门限属性数字签名方案发展

摘 要 数字签名技术由单纯地实现对用户身份和信息真实性的验证发展到某些特定环境中具有某种特殊功能的数字签名技术，如签名、群签名、环签名、盲签名、门限签名、多重签名等等，极大地扩充了数字签名技术的应用领域。本文对门限数字签名方案发展进行了综述。

关键词 ABE 门限 数字签名

2005年，Sahai和Waters首次提出了基于模糊身份的加密方案，通过引入属性的概念形成了基于属性的加密（Attribute-Based Encryption，简称ABE）体制。在这种加密体制中，用户的身份信息不再是简单的单个信息，而是由用户的多个生物属性的集合来标示。基于属性的加密体制实现了“一对多”的通信模式，即多个满足某个特定访问结构或者具有一定属性集的用户都可以对密文进行解密；同时该加密体制还可以实现对解密者身份信息的可匿名性，即加密者只要在掌握解密者一系列的描述属性的基础上通过定义访问结构就可以对消息进行加密，而不需要知道解密者详细的身份信息。因此，基于属性的加密体制提供了一种更为灵活的访问控制策略，得到了密码学研究者的广泛关注和深入研究。2006年，Goyal等人明确地提出了基于属性的加密方案，给出了密钥策略的基于属性的加密（key-policy ABE）的形式化安全定义，并使用访问树的形式构造了普通和全域模型下的两种加密方案。2007年，Bethencourt、Sahai和Waters提出了一种基于属性的加密方案，在该加密方案使用了一种密文策略，即将加密的消息与访问控制结构相联系，使得只有满足此访问结构的用户才可以对密文进行解密。之后，Ostrovsky等人提出了支持非单调的访问结构的ABE方案；Cheung和Newport提出了不使用线性秘密共享的ABE方案；Zhou等人提出了一个应用于广播群组密钥管理的ABE方案等等。

随着对ABE方案的深入研究与分析，密码学研究者将基于属性的加密体制的思想渐渐地应用于数字签名技术领域，形成了基于属性的签名体制。在这种签名体制中，签名者具有一组特定的签名属性集或者满足某种特定的访问结构T。在对消息进行签名时，签名者将满足T的属性子集和T一起发送给密钥生成中心PKG，PKG生成与T相关联的私钥信息并通过秘密通道发送给签名者；签名者利用自己的私钥信息对消息进行签名并将其发送给验证者；验证者在对签名进行验证时，只能验证这个签名是由满足某个签名属性集或访问结构T的用户所签署的，但是不知道实际签名者的真实身份。基于属性的签名体制实现了对签名者身份的可匿名性，同时通过细粒度的划分用户身份的特征提供了一种直观且灵活的数字签名机制，因此，基于属性的签名体制的研究受到了广大密码学研究者的青睐，成为当前数字签名技术研究的热点之一。2008年，Yang等人提出了基于模糊身份的数字签名方案，方案借鉴了Sahai和Waters提出的基于模糊身份的加密思想，将签名者的生物属性直接作为身份信息应用于基于身份的签名方案中，开创了基于属性的数字签名体制的先河。2008年，Khader提出了基于属性的群签名方案，其中使用了访问控制树结构，并实现了对群中用户的可撤销性和对属性的可删除性。2009年，张玲艳在文献中通过借鉴基于属性的加密思想对基于属性的数字签名进行了分类。其中，按照私钥和访问结构的关系，将基于属性的数字签名分为基于属性私钥策略的数字签名和基于属性公开参数策略的数字签名；按照系统初始化时属性空间是否确定将基于属性的数字签名分为确定域下基于属性的数字签名和全域下基于属性的数字签名。之后，Emura等人提出了一种动态的基于属性的群签名方案，其中使用了访问树和哑属性，并且签名算法的计算量与签名者属性的个数无关，大大提高了签名的运算效率。Li等人提出的基于属性的签名方案将多个属性分量的签名数据聚合到一起，大大减少了签名数据的长度。

基于属性的签名方案将签名者的属性作为身份信息应用于基于身份的签名方案中，实现了对签名者身份信息的可匿名性，但同时签名者也可以利用这一特性滥用签名。针对这一问题，Escala等人提出了可由密钥生成中心追踪签名者身份的基于属性的签名方案。在该方案的签名过程中，对于每一个合法的签名，密钥生成中心PKG对应生成一个追踪密钥。在需要确定实际签名者身份的情况下，PKG可以通过追踪密钥确定签名者的真实身份；同时，任何不知道追踪密钥的验证者无法确定多个使用相同属性集或访问结构的签名是否是由同一签名者所签署的。在一些不需要完全匿名的情况下，可追踪身份的属性签名方案具有广泛应用前景。

门限签名体制的思想是由Desmedt在1987年首次提出的，它是数字签名体制与门限秘密共享体制相结合的产物。在一个（t，n）门限签名方案中，签名私钥被分成了n个子密钥，这些子密钥分别由参与签名的n个成员秘密保存，任何大于或等于门限值t个成T的子集都可以安全的联合重构秘密并生成签名，验证者则可以通过公钥信息来验证签名的有效性。而对于任何小于门限值t个成员的子集则无法产生有效的签名，同时少于或者等于n-t个参与者丢失自己的子秘钥不会影响到合法签名的生成。门限签名体制通过门限技术保证了签名密钥的安全，使得签名方案的安全性得以提高。因此，门限签名体制受到研究者的广泛关注。1991年，Desmedt和Frankel首次提出了一个面向群组的门限签名方案，该方案是基于RSA签名体制和门限秘密共享体制而设计的；1994年，Harn提出了一个（t，n）门限签名方案，该方案结合了Shamir的秘密共享方案和改进的ElGamal数字签名方案，其安全性归约到了离散对数问题的困难性上。之后，Lin等人提出了一种无可信中心的不可否认的门限签名方案；Wu等人利用自认的公钥提出了一个基于证书的门限签名方案；Chen等人基于椭圆曲线ElGamal型提出了一个具有区分签名权利的（t，n）门限签名方案；付等人提出了门限方案的具体应用等等。

参考文献

[1] A.Sahai，B.Waters.Fuzzy identify-based encryption.Advances in Cryptology EuroCrypt 2005，Springer-Verlag，2005：457-473.

[2] 刘鹏亮.基于属性的公钥可搜索加密方案研究[M].西安电子科技大学，2014，12.

[3] Y.Desmedt.Society and group oriented cryptography[C].Advances in Cryptology，CRYPTO’87，1987：120-127.

[4] 付正欣，沈刚，李斌，郁滨.一种可完全恢复的门限多秘密视觉密码方案[J].软件学报，2015，26（7）：1757-1771.