维普资讯 http://www.cqvip.com 第24卷第5期 计算机应用研究 Vo1.24,No.5 2007年5月 Application Research of Computers May 2007 一种基于身份的群签名方案 张培清,胡磊 (中国科学院研究生院信息安全国家重点实验室,北京100049) 摘要:群签名使得群中任何一个成员均可以代表该群进行签名,而不会暴露签名者的身份。当争议发生时, 签名者的身份可以通过群管理员公开。基于身份的签名与群签名有许多相似性,给出了一个由基于身份的签名 转换而来的群签名,并给出了它在电子选举中的应用实例。 ・ 关键词:群签名;基于身份的;电子选举 中图分类号:TN918 文献标志码:A 文章编号:1001—3695(2007)05—0122—03 ID—based Group Signature Scheme ZHANG Pei—qing,HU Lei (State Key Laboratory ofInformation Security,Graduate School,Chinese Academy ofSciences,Beijing 100049,China) Abstract:Group signature allows an arbitrary member in a group can sign a signature on behalf of the group whilst the identity of the member remains anonymous.When a dispute investigation happens,the identity of the signer can be tiaced by the group manager.The performance of the generated group signature scheme is similar to the performance of the underlying ID—based signature scheme.A new group signature based on IDB was contracted,and discussed its application in e—voting、 Key words:group signature;ID—based;e—voting 基于身份的加密系统(Identity—Based Encryption,IBE)首先 (1)ID—SETUP。由PKGC执行的一个算法,输入一个(随 由Shamir在1984年提出 J。在一个基于身份的密码系统中, 机)参数|i},输出一个系统参数(Params)和管理密钥(Master— 每一个人的公钥可以由他们的唯一身份信息(如名称、邮件地 key)。系统参数是公开的,而管理密钥仅被PKGC所知。 址)来确定,这样就避免了公钥目录的使用,而每个人的私钥 (2)ID—EXTRACT。由PKGC执行的一个算法,输入系统 由一个可信任的密钥生成中心PKGC取得。即使在不用获得 参数,管理密钥以及用户USER 提供的任意的ID ∈{0,1} , 对方的公钥证书的情形下,也可以完成消息的签名,同时对消 输出一个私钥d 。其中ID 是一个用做用户USER 公钥的任 息实现公钥加密和数字签名。在Shamir提出基于身份的密码 意字符串;d 是相应的私钥。 系统后,出现了许多基于大整数分解的身份加密与签名方案, (3)ID—SIGN。一个算法,以系统参数(Params)、d 和消息 可遗憾的是没有一种完全令人满意的解决方案。直到2001 M作为输入,输出签名Sig 。定义如下: 年。Boneh和Franklin基于椭圆曲线双线性对的性质 ,提出 SigM=IDSIGN(Params,d , )。 了一个功能齐全的、有效的、可证安全的身份加密方案。之后, (4)ID—VERIFY。一个以消息 和它的签名Sig ,系统参 很多学者也利用椭圆曲线双线性对的性质,提出了各种基于身 数(Params)和公钥ID 作为输入的算法,计算 份的签名方案 ’ 。群签名是特殊数字签名的一种,由Chaum valid=IDVERIFY(SigM,ID ,params, ) 和Van Heyst于1991年提出 。群签名的任何一个成员均可 其中,valid为一个二元数,当签名无效valid值为0;如果valid 以代表该群进行签名,即签名者可以利用群签名机制向验证者 值为1则签名有效。 证明他属于此群体而又不会暴露他/她的身份。当争议发生 一个群签名方案是由以下五步构成的数字签名方案: 时,签名者的身份可以通过群管理员公开。由于拥有这些特殊 (1)G—SETUP。输入一个秘密参数k;算法输出群公钥 的性质,群签名的应用范围非常广泛,如在电子现金、电子投 GroupPK(包括所有系统参数)和用于群管理的管理密钥。该 票、电子拍卖等电子商务应用方面。 算法由群管理员完成。 1 基于身份的签名与群签名 (2)G_JOIN。一个群管理员与用户USER 之间的协议,使 得用户可以成为新的群成员,用户从管理员处得到他的成员密 1.1 两种签名方案的对比 钥 基于身份的签名方案与群签名方案在算法步骤上十分类 (3)G_SIGN。一个算法输入群公钥GroupPK、群成员密钥 似。下面作一个对比 引。一个基于身份的签名方案由以下四 s 、消息M,产生M的群签名GSig 。 步算法组成: GSigM=GSIGN(Group PK,S M) 收稿日期:2006-04一O1;修返日期:2006—06—10 基金项目:国家自然科学基金资助项目(6037041,60573053) 作者简介:张培清(1981-),女,湖南人,硕士研究生,主要研究方向为密码学与信息安全(peiqingz@gmail.coin);胡磊(1967一),男,湖北人,教 授,博导,主要研究方向为密码学. 维普资讯 http://www.cqvip.com 第5期 张培清等:一种基于身份的群签名方案 ・123・ (4)G_VERIFY。一个根据群公钥检查对于某个消息的群 签名是否有效的算法,以群公钥GroupPK、消息 和它的群签 名作为输入GSig 。如果群签名合法,则输出值为1。 valid=G—即密钥颁发中心Issuer和注册中心Register,来解决管理员可 能伪造用户签名的问题。在此假设Issuer和Register不相互勾 结。 VERIFY(GSigM,GroupPK, ) 具体方案如下: (1)G_SETUP。由Register确定两个群,即G 和G2,以及 相应的双线性映射 :G ×G 一G2,三个公开的Hash函数 、 (5)G_OPEN。一个算法给定一个消息和关于这个消息的 一个有效群签名,以及群公钥和群管理员的私钥,确定群成员 的身份。因为只有群管理员拥有管理密钥,所以只有群管理员 才能执行这个操作。 1.2基于身份的签名到群签名的转换 和 ,并随机地选择s。 Po=soP。 。Register计算出公钥 Issuer计算P1=s1Po=s1 S0P。 系统以(q,P,Pl,H1, ,H3, ,Register,Issuer)作为公开密 如果把基于身份的签名方案中用户私钥(由用户的ID得 来的)看做是从群的管理员处得到,其实基于身份的签名方案 和群签名方案十分相似。。 。 ID_SETUP和G_SETUP的算法相似。事实上,它们都是输 入一个随机参数k,生成两个参数:①公开参数,分别为系统参 数(Params)或者群公钥(GroupPK),以便用来验证基于身份系 统的成员或者群成员的签名是否有效。②私密参数。管理密 钥(Master—key),被PKGC或者群管理员用来生成每个成员的 私钥。 ID—EXTRACT和G—JOIN也非常相似。它们均由用户提 供的一些输入、输出用户可以用来签名以证明他们成员身份的 私钥d 或s 。 更进一步,如果设params=GroupPK,d =s 。 GSigM=<SigM,ID >,即GSigM是SigM和ID 的串联, ̄lJlD— SIGN可以写为以下形式: GSig=IDSIGN<GroupPK,s , > 任何一个ID—SIGN函数均可以被用做执行G_SIGN。 类似地,ID_VERIFY也可以改写为 valid=IDVERIFY<GSigM,GroupPK, > 对比之后,可以很容易发现,如果将一个基于身份签名系 统的系统参数用做群公开密钥,并且将群签名的输出定义为一 个基于身份的签名和用户公钥ID 的结合,则任意基于身份的 签名均可以被用做一个群签名。 2 一种基于身份的群签名 2.1 C02。PC02方案的分析 经过1.2节的讨论,可以看出基于身份的签名方案和群签 名方案的自然相似性,可以轻易地将已有的基于身份的签名方 案稍加改动而转换为群签名方案。但是,在基于身份签名方案 中,用户密钥完全由群管理员生成,所以管理员可以轻而易举 地冒充任意用户签名。这在群签名中是绝对不允许的。为解 决这个问题,已经提出过一些方案C02_6 和PC02 7j,思路均是 由用户生成一对非对称密钥对(如RSA/DSA),并将其中的公 钥部分作为用户的ID ,在进行群签名时先作一次RSA/DSA签 名再进行一次基于身份的签名以防止管理员冒充,具体参考文 献[6,7]。以上方法虽然安全可靠,但是缺点也相当明显。相 当于进行了两次签名,一次是RSA/DSA等公钥签名;一次是 基于身份的签名方案,消耗大,产生的签名长度较长。 2.2 新的基于身份的群签名 为解决管理员冒充这个问题,本文将管理员分为两部分, 钥。 (2)G—JOIN。用户USER 随机的选择一个 并计算X= P。将 和一个身份标志ID 发送给Register。 接着Register计算用户证书: QID=H1(/D ,Register,Issuer,DATE) 以及Q 0=//3( (S0X,Po))S0QlD 计算Re ̄ster关于Q 。的签名。 发送Q 。和Sig。(Q 。)给用户。 用户将ID 、X、Q 0和Sigo(Q 0)发送给Issuer。 Issuer计算是否满足 (Sigo(Q 0),P)= ( 。,Po),如果 成立则计算: Q 1=H3( (slX,P1))slQ 0),Sig1(Q 1)=s1Q 1 并将Q 和Sig (Q )发送给用户。最后由用户计算出它的私 有密钥: di Q l — =¥051 Q1D 并通过计算 (dl,P)= ( 。,P1)来验证自己私钥的正确性。 (3)G—SIGN与1.1的签名步骤类似。 对于消息M {0,1} ,选择一个随机数计算k ,计算: R=k×P;S=k ( ( )×+H3(R)×d 这里 是k在z 的逆,产生签名为 GSig=<R,S,ID ,Register,Issuer,DATE> (4)G—VERIFY。与以下的验证步骤类似,计算: QID=H1(ID ,Register,Issuer,DATE)以及值 (P,P) 2‘ ×e(P。 b,QlD) 3‘ ’ 如果对于 的签名有效,则 e(R,S)=e(k×P, 一 (HE(M)×P+H3(R)×d ))= e(P, ( )×P+H3(R)×d )=e(P,P)打2‘ ×e(Pl,QID) 3‘R (5)G—OPEN。争议发生时,可由注册中心Register通过解 开签名中的ID 部分查找登记的用户身份。 2.3方案的安全性分析 由于该方案是由基于身份的群签名方案直接转换而来,在 正确性和防伪造性方面均与基于身份的群签名方案相同。 (1)防陷害攻击。由于只有群成员本人才具有自己的私 钥,任何人(包括注册中心和颁发中心)均不能伪造出其他群 成员的签名。 (2)可跟踪性。由于注册中心掌握成员的ID登记可以轻 易地解开一个有效签名。 (3)匿名性。如果成员的个人标志ID在选取时不泄露自 己的真实信息,如取一个别名或无意义字符串等,则该方案可 维普资讯 http://www.cqvip.com ・124・ 计算机应用研究 2007丘 以达到很好的匿名效果。 个人可验证性也满足整体可验证性。 很容易看出,该投票方案的安全性、效率均与2.2节提出 的签名方案等同。因为签名方案本身的关联性,所以可以 (4)抗联合攻击。由于群私钥由注册中心和颁发中心各 生成一部分,只要注册中心和颁发中心不相互勾结,则任意多 个成员合谋也无法伪造出一个有效的群签名。 (5)不关联性。该方案由基于身份的签名方案而得出,个 人仅有一票。由于投票本身包含ID标志,如果此ID标志选 取的不是一个短期参数,而是一个长期身份标志,比C2C电子 一人标志ID是签名的一部分,并不具备不关联性。但是,在实际 运用中,只要群成员不需要进行大量的签名,不具备不关联性 的缺点可以通过废弃旧ID解决。在基于身份的签名本身提供 商务中参与者的代码、身份证号、电子邮件地址等,那么,可以 很容易地通过这个ID标志建立投票者的信誉档案。该方案适 合用于网络信用评估 等领域。 不关联性的情况下也可以得到解决。具备关联性的群签名 (Linkable Group Signature),在某些实际情况中反而更具有应 3 结束语 用价值,如一人一票的电子选举。 2.4电子选举协议 电子选举协议的模型 通常有以下几种: (1)单选举中心型。在该类型的方案中,注册工作与选票 的认证及统计工作由一个选举中心来完成。 (2)多选举中心型。在该类型的方案中,存在多个地位相 同的选举中心,注册工作与选票的认证及统计工作由多个选举 中心共同完成。 (3)候选人充当选举中心型。在该类型的方案中,注册和 统计工作均由投票人与候选人之间的协议共同完成。 由于电子选举方案采用的模型不同,其步骤也有一些区 别。通常说来,一个电子选举方案包含如下步骤: (1)注册。通常是由合法的投票人从选举中心取得一个 以后可以验证的标志信息。投票人的一些个人信息及投票人 的投票信息都有可能隐含在这个标志信息中。 (2)投票。投票人构造出合法选票通过某种方式送给选 举中心。 (3)统计。选举中心统计选票。 (4)验证对于一个电子选举方案,其可验证性有个人可验 证性和全体可验证性两种。个人可验证性指投票者本人能确 认自己的选票被正确地统计在选举结果之中;整体可验证性指 任何人均可以根据公布出来的选举信息确认选举的统计工作 的正确性。 常见的电子选举方案有FOO方案 及Sensus系统 等。 在这里用到的电子选举系统主要参考文献[11]中提出的电子 选举方案,它包含两个选举中心,即Issuer和Register。步骤如 下: ①初始化。Issuer和Register通过G—SETUP确立一个初 始的投票机构,由Register确认投票人员名单,并公布在公告 牌(Bulletin Board)上宣布投票事项。 ②注册。投票者与Register联系,通过G JOIN在Register 处进行登记,合法的投票者获取自己的选票资格后从Issuer处 领取选票。 ③投票。获得选票的投票者,进行投票。投票者将投票内 容(Yes,No或被选举人姓名等其他事项)用G—SIGN进行签名 后一并在公告牌上公布。 ④统计。投票结束,由Register通过G—OPEN剔出非法选 票,Issuer通过G—Verify确认有效票,统计结果,并公布在公告 牌上。 ⑤验证。由于票选和结果均在公告牌上公布,方案即满足 群签名方案允许某个组织中的合法成员以组织的名义进 行签名,验证者不知道具体的签名人。当签名发生争议时,可 以由系统的权威打开签名,找到实际的签名者。在电子选举、 电子现金等方面均有广泛的应用。基于身份的密码系统也是 近年来的研究热点之一,其与群签名的天然相似性值得关注。 本文研究了如何将基于身份的签名有效地转换为群签名,并构 造了一个新的基于身份的群签名方案,给出了它在电子投票中 的应用实例。 参考文献: [1] SHAMIR A.Identity-based cryptosystems and signature schemes:’ proc.ofthe Cryptology-Crypto’84,LNCS 196[C].[S.1.]:Springer Verlag,1984:47—53. [2]BONEH D,FRANKLIN M.Idtentity—based eneryption from the weft paiirng:proc.ofthe Cryptology—Crypto 2001,LNCS 2139[C].[S. 1.]:Springer—Verlag,2001:213—229. [3]CHA J C,CHEON J H.An identity—based signature from gap difife— hellman groups,cryptology e-print archive[EB/OL].(2002一O1— 08).http://eprint.iacr.org/. [4]PATERSON K G.ID-based singatures from paiirngs on elliptic curves,cryptology e—print archive[EB/OL].(2002—04).http:// eprint.iacr.ore,/. [5]CHAUM D,HEYST F.Group signature:proceedings of EUROCRYPT ’91[C].[S.1.]:Springer-Verlag,1992:257—265. [6]CASTELLUCCIA C.How to conve ̄any ID—based signature scheme into a group signature scheme,cryptology e—print archive[EB/OL]. (2002-01—16).hnp://eprint.iacr.org/. [7]POPESCU C.An efifcient。ID—based group singature scheme[J].Stu— dia Univ.Babes・Bolyai,Informatica,2002,XLV II(2):29—36. [8]段琪,孙淑玲.电子选举研究概况[J].计算机应用,1998,18(4): 23.25. [9] FUJIOKA A,OKAMOTO T,OHTA K.A practical secret voting scheme for lrage scale elections:proc.of the Auscrypt’92[C].[S. 1.]:[S.n.],1992:244—251. [10]CRANOR L.Electronic voting:computerized polls may slfve money, protect privacyproc of the Hawaii Internet of Conference on System Science[C].Hawaii:[S.n.],1997:I16—124. [1 1]LIU J K,WEI V K,WONG D S.Linkable spontaneous anonymous rgoup signature for Ad hoe groups(extended abstract)ACISP’04 [C].[S.1.]:[S n.],2004:325—335. [1 2]RESNICK P,ZECKHAUSER R,FRIEDMAN E,et a1.Reputation systems:facilitating trust in internet interactions[J].Commtmica— tions of the ACM,2000,43(12):45—48.
