一種帶有動態群管理員的群簽名方案

摘要:提出了一種帶有動態數量群管理員的群簽名方案，解決了在開放網絡環境某些應用中，群管理員不能完全信任的問題。該方案簽名長度比較短，并滿足群簽名的安全要求和形式化定義，且符合子群簽名的定義，具有良好的應用前景。

關鍵詞:群簽名; 雙線性映射; q－SDH假設; 形式化定義

中圖分類號:TP309文獻標志碼:A

文章編號:1001－3695(2008)02－0379－03

Chaum和Heyst于1991年首次提出了群簽名的概念。由于群簽名能為簽名人提供良好的匿名性，同時在必要的時候又可以通過群管理員來揭露簽名者身份，這使得群簽名在諸如電子商務中的電子支付系統#65380;電子拍賣系統#65380;投票系統等方面有著廣泛的應用前景。

G.Ateniese等人于2000年提出的一種比較實用的群簽名方案，被證明在強RSA假設和Diffie－Hellman假設下能抵抗聯合攻擊，且具有較高的效率[1]。 因此該方案(又稱為ACJT方案)備受關注，對此方案的簽名改進非常多。此后，D.Boneh等人提出了基于雙線性映射的短簽名[2]。雙線性映射成了構造簽名的重要工具。由于雙線性映射構造的簽名方案具有長度短#65380;安全#65380;高效等特點，一經提出就引起了不少學者的關注。2003年，M.Bellare等人提出了群簽名的簡化形式化定義[3]，被稱為完全匿名(full－anonymity)和完全可跟蹤(full－traceability)。該形式化定義比前人提出的群簽名定義都要強。在這以后，不少學者提出的群簽名方案均采用形式化的方法證明其簽名方案的安全性。D.Boneh等人于2004年提出了以雙線性映射為基礎的群簽名方案[4]，證明了其方案在q－SDH假設和判定線性Diffie－Hellman假設下[5]滿足文獻[3]的形式化定義。

考慮到如下問題:在許多特定的應用中，群簽名者需要可信方作為管理員參與，但是很多應用(如電子投票#65380;多方匿名證書)又不能完全托付于一個單獨的可信方。現有的一些群簽名方案大都是通過秘密共享或者門限簽名[6]來解決無可信中心的問題。但這些方案都是針對簽名的生成，并不能限制一個不可信的中心打開簽名，揭露簽名人的身份。最近提出的環簽名[7](ring signature)雖然可以有效地保護簽名人的隱私，并且不需要一個可信中心，但最終不能打開簽名。為了解決這個問題，基于對文獻[4]的改進，本文提出一種動態群管理員方案。該方案基于以下思想:用戶能夠選擇任意個群管理員;當只有一個群管理員時，該管理員能夠打開簽名;當有多個群管理員時，必須由用戶選擇的群管理員全部參與，才能打開簽名。這樣，只要其中有一個群管理員可信，用戶的簽名就不會被非法打開。

1預備知識

1.1雙線性映射

令G1和G2是階為素數p的乘法循環群，設離散對數問題在G1和G2中難解，g1和g2分別是G1和G2的生成元。若ψ是從G1到G2的同構映射(ψ(g2)=g1)，定義映射 ∶G1×G2→GT。如果滿足:

驗證過程有效，本方案可以被正確地簽名與驗證。

2)完全匿名性由于本方案是基于判定線性Diffie－Hellman問題的，假設存在某個算法具備破解本群簽名方案的能力。類似文獻[4]的方法可以證明該算法在t(k)+qHO(1)(qH為對隨機預言機查詢次數)時間內破解了線性加密的語義安全性。因此，本方案與文獻[4]中的方案一樣具有完全匿名性。

3)完全可跟蹤性當n=1時，n－q－SDH問題退化為q－SDH，已知這種簽名算法具有完全可跟蹤性。設n=m時，可假設n－q－SDH簽名方案具有完全可跟蹤性。當n=m+1時，使用一個(t，qH，qS，n，ε)－Type Ⅱ偽造算法A，可以在Θ(1)×t時間內以(ε/n-1/p)2/(16qH)的概率破解q－SDH問題(見文獻[4]的Claim 2);當n=m時，設存在某個偽造算法A在Θ(1)×t時間內以概率p′解決n－q－SDH問題。此時將n－q－SDH問題規約到了q－SDH問題:存在一個算法在Θ(1)×t內以p′×(ε/n-1/p)2/(16qH)的概率解決n－q－SDH問題(n=m+1)。因此可以認為該方案具有完全可跟蹤性。

此外，本文提出的動態管理員的群簽名的方案符合G.Ateniese等人[8]提出的子群簽名的概念:對消息m的一個子群簽名是一個群的一個子集的每個成員對m的群簽名的集合。本方案與文獻[4]的方案特性比較如表1所示。

4結束語

本方案的簽名長度較短，且簽名過程中雙線性運算量也僅隨GM的數量呈線性增加。在本文的方案中，群的成員可以任意選擇其所有已注冊的公鑰子集，比多群簽名具有更好的靈活性，且符合子群簽名的性質。這些性質將會在電子投票#65380;匿名證書等應用中有著良好的前景。

參考文獻:

[1]ATENIESE G， CAMENISCH J， JOYE M， et al. A practical and provably secure coalition－resistant group signature scheme[C]//Proc of CRYPTO 2000， LNCS 1880. Berlin: Springer－Verlag， 2000:255－270.

[2]BONEH D， LYNN B， SHACHAM H. Short signatures from the Weil pairing[C]//Proc of ASIACRYPT 2001， LNCS2248. Berlin: Springer－Verlag， 2001:514－532.

[3]BELLARE M， MICCIANCIO D， WARINSCHI B. Foundations of group signatures: formal definitions， simplified requirements， and a construction based on general assumptions[C]//Proc of EUROCRYPT 2003， LNCS2656. Berlin: Springer－Verlag， 2003:614－629.

[4]BONEH D， BOYEN X， SHACHAM H. Short group signatures[C]//Proc of CRYPTO2004， LNCS3152. Berlin: Springer－Verlag， 2004:41－55.

[5]BONEH D， BOYEN X. Short signatures without random oracles[C]//Proc of EUROCRYPT2004， LNCS3027. Berlin: Springer－Verlag， 2004:56－73.

[6]王曉明，陳火炎，符方偉.動態門限群簽名方案[J].計算機學報，2004，27(9):897－902.

[7]ZHANG F， KIM K. ID－based blind signature and ring signature from pairings[C]//Proc of ASIACRYPT2002，LNCS2501.Berlin: Sprin－ger－Verlag， 2002:533－547.

[8]ATENIESE G， TSUDIK G. Some open issues and new directions in group signatures[C]//Proc of the 3rd International Conference on Financial Cryptography. Berlin: Springer－Verlag， 1999:196－211.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”