摘  要： 通過對(duì)一種ElGamal類型存在特權(quán)集的門限群簽名方案的分析研究,提出了一種基于ECC的存在特權(quán)集的門限群簽名方案。該方案能有效防止KDC的欺詐,且只有在同時(shí)滿足(t，n)和(t1，n1)門限簽名時(shí)才能生成消息的有效簽名，從而實(shí)現(xiàn)了門限特性，并具有門限群簽名應(yīng)有的性質(zhì)。
關(guān)鍵詞： 特權(quán)集；秘密共享；門限群簽名；ECC

    群簽名方案首次由Chanm和VanHeyst于1991年提出。在群簽名方案中，允許每個(gè)成員都可以代表整個(gè)群體進(jìn)行簽名。在群簽名方案中引入秘密共享，解決密鑰安全與有效保管問題的同時(shí)也形成了一類新的群簽名方案——門限群簽名方案，即群體中的某些給定子集可以代表整個(gè)群體簽名。在門限群簽名方案中，門限群簽名是由參加簽名的各個(gè)成員所簽署的部分?jǐn)?shù)字簽名按照某種方式結(jié)合后產(chǎn)生。2003年，BELLARE M等人提出了群簽名的簡(jiǎn)化形式定義[1]。在這之后，不少學(xué)者提出的門限群簽名方案均采用形式化的方法證明方案的安全性。參考文獻(xiàn)[2]提出良好的門限群簽名應(yīng)該具備以下一些性質(zhì)：群簽名特性、門限特性、不可偽造性、驗(yàn)證簡(jiǎn)單性、匿名性、可追查性、強(qiáng)壯性。參考文獻(xiàn)[3]中，Chen Feng等人基于Shamir秘密共享體制并結(jié)合“存在特權(quán)集的門限群簽名方案”的思想[4]，構(gòu)造了一類基于離散對(duì)數(shù)問題的ElGamal類型的存在特權(quán)集的門限群簽名方案。
    本文利用橢圓曲線密碼體制的特點(diǎn)對(duì)Chen Feng的方案進(jìn)行改進(jìn)。新的方案與原方案的共同點(diǎn)在于都使用雙重秘密共享技術(shù)和單簽名構(gòu)造群簽名的技術(shù)[3]，不同之處在于新方案實(shí)現(xiàn)了群成員的加入和撤銷，提高了方案的通用性。同時(shí)，為了防止密鑰分配中心的欺詐[5]，各用戶對(duì)自己私鑰的有效性進(jìn)行了驗(yàn)證，并且利用橢圓曲線密碼體制的特點(diǎn)優(yōu)化本方案，進(jìn)而提高了方案的效率和安全性。
1 一種ElGamal類型的存在特權(quán)集的門限群簽名方案
    Chen Feng依據(jù)離散對(duì)數(shù)問題提出了一種存在特權(quán)集的ElGamal類型門限群簽名方案。
    其基本設(shè)計(jì)流程如下：
    (1)初始化：由可信的密鑰認(rèn)證中心KAC選取2個(gè)安全參數(shù)p、q，在有限域Fq上隨機(jī)選取兩個(gè)多項(xiàng)式f(x)、g(x),次數(shù)分別為(t-1)、(t1-1)，并取有限域Fq的本原元?琢。
    (2)群密鑰及秘密碎片的產(chǎn)生：群密鑰d及群公鑰z由KAC隨機(jī)選取的兩個(gè)多項(xiàng)式構(gòu)成。利用“雙重”SSS秘密共享方案為各簽名者建立公私鑰碎片。
    (3)簽名：群簽名由參與簽名的成員和簽名服務(wù)機(jī)構(gòu)SC共同生成：每個(gè)成員先生成自己的單簽名，然后發(fā)送給SC驗(yàn)證該單簽名是否為合法簽名，再由SC決定是否接受；如果接受的單簽名滿足門限要求，則計(jì)算組合出群對(duì)消息的簽名。
    Chen Feng方案可簡(jiǎn)單描述為：在計(jì)算機(jī)網(wǎng)絡(luò)開放式環(huán)境下，一個(gè)能夠被完全信任的中心是不存在的。該方案的群密鑰和群成員的秘密份額都由可信的密鑰認(rèn)證中心決定，不能保證密鑰認(rèn)證中心分發(fā)給各用戶的密鑰碎片有效，存在密鑰分配中心欺詐的問題。此外方案沒有考慮到群成員的安全有效的加入和撤銷，因此不滿足群簽名的特性。
2 本文方案
    本文提出的基于ECC的存在特權(quán)集的門限群簽名方案共分為六個(gè)階段：系統(tǒng)初始化、群密鑰產(chǎn)生、群成員的加入和撤銷、密鑰分發(fā)、單個(gè)簽名生成與驗(yàn)證、群簽名生成。
2.1 系統(tǒng)初始化階段
    該方案的系統(tǒng)參數(shù)意義如下：
    KDC：密鑰分配中心；
    Clerk：簽名服務(wù)者，負(fù)責(zé)頒布簽名；
    G：由n個(gè)簽名方組成的群體,至少有其中t方參與才可產(chǎn)生合法簽名；
    G1：G的子集，有n1(n1<n)個(gè)成員。至少有其中t1(t1<t)方參與才可產(chǎn)生合法簽名，稱為特權(quán)子集；
    G2：G的子集，其中的簽名方為普通用戶；
    ui：群成員pi的公開身份；
    IDi：群成員pi的真實(shí)身份。
    該方案的安全參數(shù)描述為：

 

    上述過程通過式(3)對(duì)群簽名的正確性進(jìn)行了驗(yàn)證。
3.2 安全性分析
    根據(jù)門限群簽名的特性對(duì)該方案進(jìn)行安全性分析。
    (1)匿名性
    由于簽名者使用的是公開身份，公開身份和真實(shí)身份的對(duì)應(yīng)關(guān)系只有Clerk和簽名者本身知道。其他用戶只知道通過廣播信道傳播出的Ri的值，并不能依據(jù)Ri來確定用戶的真實(shí)身份，也就無法根據(jù)群簽名（在未經(jīng)特許的情況下）追蹤各簽名方的真實(shí)身份。因此該方案具有匿名性。
    (2)不可偽造性
    參與簽名的群成員只有獲得合法身份，才能獲得秘密鑰碎片進(jìn)而生成有效的部分簽名，非法用戶無法偽造有效部分簽名。Clerk通過驗(yàn)證?滓i=H(ui||IDi)來確定群成員的身份是否合法。
    (3)可追查性
    如果事后簽名出現(xiàn)矛盾，在得到許可的情況下，需要調(diào)查哪些成員參與簽名，Clerk很容易確定簽名方的真實(shí)身份。
    (4)抗合謀攻擊
    在秘密鑰碎片的分發(fā)上采用“雙重”SSS。當(dāng)進(jìn)行合謀攻擊時(shí)，如果不符合特權(quán)條件的要求，即使有t個(gè)或t個(gè)以上簽名者參與，g(0)的恢復(fù)也是不可能的，進(jìn)而無法得到群密鑰；如果有不足t個(gè)人參與簽名，即使符合特權(quán)條件的要求（g(0)可以恢復(fù)）也不可能恢復(fù)f(0)，從而無法得到群密鑰?？梢姡摲桨改艿挚购现\攻擊。
    (5)可撤銷性
    簽名者pi被撤銷后，在開始新的簽名過程時(shí)，KDC公布了新的Y′，pj就不能繼續(xù)參與群簽名的生成，因?yàn)榇藭r(shí)群公鑰由原來的Y變成了Y′。
    若簽名者pj繼續(xù)使用原來的私鑰dj參與新的群簽名的生成，Clerk在收到pj的單簽名sj后，要根據(jù)pj的公鑰Yj驗(yàn)證式(3)是否成立。然而Clerk在信道內(nèi)無法獲得與pj相對(duì)應(yīng)的Yj，也就無法驗(yàn)證式(3)，因此Clerk拒絕接受該單簽名。所以，被撤銷后的簽名者pj并不能繼續(xù)參與群簽名的生成。
    (6)門限特性
    由于方案是基于雙重Shamir秘密共享建立的，因此在簽名階段具有門限方案的安全性：任意少于t個(gè)群的成員無法得到有效簽名，且任意少于t1個(gè)特權(quán)集成員也無法得到有效簽名。
3.3 效率分析
    本方案的建立基于橢圓曲線密碼體制，與ElGamal類型的基于離散對(duì)數(shù)問題的原方案相比密鑰長(zhǎng)度和簽名長(zhǎng)度都大大降低。
    ECC算法只需采用較短的密鑰就可達(dá)到與離散對(duì)數(shù)算法相同的加密強(qiáng)度。ECC算法具有每比特最高的安全強(qiáng)度。由于智能卡在CPU處理能力和RAM大小上受限，采用一種運(yùn)算量小但同時(shí)能提供高加密強(qiáng)度的公鑰密碼機(jī)制對(duì)于實(shí)現(xiàn)數(shù)字簽名的應(yīng)用非常關(guān)鍵。ECC在這方面具有明顯的優(yōu)勢(shì)，160 bit ECC算法的安全性與1 024 bit采用基于離散對(duì)數(shù)問題的算法安全性相同。因此，采用橢圓曲線密碼體制設(shè)計(jì)的門限群簽名方案的計(jì)算量和通信量都要小于基于離散對(duì)數(shù)問題的ElGamal密碼體制的門限群簽名方案。
    本文基于橢圓曲線密碼體制和雙重Shamir秘密共享體制，結(jié)合Chen Feng的特權(quán)集思想，設(shè)計(jì)了一個(gè)同時(shí)具有門限群簽名功能和門限共享驗(yàn)證功能的存在特權(quán)集的門限群簽名方案，該方案不但克服了目前一些方案的缺陷和弱點(diǎn)，而且具有更高的實(shí)現(xiàn)效率。方案除了具有門限群簽名的性質(zhì)外，還可以利用公開驗(yàn)證功能防止KDC欺詐。相對(duì)于原方案，本方案是基于橢圓曲線密碼體制建立的，在安全性和效率方面考慮得更全面。但是，如何將該方案推廣到實(shí)際應(yīng)用中，仍有待于進(jìn)一步研究。
參考文獻(xiàn)
[1] BELLARE M，MICCIANCIO D，WARINSCHI B.Foundation of group signatures: formal definitions, simplified requirements, and a construction based on generalassumptions[C]. Proc of EUROCRPT 2003，LNCS2656.Berlin: Springer-Verlag，2003：614-629.
[2] 王貴林，卿斯?jié)h.幾個(gè)門限群簽名方案的弱點(diǎn)[J].軟件學(xué)報(bào)，2000，11(10)：1326-1332.
[3] 陳偉東，馮登國(guó).一類存在特權(quán)集的門限群簽名方案[J].軟件學(xué)報(bào)，2005，16(7)：1289-1295.
[4] 石怡，馮登國(guó).一類新型(tj，t，n)-門限群簽名方案的設(shè)計(jì)與分析[M].北京：科學(xué)出版社，2000.
[5] 彭長(zhǎng)根，李祥，羅文俊.一種面向群組通信的通用門限簽密方案[J].電子學(xué)報(bào)，2007，35(1)：64-67.