化, 数字化, 智能化的加快, 无论是国家政府还是企业都正融入这场网络革命中, 在其中它们越来越多的利用计算机网络来进行数据存储, 传递和交换, 迫切需要一种能够进行身份鉴别、数据完整性认证和抗否认的技术, 这样数字签名[1]、证书认证技术应运而生. 为了满足应用领域的特殊性, 各种特殊的数字签名技术相继被提出, 其中群签名, 在管理、军事、政治及经济等多个方面有着广泛的应用. 比如在公共资源的管理, 重要军事命令的签发, 重要领导人的选举, 电子商务, 重要新闻的发布, 金融合同的签署等事务中, 群签名都可发挥重要作用.在军队, 政府等一些涉密机构中, 如何安全地保存秘密显得尤为重要. 有些情况下, 秘密需要由多个人保存, 每个人保存一个秘密份额, 必要时由多个人合作恢复秘密, 这样可以避免由一个人保存而容易发生秘密的丢失和被篡改.群签名[2]由Chaum和Van Heijst在1991年首先提出的, 它是一种可撤销[3]匿名性的数字签名技术. 在群签名方案中, 群体中的每个成员都可以代表群体进行匿名签名, 验证者只能验证签名是否来自群体, 而不能确知参与签名的具体成员, 群签名的这种性质被称为匿名性[4]. 在必要的时候, 群主管可以打开签名来确定签名者的身份, 签名人不能否认自己的签名, 群签名的这种性质被称为可跟踪性. 群签名的匿名性可为合法用户提供匿名保护, 可跟踪性又能使群主管对群成员的行为进行跟踪, 对群成员的行为进行合理限制. 群签名的上述性质使它在管理、政治、军事和经济等领域有着广泛的应用, 许多安全业务需要群签名, 以电子现金为例, 一方面要求它和普通现金一样具有匿名性; 另一方面, 为防止利用电子现金进行洗钱等不法行为, 需要对它进行跟踪.群签名可分为两类: 静态群签名和动态群签名[5]. 在静态群签名方案中, 群成员的人数是固定的, 无法实现群成员的撤销和再加入;而在动态群签名方案中, 能够实现群成员的撤销和再加入. 显然后者更为实用. 一个好的动态群签名方案应该满足以下几个要求:群公钥和群签名的长度应该是个常数, 不应当随着群成员的增加而增大; 签名的产生和验证应该尽可能的快; 群签名的长度应该尽可能的短; 应该尽可能快地实现群成员的撤销和再加入. 许多实际应用需要群签名方案满足上述性质.随后由Chen和Pedersen[6]、Carnenishch[7]和Petersen给出了进一步的发展. 一个群签名方案由签名算法、验证算法和识别算法组成. 群签名应该具有如下特征:(1) 群特性: 只有群体的成员才能签名, 其他人无法伪造签名.(2) 验证简单性: 签名的验证者验证签名时只需要知道群体的公钥.(3) 匿名性: 签名的验证者无法知道哪个成员做了签名.(4) 可追查性: 事后可以追查出哪个成员做了部分签名.Chaum和Van Heijst提出过这样一种方案. 可信中心给每个人发一些密钥, 这些密钥是不上交的. 每次某签名者选一个密钥签名, 验证者通过尝试所有对应公钥来签名. 可信中心确定谁做了签名. 要注意的是每个密钥都只能使用一次, 否则接收者能判断出是同一个人所签. 上面这个方案有很多不完善之处, 如可信中心可以伪造群签名, 签名次数有限, 验证麻烦等.一个群签名体制包括下列4个过程[8]:建立: 一个指定群管理员和群成员之间概率交互协议.其结果包括群公钥y、群成员的秘密密钥x和群管理员的秘密管理密钥.签名: 一个概率算法, 其输入为一个消息和群成员的秘密密钥x, 其结果为一个对消息的签名.验证: 一个算法, 其输入为消息、消息签名和群公钥y, 其结果为签名是否正确.打开: 一个算法, 输入为签名和群管理员的秘密管理密钥, 输出为签名的群成员的身份和事实证明.可以假定群成员和群管理员之间的所有交流都是秘密进行的. 一个群签名体制必须满足下列性质:(1) 只有群成员能产生正确的消息签名(不可伪造性).(2) 要确定哪一个群成员对消息进行签名是不可能的(匿名性), 要确定两个签名是否由同一个群成员签署是不可能的(不可连接性).(3) 群成员不能打开签名, 同时也不能代表其他成员签名, 进一步群管理员也是如此.(陷害攻击安全性).最后一个性质表明群管理员一定不能知道群成员的秘密密钥. 对于群签名体制的有效性由如下几个因素决定:(1) 群公钥y的大小;(2) 签名的长度;(3) 签名和验证算法的有效性;(4) 加入和打开协议的有效性.在以前提出的大部分群签名体制中, 群公钥的长度至少和群成员数是线性的, 因此验证算法的运行时间依赖于群成员的个数. 在一些体制中, 签名的长度[9]和签名算法的运行时间[10]也依赖于群的大小.参考文献[1]张焕国, 王张仪. 密码学论[M]. 武汉: 武汉大学出版社, 2009.[2] D. Chaum, E. van Heyst. Group signatures [C]. In: Advances in Cryptology-EUROCRYPT '91, LNCS 547. Berlin: Springer, 1991, 257~265.[3]鲍皖苏, 魏怀鉴, 隗云等. 一个基于ID的可删除群签名方案[J]. 计算机应用研究,2008, 3: 924~926.[4]张梦东, 杨义先, 马春光. 由群签名实现的可撤销匿名性电子现金方案[J]. 北京邮电大学学报, 2005, 2: 30~33.1,,t n门限群签名方案[J]. 计算机技术与发展, 2008, 1: 49~52.[5]蓝才会. 动态()[6]L. Chen, T. Pederson. New group signature schemes [C]. In: Advances in Cryptology-EUROCRYPT’ 94, LNCS 950. Berlin: Springer-Verlag, 1994, 171~181.[7]J. Camenisch. Efficient and generalized group signatures [C]. In: Advances in Cryptology-EUROCRYPT’97, LNCS 1233. Berlin: Springer-Verlag, 1997, 465~479.[8]陈少真, 李大兴. 基于DSN的大群体的有效群签名[M]. 北京: 科学出版社, 2004.[9]程相国, 海进科. 一种高效的群签名方案[M]. 北京: 科学出版社, 2007.[10]周苏静, 林东岱. 评一种高效的群签名[M]. 北京: 北京大学出版社, 2007.。
开题报告-几种部分盲签名的研究和在电子现金系统中的应用
2.计算效率:在大部分的部分盲签名运算中,都大
量的用到求逆运算,而求逆运算的效率相当低,使 得签名方案的效率不理想。
h
5
研究内容
通过对本课题的研究,深刻理解部分盲签名的定义、性质和构造方法, 并对其中一些部分盲签名方案的安全性进行分析,在此基础上提出新 的部分盲签名方案并且给出相应的安全性分析和证明。
h
11
谢谢各位老师!
1.完整性:指支付者、商家和发行
银行在付钱、取款、支付和存款交 易的交互过程中,三者数据的完整 性。
2.匿名性:包括外人对交易数据的
不可观察性;支付者在取款时和银 行交互的数据与用该电子支付手段 进行支付时和商家交互的数据的无 关联性,即不可追踪性;支付者每 次交易信息之间的无关联性。
嵌入电子现金系统中,构造高效安h 全的电子现金方案。
6
技术路线
第一阶段是研究无证书的公钥密码体制,在构造基于无证书的公钥 密码系统的部分盲签名方案之前,对系统参数进行初始化并生成用 户的密钥对。
第二阶段是利用椭圆曲线域的代数性质、双线性配对映射的性质和 椭圆曲线离散对数问题的困难性,通过分析基于椭圆曲线离散对数 问题的相关协议的设计技巧,结合异或运算的高效性,构造基于椭 圆曲线离散对数问题的高效半盲签名协议。
主要内容如下:
通过对已经提出的各种部分盲签名方案的分析,总结部分盲签名的性 质和各种签名的构造方法。
对部分盲签名的安全性分析和证明进行深入研究,学习标准模型下和 随机预言机模型下可证安全的部分盲签名方案的构造。
结合部分盲签名的定义和性质,构造新的部分盲签名方案并进行安全 性分析和证明。
群签名理论及其应用
上海交通大学硕士学位论文群签名理论及其应用姓名:秦柳泉申请学位级别:硕士专业:计算机软件与理论指导教师:曹珍富20090101群签名理论及其应用摘要如今人们在互联网上不仅仅上网冲浪娱乐,很多商务活动也通过网络的形式开展。
网络应用的发展带来了很多安全问题,其中对个人隐私的保护是其中很重要的一个。
考虑这样一个很普通的场景:公司的雇员想以公司的名义与第三方签订一个合同。
在实际世界里,雇员可以用公司的公章在合同上盖章,以表明公司的认同。
同时,公章的使用并不会泄露其雇员的身份信息。
那么在数字化的世界里,这样一个过程该如何实现呢?我们知道在密码学里,数字签名帮助人们安全地签署数字文件,而加密可以保证人们安全地传输消息。
公章的使用相当于一个“加密的签名”,这样的签名需要保证公司确实认可了签署的文件,而签署者的身份被加密了。
这个概念称为群签名:很多用户组成了一个群,群成员在不泄露自己身份的前提下以整个群的名义对外交互,同时任何成员对外的交互都可以而且只能被群管理者所追踪。
本文研究群签名的理论和应用,内容包括:讨论构造安全群签名方案的整个过程和具体细节,包括数学基础知识、群签名的安全模型、一些在构造中有用的基本密码学方案协议以及如何将其整合成一个安全群签名的整个过程。
同时我们对群签名相关的一些重要问题提出我们独到的见解,包括CCA2匿名安全、群成员撤销机制和标准模型下群签名方案构造思路。
给出群签名的一些应用和相关问题,尤其是匿名证书系统。
基于提出的群签名方案,我们构造了相应的匿名证书系统。
作为密码学中一个复杂的原语,群签名已经得到了很好的研究。
但重要的是,研究群签名这个过程本身给密码学带来了丰富的方法论和技术。
关键词:群签名,CCA2匿名安全,匿名证书系统Theory of Group Signature and Its ApplicationABSTRACTNowadays many people not only go surfing but also do business over Internet,which engenders many security problems,and the protection for personal privacy is the most im-portant one of them.We consider this kind of situation:some employee wants to contract an agreement with the other party in the name of his company.In the real world,he may have the company’s cachet as the right to sign on the agreement.And in the meantime,his personal information as an employee of this company will not be revealed through the agree-ment.Now in the digitalized world,what he should do?As we all know,in cryptography,digital signature helps people to securely sign digital-izedfiles and encryption helps people to securely transmit messages through Internet.What we need as mentioned above is something like“encrypted signature”.That is,we need this kind of signature to ensure the authentication of the company,and the actual signer’s identity is encrypted.This concept is called group signature:many users composes a group,each group member interacts with outside party as one group without revealing his identity,and each member’s interaction should be and only could be traced by an entity,called group manager.So the topic of this dissertation is group signature.In particular,security model of group signatures,how to construct efficient group signatures,etc.,are investigated.We discuss the whole process and every details to construct secure group signature, including mathematical fundamentals,the security models,useful building blocks and the integrated techniques.We also show our unique opinions to some essential problems for group signature,including CCA2-anonymous secure,member revocation mechanism and how to construct group signature in standard model.We investigate some applications and related problems to group signature,especially anonymous credential system.Based on the proposed group signature scheme,a corre-sponding anonymous credential system is also proposed.As a complicated primitive in cryptography,group signature has been well studied.The important thing is,the research on group signature itself has provided fruitful methodology and technique to cryptography.KEY WORDS:group signature,CCA2-anonymous secure,anonymous credential sys-tem,主要符号对照表F、F p、F p n有限域(Finite Field)E(F)有限域上的椭圆曲线(Elliptic Curve Over Finite Field)e双线性映射(bilinear map)DDH判定Diffie-Hellman问题(Decision Diffie-Hellman Problem)CDH计算Diffie-Hellman问题(Computational Diffie-Hellman Problem)A攻击者、敌手(Adeversary)C挑战者(Challenger)IND-CPA适应性选择明文攻击不可区分Indistinguishability under Chosen Plaintext AttackIND-CCA2适应性选择密文攻击不可区分Indistinguishability under Adaptive Chosen Ciphertext AttackUF-CMA适应性选择消息攻击不可伪造UnForgeability under Adaptive Chosen Message AttackPK知识证明(Proof of Knowledge)第一章绪论1.1引言各种通信网的出现,使我们的社会进入了一个崭新的时代,传统的商务活动、事务处理以及银行服务已经或者越来越多地通过开放的网络平台来实现和提供。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
群盲签名的理论研究与应用
作者:靳淑祎
来源:《硅谷》2009年第03期
[摘要]介绍数字签名的发展,数字签名体制的密码体制,群盲签名安全性要求及其在电子现金系统中的应用。
[关键词]数字签名群盲签名电子现金
中图分类号:TN99文献标识码:A文章编号:1671-7597(2009)0210058-01
一、概述
数字签名是附加在数据单元上的一些数据,是对数据单元所作的密码变换。
这种签名技术是对日常生活中的手写签名的电子化模拟,同时,又具体有传统签名不具备的优点。
数字签名是当前网络安全领域的研究热点,特别是在银行系统,电子商务,电子政务等应用领域,数字签名是其关键技术之一。
二、群盲签名
(一)群盲签名介绍
群盲数字签名这一概念最早是由Lysyanskaya和Ramzan在1998年的金融密码会议上提出来的。
他们将群签名技术和盲签名技术结合起来,提出了第一个群盲签名方案,并用此方案设计了一个在线的匿名的多银行电子现金系统。
一个群盲签名方案允许一个群体中的个体成员以安全方式代表整个群进行签名,产生的签名除了伪造困难外,同时还是匿名的,并且同一个成员的签名之间也是不关联的,只有一个事先指定的群管理员可以确定签名者的身份,另外,更为重要的是签名同时具有盲特性,如果签名者在签名活动之后看到了签署的信息,他也不能够确定什么时间或者为谁签署了它。
这种盲特性实现了电子现金的匿名消费。
群盲签名对电子经济中的很多方面都有重要的用处,比如,可以基于这种签名构造安全的分布式电子银行系统,或者具有多个投票点的安全在线投票系统。
(二)群盲签名的安全性要求
群盲签名与群签名两者的安全需求非常类似,唯一不同的是群盲签名还具有盲签名特性,群盲签名的安全需求如下:
1、盲性:签名者不知道他要签名的信息,而且他签过的文档事后他不知道是他签的,即使(或任何其他人)能验证此签名确实有效;
2、不可伪造性:只有群体中的成员才可代表整个群体签名,即只有群成员的签名才可被群体公钥证实;
3、匿名性:给定一对信息和签名,任何人都容易验证此签名是有效的,确认此信息己有某个群体成员的签名,但只有群管理员才能确定究竟是哪个成员签的名;
4、不可否认性:群体管理员总能确定签名者的身份。
而且群管理员也能向其它实体(比如法官)证明:给定的文档是由哪个成员签署的,而且不会泄露此成员以前或将来可能签署的信息匿名性;
5、不可关联性:不能判定两个不同的签名是否由同一个成员所为;
6、抗陷害攻击:群体中没有任何自己(可能包含群管理员)能代表群中其它成员签署信息。
即群体中任何子集都不能“陷害”不属于该子集的其它成员;
三、群盲签名在电子现金系统中的应用
(一)电子现金的概念
电子现金(Electronic Cash,E-cash)是以数字化形式存在的现金货币,是一种非常重要的电子支付系统,它可以被看作是现实货币的电子或数字模拟,电子现金以数字信息形式存在,通过互联网流通。
但比现实货币更加方便、经济。
它最简单的形式包括三个主体:商家,用户,银行;和四个安全协议过程;初始化协议,提款协议,支付协议,存款协议。
电子现金带来了传统货币所没有的在安全性和隐私方面的数字化的便利。
随着社会经济向数字经济的转变,电子现金将首先取代小额交易中的纸币和硬币成为各种支付手段的主导。
根据不同的标准,电子现金可以分为不同的种类。
根据电子现金在消费时商家是否需要与银行进行联机验证,分为在线电子现金系统和离线电子现金系统;根据电子现金是否可以合法的支付多次,将电子现金分为可分电子现金和不可分电子现金。
(二)电子现金模型
一个典型的电子现金系统主要包括银行、商家和客户三个实体,电子现金在系统中主要经过兑现、支付和提取三个阶段,基本流通模式如下图所示。
首先,客户向电子现金发行机构获得电子现金。
客户可以利用E-cash软件的客户端生成电子现金,并传递给银行,并由银行进行盲签名。
同时银行从客户的账户中扣除相应的款项,将经过签名的电子现金传给用户保存在本地(计算机或智能卡)。
当然用户也可以利用其他途径获得电子现金,如充值或亲自去银行办理转账手续等。
随后,客户就可以用自己拥有的电子现金消费了,客户只需要将电子现金支付给商家即可(在线或离线):商家在收到电子现金后将其传送给开户银行即可将电宇现金兑换成相应的款项。
从上面的过程我们可以看出,电子现金支持离线支付,即客户可以不必进行在线认证,只要得到商家的确认后就可以完成交易过程;并且电子现金可以较好的保证客户身份不泄露,即商家和银行都不能通过电子现金与某位客户联系起来,从而保障了客户的隐私权;另外在交易过程中商家可以不与银行进行认证,从而简化了交易的程序,这样可以减少交易三方之间的数据通信量,减少了受到攻击的可能性。
电子现金同样有不少的缺点,如:电子现金的保存问题,由于电子现金是匿名的,如果客户丢失了凭证,就丢失了电子现金,这一点和现金相同;而且匿名的电子现金系统无法监控电子现金的流向,很可能出现洗钱等社会问题。
在设计电子现金系统的时候就要尽量的考虑这些问题,保证系统安全高效。
一个安全和可靠的电子现金系统主要是依靠密码技术来实现的:
1、分割选择技术:用户在提取电子现金时,不能让银行知道电子现金中用户的身份信息,但银行需要知道提取的电子现金是正确构造的。
分割选择技术是用户正确构造N个电子现金传给银行,银行随机抽取其中的N-1个让用户给出它们的构造,如果构造是正确的,银行就认为另一个的构造也是正确的,并对它进行签名。
2、零知识证明:证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。
以上两种技术用于将用户的身份信息嵌入到电子现金中。
3、认证:认证一方面是鉴别通信中信息发送者是真实的而不是假冒的;另一方面是验证被传送信息是正确和完整的,没有被篡改、重放或延迟。