陳 虹，陳紅霖，黃 潔，肖成龍，郭鵬飛，金海波

遼寧工程技術(shù)大學(xué) 軟件學(xué)院，遼寧 葫蘆島 125105

1 引言

隨著移動(dòng)網(wǎng)絡(luò)不斷普及并深入人們的生活，越來(lái)越多的人開(kāi)始注重個(gè)人的信息安全，尋求更加可靠的網(wǎng)絡(luò)訪問(wèn)方式。為了保護(hù)用戶(hù)信息的安全性和匿名性，經(jīng)過(guò)研究者們的長(zhǎng)期摸索，逐漸提出了一系列可行方案。

1982 年Chaum[1]第一次提出了盲簽名的概念。在盲簽名模式下，簽名者不能獲取簽名請(qǐng)求者所請(qǐng)求簽名的內(nèi)容。由于上述特性，使其迅速在數(shù)字現(xiàn)金、電子投票等匿名環(huán)境中得到廣泛應(yīng)用。但盲簽名完全的盲性使簽名者失去了對(duì)簽名內(nèi)容的控制力。1996 年Abe 等人[2]提出了部分盲簽名的概念。該方案允許簽名請(qǐng)求者在簽名中嵌入與簽名者預(yù)先協(xié)商的、且不能被移除或非法修改的公共信息。例如簽名的時(shí)間、簽名的有效期等。部分盲簽名方案為簽名的隱私性和可控性找到了新的平衡點(diǎn)，在某些需要保護(hù)隱私，但又強(qiáng)調(diào)安全性的場(chǎng)景中有著廣闊的應(yīng)用前景。

對(duì)部分盲簽名的研究已延續(xù)了20 多年，在2005年和2013 年，Chow 和Tang 等人[3-4]分別對(duì)部分盲簽名進(jìn)行了闡述。2016 年，Liu 等人[5]對(duì)基于身份的無(wú)可信私鑰生成中心的部分盲簽名方案進(jìn)行了改進(jìn)，解決了其對(duì)篡改公共信息攻擊安全性不足的問(wèn)題。2018 年，Ye 等人[6]提出了基于格的部分盲簽名，該方案能夠有效抵抗未來(lái)量子算法的攻擊。學(xué)術(shù)界目前研究的主要方向集中在基于身份的部分盲簽名方案上，但是根據(jù)Li等人[7]在2012年所述，無(wú)證書(shū)部分盲簽名同樣具有巨大的發(fā)展前景。

如今，移動(dòng)網(wǎng)絡(luò)已經(jīng)成為日常生活中的一部分，并為人們的生活帶來(lái)了許多的便利。但是正如瀏覽器中加入“不追蹤”選項(xiàng)的意圖，現(xiàn)在的網(wǎng)絡(luò)訪問(wèn)將用戶(hù)的個(gè)人信息完全暴露在大眾的視野之中，公眾的個(gè)人信息正面臨巨大的危機(jī)。1990年，Chaum[8]提出了零知識(shí)證明的又一途徑，無(wú)條件不可鏈接偽名。該方案將用戶(hù)的個(gè)人數(shù)據(jù)變更為非個(gè)人數(shù)據(jù)，以確保數(shù)據(jù)不會(huì)涉及到某個(gè)可識(shí)別的具體的人。該方案自提出以來(lái)，被廣泛應(yīng)用于車(chē)輛路線(xiàn)規(guī)劃、公共分享等需要用戶(hù)數(shù)據(jù)，但也需要保護(hù)用戶(hù)隱私的參與式活動(dòng)的研究中，國(guó)內(nèi)外專(zhuān)家學(xué)者也對(duì)其進(jìn)行了深入研究[9-16]。

2012 年，Bender 等人[17]在德國(guó)的個(gè)人身份證上對(duì)基于域的偽名簽名進(jìn)行了初步嘗試，但簽名設(shè)備可能被認(rèn)證機(jī)構(gòu)所控制，認(rèn)證機(jī)構(gòu)可以偽造用戶(hù)的簽名。2013年和2014年，Bringer[18-19]分別提出了防共謀的域偽名簽名，以及一個(gè)為動(dòng)態(tài)域偽名簽名建立的安全模型，確保域偽名在域內(nèi)是可被鏈接的，但在域外不可鏈接。2018年，Kuty?owski等人[20]在Bringer的基礎(chǔ)上進(jìn)行改進(jìn)，確保了發(fā)布者無(wú)法偽造用戶(hù)偽名，加強(qiáng)了獲取用戶(hù)真實(shí)身份所需要的權(quán)限，保證了即使中央認(rèn)證機(jī)構(gòu)和域管理機(jī)構(gòu)合謀，也只能鏈接用戶(hù)的偽名，而無(wú)法獲取用戶(hù)的真實(shí)身份，但其獲取用戶(hù)真實(shí)身份的過(guò)程仍可能存在偽造或重放攻擊的風(fēng)險(xiǎn)。

針對(duì)Kuty?owski方案存在的問(wèn)題，本文在其基礎(chǔ)上進(jìn)行了改進(jìn)，提出了基于可信第三方的雙重偽名簽名方案，保證了即使認(rèn)證機(jī)構(gòu)和域管理機(jī)構(gòu)合謀也不能對(duì)用戶(hù)的偽名進(jìn)行鏈接，提高了偽名簽名方案的安全性。同時(shí)，相較于大多數(shù)以大量增加運(yùn)算量為代價(jià)的第三方方案，本文方案在一次完整過(guò)程中的總時(shí)間增加了大約30 ms。但在實(shí)際操作中，方案的主要過(guò)程，偽名簽名和驗(yàn)證過(guò)程，所消耗的時(shí)間與原始方案基本相同。此外，通過(guò)可信第三方的追蹤機(jī)構(gòu)獲取用戶(hù)的真實(shí)身份，不僅可以識(shí)別錯(cuò)誤的或被篡改的用戶(hù)真實(shí)身份信息，而且在效率方面具有極大的提升。

2 相關(guān)理論

2.1 群

設(shè)G是一個(gè)非空集合，“?”是它的一個(gè)二元運(yùn)算，如果滿(mǎn)足封閉性、結(jié)合律、單位元存在、逆元存在，則稱(chēng)G對(duì)?構(gòu)成一個(gè)群。特別地，當(dāng)?寫(xiě)作乘法時(shí)，G為乘群；當(dāng)?寫(xiě)作加法時(shí)，G為加群。

群G的元素個(gè)數(shù)叫作群G的階，記為|G|。當(dāng)|G|為有限數(shù)時(shí)，G叫作有限群，否則G叫作無(wú)限群。如果群G中的二元運(yùn)算還滿(mǎn)足交換律，那么G叫作一個(gè)交換群或阿貝爾群。

如果S是群G的子集，則S所生成的子群是包含所有S的元素G的最小子群。等價(jià)地說(shuō)，是可以用S的元素和它們的逆元中的有限多個(gè)元素的乘積表達(dá)的G的所有元素的子群。如果G=，則稱(chēng)S生成G,S中元素叫作生成元或群生成元。

2.2 離散對(duì)數(shù)問(wèn)題

在整數(shù)中，離散對(duì)數(shù)是一種基于同余運(yùn)算和原根的對(duì)數(shù)運(yùn)算。而在實(shí)數(shù)中對(duì)數(shù)的定義logba是指對(duì)于給定的a和b，有一個(gè)數(shù)x，使得bx=a。相同地，在任何群G中可為所有整數(shù)k定義一個(gè)冪數(shù)為bk，而離散對(duì)數(shù)logba是指使得bk=a的整數(shù)k。在該問(wèn)題中，已知x和b求解a是容易的，但已知b和a求解x是困難的。

2.3 決策性Diffie-Hellman問(wèn)題（DDH問(wèn)題）

假設(shè)一個(gè)階為q的（乘法）循環(huán)群G，生成元為g。DDH 假設(shè)是指對(duì)于統(tǒng)一隨機(jī)選取的a，b∈Zq，給定ga、gb、gab“看起來(lái)像是”群G中的隨機(jī)元素。這個(gè)直觀的概念可以描述為以下兩個(gè)概率分布在計(jì)算上是不可分的：

（1）（ga，gb，gab），其中a、b從群Zq中隨機(jī)獨(dú)立選擇。

（2）（ga，gb，gc），其中a、b、c從群Zq中隨機(jī)獨(dú)立選擇。

第一個(gè)元組被稱(chēng)為DDH元組。

3 Kuty?owski的方案

首先簡(jiǎn)要介紹Kuty?owski的方案[20]如下：

3.1 系統(tǒng)建立

假定一個(gè)素?cái)?shù)階q的群G，G具有DDH 困難問(wèn)題，且設(shè)g為G選定的生成元。Zq表示階為q的整數(shù)群。

認(rèn)證機(jī)構(gòu)（certification authority，CA）持有隨機(jī)選擇私鑰SKICC，SKM，SKL∈Zq和對(duì)應(yīng)的公鑰PKICC，PKM，PKL，其中

為了去掉偽名，CA 持有隨機(jī)選擇的私鑰δ、γ和對(duì)應(yīng)的公鑰Δ、Γ，其中Δ=gδ和Γ=gγ。

3.2 用戶(hù)的預(yù)密鑰

CA為簽名設(shè)備預(yù)置了滿(mǎn)足式（1）的私鑰(x0′，x1′，x2′)和成對(duì)的、同樣滿(mǎn)足上述線(xiàn)性方程的(x0″，x1″，x2″)，其中IDA是用戶(hù)A的身份令牌，詳見(jiàn)3.3節(jié)。CA還為簽名設(shè)備準(zhǔn)備了與上述私鑰對(duì)應(yīng)的公鑰(P0′，P1′，P2′)和(P0″,P1″,P2″)，其 中隨機(jī)選擇x1′∈Zq（同樣選擇不同的x1″)、x0′、x2′（同樣計(jì)算不同的x0″、x2″）是基于上述線(xiàn)性方程得出的。

向用戶(hù)提供包含(x0′，x1′，x2′)，(x0″，x1″，x2″)的簽名設(shè)備。同時(shí)，直接為用戶(hù)提供公共密鑰。

3.3 創(chuàng)建IDA

在注冊(cè)用戶(hù)A時(shí)，CA 獨(dú)立地隨機(jī)選擇s∈Zq，令I(lǐng)DA=s，將包含的明文記錄存儲(chǔ)在CA 的數(shù)據(jù)庫(kù)DBID中（IDA值未發(fā)布，直接銷(xiāo)毀）。

3.4 簽名密鑰私有化

用戶(hù)對(duì)預(yù)密鑰進(jìn)行私有化處理，確保即使CA保留了預(yù)密鑰，也無(wú)法偽造用戶(hù)簽名私鑰。

3.5 域的參數(shù)

其中，指數(shù)d1由CA隨機(jī)選擇，指數(shù)d2由目標(biāo)域管理機(jī)構(gòu)隨機(jī)選擇。

3.6 創(chuàng)建簽名

（1）隨機(jī)選擇k0、k1、k2。

（3）計(jì)算簽名者基于域的偽名：

（4）計(jì)算隨機(jī)元素k0、k1、k2的參數(shù)：

（5）對(duì)于要簽名的消息m，計(jì)算c=Hash(Q,I0,A0,I1,A1,PKdom,I2,A2,Hash(m))。

（6）計(jì)算Schnorr簽名的第二個(gè)參數(shù)：s0=k0-c×x0modq,s1=k1-c×x1modq,s2=k2-c×x2modq。

（7）輸出簽名(c,s0,s1,s2)以及偽名I0、I1、I2和相關(guān)域的標(biāo)識(shí)。

3.7 驗(yàn)證簽名

3.8 獲取用戶(hù)真實(shí)身份

（1）域管理機(jī)構(gòu)（掌握d2）計(jì)算：

（2）CA（掌握d1）計(jì)算：

I1″應(yīng)該等于應(yīng)該等于

（3）CA計(jì)算I=(I1″)γ×I2″，應(yīng)該等于

（4）CA 在DBID中查找條目I，找到具有不當(dāng)行為的用戶(hù)A。

4 本文方案

Kuty?owski方案存在下面主要的安全問(wèn)題：

（1）如果CA 與域機(jī)構(gòu)合謀，則可以鏈接用戶(hù)的不同偽名。

（2）在獲取用戶(hù)真實(shí)身份時(shí)，域機(jī)構(gòu)可能對(duì)CA存在誤報(bào)，甚至是欺騙。

針對(duì)上述安全問(wèn)題，本文提出了基于可信第三方的雙重偽名簽名方案，不僅解決了上述問(wèn)題，而且在獲取用戶(hù)真實(shí)身份的響應(yīng)速度上具有較大的提高。本文方案使用部分盲簽名向CA申請(qǐng)偽名許可證書(shū)，通過(guò)此許可證書(shū)向域認(rèn)證機(jī)構(gòu)（domain certificate authority）申請(qǐng)偽名并在域內(nèi)進(jìn)行簽名和業(yè)務(wù)訪問(wèn)。在必要的時(shí)候可由可信第三方的追蹤中心（認(rèn)為是系統(tǒng)中不可被攻破的）對(duì)用戶(hù)偽名執(zhí)行去匿名化。

本文方案的總體交互圖如圖1所示。

Fig.1 Scheme interaction diagram圖1 方案交互圖

4.1 系統(tǒng)建立

假定一個(gè)素?cái)?shù)階q的群G，G具有DDH 困難問(wèn)題。設(shè)g為G的生成元。

CA持有的密鑰：

（1）身份IDCA；

（2）隨機(jī)選擇私鑰SKICC，SKM，SKL∈Zq；

（3）相應(yīng)的公鑰PKICC、PKM、PKL，其中

為了去掉偽名，域管理機(jī)構(gòu)和TA共享以下密鑰：

（1）隨機(jī)選擇的私鑰δ、γ；

（2）域管理機(jī)構(gòu)獨(dú)立計(jì)算Δ=gδ。

域管理機(jī)構(gòu)持有的密鑰：

（1）身份IDdom；

（2）私鑰SKdom；

TA持有的密鑰：

（1）身份IDTA；

（2）隨機(jī)選擇的私鑰SKTA∈Zq；

用戶(hù)持有的密鑰：

（1）身份IDUser；

（2）隨機(jī)選擇的私鑰SKUser∈Zq；

4.2 用戶(hù)的簽名密鑰

域管理機(jī)構(gòu)為用戶(hù)準(zhǔn)備了如下用于簽名的密鑰：

私鑰(x0′,x1′,x2′)滿(mǎn)足：

同樣滿(mǎn)足線(xiàn)性方程組（6）的成對(duì)私鑰(x0″,x1″,x2″)。

與上述私鑰對(duì)應(yīng)的公鑰(P0′,P1′,P2′)和(P0″,P1″,P2″)，其 中

隨機(jī)選擇x1′∈Zq（同樣選擇x1″）、x0′、x2′（同樣計(jì)算x0″、x2″）是基于上述線(xiàn)性方程得出的。Ii是用戶(hù)申請(qǐng)的偽名，詳見(jiàn)4.3節(jié)。

用戶(hù)在得到上述密鑰之后，隨機(jī)選取r，計(jì)算R=1-rmodq。進(jìn)而得到簽名密鑰(x0，x1，x2)=r×(x0′,x1′,x2′)+R×（x0″,x1″,x2″)modq。同理可根據(jù)Pi=(Pi′)r×(Pi″)R，i=0，1，2 計(jì)算公鑰(P0，P1，P2)。

4.3 獲取偽名

本文方案將偽名的獲取分為了兩個(gè)階段，分別是用戶(hù)向CA 申請(qǐng)偽名許可階段和用戶(hù)向域管理機(jī)構(gòu)申請(qǐng)偽名階段。

4.3.1 申請(qǐng)偽名許可

（1）用戶(hù)發(fā)送身份IDUser，申請(qǐng)的偽名數(shù)n，當(dāng)前時(shí)間t以及用戶(hù)使用私鑰SKUser對(duì)上述參數(shù)的簽名和公鑰PKUser給CA，同時(shí)記錄時(shí)間t。||表示連接操作。

（2）CA 在收到消息后，首先查看用戶(hù)身份IDUser是否在黑名單中，若是則拒絕此次偽名申請(qǐng)，否則使用公鑰PKUser驗(yàn)證簽名若驗(yàn)證成功，則同意用戶(hù)IDUser的注冊(cè)，返回允許。

（3）對(duì)第i個(gè)偽名，用戶(hù)隨機(jī)選取數(shù)αi、βi，計(jì)算ai=(αi×βi)modq并將ai和i發(fā)送給CA，0 ≤i≤n。

（4）CA驗(yàn)證用戶(hù)是否注冊(cè)，若是則取當(dāng)前時(shí)間ti，定義偽名的有效期exp，并計(jì)算ai×Qi，其中Qi=IDUser||ti||IDCA||exp，同時(shí)使用私鑰SKICC對(duì)ai×Qi進(jìn)行簽名。最后發(fā)送給用戶(hù)。若用戶(hù)未注冊(cè)返回步驟（1）。

（5）用戶(hù)收到消息后首先去除盲因子αi，得到，然后使用CA 的公鑰PKICC驗(yàn)證簽名的合法性，判斷IDUser||ti||IDCA||exp的真實(shí)性。若簽名存在問(wèn)題，則從步驟（1）重新開(kāi)始。CA 每次發(fā)送的時(shí)間ti應(yīng)是不同的，如果用戶(hù)檢測(cè)到ti的順序發(fā)生錯(cuò)誤或在規(guī)定時(shí)間內(nèi)某時(shí)刻簽名丟失，則從步驟（2）重新開(kāi)始。同時(shí)，將ti與初始時(shí)間t進(jìn)行比較，可以防止不誠(chéng)實(shí)的CA 使用以前的消息進(jìn)行重放。若驗(yàn)證成功，用戶(hù)和CA分別計(jì)算公共信息info=αi×βi×(IDUser||IDCA||exp)。然后，用戶(hù)計(jì)算偽名

（6）得到偽名后，用戶(hù)向CA 申請(qǐng)偽名Ii的部分盲簽名，公共信息為info，CA比對(duì)雙方的info是否一致，若不一致則從步驟（1）重新開(kāi)始，若一致則接受對(duì)偽名Ii的申請(qǐng)，并向用戶(hù)返回簽名結(jié)果。用戶(hù)對(duì)得到的簽名進(jìn)行去盲，得到允許使用偽名Ii的許可證書(shū)PPC(info,Ii)。

4.3.2 申請(qǐng)偽名證書(shū)

（1）用戶(hù)向域管理機(jī)構(gòu)發(fā)送PPC(info,Ii)、info、Ii、域管理機(jī)構(gòu)在收到信息后首先從Ii中分離出βi×Qi，并驗(yàn)證簽名是否正確，若正確則驗(yàn)證PPC(info,Ii)是否正確。僅當(dāng)兩次驗(yàn)證均正確時(shí)，才能夠證明CA允許用戶(hù)使用偽名Ii。此時(shí)域管理機(jī)構(gòu)并不知道此用戶(hù)的真實(shí)身份。

（2）驗(yàn)證成功后，域管理機(jī)構(gòu)向用戶(hù)返回偽名Ii的證書(shū)：

（3）用戶(hù)收到偽名證書(shū)后驗(yàn)證其是否有效，若無(wú)效，則重新申請(qǐng)偽名；若有效，則可以在簽名中使用此偽名。

4.3.3 用戶(hù)偽名存儲(chǔ)

域管理機(jī)構(gòu)在發(fā)布用戶(hù)的偽名Ii時(shí)，計(jì)算并將存儲(chǔ)在自身數(shù)據(jù)庫(kù)中。

4.4 創(chuàng)建簽名

假設(shè)使用偽名Ii的用戶(hù)持有密鑰(x0,x1,x2)，在公鑰為的域，對(duì)消息m進(jìn)行簽名。簽名過(guò)程與文獻(xiàn)[11]中的過(guò)程類(lèi)似：

（1）隨機(jī)選擇k0、k1、k2。

（3）計(jì)算用戶(hù)對(duì)于域的參數(shù)：

（4）計(jì)算用戶(hù)對(duì)應(yīng)于域的偽名：

（5）計(jì)算對(duì)隨機(jī)元素k0、k1、k2的參數(shù)：

（6）對(duì)于要簽名的消息m，計(jì)算c=Hash(Q,D0,A0,D1,A1,D2,A2,Hash(m))。

（7）計(jì)算Schnorr 簽名的第二個(gè)參數(shù)s0=k0-c×x0modq，s1=k1-c×x1modq，s2=k2-c×x2modq。

（8）輸出簽名(c,s0,s1,s2)以及域偽名D0、D1、D2和用戶(hù)對(duì)于域的參數(shù)

4.5 簽名驗(yàn)證

4.6 獲取用戶(hù)真實(shí)身份

如果具有身份IDdom的域管理機(jī)構(gòu)發(fā)現(xiàn)具有違規(guī)行為的用戶(hù)，則執(zhí)行下述步驟：

（1）TA 直接執(zhí)行D=(D1)γ×D2，結(jié)果應(yīng)為并將所得條目發(fā)送給域管理機(jī)構(gòu)。

（2）域管理機(jī)構(gòu)在收到TA 發(fā)來(lái)的D之后，在自身數(shù)據(jù)庫(kù)中查找相關(guān)條目，并返回與之對(duì)應(yīng)的Ii。

（3）TA在收到域管理機(jī)構(gòu)發(fā)來(lái)的偽名Ii之后，可選擇使用此偽名與該域公鑰PKdom計(jì)算以進(jìn)行驗(yàn)證。若驗(yàn)證成功則繼續(xù)執(zhí)行，此過(guò)程為可選。

（4）TA從偽名Ii中分離出βi×Qi和使用自己的私鑰SKTA解得到βi，進(jìn)而解出Qi，得到其中的IDUser。

（5）TA將得到的IDUser發(fā)送給CA，由CA對(duì)用戶(hù)IDUser進(jìn)行相應(yīng)的處理。

在該過(guò)程中，CA、域管理機(jī)構(gòu)和TA 之間可以采用任何合適的身份驗(yàn)證方法。

5 方案分析

傳統(tǒng)數(shù)字簽名的提出是為了保證信息的完整性和真實(shí)性，以及用戶(hù)對(duì)簽名消息的不可抵賴(lài)性，即消息是正確的，不能被他人偽造，且消息簽名者也不能否認(rèn)自己的簽名。偽名方案除了保證上述安全性之外，還可以更好地保護(hù)用戶(hù)的隱匿性。本文的方案中，只有可信第三方能夠獲取用戶(hù)的真實(shí)身份，其他任何一方或者多方合謀也無(wú)法獲取用戶(hù)真實(shí)身份，甚至是將不同的偽名進(jìn)行鏈接，具有較高的安全性。

5.1 正確性

本文方案假設(shè)追蹤機(jī)構(gòu)TA 是不會(huì)妥協(xié)的權(quán)威機(jī)構(gòu)，如政府。對(duì)于偽名TA 不需要其他任何機(jī)構(gòu)的幫助就可以確定用戶(hù)的真實(shí)身份。TA 首先分離出再使用自身私鑰SKTA解出βi就可以得到Qi，進(jìn)而得出用戶(hù)的真實(shí)身份IDUser。

對(duì)于偽名D0、D1、D2：

對(duì)于偽名簽名，證明過(guò)程與文獻(xiàn)[11]類(lèi)似：

使用同樣的方法可以驗(yàn)證A1′、A2′。

5.2 安全性

（1）匿名性：在偽名申請(qǐng)階段，用戶(hù)首先與CA進(jìn)行交互。CA與用戶(hù)共享用戶(hù)的真實(shí)身份IDUser，部分盲簽名的公共信息info=αi×βi×(IDUser||IDCA||exp)。同時(shí)，CA還知道ai=(αi×βi)modq。但是，αi、βi由用戶(hù)獨(dú)立、隨機(jī)地選擇，故CA不能從中分離出βi，進(jìn)而獲取用戶(hù)的真實(shí)身份。

用戶(hù)在得到使用偽名Ii的許可后，與域管理機(jī)構(gòu)共享了偽名域管理機(jī)構(gòu)同樣知道info=αi×βi×(IDUser||IDCA||exp)，但域管理機(jī)構(gòu)既沒(méi)有掌握ai=(αi×βi)modq，也沒(méi)有掌握TA 的私鑰SKTA，故不能從共享信息或偽名中得到用戶(hù)的真實(shí)身份IDUser。

由于CA 和域管理機(jī)構(gòu)分別掌握了用戶(hù)的真實(shí)身份IDUser和偽名Ii，故兩者均不能將其真實(shí)身份和偽名進(jìn)行鏈接，因此在偽名申請(qǐng)階段偽名Ii和用戶(hù)真實(shí)身份IDUser是不可鏈接的，也就成功保證了用戶(hù)的匿名性。

在偽名簽名階段，用戶(hù)使用具有匿名性的偽名Ii構(gòu)建自身基于域的身份，由于只有TA和域管理機(jī)構(gòu)具有解開(kāi)域偽名所需的私鑰δ，故只有兩者能夠解出進(jìn)而得到Ii。

因此本文方案能夠保證用戶(hù)的匿名性。

（2）不可偽造性和不可抵賴(lài)性：在偽名申請(qǐng)階段，如果CA 做出妥協(xié)，將用戶(hù)的身份IDUser替換成IDUser′，則用戶(hù)可以在下一步的驗(yàn)證中發(fā)現(xiàn)。例如，CA 將發(fā)送給用戶(hù)，其中Qi=IDUser||ti||IDCA||exp，若CA 將IDUser替換為IDUser′，或CA將同一用戶(hù)以前的消息對(duì)此次交互進(jìn)行重放，則用戶(hù)在收到消息的驗(yàn)證中將會(huì)失敗，從而拒絕此次驗(yàn)證。若CA 修改info中的信息也會(huì)得到相同的結(jié)果。

在偽名簽名階段，用戶(hù)基于偽名Ii與域參數(shù)一起生成新的基于域的偽名D0、D1、D2，這三個(gè)偽名在域中可以相互鏈接，即若用戶(hù)使用D0訪問(wèn)服務(wù)器，則該服務(wù)器同樣可以知道D1、D2，以此來(lái)完成對(duì)偽名簽名的驗(yàn)證。但對(duì)于域之外的敵手，由于缺少域參數(shù)敵手無(wú)法完成對(duì)簽名的驗(yàn)證，更不能偽造簽名。對(duì)于強(qiáng)大的敵手，假設(shè)其能夠得到域中公開(kāi)的所有信息，甚至能夠得到大量的偽名簽名，可以通過(guò)得到偽名Ii，即敵手能夠解決DDH 困難問(wèn)題，這與方案前提不符，故不成立。即使敵手獲得了用戶(hù)的偽名Ii，敵手也不能通過(guò)Ii=x1×γ+x2×δmodq得到x1或x2，說(shuō)明敵手無(wú)法偽造用戶(hù)的偽名進(jìn)行簽名。

相反，若不誠(chéng)實(shí)的用戶(hù)想要欺騙CA和域管理機(jī)構(gòu)以此來(lái)逃避可能出現(xiàn)的后果，也是不允許的。例如，若用戶(hù)在偽名申請(qǐng)階段試圖欺騙CA，使用非法身份IDUser′替換原始身份。首先，CA 拒絕接受用戶(hù)使用IDUser′與其進(jìn)行交互，故用戶(hù)得不到使用IDUser′的signSKICC(ai×Qi)。而用戶(hù)沒(méi)有構(gòu)造ti||IDCA||exp))的能力，除非用戶(hù)能夠偽造CA的簽名。

對(duì)于域管理機(jī)構(gòu)，由于此域管理機(jī)構(gòu)掌握用戶(hù)簽名的預(yù)密鑰，那么其是否可以通過(guò)私有化后的公鑰得到私有化后的私鑰，進(jìn)而模仿用戶(hù)，假設(shè)域管理機(jī)構(gòu)可以做到，即域管理機(jī)構(gòu)知道一個(gè)α使得xi=α×xi′+(1-α)×xi″，i=0,1,2 成立。這個(gè)問(wèn)題可以化為域管理機(jī)構(gòu)知道一個(gè)β使(xi-xi′)=β×(xi″-xi′)成立，這樣β應(yīng)該滿(mǎn)足即 域管理機(jī)構(gòu)能夠解PKud的離散對(duì)數(shù)，以得到β×(x0″-x0′)，故假設(shè)不成立。

在原始方案中，若域管理機(jī)構(gòu)使用錯(cuò)誤的密鑰對(duì)域偽名進(jìn)行去匿名化，它可能給CA提供一個(gè)不存在的用戶(hù)，某些情況下還可能指向一個(gè)真實(shí)存在的用戶(hù)。在本文方案中去匿名化由TA獨(dú)立執(zhí)行，域管理機(jī)構(gòu)僅用于存儲(chǔ)此偽名的記錄，且TA可以快速地驗(yàn)證域管理機(jī)構(gòu)提交的偽名是否正確。因此本文方案保證了用戶(hù)偽名簽名的不可偽造性和不可抵賴(lài)性。

（3）不可鏈接性：由于目前缺乏對(duì)不可鏈接性的明確定義，本文引用文獻(xiàn)[11]中對(duì)于不可鏈接性的定義：給定一個(gè)用戶(hù)在所有域中的偽名和簽名，除了參數(shù)為的域，不存在能夠確定偽名D0、D1、D2是否對(duì)應(yīng)于密鑰(x0,x1,x2)的域。在D0、D1、D2的離散對(duì)數(shù)未知的情況下，敵手選擇是或否的概率各為。在域參數(shù)未知的前提下，敵手正確選擇的概率不會(huì)大于假如敵手選擇了與之對(duì)應(yīng)的密鑰x0、x1、x2，即敵手得到了偽名Ii。但即使是域管理機(jī)構(gòu)也僅僅知道與偽名Ii相關(guān)的info，而此info對(duì)于每個(gè)偽名的信息都是不同的，且缺少ai的敵手也無(wú)法從該預(yù)共享信息中得到IDUser。

因此本文方案可以有效保護(hù)用戶(hù)偽名簽名的不可鏈接性。

5.3 性能分析

本文使用i5 四代處理器，主頻2.6 GHz，4 GB 內(nèi)存，Win10_64位系統(tǒng)進(jìn)行仿真。

本文方案在申請(qǐng)偽名階段使用了標(biāo)量乘運(yùn)算，與使用指數(shù)運(yùn)算相比具有更加高效的運(yùn)算速率。在本文的仿真環(huán)境下，進(jìn)行1 024位的指數(shù)模運(yùn)算需要大約6.4 ms，進(jìn)行標(biāo)量乘法運(yùn)算的時(shí)間可以忽略不計(jì)，使用擴(kuò)展歐幾里德算法計(jì)算乘法逆元大約需要1.0 ms，Hash運(yùn)算的時(shí)間大約為0.01 ms，RSA（Rivest-Shamir-Adleman）簽名的時(shí)間為6.5 ms，驗(yàn)證的時(shí)間為0.11 ms，故著重考慮方案中的指數(shù)運(yùn)算和RSA 簽名的時(shí)間。在本節(jié)中使用P 表示指數(shù)模運(yùn)算，用I 表示求逆運(yùn)算，用S 表示RSA 簽名。方案理論上的時(shí)間對(duì)比如表1 所示。理論上本文方案與原始方案耗時(shí)的對(duì)比如圖2所示。仿真實(shí)驗(yàn)的結(jié)果如表2所示。

由于每次仿真時(shí)運(yùn)行時(shí)間存在波動(dòng)，故表2 中的數(shù)據(jù)為運(yùn)行10 次求取平均值后的結(jié)果。在總時(shí)間上，本文方案比原始方案多出了近20 ms，增長(zhǎng)量為原始方案的8.7%。但在CA 的運(yùn)算時(shí)間上本文方案僅為原始方案的40%，提升了相同條件下CA 可以同時(shí)提供的服務(wù)數(shù)量。在域管理機(jī)構(gòu)和用戶(hù)的運(yùn)算時(shí)間上分別有一定程度的增長(zhǎng)。同時(shí)，本文方案獲取用戶(hù)真實(shí)身份僅需要6.3 ms，僅為原始方案的24.2%，可以有效降低因用戶(hù)違規(guī)而帶來(lái)的潛在損失風(fēng)險(xiǎn)。

Fig.2 Time-consuming comparison diagram圖2 方案耗時(shí)對(duì)比圖

由圖2 可知，本文方案大幅度降低了CA 的運(yùn)算時(shí)間，但也增加了域管理機(jī)構(gòu)和用戶(hù)的計(jì)算時(shí)間。在本文方案中，CA 將與系統(tǒng)中的所有用戶(hù)進(jìn)行交互，降低CA 的耗時(shí)，也就提高了整個(gè)系統(tǒng)的門(mén)限。由于CA 在授予用戶(hù)偽名許可之后就不再與用戶(hù)或者域管理機(jī)構(gòu)進(jìn)行交互，故用戶(hù)和域管理機(jī)構(gòu)耗時(shí)的增加并不會(huì)給CA的運(yùn)行帶來(lái)影響，域管理機(jī)構(gòu)和用戶(hù)運(yùn)算時(shí)間的增長(zhǎng)也在可接受范圍內(nèi)。CA 耗時(shí)的降低意味著系統(tǒng)可以同時(shí)服務(wù)的用戶(hù)數(shù)量增長(zhǎng)了1倍。TA是本文方案對(duì)于具有違規(guī)操作的用戶(hù)進(jìn)行快速響應(yīng)的保證。從表2可知，在獲取用戶(hù)的真實(shí)身份時(shí)，本文方案僅需要6.3 ms，在原始方案的基礎(chǔ)上縮減了近2/3。

Table 1 Time comparison of scheme in theory表1 方案理論時(shí)間對(duì)比

Table 2 Comparisons of simulation results表2 仿真結(jié)果對(duì)比

在實(shí)際操作中，用戶(hù)會(huì)一次性向CA請(qǐng)求大量偽名許可證書(shū)以滿(mǎn)足其在未來(lái)一段時(shí)間（可能一個(gè)月）內(nèi)的偽名需求，用戶(hù)向域管理機(jī)構(gòu)發(fā)出的偽名申請(qǐng)可能與用戶(hù)申請(qǐng)偽名許可證書(shū)的時(shí)間存在一段時(shí)間的差距，故CA和域管理機(jī)構(gòu)之間的運(yùn)算是完全獨(dú)立的，這更說(shuō)明了本文方案在降低CA消耗上有比預(yù)期更好的表現(xiàn)。

與原始方案相比，本文方案效率提高的同時(shí)安全性也略有提高，在保證簽名的完整性、真實(shí)性（不偽造）、不可抵賴(lài)和隱匿性的同時(shí)，解決了原始方案中可能存在對(duì)同一用戶(hù)的不同偽名進(jìn)行鏈接的問(wèn)題，在開(kāi)放的互聯(lián)網(wǎng)時(shí)代更好地保護(hù)用戶(hù)的隱私，也保證了用戶(hù)信息的安全性。

6 結(jié)束語(yǔ)

在網(wǎng)絡(luò)時(shí)代，人們更加強(qiáng)調(diào)隱私性和安全性，這兩者似乎是無(wú)法同時(shí)完成的，但偽名系統(tǒng)的出現(xiàn)解決了這個(gè)問(wèn)題。本文介紹了一種使用偽名進(jìn)行簽名的方案，在此基礎(chǔ)上提出了一種基于可信第三方的雙重偽名簽名方案。用戶(hù)首先從CA 獲取大量的偽名許可證書(shū)，然后在之后的訪問(wèn)中使用某個(gè)許可證書(shū)向目標(biāo)域機(jī)構(gòu)獲取偽名，并使用該偽名在域內(nèi)進(jìn)行新的偽名簽名和驗(yàn)證。通過(guò)對(duì)比兩個(gè)方案的各項(xiàng)屬性和仿真實(shí)驗(yàn)，發(fā)現(xiàn)本文方案將原始方案中CA的計(jì)算時(shí)間降低到40%，提高了系統(tǒng)的門(mén)限。同時(shí)使用一個(gè)第三方的可靠機(jī)構(gòu)進(jìn)行用戶(hù)真實(shí)身份的追蹤，此方案在追蹤用戶(hù)真實(shí)身份上具有巨大的優(yōu)勢(shì)，且可以防止域管理機(jī)構(gòu)的欺騙。但是本文方案也給用戶(hù)帶來(lái)了更多的負(fù)擔(dān)，使得方案僅適用于對(duì)安全性要求較高，要求對(duì)違規(guī)用戶(hù)快速反應(yīng)，且具有一定運(yùn)算能力的場(chǎng)景，例如個(gè)人網(wǎng)上銀行。

本文還有一些沒(méi)有解決的問(wèn)題，例如是否能夠構(gòu)建一個(gè)完全不依賴(lài)于其他機(jī)構(gòu)的TA 以絕對(duì)地掌握追蹤用戶(hù)真實(shí)身份的權(quán)力，以及能否在第一階段的偽名獲取中使用某個(gè)困難問(wèn)題構(gòu)造偽名以滿(mǎn)足更高的安全性要求?；蛘呷绾谓鉀Q用戶(hù)在一次性獲取大量偽名的情況下，對(duì)用戶(hù)的偽名進(jìn)行撤銷(xiāo)。盡管可以簡(jiǎn)單地通過(guò)讓TA 來(lái)維護(hù)方案中存儲(chǔ)用戶(hù)信息的數(shù)據(jù)庫(kù)來(lái)解決第一個(gè)問(wèn)題，但這必將給TA帶來(lái)巨大的成本負(fù)擔(dān)，使得TA 也有成為系統(tǒng)門(mén)限的可能。將沿著這個(gè)方向繼續(xù)研究。