一種實(shí)用高效安全的網(wǎng)絡(luò)門限群簽名方案

全俊杰

（廈門大學(xué)嘉庚學(xué)院信息與計(jì)算科學(xué)系 福建 廈門 363105）

1 引言

群簽名是一種將簽名密鑰分給多人掌握，并同時(shí)參與才能生成合法簽名的重要匿名簽名方案，它于1991年由兩位密碼學(xué)家D Chaum和E Van Heyst提出[1]。在群簽名方案中引入秘密共享機(jī)制后，就加入了門限的思想。門限群簽名方案允許群中部分參與者能代表群產(chǎn)生一個有效的簽名，與普通群簽名方案相比，門限群簽名具有更高的安全性，第一個門限群簽名方案由Desmedt和Frankel于1991年提出[2]。此后，門限簽名的思想得到了廣泛的研究，提出各種各樣門限簽名的思想。綜合各種群簽名的思想，在文獻(xiàn)[12]中指出一個安全有效的門限群簽名機(jī)制應(yīng)具備以下一些安全特性：（1）群體中任意一個成員可匿名代表群體對消息生成簽名；（2）門限特性；（3）不可偽造性；（4）簽名有效性；（5）可控制的匿名性；（6）身份可追查性；（7）系統(tǒng)的穩(wěn)定性和強(qiáng)壯性。本文參考文獻(xiàn)[3][4][6][7]中的秘密共享方案，采用Gap-Diffie-Hellman群上的困難問題[5]，并參考文獻(xiàn)[8][9][10][11][13]給出一種高效的具有網(wǎng)絡(luò)應(yīng)用背景的門限群簽名機(jī)制。分析表明，該方案具有簽名的不可偽造性、身份可追查性、可控制的匿名性等一系列安全特性，而且所有簽名成員將個體簽名都發(fā)送給群中心，無需發(fā)送給所有其他成員，所以在信息攜帶比率、運(yùn)算效率和網(wǎng)絡(luò)傳輸方面具有一定的優(yōu)勢，是一個高效的門限群簽名方案。

2 預(yù)備知識

在本方案中，我們假定群中心是可信賴的，它的作用是建立整個門限群簽名系統(tǒng)中涉及的一些公開參數(shù)，以及為群體中的每個群成員分發(fā)秘密信息。

2.1 基于中國剩余定理的秘密共享

群中心選擇正整數(shù)p0和一組兩兩互素?cái)?shù)的正整數(shù)，滿足，并且，將mi公開，并將其發(fā)送給各個群成員Ui.同時(shí)，群中心選擇私鑰s∈Zp0，并且選取一個整數(shù)α，使得。接下來，群中心計(jì)算群成員Ui分享的份額，并將si發(fā)送給群成員Ui，。

若有t個群成員要恢復(fù)密鑰s，假定其份額為，通過求解

并利用中國剩余定理可得唯一解，這里，，然后通過計(jì)算，恢復(fù)密鑰s。

2.2 Gap Diffie-Hellman群的定義

設(shè)有一個階為素?cái)?shù)P的乘法群G=，其中g(shù)為其生成元，它具有如下的兩個問題：

（1）：給定群G的三個元素。

（2）： 給定G的四個元素，若他們是G中等概率選取的四個隨機(jī)元素，則輸出0；若滿足，則輸出1，并稱為一個有效的DH四元組。

定義：一個素?cái)?shù)階群G，稱它是一個GDH群，假如DDHP問題在多項(xiàng)式時(shí)間內(nèi)是可解的，但是CDHP問題卻找不到它的一個有效概率算法。本文給出的網(wǎng)絡(luò)門限群簽名方案，其安全性就是基于GDH群上CDHP問題求解的困難性[5]。

3 基于中國剩余定理的網(wǎng)絡(luò)門限群簽名方案

3.1 系統(tǒng)參數(shù)的設(shè)定及初始化過程

假定群體中有n個用戶，每個用戶Ui，都有一對RSA公鑰和私鑰，其中pi,qi是兩個1024位的大素?cái)?shù)，滿足。

令G=為P階GDH群(P為整數(shù)），為hash函數(shù)。群中心選取密鑰s∈Zp0，然后利用預(yù)備知識中基于中國剩余定理的秘密共享方案，計(jì)算出整個群體中的所有成員的分享到的秘密份額。

由文獻(xiàn)[3]可知t個群成員的聯(lián)合，比如就可以計(jì)算出，然后恢復(fù)出群密鑰，而成員少于t個時(shí)則不能恢復(fù)x。群中心秘密保存s，計(jì)算并公開y=gx，接下來群中心還要做如下一些計(jì)算：

（1）選取β1，β2,…βt并定義；

（2）計(jì)算。

在計(jì)算過程中，群中心得保證秘密選取的參數(shù)β1，β2,…βt能夠使得λ1，λ2，…λt互不相等。群中心秘密保存β1，β2,…βt，把λ1，λ2，…λt作為每個群成員的簽名私鑰，并公布z。

在分發(fā)個體簽名私鑰的過程中，群中心要使用群成員Ui的RSA公鑰(ni,ei)，把λi加密成，并把發(fā)送給各個群成員Ui。群成員Ui得到Ci后，使用自己的RSA私鑰(pi,qi,di)把Ci解密出來得到。同時(shí)群中心把所有的個體簽名驗(yàn)證公鑰值yi=gλi公布出來。

3.2 群簽名Ui的生成與驗(yàn)證過程

群成員Ui簽名的生成過程：對消息，利用hash函數(shù)，計(jì)算出消息m的hash值H(m)∈G，則群成員Ui對消息m的簽名為，然后發(fā)送簽名消息給驗(yàn)證者。

群成員Ui簽名的驗(yàn)證過程：驗(yàn)證者檢查是否成立，若成立，則認(rèn)為為一個有效的DH四元組，則接受為成員Ui對消息m生成的一個有效的簽名。

接下來，群成員把各自的簽名發(fā)送給簽名收集者，由其合成一個群簽名。

3.3 群簽名的生成與驗(yàn)證

群簽名的生成過程：當(dāng)簽名收集者收到簽名消息，后，首先他使用上述的方法驗(yàn)證各個簽名的有效性，接著計(jì)算群簽名

并把四元組作為這t個群成員代表整個群對消息m生成的一個簽名，接著發(fā)送群簽名給驗(yàn)證者。

群簽名的驗(yàn)證過程：驗(yàn)證者收到后，檢驗(yàn)是否為一個有效的DH四元組，即檢查，若成立，就將做為消息m的一個有效的群簽名。

4 安全性分析

（1）根據(jù)文獻(xiàn)[3][4]可知，只有當(dāng)群中至少t個成員聯(lián)合時(shí)，才能恢復(fù)出群私鑰s，從而才能生成一個有效的群簽名；而少于t個群成員時(shí)，由于無法恢復(fù)群私鑰s，因此無法得到有效的群簽名。

（2）從y,yi,z確定x,λi,l是困難的，這是由于求解離散對數(shù)問題的困難性。

（3）驗(yàn)證者只要驗(yàn)證是否為一個有效的DH四元組，而在GDH群上驗(yàn)證該問題是容易的，所以保證了驗(yàn)證的效率。

（4）為了驗(yàn)證λi確實(shí)是由群中心分發(fā)的，當(dāng)群成員Ui得到個體簽名私鑰λi后，他首先計(jì)算yi'=gλi，看是否與群中心公開的公鑰yi相等，若相等，則接受λi是由群中心發(fā)送的這個事實(shí)，將λi視為其簽名私鑰，yi為其公鑰。群中心保存(yi,IDi)，其中IDi為群成員Ui的身份信息，這個用來確定簽名者的身份。一旦發(fā)生爭議時(shí)，由于群中心能夠通過(yi,IDi)很容易確定簽名者的身份，而其他人卻無法辨別出是誰對消息m生成了簽名。

5 結(jié)語

本文基于中國剩余定理所構(gòu)造的秘密共享思想，采用基于GDH群上的困難問題，提出了一種新的門限群簽名方案。當(dāng)參與簽名的成員個數(shù)少于 個時(shí)，即使份額密鑰泄露也不會導(dǎo)致簽名方案收到攻擊。分析表明，該方案具有簽名不可偽造性，簽名驗(yàn)證高效性，身份可追查性等安全特性。

[1] Ghaum D,Van E Heyst.Group Signatures Proc of Euprocrypt’91.Lecture Notes in Computer Science,1991,547:257-265.

[2] Desmedt Y,Frankel Y.Shared Generation of Authenticators and signatures.In:Feigenbaum J ed Advances in cryptology-crypto’91.Proceedings Berlin:Springer-Verlag,1992,457-469.

[3] C.A.Azimuth and J.Bloom.A modular approach to key safeguardin.IEEE Transactions on Information Theory,vol.29,no.2,pp.208-210,1983.

[4] L.Harn,F.Miao,and,C.C.Chang.Verifiable secret sharing based on the Chinese remainder theorem.Security and Communication Networks.2013.

[5] Boneh D,Lynn B and Shacham H.Short Signature from the weil pairing.In Proceedings of Asiacrypt 2001,volume 2248 of LNCS.Springs-Verlag.Berlin,2001,514-532.

[6] M.Mignotte.How share a secret.in:Proceedings of the Workshop on Crytography,Heidelberg,Springer.1983,pp.371-375.

[7] C.Guo,C.C.Chang.A construction for secret sharing scheme with general access structure,J.inf.Hiding Multimedia Signal Process.4(1)(2013)1-8.

[8] 劉丹妮，王興偉，郭磊，黃敏.一種高效的(t,n)門限群簽名方案.計(jì)算機(jī)科學(xué),Vol.38 No.1 Jan2011.

[9] Huang Dongping,Liu Duo,DaiYiqi Weighted Threshold Secret Sharing.Journal of Computer Research and Development.ISSN 1000-1239/CN11-1777/TP44(8):1378-1382,2007.

[10] 馬春波，何大可.矢量空間秘密共享群簽名方案.軟件學(xué)報(bào)，2005.133(2):103-105.

[11] 陳澤文，張龍軍，王育民，黃繼武，黃達(dá)人.一種基于中國剩余定理的群簽名方案.電子學(xué)報(bào)，2004，32（7）：7-10.

[12] 王貴林，卿斯?jié)h.幾個門限群簽名方案的弱點(diǎn).軟件學(xué)報(bào)，2000,11(10)：1324-1332.

[13] 全俊杰.基于MSP秘密共享的（t,n）門限群簽名方案.數(shù)學(xué)研究，2008，41(1)：65-71.