鄧浩明，彭長根,3，丁紅發(fā)，葉延婷

(1.貴州大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025；2.貴州大學(xué) 公共大數(shù)據(jù)國家重點實驗室，貴州 貴陽 550025；3.貴州大學(xué) 密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽 550025；4.貴州財經(jīng)大學(xué) 信息學(xué)院，貴州 貴陽 550025)

0 引 言

當(dāng)前，許多敏感隱私數(shù)據(jù)需依托網(wǎng)絡(luò)進(jìn)行傳輸，這對傳輸數(shù)據(jù)的安全提出了很高的要求。目前絕大多數(shù)傳輸系統(tǒng)利用密碼技術(shù)來保證數(shù)據(jù)的隱私安全，但數(shù)據(jù)簽名者的身份并沒有得到很好的保護(hù)，這會導(dǎo)致數(shù)據(jù)發(fā)送方與接受方存在身份泄露的安全問題。

環(huán)簽名[1]的提出能夠解決簽名者的身份隱私問題，可以確保環(huán)內(nèi)簽名者的身份實現(xiàn)匿名化。一個環(huán)簽名方案包含n個自發(fā)組成環(huán)的簽名者，環(huán)中簽名者首先使用私鑰對消息進(jìn)行簽名，其次利用公鑰驗證簽名的有效性。環(huán)簽名已有廣泛的應(yīng)用，如車載物聯(lián)網(wǎng)[2]、自動泊車系統(tǒng)[3]、第六代移動通信技術(shù)(6G)[4]、區(qū)塊鏈[5]等場景。

在環(huán)簽名的基礎(chǔ)上，Bresson等[6]提出第一個門限環(huán)簽名方案，其主要原理是預(yù)先設(shè)置一個門限值t，只要任意t個環(huán)成員進(jìn)行簽名，就可得到最終簽名結(jié)果。該方案利用公平拆分的思想將環(huán)成員進(jìn)行公平拆分，在隨機(jī)預(yù)言模型下證明了方案的安全性，但簽名的效率隨著簽名者數(shù)量的增加而降低。文獻(xiàn)[7]利用消息塊共享技術(shù)提出了一種基于格的門限環(huán)簽名方案，但該方案在消息比特長度較大時，簽名生成與驗證的效率較低。文獻(xiàn)[8]通過將隨機(jī)因子引入到用戶的屬性密鑰中，提出了一個可變門限環(huán)簽名方案，其實現(xiàn)了具有抗合謀攻擊的安全特性，但方案的簽名長度較長，驗證效率較低。文獻(xiàn)[9]提出一個利用分布式密鑰生成協(xié)議解決屬性密鑰托管問題的門限環(huán)簽名方案。巧妙利用身份標(biāo)識的特性，使方案的安全性得到進(jìn)一步的加強(qiáng)。此外，該方案提出了一種批驗證方法，能夠有效提高驗證的效率。文獻(xiàn)[10]將門限環(huán)簽名應(yīng)用于區(qū)塊鏈上，提出了一種可以將過期區(qū)塊數(shù)據(jù)刪除的可刪除區(qū)塊鏈方案，利用門限值的特性，提高刪除區(qū)塊的效率。

Shamir首次提出基于身份的密碼體制(IBC)[11]，IBC可以將用戶的身份標(biāo)識作為公鑰，同時也不需要額外的數(shù)字證書，因此在不同場景下得到了廣泛的應(yīng)用。文獻(xiàn)[12]首先提出一種基于身份的環(huán)簽名方案，該方案的雙線性配對運算較多，因此在計算效率上有一定的劣勢。文獻(xiàn)[13]基于公平拆分的思想，提出了一種基于身份的(t,n)門限環(huán)簽名方案，但在簽名生成與驗證階段需要多次使用雙線性對運算，所以效率較低。文獻(xiàn)[14]提出兩種基于身份的門限環(huán)簽名方案，在該方案中，任何t個環(huán)成員可以代表n個環(huán)成員生成一個合法的門限環(huán)簽名。但該方案需要n倍次數(shù)的雙線對運算，其總效率具有的優(yōu)勢并不明顯。文獻(xiàn)[15]提出一種可以利用基于原始消息生成的環(huán)簽名，去派生原始消息子串上的新環(huán)簽名的方案，由于該方案需要多次指數(shù)運算，其在總體計算開銷上效率較低。文獻(xiàn)[16]將門限環(huán)簽名與可否認(rèn)認(rèn)證協(xié)議相結(jié)合提出一種非交互式可否認(rèn)(t,n)門限環(huán)簽名方案，其可以確保簽名的真實身份不被泄露，但無法抵御選擇消息攻擊。文獻(xiàn)[17]提出一個在格上基于模糊身份的環(huán)簽名方案，該方案可以實現(xiàn)對真實簽名者的身份進(jìn)行審計與監(jiān)督，并在隨機(jī)預(yù)言模型下證明了方案的安全性，但仍存在簽名效率不高的問題。文獻(xiàn)[18]提出一個基于SM9算法的環(huán)簽名方案，但在簽名生成和驗證階段需n倍次數(shù)的雙線對運算，方案總體計算開銷效率較低。

綜上所述，現(xiàn)有方案沒有很好地同時解決環(huán)簽名的效率與方案的安全性等問題。為了解決上述問題，該文利用強(qiáng)抗碰撞性的SM3算法[19]對n-t次多項式的常數(shù)項進(jìn)行優(yōu)化處理，并生成256 bit的雜湊值；利用SM4算法[20]資源消耗率較低和加解密效率高的優(yōu)勢，對門限環(huán)簽名進(jìn)行對稱加密，并在密文中嵌入具有時效性的時間戳，提高了簽名的安全性；最后，將文獻(xiàn)[7]中的門限參數(shù)提取算法進(jìn)行改進(jìn)，并把生成的門限值t引入SM9簽名算法中，使得簽名效率得到提高，并利用SM9算法[21]加密強(qiáng)度大、系統(tǒng)資源消耗率較低、無需申請數(shù)字證書和廣泛應(yīng)用性[22-23]等優(yōu)勢，將SM9數(shù)字簽名算法作為底層密碼技術(shù)基礎(chǔ)，最終生成安全高效的門限環(huán)簽名。

在隨機(jī)預(yù)言模型下證明了GMTRS方案具有適應(yīng)性選擇消息攻擊下的不可偽造性，并具有匿名性、抗重放攻擊性和前向后向安全性等優(yōu)勢。效率分析表明，GMTRS方案相較于現(xiàn)有環(huán)簽名方案，在簽名生成和驗證效率上分別具有約52.38%和32.16%的效率提升。同時所提方案的門限值t的變化，對方案的總開銷影響基本可忽略，故GMTRS方案在安全性與效率上具有一定的優(yōu)勢。

1 基礎(chǔ)知識

1.1 雙線性對

設(shè)G1和G2是階為素數(shù)N的加法循環(huán)群，GT是階為素數(shù)q的乘法循環(huán)群，P1和P2分別為G1和G2的生成元。定義在群上的一個雙線性映射關(guān)系e:G1×G2→GT，并且滿足以下的性質(zhì)：

(2)非退化性：對?U∈G1,?V∈G2，滿足e(U,V)≠1。

(3)可計算性：對?U∈G1,?V∈G2，存在一個有效的算法在多項式時間內(nèi)計算e(U,V)的值。

1.2 困難問題假設(shè)

定義1：離散對數(shù)問題(DLP)。給定橢圓曲線E上任意兩點P,Q，給定等式aP=Q，在多項式時間內(nèi)a是不可解的。

1.3 環(huán)簽名相關(guān)概念

門限環(huán)簽名方案[6]的一般模型由以下4個階段組成。

初始化：輸入安全參數(shù)γ，輸出公共參數(shù)P和系統(tǒng)主密鑰Kpub。

密鑰生成：輸入(P,Kpub)，輸出簽名者的公私鑰對(pki,ski),i∈[1,N]。

簽名生成：輸入公共參數(shù)P，消息m，門限值t，n個環(huán)成員的公鑰集合P={pk1,pk2,…,pkn}和所對應(yīng)的私鑰集合ε={sk1,sk2,…,skn}，輸出環(huán)簽名σ。

簽名驗證：輸入公共參數(shù)P，消息m，門限值t，n個環(huán)成員的公鑰集合P={pk1,pk2,…,pkn}和所對應(yīng)的私鑰集合ε={sk1,sk2,…,skn}以及環(huán)簽名σ，返回驗證結(jié)果接受或拒絕。

基于身份的門限環(huán)簽名方案[13]的一般模型由以下4個階段組成。

初始化：輸入隨機(jī)數(shù)π，輸出主密鑰K和系統(tǒng)參數(shù)Para。

簽名生成：輸入消息m，n個簽名者的身份標(biāo)識IDi∈{0,1}*,i∈[1,n]，t個簽名者的私鑰SKi，輸出一個關(guān)于消息m的基于(t,n)門限值的環(huán)簽名σ。

簽名驗證：輸入環(huán)簽名σ，消息m，門限值t和n個簽名者身份標(biāo)識IDi∈{0,1}*，如果n個簽名者中至少有t個成員對消息m簽名，則返回驗證結(jié)果為有效；否則，返回結(jié)果為無效。

1.4 門限環(huán)簽名安全性定義

本節(jié)主要介紹門限環(huán)簽名的安全模型，門限環(huán)簽名方案必須滿足以下條件。

定義2：正確性。如果t個以上的簽名者按照簽名步驟生成環(huán)簽名σ，則環(huán)簽名σ能通過驗證。

定義3：強(qiáng)不可偽造性。假如有n個環(huán)成員，在其中任意選取個數(shù)不小于t個的環(huán)成員，就可代表環(huán)進(jìn)行簽名。如果攻擊者A在概率多項式時間內(nèi)選擇任意消息M(除M'以外)并詢問相應(yīng)的簽名結(jié)果后，成功偽造一個簽名的概率仍是可忽略的，則門限環(huán)簽名方案滿足適應(yīng)性選擇消息攻擊下的不可偽造性。

定義攻擊者A成功偽造門限環(huán)簽名的優(yōu)勢為：

GMTRS方案的不可偽造性可以通過以下游戲進(jìn)行正式定義：

初始化階段：已知n個環(huán)成員的身份標(biāo)識集合ID={ID1,ID2,…,IDn},i∈[1,n]，其中挑戰(zhàn)者C運行KeyGen算法獲得n個環(huán)成員的公私鑰對MK1=(ski,pki),i∈[1,n]，并將環(huán)成員的公鑰pki發(fā)給攻擊者A。

詢問階段：攻擊者A可以自適應(yīng)地執(zhí)行哈希詢問、私鑰詢問、簽名詢問。

(1)哈希詢問：攻擊者A向挑戰(zhàn)者C要求獲取關(guān)于消息M的哈希值。

(2)私鑰詢問：攻擊者A選擇任意環(huán)成員的身份標(biāo)識IDi發(fā)送給挑戰(zhàn)者C，挑戰(zhàn)者C計算相應(yīng)的私鑰ski返回給攻擊者A。

(3)簽名詢問：攻擊者A選擇消息M，門限值t，發(fā)送給挑戰(zhàn)者C，挑戰(zhàn)者C運行Sign并生成消息M相應(yīng)的門限環(huán)簽名σ。

(1)驗證(M',σ')=true。

(2)簽名偽造者的身份標(biāo)識IDi∈ID,i∈[1,t]。

(3)沒有執(zhí)行簽名算法而生成(M',σ')。

定義4：匿名性。在門限環(huán)簽名方案中，超過t個以上的簽名者參與簽名，并最終生成門限環(huán)簽名σ。但攻擊者不知道是哪t個簽名者參與了門限環(huán)簽名的生成。

2 基于國密SM9算法的門限環(huán)簽名方案

GMTRS方案包括初始化、密鑰生成、環(huán)簽名生成、環(huán)簽名加密、環(huán)簽名驗證五個階段。在初始化階段之前，GMTRS方案使用Choi和Kim提出的門限參數(shù)提取算法[7]，生成環(huán)n和門限t的值。但該算法在消息長度很短時，無法生成相應(yīng)的參數(shù)，從而導(dǎo)致無法生成門限環(huán)簽名。因此，先對消息的位長進(jìn)行處理，將短消息用0 bit填充到λbit寬度，將長消息壓縮到λbit寬度。其中，由于方案選取的曲線是階為256 bit的BN曲線，所以方案的λ長度設(shè)置為256 bit。最后，輸入填充后的消息，生成環(huán)n和門限值t的值。

2.1 初始化

Setup(λ)→(MK,Para)

2.2 密鑰生成

KeyGen(λ,ID,ran)→(Ke,MK1)

輸入安全參數(shù)λ，n個環(huán)成員的身份標(biāo)識集合ID={ID1,ID2,…,IDn}，主私鑰ran。

(1)KGC選擇Ke←{0,1}λ作為SM4分組密碼算法的對稱密鑰。

(3)輸出對稱加密密鑰Ke，環(huán)成員的公私鑰對MK1=(pki,ski)。

2.3 環(huán)簽名生成

Sign(Para,M,t,Pmpk,R,U)→(σ)

輸入公共參數(shù)Para，消息M，門限值t，主公鑰Pmpk，環(huán)簽名成員的私鑰集合R={ski},i∈[1,n]，其私鑰所對應(yīng)的公鑰集合U={pki},i∈[1,n]，設(shè){1,2,…,t}為參與簽名的環(huán)成員索引，不參與簽名的環(huán)成員索引為d∈{t+1,t+2,…,n}，簽名生成具體的步驟如下：

(1)計算g=e(P1,Pmpk)；

(2)對于d∈{t+1,t+2,…,n}，隨機(jī)選擇rd,hd∈[1,N-1]；計算Zd=grd，Td=[Zd]skd；

(3)對于j∈{1,2,…,t}，隨機(jī)選擇uj∈[1,N-1]，計算Zj=guj；

(4)將Zd,Zj的數(shù)據(jù)類型轉(zhuǎn)換為比特串，并計算h0=H0(U‖t‖M‖Z1‖Z2…‖Zn,N)；

(5)計算L=(uj-h0)modN，若L=0則返回步驟(2)，重新選擇隨機(jī)數(shù)；

(6)對于d∈{t+1,t+2,…,n}，構(gòu)造一個n-t次多項式fd(x)=hdxn-t+…+h2x2+h1x+h0，其中，

hd=H0(pkd‖n-t‖M‖Zt+1‖Zt+2…‖Zn,N)，

f(0)=h0，f(d)=hd；

(7)當(dāng)j∈{1,2,…,t}，計算hj=f(j)，Sj=[uj-hj]skj；

(8)輸出關(guān)于消息M的(t,n)門限環(huán)簽名σ=(t,S1,S2,…,St,Tt+1,Tt+2,…,Tn,f)。

2.4 環(huán)簽名加密

Enc1(σ,M,Ke,η)→(Eσ,EM)

輸入環(huán)簽名σ，對稱密鑰Ke，時間戳η，使用SM4分組加密算法，對消息M和環(huán)簽名σ進(jìn)行加密，并嵌入時間戳η，輸出密文消息EM和加密環(huán)簽名Eσ。

Enc2(pki,Ke)→(EKe)

輸入環(huán)成員的公鑰pki，對稱密鑰Ke，輸出加密的密鑰EKe。

2.5 環(huán)簽名驗證

Dec1(EKe,ski)→(Ke)

輸入環(huán)成員的私鑰ski，加密的密鑰EKe，輸出對稱密鑰Ke。

Dec2(Ke,EM,Eσ)→(M',σ')

Verify(Para,Pmpk,M',σ',t,U,ID)→

(accept,reject)

輸入公共參數(shù)Para，消息M'，門限值t，主公鑰Pmpk，n個環(huán)成員公鑰集合U，環(huán)簽名σ'，n個環(huán)成員的身份標(biāo)識集合ID={ID1,ID2,…,IDn}，簽名驗證具體的步驟如下：

(1)檢查消息M'和環(huán)簽名σ'中時間戳η的時效性，如果無效則拒絕該消息驗證失??；否則繼續(xù)執(zhí)行；

(2)驗證多項式f是否為n-t次，如果不是，則驗證失敗；

(4)計算g=e(P1,Pmpk)，vj=gf'(j)；

(8)驗證h'=f'(0)是否成立，若成立則簽名合法，則輸出“accept”；若不成立，則輸出“reject”。

3 安全性分析

3.1 方案的正確性

定理1：GMTRS方案的門限環(huán)簽名滿足正確性。

證明：在門限環(huán)簽名驗證時，需要驗證h'=f'(0)是否成立。

因為，

e([uj-hj]skj,[ci]P2+Pmpk)=

e(([uj-hj][t2]P1),[ci]P2+[ran]P2)=

e(P1,P2)(uj-hj)[t2](ci+ran)=

e(P1,P2)(uj-hj)[ran]

(1)

又因為，

vj=gf'(j)=e(P1,Pmpk)hj=

e(P1,[ran]P2)hj=

e(P1,P2)hj[ran]

(2)

則：

w'=vj·zj=

e(P1,P2)(uj-hj)[ran]·e(P1,P2)hj[ran]=

e(P1,P2)uj[ran]=e(P1,[ran]P2)uj=

e(P1,Pmpk)uj=Z

(3)

3.2 方案的不可偽造性

定理2：在隨機(jī)預(yù)言模型中，如果DLP問題具有難解性，則GMTRS方案具有適應(yīng)性選擇消息攻擊下的不可偽造性。

證明：給挑戰(zhàn)者C一個DLP問題的挑戰(zhàn)實例(P1,aP1)，C的目標(biāo)是利用敵手A的能力偽造出有效的門限環(huán)簽名，并最終計算出a。在隨機(jī)預(yù)言模型下，密碼雜湊函數(shù)H0,H1被當(dāng)作隨機(jī)預(yù)言機(jī)。

初始化：挑戰(zhàn)者C執(zhí)行Setup算法獲得系統(tǒng)參數(shù)Para和主密鑰對MK，并將系統(tǒng)參數(shù)Para發(fā)送給攻擊者A。

詢問階段：攻擊者A執(zhí)行自適應(yīng)詢問，挑戰(zhàn)者C設(shè)置L0、L1、L2和L3列表去存儲詢問結(jié)果。其中，列表L0中儲存哈希H0詢問結(jié)果，列表L1中儲存哈希H1詢問結(jié)果，列表L2中儲存私鑰詢問結(jié)果，列表L3儲存簽名詢問結(jié)果。

(1)哈希H0詢問：當(dāng)A詢問H0(U‖t‖M‖Z1‖Z2…‖Zn,N)時，C首先在L0中檢查H0的詢問記錄。若詢問記錄不存在，C將隨機(jī)選擇ci∈[1,N-1]，并設(shè)置H0(U‖t‖M‖Z1‖Z2…‖Zn,N)=ci，并以((U‖t‖M‖Z1‖Z2…‖Zn,N),ci)的格式存儲到L0中。

(2)哈希H1詢問：攻擊者A發(fā)送給挑戰(zhàn)者C一個環(huán)成員的身份標(biāo)識IDi，同時詢問H1(IDi‖χ,N)，C首先在L1中檢查其詢問記錄。若記錄不存在，C將隨機(jī)選擇yi∈[1,N-1]，設(shè)置H1(IDi‖χ,N)=xi，并將((IDi‖χ,N),xi)存儲到L1中。

(4)簽名詢問：攻擊者A任意選擇消息M、門限值t和主公鑰Pmpk發(fā)送給挑戰(zhàn)者C，C執(zhí)行Sign算法生成門限環(huán)簽名σ，并將(M,t,σ)儲存到L3列表中。如果生成簽名過程中發(fā)生哈希碰撞，則需要重新執(zhí)行生成門限環(huán)簽名的步驟。

(4)

(5)

所以，

(6)

(7)

因此DLP問題的挑戰(zhàn)實例(P1,aP1)可解，由于DLP難解性可知其與假設(shè)相矛盾，所以GMTRS方案在隨機(jī)預(yù)言模型中具有適應(yīng)性選擇消息攻擊下的不可偽造性。

3.3 方案的匿名性

定理3：GMTRS方案具備匿名性。

3.4 方案的前向與后向安全性

定理4：GMTRS方案滿足前向與后向安全性。

證明：密鑰生成中心(KGC)重新選擇隨機(jī)數(shù)ran來確定系統(tǒng)的主私鑰，根據(jù)重新確定的主私鑰來確定系統(tǒng)的主公鑰Pmpk，并將更新的主密鑰對MK=(ran,Pmpk)發(fā)送給環(huán)成員，同時KGC也會記錄之前的主密鑰對，用來驗證之前簽名的有效性。因為ran是KGC隨機(jī)選取的，所以ran具有隨機(jī)性，從而系統(tǒng)參數(shù)Para也具有隨機(jī)性，所以攻擊者A不能偽造出之前的主密鑰對。即使A成功偽造出主密鑰對，其也無法融入到環(huán)成員中，也無法偽造出門限環(huán)簽名，所以GMTRS方案滿足前向與后向安全性。

3.5 方案的抗重放攻擊性

定理5：GMTRS方案中的門限環(huán)簽名具備可抗重放攻擊性。

證明：GMTRS方案在已簽名的門限環(huán)簽名σ和消息M的密文中嵌入一個時間戳η。在驗證簽名之前，首先將檢查時間戳η的時效性。如果攻擊者A截獲合法生成的門限環(huán)簽名或消息兩者其中的一個，在驗證簽名時，時間戳的新鮮度檢查將失敗，則該門限環(huán)簽名σ'或消息M'將被拒絕，導(dǎo)致簽名驗證流程結(jié)束，故GMTRS方案生成的門限環(huán)簽名具備可抗重放攻擊性。

4 效率分析

將GMTRS方案與文獻(xiàn)[12-14，16,18]進(jìn)行計算開銷對比，主要從私鑰生成、簽名生成和簽名驗證三個方面來比較，因為這三個部分所占的計算開銷較大。其中主要比較雙線性配對運算B和冪運算E的運算次數(shù)，因為雙線性配對運算和冪運算所需要消耗的計算資源較多，同時忽略一些計算成本很小的運算。其中包括使用SM4算法對環(huán)簽名進(jìn)行對稱加解密運算，GMTRS方案只需要進(jìn)行兩次加密運算和兩次解密運算，并且所需的計算開銷與環(huán)成員個數(shù)n和門限值t的大小無關(guān)，根據(jù)表3中給出的單次加解密運算所消耗的時間大小，環(huán)簽名加解密階段所需的計算成本基本可以忽略。

GMTRS方案使用嵌入度為12的BN曲線E:y2=x3+5，其中階為256 bit的大素數(shù)N。選擇長度為256 bit的相應(yīng)參數(shù)能保證方案具有與長度為3 072 bit的RSA密鑰相當(dāng)?shù)陌踩珡?qiáng)度。相關(guān)運算符號含義如表1所示，計算開銷對比如表2所示。

表1 運算符號含義

表2 不同環(huán)簽名方案計算開銷

由表2可知，GMTRS方案只需進(jìn)行一次計算成本可忽略的哈希運算H和計算成本較小的一次標(biāo)量點乘運算M就可生成私鑰；在簽名生成階段，GMTRS方案需要進(jìn)行一次雙線性配對運算B、n次冪運算E和n次標(biāo)量點乘運算M，同時相較于效率較高的文獻(xiàn)[16]，其所需要的雙線性配對運算與標(biāo)量點乘運算的運算次數(shù)明顯均要多于本方案；在簽名驗證階段，GMTRS方案需要進(jìn)行雙線性配對運算、冪運算和標(biāo)量點乘運算的次數(shù)只與門限值t有關(guān)，由門限環(huán)簽名的特性可知t

為了進(jìn)行更加直觀的對比，本文在3.20 GHz的8核64位Intel(R)Core(TM) i5-10210處理器、8 GB RAM和Windows 10操作系統(tǒng)的計算機(jī)上進(jìn)行了實驗?；诒?相同的數(shù)據(jù)設(shè)置，并采用Miracl密碼函數(shù)庫進(jìn)行實驗操作，得到表1中相關(guān)運算的單次運算所消耗的時間。同時調(diào)用SM4對稱加解密算法對1 024字節(jié)長度的字節(jié)串進(jìn)行加解密實驗操作，并以循環(huán)執(zhí)行1 000次加解密取平均值的方式，得出SM4單次對稱加解密所消耗的時間，實驗結(jié)果如表3所示。

表3 相關(guān)運算單次運算消耗時間

本文以群體醫(yī)療咨詢背景為例，沒有設(shè)置過大的環(huán)成員數(shù)，按照實際情況將n設(shè)置為10，t設(shè)置為6。其中n為專家醫(yī)生的人數(shù)，在上述相同的實驗環(huán)境下，分別進(jìn)行了簽名階段和簽名驗證階段的時間開銷對比實驗，實驗結(jié)果如圖1和圖2所示。

圖1 簽名生成時間開銷對比

由對比可得，GMTRS方案對比文獻(xiàn)[12-14,16,18]具有較高的簽名生成效率，并且相較于耗時最短的文獻(xiàn)[16]，在簽名階段效率提升約52.38%。對比效率較高的文獻(xiàn)[18]，GMTRS方案簽名驗證階段效率得到約32.16%的提升。GMTRS方案在簽名生成階段與簽名驗證階段的效率均占有一定優(yōu)勢，具有更好的實用性。

圖2 簽名驗證時間開銷對比

由于簽名效率會受到門限值t和環(huán)成員n大小變化的影響，所以以大規(guī)模簽名場景為例，在相同的實驗環(huán)境下，進(jìn)行了n與t變化的對比實驗，結(jié)果如圖3和圖4所示。

圖3 總開銷下t變化時間開銷對比

圖4 總開銷下n變化時間開銷對比

圖3和圖4實驗結(jié)果表明，GMTRS方案的總開銷與t和n的大小變化呈線性關(guān)系，但所提方案的曲線波動幅度較小。由圖3可知，因為文獻(xiàn)[12]與文獻(xiàn)[18]是環(huán)簽名方案，所以門限值t的變化不會導(dǎo)致簽名開銷變化。但在n和t相等時，GMTRS方案為全部環(huán)成員都參與簽名的環(huán)簽名方案，方案總體效率仍為最高。由如圖4可知，當(dāng)門限值t大小固定n增加時，方案的總體時間開銷最小。綜上，GMTRS方案在簽名生成階段與驗證階段的效率均具有優(yōu)勢，具有更好的實用性。

5 結(jié)束語

在環(huán)簽名的基礎(chǔ)上，加入了(t,n)門限值，利用國密算法作為底層密碼技術(shù)支持，提出了一種基于國密SM9算法的門限環(huán)簽名方案(GMTRS)。GMTRS方案只需要t個以上的簽名者對消息進(jìn)行簽名，就可以代表所有環(huán)成員得到最終的簽名。并將國密算法與門限環(huán)簽名相結(jié)合，既保留了環(huán)簽名的特性，又提高了簽名的效率和安全性。在隨機(jī)預(yù)言模型下證明了適應(yīng)性選擇消息攻擊下的不可偽造性，同時GMTRS方案也具有不可匿名性和抗重放攻擊性等優(yōu)勢。效率分析表明，GMTRS方案在計算開銷和效率上相較現(xiàn)有方案具有明顯的優(yōu)勢。此外，該方案仍然需要計算成本高的雙線性對運算，下一步需要考慮如何減少雙線對運算次數(shù)等問題，使方案的效率更高。