一个基于ID可删除群签名方案.docVIP

一个基于ID可删除群签名方案 　　摘要：在第三方不可信任的情况下，传统的ID签名系统不适用于安全的群签名。给出一个安全的基于ID的群签名方案，即使在KGC不可信的情况下也能保证其安全性，而且该方案可以安全地增加或删除群成员而不需要改变其他有效群成员密钥和群公开密钥。同时，密钥长度及签名长度与群成员的多少无关。 　　关键词：群签名; ID加密; 二次线性对映射 　　中图分类号：TP309．2文献标志码：A 　　文章编号：1001－3695(2008)03－0924－03 　　 　　自D. Chaum等人于1991年首次提出了群签名的概念[1]以后，群签名因其在商业上的广泛应用而引起人们的关注[1~4]。群签名允许群中合法成员代表群组对信息进行匿名签名,该签名可以利用群组公开密钥进行验证。在发生纠纷时，只有指定的群主管可以打开签名，确定签名成员的身份。Park等人于1993年首次提出基于ID的群签名，该方案使得管理中心打开签名变得简便。但Mao等人指出该方案不能保证签名成员的匿名性，且公钥和签名的长度与群成员线性相关，即群中成员很多时效率低。群签名方案的一个重要进展是J. Camenish等人于1997年提出的群签名方案[5]。该方案中群签名及群组公钥的长度是固定的，与群组成员的个数无关，即群组建立后可以加入新成员，且新成员的加入不改变群组的公开密钥。 　　在群签名的实际应用中，群组成员的进出是动态的，即群组中不仅有新成员的加入，同时还有群组成员的删除问题。因此，在不改变原有群组签名私钥和验证公钥的条件下，如何保证其他合法群组成员签名的匿名性和安全性对群签名方案的设计就显得十分重要。目前，群成员的删除问题及 　　抗伪造攻击问题是影响群签名应用的一个主要障碍。2000年，H. J. Kim等人提出了一个可以撤销成员的群签名方案[6]，该方案每次更新秘密密钥时需要大量的指数运算，给群组中的其他成员带来繁重和额外的开销。2001年，Song提出了一种成员可撤销的群签名方案[7]，在不改变其他有效群成员密钥的情况下可以安全地删除群成员。2004年，黄达人提出了一种基于中国剩余定理的群签名方案[8]，但该方案在群成员删除过程中需要更新群管理中心的公开密钥。 　　群签名的匿名性要求：用户的公开密钥ID不能泄露关于用户身份的任何信息。因此，传统的ID签名系统在KGC不可信的条件下不适用于安全的群签名。如果用任意字符串作为用户的公开密钥，则不可信的KGC可以伪造一个有效签名，因为KGC同样可以产生每个用户的公钥，并计算其相应的私钥。2002年，Chen Xiaofeng在KGC不可信的条件下提出一个基于ID的签名方案（XC方案），并基于该方案提出一个基于ID的群签名方案[9]。 　　本文对XC方案的安全性进行分析，指出其存在的安全隐患，并在KGC不可信的情况下，给出了一个新的可删除群签名方案。其具有以下几个特点：a）即使在KGC不可信的情况下也能保证其安全性；b）在不改变KGC的秘密密钥和其他有效群成员签名密钥的情况下，可以安全地删除群成员；c）安全性好，可以抵抗伪造攻击和联合攻击。 　　 　　1相关定义 　　 　　1．1群签名的定义及安全性要求 　　定义1[1]一个群签名方案是包含以下过程的数字签名方案： 　　a）创建。一种用于产生群公钥和私钥的多项式时间算法。 　　b）加入。一个用户与群管理人之间使用户成为群成员的交互式协议。 　　c）签名。一种算法，当输入一个消息和一个群成员的签名密钥后，输出对消息的签名。 　　d）验证。一种在输入对消息的签名及群公钥后确定签名是否有效的算法。 　　e）打开。一种在给定签名及群私钥的条件下确定签名人身份的算法。 　　群签名的安全性要求： 　　a）匿名性。给定一个群签名后，除了惟一的群主管，任何人确定签名人的身份在计算上是不可行的。 　　b）不关联性。在不打开签名的情况下，任何人确定两个或两个以上的消息是否由同一个成员产生在计算上是不可行的。 　　c）防伪造性。只有群成员才能产生有效的群签名。 　　d）可跟踪性。群管理人在必要时可以打开一个签名以确定签名人的身份，而且签名人不能阻止一个合法签名的打开。 　　e）抗联合攻击。即使一些群成员串通在一起也不能产生一个合法的不能被跟踪的群签名。 　　1．2二次线性对映射和Gap DiffieHellman群 　　 以|G|表示群G的阶，n为一整数，Zn表示模n的剩余类环,H1、H2表示抗碰撞的hash函数，Z表示整数。 　　1．2．1二次线性对映射 　　定义2[9]设G1=〈P〉是一循环加群，q是素数，|G1|=q，G2是一循环乘群，|G2|=q，a,b∈Zq，对映射e：G1×G1 →G2，若： 　　a)