歐海文 雷亞超 王湘南

1(北京電子科技學(xué)院 北京 100070)2(西安電子科技大學(xué)通信工程學(xué)院 陜西 西安 710071)

0 引 言

群簽名作為一種特殊的數(shù)字簽名，不僅可以實(shí)現(xiàn)對簽名者的匿名，在必要的時(shí)候還可以實(shí)現(xiàn)對簽名者的追蹤。因此，自1991年群簽名[1]被提出以來，短時(shí)間內(nèi)就出現(xiàn)了很多經(jīng)典的群簽名方案[2-5]，同時(shí)隨著應(yīng)用情況和安全性因素的變化，很多改進(jìn)方案也相應(yīng)而生[6-7]。為了進(jìn)一步提高群簽名方案的效率和安全性，2015年白永祥[8]提出了一種高效的群簽名方案。2018年，針對白永祥方案不能抵抗合謀攻擊的問題，于璇等[9]基于橢圓曲線上的離散對數(shù)問題對白永祥的方案進(jìn)行了改進(jìn)，雖然增強(qiáng)了其抗合謀攻擊的能力，但是改進(jìn)方案過于繁瑣復(fù)雜，執(zhí)行效率較低。

本文通過對這些群簽名方案[8-9]進(jìn)行深入分析和研究，提出了一個(gè)安全性無減弱，但簽名長度更短、計(jì)算復(fù)雜度更低的簽名方案。該方案首先通過添加隨機(jī)數(shù)的方式打破了公鑰狀態(tài)列表中公鑰和私鑰的直接聯(lián)系，規(guī)避了被撤銷成員聯(lián)合得出其他成員私鑰的風(fēng)險(xiǎn)。其次，考慮到應(yīng)用過程中私鑰泄露所造成的嚴(yán)重后果，在對一些具有前向安全性群簽名方案研究[10-13]的基礎(chǔ)上，提出了具有下述特點(diǎn)的群成員和群管理員的密鑰更新方案：群成員私鑰隨時(shí)間段跨越而自然更新，群中成員不需要重新修改原始密鑰，只要使簽名方案進(jìn)入下一個(gè)時(shí)間段，就可以成功度過危險(xiǎn)期，避免因私鑰泄露造成的危害。而且在不知道隨機(jī)數(shù)r和a的情況下,方案具有前后向安全性，從而減少了群成員反復(fù)注冊和修改信息的次數(shù)，大大增加了方案在應(yīng)用時(shí)的容錯(cuò)性和穩(wěn)定性。相較于文獻(xiàn)[10-13]，本文通過在簽名過程中將私鑰更新方案中的變化量間接傳遞給群管理員，簡化了由于私鑰變化所造成的復(fù)雜的檢驗(yàn)過程，而且還不需要借助第三方的參數(shù)。

本文研究改進(jìn)的群簽名方案對當(dāng)今應(yīng)用廣泛的區(qū)塊鏈技術(shù)也有重要的意義。因?yàn)閰^(qū)塊鏈的去中心和不可篡改特性，使得用戶的身份和交易信息一旦泄露將是永久性行為，所以當(dāng)區(qū)塊鏈系統(tǒng)中的用戶存在密鑰泄露時(shí)，就會(huì)造成不可挽回的永久性損失。由于本文提出的方案中設(shè)置了隨時(shí)間段變化的私鑰更新環(huán)節(jié)，所以當(dāng)區(qū)塊鏈中用戶利用該方案進(jìn)行交易簽名確認(rèn)時(shí)，不僅可以在私鑰泄露后保證前面所進(jìn)行交易的安全性，還可以使用戶繼續(xù)進(jìn)行安全的交易簽名，降低了私鑰泄露帶來的巨大損失。

1 簽名方案

由文獻(xiàn)[14]可知，存在滿足條件的橢圓曲線可構(gòu)成co-GDH的短簽名方案。所以本文利用該理論提出了一種簽名長度較短的，具有前向安全性的新的群簽名方案。

1.1 系統(tǒng)初始化

選取G1=

,G2=,|G1|=|G2|=p,其中P∈E(Fq),Q∈E(Fqα)。由文獻(xiàn)[9]可知，存在對應(yīng)的非退化的雙線性映射e:G1×G2→GT,H:{0,1}*→G1，H1:{0,1}*→Zp,同構(gòu)映射ψ:G2→G1。

對于GM：取x0∈RZp，計(jì)算Y=x0Q∈G2，其中x0為群管理員私鑰，Y為公鑰。故群公共參數(shù)為{p,P,Q,G1,G2,e,H,ψ}，群公鑰為Y。

1.2 成員加入

(1) 對于ui，ui取xi,0，ri∈RZp，計(jì)算yi=xi,0Q∈G2，Ki=riH(IDi)，Li=riQ，然后將(IDi,yi,Ki,Li)發(fā)送給GM。其中IDi代表成員ui的現(xiàn)實(shí)身份信息。

(2) 收到(IDi,yi,Ki,Li)后，GM先驗(yàn)證等式e(Ki,Q)=e(H(IDi),Li)是否成立，確認(rèn)IDi的有效性。即：

e(Ki,Q)=e(riH(IDi),Q)=e(H(IDi),riQ)=e(H(IDi),Li)

若成立，計(jì)算：

表1 PKSL表

1.3 成員密鑰更新

成員密鑰泄露在簽名中往往會(huì)造成嚴(yán)重后果，近年來，為了降低密鑰泄露所造成的損失，陸續(xù)提出了前向安全、入侵容忍和密鑰隔離等技術(shù)。這些方法都是以密鑰更新為基礎(chǔ)。其中密鑰隔離技術(shù)需要借助協(xié)助器進(jìn)行密鑰的更新，而且每次更新都是相互獨(dú)立的，這將會(huì)大幅增加通信成本以及對通信安全性的要求。本文方案主要采用前向安全技術(shù)，即通過利用一個(gè)單向函數(shù)進(jìn)行密鑰的更新。即：

(1) 將整個(gè)有效時(shí)間劃分為若干個(gè)時(shí)間段1，2，…,L。

(2) 在第j階段，設(shè)群成員ui的密鑰為xi,j，群管理員密鑰為xj，則第j+1階段的密鑰為：

xi,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

xj+1=xj+pH1(aP‖j+1)

式中:ri為ui在申請加入群時(shí)選取的隨機(jī)數(shù)，a∈RZp為固定常數(shù)。

(3) 在計(jì)算出第j+1階段的密鑰后，立即刪除第j階段密鑰。

1.4 消息簽名

群成員ui對于消息M：

表2 追蹤列表

(3)成員ui接收到c后，驗(yàn)證e(c,Q)=e(Ti,Y)是否成立，若成立(c，Time，Ti，Vi)即為群成員ui對于消息M的簽名。

1.5 簽名驗(yàn)證

驗(yàn)證者在接收到簽名(c，Time，Ti，Vi)后，驗(yàn)證e(c,Q)=e(Ti,Y)是否成立，若成立，則接受(c，Time，Ti，Vi)為群成員ui對于消息M的正確的群簽名。

1.6 簽名打開

1.7 成員撤銷

2 正確性與安全性分析

2.1 正確性分析

與文獻(xiàn)[9]一樣，該方案中的系統(tǒng)建立以及簽名過程也存在管理員與成員雙向驗(yàn)證身份的過程。

(3) 私鑰更新的迭代。對于群中成員的私鑰更新方案，即：

因?yàn)閤i,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

所以xi,j+1=xi,j-1+H1(riP‖j)-H1(riP‖j-1)+

H1(riP‖j+1)-H1(riP‖j)=

xi,j-1+H1(riP‖j+1)-H1(riP‖j-1)=

?

xi,0+H1(riP‖j+1)-H1(riP‖0)

對于群管理員第j+1階段私鑰：

xj+1=xj+pH1(aP‖j+1)

因?yàn)?|G2|=p，G2=

所以xj+1Q=xjQ

由上述推導(dǎo)過程可知，在不泄露隨機(jī)數(shù)ri的情況下，群成員私鑰更新方案既具有前向安全性，還具有后向安全性。而對于群管理員，在不泄露隨機(jī)數(shù)a的情況下，滿足前向安全性，而且在整個(gè)群管理員初始密鑰有效的過程中，群公鑰不發(fā)生改變。

(4) 簽名的正確性。首先驗(yàn)證簽名(c，Time，Ti，Vi)中的c的正確性，證明簽名過程確實(shí)有群管理員參與。即驗(yàn)證：e(c,Q)=e(xjTi,Q)=e(Ti,xjQ)=e(Ti,Y)。其次，驗(yàn)證Ti的正確性，即：

Ti=H(M‖Time‖Q‖biQ)=

因?yàn)閂i=bi-Tixi,j

所以biQ=(Vi+Tixi,j)Q=ViQ+Tixi,jQ=

ViQ+Ti(xi,0+h1-h2)Q=

ViQ+Ti(xi,0Q+h0Q)=

通過上述幾個(gè)方面的分析，證明了本文所提方案的正確性。

2.2 安全性分析

根據(jù)群簽名的安全性要求，本文將從以下幾個(gè)方面論述本文方案的安全性。

(1) 匿名性。接收到簽名(c，Time，Ti，Vi)后，驗(yàn)證者只是驗(yàn)證e(c,Q)=e(Ti,Y)是否成立來決定是否接受該簽名，其中只用到了群管理員GM的公鑰Y，并沒有涉及群成員ui的信息。所以，本方案滿足匿名性。

(3) 追蹤性。接收到簽名(c，Time，Ti，Vi)后，群管理員GM可直接根據(jù)Ti、Vi值查找追蹤列表，從而追蹤到該簽名者的身份信息，實(shí)現(xiàn)追蹤的目的。

(5) 不可關(guān)聯(lián)性。對任意消息M的簽名(c，Time，Ti，Vi)，其中Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j，c=xjTi，bi∈RZp，Time是群成員準(zhǔn)備進(jìn)行簽名時(shí)從可信時(shí)間戳機(jī)構(gòu)獲得的時(shí)間。所以可知簽名中的所有成員都是隨機(jī)的不涉及簽名成員信息的，滿足不可關(guān)聯(lián)性。

(6) 防陷害性。由上述簽名過程可知群管理員和群成員都不能代替他人產(chǎn)生有效的簽名。因?yàn)闊o論是群管理員還是群中成員都有秘密保存的私鑰，在其不暴露的情況下，該方案都是滿足防陷害性的。而且，由Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j可知只有知道私鑰xi,j的成員才能產(chǎn)生符合Ti=H(M‖Time‖Q‖(ViQ+Tiyi+h0Q))的Ti、Vi,故群中成員可通過驗(yàn)證Ti、Vi的值來防止群管理員冒充自己偽造簽名，同時(shí)證明群管理員的不可信。

(7) 前向安全性。該簽名方案通過構(gòu)建不改變初始公鑰的密鑰更新方案，在不同階段產(chǎn)生不同的私鑰值，而且由Hash函數(shù)的單向性可知，在不知道隨機(jī)數(shù)ri和a情況下，無法由當(dāng)前密鑰獲取之前的密鑰。所以即使當(dāng)前的私鑰泄露或丟失，前面階段所產(chǎn)生的簽名仍然是安全的，可被驗(yàn)證的。

(8) 后向安全性。由群成員的私鑰更新方案可知，在不知道隨機(jī)數(shù)ri的情況下，無法從當(dāng)前密鑰推之前和之后的密鑰。故在群成員當(dāng)前密鑰泄露時(shí)，不需要重新選取初始密鑰，只需過渡到下一階段，即可進(jìn)行安全的簽名，避免因私鑰泄露造成危害。

3 效率分析

文獻(xiàn)[9]基于白永祥方案提出了一種橢圓曲線上的高效安全的實(shí)現(xiàn)方案。將本文方案與文獻(xiàn)[9]方案從成員加入簽名驗(yàn)證的計(jì)算復(fù)雜度進(jìn)行比較。綜合兩個(gè)簽名方案可知，方案中的主要操作是橢圓曲線上的乘法、雙線性映射的計(jì)算以及Hash函數(shù)的計(jì)算，所以本文主要考慮這三種主要操作的數(shù)目來衡量簽名方案效率。計(jì)算復(fù)雜度如表3所示。

表3 計(jì)算復(fù)雜度對比表

由表3可知，在保持同樣安全性的前提下，本文所提方案的效率遠(yuǎn)高于文獻(xiàn)[9]中方案，而且簽名長度也短。同時(shí)在實(shí)現(xiàn)簽名的前向安全性方面，本文方案中設(shè)計(jì)的密鑰更新方案較文獻(xiàn)[10-13]也更加簡潔，而且還能實(shí)現(xiàn)后向安全性。

4 結(jié) 語

性設(shè)計(jì)將會(huì)更易于本文方案的實(shí)際應(yīng)用，尤其是對于現(xiàn)在應(yīng)用廣泛的區(qū)塊鏈技術(shù)。下一步，我們將會(huì)注重研究群簽名的實(shí)際應(yīng)用。