第37卷
V_0l_37 第l8期
NO.18 计算机工程
Computer Engineering 2011年9月
September 201 1
・安全技术・ 文章编号:1o0o一_3428(2011)18—0l45—03 文献标识码z A 中圈分类号t TP301.6
一种基于身份的高效短群签名方案
蔡志伟 ,一,王立斌 ,一,马昌社 ,
(1.华南师范大学计算机学院,广州51063l;2.上海市信息安全综合管理技术研究重点实验室,上海200240)
摘要:使用子群判定假设,利用以身份层次化为基础的群签名构造方法,提出一种基于身份的高效短群签名方案。在无需更新群公钥和
其他群成员签名私钥的前提下,允许新成员的动态加入,群签名长度不依赖于群成员的数目,群管理员不能伪造其他成员的签名。实验结
果表明,在遭受选择明文攻击时,该方案能满足匿名性、防伪造性、可追踪性和防陷害性等安全需求,并具有较高的运行效率和较短的签
名长度。 关健词:短群签名;可追踪性;防陷害性;不可伪造性;基于身份
Identity—based Efficient Short Group Signature Scheme
CAI Zhi.wei ’。,WANG Li-bin ,。,MA Chang.she ,。
(1.ComputerSchool,SouthChinaNormalUniversity,Guangzhou 510631,China; 2.Shanghai Key Laboratory of Integrated Management Technology Research of Information Security,Shanghai 200240,China)
[Abstract]This paper using the subgroup decision assumption proposes an identity—based efficient short group signature scheme by using the hierarchical identity—based group signature construction method.It allows new members to join in the group dynamically without updating the group
public key and other group members’private signing keys.The length of the signature is independent of the amount of the group members,and the
group manager Can not forge any other member’S signature.Experimental results show that,this scheme satisfies anonymity,unforgeability, traceability and non—frameability of the security requirements of group signature under Chosen Plaintext Attacks(CPA).This scheme is more efficient and the length of the signature is shorter.
[Key words]short group signature;traceability;non--frameability;unforgeability;identity--based
DoI:10.3969/j.issn.1000—3428.2011.18.048
1概述
文献[1—3]提出群签名的概念。允许群体中的任何一个成
员代表整个群体对消息进行匿名签名,且在有争议的时候, 群管理者可以打开群签名,确定签名者的真实身份。群签名
自提出以来,得到国内外广泛的关注。然而,在实际应用中,
群签名的运行效率和签名长度是制约其得到广泛应用的重要
原因。标准模型的群签名方案主要是在合数阶群中实现。
2006年一2007年,文献[1—2]提出2个在合数阶群中实现 的群签名方案,这2个方案在弱化BMW模型时是安全的,
即方案的匿名性能抵抗选择明文攻击。前一个方案使用的是 零知识证明技术,将签名者的身份逐比特加密后作为签名的
一部分,签名含有O(1gn)个群元素,其中, 为群成员数,
方案的群公钥也与成员数成对数关系。后一个方案对前一个
方案做出改进,签名由6个合数阶群内的元素组成,群公钥
与消息空间成线性关系。文献【4]提出基于身份的层次化加密
(Hierarchical Identity—based Encryption,HIBE)方案构造群签 名的方法。然而,目前的方案在实际应用中仍存在运行效率
较低、签名长度过长以及群签名不具备防陷害性的缺点。故
研究高效的具有防陷害性的短群签名方案是当前群签名研究
中亟需解决的问题。本文基于文献[5】提出的HIBE方案,利
用文献【4】的群签名构造方法,提出一种基于身份的高效短群
签名方案。
2预备知识
2.1群签名的定义及安全需求
定义1群签名方案包含:创建,加入,签名,验证和打 开过程的数字签名方案。
群签名的安全性需求包括:匿名性,防伪造性,可跟踪
性和防陷害性。
2.2双线性群与相关困难问息 关于双线性群与相关困难问题的描述如下:
(1)双线性群
设G和Gr是阶为n 印的有限循环群,其中,P和q为 素数;映射e:G×G_÷Gr称为双线性映射。它们满足双线
性性、非退化性和可计算性。 (2)相关困难问题
计算Differ—Hellman问题:给定群G,且P是G的生成
元,已知(P,aP,bP),计算abP,其中,a,bezq未知。 GP的计算Difie—Hellman假设:对于元素个数为,z的合
数阶群G,n=pq,给定(g,g ,gb)∈G,其中,a,be Zp,P为
素数 计算g 。不存在(f,口 ,£)敌手A在时间t内经q,次提
问,至少以概率£计算g 。称敌手具有优势s,如果概率
Pr[A(g,g“,g )=g ]≥F。如果G 中的CDH问题是困难
的,那么G中的CDH问题也是困难的。
子群判定假设:给定群G和Gr,群G的阶数为n=pq。
基金项目:国家自然科学基金资助项目“高效可证明紧致安全的数 字签名技术研究”(60703094);上海市信息安全综合管理技术研究重 点实验室开放课题基金资助项目(AGK20100006) 作者倚介:蔡志伟(1983一),男,硕士研究生,主研方向:信息安全,
密码学;王立斌、马昌社,副教授、博士后 收稿日期:2011-04—06 E—mail:lbwang@scnu.edu.c
a 146 计算机工程 2011年9月20日
双线性映射定义为:e:GxG Gr,不存在多项式时间算法
A以可忽略SD—AdvA的优势解子群判定问题,其中,SD Adva
定义为:
SD—AdvA=I Pr[a(n,G,G ,e, )=
1:X G卜Pr[A(n,G,Gr,e,x ):1:X G】l
定义2若不存在使用概率多项式时间算法解决子群判定
问题的情况,则认为子群判定假设在合数阶群G中成立 J。
3高效短群签名
本文使用G 和G。分别代表阶为P和q的G的子群;使
用G 和G 分别代表阶为P和q的Gr的子群。即有:
G=GpXGq和Gr=Gr, × . 。若gl是群G的生成元,则g
和g 分别为G 和 的生成元。由此可知对于所有hp G
和 ∈ 都有: ( ,hq)=1,这是由于存在整数a,b使得有:
e(hp, )= (g;,g ),同时存在群G的生成元gl使得有:
P(g:,g )=P(g ,g )=e(g1,g】) =1。
3.1系统刨建
使用Setup算法输入安全参数 ,生成公开系统参数PK
和主密钥MK,追踪密钥TK。群管理员首先选择n=pq,其
中,P和q为2个随机的素数。令G是阶为合数 的双线性
群,定义G 和Gg为G的子群,其阶分别为P和q,g和g 分别为G 和G 的生成元,以及一个非退化的双线性映射为
e:GxG'÷GT。此外,选择一个哈希函数为日:(0,1}_÷ 。
选择随机元素:
f,v, , ,WE Gp;Rg,Rs,R,RI,R2∈Gq
计算: G=gR,F=fRj,V=vRv,日l= ,日2= R2,E=e(g,w)
最后,群管理员发布群公钥如下:
PK=[g,gq,G,F,V,H1,H2,E】
群管理员保留以下主密钥和追踪密钥:
MK=[p,q,g,f,V, , ,w],TK=g
3.2成员加入 令userID∈z 表示用户的身份,当用户申请成为群的成
员时,与群管理员进行交互,并完成以下步骤:
(1)用户随机选择 , ∈z ,H对群管理员保密,计算
P=gq“,Q=e(g,g ) ,并将(P,Q)发送给群管理员。
(2)GM随机选择c∈ 回应用户。
(3)用户计算S:k+CU并发送给群管理员。
(4)群管理员验证等式e(g,g。) =Qxe(p,g) 成立后,群管
理员输入主密钥MK和用户标识userlD并执行Join算法。该
算法执行以下步骤:
1)群管理员选择随机整数1,r2 S S k k ∈Z,并计算
H(userlD)=X。 2)生成用户的私钥:用户私钥包括2个子密钥,分别为:
和 。尸v 用于签名,而Pv 用于对密钥进
行随机化,具体如下式:
P =[Xo,Xl,322,Y3]:【w(VW)‘f ,g ,g , ]
Pvk" ̄ =[【%, , ,屈l,【 , , , 】]:
[【( ) f“,g ,g“, ],[(v ) fk2,g ,占“,磅】]
(5)群管理员向用户分配一个秘密的身份标识符userlD,
并向用户发布证书,具体表达为:Pv =【芷,:wP(v ) , ,
K2=g , =g ,K4= ,K5=gX]。 并将用户身份及与之对应的秘密身份标识符存储在用户
列表中。
(6)用户收到证书后判断下式是否成立,具体如下式:
e( ,g)=Exe(g,gq)“xe(VH ̄,K2)×P(K3,F)
若成立则确认证书有效,并把(P ,“)作为签名的
密钥。这个注册过程中签名密钥由群管理员颁发的证书和用
户私钥两部分组成,可以防止群管理员伪造用户的合法签名。
3.3签名阶段 当用户要对消息M进行签名时,完成以下步骤:
(1)用户选择随机整数O),TE Zn并计算日(M)=m。
(2)用户生成签名密钥Pv ,签名密钥的生成分为2步:
1)指派过程
[ , , ] [wP( ) f ,g ,g ]
[Bo,BI, ] [(v ) f“,g ,g ] 【 , , ] 【(v )‘f“,g ,g 】
2)随机化过程
Pv Ao醚 ,A、B B 醚醚,K =
[wP(v ̄h2) 即f ,g rl+ ̄l ,g ̄+s2 k2r g ]
假设如下:
‘= + l 卜 ; =r2+ 2吐 +足2
则有:
尸V =[wP(v ̄h2) f ,g ,g ,gX】:Isl,S2,S3,S4】
(3)用户选取4个随机指数tl,t t t ∈Z ,并将签名Pv
进行盲化,具体如下式:
=S1×g:, =S2×g , : x占 ,(『4= ×g
并计算:
=G‘xG“×( H )一 ×f一
(4)用户发送最终的签名,格式如下:
=( , , , ,石)
3.4验证阶段 已知群签名O-=( ,c『2, , , ),当验证者需要验证所得
签名是否为有效的签名时,需要进行下面的计算,验证过程
用到双线性群的性质,即对于所有hp∈Gp和 ∈Gq符合
e( 。, )=1。并完成如下2步:
(1)验证者计算,具体如下式:
丁: ! ! P( ,VH ̄HT)・ ( ,F)’E
(2)验证者判断下式是否成立,具体如下式:
T:e(g , )
如果该等式成立,则可认定所得到的群签名是有效的群
签名。
3.5打开阶段 假设签名盯通过验证阶段,是有效的群签名,群签名的
追踪者要确定签名者的身份,则进行以下的计算:
(1)群签名的追踪者首先将 解析为:
盯=( , , ,cr4, ) (2)群签名的追踪者使用追踪密钥TK计算 ,并对用户
列表中存储的每个身份标识符进行以下等式检测,如果存在
某个身份标识符满足下式,则输出所对应的身份,方法如下:
( ) =(g )