胡建軍

(甘肅聯合大學電子信息工程學院，甘肅蘭州 730010)

1979年，SHAMIR提出一種基于拉格朗日插值的(k，n)門限秘密管理方案［1］，隨后，ASMUTH和BLOOM于1980年提出一種基于中國剩余定理的(k，n)門限秘密管理方案［2］，這兩種方案的共同思想是將一個秘密分成n份，并將秘密份額秘密地分發(fā)給n個參與者，n個秘密持有者中任意k個以上的參與者合作，就能夠有效地計算出秘密本身，否則就不能獲得秘密。

ASMUTH和BLOOM方案的運算量和存儲量分別是O(k)和O(n)，而SHAMIR方案的運算量和存儲量分別是O(k lg2k)和O(n)［3］，當密鑰值較大時，ASMUTH和BLOOM方案要優(yōu)于SHAMIR方案。盡管如此，由于SHAMIR方案計算簡單且易于擴展，30多年來，大量基于門限的研究主要建立在SHAMIR方案基礎上［4-9］。然而，無論是哪種門限類型的研究，其共性是要么以單一可信中心為基礎，要么以n個可信中心(許多文獻稱為無可信中心)為基礎。由于單一可信中心存在單點失效、中心運行負擔過重、通信能力不高等缺陷，而n個可信中心又存在冗余通信過多、客戶端性能要求高、數據重復存儲等缺陷，因此，為解決這兩種方案的不足，筆者以ASMUTH和BLOOM方案及雙線性映射為基礎，提出一種分布式可信中心的門限盲簽名方案。

1 相關知識

1.1 雙線性映射

設G1和G2分別是階為大素數q的加法群和乘法群，P為G1的生成元。假設G1和G2的離散對數問題都是困難問題，則映射e:G1×G1→G2稱為雙線性映射。雙線性是指對于?P，Q∈G1，a，b∈Z，有 e(aP，bQ)=e(P，abQ)=e(abP，Q)=e(P，Q)ab。

1.2 與雙線性映射有關的密碼學問題

(1)離散對數問題(DLP):對?P，Q∈G1，已知Q=nP，則通過Q和P求解n是困難的。

(2)判定Diffie-Hellman問題(DDHP):給定?P∈G1，a，b，c∈，給定 P，aP，bP，cP，判定 c≡ab(mod q)是困難的。

(3)計算Diffie-Hellman問題(CDHP):對于 a，b∈，?P∈G1，給定 P，aP，bP，計算 abP是困難的。

通過橢圓曲線上的weil對或tate對容易構造滿足以上性質的雙線性映射。

2 可信中心分布的門限盲簽名方案

2.1 系統(tǒng)初始化

該方案將整個系統(tǒng)分為兩級，即全局可信中心和局部可信中心，下面是系統(tǒng)的建立過程。

(1)系統(tǒng)初始化。系統(tǒng)向所有的用戶發(fā)布公共系統(tǒng)參數{G1，G2，e，P，H，k}，其中 G1、G2是階為大素數q的循環(huán)群，P為G1的生成元，e為雙線性映射，定義為e:G1×G1→G2，H為哈希函數，定義為 H:{0，1}*→G1，k 為門限。

(2)建立分布式可信中心。系統(tǒng)隨機選擇一組滿足下列條件的 n+1 個數 t，m1，m2，…，mn，并將其公開:①t＞s;②m1＜m2＜… ＜mn;③對于?i∈［1，n］，gcd(p，mi)=1，且對于?i≠j∈［1，n］，gcd(mi，mj)=1，即 n+1 個數 t，m1，m2，…，mn兩兩互質;④m1m2…mk＞ tmk+2mk+3…mn。

令N=m1m2…mk，則N/t大于任意k-1個mi之積，選擇?r∈［0，N/t-1］，計算 s'=s+rt，si=s'mod mi，i∈［1，n］，系統(tǒng)通過安全信道秘密發(fā)送分布式可信中心的秘密份額si并公開身份siP。系統(tǒng)安全保存各可信中心的秘密與身份信息。其中，s為系統(tǒng)身份的秘密，sP為系統(tǒng)公開身份。

2.2 注冊申請分布可信中心

分布式可信中心注冊申請時，系統(tǒng)通過安全信道秘密發(fā)送秘密份額si、簽名秘密Wi和隨機整數 ri，其中 Wi≠Wj≠s，ri≠rj≠r，?i≠j∈［1，n］。

2.3 群用戶秘密份額的生成

群用戶在就近分布式可信中心注冊。注冊時，就近分布式可信中心計算=Wi+rit，sil=［1，n］，并通過安全信道秘密發(fā)送秘密份額sil給注冊用戶并公開身份silP。

2.4 門限盲簽名

假設被簽名的消息為M，則簽名過程如下:

(1)簽名者申請。需要群簽名的用戶向分布式可信中心提出申請，發(fā)送信息(M1，aiP，IDu·H(M))給簽名機構，其中隨機數?ai∈Zq，M1=H(M)+aiQi，M為要簽名的消息，Qi為分布式可信中心的公開群身份，即Qi=siP。

2.5 簽名驗證

分布式可信中心通過sil恢復Wi。由于Wi=Wi-rit，而若給定任意k個秘密份sil，由中國剩余定理可知，同余方程組為:

在［0，N1-1］內有唯一解，N1=mi1mi2…mik，假設這個唯一解為x，則=x(mod N1)。

令 b=x-rit，如 果 e(bH(M)P，WiP)e(bP，WiH(M)P)成立，則簽名合法，否則為非法簽名。

2.6 群用戶信息的備份與更新

每個分布式可信中心保存著本地群用戶的所有信息，這些信息以增量更新的方式上傳到全局可信中心，全局可信中心按照身份標識存儲每個分布式可信中心的信息。這樣做的好處是可以防止單點失效，實現代理群簽名，便于節(jié)點的移動，可提高系統(tǒng)的整體通信能力。

3 安全性分析

該方案具有如下性質［10］:

(1)盲性。由于申請簽名者選擇的?ai∈Zq是隨機的，且H(·)是單向散列的，其他用戶不可能獲得信息M，因此簽名保證了消息的盲性。

(2)可追查性。由于該方案中的簽名仲裁是由分布式可信中心完成的，因此如果簽名是正確的，那么，群用戶的身份是可追查的，這是因為對于可信中心而言，通過查表就可以判斷簽名的合法性與正確性。

(3)群簽名特性。由于可信中心可以通過k個用戶的密鑰信息求出=x(mod N1)，而恰好為群秘密，因此方案具有群簽名特性。

(4)防偽造性?？梢苑謨煞N情形討論該方案的防偽造性。①普通用戶偽造普通用戶。很顯然，偽造簽名是不可能的，這是因為，假設群用戶A要冒充B簽名，由于A沒有B的私鑰而使偽造簽名失敗。②普通用戶偽造分布式可信中心。由于普通用戶無法獲取分布式可信中心的私鑰si，因此他無法將aiQi替換成消息rP，即無法將消息M1替換成消息M2，從而偽造分布式可信中心失敗。綜合以上兩種情形，可以認為方案是可防偽造的。

(5)抗合謀性。如果有t個以上的群用戶想要合謀獲取M，則合謀失敗。這是因為，H(·)是單向散列的，因此如果想要合謀攻擊成功，則必須能夠求出H(·)的逆，但這是不可能的。

(6)驗證簡單。檢查雙線性映射的正確性，即等式 e(bH(M)P，WiP)e(bP，WiH(M)P) 成立，簽名合法，驗證通過。

4 結論

筆者結合雙線性映射、門限身份和門限盲簽名，提出了一個分布式可信中心的門限簽名方案。該方案通過分布式可信中心完成t-1個群用戶的簽名，防止了群用戶之間的合謀攻擊，通過可信中心的裁決，能夠追查簽名者的不良行為。由于客戶端僅需少量的計算，因此該方案對于提高客戶端運行效率和減輕客戶端維護成本具有重要的意義;又由于可信中心是分布的，因此在很大程度上避免了單點失效問題，提高了系統(tǒng)的通信能力和穩(wěn)定性。

［1］SHAMIR A.How to share a secret［J］.Comm ACM，1979，22(11):612-613.

［2］ASMUTH C，BLOOM J.A modular approach to key safeguarding［J］.IEEE Transactions on Information Theory，1983，30(3):208-210.

［3］卿斯?jié)h.安全協(xié)議［M］.北京:清華大學出版社，2005:229-238.

［4］DESMEDT Y，FRANKEL Y.Shared generation of authentications and signatures［C］//Advances in Cryptology-Crypto'91，Lecture Notes in Computer Science.Berlin:Springeer-Verlag，1992:457-469.

［5］CHAUM D.Blind signatures for untaceable payments［EB/OL］.［2012-04-11］.http://citeseer.ist.psu.edu/cotext/2064/0.html.

［6］CHANGE T Y，YANG C C，HWANG M S.A threshold signature scheme for group communications without a shared distribution center［J］.Future Generation Computer Systems，2004，20(6):1013-1021.

［7］BONEH D，FRANKLIN M K.Identity based encryption from the weil pairing［J］.SIAM Journal on Computing，2003，32(3):586-615.

［8］MIHIR B，CHANTHIP N，NEVEN G.Security proofs for identity-based identification and signature schemes［C］//Proc of the Eurocrypt 2004.Berlin:Springeer-Verlag，2004:244-253.

［9］涂峰，趙一鳴.一種基于身份的門限盲簽名方案［J］.計算機工程，2008，34(21):118-119.

［10］胡建軍，王偉，裴東林.基于ELGamal數字簽名的雙向認證方案［J］.計算機工程，2010，36(6):173-174.