一種基于身份的群簽名方案

摘要：群簽名使得群中任何一個成員均可以代表該群進(jìn)行簽名，而不會暴露簽名者的身份。當(dāng)爭議發(fā)生時，簽名者的身份可以通過群管理員公開。基于身份的簽名與群簽名有許多相似性，給出了一個由基于身份的簽名轉(zhuǎn)換而來的群簽名，并給出了它在電子選舉中的應(yīng)用實(shí)例。

關(guān)鍵詞：群簽名；基于身份的；電子選舉

中圖分類號：TN918文獻(xiàn)標(biāo)志碼：A

文章編號：1001－3695(2007)05－0122－03

基于身份的加密系統(tǒng)(Identity－Based Encryption，IBE)首先由Shamir在1984年提出[1]。在一個基于身份的密碼系統(tǒng)中，每一個人的公鑰可以由他們的唯一身份信息（如名稱、郵件地址）來確定，這樣就避免了公鑰目錄的使用，而每個人的私鑰由一個可信任的密鑰生成中心PKGC取得。即使在不用獲得對方的公鑰證書的情形下，也可以完成消息的簽名，同時對消息實(shí)現(xiàn)公鑰加密和數(shù)字簽名。在Shamir提出基于身份的密碼系統(tǒng)后，出現(xiàn)了許多基于大整數(shù)分解的身份加密與簽名方案，可遺憾的是沒有一種完全令人滿意的解決方案。直到2001年，Boneh和Franklin基于橢圓曲線雙線性對的性質(zhì)[2]，提出了一個功能齊全的、有效的、可證安全的身份加密方案。之后，很多學(xué)者也利用橢圓曲線雙線性對的性質(zhì)，提出了各種基于身份的簽名方案[3， 4]。群簽名是特殊數(shù)字簽名的一種，由Chaum和Van Heyst于1991年提出[5]。群簽名的任何一個成員均可以代表該群進(jìn)行簽名，即簽名者可以利用群簽名機(jī)制向驗(yàn)證者證明他屬于此群體而又不會暴露他/她的身份。當(dāng)爭議發(fā)生時，簽名者的身份可以通過群管理員公開。由于擁有這些特殊的性質(zhì)，群簽名的應(yīng)用范圍非常廣泛，如在電子現(xiàn)金、電子投票、電子拍賣等電子商務(wù)應(yīng)用方面。

1基于身份的簽名與群簽名

1．1兩種簽名方案的對比

基于身份的簽名方案與群簽名方案在算法步驟上十分類似。下面作一個對比[6]。一個基于身份的簽名方案由以下四步算法組成：

(5)G_OPEN。一個算法給定一個消息和關(guān)于這個消息的一個有效群簽名，以及群公鑰和群管理員的私鑰，確定群成員的身份。因?yàn)橹挥腥汗芾韱T擁有管理密鑰，所以只有群管理員才能執(zhí)行這個操作。

1．2基于身份的簽名到群簽名的轉(zhuǎn)換

如果把基于身份的簽名方案中用戶私鑰（由用戶的ID得來的）看做是從群的管理員處得到，其實(shí)基于身份的簽名方案和群簽名方案十分相似[6]。

ID_SETUP和G_SETUP的算法相似。事實(shí)上，它們都是輸入一個隨機(jī)參數(shù)k，生成兩個參數(shù)：①公開參數(shù)，分別為系統(tǒng)參數(shù)（Params）或者群公鑰（GroupPK），以便用來驗(yàn)證基于身份系統(tǒng)的成員或者群成員的簽名是否有效。②私密參數(shù)。管理密鑰（Master－key），被PKGC或者群管理員用來生成每個成員的私鑰。

對比之后，可以很容易發(fā)現(xiàn)，如果將一個基于身份簽名系統(tǒng)的系統(tǒng)參數(shù)用做群公開密鑰，并且將群簽名的輸出定義為一個基于身份的簽名和用戶公鑰IDi的結(jié)合，則任意基于身份的簽名均可以被用做一個群簽名。

2一種基于身份的群簽名

2．1C02，PC02方案的分析

經(jīng)過1.2節(jié)的討論，可以看出基于身份的簽名方案和群簽名方案的自然相似性，可以輕易地將已有的基于身份的簽名方案稍加改動而轉(zhuǎn)換為群簽名方案。但是，在基于身份簽名方案中，用戶密鑰完全由群管理員生成，所以管理員可以輕而易舉地冒充任意用戶簽名。這在群簽名中是絕對不允許的。為解決這個問題，已經(jīng)提出過一些方案C02[6]和 PC02[7]，思路均是由用戶生成一對非對稱密鑰對（如RSA/DSA），并將其中的公鑰部分作為用戶的IDi，在進(jìn)行群簽名時先作一次RSA/DSA簽名再進(jìn)行一次基于身份的簽名以防止管理員冒充，具體參考文獻(xiàn)[6，7]。以上方法雖然安全可靠，但是缺點(diǎn)也相當(dāng)明顯。相當(dāng)于進(jìn)行了兩次簽名，一次是RSA/DSA等公鑰簽名；一次是基于身份的簽名方案，消耗大，產(chǎn)生的簽名長度較長。

2．2新的基于身份的群簽名

為解決管理員冒充這個問題，本文將管理員分為兩部分，即密鑰頒發(fā)中心Issuer和注冊中心Register，來解決管理員可能偽造用戶簽名的問題。在此假設(shè)Issuer和Register不相互勾結(jié)。

具體方案如下：

2．3方案的安全性分析

由于該方案是由基于身份的群簽名方案直接轉(zhuǎn)換而來，在正確性和防偽造性方面均與基于身份的群簽名方案相同。

（1）防陷害攻擊。由于只有群成員本人才具有自己的私鑰，任何人（包括注冊中心和頒發(fā)中心）均不能偽造出其他群成員的簽名。

（2）可跟蹤性。由于注冊中心掌握成員的ID登記可以輕易地解開一個有效簽名。

（3）匿名性。如果成員的個人標(biāo)志ID在選取時不泄露自己的真實(shí)信息，如取一個別名或無意義字符串等，則該方案可以達(dá)到很好的匿名效果。

（4）抗聯(lián)合攻擊。由于群私鑰由注冊中心和頒發(fā)中心各生成一部分，只要注冊中心和頒發(fā)中心不相互勾結(jié)，則任意多個成員合謀也無法偽造出一個有效的群簽名。

（5）不關(guān)聯(lián)性。該方案由基于身份的簽名方案而得出，個人標(biāo)志ID是簽名的一部分，并不具備不關(guān)聯(lián)性。但是，在實(shí)際運(yùn)用中，只要群成員不需要進(jìn)行大量的簽名，不具備不關(guān)聯(lián)性的缺點(diǎn)可以通過廢棄舊ID解決。在基于身份的簽名本身提供不關(guān)聯(lián)性的情況下也可以得到解決。具備關(guān)聯(lián)性的群簽名（Linkable Group Signature），在某些實(shí)際情況中反而更具有應(yīng)用價值，如一人一票的電子選舉。

2．4電子選舉協(xié)議

電子選舉協(xié)議的模型[8]通常有以下幾種：

（1）單選舉中心型。在該類型的方案中，注冊工作與選票的認(rèn)證及統(tǒng)計(jì)工作由一個選舉中心來完成。

（2）多選舉中心型。在該類型的方案中，存在多個地位相同的選舉中心，注冊工作與選票的認(rèn)證及統(tǒng)計(jì)工作由多個選舉中心共同完成。

（3）候選人充當(dāng)選舉中心型。在該類型的方案中，注冊和統(tǒng)計(jì)工作均由投票人與候選人之間的協(xié)議共同完成。

由于電子選舉方案采用的模型不同，其步驟也有一些區(qū)別。通常說來，一個電子選舉方案包含如下步驟：

(1)注冊。通常是由合法的投票人從選舉中心取得一個以后可以驗(yàn)證的標(biāo)志信息。投票人的一些個人信息及投票人的投票信息都有可能隱含在這個標(biāo)志信息中。

(2)投票。投票人構(gòu)造出合法選票通過某種方式送給選舉中心。

(3)統(tǒng)計(jì)。選舉中心統(tǒng)計(jì)選票。

(4)驗(yàn)證對于一個電子選舉方案，其可驗(yàn)證性有個人可驗(yàn)證性和全體可驗(yàn)證性兩種。個人可驗(yàn)證性指投票者本人能確認(rèn)自己的選票被正確地統(tǒng)計(jì)在選舉結(jié)果之中；整體可驗(yàn)證性指任何人均可以根據(jù)公布出來的選舉信息確認(rèn)選舉的統(tǒng)計(jì)工作的正確性。

常見的電子選舉方案有FOO方案[9]及Sensus系統(tǒng)[10]等。在這里用到的電子選舉系統(tǒng)主要參考文獻(xiàn)[11]中提出的電子選舉方案，它包含兩個選舉中心，即Issuer和Register。步驟如下：

①初始化。Issuer和Register通過G_SETUP確立一個初始的投票機(jī)構(gòu)，由Register確認(rèn)投票人員名單，并公布在公告牌（Bulletin Board）上宣布投票事項(xiàng)。

②注冊。投票者與Register聯(lián)系，通過G_JOIN在Register處進(jìn)行登記，合法的投票者獲取自己的選票資格后從Issuer處領(lǐng)取選票。

③投票。獲得選票的投票者，進(jìn)行投票。投票者將投票內(nèi)容（Yes，No或被選舉人姓名等其他事項(xiàng)）用G_SIGN進(jìn)行簽名后一并在公告牌上公布。

④統(tǒng)計(jì)。投票結(jié)束，由Register通過G_OPEN剔出非法選票，Issuer通過G_Verify確認(rèn)有效票，統(tǒng)計(jì)結(jié)果，并公布在公告牌上。

⑤驗(yàn)證。由于票選和結(jié)果均在公告牌上公布，方案即滿足個人可驗(yàn)證性也滿足整體可驗(yàn)證性。

很容易看出，該投票方案的安全性、效率均與2.2節(jié)提出的簽名方案等同。因?yàn)楹灻桨副旧淼年P(guān)聯(lián)性，所以可以限制一人僅有一票。由于投票本身包含ID標(biāo)志，如果此ID標(biāo)志選取的不是一個短期參數(shù)，而是一個長期身份標(biāo)志，比C2C電子商務(wù)中參與者的代碼、身份證號、電子郵件地址等，那么，可以很容易地通過這個ID標(biāo)志建立投票者的信譽(yù)檔案。該方案適合用于網(wǎng)絡(luò)信用評估[12]等領(lǐng)域。

3結(jié)束語

群簽名方案允許某個組織中的合法成員以組織的名義進(jìn)行簽名，驗(yàn)證者不知道具體的簽名人。當(dāng)簽名發(fā)生爭議時，可以由系統(tǒng)的權(quán)威打開簽名，找到實(shí)際的簽名者。在電子選舉、電子現(xiàn)金等方面均有廣泛的應(yīng)用。基于身份的密碼系統(tǒng)也是近年來的研究熱點(diǎn)之一，其與群簽名的天然相似性值得關(guān)注。本文研究了如何將基于身份的簽名有效地轉(zhuǎn)換為群簽名，并構(gòu)造了一個新的基于身份的群簽名方案，給出了它在電子投票中的應(yīng)用實(shí)例。

參考文獻(xiàn)：

［1］SHAMIR A.Identity－based cryptosystems and signature schemes：proc.of the Cryptology－Crypto’84，LNCS 196[C].[S.l.]:Springer－Verlag，1984:47－53.

［2］BONEH D， FRANKLIN M.Idtentity－based eneryption from the weil pairing:proc. of the Cryptology－Crypto 2001， LNCS 2139[C].[S.l.]:Springer－Verlag， 2001:213－229.

［3］CHA J C，CHEON J H.An identity－based signature from gap diffie－h(huán)ellman groups， cryptology e－print archive[EB/OL].(2002－01－08).http://eprint.iacr.org/.

［4］PATERSON K G.ID－based signatures from pairings on elliptic curves，cryptology e－print archive[EB/OL]．(2002－04).http://eprint.iacr.org/.

［5］CHAUM D， HEYST F.Group signature:proceedings of EUROCRYPT’91[C].[S.l.]:Springer－Verlag， 1992:257－265.

［6］CASTELLUCCIA C.How to convert any ID－based signature scheme into a group signature scheme， cryptology e－print archive [EB/OL].(2002－01－16).http://eprint.iacr.org/.

［7］POPESCU C.An efficient ID－based group signature scheme[J]. Studia Univ. Babes－Bolyai， Informatica， 2002， XLVⅡ(2):29－36.

［8］段琪，孫淑玲.電子選舉研究概況[J].計(jì)算機(jī)應(yīng)用，1998，18(4):23－25.

［9］FUJIOKA A， OKAMOTO T，OHTA K.A practical secret voting scheme for large scale elections:proc. of the Auscrypt’92 [C].[S.l.]:[s.n.]，1992:244－251.

［10］CRANOR L. Electronic voting:computerized polls may save money， protect privacyproc of the Hawaii Internet of Conference on System Science[C].Hawaii:[s.n.]，1997:116－124.

［11］LIU J K， WEI V K，WONG D S.Linkable spontaneous anonymous group signature for Ad hoc groups (extended abstract)ACISP’04 [C].[S.l.]:[s.n.]， 2004:325－335. 

［12］RESNICK P， ZECKHAUSER R， FRIEDMAN E，et al. Reputation systems:facilitating trust in internet interactions[J].Communications of the ACM， 2000，43(12): 45－48.

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”