仲紅，黃叢林，許艷，崔杰

（安徽大學(xué)計算機科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

高效的可撤銷群簽名方案

仲紅，黃叢林，許艷，崔杰

（安徽大學(xué)計算機科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

將子集覆蓋框架與Camenisch-Stadler方案相結(jié)合，實現(xiàn)群成員的加入和撤銷，且無需改變其他成員私鑰，實現(xiàn)高效的簽名驗證效率。同時，在成員注冊時增加一個知識簽名，實現(xiàn)防聯(lián)合攻擊。分析表明，方案滿足匿名性和抗聯(lián)合攻擊、偽造攻擊和權(quán)威陷害攻擊，并具有非關(guān)聯(lián)性。效率方面，僅略增加群成員證書長度，達到常數(shù)級的簽名和驗證開銷。

群簽名；子集覆蓋框架；聯(lián)合攻擊；非關(guān)聯(lián)性

1 引言

群簽名（group signature）概念是1991年由Chaum和Heyst首次提出[1]的，在群簽名中，群成員可以匿名代表群進行簽名，驗證者只能驗證簽名是否由群成員簽署，卻不能確定簽名者的身份。必要時，如簽名被舉報，群管理員可以打開簽名追蹤簽名者真實身份。由于這些特征，群簽名能廣泛運用于政務(wù)、商務(wù)等場景[2～4]。早期提出的群簽名方案中，群公鑰或簽名長度與群成員數(shù)線性相關(guān)，簽名效率低，不適合大群。1997年，Camenisch等[5]首次提出適用于大群的群簽名方案，該方案中的群簽名長度和群公鑰是固定的，獨立于群成員個數(shù)，且加入新成員時無需改變其他成員私鑰，但該方案不能撤銷群成員。

然而，在實際應(yīng)用中，群中成員是動態(tài)加入和退出的，其中，成員撤銷是群管理員主動撤銷非法群成員或群成員主動離開群。例如，某惡意群成員發(fā)送的非法信息遭舉報，群管理員核實后將該惡意成員踢出群，保障群中其他合法成員安全。2003年，王尚平等[6]在Camenisch-Stadler群簽名方案基礎(chǔ)上，提出利用更新算子進行成員撤銷的解決方案，當群成員加入或撤銷時，群管理員公布群特性公鑰和成員特性私鑰更新算子，群成員根據(jù)更新算子計算簽名密鑰，但不能完全撤銷群成員。Libert等在2005年[7]和Nakanishi[8]在2009年都提出離線驗證的群成員撤銷方案，群成員維護一個撤銷列表，撤銷信息僅發(fā)送給驗證者進行驗證，簽名開銷獨立于撤銷群成員數(shù)量，但每次撤銷群成員都要更新撤銷列表，驗證開銷與撤銷成員數(shù)呈線性增加。2008年，李新社等[9]對文獻[6]方案進行改進，群成員計算自己的特性密鑰，然后交給群管理員計算特性密鑰更新算子，實現(xiàn)群成員有效撤銷。群成員每次加入或撤銷時，群管理員都要重新計算自己的特性公鑰和群成員的特性密鑰更新算子，大大增加群管理員計算開銷。2011年，F(xiàn)an等[10]提出基于累加器的群簽名撤銷方案，群管理員負責(zé)更新撤銷信息，然而，群成員撤銷時，群管理員需要更新每個群成員的簽名密鑰，大大增加了群管理員的計算量。2012年，Libert等[11]提出個可擴展撤銷方案，實現(xiàn)群成員加入或撤銷時，簽名和驗證復(fù)雜度獨立于群成員數(shù)量，但群成員需要存儲O(log3N)的成員證書，大大增加系統(tǒng)的存儲代價。2014年，張德棟等[12]針對Camenisch-Stadler方案提出一個有效成員撤銷解決方案，利用群成員證明其身份不在排序的撤銷列表中，達到撤銷目的，但該方案在簽名證明和驗證簽名時使用較多的模冪運算，效率較低。近年，一些新型群簽名也被提出，如基于格群簽名[13]、基于量子群簽名[14]等。

本文將子集覆蓋框架中的完備子樹方法和子集差分方法分別與Camenisch-Stadler方案相結(jié)合，提出2種可撤銷的群簽名方案。子集覆蓋框架原本是針對廣播加密的密鑰分發(fā)提出的，群管理員將群成員對應(yīng)一個完備樹的葉節(jié)點，同時為樹中每個節(jié)點分配一個密鑰值，將群成員對應(yīng)葉節(jié)點到根節(jié)點的值發(fā)送給對應(yīng)群成員，作為簽名密鑰；然后，群管理員選取包含群中所有合法節(jié)點的子集，公布子集節(jié)點對應(yīng)密鑰值，這樣，合法群成員就利用自己存儲的與群管理員公布相同的密鑰值進行簽名，被撤銷成員無法找到對應(yīng)值進行簽名，達到撤銷成員目的。同時，通過在成員向群管理員注冊時增加一個知識簽名，彌補Camenisch-Stadler方案不能抗聯(lián)合攻擊問題，防止成員聯(lián)合進行內(nèi)聯(lián)注冊，進而偽造簽名。最后，對本方案安全性和效率進行分析，得出方案具有如下優(yōu)點：1) 當有群成員加入和撤銷時，無需改變其他群成員的簽名私鑰和證書；2)群簽名長度和驗證開銷獨立于群成員數(shù)和撤銷成員數(shù)。

2 預(yù)備知識

2.1 子集覆蓋框架

子集覆蓋框架是由Naor等[15]提出，用于廣播加密密鑰分發(fā)。根據(jù)選取子集的方法不同，分為完備子樹方法和子集差分方法。

2.1.1 完備子樹方法

完備子樹方法中，首先構(gòu)建一個l=logN?1層的完全二叉樹T，樹中節(jié)點標記為xi,j，i∈l, j∈N ，把用戶分配到葉節(jié)點xl,j，用戶存儲其對應(yīng)葉節(jié)點到根節(jié)點路徑上所有節(jié)點值。N是葉節(jié)點總數(shù)，R是被撤銷葉節(jié)點。完備子樹方法選取包含所有未被撤銷合法葉節(jié)點的m個子樹集合S1, S2,···,Sm，

如圖1所示，高為3的完全二叉樹有8個葉節(jié)點，對應(yīng)8個用戶，其中，x3,1、x3,7、x3,8是要撤銷的節(jié)點。利用完備子樹方法選取包含未撤銷葉節(jié)點的子集為Si={x3,2,x2,2,x2,3}，其中，i=3。

圖1完備子樹方法示例

2.1.2 子集差分方法

同完備子樹方法，首先構(gòu)建一個l=logN?1層的完全二叉樹T，樹中節(jié)點標記為xi,j，i∈l, j∈N ，把用戶分配到葉節(jié)點xl,j。集合S表示在以xi,j為根節(jié)點的子集中且不在以xp,q為根節(jié)點的子集中的節(jié)點集合，其中，xi,j是xp,q根節(jié)點。子集差表示為S=xi,j?xp,q，為每個S選取不同的值，令wj為從葉節(jié)點xl,j到根節(jié)點x0,0路徑上所有節(jié)點的兄弟節(jié)點（根節(jié)點無兄弟節(jié)點）。用戶存儲從其對應(yīng)葉節(jié)點xl,j到根節(jié)點路徑上的所有節(jié)點xi,j減去以其為根的xl,j所有兄弟節(jié)點wj的集合Sj值，其中，j=l2。子集差分方法利用差集選取包含所有未撤銷葉節(jié)點成員的子集Sm，m≤2R?1。

如圖2所示，高為3的完全二叉樹有8個葉節(jié)點，對應(yīng)8個用戶，其中，x3,1、x3,7、x3,8是要撤銷的節(jié)點。利用子集差分方法選取包含未撤銷葉節(jié)點的子集為Si={(x2,1?x3,1),(x1,1?x2,1),(x1,2?x2,4)}，其中，i=3。

圖2子集差分方法示例

2.2 基于離散對數(shù)的知識簽名

知識簽名是一種數(shù)學(xué)構(gòu)造，簽名者可以利用這種數(shù)學(xué)構(gòu)造在不泄露某秘密的前提下，證明自己擁有這個秘密。本方案使用基于離散對數(shù)的知識簽名，具體如下。

稱使等式c=H( g||y||gsyc||m)成立的二元組(c, s)∈{0,1}k×Z*n為對消息m關(guān)于y∈G的離散對數(shù)知識簽名，表示為SKLOG{α∶y=ga}。其中，H∶{0,1}*→{0,1}k是具有抗碰撞性的散列函數(shù)。假設(shè)成員擁有使等式y(tǒng)=gx成立的私鑰x，對消息m的知識簽名(c, s)獲得步驟如下。

2) 計算c=H( g||y|| t||m)。

3) 計算s=(r?xc)modn。

3 本文方案

3.1 系統(tǒng)初始化

1) 群管理員身份為IDC，選取一個RSA模數(shù)nC和一個散列函數(shù)h(·)。選擇公開指數(shù)e1, e2＞1和正整數(shù)f1,f2＞1，且e2與φ(nC)互素，nC因式分解未知，f1,f2的e1次根和e2次根是計算困難的。

2) 選擇在其中計算是離散對數(shù)困難的循環(huán)群G=＜g＞，階為nC，元素h∈G是以g為基的離散對數(shù)，是計算困難的。

3) 選擇私鑰xC∈Zn*，令yC=hxC(modnC)。隨機選擇eC∈Z*n，計算dC滿足eCdC≡1(modφ(nC))。其中，yC、eC為群管理員公鑰，xC、dC為群管理員私鑰。公開(nC,yC,e1, e2,f1,f2, G, g, h)。

4) 群管理員建立一個層數(shù)為l=logN?1的完全二叉樹T，N為樹中葉節(jié)點數(shù)。樹中節(jié)點被標識為xi,j，i=0,···,l和j=0,···,2i分別表示每層和對應(yīng)層的節(jié)點。群管理員為每個群成員Uj分配樹中葉節(jié)點xl,j。利用以下完備子樹方法或子集差分方法初始化。

①完備子樹方法。對每個節(jié)點xi,j，群管理員選擇一個對應(yīng)整數(shù)bk，bk也相當于以對應(yīng)節(jié)點為根的子集Sj值，其中，k=0,···,2l?1。使ak滿足akbk≡1(modφ(nC))，最終群管理員存儲每個樹節(jié)點元組(xi, j,gak,bk,(bk)dC)。此過程在群管理員后臺離線運行，并不占用簽名時間。將從樹根節(jié)點到用戶對應(yīng)葉節(jié)點路徑上所有節(jié)點元組發(fā)送給Uj。群管理員存儲每個用戶信息元組表

②子集差分方法。對每個葉節(jié)點xl,j，群管理員選取xl,j到根節(jié)點路徑上的所有節(jié)點xi,j減去以xi,j為根到xl,j路徑上所有兄弟節(jié)點wj的集合Sj，為每個集合Sj選取一個對應(yīng)整數(shù)bk，其中，k=0,···,2l2?1。使ak滿足akbk≡1(modφ(nC))。發(fā)送對應(yīng)元組{gak,b,(b)dC}l2給U。群管理員存儲kkk=0j每個用戶信息元組表(ID, x,{gak,b,(b)dC}l2)。jl, jkkk=0

5) 假設(shè)系統(tǒng)中有n個成員(n≥2)。群管理員利用完備子樹方法或子集差分方法，選取包含所有未撤銷用戶對應(yīng)葉節(jié)點的子樹集合Sm，用每個子樹的根節(jié)點表示對應(yīng)子集，m為子集數(shù)目。如圖1和圖2所示，群管理員公布子集Sm對應(yīng)的bk集合，其中，t為時間戳。

3.2 成員加入

1) 用戶Ui要加入群，首先隨機選擇xi∈，令yi=xe1i(modnC)，計算身份IiD=gyi(modnC)，

其中，xi、yi是其身份私鑰，并產(chǎn)生一個IDi對g的知識簽名[16]W=SPK[λ∶IDi=gλ](′)。

2) 為防止申請成員證書時群管理員偽造簽名，Ui計算yi的盲化值yi*

以及IDi和的知識證明為

Ui將IDi、yi*、W、U、V發(fā)送給群管理員。

3) 群管理員驗證W、U、V是否正確，若正確，則確信yi*是IDi所含成員密鑰的盲化值，并計算。然后群管理員根據(jù)子集覆蓋給Ui分配一個T中葉節(jié)點xl,i，群管理員用完備子樹方法選擇從葉節(jié)點xl,i到根節(jié)點路徑上所有節(jié)點元組或利用子集差分方法選取從其對應(yīng)葉節(jié)點xl,j到根節(jié)點路徑上的所有節(jié)點xi,j減去以其為根的xl,j所有兄弟節(jié)點wj的集合Sj值，并存儲用戶元組表。將Ui部分證書發(fā)送給Ui。4) U收到H后，驗證v*=((v*)dC)eC，若等式iii成立，則確認是群管理員發(fā)送并保存，計算最終成員證書為

5) 群管理員利用子集覆蓋框架方法，重新選取包含新加入成員和其他所有合法用戶對應(yīng)葉節(jié)點的子樹集合Sm，并公布其對應(yīng)bk集合C=(t,{ bk}mk=1)。

3.3 成員撤銷

群管理員若要撤銷成員Uj，利用完備子樹方法，首先定位到Uj對應(yīng)葉節(jié)點xl,j，重新選擇不包含Uj對應(yīng)葉節(jié)點的子集。根據(jù)樹形結(jié)構(gòu)可知，完備子樹方法中只需避免選擇從xi,j到根節(jié)點路徑上節(jié)點即可，其他子集節(jié)點不變，最后，發(fā)布新的子集列表Sm'={xi,j}i∈l,j∈2i所對應(yīng)bk集合C=(t,{ bk}mk=1)；子集差分方法只需選取新的不包含Uj對應(yīng)葉節(jié)點的差集S=xi,j?xp,q的bk值即可，最后也發(fā)布新的子集列表對應(yīng)集合C。由于新子集列表不包含Uj存儲的bk，Uj無法利用其產(chǎn)生合法簽名。

3.4 簽名

1) Ui要對消息m進行簽名，首先根據(jù)群管理員最新發(fā)布的C和自己的成員證書{gak,b,(b)dC}l找kkk=0到相同b，然后利用(gat,b)元組進行簽名。其中定tt能找到唯一相同bt，因為群管理員根據(jù)子集覆蓋框架中方法選取包含Ui對應(yīng)葉節(jié)點的子集時，必會選取Ui存儲的從xl,i到根節(jié)點路徑上一節(jié)點或子集差中包含其葉節(jié)點（此步驟可在簽名前離線處理，只要收到新的C即可）。然后計算q=(gat)h(m)(modnC)。

2) 與原方案相同，Ui首先計算對信息的知識簽名，證明是其群成員；其次，利用群管理員的公鑰對其成員公鑰進行加密，讓群管理員在必要時可以打開簽名。具體描述如下。

3.5 驗證

Uj收到Ui的簽名，首先確認bt在最新群公布列表中，驗證等式b=((b)dC)eC(modn)和gh(m)=ttC qbt(modn)是否成立，若都成立，驗證消息的完整C性和Ui是未被撤銷成員群成員，否則拒絕簽名。然后驗證(V1, V2, V3)的正確性，若正確，驗證者確信δe2=fβe1+f(modn)，γ=αf(modn)，從而使12C1C驗證者相信IDi*和d的計算使用了同一個隨機數(shù)r=ε，接受簽名。同時確保在必要時，群管理員可以打開簽名。

3.6 追蹤

本方案的追蹤過程與原群簽名方案的追蹤過程完全一致，通過計算來追蹤Ui身份。

4 安全性和效率分析

本節(jié)對方案的安全性和效率進行分析。安全性主要包括正確性、匿名性、防聯(lián)合攻擊、防偽造攻擊、防權(quán)威陷害攻擊、非關(guān)聯(lián)性6個方面內(nèi)容。此外，將方案安全性和效率與已有方案進行對比，體現(xiàn)本方案的優(yōu)勢。

4.1 安全性分析

4.1.1 正確性

1) 驗證者首先通過檢查bt是否在最新群公布的列表C中來判斷簽名者是否被撤銷；通過驗證等式和來確認簽名的合法性和消息完整性。因為中dC是群管理員私鑰，表明bt是群管理員私鑰簽署；因為，其中，h( m)表明消息的完整性，gat是成員注冊時群管理員秘密發(fā)送給群成員的，等式成立表明該成員是合法群成員。

3)若群管理員追蹤簽名者Ui身份，發(fā)現(xiàn)其有非法行為，就要把Ui撤銷。根據(jù)子集覆蓋中完備子樹方法或子集差分方法，群管理員選取新的子集時不包含Ui存儲的元組對應(yīng)節(jié)點，然后發(fā)布新子集節(jié)點對應(yīng)的bk集合。這樣，Ui在簽名時無法在新C中找到相同bk，無法通過等式驗證，因為解為離散對數(shù)困難性問題。因此，Ui被撤銷。

4.1.2 匿名性

Ui簽名為，其中，是Ui身份IDi的盲化值，每次簽名都取不同隨機數(shù)進行盲化，攻擊者若想從IDi*中計算得出IDi，就要解決離散對數(shù)困難性問題。因此，本方案滿足匿名性。

4.1.3 防聯(lián)合攻擊

1)若n＞1個群成員想聯(lián)合進行共模攻擊[16]，則需得到nC分解因子，從而攻破群系統(tǒng)，偽造其他任何成員簽名。但通過進行共模攻擊分解nC，就要知道ak和bk。由于群成員只知道和，求解ak等價于求解離散對數(shù)困難問題。因此，群成員無法進行聯(lián)合攻擊分解nC。

2)根據(jù)周玉等[17]對 Camenisch-Stadler方案安全分析可知，在不知nC因式分解前提下，群成員可以聯(lián)合攻擊，以此偽造密鑰身份證書進行簽名，并被跟蹤。此類攻擊策略是幾個用戶利用關(guān)聯(lián)的私鑰注冊，獲得內(nèi)在關(guān)聯(lián)的身份證書，然后算出群管理員簽名的關(guān)鍵因子。本方案在用戶注冊時產(chǎn)生一個對g的知識簽名，防止用戶關(guān)聯(lián)私鑰進行注冊。同時，在簽名驗證時驗證的正確性，使驗證者確信，從而驗證者相信和d的計算使用同一個隨機數(shù)r=ε，即是Ui利用群管理員公鑰(h, yC)對成員公鑰IDi的一個ElGamal加密。若群中能夠產(chǎn)生有效、不被追蹤的簽名，則表明群成員能偽造群私鑰，其難度相當于求解離散對數(shù)困難性難題。

4.1.4 防偽造攻擊

若成員 Uj想要偽造一個可通過驗證的簽名，且真實身份不被追蹤。Uj可從以下3個方面進行偽造攻擊。

1)Uj聯(lián)合其他成員利用關(guān)聯(lián)注冊或共模攻擊分解nC，從而攻破整個系統(tǒng)，進行偽造攻擊。由4.1.1節(jié)可知，本方案在注冊時利用知識簽名實現(xiàn)防聯(lián)合攻擊，Uj無論被撤銷與否，都不能聯(lián)合攻擊，也無法利用共模攻擊分解nC，從而不能偽造簽名。

2) Uj從收到的簽名中獲取簽名信息偽造簽名。假設(shè)Uj收到成員Ui的簽名σi，利用其(q, bt,簽名信息偽造簽名。若Uj被撤銷，群管理員利用子集覆蓋中方法選擇的子集對應(yīng)值并不在Uj存儲的元組列表中，解gat為離散對數(shù)困難性問題，因此，Uj簽名無法通過Ui等式驗證；若未被撤銷，在群管理員公布的I中找到自己存儲Ui對應(yīng)元組IDi，簽名能夠通過I等式驗證，但由于不知IDi私鑰和分解，無法通過正確性驗證。因此，Uj無法成功利用其他成員簽名信息偽造簽名。

3)Uj被撤銷后，修改自己的簽名和驗證，信息通過驗證來偽造簽名。由于Uj被撤銷，C被更新，其存儲的bk不屬于當前群發(fā)布C中的值，已不能通過驗證。Uj想偽造bt′和q′值進行簽名，并通過驗證，但U無法獲知群j私鑰dC，無法通過驗證。所以，無法通過修改信息偽造簽名。

4.1.5 防權(quán)威陷害攻擊

本文方案中成員Ui向群管理員注冊時，Ui只將yi的盲化值和IDi發(fā)送給群管理員，其私鑰信息xi,yi并未告知群管理員，群管理員若要偽造Ui簽名，計算中y為離散對數(shù)難題。i所以，群管理員無法冒充群成員進行簽名。

4.1.6非關(guān)聯(lián)性

根據(jù)樹結(jié)構(gòu)特性，本方案中bk并不是唯一對應(yīng)一個成員身份，即使群成員收到簽名中的bk，也無法確定bk對應(yīng)多少成員身份，更無法定位到哪個成員，滿足非關(guān)聯(lián)性。

4.2 效率分析

針對效率分析，本方案對基于完備子樹方法方案和基于子集差分方法方案效率都進行了分析和對比。對比方案都滿足成員撤銷，如表1所示，既有基于雙線性對的Libert方案[7]和Nakanish方案[8]，又有對Camenisch-Stadler方案修改的李新社方案[9]和張德棟方案[12]。同時給出了本文方案與李新社方案[9]和張德棟方案[12]的詳細開銷對比，體現(xiàn)了本文方案具有一定優(yōu)勢。表1中，“T”表示撤銷成員次數(shù)，“R”和“N”分別表示撤銷成員數(shù)和成員總數(shù)；表2中，“E”表示模冪運算次數(shù)，“H”表示散列運算次數(shù)。

從表1可知，本文完備子樹方案和子集差分方案在群公鑰長度、簽名長度以及簽名開銷和驗證開銷都是最低的O(1)，完備子樹方案增加了少量撤銷開銷，但達到比子集差分方案更小的成員證書長度；子集差分在撤銷開銷和存儲方面更低，但增加了成員證書存儲。相比其他方案，本文 2種方案在群公鑰長度、簽名長度、簽名開銷和驗證開銷復(fù)雜度都是最低，其中，完備子樹的撤銷列表長度也較低；雖然張德棟方案撤銷開銷更低，但其簽名、驗證具體開銷大大高于本文 2種方案，且本文撤銷開銷都是查詢邏輯樹結(jié)構(gòu)代價，并非計算代價。綜合對比，本文方案具有更平衡的整體開銷。

表1各協(xié)議開銷復(fù)雜度對比

表 2開銷詳細對比中的方案都是基于對Camenisch-Stadler方案的修改方案，從對比中可知，本文2種方案的簽名開銷最低，驗證開銷略高于李新社方案，但李新社方案撤銷計算開銷太大，撤銷開銷只比張德棟方案略高，但張方案在簽名和驗證開銷使用了大量的散列函數(shù)和指數(shù)運算，開銷明顯高于本文方案；同時，本文撤銷開銷為群管理員選取子集時查詢代價，無需大量計算開銷。故在整體開銷方面，本方案是對比方案中最好的。

表2開銷詳細對比

5 結(jié)束語

本文方案通過將子集覆蓋框架的完備子樹方法或子集差分方法與Camenisch-Stadler方案相結(jié)合，實現(xiàn)了成員撤銷和加入，并在成員注冊時增加一次知識簽名，實現(xiàn)了防聯(lián)合攻擊，同時，還實現(xiàn)了匿名性、防偽造性和防權(quán)威陷害攻擊以及非關(guān)聯(lián)性。效率方面，通過對本文2種方法方案對比可見，完備子樹方案適合群管理員計算能力和開銷較強，用戶只需存儲很少成員證書的情況；而子集差分方法適合群管理員計算和存儲能力適中，用戶存儲能力較強的情況。在與其他方案對比中可看出，本方案具有更平衡的整體開銷，體現(xiàn)了本方案的一定優(yōu)勢。但本文2種方案在撤銷時的查詢代價與撤銷成員數(shù)相關(guān)，如何減少撤銷代價有待今后進一步研究。

[1]CHAUM D, VAN H E. Group signatures[M]//Advances in Cryptology.Berlin Heidelberg: Springer, 1991: 257-265

[2]MALINA L, VIVES-GUASCH A, CASTELLà-ROCA J, et al. Efficient group signatures for privacy-preserving vehicular networks[J].Telecommunication Systems, 2015, 58(4): 293-311.

[3]KUZHALVAIMOZHI S, RAO G R. Privacy protection in cloud using identity based group signature[C]//2014 Fifth Applications of Digital Information and Web Technologies (ICADIWT), IEEE. 2014: 75-80.

[4]MALINA L, SMRZ J, HAJNY J, et al. Secure electronic voting based on group signatures[C]// 201538th International Conference on Telecommunications and Signal Processing. 2015: 6-10.

[5]CAMENISCH J, STADLER M. Efficient group signature schemes for large groups[M]//Advances in Cryptology. Berlin Heidelberg: Springer,1997: 410-424.

[6]王尚平, 王育民, 王曉峰, 等. 群簽名中成員刪除問題的更新算子解決方案[J]. 軟件學(xué)報, 2003, 14(11): 1911-1917.WANG S P, WANG Y M, WANG X F, et al. A new solution scheme for the member deletion problem in group signature by use of renew operator[J]. Journal of Software, 2003, 14(11): 1911-1917.

[7]LIBERT B, VERGNAUD D. Group signatures with verifier-local revocation and backward unlinkability in the standard model[M]//Cryptology and Network Security. Berlin Heidelberg: Springer, 2009:498-517.

[8]NAKANISHI T, FUNABIKI N. Verifier-local revocation group signature schemes with backward unlinkability from bilinear maps[M]//Advances in Cryptology. Berlin Heidelberg: Springer, 2005: 533-548.

[9]李新社, 胡予濮. 一個群簽名成員刪除方案的分析和改進[J]. 西安電子科技大學(xué)學(xué)報, 2008, 35(3): 478-482.LI X S, HU Y P. Analysis and improvement of the group signature member deletion scheme[J]. Journal of Xindian University, 2008,35(3): 478-482.

[10]FAN C I, HSU R H, MANULIS M. Group signature with constant revocation costs for signers and verifiers[M]//Cryptology and Network Security. Berlin Heidelberg: Springer, 2011: 214-233.

[11]LIBERT B, PETERS T, YUNG M. Scalable group signatures with revocation[M]//Advances in Cryptology. Berlin Heidelberg: Springer,2012: 609-627.

[12]張德棟, 馬兆豐, 楊義先, 等. 群簽名中成員撤銷問題解決方案[J].通信學(xué)報, 2014, 35(3): 193-200.ZHANG D D, MA Z F, YANG Y X, et al. New solution scheme for the member revocation in group signature[J]. Journal on Communications,2014, 35(3): 193-200.

[13]LING S, NGUYEN K, WANG H. Group signatures from lattices:simpler, tighter, shorter, ring-based[M]//Public-Key Cryptography.Berlin Heidelberg: Springer, 2015: 427-449.

[14]SU Q, LI W M. Improved group signature scheme based on quantum teleportation[J]. International Journal of Theoretical Physics, 2014,53(4): 1208-1216.

[15]NAOR D, NAOR M, LOTSPIECH J. Revocation and tracing schemes for stateless receivers[M]//Advances in Cryptology. Berlin Heidelberg:Springer, 2001: 41-62.

[16]STINSON D R. Cryptography: theory and practice[M]. CRC Press, 2005.

[17]周玉, 施榮華, 胥磊. Camenisch—Stadler 群簽名方案安全性的進一步分析與改進[J]. 計算機工程與應(yīng)用, 2007, 42(35): 130-132.ZHOU Y, SHI R H, XU L. Further analysis and improvement for Camenisch-Stadler group signature schemes[J]. Computer Engineering and Applications, 2007, 42(35): 130-132.

Efficient group signature scheme with revocation

ZHONG Hong, HUANG Cong-lin, XU Yan, CUI Jie
(School of Computer Science and Technology, Anhui University, Hefei 230601, China)

A group signature scheme which combines the subset cover framework with Camenisch-Stadler scheme was proposed. This scheme allowed any group members’ entrance and revocation without changing other members’ secret key.Meanwhile, the scheme added a knowledge signature while registering, that realized coalition resistance. It is shown that the scheme not only has the characteristics of anonymity and no-relation, but also can resist conspiracy attacks, forgery attack and authority trap attack. As for efficiency, the scheme just slightly increases the length of group members’ certificates, with the signature and verification complexity remaining at constant level.

group signature, subset cover framework, conspiracy attack, no-relation

s:The National Natural Science Foundation of China (No.61572001), The Natural Science Foundation of Anhui Province (No.201508085QF132)

TP309.7

A

10.11959/j.issn.1000-436x.2016191

2016-02-02；

2016-06-07

黃叢林，hcllin313@163.com

國家自然科學(xué)基金資助項目（No.61572001）；安徽省自然科學(xué)基金資助項目（No.201508085QF132）

仲紅（1965-），女，安徽固鎮(zhèn)人，博士，安徽大學(xué)教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與信息安全。

黃叢林（1990-），男，安徽廣德人，安徽大學(xué)碩士生，主要研究方向為車聯(lián)網(wǎng)匿名認證協(xié)議和群簽名方案。

許艷（1982-），女，江蘇泗洪人，博士，安徽大學(xué)講師，主要研究方向為信息安全和無線傳感網(wǎng)絡(luò)。

崔杰（1980-），男，河南淮陽人，博士，安徽大學(xué)副教授、碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與信息安全。