基于离散对数群签名的电子现金系统的研究（可编辑）

基于离散对数群签名的电子现金系统的研究（可编辑） 基于离散对数群签名的电子现金系统的研究 湖南大学 硕士学位论文 基于离散对数群签名的电子现金系统的研究 姓名:徐兴中 申请学位级别:硕士 专业:计算机应用技术 指导教师:李乔良 20070319硕士学位论文 摘要 随着电子商务的普及,越来越多的商品将通过网上交易的形式进行流通,因 此怎样安全高效地进行电子支付就成为了一个迫切需要解决的问题。电子现金作 为一种新兴的电子支付方式较之现有的信用卡、电子支票等形式具有匿名性、离 线可用性、可转移性等不可比拟的优势,也更能适应未来电子支付的需要。已有 的电子现金系统都是根据群签名理论提出来的,群签名是一种很有特色的数字签 名,它不仅具备较高的安全性,而且能够有效地隐藏组织的内部结构,在电子 商 务、电子政务等领域具有广泛的应用前景。 本课题以基于离散对数群签名的电子现金系统为研究对象,针对目前群签名 和电子现金中存在的问题,在现有的群签名 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 的基础上提出了一个更高效的成 员撤消方案,并设计了两个在安全性方面相对比较完善、在效率上也比较高的电 子现金系统。 成员撤销问题一直是当前群签名领域研究的一大难题,本文针对目前比较成 熟的群签名方案 ACJT群签名及其成员撤消方案在效率方面的不足对其进行了改 进,提出了一个新的解决方案。新方案在签名长度比原有方案缩短了 60%,运算 次数也减少了 20%,同时能够仍然满足群签名的所有安全性要求。 基于 ACJT群签名方案来设计电子现金系统直接体现了目前电子现金研究的 现状。本文重点分析了两个具有代表性的方案,总结了两个方案的优点与不足, 并在此基础上提出了一个新的方案。新方案综合了前面两个方案的优点,具有较 高的效率和安全性。 另外,本文利用一个新的群签名方案,设计了一个安全高效的电子现金系统。 该系统具有可撤销匿名性,可以有效的识别重复花费,能够防止不法用户的 敲诈 行为,还可以防止用户对电子现金的金额进行篡改,因此具有较高的安全性。 同 时,由于采用了更新更高效的群签名方案,本系统还具有较高的效率。 最后,我们使用 Java语言和 Oracle数据库开发了一个网上电子现金系统, 本 系统能够完成电子现金的基本功能。该系统的开发使得我们对电子现金系统 的研 究不再只是停留在理论阶段,还具有一定的实际意义。 关键字:电子现金;群签名;ACJT方案;成员撤销;安全性;效率I 基于离散对 数群签名的电子现金系统的研究 Abstract With the widespread use of electronic commerce, more and more businesses are conducted via Internet. So the security and efficiency of electronic payment becomes a serious issue. The jumped-up payment tool--electronic cash is more adaptive than the credit card and electronic check which is widely used at present, because it is characterized by the anonymity, off-line practicability and transferability. The existing electronic cash systems are based on the group signature, which is a digital signature scheme with distinguishing features. The group signature has the high-security and can hide the interior structure of the organization. So the scheme is widely used in many domainsThis paper defines an electronic cash system based on the group signatureAiming at the existing problems of the group signature and electronic cash, we first design a new group signature with member revocation, and then establish two new electronic cash systems with relatively higher security and efficiencyFirstly, a new member revocation scheme of the mature ACJT group signature with higher efficiency is defined. The member revocation is always a hard problem in the research of the group signature. Quantized analysis of the new sheme shows that the length of the signature is shorten by 60%, the number of the operation is reduced by 20%. Furthermore, the new scheme meets all the security requirement of the group signatureSecondly, there are many electronic cash systems based on the ACJT group signature at present. In this paper, we analyze the advantages and deficiencies of two typical schemes and define a new scheme with higher security and efficiencyThirdly, we design a secure and efficient electronic cash system based on a new group signature scheme. The new system provides revocable anonymity and prevents the double-spending, blackmail and juggling the sum of money, so it is secureFurthermore, the system’s efficiency is much better than others because of the new group signature schemeFinally,a practical electronic cash system is implemented based on Java and Oracle database. The system achieves the primary function of electronic cash. It is full of meaning to our research II 硕士学位论文 Key words: Electronic Cash; Group Signature; Member Revocation; ACJT Group Signature Scheme; Security; Efficiency III 基于离散对数群签名的电子现金系统的研究 插图索引 [16] 图 2.1 群盲签名示意图 11 [29] 图 4.1 电子现金的基本流通模式 22 [30] 图 4.2 电子现金系统的分类23 图 6.1 系统架构图 37 图 6.2 用例图37 图 6.3 Bank类. 41 图 6.5 GM类 41 图 6.7 Join过程42 图 6.8 Account过程42 图 6.9 Withdrawal过程 42 图 6.10 Trade过程. 43 图 6.11 Deposit过程. 43 IV 硕士学位论文 附表索引 表 6.1 GROUP_PARAMETER表 38 表 6.2 GROUP_USER_INF表. 39 表 6.3 GROUP_USER_PARAMETER表 39 表 6.4 BANK_USER_ACCOUNT表. 40 表 6.5 BANK_USER_PARAMETER表40 表 6.6 BLACKMAIL表40 表 6.7 DOUBLE表 40 V 湖 南 大 学 学位论文原创性声明 本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的 研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人 或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体, 均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。 作者签名:日期: 年月日学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借 阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 1、保密?,在______年解密后适用本授权书。 ? 2、不保密?。 (请在以上相应方框内打“?”) 作者签名: 日期: 年月日 导师签名: 日期: 年月日 硕士学位论文 第 1章 绪 论 1.1选题背景及意义 伴随着 Internet的高速发展,基于它所进行的商务活动,即电子商务也取得 了长足的进步,并日益改变着人们的经济和生活方式。电子商务是通过电信网络 进行电子支付来得到信息产品或得到递送实物产品的承诺,其最终目标是实现贸 易活动各环节的电子化,达到网上商流、物流、货币流和信息流的统一。目前, 它正呈现出爆炸形的增长态势,必将成为 21世纪的主流贸易手段。 电子支付是电子商务活动中最核心、最关键的环节,是交易双方实现各自交 易目的的重要一步,也是电子商务得以进行的基础条件。电子支付需要电子货币 来作支撑,所谓电子货币,简单来说就是以电子方式存在的货币。当前电子货 币 主要分为四类:储值卡、电子信用卡、电子支票和电子现金。其中,储值卡和电 子信用卡均不支持离线支付,在每一次支付过程中必须实现客户、商家、银行和 发卡机构的在线多方认证和数据的相互传送,这对于小额支付来说代价太大,而 且不具备匿名性。而电子支票支持离线支付,较适合于小额支付,但不能够防止 用户的拒绝支付和透支行为。只有电子现金能较好地解决上述问题,它既能用于 大额支付,也能用于小额支付,而且还有保护用户支付行为隐蔽性,防止拒绝支 付和透支行为等诸多优点。电子现金作为纸币的电子等价物已完全可能具备货币 的五种基本功能,即价值量度、流通手段、储蓄手段、支付手段和世界货币,它 可通过网络系统和公共信息平台实现流通、存取、支付,因而更受商家和用户的 青睐。对电子商务以及电子现金系统的研究日益成为信息安全领域研究的热点问 题。目前有多个关于电子商务的项目被列入国家科技支撑 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 “现代服务业 共性技 术支撑体系与应用示范工程”重大项目中,有多个关于电子现金系统的项目都受到 国家自然科学基金的资助。 1.2电子现金及其基本性质 电子现金是以数字化形式存在的电子货币,它把现金数值转换成一系列的加 密序列数,通过这些系列数来表示各种金额的币值,实际交易就是这些数字的验 证和传输以及存储。它是传统纸质货币在电子世界中的一种模拟,所以它应该具 备传统货币所具有的一些特点,同时由于其本身的电子化形式,因此还具备了传 统现金所没有的一些优点。1982 年,Chaum 在文献[1]中提出了第一个电子现金 方案,他指出理想的电子现金应该具有以下基本性质:系统无关性:电子现金的安全性不能只靠物理上硬件上的安全来保证,必 须通过电子现金自身使用的各项密码技术来保证电子现金的安全; - 1 - 基于离散对数群签名的电子现金系统的研究 不可伪造性:用户不能造假币,包括两种情况:一是用户不能凭空制造有效 的电子现金;二是用户从银行提取 N个有效的电子现金后,也不能根据提取和支 付的这 N个电子现金的信息制造出 N+ii 1,2,3,??有效的电子现金; 匿名性:即使银行和商家相互勾结也不能跟踪电子现金的使用,就是无法将 电子现金的用户和他购买行为联系到一起,从而起到隐蔽电子现金用户的购买历 史的目的; 不可重复花费性:同一笔电子现金只能使用一次,重复花费能被容易地检查 出来; 可传递性:电子现金像普通现金一样,在用户之间任意转让,且不能被跟踪; 可分性:电子现金不仅能作为整体使用,还应能被分为更小的部分多次使用, 只要各部分的面额之和与原电子现金面额相等,就可以进行任意金额的支付。 1.3电子现金与群签名 [2] 作为群签名的概念的提出者 之一,Chaum还最早将群盲签名技术引入了电 子现金系统的研究,为电子现金的发展奠定了理论基础。群盲签名是群签名技术 的一个分支,它采用将群签名和盲签名结合在一起的思想,使之同时具有两者的 特点,大多数群签名方案都可以比较容易的改造成群盲签名。在群签名中,一个 群体的任意一个成员都可以以匿名的方式代表整个群体对消息进行签字;同时, 任何人又都可以公开地对它进行验证,而且验证的过程只需要使用到单个的 群公 [3] 钥。另外,群签名还具有其它一些重要的性质 :如匿名性,即只有群管理者才 能打开用户的签名,确定用户的身份;不可伪造性,任何人,包括群内的其他成 员和群管理者在内,都不能伪造一个用户的签名等。正是因为群签名拥有的这些 特性,使得利用它来构造电子现金系统十分的方便。因此,群签名和电子现金的 发展就紧密地联系在了一起。基本的电子现金系统是由银行、用户和商家三方组 成,通常的做法是:让电子现金的用户组成一个群,则银行和商家都不能通过用 户的签字发现用户的身份;而其他人要伪造用户的签名也十分的困难。 [4] 1997年,J.Camenish和 M.Stadler 首次提出适用于大群体的群签名方案。大 多数群签名方案都是利用了对离散对数相等的零知识证明来实现的,该方案也是 基于此理论以及 Shnorr数字签名共同实现的。在他们的方案中,群公钥的长度和 签名长度都不依赖于群成员的个数,这为群签名走向实用排除了最大的障 碍。因 此,该方案在群签名研究与发展的过程中具有非常重要的意义,一般称他们的方 案为 CS97群签名方案。 基于 CS97群签名,国内外的研究者提出了很多的电子现金解决方案,比较 [5] [6] 有代表性的有 A.Lysyanskaya等 和 J.Traore 设计的方案。他们的方案和 Chaum 的方案相比,除了群签名算法本身效率的提高以外,还将用户支付电子现金时, 商家需要和银行进行的在线验证改进成了离线验证;在安全性方面,将 Chaum方 案中的完全匿名性改进为可撤消匿名性,具体的做法是:在原有方案的系统中, 加入一个可信的第三方(TTP),它的作用是在发生纠纷时,打开用户的签名, 这样就能有效地防范一些电子现金的安全威胁,比如敲诈、重复支付等,因为在 - 2 - 硕士学位论文 完全匿名性下,这些行为造成的非法现金将不能被跟踪。 2000年,G.Ateniese等在文献[7]中提出了一种安全高效的群签名方案,这在 群签名的发展过程中又是一个极为重要的方案。该方案不再使用 CS97方案 中的 双重离散对数,大大地提高了算法的效率,并且在强 RSA假设和 Diffie-Hellman 假设下是安全的,这个方案被称为 ACJT群签名方案。 目前国内外的一些利用离散对数群签名来构造的电子现金系统大多是基于该 [8] 群签名方案的,如Maitland和Boyd 提出的基于群签名的公平电子现金方案和 [9] Popescu 提出的一种具有可撤消匿名性的离线电子现金系统,他们的方案直接体 现了基于离散对数群签名在电子现金中的研究现状,在本文的第4章中将详细介绍 这两个方案。 可以说,使用群签名来构造电子现金一直是该领域研究的主流,电子现金的 发展和群签名的发展也一直十分紧密地联系在一起。每一次群签名理论的进步都 使得许多新的电子现金产生,反过来,电子现金发展中遇到的一些问题又激励学 者去研究更安全更高效的群签名方案。 1.4实用的电子现金系统 目前世界上许多国家都在实用的电子现金系统方面开展研究和开发。作为电 子现金的创始人,Chaum首先在荷兰和美国成立了专门从事开发电子支付和数字现 金产品的DigiCash公司,该公司的产品eCash开启了人们对电子现金系统实际应用 的先河。随后,英国西敏银行和米德兰银行为主开发和倡议使用的Mondex电子现 金系统的应用,将人们对电子现金的应用扩大到银行领域。而信用卡巨头VISA公 司从2000年6月开始与6家信用卡公司和9家银行联合进行的智能卡电子现金 “VISACash”的实用实验昭示着电子现金系统的应用正日趋走向广泛和成熟。 尽管电子现金的发展十分迅速,但是到目前为止,电子现金系统还只能处于 较小范围内的试用阶段。因为它还存在着可分性、可传递性、多银行性等诸多技 术难题没有得到很好的解决;在安全性方面,敲诈和重复支付始终是两个比较难 以解决的问题;而有时为了增加方案的安全性又不得不以牺牲效率作为代价,所 以,设计安全高效的电子现金系统解决方案是目前电子商务领域内的一个热门研 究方向。 1.5研究范围和内容 本课题研究基于离散对数群签名的电子现金系统,针对目前群签名和电子现 金中存在的问题,设计出具有成员撤销功能的群签名方案和安全性和效率两方面 都比较出色的的电子现金系统。 针对现有的群签名方案和成员撤销方案在安全性以及效率方面的不足,本文 在目前公认比较成熟的ACJT群签名方案的基础上设计了一种新的成员撤消方案。 新方案中继承了以往一些方案的优点,使得每撤消一个成员群管理者只需要通过 一次乘法运算来更新群公钥,并且在签名和成员撤消的过程中只用到了一次 Hash - 3 - 基于离散对数群签名的电子现金系统的研究 运算,因此具有较高的效率。 基于ACJT群签名设计电子现金方案直接体现了目前本领域研究的现状,本文 重点分析了两种典型的基于该群签名的电子现金系统,在结合两个方案特点的基 础上提出了自己的方案,该方案在安全性和效率两个方面有更好的表现。 [10] 利用Camenisch和Groth 在2004年提出的一个新的群签名方案,设计了一 新 的公平离线的电子现金系统,该方案具有可撤销匿名性,可以有效的防止用户对 电子现金的金额进行篡改,并且能防止敲诈和重复消费,同时由于采用了新的高 效的签名算法,所以在安全性和效率两个方面较之以前的方案都有所提高。 使用Java语言和Oracle数据库实现了一个B/S结构的网上电子现金系统。 1.6论文结构 本论文的结构安排如下: 第1章 主要介绍论文的研究背景与意义,电子现金的概念,电子现金与群签 名之间的关系,本文的研究范围和内容。 第2章 主要介绍群签名的概念,基本性质,发展状况和仍然存在的一些问题。 第3章 主要介绍群签名的成员撤销方案,并基于ACJT群签名提出一个新的撤 销成员方案。 第4章 主要介绍电子现金概念,基本性质和发展;同时详细分析了两个目前 比较典型的电子现金系统,并在此基础上提出了一个新的方案。 第5章 主要介绍我们基于一个新的群签名方案的基础上提出的一个比较安全 和高效的电子现金方案。 第6章 用Java语言和Oracle数据库实现了一个离线的多银行电子现金系 统, 并对系统性能进行了分析。 最后是结论和展望。 - 4 - 硕士学位论文 第 2章 基于离散对数的群签名 群签名是一种特殊的数字签名,是一个相对比较新的概念。它是由 Chaum和 [2] Heyst 于 1991年提出的。在一个群签名方案中,某一个群体的任意一个成员都 可以以匿名的方式代表这个群体对消息进行签名。与其它数字签名一样,群签名 是可以公开验证的,不同的是只需要用到单个的群公钥来进行,因此不会泄露签 名者的个人信息,并且发生争议时,群管理者可以通过群私钥打开签名,确定签 名者的身份。现有的群签名方案大多是基于离散对数的数字签名发展产生的,尤 其是 Schnorr数字签名。在此基础上,应用于电子现金领域的群签名还需要考虑 签名的“盲性”,即群成员对他所签署的消息的内容一无所知,而事后群成员可 以像其他人一样验证签名的有效性,但是他无法将这个签名与他具体某次签 名行 为相关联。 2.1预备知识 2.1.1离散对数问题现代公钥密码学是基于三大公认的数学困难性问题的, 离散对数问题正是其 [11] 中之一,它的定义如下 : x 考虑方程yg modp,给定 y,g和 p,计算 x一般非常困难,其难度与 RSA 中因子分解素数之积的难度具有相同的数量级。 2.1.2 Schnorr数字签名 [12] Schnorr 数字签名 是一个著名的基于离散对数的数字签名,很多以后的数 字签名都是基于该签名的,尤其是群签名。它的具体定义如下: * G是 Z的一个阶为 为素数的子群。适当选择一个生成员gG ? ,使得在 G n x 中计算离散对数是困难的。假设 x ? 0是签名者的私钥,yg modn是他的 公钥。 设 H是一个抗碰撞的哈希函数。 s c 对于消息 m,能使等式cH |m|gy成立的, cs对被称为对消息 m的合法 的 Schnorr签名,其中,对消息 m的 Schnorr数字签名, cs的产生过程如下 签名 者的私钥为 x : 1. 选择rZ ? ; Rq r 2. 令cH |m|g; 3. 选择sr ?cxmodq,产生合法的 Schnorr签名。 sc r ?cx x c r sc 可以验证上述过程是正确的:gy g g gmodn,Hm||gy r Hm||g c。 从定义可以看出,c既出现在等式的左边,又出现在等式的右边,H又是抗 碰撞的哈希函数,因而在不知道以 g为底 Y的离散对数的情况下,伪造合法 的签 - 5 - 基于离散对数群签名的电子现金系统的研究 名是困难的。 2.2群签名 2.2.1群签名的定义 群签名方案中,群体的任何一个成员都能够代表群体进行签名。接受者可以 通过唯一的群公钥进行验证,但验证者无法识别签名者的身份,也无法判断 两个 群签名是否是由同一个群成员提交的。然而当发生争议时(如产生法律纠纷时), 指定的群管理员能够打开群签名,以便揭示签名者的身份。 [13] 定义 一个 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的群签名方案将包含以下过程 : 1. 创建:用一个多项式时间概率算法产生群公钥和私钥的过程。 2. 加入:用户和群管理者之间交互信息,进行相关的计算,最后使得用户成 为群成员的过程。该过程将产生群成员的私钥和成员证书,在计算的过程中需要 用到群公钥。 3. 签名:群成员使用群公钥和自己的私钥对输入的消息进行签名的过程。 4. 验证:确认对消息的某个签名是否有效,是否是群成员所签的过程。 5. 打开:群管理者使用自己的私钥打开某个群签名,确定签名人身份的过程。 2.2.2群签名的安全性要求 一个好的群签名方案应满足以下的安全性要求: 1. 匿名性:给定一个群签名后,对除了唯一的群管理员之外的任何人来说, 确定签名人的身份在计算上是不可行的。 2. 正确性:一个群成员使用签名算法生成的签名可以被验证算法所接受。 3. 不可伪造性:只有群成员才能产生有效的群签名。 4. 可跟踪性:群管理员在必要时可以打开一个签名以确定出签名人的身份, 而且签名人不能阻止一个合法签名的打开。 5. 不可链接性:在不打开签名的情况下,确定两个不同的签名是否为同一个 群成员在计算上是困难的。 6. 防陷害攻击:包括群管理员在内的任何人都不能以其他群成员的名义产生 合法的群签名。 7. 抗联合攻击:即使一些群成员串通在一起也不能产生一个合法的不能被跟 踪的群签名。 8. 可撤销性:群中任意一个群成员退出后,群管理员都可以安全的撤销该成 员,使之不能够产生有效的群签名,不会对群的安全性构成威胁。[14]此外,还有学者提出群签名应当满足前向安全性forward security 。他们 将所有群成员的签名密钥分成离散的时间段,如果某群成员的身份在时间段 i被 公布,则该群成员在时间段 i+1的签名能力将被剥夺,但是其在时间段 i及以前 的签名仍然保持合法且匿名。对于一个群签名,应该满足以上基本的要求。但是,可以设想,要检验某群 签名方案是否一一满足以上的要求是困难的。事实也证明,许多声称安全的群签 - 6 - 硕士学位论文 名方案就是忽视或者没有严格证明其中的某条性质,而导致其不安全,因而 在后 来的研究中被成功地攻击。鉴于这些性质的定义不 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ,有的还互相交叠如性质 [15] 5.6.7,Bellare 等人 在总结前人研究结果的基础上,规范地定义了完全匿名性 full-anonymity和完全可跟踪性full-traceability的概念,包含了 1-7全部 7条性 [10] 质 。但是,由于该定义提出的时间不长,并且定义过于复杂,实际的应用中使 用并不多。 2.2.3群签名方案的效率 [13] 一个群签名方案的效率依赖于以下参数 : 1.群公钥的大小; 2.群签名的长度; 3.群签名算法和验证算法的效率; 4. 创建算法,注册 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 以及打开算法的效率。 2.3群签名的发展 2.3.1发展阶段 [16] 从时间上分,群签名从提出到现在大致经历了三个发展阶段 : [2] 1. 1991年-1997年。 Chaum和Heyst 在1991年提出了群签名的定义和4个实现 [17] 群签名的方案。Chen和Pedersen 提出了几个新的群签名方案,并回答了文献[3] 中提出的一些公开问题,同时首次提出了允许群体增加新成员的群签名方案。此 外,Camenish 在文献[18]中对广义群签名进行了研究。这个时期的群签名方案大 都不能灵活地增加新成员,当需要增加新成员时,必须对群的公开密钥作适当的 修改即必须对外界重新公布群的公钥,且群体的公开密钥长度与签名长度随群 成员人数的增加而成线性增长。因此,这个时期的群签名方案并不适用于实际中 的大群体。 [4] 2. 1997年-2001年。Camenisch和Stadler 于1997年提出了第一个效率相对较 高且适用于大群体的群签名方案(称为CS97方案),他们通过在群签名方案中增 加注册协议,使得群能够灵活地增加新成员,实现了群签名理论发展的第一次飞 跃。从此,群签名的研究进入了一个非常活跃的发展时期,并取得了大量的研究 成果。这个时期的研究更加注重群签名的安全性、效率和实用性,同时也出现了 多个新增的研究方向。有安全高效的群签名方案的研究,有群签名与传统的数字 签名的相互转化的研究,还有群签名的推广方面的研究,如分级多群签名、群盲 签名、多群签名、子群签名等。这个阶段另外一个具有里程碑意义的方案就是 Ateniese等人于2000年在文献[7]中提出的一种安全高效的群签名方案(称为ACJT 群签名方案),这个方案给出了群签名的比较完整的性质,并给出了一个效率较 高的方案。 3. 2001年-现在。在群签名发展的第二个阶段,虽然增加群成员方面的研究 已经取得了很大的成果,但在删除群成员方面的研究仍没有任何突破。直到2001 [18] [4] 年,Bresson和Stern 给出了基于CS97 第二个方案的一个可撤消的群签名 方案, - 7 - 基于离散对数群签名的电子现金系统的研究 群签名的研究才有了突破性的进展。随后,密码工作者又相继提出了几个可撤销 的群签名方案,其中不少方案就是在效率更高的ACJT群签名方案的基础上提出 的,例如文献[20~25]中提出的方案。另一方面,密码工作者对群签名的形式化定 义和提高群签名效率方面做了深入的探讨和研究。 2.3.2各阶段的主要方案 第一阶段提出的主要群签名方案: 1991年,Chaum和Van Heyst在他们的开创性工作文献[2]中不仅给出了群签名 的概念,而且给出了四个群签名方案。在这些方案中,群公钥的长度都与群成员 的个数成线性关系。其中在第一个方案中,每个群成员所能签署的消息个数是固 定的。在前两个方案中,群体不能在初始创建之后接纳新的群成员。有的方案在 打开群签名时需要群管理人和每一个群成员联系。 Camenish在文献[18]中提出了广义群签名的概念,并给出一个有效的方案。该 方案能够提供计算上安全的匿名性,并允许在初始创建之后添加新的群成员或废 除群成员。而且还允许一些群成员集体代表整个群体签名。这个方案还可以推广 到由若干个人分享群管理人的职责的情况。其缺点是群公钥的长度及签名的长度 与群成员的个数成线性关系。 Petersen在文献[25]中给出了把一般的数字签名方案转化为群签名方案的方 法。 Kim等人在文献[26]中,又给出了把群签名方案转化为通常的数字签名方案的 方法。 第二阶段提出的主要群签名方案: Camenish和Stadler在文献[4]中提出了两个群签名方案,被称为CS97方案。在 这两个方案中,群公钥的长度与群成员的个数无关;签名的长度与群成员的个数 无关;增加新的群成员无需更改原有群成员的密钥以及群公钥,因此他们的方案 适用于大的群体。并且签名和验证算法的计算复杂性不依赖于群成员的个数。但 打开算法的效率很低。由于CS97方案中所用的双重离散对数的知识签名及离散对 数的e 次根的知识签名效率很低,导致了这一群签名方案的效率不高。 [27] [4] Camenisch和Michels 于1998年在CS97方案 的基础上提出了一个改进的方 案,被称为 CM98 群签名方案,它的安全性基于强 RSA假设与决定性的 Diffie-Hellman假设,这个群签名方案也能够在不改变群的公开密钥的条件下自由 地增加新成员,且签名长度、签名算法、验证算法与打开算法的计算量均不随群 成员数量的增加而增加。 Traore在文献[28]中提出了一个公钥长度及签名长度都不依赖于群的大小的 签名方案,并用这一方案构造了一个电子现金系统。但其效率不高,实用性很差。 Kim等人在文献[29]中提出了可转换群签名的概念,并给出了一个非交互式的 可转换的群签名的具体方案。 Kim等人在文献[29],Park等人在文献[30,31],Tseng等人在文献[32~34]中 分别提出了一些群签名方案。这些方案的安全性和效率都不够理想。 2000年,Ateniese等在文献[7]中提出了一种安全高效的群签名方案,即 ACJT - 8 - 硕士学位论文 群签名方案。该群签名方案是基于强RSA假设与判定Diffie-Hellman假设的一个高 效的群签名方案。该群签名方案同样可以在不改变群的公开密钥的条件下自由地 增加新成员,并且签名长度,以及签名算法,验证算法与打开算法的计算量均不 随群成员数量的增加而增加,但是该方案没有实现撤销成员。 第三阶段提出的主要群签名方案: [19] [4] 2001年, Bresson和Stern 给出了基于CS97 第二个方案的一个可撤消的群签 名方案。 [20] 2002年,Camenisch和Lysyanskaya 于2002年提出的一种利用动态累加器撤 消匿名证书的方案。 2004年,黄振杰等人在文献[35]提出了一个授权群签名的概念,并给出了一个 具体的授权群签名方案。该文通过在一般群签名上增加一个负责授权的权限管理 员和一个授权过程来达到授权群签名。在所给出的授权群签名方案中,签名人必 须同时使用私钥和授权证书才能签名,因此只能按所授的权限签名,验证人则可 通过权限公开证书对授权进行验证。 2004年,黄振杰等人在文献[36]中提出对文献[37]的改进方案,通过缩短其所 用知识签名的长度,达到缩短签名长度的目的,所提出的改进方案使签名长度缩 短了近一半。 2004年,Nguyen和Safavi-Naini提出了基于双线性对的有效的可证明安全性的 [38] 无陷门群签名方案 ,系统的参数可以被属于不同组织的其他群共享,该方案可 以有效的构造一个可跟踪的群签名方案和身份托管方案。 [10] 2004年,Camenisch和Groth 在ACJT方案的基础上提出了一种新的高效的群 签名方案,该方案实现了成员撤消功能。 2005年,陈泽文等人在文献[22]中利用互素性提出了一种ACJT群签名的的群 成员撤消方案。该方案每撤消一个成员,GM仅需要一次乘法来更新群公钥,签 名和验证的计算量均独立于目前的成员个数和被撤消的成员个数,所以具有较高 的效率。 2.3.3群签名中亟待解决的问题 尽管近几年群签名领域内的研究取得了丰硕的成果,一系列性能良好的方案 被相继提出,同时发展也十分迅速。但是,仍有一些关键问题尚待进一步解决。 [43] 这些问题包括 :1. 大多数群签名方案都还不能灵活的删除成员。虽然迄今为止,不少具备成 员撤消功能的群签名方案被提出,但是该方向的研究仍然只能算是刚刚起步,在 效率和安全性方面还没有取得突破性的进展。 2. 群签名的长度太长,签名过程与验证过程都需要较大的计算量,和群体的 合法成员相关,或者和被撤销的成员相关,导致群签名的效率降低,实用性较差。 3. 有些群签名方案的打开算法的效率很低,在已有的一些群签名方案中,打 开群签名需要群管理员逐个检验群成员的公钥,这对于大的群体来说需要很大的 计算量。 4. 有些群签名方案不能够抵抗联合攻击,甚至有的方案还不能抵抗广义伪造 - 9 - 基于离散对数群签名的电子现金系统的研究 攻击,这样的系统将会对群体利益造成伤害。 2.3.4研究方向 [13] 因此,目前群签名的研究主要存在如下几个方向 : 1. 如何安全有效地删除群成员。即设计有效的删除群成员的方案,使得被删 除成员无法再生成有效的群签名,并且他原来提交的群签名仍具有匿名性和不可 链接性,即他原来的私钥和成员证书不能再用于签名,而且不影响他原来所做的 签名的安全性。解决该问题可以在现有的群签名方案的基础上提出撤消成员的方 案,也可以提出新的具备成员撤消功能的群签名方案。 2. 设计一些新的安全高效的群签名方案。现有的相对安全高效的群签名方案, 基本上都依赖于 RSA 签名体制, Schnorr 签名体制以及离散对数,双重离散对数, 离散对数的方根等等,效率都不是很理想。因此,寻找新的安全高效的群签名算 法是很有必要的。一方面,需要使得签名和公私钥的长度尽量变短,签名、验 证 与打开算法的计算量进一步降低。另一方面,又需要使得这些群签名方案能够抵 抗联合攻击,满足群签名的安全性要求。 3. 如何在电子商务、电子政务等领域更广泛地应用群签名。由于群签名对签 名人能提供好的匿名性,同时群管理人又能在必要的时候打开签名而撤消其匿名 性,所以可广泛地应用于电子商务中的许多方面。只要提高群签名算法的效率, 群签名必然能在电子商务、电子政务领域内进入实际应用。 4. 对与群签名相关的数字签名及其应用的研究。与群签名相关的数字签名及 其应用包括多群签名,分级多群签名,群盲签名等都有很好的实际应用背景,然 而对它们的研究还处于起步阶段。 2.4盲签名与群盲签名 盲签名,顾名思义,指的是签名者对所签名消息的内容一无所知的一种数字 签名方式,不仅如此,它还要求签名者在事后即使看到某个消息以及自己对消息 的签名也不能判断出这是自己何时、何地,为何人所作的签名。同时具有盲签名 和群签名的数字签名我们称为群盲签名,它是群签名的一个重要的研究分支,并 在电子商务活动中有着比较广泛的应用。 2.4.1盲签名定义 1982 年,Chaum 在文献[2]中用一个形象的示例说明了盲签名:签名前,先 把待签文件放入一个带有复写纸的信封中盲化密封。然后,签名人直接在信封 上签名,该签名透过复写纸印到里面的文件上。签名过程中,签名者不能打开信 封,因而签名者无法知道所签文件的真实内容。签名完成后,文件持有人打开信 封脱盲,取出已签名的文件。对于该文件,签名者可以认出自己的签名,即验 证签名的合法性,但却不能将它与自己某次具体的签名行为联系起来。 用户先对待签消息做盲变换得到 m,再让签名者对消息进行签名得到 Sig m。 用户对收到的签名 Sig m进行脱盲变换,最终得到签名者对消息 m的签名 Sig m。 - 10 - 硕士学位论文m m盲变换 签名 Sig m Sigm Sigm 脱 盲[16]图 2.1 群盲签名示意图 2.4.2盲 Schnorr数字签名方案 一般的数字签名都可以比较容易地改造成为盲签名。主要的步骤是接收者在 要签名的信息发送给签名者之前用一个参数对消息作盲化处理。下面是盲 Schnorr [16] 数字签名方案 : x 签名者的私钥是 x,相应的公钥是yg modn。接收者需要签名者对消息 m 进行盲签名。 1. 签名者第一轮: 选择rZ ? q为素数; Rq r 计算tg modn,并将 t发送给接收者。 2. 接收者第二轮: 选择 γ ,δ ? Z ; Rq γδ 计算tt gy modn; 计算 ;cH |m|t 计算 并将它发送给签名者。 cc ? δ modq 3. 签名者第三轮: 计算 的并将它发送给接收者。 sr?cxmodq 4. 接收者第四轮: 计算 。 ss+ γ modq 所得, cs即为对消息 m的签名。 γ δ 整个过程中可以看到,签名者对 c和 s一无所知,因为它们已经被 和 盲化 了。 sc s++ γδ c r?cx+γ+cxδ 进一步,可以验证签名是正确的:gy g y g ytmodn,即 s c cH |m|t H|m|gy。 2.4.3群盲签名 群签名与传统数字签名相比,最大的优点就是能够用来隐藏签名者的身份和 组织的内部结构,但在有的时候我们还希望签名的内容对签名者保密,例如有的 用户从银行取款时是不希望银行知道自己身份的。这就需要在在群签名的基础上 增加一点“盲性”,即群成员对他所签署的消息的内容一无所知,而事后群成员 - 11 - 基于离散对数群签名的电子现金系统的研究 可以像其他人一样验证签名的有效性,但是他无法将这个签名与他具体某次签名 行为相关联。单独具有盲性的数字签名我们称为盲签名,同时具有群签名和盲签 名性质的数字签名,我们称之为群盲签名。 [5] 1998年, A. Lysyanskaya和 Z. Ramzan 首次将群签名和盲签名的概念有机的 结合起来,设计了第一个群盲签名方案??Lys98 方案,并用该群盲签名方案构 造了一个在线的、匿名的电子现金系统。在此之后很多群盲签名方案和基于群盲 签名的应用被提了出来,因为大多数的群签名方案都可以比较容易地改造成群盲 签名;同时,群盲签名的独特性质使得它在电子现金、电子投票等领域中也的确 具有广泛的应用前景。 - 12 - 硕士学位论文 第 3章 基于 ACJT群签名的成员撤销方案 目前的群签名方案中,成员加入和签名两个部分已经比较成熟,并且都能满 足各种安全性的要求,比如匿名性,不可链接性,可跟踪性等等,但是群成员的 撤消问题仍然没有很好的解决方案。从群体中撤消成员本身就是一个十分实际的 问题,例如商务机构中员工的流动性就比较大,银行的客户也随时可能撤消自己 的帐户,所以群签名要应用于实际就需要解决成员撤消的问题。设计有效的删除 群成员的方案,既要使得被删除成员无法再生成有效的群签名,又要保证他原来 提交的签名仍具有匿名性和不可链接性,并且在考虑安全性的同时还需要兼顾算 法的效率,这些使得群签名的成员撤消成为了研究上的一个难题。 3.1已有的成员撤销方案 [19] Bresson和Stern 基于CS97方案提出了第一个具有撤消成员功能的群签名 方案,但该方案要求签名的长度线性依赖于被撤消的成员个数,而且CS97群签名 方案后来被发现存在安全性问题,不能抵抗联合攻击。 [14] [7] 2001年,Song 基于ACJT群签名 提出了两个值得注意的撤消方案,因为除 了实现撤消功能以外,方案还具有前向安全性,且签名长度是定长的,但其验 证 [20] 算法仍然线性依赖被撤消的成员个数。其后,Ateniese等人 提出了另外一个签 名长度独立于撤消成员个数的撤消方案,但其验证算法也线性依赖被撤消的成员 个数,而且其使用了双重离散对数方法,严重增加了签名和验证的计算量。Kim [21] 等人也提出了一种撤消方案 ,但已经被证明存在安全性问题。 [22] 2002年,Camenisch和Lysyanskaya 给出了一个动态累加器,该累加器允许 [7] 动态加入和删除数据。并利用该累加器实现了ACJT群签名 中的成员撤消问题以 [23] 及CL01 的匿名credential系统中的成员撤消问题。改进后的验证算法,在计算量 上仅需增加一个小于2的常数因子。虽然改进后的方案有很多优点,但还存在下述 不足:1 每撤消一个成员,剩余的群成员必须更新自己的证据,而这仍然线性依 赖于被撤消的成员个数;2在累加器中证明一个承诺值所需的计算量很大;3 验 证者要定期查看群公钥;4 群管理员每次撤消成员要经过很多次指数运算来更新 [24] 群公钥 。 [25] 2003年,王尚平等 提出了基于CS97方案成员删除问题的一个新的解决方 案。新方案使用了群组成员秘密特性钥更新算子方法。新方案中当一个成员加入 或被群组删除后,群主管计算并公布群组新的特性公钥及群组成员秘密特性钥更 新算子,群中的每个成员只需要利用公开的更新算子重新计算各自的秘密特性钥, 系统不需要对每个成员更新颁发成员证书。因此,新方案对大的群组是一个可接 受的方案。群组的公开钥、成员的秘密钥及签名的长度都是固定不变的。但是, [26] 2005年,黄振杰等人 对该方案进行了分析,给出在群管理员更换群密钥后,已被 - 13 - 基于离散对数群签名的电子现金系统的研究 删除成员更新其特性密钥、证明其成员资格和产生有效签名的方法,说明该方案是 不安全的,不能真正删除群成员。 [27] 2004年,黄振杰基于 CS97方案[4]提出了一个成员废除的方案 ,该方案利 用公钥状态列表和可信时戳提