【安全性的群签名的设计策略】 安全性无效的签名

安全性的群签名的设计策略

群签名长度随着群成员的增加而线性增加。经过学者们的努 力，1999年由学者Ateniese、Tsudik提出一个不随群成员数 目增加而增加系统负担，具有很好效率性的群签名方案，该 方案的安全性是依赖于模复合整数的离散对数的求解困难 性。方案的提出使得群签名在现实中的应用前景得到很大提 升。近年来，随着椭圆曲线在群签名中的广泛应用，群签名 又迎来了一次大发展。

1997年，Anderson首先提出了前向安全性的概念。前向 安全就是把整个时间分成若干个有效周期，在每个周期开始 的时候使用更新函数更新密钥，而验证签名的公钥在整个有 效时间内保持不变。即便当前周期的密钥被泄露，也不会影 响前期签名的有效性。Bellare和Miner第一次给出了基于前 向安全性概念的两个前向安全的签名方案。

在群签名方案中确保安全性是前提。避免多次重复建立 群签名系统，提高效率，避免过度浪费资源是优秀群签名方 案的目标之一。结合以前的此类文章，笔者认为在群签名方 案的建立中，重复使用群签名方案，能有效地节省资源，若 能赋予方案以前向安全性，会使得方案在使用中，体现出更 大的安全性和效率性。本文结合双线性对的良好性质，设计了一个具有前向安 全性的群签名方案，它满足群签名的安全要求，具有较好的 实际应用价值。

一、知识背景 1．双线性映射 双线性映射指两个循环群之间的线性映射关系。设G1和 G2是阶为大素数q的加法群和乘法群，定义双线性映射e：G1 ×G1→G2，对于？坌P，Q∈G1与？坌a，b∈Z*q，双线性对 应具备下列特性：
（1）双线性：e（aP，bQ）=e（P，Q）ab （2）非退化性：如果P是G1的生成元，则e（P，P）是 G2的生成元 （3）可计算性：存在有效算法计算e（P，Q） 2.困难性 在G1和G2中有以下困难数学问题定义。

（1）离散对数问题（DLP）：给定P，Q∈G1，找一个整 数n，满足Q=nP （2）双线性Diffie-Hellman问题（BDHP）：设a，b， c∈Z*q，给定P，aP，bP，cP∈G1，计算e（P，Q）abc∈G2 （3）计算Diffie-Hellman问题（CDHP）：设a，b∈Z*q， 给定P，aP，bP∈G1，计算abP∈G1 二、前向安全性签名方案 一个前向安全的群签名方案一般是由6个多项式算法组成：
1.系统设置算法：给定安全的公共参数。

2.初始密钥生成算法：输入参数和成员选择的任意信息， 返回该成员的初始私钥和验证公钥。

3.密钥进化算法：输入系统所处的时段和前一时段的私 钥，成员计算显示出新的私钥，公钥保持不变。

4.群签名算法：当输入一个消息和一个群成员的私钥后， 输出对消息的签名。

5.群签名的验证算法：当输入对消息的签名及群公钥后 确定群签名的有效性。

6.群签名的打开算法：给定一个签名和群私钥，确定签 名人的身份。

三、具体方案 方案由生成系统参数、成员加入、密钥进化算法、群签 名、验证、打开等几部分组成，具体方案如下：
1.生成参数 群管理员选择安全的参数l，素数q≥2l，椭圆曲线（G， +）、（G1，●）是阶数均为q的循环群，双线性映射e：G× G→G1。H，H1是两个安全的哈希函数。其中H：{0，1}*→G；

H1：G×G→G1；
椭圆曲线G1的生成元为P。群管理员选择S∈ RZ*q，计算PG=SP。则S是系统主密钥，PG为系统公钥。公开 系统参数为（G，G1，H，H1，e，P，PG），将私钥S妥善保 管。成员A秘密选择xA∈Z*q，xA作为长期秘密值。计算 Pa=xAP， PA=e（Pa，H（IDA））作为长期公钥。其中IDA 为身份信息，并妥善保管xA。

2.群成员的加入 成员A想要加入群，他与群管理员执行以下协议：
将（IDA，PA）通过安全的物理信道传送给群管理员。

群管理员对身份进行确认后保存（IDA，PA），公示PA。若 有异议，中断协议。

群管理员选择rA∈Z*q，计算UA=e（rAPA，H（PG））， 随后将UA通过安全信道发送给群成员A。UA就是成员A的签名 证书。保存（IDA，PA，UA） 3.密钥进化算法 （1）设置算法：选择的安全素数w，计算N=wq。成员签 名密钥的有效期被分为T个时段。

（2）密钥进化算法：当系统进入第i（1＜i≤T）阶段， 成员A就要对i-1时间段的私钥UAi-1进行替换，成员计算得 到下一个时间段第i阶段的签名密钥为UAi=UAi-12modN，同 时群管理员计算所有群成员第i阶段的签名密钥，并计算公 布Oi=∏UAi。

4.群签名 对于需要签名的消息M，成员A选择t∈Z*q，计算得t-1。

计算B=UAt-1，C=t-1H（IDA），D=Pat，E=tH（M），则对消 息M的签名就是（M，B，C，D，E，UA）5.验证 接受到签名后，进行下列步骤：
（1）查看UA是否整除Oi，若整除接受，否则停止。

（2）计算H（M），可通过如下等式验证签名：
e（B，E）？=e（UA，H（M）） （3）计算e（C，D），看结果是否可在公示栏找到，若 找到，接受签名；
否则，拒绝接受签名。

6.打开如下 一个群签名（M，B，C，D，E，UA），发生纠纷时，群 管理员依据保存的（IDA，PA，UA），查找成员信息，确定 真正的签名者。

四、群签名的安全性及效率分析 1.方案的正确性 若群成员能够按照签名设计的方式进行签名，则能得到 正确验证：
e（B，E）=e（t-1UA，tH（M））=e（UA，H（M））t · t-1=e（UA，H（M）） e（C，D）=e（t-1H（IDA），tPa）=e（H（IDA），P） t ·t-1=PA 2.安全分析 （1）方案能抵制恶意的攻击 假如攻击者是合法的群成员，攻击本群签名体制，由方 案可知困难等价于攻破双线性对的困难问题，这是不可能的。（2）恶意攻击者无法伪造签名 要伪造一个不可追踪的签名，他必须能伪造群签名证数 Ei，从签名算法可知，困难等价于求解双线性对的 Diffie-Hellman问题，这是不可能的。

（3）任意多个群成员合谋都无法伪造签名 群成员合谋伪造一个不可追踪的群签名，可以通过两种 方法完成，一是合谋伪造一个新的成员证书Ej，这比较困 难；
二是联合伪造满足验证等式的H（IDi），但同时满足方 程的根的条件，这等于解大素数的高次方程，是不可行的。

（4）群签名的匿名性、不可关联性和可追踪性 根据群签名的打开算法，要计算成员身份所对应的H （IDi）值，必须先恢复签名生成算法的PA=e（Pa，H（IDA）， 而由于双线性对的性质使它成为不可行。若给定任意两个签 名，判断这两个签名是否来自同一群成员，需要判断这两个 签名使用的证书是否有关联。从签名过程可以看出，这是不 可能的，由此可知，群签名满足匿名性、不可关联性和可追 踪性。

3.效率分析 方案是基于双线性对设计的，双线性运算的计算复杂度 远高于其他运算，所以方案安全性高。根据方案设计使用方 案时存储的代价小，对群成员的计算能力要求低，实现本系 统只需低宽带，故易于实现。签名方案的验证算法不随成员 个数的增加而增加，方案签名验证阶段需要2次、验证阶段2次，总共4次。方案不仅提高了计算效率，还可以多次使用， 故而节省了资源。

本文提出一个具有前向安全性群签名方案，新方案具有 固定长度的群公钥和群签名，加入新成员时也无需更改群公 钥，而且可以实现群成员的删减。同时，方案能抵制合谋攻 击，是一个实用的群签名方案。但本方案效率有待提高。

参考文献：
［1］Chaum D. Heyst F. Group signature［C］ //：
Proceeding of EUROCRYPT’91. Berlin：
Spring-Verlag，1991：
257-265. ［2］Ateniese A， Tsudik G. Some open issues and new directions in group signature［C］ // Crypto’97， LNCS 1294. Berlin ：
Springer-Verlag， 1997：
410-424. ［3］ Anderson R. Two remarks on public key cryptology［R］.Invert Lecture ACM-CCS’97 ，1997. ［4］Bellar M，Miner S. A forward-secure digital signature scheme ［C］ // .Crypto’99 spring-verlag，1999：
431-448. ［5］马冬兰，张建中.前向安全的制定接受者恢复消息 的部分盲签名方案［J］.陕西师范大学学报：自然科学版， 2012，40（1）：6-8. ［6］王哓明，陈火炎，符方伟.动态门限群签名方案［J］.计算机学报，2004，27（9）：1182-1186. ［7］赵泽茂.数字签名理论［M］.北京：科学出版社， 2007. ［8］Camenish J，Stadle M. Efficient group signature scheme for large groups［A］.Advances in Cryptology-CRPTO’97， Berlin：Spring-Verlag， 1997：410-424. ［9］Ateniese A， Camenish J， Joye M et al. A practical and provably secure coalition resister group signature scheme［C］ Advances in cryptology-CRYPTO’00. spring-verlag， 2000：
255-270. ［10］杨镛，张建中.一个基于离散对数和因数分解问 题的电子选举协议［J］.陕西科技大学学报，2008，26（1）：
133-135. ［11］王玲玲，张国印，马春光.标准模型下基于双线 性对的前向安全环签名方案［J］.电子与信息学报，2009， 31（2）：448-452. 基金项目：
延安职业技术学院项目（yzk1104）。

杨镛（1971-），男，讲师，硕士，研究方向为密码学。