技術領域

本發明涉及信息安全領域。特別的，本發明涉及一種無密鑰泄 漏的變色龍數字簽名生成和驗證的系統。

背景技術

數字簽名是一種基本的信息安全技術，在身份認證、數據完整 性、不可否認性以及匿名性等方面有重要應用，特別是在網絡安全 通信中的密鑰分配，認證以及電子商務、電子政務等系統中具有重 要的作用。數字簽名是實現認證的重要工具。

數字簽名的生成和驗證需要簽名者的簽名私鑰和驗證公鑰。簽 名者的簽名私鑰是僅被簽名者知曉的。簽名者的驗證公鑰則是公開 的。數字簽名的生成需要使用簽名者的簽名私鑰和被簽名的數字內 容。數字簽名的驗證則是使用驗證公鑰來確認簽名者擁有對應的簽 名私鑰。數字簽名的安全性要求數字簽名應是不可偽造的，即沒有 簽名私鑰的任何人或者設備都不能偽造一個數字簽名。簽名私鑰具 有唯一標志簽名者身份的重要作用，數字簽名不應泄漏簽名私鑰的 有用信息。

普通的數字簽名具有廣義可驗證性，即任何人都可驗證某個簽 名是否是對某個特定消息的簽名。這個特性在一些情況下是有很用 的，比如公開宣傳品的發布。但是在很多其他應用中，特別是為了 保護簽名者或接收者的隱私時，并不希望讓所有人都能驗證消息/ 簽名對。這就產生了數字簽名體制中廣義可驗證性和隱私性之間的 矛盾。例如，某個簽名者簽署了一份標書去投標，標書的標價通常屬 于隱私信息，此時這個簽名者就希望其簽名不要公開驗證，否則其競 爭者就可以通過其標書來確認某個標價確實屬于該簽名者，以至于會 在與該簽名者以后的競爭中處于有利地位。還有許多其他的例子凸 顯了上述矛盾，為此需要設計特殊的數字簽名來解決問題。

Chaum和Van?Antwerpen提出了不可否認簽名來解決上述問 題。由于簽名的驗證必須通過簽名者的合作才能完成，所以簽名不 滿足廣義可驗證性。更進一步，簽名者可以決定簽名只有在某種條 件下才能被驗證或只能被某個特定的實體所驗證。

Krawcayk和Rabin提出了變色龍簽名來更有效的解決上述問 題。變色龍簽名基于標準的數字簽名生成方法，即：先哈希再簽 名。其中變色龍哈希函數被用來計算消息哈希值。變色龍哈希函數 是一種單向陷門哈希函數，陷門信息的擁有者可以有效地計算出一 個隨機輸入的碰撞；而在沒有陷門信息的情況下，函數是抗碰撞 的。變色龍簽名像不可否認簽名一樣可以同時提供不可否認性和不 可傳遞性，但是相對于后者，前者可以更簡單、更高效的實現。更 精確的來說，變色龍簽名是非交互的，并且不涉及復雜的零知識證 明，而這是傳統的不可否認簽名實現的基礎。雖然存在非交互式的 不可否認簽名，但變色龍簽名的實現更為簡單。

在最初所設計的一些變色龍簽名方案中，如果驗證者偽造簽 名，而簽名者得到了偽造簽名，簽名者就可以利用此變色龍哈希函 數的碰撞計算出驗證者的私鑰，造成驗證者密鑰泄漏。這一特性雖 然可以有效防止驗證者偽造簽名，但是第三方可能因為相信驗證者 不敢冒著私鑰泄露的危險來偽造簽名，進而相信某個簽名確實是簽名 者所簽署的，從而削弱了簽名的不可傳遞性。

陳曉峰等人基于雙線性對提出了第一個完全的無密鑰泄漏的變 色龍哈希函數，新方案很好的解決了這一問題。隨后，Ateniese等人 提出了更多基于不同假設的無密鑰泄露變色龍哈希函數。Ateniese等 人指出傳統的單陷門的承諾方案無法用來構造無密鑰泄露的變色龍 哈希函數；只有雙陷門的承諾方案可以用來設計無密鑰的變色龍哈 希函數或基于身份的變色龍哈希函數。

然而目前基于離散對數體制的無密鑰泄漏的變色龍簽名方案都 是基于所謂的間隙Diffie-Hellman群來構造，需要進行計算復雜度較 高的雙線性對的運算，所設計的簽名方案效率較低。而且間隙 Diffie-Hellman群是一種特殊的群結構，該群上的判定性 Diffie-Hellman問題是容易的，安全假設比較強。而目前大多數循環 群如一般有限域上的乘法群都不是間隙Diffie-Hellman群，所以目前 的變色龍簽名方案適用范圍窄。因此如果能夠基于判定性 Diffie-Hellman問題困難的循環群來設計無密鑰泄漏的變色龍簽名方 案，就可以使得設計的方案基于比較弱的安全假設，會有較大的適用 范圍，較好的效率。