無(wú)可信ＰＫＧ的基于身份的指定接收者群簽密方案

摘要：利用簽密的思想，對(duì)基于身份的群簽名方案進(jìn)行改進(jìn)，提出無(wú)可信PKG（私鑰生成中心）的基于身份的指定接收者群簽密方案。在提出的方案中，只有指定接收者可以從群簽密密文恢復(fù)出被群簽密消息的明文來(lái)驗(yàn)證群簽密的有效性；并可以通過(guò)指定接收者進(jìn)一步公開(kāi)相關(guān)信息，轉(zhuǎn)換為不泄露消息明文但可以被公開(kāi)驗(yàn)證的群簽名。該方案能夠同時(shí)保證消息的機(jī)密性、可認(rèn)證性和不可否認(rèn)性。此外，群公鑰的大小和群簽密的長(zhǎng)度獨(dú)立于群成員的個(gè)數(shù)。

關(guān)鍵詞：基于身份的密碼體制；私租生成中心；雙線性對(duì)；指定接收者；群簽密

中圖分類(lèi)號(hào)：TP309文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2007)12-0158-04

0引言

群簽名的概念首先由Chaum等人^[1]在1991年提出。它允許每一個(gè)群成員代表群對(duì)消息匿名地簽名。同時(shí)，驗(yàn)證者可以使用群公鑰驗(yàn)證簽名是否是群的有效簽名，但不能確定該簽名由哪個(gè)群成員所簽，也不能確定兩個(gè)不同的群簽名是否由同一個(gè)簽名者所簽。在以后發(fā)生糾紛時(shí)，群主管可以打開(kāi)該簽名并揭露簽名者的真實(shí)身份。群簽名在電子貨幣、電子選舉等領(lǐng)域得到了廣泛的應(yīng)用。

最初的群簽名方案^[2]均建立在基于證書(shū)的公鑰密碼系統(tǒng)下。該系統(tǒng)需要有系統(tǒng)公認(rèn)的證書(shū)認(rèn)證權(quán)威，參與者在使用一個(gè)用戶(hù)的公鑰之前必須先驗(yàn)證其證書(shū)的有效性。因此，系統(tǒng)需要大量的存儲(chǔ)空間和計(jì)算開(kāi)銷(xiāo)去管理用戶(hù)的公鑰證書(shū)。近年來(lái)，在基于身份的公鑰密碼系統(tǒng)下，用戶(hù)的公鑰可以很容易地由能夠標(biāo)志用戶(hù)身份的信息（如e－mail地址或IP地址等）計(jì)算得到，因而它成為基于證書(shū)的公鑰密碼系統(tǒng)很好的替代品，并在現(xiàn)實(shí)中具有廣泛的應(yīng)用。

基于身份的公鑰密碼體制首先由Shamir^[3]在1984年提出，直到2001年才由Boneh等人^[4]提出了一個(gè)實(shí)用的基于身份的公鑰密碼系統(tǒng)；之后又提出了一些基于身份的群簽名方案^[5]，但是這些方案均存在一個(gè)致命的弱點(diǎn)，即系統(tǒng)必須有一個(gè)公共可信任的私鑰生成中心（PKG）。PKG可以計(jì)算系統(tǒng)內(nèi)任意用戶(hù)的私鑰，所以可以偽造任何用戶(hù)的“有效”簽名，而且驗(yàn)證者無(wú)法判斷PKG是否有欺騙行為。由此可見(jiàn)，無(wú)條件地信任PKG大大限制了基于身份的群簽名方案的廣泛應(yīng)用。2003年，Chen等人^[6]提出了一個(gè)新的無(wú)可信PKG的基于身份的系統(tǒng)從而解決了上述問(wèn)題。

在現(xiàn)實(shí)生活中，有時(shí)存在這樣的實(shí)際應(yīng)用場(chǎng)景：一組技術(shù)人員聯(lián)合繪制了某種零件的加工圖紙，他們需要對(duì)圖紙群簽名并加密后發(fā)送給加工者，只有加工者可以恢復(fù)出圖紙的明文并驗(yàn)證群簽名的有效性。必要時(shí)，加工者可以在不泄露圖紙秘密的情況下使公眾均可以驗(yàn)證群簽名的有效性。考慮到以上的現(xiàn)實(shí)需求，以及現(xiàn)有的基于身份的群簽名方案沒(méi)有考慮對(duì)被群簽名消息的機(jī)密性，筆者將簽密的概念應(yīng)用其中。簽密的概念首先由Zheng^[7]在1997年提出，其主要思想是把加密和簽名的功能結(jié)合起來(lái)，在一個(gè)邏輯步驟內(nèi)同時(shí)完成加密和簽名。結(jié)合簽密和群簽名，2000年由Mu等人^[8]提出了群簽密的概念，其主要思想是群A中的任何成員能夠代表群A對(duì)消息群簽密，然后將該群簽密發(fā)送給群A指定的接收群B，群B中的任何成員可以恢復(fù)消息并對(duì)群簽名驗(yàn)證。

基于雙線性對(duì)，本文提出了一個(gè)無(wú)可信PKG的基于身份的指定接收者群簽密方案。與上述群簽密方案所不同的是，本方案中群簽密的指定接收者是一個(gè)指定的用戶(hù)而不是一個(gè)指定的群。該方案除了滿足群簽名的要求外，還具有以下特性：a）基于身份的特性，但系統(tǒng)中的PKG不必是可信的，它可以解決密鑰的托管問(wèn)題。b）群簽密的特性，能夠?qū)⑷汉灻图用艿墓δ芙Y(jié)合起來(lái)，一次性完成群簽名和加密，同時(shí)達(dá)到了消息的機(jī)密性和可認(rèn)證性。c）指定接收者恢復(fù)消息的特性，即只能由指定接收者才可以恢復(fù)消息的明文以保持消息的機(jī)密性。在恢復(fù)出消息后，必要時(shí)指定接收者可以公開(kāi)消息的hash值等相關(guān)信息，使得任何人可以驗(yàn)證群簽密的有效性，這樣可以大大縮小消息的擴(kuò)散范圍，為一些需要保密的消息（如個(gè)人隱私）提供了很好的解決途徑。

4結(jié)束語(yǔ)

本文基于GDH問(wèn)題，提出了一個(gè)無(wú)可信PKG的基于身份的指定接收者群簽密方案，并對(duì)其安全性作了簡(jiǎn)要分析。在該方案中，群簽密者代表由n個(gè)成員組成的群對(duì)消息群簽密，所以適合群成員的個(gè)數(shù)是有限的群，因此該方案更加具有實(shí)際意義。該方案的優(yōu)點(diǎn)是將消息的機(jī)密性、可認(rèn)證性和不可否認(rèn)性結(jié)合起來(lái)，同時(shí)在指定接收者恢復(fù)消息后，其他驗(yàn)證者在驗(yàn)證時(shí)不能夠看到消息的明文，避免了消息的廣泛公開(kāi)；缺點(diǎn)是由于同時(shí)需要滿足的要求比較多，導(dǎo)致多次使用hash函數(shù)，使方案比較復(fù)雜。如何將該方案簡(jiǎn)化是筆者下一步將要研究的問(wèn)題。

參考文獻(xiàn)：

［1］CHAUM D，HEYST E V.Group signatures[C]//Proc of Advances in Cryptology－EUROCRYPT ’91， LNCS 547.Berlin:Springer－Verlag，1991:257-265.

[2]CAMENISCH J，STADLER M.Efficient group signatures schemes for large groups[C]//Proc of Advances in Cryptology－CRYPTO ’97， LNCS 1294.Berlin:Springer－Verlag， 1997:410-424.

[3]SHAMIR A.Identity－based cryptosystems and signature schemes[C]//Proc of Advances in Cryptology－CRYPTO ’84，LNCS 196. Berlin:Springer－Verlag，1984:47-53.

[4]BONEH D，F(xiàn)RANKLIN M.Identity－based encryption from the Weil pairings[C]//Proc ofAdvances in CryptoLogy－CRYPTO 2001，LNCS 2139. Berlin:Springer－Verlag， 2001:213-229.

[5]TSENG Y，JAN J. A novel ID－based group signature[C]//Proc of International Computer Symposium， Workshop on Cryptology and Information Security. Tainan:[s.n.]，1998:159－164.

[6]CHEN Xiao－feng，ZHANG Fang－guo，LIM K. A new ID－based group signature scheme from bilinear pairings[EB/OL].[2003].http://eprint.iacr.org/2003/116.

[7]ZHENG Yu－liang.Digital signcryption or how to achieve cost(signature encryption)<<cost(signature)+cost(encryption)[C]//Proc of Advances in Cryptology－CRYPTO ’97， LNCS 1294. Berlin:Springer－Verlag， 1997:165－179.

[8]MU Yi，VARADHARAJAN V.Distributed signcryption[C]//Proc of the 1st International Conference on Progress in Cryptology.London:Springer－Verlag， 2000:155－164.

[9]TAN Zuo－wen，LIU Zhuo－jun.A novel identity－based group signature scheme from bilinear maps[EB/OL].[2003].http://www.mmrc.iss.ac.cn/pub/mm22.pdf/17.pdf.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”