第30卷第5期
2008年5月
电子与信息学报
JournalofElectronics&InformationTechnology
V01.30NO.5
MaⅣ2008
一种新型的群签名
钟军 何大可
(西南交通大学信息科学与技术学院成都610031)
摘要:该文在BB短签名方案的基础上演化出一个新的签名方案,并由此构建了一个新的群签名方案。新的群签
名方案的安全性建立在随机预言机模型下,q-SDH假设和判定Diffie-Hellman假设之上的。该文提出的群签名方案
的签名长度比BBS的短群签名方案的签名长度略长,但在为群成员发放资格证书以及成员私钥时,不需要可信任
第三方的参与。
关键词:群签名;BB短签名;q-SDH假设;双线性对;知识签名
中图分类号:TP309 文献标识码:A 文章编号:1009.5896(2008)05-1214-04
ANewTypeofGroupSignatureScheme
ZhongJun HeDa-ke
(School吖InformationScienceandTechnology,SouthwestJiaotongUniversity,Chengdu610031,China)
Abstract:OnthebasisofBBshortsignaturescheme,thispaperderivesanewsignaturescheme,fromwhichanew
kindofgroupsignatureschemeisconstructed.Thesecurityofthenewgroupsignatureschemeisbasedontheq-
SDHassumptionandthedecisionalDiffie-Hellmanassumptionintherandomoraclemodel.Thelengthofthenew
groupsignatureisalittlelongerthanthatofBBSshortgroupsignature.However,inthegroupsignaturescheme,
givingcertificatesandprivatekeystogroupmembersdonotneedanythirdtrustedparty,whileinBBSshort
groupsignatureschemeitdoesneed.
KeyWords:GroupSignature;BBShortSignature;口一SDHAssumption;BilinearPairings;SignatureofKnowledge
1 引言
群签名最先由Chanm和vanHeyst[1j提出。群签名方案
的实施是由群中的成员和群管理者来完成的。并且就群管理
者而言,他由群成员资格管理者和群成员资格撤销管理者构
成。一个群签名方案允许群中的成员代表整个群进行匿名签
名。具体来说,验证者通过唯一的群公钥验证签名的合法性,
但他不知道签名者的身份。群成员资格管理者负责系统的建
立和群成员的加入,而群成员资格撤销管理者则负责撤销群
签名的匿名性,即恢复签名者的身份。
群签名方案在现实中有广泛的应用。例如,公司中的雇
员可代表公司签名,对于验证者而言,通过该公司提供的群
公钥,他只需知道公司中的某个雇员已代表公司签名了。在
电子货币系统中,利用群签名方案可以构建多银行电子货币
系统。电子货币由多个银行发行,消费者付给商场电子货币
购买物品,但商场不知道该电子货币由哪一个银行发行。在
多银行电子货币系统中,中央银行具有群成员资格管理者和
群成员资格撤销管理者的功能,而其它发行电子货币的分行
则是群中的成员。
到目前为止,学术界已提出了多个不同的群签名方案。
文献【卜3】中,群签名的长度和群公钥的长度同群中的成员个
2006-10-23收到,2007-04-02改回
现代通信国家重点实验室基金(51436050404QT2202)资助项目
数成正比,因此不适合成员多的群体。Camenisch首次提出
适合大群体的群签名方案141。在该方案中,群签名的长度和
群公钥的长度同群中的成员个数无关。随后,研究者们将目
光集中到增加群签名方案的安全特性151以及如何将群签名的
安全特性
化16J这一领域。在文献[5】中,Ateniese等人
提出的群签名方案不仅效率高,而且增加了抗联合攻击安全
特性。在文献【6】中,Bellare等人将群签名的不同安全特性
归结到两点:完全匿名性和完全可追踪性,为群签名方案的
安全性证明提供了标准模式。此后,Camenisch和
LysyanskayalTj提出的群签名方案以及Boneh,Boyen和
Shauch锄恻的方案的安全性证明都是沿袭这一标准模式。此
外,文献[9】将群签名同盲签名相结合构建了群盲签名方案,
使得群签名方案在分布式的多银行系统中得以应用。
本文在Boneh和Boyen[10J提出的短签名的基础上构建
了一个新的签名,并利用这一签名构建出新的群签名。
2预备知识
2.1双线性群
定义1映射e:G1x岛一G≥被称为双线性映射,如果
它满足下列两个性质:(1)xx线性性:Vu∈G1,V口∈G2,
n,b∈Z,e(矿,矿)=e(u,∞曲:(2)非退化性:e(gl,92)≠1;
定义2我们称(G1,G2)是双线性群,如果它满足:(1)
存在上述的双线性映射e:G】XG2一Gr;(2)存在同构映射
万方数据
第5期 钟军等:一种新型的群签名方案 1215
妒:G2一Gl;(3)可计算性:Vu∈q,Vv∈G2,存在有效的
算法计算e(u,t,)。
2.2离散对数的知识签名
定义3[ii】~对(c,s)∈{o,1r×《称为剪∈G的以g为
底的离散对数的关于消息m的知识签名,如果其中的
c=H(m||∥|I9ll95y。)。
2.3于强Diffie-Hellman假设
定义4【10l(口,t,£)一SDH假设在双线性群(G1,G2)中成
立,如果不存在算法A在时间t内,以不小于£的概率优势
解决q-SDH难题。
3一种新的签名方案
签名给定私钥z,Y∈置Z和消息m∈《,签名者随机
———上——一
选择rEaZ,计算签名or一(卵)抖鳍~扩。生成签名(r,盯)。
验证验证者在收到签名(r,盯)后,分别计算e(盯,t硅矛1
·矿),49P,92),这两个式子相等,则说明(r,盯)是消息m的合
法签名。
定理l如果在双线性群(G1,G2)中,(口,t7,E7)-SDH假
设成立,那么本签名方案在适应性选择消息攻击下具有不可
伪造性。
证明 由下面引理1和引理2可知定理1的正确性。
引理1对于本签名方案而言,如果存在(t,吼,£)一F伪
造者在适应性选择消息攻击下具有可伪造性,那么对于BB
短签名方案来说,同样存在(t,q8,E).F伪造者在适应性选择
消息攻击下具有可伪造性。
证明对于本签名方案,假定存在(t,吼,E)一F伪造者在
适应性选择消息攻击下具有可伪造性。也就是说,伪造者能
够在时间£内,向签名预言机询问了吼次之后,以不小于£的
概率输出一个关于消息m的合法签名(r,盯),这里e(盯,叼扩j
·矿)=e(卵,如)。
令m7=[卵】,口7=盯“~,由于e(盯7,t岬≯’口’)=e(盯“~,t‘g扩l
·矿)=e(吼,92),因此成功伪造了一个关于消息m7的BB短
签名(r'盯7)。
引理2110l如果在双线性群(Gl,G2)中,(g,t’,£,)_SDH假
设成立,那么在BB短签名方案中,不存在(t,吼,E)-F伪造
者在适应性选择消息攻击下具有可伪造性。其中:吼
分析
Bellare等人【6】给出了群签名方案必须满足的3个特性:
(1)正确性correctness)一个合法的签名应该能被正确
的验证和打开。
(2)完全匿名性(full-anonymity)群签名不会暴露签名
者的身份。
(3)完全可追踪性(full-traceability)群中的某些成员
(群管理者在内)合伙伪造一个非法的群签名,该群签名仍然
可被追踪。
文章在证明群签名方案的安全性时,沿用了Boneh等
人【6J的证明方式,在证明完全匿名性时,攻击者不能询问打
开预言机。
定理2群签名方案是正确的。
万方数据
1216 电子与信息学报 第30卷
证明 给定群公钥(pk,PkR,91,92,gT),对于一个合法的
群签名三验证就是关于知识签名△的验证,由第2节中的
定义3知道三是合法的群签名。此外,一个诚实的签名者输
出的群签名。中所包含的(西,如,磊,五),通过它们,,-IpA恢
复出签名者的身份。
定理3如果CS98加密方案在群岛中是语义安全的
(IND—CPA),那么群签名方案就具有CPA一完全匿名性(CPA-
full-anonymous)。
证明 CS98加密方案是IND.CCA2安全的,显然它也
是IND—CPA安全的。假定攻击者A能够攻击群签名方案的
匿名性(群中成员的个数为n)。下面说明如何构建攻击者B
攻击CS98加密方案在IND—CPA情况下的安全性。
攻击者B具有CS98加密方案的公钥PkR=(%轨,耽,弛)
以及群中所有成员的私钥gsk[i】=觑,1≤i≤n。他利用群签
名方案中的密钥生成算法生成群公钥其余部分,然后将群公
钥(PkM,pk,吼,92,gT)以及成员的私钥gsk[i】.屯传给攻击
者A。
攻击者A可以随意询问随机预言机日,攻击者B随机
选择z:中的元素作为答复。需要注意的是,如果是同样的
询问,答复也是一样的。
攻击者A提供两个群成员的身份标识站,毛以及消息
m,作为他对群签名方案完全匿名性的挑战。攻击者B提
供与之相关的成员私钥‰,‰,同时,攻击者B的挑战者计
算出氏一e(费,现),&一e(费,吼),并将关于&的密文
他,如,吨,也)传给B。对于攻击者B来说,他的任务就是要
区别是对&的加密还是对&的加密。
攻击者B随机选择口7‰GI,r’∈z:。由于盯’,r7与玩r
在概率上是不可分的,并且由于群签名∑中的知识签名△
来自于诚实验证者的零知识证明,因此,B可以利用与知识
签名△中相对应的零知识证明中的模仿者输出关于△的描
述。由此曰得到一个合法的群签名三=((扩,r),(亩,咤,吃,
噍),△),并将其传给攻击者A。
最后,攻击者A输出一个比特b7,攻击者B将b7作为
他对挑战者的回答。这是因为,挑战者对&的加密密文被
群成员露转化成了群签名。只要攻击者A能回答成功,攻击
者B就能回答成功。 证毕
定理4如果签名方案在适应性选择消息攻击下具有不
可伪造性,那么群签名方案就具有完全可追踪性。
证明 首先构建一个攻击者A攻击群签名方案的完全
可追踪性。
系统的建立 赋予攻击者A群公钥Gpk一(p‰,pk,
91,92,9r),群成员资格撤销管理者的私钥Gmsk=8k以及
群成员的私钥gsk[i】=鱼,1≤i≤n。
哈希预言机的询问对于攻击者A询问知识签名中的
哈希预言机时,随机选择Z的元素作为回答。对于同样的
询问,回答一样。
签名预言机的询问 攻击者A利用群成员i的私钥
gsk[i】=‰对消息M进行群签名,得到群签名∑,作为其对
签名预言机的回答。
输出 最后,攻击者A成功输出一个关于消息M的伪
造群签名Z。用群成员资格撤销管理者的私钥Gmsk=sk
恢复出其身份S。如果S≠只,1≤i≤他,输出∑。
我们知道,群签名∑中的知识签名△有与之相对应的
交互式零知识的知识证明。因此,攻击者A可利用知识证明
中的模仿者得到q,吃,七。因为wz=磁,可得e(玩芒)=e(砰,
鳕)‘兮e(arl,(u菇矿)唿)=e(g},瞻)‘号e(几缸莳矿)n吃=e(醴,
夕2)他,所以e(盯,ugly”)=e(劣,92)。因此得到关于k的签名
(盯,t.),这与定理1相矛盾。故群签名方案具有完全可追踪
性。 证毕
6与BBS的短群签名方案的比较分析
同文献[8]BBS的短群签名方案相比较,BBS的短群签
名方案的安全性是建立在随机预言机模型下,q-SDH假设和
判定线性Diffie-Hellman假设之上的;本文的群签名方案的
安全性建立在随机预言机模型下,q-SDH假设和判定
Diffie-Hellman假设之上的。本文的群签名∑中有5个元素
属于G≥,6个元素属于荭,只比BBS的短群签名方案的群
签名多出1个元素。此外,本文的群签名方案中不需要第三
方为群成员发放资格证书和成员私钥,而BBS的短群签名
方案则需要第三方为群成员发放资格证书和成员私钥。
7结束语
本文利用文献[1o】中的BB短签名方案演化成一个新的签
名方案,并由此构建了一个新的群签名方案。群签名方案的
安全性建立在随机预言机模型下,q-SDH假设和判定
Diffie-Hellman假设之上的。本文提出的群签名方案的签名
长度比文献18]BBS的短群签名方案的签名长度略长,但本文
在为群成员发放资格证书以及成员私钥时,不需要可信任第
三方的参与。
参考文献
【1】 ChaumDandVanHeystE.Groupsignatures.Proceedingsof
Eurocrypt,1991,Volume547ofLNCS,Springer-Verlag,1991
●
【2】 L P.
’
,
, ,
一
.
[3】 J. .
,
, ,
●
【4】 .
●
,
, , ,
万方数据
第5期 钟军等:一种新型的群签名方案 1217
410—424.
AtenieseG,CamenischJ,JoyeM,andTsudikG.Apractical
andprovablySecurecoalition-resistantgroupsignature
scheme.ProceedingsofCrypto,2000,volume1880ofLNCS,
Springer-Verlag,2000:255—270.
BellareM,MicciancioD,andWarinschiB.Foundationsof
groupsignatures:Formaldefinitions,simplifiedrequirements,
anda constructionbasedongeneralassumptions.
ProceedingsofEurocrypt,2003,volume2656ofLNCS,
Springer-Verlag,2003:614—29.
CamenischJandLysyanskayaA.Signatureschemesand
anonymouscredentialsfrombilinearmaps.Proceedingsof
Crypto,2004,LNCS.Springer-Verlag,2004:56—72.
BonehD.BoyenXandShachamH.Shortgroupsignatures.
InCrypto,2004.Springer-Verlag,2004:41—55.
汪保友,胡运发,袁时金.群体盲数字签名协议.计算机研究
与发展,2002,39(10):1193—1198.
WangBao-you,HuYun-fa,andYuanShi-jin.Protocolsof
groupblinddigitalsignature[J].Journalo|Computer
ResearchandDevelopment,2002,39(10):1193—1198.
【lOI BonehDandBoyenX.Shortsignatureswithoutrandom
oracles。ProceedingsofEurocrypt,2004,LNCS,Springer-
Wrlag,2004:56—73.
【Ii】CamenischJ.Groupsignatureschemesandpaymentsystems
basedOnthediscretelogarithmproblem[Ph.D.thesis].V01.
2ofETHSeriesinInformationSecurityandCryptography,
Hartung-GorreVerlag,Konstanz,1998,ISBN3-89649—286
-i.
【12]CramerRandShoupV.Apracticalpublickeycryptosystem
provablysecureagainstadaptivechosenciphertextattack.In
Crypto’98,Volume1642ofLNCS,Springer-Verlag,1998:13—
25.
钟军: 男,1975年生,博士生,研究方向为电子商务与电子政
务以及信息安全基础理论.
何大可: 男,1944年生,教授,博士生导师,主要研究方向为信
息安全基础.
万方数据
一种新型的群签名方案
作者: 钟军, 何大可, Zhong Jun, He Da-ke
作者单位: 西南交通大学信息科学与技术学院,成都,610031
刊名: 电子与信息学报
英文刊名: JOURNAL OF ELECTRONICS & INFORMATION TECHNOLOGY
年,卷(期): 2008,30(5)
被引用次数: 2次
参考文献(12条)
1.Chaum D.Van Heyst E Group signatures 1991
2.Chen L.Pedersen T P New group signature scheme 1995
3.Camenisch J Efficient and generalized group signatures 1997
4.Camenisch J.Stadler M Efficient group signature schemes for large groups 1997
5.Ateniese G.Camenisch J.Joye M.Tsudik G A practical and provably secure coalition-resistant group
signature scheme 2000
6.Bellare M.Micciancio D.Warinschi B Foundations of group signatures:Formal definitions,simplified
requirements,and a construction based on general assumptions 2003
7.Camenisch J.Lysyanskaya A Signature schemes and anonymous credentials from bilinear maps 2004
8.Boneh D.Boyen X.Shacham H Short group signatures 2004
9.汪保友.胡运发.袁时金 群体盲数字签名协议[期刊论文]-计算机研究与发展 2002(10)
10.Boneh D.Boyen X Short signatures without random oracles 2004
11.Camenisch J Group signature schemes and payment systems based on the discrete logarithm problem
1998
12.Cramer R.Shoup V A practical public key cryptosystem provably secure against adaptive chosen
cipher text attack 1998
引证文献(2条)
1.王青龙.魏艳艳 一种新型群签名的分析与改进[期刊论文]-计算机应用研究 2010(4)
2.黄茹芬.王连成 具有特殊性质的数字签名研究[期刊论文]-山东轻工业学院学报(自然科学版) 2009(1)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dzkxxk200805047.aspx
授权使用:龚景兴(wfhzsfxy),授权号:d942faee-f56e-4745-8b6c-9e040109cbe2
下载时间:2010年10月3日