一个具有前向安全性的群签名

摘要：根据前向安全方案的特性，结合双线性对的性质，提出了一个群签名方案，对于任意大小的签名者集合，签名计算只需2次。系统开销小，可反复多次使用。群内成员的删除增减通过公示栏来完成，本方案满足群签名的基本特性，有较高的安全性、实用性。

关键词：数字签名；群签名；前向安全；双线性对

群签名是指由一个特定群体中的一个指定成员代表整个群对文件进行签名的电子签名形式，是由学者Chaumn最早提出。早期的群签名方案，在效率性等方面都存在着缺憾。群签名长度随着群成员的增加而线性增加。经过学者们的努力，1999年由学者Ateniese、Tsudik提出一个不随群成员数目增加而增加系统负担，具有很好效率性的群签名方案，该方案的安全性是依赖于模复合整数的离散对数的求解困难性。方案的提出使得群签名在现实中的应用前景得到很大提升。近年来，随着椭圆曲线在群签名中的广泛应用，群签名又迎来了一次大发展。

1997年，Anderson首先提出了前向安全性的概念。前向安全就是把整个时间分成若干个有效周期，在每个周期开始的时候使用更新函数更新密钥，而验证签名的公钥在整个有效时间内保持不变。即便当前周期的密钥被泄露，也不会影响前期签名的有效性。Bellare和Miner第一次给出了基于前向安全性概念的两个前向安全的签名方案。

在群签名方案中确保安全性是前提。避免多次重复建立群签名系统，提高效率，避免过度浪费资源是优秀群签名方案的目标之一。结合以前的此类文章，笔者认为在群签名方案的建立中，重复使用群签名方案，能有效地节省资源，若能赋予方案以前向安全性，会使得方案在使用中，体现出更大的安全性和效率性。

本文结合双线性对的良好性质，设计了一个具有前向安全性的群签名方案，它满足群签名的安全要求，具有较好的实际应用价值。

一、知识背景

1．双线性映射

双线性映射指两个循环群之间的线性映射关系。设G1和G2是阶为大素数q的加法群和乘法群，定义双线性映射e：G1×G1G2，对于？坌P，Q∈G1与？坌a，b∈Z*q，双线性对应具备下列特性：

（1）双线性：e（aP，bQ）=e（P，Q）ab

（2）非退化性：如果P是G1的生成元，则e（P，P）是G2的生成元

（3）可计算性：存在有效算法计算e（P，Q）

2.困难性

在G1和G2中有以下困难数学问题定义。

（1）离散对数问题（DLP）：给定P，Q∈G1，找一个整数n，满足Q=nP

（2）双线性Diffie-Hellman问题（BDHP）：设a，b，c∈Z*q，给定P，aP，bP，cP∈G1，计算e（P，Q）abc∈G2

（3）计算Diffie-Hellman问题（CDHP）：设a，b∈Z*q，给定P，aP，bP∈G1，计算abP∈G1

二、前向安全性签名方案

一个前向安全的群签名方案一般是由6个多项式算法组成：

1.系统设置算法：给定安全的公共参数。

2.初始密钥生成算法：输入参数和成员选择的任意信息，返回该成员的初始私钥和验证公钥。

3.密钥进化算法：输入系统所处的时段和前一时段的私钥，成员计算显示出新的私钥，公钥保持不变。

4.群签名算法：当输入一个消息和一个群成员的私钥后，输出对消息的签名。

5.群签名的验证算法：当输入对消息的签名及群公钥后确定群签名的有效性。

6.群签名的打开算法：给定一个签名和群私钥，确定签名人的身份。

三、具体方案

方案由生成系统参数、成员加入、密钥进化算法、群签名、验证、打开等几部分组成，具体方案如下：

1.生成参数

群管理员选择安全的参数l，素数q≥2l，椭圆曲线（G，+）、（G1，）是阶数均为q的循环群，双线性映射e：G×GG1。H，H1是两个安全的哈希函数。其中H：{0，1}*G；H1：G×GG1；椭圆曲线G1的生成元为P。群管理员选择S∈RZ*q，计算PG=SP。则S是系统主密钥，PG为系统公钥。公开系统参数为（G，G1，H，H1，e，P，PG），将私钥S妥善保管。

成员A秘密选择xA∈Z*q，xA作为长期秘密值。计算Pa=xAP，　PA=e（Pa，H（IDA））作为长期公钥。其中IDA为身份信息，并妥善保管xA。

2.群成员的加入

成员A想要加入群，他与群管理员执行以下协议：

将（IDA，PA）通过安全的物理信道传送给群管理员。群管理员对身份进行确认后保存（IDA，PA），公示PA。若有异议，中断协议。

群管理员选择rA∈Z*q，计算UA=e（rAPA，H（PG）），随后将UA通过安全信道发送给群成员A。UA就是成员A的签名证书。保存（IDA，PA，UA）

3.密钥进化算法

（1）设置算法：选择的安全素数w，计算N=wq。成员签名密钥的有效期被分为T个时段。

（2）密钥进化算法：当系统进入第i（1＜i≤T）阶段，成员A就要对i-1时间段的私钥UAi-1进行替换，成员计算得到下一个时间段第i阶段的签名密钥为UAi=UAi-12modN，同时群管理员计算所有群成员第i阶段的签名密钥，并计算公布Oi=∏UAi。

4.群签名

对于需要签名的消息M，成员A选择t∈Z*q，计算得t-1。计算B=UAt-1，C=t-1H（IDA），D=Pat，E=tH（M），则对消息M的签名就是（M，B，C，D，E，UA）

5.验证

接受到签名后，进行下列步骤：

（1）查看UA是否整除Oi，若整除接受，否则停止。

（2）计算H（M），可通过如下等式验证签名：

e（B，E）？=e（UA，H（M））

（3）计算e（C，D），看结果是否可在公示栏找到，若找到，接受签名；否则，拒绝接受签名。

6.打开如下

一个群签名（M，B，C，D，E，UA），发生纠纷时，群管理员依据保存的（IDA，PA，UA），查找成员信息，确定真正的签名者。

四、群签名的安全性及效率分析

1.方案的正确性

若群成员能够按照签名设计的方式进行签名，则能得到正确验证：

e（B，E）=e（t-1UA，tH（M））=e（UA，H（M））t　·t-1=e（UA，H（M））

e（C，D）=e（t-1H（IDA），tPa）=e（H（IDA），P）t　·t-1=PA

2.安全分析

（1）方案能抵制恶意的攻击

假如攻击者是合法的群成员，攻击本群签名体制，由方案可知困难等价于攻破双线性对的困难问题，这是不可能的。

（2）恶意攻击者无法伪造签名

要伪造一个不可追踪的签名，他必须能伪造群签名证数Ei，从签名算法可知，困难等价于求解双线性对的Diffie-Hellman问题，这是不可能的。

（3）任意多个群成员合谋都无法伪造签名

群成员合谋伪造一个不可追踪的群签名，可以通过两种方法完成，一是合谋伪造一个新的成员证书Ej，这比较困难；二是联合伪造满足验证等式的H（IDi），但同时满足方程的根的条件，这等于解大素数的高次方程，是不可行的。

（4）群签名的匿名性、不可关联性和可追踪性

根据群签名的打开算法，要计算成员身份所对应的H（IDi）值，必须先恢复签名生成算法的PA=e（Pa，H（IDA），而由于双线性对的性质使它成为不可行。若给定任意两个签名，判断这两个签名是否来自同一群成员，需要判断这两个签名使用的证书是否有关联。从签名过程可以看出，这是不可能的，由此可知，群签名满足匿名性、不可关联性和可追踪性。

3.效率分析

方案是基于双线性对设计的，双线性运算的计算复杂度远高于其他运算，所以方案安全性高。根据方案设计使用方案时存储的代价小，对群成员的计算能力要求低，实现本系统只需低宽带，故易于实现。签名方案的验证算法不随成员个数的增加而增加，方案签名验证阶段需要2次、验证阶段2次，总共4次。方案不仅提高了计算效率，还可以多次使用，故而节省了资源。

本文提出一个具有前向安全性群签名方案，新方案具有固定长度的群公钥和群签名，加入新成员时也无需更改群公钥，而且可以实现群成员的删减。同时，方案能抵制合谋攻击，是一个实用的群签名方案。但本方案效率有待提高。

参考文献：

［1］Chaum　D.　Heyst　F.　Group　signature［C］//：　Proceeding　of　EUROCRYPT’91.　Berlin：　Spring-Verlag，1991：　257-265.

［2］Ateniese　A，　Tsudik　G.　Some　open　issues　and　new　directions　in　group　signature［C］　//　Crypto’97，　LNCS　1294.　Berlin　：　Springer-Verlag，　1997：　410-424.

［3］　Anderson R.　Two　remarks　on　public　key　cryptology［R］.Invert　Lecture　ACM-CCS’97　，1997.

［4］Bellar　M，Miner　S.　A　forward-secure　digital　signature　scheme　［C］　//　.Crypto’99　spring-verlag，1999：　431-448.

［5］马冬兰，张建中.前向安全的制定接受者恢复消息的部分盲签名方案［J］.陕西师范大学学报：自然科学版，2012，40（1）：6-8.

［6］王哓明，陈火炎，符方伟.动态门限群签名方案［J］.计算机学报，2004，27（9）：1182-1186.

［7］赵泽茂.数字签名理论［M］.北京：科学出版社，2007.

［8］Camenish　J，Stadle M.　Efficient　group　signature　scheme　for　large　groups［A］.Advances　in　Cryptology-CRPTO’97， Berlin：Spring-Verlag，1997：410-424.

［9］Ateniese　A，　Camenish　J，　Joye　M　et　al.　A　practical　and　provably　secure　coalition　resister　group　signature　scheme［C］　Advances　in　cryptology-CRYPTO’00.　spring-verlag，　2000：255-270.

［10］杨镛，张建中.一个基于离散对数和因数分解问题的电子选举协议［J］.陕西科技大学学报，2008，26（1）：133-135.

［11］王玲玲，张国印，马春光.标准模型下基于双线性对的前向安全环签名方案［J］.电子与信息学报，2009，31（2）：448-452.

基金项目：

延安职业技术学院项目（yzk1104）。

作者简介：

杨镛（1971-），男，讲师，硕士，研究方向为密码学。

（作者单位　延安职业技术学院公共教学部）