一类特殊数字签名体制及应用研究.doc

1、一类特殊数字签名体制及应用研究1、项目研究意义数字签名技术是信息安全的核心技术之一。数字签名在身份认证、数据完整性和不可否认性等方面有重要应用，它是电子商务得以开展的基本支撑技术。作为重要的数字证据，美国、新加坡、日本、韩国、欧盟等电子商务开展得较早的国家和地区都相继通过法案赋予数字签名法律效力，我国为了适应电子商务、电子政务发展的需要，保障电子商务交易安全，维护有关各方的合法权益，全国人大也于2004年8月通过了中华人民共和国电子签名法，并从2005年4月1日起正式实施。由于数字签名具有十分重要的意义，自从1976 年被提出以来，数字签名就一直受到各国学者的广泛关注和研究，已取得了大量的研究

2、成果，典型的一般数字签名方案包括基于大整数分解困难性的RSA签名、Rabin签名和基于离散对数困难性的ElGamal签名、 Schnorr签名、DSS签名和Ghost 签名等以及它们在椭圆曲线、超椭圆曲线和XTR公钥体制上的推广。随着电子商务、电子政务的快速发展，简单模拟手写签名的一般数字签名已不能完全满足需要， 特殊的应用环境需要具有特殊性质的数字签名技术，因此近年来提出了许多具有特殊性质或特殊功能的数字签名， 如适用于电子现金和电子钱包的盲签名、适用于多人共同签署文件的多重签名、只有签名人和另一个指定的人才能验证签名有效性的有向签名以及门限签名、不可传递签名、防失败签名等等。本项目主要匿名

3、签名技术及其在电子投票、电子支付、电子拍卖等电子商务中的应用。将在 XTR 环境下考虑匿名签名的效率改进问题，构造相关无条件匿名签名方案；将对群签名中成员撤消这一难题在既有的研究基础上进行更深入的探讨，构造相应的群签名方案；将利用群签名等技术设计相应的能实现公平性和保护参与者隐私的电子支付方案并建立相应的实验平台。匿名签名技术在保证电子商务的公平性方面有无法替代的作用，具有特殊性质的数字签名技术可被广泛地用于网络取证、安全认证、公平性和隐私保护等领域，深入开展数字签名技术以及各种特殊数字签名技术在电子商务中的应用研究有助于推动电子商务的健康持续发展，也有助于预防和打击利用互联网进行的各种形式的

4、经济犯罪。当前，我国的网络支付、安全认证等系统和电子商务的立法有待完善，数字签名法刚刚开始实施，本项目的研究对我国及我省电子商务及电子政务的顺利开展具有一定的现实意义。2、项目研究目标及与申请者研究工作长期目标的关系研究目标提出基于 XTR 的无条件匿名签名和门限签名算法。对群签名中的撤消问题在已经取得的成果基础上进行优化，设计基于身份和自证明（Self-certificated）公钥的签名方案。设计基于群签名技术的电子交易系统实验平台，保证交易的公平性、不可否认性以及用户隐私。对群签名的扩展概念可追踪签名进行新的形式化定义和安全性抽象，提出满足条件的新的可追踪签名算法。与申请者研究工作长期目

5、标的关系项目申请主持者近年来一直在从事密码学与电子商务中的安全技术研究，先后完成了国家基金项目中的匿名控制技术、电子投票中的安全协议设计等。具有特殊性质的数字签名特别是匿名签名技术在上述任务中均有涉及，因而申请者已经做了一部分工作，发表了多篇有关匿名签名的文章，并进而有了今天申请单独立项研究的想法。申请者下一步的工作将对各种形式的特殊数字签名技术如指名签名、代理签名等进行更广泛的研究。3、项目研究内容，研究方案和进度安排研究内容：1，对无条件匿名签名算法的效率进行改进。现有的无条件匿名签名算法在计算量和通信量方面存在严重不足。如适合任意接入结构的环签名的签名长度往往与集合的大小成正比；标准模型

6、下的高效无条件匿名的签名方案的构建有待于深入研究等等。我们打算从 XTR 体制入手，讨论环签名及门限环签名算法效率改进问题。新近提出的 XTR 和广义 XTR 体制是一种非常有吸引力的新的公钥密码体制，与目前实用的 RSA 和 ECC 公钥密码体制相比较，同等安全程度的 XTR 体制的实现在计算、密钥存储和通信方面的要求和 ECC 基本相同，但 XTR 的密钥生成要比 ECC 快的多，迹的计算也比点的标量乘运算要快。我们计划把其他体制下的一些环签名算法推广到该体制下，并分析相应算法的效率的改进情况。这种推广不是平凡的。2，研究群签名中的成员撤消问题和基于身份的、基于自证明公钥的群签名，设计新的

7、能方便撤消成员的群签名方案。群签名中有很多问题值得关注，我们把研究的重点集中在成员撤消上和基于身份的群签名上。目前的群签名算法不能安全有效地撤消群成员，如撤消群成员需更改群公钥或所有成员的密钥。我们已经利用诚实验证者零知识证明理论在这方面取得一定的研究进展，并在国际会议上进行了交流，我们打算利用基于身份的技术、自证明公钥技术等继续深化我们的研究结果，以便有更好的研究成果。3， 研究匿名签名算法在公平性、隐私保护方面的应用，提出若干电子投标、电子支付方案并构建相应的实验平台。匿名签名技术已经在电子商务中被广泛地用来实现电子商务的公平性和对消费者进行隐私保护，如何根据电子拍卖，电子投票等具体应用目

8、的和实现环境，利用匿名签名等技术构建相应的实现平台，提高运行效率并降低成本，是匿名技术成功应用的关键。以电子拍卖为例，要求方案能够保证实现匿名竞标和投标价保密，如何根据不同的拍卖（如组合拍卖、M+1 价位拍卖）的具体要求，在保证安全的情况下，提高计算和通信效率，减少拍卖的通讯时间，降低通信费用，仍需要做进一步的研究工作。我们将对目前已采用的方案和我们新设计的方案进行比较和对比，根据具体的匿名需求环境，特别是电子拍卖系统进行深入研究，设计更适用的新的匿名控制方案，并结合 MIXnets 技术构建相应实验平台进行模拟验证。4，对群签名的概念进行拓展，并构造相应的拓展后的签名算法。最近有人25 对群

9、签名的概念进行了拓展，提出了可追踪签名的概念，并构造了一个方案。这一概念和现实更接近，但目前这一概念在定义和安全性表述上还需要更进一步的深化，相关高效率的方案尚没有提出来。我们打算跟进相关研究。研究方法与技术路线、及关键技术说明研究方法以理论分析和试验仿真相结合，对其中的安全算法和采用标准的安全证明和形式化分析软件测试。对无条件匿名签名的研究将重点从 XTR 体制入手，着重于其它体制下算法在该体制下的实现与效率比较。对群签名成员撤消将从基于身份的和自证明公钥体制入手，在我们已经取得的成果上进行参数与性能优化。对匿名签名技术在电子商务中的应用研究将以电子拍卖系统为实例，结合MIXnets 构建相

10、应的实验平台。对相关算法和协议进行形式化分析与模拟。在文献25的拓展基础上，对群签名的拓展进行讨论和安全性分析，提出改进意见并构造相关算法。在研究过程中，我们将努力加强与国内外学术界的交流与合作，多参加国际、国内高水平的相关学术会议。年度研究计划第一阶段工作（2005.10-2006.3）收集整理有关资料，并进行分析和研究，给出匿名签名的研究综述报告。研究可追踪签名的模型框架，应用场合。第二阶段工作（2006.4-2007.1）研究 XTR 下环签名实现与效率改进分析；研究群签名中成员撤消算法 ， 短群签名算法。第三阶段工作（2007.2-2007.10）综合应用群签名技术和 MIXnets

11、技术构建电子拍卖的实验平台。可追踪签名的新方案设计和效率分析。第四阶段工作（2007.11-2008.5）探讨利用安全多方计算技术限制可信赖第三方参与程度及弱化对第三方信赖的办法，以便限制可追踪签名和群签名中的管理员权限。相关算法的完善，实验分析。第五阶段工作（2008.6-2008.12）完成本申请项目的所有研究工作。提交项目总结报告。4、项目创新之处（1）具有特殊性质的数字签名技术的研究近年来一直是信息安全领域最活跃的一个研究分支。1982 年 Chaum 引入了盲签名，Itakura 和 Nakamura 引入了多重签名，1989 年 Chaum 和 Antwerpen 引入了不可否认签

12、名， Even Goldreich 和 Micali引入了在线/离线签名，Fiat 引入了批签名，De Soete， Quisquater 和 Vedder 引入了共享验证签名，1991 年 Desmedty 和 Frankely 引入了门限签名，Chaum 和Heyst 引入了群签名，Pfitzmann 和 Waidner 引入了防失败签名， 1992 年Goldwasse 和 Ostrovsky 引入了不变签名，Lim 和 Lee 引入了有向签名，Nyberg 和 Rueppel 引入的消息恢复签名，1994 年 Chaum 引入了指定证实人签名，1996 年 Kim， Park 和 Wo

13、n 引入了指名签名， Mambo，Usuda 和Okamoto 引入了代理签名，1997 年 Zheng 引入了签密， Jakobasson 和 Yung 引入了魔术墨水签名，2000 年 Rivest 引入了同态签名和集合签名，Krawczyk 和Rabin 引入了变色龙签名，2001 年 Rivest，Shamir 和 Tauman 引入了环签名，2002 年 Micali 和 Rivest 引入了传递签名，Lee 和 Kim 引入了自证明签名，2003 年 Boneh，Gentry， Lynn 和 Shacham 引入了可验证加密签名， 2004 年，Liquan Chen 等引入了并发

14、签名等等。（2）匿名签名技术在保证电子商务的公平性方面有无法替代的作用，本课题所讨论的几个方向是目前国内外关注的焦点。公平性是电子商务得以实施的基础前提。在不同的场合，公平性有着不同的含义：如在电子拍卖中，公平性是指投标者在投标前出于同等的地位，获得相同的拍卖信息。所有参与竞争投标者的竞买资格平等，竞买机会均等，竞买规则相同。在电子现金中，公平性指的是电子现金匿名的可控制性。对诚实的用户，购买信息隐私得到保护，而非法交易者的信息则可在托管者的帮助下实现追踪。在电子投票中，公平性指的是任何人都不能影响或改动选举结果。投票者可按照自己的意愿自由投票，不存在买卖选票或强迫选举等行为。对匿名签名方案的

15、研究包括无条件匿名签名和可追踪签名人身份的匿名签名（群签名）两个方面。匿名签名技术在保证电子商务的公平性和隐私保护等方面有无法替代的作用，已经被广泛应用于电子拍卖、电子投标、电子现金等电子商务领域，如 A. Lysyanskaya 和 Z. Ramzan 利用群盲签名方案给出了一种防止敲诈的电子现金方案，Khanh Quoc 等利用群签名和可验证群签名技术提出了一个在线的能实现不可伪造性、可证实性、投标者匿名和不可跟踪性的安全开放式拍卖方案等等。无条件匿名签名又称 1/n 签名。Rivest 等人于 2001 年在亚密会首次提出环签名是一种新的无条件匿名签名形式，M. Abe， M. Ohku

16、bo 等给出了一个简单高效的环签名，该签名支持 RSA 体制，ElGamal 体制以及混合情况，并证明了在随机预言模型下该签名体制的安全性。Zhang 等利用椭圆曲线中的双线性对给出了一个基于身份的环签名方案。可以证明该方案满足前述的环签名的安全性要求。Bresson，Stern 等在 2002 年仅利用 Hash 函数实现了环签名，并以此为基础给出了一个基于 RSA 的 门限环签名方案，但产生和验证签名时计),(nt算量太大，签名长度过长。Javier Herranz 等在 2005 年给出了群体中某个子集合产生的环签名方案，且签名长度不依赖子集合个数。目前普通环签名的长度已经可以实现不依赖

17、匿名集的大小，但门限环签名等还无法达到这一结果，环签名效率问题依然是关注的焦点。近几年群签名方面的研究取得了丰富的成果。1997年Camenish 和Stadler 首次提出了群公钥的长度和群签名的长度均与群成员的个数无关的ACJT群签名方案，此后群签名的研究逐渐升温，最主要的有1998年Camenish和Michels提出的基于RSA 的更高效的群签名方案；1999年Traore提出一个高效的群签名方案，并将其用于构造离线电子现金系统；Tseng 和Jan提出一个使用自证明公钥的群签名方案；Ateniese ，Joye 和Tsudik 讨论了群签名中联合攻击的问题。2000年除了Atenie

18、se 等开始研究群签名的安全性证明外，Bresson 和Stern 与Kim， Lim 和 Lee 各自提出一个群成员废除方案。2001年 Song提出一个前向安全的群签名方案。2002年Lyuu 和Wu 提出了可转换群不可否认签名方案。2003年Ateniese 和Medeiros提出一个无陷门群签名方案。 2004年先是Boneh ，Boyen和Shacham提出一个短群签名方案，其签名长度与普通的RSA 签名差不多长，并且在随机预言机模型下是可证明安全的。群签名的研究主要关心如下几个问题: 1.群公钥的长度； 2.群签名的长度；3.方案的效率，包括系统建立、签名、验证、打开、增加和废除成

19、员等过程；4.群成员的增加与废除；5.抗联合攻击；6.可证明安全性；7.对群管理员的依赖；8.扩展功能。从1991年自今，经过十多年的努力，就上述1-7等单独或几个方面都已有群方案能够达到较满意的程度，但至今还没有能同时达到这几个方面要求方案， Boneh， Boyen和Shacham 的短群签名方案是个比较好的方案，但它是基于双线性对的，其效率并不高。为了群签名能够实用还需要在效率、安全性和功能扩展等方面进行进一步的研究。目前在这一领域大家关注的问题如下：1) 如何安全有效地撤消群成员。即如何设计一个撤消群成员的方法，使得某个群成员被撤消后，他拥有的私钥和成员证书不能再用于签名，而且不影响他

20、原来所做的签名的安全性。2) 可证明安全的群签名方案的研究。现有的可证明安全的群签名方案基本上都是源于 ACJT 方案，而 ACJT 方案的效率并不高。因此，如何提出一个高效的可证明安全的群签名方案仍然是一个公开问题。3) 寻找一些安全高效的新的群签名算法。现有的相对安全高效的群签名方案，基本上都依赖于 RSA 签名体制，Schnorr 签名体制以及离散对数，双重离散对数，离散对数的方根，有限循环群中元素的表示，某一秘密数值在一指定的区间内等知识签名，效率都不是很理想。因此，寻找新的安全高效的群签名算法是很有必要的。4) 如何在电子商务等领域更广泛地应用群签名。由于群签名对签名人能提供好的匿名

21、性，同时又使群管理人在必要的时候可以打开签名而撤消匿名性，所以可广泛地应用于电子商务中的许多方面。但目前关于群签名在电子商务等领域的应用的研究还远远不够。5) 对与群签名相关的数字签名及其应用的研究。与群签名相关的数字签名及其应用的研究还很不够。分级多群签名，群盲签名，多群签名等都有实际应用背景，然而对它们的研究才处于起步阶段。6）群签名系统中密钥管理问题的研究。在 2001 年，Dwan Song 通过把整个私钥的生命期分割成多个离散的时间片段，提出了一种称为前向安全的群签名来解决密钥泄露问题，但在群签名密钥管理方面仍有很多工作等待开展，如吊销证书的管理问题。7）基于ID和自证明公钥的群签名

22、方案的研究。近年来，基于ID 的密码系统越来越引起人们的关注，不同的基于ID的签名方案也相应被提出。但到目前为止，几乎所有的基于ID的群签名方案都被指出存在一些安全缺陷，如Lee 和Chang基于离散对数给出了一种群签名方案，但不久该方案被指出具有相关性。在2000年，Constantin Popescu 给出了一种基于ID的改进Tseng-Jan群签名，但改进后的方案仍然具有相关性和广义伪造性，即任何可以对任意消息进行签名，并且群管理员不能追踪伪造者的身份。（3）本课题注重理论研究与实际应用相结合，将利用匿名签名技术构建电子交易系统实验平台。本课题将综合利用匿名签名和 MIXnets 技术，

23、构建拍卖系统的实验平台，对有关公平性和隐私保护的实现情况进行分析和实验，对有关通信的效率进行现场测试，为该技术的推广应用做好可行性分析。5、工作基础与工作条件本项目研究工作积累：仅申请主持者一人在特殊数字签名方面取得的研究成果已经有十余篇被SCI 和 EI 收录，典型的研究成果如下：在 XTR 体制下，分别构造了一类 schnorr 签名、一个环签名和群盲签名算法；对签名中的密钥泄露问题，给出了一个完善的强 key-insulated 签名方案。为ACJT群签名增加了成员撤消功能。在保证安全性的条件下，给出了一个高效的撤消方案。使得签名和验证的计算量与成员个数和被撤消的成员数无关。利用群签名和

24、环签名的思想，构造了一个类群签名方案，该方案在实现匿名追踪方面具有灵活性。已经具备的研究支撑条件：研究队伍：近年来，项目组成员承担或参加了多项国家自然科学基金、国家八六三研究发展计划、国防预研等国家级项目。项目组的主要研究领域涉及网络协同计算与信息安全。其中在信息安全研究方面，已经在国内外重要学术期刊上发表了几十篇相关学术论文。申请主持人，1965 年生，教授，博士和博士后均从事密码学与电子商务的安全技术研究。先后作为主要参与人（排名第二或第三）参与了三项国家自然科学基金项目和一项 973 项目的子项目的研究工作，在国内外重要学术会议和电子学报 、 计算机学报 、 软件学报 、 通信学报等学术

25、杂志发表专业论文 20 多篇。有多篇被 SCI 和 EI 收录。成员一，1951 年生，教授、博士生导师，中国高等院校电子商务专业建设协作组秘书长、副组长，教育部学科发展与专业设置专家委员会委员。并担任IEEE International Conference on Electronic Commerce 等多个国际会议的程序委员会委员。以及中国电子商务年鉴人才培养篇主编等职。曾获多项国家级和部级科技奖励。其他成员均是本专业博士生和硕士生，平均年龄不到30岁，年轻而富于创新，能即时获取本研究领域国内外的最新进展，有能力承担相应科研任务，已经在多个科研项目上进行过合作研究。该项目的实施在人力上能

26、得到充分保证。实验条件：本课题的研究将以浙江大学计算机学院为依托，课题组有足够的研究场地，硬件环境良好。资料条件：有关资料较为齐全。课题组将重视与国内外的学术交流，资料将不断补充。6、预期研究结果及其利用研究结果的计划和今后发展的思路预期研究结果研究成果将以高质量研究论文、研究著作和原型系统的形式提供，并完成相应的算法模拟、软件实现的技术报告和最终研究报告。预期在国内一级学报或国际刊物发表论文 6 篇以上。主要成果包括：基于 XTR 体制给出相关高效匿名签名算法；进一步深化的群签名的研究成果；利用匿名签名技术构建的电子拍卖系统实验平台；相关算法的软件包。利用研究结果的计划和今后发展的思路具有特

27、殊性质的数字签名技术将有助于降低现有电子商务系统中的信任风险和隐私保护，各种签名技术与网上信赖关系的构建对电子交易行为提供密码学意义上的诚实性证据。申请者下一步打算就更多的特殊签名技术如指名签名、代理签名等进行更深入的研究，项目申请者热切希望能得到更进一步的乃至国家基金的研究支持。7、参考文献1 R. L. Rivest, A. Shamir, Y. Tauman. “How to leak a secret,” In Proc. of Asiacrypt2001, LNCS 2248, Springer-Verlag, 2001, 552-565.2 Bresson, Stern, Szyd

28、lo. “Threshold ring signatures for ad-hoc groups,” Cryptology-2002. LNCS 2442, Springer-Verlag, 2002, 465-480.3 Fangguo Zhang , Kwangjo Kim. “ID-based blind signature and ring signature from pairings,” Asiacrypt 2002, LNCS 2501, Springer-Verlag, Berlin Heidelberg, 2002, 533-547.4 Markus Jakobsson, A

29、ri Juels, Ronald L. Rivest, “Making mix nets robust for electronic voting by randomized partial checking,” Available at www.usenix.org/events/sec02/jakobsson.html 5 Paterson K G. ID-based signatures from pairings on elliptic curves. Electronic Letters, 2002, 38(18): 1025-1026.6 Saeednia S. An identi

30、ty-based society oriented signature scheme with anonymous signers. Information Processing Letters, 2002, 83: 295299.7 Bellare M, Namprempre C and Neven G. Security proofs for identity-based identification andsignature schemes. Advances in Cryptology - EUROCRYPT 2004, LNCS 3027, Springer -Verlag, Ber

31、lin, 2004, pp. 268286.8 Kurosawa K and Heng S. From digital signature to ID-based identification /signature. PKC04, LNCS 2947, Springer-Verlag, Berlin, 2004, pp.248-261.9 Camenisch J, Stadler M. Efficient group signature schemes for large groups. Advances in Cryptology CRYPTO 97, Lecture Notes in Co

32、mputer Science,Vol. 1294, Springer-Verlag, Berlin, 1997, pp. 410-424.10 Camenisch J and Lysyanskaya A. Dynamic accumulators and application to efficient revocation of anonymous credentials. Advances in Cryptology CRYPTO 2002, LNCS 2442, Springer- Verlag, Berlin, 2002, pp. 61-76.11 Song D. Practical

33、forward secure group signature schemes. Proc. of the 8th ACM Conference on Computer and Communications Security (CCS 2001), pp. 225-234. ACM, 2001.12 Ateniese G and Medeiros B. Efficient group signatures without trapdoors. Advances in Cryptology ASIACRYPT 2003, LNCS 2894, Springer- Verlag, Berlin, 2

34、003, pp. 246-268.13 Bellare M, Micciancio D, Warinschi B. Foundations of group signatures: formal definitions, simplified requirements, and a construction based on general assumptions. Advances in Cryptology EUROCRYPT 2003, LNCS 2656, Springer- Verlag, Berlin, 2003, pp. 614-629. 14 Bellare M, Shi H,

35、 Zhang C. Foundations of group signatures: the case of dynamic groups. http:/eprint.iacr.org/2004/077.15 Boneh D, Boyen X, Shacham H, Short group signatures, Advances in Cryptology CRYPTO2004, LNCS 3152, Springer-Verlag, Berlin, 2004, pp.415516 Miyaji A and Umeda K. A fully-functional group signatur

36、e scheme over only known-order group. Applied Cryptography and Network Security (ACNS 2004), LNCS 3089, Springer-Verlag, Berlin, 2004, pp. 164-179. 17 Galbraith S and Mao W. Invisibility and anonymity of undeniable and confirmer signatures. Topics in Cryptology CT-RSA 2003, LNCS 2612, Springer-Verla

37、g, Berlin, 2003, pp. 8097.18 Libert B, Quisquater J. Identity based undeniable signatures. Topics in Cryptology - CT-RSA2004, LNCS 2964, Springer-Verlag, Berlin, 2004, pp.112-125.19 Lyuu Y, Wu M. Convertible group undeniable signatures. Information Security and Cryptology ICISC 2002, LNCS 2587, Spri

38、nger-Verlag, Berlin, 2003, pp.48-61.20 Steinfeld R, Wang H, Pieprzyk J. Efficient extension of standard Schnorr/RSA signatures into universal designated-verifier signatures. PKC 2004, LNCS 2947, Springer-Verlag, Berlin, 2004, pp. 86-100.21 Zhang J, Wu Q, Wang J et al. An improved nominative proxy si

39、gnature scheme for mobile communication. AINA2004, pp.234-239, 2004.22 Libert B, Quisquater J. The exact security of an identity based signature and its applications. http:/www.iacr.org/2004/102.23 M. Abe, M. Ohkubo, and K. Suzuki. “1-out of-n signatures from a variety of keys,” Asiacrypt 2002,LNCS 2001, Springer-Verlag Berlin Heidelberg, 2002, 415-423.24Bresson, Stern, Szydlo. “Threshold ring signatures for ad-hoc groups,” Cryptology-2002. LNCS 2442, Springer-Verlag, 2002, 465-480. 25 Aggelos Kiayias, Yiannis Tsiounis, Moti Yung, Traceable Signatures, http:/www.eprint.org, 2005-4-20