一種安全高效的群簽名方案

歐海文 雷亞超 王湘南

1(北京電子科技學院 北京 100070)2(西安電子科技大學通信工程學院 陜西 西安 710071)

0 引 言

群簽名作為一種特殊的數字簽名，不僅可以實現對簽名者的匿名，在必要的時候還可以實現對簽名者的追蹤。因此，自1991年群簽名[1]被提出以來，短時間內就出現了很多經典的群簽名方案[2-5]，同時隨著應用情況和安全性因素的變化，很多改進方案也相應而生[6-7]。為了進一步提高群簽名方案的效率和安全性，2015年白永祥[8]提出了一種高效的群簽名方案。2018年，針對白永祥方案不能抵抗合謀攻擊的問題，于璇等[9]基于橢圓曲線上的離散對數問題對白永祥的方案進行了改進，雖然增強了其抗合謀攻擊的能力，但是改進方案過于繁瑣復雜，執行效率較低。

本文通過對這些群簽名方案[8-9]進行深入分析和研究，提出了一個安全性無減弱，但簽名長度更短、計算復雜度更低的簽名方案。該方案首先通過添加隨機數的方式打破了公鑰狀態列表中公鑰和私鑰的直接聯系，規避了被撤銷成員聯合得出其他成員私鑰的風險。其次，考慮到應用過程中私鑰泄露所造成的嚴重后果，在對一些具有前向安全性群簽名方案研究[10-13]的基礎上，提出了具有下述特點的群成員和群管理員的密鑰更新方案：群成員私鑰隨時間段跨越而自然更新，群中成員不需要重新修改原始密鑰，只要使簽名方案進入下一個時間段，就可以成功度過危險期，避免因私鑰泄露造成的危害。而且在不知道隨機數r和a的情況下,方案具有前后向安全性，從而減少了群成員反復注冊和修改信息的次數，大大增加了方案在應用時的容錯性和穩定性。相較于文獻[10-13]，本文通過在簽名過程中將私鑰更新方案中的變化量間接傳遞給群管理員，簡化了由于私鑰變化所造成的復雜的檢驗過程，而且還不需要借助第三方的參數。

本文研究改進的群簽名方案對當今應用廣泛的區塊鏈技術也有重要的意義。因為區塊鏈的去中心和不可篡改特性，使得用戶的身份和交易信息一旦泄露將是永久性行為，所以當區塊鏈系統中的用戶存在密鑰泄露時，就會造成不可挽回的永久性損失。由于本文提出的方案中設置了隨時間段變化的私鑰更新環節，所以當區塊鏈中用戶利用該方案進行交易簽名確認時，不僅可以在私鑰泄露后保證前面所進行交易的安全性，還可以使用戶繼續進行安全的交易簽名，降低了私鑰泄露帶來的巨大損失。

1 簽名方案

由文獻[14]可知，存在滿足條件的橢圓曲線可構成co-GDH的短簽名方案。所以本文利用該理論提出了一種簽名長度較短的，具有前向安全性的新的群簽名方案。

1.1 系統初始化

選取G1=

,G2=,|G1|=|G2|=p,其中P∈E(Fq),Q∈E(Fqα)。由文獻[9]可知，存在對應的非退化的雙線性映射e:G1×G2→GT,H:{0,1}*→G1，H1:{0,1}*→Zp,同構映射ψ:G2→G1。

對于GM：取x0∈RZp，計算Y=x0Q∈G2，其中x0為群管理員私鑰，Y為公鑰。故群公共參數為{p,P,Q,G1,G2,e,H,ψ}，群公鑰為Y。

1.2 成員加入

(1) 對于ui，ui取xi,0，ri∈RZp，計算yi=xi,0Q∈G2，Ki=riH(IDi)，Li=riQ，然后將(IDi,yi,Ki,Li)發送給GM。其中IDi代表成員ui的現實身份信息。

(2) 收到(IDi,yi,Ki,Li)后，GM先驗證等式e(Ki,Q)=e(H(IDi),Li)是否成立，確認IDi的有效性。即：

e(Ki,Q)=e(riH(IDi),Q)=e(H(IDi),riQ)=e(H(IDi),Li)

若成立，計算：

表1 PKSL表

1.3 成員密鑰更新

成員密鑰泄露在簽名中往往會造成嚴重后果，近年來，為了降低密鑰泄露所造成的損失，陸續提出了前向安全、入侵容忍和密鑰隔離等技術。這些方法都是以密鑰更新為基礎。其中密鑰隔離技術需要借助協助器進行密鑰的更新，而且每次更新都是相互獨立的，這將會大幅增加通信成本以及對通信安全性的要求。本文方案主要采用前向安全技術，即通過利用一個單向函數進行密鑰的更新。即：

(1) 將整個有效時間劃分為若干個時間段1，2，…,L。

(2) 在第j階段，設群成員ui的密鑰為xi,j，群管理員密鑰為xj，則第j+1階段的密鑰為：

xi,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

xj+1=xj+pH1(aP‖j+1)

式中:ri為ui在申請加入群時選取的隨機數，a∈RZp為固定常數。

(3) 在計算出第j+1階段的密鑰后，立即刪除第j階段密鑰。

1.4 消息簽名

群成員ui對于消息M：

表2 追蹤列表

(3)成員ui接收到c后，驗證e(c,Q)=e(Ti,Y)是否成立，若成立(c，Time，Ti，Vi)即為群成員ui對于消息M的簽名。

1.5 簽名驗證

驗證者在接收到簽名(c，Time，Ti，Vi)后，驗證e(c,Q)=e(Ti,Y)是否成立，若成立，則接受(c，Time，Ti，Vi)為群成員ui對于消息M的正確的群簽名。

1.6 簽名打開

1.7 成員撤銷

2 正確性與安全性分析

2.1 正確性分析

與文獻[9]一樣，該方案中的系統建立以及簽名過程也存在管理員與成員雙向驗證身份的過程。

(3) 私鑰更新的迭代。對于群中成員的私鑰更新方案，即：

因為xi,j+1=xi,j+H1(riP‖j+1)-H1(riP‖j)

所以xi,j+1=xi,j-1+H1(riP‖j)-H1(riP‖j-1)+

H1(riP‖j+1)-H1(riP‖j)=

xi,j-1+H1(riP‖j+1)-H1(riP‖j-1)=

?

xi,0+H1(riP‖j+1)-H1(riP‖0)

對于群管理員第j+1階段私鑰：

xj+1=xj+pH1(aP‖j+1)

因為 |G2|=p，G2=

所以xj+1Q=xjQ

由上述推導過程可知，在不泄露隨機數ri的情況下，群成員私鑰更新方案既具有前向安全性，還具有后向安全性。而對于群管理員，在不泄露隨機數a的情況下，滿足前向安全性，而且在整個群管理員初始密鑰有效的過程中，群公鑰不發生改變。

(4) 簽名的正確性。首先驗證簽名(c，Time，Ti，Vi)中的c的正確性，證明簽名過程確實有群管理員參與。即驗證：e(c,Q)=e(xjTi,Q)=e(Ti,xjQ)=e(Ti,Y)。其次，驗證Ti的正確性，即：

Ti=H(M‖Time‖Q‖biQ)=

因為Vi=bi-Tixi,j

所以biQ=(Vi+Tixi,j)Q=ViQ+Tixi,jQ=

ViQ+Ti(xi,0+h1-h2)Q=

ViQ+Ti(xi,0Q+h0Q)=

通過上述幾個方面的分析，證明了本文所提方案的正確性。

2.2 安全性分析

根據群簽名的安全性要求，本文將從以下幾個方面論述本文方案的安全性。

(1) 匿名性。接收到簽名(c，Time，Ti，Vi)后，驗證者只是驗證e(c,Q)=e(Ti,Y)是否成立來決定是否接受該簽名，其中只用到了群管理員GM的公鑰Y，并沒有涉及群成員ui的信息。所以，本方案滿足匿名性。

(3) 追蹤性。接收到簽名(c，Time，Ti，Vi)后，群管理員GM可直接根據Ti、Vi值查找追蹤列表，從而追蹤到該簽名者的身份信息，實現追蹤的目的。

(5) 不可關聯性。對任意消息M的簽名(c，Time，Ti，Vi)，其中Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j，c=xjTi，bi∈RZp，Time是群成員準備進行簽名時從可信時間戳機構獲得的時間。所以可知簽名中的所有成員都是隨機的不涉及簽名成員信息的，滿足不可關聯性。

(6) 防陷害性。由上述簽名過程可知群管理員和群成員都不能代替他人產生有效的簽名。因為無論是群管理員還是群中成員都有秘密保存的私鑰，在其不暴露的情況下，該方案都是滿足防陷害性的。而且，由Ti=H(M‖Time‖Q‖biQ)，Vi=bi-Tixi,j可知只有知道私鑰xi,j的成員才能產生符合Ti=H(M‖Time‖Q‖(ViQ+Tiyi+h0Q))的Ti、Vi,故群中成員可通過驗證Ti、Vi的值來防止群管理員冒充自己偽造簽名，同時證明群管理員的不可信。

(7) 前向安全性。該簽名方案通過構建不改變初始公鑰的密鑰更新方案，在不同階段產生不同的私鑰值，而且由Hash函數的單向性可知，在不知道隨機數ri和a情況下，無法由當前密鑰獲取之前的密鑰。所以即使當前的私鑰泄露或丟失，前面階段所產生的簽名仍然是安全的，可被驗證的。

(8) 后向安全性。由群成員的私鑰更新方案可知，在不知道隨機數ri的情況下，無法從當前密鑰推之前和之后的密鑰。故在群成員當前密鑰泄露時，不需要重新選取初始密鑰，只需過渡到下一階段，即可進行安全的簽名，避免因私鑰泄露造成危害。

3 效率分析

文獻[9]基于白永祥方案提出了一種橢圓曲線上的高效安全的實現方案。將本文方案與文獻[9]方案從成員加入簽名驗證的計算復雜度進行比較。綜合兩個簽名方案可知，方案中的主要操作是橢圓曲線上的乘法、雙線性映射的計算以及Hash函數的計算，所以本文主要考慮這三種主要操作的數目來衡量簽名方案效率。計算復雜度如表3所示。

表3 計算復雜度對比表

由表3可知，在保持同樣安全性的前提下，本文所提方案的效率遠高于文獻[9]中方案，而且簽名長度也短。同時在實現簽名的前向安全性方面，本文方案中設計的密鑰更新方案較文獻[10-13]也更加簡潔，而且還能實現后向安全性。

4 結 語

性設計將會更易于本文方案的實際應用，尤其是對于現在應用廣泛的區塊鏈技術。下一步，我們將會注重研究群簽名的實際應用。