论文部分内容阅读
本文研究内容分为二部分,其一是数字签名模型的分类,其二是盲签名、群签名方案的设计及分析。
数字签名在信息安全理论与技术中占有重要地位。人们针对不同的应用背景已经提出了许多数字签名模型。如何区分这些模型并在不同的模型之间建立联系?已有的数字签名模型能够满足众多的实际需求吗?如何发现新的数字签名模型?为了回答这些问题需要对数字签名模型进行分类。在本文第三章,根据签名方的构成及行为能力、验证方的构成及行为能力、消息内容的透明性、公钥产生办法、私钥更新后果把数字签名模型分为五大基类,再细分得到69个子类。对不同子类可以适当进行组合得出各种签名模型。分类结果基本上覆盖了已知各种签名模型,而且指出了可能的新签名模型的位置。该结果还表明盲签名和群签名是两种重要的具有匿名性的签名模型。
本文第二部分主要研究盲签名、群签名方案的分析,并设计一些新的签名方案。2003年,Fischlin[F03]在Cramer—Shoup签名方案[CS00]基础上提出了一个简化方案。本文第四章将在上述方案的基础上作进一步简化,设计一个基于强RSA假设的数字签名方案。存同等规格的模数下,改进方案的效率明显优于F03签名方案,其计算量约是原方案的1/2,并且在ROM模型下证明了它的安全性。新方案把消息作为杂凑函数的一个独立输入项,非常有利于设计自签名方案。
随着电子商务的发展,具有匿名性的数字签名将会大有作为。盲签名[CH82]能够有效地保护签名请求人的隐私,是电子现金方案的一个基本工具[AF96,B93,CH82,OO91,YYC]。现有的盲签名方案几乎都是基于RSA或离散对数问题。在第五章,设计一个基于强RSA假设的盲签名方案并分析其安全性。本文提出的新方案为盲签名方案的设计提供了一个新思路。
局部盲签名[AF96]允许签名人和请求人把事先商定好的信息嵌入到盲签名中,这部分信息是公开的,不需要盲化。在电子现金方案中利用局部盲签名能够有效解决银行数据库迅速膨胀问题。局部盲签名方案设计难点在于如何把公开信息嵌入盲签名。为了解决这一问题,现有的方案几乎都是基于离散对数问题,仿照Schnorr数字签名把公开信息作为杂凑函数的一个独立输入项。本文第五章利用先前提供的技巧,设计一个基于强RSA假设的局部盲签名方案,并分析其安全性。
为了减轻用户因私钥暴露造成的损失,Anderson[A97]提出了前向安全数字签名方案。这种方案能保证签名人的私钥不断地更新,但相应的公钥却变化较少,增强了系统的稳定性,降低了系统维护成本。由于在设计前向安全盲签名方案时很难兼顾前向安全性及匿名性,因此,几乎没有文献涉及这个模型。在本文第五章,改进了Zheng[Z01]提出的一个基于高次剩余的数字签名方案,并利用改进方案设计一个前向安全盲签名方案。
在第五章余下部分,分析了Zhang-Kim[ZK02]基于身份的盲签名方案,证明它不具有匿名性。这一方案首次尝试利用双线性技巧来设计盲签名,其提供的盲化过程未能凑效。利用该方案中的线性盲因子以及双线性映射的特征建立了一个等式,从而追踪出请求人的身份。文[TLT]首次给出了一个代理盲签名方案,本文的分析结果[CL06]表明签名中的孤悬因子破坏了安全性。Duc等人[DCK]在2003年最早提出了一个前向安全盲签名方案,[CL06]首次证实该方案是不安全的。
群签名[CH91]允许群成员代表整个群体签名。给定一个群签名,验证者可以验证群签名的有效性,但无法确认是哪个成员作出了签名,甚至无法判定两个群签名是否是由同一个成员产生的。但在必要时,群权威能够追查出成员身份。群签名保护了签名人的隐私,又能有效地防范不法之徒滥用群签名,在电子政务和电子商务活动中将会获得广泛应用[C98,CG02,CM96,CT03,J99,L98,MB01,SM00]。本文第六章分析Kim-Park—Won、Tseng—Jan、TJI、Kim—Lim—Lee、Xia-Yuo、Wang-Fu、ZWW、Deng-Zhao、BS04、BBS群签名方案,证明这些方案是不安全的。从中总结出两个有用的技巧--随机扰动法、指数分析法,为群签名方案的设计与分析提供了理论指导。前者是指在保证签名验证方程成立的前提下,对某些签名数据作适当的随机变换使得追踪方程不成立。后者是指在固定底数的情况下,为了消除指数位置上的挑战值,对相应的指数进行分析逐步推出各个指数应具有的表达式。
[LL97,WHL,LWY]曾指出Kim-Park-Won方案存在许多缺陷,本文分析后得出了一个十分意外的结果,该方案的追踪方程竟然是无效的。[W03]证明TJI方案是可以伪造的、成员能够伪造密钥。本文利用随机扰动法给出了一种更简单的攻击。[W03,ZK02,ZWW]证明Xia-Yuo方案是不安全的。[W03]给出的伪造方法需要选取6个随机数,利用指数分析法给出的攻击只需选取5个随机数。还利用随机扰动法给出一个更简单的攻击。利用随机扰动法,[LC05]首次证明了Wang—Fu方案是不可追踪的。[W04]指出在一些假设下ZWW方案是可以伪造的、可联系的。[CAO]利用随机扰动法给出了一种更简单的攻击。Deng-Zhao群签名方案利用了双线性映射,[CCL]证明该方案是不安全的。BS04与BBS方案影响较大,但本文发现方案中设置的主密钥与群签名的安全性要求是矛盾的。本章中关于Wang-Fu、Deng-Zhao、BS04以及BBS群签名方案的分析均为首次获得的结果。