張凱，張建中

陜西師范大學數(shù)學與信息科學學院，西安 710062

對一個群簽名方案的分析與改進

張凱，張建中

陜西師范大學數(shù)學與信息科學學院，西安 710062

1 引言

隨著電子商務的發(fā)展，數(shù)字簽名技術(shù)獲得廣泛的研究應用，越來越多的數(shù)字簽名方案被提出。1991年，Chaum和Heyst首次提出了群簽名方案[1]。群簽名方案允許群中合法成員以群的名義簽名，出現(xiàn)爭議時，可以通過群管理人來確定簽名者的身份。由于群簽名的這種特性，使得群簽名在電子貨幣、電子選舉等領域有著廣泛的應用。

目前，已經(jīng)提出許多種不同的群簽名方案[2-10]。1997年，Camenish和Stadler[2]提出了第一個相對效率較高且適用于大群體的群簽名方案，但該方案不能抵抗聯(lián)合攻擊。2000年，Ateniese等人提出了一個簡稱為ACJT方案[3]的群簽名方案。ACJT方案可以抵抗自適應攻擊者發(fā)動的聯(lián)合攻擊，并且效率也優(yōu)于文獻[2]中的方案，但卻沒有解決成員撤銷問題。2004年陳澤文等基于中國剩余定理等提出了一種新的群簽名方案[4]，該方案可以在撤銷群成員時不改變其他成員的簽名密鑰。但經(jīng)分析，該方案并不安全，因為任何一個現(xiàn)有成員或已被撤銷的成員都可以完全攻破該方案。本文針對上述問題，對文獻[4]中方案進行了改進，并對新方案進行了安全性分析，有效地解決了原方案存在的問題。

2 原方案介紹及分析

對文獻[4]中原方案做簡單介紹，對其性能進行分析。原方案由系統(tǒng)建立、成員加入、成員撤銷、簽名、驗證、簽名打開等6部分組成。

2.1 系統(tǒng)建立

（1）群中心選擇兩個大素數(shù)p、q和一個Hash函數(shù)h，計算n=pq。

2.2 成員加入

假設Bob向群中心申請成為一個新成員，若群中心通過驗證，則：

2.3 成員撤銷

2.7 原方案的缺陷

定理1原方案中的任何一個現(xiàn)有成員或被撤銷的前成員都可以獨自完全攻破該方案。c(modpi)。由于Uj已經(jīng)知道?(n)，則他可解xiyi≡1(mod?(n))得出xi，再由d算出pdi，進而獲得Ui的簽名密鑰(xi，pi，)。因此，原方案中的任何一個現(xiàn)有成員或被撤銷的前成員都可以獨自完全攻破該方案。

3 改進的方案

針對原方案的缺陷，對方案進行改進，新方案仍由6部分組成。

3.1 系統(tǒng)建立

3.2 成員加入

假設Bob向群中心申請成為一個新成員，群中心驗證其身份同意后：

3.3 成員撤銷

設現(xiàn)有k個成員，且

3.4 簽名

3.5 驗證

3.6 簽名的打開

4 新方案的分析

對新方案的性能進行分析，主要包括可驗證性、可撤銷性、不可偽造性、防陷害攻擊、抗聯(lián)合攻擊等幾個方面。

4.1 可驗證性

在證明可驗證性之前，需要先證明一個與之有關(guān)的引理。

4.2 可撤銷性

定理3撤銷成員后，被撤銷的群成員按自己原來的密鑰和簽名算法產(chǎn)生的簽名不能通過驗證，但未被撤銷的群成員按自己原來的密鑰和簽名算法產(chǎn)生的簽名仍能通過驗證。

4.3 不可偽造性

設被撤銷的群成員Uj想要偽造一個合法的簽名。這里分三種情況：（1）Uj試圖通過式子xjyj≡1(mod?(n))去分解n，從而完全攻破方案。（2）Uj去獲取群中合法成員的簽名密鑰，從而偽造簽名。（3）Uj在公布簽名時，改變簽名中和驗證有關(guān)的信息，從而使自己用原來密鑰xj簽的名可以通過驗證。

4.4 防陷害攻擊

4.5 抗聯(lián)合攻擊

4.6 其他特性

由于(IDi，ti)是由群管理人秘密保存的，所以只有群管理人可以通過打開算法來確定簽名人的身份，因此簽名方案具有匿名性和可跟蹤性。但由于任何人都可以通過對比兩個簽名中的是否相同來判斷這兩個簽名是否為同一人所簽，所以簽名方案仍不具有不可關(guān)聯(lián)性。

4.7 性能對比

通過分析，可以得出本文方案和文獻[4]方案的性能對比表，如表1。

表1中，用“√”表示方案有此性能，用“×”表示方案無此性能。

從表1可以看出，本文方案和文獻[4]方案都具有匿名性和可跟蹤性，且都不具有不可關(guān)聯(lián)性。但本文方案具有文獻[4]方案中不具有的不可偽造性、防陷害攻擊和抗聯(lián)合攻擊，因此本文新方案的安全性更好。

表1 本文方案和文獻[4]方案的性能對比表

5 結(jié)束語

對文獻[4]中的方案進行了分析，指出了該方案的安全性缺陷，在原方案的基礎上進行了改進，并對新方案進行了安全性分析。本文方案保留了原方案在增加和撤銷群成員時運算量小等優(yōu)點，而且還具有不可偽造性、防陷害攻擊、抗聯(lián)合攻擊、匿名性和可跟蹤性。但本文方案仍不具有不可關(guān)聯(lián)性，這有待于今后進一步研究。

[1]Chaum D，Heyst V E.Group signatures[C]//Proceedings of EUROCRYPT’91.Berlin：Springer-Verlag，1991：257-265.

[2]Camenish J，Stadler M.Efficient group signatures for large groups[C]//Proceedings of CRYPTO’97.Berlin：Springer-Verlag，1997：410-424.

[3]Ateniese G，Camenish J，Joye M.A practical and provably secure coalition-resistant group signature scheme[C]//Proceedings of CRYPTO’2000.Berlin：Springer-Verlag，2000：255-270.

[4]陳澤文，張龍軍，王育民，等.一種基于中國剩余定理的群簽名方案[J].電子學報，2004，32（7）：1062-1065.

[5]Ateniese G，Tsudik G.Some open issues and new direction in group signature scheme[C]//Proceedings of CRYPTO’99.Berlin：Springer-Verlag，1999：225-237.

[6]Camenish J，Michels M.A group signature scheme with improved efficiency[C]//Proceedings of ASIACRYPT’98.Berlin：Springer-Verlag，1998：160-174.

[7]Lee W R，Chang C C.Efficient group signature based on the discrete logarithm[J].IEE Proc Computer Digital Technology，1998，145（1）：15-18.

[8]Nakanishi T，F(xiàn)unabiki N.Group signature schemes with membership for large groups[J].IEICE Transactions on Fundamentals of Electronics，Communication and Computer Science，2006，89（5）：1275-1283.

[9]Gordon S D，Katz J，Vaikuntanathan V.A group signature scheme from lattice assumptions[C]//Proceedings of ASIACRYPT’10. Berlin：Springer-Verlag，2010：395-412.

[10]李繼國，張剛，張亦辰.標準模型下可證安全的本地驗證者撤銷群簽名方案[J].電子學報，2011，39（7）：1618-1623.

[11]Stinson D R.Cryptography theory and practice[M].3rd ed.New York：Chapman&Hall/CRC，2006：202-206.

ZHANG Kai,ZHANG Jianzhong

College of Mathematics and Information Science,Shaanxi Normal University,Xi’an 710062,China

Analysis of a group signature scheme based on Chinese remainder theorem,shows that the scheme is insecure：any member of a group or a group member has been revoked can completely break the scheme.Aiming at these flaws,this paper puts forward an improved scheme.Analysis results show that new scheme can effectively add or delete group members while keeping secret keys of other members unchanged.Moreover,the new scheme has many properties,such as unforgeability,exculpability and coalition-resistant.

group signature;Chinese remainder theorem;security

分析了一個基于中國剩余定理的群簽名方案，指出此方案并不安全：任何一個群成員或已被撤銷的群成員都可以完全攻破此方案。針對該安全缺陷提出了一個改進的新方案。分析表明，該方案不僅可以在不改變其他群成員密鑰的情況下有效地增加和撤銷群成員，而且具有不可偽造性、防陷害攻擊、抗聯(lián)合攻擊等性質(zhì)。

群簽名；中國剩余定理；安全性

A

TP309

10.3778/j.issn.1002-8331.1201-0177

ZHANG Kai,ZHANG Jianzhong.Analysis and improvement of a group signature scheme.Computer Engineering and Applications,2013,49（19）：75-78.

國家自然科學基金（No.61173190）；陜西省自然科學基金計劃項目（No.2009JM8002）；陜西省教育廳科學研究計劃基金（No.2010JK829）；中央高?；究蒲袠I(yè)務費專項資金資助（No.GK201002041）。

張凱（1987—），男，碩士研究生，研究方向為密碼學；張建中（1960—），通訊作者，男，教授，博士，研究方向為信息安全與密碼學。E-mail：jzzhang@snnu.edu.cn

2012-01-11

2012-03-07

1002-8331（2013）19-0075-04

CNKI出版日期：2012-06-01http://www.cnki.net/kcms/detail/11.2127.TP.20120601.1457.031.html