2025/8/1317.5其他專用數(shù)字簽名方案針對實際應用中大量特殊場合的簽名需要，數(shù)字簽名領(lǐng)域也轉(zhuǎn)向了針對特殊簽名的廣泛研究階段。（1）盲簽名用戶需要讓簽名者對明文消息文件進行數(shù)字簽名，而又不希望簽名者知曉明文消息文件的具體內(nèi)容，這就需要盲數(shù)字簽名，簡稱盲簽名(BlindSignature)。盲簽名是一種特殊的數(shù)字簽名方法，相對于一般的數(shù)字簽名而言還應當具有下列2個特性：

①盲性：所簽消息的內(nèi)容對簽名人是盲的，即簽名人簽名時不能看見消息的具體內(nèi)容；

②不可追蹤性：即使在盲簽名公開后，簽名者仍然不能跟蹤消息-簽名對，即不能把簽名和其在簽名時的看到的信息聯(lián)系起來。

盲簽名主要用于基于Internet的匿名金融交易，如匿名電子現(xiàn)金支付系統(tǒng)、匿名電子拍賣系統(tǒng)等應用中。2025/8/132

（2）門限簽名：在有n個成員的群體中，至少有t個成員才能代表群體對文件進行有效的數(shù)字簽名。

門限簽名通過共享密鑰方法實現(xiàn)，它將密鑰分為n份，只有當將超過t份的子密鑰組合在一起時才能重構(gòu)出密鑰。門限簽名在密鑰托管技術(shù)中得到了很好的應用，某人的私鑰由政府的n個部門托管，當其中超過t個部門決定對其實行監(jiān)聽時，便可重構(gòu)密鑰，實現(xiàn)監(jiān)聽。（3）代理簽名1996年，Mambo、Usuda和Okamoto提出了代理簽名的概念。代理簽名允許密鑰持有者授權(quán)給第三方，獲得授權(quán)的第三方能夠代表簽名持有者進行數(shù)字簽名。代理簽名相當于一個人把自己的印章托付給自己信賴的人，讓他代替自己行使權(quán)力。由于代理簽名在實際應用中起著重要作用，所以代理簽名一提出便受到關(guān)注，被廣泛研究。2025/8/133（4）群簽名允許一個群體中的成員以整個群體的名義進行數(shù)字簽名，并且驗證者能夠確認簽名者的身份。一個好的群簽名方案應滿足以下的安全性要求：

①匿名性，給定一個群簽名后，對除了唯一的群管理人之外的任何人來說，確定簽名人的身份在計算上是不可行的；

②不關(guān)聯(lián)性，在不打開簽名的情況下，確定兩個不同的簽名是否為同一個群成員所做在計算上是困難的；

③防偽造性，只有群成員才能產(chǎn)生有效的群簽名；

④可跟蹤性，群管理人在必要時可以打開一個簽名以確定出簽名人的身份，而且簽名人不能阻止一個合法簽名的打開；2025/8/134

⑤防陷害攻擊，包括群管理人在內(nèi)的任何人都不能以其他群成員的名義產(chǎn)生合法的群簽名；

⑥抗聯(lián)合攻擊，即使一些群成員串通在一起也不能產(chǎn)生一個合法的不能被跟蹤的群簽名。在D.Chaum和E.vanHeyst提出群數(shù)字簽名的定義，并給出了四個實現(xiàn)方案后，由于群簽名的實用性，人們對群簽名加以了更加廣泛的研究。提出了分級多群簽名、群盲簽名、多群簽名、滿足門限性質(zhì)的群簽名、前向安全的群簽名等。2025/8/135（5）前向安全的數(shù)字簽名方案

普通數(shù)字簽名具有如下局限性：若簽名者的密鑰被泄漏，那么這個簽名者所有的簽名(過去的和將來的)都有可能泄漏，前向安全的數(shù)字簽名方案主要思想是當前密鑰的泄露并不影響以前時間段簽名的安全性。

在提出以上這些簽名之后，研究者們根據(jù)不同的需要，又給出了一些綜合以上性質(zhì)的簽名，如前向安全的群簽名、盲代理簽名、代理門限簽名、代理多重簽名、公平盲簽名等。2025/8/1367.6盲簽名方案1983年，Chaum提出了盲簽名概念，在此基礎上提出了一個盲簽名方案，并指出盲簽名應該滿足如下兩個性質(zhì)：

(1)盲性，所簽消息的內(nèi)容對簽名人是盲的，即簽名人簽名時不能看見消息的具體內(nèi)容;

(2)不可追蹤性，即使在盲簽名公開后，簽名者仍然不能跟蹤消息-簽名對，即不能把簽名和其在簽名時的看到的信息聯(lián)系起來。一般來說，盲簽名的協(xié)議有如下幾個步驟：初始化過程，盲化過程，簽名過程，脫盲過程，驗證過程。2025/8/1377.6.1基于整數(shù)分解難題的盲簽名1．RSA盲數(shù)字簽名描述（1）參數(shù)選擇①選擇兩個滿足需要的大素數(shù)p和q，計算n=p×q,φ(n)=(p-1)×(q-1)，其中φ(n)是n的歐拉函數(shù)值。②選一個整數(shù)e,滿足1<e<φ(n)，且gcd(φ(n),e)=1。通過d×e≡1modφ(n)，計算出d。③以{e,n}為公開密鑰，{d,n}為秘密密鑰。選擇安全的單向hash函數(shù)h(·)。仍然把Bob作為簽名者，則Bob知道秘密密鑰{d,n}；所有人都知道公開密鑰{e,n}和算法中選擇的hash函數(shù)h(·).2025/8/138（2）盲化過程設需要簽名的消息為m，請求簽名者Alice隨機選擇一個整數(shù)r作為盲化因子，然后進行如下計算：α≡re·h(m)modn，然后發(fā)送α給簽名者Bob。（3）簽名過程Bob在收到α后，計算t≡αdmodn，然后把t發(fā)送給Alice。（4）脫盲過程Alice接收到t后，計算s≡t·r-1modn.就得到了消息m的簽名(m,s)。（5）驗證過程通過如下計算，任何人都可以驗證簽名的有效性：se≡h(m)modn是否成立，若成立，則發(fā)送方的簽名有效。2025/8/139下面來體會一下這個簽名方案為什么叫做盲簽名方案。

簽名者看到的信息是α，根據(jù)α,e,n，簽名者顯然不能計算出h(m)來，因為還有一個變量r（盲化因子），即所簽消息的內(nèi)容對簽名人是盲的，即簽名人Bob簽名時不能看見消息的具體內(nèi)容；在Alice得到Bob的簽名后，Bob即使看到了自己的簽名(m,s),仍然不能把它與簽名時的α聯(lián)系起來，即盲簽名的第二個性質(zhì)，不可追蹤性。2025/8/13107.6.2盲簽名的應用（略）著名密碼學家DavidChaum1982年首次提出了利用盲簽字實現(xiàn)電子現(xiàn)金的方法，DigiCash是DividChaum發(fā)起的提供電子支付系統(tǒng)的專業(yè)公司，eCashTM是DigiCash開發(fā)的用軟件實現(xiàn)的第一個完全匿名的在線電子現(xiàn)金系統(tǒng)，它的基本算法是RSA盲簽名算法。1995年MarkTwain銀行就開始發(fā)行Internet網(wǎng)上電子現(xiàn)金。一個電子現(xiàn)金支付系統(tǒng)通常包括三個參與方：銀行，電子現(xiàn)金支付者，電子現(xiàn)金接收者。在電子貨幣支付時，電子現(xiàn)金支付者從銀行取出他的電子貨幣，然后將電子貨幣支付給接收者，接收者將收到的電子貨幣存入銀行。其關(guān)系可以用下頁圖表示，其中箭頭方向表示了電子貨幣的流向。2025/8/13111．eCashTM系統(tǒng)相關(guān)的參數(shù)設銀行的簽名公鑰為e,支付公鑰PKbank,秘密鑰為d,模為n,采用安全單向函數(shù)為h(.).h(.)的使用使偽造電子現(xiàn)金的變得不可行銀行的公開信息是{e,n,h(.)},支付公鑰PKbank

；秘密信息是{d,p,q,n=p*q},p,q是安全素數(shù)，使得分解大整數(shù)n是困難的。系統(tǒng)假設用戶Alice已經(jīng)在銀行里存了一筆錢在賬戶NA上以備提取。一個電子現(xiàn)金支付系統(tǒng)通常包括三個參與方：銀行，電子現(xiàn)金支付者，電子現(xiàn)金接收者。在電子貨幣支付時，電子現(xiàn)金支付者從銀行取出他的電子貨幣，然后將電子貨幣支付給接收者，接收者將收到的電子貨幣存入銀行。2025/8/13122．電子現(xiàn)金提取協(xié)議這里使用的是一個單位面值的電子現(xiàn)金，即對給定消息m，約定h(m)的e次根，即d次冪值為一個單位面值。用戶提取電子現(xiàn)金的協(xié)議如下：（1）Alice選取隨機數(shù)r，serial#，計算b≡re*h(serial#)modn，發(fā)送b,賬號NA和身份IDA給銀行。其中serial#表示選取的電子現(xiàn)金的面值，這里僅指一個單位面值；（2）銀行驗證身份IDA的合法性，若合法，計算B≡bdmodn，在用戶賬戶上減掉一個單位面值的電子現(xiàn)金，發(fā)送B給Alice；（3）Alice計算S≡B/rmodn。于是用戶Alice獲得了銀行發(fā)行一個的單位面值的電子現(xiàn)金Coin={serial#，S}。在這里使用了盲簽名技術(shù)，實現(xiàn)了用戶Alice的電子現(xiàn)金的不可追蹤性。2025/8/13133．支付協(xié)議用戶支付Coin時,不能讓接收者看到Coin.eCashTM

為了保證這點，銀行使用了一個用來完成支付的公鑰PKbank,用戶支付時用PK

bank對Coin加密，保證了只有電子現(xiàn)金擁有者在申請后和銀行在電子現(xiàn)金擁有者完成支付時才能看到它。假定電子現(xiàn)金支付者和接收者商定了支付銀行bankID、支付金額amount、幣種currency、電子現(xiàn)金個數(shù)nCoins、時戳timestamp、接收者身份merchant_Ids與其銀行帳戶對應、交易描述description以備將來解決支付者和接收者的可能爭議，支付者的秘密隨機數(shù)payer_code也用來解決支付者和接收者的可能爭議。2025/8/1314Payment_inf={bankID,amount,currency,nCoins,timestamp,merchant-Ids,h(description),h(payer_code)}在支付過程中，銀行不能知道description的信息，只能知道description的hash值。具體支付協(xié)議如下：（1）電子現(xiàn)金支付者計算payment={payment_inf,{nCoins，merchant_Ids}PKbank}發(fā)送payment到電子現(xiàn)金接收者。其中{nCoins，merchant_Ids}PKbank表示用PKbank加密{nCoins，merchant_Ids}。（2）電子現(xiàn)金接收者驗證payment_inf，發(fā)送payment給銀行；（3）銀行驗證{nCoins，merchant_Ids}PKbank確信Coins