一类面向群组通信的通用门限签密方案的安全性分析

摘 要：为更有效地进行群组签密及消息共享验证，彭长根等（彭长根，李祥，罗文俊.一种面向群组通信的通用门限签密方案[J].电子学报，2007，35（1）：64-67）提出了一种面向群组通信的通用门限签密方案（Peng方案），而后王勇兵（王勇兵.一种门限签密方案的分析与改进[J].计算机工程与应用，2012，48（1）：125-127）对Peng方案进行了安全性分析指出其在管理群组及成员的公私钥方面存在的安全漏洞，并提出一种改进方案（Wang方案）。由于上述两方案采用了类似的加密方法，通过给定具体的攻击方式：即部分签密组成员在生成加密密钥时合谋作弊，就能在群组签密中隐匿个人签名信息达到签名抵赖的目的；指出了Peng方案及Wang方案均存在安全漏洞，并针对该安全漏洞及Wang所述的攻击，提出一种新的改进方案，该方案不仅继承上述方案的优点，而且在签密参数交换过程中更具效率。

关键词：密码学；面向群组通信；门限签密；合谋攻击；签名抵赖

0 引言

门限签名是一种面向群组的签名方案，仅当参与签名的小组成员数目大于或等于规定的门限值时才能生成群签名。而在Zheng[1]首次提出签密的概念后，即在一个单一的逻辑步骤中，同时实现数字签名和公钥加密两项功能，签密就成为了信息安全领域的研究热点[2-11]，结合对门限签名的研究，也涌现了不少面向群组通信的门限签密方案[2-3]，但都相继被证明存在漏洞。彭长根等[12] 利用椭圆曲线离散对数求解困难（Elliptic Curve Discrete Logarithm Problem， ECDLP）并结合Schnorr数字签名体制，提出了一种同时具有（t， n）门限签密功能和（k， l）共享验证功能的面向群组的安全通信方案（以下简称Peng方案），在不暴露接收组的私钥和消息m的情况下，通过将签密转换成普通签名实现公开验证功能，以防止签名抵赖。

但王勇兵在文献[13]中指出该方案中的群组及成员公私钥管理方面存在安全漏洞，主要存在两个问题：1）t个群组恶意签密成员利用各自的私钥通过拉格朗日插值还原得到群组私钥后，可重构（t， n）门限签名过程中密钥分发中心（Key Distribution Center，KDC）随机选择的t-1次秘密多项式，计算得到其他签密者的私钥（文献[13]提出的恶意验证者攻击违背了Peng方案的设计立意不应成立，详细论述见本文第4章），并进行群组签密伪造；2）若KDC不可信，就可以利用其计算分配的个人私钥及群组私钥伪造群组签密，并提出了新的改进方案（以下简称Wang方案）来弥补私钥泄露的漏洞及抵抗伪造攻击，但该方案存在计算量大的问题[13]。

本文对Peng方案及Wang方案提出的门限签密方案进行了分析，发现这两个方案均使用了类似对称加密方法，存在相同的安全漏洞，若攻击者在生成信息加密密钥阶段进行合谋作弊，即：只要有2个签密组成员在生成加密密钥时合谋选择特定形式的加密随机数，就能合法在群组签密中隐匿个人信息，骗过群组签密合成人的验证及验证接收组成员的验证，从而达到签名抵赖的目的。

针对此，本文还提出了一种改进的面向群组通信的通用门限签密方案，该方案不仅保留了Peng方案及Wang方案的优点，而且能抵抗王勇兵所提出的来自不可信KDC的伪造攻击及t个群组签密成员合谋还原群组密钥并进行的伪造攻击；此外，该方案还能令上述密钥生成合谋作弊攻击无法成功实施。最后，本文对Peng方案、Wang方案及本文方案进行了效率分析，指出本文方案在继承前面两方案优点的基础上，签密参数传递效率有了进一步的改善，而且与Wang方案相比，在签密恢复阶段效率更高。

6 结语

本文对彭长根等[12]及王勇兵[13]所提出的面向群组通信的通用门限签密方案进行了安全性分析，通过给出一个具体的攻击示例，指出了这类方案在群组加密密钥生成阶段存在的一个共同安全隐患，即部分签密组成员根据ECC的加法原则，利用本文提出的合谋生成加密密钥的攻击方法参与群组签密，就可以在群组签密之后对该签密予以否认。

针对此，本文还提出了一种新的面向群组通信的通用门限签密改进方案，该方案通过采用广播的手段，以及使用签密合成人与消息恢复员的公钥进行加密验证的方法对群组签密过程进行安全保护，不仅能抵抗本文提出的合谋攻击及王勇兵提出的伪造攻击，还保留了上述两方案的优点，不但拥有与Peng方案相近的签密计算耗时，而且签密参数交换更具效率，与Wang方案相比，本文方案在签密恢复效率方面优势明显。

参考文献：

[1]ZHENG Y. Signcryption and its application in efficient public key solutions [C]// ISW97： Proceedings of the First International Workshop on Information Security， LNCS 1396. Berlin： SpringerVerlag， 1997： 291-312.

[2]WANG CT， CHANG CC， LIN CH. Generalization of threshold signature and authenticated encryption for group communication [J]. IEICE Transactions on Fundamentals， 2000， E832A（6）： 1228-1237.

[3]HSU CL， WU TS， WU TC. Improvements of generalization of threshold signature and authenticated encryption for group communication [J]. Information Processing Letters， 2002， 81（1）： 41-45.

[4]WENG J， YAO G， DENG R H， et al. Cryptanalysis of a certificateless signcryption scheme in the standard model [J]. Information Science， 2011， 181（3）： 661-667.

[5]LIU Z， HU Y， ZHANG X， et al. Certificateless signcryption scheme in the standard model [J]. Information Sciences， 2010， 180（3）： 452-464.

[6]HE D. Security analysis of a certificateless signcryption scheme [J]. Journal of Software， 2013， 24（3）： 618-622. （何德彪.无证书签密机制的安全性分析[J].软件学报，2013，24（3）：618-623.）

[7]REN Y， LU H. Provably secure signcryption scheme based on elliptic curve [J]. Computer Engineering， 2011， 37（15）： 95-97. （任艳丽，陆海宁.基于椭圆曲线的可证明安全的签密方案[J].计算机工程，2011，37（15）：95-97.）

[8]FANG L， SUSILO W， GE C， et al. Hierarchical conditional proxy reencryption [J]. Computer Standards & Interfaces， 2012， 34（4）： 380-389.

[9]ZHANG J， WANG X A. Security analysis of a multiuse identity based CCAsecure proxy reencryption scheme [C]// Proceedings of the 4th International Conference on Intelligent Networking and Collaborative Systems. Piscataway： IEEE， 2012： 581-586.

[10]LIU W， XU C. Certificateless signcryption scheme without bilinear pairing [J]. Journal of Software， 2011， 22（8）： 1918-1926. （刘文浩，许春香.无双线性配对的无证书签密方案[J].软件学报，2011，22（8）：1918-1926.）

[11]HUANG B， CHEN Z， ZHU T. Wireless security authentication protocol based on elliptic curve signcryption scheme [J]. Journal of Wuhan University of Technology， 2013， 35（6）： 145-150. （黄碧翼，陈泽茂，朱婷婷.基于椭圆曲线签密方案的无线安全认证协议[J].武汉理工大学学报，2013，35（6）：145-150.）

[12]PENG C， LI X， LUO W. A generalized grouporiented threshold signcryption schemes [J]. Acta Electronica Sinica， 2007， 35（1）： 64-67. （彭长根，李祥，罗文俊.一种面向群组通信的通用门限签密方案[J].电子学报，2007，35（1）：64-67.）

[13]WANG Y. Cryptanalysis and improvement of threshold signcryption scheme [J]. Computer Engineering and Applications， 2012， 48（1）： 125-127. （王勇兵.一种门限签密方案的分析与改进[J].计算机工程与应用，2012，48（1）：125-127.）