一種實用高效安全的網絡門限群簽名方案

全俊杰

（廈門大學嘉庚學院信息與計算科學系 福建 廈門 363105）

1 引言

群簽名是一種將簽名密鑰分給多人掌握，并同時參與才能生成合法簽名的重要匿名簽名方案，它于1991年由兩位密碼學家D Chaum和E Van Heyst提出[1]。在群簽名方案中引入秘密共享機制后，就加入了門限的思想。門限群簽名方案允許群中部分參與者能代表群產生一個有效的簽名，與普通群簽名方案相比，門限群簽名具有更高的安全性，第一個門限群簽名方案由Desmedt和Frankel于1991年提出[2]。此后，門限簽名的思想得到了廣泛的研究，提出各種各樣門限簽名的思想。綜合各種群簽名的思想，在文獻[12]中指出一個安全有效的門限群簽名機制應具備以下一些安全特性：（1）群體中任意一個成員可匿名代表群體對消息生成簽名；（2）門限特性；（3）不可偽造性；（4）簽名有效性；（5）可控制的匿名性；（6）身份可追查性；（7）系統的穩定性和強壯性。本文參考文獻[3][4][6][7]中的秘密共享方案，采用Gap-Diffie-Hellman群上的困難問題[5]，并參考文獻[8][9][10][11][13]給出一種高效的具有網絡應用背景的門限群簽名機制。分析表明，該方案具有簽名的不可偽造性、身份可追查性、可控制的匿名性等一系列安全特性，而且所有簽名成員將個體簽名都發送給群中心，無需發送給所有其他成員，所以在信息攜帶比率、運算效率和網絡傳輸方面具有一定的優勢，是一個高效的門限群簽名方案。

2 預備知識

在本方案中，我們假定群中心是可信賴的，它的作用是建立整個門限群簽名系統中涉及的一些公開參數，以及為群體中的每個群成員分發秘密信息。

2.1 基于中國剩余定理的秘密共享

群中心選擇正整數p0和一組兩兩互素數的正整數，滿足，并且，將mi公開，并將其發送給各個群成員Ui.同時，群中心選擇私鑰s∈Zp0，并且選取一個整數α，使得。接下來，群中心計算群成員Ui分享的份額，并將si發送給群成員Ui，。

若有t個群成員要恢復密鑰s，假定其份額為，通過求解

并利用中國剩余定理可得唯一解，這里，，然后通過計算，恢復密鑰s。

2.2 Gap Diffie-Hellman群的定義

設有一個階為素數P的乘法群G=，其中g為其生成元，它具有如下的兩個問題：

（1）：給定群G的三個元素。

（2）： 給定G的四個元素，若他們是G中等概率選取的四個隨機元素，則輸出0；若滿足，則輸出1，并稱為一個有效的DH四元組。

定義：一個素數階群G，稱它是一個GDH群，假如DDHP問題在多項式時間內是可解的，但是CDHP問題卻找不到它的一個有效概率算法。本文給出的網絡門限群簽名方案，其安全性就是基于GDH群上CDHP問題求解的困難性[5]。

3 基于中國剩余定理的網絡門限群簽名方案

3.1 系統參數的設定及初始化過程

假定群體中有n個用戶，每個用戶Ui，都有一對RSA公鑰和私鑰，其中pi,qi是兩個1024位的大素數，滿足。

令G=為P階GDH群(P為整數），為hash函數。群中心選取密鑰s∈Zp0，然后利用預備知識中基于中國剩余定理的秘密共享方案，計算出整個群體中的所有成員的分享到的秘密份額。

由文獻[3]可知t個群成員的聯合，比如就可以計算出，然后恢復出群密鑰，而成員少于t個時則不能恢復x。群中心秘密保存s，計算并公開y=gx，接下來群中心還要做如下一些計算：

（1）選取β1，β2,…βt并定義；

（2）計算。

在計算過程中，群中心得保證秘密選取的參數β1，β2,…βt能夠使得λ1，λ2，…λt互不相等。群中心秘密保存β1，β2,…βt，把λ1，λ2，…λt作為每個群成員的簽名私鑰，并公布z。

在分發個體簽名私鑰的過程中，群中心要使用群成員Ui的RSA公鑰(ni,ei)，把λi加密成，并把發送給各個群成員Ui。群成員Ui得到Ci后，使用自己的RSA私鑰(pi,qi,di)把Ci解密出來得到。同時群中心把所有的個體簽名驗證公鑰值yi=gλi公布出來。

3.2 群簽名Ui的生成與驗證過程

群成員Ui簽名的生成過程：對消息，利用hash函數，計算出消息m的hash值H(m)∈G，則群成員Ui對消息m的簽名為，然后發送簽名消息給驗證者。

群成員Ui簽名的驗證過程：驗證者檢查是否成立，若成立，則認為為一個有效的DH四元組，則接受為成員Ui對消息m生成的一個有效的簽名。

接下來，群成員把各自的簽名發送給簽名收集者，由其合成一個群簽名。

3.3 群簽名的生成與驗證

群簽名的生成過程：當簽名收集者收到簽名消息，后，首先他使用上述的方法驗證各個簽名的有效性，接著計算群簽名

并把四元組作為這t個群成員代表整個群對消息m生成的一個簽名，接著發送群簽名給驗證者。

群簽名的驗證過程：驗證者收到后，檢驗是否為一個有效的DH四元組，即檢查，若成立，就將做為消息m的一個有效的群簽名。

4 安全性分析

（1）根據文獻[3][4]可知，只有當群中至少t個成員聯合時，才能恢復出群私鑰s，從而才能生成一個有效的群簽名；而少于t個群成員時，由于無法恢復群私鑰s，因此無法得到有效的群簽名。

（2）從y,yi,z確定x,λi,l是困難的，這是由于求解離散對數問題的困難性。

（3）驗證者只要驗證是否為一個有效的DH四元組，而在GDH群上驗證該問題是容易的，所以保證了驗證的效率。

（4）為了驗證λi確實是由群中心分發的，當群成員Ui得到個體簽名私鑰λi后，他首先計算yi'=gλi，看是否與群中心公開的公鑰yi相等，若相等，則接受λi是由群中心發送的這個事實，將λi視為其簽名私鑰，yi為其公鑰。群中心保存(yi,IDi)，其中IDi為群成員Ui的身份信息，這個用來確定簽名者的身份。一旦發生爭議時，由于群中心能夠通過(yi,IDi)很容易確定簽名者的身份，而其他人卻無法辨別出是誰對消息m生成了簽名。

5 結語

本文基于中國剩余定理所構造的秘密共享思想，采用基于GDH群上的困難問題，提出了一種新的門限群簽名方案。當參與簽名的成員個數少于 個時，即使份額密鑰泄露也不會導致簽名方案收到攻擊。分析表明，該方案具有簽名不可偽造性，簽名驗證高效性，身份可追查性等安全特性。

[1] Ghaum D,Van E Heyst.Group Signatures Proc of Euprocrypt’91.Lecture Notes in Computer Science,1991,547:257-265.

[2] Desmedt Y,Frankel Y.Shared Generation of Authenticators and signatures.In:Feigenbaum J ed Advances in cryptology-crypto’91.Proceedings Berlin:Springer-Verlag,1992,457-469.

[3] C.A.Azimuth and J.Bloom.A modular approach to key safeguardin.IEEE Transactions on Information Theory,vol.29,no.2,pp.208-210,1983.

[4] L.Harn,F.Miao,and,C.C.Chang.Verifiable secret sharing based on the Chinese remainder theorem.Security and Communication Networks.2013.

[5] Boneh D,Lynn B and Shacham H.Short Signature from the weil pairing.In Proceedings of Asiacrypt 2001,volume 2248 of LNCS.Springs-Verlag.Berlin,2001,514-532.

[6] M.Mignotte.How share a secret.in:Proceedings of the Workshop on Crytography,Heidelberg,Springer.1983,pp.371-375.

[7] C.Guo,C.C.Chang.A construction for secret sharing scheme with general access structure,J.inf.Hiding Multimedia Signal Process.4(1)(2013)1-8.

[8] 劉丹妮，王興偉，郭磊，黃敏.一種高效的(t,n)門限群簽名方案.計算機科學,Vol.38 No.1 Jan2011.

[9] Huang Dongping,Liu Duo,DaiYiqi Weighted Threshold Secret Sharing.Journal of Computer Research and Development.ISSN 1000-1239/CN11-1777/TP44(8):1378-1382,2007.

[10] 馬春波，何大可.矢量空間秘密共享群簽名方案.軟件學報，2005.133(2):103-105.

[11] 陳澤文，張龍軍，王育民，黃繼武，黃達人.一種基于中國剩余定理的群簽名方案.電子學報，2004，32（7）：7-10.

[12] 王貴林，卿斯漢.幾個門限群簽名方案的弱點.軟件學報，2000,11(10)：1324-1332.

[13] 全俊杰.基于MSP秘密共享的（t,n）門限群簽名方案.數學研究，2008，41(1)：65-71.