一种动态群签名方案安全性分析.docVIP

一种动态群签名方案的安全性分析 　　摘 要：群签名使得群中任何一个成员均可以代表该群进行签名，而不会暴露签名者的身份。当争议发生时，签名者的身份可以通过群管理员公开。成员删除一直是群签名方案设计中难以解决的一个问题，何业锋等人最近在《软件学报》上提出了一个利用ELGamal加密和知识签名提出的一个动态群签名方案。指出该方案中被删除的群成员仍然可以作出签名，因而他们的方案是不安全的。 　　关键词：群签名； 动态群签名； 联合攻击 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2007)06-0129-02 　　群签名是数字签名的一种，由Chaum和Van Heyst于1991年提出［1］。群签名的任何一个成员均可以代表该群进行签名，即签名者可以利用群签名机制向验证者证明他属于此群体而又不会暴露他/她的身份。当争议发生时，签名者的身份可以通过群管理员公开。由于拥有这些特殊的性质，群签名的应用范围非常广泛，如在电子现金、电子投票、电子拍卖等电子商务应用方面。?? 　　设计可以删除群成员的方案一直是群签名研究的难点。而目前提出的删除群成员方案主要有两种：①每一次群成员的删除都需要改变群公钥的参数或群成员的参数，即相当于为每一位群成员颁发新的成员证书［2］；②应用证书删除链表对群成员进行删除［3］。?? 　　 　　1 动态群签名方案的定义?? 　　动态群签名方案［4］是包含以下六个协议或算法的数字签名方案：?? 　　(1)创建算法(setup)。通过输入一个随机数能够产生群的公开密钥??Y和群管理员的秘密密钥S。???? 　　(2)注册协议(join)。使得某用户可注册成为一个新的群成员。输出为一个群成员的身份证书以及一个只有群成员知道的秘密密钥。?? 　　(3)删除协议(delete)。群管理员与成员之间的一个协议，使得一个群成员的签名能力被撤销。?? 　　(4)签名算法(sign)。当输入一个消息??M与某个群成员的身份证书和秘密密钥后，输出对消息M的签名。???? 　　(5)验证算法(verify)。当输入一个消息??M和消息的签名以及群的公开密钥Y后，??输出关于这个签名是否有效的确定性算法。?? 　　(6)打开算法(open)。当输入消息??M和它的签名以及群管理员的秘密密钥S后，??输出签名者的身份。?? 　　一个好的动态群签名也必须满足下面一般群签名应满足的安全特性：?? 　　(1)不可伪造性。只有群成员能够代表群进行签名。?? 　　(2)匿名性。给定一个群签名，除群管理员外，任何人想识别签名者的身份都是计算困难的。?? 　　(3)不关联性。除群管理员之外，判断两个不同的群签名是否是由同一个群成员提交的是一个计算困难的问题。?? 　　(4)不可替代性。任何一个群成员与群管理员都不能代表其他的群成员进行签名。?? 　　(5)可跟踪性。群管理员能够打开一个有效的群签名，以揭示签名者的身份。任何签名者都不能阻碍一个有效的群签名的打开。?? 　　(6)抗联合攻击性。任何群成员的联合子集都不能生成一个不能被跟踪的有效群签名。?? 　　一个好的动态群签名除了满足一般群签名应满足的安全特性外还必须满足：?? 　　(1)一个群成员一旦被删除后，他就无法再生成有效的群签名。?? 　　(2)被删除的群成员以前所提交的群签名仍具有匿名性与不关联性，当然其他未被删除的群成员所作的签名也是匿名和不相关联的。?? 　　 　　2 HZ05动态群签名?? 　　何业锋等人于2005年提出的动态群签名方案［4］属于证书更新类动态群签名方案。本文将介绍这个签名方案，并对它进行安全分析。 　　2.1 系统参数建立?? 　　群管理员计算下面的值。 　　2.2 群成员加入协议?? 　　为加入群，Alice按如下步骤计算她的成员证书： 　　2.3 签名算法?? 　　为了代表群对消息m??进行签名，Alice进行如下计算： 　　2.4 签名的验证?? 　　签名的接收者可以根据验证知识签名V??1与V??2的正确性来判断此群签名的有效性。如果V??1与V??2有效则签名(A,B,C,V??1,V??2)有效。 　　2.5 签名的打开 　　2.6 群成员删除算法 　　 　　3 HZ05方案的安全性分析?? 　　这里主要说明，HZ05动态群签名方案无法抵抗广义联合攻击。在此，笔者将广义联合攻击定义为任何两个或以上的实体相互勾结即可构造出一个非法的，可能损害群体利益的有效签名。在HZ05动态群签名方案中，只要被删除者如Bob和群中未被删除的成员如Alice勾结即可继续代表群进行有效的群签名，而管理者也无法找出究竟是谁将秘密泄露给Bob的。?? 　　因为HZ05的成