一種高效安全的群簽名方案*

于 璇，侯書會

0 引 言

隨著信息社會的到來，計算機和互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，給日常工作和生活帶來了便利。為保證互聯(lián)網(wǎng)中信息傳遞的真實性和有效性，數(shù)字簽名技術(shù)應(yīng)運而生。為使數(shù)字簽名滿足匿名性和可追蹤性，1991年D.Chaum和Evan.Heyst提出了群簽名方案[1]。在群簽名方案中，群成員可以匿名代表整個群對消息簽名，同時具備不可偽造性、可追蹤性、不關(guān)聯(lián)性和防陷害性等特征。

2004年，陳澤文提出了一種基于中國剩余定理的群簽名方案[2]，解決了群成員撤銷難題；2006年，李鳳銀基于RSA問題提出了一種群簽名方案[3]，高效實現(xiàn)了群成員的增加和撤銷；同年，為改進陳澤文方案的不可鏈接性，胡斌提出了改進的基于中國剩余定理的群簽名方案[4]；2008年，姜燕對李鳳銀方案進行改進[5]，并使新方案能夠滿足前向安全性；2009年，朱瑩以DSA簽名算法為基礎(chǔ)，引入了成員標簽，對李鳳銀方案提出了另一種改進方案[6]；2010年，張建中對姜燕方案進行了安全性分析[7]，證明了姜燕方案不能抵抗陷害攻擊。

為進一步提高群簽名的安全性和簽名效率，2015年白永祥提出了一種高效的群簽名方案[8]（以下簡稱BaiYX方案）。本文對其安全性進行分析，證明此方案容易被攻擊或陷害，并針對其漏洞提出了新的群簽名方案。具體地，將BaiYX方案中的兩個群管理員縮減為一個，增設(shè)公鑰狀態(tài)列表，實現(xiàn)動態(tài)地增加和撤銷群成員，提高執(zhí)行效率；利用橢圓曲線上離散對數(shù)問題的難解性，在群成員私鑰保密的前提下，實現(xiàn)群管理員對群成員私鑰的管理與控制，增強抗合謀性能；利用雙線性映射性質(zhì)，實現(xiàn)群管理員對群成員的身份認證，提高方案的安全性。

1 BaiYX群簽名方案

白永祥基于ElGamal簽名方案構(gòu)造了一種群簽名方案，把群管理員分為兩部分——GM1和GM2，GM1負責群成員的加入和群成員私鑰的分發(fā)，GM2負責群簽名的追蹤。整個方案分為群的建立、群成員的加入、簽名、驗證和追蹤5個部分。

設(shè)m為待簽名的消息，Ui為群成員，H∶{0,1}*→{0,1}t為一個安全的Hash函數(shù)。

1.1 群的建立

在群初始化過程中，兩個群管理員分別為該群設(shè)置公鑰和自己的私鑰。

（1）GM1選擇足夠大的素數(shù) p、q，計算n=p·q。QR(n)為二次剩余群，選定其循環(huán)子群G，而g為G的一個生成元。

選擇x∈RG作為自己的私鑰，計算y=gx(mod n)，并把y作為公鑰。

（2）GM2選擇足夠大的素數(shù)P、Q，計算N=P·Q，使得N＜n。然后，選擇E∈RZ*N，計算D，使其滿足E·D≡1(modφ(N))，并將D作為自己的私鑰保存。

最終，群管理員GM1的私鑰為x，GM2的私鑰為D，同時公布群公共參數(shù)Y={n,g,l,t,H}和群公鑰{y,E,N}。

1.2 群成員的加入

Ui申請加入群時，進行如下操作。GM1隨機選擇xi∈RG，計算xi'=x-xi與yi=gxi(mod n)，然后把xi發(fā)送給群成員Ui，把(Ui,xi',yi)發(fā)送給群管理員GM2，并將(Ui,xi',yi)作為群成員Ui的群簽名證書。

1.3 簽名過程

群成員Ui對消息m進行簽名時，進行如下操作：

（1）群成員Ui首先隨機選擇ri∈RG，計算ci=H(Time||yi||g||gri||m)和si=ri-cixi，這里Time為時間戳。然后，將(Ui,m,ci,si,Time)發(fā)送給GM2。

（2）GM2接收到(Ui,m,ci,si,Time)后，首先檢驗Time與當前時間是否一致，以及Ui是否存在。若時間一致且Ui存在，查找與Ui對應(yīng)的yi(=gxi)，檢驗ci=H(Time||yi||g||gsiyici||m)是否成立。若成立，GM2隨機選擇ri'∈RG，并獲取當前時間Time'，計算：

然后發(fā)送(T ime ' ||si'||c ' ||c)給群成員Ui，并把（Ui||m ||T ime||T ime ' ||ci||si||ri' ||c)存儲到與Ui對應(yīng)的簽名追蹤列表中。

（3）群成員Ui接收到(Time'||si'||c'||c)后，檢驗c=(c')E(mod N)是否成立。若成立，計算s=si'+ri-cxi，公布消息m的群簽名為(T ime,T ime',c,c',s)。

1.4 驗證

驗證者接收到簽名(T ime,T ime',c,c',s)后，檢驗 c = (c ')E(mod N )是否成立。若成立，則檢驗c = H(T ime||T ime ' ||y||g || ycgs)(mod N )是否成立。若兩式均成立，接受(T ime,T ime',c,c',s)為消息m的群簽名；否則，不接受。

1.5 追蹤

追蹤群簽名時，GM1要打開簽名確定簽名者的身份，這時要向GM2發(fā)送請求。GM2根據(jù)簽名追蹤列表中的（ Ui||m ||T ime||T ime ' ||ci||si||ri' ||c)信息，查找對應(yīng)的(Ui,c)，可得到簽名群成員的身份并告知GM1。

2 BaiYX方案的安全性分析

本節(jié)證明BaiYX方案不能抵抗合謀攻擊，且群成員容易被陷害。

2.1 GM1可冒充群成員Ui進行簽名

在BaiYX方案中，群成員Ui的私鑰xi由GM1分發(fā)，而不是由Ui自己生成，使得群管理員GM1可以冒充群成員。群成員Ui簽名使用的ri是隨機選取的，由于BaiYX方案缺乏身份認證機制，GM1可以隨機選取ri，使用xi對消息m進行簽名，即群管理員GM1可以冒充群成員Ui簽名，且群管理員GM2無法辨別簽名者是Ui還是GM1。

2.2 GM2可聯(lián)合群成員進行合謀攻擊

群建立過程中，密鑰分發(fā)時使用如下等式：

群管理員GM2擁有xi'，群成員擁有xi，二者合謀計算xi+xi'可得到群管理員GM1的私鑰x。所以，群管理員GM1的私鑰x是不安全的。

在BaiYX方案中，GM1和GM2兩名群管理員分工明確，GM1負責群成員的加入和群成員私鑰的發(fā)行，GM2則負責群簽名的追蹤。一旦上述合謀攻擊情況發(fā)生，則GM1的存在將失去意義，GM2或者其合謀的群成員可代替GM1任意添加群成員并合法分發(fā)密鑰。

鑒于上述問題，本文提出了一種高效安全的群簽名方案。

3 本文方案

本文方案中存在4類實體，分別為公鑰狀態(tài)列表（PKSL）、群管理員GM、可信時間戳機構(gòu)（TSA）和群成員Ui。其中，公鑰狀態(tài)列表中顯示當前群成員的身份信息IDi、公鑰yi、授權(quán)簽名起始時間Ts和TE；GM則負責群成員的加入、群簽名的追蹤以及實時更新維護，并向所有群成員廣播最新的PKSL；可信時間戳機構(gòu)負責向群管理員及群成員提供時間戳服務(wù)；群成員Ui負責完成群簽名。

類似于BaiYX方案，本文方案包含群的建立、群成員的加入、簽名、驗證和追蹤五個步驟。

3.1 群的建立

群初始化過程中，群管理員GM首先為群設(shè)置公鑰，并獲取自己的私鑰，操作如下。

（1）群管理員GM選擇足夠大的素數(shù)p、q，計算n=pq，選擇二次剩余群QR(n)中的循環(huán)子群G1（其生成元為g），選擇x∈RG1作為私鑰。選擇E∈RZn*，計算D使其滿足E·D≡1(modφ(n))，將D作為私鑰保存，即GM的私鑰為(x,D)。

（2）GM生成群公共參數(shù)。選定hash函數(shù)H1(·)：{0,1}*→G2,G2為有限域上橢圓曲線E的點構(gòu)成的加法循環(huán)群；在橢圓曲線E上選取一個素數(shù)階q的點Q，計算Qpub=xQ；e為雙線性映射：G2×G2→G3，其中G3為r階乘法循環(huán)群。

（3）最終，群管理員GM的私鑰為(x,D)，公布群公共參數(shù)Y={n,g,l,r,H1,G1,G2,G3,e}和群公鑰{E,Q,Qpub}。

3.2 群成員的加入

Ui申請加入群時，進行如下操作：

（1）群成員Ui隨機選取兩個數(shù)ai,bi∈，計算 Xi=aiH1(IDi)，Yi=aibiH1(IDi)，Zi=biQ，Wi=aibiQ，發(fā)送(Xi,Yi,Zi,Wi,IDi)給GM。

（2）GM計算H1(IDi)，并檢驗：

若式（5）成立，則GM驗證了IDi的有效性。GM 計算 Vi=xYi，PKi=xZi，將 (Vi,PKi)發(fā)送給群成員Ui。

（3）群成員Ui收到 ()后， 檢驗e(Vi,Q)=e ()和e(PKi,Q)=e ()。 若成立，計算x=a?1V= bxH(ID)作為私鑰，計算yi=xiQ作為公鑰，并公布身份 IDi。顯然，e()=e(x,yi)成立，則將()發(fā)送給群管理員GM；

（4）群管理員GM收到(IDi, yi)后，將其存儲到公鑰狀態(tài)列表PKSL中，并予以公布。PKSL采取如表1所示的形式。

表1 公鑰狀態(tài)列表

當群成員公鑰有效時，其撤銷時間取一個足夠大的值，如9999年12月31日。公鑰狀態(tài)列表PKSL的實時維護由群管理員GM負責，每有群成員加入或撤銷，都要實時更新PKSL，并向所有群成員廣播最新的PKSL，同時將(IDi,yi,Ti-start,Ti-end)發(fā)送給群成員Ui，作為群成員Ui的群簽名證書。

3.3 簽名過程

群成員Ui對消息m進行簽名時，操作如下：

（1）群成員Ui隨機選擇ri∈RG，并向可信時間戳機構(gòu)TSA請求當前時間Time，計算：

（2）群管理員GM檢查Time和當前時間是否一致，訪問PKSL查看Ui在當前時間是否存在。若時間一致且群成員存在，查找與Ui對應(yīng)的yi( = xiQ)，驗證 e(xi, Qpub) = e (x,yi)是否成立。若成立，則驗證了群成員Ui的身份，接著驗證式（7）是否成立：

若成立，則接受ci，選擇 ri' ∈RG，并獲取當前時間 T ime'，進行如下運算：

表2 簽名追蹤列表

（3）收到(Time'||si'||c'||c)后，群成員檢驗c=(c')E(mod n)是否成立。若成立，計算：

公布(Time,Time',c,c',s)為消息m的簽名。

3.4 驗證

驗證簽名時，根據(jù)(Time,Time',c,c',s)檢驗c =(c ' )E(modn)是否成立。若成立，計算：

若式（8）成立，接受(Time,Time',c,c',s)為群簽名；若不成立，則不接受簽名。

3.5 追蹤

追蹤簽名時，群管理員GM打開消息m的群簽名(Time,Time',c,c',s)，根據(jù)c，對應(yīng)追蹤列表中的查找相應(yīng)的(IDi,c)，追蹤到簽名者的身份信息IDi。

4 正確性和安全性分析

4.1 正確性

群建立過程中增加了驗證機制，群管理員和群成員需要進行雙向驗證。

（1）GM驗證IDi的有效性

群成員Ui隨機選取ai,bi∈，計算Xi=aiH1(IDi)，Yi=aibiH1(IDi)，Zi=biQ，Wi=aibiQ，發(fā)送(Xi,Yi,Zi,Wi,IDi)給群管理員GM。群管理員GM計算H1(IDi)，根據(jù)雙線性映射的性質(zhì)驗證

可知 e (Xi, Zi) = e(H1(I Di) ,Wi) = e (Yi,Q)成立，即證明了IDi的有效性。

（2）群成員Ui驗證群管理員GM

群建立過程中，GM完成對群成員驗證后，計算Vi=xYi，PKi=xZi，將(Vi,PKi)發(fā)送給群成員Ui，Ui需要驗證GM的身份，即驗證 e(Vi,Q ) = e ()，e(P Ki,Q ) = e ()是否成立。

因為：

所以e(Vi,Q ) = e (Yi, Qpub)、e(P Ki,Q ) = e(Zi, Qpub)兩等式成立，即驗證了群管理員GM的身份。

（3）簽名時GM對群成員Ui的驗證

簽名是由群成員Ui和群管理員GM協(xié)作完成的。群管理員GM確認Time和Ui在當前時間存在后，需要驗證Ui身份。簽名時，群成員Ui已經(jīng)將發(fā)送給GM，GM需要驗證 e= e (x,yi)是否成立。

若式（20）成立，則證明發(fā)送方為群成員Ui。

（4）簽名的正確性

驗證等式（7）中ci的有效性，即驗證：

只需驗證 riQ = siQ + ciyi。

驗證簽名時，群公鑰{E,Q,Qpub}和群公共參數(shù)Y={n,g,l,r,H1,G1,G2,G3,e}是已知的。驗證c=(c')E(mod n)后，需要驗證簽名是否有效，即驗證：

通過上述證明，本文簽名方案是正確的。

4.2 安全性

從以下幾個方面論述方案的安全性。

（1）匿名性。(Time,Time',c,c',s)為消息m的群簽名，驗證時僅使用了群管理員GM的公鑰來計算c=(c')E(mod n)，沒有涉及群成員Ui的身份信息。所以，本文方案是匿名的。

（2）抗合謀性。本文方案中，利用橢圓曲線上離散對數(shù)問題的難解性，群管理員GM通過xi=bixH1(IDi)來控制群成員Ui私鑰，但無法直接獲取Ui的私鑰，而群成員更無法得到群管理員GM的私鑰。另一方面，不同的群成員私鑰完全保密，且各不相關(guān)。所以，方案在抗合謀攻擊方面，安全性要強于BaiYX方案。

（4）不可偽造性。只有群成員可以代表群生成有效的群簽名，本文方案中利用橢圓曲線上離散對數(shù)問題的難解性，可有效防止群管理員對群成員的冒充，并抵抗合謀攻擊。

（5）不可關(guān)聯(lián)性。(Time,Time',c,c',s)沒有涉及任何群成員信息，所以通過計算判斷兩個不同的群簽名是否為同一人所簽是不可實現(xiàn)的，可見所提方案滿足不可關(guān)聯(lián)性。

（6）防陷害性。群管理員GM和群成員Ui都不能代表其他群成員對消息m進行簽名。本方案中，GM和所有群成員均擁有完全保密的私鑰，在不泄漏的前提下，方案滿足防陷害性。

（7）前向安全性。群成員被撤銷后，在有效期內(nèi)完成的群簽名是安全的、可被驗證的。

5 結(jié) 語

基于白永祥提出的群簽名方案，提出了一個高效安全的群簽名方案。與原方案相比，所提方案執(zhí)行效率高，抗合謀性能強，可以方便地增加和撤銷群成員，并給出了理論分析與證明。下一步將在具體應(yīng)用方面加強研究，尤其是在仿真實驗和代碼實現(xiàn)等方面進行設(shè)計，使其在生產(chǎn)生活實際中發(fā)揮作用。

[1] Chaum,Heyst.Group Signatures[M].Berlin:Spring Verlog,1991:257-265.

[2] 陳澤文.一種基于中國剩余定理的群簽名方案[J].電子學報,2004,32(07):1062-1065.CHEN Ze-wen.A Group Signature Scheme Based on Chinese Remainder Theorem[J].ACTA Electronica Sinica,2004,32(07):1062-1065.

[3] 李鳳銀.一種基于RSA的群簽名方案[J].計算機工程與設(shè)計,2008,27(16):2955-2957.LI Feng-yin.A Group Signature Scheme Based on RSA[J].Computer Engineering and Design,2008,27(16):2955-2957.

[4] 胡斌.一種改進的基于中國剩余定理的群簽名方案[J].計算機工程與應(yīng)用,2006(24):114-116.HU Bin.An Improved Group Signature Scheme Based on Chinese Remainder Theorem[J].Computer Engineering and Applications,2006(24):114-116.

[5] 姜燕.基于RSA的群簽名方案的缺陷及改進方案[J].計算機工程與設(shè)計,2008,29(07):1655-1658.JIANG Yan.Flaw and Improved Scheme of Group Signature Scheme Based on RSA[J].Computer Engineering and Design,2008,29(07):1655-1658.

[6] 朱瑩.一種基于RSA群簽名方案的安全性分析及改進[J].湖北工業(yè)大學學報,2009,24(01):68-71.ZHU Ying.Cryptanalysis and Improvement of Group Signature Scheme Based on RSA[J].Journal of Hubei University of Technology,2009,24(01):68-71.

[7] 張建中.基于RSA群簽名方案的安全性分析[J].計算機工程與應(yīng)用,2010,46(22):121-123.ZHANG Jian-zhong.Security Analysis of Group Signature Scheme Based on RSA.Computer Engineering and Applications,2010,46(22):121-123.

[8] 白永祥.一種高效群簽名方案的設(shè)計與分析[J].通信技術(shù),2015,48(02):214-218.BAI Yong-xiang.Design and Analysis of Efficient Group-Signature Scheme[J].Communications Technology,2015,48(02):214-218.

[9] 周素芳.一種加強的基于中國剩余定理的群簽名[J].計算機技術(shù)與發(fā)展,2014,24(11):175-181.ZHOU Su-fang.An Enhanced Group Signature Scheme Based on Chinese Remainder Theorem[J].Computer Technology and Development,2014,24(11):175-181.

[10] 程小剛.群簽名成員撤銷綜述[J].小型微型計算機系統(tǒng),2016,37(11):2520-2526.CHENG Xiao-gang.Survey on Membership Revocation for Group Signature[J].Journal of Chinese Computer Systems,2016,37(11):2520-2526.